Windows Server 2025で進化するActive Directory機能比較とセキュリティ強化

日々進化を続けるWindowsサーバー環境の中でも、Active Directoryのアップグレードは組織にとって大きなインパクトをもたらします。今回はWindows Server 2025で強化されたActive Directoryの新機能やセキュリティ強化策を、既存のWindows Server 2022との比較を交えながら、詳しく解説します。

目次

Windows Server 2025とWindows Server 2022のActive Directory全体像

Windows Server 2022以降、マイクロソフトはクラウド連携やゼロトラストなどの流れを意識しつつ、オンプレミス環境のActive Directory(以下AD)の刷新を進めています。Windows Server 2025では大幅なスキーマ拡張や新ドメイン/フォレスト機能レベルの提供など、多岐にわたる変化が盛り込まれています。ここでは、まず両バージョンのADにおける主な違いを俯瞰してみましょう。

比較項目Windows Server 2022Windows Server 2025
スキーマ拡張わずかな追加 (sch88など)新しいsch89~sch91など大規模拡張
ドメイン/フォレスト機能レベル最大 “Windows Server 2016” 相当新たに “バージョン10” (2025) を導入
32KBページサイズオプションなし新規DCで有効化可能
サービスアカウント従来のgMSAなどdMSA(委任型MSA)を追加
NTLM排除の取り組み推奨レベルIAKerbやLocal KDC等を標準導入し本格推進
大規模スケーラビリティ64コア制限 (CPUグループ)NUMA対応で64コアを超える利用が可能

“2022では大きな機能追加が少なかったADですが、2025ではデータベースや認証プロトコルを大きく刷新している点が印象的です。とくにゼロトラストやクラウドとの連携に真剣に取り組む組織にとって、大きな一歩となるでしょう。”

注目のポイント

  • 32KBページサイズへの拡張により、大規模属性をもつオブジェクト管理が容易に
  • dMSA(委任型マネージドサービスアカウント)の導入でセキュリティ・運用性が向上
  • NTLMをほぼ排除する方向へ大きく舵を切り、Kerberosがより幅広いシナリオで利用可能に
  • NUMA対応など、大規模環境でのパフォーマンス向上やレプリケーション制御機能を拡充

データベースとスキーマの拡張

Windows Server 2025のAD DSでは、データベースのページサイズを従来の8KBから最大32KBへ拡大できるオプション機能が追加されました。これにより1つのオブジェクトが保持できる情報量の上限が大幅に増え、たとえばマルチ値属性などの格納可能な値数も飛躍的に増加します。
また、Windows Server 2025へのアップグレードでは新たなスキーマ拡張ファイル(sch89~sch91)が導入されており、新機能(dMSAなど)に対応する属性が追加されています。

ページサイズ拡張は大規模ユーザーや巨大グループを管理する際の負荷軽減に効果的です。

32KBページサイズオプションの有効化

ただしこの32KBページサイズは新規にWindows Server 2025で構成したドメインコントローラーでのみ利用可能で、既存のDCをインプレースアップグレードした場合は8KBのままです。さらに、フォレスト内すべてのDCを2025に更新し、ドメイン/フォレスト機能レベルを2025へ引き上げたうえでPowerShellのEnable-ADOptionalFeatureを実行して初めて有効化できます。
この変更は不可逆的であり、またバックアップソフトが対応しているかの事前確認も必要です。

メモリ使用量への注意

32KBページを有効化すると、DC側でのデータベースキャッシュ消費量が増大する傾向があります。

メモリが十分でない環境では、逆にパフォーマンスが低下するリスクがあります。

ディレクトリサービスの機能強化

Windows Server 2025では2016以来となる新ドメイン/フォレスト機能レベル(バージョン10)が登場し、Active Directoryの数多くの強化機能を有効にできます。
主な機能強化としては、オブジェクト修復機能の追加、LDAPチャネルバインディングに関する監査イベントの充実化、より正確になったドメインコントローラー検出アルゴリズムなどが挙げられます。

オブジェクト修復機能

誤操作によって基幹属性を欠損したオブジェクト(SamAccountTypeObjectCategoryなど)を管理者が修正できるよう、RootDSEのfixupObjectStateという新しい修正操作が導入されました。従来のようにバックアップから復元する手間が軽減され、運用ミスへの対応が速くなります。

LDAP監査イベント

LDAPチャネルバインディング(Channel Binding)を強制した場合に、非対応クライアントが接続を試みたときのイベントID(3074, 3075など)が追加されました。これにより、環境内でレガシーなLDAP接続を行っているデバイスの洗い出しがスムーズに行えます。実はこの監査イベントはWindows Server 2022にも更新プログラムで追加可能ですが、2025では標準装備となっています。

DC検出アルゴリズムの改善

クライアントが短いNetBIOS名しか知らない場合でも、より正確にDNS名へマッピングされるようになりました。レガシーなWINSやメールスロットを用いた方式は非推奨となり、DNSベースの名前解決を優先します。

レプリケーションとスケーラビリティ

大規模環境ほど課題となるADレプリケーションやCPUリソース活用の面でも、Windows Server 2025は細かな改善が盛り込まれています。

レプリケーション優先順位制御

特定のレプリケーションパートナーごとに優先度を指定し、命名コンテキスト(ドメイン/構成など)単位で同期の順序を調整できるようになりました。緊急時の権限変更やスキーマ変更を先に反映させたい、といった要望に柔軟に対応できます。

NUMA対応によるスケーラビリティ強化

Windows Server 2025ではADがNUMA(Non-Uniform Memory Access)アーキテクチャを認識し、CPUグループの64コア制限を超えてより多くのコアを活用可能となりました。これにより、128コアや256コアなどを持つ大型サーバーでも、単一のDCが大きな処理能力を発揮できます。

“数百GB級のADデータベースを運用する企業にとっては、NUMA対応の恩恵は想像以上に大きいと思います。大規模認証リクエストや膨大なLDAPクエリも、よりスムーズにさばけますね。”

サービスアカウントと管理機能

Windows Server 2025では、新しい委任型マネージドサービスアカウント(dMSA)の導入が注目されています。従来のgMSAよりも一歩進んだ安全性・運用性を提供し、サービスアカウントのパスワード管理の負荷とリスクを大幅に削減します。

dMSAの特長

  • 認証情報をドメインコントローラー側の秘密鍵で管理し、パスワードを持たない形式に
  • 特定のホスト上のみ利用を許可し、不正な横展開によるKerberoasting攻撃を防止
  • 既存サービスアカウントからの移行モードが用意され、段階的に切り替えが可能

dMSAを利用すれば、サービスごとに異なる安全なアカウントを用意しながら、パスワード変更の手間をほぼゼロにできます。

管理ツールの細かな変更

– 旧式のコンピューターアカウント初期パスワード(「アカウント名と同一」など)は既定で拒否される
– Active Directory管理センターやユーザーとコンピューターでの「事前Windows 2000形式アカウント作成」の無効化
– 既定セキュリティ設定が厳格化され、古い操作を試みると警告または拒否が発生

セキュリティの向上点

ゼロトラストモデルを念頭に、Windows Server 2025のADは認証プロトコルや暗号化方式で大きな進歩を遂げています。従来のNTLMを排除すべく、Kerberosをどこでも使えるようにする新機能が多数追加されました。

NTLMの段階的廃止

Windows Server 2025では、下記の4つを軸にNTLMフォールバックを極力行わないアーキテクチャに近づけています。
1. IAKerb: ドメインコントローラー非直結でもKerberos認証を利用可能に
2. ローカルKDC(Local Key Distribution Server): ローカルアカウントのリモート認証をKerberosで実現
3. IPアドレスSPN対応: IPベース接続時もKerberosが使えるように
4. Negotiate強制: アプリケーション側でNTLMを直接使わず、Kerberos優先のNegotiateを用いる

これにより、将来的なNTLM完全無効化の下地を整える狙いがあります。

Kerberos暗号化の強化

RC4暗号のTGT発行を停止し、より安全な暗号方式のみを利用する方針が標準設定となりました。さらにPKINITなどの公開鍵方式でも旧暗号のハードコード依存を排除し、量子耐性を意識した暗号への移行が可能になっています。

LDAP通信とパスワード保護

LDAP通信については、Simple Bind後の署名や暗号化(シーリング)が既定で有効となり、平文で通信が行われることが原則なくなりました。また、SAMリモートパスワード変更では安全なRPCインターフェース以外を既定拒否とし、Protected Usersなど重要アカウントではさらに厳格に制限されます。

パフォーマンスの違い

Windows Server 2025では大規模環境の負荷分散や応答性能に関して、2022よりさらに最適化が行われています。特にNUMA対応と32KBページサイズオプションが大きなアドバンテージとなるでしょう。

マルチコア・大規模処理

– NUMA対応: マルチソケットサーバーで多数コアを使い切れる
– CPUグループ制限の撤廃: 64コア単位で区切られていた制限を超え、128コアや256コアにも対応可能

レプリケーション優先度の活用

レプリケーションルートの設定がより柔軟になり、重要変更の早期同期が可能です。これにより認証の可用性やディレクトリ検索の応答速度を安定して確保しやすくなります。

監視とトラブルシューティングの向上

新しいパフォーマンスカウンターがADに追加され、DCロケーターやLSAによる名前解決負荷を可視化するなど、より詳細にADの動作を監視できます。Windows Server 2022にも更新プログラム適用で一部利用可能ですが、2025では標準搭載です。

“上手にリソースを割り当てられるようになったことで、これまで以上に少ない台数のDCでも高負荷を処理できるポテンシャルがあると感じます。”

互換性や移行に関する情報

Windows Server 2025へのAD移行は、基本的には従来の手順を踏襲しつつも、新機能を使いこなすには機能レベルの引き上げが必要になるなどの注意点があります。

ドメイン/フォレスト機能レベル要件

Windows Server 2025のDCを新規導入するには、ドメインおよびフォレスト機能レベルがWindows Server 2016以降であることが前提です。古いDC(2008/2012など)が混在している環境では、先にすべてを2022や2016以降へアップグレードし、機能レベルを上げておく必要があります。

インプレースアップグレードとサイドバイサイド移行

Windows Server 2012 R2以降のDCから、直接Windows Server 2025へインプレースアップグレードすることはサポートされていますが、8KBのデータベースページサイズがそのまま維持される点に注意が必要です。32KBページサイズなど最新機能を活かしたい場合は、全DCを2025に更新後、PowerShellでオプション機能を有効化する追加ステップが求められます。
また、新しいサーバーを追加DCとして参加させ、FSMOを転送して旧サーバーを降格する「サイドバイサイド」方式も従来と同様です。

非推奨機能の扱い

Windows Server 2025では、WINSやNetBIOSによるレガシーなドメイン名解決が強く非推奨とされています。NTLMの利用も既定で抑制され、古いアプリケーションがこの認証に依存している場合は互換設定やアプリ改修が必要になる場合があります。

特に古いアプリを抱える組織では、NTLMや非暗号化LDAP通信が一部停止する恐れがあるため、事前テストを入念に行う必要があります。

管理ツールの違い

Windows Server 2025と2022で、Active Directory管理用のメインツール(ADUC、AD管理センターなど)の基本的操作感はほぼ同じですが、新機能対応や既定設定の変化に伴う細部の変更があります。

Active Directoryユーザーとコンピューター(ADUC) / 管理センター(ADAC)

– 新規コンピューターアカウント作成時に「アカウント名と同一パスワード」が禁止される
– dMSA関連の新しい属性がスキーマに取り込まれていれば編集画面に反映される
– PowerShell履歴機能が拡張され、dMSA移行用コマンドなども記録される

PowerShellモジュールの拡充

Enable-ADOptionalFeature で32KBページサイズなどのオプション機能を管理
– dMSA移行用に Start-ADServiceAccountMigrationComplete-ADServiceAccountMigration などの新コマンドが追加
– Windows Server 2025はPowerShell 7系を正式サポートしており、モジュール互換機能も強化

Azure AD (Microsoft Entra ID)とのハイブリッド管理

Windows Server 2022でも進められていたクラウドとの連携は、2025でさらに一体化が進みました。LAPS(ローカル管理者パスワードソリューション)のクラウドバックアップなどにより、オンプレとAzure AD両方のデバイスを一元管理しやすくなっています。とはいえ、オンプレADとMicrosoft Entra ID(旧Azure AD)は現状別ツールで管理することが基本であり、一部ハイブリッド管理機能を組み合わせる形です。

“Windows Admin CenterやAzureポータル(Entra Admin Center)で、オンプレADの状況をモニタできるのは便利ですね。移行時のエラーも早期に察知できる可能性が上がります。”

まとめ:Windows Server 2025への移行はセキュリティと効率向上の好機

Windows Server 2025のActive Directoryは、従来バージョンからの互換性を保ちつつも、セキュリティとスケーラビリティを飛躍的に高める多くの機能を備えています。NTLMの排除やKerberos拡張、dMSAの導入など、ゼロトラスト時代にふさわしい強化が顕著です。
一方で、32KBページサイズなどを含む新機能をフル活用するにはドメイン機能レベルのアップや全DCのアップグレードが前提となり、互換性を維持するための検証も不可欠です。クラウドとのハイブリッド運用を加速させる組織にとって、Windows Server 2025への移行はさらなるセキュリティと効率化を実現する絶好のチャンスと言えるでしょう。

“特にNTLM依存のアプリケーションを残したままだと、せっかくのセキュリティメリットを活かしきれません。移行前にレガシープロトコルを洗い出し、Kerberos対応へシフトしておくことが鍵になります。”

コメント

コメントする

目次