Tags: Netzwerk, Windows 11, DNS
Microsoft unterstützt Multicast DNS (mDNS) zwar schon seit Windows 10 1703, stellt aber erst jetzt die Weichen, um NetBIOS und Link-Local Multicast Name Resolution (LLMNR) vollständig durch mDNS zu ersetzen. In den Previews von Windows 11 ist die NetBIOS-Namensauflösung per Voreinstellung nur mehr als Fallback konfiguriert.
Das ursprünglich von Apple entwickelte mDNS ist ein Protokoll zur Namensauflösung, das ohne zentralen DNS-Server auskommt. Es sendet per Multicast eine Anfrage an alle Geräte im Netzwerk und jenes, auf das der gewünschte Hostname zutrifft, antwortet ebenfalls mit einem Multicast-Paket an das gesamte Netzwerk.
Mehrere Resolver nebeneinander
Standardmäßig hören mDNS-Resolver auf den UDP-Port 5353. Das Besondere daran ist, dass in der Praxis mehrere Resolver gleichzeitig aktiv sind. Neben dem Betriebssystem sind das etwa Chromium-basierte Web-Browser oder der Client von Microsoft Teams.
Eine Liste solcher auf einem Rechner aktiven Programme lässt sich mit PowerShell anzeigen:
Get-NetUDPEndpoint -LocalPort 5353 |
Select-Object LocalAddress,LocalPort,OwningProcess, `
@{ Name="Prozess"; Expression={((Get-Process -Id $_.OwningProcess).Name )} }
Eine Gefahr besteht in einer solchen Situation natürlich darin, dass sich auch bösartige Programme auf UDP-Port 5353 einklinken und Clients über DNS-Spoofing an Hosts weiterleiten, die von Cyberkriminellen betrieben werden.
Da eine zentrale Instanz in Form eines DNS-Servers fehlt, lässt sich zudem nicht ausschließen, dass mehrere Geräte im Netzwerk den gleichen Hostname verwenden.
mDNS deaktivieren
Aufgrund dieser Nachteile könnten IT-Verantwortliche erwägen, mDNS abzuschalten. Microsoft rät aber von einer generellen Deaktivierung des Protokolls ab, weil dies die Kommunikation mit verschiedenen Geräten im Netzwerk wie etwa Druckern oder kabellosen Lautsprechern beeinträchtigen könnte.
Wenn Unternehmen eine solche Maßnahme dennoch ins Auge fassen, dann empfiehlt der Hersteller, nur eingehende Anfragen mit Hilfe der Windows-Firewall zu blockieren. Diese enthält dafür die vordefinierte Regel "mDNS (UDP-In)".
Allerdings sollte man sie nur für die Profile Domäne und Öffentlich deaktivieren, für private Netze jedoch belassen. Damit stellt man sicher, dass Mitarbeiter im Home-Office solche Geräte nutzen können, die auf mDNS angewiesen sind.
mDNS löst NetBIOS und LLMNR ab
Ein weiterer Grund, mDNS nicht voreilig abzuschreiben, besteht darin, dass Microsoft zunehmend auf dieses Protokoll setzt. In aktuellen Previews von Windows 11 läuft NetBIOS standardmäßig im "Learning Mode", so dass dieses veraltete Protokoll nur zum Zug kommt, nachdem Anfragen an mDNS und LLMNR gescheitert sind.
Falls bestimmte System oder Anwendungen weiterhin NetBIOS benötigen, dann kann man es über eine neue Gruppenrichtlinie entsprechend konfigurieren. Sie bietet neben dem erwähnten Lernmodus die Optionen, die Namensauflösung über NetBIOS vollständig zuzulassen, ganz zu unterbinden oder nur in öffentlichen Netzwerk zu blockieren.
Das standardmäßige Verhalten von LLMNR hat sich noch nicht geändert, aber Microsoft stellt klar in Aussicht, dass mDNS per Voreinstellung das einzige Multicast-Protokoll zur Namensauflösung werden soll.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- IP-Adresse und DNS-Server mit PowerShell ändern
- DNS-Probleme bei VPN-Verbindungen beheben
- Lösung für: Es kann keine Verbindung mit einer Domäne oder zum Domain Controller hergestellt werden
- SMB-Daten komprimieren in Windows 11 und Server 2022
- Virtual Private Cloud (VPC) in AWS mit Hilfe des Wizards konfigurieren
Weitere Links