Windows Server 2015 AD 域控 新功能新变化
- 新的域林功能级别
Microsoft 上次增加Active Directory 功能层级是在 Windows Server 2016。在Windows Server 2019、Windows Server 2022都未针对操作系统更新对应的域林功能级别。Windows Server 2025增加了版本为WIndows Server 2025的域林功能级别,管理员必须启用该级别才能使用Windows Server 2025新功能。
- NUMA支持应当对大规模部署有利
Windows Server 2025 中新 Active Directory 取消 64 个 CPU 核心限制,从而更好地支持非均匀内存访问(NUMA)。之前的域控环境中,Active Directory 只能使用与 NUMA 组 0 相关的 CPU,而 NUMA 通常是系统默认的 NUMA 节点。即使硬件有多个NUMA组,Active Directory也只能访问默认的NUMA节点。在 Windows Server 2025 中,Microsoft 取消了这一限制,Active Directory 将使用多个 NUMA 组的所有 CPU。这些变化应显著提升拥有大型Active Directory部署企业的性能
NUMA带来的提升:
突破 64 核限制:单个 DC 可以利用超过 64 个逻辑处理器,充分释放现代高核心数服务器的性能。
提高并发处理能力:LDAP 查询、复制、身份验证等操作可以更均匀地分布在多个 NUMA 节点上,减少资源争用。
更好的可扩展性:适合大型企业、云环境或超融合基础设施,单域控制器可支撑更多用户和对象。
- 数据库页面大小会有所提升
Active Directory 从 Windows 2000 开始就一直使用可扩展存储引擎(ESE,即 JET Blue)作为数据库引擎。几十年来,数据库页大小始终是8 KB,这在当时是合理的设计,但随着企业规模扩大、对象属性越来越复杂,8 KB 的页面限制带来了几个问题:
大对象存储效率低:当单个属性(如 member 属性包含大量组成员)或对象的总大小超过 8 KB 时,ESE 必须使用“长值页”(long-value pages)进行跨页存储,增加了碎片和 I/O 开销。
多值属性限制:每个属性实例的“值”数量受限于单页容量。对于多值属性(如 member、proxyAddresses),经典的限制大约在 1200~1500 个值,超出后无法直接存储。
性能瓶颈:大量跨页读取会使 LDAP 查询和复制的效率下降,尤其在高密度环境中(如大型组、Exchange 或 Azure AD Connect 同步)。
在 Windows Server 2025 中,Microsoft 将将页面大小增加到 32 KB,这将惠及需要存储大量多值属性以创建更复杂对象的组织。Microsoft还将将多值属性限制从约1200个提高到约3200个。
备注:将域控制器升级到 Windows Server 2025 不会增加其页面大小。这是一个林级操作,必须同时应用于所有域控制器。
- 域控制器部署变得更简单
Windows Server 2025 让域控部署变得更简单主要体现在:
- Windows Update 支持:不需要 ISO 介质,在线即可完成版本升级
- 命令行更强大:一条命令完成角色安装 + 域配置 + DNS 设置
- 图形界面更友好:初始设置向导化,本地服务器状态一目了然
无论你是喜欢敲命令的自动化玩家,还是习惯图形界面的管理员,Windows Server 2025 都能让你更快地上手部署域控。
- 管理员可以微调域控制器复制
在以往的 Active Directory 版本中,域控制器之间的复制主要依赖:
- 站点拓扑(通过 KCC 自动生成)
- 站点链接成本(Cost)
- 复制计划(Schedule)
管理员无法直接指定哪两个域控制器之间应该优先复制。所有域控制器在复制拓扑中基本上是“平等”的。Windows Server 2025 打破了这一限制,允许管理员调整域控制器之间的复制优先级,从而:
- 优化跨站点复制流量:让关键域控制器之间的数据同步更快。
- 减少延迟敏感场景的复制等待时间:例如密码变更、账户锁定等需要快速传播的操作。
- 更精细地控制复制拓扑:避免因自动生成的拓扑结构导致某些域控制器负载过重或同步延迟过大。
- 托管服务账户功能提升了安全性
Windows Server 2025 引入的委派托管服务账户(dMSA) 是一项旨在解决传统服务账户安全痛点的新功能。在Windows Server 2022 版本之前的密码的安全管理一般都是组策略中的账户密码复杂度来实现,定期的密码更改要求,密码长度要求,复杂度要求等。而服务账户的特殊性不允许频繁的密码变更操作。
委派托管服务账户(dMSA)可以实现以下的优化
维度 | 设计目标(理想) |
密码管理 | 密码由 AD 自动生成并定期轮换,管理员无需接触,彻底消除密码泄露和“Kerberoasting”攻击的风险。 |
权限管控 | 身份与特定设备绑定,只有授权的计算机才能使用该账户,防止凭证被恶意复用。 |
迁移体验 | 支持将传统的、手动管理的旧服务账户平滑迁移至自动化的 dMSA,整个过程对业务无感。 |
- 新的计数器有助于排查和监控
DC 定位器:特定于客户端和 DC 的计数器可用。
LSA 查找:通过 LsaLookupNames、LsaLookupSids 和等效的 API 进行的名称和 SID 查找。 这些计数器在客户端和服务器版本上都可用。
LDAP 客户端:通过 KB 5029250 更新在 Windows Server 2022 及更高版本中可用。
- Microsoft加强Kerberos认证
•改进针对名称/SID 查找的算法:不同计算机帐户之间的本地安全机构 (LSA) 名称和 SID 查找转发功能不再使用旧版 Netlogon 安全通道。 将改用 Kerberos 身份验证和 DC 定位器算法。 为保持与旧操作系统的兼容性,仍可使用 Netlogon 安全通道作为回退选项。
比项 | 旧版机制 | Windows Server 2025 新版机制 |
查找协议 | Netlogon 安全通道(基于 NTLM/RPC) | Kerberos 身份验证 + DC 定位器算法 |
认证强度 | 依赖 NTLM,存在哈希传递等风险 | 基于 Kerberos 票据,支持 AES 加密 |
DC 发现方式 | 依赖 Netlogon 缓存的域控制器列表 | 使用 DC 定位器算法(DNS SRV 查询 + 站点感知) |
回退机制 | 无(或全部依赖 Netlogon) | 若 Kerberos 路径失败,可回退到 Netlogon 安全通道(兼容旧系统) |
• 改进了机密属性的安全性:仅当连接加密时,DC 和 AD LDS 实例才允许 LDAP 执行涉及机密属性的添加、搜索和修改操作。
维度 | Windows Server 2022 及更早版本 | Windows Server 2025 |
机密属性访问策略 | 建议使用加密,但非强制 | 默认强制加密 |
LDAP 签名与绑定 | 可手动配置 | LDAP 签名和通道绑定默认启用 |
加密协议 | 支持 TLS 1.0/1.1/1.2 | 默认支持并首选 TLS 1.3 |
未加密的请求 | 通常被允许,存在数据泄露风险 | 服务器会拒绝执行,并记录审计事件 |
• 改进了默认计算机帐户密码的安全性:Active Directory 现在使用随机生成的默认计算机帐户密码。 Windows 2025 DC 会阻止将计算机帐户密码设为计算机帐户名称的默认密码。
若要控制此行为,请 域控制器启用组策略对象(GPO)设置:拒绝 计算机配置\Windows 设置\安全设置\本地策略\安全选项中设置默认计算机帐户 密码。
对比维度 | Windows Server 2025 之前 | Windows Server 2025 |
默认密码值 | 基于计算机账户名(如 | 随机生成的强密码 |
密码复杂度 | 可被预测,存在被暴力破解的风险 | 高熵值,难以猜测 |
是否可预判 | 攻击者可通过计算机名推测密码 | 攻击者无法预判或推导 |
安全强度 | 低(相当于已知默认凭据) | 高(随机化,无法猜测) |
核心点:计算机账户不再按照特定规则生成密码,二十随机生成强密码且拒绝弱密码
Active Directory 管理中心(ADAC)、Active Directory 用户和计算机(ADUC)、net computer等实用工具,dsmod 也遵循这一新行为。 ADAC 和 ADUC 都不再允许创建 Windows 2000 之前的帐户。
• zh-CN: Kerberos PKINIT 对加密敏捷性的支持:Kerberos 公钥加密的初始身份验证协议实现已更新,通过支持更多算法和移除硬编码算法来实现加密敏捷性。
维度 | Windows Server 2022 及之前 | Windows Server 2025 |
算法支持方式 | 硬编码部分算法,扩展性差 | 动态协商,支持更多算法 |
椭圆曲线加密 (ECC) | 支持有限曲线(如 secp256r1) | 支持 更多曲线类型,包括符合 Suite B 要求的曲线 |
哈希算法 | 主要依赖 SHA-1 系列 | 支持 SHA-2 系列(SHA-256、SHA-384 等) |
证书信任链处理 | 相对固定 | 更灵活的验证机制,支持现代 PKI 架构 |
协议协商能力 | 客户端与 KDC 之间协商能力有限 | 完整的算法协商机制,双方选择共同支持的最优算法 |
核心点:不再支持旧版弱算法SHA-1(CA)
• Kerberos 对用于票证授予票证的算法进行的变更:Kerberos 分发中心将不再颁发使用 RC4 加密(例如 RC4-HMAC(NT))的票证授予票证。
• Kerberos 更改了支持的加密类型配置:Kerberos 不再支持路径 SupportedEncryptionTypes 中找到的旧版注册表项 REG_DWORD HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Kerberos\Parameters,Microsoft 建议使用组策略。
• LAN Manager GPO 设置:GPO 设置 网络安全:不要将 LAN Manager 哈希值存储在下次密码更改中。 该设置已不存在,也不适用于新版本的 Windows。
• 默认情况下,LDAP 加密:所有新的 Active Directory 部署在简单身份验证和安全层(SASL)绑定后,默认情况下,所有 LDAP 客户端通信都需要 LDAP 签名(密封)。
• 针对传输层安全 (TLS) 1.3 的 LDAP 支持:LDAP 使用最新的 SCHANNEL 实现,并支持为基于 TLS 连接的 LDAP 使用 TLS 1.3。 使用 TLS 1.3 可消除过时的加密算法,并增强旧版本的安全性。 TLS 1.3 旨在尽可能多地加密握手。
• 旧版安全帐户管理器(SAM)远程过程调用(RPC)密码更改行为:安全协议(如 Kerberos)是更改域用户密码的首选方法。 在 DC 上,当远程调用时,默认使用高级加密标准 (AES) 接受最新的 SAM RPC 密码更改方法 SamrUnicodeChangePasswordUser4。 默认情况下,远程调用以下旧 SAM RPC 方法时会阻止这些方法:
◦ SamrChangePasswordUser
◦ SamrOemChangePasswordUser2
◦ SamrUnicodeChangePasswordUser2
对于属于 受保护用户 组和域成员计算机上的本地帐户的域用户,默认情况下会阻止通过旧 SAM RPC 接口进行的所有远程密码更改,包括 SamrUnicodeChangePasswordUser4。