Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Funktionsebenen bestimmen die verfügbaren AD DS-Domänen- oder Gesamtstrukturfunktionen (Active Directory Domain Services). Außerdem legen sie fest, welche Windows Server-Betriebssysteme auf Domänencontrollern in der Domäne oder der Gesamtstruktur ausgeführt werden können. Funktionsebenen haben jedoch keine Auswirkung darauf, welche Betriebssysteme Sie auf Arbeitsstationen und Mitgliedsservern ausführen können, die mit der Domäne oder der Gesamtstruktur verknüpft sind. In diesem Artikel wird beschrieben, welche Funktionsebenen mit welchen Versionen von Windows Server kompatibel sind.
Legen Sie beim Bereitstellen von AD DS die Domänen- und Gesamtstrukturfunktionsebenen auf den höchsten Wert fest, den Ihre Umgebung unterstützen kann, um so viele AD DS-Features wie möglich zu verwenden. Wenn Sie eine neue Gesamtstruktur bereitstellen, müssen Sie sowohl die Gesamtstruktur- als auch die Domänenfunktionsebenen festlegen. Sie können eine Domänenfunktionsebene höher als die Gesamtstrukturfunktionsebene festlegen. Sie können eine Domänenfunktionsstufe nicht niedriger als die Gesamtstrukturfunktionsstufe festlegen.
Interoperabilität auf Windows Server-Funktionsebene
Die folgende Interoperabilitätsmatrix fasst zusammen, welche Windows Server-Versionen sie als Domänencontroller für jede derzeit unterstützte AD DS-Gesamtstruktur und Domänenfunktionsebene ausführen können.
| Windows Server-Version (DC) | Windows Server 2025-Funktionsebene | Windows Server 2016-Funktionsebene | Windows Server 2012 R2-Funktionsebene |
|---|---|---|---|
| Windows Server 2025 | ✅ Unterstützt | ✅ Unterstützt | ❌ Nicht unterstützt |
| Windows Server 2022 | ❌ Nicht unterstützt | ✅ Unterstützt | ✅ Unterstützt |
| Windows Server 2019 | ❌ Nicht unterstützt | ✅ Unterstützt | ✅ Unterstützt |
| Windows Server 2016 | ❌ Nicht unterstützt | ✅ Unterstützt | ✅ Unterstützt |
| Windows Server 2012 R2 | ❌ Nicht unterstützt | ❌ Nicht unterstützt | ✅ Unterstützt |
✅ Unterstützt bedeutet, dass Sie einen Domänencontroller mit dieser Windows Server-Version auf der angegebenen Gesamtstruktur- und Domänenfunktionsebene ausführen können. ❌ Nicht unterstützt bedeutet, dass Sie dies nicht können.
Note
Windows Server 2019 und Windows Server 2022 verwenden Windows Server 2016 als neueste Funktionale Ebene. Informationen zu früheren Funktionsebenen (z. B. Windows Server 2008 R2) finden Sie unter Grundlegendes zu Active Directory Domain Services (AD DS)-Funktionsebenen.
Windows Server 2025-Funktionsebenen
Sie können die folgenden Betriebssysteme als Domänencontroller (DCs) mit der Windows Server 2025-Gesamtstruktur und Domänenfunktionsebene verwenden.
- Windows Server 2025
Features für die Windows Server 2025-Gesamtstruktur- und -Domänenfunktionsebene
Die Windows Server 2025-Domänenfunktionsebene enthält alle Features, die in früheren Domänenfunktionsebenen verfügbar sind, aber auch die folgenden neuen Features:
- Optionale Funktion für 32k-Datenbankseiten. Weitere Informationen zur Verwendung der 32k-Datenbankseite finden Sie unter 32k-Datenbankseiten für Active Directory.
Weitere Informationen zu neuen Features finden Sie unter "Neuerungen" in Windows Server 2025.
Note
Windows Server 2019 und Windows Server 2022 verwenden Windows Server 2016 als die neuesten Funktionsstufen.
Windows Server 2016-Funktionsebenen
Sie können die folgenden Betriebssysteme als Domänencontroller (DCs) mit der Windows Server 2016-Gesamtstruktur und Domänenfunktionsebene verwenden.
- Windows Server 2025
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
Note
Domänen müssen DFSR als Modul zum Replizieren von SYSVOL verwenden. Weitere Informationen zur Migration zu DFSR finden Sie unter Optimierte Migration von FRS zu DFSR SYSVOL. Windows Server 2016 ist die letzte Windows Server-Version, die den Dateireplikationsdienst (File Replication Service, FRS) unterstützt. Weitere Informationen zum Umgehen dieses Problems finden Sie unter Windows Server, Version 1709, das FRS nicht mehr unterstützt .
Features für die Windows Server 2016-Gesamtstruktur- und -Domänenfunktionsebene
Alle Standardmäßigen Active Directory-Features in früheren Gesamtstrukturfunktionsebenen sind verfügbar, sowie die folgenden Features:
Alle Standardmäßigen Active Directory-Features in früheren Domänenfunktionsebenen sind verfügbar, sowie die folgenden Features:
DCs können das automatische Rolling von NTLM (New Technology LAN Manager) und anderen kennwortbasierten Geheimnissen für Benutzerkonten unterstützen, die so konfiguriert sind, dass eine PKI-Authentifizierung (Public Key Infrastructure) erforderlich ist. Diese Konfiguration wird auch als Smartcard bezeichnet, die für die interaktive Anmeldung erforderlich ist.
Domänencontroller können das Zulassen von Netzwerk-NTLM unterstützen, wenn ein Benutzer auf bestimmte, in die Domäne eingebundene Geräte beschränkt ist.
Kerberos-Clients, die sich erfolgreich bei der PKInit Freshness-Erweiterung authentifizieren, erhalten die aktuelle SID der öffentlichen Schlüsselidentität (SID).
Weitere Informationen finden Sie unter What's New in Kerberos Authentication.
Windows Server 2012 R2-Funktionsebenen
Sie können die folgenden Betriebssysteme als Domänencontroller (DCs) mit der Windows Server 2012 R2-Gesamtstruktur und Domänenfunktionsebene verwenden.
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
Features für die Windows Server 2012 R2-Gesamtstruktur- und -Domänenfunktionsebene
Alle Active Directory-Standardfeatures, alle Features der Windows Server 2012-Domänenfunktionsebene und die folgenden Features sind verfügbar:
Domänencontrollerseitiger Schutz für geschützte Benutzer: Wenn sich geschützte Benutzer:innen bei einer Windows Server 2012 R2-Domäne authentifizieren, können sie Folgendes nicht mehr ausführen:
Authentifizieren mit NTLM-Authentifizierung.
Verwenden Sie DES- oder RC4-Verschlüsselungssuiten in der Kerberos-Pre-Authentifizierung.
Delegieren Sie sie mit nicht eingeschränkter oder eingeschränkter Delegierung.
Verlängern Sie Die Benutzertickets (TGTs) über die anfängliche vierstündige Lebensdauer hinaus.
Authentifizierungsrichtlinien
- Neue gesamtstrukturbasierte Authentifizierungsrichtlinien können auf Konten angewendet werden. Die Richtlinien können steuern, von welchen Hosts aus sich ein Konto anmelden kann, und die Zugriffssteuerungsbedingungen für die Authentifizierung auf Dienste anwenden, die als Konto ausgeführt werden.
Authentifizierungsrichtliniensilos
- Ein neues gesamtstrukturbasiertes Active Directory-Objekt, das zum Klassifizieren von Konten für Authentifizierungsrichtlinien oder für die Authentifizierungsisolation verwendet werden soll. Das neue Objekt kann eine Beziehung zwischen Benutzer-, verwalteten Dienst- und Computerkonten erstellen.
Funktions- und Domänenebenen in früheren Versionen von Windows Server
Wenn Sie Funktionale Ebenen für eine frühere Version von Windows Server identifizieren möchten, z. B. Windows Server 2008 R2, finden Sie unter Grundlegendes zu Active Directory Domain Services (AD DS)-Funktionsebenen.
Verwandte Inhalte
Verwenden Sie den PowerShell-Befehl "Set-ADForestMode ", um die Funktionsebene der Gesamtstruktur zu erhöhen.
Verwenden Sie den PowerShell-Befehl "Set-ADDomainMode ", um die Domänenfunktionsebene zu erhöhen.
Weitere Informationen zum Heraufstufen der Domänen- und Gesamtstrukturfunktionsebenen finden Sie unter Erhöhen der Active Directory-Domänen- und Gesamtstrukturfunktionsebenen.