Unsere ehrliche Einschätzung

Als IT-Security Consultants sehen wir tagtäglich, wie komplex Active Directory-Umgebungen werden können. Windows Server 2025 als Domain Controller klingt nach Fortschritt, doch in gemischten Umgebungen kann er zum Risiko werden, das man besser nicht unterschätzt. Unsere klare Meinung: Wer jetzt leichtfertig umstellt, riskiert kritische Ausfälle.

Auch wenn Microsoft bisher keine offizielle Warnung herausgegeben hat, zeigen Community-Berichte und Kundenfälle: Die Risiken sind real und sollten ernst genommen werden.

Warum Server 2025 in gemischten ADs problematisch ist

Das Kernproblem entsteht in gemischten Umgebungen, also wenn Server 2025 DCs zusammen mit älteren DCs wie Server 2019 oder 2022 betrieben werden. Die Umstellung bringt Änderungen in Kerberos, strengere Vorgaben für Passwortwechsel und deaktivierte alte Verschlüsselungen (RC4, DES).

Folge: Maschinenkonten können ihre Kennwörter nicht mehr automatisch zurücksetzen. Sporadische Anmeldeausfälle sind die Konsequenz. Ein Risiko, das in Produktionsumgebungen schnell kritisch werden kann.

Der kritische Bug: Maschinenpasswörter versagen

Berichte aus Blogs wie Borns IT- und Windows-Blog (27.09.2025) zeigen:

• • Maschinenkonten können ihre Passwörter nicht zurücksetzen.
  • Anmeldeprobleme treten etwa einen Monat nach Einsatz des DCs auf, passend zum standardmäßigen 30-Tage-Intervall der Maschinenkennwortwechsel.
  • Das Problem hängt eng mit der Handhabung veralteter Verschlüsselungstypen zusammen.

Administratoren sollten die Event-ID 14 im Kerberos Key Distribution Center Log auf den DCs prüfen. Sie zeigt, welche Maschinen betroffen sind.

Akut-Maßnahmen: So rettet man die Umgebung

Wer bereits betroffen ist, sollte sofort handeln:

1. 1. 1. Alle Windows Server 2025 DCs herunterfahren: verhindert weitere fehlerhafte Passwortwechsel.
      2. Manuelles Zurücksetzen der Computerkennwörter: über einen stabilen älteren DC (z.B. Server 2022).
      3. Doppelter Reset: Da Windows zwei Kennwörter speichert (aktuell und vorherig), empfiehlt sich ein zweiter Reset, um das fehlerhafte Passwort vollständig zu entfernen.

PowerShell-Beispiel

# Kennwörter der betroffenen Maschinen manuell zurücksetzen
Reset-ComputerMachinePassword -Server <alter_DC> -Credential <Admin>

Die Zwickmühle: Mehr als nur ein Domain-Controller-Problem

Das Problem mit Maschinenkennwörtern ist nur die Spitze des Eisbergs. Server 2025 bringt weitere Herausforderungen:

• • Schema-Master-Rolle: Liegt diese auf einem Windows Server 2025-DC, können AD-Schema-Erweiterungen fehlschlagen – kritisch etwa für Exchange (siehe AD schema extension issue if you use a Windows Server 2025 schema master role). Ursache ist, dass der Schema-Master doppelte Attributwerte erzeugen kann, was zu einem Schema-Mismatch führt. In der Folge schlägt die AD-Replikation fehl (Fehler 8418, Warnung 1203), und Exchange-Installationen oder Upgrades werden blockiert.
  • AD-Synchronisationsproblem: Nach Installation der September-Updates (KB5065426 oder später) auf Windows Server 2025 kann die Synchronisation von großen AD-Sicherheitsgruppen (>10.000 Mitglieder) über Microsoft Entra Connect fehlschlagen (siehe Microsoft bestätigt AD-Probleme nach September-Update). Ursache ist ein Fehler im DirSync-Control, der zu unvollständiger Synchronisation führt. Betroffen sind ausschließlich Server 2025-Systeme mit installiertem Update.
  • Keine halben Schritte: Wir von Teal vermuten, dass Microsoft langfristig empfehlen wird, alle DCs gleichzeitig auf 2025 zu migrieren – mit neuen Problemen und hohem Aufwand.
  • Kerberos-Umstrukturierung: Microsoft arbeitet massiv an der Kerberos-Architektur, um sie zukunftssicher zu machen, inklusive Post-Quanten-Sicherheit. Alte Protokolle wie RC4 und DES werden strikt nicht mehr unterstützt.

Strategische Vorbereitung für die Zukunft

Wer auf Server 2025 umsteigen will, sollte vorbereitet sein:

• • Audit der Umgebung: RC4, DES, NTLM prüfen und eliminieren.
  • Kurze Mischphase planen: Lange Übergänge zwischen alten und neuen DCs erhöhen das Risiko.
  • Hausaufgaben erledigen: Legacy-Systeme härten, kritische Applikationen prüfen und sicherstellen, dass sie moderne Verschlüsselungen unterstützen.

Fazit: Jetzt handeln, aber besonnen

Der Wunsch, auf die neueste Server-Version zu migrieren, ist verständlich, insbesondere angesichts des Support-Endes von Server 2016. Dennoch:

• • Keine unkontrollierte Migration: Offizielle Fixes abwarten.
  • Vorbereitung ist alles: Audit der Umgebung und Eliminierung alter Protokolle.
  • Schnell, aber sicher: Wenn der Wechsel auf Server 2025 erfolgt, kurze Mischphase und klarer Plan für alle DCs.
  • Pragmatischer Zwischenschritt: Ziehen Sie in Erwägung, vorerst auf Windows Server 2022 zu migrieren, um Stabilität und Support sicherzustellen, bis bekannte Probleme mit Server 2025 behoben sind.

Wer jetzt besonnen vorgeht, kann seine AD-Umgebung sichern und spätere, teure Ausfälle vermeiden. Wer es ignoriert, riskiert kritische Produktionsprobleme und das will niemand.

Weiterführende Informationen:

• • Keine richtig offizielle Meldung von Microsoft bisher
  • Nicht das einzige Problem, das mit Windows Server 2025 als DC aufgetreten ist
    • Active Directory schema extension issue if you use a Windows Server 2025 schema master role | Microsoft Community Hub (Exchange SE)
    • Microsoft: Sept Windows Server updates cause Active Directory issues (Entra ID Connect Problem)