Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve alguns dos novos recursos do Windows Server 2016 que são os que provavelmente terão maior impacto enquanto você trabalha com esta versão.
Computação
A área de Virtualização inclui produtos e recursos de virtualização para o profissional de TI projetar, implantar e manter o Windows Server.
General
As máquinas físicas e virtuais beneficiam-se de uma maior precisão temporal devido a melhorias nos Serviços de Sincronização de Tempo do Win32 e de Hyper-V. O Windows Server agora pode hospedar serviços compatíveis com regulamentações futuras que exigem uma precisão de 1ms em relação ao UTC.
Hyper-V
Hyper-V virtualização de rede (HNV) é um bloco de construção fundamental da solução atualizada de Rede Definida por Software (SDN) da Microsoft e está totalmente integrada na pilha SDN. O Windows Server 2016 inclui as seguintes alterações para o Hyper-V:
Windows Server 2016 agora inclui um comutador Hyper-V programável. O controlador de rede da Microsoft envia as políticas de HNV para um Host Agent em execução em cada host usando o Open vSwitch Database Management Protocol (OVSDB) como a SouthBound Interface (SBI). O Host Agent armazena essa política usando uma personalização do esquema VTEP e programa regras de fluxo complexas em um mecanismo de fluxo de desempenho no switch Hyper-V. O mecanismo de fluxo no switch Hyper-V é o mesmo que o Azure usa. Todo o empilhamento de SDN por meio do Controlador de Rede e do provedor de Recursos de Rede também é consistente com o Azure, tornando seu desempenho comparável à nuvem pública do Azure. Dentro do mecanismo de fluxo da Microsoft, o switch Hyper-V está preparado para gerir regras de fluxo, tanto sem estado como com estado, através de um simples mecanismo de correspondência que define como os pacotes devem ser processados no switch.
A HNV agora suporta o encapsulamento do protocolo VXLAN (Virtual eXtensible Local Area Network). A HNV usa o protocolo VXLAN no modo de distribuição MAC através do Microsoft Network Controller para mapear endereços IP de rede excessiva do locatário para os endereços IP de rede subjacentes físicas. Os NVGRE e VXLAN Task Offloads suportam drivers de terceiros para melhorar o desempenho.
O Windows Server 2016 inclui um balanceador de carga de software (SLB) com suporte total para tráfego de rede virtual e interação perfeita com HNV. O motor de fluxo de alto desempenho implementa o SLB no plano de dados do v-Switch e, em seguida, o controler de rede o gere para mapeamentos de IP Virtual (VIP) ou IP Dinâmico (DIP).
A HNV implementa cabeçalhos Ethernet L2 corretos para garantir a interoperabilidade com dispositivos virtuais e físicos de terceiros que dependem de protocolos padrão do setor. A Microsoft garante que todos os pacotes transmitidos tenham valores compatíveis em todos os campos para garantir a interoperabilidade. A HNV requer suporte para Jumbo Frames (MTU > 1780) na rede física L2 para levar em conta a sobrecarga de pacotes introduzida por protocolos de encapsulamento, como NVGRE e VXLAN. O suporte a Jumbo Frame garante que as Máquinas Virtuais de hóspedes ligadas a uma Rede Virtual HNV mantenham uma MTU de 1514.
O suporte a contêineres do Windows adiciona melhorias de desempenho, gerenciamento de rede simplificado e suporte para contêineres do Windows no Windows 10. Para obter mais informações, consulte a nossa Documentação do Windows Containers e Contêineres: Docker, Windows e Tendências.
Hyper-V agora é compatível com o Modo de Espera Conectado. Ao instalar a função Hyper-V em um computador que usa o modelo de energia Always On/Always Connected (AOAC), agora você pode configurá-la para usar o estado de energia do Modo de Espera Conectado.
A atribuição discreta de dispositivos permite dar a uma máquina virtual (VM) acesso direto e exclusivo a determinados dispositivos de hardware PCIe. Este recurso ignora a pilha de virtualização Hyper-V, o que resulta em acesso mais rápido ao sistema. Para obter mais informações, consulte Atribuição de dispositivo discreto e Atribuição de dispositivo discreto - Descrição e plano de fundo.
Hyper-V agora oferece suporte à criptografia de unidade BitLocker para discos do sistema operacional (SO) em VMs de geração 1. Esse método de proteção substitui os TPMs (Trusted Platform Modules) virtuais, que só estão disponíveis em VMs de 2ª geração. Para descriptografar o disco e iniciar a VM, o host Hyper-V deve fazer parte de uma malha protegida autorizada ou ter a chave privada de um dos guardiões da VM. O armazenamento de chaves requer uma VM versão 8. Para obter mais informações, consulte Atualizar a versão da máquina virtual no Hyper-V no Windows ou no Windows Server.
A proteção de recursos do host impede que as VMs usem muitos recursos do sistema, rastreando níveis excessivos de atividade. Quando o monitoramento deteta um nível de atividade anormalmente alto em uma VM, ele limita a quantidade de recursos que a VM consome. Você pode habilitar esse recurso executando o cmdlet Set-VMProcessor no PowerShell.
Agora pode usar hot add ou remove para adicionar ou remover adaptadores de rede enquanto a VM está a funcionar sem interrupção em VMs de geração 2 com sistemas operacionais Linux ou Windows em execução. Você também pode ajustar a quantidade de memória atribuída a uma VM enquanto ela está em execução, mesmo que a Memória Dinâmica não esteja habilitada em VMs de geração 1 e 2 que executam o Windows Server 2016 e posterior ou o Windows 10 e posterior.
Hyper-V Manager agora suporta os seguintes recursos:
Credenciais alternativas, que permitem que você use um conjunto diferente de credenciais no Hyper-V Manager ao se conectar a outro host remoto do Windows Server 2016 ou Windows 10. Você também pode salvar essas credenciais para facilitar o login.
Agora você pode gerenciar Hyper-V em computadores que executam o Windows Server 2012 R2, Windows Server 2012, Windows 8.1 e Windows 8.
Hyper-V Manager agora se comunica com hosts Hyper-V remotos usando o protocolo WS-MAN, que permite a autenticação CredSSP, Kerberos e NTLM. Ao usar o CredSSP para se conectar a um host de Hyper-V remoto, você pode executar uma migração ao vivo sem habilitar a delegação restrita no Ative Directory. WS-MAN também facilita a habilitação de hosts para gerenciamento remoto. WS-MAN se conecta pela porta 80, que está aberta por padrão.
As atualizações dos serviços de integração para convidados do Windows agora são distribuídas por meio do Windows Update. Os provedores de serviços e os hosts de nuvem privada podem dar aos locatários que possuem as VMs controle sobre a aplicação de atualizações. Os locatários do Windows agora podem atualizar suas VMs com todas as atualizações mais recentes por meio de um único método. Para obter mais informações sobre como os locatários do Linux podem usar os serviços de integração, consulte Máquinas virtuais Linux e FreeBSD suportadas para Hyper-V no Windows Server e no Windows.
Important
Hyper-V para Windows Server 2016 não inclui mais o arquivo de imagem vmguest.iso porque ele não é mais necessário.
Os sistemas operacionais Linux executados em VMs de 2ª geração agora podem inicializar com a opção de Inicialização Segura habilitada. Os sistemas operacionais que suportam a Inicialização Segura em hosts Windows Server 2016 incluem Ubuntu 14.04 e posterior, SUSE Linux Enterprise Server 12 e posterior, Red Hat Enterprise Linux 7.0 e posterior e CentOS 7.0 e posterior. Antes de inicializar a VM pela primeira vez, você deve configurá-la para usar a Autoridade de Certificação UEFI da Microsoft no Hyper-V Manager, no Virtual Machine Manager ou executando o cmdlet Set-VMFirmware no PowerShell.
VMs de 2ª geração e hosts Hyper-V agora podem usar mais memória e processadores virtuais. Você também pode configurar hosts com mais memória e processadores virtuais do que as versões anteriores. Essas alterações suportam cenários como a execução de grandes bancos de dados na memória para processamento de transações on-line (OLTP) e armazenamento de dados (DW) para comércio eletrônico. Para obter mais informações, consulte Windows Server 2016 Hyper-V desempenho de VM em grande escala para processamento de transações na memória. Para obter mais informações sobre a compatibilidade de versões e as configurações máximas suportadas, consulte Atualizar a versão da máquina virtual em Hyper-V no Windows ou no Windows Server e Planejar a escalabilidade Hyper-V no Windows Server.
O recurso de virtualização aninhada permite usar uma VM como host Hyper-V e criar VMs dentro do host virtualizado. Você pode usar esse recurso para criar ambientes de desenvolvimento e teste executando pelo menos o Windows Server 2016 ou o Windows 10 com um processador compatível com Intel VT-x. Para obter mais informações, consulte O que é virtualização aninhada?.
Agora você pode configurar pontos de verificação de produção para cumprir as políticas de suporte para VMs que executam cargas de trabalho de produção. Esses pontos de verificação funcionam com tecnologia de backup dentro do dispositivo convidado em vez de um estado guardado. As VMs do Windows usam o VSS (Serviço de Instantâneo de Volume), enquanto as VMs do Linux liberam os buffers do sistema de arquivos para criar pontos de verificação consistentes com o sistema de arquivos. Ainda pode utilizar pontos de verificação baseados em estados de salvamento usando, em vez disso, pontos de verificação padrão. Para obter mais informações, consulte Escolher entre pontos de verificação padrão ou de produção no Hyper-V.
Important
Novas VMs usam pontos de verificação de produção como padrão.
Agora pode redimensionar discos rígidos virtuais partilhados (arquivos
.vhdx) para clusterização de convidados sem interrupção. Você também pode usar clusters de convidados para proteger discos rígidos virtuais compartilhados usando o Hyper-V Réplica para recuperação de desastres. Você só pode usar esse recurso em coleções em um cluster convidado que tenha habilitado a replicação por meio do WMI (Instrumentação de Gerenciamento do Windows). Para obter mais informações, consulte Msvm_CollectionReplicationService classe e Visão geral do compartilhamento de disco rígido virtual.Note
O gerenciamento da replicação de uma coleção não é possível por meio de cmdlets do PowerShell ou usando a interface WMI.
Ao fazer backup de uma única máquina virtual, não recomendamos o uso de um grupo de VM ou coleção de instantâneos, independentemente de o host estar clusterizado ou não. Essas opções destinam-se para o backup de clusters de convidados que usam um vhdx partilhado. Em vez disso, recomendamos tirar um instantâneo usando o Hyper-V WMI provider (V2).
Agora você pode criar VMs Hyper-V blindadas que incluem recursos para impedir que administradores de Hyper-V no host ou malware inspecionem ou adulterem o estado da VM blindada. Esses recursos também protegem contra o roubo de dados do estado da VM blindada. Os dados e o estado são criptografados para que os administradores do Hyper-V não possam ver a saída de vídeo e os discos disponíveis. Você também pode restringir as VMs para serem executadas apenas em hosts que um Host Guardian Server determine serem íntegros e confiáveis. Para obter mais informações, consulte Uma visão geral sobre estrutura protegida e VMs blindadas.
Note
As VMs blindadas são compatíveis com Hyper-V réplica. Para replicar uma máquina virtual blindada, você deve autorizar o host que deseja replicar a executar essa VM blindada.
O recurso de prioridade de ordem de início para máquinas virtuais clusterizadas oferece mais controle sobre quais VMs clusterizadas iniciam ou reiniciam primeiro. Decidir a prioridade da ordem de início permite iniciar VMs que fornecem serviços antes de iniciar VMs que usam esses serviços. Você pode definir conjuntos, adicionar VMs a conjuntos e especificar dependências usando cmdlets do PowerShell, como New-ClusterGroupSet, Get-ClusterGroupSet e Add-ClusterGroupSetDependency.
Os ficheiros de configuração da VM agora usam o formato de extensão de
.vmcxarquivo, enquanto os ficheiros de dados de estado de tempo de execução usam o formato de extensão de.vmrsarquivo. Esses novos formatos de arquivo são projetados com leitura e escrita mais eficientes em mente. Os formatos atualizados também diminuem a probabilidade de corrupção de dados se ocorrer uma falha de armazenamento.Important
A
.vmcxextensão de nome de arquivo indica um arquivo binário. Hyper-V para Windows Server 2016 não suporta edição.vmcxou.vmrsficheiros.Atualizamos a compatibilidade da versão com as VMs da versão 5. Essas VMs são compatíveis com o Windows Server 2012 R2 e o Windows Server 2016. No entanto, as VMs da versão 5 compatíveis com o Windows Server 2019 só podem ser executadas no Windows Server 2016, não no Windows Server 2012 R2. Se você mover ou importar uma VM do Windows Server 2012 R2 para um servidor que executa uma versão posterior do Windows Server, deverá atualizar manualmente a configuração da VM para usar recursos para as versões posteriores do Windows Server. Para obter mais informações sobre compatibilidade de versão e recursos atualizados, consulte Atualizar versão da máquina virtual no Hyper-V no Windows ou no Windows Server.
Agora você pode usar recursos de segurança baseados em virtualização para VMs de 2ª geração, como o Device Guard e o Credential Guard, para proteger seu sistema operacional contra explorações de malware. Esses recursos estão disponíveis em VMs que executam a versão 8 ou posterior. Para obter mais informações, consulte Atualizar a versão da máquina virtual no Hyper-V no Windows ou no Windows Server.
Agora você pode executar cmdlets usando o Windows PowerShell Direct para configurar sua VM a partir da máquina host como uma alternativa ao VMConnect ou ao PowerShell Remoto. Você não precisa atender a nenhum requisito de rede ou firewall ou ter uma configuração especial de gerenciamento remoto para começar a usá-lo. Para obter mais informações, consulte Gerenciar máquinas virtuais do Windows com o PowerShell Direct.
Servidor Nano
O Nano Server agora inclui um módulo atualizado para a criação de imagens do Nano Server. Esta atualização fornece mais separação da funcionalidade de host físico e máquina virtual convidada e adiciona suporte para diferentes edições do Windows Server. Para obter mais informações, consulte Instalar o Nano Server.
Há também melhorias no Console de Recuperação, incluindo a separação das regras de firewall de entrada e saída e a capacidade de reparar a configuração do WinRM.
Máquinas virtuais blindadas
O Windows Server 2016 fornece uma nova máquina virtual blindada baseada em Hyper-V para proteger qualquer máquina virtual de 2ª geração de uma malha comprometida. Alguns dos principais recursos introduzidos no Windows Server 2016 incluem:
Um novo modo com suporte de criptografia que oferece mais proteções do que para uma máquina virtual comum, mas menos do que o modo blindado , enquanto ainda suporta vTPM, criptografia de disco, criptografia de tráfego de migração ao vivo e outros recursos, incluindo conveniências de administração de malha direta, como conexões de console de máquina virtual e PowerShell Direct.
Suporte total para converter máquinas virtuais de Geração 2 existentes não blindadas em máquinas virtuais blindadas, incluindo criptografia de disco automatizada.
Hyper-V Virtual Machine Manager agora pode exibir as infraestruturas nas quais uma máquina virtual blindada está autorizada a ser executada, fornecendo uma maneira para o administrador da infraestrutura abrir o protetor de chave (KP) de uma máquina virtual blindada e exibir as infraestruturas nas quais ela pode ser executada.
Você pode alternar os modos de atestação em um Serviço Guardião do Anfitrião em execução. Agora você pode alternar rapidamente entre o atestado baseado no Ative Directory, menos seguro, mas mais simples, e o atestado baseado em TPM.
Ferramentas de diagnóstico de ponta a ponta baseadas no Windows PowerShell que são capazes de detetar configurações incorretas ou erros em hosts Hyper-V protegidos e no Serviço Guardião do Host.
Um ambiente de recuperação que oferece um meio de solucionar problemas e reparar com segurança máquinas virtuais blindadas dentro da malha na qual elas normalmente são executadas, oferecendo o mesmo nível de proteção que a própria máquina virtual blindada.
Suporte do Serviço Host Guardian para o Active Directory seguro existente – pode direcionar o Serviço Host Guardian a usar uma floresta já existente do Active Directory como o seu Active Directory, em vez de criar a sua própria instância do Active Directory.
Para obter mais informações e instruções para trabalhar com máquinas virtuais blindadas, consulte Malha protegida e VMs blindadas.
Identidade e Acesso
Os novos recursos do Identity melhoram a capacidade das organizações de proteger ambientes do Ative Directory e ajudá-las a migrar para implantações somente na nuvem e implantações híbridas, onde alguns aplicativos e serviços são hospedados na nuvem e outros são hospedados localmente.
Serviços de Certificados do Ative Directory
Os Serviços de Certificados do Ative Directory (AD CS) no Windows Server 2016 aumentam o suporte para o atestado de chave TPM: agora você pode usar o Smart Card KSP para atestado de chave, e os dispositivos que não ingressaram no domínio agora podem usar o registro NDES para obter certificados que podem ser atestados para chaves que estão em um TPM.
Gestão de acesso privilegiado
O gerenciamento de acesso privilegiado (PAM) ajuda a mitigar as preocupações de segurança em ambientes do Ative Directory causadas por técnicas de roubo de credenciais, como pass-the-hash, spear phishing e assim por diante. Você pode configurar essa nova solução de acesso administrativo usando o Microsoft Identity Manager (MIM) e ela apresenta os seguintes recursos:
A floresta bastion do Ative Directory, provisionada pelo MIM, tem uma relação de confiança PAM especial com uma floresta existente. As florestas Bastion são um novo tipo de ambiente do Ative Directory que está livre de atividades maliciosas devido a serem isoladas de florestas existentes e permitirem apenas o acesso a contas privilegiadas.
Novos processos no MIM para solicitar privilégios administrativos, incluindo novos fluxos de trabalho para aprovação de solicitações.
Novas entidades de segurança sombra, ou grupos, provisionados pelo MIM na floresta bastion em resposta a solicitações de privilégios administrativos. Os grupos de segurança sombra têm um atributo que faz referência ao SID de um grupo administrativo numa floresta existente. Isso permite que o grupo de sombras acesse recursos em florestas existentes sem alterar nenhuma lista de controle de acesso (ACLs).
Um recurso de links expirantes que permite aos utilizadores ingressar temporariamente num grupo temporário por uma duração especificada, possibilitando-lhes desempenhar tarefas administrativas. A duração da adesão é controlada por um valor de tempo de vida (TTL), que também determina o período de validade do tíquete Kerberos.
Note
Os links expirantes estão disponíveis em todos os atributos vinculados. No entanto, apenas a relação de atributo associada membro/membroOF entre um grupo e um utilizador vem pré-configurada com PAM para usar o recurso de links expirando.
Os aprimoramentos internos do Controlador de Domínio Kerberos (KDC) permitem que os controladores de domínio do Ative Directory restrinjam a vida útil do tíquete Kerberos ao menor valor TTL possível quando os usuários têm várias associações de tempo limitado a grupos administrativos. Por exemplo, se você for membro do grupo A com limite de tempo, quando fizer logon, o tempo de vida do tíquete de concessão de tíquete Kerberos (TGT) será igual ao tempo restante no grupo A. Se você também se juntar ao grupo B com limite de tempo, que tem um TTL menor do que o grupo A, então sua vida útil de TGT é igual a quanto tempo você ainda tem no grupo B.
Novos recursos de monitoramento que permitem identificar quais usuários solicitaram acesso, qual acesso os administradores concederam a eles e quais atividades eles realizaram enquanto estavam conectados.
Para saber mais sobre o PAM, consulte Gerenciamento de acesso privilegiado para Serviços de Domínio Ative Directory.
Microsoft Entra conectar-se
O Microsoft Entra join aprimora as experiências de identidade para clientes corporativos, empresariais e educacionais, além de incluir recursos aprimorados para dispositivos corporativos e pessoais.
As Configurações Modernas agora estão disponíveis em dispositivos Windows corporativos. Você não precisa mais de uma conta pessoal da Microsoft para usar os principais recursos do Windows e eles são executados usando contas de trabalho de usuário existentes para garantir a conformidade. Estes serviços funcionam em PCs associados a um domínio Windows no local e em dispositivos associados ao Microsoft Entra. Essas configurações incluem:
Roaming ou personalização, configurações de acessibilidade e credenciais
Backup e recuperação
Acesso à Microsoft Store com a sua conta profissional
Blocos dinâmicos e notificações
Aceda a recursos organizacionais em dispositivos móveis, como telemóveis e tablets, que não podem ser associados a um Domínio do Windows, quer sejam propriedade da empresa ou tragam o seu próprio dispositivo (BYOD).
Use o Single-Sign On (SSO) para o Office 365 e outros aplicativos, sites e recursos organizacionais.
Em dispositivos BYOD, adicione uma conta de trabalho de um domínio local ou do Azure AD a um dispositivo de propriedade pessoal. Você pode usar o SSO para acessar recursos de trabalho por meio de aplicativos ou na Web, mantendo-se compatível com novos recursos, como Controle de Conta Condicional e Atestado de Integridade do Dispositivo.
A integração de gestão de dispositivos móveis (MDM) permite-lhe inscrever automaticamente dispositivos na sua ferramenta de gestão de dispositivos móveis (MDM) (Microsoft Intune ou terceiros).
Configure o modo de quiosque e dispositivos compartilhados para vários usuários em sua organização.
A experiência do desenvolvedor permite criar aplicativos que atendem a contextos empresariais e pessoais com uma pilha de programação compartilhada.
A opção de criação de imagens permite que você escolha entre geração de imagens e permitir que seus usuários configurem dispositivos corporativos diretamente durante a primeira experiência de execução.
Windows Hello para empresas
O Windows Hello for Business é uma abordagem de autenticação baseada em chave para organizações e consumidores que vai além das senhas. Essa forma de autenticação depende de credenciais resistentes a violações, roubo e phishing.
O utilizador inicia sessão no dispositivo com dados biométricos ou um PIN associados a um certificado ou a um par de chaves assimétricas. Os Provedores de Identidade (IDPs) validam o usuário mapeando a chave pública do usuário para IDLocker e fornecem informações de login por meio de OTP (One Time Password), por telefone ou um mecanismo de notificação diferente.
Para obter mais informações, consulte Windows Hello for Business.
Desativação do Serviço de Replicação de Arquivos (FRS) e dos níveis funcionais do Windows Server 2003
Embora o FRS (Serviço de Replicação de Arquivos) e os níveis funcionais do Windows Server 2003 tenham sido preteridos em versões anteriores do Windows Server, lembramos que o AD DS não oferece mais suporte ao Windows Server 2003. Você deve remover qualquer controlador de domínio que execute o Windows Server 2003 do domínio. Você também deve aumentar o nível funcional do domínio e da floresta para, pelo menos, Windows Server 2008.
Nos níveis funcionais de domínio do Windows Server 2008 e superiores, o AD DS usa a Replicação DFS (Serviço de Arquivos Distribuídos) para replicar o conteúdo da pasta SYSVOL entre controladores de domínio. Se você criar um novo domínio no nível funcional de domínio do Windows Server 2008 ou superior, a Replicação DFS replicará automaticamente a pasta SYSVOL. Se você criou o domínio em um nível funcional inferior, deverá migrar do uso do FRS para a replicação DFS para a pasta SYSVOL. Para obter etapas de migração mais detalhadas, consulte Instalar, atualizar ou migrar para o Windows Server.
Para obter mais informações, consulte os seguintes recursos:
- Noções básicas sobre os níveis funcionais dos Serviços de Domínio Ative Directory (AD DS)
- Como elevar os níveis funcionais do domínio e da floresta do Active Directory
Serviços de Federação do Active Directory
Os Serviços de Federação do Ative Directory (AD FS) no Windows Server 2016 incluem novos recursos que permitem configurar o AD FS para autenticar usuários armazenados em diretórios LDAP (Lightweight Directory Access Protocol).
Proxy de aplicativo Web
A versão mais recente do Web Application Proxy concentra-se em novos recursos que permitem a publicação e a pré-autenticação para mais aplicativos e melhor experiência do usuário. Confira a lista completa de novos recursos que inclui pré-autenticação para aplicativos rich client, como o Exchange ActiveSync e domínios curinga, para facilitar a publicação de aplicativos do SharePoint. Para obter mais informações, consulte Proxy de aplicativo Web no Windows Server 2016.
Administration
A área de Gerenciamento e Automação se concentra em informações de referência e ferramentas para profissionais de TI que desejam executar e gerenciar o Windows Server 2016, incluindo o Windows PowerShell.
O Windows PowerShell 5.1 inclui novos recursos significativos, incluindo suporte para desenvolvimento com classes e novos recursos de segurança que estendem seu uso, melhoram sua usabilidade e permitem controlar e gerenciar ambientes baseados no Windows de forma mais fácil e abrangente. Consulte Novos cenários e recursos no WMF 5.1 para obter detalhes.
As novas adições ao Windows Server 2016 incluem: a capacidade de executar PowerShell.exe localmente no Nano Server (não mais apenas remotamente), novos cmdlets de Utilizadores Locais e Grupos para substituir a GUI, suporte à depuração no PowerShell e, no Nano Server, suporte para registos de segurança, transcrição e JEA.
Aqui estão alguns outros novos recursos de administração:
Configuração de Estado Desejado (DSC) do PowerShell no Windows Management Framework (WMF) 5
O Windows Management Framework 5 inclui atualizações para a Configuração de Estado Desejado (DSC) do Windows PowerShell, o Gerenciamento Remoto do Windows (WinRM) e a Instrumentação de Gerenciamento do Windows (WMI).
Para obter mais informações sobre como testar os recursos do DSC do Windows Management Framework 5, consulte a série de postagens de blog discutidas em Validar recursos do PowerShell DSC. Para fazer o download, consulte Windows Management Framework 5.1.
Gerenciamento unificado de pacotes PackageManagement para deteção, instalação e inventário de software
O Windows Server 2016 e o Windows 10 incluem um novo recurso PackageManagement (anteriormente chamado OneGet) que permite que profissionais de TI ou DevOps automatizem a descoberta, instalação e inventário de software (SDII), local ou remotamente, independentemente da tecnologia do instalador e da localização do software.
Para mais informações, consulte https://github.com/OneGet/oneget/wiki.
Aprimoramentos do PowerShell para auxiliar a perícia digital e ajudar a reduzir as violações de segurança
Para ajudar a equipe responsável pela investigação de sistemas comprometidos - às vezes conhecida como "equipe azul" - adicionamos log adicional do PowerShell e outras funcionalidades forenses digitais, e adicionamos funcionalidade para ajudar a reduzir vulnerabilidades em scripts, como PowerShell restrito e APIs seguras do CodeGeneration.
Para obter mais informações, consulte a postagem do blog PowerShell ♥ the Blue Team .
Rede
A área Rede aborda produtos e recursos de rede para o profissional de TI projetar, implantar e manter o Windows Server 2016.
Rede Definida por Software
Software-Defined Networking (SDN) é uma nova solução de Software Defined Datacenter (SDDC) que inclui os seguintes recursos:
Controlador de rede, que permite automatizar a configuração da infraestrutura de rede em vez de executar a configuração manual de dispositivos e serviços de rede. O controlador de rede usa REST (Representational State Transfer) em sua interface para o norte com cargas úteis JSON (JavaScript Object Notation). A interface southbound do controlador de rede usa o Open vSwitch Database Management Protocol (OVSDB).
Novos recursos para o Hyper-V:
Hyper-V Comutador Virtual, que permite criar comutação e roteamento distribuídos, e uma camada de imposição de política alinhada e compatível com o Microsoft Azure. Para saber mais, consulte Hyper-V Comutador Virtual.
Acesso remoto direto à memória (RDMA) e agrupamento incorporado no comutador (SET) para quando você cria comutadores virtuais. Você pode configurar RDMA em adaptadores de rede vinculados a um comutador virtual Hyper-V, independentemente de já estar usando SET. O SET pode dar aos seus comutadores virtuais recursos semelhantes aos do agrupamento NIC. Para obter mais informações, consulte Requisitos de rede de host para o Azure Local.
As multifilas de máquinas virtuais (VMMQs) melhoram o desempenho do VMQ através da alocação de várias filas de hardware por VM. A fila padrão se torna um conjunto de filas para uma VM e espalha o tráfego entre as filas.
Qualidade de serviço (QoS) para redes definidas por software gerencia a classe padrão de tráfego através do comutador virtual dentro da largura de banda de classe padrão.
NFV (Network Function Virtualization), que permite espelhar ou rotear funções de rede executadas por dispositivos de hardware para dispositivos virtuais, como balanceadores de carga, firewalls, roteadores, switches e assim por diante. Você também pode implantar e gerenciar toda a pilha SDN usando o System Center Virtual Machine Manager. Você pode gerenciar a rede de contêineres do Windows Server com o Docker e associar políticas SDN a máquinas virtuais e contêineres.
Um Firewall de Datacenter que fornece listas de controle de acesso (ACLs) granulares, permitindo que você aplique políticas de firewall no nível da interface da VM ou no nível da sub-rede. Para saber mais, consulte O que é o Datacenter Firewall?.
RAS Gateway, que permite rotear o tráfego entre redes virtuais e redes físicas, incluindo conexões VPN site a site do seu datacenter na nuvem para os sites remotos dos locatários. O BGP (Border Gateway Protocol) permite implantar e fornecer roteamento dinâmico entre redes para todos os cenários de gateway, incluindo redes virtuais privadas (VPNs) site a site do Internet Key Exchange versão 2 (IKEv2), VPNs de Camada 3 (L3) e gateways GRE (Generic Routing Encapsulation). Os gateways agora também suportam pools de gateways e redundância M+N. Para saber mais, consulte O que é o gateway do serviço de acesso remoto (RAS) para rede definida por software?.
O Balanceador de Carga de Software (SLB) e a Tradução de Endereços de Rede (NAT) melhoram a taxa de transferência suportando o Retorno Direto do Servidor. Isso permite que o tráfego de rede de retorno ignore o multiplexador de balanceamento de carga e pode ser alcançado usando um balanceador de carga de camada 4 norte-sul e leste-oeste e NAT. Para saber mais, consulte O que é o Software Load Balancer (SLB) para SDN? e Network Function Virtualization.
Tecnologias de encapsulamento flexíveis que operam no plano de dados e suportam Virtual Extensible LAN (VxLAN) e Network Virtualization Generic Routing Encapsulation (NVGRE).
Para obter mais informações, consulte Planejar uma infraestrutura de rede definida por software.
Fundamentos da escala em nuvem
O Windows Server 2016 inclui os seguintes fundamentos de escala de nuvem:
Placa de interface de rede convergente (NIC), que permite usar um único adaptador de rede para gerenciamento, armazenamento habilitado para RDMA (acesso remoto direto à memória) e tráfego de clientes. Uma NIC convergente reduz o custo de cada servidor em seu datacenter porque requer menos adaptadores de rede para gerenciar diferentes tipos de tráfego por servidor.
O Packet Direct fornece uma alta taxa de transferência de tráfego de rede e uma infraestrutura de processamento de pacotes de baixa latência.
O Switch Embedded Teaming (SET) é uma solução de agrupamento NIC integrada ao Hyper-V Virtual Switch. O SET permite o agrupamento de até um máximo de oito NICs físicas numa única equipa SET, o que melhora a disponibilidade e garante a redundância. No Windows Server 2016, você pode criar equipes SET restritas ao uso do SMB (Server Message Block) e RDMA. Você também pode usar equipes SET para distribuir tráfego de rede para Hyper-V Virtualização de Rede. Para obter mais informações, consulte Requisitos de rede de host para o Azure Local.
Melhorias no desempenho do TCP
A ICW (Initial Congestion Window) padrão aumentou de 4 para 10 e o TCP Fast Open (TFO) foi implementado. O TFO reduz a quantidade de tempo necessária para estabelecer uma conexão TCP e o ICW aumentado permite que objetos maiores sejam transferidos no burst inicial. Essa combinação pode reduzir significativamente o tempo necessário para transferir um objeto da Internet entre o cliente e a nuvem.
Para melhorar o comportamento do TCP durante a recuperação da perda de pacotes, o TCP Tail Loss Probe (TLP) e o Recent Acknowledgment (RACK) são implementados. O TLP ajuda a converter tempos limite de retransmissão (RTOs) em recuperações rápidas e o RACK reduz o tempo necessário para que o Fast Recovery retransmita um pacote perdido.
Protocolo de configuração dinâmica de host (DHCP)
O protocolo DHCP (Dynamic Host Configuration Protocol) tem as seguintes alterações no Windows Server 2016:
A partir do Windows 10, versão 2004, quando você está executando um cliente Windows e se conecta à Internet usando um dispositivo Android conectado, as conexões agora são rotuladas como limitadas. O nome do fornecedor de cliente tradicional que apareceu como MSFT 5.0 em determinados dispositivos Windows agora é MSFT 5.0 XBOX.
A partir do Windows 10, versão 1803, o cliente DHCP pode agora ler e aplicar a opção 119, a Opção de Pesquisa de Domínio, a partir do servidor DHCP ao qual o seu sistema se liga. A opção de pesquisa de domínio também fornece sufixos DNS (Serviços de Nomes de Domínio) para pesquisas de DNS de nomes curtos. Para obter mais informações, consulte RFC 3397.
O DHCP suporta agora a opção 82 (subopção 5). Você pode usar essa opção para permitir que clientes proxy DHCP e agentes de retransmissão solicitem um endereço IP para uma sub-rede específica. Se estiver a utilizar um agente de retransmissão DHCP configurado com a opção 82 do DHCP (subopção 5), o agente de retransmissão pode solicitar uma concessão de endereço IP para clientes DHCP a partir de um intervalo de endereços IP específico. Para obter mais informações, consulte Opções de seleção de sub-rede DHCP.
Novos eventos de registo para cenários em que os registos de registos DNS falham no servidor DNS. Para obter mais informações, consulte Eventos de log DHCP para registros DNS.
A função de Servidor DHCP já não suporta a Proteção de Acesso à Rede (NAP). Os servidores DHCP não impõem políticas NAP e os escopos DHCP não podem ser habilitados para NAP. Os computadores clientes DHCP que também são clientes NAP enviam uma declaração de saúde (SoH) com a solicitação DHCP. Se o servidor DHCP estiver executando o Windows Server 2016, essas solicitações serão processadas como se nenhuma SoH estivesse presente. O servidor DHCP concede uma concessão DHCP normal ao cliente. Se os servidores que executam o Windows Server 2016 forem proxies RADIUS (Remote Authentication Dial-In User Service) que encaminham solicitações de autenticação para um NPS (Servidor de Diretivas de Rede) que ofereça suporte a NAP, o NPS avaliará esses clientes como não compatíveis com NAP, fazendo com que o processamento NAP falhe. Para obter mais informações sobre NAP e a sua descontinuação, consulte Recursos removidos ou preteridos no Windows Server 2012 R2.
Tunelamento GRE
O RAS Gateway agora suporta túneis de alta disponibilidade usando GRE (Generic Routing Encapsulation) para ligações ponto a ponto e redundância M+N em gateways. GRE é um protocolo de encapsulamento leve que encapsula uma ampla variedade de protocolos de camada de rede dentro de links virtuais ponto-a-ponto através de uma inter-rede de protocolo Internet. Para obter mais informações, consulte Tunelamento GRE no Windows Server 2016.
Gerenciamento de endereços IP (IPAM)
O IPAM tem as seguintes atualizações:
Gerenciamento aprimorado de endereços IP. Os recursos do IPAM são aprimorados para cenários como manipulação de sub-redes IPv4 /32 e IPv6 /128 e localização de sub-redes e intervalos de endereços IP livres em um bloco de endereços IP.
Agora você pode executar o
Find-IpamFreeSubnetcmdlet para localizar sub-redes disponíveis para alocação. Esta função não aloca as sub-redes e apenas informa a sua disponibilidade. No entanto, você pode canalizar a saída do cmdlet para oAdd-IpamSubnetcmdlet para criar uma sub-rede. Para obter mais informações, consulte Find-IpamFreeSubnet.Agora você pode executar o cmdlet para localizar intervalos de endereços IP disponíveis dentro de um bloco IP, comprimento de prefixo
Find-IpamFreeRangee número de sub-redes solicitadas. Este cmdlet não aloca o intervalo de endereços IP, apenas relata sua disponibilidade. No entanto, você pode canalizar a saída para oAddIpamRangecmdlet para criar o intervalo. Para obter mais informações, consulte Find-IpamFreeRange.Gerenciamento aprimorado de serviços DNS:
Recolha de registos de recursos DNS para servidores DNS não DNSSEC.
Configuração de propriedades e operações em todos os tipos de Registros de Recursos não DNSSEC.
Gestão de zonas DNS para servidores DNS integrados no Active Directory associados ao domínio e servidores DNS suportados por ficheiros. Você pode gerenciar todos os tipos de zonas DNS, incluindo zonas Primária, Secundária e Stub.
Acione tarefas nas zonas Secundária e Stub, independentemente de serem zonas de pesquisa direta ou inversa.
Controle de acesso baseado em função para configurações de DNS suportadas para registros e zonas.
Encaminhadores condicionais
Gerenciamento integrado de DNS, DHCP e endereço IP (DDI). Agora você pode exibir todos os registros de recursos DNS associados a um endereço IP no Inventário de endereços IP. Você também pode manter automaticamente registros de ponteiro (PTR) de endereços IP e gerenciar ciclos de vida de endereços IP para operações DNS e DHCP.
Suporte a várias Florestas do Active Directory. Você pode usar o IPAM para gerenciar os servidores DNS e DHCP de várias florestas do Ative Directory quando houver uma relação de confiança bidirecional entre a floresta onde você instalou o IPAM e cada uma das florestas remotas. Para obter mais informações, consulte Gerenciar recursos em várias florestas do Ative Directory.
O recurso Limpar dados de utilização permite reduzir o tamanho do banco de dados do IPAM excluindo dados antigos de utilização de IP. Basta especificar uma data e o IPAM elimina todas as entradas da base de dados anteriores ou iguais à data introduzida. Para obter mais informações, consulte Limpar dados de utilização.
Agora você pode usar o RBAC (Controle de Acesso Baseado em Função) para definir escopos de acesso para objetos do IPAM no PowerShell. Para obter mais informações, consulte Gerir o Controlo de Acesso Baseado em Funções com o Windows PowerShell e Cmdlets do Servidor de Gestão de Endereços IP (IPAM) no Windows PowerShell.
Para obter mais informações, consulte Gerenciar IPAM.
Segurança e Garantia
A área de Segurança e Garantia Inclui soluções e recursos de segurança para o profissional de TI implantar em seu data center e ambiente de nuvem. Para obter informações sobre segurança no Windows Server 2016 em geral, consulte Segurança e garantia.
Just Enough Administration (Administração Suficiente)
O JEA no Windows Server 2016 é uma tecnologia de segurança que permite a administração delegada de qualquer coisa que possa ser gerenciada com o Windows PowerShell. Os recursos incluem suporte para execução sob uma identidade de rede, conexão pelo PowerShell Direct, cópia segura de arquivos de ou para pontos de extremidade JEA e configuração do console do PowerShell para iniciar em um contexto JEA por padrão. Para obter mais informações, consulte JEA no GitHub.
Guarda de credenciais
O Credential Guard usa segurança baseada em virtualização para isolar segredos para que apenas software de sistema privilegiado possa acessá-los. Para obter mais informações, consulte Proteger credenciais de domínio derivadas com o Credential Guard.
O Credential Guard para Windows Server 2016 inclui as seguintes atualizações para sessões de usuário conectado:
Kerberos e New Technology LAN Manager (NTLM) usam segurança baseada em virtualização para proteger segredos Kerberos e NTLM para sessões de usuário conectado.
O Credential Manager protege as credenciais de domínio salvas usando segurança baseada em virtualização. As credenciais de início de sessão e as credenciais de domínio guardadas não passam para anfitriões remotos utilizando o Ambiente de Trabalho Remoto.
Você pode habilitar o Credential Guard sem um bloqueio UEFI (Unified Extensible Firmware Interface).
Guarda de credenciais remoto
O Credential Guard inclui suporte para sessões RDP para que as credenciais do usuário permaneçam no lado do cliente e não sejam expostas no lado do servidor. Isso também fornece Logon Único para Área de Trabalho Remota. Para obter mais informações, consulte Proteger credenciais de domínio derivadas com o Windows Defender Credential Guard.
O Remote Credential Guard para Windows Server 2016 inclui as seguintes atualizações para usuários conectados:
Remote Credential Guard mantém segredos Kerberos e NTLM para credenciais dos utilizadores autenticados no dispositivo cliente. Qualquer solicitação de autenticação do host remoto para aceder aos recursos da rede como utilizador exige que o dispositivo cliente use as credenciais.
O Remote Credential Guard protege as credenciais de usuário fornecidas ao usar a Área de Trabalho Remota.
Proteções de domínio
As proteções de domínio agora exigem um domínio do Ative Directory.
Suporte à extensão PKInit Freshness
Os clientes Kerberos agora tentam a extensão de atualização PKInit para logon baseado em chave pública.
Os KDCs agora suportam a extensão de atualização PKInit. No entanto, eles não oferecem a extensão de atualização PKInit por padrão.
Para obter mais informações, consulte suporte do cliente Kerberos e KDC para a extensão de frescura PKInit do RFC 8070.
Chave pública rotativa apenas para segredos NTLM do utilizador
A partir do nível funcional de domínio do Windows Server 2016, os controladores de domínio agora oferecem suporte à renovação dos segredos NTLM de um usuário que utiliza apenas chave pública. Esse recurso não está disponível em DFLs (níveis de funcionamento de domínio inferiores).
Warning
Adicionar um controlador de domínio (DC) ativado antes da atualização de 8 de novembro de 2016 a um domínio que ofereça suporte a segredos NTLM dinâmicos pode fazer com que o DC falhe.
Para novos domínios, esse recurso é habilitado por padrão. Para domínios existentes, você deve configurá-lo no Centro Administrativo do Ative Directory.
No Centro Administrativo do Ative Directory, clique com o botão direito do mouse no domínio no painel esquerdo e selecione Propriedades. Marque a caixa de seleção Habilitar a rolagem de segredos NTLM expirando durante o logon para usuários que precisam usar o Windows Hello for Business ou o cartão inteligente para logon interativo. Depois disso, selecione OK para aplicar essa alteração.
Permitindo NTLM de rede quando o utilizador está restrito a dispositivos ligados a domínios específicos
Os controladores de domínio agora podem suportar o NTLM de rede quando um utilizador está restrito a dispositivos específicos ligados ao domínio no nível funcional de domínio do Windows Server 2016 e superior. Esse recurso não está disponível em DFLs que executam um sistema operacional anterior ao Windows Server 2016.
Para definir essa configuração, na política de autenticação, selecione Permitir autenticação de rede NTLM quando o usuário estiver restrito a dispositivos selecionados.
Para obter mais informações, consulte Políticas de autenticação e silos de política de autenticação.
Device Guard (Integridade do código)
O Device Guard fornece integridade de código de modo kernel (KMCI) e integridade de código de modo de usuário (UMCI) criando políticas que especificam qual código pode ser executado no servidor. Consulte Introdução ao Windows Defender Device Guard: segurança baseada em virtualização e políticas de integridade de código.
Windows Defender
Visão geral do Windows Defender para Windows Server 2016. O Windows Server Antimalware é instalado e habilitado por padrão no Windows Server 2016, mas a interface do usuário do Windows Server Antimalware não está instalada. No entanto, o Windows Server Antimalware atualiza as definições de antimalware e protege o computador sem a interface do usuário. Se precisar da interface do usuário para o Windows Server Antimalware, você poderá instalá-la após a instalação do sistema operacional usando o Assistente para Adicionar Funções e Recursos.
Protetor de fluxo de controle
O Control Flow Guard (CFG) é um recurso de segurança de plataforma que foi criado para combater vulnerabilidades de corrupção de memória. Consulte Control Flow Guard para obter mais informações.
Armazenamento
O armazenamento no Windows Server 2016 inclui novos recursos e aprimoramentos para armazenamento definido por software e servidores de arquivos tradicionais.
Espaços de armazenamento diretos
O Storage Spaces Direct permite a criação de armazenamento altamente disponível e escalável usando servidores com armazenamento local. Ele simplifica a implantação e o gerenciamento de sistemas de armazenamento definidos por software e permite que você use novas classes de dispositivos de disco, como SSDs SATA e dispositivos de disco NVMe, que anteriormente não estavam disponíveis com espaços de armazenamento clusterizados com discos compartilhados.
Para obter mais informações, consulte Storage Spaces Direct.
Réplica de armazenamento
A Réplica de Armazenamento permite a replicação síncrona independente do tipo de armazenamento, em nível de bloco, entre servidores ou clusters para recuperação de desastres e permite expandir um cluster de failover entre sites. A replicação síncrona permite o espelhamento de dados em locais físicos com volumes consistentes em caso de falhas para garantir perda zero de dados ao nível do sistema de ficheiros. A replicação assíncrona permite a extensão do sítio além dos limites metropolitanos com a possibilidade de perda de dados.
Para obter mais informações, consulte Storage Replica.
Qualidade de serviço de armazenamento (QoS)
Agora você pode usar a QoS (qualidade de serviço) do armazenamento para monitorar centralmente o desempenho do armazenamento de ponta a ponta e criar políticas de gerenciamento usando clusters Hyper-V e CSV no Windows Server 2016.
Para obter mais informações, consulte Qualidade de serviço de armazenamento.
Desduplicação de dados
O Windows Server 2016 inclui os seguintes novos recursos para eliminação de duplicação de dados.
Suporte para grandes volumes
A partir do Windows Server 2016, o pipeline de tarefas de Deduplicação de Dados agora pode executar múltiplos threads em paralelo, utilizando várias filas de E/S para cada volume. Essa alteração aumenta o desempenho para níveis anteriormente possíveis apenas dividindo os dados em vários volumes menores. Essas otimizações se aplicam a todos os trabalhos de desduplicação de dados, não apenas ao trabalho de otimização. O diagrama a seguir demonstra como o pipeline mudou entre as versões do Windows Server.
Devido a essas melhorias de desempenho, no Windows Server 2016, a Eliminação de Duplicação de Dados tem alto desempenho em volumes de até 64 TB.
Suporte a arquivos grandes
A partir do Windows Server 2016, a Desduplicação de Dados usa estruturas de mapa de fluxo e outras melhorias para aumentar a taxa de transferência de otimização e o desempenho de acesso. A Cadeia de Processamento de Desduplicação pode também retomar o processo de otimização após situações de recuperação, em vez de reiniciar desde o começo. Essa alteração melhora o desempenho de arquivos de até 1 TB, permitindo que os administradores apliquem economias de desduplicação a uma gama maior de cargas de trabalho, como arquivos grandes associados a cargas de trabalho de backup.
Suporte para Nano Server
O Nano Server é uma opção de implantação sem cabeça no Windows Server 2016 que requer um espaço de recursos do sistema muito menor, inicializa mais rapidamente e requer menos atualizações e reinicializações do que a opção de implantação do Windows Server Core. O Nano Server também suporta totalmente a Desduplicação de Dados. Para obter mais informações sobre o Nano Server, consulte Imagens de base de contêiner.
Configuração simplificada para aplicativos de backup virtualizados
A partir do Windows Server 2016, os cenários de eliminação de duplicação de dados para aplicativos de backup virtualizados são muito simplificados. Este cenário é agora uma opção de Tipo de Utilização predefinida. Você não precisa mais ajustar manualmente as configurações de desduplicação, basta habilitar a desduplicação para um volume, assim como faria com o servidor de arquivos de uso geral e a infraestrutura de área de trabalho virtual (VDI).
Suporte ao Cluster OS Rolling Upgrade
Os Clusters de Failover do Windows Server que executam Deduplicação de Dados podem ter uma combinação de nós que executam as versões Windows Server 2012 R2 e Windows Server 2016. Esse recurso de cluster de modo misto oferece acesso completo aos dados de todos os volumes desduplicados durante as atualizações graduais do cluster. Agora você pode implantar gradualmente versões posteriores de Desduplicações de Dados em clusters que executam versões anteriores do Windows Server sem qualquer tempo de inatividade.
Agora você também pode usar atualizações contínuas no Hyper-V. Com a atualização do Rolling Cluster Hyper-V, agora é possível adicionar um nó em execução no Windows Server 2019 ou no Windows Server 2016 a um Cluster Hyper-V com nós em execução no Windows Server 2012 R2. Depois de adicionar o nó que executa a versão posterior do Windows Server, você pode atualizar o restante do cluster sem tempo de inatividade. O cluster é executado em um nível de recurso do Windows Server 2012 R2 até que você atualize todos os nós no cluster e execute o Update-ClusterFunctionalLevel no PowerShell para atualizar o nível de funcionamento do cluster. Para obter instruções mais detalhadas sobre como funciona o processo de atualização contínua, consulte Atualização contínua do sistema operacional de cluster.
Note
Hyper-V no Windows 10 não suporta clusterização de failover.
Melhorias de proteção SMB para conexões SYSVOL e NETLOGON
No Windows 10 e no Windows Server 2016, as conexões de cliente com os Serviços de Domínio Ative Directory usavam compartilhamentos SYSVOL e NETLOGON em controladores de domínio por padrão. Agora, essas conexões exigem assinatura SMB e autenticação mútua usando serviços como Kerberos. Se a assinatura SMB e a autenticação mútua não estiverem disponíveis, um computador com Windows 10 ou Windows Server 2016 não processará scripts e Diretiva de Grupo baseados em domínio. Esta alteração protege os dispositivos de ataques adversários no meio.
Note
Os valores do Registo para estas configurações não estão presentes por padrão, mas as regras de proteção ainda se aplicam até que os substitua editando a Política de Grupo ou outros valores do Registo.
Para obter mais informações sobre essas melhorias de segurança, consulte MS15-011: Vulnerabilidade na Diretiva de Grupo e MS15-011 & MS15-014: Protegendo a Diretiva de Grupo.
Pastas de Trabalho (Work Folders)
O Windows Server 2016 apresenta notificação de alteração aprimorada quando o servidor de Pastas de Trabalho está executando o Windows Server 2016 e o cliente de Pastas de Trabalho é o Windows 10. Quando as alterações de arquivo são sincronizadas com o servidor de Pastas de Trabalho, o servidor agora notifica imediatamente os clientes Windows 10 e, em seguida, sincroniza as alterações de arquivo.
ReFS
A próxima iteração do ReFS fornece suporte para implantações de armazenamento em grande escala com diversas cargas de trabalho, oferecendo confiabilidade, resiliência e escalabilidade para seus dados.
O ReFS introduz as seguintes melhorias:
Nova funcionalidade de nível de armazenamento, oferecendo desempenho mais rápido e maior capacidade de armazenamento, incluindo:
Vários tipos de resiliência no mesmo disco virtual usando espelhamento na camada de desempenho e paridade na camada de capacidade.
Maior capacidade de resposta a conjuntos de trabalho em mudança.
Introduz a clonagem de blocos para melhorar o desempenho de operações de VM, como
.vhdxoperações de mesclagem de ponto de verificação.Uma nova ferramenta de verificação ReFS que pode ajudá-lo a recuperar espaço de armazenamento perdido e a salvar dados de danos críticos.
Cluster de Tolerância a Falhas
O Windows Server 2016 inclui muitos recursos e aprimoramentos novos para vários servidores que são agrupados em um único cluster tolerante a falhas usando o recurso Clustering de Failover.
Atualização Gradual do Sistema Operacional de Cluster
A Atualização Contínua do Sistema Operacional de Cluster permite que um administrador atualize o sistema operacional dos nós do cluster do Windows Server 2012 R2 para o Windows Server 2016 sem interromper as cargas de trabalho do Hyper-V ou do Servidor de Arquivos Scale-Out. Você pode usar esse recurso para evitar penalidades de tempo de inatividade contra Contratos de Nível de Serviço (SLAs).
Para obter mais informações, consulte Atualização contínua do sistema operacional de cluster.
Testemunha da nuvem
A testemunha de nuvem é um novo tipo de testemunha de quórum de Cluster de Failover no Windows Server 2016 que utiliza o Microsoft Azure como ponto de arbitragem. A testemunha da nuvem, como qualquer outra testemunha do quórum, recebe uma votação e pode participar do cálculo do quórum. Você pode configurar a testemunha de nuvem como uma testemunha de quórum usando o assistente Configurar um Quórum de Cluster.
Para obter mais informações, consulte Implantar uma testemunha de quórum.
Resiliência da máquina virtual
O Windows Server 2016 inclui maior resiliência de computação de máquina virtual (VM) para ajudar a reduzir problemas de comunicação dentro do cluster de computação. Essa maior resiliência inclui as seguintes atualizações:
Agora você pode configurar as seguintes opções para definir como as VMs devem se comportar durante falhas transitórias:
O Nível de Resiliência define como sua implantação deve lidar com falhas transitórias.
O Período de Resiliência define por quanto tempo todas as VMs podem ser executadas isoladas.
Os nós defeituosos são colocados em quarentena e não têm autorização para ingressar no cluster. Esse recurso impede que nós problemáticos afetem negativamente outros nós e o cluster como um todo.
Para obter mais informações sobre recursos de resiliência de computação, consulte Resiliência de computação de máquina virtual no Windows Server 2016.
As VMs do Windows Server 2016 também incluem novos recursos de resiliência de armazenamento para lidar com falhas transitórias de armazenamento. A resiliência aprimorada ajuda a preservar os estados da sessão da VM do locatário se ocorrer uma interrupção no armazenamento. Quando uma VM se desconecta de seu armazenamento subjacente, ela pausa e aguarda a recuperação do armazenamento. Enquanto pausada, a VM mantém o contexto dos aplicativos que estavam sendo executados nela no momento da falha de armazenamento. Quando a conexão entre a VM e o armazenamento é restaurada, a VM retorna ao seu estado de execução. Como resultado, o estado da sessão da máquina do inquilino é mantido após a recuperação.
Os novos recursos de resiliência de armazenamento também se aplicam a clusters convidados.
Melhorias no diagnóstico
Para ajudar a diagnosticar problemas com clusters de failover, o Windows Server 2016 inclui:
Várias melhorias nos arquivos de log do cluster, como informações de fuso horário e log DiagnosticVerbose, tornam mais fácil solucionar problemas relacionados ao cluster de failover. Para obter mais informações, consulte Melhorias na Resolução de Problemas do Cluster de Failover do Windows Server 2016 - Log de Cluster.
Um novo tipo de despejo de memória ativa filtra a maioria das páginas de memória alocadas para VMs, tornando o arquivo memory.dmp menor e mais fácil de salvar ou copiar. Para mais informações, consulte Melhorias na resolução de problemas de clusters de tolerância a falhas do Windows Server 2016 - Despejo ativo.
Clusters de failover sensíveis ao contexto de site
O Windows Server 2016 inclui clusters de failover com reconhecimento de site que habilitam nós de grupo em clusters estendidos com base em seu local físico ou site. O reconhecimento do local do cluster melhora as principais operações durante o ciclo de vida do cluster, como comportamento de failover, políticas de posicionamento, pulsação entre os nós e comportamento de quórum. Para obter mais informações, consulte Clusters de Failover com reconhecimento de site no Windows Server 2016.
Grupos de trabalho e clusters multidomínios
Em Windows Server 2012 R2 e versões anteriores, um cluster só pode ser criado entre nós membros conectados ao mesmo domínio. O Windows Server 2016 quebra essas barreiras e introduz a capacidade de criar um Cluster de Failover sem dependências do Ative Directory. Agora você pode criar clusters de failover nas seguintes configurações:
Clusters de domínio único, que têm todos os seus nós unidos ao mesmo domínio.
Clusters de múltiplos domínios, cujos nós são membros de diferentes domínios.
Clusters de grupo de trabalho, que têm nós que são grupos de trabalho ou servidores ligados que não estão no domínio.
Para obter mais informações, consulte Grupo de trabalho e clusters de vários domínios no Windows Server 2016
Balanceamento de carga de máquina virtual
O Balanceamento de Carga de Máquinas Virtuais é um novo recurso no Agrupamento de Failover que efetua o balanceamento de carga de VMs de forma perfeita entre os nós de um cluster. O recurso identifica nós supercomprometidos com base na memória da VM e na utilização da CPU no nó. Em seguida, realiza a migração ao vivo das VMs do nó sobrecarregado para nós com largura de banda disponível. Você pode ajustar a agressividade com que o recurso equilibra os nós para garantir o desempenho e a utilização ideais do cluster. O Balanceamento de Carga está habilitado por padrão no Windows Server 2016 Technical Preview. No entanto, o balanceamento de carga é desabilitado quando a otimização dinâmica do SCVMM está habilitada.
Ordem de início da máquina virtual
A Ordem de Arranque da máquina virtual é uma nova funcionalidade no Cluster de Failover que introduz o orquestramento da ordem de arranque para VMs e outros grupos num cluster. Agora você pode agrupar VMs em camadas e, em seguida, criar dependências de ordem inicial entre diferentes camadas. Essas dependências garantem que as VMs mais importantes, como Controladores de Domínio ou VMs de Utilitários, sejam iniciadas primeiro. As VMs em camadas de prioridade mais baixa só são iniciadas após as VMs das quais dependem terem iniciado.
Redes de cluster SMB multicanal e multi-NIC simplificadas
As redes de cluster de failover já não estão limitadas a uma única placa de interface de rede (NIC) por sub-rede ou rede. Com as Redes de Cluster Multicanal e Multi-NIC SMB (Simplified Server Message Block), a configuração de rede é automática e cada NIC na sub-rede pode ser usada para tráfego de cluster e carga de trabalho. Esse aprimoramento permite que os clientes maximizem a largura de banda da rede para o Hyper-V, a Instância de Cluster de Failover do SQL Server e outras cargas de trabalho SMB.
Para obter mais informações, consulte Redes de cluster SMB multicanal e multi-NIC simplificadas.
Desenvolvimento de aplicações
Serviços de Informações da Internet (IIS) 10.0
Os novos recursos fornecidos pelo servidor Web IIS 10.0 no Windows Server 2016 incluem:
- Suporte para o protocolo HTTP/2 na pilha de rede e integrado com o IIS 10.0, permitindo que os sites do IIS 10.0 atendam automaticamente solicitações HTTP/2 para configurações suportadas. Isso permite inúmeras melhorias em relação ao HTTP/1.1, como reutilização mais eficiente de conexões e latência reduzida, melhorando os tempos de carregamento de páginas da web.
- Capacidade de executar e gerenciar o IIS 10.0 no Nano Server. Consulte IIS no Nano Server.
- Suporte para cabeçalhos de host wildcard, permitindo que os administradores configurem um servidor web para um domínio, permitindo ao servidor web responder a solicitações de qualquer subdomínio.
- Um novo módulo do PowerShell (IISAdministration) para gerenciar o IIS.
Para obter mais informações, consulte IIS.
Coordenador de Transações Distribuídas (MSDTC)
Três novos recursos são adicionados no Microsoft Windows 10 e no Windows Server 2016:
Uma nova interface para o Resource Manager Rejoin pode ser usada por um gerente de recursos para determinar o resultado de uma transação em dúvida depois que um banco de dados é reiniciado devido a um erro. Consulte IResourceManagerRejoinable::Rejoin para obter detalhes.
O limite de nome DSN é ampliado de 256 bytes para 3.072 bytes. Consulte IDtcToXaHelperFactory::Create, IDtcToXaHelperSinglePipe::XARMCreate ou IDtcToXaMapper::RequestNewResourceManager para obter detalhes.
Rastreamento aprimorado que permite que você defina uma chave do Registro para incluir um caminho de arquivo de imagem no nome do arquivo Tracelog para que você possa saber qual arquivo Tracelog verificar. Consulte Como habilitar o rastreamento de diagnóstico para MS DTC em um computador baseado no Windows para obter detalhes sobre como configurar o rastreamento para MSDTC.
Servidor DNS
O Windows Server 2016 contém as seguintes atualizações para o Servidor DNS (Sistema de Nomes de Domínio).
Políticas de DNS
Você pode configurar políticas DNS para especificar como um servidor DNS responde a consultas DNS. Você pode configurar respostas DNS com base no endereço IP do cliente, hora do dia e vários outros parâmetros. As políticas de DNS podem habilitar DNS com reconhecimento de localização, gerenciamento de tráfego, balanceamento de carga, DNS split-brain e outros cenários. Para obter mais informações, consulte o DNS Policy Scenario Guide.
RRL
Você pode habilitar a Limitação de Taxa de Resposta (RRL) em seus servidores DNS para impedir que sistemas mal-intencionados usem seus servidores DNS para iniciar um ataque de negação de serviço distribuído (DDoS) em um cliente DNS. O RRL impede que o servidor DNS responda a muitas solicitações ao mesmo tempo, o que o protege durante cenários em que um botnet envia várias solicitações ao mesmo tempo para tentar interromper as operações do servidor.
Suporte DANE
Você pode usar o suporte à Autenticação de Entidades Nomeadas (DANE) baseada em DNS (RFC 6394 e RFC 6698) para especificar de qual autoridade de certificação seus clientes DNS devem esperar certificados para nomes de domínio hospedados em seu servidor DNS. Isso evita uma forma de ataque man-in-the-middle em que um ator mal-intencionado corrompe um cache DNS e aponta um nome DNS para seu próprio endereço IP.
Suporte a registros desconhecidos
Você pode adicionar registros que o servidor DNS não suporta explicitamente usando a funcionalidade de registro desconhecido. Um registro é desconhecido quando o servidor DNS não reconhece seu formato RDATA. O Windows Server 2016 oferece suporte a tipos de registro desconhecidos (RFC 3597), portanto, você pode adicionar registros desconhecidos às zonas do servidor DNS do Windows no formato binário on-wire. O resolvedor de cache do Windows já pode processar tipos de registro desconhecidos. O servidor DNS do Windows não executa processamento específico de registros para registros desconhecidos, mas pode enviá-los em resposta a consultas recebidas.
Indicações de raiz IPv6
O servidor DNS do Windows agora inclui sugestões de raiz para IPv6 publicadas pela Internet Assigned Numbers Authority (IANA). O suporte para indicações de raiz IPv6 permite-lhe fazer consultas na Internet que utilizam os servidores raiz IPv6 para executar resoluções de nomes.
Suporte ao Windows PowerShell
O Windows Server 2016 inclui novos comandos que você pode usar para configurar o DNS no PowerShell. Para obter mais informações, consulte Módulo DnsServer do Windows Server 2016 e Módulo DnsClient do Windows Server 2016.
Suporte do Nano Server para DNS baseado em arquivo
Você pode implantar servidores DNS no Windows Server 2016 em uma imagem do Nano Server. Essa opção de implantação estará disponível se você estiver usando DNS baseado em arquivo. Ao executar o servidor DNS em uma imagem do Nano Server, você pode executar seus servidores DNS com pegada reduzida, inicialização rápida e aplicação mínima de patches.
Note
O DNS integrado ao Ative Directory não é suportado no Nano Server.
Cliente DNS
O serviço de cliente DNS agora oferece suporte aprimorado para computadores com mais de uma interface de rede.
Os computadores multi-homed também podem usar a associação do serviço de cliente DNS para melhorar a resolução do servidor.
Quando você usa um servidor DNS configurado em uma interface específica para resolver uma consulta DNS, o cliente DNS se liga à interface antes de enviar a consulta. Essa associação permite que o cliente DNS especifique a interface onde a resolução de nomes deve ocorrer, otimizando as comunicações entre aplicativos e cliente DNS pela interface de rede.
Se o servidor DNS que você está usando foi designado por uma configuração de Diretiva de Grupo da NRPT (Tabela de Políticas de Resolução de Nomes), o serviço cliente DNS não se vincula à interface especificada.
Note
As alterações no serviço Cliente DNS no Windows 10 também estão presentes em computadores que executam o Windows Server 2016 e posterior.
Serviços de Ambiente de Trabalho Remoto
Os Serviços de Área de Trabalho Remota (RDS) fizeram as seguintes alterações para o Windows Server 2016.
Compatibilidade de aplicações
O RDS e o Windows Server 2016 são compatíveis com muitos aplicativos do Windows 10, criando uma experiência de usuário quase idêntica a uma área de trabalho física.
Base de Dados SQL do Azure
O Agente de Conexão de Área de Trabalho Remota (RD) agora pode armazenar todas as informações de implantação, como estados de conexão e mapeamentos de usuário e host, em um Banco de Dados SQL (Structured Query Language) do Azure compartilhado. Esse recurso permite que você use um ambiente altamente disponível sem precisar usar um Grupo de Disponibilidade Always On do SQL Server. Para obter mais informações, consulte Uso do Banco de Dados SQL do Azure para o seu ambiente de alta disponibilidade do Broker de Conexão da Área de Trabalho Remota.
Melhorias gráficas
A Atribuição de Dispositivo Discreto para Hyper-V permite mapear unidades de processamento gráfico (GPUs) em uma máquina host diretamente para uma máquina virtual (VM). Todos os aplicativos na VM que precisam de mais GPUs do que a VM pode fornecer podem usar a GPU mapeada. Também melhoramos o RemoteFX vGPU, incluindo suporte para OpenGL 4.4, OpenCL 1.1, resolução 4K e VMs do Windows Server. Para obter mais informações, consulte Atribuição de dispositivo discreto.
Melhorias no Corretor de Conexão RD
Melhorámos a forma como o Gestor de Ligações RD processa a ligação durante picos de início de sessão, que são períodos de pedidos de início de sessão elevados por parte dos utilizadores. O Agente de Conexão RD agora pode lidar com mais de 10.000 solicitações de login simultâneas! As melhorias de manutenção também facilitam a execução de manutenção em sua implantação, podendo adicionar rapidamente os servidores de volta ao ambiente assim que estiverem prontos para voltar a ficar online. Para obter mais informações, consulte Desempenho aprimorado do agente de conexão de área de trabalho remota.
Alterações no protocolo RDP 10
O protocolo RDP (Remote Desktop Protocol) 10 agora usa o codec H.264/AVC 444, que otimiza tanto o vídeo quanto o texto. Esta versão também inclui suporte a comunicação remota por caneta. Esses novos recursos permitem que sua sessão remota se pareça mais com uma sessão local. Para obter mais informações, consulte Aprimoramentos do RDP 10 AVC/H.264 no Windows 10 e no Windows Server 2016.
Ambientes de desktop de sessões pessoais
Os ambientes de trabalho de sessão pessoal são uma nova funcionalidade que lhe permite alojar o seu próprio ambiente de trabalho pessoal na nuvem. Privilégios administrativos e hosts de sessão dedicados removem a complexidade de ambientes de hospedagem onde os usuários desejam gerenciar uma área de trabalho remota como uma área de trabalho local. Para obter mais informações, consulte Áreas de trabalho de sessão pessoal.
Autenticação Kerberos
O Windows Server 2016 inclui as seguintes atualizações para autenticação Kerberos.
Suporte KDC para autenticação de cliente baseada em Confiança de Chave Pública
Os Centros de Distribuição de Chaves (KDCs) agora suportam o mapeamento de chaves públicas. Se você provisionar uma chave pública para uma conta, o KDC suportará Kerberos PKInit explicitamente usando essa chave. Como não há validação de certificado, o Kerberos oferece suporte a certificados autoassinados, mas não oferece suporte à garantia do mecanismo de autenticação.
As contas configuradas para utilizar Key Trust usam apenas Key Trust, independentemente de como foi configurada a definição UseSubjectAltName.
Cliente Kerberos e suporte KDC para RFC 8070 PKInit Freshness Extension
A partir do Windows 10, versão 1607 e Windows Server 2016, os clientes Kerberos podem usar a extensão de atualização PKInit RFC 8070 para logon baseado em chave pública. Os KDCs têm a extensão PKInit freshness desabilitada por padrão, portanto, para habilitá-la, você deve configurar o suporte KDC para a política de modelo administrativo PKInit Freshness Extension KDC em todos os DCs em seu domínio.
A política tem as seguintes configurações disponíveis quando seu domínio está no nível funcional de domínio (DFL) do Windows Server 2016:
- Desativado: o KDC nunca oferece a Extensão de Atualização PKInit e aceita solicitações de autenticação válidas sem verificar se há atualização. Os usuários não recebem o SID de identidade de chave pública novo.
- Suportado: Kerberos suporta PKInit Freshness Extension a pedido. Os clientes Kerberos que se autenticam com êxito com a PKInit Freshness Extension recebem o SID de identidade de chave pública nova.
- Obrigatório: PKInit Freshness Extension é necessário para uma autenticação bem-sucedida. Os clientes Kerberos que não oferecem suporte à PKInit Freshness Extension sempre falharão ao usar credenciais de chave pública.
Suporte a dispositivos com integração no domínio para autenticação usando chave pública
Se um dispositivo associado a um domínio puder registrar sua chave pública acoplada com um controlador de domínio (DC) do Windows Server 2016, o dispositivo poderá se autenticar com a chave pública usando a autenticação PKInit Kerberos em um controlador de domínio do Windows Server 2016.
Os dispositivos associados a um domínio com chaves públicas associadas registadas num controlador de domínio do Windows Server 2016 podem agora autenticar-se num controlador de domínio do Windows Server 2016 utilizando os protocolos PKInit (Criptografia de Chave Pública para Autenticação Inicial) Kerberos. Para saber mais, consulte Autenticação de Chave Pública de Dispositivo Associado a um Domínio.
Os Centros de Distribuição de Chaves (KDCs) agora oferecem suporte à autenticação usando a confiança de chave Kerberos.
Para obter mais informações, consulte Suporte do KDC para mapeamento de conta Key Trust.
Os clientes Kerberos permitem nomes de anfitrião de endereços IPv4 e IPv6 nos Nomes Principais de Serviço (SPNs)
A partir do Windows 10 versão 1507 e do Windows Server 2016, você pode configurar clientes Kerberos para oferecer suporte a nomes de host IPv4 e IPv6 em SPNs. Para obter mais informações, consulte Configurando Kerberos para endereços IP.
Para configurar o suporte para nomes de host de endereço IP em SPNs, crie uma entrada TryIPSPN. Esta entrada não existe no registo por predefinição. Você deve colocar esta entrada no seguinte caminho:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Depois de criar a entrada, altere seu valor DWORD para 1. Se esse valor não estiver configurado, o Kerberos não tentará nomes de host de endereço IP.
A autenticação Kerberos só terá êxito se o SPN estiver registrado no Ative Directory.
Suporte KDC para mapeamento de conta Key Trust
Os controladores de domínio agora oferecem suporte ao mapeamento de conta por confiança de chave e ao recurso de fallback para AltSecID e UPN (Nome Principal de Usuário) existentes no comportamento SAN. Você pode configurar a variável UseSubjectAltName para as seguintes configurações:
Definir a variável como 0 torna o mapeamento explícito necessário. Os usuários devem usar uma confiança de chave ou definir uma variável ExplicitAltSecID.
Definir a variável como 1, que é o valor padrão, permite o mapeamento implícito.
Se você configurar uma Confiança de Chave para uma conta no Windows Server 2016 ou posterior, o KDC usará o KeyTrust para mapeamento.
Se não houver UPN na SAN, o KDC tentará usar o AltSecID para mapeamento.
Se houver um UPN na SAN, o KDC tentará usar o UPN para mapeamento.
Serviços de Federação do Active Directory (AD FS)
O AD FS para Windows Server 2016 contém as seguintes atualizações.
Entre com a autenticação multifator do Microsoft Entra
O AD FS 2016 baseia-se nos recursos de autenticação multifator (MFA) do AD FS no Windows Server 2012 R2. Agora você pode permitir o logon que requer apenas um código de autenticação multifator do Microsoft Entra em vez de um nome de usuário ou senha.
Quando você configura a autenticação multifator do Microsoft Entra como o método de autenticação principal, o AD FS solicita ao usuário seu nome de usuário e o código de senha de uso único (OTP) do aplicativo Azure Authenticator.
Quando você configura a autenticação multifator do Microsoft Entra como o método de autenticação secundário ou extra, o usuário fornece credenciais de autenticação primária. Os usuários podem entrar usando a Autenticação Integrada do Windows, que pode solicitar seu nome de usuário e senha, cartão inteligente ou um certificado de usuário ou dispositivo. Em seguida, o usuário verá um prompt para suas credenciais secundárias, como autenticação multifatorial baseada em texto, voz ou OTP do Microsoft Entra.
O novo adaptador de autenticação multifator Microsoft Entra integrado oferece instalação e configuração mais simples para autenticação multifator Microsoft Entra com AD FS.
As organizações podem usar a autenticação multifator do Microsoft Entra sem precisar de um servidor de autenticação multifator do Microsoft Entra local.
Você pode configurar a autenticação multifator do Microsoft Entra para intranet, extranet ou como parte de qualquer política de controle de acesso.
Para obter mais informações sobre a autenticação multifator do Microsoft Entra com o AD FS, consulte Configurar o AD FS 2016 e a autenticação multifator do Microsoft Entra.
Acesso sem senha a partir de dispositivos compatíveis
O AD FS 2016 baseia-se em capacidades de registo de dispositivos anteriores para permitir o início de sessão e o controlo de acesso em dispositivos com base no seu estado de conformidade. Os usuários podem fazer logon usando a credencial do dispositivo, e o AD FS reavalia a conformidade sempre que os atributos do dispositivo são alterados para garantir que as políticas estejam sendo aplicadas. Esse recurso habilita as seguintes políticas:
Habilite o acesso somente de dispositivos gerenciados e/ou compatíveis.
Habilite o Acesso à Extranet somente de dispositivos gerenciados e/ou compatíveis.
Exigir autenticação multifator para computadores que não são geridos ou que não cumprem os requisitos de conformidade.
O AD FS fornece o componente local de políticas de acesso condicional em um cenário híbrido. Ao registrar dispositivos no Azure AD para acesso condicional a recursos de nuvem, você também pode usar a identidade do dispositivo para políticas do AD FS.
Para obter mais informações sobre como usar o acesso condicional baseado em dispositivo na nuvem, consulte Acesso condicional do Ative Directory do Azure.
Para obter mais informações sobre como usar o acesso condicional baseado em dispositivo com o AD FS, consulte Planejando o acesso condicional baseado em dispositivo com AD FS e Políticas de controle de acesso no AD FS.
Iniciar sessão com o Windows Hello para Empresas
Os dispositivos Windows 10 introduzem o Windows Hello e o Windows Hello para Empresas, substituindo palavras-passe de utilizador por credenciais de utilizador fortes ligadas ao dispositivo, protegidas por um gesto do utilizador, como introduzir um PIN, um gesto biométrico como uma impressão digital ou reconhecimento facial. Com o Windows Hello, os utilizadores podem iniciar sessão em aplicações AD FS a partir de uma intranet ou extranet sem necessitarem de uma palavra-passe.
Para obter mais informações sobre como usar o Windows Hello for Business em sua organização, consulte Habilitar o Windows Hello for Business em sua organização.
Autenticação moderna
O AD FS 2016 suporta os protocolos modernos mais recentes que proporcionam uma melhor experiência de utilizador para o Windows 10 e para os mais recentes dispositivos e aplicações iOS e Android.
Para obter mais informações, consulte Cenários do AD FS para desenvolvedores.
Configurar políticas de controle de acesso sem precisar conhecer o idioma das regras de declaração
Anteriormente, os administradores do AD FS tinham que configurar políticas usando a linguagem da regra de declaração do AD FS, dificultando a configuração e a manutenção de políticas. Com as políticas de controle de acesso, os administradores podem usar modelos internos para aplicar políticas comuns. Por exemplo, você pode usar modelos para aplicar as seguintes políticas:
Permitir apenas acesso à intranet.
Permitir a todos e exigir autenticação multifator (MFA) da extranet.
Permitir a todos e requerer MFA de um grupo específico.
Os modelos são fáceis de personalizar. Você pode aplicar exceções ou regras de política extras e pode aplicar essas alterações a um ou mais aplicativos para uma aplicação consistente da política.
Para obter mais informações, consulte Políticas de controle de acesso no AD FS.
Habilitar o logon com diretórios LDAP não AD
Muitas organizações combinam o Ative Directory com diretórios de terceiros. O suporte do AD FS para autenticar usuários armazenados em diretórios compatíveis com LDAP (Lightweight Directory Access Protocol) v3 significa que agora você pode usar o AD FS nos seguintes cenários:
Usuários em diretórios de terceiros, compatíveis com LDAP v3.
Usuários em florestas do Ative Directory que não têm uma confiança bidirecional configurada do Ative Directory.
Utilizadores nos Serviços LDS do Active Directory (AD LDS).
Para obter mais informações, consulte Configurar o AD FS para autenticar usuários armazenados em diretórios LDAP.
Personalizar a experiência de início de sessão para aplicações AD FS
Anteriormente, o AD FS no Windows Server 2012 R2 fornecia uma experiência de logon comum para todos os aplicativos de terceira parte confiável, com a capacidade de personalizar um subconjunto de conteúdo baseado em texto por aplicativo. Com o Windows Server 2016, você pode personalizar não apenas as mensagens, mas imagens, logotipo e tema da Web por aplicativo. Além disso, pode-se criar novos temas web personalizados e aplicá-los por parte confiável.
Para obter mais informações, consulte Personalização de entrada do usuário do AD FS.
Auditoria simplificada para facilitar o gerenciamento administrativo
Em versões anteriores do AD FS, uma única solicitação podia gerar muitos eventos de auditoria. Informações relevantes sobre atividades de login ou emissão de token estavam frequentemente ausentes ou espalhadas por vários eventos de auditoria, tornando os problemas mais difíceis de diagnosticar. Como resultado, os eventos de auditoria foram desativados por padrão. No entanto, no AD FS 2016, o processo de auditoria é mais simplificado e as informações relevantes mais fáceis de encontrar. Para obter mais informações, consulte Aprimoramentos de auditoria para AD FS no Windows Server 2016.
Interoperabilidade melhorada com SAML 2.0 para participação em confederações
O AD FS 2016 contém mais suporte ao protocolo SAML, incluindo suporte para importação de relações de confiança com base em metadados que contêm várias entidades. Essa alteração permite configurar o AD FS para participar de confederações, como InCommon Federation e outras implementações em conformidade com o padrão eGov 2.0.
Para obter mais informações, consulte Interoperabilidade aprimorada com SAML 2.0.
Gerenciamento simplificado de senhas para usuários federados do Microsoft 365
Você pode configurar o AD FS para enviar declarações de expiração de senha para quaisquer relações de confiança ou aplicativos que elas protegem. A forma como estas declarações aparecem varia consoante os pedidos. Por exemplo, com o Office 365 como sua parte confiável, as atualizações são implementadas no Exchange e no Outlook para notificar os usuários federados sobre as suas senhas que estão prestes a expirarto-be.
Para obter mais informações, consulte Configurar o AD FS para enviar declarações de expiração de senha.
Mudar do AD FS no Windows Server 2012 R2 para o AD FS no Windows Server 2016 é mais fácil
Anteriormente, a migração para uma nova versão do AD FS exigia a exportação das definições de configuração da fazenda de servidores Windows para uma nova fazenda de servidores paralela. O AD FS no Windows Server 2016 facilita o processo removendo o requisito de ter um farm de servidores paralelo. Quando você adiciona um servidor Windows Server 2016 a um farm de servidores do Windows Server 2012 R2, o novo servidor se comporta como um servidor Windows Server 2012 R2. Quando estiver pronto para atualizar e tiver removido os servidores mais antigos, poderá alterar o nível operacional para o Windows Server 2016. Para saber mais, consulte Atualizando para o AD FS no Windows Server 2016.