Windows Server 2016 の新機能

この記事では、Windows Server 2016 の新機能のうち、このリリースを使用する場合に大きな影響を与える可能性が最も高い機能について、いくつか説明します。

Compute

仮想化の領域には、Windows Server を設計、展開、および保守する IT プロフェッショナル向けの仮想化製品および機能が含まれます。

全般

物理マシンと仮想マシンは、Win32 の時刻と Hyper-V の時刻同期サービスが向上したことによる時刻の精度の向上を享受できます。 Windows Server では、UTC に関して 1 ミリ秒の精度を必要とする今後の規制に準拠しているサービスをホストできるようになりました。

Hyper-V

Hyper-V ネットワーク仮想化 (HNV) は、マイクロソフトの更新されたソフトウェア定義ネットワーク (SDN) ソリューションの基本的な構成要素であり、SDN スタックに完全に統合されています。 Windows Server 2016 には、Hyper-V の次の変更が含まれています。

• Windows Server 2016 に、プログラム可能な Hyper-V スイッチが追加されました。 マイクロソフトのネットワーク コントローラーは、Open vSwitch Database Management Protocol (OVSDB) を SouthBound Interface (SBI) として使用し、各ホストで実行されているホスト エージェントに HNV ポリシーをプッシュします。 ホスト エージェントは、VTEP スキーマのカスタマイズを使用してこのポリシーを保存し、Hyper-V スイッチのパフォーマンスの高いフロー エンジンに複雑なフロー ルールをプログラムします。 Hyper-V スイッチのフロー エンジンは、Azure で使用されるフロー エンジンと同じです。 ネットワーク コントローラーとネットワーク リソース プロバイダーを介した SDN スタック全体も Azure と一貫性があり、そのパフォーマンスは Azure パブリック クラウドと同等になります。 マイクロソフトのフロー エンジン内では、Hyper-V スイッチは、スイッチ内でのパケットの処理方法を定義するシンプルな一致アクション メカニズムを通じてステートレス フロー ルールとステートフル フロー ルールの両方を処理する機能を備えています。

• HNV で、Virtual eXtensible Local Area Network (VXLAN) プロトコルのカプセル化がサポートされるようになりました。 HNV は、マイクロソフト ネットワーク コントローラーを通じて MAC 配布モードの VXLAN プロトコルを使用し、テナントのネットワーク IP アドレスを物理的なアンダーレイ ネットワーク IP アドレスにマップします。 NVGRE および VXLAN タスク オフロードは、パフォーマンスを向上させるためにサードパーティ ドライバーをサポートします。

• Windows Server 2016 には、仮想ネットワーク トラフィックおよび HNV とのシームレスな対話機能を完全にサポートするソフトウェア ロード バランサー (SLB) が含まれています。 パフォーマンスの高いフロー エンジンがデータ プレーン v-スイッチで SLB を実装した後、ネットワーク コントローラーが仮想 IP (VIP) または動的 IP (DIP) マッピング用に制御します。

• HNV は、業界標準のプロトコルに依存するサードパーティの仮想および物理アプライアンスとの相互運用性を確保するために、正しい L2 イーサネット ヘッダーを実装します。 マイクロソフトは、相互運用性を確保するため、送信されるすべてのパケットのすべてのフィールドに準拠する値があることを保証しています。 NVGRE や VXLAN などのカプセル化プロトコルによって生じるパケット オーバーヘッドを考慮に入れるため、HNV では、物理 L2 ネットワークのジャンボ フレーム (MTU > 1780) のサポートが求められています。 ジャンボ フレームのサポートにより、HNV 仮想ネットワークに接続されているゲスト仮想マシンで 1514 MTU が維持されます。

• Windows コンテナーのサポートによって、Windows 10 でパフォーマンスの向上、ネットワーク管理の簡素化、および Windows コンテナーのサポートが実現しています。 詳しくは、「コンテナー: Docker、Windows、およびトレンド」をご覧ください。

Nano Server

Nano Server の新機能。 Nano Server には、物理ホストとゲスト仮想マシンの機能の分離や、異なる Windows Server エディションのサポートを含む、Nano Server イメージを構築するための最新モジュールが追加されました。

回復コンソールにも、受信と送信のファイアウォール ルールの分離、WinRM 構成を修復する機能などの機能強化があります。

シールドされた仮想マシン

Windows Server 2016 には、不正に使用されているファブリックから 第 2 世代仮想マシンを保護することを目的として、Hyper-V ベースのシールドされた仮想マシンが用意されています。 Windows Server 2016 で導入された機能を次に示します。

• 新しい [暗号化のサポート] モード。これは、通常の仮想マシンよりも強化された (ただし、 [シールド] モードよりは弱い) 保護を提供する一方で、vTPM、ディスクの暗号化、ライブ マイグレーション トラフィックの暗号化、およびその他の機能 (仮想マシンのコンソール接続や PowerShell ダイレクトなどの便利な直接ファブリック管理機能を含む) を引き続きサポートします。

• 自動化されたディスクの暗号化を含め、既存のシールドされていない第 2 世代仮想マシンからシールドされた仮想マシンへの変換を完全にサポートします。

• Hyper-V Virtual Machine Manager では、シールドされた仮想の実行が承認されているファブリックを表示できるようになりました。これにより、ファブリック管理者はシールドされた仮想マシンのキー保護機能 (KP) を開き、実行が許可されているファブリックを表示できます。

• 実行中のホスト ガーディアン サービスの構成証明モードを切り替えることができます。 安全性が低い一方で単純な Active Directory ベースの構成証明と、TPM ベースの構成証明をその場で切り替えることができるようになりました。

• 保護された Hyper-V ホストとホスト ガーディアン サービスの両方の構成で誤りやエラーを検出できる Windows PowerShell ベースのエンド ツー エンドの診断ツール。

• シールドされた仮想マシン自体と同じレベルの保護機能を提供しながら、通常実行されるファブリック内のシールドされた仮想マシンを安全にトラブルシューティングし、修復をするための手段を提供する回復環境。

• ホスト ガーディアン サービスによる既存の安全な Active Directory のサポート。独自の Active Directory インスタンスを作成するのではなく、既存の Active Directory フォレストを Active Directory として使用するようにホスト ガーディアン サービスに対して指示できます。

シールドされた仮想マシンの操作の詳細と手順については、「 Guarded Fabric とシールドされた VMを参照してください。

ID およびアクセス

ID での新機能では、組織が Active Directory 環境をセキュリティで保護する機能が強化され、クラウドのみの展開およびハイブリッドの展開に移行するために役立ちます。ハイブリッドの展開では、一部のアプリケーションとサービスはクラウドでホストされ、それ以外はオンプレミスでホストされます。

Active Directory 証明書サービス

Windows Server 2016 の Active Directory 証明書サービス (AD CS) では、TPM キーの構成証明のサポートが強化されました。キーの構成証明にスマート カード KSP を使用できるようになりました。ドメインに参加していないデバイスでは、NDES 登録を使用して、TPM 内のキーについて証明できる証明書を取得できるようになりました。

特権アクセス管理

特権アクセス管理 (PAM) は、Pass-the-hash、スピア フィッシングなどの資格情報の盗難手法によって発生する Active Directory 環境でのセキュリティ上の懸念を軽減するのに役立ちます。 この新しい管理アクセス ソリューションは、Microsoft Identity Manager (MIM) を使用して構成でき、次の機能が導入されています。

• MIM によってプロビジョニングされた要塞 Active Directory フォレストには、既存のフォレストとの特別な PAM 信頼があります。 Bastion フォレストは、既存のフォレストから分離され、特権アカウントへのアクセスのみを許可するため、悪意のあるアクティビティがない新しい種類の Active Directory 環境です。

• 要求を承認するための新しいワークフローなど、管理特権を要求するための MIM の新しいプロセス。

• 管理特権要求に応答して MIM によって要塞フォレストにプロビジョニングされた新しいシャドウ セキュリティ プリンシパル (グループ)。 シャドウ セキュリティ グループには、既存のフォレスト内の管理グループの SID を参照する属性があります。 これにより、シャドウ グループはアクセス制御リスト (ACL) を変更することなく、既存のフォレスト内のリソースにアクセスできます。

• 期限切れのリンク機能。シャドウ グループへの限られた時間メンバーシップを有効にします。 一定時間グループにユーザーを追加して、管理タスクを実行できます。 制限付き時間メンバーシップは、Kerberos チケットの有効期間に伝達される Time to Live (TTL) 値によって構成されます。

  Note

  リンクの期限切れは、リンクされたすべての属性で使用できます。 ただし、期限切れのリンク機能を使用するために、グループとユーザーの間のリンクされた属性リレーションシップ member/memberOF のみが PAM で事前に構成されます。

• 組み込みの Kerberos ドメイン コントローラー (KDC) の機能強化により、Active Directory ドメイン コントローラーは、ユーザーが管理グループに対して複数の期間限定メンバーシップを持っている場合に、Kerberos チケットの有効期間を可能な限り低い TTL 値に制限できます。 たとえば、期限付きグループ A のメンバーである場合、サインオンすると、Kerberos チケット許可チケット (TGT) の有効期間は、グループ Aに残っている時間と同じです。また、グループ A よりも TTL が低いタイム バインド グループ Bに参加する場合、TGT の有効期間はグループ B に残っている時間と同じです。

• アクセスを要求したユーザー、管理者に付与されたアクセス権、サインイン中に実行したアクティビティを識別できる新しい監視機能。

PAM の詳細については、「Active Directory ドメイン サービスの特権アクセス管理を参照してください。

Microsoft Entra 参加

Microsoft Entra join は、企業、ビジネス、教育のお客様の ID エクスペリエンスを強化するだけでなく、企業および個人のデバイスの機能の向上を含めます。

• 最新の設定は、企業所有の Windows デバイスで使用できるようになりました。 コア Windows 機能を使用するために個人の Microsoft アカウントは不要になり、コンプライアンスを確保するために既存のユーザーの職場アカウントを使用して新しく実行されます。 これらのサービスは、オンプレミスの Windows ドメインに参加している PC と、Microsoft Entra に参加しているデバイスで動作します。 設定は次のとおりです。

  • ローミングまたはパーソナル化、アクセシビリティ設定、資格情報

  • バックアップと復元

  • 職場アカウントを使用して Microsoft Store にアクセスする

  • ライブ タイルと通知

• 携帯電話やタブレットなどのモバイル デバイス上の組織のリソースにアクセスします。組織のリソースは、企業所有の場合でも、独自のデバイス (BYOD) を持ち込む場合でも、Windows ドメインに参加することはできません。

• Office 365 およびその他の組織のアプリ、Web サイト、リソースには、シングル サインオン (SSO) を使用します。

• BYOD デバイスで、オンプレミス ドメインまたは Azure AD から個人所有のデバイスに職場アカウントを追加します。 SSO を使用すると、アプリまたは Web 経由で作業リソースにアクセスできます。一方、条件付きアカウント制御やデバイス正常性構成証明などの新機能に準拠したままです。

• モバイル デバイス管理 (MDM) 統合を使用すると、デバイスをモバイル デバイス管理 (MDM) ツール (Microsoft Intune またはサード パーティ) に自動登録できます。

• 組織内の複数のユーザーのキオスク モードと共有デバイスを設定します。

• 開発者エクスペリエンスを使用すると、共有プログラミング スタックを使用して、エンタープライズコンテキストと個人コンテキストの両方に対応するアプリを構築できます。

• イメージング オプションを使用すると、イメージングから、ユーザーが初回実行時に企業所有のデバイスを直接構成することを選択できます。

Windows Hello For Business

Windows Hello for Business は、組織およびコンシューマー向けの、パスワードを超えるキーベースの認証方法です。 この形式の認証は、侵害、盗難、フィッシングに対して耐性のある資格情報に依存します。

ユーザーは、証明書または非対称キー ペアにリンクされた生体認証または PIN を使用してデバイスにサインインします。 ID プロバイダー (IDP) は、ユーザーの公開キーを IDLocker にマッピングしてユーザーを検証し、One Time Password (OTP)、電話、または別の通知メカニズムを介してログオン情報を提供します。

詳細については、「Windows Hello for Business」を参照してください。

ファイル レプリケーション サービス (FRS) と Windows Server 2003 の機能レベルの非推奨

ファイル レプリケーション サービス (FRS) と Windows Server 2003 の機能レベルは以前のバージョンの Windows Server では非推奨となりましたが、AD DS では Windows Server 2003 がサポートされなくなったことをお知らせします。 Windows Server 2003 を実行するすべてのドメイン コントローラーをドメインから削除する必要があります。 また、ドメインとフォレストの機能レベルを少なくとも Windows Server 2008 に上げる必要があります。

Windows Server 2008 以降のドメイン機能レベルでは、AD DS は分散ファイル サービス (DFS) レプリケーションを使用して、ドメイン コントローラー間で SYSVOL フォルダーの内容をレプリケートします。 Windows Server 2008 ドメインの機能レベル以上で新しいドメインを作成すると、DFS レプリケーションによって SYSVOL フォルダーが自動的にレプリケートされます。 より低い機能レベルでドメインを作成した場合は、SYSVOL フォルダーの FRS レプリケーションから DFS レプリケーションに移行する必要があります。 移行手順の詳細については、「 インストール、アップグレード、または Windows Server への移行」を参照してください。

詳細については、次のリソースを参照してください。

• Active Directory Domain Services (AD DS) の機能レベルとは
• Active Directory ドメインとフォレストの機能レベルを上げる方法

Active Directory フェデレーション サービス (AD FS)

Windows Server 2016 の Active Directory フェデレーション サービス (AD FS) には、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) ディレクトリに格納されているユーザーを認証するよう AD FS を構成できる新機能が追加されています。

Web アプリケーション プロキシ

Web アプリケーション プロキシの最新バージョンでは、より多くのアプリケーションの発行と事前認証を可能にする新機能に力を入れており、ユーザー エクスペリエンスの向上が図られています。 新機能の一覧をご覧ください。Exchange ActiveSync などのリッチ クライアント アプリの事前認証や、SharePoint アプリの発行を容易にするワイルドカード ドメインなどがあります。 詳細については、「Web Application Proxy in Windows Server 2016 (Windows Server 2016 の Web アプリケーション プロキシ)」を参照してください。

管理

管理と自動化の領域では、Windows PowerShell など Windows Server 2016 を実行および管理する IT プロフェッショナル向けのツールとリファレンス情報に焦点を合わせています。

Windows PowerShell 5.1 に追加された重要な新機能には、クラスを使った開発のサポートや新しいセキュリティ機能があります。それらの機能により、用途が広がり、使いやすさが向上し、Windows ベースの環境をより簡単かつ包括的に制御して管理できます。 詳細については、「WMF 5.1 の新しいシナリオと機能」を参照してください。

Windows Server 2016 には、Nano Server で PowerShell.exe を実行する機能 (リモートのみではなくなりました)、GUI に代わる新しいローカル ユーザーとグループのコマンドレット、PowerShell デバッグのサポートの追加、セキュリティ ログとトランスクリプションおよび JEA に対するサポートの Nano Server への追加など、新しい追加機能があります。

次に、その他の新しい管理機能を示します。

Windows Management Framework (WMF) 5 の PowerShell Desired State Configuration (DSC)

Windows Management Framework 5 には、Windows PowerShell Desired State Configuration (DSC)、Windows リモート管理 (WinRM)、および Windows Management Instrumentation (WMI) に対する更新が含まれています。

Windows Management Framework 5 の DSC 機能のテストに関する詳細については、PowerShell DSC の機能の検証に関する一連のブログ記事を参照してください。 ダウンロードするには、Windows Management Framework 5.1 に関するページを参照してください。

PackageManagement 統合パッケージ管理によるソフトウェアの検出、インストール、およびインベントリ

Windows Server 2016 および Windows 10 には、新しい PackageManagement 機能 (旧称 OneGet) が含まれています。この機能により、IT 技術者や DevOps は、インストーラーのテクノロジやソフトウェアの配置場所にかかわらず、ソフトウェアの検出、インストール、およびインベントリ (SDII) をローカルまたはリモートで自動化できます。

詳細については、「https://github.com/OneGet/oneget/wiki」を参照してください。

デジタル法科学を支援し、セキュリティ侵害の減少に役立つ PowerShell の機能強化

セキュリティが侵害されたシステムの調査を担当するチーム ("ブルー チーム" とも呼ばれます) を支援するために、PowerShell にログおよびその他のデジタル法科学機能が追加されたほか、スクリプトの脆弱性を減らし (制約付きの PowerShell など)、CodeGeneration API をセキュリティで保護するのに役立つ機能が追加されました。

詳細については、ブログ記事「PowerShell ♥ the Blue Team」を参照してください。

ネットワーク

ネットワークの領域では、IT プロフェッショナルが Windows Server 2016 を設計、展開、保守するためのネットワーク製品および機能を扱っています。

ソフトウェアによるネットワーク制御

新規または既存の仮想アプライアンスにトラフィックをミラーすることとルート指定することの両方ができるようになりました。 分散型のファイアウォールとネットワーク セキュリティ グループと合わせて、これにより、Azure と同様の方法でワークロードを動的にセグメント化し、セキュリティで保護できます。 次に、System Center Virtual Machine Manager を使用して、ソフトウェアによるネットワーク制御 (SDN) スタック全体を展開および管理できます。 さらに、Docker を使用して、Windows Server コンテナー ネットワーキングを管理し、仮想マシンとだけでなくコンテナーとも SDN ポリシーを関連付けできます。 詳細については、「ソフトウェア定義ネットワーク インフラストラクチャを計画する」を参照してください。

TCP パフォーマンスの向上

既定の初期輻輳ウィンドウ (ICW) が 4 から 10 に増加し、TCP Fast Open (TFO) が実装されました。 TFO により TCP 接続の確立に必要な時間が短縮されるほか、ICW の増加により、初期バーストでさらに大きなオブジェクトを転送できるようになりました。 この組み合わせにより、クライアントとクラウドの間でインターネット オブジェクトを転送するのに必要な時間をさらに短くできます。

パケット損失からの復旧時の TCP 動作を改善するために、TCP Tail Loss Probe (TLP) と Recent Acknowledge (RACK) を実装しました。 TLP は、再転送タイムアウト (RTO) を高速回復に変換する際に役立ちます。また、RACK は高速回復の所要時間を短縮し、損失パケットを再転送します。

動的ホスト構成プロトコル (DHCP)

動的ホスト構成プロトコル (DHCP) には、Windows Server 2016 で次の変更が加えられます。

• Windows 10 バージョン 2004 の時点で、Windows クライアントを実行し、テザリングされた Android デバイスを使用してインターネットに接続すると、接続に従量制課金のラベルが付けられます。 特定の Windows デバイスで MSFT 5.0 として表示された従来のクライアント ベンダー名は、MSFT 5.0 XBOX になりました。

• Windows 10 バージョン 1803 の時点で、DHCP クライアントは、システムが接続する DHCP サーバーからオプション 119 (ドメイン検索オプション) を読み取って適用できるようになりました。 ドメイン検索オプションには、短い名前の DNS 参照用のドメイン ネーム サービス (DNS) サフィックスも用意されています。 詳細については、 RFC 3397 を参照してください。

• DHCP でオプション 82 (サブオプション 5) がサポートされるようになりました。 このオプションを使用すると、DHCP プロキシ クライアントとリレー エージェントが特定のサブネットの IP アドレスを要求できます。 DHCP オプション 82 (サブオプション 5) で構成された DHCP リレー エージェントを使用している場合、リレー エージェントは、特定の IP アドレス範囲から DHCP クライアントの IP アドレス リースを要求できます。 詳細については、「DHCP サブネットの選択オプション」を参照してください。

• DNS サーバーで DNS レコードの登録が失敗するシナリオの新しいログ イベント。 詳細については、「DNS 登録 DHCP ログ イベントを参照してください。

• DHCP サーバーの役割は、ネットワーク アクセス保護 (NAP) をサポートしなくなりました。 DHCP サーバーは NAP ポリシーを適用せず、DHCP スコープを NAP 対応にすることはできません。 NAP クライアントでもある DHCP クライアント コンピューターでは、正常性ステートメント (SoH) と DHCP 要求を送信します。 DHCP サーバーで Windows Server 2016 が実行されている場合、これらの要求は SoH が存在しない場合と同様に処理されます。 DHCP サーバーでは、通常の DHCP リースをクライアントに付与します。 Windows Server 2016 を実行しているサーバーが、NAP をサポートするネットワーク ポリシー サーバー (NPS) に認証要求を転送するリモート認証ダイヤルイン ユーザー サービス (RADIUS) プロキシである場合、NPS はこれらのクライアントを NAP 非対応として評価し、NAP 処理が失敗します。 NAP と NAP の非推奨の詳細については、「 Features Removed or Deprecated in Windows Server 2012 R2 を参照してください。

セキュリティおよび保証

セキュリティおよび保証の領域には、IT プロフェッショナルがデータ センターとクラウド環境に展開するセキュリティ ソリューションおよび機能が含まれます。 Windows Server 2016 でのセキュリティについては、「セキュリティおよび保証」を参照してください。

Just Enough Administration

Windows Server 2016 の Just Enough Administration は、Windows PowerShell で管理可能なすべての対象について代理管理を実現するセキュリティ テクノロジです。 機能には、ネットワーク ID での実行、PowerShell ダイレクト経由での接続、JEA エンドポイントとの間での安全なファイル コピー、既定で JEA コンテキストで起動する PowerShell コンソールの構成のサポートが含まれます。 詳細については、GitHub の JEA を参照してください。

Credential Guard

Credential Guard は、特権を持つシステム ソフトウェアだけがシークレットにアクセスできるように、仮想化ベースのセキュリティを使用してシークレットを分離します。 詳細については、次を参照してください。 派生した資格情報 Guard でのドメイン資格情報を保護するです。

Windows Server 2016 用の Credential Guard には、サインイン済みユーザー セッションに関する次の更新プログラムが含まれています。

• Kerberos および New Technology LAN Manager (NTLM) は、仮想化ベースのセキュリティを使用し、サインイン済みユーザー セッションの Kerberos および NTLM シークレットを保護します。

• 資格情報マネージャーは、仮想化ベースのセキュリティを使用して保存されたドメイン資格情報を保護します。 サインイン済み資格情報と保存済みドメイン資格情報は、リモート デスクトップを使用してリモート ホストに渡されません。

• Unified Extensible Firmware Interface (UEFI) ロックを使用せずに Credential Guard を有効にすることができます。

Remote Credential Guard

Credential Guard には RDP セッションのサポートが含まれているため、ユーザーの資格情報はクライアント側に残り、サーバー側では公開されません。 また、リモート デスクトップにシングル サインオンも提供します。 詳しくは、「Windows Defender Credential Guard によるドメインの派生資格情報の保護」を参照してください。

Windows Server 2016 用の Remote Credential Guard には、サインイン済みユーザーに関する次の更新プログラムが含まれています。

• Remote Credential Guard は、サインイン済みユーザー資格情報の Kerberos および NTLM シークレットをクライアント デバイスに保持します。 ネットワーク リソースをユーザーとして評価するためのリモート ホストからの認証要求では、クライアント デバイスがシークレットを使用する必要があります。

• Remote Credential Guard は、リモート デスクトップの使用時に提供されたユーザー資格情報を保護します。

ドメインの保護

ドメイン保護には、Active Directory ドメインが必要になりました。

PKInit フレッシュネス拡張機能のサポート

Kerberos クライアントは、公開キー ベースのサインオンに対して PKInit フレッシュネス拡張機能を試みるようになりました。

KDC により PKInit Freshness Extension がサポートされるようになりました。 ただし、既定では PKInt フレッシュネス拡張機能は提供されません。

詳細については、「RFC 8070 PKInit フレッシュネス拡張機能の Kerberos クライアントと KDC のサポート」を参照してください。

公開キーのみのユーザーの NTLM シークレットをロールする

Windows Server 2016 ドメイン機能レベル (DFL) 以降、DC で、公開キーのみのユーザーの NTLM シークレットのローリングがサポートされるようになりました。 この機能は、下位ドメイン機能レベル (DFL) では使用できません。

警告

NTLM シークレットのローリングをサポートしている、2016 年 11 月 8 日より前に有効になった DC をドメインに追加すると、DC がクラッシュする可能性があります。

新しいドメインの場合、この機能は既定で有効になっています。 既存のドメインの場合、Active Directory 管理センターで構成する必要があります。

Active Directory 管理センターで、左側のウィンドウでドメインを右クリックし、[プロパティ] を選択します。 [対話型ログオンに Windows Hello for Business またはスマート カードを使用する必要があるユーザーに対して、サインオン時に期限切れの NTLM シークレットのローリングを有効にする] チェック ボックスをオンにします。 その後、[OK] を選択してこの変更を適用します。

ユーザーが特定のドメイン参加済みデバイスに制限されている場合にネットワーク NTLM の許可する

DC では、Windows Server 2016 DFL 以降でユーザーが特定のドメイン参加デバイスに制限されている場合、ネットワーク NTLM の許可をサポートできるようになりました。 この機能は、Windows Server 2016 より前のオペレーティング システムを実行している DFL では使用できません。

この設定を構成するには、認証ポリシーで [ユーザーが選択したデバイスに制限されている場合に、NTLM ネットワーク認証を許可する] をオンにします。

詳細については、「認証ポリシーと認証ポリシー サイロ」を参照してください。

Device Guard (コードの整合性)

Device Guard は、サーバーで実行できるコードを指定するポリシーを作成することで、カーネル モードのコードの整合性 (KMCI) とユーザー モードのコードの整合性 (UMCI) を提供します。 「Windows Defender Device Guard の概要: 仮想化ベースのセキュリティとコードの整合性ポリシー」を参照してください。

Windows Defender

Windows Server 2016 用 Windows Defender の概要。 Windows Server マルウェア対策は、Windows Server 2016 では既定でインストールされ、有効になっていますが、Windows Server マルウェア対策のユーザー インターフェイスはインストールされていません。 ただし、ユーザー インターフェイスがなくても、Windows Server Antimalware により、マルウェア対策の定義が更新され、コンピューターが保護されます。 Windows Server Antimalware のユーザー インターフェイスが必要な場合は、オペレーティング システムのインストール後に役割と機能の削除ウィザードを使ってインストールできます。

制御フロー ガード

制御フロー ガード (CFG) は、メモリ破損の脆弱性に対処するために作成されたプラットフォームのセキュリティ機能です。 詳細については、「Control Flow Guard (制御フロー ガード)」を参照してください。

Storage

Windows Server 2016のストレージには、ソフトウェア定義ストレージと従来のファイルサーバーのための新機能と機能強化が含まれています。 新機能のいくつかを以下に示します。強化機能および詳細情報については、「What's New in Storage in Windows Server 2016 (Windows Server 2016 の記憶域の新機能)」を参照してください。

記憶域スペース ダイレクト

記憶域スペース ダイレクトでは、ローカル記憶域を持つサーバーを使用して高可用性を備えた拡張性の高い記憶域を作成できます。 ソフトウェア定義ストレージ システムの展開と管理を簡素化し、SATA SSD や NVMe ディスク デバイスなどの新しいクラスのディスク デバイスを使用できるようにします。これは、共有ディスクを使用したクラスター記憶域スペースによるこれまでの環境では実現できませんでした。

詳細については、記憶域スペース ダイレクトに関する記事を参照してください。

記憶域レプリカ

Storage Replicaは、ディザスタリカバリのためのサーバやクラスタ間で、ストレージにとらわれないブロックレベルの同期レプリケーションを可能にし、サイト間のフェイルオーバークラスタのストレッチを可能にします。 同期レプリケーションは、クラッシュ前後の整合性が維持されるボリュームを使用した物理サイト内のデータのミラーリングを実現して、ファイル システム レベルでデータがまったく失われないようにします。 非同期レプリケーションでは、データが失われる可能性はありますが、大都市圏の範囲を超えてサイトを拡張できます。

詳細については、記憶域レプリカに関する記事を参照してください。

記憶域のサービスの品質 (QoS)

記憶域のサービスの品質 (QoS) を使用して、Windows Server 2016 でエンド ツー エンドの記憶域のパフォーマンスを一元的に監視すると共に、Hyper-V クラスターと CSV クラスターを使用してポリシーを作成できるようになりました。

詳細については、「記憶域のサービスの品質」を参照してください。

データ重複除去

Windows Server 2016 には、データ重複除去のための次の新機能が含まれています。

大量ボリュームのサポート

Windows Server 2016 以降では、データ重複除去ジョブ パイプラインで、ボリュームごとに多数の I/O キューを使用して複数のスレッドを並列で実行できるようになりました。 この変更により、データを複数の小さなボリュームに分割することによってのみ、以前は可能だったレベルにパフォーマンスが向上します。 これらの最適化は、最適化ジョブだけでなく、すべてのデータ重複除去ジョブに適用されます。 次の図は、Windows Server のバージョン間でパイプラインがどのように変化したかを示しています。

これらのパフォーマンスの向上により、Windows Server 2016 では、データ重複除去は最大 64 TB のボリュームで高いパフォーマンスを発揮します。

大きなファイルのサポート

Windows Server 2016 の時点で、データ重複除去ではストリーム マップ構造やその他の機能強化を使用して、最適化スループットとアクセス パフォーマンスが向上しています。 重複除去処理パイプラインは、最初からやり直す代わりに、フェールオーバー シナリオの後に最適化を再開することもできます。 この変更により、最大 1 TB のファイルのパフォーマンスが向上し、管理者は、バックアップ ワークロードに関連付けられている大きなファイルなど、より広範なワークロードに重複除去の節約を適用できます。

Nano Server のサポート

Nano Server は、Windows Server 2016 のヘッドレス展開オプションであり、必要なシステム リソースのフットプリントがはるかに小さく、起動時間が大幅に短縮され、Windows Server Core の展開オプションよりも必要な更新プログラムと再起動が少なくなります。 Nano Server では、データ重複除去も完全にサポートされています。 Nano Server の詳細については、「 Container 基本イメージ」を参照してください。

仮想化バックアップ アプリケーションの構成の簡略化

Windows Server 2016 以降では、仮想化されたバックアップ アプリケーションのシナリオのデータ重複除去が大幅に簡略化されています。 このシナリオは、定義済みの [使用法の種類] オプションになりました。 汎用ファイル サーバーと仮想デスクトップ インフラストラクチャ (VDI) と同様に、ボリュームの重複除去を有効にするだけで、重複除去の設定を手動で調整する必要がなくなりました。

クラスター OS ローリング アップグレードのサポート

データ重複除去を実行する Windows Server フェールオーバー クラスターには、Windows Server 2012 R2 と Windows Server 2016 バージョンのデータ重複除去を実行するノードが混在している場合があります。 この混合モードクラスター機能により、クラスターのローリング アップグレード中に重複除去されたすべてのボリュームに完全なデータ アクセスが提供されます。 以前のバージョンの Windows Server を実行しているクラスターで、ダウンタイムなしで、新しいバージョンのデータ重複除去を段階的にロールアウトできるようになりました。

フェールオーバー クラスタリング

Windows Server 2016には、フェールオーバークラスタリング機能を使用して、複数のサーバーを1つのフォールトトレラントクラスタにグループ化するための多くの新機能と機能強化が含まれています。

Cluster Operating System Rolling Upgrade (クラスター オペレーティング システムのローリング アップグレード)

クラスター オペレーティング システムのローリング アップグレードを使用すると、管理者は Hyper-V またはスケールアウト ファイル サーバーのワークロードを停止することなく、クラスター ノードのオペレーティング システムを Windows Server 2012 R2 から Windows Server 2016 にアップグレードできます。 この機能を使用すると、サービス レベル アグリーメント (SLA) に対するダウンタイムのペナルティを回避できます。

詳細については、「クラスター オペレーティング システムのローリング アップグレード」を参照してください。

クラウド監視

クラウド監視は、Windows Server 2016 の新しい種類のフェールオーバー クラスター クォーラム監視で、Microsoft Azure が判別ポイントとして利用されます。 クラウド監視は、他のクォーラム監視と同様に投票を受け取り、クォーラム計算に参加できます。 クラスター クォーラムの構成ウィザードを使用して、クラウド監視をクォーラム監視として構成できます。

詳細については、「 フェールオーバー クラスターのクラウド監視をデプロイするを参照してください。

仮想マシンの回復性

Windows Server 2016 には、コンピューティング クラスター内のクラスター内通信の問題を減らすのに役立つ仮想マシン (VM) コンピューティングの回復性が強化されています。 この回復性の向上には、次の更新プログラムが含まれます。

• 次のオプションを構成して、一時的な障害時の VM の動作を定義できるようになりました。

  • 回復性レベル では、デプロイで一時的な障害を処理する方法を定義します。

  • 回復期間 は、すべての VM が分離して実行できる期間を定義します。

• 異常なノードは検疫され、クラスターへの参加は許可されなくなります。 この機能により、異常なノードが他のノードやクラスター全体に悪影響を与えるのを防ぐことができます。

コンピューティングの回復性機能の詳細については、「 Windows Server 2016 の仮想マシンのコンピューティングの回復性を参照してください。

Windows Server 2016 VM には、一時的なストレージ障害を処理するための新しい記憶域の回復性機能も含まれています。 回復性の向上は、ストレージの中断が発生した場合にテナント VM セッションの状態を維持するのに役立ちます。 VM は、基になるストレージから切断されると、一時停止し、ストレージの復旧を待機します。 一時停止中、VM はストレージ障害時に実行されていたアプリケーションのコンテキストを保持します。 VM とストレージの間の接続が復元されると、VM は実行中の状態に戻ります。 その結果、テナント コンピューターのセッション状態は回復時の状態に保持されます。

新しいストレージの回復性機能は、ゲスト クラスターにも適用されます。

診断の向上

フェールオーバー クラスターに関する問題を診断するために、Windows Server 2016 には次のものが含まれています。

• タイム ゾーン情報や DiagnosticVerbose ログなど、クラスター ログ ファイルのいくつかの機能強化により、フェールオーバー クラスタリングの問題のトラブルシューティングが容易になります。 詳細については、「Windows Server 2016 のフェールオーバー クラスターでのトラブルシューティングの機能強化 - クラスター ログ」を参照してください。

• 新しい種類のアクティブ メモリ ダンプでは、VM に割り当てられているほとんどのメモリ ページが除外されるため、memory.dmp ファイルのサイズが大幅に小さくなり、保存やコピーが容易になります。 詳細については、「Windows Server 2016 のフェールオーバー クラスターでのトラブルシューティングの機能強化 - アクティブ ダンプ」を参照してください。

サイト対応フェールオーバー クラスター

Windows Server 2016 には、物理的な場所またはサイトに基づいてストレッチ クラスター内のグループ ノードを有効にするサイト対応フェールオーバー クラスターが含まれています。 クラスターがサイトを認識することによって、フェールオーバーの動作、配置ポリシー、ノード間のハートビート、クォーラムの動作といった、クラスター ライフサイクルでの主な操作が拡張されます。 詳細については、「Windows Server 2016 のサイト認識フェールオーバー クラスター」を参照してください。

ワークグループ クラスターとマルチドメイン クラスター

Windows Server 2012 R2 以前では、クラスターは同じドメインに参加しているメンバー ノード間でのみ作成できます。 Windows Server 2016 では、この障壁が取り除かれて、Active Directory の依存関係のないフェールオーバー クラスターを作成する機能が導入されています。 次の構成でフェールオーバー クラスターを作成できるようになりました。

• すべてのノードが同じドメインに参加している単一ドメイン クラスター。

• 異なるドメインのメンバーであるノードを持つマルチドメイン クラスター。

• ワークグループ クラスター。ドメインに参加していないメンバー サーバーまたはワークグループであるノードがあります。

詳細については、「Windows Server 2016 のワークグループ クラスターとマルチドメイン クラスター」を参照してください。

仮想マシンの負荷分散

仮想マシンの負荷分散は、クラスター内のノード間で VM をシームレスに負荷分散するフェールオーバー クラスタリングの新機能です。 この機能は、ノード上の VM メモリと CPU 使用率に基づいて、オーバーコミットされたノードを識別します。 次に、オーバーコミットされたノードから使用可能な帯域幅を持つノードに VM をライブ移行します。 最適なクラスターのパフォーマンスと使用率を確保するために、ノードのバランスを積極的に調整できます。 Windows Server 2016 テクニカル プレビューでは、負荷分散は既定で有効になっています。 ただし、SCVMM 動的最適化が有効になっている場合、負荷分散は無効になります。

仮想マシンの開始順序

仮想マシンの開始順序は、クラスター内の VM やその他のグループの開始順序オーケストレーションを導入するフェールオーバー クラスタリングの新機能です。 VM を階層にグループ化し、異なる層間に開始順序の依存関係を作成できるようになりました。 これらの依存関係により、ドメイン コントローラーやユーティリティ VM などの最も重要な VM が最初に起動します。 優先順位の低いレベルの VM は、VM が起動に依存するまで開始されません。

簡略化された SMB マルチチャネルと複数 NIC のクラスター ネットワーク

フェールオーバー クラスター ネットワークは、サブネットまたはネットワークごとに 1 つのネットワーク インターフェイス カード (NIC) に制限されなくなりました。 簡易サーバー メッセージ ブロック (SMB) マルチチャネルおよびマルチ NIC クラスター ネットワークでは、ネットワーク構成が自動的に行われ、サブネット上のすべての NIC をクラスターおよびワークロード トラフィックに使用できます。 この機能強化により、ユーザーは、Hyper-V、SQL Server フェールオーバー クラスター インスタンス、およびその他の SMB ワークロードのネットワーク スループットを最大化することができます。

詳細については、「簡略化された SMB マルチチャネルと複数 NIC のクラスター ネットワーク」を参照してください。

アプリケーションの開発

インターネット インフォメーション サービス (IIS) 10.0

Windows Server 2016 の IIS 10.0 Web サーバーにより提供される新機能は以下のとおりです。

• ネットワーク スタックでの HTTP/2 プロトコルのサポート。IIS 10.0 と統合されたため、IIS 10.0 Web サイトはサポートされる構成の HTTP/2 要求を自動的に処理できるようになりました。 これにより、接続の効率的な再利用、待機時間の短縮など、多くの機能強化が HTTP/1.1 に加えられ、Web ページの読み込み時間が短縮されます。
• Nano Server での IIS 10.0 の実行および管理機能。 「Nano Server の IIS」を参照してください。
• ワイルドカード ホスト ヘッダーのサポート。管理者は、ドメイン向けに Web サーバーをセットアップし、Web サーバーが任意のサブドメインの要求を処理するように設定できます。
• IIS を管理するための新しい PowerShell モジュール (IISAdministration)。

詳細はIISを参照。

分散トランザクション コーディネーター (MSDTC)

Microsoft Windows 10 と Windows Server 2016 に 3 つの新機能が追加されました。

• Resource Manager Rejoin の新しいインターフェイスは、データベースがエラーのために再起動された後に未確定トランザクションの結果を調べるために、リソース マネージャーによって使されます。 詳細については、「IResourceManagerRejoinable::Rejoin」を参照してください。

• DSN 名の制限は、256 バイトから 3,072 バイトに拡大されます。 詳細については、「IDtcToXaHelperFactory::Create」、「IDtcToXaHelperSinglePipe::XARMCreate」、または「IDtcToXaMapper::RequestNewResourceManager」を参照してください。

• Tracelogファイル名にイメージファイルのパスを含めるようにレジストリキーを設定することで、どのTracelogファイルをチェックするのかがわかるようになりました。 MSDTC のトレースの構成に関する詳細については、「Windows ベースのコンピューター上の MS DTC の診断トレースを有効にする方法 」を参照してください。

DNS サーバー

Windows Server 2016には、ドメイン・ネーム・システム（DNS）サーバーに関する以下の更新が含まれています。

DNS ポリシー

DNS ポリシーを構成して、DNS サーバーが DNS クエリにどのように応答するかを指定できます。 クライアントのIPアドレス、時間帯、その他いくつかのパラメータに基づいてDNS応答を設定することができます。 DNSポリシーは、ロケーションアウェアDNS、トラフィック管理、ロードバランシング、スプリットブレインDNS、その他のシナリオを可能にします。 詳細については、DNS ポリシーのシナリオに関するガイドを参照してください。

RRL

DNSサーバーで応答速度制限（RRL）を有効にすると、悪意のあるシステムがDNSサーバーを使用してDNSクライアントに分散型サービス拒否（DDoS）攻撃を仕掛けるのを防ぐことができます。 RRLは、DNSサーバーが一度に多くのリクエストに応答するのを防ぎます。これは、ボットネットがサーバーの運用を妨害するために一度に複数のリクエストを送信するシナリオにおいて、DNSサーバーを保護します。

DANE のサポート

DNS-based Authentication of Named Entities（DANE）サポート（>RFC6394 とRFC6698）を使用して、DNSサーバーでホストされているドメイン名に対して、DNSクライアントがどの認証局からの証明書を期待するかを指定できます。 これは、悪意のある行為者がDNSキャッシュを破壊し、DNS名を自分のIPアドレスに向けるという、一種の中間者攻撃を防ぐものである。

不明なレコードのサポート

DNSサーバーが明示的にサポートしていないレコードを追加するには、不明レコード機能を使用します。 レコードが不明なのは、DNSサーバーがそのRDATA形式を認識しない場合である。 Windows Server 2016は不明レコードタイプ（RFC 3597）をサポートしているため、バイナリー・オンワイヤー形式でWindows DNSサーバーゾーンに不明レコードを追加できます。 ウィンドウズ・キャッシュ・リゾルバはすでに不明レコードタイプを処理できます。 Windows DNSサーバーは不明レコードに対してレコード固有の処理を行わないが、受け取ったクエリに応答してレコードを送信することができます。

IPv6 ルート ヒント

Windows DNSサーバーは、インターネット割り当て番号機関（IANA）によって公開されたIPv6ルートヒントを含むようになりました。 IPv6ルートヒントのサポートにより、IPv6ルートサーバーを使用して名前解決を実行するインターネットクエリーを行うことができます。

Windows PowerShell のサポート

Windows Server 2016には、PowerShellでDNSを構成するために使用できる新しいコマンドが含まれています。 詳細については、Windows Server 2016 DnsServer モジュールおよびWindows Server 2016 DnsClient モジュールを参照してください。

DNS クライアント

DNS クライアント サービスでは、複数のネットワーク インターフェイスを持つコンピューターのサポートが強化されました。

マルチホーム コンピューターでは、DNS クライアント サービス バインドを使用してサーバーの解決を改善することもできます。

• 特定のインターフェイスで構成された DNS サーバーを使用して DNS クエリを解決するとき、DNS クライアントはクエリを送信する前にインターフェイスにバインドします。 このバインドにより、DNS クライアントは名前解決を行う必要があるインターフェイスを指定し、ネットワーク インターフェイス経由でアプリケーションおよび DNS クライアント間の通信を最適化できます。

• 使用している DNS サーバーが、名前解決ポリシー テーブル (NRPT) のグループ ポリシー設定によって指定される場合、DNS クライアント サービスは指定されたインターフェイスにバインドされません。

Note

Windows 10 の DNS クライアント サービスへの変更点は、Windows Server 2016 以降を実行しているコンピューターでも見られます。

リモート デスクトップ サービス

リモート デスクトップ サービス (RDS) は、Windows Server 2016 に対して次の変更を行いました。

アプリの互換性

RDS と Windows Server 2016 は、多くの Windows 10 アプリケーションと互換性があり、物理デスクトップとほぼ同じユーザー エクスペリエンスを作成します。

Azure SQL データベース

リモート デスクトップ (RD) 接続ブローカーは、接続状態やユーザー ホスト マッピングなど、すべてのデプロイ情報を共有 Azure 構造化照会言語 (SQL) データベースに格納できるようになりました。 この機能を使用すると、SQL Server Always On 可用性グループを使用しなくても高可用性環境を使用できます。 詳細については、「高可用性環境のリモート デスクトップ接続ブローカーでの Azure SQL DB の使用」を参照してください。

グラフィックの機能強化

Hyper-V の個別のデバイス割り当てを使用すると、ホスト マシン上のグラフィックス処理装置 (GPU) を仮想マシン (VM) に直接マップできます。 VM で提供できるよりも多くの GPU を必要とする VM 上のアプリケーションは、代わりにマップされた GPU を使用できます。 また、OpenGL 4.4、OpenCL 1.1、4K 解像度、Windows Server VM のサポートなど、RemoteFX vGPU も改善されました。 詳細については、「個別のデバイス割り当て」を参照してください。

RD 接続ブローカーの機能強化

ユーザーからの高サインイン要求の期間であるログオン ストーム中に RD 接続ブローカーが接続を処理する方法が改善されました。 RD 接続ブローカーは、10,000 を超える同時サインイン要求を処理できるようになりました。 また、メンテナンスの改善により、サーバーをオンラインに戻す準備ができたら、すぐに環境にサーバーを追加し直すことができるため、デプロイに対するメインテナントを簡単に実行できます。 詳細については、「リモート デスクトップ接続ブローカー パフォーマンスの強化」に関する記事を参照してください。

RDP 10 プロトコルの変更

リモート デスクトップ プロトコル (RDP) 10では、ビデオとテキストの両方で最適化される H.264/AVC 444 コーデックが使用されるようになりました。 このリリースには、ペンのリモート処理のサポートも含まれています。 これらの機能を使用すると、リモート セッションの操作感がローカル セッションのようになります。 詳しくは、「Windows 10 および Windows Server 2016 における RDP 10 AVC/H.264 の機能強化」を参照してください。

個人用セッション デスクトップ

個人用セッション デスクトップは、お客様の個人用デスクトップをクラウドでホストする新しい機能です。 管理特権と専用セッション ホストにより、ユーザーがリモート デスクトップをローカル デスクトップと同様に管理するという複雑なホスティング環境が解消されます。 詳細については、「個人用セッション デスクトップ」を参照してください。

Kerberos 認証

Windows Server 2016 には、Kerberos 認証に関する次の更新プログラムが含まれています。

公開キー信頼ベースのクライアント認証に対する KDC のサポート

キー配布センター (KDC) で公開キー マッピングがサポートされるようになりました。 アカウントの公開キーをプロビジョニングする場合、KDC では、そのキーを明示的に使用する Kerberos PKInit がサポートされます。 証明書の検証が行われないため、Kerberos では自己署名証明書がサポートされていますが、認証メカニズムの保証はサポートされません。

キー信頼を使用するように構成されたアカウントでは、UseSubjectAltName 設定の構成方法に関係なく、キー信頼のみが使用されます。

RFC 8070 PKInit Freshness 拡張機能の Kerberos クライアントと KDC のサポート

Windows 10 バージョン 1607 および Windows Server 2016 以降では、Kerberos クライアントは、公開キーベースのサインオンに RFC 8070 PKInit フレッシュネス拡張機能を使用できます。 KDC では PKInit フレッシュネス拡張機能が既定で無効になっているため、有効にするには、ドメイン内のすべての DC で PKInit フレッシュネス拡張機能の KDC 管理用テンプレート ポリシーに KDC サポートを構成する必要があります。

このポリシーには、ドメインが Windows Server 2016 ドメイン機能レベル (DFL) にある場合に使用できる次の設定があります。

• 無効: KDC は PKInit Freshness 拡張機能を提供せず、鮮度を確認せずに有効な認証要求を受け入れる必要があります。 ユーザーには、新しい公開キー ID の SID は提供されません。
• サポート対象: Kerberos は、要求に応じて PKInit フレッシュネス拡張機能をサポートします。 Kerberos クライアントが PKInit Freshness 拡張機能で正常に認証されると、新しい公開キー ID SID を受け取ります。
• 必須: 認証を成功させるには、PKInit Freshness 拡張機能が必要です。 PKInit フレッシュネス拡張機能がサポートされない Kerberos クライアントでは、公開キー資格情報を使用すると常に失敗します。

公開キーを使用した認証に対するドメイン参加デバイスのサポート

ドメイン参加デバイスが、バインドされた公開キーを Windows Server 2016 ドメイン コントローラー (DC) に登録できる場合、デバイスは Windows Server 2016 DC に対する Kerberos PKInit 認証を使用して公開キーで認証できます。

Windows Server 2016 ドメイン コントローラーに登録されたバインド済み公開キーを持つドメイン参加デバイスは、Kerberos Public Key Cryptography for Initial Authentication (PKInit) プロトコルを使用して Windows Server 2016 ドメイン コントローラーに対して認証できるようになりました。 詳細については、「ドメインに参加しているデバイスの公開キー認証」を参照してください。

キー配布センター (KDC) では、Kerberos キー信頼を使用した認証がサポートされるようになりました。

詳細については、「キー信頼アカウント マッピングの KDC サポート」を参照してください。

Kerberos クライアントでは、サービス プリンシパル名 (SPN) で IPv4 アドレスと IPv6 アドレスのホスト名が許可されます

Windows 10 バージョン 1507 および Windows Server 2016 以降では、SPN で IPv4 と IPv6 のホスト名をサポートするように Kerberos クライアントを構成できます。 詳細については、「IP アドレスの Kerberos の構成」を参照してください。

SPN で IP アドレスのホスト名のサポートを構成するには、TryIPSPN エントリを作成します。 既定では、このエントリはレジストリに存在しません。 このエントリは、次のパスに配置する必要があります。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

エントリを作成したら、その DWORD 値を 1 に変更します。 この値が構成されていない場合、Kerberos は IP アドレスのホスト名を試行しません。

Kerberos 認証は、SPN が Active Directory に登録されている場合にのみ成功します。

キー信頼アカウント マッピングの KDC サポート

ドメイン コントローラーでは、SAN の動作で、キー信頼アカウント マッピングと、既存の AltSecID およびユーザー プリンシパル名 (UPN) へのフォールバックがサポートされるようになりました。 UseSubjectAltName 変数は、次の設定に構成できます。

• 変数を 0 に設定すると、明示的なマッピングが必要になります。 ユーザーは、キー信頼を使用するか、ExplicitAltSecID 変数を設定する必要があります。

• 変数を既定値の 1 に設定すると、暗黙的なマッピングが可能になります。

  • Windows Server 2016 以降でアカウントのキー信頼を構成すると、KDC ではマッピングに KeyTrust が使用されます。

  • SAN に UPN がない場合、KDC はマッピングに AltSecID を使用しようとします。

  • SAN に UPN がある場合、KDC はマッピングに UPN を使用しようとします。

Active Directory フェデレーション サービス (AD FS)

Windows Server 2016 用 AD FS には、次の更新プログラムが含まれています。

Microsoft Entra 多要素認証でサインインする

AD FS 2016 は、Windows Server 2012 R2 の AD FS の多要素認証 (MFA) 機能に基づいています。 ユーザー名またはパスワードではなく、Microsoft Entra 多要素認証コードのみが必要なサインオンを許可できるようになりました。

• プライマリ認証方法として Microsoft Entra 多要素認証を構成すると、AD FS によってユーザー名と Azure Authenticator アプリからのワンタイム パスワード (OTP) コードの入力が求められます。

• セカンダリまたは追加の認証方法として Microsoft Entra 多要素認証を構成すると、ユーザーはプライマリ認証資格情報を提供します。 ユーザーは、ユーザー名とパスワード、スマート カード、またはユーザーまたはデバイスの証明書を要求できる Windows 統合認証を使用してサインインできます。 次に、テキスト、音声、OTP ベースの Microsoft Entra 多要素認証サインインなどのセカンダリ資格情報のプロンプトが表示されます。

• 新しい組み込みの Microsoft Entra 多要素認証アダプターでは、AD FS を使用した Microsoft Entra 多要素認証のセットアップと構成が簡単になります。

• 組織は、オンプレミスの Microsoft Entra 多要素認証サーバーを必要とせずに、Microsoft Entra 多要素認証を使用できます。

• イントラネット、エクストラネット、または任意のアクセス制御ポリシーの一部として、Microsoft Entra 多要素認証を構成できます。

AD FS での Microsoft Entra 多要素認証の詳細については、「 AD FS 2016 と Microsoft Entra 多要素認証の構成を参照してください。

準拠しているデバイスからのパスワードレス アクセス

AD FS 2016 は、以前のデバイス登録機能を基にして、コンプライアンスの状態に基づいてデバイスのサインオンとアクセス制御を有効にします。 ユーザーはデバイス資格情報を使用してサインオンでき、ポリシーが適用されるようにデバイス属性が変更されるたびに AD FS によってコンプライアンスが再評価されます。 この機能により、次のポリシーが有効になります。

• マネージド デバイスまたは準拠しているデバイスからのアクセスのみを有効にします。

• マネージド デバイスまたは準拠しているデバイスからのエクストラネット アクセスのみを有効にします。

• 管理されていないコンピューターまたは準拠していないコンピューターには多要素認証が必要です。

AD FS は、ハイブリッド シナリオの条件付きアクセス ポリシーのオンプレミス コンポーネントを提供します。 クラウド リソースへの条件付きアクセスのためにデバイスを Azure AD に登録する場合は、AD FS ポリシーにデバイス ID を使用することもできます。

クラウドでのデバイス ベースの条件付きアクセスの使用の詳細については、「Azure Active Directory 条件付きアクセス」を参照してください。

AD FS でのデバイス ベースの条件付きアクセスの使用の詳細については、「 AD FS を使用したデバイス ベースの条件付きアクセスの計画および AD FS のアクセス制御ポリシーを参照してください。

Windows Hello for Business でサインインする

Windows 10 デバイスでは、Windows Hello と Windows Hello for Business が導入され、ユーザー パスワードは、PIN の入力、指紋などの生体認証ジェスチャ、顔認識など、ユーザーのジェスチャによって保護された強力なデバイスバインド ユーザー資格情報に置き換えられます。 Windows Hello を使用すると、ユーザーはパスワードを必要とせずに、イントラネットまたはエクストラネットから AD FS アプリケーションにサインインできます。

組織で Windows Hello for Business を使用する方法の詳細については、「組織で Windows Hello for Business を有効にする」を参照してください。

先進認証

AD FS 2016 は、Windows 10 および最新の iOS および Android デバイスとアプリのユーザー エクスペリエンスを向上させる最新の先進プロトコルをサポートしています。

詳細については、「開発者向けの AD FS シナリオ」を参照してください。

要求規則言語の知識なしでアクセス制御ポリシーを構成する

以前は、AD FS 管理者は AD FS の要求規則言語を使用してポリシーを構成する必要があり、ポリシーの構成と保守が困難でした。 アクセス制御ポリシーを使用すると、管理者は組み込みのテンプレートを使用して一般的なポリシーを適用できます。 たとえば、テンプレートを使用して次のポリシーを適用できます。

• イントラネット アクセスのみを許可します。

• すべてのユーザーを許可し、エクストラネットから MFA を要求します。

• 特定グループのすべてのユーザーを許可し、MFA を要求します。

テンプレートは簡単にカスタマイズできます。 追加の例外またはポリシー規則を適用できます。また、これらの変更を 1 つ以上のアプリケーションに適用して、一貫したポリシー適用を行うことができます。

詳細については、「AD FS でのアクセス制御ポリシー」を参照してください。

AD 以外の LDAP ディレクトリでのサインオンを有効にする

多くの組織では、Active Directory とサード パーティのディレクトリが組み合わせられます。 ライトウェイト ディレクトリ アクセス プロトコル (LDAP) v3 に準拠したディレクトリに格納されているユーザーを認証するための AD FS のサポートは、次のシナリオで AD FS を使用できることを意味します。

• サードパーティの LDAP v3 準拠ディレクトリ内のユーザー。

• Active Directory の双方向の信頼が構成されていない Active Directory フォレスト内のユーザー。

• Active Directory ライトウェイト ディレクトリ サービス (AD LDS) のユーザー。

詳細については、「 Configure AD FS to authenticate users stored in LDAP directories」を参照してください。

AD FS アプリケーションのサインイン エクスペリエンスをカスタマイズする

以前の Windows Server 2012 R2 の AD FS では、すべての証明書利用者アプリケーションに共通のサインオン エクスペリエンスが提供されていて、アプリケーションごとにテキスト ベースのコンテンツのサブセットをカスタマイズする機能が用意されていました。 Windows Server 2016 では、メッセージだけでなく、アプリケーションごとに画像、ロゴ、および Web テーマをカスタマイズできます。 さらに、新しいカスタム Web テーマを作成し、証明書利用者ごとにそれらのテーマの適用ができます。

詳細については、「AD FS のユーザー サインインのカスタマイズ」を参照してください。

管理を容易にするための効率的な監査

以前のバージョンの AD FS では、1 つの要求で多数の監査イベントが生成される可能性があります。 サインインまたはトークン発行アクティビティに関する関連情報は、多くの場合、存在しないか、複数の監査イベントに分散され、問題の診断が困難になっています。 その結果、監査イベントは既定でオフになっています。 ただし、AD FS 2016 では、監査プロセスがより合理化され、関連情報が見つけやすくなります。 詳細については、「Windows Server 2016 での AD FS の監査機能の強化」を参照してください。

コンフェデレーションに参加するための SAML 2.0 との相互運用性の改善

AD FS 2016 には、複数のエンティティを含むメタデータに基づいた信頼のインポートのサポートなど、追加の SAML プロトコルのサポートが含まれています。 この変更により、InCommon フェデレーションや、eGov 2.0 標準に準拠する他の実装など、コンフェデレーションに参加するように AD FS を構成できます。

詳細については、「SAML 2.0 との相互運用性の向上」を参照してください。

フェデレーション Microsoft 365 ユーザーのパスワード管理の簡素化

保護する証明書利用者の信頼またはアプリケーションにパスワードの有効期限の要求を送信するように AD FS を構成できます。 これらの要求の表示方法は、アプリケーションによって異なります。 たとえば、証明書利用者として Office 365 を使用している場合、間もなく期限切れになるパスワードをフェデレーション ユーザーに通知できる更新プログラムが Exchange および Outlook に実装されました。

詳細については、「パスワードの有効期限クレームを送信するように AD FS を構成する」を参照してください。

Windows Server 2012 R2 の AD FS から Windows Server 2016 の AD FS への移行が簡単になりました

以前は、新しいバージョンの AD FS に移行するには、構成設定を Windows Server ファームから新しい並列サーバー ファームにエクスポートする必要があります。 Windows Server 2016 上の AD FS を使用すると、並列サーバー ファームを使用する必要がなくなるので、プロセスが簡単になります。 Windows Server 2016 サーバーを Windows Server 2012 R2 サーバー ファームに追加すると、新しいサーバーは Windows Server 2012 R2 サーバーと同様に動作します。 アップグレードの準備が整い、古いサーバーを削除したら、操作レベルを Windows Server 2016 に変更できます。 詳細については、「Windows Server 2016 での AD FS へのアップグレード」に関する記事を参照してください。