WINS

Im Jun 2017 hat Microsoft erstmals bekannt gegeben, dass ein kritischer Bug in WINS nicht mehr gefixt wird, bei dem ein Angreifer die WINS-Funktion ausser Kraft setzen kann.
WINS Server Remote Memory Corruption Vulnerability in Microsoft Windows Server (https://blog.fortinet.com/2017/06/14/wins-server-remote-memory-corruption-vulnerability-in-microsoft-windows-server)

Exchange 2007 soll die NetBIOS Namensauflösung (kurze Namen) nicht mehr erforderlich sein. Aber auch das Exchange 2007 SP1 korrigiert noch einige Punkte. Zumindest werden Abhängigkeiten nun als Bug eingestuft und demnach auch gefixt. Seit Exchange 2010 ist WINS nicht mehr erforderlich

Ein WINS-Server sollte auf sich selbst verweisen und sich nicht nicht auf anderen Server zusätzliche registrieren.
150737 Setting primäry and secondary WINS server options.

If you do not already have WINS deployed on your network, do not deploy WINS - instead, deploy Domain Name System (DNS). DNS also provides computer name registration and resolution services, and includes many additional benefits over WINS, such as integration with Active Directory Domain Services.
 If you have already deployed WINS on your network, it is recommended that you deploy DNS and then decommission WINS.
Qewlle: https://docs.microsoft.com/en-us/windows-server/networking/technologies/wins/wins-top

Auch wenn viele Personen immer wieder rufen, dass seit Windows 2000 und Active Directory der Einsatz von WINS nicht mehr erforderlich ist, dann sollte das nicht als Freibrief für den Verzicht auf WINS verstanden werden. Natürlich benötigt das Active Directory und Windows 2000, XP und 2003 Clients keinen WINS-Server mehr für die Domänenfunktionen, da Sie natürlich dank DNS alle Server und Daten zu DCs, GCs etc. erhalten können. Aber DNS bedeutet zugleich auch einen hierarchischen Namensraum, mit dem aber sehr viele Anwendungen noch nicht umgehen können. DNS kann nämlich erst einmal nur Namen und Dienste zu IP-Adressen auflösen und umgekehrt. DNS ist aber keine Lösung für die folgenden Probleme:

  • Flacher Servername
    Es gibt Anwendungen, welche nur den einfachen Servernamen adressieren. Sobald damit Client und Server in unterschiedlichen Domänen sind, finden Sie sich nicht mehr per DNS, es sei denn der Administrator pflegt DNS-Suchreihenfolgen oder CNAME-Einträge im DNS
  • Masterbrowser
    Neben Domänennamen und Hostnamen gibt es in einem  Windows Netzwerk noch einige andere wichtige Dienste, wie z.B.: den Browserdienst. Die meisten Windows Clients nutzen diesen Dienste und speziell über Subnetzgrenzen hinweg gibt es mehrere lokale Browser und einen Domänenmasterbrowser, die sich gegenseitig abgleichen sollten.
  • Benutzer
    Kennen Sie NET SEND um eine Kurzmitteilung zu versenden ?. Wenn sich ein Benutzer an einem PC anmeldet, dann wird dieser im WINS mit dem Benutzernamen registriert. Ein DNS-Server leistet dies nicht.

Fakt ist, das die Abhängigkeit von WINS geringer geworden ist, aber keineswegs entfallen ist.

Wenn Sie keinen WINS-Server verwenden und konfigurieren, dann werden einige Funktionen länger brauchen und wackeliger laufen, da die Clients dann auf Broadcast umschalten. (Siehe auch Namensauflösung im LAN und Internet

WINS und Exchange Programme

Die Notwendigkeit von WINS gilt besonders für Microsoft Exchange, welches auch mit Exchange 2003 und Windows 2003 noch nicht ganz auf WINS verzichten kann. Natürlich gibt es Umgebungen, in denen Exchange auch ohne WINS-Konfiguration funktioniert. Dies ist um so eher der Fall, je kleiner die Umgebung ist. In einer Small Business Umgebung mit einem IP-Subnetz werden Sie das Fehlen von WINS vermutlich nicht einmal merken, da dank Broadcasts alles weiter funktioniert. Aber je größer ein Netzwerk ist, desto eher sollten Sie sich die folgenden Artikel genau durchlesen.

Die folgenden Artikel belegen die Notwendigkeit von WINS in Zusammenhang mit Exchange

Systemweite Anforderungen für Clustering
Stellen Sie sicher, dass DNS (Domain Name System) und WINS (Windows Internet Name Service) verwendet werden.

Die folgenden Artikel helfen ihnen beim Einstieg in "WINS"

  • 139608 SMB Traffic During Windows NT Domain Logon
  • 307314 Recommended Practices für WINS
  • 150520 WINS Server Sporadically Loses Name Resolution
  • 150737 Setting primäry an Secondary WINS Server Options
  • 168076 WINS Fails to Converge
  • 193890 Recommended WINS Configuration für Microsoft Cluster Server
  • 139985 WINS Client Fails to Reach a Multihomed Server
  • 125879 WINS Static Mappings and Remote Access Services
  • 135405 Repairing a Corrupted WINS Database w/ Starting Version Count
  • 168712 How to Manually Recreate a WINS Database
  • 119495 List of Names Registered with WINS Service
  • 314104 A List of Names That Are registered by Windows Internet Naming Service
  • 830578 NBLookup.exe command-line tool

WINS befragen

Für die Abfragen von Informationen in einem WINS-Server gab es lange Zeit nur die Möglichkeit, direkt auf dem WINS-Server die Datenbank abfragen zu lassen. Ein Tool wie NSLOOKUP funktioniert mit DNS-Servern. Aber auch für WINS gibt es eine Kommandozeile, um Einträge abzufragen. Der Name ist recht unspektakulär "NBLOOKUP" für "NetBIOS Lookup"

830578 NBLookup.exe command-line tool
http://support.Microsoft.com/Default.aspx?kbid=830578
Links ist im Technet Artikel zu finden

Mit NBLOOKUP kann durch eine entsprechende Steuerungsdatei sogar eine große Anzahl von Namen überprüft werden. Ideal um z.B. regelmäßig die Registrierung von wichtigen Diensten zu prüfen und  bei Bedarf Alarm zu schlagen.

Auch auf Unix gibt es ein entsprechendes Tool mit dem Namen "nmblookup".

WINS Konzept

Der Einsatz von WINS in einem Netzwerk ist nicht wirklich schwer, aber auch hier sollten einige Dinge beachtet werden. Sie müssen sich über die Platzierung von WINS-Servern und die Replikation der Datenbanken Gedanken machen. Redundanz und Recovery als auch eine schnelle Konvergenz der Daten sind hier wichtige Faktoren. Auch die Überwachung der Dienste und Einträge ist eine wichtige Aufgabe.

Unterstützung durch Net at Work:
Wir können Ihnen bei der Planung, Implementation aber auch Prüfung ihrer NetzwerkUmgebung helfen. Sprechen Sie uns an: Net at Work Lösungen

WINS-Suffixe

Da ich auch selbst immer wieder die Übersicht brauche, pflege ich hier eine Tabelle der im WINS-Server eingetragenen Typen. Sie helfen ihnen sicher bei der Erklärung bestimmter Einträge:

Name Number(h) Type Usage

<computername>

00

U

Workstation Service

<computername>

01

U

Messenger Service

<\--__MSBROWSE__>

01

G

Master Browser

<computername>

03

U

Messenger Service

<computername>

06

U

RAS Server Service

<computername>

1F

U

NetDDE Service

<computername>

20

U

File Server Service

<computername>

21

U

RAS Client Service

<computername>

22

U

Exchange Interchange (MS-Mail Connector)

<computername>

23

U

Exchange Store

<computername>

24

U

Exchange Directory

<computername>

30

U

Modem Sharing Server Service

<computername>

31

U

Modem Sharing Client Service

<computername>

43

U

SMS Clients Remote Control

<computername>

44

U

SMS Administrators Remote Control Tool

<computername>

45

U

SMS Clients Remote Chat

<computername>

46

U

SMS Clients Remote Transfer

<computername>

87

U

Microsoft Exchange MTA

<computername>

6A

U

Microsoft Exchange IMC

<computername>

BE

U

Network Monitor Agent

<computername>

BF

U

Network Monitor Application

<Username>

03

U

Messenger Service

<domain>

00

G

Domain Name

<domain>

1B

U

Domain Master Browser

<domain>

1C

G

Domain Controllers

<domain>

1D

U

Master Browser

<domain>

1E

G

Browser Service Elections

<INet~Services>

1C

G

IIS

<IS~computername>

00

U

IIS

Die Tabelle ist sicher nicht vollständig, zumal andere Hersteller ebenfalls einen Typ nutzen können.

WINS zurück bauen

Je weniger "alte" Systeme im LAN sind, desto eher kommt der Wunsch auf, auch z.B. den WINS-Server einmal abzuschalten. Das macht aber erst dann Sinn, wenn alle anderen Server und Clients diesen nicht mehr benötigen. Der Rückfall auf "Broadcast" ist im gleichen Subnetz vielleicht unerwünscht aber in Umgebungen mit Routern und mehreren Subnetzen nicht möglich. Erster Schritt ist also zu prüfen, dass alle Dienste mit DNS arbeiten.

Ich denke die meisten Firmen werden damit noch ein paar Jahre warten, weil andere Aufgaben zuerst anstehen.

Weitere Links