Windows Server 2025 Active Directory 新機能概要

Windows Server 2025 Active Directory 新機能概要 Active Directory 勉強会 #04 2024-12-17 Kazuki Takai

本日お話しすること Windows Server 2025 における Active Directory Domain Services の 新機能・エンハンスについて（概要）

自己紹介 • たかい （Kazuki Takai） • 会社員 （某ISP勤務） • サービス基盤開発、技術開発 • ライセンス関連 • wSCUGJ （Windows Server & System Center User Group Japan） • Windows Server Community Meetup • 興味分野：統合管理、ID、自動化、セキュリティ、監視・運用 • 趣味：カメラ（風景写真）、ビデオゲーム、旅行（温泉） • Microsoft MVP – Cloud and Datacenter Management, Microsoft Azure

主な変更点…の前に • 変わらない点 • 基本的には今までの機能の延長 • 急激に何か変化するわけではない • 気を付けたほうが良い点 • セキュリティ上の理由で廃止、既定で無効化されているものがある • 必要に応じて事前の確認、動作検証を実施

（ほぼ）変わらない点 • Active Directory サービス の役割、提供機能 • ドメインコントローラーの 構成方法（昇格方法） • 管理ツール群

主な変更点 • 機能レベルとスキーマの変更 • NTDS データベース ページサイズの拡張（Optional） • NUMA のサポート（バックポート有） • 委任管理サービスアカウント（Delegated Managed Service Accounts） • LDAP 及び Kerberos のセキュリティに関するエンハンス • DC ロケーターにおける検出の改善 • NetBIOS ベースの検出を既定でブロック

Active Directory 機能レベルの追加 • ドメインとフォレストの機能レベル追加 • ドメイン機能レベル : Windows Server 2025 • フォレスト機能レベル : Windows Server 2025 • Windows Server 2025 は、以下の機能レベルのみサポート • Windows Server 2025 • Windows Server 2016

Active Directory 機能レベルの追加

Active Directory 機能レベルの追加 • Windows Server 2025 を既存のドメインのドメインコント ローラーとして構成する場合は、ドメインコントローラーへ昇 格する前に、以下が必要 • ドメイン内の全てのドメインコントローラーを Windows Server 2016 以降へアップグレードまたは入れ替え • フォレスト内の全てのドメインについて、ドメイン機能レベルを Windows Server 2016 へ変更 • フォレスト機能レベルを Windows Server 2016 へ変更

機能レベルの表記 機能レベル Windows Server 2016 Windows Server 2025 導入された OS バージョン Windows Server 2016 Windows Server 2025 PowerShell DomainMode / ForestMode WinThreshold Win2025 DomainLevel / ForestLevel 7 10

機能レベルとサポート OS ↓OS FL→ 2000 (0) W2000S ✓ WS2003 ✓ ✓ WS2008 ✓ ✓ ✓ WS2008R2 ✓ ✓ ✓ ✓ WS2012 ✓ ✓ ✓ ✓ WS2012R2 ✓ ✓ ✓ ✓ ✓ WS2016 ✓ ✓ ✓ ✓ ✓ ✓ WS2019 ✓ ✓ ✓ ✓ ✓ WS2022 ✓ ✓ ✓ ✓ ✓ WS2025 2003 (2) 2008 (3) 2008 R2 (4) 2012 (5) 2012 R2 (6) 2016 (7) 2025 (10) Windows Server 2025 へ 直接インプレースアップグレード 可能なバージョン ✓ ✓

Active Directory スキーマ バージョン • Windows Server 2025 では version 91 • 3つ増えている • Sch89.ldf • Delegated Managed Service Accounts 関連の修正 • Sch90.ldf • データベース ページサイズ変更関連の修正 • Sch91.ldf • ???

スキーマ バージョン履歴 Operating System Schema version Windows 2000 Server 13 Windows Server 2003 30 Windows Server 2003 R2 31 Windows Server 2008 44 Windows Server 2008 R2 47 Windows Server 2012 56 Windows Server 2012 R2 69 Windows Server 2016 87 Windows Server 2019 88 Windows Server 2022 88 Windows Server 2025 91

スキーマ ファイル • C:¥Windows¥System32¥adprep

NTDS データベース ページサイズの拡張 • Active Directory のデータベース • ntds.dit • Extensible Storage Engine (ESE/JET) Database • 固定長ページサイズ • 今までは 8k 固定だった • Windows 2000 Server の頃からずっと変わらず

NTDS データベース

なぜページサイズを変更するのか • Active Directory の各オブジェクトは 1 ページ内に収 まっている必要がある • 1つのオブジェクトを複数のページに分割して保存できない • オブジェクト内の属性が保持する値が多く/大きくなり、 8k では収まらない環境が出てきた • ページサイズを 32k に拡張することで、より多くの値を 保持できるようになる

データベース ページサイズの拡張 • データベースのページサイズが、32k になる • 新規にインストールしたドメインコントローラーが対象 • アップグレードしたドメインコントローラーは 8k のまま • 64bit Long Value IDs (LIDs) • より大きな値（より大きなデータ量の値）を保持できる • デフォルトでは 8k ページ互換モードで動作 • 32k page feature はオプショナルの機能（明示的に有効化が必要） • 32k page mode の有効化には、フォレスト内の全てのドメインコ ントローラーが 32k page 対応となる必要がある

オプション機能の有効化

NUMA サポート • Processor Group 0 以外も利用可能に • 64コアを超えるコア（論理プロセッサー）を無駄にしない • Windows Server 2025 だけでなく、以下でも利用可能 • Windows Server 2022 with 2022-08 Cumulative Update

Delegated Managed Service Accounts • サービスの実行ユーザーをより安全な管理方式へ移行 • 個別にドメインユーザーを作成し、サービスの実行アカウント として設定しているようなケースを想定 • 移行先となるマネージドサービスアカウント（GMSA）を作成 し、GMSA へ権限を付与 • SPN を元のアカウントから GMSA へ移行 • 前のフェーズへロールバック可能な状態を保ちながら移行 • キーは KDC からのみアクセス可能

https://techcommunity.microsoft.com/t5/windows-events/what-s-new-in-active-directory/ev-p/3971596 より引用

• https://techcommunity.microsoft.com/t5/windows-events/what-s-new-in-active-directory/ev-p/3971596?wt.mc_id=AZ-MVP-5002274

DC Locator の改善 • NetBIOS ベースの探索を（より）利用しないようにするための 改善 • NetBIOS 名から利用可能なドメインコントローラーを探索する 際に、NetBIOS による問い合わせより前に、明示的に設定され たマッピング情報を参照するようになる • 併せて、NetBIOS による問い合わせへ Fall back しないように 設定可能 • （DC の探索においては）MAILSLOTS を利用しなくてよくなる

マッピングの設定

LDAP 及び Kerberos 周りの改善 • LDAP 署名の強制 • サポートされている場合 LDAP channel binding を使用 • Confidential attributes の操作時、暗号化通信が必須に • LDAP クライアントの暗号化利用がデフォルトに • 利用可能な場合 • Kerberos で AES SHA256/384 をサポート • PKINT での SHA-2 サポート追加

パフォーマンスカウンターの追加 • LSA Lookup • DC Locator • LDAP Client

Demo

まとめ スケーラビリティの向上 • データベース ページサイ ズの拡張 • NUMA のサポート セキュリティの向上 • Delegated Managed Service Accounts • DC Locator の改善 • LDAP 及び Kerberos 周り の改善 運用しやすい環境を つくるための改善 • パフォーマンスカウン ターの追加 • DC Locator の改善

参考資料 • What's new in Windows Server Insiders Preview • What's new in Active Directory • Ask the Directory Services Team • The beginning of the end of Remote Mailslots • Active Directory DC locator changes • Windows IT Pro – YouTube

• https://learn.microsoft.com/en-us/windows-server/get-started/whats-new-windows-server-insiders-preview?wt.mc_id=AZ-MVP-5002274
• https://techcommunity.microsoft.com/t5/windows-events/what-s-new-in-active-directory/ev-p/3971596?wt.mc_id=AZ-MVP-5002274
• https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/bg-p/AskDS?wt.mc_id=AZ-MVP-5002274
• https://techcommunity.microsoft.com/t5/storage-at-microsoft/the-beginning-of-the-end-of-remote-mailslots/ba-p/3762048?wt.mc_id=AZ-MVP-5002274
• https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/dc-locator-changes?wt.mc_id=AZ-MVP-5002274
• https://www.youtube.com/@WindowsITProOnYouTube