本公众号会持续更新基于Windows Server 2025的全系列微软产品的安装介绍,敬请关注!
微软活动目录历经多年后,我们又很高兴的迎来他的新变化。首先一点就是林功能级别以及域功能级别,我们知道自从Windows Server 2016之后,历经两个版本,林功能级别以及域功能级别都没有变化,这次我们在Windows Server 2025的新域控制器部署中可以发现,他们已经被更新到Windows Server 2025了。
Active Directory 中有两种类型的功能级别:域功能级别和林功能级别。
-
域功能级别启用仅影响整个域和该域的功能,以及控制哪些 Windows Server系统可以在域中的域控制器上运行。为域设置功能级别将启用影响整个域的功能,并且不会影响同一林中的任何其他域。 -
林功能级别支持林中所有域的功能,以及控制哪些 Windows Server系统可以在林中所有域中的域控制器上运行。
-
Windows 2000 Native Mode - Functional Level 2 -
Windows Server 2003 - Functional Level 3 -
Windows Server 2008 - Functional Level 4 -
Windows Server 2008 R2 - Functional Level 5 -
Windows Server 2012 - Functional Level 6 -
Windows Server 2012 R2 - Functional Level 7 -
Windows Server 2016 - Functional Level 7 -
Windows Server 2019 - Functional Level 7 -
Windows Server 2022 - Functional Level 7 -
Windows Server 2025 - Functional Level 10
自从在使用 8k 数据库页面大小的 Windows 2000 中引入可扩展存储引擎 (ESE) 数据库后,AD 便使用此数据库。8k 架构设计决策导致整个 AD 存在某些限制,而这些限制已记录在 AD 最大限制可伸缩性中。此限制的其中一个示例为单个记录 AD 对象,而其大小不能超过 8k 字节。迁移到 32k 数据库页面格式对受过往限制影响的领域实现了巨大改进,其中就包括多值属性现在可存储高达 3,200 个值(以 2.6 为系数的一个增幅)。
新的 DC 可与 32k 页面数据库一起安装,而该数据库会使用 64 位长整型值 ID (LID) 并在“8k 页面模式”下运行,以便与以前的版本保持兼容。升级后的 DC 会继续使用其当前的数据库格式和 8k 页面。迁移到 32k 数据库页面操作会在林范围内完成,且要求林中的所有 DC 均具有支持 32k 页面的数据库。
各操作系统版本的Active Directory Schema版本参考:
操作系统
|
架构版本
|
Windows Server 2012
|
56
|
Windows Server 2012 R2
|
69
|
Windows Server 2016
|
87
|
Windows Server 2019
|
88
|
Windows Server 2022
|
88
|
Windows Server 2025
|
91 |
在以上两个比较显著的更新外,Windows Server 2025活动目录还提供了很多增强的功能,详见如下介绍:
AD 对象修复 - AD 现在允许企业管理员修复缺少核心属性 SamAccountType 和 ObjectCategory 的对象。企业管理员可将对象的 LastLogonTimeStamp 属性重置为当前时间。这些操作会通过新的 RootDSE 来修改名为 fixupObjectState 的受影响对象的操作功能来实现。
通道绑定审核支持 - 现在可为轻型目录访问协议 (LDAP) 通道绑定启用事件 3074 和 3075。 当通道绑定策略修改为更安全的设置时,管理员可以识别环境中不支持或失败的通道绑定的设备。 这些审核事件也可在 Windows Server 2022 及更高版本中通过 KB4520412 来查询。
DC 位置算法改进 - DC 发现算法提供了新功能,同时改进了将 NetBIOS 式短域名映射到 DNS 式域名的新功能。
改进针对名称/Sid 查找的算法 - 不同计算机帐户之间的本地安全机构 (LSA) 名称和 Sid 查找转发功能不再使用旧版 Netlogon 安全通道。 改用 Kerberos 身份验证和 DC 定位器算法。 为保持与旧操作系统的兼容性,仍可使用 Netlogon 安全通道作为回退选项。
改进了机密属性 的安全性 - DC 和 AD LDS 实例仅允许 LDAP 在加密连接时添加、搜索和修改涉及机密属性的操作。
改进默认计算机帐户密码的安全性 - AD 现在使用随机生成的默认计算机帐户密码。 Windows Server 2025 域控制器会阻止将计算机帐户密码设为计算机帐户名称的默认密码。可通过启用 GPO 设置域控制器:拒绝设置默认计算机帐户密码来控制此行为,该设置位于:计算机配置\Windows 设置\安全设置\本地策略\安全选项
Active Directory 管理中心 (ADAC)、Active Directory 用户和计算机 (ADUC)、net computer 和 dsmod 等实用工具也遵循此新行为。 ADAC 和 ADUC 均不再允许创建 2k 之前的 Windows 帐户。
用于实现加密敏捷性的 Kerberos PKINIT 支持 - 现已更新 Kerberos 中用于初始身份验证的 Kerberos 公钥加密 (PKINIT) 协议实现,从而通过支持更多算法并删除硬编码算法来实现加密敏捷性。
LAN Manager GPO 设置 - GPO 设置“网络安全性:下次更改密码时不存储 LAN Manager 哈希值”不再显示,同时也不适用于新版本的 Windows。
默认进行 LDAP 加密 - 默认情况下,执行简单身份验证和安全层 (SASL) 绑定后,所有 LDAP 客户端通信均会使用 LDAP 密封。
针对 TLS 1.3 的 LDAP 支持 - LDAP 使用最新的 SCHANNEL 实现,并支持为基于 TLS 连接的 LDAP 使用 TLS 1.3。 使用 TLS 1.3 可以消除过时的加密算法,提供比旧版本更高的安全性,旨在实现尽可能多的握手加密。
旧版 SAM RPC 密码更改行为 - 安全协议(如 Kerberos)是更改域用户密码的首选方法。 在 DC 上进行远程调用时,默认接受使用 AES 的最新 SAM RPC 密码更改方法 SamrUnicodeChangePasswordUser4。 进行远程调用时,默认会阻止以下旧 SAM RPC 方法:
SamrChangePasswordUser
SamrOemChangePasswordUser2
SamrUnicodeChangePasswordUser2
对于属于受保护用户组成员的域用户和域成员计算机上的本地帐户,默认情况下会阻止所有通过旧 SAM RPC 接口进行的远程密码更改,包括 SamrUnicodeChangePasswordUser4。可使用以下组策略对象 (GPO) 设置来控制此行为:计算机配置 > 管理模板 > 系统 > 安全帐户管理器 > 配置 SAM 更改密码 RPC 方法策略
NUMA 支持 - AD DS 现在会通过使用所有处理器组中的 CPU 来利用支持非一致性内存访问 (NUMA) 的硬件。以前,AD 只会在组 0 中使用 CPU。Active Directory 可扩展到 64 个内核以上。
性能计数器 - 现在提供针对以下计数器的性能监视和故障排除:
DC 定位器 - 提供特定于客户端和 DC 的计数器。
通过 LsaLookupNames、LsaLookupSids 和等效 API 的 LSA 查找 - 名称和 SID 查找。这些计数器可同时用于客户端与服务器 SKU。
LDAP 客户端 - 可通过 KB 5029250 更新在 Windows Server 2022 及更高版本中使用。
复制优先级顺序 - AD 现在允许管理员为特定命名上下文提高针对特定复制伙伴的系统计算出的复制优先级。此功能允许更灵活地配置复制顺序以解决特定方案。