sdx15 - stock.adobe.com
Wie Sie Domänencontroller auf Windows Server 2025 migrieren
Windows Server 2025 lässt sich sowohl bei virtuellen als auch bei hardwarebasierten Domänencontrollern reibungslos in bestehende Active-Directory-Umgebungen integrieren.
Wird Windows Server 2025 in ein Active Directory (AD) mit Vorgängerversionen eingeführt, können die Domänencontroller auf eine neue Version übertragen werden. Ein Weg ist die Installation eines neues Domänencontrollers (DC) mit Windows Server 2025 in ein vorhandenes AD. Danach werden die Betriebsmasterrollen und Serverdienste wie DNS und DHCP verschoben. In weiteren Schritten erfolgt der Umzug des globalen Katalogs und danach das Entfernen der veralteten Domänencontroller aus dem Netzwerk. Diese Vorgehensweise hat den Vorteil, dass es keine Ausfälle gibt und sich die neue Serverversion unproblematisch einführen lässt.
Migration bei virtualisierten Domänencontrollern
Sind die Domänencontroller bereits virtualisiert, lässt sich die Migration wesentlich einfacher durchführen. In diesem Fall ist der leichteste Weg die direkte Aktualisierung des Domänencontrollers zu Windows Server 2025. Da die Hardware des DCs im Rahmen der Virtualisierung ohnehin ebenfalls virtualisiert ist, gibt es keine Treiberprobleme. Die direkte Aktualisierung ist in diesem Fall ideal.
Wenn alle Domänencontroller auf Windows Server 2025 aktualisiert sind, kann der Betriebsmodus der Gesamtstruktur und der einzelnen Domänen auf den Windows-Server-2025-Modus gehoben werden. Danach ist die Migration abgeschlossen.
Migration bei hardwarebasierten Domänencontrollern
Sind im Unternehmen Domänencontroller auf Hardware im Einsatz, ist die Integration eines weiteren Domänencontrollers mit Windows Server 2025 auf passender Hardware ein möglicher Weg. Natürlich ist es in diesem Fall auch sinnvoll zu prüfen, ob die Domänencontroller nicht auch virtualisiert werden können. Das erleichtert den Betrieb und die Verwaltung deutlich, vor allem wenn der eingesetzte Hypervisor hochverfügbar betrieben wird.
Neue Domänencontroller in bestehendes Active Directory integrieren
Unabhängig davon, ob der neue Domänencontroller auf Hardware oder als VM betrieben wird, ist die Vorgehensweise weitgehend identisch. Im ersten Schritt erfolgt die Installation des Betriebssystems. Als bevorzugter DNS-Server wird auf dem neuen Server die IP-Adresse eines der DNS-Servers in AD verwendet. Meistens handelt es sich dabei um die bereits installierten Domänencontroller selbst. Danach erfolgt über sysdm.cpl die Eingabe des Servernamens und eventuell schon die Integration in Active Directory als Mitgliedsserver. Das ist nicht zwingend notwendig, stellt aber sicher, dass der Server mit Active Directory kommunizieren kann.
Es ist aber auch möglich, direkt im Installationsassistenten von Active Directory die Mitgliedschaft in das Active Directory vorzunehmen. Die Installation der notwendigen Systemdateien von AD entspricht in Windows Server 2025 noch der üblichen Vorgehensweise über den Server-Manager oder der PowerShell.
Danach wird zum Beispiel über den Server-Manager der Assistent zum Einrichten von Active Directory gestartet. Auf der ersten Seite des Assistenten erfolgt die Auswahl von Domänencontroller zu einer bestehenden Domäne hinzufügen.
Im Anschluss erfolgt die Auswahl der Domäne und die Authentifizierung an Active Directory. Damit das funktioniert, muss der neue Domänencontroller den Namen der Server in Active Directory per DNS auflösen können. Nach der erfolgreichen Authentifizierung lässt sich die nächste Seite des Assistenten aufrufen. Ab hier läuft der Assistent genauso ab wie bei der Installation eines ersten Domänencontrollers. Auf der Seite Zusätzliche Optionen sollten bei Replizieren von die verschiedenen Domänencontroller angezeigt werden, die bereits vorhanden sind. Es ist sinnvoll, hier einen passenden Domänencontroller auszuwählen, von dem der neue DC seine Active-Directory-Daten repliziert.
Sobald die Installation des Domänencontrollers nach einem Reboot abgeschlossen ist, erscheint er unter anderem im Verwaltungs-Tool Active Directory-Standorte und -Dienste (dssite.msc) bei Sites unterhalb des Standortes im Ordner Servers. Nach kurzer Zeit ist der Server in der Replikationsinfrastruktur unter NTDS-Settings eingebunden. Über das Kontextmenü kann eine Replikation manuell angestoßen werden. Es ist sinnvoll, mindestens einen Tag zu warten, bis alle Daten richtig synchronisiert sind.
Betriebsmasterrollen verschieben
Über dsa.msc startet das Verwaltungs-Tool Active Directory-Benutzer und Computer. Durch einen Rechtsklick auf die Domäne und die Auswahl von Domänencontroller ändern wird der neue Domänencontroller ausgewählt. Danach können über das Aufrufen von Betriebsmaster im Kontextmenü der Domäne die verschiedenen Betriebsmaster (RID, PDC, Infrastruktur) auf den neuen Server verschoben werden.
Das Gleiche wird in Active Directory-Domänen und -Vertrauensstellungen (domain.msc) erledigt. Hier wird der Menüpunkt Active Directory-Domänen und -Vertrauensdienste ausgewählt und eine neue Verbindung zum neuen Domänencontroller aufgebaut und danach Betriebsmaster aufgerufen.
Der letzte zu verschiebende Betriebsmaster ist der Schemamaster. Das Verwaltungs-Tool dazu muss erst mit regsvr32 schmmgmt.dll registriert werden. Danach lässt sich mit der gleichen Vorgehensweise wie oben der Schemamaster auf den neuen Server verschieben. Das Snap-In dazu wird in einer Managementkonsole (mmc.exe) als Active-Directory-Schema hinzugefügt. Im Anschluss wird die Verbindung zum neuen Domänencontroller aufgebaut und dieser Betriebsmaster verschoben.
Weitere Dienste auf Windows Server 2025 auslagern
Bevor der alte Domänencontroller aus der Umgebung entfernt wird, muss sichergestellt sein, dass er keine weiteren Dienste mehr bereitstellt, zum Beispiel DNS, DHCP oder andere AD-Dienste wie den globalen Katalog. Dieser lässt sich in den Eigenschaften von NTDS-Settings entfernen, die für den Server bei dssite.msc aufgerufen werden können.
Danach lässt sich der Server aus Active Directory entfernen, zum Beispiel durch das Deinstallieren von Active Directory über den Server-Manager. Hierüber wird der Domänencontroller zu einem Mitgliedsserver herabgestuft.
