Windows Server 2025 中即将推出的新 Active Directory 功能

Microsoft 计划在 Windows Server 2025 发布时对其核心功能之一 Active Directory 进行全面改革。Active Directory 自 Windows 2000 Server 发布以来已经有 25 年的历史，尽管在这段时间里不时增加新功能，但核心目录服务已显得过时。

Windows Server 2025 中的新功能级别

Windows Server 2025 引入了一个全新的 Active Directory 功能级别，要求管理员启用该级别以访问新功能。此外，部署 Windows Server 2025 域控制器需要架构更新，且组织必须运行在 Windows Server 2016 功能级别。

对 NUMA 的增强支持

新版本将增强对非一致性内存访问 (NUMA) 的支持，移除了之前仅能使用与 NUMA 组 0 关联的 CPU 的限制，允许 Active Directory 跨多个 NUMA 组使用所有 CPU，这对大型部署的性能提升将非常显著。

数据库页面大小的增加

Active Directory 的数据库页面大小将从 8 KB 增加到 32 KB，并将多值属性限制从约 1,200 增加到约 3,200，以便于存储更复杂的对象。这些改变需要在所有域控制器上同时进行。

简化的域控制器部署

Windows Server 2025 将简化域控制器的部署过程，采用类似于 Windows 11 的技术，允许通过 Windows 更新直接升级，无需安装介质。组织仍可以通过组策略设置阻止这些更新。

更细致的域控制器复制控制

新版本将允许管理员调整域控制器之间的复制优先级，以优化数据传输过程。

提高安全性的委派托管服务账户

委派的托管服务账户 (dMSA) 功能将提高安全性，使用 Credential Guard 配合自动密码轮换以及帐户迁移和停用。

新的性能计数器

Windows Server 2025 将引入新的性能计数器，帮助管理员监控 Active Directory 的运行状况，包括轻型目录访问协议 (LDAP) 客户端性能计数器、域控制器定位器性能计数器以及安全标识符和本地安全机构名称性能查找计数器。

加强的 Kerberos 身份验证

Active Directory 将继续使用 Kerberos 作为首选身份验证协议，同时增加对更高级的加密标准的支持，并计划弃用 Rivest Cipher 4 加密，以满足法规和合规性需求。