Multicast DNS (mDNS) wird ab Windows 10 1703 unterstützt, Microsoft beginnt jedoch erst jetzt mit den Vorbereitungen um NetBIOS und Link-Local Multicast Name Resolution (LLMNR) vollständig durch mDNS zu ersetzen. In den Windows 11 Pre­views ist die NetBIOS-Namensauflösung per Voreinstellung vorerst als Fallback konfiguriert.

Ursprünglich wurde mDNS von Apple entwickelte und ist ein Protokoll zur Namensauflösung, das ohne zentralen DNS-Server auskommt. Es sendet per Multicast eine Anfrage an alle Geräte im Netzwerk, dieses dass auf den gewünschten Hostname zutrifft, antwortet ebenfalls mit einem Multicast an das gesamte Netzwerk.

Mehrere mDNS-Resolver

mDNS-Resolver hören auf UDP-Port 5353 dazu in der Praxis mehrere Resolver gleichzeitig aktiv sind. Neben dem Betriebssystem gehören etwa Microsoft Teams Clients dazu, oder auch Chromium-basierte Web-Browser.

Aktive mDNS-Resolver können in der PowerShell ausgegeben werden:

Get-NetUDPEndpoint -LocalPort 5353 | Select-Object LocalAddress,LocalPort,OwningProcess, @{ Name="Prozess"; Expression={((Get-Process -Id $_.OwningProcess).Name )} }

Eine zentrale Instanz in Form eines DNS-Servers gibt es bei mDNS nicht, es kann zudem nicht ausgeschlossen werden, dass mehrere Geräte in einem Netzwerk denselben Hostname verwenden.

Eine Gefahr besteht in dessen, wo sich Schadprogramme über UDP-Port 5353 einnisten und Clients über DNS-Spoofing an Hosts weiterleiten, die von Cyberkrimineller Herkunft zeugen.

mDNS deaktivieren

Aufgrund dieser Umstände könnten Administratoren es in Erwägung ziehen, mDNS zu deaktivieren. Microsoft empfiehlt jedoch vor der generellen Deaktivierung abzusehe. Da sonst die Kommunikation mit verschiedenen Geräten im Netzwerk wie etwa Druckern oder kabellose Geräte beeinträchtigt sein könnten.

Wenn Unternehmen eine solche Maßnahme dennoch bevorzugen, dann empfiehlt Microsoft, mit der Windows-Firewall nur eingehende Anfragen zu blockieren. Die Windows-Firewall enthält dafür die vordefinierte Regel „mDNS (UDP-In)“.

Die Windows-Firewall öffnen mit den Tasten Windows+R und firewall.cpl Ausführen, dann zu Erweiterte Einstellungen gehen.

Man sollte mDNS nur für das Domänen Profil und das Öffentliche Profil deaktivieren, für private Netzwerke aber ermöglichen. Damit sichergestellt wird, dass Anwender im HomeOffice Geräte nutzen können, die auf mDNS ausgelegt sind.

Windows Multicast DNS mDNS ersetzt NetBIOS und LLMNR

Ein Grund mehr um mDNS nicht vorzeitig zu deaktivieren ist, dass Microsoft zunehmend auf dieses Protokoll setzt. In aktuellen Previews von Windows 11 läuft NetBIOS standardmäßig so, dass dieses veraltete Protokoll nur zum Zug kommt, nachdem Anfragen an mDNS und LLMNR gescheitert sind.

Das Standard Verhalten von LLMNR wurde noch nicht geändert. Microsoft will aber künftig mDNS zur Voreinstellung machen, für die Namensauflösung mit Multicast-Protokoll.

Dort wo Anwendungen weiterhin NetBIOS benötigen, kann eine neue Gruppenrichtlinie entsprechend konfiguriert werden. Sie bietet neben mDNS die Optionen, die Namensauflösung über NetBIOS vollständig zuzulassen. Und ganz zu untersagen oder nur in öffentliches Netzwerk zu blockieren.

NetBIOS und Windows Multicast DNS (mDNS)