自 Windows Server 2016 以来,AD DS 尚未收到任何重大更新,并且 Server 2019/2022 中的功能级别没有增加。随着长期服务渠道 (LTSC) 中操作系统的下一个版本的发布,该版本暂且被称为 Windows Server 2025。
Windows Server 2025 新功能级别
提升域或林的功能级别通常是为了利用相应服务器版本提供的新功能。AD DS 和轻量级域服务 (AD LDS) 的Windows Server 2025 更新的内部版本号为 10,而 Server 2016 的内部版本号为 7。在 Windows Server 的下一个 LTSC 版本中,Active Directory AD 将获得新的功能级别。
因此,微软将跳过版本 8 和版本 9,这些版本通常会提供给 Server 2019 和 2022,而这两个版本都停留在 2016 年的水平。根据公告,目前没有计划将这些未使用的版本追溯分配给两台旧服务器。
对于 Windows Server 2025 下新创建的 AD 林,最低功能级别必须设置为 Server 2016。如果您希望将Windows Server 2025 提升为现有域中的域控制器,则该域也必须至少处于 2016 功能级别。
更强大的数据库
将 AD 林升级到新功能级别 10 的主要原因是为了从增强的数据库引擎中受益。自从Windows Server 2000中引入AD以来,它一直使用8K页面大小,从而导致各种限制,例如单个对象的大小不能超过8K。
修改后的Jet Blue将页面大小扩展至32K,允许对象的最大大小达到该值。多值属性最多可容纳 3200 个值。
新的域控制器安装有 32K 页面大小并使用 64 位长值 ID。为了与现有环境兼容,它们还支持 8K 页面模式。
将现有 DC 升级到Windows Server 2025时,它们继续使用以前的数据库格式和 8K 页面大小。通过提高功能级别,全局向 32K 的过渡发生在林级别,假设所有 DC 都有支持 32K 的数据库,并且另外启用了该功能。
新版本还通过两个新的 LDF 文件扩展了 Active Directory 架构。AD LDS 的等效架构更新包含在文件MS-ADAM-Upgrade3.ldf中。
NUMA 支持
新的 NUMA(非统一内存访问)支持有利于可扩展性和性能。以前,AD DS 只能使用组 0 中的 CPU,但现在它们可以访问所有处理器组。然而,这一改进并不是 Windows Server 2025 独有的,因为它也随 2022 年 8 月 Windows Server 2022 的累积更新一起提供。
新的性能计数器
Microsoft 引入了几个新的计数器来跟踪各种 AD 操作的性能。这些涵盖以下功能:
- 本地安全机构 (LSA) 查找
- DC定位器
- LDAP客户端
- LDAP 客户端性能的新指标
复制伙伴的优先级
系统自动计算不同DC之间数据复制的优先级。然而,借助 Windows Server 2025,管理员现在能够提高特定复制伙伴的优先级。这为特定场景的复制提供了更大的灵活性。
定位DC的新算法
Microsoft 已禁用 WINS 和 Mailslots作为域成员定位 DC 的方法。新的发现算法允许根据 NetBIOS 名称找到 DC,而无需依赖这种过时的协议。
安全增强
Active Directory 的下一版本引入了多项安全增强功能,其中一些由于过去的问题而变得必要。
其中包括与 Kerberos 对 RC4 算法支持相关的改进,微软建议不要使用该算法,尤其是在发现CVE-2022-37966之后。RC4 现在已添加到不应使用的方法的密码列表中。
LDAP 通信现在支持基于 TLS 的 LDAP 的 TLS 1.3。此外,SASL 身份验证后会自动启用 LDAP 密封。
如果通过更严格的策略强制实施LDAP 通道绑定,则可能会发生错误,尤其是在较旧的设备上。两个新事件(3074 和 3075)旨在帮助检测此类问题。此选项现在在 Windows Server 2022 中也可用。
密码修改方法
当前用于更改密码的 SAM-RPC 方法使用 AES 加密,并被接受为新的默认方法。不过,微软将来会阻止一些较旧的 SAM-RPC。
对于受保护用户组的成员和域计算机的本地帐户,SAM-RPC 接口将默认被阻止。如果需要,可以通过组策略更改此设置。
在 Windows Server 的两个版本没有针对 AD DS 进行任何重大创新之后,Active Directory 再次获得重大增强。其中包括数据库升级,以解决长期存在的限制,这反映在森林和域的新功能级别上。
