Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver några av de nya funktionerna i Windows Server 2016 som är de som mest sannolikt har störst inverkan när du arbetar med den här versionen.
Compute
Virtualiseringsområdet innehåller virtualiseringsprodukter och funktioner för IT-proffs för att utforma, distribuera och underhålla Windows Server.
General
Fysiska och virtuella datorer drar nytta av bättre tidsnoggrannhet på grund av förbättringar i Win32-tids- och Hyper-V-tidssynkroniseringstjänster. Windows Server kan nu vara värd för tjänster som är kompatibla med kommande regler som kräver en noggrannhet på 1 ms för UTC.
Hyper-V
Hyper-V nätverksvirtualisering (HNV) är en grundläggande byggsten i Microsofts uppdaterade SDN-lösning (Software Defined Networking) och är helt integrerad i SDN-stacken. Windows Server 2016 innehåller följande ändringar för Hyper-V:
Windows Server 2016 innehåller nu en programmerbar Hyper-V växel. Microsofts nätverksstyrenhet push-överför HNV-principer till en värdagent som körs på varje värd med hjälp av Open vSwitch Database Management Protocol (OVSDB) som SouthBound Interface (SBI). Värdagenten lagrar den här principen med hjälp av en anpassning av VTEP-schemat och programmerar komplexa flödesregler till en högpresterande flödesmotor i Hyper-V växel. Flödesmotorn i Hyper-V växeln är samma som Azure använder. Hela SDN-stacken via nätverksstyrenheten och nätverksresursprovidern är också konsekvent med Azure, vilket gör dess prestanda jämförbar med det offentliga Azure-molnet. I Microsofts flödesmotor är Hyper-V växeln utrustad för att hantera både tillståndslösa och tillståndskänsliga flödesregler via en enkel matchningsåtgärdsmekanism som definierar hur paket ska bearbetas inom växeln.
HNV stöder nu inkapsling av VXLAN-protokoll (Virtual eXtensible Local Area Network ). HNV använder VXLAN-protokollet i MAC-distributionsläge via Microsofts nätverksstyrenhet för att mappa klientorganisationens överanslutna IP-adresser till ip-adresserna för det fysiska underläggsnätverket. NVGRE- och VXLAN-uppgiftsavlastningar stöder drivrutiner från tredje part för bättre prestanda.
Windows Server 2016 innehåller en SLB (Software Load Balancer) med fullständigt stöd för trafik i virtuella nätverk och sömlös interaktion med HNV. Den högpresterande flödesmotorn implementerar SLB i dataplanet v-Switch och sedan styr nätverksstyrenheten den för virtuella IP-mappningar (VIP) eller dynamiska IP-mappningar (DIP).
HNV implementerar rätt L2 Ethernet-huvuden för att säkerställa samverkan med virtuella och fysiska enheter från tredje part som är beroende av branschstandardprotokoll. Microsoft ser till att alla överförda paket har kompatibla värden inom alla fält för att garantera samverkan. HNV kräver stöd för Jumbo Frames (MTU > 1780) i det fysiska L2-nätverket för att ta hänsyn till paketkostnader som introduceras av inkapslingsprotokoll som NVGRE och VXLAN. Stöd för Jumbo Frame säkerställer att gästdatorer som är anslutna till ett virtuellt HNV-nätverk har en 1514 MTU.
Stöd för Windows Container lägger till prestandaförbättringar, förenklad nätverkshantering och stöd för Windows-containrar i Windows 10. För mer information, se vår Windows Containers-dokumentation och Containrar: Docker, Windows och Trender.
Hyper-V är nu kompatibelt med anslutet vänteläge. När du installerar Hyper-V-rollen på en dator som använder AOAC-energimodellen (AlwaysOn/Always Connected) kan du nu konfigurera den så att den använder strömtillståndet Anslutet vänteläge.
Med diskret enhetstilldelning kan du ge en virtuell dator direkt och exklusiv åtkomst till vissa PCIe-maskinvaruenheter. Den här funktionen kringgår Hyper-V virtualiseringsstacken, vilket ger snabbare åtkomst. Mer information finns i Diskret enhetstilldelning och Diskret enhetstilldelning – Beskrivning och bakgrund.
Hyper-V stöder nu BitLocker-diskkryptering för operativsystemdiskar på virtuella datorer i generation 1. Den här skyddsmetoden ersätter virtuella TPM-moduler (Trusted Platform Modules), som endast är tillgängliga på virtuella datorer i generation 2. Om du vill dekryptera disken och starta den virtuella datorn måste värden Hyper-V antingen vara en del av ett auktoriserat skyddat nätverk eller ha den privata nyckeln från en av den virtuella datorns väktare. Nyckellagring kräver en virtuell version 8-dator. Mer information finns i Uppgradera version av virtuella datorer i Hyper-V på Windows eller Windows Server.
Värdresursskydd hindrar virtuella datorer från att använda för många systemresurser genom att spåra överdrivna aktivitetsnivåer. När övervakningen identifierar en ovanligt hög aktivitetsnivå på en virtuell dator begränsas mängden resurser som den virtuella datorn förbrukar. Du kan aktivera den här funktionen genom att köra cmdleten Set-VMProcessor i PowerShell.
Du kan nu använda hot-add och -remove för att lägga till eller ta bort nätverksadaptrar medan den virtuella datorn körs utan driftstopp i generation 2-VM:ar som kör Linux- eller Windows-operativsystem. Du kan också justera hur mycket minne som tilldelas till en virtuell dator medan det körs även om dynamiskt minne inte är aktiverat på både generation 1 och 2 virtuella datorer som kör Windows Server 2016 och senare eller Windows 10 och senare.
Hyper-V Manager stöder nu följande funktioner:
Alternativa autentiseringsuppgifter som gör att du kan använda en annan uppsättning autentiseringsuppgifter i Hyper-V Manager när du ansluter till en annan Windows Server 2016- eller Windows 10-fjärrvärd. Du kan också spara dessa autentiseringsuppgifter för att göra det enklare att logga in.
Nu kan du hantera Hyper-V på datorer som kör Windows Server 2012 R2, Windows Server 2012, Windows 8.1 och Windows 8.
Hyper-V Manager kommunicerar nu med fjärranslutna Hyper-V värdar med hjälp av WS-MAN-protokollet, som tillåter CredSSP-, Kerberos- och NTLM-autentisering. När du använder CredSSP för att ansluta till en fjärransluten Hyper-V värd kan du utföra en direktmigrering utan att aktivera begränsad delegering i Active Directory. WS-MAN gör det också enklare att aktivera värdar för fjärrhantering. WS-MAN ansluter via port 80, som är öppen som standard.
Uppdateringar av integreringstjänster för Windows-gäster distribueras nu via Windows Update. Tjänstleverantörer och privata molnvärdar kan ge klienter som äger de virtuella datorerna kontroll över att tillämpa uppdateringar. Windows-klienter kan nu uppgradera sina virtuella datorer med alla de senaste uppdateringarna via en enda metod. Mer information om hur Linux-klienter kan använda integrationstjänster finns i Linux- och FreeBSD-datorer som stöds för Hyper-V på Windows Server och Windows.
Important
Hyper-V för Windows Server 2016 innehåller inte längre vmguest.iso bildfil eftersom den inte längre krävs.
Linux-operativsystem som körs på virtuella datorer i generation 2 kan nu startas med alternativet Säker start aktiverat. De operativsystem som stöder säker start på Windows Server 2016-värdar inkluderar Ubuntu 14.04 och senare, SUSE Linux Enterprise Server 12 och senare, Red Hat Enterprise Linux 7.0 och senare samt CentOS 7.0 och senare. Innan du startar den virtuella datorn för första gången måste du konfigurera den så att den använder Microsoft UEFI-certifikatutfärdare i antingen Hyper-V Manager, Virtual Machine Manager eller genom att köra cmdleten Set-VMFirmware i PowerShell.
Virtuella datorer i generation 2 och Hyper-V värdar kan nu använda mer minne och virtuella processorer. Du kan också konfigurera värdar med mer minne och virtuella processorer än tidigare versioner. Dessa ändringar stöder scenarier som att köra stora minnesinterna databaser för onlinetransaktionsbearbetning (OLTP) och datalager (DW) för e-handel. Mer information finns i Windows Server 2016 Hyper-V storskaliga prestanda för virtuella maskiner och transaktionsbearbetning i minnet. Mer information om versionskompatibilitet och maximala konfigurationer som stöds finns i Uppgradera version av virtuella datorer i Hyper-V på Windows eller Windows Server och Planera för Hyper-V skalbarhet i Windows Server.
Med funktionen kapslad virtualisering kan du använda en virtuell dator som Hyper-V-värd och skapa virtuella datorer i den virtualiserade värden. Du kan använda den här funktionen för att skapa utvecklings- och testmiljöer som kör minst Windows Server 2016 eller Windows 10 med en Intel VT-x-kompatibel processor. Mer information finns i Vad är kapslad virtualisering?.
Nu kan du konfigurera kontrollpunkter för produktion för att följa supportprinciper för virtuella datorer som kör produktionsarbetsbelastningar. Dessa kontrollpunkter körs med reservteknik på gästsystemet istället för ett sparat tillstånd. Virtuella Windows-datorer använder tjänsten Volume Snapshot (VSS), medan virtuella Linux-datorer tömmer filsystembuffertar för att skapa kontrollpunkter som är konsekventa med filsystemet. Du kan fortfarande använda kontrollpunkter baserat på lagringstillstånd genom att använda standardkontrollpunkter i stället. Mer information finns i Välj mellan standard- eller produktionskontrollpunkter i Hyper-V.
Important
Nya virtuella datorer använder produktionskontrollpunkter som standard.
Nu kan du ändra storlek på delade virtuella hårddiskar (
.vhdxfiler) för gästkluster utan avbrott. Du kan också använda gästkluster för att skydda delade virtuella hårddiskar genom att använda Hyper-V Replica för katastrofåterställning. Du kan bara använda den här funktionen i samlingar i ett gästkluster som du har aktiverat replikering via Windows Management Instrumentation (WMI). Mer information finns i Msvm_CollectionReplicationService-klassen och Översikt över delning av virtuella hårddiskar.Note
Det går inte att hantera replikering av en samling via PowerShell-cmdletar eller med hjälp av WMI-gränssnittet.
När du säkerhetskopierar en enskild virtuell dator rekommenderar vi inte att du använder en VM-grupp eller snapshot-samling oavsett om klustrad värd är eller inte. De här alternativen är avsedda för säkerhetskopiering av gästkluster som använder en delad vhdx. I stället rekommenderar vi att du tar en ögonblicksbild med WMI-providern (V2)Hyper-V.
Nu kan du skapa avskärmade Hyper-V virtuella datorer som innehåller funktioner för att förhindra att Hyper-V administratörer på värden eller skadlig kod inspekterar eller manipulerar det avskärmade vm-tillståndet. De här funktionerna skyddar även mot datastöld från avskärmade vm-tillstånd. Data och tillstånd krypteras så att Hyper-V administratörer inte kan se videoutdata och tillgängliga diskar. Du kan också begränsa de virtuella datorerna till att endast köras på värdar som en värdskyddsserver anser är felfria och tillförlitliga. Mer information finns i Översikt över skyddade infrastrukturresurser och avskärmade virtuella datorer.
Note
Avskärmade virtuella datorer är kompatibla med Hyper-V Replica. Om du vill replikera en avskärmad virtuell dator måste du auktorisera den värd som du vill replikera för att köra den skärmade virtuella datorn.
Med startordningsprioriteten för klustrade virtuella datorer får du mer kontroll över vilka klustrade virtuella datorer som startar eller startar om först. När du bestämmer prioritet för startordning kan du starta virtuella datorer som tillhandahåller tjänster innan du startar virtuella datorer som använder dessa tjänster. Du kan definiera uppsättningar, lägga till virtuella datorer i uppsättningar och ange beroenden med hjälp av PowerShell-cmdletar som New-ClusterGroupSet, Get-ClusterGroupSet och Add-ClusterGroupSetDependency.
Konfigurationsfiler för VM använder nu filändelsen
.vmcx, medan körningstillståndsfiler använder filändelsen.vmrs. Dessa nya filformat är utformade med effektivare läsning och skrivning i åtanke. De uppdaterade formaten minskar också risken för att data skadas om ett lagringsfel inträffar.Important
Filnamnstillägget
.vmcxanger en binär fil. Hyper-V för Windows Server 2016 stöder inte redigering.vmcxeller.vmrsfiler.Vi har uppdaterat versionskompatibiliteten med virtuella datorer i version 5. Dessa virtuella datorer är kompatibla med både Windows Server 2012 R2 och Windows Server 2016. Virtuella datorer av version 5 som är kompatibla med Windows Server 2019 kan dock bara köras på Windows Server 2016, inte Windows Server 2012 R2. Om du flyttar eller importerar en virtuell Windows Server 2012 R2-dator till en server som kör en senare version av Windows Server måste du manuellt uppdatera vm-konfigurationen så att den använder funktioner för senare versioner av Windows Server. Mer information om versionskompatibilitet och uppdaterade funktioner finns i Uppgradera version av virtuella datorer i Hyper-V på Windows eller Windows Server.
Nu kan du använda virtualiseringsbaserade säkerhetsfunktioner för virtuella datorer i generation 2, till exempel Device Guard och Credential Guard, för att skydda operativsystemet mot sårbarheter mot skadlig kod. Dessa funktioner är tillgängliga på virtuella datorer som kör version 8 eller senare. Mer information finns i Uppgradera version av virtuella datorer i Hyper-V på Windows eller Windows Server.
Nu kan du köra cmdletar med Windows PowerShell Direct för att konfigurera den virtuella datorn från värddatorn som ett alternativ till VMConnect eller Remote PowerShell. Du behöver inte uppfylla några nätverks- eller brandväggskrav eller ha en särskild fjärrhanteringskonfiguration för att börja använda den. Mer information finns i Hantera virtuella Windows-datorer med PowerShell Direct.
Nano Server
Nano Server innehåller nu en uppdaterad modul för att skapa Nano Server-avbildningar. Den här uppdateringen ger mer separation av funktioner för fysiska värdar och virtuella gästdatorer och ger stöd för olika Windows Server-utgåvor. Mer information finns i Installera Nano Server.
Det finns också förbättringar av återställningskonsolen, inklusive separation av regler för inkommande och utgående brandvägg och möjligheten att reparera WinRM-konfigurationen.
Avskärmade virtuella datorer
Windows Server 2016 tillhandahåller en ny Hyper-V-baserad avskärmad virtuell dator för att skydda alla virtuella datorer i generation 2 från en komprometterad infrastrukturresurs. Några av de viktigaste funktionerna som introducerades i Windows Server 2016 är:
Ett nytt läge som stöds för kryptering som erbjuder fler skydd än för en vanlig virtuell dator, men mindre än avskärmat läge, samtidigt som det stöder vTPM, diskkryptering, trafikkryptering via direktmigrering och andra funktioner, inklusive direkt infrastrukturadministration, till exempel konsolanslutningar för virtuella datorer och PowerShell Direct.
Fullständigt stöd för konvertering av befintliga virtuella datorer i andra generationen till avskärmade virtuella datorer, inklusive automatiserad diskkryptering.
Hyper-V Virtual Machine Manager kan nu visa de infrastrukturresurser där en avskärmad virtuell dator har behörighet att köras, vilket ger infrastrukturadministratören möjlighet att öppna en avskärmad virtuell dators nyckelskydd (KP) och visa de infrastrukturresurser som den tillåts köras på.
Du kan växla attesteringslägen på en värdskyddstjänst som körs. Nu kan du växla i farten mellan den mindre säkra men enklare Active Directory-baserade attesteringen och TPM-baserad attestering.
Diagnostikverktyg från slutpunkt till slutpunkt baserat på Windows PowerShell som kan identifiera felkonfigurationer eller fel i både skyddade Hyper-V värdar och tjänsten Värdskydd.
En återställningsmiljö som erbjuder ett sätt att på ett säkert sätt felsöka och reparera skärmade virtuella datorer i infrastrukturresurserna där de normalt körs samtidigt som de erbjuder samma skyddsnivå som själva den avskärmade virtuella datorn.
Stöd för värdskyddstjänsten för befintlig säker Active Directory – du kan dirigera tjänsten Värdskydd att använda en befintlig Active Directory-skog som active directory i stället för att skapa en egen Active Directory-instans
Mer information och instruktioner för att arbeta med avskärmade virtuella datorer finns i Skyddad infrastrukturresurs och avskärmade virtuella datorer.
Identitet och åtkomst
Nya funktioner i Identity förbättrar förmågan för organisationer att skydda Active Directory-miljöer och hjälpa dem att migrera till distributioner endast i molnet och hybriddistributioner, där vissa program och tjänster finns i molnet och andra finns lokalt.
Active Directory Certificate Services
Active Directory Certificate Services (AD CS) i Windows Server 2016 ökar stödet för TPM-nyckelattestering: Du kan nu använda Smart Card KSP för nyckelattestering, och enheter som inte är anslutna till domänen kan nu använda NDES-registrering för att hämta certifikat som kan intygas för nycklar som finns i en TPM.
Hantering av privilegierad åtkomst
Privileged Access Management (PAM) hjälper till att minska säkerhetsproblem i Active Directory-miljöer som orsakas av tekniker för stöld av autentiseringsuppgifter, till exempel pass-the-hash, spear phishing och så vidare. Du kan konfigurera den här nya lösningen för administrativ åtkomst med hjälp av Microsoft Identity Manager (MIM) och den introducerar följande funktioner:
Bastion Active Directory-skogen, som etableras av MIM, har ett särskilt PAM-förtroende med en befintlig skog. Bastion-skogar är en ny typ av Active Directory-miljö som är fri från skadlig aktivitet på grund av att den är isolerad från befintliga skogar och endast tillåter åtkomst till privilegierade konton.
Nya processer i MIM för att begära administratörsbehörighet, inklusive nya arbetsflöden för godkännande av begäranden.
Nya skuggsäkerhetsobjekt, eller grupper, som etablerats i skyddsskogen av MIM som svar på begäranden om administratörsbehörighet. Skuggsäkerhetsgrupperna har ett attribut som refererar till SID för en administrativ grupp i en befintlig skog. Detta gör att skugggruppen kan komma åt resurser i befintliga skogar utan att ändra några åtkomstkontrollistor (ACL).
En funktion för utgångna länkar som gör det möjligt för användare att tillfälligt ansluta till en skugggrupp under en angiven tidsperiod, vilket gör det möjligt för dem att utföra administrativa uppgifter. Medlemskapets varaktighet styrs av ett TTL-värde (time-to-live), som också avgör Kerberos-biljettens giltighetsperiod.
Note
Utgångslänkar är tillgängliga för alla länkade attribut. Men endast den länkade attributrelationen member/memberOF mellan en grupp och en användare är förkonfigurerad med PAM för att använda funktionen för förfallna länkar.
Med inbyggda förbättringar av Kerberos-domänkontrollanten (KDC) kan Active Directory-domänkontrollanter begränsa Kerberos biljettlivslängd till lägsta möjliga TTL-värde när användare har flera tidsbegränsade medlemskap i administrativa grupper. Om du till exempel är medlem i tidsbunden grupp A är livslängden för Kerberos-biljettbeviljande biljett (TGT) lika med hur lång tid du har kvar i grupp A när du loggar in. Om du också ansluter till tidsbunden grupp B, som har en lägre TTL än grupp A, är TGT-livslängden lika med hur lång tid du har kvar i grupp B.
Nya övervakningsfunktioner som gör att du kan identifiera vilka användare som begärde åtkomst, vilken åtkomst administratörerna har beviljats till dem och vilka aktiviteter de utförde när de var inloggade.
Mer information om PAM finns i Privileged Access Management för Active Directory Domain Services.
Microsoft Entra-gå med
Microsoft Entra Join förbättrar identitetsupplevelser för företags-, företags- och utbildningskunder samt förbättrade funktioner för företags- och personliga enheter.
Moderna inställningar är nu tillgängliga på företagsägda Windows-enheter. Du behöver inte längre ett personligt Microsoft-konto för att använda grundläggande Windows-funktioner, och de körs på nytt med befintliga användarkonton för att säkerställa efterlevnad. Dessa tjänster fungerar på datorer som är anslutna till en lokal Windows-domän och enheter som är anslutna till Microsoft Entra. Några av dessa inställningar är:
Roaming eller anpassning, hjälpmedelsinställningar och autentiseringsuppgifter
Säkerhetskopiera och återställ
Åtkomst till Microsoft Store med ditt arbetskonto
Levande paneler och meddelanden
Få åtkomst till organisationsresurser på mobila enheter, till exempel telefoner och surfplattor, som inte kan anslutas till en Windows-domän, oavsett om de är företagsägda eller byOD(Bring Your Own Device).
Använd Single-Sign On (SSO) för Office 365 och andra organisationsappar, webbplatser och resurser.
På BYOD-enheter lägger du till ett arbetskonto från en lokal domän eller Azure AD till en personligt ägd enhet. Du kan använda enkel inloggning för att komma åt arbetsresurser via appar eller på webben samtidigt som du fortsätter att vara kompatibel med nya funktioner som villkorsstyrd kontokontroll och enhetshälsoattestering.
Med mdm-integrering (hantering av mobila enheter) kan du automatiskt registrera enheter till ditt MDM-verktyg (Hantering av mobila enheter) (Microsoft Intune eller tredje part).
Konfigurera helskärmsläge och delade enheter för flera användare i din organisation.
Med utvecklarupplevelsen kan du skapa appar som tillgodoser både företagskontexter och personliga kontexter med en delad programmeringsstack.
Med avbildningsalternativet kan du välja mellan att avbilda eller låta dina användare konfigurera företagsägda enheter direkt vid den första användarupplevelsen.
Windows Hello för företag
Windows Hello för företag är en nyckelbaserad autentiseringsmetod för organisationer och konsumenter som går utöver lösenord. Den här typen av autentisering bygger på autentiseringsuppgifter som är resistenta mot intrång, stöld och nätfiske.
Användaren loggar in på enheten med en biometrisk eller PIN-kod som är länkad till ett certifikat eller ett asymmetriskt nyckelpar. Identitetsprovidrar verifierar användaren genom att mappa användarens offentliga nyckel till IDLocker och tillhandahåller inloggningsinformation via Engångslösenord (OTP), per telefon eller en annan meddelandemekanism.
Mer information finns i Windows Hello för företag.
Utfasning av funktionsnivåer för Filreplikeringstjänsten (FRS) och Windows Server 2003
Även om funktionsnivåerna File Replication Service (FRS) och Windows Server 2003 var inaktuella i tidigare versioner av Windows Server, vill vi påminna dig om att AD DS inte längre stöder Windows Server 2003. Du bör ta bort alla domänkontrollanter som kör Windows Server 2003 från domänen. Du bör också höja domän- och skogsfunktionsnivån till minst Windows Server 2008.
På windows server 2008 och högre domänfunktionsnivåer använder AD DS DFS-replikering (Distributed File Service) för att replikera SYSVOL-mappinnehåll mellan domänkontrollanter. Om du skapar en ny domän på windows Server 2008-domänens funktionsnivå eller senare replikerar DFS Replication automatiskt SYSVOL-mappen. Om du har skapat domänen på en lägre funktionsnivå måste du migrera från FRS till DFS-replikering för SYSVOL-mappen. Mer detaljerade migreringssteg finns i Installera, uppgradera eller migrera till Windows Server.
Mer information finns i följande resurser:
- Förstå funktionsnivåer för Active Directory Domain Services (AD DS)
- Så här höjer du Active Directory-domänen och skogens funktionsnivåer
Federationstjänster för Active Directory
Active Directory Federation Services (AD FS) i Windows Server 2016 innehåller nya funktioner som gör att du kan konfigurera AD FS för att autentisera användare som lagras i LDAP-kataloger (Lightweight Directory Access Protocol).
Webbapplikationsproxy
Den senaste versionen av Webbprogramproxy fokuserar på nya funktioner som möjliggör publicering och förautentisering för fler program och förbättrad användarupplevelse. Kolla in den fullständiga listan över nya funktioner som innehåller förautentisering för omfattande klientappar som Exchange ActiveSync och jokerteckendomäner för enklare publicering av SharePoint-appar. Mer information finns i Webbprogramproxy i Windows Server 2016.
Administration
Området Hantering och automatisering fokuserar på verktygs- och referensinformation för IT-proffs som vill köra och hantera Windows Server 2016, inklusive Windows PowerShell.
Windows PowerShell 5.1 innehåller viktiga nya funktioner, inklusive stöd för utveckling med klasser och nya säkerhetsfunktioner som utökar dess användning, förbättrar dess användbarhet och gör det möjligt att styra och hantera Windows-baserade miljöer enklare och mer omfattande. Mer information finns i Nya scenarier och funktioner i WMF 5.1 .
Nya tillägg för Windows Server 2016 är: möjligheten att köra PowerShell.exe lokalt på Nano Server (inte längre endast fjärransluten), nya cmdletar för lokala användare och grupper för att ersätta användargränssnittet, lagt till Stöd för PowerShell-felsökning och lagt till stöd i Nano Server för säkerhetsloggning och transkription och JEA.
Här är några andra nya administrationsfunktioner:
PowerShell Desired State Configuration (DSC) i Windows Management Framework (WMF) 5
Windows Management Framework 5 innehåller uppdateringar av Windows PowerShell Desired State Configuration (DSC), Windows Remote Management (WinRM) och Windows Management Instrumentation (WMI).
Mer information om hur du testar DSC-funktionerna i Windows Management Framework 5 finns i serien med blogginlägg som beskrivs i Validera funktioner i PowerShell DSC. Information om hur du laddar ned finns i Windows Management Framework 5.1.
PackageManagement enhetlig pakethantering för programidentifiering, installation och inventering
Windows Server 2016 och Windows 10 innehåller en ny PackageManagement-funktion (tidigare kallad OneGet) som gör det möjligt för IT-proffs eller DevOps att automatisera programidentifiering, installation och inventering (SDII), lokalt eller via fjärranslutning, oavsett vad installationstekniken är och var programvaran finns.
Mer information finns i https://github.com/OneGet/oneget/wiki.
PowerShell-förbättringar för att hjälpa digital kriminalteknik och minska säkerhetsöverträdelser
För att hjälpa teamet som ansvarar för att undersöka komprometterade system – ibland kallat "blått team" – har vi lagt till ytterligare PowerShell-loggning och andra funktioner för digital kriminalteknik, och vi har lagt till funktioner för att minska sårbarheter i skript, till exempel begränsad PowerShell och säkra CodeGeneration-API:er.
Mer information finns i blogginlägget för Det blå teamet i PowerShell ♥ .
Networking
Nätverksområdet hanterar nätverksprodukter och funktioner för IT-proffs för att utforma, distribuera och underhålla Windows Server 2016.
Software-Defined nätverk
Software-Defined Networking (SDN) är en ny SDDC-lösning (Software Defined Datacenter) som innehåller följande funktioner:
Nätverksstyrenhet, som gör att du kan automatisera konfigurationen av nätverksinfrastrukturen i stället för att utföra manuell konfiguration av nätverksenheter och tjänster. Nätverksstyrenheten använder REST (Representational State Transfer) i sitt norrgående gränssnitt med JSON-nyttolaster (JavaScript Object Notation). Nätverksstyrenhetens södergående gränssnitt använder Open vSwitch Database Management Protocol (OVSDB).
Nya funktioner för Hyper-V:
Hyper-V virtuell växel, som gör att du kan skapa distribuerad växling och routning, samt ett principtillämpningslager som är justerat och kompatibelt med Microsoft Azure. Mer information finns iHyper-V virtuell växel.
Remote Direct Memory Access (RDMA) och Switch-Embedded Teaming (SET) vid skapandet av virtuella växlar. Du kan konfigurera RDMA på nätverkskort som är bundna till en Hyper-V virtuell växel oavsett om du redan använder SET. SET kan ge dina virtuella switchar liknande funktioner som gruppering av nätverkskort. Mer information finns i Värdnätverkskrav för Azure Local.
Virtuella maskiner med flera köer (VMMQ) förbättrar VMQ:s genomströmning genom att tilldela flera maskinvaruköer per virtuell maskin. Standardkön blir en uppsättning köer för en virtuell dator och sprider trafik mellan köerna.
Tjänstkvalitet (QoS) för programvarudefinierade nätverk hanterar standardklassen för trafik via den virtuella växeln inom standardklassbandbredden.
Nätverksfunktionsvirtualisering (NFV), som gör att du kan spegla eller dirigera nätverksfunktioner som utförs av maskinvaruenheter till virtuella enheter, till exempel lastbalanserare, brandväggar, routrar, växlar och så vidare. Du kan också distribuera och hantera hela SDN-stacken med Hjälp av System Center Virtual Machine Manager. Du kan hantera Windows Server-containernätverk med Docker och associera SDN-principer med både virtuella datorer och containrar.
En datacenterbrandvägg som tillhandahåller detaljerade åtkomstkontrollistor (ACL:er) som gör att du kan tillämpa brandväggsprinciper på vm-gränssnittsnivå eller undernätsnivå. Mer information finns i Vad är datacenterbrandväggen?.
RAS Gateway, som gör att du kan dirigera trafik mellan virtuella nätverk och fysiska nätverk, inklusive VPN-anslutningar från plats till plats från ditt molndatacenter till klientorganisationens fjärrplatser. Med Border Gateway Protocol (BGP) kan du distribuera och tillhandahålla dynamisk routing mellan nätverk för alla gatewayscenarier, inklusive site-to-site virtuella privata nätverk (VPN) med Internet Key Exchange version 2 (IKEv2), Layer 3 (L3) VPN och Generic Routing Encapsulation (GRE) gatewayer. Gatewayer stöder nu även gatewaypooler och M+N-redundans. Mer information finns i Vad är RAS-gateway (Remote Access Service) för programvarudefinierade nätverk?.
Software Load Balancer (SLB) och NAT (Network Address Translation) förbättrar dataflödet genom att stödja Direct Server Return. Detta gör att returnätverkstrafiken kan kringgå lastbalanserings multiplexern och kan uppnås med en nord-syd- och öst-västlig layer 4-lastbalanserare och NAT. Mer information finns i Vad är Software Load Balancer (SLB) för SDN? och Virtualisering av nätverksfunktioner.
Flexibla inkapslingstekniker som fungerar på dataplanet och stöder både VxLAN (Virtual Extensible LAN) och NVGRE (Network Virtualization Generic Routing Encapsulation).
Mer information finns i Planera en programvarudefinierad nätverksinfrastruktur.
Grunderna i molnskala
Windows Server 2016 innehåller följande grunderna i molnskala:
Konvergerade nätverksgränssnittskort (NIC), som gör att du kan använda ett enda nätverkskort för administration, Fjärrdirektminnesåtkomst (RDMA)-aktiverad lagring och klienttrafik. Ett konvergerat nätverkskort minskar kostnaden för varje server i ditt datacenter eftersom det krävs färre nätverkskort för att hantera olika typer av trafik per server.
Paketdirigering ger ett högt nätverkstrafikflöde och infrastruktur för paketbearbetning med låg svarstid.
Switch Embedded Teaming (SET) är en NIC-teamindelningslösning som är integrerad i den Hyper-V virtuella växeln. SET möjliggör teamindelning av upp till åtta fysiska nätverkskort i ett enda SET-team, vilket förbättrar tillgängligheten och ger redundans. I Windows Server 2016 kan du skapa SET-team som är begränsade till att använda SMB (Server Message Block) och RDMA. Du kan också använda SET-team för att distribuera nätverkstrafik för Hyper-V nätverksvirtualisering. Mer information finns i Värdnätverkskrav för Azure Local.
Prestandaförbättringar för TCP
Standardfönstret för initial överbelastning (ICW) har ökat från 4 till 10 och TCP Fast Open (TFO) implementeras. TFO minskar den tid som krävs för att upprätta en TCP-anslutning och den ökade ICW gör att större objekt kan överföras i den första bursten. Den här kombinationen kan avsevärt minska den tid som krävs för att överföra ett Internet-objekt mellan klienten och molnet.
För att förbättra TCP-beteendet vid återställning efter paketförlust implementeras TCP Tail Loss Probe (TLP) och Recent Acknowledgement (RACK). TLP hjälper till att konvertera Retransmit TimeOuts (RTOs) till snabba återhämtningar, och RACK minskar den tid som krävs för snabb återhämtning för att åter sända ett förlorat paket.
DHCP (Dynamic Host Configuration Protocol)
DHCP (Dynamic Host Configuration Protocol) har följande ändringar i Windows Server 2016:
Från och med Windows 10, version 2004, när du kör en Windows-klient och ansluter till Internet med hjälp av en sammanbunden Android-enhet, är anslutningarna nu märkta som uppmätta. Det traditionella klientleverantörsnamnet som visades som MSFT 5.0 på vissa Windows-enheter är nu MSFT 5.0 XBOX.
Från och med Windows 10 version 1803 kan DHCP-klienten nu läsa in och tillämpa alternativ 119, alternativet Domänsökning, från DHCP-servern som systemet ansluter till. Alternativet Domänsökning innehåller även DNS-suffix (Domain Name Services) för DNS-sökningar med korta namn. Mer information finns i RFC 3397.
DHCP stöder nu alternativ 82 (underalternativ 5). Du kan använda det här alternativet för att tillåta DHCP-proxyklienter och relayagenter att begära en IP-adress för ett visst undernät. Om du använder en DHCP Relay-agent som konfigurerats med DHCP-alternativ 82 (underalternativ 5) kan reläagenten begära ett IP-adresslån för DHCP-klienter från ett visst IP-adressintervall. Mer information finns i Alternativ för val av DHCP-undernät.
Nya loggningshändelser för scenarier där DNS-postregistreringar misslyckas på DNS-servern. Mer information finns i DHCP-loggningshändelser för DNS-registreringar.
DHCP Server-rollen stöder inte längre NAP (Network Access Protection). DHCP-servrar tillämpar inte NAP-principer och DHCP-omfång kan inte vara NAP-aktiverade. DHCP-klientdatorer som också är NAP-klienter skickar en hälsoförklaring (SoH) med DHCP-förfrågan. Om DHCP-servern kör Windows Server 2016 bearbetas dessa begäranden som om ingen SoH finns. DHCP-servern beviljar en normal DHCP-leasing till klienten. Om servrar som kör Windows Server 2016 är RADIUS-proxyservrar (Remote Authentication Dial-In User Service) som vidarebefordrar autentiseringsbegäranden till en nätverksprincipserver (NPS) som stöder NAP, utvärderar NPS dessa klienter som icke-NAP-kompatibla, vilket gör att NAP-bearbetningen misslyckas. Mer information om NAP- och NAP-utfasning finns i Funktioner borttagna eller inaktuella i Windows Server 2012 R2.
GRE-tunneltrafik
RAS Gateway har nu stöd för GRE-tunnlar (Generic Routing Encapsulation) med hög tillgänglighet för plats-till-plats-anslutningar och M+N-redundans för gatewayer. GRE är ett lätt tunnelprotokoll som kapslar in en mängd olika nätverksskiktsprotokoll i virtuella punkt-till-punkt-länkar via ett Internetwork för Internet Protocol. Mer information finns i GRE-tunnlar i Windows Server 2016.
IP-adresshantering (IPAM)
IPAM har följande uppdateringar:
Förbättrad IP-adresshantering. IPAM-funktionerna förbättras för scenarier som hantering av IPv4 /32- och IPv6 /128-undernät och att hitta kostnadsfria IP-adressundernät och intervall i ett IP-adressblock.
Nu kan du köra cmdleten
Find-IpamFreeSubnetför att hitta tillgängliga undernät för allokering. Den här funktionen allokerar inte undernäten och rapporterar bara deras tillgänglighet. Du kan dock skicka cmdlet-utdata till cmdletenAdd-IpamSubnetför att skapa ett undernät. Mer information finns i Find-IpamFreeSubnet.Nu kan du köra cmdleten
Find-IpamFreeRangeför att hitta tillgängliga IP-adressintervall inom ett IP-block, prefixlängd och antal begärda undernät. Den här cmdleten allokerar inte IP-adressintervallet, utan rapporterar bara deras tillgänglighet. Du kan dock skicka utdata i cmdletenAddIpamRangeför att skapa intervallet. Mer information finns i Find-IpamFreeRange.Förbättrad DNS-tjänsthantering:
Insamling av DNS-resursposter för icke-DNSSEC DNS-servrar.
Konfigurera egenskaper och åtgärder för alla typer av icke-DNSSEC-resursposter.
DNS-zonhantering för både domänanslutna Active Directory-integrerade och filstödda DNS-servrar. Du kan hantera alla typer av DNS-zoner, inklusive primära, sekundära och stub-zoner.
Utlös uppgifter på sekundära zoner och Stub-zoner oavsett om det är framåt- eller omvända uppslagszoner.
Rollbaserad åtkomstkontroll för DNS-konfigurationer som stöds för poster och zoner.
Villkorsstyrda vidarebefordrare
Integrerad HANTERING av DNS, DHCP och IP-adress (DDI). Nu kan du visa alla DNS-resursposter som är associerade med en IP-adress i IP-adressinventeringen. Du kan också automatiskt behålla pekarposter (PTR) för IP-adresser och hantera IP-adresslivscykler för både DNS- och DHCP-åtgärder.
Stöd för flera Active Directory-skogar. Du kan använda IPAM för att hantera DNS- och DHCP-servrarna i flera Active Directory-skogar när det finns en dubbelriktad förtroenderelation mellan skogen där du installerade IPAM och var och en av fjärrskogarna. Mer information finns i Hantera resurser i flera Active Directory-skogar.
Med funktionen Rensa användningsdata kan du minska IPAM-databasens storlek genom att ta bort gamla IP-användningsdata. Ange bara ett datum och IPAM tar bort alla databasposter som är äldre än eller lika med det datum du angav. Mer information finns i Rensa användningsdata.
Du kan nu använda rollbaserad åtkomstkontroll (RBAC) för att definiera åtkomstomfattningar för IPAM-objekt i PowerShell. Mer information finns i Hantera rollbaserad åtkomstkontroll med Windows PowerShell och IP-adresshantering (IPAM) server-cmdlets i Windows PowerShell.
Mer information finns i Hantera IPAM.
Säkerhet och trygghet
Området Säkerhet och säkerhet innehåller säkerhetslösningar och funktioner som IT-proffsen kan distribuera i ditt datacenter och din molnmiljö. Information om säkerhet i Windows Server 2016 finns i Säkerhet och säkerhet.
JEA (Just Enough Administration)
JEA i Windows Server 2016 är säkerhetsteknik som möjliggör delegerad administration för allt som kan hanteras med Windows PowerShell. Funktionerna omfattar stöd för att köra under en nätverksidentitet, ansluta via PowerShell Direct, kopiera filer på ett säkert sätt till eller från JEA-slutpunkter och konfigurera PowerShell-konsolen så att den startas i en JEA-kontext som standard. Mer information finns i JEA på GitHub.
Credential Guard (skydd för autentiseringsuppgifter)
Credential Guard använder virtualiseringsbaserad säkerhet för att isolera hemligheter så att endast privilegierad systemprogramvara kan komma åt dem. Mer information finns i Skydda härledda domänautentiseringsuppgifter med Credential Guard.
Credential Guard för Windows Server 2016 innehåller följande uppdateringar för inloggade användarsessioner:
Kerberos och New Technology LAN Manager (NTLM) använder virtualiseringsbaserad säkerhet för att skydda Kerberos- och NTLM-hemligheter för inloggade användarsessioner.
Autentiseringshanteraren skyddar sparade domänautentiseringsuppgifter med hjälp av virtualiseringsbaserad säkerhet. Inloggningsuppgifter och sparade domänautentiseringsuppgifter skickas inte till fjärrvärdar med fjärrskrivbord.
Du kan aktivera Credential Guard utan ett UEFI-lås (Unified Extensible Firmware Interface).
Fjärrautentisering Vakt
Credential Guard har stöd för RDP-sessioner så att användarautentiseringsuppgifterna finns kvar på klientsidan och inte exponeras på serversidan. Detta ger även enkel inloggning för fjärrskrivbord. Mer information finns i Skydda härledda domänautentiseringsuppgifter med Windows Defender Credential Guard.
Remote Credential Guard för Windows Server 2016 innehåller följande uppdateringar för inloggade användare:
Remote Credential Guard behåller Kerberos- och NTLM-hemligheter för inloggningsuppgifter på klientenheten. Alla autentiseringsbegäranden från fjärrvärden för utvärdering av nätverksresurser eftersom användaren kräver att klientenheten använder hemligheterna.
Remote Credential Guard skyddar angivna användarautentiseringsuppgifter när du använder Fjärrskrivbord.
Domänskydd
Domänskydd kräver nu en Active Directory-domän.
Stöd för PKInit Freshness-tillägg
Kerberos-klienter försöker nu använda PKInit-nyttighetstillägget för offentliga nyckelbaserade inloggningar.
KDCs stöder nu tillägget PKInit freshness. De erbjuder dock inte tillägget PKInit freshness som standard.
För mer information, se Kerberos-klienten och KDC-stöd för RFC 8070 PKInit-färskhetstillägg.
Rullande offentliga nycklar endast användarens NTLM-hemligheter
Från och med Windows Server 2016-domänens funktionsnivå (DFL) stöder domänkontrollanter nu uppdatering av NTLM-hemligheter för en användare som bara använder offentlig nyckel. Den här funktionen är inte tillgänglig på lägre domänfunktionsnivåer (DFL).
Warning
Att lägga till en domänkontrollant som aktiverats före uppdateringen den 8 november 2016 till en domän som stöder rullande NTLM-hemligheter kan göra att domänkontrollanten kraschar.
För nya domäner är den här funktionen aktiverad som standard. För befintliga domäner måste du konfigurera den i Active Directory Administrationscenter.
I Active Directory Administrationscenter högerklickar du på domänen i den vänstra rutan och väljer Egenskaper. Markera kryssrutan Aktivera rullande NTLM-hemligheter under inloggning för användare som måste använda Windows Hello för företag eller smartkort för interaktiv inloggning. Därefter väljer du OK för att tillämpa den här ändringen.
Tillåta nätverks-NTLM när användaren är begränsad till specifika domänanslutna enheter
Domänkontrollanter kan nu ha stöd för att tillåta nätverks-NTLM när en användare är begränsad till specifika domänanslutna enheter i Windows Server 2016 DFL och senare. Den här funktionen är inte tillgänglig i DFL:er som kör ett tidigare operativsystem än Windows Server 2016.
Om du vill konfigurera den här inställningen går du till autentiseringsprincipen och väljer Tillåt NTLM-nätverksautentisering när användaren är begränsad till valda enheter.
Mer information finns i Autentiseringsprinciper och silor för autentiseringsprinciper.
Device Guard (kodintegritet)
Device Guard tillhandahåller kodintegritet i kernelläge (KMCI) och kodintegritet i användarläge (UMCI) genom att skapa principer som anger vilken kod som kan köras på servern. Se Introduktion till Windows Defender Device Guard: virtualiseringsbaserade säkerhets- och kodintegritetsprinciper.
Windows Defender
Översikt över Windows Defender för Windows Server 2016. Windows Server Anti-malware installeras och aktiveras som standard i Windows Server 2016, men användargränssnittet för Windows Server Anti-malware är inte installerat. Windows Server Anti-malware uppdaterar dock definitioner för skadlig kod och skyddar datorn utan användargränssnittet. Om du behöver användargränssnittet för Windows Server Anti-malware kan du installera det efter os-installationen med hjälp av guiden Lägg till roller och funktioner.
Kontrollera Flow Guard
Control Flow Guard (CFG) är en plattformssäkerhetsfunktion som skapades för att bekämpa sårbarheter för minnesskada. Mer information finns i Kontrollflödesvakt.
Storage
Lagring i Windows Server 2016 innehåller nya funktioner och förbättringar för programvarudefinierad lagring och traditionella filservrar.
Direkta lagringsutrymmen
Storage Spaces Direct gör det möjligt att bygga högt tillgänglig och skalbar lagring med hjälp av servrar med lokal lagring. Det förenklar distributionen och hanteringen av programvarudefinierade lagringssystem och gör att du kan använda nya klasser av diskenheter, till exempel SATA SSD och NVMe-diskenheter, som tidigare inte var tillgängliga med klustrade lagringsutrymmen med delade diskar.
Mer information finns i Storage Spaces Direct.
Lagringsreplika
Storage Replica möjliggör lagringsoberoende, synkron replikering på blocknivå mellan servrar eller kluster för haveriberedskap och gör att du kan sträcka ut ett redundanskluster mellan platser. Synkron replikering möjliggör spegling av data på fysiska platser med kraschkonsekventa volymer för att säkerställa noll dataförlust på filsystemsnivå. Asynkron replikering tillåter platstillägg utöver storstadsområden med möjlighet till dataförlust.
Mer information finns på Storage Replica.
Tjänstkvalitet för lagring (QoS)
Nu kan du använda tjänstkvalitet (QoS) för att centralt övervaka lagringsprestanda från slutpunkt till slutpunkt och skapa hanteringsprinciper med hjälp av Hyper-V- och CSV-kluster i Windows Server 2016.
Mer information finns i Tjänstens lagringskvalitet.
Datadeduplicering
Windows Server 2016 innehåller följande nya funktioner för datadeduplicering.
Stöd för stora volymer
Från och med Windows Server 2016 kan pipelinen för datadedupliceringsjobb nu köra flera trådar parallellt med många I/O-köer för varje volym. Den här ändringen ökar prestandan till nivåer som tidigare endast var möjliga genom att dela upp data i flera mindre volymer. Dessa optimeringar gäller för alla datadedupliceringsjobb, inte bara optimeringsjobbet. Följande diagram visar hur pipelinen ändrades mellan versioner av Windows Server.
På grund av dessa prestandaförbättringar har datadeduplicering på Windows Server 2016 höga prestanda på volymer upp till 64 TB.
Stöd för stora filer
Från och med Windows Server 2016 använder Datadeduplicering strömkartstrukturer och andra förbättringar för att öka optimeringens dataflöde och åtkomstprestanda. Pipelinen för dedupliceringsbearbetning kan också återuppta optimeringen efter redundansscenarier i stället för att börja om från början. Den här ändringen förbättrar prestandan för filer upp till 1 TB, vilket gör det möjligt för administratörer att tillämpa dedupliceringsbesparingar på ett större antal arbetsbelastningar, till exempel stora filer som är associerade med säkerhetskopieringsarbetsbelastningar.
Stöd för Nano Server
Nano Server är ett huvudlöst distributionsalternativ i Windows Server 2016 som kräver ett mycket mindre systemresursfotavtryck, startar snabbare och kräver färre uppdateringar och omstarter än distributionsalternativet Windows Server Core. Nano Server har också fullt stöd för datadeduplicering. Mer information om Nano Server finns i containerbasavbildningar.
Förenklad konfiguration för virtualiserade säkerhetskopieringsprogram
Från och med Windows Server 2016 är scenarier för datadeduplicering för virtualiserade säkerhetskopieringsprogram mycket förenklade. Det här scenariot är nu ett fördefinierat alternativ för användningstyp. Du behöver inte längre justera dedupliceringsinställningarna manuellt, bara aktivera Deduplicering för en volym precis som du skulle göra med General Purpose File Server och Virtual Desktop Infrastructure (VDI).
Stöd för löpande uppgradering av klusteroperativsystem
Windows Server-redundanskluster som kör datadeduplicering kan ha en blandning av noder som kör Windows Server 2012 R2- och Windows Server 2016-versionerna av Datadeduplicering. Den här klusterfunktionen i blandat läge ger fullständig dataåtkomst till alla deduplicerade volymer under löpande klusteruppgraderingar. Nu kan du gradvis distribuera senare versioner av Datadeduplicering i kluster som körs på tidigare versioner av Windows Server utan någon driftstopp.
Nu kan du också använda löpande uppgraderingar på Hyper-V. Med uppgradering av rullande Hyper-V kluster kan du nu lägga till en nod som kör Windows Server 2019 eller Windows Server 2016 i ett Hyper-V kluster med noder som kör Windows Server 2012 R2. När du har lagt till noden som kör den senare versionen av Windows Server kan du uppgradera resten av klustret utan avbrott. Klustret körs på funktionsnivån Windows Server 2012 R2 tills du uppgraderar alla noder i klustret och kör Update-ClusterFunctionalLevel i PowerShell för att uppdatera klusterfunktionsnivån. Mer detaljerade instruktioner för hur den löpande uppgraderingsprocessen fungerar finns i Löpande uppgradering av klusteroperativsystem.
Note
Hyper-V på Windows 10 stöder inte redundansklustring.
SMB-härdningsförbättringar för SYSVOL- och NETLOGON-anslutningar
I Windows 10 och Windows Server 2016 använde klientanslutningar till Active Directory Domain Services SYSVOL- och NETLOGON-resurser på domänkontrollanter som standard. Nu kräver dessa anslutningar SMB-signering och ömsesidig autentisering med hjälp av tjänster som Kerberos. Om SMB-signering och ömsesidig autentisering inte är tillgängliga bearbetar inte en Windows 10- eller Windows Server 2016-dator domänbaserad grupprincip och skript. Den här ändringen skyddar enheter från attacker i mitten.
Note
Registervärdena för de här inställningarna finns inte som standard, men härdningsreglerna gäller fortfarande tills du åsidosätter dem genom att redigera grupprincipen eller andra registervärden.
Mer information om dessa säkerhetsförbättringar finns i MS15-011: Sårbarhet i grupprincip och MS15-011 & MS15-014: Härdning av grupprincip.
Arbetsmappar
Windows Server 2016 har förbättrade ändringsmeddelanden när Work Folders-servern kör Windows Server 2016 och Work Folders-klienten är Windows 10. När filändringar synkroniseras med arbetsmappsservern meddelar servern nu omedelbart Windows 10-klienter och synkroniserar sedan filändringarna.
ReFS
Nästa iteration av ReFS ger stöd för storskaliga lagringsdistributioner med olika arbetsbelastningar, vilket ger tillförlitlighet, återhämtning och skalbarhet för dina data.
ReFS introducerar följande förbättringar:
Nya funktioner på lagringsnivå, vilket ger snabbare prestanda och ökad lagringskapacitet, inklusive:
Flera återhämtningstyper på samma virtuella disk med spegling på prestandanivån och paritet på kapacitetsnivån.
Ökad lyhördhet för rörliga arbetssatser.
Introducerar blockkloning för att förbättra prestandan för VM-åtgärder, till exempel sammanslagning av
.vhdxkontrollpunkter.Ett nytt ReFS-genomsökningsverktyg som kan hjälpa dig att återställa läckt lagring och rädda data från kritiska skador.
Failoverkluster
Windows Server 2016 innehåller många nya funktioner och förbättringar för flera servrar som grupperas i ett enda feltolerant kluster med hjälp av funktionen Redundansklustring.
Löpande uppgradering av klusteroperativsystem
Med löpande uppgradering av klusteroperativsystem kan en administratör uppgradera operativsystemet för klusternoderna från Windows Server 2012 R2 till Windows Server 2016 utan att stoppa arbetsbelastningarna Hyper-V eller Scale-Out File Server. Du kan använda den här funktionen för att undvika avbrottsstraff mot serviceavtal (SLA).
Mer information finns i Löpande uppgradering av klusteroperativsystem.
Molnvittne
Molnvittne är en ny typ av kvorumvittne för redundanskluster i Windows Server 2016 som använder Microsoft Azure som skiljedomsplats. Molnvittnet, liksom alla andra kvorumvittnen, får en röst och kan delta i kvorumberäkningar. Du kan konfigurera molnvittne som kvorumvittne med hjälp av guiden Konfigurera ett klusterkvorum.
Mer information finns i Distribuera ett kvorumvittne.
Återhämtning för virtuella datorer
Windows Server 2016 innehåller ökad återhämtning för beräkning av virtuella datorer (VM) för att minska kommunikationsproblem inom klustret i beräkningsklustret. Den här ökade motståndskraften omfattar följande uppdateringar:
Du kan nu konfigurera följande alternativ för att definiera hur de virtuella datorerna ska bete sig vid tillfälliga fel:
Återhämtningsnivån definierar hur distributionen ska hantera tillfälliga fel.
Återhämtningsperioden definierar hur länge alla virtuella datorer tillåts köra isolerade.
Noder som inte är felfria placeras i karantän och får inte längre ansluta till klustret. Den här funktionen förhindrar att noder som inte är felfria påverkar andra noder och det övergripande klustret negativt.
Mer information om funktioner för beräkningsåterhämtning finns i Virtual Machine Compute Resiliency in Windows Server 2016 ( Virtual Machine Compute Resiliency in Windows Server 2016).
Virtuella Windows Server 2016-datorer innehåller även nya funktioner för lagringsåterhämtning för hantering av tillfälliga lagringsfel. Förbättrad motståndskraft hjälper till att bevara hyresgästernas VM-sessionstillstånd vid ett lagringsavbrott. När en virtuell dator kopplas från den underliggande lagringen, stoppar den och väntar på att lagringen ska återställas. När den virtuella datorn har pausats behåller den kontexten för program som kördes i den vid tidpunkten för lagringsfelet. När anslutningen mellan den virtuella datorn och lagringen återställs återgår den virtuella datorn till sitt körtillstånd. Därför behålls klientdatorns sessionstillstånd vid återställning.
De nya funktionerna för lagringsåterhämtning gäller även för gästkluster.
Diagnostikförbättringar
Windows Server 2016 innehåller följande för att diagnostisera problem med redundanskluster:
Flera förbättringar av klusterloggfiler, till exempel tidszonsinformation och DiagnosticVerbose-logg, gör det enklare att felsöka redundansklusterproblem. Mer information finns i Windows Server 2016 Failover Cluster Troubleshooting Enhancements – Cluster Log (Windows Server 2016 Failover Cluster Troubleshooting Enhancements – Cluster Log).
En ny typ av aktiv minnesdump filtrerar bort de flesta minnessidor som allokerats till virtuella datorer, vilket gör memory.dmp-filen mindre och enklare att spara eller kopiera. Mer information finns i Windows Server 2016 Failover Cluster Troubleshooting Enhancements – Active Dump.
Platsmedvetna redundanskluster
Windows Server 2016 innehåller platsmedvetna redundanskluster som aktiverar gruppnoder i stretchkluster baserat på deras fysiska plats eller plats. Klusterplatsmedvetenhet förbättrar viktiga åtgärder under klusterlivscykeln, till exempel redundansbeteende, placeringsprinciper, pulsslag mellan noderna och kvorumbeteende. Mer information finns i Platsmedvetna redundanskluster i Windows Server 2016.
Arbetsgrupper och kluster med flera domäner
I Windows Server 2012 R2 och tidigare kan ett kluster bara skapas mellan medlemsnoder som är anslutna till samma domän. Windows Server 2016 delar upp dessa hinder och introducerar möjligheten att skapa ett redundanskluster utan Active Directory-beroenden. Nu kan du skapa redundanskluster i följande konfigurationer:
Kluster med en domän, som har alla sina noder anslutna till samma domän.
Kluster med flera domäner, som har noder som är medlemmar i olika domäner.
Arbetsgruppskluster, som har noder som är medlemsservrar eller arbetsgrupper som inte är domänanslutna.
Mer information finns i Arbetsgrupper och kluster med flera domäner i Windows Server 2016
Belastningsutjämning för virtuell dator
Belastningsutjämning för virtuella datorer är en ny funktion i redundansklustring som sömlöst belastningsutjämningar virtuella datorer mellan noderna i ett kluster. Funktionen identifierar överbelastade noder baserat på minne för virtuella maskiner och CPU-användning på noden. Den direktmigrerar sedan de virtuella datorerna från den överkompenserade noden till noder med tillgänglig bandbredd. Du kan justera hur aggressivt funktionen balanserar noder för att säkerställa optimala klusterprestanda och -användning. Belastningsutjämning är aktiverat som standard i Windows Server 2016 Technical Preview. Belastningsutjämning inaktiveras dock när dynamisk SCVMM-optimering är aktiverat.
Startordning för virtuell dator
Startordning för virtuell dator är en ny funktion i redundansklustring som introducerar startordningsorkestrering för virtuella datorer och andra grupper i ett kluster. Nu kan du gruppera virtuella datorer i nivåer och sedan skapa beroenden för startordning mellan olika nivåer. Dessa beroenden säkerställer att de viktigaste virtuella datorerna, till exempel domänkontrollanter eller virtuella verktygsdatorer, startar först. Virtuella datorer på lägre prioritetsnivåer startar inte förrän de virtuella datorer som de är beroende av har startat.
Förenklade SMB Multichannel- och Multi-NIC-klusternätverk
Redundansklusternätverk är inte längre begränsade till ett enda nätverkskort (NIC) per undernät eller nätverk. Med SMB (Simplified Server Message Block) Multichannel och Multi-NIC Cluster Networks är nätverkskonfigurationen automatisk och varje nätverkskort i undernätet kan användas för kluster- och arbetsbelastningstrafik. Med den här förbättringen kan kunderna maximera nätverkets dataflöde för Hyper-V, SQL Server-redundansklusterinstans och andra SMB-arbetsbelastningar.
Mer information finns i Förenklade SMB Multichannel- och Multi-NIC-klusternätverk.
Programutveckling
Internet Information Services (IIS) 10.0
Nya funktioner som tillhandahålls av IIS 10.0-webbservern i Windows Server 2016 är:
- Stöd för HTTP/2-protokollet i nätverksstacken och integrerat med IIS 10.0, vilket gör att IIS 10.0-webbplatser automatiskt kan hantera HTTP/2-begäranden för konfigurationer som stöds. Detta möjliggör många förbättringar jämfört med HTTP/1.1, till exempel effektivare återanvändning av anslutningar och minskad svarstid, vilket förbättrar inläsningstiderna för webbsidor.
- Möjlighet att köra och hantera IIS 10.0 i Nano Server. Se IIS på Nano Server.
- Stöd för wildcard-värdhuvuden, vilket gör det möjligt för administratörer att konfigurera en webbserver för en domän och sedan låta webbservern hantera begäranden för alla underdomäner.
- En ny PowerShell-modul (IISAdministration) för hantering av IIS.
Mer information finns i IIS.
Koordinator för distribuerad transaktion (MSDTC)
Tre nya funktioner läggs till i Microsoft Windows 10 och Windows Server 2016:
Ett nytt gränssnitt för Resource Manager Rejoin kan användas av en resurshanterare för att fastställa resultatet av en osäker transaktion efter att en databas har startats om på grund av ett fel. Mer information finns i IResourceManagerRejoinable::Rejoin .
DSN-namngränsen är förstorad från 256 byte till 3 072 byte. Mer information finns i IDtcToXaHelperFactory::Create, IDtcToXaHelperSinglePipe::XARMCreate eller IDtcToXaMapper::RequestNewResourceManager .
Förbättrad spårning gör att du kan ange en registernyckel för att inkludera en sökväg för avbildningsfiler i Tracelog-filnamnet så att du kan se vilken Tracelog-fil som ska kontrolleras. Mer information om hur du konfigurerar spårning för MSDTC finns i Aktivera diagnostisk spårning för MS DTC på en Windows-baserad dator .
DNS-server
Windows Server 2016 innehåller följande uppdateringar för DNS-servern (Domain Name System).
DNS-principer
Du kan konfigurera DNS-principer för att ange hur en DNS-server svarar på DNS-frågor. Du kan konfigurera DNS-svar baserat på klientens IP-adress, tid på dagen och flera andra parametrar. DNS-principer kan aktivera platsmedveten DNS, trafikhantering, belastningsutjämning, split-brain DNS och andra scenarier. Mer information finns i scenarioguiden för DNS-principer.
RRL
Du kan aktivera RRL (Response Rate Limiting) på dina DNS-servrar för att förhindra att skadliga system använder DNS-servrar för att initiera en DDoS-attack (Distributed Denial of Service) på en DNS-klient. RRL förhindrar att DNS-servern svarar på för många begäranden samtidigt, vilket skyddar den under scenarier när ett botnät skickar flera begäranden samtidigt för att försöka störa serveråtgärder.
DANE-stöd
Du kan använda DNS-baserad autentisering av stöd för namngivna entiteter (DANE) (RFC 6394 och RFC 6698) för att ange vilken certifikatutfärdare som DNS-klienterna ska förvänta sig certifikat från för domännamn som finns på DNS-servern. Detta förhindrar en form av man-in-the-middle-attack där en illvillig aktör skadar en DNS-cache och pekar ett DNS-namn på sin egen IP-adress.
Stöd för okänd postering
Du kan lägga till poster som DNS-servern inte uttryckligen stöder med hjälp av funktionen för okända poster. En post är okänd när DNS-servern inte känner igen RDATA-formatet. Windows Server 2016 stöder okända posttyper (RFC 3597), så att du kan lägga till okända poster i Windows DNS-serverzoner i binärt on-wire-format. Windows cachelösning kan redan bearbeta okända rekordtyper. Windows DNS-servern utför inte postspecifik bearbetning för okända poster, men kan skicka dem som svar på frågor som den tar emot.
Rottips för IPv6
Windows DNS-servern innehåller nu IPv6-rottips som publicerats av IANA (Internet Assigned Numbers Authority). Med stöd för IPv6-rottips kan du skapa internetfrågor som använder IPv6-rotservrarna för att utföra namnmatchningar.
Stöd för Windows PowerShell
Windows Server 2016 innehåller nya kommandon som du kan använda för att konfigurera DNS i PowerShell. Mer information finns i Modulen Windows Server 2016 DnsServer och Windows Server 2016 DnsClient.
Nano Server-stöd för filbaserad DNS
Du kan distribuera DNS-servrar i Windows Server 2016 på en Nano Server-avbildning. Det här distributionsalternativet är tillgängligt om du använder filbaserad DNS. Genom att köra DNS-servern på en Nano Server-avbildning kan du köra dina DNS-servrar med minskat fotavtryck, snabbstart och minimal korrigering.
Note
Active Directory-integrerad DNS stöds inte på Nano Server.
DNS-klient
DNS-klienttjänsten erbjuder nu förbättrat stöd för datorer med fler än ett nätverksgränssnitt.
Datorer med flera nätverksgränssnitt kan också använda DNS-klienttjänstbindning för att förbättra serverupplösningen.
När du använder en DNS-server som konfigurerats i ett specifikt gränssnitt för att lösa en DNS-fråga binder DNS-klienten till gränssnittet innan frågan skickas. Med den här bindningen kan DNS-klienten ange det gränssnitt där namnmatchning ska ske, vilket optimerar kommunikationen mellan program och DNS-klienten via nätverksgränssnittet.
Om DNS-servern som du använder har angetts av en grupprincipinställning från NRPT (Name Resolution Policy Table) binder DNS-klienttjänsten inte till det angivna gränssnittet.
Note
Ändringar i DNS-klienttjänsten i Windows 10 finns också på datorer som kör Windows Server 2016 och senare.
Fjärrskrivbordstjänster
Fjärrskrivbordstjänster (RDS) gjorde följande ändringar för Windows Server 2016.
Appkompatibilitet
RDS och Windows Server 2016 är kompatibla med många Windows 10-program, vilket skapar en användarupplevelse som nästan är identisk med ett fysiskt skrivbord.
Azure SQL Database
Anslutningsmäklare för fjärrskrivbord (RD) kan nu lagra all distributionsinformation, såsom anslutningstillstånd och användarvärdmappningar, i en delad Azure SQL-databas. Med den här funktionen kan du använda en miljö med hög tillgänglighet utan att behöva använda en SQL Server AlwaysOn-tillgänglighetsgrupp. Mer information finns i Använda Azure SQL DB för din anslutningsutjämnare för fjärrskrivbord i en miljö med hög tillgänglighet.
Grafiska förbättringar
Med diskret enhetstilldelning för Hyper-V kan du mappa grafikprocessorer (GPU:er) på en värddator direkt till en virtuell dator (VM). Alla program på den virtuella datorn som behöver fler GPU:er än den virtuella datorn kan tillhandahålla kan använda den mappade GPU:n i stället. Vi har även förbättrat RemoteFX vGPU, inklusive stöd för virtuella Datorer med OpenGL 4.4, OpenCL 1.1, 4K och Windows Server. Mer information finns i Diskret enhetstilldelning.
Förbättringar av anslutningsmäklare för fjärrskrivbord
Vi har förbättrat hur RD-anslutningsmäklaren hanterar anslutningar under inloggningsstormar, vilket är perioder med många inloggningsbegäranden från användare. RD-anslutningsmäklare kan nu hantera över 10 000 samtidiga inloggningsbegäranden! Underhållsförbättringar gör det också enklare för dig att utföra underhåll på distributionen genom att snabbt kunna lägga till servrar i miljön igen när de är redo att gå tillbaka online. För mer information, se Förbättrad prestanda för fjärrskrivbordets anslutningsmäklare.
RDP 10-protokolländringar
RDP 10 (Remote Desktop Protocol) 10 använder nu H.264/AVC 444 codec, som optimerar både video och text. Den här versionen innehåller även stöd för penna fjärrstyrning. Med de här nya funktionerna kan fjärrsessionen kännas mer som en lokal session. Mer information finns i RDP 10 AVC/H.264-förbättringar i Windows 10 och Windows Server 2016.
Personliga sessionsskrivbord
Personliga sessionsskrivbord är en ny funktion som gör att du kan vara värd för ditt eget personliga skrivbord i molnet. Administrativa privilegier och dedikerade sessionsvärdar tar bort komplexiteten i värdmiljöer där användare vill hantera ett fjärrskrivbord som ett lokalt skrivbord. Mer information finns i Personliga sessionsskrivbord.
Kerberos-autentisering
Windows Server 2016 innehåller följande uppdateringar för Kerberos-autentisering.
KDC-stöd för offentlig nyckelförtroendebaserad klientautentisering
Nyckeldistributionscenter (KDCs) stöder nu mappning av offentliga nycklar. Om du etablerar en offentlig nyckel för ett konto har KDC uttryckligen stöd för Kerberos PKInit med hjälp av den nyckeln. Eftersom det inte finns någon certifikatverifiering stöder Kerberos självsignerade certifikat men stöder inte autentiseringsmekanismssäkring.
Konton som du har konfigurerat för att använda Nyckelförtroende använder endast nyckelförtroende oavsett hur du konfigurerade inställningen UseSubjectAltName.
Kerberos-klient- och KDC-stöd för RFC 8070 PKInit Freshness Extension
Från och med Windows 10, version 1607 och Windows Server 2016 kan Kerberos-klienter använda RFC 8070 PKInit-nyttighetstillägget för offentliga nyckelbaserade inloggningar. KDCs har PKInit freshness-tillägget inaktiverat som standard, så om du vill aktivera det måste du konfigurera KDC-stödet för PKInit Freshness Extension KDC administrativa mallprinciper på alla domänkontrollanter i domänen.
Principen har följande inställningar tillgängliga när domänen finns på windows Server 2016-domänens funktionsnivå (DFL):
- Inaktiverad: KDC erbjuder aldrig PKInit Freshness-tillägget och accepterar giltiga autentiseringsbegäranden utan att kontrollera om det är nytt. Användarna får inte den nya offentliga nyckelidentiteten SID.
- Stöds: Kerberos stöder PKInit Freshness Extension vid begäran. Kerberos-klienter som autentiserar med PKInit Freshness-tillägget får den nya offentliga nyckelidentiteten SID.
- Krävs: PKInit Freshness Extension krävs för lyckad autentisering. Kerberos-klienter som inte stöder PKInit Freshness-tillägget misslyckas alltid när autentiseringsuppgifter för offentlig nyckel används.
Stöd för domänanslutna enheter för autentisering med offentlig nyckel
Om en domänansluten enhet kan registrera sin bundna offentliga nyckel med en Domänkontrollant för Windows Server 2016 (DC) kan enheten autentisera med den offentliga nyckeln med Kerberos PKInit-autentisering till en Windows Server 2016 DC.
Domänanslutna enheter med bundna offentliga nycklar registrerade med en Windows Server 2016-domänkontrollant kan nu autentisera till en Windows Server 2016-domänkontrollant med hjälp av Kerberos Public Key Cryptography for Initial Authentication (PKInit) protokoll. Mer information finns i Domänansluten offentlig nyckelautentisering för enhet.
Nyckeldistributionscenter (KDCs) stöder nu autentisering med hjälp av Kerberos-nyckelförtroende.
Mer information finns i KDC-stöd för nyckelförtroendekontomappning.
Kerberos-klienter tillåter IPv4- och IPv6-adressvärdnamn i tjänsthuvudnamn (SPN)
Från och med Windows 10 version 1507 och Windows Server 2016 kan du konfigurera Kerberos-klienter för att stödja IPv4- och IPv6-värdnamn i SPN. Mer information finns i Konfigurera Kerberos för IP-adresser.
För att konfigurera stöd för värdnamn med IP-adresser i SPN, gör så här: Skapa en TryIPSPN-post. Den här posten finns inte i registret som standard. Du bör placera det här objektet på följande sökväg:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
När du har skapat posten ändrar du DWORD-värdet till 1. Om det här värdet inte har konfigurerats försöker Kerberos inte använda IP-adresser som värdnamn.
Kerberos-autentiseringen lyckas bara om SPN är registrerat i Active Directory.
KDC-stöd för nyckelförtroendekontomappning
Domänkontrollanter stöder nu Key Trust-kontomappning och återgång till befintliga AltSecID- och UPN i SAN-beteendet. Du kan konfigurera variabeln UseSubjectAltName till följande inställningar:
Om variabeln anges till 0 krävs explicit mappning. Användarna måste använda antingen ett nyckelförtroende eller ange en ExplicitAltSecID-variabel.
Om variabeln anges till 1, vilket är standardvärdet, tillåts implicit mappning.
Om du konfigurerar ett nyckelförtroende för ett konto i Windows Server 2016 eller senare använder KDC KeyTrust för mappning.
Om det inte finns något UPN i SAN försöker KDC använda AltSecID för mappning.
Om det finns ett UPN i SAN försöker KDC använda UPN för mappning.
Active Directory Federation Services (AD FS)
AD FS för Windows Server 2016 innehåller följande uppdateringar.
Logga in med Microsoft Entra multifaktorautentisering
AD FS 2016 bygger på funktionerna för multifaktorautentisering (MFA) i AD FS i Windows Server 2012 R2. Nu kan du tillåta inloggning som bara kräver en Microsoft Entra multifaktorautentiseringskod i stället för ett användarnamn eller lösenord.
När du konfigurerar Microsoft Entra multifaktorautentisering som den primära autentiseringsmetoden uppmanar AD FS användaren att ange användarnamnet och engångslösenordkoden (OTP) från Azure Authenticator-appen.
När du konfigurerar Microsoft Entra multifaktorautentisering som sekundär eller extra autentiseringsmetod tillhandahåller användaren primära autentiseringsuppgifter. Användare kan logga in med windowsintegrerad autentisering, som kan begära användarnamn och lösenord, smartkort eller ett användar- eller enhetscertifikat. Därefter ser användaren en uppmaning om sina sekundära autentiseringsuppgifter, till exempel text, röst eller OTP-baserad inloggning med Microsoft Entra-multifaktorautentisering.
Det nya inbyggda Multifaktorautentiseringskortet för Microsoft Entra erbjuder enklare installation och konfiguration för Microsoft Entra multifaktorautentisering med AD FS.
Organisationer kan använda Microsoft Entra multifaktorautentisering utan att behöva en lokal Microsoft Entra multifaktorautentiseringsserver.
Du kan konfigurera Microsoft Entra multifaktorautentisering för intranät, extranät eller som en del av en åtkomstkontrollprincip.
Mer information om Microsoft Entra multifaktorautentisering med AD FS finns i Konfigurera AD FS 2016 och Microsoft Entra multifaktorautentisering.
Lösenordsfri åtkomst från kompatibla enheter
AD FS 2016 bygger på tidigare enhetsregistreringsfunktioner för att aktivera inloggning och åtkomstkontroll på enheter baserat på deras efterlevnadsstatus. Användare kan logga in med enhetens autentiseringsuppgifter och AD FS omvärderar efterlevnaden när enhetsattributen ändras för att säkerställa att principer tillämpas. Den här funktionen aktiverar följande principer:
Aktivera endast åtkomst från enheter som hanteras och/eller är kompatibla.
Aktivera extranätsåtkomst endast från enheter som hanteras och/eller är kompatibla.
Kräv multifaktorautentisering för datorer som inte hanteras eller är kompatibla.
AD FS tillhandahåller den lokala komponenten i principer för villkorsstyrd åtkomst i ett hybridscenario. När du registrerar enheter med Azure AD för villkorlig åtkomst till molnresurser kan du också använda enhetsidentiteten för AD FS-principer.
Mer information om hur du använder enhetsbaserad villkorlig åtkomst i molnet finns i Villkorsstyrd åtkomst i Azure Active Directory.
Mer information om hur du använder enhetsbaserad villkorlig åtkomst med AD FS finns i Planera för enhetsbaserad villkorlig åtkomst med AD FS och principer för åtkomstkontroll i AD FS.
Logga in med Windows Hello för företag
Windows 10-enheter introducerar Windows Hello och Windows Hello för företag och ersätter användarlösenord med starka enhetsbundna användarautentiseringsuppgifter som skyddas av en användares gest, till exempel att ange en PIN-kod, en biometrisk gest som ett fingeravtryck eller ansiktsigenkänning. Med Windows Hello kan användare logga in på AD FS-program från ett intranät eller extranät utan att behöva ett lösenord.
Mer information om hur du använder Windows Hello för företag i din organisation finns i Aktivera Windows Hello för företag i din organisation.
Modern autentisering
AD FS 2016 stöder de senaste moderna protokollen som ger en bättre användarupplevelse för Windows 10 och de senaste iOS- och Android-enheterna och apparna.
Mer information finns i AD FS-scenarier för utvecklare.
Konfigurera principer för åtkomstkontroll utan att behöva känna till språk för anspråksregler
Tidigare var AD FS-administratörer tvungna att konfigurera principer med hjälp av AD FS-anspråksregelspråket, vilket gjorde det svårt att konfigurera och underhålla principer. Med principer för åtkomstkontroll kan administratörer använda inbyggda mallar för att tillämpa vanliga principer. Du kan till exempel använda mallar för att tillämpa följande principer:
Tillåt endast intranätåtkomst.
Tillåt alla och kräv MFA från extranätet.
Tillåt alla och kräva MFA från en specifik grupp.
Mallarna är enkla att anpassa. Du kan tillämpa extra undantag eller principregler, och du kan tillämpa dessa ändringar på ett eller flera program för konsekvent principframtvingande.
Mer information finns i Åtkomstkontrollprinciper i AD FS.
Aktivera inloggning med icke-AD LDAP-kataloger
Många organisationer kombinerar Active Directory med kataloger från tredje part. AD FS-stöd för autentisering av användare som lagras i Lightweight Directory Access Protocol (LDAP) v3-kompatibla kataloger innebär att du nu kan använda AD FS i följande scenarier:
Användare som finns i tredjepart, LDAP v3-kompatibla kataloger.
Användare i Active Directory-skogar som inte har ett konfigurerat tvåvägsförtroende för Active Directory.
Användare i Active Directory Lightweight Directory Services (AD LDS).
Mer information finns i Konfigurera AD FS för att autentisera användare som lagras i LDAP-kataloger.
Anpassa inloggningsupplevelsen för AD FS-program
Tidigare tillhandahöll AD FS i Windows Server 2012 R2 en gemensam inloggningsupplevelse för alla förlitande partsprogram, med möjlighet att anpassa en delmängd textbaserat innehåll per program. Med Windows Server 2016 kan du anpassa inte bara meddelandena, utan även bilder, logotyper och webbtema per program. Dessutom kan du skapa nya anpassade webbteman och tillämpa dessa teman per förlitande part.
Mer information finns i Anpassning av AD FS-användares inloggning.
Effektiviserad granskning för enklare administrativ hantering
I tidigare versioner av AD FS kan en enda begäran generera många granskningshändelser. Relevant information om inloggnings- eller tokenutfärdandeaktiviteter saknades ofta eller spreds över flera granskningshändelser, vilket gjorde problem svårare att diagnostisera. Därför stängdes granskningshändelser av som standard. Men i AD FS 2016 är granskningsprocessen mer effektiv och relevant information enklare att hitta. För mer information, se Revisionsförbättringar av AD FS i Windows Server 2016.
Förbättrad samverkan med SAML 2.0 för deltagande i konfederationer
AD FS 2016 innehåller mer STÖD för SAML-protokoll, inklusive stöd för import av förtroenden baserat på metadata som innehåller flera entiteter. Med den här ändringen kan du konfigurera AD FS för att delta i konfederationer som InCommon Federation och andra implementeringar som överensstämmer med eGov 2.0-standarden.
Mer information finns i Förbättrad samverkan med SAML 2.0.
Förenklad lösenordshantering för federerade Microsoft 365-användare
Du kan konfigurera AD FS för att skicka påståenden om lösenordets utgångsdatum till betrodda parter eller applikationer som den skyddar. Hur dessa anspråk visas varierar mellan program. Med Office 365 som förlitande part implementeras till exempel uppdateringar i Exchange och Outlook för att meddela federerade användare om deras lösenord som snartto-behar upphört att gälla.
Mer information finns i Konfigurera AD FS för att skicka anspråk för lösenords giltighetstid.
Det är enklare att flytta från AD FS i Windows Server 2012 R2 till AD FS i Windows Server 2016
Tidigare krävde migrering till en ny version av AD FS att konfigurationsinställningarna exporteras från Windows Server-servergruppen till en ny, parallell servergrupp. AD FS på Windows Server 2016 gör processen enklare genom att ta bort kravet på att ha en parallell servergrupp. När du lägger till en Windows Server 2016-server i en Windows Server 2012 R2-servergrupp fungerar den nya servern precis som en Windows Server 2012 R2-server. När du är redo att uppgradera och du har tagit bort de äldre servrarna kan du ändra driftnivån till Windows Server 2016. Mer information finns i Uppgradera till AD FS i Windows Server 2016.