Blog
Windows Server 2025
Windows Server 2025 ist nun seit gut einem halben Jahr auf dem Markt und allmählich beginnen die IT-Abteilungen mit dem Roll-out – oder planen es zumindest. Zeit, sich zu fragen, was Windows Server 2025 so interessant macht und wo mögliche Überraschungen lauern könnten.
Praktisch ist zunächst: Windows Server 2025 erlaubt In-Place-Updates erstmals direkt ab 2012 R2 – sogar für Domänencontroller. Bei älteren Windows-Versionen war bisher jeweils nur ein Sprung über eine Version hinweg möglich – beispielsweise von Server 2012 R2 auf Server 2019, jedoch nicht direkt auf Server 2022.
Das ist also eine willkommene Abkürzung für alle, die keine Zeit für ein „ordentliches“ Upgradeprojekt haben, aber auf das neueste OS wechseln möchten. Dennoch ist der direkte Weg für Domänencontroller nicht immer empfehlenswert – warum, klären wir später.
Im April 2023 hat Microsoft das neue Windows LAPS vorgestellt – ein wichtiges Tool zur automatischen Verwaltung von lokalen Administratorkennwörtern. Mit Windows 11 24H2 und Server 2025 kommen einige Erweiterungen hinzu, darunter das automatische Anlegen und Verwalten eines lokalen Adminkontos sowie die Nutzung von Passphrases als Alternative zu Passwörtern. Damit wird das neue LAPS noch mächtiger und sollte in keiner Domäne fehlen – standardmäßig integriert ist diese Version ab Windows 10 und Server 2019.
Neue Verbindungen zur Cloud
Wer über einen Microsoft-Tenant verfügt, kann Azure ARC nutzen und damit auf Server 2025 auch das neue Hotpatching – Reboots sind nur noch bei jedem dritten Microsoft Patchday nötig. Ein tolles Feature, aber leider hat Microsoft kürzlich Kosten von 1,50€ pro CPU-Kern und Monat angekündigt. Ob sich das lohnt, hängt davon ab, wie viel Ihnen die eingesparte Arbeitszeit und höhere Verfügbarkeit wert sind. Bei Nutzung von Arc können Sie zudem die neue Pay-as–you-Go-Lizensierung für Server 2025 On-Premises wählen – Abrechnung im Cloud-Style.
Für den Einsatz als Dateiserver ist SMB over QUIC eine sehr interessante Neuerung. Sie ermöglicht den sicheren, authentifizierten und verschlüsselten Zugriff auf Dateifreigaben über Port 443 – direkt aus dem Internet. In vielen Umgebungen dürfte damit ein Hauptgrund für teure und aufwändige VPN-Einwahllösungen entfallen.
Altlasten und neue Funktionalitäten
Microsoft versucht (endlich), das alte und unsichere NTLM-Protokoll loszuwerden – und zwar vollständig, nicht nur bestimmte „Dialekte“ wie LM oder NTLMv1. Dazu wird das Kerberos-Protokoll erweitert und für lokale Benutzerkonten nutzbar gemacht, z. B. für Clients, die keine direkte Verbindung zu einem Domänencontroller haben. Erste neue Dienste sind bereits in Windows 11 24H2 und Server 2025 vorhanden, aber es scheint noch nicht alles final fertig zu sein. Auf jeden Fall ein spannendes Thema, das uns die nächsten Jahre begleiten wird. Die alte DES-Verschlüsselung wurde übrigens komplett entfernt.
Am meisten Aufmerksamkeit hatte im Vorfeld erregt, dass Microsoft nach 9 Jahren wieder neue Features für das Active Directory spendiert: TLS 1.3-Support, Unterstützung für mehr CPU-Kerne, manuelle Anpassbarkeit der Replikationsprioritäten, mehr Sicherheit bei Passwortänderungen und Zugriffen auf geschützte Attribute und einiges mehr. Viel Hype gab es insbesondere um die neuen 32-KB-Datenbankseiten, die eine erhöhte Skalierbarkeit für große Umgebungen, bessere AD–Performance und mehr Platz für Multi-Value-Attribute versprechen.
Wenn Sie diese Features nutzen möchte, müssen alle Domänencontroller unter Windows Server 2025 laufen – und zwar als Neuinstallation, nicht als In-Place-Update älterer Domänencontroller. Außerdem müssen Sie die Domäne auf die Funktionsebene Windows Server 2025 setzen – der erste neue Level seit 2016.
Potenzielle Stolpersteine
Ein spannendes neues Feature sind die sogenannten dMSA-Konten. Sie ermöglichen es, normale Dienstkonten ohne großen Aufwand abzulösen und bieten Vorteile wie automatische Passwortwechsel. Stand Mitte Mai 2025 wurde jedoch eine große Sicherheitslücke in dieser Funktion entdeckt, über die eine vollständige Kompromittierung der Domäne möglich ist. Auch wenn nur ein einziger Domänencontroller auf Windows Server 2025 umgestellt ist, besteht bereits ein hohes Risiko. Solange Microsoft den angekündigten Patch nicht bereitgestellt hat, sollten Sie besser auf die Umstellung der Domänencontroller auf Windows Server verzichten. Voraussichtlich wird dieses Problem jedoch zeitnah behoben.
Microsoft macht in Windows 11 24H2 und Server 2025 ernst und schneidet alte Zöpfe ab. Vor dem Roll-out ist es sinnvoll, einige Punkte zu analysieren und zu planen, um nicht in Kompatibilitätsfallen zu geraten. Beispielsweise werden LanManager und NTLMv1 nicht mehr unterstützt, TLS 1.0 und TLS 1.1 sind standardmäßig deaktiviert und die DES-Verschlüsselung für Kerberos wurde abgeschafft.
Zudem wird das sinnvolle Security-Feature Credential Guard automatisch aktiviert, wenn das System Virtualization Based Security und Secure Boot nutzt und Mitglied einer Domäne ist, aber kein Domänencontroller. Da Credential Guard bei manchen Applikationen Probleme verursachen könnte, lässt es sich deaktivieren.
Abschließend soll zumindest noch erwähnt werden, dass sich auch im Bereich Virtualisierung und Container viel getan – Details würden hier jedoch zu weit führen.
Unser Fazit
Windows Server 2025 ist zweifellos ein sehr interessantes Produkt mit vielen Neuerungen und Fortschritten, vor allem in puncto Sicherheit. Sie haben Fragen? Das Skaylink-Expertenteam hilft Ihnen gern.