Stopp: WINS ist veraltet und sollte ausgemustert werden

[English]Heute noch ein kurzer Hinweis für Windows-Administratoren in Firmen. Windows Internet Name Service (WINS) ist veraltet und weist eine Sicherheitslücke auf. WINS sollte baldmöglichst ausgemustert und keinesfalls für neue Systeme verwendet werden.


Anzeige

Worum geht es?

Kürzlich hatte ich im Blog-Beitrag WINS-Lücke in Windows Server bleibt ungepatcht auf eine bestehende Sicherheitslücke in WINS hingewiesen. Microsoft wird diese Lücke nicht patchen.

Nutzt das noch wer?

In einem Google+-Post hatte ich auf den Artikel hingewiesen und die Frage gestellt, ob das noch jemand nutzt. Leser Karl Heinz (al Qamar) schrieb dazu: Aus einschlägiger Erfahrung leider sehr viele Unternehmen, weil es von Microsoft noch keine offizielle Empfehlung gibt WINS zu deaktivieren und nur auf DNS(Sec) zu setzen.

Es gibt eine Microsoft-Empfehlung

Karl Heinz wies mich in einem zweiten Kommentar dann auf eine Empfehlung von Microsoft zur Abschaltung von WINS  in diesem Dokument hin. Dort schreibt Microsoft:

Windows Internet Name Service (WINS) is a legacy computer name registration and resolution service that maps computer NetBIOS names to IP addresses.

If you do not already have WINS deployed on your network, do not deploy WINS – instead, deploy Domain Name System (DNS). DNS also provides computer name registration and resolution services, and includes many additional benefits over WINS, such as integration with Active Directory Domain Services.

If you have already deployed WINS on your network, it is recommended that you deploy DNS and then decommission WINS.

Also eine klare Aussage: WINS ist legacy, also veraltet. Wer noch kein WINS in seinem Netzwerk ausgerollt hat, sollte dies auch nicht mehr tun. Es wird empfohlen, vorhandene und neue Systeme auf das Domain Name System (DNS) umzustellen. Danke an Karl Heinz für den Hinweis – vielleicht ist die Info ja für den einen oder anderen Blog-Leser(in) hilfreich.


Anzeige


Anzeige

Dieser Beitrag wurde unter Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Stopp: WINS ist veraltet und sollte ausgemustert werden

  1. Holger K. sagt:

    Ich wüsste nicht, weshalb man heute noch WINS nutzen sollte, es sei denn, man setzt noch Betriebssysteme vor Windows Vista bzw. Serversysteme vor Windows 2008 Server ein.
    Die Umstellung von WINS auf DNS innerhalb einer Windows Domäne fand meines Wissens schon zu Zeiten von Windows 2000 statt. Jedoch bin ich mir nicht sicher, ob man schon damals auf WINS komplett verzichten konnte.
    Bei Windows Betriebssystemen mit Netzwerkumgebung und dem Computerbrowser-Dienst war dies möglicherweise noch ein Problem.

    • GPBurth sagt:

      Wer Exchange 2003 nutzte benötigte zwingend WINS. Supportende war April 2014 – also nach Veröffentlichung von Server 2012R2!

      Ein ganz anderes Problem ist, dass Windows-Rechner ohne konfigurierten WINS bei der NETBIOS-Namensauflösung (anderes Thema :-)) auf Broadcasts zurückgreifen – u.U. eine ganz erhebliche Netzwerkbelastung.

      • Holger K. sagt:

        Danke für die Infos. Das bedeutet, die Wahrscheinlichkeit, dass WINS irgendwo noch im Einsatz ist, dürfte deutlich größer als Null sein. Ich habe zwar einmal für ca. anderthalb Jahre mit Exchange Server 2000 zu tun gehabt, aber habe mich damals nicht ausführlich damit beschäftigt.

        Der letzte Punkt ist mir aber bekannt und trifft zu, wenn NetBIOS over TCP/IP deaktiviert ist oder aus anderen Gründen nicht funktioniert.

  2. Thomas sagt:

    Guten Morgen,

    gibt es eigentlich ein gutes "Tutorial/Guide" wie man WINS richtig aus einem S2008R2/2012 Netzwerk entfernt bzw. vorher andere Systeme umstellt wenn man schon DNS am laufen hat? Vor allem wenn es noch ein paar XP Rechner gibt. NetBIOS wird ja glaube erst ab Win7 nicht mehr wirklich benötigt. Gerade bei VLANs kann es da wohl Probleme geben. So habe ich nichts gefunden. Und "einfach mal WINS deaktivieren" halte ich für keine gute Idee ;).

    Gruß,
    Thomas

  3. MyAdmin sagt:

    In vielen Netzwerken ist WINS-Forward-Lookup in den DNS-Zonen aktiviert.
    Hier ist ein Artikel darüber
    https://blogs.technet.microsoft.com/389thoughts/2017/11/02/check-your-dns-for-wins-lookup-then-get-rid-of-it.
    Bei mehreren Netzwerkkarten (Multihomed) auf einem System darf Netbios over TCPIP nur auf einer NIC aktiv sein.
    Sonst drohen Netzwerktimeouts durch den Browsing Dienst.
    Die Falschkonfiguration kann mit dem Tool browstat.exe getestet werden.
    "browstat status" zeigt bei mehreren NICs den falschen Masterbrowser (Hostname der Maschine) an.
    Im Normalfall sollte einer der DCs als Masterbrowser angezeigt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.