Active Directory Domain Services (AD DS) ve Active Directory Lightweight Directory Services (AD LDS) yapılan en son geliştirmeler, Domain yönetimi deneyiminizi optimize etmeyi amaçlayan bir dizi yeni işlevsellik ve yetenek sunar:
32k veritabanı page size isteğe bağlı özellik – AD, Windows 2000’de piyasaya sürülmesinden bu yana 8k veritabanı page sizekullanan Genişletilebilir Depolama Motoru (ESE) veritabanını kullanır. 8k mimari tasarım kararı, AD’nin tamamında AD Maksimum Sınırlar Ölçeklenebilirliği’nde belgelenen sınırlamalarla sonuçlandı . Bu sınırlamanın bir örneği, boyutu 8k baytı aşamayan tek kayıtlı AD nesnesidir. 32k veritabanı sayfası formatına geçiş, eski kısıtlamalardan etkilenen alanlarda büyük bir gelişme sağlıyor; buna çok değerli öznitelikler artık ~3.200’e kadar değer tutabiliyor; bu da 2,6 kat artış anlamına geliyor.
Yeni DC’ler, 64 bit Uzun Değer Kimlikleri (LID’ler) kullanan ve önceki sürümlerle uyumluluk için “8 bin sayfa modunda” çalışan 32 bin sayfalık bir veritabanıyla kurulabilir. Yükseltilmiş bir DC, mevcut veritabanı formatını ve 8k sayfasını kullanmaya devam eder. 32 bin veritabanı sayfasına geçiş, Forest çapında yapılır ve Forestdaki tüm DC’lerin 32 bin sayfa kapasiteli bir veritabanına sahip olmasını gerektirir.
AD schema updates – AD şemasını genişleten üç yeni Günlük Veritabanı Dosyası (LDF) kullanıma sunuldu: sch89.ldf, sch90.ldfve sch91.ldf. AD LDS eşdeğer şema güncellemeleri MS-ADAM-Upgrade3.ldf. Önceki şema güncellemeleri hakkında daha fazla bilgi edinmek için bkz. Windows Server AD şema güncellemeleri
AD object repair – AD artık kurumsal yöneticilerin SamAccountType ve ObjectCategory temel nitelikleri eksik olan nesneleri onarmasına olanak tanıyor . Kuruluş yöneticileri bir nesnedeki LastLogonTimeStamp özniteliğini geçerli saate sıfırlayabilir . Bu işlemler , etkilenen nesne üzerinde fixupObjectState adı verilen yeni bir RootDSE değişiklik işlemi özelliği aracılığıyla gerçekleştirilir .
Channel binding audit support – Olay 3074 ve 3075 artık Basit Dizin Erişim Protokolü (LDAP) kanal bağlama için etkinleştirilebilir. Kanal bağlama ilkesi daha güvenli bir ayara değiştirildiğinde yönetici, ortamdaki kanal bağlama doğrulamalarını desteklemeyen veya başarısız olan cihazları tanımlayabilir. Bu denetim etkinliklerine Windows Server 2022 ve sonraki sürümlerde KB4520412 aracılığıyla da ulaşılabilir .
DC-location algorithm improvements – DC keşif algoritması, kısa NetBIOS tarzı alan adlarının DNS tarzı alan adlarıyla eşlenmesine yönelik iyileştirmelerle yeni işlevsellik sağlar. Daha fazla bilgi edinmek için bkz. Active Directory DC konum belirleyici değişiklikleri .
Not: Microsoft, bu eski teknolojiler için WINS ve posta yuvalarının kullanımdan kaldırıldığını duyurduğundan, Windows DC bulma işlemleri sırasında posta yuvalarını kullanmaz .
Forest and Domain Functional Levels – Yeni işlevsel düzey, genel desteklenebilirlik için kullanılır ve yeni 32K veritabanı page sizeözelliği için gereklidir. Yeni işlevsel düzey DomainLevel 10, ForestLevel 10gözetimsiz kurulumların değeriyle eşleşir . Microsoft’un, Windows Server 2019 ve Windows Server 2022 için işlevsel düzeyleri iyileştirme planı yoktur. Bir Domain Denetleyicisinin (DC) katılımsız yükseltme ve indirgeme işlemini gerçekleştirmek için, Domain denetleyicilerinin katılımsız yükseltme ve indirgeme işlemlerine yönelik DCPROMO yanıt dosyası sözdizimine bakın .
DsGetDcName Uygulama Programlama Arabirimi (API), Windows Server 2025 çalıştıran DC’lerin konumunu etkinleştiren yeni bir bayrağı da destekler. AşağıdakiDS_DIRECTORY_SERVICE_13_REQUIRED makalelerde işlevsel düzeyler hakkında daha fazla bilgi edinebilirsiniz:
Not: Yeni AD Forestlarının veya AD LDS yapılandırma kümelerinin işlevsel düzeyde Windows Server 2016 veya üzeri olması gerekir. Bir AD veya AD LDS kopyasının yükseltilmesi, mevcut Domainnın veya yapılandırma kümesinin zaten Windows Server 2016 veya üzeri işlevsel düzeyde çalışmasını gerektirir.
Microsoft, tüm müşterilerin bir sonraki sürüme hazırlık amacıyla AD ve AD LDS sunucularını Windows Server 2022’ye yükseltmeyi şimdiden planlamaya başlamasını önerir.
Improved algorithms for Name/Sid Lookups – Yerel Güvenlik Yetkilisi (LSA) Makine hesapları arasındaki Ad ve Sid arama iletimi artık eski Netlogon güvenli kanalını kullanmamaktadır. Bunun yerine Kerberos kimlik doğrulaması ve DC Locator algoritması kullanılır. Eski işletim sistemleriyle uyumluluğu korumak için Netlogon güvenli kanalını bir geri dönüş seçeneği olarak kullanmak hâlâ mümkündür.
Improved security for confidential attributes – DC’ler ve AD LDS örnekleri, bağlantı şifrelendiğinde yalnızca gizli öznitelikleri içeren LDAP ekleme, arama ve değiştirme işlemlerine izin verir.
Improved security for default machine account passwords – AD artık rastgele oluşturulmuş varsayılan bilgisayar hesabı şifrelerini kullanıyor. Windows 2025 DC’ler, bilgisayar hesabı parolalarının bilgisayar hesap adının varsayılan parolasına ayarlanmasını engeller.
Bu davranış, GPO ayarı etkinleştirilerek kontrol edilebilir Domain denetleyicisi: Varsayılan makine hesabı parolasını ayarlamayı reddet : Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Güvenlik Seçenekleri
Active Directory Yönetim Merkezi (ADAC), Active Directory Kullanıcıları ve Bilgisayarları (ADUC) gibi yardımcı programlar net computerda dsmodbu yeni davranışı onurlandırmaktadır. Hem ADAC hem de ADUC artık 2K öncesi Windows hesabı oluşturulmasına izin vermiyor.
Kerberos AES SHA256 and SHA384 – Kerberos protokolü uygulaması , SHA-256 ve SHA-384 eklenerek RFC 8009 desteğiyle daha güçlü şifreleme ve imzalama mekanizmalarını destekleyecek şekilde güncellendi . RC4 kullanımdan kaldırıldı ve kullanılmayan şifre listesine taşındı.
Kerberos PKINIT support for cryptographic agility – Kerberos’ta İlk Kimlik Doğrulaması için Kerberos Genel Anahtar Şifrelemesi (PKINIT) protokolü uygulaması, daha fazla algoritmayı destekleyerek ve sabit kodlanmış algoritmaları kaldırarak kriptografik çevikliğe izin verecek şekilde güncellendi.
LAN Manager GPO setting – GPO ayarı Ağ güvenliği: Bir sonraki parola değişikliğinde LAN Manager karma değerini saklama özelliği (Don’t store LAN Manager hash value on next password change ) artık mevcut değildir ve Windows’un yeni sürümleri için geçerli değildir.
LDAP encryption by default – Basit Kimlik Doğrulama ve Güvenlik Katmanı (SASL) bağlantısından sonraki tüm LDAP istemci iletişiminde, varsayılan olarak LDAP mühürleme kullanılır. SASL hakkında daha fazla bilgi edinmek için bkz . SASL Kimlik Doğrulaması .
LDAP support for TLS 1.3 – LDAP, en son SCHANNEL uygulamasını kullanır ve TLS bağlantıları üzerinden LDAP için TLS 1.3’ü destekler. TLS 1.3’ün kullanılması, eski şifreleme algoritmalarını ortadan kaldırır, eski sürümlere göre güvenliği artırır ve el sıkışmanın mümkün olduğu kadar çoğunu şifrelemeyi amaçlar. Daha fazla bilgi edinmek için bkz. TLS/SSL’deki Protokoller (Schannel SSP) ve Windows Server 2022’deki TLS Şifre Paketleri .
Legacy SAM RPC password change behavior – Kerberos gibi güvenli protokoller, Domain kullanıcı parolalarını değiştirmenin tercih edilen yoludur. DC’lerde, AES kullanan en son SAM RPC parola değiştirme yöntemi SamrUnicodeChangePasswordUser4, uzaktan çağrıldığında varsayılan olarak kabul edilir. Aşağıdaki eski SAM RPC yöntemleri uzaktan çağrıldığında varsayılan olarak engellenir:
Korumalı Kullanıcılar grubunun üyesi olan Domain kullanıcıları ve Domain üyesi bilgisayarlardaki yerel hesaplar için, eski SAM RPC arabirimi aracılığıyla yapılan tüm uzaktan parola değişiklikleri SamrUnicodeChangePasswordUser4, .
Bu davranış, aşağıdaki Grup İlkesi Nesnesi (GPO) ayarı kullanılarak kontrol edilebilir:
Bilgisayar Yapılandırması > Yönetim Şablonları > Sistem > Güvenlik Hesabı Yöneticisi > SAM parolasını değiştirme RPC yöntemleri ilkesini yapılandır
NUMA support – AD DS artık tüm işlemci gruplarındaki CPU’ları kullanarak Tekdüzen Olmayan Bellek Erişimi (NUMA) özellikli donanımın avantajlarından yararlanıyor. Daha önce AD yalnızca grup 0’daki CPU’ları kullanıyordu. Active Directory 64 çekirdeğin ötesine genişleyebilir.
Performance counters – Aşağıdaki sayaçların perfForestsını izleme ve sorun giderme artık kullanılabilir:
DC Locator – İstemciye ve DC’ye özel sayaçlar mevcuttur.
LSA Lookups – LsaLookupNames , LsaLookupSids ve eşdeğer API’ler aracılığıyla ad ve SID aramaları. Bu sayaçlar hem İstemci hem de Sunucu SKU’larında mevcuttur.
LDAP Client – Windows Server 2022 ve sonrasında KB 5029250 güncellemesi aracılığıyla kullanılabilir.
Replication priority order – AD artık yöneticilerin, belirli bir adlandırma bağlamı için belirli bir çoğaltma ortağıyla sistem tarafından hesaplanan çoğaltma önceliğini artırmasına olanak tanır. Bu özellik, çoğaltma sırasının belirli senaryolara göre yapılandırılmasında daha fazla esneklik sağlar.
Active Directory - Cyber Security 