Windows Server 2019 中的新增功能
本文介绍 Windows Server 2019 中的一些新增功能。 Windows Server 2019 在 Windows Server 2016 的坚实基础上构建,围绕以下四个关键主题实现了很多创新:混合云、安全性、应用程序平台、超融合基础设施 (HCI)。
常规
Windows Admin Center
Windows Admin Center 是本地部署的基于浏览器的应用,用于管理服务器、群集、超融合基础设施和 Windows 10 电脑。 它不会在 Windows 之外产生额外费用,并可以在生产中使用。
可将 Windows Admin Center 安装在 Windows Server 2019 和 Windows 10 以及更低版本的 Windows 和 Windows Server 上,并可用它来管理运行 Windows Server 2008 R2 及更高版本的服务器和群集。
有关详细信息,请参阅 Windows Admin Center。
桌面体验
Windows Server 2019 是长期服务频道 (LTSC) 版本,因此包含桌面体验。 根据设计,半年频道 (SAC) 版本不包含桌面体验;严格地说,这些版本属于 Server Core 和 Nano Server 容器映像版本。 与使用 Windows Server 2016 一样,可以在安装操作系统时选择 Server Core 安装或带桌面体验的 Server 安装。
系统见解
系统见解是 Windows Server 2019 中提供的一项新功能,以本机方式为 Windows Server 带来了本地预测分析功能。 这些预测功能中的每种功能都受机器学习模型支持,可在本地分析 Windows Server 系统数据(例如性能计数器和事件)。 系统见解可让你了解服务器的运行状况,并帮助减少与被动管理 Windows Server 部署中的问题相关的运营费用。
混合云
Server Core 应用兼容性按需功能
Server Core 应用兼容性按需功能 (FOD) 包含带桌面体验的 Windows Server 的一部分二进制文件和组件,因此显著提高了应用兼容性。 服务器核心通过不添加 Windows Server 桌面体验图形环境本身来尽可能地将其保持精简,从而提高功能和兼容性。
此可选按需功能在单独的 ISO 上提供,可通过 DISM 将其仅添加到 Windows Server 核心安装和映像中。
已将 Windows 部署服务 (WDS) 传输服务器角色添加到服务器核心
传输服务器只包含 WDS 的核心网络部分。 现在可将服务器核心与传输服务器角色配合使用,创建从独立服务器传输数据(包括操作系统映像)的多播命名空间。 如果想要一个 PXE 服务器,以便客户端通过 PXE 启动并下载你自己的自定义安装应用程序,则也可使用它。
远程桌面服务与 Azure AD 的集成
通过集成 Azure AD,可以利用条件访问策略、多重身份验证、使用 Azure AD 的其他 SaaS 应用的集成身份验证等等。 有关详细信息,请参阅将 Azure AD 域服务与 RDS 部署集成。
网络
我们对核心网络堆栈进行了多项改进,例如 TCP 快速打开 (TFO)、接收窗口自动调整、IPv6 等。 有关详细信息,请参阅核心网络堆栈功能改进文章。
动态 vRSS 和 VMMQ
过去,当网络吞吐量首次达到 10GbE 或更高时,虚拟机队列和虚拟机多队列 (VMMQ) 会为单个 VM 提供更高的吞吐量。 遗憾的是,成功所需的规划、基线、优化和监控的工作比 IT 管理员预期的要大得多。
Windows Server 2019 通过根据需要动态分布和优化网络工作负载的处理来改进这些优化。 Windows Server 2019 可确保峰值效率,并减轻 IT 管理员的配置负担。 若要了解详细信息,请参阅 Azure Stack HCI 的主机网络要求。
安全性
Windows Defender 高级威胁防护 (ATP)
ATP 的深度平台传感器和响应操作可暴露内存和内核级别攻击,并通过抑制恶意文件和终止恶意进程进行响应。
有关 Windows Defender ATP 的详细信息,请参阅 Windows Defender ATP 功能概述。
若要详细了解如何载入服务器,请参阅将服务器载入 Windows Defender ATP 服务。
Windows Defender ATP 攻击防护是一组新的主机入侵防护功能,可用于平衡安全风险和生产力要求。 Windows Defender 攻击防护旨在锁定设备,使其免受各种不同攻击媒介的威胁,并阻止恶意软件攻击中常用的行为。 组件如下:
攻击面减少 (ASR) 是一组控件,企业可以通过它们阻止可疑的恶意文件,防止恶意软件入侵计算机。 例如 Office 文件、脚本、横向移动、勒索软件行为和基于电子邮件的威胁。
网络保护可通过 Windows Defender SmartScreen 阻止设备上的出站进程访问不受信任的主机/IP 地址,保护终结点免受基于 Web 的威胁。
受控文件夹访问权限可阻止不受信任的进程访问受保护的文件夹,保护敏感数据免受勒索软件的威胁。
Exploit Protection 是针对漏洞利用的一组缓解措施(代替 EMET),可以轻松地进行配置以保护系统和应用程序。
Windows Defender 应用程序控制(也称为代码完整性 (CI) 策略)已在 Windows Server 2016 中发布。 我们已通过包含默认 CI 策略简化了部署。 默认 CI 策略允许所有 Windows 内置文件和 Microsoft 应用程序(如 SQL Server),并阻止可以绕过 CI 的已知可执行文件。
软件定义的网络 (SDN) 的安全性
SDN 的安全性提供多种功能来增强客户运行工作负荷的信心,不管是在本地运行,还是作为服务提供商在云中运行。
这些安全增强功能集成到了 Windows Server 2016 中 引入的全面 SDN 平台中。
有关 SDN 中新增功能的完整列表,请参阅 Windows Server 2019 的 SDN 中的新增功能。
受防护的虚拟机的改进
我们对受防护的虚拟机进行了以下改进。
分支机构改进
现在可以利用新的回退 HGS 和脱机模式功能在计算机上运行受防护的虚拟机,以间歇性方式连接到主机保护者服务。 可以通过回退 HGS 配置第二组用于 Hyper-V 的 URL,试试是否无法访问主 HGS 服务器。
即使你无法访问 HGS,脱机模式也可以让你继续启动受防护的 VM。 只要 VM 已成功启动一次并且主机的安全配置并未更改,就也能通过脱机模式启动 VM。
故障排除改进
我们还通过启用对 VMConnect 增强会话模式和 PowerShell Direct 的支持,简化了受防护 VM 的故障排除。 这些工具适用于到 VM 的网络连接已断开,需要更新其配置才能恢复访问的情况。 若要了解详细信息,请参阅受保护的结构和受防护的 VM。
你不需要配置这些功能,因为当将受防护的 VM 放置在运行 Windows Server 1803 版本或更高版本的 Hyper-V 主机上时,这些功能会自动变为可用状态。
Linux 支持
如果运行混合 OS 环境,那些现在可以通过 Windows Server 2019 在受防护的虚拟机内运行 Ubuntu、Red Hat Enterprise Linux 和 SUSE Linux Enterprise Server。
HTTP/2 实现更快、更安全的 Web
改进了连接合并,可提供不间断且正确加密的浏览体验。
升级了 HTTP/2 的服务器端加密套件协商,以便于自动减轻连接故障以及轻松进行部署。
已将默认 TCP 拥塞提供程序更改为 Cubic,为你提供更大的吞吐量!
加密网络
虚拟网络加密对具有启用加密标签的子网中的虚拟机之间的虚拟网络流量进行加密。 加密网络还使用虚拟子网上的数据报传输层安全性 (DTLS) 来加密数据包。 DTLS 可以保护你的数据不被访问物理网络的任何人窃听、篡改和伪造。
有关详细信息,请参阅加密网络。
防火墙审核
防火墙审核是 SDN 防火墙的一项新功能,用于记录已启用日志记录的 SDN 防火墙规则和访问控制列表 (ACL) 处理的任何流。
虚拟网络对等
使用虚拟网络对等互连可以无缝连接两个虚拟网络。 建立对等互连后,虚拟网络就会作为一个整体出现在监控中。
出口计量
出站计量为出站数据传输提供使用计量。 网络控制器使用此功能为每个虚拟网络保留 SDN 内使用的所有 IP 范围的允许列表。 这些列表将任何指向未包含在所列 IP 范围内的目的地的数据包视为出站数据传输计费。
存储
下面是我们对 Windows Server 2019 中的存储做出的一些更改。 存储还受重复数据删除更新的影响,特别是对 DataPort API 的更新,以便优化重复数据删除卷的入口或出口。
File Server Resource Manager
现在可以阻止文件服务器资源管理器服务启动时在所有卷上创建变更日志(也称为 USN 日志)。 通过阻止产生此更改,可以节省每个卷的空间,但会禁用实时文件分类。 有关详细信息,请参阅文件服务器资源管理器概述。
SMB
默认情况下,Windows Server 不再安装 SMB1 客户端和服务器。 此外,SMB2 及更高版本中作为来宾进行身份验证的功能默认情况下处于关闭状态。 有关详细信息,请查看在 Windows 10 版本 1709 和 Windows Server 版本 1709 及更高版本中默认不会安装 SMBv1。
现在,可以在 SMB2+ 中为旧版应用程序禁用 Oplock。 还可以要求客户端在每个连接的基础上进行签名或加密。 有关详细信息,请参阅 SMBShare PowerShell 模块帮助。
存储迁移服务
使用存储迁移服务可以更轻松地将服务器迁移到更高版本的 Windows Server。 此图形工具在服务器上列出数据,然后将数据和配置传输到较新的服务器。 存储迁移服务还可以将旧服务器的标识移动到新服务器,这样用户就不必重新配置其配置文件和应用。 有关详细信息,请参阅存储迁移服务。
Windows Admin Center 版本 1910 添加了部署 Azure 虚拟机的功能。 此更新将 Azure VM 部署集成到存储迁移服务中。 有关详细信息,请参阅 Azure VM 迁移。
在安装了 KB5001384 的 Windows Server 2019 上或在 Windows Server 2022 上运行存储迁移服务器业务流程协调程序时,还可以访问以下发布到制造后 (RTM) 功能:
- 将本地用户和组迁移到新服务器。
- 从故障转移群集迁移存储、迁移到故障转移群集,以及在独立服务器和故障转移群集之间迁移。
- 从使用 Samba 的 Linux 服务器迁移存储。
- 使用 Azure 文件同步更轻松地将已迁移的共享同步到 Azure 中。
- 迁移到 Azure 等新网络。
- 将 NetApp 通用 Internet 文件系统 (CIFS) 服务器从 NetApp 联合身份验证服务 (FAS) 阵列迁移到 Windows 服务器和群集。
存储空间直通
下面是存储空间直通中的新增功能。 有关如何获取经过验证的存储空间直通系统的详细信息,请参阅 Azure Stack HCI 解决方案概述。
用于 ReFS 卷的删除重复和压缩功能。 具有可选压缩功能的可变大小块存储可最大限度地提高节省率;而多线程后处理体系结构可最大程度地降低性能影响。 此功能支持高达 64 TB 的卷,并将对每个文件的前 4 MB 进行重复数据消除。
本机支持持久性内存,使你可以像 PowerShell 或 Windows Admin Center中的任何其他驱动器一样管理永久性内存。 此功能支持 Intel Optane DC PM 和 NVDIMM-N 持久性内存模块。
边缘处双节点超聚合基础结构的嵌套复原。 借助基于 RAID 5+1 的新软件复原选项,现在可以同时应对两次硬件故障。 双节点存储空间直通群集为应用和虚拟机提供持续可访问的存储,即使一个服务器节点发生故障,另一个服务器结点发生驱动器故障。
双服务器群集现在可以使用 U 盘作为见证。 如果在服务器出现故障后进行备份,则 U 盘群集知道哪个服务器有最新数据。 有关详细信息,请参阅我们的存储空间直通公告博客文章和为故障转移群集配置文件共享见证。
Windows Admin Center支持一个仪表板,可让你直接管理和监视存储空间直通。 可以监视从整体群集级别到单个 SSD 或 HDD 的 IOPS 和 IO 延迟,而无需额外付费。 若要了解详细信息,请参阅什么是 Windows Admin Center?。
性能历史记录是一项新功能,可轻松了解资源利用率和度量。 若要了解详细信息,请参阅存储空间直通的性能历史记录。
使用最多 64 个卷(最多 64 TB)的容量,每个群集可扩展到 4 PB。 还可以将多个群集拼接成一个群集集,以便在单个存储命名空间内实现更大的规模。
利用镜像加速奇偶校验,可以构建包含镜像和奇偶校验策略的存储空间直通卷,类似于 RAID-1 和 RAID-5/6 的混合。 镜像加速奇偶校验现在比 Windows Server 2016 快两倍。
驱动器延迟异常检测会自动识别 PowerShell 和 Windows Admin Center 中具有“异常延迟”状态的速度缓慢的驱动器。
手动分隔卷的分配以提高容错能力。 有关详细信息,请参阅分隔存储空间直通中的卷的分配。
存储副本
下面是存储副本中的新增功能。
存储副本现已在 Windows Server 2019 Standard Edition 和 Windows Server 2019 Datacenter Edition 中提供。 但是,使用 Standard Edition,只能复制一个卷,并且该卷的大小只能达到 2 TB。
测试故障转移是一项新功能,允许你在目标服务器上临时装载复制存储的快照,以便进行测试或备份。 有关详细信息,请参阅有关存储副本的常见问题。
存储副本日志性能改进,例如改进了全闪存储和相互复制的存储空间直通群集的复制吞吐量和延迟。
Windows Admin Center 支持,包括使用服务器管理器对服务器到服务器、群集到群集和拉伸群集复制进行图形化复制管理。
重复数据删除
Windows Server 2019 现在支持复原文件系统 (ReFS)。 通过 ReFS 使用 ReFS 文件系统的重复数据删除和压缩功能,可在同一卷上存储多达十倍的数据。 可变大小的区块存储附带了一种可选的压缩功能,可以最大程度地节省成本,而多线程后处理体系结构将性能影响降到最低。 ReFS 支持高达 64 TB 的卷,并将对每个文件的前 4 TB 进行重复数据消除。 若要了解详细信息,请参阅如何在 Windows Admin Center 中启用重复数据删除和压缩,以获取快速视频演示。
故障转移群集
我们在 Windows Server 2019 中为故障转移群集添加了以下功能:
群集集将多个群集组合成松散耦合的多个故障转移群集,这些群集有三种类型:计算、存储和超聚合。 这种分组增加了单个软件定义的数据中心 (SDDC) 解决方案中的服务器数量,超出了当前群集的限制。 使用群集集,可以在群集集内的群集之间移动联机虚拟机。 有关详细信息,请参阅部署群集集。
默认情况下,群集现在是 Azure 感知群集。 Azure 感知群集会自动检测它们何时在 Azure IaaS 虚拟机中运行,然后优化其配置以实现最高级别的可用性。 这些优化包括主动故障转移和记录 Azure 计划内维护事件。 自动优化使部署更加简单,因为不需要将负载均衡器配置为分布式网络名称作为群集名称。
跨域群集迁移使故障转移群集能够动态地从一个 Active Directory 域移动到另一个 Active Directory 域,简化了域整合,并允许硬件合作伙伴创建群集并在以后将其加入客户的域。
USB 见证功能允许你使用连接到网络交换机的 USB 驱动器作为见证,以确定群集仲裁。 此功能包括对任何符合 SMB2 标准的设备的扩展文件共享见证支持。
现在默认情况下启用 CSV 缓存,从而大幅提升了虚拟机性能。 MSDTC 现在支持群集共享卷,以允许在存储空间直通上部署 MSDTC 工作负载,例如 SQL Server。 增强型逻辑可利用自我修复检测分区节点,以恢复节点的群集成员身份。 增强型群集网络路由检测和自我修复。
现在集成了群集感知更新 (CAU),并可感知存储空间直通,验证并确保了每个节点上数据重新同步完成。 群集感知更新仅在必要时检查更新以智能重启。 此功能允许重启群集中的所有服务器进行计划内维护。
现在,可以在以下方案中使用文件共享见证:
由于远程位置导致 Internet 访问缺失或极差,从而阻止使用云见证。
磁盘见证缺少共享驱动器。 例如,不使用共享磁盘的配置,例如存储空间直通超聚合配置、SQL Server Always On 可用性组 (AG) 或 Exchange 数据库可用性组 (DAG)。
由于群集位于 DMZ 后面,因此缺少域控制器连接。
没有 Active Directory 群集名称对象 (CNO) 的工作组或跨域群集。 Windows Server 现在还阻止将 DFS 命名空间共享用作位置。 将文件共享见证添加到 DFS 共享可能会导致群集不稳定,因此我们从不支持此配置。 我们添加了用来检测共享是否使用 DFS 命名空间以及是否检测到 DFS 命名空间的逻辑,故障转移群集管理器会阻止创建见证服务器,并显示有关不受支持的错误消息。
已实现群集强化功能,可增强群集共享卷和存储空间直通通过服务器消息块 (SMB) 进行群集内部通信的安全性。 此功能利用证书提供尽可能安全的平台。 通过这样做,故障转移群集现在可以在不依赖 NTLM 的情况下运行,从而可以建立安全基线。
故障转移群集不再使用 NTLM 身份验证。 相反,Windows Server 2019 群集现在仅使用 Kerberos 和基于证书的身份验证。 用户无需进行任何更改或部署任何内容即可利用此安全增强功能。 此更改还允许在禁用 NTLM 的环境中部署故障转移群集。
应用程序平台
Windows 上的 Linux 容器
现在可以使用相同的 Docker 守护程序在同一容器主机上运行基于 Windows 和 Linux 的容器。 你现在可以使用异构容器主机环境,为应用程序开发人员提供灵活性。
针对 Kubernetes 的内置支持
Windows Server 2019 通过推出半年渠道版本不断改进计算、联网和存储功能,以支持 Kubernetes 在 Windows 上运行。 即将推出的 Kubernetes 版本中将提供更多详细信息。
Windows Server 2019 中的容器网络极大地提高了 Windows 上 Kubernetes 的可用性。 我们已增强平台网络复原能力以及对容器网络插件的支持。
在 Kubernetes 上部署的工作负荷能够利用网络安全性来保护使用嵌入式工具的 Linux 和 Windows 服务。
容器改进
改进了集成身份
我们简化了容器中的集成 Windows 身份验证并提高了其可靠性,解决了早期 Windows Server 版本中的几个限制。
提高了应用程序兼容性
实现基于 Windows 的应用程序的容器化变得更加简单:提高了现有 windowsservercore 映像的应用兼容性。 对于具有更多 API 依赖项的应用程序,现在还增加了第三个基本映像:windows。
占用空间更小,性能更高
基本容器映像的下载大小、在磁盘上的大小和启动时间都得到了改善,以加快容器工作流的处理速度。
使用 Windows Admin Center(预览版)的管理体验
现在,使用 Windows Admin Center 的新扩展,用户可以比以往更轻松地查看计算机上正在运行哪些容器并管理各个容器。 查找 Windows Admin Center 公共源中的“容器”扩展。
计算改进
VM 启动排序 VM 启动排序也通过 OS 和应用程序感知得到了改进,提供增强的触发器,在一个 VM 已启动、下一个 VM 未启动时触发。
利用对 VM 的存储类内存支持,可以在非易失性 DIMM 上创建 NTFS 格式的直接访问卷,并且可以向 Hyper-V VM 公开这些卷。 Hyper-V VM 现在能够利用存储类内存设备的低延迟性能优势。
Hyper-V VM 的永久性内存支持 为了在虚拟机中充分利用持久性内存(也称为存储类内存)的高吞吐量和低延迟,现在可以将它直接投影到虚拟机中。 永久性内存可帮助你大大降低数据库事务延迟或缩短出现故障时低延迟内存中数据库的恢复时间。
容器存储 - 永久性数据卷 应用程序容器现在具有对卷的持久访问权限。 有关详细信息,请参阅群集共享卷 (CSV)、存储空间直通 (S2D)、SMB 全局映射的容器存储支持。
虚拟机配置文件格式(更新) 已为配置版本为 8.2 及更高版本的虚拟机添加了 VM 来宾状态文件 (
.vmgs
)。 VM 来宾状态文件包括设备状态信息(以前是 VM 运行时状态文件的一部分)。
加密网络
加密网络 - 虚拟网络加密允许对在标记为启用加密的子网内相互通信的虚拟机之间的虚拟网络流量进行加密。 它还利用虚拟子网上的数据报传输层安全性 (DTLS) 来加密数据包。 DTLS 可以防止能够访问物理网络的任何人进行窃听、篡改和伪造。
虚拟工作负荷的网络性能提升
虚拟工作负荷的网络性能提升可最大程度地提升虚拟机的网络吞吐量,无需不断地调整或过度预配主机。 提升后的性能可降低操作和维护成本,同时提高主机的可用密度。 这些新功能包括:
动态虚拟机多队列 (d.VMMQ)
在 vSwitch 中接收段合并
低额外延迟后台传输
低额外延迟后台传输 (LEDBAT) 是一款针对延迟进行优化的网络拥塞控制提供程序,旨在自动产生为用户和应用程序分配的带宽。 LEDBAT 在网络未使用时使用可用带宽。 此技术用于在整个 IT 环境中部署较大的关键更新,而不会影响面向客户的服务和关联带宽。
Windows 时间服务
Windows 时间服务包括符合 UTC 标准的闰秒级支持、称为精确时间协议的新时间协议和端到端可追溯性。
高性能 SDN 网关
Windows Server 2019 中的高性能 SDN 网关极大地提高了 IPsec 和 GRE 连接的性能,在显著降低 CPU 使用率的同时提供超高性能吞吐量。
用于 SDN 的新部署 UI 和 Windows Admin Center 扩展
现在,借助 Windows Server 2019,可以通过用于充分利用 SDN 的新部署 UI 和 Windows Admin Center 扩展来轻松实现部署和管理。
适用于 Linux 的 Windows 子系统 (WSL)
WSL 使服务器管理员可以使用 Windows Server 上的 Linux 中的现有工具和脚本。 命令行博客中展示的许多改进现在都是 Windows Server 的一部分,包括后台任务、DriveFS、WSLPath 和更多其他内容。
Active Directory 联合身份验证服务
适用于 Windows Server 2019 的 Active Directory 联合身份验证服务 (AD FS) 包括以下更改。
受保护的登录
AD FS 的受保护登录现在包括以下更新:
用户现在可以将第三方身份验证产品作为首要因素,而无需公开密码。 在外部身份验证提供程序可以证明两个因素的情况下,其可以使用多重身份验证 (MFA)。
用户现在可以在使用非密码选项作为首要因素后,将密码作为额外因素。 这种内置支持改善了 AD FS 2016 的整体体验,AD FS 2016 需要下载 GitHub 适配器。
用户现在可以生成自己的插件风险评估模块,以在预身份验证阶段阻止特定类型的请求。 此功能使使用云智能(如标识保护)来阻止风险用户或交易变得更加容易。 有关详细信息,请参阅使用 AD FS 2019 风险评估模型生成插件。
通过添加以下功能,改进 Extranet 智能锁定 (ESL) 快速修复工程 (QFE):
现在,你可以在受经典 Extranet 锁定功能保护的同时使用审核模式。
用户现在可以对熟悉的位置使用独立的锁定阈值。 使用此功能,可以在公共服务帐户中运行多个应用实例,以便在最小程度上中断密码。
其他安全改进
AD FS 2019 包括以下安全改进:
使用 SmartCard 登录的远程 PowerShell 允许用户通过运行 PowerShell 命令通过智能卡远程连接到 AD FS。 用户还可以使用此方法管理所有 PowerShell 函数,包括多节点 cmdlet。
HTTP 标头自定义允许用户自定义在 AD FS 响应期间创建的 HTTP 标头。 标头自定义包括以下类型的标头:
HSTS,它仅允许在 HTTPS 终结点上使用 AD FS 终结点,以便合规浏览器强制执行。
X-frame-options,使 AD FS 管理员可允许特定信赖方为 AD FS 交互式登录页面嵌入 iFrame。 只应在 HTTPS 主机上使用此标头。
未来的标头。 还可以配置多个未来的标头。
有关详细信息,请参阅使用 AD FS 2019 自定义 HTTP 安全响应标头。
身份验证和策略功能
AD FS 2019 包含以下身份验证和策略功能:
用户现在可以创建规则来指定部署调用哪个身份验证提供程序进行额外身份验证。 此功能有助于在身份验证提供程序之间转换,并保护对额外身份验证提供程序有特殊要求的特定应用。
基于传输层安全性 (TLS) 的设备身份验证的可选限制,以便只有需要 TLS 的应用程序才能使用它们。 客户可以将基于客户端 TLS 的设备身份验证仅限于执行基于设备的条件访问的应用程序。 此功能可防止对不需要基于 TLS 的设备身份验证的应用程序发出不必要的设备身份验证提示。
AD FS 现在支持根据第二因素凭据的新鲜度重新执行第二因素凭据。 此功能允许用户在第一个事务时只需要 TFA,然后在定期的基础上只需要第二个因素。 只能在可以在请求中提供额外参数的应用程序上使用此功能,因为它不是 AD FS 中的可配置设置。 如果你在 Microsoft Entra ID 联合域信任设置中,将在 X 天内记住我的 MFA 设置配置为将 supportsMFA 设置为 True,则 Microsoft Entra ID 支持此参数。
单一登录改进
AD FS 2019 还包括以下单一登录 (SSO) 改进:
AD FS 现在使用分页的 UX 流和中心用户界面 (UI),为用户提供更流畅的登录体验。 此更改反映了 Azure AD 中提供的功能。 可能需要更新组织的徽标和背景图像,以适应新的 UI。
我们修复了在 Windows 10 设备上使用主刷新令牌 (PRT) 身份验证时导致 MFA 状态不持久的问题。 现在,应该不那么频繁地提示用户输入第二因素凭据。 现在,当设备身份验证在客户端 TLS 和 PRT 身份验证上成功时,体验应保持一致。
对生成新式业务线应用的支持
AD FS 2019 包括以下功能,以支持构建新式业务线 (LOB) 应用:
AD FS 现在包括 OAuth 设备流配置文件支持,用于使用没有 UI 外围应用的设备登录,以支持丰富的登录体验。 此功能允许用户在不同的设备上完成登录。 Azure Stack 中的 Azure 命令行接口 (CLI) 体验需要此功能,也可以在其他方案中使用它。
不再需要 Resource 参数使用 AD FS,这符合当前的 OAUth 规范。 客户端现在只需要提供依赖方信任标识符作为 scope 参数,并提供请求的权限。
可以使用 AD FS 响应中的跨源资源共享 (CORS) 标头。 这些新标题允许用户生成单页应用程序,其允许客户端 JavaScript 库通过从 AD FS 上的 Open ID Connect (OIDC) 发现文档中查询签名密钥来验证 id_token 签名。
AD FS 包括对 OAuth 中安全身份验证代码流的用于代码交换的证明密钥 (PKCE) 支持。 这一额外的安全层可以防止恶意参与者劫持代码并从不同的客户端重放代码。
我们修复了导致 AD FS 仅发送 x5t 声明的次要问题。 AD FS 现在还发送一个儿童声明,表示用于签名验证的密钥 ID 提示。
可支持性改进
管理员现在可以配置 AD FS,允许用户将错误报告和调试日志以 ZIP 文件的形式发送给他们,以便进行故障排除。 管理员还可以配置简单邮件传输协议 (SMTP) 连接,以自动将 ZIP 文件发送到分类电子邮件帐户。 另一个设置允许管理员基于该电子邮件自动为其支持系统创建票证。
部署更新
AD FS 2019 中现已包含以下部署更新:
- AD FS 具有与其 Windows Server 2016 版本类似的功能,可以更容易地将 Windows Server 2016 服务器场升级到 Windows Server 2019 服务器场。 添加到 Windows Server 2016 服务器场的 Windows Server 2019 服务器在你准备升级之前,其行为只会像 Windows Server 2016 服务器一样。 有关详细信息,请参阅升级到 Windows Server 2016 中的 AD FS。
SAML 更新
AD FS 2019 包含以下安全断言标记语言 (SAML) 更新:
我们在这些方面修复了聚合联合身份验证支持中的问题,例如 InCommon:
改善了聚合联合元数据文档中许多实体的缩放。 以前,这些实体的缩放不会成功,并返回 ADMIN0017 错误消息。
现在,可以通过运行
Get-AdfsRelyingPartyTrustsGroup
PowerShell cmdlet,使用 ScopeGroupID 参数进行查询。改进了对重复 entityID 值的错误情况的处理。
范围参数中的 Azure AD 样式资源规范
之前,AD FS 要求所需的资源和范围在任何身份验证请求中都位于单独参数中。 例如,以下示例 OAuth 请求包含一个 scope 参数:
https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login
借助 Windows Server 2019 上的 AD FS,你现在可以传递嵌入在 scope 参数中的资源值。 此更改与针对 Microsoft Entra ID 的身份验证一致。
现在可以将 scope 参数组织成一个用空格分隔的列表,其中每个实体的结构都作为资源/范围。
注意
只能在身份验证请求中指定一个资源。 如果你在请求中包含多个资源,则 AD FS 将返回错误,且身份验证将失败。