Novedades de Windows Server 2016

En este artículo se describen algunas de las nuevas características de Windows Server 2016, que son las que tienen más probabilidades de tener un mayor impacto mientras trabaja con esta versión.

Compute

El área Virtualización incluye características y productos de virtualización destinados a los profesionales de TI para diseñar, implementar y mantener Windows Server.

General

Las máquinas físicas y virtuales se benefician de una mayor precisión temporal gracias a las mejoras en los servicios de sincronización de hora de Hyper-V y Win32. Windows Server ahora puede hospedar servicios compatibles con las próximas regulaciones que requieren una precisión de 1 ms con respecto a utc.

Hyper-V

La virtualización de red de Hyper-V (HNV) es un componente fundamental de la solución actualizada de redes definidas por software (SDN) de Microsoft y está totalmente integrada en la pila de SDN. Windows Server 2016 incluye los siguientes cambios para Hyper-V:

• Windows Server 2016 ahora incluye un conmutador de Hyper-V programable. La controladora de red de Microsoft envía las directivas de HNV a un agente de host que se ejecuta en cada host mediante el protocolo de administración de bases de datos Open vSwitch (OVSDB) como interfaz SouthBound (SBI). El Agente de host almacena esta directiva mediante una personalización del esquema VTEP y programa reglas de flujo complejas en un motor de flujo eficaz en el conmutador de Hyper-V. El motor de flujo del conmutador de Hyper-V es el mismo que usa Azure. Toda la pila de SDN a través de la controladora de red y el proveedor de recursos de red también es coherente con Azure, lo que hace que su rendimiento sea comparable a la nube pública de Azure. En el motor de flujo de Microsoft, el conmutador de Hyper-V está equipado para controlar las reglas de flujo sin estado y con estado por medio de un mecanismo de acción de coincidencia simple que define cómo se deben procesar los paquetes dentro del conmutador.

• HNV ahora admite la encapsulación del protocolo de red de área local virtual extensible (VXLAN). HNV usa el protocolo VXLAN en modo de distribución MAC por medio de la controladora de red de Microsoft para asignar el inquilino a través de direcciones IP de red a las direcciones IP de red físicas subyacentes. Las descargas de tareas NVGRE y VXLAN son compatibles con controladores de terceros para mejorar el rendimiento.

• Windows Server 2016 incluye un equilibrador de carga de software (SLB) con compatibilidad total con el tráfico de red virtual e interacción sin problemas con HNV. El motor de flujo de alto rendimiento implementa el SLB en el v-Switch del plano de datos y, a continuación, la controladora de red lo controla para las asignaciones de IP virtual (VIP) o IP dinámica (DIP).

• HNV implementa encabezados Ethernet L2 adecuados para garantizar la interoperabilidad con dispositivos físicos y virtuales de terceros que dependen de protocolos estándar del sector. Microsoft se asegura de que todos los paquetes transmitidos tengan valores compatibles en todos los campos para garantizar la interoperabilidad. HNV requiere compatibilidad con tramas gigantes (MTU > 1780) en la red física L2 para tener en cuenta la sobrecarga de paquetes que introducen los protocolos de encapsulación como NVGRE y VXLAN. La compatibilidad con tramas gigantes garantiza que las máquinas virtuales de invitado conectadas a una red virtual de HNV mantengan una MTU de 1514.

• La compatibilidad con los contenedores Windows aporta mejoras de rendimiento, una administración de red simplificada y compatibilidad para contenedores de Windows en Windows 10. Para obtener más información, consulte Contenedores: Docker, Windows y Tendencias.

Nano Server

Novedades de Nano Server. Nano Server cuenta con un módulo actualizado para compilar imágenes de Nano Server, que incluye una mayor separación de la funcionalidad del host físico y la máquina virtual de invitado, así como compatibilidad con las diferentes ediciones de Windows Server.

También hay mejoras en la Consola de recuperación, como la separación de reglas de firewall de entrada y salida, además de la posibilidad de reparar la configuración de WinRM.

Máquinas virtuales blindadas

Windows Server 2016 proporciona una nueva máquina virtual blindada basada en Hyper-V para proteger cualquier máquina virtual de generación 2 de un tejido comprometido. Entre las características introducidas en Windows Server 2016 destacan las siguientes:

• El nuevo modo Cifrado admitido que ofrece un nivel de protección mayor que el de una máquina virtual común, pero menor que el modo Blindado, mientras se continúa admitiendo vTPM; el cifrado de disco; el cifrado de tráfico y Migración en vivo; y otras características, incluidas las facilidades en la administración directa del tejido, como las conexiones de consola de máquina virtual y PowerShell Direct.

• Soporte completo para la conversión de las máquinas virtuales no blindadas de segunda generación a máquinas virtuales blindadas, incluido el cifrado de disco automatizado.

• Virtual Machine Manager de Hyper-V ahora puede ver los tejidos en los que se autoriza la ejecución de una virtual blindada, lo que proporciona una manera de que el administrador del tejido abra un protector de claves (KP) de una máquina virtual blindada y vea los tejidos en los que se puede ejecutar.

• Puede cambiar los modos de atestación en un Servicio de protección de host. Ahora puede cambiar sobre la marcha entre la atestación basada en Active Directory, menos segura pero más sencilla, y la atestación basada en TPM.

• Las herramientas de diagnóstico integrales basadas en Windows PowerShell que pueden detectar configuraciones incorrectas o errores en ambos hosts protegidos de Hyper-V y el Servicio de protección de host.

• Un entorno de recuperación que ofrece un medio para solucionar problemas y reparar máquinas virtuales blindadas dentro del tejido en el que se ejecutan normalmente ofreciendo al mismo tiempo un nivel de protección idéntico al de la propia máquina virtual blindada.

• Compatibilidad con el Servicio de protección de host para proteger el entorno existente de Active Directory: puede dirigir el Servicio de protección de host para usar un bosque existente de Active Directory como su Active Directory en lugar de crear su propia instancia de Active Directory

Para obtener más información e instrucciones para trabajar con máquinas virtuales blindadas, consulte Tejido protegido y máquinas virtuales blindadas.

Identidad y acceso

Las nuevas características de Identidad aumentan la capacidad de las organizaciones de proteger los entornos de Active Directory y les ayudan a migrar a implementaciones de solo en la nube e implementaciones híbridas, donde algunas aplicaciones y servicios se hospedan en la nube y otros se hospedan de forma local.

Servicios de certificados de Active Directory

Servicios de certificados de Active Directory (AD CS) en Windows Server 2016 aumenta la compatibilidad con la atestación de claves de TPM: ahora puede usar KSP de tarjeta inteligente para la atestación de claves y los dispositivos que no están unidos al dominio ahora pueden usar la inscripción de NDES para obtener certificados que se pueden atestiguar para las claves que están en un TPM.

Privileged Access Management

La administración de acceso con privilegios (PAM) ayuda a mitigar los problemas de seguridad en entornos de Active Directory causados por técnicas de robo de credenciales, como pass-the-hash, phishing de lanza, etc. Puede configurar esta nueva solución de acceso administrativo mediante Microsoft Identity Manager (MIM) y presenta las siguientes características:

• El bosque de Active Directory bastión, aprovisionado por MIM, tiene una confianza especial de PAM con un bosque existente. Los bosques bastión son un nuevo tipo de entorno de Active Directory que está libre de actividad malintencionada debido a que están aislados de bosques existentes y solo permiten el acceso a cuentas con privilegios.

• Nuevos procesos de MIM para solicitar privilegios administrativos, incluidos nuevos flujos de trabajo para aprobar solicitudes.

• Nuevas entidades de seguridad de sombras, o grupos, aprovisionadas en el bosque bastión por MIM en respuesta a las solicitudes de privilegios administrativos. Los grupos de seguridad de sombras tienen un atributo que hace referencia al SID de un grupo administrativo en un bosque existente. Esto permite que el grupo de sombras acceda a los recursos de los bosques existentes sin cambiar ninguna lista de control de acceso (ACL).

• Una característica de vínculos de expiración, que permite pertenencias a tiempo limitado a un grupo de sombras. Puede agregar usuarios al grupo durante un período de tiempo establecido que les permita realizar tareas administrativas. La pertenencia a tiempo limitado se configura mediante un valor de período de vida (TTL) que se propaga a la duración del vale kerberos.

  Nota:

  Los vínculos con fecha de expiración están disponibles en todos los atributos vinculados, Sin embargo, solo la relación de atributo vinculado member/memberOF entre un grupo y un usuario viene preconfigurada con PAM para usar la característica de vínculos que expiran.

• Las mejoras integradas del controlador de dominio de Kerberos (KDC) permiten a los controladores de dominio de Active Directory restringir las duraciones de vale de Kerberos al valor de TTL más bajo posible cuando los usuarios tienen varias pertenencias a grupos administrativos de tiempo limitado. Por ejemplo, si es miembro del grupo de tiempo limitado A, al iniciar sesión, la duración del vale de concesión de vales (TGT) de Kerberos es igual al tiempo que ha dejado en el grupo A. Si también se une al grupo de límite de tiempo B, que tiene un TTL inferior al grupo A, la duración del TGT es igual al tiempo que ha dejado en el grupo B.

• Nuevas funcionalidades de supervisión que permiten identificar a qué usuarios solicitaron acceso, qué acceso les concedieron los administradores y qué actividades realizaron durante la sesión.

Para obtener más información sobre PAM, consulte Privileged Access Management for Servicios de dominio de Active Directory.

Unión a Microsoft Entra

La unión a Microsoft Entra mejora las experiencias de identidad para los clientes empresariales, empresariales y educativos, así como la inclusión de funcionalidades mejoradas para dispositivos corporativos y personales.

• La configuración moderna ya está disponible en dispositivos Windows corporativos. Ya no necesita una cuenta personal de Microsoft para usar las funcionalidades básicas de Windows y se ejecutan con cuentas profesionales de usuario existentes para garantizar el cumplimiento. Estos servicios funcionan en equipos unidos a un dominio y dispositivos Windows locales unidos a Microsoft Entra. Entre estas opciones se incluyen:

  • Itinerancia o personalización, configuración de accesibilidad y credenciales

  • Copia de seguridad y restauración

  • Acceso a Microsoft Store con su cuenta profesional

  • Notificaciones e iconos dinámicos

• Acceda a los recursos de la organización en dispositivos móviles, como teléfonos y tabletas, que no se pueden unir a un dominio de Windows, ya sea de propiedad corporativa o traiga su propio dispositivo (BYOD).

• Use el inicio de sesión único (SSO) para Office 365 y otras aplicaciones organizativas, sitios web y recursos.

• En dispositivos BYOD, agregue una cuenta profesional desde un dominio local o Azure AD a un dispositivo de propiedad personal. Puede usar el inicio de sesión único para acceder a los recursos de trabajo a través de aplicaciones o en la Web, mientras sigue siendo compatible con nuevas características, como control de cuentas condicionales y atestación de Estado del dispositivo.

• La integración de administración de dispositivos móviles (MDM) permite inscribir automáticamente dispositivos en la herramienta de administración de dispositivos móviles (MDM) (Microsoft Intune o de terceros).

• Configure el modo de pantalla completa y los dispositivos compartidos para varios usuarios de su organización.

• La experiencia del desarrollador le permite crear aplicaciones que se adapten tanto a contextos empresariales como personales con una pila de programación compartida.

• La opción de creación de imágenes permite elegir entre imágenes y permitir que los usuarios configuren dispositivos corporativos directamente durante la experiencia de primera ejecución.

Windows Hello para empresas

Windows Hello para empresas es un método de autenticación basado en claves dirigido a organizaciones y consumidores que no se limita a las contraseñas. Esta forma de autenticación se basa en credenciales que son resistentes a infracciones, robos y suplantación de identidad( phishing).

El usuario inicia sesión en el dispositivo con un PIN o biométrico vinculado a un certificado o un par de claves asimétricas. Los proveedores de identidades (IDP) validan al usuario mediante la asignación de la clave pública del usuario a IDLocker y proporcionan información de inicio de sesión a través de la contraseña de una sola vez (OTP), por teléfono o un mecanismo de notificación diferente.

Para obtener más información, consulte Windows Hello para empresas.

Desuso del servicio de replicación de archivos (FRS) y los niveles funcionales de Windows Server 2003

Aunque el Servicio de replicación de archivos (FRS) y los niveles funcionales de Windows Server 2003 estaban en desuso en versiones anteriores de Windows Server, nos gustaría recordarle que AD DS ya no admite Windows Server 2003. Debe quitar cualquier controlador de dominio que ejecute Windows Server 2003 del dominio. También debe elevar el nivel funcional de dominio y bosque a al menos Windows Server 2008.

En los niveles funcionales de dominio de Windows Server 2008 y versiones posteriores, AD DS usa replicación del Servicio de archivos distribuidos (DFS) para replicar el contenido de la carpeta SYSVOL entre controladores de dominio. Si crea un nuevo dominio en el nivel funcional del dominio de Windows Server 2008 o superior, Replicación DFS replica automáticamente la carpeta SYSVOL. Si creó el dominio en un nivel funcional inferior, debe migrar de usar FRS a replicación DFS para la carpeta SYSVOL. Para obtener pasos de migración más detallados, consulte Instalación, actualización o migración a Windows Server.

Para obtener más información, consulte los siguientes recursos:

• Descripción de los niveles funcionales de Active Directory Domain Services (AD DS)
• Cómo aumentar los niveles funcionales de dominio y bosque de Active Directory

Servicios de federación de Active Directory

Los Servicios de federación de Active Directory (ADFS) en Windows Server 2016 incluyen nuevas características que le permiten configurar AD FS para la autenticación de usuarios almacenados en directorios de protocolo ligero de acceso a directorios (LDAP).

Proxy de aplicación web

La versión más reciente del Proxy de aplicación web se centra en las nuevas características que permiten la publicación y la autenticación previa de más aplicaciones y una experiencia de usuario mejorada. Consulte la lista completa de las nuevas características que incluye autenticación previa para aplicaciones de cliente enriquecidas Exchange ActiveSync y dominios con comodín para una publicación más sencilla de aplicaciones de SharePoint. Para obtener más información, consulte Proxy de aplicación web en Windows Server 2016.

Administración

El área Administración y automatización se centra en la información de referencia y las herramientas para profesionales de TI que desean ejecutar y administrar Windows Server 2016, incluido Windows PowerShell.

Windows PowerShell 5.1 incluye nuevas e importantes características, entre las que se incluyen el soporte para el desarrollo con clases y las nuevas características de seguridad, que amplían y mejoran su uso, y le permiten controlar y administrar entornos basados en Windows de manera más sencilla y completa. Consulte Nuevos escenarios y características de WMF 5.1 para obtener más información.

Las incorporaciones nuevas de Windows Server 2016 incluyen: la capacidad de ejecutar PowerShell.exe localmente en Nano Server (ya no solo de manera remota), nuevos cmdlets de usuarios y grupos locales para reemplazar la GUI y la incorporación de compatibilidad con la depuración de PowerShell y en Nano Server para la transcripción y el registro de seguridad y JEA.

A continuación se indican algunas de las otras nuevas características de administración:

Servicio de configuración estado deseado de PowerShell en Windows Management Framework (WMF) 5

Windows Management Framework 5 incluye actualizaciones a la configuración de estado deseado de Windows PowerShell (DSC), la Administración remota de Windows (WinRM) y el Instrumental de administración de Windows (WMI).

Para obtener más información sobre cómo probar las características de DSC de Windows Management Framework 5, consulte la serie de entradas de blog que se encuentran en Validación de características de la configuración de estado deseado de PowerShell DSC. Para realizar la descarga, consulte Windows Management Framework 5.1.

PackageManagement ha unificado la administración de paquetes para inventario, instalación y detección de software

Windows Server 2016 y Windows 10 incluyen la nueva característica PackageManagement (anteriormente denominada OneGet) que permite a profesionales de TI o de DevOps automatizar la detección de software, la instalación y el inventario, de manera local o remota, con independencia de la tecnología de instalador y de dónde se encuentra el software.

Para obtener más información, consulte https://github.com/OneGet/oneget/wiki.

Mejoras de PowerShell para ayudar a realizar análisis forenses digitales y a reducir las infracciones de seguridad

Para ayudar al equipo responsable a investigar sistemas comprometidos, a veces conocido como el “equipo azul”, se ha agregado la funcionalidad adicional de registros de PowerShell y otra funcionalidad de análisis forenses digitales, además de una funcionalidad para ayudar a reducir las vulnerabilidades en scripts, como PowerShell restringido y API CodeGeneration seguras.

Para más información, consulte la entrada de blog PowerShell ♥ the Blue Team.

Redes

El área Redes abarca los productos y las características de redes dirigidos al profesional de TI para diseñar, implementar y mantener Windows Server 2016.

Redes definidas por software

Ahora puede reflejar y enrutar tráfico a dispositivos virtuales nuevos o existentes. Junto con un firewall distribuido y los grupos de seguridad de red, esto le permite segmentar dinámicamente y proteger las cargas de trabajo de una manera similar a Azure. En segundo lugar, puede implementar y administrar por completo las redes definidas por software (SDN) con System Center Virtual Machine Manager. Por último, puede usar Docker para administrar las redes de contenedor de Windows Server y asociar directivas de SDN no solo con las máquinas virtuales, sino también con contenedores. Para obtener más información, consulte Planeación de una infraestructura de red definida por software.

Mejoras en el rendimiento de TCP

El valor predeterminado del intervalo de congestión inicial (ICW) se ha aumentado de 4 a 10 y TCP Fast Open (TFO) se ha implementado. TFO reduce la cantidad de tiempo necesario para establecer una conexión TCP y el ICW aumentado permite la transferencia de objetos más grandes a la ráfaga inicial. Esta combinación puede reducir significativamente el tiempo necesario para transferir un objeto de Internet entre el cliente y la nube.

Para mejorar el comportamiento de TCP al recuperarse de la pérdida de paquetes, hemos implementado el sondeo de pérdida de cola TCP (TLP) y la confirmación reciente (RACK). TLP ayuda a convertir los tiempos de espera de retransmisión (RTO) para recuperaciones rápidas y RACK reduce el tiempo necesario para que la recuperación rápida retransmita un paquete perdido.

Protocolo de configuración dinámica de host (DHCP)

El Protocolo de configuración dinámica de host (DHCP) tiene los siguientes cambios en Windows Server 2016:

• A partir de Windows 10, versión 2004, cuando se ejecuta un cliente de Windows y se conecta a Internet mediante un dispositivo Android anclado, las conexiones ahora se etiquetan como medidos. El nombre tradicional del proveedor de cliente que apareció como MSFT 5.0 en determinados dispositivos Windows ahora es MSFT 5.0 XBOX.

• A partir de Windows 10, versión 1803, el cliente DHCP ahora puede leer y aplicar la opción 119, la opción de búsqueda de dominios, desde el servidor DHCP al que se conecta el sistema. La opción de búsqueda de dominios también proporciona sufijos de Servicios de nombres de dominio (DNS) para búsquedas DNS de nombres cortos. Para obtener más información, consulte RFC 3397.

• DHCP ahora admite la opción 82 (subopción 5). Puede usar esta opción para permitir que los clientes de proxy y los agentes de retransmisión de DHCP soliciten una dirección IP para una subred específica. Si usa un agente de retransmisión DHCP configurado con la opción DHCP 82 (sub-opción 5), el agente de retransmisión puede solicitar una concesión de direcciones IP para los clientes DHCP desde un intervalo de direcciones IP específico. Para obtener más información, vea Opciones de selección de subred DHCP.

• Nuevos eventos de registro para escenarios en los que se producen errores en los registros de registros DNS en el servidor DNS. Para obtener más información, consulte Eventos de registro dhcp para registros DNS.

• El rol servidor DHCP ya no admite protección de acceso a redes (NAP). Los servidores DHCP no aplican directivas NAP y los ámbitos DHCP no pueden estar habilitados para NAP. Los equipos cliente DHCP que también son clientes NAP envían un informe de mantenimiento (SoH) con la solicitud DHCP. Si el servidor DHCP ejecuta Windows Server 2016, estas solicitudes se procesan como si no existiera ningún SoH. El servidor DHCP realiza una concesión DHCP normal al cliente. Si los servidores que ejecutan Windows Server 2016 son servidores proxy del servicio de acceso telefónico local de autenticación remota (RADIUS) que reenvía solicitudes de autenticación a un servidor de directivas de red (NPS) que admite NAP, NPS evalúa a estos clientes como no compatibles con NAP, lo que provoca un error en el procesamiento de NAP. Para obtener más información sobre el desuso de NAP y NAP, consulta Características eliminadas o en desuso en Windows Server 2012 R2.

Seguridad y control

El área Seguridad y control incluye soluciones y características de seguridad para que los profesionales de TI implementen en su entorno de nube y centro de datos. Para obtener información sobre la seguridad en Windows Server 2016 en general, vea Seguridad y control.

Just Enough Administration (JEA)

Just Enough Administration (JEA) en Windows Server 2016 es la tecnología de seguridad que habilita la administración delegada para todo lo que se puede administrar con Windows PowerShell. Entre las funcionalidades se incluyen compatibilidad para la ejecución bajo una identidad de red, conexión a través de PowerShell Direct, copia segura hacia y desde puntos de conexión de JEA, y configuración de la consola de PowerShell para iniciar en un contexto de JEA de manera predeterminada. Para más información, consulte JEA en GitHub.

Credential Guard

Credential Guard usa la seguridad basada en virtualización para aislar los secretos de forma que solo el software de sistema con privilegios pueda acceder a ellos. Para obtener más información, consulta Proteger las credenciales de dominio derivadas con Credential Guard.

Credential Guard para Windows Server 2016 incluye las siguientes actualizaciones para las sesiones de los usuarios que han iniciado sesión:

• Kerberos y New Technology LAN Manager (NTLM) usan la seguridad basada en virtualización para proteger los secretos Kerberos y NTLM para las sesiones de los usuarios que han iniciado sesión.

• Credential Manager protege las credenciales de dominio guardadas mediante la seguridad basada en virtualización. Las credenciales de inicio de sesión y las credenciales de dominio guardadas no se transfieren a hosts remotos mediante Escritorio remoto.

• Puede habilitar Credential Guard sin un bloqueo de Unified Extensible Firmware Interface (UEFI).

Credential Guard remoto

Credential Guard incluye compatibilidad con sesiones RDP para que las credenciales de usuario permanezcan en el lado cliente y no se expongan en el lado servidor. También proporciona inicio de sesión único para las conexiones a Escritorio remoto. Para obtener más información, consulte Proteger las credenciales de dominio derivadas con Credential Guard de Windows Defender.

Remote Credential Guard para Windows Server 2016 incluye las siguientes actualizaciones para los usuarios que han iniciado sesión:

• Remote Credential Guard mantiene los secretos Kerberos y NTLM para las credenciales de los usuarios que han iniciado sesión en el dispositivo cliente. Cualquier solicitud de autenticación del host remoto para evaluar los recursos de red como usuario requiere que el dispositivo cliente use los secretos.

• Remote Credential Guard protege las credenciales de usuario proporcionadas cuando se utiliza Escritorio remoto.

Protecciones de dominio

Las protecciones de dominio ahora requieren un dominio de Active Directory.

Compatibilidad con la extensión de actualización PKInit

Los clientes Kerberos ahora intentan la extensión de actualización PKInit para inicios de sesión basados en claves públicas.

Los KDC ahora admiten la extensión de actualización PKInit. Sin embargo, no ofrecen la extensión de actualización PKInit de forma predeterminada.

Para obtener más información, consulte Compatibilidad con el cliente Kerberos y KDC para la extensión de actualización PKInit de RFC 8070.

Reversión de los secretos NTLM del único usuario de la clave pública

A partir del nivel funcional de dominio (DFL) de Windows Server 2016, los controladores de dominio ahora admiten la rotación de secretos NTLM de un usuario de solo clave pública. Esta función no está disponible en niveles de funcionamiento de dominio (DFL) inferiores.

Advertencia

La adición de un controlador de dominio habilitado antes de la actualización del 8 de noviembre de 2016 a un dominio que admita secretos NTLM rotativos puede provocar que el controlador de dominio se bloquee.

Para los nuevos dominios, esta característica está habilitada de manera predeterminada. En el caso de los dominios existentes, se debe configurar en el Centro de administración de Active Directory.

En el Centro de administración de Active Directory, haga clic con el botón derecho en el dominio en el panel izquierdo y seleccione Propiedades. Seleccione la casilla Enable rolling of expiring NTLM secrets during sign on for users who are required to use Windows Hello for Business or smart card for interactive logon (Habilitar la rotación de secretos NTLM que expiran durante el inicio de sesión para los usuarios que deben usar Windows Hello for Business o una tarjeta inteligente para el inicio de sesión interactivo). Después, seleccione Aceptar para aplicar este cambio.

Permitir NTLM de red cuando un usuario está restringido a determinados dispositivos unidos a un dominio

Los controladores de dominio ahora pueden admitir la autenticación de red NTLM cuando un usuario está restringido a dispositivos específicos unidos a un dominio en el DFL de Windows Server 2016 y versiones posteriores. Esta característica no está disponible en los DFL que ejecutan un sistema operativo anterior a Windows Server 2016.

Para configurar esta opción, en la directiva de autenticación, seleccione Allow NTLM network authentication when the user is restricted to selected devices (Permitir la autenticación de red NTLM cuando el usuario está restringido a los dispositivos seleccionados).

Para obtener más información, consulte Directivas de autenticación y silos de directivas de autenticación.

Device Guard (integridad de código)

Device Guard proporciona integridad de código del modo kernel (KMCI) e integridad de código del modo de usuario (UMCI) mediante la creación de directivas que especifican qué código se puede ejecutar en el servidor. Consulte Introducción a Device Guard de Windows Defender: directivas de integridad de código y seguridad basada en virtualización.

Windows Defender

Información general acerca de Windows Defender para Windows Server 2016. Windows Server Antimalware está instalado y habilitado de forma predeterminada en Windows Server 2016, pero la interfaz de usuario de Windows Server Antimalware no está instalada. A pesar de ello, Windows Server Antimalware actualizará las definiciones de antimalware y protegerá el equipo sin la interfaz de usuario. Si necesita la interfaz de usuario de Windows Server Antimalware, puede instalarla después de haber instalado el sistema operativo mediante el Asistente para agregar roles y características.

Protección de flujo de control

Protección de flujo de control (CFG) es una característica de seguridad de plataforma que se creó para luchar contra vulnerabilidades de corrupción de memoria. Para obtener más información, vea Protección de flujo de control.

Storage

El almacenamiento en Windows Server 2016 incluye nuevas características y mejoras de almacenamiento definido por software, así como servidores de archivos tradicionales. A continuación se muestran algunas de las nuevas características; para consultar más mejoras y detalles, vea Novedades de Espacios de almacenamiento en Windows Server 2016.

Espacios de almacenamiento directos

Espacios de almacenamiento directo permite la creación de almacenamiento altamente disponible y escalable con servidores de almacenamiento local. Simplifica la implementación y administración de los sistemas de almacenamiento definidos por software y desbloquea el uso de las nuevas clases de dispositivos de disco, como SSD de SATA y dispositivos de disco NVMe, que no estaban disponibles con Espacios de almacenamiento de clúster con discos compartidos.

Para obtener más información, vea Espacios de almacenamiento directo.

Réplica de almacenamiento

Réplica de almacenamiento (SR) permite la replicación sincrónica independiente del almacenamiento y a nivel de bloque entre servidores o clústeres para la recuperación ante desastres, además de la extensión de un clúster de conmutación por error entre sitios. La replicación sincrónica permite el reflejo de datos en sitios físicos con volúmenes coherentes frente a bloqueos para asegurar que no se produce absolutamente ninguna pérdida de datos en el nivel de sistema de archivos. La replicación asincrónica permite la extensión de sitios más allá del área metropolitana con la posibilidad de pérdida de datos.

Para más información, vea Réplica de almacenamiento.

Calidad de servicio (QoS) del almacenamiento

Ahora puede usar la calidad de servicio del almacenamiento para supervisar de manera centralizada el rendimiento del almacenamiento de extremo a extremo y crear directivas de administración mediante Hyper-V y clústeres de CSV en Windows Server 2016.

Para más información, vea Calidad de servicio del almacenamiento.

Desduplicación de datos

Windows Server 2016 incluye las siguientes características nuevas para la desduplicación de datos.

Compatibilidad con volúmenes grandes

A partir de Windows Server 2016, la canalización de trabajo de desduplicación de datos ahora puede ejecutar varios subprocesos en paralelo mediante muchas colas de E/S para cada volumen. Este cambio aumenta el rendimiento a los niveles que antes solo era posible dividiendo los datos en varios volúmenes más pequeños. Estas optimizaciones se aplican a todos los trabajos de Desduplicación de datos, no solo al trabajo de optimización. En el diagrama siguiente se muestra cómo cambió la canalización entre versiones de Windows Server.

Debido a estas mejoras de rendimiento, en Windows Server 2016, la desduplicación de datos tiene un alto rendimiento en volúmenes de hasta 64 TB.

Compatibilidad con archivos grandes

A partir de Windows Server 2016, Desduplicación de datos usa estructuras de mapa de flujos y otras mejoras para aumentar el rendimiento de optimización y el rendimiento de acceso. La canalización de procesamiento de desduplicación también puede reanudar la optimización después de escenarios de conmutación por error en lugar de empezar desde el principio. Este cambio mejora el rendimiento de los archivos hasta 1 TB, lo que permite a los administradores aplicar ahorros de desduplicación a una mayor variedad de cargas de trabajo, como archivos grandes asociados a cargas de trabajo de copia de seguridad.

Compatibilidad con Nano Server

Nano Server es una opción de implementación sin encabezado en Windows Server 2016 que requiere una superficie de recursos del sistema mucho más pequeña, se inicia significativamente más rápido y requiere menos actualizaciones y reinicios que la opción de implementación de Windows Server Core. Nano Server también admite totalmente desduplicación de datos. Para obtener más información sobre Nano Server, consulte Imágenes base de contenedor.

Configuración simplificada de aplicaciones virtualizadas de copia de seguridad

A partir de Windows Server 2016, la desduplicación de datos para escenarios de aplicaciones de copia de seguridad virtualizadas se simplifica enormemente. Este escenario es ahora una opción predefinida Tipo de uso. Ya no es necesario ajustar manualmente la configuración de desduplicación, simplemente habilite Desduplicación para un volumen como lo haría con el servidor de archivos de uso general y Infraestructura de escritorio virtual (VDI).

Compatibilidad con la actualización gradual del sistema operativo del clúster

Los clústeres de conmutación por error de Windows Server que ejecutan Desduplicación de datos pueden tener una combinación de nodos que ejecutan las versiones de Desduplicación de datos de Windows Server 2012 R2 y Windows Server 2016. Esta característica de clúster en modo mixto proporciona acceso completo a los datos a todos los volúmenes desduplicados durante las actualizaciones graduales del clúster. Ahora puede implementar gradualmente versiones posteriores de Desduplicaciones de datos en clústeres que ejecutan versiones anteriores de Windows Server sin tiempo de inactividad.

Clúster de conmutación por error

Windows Server 2016 incluye muchas nuevas características y mejoras para varios servidores que se agrupan en un único clúster tolerante a errores mediante la característica Clústeres de conmutación por error.

Actualización gradual del sistema operativo del clúster

La actualización gradual del sistema operativo del clúster permite a un administrador actualizar el sistema operativo de los nodos del clúster de Windows Server 2012 R2 a Windows Server 2016 sin detener las cargas de trabajo de Servidor de archivos de Hyper-V o escalabilidad horizontal. Puede usar esta característica para evitar penalizaciones de tiempo de inactividad en contratos de nivel de servicio (SLA).

Para más información, consulte Actualización gradual del sistema operativo del clúster.

Testigo en la nube

Testigo en la nube es un nuevo tipo de testigo de cuórum de clúster de conmutación por error en Windows Server 2016 que utiliza Microsoft Azure como punto de arbitraje. El testigo en la nube, como cualquier otro testigo de cuórum, obtiene un voto y puede participar en los cálculos de cuórum. Puede configurar El testigo en la nube como testigo de cuórum mediante el Asistente para configurar un cuórum de clúster.

Para más información, consulte Implementación de testigo en la nube para un clúster de conmutación por error.

Resistencia de la máquina virtual

Windows Server 2016 incluye una mayor resistencia de proceso de máquina virtual (VM) para ayudar a reducir los problemas de comunicación entre clústeres en el clúster de proceso. Esta mayor resistencia incluye las siguientes actualizaciones:

• Ahora puede configurar las siguientes opciones para definir cómo deben comportarse las máquinas virtuales durante los errores transitorios:

  • Nivel de resistencia define cómo la implementación debe controlar los errores transitorios.

  • Período de resistencia define cuánto tiempo se permite que todas las máquinas virtuales se ejecuten aisladas.

• Los nodos incorrectos están en cuarentena y ya no pueden unirse al clúster. Esta característica impide que los nodos incorrectos afecten negativamente a otros nodos y al clúster general.

Para obtener más información sobre las características de resistencia de proceso, consulte Resistencia de proceso de máquina virtual en Windows Server 2016.

Las máquinas virtuales de Windows Server 2016 también incluyen nuevas características de resistencia de almacenamiento para controlar errores de almacenamiento transitorios. La resistencia mejorada ayuda a conservar los estados de sesión de máquina virtual del inquilino en caso de que se produzca una interrupción del almacenamiento. Cuando una máquina virtual se desconecta de su almacenamiento subyacente, se pausa y espera a que se recupere el almacenamiento. Mientras se pausa, la máquina virtual conserva el contexto de las aplicaciones que se estaban ejecutando en él en el momento del error de almacenamiento. Cuando se restaura la conexión entre la máquina virtual y el almacenamiento, la máquina virtual vuelve a su estado de ejecución. Como resultado, el estado de sesión de la máquina del inquilino se conserva en la recuperación.

Las nuevas características de resistencia de almacenamiento también se aplican a los clústeres invitados.

Mejoras de diagnóstico

Para ayudar a diagnosticar problemas con clústeres de conmutación por error, Windows Server 2016 incluye lo siguiente:

• Varias mejoras en los archivos de registro del clúster, como la información de zona horaria y el registro diagnosticVerbose, facilitan la solución de problemas de agrupación en clústeres de conmutación por error. Para más información, consulte Mejoras de la solución de problemas del clúster de conmutación por error de Windows Server 2016: Registro de clúster.

• Un nuevo tipo de volcado de memoria activo filtra la mayoría de las páginas de memoria asignadas a las máquinas virtuales, lo que hace que el archivo memory.dmp sea mucho más pequeño y fácil de guardar o copiar. Para más información, consulte Mejoras de la solución de problemas del clúster de conmutación por error de Windows Server 2016: Volcado activo.

Clústeres de conmutación por error compatibles con el sitio

Windows Server 2016 incluye clústeres de conmutación por error compatibles con el sitio que habilitan nodos de grupo en clústeres extendidos en función de su ubicación física o sitio. El reconocimiento de sitios de clúster mejora las operaciones clave durante el ciclo de vida del clúster, como el comportamiento de conmutación por error, directivas de colocación, latidos entre los nodos y el comportamiento de cuórum. Para más información, consulte Clústeres de conmutación por error con reconocimiento de sitios en Windows Server 2016.

Clústeres de grupo de trabajo y de dominios múltiples

En Windows Server 2012 R2 y versiones anteriores, solo se puede crear un clúster entre nodos miembro unidos al mismo dominio. Windows Server 2016 rompe estas barreras y presenta la capacidad para crear un clúster de conmutación por error sin dependencias de Active Directory. Ahora puede crear clústeres de conmutación por error en las siguientes configuraciones:

• Clústeres de dominio único, que tienen todos sus nodos unidos al mismo dominio.

• Clústeres de varios dominios, que tienen nodos que son miembros de dominios diferentes.

• Clústeres de grupo de trabajo, que tienen nodos que son servidores miembros o grupos de trabajo que no están unidos a un dominio.

Para más información, consulte Clústeres de grupo de trabajo y de dominios múltiples en Windows Server 2016.

Equilibrio de carga de máquinas virtuales

El equilibrio de carga de máquinas virtuales es una característica nueva en clústeres de conmutación por error que equilibra sin problemas la carga de las máquinas virtuales entre los nodos de un clúster. La característica identifica nodos sobrecommitidos en función de la memoria de máquina virtual y el uso de CPU en el nodo. Después, migra las máquinas virtuales del nodo sobrecommitido a los nodos con ancho de banda disponible. Puede ajustar la forma agresiva en que la característica equilibra los nodos para garantizar un rendimiento y uso óptimos del clúster. El equilibrio de carga está habilitado de forma predeterminada en Windows Server 2016 (versión preliminar técnica). Sin embargo, el equilibrio de carga se deshabilita si la optimización dinámica de SCVMM está habilitada.

Orden de inicio de la máquina virtual

El orden de inicio de la máquina virtual es una nueva característica en clústeres de conmutación por error que presenta la orquestación de pedidos de inicio para las máquinas virtuales y otros grupos de un clúster. Ahora puede agrupar máquinas virtuales en niveles y, después, crear dependencias de orden de inicio entre distintos niveles. Estas dependencias garantizan que las máquinas virtuales más importantes, como controladores de dominio o máquinas virtuales de utilidad, se inicien primero. Las máquinas virtuales en niveles de prioridad inferior no se inician hasta después de las máquinas virtuales que tienen una dependencia en el inicio.

SMB multicanal simplificada y redes de clústeres de varias NIC

Las redes de clústeres de conmutación por error ya no están limitadas a una sola tarjeta de interfaz de red (NIC) por subred o red. Con las redes de clústeres multicanal y multicanal del bloque de mensajes del servidor (SMB), la configuración de red es automática y todas las NIC de la subred se pueden usar para el tráfico de clústeres y cargas de trabajo. Esta mejora permite a los clientes maximizar el rendimiento de red para Hyper-V, instancias de clústeres de conmutación por error de SQL Server y otras cargas de trabajo de SMB.

Para más información, consulte SMB multicanal simplificada y redes de clústeres de varias NIC.

Desarrollo de aplicaciones

Internet Information Services (IIS) 10.0

Entre las nuevas características proporcionadas por el servidor web IIS 10.0 en Windows Server 2016 se incluyen:

• Compatibilidad con el protocolo HTTP/2 en la pila de red e integrada con IIS 10.0, lo que permite a los sitios web de IIS 10.0 atender automáticamente las solicitudes HTTP/2 para las configuraciones admitidas. Esto permite numerosas mejoras frente a HTTP/1.1, como una reutilización más eficaz de las conexiones y una menor latencia, lo que mejora los tiempos de carga de páginas web.
• Capacidad para ejecutar y administrar IIS 10.0 en Nano Server. Consulte IIS en Nano Server.
• Compatibilidad con encabezados de host comodín, lo que permite a los administradores configurar un servidor web para un dominio y luego hacer que el servidor web atienda las solicitudes de un subdominio cualquiera.
• Un nuevo módulo de PowerShell (IISAdministration) para administrar IIS.

Si desea obtener información más detallada, consulte IIS.

Coordinador de transacciones distribuidas (MSDTC)

En Microsoft Windows 10 y Windows Server 2016, se agregaron tres características nuevas:

• Un administrador de recursos puede usar una nueva interfaz para Rejoin del Administrador de recursos para determinar el resultado de una transacción dudosa después de que una base de datos se reinicie debido a un error. Para obtener más información, consulte IResourceManagerRejoinable::Rejoin.

• El límite de nombres de DSN se amplía de 256 bytes a 3072 bytes. Para obtener más información, consulte IDtcToXaHelperFactory::Create, IDtcToXaHelperSinglePipe::XARMCreate o IDtcToXaMapper::RequestNewResourceManager.

• Se ha mejorado el seguimiento, lo que te permite establecer una clave del registro para incluir una ruta de acceso del archivo de imagen en el nombre de archivo del registro de seguimiento, para que pueda saber qué archivo del registro de seguimiento debe comprobar. Para obtener más información sobre cómo configurar el seguimiento de MSDTC, consulte Cómo habilitar el seguimiento de diagnóstico para MS DTC en un equipo basado en Windows.

Servidor DNS

Windows Server 2016 incluye las siguientes actualizaciones para el servidor del sistema de nombres de dominio (DNS).

Directivas DNS

Se pueden configurar directivas DNS para especificar cómo responde un servidor DNS a las consultas de DNS. Puede configurar las respuestas de DNS en función de la dirección IP del cliente, la hora del día y otros distintos parámetros. Las directivas de DNS pueden habilitar el DNS con reconocimiento de ubicación, administración de tráfico, equilibradores de carga, DNS dividido y otros escenarios. Para obtener más información, consulte la Guía de escenarios de la directiva DNS.

RRL

Puede habilitar la limitación de velocidad de respuesta (RRL) en los servidores DNS para evitar que los sistemas malintencionados usen los servidores DNS para iniciar un ataque de denegación de servicio distribuido (DDoS) en un cliente DNS. RRL impide que el servidor DNS responda a demasiadas solicitudes a la vez, lo que lo protege durante situaciones en las que una red de bots envía varias solicitudes a la vez para interrumpir las operaciones del servidor.

Compatibilidad con DANE

Puede usar la autenticación basada en DNS de entidades con nombre (DANE) compatible (RFC 6394 y RFC 6698) para indicar qué entidad de certificación deben esperar los clientes DNS para los nombres de dominio hospedados en el servidor DNS. Esto evita una tipo de ataque de intermediario en el que un agente malintencionado corrompe la caché de un DNS y dirige un nombre de DNS a su propia dirección IP.

Compatibilidad con registros desconocidos

Puede agregar registros que el servidor DNS no admita expresamente mediante la funcionalidad de registro desconocido. Un registro es desconocido cuando el servidor DNS no reconoce su formato RDATA. Windows Server 2016 admite tipos de registros desconocidos (RFC 3597), por lo que es posible agregar registros desconocidos a zonas de servidor DNS de Windows en formato binario en conexión. La solucionador del almacenamiento en caché de Windows ya puede procesar tipos de registros desconocidos. El servidor DNS de Windows no realiza un procesamiento concreto de registros para registros desconocidos, pero puede enviarlos en respuesta a las consultas que recibe.

Sugerencias de raíz IPv6

El servidor DNS de Windows ahora incluye sugerencias raíz IPv6 publicadas por la entidad de números asignados a Internet (IANA). La compatibilidad con las sugerencias de raíz IPv6 le permite realizar consultas de Internet que utilizan los servidores raíz IPv6 para resolver nombres.

Compatibilidad con Windows PowerShell

Windows Server 2016 incluye nuevos comandos que puede usar para configurar DNS en PowerShell. Para obtener más información, consulte Módulo DnsServer de Windows Server 2016 y Módulo DnsClient de Windows Server 2016.

Cliente DNS

El servicio de cliente DNS ahora ofrece compatibilidad mejorada para equipos con más de una interfaz de red.

Los equipos de host múltiple también pueden usar el enlace de servicio de cliente DNS para mejorar la resolución del servidor:

• Cuando se utiliza un servidor DNS configurado en una interfaz específica para resolver una consulta de DNS, el cliente DNS se enlaza a la interfaz antes de enviar la consulta. Este enlace permite al cliente DNS especificar la interfaz donde debe realizarse la resolución de nombres, optimizando de este modo las comunicaciones entre las aplicaciones y el cliente DNS a través de la interfaz de red.

• Si el servidor DNS que se está usando fue designado por una configuración de directiva de grupo de la tabla de directivas de resolución de nombres (NRPT), el servicio cliente DNS no se enlaza a la interfaz especificada.

Nota:

Los cambios en el servicio cliente DNS en Windows 10 también están presentes en los equipos que ejecutan Windows Server 2016 y posteriores.

Servicios de Escritorio remoto

Los Servicios de Escritorio remoto (RDS) realizaron los siguientes cambios para Windows Server 2016.

Compatibilidad de aplicaciones

RDS y Windows Server 2016 son compatibles con muchas aplicaciones de Windows 10, lo que crea una experiencia de usuario casi idéntica a un escritorio físico.

Azure SQL Database

El agente de Conexión de Escritorio remoto (RD) ahora puede almacenar toda la información de implementación, como los estados de conexión y las asignaciones de host de usuario, en una base de datos compartida de Lenguaje de consulta estructurado (SQL) de Azure. Esta característica le permite usar un entorno de alta disponibilidad sin tener que usar un grupo de disponibilidad AlwaysOn de SQL Server. Para obtener más información, consulte Uso de Azure SQL Database para su entorno de alta disponibilidad del Agente de conexión a Escritorio remoto.

Mejoras gráficas

La asignación discreta de dispositivos para Hyper-V le permite asignar unidades de procesamiento de gráficos (GPU) en una máquina host directamente a una máquina virtual (VM). Cualquier aplicación de la máquina virtual que necesite más GPU de la que la máquina virtual puede proporcionar puede usar la GPU asignada en su lugar. También hemos mejorado la vGPU de RemoteFX, incluida la compatibilidad con las máquinas virtuales de OpenGL 4.4, OpenCL 1.1, 4K y Windows Server. Para obtener más información, consulte Asignación discreta de dispositivos.

Mejoras del Agente de conexión a Escritorio remoto

Se ha mejorado la forma en que el Agente de conexión a Escritorio remoto controla la conexión durante las tormentas de inicio de sesión, que son períodos de solicitudes de inicio de sesión elevadas de los usuarios. El Agente de conexión a Escritorio remoto ahora puede controlar más de 10 000 solicitudes de inicio de sesión simultáneas. Las mejoras de mantenimiento también facilitan el mantenimiento en la implementación al poder agregar rápidamente servidores al entorno una vez que estén listos para volver a estar en línea. Para obtener más información, consulte Rendimiento mejorado del Agente de conexión a Escritorio remoto.

Cambios en el protocolo RDP 10

El Protocolo de escritorio remoto (RDP) 10 ahora utiliza el códec H.264/AVC 444, que optimiza tanto el vídeo como el texto. Esta versión también incluye compatibilidad con la comunicación remota del lápiz. Estas nuevas capacidades permiten que su sesión remota se parezca más a una sesión local. Para obtener más información, consulte Mejoras de RDP 10 AVC/H.264 en Windows 10 y Windows Server 2016.

Escritorios de sesión personal

La nueva función de escritorios de sesión personal le permiten tener su propio escritorio personal en la nube. Los privilegios administrativos y los hosts de sesión dedicados eliminan la dificultad a la hora de hospedar entornos en los que los usuarios desean administrar un escritorio remoto como un escritorio local. Para obtener más información, consulte Escritorios de sesión personal.

Autenticación de Kerberos

Windows Server 2016 incluye las siguientes actualizaciones para la autenticación Kerberos.

Compatibilidad con KDC para la autenticación de cliente basada en clave pública de confianza

Los centros de distribución de claves (KDC) ahora admiten la asignación de claves públicas. Si aprovisiona una clave pública para una cuenta, el KDC admite PKInit de Kerberos de forma explícita mediante esa clave. Dado que no hay validación de certificados, Kerberos admite certificados autofirmados, pero no admite la garantía del mecanismo de autenticación.

Las cuentas que ha configurado para usar la confianza de claves solo usarán la confianza de claves independientemente de cómo haya configurado la configuración de UseSubjectAltName.

Compatibilidad del cliente Kerberos y KDC con la extensión de actualización PKInit de RFC 8070

A partir de Windows 10, versión 1607 y Windows Server 2016, los clientes de Kerberos pueden usar la extensión de actualización PKInit de RFC 8070 para inicios de sesión basados en clave pública. Los KDC tienen deshabilitada la extensión de actualización PKInit de forma predeterminada, por lo que para habilitarla debe configurar la compatibilidad de KDC con la directiva de la plantilla administrativa de KDC de la extensión de actualización PKInit en todos los controladores de dominio.

La directiva tiene la siguiente configuración disponible cuando el dominio está en el nivel funcional de dominio de Windows Server 2016:

• Deshabilitado: el KDC nunca ofrece la extensión de actualización PKInit y acepta solicitudes de autenticación válidas sin comprobar la actualización. Los usuarios no reciben el nuevo SID de identidad de clave pública.
• Compatible: Kerberos admite la extensión de actualización PKInit a petición. Los clientes Kerberos que se autentican correctamente con la extensión de actualización PKInit obtendrán el SID de identidad de clave pública actualizado.
• Obligatorio: la extensión de actualización de PKInit es necesaria para una autenticación correcta. Los clientes de Kerberos que no admiten la extensión de actualización PKInit siempre fallarán al usar credenciales de clave pública.

Compatibilidad con dispositivos unidos a un dominio para la autenticación mediante clave pública

Si un dispositivo unido a un dominio puede registrar su clave pública enlazada con un controlador de dominio de Windows Server 2016, el dispositivo puede autenticarse con la clave pública mediante la autenticación PKInit de Kerberos a un controlador de dominio de Windows Server 2016.

Los dispositivos unidos a un dominio con claves públicas enlazadas registradas con un controlador de dominio de Windows Server 2016 ahora se pueden autenticar en un controlador de dominio de Windows Server 2016 mediante protocolos de criptografía de clave pública de Kerberos para la autenticación inicial (Kerberos Public Key Cryptography for Initial Authentication, PKInit). Para obtener más información, consulte Autenticación de clave pública de dispositivo unido a un dominio.

Los centros de distribución de claves (KDC) ahora admiten la autenticación mediante la confianza de claves de Kerberos.

Para obtener más información, consulte Compatibilidad con KDC para la asignación de cuentas de confianza de claves.

Los clientes Kerberos admiten nombres de host de direcciones IPv4 e IPv6 en nombres principales de servicio (SPN)

A partir de Windows 10 versión 1507 y Windows Server 2016, puede configurar clientes Kerberos para que admitan nombres de host IPv4 e IPv6 en SPN. Para obtener más información, consulte Configuración de Kerberos para direcciones IP.

Para configurar la compatibilidad con nombres de host de direcciones IP en SPN, cree una entrada TryIPSPN. Esta entrada no existe en el registro de forma predeterminada. Debe colocar esta entrada en la siguiente ruta de acceso:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Después de crear la entrada, cambie su valor DWORD a 1. Si este valor no está configurado, Kerberos no intentará nombres de host de dirección IP.

La autenticación Kerberos solo se realiza correctamente si el SPN está registrado en Active Directory.

Compatibilidad con KDC para la asignación de cuentas de clave de confianza

Los controladores de dominio ahora admiten la asignación de cuentas de confianza clave y la reserva a AltSecID y nombre principal de usuario (UPN) existentes en el comportamiento de SAN. Puede configurar la variable UseSubjectAltName con los valores siguientes:

• Si se establece la variable en 0, se requiere una asignación explícita. Los usuarios deben usar una confianza de claves o establecer una variable ExplicitAltSecID.

• Establecer la variable en 1, que es el valor predeterminado, permite la asignación implícita.

  • Si configura una confianza de claves para una cuenta en Windows Server 2016 o posterior, KDC usa KeyTrust para la asignación.

  • Si no hay ningún UPN en san, KDC intenta usar AltSecID para la asignación.

  • Si hay un UPN en san, KDC intenta usar el UPN para la asignación.

Active Directory Federation Services (AD FS)

AD FS para Windows Server 2016 contiene las siguientes actualizaciones.

Inicio de sesión con la autenticación multifactor de Microsoft Entra

AD FS 2016 se basa en las funcionalidades de autenticación multifactor (MFA) de AD FS en Windows Server 2012 R2. Ahora puede permitir el inicio de sesión que solo requiere un código de autenticación multifactor de Microsoft Entra en lugar de un nombre de usuario o una contraseña.

• Al configurar la autenticación multifactor de Microsoft Entra como método de autenticación principal, AD FS solicita al usuario su nombre de usuario y el código de contraseña única (OTP) de la aplicación Azure Authenticator.

• Al configurar la autenticación multifactor de Microsoft Entra como método de autenticación secundario o adicional, el usuario proporciona las credenciales de autenticación principales. Los usuarios pueden iniciar sesión mediante la autenticación integrada de Windows, que puede solicitar su nombre de usuario y contraseña, tarjeta inteligente o un certificado de usuario o dispositivo. A continuación, el usuario ve una solicitud de sus credenciales secundarias, como el inicio de sesión de autenticación multifactor de Microsoft Entra basado en texto, voz o OTP.

• El nuevo adaptador de autenticación multifactor integrado de Microsoft Entra ofrece una configuración y configuración más sencillas para la autenticación multifactor de Microsoft Entra con AD FS.

• Las organizaciones pueden usar la autenticación multifactor de Microsoft Entra sin necesidad de un servidor de autenticación multifactor de Microsoft Entra local.

• Puede configurar la autenticación multifactor de Microsoft Entra para intranet, extranet o como parte de cualquier directiva de control de acceso.

Para obtener más información sobre la autenticación multifactor de Microsoft Entra con AD FS, consulte Configuración de la autenticación multifactor de AD FS 2016 y Microsoft Entra.

Acceso sin contraseña desde dispositivos compatibles

AD FS 2016 se basa en las funcionalidades anteriores de registro de dispositivos para habilitar el inicio de sesión y el control de acceso en dispositivos en función de su estado de cumplimiento. Los usuarios pueden iniciar sesión con la credencial del dispositivo y AD FS vuelve a evaluar el cumplimiento siempre que cambien los atributos del dispositivo para asegurarse de que se aplican las directivas. Esta característica habilita las siguientes directivas:

• Habilitar el acceso solo desde dispositivos administrados y/o conformes.

• Habilitar el acceso a extranet solo desde dispositivos administrados y/o conformes.

• Requerir autenticación multifactor para equipos que no son administrados o compatibles.

AD FS proporciona el componente local de directivas de acceso condicional en un escenario híbrido. Al registrar dispositivos con Azure AD para el acceso condicional a los recursos en la nube, también puede usar la identidad del dispositivo para las directivas de AD FS.

Para más información sobre el uso del acceso condicional basado en dispositivos en la nube, consulte Acceso condicional de Azure Active Directory.

Para obtener más información sobre el uso del acceso condicional basado en dispositivos con AD FS, consulte Planning for Device Based Conditional Access with AD FS and Access Control Policies in AD FS (Planeación del acceso condicional basado en dispositivos con AD FS y directivas de control de acceso en AD FS).

Inicio de sesión con Windows Hello para empresas

Los dispositivos Windows 10 presentan Windows Hello y Windows Hello para empresas, reemplazando las contraseñas de usuario por credenciales de usuario seguras enlazadas al dispositivo protegidas por el gesto de un usuario, como escribir un PIN, un gesto biométrico como una huella digital o un reconocimiento facial. Con Windows Hello, los usuarios pueden iniciar sesión en aplicaciones de AD FS desde una intranet o extranet sin necesidad de una contraseña.

Para obtener más información sobre el uso de Windows Hello para empresas en su organización, consulte Habilitar Windows Hello para empresas en la organización.

Autenticación moderna

AD FS 2016 admite los protocolos modernos más recientes que proporcionan una mejor experiencia de usuario para Windows 10, así como para los dispositivos y aplicaciones iOS y Android más recientes.

Para obtener más información, consulte Escenarios de AD FS para desarrolladores.

Configuración de directivas de control de acceso sin tener que conocer el lenguaje de las reglas de notificaciones

Anteriormente, los administradores de AD FS tenían que configurar directivas mediante el lenguaje de reglas de notificaciones de AD FS, lo que dificultaba la configuración y mantenimiento de las directivas. Con las directivas de control de acceso, los administradores pueden usar plantillas integradas para aplicar directivas comunes. Por ejemplo, puede usar plantillas para aplicar las siguientes directivas:

• Permitir solo el acceso de intranet.

• Permitir a todos y requerir MFA desde extranet.

• Permitir todos y requerir MFA de extranet de un grupo específico.

Las plantillas son fáciles de personalizar. Puede aplicar excepciones adicionales o reglas de directiva, y puede aplicar estos cambios a una o varias aplicaciones para aplicar directivas coherentes.

Para más información, consulte Directivas de control de acceso en AD FS.

Habilitación del inicio de sesión con directorios LDAP que no son de AD

Muchas organizaciones combinan Active Directory con directorios de terceros. La compatibilidad con AD FS para autenticar a los usuarios almacenados en directorios compatibles con el protocolo ligero de acceso a directorios (LDAP) v3 significa que ahora puede usar AD FS en los escenarios siguientes:

• Usuarios de directorios compatibles con LDAP v3 de terceros.

• Usuarios de bosques de Active Directory que no tienen una confianza bidireccional configurada.

• Usuarios en Active Directory Lightweight Directory Services (AD LDS).

Para obtener más información, consulte Configure AD FS to authenticate users stored in LDAP directories.

Personalización de la experiencia de inicio de sesión para aplicaciones de AD FS

Anteriormente, AD FS en Windows Server 2012 R2 ofrecía una experiencia de inicio de sesión común para todas las aplicaciones de usuarios de confianza, con la capacidad de personalizar un subconjunto de contenidos basados en texto para cada aplicación. Con Windows Server 2016, puedes personalizar no solo los mensajes, sino también las imágenes, el logotipo y el tema web por aplicación. Además, puede crear nuevos temas web personalizados y aplicarlos por usuario de confianza.

Para obtener más información, consulte Personalización del inicio de sesión del usuario de AD FS.

Auditoría simplificada para facilitar la administración administrativa

En versiones anteriores de AD FS, una única solicitud podría generar muchos eventos de auditoría. La información relevante sobre las actividades de emisión de tokens o de inicio de sesión a menudo estaba ausente o distribuida entre varios eventos de auditoría, lo que dificultaba el diagnóstico de problemas. Como resultado, los eventos de auditoría se desactivaron de forma predeterminada. Sin embargo, en AD FS 2016, el proceso de auditoría es más simplificado y la información relevante es más fácil de encontrar. Para obtener más información, consulte Mejoras de auditorías para AD FS en Windows Server 2016.

Mejora de la interoperabilidad con SAML 2.0 para participar en confederaciones

AD FS 2016 incluye compatibilidad con el protocolo SAML adicional, incluida la compatibilidad para importar relaciones de confianza basadas en metadatos que contienen varias entidades. Esto permite configurar AD FS para participar en confederaciones como InCommon Federation y otras implementaciones que se ajustan al estándar eGov 2.0.

Para obtener más información, consulte Interoperabilidad mejorada con SAML 2.0.

Administración simplificada de contraseñas para usuarios federados de Microsoft 365

Puede configurar AD FS para enviar notificaciones de expiración de contraseña a las confianzas o aplicaciones de usuario autenticado que protege. La forma en que aparecen estas notificaciones varía entre las aplicaciones. Por ejemplo, con Office 365 como usuario de confianza, se han implementado actualizaciones en Exchange y Outlook para notificar a los usuarios federados sobre las contraseñas que pronto van a expirar.

Para obtener más información, consulte Configuración de AD FS para enviar notificaciones de expiración de contraseña.

La migración de AD FS en Windows Server 2012 R2 a AD FS en Windows Server 2016 es más fácil

Anteriormente, la migración a una nueva versión de AD FS requería exportar las opciones de configuración de la granja de Windows Server a una nueva granja de servidores paralela. AD FS en Windows Server 2016 facilita el proceso mediante la eliminación del requisito de tener una granja de servidores en paralelo. Al agregar un servidor de Windows Server 2016 a una granja de servidores de Windows Server 2012 R2, el nuevo servidor se comporta igual que un servidor de Windows Server 2012 R2. Cuando esté listo para actualizar y haya quitado los servidores anteriores, puede cambiar el nivel operativo a Windows Server 2016. Para obtener más información, consulta Actualización a AD FS en Windows Server 2016.