다음을 통해 공유


Windows Server 2019의 새로운 기능

이 문서에서는 Windows Server 2019의 새로운 기능 몇 가지를 설명합니다. Windows Server 2019는 Windows Server 2016의 강력한 기반을 기반으로 하며 하이브리드 클라우드, 보안, 애플리케이션 플랫폼 및 HCI(하이퍼 컨버지드 인프라)의 네 가지 주요 테마에 수많은 혁신을 제공합니다.

일반

Windows Admin Center

Windows Admin Center는 서버, 클러스터, 하이퍼 컨버지드 인프라 및 Windows 10 PC를 관리하기 위해 로컬로 배포된 브라우저 기반 애플리케이션입니다. Windows 이외의 추가 비용 없이 제공되며 프로덕션 환경에서 바로 사용할 수 있습니다.

Windows Admin Center는 Windows Server 2019, Windows 10, 이전 버전의 Windows 및 Windows Server에 설치할 수 있고, 이를 사용하여 Windows Server 2008 R2 이상을 실행하는 서버 및 클러스터를 관리할 수 있습니다.

자세한 내용은 Windows Admin Center를 참조하세요.

데스크톱 환경

Windows Server 2019는 장기 서비스 채널(LTSC) 릴리스이므로 데스크톱 환경이 포함되어 있습니다. SAC(반기 채널) 릴리스에는 의도적으로 데스크톱 환경이 포함되지 않습니다. 엄격하게 Server Core 및 Nano Server 컨테이너 이미지 릴리스입니다. Windows Server 2016과 마찬가지로 운영 체제 설치 도중 Server Core 설치 또는 데스크톱 환경 포함 서버 설치 중에서 선택할 수 있습니다.

시스템 인사이트

시스템 인사이트는 Windows Server 2019의 새 기능으로 Windows Server에 기본적인 로컬 예측 분석 기능을 제공합니다. 이러한 예측 기능은 각각 기계 학습 모델에서 지원되며, 성능 카운터 및 이벤트와 같은 Windows Server 시스템 데이터를 로컬로 분석합니다. 시스템 인사이트를 사용하면 서버가 작동하는 방식을 이해하고 Windows Server 배포 문제를 사후 관리하는 것과 관련된 운영 비용을 줄일 수 있습니다.

하이브리드 클라우드

Server Core 앱 호환성 FOD(Feature on Demand)

Server Core 앱 호환성 FOD(주문형 기능)는 데스크톱 환경이 있는 Windows Server의 이진 파일 및 구성 요소 하위 집합을 포함하여 앱 호환성을 크게 향상시킵니다. Server Core는 Windows Server 데스크톱 환경 그래픽 환경 자체를 추가하지 않고 기능과 호환성을 높여 최대한 간결하게 유지됩니다.

이 FOD(Feature on Demand) 옵션은 별도의 ISO에서 사용할 수 있으며 DISM을 사용하여 Windows Server Core 설치 및 이미지에만 추가할 수 있습니다.

Server Core에 추가된 WDS(Windows 배포 서비스) 전송 서버 역할

전송 서버는 WDS의 핵심 네트워크 부분만을 포함합니다. 이제 전송 서버 역할을 수행하는 Server Core를 사용하여 독립 실행형 서버에서 데이터(운영 체제 이미지 포함)를 전송하는 멀티캐스트 네임스페이스를 만들 수 있습니다. 클라이언트가 PXE 부팅하고 고유한 사용자 지정 설치 애플리케이션을 다운로드할 수 있도록 PXE 서버를 준비하려는 경우에도 이 방법을 사용할 수 있습니다.

Azure AD와 원격 데스크톱 서비스 통합

Azure AD 통합을 통해 조건부 액세스 정책, 다단계 인증, Azure AD를 사용하는 다른 SaaS 앱과의 통합 인증 등을 사용할 수 있습니다. 자세한 내용은 RDS 배포에 Azure AD Domain Services 통합을 참조하세요.

네트워킹

TFO(TCP Fast Open), 수신 창 자동 튜닝, IPv6 등과 같은 몇 가지 핵심 네트워크 스택 기능이 향상되었습니다. 자세한 내용은 향상된 핵심 네트워크 스택 기능 게시물을 참조하세요.

보안

Windows Defender Advanced Threat Protection (ATP)

ATP의 심층적인 플랫폼 센서와 응답 작업은 메모리 및 커널 수준 공격을 공개하고 악의적인 파일을 제거하고 악의적인 프로세스를 종료시켜 이에 대응합니다.

Windows Defender ATP Exploit Guard는 보안 위험과 생산성 요구 사항의 균형을 맞출 수 있는 새로운 호스트 침입 방지 기능 세트입니다. Windows Defender Exploit Guard는 일반적으로 맬웨어 공격에 사용되는 다양한 공격 벡터 및 차단 동작에 대해 디바이스를 잠그도록 설계되었습니다. 구성 요소는 다음과 같습니다.

  • ASR(공격 표면 감소) ASR은 엔터프라이즈에서 의심스러운 악성 파일을 차단하여 컴퓨터에서 맬웨어를 방지할 수 있도록 하는 제어 세트입니다. 예를 들어 Office 파일, 스크립트, 수평 이동, 랜섬웨어 동작 및 이메일 기반 위협이 있습니다.

  • 네트워크 보호는 Windows Defender SmartScreen을 통해 디바이스에서 신뢰할 수 없는 호스트/IP 주소에 대한 모든 아웃바운드 프로세스를 차단하여 웹 기반 위협으로부터 엔드포인트를 보호합니다.

  • 제어된 폴더 액세스는 신뢰할 수 없는 프로세스가 보호되는 폴더로 액세스하는 것을 차단하여 랜섬웨어로부터 민감한 데이터를 보호합니다.

  • 익스플로잇 보호 는 시스템 및 애플리케이션을 보호하도록 쉽게 구성할 수 있는 취약성 악용(EMET 대체)에 대한 완화 집합입니다.

  • Windows Defender Application Control(CI(코드 무결성) 정책이라고도 함)은 Windows Server 2016에서 릴리스되었습니다. 기본 CI 정책을 포함하여 배포를 더 쉽게 만들었습니다. 기본 정책은 SQL Server와 같은 모든 Windows 기본 제공 파일 및 Microsoft 애플리케이션을 허용하고 CI를 무시할 수 있는 알려진 실행 파일을 차단합니다.

SDN(소프트웨어 정의 네트워킹)을 사용한 보안

SDN을 사용한 보안은 고객이 온-프레미스 또는 클라우드에서 서비스 공급 기업으로서 워크로드를 실행하는 데 있어 고객의 신뢰를 높이는 많은 기능을 제공합니다.

이러한 보안 개선 사항이 Windows Server 2016에 도입된 포괄적 SDN 플랫폼에 통합되어 있습니다.

SDN의 새 기능에 대한 전체 목록은 Windows Server 2019용 SDN의 새로운 기능을 참조하세요.

보호된 Virtual Machine 개선 사항

  • 지점 개선 사항

    새로운 대체 HGS오프라인 모드 기능을 사용하여 호스트 보호 서비스에 대한 지속적 연결을 통해 머신에서 보호된 가상 머신을 실행할 수 있습니다. 대체 HGS를 통해 Hyper-V에 대한 보조 URL 세트를 구성하여 주 HGS 서버에 도달할 수 없는 경우 시도할 수 있습니다.

    HGS에 연결할 수 없는 경우에도 오프라인 모드를 사용하면 보호된 VM을 계속 시작할 수 있습니다. 오프라인 모드를 사용하면 VM이 한 번 성공적으로 시작되고 호스트의 보안 구성이 변경되지 않는 한 VM을 시작할 수 있습니다.

  • 문제 해결 개선 사항

    VMConnect 고급 세션 모드 및 PowerShell Direct에 대한 지원을 활성화하여 보호된 가상 머신 문제 해결이 더욱 쉬워지도록 했습니다. VM에 대한 네트워크 연결이 끊어지고 액세스를 복원하도록 해당 구성을 업데이트해야 하는 경우에는 이러한 도구가 유용합니다.

    이러한 기능은 구성할 필요가 없으며 보호된 VM이 Windows Server 버전 1803 이상을 실행하는 Hyper-V 호스트에 배치되면 자동으로 사용할 수 있게 됩니다.

  • Linux 지원

    혼합 OS 환경을 실행하는 경우 Windows Server 2019에서 이제 보호된 가상 머신 내 Ubuntu, Red Hat Enterprise Linux 및 SUSE Linux Enterprise Server 실행을 지원합니다.

더욱 빠르고 안전한 웹을 위한 HTTP/2

  • 개선된 연결 결합으로 무중단의 적절히 암호화된 브라우징 환경을 제공합니다.

  • 업그레이드된 HTTP/2의 서버 측 암호 그룹 협상으로 연결 오류의 자동 완화와 손쉬운 배포가 가능합니다.

  • 기본 TCP 정체 공급 기업을 Cubic으로 변경하여 더 많은 처리량을 제공합니다!

암호화된 네트워크

가상 네트워크 암호화는 암호화 사용 레이블이 있는 서브넷 내의 가상 머신 간에 가상 네트워크 트래픽을 암호화합니다. 또한 암호화된 네트워크는 가상 서브넷에서 DTLS(Datagram 전송 계층 보안)를 사용하여 패킷을 암호화합니다. DTLS는 물리적 네트워크에 액세스할 수 있는 모든 사용자가 도청, 변조 및 위조로부터 데이터를 보호합니다.

자세한 내용은 암호화된 네트워크를 참조 하세요.

방화벽 감사

방화벽 감사는 로깅을 사용하도록 설정된 SDN 방화벽 규칙 및 ACL(액세스 제어 목록)에서 처리된 흐름을 기록하는 SDN 방화벽의 새로운 기능입니다.

가상 네트워크 피어링

가상 네트워크 피어링을 사용하면 두 가상 네트워크를 원활하게 연결할 수 있습니다. 피어링되면 가상 네트워크가 모니터링에 하나로 표시됩니다.

송신 계량

송신 계량은 아웃바운드 데이터 전송에 대한 사용량 미터를 제공합니다. 네트워크 컨트롤러는 이 기능을 사용하여 가상 네트워크당 SDN 내에서 사용되는 모든 IP 범위의 허용 목록을 유지합니다. 이러한 목록은 나열된 IP 범위에 포함되지 않은 대상에 대한 패킷 제목을 아웃바운드 데이터 전송으로 청구하는 것으로 간주합니다.

스토리지

Windows Server 2019의 스토리지에 대한 변경 사항은 다음과 같습니다. 자세한 내용은 스토리지의 새로운 기능을 참조하세요.

데이터 중복 제거

  • 이제 데이터 중복 제거에서 ReFS 지원 데이터 중복 제거는 이제 ReFS를 사용하도록 설정할 수 있는 모든 위치에서 사용하도록 설정할 수 있으므로 ReFS를 사용하여 스토리지 효율성을 최대 95%까지 높일 수 있습니다.

  • 중복 제거된 볼륨에 대한 송/수신을 최적화하는 DataPort API 개발자는 이제 볼륨, 서버 및 클러스터 간에 데이터를 효율적으로 이동하기 위해 데이터 중복 제거에 포함된 효율적인 데이터 저장 방법에 대한 지식을 활용할 수 있습니다.

파일 서버 리소스 관리자

이제 서비스가 시작되면 파일 서버 리소스 관리자 서비스에서 변경 저널(USN 저널이라고도 함)을 모든 볼륨에 만들지 않도록 방지할 수 있습니다. 변경 경험을 만들지 않도록 방지하면 각 볼륨의 공간을 절약할 수 있지만 실시간 파일 분류가 사용하지 않도록 설정됩니다. 자세한 내용은 파일 서버 리소스 관리자 개요를 참조하세요.

SMB

스토리지 마이그레이션 서비스

스토리지 마이그레이션 서비스를 사용하면 서버를 Windows Server의 최신 버전으로 쉽게 마이그레이션할 수 있습니다. 이 그래픽 도구는 서버의 데이터를 인벤토리에 저장한 다음, 데이터 및 구성을 최신 서버로 전송합니다. 스토리지 마이그레이션 서비스는 사용자가 프로필 및 앱을 다시 구성할 필요가 없도록 이전 서버의 ID를 새 서버로 이동할 수도 있습니다. 자세한 내용은 Storage Migration Service를 참조 하세요.

Windows Admin Center 버전 1910은 Azure 가상 머신을 배포하는 기능을 추가했습니다. 이 업데이트는 Azure VM 배포를 Storage Migration Service에 통합합니다. 자세한 내용은 Azure VM 마이그레이션을 참조 하세요.

Windows Server 2019 또는 Windows Server 2022에서 KB5001384 설치하여 Storage Migration Server 오케스트레이터를 실행할 때 다음 RTM(릴리스 후 제조) 기능에 액세스할 수도 있습니다.

  • 로컬 사용자 및 그룹을 새 서버로 마이그레이션합니다.
  • 장애 조치(failover) 클러스터에서 스토리지를 마이그레이션하고, 장애 조치(failover) 클러스터로 마이그레이션하며, 독립 실행형 서버와 장애 조치(failover) 클러스터 간에 마이그레이션합니다.
  • Samba를 사용하는 Linux 서버에서 스토리지를 마이그레이션합니다.
  • Azure 파일 동기화 사용하여 마이그레이션된 공유를 Azure에 더 쉽게 동기화합니다.
  • 새 네트워크(예: Azure)로 마이그레이션합니다.
  • NetApp FAS(Federated Authentication Service) 배열에서 Windows 서버 및 클러스터로 NetApp CIFS(일반 인터넷 파일 시스템) 서버를 마이그레이션합니다.

스토리지 공간 다이렉트

스토리지 공간 다이렉트의 새로운 기능 목록은 다음과 같습니다. 자세한 내용은 스토리지 공간 다이렉트의 새로운 기능을 참조하세요. 또한 유효성 검사된 스토리지 공간 다이렉트 시스템 획득에 대한 정보는 Azure Stack HCI를 참조하세요.

  • ReFS 볼륨에 대한 중복 제거 및 압축
  • 영구 메모리에 대한 기본 지원
  • 에지에서 2개 노드 하이퍼 컨버지드 인프라에 대한 중첩된 복원력
  • USB 플래시 드라이브를 감시로 사용하는 2개 서버 클러스터
  • Windows Admin Center 지원
  • 성능 기록
  • 클러스터당 최대 4PB까지 확장
  • 2배 빠른 미러 가속 패리티
  • 드라이브 대기 시간 아웃라이어 감지
  • 내결함성을 강화하기 위해 수동으로 볼륨의 할당을 구분

스토리지 복제본

스토리지 복제본의 새로운 기능은 다음과 같습니다. 자세한 내용은 스토리지 복제본의 새로운 기능을 참조하세요.

  • 스토리지 복제본은 이제 Windows Server 2019 Standard Edition에서 사용할 수 있습니다.
  • 테스트 장애 조치(failover)는 복제 또는 백업 데이터의 유효성을 검사하기 위해 대상 스토리지를 탑재하도록 하는 새로운 기능입니다. 자세한 내용은 스토리지 복제본에 대한 질문과 대답을 참조하세요.
  • 스토리지 복제본 로그 성능 향상
  • Windows Admin Center 지원

장애 조치(Failover) 클러스터링

장애 조치(failover) 클러스터링의 새로운 기능 목록입니다. 자세한 내용은 장애 조치(failover) 클러스터링의 새로운 기능을 참조하세요.

  • 클러스터 세트
  • Azure 인식 클러스터
  • 도메인 간 클러스터 마이그레이션
  • USB 감시
  • 클러스터 인프라 개선
  • 클러스터 인식 업데이트에서 스토리지 공간 다이렉트 지원
  • 파일 공유 감시 개선
  • 클러스터 강화
  • 장애 조치(failover) 클러스터는 더 이상 NTLM 인증을 사용하지 않음

애플리케이션 플랫폼

Windows의 Linux 컨테이너

이제 동일한 docker 디먼을 사용하여 동일한 컨테이너 호스트에서 Windows 및 Linux 기반 컨테이너를 실행할 수 있습니다. 이제 애플리케이션 개발자에게 유연성을 제공하는 다른 유형의 컨테이너 호스트 환경을 갖출 수 있습니다.

Kubernetes에 대한 기본 제공 지원

Windows Server 2019에서는 반기 채널 릴리스부터 Windows에서 Kubernetes를 지원하는 데 필요한 컴퓨팅, 네트워킹 및 스토리지 개선을 지속하고 있습니다. 자세한 내용은 이후 Kubernetes 릴리스에서 사용할 수 있습니다.

  • Windows Server 2019의 컨테이너 네트워킹은 Windows에서 Kubernetes의 유용성을 크게 향상시킵니다. 플랫폼 네트워킹 복원력과 컨테이너 네트워킹 플러그 인 지원이 향상되었습니다.

  • Kubernetes에 배포된 워크로드는 네트워크 보안을 사용하여 포함된 도구를 사용한 Linux 및 Windows 서비스를 모두 보호할 수 있습니다.

컨테이너 개선

  • 통합 ID 개선

    컨테이너의 Windows 통합 인증을 더욱 간편하고 안정적으로 만들어 Windows Server 이전 버전의 여러 제한 사항을 해결했습니다.

  • 더욱 뛰어난 애플리케이션 호환성

    Windows 기반 애플리케이션 컨테이너화가 더 쉬워졌습니다. 기존 Windowsservercore 이미지에 대한 앱 호환성이 향상되었습니다. 추가 API 종속성이 포함된 애플리케이션의 경우 이제 windows라는 세 번째 기본 이미지가 있습니다.

  • 크기 감소 및 성능 증가

    기본 컨테이너 이미지 다운로드 크기, 디스크 크기 및 시작 시간이 향상되어 컨테이너 워크플로 속도가 높아졌습니다.

  • Windows Admin Center(미리 보기)를 사용한 관리 환경

    컴퓨터에서 실행하는 컨테이너를 확인하고 Windows Admin Center에 대한 새 확장을 사용한 개별 컨테이너 관리가 쉬워졌습니다. Windows Admin Center 공개 피드에서 "컨테이너" 확장을 찾아보세요.

컴퓨팅 향상

  • VM 시작 순서 지정 VM 시작 순서 지정도 OS 및 애플리케이션 인식을 통해 향상되어 다음 시작 전에 VM이 시작된 것으로 간주되는 경우에 대한 향상된 트리거를 제공합니다.

  • VM에 대한 스토리지 클래스 메모리 지원은 NTFS 포맷 직접 액세스 볼륨이 비휘발성 DIMM에서 생성되고 Hyper-V VM에 노출되도록 합니다. Hyper-V VM은 이제 스토리지 클래스 메모리 디바이스의 짧은 대기 시간 성능 이점을 사용할 수 있습니다.

  • Hyper-V VM에 대한 영구 메모리 지원 가상 머신에서 영구 메모리(스토리지 클래스 메모리라고도 함)의 높은 처리량과 짧은 대기 시간을 사용하기 위해 이제 VM에 직접 프로젝션할 수 있습니다. 영구 메모리는 데이터베이스 트랜잭션 대기 시간을 크게 줄이거나 오류 발생 시 대기 시간이 짧은 메모리 내 데이터베이스의 복구 시간을 줄이는 데 도움이 될 수 있습니다.

  • 컨테이너 스토리지 – 영구 데이터 볼륨 애플리케이션 컨테이너는 이제 볼륨에 지속적으로 액세스할 수 있습니다. 자세한 내용은 CSV(클러스터 공유 볼륨), S2D(스토리지 공간 다이렉트), SMB 글로벌 매핑을 통한 컨테이너 스토리지 지원을 참조하세요.

  • 가상 머신 구성 파일 형식(업데이트됨) 구성 버전이 8.2 이상인 가상 머신에 대해 VM 게스트 상태 파일(.vmgs)이 추가되었습니다. VM 게스트 상태 파일에는 이전에 VM 런타임 상태 파일의 일부였던 디바이스 상태 정보가 포함됩니다.

암호화된 네트워크

암호화된 네트워크 - 가상 네트워크 암호화는 암호화 사용으로 표시된 서브넷 내에서 각각 통신하는 가상 머신 간 가상 네트워크 트래픽의 암호화를 허용합니다. 또한 가상 서브넷의 DTLS(데이터그램 전송 계층 보안)를 활용하여 패킷을 암호화합니다. DTLS는 실제 네트워크에 액세스하는 누군가에 의한 도청, 변조 및 위조를 방지합니다.

가상 워크로드에 대한 네트워크 성능 개선

가상 워크로드에 대한 네트워크 성능 개선으로 호스트의 지속적인 조정 또는 과잉 프로비저닝 없이 가상 머신에 대한 네트워크 처리량을 극대화합니다. 향상된 성능은 호스트의 사용 가능한 밀도를 높이면서 운영 및 유지 관리 비용을 낮춥니다. 새로운 기능은 다음과 같습니다.

  • d.VMMQ(동적 가상 머신 큐)

  • vSwitch의 수신 세그먼트 통합

Low Extra Delay Background Transport

LEDBAT(낮은 추가 지연 백그라운드 전송)는 대기 시간이 최적화된 네트워크 정체 제어 공급자이며, 대역폭을 사용자와 애플리케이션에 자동으로 제공하도록 설계되었습니다. LEDBAT는 네트워크를 사용하지 않는 동안 사용할 수 있는 대역폭을 사용합니다. 이 기술은 고객 대면 서비스 및 관련 대역폭에 영향을 주지 않고 IT 환경 전체에서 대규모 중요 업데이트를 배포할 때 사용하기 위한 것입니다.

Windows 시간 서비스

Windows 시간 서비스에는 UTC 준수 윤초 지원, 새로운 시간 프로토콜(Precision Time Protocol) 및 엔드투엔드 추적성이 포함되어 있습니다.

고성능 SDN 게이트웨이

Windows Server 2019의 고성능 SDN 게이트웨이는 IPsec 및 GRE 연결 성능을 크게 개선하여 더 적은 CPU 활용률로 매우 높은 성능 처리량을 보장합니다.

SDN에 대한 새 배포 UI 및 Windows Admin Center 확장

Windows Server 2019의 새 배포 UI 및 Windows Admin Center 확장을 이용하면 어느 사용자든 SDN의 성능을 활용하여 손쉽게 배포, 관리 작업을 수행할 수 있습니다.

WSL(Linux용 Windows 하위 시스템)

WSL을 통해 서버 관리자는 Windows Server에서 Linux의 기존 도구 및 스크립트를 사용할 수 있습니다. 백그라운드 작업, DriveFS, WSLPath 등의 명령줄 블로그에 소개된 여러 개선 사항이 이제 Windows Server의 일부가 됩니다.

ADFS(Active Directory Federation Services)

Windows Server 2019용 AD FS(Active Directory Federation Services)에는 다음과 같은 변경 내용이 포함됩니다.

보호된 로그인

이제 AD FS를 사용하여 보호된 로그인에 다음 업데이트가 포함됩니다.

  • 이제 사용자는 암호를 노출하지 않고 타사 인증 제품을 첫 번째 요소로 사용할 수 있습니다. 외부 인증 공급자가 두 가지 요소를 증명할 수 있는 경우 MFA(다단계 인증)를 사용할 수 있습니다.

  • 이제 사용자는 암호가 아닌 옵션을 첫 번째 요소로 사용한 후 암호를 추가 요소로 사용할 수 있습니다. 이 기본 제공 지원은 GitHub 어댑터를 다운로드해야 하는 AD FS 2016의 전반적인 환경을 개선합니다.

  • 이제 사용자는 사전 인증 단계에서 특정 유형의 요청을 차단하는 자체 플러그 인 위험 평가 모듈을 빌드할 수 있습니다. 이 기능을 사용하면 ID 보호와 같은 클라우드 인텔리전스를 더 쉽게 사용하여 위험한 사용자 또는 트랜잭션을 차단할 수 있습니다. 자세한 내용은 AD FS 2019 위험 평가 모델을 사용하여 플러그 인 빌드를 참조 하세요.

  • 다음 기능을 추가하여 ESL(엑스트라넷 스마트 잠금) QFE(빠른 수정 엔지니어링)를 개선합니다.

    • 이제 클래식 엑스트라넷 잠금 기능으로 보호되는 동안 감사 모드를 사용할 수 있습니다.

    • 이제 사용자는 익숙한 위치에 대해 독립적인 잠금 임계값을 사용할 수 있습니다. 이 기능을 사용하면 공통 서비스 계정 내에서 여러 앱 인스턴스를 실행하여 최소한의 중단으로 암호를 롤오버할 수 있습니다.

기타 보안 개선 사항

AD FS 2019에는 다음과 같은 보안 개선 사항이 포함되어 있습니다.

  • SmartCard 로그인을 사용하는 원격 PowerShell을 사용하면 사용자가 PowerShell 명령을 실행하여 SmartCards를 사용하여 AD FS에 원격으로 연결할 수 있습니다. 사용자는 이 메서드를 사용하여 다중 노드 cmdlet을 비롯한 모든 PowerShell 함수를 관리할 수도 있습니다.

  • HTTP 헤더 사용자 지정을 사용하면 사용자가 AD FS 응답 중에 만든 HTTP 헤더를 사용자 지정할 수 있습니다. 헤더 사용자 지정에는 다음과 같은 유형의 헤더가 포함됩니다.

    • HSTS- 규격 브라우저에 대해 HTTPS 엔드포인트에서만 AD FS 엔드포인트를 사용하여 적용할 수 있습니다.

    • AD FS 관리자가 특정 신뢰 당사자가 AD FS 대화형 로그인 페이지에 대한 iFrame을 포함할 수 있도록 하는 X 프레임 옵션입니다. HTTPS 호스트에서만 이 헤더를 사용해야 합니다.

    • 이후 헤더입니다. 나중에 여러 헤더를 구성할 수도 있습니다.

    자세한 내용은 AD FS 2019를 사용하여 HTTP 보안 응답 헤더 사용자 지정을 참조하세요.

인증 및 정책 기능

AD FS 2019에는 다음과 같은 인증 및 정책 기능이 포함됩니다.

  • 이제 사용자는 배포에서 추가 인증을 위해 호출하는 인증 공급자를 지정하는 규칙을 만들 수 있습니다. 이 기능은 인증 공급자 간을 전환하고 추가 인증 공급자에 대한 특별한 요구 사항이 있는 특정 앱을 보호하는 데 도움이 됩니다.

  • TLS(전송 계층 보안) 기반 디바이스 인증에 대한 선택적 제한 사항이므로 TLS가 필요한 애플리케이션만 사용할 수 있습니다. 사용자는 클라이언트 TLS 기반 디바이스 인증을 제한하여 디바이스 기반 조건부 액세스를 수행하는 애플리케이션만 사용할 수 있도록 할 수 있습니다. 이 기능은 TLS 기반 디바이스 인증이 필요하지 않은 애플리케이션에 대한 디바이스 인증에 대한 원치 않는 프롬프트를 방지합니다.

  • 이제 AD FS는 두 번째 요소 자격 증명 새로 고침을 기반으로 2단계 자격 증명 다시 실행을 지원합니다. 이 기능을 사용하면 사용자가 첫 번째 트랜잭션에만 TFA를 요구한 다음 두 번째 요소만 주기적으로 요구할 수 있습니다. AD FS에서 구성 가능한 설정이 아니므로 요청에 추가 매개 변수를 제공할 수 있는 애플리케이션에서만 이 기능을 사용할 수 있습니다. Microsoft Entra ID는 Microsoft Entra ID 페더레이션된 도메인 신뢰 설정에서 supportsMFA를 True로 설정하도록 X Days용 내 MFA 저장 설정을 구성하는 경우 이 매개 변수를 지원합니다.

Single Sign-On 개선 사항

AD FS 2019에는 다음과 같은 SSO(Single Sign-On) 개선 사항도 포함되어 있습니다.

  • 이제 AD FS는 페이지를 매긴 UX 흐름과 사용자에게 보다 원활한 로그인 환경을 제공하는 UI(가운데 맞춤 사용자 인터페이스)를 사용합니다. 이 변경 내용은 Azure AD에서 제공하는 기능을 미러링합니다. 새 UI에 맞게 조직의 로고 및 배경 이미지를 업데이트해야 할 수 있습니다.

  • Windows 10 디바이스에서 PRT(기본 새로 고침 토큰) 인증을 사용할 때 MFA 상태가 유지되지 않는 문제를 해결했습니다. 이제 사용자에게 2단계 자격 증명을 덜 자주 묻는 메시지가 표시됩니다. 이제 클라이언트 TLS 및 PRT 인증에서 디바이스 인증이 성공하면 환경이 일관되어야 합니다.

최신 기간 업무 앱 빌드 지원

AD FS 2019에는 최신 LOB(기간 업무) 앱 빌드를 지원하는 다음과 같은 기능이 포함되어 있습니다.

  • 이제 AD FS에는 풍부한 로그인 환경을 지원하기 위해 UI 노출 영역이 없는 디바이스를 사용하여 로그인하기 위한 OAuth 디바이스 흐름 프로필 지원이 포함되어 있습니다. 이 기능을 사용하면 사용자가 다른 디바이스에서 로그인을 완료할 수 있습니다. Azure Stack의 CLI(Azure 명령줄 인터페이스) 환경에는 이 기능이 필요하며 다른 시나리오에서도 사용할 수 있습니다.

  • 현재 OAUth 사양에 부합하는 AD FS를 사용하려면 Resource 매개 변수가 더 이상 필요하지 않습니다. 이제 클라이언트는 요청된 권한이 있는 범위 매개 변수로 신뢰 당사자 트러스트 식별자만 제공해야 합니다.

  • AD FS 응답에서 CORS(원본 간 리소스 공유) 헤더를 사용할 수 있습니다. 이러한 새 제목을 사용하면 클라이언트 쪽 JavaScript 라이브러리가 AD FS의 OIDC(Open ID Connect) 검색 문서에서 서명 키를 쿼리하여 id_token 서명의 유효성을 검사할 수 있는 단일 페이지 애플리케이션을 빌드할 수 있습니다.

  • AD FS에는 OAuth 내에서 보안 인증 코드 흐름에 대한 PKCE(코드 교환용 증명 키) 지원이 포함되어 있습니다. 이 추가 보안 계층은 악의적인 행위자가 코드를 하이재킹하고 다른 클라이언트에서 재생하지 못하도록 방지합니다.

  • AD FS가 x5t 클레임만 보내도록 하는 사소한 문제를 해결했습니다. 이제 AD FS는 서명 확인을 위한 키 ID 힌트를 나타내는 kid 클레임을 보냅니다.

향상된 지원 가능성

관리자는 이제 사용자가 오류 보고서 및 디버그 로그를 문제 해결을 위한 ZIP 파일로 보낼 수 있도록 AD FS를 구성할 수 있습니다. 관리자는 ZIP 파일을 심사 전자 메일 계정으로 자동으로 보내도록 SMTP(Simple Mail Transfer Protocol) 연결을 구성할 수도 있습니다. 또 다른 설정을 통해 관리자는 해당 전자 메일을 기반으로 지원 시스템에 대한 티켓을 자동으로 만들 수 있습니다.

배포 업데이트

AD FS 2019에는 다음 배포 업데이트가 포함되어 있습니다.

SAML 업데이트

AD FS 2019에는 다음과 같은 SAML(Security Assertion Markup Language) 업데이트가 포함되어 있습니다.

  • 다음 영역에서 InCommon과 같은 집계된 페더레이션 지원의 문제를 해결했습니다.

    • 집계된 페더레이션 메타데이터 문서의 여러 엔터티에 대한 크기 조정이 향상되었습니다. 이전에는 이러한 엔터티에 대한 크기 조정에 실패하고 ADMIN0017 오류 메시지를 반환했습니다.

    • 이제 PowerShell cmdlet을 실행하여 ScopeGroupID 매개 변수를 사용하여 쿼리를 Get-AdfsRelyingPartyTrustsGroup 만들 수 있습니다.

    • 중복 entityID 값에 대한 오류 조건 처리가 향상되었습니다.

범위 매개 변수의 Azure AD 스타일 리소스 사양

이전에는 AD FS를 사용하려면 원하는 리소스 및 범위가 인증 요청에서 별도의 매개 변수에 있어야 했습니다. 예를 들어 다음 예제 OAuth 요청에는 범위 매개 변수가 포함되어 있습니다.

https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

Windows Server 2019에서 AD FS를 사용하면 이제 범위 매개 변수에 포함된 리소스 값을 전달할 수 있습니다. 이 변경 내용은 Microsoft Entra ID에 대한 인증과 일치합니다.

이제 범위 매개 변수를 각 엔터티를 리소스 또는 범위로 구성하는 공백으로 구분된 목록으로 구성할 수 있습니다.

참고 항목

인증 요청에서 하나의 리소스만 지정할 수 있습니다. 요청에 둘 이상의 리소스를 포함하는 경우 AD FS는 오류를 반환하고 인증은 성공하지 못합니다.