Windows 2019 Std. und Windows XP

Mitglied: mipo64

mipo64 (Level 1) - Jetzt verbinden

13.06.2020 um 20:05 Uhr, 942 Aufrufe, 18 Kommentare, 1 Danke

Hallo zusammen,

ich habe auf zwei Windows XP PC's eine spezielle Software, die definitv nicht unter Windows 7 oder neuer läuft.
(Also bitte keine Glaubensfrage, ich weiss, dass Windows XP ein Sicherheitsrisiko darstellt. Doch diese PC's laufen in einem kleinen Inselnetz ohne Zugang ins Internet)

Bisher lief alles an einem WIndows 2012 DC, das heißt die Domänenanmeldung funktionierte tadellos. Nun habe ich den bisherigen Windows 2012 DC auf einen Windows 2019 Std. Server in einer Testumgebung migriert, den alten W2K12 DC zu einem Mitgliedsserver heruntergestuft. Dabei selbstverständlich die Domänenfunktionsebene und Gesamtstrukturfunktionsebene auf "Windows 2012 R2" unverändert gelassen. Nach meinem Kennisstand sind diese Funktionsebenen ja nur relevant, wenn sich weitere DC in der Struktur befinden. Richtig?

Nun habe ich testhalter den WIndows XP aus der Domäne entfernt. Wenn ich diesen PC wieder in die Domäne aufnehmen möchte, erhalte ich eine Fehlermeldung:

Beim Versuch der Domäne "meinedomain" beizutreten, trat der folgende Fehler auf:
Ein interner Fehler ist aufgetreten.


Das Feature SMB 1.0/CIFS File Sharing Support ist installiert

Eine Laufwerksfreigabe kann ich einwandfrei erreichen ...


Bin für jeden hilfreichen Tip dankbar!

Viele Grüße
Michael
Mitglied: certifiedit.net
13.06.2020 um 20:08 Uhr
https://social.technet.microsoft.com/Forums/windowsserver/en-US/29bf5c6c ...

Sagt alles, oder?

Aber, warum migriert man so ein "Inselnetz" auf Server 2019? Das ist doch Widersprüchlich?

Ich denke, du solltest ein anderes Konzept erarbeiten (lassen).

Grüße
Bitte warten ..
Mitglied: tech-flare
14.06.2020 um 09:52 Uhr
Zitat von mipo64:

Hallo zusammen,

ich habe auf zwei Windows XP PC's eine spezielle Software, die definitv nicht unter Windows 7 oder neuer läuft.
Und wie viel Jahre wollt ihr das Kasperletheater noch weiterbetreiben? Auch bei uns gab es solche alten Maschinen mit Wind200 oder WinXP Anbindung.
Aber irgendwann muss auch mal Schluss sein.....die Firmen müssen verstehen, dass sie auch dort investieren müssen.

(Also bitte keine Glaubensfrage, ich weiss, dass Windows XP ein Sicherheitsrisiko darstellt. Doch diese PC's laufen in einem kleinen Inselnetz ohne Zugang ins Internet)
und dennoch hat er Zugang zum Netzwerk (DNS, DNS usw)....da reicht nur ein schöner kleiner USB Stick den ich gern mal anstecken würde und du hättest Spaß

Ps.: Falls da ein Antivirus drauf ist, ist das sicherlich stark veraltet, da dies EOL ist.

Manche müssen es erst spüren, bevor sie es merken.....Bestes Beispiel:........Domäne auf 2019 hochziehen, wenn man XP Rechner hat.....WIESO? FAIL !
Bitte warten ..
Mitglied: mipo64
14.06.2020 um 13:52 Uhr
Hallo zusammen,

ich danke euch für die Infos. Aber insbesondere auch für den Link von "certified.net" ....

Es macht keinen Sinn, es ist verständlich aber im Moment nicht anders zu handhaben. Auch mit einem Oldtimer auf der Autobahn zu fahren ist lebensgefährlich. Der hat weder eine Knautschzone noch Airbags .... - Ich weiß, jedes Beispiel ist blöd, aber ich bin mir bewusst, dass es gefähr-
lich ist.

Mal abgesehen von ausgiebigen Tests, würde denn Windows Server 2016 noch mit Windows XP zusammenlaufen? Was wäre der Windows Server,
der den Domänenbeitritt von XP noch unterstützt. Abgesehen vom Server 2008 R2, der ist ja auch EOL und soll ersetzt werden.

Gruß
Michael
Bitte warten ..
Mitglied: certifiedit.net
14.06.2020 um 14:28 Uhr
Hallo Michael,

du arbeitest immer noch am Kreis...

Oldtimer fahren aber - um bei deinem Beispiel zu bleiben - selten als Geschäftswagen, zu dem dürfte dir die BG einiges erzählen, wenn du deine Leute in einem 1950er VW zum Kunden fahren lässt.

Wie gesagt, Ich denke, du solltest ein anderes Konzept erarbeiten (lassen). Wenn du magst, klopf einfach an.

Grüße,

Christian
certifiedit.net
Bitte warten ..
Mitglied: tech-flare
14.06.2020 um 14:43 Uhr
Mal abgesehen von ausgiebigen Tests, würde denn Windows Server 2016 noch mit Windows XP zusammenlaufen? Was wäre der Windows Server,
der den Domänenbeitritt von XP noch unterstützt. Abgesehen vom Server 2008 R2, der ist ja auch EOL und soll ersetzt werden.
2012R2.

Aber da ist 2023 auch Schluss.
Bitte warten ..
Mitglied: mipo64
14.06.2020 um 15:04 Uhr
Hallo zusammen,

in der Tat ist die (temporäre) Lösung, einen zweiten W2K12 AD "mitlaufen" zu lassen.
Nicht schön, aber eine pragmatische Lösung.


Vielen Dank nochmals für eure Tips ...

Gruß
Michael
Bitte warten ..
Mitglied: Lochkartenstanzer
14.06.2020 um 17:46 Uhr
Moin,

Meine Erfahrung ist: Wenn man alte Betriebssysteme am laufen halten will, muß man auch für das passende Ökosystem sorgen. Dies macht man, indem man entweder die alten Windows-Server auch weiterlaufen läßt, oder einfach ein linux-System mit Samba zu Hilfe nimmt, daß zwischen den verschiedenen Welten von MS übersetzt.

Man muß natürllich peinlichst dartauf achten, daß solche Ökosysteme sehr empfindlich sind und daher peinlichst von der Außenwelt abgeschottet werden müssen.

lks

PS: Für die Kollegen, die meinen mal locker flockig sechs bis siebenstellige Beträge für eine Aktualisierung einiger weniger Systeme von XP auf Windows 10 ausgeben zu müssen:

Ein Investition, die die die Firma in finanzielle Schwierigkeiten bringt ist nicht immer sinnvoll und wirtschaftlich.
Bitte warten ..
Mitglied: certifiedit.net
14.06.2020 um 17:53 Uhr
PS: Für die Kollegen, die meinen mal locker flockig sechs bis siebenstellige Beträge für eine Aktualisierung einiger weniger Systeme von XP auf Windows 10 ausgeben zu müssen:

Davon hat doch keiner gesprochen, wir sprechen natürlich mindestens von 12-13 stelligen Beträgen, wir sind schliesslich gute Bundesbürger.
Bitte warten ..
Mitglied: tech-flare
14.06.2020, aktualisiert um 19:11 Uhr
PS: Für die Kollegen, die meinen mal locker flockig sechs bis siebenstellige Beträge für eine Aktualisierung einiger weniger Systeme von XP auf Windows 10 ausgeben zu müssen:

Ein Investition, die die die Firma in finanzielle Schwierigkeiten bringt ist nicht immer sinnvoll und wirtschaftlich.

So darf man das nicht sehen... denn wenn hier banale Fragen gestellt werden mit welcher Server Version WinXP kompatibel ist, gehe ich davon aus, dass die Kollegen deinen Vorschlag für ein eigenes abgeschottetes Ökosystem nicht allein bewerkstelligen können.... und wenn dann alle anderen System durch die XP Rechner kompromittiert werden, reichen schnell mal locker 5-6 stellige Beträge nicht mehr aus.

Ich denke dann nur an die 1.000 MA bei uns welche dann nicht arbeiten könnten.
Bitte warten ..
Mitglied: certifiedit.net
14.06.2020 um 19:04 Uhr
Lochkartenstanzer ist mittlerweile ein Verfechter vom Standpunkt, er arbeitet umsonst, alles arbeiten kostenlos. Daher darf es natürlich auch nur Linux sein, denn das kostet nichts.
Bitte warten ..
Mitglied: GrueneSosseMitSpeck
14.06.2020, aktualisiert um 19:08 Uhr
ach Leute... der Kollege hat ein Problem daß sein XP Client keine Anmeldung an der 2019 Domäne machen kann und aus irgendwelchen Gründen die Migration der XP Software nicht geht. Wir hatten auch mal ein Problem, daß einige XP-Rechner bei uns eine Lizenz für die "Infragistics Ultrabar" hatten, dann ging Infagistics pleite und man konnte keinen neuen Rechner mehr lizensieren, aber für die eine lebenswichtige Komponente in der Software , die mein Brötchengeber herstellt, mußten wir die Betriebsrechner weiter am Leben erhalten, zuguterletzt als VM. Shit happens, everywhere. Wir hatten damals als kleine Firma am Rande der Insolvenz auch andere Probleme.

Daß die Domänenanmeldung nicht geht (und der Domänenbeitritt ja auch nicht, hat verschiedene Gründe die man alle nacheinander abklappern muß.
Seit 2012R2 ist ein Microsoft DNS Server in der Domäne Pflicht, ältere DCs haben sowas auch noch per Netbios Broadcast akzeptiert.

Auch setz 2019 OOTB und 2016 seit ca. 2 Jahren mit einem Update stillschweigend vorraus, daß alle Clients NLA beherrschen (Interpretation einer NICHT GESETZTEN GPO zuungunsten von Altsystemen) und die Anmeldung wird verweigert wenn der Client kein NLA kann. Und xP kann das definitv nicht.

Auch gibts wohl in den Gruppenrichtlinien noch weitere Dinge, die man erst einstellen muß damit der XP Client der Domäne beitreten kann...
Bitte warten ..
Mitglied: Lochkartenstanzer
14.06.2020 um 20:03 Uhr
Zitat von certifiedit.net:

Lochkartenstanzer ist mittlerweile ein Verfechter vom Standpunkt, er arbeitet umsonst, alles arbeiten kostenlos. Daher darf es natürlich auch nur Linux sein, denn das kostet nichts.

Du verwechselst da was. Umsonst arbeiten nur die, die den mehr Dienstleistung verkaufen wollen, weil Ihre Arbeit keine Früchte trägt. Was Du meinst ist kostenlos. Das mache ich zwar auch manchmal, aber nur in besonderen Ausnahmefällen. Ansonsten gibt es immer eine Rechnung mit meist sehr großen Zahlen drauf. Nur habe ich es nicht nötig, dauernd darauf hinzuweisen, das man mich anrufen soll.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
14.06.2020 um 20:07 Uhr
Zitat von tech-flare:

So darf man das nicht sehen... denn wenn hier banale Fragen gestellt werden mit welcher Server Version WinXP kompatibel ist, gehe ich davon aus, dass die Kollegen deinen Vorschlag für ein eigenes abgeschottetes Ökosystem nicht allein bewerkstelligen können.... und wenn dann alle anderen System durch die XP Rechner kompromittiert werden, reichen schnell mal locker 5-6 stellige Beträge nicht mehr aus.

Trotzdem ist es fehl am Platz zu sagen, "Kauf Dir Windows 10" ohne zu wissen, was hinter dem XP dranhängt. Ich kenne genügend Maschinen, die man nicht so einfach auf ein aktuelles Windows umrüsten kann ohne größere Geldbeträge in die Hand zu nehmen. Da ist es manchmal sinnvoller 20k€ in die "Erhaltung des Ökosystems" zu stecken, als 200k€ oder mehr für eine ganz neues Biotop anzulegen.


lks
Bitte warten ..
Mitglied: certifiedit.net
14.06.2020 um 20:13 Uhr
Nein, war schon bewusst so.

Und über das dahinterstehende kann man sich Gedanken machen wenn man eingeweiht wird. Das hier zu tun ist zwar kostenlos, aber auch (sic!) Umsonst.

Manchmal ist aber nicht das geld das entscheidende sondern der "politische" Wille, da hilft es dann nicht auf Geld oder Schönwetter zu machen. Hatte ich bspw "erst" bei so einem XP Projekt.
Bitte warten ..
Mitglied: mipo64
14.06.2020, aktualisiert um 23:07 Uhr
Hallo,

nun das hatte ich nicht erwartet, dass meine Anfrage auf solch rege Teilnahme stößt ...

Manche von euch wie "Lochkartenstanzer", "GrueneSoßemitSpeck" usw. haben die Situation schon richtig erkannt. Es ist ein echtes Problem, wenn eine schweineteure Maschine die anstandslos ihren Dienst verrichtet, verschrottet werden muss, nur weil das Betriebssystem des Domänencotrollers keinen Domänenbeitritt mehr zulässt. Der Hersteller müsste im Idealfall liefern, aber wenn es den nicht mehr gibt? Das muss man mal dem Geschäftsführer verkaufen für einen laufende Maschine ein paar Hunderttausend Euro auszugeben. Gerade in Zeiten von Corona und der daraus durchaus wahrscheinlichen Pleitewelle ist jeder natürlich bereit Geld rauszuhauen ...

Wohlgemerkt, es geht hier um eine kleine Firma ...

Ich weiß von einem Unternehmen, für das ich als Consultant bei einer älteren Programmiersprache tätig war, das diese haufenweise alte Mainboards und PC Komponenten hortete nur damit die kritische Steuerungscomputer die für eine komplexe Maschinensteuerung zuständig sind, laufen können. Bei dieser Firma spielt Geld keine Rolle, die Maschinen kosten Millionen und die Software lief unter Windows XP ... Ursprünglich programmiert unter MS-DOS ...

Aber zurück zum eigentlichen Thema. Ich habe bisher nicht den Grund irgendwo recherchieren können warum Windows 2019 den Domänenbeitritt verhindert. Welche Protokolle, Dienste, Verschlüsselungsverfahren sind umgestellt worden bzw. weggefallen. Warum kann ich, mit einem voll gepatchten Windows XP und einem als zweiten AD DC installierten Windows 2012 R2 Server der Domäne beitreten?

Habt ihr hier weiterführende Informationen?

Viele Grüße + Dank
Michael
Bitte warten ..
Mitglied: Lochkartenstanzer
14.06.2020 um 21:41 Uhr
Zitat von mipo64:

Aber zurück zum eigentlichen Thema. Ich habe bisher nicht den Grund irgendwo recherchieren können, was der Grund ist, warum Windows 2019 den Domänenbeitritt verhindert. Welche Protokolle, Dienste, Verschlüsselungsverfahren sind umgestellt worden bzw. weggefallen. Warum kann ich, mit einem voll gepatchten Windows XP und einem als zweiten AD DC installierten Windows 2012 R2 Server der Domäne beitreten?

Habt ihr hier weiterführende Informationen?

Das nicht, aber eine Vermutung:

Nachdem XP schon sehr lange aus dem Support draußen ist, haben die in 2016 und 2019 einfach nicht mehr Wert drauf gelegt, ob das damit noch funktioniert. Böse Zungen würden behaupten, das wäre sogar Absicht.

2012R2 war noch "nahe genug dran", d.h. im Supportzeitraum daß MS da sich die Kunden vergrault hätte, wenn sie das abgestellt hätten.

Also damit leben oder Upgraden.

lks
Bitte warten ..
Mitglied: GrueneSosseMitSpeck
15.06.2020, aktualisiert um 00:56 Uhr
Bin gerade im Zwangsurlaub, und hab das mal kurz nachgebaut. Beim Promoten eines 2019 zum DC kommt NUR die Meldung, daß das "functional level" den Domänenbeitritt erst ab Windows NT 4.0 erlaubt. Nun, warum soll das dann mit XP nicht gehn? XP kam 6 oder 7 Jahre nach NT 4.

Meine Lösung war für meinen Server 2019 (mit Januar 2020 Updatstand) und einem XP SP3 ohne jegliche Updates:

- SMB 1.0 feature am DC unter 2019 aktiviert
- WinS Server Feature aktiviert (bin mir aber nicht sicher ob es das war)
- Zeitzone und Zeit korrekt eingestellt. Bei mir manuell, aber in Produktivdomänen tut man gut daran, einen NTP (Zeitserver) aufzusezten und per GPO zu forcieren. Ab 2016 gibts irgendein Rungezicke von allerlei Diensten (vom SCCM kenn ich das allzu gut) wenn die Uhrzeiten zwischen Client und Server allzusehr differeieren. Manchmal übersieht man daß man zwar die korrekte Zeit sieht, aber UTC dann doch falsch ist... bei mir wars definitiv falsche Zeitzone plus eine um 10 Stunden vorgestellte Uhr.

Danach ging der Domain join UND auch danach die Anmeldung mit netbiosdomain\administrator

Beim Versuch eines Domänenbeitritts in der Rohform gabs "es ist ein Fehler aufgetreten" mit dem Versuch, den Netbios Namen zu nehmen und mit dem richtigen Domänennamen ein "Die Domäne ist nicht mehr verfügbar". Aber in beiden Fälllen kamen von Windows selbst keine sinnvollen Fehlermeldungen, die man hätte weiterverfolgen können.

Dafür gabs den Hinweis das SMB 1.0 zu aktivieren, und ich weiß nicht ob der WinS noch was dazu beiträgt.

Edit:
@Lochkartenstanzer (mein Vater hat tatsächlich Lochkarten und Lochstreifen gestanzt ) out of the Box scheint der Domainjoin bis Server 2016 noch zu gehen, baut man aber ein AD mit 2016er Level auf einem Server 2019 auf dann gehts nicht.
Bitte warten ..
Mitglied: Lochkartenstanzer
15.06.2020 um 09:46 Uhr
Zitat von GrueneSosseMitSpeck:

- SMB 1.0 feature am DC unter 2019 aktiviert

Laut TO hat er das Feature ja installiert (und ich nehme auch an aktiviert. ).

- WinS Server Feature aktiviert (bin mir aber nicht sicher ob es das war)

Wenn DNS korrekt konfiguriert ist, wird Wins eigentlich nicht benötigt. Man kann natürlich mit Wins einiges vereinfachen, vor allem bei so alten Kisten.

- Zeitzone und Zeit korrekt eingestellt. Bei mir manuell, aber in Produktivdomänen tut man gut daran, einen NTP (Zeitserver) aufzusezten und per GPO zu forcieren. Ab 2016 gibts irgendein Rungezicke von allerlei Diensten (vom SCCM kenn ich das allzu gut) wenn die Uhrzeiten zwischen Client und Server allzusehr differeieren. Manchmal übersieht man daß man zwar die korrekte Zeit sieht, aber UTC dann doch falsch ist... bei mir wars definitiv falsche Zeitzone plus eine um 10 Stunden vorgestellte Uhr.

Deswegen setzt man alle Systeme immer auf UTC und London.

Dafür gabs den Hinweis das SMB 1.0 zu aktivieren, und ich weiß nicht ob der WinS noch was dazu beiträgt.

Man sollte mit aktivieren von SMBv1 insbesondere auf zentralen DCs vorsichtig sein. Ein veraltetes Biotop bnötigt imerm ein angepaßtes Ökosystem, daß vom aktuellen getrennt sein sollte und nur über definierte Schnittstellen kommuniziert.

Das XP & Co gehört in eine extra-Zone die auch ihren eigenen DC hat. Der kann ruhig ein RODC oder ein Samba-DC sein, der sich mit anderen DCs abgleicht, aber außer mit den anderen DCs mit niemand anderem außerhalb seiner Zone redet. Bei diesem kann man dann smbv1 aktivieren ohne die anderen DCs zu gefährden.

Ansonsten droht einem Ungemach, siehe z.B. https://blog.stealthbits.com/what-is-smbv1-and-why-you-should-disable-it ...


Edit:
@Lochkartenstanzer (mein Vater hat tatsächlich Lochkarten und Lochstreifen gestanzt )

Ja, das waren noch Zeiten. Das hat unheimlich zu Genauigkeit und Sorgfalt erzogen, weil man da nicht einfach schnell verbessern konnte.

out of the Box scheint der Domainjoin bis Server 2016 noch zu gehen, baut man aber ein AD mit 2016er Level auf einem Server 2019 auf dann gehts nicht.

Wie ich schon sagte. MS dürfte da überhaupt kein Interesse mehr haben, daß es funktioniert, weil XP auch aus dem extendende extended Support raus ist. Mich wundert es, daß 2016 überhaupt damit geht.
Bitte warten ..
Heiß diskutierte Inhalte
Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaFrageUbuntu37 Kommentare

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

Multimedia
Fernseher im Empfang GEMA-pflichtig?
CaptainDuskyFrageMultimedia27 Kommentare

Guten Tag, wenn ich in einer Firma einen Fernseher im Empfang betreibe, dort aber nur Nachrichten laufen lasse, ist ...

LAN, WAN, Wireless
Wlan Messgerät
gelöst fizlibuzliFrageLAN, WAN, Wireless23 Kommentare

Hallo, gibt es erschwingliche Messgeräte um vorhanden W-Lan ausleuchtungen in ihrer Signalstärke und Bandbreite zu messen. Es sollen einfache ...

Microsoft
Failover Cluster Network
samreinFrageMicrosoft21 Kommentare

Hallo zusammen, toller Freitag heute vielleicht kann mir jemand unter die Arme greifen. Ich habe einen Failover Cluster gebaut. ...

Windows Server
PowerShell Script für MailVersand mit Anhang
gelöst klausk94FrageWindows Server20 Kommentare

Hallo Zusammen, ich bin aktuell etwas am verzweifeln an einem PS Script für den Emailversand Das Script funktioniert, jedoch ...

Router & Routing
Kaufempfehlung WLAN Router mit VLAN Unterstützung
ccreccFrageRouter & Routing20 Kommentare

Hallo zusammen, ich wollte mal nach einer Kaufempfehlung für einen WLAN Access Point mit halbwegs vernünftiger VLAN Unterstützung fragen. ...

Ähnliche Inhalte
Windows Server

Domäne mit Essentials 2019 DC - Server 2019 Std als Mitgliedsserver

rudi222FrageWindows Server14 Kommentare

Hi! Es soll eine Domäne mit Server Essentials 2019 aufgesetzt werden. Dazu wird ein Hyper-V Host für 3 oder ...

Windows Server

Fehler Windows Server Sicherung Server 2019 STD - ID 513 ID 517

gelöst Rob2611FrageWindows Server1 Kommentar

Hallo zusammen, vielleicht hat ja noch einer eine Idee. Seit einem Windows-Update am 09.04.2020 ( KB4538156) funktioniert die Windows ...

Windows Server

Windows Server 2019 mit Exchange 2019

netshapeFrageWindows Server2 Kommentare

Hallo, Bin gerade dabei unsere Server neu einzurichten und die Frage Windows Server 2019 mit Exchange 2019 oder Windows ...

Windows Server

Backup Windows Server 2019

CMP0001FrageWindows Server16 Kommentare

Hallo ich überlege einen neuen Server anzuschaffen. Nachdem ich nun viele Informationen gelsen, gesehen, gehört habe, wird es ein ...

Windows Server

Lizensierung Windows Server 2019

gelöst fips82FrageWindows Server9 Kommentare

Hallo zusammen, Ich bin ein "Hobby-Admin" in einer Retttungsorganisation und habe eine Frage zur Lizensierung unseres Servers. Kurz zu ...

Windows Server

Printserver MS Windows Server 2019 und Windows XP Client keine Verbindung

Haezer89FrageWindows Server4 Kommentare

Hallo liebe Gemeinde, Ich muss jetzt endlich mal fragen weil ich leider nicht weiterkomme. Ich habe unseren FS Windows ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT