mipo64
Goto Top

Windows 2019 Std. und Windows XP

Hallo zusammen,

ich habe auf zwei Windows XP PC's eine spezielle Software, die definitv nicht unter Windows 7 oder neuer läuft.
(Also bitte keine Glaubensfrage, ich weiss, dass Windows XP ein Sicherheitsrisiko darstellt. Doch diese PC's laufen in einem kleinen Inselnetz ohne Zugang ins Internet)

Bisher lief alles an einem WIndows 2012 DC, das heißt die Domänenanmeldung funktionierte tadellos. Nun habe ich den bisherigen Windows 2012 DC auf einen Windows 2019 Std. Server in einer Testumgebung migriert, den alten W2K12 DC zu einem Mitgliedsserver heruntergestuft. Dabei selbstverständlich die Domänenfunktionsebene und Gesamtstrukturfunktionsebene auf "Windows 2012 R2" unverändert gelassen. Nach meinem Kennisstand sind diese Funktionsebenen ja nur relevant, wenn sich weitere DC in der Struktur befinden. Richtig?

Nun habe ich testhalter den WIndows XP aus der Domäne entfernt. Wenn ich diesen PC wieder in die Domäne aufnehmen möchte, erhalte ich eine Fehlermeldung:

Beim Versuch der Domäne "meinedomain" beizutreten, trat der folgende Fehler auf:
Ein interner Fehler ist aufgetreten.


Das Feature SMB 1.0/CIFS File Sharing Support ist installiert

Eine Laufwerksfreigabe kann ich einwandfrei erreichen ...


Bin für jeden hilfreichen Tip dankbar!

Viele Grüße
Michael

Content-ID: 579111

Url: https://administrator.de/contentid/579111

Ausgedruckt am: 23.11.2024 um 20:11 Uhr

certifiedit.net
certifiedit.net 13.06.2020 um 20:08:13 Uhr
Goto Top
https://social.technet.microsoft.com/Forums/windowsserver/en-US/29bf5c6c ...

Sagt alles, oder?

Aber, warum migriert man so ein "Inselnetz" auf Server 2019? Das ist doch Widersprüchlich?

Ich denke, du solltest ein anderes Konzept erarbeiten (lassen).

Grüße
tech-flare
tech-flare 14.06.2020 um 09:52:01 Uhr
Goto Top
Zitat von @mipo64:

Hallo zusammen,

ich habe auf zwei Windows XP PC's eine spezielle Software, die definitv nicht unter Windows 7 oder neuer läuft.
Und wie viel Jahre wollt ihr das Kasperletheater noch weiterbetreiben? Auch bei uns gab es solche alten Maschinen mit Wind200 oder WinXP Anbindung.
Aber irgendwann muss auch mal Schluss sein.....die Firmen müssen verstehen, dass sie auch dort investieren müssen.

(Also bitte keine Glaubensfrage, ich weiss, dass Windows XP ein Sicherheitsrisiko darstellt. Doch diese PC's laufen in einem kleinen Inselnetz ohne Zugang ins Internet)
und dennoch hat er Zugang zum Netzwerk (DNS, DNS usw)....da reicht nur ein schöner kleiner USB Stick den ich gern mal anstecken würde und du hättest Spaß face-smile

Ps.: Falls da ein Antivirus drauf ist, ist das sicherlich stark veraltet, da dies EOL ist.

Manche müssen es erst spüren, bevor sie es merken.....Bestes Beispiel:........Domäne auf 2019 hochziehen, wenn man XP Rechner hat.....WIESO? FAIL !
mipo64
mipo64 14.06.2020 um 13:52:44 Uhr
Goto Top
Hallo zusammen,

ich danke euch für die Infos. Aber insbesondere auch für den Link von "certified.net" ....

Es macht keinen Sinn, es ist verständlich aber im Moment nicht anders zu handhaben. Auch mit einem Oldtimer auf der Autobahn zu fahren ist lebensgefährlich. Der hat weder eine Knautschzone noch Airbags .... - Ich weiß, jedes Beispiel ist blöd, aber ich bin mir bewusst, dass es gefähr-
lich ist.

Mal abgesehen von ausgiebigen Tests, würde denn Windows Server 2016 noch mit Windows XP zusammenlaufen? Was wäre der Windows Server,
der den Domänenbeitritt von XP noch unterstützt. Abgesehen vom Server 2008 R2, der ist ja auch EOL und soll ersetzt werden.

Gruß
Michael
certifiedit.net
certifiedit.net 14.06.2020 um 14:28:21 Uhr
Goto Top
Hallo Michael,

du arbeitest immer noch am Kreis...

Oldtimer fahren aber - um bei deinem Beispiel zu bleiben - selten als Geschäftswagen, zu dem dürfte dir die BG einiges erzählen, wenn du deine Leute in einem 1950er VW zum Kunden fahren lässt.

Wie gesagt, Ich denke, du solltest ein anderes Konzept erarbeiten (lassen). Wenn du magst, klopf einfach an.

Grüße,

Christian
certifiedit.net
tech-flare
tech-flare 14.06.2020 um 14:43:05 Uhr
Goto Top
Mal abgesehen von ausgiebigen Tests, würde denn Windows Server 2016 noch mit Windows XP zusammenlaufen? Was wäre der Windows Server,
der den Domänenbeitritt von XP noch unterstützt. Abgesehen vom Server 2008 R2, der ist ja auch EOL und soll ersetzt werden.
2012R2.

Aber da ist 2023 auch Schluss.
mipo64
mipo64 14.06.2020 um 15:04:47 Uhr
Goto Top
Hallo zusammen,

in der Tat ist die (temporäre) Lösung, einen zweiten W2K12 AD "mitlaufen" zu lassen.
Nicht schön, aber eine pragmatische Lösung.


Vielen Dank nochmals für eure Tips ...

Gruß
Michael
Lochkartenstanzer
Lochkartenstanzer 14.06.2020 um 17:46:31 Uhr
Goto Top
Moin,

Meine Erfahrung ist: Wenn man alte Betriebssysteme am laufen halten will, muß man auch für das passende Ökosystem sorgen. Dies macht man, indem man entweder die alten Windows-Server auch weiterlaufen läßt, oder einfach ein linux-System mit Samba zu Hilfe nimmt, daß zwischen den verschiedenen Welten von MS übersetzt. face-smile

Man muß natürllich peinlichst dartauf achten, daß solche Ökosysteme sehr empfindlich sind und daher peinlichst von der Außenwelt abgeschottet werden müssen.

lks

PS: Für die Kollegen, die meinen mal locker flockig sechs bis siebenstellige Beträge für eine Aktualisierung einiger weniger Systeme von XP auf Windows 10 ausgeben zu müssen:

Ein Investition, die die die Firma in finanzielle Schwierigkeiten bringt ist nicht immer sinnvoll und wirtschaftlich.
certifiedit.net
certifiedit.net 14.06.2020 um 17:53:48 Uhr
Goto Top
PS: Für die Kollegen, die meinen mal locker flockig sechs bis siebenstellige Beträge für eine Aktualisierung einiger weniger Systeme von XP auf Windows 10 ausgeben zu müssen:

Davon hat doch keiner gesprochen, wir sprechen natürlich mindestens von 12-13 stelligen Beträgen, wir sind schliesslich gute Bundesbürger.
tech-flare
tech-flare 14.06.2020 aktualisiert um 19:11:54 Uhr
Goto Top
PS: Für die Kollegen, die meinen mal locker flockig sechs bis siebenstellige Beträge für eine Aktualisierung einiger weniger Systeme von XP auf Windows 10 ausgeben zu müssen:

Ein Investition, die die die Firma in finanzielle Schwierigkeiten bringt ist nicht immer sinnvoll und wirtschaftlich.

So darf man das nicht sehen... denn wenn hier banale Fragen gestellt werden mit welcher Server Version WinXP kompatibel ist, gehe ich davon aus, dass die Kollegen deinen Vorschlag für ein eigenes abgeschottetes Ökosystem nicht allein bewerkstelligen können.... und wenn dann alle anderen System durch die XP Rechner kompromittiert werden, reichen schnell mal locker 5-6 stellige Beträge nicht mehr aus.

Ich denke dann nur an die 1.000 MA bei uns welche dann nicht arbeiten könnten.
certifiedit.net
certifiedit.net 14.06.2020 um 19:04:58 Uhr
Goto Top
Lochkartenstanzer ist mittlerweile ein Verfechter vom Standpunkt, er arbeitet umsonst, alles arbeiten kostenlos. Daher darf es natürlich auch nur Linux sein, denn das kostet nichts.
GrueneSosseMitSpeck
GrueneSosseMitSpeck 14.06.2020 aktualisiert um 19:08:53 Uhr
Goto Top
ach Leute... der Kollege hat ein Problem daß sein XP Client keine Anmeldung an der 2019 Domäne machen kann und aus irgendwelchen Gründen die Migration der XP Software nicht geht. Wir hatten auch mal ein Problem, daß einige XP-Rechner bei uns eine Lizenz für die "Infragistics Ultrabar" hatten, dann ging Infagistics pleite und man konnte keinen neuen Rechner mehr lizensieren, aber für die eine lebenswichtige Komponente in der Software , die mein Brötchengeber herstellt, mußten wir die Betriebsrechner weiter am Leben erhalten, zuguterletzt als VM. Shit happens, everywhere. Wir hatten damals als kleine Firma am Rande der Insolvenz auch andere Probleme.

Daß die Domänenanmeldung nicht geht (und der Domänenbeitritt ja auch nicht, hat verschiedene Gründe die man alle nacheinander abklappern muß.
Seit 2012R2 ist ein Microsoft DNS Server in der Domäne Pflicht, ältere DCs haben sowas auch noch per Netbios Broadcast akzeptiert.

Auch setz 2019 OOTB und 2016 seit ca. 2 Jahren mit einem Update stillschweigend vorraus, daß alle Clients NLA beherrschen (Interpretation einer NICHT GESETZTEN GPO zuungunsten von Altsystemen) und die Anmeldung wird verweigert wenn der Client kein NLA kann. Und xP kann das definitv nicht.

Auch gibts wohl in den Gruppenrichtlinien noch weitere Dinge, die man erst einstellen muß damit der XP Client der Domäne beitreten kann...
Lochkartenstanzer
Lochkartenstanzer 14.06.2020 um 20:03:03 Uhr
Goto Top
Zitat von @certifiedit.net:

Lochkartenstanzer ist mittlerweile ein Verfechter vom Standpunkt, er arbeitet umsonst, alles arbeiten kostenlos. Daher darf es natürlich auch nur Linux sein, denn das kostet nichts.

Du verwechselst da was. Umsonst arbeiten nur die, die den mehr Dienstleistung verkaufen wollen, weil Ihre Arbeit keine Früchte trägt. Was Du meinst ist kostenlos. Das mache ich zwar auch manchmal, aber nur in besonderen Ausnahmefällen. Ansonsten gibt es immer eine Rechnung mit meist sehr großen Zahlen drauf. Nur habe ich es nicht nötig, dauernd darauf hinzuweisen, das man mich anrufen soll.

lks
Lochkartenstanzer
Lochkartenstanzer 14.06.2020 um 20:07:12 Uhr
Goto Top
Zitat von @tech-flare:

So darf man das nicht sehen... denn wenn hier banale Fragen gestellt werden mit welcher Server Version WinXP kompatibel ist, gehe ich davon aus, dass die Kollegen deinen Vorschlag für ein eigenes abgeschottetes Ökosystem nicht allein bewerkstelligen können.... und wenn dann alle anderen System durch die XP Rechner kompromittiert werden, reichen schnell mal locker 5-6 stellige Beträge nicht mehr aus.

Trotzdem ist es fehl am Platz zu sagen, "Kauf Dir Windows 10" ohne zu wissen, was hinter dem XP dranhängt. Ich kenne genügend Maschinen, die man nicht so einfach auf ein aktuelles Windows umrüsten kann ohne größere Geldbeträge in die Hand zu nehmen. Da ist es manchmal sinnvoller 20k€ in die "Erhaltung des Ökosystems" zu stecken, als 200k€ oder mehr für eine ganz neues Biotop anzulegen.


lks
certifiedit.net
certifiedit.net 14.06.2020 um 20:13:42 Uhr
Goto Top
Nein, war schon bewusst so.

Und über das dahinterstehende kann man sich Gedanken machen wenn man eingeweiht wird. Das hier zu tun ist zwar kostenlos, aber auch (sic!) Umsonst.

Manchmal ist aber nicht das geld das entscheidende sondern der "politische" Wille, da hilft es dann nicht auf Geld oder Schönwetter zu machen. Hatte ich bspw "erst" bei so einem XP Projekt.
mipo64
mipo64 14.06.2020 aktualisiert um 23:07:56 Uhr
Goto Top
Hallo,

nun das hatte ich nicht erwartet, dass meine Anfrage auf solch rege Teilnahme stößt ...

Manche von euch wie "Lochkartenstanzer", "GrueneSoßemitSpeck" usw. haben die Situation schon richtig erkannt. Es ist ein echtes Problem, wenn eine schweineteure Maschine die anstandslos ihren Dienst verrichtet, verschrottet werden muss, nur weil das Betriebssystem des Domänencotrollers keinen Domänenbeitritt mehr zulässt. Der Hersteller müsste im Idealfall liefern, aber wenn es den nicht mehr gibt? Das muss man mal dem Geschäftsführer verkaufen für einen laufende Maschine ein paar Hunderttausend Euro auszugeben. Gerade in Zeiten von Corona und der daraus durchaus wahrscheinlichen Pleitewelle ist jeder natürlich bereit Geld rauszuhauen ...

Wohlgemerkt, es geht hier um eine kleine Firma ...

Ich weiß von einem Unternehmen, für das ich als Consultant bei einer älteren Programmiersprache tätig war, das diese haufenweise alte Mainboards und PC Komponenten hortete nur damit die kritische Steuerungscomputer die für eine komplexe Maschinensteuerung zuständig sind, laufen können. Bei dieser Firma spielt Geld keine Rolle, die Maschinen kosten Millionen und die Software lief unter Windows XP ... Ursprünglich programmiert unter MS-DOS ...

Aber zurück zum eigentlichen Thema. Ich habe bisher nicht den Grund irgendwo recherchieren können warum Windows 2019 den Domänenbeitritt verhindert. Welche Protokolle, Dienste, Verschlüsselungsverfahren sind umgestellt worden bzw. weggefallen. Warum kann ich, mit einem voll gepatchten Windows XP und einem als zweiten AD DC installierten Windows 2012 R2 Server der Domäne beitreten?

Habt ihr hier weiterführende Informationen?

Viele Grüße + Dank
Michael
Lochkartenstanzer
Lochkartenstanzer 14.06.2020 um 21:41:23 Uhr
Goto Top
Zitat von @mipo64:

Aber zurück zum eigentlichen Thema. Ich habe bisher nicht den Grund irgendwo recherchieren können, was der Grund ist, warum Windows 2019 den Domänenbeitritt verhindert. Welche Protokolle, Dienste, Verschlüsselungsverfahren sind umgestellt worden bzw. weggefallen. Warum kann ich, mit einem voll gepatchten Windows XP und einem als zweiten AD DC installierten Windows 2012 R2 Server der Domäne beitreten?

Habt ihr hier weiterführende Informationen?

Das nicht, aber eine Vermutung:

Nachdem XP schon sehr lange aus dem Support draußen ist, haben die in 2016 und 2019 einfach nicht mehr Wert drauf gelegt, ob das damit noch funktioniert. Böse Zungen würden behaupten, das wäre sogar Absicht. face-smile

2012R2 war noch "nahe genug dran", d.h. im Supportzeitraum daß MS da sich die Kunden vergrault hätte, wenn sie das abgestellt hätten.

Also damit leben oder Upgraden. face-sad

lks
GrueneSosseMitSpeck
GrueneSosseMitSpeck 15.06.2020 aktualisiert um 00:56:39 Uhr
Goto Top
Bin gerade im Zwangsurlaub, und hab das mal kurz nachgebaut. Beim Promoten eines 2019 zum DC kommt NUR die Meldung, daß das "functional level" den Domänenbeitritt erst ab Windows NT 4.0 erlaubt. Nun, warum soll das dann mit XP nicht gehn? XP kam 6 oder 7 Jahre nach NT 4.

Meine Lösung war für meinen Server 2019 (mit Januar 2020 Updatstand) und einem XP SP3 ohne jegliche Updates:

- SMB 1.0 feature am DC unter 2019 aktiviert
- WinS Server Feature aktiviert (bin mir aber nicht sicher ob es das war)
- Zeitzone und Zeit korrekt eingestellt. Bei mir manuell, aber in Produktivdomänen tut man gut daran, einen NTP (Zeitserver) aufzusezten und per GPO zu forcieren. Ab 2016 gibts irgendein Rungezicke von allerlei Diensten (vom SCCM kenn ich das allzu gut) wenn die Uhrzeiten zwischen Client und Server allzusehr differeieren. Manchmal übersieht man daß man zwar die korrekte Zeit sieht, aber UTC dann doch falsch ist... bei mir wars definitiv falsche Zeitzone plus eine um 10 Stunden vorgestellte Uhr.

Danach ging der Domain join UND auch danach die Anmeldung mit netbiosdomain\administrator

Beim Versuch eines Domänenbeitritts in der Rohform gabs "es ist ein Fehler aufgetreten" mit dem Versuch, den Netbios Namen zu nehmen und mit dem richtigen Domänennamen ein "Die Domäne ist nicht mehr verfügbar". Aber in beiden Fälllen kamen von Windows selbst keine sinnvollen Fehlermeldungen, die man hätte weiterverfolgen können.

Dafür gabs den Hinweis das SMB 1.0 zu aktivieren, und ich weiß nicht ob der WinS noch was dazu beiträgt.

Edit:
@Lochkartenstanzer (mein Vater hat tatsächlich Lochkarten und Lochstreifen gestanzt face-smile ) out of the Box scheint der Domainjoin bis Server 2016 noch zu gehen, baut man aber ein AD mit 2016er Level auf einem Server 2019 auf dann gehts nicht.
Lochkartenstanzer
Lochkartenstanzer 15.06.2020 um 09:46:45 Uhr
Goto Top
Zitat von @GrueneSosseMitSpeck:

- SMB 1.0 feature am DC unter 2019 aktiviert

Laut TO hat er das Feature ja installiert (und ich nehme auch an aktiviert. face-smile).

- WinS Server Feature aktiviert (bin mir aber nicht sicher ob es das war)

Wenn DNS korrekt konfiguriert ist, wird Wins eigentlich nicht benötigt. Man kann natürlich mit Wins einiges vereinfachen, vor allem bei so alten Kisten.

- Zeitzone und Zeit korrekt eingestellt. Bei mir manuell, aber in Produktivdomänen tut man gut daran, einen NTP (Zeitserver) aufzusezten und per GPO zu forcieren. Ab 2016 gibts irgendein Rungezicke von allerlei Diensten (vom SCCM kenn ich das allzu gut) wenn die Uhrzeiten zwischen Client und Server allzusehr differeieren. Manchmal übersieht man daß man zwar die korrekte Zeit sieht, aber UTC dann doch falsch ist... bei mir wars definitiv falsche Zeitzone plus eine um 10 Stunden vorgestellte Uhr.

Deswegen setzt man alle Systeme immer auf UTC und London. face-smile

Dafür gabs den Hinweis das SMB 1.0 zu aktivieren, und ich weiß nicht ob der WinS noch was dazu beiträgt.

Man sollte mit aktivieren von SMBv1 insbesondere auf zentralen DCs vorsichtig sein. Ein veraltetes Biotop bnötigt imerm ein angepaßtes Ökosystem, daß vom aktuellen getrennt sein sollte und nur über definierte Schnittstellen kommuniziert.

Das XP & Co gehört in eine extra-Zone die auch ihren eigenen DC hat. Der kann ruhig ein RODC oder ein Samba-DC sein, der sich mit anderen DCs abgleicht, aber außer mit den anderen DCs mit niemand anderem außerhalb seiner Zone redet. Bei diesem kann man dann smbv1 aktivieren ohne die anderen DCs zu gefährden.

Ansonsten droht einem Ungemach, siehe z.B. https://blog.stealthbits.com/what-is-smbv1-and-why-you-should-disable-it ...


Edit:
@Lochkartenstanzer (mein Vater hat tatsächlich Lochkarten und Lochstreifen gestanzt face-smile )

Ja, das waren noch Zeiten. Das hat unheimlich zu Genauigkeit und Sorgfalt erzogen, weil man da nicht einfach schnell verbessern konnte.

out of the Box scheint der Domainjoin bis Server 2016 noch zu gehen, baut man aber ein AD mit 2016er Level auf einem Server 2019 auf dann gehts nicht.

Wie ich schon sagte. MS dürfte da überhaupt kein Interesse mehr haben, daß es funktioniert, weil XP auch aus dem extendende extended Support raus ist. Mich wundert es, daß 2016 überhaupt damit geht.