Active Directory : ce qui change dans Windows Server 2025
La nouvelle version de Windows Server apporte des améliorations significatives à Active Directory, notamment un nouveau niveau fonctionnel et des améliorations en matière de sécurité et de performances.
Microsoft a mis l’accent sur la modernisation d’Active Directory dans Windows Server 2025. Active Directory est la plateforme de gestion des identités et des accès sur site. Microsoft a introduit Active Directory il y a près de 25 ans avec la sortie de Windows 2000 Server. Bien que Microsoft ait occasionnellement ajouté de nouvelles capacités avec de nouveaux niveaux fonctionnels (le dernier date de Windows Server 2016), les services d’annuaire de base étaient devenus obsolètes et avaient besoin d’être révisés.
Microsoft indique que les entreprises doivent avoir un niveau fonctionnel Windows Server 2016 pour déployer un contrôleur de domaine Windows Server 2025 avec une mise à jour du schéma précédent.
Support des architectures NUMA pour les grands déploiements
L’un des grands changements du nouvel Active Directory est une meilleure prise en charge des clusters de serveurs en mode NUMA, en levant la limite de 64 cœurs de processeurs. Jusqu’à présent, Active Directory ne pouvait utiliser que les processeurs associés au groupe NUMA 0, qui est souvent le nœud NUMA par défaut sur un système. Même si le matériel disposait de plusieurs groupes NUMA, Active Directory n’avait accès qu’au nœud NUMA par défaut.
Dans Windows Server 2025, Microsoft a supprimé cette limitation et Active Directory utilisera les processeurs de plusieurs groupes NUMA. Ces changements devraient améliorer de manière significative les performances dans les entreprises qui ont un déploiement important d’Active Directory.
Augmentation de la taille des pages de données
Dès le départ, Microsoft a basé Active Directory sur Extensible Storage Engine, également appelé JET ou JET Blue d’après son ancien nom, Joint Engine Technology Blue. La taille des pages de la base de données était limitée à 8 Ko, ce qui entravait les performances d’Active Directory.
Dans Windows Server 2025, Microsoft augmente la taille des pages à 32 Ko, ce qui profitera aux entreprises qui doivent stocker un grand nombre d’attributs à plusieurs valeurs pour créer des objets plus complexes. Microsoft augmente également la limite de ces attributs : elle passe d’environ 1 200 attributs à environ 3 200.
La mise à niveau d’un contrôleur de domaine vers Windows Server 2025 n’augmentera pas la taille de sa page. Il s’agit d’une opération au niveau qui doit être appliquée à tous les contrôleurs de domaine simultanément.
Simplification du déploiement des contrôleurs de domaine
Microsoft a simplifié le déploiement des contrôleurs de domaine (ou de tout nouveau serveur Windows, quel que soit son rôle) dans Windows Server 2025 en recourant à une technique similaire à celle utilisée dans Windows 11.
Windows 11 peut être mis à niveau vers la dernière version directement via Windows Update. Windows Server 2025 offre des possibilités similaires pour rendre les mises à niveau possibles sans support d’installation.
Les entreprises peuvent bloquer ces mises à jour par le biais des paramètres de stratégie de groupe. Les administrateurs pourront installer manuellement Windows Server, comme ils l’ont toujours fait. Microsoft continuera à prendre en charge les déploiements automatisés basés sur Sysprep.
Le projet de Microsoft étant de proposer une licence perpétuelle ou un abonnement pour Windows Server 2025, les mises à jour basées sur Windows Update ne seront disponibles qu’avec une licence basée sur un abonnement.
Réplication plus fine des contrôleurs de domaine
Une autre amélioration d’Active Directory dans Windows Server 2025 est un meilleur contrôle de la réplication pour les administrateurs. La réplication entre les contrôleurs de domaine est automatique et fonctionne sans aucune intervention administrative. En tant que système distribué, Active Directory copie les modifications entre les contrôleurs de domaine, qui ont été codées en dur avec des numéros de priorité. Mais les numéros de priorité peuvent ne pas convenir à tous les environnements, surtout s’il y a une distance importante entre les contrôleurs de domaine.
Le nouvel Active Directory de Windows Server 2025 présente une fonctionnalité appelée « Replication Priority Boost » (augmentation de la priorité de réplication). Les administrateurs peuvent donner la priorité au processus de réplication afin d’optimiser le transfert de données entre certains contrôleurs de domaine.
Meilleure sécurité avec le compte de délégation de service managé
Les grandes entreprises ont tendance à utiliser des comptes d’utilisateur standard avec des mots de passe non gérés comme comptes de service. Des applications telles que SQL Server utilisent des comptes de service pour fonctionner avec Active Directory, mais cela expose l’entreprise à des risques, car les mots de passe sont souvent obsolètes ou trop faibles.
Désormais, il existe un compte utilisateur dédié à cette tâche : le compte de délégation de service managé, ou dMSA. Celui-ci utilise Credential Guard pour lier les informations d’identification à la machine et effectue une rotation automatique des mots de passe via le centre de distribution de clés Kerberos.
La migration des comptes dMSA est gérée de manière transparente pour éviter le travail de configuration avec les applications qui utilisaient le compte de service. Un compte dMSA désactive également le compte de service après le changement de compte.
De nouveaux compteurs facilitent le dépannage et la surveillance
Microsoft déploie à présent plusieurs compteurs de performances pour aider les administrateurs à maintenir et à surveiller l’intégrité du nouvel Active Directory dans Windows Server 2025.
Le compteur des performances LDAP côté client détecte les applications qui envoient de nombreuses requêtes LDAP au contrôleur de domaine, ce qui dégrade généralement ses performances. Le compteur client LDAP affichera des détails supplémentaires sur le nombre de connexions, la source des requêtes et le nombre de requêtes par seconde.
Le compteur de performances du localisateur de contrôleur de domaine vérifie les composants côté client et côté serveur dans le processus de localisation du contrôleur de domaine, y compris les pings d’emplacement de messagerie actifs et les requêtes client par seconde.
Le compteur de recherche de performances de l’identifiant de sécurité, ainsi que le compteur du nom de l’autorité de sécurité locale aident les administrateurs à trouver les ralentissements possibles causés par un nombre important de recherches de ressources, telles les requêtes dans les partages de fichiers. Le canal sécurisé Netlogon ne sera utilisé qu’en tant qu’option de secours.
Authentification Kerberos renforcée
Enfin, dans Windows Server 2025, les services de domaine Active Directory continuent d’utiliser Kerberos comme protocole d’authentification privilégié.
Toutefois, Microsoft améliorera la sécurité et la fiabilité en ajoutant la prise en charge de l’algorithme de hachage sécurisé AES-256, ainsi que l’algorithme de chiffrement SHA-384. Ces modifications aideront les entreprises à répondre aux exigences réglementaires et de conformité.
Il est à noter que Microsoft abandonne le chiffrement Rivest Cipher 4 dans Windows Server 2025.