16
Microsoft liefert keinen Patch für WINS Lücke - Umstellung als DNS ?
Hallo Forum,
in der letzten c't war ein Artikel, dass Microsoft keinen Patch für eine Lücke im WINS zur Verfügung stellt und eine Umstellung auf DNS empfiehlt.
Derzeit stellen wir unsere Domäne von Server 2008 R2 auf Windows 2012 R2 um. Der WINS Server wird weiterhin zur Verfügung gestellt.
Wir seht Ihr das Thema ?
Mit welchen Problemen ist bei der WINS Abschaltung zu rechnen ?
Nette Grüße
Scout71
in der letzten c't war ein Artikel, dass Microsoft keinen Patch für eine Lücke im WINS zur Verfügung stellt und eine Umstellung auf DNS empfiehlt.
Derzeit stellen wir unsere Domäne von Server 2008 R2 auf Windows 2012 R2 um. Der WINS Server wird weiterhin zur Verfügung gestellt.
Wir seht Ihr das Thema ?
Mit welchen Problemen ist bei der WINS Abschaltung zu rechnen ?
Nette Grüße
Scout71
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 342379
Url: https://administrator.de/contentid/342379
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
16 Kommentare
Neuester Kommentar
Hi,
WINS muß nicht mehr laufen! Dafür hatte MS im DNS Server 2008 -> GLOBAL Names eingeführt!
Hab da gerade meinen MCITP gemacht! Da gab es gerade mal SP1 für Windows Server 2008!
Gruß
Holli
WINS muß nicht mehr laufen! Dafür hatte MS im DNS Server 2008 -> GLOBAL Names eingeführt!
Hab da gerade meinen MCITP gemacht! Da gab es gerade mal SP1 für Windows Server 2008!
Gruß
Holli
Hi
hab gerade mal geschaut, siehe URL:
https://technet.microsoft.com/de-de/library/cc731744(v=ws.11).aspx
Gruß
Holli
hab gerade mal geschaut, siehe URL:
https://technet.microsoft.com/de-de/library/cc731744(v=ws.11).aspx
Gruß
Holli
Moin,
die Sache ist doch eigentlich ganz einfach:
Hast Du mehrere Subnetze?
Nein -> WINS Abschalten
Ja -> Hast du noch Anwendungen im Netz laufen, die in der Lage sein müssen *über Subnetzgrenzen hinweg* NetBIOS-Namen aufzulösen?
Nein -> WINS Abschalten
Ja -> WINS weiterlaufen lassen (ggfs. auf einem extra Host)
lg,
Slainte
die Sache ist doch eigentlich ganz einfach:
Hast Du mehrere Subnetze?
Nein -> WINS Abschalten
Ja -> Hast du noch Anwendungen im Netz laufen, die in der Lage sein müssen *über Subnetzgrenzen hinweg* NetBIOS-Namen aufzulösen?
Nein -> WINS Abschalten
Ja -> WINS weiterlaufen lassen (ggfs. auf einem extra Host)
lg,
Slainte
Tach,
die Sache ist doch eigentlich ganz einfach:
Hast Du mehrere Subnetze?
Nein -> WINS Abschalten
Stimme ich Dir zu.
Ja -> Hast du noch Anwendungen im Netz laufen, die in der Lage sein müssen *über Subnetzgrenzen hinweg* NetBIOS-Namen aufzulösen?
Nein -> WINS Abschalten
Stimme ich Dir zu.
Hat @holli.zimmer den Link gepostet.
lg,
Slainte
Gruss Penny
die Sache ist doch eigentlich ganz einfach:
Hast Du mehrere Subnetze?
Nein -> WINS Abschalten
Ja -> Hast du noch Anwendungen im Netz laufen, die in der Lage sein müssen *über Subnetzgrenzen hinweg* NetBIOS-Namen aufzulösen?
Nein -> WINS Abschalten
Ja -> WINS weiterlaufen lassen (ggfs. auf einem extra Host)
Falsch, dafür gibt es die GlobalNameZones, diese ersetzen WINS.Hat @holli.zimmer den Link gepostet.
lg,
Slainte
Gruss Penny
Hi,
Hat @holli.zimmer den Link gepostet.
Das stimmt so nicht ganz. DNS ersetzt nicht WINS.
GlobalNameZones sagen dem DNS-Server nur, in welchen Zonen er suchen soll, wenn er die Anforderung zur Auflösung eines kurzen Namens (Name ohne Domäne, also ohne ".") bekommt. Wenn Du einen Client hast, welcher nur WINS kann, keine Namensauflösung über DNS macht/kann, dann nützt Dir das überhaupt nichts. Windows NT z.B. kann zwar Namen über DNS auflösen, aber nicht wenn es nach Windows Domänen sucht. Und ja - man glaubt es nicht - WinNT lebt noch! Auch bei uns ... Einer hat überlebt.
E.
Edit:
Und weiterhin: "mehrere Subnetze" bedeutet nicht "mehrere Domänen". GlobalNameZones ist für die Suche in mehreren Domänen gedacht.
Ja -> WINS weiterlaufen lassen (ggfs. auf einem extra Host)
Falsch, dafür gibt es die GlobalNameZones, diese ersetzen WINS.Hat @holli.zimmer den Link gepostet.
GlobalNameZones sagen dem DNS-Server nur, in welchen Zonen er suchen soll, wenn er die Anforderung zur Auflösung eines kurzen Namens (Name ohne Domäne, also ohne ".") bekommt. Wenn Du einen Client hast, welcher nur WINS kann, keine Namensauflösung über DNS macht/kann, dann nützt Dir das überhaupt nichts. Windows NT z.B. kann zwar Namen über DNS auflösen, aber nicht wenn es nach Windows Domänen sucht. Und ja - man glaubt es nicht - WinNT lebt noch! Auch bei uns ... Einer hat überlebt.
E.
Edit:
Und weiterhin: "mehrere Subnetze" bedeutet nicht "mehrere Domänen". GlobalNameZones ist für die Suche in mehreren Domänen gedacht.
Hi,
Rein aus Interesse, ich brauch es nicht:
Sowohl heise (ohne Versionsangabe) als auch Microsoft behaupten, dass DNS WINS vollständig ersetzt. Was stimmt denn nun?
https://docs.microsoft.com/en-us/windows-server/networking/technologies/ ...
Oder sollte das ausschließlich für den Server 2016 gelten?
Rein aus Interesse, ich brauch es nicht:
Sowohl heise (ohne Versionsangabe) als auch Microsoft behaupten, dass DNS WINS vollständig ersetzt. Was stimmt denn nun?
https://docs.microsoft.com/en-us/windows-server/networking/technologies/ ...
Oder sollte das ausschließlich für den Server 2016 gelten?
Hallo,
das wurde uns damals beim MCSE Windows 2000 auch erzählt. Und trotzdem haben einige noch WINS im Einsatz (siehe Kommentar von @emeriks).
Ich habe auch schon gesehen, daß manche Unternehmen den NetBIOS-Namen als CNAME im DNS eingetragen und als WINS Server die TCP/IP-Adresse vom DNS eingetragen haben.
Gruss Penny
das wurde uns damals beim MCSE Windows 2000 auch erzählt. Und trotzdem haben einige noch WINS im Einsatz (siehe Kommentar von @emeriks).
Ich habe auch schon gesehen, daß manche Unternehmen den NetBIOS-Namen als CNAME im DNS eingetragen und als WINS Server die TCP/IP-Adresse vom DNS eingetragen haben.
Gruss Penny
@emeriks
Hast mir das Getippe erspart
@114685
Ergo: Wenn du eine Anwendung/Server hast der WINS/NetBT braucht, braucht der auch WINS und kein DNS
/EDIT:
@Penny.Cilin
Das stimmt so nicht ganz. DNS ersetzt nicht WINS.
Danke Hast mir das Getippe erspart @114685
Sowohl heise (ohne Versionsangabe) als auch Microsoft behaupten, dass DNS WINS vollständig ersetzt. Was stimmt denn nun?
DNS wird als das Nachfolge-Protokoll von WINS angesehen. Dabei handelt es sich aber tatsächlich um zwei vollkommen unterschiedliche ProtokolleErgo: Wenn du eine Anwendung/Server hast der WINS/NetBT braucht, braucht der auch WINS und kein DNS
/EDIT:
@Penny.Cilin
als WINS Server die TCP/IP-Adresse vom DNS eingetragen haben.
Das kann ja schonmal nicht funktionieren, da unterschiedliche Ports verwendet werden.... wer kommt denn auf solche Ideen?!
https://msdn.microsoft.com/en-us/library/cc875824.aspx
WINS servers are required unless all domains have been upgraded to Active Directory, and all computers on the network are running Windows 2000 Server or later.
Die Wahrscheinlichkeit ist jetzt sicher sehr gering, dass das noch der Fall sein sollte. Aber wenn man in einer größeren Umgebung arbeitet und es nicht ausschließen kann, dann erst bei allen Beteiligten nachfragen.Zitat von @SlainteMhath:
DNS wird als das Nachfolge-Protokoll von WINS angesehen. Dabei handelt es sich aber tatsächlich um zwei vollkommen unterschiedliche Protokolle
DNS wird als das Nachfolge-Protokoll von WINS angesehen. Dabei handelt es sich aber tatsächlich um zwei vollkommen unterschiedliche Protokolle
Danke, aber das ist mir bekannt. Allerdings erzählt jemand hier Müll, wahrscheinlich heise, denn da steht:
Zitat aus dem heise-Artikel
Die Funktionalität von WINS sei von DNS vollständig ersetzt worden. Diese Aussage deckt sich mit den Anweisungen in Microsofts Technet: "Wenn Sie WINS noch nicht einsetzen, rollen Sie es nicht aus. [...] Wenn Sie es einsetzen, migrieren Sie zu DNS."
Die Funktionalität von WINS sei von DNS vollständig ersetzt worden. Diese Aussage deckt sich mit den Anweisungen in Microsofts Technet: "Wenn Sie WINS noch nicht einsetzen, rollen Sie es nicht aus. [...] Wenn Sie es einsetzen, migrieren Sie zu DNS."
Und vollständig ersetzt heißt für mich vollständig.
Offenbar ist das Wunschdenken.
Vergiss es, war nur aus Interesse.
Gruß
Und vollständig ersetzt heißt für mich vollständig.
Es gibt die Theorie und es gibt die Praxis. Und ersetzt heißt, es betrifft das Betriebssystem und nicht unbedingt die Applikationen.
Es ist so wie emeriks schreibt. In vielen großen Umgebungen läuft es mit WINS noch immer besser (u.a. ist Exchange 2010 so ein Kanditat
)LG Günther
@scout71:
Hallo.
Ich hab' im MCSA gelernt, daß jede zur Verfügung stehende Namesauflösungsmethode ihren Sinn hat, und es für die Abarbeitung, wo zuerst gesucht wird, sogar eine Reihenfolge gibt, die Windows auch heute noch immer einhält, nämlich zuerst lokale Methoden, also in der lokalen hosts-Datei, und erst dann in entsprechenden Netzwerkdiensten. Und da steht WINS sogar vor DNS, wenn es also einen definierten WINS-Server in den TCP-/IP-Einstellungen gibt, wird der noch vor DNS abgefragt.
WINS frißt kein Brot (also keine oder kaum spürbare Performance), braucht so gut wie keinen Platz (flache File-DB mit reinem Text), kostet kein Geld und stört auch anderweitig nicht. Warum also abschalten? Hinsichtlich der Lücke (von der ich noch nie gehört habe, was allerdings nichts heißt, hab's halt nicht mitbekommen) wäre gut zu wissen, ob sie als kritisch einzustufen ist oder nicht, also, ob mit Hilfe der Lücke ein Angriff gestartet werden kann.
Wenn Du sicher bist, keine Gerätschaften/Systeme zu betreiben, die WINS evtl. noch brauchen könnten, kannst Du's entfernen. Es schadet aber auch nicht, WINS weiter zu betreiben (abgesehen von der angeblichen Lücke, über die wir nichts weiter wissen).
Viele Grüße
von
departure69
Hallo.
Ich hab' im MCSA gelernt, daß jede zur Verfügung stehende Namesauflösungsmethode ihren Sinn hat, und es für die Abarbeitung, wo zuerst gesucht wird, sogar eine Reihenfolge gibt, die Windows auch heute noch immer einhält, nämlich zuerst lokale Methoden, also in der lokalen hosts-Datei, und erst dann in entsprechenden Netzwerkdiensten. Und da steht WINS sogar vor DNS, wenn es also einen definierten WINS-Server in den TCP-/IP-Einstellungen gibt, wird der noch vor DNS abgefragt.
WINS frißt kein Brot (also keine oder kaum spürbare Performance), braucht so gut wie keinen Platz (flache File-DB mit reinem Text), kostet kein Geld und stört auch anderweitig nicht. Warum also abschalten? Hinsichtlich der Lücke (von der ich noch nie gehört habe, was allerdings nichts heißt, hab's halt nicht mitbekommen) wäre gut zu wissen, ob sie als kritisch einzustufen ist oder nicht, also, ob mit Hilfe der Lücke ein Angriff gestartet werden kann.
Wenn Du sicher bist, keine Gerätschaften/Systeme zu betreiben, die WINS evtl. noch brauchen könnten, kannst Du's entfernen. Es schadet aber auch nicht, WINS weiter zu betreiben (abgesehen von der angeblichen Lücke, über die wir nichts weiter wissen).
Viele Grüße
von
departure69
@GuentherH:
Ja, der Mythos über WINS i. V. m. Exchange, es gibt ihn scheinbar immer noch. Das Exch. WINS braucht, wurde zu Zeiten von Exch. 2000 und 2003 noch ständig behauptet. Ich glaube, das hat schon damals nicht mehr gestimmt.
In unserer Umgebung ist nachweislich noch nie ein WINS-Server betrieben worden (zu NT-Zeiten gab's hier überhaupt noch keine Windows-Computer, die WINS gebraucht hätten), trotzdem laufen und liefen danach hier Exch. 2003, 2007, aktuell 2010 und demnächst 2016 - alle ohne WINS.
Ist da wirklich was dran? Wie gesagt, ich halte das für einen Mythos, Exch. funktioniert nachweislich auch ohne WINS.
Viele Grüße
von
departure69
Es ist so wie emeriks schreibt. In vielen großen Umgebungen läuft es mit WINS noch immer besser (u.a. ist Exchange 2010 so ein Kandidat)
Ja, der Mythos über WINS i. V. m. Exchange, es gibt ihn scheinbar immer noch. Das Exch. WINS braucht, wurde zu Zeiten von Exch. 2000 und 2003 noch ständig behauptet. Ich glaube, das hat schon damals nicht mehr gestimmt.
In unserer Umgebung ist nachweislich noch nie ein WINS-Server betrieben worden (zu NT-Zeiten gab's hier überhaupt noch keine Windows-Computer, die WINS gebraucht hätten), trotzdem laufen und liefen danach hier Exch. 2003, 2007, aktuell 2010 und demnächst 2016 - alle ohne WINS.
Ist da wirklich was dran? Wie gesagt, ich halte das für einen Mythos, Exch. funktioniert nachweislich auch ohne WINS.
Viele Grüße
von
departure69
Hi,
Dem kann abgeholfen werden:
Hier informieren.
Gruß
Zitat von @departure69:
Warum also abschalten? Hinsichtlich der Lücke (von der ich noch nie gehört habe, was allerdings nichts heißt, hab's halt nicht mitbekommen)
Warum also abschalten? Hinsichtlich der Lücke (von der ich noch nie gehört habe, was allerdings nichts heißt, hab's halt nicht mitbekommen)
Dem kann abgeholfen werden:
Hier informieren.
Gruß
Ist da wirklich was dran? Wie gesagt, ich halte das für einen Mythos, Exch. funktioniert nachweislich auch ohne WINS.
Hast Du das jemals in einer Multi-Domain-Umgebung durchgespielt? Mit "Überkreuz-Zugriffe" und Windows NT?Ist da wirklich was dran? Wie gesagt, ich halte das für einen Mythos, Exch. funktioniert nachweislich auch ohne WINS
Beim SBS 2003 wurde ja selbst von MS noch der WINS installiert, obwohl er angeblich schon lange nicht mehr nötig war.
Und bei Exchange 2010 habe ich selbst die Erfahrung in einer sehr großen Umgebung die Erfahrung gemacht. Mit WINS waren plötzlich die hie und da auftretenden kleinen Probleme weg.
Aber ist auch egal. Wenn in Umgebungen ohne WINS alles funktioniert, dann wird man ihn auch nicht mehr installieren. Und so gravierend ist die gefundene Lücke auch wieder nicht, da sie ja keinen Schaden anrichtet.
LG Günther
1
