Wenn ein Domänencontroller (DC) oder sogar einige Mitgliedsserver unter Windows Server 2025 nach einem Neustart ihr Netzwerkprofil von „Domäne“ auf „Öffentlich“ ändern, kann das zu Problemen führen. Besonders dann, wenn Firewall-Regeln vom richtigen Profil abhängen. Dieses Problem ist nicht ganz neu – es trat bereits in Versionen wie 2019 und 2022 auf –, aber Windows Server 2025 scheint einige zusätzliche Schwierigkeiten mit sich gebracht zu haben, beispielsweise die standardmäßige Deaktivierung der Netzwerkstandorterkennung (NLA).Im Grunde erkennt der Server seine Domänenzugehörigkeit erst, wenn man etwas dagegen unternimmt, was die Netzwerk- und Sicherheitseinstellungen beeinträchtigen kann. Im Folgenden finden Sie Lösungen, die sich in einigen Konfigurationen bewährt haben, sowie Hinweise, wie Sie sicherstellen, dass alle Server im richtigen Profil bleiben.
So beheben Sie die Netzwerkprofil-Fehlidentifizierung unter Windows Server 2025
Methode 1: Starten Sie den Netzwerkstandorterkennungsdienst neu.
Dieser altbewährte Trick hilft Windows nach einem Neustart dabei, zu erkennen: „Hey, ich bin tatsächlich in einer Domäne.“ Da der NlaSvc-Dienst (Netzwerkstandorterkennung) häufig die Ursache für den Profilwechsel ist, kann ein Neustart des Dienstes den Server dazu zwingen, seinen Netzwerktyp neu zu bewerten. Auf manchen Rechnern funktioniert dies sofort, auf anderen kann ein Neustart oder ein manueller Neustart erforderlich sein.
- Öffnen Sie PowerShell mit Administratorrechten. Falls Sie keinen direkten Konsolenzugriff haben, können Sie PowerShell auch über RDP oder WinRM verwenden.
- Laufen:
Restart-Service NlaSvc
Führen Sie nach dem Neustart den Befehl aus, Get-NetConnectionProfileum zu prüfen, ob sich das Profil auf „Domänenauthentifiziert“ geändert hat. Falls nicht, deaktivieren und aktivieren Sie den Netzwerkadapter unter „Netzwerk & Internet“ > „Netzwerkverbindungen“ oder über die Befehlszeile erneut.
Get-NetAdapterum Adapter aufzulisten, dannDisable-NetAdapter -Name "Ethernet"gefolgt vonEnable-NetAdapter -Name "Ethernet"
Dies erzwingt eine erneute Netzwerkerkennung – etwas ungewöhnlich, aber in manchen Konfigurationen funktioniert es. Vergessen Sie nicht, die Firewall-Regeln und Sicherheitsrichtlinien zu überprüfen, sobald das richtige Profil eingerichtet ist. In einer Konfiguration reichte ein schneller Neustart des Dienstes aus, in einer anderen war ein Neustart des Systems oder eine erneute Anmeldung erforderlich.
Methode 2: Netzwerkstandorterkennung aktivieren oder Einstellungen anpassen
Windows Server 2025 deaktiviert standardmäßig die Netzwerkzugriffserkennung (NLA), was etwas ungewöhnlich ist, da sie Netzwerktypen eigentlich automatisch erkennen soll. Sie lässt sich manuell über Registry-Änderungen oder Gruppenrichtlinien wieder aktivieren. Ein einfacher Trick besteht darin, einen Registry-Schlüssel zu setzen, der den Server dazu anregt, die Domänencontroller-Rolle häufiger zu erwarten.
- Öffnen Sie PowerShell als Administrator.
- Führen Sie diesen Befehl aus:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters" -Name "AlwaysExpectDomainController" -Value 1 -Type DWORD
Dies weist NlaSvc an, einen Domänencontroller zu erwarten, und sollte dem Server helfen, sich nach Neustarts korrekt zu klassifizieren. Das ist praktisch, aber beachten Sie: Sollten Sie anschließend ungewöhnliches Netzwerkverhalten feststellen, sollten Sie diese Einstellung rückgängig machen oder Ihre Netzwerkprofilrichtlinien überprüfen.
Methode 3: Beheben Sie DNS- und Netzwerkadapterprobleme, um die Zuweisung des falschen Netzwerktyps zu verhindern.
Manchmal liegt das Problem nicht nur an der Netzwerkverbindungsverwaltung (NLA), sondern auch an den DNS-Einstellungen. Wenn der Domänencontroller sich selbst als DNS-Server konfiguriert hat, reagiert er beim Systemstart möglicherweise nicht schnell genug auf DNS-Anfragen. Windows geht dann fälschlicherweise von einem öffentlichen Netzwerk aus, da die Verbindung zur Domäne nicht bestätigt werden kann. Die Lösung? Stellen Sie sicher, dass der sekundäre DNS-Server auf die anderen Domänencontroller verweist, damit die DNS-Auflösung nach dem Systemstart blitzschnell erfolgt.
Vermeiden Sie außerdem, mehrere Domänencontroller gleichzeitig neu zu starten. Verteilen Sie die Neustarts, damit DNS-Einträge und Netzwerkverbindungen Zeit haben, sich zu stabilisieren. Denn natürlich muss Windows es unnötig kompliziert machen.
Methode 4: Verwenden eines PowerShell-Skripts mit der Aufgabenplanung zur Automatisierung der Netzwerk-Neuerkennung
Das mag übertrieben erscheinen, aber wenn Sie mehrere Domänencontroller verwalten, automatisieren Sie die Fehlerbehebung mit einer geplanten Aufgabe, die auf den Start des DNS-Servers wartet und anschließend die Netzwerkadapter neu startet. Nach der Einrichtung ist diese Methode recht zuverlässig.
- Erstellen Sie eine geplante Aufgabe (ausgeführt als SYSTEM), die diesen Befehl ausführt:
powershell.exe -ExecutionPolicy Bypass -NonInteractive -WindowStyle Hidden -command "do {$status = (Get-Service dns)} until ($status. Status -eq 'Running'); Get-NetAdapter -Physical | Restart-NetAdapter"
Dieses Skript wartet geduldig, bis der DNS-Server bereit ist, und startet dann alle physischen Netzwerkadapter neu, um Windows zur Neubewertung des Netzwerkstatus zu zwingen. Sie können es per Gruppenrichtlinie auf allen Domänencontrollern verteilen oder, falls Sie es eilig haben, manuell auf jedem einzelnen ausführen. Die Ausführung erfolgt nicht immer sofort, aber in den meisten Konfigurationen behebt das Skript das Problem und sorgt für ein konsistentes Netzwerkprofil.
Ehrlich gesagt sind diese Lösungen etwas provisorisch, scheinen aber in verschiedenen Umgebungen zu funktionieren. Bei manchen Konfigurationen reicht ein einfacher Neustart des NlaSvc-Dienstes. Bei anderen sorgt eine kleine Änderung in der Registry dafür, dass der Server von Anfang an die Domäne erwartet. Und wenn DNS- oder Adapterstatus nicht stimmen, ist deren Synchronisierung meist die eigentliche Lösung. Wichtig ist Geduld – manchmal braucht der Server nur einen kleinen Anstoß, um zu erkennen, wo er hingehört.
Zusammenfassung
- Starten Sie den NlaSvc-Dienst neu, um eine erneute Auswertung des Netzwerkprofils zu erzwingen.
- Passen Sie Registrierungseinstellungen wie ‚AlwaysExpectDomainController‘ an, um die Erwartungen an die Domänenerkennung zu verschärfen.
- Stellen Sie sicher, dass die DNS-Einstellungen korrekt sind und dass nicht mehrere Neustarts gleichzeitig erfolgen.
- Verwenden Sie PowerShell-Skripte und den Aufgabenplaner zur Automatisierung, wenn Sie viele Server verwalten.
Zusammenfassung
Das Ganze ist etwas knifflig, aber die meisten Lösungen laufen darauf hinaus, den Server dazu zu bringen, seine Zugehörigkeit zur Domäne wiederzuerkennen. Ob durch manuelles Neustarten von Diensten, Anpassen von Registrierungsschlüsseln oder Skripte – diese Ansätze scheinen zu helfen, das Netzwerkprofil korrekt zu halten. Hoffentlich erspart dies einigen Systemadministratoren das ständige Hin und Her mit den Netzwerkprofilen. Es ist nicht perfekt, aber ein Anfang.