JumalaSika ltd - Fotolia
Windows Server 2025: Neuerungen bei Active Directory und Co.
Mit dem Nachfolger von Windows Server 2022 bringt Microsoft neue Funktionen in das Active Directory und es wird die Installation eines Domänencontrollers gezeigt.
Windows Server 2025 ist der Nachfolger von Windows Server 2022, der vermutlich Ende 2024 oder Anfang 2025 erscheint. Aktuell gibt es bereits eine Preview, mit denen Unternehmen die neuen Funktionen testen können. Zu den Neuerungen gehört eine neue Funktionsebene für Gesamtstrukturen und Domänen, die Möglichkeit Hotpatching auch im lokalen Netzwerk ohne Azure Stack HCI zu nutzen. Davon profitieren natürlich auch AD-Domänencontroller, da diese nach einem Sicherheitsupdate nicht unbedingt neu starten müssen.
Bessere AD-Datenbank, neue Funktionsebene, mehr Security im Active Directory
Windows Server 2025 kommt mit einer neuen Funktionsebene für Active Directory. Diese lässt sich bei der Installation und Einrichtung auswählen oder nach der Installation, sobald es in der Umgebung keine älteren Domänencontroller vor Windows Server 2025 mehr gibt. Datenbankseiten können im Active Directory dann eine Größe von 32 KByte erreichen und verwenden 64-bit Long Value IDs. Bisher waren die Seiten nur maximal 8 KByte groß. Das ermöglicht eine flexiblere Skalierbarkeit und es lassen sich mehr Daten speichern, mehr Mitglieder in Gruppen sind möglich und weitere Vorteile, die große Datenbankseiten ermöglichen. Bei der direkten Aktualisierung zu Windows Server 2025 von Windows Server 2019/2022 bleibt die Größe der Datenbankseiten bei 8 KByte und muss manuell umgestellt werden.
Es handelt sich aber immer noch um eine ESE-Datenbank, wie bei den Vorgängerversionen. Die letzten Neuerungen für Active Directory gab es mit Windows Server 2016. In Windows Server 2019 und Windows Server 2022 enthielten diesbezüglich keine Neuerungen.
Im Rahmen der Einrichtung von Active Directory mit Windows Server 2025 muss die Funktionsebene mindestens auf Windows Server 2016 gesetzt sein. Die interne Versionsnummer für die Funktionsebene beträgt 10. In Windows Server 2016 war die Version noch 7. Die Versionen 8 und 9 waren für Windows Server 2019 und Windows Server 2022 vorgesehen. Diese beiden Funktionsebenen gab es mangels Neuerungen aber nie. Zwar hat Microsoft das Schema von Active Directory immer mal wieder aktualisiert, aber keine neuen Funktionen integriert. In Version 10 hat Microsoft die Replikation zwischen Domänencontrollern verbessert und ermöglicht flexiblere Einstellungen.
Ebenfalls neu ist die verbesserte Unterstützung von NUMA (Non-Uniform Memory Access). Hier können Domänencontroller in Zukunft alle NUMA-Gruppen nutzen. Diese Verbesserung hat mittlerweile auch Windows Server 2022 erhalten. Zur Überwachung von Domänencontrollern gibt es neue Leistungsindikatoren (Local Security Authority (LSA) Lookups, DC Locator und LDAP Client). AD unterstützt jetzt daher mehrere Kerne mit mehreren CPUs. Insgesamt lassen sich bis zu 64-Kerne mit AD in Windows Server 2025 einsetzen.
Mehr Sicherheit in Active Directory mit Windows Server 2025
Microsoft hat darüber hinaus die Kommunikation zwischen Domänencontrollern sicherer gestaltet. LDAP nutzt jetzt TLS 1.3 mit LDAP over TLS. Außerdem kommt LDAP-Sealing zum Einsatz, was die Sicherheit von AD-Sitzungen verbessert. LDAP-Sealing verschlüsselt LDAP-Nutzlastdaten für das Übertragen sensibler Daten. Darüber hinaus erfolgt die Änderung von Kennwörtern mit SAM-RPC über die Verwendung von AES. Es ist auch möglich, das Remote-Ändern von Kennwörtern für bestimmte Konten zu untersagen. Diese müssen dazu Mitglied der Gruppe Protected Users sein. Das lässt sich in den Gruppenrichtlinien anpassen, was aber nicht empfehlenswert ist (Administrative Vorlagen/System/Sicherheitskontenverwaltung). Kerberos unterstützt in Windows Server 2025 AES SHA256/384.
Domänencontroller mit Windows Server 2025 installieren
Um einen Domänencontroller mit Windows Server 2025 zu installieren, sollte zunächst in den Netzwerkeinstellungen die IP-Adresse des lokalen Servers als DNS-Server eingetragen werden. Danach erfolgt über sysdm.cpl die Angabe des Servernamens, zum Beispiel dcvnext und über Weitere die Angabe des FQDNs der Domäne.
Nach einem Neustart verweist der Server auf sich selbst als DNS-Server und hat bereits seinen FQDN, zum Beispiel dcvnext.joos.com. Danach erfolgt über den Server-Manager in Windows Server 2025 über Verwalten/Rollen und Features hinzufügen erfolgt danach die Installation von Active Directory-Domänendienste und von DNS-Server.
Active Directory in Windows Server 2025 einrichten
Nachdem die Dienste installiert sind, lässt sich Active Directory einrichten. Auch das erfolgt idealerweise über den Server-Manager durch einen Klick auf das Benachrichtungs-Icon und der Auswahl von Server zu einem Domänencontroller heraufstufen. Danach erfolgt die Auswahl von Neue Gesamtstruktur hinzufügen. Als Name der Stammdomäne wird der DNS-Name verwendet, der im Rahmen der Festlegung des Namens erfolgt ist. In diesem Beispiel ist das joos.com.
Wichtig ist an dieser Stelle, dass in den IP-Einstellungen des Servers seine eigene IP-Adresse als DNS-Server eingetragen ist. Das erleichtert die Einrichtung deutlich. Bei Domänencontrolleroptionen lassen sich die Funktionsebenen der Gesamtstruktur und der Domäne festlegen. Hier steht Windows-Server vNEXT zur Verfügung. In einer früheren Preview war hier bereits Windows Server 2025 zu lesen.
Dadurch dürfen nur Domänencontroller mit Windows Server 2025 betrieben werden. Für Mitgliedsserver spielt das keine Rolle, in einer Domäne mit Windows Server 2025 dürfen auch Mitgliedsserver mit Windows Server 2019 und Windows Server 2022 genutzt werden. Das Heraufstufen geht auch nachträglich, es ist aber generell sinnvoll, gleich den neuen Modus zu verwenden, wenn die Domäne neu ist.
Außerdem muss der Server zu einem DNS-Server und einem globalen Katalog werden. Nach der Angabe des Kennwortes für den Verzeichnisdienstwiederherstellungsmodus geht es mit den DNS-Optionen weiter.
Auf der Seite zur Einrichtung der DNS-Optionen erscheint eine Warnung, dass keine Delegierung für DNS eingerichtet werden kann. Das liegt daran, dass es noch keine DNS-Zone gibt. Die Meldung kann daher mit Weiter ignoriert werden. Bei Zusätzliche Optionen erfolgt die Angabe des NetBIOS-Namens und danach die Angabe der Pfade für die Active-Directory-Dateien. Nach der Überprüfung der Optionen und dem Test der Vorbereitung kann mit Installieren die Einrichtung abgeschlossen werden. Die DNS-Warnungen können an dieser Stelle wieder ignoriert werden, die Einrichtung von DNS erfolgt automatisch.
Nach einigen Minute und mehreren Neustarts steht der Domänencontroller mit Windows Server 2025 zur Verfügung. Die Verwaltung ist generell ähnlich zu den Vorgängerversionen.
Active Directory in Windows Server 2025 verwalten
Nach dem Neustart des Domänencontrollers stehen die verschiedenen Verwaltungs-Tools für Active Directory, die bereits vor den Vorgängerversionen bekannt sind, auch in Windows Server 2025 zur Verfügung. Dazu gehört auch die Konsole Active Directory-Benutzer und -Computer, die mit dsa.msc startet.
Die Datenbank ntds.dit befindet sich weiterhin im Verzeichnis C:\Windows\ntds, wenn das Verzeichnis nicht verändert wurde.
