Novità di Windows Server 2016

Questo articolo descrive alcune delle nuove funzionalità di Windows Server 2016, in particolare quelle che più probabilmente avranno il massimo impatto sull'uso di questa versione.

Calcolo

L'area Virtualizzazione include funzionalità e prodotti di virtualizzazione che permettono ai professionisti IT di progettare, distribuire e gestire Windows Server.

Generale

Le macchine fisiche e virtuali sfruttano una maggiore precisione nella sincronizzazione grazie ai miglioramenti introdotti nei servizi Sincronizzazione ora di Win32 e Hyper-V. Windows Server può ora ospitare servizi conformi alle normative future che richiedono un'accuratezza di 1 ms per l'ora UTC.

Hyper-V

Virtualizzazione rete Hyper-V (HNV) è un blocco predefinito fondamentale della soluzione SDN (Software Defined Networking) aggiornata di Microsoft ed è completamente integrato nello stack SDN. Windows Server 2016 include le modifiche seguenti per Hyper-V:

• Windows Server 2016 include ora uno switch Hyper-V programmabile. Il controller di rete di Microsoft esegue il push dei criteri HNV in un agente host in esecuzione in ogni host usando il protocollo Open vSwitch Database Management Protocol (OVSDB) come SouthBound Interface (SBI). L'agente host archivia questo criterio usando una personalizzazione dello schema VTEP e programma le regole di flusso complesse in un motore di flusso efficiente nel commutatore Hyper-V. Il motore di flusso nello switch Hyper-V è quello usato da Azure. Anche l'intero stack SDN fino al controller di rete e al provider di risorse di rete è coerente con Azure, pertanto è in grado di offrire prestazioni paragonabili al cloud pubblico di Azure. All'interno del motore di flusso di Microsoft, lo switch Hyper-V è in grado di gestire sia le regole del flusso senza stato sia quelle con stato attraverso un semplice meccanismo di corrispondenza che definisce il modo in cui i pacchetti devono essere elaborati all'interno dello switch.

• HNV supporta ora l'incapsulamento del protocollo Virtual eXtensible Local Area Network (VXLAN). HNV usa il protocollo VXLAN in modalità distribuzione MAC attraverso il controller di rete Microsoft per eseguire il mapping degli indirizzi IP di rete massimi agli indirizzi IP di rete minimi fisici. Gli offload delle attività NVGRE e VXLAN supportano driver di terze parti per prestazioni migliorate.

• Windows Server 2016 include un servizio di bilanciamento del carico software con supporto completo per il traffico di rete virtuale e l'interazione senza problemi con HNV. Il motore del flusso performante implementa SLB nel v-Switch del piano dati, quindi il controller di rete lo controlla per i mapping di IP virtuali (VIP) o IP dinamici (DIP).

• HNV implementa le intestazioni Ethernet L2 corrette per garantire l'interoperabilità con appliance virtuali e fisiche di terze parti che dipendono dai protocolli standard del settore. Microsoft garantisce che tutti i pacchetti trasmessi abbiano valori conformi in tutti i campi per garantire interoperabilità. HNV richiede il supporto per i frame Jumbo (MTU > 1780) nella rete L2 fisica per tenere conto del sovraccarico dei pacchetti introdotto dai protocolli di incapsulamento come NVGRE e VXLAN. Il supporto per i frame Jumbo garantisce che le Macchine virtuali guest collegate a una rete virtuale HNV mantengano una MTU 1514.

• Il supporto per i contenitori Windows aggiunge miglioramenti in termini di prestazioni, una gestione di rete semplificata e il supporto per contenitori Windows in Windows 10. Per altre informazioni, vedere Contenitori: Docker, Windows e Tendenze.

Nano Server

Novità di Nano Server. Nano Server include ora un modulo aggiornato per la creazione di immagini di Nano Server, in grado di offrire una maggiore separazione dell'host fisico e delle macchine virtuali guest, oltre al supporto per le diverse edizioni di Windows Server.

Sono anche stati apportati miglioramenti alla Console di ripristino di emergenza, incluse la separazione delle regole del firewall in entrata e in uscita e la possibilità di riparare la configurazione WinRM.

Macchine virtuali schermate

Windows Server 2016 offre una nuova macchina virtuale schermata basata su Hyper-V per proteggere le macchine virtuali di seconda generazione da un'infrastruttura compromessa. Tra le funzionalità introdotte in Windows Server 2016 sono incluse le seguenti:

• Una nuova modalità Crittografia supportata che offre protezioni aggiuntive rispetto a una normale macchina virtuale, ma meno rispetto alla modalità Schermata, supportando comunque vTPM, la crittografia del disco, la crittografia del traffico di Live Migration e altre funzionalità, tra cui i vantaggi dell'amministrazione diretta dell'infrastruttura, ad esempio le connessioni alla console della macchina virtuale e PowerShell Direct.

• Supporto completo per la conversione di macchine virtuali di seconda generazione non schermate in macchine virtuali schermate, includa la crittografia automatica del disco.

• Hyper-V Virtual Machine Manager può ora visualizzare le infrastrutture su cui è autorizzata l'esecuzione di una macchina virtuale schermata, fornendo un modo per consentire all'amministratore dell'infrastruttura di aprire una protezione con chiave della macchina virtuale schermata (KPI) e visualizzare le infrastrutture su cui è consentito l'esecuzione.

• È possibile alternare le modalità Attestazione in un servizio Sorveglianza Host in esecuzione. È ora possibile passare in tempo reale dall'attestazione basata su Active Directory meno sicura, ma più semplice all'attestazione basata su TPM, e viceversa.

• Strumenti di diagnostica end-to-end basati su Windows PowerShell che sono in grado di rilevare errori o problemi di configurazione sia negli host Hyper-V protetti che nel servizio Sorveglianza host.

• Un ambiente di ripristino che offre un modo per risolvere i problemi in modo sicuro e ripristinare le macchine virtuali schermate all'interno dell'infrastruttura in cui vengono normalmente eseguite, offrendo lo stesso livello di protezione della macchina virtuale schermata stessa.

• Supporto del servizio Sorveglianza host per un'istanza sicura esistente di Active Directory. È possibile indicare al servizio Sorveglianza host di usare una foresta di Active Directory esistente anziché creare una specifica istanza di Active Directory.

Per altre informazioni e istruzioni sull'uso di macchine virtuali schermate, vedere Infrastruttura sorvegliata e macchine virtuali schermate.

Identità e accesso

Le nuove funzionalità di Identità migliorano la capacità delle organizzazioni di proteggere gli ambienti Active Directory e consentono di eseguire la migrazione a distribuzioni solo cloud e ibride, in cui alcune applicazioni e alcuni servizi sono ospitati nel cloud e altri sono ospitati in locale.

Servizi certificati Active Directory

Servizi certificati Active Directory (AD CS) in Windows Server 2016 aumenta il supporto per l'attestazione della chiave TPM: è ora possibile usare KSP smart card per l'attestazione della chiave e i dispositivi che non sono aggiunti al dominio possono ora usare la registrazione NDES per ottenere certificati che possono essere attestati per le chiavi in un TPM.

Gestione degli accessi con privilegi

La gestione degli accessi con privilegi (PAM) consente di attenuare i problemi di sicurezza negli ambienti Active Directory causati da tecniche di furto di credenziali, ad esempio pass-the-hash, spear phishing e così via. È possibile configurare questa nuova soluzione di accesso amministrativo usando Microsoft Identity Manager (MIM) e presenta le funzionalità seguenti:

• La foresta di Active Directory bastion, di cui è stato effettuato il provisioning da MIM, ha una relazione di trust PAM speciale con una foresta esistente. Le foreste Bastion sono un nuovo tipo di ambiente Active Directory che è privo di attività dannose a causa dell'isolamento dalle foreste esistenti e consente solo l'accesso agli account con privilegi.

• Nuovi processi in MIM per richiedere privilegi amministrativi, inclusi i nuovi flussi di lavoro per l'approvazione delle richieste.

• Nuove entità di sicurezza shadow, o gruppi, di cui è stato effettuato il provisioning nella foresta bastion da MIM in risposta alle richieste di privilegi amministrativi. I gruppi di sicurezza shadow hanno un attributo che fa riferimento al SID di un gruppo amministrativo in una foresta esistente. In questo modo il gruppo shadow può accedere alle risorse nelle foreste esistenti senza modificare gli elenchi di controllo di accesso (ACL).

• Funzionalità dei collegamenti in scadenza, che consente l'appartenenza a un gruppo shadow con tempo limitato. È possibile aggiungere utenti al gruppo per un determinato periodo di tempo che consente loro di eseguire attività amministrative. L'appartenenza a tempo limitato è configurata da un valore TTL (Time-to-Live) propagato alla durata del ticket Kerberos.

  Nota

  Scadenza collegamenti sono disponibili in tutti gli attributi collegati. Tuttavia, solo la relazione tra l'attributo collegato member/memberOF tra un gruppo e un utente viene preconfigurata con PAM per usare la funzionalità dei collegamenti in scadenza.

• I miglioramenti predefiniti del controller di dominio Kerberos consentono ai controller di dominio Active Directory di limitare la durata dei ticket Kerberos al valore TTL più basso possibile quando gli utenti dispongono di più appartenenze a tempo limitato ai gruppi amministrativi. Ad esempio, se si è membri del gruppo associato a tempo A, quando si accede, la durata del ticket di concessione ticket (TGT) Kerberos è uguale a quanto tempo si è lasciato nel gruppo A. Se si aggiunge anche il gruppo A associato al tempo, che ha una durata TTL inferiore rispetto al gruppo A, la durata del TGT è uguale a quanto tempo si è lasciato nel gruppo B.

• Nuove funzionalità di monitoraggio che consentono di identificare gli utenti a cui è stato richiesto l'accesso, l'accesso concesso agli amministratori e le attività eseguite durante l'accesso.

Per altre informazioni su PAM, vedere Privileged Access Management per Dominio di Active Directory Services.

Aggiunta a Microsoft Entra

Microsoft Entra join migliora le esperienze di identità per i clienti aziendali, aziendali ed educativi, oltre a funzionalità migliorate per i dispositivi aziendali e personali.

• Le impostazioni moderne sono ora disponibili nei dispositivi Windows di proprietà dell'azienda. Non è più necessario un account Microsoft personale per usare le funzionalità di Base di Windows e le nuove esecuzioni usano account aziendali utente esistenti per garantire la conformità. Questi servizi funzionano su PC aggiunti a un dominio e a dispositivi Windows locali aggiunti a Microsoft Entra. Queste impostazioni includono:

  • Roaming o personalizzazione, impostazioni di accessibilità e credenziali

  • Backup e ripristino

  • Accesso a Microsoft Store con l'account aziendale

  • I riquadri animati e notifiche

• Accedere alle risorse dell'organizzazione su dispositivi mobili, ad esempio telefoni e tablet, che non possono essere aggiunti a un dominio Windows, indipendentemente dal fatto che siano di proprietà dell'azienda o bring your own device (BYOD).

• Usare Single Sign-On (SSO) per Office 365 e altre app, siti Web e risorse dell'organizzazione.

• Nei dispositivi BYOD aggiungere un account aziendale da un dominio locale o Azure AD a un dispositivo di proprietà personale. È possibile usare l'accesso Single Sign-On per accedere alle risorse aziendali tramite app o sul Web, pur rimanendo conforme alle nuove funzionalità, ad esempio Controllo account condizionale e Attestazione dell'integrità dei dispositivi.

• L'integrazione della gestione dei dispositivi mobili (MDM) consente di registrare automaticamente i dispositivi allo strumento di gestione dei dispositivi mobili (MDM) (Microsoft Intune o di terze parti).

• Configurare la modalità tutto schermo e i dispositivi condivisi per più utenti dell'organizzazione.

• L'esperienza per gli sviluppatori consente di creare app che soddisfino contesti aziendali e personali con uno stack di programmazione condiviso.

• L'opzione imaging consente di scegliere tra l'immagine e consentire agli utenti di configurare i dispositivi di proprietà dell'azienda direttamente durante l'esperienza di prima esecuzione.

Windows Hello For Business

Windows Hello for Business è un nuovo approccio all'autenticazione per organizzazioni e consumatori basato su chiavi che supera le password. Questa forma di autenticazione si basa su credenziali resistenti a violazioni, furti e phishing.

L'utente accede al dispositivo con un PIN o biometrico collegato a un certificato o a una coppia di chiavi asimmetriche. I provider di identità convalidano l'utente eseguendo il mapping della chiave pubblica dell'utente a IDLocker e fornisce informazioni di accesso tramite una password monouso (OTP), tramite telefono o un meccanismo di notifica diverso.

Per maggiori informazioni, consultare la sezione Windows Hello for Business.

Deprecazione di livelli di funzionalità del servizio Replica File (FRS) e Windows Server 2003

Anche se il servizio Replica file e i livelli di funzionalità di Windows Server 2003 sono stati deprecati nelle versioni precedenti di Windows Server, è consigliabile ricordare che Servizi di dominio Active Directory non supporta più Windows Server 2003. È necessario rimuovere qualsiasi controller di dominio che esegue Windows Server 2003 dal dominio. È anche consigliabile aumentare il livello di funzionalità del dominio e della foresta ad almeno Windows Server 2008.

A livello di funzionalità di Windows Server 2008 e superiore, Servizi di dominio Active Directory usa la replica DFS (Distributed File Service) per replicare il contenuto della cartella SYSVOL tra i controller di dominio. Se si crea un nuovo dominio a livello di funzionalità di dominio di Windows Server 2008 o superiore, Replica DFS replica automaticamente la cartella SYSVOL. Se il dominio è stato creato a un livello funzionale inferiore, è necessario eseguire la migrazione dalla replica FRS alla replica DFS per la cartella SYSVOL. Per i passaggi di migrazione più dettagliati, vedere Installare, aggiornare o eseguire la migrazione a Windows Server.

Per ulteriori informazioni, vedi le seguenti risorse:

• Informazioni sui livelli di funzionalità di Active Directory Domain Services
• Come aumentare i livelli di funzionalità del dominio e della foresta di Active Directory

Active Directory Federation Services

Active Directory Federation Services (AD FS) in Windows Server 2016 include nuove funzionalità che consentono di configurare AD FS per l'autenticazione degli utenti archiviati nelle directory LDAP (Lightweight Directory Access Protocol).

Proxy applicazione Web

L'ultima versione di Proxy applicazione Web è incentrata sulle nuove funzionalità che permettono la pubblicazione e la preautenticazione per più applicazioni e un'esperienza utente migliorata. Consultare l'elenco completo delle nuove funzionalità che include la preautenticazione per applicazioni rich client quali domini di Exchange ActiveSync e con caratteri jolly per la pubblicazione più semplice di applicazioni SharePoint. Per altre informazioni, vedi Proxy applicazione Web in Windows Server 2016.

Amministrazione

L'area Gestione e automazione è incentrata sulle informazioni di riferimento e sugli strumenti per i professionisti IT che vogliono eseguire e gestire Windows Server 2016, incluso Windows PowerShell.

Windows PowerShell 5.1 include nuove funzionalità significative, tra cui il supporto per lo sviluppo con le classi e nuove funzionalità di sicurezza che ne estendono e migliorano l'usabilità, oltre a permettere di controllare e gestire gli ambienti basati su Windows in modo più semplice e completo. Per i dettagli, vedi Nuovi scenari e funzionalità in WMF 5.1.

Le nuove funzionalità aggiunte per Windows Server 2016 includono la possibilità di eseguire PowerShell.exe in locale su Nano Server (non più solo in remoto), i nuovi cmdlet per utenti & gruppi locali che sostituiscono l'interfaccia utente grafica, il supporto per il debug di PowerShell e il supporto per la registrazione di protezione, la trascrizione & la tecnologia JEA (Just Enough Administration) in Nano Server.

Ecco alcune delle altre nuove funzionalità di amministrazione:

Configurazione dello stato desiderato tramite PowerShell in Windows Management Framework (WMF) 5

Windows Management Framework 5 include gli aggiornamenti per Configurazione dello stato desiderato tramite PowerShell, Gestione remota Windows (WinRM) e Strumentazione gestione Windows (WMI).

Per altre informazioni sull'esecuzione dei test delle funzionalità DSC di Windows Management Framework 5, vedi la serie di post di blog descritti nella pagina relativa alla convalida delle funzionalità DSC di PowerShell. Per il download, vedi Windows Management Framework 5.1.

Gestione unificata dei pacchetti PackageManagement per l'individuazione, l'installazione e l'inventario di prodotti software

Windows Server 2016 e Windows 10 includono una nuova funzionalità PackageManagement (denominata in precedenza OneGet) che consente ai professionisti IT o DevOps di automatizzare l'individuazione, l'installazione e l'inventario dei prodotti software, localmente o in remoto, indipendentemente dalla tecnologia di installazione e dalla posizione del software.

Per altre informazioni, vedi https://github.com/OneGet/oneget/wiki.

Miglioramenti di PowerShell a supporto dell'informatica forense e per consentire di ridurre le violazioni della sicurezza

Per aiutare il team responsabile dell'analisi dei sistemi compromessi, talvolta definito "blue team", sono state aggiunte a PowerShell opzioni di registrazione e di informatica forense e sono state aggiunte funzionalità per ridurre le vulnerabilità degli script, ad esempio PowerShell vincolato e API CodeGeneration sicure.

Per altre informazioni, vedere il post di blog PowerShell ♥ the Blue Team.

Rete

L'area delle funzionalità di rete è incentrata sui prodotti e sulle funzionalità di rete che i professionisti IT possono usare per la progettazione, la distribuzione e la manutenzione di Windows Server 2016.

rete definita tramite software

È ora possibile eseguire il mirroring e instradare il traffico verso appliance virtuali nuove o esistenti. Insieme a un firewall distribuito e ai gruppi di sicurezza di rete, consente di effettuare la segmentazione in modo dinamico e proteggere i carichi di lavoro in modo analogo ad Azure. In secondo luogo, è possibile distribuire e gestire tutto lo stack di SDN (Software Defined Networking) utilizzando System Center Virtual Machine Manager. Infine, è possibile usare Docker per gestire la rete di contenitori di Windows Server e associare i criteri di SDN non solo alle macchine virtuali ma anche ai contenitori. Per altre informazioni, vedi Pianificare un'infrastruttura Software Defined Network.

Miglioramenti delle prestazioni delle connessioni TCP

Il valore predefinito di ICW (Initial Congestion Window) è stato aumentato da 4 a 10 ed è stato implementato TFO (TCP Fast Open). TFO riduce la quantità di tempo necessaria per stabilire una connessione TCP e il valore incrementato di ICW consente il trasferimento di oggetti di maggiori dimensioni nel burst iniziale. Questa combinazione può ridurre notevolmente il tempo necessario per trasferire un oggetto Internet tra il client e il cloud.

Per migliorare il comportamento TCP durante il ripristino dalla perdita di pacchetti, è stato implementato TCP Tail Loss Probe (TLP) e il riconoscimento recente (RACK). TLP consente di convertire il timeout di ritrasmissione (RTO) in ripristini veloci e RACK riduce il tempo necessario per il ripristino rapido per ritrasmettere un pacchetto perso.

Dynamic Host Configuration Protocol (DHCP)

Il protocollo DHCP (Dynamic Host Configuration Protocol) presenta le modifiche seguenti in Windows Server 2016:

• A partire da Windows 10 versione 2004, quando si esegue un client Windows e ci si connette a Internet usando un dispositivo Android con tethering, le connessioni vengono ora etichettate come a consumo. Il nome tradizionale del fornitore di client visualizzato come MSFT 5.0 in determinati dispositivi Windows è ora MSFT 5.0 XBOX.

• A partire da Windows 10 versione 1803, il client DHCP può ora leggere e applicare l'opzione 119, l'opzione Ricerca dominio, dal server DHCP a cui si connette il sistema. L'opzione Di ricerca dominio fornisce anche suffissi DNS (Domain Name Services) per le ricerche DNS di nomi brevi. Per altre informazioni, vedere RFC 3397.

• DHCP supporta ora l'opzione 82 (opzione secondaria 5). È possibile usare questa opzione per consentire ai client proxy DHCP e agli agenti di inoltro di richiedere un indirizzo IP per una subnet specifica. Se si usa un agente di inoltro DHCP configurato con l'opzione DHCP 82 (opzione secondaria 5), l'agente di inoltro può richiedere un lease di indirizzi IP per i client DHCP da un intervallo di indirizzi IP specifico. Per maggiori informazioni, consultare la sezione Opzioni di selezione subnet DHCP.

• Nuovi eventi di registrazione per scenari in cui le registrazioni dei record DNS hanno esito negativo nel server DNS. Per altre informazioni, vedere Eventi di registrazione DHCP per le registrazioni DNS.

• Il ruolo Server DHCP non supporta più Protezione accesso alla rete. I server DHCP non applicano i criteri protezione accesso alla rete e gli ambiti DHCP non possono essere abilitati per Protezione accesso alla rete. I computer client DHCP, che sono anche client di Protezione accesso alla rete, inviano una dichiarazione di integrità con la richiesta DHCP. Se il server DHCP esegue Windows Server 2016, queste richieste vengono elaborate come se non fosse presente alcun SoH. Il server DHCP concede un normale lease DHCP al client. Se i server che eseguono Windows Server 2016 sono proxy RADIUS (Remote Authentication Dial-In User Service) che inoltrano richieste di autenticazione a un server dei criteri di rete (NPS) che supporta Protezione accesso alla rete, il server dei criteri di rete valuta questi client come non compatibili con Protezione accesso alla rete, causando l'esito negativo dell'elaborazione nap. Per altre informazioni sulla deprecazione di Protezione accesso alla rete e protezione accesso alla rete, vedere Funzionalità rimosse o deprecate in Windows Server 2012 R2.

Sicurezza e controllo

L'area Sicurezza e controllo include funzionalità e soluzioni di per i professionisti IT da distribuire nel data center e nell'ambiente cloud. Per informazioni generali sulla sicurezza in Windows Server 2016, vedere Sicurezza e controllo.

JEA

JEA (Just Enough Administration) in Windows Server 2016 è una tecnologia di protezione che consente l'amministrazione delegata per qualsiasi elemento che può essere gestito con Windows PowerShell. Le funzionalità includono il supporto per l'esecuzione in un'identità di rete, la connessione tramite PowerShell Direct, la copia sicura dei file da o verso gli endpoint JEA e la configurazione della console di PowerShell in modo da poterla avviare per impostazione predefinita in un contesto JEA. Per altre informazioni, vedere JEA in GitHub.

Credential Guard

Credential Guard usa la protezione basata su virtualizzazione per isolare i segreti in modo che solo il software di sistema con privilegi possa accedervi. Per altre informazioni, vedere Proteggere le credenziali di dominio derivate con Credential Guard.

Credential Guard per Windows Server 2016 include gli aggiornamenti seguenti per le sessioni degli utenti che hanno effettuato l'accesso:

• Kerberos e New Technology LAN Manager (NTLM) usano la sicurezza basata sulla virtualizzazione per proteggere i segreti Kerberos e NTLM per le sessioni degli utenti che hanno effettuato l'accesso.

• Gestione credenziali usa la sicurezza basata sulla virtualizzazione per proteggere le credenziali di dominio salvate. Le credenziali di accesso e le credenziali di dominio salvate non passano agli host remoti tramite desktop remoto.

• È possibile abilitare Credential Guard senza un blocco UEFI (Unified Extensible Firmware Interface).

Remote Credential Guard

Credential Guard include il supporto per le sessioni RDP in modo che le credenziali utente rimangano sul lato client e non siano esposte sul lato server. Include inoltre la funzionalità Single Sign-On per Desktop remoto. Per altre informazioni, vedere Proteggere le credenziali di dominio derivate con Windows Defender Credential Guard.

Remote Credential Guard per Windows Server 2016 include gli aggiornamenti seguenti per gli utenti che hanno effettuato l'accesso:

• Remote Credential Guard mantiene i segreti Kerberos e NTLM per le credenziali degli utenti che hanno eseguito l'accesso nel dispositivo client. Qualsiasi richiesta di autenticazione proveniente dall'host remoto di valutare le risorse di rete come utente richiede al dispositivo client di usare i segreti.

• Remote Credential Guard protegge le credenziali utente fornite quando si usa Desktop remoto.

Protezioni di dominio

Ora le protezioni di dominio richiedono un dominio di Active Directory.

Supporto dell'estensione di aggiornamento PKInit

Ora i client Kerberos tentano l'estensione di aggiornamento PKInit per gli accessi basati su chiave pubblica.

Ora i KDC supportano l'estensione di aggiornamento PKInit. Tuttavia, non offrono l'estensione di aggiornamento PKInit per impostazione predefinita.

Per maggiori informazioni, consultare la sezione Supporto del client Kerberos e KDC per l'estensione di aggiornamento PKInit RFC 8070.

Implementazione di una chiave pubblica solo per i segreti NTLM dell'utente

A partire dal livello funzionalità di dominio (domain functional level, DFL) di Windows Server 2016, ora i controller di dominio possono supportare l'implementazione dei segreti NTLM di di un utente solo chiave pubblica. Questa funzionalità non è disponibile nei livelli di funzionamento del dominio inferiori (DFL).

Avviso

L'aggiunta di un controller di dominio abilitato prima dell'aggiornamento dell'8 novembre 2016 a un dominio che supporta l'implementazione dei segreti NTLM può provocare l'arresto anomalo del controller di dominio.

Per i nuovi domini, questa funzionalità è abilitata per impostazione predefinita. Per i domini esistenti, è necessario configurarla nel centro di amministrazione di Active Directory:

Nel centro di amministrazione di Active Directory, fare clic con il pulsante destro del mouse sul dominio nel riquadro a sinistra e selezionare Proprietà. Selezionare la casella di controllo Abilita sequenza di segreti NTLM in scadenza durante l'accesso, per gli utenti che devono usare Windows Hello for Business o smart card per l'accesso interattivo. Quindi, selezionare OK per applicare questa modifica.

Consentire l'autenticazione NTLM di rete quando un utente si limita a specifici dispositivi appartenenti al dominio

Ora i controller di dominio possono supportare l'autenticazione NTLM di rete quando un utente si limita a specifici dispositivi appartenenti al dominio nel DLF di Windows Server 2016 e versioni successive. Questa funzionalità non è disponibile nei DLF che eseguono un sistema operativo precedente a Windows Server 2016.

Per configurare questa impostazione, nei criteri di autenticazione, selezionare Consenti l'autenticazione di rete NTLM quando l'utente è limitato ai dispositivi selezionati.

Per altre informazioni, vedere Criteri di autenticazione e silo di criteri di autenticazione.

Device Guard (integrità del codice)

Device Guard garantisce l'integrità del codice in modalità kernel (KMCI, Kernel Mode Code Integrity) e in modalità utente (UMCI, User Mode Code Integrity) mediante la creazione di criteri che specificano quale codice può essere eseguito sul server. Vedi Introduzione a Windows Defender Device Guard: sicurezza basata su virtualizzazione e criteri di integrità del codice.

Windows Defender

Panoramica di Windows Defender per Windows Server 2016. Windows Server Antimalware è installato e abilitato per impostazione predefinita in Windows Server 2016, ma l'interfaccia utente per Windows Server Antimalware non è installata. Tuttavia, Windows Server Antimalware aggiorna le definizioni antimalware e protegge il computer senza l'interfaccia utente. Se è necessaria l'interfaccia utente per Windows Server Antimalware, è possibile installarla dopo l'installazione del sistema operativo usando l'aggiunta guidata ruoli e funzionalità.

Protezione del flusso di controllo

Questa funzionalità di protezione della piattaforma è stata creata per contrastare le vulnerabilità legate al danneggiamento della memoria. Per altre informazioni, vedere Control Flow Guard (Protezione del flusso di controllo).

Archiviazione

La tecnologia di archiviazione di Windows Server 2016 include nuove funzionalità e miglioramenti per l'archiviazione software-defined e per i file server tradizionali. Di seguito sono riportate alcune delle nuove funzionalità. Per informazioni su altri miglioramenti e per altri dettagli, vedere Novità di Archiviazione in Windows Server 2016.

Spazi di archiviazione diretta

Spazi di archiviazione diretta consente di creare un'archiviazione altamente disponibile e scalabile con server di archiviazione locale. Questa funzionalità semplifica la distribuzione e la gestione dei sistemi con archiviazione definita dal software e consente l'uso di nuove classi di dispositivi disco, ad esempio le unità SSD SATA e NVMe, che in precedenza non erano disponibili con spazi di archiviazione raggruppati in cluster che includevano i dischi condivisi.

Per altre informazioni, vedere Spazi di archiviazione diretta.

Replica archiviazione

Replica di archiviazione consente di eseguire la replica sincrona a livello di blocco, indipendente dall'archiviazione, tra server o cluster per il ripristino di emergenza e l'estensione di un cluster di failover tra siti. La replica sincrona consente il mirroring dei dati in siti fisici con volumi coerenti per arresto anomalo del sistema senza perdere dati a livello di file system. La replica asincrona consente l'estensione del sito oltre le aree metropolitane con la possibilità di perdita di dati.

Per altre informazioni, vedere Replica di archiviazione.

QoS di archiviazione

È ora possibile usare Qualità del servizio (QoS) di archiviazione per monitorare in modo centralizzato le prestazioni di archiviazione end-to-end e creare criteri di gestione usando cluster Hyper-V e CSV in Windows Server 2016.

Per altre informazioni, vedere Storage Quality of Service (QoS di archiviazione).

Clustering di failover

Windows Server 2016 include molte nuove funzionalità e miglioramenti per più server raggruppati in un unico cluster a tolleranza di errore mediante la funzione Clustering di failover. Alcune delle funzionalità aggiunte sono elencate di seguito. Per un elenco completo, vedere Novità del clustering di failover in Windows Server 2016.

Aggiornamento in sequenza del sistema operativo del cluster

L'aggiornamento in sequenza del sistema operativo del cluster consente a un amministratore di aggiornare il sistema operativo dei nodi del cluster da Windows Server 2012 R2 a Windows Server 2016 senza interrompere i carichi di lavoro del file server di scalabilità orizzontale o di Hyper-V. Usando questa funzionalità, è possibile evitare le sanzioni per il tempo di inattività previste dai contratti di servizio.

Per altre informazioni, vedere Aggiornamento in sequenza del sistema operativo del cluster.

Cloud di controllo

Cloud di controllo è un nuovo tipo di quorum di controllo per un cluster di failover in Windows Server 2016 che si basa su Microsoft Azure come punto di arbitraggio. Cloud di controllo, come altri quorum di controllo, ottiene un voto e può partecipare ai calcoli del quorum. È possibile configurare questa funzionalità come quorum di controllo usando la Configurazione guidata quorum del cluster.

Per altre informazioni, vedere Deploy Cloud Witness (Distribuire un cloud di controllo).

Servizio integrità

Il Servizio integrità migliora le attività giornaliere di monitoraggio, esecuzione e manutenzione delle risorse in un cluster di Spazi di archiviazione diretta.

Per altre informazioni, vedere Servizio integrità.

Sviluppo di applicazioni

Internet Information Services (IIS) 10.0

Le nuove funzionalità fornite dal server Web IIS 10.0 in Windows Server 2016 includono:

• Supporto per il protocollo HTTP/2 nello stack di rete e integrato con IIS 10.0. In questo modo i siti Web IIS 10.0 possono gestire automaticamente le richieste HTTP/2 per le configurazioni supportate. Ciò permette numerosi miglioramenti rispetto a HTTP/1.1, ad esempio un riutilizzo delle connessioni più efficiente e una latenza ridotta, migliorando i tempi di caricamento delle pagine Web.
• Possibilità di eseguire e gestire IIS 10.0 in Nano Server. Vedi IIS in Nano Server.
• Supporto per le intestazioni host con caratteri jolly, che permette agli amministratori di configurare un server Web per un dominio e quindi impostare il server Web in modo che gestisca le richieste di qualsiasi sottodominio.
• Un nuovo modulo di PowerShell (IISAdministration) per la gestione di IIS.

Per altri dettagli, vedi IIS.

Distributed Transaction Coordinator (MSDTC)

Sono state aggiunte tre nuove funzionalità in Microsoft Windows 10 e Windows Server 2016:

• Una nuova interfaccia per la funzione Rejoin di Gestione risorse è utilizzabile da un gestore delle risorse per determinare il risultato di una transazione in dubbio dopo il riavvio di un database a causa di un errore. Vedi IResourceManagerRejoinable::Rejoin per informazioni dettagliate.

• Il limite dei nomi DSN viene ingrandito da 256 byte a 3.072 byte. Per i dettagli, vedi IDtcToXaHelperFactory::Create, IDtcToXaHelperSinglePipe::XARMCreate o IDtcToXaMapper::RequestNewResourceManager.

• La funzione di traccia migliorata ti permette di impostare una chiave del Registro di sistema per includere un percorso di file di immagine nel nome del file del Registro di traccia in modo da indicare quale file del Registro di traccia controllare. Vedi Come abilitare la traccia di diagnostica per MS DTC in un computer basato su Windows per informazioni dettagliate sulla configurazione della traccia per MSDTC.

Server DNS.

Windows Server 2016 contiene gli aggiornamenti seguenti per il server DNS (Domain Name System).

Criteri DNS

È possibile configurare criteri DNS per specificare come un server DNS risponde alle query DNS. Puoi configurare le risposte DNS in base all'indirizzo IP del client, all'ora del giorno e a molti altri parametri. I criteri DNS possono abilitare il DNS con riconoscimento della posizione, la gestione del traffico, il bilanciamento del carico, il DNS split brain e altri scenari. Per altre informazioni, vedere la Guida allo scenario dei criteri DNS.

RRL

Puoi abilitare la limitazione della velocità di risposta (RRL) nei server DNS per impedire ai sistemi dannosi di usare i server DNS per avviare un attacco Distributed Denial of Service (DDoS) su un client DNS. RRL impedisce al server DNS di rispondere contemporaneamente a troppe richieste, proteggendolo negli scenari in cui una botnet invia più richieste contemporaneamente per tentare di bloccare le operazioni del server.

Supporto DANE

Puoi usare il supporto DANE (DNS-based Authentication of Named Entities) (RFC 6394 e RFC 6698) per specificare l'autorità di certificazione da cui i client DNS devono aspettarsi i certificati per i nomi di dominio ospitati nel server DNS. In questo modo, si evita una forma di attacco man-in-the-middle in cui un utente malintenzionato danneggia una cache DNS e indirizza un nome DNS al proprio indirizzo IP.

Supporto di record sconosciuto

Puoi aggiungere record che il server DNS non supporta in modo esplicito usando la funzionalità record sconosciuti. Un record è sconosciuto quando il server DNS non riconosce il formato RDATA. Windows Server 2016 supporta i tipi di record sconosciuti (RFC 3597) per poter aggiungere record sconosciuti alle zone del server DNS di Windows in formato on-wire binario. Il resolver della cache di Windows è già in grado di elaborare tipi di record sconosciuti. Il server DNS di Windows non esegue l'elaborazione specifica di record sconosciuti, ma può inviarli in risposta alle query ricevute.

Parametri radice IPv6

Il server DNS di Windows include ora i parametri radice IPv6 pubblicati dall'Internet Assigned Numbers Authority (IANA). Il supporto per i parametri radice IPv6 consente di eseguire query Internet che usano i server principali IPv6 per eseguire le risoluzioni dei nomi.

Supporto di Windows PowerShell

Windows Server 2016 include nuovi comandi che è possibile usare per configurare DNS in PowerShell. Per altre informazioni, vedi il modulo DnsServer di Windows Server 2016 e il modulo DnsClient di Windows Server 2016.

Client DNS

Il servizio client DNS offre ora il supporto avanzato per i computer con più di un'interfaccia di rete.

I computer multihomed possono anche usare l'associazione al servizio client DNS per migliorare la risoluzione del server:

• Quando si usa un server DNS configurato su un'interfaccia specifica per risolvere una query DNS, il client DNS si associa all'interfaccia prima di inviare la query. Questa associazione consente al client DNS di specificare l'interfaccia in cui deve essere eseguita la risoluzione dei nomi, ottimizzando la comunicazione tra le applicazioni e il client DNS tramite l'interfaccia di rete.

• Se il server DNS che si usa è stato definito da un'impostazione Criteri di gruppo dalla tabella dei criteri di risoluzione dei nomi (NRPT), il servizio client DNS non viene associato all'interfaccia specificata.

Nota

Modifiche al servizio client DNS in Windows 10 sono anche presenti nei computer che eseguono Windows Server 2016 e versioni successive.

Servizi Desktop remoto

Servizi Desktop remoto (RDS) ha apportato le seguenti modifiche per Windows Server 2016.

Compatibilità delle app

Servizi Desktop remoto e Windows Server 2016 sono compatibili con molte applicazioni Windows 10, creando un'esperienza utente quasi identica a quella di un desktop fisico.

Database SQL di Azure

Ora il Gestore connessione Desktop remoto (Remote Desktop, RD) può archiviare tutte le informazioni sulla distribuzione, come gli stati di connessione e i mapping utente-host, in un database SQL (Structured Query Language) di Azure condiviso. Questa funzionalità consente di usare un ambiente a disponibilità elevata senza dover usare un gruppo di disponibilità AlwaysOn di SQL Server. Per ulteriori informazioni, vedere Usare un database SQL Azure per abilitare la disponibilità elevata per il Gestore connessione.

Miglioramenti grafici

Discrete Device Assigment per Hyper-V consente di eseguire il mapping delle unità di elaborazione grafica (GPU) di un computer host direttamente a una macchina virtuale (Virtual Machine, VM). Tutte le applicazioni nella VM che richiedono più GPU rispetto alla VM possono usare le GPU mappate. È stata migliorata anche la vGPU RemoteFX, incluso il supporto per OpenGL 4.4, OpenCL 1.1, risoluzione 4K e VM Windows Server. Per altre informazioni, vedere Discrete Device Assignment.

Miglioramenti del Gestore connessione RD

È stato migliorato il modo in cui il Gestore connessione RD gestisce la connessione durante i picchi di accessi, che sono i periodi in cui le richieste di accesso da parte degli utenti sono maggiori. Ora il Gestore di connessione RD remoto è in grado di gestire più di 10.000 richieste di accesso simultanee! I miglioramenti apportati alla manutenzione semplificano la manutenzione della distribuzione grazie alla possibilità di riportare rapidamente i server nell'ambiente quando sono pronti per tornare online. Per altre informazioni, vedere Prestazioni migliorate di Gestore connessione Desktop remoto.

Modifiche al protocollo RDP 10

Ora il protocollo RDP (Remote Desktop Protocol) 10 utilizza il codec H.264/AVC 444, che ottimizza sia il video che il testo. Con questa versione è supportato anche l'uso remoto della penna. Queste funzionalità permettono alle sessioni remote di essere più simili a una sessione locale. Per altre informazioni, vedere Miglioramenti di AVC/H.264 in RDP 10 in Windows 10 e Windows Server 2016.

Desktop di sessioni personali

I desktop di sessioni personali sono una nuova funzionalità che permette di ospitare il proprio desktop personale nel cloud. I privilegi amministrativi e gli host sessione dedicati rimuovono la complessità dell'hosting di ambienti in cui gli utenti vogliono gestire un desktop remoto come se fosse un desktop locale. Per altre informazioni, vedere Desktop di sessione personali.

Autenticazione Kerberos

Windows Server 2016 include gli aggiornamenti seguenti per l'autenticazione Kerberos.

Supporto dei centri distribuzione chiavi (KDC) per l'autenticazione client basata sull'attendibilità delle chiavi pubbliche

I centri di distribuzione chiave (KDC) supportano ora il mapping delle chiavi pubbliche. Se viene effettuato il provisioning della chiave pubblica per un account, il KDC supporta in modo esplicito PKInit di Kerberos che usa tale chiave. Poiché non esiste alcuna convalida del certificato, Kerberos supporta i certificati autofirmati, ma non supporta la garanzia del meccanismo di autenticazione.

Gli account configurati per l'uso dell'attendibilità della chiave useranno solo l'attendibilità della chiave indipendentemente dal modo in cui è stata configurata l'impostazione UseSubjectAltName.

Supporto dei client Kerberos e KDC per l'estensione di aggiornamento RFC 8070 PKInit

A partire da Windows 10, versione 1607, e Windows Server 2016, i client Kerberos tentano di usare l'estensione di aggiornamento RFC 8070 PKInit per gli accessi basati su chiave pubblica. I KDC hanno l'estensione di aggiornamento PKInit disabilitata per impostazione predefinita, quindi per abilitarla è necessario configurare il supporto KDC per i criteri del modello amministrativo KDC dell'estensione di aggiornamento PKInit in tutti i controller di dominio nel dominio.

I criteri hanno le impostazioni seguenti disponibili quando il dominio si trova nel livello di funzionalità del dominio di Windows Server 2016:

• Disabilitata: il KDC non offre mai l'estensione di aggiornamento PKInit e accetta richieste di autenticazione valide senza verificare la presenza dell'aggiornamento. Gli utenti non ricevono mai il SID di identità della chiave pubblica aggiornato.
• Supportata: Kerberos supporta l'estensione di aggiornamento PKInit su richiesta. I client Kerberos che eseguono correttamente l'autenticazione con l'estensione di aggiornamento PKInit ricevono il SID di identità della chiave pubblica aggiornato.
• Obbligatoria: l'estensione di aggiornamento PKInit obbligatoria per la corretta autenticazione. I client Kerberos che non supportano l'estensione di aggiornamento PKInit genereranno sempre un errore quando si usano credenziali della chiave pubblica.

Supporto di dispositivi aggiunti a dominio per l'autenticazione con chiave pubblica

Se un dispositivo aggiunto a un dominio può registrare la chiave pubblica associata con un controller di dominio (DC) di Windows Server 2016, il dispositivo può eseguire l'autenticazione con la chiave pubblica usando l'autenticazione PKInit Kerberos a un controller di dominio di Windows Server 2016.

I dispositivi aggiunti a un dominio con chiavi pubbliche associate registrate con un controller di dominio di Windows Server 2016 possono ora eseguire l'autenticazione a un controller di dominio di Windows Server 2016 usando i protocolli Public Key Cryptography for Initial Authentication (PKInit) di Kerberos. Per maggiori informazioni, consultare la sezione Autenticazione con chiave pubblica dei dispositivi aggiunti a dominio.

Ora i centri di distribuzione chiavi (KDC) supportano l'autenticazione usando l'attendibilità della chiave Kerberos.

Per maggiori informazioni, consultare la sezione Supporto KDC per il mapping dell'account Key Trust.

I client Kerberos consentono nomi host con indirizzi IPv4 e IPv6 nei nomi delle entità servizio (SPN)

A partire da Windows 10, versione 1507, e Windows Server 2016, è possibile configurare i client Kerberos affinché supportino i nomi host con IPv4 e IPv6 negli SPN. Per maggiori informazioni, consultare la sezione Configurazione di Kerberos per gli indirizzi IP.

Per configurare il supporto per i nomi host con indirizzi IP nei nomi delle entità servizio, creare una voce TryIPSPN. Per impostazione predefinita, questa voce non è disponibile nel registro. È consigliabile inserire questa voce nel percorso seguente:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Dopo aver creato la voce, modificare il valore DWORD in 1. Se questo valore non è configurato, Kerberos non tenterà i nomi host degli indirizzi IP.

L'autenticazione Kerberos si verifica solo se l'SPN è registrato in Active Directory.

Supporto di KDC per il mapping degli account con attendibilità delle chiavi

I controller di dominio supportano ora il mapping dell'account di attendibilità chiave e il fallback ad AltSecID e UPN (User Principal Name) esistenti nel comportamento SAN. È possibile configurare la variabile UseSubjectAltName con le impostazioni seguenti:

• L'impostazione della variabile su 0 rende obbligatorio il mapping esplicito. Gli utenti devono usare un trust chiave o impostare una variabile ExplicitAltSecID.

• L'impostazione della variabile su 1, ovvero il valore predefinito, consente il mapping implicito.

  • Se si configura un trust chiave per un account in Windows Server 2016 o versione successiva, KDC usa KeyTrust per il mapping.

  • Se non è presente alcun UPN nella rete SAN, KDC tenta di usare AltSecID per il mapping.

  • Se è presente un UPN nella SAN, KDC tenta di usare l'UPN per il mapping.

Active Directory Federation Services (ADFS)

AD FS per Windows Server 2016 contiene gli aggiornamenti seguenti.

Accedere con l'autenticazione a più fattori Di Microsoft Entra

AD FS 2016 si basa sulle funzionalità di autenticazione a più fattori di AD FS in Windows Server 2012 R2. È ora possibile consentire l'accesso che richiede solo un codice di autenticazione a più fattori Microsoft Entra anziché un nome utente o una password.

• Quando si configura l'autenticazione a più fattori Di Microsoft Entra come metodo di autenticazione principale, AD FS richiede all'utente il nome utente e il codice OTP (One-Time Password) dall'app Azure Authenticator.

• Quando si configura l'autenticazione a più fattori Di Microsoft Entra come metodo di autenticazione secondario o aggiuntivo, l'utente fornisce le credenziali di autenticazione primarie. Gli utenti possono accedere usando l'autenticazione integrata di Windows, che può richiedere il nome utente e la password, la smart card o un certificato utente o dispositivo. Successivamente, l'utente visualizza una richiesta di credenziali secondarie, ad esempio testo, voce o accesso all'autenticazione a più fattori basato su OTP.

• Il nuovo adattatore di autenticazione a più fattori Di Microsoft Entra offre una configurazione e una configurazione più semplici per l'autenticazione a più fattori Di Microsoft Entra con AD FS.

• Le organizzazioni possono usare l'autenticazione a più fattori Microsoft Entra senza bisogno di un server di autenticazione a più fattori Microsoft Entra locale.

• È possibile configurare l'autenticazione a più fattori Di Microsoft Entra per Intranet, Extranet o come parte di qualsiasi criterio di controllo di accesso.

Per altre informazioni sull'autenticazione a più fattori Di Microsoft Entra con AD FS, vedere Configurare l'autenticazione a più fattori di AD FS 2016 e Microsoft Entra.

Accesso senza password da dispositivi conformi

AD FS 2016 si basa sulle funzionalità di registrazione dei dispositivi precedenti per abilitare l'accesso e il controllo di accesso nei dispositivi in base allo stato di conformità. Gli utenti possono accedere usando le credenziali del dispositivo e AD FS rivaluta la conformità ogni volta che gli attributi del dispositivo cambiano per assicurarsi che vengano applicati i criteri. Questa funzionalità abilita i criteri seguenti:

• Abilitare l'accesso solo da dispositivi gestiti e/o conformi.

• Abilitare l'accesso Extranet solo da dispositivi gestiti e/o conformi.

• Richiedere l'autenticazione a più fattori per i computer non gestiti o conformi.

AD FS fornisce il componente locale dei criteri di accesso condizionale in uno scenario ibrido. Quando si registrano dispositivi con Azure AD per l'accesso condizionale alle risorse cloud, è anche possibile usare l'identità del dispositivo per i criteri di AD FS.

Per altre informazioni sull'uso dell'accesso condizionale basato su dispositivo nel cloud, vedere Accesso condizionale di Azure Active Directory.

Per altre informazioni sull'uso dell'accesso condizionale basato su dispositivo con AD FS, vedere Pianificazione dell'accesso condizionale basato su dispositivo con AD FS e criteri di Controllo di accesso in AD FS.

Eseguire l'accesso con Windows Hello for Business

I dispositivi Windows 10 introducono Windows Hello e Windows Hello for Business, sostituendo le password utente con credenziali utente complesse associate al dispositivo protette dal gesto di un utente, ad esempio l'immissione di un PIN, un movimento biometrico come un'impronta digitale o il riconoscimento facciale. Con Windows Hello, gli utenti possono accedere alle applicazioni AD FS da una rete Intranet o Extranet senza richiedere una password.

Per altre informazioni sull'uso di Windows Hello for Business nell'organizzazione, vedere Abilitare Windows Hello for Business nell'organizzazione.

Autenticazione moderna

AD FS 2016 supporta i più recenti protocolli moderni che offrono una migliore esperienza utente per Windows 10 e per i più recenti dispositivi e app iOS e Android.

Per altre informazioni, vedere Scenari di AD FS per gli sviluppatori.

Configurare criteri di controllo di accesso senza conoscere language regole attestazione

In precedenza, gli amministratori di AD FS dovevano configurare i criteri usando il linguaggio delle regole di attestazione di AD FS, rendendo difficile la configurazione e la gestione dei criteri. Con i criteri di controllo di accesso, gli amministratori possono usare modelli predefiniti per applicare criteri comuni. Ad esempio, è possibile usare i modelli per applicare i criteri seguenti:

• Consentire solo l'accesso intranet.

• Consentire a tutti e richiedere l'autenticazione a più fattori da Extranet.

• Consentire tutti gli utenti e richiedere l'autenticazione a più fattori da un gruppo specifico.

I modelli sono facili da personalizzare. È possibile applicare eccezioni o regole di criteri aggiuntive ed è possibile applicare queste modifiche a una o più applicazioni per l'applicazione coerente dei criteri.

Per altre informazioni vedere Criteri di controllo degli accessi in AD FS.

Abilitazione dell'accesso con le directory LDAP non Active Directory

Molte organizzazioni combinano Active Directory con directory di terze parti. Il supporto di AD FS per l'autenticazione degli utenti archiviati in directory conformi a LDAP (Lightweight Directory Access Protocol) v3 significa che è ora possibile usare AD FS negli scenari seguenti:

• Utenti di terze parti, directory conformi a LDAP v3.

• Gli utenti nelle foreste di Active Directory che non dispongono di un trust bidirezionale di Active Directory configurato.

• Utenti in Active Directory Lightweight Directory Services (AD LDS)

Per altre informazioni, vedere Configure AD FS to authenticate users stored in LDAP directories.

Personalizzare l'esperienza per le applicazioni di ADFS di accesso

In precedenza, AD FS in Windows Server 2012 R2 offriva un'esperienza di accesso comune per tutte le applicazioni di terze parti, con la possibilità di personalizzare un sottoinsieme di contenuti testuali per ogni applicazione. Con Windows Server 2016, è possibile personalizzare non solo messaggi, ma le immagini, web e logo tema per ogni applicazione. Inoltre, è possibile creare nuovi temi web personalizzati e applicarli al relying party.

Per altre informazioni vedere Personalizzazione dell'accesso utente di AD FS.

Il controllo di semplice gestione amministrativa semplificata

Nelle versioni precedenti di AD FS, una singola richiesta potrebbe generare molti eventi di controllo. Le informazioni rilevanti sulle attività di accesso o rilascio di token sono spesso assenti o distribuite tra più eventi di controllo, rendendo più difficile la diagnosi dei problemi. Di conseguenza, gli eventi di controllo sono stati disattivati per impostazione predefinita. Tuttavia, in AD FS 2016, il processo di controllo è più semplificato e pertinente informazioni più facili da trovare. Per altre informazioni vedere Miglioramenti di controllo per AD FS in Windows Server 2016.

Migliorare l'interoperabilità con SAML 2.0 per la partecipazione a confederations

AD FS 2016 contiene un maggiore supporto del protocollo SAML, tra cui il supporto per l'importazione di trust basati su metadati che contiene più entità. Questa modifica consente di configurare AD FS per partecipare a confederazioni come InCommon Federation e ad altre implementazioni conformi allo standard eGov 2.0.

Per altre informazioni, vedere Interoperabilità migliorata con SAML 2.0.

Gestione semplificata delle password per gli utenti federati di Microsoft 365

È possibile configurare AD FS per inviare attestazioni di scadenza della password a eventuali trust o applicazioni relying party protette. La modalità di visualizzazione di queste attestazioni varia tra le applicazioni. Ad esempio, con Office 365 come la relying party, gli aggiornamenti sono stati implementati a Exchange e Outlook per notificare agli utenti federati delle password appena-a--scaduto.

Per altre informazioni, vedere Configurazione di AD FS per l'invio di attestazioni di scadenza della password.

Lo spostamento da ADFS in Windows Server 2012 R2 ad ADFS in Windows Server 2016 è più semplice

In precedenza, la migrazione a una nuova versione di AD FS richiedeva l'esportazione delle impostazioni di configurazione dalla farm di Windows Server a una nuova server farm parallela. AD FS in Windows Server 2016 semplifica il processo rimuovendo il requisito di avere una server farm parallela. Quando si aggiunge un server Windows Server 2016 a una server farm di Windows Server 2012 R2, il nuovo server si comporta esattamente come un server Windows Server 2012 R2. Quando si è pronti per eseguire l'aggiornamento e aver rimosso i server meno recenti, è possibile modificare il livello operativo in Windows Server 2016. Per altre informazioni vedere Aggiornamento ad AD FS in Windows Server 2016.