Windows Server 2019의 새로운 기능
이 문서에서는 Windows Server 2019의 새로운 기능 몇 가지를 설명합니다. Windows Server 2022는 Windows Server 2019의 강력한 기반에서 빌드되었으며, 보안, Azure 하이브리드 통합 및 관리, 애플리케이션 플랫폼, HCI(하이퍼 컨버지드 인프라)의 네 가지 주요 주제에 대한 많은 혁신을 제공합니다.
일반
Windows Admin Center
Windows Admin Center는 서버, 클러스터, 하이퍼 컨버지드 인프라 및 Windows 10 PC를 관리하기 위해 로컬로 배포된 브라우저 기반 애플리케이션입니다. Windows 이외의 추가 비용 없이 제공되며 프로덕션 환경에서 바로 사용할 수 있습니다.
Windows Admin Center는 Windows Server 2019, Windows 10, 이전 버전의 Windows 및 Windows Server에 설치할 수 있고, 이를 사용하여 Windows Server 2008 R2 이상을 실행하는 서버 및 클러스터를 관리할 수 있습니다.
자세한 내용은 Windows Admin Center를 참조하세요.
데스크톱 환경
Windows Server 2019는 장기 서비스 채널(LTSC) 릴리스이므로 데스크톱 환경이 포함되어 있습니다. SAC(반기 채널) 릴리스는 의도적으로 데스크톱 환경을 포함하지 않으며 정확히 Server Core 및 Nano Server 컨테이너 이미지 릴리스입니다. Windows Server 2016과 마찬가지로 운영 체제 설치 도중 Server Core 설치 또는 데스크톱 환경 포함 서버 설치 중에서 선택할 수 있습니다.
시스템 인사이트
시스템 인사이트는 Windows Server 2019의 새 기능으로 Windows Server에 기본적인 로컬 예측 분석 기능을 제공합니다. 이러한 예측 기능은 각각 기계 학습 모델에서 지원되며, 성능 카운터 및 이벤트와 같은 Windows Server 시스템 데이터를 로컬로 분석합니다. 시스템 인사이트를 사용하면 서버가 작동하는 방식을 이해하고 Windows Server 배포 문제를 사후 관리하는 것과 관련된 운영 비용을 줄일 수 있습니다.
하이브리드 클라우드
Server Core 앱 호환성 FOD(Feature on Demand)
Server Core 앱 호환성 FOD(주문형 기능)는 데스크톱 환경이 있는 Windows Server의 이진 파일 및 구성 요소 하위 집합을 포함하여 앱 호환성을 크게 향상시킵니다. Server Core는 Windows Server 데스크톱 환경 그래픽 환경 자체를 추가하지 않고 기능과 호환성을 높여 최대한 간결하게 유지됩니다.
이 FOD(Feature on Demand) 옵션은 별도의 ISO에서 사용할 수 있으며 DISM을 사용하여 Windows Server Core 설치 및 이미지에만 추가할 수 있습니다.
Server Core에 추가된 WDS(Windows 배포 서비스) 전송 서버 역할
전송 서버는 WDS의 핵심 네트워크 부분만을 포함합니다. 이제 전송 서버 역할을 수행하는 Server Core를 사용하여 독립 실행형 서버에서 데이터(운영 체제 이미지 포함)를 전송하는 멀티캐스트 네임스페이스를 만들 수 있습니다. 클라이언트가 PXE 부팅하고 고유한 사용자 지정 설치 애플리케이션을 다운로드할 수 있도록 PXE 서버를 준비하려는 경우에도 이 방법을 사용할 수 있습니다.
Azure AD와 원격 데스크톱 서비스 통합
Azure AD 통합을 통해 조건부 액세스 정책, 다단계 인증, Azure AD를 사용하는 다른 SaaS 앱과의 통합 인증 등을 사용할 수 있습니다. 자세한 내용은 RDS 배포에 Azure AD Domain Services 통합을 참조하세요.
네트워킹
TFO(TCP Fast Open), 수신 창 자동 튜닝, IPv6 등과 같은 몇 가지 핵심 네트워크 스택 기능이 향상되었습니다. 자세한 내용은 향상된 핵심 네트워크 스택 기능 게시물을 참조하세요.
동적 vRSS 및 VMMQ
과거에는 네트워크 처리량이 처음으로 10GbE 마크를 넘어서면서, 가상 머신 다중 큐(VMMQ)와 가상 머신 멀티 큐(VMMQ)가 개별 VM에 훨씬 더 높은 처리량을 가능하게 했습니다. 불행히도, 성공을 위해 필요한 계획, 기준 설정, 튜닝 및 모니터링은 IT 관리자가 예상한 것보다 훨씬 더 큰 과제가 되었습니다.
Windows Server 2019는 필요에 따라 네트워크 워크로드 처리를 동적으로 분산하고 튜닝하여 이러한 최적화를 개선합니다. Windows Server 2019는 최대 효율성을 보장하고 IT 관리자의 구성 부담을 제거합니다. 자세한 내용은 Azure Stack HCI 호스트 네트워크 요구 사항을 참조하세요.
보안
Windows Defender Advanced Threat Protection (ATP)
ATP의 심층적인 플랫폼 센서와 응답 작업은 메모리 및 커널 수준 공격을 공개하고 악의적인 파일을 제거하고 악의적인 프로세스를 종료시켜 이에 대응합니다.
Windows Defender ATP에 대한 자세한 내용은 Windows Defender ATP 기능 개요를 참조하세요.
서버 온보딩에 대한 자세한 내용은 Windows Defender ATP 서비스에 서버 온보딩을 참조하세요.
Windows Defender ATP Exploit Guard는 보안 위험과 생산성 요구 사항의 균형을 맞출 수 있는 새로운 호스트 침입 방지 기능 세트입니다. Windows Defender Exploit Guard는 일반적으로 맬웨어 공격에 사용되는 다양한 공격 벡터 및 차단 동작에 대해 디바이스를 잠그도록 설계되었습니다. 구성 요소는 다음과 같습니다.
ASR(공격 표면 감소)은 엔터프라이즈에서 의심스러운 악성 파일을 차단하여 머신에서 맬웨어를 방지할 수 있도록 하는 제어 세트입니다. 예를 들어 Office 파일, 스크립트, 수평 이동, 랜섬웨어 동작 및 이메일 기반 위협이 있습니다.
네트워크 보호는 Windows Defender SmartScreen을 통해 디바이스에서 신뢰할 수 없는 호스트/IP 주소에 대한 모든 아웃바운드 프로세스를 차단하여 웹 기반 위협으로부터 엔드포인트를 보호합니다.
제어된 폴더 액세스는 신뢰할 수 없는 프로세스가 보호되는 폴더로 액세스하는 것을 차단하여 랜섬웨어로부터 민감한 데이터를 보호합니다.
Exploit Protection은 시스템 및 애플리케이션 보호를 위해 손쉽게 구성할 수 있는 취약성 악용(EMET 대체)에 대한 완화 세트입니다.
Windows Defender Application Control(CI(코드 무결성) 정책이라고도 함)은 Windows Server 2016에서 릴리스되었습니다. 기본 CI 정책을 포함하여 배포를 더 쉽게 만들었습니다. 기본 정책은 SQL Server와 같은 모든 Windows 기본 제공 파일 및 Microsoft 애플리케이션을 허용하고 CI를 무시할 수 있는 알려진 실행 파일을 차단합니다.
SDN(소프트웨어 정의 네트워킹)을 사용한 보안
SDN을 사용한 보안은 고객이 온-프레미스 또는 클라우드에서 서비스 공급 기업으로서 워크로드를 실행하는 데 있어 고객의 신뢰를 높이는 많은 기능을 제공합니다.
이러한 보안 개선 사항이 Windows Server 2016에 도입된 포괄적 SDN 플랫폼에 통합되어 있습니다.
SDN의 새 기능에 대한 전체 목록은 Windows Server 2019용 SDN의 새로운 기능을 참조하세요.
보호된 Virtual Machine 개선 사항
보호된 Virtual Machines가 다음과 같이 개선되었습니다.
지점 개선 사항
새로운 대체 HGS 및 오프라인 모드 기능을 사용하여 호스트 보호 서비스에 대한 지속적 연결을 통해 머신에서 보호된 가상 머신을 실행할 수 있습니다. 대체 HGS를 통해 Hyper-V에 대한 보조 URL 세트를 구성하여 주 HGS 서버에 도달할 수 없는 경우 시도할 수 있습니다.
HGS에 연결할 수 없더라도 오프라인 모드를 사용하면 보호된 VM을 계속해서 시작할 수 있습니다. 또한 오프라인 모드를 사용하면 VM이 한 번 성공적으로 시작되고 호스트의 보안 구성이 변경되지 않은 한 VM을 시작할 수 있습니다.
문제 해결 개선 사항
VMConnect 고급 세션 모드 및 PowerShell Direct에 대한 지원을 활성화하여 보호된 VM 문제 해결이 더욱 쉬워지도록 했습니다. 이러한 도구는 VM에 대한 네트워크 연결이 끊기고 구성을 업데이트하여 액세스를 복원해야 하는 경우 유용합니다. 자세한 내용은 보호된 패브릭 및 보호된 VM을 참조하세요.
Windows Server 버전 1803 이상을 실행하는 Hyper-V 호스트에 보호된 VM을 배치하는 경우 이러한 기능을 자동으로 사용할 수 있으므로 이를 구성할 필요가 없습니다.
Linux 지원
혼합 OS 환경을 실행하는 경우 Windows Server 2019에서 이제 보호된 가상 머신 내 Ubuntu, Red Hat Enterprise Linux 및 SUSE Linux Enterprise Server 실행을 지원합니다.
더욱 빠르고 안전한 웹을 위한 HTTP/2
개선된 연결 결합으로 무중단의 적절히 암호화된 브라우징 환경을 제공합니다.
업그레이드된 HTTP/2의 서버 측 암호 그룹 협상으로 연결 오류의 자동 완화와 손쉬운 배포가 가능합니다.
기본 TCP 정체 공급 기업을 Cubic으로 변경하여 더 많은 처리량을 제공합니다!
암호화된 네트워크
가상 네트워크 암호화는 암호화 사용 레이블이 있는 서브넷 내에서 가상 머신 간 가상 네트워크 트래픽을 암호화합니다. 또한 암호화된 네트워크는 가상 서브넷의 DTLS(데이터그램 전송 계층 보안)를 사용하여 패킷을 암호화합니다. DTLS는 실제 네트워크에 액세스하는 누군가에 의한 도청, 변조 및 위조로부터 데이터를 보호합니다.
자세한 내용은 암호화된 네트워크를 참조하세요.
방화벽 감사
방화벽 감사는 로깅을 사용하도록 설정된 SDN 방화벽 규칙 및 ACL(액세스 제어 목록)에서 처리된 흐름을 기록하는 SDN 방화벽의 새로운 기능입니다.
가상 네트워크 피어링
가상 네트워크 피어링을 사용하면 두 개의 가상 네트워크를 원활하게 연결할 수 있습니다. 가상 네트워크는 피어링되면 모니터링에 하나로 표시됩니다.
송신 계량
송신 계량은 아웃바운드 데이터 전송에 대한 사용량 미터를 제공합니다. 네트워크 컨트롤러는 이 기능을 사용하여 가상 네트워크당 SDN 내에서 사용되는 모든 IP 범위의 허용 목록을 유지합니다. 이러한 목록에서는 나열된 IP 범위에 포함되지 않은 대상으로 이동하는 모든 패킷은 아웃바운드 데이터 전송으로 비용이 청구될 것으로 간주합니다.
스토리지
Windows Server 2019의 스토리지에 대한 변경 사항은 다음과 같습니다. 스토리지는 데이터 중복에 대한 업데이트, 특히 중복 제거된 볼륨으로 최적화된 수신 또는 송신에 대한 DataPort API 업데이트의 영향을 받습니다.
파일 서버 리소스 관리자
이제 서비스가 시작되면 파일 서버 리소스 관리자 서비스에서 변경 저널(USN 저널이라고도 함)을 모든 볼륨에 만들지 않도록 방지할 수 있습니다. 변경 경험을 만들지 않도록 방지하면 각 볼륨의 공간을 절약할 수 있지만 실시간 파일 분류가 사용하지 않도록 설정됩니다. 자세한 내용은 파일 서버 리소스 관리자 개요를 참조하세요.
SMB
Windows Server에서는 더 이상 SMB1 클라이언트 및 서버를 기본적으로 설치하지 않습니다. 추가로 SMB2 이상의 게스트 인증 기능이 기본적으로 해제됩니다. 자세한 내용은 SMBv1은 Windows 10 버전 1709, Windows Server 버전 1709 이상 버전에서는 기본적으로 설치되지 않음을 참조하세요.
이제 레거시 애플리케이션의 SMB2+에서 oplock을 사용하지 않도록 설정할 수 있습니다. 클라이언트에서 연결 단위로 서명 또는 암호화를 요구할 수도 있습니다. 자세한 내용은 SMBShare PowerShell 모듈 도움말을 참조하세요.
스토리지 마이그레이션 서비스
스토리지 마이그레이션 서비스를 사용하면 서버를 Windows Server의 최신 버전으로 쉽게 마이그레이션할 수 있습니다. 이 그래픽 도구는 서버의 데이터를 인벤토리한 다음 데이터와 구성을 최신 서버로 전송합니다. 또한 Storage Migration Service는 사용자가 프로필과 앱을 다시 구성할 필요가 없도록 이전 서버의 ID를 새 서버로 이동시킬 수도 있습니다. 자세한 내용은 스토리지 마이그레이션 서비스를 참조하세요.
Windows Admin Center 버전 1910은 Azure 가상 머신을 배포하는 기능을 추가했습니다. 이 업데이트는 Azure VM 배포를 Storage Migration Service에 통합합니다. 자세한 내용은 Azure VM 마이그레이션을 참조하세요.
또한 Windows Server 2019(KB5001384가 설치됨) 또는 Windows Server 2022에서 Storage Migration Server 오케스트레이터를 실행할 때 다음 릴리스 후 제조(RTM) 기능에 액세스할 수도 있습니다.
- 로컬 사용자 및 그룹을 새 서버로 마이그레이션합니다.
- 장애 조치(failover) 클러스터에서 스토리지를 마이그레이션하고, 장애 조치(failover) 클러스터로 마이그레이션하며, 독립 실행형 서버와 장애 조치(failover) 클러스터 간에 마이그레이션합니다.
- Samba를 사용하는 Linux 서버에서 스토리지를 마이그레이션합니다.
- Azure 파일 동기화를 사용하여 마이그레이션된 공유를 Azure에 더욱 쉽게 동기화합니다.
- 새 네트워크(예: Azure)로 마이그레이션합니다.
- NetApp CIFS(Common Internet File System) 서버를 NetApp FAS(Federated Authentication Service) 배열에서 Windows 서버 및 클러스터로 마이그레이션합니다.
스토리지 공간 다이렉트
다음은 스토리지 공간 다이렉트의 새로운 기능입니다. 유효성이 검사된 스토리지 공간 다이렉트를 획득하는 방법에 대한 자세한 내용은 Azure Stack HCI 솔루션 개요를 참조하세요.
ReFS 볼륨에 대한 중복을 제거하고 압축합니다. 선택적 압축을 포함하는 가변 크기의 청크 저장소는 비용 절감률을 극대화하는 반면, 다중 스레드 후처리 아키텍처는 성능에 미치는 영향을 최소화합니다. 이 기능은 최대 64TB의 볼륨을 지원하고 각 파일의 첫 4MB를 중복 제거합니다.
영구 메모리에 대한 네이티브 지원을 통해 PowerShell 또는 Windows Admin Center의 다른 드라이브와 같은 영구 메모리를 관리할 수 있습니다. 이 기능은 Intel Optane DC PM 및 NVDIMM-N 영구 메모리 모듈을 지원합니다.
에지에서 2개 노드 하이퍼 수렴형 인프라에 대한 중첩된 복원력. RAID 5+1을 기반으로 하는 새로운 소프트웨어 복원력 옵션을 통해 이제 두 개의 하드웨어 오류를 동시에 해결할 수 있습니다. 두 노드 스토리지 공간 다이렉트 클러스터는 한 서버 노드가 다운되고 다른 서버 노드에서 드라이브가 실패하더라도 앱 및 가상 머신에 지속적으로 액세스할 수 있는 스토리지를 제공합니다.
2개 서버 클러스터는 USB 플래시 드라이브를 감시로 사용할 수 있습니다. 서버가 다운되었다가 백업되면 USB 드라이브 클러스터는 최신 데이터가 있는 서버를 알 수 있습니다. 자세한 내용은 스토리지 공간 다이렉트 공지 블로그 게시물 및 장애 조치(failover) 클러스터링에 대한 파일 공유 감시 구성을 참조하세요.
Windows Admin Center는 스토리지 공간 다이렉트를 직접 관리하고 모니터링할 수 있는 대시보드를 지원합니다. 전체 클러스터 수준에서 개별 SSD 또는 HDD까지 IOPS 및 IO 대기 시간을 추가 비용 없이 모니터링할 수 있습니다. 자세한 내용은 Windows Admin Center란?을 참조하세요.
성능 기록은 리소스 사용률 및 측정값에 대한 간편한 가시성을 제공하는 새로운 기능입니다. 자세한 내용은 스토리지 공간 다이렉트의 성능 기록을 참조하세요.
최대 64TB의 최대 64개 볼륨으로 용량을 사용하여 클러스터당 최대 4PB까지 확장합니다. 단일 스토리지 네임스페이스 내에서 더 큰 규모를 구현하기 위해 여러 클러스터를 하나의 클러스터 집합 에 연결할 수도 있습니다.
미러 가속 패리티를 활용하여 RAID-1과 RAID-5/6의 혼합과 유사하게 미러 및 패리티 전략을 모두 통합하는 스토리지 공간 다이렉트 볼륨을 생성할 수 있습니다. 미러 가속 패리티는 이제 Windows Server 2016보다 2배 더 빠릅니다.
드라이브 대기 시간 아웃라이어 감지 검색은 PowerShell 및 Windows Admin Center의 느린 드라이브를 "비정상적인 대기 시간" 상태로 자동 식별합니다.
내결함성을 강화하기 위해 볼륨 할당을 수동으로 구분합니다. 자세한 내용은 스토리지 공간 다이렉트에서 볼륨 할당 구분을 참조하세요.
스토리지 복제본
스토리지 복제본의 새로운 기능은 다음과 같습니다.
스토리지 복제본은 이제 Windows Server 2019 Standard Edition 및 Windows Server 2019 Datacenter Edition에서 사용할 수 있습니다. 그러나 Standard Edition을 사용하면 하나의 볼륨만 복제할 수 있으며 해당 볼륨의 크기는 최대 2TB까지만 가능합니다.
테스트 장애 조치(failover)는 테스트 또는 백업을 목적으로 대상 서버에 복제된 스토리지의 스냅샷을 일시적으로 탑재할 수 있는 새로운 기능입니다. 자세한 내용은 스토리지 복제본에 대한 질문과 대답을 참조하세요.
스토리지 복제본 로그 성능 향상(예: 모든 플래시 스토리지의 복제 처리량 및 대기 시간 향상) 및 서로 복제되는 스토리지 공간 다이렉트 클러스터.
서버 간, 클러스터 간 및 확장 클러스터 복제를 위해 서버 관리자를 사용한 복제의 그래픽 관리가 포함된 Windows Admin Center 지원.
데이터 중복 제거
Windows Server 2019는 이제 ReFS(복원 파일 시스템)를 지원합니다. ReFS를 사용하면 ReFS 파일 시스템에 대한 중복 제거 및 압축을 사용해 동일한 볼륨에 최대 10배 더 많은 데이터를 저장할 수 있습니다. 가변 크기의 청크 저장소에는 절감률을 최대화할 수 있는 선택적 압축 기능이 제공되는 반면, 다중 스레드 후처리 아키텍처는 성능 영향을 최소화합니다. ReFS는 최대 64TB의 볼륨을 지원하고, 각 파일의 첫 4TB를 중복 제거합니다. 자세히 알아보려면 빠른 비디오 데모를 위해 Windows Admin Center에서 중복 제거 및 압축을 설정하는 방법을 참조하세요.
장애 조치(Failover) 클러스터링
Windows Server 2019에서 장애 조치(failover) 클러스터링에 다음 기능을 추가했습니다.
클러스터 집합은 여러 클러스터를 컴퓨팅, 스토리지 및 하이퍼 수렴형의 세 가지 유형으로 제공되는 여러 장애 조치(failover) 클러스터의 느슨하게 결합된 그룹으로 그룹화합니다. 이 그룹화는 단일 SDDC(소프트웨어 정의 데이터 센터) 솔루션의 서버 수를 클러스터의 현재 한도를 초과하여 늘립니다. 클러스터 집합을 사용하면 클러스터 집합 내의 클러스터 간에 온라인 가상 머신을 이동할 수 있습니다. 자세한 내용은 클러스터 세트 배포를 참조하세요.
이제 클러스터는 기본적으로 Azure를 인식합니다. Azure 인식 클러스터는 Azure IaaS 가상 머신에서 실행 중일 때 자동으로 이를 감지한 후 가장 높은 수준의 가용성을 달성하도록 구성을 최적화합니다. 이러한 최적화에는 Azure 계획된 유지 관리 이벤트의 사전 장애 조치(failover) 및 로깅이 포함됩니다. 자동화된 최적화를 수행하면 클러스터 이름에 대한 분산 네트워크 이름으로 부하 분산 장치를 구성할 필요가 없도록 하여 배포가 더 간단해집니다.
도메인 간 클러스터 마이그레이션을 사용하면 장애 조치(failover) 클러스터가 한 Active Directory 도메인에서 다른 도메인으로 동적으로 이동하여 도메인 통합을 간소화하고 하드웨어 파트너가 클러스터를 만들고 나중에 고객의 도메인에 조인할 수 있습니다.
USB 감시 기능을 사용하면 네트워크 스위치에 연결된 USB 드라이브를 감시로 사용하여 클러스터의 쿼럼을 결정할 수 있습니다. 이 기능에는 모든 SMB2 규격 디바이스에 대한 확장된 파일 공유 감시 지원이 포함됩니다.
이제 CSV 캐시를 기본적으로 사용하도록 설정하여 가상 머신 성능을 향상시킵니다. MSDTC는 이제 클러스터 공유 볼륨을 지원하여 SQL Server와 같은 스토리지 공간 다이렉트에서 MSDTC 워크로드를 배포할 수 있도록 합니다. 노드를 클러스터 구성원 자격으로 반환하기 위해 자체 복구를 사용하여 분할된 노드를 검색하는 향상된 논리입니다. 향상된 클러스터 네트워크 경로 검색 및 자동 복구
이제 CAU(클러스터 인식 업데이트)가 통합되고 스토리지 공간 다이렉트를 인식하여 각 노드에서 데이터 다시 동기화가 완료되었는지 확인하고 확인합니다. 클러스터 인식 업데이트는 필요한 경우에만 지능적으로 다시 시작하도록 업데이트를 검사합니다. 이 기능을 사용하면 계획된 유지 관리를 위해 클러스터의 모든 서버를 다시 시작할 수 있습니다.
이제 다음 시나리오에서 파일 공유 감시를 사용할 수 있습니다.
원격 위치로 인해 인터넷에 액세스하지 못하거나 인터넷 액세스가 부족하여 클라우드 감시를 사용할 수 없습니다.
디스크 감시를 위한 공유 드라이브가 부족합니다. 예를 들어 스토리지 공간 다이렉트 하이퍼 수렴형 구성, SQL Server ALWAYS On AG(가용성 그룹) 또는 EXCHANGE DAG(데이터베이스 가용성 그룹)와 같이 공유 디스크를 사용하지 않는 구성입니다.
클러스터가 DMZ 뒤에 있어 도메인 컨트롤러 연결이 부족합니다.
CNO(Active Directory 클러스터 이름 개체)가 없는 작업 그룹 또는 도메인 간 클러스터입니다. 이제 Windows Server는 위치로 DFS 네임스페이스 공유 사용을 차단합니다. DFS 공유에 파일 공유 감시를 추가하면 클러스터의 안정성 문제가 발생할 수 있으며 이 구성은 지원되지 않습니다. 공유에서 DFS 네임스페이스를 사용하는지 감지하는 논리를 추가했으며 DFS 네임스페이스가 검색되면 장애 조치(failover) 클러스터 관리자가 미러링 모니터 서버 생성을 차단하고 지원되지 않는 오류 메시지를 표시합니다.
클러스터 공유 볼륨 및 스토리지 공간 다이렉트에 대한 SMB(서버 메시지 블록)를 통해 클러스터 내 통신의 보안을 강화하는 클러스터 강화 기능이 구현되었습니다. 이 기능은 인증서를 활용하여 가능한 가장 안전한 플랫폼을 제공합니다. 이렇게 하면 이제 장애 조치(failover) 클러스터가 NTLM에 대한 종속성 없이 작동할 수 있으므로 보안 기준을 설정할 수 있습니다.
장애 조치(failover) 클러스터는 더 이상 NTLM 인증을 사용하지 않습니다. 대신 Windows Server 2019 클러스터는 이제 Kerberos 및 인증서 기반 인증만 사용합니다. 사용자는 이 보안 향상을 활용하기 위해 변경하거나 아무 것도 배포할 필요가 없습니다. 또한 이 변경을 통해 NTLM이 사용하지 않도록 설정된 환경에서 장애 조치(failover) 클러스터를 배포할 수 있습니다.
애플리케이션 플랫폼
Windows의 Linux 컨테이너
이제 동일한 docker 디먼을 사용하여 동일한 컨테이너 호스트에서 Windows 및 Linux 기반 컨테이너를 실행할 수 있습니다. 이제 애플리케이션 개발자에게 유연성을 제공하는 다른 유형의 컨테이너 호스트 환경을 갖출 수 있습니다.
Kubernetes에 대한 기본 제공 지원
Windows Server 2019에서는 반기 채널 릴리스부터 Windows에서 Kubernetes를 지원하는 데 필요한 컴퓨팅, 네트워킹 및 스토리지 개선을 지속하고 있습니다. 자세한 내용은 이후 Kubernetes 릴리스에서 사용할 수 있습니다.
Windows Server 2019의 컨테이너 네트워킹은 Windows에서 Kubernetes의 유용성을 크게 향상시킵니다. 플랫폼 네트워킹 복원력과 컨테이너 네트워킹 플러그 인 지원이 향상되었습니다.
Kubernetes에 배포된 워크로드는 네트워크 보안을 사용하여 포함된 도구를 사용한 Linux 및 Windows 서비스를 모두 보호할 수 있습니다.
컨테이너 개선
통합 ID 개선
컨테이너의 Windows 통합 인증을 더욱 간편하고 안정적으로 만들어 Windows Server 이전 버전의 여러 제한 사항을 해결했습니다.
더욱 뛰어난 애플리케이션 호환성
Windows 기반 애플리케이션 컨테이너화가 더 쉬워졌습니다. 기존 Windowsservercore 이미지에 대한 앱 호환성이 향상되었습니다. 추가 API 종속성이 포함된 애플리케이션의 경우 이제 windows라는 세 번째 기본 이미지가 있습니다.
크기 감소 및 성능 증가
기본 컨테이너 이미지 다운로드 크기, 디스크 크기 및 시작 시간이 향상되어 컨테이너 워크플로 속도가 높아졌습니다.
Windows Admin Center(미리 보기)를 사용한 관리 환경
컴퓨터에서 실행하는 컨테이너를 확인하고 Windows Admin Center에 대한 새 확장을 사용한 개별 컨테이너 관리가 쉬워졌습니다. Windows Admin Center 공개 피드에서 "컨테이너" 확장을 찾아보세요.
컴퓨팅 향상
VM 시작 순서 지정 VM 시작 순서 지정도 OS 및 애플리케이션 인식을 통해 향상되어 다음 시작 전에 VM이 시작된 것으로 간주되는 경우에 대한 향상된 트리거를 제공합니다.
VM에 대한 스토리지 클래스 메모리 지원은 NTFS 포맷 직접 액세스 볼륨이 비휘발성 DIMM에서 생성되고 Hyper-V VM에 노출되도록 합니다. Hyper-V VM은 이제 스토리지 클래스 메모리 디바이스의 짧은 대기 시간 성능 이점을 사용할 수 있습니다.
Hyper-V VM에 대한 영구 메모리 지원 가상 머신에서 영구 메모리(스토리지 클래스 메모리라고도 함)의 높은 처리량과 짧은 대기 시간을 사용하기 위해 이제 VM에 직접 프로젝션할 수 있습니다. 영구 메모리는 데이터베이스 트랜잭션 대기 시간을 크게 줄이거나 오류 발생 시 대기 시간이 짧은 메모리 내 데이터베이스의 복구 시간을 줄이는 데 도움이 될 수 있습니다.
컨테이너 스토리지 – 영구 데이터 볼륨 애플리케이션 컨테이너는 이제 볼륨에 지속적으로 액세스할 수 있습니다. 자세한 내용은 CSV(클러스터 공유 볼륨), S2D(스토리지 공간 다이렉트), SMB 글로벌 매핑을 통한 컨테이너 스토리지 지원을 참조하세요.
가상 머신 구성 파일 형식(업데이트됨) 구성 버전이 8.2 이상인 가상 머신에 대해 VM 게스트 상태 파일(
.vmgs
)이 추가되었습니다. VM 게스트 상태 파일에는 이전에 VM 런타임 상태 파일의 일부였던 디바이스 상태 정보가 포함됩니다.
암호화된 네트워크
암호화된 네트워크 - 가상 네트워크 암호화는 암호화 사용으로 표시된 서브넷 내에서 각각 통신하는 가상 머신 간 가상 네트워크 트래픽의 암호화를 허용합니다. 또한 가상 서브넷의 DTLS(데이터그램 전송 계층 보안)를 활용하여 패킷을 암호화합니다. DTLS는 실제 네트워크에 액세스하는 누군가에 의한 도청, 변조 및 위조를 방지합니다.
가상 워크로드에 대한 네트워크 성능 개선
가상 워크로드에 대한 네트워크 성능 개선으로 호스트의 지속적인 조정 또는 과잉 프로비저닝 없이 가상 머신에 대한 네트워크 처리량을 극대화합니다. 향상된 성능은 호스트의 사용 가능한 밀도를 높이면서 운영 및 유지 관리 비용을 낮춥니다. 새로운 기능은 다음과 같습니다.
d.VMMQ(동적 가상 머신 큐)
vSwitch의 수신 세그먼트 통합
Low Extra Delay Background Transport
LEDBAT(낮은 추가 지연 백그라운드 전송)는 대기 시간이 최적화된 네트워크 정체 제어 공급자이며, 대역폭을 사용자와 애플리케이션에 자동으로 제공하도록 설계되었습니다. LEDBAT는 네트워크를 사용하지 않는 동안 사용할 수 있는 대역폭을 사용합니다. 이 기술은 고객 대면 서비스 및 관련 대역폭에 영향을 주지 않고 IT 환경 전체에서 대규모 중요 업데이트를 배포할 때 사용하기 위한 것입니다.
Windows 시간 서비스
Windows 시간 서비스에는 UTC 준수 윤초 지원, 새로운 시간 프로토콜(Precision Time Protocol) 및 엔드투엔드 추적성이 포함되어 있습니다.
고성능 SDN 게이트웨이
Windows Server 2019의 고성능 SDN 게이트웨이는 IPsec 및 GRE 연결 성능을 크게 개선하여 더 적은 CPU 활용률로 매우 높은 성능 처리량을 보장합니다.
SDN에 대한 새 배포 UI 및 Windows Admin Center 확장
Windows Server 2019의 새 배포 UI 및 Windows Admin Center 확장을 이용하면 어느 사용자든 SDN의 성능을 활용하여 손쉽게 배포, 관리 작업을 수행할 수 있습니다.
WSL(Linux용 Windows 하위 시스템)
WSL을 통해 서버 관리자는 Windows Server에서 Linux의 기존 도구 및 스크립트를 사용할 수 있습니다. 백그라운드 작업, DriveFS, WSLPath 등의 명령줄 블로그에 소개된 여러 개선 사항이 이제 Windows Server의 일부가 됩니다.
ADFS(Active Directory Federation Services)
Windows Server 2019용 AD FS(Active Directory Federation Services)에는 다음과 같은 변경 내용이 포함되어 있습니다.
보호된 로그인
이제 AD FS를 사용하여 보호된 로그인에 다음 업데이트가 포함됩니다.
이제 사용자는 암호를 노출하지 않고 타사 인증 제품을 첫 번째 요소로 사용할 수 있습니다. 외부 인증 공급자가 두 가지 요소를 증명할 수 있는 경우 MFA(다단계 인증)를 사용할 수 있습니다.
이제 사용자는 암호가 아닌 옵션을 첫 번째 요소로 사용한 후 암호를 추가 요소로 사용할 수 있습니다. 이 기본 제공 지원은 GitHub 어댑터를 다운로드해야 하는 AD FS 2016의 전반적인 환경을 개선합니다.
이제 사용자는 사전 인증 단계에서 특정 유형의 요청을 차단하는 고유의 플러그 인 위험 평가 모듈을 빌드할 수 있습니다. 이 기능을 사용하면 ID 보호와 같은 클라우드 인텔리전스를 사용하여 위험한 사용자 또는 트랜잭션을 쉽게 차단할 수 있습니다. 자세한 내용은 AD FS 2019 위험 평가 모델을 사용하여 플러그 인 빌드를 참조하세요.
다음 기능을 추가하여 ESL(엑스트라넷 스마트 잠금) QFE(빠른 수정 엔지니어링)를 개선합니다.
이제 클래식 엑스트라넷 잠금 기능으로 보호되는 동안 감사 모드를 사용할 수 있습니다.
사용자는 이제 익숙한 위치에 대해 독립적인 잠금 임계값을 사용할 수 있습니다. 이 기능을 사용하면 공통 서비스 계정 내에서 여러 앱 인스턴스를 실행하여 최소한의 중단으로 암호를 롤오버할 수 있습니다.
기타 보안 향상 기능
AD FS 2019에는 다음과 같은 보안 개선 사항이 포함되어 있습니다.
SmartCard 로그인을 사용하는 원격 PowerShell을 통해 사용자가 PowerShell 명령을 실행하여 SmartCards를 사용하여 AD FS에 원격으로 연결할 수 있습니다. 사용자는 이 메서드를 사용하여 다중 노드 cmdlet을 비롯한 모든 PowerShell 함수를 관리할 수도 있습니다.
HTTP 헤더 사용자 지정을 사용하면 사용자가 AD FS 응답 중에 만든 HTTP 헤더를 사용자 지정할 수 있습니다. 헤더 사용자 지정에는 다음과 같은 유형의 헤더가 포함됩니다.
HSTS: 호환 브라우저에서 적용할 HTTPS 엔드포인트에서만 AD FS 엔드포인트를 사용할 수 있습니다.
x-frame-options: AD FS 관리자는 특정 신뢰 당사자가 AD FS 대화형 로그인 페이지에 대한 iFrame을 포함하도록 허용할 수 있습니다. HTTPS 호스트에서만 이 헤더를 사용해야 합니다.
이후 헤더. 나중에 여러 헤더를 구성할 수도 있습니다.
자세한 내용은 AD FS 2019를 사용하여 HTTP 보안 응답 헤더 사용자 지정을 참조하세요.
인증 및 정책 기능
AD FS 2019에는 다음과 같은 인증 및 정책 기능이 포함되어 있습니다.
이제 사용자는 배포에서 추가 인증을 위해 어떤 인증 공급자를 호출할지 지정하는 규칙을 만들 수 있습니다. 이 기능은 인증 공급자 간을 전환하고 추가 인증 공급자에 대한 특별한 요구 사항이 있는 특정 앱을 보호하는 데 도움이 됩니다.
TLS(전송 계층 보안) 기반 디바이스 인증에 대한 선택적 제한 사항이므로 TLS가 필요한 애플리케이션만 이를 사용할 수 있습니다. 사용자는 클라이언트 TLS 기반 디바이스 인증을 제한하여 디바이스 기반 조건부 액세스를 수행하는 애플리케이션만 이를 사용할 수 있습니다. 이 기능으로 TLS 기반 디바이스 인증이 필요 없는 애플리케이션에서 원치 않는 디바이스 인증을 요구하는 프롬프트를 방지할 수 있습니다.
이제 AD FS는 두 번째 요소 자격 증명 새로 고침을 기반으로 2단계 자격 증명 다시 실행을 지원합니다. 이 기능을 사용하면 사용자가 첫 번째 트랜잭션에만 TFA를 요구하고 이후에는 주기적으로 두 번째 요소만 요구할 수 있습니다. AD FS에서 구성 가능한 설정이 아니므로 요청에 추가 매개 변수를 제공할 수 있는 애플리케이션에서만 이 기능을 사용할 수 있습니다. Microsoft Entra ID는 Microsoft Entra ID 페더레이션된 도메인 트러스트 설정에서 X일 동안 내 MFA 기억 설정을 구성하여 supportsMFA가 True로 설정되도록 한 경우 이 매개변수를 지원합니다.
SSO(Single Sign-on) 개선 사항
AD FS 2019에는 다음과 같은 SSO(Single Sign-On) 개선 사항도 포함되어 있습니다.
이제 AD FS는 페이지 매김 UX 흐름과 중앙 집중식 사용자 인터페이스(UI)를 사용하여 사용자에게 보다 원활한 로그인 환경을 제공합니다. 이러한 변화는 Azure AD에서 제공되는 기능을 미러링합니다. 새 UI에 맞게 조직의 로고 및 배경 이미지를 업데이트해야 할 수 있습니다.
Windows 10 디바이스에서 PRT(기본 새로 고침 토큰) 인증을 사용할 때 MFA 상태가 유지되지 않는 문제를 해결했습니다. 이제 사용자에게 2단계 자격 증명을 묻는 메시지가 훨씬 드물게 표시됩니다. 이제 클라이언트 TLS 및 PRT 인증에서 디바이스 인증이 성공하면 환경이 일관되게 제공됩니다.
최신 기간 업무 앱 빌드 지원
AD FS 2019에는 최신 LOB(기간 업무) 앱 빌드를 지원하는 다음과 같은 기능이 포함되어 있습니다.
이제 AD FS에는 풍부한 로그인 환경을 지원하기 위해 UI 노출 영역이 없는 디바이스를 사용하여 로그인하기 위한 OAuth 디바이스 흐름 프로필 지원이 포함되어 있습니다. 이 기능을 사용하면 사용자가 다른 디바이스에서 로그인을 완료할 수 있습니다. Azure Stack의 Azure CLI(Azure 명령줄 인터페이스) 환경에는 이 기능이 필요하며 다른 시나리오에서도 이를 사용할 수 있습니다.
AD FS를 사용하기 위해 현재 OAUth 사양과 일치하는 리소스 매개 변수가 더 이상 필요하지 않습니다. 이제 클라이언트는 요청된 권한을 사용하여 신뢰 당사자 트러스트 식별자를 범위 매개 변수 long으로 제공할 수 있습니다.
AD FS 응답의 CORS(원본 간 리소스 공유) 헤더를 사용할 수 있습니다. 이 새로운 제목을 사용하면 사용자는 AD FS의 OIDC(OpenID Connect) 검색 문서에서 서명 키를 쿼리하여 클라이언트측 JavaScript 라이브러리에서 id_token 서명의 유효성을 검사할 수 있는 단일 페이지 애플리케이션을 빌드할 수 있습니다.
AD FS에는 OAuth 내의 보안 인증 코드 흐름에 대한 PKCE(Proof Key for Code Exchange) 지원이 포함되어 있습니다. 이 추가 보안 계층은 악성 행위자가 코드를 하이재킹하고 다른 클라이언트에서 재생하지 못하도록 방지합니다.
AD FS가 x5t 클레임만 보내는 사소한 문제를 해결했습니다. 이제 AD FS는 어린이 클레임도 전송하여 서명 확인을 위한 키 ID 힌트를 표시합니다.
향상된 지원 가능성
관리자는 이제 사용자가 문제 해결을 위해 오류 보고서 및 디버그 로그를 ZIP 파일로 전송할 수 있도록 AD FS를 구성할 수 있습니다. 관리자는 ZIP 파일을 심사 전자 메일 계정으로 자동으로 전송하도록 SMTP(Simple Mail Transfer Protocol) 연결을 구성할 수도 있습니다. 또 다른 설정을 통해 관리자는 해당 전자 메일을 기반으로 지원 시스템에 대한 티켓을 자동으로 만들 수 있습니다.
배포 업데이트
AD FS 2019에는 다음 배포 업데이트가 포함되어 있습니다.
- AD FS에는 Windows Server 2016 서버 팜을 Windows Server 2019 서버 팜으로 쉽게 업그레이드할 수 있도록 하는 Windows Server 2016 버전과 유사한 기능이 있습니다. Windows Server 2016 서버 팜에 추가된 Windows Server 2019 서버는 업그레이드할 준비가 될 때까지 Windows Server 2016 서버처럼 작동합니다. 자세한 내용은 AD FS에서 Windows Server 2016으로 업그레이드를 참조하세요.
SAML 업데이트
AD FS 2019에는 다음과 같은 SAML(Security Assertion Markup Language) 업데이트가 포함되어 있습니다.
다음 영역에서 InCommon과 같은 집계된 페더레이션 지원의 문제를 해결했습니다.
집계된 페더레이션 메타데이터 문서에 있는 수많은 엔티티의 스케일링이 향상되었습니다. 이전에는 이러한 엔티티에 대한 크기 조정에 실패하고 ADMIN0017 오류 메시지를 반환했습니다.
이제 ScopeGroupID 매개변수를 사용하여 쿼리를 만들 수 있습니다(
Get-AdfsRelyingPartyTrustsGroup
PowerShell cmdlet를 실행하여).중복 entityID 값에 대한 오류 조건 처리가 향상되었습니다.
범위 매개 변수의 Azure AD 스타일 리소스 사양
이전에는 AD FS를 사용하려면 원하는 리소스 및 범위가 인증 요청에서 별도의 매개 변수에 있어야 했습니다. 예를 들어 다음 예제 OAuth 요청에는 범위 매개 변수가 포함되어 있습니다.
https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login
Windows Server 2019에서 AD FS를 사용하면 이제 범위 매개 변수에 포함된 리소스 값을 전달할 수 있습니다. 이 변경 내용은 Microsoft Entra ID에 대한 인증과 일치합니다.
이제 범위 매개 변수는 공백으로 구분된 목록으로 구성할 수 있으며 각 항목을 리소스 또는 범위로 구조화합니다.
참고 항목
인증 요청에서 리소스를 하나만 지정할 수 있습니다. 요청에 둘 이상의 리소스를 포함하는 경우 AD FS에서 오류를 반환하고 인증에 실패합니다.