Ich packe mal ein Problem hier in den Blog, auf das mich ein Leser angesprochen hat. In dessen Umfeld ist er auf das Problem gestoßen, dass Rechner mit Windows 11 24H2 (und nun wohl auch 25H2) nicht zur Programmierung von Siemens Sinumerik-Steuerungen verwendet werden können. Die Rechner gekommen keine Verbindung zu den Steuerungen.
Siemens Sinumerik-Steuerungen und NCU X127
Im Umfeld des Lesers befasst man sich mit dem Einsatz von Sinumerik-Steuerungen von Siemens. Sinumerik steht dabei für eine ganze Modellpalette von CNC-Steuerungen für Werkzeugmaschinen.
Die nachfolgend erwähnte Siemens Sinumerik NCU X127 ist eine Ethernet-Schnittstelle an der Vorderseite von Sinumerik-Steuerungen. Diese dient zum Anschluss eines Notebooks oder Programmiergeräts. Die Schnittstelle ermöglicht die lokale Programmierung von SPS und HMI, den Zugriff auf CF-Karten-Informationen und die Durchführung grundlegender Service- und Inbetriebnahmefunktionen.
Keine Verbindung mit Siemens Sinumerik NCU X127
Blog-Leser Timo ist nun per E-Mail an mich herangetreten, weil er langsam als IT-Mitarbeiter in echte Probleme läuft. In dessen Betrieb werden alle CNC-Bearbeitungszentren mit Sinumerik-Steuerungen von Siemens versehen. Die CNC-Steuerungen müssen aber mit Windows Notebooks in Betrieb genommen und ggf. konfiguriert bzw. programmiert werden.
Wenn ich es richtig mitbekommen habe, wurden die Sinumerik-Steuerungen bereits zu Zeiten mit Windows XP-Laptops verwendet. Derzeit verwendet das Unternehmen noch Notebooks mit Windows 11 23H2 Enterprise, welches noch bis Herbst 2026 Support erhält (siehe Windows 11 23H2 fällt am 11. November 2025 aus dem Support). Notebooks mit Windows 11 23H2 lassen sich per LAN-Kabel mit der Siemens Sinumerik NCU X127 verbinden, um die Programmierung in Inbetriebnahme vorzunehmen.
Nun schwenkt Microsoft ja auf Windows 11 24H2 (und teilweise auf Windows 11 25H2) um. Damit beginnt das Problem des Lesers, denn werden Notebooks mit Windows 11 24H2 verwendet, können diese Geräte keine Verbindung zur Siemens Sinumerik NCU und der X127 Schnittstelle aufbauen. Die Komponenten bekommen keine IP-Adresse zugewiesen.
Der Leser vermutet, dass es eventuell mit dem DHCP-Problem zusammenhängt, das ich im Blog-Beitrag Windows 11 24H2: DHCP-Problem fehlender Gateway-Eintrag angesprochen habe. Auf reddit wird das Problem im Beitrag Siemens Sinumerik X127 : r/PLC ebenfalls beschrieben und dort gibt es einen Verweis auf meinen obigen Blog-Beitrag aber keine Lösung des Problems.
Im Unternehmen des Lesers wurde der Rollout von Windows 11 24H2 aus diesem Grund gestoppt. Der Leser schreibt: "Da Windows 11 23H2 nur noch ein Jahr Support hat, müssen wir irgendwann eine Lösung haben. Bei Siemens dauert das ewig bis die reagieren und dort auch nichts zu diesem Problem gefunden."
Der Leser erhofft sich Feedback und eventuelle Lösungen aus dem Kreis der Blog-Leserschaft. Persönlich hätte ich gesagt: Das wäre eigentlich ein perfektes Einsatzszenario für Notebooks mit Windows 10 21H2 IoT Enterprise LTSC, wo es noch bis Anfang 2032 Sicherheitsupdates gibt. Aber das ist wohl keine Option für den Leser.
MVP: 2013 – 2016
Oh Boy, aus den wenigen Informationen lassen sich so viele falsche Dinge ableiten. Ich mag mich irren, ich denke aber nicht:
1) Industrieanlagen UND die vor allem die PGs (Windows-Notebooks) mit WinCC, TIA Portal, STEP7 etc. sind zwingend offline oder airgapped zu halten. Wer mehr Details will: https://blog.jakobs.systems/blog/20251005-ntlm-ad-offline/
2) Statt sinnlos im Netz (Reddit & Co) zu suchen, wäre es angebracht zuerst nachzuschauen, ob die Anlage bzw. der Softwarestack überhaupt für Win11 freigegeben sind. Da hier NULL an Software und Versionsnummern als Info genannt werden, hege ich starke Zweifel, dass dieses erfolgt ist.
3) IMHO hat Win11 defintiv nichts auf Techniker- und vor allem Adminbooks zu suchen, die dann als "Wanderer zwischen den Welten" sprich quer über Segmentgrenzen verwendet werden.
4) Ein Win11 Rollout für die ganze Firma deswegen zu stoppen zeigt mir, das hier höchstwahrscheinlich nicht segmentiert und isoliert wird. Wenn, dann wäre es ziemlich egal, ob der Techniker in der Produktion weiterhin Win10 (oder älter) nutzt oder nicht.
Lösung:
1) Win11 von den PGs wegwerfen und nutzen, was die Anlage hat (Win10 oder meinetwegen Win7)
2) Produktionsnetz und PGs offline setzen und vom Rest der Firma isolieren.
ansonsten gilt SSKM (Selbst Schuld Kein Mitleid)
100% ACK
Die Segmentierung scheint schon da zu sein, wahrscheinlich wird der Laptop über den LAN Port eine direkte Verbindung zur Maschine aufbauen über die dann programmiert wird.
Einfachste Lösung wäre in meinen Augen auch erstmal eine LTSC Version von Windows für den oder die Laptops zu besorgen, da es mit 23h2 ja zu klappen scheint. Sollte es seitens des Herstellers keine Ambitionen geben etwas an dem Konstrukt zu ändern, sollte der oder die Laptops die für die Aufgabe benötigt werden auch nach Ablauf der LTSC Version nur noch exklusiv für diese Aufgabe offline benutzt werden.
und Dutzende Mitarbeiter haben in Zukunft 2 Laptops wenn sie in Zukunft weltweit unterwegs sind??
Wäre in meinen Augen nichts ungewöhnliches. In einem Tiering / Zoning Konzept könnte (sollte) ein Admin – der in mehreren Tiers unterwegs ist – bereits mehrere PAWs haben.
oder das Konzept Jumphost/Bastion Host kennen…
Aktuelle Treiber gäbe es z.B. hier: https://support.industry.siemens.com/cs/document/109827120/profinet-driver-v3-1-pnconfiglib-v1-4-download-software-package und hier https://support.industry.siemens.com/cs/document/109986439/simatic-net-pc-software-v18-sp1-update-2
Trotz denglischer Mischung ist die Rubrik "Sicherheitshinweise" komplett auf Deutsch gehalten und spiegelt das von den anderen gesagte.
Um technische Infrastruktur, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es erforderlich, ein ganzheitliches IT Security-Konzept zu implementieren (und kontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen von Siemens formen nur einen Bestandteil eines solchen Konzepts. Weitergehende Informationen über Cyber Security finden Sie unter https://www.siemens.com/cybersecurity#Ouraspiration.
Siemens selbst empfiehlt übrigens Windows 11 IoT Enterprise 2024 LTSC
> Siemens selbst empfiehlt übrigens Windows 11 IoT Enterprise 2024 LTSC
Du hast 3 Details vergessen ;-)
1) Updates und Upgrades von älteren WinCC, Tia Portal etc. Versionen auf W11 Enterprise IoT LTSC lässt sich Siemens bzw. Dienstleister fürstlich entlohnen.
2) Anlagen, insbesondere wenn diese (auf)gekauft werden und nicht neu gebaut, werden mit dem System und in der Version betrieben, das vorhanden ist. Da wird selten was aktualisiert oder gepatcht.
3) Die langen Lebenszyklen in der Industrie sind inkompatibel mit den kurzweiligen Scheiß der kaputten IT. Wenn was stabil und zuverlässig läuft, dann kann, sollte und muss es auch ein Win7 oder XP sein dürfen. Es ist der fucking Job der IT oder eines CISO das sicher in einem Gesamtkonzept zu integrieren.
Die gute Nachricht. Das ist keine Unmöglichkeit.
Aber wir entfernen uns immr mehr vom Topic…
ggf. liegt es auch einfach nur hier dran, gerade wenn ich lese das in 23H2 alles läuft:
WMIC:
Windows 11 23H2 = enthalten
Windows 11 24H2 = nicht mehr enthalten, aber über dism fixable
Windows 11 25H2 = wmic soll gänzlich weg, noch nicht getestet
Lösung:
DISM /Online /Add-Capability /CapabilityName:WMIC~~~~
Warum betreibt man Software, die wohl eher nur Windows 3.1/95/2000-kompatibel zu sein scheint (ggf. nur etwas übertrieben) überhaupt auf bare metal und nicht in einer VM? So nutze ich z. B. Hyper-V oder VirtualBox (auch parallel zu Hyper-V), wenn ich USB-Virtualisierung benötige. Im Gegensatz zur VirtualBox ist mir Hyper-V aber in all den Jahrzehnten (…) noch nie irgendwo abgestürzt, auch bei keinem meiner zahlreichen Kunden.
Z. B. nutze ich das auch im Amateurfunkbereich, wo man ab und an Software aus der VR China für Firmware-Updates oder Konfiguration benötigt. Ich würde einen Teufel tun, und so etwas nicht ausschließlich in einer VM nach Snapshot und späterem Rückgang auf diesen zu installieren. Ein Datenordner ist in die VM eingebunden, sodass das ganze schon fast konzeptionell Containerization wie Docker nahekommt. Ähnlich sollte man auch (schon immer!) mit Software verfahren, die teils Jahrzehnte rückständig ist. Hallo Siemens…
Man kann sich z. B. Windows 10 (in meinem Fall auf Englisch 64 Bit) auch ohne Eingabe eines Produktschlüssels in einer VM als Testversion installieren, die sich dann halt nach einiger Zeit herunterfährt. Aber für die o. g. Szenarien ist das mehr als ausreichend und vor allem sicher und unproblematisch.
> Warum betreibt man Software ….. überhaupt auf bare metal und nicht in einer VM?
Weil wir hier in der Echtzeit- und Buskommunikation liegen.
Alles, was auf höhrerer Applikationsebene mit Datenbanken und Schnittstellen zu ERP etc. läuft wird virtuell ganz gut funktionieren, alles low-level am Profibus nicht.
Bei harten Echtzeitanforderungen ("hart" heißt in diesem Zusammenhang: das System muß im vorgegebenen Zeitraster reagieren, sonst fliegt Dir der Prozeß um die Ohren) macht man es andersherum: Es wird ein Echtzeitkernel installiert und der PC inklusive Windows in eine virtuelle Instanz verschoben. So macht es z.B. Beckhoff.
und Profinet noch weniger