Microsoft a annoncé aujourd’hui la disponibilité générale (G.A.) de Windows Server 2025, à partir de la build 26100.1742. Cette dernière version du système d’exploitation serveur, également une version du canal de maintenance à long terme (LTSC), introduit une nouveauté majeure pour les clusters Hyper-V : la possibilité de fonctionner sans Active Directory, en mode workgroup. Mais ce n’est là qu’une des nombreuses améliorations apportées par cette version.
Des clusters Hyper-V autonomes
Jusqu’à présent, les clusters Hyper-V nécessitaient un domaine Active Directory pour fonctionner. Avec Windows Server 2025, cette dépendance disparaît. Les clusters peuvent maintenant être déployés en mode workgroup, sans nécessiter la présence d’un contrôleur de domaine.
Cette évolution offre plusieurs avantages :
– Une simplification des déploiements de clusters Hyper-V
– Une réduction des coûts et de la complexité d’infrastructure en éliminant le besoin d’Active Directory
– Une flexibilité accrue pour les environnements où Active Directory n’est pas utilisé ou disponible
Sécurité et gestion des identités repensées
Pour permettre un fonctionnement sécurisé et efficace des clusters Hyper-V en mode workgroup, Windows Server 2025 introduit de nouvelles méthodes de gestion des identités et d’authentification. Celles-ci s’appuient sur des technologies modernes comme l’authentification basée sur les certificats et les jetons d’accès.
Ces mécanismes garantissent un haut niveau de sécurité tout en offrant une expérience de gestion simplifiée pour les administrateurs.
Des performances de stockage décuplées
Windows Server 2025 apporte d’énormes améliorations en termes de performances de débit d’E/S. Microsoft a détaillé ces avancées dans un article séparé, soulignant des gains significatifs qui profiteront à une large gamme de charges de travail.
La virtualisation GPU à un nouveau niveau
Avec le support du partitionnement GPU et du GPU multi-instance, Windows Server 2025 repousse les limites de la virtualisation GPU. Ces fonctionnalités ouvrent la voie à de nouveaux scénarios de déploiement et une utilisation plus efficace des ressources GPU.
Coté Active Directory : des avancées majeures
Windows Server 2025 introduit une série d’améliorations significatives pour Active Directory Domain Services (AD DS) et Active Directory Lightweight Domain Services (AD LDS), visant à optimiser l’expérience de gestion de domaine :
Taille de page de base de données 32k
AD utilise une base de données Extensible Storage Engine (ESE) depuis Windows 2000, avec une taille de page de 8k. Cette limitation architecturale entraînait des restrictions, notamment sur la taille maximale d’un objet AD (8k). Le passage à un format de page de 32k offre une amélioration considérable, permettant par exemple aux attributs multi-valeurs de contenir jusqu’à ~3 200 valeurs (x2,6).
Les nouveaux contrôleurs de domaine peuvent être installés avec une base de données 32k utilisant des Long Value IDs (LID) 64 bits, tout en fonctionnant en « mode 8k » pour la compatibilité. La migration vers les pages 32k se fait à l’échelle de la forêt et nécessite que tous les DC aient une base de données compatible 32k.
Mises à jour du schéma AD
Trois nouveaux fichiers Log Database Files (LDF) étendent le schéma AD : sch89.ldf, sch90.ldf et sch91.ldf. Les mises à jour équivalentes pour AD LDS sont dans MS-ADAM-Upgrade3.ldf.
Réparation d’objets AD
Les administrateurs peuvent désormais réparer les objets dont les attributs de base SamAccountType et ObjectCategory sont manquants. Ils peuvent aussi réinitialiser l’attribut LastLogonTimeStamp d’un objet à l’heure actuelle, via une nouvelle opération de modification RootDSE appelée fixupObjectState.
Support de l’audit de liaison de canal
Les événements 3074 et 3075 peuvent maintenant être activés pour la liaison de canal LDAP. Lorsque la politique de liaison de canal est modifiée vers un paramètre plus sécurisé, un administrateur peut identifier les appareils qui ne la supportent pas ou qui échouent.
Améliorations de l’algorithme de localisation des DC
L’algorithme de découverte des DC offre une nouvelle fonctionnalité avec des améliorations du mappage des noms de domaine courts de type NetBIOS vers les noms de domaine de style DNS. Windows n’utilise plus les mailslots pour les opérations de découverte de DC suite à la dépréciation de WINS et des mailslots.
Niveaux fonctionnels de forêt et de domaine
Le nouveau niveau fonctionnel, requis pour la nouvelle taille de page de base de données 32K, correspond aux valeurs DomainLevel 10 et ForestLevel 10 pour les installations sans assistance. L’API DsGetDcName prend également en charge un nouveau drapeau DS_DIRECTORY_SERVICE_13_REQUIRED permettant de localiser les DC exécutant Windows Server 2025.
Autres améliorations de sécurité et de performance
Windows Server 2025 apporte de nombreuses autres améliorations à Active Directory, notamment :
Des algorithmes améliorés pour les recherches de noms et de SID
Une sécurité renforcée pour les attributs confidentiels et les mots de passe de compte machine par défaut
Un support de l’agilité cryptographique pour Kerberos PKINIT
Un chiffrement LDAP par défaut après une liaison SASL
Un support de TLS 1.3 pour LDAP over TLS, éliminant les algorithmes cryptographiques obsolètes