Hero Image
- Christian Grams

Windows Server 2025: Active Directory Neuerungen / Änderungen

Quelle (1): techcommunity.microsoft.com Englisch Quelle (2): windowspro.de Quelle (3): 4sysops.com (Englisch)

Microsoft hat kürzlich die erste Windows Server Insider Build (26040) mit dem neuen Namen "Windows Server 2025" veröffentlicht. Dies ist ein wichtiger Schritt in der Entwicklung des nächsten Windows Server Betriebssystems, das für die Anforderungen der modernen IT-Welt optimiert ist. In diesem Blogpost wird auf die Neuerungen rundum Active Directory eingegangen.

Neue Funktionsebene

Windows Server 2025 bringt eine neue Funktionsebene für Domänen und Forests mit, die die interne Versionsnummer 10 trägt. Diese ermöglicht es, neue Features der aktuellen Server-Version zu nutzen, die vor allem mit der überarbeiteten Datenbank-Engine zusammenhängen. Um die neue Funktionsebene anzuheben, müssen alle Domänen-Controller (DC) auf Windows Server 2025 aktualisiert werden und mindestens die Funktionsebene von Windows Server 2016 haben.

Leistungsfähigere Datenbank

Die größte Neuerung im AD ist die Erweiterung der Seitengröße der Jet Blue Datenbank von 8K auf 32K. Dies hat mehrere Vorteile, wie zum Beispiel:

  • Die maximale Größe von Objekten steigt von 8K auf 32K, was mehr Flexibilität bei der Verwaltung von Attributen erlaubt.
  • Multi-Value Attribute können bis zu 3200 Werte enthalten, statt wie bisher nur 800.
  • Die Datenbank kann mehr Objekte pro Seite speichern, was den Speicherbedarf reduziert und die Replikation beschleunigt.

Die Umstellung auf die neue Seitengröße erfolgt automatisch beim Anheben der Funktionsebene des Forests auf Version 10. Dabei werden alle DCs mit einer 32K-fähigen Datenbank ausgestattet und verwenden 64-bit Long Value IDs. Für die Kompatibilität mit älteren Umgebungen unterstützen sie auch einen 8K Page Mode.

NUMA-Support

Eine weitere Verbesserung der Datenbank ist die Unterstützung von Non-Uniform Memory Access (NUMA), einer Technologie zur Optimierung des Speicherzugriffs auf Systemen mit mehreren Prozessoren oder Prozessorkernen. NUMA ermöglicht es, dass jeder Prozessor oder Kern einen eigenen Speicherbereich hat, der schneller als der gemeinsame Speicher ist. Die AD-Datenbank kann nun diesen lokalen Speicher nutzen, um die Performance zu erhöhen.

Neue Performance-Counter

Um die Leistung des AD besser zu überwachen, führt Windows Server 2025 neue Performance-Counter ein, die folgende Aspekte messen:

  • Die Anzahl der Objekte pro Seite in der Datenbank
  • Die Anzahl der Seiten pro Objekt in der Datenbank
  • Die Anzahl der Lese- und Schreiboperationen pro Sekunde in der Datenbank
  • Die Anzahl der Replikationspartner pro DC
  • Die Anzahl der Replikationsanfragen pro Sekunde pro DC
  • Die Anzahl der Replikationsantworten pro Sekunde pro DC

Diese Counter können mit dem Performance Monitor oder anderen Tools angezeigt werden.

Priorität für Replikationspartner

Eine weitere Neuerung im Bereich der Replikation ist die Möglichkeit, bestimmten Replikationspartnern eine höhere Priorität zuzuweisen. Dies kann sinnvoll sein, wenn man zum Beispiel einen DC in einer wichtigen Niederlassung schneller mit Änderungen versorgen möchte als andere DCs. Die Priorisierung erfolgt über das Attribut msDS-ReplPartnerPriority, das man mit dem ADSI Edit oder einem Skript setzen kann.

Neuer Algorithmus zum Auffinden von DC

Windows Server 2025 verwendet einen neuen Algorithmus zum Auffinden von DCs im Netzwerk, der schneller und zuverlässiger sein soll als der bisherige. Der neue Algorithmus berücksichtigt unter anderem folgende Faktoren:

  • Die Verfügbarkeit und Erreichbarkeit von DCs
  • Die Netzwerklatenz zwischen dem Client und den DCs
  • Die Lastverteilung auf den DCs
  • Die Funktionsebene und Version der DCs
  • Die Standortzuordnung und Standortkosten

Der neue Algorithmus soll auch besser mit Netzwerkänderungen umgehen können, wie zum Beispiel dem Hinzufügen oder Entfernen von DCs oder Standorten.

Security-Verbesserungen

Windows Server 2025 bringt auch einige Verbesserungen im Bereich der Sicherheit für das AD, wie zum Beispiel:

  • Die Unterstützung von AES-256 für die Verschlüsselung der Kerberos-Tickets, die eine höhere Sicherheit als das bisherige AES-128 bietet.
  • Die Möglichkeit, die Verwendung von NTLMv1 zu deaktivieren, das als unsicher gilt und durch Kerberos ersetzt werden sollte.
  • Die Möglichkeit, die Verwendung von LM-Hashes zu deaktivieren, die ebenfalls als unsicher gelten und durch stärkere Hashes ersetzt werden sollten.
  • Die Möglichkeit, die Verwendung von unsicheren LDAP-Bindungen zu deaktivieren, die keine Verschlüsselung oder Authentifizierung bieten und durch LDAPS oder LDAP over TLS ersetzt werden sollten.

Diese Einstellungen können über Gruppenrichtlinien oder Registry-Schlüssel vorgenommen werden.

Methoden für den Kennwortwechsel

Windows Server 2025 bietet auch zwei neue Methoden für den Kennwortwechsel von Benutzern an, die mehr Komfort und Sicherheit bieten sollen:

  • Die Möglichkeit, das Kennwort über eine Web-basierte Schnittstelle zu ändern, die über einen Browser erreichbar ist. Diese Schnittstelle verwendet eine Zwei-Faktor-Authentifizierung mit einem Einmalcode, der per E-Mail oder SMS an den Benutzer gesendet wird.
  • Die Möglichkeit, das Kennwort über eine Self-Service-App zu ändern, die auf einem Smartphone oder Tablet installiert ist. Diese App verwendet ebenfalls eine Zwei-Faktor-Authentifizierung mit einem biometrischen Merkmal, wie zum Beispiel einem Fingerabdruck oder einer Gesichtserkennung.

Diese Methoden sollen vor allem für Benutzer nützlich sein, die keinen Zugriff auf einen Windows-PC haben oder deren PC gesperrt ist.