Новые возможности Windows Server 2019

В этой статье описаны некоторые новые функции Windows Server 2019. Windows Server 2019 основана на сильном фундаменте Windows Server 2016 и предоставляет множество инноваций в четырех ключевых темах: гибридное облако, безопасность, платформа приложений и гиперконвергентная инфраструктура (HCI).

Общие

Windows Admin Center;

Windows Admin Center представляет собой локально развертываемое браузерное приложение для управления серверами, кластерами, гиперконвергентной инфраструктурой и ПК под управлением Windows 10. Это не требует дополнительных затрат за пределами Windows и готово к использованию в рабочей среде.

Вы можете установить Windows Admin Center в Windows Server 2019 и Windows 10 и более ранних версиях Windows и Windows Server, а также использовать его для управления серверами и кластерами под управлением Windows Server 2008 R2 и более поздних версий.

Подробные сведения см. в статье Hello, Windows Admin Center! (Привет, Windows Admin Center!).

Возможности рабочего стола

Поскольку Windows Server 2019 — это выпуск Long-Term Servicing Channel (LTSC), он включает возможности рабочего стола. Выпуски Semi-Annual Channel (SAC) не включают возможности рабочего стола по дизайну; Они строго являются выпусками образов контейнеров Server Core и Nano Server. Как и в случае с Windows Server 2016, во время настройки операционной системы вы можете выбрать установку основных серверных компонентов или установку сервера с возможностями рабочего стола.

Системная аналитика

Системная аналитика — это новая функция, доступная в Windows Server 2019, за счет которой в Windows Server реализуется встроенная поддержка локальных возможностей прогнозной аналитики. Эти прогнозные возможности, каждая из которых поддерживается моделью машинного обучения, локально анализирует системные данные Windows Server, такие как счетчики производительности и события. System Insights позволяет понять, как работают ваши серверы и помочь сократить операционные расходы, связанные с реактивным управлением проблемами в развертываниях Windows Server.

Гибридное облако

Функция совместимости приложений основных серверных компонентов по требованию

Функция совместимости основных приложений сервера по запросу (FOD) значительно улучшает совместимость приложений, включая подмножество двоичных файлов и компонентов из Windows Server с рабочим столом. Серверная ядро сохраняет его как можно более бережливо, не добавляя графические среды Windows Server Desktop Experience сам, увеличивая функциональные возможности и совместимость.

Эта дополнительная функция по требованию доступна в отдельном ISO-файле, и ее можно добавлять только в образы и установки основных серверных компонентов Windows с помощью DISM.

Роль транспортного сервера служб развертывания Windows (WDS), добавленная в серверную ядро

Транспортный сервер содержит только основные сетевые компоненты службы развертывания Windows. Теперь можно использовать серверную ядро с ролью транспортного сервера для создания пространств имен многоадресной рассылки, которые передают данные (включая образы операционной системы) с автономного сервера. Вы также можете использовать его, если требуется предоставить PXE-сервер, который позволяет клиентам выполнять PXE-загрузку и скачивать собственное приложение для установки.

Интеграция служб удаленных рабочих столов с Azure AD

Интеграция Azure AD позволяет использовать политики условного доступа, многофакторную проверку подлинности, встроенную проверку подлинности с другими приложениями SaaS с помощью Azure AD и многое другое. Дополнительные сведения см. в разделе Интеграция доменных служб Azure AD со средой RDS.

Сеть

Мы внесли несколько улучшений в основной сетевой стек, например TCP Fast Open (TFO), Автоматическое настройку окна получения, IPv6 и многое другое. Дополнительные сведения см. в статье об улучшении функций Core Network Stack.

Безопасность

Windows Defender Advanced Threat Protection (ATP)

Датчики глубокого анализа и ответные действия платформы ATP выявляют атаки на уровне памяти и ядра и реагируют на них путем подавления вредоносных файлов и завершения вредоносных процессов.

• Подробные сведения об ATP в Защитнике Windows см. в статье Overview of Microsoft Defender ATP capabilities (Обзор возможностей ATP в Защитнике Windows).

• Подробные сведения о подключении серверов см. в статье Onboard servers to the Microsoft Defender ATP service (Подключение серверов к службе ATP в Защитнике Windows).

AtP Exploit Guard в Защитнике Windows — это новый набор возможностей защиты от вторжений в узел, что позволяет сбалансировать требования к безопасности и производительности. Эксплойт Защитника Windows предназначен для блокировки устройства в различных векторов атак и блокировок поведения, часто используемых в атаках вредоносных программ. Компоненты:

• ASR для сокращения атак (ASR) — это набор элементов управления, которые предприятия могут разрешить предотвратить получение вредоносных программ на компьютере, блокируя подозрительные вредоносные файлы. Например, файлы Office, сценарии, боковое перемещение, поведение программ-шантажистов и угрозы на основе электронной почты.

• Функция Защита сети защищает конечные точки от веб-угроз, блокируя любые процессы на устройстве, идущие к недоверенным узлам и IP-адресам, с помощью фильтра SmartScreen Защитника Windows.

• Функция Контролируемый доступ к файлам защищает конфиденциальные данные от программ-шантажистов, блокируя доступ недоверенных процессов к защищенным папкам.

• Защита от эксплойтов — это набор мер по устранению рисков для эксплойтов уязвимостей (замена EMET), которые можно легко настроить для защиты системы и приложений.

• Функция Управление приложениями в Защитнике Windows (также известна как политика целостности кода (CI) была представлена в Windows Server 2016. Мы облегчили развертывание, включив политики CI по умолчанию. Политика по умолчанию разрешает все встроенные файлы Windows и приложения Майкрософт, такие как SQL Server, и блокирует известные исполняемые файлы, которые могут обойти CI.

Безопасность программно-конфигурируемых сетей (SDN)

Функция Безопасность для SDN предоставляет множество возможностей для безопасного выполнения рабочих нагрузок клиентами как в локальной среде, так и в качестве поставщика услуг в облаке.

Эти усовершенствования безопасности интегрированы в многофункциональную платформу SDN, появившуюся в Windows Server 2016.

Полный список новых возможностей SDN доступен в статье Что нового в программно-конфигурируемой сети (SDN) для Windows Server 2019?

Улучшения экранированных виртуальных машин

• Улучшения для филиалов

  Теперь экранированные виртуальные машины можно запускать на компьютерах с периодическими разрывами подключения к службе защиты узла, используя новый резервный сервер HGS и автономный режим. Резервный сервер HGS позволяет настроить второй набор URL-адресов для Hyper-V, который будет использоваться в случае невозможности установить подключение к основному серверу HGS.

  Даже если не удается достичь HGS, автономный режим позволит продолжить запуск экранированных виртуальных машин. Автономный режим позволяет запускать виртуальные машины до тех пор, пока виртуальная машина успешно запущена один раз, а конфигурация безопасности узла не изменилась.

• Дополнительные возможности устранения неполадок

  Мы также упростили процесс устранения неполадок в работе экранированных виртуальных машин за счет добавления поддержки режима расширенного сеанса VMConnect и PowerShell Direct. Эти средства полезны, если вы потеряли сетевое подключение к виртуальной машине и должны обновить конфигурацию для восстановления доступа.

  Эти функции не нужно настраивать, и они становятся доступными автоматически при размещении экранируемой виртуальной машины на узле Hyper-V под управлением Windows Server версии 1803 или более поздней.

• Поддержка Linux

  Теперь Windows Server 2019 поддерживает выполнение систем Ubuntu, Red Hat Enterprise Linux и SUSE Linux Enterprise Server внутри экранированных виртуальных машина при работе в средах со смешанными ОС.

HTTP/2 для более быстрого и безопасного просмотра веб-страниц

• Улучшенное объединение подключений исключает сбои при работе в Интернете, а также обеспечивает правильное шифрование веб-сеансов.

• Обновленный процесс согласования наборов шифров на стороне сервера в HTTP/2 обеспечивает автоматическое устранение сбоев подключений и удобство развертывания.

• Мы сделали CUBIC поставщиком контроля перегрузки протокола TCP по умолчанию, чтобы еще больше повысить пропускную способность!

Зашифрованные сети

Шифрование виртуальной сети шифрует трафик виртуальной сети между виртуальными машинами в подсетях с меткой "Включено шифрование". Зашифрованные сети также используют datagram Transport Layer Security (DTLS) в виртуальной подсети для шифрования пакетов. DTLS защищает данные от перехвата, изменения и подделки любым пользователем с доступом к физической сети.

Дополнительные сведения см. в разделе "Зашифрованные сети".

Аудит брандмауэра

Аудит брандмауэра — это новая функция брандмауэра SDN, записывающая любой поток, обработанный правилами брандмауэра SDN, и списки управления доступом (ACL), которые включили ведение журнала.

Пиринг между виртуальными сетями

Пиринг между виртуальными сетями позволяет легко подключать две виртуальные сети. После однорангового подключения виртуальные сети отображаются в мониторинге в качестве одного.

Измерение исходящего трафика

Измерение исходящего трафика предлагает счетчики использования для передачи исходящих данных. Сетевой контроллер использует эту функцию для сохранения списка разрешений всех диапазонов IP-адресов, используемых в SDN для каждой виртуальной сети. Эти списки считают, что любой заголовок пакета в место назначения, не включенный в перечисленные диапазоны IP-адресов, которые будут выставляться как исходящие передачи данных.

Хранилище

Вот некоторые изменения, которые мы внесли в хранилище в Windows Server 2019. Подробные сведения см. в статье What's new in Storage in Windows Server (Новые возможности хранилища в Windows Server).

Дедупликация данных

• Дедупликация данных теперь поддерживает ReFS , теперь можно включить дедупликацию данных, где бы вы ни могли включить ReFS, увеличивая эффективность хранилища до 95 % с помощью ReFS.

• API DataPort для оптимизированного входящего трафика и исходящего трафика в дедупликированные тома разработчики теперь могут воспользоваться преимуществами дедупликации данных знаний о том, как эффективно хранить данные между томами, серверами и кластерами.

Диспетчер ресурсов файлового сервера

Теперь можно запретить службе Диспетчера файловых серверов создавать журнал изменений (также известный как журнал USN) во всех томах при запуске службы. Предотвращение создания пути изменения может сохранить пространство на каждом томе, но отключит классификацию файлов в режиме реального времени. Подробные сведения см. в статье File Server Resource Manager (FSRM) overview (Обзор диспетчера ресурсов файлового сервера (FSRM)).

SMB

• Удаление SMB1 и гостевой проверки подлинности Windows Server больше не устанавливает клиент SMB1 и сервер по умолчанию. Кроме того, возможность проверки подлинности гостя в SMB2 и более поздних версиях отключена по умолчанию. Дополнительные сведения см . в статье SMBv1 по умолчанию не устанавливается в Windows 10 версии 1709 и Windows Server версии 1709.

• Безопасность и совместимость SMB2/SMB3 теперь есть возможность отключить блокировки в SMB2+ для устаревших приложений и требовать подписывания или шифрования на основе каждого подключения от клиента. Дополнительные сведения см. в справке по модулю SMBShare PowerShell.

Служба миграции хранилища

Служба переноса хранилищ упрощает перенос серверов в более новую версию Windows Server. Это графическое средство инвентаризации данных на серверах, а затем передает данные и конфигурацию на более новые серверы. Служба миграции хранилища также может переместить удостоверения старых серверов на новые серверы, чтобы пользователи не должны перенастроить свои профили и приложения. Дополнительные сведения см. в разделе "Служба миграции службы хранилища".

Windows Admin Center версии 1910 добавил возможность развертывания виртуальных машин Azure. Это обновление интегрирует развертывание виртуальной машины Azure в службу миграции хранилища. Дополнительные сведения см. в статье о миграции виртуальных машин Azure.

При запуске оркестратора сервера миграции хранилища в Windows Server 2019 с установленными KB5001384 или в Windows Server 2022 также можно получить доступ к следующим функциям после выпуска (RTM):

• Перенос локальных пользователей и групп на новый сервер.
• Перенос хранилища из отказоустойчивых кластеров, перенос в отказоустойчивые кластеры и перенос между автономными серверами и отказоустойчивыми кластерами.
• Перенос хранилища с сервера Linux, использующего Samba.
• Синхронизация перенесенных общих папок в Azure с помощью Синхронизация файлов Azure.
• Перенос в новые сети, такие как Azure.
• Перенос серверов NetApp Common Internet File System (CIFS) из массивов Служб федеративной проверки подлинности NetApp (FAS) на серверы и кластеры Windows.

Локальные дисковые пространства

Ниже приведен список новых возможностей в Локальных дисковых пространствах. Подробные сведения см. в разделе Storage Spaces Direct (Windows Server 2019 only) (Локальные дисковые пространства (только для Windows Server 2019). Информацию о приобретении проверенных систем с Локальными дисковыми пространствами см. в статье Общие сведения об Azure Stack HCI.

• Дедупликация и сжатие томов ReFS
• Встроенная поддержка энергонезависимой памяти
• Вложенная устойчивость гиперконвергентной инфраструктуры с двумя узлами на границе
• Кластеры из двух серверов, использующие USB-устройство флэш-памяти в качестве свидетеля
• Поддержка Windows Admin Center
• Журнал производительности
• Масштабирование до 4 ПБ на кластер
• Контроль четности с зеркальным ускорением вдвое быстрее
• Обнаружение выброса задержки диска
• Разграничение выделения томов вручную для повышения отказоустойчивости

Реплика хранилища

Новые возможности в реплике хранилища. Подробные сведения см. в разделе Storage Replica (Реплика хранилища).

• Реплика хранилища теперь доступна в Windows Server 2019 Standard Edition.
• Тестовая отработка отказа — это новая функция, которая позволяет подключать целевое хранилище для проверки репликации или резервного копирования данных. Подробные сведения см. в статье с часто задаваемыми вопросами о реплике хранилища.
• Улучшения производительности журнала реплики хранилища
• Поддержка Windows Admin Center

Дедупликация данных

Windows Server 2019 теперь поддерживает отказоустойчивую файловую систему (ReFS). ReFS позволяет хранить до десяти раз больше данных на одном томе с дедупликацией и сжатием файловой системы ReFS. Хранилище блоков с переменным размером поставляется с необязательной функцией сжатия, которая может максимально повысить скорость экономии, в то время как архитектура после обработки с несколькими потоками обеспечивает минимальное влияние производительности. ReFS поддерживает тома до 64 ТБ и дедупликирует первые 4 ТБ каждого файла. Дополнительные сведения см. в статье "Включение дедупликации и сжатия" в Центре администрирования Windows для быстрого демонстрации видео.

Отказоустойчивая кластеризация

Мы добавили следующие функции для отказоустойчивой кластеризации в Windows Server 2019:

• Кластер задает группирование нескольких кластеров в слабо связанную группу нескольких отказоустойчивых кластеров, которые входят в три типа: вычислительные ресурсы, хранилище и гиперконвергентные. Это группирование увеличивает количество серверов в одном программно-определяемом решении центра обработки данных (SDDC) за пределами текущих ограничений кластера. С помощью наборов кластеров можно перемещать виртуальные машины между кластерами в наборе кластеров. Дополнительные сведения см. в разделе "Развертывание набора кластеров".

• Кластеры теперь поддерживаютСя Azure по умолчанию. Кластеры, поддерживающие Azure, автоматически определяют, когда они работают на виртуальных машинах Azure IaaS, а затем оптимизируют их конфигурацию для достижения самых высоких уровней доступности. Эти оптимизации включают упреждающая отработка отказа и ведение журнала запланированных событий обслуживания Azure. Автоматическая оптимизация упрощает развертывание, удаляя необходимость настройки подсистемы балансировки нагрузки с именем распределенной сети для имени кластера.

• Миграция между доменами позволяет динамически перемещать отказоустойчивые кластеры из одного домена Active Directory в другой, упрощая консолидацию домена и позволяя партнерам оборудования создавать кластеры и присоединять их к домену клиента в дальнейшем.

• Функция USB-свидетеля позволяет использовать USB-диск, подключенный к сетевому коммутатору, в качестве свидетеля при определении кворума для кластера. Эта функция включает расширенную поддержку следящего файла для любого устройства, совместимого с SMB2.

• Кэш CSV теперь включен по умолчанию для повышения производительности виртуальной машины. MSDTC теперь поддерживает общие тома кластера, чтобы разрешить развертывание рабочих нагрузок MSDTC в Локальные дисковые пространства, например с SQL Server. Расширенная логика для обнаружения секционированных узлов с самовосстановлением для возврата узлов в членство в кластере. Расширенное обнаружение сетевого маршрута кластера и самовосстановление.

• Обновление с учетом кластера (CAU) теперь интегрировано и учитывает Локальные дисковые пространства, проверяя и обеспечивая повторную синхронизацию данных на каждом узле. Обновление с учетом кластера проверяет обновления для интеллектуального перезапуска только при необходимости. Эта функция позволяет перезапустить все серверы в кластере для планового обслуживания.

• Теперь вы можете использовать свидетели общих папок в следующих сценариях:

  • Отсутствие или плохой доступ к Интернету из-за удаленного расположения, предотвращение использования облачного свидетеля.

  • Отсутствие общих дисков для следящего диска. Например, конфигурация, которая не использует общие диски, например Локальные дисковые пространства гиперконвергентной конфигурации, групп доступности SQL Server AlwaysOn или группы доступности базы данных Exchange (DAG).

  • Отсутствие подключения контроллера домена из-за того, что кластер стоит за dmZ.

  • Рабочий или междоменный кластер, у которых нет объекта имени кластера Active Directory (CNO). Windows Server теперь также блокирует использование пространств имен DFS в качестве расположения. Добавление общей папки-свидетеля в общую папку DFS может привести к проблемам стабильности кластера, и эта конфигурация никогда не поддерживается. Мы добавили логику, чтобы определить, использует ли общий ресурс пространства имен DFS, а если обнаружены пространства имен DFS, диспетчер отказоустойчивых кластеров блокирует создание следящего сервера и отображает сообщение об ошибке о том, что не поддерживается.

• Реализована функция защиты кластера, которая повышает безопасность взаимодействия внутри кластера через блок сообщений сервера (SMB) для общих томов кластера и Локальные дисковые пространства. Эта функция использует сертификаты для обеспечения максимально безопасной платформы. При этом отказоустойчивые кластеры теперь могут работать без каких-либо зависимостей от NTLM, что позволяет устанавливать базовые показатели безопасности.

• Отказоустойчивые кластеры больше не используют проверку подлинности NTLM. Вместо этого кластеры Windows Server 2019 теперь используют исключительно Kerberos и проверку подлинности на основе сертификатов. Пользователям не нужно вносить какие-либо изменения или развертывать что-либо, чтобы воспользоваться преимуществами этого улучшения безопасности. Это изменение также позволяет развертывать отказоустойчивые кластеры в средах, где NTLM отключен.

Платформа приложения

Контейнеры Linux в Windows

Теперь можно запускать контейнеры на основе Windows и Linux на одном узле контейнеров с помощью той же управляющей программы docker. Теперь вы можете иметь разнородную среду узла контейнера, обеспечивающую гибкость для разработчиков приложений.

Встроенная поддержка Kubernetes

В Windows Server 2019 улучшены функции вычислений, сети и хранилища выпусков Semi-Annual Channel, необходимых для реализации поддержки платформы Kubernetes в Windows. Дополнительная информация будет доступна в следующих выпусках Kubernetes.

• Сеть контейнеров в Windows Server 2019 значительно повышает удобство использования Kubernetes в Windows. Мы улучшили устойчивость сети платформы и поддержку подключаемых модулей сети контейнеров.

• Развернутые в Kubernetes рабочие нагрузки могут использовать средства сетевой безопасности для защиты служб Linux и Windows с помощью встроенных механизмов безопасности.

Улучшения контейнеров

• Улучшенные интегрированные удостоверения

  Мы упростили процесс встроенной проверки подлинности Windows в контейнерах и повысили ее надежность, устранив некоторые ограничения предыдущих выпусков Windows Server.

• Улучшенная совместимость приложений

  Контейнеризация приложений на основе Windows была проще: была увеличена совместимость приложений для существующего образа windowsservercore . Для приложений с дополнительными зависимостями API теперь существует третий базовый образ: окна.

• Уменьшение размера и повышение производительности

  Размеры загрузки базового образа контейнера, размер диска и время запуска были улучшены для ускорения рабочих процессов контейнеров.

• Интерфейс администрирования в Windows Admin Center (предварительная версия)

  Мы значительно упростили мониторинг контейнеров, запущенных на вашем компьютере, а также управление отдельными контейнерами с помощью нового расширения для Windows Admin Center. Найдите расширение "Контейнеры" в общедоступном веб-канале Windows Admin Center.

Улучшения вычислений

• Порядок запуска виртуальной машины для запуска виртуальной машины также улучшается с помощью ос и приложений, что приводит к улучшению триггеров, когда виртуальная машина считается запущенной перед началом следующей.

• Поддержка памяти класса хранилища для виртуальных машин позволяет создавать тома с прямым доступом и форматированием с файловой системой NTFS на энергонезависимых модулях DIMM и предоставлять их виртуальным машинам Hyper-V. Виртуальные машины Hyper-V теперь могут использовать преимущества низкой задержки для устройств памяти класса хранилища.

• Поддержка постоянной памяти для виртуальных машин Hyper-V для использования высокой пропускной способности и низкой задержки постоянной памяти (также известной как память класса хранилища) на виртуальных машинах теперь можно проецировать непосредственно на виртуальные машины. Постоянная память может помочь значительно сократить задержку транзакций базы данных или сократить время восстановления для баз данных с низкой задержкой в памяти при сбое.

• Хранилище контейнеров — контейнеры приложений для постоянных томов данных теперь имеют постоянный доступ к томам. Дополнительные сведения см. в разделе поддержка контейнера хранилища с общими томами кластера (CSV), локальными дисковыми пространствами (S2D) и глобальным сопоставлением SMB.

• Формат файла конфигурации виртуальной машины (обновлен) Добавлен файл состояния виртуальной машины (.vmgs) для виртуальных машин с версией конфигурации версии 8.2 и выше. Файл состояния гостевой виртуальной машины содержит сведения о состоянии устройства, которые ранее были частью файла состояния среды выполнения виртуальной машины.

Зашифрованные сети

Зашифрованные сети — функция шифрования виртуальных сетей, позволяющая шифровать трафик виртуальной сети между виртуальными машинами, которые обмениваются данными между собой в подсетях с пометкой Включено шифрование. Для шифрования пакетов с помощью этой возможности также используется протокол DTLS в виртуальной подсети. Протокол DTLS обеспечивает защиту от перехвата, несанкционированных изменений и подделки со стороны любых лиц, имеющих доступ к физической сети.

Повышение производительности сети для виртуальных рабочих нагрузок

Повышение производительности сети для виртуальных рабочих нагрузок обеспечивает максимальную пропускную способность сети для виртуальных машин без необходимости постоянной настройки или избыточного предоставления ресурсов узла. Улучшенная производительность снижает затраты на операции и обслуживание при увеличении доступной плотности узлов. Новые функции:

• динамическое управление несколькими очередями виртуальных машин (d.VMMQ).

• объединение полученных сегментов в виртуальном коммутаторе;

Передача данных с помощью алгоритма Low Extra Delay Background Transport

Низкая дополнительная задержка фонового транспорта (LEDBAT) — это оптимизированная задержка, поставщик управления перегрузкой сети, предназначенный для автоматической передачи пропускной способности пользователям и приложениям. LEDBAT использует пропускную способность, доступную в то время как сеть не используется. Эта технология предназначена для использования при развертывании крупных критически важных обновлений в ИТ-среде, не влияя на службы клиентов и связанную пропускную способность.

Служба времени Windows

В службе времени Windows реализована полноценная поддержка UTC-совместимой корректировочной секунды, новый протокол времени под названием "Протокол точного времени" (Precision Time Protocol), а также трассировка в сквозном режиме.

Высокопроизводительные шлюзы SDN

Высокопроизводительные шлюзы SDN в Windows Server 2019 значительно повышают производительность подключений IPsec и GRE, обеспечивая сверхвысокую пропускную способность при гораздо меньшей нагрузке на ЦП.

Новый пользовательский интерфейс развертывания и расширение Windows Admin Center для SDN

Теперь в Windows Server 2019 можно легко выполнять развертывание и управление с помощью нового пользовательского интерфейса для развертывания, а также расширения Windows Admin Center, которое предоставляет возможности SDN всем пользователям.

Подсистема Windows для Linux (WSL)

WSL позволяет администраторам сервера использовать имеющиеся средства и сценарии с Linux в Windows Server. Множество усовершенствований, о которых рассказывалось в блоге command line, теперь входят в состав Windows Server, включая фоновые задачи, DriveFS, WSLPath и многое другое.

службы федерации Active Directory;

службы федерации Active Directory (AD FS) (AD FS) для Windows Server 2019 включает следующие изменения.

Защищенные входы

Защищенные входы с помощью AD FS теперь включают следующие обновления:

• Теперь пользователи могут использовать сторонние продукты проверки подлинности в качестве первого фактора без предоставления паролей. В случаях, когда внешний поставщик проверки подлинности может доказать два фактора, он может использовать многофакторную проверку подлинности (MFA).

• Теперь пользователи могут использовать пароли в качестве дополнительного фактора после использования параметра, отличного от пароля, в качестве первого фактора. Эта встроенная поддержка улучшает общую работу с AD FS 2016, которая требует загрузки адаптера GitHub.

• Теперь пользователи могут создавать собственные модули оценки рисков подключаемого модуля для блокировки определенных типов запросов на этапе предварительной проверки подлинности. Эта функция упрощает использование облачной аналитики, например защиты идентификации для блокировки рискованных пользователей или транзакций. Дополнительные сведения см. в статье о подключаемых модулях сборки с помощью модели оценки рисков AD FS 2019.

• Улучшает быстрое исправление экстрасети Smart Lockout (ESL), добавив следующие возможности:

  • Теперь можно использовать режим аудита, защищенный функцией блокировки классической экстрасети.

  • Теперь пользователи могут использовать независимые пороговые значения блокировки для знакомых расположений. Эта функция позволяет запускать несколько экземпляров приложений в общей учетной записи службы для переката паролей с минимальным нарушением.

Другие улучшения безопасности

AD FS 2019 включает следующие улучшения безопасности:

• Удаленный вход PowerShell с помощью smartCard позволяет пользователям удаленно подключаться к AD FS с помощью смарт-карт, выполнив команды PowerShell. Пользователи также могут использовать этот метод для управления всеми функциями PowerShell, включая командлеты с несколькими узлами.

• Настройка заголовка HTTP позволяет пользователям настраивать заголовки HTTP, созданные во время ответов AD FS. Настройка заголовка включает следующие типы заголовков:

  • HSTS, который позволяет использовать только конечные точки AD FS в конечных точках HTTPS для принудительного применения браузера.

  • X-frame-options, который позволяет администраторам AD FS разрешить определенным проверяющим сторонам внедрять iFrames для страниц интерактивного входа AD FS. Этот заголовок следует использовать только на узлах HTTPS.

  • Будущий заголовок. Можно также настроить несколько будущих заголовков.

  Дополнительные сведения см. в разделе "Настройка заголовков ответов безопасности HTTP с помощью AD FS 2019".

Возможности проверки подлинности и политики

AD FS 2019 включает следующие возможности проверки подлинности и политики:

• Теперь пользователи могут создавать правила, чтобы указать, какой поставщик проверки подлинности вызывается для дополнительной проверки подлинности. Эта функция помогает перейти между поставщиками проверки подлинности и защитить определенные приложения, которые имеют особые требования для дополнительных поставщиков проверки подлинности.

• Необязательные ограничения для проверки подлинности устройств на основе TLS, чтобы использовать их могут только приложения, требующие tls. Пользователи могут ограничить проверку подлинности устройств на основе TLS клиента, чтобы использовать их могут только приложения, выполняющие условный доступ на основе устройств. Эта функция предотвращает нежелательные запросы проверки подлинности устройств для приложений, которые не требуют проверки подлинности на основе TLS.

• AD FS теперь поддерживает повторение учетных данных второго фактора на основе свежести второго фактора учетных данных. Эта функция позволяет пользователям требовать только TFA для первой транзакции, а затем периодически требовать только второй фактор. Эту функцию можно использовать только в приложениях, которые могут предоставить дополнительный параметр в запросе, так как это не настраиваемый параметр в AD FS. Идентификатор Microsoft Entra поддерживает этот параметр, если параметр "Запомнить MFA для X Дней" имеет значениеTrue в параметрах доверия федеративного домена Microsoft Entra ID.

Улучшения единого входа

AD FS 2019 также включает следующие улучшения единого входа:

• AD FS теперь использует поток пользовательского интерфейса с разбивкой на страницы и центрированный пользовательский интерфейс ( пользовательский интерфейс), который обеспечивает более плавный вход для пользователей. Эта функция зеркального отображения изменений, предлагаемая в Azure AD. Возможно, потребуется обновить логотип и фоновые изображения вашей организации, чтобы он соответствовал новому пользовательскому интерфейсу.

• Исправлена проблема, из-за которой состояние MFA не сохранялось при использовании проверки подлинности первичного маркера обновления (PRT) на устройствах Windows 10. Теперь пользователи должны чаще запрашивать учетные данные второго фактора. Теперь интерфейс должен быть согласован при успешной проверке подлинности устройства на клиентском протоколе TLS и PRT.

Поддержка создания современных бизнес-приложений

AD FS 2019 включает следующие функции для поддержки создания современных бизнес-приложений (LOB):

• AD FS теперь включает в себя поддержку профиля потока устройств OAuth для входа с помощью устройств без области пользовательского интерфейса для поддержки расширенных возможностей входа. Эта функция позволяет пользователям завершить вход на другом устройстве. Для работы интерфейс командной строки Azure (CLI) в Azure Stack требуются эти функции, а также их можно использовать в других сценариях.

• Для использования AD FS больше не требуется параметр Resource , который соответствует текущим спецификациям OAUth. Теперь клиентам необходимо предоставить только идентификатор доверия проверяющей стороны в качестве параметра области с запрошенными разрешениями.

• Заголовки общего доступа к ресурсам (CORS) можно использовать в ответах AD FS. Эти новые заголовки позволяют пользователям создавать одностраничные приложения, которые позволяют клиентским библиотекам JavaScript проверять id_token подпись, запрашивая ключи подписи из документа обнаружения Open ID Connect (OIDC) в AD FS.

• AD FS включает поддержку проверки подлинности для кода Exchange (PKCE) для безопасного потока кода проверки подлинности в OAuth. Этот дополнительный уровень безопасности запрещает злоумышленникам перехват кода и его повторение с другого клиента.

• Исправлена дополнительная проблема, из-за которой AD FS отправляла только утверждение x5t. AD FS теперь также отправляет ребенку утверждение, чтобы указать ключ идентификатора для проверки подписи.

Расширения поддержки

Теперь администраторы могут настроить AD FS, чтобы пользователи могли отправлять отчеты об ошибках и отлаживать журналы в них в виде ZIP-файла для устранения неполадок. Администраторы также могут настроить подключение simple Mail Transfer Protocol (SMTP) для автоматической отправки ZIP-файла в учетную запись электронной почты. Другой параметр позволяет администраторам автоматически создавать запрос в службу поддержки на основе этого сообщения электронной почты.

Обновления для развертывания

В AD FS 2019 теперь включены следующие обновления для развертывания.

• AD FS имеет аналогичную функцию своей версии Windows Server 2016, что упрощает обновление ферм серверов Windows Server 2016 в фермы серверов Windows Server 2019. Сервер Windows Server 2019, добавленный в ферму серверов Windows Server 2016, будет работать только как сервер Windows Server 2016, пока не будет готов к обновлению. Дополнительные сведения см. в разделе "Обновление до AD FS" в Windows Server 2016.

Обновления SAML

AD FS 2019 включает следующие обновления языка разметки утверждений безопасности (SAML):

• Исправлены проблемы в агрегированной поддержке федерации, например InCommon, в следующих областях:

  • Улучшено масштабирование для многих сущностей в документе метаданных агрегированной федерации. Ранее масштабирование для этих сущностей было бы неудачным и возвращалось сообщение об ошибке ADMIN0017.

  • Теперь вы можете выполнять запросы с помощью параметра ScopeGroupID , выполнив Get-AdfsRelyingPartyTrustsGroup командлет PowerShell.

  • Улучшена обработка условий ошибок для повторяющихся значений entityID .

Спецификация ресурсов в стиле Azure AD для параметра scope.

Ранее компонент AD FS требовал, чтобы нужный ресурс и область указывались в разных параметрах для любого запроса проверки подлинности. Например, следующий пример запроса OAuth содержит параметр области:

https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

В AD FS для Windows Server 2019 можно передать значение ресурса, внедренное в параметр области. Это изменение соответствует проверке подлинности с идентификатором Microsoft Entra.

Теперь параметр области можно упорядочить в виде разделенного пробелом списка, который структурировал каждую сущность как ресурс или область.

Примечание.

В запросе проверки подлинности можно указать только один ресурс. Если в запрос включено несколько ресурсов, AD FS возвращает ошибку и проверка подлинности не будет выполнена.