[English]Heute noch ein kurzer Hinweis für Windows-Administratoren in Firmen. Windows Internet Name Service (WINS) ist veraltet und weist eine Sicherheitslücke auf. WINS sollte baldmöglichst ausgemustert und keinesfalls für neue Systeme verwendet werden.
Anzeige
Worum geht es?
Kürzlich hatte ich im Blog-Beitrag WINS-Lücke in Windows Server bleibt ungepatcht auf eine bestehende Sicherheitslücke in WINS hingewiesen. Microsoft wird diese Lücke nicht patchen.
Nutzt das noch wer?
In einem Google+-Post hatte ich auf den Artikel hingewiesen und die Frage gestellt, ob das noch jemand nutzt. Leser Karl Heinz (al Qamar) schrieb dazu: Aus einschlägiger Erfahrung leider sehr viele Unternehmen, weil es von Microsoft noch keine offizielle Empfehlung gibt WINS zu deaktivieren und nur auf DNS(Sec) zu setzen.
Es gibt eine Microsoft-Empfehlung
Karl Heinz wies mich in einem zweiten Kommentar dann auf eine Empfehlung von Microsoft zur Abschaltung von WINS in diesem Dokument hin. Dort schreibt Microsoft:
Windows Internet Name Service (WINS) is a legacy computer name registration and resolution service that maps computer NetBIOS names to IP addresses.
If you do not already have WINS deployed on your network, do not deploy WINS – instead, deploy Domain Name System (DNS). DNS also provides computer name registration and resolution services, and includes many additional benefits over WINS, such as integration with Active Directory Domain Services.
If you have already deployed WINS on your network, it is recommended that you deploy DNS and then decommission WINS.
Also eine klare Aussage: WINS ist legacy, also veraltet. Wer noch kein WINS in seinem Netzwerk ausgerollt hat, sollte dies auch nicht mehr tun. Es wird empfohlen, vorhandene und neue Systeme auf das Domain Name System (DNS) umzustellen. Danke an Karl Heinz für den Hinweis – vielleicht ist die Info ja für den einen oder anderen Blog-Leser(in) hilfreich.
Anzeige
Anzeige
Ich wüsste nicht, weshalb man heute noch WINS nutzen sollte, es sei denn, man setzt noch Betriebssysteme vor Windows Vista bzw. Serversysteme vor Windows 2008 Server ein.
Die Umstellung von WINS auf DNS innerhalb einer Windows Domäne fand meines Wissens schon zu Zeiten von Windows 2000 statt. Jedoch bin ich mir nicht sicher, ob man schon damals auf WINS komplett verzichten konnte.
Bei Windows Betriebssystemen mit Netzwerkumgebung und dem Computerbrowser-Dienst war dies möglicherweise noch ein Problem.
Wer Exchange 2003 nutzte benötigte zwingend WINS. Supportende war April 2014 – also nach Veröffentlichung von Server 2012R2!
Ein ganz anderes Problem ist, dass Windows-Rechner ohne konfigurierten WINS bei der NETBIOS-Namensauflösung (anderes Thema :-)) auf Broadcasts zurückgreifen – u.U. eine ganz erhebliche Netzwerkbelastung.
Danke für die Infos. Das bedeutet, die Wahrscheinlichkeit, dass WINS irgendwo noch im Einsatz ist, dürfte deutlich größer als Null sein. Ich habe zwar einmal für ca. anderthalb Jahre mit Exchange Server 2000 zu tun gehabt, aber habe mich damals nicht ausführlich damit beschäftigt.
Der letzte Punkt ist mir aber bekannt und trifft zu, wenn NetBIOS over TCP/IP deaktiviert ist oder aus anderen Gründen nicht funktioniert.
Guten Morgen,
gibt es eigentlich ein gutes "Tutorial/Guide" wie man WINS richtig aus einem S2008R2/2012 Netzwerk entfernt bzw. vorher andere Systeme umstellt wenn man schon DNS am laufen hat? Vor allem wenn es noch ein paar XP Rechner gibt. NetBIOS wird ja glaube erst ab Win7 nicht mehr wirklich benötigt. Gerade bei VLANs kann es da wohl Probleme geben. So habe ich nichts gefunden. Und "einfach mal WINS deaktivieren" halte ich für keine gute Idee ;).
Gruß,
Thomas
Mich würde insbesondere interessieren, welche GPO Einstellungen ggf. gesetzt werden sollten, damit die Clients mangels Wins-Server nicht permanent Broadcasten.
Bin nicht sicher, ob das hier zutrifft.
Habt ihr hierzu schon etwas herausgefunden? Stehe jetzt vor der gleichen Frage.
DCs laufen auf W2k8 R2. Ein anderer Server läuft noch auf W2k3, der Rest ist auf W2k8 R2 oder höher, CentOS und RHEL. Die Clients laufen durchgehend mit Windows 10..
Ein gutes Gefühl dabei, WINS einfach abzuschalten, habe ich nicht.. :/
In vielen Netzwerken ist WINS-Forward-Lookup in den DNS-Zonen aktiviert.
Hier ist ein Artikel darüber
https://blogs.technet.microsoft.com/389thoughts/2017/11/02/check-your-dns-for-wins-lookup-then-get-rid-of-it.
Bei mehreren Netzwerkkarten (Multihomed) auf einem System darf Netbios over TCPIP nur auf einer NIC aktiv sein.
Sonst drohen Netzwerktimeouts durch den Browsing Dienst.
Die Falschkonfiguration kann mit dem Tool browstat.exe getestet werden.
"browstat status" zeigt bei mehreren NICs den falschen Masterbrowser (Hostname der Maschine) an.
Im Normalfall sollte einer der DCs als Masterbrowser angezeigt werden.