[English]Es gibt bei Windows Server 2025 ein Problem, wenn dieser als Domain Controller (DC) eingesetzt wird und eine eine Schema Master Rolle verwendet wird. Ich hatte Mitte August 2025 berichtet, dass der Bug zu doppelten Einträgen führt. Jetzt hat Microsoft hat diesen Bug in einem Techcommunity-Beitrag bestätigt.
Hinweis auf einen Bug im Schema Master
Ein Leser, der ungenannt bleiben wollte, wies mich auf einen Bug in Windows Server 2025 hin, der bei Verwendung einer Schema Master Rolle bei Domain Controllern auftritt. Lässt ein Administrator unter Windows Server 2025, der als Domain Controller (DC) fungiert, auch den Schema Master (FSMO) laufen, kann es wegen des Bugs arge Probleme geben.
Der Bug bewirkt, dass vom Schema Master u.U. doppelte Einträge im Schema erzeugt werden, wenn bestimmte Bedingungen zutreffen. Dann geht die Active Directory (AD) Replikation mit anderen DCs schief und diese Replikation endet dann mit einem Schema Mismatch Error.
Ich hatte seinerzeit den Blog-Beitrag Windows Server 2025: Bug bei Schema Master Rolle des DC mit einer Beschreibung des Problems veröffentlicht und wusste aus meinen Quellen, dass Microsoft intern das Problem bereits untersucht. Das es kein Einzelfall war, hatte ich dem Post Active Directory replication issue after installing new Exchange server vom 2. August 2025 in der Spaceworks Community entnommen. Die beiden verlinkten Beiträge enthalten weitere Informationen.
Microsoft bestätigt Bug im Schema Master
In diesem Kommentar wies Tom darauf hin, dass Microsoft das Problem offiziell bestätigt habe (danke dafür) – ich hatte aber noch keine Zeit, es hier im Blog herauszuziehen. Mir ist das Thema auch über nachfolgenden Tweet auf X untergekommen.
Zum 9. Oktober 2025 hat Microsoft-Mitarbeiter Nino Bilic den Techcommunity-Beitrag Active Directory schema extension issue if you use a Windows Server 2025 schema master role veröffentlicht, der mehr Licht in die Angelegenheit bringt. Das Problem tritt auf wenn:
- ein Windows Server 2025 als Domain-Controller fungiert und die Schema Master-Rolle (FSMO) aktiviert ist,
- und ein Microsoft Exchange Server (On-Premises) installiert ist, und eines der aktuellen Exchange Server CUs (Cumulative Update) wie Exchange 2019 CU15 oder Exchange SE RTM unter Windows Server 2025 installiert ist.
Dann kann sich dies auf die Replikation der lokalen Active Directory-Umgebung auswirken. Dann erstellt der Schemamaster-FSMO-Rolleninhaber von Windows Server 2025 doppelte Schema-Attributwerte. In diesem Fall schlägt die AD-Replikation fehl und es werden die folgenden Anwendungsprotokollereignisse angezeigt:
Error 8418: The replication operation failed because of a schema mismatch between the servers involved. Warning 1203 (NTDS Replication): The local domain controller could not replicate the following object from the source domain controller at the following network address because of an Active Directory schema mismatch.
Andere Tools wie repadmin /showrepl zeigen AD-Replikationsprobleme an. Da Umgebungen, in denen Windows Server 2025 als Domänencontroller mit anderen Rollen verwendet wird, davon nicht betroffen sind, schlägt Microsoft folgendes vor. Einfach auf die Schema Master Rolle (auf einem Server 2025) zu verzichten, wenn Windows Server 2025 mit installiertem On-Premises Exchange Server verwendet werden soll. Die Rolle könnte unter Windows Server 2022 installiert werden.
Das Windows Server-Team arbeitet an einer dauerhaften Lösung für dieses Problem (die Veröffentlichung ist für die kommenden Monate geplant). Wer bereits von diesem Problem betroffen ist, dem bietet das Windows-Supportteam einen Prozess an, mit dem die AD-Replikation fortgesetzt werden kann. Dabei wird jedoch möglicherweise ein manueller Eingriff (Bearbeiten des Schemas) erforderlich. Betroffene sollen ein Support-Ticket beim Windows Active Directory-Team eröffnen, um die Lösung zu erhalten.
MVP: 2013 – 2016
Bedeutet also, dass ein Exchange der noch auf WS2022 läuft, dann nicht in diesen Fehler läuft?
Wenn dem so wäre, dann bin ich ja froh, dass ich den Exchange SE noch auf einem 2022er laufen habe und noch nicht auf 2025 umgestellt habe.
Hallo
Wenn der Exchangeserver auf einem Windows 2025 Server läuft spielt das keine Rolle. Entscheidend ist welche Serverversion auf den Domaincontrollern läuft. Der Fehler liegt in der Rolle des Schemamasters, das die sich mehrmals repliziert und Exchange (on promise) dann damit nicht klarkommt.
So long
Yumper
(…) schlägt Microsoft folgendes vor. Einfach auf die Schema Master Rolle zu verzichten, wenn Windows Server 2025 mit installiertem On-Premises Exchange Server verwendet werden soll.
bist du sicher, das die das vorschlagen? es soll wohl eher heißen, das die Rolle auf einem 2022 und niedriger bleibt.
War der Meinung, dass ein Admin weiß, dass er diese Rolle auf einem Windows Server 2022 installieren kann, wenn er sie braucht.
"…schlägt Microsoft folgendes vor. Einfach auf die Schema Master Rolle zu verzichten…"
Damit ist hoffentlich gemeint, die Schemamaster-Rolle auf einen anderen DC (Server 2022/2019) zu verschieben, denn "verzichten" kann man auf diese Rolle in einem Active Directory nicht wirklich.
Wichtige Zusatzinfo noch aus dem verlinkten Artikel bei Microsoft:
das Problem tritt offenbar *nur* dann auf, wenn man den FSMO auf einem DC Server 2025 betreibt *und dann* einen Exchange in Betrieb nimmt, oder upgraded (z.B. auf die Exchange SE), denn dann wird das Schema aktualisiert, was dann den Bug auslöst.
Wer keinen Exchange hat, oder den Exchange bereits geupdated hat, kann sorglos einen DC 2025 als FSMO betreiben – so Microsoft – da das Schema dann schon angepasst ist. Laut dem Microsoft-Mitarbeiter Bilic sollen auch später installierte CUs kein Problem sein, weil diese das AD-Schema nicht anfassen.
Spätestens bis Jahresende will man einen Fix für das Problem haben.
Betrifft das nur Schema-Änderungen für Exchange oder sollte man nicht besser mit Schema-Anpassungen generell aufpassen, wenn man DCs mit 2025+FSMO laufen hat?
Ohne das genauer zu wissen, würde ich mich mit Schema-Änderungen generell zurückhalten. Man riskiert vermutlich mit jeder Änderung, dass danach die Replikation kaputt geht. Tools wie der Entra Sync ändern auch das Schema, Config Manager-Integrationen, …
Wenn es vermeidbar ist, würde ich's erstmal in Ruhe lassen. Wir haben derzeit einen DC 2025 (nicht-FSMO), und dabei belassen wir es, bis diese Episode vorbei ist.
Ich frage mich an der Stelle allerdings, wer auf einem AD-Controller noch andere Dienste installiert (und dann auch noch Exchange). Ein AD-Controller ist ein AD-Controller und sonst nix. Predigt MS selbst seit Jahrzehnten. Man soll(te) sogar Dienste wie DHCP auf andere Server auslagern, zur Reduzierung möglicher Angriffsflächen und Co. Davon abgesehen, wird auf einem DC das Laufwerkscaching deaktiviert, was zu Performanceproblemen führt, wenn man dann noch fette Exchangedienste laufen hat.
Ging mir zwar auch im Kopf herum, ich habe es aber nicht aufgeworfen, weil die Person, die mich seinerzeit auf das Problem aufmerksam machte, "im Feld steht" (mehr sage ich nicht) und offenbar genau diese Szenarien draußen vorfindet. Jetzt hast Du zwar formal Recht mit deiner Aussage – aber ein Bug ist es trotzdem – und weiß weiß, wo durch diesen Mechanismus noch was schlummert. Ergo muss Microsoft da nochmals ran.
Vielleicht ein Missverständnis? Ich verstehe das so, dass es um das AD an sich geht. Niemand mit klarem Verstand betreibt einen Exchange auf demselben Server wie einen DC. Dementsprechend verstehe ich diesen Bug als ein Thema des AD, ergo:
– FSMO läuft auf einem DC auf Basis von Server 2025
– Exchange ist auch im AD vorhanden, egal wo
Bei dieser Konstellation, wenn man dann einen alten Exchange 2016 oder 2019 hochzieht oder einen Exchange neu installiert und ein Schema-Update fällig wird, rennt man in diesen Bug.
Das steht da doch nirgendwo, das auf dem AD-Controller Exchange installiert wird (was man auch nicht tun sollte).
Ein Exchange macht immer bei der Installation ein Schemaupdate auf dem DC, auch wenn er auf einem anderen Server installiert ist!
Das Problem ist also ein Server 2025 DC mit FMSO und eine dann erfolgte Exchange-Installation, egal ob auf einem Server 2019, 2022 oder 2025.
Immer wieder war doch hier in der Vergangenheit von Problemen von Server 2025 als DC zu lesen.
Ich würde daher derzeit Server 2025 nicht als DC nutzen, egal, was man sonst noch nutzt.
Server 2025 taugt IMHO derzeit nur als Member-Server.
Das wurde definitiv falsch verstanden. Es geht um einen oder mehrere DCs und dem Server mit Exchange. Ist nun einer der DC auf 2k5 und noch Schema Master, dann kommt es bei der zuletzt notwendigen Erweiterung des Schemas zu einem Fehler. Das Ergebnis, die DCs können untereinander nicht mehr synchronisieren. Der Exchange selbst wird womöglich normal arbeiten, solange dieser mit einem DC kommuniziert, der die aktualisierten Schema vorhältig hat. Erwischt dieser einen anderen, dann wird es auch da zu Problemen kommen.
Ich hatte genau dieses Problem vor ein paar Wochen, bei der Installation von Exchange 2019 in einer Domäne mit Windows Server 2025 DC's.
Natürlich wird/wurde der Exchange NICHT auf einem Domänencontroller installiert. Aber für die Vorbereitung der Exchange Installation muss das AD-Schema erweitert werden (Exchange Setup.exe /PrepareSchema). Das Problem tritt, wie im Artikel beschrieben, nur bei einer Exchange Installation auf, wenn im AD schon ein Exchange vorhanden ist (sprich: die Schema Erweiterungen bereits vorhanden sind). Einzige Lösung die ich gefunden hatte, war, die doppelten Attributwerte mit ADSIEdit händisch zu entfernen.
Da beißt sich die Katze in den Schwanz. Siehe Borncity Eintrag DC 2025 in gemischten Umgebungen
Exakt daran habe ich auch gedacht. Es soll aber gehen, wenn der Exchange fertig installiert wurde und alle den letzten Stand haben. Dann kann die Rolle zu einem DC 2k5 gewechselt werden. Zumindest verstehe ich das so…
AD-Schema 2025 geht ohnehin erst, wenn alle DC auf 2025 sind. Im gemischten Betrieb ist diese Schema-Änderung nicht möglich bzw. geht schief. Sollte man nicht ausprobieren.
Äh nein, da verwechselst du was. Schema Änderungen bzw. Erweiterungen an sich (z.Bsp. durch Exchange Installation) haben nichts mit dem Level der Domäne zu tun, außer dass das Mindestlevel stimmen muss. Da kannst du auch bunt gemischte DCs haben. Erst wenn du das Domain Level auf 2025 heben willst müssen alle DCs 2025 sein.
Ich möchte eine kleine "Unschärfe" im Wording beseitigen: FSMO steht für Flexible Single Master Operation Roles. Das bedeutet, es sind mehrere Rollen. Unter anderem eben die Schema Master Rolle. Jede Rolle kann, wenn man es möchte, auf einem anderen DC laufen. Üblicherweise lässt man aber alle Rollen zusammen auf einem DC, der dann eben als FSMO-DC betitelt wird, weil er alle Rollen hält. Verzichten kann man auf keine Rolle. Das Verschieben einer Rolle auf einen anderen DC ist völlig unproblematisch und verursacht keine Unterbrechungen etc.
Microsoft meint also mit Sicherheit, dass man die Schema Master Rolle auf einen DC <2025 verschieben soll.
Übrigens ist auch ein Total-Ausfall eines DCs mit einer FSMO-Rolle kein Desaster, die entsprechende Rolle kann von einem aktiven DC von dem "toten" DC "gezogen" (seize role) werden ( Move-ADDirectoryServerOperationMasterRole PowerShell cmdlet with the -Force parameter if the original role holder is permanently offline). Allerdings sollte man damit nicht zu lange warten, denn einige Rollen (z.B. die PDC-Rolle) sind schon ziemlich wichtig.
Beste Grüße
Mangolf
Wobei das ein Problem ist, falls es nur noch 2025er DCs gibt und das AD-Level angehoben wurde. Dann kann man nämlich keinen Server 2022 zum DC aufstufen.
Finde es sehr bedenklich, dass MS dieses Problem erst jetzt auffällt.
Doch kannst du. Du kannst DFL und FFL per Powershell wieder runterstufen.
Ich hatte in meiner Domäne 2 Server 2025. Einer hatte die FSMO Rollen. nach einiger Zeit hat er nicht mehr repliziert und musste entfernt werden. Die Rollen wurden dann auf eine Server 2022 übertragen. Nach ca. 1 Woche fiel dann auch der 2. Server 2025 mit dem selben Replikationsfehler aus und musste gelöscht werden. Da hatte ich wohl Glück das ich noch nicht alle Server migriert hatte. Er scheint durch den 1. Server 2025 in mitleidenschaft gezogen worden zu sein da er nie eine FSMO Rolle besessen hatte. Für mich stellt sich die Frage ob dadurch alle Server 2025 in der Domäne irreparable "beschädigt" werden.
Reine Memberserver können nicht beschädigt werden, weil die an der AD-Replikation nicht beteiligt sind. Die ziehen sich den Kram nur.
Es waren beide Server 2025 AD Domain Controller.
Wenn es nach MS geht, kann das was Du beschreibst ja wohl nicht sein. Ausser du hast den Schema Master vieleicht unbewusst auf den 2ten 2025 verschoben.
Als langjähriger AD Admin verschiebe ich definitiv nicht unbewusst Funktionsrollen. Auf dem 2. Server 2025 war definitiv nie eine FSMO Rolle konfiguriert.
Hatte das Problem letzte Woche auch. 2 DC liefen noch unter WS2016, einer war bereits auf 2025 "upgegraded" – inkl. allen FSMO-Rollen.
Nachdem unser Exchange-Admin von Exchange 2019 auf SE umgestellt hat und dementsprechend das Schema erweitert wurde, haben beide 2016er nicht mehr repliziert.
Nach einer Neuinstallation der beiden hat zum Glück alles wieder funktioniert aber den Domain-Level hebe ich so schnell nicht an.
Klingt so, dass ich RODCs mit Win2025 dann wohl weiter installieren kann, solange alle schreibenden DCs noch unter 2022/2019 laufen. Und auch das Exch SE Upgrade durchführen.
wenn ich schon lokaler Exchange Server lese…
Was ist dein Problem damit? Wenn vernünftig gehandelt allemal besser als Exchange Online, denn den kontrollierst nicht du sondern Microsoft.
Spannend! Wir setzen das an unserer Hochschule exakt so ein (Windows Server 2025 DC mit Schemamaster, On-Prem Exchange SE auf Server 2025). Jedoch ist unser Eventlog clean und repadmin /showrepl sieht gut aus. Glück gehabt! Scheint offenbar nicht immer zu Problemen zu führen.
Interessant, Danke für die "Vorwarnungen"! Ich habe tatsächlich auch eine 2019er Umgebung mit mehreren Standorten und DCs 2019 und einem Exchange 2019.
Dem zentralen DC 2025 habe ich nach den ersten Warnungen hier die FSMO Rollen entzogen. GC, DNS, DHCP. Sonst nix.
Heute habe ich endlich ein Zeitfenster bekommen, dem Exchange sein CU15 zu verpassen – beste Voraussetzungen also für das "Vorbereiten der Organisation" vorbereitet zu sein!
Bevor ich begonnen habe, habe ich auf dem 2025 DC nochmal nach den FSMO geschaut und musste feststellen, dass InfrastructureMaster, RIDMaster, PDCEmulator auf dem 2025 waren; DomainNamingMaster, SchemaMaster auf dem 2019.
Ich bin fest überzeugt, alle fünf bereits auf den 2019 verschoben zu haben – es ist mir neu, dass die – beim Replizieren? – verteilt werden?! Habt Ihr eine Idee dazu?
Nach einem Move-ADDirectoryServerOperationMasterRole habe ich dann das CU15 auf dem Exchange erfolgreich installiert.
Ich werde das ganze jetzt mal mit Argusaugen beobachten und mich hier auch wieder melden…. Bis jetzt sieht erst mal alles gut aus!