cookiecutter - Fotolia
Was ist neu im Active Directory von Windows Server 2025?
Mit Windows Server 2025 bringt Microsoft einige neue Funktionen im Active Directory auf den Markt. Außerdem zeigen wir Ihnen, wie Sie einen Domänencontroller installieren.
Der Nachfolger von Windows Server 2022 ist Windows Server 2025 und erscheint wahrscheinlich Ende 2024 oder Anfang 2025. Für Unternehmen gibt es bereits einen Preview, um neue Funktionen auszuprobieren. Dazu gehören eine Funktionsebene für Gesamtstrukturen und Domänen, außerdem das Hotpatching im lokalen Netzwerk ohne die Nutzung von Azure Stack HCI. So muss nach eine Sicherheitsupdate nicht zwangsläufig ein Neustart durchgeführt werden, wovon AD-Domänencontroller profitieren.
Verbesserte Datenbank des Active Directory, eine neue Funktionsebene und mehr Sicherheit im Active Directory
Windows Server 2025 kommt mit einer neuen Funktionsebene für Active Directory. Diese lässt sich bei der Installation und Einrichtung auswählen oder nach der Installation, sobald es in der Umgebung keine älteren Domänencontroller vor Windows Server 2025 mehr gibt. Datenbankseiten können im Active Directory dann eine Größe von 32 KByte erreichen und verwenden 4-bit Long Value IDs. Bisher waren die Seiten nur maximal acht KByte groß. Das ermöglicht eine flexiblere Skalierbarkeit und es lassen sich mehr Daten speichern, mehr Mitglieder in Gruppen sind möglich und weitere Vorteile, die große Datenbankseiten ermöglichen. Bei der direkten Aktualisierung zu Windows Server 2025 von Windows Server 2019/2022 bleibt die Größe der Datenbankseiten bei acht Kbyte und muss manuell umgestellt werden.
Es handelt sich aber immer noch um eine ESE-Datenbank, wie bei den Vorgängerversionen. Die letzten Neuerungen für Active Directory gab es mit Windows Server 2016. In Windows Server 2019 und Windows Server 2022 enthielten diesbezüglich keine Neuerungen.
Im Rahmen der Einrichtung von Active Directory mit Windows Server 2025 muss die Funktionsebene mindestens auf Windows Server 2016 gesetzt sein. Die interne Versionsnummer für die Funktionsebene beträgt 10. In Windows Server 2016 war die Version noch 7. Die Versionen 8 und 9 waren für Windows Server 2019 und Windows Server 2022 vorgesehen. Diese beiden Funktionsebenen gab es mangels Neuerungen aber nie. Zwar hat Microsoft das Schema von Active Directory immer mal wieder aktualisiert, aber keine neuen Funktionen integriert. In Version 10 hat Microsoft die Replikation zwischen Domänencontrollern verbessert und ermöglicht flexiblere Einstellungen.
Ebenfalls neu ist die verbesserte Unterstützung von NUMA (Non-Uniform Memory Access): Hier können Domänencontroller in Zukunft alle NUMA-Gruppen nutzen. Diese Verbesserung hat mittlerweile auch Windows Server 2022 erhalten. Zur Überwachung von Domänencontrollern gibt es neue Leistungsindikatoren (Local Security Authority (LSA) Lookups, DC Locator und LDAP Client). AD unterstützt jetzt daher mehrere Kerne mit mehreren CPUs. Insgesamt lassen sich bis zu 64-Kerne mit AD in Windows Server 2025 einsetzen.
Gesteigerte Security in Active Directory mit Windows Server 2025
Microsoft hat darüber hinaus die Kommunikation zwischen Domänencontrollern sicherer gestaltet. LDAP nutzt jetzt TLS 1.3 mit LDAP over TLS. Außerdem kommt LDAP-Sealing zum Einsatz, was die Sicherheit von AD-Sitzungen verbessert. LDAP-Sealing verschlüsselt LDAP-Nutzlastdaten für das Übertragen sensibler Daten. Darüber hinaus erfolgt die Änderung von Kennwörtern mit SAM-RPC über die Verwendung von AES. Es ist auch möglich, das Remote-Ändern von Kennwörtern für bestimmte Konten zu untersagen. Diese müssen dazu Mitglied der Gruppe Protected Users sein. As lässt sich in den Gruppenrichtlinien anpassen, was aber nicht empfehlenswert ist (Administrative Vorlagen/System/Sicherheitskontenverwaltung). Kerberos unterstützt in Windows Server 2025 AES SHA256/384.
Installation von Domänencontrollern mit Windows Server 2025
Um einen Domänencontroller mit Windows Server 2025 zu installieren, sollte zunächst in den Netzwerkeinstellungen die IP-Adresse des lokalen Servers als DNS-Server eingetragen werden. Danach erfolgt über sysdm.cpl die Angabe des Servernamens, zum Beispiel dcvnext und über Weitere die Angabe des FQDNs der Domäne.
Nach einem Neustart verweist der Server auf sich selbst als DNS-Server und hat bereits seinen FQDN, zum Beispiel dcvnext.joos.com. Danach erfolgt über den Server-Manager in Windows Server 2025 über Verwalten/Rollen und Features hinzufügen danach die Installation von Active Directory-Domänendienste und von DNS-Server.
Einrichtung von Active Directory in Windows Server 2025
Nachdem die Dienste installiert sind, lässt sich Active Directory einrichten. Auch das erfolgt idealerweise über den Server-Manager durch einen Klick auf das Benachrichtungs-Icon und der Auswahl von Server zu einem Domänencontroller heraufstufen. Danach erfolgt die Auswahl von Neue Gesamtstruktur hinzufügen. Als Name der Stammdomäne wird der DNS-Name verwendet, der im Rahmen der Festlegung des Namens erfolgt ist. In diesem Beispiel ist das joos.com.
Wichtig ist an dieser Stelle, dass in den IP-Einstellungen des Servers seine eigene IP-Adresse als DNS-Server eingetragen ist. Das erleichtert die Einrichtung deutlich. Bei Domänencontrolleroptionen lassen sich die Funktionsebenen der Gesamtstrukturen und der Domäne festlegen. Hier steht Windows-Server vNEXT zur Verfügung. In einer früheren Preview war hier bereits Windows Server 2025 zu lesen.
Dadurch dürfen nur Domänencontroller mit Windows Server 2025 betrieben werden. Für Mitgliedsserver spielt das keine Rolle, in einer Domäne mit Windows Server 2025 dürfen auch Mitgliedsserver mit Windows Server 2019 und Windows Server 2022 genutzt werden. Das Heraufstufen geht auch nachträglich, es ist aber generell sinnvoll, gleich den neuen Modus zu verwenden, wenn die Domäne neu ist.
Außerdem muss der Server zu einem DNS-Server und einem globalen Katalog werden. Nach der Angabe des Kennwortes für den Verzeichniswiederherstellungsmodus geht es mit den DNS-Optionen weiter.
Auf der Seite zur Einrichtung der DNS-Optionen erscheint eine Warnung, dass keine Delegierung für DNS eingerichtet werden kann. Das liegt daran, dass es noch keine DNS-Zone gibt. Die Meldung kann daher mit Weiter ignoriert werden. Bei Zusätzliche Optionen erfolgt die Angabe des NetBIOS-Namens und danach die Angabe der Pfade für die Active-Directory-Dateien. Nach der Überprüfung der Optionen und dem Test der Vorbereitung kann mit Installieren die Einrichtung abgeschlossen werden. Die DNS-Warnungen können an dieser Stelle wieder ignoriert werden, die Einrichtung von DNS erfolgt automatisch.
Nach einigen Minuten und mehreren Neustarts steht der Domänencontroller mit Windows Server 2025 zur Verfügung. Die Verwaltung ist generell ähnlich zu den Vorgängerversionen.
Verwaltung von Active Directory in Windows Server 2025
Nach dem Neustart des Domänencontrollers stehen die verschiedenen Verwaltungs-Tools für Active Directory, die bereits vor den Vorgängerversionen bekannt sind, auch in Windows Server 2025 zur Verfügung. Dazu gehört auch die Konsole Active Directory-Benutzer und -Computer, die mit dsa.msc startet.
Die Datenbank ntds.dit befindet sich weiterhin im Verzeichnis C:\Windows\ntds, wenn das Verzeichnis nicht verändert wurde.