{"id":316207,"date":"2025-09-27T00:01:18","date_gmt":"2025-09-26T22:01:18","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=316207"},"modified":"2025-09-27T11:13:37","modified_gmt":"2025-09-27T09:13:37","slug":"windows-server-2025-als-dc-finger-weg-bei-gemischten-umgebungen-rc4-problem","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/09\/27\/windows-server-2025-als-dc-finger-weg-bei-gemischten-umgebungen-rc4-problem\/","title":{"rendered":"Windows Server 2025 als DC: Finger weg, bei gemischten Umgebungen (RC4-Problem)"},"content":{"rendered":"

\"Windows\"[English<\/a>]Heute noch ein Beitrag f\u00fcr Administratoren von Domain Controllern. Falls jemand mit dem Gedanken spielt, einen Windows Server 2025 als Domain Controller (DC) in eine gemischte Umgebung aufzunehmen, lasst es. Durch die Aufnahme des neuen Windows Server 2025 DC in eine bestehende Struktur mit alten Windows Server DCs gibt es massive Probleme. Das Maschinenkennwort l\u00e4sst sich nicht \u00e4ndern und die Dom\u00e4nenanmeldungen fallen sporadisch aus. Es ist ein Bug in Windows Server 2025, der nicht \u00f6ffentlich best\u00e4tigt ist, an dessen Behebung die Microsoft Produktgruppe aber arbeitet.<\/p>\n

<\/p>\n

Ein Leserhinweis \"da brennt der Helm\"<\/h2>\n

\"\"Es war eine private Mitteilungen von Andy Wendel auf Facebook (danke daf\u00fcr), die mich bewogen hat, den Beitrag hier zum Wochenende einzustellen. Vielleicht rettet es dem einen oder anderen Leser einige graue Haare. Andy schrieb mir: \"Es gibt ein massives Problem in gemischten Umgebungen, wenn ein neuer DC2025 dazu kommt: Es brennt der Helm!<\/em>\" Wenn ich es richtig mitbekommen habe, gibt es in seinem Kundenkreis massive Probleme mit der Konstellation.<\/p>\n

\"Windows<\/a><\/p>\n

Mir klingelte nur im Hinterkopf, dass ich vor einigen Stunden in einem anderen Kontext obigen Tweet<\/a> am Rande mitgenommen habe, der Probleme mit RC4-Verschl\u00fcsselung bei Windows Server 2025 und Windows 11 24H2 anspricht.<\/p>\n

Windows Server 2025 DC macht \u00c4rger in mixed Umgebungen<\/h2>\n

Andy Wendel hatte mich dann in seiner privaten Nachricht noch auf den reddit.com-Thread\u00a0RC4 issues<\/a> hingewiesen (wenn ich es beim Querlesen nicht falsch interpretiert habe, wird in diesem reddit.com-Thread<\/a> etwas \u00e4hnliche angesprochen). Der Ursprungspost ist jetzt auch schon drei Monate alt (Mai oder Juni 2025). Die dort beschriebene Situation:<\/p>\n

I am running a domain at 2016 functional level. Our DC's are 2022 and 2025 (we have 4). When we added the 2025 DC's, we start having random issues where our domain logins would randomly stop working on a given server.<\/p><\/blockquote>\n

Der Thread-Starter administriert mit Kollegen eine Dom\u00e4ne, die auf Funktionsstufe 2016\u00a0 l\u00e4uft. Inzwischen hat man vier Domain Controller mit Windows Server 2022 und Windows Server 2025 in dieser Dom\u00e4ne in Betrieb.<\/p>\n

Maschinenkonten k\u00f6nnen Passw\u00f6rter nicht zur\u00fccksetzen<\/h3>\n

Seit in dieser Domain Windows Server 2025 als Domain Controller aufgenommen wurde, gibt es nur noch \u00c4rger. Der Thread-Starter schreibt, dass die Dom\u00e4nenanmeldungen (Domain Logins) pl\u00f6tzlich auf\u00a0einem bestimmten Server nicht mehr funktionierten. Es gibt kein Muster, die Ausf\u00e4lle treten zuf\u00e4llig auf verschiedenen Servern auf.<\/p>\n

Der Betroffene schrieb dann, dass sich herausgestellt habe, dass die Maschinenkonten ihre Passw\u00f6rter nicht zur\u00fccksetzen k\u00f6nnen. Mir fiel direkt mein Blog-Beitrag Windows Server 2025 Domain Controller: Trust Relationship mit Windows 11 geht verloren<\/a> von Januar 2025 ein.<\/p>\n

Workaround: Maschinenkonten-Passw\u00f6rter manuell zur\u00fccksetzen<\/h3>\n

Der Thread-Starter gibt an, dass die\u00a0vor\u00fcbergehende L\u00f6sung darin bestehe, sich als lokaler Administrator beim problematischen Server anzumelden und den Befehl:<\/p>\n

Reset-ComputerMachinePassword<\/a><\/p>\n

unter Angabe eines beliebigen DC und Verwendung von \"-credential\" (get-credential) zu verwenden. Damit erh\u00e4lt man eine Anmeldung als Dom\u00e4nen-Administrato, mit der das Maschinenpasswort in der Dom\u00e4ne zur\u00fcckgesetzt werden kann.<\/p>\n

Deaktivierung der RC4-Verschl\u00fcsselung: Weg ins Verderben<\/h3>\n

Weitere Untersuchungen haben laut Thread-Ersteller ergeben, dass das Problem auf eine GPO-Einstellung zur\u00fcckzuf\u00fchren ist, die die RC4-Verschl\u00fcsselung auf zwei der Dom\u00e4nencontroller deaktiviert. Recherchen des Betroffenen, in der Google und KI involviert waren, ergaben, dass eine globale Deaktivierung von RC4 als Wert in<\/p>\n

msDS-supportedencryptiontypes<\/p>\n

dazu f\u00fchren sollte, dass die Konten bei Authentifizierungsanfragen keine RC4-Verschl\u00fcsselung mehr verwenden w\u00fcrde. Der Versuch, diese durchzusetzen, legte aber die komplette Dom\u00e4ne lahm. Dies konnte nur mit einer \"haarstr\u00e4ubenden\" ADSI-Sitzung, in der die GPO so repariert wurde, dass RC4 erneut zugelassen war, behoben werden. Nur dadurch konnte der Zugriff auf die Dom\u00e4ne wiederhergestellt werden.<\/p>\n

Verratzt in einer gemischten Umgebung<\/h2>\n

Der Thread-Starter schrieb, dass er die Windows Server 2022 Domain Controller nicht auf Windows Server 2025 aktualisieren k\u00f6nne (dass sei in seinem Szenario keine Option). Andererseits k\u00f6nne er die Windows Server 2025, die als DC fungieren, auch nicht entfernen. Ein Lock-In in der \"H\u00f6lle einer gemischten Umgebung\" ist der er jetzt gefangen ist – Andy Wedel dr\u00fcckt es mit \"da brennt der Helm\" aus.<\/p>\n

Im reddit.com-Thread\u00a0 hat sich dann am 26. September 2025 (als ich den Beitrag hier verfasste), ein weiterer Administrator gemeldet, der das Gleiche berichtete und das Verhalten best\u00e4tigte. Er hatte die Idee, die Passwort\u00e4nderung der Maschinenkonten zu unterbinden.<\/p>\n

Ein weiterer Administrator schrieb dazu, dass dies keine gute Idee sei, weil dies die Netzwerksicherheit vermindere und bestenfalls ein Notbehelf sei. Er sei nur durch Upgrade aller Domain Controller auf Windows Server 2025 aus diesem Schlamassel herausgekommen. Er schrieb:<\/p>\n

I ended up upgrading the DC's to be all 2025 (Apparently the 2025 Kerberos database changed in 2025 which is why the problem happened).<\/p><\/blockquote>\n

Im Post gibt dieser Administrator detaillierte Hinweise, wie die Umstellung, speziell bei Verwendung von VMs in Hyper-V-Umgebungen, erfolgen sollte, um nicht Schiffbruch zu erleiden. Er schreibt, dass er gerade seinen Job durch diesen Mist verloren habe, weil er keine Dokumentation zu dieser Konfiguration hatte. Ein vorgeblich erfahrenere Kollege sagte ihm, dass \"diese\u00a0diese Konfiguration automatisch erfolge\", was nicht zutraf. Dadurch hat das Unternehmen einen Tag Produktion verloren, was dann zur K\u00fcndigung f\u00fchrte. Aber das Upgrade aller DCs auf Windows Server 2025 habe das Problem mit dem Zur\u00fccksetzen des Maschinenkontopassworts gel\u00f6st.<\/p>\n

Im Thread ist in verschiedenen Post noch die Rede, dass das alles ein Bug sei. Aber der Bug sei nicht behoben und auch nicht \u00f6ffentlich best\u00e4tigt. Vor 10 Tagen merkte ein weiterer Poster an, dass der Fehler intern gemeldet wurde und die Produktgruppe an einer Beseitigung arbeitet. Er erhalte w\u00f6chentliche Status-Updates, aber Microsoft w\u00fcrde dies nicht auf der offiziellen Windows Server Release-Health-Statusseite als \"Know Issue\" kund tun.<\/p>\n

Also gilt aktuell f\u00fcr gemischte DC-Umgebungen: \"Finger weg von Windows Server 2025 als weiterer DC\", denn das gibt \u00c4rger.<\/p>\n

\u00c4hnliche Artikel:\u00a0<\/strong>
\nWindows Server 2025 Domain Controller: Trust Relationship mit Windows 11 geht verloren<\/a>
\nWindows Server 2025: Bug bei Schema Master Rolle des DC<\/a>
\nWindows 11 24H2\/Windows Server 2025 bekommt Updates vom WSUS nicht<\/a>
\nWindows Server 2025: HPE ProLiant DL325-Server erzeugt IRQL_NOT_LESS_OR_EQUAL BSOD nach Juli 2025-Update<\/a>
\nWindows Server 2025: Authentication Bypass mit Golden dMSA<\/a>
\nWindows 11 24H2\/Windows Server 2025 VM-Startprobleme nach Juli 2025-Update; Fix mit OOB-Update KB5064489<\/a>
\nReFS-Dateisystem: Fix f\u00fcr CPU\/RAM-Auslastungs-Bug in Windows Server 2025 im August 2025?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Heute noch ein Beitrag f\u00fcr Administratoren von Domain Controllern. Falls jemand mit dem Gedanken spielt, einen Windows Server 2025 als Domain Controller (DC) in eine gemischte Umgebung aufzunehmen, lasst es. Durch die Aufnahme des neuen Windows Server 2025 DC in … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8537,2557],"tags":[8472,24,8663,8373],"class_list":["post-316207","post","type-post","status-publish","format-standard","hentry","category-problem","category-windows-server","tag-dc","tag-problem","tag-rc4","tag-windows-server-2025"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/316207","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=316207"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/316207\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=316207"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=316207"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=316207"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}