新的域林功能级别Microsoft 上次增加Active Directory 功能层级是在 Windows Server 2016。在Windows Server 2019、Windows Server 2022都未针对操作系统更新对应的域林功能级别。Windows Server 2025增加了版本为WIndows Server 2025的域林功能级别管理员必须启用该级别才能使用Windows Server 2025新功能。NUMA支持应当对大规模部署有利Windows Server 2025 中新 Active Directory 取消 64 个 CPU 核心限制从而更好地支持非均匀内存访问NUMA。之前的域控环境中Active Directory 只能使用与 NUMA 组 0 相关的 CPU而 NUMA 通常是系统默认的 NUMA 节点。即使硬件有多个NUMA组Active Directory也只能访问默认的NUMA节点。在 Windows Server 2025 中Microsoft 取消了这一限制Active Directory 将使用多个 NUMA 组的所有 CPU。这些变化应显著提升拥有大型Active Directory部署企业的性能NUMA带来的提升突破 64 核限制单个 DC 可以利用超过 64 个逻辑处理器充分释放现代高核心数服务器的性能。提高并发处理能力LDAP 查询、复制、身份验证等操作可以更均匀地分布在多个 NUMA 节点上减少资源争用。更好的可扩展性适合大型企业、云环境或超融合基础设施单域控制器可支撑更多用户和对象。数据库页面大小会有所提升Active Directory 从 Windows 2000 开始就一直使用可扩展存储引擎ESE即 JET Blue作为数据库引擎。几十年来数据库页大小始终是8 KB这在当时是合理的设计但随着企业规模扩大、对象属性越来越复杂8 KB 的页面限制带来了几个问题大对象存储效率低当单个属性如 member 属性包含大量组成员或对象的总大小超过 8 KB 时ESE 必须使用“长值页”long-value pages进行跨页存储增加了碎片和 I/O 开销。多值属性限制每个属性实例的“值”数量受限于单页容量。对于多值属性如 member、proxyAddresses经典的限制大约在 12001500 个值超出后无法直接存储。性能瓶颈大量跨页读取会使 LDAP 查询和复制的效率下降尤其在高密度环境中如大型组、Exchange 或 Azure AD Connect 同步。在 Windows Server 2025 中Microsoft 将将页面大小增加到 32 KB这将惠及需要存储大量多值属性以创建更复杂对象的组织。Microsoft还将将多值属性限制从约1200个提高到约3200个。备注将域控制器升级到 Windows Server 2025 不会增加其页面大小。这是一个林级操作必须同时应用于所有域控制器。域控制器部署变得更简单Windows Server 2025 让域控部署变得更简单主要体现在Windows Update 支持不需要 ISO 介质在线即可完成版本升级命令行更强大一条命令完成角色安装 域配置 DNS 设置图形界面更友好初始设置向导化本地服务器状态一目了然无论你是喜欢敲命令的自动化玩家还是习惯图形界面的管理员Windows Server 2025 都能让你更快地上手部署域控。管理员可以微调域控制器复制在以往的 Active Directory 版本中域控制器之间的复制主要依赖站点拓扑通过 KCC 自动生成站点链接成本Cost复制计划Schedule管理员无法直接指定哪两个域控制器之间应该优先复制。所有域控制器在复制拓扑中基本上是“平等”的。Windows Server 2025 打破了这一限制允许管理员调整域控制器之间的复制优先级从而优化跨站点复制流量让关键域控制器之间的数据同步更快。减少延迟敏感场景的复制等待时间例如密码变更、账户锁定等需要快速传播的操作。更精细地控制复制拓扑避免因自动生成的拓扑结构导致某些域控制器负载过重或同步延迟过大。托管服务账户功能提升了安全性Windows Server 2025 引入的委派托管服务账户dMSA 是一项旨在解决传统服务账户安全痛点的新功能。在Windows Server 2022 版本之前的密码的安全管理一般都是组策略中的账户密码复杂度来实现定期的密码更改要求密码长度要求复杂度要求等。而服务账户的特殊性不允许频繁的密码变更操作。委派托管服务账户dMSA可以实现以下的优化维度设计目标理想密码管理密码由 AD 自动生成并定期轮换管理员无需接触彻底消除密码泄露和“Kerberoasting”攻击的风险。权限管控身份与特定设备绑定只有授权的计算机才能使用该账户防止凭证被恶意复用。迁移体验支持将传统的、手动管理的旧服务账户平滑迁移至自动化的 dMSA整个过程对业务无感。新的计数器有助于排查和监控DC 定位器特定于客户端和 DC 的计数器可用。LSA 查找通过 LsaLookupNames、LsaLookupSids 和等效的 API 进行的名称和 SID 查找。 这些计数器在客户端和服务器版本上都可用。LDAP 客户端通过 KB 5029250 更新在 Windows Server 2022 及更高版本中可用。Microsoft加强Kerberos认证•改进针对名称/SID 查找的算法不同计算机帐户之间的本地安全机构 (LSA) 名称和 SID 查找转发功能不再使用旧版 Netlogon 安全通道。 将改用 Kerberos 身份验证和 DC 定位器算法。 为保持与旧操作系统的兼容性仍可使用 Netlogon 安全通道作为回退选项。比项旧版机制Windows Server 2025 新版机制查找协议Netlogon 安全通道基于 NTLM/RPCKerberos 身份验证 DC 定位器算法认证强度依赖 NTLM存在哈希传递等风险基于 Kerberos 票据支持 AES 加密DC 发现方式依赖 Netlogon 缓存的域控制器列表使用 DC 定位器算法DNS SRV 查询 站点感知回退机制无或全部依赖 Netlogon若 Kerberos 路径失败可回退到 Netlogon 安全通道兼容旧系统• 改进了机密属性的安全性仅当连接加密时DC 和 AD LDS 实例才允许 LDAP 执行涉及机密属性的添加、搜索和修改操作。维度Windows Server 2022 及更早版本Windows Server 2025机密属性访问策略建议使用加密但非强制默认强制加密LDAP 签名与绑定可手动配置LDAP 签名和通道绑定默认启用加密协议支持 TLS 1.0/1.1/1.2默认支持并首选 TLS 1.3未加密的请求通常被允许存在数据泄露风险服务器会拒绝执行并记录审计事件• 改进了默认计算机帐户密码的安全性Active Directory 现在使用随机生成的默认计算机帐户密码。 Windows 2025 DC 会阻止将计算机帐户密码设为计算机帐户名称的默认密码。若要控制此行为请 域控制器启用组策略对象GPO设置拒绝 计算机配置\Windows 设置\安全设置\本地策略\安全选项中设置默认计算机帐户 密码。对比维度Windows Server 2025 之前Windows Server 2025默认密码值基于计算机账户名如 DC01$生成随机生成的强密码密码复杂度可被预测存在被暴力破解的风险高熵值难以猜测是否可预判攻击者可通过计算机名推测密码攻击者无法预判或推导安全强度低相当于已知默认凭据高随机化无法猜测核心点计算机账户不再按照特定规则生成密码二十随机生成强密码且拒绝弱密码Active Directory 管理中心ADAC、Active Directory 用户和计算机ADUC、net computer等实用工具dsmod 也遵循这一新行为。 ADAC 和 ADUC 都不再允许创建 Windows 2000 之前的帐户。• zh-CN: Kerberos PKINIT 对加密敏捷性的支持Kerberos 公钥加密的初始身份验证协议实现已更新通过支持更多算法和移除硬编码算法来实现加密敏捷性。维度Windows Server 2022 及之前Windows Server 2025算法支持方式硬编码部分算法扩展性差动态协商支持更多算法椭圆曲线加密 (ECC)支持有限曲线如 secp256r1支持 更多曲线类型包括符合 Suite B 要求的曲线哈希算法主要依赖 SHA-1 系列支持 SHA-2 系列SHA-256、SHA-384 等证书信任链处理相对固定更灵活的验证机制支持现代 PKI 架构协议协商能力客户端与 KDC 之间协商能力有限完整的算法协商机制双方选择共同支持的最优算法核心点不再支持旧版弱算法SHA-1CA• Kerberos 对用于票证授予票证的算法进行的变更Kerberos 分发中心将不再颁发使用 RC4 加密例如 RC4-HMAC(NT)的票证授予票证。• Kerberos 更改了支持的加密类型配置Kerberos 不再支持路径 SupportedEncryptionTypes 中找到的旧版注册表项 REG_DWORD HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Kerberos\ParametersMicrosoft 建议使用组策略。• LAN Manager GPO 设置GPO 设置 网络安全不要将 LAN Manager 哈希值存储在下次密码更改中。 该设置已不存在也不适用于新版本的 Windows。• 默认情况下LDAP 加密所有新的 Active Directory 部署在简单身份验证和安全层SASL绑定后默认情况下所有 LDAP 客户端通信都需要 LDAP 签名密封。• 针对传输层安全 (TLS) 1.3 的 LDAP 支持LDAP 使用最新的 SCHANNEL 实现并支持为基于 TLS 连接的 LDAP 使用 TLS 1.3。 使用 TLS 1.3 可消除过时的加密算法并增强旧版本的安全性。 TLS 1.3 旨在尽可能多地加密握手。• 旧版安全帐户管理器SAM远程过程调用RPC密码更改行为安全协议如 Kerberos是更改域用户密码的首选方法。 在 DC 上当远程调用时默认使用高级加密标准 (AES) 接受最新的 SAM RPC 密码更改方法 SamrUnicodeChangePasswordUser4。 默认情况下远程调用以下旧 SAM RPC 方法时会阻止这些方法◦ SamrChangePasswordUser◦ SamrOemChangePasswordUser2◦ SamrUnicodeChangePasswordUser2对于属于 受保护用户 组和域成员计算机上的本地帐户的域用户默认情况下会阻止通过旧 SAM RPC 接口进行的所有远程密码更改包括 SamrUnicodeChangePasswordUser4。
Windows Server 2015 AD 域控 新功能新变化
新的域林功能级别Microsoft 上次增加Active Directory 功能层级是在 Windows Server 2016。在Windows Server 2019、Windows Server 2022都未针对操作系统更新对应的域林功能级别。Windows Server 2025增加了版本为WIndows Server 2025的域林功能级别管理员必须启用该级别才能使用Windows Server 2025新功能。NUMA支持应当对大规模部署有利Windows Server 2025 中新 Active Directory 取消 64 个 CPU 核心限制从而更好地支持非均匀内存访问NUMA。之前的域控环境中Active Directory 只能使用与 NUMA 组 0 相关的 CPU而 NUMA 通常是系统默认的 NUMA 节点。即使硬件有多个NUMA组Active Directory也只能访问默认的NUMA节点。在 Windows Server 2025 中Microsoft 取消了这一限制Active Directory 将使用多个 NUMA 组的所有 CPU。这些变化应显著提升拥有大型Active Directory部署企业的性能NUMA带来的提升突破 64 核限制单个 DC 可以利用超过 64 个逻辑处理器充分释放现代高核心数服务器的性能。提高并发处理能力LDAP 查询、复制、身份验证等操作可以更均匀地分布在多个 NUMA 节点上减少资源争用。更好的可扩展性适合大型企业、云环境或超融合基础设施单域控制器可支撑更多用户和对象。数据库页面大小会有所提升Active Directory 从 Windows 2000 开始就一直使用可扩展存储引擎ESE即 JET Blue作为数据库引擎。几十年来数据库页大小始终是8 KB这在当时是合理的设计但随着企业规模扩大、对象属性越来越复杂8 KB 的页面限制带来了几个问题大对象存储效率低当单个属性如 member 属性包含大量组成员或对象的总大小超过 8 KB 时ESE 必须使用“长值页”long-value pages进行跨页存储增加了碎片和 I/O 开销。多值属性限制每个属性实例的“值”数量受限于单页容量。对于多值属性如 member、proxyAddresses经典的限制大约在 12001500 个值超出后无法直接存储。性能瓶颈大量跨页读取会使 LDAP 查询和复制的效率下降尤其在高密度环境中如大型组、Exchange 或 Azure AD Connect 同步。在 Windows Server 2025 中Microsoft 将将页面大小增加到 32 KB这将惠及需要存储大量多值属性以创建更复杂对象的组织。Microsoft还将将多值属性限制从约1200个提高到约3200个。备注将域控制器升级到 Windows Server 2025 不会增加其页面大小。这是一个林级操作必须同时应用于所有域控制器。域控制器部署变得更简单Windows Server 2025 让域控部署变得更简单主要体现在Windows Update 支持不需要 ISO 介质在线即可完成版本升级命令行更强大一条命令完成角色安装 域配置 DNS 设置图形界面更友好初始设置向导化本地服务器状态一目了然无论你是喜欢敲命令的自动化玩家还是习惯图形界面的管理员Windows Server 2025 都能让你更快地上手部署域控。管理员可以微调域控制器复制在以往的 Active Directory 版本中域控制器之间的复制主要依赖站点拓扑通过 KCC 自动生成站点链接成本Cost复制计划Schedule管理员无法直接指定哪两个域控制器之间应该优先复制。所有域控制器在复制拓扑中基本上是“平等”的。Windows Server 2025 打破了这一限制允许管理员调整域控制器之间的复制优先级从而优化跨站点复制流量让关键域控制器之间的数据同步更快。减少延迟敏感场景的复制等待时间例如密码变更、账户锁定等需要快速传播的操作。更精细地控制复制拓扑避免因自动生成的拓扑结构导致某些域控制器负载过重或同步延迟过大。托管服务账户功能提升了安全性Windows Server 2025 引入的委派托管服务账户dMSA 是一项旨在解决传统服务账户安全痛点的新功能。在Windows Server 2022 版本之前的密码的安全管理一般都是组策略中的账户密码复杂度来实现定期的密码更改要求密码长度要求复杂度要求等。而服务账户的特殊性不允许频繁的密码变更操作。委派托管服务账户dMSA可以实现以下的优化维度设计目标理想密码管理密码由 AD 自动生成并定期轮换管理员无需接触彻底消除密码泄露和“Kerberoasting”攻击的风险。权限管控身份与特定设备绑定只有授权的计算机才能使用该账户防止凭证被恶意复用。迁移体验支持将传统的、手动管理的旧服务账户平滑迁移至自动化的 dMSA整个过程对业务无感。新的计数器有助于排查和监控DC 定位器特定于客户端和 DC 的计数器可用。LSA 查找通过 LsaLookupNames、LsaLookupSids 和等效的 API 进行的名称和 SID 查找。 这些计数器在客户端和服务器版本上都可用。LDAP 客户端通过 KB 5029250 更新在 Windows Server 2022 及更高版本中可用。Microsoft加强Kerberos认证•改进针对名称/SID 查找的算法不同计算机帐户之间的本地安全机构 (LSA) 名称和 SID 查找转发功能不再使用旧版 Netlogon 安全通道。 将改用 Kerberos 身份验证和 DC 定位器算法。 为保持与旧操作系统的兼容性仍可使用 Netlogon 安全通道作为回退选项。比项旧版机制Windows Server 2025 新版机制查找协议Netlogon 安全通道基于 NTLM/RPCKerberos 身份验证 DC 定位器算法认证强度依赖 NTLM存在哈希传递等风险基于 Kerberos 票据支持 AES 加密DC 发现方式依赖 Netlogon 缓存的域控制器列表使用 DC 定位器算法DNS SRV 查询 站点感知回退机制无或全部依赖 Netlogon若 Kerberos 路径失败可回退到 Netlogon 安全通道兼容旧系统• 改进了机密属性的安全性仅当连接加密时DC 和 AD LDS 实例才允许 LDAP 执行涉及机密属性的添加、搜索和修改操作。维度Windows Server 2022 及更早版本Windows Server 2025机密属性访问策略建议使用加密但非强制默认强制加密LDAP 签名与绑定可手动配置LDAP 签名和通道绑定默认启用加密协议支持 TLS 1.0/1.1/1.2默认支持并首选 TLS 1.3未加密的请求通常被允许存在数据泄露风险服务器会拒绝执行并记录审计事件• 改进了默认计算机帐户密码的安全性Active Directory 现在使用随机生成的默认计算机帐户密码。 Windows 2025 DC 会阻止将计算机帐户密码设为计算机帐户名称的默认密码。若要控制此行为请 域控制器启用组策略对象GPO设置拒绝 计算机配置\Windows 设置\安全设置\本地策略\安全选项中设置默认计算机帐户 密码。对比维度Windows Server 2025 之前Windows Server 2025默认密码值基于计算机账户名如 DC01$生成随机生成的强密码密码复杂度可被预测存在被暴力破解的风险高熵值难以猜测是否可预判攻击者可通过计算机名推测密码攻击者无法预判或推导安全强度低相当于已知默认凭据高随机化无法猜测核心点计算机账户不再按照特定规则生成密码二十随机生成强密码且拒绝弱密码Active Directory 管理中心ADAC、Active Directory 用户和计算机ADUC、net computer等实用工具dsmod 也遵循这一新行为。 ADAC 和 ADUC 都不再允许创建 Windows 2000 之前的帐户。• zh-CN: Kerberos PKINIT 对加密敏捷性的支持Kerberos 公钥加密的初始身份验证协议实现已更新通过支持更多算法和移除硬编码算法来实现加密敏捷性。维度Windows Server 2022 及之前Windows Server 2025算法支持方式硬编码部分算法扩展性差动态协商支持更多算法椭圆曲线加密 (ECC)支持有限曲线如 secp256r1支持 更多曲线类型包括符合 Suite B 要求的曲线哈希算法主要依赖 SHA-1 系列支持 SHA-2 系列SHA-256、SHA-384 等证书信任链处理相对固定更灵活的验证机制支持现代 PKI 架构协议协商能力客户端与 KDC 之间协商能力有限完整的算法协商机制双方选择共同支持的最优算法核心点不再支持旧版弱算法SHA-1CA• Kerberos 对用于票证授予票证的算法进行的变更Kerberos 分发中心将不再颁发使用 RC4 加密例如 RC4-HMAC(NT)的票证授予票证。• Kerberos 更改了支持的加密类型配置Kerberos 不再支持路径 SupportedEncryptionTypes 中找到的旧版注册表项 REG_DWORD HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Kerberos\ParametersMicrosoft 建议使用组策略。• LAN Manager GPO 设置GPO 设置 网络安全不要将 LAN Manager 哈希值存储在下次密码更改中。 该设置已不存在也不适用于新版本的 Windows。• 默认情况下LDAP 加密所有新的 Active Directory 部署在简单身份验证和安全层SASL绑定后默认情况下所有 LDAP 客户端通信都需要 LDAP 签名密封。• 针对传输层安全 (TLS) 1.3 的 LDAP 支持LDAP 使用最新的 SCHANNEL 实现并支持为基于 TLS 连接的 LDAP 使用 TLS 1.3。 使用 TLS 1.3 可消除过时的加密算法并增强旧版本的安全性。 TLS 1.3 旨在尽可能多地加密握手。• 旧版安全帐户管理器SAM远程过程调用RPC密码更改行为安全协议如 Kerberos是更改域用户密码的首选方法。 在 DC 上当远程调用时默认使用高级加密标准 (AES) 接受最新的 SAM RPC 密码更改方法 SamrUnicodeChangePasswordUser4。 默认情况下远程调用以下旧 SAM RPC 方法时会阻止这些方法◦ SamrChangePasswordUser◦ SamrOemChangePasswordUser2◦ SamrUnicodeChangePasswordUser2对于属于 受保护用户 组和域成员计算机上的本地帐户的域用户默认情况下会阻止通过旧 SAM RPC 接口进行的所有远程密码更改包括 SamrUnicodeChangePasswordUser4。