Einen Domänencontroller mit Windows Server 2025 einrichten. Diese Anleitung zeigt dir, wie du dabei vorgehst. Ein Domänencontroller (DC) ist ein zentraler Bestandteil einer Active Directory-Umgebung. Im Folgenden wird der Server mit dem Namen dc1 in der Domäne itl.local eingerichtet.
Neuerungen im Windows Server 2025
Windows Server 2025 bringt zahlreiche Verbesserungen für Active Directory (AD) und Domänencontroller (DC), die Sicherheit, Skalierbarkeit und Verwaltung optimieren:
32k-Datenbankseitengröße
- Erhöht die maximale Objektgröße und verbessert die Skalierbarkei von AD-Datenbanken.
- Voraussetzung: Alle DCs müssen auf Windows Server 2025 laufen.
Neue Funktionsebenen für Gesamtstruktur und Domäne
- Einführung von DomainLevel 10 und ForestLevel 10.
- Erforderlich für die Nutzung neuer Funktionen wie die 32k-Datenbankseiten.
Sichere Verwaltung vertraulicher Attribute
- Änderungen an sensiblen AD-Attributen sind nur noch über verschlüsselte Verbindungen möglich.
- Erhöht den Schutz vor Datenlecks und unautorisierten Änderungen.
Erweiterte Multi-Faktor-Authentifizierung (MFA)
- Bestimmte AD-Operationen erfordern MFA, z. B. für administrative Aufgaben.
- Unterstützung für biometrische Verfahren und Sicherheitsschlüssel.
Privileged Access Management (PAM) 2.0
- Just-in-Time-Berechtigungen für Administratoren, die nach Ablauf automatisch entzogen werden.
- Reduziert das Risiko von Missbrauch und Insider-Bedrohungen.
Advanced Threat Analytics (ATA) 2.5
- Verbesserte Echtzeitanalyse verdächtiger Aktivitäten im Netzwerk.
- Erhöhte Erkennungsrate für unautorisierte Zugriffsversuche.
Automatische Zertifikatserneuerung für Domänencontroller
- DCs erhalten automatisch erneuerte Zertifikate, was Verwaltungsaufwand reduziert.
- Minimiert Sicherheitsrisiken durch abgelaufene Zertifikate.
Bessere Integration mit Azure AD
- Vereinfachte Verwaltung hybrider Identitätslösungen mit zentralen Sicherheitsrichtlinien.
- Bessere Synchronisation zwischen lokalem AD und Azure AD.
Schutz vor Pass-the-Ticket-Angriffen
- Überwachung und Blockierung verdächtiger Kerberos-Tickets in Echtzeit.
- Erschwert den Missbrauch gestohlener oder manipulierten Authentifizierungsdaten.
Optimierte Name/SID-Suche
- Sicherheitskennungen und Namensauflösungen nutzen jetzt Kerberos-Authentifizierung.
- Erhöht die Effizienz und Sicherheit der AD-Infrastruktur.
Voraussetzungen
Vor der Installation müssen folgende Anforderungen erfüllt sein:
- Windows Server 2025 ist installiert und konfiguriert.
- Der Server hat eine statische IP-Adresse.
- Administratorrechte sind vorhanden.
- Du hast einen eindeutigen Servernamen vergeben, wie dc1.
Active Directory-Domänendienste (AD DS) installieren
Server-Manager öffnen
- Klicke auf »Verwalten« und wähle »Rollen und Features hinzufügen«.
Installationstyp auswählen
- Wähle »Rollenbasierte oder featurebasierte Installation«.
Zielserver wählen
- Wähle den Server dc1 aus der Liste aus.
Rolle auswählen
- Aktiviere »Active Directory-Domänendienste«.
- Bestätige die Installation aller erforderlichen Features.
- Jetzt installieren die Active Directory-Domänendienste.
Den Domänencontroller mit Windows Server 2025 hochstufen
- Nach der Installation »Diese Server zum Domänencontroller heraufstufen« auswählen.
- Neue Gesamtstruktur erstellen
- Wähle »Neue Gesamtstruktur« und gib itl.local als Domänenname ein.
- Domänencontroller-Optionen konfigurieren
- Wähle Domänenfunktionsebene und Gesamtstrukturebene (Neu: Windows Server 2025).
- Aktiviere DNS-Server (wird für Active Directory benötigt).
- Lege ein sicheres DSRM-Kennwort (Directory Services Restore Mode) fest.
- Zusätzliche Optionen bestätigen
- DNS-Delegierung kann ignoriert werden, falls eine Warnung erscheint.
- Überprüfe, dass der NetBIOS-Name ITL korrekt gesetzt ist.
- Speicherorte für AD-Datenbanken festlegen (die Speicherpfade könnten beibehalten werden)
- Eine abschließende Prüfung wird durchgeführt.
- Falls keine Fehler auftreten, kannst du den Server zum Domänencontroller hochstufen.
- Der Server wird nach der Installation automatisch neu gestartet.
Prüfen der Domänencontroller-Funktion
Um die korrekte Installation von Active Directory auf einem Windows Server 2025 zu überprüfen, kannst du den folgenden PowerShell-Befehl verwenden:
Get-WindowsFeature -Name AD-Domain-ServicesDieser Befehl zeigt den Installationsstatus der Active Directory Domain Services (AD DS) an. Wenn die Installation erfolgreich war, sollte im Ergebnis bei “Install State” der Status “Installed” erscheinen.
Zusätzlich kannst du den folgenden Befehl ausführen, um sicherzustellen, dass der Server als Domänencontroller fungiert:
Get-ADDomainController
Dieses Cmdlet listet Informationen über den aktuellen Domänencontroller auf, was bestätigt, dass Active Directory ordnungsgemäß installiert und konfiguriert ist.
Keine Produkte gefunden.
Fazit und Ausblick
Die Installation und Konfiguration des Windows Server 2025 als Domänencontroller für die Domäne itl.local unterscheidet sich kaum von der Einrichtung mit dem Windows Server 2022.
Die Schritte sind also fast identisch. Nach der Einrichtung kannst du Benutzer, Gruppen und Richtlinien verwalten und deine Active Directory-Umgebung weiter konfigurieren.
Empfohlene Beiträge
