21.4K Views
January 27, 24
スライド概要
Windows Server & Cloud User Group Japan 第38回勉強会の資料です。
Windows Server 2025 の Active Directory 関連の新機能についてお話しします。
インフラエンジニア
Windows Server 2025 Active Directory の新機能 SCUGJ (wSCUGJ) 勉強会 #38 2024-01-27 Kazuki Takai Windows Server & Cloud User Group Japan
お話しすること • 次期 Windows Server における Active Directory の変更点・エンハンス
自己紹介 • たかい (Kazuki Takai) • 会社員 (某ISP勤務) • サービス基盤開発、技術開発 • ライセンス関連 • wSCUGJ (Windows Server & System Center User Group Japan) • 興味分野:統合管理、ID、自動化、セキュリティ、監視・運用 • 趣味:カメラ(風景写真)、ビデオゲーム、旅行(温泉) • Microsoft MVP - Microsoft Azure
Notice • 本セッションで説明する内容には、 リリース前の機能が含まれます • Windows Server Insider Build 26010.1000 で検証しています • サービスのリリース、リリース後の エンハンスにより仕様や動作が変更 となる場合があります
Active Directory もうすぐ 25周年 • Windows 2000 Family • RTM: 1999年12月 • GA: 2000年2月 • NTドメインから Active Directory に 画像は INTERNET ARCHIVE より引用 https://archive.org/details/Win2000ServerRTM
機能レベルとスキーマの変更 Windows Server vNext における機能レベルとスキーマ
Active Directory 機能レベルの追加 • ドメインとフォレストの機能レベルが追加 • ドメイン機能レベル : Windows Server vNEXT • フォレスト機能レベル : Windows Server vNEXT • 新しい機能は、新しい機能レベルが必要となる見込み • Windows Server vNext のドメインコントローラーでは 機能レベル Windows Server 2016 以降のみをサポート
次期サーバーで利用可能な機能レベル 機能レベル Windows Server 2016 Windows Server vNEXT (Windows Server 2025 ?) 導入された OS バージョン Windows Server 2016 Windows Server 2025 PowerShell DomainMode / ForestMode WinThreshold Win2025 DomainLevel / ForestLevel 7 10
機能レベルとサポート OS ↓OS FL→ 2020 (0) W2000S ✓ WS2003 ✓ ✓ WS2008 ✓ ✓ ✓ WS2008R2 ✓ ✓ ✓ ✓ WS2012 ✓ ✓ ✓ ✓ WS2012R2 ✓ ✓ ✓ ✓ ✓ WS2016 ✓ ✓ ✓ ✓ ✓ ✓ WS2019 ✓ ✓ ✓ ✓ ✓ WS2022 ✓ ✓ ✓ ✓ ✓ WS2025 2003 (2) 2008 (3) 2008 R2 (4) 2012 (5) 2012 R2 (6) 2016 (7) ✓ 2025 (10) ✓
構成ウィザードと PowerShell
Active Directory スキーマ バージョン • Windows Server 2025 では version 90 • 2つ増えている • Sch89.ldf • Delegated Managed Service Accounts 関連の修正 • Sch90.ldf • データベース ページサイズ変更関連の修正
スキーマ バージョン履歴 Operating System Schema version Windows 2000 Server 13 Windows Server 2003 30 Windows Server 2003 R2 31 Windows Server 2008 44 Windows Server 2008 R2 47 Windows Server 2012 56 Windows Server 2012 R2 69 Windows Server 2016 87 Windows Server 2019 88 Windows Server 2022 88 Windows Server 2025 90
スキーマ ファイル • C:¥Windows¥System32¥adprep
Sch89.ldf
Sch90.ldf
主な変更点 スケーラビリティの向上 • データベース ページサイ ズの拡張 • NUMA のサポート セキュリティの向上 • Delegated Managed Service Accounts • DC Locator の改善 • LDAP 及び Kerberos 周り の改善 運用しやすい環境を つくるための改善 • パフォーマンスカウン ターの追加 • DC Locator の改善
Active Directory Database • ntds.dit • Extensible Storage Engine (ESE/JET) Database • 固定長ページサイズ
なぜページサイズを変更するのか • Active Directory の各オブジェクトは 1 ページ内に収 まっている必要がある • 1つのオブジェクトを複数のページに分割して保存できない • オブジェクト内の属性が保持する値が多く/大きくなり、 8k では収まらない環境が出てきた • ページサイズを 32k に拡張することで、より多くの値を 保持できるようになる
データベース ページサイズの拡張 • データベースのページサイズが、32k になる • 新規にインストールしたドメインコントローラーが対象 • アップグレードしたドメインコントローラーは 8k のまま • 64bit Long Value IDs (LIDs) • より大きな値(より大きなデータ量の値)を保持できる • デフォルトでは 8k ページ互換モードで動作 • 32k page feature はオプショナルの機能(明示的に有効化が必要) • 32k page mode の有効化には、フォレスト内の全てのドメインコ ントローラーが 32k page 対応となる必要がある
Configuration の確認
Configuration の確認
オプション機能の確認 • Get-ADOptionalFeature -Filter *
オプション機能の有効化 • Enable-ADOptionalFeature -Identity "Database 32k Pages Feature“ -Scope ForestOrConfigurationSet -Target <Target Domain DNS Name> -Server <Target Domain Controller Hostname>
NUMA サポート • Processor Group 0 以外も利用可能に • 64コアを超えるコア(論理プロセッサー)を無駄にしない • Windows Server 2025 だけでなく、以下でも利用可能 • Windows Server 2022 with 2022-08 Cumulative Update
Delegated Managed Service Accounts • サービスの実行ユーザーをより安全な管理方式へ移行 • 個別にドメインユーザーを作成し、サービスの実行アカウント として設定しているようなケースを想定 • 移行先となるマネージドサービスアカウント(GMSA)を作成 し、GMSA へ権限を付与 • SPN を元のアカウントから GMSA へ移行 • 前のフェーズへロールバック可能な状態を保ちながら移行 • キーは KDC からのみアクセス可能
https://techcommunity.microsoft.com/t5/windows-events/what-s-new-in-active-directory/ev-p/3971596 より引用
DC Locator の改善 • NetBIOS ベースの探索を(より)利用しないようにするための 改善 • NetBIOS 名から利用可能なドメインコントローラーを探索する 際に、NetBIOS による問い合わせより前に、明示的に設定され たマッピング情報を参照するようになる • 併せて、NetBIOS による問い合わせへ Fall back しないように 設定可能 • (DC の探索においては)MAILSLOTS を利用しなくてよくなる
マッピングの設定
LDAP 及び Kerberos 周りの改善 • LDAP 署名の強制 • サポートされている場合 LDAP channel binding を使用 • Confidential attributes の操作時、暗号化通信が必須に • LDAP クライアントの暗号化利用がデフォルトに • 利用可能な場合 • Kerberos で AES SHA256/384 をサポート • PKINT での SHA-2 サポート追加
パフォーマンスカウンターの追加 • LSA Lookup • DC Locator • LDAP Client
NUMA Demo • Azure VM : Standard D96ls v5 (96 vCPU, 192 GiB Mem) • Windows Server 2016 • Windows Server 2022 with latest update Demo Others • Hyper-V VM (Host: Windows 11 Pro Japanese) • Clean installed Windows Server Insider Preview • Hostname : ws2025dc • Domain FQDN : example5.jp • Domain/Forest Functional Level : 10 (Win2025) • In-place upgraded Windows Server Insider Preview • Hostname : ws2022to2025dc • Domain FQDN : example4.jp • Domain/Forest Functional Level : 7 (Win2016) • Sample Windows Server 2022 Domain Controller • Hostname : ws2022dc • Domain FQDN : example2.jp • Domain/Forest Functional Level : 6 (Win2012R2)
まとめ • 機能レベル 2012 R2 以下を使用している場合は、 計画的に移行の準備を!! • 大規模環境の場合、Windows Server 2022 以降 のドメインコントローラーへ移行すると良いかも
最後に
参考資料 • What's new in Windows Server Insiders Preview • What's new in Active Directory • Ask the Directory Services Team • Announcing Windows Server Preview Build 26040 • The beginning of the end of Remote Mailslots • Active Directory DC locator changes • Windows IT Pro – YouTube