Egal, ob Sie das Active Directory (AD) neu planen oder ein bestehendes aktualisieren: An einer gründlichen Vorbereitung kommen Sie nicht vorbei. Für die Aktualisierung bestehender Windows-Server steht Ihnen entweder der Weg über ein Inplace-Upgrade offen oder Sie installieren einen neuen Domaincontroller (DC), ziehen dabei die Abhängigkeiten und Traffic um und bauen den alten DC ab. Das erlaubt eine saubere Neuinstallation und die Chance, Konfigurationsänderungen langsam einzuführen oder einen neuen Betriebsmodus zu testen.

Da Domaincontroller zuweilen wegen Dienstabhängigkeiten und hart verdrahteten Hostnamen eine längere Lebensdauer als andere Dienste besitzen, ist ein langer Atem gefragt, bis Sie flächendeckend neue Funktionen oder den Betriebsmodus des AD heraufstufen können. Der aktuelle Domänen- und Gesamtstrukturmodus ist Windows Server 2025.

Neue Domäne, neue Optionen

Generell sollten Sie regelmäßige Aktualisierungen des AD planen. Für bestehende DCs sind die Windows-Patch-Tage für periodische Korrekturen erforderlich, für das gesamte AD sollten Sie regelmäßige Erneuerungen der DCs mit der neuesten Version von Windows Server durchführen.

Wo früher viele Sites, komplizierte Replikationseinstellungen und feingesteuerte Delegationsberechtigungen notwendig waren, ist heute vielerorts ein schlankeres Modell für Konfiguration, Verwaltung und Betrieb sinnvoller.

Aufgaben und Lokation des DC beachten

DCs sind und bleiben das Rückgrat vieler Infrastrukturen und müssen deshalb bedarfsgerecht geschützt werden. In Sachen Sicherheitszonen oder Tiers der IT-Infrastruktur ist das AD Tier 0 – also Teil der schützenswertesten IT-Dienste.

Der Schutzbedarf unterscheidet sich je nach Betriebsort: physische Server, virtualisierte DCs in der privaten Cloud, DCs in Public-Cloud-Umgebungen oder DCs in Landing Zones benötigen unterschiedliche Schutz- und Betriebsmodelle.

Domaincontroller installieren

Eine Neuinstallation eines Domaincontrollers erfolgt über den Server Manager oder die PowerShell. Für hochautomatisierte Umgebungen ist die Desired State Configuration der PowerShell interessant.

Der Server sollte vertrauenswürdig aufgesetzt, aktuell gepatcht und sauber per DNS konfiguriert sein. Außerdem sollte der Servername vorab feststehen, da er sich nachträglich nur schwer ändern lässt.

Über den Server Manager starten Sie die Aktion „Promote this server to a domain controller“. Der Assistent führt anschließend durch die Konfigurationsschritte.

DC-Installation auf Server Core

Gerade Windows Server Core lohnt sich für Domaincontroller, weil Admins sich im Betrieb selten direkt an DCs anmelden müssen. Änderungen trägt die Replikation an andere Orte, Patching und Changemanagement lassen sich remote erledigen.

Die AD-Installation geschieht dann via PowerShell:

Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

Install-WindowsFeature -Name DNS

Um einen neuen Forest zu erstellen, verwenden Sie:

Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath "C:\Windows\NTDS" -LogPath "C:\Windows\NTDS" -DomainMode "Win2025" -ForestMode "Win2025" -DomainName "fabrikam.com" -DomainNetbiosName "FABRIKAM" -InstallDns:$true -SafeModeAdministratorPassword (ConvertTo-SecureString -AsPlainText "RedForest2025!?RedPWD" -Force) -NoRebootOnCompletion:$false -SysvolPath "C:\Windows\SYSVOL"

Das Passwort lässt sich sicherer per Read-Host einlesen:

$pass = Read-Host "DSRM Password?" -AsSecureString

Zusätzliche Domaincontroller installieren Sie mit:

Install-ADDSDomainController -InstallDns -Credential (Get-Credential "RED\DCJoiner") -DomainName red.contoso.com -SafeModeAdministratorPassword $pass

Auf veraltete AD-Features verzichten

Die Domänendienste in Windows sind über mehr als 20 Jahre gewachsen. Viele frühere Einschränkungen wie geringe Bandbreite, verteilte Standorte oder fehlende Automatisierung sind heute nicht mehr in gleichem Maße relevant.

Neue AD-Forests oder Domänen sollten deshalb entschlackt und nach aktuellem Betriebsmodell, Sicherheitsanforderungen und Hybrid-Szenarien geplant werden.

Dieser Artikel erschien im IT-Administrator Sonderheft I/2025

"Windows Server 2025 – Verwaltung, Cloud und Security"

Das Sonderheft I/2025 liefert auf 180 Seiten wie Administratoren Windows Server 2025 effizient verwalten. Es behandelt Migration, Active Directory, Patchmanagement und Virtualisierung mit Hyper-V – von Cluster-Aufbau bis S2D und Remotedesktop-Diensten. Zudem werden Cloud- und Hybrid-Szenarien mit Azure praxisnah erklärt.

Bestellen Sie das Sonderheft hier als E-Paper
oder
hier als gedrucktes Heft.

DCs als VMs in Azure

Anpassungen an Standardprozesse für Setup und Verwaltung lohnen sich spätestens beim DC-Betrieb in VMs – egal ob Azure, Google Cloud oder Amazon Web Services.

Cloudanbieter halten VM-Images aktuell und liefern grundlegende Sicherheitskonfigurationen mit. Die eigene Imagepflege sollte deshalb kritisch geprüft werden.

Einsatz der Desired State Configuration

Mit PowerShell Desired State Configuration lassen sich Domaincontroller automatisiert konfigurieren und installieren. Sie definieren eine Wunschkonfiguration, gegen die Server geprüft und bei Bedarf korrigiert werden.

Für Azure-VMs können DSC-Konfigurationen über Azure Automation verwaltet und auf viele Systeme angewendet werden.

Das Modul ActiveDirectoryDSC stellt die notwendige Logik bereit. Darüber lassen sich nicht nur Domaincontroller installieren, sondern auch OUs, Benutzer, Gruppen, Sites, Sitelinks oder Trusts anlegen.

Sites und Services einrichten

Sites & Services signalisieren Active Directory, Windows-Clients und Diensten wie Exchange das Netzwerklayout. So laufen AD-Dienste effizient und bandbreitenoptimiert.

Domaincontroller in Azure oder hybriden Clouds können in eigene AD-Sites gelegt werden, um Replikation und DNS-Registrierung gezielt zu steuern.

Replikation überprüfen

Das AD ist ein verteiltes System mit Multi-Master-Replikation. Dabei müssen Sie die AD-Replikation und die SYSVOL-Replikation getrennt betrachten.

Die AD-Replikation überprüfen Sie mit:

repadmin /showrepl

Für eine Übersicht verwenden Sie:

repadmin /replsummary

Eine Replikation lässt sich gezielt anstoßen:

repadmin /replicate TNG-AD-002 TNG-AD-001 DC=directory,DC=contoso,DC=com

FSMO-Rollen aufsetzen

Auch wenn Domaincontroller weitgehend austauschbar sind, gibt es weiterhin fünf FSMO-Rollen: Schema-Master, Domain-Naming-Master, PDC-Emulator, RID-Pool-Master und Infrastruktur-Master.

Get-ADForest | select DomainNamingMaster,SchemaMaster

Get-ADDomain | select PDCEmulator,InfrastructureMaster,RIDMaster

FSMO-Rollen verschieben Sie per PowerShell:

Move-ADDirectoryServerOperationMasterRole -Identity New-DC-03 -OperationMasterRole RIDMaster,InfrastructureMaster,PDCEmulator

Fazit

Bei der Domaincontroller- und AD-Installation müssen Admins klar definieren, welche Aufgaben der neue Server übernimmt, ob er lokal oder in der Cloud entsteht und wie er seine Dienste korrekt in die Domäne einbringt. In großen Infrastrukturen ist Automatisierung Pflicht – DSC ist dafür ein eleganter Weg.

Links

Install-ADDSDomainController-Cmdlet
ms214

Erzeugen eines Azure-Automation-Accounts
ms216

Download DSC-Skript
ms2a1

ActiveDirectoryDSC-Modul
ms215