Neuerungen im Active Directory bei Windows Server 2025
Verzeichnisdienst-Unboxing
von Thomas Joos
Veröffentlicht in Ausgabe 04/2024 - PRAXIS
Mit Windows Server 2025 gibt es erstmals seit Windows Server 2016 wieder wesentliche Änderungen und Neuerungen im Active Directory. So erhält die neue Serverversion einen neuen Betriebsmodus für Gesamtstruktur und Domäne, der speziell für Windows Server 2025 und die darin enthaltenen Neuerungen reserviert ist. In diesem Beitrag zeigen wir Ihnen, was Sie über diese Änderungen wissen müssen, wie Sie diese einsetzen, und auch, wie Sie einen Domänencontroller mit Windows Server 2025 installieren.
Nach aktuellem Stand lässt sich das künftige Active Directory (AD) mit den gleichen Mitteln verwalten wie in Windows Server 2022: Das AD bleibt lokal und es findet keine Zusammenführung mit Entra ID statt. Von Server 2025 gibt es bereits Previews [1], die sich als Teilnehmer des Insider-Programms testen lassen. In diesen wirft Microsoft die Bezeichnungen "Windows Server 2025", "Windows Server vNext" und auch "Windows Server 2022" recht wild durcheinander, was natürlich dem Entwicklungsstand geschuldet ist. So ist eine der wichtigsten Neuerungen denn auch die Codebasis: Während Server 2022 noch auf dem Code von Windows 10 basiert, verwendet Server 2025 die Oberfläche und den Code von Windows 11.
Betriebsmodus, Funktionsebenen und Schema neu
Obwohl es einen neuen Domänencontroller-Betriebsmodus für Windows Server 2025 gibt, ist dieser nicht zwingend erforderlich. Sie sind in der Lage, weiterhin den Server-2016-Betriebsmodus für DCs unter Server 2025 zu verwenden. In diesem Fall können Sie die neue Serverversion als DC in bestehende AD-Strukturen ab Windows Server 2016 integrieren. Wenn Sie jedoch den Betriebsmodus auf Windows Server 2025 umstellen, können in dieser AD-Umgebung nur DCs mit Server 2025 zum Einsatz kommen. Bei den Mitgliedsservern lassen sich aber wie in den Vorgängerversionen weiterhin ältere Windows-Versionen sowie Linux und andere Geräte einbinden.
Im Rahmen der AD-Einrichtung mit dem neuen Betriebssystem muss die Funktionsebene mindestens auf Windows Server 2016 gesetzt sein, ältere Versionen sind nicht mehr verfügbar. Die interne Versionsnummer für die neue Funktionsebene beträgt 10. In Server 2016 war es die 7, 8 und 9 waren für Windows Server 2019 und Windows Server 2022 vorgesehen, erblickten jedoch mangels Neuerungen nie das Licht der Welt. Zwar hat Microsoft das AD-Schema immer mal wieder aktualisiert, aber keine neuen Funktionen integriert. In Version 10 hat Microsoft die Replikation zwischen DCs verbessert und ermöglicht flexiblere Einstellungen.
Nach aktuellem Stand lässt sich das künftige Active Directory (AD) mit den gleichen Mitteln verwalten wie in Windows Server 2022: Das AD bleibt lokal und es findet keine Zusammenführung mit Entra ID statt. Von Server 2025 gibt es bereits Previews [1], die sich als Teilnehmer des Insider-Programms testen lassen. In diesen wirft Microsoft die Bezeichnungen "Windows Server 2025", "Windows Server vNext" und auch "Windows Server 2022" recht wild durcheinander, was natürlich dem Entwicklungsstand geschuldet ist. So ist eine der wichtigsten Neuerungen denn auch die Codebasis: Während Server 2022 noch auf dem Code von Windows 10 basiert, verwendet Server 2025 die Oberfläche und den Code von Windows 11.
Betriebsmodus, Funktionsebenen und Schema neu
Obwohl es einen neuen Domänencontroller-Betriebsmodus für Windows Server 2025 gibt, ist dieser nicht zwingend erforderlich. Sie sind in der Lage, weiterhin den Server-2016-Betriebsmodus für DCs unter Server 2025 zu verwenden. In diesem Fall können Sie die neue Serverversion als DC in bestehende AD-Strukturen ab Windows Server 2016 integrieren. Wenn Sie jedoch den Betriebsmodus auf Windows Server 2025 umstellen, können in dieser AD-Umgebung nur DCs mit Server 2025 zum Einsatz kommen. Bei den Mitgliedsservern lassen sich aber wie in den Vorgängerversionen weiterhin ältere Windows-Versionen sowie Linux und andere Geräte einbinden.
Im Rahmen der AD-Einrichtung mit dem neuen Betriebssystem muss die Funktionsebene mindestens auf Windows Server 2016 gesetzt sein, ältere Versionen sind nicht mehr verfügbar. Die interne Versionsnummer für die neue Funktionsebene beträgt 10. In Server 2016 war es die 7, 8 und 9 waren für Windows Server 2019 und Windows Server 2022 vorgesehen, erblickten jedoch mangels Neuerungen nie das Licht der Welt. Zwar hat Microsoft das AD-Schema immer mal wieder aktualisiert, aber keine neuen Funktionen integriert. In Version 10 hat Microsoft die Replikation zwischen DCs verbessert und ermöglicht flexiblere Einstellungen.
Das Active-Directory-Schema hat in Windows Server 2025 die neue Version 90. Server 2019/2022 haben die Schemaversion 88 und Windows Server 2016 die Version 87.
Die Neuerungen des AD verstehen
Die Neuerungen des AD betreffen vor allem dessen Datenbank, die neuen Funktionsebenen für die Gesamtstruktur und die Domäne sowie mehr Sicherheitsfunktionen, die Benutzer und Geräte vor Angriffen schützen sollen. Gleichzeitig bleibt die neue Version kompatibel zu früheren Serverversionen. Sie können Windows Server 2025 also in bestehende Netzwerke integrieren und die neuen AD-Funktionen nutzen, indem Sie alle Domänencontroller auf die neue Version aktualisieren.
Windows Server 2025 kommt mit einer neuen Funktionsebene für die Gesamtstruktur und die Domäne. Diese wählen Admins während der Installation und Einrichtung oder danach aus, sobald keine älteren Domänencontroller vor Win-dows Server 2025 mehr vorhanden sind. In einer Testumgebung ist es in der Regel sinnvoll, gleich die neue Version zu verwenden, da so alle neuen AD-Funktionen zur Verfügung stehen.
Datenbankseiten können im Active Directory nun eine Größe von 32 KByte erreichen und verwenden 64-Bit "Long Value IDs" (LIDs). Bisher waren die Seiten nur maximal 8 KByte groß. Dies ermöglicht eine flexiblere Skalierbarkeit und es erlaubt, mehr Daten zu speichern und mehr Mitglieder in Gruppen. Beim direkten Upgrade von Windows Server 2019/2022 auf Server 2025 bleibt die Größe der Datenbankseiten jedoch bei 8 KByte – hier muss der IT-Verantwortliche manuell nachkonfigurieren.
Ein neuer DC wird mit 32-KByte-Datenbankseiten installiert, verwendet 64-Bit-LIDs und läuft aus Kompatibilitätsgründen mit früheren Versionen im 8-Kbyte-Seiten-Modus. Bei einem DC-Upgrade auf Server 2025 kommen weiterhin das bestehende Datenbankformat mit 8-Kbyte-Seiten zum Einsatz. Die Umstellung auf 32-KByte-Datenbankseiten erfolgt auf Basis der Gesamtstruktur und erfordert, dass alle DCs in der Struktur über eine 32-KByte-Seiten-fähige DB verfügen. Um die 32-KByte-Variante zu aktivieren, müssen Sie die Forest-Funktionsstufe auf die neue Stufe für Server 2025 anheben. Die neue DB-Seitengröße ist auch ein optionales Feature für AD LDS (Active Directory Lightweight Directory Services).
Verbesserte Speichernutzung
Eine weitere Neuerung ist die verbesserte Unterstützung von NUMA (Non-Uniform Memory Access ); DCs können künftig alle NUMA-Gruppen nutzen. Diese Verbesserung hat Server 2022 inzwischen auch per Update erhalten. NUMA spielt eine Schlüsselrolle in der Serverarchitektur, denn es teilt den Speicher in verschiedene Blöcke auf, wobei jeder Prozessor direkten Zugriff auf einen ihm zugewiesenen Speicherblock hat. Diese Konfiguration verbessert die Leistung, da die Prozessoren schneller auf den Speicher zugreifen können, der ihnen räumlich am Nächsten liegt.
In Windows-Server-Umgebungen, insbesondere bei der Verwendung des Active Directory, hat NUMA verschiedene Vorteile. Das AD, das für seinen hohen Speicherbedarf aufgrund der Verarbeitung großer Datenmengen bekannt ist, profitiert von der geringeren Speicherlatenz, die NUMA bietet. Dies führt zu schnelleren Antwortzeiten und einer effizienteren Datenverarbeitung. Insbesondere dank der neuen, vergrößerten Datenbankseiten ergeben sich vor allem in großen Umgebungen Leistungsverbesserungen.
Mit NUMA lässt sich die Serverleistung zudem skalieren. Dies ist besonders wichtig für AD-Umgebungen, die mit dem Unternehmens mitwachsen. Durch schnellere Speicherzugriffe können NUMA-basierte Windows-Server mehr Aufgaben gleichzeitig ausführen, was für ADs mit hohem Durchsatz unerlässlich ist. NUMA-Gruppen strukturieren den physischen Speicher eines Computers in separate Segmente. Jedes Segment, auch NUMA-Knoten genannt, ist einem bestimmten Prozessor oder einer Gruppe von Prozessoren zugeordnet. In der Praxis führt dies zu einer Optimierung des Speicherzugriffs. Greift ein Prozessor auf Daten im lokalen Speicher zu, erfährt er weniger Latenz als bei Speicher auf einem anderen NUMA-Knoten. Diese Speicherverteilung trägt erheblich zur Gesamtleistung des Systems bei, insbesondere in Umgebungen mit hohem Speicherbedarf und mehreren Prozessoren.
Betriebssysteme und Anwendungen, die für NUMA optimiert sind, können diese Architektur nutzen, indem sie Prozesse und Speicheranforderungen intelligent auf die verschiedenen NUMA-Knoten verteilen. Dies erhöht die Systemeffizienz und -leistung, da Verzögerungen durch entfernte Speicherzugriffe minimiert werden.
Für die Überwachung von Domänencontrollern stehen in diesem Zusammenhang neue Leistungsindikatoren wie "Local Security Authority (LSA) Lookups", "DC Locator" und "LDAP Client" zur Verfügung. Dies ermöglicht eine bessere Überwachung von AD-Umgebungen, insbesondere wenn diese ausgelastet sind und an ihre Leistungsgrenzen stoßen.
Mehr Sicherheit im Active Directory
Microsoft verbessert die Kommunikation zwischen Domänencontrollern und gestaltet diese sicherer. LDAP verwendet jetzt TLS 1.3 mit LDAP over TLS und LDAP-Sealing. LDAP-Sealing verschlüsselt die LDAP-Payload für die Übertragung sensibler Daten. Darüber hinaus erfolgt die Änderung von Passwörtern mit SAM-RPC unter Verwendung von AES. Es ist auch möglich, die Remoteänderung von Passwörtern für bestimmte Konten zu verbieten. Diese Accounts müssen dazu Mitglied der Gruppe "Protected Users" sein. Dies richten Sie in den Gruppenrichtlinien bei "Administrative Vorlagen / System / Sicherheitskontenverwaltung" ein.
Kerberos unterstützt in Server 2025 AES SHA256/384, was zeigt, dass sich Microsoft viele Gedanken gemacht hat, das Active Directory zu modernisieren, ohne die Administration unnötig kompliziert zu machen.
Installation eines Domänencontrollers
Um einen DC mit Windows Server 2025 zu installieren, benötigen Sie lediglich die zuvor verlinkte ISO-Datei der aktuellen Preview. Der Vorgang ist problemlos als VM überall dort möglich, wo sich auch Windows Server 2022 virtualisieren lässt. Für eine vollständige Testumgebung können Sie einen Hyper-V-Server mit Server 2025 ins Leben rufen und darauf einen virtuellen Server-2025-DC betreiben. In diesem Fall können Sie die Neuerungen von Hyper-V zusammen mit denen des Active Directory testen. Es ist aber auch problemlos möglich, Windows Server 2025 mit Hyper-V in Windows Server 2019/2022 auszuprobieren oder mit VMware, VirtualBox oder anderen Virtualisierern, die Windows Server 2022 unterstützen.
Grundsätzlich entspricht die DC-Installation mit Server 2025 der von Server 2022, mit dem Unterschied, dass die neuen Funktionsebenen für Windows Server 2025 zur Verfügung stehen. Als ersten Schritt müssen Sie in den Netzwerkeinstellungen die IP-Adresse des lokalen Servers als DNS-Server eintragen, was über ncpa.cpl gelingt.
Wollen Sie den DC in eine bestehende Umgebung integrieren, tragen Sie hier die IP-Adresse eines DNS-Servers Ihrer Infrastruktur ein. Allerdings können Sie in diesem Fall nicht alle Neuerungen nutzen und den Betriebsmodus für Windows Server 2025 nicht aktivieren.
Über sysdm.cpl geben Sie nach Anklicken des Buttons "Ändern" den Servernamen ein und über "Andere" den FQDN der neuen AD-Gesamtstruktur. Zwar erscheint nach der Installation von Windows Server 2025 der Hinweis, zur Verwaltung das Windows Admin Center (WAC) zu verwenden, dieses kann aber auch in der neuen Version noch keine AD-Einrichtung durchführen. Dies erfolgt bislang über die PowerShell oder den Einrichtungsassistenten des Server-Managers.
Nach einem Neustart verweist der Server auf sich selbst als DNS-Server und hat bereits seinen FQDN. Anschließend erfolgt im Server-Manager über "Verwalten / Rollen und Features hinzufügen" die Installation der "Active Directory-Domänendienste" und "DNS-Server". Sie können dazu auch die PowerShell und das Windows Terminal verwenden:
Install-WindowsFeature AD-Domain-Services, DNS -IncludeManagementTools
Active Directory einrichten
Nach der Installation der AD-Dienste klicken Sie auf das Benachrichtigungssymbol und den Link "Server zum Domänencontroller heraufstufen". Anschließend wählen Sie "Neue Gesamtstruktur hinzufügen". Als "Name der Stammdomäne" verwenden Sie den DNS-Namen, den Sie bei der Definition des Servernamens eingegeben haben. Wichtig ist hier, dass Sie in den IP-Einstellungen des Servers Ihre eigene IP-Adresse als DNS-Server eingetragen haben. Unter "Domänencontrolleroptionen" können Sie die Funktionsebenen der Gesamtstruktur und der Domäne festlegen. Hier steht in der neuen Version auch "Windows Server vNEXT" zur Verfügung. In einer früheren Preview war hier bereits "Windows Server 2025" zu lesen, sodass davon auszugehen ist, dass dies der offizielle Name des Nachfolgers von Windows Server 2022 ist.
Mit der Einstellung "Windows Server vNEXT" als Funktionsebene für Gesamtstruktur und Domäne dürfen nur DCs mit Windows Server 2025 zum Einsatz kommen. Für die Mitgliedsserver spielt die Funktionsebene keine Rolle, hier sind auch Windows Server 2019 und 2022 möglich. Das Heraufstufen des Funktionslevels ist auch nachträglich möglich, allerdings ist es in der Regel sinnvoll, bei einer neuen Domäne gleich den neuen Modus zu verwenden. Denn Windows Server 2025 setzt beim Upgrade nicht alle Neuerungen um, die bei einer Neuinstallation möglich sind.
Zusätzlich aktivieren Sie an dieser Stelle die Optionen "DNS-Server" und "Globaler Katalog". Nachdem Sie das Passwort für den Verzeichnisdienst-Wiederherstellungsmodus eingegeben haben, fahren Sie mit den DNS-Optionen fort. Auf der Seite zur Einrichtung der DNS-Optionen erscheint die Warnung, dass keine Delegierung für DNS eingerichtet werden kann. Dies liegt daran, dass noch keine DNS-Zone existiert, da Sie diese erst im Rahmen der Installation einrichten. Die Meldung können Sie daher mit "Weiter" ignorieren. Unter "Weitere Optionen" geben Sie den NetBIOS-Namen ein und legen anschließend die Pfade für die Active-Directory-Dateien fest. Nachdem Sie die Optionen überprüft und die Vorbereitungen getestet haben, schließen Sie mit "Installieren" ab. Die DNS-Warnungen können Sie auch an dieser Stelle wieder ignorieren. Nach einigen Minuten und einem Neustart steht der DC mit Windows Server 2025 zur Verfügung.
Active Directory verwalten
Nach dem Neustart des DC stehen verschiedene Verwaltungswerkzeuge für das Active Directory bereit, darunter "Active Directory-Benutzer und -Computer". Die Datenbank "ntds.dit" befindet sich nach wie vor im Verzeichnis "C:\Windows\ ntds", sofern Sie den Speicherort nicht geändert haben. Die Funktionsebene der Gesamtstruktur ist weiterhin über "Active Directory-Domänen und Vertrauensstellungen" (domain.msc) über das Kontextmenü von "Active Directory-Domänen und Vertrauenstellungen" durch Auswahl von "Funktionsebene der Gesamtstruktur heraufstufen" sichtbar.
Die Funktionsebene der Domäne sehen Sie für "Active Directory-Benutzer und -Computer" (dsa.msc) über das Kontextmenü der Domäne und die Auswahl "Domänenfunktionsebene heraufstufen" und für "Active Directory-Domänen und -Vertrauensstellungen" über das Kontextmenü der Domäne ein.
Fazit
Windows Server 2025 bringt vor allem Detailneuerungen im Active Directory, verbesserte Sicherheit und optimierte Performance. Die Verwaltung ändert sich grundsätzlich nicht, aber vor allem größere Umgebungen profitieren von mehr Performance und Skalierbarkeit. Die neuen Funktionsstufen schalten alle Neuerungen frei, die neuen Domänencontroller bleiben aber kompatibel zu den Vorgängerversionen. Es ist daher durchaus sinnvoll, dass sich Administratoren in einer Testumgebung mit der neuen Serverversion auseinandersetzen, um sich mit den administrativen Werkzeugen vertraut zu machen.