Mit den November 2022-Updates f\u00fcr Windows Server gibt es ggf. Probleme mit dem Domain-Join. Das betrifft vor allem Umgebungen, wo eventuell \u00e4ltere Windows XP-Maschinen noch in ein Netzwerk integriert sind. Ein Blog-Leser hat mich auf das Problem hingewiesen und hofft auf eine L\u00f6sung.<\/p>\n
<\/p>\n
Vorab eine Anmerkung im Hinblick auf Bemerkungen der Art \"Windows XP ist l\u00e4ngst aus dem Support gefallen\". Der Fall zeigt, wie der Teufel im Detail liegt und man Windows eigentlich in vielen Industriebereich nicht einsetzen kann!<\/p>\n
Leider gibt es die fatale Tendenz, dass Entwickler von Maschinen auf die Idee gekommen sind, Windows zur \u00dcberwachung und Steuerung zu verwenden. Immer wenn eine Windows-Version ihr End of Life erreicht, laufen die Maschinenbesitzer in ein Problem. Eine Maschine, die hunderttausende von Euro gekostet hat, ersetzt man nicht, weil ein Windows keinen Support mehr bekommt.<\/p>\n
Im aktuellen Fall schrieb mir der Blog-Leser, dass im Unternehmen leider noch mehrere Windows-XP Clients in Produktionsmaschinen eingesetzt werden. Bei diesen Produktionsmaschinen (Fremdfabrikate) ist ein Austausch\/Update des Clients teilweise nicht supported (Produktionssoftware) oder gar nicht m\u00f6glich. Der Austausch des Clients bedeutet somit Neuanschaffung der Maschine, was aufgrund der sehr hohen Investitionssummen von der Unternehmensleitung meist abgelehnt wird. Andererseits sind einige der Maschinen im Unternehmen des Leser auch noch produktionsrelevant, was das Ganze nicht besser macht.<\/p>\n
An den Gegebenheiten l\u00e4sst sich nichts \u00e4ndern. Die IT hat diese Windows XP-Maschinen in den Produktionsmaschinen entsprechend vom Netzwerk\/Internet isoliert, wie der Leser auf Nachfrage schreibt:<\/p>\n
Die Maschinen sind in einem separaten VLAN im Netzwerk und prinzipiell nicht vom Internet erreichbar. Wie ein normaler Verwaltungs-PC jedoch eben in einem separaten Netzwerk.<\/p><\/blockquote>\n
Aus sicherheitstechnischer Sicht besteht daher in meinen Augen kein Anlass, die Clients stillzulegen. Allerdings laufen die Betreiber einer solchen Konstellation in ein anderes Problem: Sobald Microsoft etwas am Netzwerk \u00e4ndert, wird es Kommunikationsprobleme geben.<\/p>\n
Domain-Join scheitert seit November 2022<\/h2>\n
Im November 2022 hat Microsoft aus Sicherheitsgr\u00fcnden \u00c4nderungen am Netlogon- und Kerberos-Protokoll vorgenommen (siehe November 2022-Updates f\u00fcr Windows: \u00c4nderungen am Netlogon- und Kerberos-Protokoll<\/a>). Das betrifft die als Domain Controller (DC) fungierenden Windows Server-Systeme. Und hier laufen die Produktionsmaschinen mit Windows XP des Blog-Lesers in Probleme, weil der Domain Join nicht mehr klappt. In der Umgebung wird offenbar ein Windows Server 2016 als Domain Controller verwendet, der dann im November 2022 das (Problem-)Update KB5019964<\/a> erhalten hat. Der Blog-Leser schreibt:<\/p>\n
Nach der Installation des November-Patches (kb5019964) sind wir nicht mehr in der Lage Windows-XP Clients in die Domain zu joinen und auch weitere Nebeneffekte sind schon aufgefallen.<\/p>\n
\n
- So kann bspw. in einem Loginscript auf dem XP-Client der \"UserName\" und \"ComputerName\" mittels einem vbs-Script nicht mehr von der Domain abgefragt werden.<\/li>\n
- Hauptproblem f\u00fcr uns stellt jedoch der nicht mehr funktionierende Domain-Join dar.<\/li>\n<\/ul>\n
Ebenfalls die Fragestellung \"Warum muss dieser XP-Client in die Domain?\" wird sicherlich nochmals aufkommen, aber derzeit sind die Maschinen und die Programme einfach so gestrickt, dass der Domain-Join zwingend notwendig ist. Auf gut Deutsch: Ich habe keine andere Wahl und muss nach einem Workaround suchen.<\/p><\/blockquote>\n
Der Blog-Leser hat das Ganze mal in einer Testumgebung nachgebaut. Im Testszenario ist aber alles virtuell und im selben Netzwerk, ohne Firewall usw. Aber es ist alles Standard in der Netzwerk-Konfiguration. Auch in dieser virtualisierten Testumgebung ist nach dem November 2022-Update kein Domain-Join mehr m\u00f6glich.<\/p>\n
Der Blog-Leser fragt, ob einer aus der Leserschaft dieses Problem in seiner Umgebung ebenfalls hat und vielleicht auf einen Workaround gesto\u00dfen ist. Ich bin skeptisch, dass es eine L\u00f6sung gibt, denn die Sicherheitsupdates vom November 2022 mussten ja auf den Servern und den Clients installiert werden. Dabei hat Windows XP ja kein Sicherheitsupdate mehr bekommen. Das wird in der FAQ zu diesem Microsoft Artikel<\/a> best\u00e4tigt.<\/p>\n
Komischerweise findet sich bei Microsoft dieser Post<\/a> mit diversen Hinweisen, der angibt, dass eine Windows XP-Maschine, die bereits in der Dom\u00e4ne eingegliedert ist, weiterhin funktioniert. Das geht auch mit meinem Verst\u00e4ndnis des Microsoft Support-Artikels KB5020276\u2014Netjoin: Domain join hardening changes<\/a> einher, der die H\u00e4rtung f\u00fcr neue Domain Joins beschreibt.<\/p>\n
Mir selbst ist bisher kein solcher Fall untergekommen, aber ich denke, es m\u00fcssen einige Administratoren betroffen sein. Auf spiceworks gibt es diese Diskussion<\/a>, wo letztendlich best\u00e4tigt wird, dass das Domain Join f\u00fcr Windows XP kaputt ist. Falls jemand eine L\u00f6sung kennt, bitte als Kommentar skizzieren.<\/p>\n
Erg\u00e4nzung:<\/strong> Wenn ich nicht g\u00e4nzlich falsch interpretiere, hat Frank Carius in diesem Beitrag<\/a> ebenfalls einige Tipps f\u00fcr tempor\u00e4re Workarounds ver\u00f6ffentlicht.<\/p>\n
Eine Bitte: Wer nichts zur L\u00f6sung oder zum Workaround beitragen kann oder will, m\u00f6ge sich der Kommentierung enthalten. Ich werden alle Kommentare, die sich zum Thema \"Windows XP ist aus dem Support\" \u00e4u\u00dfern, schlicht l\u00f6schen.<\/p><\/blockquote>\n
\u00c4hnliche Artikel:
\n<\/strong>Microsoft Security Update Summary (8. November 2022)<\/a>
\nPatchday: Windows 10-Updates (8. November 2022)<\/a>
\nPatchday: Windows 11\/Server 2022-Updates (8. November 2022)<\/a>
\nWindows 7\/Server 2008 R2; Windows 8.1\/Server 2012 R2: Updates (8. November 2022)<\/a><\/p>\nNovember 2022-Updates f\u00fcr Windows: \u00c4nderungen am Netlogon- und Kerberos-Protokoll<\/a>
\nMicrosoft best\u00e4tigt Direct Access-Probleme nach Nov. 2022 Updates<\/a>
\nDirectAccess funktioniert nach November 2022 Windows Updates nicht mehr<\/a>
\nWindows Server November 2022-Updates verursachen LSASS-Memory Leak<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"Mit den November 2022-Updates f\u00fcr Windows Server gibt es ggf. Probleme mit dem Domain-Join. Das betrifft vor allem Umgebungen, wo eventuell \u00e4ltere Windows XP-Maschinen noch in ein Netzwerk integriert sind. Ein Blog-Leser hat mich auf das Problem hingewiesen und hofft … Weiterlesen