Windows Server 2019 的新功能
本文說明 Windows Server 2019 中的一些新功能。 Windows Server 2019 建置在 Windows Server 2016 的強大基礎上,並在四個關鍵主題上帶來多項改革:混合式雲端、安全性、應用程式平台和超融合式基礎結構 (HCI)。
一般
Windows Admin Center
Windows Admin Center 是以瀏覽器為基礎在本機部署的應用程式,用於管理伺服器、叢集、超融合式基礎結構以及 Windows 10 電腦。 除了 Windows 本身以外,不需額外支付費用,而且可立即投入生產環境中使用。
您可以在 Windows Server 2019、Windows 10 和舊版 Windows 及 Windows Server 上安裝 Windows Admin Center,並用它來管理執行 Windows Server 2008 R2 和更新版本的伺服器及叢集。
如需詳細資訊,請參閱 Windows Admin Center。
桌面體驗
因為 Windows Server 2019 是長期維護通道 (LTSC) 發行,所以包含桌面體驗。 半年通道 (SAC) 版本的設計不包括桌面體驗:它們嚴格是 Server Core 和 Nano Server 容器映像版本。 和 Windows Server 2016 一樣,在安裝作業系統期間,您可以選擇核心安裝或含桌面體驗的伺服器安裝。
系統深入解析
系統深入解析是 Windows Server 2019 中的新功能,讓 Windows Server 擁有原生的本機預測分析功能。 這些預測功能都是由機器學習模型提供支援,在本機分析 Windows Server 系統資料,例如效能計數器和事件。 系統深入解析可讓您瞭解伺服器的運作方式,協助您減少 Windows Server 部署中被動式管理問題的相關營運費用。
混合式雲端
Server Core 應用程式相容性功能隨選安裝
Server Core 應用程式相容性功能隨選安裝 (FOD) 透過納入包含桌面體驗的 Windows Server 二進位檔和元件子集,藉以大幅改善應用程式相容性。 Server Core 不會新增 Windows Server 桌面體驗圖形化環境本身,進而增加功能和相容性,讓 Server Core 盡可能精簡。
這個選用的功能隨選安裝可用於不同的 ISO,僅能使用 DISM 新增到 Windows Server Core 安裝和映像。
新增至 Server Core 的 Windows 部署服務 (WDS) 傳輸伺服器角色
傳輸伺服器僅包含 WDS 的核心網路組件。 您現在可以使用擁有傳輸伺服器角色的 Server Core 來建立可從獨立伺服器傳輸資料 (包括作業系統映像) 的多點傳送命名空間。 如果您想要有可讓用戶端進行 PXE 開機並自行下載自訂安裝應用程式的 PXE 伺服器,也可以使用該功能。
遠端桌面服務與 Azure AD 整合
有了 Azure AD 整合,您可以搭配其他使用 Azure AD 的 SaaS 應用程式運用條件式存取原則、多重要素驗證、整合式驗證,以及更多其他功能。 如需詳細資訊,請參閱將 Azure AD 網域服務與 RDS 部署整合。
網路
我們已改善核心網路堆疊,例如 TCP 快速開啟 (TFO)、接收窗口自動調整、IPv6 等等。 如需詳細資訊,請參閱 核心網路堆疊功能改進 文章。
動態 vRSS 和 VMMQ
過去,虛擬機佇列和虛擬機多佇列(VMMQs)在網路輸送量第一次達到 10GbE 標記和更新版本時,可對個別 VM 啟用更高的輸送量。 不幸的是,成功所需的規劃、基礎、調整和監視,比IT系統管理員預期的要大得多。
Windows Server 2019 會視需要動態分散和調整網路工作負載的處理,來改善這些優化。 Windows Server 2019 可確保尖峰效率,並卸下 IT 系統管理員在設定上的負擔。 若要深入瞭解,請參閱 Azure 本機主機網路需求。
安全性
Windows Defender Advanced Threat Protection (ATP)
ATP 的深度平台感應器和回應動作會公開記憶體和核心層級攻擊,並透過隱藏惡意檔案和終止惡意處理程序來因應。
如需有關 Windows Defender ATP 的詳細資訊,請參閱 Windows Defender ATP 功能概觀 (英文)。
如需上架伺服器的詳細資訊,請參閱將伺服器上架到 Windows Defender ATP 服務]。
Windows Defender ATP 惡意探索防護是一組新的主機入侵防護功能,可讓您平衡安全性風險和生產力需求。 Windows Defender 惡意探索防護 (WDEG) 是為了要鎖定裝置,以防止各種攻擊媒介,並封鎖惡意程式碼攻擊中常用的行為。 這些元件是:
受攻擊面縮小 (ASR) 是一組控件,企業可藉由封鎖可疑的惡意檔案,防止惡意代碼進入機器。 例如,Office 檔案、指令碼、橫向移動、勒索軟體行為以及電子郵件型威脅。
網路保護透過 Windows Defender SmartScreen 阻止裝置上任何傳向不受信任主機/IP 位址的輸出程序,保護端點免受到 Web 型威脅。
受控資料夾存取權會阻止不受信任的處理程序存取受保護的資料夾,進而保護敏感性資料免受勒索軟體侵害。
惡意探索保護是一組弱點攻擊防護功能 (取代 EMET),可以輕鬆設定來保護您的應用程式和系統。
Windows Defender 應用程式控制 (也稱為程式碼完整性 (CI) 原則) 在 Windows Server 2016 推出。 我們納入預設 CI 原則,讓部署更加容易。 預設原則允許所有 Windows 隨附檔案和 Microsoft 應用程式 (例如 SQL Server),並封鎖可略過 CI 的已知執行檔。
軟體定義網路 (SDN) 的安全性
SDN 的安全性提供許多功能以提高執行中工作負載的客戶信賴度,無論是內部部署或是雲端中服務提供者的形式。
這些安全性增強功能已整合至 Windows Server 2016 中推出的完整 SDN 平台。
如需 SDN 中新功能的完整清單,請參閱 Windows Server 2019 之 SDN 的新功能。
受防護虛擬機器改進功能
我們對受防護 虛擬機器 進行了下列改進。
分公司改進功能
您現在可以運用全新的遞補 HGS 和離線模式功能,在間歇連線到主機守護者服務的電腦上運行受防護的虛擬機器。 遞補 HGS 可讓您為 Hyper-V 設定第二組 URL,在無法連線到主要 HGS 伺服器時可嘗試使用。
即使您無法連線到 HGS,離線模式仍可讓您繼續啟動受防護的 VM。 離線模式也可讓您啟動 VM,只要 VM 已成功啟動一次,且主機的安全性設定尚未變更。
疑難排解改進功能
我們也可讓您更輕鬆地針對受防護的 VM 進行疑難解答,方法是啟用 VMConnect 增強會話模式和 PowerShell Direct 的支援。 當您失去 VM 的網路連線,且需要更新其組態以還原存取時,這些工具非常有用。 若要深入瞭解,請參閱 受防護網狀架構和受防護的 VM。
您不需要設定這些功能,因為當您在執行 Windows Server 1803 版或更新版本的 Hyper-V 主機上放置受防護的 VM 時,這些功能會自動提供。
Linux 支援
如果您執行混合的作業系統環境,Windows Server 2019 現在支援在受防護的虛擬機器中執行 Ubuntu、Red Hat Enterprise Linux 和 SUSE Linux Enterprise Server。
適用於更快速、更安全之網站的 HTTP/2
改善連線聯合,以提供不中斷及正確加密的瀏覽體驗。
升級 HTTP/2 的伺服器端加密套件交涉,可自動緩解連線失敗且容易部署。
將我們的預設 TCP 擁塞提供者變更為 Cubic,為您提供更多輸送量!
加密的網路
虛擬網路加密對具有 「已啟用加密」 標籤的子網路中的虛擬機之間的虛擬網路流量進行加密。 加密的網路也利用虛擬子網路上的資料包傳輸層安全性 (DTLS) 來加密封包。 DTLS 可保護您的資料免於任何有權存取實體網路的人竊聽、竄改和偽造。
如需詳細資訊,請參閱加密的網路。
防火牆稽核
防火牆稽核是 SDN 防火牆的一項新功能,可記錄 SDN 防火牆規則和已啟用記錄之存取控制清單 (ACL) 處理的任何流量。
虛擬網路對等互連
虛擬網路對等互連可讓您順暢地將兩個虛擬網路連線。 對等互連後,虛擬網路就會作為一個整體出現在監控中。
輸出計量
輸出計量提供輸出資料傳輸的使用計量。 網路控制站會使用這項功能來保留每個虛擬網路之 SDN 內使用之所有 IP 範圍的允許清單。 這些清單將任何前往未包含在列出的 IP 範圍內之目的地的封包,視為輸出資料傳輸進行計費。
儲存體
以下是我們對 Windows Server 2019 中記憶體所做的一些變更。 記憶體也會受到重複資料刪除更新的影響,特別是其 DataPort API 的更新,以便優化輸出或輸出重複資料刪除磁碟區。
檔案伺服器資源管理員
現在起,可以防止檔案伺服器資源管理員服務於啟動時會在所有磁碟區上建立變更日誌 (也稱為 USN 日誌)。 防止建立變更旅程圖可以節省每個磁碟區的空間,但會停用即時檔案分類。 如需詳細資訊,請參閱檔案伺服器資源管理員概觀。
SMB
Windows Server 預設不會再安裝 SMB1 用戶端和伺服器。 此外,在 SMB2 和更新版本中以客體身分驗證的功能也預設為關閉。 如需詳細資訊,請參閱 Windows 10 1709 版本和 Windows Server 1709 版本未預設安裝 SMBv1。
您現在可以針對舊版應用程式停用SMB2+中的oplock。 您也可以從用戶端要求個別連線簽署或加密。 如需詳細資訊,請參閱 SMBShare PowerShell 模組說明。
儲存體移轉服務
儲存空間移轉服務可讓您更輕鬆地將伺服器遷移至較新版本的 Windows Server。 此圖形工具可清查伺服器上的資料,然後將資料和組態轉送至較新的伺服器。 儲存體移轉服務也可將舊伺服器的身分識別移至新的伺服器,讓使用者不需要重新設定其設定檔和應用程式。 如需詳細資訊,請參閱儲存體移轉服務。
Windows Admin Center 1910 版新增了部署 Azure 虛擬機器的功能。 此更新會將 Azure VM 部署整合到儲存體移轉服務。 如需詳細資訊,請參閱 Azure VM 移轉。
在安裝了KB5001384 的 Windows Server 2019 或 Windows Server 2022 上執行儲存體移轉伺服器協調器時,您也可以存取下列發佈後到製造 (RTM) 功能:
- 將本機使用者和群組移轉到新伺服器。
- 將儲存空間移出或移入容錯移轉叢集,以及在獨立伺服器和容錯移轉叢集之間移轉。
- 從使用 Samba 的 Linux 伺服器移轉儲存空間。
- 使用 Azure 檔案同步,更輕鬆地同步已移轉至 Azure 的共用。
- 移轉至 Azure 等新網路。
- 將 NetApp 通用網際網路檔案系統 (CIFS) 伺服器從 NetApp 同盟驗證服務 (FAS) 陣列移轉到 Windows 伺服器和叢集。
儲存空間直接存取
以下是 儲存空間直接存取 的新功能。 如需取得已驗證儲存空間直接存取系統的詳細資訊,請參閱 Azure 本地解決方案概觀 。
ReFS 磁碟區的重複資料刪除和壓縮。 具有選擇性壓縮的可變大社區塊存放區可最大化節省速率,而多線程後處理架構可將效能影響降到最低。 此功能支援最多 64 TB 的磁碟區,並重複資料刪除每個檔案的前 4 MB。
持續性記憶體的原生支援,可讓您像 PowerShell 或 Windows Admin Center 中的其他任何磁碟驅動器一樣管理持續性記憶體。 此功能支援 Intel Optane DC PM 和 NVDIMM-N 持續性記憶體模組。
邊緣雙節點超交集基礎結構的巢狀復原能力。 有了以RAID 5+1為基礎的新軟體復原選項的協助,您現在可以同時在兩個硬體故障中倖存下來。 雙節點 儲存空間直接存取 叢集為應用程式和虛擬機提供持續存取的記憶體,即使一個伺服器節點關閉,另一個伺服器節點發生磁碟驅動器失敗也一樣。
雙伺服器叢集現在可以使用USB快閃磁碟驅動器作為見證。 如果伺服器關閉然後再備份,USB 磁碟機叢集仍然會知道哪個伺服器具有最新的資料。 如需詳細資訊,請參閱我們的 儲存空間直接存取 公告部落格文章和設定故障轉移叢集的檔案共享見證。
Windows Admin Center 支援儀錶板,可讓您管理及監視 儲存空間 直接存取。 您可以監視從整體叢集層級向下到個別 SSD 或 HDD 的 IOPS 和 IO 延遲,不需額外費用。 若要深入瞭解,請參閱 什麼是 Windows Admin Center?。
效能歷程記錄是一項新功能,可讓您輕鬆查看資源使用率和測量。 若要深入瞭解,請參閱 儲存空間直接存取的效能歷程記錄。
使用高達 64 TB 的容量,為每個叢集相應增加最多 4 PB。 您也可以將多個叢集合並成叢集,以在單一記憶體命名空間內進行更大的規模調整。
藉由利用鏡像加速同位,可以建構同時納入鏡像和同位策略的 儲存空間直接存取 磁碟區,類似於RAID-1和RAID-5/6的混合。 鏡像加速同位現在比 Windows Server 2016 快兩倍。
磁碟驅動器延遲極端值偵測會自動識別 PowerShell 和 Windows Admin Center 中具有「異常延遲」狀態的慢速磁碟驅動器。
手動分隔磁碟區配置以增加容錯。 如需詳細資訊,請參閱分隔 儲存空間直接存取 中的磁碟區配置。
儲存體複本
以下是儲存體複本中的新功能。
儲存體複本現在可在 Windows Server 2019 Standard Edition 和 Windows Server 2019 Datacenter Edition 中使用。 不過,使用 Standard Edition 時,您只能復寫一個磁碟區,而且該磁碟區的大小只能高達 2 TB。
測試故障轉移是一項新功能,可讓您暫時在目的地伺服器上掛接複寫記憶體的快照集,以供測試或備份之用。 如需詳細資訊,請參閱 記憶體複本的常見問題。
記憶體複本記錄效能改善,例如改善全快閃記憶體上的復寫輸送量和延遲,以及彼此之間複寫的 儲存空間直接存取 叢集。
Windows Admin Center 支援,包括使用伺服器對伺服器、叢集對叢集和延展式叢集復寫的 伺服器管理員 進行復寫的圖形化管理。
重複資料刪除
Windows Server 2019 現在支援復原文件系統 (ReFS)。 ReFS 可讓您在相同磁碟區上儲存最多 10 倍的數據,並針對 ReFS 檔案系統進行重複資料刪除和壓縮。 可變大小的區塊存放區隨附選擇性的壓縮功能,可將節省率最大化,而多線程後處理架構可讓效能影響降到最低。 ReFS 支援最多 64 TB 的磁碟區,並重複資料刪除每個檔案的前 4 TB。 若要深入瞭解,請參閱 如何在 Windows Admin Center 中開啟重複數據刪除和壓縮,以取得快速影片示範。
容錯移轉叢集
我們已將下列功能新增至 Windows Server 2019 中的故障轉移叢集:
叢集會將多個叢集群組在一起,組成多個故障轉移叢集的鬆散結合群組,這些叢集分為三種類型:計算、記憶體和超交集。 此群組會將單一軟體定義資料中心 (SDDC) 解決方案中的伺服器數目提高到叢集目前的限制之外。 使用叢集集,您可以在叢集內的叢集之間移動在線虛擬機。 如需詳細資訊,請參閱 部署叢集。
叢集現在預設為 Azure 感知。 Azure 感知叢集會在 Azure IaaS 虛擬機中執行時自動偵測,然後將其設定優化,以達到最高層級的可用性。 這些優化包括主動式故障轉移和記錄 Azure 計劃性維護事件。 自動化優化可藉由移除為叢集名稱設定分散式網路名稱的負載平衡器,讓部署更簡單。
跨網域叢集移轉可讓故障轉移叢集動態地從一個 Active Directory 網域移至另一個網域,簡化網域整合,並允許硬體合作夥伴建立叢集,並在稍後將其加入客戶的網域。
USB 見證功能可讓您使用連結至網路交換器的USB磁碟驅動器作為判斷叢集仲裁的見證。 此功能包含任何SMB2相容裝置的延伸檔案共享見證支援。
CSV 快取現在預設為啟用,以提升虛擬機器效能。 MSDTC 現在支援叢集共用磁碟區,以允許在 儲存空間直接存取 上部署 MSDTC 工作負載,例如使用 SQL Server。 偵測分割節點的增強型邏輯,並進行讓節點回到叢集成員資格的自我修復。 增強型叢集網路路由偵測和自我修復。
叢集感知更新 (CAU) 現在已整合並注意到儲存空間直接存取,驗證並確保每個節點上的資料重新同步處理完成。 叢集感知更新只會在必要時檢查更新,以聰明的方式重新啟動。 此功能可讓您重新啟動叢集中的所有伺服器以進行計劃性維護。
您現在可以在下列案例中使用檔案共享見證:
由於遠端位置而缺少網際網路存取或網際網路存取不佳,導致無法使用雲端見證。
磁碟見證缺少共用磁碟機。 例如,不使用共用磁碟的設定,例如 儲存空間直接存取 超融合組態、SQL Server Always On 可用性群組(AG)或 Exchange 資料庫可用性群組(DAG)。
由於叢集位於 DMZ 後方,因此缺少域控制器連線。
沒有 Active Directory 叢集名稱物件 (CNO) 的工作組或跨網域叢集。 Windows Server 現在也會封鎖使用 DFS 命名空間共用作為位置。 將檔案共用見證新增至 DFS 共用可能會導致叢集的穩定性問題,而且從未支援此設定。 我們已新增偵測共用是否使用 DFS 命名空間的邏輯,且如果偵測到 DFS 命名空間,容錯移轉叢集管理員會封鎖見證建立作業,並顯示不支援的錯誤訊息。
已實作叢集強化功能,可增強叢集共用磁碟區和 儲存空間直接存取 的伺服器消息塊 (SMB) 內部叢集通訊安全性。 這項功能會利用憑證來盡可能提供最安全的平臺。 藉由這麼做,故障轉移叢集現在可以在NTLM上運作,而不需要任何相依性,即可建立安全性基準。
容錯移轉叢集不再使用 NTLM 驗證。 相反地,Windows Server 2019 叢集現在只使用 Kerberos 和憑證型驗證。 使用者不需要進行任何變更或部署任何專案,即可利用這項安全性增強功能。 這項變更也可讓您在停用NTLM的環境中部署故障轉移叢集。
應用程式平台
Windows 上的 Linux 容器
現在可以使用相同的 Docker 精靈,在相同容器主機上執行 Windows 和 Linux 容器。 您現在可以擁有異質性容器主機環境,提供彈性給應用程式開發人員。
Kubernetes 的內建支援
Windows Server 2019 會透過支援 Windows 上的 Kubernetes 所需的半年通道發行版本,持續改進計算、網路功能和儲存空間。 即將推出的 Kubernetes 版本中會提供更多詳細資料。
Windows Server 2019 中的容器網路功能 可大幅改善 Windows 上 Kubernetes 的可用性。 我們已強化平台網路復原能力,並支援容器網路功能外掛程式。
Kubernetes 上的部署工作負載將能使用網路安全性,使用內嵌工具來保護 Linux 和 Windows 服務。
容器改進功能
改進整合式身分識別
我們將容器中的整合式 Windows 驗證調整的更簡單也更可靠,以解決舊版 Windows Server 中的數個限制。
改善應用程式相容性
容器化 Windows 型應用程式變得更簡單:已增加現有 windowsservercore 映像之現有應用程式相容性。 對於需相依於更多 API 的應用程式,目前有第三個基本映像:windows。
縮小尺寸、提高效能
已改善基本容器映像下載大小、磁碟大小和開機時間,從而加速容器工作流程。
使用 Windows Admin Center 管理體驗 (預覽)
我們已透過 Windows Admin Center 的新擴充功能,大幅簡化查看哪些容器正在您的電腦上執行以及管理個別容器。 請至 Windows Admin Center 公用摘要尋找 "Containers" 擴充功能。
計算改進項目
VM 啟動順序VM 啟動順序也會透過作業系統及應用程式感知獲得改善,提供有關在何時先將 VM 視為已啟動再啟動下一個 VM 方面增強的觸發程序。
對 VM 的存放裝置類別記憶體支援可讓 NTFS 格式的直接存取磁碟區建立在非揮發性 DIMM 上並公開給 Hyper-V VM。 Hyper-V VM 現在可運用存放裝置類別記憶體裝置的低延遲效能優勢。
Hyper-V VM 的持續記憶體支援 若要在虛擬機器中使用高輸送量和低延遲的永續性記憶體 (又稱為存放裝置類別記憶體),現在可以直接投影到 VM 中。 持續性記憶體可協助大幅降低資料庫交易延遲或降低故障時低延遲記憶體中資料庫的修復時間。
容器儲存空間 – 持續性資料磁碟區 應用程式容器現在可持續存取磁碟區。 如需詳細資訊,請參閱叢集共用磁碟區 (CSV)、儲存空間直接存取 (S2D)、SMB 全域對應的相關容器儲存空間支援。
虛擬機器組態檔格式 (更新) 已針對設定版本為 8.2 和更新版本的虛擬機器新增 VM 客體狀態檔案 (
.vmgs
)。 VM 客體狀態檔案包含先前屬於 VM 執行階段狀態檔案一部分的裝置狀態資訊。
加密的網路
加密的網路 - 虛擬網路加密可讓虛擬網路流量在彼此於標示為「加密已啟用」的子網路內通訊的虛擬機器之間進行加密。 這項功能也利用虛擬子網路上的資料包傳輸層安全性 (DTLS) 來加密封包。 DTLS 提供保護以防止任何可存取實體網路的人進行竊聽、竄改和偽造。
虛擬工作負載的網路效能改進功能
虛擬工作負載的網路效能改進功能無需您不斷調整或過度佈建主機,即可將輸送到虛擬機器的網路輸送量發揮至極致。 增進效能可降低作業和維護成本,同時提高主機的可用密度。 這些新功能包括︰
動態虛擬機器多佇列 (d.VMMQ)
在 vSwitch 中接收區段聯合
低額外延遲背景傳輸
低額外延遲背景傳輸 (LEDBAT) 是最佳化延遲的網路壅塞控制提供者,專門設定來自動產生頻寬給使用者和應用程式。 LEDBAT 會在網路未使用時消耗可用頻寬。 這項技術適用於在 IT 環境部署大型重大更新,而不至於影響客戶面向服務和相關聯的頻寬。
Windows Time 服務
Windows Time 服務包含真實 UTC 相容閏秒支援、稱為「精確時間時間通訊協定」的新時間通訊協定,以及端對端可追蹤性。
高效能 SDN 閘道
Windows Server 2019 中的高效能 SDN 閘道大幅改善 IPsec 和 GRE 連線的效能,使用更少 CPU 即可提供超高效能輸送量。
適用於 SDN 的新部署 UI 以及 Windows Admin Center 擴充功能
現在,使用 Windows Server 2019,透過新的部署 UI 和 Windows Admin Center 擴充功能輕鬆進行部署與管理,可讓任何人運用 SDN 的強大功能。
適用於 Linux 的 Windows 子系統 (WSL)
WSL 可讓伺服器系統管理員從 Windows Server 上的 Linux 使用現有工具及指令碼。 許多在命令列部落格中展示的改進功能現在已是 Windows Server 中的一部分,包括背景工作、DriveFS、WSLPath 等等。
Active Directory 同盟服務
適用於 Windows Server 2019 的 Active Directory 同盟服務 (AD FS) 包含下列變更。
受保護的登入
使用 AD FS 的受保護登入現在包含下列更新:
用戶現在可以使用第三方驗證產品作為其第一個因素,而不需要公開密碼。 如果外部驗證提供者可以證明兩個因素,則可以使用多重要素驗證 (MFA)。
用戶現在可以使用密碼作為額外因素,再使用非密碼選項作為第一個因素。 此內建支援可改善 AD FS 2016 的整體體驗,而 AD FS 2016 需要下載 GitHub 配接器。
用戶現在可以建置自己的外掛程式風險評估模組,以在預先驗證階段封鎖特定類型的要求。 這項功能可讓您更輕鬆地使用雲端智慧,例如身分識別保護來封鎖有風險的使用者或交易。 如需詳細資訊,請參閱使用 AD FS 2019 風險評估模型建置外掛程式。
藉由新增下列功能,改善外部網路智慧鎖定 (ESL) 快速修正工程 (QFE):
您現在可以在受傳統外部網路鎖定功能保護的同時,使用稽核模式。
用戶現在可以針對熟悉的位置使用獨立的鎖定閾值。 這項功能可讓您在一般服務帳戶內執行多個應用程式實例,以在最少中斷的情況下變換密碼。
其他安全性改善
AD FS 2019 包含下列安全性改進:
使用 SmartCard 登入的遠端 PowerShell 可讓使用者透過執行 PowerShell 命令,透過 SmartCards 遠端連線到 AD FS。 使用者也可以使用此方法來管理所有 PowerShell 函式,包括多節點 Cmdlet。
HTTP 標頭自定義可讓使用者自定義在 AD FS 回應期間建立的 HTTP 標頭。 標頭自訂包含下列類型的標頭:
HSTS,它只可讓您在 HTTPS 端點上使用 AD FS 端點,以強制執行相容的瀏覽器。
X-frame-options,可讓 AD FS 系統管理員允許特定信賴憑證者內嵌適用於 AD FS 互動式登入頁面的 iFrame。 您應該只在 HTTPS 主機上使用此標頭。
未來的標頭。 您也可以設定多個未來的標頭。
如需詳細資訊,請參閱使用 AD FS 2019 自訂 HTTP 安全性回應標頭。
驗證和原則功能
AD FS 2019 包含下列驗證和原則功能:
用戶現在可以建立規則,以指定其部署叫用哪個驗證提供者進行額外的驗證。 這項功能有助於在驗證提供者之間轉換,以及保護對額外驗證提供者有特殊需求的特定應用程式。
傳輸層安全性 (TLS) 型裝置驗證的選擇性限制,讓只有需要 TLS 的應用程式可以使用它們。 使用者可以限制用戶端 TLS 型裝置驗證,以便只有執行裝置型條件式存取的應用程式可以使用它們。 此功能可防止不需要針對不需要 TLS 型裝置驗證的應用程式,提示裝置驗證。
AD FS 現在支持根據第二因素認證新鮮度重做第二因素認證。 此功能可讓使用者只需要第一筆交易的 TFA,然後只需要定期的第二個因素。 您只能在可在要求中提供額外參數的應用程式上使用這項功能,因為它不是AD FS中的可設定設定。 如果您 將 [記住我的 MFA for X Days ] 設定 為在 Microsoft Entra ID 同盟網域信任設定中將 supportsMFA 設定為 True ,則 Microsoft Entra ID 支援此參數。
單一登入改善
AD FS 2019 也包含下列單一登入 (SSO) 改善:
AD FS 現在使用 編頁 UX 流程 和置中使用者介面 (UI),為使用者提供更順暢的登入體驗。 此變更鏡像 Azure AD 中所提供的功能。 您可能需要更新組織的標誌和背景影像,以符合新的UI。
我們已修正在 Windows 10 裝置上使用主要重新整理令牌 (PRT) 驗證時,導致 MFA 狀態無法保存的問題。 用戶現在應該會提示輸入較不常的第二因素認證。 當裝置驗證在用戶端 TLS 和 PRT 驗證上成功時,體驗現在應該一致。
建置新式企業營運應用程式的支援
AD FS 2019 包含下列功能,可支援建置現代化企業營運 (LOB) 應用程式:
AD FS 現在包含 OAuth 裝置流程配置檔支援,可在沒有 UI 介面區的情況下使用裝置登入,以支援豐富的登入體驗。 此功能可讓使用者在不同的裝置上完成登入。 Azure Stack 中的 Azure 命令列介面 (CLI) 體驗需要這項功能,您也可以在其他案例中使用。
您不再需要 Resource 參數來使用 AD FS,這符合目前的 OAUth 規格。 用戶端現在只需要提供信賴憑證者信任標識符作為範圍參數long且具有要求的許可權。
您可以在 AD FS 回應中使用跨原始來源資源分享 (CORS) 標頭。 這些新標題可讓使用者建置單頁應用程式,讓用戶端 JavaScript 連結庫在 AD FS 上查詢 Open ID Connect (OIDC) 探索檔中的簽署密鑰,以驗證 id_token 簽章。
AD FS 包含程式碼交換證明密鑰 (PKCE) 支援 OAuth 內的安全驗證碼流程。 這個額外的安全性層級可防止惡意執行者劫持程序代碼,並從不同的用戶端重新執行程序代碼。
我們已修正導致 AD FS 只傳送 x5t 宣告的次要問題。 AD FS 現在也會傳送兒童宣告來表示簽章驗證的密鑰標識碼提示。
支援能力的改進
系統管理員現在可以設定AD FS,讓使用者將錯誤報告和偵錯記錄檔傳送給他們,作為 ZIP 檔案進行疑難解答。 系統管理員也可以設定簡易郵件傳輸通訊協定 (SMTP) 連線,以自動將 ZIP 檔案傳送至分級電子郵件帳戶。 另一個設定可讓系統管理員根據該電子郵件自動為其支援系統建立票證。
部署更新
AD FS 2019 現在包含下列部署更新:
- AD FS 的 函式與其 Windows Server 2016 版本 類似,可讓您更輕鬆地將 Windows Server 2016 伺服器陣列升級至 Windows Server 2019 伺服器陣列。 新增至 Windows Server 2016 伺服器陣列的 Windows Server 2019 伺服器只會像 Windows Server 2016 伺服器一樣運作,直到您準備好升級為止。 如需詳細資訊,請參閱升級至 Windows Server 2016 中的 AD FS。
SAML 更新
AD FS 2019 包含下列安全性聲明標記語言 (SAML) 更新:
我們已修正下列區域中匯總的同盟支持問題,例如 InCommon:
已改善匯總同盟元數據檔中許多實體的縮放比例。 先前,這些實體的調整將會失敗,並傳回ADMIN0017錯誤訊息。
您現在可以執行 PowerShell Cmdlet,使用
Get-AdfsRelyingPartyTrustsGroup
參數進行查詢。改善重複 entityID 值的錯誤狀況處理。
範圍參數中的 Azure AD 樣式資源規格
過去,無論在任何驗證要求中,AD FS 都需要將所需的資源和範圍放在個別的參數中。 例如,下列範例 OAuth 要求包含範圍參數:
https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login
使用 Windows Server 2019 上的 AD FS,您現在可以傳遞範圍參數中內嵌的資源值。 這項變更與針對 Microsoft Entra 識別碼的驗證一致。
範圍參數現在可以組織成以空格分隔的清單,將每個實體結構為資源或範圍。
注意
您只能在驗證要求中指定一個資源。 如果您在要求中包含多個資源,AD FS 會傳回錯誤,且驗證不會成功。