Hi Kurt, muss meine Aussage abändern, haben jetzt auch das Problem wenn man die 2003 DNS Server verwendet und bei einem 2000 Server funktioniert die SID Auflösung plötzlich (nach mehreren Neustarts) mit einem 2012 DNS Server. Ich komme da echt nicht hinter, sehe nichts in den Logs, liegt auch nicht am Logonserver, scheint fast Willkür zu sein... Hier ist das etwas problematisch weil er ja die SIDs der Benutzer nicht auflösen kann und daher auch keine AD User authentifizieren kann. Gruß Patrick Von: Kurt Rode [mailto:maillist@xxxxxxxxxxxx] Gesendet: Freitag, 8. März 2013 10:47 An: adde@xxxxxxxxxxxxx Betreff: [adde] AW: AW: AW: AW: Re: AW: AW: Windows 2000 Memberserver mit Windows Server 2012 DCs? Hallo Patrick, das Problem kann ich tatsächlich bestätigen, hab die Kiste noch mal angeworfen. Zugriff, z.B. auf Freigaben, klappt aber trotz fehlender Auflösung des Namens. Gruß, Kurt Von: adde-ml@xxxxxxxxxxxxx<mailto:adde-ml@xxxxxxxxxxxxx> [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Böhm, Patrick Gesendet: Freitag, 8. März 2013 09:41 An: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx> Betreff: [adde] AW: AW: AW: Re: AW: AW: Windows 2000 Memberserver mit Windows Server 2012 DCs? Hallo Kurt, vielen Dank für das Feedback und deine Bemühungen! Wenn man den DNS Server ändert dann kann der 2000er zwar noch ganz normal Namen auflösen und sich auch gegen das AD authentifizieren aber er kann keine SIDs mehr auflösen, das scheint das "einzige" Problem hier zu sein. Hat da vielleicht jemand einen Ansatz für? Wenn nicht muss der Kunde die Server halt schneller als geplant rausschmeissen :) Danke und Gruß Patrick Von: Kurt Rode [mailto:maillist@xxxxxxxxxxxx] Gesendet: Dienstag, 5. März 2013 13:44 An: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx> Betreff: [adde] AW: AW: Re: AW: AW: Windows 2000 Memberserver mit Windows Server 2012 DCs? Hallo zusammen! Das Ganze hat mir doch irgendwie keine Ruhe gelassen :-) Habe ja wie schon mal kurz erwähnt eine kleine Labor-Umgebung mit Server 2012 aufgebaut. Derzeit sind dort 2 DCs, ein Fileserver und ein Hyper-V Cluster zu finden. Die AD-Gesamtstruktur ist komplett 2012, DNS ist AD-integriert, nur sichere Updates der AD-Zonen sind erlaubt. Ich hab mich dann mal kurz in die Mottenkiste begeben und irgendwo in den Tiefen der Schränke noch einen alten Windows 2000 Advanced Server ausgegraben. Den hab ich dann kurzerhand mal in eine VM geworfen und in der Laborumgebung installiert. Er kam inkl. SP4 und ließ sich problemlos installieren. Zu dem Zeitpunkt habe ich noch nicht versucht den Server in die Domäne aufzunehmen. Direkt im Anschluss habe ich das CU1 installiert und neu gestartet. Erst dann habe ich den Server in die Domäne aufgenommen. Vor dem Neustart und direkt nach dem Join habe ich im Ereignislog 2 Netlogon-Fehler mit den Eventids 5788 und 5789 gefunden. Die sind aber nach dem Neustart verschwunden und kamen auch nicht wieder. DNS-Registrierungen, GPOs (mit kompatiblen Einstellungen) usw. klappen problemlos. Auch nach der Installation von allen noch auffindbaren Updates (W2KpostSP4update) läuft die Büchse noch brav im AD. Auch wenn das für Patrick nicht wirklich hilfreich ist, Win 2000 scheint zumindest auf der grünen Wiese noch mit 2012 zu können. Noch mal ganz dumm die Frage, ein vertipper bei den DNS-Servern in den IP-Einstellungen war es sicher nicht?! So, und jetzt geht der 2000er wieder brav zurück in seine Höhle... :-) Gruß aus Koblenz, Kurt Von: adde-ml@xxxxxxxxxxxxx<mailto:adde-ml@xxxxxxxxxxxxx> [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Böhm, Patrick Gesendet: Montag, 4. März 2013 11:37 An: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx> Betreff: [adde] AW: Re: AW: AW: Windows 2000 Memberserver mit Windows Server 2012 DCs? Hallo zusammen, natürlich gebe ich euch absolut Recht und der Kunde will die Server ja auch abschaffen. Er meinte nur dass er das aufgrund von gewissen Abhängigkeiten nicht zeitnah schafft, daher müssen die wohl noch etwas mitlaufen. Aber mal schauen, mit den 2003er als DNS Server laufen die ja noch tadellos, müssen die halt noch etwas länger in der Orga bleiben :) Gruß Patrick Böhm Von: Florian Frommherz [mailto:florian@xxxxxxxxxxxxxxx] Gesendet: Freitag, 1. März 2013 15:47 An: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx> Betreff: [adde] Re: AW: AW: Windows 2000 Memberserver mit Windows Server 2012 DCs? Howdie! Bei NT4 wurde definitiv der Stecker gezogen. Die entsprechenden Kommunikationsprotokolle wurden hartkodiert schon in Server 2008 R2 deaktiviert. Windows 2000 sollte technisch funktionieren, ohne dass ich das jetzt getestet hätte. In jedem Fall ist der Kunde auf sich allein gestellt, da Windows 2000 kein supportetes Betriebssystem mehr ist und auch keine Testrelevanz bei neuen Produkten spielt (Meinolfs Posting). Dein Rat an den Kunden sollte also sein, den Windows 2000 Server abzulösen. Ich kann mir vorstellen, dass der Produktsupport da auch nicht weiterhelfen würde, so ohne Custom Support Agreement. Cheers, Florian From: adde-ml@xxxxxxxxxxxxx<mailto:adde-ml@xxxxxxxxxxxxx> [mailto:adde-ml@xxxxxxxxxxxxx] On Behalf Of Böhm, Patrick Sent: Freitag, 1. März 2013 08:09 To: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx> Subject: [adde] AW: AW: Windows 2000 Memberserver mit Windows Server 2012 DCs? Hallo Kurt, eigentlich ist NT 4 und 2000 ja schon ein kleiner Unterschied. Habe heute Morgen Feedback vom Kunden erhalten, die Probleme sind weg wenn er die 2000er Server wieder auf die 2003er DNS Server zeigen lässt. Hat hierfür jemand eine Erklärung? Grundsätzlich funktionieren die DNS Server, alle anderen Clients und Memberserver >2000 zeigen auch schon auf die 2012er und haben keinerlei Probleme. Danke und Gruß Patrick Böhm Von: Kurt Rode [mailto:maillist@xxxxxxxxxxxx] Gesendet: Freitag, 1. März 2013 06:53 An: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx> Betreff: [adde] AW: Windows 2000 Memberserver mit Windows Server 2012 DCs? Guten Morgen Patrick! Spiele auch gerade ein bisschen mit Win2012 in einer Testumgebung rum. Wenn man einen neuen 2012er-DC installiert und das Dcpromo bzw. den Konfigurationsassistent für die Active Directory Domänendienste ausführt, dann kommt nach der Zusammenfassung noch eine Warnmeldung: Domänencontroller unter Windows Server 2012 haben einen Standardwert für die Sicherheitseinstellung "Mit Windows NT 4.0 kompatible Kryptografiealgorithmen zulassen". Durch diese Einstellung wird verhindert, dass beim Herstellen von Sicherheitskanalsitzungen schwächere Kryptografiealgorithmen verwendet werden. Weitere Informationen zu dieser Einstellung erhalten Sie im Knowledge Base-Artikel 942564 (http://go.microsoft.com/fwlink/?LinkId=104751). Vielleicht liegt ja hier schon das Problem? Nichts desto trotz würde auch ich sagen "weg mit der alten Möhre" ;-) Gruß aus Koblenz, Kurt Von: adde-ml@xxxxxxxxxxxxx<mailto:adde-ml@xxxxxxxxxxxxx> [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Böhm, Patrick Gesendet: Donnerstag, 28. Februar 2013 18:06 An: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx> Betreff: [adde] Windows 2000 Memberserver mit Windows Server 2012 DCs? Hallo zusammen, ich weiß dass lt. Technet Memberserver Windows 2000 und DCs Server 2012 nicht unterstützt sind, Foreneinträge sagen jedoch dass es funktioniert (http://social.technet.microsoft.com/Forums/en/winserverDS/thread/a6070b2f-827c-4337-81ac-ffa0a1a08bf0). Kann das jemand bestätigen? Habe bei einem Kunden zu den vorhandenen 2003 DCs zwei neue 2012 DCs hinzugefügt, bereits die FSMO Rollen verschoben und nun können die noch vorhandenen 2000er Memberserver nicht mehr korrekt mit dem AD kommunizieren. [cid:image001.png@01CE1BF1.D37B1410] Domänenneueintritt (Computerkonto gelöscht) bringt keine Besserung. Hat da jemand Erfahrungen oder eine Idee? Wollte zunächst die FSMO Rollen wieder zurück auf 2003 schieben und gucken ob sich das Verhalten ändert. Gruß Patrick Böhm PS: Habe den Kunden vorher darauf hingewiesen dass 2000 in der Konstellation nicht unterstützt wird aber er wollte trotzdem auf 2012 gehen.