[English]Kurzer Hinweis an Administratoren, die Windows Server 2025 als Domain Controller (DC) einsetzen. Ich bin darauf hingewiesen worden, dass es einen Bug bei Verwendung der Schema Master Rolle gibt. Der Bug führt ggf. zu doppelten Einträgen, was bei anderen Domain Controllern zu einem Schema-Mismatch-Error führt. Das Problem wird bereits bearbeitet.
Schema Master Rolle (FSMO)
Domain Controllern können mindestens fünf FSMO-Rollen zugewiesen werden, wie Microsoft hier erklärt. Eine dieser Rollen ist der Schema Master. Das Schema definiert die Klassen-Schablonen für die Active-Directory-Objekte wie Benutzer, Computer oder Ressourcen, genauso wie die Attribute, die den einzelnen Objekten zugewiesen werden können.
Der Schema Master-Domänencontroller steuert alle Updates und Änderungen am Schema. Der Schema-Master ist verantwortlich, wenn das Active-Directory-Schema verändert werden soll, d. h. dem Schema weitere Objektklassen und Attribute hinzugefügt werden sollen. Dies ist z. B. der Fall bei der ersten Installation eines Exchange Servers, der Exchange-spezifische Attribute wie den Homeserver und den Postfachnamen für jeden Benutzer hinzufügt. Damit die Änderungen vollzogen werden können, muss der Schema-Master verfügbar sein.
Um das Schema einer Gesamtstruktur zu aktualisieren, müssen Administratoren Zugriff auf den Schema Master des Domain Controllers (DC) haben. Es kann nur einen Schema Master in der gesamten Gesamtstruktur geben.
Hinweis auf einen Bug im Schema Master
Ein Leser hat mich gestern vorab auf Facebook in einer privaten Nachricht kontaktiert und fragte, ob ich schon mitbekommen habe, dass es aktuell einen Bug mit der Schema Master Rolle unter Windows Server 2025 gibt? Musste ich allerdings verneinen – und auf Nachfrage erhielt ich einige Hinweise (danke dafür).
Der Leser schrieb, dass das Thema relativ neu und aktuell noch nicht sehr public sei (es gibt m.W. nur die unten verlinkte Forendiskussion). Er ließ mir aber eine knappe Beschreibung des Problems: Lässt ein Administrator unter Windows Server 2025, der als Domain Controller (DC) fungiert, auch den Schema Master (FSMO) laufen, kann es wegen eines Bugs Probleme geben.
Der Bug bewirkt, dass vom Schema Master u.U. doppelte Einträge im Schema erzeugt werden. Dann geht die Active Directory (AD) Replikation mit anderen DCs schief und diese Replikation endet dann mit einem Schema Mismatch Error.
Eine Fehlerbeschreibung in der Spaceworks Community
Der Leser wies mich auf den Post Active Directory replication issue after installing new Exchange server vom 2. August 2025 in der Spaceworks Community hin, wo das Problem wohl erstmalig diskutiert wird. Dort wurde von Windows Server 2016 auf Windows Server 2025 als DC migriert. Beim Versuch, später den Exchange Server SE zur Domäne hinzufügen kam es dann zu Problemen.
Als versucht wurde, den alten Windows Server 2016 DC in der Zentrale herabzustufen, um eine Dekommissionierung einzuleiten, wurde ein Schema-Konflikt gemeldet. Eine oberflächliche Untersuchung ergab, dass dies die Replikation von des neuen Domänencontroller mit Windows Server 2025 in der Zentrale zu den Domänencontrollern mit Windows Server 2016 verhinderte. Die Replikation zu den anderen DCs mit Windows Server 2025 funktioniert einwandfrei.
Diese Replikationsfehler traten buchstäblich innerhalb einer Minute nach Beginn der Installation von Exchange auf. Einer der Fehler im Ereignisprotokoll, Fehler 1203, listete ein bestimmtes AD-Objekt auf, das die Replikation verhinderte, wiederum aufgrund einer Schema-Inkompatibilität. Andere Administratoren bestätigten dieses Fehlerbild – weitere Details finden sich in der Diskussion des Threads.
Ergänzung: Auf meinen Post auf Facebook haben sich zahlreiche Administratoren gemeldet, die keine Probleme hatten. Aber es gab eine Rückmeldung: "Ja hab ich durchgemacht. Windows Server 2016 Migration nach Windows Server 2025. Nach drei Tagen war alles kaputt und zurück ging es auch nicht mehr. Nachdem auch der Microsoft Support nicht helfen konnte, habe ich alles neu gemacht und Server 2022 installiert."
Manueller Workaround: Doubletten löschen
Nach meinen Kenntnissen in die Information Microsoft bekannt und man arbeitet wohl bereits an einem Fix. Bis dahin hilft nur ein manueller Workaround, bei dem die doppelten Einträge im Schema händisch gelöscht werden.
Ergänzung: Das Problem wurde durch Microsoft zum 9. Oktober 2025 bestätigt, ein Fix lässt noch auf sich warten, siehe Windows Server 2025: Bug bei Schema Master Rolle des DC bestätigt.
MVP: 2013 – 2016
da ist das Kind (schon wieder) in den Brunnen gefallen und der Anwender/Administrator darf hinter Microsoft mit Schaufel und Besen hinter her rennen und den Scherbenhaufen beseitigen – und alles nur, weil MS es nicht gebacken bekommt ausführliche Tests durchzuführen…
Irgendwie scheint sich bei MS niemand der Verantwortung bewusst zu sein
Zum letzten Satz: Ist eher als running gag zu sehen. Mit Fremdwörtern wie Sicherheit oder Verantwortung kann das Unternehmen imho auf Basis seiner "DNA" schlicht nichts anfangen – wenn Kohle lockt, versucht man, was geht. Lies folgenden Artikel:
Cyber-Guru: Microsoft betrachtet Sicherheit als Ärgernis
Es wird sicher Mitarbeiter geben, die die Begriffe kennen und umsetzen möchten. Wenn aber eine Unternehmenskultur dem gegenüber steht – und dies mit Beurteilungssystemen umgesetzt wird (siehe Neues Beurteilungssystem: Microsoft will "Underperformer" los werden), hast Du als Mitarbeiter ihmo nur zwei Möglichkeiten: Mitschwimmen oder den Exit wählen.
Es liegt auch am Mindset der nachwachsenden Klickibunti Programmierer, die in Bezug auf Sicherheit ausser irgendeinem Kurs, wo man mögliche Bedrohungen als Stichworte auswendig lernt, kaum noch Bezug zu echtem Code haben.
Die Nutzung von Klickibunti Tools ist einerseits sicherlich produktiv, aber wenn damit was übersehen wird, wie nur als ein Beispiel (zu) offene REST-APIs o.ä., dann ist das Desaster da.
Replikation zu server 2016!
ärgerlich, aber es gibt seit Jahren die Empfehlung immer alle DCs asap durchzutauschen und immer identische OS zu verwenden.
statt des Workarounds, würde ich ein inplace update oder Tausch des 2016 bevorzugen
Ja so ist es.
Bei den ganzen Fehlern, die es bisher gab, wenn Server 2025 als DC arbeitet, kann man nur zu dem Schluß kommen, derzeit Server 2025 nicht als DC zu nutzen.
Und bei Server gibt es immer ein Downgraderecht, d.h. man kann auch ältere Serverversionen installieren.
Siehe Seite 18 und 19:
https://www.microsoft.com/licensing/docs/documents/download/Licensing_guide_PLT_Windows_Server_2025.pdf
Bei Server 2025 würde ich dann das Downgraderecht in Anspruch nehmen und als DC Server 2022 verwenden.
es ist nur ein Recht. keine Lizenz. wenn du keinen Schlüssel hast, kannst/darfst du nicht auf eine ältere Version zurück.
das downgrade Recht war immer nur für Kunden, die ihre bestehende Umgebung homogen halten wollen
Lies das Papier:
Bei einem Downgrade nutzt man die Lizenz des Produkts, von dem man downgraded.
Zitat: "when invoking downgrade rights or down edition rights, the license terms of the version and edition acquired still govern use of the software."
Auf Deutsch:
Bei Inanspruchnahme von Downgrade- oder Down-Edition-Rechten gelten weiterhin die Lizenzbedingungen der erworbenen Version und Edition für die Nutzung der Software. Man braucht keine separate Lizenz für Server 2022.
D.H., wenn man von Server 2025 auf Server 2022 downgraded, gelten die Lizenzbedingungen von Server 2025 und nicht die von Server 2022.
Denn sonst würde so ein Downgraderecht keinen Sinn machen. Man müsste ja Server 2022 separat kaufen und dann braucht man kein Downgraderecht, weil man dann 2 separate Lizenzen hätte.
Beim Downgrade muß nur die Edition gleich oder kleiner sein.
D.H. ein Downgrade von 2025 Datacenter auf 2022 Datacenter geht oder auch auf 2022 Standard oder 2022 Essentials.
2025 Standard kann man auf 2022 Standard oder 2022 Essentials downgraden aber nicht auf 2022 Datacenter, da Datacenter eine höhere Edition ist als Standard.
Man kann von 2025 nicht nur auf 2022 downgraden, sondern auch auf 2019, 2016, etc.
Die Kernfrage ist mehr, ob der installationskey eines Server 2025 auf einem Server 2022 akzeptiert wird. Und wenn nicht benötigst du zwangsläufig einen 2022er Schlüssel zum installieren.
Es ging nicht um die Lizenz im allgemeinen, die wird entsprechend bedient.
Ich kenne das von Microsoft Office so:
Wir hatten da mal eine Volumenlizenz und da gabs auch ein Downgraderecht.
Und im Downloadcenter der Volumenlizenz gabs auch alle älteren Officeversionen, die noch im Support waren, zum Download und zu jeder Officeversion gabs da auch den passenden Schlüssel.
erkenne deinen Vorteil: Volumen Lizenz
das haben andere (viele) nicht
trau mir, es geht nicht um das Recht. dein 2025 Schlüssel wird vom 2022 nicht akzeptiert.
Microsoft gibt dir keinen. sie gehen davon aus, das du ihn hast, sonst würdest du nicht downgraden.
diese Diskussion ist schon so alt, wie das downgrade Recht. du hast das Recht, aber u.U. als OEM Kunde keinen Schlüssel.
keine Arme, keine Kekse
Ganz genau so hatte ich das auch in Erinnerung!
Danke.
Wenn ich einen Key habe, habe ich auch die dazugehörige Lizenz, sofern legal gekauft.
Und dann brauche ich kein Downgraderecht.
a) du hast einen Server mit OEM Lizenz gekauft, natürlich ist es die neueste Version, aktuell 2025
b) du kaufst die neue Version, statt der alten, aufgrund der längeren Laufzeit , aktuell 2025
du hast 2025 gekauft. du hast einen 2025 Schlüssel, willst aber 2022 installieren, du hast ein downgrade Recht, jetzt fehlt dir aber der 2022 Schlüssel.
downgrade ist für Volumen Lizenz Kunden
Auch OEM-Kunden können vom Downgrade-Recht Gebrauch machen. Dafür muss lediglich das passende Downgrade-Kit erworben werden (ca. 30 Euro). Dieses beinhaltet die originalen Installationsmedien sowie die Installationsschlüssel der gewünschten, älteren Serverversion.
Hier ein Beispiel:
https://shop.kosatec.de/OEM-Windows-Server-2025-Standard-Datacenter-ROK-Downgrade-Kit-zu-2022/139356
du verstehst dem Unterschied zwischen Recht und kaufen?
mein letzter Satz spiegelt die Sicht Microsofts. es geht um homogene Strukturen, diese Dimensionen und den Anspruch in der es interessant wird hat der KMU aus Sicht Microsofts nicht. Kunden kleiner ihrer Enterprise Definition sind nicht relevant und waren noch nie das Ziel für Entwicklungen
Keine Sorge, ich kenne den Unterschied zwischen „Recht" und „Kaufen". Die 30 Euro beziehen sich natürlich nur auf das Downgrade-Kit mit Datenträger und Lizenzschlüssel – das Recht selbst kostet nichts.
Dass Microsoft KMUs dabei nicht wirklich im Blick hat, ist mir bewusst. Trotzdem funktioniert das Verfahren auch für kleinere Kunden – manchmal rutscht eben auch ein Krümel vom Enterprise-Tisch runter.
Zumindest bei Volumenlizenzen findest du die Keys für die niedrigere Version an der gleichen Stelle, wie die der gekauften Version. Das wäre inzwischen das M365-Adminportal, da ja das alte VCLS abgelöst wurde.
Dann sind die Keys auch MAK bzw. KMS-Keys, also generische Schlüssel für die eigentliche Aktivierung.
Für eine OEM-Standard-Lizenz oder eine OEM-Datacenter-Lizenz gibt es meines Wissens keine Downgrade-Keys dazu. Irgendwoher muss man aber einen Key haben um das Setup starten zu können.
Bei "normalen" Servern (keine DC!) könnte man auch eine 2022er-Eval nehmen und diese dann später per Inplace-Upgrade auf eine 2025er Standard- oder Datacenter-Lizenz bringen. Der Eval-Zeitraum von 180 Tagen lässt sich auch ein paar Mal verlängern bis Server 2025 dann endlich stabil ist. Das WWW weiss wie.
ABER:
Mit Domain-Controller auf einer EVAL-Edition kann KEIN Inplace-Upgrade gemacht werden!! Da muss man dann einen neuen 2025er-DC ins Netz bringen und die FMSO-Rollen migrieren. Danach kann der 2022er mit EVAL-Edition demoted werden. Wenn alles in virtuellen Maschinen läuft ist das nicht so ein Problem. Falls auch DNS auf dem Server läuft, muss der definitive Server am Ende dann wieder die "alte" IP-Adresse haben. Im Notfall eine gebrauchte 2022er-Lizenz erwerben, damit der DC später per Inplace-Upgrade auf 2025 gebracht werden kann, dürfte jedoch wesentlich günstiger sein als der ganze Arbeitsaufwand.
ich sage Mal so, bevor ich den Quatsch veranstalte, habe ich längst eine Nummer organisiert oder massgrave genutzt
"Domain Controllern können mindestens fünf FSMO-Rollen zugewiesen werden"
Das stimmt so nicht, es gibt genau fünf FSMO Rollen und dem DC können somit höchstens fünf zugewiesen werden, nicht "mindestens".
man könnte die Diskussion jetzt anfangen … 7, nicht 5. aber die 2 sind Owner, keine Rolle in der Form
https://bobby.kearan.net/2018/12/17/hidden-fsmo-roles/
> man könnte die Diskussion jetzt anfangen >
Dann lass' es doch. Autoritativ ist und bleibt (1), Abschnitt "6.1.5 FSMO Roles".
_
(1) https://winprotocoldoc.z19.web.core.windows.net/MS-ADTS/%5bMS-ADTS%5d-250408.pdf
https://techcommunity.microsoft.com/blog/exchange/active-directory-schema-extension-issue-if-you-use-a-windows-server-2025-schema-/4460459