Seit der Einführung von Active Directory mit Windows 2000 Server nutzt der Verzeichnisdienst die Extensible Storage Engine (ESE) mit einer Seitengröße von 8 Kilobyte. Diese architektonische Entscheidung hat über zwei Jahrzehnte lang die Skalierbarkeit von AD-Objekten begrenzt: Ein einzelnes Objekt konnte nicht größer als 8 KB werden, und mehrwertige Attribute waren auf etwa 1.200 Einträge beschränkt.

Windows Server 2025 hebt diese Limitierungen mit einer optionalen 32-KB-Seitengröße auf. Dadurch steigt die maximale Objektgröße erheblich, und mehrwertige Attribute können nun rund 3.200 Werte aufnehmen. Für Unternehmen mit großen Gruppen, komplexen Delegierungsmodellen oder umfangreichen Attributen ist das ein Meilenstein. Allerdings handelt es sich um ein Forest-weites Feature: Sämtliche Domänencontroller müssen auf Windows Server 2025 laufen, bevor die 32-KB-Seiten aktiviert werden können.

Die neue Funktionsebene trägt die interne Versionsnummer 10. Ein Upgrade ist nur möglich, wenn die bestehende Domäne mindestens auf dem Functional Level von Windows Server 2016 arbeitet. Zusätzlich erfordert das Upgrade ein Schema-Update über drei neue LDF-Dateien (sch89.ldf, sch90.ldf und sch91.ldf), die im Server-ISO unter support\adprep bereitliegen.

Bisher konnte Active Directory nur CPUs aus der NUMA-Gruppe 0 verwenden – selbst auf Servern mit mehreren Prozessorgruppen blieben zusätzliche Kerne ungenutzt. Windows Server 2025 hebt diese Beschränkung auf und ermöglicht es Domänencontrollern, alle verfügbaren CPU-Kerne über sämtliche NUMA-Gruppen hinweg zu nutzen. In Enterprise-Umgebungen mit hunderttausenden Objekten und hohen Authentifizierungslasten ist das ein spürbarer Zugewinn. Erwähnenswert: Diese Verbesserung wurde auch rückwirkend für Windows Server 2022 über kumulative Updates bereitgestellt.

Darüber hinaus bietet Windows Server 2025 erstmals eine manuelle Steuerung der Replikationspriorität. Administratoren können über den sogenannten Replication Priority Boost bestimmte Replikationspartner bevorzugen. Das ist besonders hilfreich in geo-verteilten Umgebungen, in denen kritische Änderungen – etwa Kennwort-Resets oder Gruppenanpassungen – schneller an bestimmte Standorte propagiert werden sollen als über die automatische Topologie-Berechnung.

Neue Performance-Counter für LSA Lookups, DC Locator und LDAP Client erleichtern zudem das Monitoring. Wer seine AD-Infrastruktur bisher nur rudimentär überwacht hat, erhält damit endlich die Werkzeuge für ein professionelles Capacity Planning.

Microsoft hat in Windows Server 2025 eine Reihe überfälliger Sicherheitsverbesserungen umgesetzt. Die LDAP-Kommunikation zwischen Domänencontrollern unterstützt nun TLS 1.3 und verwendet standardmäßig LDAP Sealing, um Nutzlastdaten zu verschlüsseln. Kennwortänderungen über SAM-RPC erfolgen jetzt über AES statt über veraltete Algorithmen.

Credential Guard ist ab Windows Server 2025 standardmäßig auf allen kompatiblen Geräten aktiviert und schützt NTLM-Hashes sowie Kerberos-Tickets vor Zugriff durch Malware. Gleichzeitig kann der SMB-Client nun NTLM-Verbindungen für ausgehende Remotezugriffe blockieren – ein weiterer Schritt hin zur vollständigen Abkehr von NTLM. Legacy-Authentifizierung über das Remote-Mailslot-Protokoll ist standardmäßig deaktiviert, und PPTP- sowie L2TP-basierte VPN-Verbindungen werden bei neuen RRAS-Installationen nicht mehr akzeptiert.

Besonders relevant für Administratoren: Die Gruppenrichtlinie „Network security: Do not save LAN Manager hash value on next password change” existiert in Windows Server 2025 nicht mehr – LM-Hashes werden grundsätzlich nicht mehr gespeichert. Darüber hinaus verwendet Active Directory jetzt zufällig generierte Standardpasswörter für Maschinenkonten. Der alte Mechanismus, bei dem das Standardpasswort dem Computernamen entsprach, wird durch DCs mit Windows Server 2025 aktiv blockiert.

Die vielleicht wichtigste Neuerung von Windows Server 2025 im Bereich der Identitätsverwaltung sind die delegated Managed Service Accounts (dMSAs). Sie erweitern die bekannten group Managed Service Accounts (gMSAs) um eine Migrationsfunktion: Bestehende, nicht verwaltete Dienstkonten können nahtlos in dMSAs überführt werden. Das neue Konto erbt dabei die Berechtigungen und Gruppenmitgliedschaften des Vorgängers – ein eleganter Ansatz, um Legacy-Dienstkonten sicherer zu gestalten.

Doch genau dieser Migrationsmechanismus wurde zum Einfallstor: Der Sicherheitsforscher Yuval Gordon von Akamai entdeckte, dass ein Angreifer mit minimalen Berechtigungen – konkret dem Recht, Objekte in einer Organisationseinheit zu erstellen – ein manipuliertes dMSA anlegen und mit einem beliebigen Konto verknüpfen konnte. Der Key Distribution Center (KDC) vertraute den Metadaten des dMSA blind und behandelte es als legitimen Nachfolger des Zielkontos. Ergebnis: vollständiger Domänen-Compromise ohne direkte Manipulation privilegierter Konten oder Gruppenänderungen.

Der von Microsoft im Sommer 2025 ausgelieferte Patch schließt den direkten Eskalationspfad, indem eine beidseitige Verknüpfung (Mutual Pairing) zwischen dMSA und Quellkonto erforderlich ist. Eine einseitige Zuordnung reicht nicht mehr für den Erhalt von Privilegien. Dennoch warnen Experten: Die grundlegenden Mechanismen von BadSuccessor bleiben auch nach dem Patch relevant. In Umgebungen, in denen ein Angreifer bereits Kontrolle über ein Zielkonto und ein dMSA hat, kann die Technik weiterhin zur Credential-Extraktion und als Persistenz-Mechanismus genutzt werden.

Die Einführung von Windows Server 2025 Domain Controllern erfordert eine vorausschauende Sicherheitsstrategie. Die folgenden Maßnahmen sollten vor dem ersten Upgrade in Betrieb genommen werden:

Ein Upgrade auf Windows Server 2025 DCs beginnt mit der Verifizierung des bestehenden Functional Levels – Minimum ist Windows Server 2016. Anschließend wird das AD-Schema über die mitgelieferten LDF-Dateien erweitert. Erst danach kann ein Server 2025 zum DC promotet werden. Bei einem In-Place-Upgrade eines bestehenden DCs bleibt die Datenbank zunächst bei 8 KB Seitengröße – die Umstellung auf 32 KB erfordert das Anheben der Forest-Funktionsebene und eine explizite Aktivierung des optionalen Features.

Microsoft hat den Bereitstellungsprozess vereinfacht: Windows Server 2025 unterstützt Upgrades über Windows Update, ähnlich wie bei Windows 11. Ob diese Funktion auch mit der herkömmlichen Dauerlizenz oder nur mit dem neuen Abo-Modell verfügbar ist, ist allerdings noch nicht abschließend geklärt. Planen Sie in jedem Fall ein vollständiges AD-Backup vor dem Upgrade ein.

Fazit: Upgrade ja – aber mit Strategie

Windows Server 2025 bringt die längst überfällige Modernisierung von Active Directory. Die 32-KB-Datenbank, NUMA-Support und die verbesserte Verschlüsselung sind echte Fortschritte. Doch die Geschichte von BadSuccessor zeigt eindrücklich, dass neue Features neue Angriffsflächen schaffen. Wer einen Windows Server 2025 DC einführt – und sei es nur als Testinstallation – muss sich der Risiken bewusst sein. Die dMSA-Funktion ist standardmäßig aktiv und macht bereits mit einem einzigen Server 2025 DC die gesamte Domäne verwundbar. Die Empfehlung: Patchen Sie sofort, auditieren Sie Ihre Delegierungen und blockieren Sie die dMSA-Migration auf Schema-Ebene, bis Sie sie bewusst und kontrolliert einsetzen wollen. Active Directory bleibt das Rückgrat der meisten Unternehmensinfrastrukturen – und verdient eine entsprechend sorgfältige Behandlung.

Quellen & weiterführende Informationen

• Microsoft Learn – What’s new in Windows Server 2025
• Akamai Security Research – BadSuccessor: Abusing dMSA to Escalate Privileges in Active Directory
• Akamai Security Research – BadSuccessor Is Dead, Long Live BadSuccessor(?)
• Semperis – How to Block BadSuccessor: dMSA Privilege Escalation
• WindowsPro – Active Directory in Windows Server 2025: Neue Funktionsebene
• FrankysWeb – Windows Server 2025: New Active Directory Features

© IT-Service Walter – Ihr Partner für IT-Sicherheit und Infrastruktur