Tags: Windows Server 2019, Active Directory
Windows Server brachte bisher in jeder Version einen eigenen Functional Level für Domänen und Forests des Active Directory. Server 2019 bleibt aber auf der Funktionsebene 2016 stehen. Bevor man Domain Controller unter Server 2019 zu einer bestehenden Struktur hinzufügen kann, ist jedoch wie üblich ein Schema-Update fällig.
Die Entscheidung Microsofts, für das Active Directory unter Server 2019 keine eigenen Funktionsebenen einzuführen, begründet sich vor allem damit, dass diese Version keine neuen AD-Features enthält. Der Beitrag des Microsoft-Ingenieurs Willem Kasdorp auf dem TechNet-Blog bringt es mit seiner Überschrift auf den Punkt: What’s new in Active Directory 2019? Nothing.
Ein zusätzliches Attribut, Schema-Version 88
Erstaunlich an diesem Text ist indes, dass ein Microsoft-Mitarbeiter noch Wochen nach der Freigabe von Windows Server 2019 über diesen Sachverhalt keine offiziellen Informationen besitzt, sondern eigene Recherchen anstellen muss.
Tatsächlich gibt es aber ein paar Neuerungen im Active Directory 2019: Zum einen übernimmt es das Attribut msDS-preferredDataLocation aus dem Azure Active Directory, wo es von Office 365 für geographische Informationen verwendet wird.
Aus diesem Grund müssen Admins das AD-Schema mit adprep auf die Version 88 aktualisieren, bevor sie Domänen-Controller mit Windows Server 2019 zu einem Active Directory hinzufügen, das auf einer älteren Version des Betriebssystems läuft. Das gilt natürlich auch, wenn man vorhandene DCs durch ein In-Place-Upgrade auf Server 2019 umstellen möchte.
Eine weitere Veränderung gab es unter der Haube mit einem Update des ESE Version Stores. Dabei handelt es sich um einen Buffer im Speicher, der das Verarbeiten von Transaktionen der AD-Datenbank unterstützt (siehe dazu die ausführliche Beschreibung des Updates). Auf Anwendungen sollte dies keine Auswirkungen haben.
Das Fehlen einer eigenen Funktionsebene in Server 2019 vereinfacht den Umstieg von Active Directory 2016 auf 2019, weil kein Anheben des Levels erforderlich ist, um an neue Funktionen zu gelangen. Solche gibt es ja nicht.
Aktualisiert man Domain Controller von Server 2008 (R2) oder 2012 (R2) auf Server 2019, dann kann man den Functional Level maximal auf 2016 anheben. Als Ausgangspunkt ist mindestens die Funktionsebene 2008 R2 erforderlich.
Mischbetrieb von AD 2016 und 2019
Das Erhöhen der Funktionsebene dient normalerweise dazu, neue Funktionen der jeweiligen AD-Version freizuschalten. Gleichzeitig verhindert man damit das Hinzufügen eines Domänen-Controllers, der unter einer älteren Version des Betriebssystems läuft.
Durch den Entfall einer eigenen Funktionsebene für Active Directory 2019 lässt sich ein Mischbetrieb von DCs unter Server 2016 und 2019 aber nicht verhindern.
Obwohl die Abwärtskompatibilität von AD 2019 auf 2016 sehr gut sein sollte, wird es ratsam sein, vor einem Upgrade darauf zu achten, ob Hersteller von Anwendungen das neueste Release des Verzeichnisdiensten explizit unterstützen. Auch ohne nennenswerte Neuerungen in Server 2019 kann man nicht davon ausgehen, dass der Support für Active Directory 2016 hier schon ausreicht.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Domänen-Controller herabstufen unter Server 2016 / 2019 via GUI und PowerShell
- Neue Policy für Authentifizierung ohne Passwort und erweiterte Web-Anmeldung für Windows 11
- Schwache, kompromittierte und mehrfach genutzte Kennwörter finden mit Enzoic for Active Directory Lite
- Active Directory in Windows Server 2025: Neue Funktionsebene, leistungsfähigere Datenbank, Security-Verbesserungen
- Zugriff auf Domain Controller über lokale Richtlinien absichern
Weitere Links