Windows Server: 15-Zeichen-Limit treibt Admins in die Enge
Microsoft testet die Geduld vieler Windows-Server-Admins: Lange Konten-, Computer- und Passwort-Konventionen stossen reihenweise an alte 15-Zeichen-Grenzen, die in modernen AD-Setups laengst stoeren.
Wer in juengster Zeit eine groessere Active-Directory-Umgebung modernisiert hat, kennt das Problem: Lange Passwoerter, neue Namens-Konventionen fuer Server, automatisch generierte Service-Accounts – und mittendrin meldet sich Windows mit Fehlern, die auf das alte 15-Zeichen-Limit fuer NetBIOS-Namen oder bestimmte Authentifizierungs-Felder zurueckgehen. The Register hat das Thema Ende Mai 2026 erneut aufgegriffen, weil sich Admin-Beschwerden in der Community haeufen.
Hintergrund ist ein historischer Zopf: NetBIOS-Namen sind seit den 1990ern auf 15 Zeichen begrenzt, und einige Funktionen in Windows Server – darunter Teile von Kerberos-Pre-Authentication, NTLM-Workflows und alte Domain-Funktionen – setzen diese Grenze bis heute praktisch durch. Im Alltag faellt das nur auf, sobald Hostnamen aus ITSM-Tools mit Standorts- und Funktions-Codierung erzeugt werden oder Passwoerter aus modernen Vault-Loesungen zufaellig 15 Zeichen ueberschreiten.
Microsoft hat das Limit bisher nicht aufgehoben, auch nicht mit Windows Server 2025. Wer auf neuere AD-Funktionen wie die 32k-Datenbank-Seitengroesse setzt, profitiert zwar von mehr Skalierbarkeit, aber das Namens-Korsett bleibt. Fuer reine Cloud-Identitaeten in Entra ID gibt es keine vergleichbare Einschraenkung, was hybride Setups paradox macht: dieselbe Identitaet ist on-prem laenger zu schreiben verboten und in der Cloud erlaubt.
Praktisch faellt das vor allem bei zwei Szenarien auf. Erstens bei der Einfuehrung von Privileged-Access-Workstations (PAWs), wo bewusst eindeutige, sprechende Geraetenamen vergeben werden. Zweitens bei modernen Passwort-Generatoren in PAM-Loesungen wie CyberArk, BeyondTrust oder Bitwarden Secrets Manager, die out of the box Passwoerter mit 16 oder mehr Zeichen ausgeben. Wer beides kombiniert, landet schnell in Logon-Failures, die im Eventlog nur indirekt auf die Zeichenlaenge hinweisen.
Was Admins jetzt tun sollten
- Namens-Konvention fuer neue Server pruefen und auf 15 Zeichen begrenzen, falls AD-Anbindung benoetigt wird
- Service-Account-Generatoren so konfigurieren, dass der sAMAccountName 15 Zeichen nicht ueberschreitet
- Passwort-Policies in Vaults mit AD-Mindestanforderungen abgleichen, Sonderfaelle dokumentieren
- Im Rahmen von AD-Migrationen einen Audit-Lauf machen, ob bestehende Objekte trotzdem ueber 15 Zeichen haben
- Hybride Identitaeten zentral dokumentieren, damit Cloud- und On-Prem-Konventionen synchron bleiben
Fuer den DACH-Mittelstand ist die 15-Zeichen-Grenze vor allem dann ein Stolperstein, wenn Standorte stark wachsen und mehrere Werke oder Filialen mit kurzen Praefixen schnell zu Namens-Kollisionen fuehren. Wer fruehzeitig die Konvention im Active-Directory-Design beruecksichtigt, spart sich spaetere Migrationsschmerzen. Solange Microsoft das Limit nicht aufweicht, bleibt nur disziplinierte Standardisierung.
Mehr aus der Kategorie Windows Server: News aus der Kategorie Windows Server
Quellen: The Register zum 15-Zeichen-Limit, The Register zu Windows Server 2025. Abgerufen am 29.05.2026.
