Windows Server 2025: Tipps für Domänencontroller und Serverrollen

Migration bei virtualisierten Domänencontrollern

Sind die Domänencontroller bereits virtualisiert, lässt sich die Migration wesentlich einfacher durchführen. In diesem Fall ist der einfachste und beste Weg die direkte Aktualisierung des Domänencontrollers zu Windows Server 2025. Da die Hardware des DCs im Rahmen der Virtualisierung ohnehin ebenfalls virtualisiert ist, gibt es keine Treiberprobleme. Die direkte Aktualisierung ist in diesem Fall ideal.

Wenn alle Domänencontroller auf Windows Server 2025 aktualisiert sind, können die Domänen- und Gesamtstrukturfunktionsebenen auf Windows Server 2025 angehoben werden. Voraussetzung für das Hinzufügen eines Windows-Server-2025-Domänencontrollers ist mindestens die Funktionsebene Windows Server 2016 in Domäne und Gesamtstruktur. Die aktuelle Funktionsebene lässt sich vorab einfach mit PowerShell prüfen, zum Beispiel mit Get-ADDomain | fl Name,DomainMode und Get-ADForest | fl Name,ForestMode auf einem Domänencontroller

Migration bei hardwarebasierten Domänencontrollern

Sind im Unternehmen DCs auf Hardware im Einsatz, ist die Integration eines weiteren Domänencontrollers mit Windows Server 2025 auf passender Hardware ein möglicher Weg. Natürlich ist es in diesem Fall auch sinnvoll zu prüfen, ob die Domänencontroller nicht auch virtualisiert werden können. Das erleichtert Betrieb und Verwaltung deutlich, vor allem wenn der eingesetzte Hypervisor hochverfügbar betrieben wird.

Neue Domänencontroller in bestehendes Active Directory integrieren

Unabhängig davon, ob der neue Domänencontroller auf Hardware oder als virtuelle Maschine (VM) betrieben wird, ist die Vorgehensweise weitgehend identisch. Im ersten Schritt erfolgt die Installation des Betriebssystems. Als bevorzugter DNS-Server wird auf dem neuen Server die IP-Adresse eines der DNS-Servers im AD verwendet. Meistens handelt es sich dabei um die bereits installierten DCs selbst. Danach erfolgt über sysdm.cpl die Eingabe des Servernamens und eventuell schon die Integration in Active Directory als Mitgliedsserver. Das ist nicht zwingend notwendig, stellt aber sicher, dass der Server mit Active Directory kommunizieren kann. Es ist aber auch möglich direkt im Installationsassistenten des Active Directory die Mitgliedschaft in das Active Directory vorzunehmen. Die Installation der notwendigen Systemdateien von Active Directory entspricht in Windows Server 2025 noch der üblichen Vorgehensweise über den Server-Manager oder der PowerShell.

Danach wird zum Beispiel über den Server-Manager der Assistent zum Einrichten von Active Directory gestartet. Auf der ersten Seite des Assistenten erfolgt die Auswahl von Domänencontroller zu einer bestehenden Domäne hinzufügen.

Danach erfolgt die Auswahl der Domäne und die Authentifizierung an Active Directory. Damit das funktioniert, muss der neue DC den Namen der Server in Active Directoy per DNS auflösen können. Nach der erfolgreichen Authentifizierung lässt sich die nächste Seite des Assistenten aufrufen. Ab hier läuft der Assistent genauso ab, wie bei der Installation eines ersten Domänencontrollers. Auf der Seite Zusätzliche Optionen sollten bei Replizieren von die verschiedenen DCs angezeigt werden, die bereits vorhanden sind. Es ist sinnvoll hier einen passenden DC auszuwählen, von dem der neue DC seine AD-Daten repliziert.

Sobald die Installation des Domänencontrollers nach einem Reboot abgeschlossen ist, erscheint er unter anderem im Verwaltungs-Tool Active Directory-Standorte und -Dienste (dssite.msc) bei Sites unterhalb des Standortes im Ordner Servers. Nach kurzer Zeit ist der Server in der Replikationsinfrastruktur unter NTDS-Settings eingebunden. Das kann aber durchaus einige Zeit dauern. Über das Kontextmenü kann eine Replikation manuell angestoßen werden. Es ist sinnvoll mindestens einen Tag zu warten, bis alle Daten richtig synchronisiert sind.

Betriebsmasterrollen verschieben

Über dsa.msc startet das Verwaltungstools Active Directory-Benutzer und Computer. Durch einen Rechtsklick auf die Domäne und die Auswahl von Domänencontroller ändern wird der neue Domänencontroller ausgewählt. Danach können über das Aufrufen von Betriebsmaster im Kontextmenü der Domäne die verschiedenen Betriebsmaster (RID, PDC, Infrastruktur) auf den neuen Server verschoben werden.

Das Gleiche wird in Active Directory-Domänen und -Vertrauensstellungen (domain.msc) erledigt. Hier wird der Menüpunkt Active Directory-Domänen und -Vertrauensdienste ausgewählt und eine neue Verbindung zum neuen Domänencontroller aufgebaut und danach Betriebsmaster aufgerufen.

Der letzte zu verschiebende Betriebsmaster ist der Schemamaster. Das Verwaltungs-Tool dazu muss erst mit regsvr32 schmmgmt.dll registriert werden. Danach lässt sich mit der gleichen Vorgehensweise wie oben der Schemamaster auf den neuen Server verschieben. Das Snap-In dazu wird in einer Managementkonsole (mmc.exe) als Active Directory-Schema hinzugefügt. Danach wird eine Verbindung zum neuen DC aufgebaut und auch dieser Betriebsmaster verschoben.

Weitere Dienste auf Windows Server 2025 auslagern

Bevor der alte DC aus der Umgebung entfernt wird, muss sichergestellt sein, dass er keine weiteren Dienste mehr bereitstellt, zum Beispiel DNS, DHCP oder andere AD-Dienste wie den globalen Katalog. Dieser lässt sich in den Eigenschaften von NTDS-Settings entfernen, die für den Server bei dssite.msc aufgerufen werden können.

Danach lässt sich der Server aus Active Directory entfernen, zum Beispiel durch das Deinstallieren von Active Directory über den Server-Manager. Hierüber kann der Domänencontroller zu einem Mitgliedsserver herabgestuft.