Windows Server Summit 2026 | Teil 17: Modernisierung von Active Directory für hybride Identitäten in Windows Server 2025
Krähe mit Hut
Active Directory ist die wichtigste Serverrolle in Windows Server und wird in vielen Unternehmen für die Benutzerverwaltung und Authentifizierung eingesetzt. In Verbindung mit Entra ID, dem Benutzerverzeichnis in der Microsoft Cloud lassen sich darüber hinaus auch hybride Identitäten schaffen, d.h. Benutzerkonten, die in beiden Welten genutzt werden können.
Active Directory selbst hat in den vergangenen Jahren nicht viele neue Funktionen erhalten. Mit Windows Server 2025 kamen jedoch einige neue Funktionen vor allem im Hinblick auf eine Verbesserung der Sicherheit hinzu.
Dieser Artikel geht auf Neuerungen für Active Directory ein, die bereits verfügbar sind und die demnächst anstehen.
Zusammenfassung der bisherigen Entwicklung
Die bisherigen Verbesserungen teilen sich auf drei Säulen auf. Es werden nicht sämtliche Neuerungen aus der Sitzung dargestellt, sondern einige größere Punkte herausgestellt:
- SICHERHEIT
- Standardmäßige Aktivierung der LDAP-Verschlüsselung
- Unterstützung von TLS 1.3 in LDAP
- CLOUD-BEFÄHIGUNG
- Zusätzliche Funktionen für Windows LAPS (z.B. Unterstützung von Passphrasen und Ermittlung von Kennwörtern auch im Katastrophenszenario)
- UNTERSTÜTZBARKEIT
- 32 KB Seitengröße für die NTDS-Datenbank
- Delegierte verwaltete Dienstkonten
- Standardmäßige Aktivierung von Credential Guard
Modernisierung von Active Directory für eine hybride Verwaltung
Microsoft investiert aktuell viel in Funktionen, die eine cloudbasierte Verwaltung der lokalen Infrastruktur möglich machen und bei der Modernisierung der Infrastruktur helfen.
Entra Cloud Source of Authority-Sperrung für AD
In den letzten Monaten wurden Möglichkeiten hinzugefügt, um Objekte in der Cloud zu verwalten. Die Funktion dahinter wird als "Autoritätsquelle" (SoA, Source of Authority) bezeichnet. Dies ermöglicht es, Objekte, die aus dem Active Directory synchronisiert werden, mithilfe moderner Clouddienste zu verwalten.
Mithilfe von SoA wird die Synchronisationsrichtung umgedreht - Objekte werden in der Cloud modifiziert und die Änderungen durch die Entra-Cloudsynchronisierung in das Active Directory übertragen. Dadurch wird es beispielsweise möglich, Entra ID als Identitäts- und Zugriffsverwaltung einzusetzen und die ganzen Funktionen zu benutzen, die hierfür zur Verfügung stehen, beispielsweise
- Zugriffsüberprüfungen zur Überprüfung und automatischen Bereinigung von Gruppenmitgliedschaften
- Zeit- und rechtegebundene Berechtigungssteuerung mittels Entra Privileged Identity Management
- Abbildung von Joiner/Mover/Leaver-Prozessen mit Entra ID Governance
Die Modifizierung lokaler Objekte wird dann gesperrt, um versehentliche Veränderungen und damit potenzielle Inkonsistenzen zu vermeiden.
Neue LDAP-Ereignisse und Protokollierung
Einige Applikationen verwenden immer noch LDAP für die Authentifizierung. Um solche Anwendungen schneller identifizieren zu können, stehen neue LDAP-Ereignisse zur Verfügung. Diese können über vorhandene Drittherstellerlösungen oder PowerShell (und auch manuell) ausgelesen werden.
Diese müssen jedoch über einen Registry-Wert manuell aktiviert werden.
Reparatur der Objektintegrität
Falls ein Objekt aus irgendwelchen Gründen beschädigt wird - beispielsweise, weil kritische Attribute gelöscht werden - so konnten diese Objekte bislang nur aus einer Datensicherung wiederhergestellt werden. Windows Server 2025 bietet nun die Möglichkeit, Reparaturen für solche Objekte durchzuführen. Dies spart wertvolle Zeit, da keine aufwändige Wiederherstellung mehr durchgeführt werden muss.
Wiederherstellung nach einer Verzeichnisbeschädigung
Im größeren Stil ist es mit Windows Server 2025 nun auch möglich, größere Beschädigungen am AD-Verzeichnis zu erkennen und beispielsweise ungültige Objektreferenzen zu reparieren. Dies trägt dazu bei, Replikations- und Konsistenzprobleme zu reduzieren.
Verbesserungen für die AD-Datenbank und Herausforderungen
Durch die Anbindung von Cloud-Diensten ergeben sich zusätzliche Anforderungen an Sicherheitsgruppen und Attribute, die für die Zuweisung von Zugriffsrechten verwendet werden. Diese lassen sich mit den bisherigen Größen im Active Directory nur noch unzureichend abbilden.
Aus diesen Gründen wurde die maximale Seitengröße für Jet-basierte Datenbanken von 8k auf 32k angehoben. Dies verbessert die Skalierbarkeit erheblich. Allerdings verwenden Domänencontroller nach einer Aktualisierung auf 2025 zunächst noch die alte Größe. Erst, wenn alle Domänencontroller auf 2025 angehoben sind, kann die Erweiterung als optionale AD-Funktion aktiviert werden.
Delegierte verwaltete Dienstkonten
Dienstkonten werden dazu eingesetzt, um Applikationen und Systeme mit einer Authentifizierungsmöglichkeit gegen das Active Directory auszustatten. Hierbei handelt es sich um generalisierte Konten, die nicht für eine interaktive Anmeldung (z.B. durch einen Benutzer) eingesetzt werden.
Hierbei wird nach den folgenden Typen unterschieden:
| Dienstkonto-Typ | Kürzel | Beschreibung | Kennwortverwaltung |
|---|---|---|---|
| Unverwaltet | uMSA | Gewöhnliches, generalisiertes Benutzerkonto | Manuell, durch IT |
| Einzeln verwaltet | sMSA | Spezielles Dienstkonto zur Nutzung auf einem System | Automatisch, durch Active Directory |
| Gruppenverwaltet | gMSA | Spezielles Dienstkonto zur Nutzung auf beliebigen Systemen | Automatisch, durch Active Directory |
| Delegiert gruppenverwaltet | dMSA | Spezielles Dienstkonto zur Nutzung auf beliebigen Systemen; als Ablösung für unverwaltete Dienstkonten vorgesehen | Automatisch, durch Active Directory |
Üblicherweise wird in den meisten Unternehmen eine Mischung aus diesen Typen eingesetzt, wobei uMSA und gMSA am häufigsten anzutreffen sind. Der neue Typ dMSA soll nun dabei helfen, unverwaltete Benutzerkonten abzulösen und gleichzeitig ein höheres Maß an Sicherheit als mit gMSA zu bieten. Dies wird beispielsweise dadurch erreicht, dass das Kennwort des Kontos nicht mehr übermittelt wird, sondern im Active Directory verbleibt.
NTLM-los
Microsoft unternimmt aktuell große Anstrengungen, um das veraltete Authentifizierungs-Protokoll NTLM aus Active Directory zu entfernen und ausschließlich Kerberos mit modernen Algorithmen zuzulassen. Daher wird es in neuen Installationen (also ohne existierende Domäne) standardmäßig bereits deaktiviert.
In Bestandsumgebungen muss die IT jedoch selbst Sorge dafür tragen, dass alle Applikationen und Systeme eine Kerberos-Authentifizierung unterstützen.
Hierbei gibt es jedoch bislang ein Problem - Kerberos kann nur von Systemen genutzt werden, die Teil des Active Directory sind. Einzelne Arbeitsgruppen-Server können daher bislang nur eine NTLM-Authentifizierung nutzen. Ebenso erfordert eine Kerberos-Authentifizierung eine Sichtverbindung des Systems zu einem Domänencontroller.
Beide Probleme werden jedoch bald der Vergangenheit angehören - mit Einführung der folgenden Verbesserungen:
- IAKerb ermöglicht eine Kerberos-Authentifizierung, ohne dass das System dazu eine Sichtverbindung zum Domänencontroller haben muss
- Die Windows Insider-Versionen ab 26H2 werden diese Funktion beinhalten!
- LocalKDC ermöglicht die Verwendung von Kerberos für Systeme außerhalb des Active Directory
Hat Dir der Beitrag gefallen? Lass es andere wissen!
One thought on “Windows Server Summit 2026 | Teil 17: Modernisierung von Active Directory für hybride Identitäten in Windows Server 2025”