Поделиться через


Новые возможности Windows Server 2016

В этой статье описаны некоторые новые функции Windows Server 2016, которые, скорее всего, окажут наибольшее влияние во время работы с этим выпуском.

Службы вычислений

Область виртуализации охватывает продукты для виртуализации и средства разработки, развертывания и поддержки Windows Server для ИТ-специалистов.

Общие

Преимущества для физических и виртуальных машин — повышена точность времени благодаря усовершенствованию служб синхронизации Win32 Time и Hyper-V Time. Windows Server теперь может размещать службы, соответствующие предстоящим правилам, которые требуют точности 1 мс относительно UTC.

Hyper-V

Виртуализация сети Hyper-V (HNV) — это базовый стандартный блок обновленного решения Программно-определяемой сети (SDN) Корпорации Майкрософт и полностью интегрирован в стек SDN. Windows Server 2016 включает следующие изменения для Hyper-V:

  • Windows Server 2016 теперь включает программируемый коммутатор Hyper-V. Сетевой контроллер Майкрософт отправляет политики HNV вниз к агенту узла, работающему на каждом узле, с помощью протокола управления базами данных Open vSwitch (OVSDB) в качестве интерфейса southBound (SBI). Агент узла сохраняет эту политику с помощью настройки схемы VTEP и программ сложных правил потока в подсистему выполнения потоков в коммутаторе Hyper-V. Подсистема потоков в коммутаторе Hyper-V совпадает с тем, что использует Azure. Весь стек SDN через сетевой контроллер и поставщик сетевых ресурсов также согласуется с Azure, что делает его производительность сравнимой с общедоступным облаком Azure. В подсистеме потоков Майкрософт коммутатор Hyper-V оснащен для обработки правил потока без отслеживания состояния и отслеживания состояния с помощью простого механизма действия сопоставления, определяющего способ обработки пакетов в коммутаторе.

  • Теперь HNV поддерживает инкапсуляцию протокола Virtual eXtensible Local Area Network (VXLAN). HNV использует протокол VXLAN в режиме распространения MAC через сетевой контроллер Майкрософт для сопоставления IP-адресов клиента с ip-адресами физической подложки. Разгрузки задач NVGRE и VXLAN поддерживают сторонние драйверы для повышения производительности.

  • Windows Server 2016 включает подсистему балансировки нагрузки программного обеспечения (SLB) с полной поддержкой трафика виртуальной сети и простого взаимодействия с HNV. Подсистема потоков производительности реализует подсистему балансировки нагрузки в плоскости данных v-Switch, а затем сетевой контроллер управляет им для сопоставлений виртуальных IP-адресов или динамических IP-адресов (DIP).

  • HNV реализует правильные заголовки Ethernet L2, чтобы обеспечить взаимодействие с сторонними виртуальными и физическими устройствами, зависящими от отраслевых стандартных протоколов. Корпорация Майкрософт гарантирует, что все передаваемые пакеты имеют соответствующие значения во всех полях для обеспечения взаимодействия. HNV требует поддержки кадров Jumbo (MTU > 1780) в физической сети L2, чтобы учитывать затраты на пакеты, введенные протоколами инкапсуляции, такими как NVGRE и VXLAN. Поддержка Jumbo Frame гарантирует, что гостевые Виртуальные машины подключены к виртуальная сеть HNV поддерживают 1514 MTU.

  • Поддержка контейнеров Windows добавляет улучшения производительности, упрощенное управление сетями и поддержку контейнеров Windows в Windows 10. Дополнительные сведения см. в нашей документации по контейнерам и контейнерам Windows: Docker, Windows и Тенденциям.

  • Hyper-V теперь совместим с подключенным резервным. При установке роли Hyper-V на компьютере, использующем модель питания Always On/Always Connected (AOAC), теперь ее можно настроить для использования состояния подключенной резервной мощности.

  • Дискретное назначение устройства позволяет предоставить виртуальным машинам прямой и эксклюзивный доступ к определенным аппаратным устройствам PCIe. Эта функция проходит стек виртуализации Hyper-V, что приводит к более быстрому доступу. Дополнительные сведения см. в разделе "Дискретное назначение устройства" и "Дискретное назначение устройства" — описание и фон.

  • Hyper-V теперь поддерживает шифрование дисков BitLocker для дисков операционной системы в виртуальных машинах поколения 1. Этот метод защиты заменяет виртуальные доверенные платформенные модули (TPM), которые доступны только в виртуальных машинах поколения 2. Чтобы расшифровать диск и запустить виртуальную машину, узел Hyper-V должен быть частью авторизованной защищенной структуры или иметь закрытый ключ от одного из опекунов виртуальной машины. Для хранилища ключей требуется виртуальная машина версии 8. Дополнительные сведения см. в статье Об обновлении версии виртуальной машины в Hyper-V в Windows или Windows Server.

  • Защита ресурсов узла запрещает виртуальным машинам использовать слишком много системных ресурсов, отслеживая чрезмерные уровни активности. При мониторинге обнаруживается необычно высокий уровень активности на виртуальной машине, он регулирует объем ресурсов, потребляемых виртуальной машиной. Эту функцию можно включить, выполнив командлет Set-VMProcessor в PowerShell.

  • Теперь можно использовать горячее добавление или удаление сетевых адаптеров во время работы виртуальной машины без простоя на виртуальных машинах поколения 2 под управлением ос Linux или Windows. Вы также можете настроить объем памяти, назначенный виртуальной машине во время его работы, даже если вы не включили динамическую память на виртуальных машинах поколения 1 и 2 под управлением Windows Server 2016 и более поздних версий или Windows 10 и более поздних версий.

  • Диспетчер Hyper-V теперь поддерживает следующие функции:

    • Альтернативные учетные данные, которые позволяют использовать другой набор учетных данных в диспетчере Hyper-V при подключении к другому удаленному узлу Windows Server 2016 или Windows 10. Вы также можете сохранить эти учетные данные, чтобы упростить вход.

    • Теперь вы можете управлять Hyper-V на компьютерах под управлением Windows Server 2012 R2, Windows Server 2012, Windows 8.1 и Windows 8.

    • Диспетчер Hyper-V теперь взаимодействует с удаленными узлами Hyper-V с помощью протокола WS-MAN, который разрешает проверку подлинности CredSSP, Kerberos и NTLM. При использовании CredSSP для подключения к удаленному узлу Hyper-V можно выполнить динамическую миграцию без включения ограниченного делегирования в Active Directory. WS-MAN также упрощает включение узлов для удаленного управления. WS-MAN подключается через порт 80, который открыт по умолчанию.

  • Обновления служб интеграции для гостей Windows теперь распределяются по Обновл. Windows. Поставщики услуг и узлы частного облака могут предоставлять клиентам, которым принадлежат виртуальные машины, контроль над применением обновлений. Теперь клиенты Windows могут обновлять свои виртуальные машины со всеми последними обновлениями с помощью одного метода. Дополнительные сведения о том, как клиенты Linux могут использовать службы интеграции, см. в статье Поддерживаемые виртуальные машины Linux и FreeBSD для Hyper-V в Windows Server и Windows.

    Внимание

    Hyper-V для Windows Server 2016 больше не включает файл образа vmguest.iso, так как он больше не требуется.

  • Операционные системы Linux, работающие на виртуальных машинах поколения 2, теперь могут загружаться с включенным параметром безопасной загрузки. Оси, поддерживающие безопасную загрузку на узлах Windows Server 2016, включают Ubuntu 14.04 и более поздних версий, SUSE Linux Enterprise Server 12 и более поздних версий, Red Hat Enterprise Linux 7.0 и более поздних версий, а также CentOS 7.0 и более поздних версий. Перед первой загрузкой виртуальной машины необходимо настроить его для использования центра сертификации Microsoft UEFI в диспетчере Hyper-V, диспетчер виртуальных машин или с помощью командлета Set-VMFirmware в PowerShell.

  • Виртуальные машины поколения 2 и узлы Hyper-V теперь могут использовать значительно больше памяти и виртуальных процессоров. Вы также можете настроить узлы с большей памятью и виртуальными процессорами, чем предыдущие версии. Эти изменения поддерживают такие сценарии, как выполнение больших баз данных в памяти для обработки транзакций в сети (OLTP) и хранения данных (DW) для электронной коммерции. Дополнительные сведения см. в статье о производительности крупномасштабной виртуальной машины Hyper-V Windows Server 2016 для обработки транзакций в памяти. Дополнительные сведения о совместимости версий и поддерживаемых максимальных конфигурациях при обновлении версии виртуальной машины в Hyper-V в Windows или Windows Server и планировании масштабируемости Hyper-V в Windows Server.

  • Функция вложенной виртуализации позволяет использовать виртуальную машину в качестве узла Hyper-V и создавать виртуальные машины в виртуализированном узле. Эту функцию можно использовать для создания сред разработки и тестирования, работающих по крайней мере под управлением Windows Server 2016 или Windows 10 с процессором с поддержкой Intel VT-x. Дополнительные сведения см. в разделе "Что такое вложенная виртуализация?".

  • Теперь можно настроить рабочие контрольные точки для соблюдения политик поддержки для виртуальных машин, работающих с рабочими нагрузками рабочей среды. Эти контрольные точки выполняются в технологии резервного копирования на гостевом устройстве вместо сохраненного состояния. Виртуальные машины Windows используют службу моментальных снимков томов (VSS), а виртуальные машины Linux сбрасывают буферы файловой системы для создания контрольных точек, согласованных с файловой системой. Вместо этого можно использовать контрольные точки на основе состояния сохранения с помощью стандартных контрольных точек. Дополнительные сведения см. в разделе "Выбор между стандартными или рабочими контрольными точками" в Hyper-V.

    Внимание

    Новые виртуальные машины используют рабочие контрольные точки в качестве значения по умолчанию.

  • Теперь можно изменить размер общих виртуальных жестких дисков (.vhdx файлов) для гостевой кластеризации без простоя. Гостевые кластеры также можно использовать для защиты общих виртуальных жестких дисков с помощью реплики Hyper-V для аварийного восстановления. Эту функцию можно использовать только в коллекциях в гостевом кластере, который вы включили репликацию с помощью инструментария управления Windows (WMI). Дополнительные сведения см. в разделе Msvm_CollectionReplicationService класса и обзора общего доступа к виртуальным жестким дискам.

    Примечание.

    Невозможно управлять репликацией коллекции с помощью командлетов PowerShell или с помощью интерфейса WMI.

  • При резервном копировании одной виртуальной машины не рекомендуется использовать группу виртуальных машин или коллекцию моментальных снимков независимо от того, кластеризован ли узел или нет. Эти параметры предназначены для резервного копирования гостевых кластеров, использующих общий виртуальный жесткий диск. Вместо этого рекомендуется создать моментальный снимок с помощью поставщика WMI Hyper-V (V2).

  • Теперь вы можете создать экранированные виртуальные машины Hyper-V, которые включают функции, которые препятствуют проверке, незаконному копированию или краже данных из экранированного состояния виртуальной машины. Данные и состояние шифруются, чтобы администраторы Hyper-V не могли видеть выходные данные видео и доступные диски. Вы также можете ограничить виртуальные машины только на узлах, на которых определен сервер защиты узла, является работоспособным и надежным. Дополнительные сведения см. в разделе Обзор защищенной структуры и экранированных виртуальных машин.

    Примечание.

    Экранированные виртуальные машины совместимы с репликой Hyper-V. Чтобы реплицировать экранированную виртуальную машину, необходимо авторизовать узел, который требуется реплицировать для запуска экранированной виртуальной машины.

  • Приоритет начального порядка для кластеризованных виртуальных машин обеспечивает больший контроль над тем, какие кластеризованные виртуальные машины запускают или перезапускируются в первую очередь. Выбор приоритета заказа запуска позволяет запускать виртуальные машины, предоставляющие службы перед запуском виртуальных машин, использующих эти службы. Можно определить наборы, добавить виртуальные машины в наборы и указать зависимости с помощью командлетов PowerShell, таких как New-ClusterGroupSet, Get-ClusterGroupSet и Add-ClusterGroupSetDependency.

  • Файлы конфигурации виртуальной .vmcx машины теперь используют формат расширения файла, а файлы данных о состоянии среды выполнения используют .vmrs формат расширения файла. Эти новые форматы файлов предназначены для более эффективного чтения и записи. Обновленные форматы также снижают вероятность повреждения данных при сбое хранилища.

    Внимание

    Расширение .vmcx имени файла указывает двоичный файл. Hyper-V для Windows Server 2016 не поддерживает редактирование .vmcx или .vmrs файлы.

  • Мы обновили совместимость версий с виртуальными машинами версии 5. Эти виртуальные машины совместимы как с Windows Server 2012 R2, так и с Windows Server 2016. Однако виртуальные машины версии 5, совместимые с Windows Server 2019, могут работать только в Windows Server 2016, а не Windows Server 2012 R2. При перемещении или импорте виртуальной машины Windows Server 2012 R2 на сервер под управлением более поздней версии Windows Server необходимо вручную обновить конфигурацию виртуальной машины, чтобы использовать функции для более поздних версий Windows Server. Дополнительные сведения о совместимости версий и обновленных функциях см. в статье Об обновлении версии виртуальной машины в Hyper-V в Windows или Windows Server.

  • Теперь вы можете использовать функции безопасности на основе виртуализации для виртуальных машин поколения 2, таких как Device Guard и Credential Guard, для защиты ОС от вредоносных эксплойтов. Эти функции доступны на виртуальных машинах под управлением версии 8 или более поздней версии. Дополнительные сведения см. в статье Об обновлении версии виртуальной машины в Hyper-V в Windows или Windows Server.

  • Теперь можно запускать командлеты с помощью Windows PowerShell Direct, чтобы настроить виртуальную машину с хост-компьютера в качестве альтернативы VMConnect или Remote PowerShell. Вам не нужно соответствовать каким-либо требованиям к сети или брандмауэру или иметь специальную конфигурацию удаленного управления, чтобы начать использовать ее. Дополнительные сведения см. в статье "Управление виртуальными машинами Windows с помощью PowerShell Direct".

Nano Server

Теперь Nano Server имеет обновленный модуль для создания образов Nano Server, включая больше разделения функций физического узла и гостевой виртуальной машины и поддержки различных выпусков Windows Server. Дополнительные сведения см. в разделе "Установка Nano Server".

Существуют также улучшения консоли восстановления, включая разделение правил брандмауэра для входящего и исходящего трафика и возможность восстановления конфигурации WinRM.

Экранированные виртуальные машины

Windows Server 2016 предоставляет новые экранированные виртуальные машины на основе Hyper-V для защиты любой виртуальной машины поколения 2 от скомпрометированной структуры. В число функций, реализованных в Windows Server 2016, входят следующие:

  • Новый режим Поддержка шифрования обеспечивает более надежную защиту, чем для обычной виртуальной машины, но менее надежную, чем режим Экранирование. При этом он поддерживает vTPM, шифрование дисков, шифрование трафика динамической миграции и другие компоненты, в том числе такие преимущества непосредственного администрирования структуры, как подключение консоли виртуальной машины и Powershell Direct.

  • Полная поддержка для преобразования существующих неэкранированных виртуальных машин второго поколения в экранированные виртуальные машины, в том числе автоматическое шифрование дисков.

  • Диспетчер виртуальных машин Hyper-V теперь могут просматривать структуры, на которых экранированный виртуальный разрешено запускать, предоставляя возможность администратору структуры открыть экранированный управляющий ключ виртуальной машины (KP) и просмотреть структуры, на которых он может работать.

  • Вы можете переключать режимы аттестации на выполняющиеся службы защиты узла. Теперь вы можете немедленно переключаться между менее безопасной, но более простой аттестацией для Active Directory и аттестацией для доверенного платформенного модуля.

  • Комплексные средства диагностики на основе Windows PowerShell, которые позволяют обнаружить неверные настройки или ошибки в защищенных узлах Hyper-V и службе защиты узла.

  • Среда восстановления, которая обеспечивает средства безопасного устранения неполадок и восстановления экранированных виртуальных машин в обычной структуре их выполнения. Она предоставляет тот же уровень защиты, что и собственно экранированная виртуальная машина.

  • Поддержка службы защиты узла для существующего безопасного Active Directory — вы можете указать службе защиты узла использовать существующий лес Active Directory вместо создания собственного экземпляра Active Directory.

Дополнительные сведения и инструкции по работе с экранированных виртуальных машин см. в статье Guarded Fabric и экранированные виртуальные машины.

Идентификация и доступ

Новые компоненты удостоверения повышают уровень защиты окружений Active Directory для организаций, а также помогают перейти к развертываниям только для облачной среды и гибридным развертываниям, в которых некоторые приложения и службы размещены в облаке, а другие — на локальном компьютере.

Службы сертификатов Active Directory

Службы сертификатов Active Directory (AD CS) в Windows Server 2016 повышают поддержку аттестации ключей доверенного платформенного модуля. Теперь можно использовать KSP смарт-карт для аттестации ключей, а устройства, которые не присоединены к домену, теперь могут использовать регистрацию NDES для получения сертификатов, которые могут быть подтверждены ключами в доверенном модуле.

Управление привилегированным доступом

Управление привилегированным доступом (PAM) помогает устранить проблемы безопасности в средах Active Directory, вызванных методами кражи учетных данных, такими как сквозное хэширование, фишинг копья и т. д. Вы можете настроить это новое решение для административного доступа с помощью Microsoft Identity Manager (MIM) и в ней представлены следующие функции:

  • Лес Бастиона Active Directory, подготовленный MIM, имеет специальное доверие PAM с существующим лесом. Леса бастиона — это новый тип среды Active Directory, которая свободна от вредоносных действий из-за изоляции от существующих лесов и разрешения доступа только к привилегированным учетным записям.

  • Новые процессы в MIM для запроса прав администратора, включая новые рабочие процессы для утверждения запросов.

  • Новые теневые субъекты безопасности или группы, подготовленные в лесу бастиона MIM в ответ на запросы прав администратора. Группы безопасности тени имеют атрибут, который ссылается на идентификатор безопасности административной группы в существующем лесу. Это позволяет теневой группе получать доступ к ресурсам в существующих лесах без изменения списков управления доступом (ACL).

  • Функция с истекающим сроком действия ссылок, которая обеспечивает ограниченное время членства в теневой группе. Вы можете добавить пользователей в группу в течение определенного периода времени, позволяющего выполнять административные задачи. Ограниченное членство во времени настраивается значением времени в реальном времени (TTL), которое распространяется на время существования билета Kerberos.

    Примечание.

    Ссылки с истекающим сроком действия доступны для всех связанных атрибутов. Однако только связь атрибута member/memberOF между группой и пользователем предварительно настроена с PAM, чтобы использовать функцию истечения срока действия ссылок.

  • Встроенные усовершенствования контроллера домена Kerberos (KDC) позволяют контроллерам домена Active Directory ограничить время существования билета Kerberos самым низким значением TTL, если пользователи имеют несколько членства в административных группах с ограниченным временем. Например, если вы являетесь участником группы A с привязкой к времени, то при входе время существования билета Kerberos (TGT) равно сколько времени осталось в группе A. Если вы также присоединяетесь к группе B с ограничением времени, которая имеет более низкую TTL, чем группа A, то время существования TGT равно сколько времени осталось в группе B.

  • Новые возможности мониторинга, позволяющие определить, какие пользователи запрашивали доступ, какие права доступа предоставили администраторам, а также какие действия они выполняли при входе.

Дополнительные сведения о PAM см. в статье "Управление привилегированным доступом" для служб домен Active Directory.

Присоединение к Microsoft Entra

Присоединение к Microsoft Entra улучшает возможности удостоверений для корпоративных, бизнес-клиентов и образовательных учреждений, а также улучшает возможности корпоративных и персональных устройств.

  • Современные параметры теперь доступны на корпоративных устройствах Windows. Вам больше не нужна личная учетная запись Майкрософт для использования основных возможностей Windows, и они запускаются с помощью существующих рабочих учетных записей пользователей для обеспечения соответствия требованиям. Эти службы работают на компьютерах, присоединенных к локальному домену и устройствам Windows, присоединенным к Microsoft Entra. К этим параметрам относятся:

    • Перемещение или персонализация, параметры специальных возможностей и учетные данные

    • Резервное копирование и восстановление

    • Доступ к Microsoft Store с помощью рабочей учетной записи

    • Живые плитки и уведомления

  • Доступ к ресурсам организации на мобильных устройствах, таких как телефоны и планшеты, которые не могут быть присоединены к домену Windows, независимо от того, принадлежат ли они корпоративным устройствам или принести собственное устройство (BYOD).

  • Используйте единый вход для Office 365 и других корпоративных приложений, веб-сайтов и ресурсов.

  • На устройствах BYOD добавьте рабочую учетную запись из локального домена или Azure AD на личное устройство. Единый вход можно использовать для доступа к рабочим ресурсам через приложения или в Интернете, оставаясь совместимыми с новыми функциями, такими как контроль условной учетной записи и аттестация работоспособности устройств.

  • Интеграция управления мобильными устройствами (MDM) позволяет автоматически регистрировать устройства в средство управления мобильными устройствами (MDM) (Microsoft Intune или стороннее).

  • Настройте режим киоска и общие устройства для нескольких пользователей в организации.

  • Интерфейс разработчика позволяет создавать приложения, которые обслуживают как корпоративные, так и личные контексты с общим стеком программирования.

  • Параметр визуализации позволяет выбрать между образами и разрешить пользователям настраивать корпоративные устройства непосредственно во время первого запуска.

Windows Hello для бизнеса

Windows Hello для бизнеса — это подход к проверке подлинности на основе ключей для организаций и потребителей, которые выходят за рамки паролей. Эта форма проверки подлинности зависит от учетных данных, устойчивых к нарушениям, краже и фишингу.

Пользователь входит на устройство с биометрическим или ПИН-кодом, связанным с сертификатом или асимметричной парой ключей. Поставщики удостоверений (ПОСТАВЩИКИ удостоверений) проверяют пользователя, сопоставляя открытый ключ пользователя с IDLocker и предоставляя сведения о входе по одному паролю (OTP), по телефону или другому механизму уведомлений.

Дополнительные сведения см. в Windows Hello для бизнеса.

Нерекомендуемая служба репликации файлов (FRS) и функциональные уровни Windows Server 2003

Хотя служба репликации файлов (FRS) и функциональные уровни Windows Server 2003 устарели в предыдущих версиях Windows Server, мы хотели бы напомнить вам, что AD DS больше не поддерживает Windows Server 2003. Необходимо удалить любой контроллер домена, работающий под управлением Windows Server 2003 из домена. Кроме того, необходимо повысить функциональный уровень домена и леса по крайней мере до Windows Server 2008.

На уровне функциональных возможностей Windows Server 2008 и более поздних доменов AD DS использует репликацию распределенной файловой службы (DFS) для репликации содержимого папки SYSVOL между контроллерами домена. Если вы создаете новый домен на функциональном уровне домена Windows Server 2008 или более поздней версии, репликация DFS автоматически реплицирует папку SYSVOL. Если вы создали домен на более низком функциональном уровне, необходимо перейти с использования FRS в репликацию DFS для папки SYSVOL. Дополнительные сведения о миграции см. в разделе "Установка, обновление" или "Миграция на Windows Server".

Дополнительные сведения см. на следующих ресурсах:

службы федерации Active Directory;

В состав служб федерации Active Directory (AD FS) в Windows Server 2016 включены новые возможности, которые позволяют настраивать AD FS для проверки подлинности пользователей, хранящихся в каталогах LDAP.

Прокси-сервер веб-приложения

Последняя версия прокси-службы веб-приложения обеспечивает новые возможности для публикации и предварительной проверки подлинности дополнительных приложений, а также удобство работы пользователей. Ознакомьтесь с полным списком новых возможностей, включающих предварительную проверку подлинности многофункциональных клиентских приложений, таких как Exchange ActiveSync, и домены с подстановочными знаками для упрощения публикации приложений SharePoint. Дополнительные сведения см. в статье Прокси-служба веб-приложения в Windows Server 2016.

Администрирование

Область управления и автоматизации содержит средства и справочную информацию, которые необходимы ИТ-специалистам для запуска выпуска Windows Server 2016 и управления им, в том числе Windows PowerShell.

Windows PowerShell 5.1 содержит важные новые компоненты, в том числе поддержку разработки с использованием классов и новые средства безопасности, которые расширяют возможности использования, повышают удобство использования и упрощают комплексное управление средами для Windows. Подробные сведения см. в статье Заметки о выпуске Windows Management Framework (WMF) 5.x.

Новые функции в Windows Server 2016: возможность запускать PowerShell.exe локально на сервере Nano Server (теперь доступ не только удаленный), новые командлеты для локальных пользователей и групп для замены графического интерфейса пользователя, реализована поддержка отладки PowerShell, а также поддержка ведения и расшифровки журнала безопасности и JEA в Nano Server.

Ниже приведены некоторые другие новые функции администрирования.

Настройка требуемого состояния (DSC) PowerShell в Windows Management Framework (WMF) 5

Windows Management Framework 5 включает в себя обновления для настройки требуемого состояния (DSC) Windows PowerShell, службы удаленного управления Windows (WinRM) и инструментария управления Windows (WMI).

Дополнительные сведения о тестировании возможностей DSC в Windows Management Framework 5 см. в серии записей блога Validate features of PowerShell DSC (Проверка компонентов PowerShell DSC). Чтобы скачать Windows Management Framework 5.1, перейдите в этот раздел.

Унифицированное управление пакетами PackageManagement для обнаружения программного обеспечения, установки и инвентаризации

Windows Server 2016 и Windows 10 включает новую функцию PackageManagement (раньше она называлась OneGet). С ее помощью ИТ-специалисты и разработчики могут автоматизировать удаленные или локальные операции обнаружения, установки и инвентаризации ПО. При этом не важно, какая технология установщика используется и где это ПО расположено.

Подробнее см. по адресу https://github.com/OneGet/oneget/wiki.

Усовершенствования PowerShell для облегчения цифровых расследований и снижения угроз безопасности

Чтобы помочь группе, расследующей нарушения безопасности (ее иногда называют "blue team"), мы добавили функции ведения журналов PowerShell и другие функциональные возможности цифровых расследований, а также возможности для сокращения числа уязвимостей в скриптах, например ограниченный режим в PowerShell и безопасные API CodeGeneration.

Дополнительные сведения см. в статье, посвященной PowerShell на стороне синих.

Сеть

Эта область сети охватывает сетевые продукты и компоненты, позволяющие ИТ-специалистам проектировать, развертывать и обслуживать Windows Server 2016.

Программно-определяемая сеть

Программно-определяемая сеть (SDN) — это новое решение программно-определяемого центра обработки данных (SDDC), которое включает следующие функции:

  • Сетевой контроллер, который позволяет автоматизировать настройку сетевой инфраструктуры вместо выполнения ручной настройки сетевых устройств и служб. Сетевой контроллер использует передачу репрезентативного состояния (REST) в своем северном интерфейсе с полезными данными нотации объектов JavaScript (JSON). Сетевой контроллер на юге использует протокол управления базами данных Open vSwitch (OVSDB).

  • Новые возможности Hyper-V:

    • Виртуальный коммутатор Hyper-V, который позволяет создавать распределенное переключение и маршрутизацию, а также уровень применения политик, совместимый с Microsoft Azure. Дополнительные сведения см. в статье "Виртуальный коммутатор Hyper-V".

    • Удаленный прямой доступ к памяти (RDMA) и командирование с встроенным коммутатором (SET) при создании виртуальных коммутаторов. Вы можете настроить RDMA на сетевых адаптерах, привязанных к виртуальному коммутатору Hyper-V независимо от того, используете ли вы set. SET может предоставить виртуальным коммутаторам аналогичные возможности, как объединение сетевых карт. Дополнительные сведения см. в разделе "Требования к сети узла" для Azure Stack HCI.

    • Виртуальные машины с несколькими очередями (VMMQ) улучшают vmQ путем выделения нескольких аппаратных очередей на виртуальную машину. Очередь по умолчанию становится набором очередей для виртуальной машины и распределяет трафик между очередями.

    • Качество обслуживания (QoS) для программных сетей управляет классом трафика по умолчанию через виртуальный коммутатор в пропускной способности класса по умолчанию.

  • Виртуализация сетевых функций (NFV), которая позволяет зеркально или маршрутизировать сетевые функции, выполняемые аппаратными устройствами на виртуальные устройства, такие как подсистемы балансировки нагрузки, брандмауэры, маршрутизаторы, коммутаторы и т. д. Вы также можете развернуть весь стек SDN и управлять ими с помощью System Center диспетчер виртуальных машин. Вы можете управлять сетью контейнеров Windows Server с помощью Docker и связывать политики SDN как с виртуальными машинами, так и контейнерами.

  • Брандмауэр центра обработки данных, предоставляющий подробные списки управления доступом (ACL), позволяющий применять политики брандмауэра на уровне интерфейса виртуальной машины или на уровне подсети. Дополнительные сведения см. в статье "Что такое брандмауэр центра обработки данных?".

  • Шлюз RAS, который позволяет маршрутизировать трафик между виртуальными сетями и физическими сетями, включая VPN-подключения типа "сеть — сеть" из облачного центра обработки данных на удаленные сайты клиентов. Протокол BGP позволяет развертывать и обеспечивать динамическую маршрутизацию между сетями для всех сценариев шлюза, в том числе шлюзы Инкапсулирования инкапсулирования универсальной маршрутизации (GRE) версии 2 (IKEv2). Шлюзы теперь также поддерживают пулы шлюзов и избыточность M+N. Дополнительные сведения см. в статье "Что такое шлюз службы удаленного доступа (RAS) для программно-определенных сетей?.

  • Программная подсистема балансировки нагрузки (SLB) и преобразование сетевых адресов (NAT) повышают пропускную способность, поддерживая прямой возврат сервера. Это позволяет возвращаемому сетевому трафику обойти мультиплексор балансировки нагрузки и может быть достигнут с помощью подсистемы балансировки нагрузки на северо-юг и восток-запад 4 уровня нагрузки и NAT. Дополнительные сведения см. в статье "Что такое подсистема балансировки нагрузки программного обеспечения ( SLB) для SDN? и виртуализация сетевых функций.

  • Гибкие технологии инкапсуляции, работающие на плоскости данных и поддерживающие виртуальную расширяемую локальную сеть (VxLAN) и инкапсуляцию универсальной маршрутизации виртуализации сети (NVGRE).

Дополнительные сведения см. в статье, посвященной планированию инфраструктуры программно-конфигурируемой сети.

Основы масштабирования облака

Windows Server 2016 включает следующие основы масштабирования облака:

  • Конвергентная сетевая карта (сетевая карта), которая позволяет использовать один сетевой адаптер для управления, хранилища с поддержкой удаленного прямого доступа к памяти (RDMA) и трафика клиента. Конвергентный сетевой адаптер сокращает затраты на каждый сервер в центре обработки данных, так как для управления различными типами трафика на сервер требуется меньше сетевых адаптеров.

  • Пакет Direct обеспечивает высокую пропускную способность сетевого трафика и инфраструктуру обработки пакетов с низкой задержкой.

  • Switch Embedded Teaming (SET) — это решение для объединения сетевых карт, интегрированное в виртуальный коммутатор Hyper-V. SET позволяет объединить до восьми физических сетевых адаптеров в одну команду SET, которая улучшает доступность и обеспечивает отработку отказа. В Windows Server 2016 можно создавать группы SET, которые ограничены использованием блока сообщений сервера (SMB) и RDMA. Вы также можете использовать команды SET для распространения сетевого трафика для виртуализации сети Hyper-V. Дополнительные сведения см. в разделе "Требования к сети узла" для Azure Stack HCI.

Повышенная производительность TCP

Начальный период перегрузки (ICW) по умолчанию был увеличен с 4 до 10, а также была реализована функция TCP Fast Open (TFO). TFO сокращает время, необходимое для установки TCP-соединения, а увеличенный период ICW позволяет передавать более крупные объекты в рамках начальной отправки. Такое сочетание может значительно снизить время, необходимое для передачи интернет-объекта между клиентом и облаком.

Чтобы улучшить поведение TCP при восстановлении после потери пакетов, мы реализовали пробу потери хвоста TCP (TLP) и последнее подтверждение (RACK). TLP позволяет преобразовать время ожидания повторной передачи в быстрое восстановление, а RACK сокращает время, необходимое быстрому восстановлению для повторной передачи потерянного пакета.

Протокол DHCP

Протокол конфигурации динамического узла (DHCP) имеет следующие изменения в Windows Server 2016:

  • Начиная с Windows 10 версии 2004, при запуске клиента Windows и подключении к Интернету с помощью подключенного устройства Android подключения теперь помечены как лимитные. Традиционное имя поставщика клиента, которое появилось как MSFT 5.0 на некоторых устройствах Windows теперь MSFT 5.0 XBOX.

  • Начиная с Windows 10 версии 1803, DHCP-клиент теперь может считывать и применять вариант 119, параметр "Поиск домена" с DHCP-сервера, к которому подключается система. Параметр поиска домена также предоставляет суффиксы служб доменных имен (DNS) для подстановок DNS коротких имен. Дополнительные сведения см. в статье RFC 3397.

  • DHCP теперь поддерживает вариант 82 (под-вариант 5). Этот параметр можно использовать, чтобы разрешить прокси-клиентам DHCP и агентам ретранслятора запрашивать IP-адрес для определенной подсети. Если вы используете агент ретрансляции DHCP, настроенный с параметром DHCP 82 (под вариантом 5), агент ретранслятора может запросить аренду IP-адресов для DHCP-клиентов из определенного диапазона IP-адресов. Дополнительные сведения см. в разделе "Параметры выбора подсети DHCP".

  • Новые события ведения журнала для сценариев, когда регистрация записей DNS завершается ошибкой на DNS-сервере. Дополнительные сведения см. в разделе "События ведения журнала DHCP" для регистрации DNS.

  • Роль DHCP-сервера больше не поддерживает защиту доступа к сети (NAP). DHCP-серверы не применяют политики NAP, а области DHCP не могут быть включены. Клиентские компьютеры DHCP, которые также являются клиентами NAP, отправляют инструкцию работоспособности (SoH) с запросом DHCP. Если DHCP-сервер работает под управлением Windows Server 2016, эти запросы обрабатываются так, как если бы нет soH. DHCP-сервер предоставляет клиенту обычную аренду DHCP. Если серверы под управлением Windows Server 2016 являются прокси-серверами удаленной службы пользователей (RADIUS), которые перенаправляют запросы проверки подлинности на сервер политики сети (NPS), поддерживающий NAP, NPS оценивает эти клиенты как не поддерживающие NAP, что приводит к сбою обработки NAP. Дополнительные сведения об устаревших функциях NAP и NAP см. в разделе "Удаленные или устаревшие функции" в Windows Server 2012 R2.

Туннелирование GRE

Шлюз RAS теперь поддерживает туннели универсальной маршрутизации с высоким уровнем доступности (GRE) для подключений типа "сеть — сеть" и избыточности шлюзов M+N. GRE — это упрощенный протокол туннелирования, который инкапсулирует широкий спектр протоколов сетевого слоя внутри виртуальных точек к точкам через Интернет-протокол. Дополнительные сведения см. в разделе " Туннелирование GRE" в Windows Server 2016.

Управление IP-адресами (IPAM)

IPAM имеет следующие обновления:

  • Расширенное управление IP-адресами. IPAM улучшила возможности для таких сценариев, как обработка подсетей IPv4 /32 и IPv6 /128 и поиск бесплатных подсетей IP-адресов и диапазонов в блоке IP-адресов.

  • Теперь можно запустить Find-IpamFreeSubnet командлет, чтобы найти доступные подсети для выделения. Эта функция не выделяет подсети, только сообщает о их доступности. Однако вы можете передать выходные данные командлета командлету Add-IpamSubnet для создания подсети. Дополнительные сведения см. в разделе Find-IpamFreeSubnet.

  • Теперь можно запустить Find-IpamFreeRange командлет, чтобы найти доступные диапазоны IP-адресов в блоке IP, длине префикса и количестве запрошенных подсетей. Этот командлет не выделяет диапазон IP-адресов, только сообщает о доступности. Однако вы можете передать выходные данные в AddIpamRange командлет, чтобы создать диапазон. Дополнительные сведения см. в разделе Find-IpamFreeRange.

  • Расширенное управление службами DNS:

    • Коллекция записей ресурсов DNS для DNS-серверов, отличных от DNSSEC.

    • Настройка свойств и операций для всех типов записей ресурсов, отличных от DNSSEC.

    • Управление зонами DNS для серверов DNS, присоединенных к домену, интегрированных с Active Directory и файловых DNS-серверов. Вы можете управлять всеми типами зон DNS, включая основные, вторичные и заглушки.

    • Активируйте задачи на вторичных и заглушных зонах независимо от того, будут ли они перенаправляются или выполняют обратный поиск.

    • Управление доступом на основе ролей для поддерживаемых конфигураций DNS для записей и зон.

    • Условные пересылки

  • Интегрированное управление DNS, DHCP и IP-адресами (DDI). Теперь можно просмотреть все записи ресурсов DNS, связанные с IP-адресом, в инвентаризации IP-адресов. Вы также можете автоматически сохранять записи указателей (PTR) IP-адресов и управлять жизненными циклами IP-адресов для операций DNS и DHCP.

  • Поддержка нескольких лесов Active Directory. Вы можете использовать IPAM для управления DNS и DHCP-серверами нескольких лесов Active Directory, если между лесом, где установлен IPAM, и каждым из удаленных лесов существует двустороннее отношение доверия. Дополнительные сведения см. в разделе "Управление ресурсами в нескольких лесах Active Directory".

  • Функция очистки данных об использовании позволяет уменьшить размер базы данных IPAM, удалив старые данные об использовании IP-адресов. Просто укажите дату и IPAM удаляет все записи базы данных старше указанной даты или равной дате. Дополнительные сведения см. в разделе "Очистка данных об использовании".

  • Теперь можно использовать контроль доступа на основе ролей (RBAC) для определения областей доступа для объектов IPAM в PowerShell. Дополнительные сведения см. в статье "Управление контроль доступа на основе ролей с помощью Windows PowerShell и командлетов сервера управление IP-адресами (IPAM) в Windows PowerShell.

Дополнительные сведения см. в разделе "Управление IPAM".

Безопасность и контроль

Область безопасности и контроля включает решения и компоненты в области безопасности, которые ИТ-специалисты могут развертывать в центре обработки данных и облачном окружении. Общие сведения о безопасности в Windows Server 2016 см. в статье Безопасность и контроль.

Администрирование по принципу «необходимого минимума»

Just Enough Administration в Windows Server 2016 — это технология безопасности, позволяющая делегировать администрирование всех компонентов, которыми можно управлять через Windows PowerShell. Возможности включают в себя поддержку выполнения с сетевым удостоверением, подключения через PowerShell Direct, безопасное копирование файлов из конечных точек JEA или в них, а также настройку консоли PowerShell для запуска в контексте JEA по умолчанию. Дополнительные сведения см. в разделе JEA на GitHub.

Credential Guard

Для защиты секретов Credential Guard использует безопасность на основе виртуализации, чтобы только привилегированное системное ПО могло получать доступ к этим данным. Дополнительные сведения см. в разделе "Защита производных учетных данных домена с помощью Credential Guard".

Credential Guard для Windows Server 2016 включает следующие обновления для сеансов пользователей, вошедшего в систему:

  • Kerberos и New Technology LAN Manager (NTLM) используют безопасность на основе виртуализации для защиты секретов Kerberos и NTLM для сеансов пользователей, вошедшего в систему.

  • Диспетчер учетных данных защищает сохраненные учетные данные домена с помощью безопасности на основе виртуализации. Учетные данные входа и сохраненные учетные данные домена не передаются удаленным узлам с помощью удаленного рабочего стола.

  • Вы можете включить Credential Guard без блокировки единого расширяемого интерфейса встроенного ПО (UEFI).

Удаленный Credential Guard

Credential Guard поддерживает сеансы RDP, чтобы учетные данные пользователя оставались на стороне клиента и не предоставляются на стороне сервера. Это также обеспечивает единый вход для удаленного рабочего стола. Дополнительные сведения см. в разделе "Защита производных учетных данных домена с помощью Credential Guard в Защитнике Windows".

Remote Credential Guard для Windows Server 2016 включает следующие обновления для пользователей, вошедшего в систему:

  • Remote Credential Guard сохраняет секреты Kerberos и NTLM для учетных данных пользователя, выполнившего вход на клиентском устройстве. Все запросы проверки подлинности с удаленного узла для оценки сетевых ресурсов, так как пользователю требуется клиентское устройство использовать секреты.

  • Remote Credential Guard защищает предоставленные учетные данные пользователя при использовании удаленного рабочего стола.

Защита домена

Теперь для защиты домена требуется домен Active Directory.

Поддержка расширения PKInit Freshness

Клиенты Kerberos теперь пытаются использовать расширение свежести PKInit для входа на основе открытого ключа.

Теперь KDCs поддерживают расширение свежести PKInit. Однако по умолчанию они не предлагают расширение свежести PKInit.

Дополнительные сведения см. в статье о поддержке клиентов Kerberos и KDC для расширения свежести RFC 8070 PKInit.

Скользящий открытый ключ только секреты NTLM пользователя

Начиная с уровня функциональных возможностей домена Windows Server 2016 (DFL), контроллеры домена теперь поддерживают развертывание секретов NTLM для пользователя только с открытым ключом. Эта функция недоступна на более низких уровнях функционирования домена (DFLs).

Предупреждение

Добавление контроллера домена, включенного до обновления 8 ноября 2016 г. в домен, поддерживающий развертывание секретов NTLM, может привести к сбою контроллера домена.

Для новых доменов эта функция включена по умолчанию. Для существующих доменов необходимо настроить его в Центре администрирования Active Directory.

В Центре администрирования Active Directory щелкните правой кнопкой мыши домен в левой области и выберите "Свойства". Установите флажок Включить переключение истечения срока действия секретов NTLM во время входа для пользователей, которым требуется использовать Windows Hello для бизнеса или смарт-карту для интерактивного входа. После этого нажмите кнопку "ОК ", чтобы применить это изменение.

Разрешение сетевого NTLM, если пользователь ограничен определенными устройствами, присоединенными к домену

Теперь контроллеры домена могут поддерживать разрешение сети NTLM, если пользователь ограничен определенными устройствами, присоединенными к домену, в Windows Server 2016 DFL и выше. Эта функция недоступна в DFLs под управлением более ранней операционной системы, чем Windows Server 2016.

Чтобы настроить этот параметр, в политике проверки подлинности выберите разрешить проверку подлинности сети NTLM, если пользователь ограничен выбранными устройствами.

Дополнительные сведения см. в разделе "Политики проверки подлинности" и силосы политик проверки подлинности.

Device Guard (целостность кода)

Device Guard обеспечивает целостность кода режима ядра (KMCI) и целостность кода пользовательского режима (UMCI) путем создания политик, которые указывают, какой код может выполняться на сервере. См. сведения в статье Windows Defender Application Control and virtualization-based protection of code integrity (Управление приложениями в Защитнике Windows и безопасность целостности кода на основе виртуализации).

Защитник Windows

Обзор Защитника Windows для Windows Server 2016. Антивредоносная программа Windows Server устанавливается и включена по умолчанию в Windows Server 2016, но пользовательский интерфейс для антивредоносного ПО Windows Server не установлен. Тем не менее, Windows Server Antimalware будет обновлять определения для антивредоносного ПО и защищать компьютер без пользовательского интерфейса. Если вам требуется пользовательский интерфейс для Windows Server Antimalware, его можно установить после установки операционной системы, воспользовавшись мастером добавления ролей и компонентов.

Защита потока управления

Защита потока управления (CFG) — это компонент безопасности платформы, предназначенный для борьбы с уязвимостями на базе повреждения памяти. Дополнительные сведения см. в статье Защита потока управления.

Хранилище

Хранилище в Windows Server 2016 включает новые функции и улучшения программно-определяемого хранилища и традиционных файловых серверов.

Локальные дисковые пространства

Локальные дисковые пространства позволяют создавать масштабируемые хранилища с высоким уровнем доступности с помощью серверов с локальным хранилищем. Это упрощает развертывание и управление программно-определяемыми системами хранения и позволяет использовать новые классы дисковых устройств, таких как диски SATA SSD и диски NVMe, которые ранее не были доступны с кластеризованными дисковые пространства с общими дисками.

Дополнительные сведения см. в Локальные дисковые пространства.

Реплика хранилища

Реплика хранилища обеспечивает не зависят от хранилища, блочного уровня, синхронную репликацию между серверами или кластерами для аварийного восстановления и позволяет растянуть отказоустойчивый кластер между сайтами. Синхронная репликация позволяет зеркально отображать данные в физических расположениях с отказоустойчивыми томами, что полностью предотвращает потерю данных на уровне файловой системы. Асинхронная репликация позволяет использовать физические расположения за пределами города, но при этом вероятна потеря данных.

Дополнительные сведения см. в статье Реплика хранилища.

Качество обслуживания хранилища

Функцию качества обслуживания хранилища (QoS) теперь можно использовать для централизованного отслеживания общей производительности хранилища, а также для создания политик управления с помощью Hyper-V и кластеров CSV в Windows Server 2016.

Дополнительные сведения см. в статье Качество обслуживания хранилища.

Дедупликация данных

Windows Server 2016 включает следующие новые возможности дедупликации данных.

Поддержка больших томов

Начиная с Windows Server 2016 конвейер задания дедупликации данных теперь может выполнять несколько потоков параллельно с использованием множества очередей ввода-вывода для каждого тома. Это изменение повышает производительность до уровней, которые ранее возможны только путем разделения данных на несколько небольших томов. Эти улучшения относятся ко всем заданиям дедупликации данных, а не только к заданию оптимизации. На следующей схеме показано, как конвейер изменился между версиями Windows Server.

Визуализация, сравнивающая конвейер заданий дедупликации данных в Windows Server 2012 R2 с Windows Server 2016.

Из-за этих улучшений производительности в Windows Server 2016 дедупликация данных имеет высокую производительность на томах до 64 ТБ.

Поддержка больших файлов

По состоянию на Windows Server 2016 дедупликация данных использует структуры карты потоков и другие улучшения для повышения пропускной способности оптимизации и производительности доступа. Конвейер обработки дедупликации также может возобновить оптимизацию после сценариев отработки отказа вместо начала. Это изменение повышает производительность файлов до 1 ТБ, позволяя администраторам применять экономию дедупликации к большему диапазону рабочих нагрузок, таких как большие файлы, связанные с рабочими нагрузками резервного копирования.

Поддержка Nano Server

Nano Server — это вариант развертывания без головы в Windows Server 2016, который требует гораздо меньшего объема ресурсов системы, запускается значительно быстрее и требует меньше обновлений и перезапусков, чем вариант развертывания Windows Server Core. Nano Server также полностью поддерживает дедупликацию данных. Дополнительные сведения о Nano Server см. в разделе "Базовые образы контейнеров".

Упрощенная конфигурация для виртуализированных приложений резервного копирования

Начиная с Windows Server 2016 дедупликация данных для сценариев виртуализированных приложений резервного копирования значительно упрощена. Этот сценарий теперь является предопределенным параметром типа использования. Вам больше не нужно вручную настраивать параметры дедупликации, просто включите дедупликацию для тома так же, как и файловый сервер общего назначения и инфраструктура виртуальных рабочих столов (VDI).

Поддержка последовательного обновления ОС кластера

Отказоустойчивые кластеры Windows Server под управлением дедупликации данных могут иметь сочетание узлов под управлением Windows Server 2012 R2 и Windows Server 2016 дедупликации данных. Эта функция кластера в смешанном режиме предоставляет полный доступ к всем дедупликированным томам во время последовательного обновления кластера. Теперь вы можете постепенно развертывать более поздние версии дедупликации данных в кластерах под управлением более ранних версий Windows Server без простоя.

Теперь можно использовать последовательное обновление в Hyper-V. При обновлении кластера Hyper-V теперь можно добавить узел под управлением Windows Server 2019 или Windows Server 2016 в кластер Hyper-V с узлами под управлением Windows Server 2012 R2. После добавления узла под управлением более поздней версии Windows Server можно обновить остальную часть кластера без простоя. Кластер выполняется на уровне компонентов Windows Server 2012 R2, пока не обновите все узлы в кластере и запустите Update-ClusterFunctionalLevel в PowerShell, чтобы обновить уровень функционирования кластера. Дополнительные сведения о том, как работает процесс последовательного обновления, см. в статье "Последовательное обновление операционной системы кластера".

Примечание.

Hyper-V в Windows 10 не поддерживает отказоустойчивую кластеризацию.

Усиление защиты SMB для подключения к ресурсам SYSVOL и NETLOGON

В Windows 10 и Windows Server 2016 клиентские подключения к службам домен Active Directory используют общие папки SYSVOL и NETLOGON на контроллерах домена по умолчанию. Теперь эти подключения требуют подписывания SMB и взаимной проверки подлинности с помощью таких служб, как Kerberos. При отсутствии подписи SMB и взаимной проверки подлинности компьютер под управлением Windows 10 или Windows Server 2016 не сможет обрабатывать групповую политику и скрипты доменных устройств. Это изменение защищает устройства от атак злоумышленника в середине.

Примечание.

Значения реестра для этих параметров по умолчанию отсутствуют, но правила защиты по-прежнему применяются, пока не переопределите их, изменив групповую политику или другие значения реестра.

Дополнительные сведения об этих улучшениях безопасности см. в статье MS15-011: уязвимость в групповой политике и MS15-011 и MS15-014: защита групповой политики.

Рабочие папки

Функции Windows Server 2016 улучшили уведомление об изменениях, когда сервер рабочих папок работает под управлением Windows Server 2016, а клиент рабочих папок — Windows 10. При изменении файла на сервер рабочих папок сервер теперь немедленно уведомляет клиентов Windows 10, а затем синхронизирует изменения файла.

ReFS

Следующая итерация ReFS обеспечивает поддержку крупномасштабных развертываний хранилища с различными рабочими нагрузками, обеспечение надежности, устойчивости и масштабируемости данных.

ReFS представляет следующие улучшения:

  • Новые функциональные возможности уровня хранилища, обеспечивая более высокую производительность и увеличение емкости хранилища, включая следующие:

    • Несколько типов устойчивости на одном виртуальном диске с использованием зеркального отображения на уровне производительности и четности на уровне емкости.

    • Повышенная скорость реагирования на смещение рабочих наборов.

  • В этой статье описывается клонирование блоков для повышения производительности операций виртуальной машины, таких как .vhdx операции слияния контрольных точек.

  • Новое средство сканирования ReFS, которое поможет вам восстановить утечку хранилища и спасти данные из критически важных повреждений.

Отказоустойчивая кластеризация

Windows Server 2016 включает множество новых функций и улучшений для нескольких серверов, сгруппированных в один отказоустойчивый кластер с помощью функции отказоустойчивой кластеризации.

Последовательное обновление ОС кластера

Обновление операционной системы кластера позволяет администратору обновить операционную систему узлов кластера с Windows Server 2012 R2 до Windows Server 2016 без остановки рабочих нагрузок файлового сервера Hyper-V или Scale-Out. Эту функцию можно использовать, чтобы избежать штрафов за простои в отношении соглашений об уровне обслуживания (соглашения об уровне обслуживания).

Дополнительные сведения см. в статье о последовательном обновлении операционной системы кластера.

Облако-свидетель.

Облако-свидетель — это новый тип свидетеля кворума отказоустойчивого кластера в Windows Server 2016, который использует Microsoft Azure в качестве точки арбитража. Cloud Witness, как и любой другой свидетель кворума, получает голосование и может участвовать в вычислениях кворума. Вы можете настроить Cloud Witness в качестве свидетеля кворума с помощью мастера настройки кворума кластера.

Дополнительные сведения см. в разделе Deploy Cloud Witness для отказоустойчивого кластера.

Устойчивость виртуальных машин

Windows Server 2016 включает повышенную устойчивость вычислительных ресурсов виртуальной машины, чтобы снизить проблемы с взаимодействием между кластерами в вычислительном кластере. Эта повышенная устойчивость включает следующие обновления:

  • Теперь можно настроить следующие параметры, чтобы определить поведение виртуальных машин во время временных сбоев:

    • Уровень устойчивости определяет, как развертывание должно обрабатывать временные сбои.

    • Период устойчивости определяет, сколько времени могут выполняться все виртуальные машины.

  • Неработоспособные узлы помещаются в карантин и больше не могут присоединяться к кластеру. Эта функция запрещает неработоспособным узлам отрицательно влиять на другие узлы и общий кластер.

Дополнительные сведения о функциях устойчивости вычислений см. в статье "Устойчивость вычислений виртуальных машин" в Windows Server 2016.

Виртуальные машины Windows Server 2016 также включают новые функции устойчивости хранилища для обработки временных сбоев хранилища. Улучшенная устойчивость помогает сохранить состояния сеанса виртуальной машины клиента в случае сбоя хранилища. Когда виртуальная машина отключается от базового хранилища, она приостанавливает и ожидает восстановления хранилища. При приостановке виртуальная машина сохраняет контекст приложений, работающих в нем во время сбоя хранилища. При восстановлении подключения между виртуальной машиной и хранилищем виртуальная машина возвращается в состояние выполнения. В результате состояние сеанса компьютера клиента сохраняется при восстановлении.

Новые функции устойчивости хранилища также применяются к гостевым кластерам.

Усовершенствования диагностики:

Чтобы диагностировать проблемы с отказоустойчивыми кластерами, Windows Server 2016 включает в себя следующее:

Отказоустойчивые кластеры с поддержкой сайта

Windows Server 2016 включает отказоустойчивые кластеры, поддерживающие узлы групп в растянутых кластерах на основе их физического расположения или сайта. Осведомленность о кластере улучшает ключевые операции во время жизненного цикла кластера, такие как поведение отработки отказа, политики размещения, пульс между узлами и поведение кворума. Дополнительные сведения см. в разделе "Отказоустойчивые кластеры с поддержкой сайта" в Windows Server 2016.

Кластеры рабочей группы и кластеры с несколькими доменами

В Windows Server 2012 R2 и более ранних версиях кластер можно создать только между узлами-членами, присоединенными к одному домену. В Windows Server 2016 это ограничение снято, а также добавлена возможность создавать отказоустойчивый кластер без зависимостей от Active Directory. Теперь можно создать отказоустойчивые кластеры в следующих конфигурациях:

  • Кластеры с одним доменом, в которых все узлы присоединены к одному домену.

  • Кластеры с несколькими доменами, которые имеют узлы, являющиеся членами различных доменов.

  • Кластеры рабочей группы, которые имеют узлы, являющиеся серверами-членами или рабочими группами, которые не присоединены к домену.

Дополнительные сведения см. в разделе "Рабочие группы и кластеры с несколькими доменами" в Windows Server 2016

Балансировка нагрузки виртуальных машин

Балансировка нагрузки виртуальных машин — это новая функция отказоустойчивой кластеризации, которая легко балансирует нагрузку виртуальных машин между узлами в кластере. Эта функция определяет перезавернутые узлы на основе памяти виртуальной машины и использования ЦП на узле. Затем он переносит виртуальные машины из перезавернутого узла на узлы с доступной пропускной способностью. Вы можете настроить агрессивное распределение узлов функций, чтобы обеспечить оптимальную производительность и использование кластера. Балансировка нагрузки включена по умолчанию в Windows Server 2016 Technical Preview. Однако балансировка нагрузки отключена при включенной динамической оптимизации SCVMM.

Порядок запуска виртуальной машины

Порядок запуска виртуальной машины — это новая функция отказоустойчивого кластера, которая представляет оркестрацию заказов для виртуальных машин и других групп в кластере. Теперь виртуальные машины можно группировать на уровни, а затем создавать зависимости порядка запуска между разными уровнями. Эти зависимости обеспечивают, чтобы наиболее важные виртуальные машины, такие как контроллеры домена или служебные виртуальные машины, запускались сначала. Виртуальные машины на более низких уровнях приоритета не запускаются до тех пор, пока виртуальные машины, у которых есть зависимость от запуска.

Упрощенные кластерные сети SMB Multichannel и Multi-NIC

Сети отказоустойчивого кластера больше не ограничиваются одной сетевой картой (сетевой картой) для каждой подсети или сети. Благодаря упрощенному блоку сообщений сервера (SMB) Multichannel и сети кластера с несколькими сетевыми картами конфигурация сети автоматически и каждая сетевая карта в подсети может использоваться для трафика кластера и рабочей нагрузки. Это улучшение позволяет клиентам максимизировать пропускную способность сети для Экземпляра отказоустойчивого кластера Hyper-V, экземпляра отказоустойчивого кластера SQL Server и других рабочих нагрузок SMB.

Дополнительные сведения см. в разделе "Упрощенная сеть SMB Multichannel" и "Многоканальные кластерные сети".

Разработка приложений

Службы IIS 10.0

Новые возможности веб-сервера IIS 10.0 в Windows Server 2016:

  • Поддержка протокола HTTP/2 в стеке сети и интеграция с IIS 10.0, благодаря которой веб-сайты IIS 10.0 могут автоматически обрабатывать запросы HTTP/2 для поддерживаемых конфигураций. Если сравнивать с результатами использования HTTP/1.1, увеличена эффективность повторного использования подключений, уменьшена задержка, улучшено время загрузки веб-страниц.
  • Возможность запускать службы IIS 10.0 и управлять ими в Nano Server. Сведения об IIS на сервере Nano Server.
  • Поддержка заголовков узла с подстановочными знаками, благодаря которой администраторы могут настроить веб-сервер для домена так, чтобы этот веб-сервер обрабатывал запросы и для поддоменов.
  • Новый модуль PowerShell (IISAdministration) для управления IIS.

Дополнительные сведения см. в разделе IIS.

Координатор распределенных транзакций (MSDTC)

В Microsoft Windows 10 и Windows Server 2016 добавлены три новые возможности:

  • Диспетчер ресурсов может использовать новый интерфейс для метода Rejoin, чтобы определить результат сомнительной транзакции после перезагрузки базы данных из-за ошибки. Дополнительные сведения см. в статье о IResourceManagerRejoinable::Rejoin.

  • Ограничение имени DSN увеличивается с 256 байт до 3072 байт. Дополнительные сведения см. в статьях об IDtcToXaHelperFactory::Create, IDtcToXaHelperSinglePipe::XARMCreate и IDtcToXaMapper::RequestNewResourceManager.

  • Улучшенная трассировка позволяет задать раздел реестра, чтобы включить путь к файлу образа в имя файла tracelog, чтобы можно было определить, какой файл Tracelog необходимо проверить. Дополнительные сведения о настройке диагностической трассировки для MSDTC на компьютере под управлением Windows см. в этой статье.

DNS-сервер

Windows Server 2016 содержит следующие обновления для DNS-сервера.

Политики DNS

Политики DNS можно настроить, чтобы указать, как DNS-сервер отвечает на запросы DNS. Вы можете настроить ответы DNS на основе IP-адреса клиента, времени дня и нескольких других параметров. Политики DNS могут включать dns с учетом расположения, управление трафиком, балансировку нагрузки, разделенный мозг DNS и другие сценарии. Дополнительные сведения см. в руководстве по сценарию политики DNS.

RRL

Вы можете включить ограничение скорости отклика (RRL) на DNS-серверах, чтобы предотвратить использование DNS-серверов для инициирования атаки распределенного отказа в обслуживании (DDoS) на DNS-клиенте. RRL не позволяет DNS-серверу отвечать на слишком много запросов одновременно, что защищает его во время сценариев, когда ботнет отправляет несколько запросов одновременно, чтобы попытаться нарушить работу сервера.

Поддержка DANE

Вы можете использовать поддержку проверки подлинности на основе DNS именованных сущностей (DANE) (RFC 6394 и RFC 6698), чтобы указать, какой центр сертификации dns-клиентов должен ожидать сертификатов от доменных имен, размещенных на DNS-сервере. Это предотвращает форму атаки "злоумышленник в середине", в которой злоумышленник поврежден кэш DNS и указывает DNS-имя на собственный IP-адрес.

Поддержка неизвестной записи.

Вы можете добавить записи, которые DNS-сервер не поддерживает явно с помощью функции неизвестной записи. Запись неизвестна, если DNS-сервер не распознает его формат RDATA. Windows Server 2016 поддерживает неизвестные типы записей (RFC 3597), поэтому вы можете добавлять неизвестные записи в зоны DNS-сервера Windows в двоичном формате в формате провода. Сопоставитель кэширования окон уже может обрабатывать неизвестные типы записей. DNS-сервер Windows не выполняет обработку для неизвестных записей, но может отправлять их в ответ на полученные запросы.

Корневые подсказки IPv6

Теперь DNS-сервер Windows включает в себя корневые подсказки IPv6, опубликованные центром назначения номеров Интернета (IANA). Поддержка корневых подсказок IPv6 позволяет выполнять интернет-запросы, использующие корневые серверы IPv6 для разрешения имен.

Поддержка Windows PowerShell

Windows Server 2016 включает новые команды, которые можно использовать для настройки DNS в PowerShell. Дополнительные сведения см. в модуле DnsServer Windows Server 2016 и модуле Windows Server 2016 DnsClient.

Поддержка Nano Server для DNS на основе файлов

Dns-серверы можно развернуть в Windows Server 2016 на образе Nano Server. Этот параметр развертывания доступен, если вы используете DNS на основе файлов. Запустив DNS-сервер на образе Nano Server, вы можете запускать DNS-серверы с уменьшенным объемом, быстрой загрузкой и минимальным исправлением.

Примечание.

Интегрированная служба Active Directory DNS не поддерживается на Сервере Nano Server.

DNS-клиент

Служба DNS-клиента теперь обеспечивает расширенную поддержку компьютеров с несколькими сетевыми интерфейсами.

Многодомовые компьютеры также могут использовать привязку службы DNS-клиента для улучшения разрешения сервера:

  • При использовании DNS-сервера, настроенного в определенном интерфейсе для разрешения DNS-запроса, DNS-клиент привязывается к интерфейсу перед отправкой запроса. Эта привязка позволяет DNS-клиенту указать интерфейс, в котором должно выполняться разрешение имен, оптимизируя обмен данными между приложениями и DNS-клиентом через сетевой интерфейс.

  • Если DNS-сервер, который вы используете, был назначен параметром групповой политики из таблицы политики разрешения имен (NRPT), служба DNS-клиента не привязывается к указанному интерфейсу.

Примечание.

Изменения в службе DNS-клиента в Windows 10 также присутствуют на компьютерах под управлением Windows Server 2016 и более поздних версий.

Службы удаленного рабочего стола

Службы удаленных рабочих столов (RDS) внесли следующие изменения для Windows Server 2016.

Совместимость приложений

RDS и Windows Server 2016 совместимы со многими приложениями Windows 10, создавая интерфейс пользователя, почти идентичный физическому рабочему столу.

База данных SQL Azure

Брокер подключений удаленного рабочего стола (RD) теперь может хранить все сведения о развертывании, такие как состояния подключения и сопоставления узлов пользователей, в общей базе данных Azure язык SQL (SQL). Эта функция позволяет использовать высокодоступную среду без использования группы доступности AlwaysOn SQL Server. Дополнительные сведения см. в статье "Использование базы данных SQL Azure для среды высокого уровня доступности брокера подключений к удаленному рабочему столу".

Графические улучшения

Дискретное назначение устройств для Hyper-V позволяет сопоставлять единицы обработки графики (GPU) на хост-компьютере непосредственно с виртуальной машиной. Все приложения на виртуальной машине, которым требуется больше GPU, чем виртуальная машина может предоставить, могут использовать сопоставленный GPU. Мы также улучшили виртуальные машины RemoteFX vGPU, включая поддержку OpenGL 4.4, OpenCL 1.1, разрешение 4K и виртуальные машины Windows Server. Дополнительные сведения см. в разделе "Дискретное назначение устройства".

Улучшения брокера подключений к удаленным рабочим столам

Мы улучшили способ обработки подключения брокера подключений к удаленным рабочим столам во время штормов входа, которые являются периодами запросов высокого уровня входа от пользователей. Брокер подключений к удаленным рабочим столам теперь может обрабатывать более 10 000 одновременных запросов на вход! Улучшения обслуживания также упрощают обслуживание развертывания, быстро добавляя серверы в среду после того, как они будут готовы вернуться в сеть. Дополнительные сведения см. в разделе "Улучшенная производительность брокера подключений к удаленному рабочему столу".

Изменения протокола RDP 10

Протокол удаленного рабочего стола (RDP) 10 теперь использует кодек H.264/AVC 444, который оптимизирует как видео, так и текст. Этот выпуск также включает поддержку удаленного взаимодействия пера. Эти новые возможности позволяют удаленному сеансу чувствовать себя как локальный сеанс. Дополнительные сведения см. в улучшениях RDP 10 AVC/H.264 в Windows 10 и Windows Server 2016.

Личные рабочие столы сеансов

Личные рабочие столы сеансов — это новая функция, которая позволяет размещать собственный личный рабочий стол в облаке. Права администратора и выделенные узлы сеансов удаляют сложность сред размещения, в которых пользователи хотят управлять удаленным рабочим столом, например локальным рабочим столом. Дополнительные сведения см. в разделе "Личные рабочие столы сеансов".

Проверка подлинности Kerberos

Windows Server 2016 включает следующие обновления для проверки подлинности Kerberos.

Поддержка KDC для проверки подлинности клиента на основе открытого ключа

Центры распространения ключей (KDCs) теперь поддерживают сопоставление открытых ключей. Если вы подготавливаете открытый ключ для учетной записи, KDC поддерживает Kerberos PKInit явно с помощью этого ключа. Так как проверка сертификатов отсутствует, Kerberos поддерживает самозаверяемые сертификаты, но не поддерживает проверку подлинности механизма проверки подлинности.

Учетные записи, настроенные для использования доверия ключей, будут использовать только доверие ключей независимо от того, как вы настроили параметр UseSubjectAltName.

Поддержка клиента Kerberos и KDC для расширения PKInit Freshness RFC 8070

Начиная с Windows 10 версии 1607 и Windows Server 2016 клиенты Kerberos могут использовать расширение свежести PKInit RFC 8070 для входа на основе открытого ключа. KDCs имеют расширение свежести PKInit, отключенное по умолчанию, поэтому чтобы включить его, необходимо настроить поддержку KDC для политики административных шаблонов PKInit Freshness Extension KDC на всех контроллерах домена.

Политика имеет следующие параметры, доступные, если домен находится на функциональном уровне домена Windows Server 2016 (DFL):

  • Отключен: KDC никогда не предлагает расширение PKInit Freshness и принимает допустимые запросы проверки подлинности без проверки свежести. Пользователи не получают идентификатор идентификатора нового открытого ключа.
  • Поддерживается: Kerberos поддерживает расширение PKInit Freshness по запросу. Клиенты Kerberos успешно проходят проверку подлинности с помощью расширения PKInit Freshness, получают идентификатор идентификатора нового открытого ключа.
  • Обязательный: для успешной проверки подлинности требуется расширение PKInit Freshness. Клиенты Kerberos, не поддерживающие расширение PKInit Freshness, всегда завершаются ошибкой при использовании учетных данных открытого ключа.

Поддержка устройства, присоединенного к домену, для проверки подлинности с помощью открытого ключа

Если присоединенное к домену устройство может зарегистрировать связанный открытый ключ с контроллером домена Windows Server 2016 (DC), устройство может пройти проверку подлинности с помощью открытого ключа с помощью проверки подлинности Kerberos PKInit в контроллере домена Windows Server 2016.

Присоединенные к домену устройства с привязанными открытыми ключами, зарегистрированными в контроллере домена Windows Server 2016, теперь могут пройти проверку подлинности на контроллере домена Windows Server 2016 с помощью протоколов Шифрования открытого ключа Kerberos для начальной проверки подлинности (PKInit). Дополнительные сведения см. в разделе проверки подлинности открытого ключа устройства, присоединенного к домену.

Центры распространения ключей (KDCs) теперь поддерживают проверку подлинности с помощью доверия ключей Kerberos.

Дополнительные сведения см. в разделе поддержки KDC для сопоставления учетных записей доверия ключей.

Клиенты Kerberos разрешают имена узлов IPv4 и IPv6 в именах субъектов-служб (SPN)

Начиная с Windows 10 версии 1507 и Windows Server 2016, можно настроить клиенты Kerberos для поддержки имен узлов IPv4 и IPv6 в именах субъектов-служб. Дополнительные сведения см. в разделе "Настройка Kerberos для IP-адресов".

Чтобы настроить поддержку имен узлов IP-адресов в именах субъектов-служб, создайте запись TryIPSPN. Эта запись не существует в реестре по умолчанию. Эту запись следует поместить на следующий путь:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

После создания записи измените значение DWORD на 1. Если это значение не настроено, Kerberos не попытается использовать имена узлов IP-адресов.

Проверка подлинности Kerberos завершается успешно, только если имя субъекта-службы зарегистрировано в Active Directory.

Поддержка KDC для сопоставления учетных записей доверия ключей

Теперь контроллеры домена поддерживают сопоставление учетных записей доверия ключей и обратное использование существующего altSecID и имени участника-пользователя (UPN) в поведении SAN. Для переменной UseSubjectAltName можно настроить следующие параметры:

  • При задании переменной значение 0 требуется явное сопоставление. Пользователи должны использовать значение "Доверие ключей" или задать переменную ExplicitAltSecID.

  • При задании переменной значение 1, являющееся значением по умолчанию, допускается неявное сопоставление.

    • Если настроить доверие ключей для учетной записи в Windows Server 2016 или более поздней версии, KDC использует KeyTrust для сопоставления.

    • Если в SAN нет имени участника-пользователя, KDC пытается использовать AltSecID для сопоставления.

    • Если в san есть имя участника-пользователя, KDC пытается использовать имя участника-пользователя для сопоставления.

Службы федерации Active Directory (AD FS)

AD FS для Windows Server 2016 содержит следующие обновления.

Вход с помощью многофакторной проверки подлинности Microsoft Entra

AD FS 2016 основывается на возможностях многофакторной проверки подлинности (MFA) AD FS в Windows Server 2012 R2. Теперь можно разрешить вход, который требует только кода многофакторной проверки подлинности Microsoft Entra вместо имени пользователя или пароля.

  • При настройке многофакторной проверки подлинности Microsoft Entra в качестве основного метода проверки подлинности AD FS запрашивает у пользователя имя пользователя и код одноразового пароля (OTP) из приложения Azure Authenticator.

  • При настройке многофакторной проверки подлинности Microsoft Entra в качестве дополнительного или дополнительного метода проверки подлинности пользователь предоставляет учетные данные первичной проверки подлинности. Пользователи могут войти с помощью встроенной проверки подлинности Windows, которая может запросить имя пользователя и пароль, смарт-карту или сертификат пользователя или устройства. Затем пользователь видит запрос на получение дополнительных учетных данных, таких как текст, голос или вход на основе OTP Microsoft Entra с многофакторной проверкой подлинности.

  • Новый встроенный адаптер многофакторной проверки подлинности Microsoft Entra предлагает более простую настройку и настройку для многофакторной проверки подлинности Microsoft Entra с помощью AD FS.

  • Организации могут использовать многофакторную проверку подлинности Microsoft Entra без необходимости локального сервера многофакторной проверки подлинности Microsoft Entra.

  • Вы можете настроить многофакторную проверку подлинности Microsoft Entra для интрасети, экстрасети или в рамках любой политики управления доступом.

Дополнительные сведения о многофакторной проверке подлинности Microsoft Entra с помощью AD FS см. в статье "Настройка многофакторной проверки подлинности AD FS 2016" и "Многофакторная проверка подлинности Microsoft Entra".

Доступ без пароля с совместимых устройств

AD FS 2016 основана на предыдущих возможностях регистрации устройств, чтобы включить вход и управление доступом на устройствах на основе их состояния соответствия. Пользователи могут выполнять вход с помощью учетных данных устройства, а AD FS повторно оценивает соответствие при изменении атрибутов устройства, чтобы гарантировать применение политик. Эта функция включает следующие политики:

  • Включите доступ только с устройств, управляемых и /или совместимых.

  • Включите доступ экстрасети только с устройств, управляемых и /или совместимых.

  • Требовать многофакторную проверку подлинности для компьютеров, которые не управляются или не соответствуют требованиям.

AD FS предоставляет локальный компонент политик условного доступа в гибридном сценарии. При регистрации устройств в Azure AD для условного доступа к облачным ресурсам можно также использовать удостоверение устройства для политик AD FS.

Схема гибридного решения и связей между пользователями и локальным active directory.

Дополнительные сведения об использовании условного доступа на основе устройств в облаке см. в статье об условном доступе Azure Active Directory.

Дополнительные сведения об использовании условного доступа на основе устройств с AD FS см. в статье "Планирование условного доступа на основе устройств с помощью AD FS" и контроль доступа политик в AD FS.

Вход с помощью Windows Hello для бизнеса

Устройства Windows 10 представляют Windows Hello и Windows Hello для бизнеса, заменяя пароли пользователей строгими учетными данными пользователя, привязанными к устройству, защищенными жестом пользователя, например вводом ПИН-кода, биометрическим жестом, например отпечатком пальца или распознаванием лиц. С помощью Windows Hello пользователи могут входить в приложения AD FS из интрасети или экстрасети, не требуя пароля.

Дополнительные сведения об использовании Windows Hello для бизнеса в организации см. в разделе "Включение Windows Hello для бизнеса в организации".

Современная аутентификация

AD FS 2016 поддерживает новейшие современные протоколы, которые обеспечивают лучший пользовательский интерфейс для Windows 10 и последних устройств и приложений iOS и Android.

Дополнительные сведения см. в сценариях AD FS для разработчиков.

Настройка политик управления доступом без изучения языка правил утверждений

Ранее администраторы AD FS должны были настроить политики с помощью языка правил утверждений AD FS, что затрудняет настройку и обслуживание политик. С помощью политик управления доступом администраторы могут использовать встроенные шаблоны для применения общих политик. Например, можно использовать шаблоны для применения следующих политик:

  • Разрешить доступ к интрасети только.

  • Разрешить всем пользователям и требовать многофакторную проверку подлинности из экстрасети.

  • Разрешить всем пользователям и требовать многофакторную проверку подлинности из определенной группы.

Шаблоны легко настраивать. Вы можете применить дополнительные исключения или правила политики, и эти изменения можно применить к одному или нескольким приложениям для согласованного применения политик.

Дополнительные сведения см. в политиках управления доступом в AD FS.

Вход через каталоги LDAP, не поддерживающие AD

Многие организации объединяют Active Directory с сторонними каталогами. Поддержка AD FS для проверки подлинности пользователей, хранящихся в каталогах протокола LDAP версии 3, позволяет использовать AD FS в следующих сценариях:

  • Пользователи сторонних каталогов LDAP версии 3.

  • Пользователи в лесах Active Directory, у которых нет настроенного двустороннего доверия Active Directory.

  • Пользователи в службах упрощенного каталога Active Directory (AD LDS).

Дополнительные сведения см. в разделе Configure AD FS to authenticate users stored in LDAP directories.

Настройка интерфейса входа для приложений AD FS

Ранее AD FS в Windows Server 2012 R2 предоставлял общий интерфейс входа для всех приложений проверяющей стороны с возможностью настройки подмножества содержимого на основе текста для каждого приложения. Начиная с Windows Server 2016, вы можете настраивать не только сообщения, но и изображения, эмблемы, а также веб-темы отдельно для каждого приложения. Кроме того, вы можете создавать новые, пользовательские веб-темы и применять эти темы на проверяющую сторону.

Дополнительные сведения см. в разделе о настройке входа пользователей AD FS.

Упрощенный аудит для облегчения административного управления

В предыдущих версиях AD FS один запрос может создавать множество событий аудита. Соответствующая информация о действиях входа или выдачи маркеров часто отсутствует или распространяется по нескольким событиям аудита, что затрудняет диагностику проблем. В результате события аудита были отключены по умолчанию. Тем не менее, в AD FS 2016 процесс аудита более упрощен и удобнее найти соответствующую информацию. Дополнительные сведения см. в статье об усовершенствованиях аудита AD FS в Windows Server 2016.

Улучшение взаимодействия с SAML 2.0 для участия в конфедерациях

AD FS 2016 содержит больше поддержки протокола SAML, включая поддержку импорта доверия на основе метаданных, содержащих несколько сущностей. Это изменение позволяет настроить AD FS для участия в конфедерациях, таких как Федерация InCommon и другие реализации, соответствующие стандарту eGov 2.0.

Дополнительные сведения см. в разделе "Улучшенная совместимость с SAML 2.0".

Упрощенное управление паролями для федеративных пользователей Microsoft 365

Вы можете настроить AD FS для отправки утверждений срока действия пароля любому проверяющей стороне доверия или приложениям, которые он защищает. Способ отображения этих утверждений зависит от приложений. Например, если проверяющая сторона — Office 365, в Exchange и Outlook реализованы обновления для уведомления федеративных пользователей о скором истечении срока действия пароля.

Дополнительные сведения см. в разделе "Настройка AD FS" для отправки утверждений срока действия пароля.

Переход с AD FS в Windows Server 2012 R2 на AD FS в Windows Server 2016 стал проще

Ранее миграция на новую версию AD FS требовала экспорта параметров конфигурации из фермы Windows Server в новую параллельную ферму серверов. AD FS в Windows Server 2016 упрощает процесс, удаляя требование к параллельной ферме серверов. При добавлении сервера Windows Server 2016 в ферму серверов Windows Server 2012 R2 новый сервер работает так же, как сервер Windows Server 2012 R2. Когда вы будете готовы к обновлению и удалили старые серверы, можно изменить операционный уровень на Windows Server 2016. Дополнительные сведения см. в разделе "Обновление до AD FS" в Windows Server 2016.