다음을 통해 공유


Windows Server 2016의 새로운 기능

이 문서에서는 이 릴리스를 사용할 때 가장 큰 영향을 줄 수 있는 Windows Server 2016의 새로운 기능 중 일부에 대해 설명합니다.

Compute

가상화 영역에는 IT 전문가가 Windows Server를 디자인, 배포 및 유지 관리할 수 있는 가상화 제품 및 기능이 포함됩니다.

일반

Win32 시간 및 Hyper-V 시간 동기화 서비스의 향상된 기능으로 인해 실제 및 가상 컴퓨터에서 보다 뛰어난 시간 정확도를 활용할 수 있습니다. Windows Server는 이제 UTC 기준 1밀리초 정확도를 요구하는 향후 규정을 준수하는 서비스를 호스트할 수 있습니다.

Hyper-V

Hyper-V 네트워크 가상화(HNV)는 Microsoft의 업데이트된 SDN(소프트웨어 정의 네트워킹) 솔루션의 기본 구성 요소이며 SDN 스택에 완전히 통합됩니다. Windows Server 2016에는 Hyper-V에 대한 다음과 같은 변경 내용이 포함되어 있습니다.

  • 이제 Windows Server 2016에는 프로그래밍 가능한 Hyper-V 스위치가 포함되어 있습니다. Microsoft의 네트워크 컨트롤러는 OVSDB(Open vSwitch Database Management Protocol)를 SBI(SouthBound Interface)로 사용하여 각 호스트에서 실행되는 호스트 에이전트로 HNV 정책을 푸시합니다. 호스트 에이전트는 VTEP 스키마사용자 지정을 사용하여 이 정책을 저장하고 복잡한 흐름 규칙을 Hyper-V 스위치의 성능 흐름 엔진에 프로그래밍합니다. Hyper-V 스위치의 흐름 엔진은 Azure에서 사용하는 것과 동일합니다. 네트워크 컨트롤러 및 네트워크 리소스 공급자를 통해 전체 SDN 스택은 Azure와도 일치하므로 Azure 퍼블릭 클라우드와 비슷한 성능을 발휘합니다. Microsoft의 흐름 엔진 내에서 Hyper-V 스위치는 스위치 내에서 패킷을 처리하는 방법을 정의하는 간단한 일치 작업 메커니즘을 통해 상태 비지방 흐름 규칙과 상태 저장 흐름 규칙을 모두 처리할 수 있도록 장착되어 있습니다.

  • 이제 HNV는 VXLAN(Virtual eXtensible Local Area Network) 프로토콜 캡슐화를 지원합니다. HNV는 Microsoft 네트워크 컨트롤러를 통해 MAC 배포 모드의 VXLAN 프로토콜을 사용하여 테넌트에 지나치게 네트워크 IP 주소를 실제 언더레이 네트워크 IP 주소에 매핑합니다. NVGRE 및 VXLAN 태스크 오프로드는 향상된 성능을 위해 타사 드라이버를 지원합니다.

  • Windows Server 2016에는 가상 네트워크 트래픽 및 HNV와의 원활한 상호 작용을 완벽하게 지원하는 SLB(소프트웨어 부하 분산 장치)가 포함되어 있습니다. 성능 흐름 엔진은 데이터 평면 v-Switch에서 SLB를 구현한 다음 네트워크 컨트롤러가 VIP(가상 IP) 또는 DIP(동적 IP) 매핑에 대해 제어합니다.

  • HNV는 올바른 L2 이더넷 헤더를 구현하여 업계 표준 프로토콜에 의존하는 타사 가상 및 물리적 어플라이언스와의 상호 운용성을 보장합니다. Microsoft는 전송된 모든 패킷이 상호 운용성을 보장하기 위해 모든 필드에 규격 값을 갖도록 합니다. HNV는 NVGRE 및 VXLAN과 같은 캡슐화 프로토콜에 의해 도입된 패킷 오버헤드를 고려하기 위해 물리적 L2 네트워크의 점보 프레임(MTU > 1780)에 대한 지원이 필요합니다. Jumbo Frame을 지원하면 HNV Virtual Network에 연결된 게스트 Virtual Machines가 1514 MTU를 유지 관리합니다.

  • Windows 컨테이너 지원은 Windows 10의 Windows 컨테이너에 대한 성능 향상, 간소화된 네트워크 관리 및 지원을 추가합니다. 자세한 내용은 Docker, Windows 및 추세 컨테이너를 참조하세요.

Nano 서버

Nano Server의 새로운 기능. 이제 Nano Server에는 물리적 호스트 및 게스트 가상 머신 기능의 분리 및 다양한 Windows Server 버전에 대한 지원을 포함하여 Nano Server 이미지를 빌드하기 위한 업데이트된 모듈이 있습니다.

또한 인바운드 및 아웃바운드 방화벽 규칙 분리 및 WinRM 구성 복구 기능을 포함하여 복구 콘솔이 개선되었습니다.

보호된 가상 컴퓨터

Windows Server 2016에서는 손상된 패브릭에서 모든 2세대 가상 머신을 보호하는 새로운 Hyper-V 기반 보호된 가상 머신을 제공합니다. Windows Server 2016에 도입된 기능은 다음과 같습니다.

  • 일반 가상 머신보다 더 많은 보호를 제공하지만 보호됨 모드보다 더 적은 보호를 제공하는 새로운 암호화 지원 모드입니다. 하지만 가상 머신 콘솔 연결 및 PowerShell Direct와 같은 직접 패브릭 관리 편의성을 포함하여 vTPM, 디스크 암호화, 실시간 마이그레이션 트래픽 암호화 및 기타 기능을 계속 지원합니다.

  • 자동화된 디스크 암호화를 포함하여 기존의 보호되지 않는 2세대 가상 컴퓨터를 보호된 가상 컴퓨터로 변환하는 작업을 완벽하게 지원합니다.

  • 이제 Hyper-V Virtual Machine Manager에서 보호된 가상 머신 실행 권한이 부여된 경우 패브릭을 볼 수 있으므로 패브릭 관리자가 보호된 가상 머신의 KP(키 보호기)를 열고 실행할 수 있는 패브릭을 확인할 수 있습니다.

  • 실행 중인 호스트 보호 서비스에서 증명 모드를 전환할 수 있습니다. 이제 보안 수준은 낮지만 보다 간단한 Active Directory 기반 증명과 TPM 기반 증명 간에 즉시 전환할 수 있습니다.

  • 보호된 Hyper-V 호스트와 호스트 보호 서비스 모두에서 잘못된 구성 또는 오류를 감지할 수 있는 Windows PowerShell 기반의 엔드투엔드 진단 도구가 제공됩니다.

  • 보호된 가상 머신 자체와 동일한 보호 수준을 제공하는 한편, 패브릭 내에서 정상적으로 실행되는 보호된 가상 머신을 안전하게 복구하고 문제를 해결할 수 있는 복구 환경을 제공합니다.

  • 기존에 안전한 Active Directory에 대한 호스트 보호 서비스 – 호스트 보호 서비스에서 Active Directory로 고유한 Active Directory 인스턴스를 생성하는 대신 기존 Active Directory 포리스트를 사용하도록 지시할 수 있습니다.

보호된 가상 머신 작업 지침에 대한 자세한 내용과 지침은 보호된 패브릭 및 보호된 VM을 참조하세요.

ID 및 액세스

ID의 새로운 기능은 조직에서 Active Directory 환경을 보호하고 일부 애플리케이션과 서비스가 클라우드에서 호스트되고 나머지는 온-프레미스에서 호스트되는 클라우드 전용 배포 및 하이브리드 배포로 마이그레이션하는 데 도움이 되는 기능을 향상시킵니다.

Active Directory 인증서 서비스

Windows Server 2016의 AD CS(Active Directory 인증서 서비스)는 TPM 키 증명에 대한 지원을 강화합니다. 이제 키 증명에 스마트 카드 KSP를 사용할 수 있으며, 도메인에 가입되지 않은 디바이스에서 NDES 등록을 사용하여 TPM에서 키를 증명할 수 있는 인증서를 가져올 수 있습니다.

Active Directory Domain Services

Active Directory Domain Services에는 조직이 Active Directory 환경의 보안을 설정하고 회사 및 개인 디바이스에 향상된 ID 관리 환경을 제공하는 데 도움을 주는 개선 사항이 포함되어 있습니다. 자세한 내용은 Windows Server 2016에서 AD DS(Active Directory Domain Services)의 새로운 기능을 참조하세요.

ADFS(Active Directory Federation Services)

Windows Server 2016의 AD FS(Active Directory Federation Services)에서는 LDAP(Lightweight Directory Access Protocol) 디렉터리에 저장된 사용자를 인증하도록 AD FS를 구성할 수 있는 새로운 기능을 제공합니다.

웹 애플리케이션 프록시

최신 버전의 웹 애플리케이션 프록시는 더 많은 애플리케이션 및 향상된 사용자 환경에 대한 게시 및 사전 인증을 가능하게 하는 새로운 기능에 중점을 둡니다. SharePoint 앱을 더 쉽게 게시할 수 있도록 Exchange ActiveSync 및 와일드카드 도메인과 같은 다양한 기능을 갖춘 클라이언트 앱에 대한 사전 인증을 포함하는 새로운 기능의 전체 목록을 확인합니다. 자세한 내용은 Windows Server 2016의 웹 애플리케이션 프록시를 참조하세요.

관리

관리 및 자동화 영역에서는 Windows PowerShell을 포함하여 Windows Server 2016을 실행하고 관리하려는 IT 전문가를 위한 도구 및 참조 정보에 중점을 둡니다.

Windows PowerShell 5.1에서는 클래스를 사용하는 개발에 대한 지원, 새로운 보안 기능 등 용도를 확장하고, 사용 편의성을 개선하며, Windows 기반 환경을 보다 쉽게 포괄적으로 제어하고 관리할 수 있는 중요한 새로운 기능을 제공합니다. 자세한 내용은 WMF 5.1의 새 시나리오 및 기능을 참조하세요.

Windows Server 2016에 대한 새로운 추가 사항으로는 Nano 서버에서 PowerShell.exe를 로컬로 실행하는 기능, GUI를 대체하는 새로운 로컬 사용자 및 그룹 cmdlet, PowerShell 디버깅을 지원하는 추가 기능, Nano Server에서 보안 로깅 및 기록과 JEA를 지원하는 추가 기능 등 새로운 기능이 포함됩니다.

다음은 이외의 몇 가지 새로운 관리 기능입니다.

Windows WMF(Management Framework) 5의 PowerShell DSC(필요한 상태 구성)

Windows Management Framework 5는 Windows PowerShell DSC(필요한 상태 구성), WinRM(Windows Remote Management) 및 WMI(Windows Management Instrumentation)의 업데이트를 포함하고 있습니다.

Windows Management Framework 5의 DSC 기능 테스트에 대한 자세한 내용은 PowerShell DSC 기능의 유효성 검사에서 언급한 블로그 게시물을 참조하세요. 다운로드 방법은 Windows Management Framework 5.1을 참조하세요.

소프트웨어 검색, 설치 및 재고에 대한 PackageManagement 통합 패키지 관리

Windows Server 2016 및 Windows 10에는 IT 전문가 및 개발 운영자가 설치 관리자 기술 및 소프트웨어 위치에 상관없이 로컬 또는 원격으로 SDII(소프트웨어 검색, 설치 및 인벤토리)를 자동화할 수 있도록 해주는 새로운 PackageManagement 기능(이전의 OneGet)이 포함되어 있습니다.

자세한 내용은 https://github.com/OneGet/oneget/wiki를 참조하세요.

디지털 범죄 조사를 지원하고 보안 위험을 줄이도록 도와주는 PowerShell의 향상된 기능

"blue team"이라고도 부르는 손상된 시스템을 조사하는 팀을 돕기 위해 PowerShell 로깅 및 기타 디지털 범죄 조사 기능이 추가되었으며, 제한된 PowerShell 스크립트처럼 스크립트의 취약점을 줄이고 CodeGeneration API를 보호하는 기능이 추가되었습니다.

자세한 내용은 PowerShell ♥ 블루 팀 블로그 게시물을 참조하세요.

네트워킹

네트워킹 영역에서는 IT 전문가가 Windows Server 2016을 디자인, 배포 및 유지 관리할 수 있는 네트워킹 제품과 기능을 다룹니다.

소프트웨어 정의 네트워킹

이제 신규 또는 기존 가상 어플라이언스로 트래픽을 미러링 및 라우팅할 수 있습니다. 이는 분산된 방화벽 및 네트워크 보안 그룹과 함께 Azure와 유사한 방식으로 워크로드를 동적으로 분할하고 보호해 줍니다. 둘째, System Center Virtual Machine Manager를 사용하여 전체 SDN(소프트웨어 정의 네트워킹) 스택을 배포하고 관리할 수 있습니다. 마지막으로, Docker를 사용하여 Windows Server 컨테이너 네트워킹을 관리하고 가상 컴퓨터뿐만 아니라 컨테이너에도 SDN 정책을 연결할 수 있습니다. 자세한 내용은 소프트웨어 정의 네트워크 인프라 계획을 참조하세요.

TCP 성능 향상

기본 초기 정체 창(ICW)이 4에서 10으로 늘어났으며 TFO(TCP Fast Open)가 구현되었습니다. TFO는 TCP 연결을 설정하는 데 필요한 시간을 줄여 주며 늘어난 ICW로 초기 버스트에서 더 큰 개체를 전송할 수 있습니다. 이 조합은 클라이언트와 클라우드 간에 인터넷 개체를 전송하는 데 필요한 시간을 크게 단축시킬 수 있습니다.

패킷 손실로부터 복구할 때 TCP 동작을 개선하기 위해 TCP 테일 손실 검색(TLP) 및 최근 승인(RACK)을 구현했습니다. TLP를 통해 다시 전송 시간 제한(RTO)을 빠른 복구로 변환할 수 있으며 RACK은 빠른 복구로 손실된 패킷을 다시 전송하는 데 필요한 시간을 단축시켜 줍니다.

보안 및 보증

보안 및 보증 영역에는 IT 전문가가 데이터 센터 및 클라우드 환경에서 배포할 수 있는 보안 솔루션 및 기능이 포함됩니다. Windows Server 2016에서 일반적인 보안에 대한 자세한 내용은 보안 및 보증을 참조하세요.

Just Enough Administration

Windows Server 2016의 Just Enough Administration은 Windows PowerShell로 관리할 수 있는 모든 항목에 대한 위임된 관리를 지원하는 보안 기술입니다. 네트워크 ID를 통한 실행, PowerShell Direct를 통한 연결, JEA 엔드포인트와의 보안 파일 복사, 기본적으로 JEA 컨텍스트에서 시작하도록 PowerShell 콘솔 구성 등에 대한 지원이 추가되었습니다. 자세한 내용은 GitHub의 JEA를 참조하세요.

Credential Guard

Credential Guard는 가상화 기반 보안을 사용하여 권한 있는 시스템 소프트웨어만 액세스할 수 있도록 암호를 격리합니다. 자세한 내용은 Credential Guard를 사용하여 파생 도메인 자격 증명 보호를 참조하세요.

Windows Server 2016용 Credential Guard에는 로그인한 사용자 세션에 대한 다음 업데이트가 포함되어 있습니다.

  • Kerberos 및 NTLM(New Technology LAN Manager)은 가상화 기반 보안을 사용하여 로그인한 사용자 세션에 대한 Kerberos 및 NTLM 비밀을 보호합니다.

  • Credential Manager는 가상화 기반 보안을 사용하여 저장된 도메인 자격 증명을 보호합니다. 로그인한 자격 증명 및 저장된 도메인 자격 증명은 원격 데스크톱을 사용하여 원격 호스트에 전달되지 않습니다.

  • UEFI(Unified Extensible Firmware Interface) 잠금 없이 Credential Guard를 사용하도록 설정할 수 있습니다.

원격 Credential Guard

Credential Guard에는 RDP 세션에 대한 지원이 포함되어 사용자 자격 증명이 클라이언트 쪽에서 그대로 유지되며 서버 쪽에 노출되지 않습니다. 또한 원격 데스크톱에 대한 Single Sign On도 제공합니다. 자세한 내용은 Windows Defender Credential Guard를 사용하여 파생 도메인 자격 증명 보호를 참조하세요.

Windows Server 2016용 Remote Credential Guard에는 로그인한 사용자에 대한 다음 업데이트가 포함되어 있습니다.

  • 원격 Credential Guard는 클라이언트 디바이스에서 로그인한 사용자 자격 증명에 대한 Kerberos 및 NTLM 비밀을 유지합니다. 사용자가 비밀을 사용하려면 클라이언트 디바이스가 필요하므로 네트워크 리소스를 평가하기 위한 원격 호스트의 인증 요청입니다.

  • 원격 Credential Guard는 원격 데스크톱을 사용할 때 제공된 사용자 자격 증명을 보호합니다.

도메인 보호

이제 도메인 보호에는 Active Directory 도메인이 필요합니다.

PKInit Freshness 확장 지원

Kerberos 클라이언트는 이제 공개 키 기반 로그온에 대해 PKInit 새로 고침 확장을 시도합니다.

이제 KDC는 PKInit 새로 고침 확장을 지원합니다. 그러나 기본적으로 PKInit 새로 고침 확장을 제공하지는 않습니다.

자세한 내용은 RFC 8070 PKInit 새로 고침 확장에 대한 Kerberos 클라이언트 및 KDC 지원을 참조하세요.

공개 키만 사용자의 NTLM 비밀 롤링

Windows Server 2016 DFL(도메인 기능 수준)부터 DC는 이제 공개 키 전용 사용자의 NTLM 비밀 롤링을 지원합니다. 이 기능은 낮은 DFL(도메인 기능 수준)에서 사용할 수 없습니다.

Warning

2016년 11월 8일 업데이트 전에 사용하도록 설정된 DC를 NTLM 비밀 롤링을 지원하는 도메인에 추가하면 DC가 충돌할 수 있습니다.

새 도메인의 경우 이 기능은 기본적으로 사용하도록 설정됩니다. 기존 도메인의 경우 Active Directory 관리 센터에서 구성해야 합니다.

Active Directory 관리 센터에서 왼쪽 창에서 도메인을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 대화형 로그온에 비즈니스용 Windows Hello 또는 스마트 카드를 사용해야 하는 사용자에 대해 로그온하는 동안 만료된 NTLM 비밀 롤링 사용 확인란을 선택합니다. 그런 다음 확인을 선택하여 이 변경을 적용합니다.

사용자가 특정 도메인에 가입된 디바이스로 제한될 때 네트워크 NTLM 허용

이제 사용자가 Windows Server 2016 DFL 이상의 특정 도메인 가입 디바이스로 제한된 경우 DC에서 네트워크 NTLM 허용을 지원할 수 있습니다. 이 기능은 Windows Server 2016보다 이전 운영 체제를 실행하는 DFL에서 사용할 수 없습니다.

이 설정을 구성하려면 인증 정책에서 사용자가 선택한 디바이스로 제한될 때 NTLM 네트워크 인증 허용을 선택합니다.

자세한 내용은 인증 정책 및 인증 정책 사일로를 참조 하세요.

Device Guard(코드 무결성)

Device Guard는 서버에서 어떤 코드를 실행할 수 있는지를 지정하는 정책을 만들어 커널 모드 코드 무결성(KMCI) 및 사용자 모드 코드 무결성(UMCI)를 제공합니다. Windows Defender Device Guard 소개: 가상화 기반 보안 및 코드 무결성 정책을 참조하세요.

Windows Defender

Windows Server 2016에 대한 Windows Defender 개요. Windows Server Antimalware는 Windows Server 2016에 기본적으로 설치되어 사용되지만 Windows Server Antimalware에 대한 사용자 인터페이스는 설치되지 않습니다. 그러나 Windows Server Antimalware는 맬웨어 방지 정의를 업데이트하고 사용자 인터페이스 없이 컴퓨터를 보호합니다. Windows Server Antimalware에 대한 사용자 인터페이스가 필요하면 운영 체제 설치 후 역할 및 기능 추가 마법사를 사용하여 설치할 수 있습니다.

제어 흐름 보호

제어 흐름 보호(CFG)는 메모리 손상 취약점에 대처하기 위해 만든 플랫폼 보안 기능입니다. 자세한 내용은 제어 흐름 보호를 참조하세요.

스토리지

Windows Server 2016의 스토리지에는 소프트웨어 정의 스토리지 및 기존 파일 서버에 대한 새로운 기능과 향상된 기능이 포함되어 있습니다. 몇 가지 새로운 기능은 다음과 같으며 향상된 기능 및 추가 정보는 Windows Server 2016에서 제공되는 스토리지의 새로운 기능을 참조하세요.

스토리지 공간 다이렉트

스토리지 공간 다이렉트는 로컬 스토리지가 있는 서버를 사용하여 확장 가능한 고가용성 스토리지를 구축하도록 지원합니다. 이는 소프트웨어 정의 스토리지 시스템의 배포 및 관리를 간소화하고 SATA SSD 및 NVMe 디스크 디바이스와 같이 이전에 공유 디스크를 사용하는 클러스터형 스토리지 공간에서는 불가능했던 새로운 등급의 디스크 디바이스를 사용합니다.

자세한 내용은 스토리지 공간 다이렉트를 참조하세요.

스토리지 복제본

스토리지 복제본을 사용하면 재해 복구를 위해 서버 또는 클러스터 간에 스토리지에 구애받지 않고 블록 수준 동기 복제를 수행하고 사이트 간에 장애 조치(failover) 클러스터를 확장할 수 있습니다. 동기 복제를 사용하면 파일 시스템 수준에서 데이터가 손실되지 않고 크래시 일관성이 있는 볼륨을 사용하여 실제 사이트의 데이터를 미러링할 수 있습니다. 비동기 복제는 대도시 범위를 넘어 사이트를 확장합니다(데이터가 손실될 수도 있음).

자세한 내용은 스토리지 복제본을 참조하세요.

스토리지 서비스 품질(QoS)

이제 스토리지 QoS(서비스 품질)를 사용하여 중앙에서 엔드투엔드 스토리지 성능을 모니터링하고 Windows Server 2016의 Hyper-V 및 CSV 클러스터를 통해 관리 정책을 만들 수 있습니다.

자세한 내용은 스토리지 서비스 품질을 참조하세요.

장애 조치(Failover) 클러스터링

Windows Server 2016에는 장애 조치(failover) 클러스터링 기능을 사용하여 단일 내결함성 클러스터로 그룹화된 여러 서버에 대한 많은 새로운 기능과 향상된 기능이 포함되어 있습니다. 몇 가지 추가 사항이 아래에 나와 있으며 전체 목록을 보려면 Windows Server 2016 장애 조치(failover) 클러스터의 새로운 기능을 참조하세요.

클러스터 운영 체제 롤링 업그레이드

클러스터 운영 체제 롤링 업그레이드로 관리자는 Hyper-V 또는 스케일 아웃 파일 서버 워크로드를 중지하지 않고 클러스터 노드의 운영 체제를 Windows Server 2012 R2에서 Windows Server 2016으로 업그레이드할 수 있습니다. 이 기능을 사용하면 SLA(서비스 수준 계약)의 가동 중지 시간 위반을 피할 수 있습니다.

자세한 내용은 클러스터 운영 체제 롤링 업그레이드를 참조하세요.

클라우드 감시

클라우드 감시는 중재 지점으로 Microsoft Azure를 활용하는 Windows Server 2016에서 새로운 유형의 장애 조치 클러스터 쿼럼 감시 기능입니다. 다른 쿼럼 감시와 마찬가지로 클라우드 감시는 응답을 가져오고 쿼럼 계산에 참여할 수 있습니다. 클러스터 쿼럼 구성 마법사를 사용하여 쿼럼 감시로 클라우드 감시를 구성할 수 있습니다.

자세한 내용은 클라우드 감시 배포를 참조하세요.

상태 관리 서비스

상태 관리 서비스는 스토리지 공간 다이렉트 클러스터에서 클러스터 리소스의 일상적인 모니터링, 작업 및 유지 관리 환경을 개선합니다.

자세한 내용은 상태 관리 서비스를 참조하세요.

애플리케이션 개발

IIS(인터넷 정보 서비스) 10.0

Windows Server 2016의 IIS 10.0 웹 서버에서 제공하는 새로운 기능은 다음과 같습니다.

  • 네트워킹 스택에서 HTTP/2 프로토콜을 지원하고 IIS 10.0과 통합되어 IIS 10.0 웹 사이트에서 지원되는 구성에 대한 HTTP/2 요청을 자동으로 제공할 수 있습니다. 이렇게 하면 HTTP/1.1을 통해 연결을 더욱 효율적으로 재사용하고 대기 시간을 줄이는 등 여러 기능을 향상시킬 수 있고 웹 페이지의 로드 시간을 개선할 수 있습니다.
  • Nano 서버에서 IIS 10.0을 실행하고 관리할 수 있는 기능. Nano 서버의 IIS를 참조하세요.
  • Wildcard Host Header를 지원하여 관리자가 도메인에 대한 웹 서버를 설정한 다음, 웹 서버에서 모든 하위 도메인에 대한 요청을 처리할 수 있게 합니다.
  • IIS를 관리하기 위한 새로운 PowerShell 모듈(IISAdministration).

자세한 내용은 IIS를 참조 하세요.

MSDTC(Distributed Transaction Coordinator)

Microsoft Windows 10 및 Windows Server 2016에 다음과 같은 새로운 기능 세 개가 추가되었습니다.

DNS 서버

Windows Server 2016에는 DNS(도메인 이름 시스템) 서버에 대한 다음 업데이트가 포함되어 있습니다.

DNS 정책

DNS는 DNS 서버 DNS 쿼리에 응답 하는 방법을 지정 하는 정책을 구성할 수 있습니다. 클라이언트 IP 주소, 시간 및 기타 여러 매개 변수를 기반으로 DNS 응답을 구성할 수 있습니다. DNS 정책은 위치 인식 DNS, 트래픽 관리, 부하 분산, 분할 브레인 DNS 및 기타 시나리오를 사용하도록 설정할 수 있습니다. 자세한 내용은 DNS 정책 시나리오 가이드를 참조하세요.

RRL

DNS 서버에서 RRL(응답 속도 제한)을 사용하도록 설정하여 악의적인 시스템이 DNS 서버를 사용하여 DNS 클라이언트에 대한 DDoS(분산 서비스 거부) 공격을 시작하지 못하도록 할 수 있습니다. RRL은 DNS 서버가 한 번에 너무 많은 요청에 응답하지 않도록 방지하여 봇넷이 서버 작업을 중단하기 위해 여러 요청을 한 번에 보내는 시나리오 중에 이를 보호합니다.

있는지 지원

DNS 기반 DANE(명명된 엔터티 인증) 지원(RFC 6394RFC 6698)을 사용하여 DNS 클라이언트가 DNS 서버에 호스트된 도메인 이름에 대해 인증서를 예상해야 하는 인증 기관을 지정할 수 있습니다. 이렇게 하면 악의적인 행위자가 DNS 캐시를 손상시키고 DNS 이름을 자체 IP 주소로 가리키는 중간 유형의 공격을 방지할 수 있습니다.

알 수 없는 레코드 지원

알 수 없는 레코드 기능을 사용하여 DNS 서버가 명시적으로 지원하지 않는 레코드를 추가할 수 있습니다. DNS 서버가 RDATA 형식을 인식하지 못하는 레코드는 알 수 없습니다. Windows Server 2016은 알 수 없는 레코드 형식(RFC 3597)을 지원하므로 이진 유선 형식으로 Windows DNS 서버 영역에 알 수 없는 레코드를 추가할 수 있습니다. Windows 캐싱 확인자는 알 수 없는 레코드 형식을 이미 처리할 수 있습니다. Windows DNS 서버는 알 수 없는 레코드에 대해 레코드별 처리를 수행하지 않지만 수신하는 쿼리에 대한 응답으로 보낼 수 있습니다.

IPv6 루트 힌트

이제 Windows DNS 서버에는 IANA(Internet Assigned Numbers Authority)에서 게시한 IPv6 루트 힌트가 포함됩니다. IPv6 루트 힌트를 지원하면 IPv6 루트 서버를 사용하여 이름 확인을 수행하는 인터넷 쿼리를 만들 수 있습니다.

Windows PowerShell 지원

Windows Server 2016에는 PowerShell에서 DNS를 구성하는 데 사용할 수 있는 새로운 명령이 포함되어 있습니다. 자세한 내용은 Windows Server 2016 DnsServer 모듈Windows Server 2016 DnsClient 모듈을 참조하세요.

DNS 클라이언트

DNS 클라이언트 서비스는 이제 둘 이상의 네트워크 인터페이스가 있는 컴퓨터에 대해 향상된 지원을 제공합니다.

다중 홈 컴퓨터는 DNS 클라이언트 서비스 바인딩을 사용하여 서버 확인을 향상시킬 수도 있습니다.

  • 특정 인터페이스에 구성된 DNS 서버를 사용하여 DNS 쿼리를 확인하는 경우 DNS 클라이언트는 쿼리를 보내기 전에 인터페이스에 바인딩합니다. 이 바인딩을 사용하면 DNS 클라이언트가 이름 확인이 수행되어야 하는 인터페이스를 지정하여 네트워크 인터페이스를 통해 애플리케이션과 DNS 클라이언트 간의 통신을 최적화할 수 있습니다.

  • 사용 중인 DNS 서버가 NRPT(이름 확인 정책 테이블)의 그룹 정책 설정에 의해 지정된 경우 DNS 클라이언트 서비스는 지정된 인터페이스에 바인딩되지 않습니다.

참고 항목

Windows 10의 DNS 클라이언트 서비스에 대한 변경 내용은 Windows Server 2016 이상을 실행하는 컴퓨터에도 있습니다.

원격 데스크톱 서비스

RDS(원격 데스크톱 서비스)는 Windows Server 2016에 대해 다음과 같은 변경을 수행했습니다.

앱 호환성

RDS 및 Windows Server 2016은 많은 Windows 10 애플리케이션과 호환되어 실제 데스크톱과 거의 동일한 사용자 환경을 만듭니다.

Azure SQL Database

RD(원격 데스크톱) 연결 브로커는 이제 연결 상태 및 사용자 호스트 매핑과 같은 모든 배포 정보를 공유 Azure 구조적 쿼리 언어(SQL) 데이터베이스에 저장할 수 있습니다. 이 기능을 사용하면 SQL Server Always On 가용성 그룹을 사용하지 않고도 고가용성 환경을 사용할 수 있습니다. 자세한 내용은 원격 데스크톱 연결 브로커 고가용성 환경에 Azure SQL DB 사용을 참조하세요.

그래픽 개선 사항

Hyper-V에 대한 개별 디바이스 할당을 사용하면 호스트 컴퓨터의 GPU(그래픽 처리 장치)를 VM(가상 머신)에 직접 매핑할 수 있습니다. VM에서 제공할 수 있는 것보다 더 많은 GPU가 필요한 VM의 모든 애플리케이션은 매핑된 GPU를 대신 사용할 수 있습니다. 또한 OpenGL 4.4, OpenCL 1.1, 4K 해상도 및 Windows Server VM에 대한 지원을 포함하여 RemoteFX vGPU를 개선했습니다. 자세한 내용은 개별 디바이스 할당을 참조 하세요.

RD 연결 브로커 개선 사항

RD 연결 브로커가 사용자의 높은 로그인 요청 기간인 로그온 폭풍 중에 연결을 처리하는 방법을 개선했습니다. RD 연결 브로커는 이제 10,000개가 넘는 동시 로그인 요청을 처리할 수 있습니다. 또한 유지 관리 개선으로 서버를 다시 온라인 상태로 전환할 준비가 되면 신속하게 환경에 다시 추가할 수 있으므로 배포에서 유지 관리를 더 쉽게 수행할 수 있습니다. 자세한 내용은 향상된 원격 데스크톱 연결 브로커 성능을 참조 하세요.

RDP 10 프로토콜 변경

RDP(원격 데스크톱 프로토콜) 10은 이제 비디오와 텍스트 모두에서 최적화되는 H.264/AVC 444 코덱을 사용합니다. 이 릴리스에는 펜 원격 지원도 포함되어 있습니다. 이러한 새로운 기능을 사용하면 원격 세션이 로컬 세션처럼 느껴질 수 있습니다. 자세한 내용은 Windows 10 및 Windows Server 2016의 RDP 10 AVC/H.264 개선 사항을 참조하세요.

개인 세션 데스크톱

개인 세션 데스크톱은 클라우드에서 사용자 고유의 개인 데스크톱을 호스트할 수 있는 새로운 기능입니다. 관리 권한 및 전용 세션 호스트는 사용자가 로컬 데스크톱과 같은 원격 데스크톱을 관리하려는 호스팅 환경의 복잡성을 제거합니다. 자세한 내용은 개인 세션 데스크톱을 참조 하세요.

Kerberos 인증

Windows Server 2016에는 Kerberos 인증에 대한 다음 업데이트가 포함되어 있습니다.

공개 키 신뢰 기반 클라이언트 인증에 대한 KDC 지원

이제 KDC(키 배포 센터)에서 공개 키 매핑을 지원합니다. 계정에 대한 공개 키를 프로비전하는 경우 KDC는 해당 키를 사용하여 Kerberos PKInit를 명시적으로 지원합니다. 인증서 유효성 검사가 없으므로 Kerberos는 자체 서명된 인증서를 지원하지만 인증 메커니즘 보증을 지원하지 않습니다.

키 트러스트를 사용하도록 구성한 계정은 UseSubjectAltName 설정을 구성한 방법에 관계없이 키 신뢰만 사용합니다.

RFC 8070 PKInit Freshness 확장에 대한 Kerberos 클라이언트 및 KDC 지원

Windows 10 버전 1607 및 Windows Server 2016부터 Kerberos 클라이언트는 공개 키 기반 로그온에 RFC 8070 PKInit 새로 고침 확장을 사용할 수 있습니다. KDC는 기본적으로 PKInit 새로 고침 확장을 사용하지 않도록 설정하므로 사용하도록 설정하려면 도메인의 모든 DC에서 PKInit Freshness Extension KDC 관리 템플릿 정책에 대한 KDC 지원을 구성해야 합니다.

정책에는 도메인이 Windows Server 2016 DFL(도메인 기능 수준)에 있을 때 사용할 수 있는 다음과 같은 설정이 있습니다.

  • 사용 안 함: KDC는 PKInit Freshness 확장을 제공하지 않으며 새로 고침을 확인하지 않고 유효한 인증 요청을 수락합니다. 사용자는 새 공개 키 ID SID를 받지 않습니다.
  • 지원됨: Kerberos는 요청에 따라 PKInit Freshness 확장을 지원합니다. PKInit Freshness 확장을 사용하여 인증하는 Kerberos 클라이언트는 새 공개 키 ID SID를 받습니다.
  • 필수: 성공적인 인증을 위해서는 PKInit Freshness 확장이 필요합니다. PKInit Freshness 확장을 지원하지 않는 Kerberos 클라이언트는 공개 키 자격 증명을 사용할 때 항상 실패합니다.

공개 키를 사용한 인증에 대한 도메인 가입 디바이스 지원

도메인에 가입된 디바이스가 Windows Server 2016 DC(도메인 컨트롤러)에 바인딩된 공개 키를 등록할 수 있는 경우 디바이스는 Windows Server 2016 DC에 Kerberos PKInit 인증을 사용하여 공개 키로 인증할 수 있습니다.

Windows Server 2016 도메인 컨트롤러에 등록된 바인딩된 퍼블릭 키가 있는 도메인 가입 디바이스는 이제 PKInit(초기 인증) 프로토콜을 위해 Kerberos 공개 키 암호화를 사용하여 Windows Server 2016 도메인 컨트롤러에 인증할 수 있습니다. 자세한 내용은 도메인에 가입된 디바이스 공개 키 인증을 참조하세요.

이제 KDC(키 배포 센터)는 Kerberos 키 트러스트를 사용하여 인증을 지원합니다.

자세한 내용은 키 신뢰 계정 매핑에 대한 KDC 지원을 참조 하세요.

Kerberos 클라이언트는 SPN(서비스 사용자 이름)에서 IPv4 및 IPv6 주소 호스트 이름을 허용합니다.

Windows 10 버전 1507 및 Windows Server 2016부터 SPN에서 IPv4 및 IPv6 호스트 이름을 지원하도록 Kerberos 클라이언트를 구성할 수 있습니다. 자세한 내용은 IP 주소에 대한 Kerberos 구성을 참조하세요.

SPN에서 IP 주소 호스트 이름에 대한 지원을 구성하려면 TryIPSPN 항목을 만듭니다. 이 항목은 기본적으로 레지스트리에 존재하지 않습니다. 다음 경로에 이 항목을 배치해야 합니다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

항목을 만든 후 DWORD 값을 1로 변경합니다. 이 값이 구성되지 않은 경우 Kerberos는 IP 주소 호스트 이름을 시도하지 않습니다.

SpN이 Active Directory에 등록된 경우에만 Kerberos 인증이 성공합니다.

키 신뢰 계정 매핑에 대한 KDC 지원

도메인 컨트롤러는 이제 SAN 동작에서 기존 AltSecID 및 UPN(사용자 계정 이름)에 대한 키 신뢰 계정 매핑 및 대체를 지원합니다. UseSubjectAltName 변수를 다음 설정으로 구성할 수 있습니다.

  • 변수를 0으로 설정하면 명시적 매핑이 필요합니다. 사용자는 Key Trust를 사용하거나 ExplicitAltSecID 변수를 설정해야 합니다.

  • 변수를 기본값인 1로 설정하면 암시적 매핑이 가능합니다.

    • Windows Server 2016 이상에서 계정에 대한 키 트러스트를 구성하는 경우 KDC는 매핑에 KeyTrust를 사용합니다.

    • SAN에 UPN이 없는 경우 KDC는 매핑에 AltSecID를 사용하려고 합니다.

    • SAN에 UPN이 있는 경우 KDC는 매핑에 UPN을 사용하려고 시도합니다.

AD FS(Active Directory Federation Services)

Windows Server 2016용 AD FS에는 다음 업데이트가 포함되어 있습니다.

Microsoft Entra 다단계 인증으로 로그인

AD FS 2016은 Windows Server 2012 R2에서 AD FS의 MFA(다단계 인증) 기능을 기반으로 합니다. 이제 사용자 이름 또는 암호 대신 Microsoft Entra 다단계 인증 코드만 필요한 로그온을 허용할 수 있습니다.

  • Microsoft Entra 다단계 인증을 기본 인증 방법으로 구성하면 AD FS는 사용자에게 Azure Authenticator 앱의 사용자 이름 및 OTP(일회성 암호) 코드를 묻는 메시지를 표시합니다.

  • Microsoft Entra 다단계 인증을 보조 또는 추가 인증 방법으로 구성하는 경우 사용자는 기본 인증 자격 증명을 제공합니다. 사용자는 사용자 이름 및 암호, 스마트 카드 또는 사용자 또는 디바이스 인증서를 요청할 수 있는 Windows 통합 인증을 사용하여 로그인할 수 있습니다. 다음으로 텍스트, 음성 또는 OTP 기반 Microsoft Entra 다단계 인증 로그인과 같은 보조 자격 증명에 대한 프롬프트가 표시됩니다.

  • 새로운 기본 제공 Microsoft Entra 다단계 인증 어댑터는 AD FS를 사용한 Microsoft Entra 다단계 인증을 위한 더 간단한 설정 및 구성을 제공합니다.

  • 조직은 온-프레미스 Microsoft Entra 다단계 인증 서버 없이도 Microsoft Entra 다단계 인증을 사용할 수 있습니다.

  • 인트라넷, 엑스트라넷 또는 액세스 제어 정책의 일부로 Microsoft Entra 다단계 인증을 구성할 수 있습니다.

AD FS를 사용한 Microsoft Entra 다단계 인증에 대한 자세한 내용은 AD FS 2016 및 Microsoft Entra 다단계 인증 구성을 참조하세요.

규격 디바이스에서 암호 없는 액세스

AD FS 2016은 이전 디바이스 등록 기능을 기반으로 하여 준수 상태에 따라 디바이스에서 로그온 및 액세스 제어를 사용하도록 설정합니다. 사용자는 디바이스 자격 증명을 사용하여 로그온할 수 있으며, AD FS는 디바이스 특성이 변경될 때마다 규정 준수를 다시 평가하여 정책이 적용되는지 확인합니다. 이 기능을 사용하면 다음 정책을 사용할 수 있습니다.

  • 관리 및/또는 규정을 준수하는 디바이스에서만 Access를 사용하도록 설정합니다.

  • 관리 및/또는 규정을 준수하는 디바이스에서만 엑스트라넷 액세스를 사용하도록 설정합니다.

  • 관리되지 않거나 규정을 준수하지 않는 컴퓨터에 대해 다단계 인증이 필요합니다.

AD FS는 하이브리드 시나리오에서 조건부 액세스 정책의 온-프레미스 구성 요소를 제공합니다. 클라우드 리소스에 대한 조건부 액세스를 위해 Azure AD에 디바이스를 등록하는 경우 AD FS 정책에 디바이스 ID를 사용할 수도 있습니다.

하이브리드 솔루션 및 사용자와 온-프레미스 Active Directory 간의 관계 다이어그램.

클라우드에서 디바이스 기반 조건부 액세스를 사용하는 방법에 대한 자세한 내용은 Azure Active Directory 조건부 액세스를 참조 하세요.

AD FS에서 디바이스 기반 조건부 액세스를 사용하는 방법에 대한 자세한 내용은 AD FS 및 AD FS의 액세스 제어 정책을 사용하여 디바이스 기반 조건부 액세스 계획을 참조하세요.

비즈니스용 Windows Hello로 로그인

Windows 10 디바이스는 Windows Hello 및 비즈니스용 Windows Hello 도입하여 사용자 암호를 PIN 입력, 지문과 같은 생체 인식 제스처 또는 얼굴 인식과 같은 사용자의 제스처로 보호되는 강력한 디바이스 바인딩 사용자 자격 증명으로 대체합니다. Windows Hello를 사용하면 사용자는 암호를 요구하지 않고 인트라넷 또는 엑스트라넷에서 AD FS 애플리케이션에 로그인할 수 있습니다.

조직에서 비즈니스용 Windows Hello 사용하는 방법에 대한 자세한 내용은 조직에서 비즈니스용 Windows Hello 사용을 참조하세요.

최신 인증

AD FS 2016은 Windows 10 및 최신 iOS 및 Android 디바이스 및 앱에 더 나은 사용자 환경을 제공하는 최신 프로토콜을 지원합니다.

자세한 내용은 개발자용 AD FS 시나리오를 참조 하세요.

몰라도 액세스 제어 정책 구성 클레임 규칙 언어

이전에는 AD FS 관리자가 AD FS 클레임 규칙 언어를 사용하여 정책을 구성해야 했기 때문에 정책을 구성하고 유지 관리하기가 어려웠습니다. 액세스 제어 정책을 사용하면 관리자가 기본 제공 템플릿을 사용하여 공통 정책을 적용할 수 있습니다. 예를 들어 템플릿을 사용하여 다음 정책을 적용할 수 있습니다.

  • 인트라넷 액세스만 허용합니다.

  • 모든 사용자를 허용하고 엑스트라넷에서 MFA를 요구합니다.

  • 모든 사용자를 허용하고 특정 그룹의 MFA를 요구합니다.

템플릿은 쉽게 사용자 지정할 수 있습니다. 추가 예외 또는 정책 규칙을 적용할 수 있으며 일관된 정책 적용을 위해 하나 이상의 애플리케이션에 이러한 변경 내용을 적용할 수 있습니다.

자세한 내용은 AD FS의 액세스 제어 정책을 참조 하세요.

비 AD LDAP 디렉터리에 대해 로그온 사용

많은 조직에서 Active Directory와 타사 디렉터리를 결합합니다. LDAP(Lightweight Directory Access Protocol) v3 규격 디렉터리에 저장된 사용자를 인증하기 위한 AD FS 지원은 이제 다음 시나리오에서 AD FS를 사용할 수 있습니다.

  • 타사, LDAP v3 규격 디렉터리에 있는 사용자.

  • 구성된 Active Directory 양방향 트러스트가 없는 Active Directory 포리스트의 사용자입니다.

  • AD LDS(Active Directory Lightweight Directory Services)의 사용자입니다.

자세한 내용은 Configure AD FS to authenticate users stored in LDAP directories를 참조하세요.

로그인 환경 AD FS 애플리케이션에 대 한 사용자 지정

이전에 Windows Server 2012 R2의 AD FS는 애플리케이션당 텍스트 기반 콘텐츠의 하위 집합을 사용자 지정하는 기능과 함께 모든 신뢰 당사자 애플리케이션에 대한 일반적인 로그온 환경을 제공했습니다. Windows Server 2016 뿐만 아니라 메시지를 하지만 이미지, 애플리케이션별 로고 및 웹 테마를 지정할 수 있습니다. 또한 새로운 사용자 지정 웹 테마를 만들고 신뢰 당사자별로 이러한 테마를 적용할 수 있습니다.

자세한 내용은 AD FS 사용자 로그인 사용자 지정을 참조 하세요.

더 쉽게 관리 관리에 대 한 감사 간소화

이전 버전의 AD FS에서는 단일 요청이 많은 감사 이벤트를 생성할 수 있습니다. 로그인 또는 토큰 발급 활동에 대한 관련 정보는 종종 여러 감사 이벤트에 걸쳐 없거나 분산되어 문제를 진단하기 어렵게 만듭니다. 결과적으로 감사 이벤트는 기본적으로 해제되었습니다. 그러나 AD FS 2016에서는 감사 프로세스가 더 간소화되고 관련 정보를 더 쉽게 찾을 수 있습니다. 자세한 내용은 Windows Server 2016에서 AD FS에 대한 향상된 감사 기능을 참조하세요.

Confederations에 참가 하기 위해 SAML 2.0와의 상호 운용성 향상

AD FS 2016에는 여러 엔터티가 포함된 메타데이터를 기반으로 트러스트를 가져오는 지원을 포함하여 더 많은 SAML 프로토콜 지원이 포함되어 있습니다. 이 변경을 통해 InCommon 페더레이션 및 eGov 2.0 표준을 준수하는 다른 구현과 같은 연맹에 참여하도록 AD FS를 구성할 수 있습니다.

자세한 내용은 SAML 2.0과의 상호 운용성 향상을 참조 하세요.

페더레이션된 Microsoft 365 사용자를 위한 간소화된 암호 관리

AD FS가 보호되는 신뢰 당사자 트러스트 또는 애플리케이션에 암호 만료 클레임을 보내도록 구성할 수 있습니다. 이러한 클레임이 표시되는 방식은 애플리케이션마다 다릅니다. 예를 들어, 신뢰 당사자로 Office 365를 통해 업데이트 하도록 구현 Exchange 및 Outlook 곧에-수-만료 된 암호의 페더레이션된 사용자에 게 알려야 합니다.

자세한 내용은 암호 만료 클레임을 보내도록 AD FS 구성을 참조 하세요.

Windows Server 2012 r 2에서 AD FS에서 Windows Server 2016에서 AD FS로 이동 하는 것이 더 쉽습니다.

이전에는 새 버전의 AD FS로 마이그레이션하려면 구성 설정을 Windows Server 팜에서 새 병렬 서버 팜으로 내보내야 했습니다. Windows Server 2016의 AD FS를 사용하면 병렬 서버 팜이 있어야 하는 요구 사항을 제거하여 프로세스를 훨씬 쉽게 만들 수 있습니다. Windows Server 2012 R2 서버 팜에 Windows Server 2016 서버를 추가하면 새 서버는 Windows Server 2012 R2 서버처럼 동작합니다. 업그레이드할 준비가 되었으며 이전 서버를 제거한 경우 운영 수준을 Windows Server 2016으로 변경할 수 있습니다. 자세한 내용은 Windows Server 2016에서 AD FS로 업그레이드를 참조하세요.