70-685 Windows 7 Support in Unternehmen.pdf - Gattner

Windows 7-Support 

in Unternehmen – 

Original Microsoft Training 

für Examen 70-685

Dieses Buch ist die deutsche Übersetzung von: Tony Northrup, J.C. Mackin: 

MCITP Self-Paced Training Kit (Exam 70-685): Windows 7 Enterprise Desktop 

Support Technician 

Microsoft Press, Redmond, Washington 98052-6399 

Copyright 2010 Microsoft Corporation 

Das in diesem Buch enthaltene Programmmaterial ist mit keiner Verpflichtung oder 

Garantie irgendeiner Art verbunden. Autor, Übersetzer und der Verlag übernehmen 

folglich keine Verantwortung und werden keine daraus folgende oder sonstige Haftung 

übernehmen, die auf irgendeine Art aus der Benutzung dieses Programmmaterials oder 

Teilen davon entsteht. 

Das Werk einschließlich aller Teile ist urheberrechtlich geschützt. Jede Verwertung 

außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des 

Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, 

Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen 

Systemen. 

Die in den Beispielen verwendeten Namen von Firmen, Organisationen, Produkten, 

Domänen, Personen, Orten, Ereignissen sowie E-Mail-Adressen und Logos sind frei 

erfunden, soweit nichts anderes angegeben ist. Jede Ähnlichkeit mit tatsächlichen 

Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen, E-Mail- 

Adressen und Logos ist rein zufällig. 

15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 

12 11 10 

ISBN 978-3-86645-985-4 

Copyright der deutschen Ausgabe: 

© 2010 O’Reilly Verlag GmbH & Co. KG 

Balthasarstr. 81, 50670 Köln 

Alle Rechte vorbehalten 

Übersetzung: Detlef Johannis, Kempten 

Korrektorat: Claudia Mantel-Rehbach, Entraching 

Fachlektorat und Satz: Günter Jürgensmeier, München 

Umschlaggestaltung: Hommer Design GmbH, Haar (www.HommerDesign.com) 

Layout und Gesamtherstellung: Kösel, Krugzell (www.KoeselBuch.de)

Inhaltsverzeichnis 

Danksagungen . ......................................................... XV 

Einführung . ............................................................ XVII 

Hardwarevoraussetzungen .............................................. XVIII 

Einrichten des Testnetzwerks für die Übungen ............................... XIX 

Verwenden der CD . ................................................... XIX 

So installieren Sie die Übungstests .................................... XX 

So benutzen Sie die Übungstests . ..................................... XX 

So deinstallieren Sie die Übungstests .................................. XXII 

Das Microsoft Certified Professional-Programm ............................. XXII 

Support für dieses Buch ................................................ XXII 

Kapitel 1: Beseitigen von Hardwarefehlern . ..................................... 1 

Bevor Sie beginnen ..................................................... 1 

Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 ....... 2 

Problembehandlung mit dem Windows 7-Wartungscenter ..................... 2 

Behandeln von Problemen mit den Windows 7-Problembehandlungsmodulen . ..... 4 

Behandeln von Problemen im Geräte-Manager ............................. 15 

Behandeln von Problemen mit der Zuverlässigkeitsüberwachung ............... 17 

Behandeln von Problemen mit der Ereignisanzeige .......................... 19 

Behandeln von Startfehlern mit der Systemstartreparatur . ..................... 20 

Untersuchen von RAM-Fehlern mit der Windows-Speicherdiagnose . ............ 24 

Behandeln von Festplattenproblemen mit Chkdsk ........................... 28 

Behandeln von Festplattenproblemen mit der Defragmentierung ................ 30 

Zusammenfassung der Lektion ......................................... 32 

Lernzielkontrolle ................................................... 33 

Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten .................. 34 

Unterscheiden von Hardware- und Softwarefehlern . ......................... 34 

Ablauf des Systemstarts .............................................. 34 

Behandeln von Netzteilproblemen ...................................... 36 

Behandeln von Problemen mit dem Motherboard ........................... 37 

Behandeln von RAM-Problemen ....................................... 39 

Behandeln von Festplattenproblemen .................................... 40 



Rückblick auf dieses Kapitel .............................................. 44 

Zusammenfassung des Kapitels ............................................ 44 

Schlüsselbegriffe ....................................................... 44 

III

IV Inhaltsverzeichnis 

Übungen mit Fallbeispiel ................................................. 44 

Übung mit Fallbeispiel 1: Problembehandlung für Abbruchfehler ............... 45 

Übung mit Fallbeispiel 2: Problembehandlung für Systemabstürze .............. 45 

Vorgeschlagene Übungen . ................................................ 46 

Untersuchen und Beseitigen von Hardwareproblemen . ....................... 46 

Machen Sie einen Übungstest . ............................................. 46 

Kapitel 2: Netzwerk ........................................................ 47 


Lektion 1: Problembehandlung für die Netzwerkkonnektivität ..................... 49 

Arbeiten mit der Windows-Netzwerkdiagnose . ............................. 49 

Tools zum Behandeln von Netzwerkproblemen . ............................ 52 

Problembehandlung für eine APIPA-Adresse .............................. 58 

Behandeln von Verbindungsproblemen ................................... 60 



Lektion 2: Problembehandlung für die Namensauflösung ......................... 68 

So führen Sie eine Problembehandlung für Namensauflösungsprobleme durch ..... 68 

Verwalten des DNS-Caches ........................................... 70 



Lektion 3: Problembehandlung für Drahtlosnetzwerke ........................... 75 

Grundlagen von Drahtlosnetzwerken .................................... 75 

Herstellen der Verbindung zu Drahtlosnetzwerken .......................... 76 

Ändern der Konfiguration eines Drahtlosnetzwerks . ......................... 82 

Ändern der Prioritäten für Drahtlosnetzwerke .............................. 83 

Sicherheit in Drahtlosnetzwerken ....................................... 84 

Konfigurieren von WPA-EAP-Sicherheit ................................. 86 

Konfigurieren von Drahtlosnetzwerkprofiltypen ............................ 89 

Behandeln häufiger Drahtlosnetzwerkprobleme ............................ 90 

Analysieren von Drahtlosverbindungsproblemen in der Ereignisanzeige .......... 93 







Übung mit Fallbeispiel 1: Behandeln eines Netzwerkproblems ................. 

Übung mit Fallbeispiel 2: Problembehandlung beim Verbindungsaufbau zu einem 

99 

Drahtlosnetzwerk ................................................... 99 


Untersuchen und Beseitigen von Problemen mit der Netzwerkkonnektivität ....... 100 

Untersuchen und Beseitigen von Namensauflösungsproblemen . ................ 101 

Untersuchen und Beseitigen von Problemen mit Drahtlosverbindungen . .......... 101 

Machen Sie einen Übungstest . ............................................. 102

Inhaltsverzeichnis V 

Kapitel 3: Drucker ......................................................... 103 


Lektion 1: Problembehandlung für Netzwerkdrucker ............................ 105 

Verwenden des Problembehandlungsmoduls Drucker ........................ 105 

Überwachen von Druckerereignissen .................................... 107 

Gruppenrichtlinieneinstellungen für die Problembehandlung . .................. 108 

Behandeln von Serverproblemen ....................................... 109 

Behandeln von Treiberproblemen ....................................... 111 

Behandeln von Netzwerkproblemen ..................................... 115 







Übung mit Fallbeispiel 1: Probleme aufgrund ungenügender Privilegien .......... 125 

Übung mit Fallbeispiel 2: Behandeln eines Druckerproblems .................. 125 


Untersuchen und Beseitigen von Problemen mit Netzwerkdruckern ............. 125 


Kapitel 4: Sicherheit ....................................................... 127 


Lektion 1: Authentifizieren von Benutzern .................................... 130 

Was ist Authentifizierung? ............................................ 130 

Arbeiten mit der Anmeldeinformationsverwaltung .......................... 131 

Problembehandlung für die Authentifizierung .............................. 133 



Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit ..... 146 

Internet Explorer-Add-Ons ............................................ 146 

Hinzufügen von Sites zur Liste Vertrauenswürdige Sites ...................... 154 

Geschützter Modus . ................................................. 154 

Problembehandlung für Zertifikatprobleme . ............................... 157 

Erkennen von Einschränkungen, die durch Gruppenrichtlinien verursacht werden . .. 159 



Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung .............. 167 

Das verschlüsselnde Dateisystem EFS ................................... 167 

BitLocker ......................................................... 176 





Schlüsselbegriffe ....................................................... 190

VI Inhaltsverzeichnis 


Übung mit Fallbeispiel 1: Empfehlen von Datensicherheitstechnologien .......... 190 

Übung mit Fallbeispiel 2: Unerwünschte Internet Explorer-Add-Ons ............ 191 


Untersuchen und Beseitigen von Anmeldeproblemen ........................ 191 

Untersuchen und Beseitigen von Verschlüsselungsproblemen .................. 192 

Untersuchen und Beseitigen von Sicherheitsproblemen für Windows 

Internet Explorer ................................................... 192 


Kapitel 5: Schützen von Clientsystemen ....................................... 195 


Lektion 1: Beseitigen von Malwareproblemen ................................. 197 

Grundlagen von Malware ............................................. 197 

Grundlagen der Benutzerkontensteuerung ................................. 199 

Clients mit Windows-Defender vor Spyware schützen ....................... 208 

Erkennen, ob ein System mit Malware infiziert ist .......................... 213 

Beseitigen einer Malwareinfektion ...................................... 214 






Übung mit Fallbeispiel . .................................................. 220 

Übung mit Fallbeispiel 1: Beseitigen von Malwareinfektionen ................. 220 


Untersuchen und Beseitigen von Problemen aufgrund von Schadsoftware . ........ 221 


Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverbindungen .... 223 


Lektion 1: Grundlagen von VPN-Clientverbindungen . ........................... 225 

Grundlagen von VPNs ............................................... 225 

Grundlagen der VPN-Tunnelprotokolle in Windows 7 . ....................... 234 

Ablauf des Verbindungsaufbaus bei Remotezugriff-VPNs ..................... 238 

Problembehandlung für VPN-Clientverbindungen . .......................... 241 



Lektion 2: Grundlagen von DirectAccess-Clientverbindungen ..................... 254 

Überblick über DirectAccess .......................................... 254 

Grundlagen von DirectAccess und IPv6-Übergangstechnologien . ............... 255 

Elemente der DirectAccess-Infrastruktur . ................................. 258 

DirectAccess-Clienteinstellungen für IPv6 von Hand konfigurieren ............. 262 

IPv6-Internetfeatures auf dem DirectAccess-Server von Hand konfigurieren . ...... 262 

Abläufe beim Aufbau einer DirectAccess-Verbindung . ....................... 263 

Problembehandlung für DirectAccess-Verbindungen . ........................ 264 


Lernzielkontrolle ................................................... 268

Inhaltsverzeichnis VII 




Übungen mit Fallbeispiel ................................................. 270 

Übung mit Fallbeispiel 1: Problembehandlung für ein Remotezugriff-VPN ........ 270 

Übung mit Fallbeispiel 2: Problembehandlung für DirectAccess ................ 270 


Untersuchen und Beseitigen von Remotezugriffsproblemen ................... 271 


Kapitel 7: Updates ......................................................... 273 


Lektion 1: Aktualisieren von Software ....................................... 275 

Methoden für die Bereitstellung von Updates .............................. 275 

Kompatibilität von Updates prüfen ...................................... 277 

Installieren von Updates .............................................. 278 

Überprüfen von Updates . ............................................. 284 

Problembehandlung für die Updateinstallation ............................. 286 

Entfernen von Updates ............................................... 288 







Übung mit Fallbeispiel 1: Verteilen von Updates . ........................... 296 

Übung mit Fallbeispiel 2: Überwachen von Updates ......................... 296 


Untersuchen und Beseitigen von Softwareupdateproblemen ................... 297 


Kapitel 8: Leistung . ........................................................ 299 


Lektion 1: Weiterleiten von Ereignissen ...................................... 301 

So funktioniert die Ereignisweiterleitung ................................. 301 

Konfigurieren der Ereignisweiterleitung in AD DS-Domänen .................. 302 

Konfigurieren der Ereignisweiterleitung in Arbeitsgruppenumgebungen .......... 309 

Problembehandlung für die Ereignisweiterleitung ........................... 309 



Lektion 2: Behandeln von Leistungsproblemen ................................ 318 

Task-Manager . ..................................................... 318 

Leistungsüberwachung ............................................... 322 

Sammlungssätze und Berichte . ......................................... 325 

Problembehandlung für die Datenträgerleistung ............................ 329 

Konfigurieren von Energieeinstellungen .................................. 332 

Systemkonfiguration . ................................................ 333

VIII Inhaltsverzeichnis 







Übung mit Fallbeispiel 1: Überwachen von Kioskcomputern .................. 340 

Übung mit Fallbeispiel 2: Behandeln eines Leistungsproblems ................. 341 


Untersuchen und Beseitigen von Leistungsproblemen ........................ 342 


Kapitel 9: Beseitigen von Softwareproblemen ................................... 345 


Lektion 1: Beseitigen von Installationsfehlern ................................. 346 

Überprüfen der Voraussetzungen für eine Softwareinstallation ................. 346 

Grundlagen von Installationseinschränkungen durch AppLocker . ............... 350 



Lektion 2: Beseitigen von Softwarekonfigurations- und Kompatibilitätsproblemen . ..... 361 

Beseitigen von Softwarekonfigurationsproblemen . .......................... 361 

Grundlagen der Anwendungskompatibilität . ............................... 363 







Übung mit Fallbeispiel 1: Einschränken von Software mit AppLocker ........... 

Übung mit Fallbeispiel 2: Konfigurieren von Anwendungskompatibilitäts- 

376 

einstellungen ...................................................... 376 


Untersuchen und Beseitigen von Problemen bei der Installation neuer Software .... 377 

Untersuchen und Beseitigen von Softwarekonfigurationsproblemen ............. 377 

Untersuchen und Beseitigen von Softwarefehlern ........................... 377 


Anhang A: Konfigurieren der Windows-Firewall . ................................. 379 

Grundlagen der Windows-Firewall . ......................................... 379 

Eingehenden Verkehr zulassen ......................................... 381 

Ausgehenden Verkehr sperren . ......................................... 382 

Definieren komplexer Verkehrstypen .................................... 383 

Grundlagen von Netzwerkstandorten ........................................ 383 

Grundlagen von Firewallprofilen ........................................... 385 

Erstellen eingehender Ausnahmen .......................................... 386 

Erstellen eingehender Ausnahmen in Gruppenrichtlinien ......................... 388

Inhaltsverzeichnis IX 

Problembehandlung für die Windows-Firewall . ................................ 389 

Problembehandlung für die Windows-Firewalleinstellungen in der Systemsteuerung . 389 

Problembehandlung für zugelassene Programme . ........................... 391 

Problembehandlung in der Konsole Windows-Firewall mit erweiterter Sicherheit ... 392 

Problembehandlung für die Windows-Firewall mit Gruppenrichtlinien ........... 395 

Problembehandlung für die Windows-Firewall mithilfe der Firewallprotokolle ..... 397 

Problembehandlung für die Windows-Firewall mithilfe von Ereignisprotokollen . ... 398 

Zusammenfassung ...................................................... 402 

Anhang B: Verwalten von Benutzerdateien und -einstellungen ...................... 403 

Verwalten von Offlinedateien . ............................................. 403 

Grundlagen von Offlinedateien ......................................... 403 

Arbeiten mit Offlinedateien ........................................... 406 

Verwalten der Datenträgerverwendung für Offlinedateien ..................... 415 

Konfigurieren von Offlinedateien mithilfe von Gruppenrichtlinien .............. 417 

Verwalten von Benutzerdaten im Netzwerk ................................... 426 

Grundlagen der Benutzerprofile in Windows 7 ............................. 426 

Grundlagen der Ordnerumleitung in Windows 7 ............................ 434 

Konfigurieren der Ordnerumleitung ..................................... 437 

Konfigurieren eines Zielordners ........................................ 438 

Konfigurieren der Optionen auf der Registerkarte Einstellungen der Ordnerumleitung 439 

Zusammenfassung .................................................. 445 


Anhang C: Konfiguration und Problembehandlung des Startvorgangs ............... 447 

Was ist neu beim Start von Windows 7? ...................................... 447 

Startkonfigurationsdaten .............................................. 448 

Systemwiederherstellung ............................................. 451 

Windows-Startleistungsdiagnose . ....................................... 452 

Ablauf des Startvorgangs ................................................. 453 

POST-Phase ....................................................... 454 

Anfangsstartphase .................................................. 454 

Windows-Start-Manager-Phase . ........................................ 457 

Windows-Startladeprogramm-Phase ..................................... 458 

Kernel-Ladephase . .................................................. 459 

Anmeldephase ..................................................... 464 

Wichtige Startdateien . ................................................... 465 

So konfigurieren Sie Starteinstellungen ...................................... 466 

So verwenden Sie das Dialogfeld Starten und Wiederherstellen . ................ 466 

So verwenden Sie das Tool Systemkonfiguration ........................... 467 

So verwenden Sie BCDEdit ........................................... 468 

So entfernen Sie das Windows 7-Startladeprogramm . ........................ 473 

So konfigurieren Sie ein Benutzerkonto für die automatische Anmeldung ......... 474 

So deaktivieren Sie den Windows-Startsound .............................. 474 

So beschleunigen Sie den Startvorgang ................................... 475

X Inhaltsverzeichnis 

Der Ablauf bei der Behandlung von Startproblemen ............................. 475 

Problembehandlung für den Startvorgang, bevor das Windows-Logo erscheint ..... 476 

Problembehandlung für den Startvorgang, nachdem das Windows-Logo erscheint . .. 485 

Behandlung von Startproblemen nach der Anmeldung . ....................... 496 


Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke ................ 501 

Verbesserungen für die Problembehandlung für Hardware und Treiber in Windows 7 .... 501 

Die Windows-Problembehandlungsplattform .............................. 502 

Ressourcenmonitor . ................................................. 504 

Windows-Speicherdiagnose ........................................... 505 

Datenträgerfehlerdiagnose ............................................ 506 

Selbstheilendes NTFS . ............................................... 507 

Höhere Zuverlässigkeit von Treibern .................................... 507 

Verbesserte Fehlerberichterstattung . ..................................... 507 

Der Ablauf bei der Behandlung von Hardwareproblemen ......................... 

So führen Sie eine Behandlung von Problemen durch, die verhindern, 

508 

dass Windows startet ................................................ 

So führen Sie eine Behandlung von Problemen bei der Installation 

508 

neuer Hardware durch . ............................................... 508 

So führen Sie eine Behandlung von Problemen mit vorhandener Hardware durch ... 509 

So führen Sie eine Behandlung von nicht eindeutig zuordenbaren Symptomen durch 510 

So diagnostizieren Sie Hardwareprobleme .................................... 512 

So identifizieren Sie ausgefallene Geräte mit dem Geräte-Manager .............. 512 

So überprüfen Sie den Hardwarezustand Ihres Computers . .................... 512 

So prüfen Sie die Konfiguration Ihrer Hardware ............................ 

So überprüfen Sie, ob die Firmware von System und Peripheriegeräten 

513 

auf dem neusten Stand ist ............................................. 515 

So testen Sie Ihre Hardware mit den Diagnosetools . ......................... 515 

So vereinfachen Sie Ihre Hardwarekonfiguration ........................... 515 

So diagnostizieren Sie Probleme im Zusammenhang mit Laufwerken ............ 516 

So verwenden Sie die eingebaute Diagnose ................................... 517 

So verwenden Sie die Zuverlässigkeitsüberwachung ......................... 517 

So verwenden Sie Sammlungssätze . ..................................... 518 

So verwenden Sie die Windows-Speicherdiagnose .......................... 519 

So führen Sie eine Behandlung von Laufwerksproblemen durch . ................... 524 

So treffen Sie Vorbereitungen für den Fall, dass Datenträgerfehler auftreten ....... 524 

So verwenden Sie Chkdsk . ............................................ 525 

So verwenden Sie den Datenträgerbereinigungs-Assistenten ................... 530 

So deaktivieren Sie den permanenten Cache ............................... 530 

So führen Sie eine Behandlung von Treiberproblemen durch ...................... 531 

So finden Sie Treiberupdates .......................................... 531 

So verwenden Sie die Treiberüberprüfung . ................................ 532 

So verwenden Sie die Dateisignaturverifizierung ........................... 533 

So können Sie mit dem Geräte-Manager die Ressourcennutzung anzeigen und ändern 535 

So verwenden Sie die Systemwiederherstellung ................................ 535 

So führen Sie eine Behandlung von USB-Problemen durch ....................... 536

Inhaltsverzeichnis XI 

So führen Sie eine Behandlung von Bluetooth-Problemen durch . ................... 541 

Tools für die Problembehandlung . .......................................... 542 

DiskView ......................................................... 542 

Handle ........................................................... 542 

Process Monitor .................................................... 543 


Anhang E: Behandlung von Problemen mit Netzwerken ........................... 545 

Tools für die Problembehandlung . .......................................... 545 

Arp . ............................................................. 547 

Ereignisanzeige .................................................... 549 

Ipconfig .......................................................... 550 

Nblookup ......................................................... 551 

Nbtstat ........................................................... 552 

Net .............................................................. 554 

Netstat ........................................................... 555 

Network Monitor ................................................... 557 

Nslookup ......................................................... 559 

PathPing . ......................................................... 562 

Leistungsüberwachung ............................................... 565 

Sammlungssätze .................................................... 567 

Ressourcenmonitor . ................................................. 569 

Ping ............................................................. 570 

Portqry ........................................................... 571 

Route ............................................................ 573 

Task-Manager . ..................................................... 576 

TCPView ......................................................... 578 

Telnet-Client . ...................................................... 579 

Test TCP .......................................................... 580 

Windows-Netzwerkdiagnose . .......................................... 582 

Der Ablauf bei der Behandlung von Netzwerkproblemen ......................... 583 

So führen Sie eine Behandlung von Netzwerkverbindungsproblemen durch ....... 584 

So führen Sie eine Behandlung von Anwendungsverbindungsproblemen durch ..... 589 

So führen Sie eine Behandlung von Namensauflösungsproblemen durch . ......... 

So führen Sie eine Behandlung von Leistungsproblemen und sporadischen 

592 

Konnektivitätsproblemen durch ........................................ 

So führen Sie eine Behandlung von Beitritts- oder Anmeldeproblemen 

595 

in einer Domäne durch ............................................... 599 

So führen Sie eine Behandlung von Problemen bei der Netzwerkerkennung durch .. 602 

So führen Sie eine Behandlung von Problemen mit der Datei- und Druckerfreigabe 

durch ............................................................ 602 

So führen Sie eine Behandlung von Problemen in Drahtlosnetzwerken durch ...... 605 

So führen Sie eine Behandlung von Firewallproblemen durch .................. 607 

Zusammenfassung ...................................................... 608

XII Inhaltsverzeichnis 

Anhang F: Problembehandlung für Abbruchfehler . ............................... 609 

Überblick über Abbruchmeldungen ......................................... 609 

Identifizieren des Abbruchfehlers ....................................... 610 

Informationen für die Problembehandlung recherchieren . ..................... 610 

Abbruchmeldungen ................................................. 611 

Arten von Abbruchfehlern ............................................ 613 

Speicherabbilddateien ................................................... 614 

Konfigurieren von kleinen Speicherabbilddateien ........................... 615 

Konfigurieren von Kernelspeicherabbilddateien ............................ 616 

Konfigurieren von vollständigen Speicherabbilddateien ...................... 617 

So können Sie von Hand einen Abbruchfehler auslösen und 

eine Speicherabbilddatei erstellen ....................................... 618 

Analysieren von Abbruchfehlern mithilfe von Speicherabbilddateien ............ 619 

Vorbereitungen für das Auftreten von Abbruchfehlern treffen ...................... 623 

Verhindern, dass das System nach einem Abbruchfehler neu startet .............. 623 

Aufzeichnen und Speichern der Abbruchmeldungen ......................... 624 

Überprüfen Sie die Anforderungen an den Festplattenplatz .................... 625 

Installieren von Kerneldebuggern und Symboldateien . ....................... 625 

Meldungen über Hardwarefehler ........................................... 625 

Checkliste für Abbruchmeldungen .......................................... 626 

Überprüfen Sie Ihre Software .......................................... 627 

Überprüfen Sie Ihre Hardware ......................................... 629 


Antworten ............................................................... 633 

Glossar ................................................................. 655 

Stichwortverzeichnis . ...................................................... 659 

Die Autoren .............................................................. 671

Für meine Oma June 

TONY NORTHRUP 

Für meine Nichten Cassidy und Mckenna 

und meinen Neffen Ralph 

J.C. MACKIN

Danksagungen 

Dieses Buch wurde von einem Team von Profis zusammengestellt, und wir, die Autoren, 

möchten diesen Leuten für ihre hervorragende Arbeit danken. Bei Microsoft arbeiteten Ken 

Jones und Martin DelRe unsere Verträge aus, und Maria Gargiulo war als Lektorin tätig. 

Denise Bankaitis, Carol Vu und Christian Holdener koordinierten die Zusammenarbeit der 

vielen Leute, die an diesem Buch mitgearbeitet haben. Susan McClung war die Korrektorin, 

deren Aufgabe es ist, den Buchtext stilsicher und konsistent zu halten. Lindsey Valich, Paul 

Connelly und Nicole Schlutt waren ebenfalls als Korrektoren tätig. 

Bob Dean und Bob Hogan prüften den Inhalt. Sie halfen dabei, die Beschreibungen so 

korrekt wie möglich zu machen. 

Tony Northrup möchte außerdem seinen Freunden dafür danken, dass sie ihm am Ende 

langer Arbeitstage beim Entspannen halfen. Besonderer Dank geht an Eddie und Christine 

Mercado (für die Abendessen), Jose und Lucy Mercado (por el arroz y los frijoles), Brian 

und Melissa Rheaume (für die Drinks), Diane Glenn (für den Kuchen), Jose Gonzalez (für 

die Scherze) und Madelyn Knowles (für die Geduld). 

J.C. Mackin möchte allen Freunden und seiner Familie für ihre Unterstützung und Ermutigung 

danken. 

Es ist ein Riesengeschenk, mit Leuten zusammenzuarbeiten, die Freunde sind. Ein hervorragendes 

Team verbessert nicht nur die Qualität des Buchs, es macht auch die Arbeitsatmosphäre 

viel angenehmer. Dieses Buch zu schreiben, war für uns das bisher angenehmste 

Projekt. Wir hoffen, in Zukunft erneut mit euch allen zusammenarbeiten zu dürfen. 

XV

Einführung 

XVII 

Dieses Training richtet sich an IT-Mitarbeiter, die in einer Vielzahl von Umgebungen für den 

Support für Windows 7 auf Level 1 oder 2 zuständig sind und die Prüfung 70-685 als Microsoft 

Certified Information Technology Professional (MCITP) ablegen möchten. Wir setzen 

voraus, dass Sie bereits die Grundlagen von Microsoft Windows-Clientbetriebssystemen 

und der wichtigsten Internettechnologien kennen, bevor Sie dieses Buch in Angriff nehmen. 

Informationen zur Vorbereitung auf Prüfung 70-685 finden Sie (in englischer Sprache) unter 

http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-685. 

Beim Durcharbeiten dieses Trainings lernen Sie folgende Fertigkeiten: 

Untersuchen und Beseitigen von Problemen mit Desktopanwendungen 

Untersuchen und Beseitigen von Netzwerkproblemen 

Verwalten und Pflegen von Systemen, die unter dem Clientbetriebssystem Windows 7 

laufen 

Support für mobile Benutzer 

Untersuchen und Beseitigen von Sicherheitsproblemen 

In der Tabelle E.1 ist aufgeschlüsselt, wo die einzelnen Prüfungslernziele behandelt werden. 

Tabelle E.1 Prüfungslernziele für Examen 70-685: Windows 7, Enterprise Desktop Support 

Technician 

Prüfungsziel 

Untersuchen und Beseitigen von Problemen mit Desktopanwendungen 

Kapitel Lektion 

Untersuchen und Beseitigen von Problemen bei der Installation neuer Software 9 1 

Untersuchen und Beseitigen von Softwarekonfigurationsproblemen 9 2 

Untersuchen und Beseitigen von Softwarefehlern 

Untersuchen und Beseitigen von Netzwerkproblemen 

9 1 

Untersuchen und Beseitigen von Anmeldungsproblemen 4 1 

Untersuchen und Beseitigen von Netzwerkkonnektivitätsproblemen 2 1 

Untersuchen und Beseitigen von Namensauflösungsproblemen 2 2 

Untersuchen und Beseitigen von Netzwerkdruckerproblemen 

Verwalten und Pflegen von Systemen, die unter dem 

Clientbetriebssystem Windows 7 laufen 

3 1 

Untersuchen und Beseitigen von Leistungsproblemen 8 1 und 2 

Untersuchen und Beseitigen von Hardwareproblemen 

Support für mobile Benutzer 

1 1 und 2 

Untersuchen und Beseitigen von Problemen im Bereich der 

Drahtloskonnektivität 

2 3 

Untersuchen und Beseitigen von Remotezugriffsproblemen 6 1 und 2

XVIII Einführung 

Prüfungsziel Kapitel Lektion 



beim Windows Internet Explorer 

4 2 

Untersuchen und Beseitigen von Problemen aufgrund von Schadsoftware 5 1 

Untersuchen und Beseitigen von Verschlüsselungsproblemen 4 3 

Untersuchen und Beseitigen von Softwareupdateproblemen 7 1 

Hinweis Prüfungsziele 

Die hier aufgeführten Prüfungsziele waren zu dem Zeitpunkt gültig, als das Buch veröffentlicht 

wurde. Prüfungsziele können von Microsoft jederzeit ohne vorherige Ankündigung und 

ohne Begründung geändert werden. Eine stets aktuelle Liste der Prüfungsziele finden Sie auf 

der Website von Microsoft Learning unter http://www.microsoft.com/learning/en/us/Exam. 

aspx?ID=70-685. 

Hardwarevoraussetzungen 

Sie können praktisch alle Übungen in diesem Buch mithilfe virtueller Computer durcharbeiten. 

Die einzige Ausnahme ist Lektion 3 in Kapitel 2 (in der eine Drahtlosnetzwerkkarte zum 

Einsatz kommt), für die Sie einen Hardwarecomputer brauchen. Tabelle E-2 führt die Mindest- 

und die empfohlenen Hardwarevoraussetzungen für Windows 7 auf. 

Tabelle E-2 Mindestanforderungen an die Hardware für Windows 7 

Hardwarekomponente Mindestanforderungen Empfohlen 

Prozessor 1 GHz (x86), 1,4 GHz (x64) 2 GHz oder schneller 

RAM 1 GByte 2 GByte oder mehr 

Festplattenspeicher 16 GByte 40 GByte oder mehr 

Daneben brauchen Sie eine Installation von Windows Server 2008 R2, das nur als 64-Bit- 

Version zur Verfügung steht. Daher brauchen Sie Hardware oder eine Virtualisierungssoftware, 

die 64-Bit-Betriebssysteme unterstützt. Zum Zeitpunkt, als dieses Buch geschrieben 

wurde, boten Microsoft Windows Virtual PC und Microsoft Virtual Server 2005 keine Unterstützung 

für 64-Bit-Gastsysteme. Sun VirtualBox unterstützt 64-Bit-Gastsysteme, Sie können 

es kostenlos von http://www.virtualbox.org herunterladen. Stattdessen können Sie auch das 

Feature Hyper-V in Windows Server 2008 R2 verwenden, wie unter http://www.microsoft. 

com/windowsserver2008/en/us/hyperv-main.aspx beschrieben. 

Sofern Sie vorhaben, mehrere virtuelle Computer auf demselben Hardwarecomputer einzurichten 

(die empfohlene Vorgehensweise), brauchen Sie mehr Leistung, wenn Sie flüssig 

arbeiten wollen. Ein Computer mit 4 GByte RAM und 60 GByte freiem Festplattenplatz ist 

in der Lage, alle virtuellen Computer zu hosten, die in den Übungen dieses Buchs vorausgesetzt 

werden.

Einrichten des Testnetzwerks für die Übungen 

Einführung XIX 

Für die Übungen in diesem Training brauchen Sie mindestens drei echte oder virtuelle 

Computer, die folgendermaßen eingerichtet sind: 

Ein Server, der unter Windows Server 2008 R2 Standard läuft und als Domänencontroller 

konfiguriert ist. Geben Sie dem Server den Namen DC1 und der Domäne den Namen 

nwtraders.msft. 

Zwei Computer mit Windows 7, die als Domänenmitglieder konfiguriert sind. Geben Sie 

diesen Computern die Namen CLIENT1 und CLIENT2. 

Übernehmen Sie beim Installieren der Betriebssysteme alle Standardeinstellungen, ändern 

Sie lediglich die Computernamen, wie hier beschrieben. 

Verwenden der CD 

Die in diesem Buch enthaltene Begleit-CD enthält folgende Komponenten: 

Übungstests Mit den Übungstests (in englischer Sprache) können Sie Ihre Kenntnisse 

zum Support für Windows 7 vertiefen. Sie können diese Übungstests an Ihre Anforderungen 

anpassen, indem Sie die gewünschten Bereiche aus den Lernzielkontrollfragen 

dieses Buchs auswählen. Oder Sie üben für die Prüfung 70-685 mithilfe von Tests, die 

aus einem Pool mit etwa 200 realistischen Prüfungsfragen zusammengestellt werden. 

Diese Zahl reicht aus, um etliche unterschiedliche Testprüfungen durchzuführen, sodass 

Sie optimal vorbereitet sind. 

Übungen Einige Kapitel in diesem Buch enthalten Skripts, die Ihre Testcomputer für 

die Übungen am Ende einer Lektion konfigurieren. Sie finden diese Skripts im Ordner 

Practice Exercises auf der Begleit-CD. 

Ein E-Book Eine elektronische Version (E-Book) dieses Buchs (in englischer Sprache) 

ist auf der Begleit-CD enthalten. So können Sie das Buch lesen, auch wenn Sie gerade 

keine Gelegenheit haben, die Papierversion mitzunehmen. Das E-Book liegt im PDF- 

Format (Portable Document Format) vor, Sie können es sich mit Adobe Acrobat oder 

Adobe Reader ansehen. 

Hinweis Wenn Sie dieses Buch ohne Begleitmedium erworben haben (z.B. als E-Book), 

können Sie die für das Durcharbeiten notwendigen Dateien unter dieser Adresse herunterladen: 

http://go.microsoft.com/fwlink/?LinkID=194574&clcid=0x407. 

Systemvoraussetzungen für die Begleit-CD 

Um die Begleit-CD zu diesem Buch benutzen zu können, brauchen Sie einen Computer 

mit Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003 oder 

Windows XP. Dieser Computer muss folgende Mindestvoraussetzungen erfüllen: 

32-Bit- (x86) oder 64-Bit-Prozessor (x64) mit 1 GHz 

1 GByte Arbeitsspeicher 

Eine Festplattenpartition mit mindestens 1 GByte freiem Platz 

Ein Monitor mit einer Auflösung von mindestens 800 × 600 Pixeln

XX Einführung 

Tastatur 

Maus oder anderes Zeigegerät 

Ein optisches Laufwerk, das CD-ROMs lesen kann 

Auf dem Computer muss folgende Software vorhanden sein: 

Ein Webbrowser, beispielsweise Microsoft Internet Explorer Version 6 oder neuer 

Eine Anwendung zum Anzeigen von PDF-Dateien, zum Beispiel Adobe Acrobat 

Reader, den Sie unter http://www.adobe.com/reader herunterladen können 

Diese Voraussetzungen gelten für die Nutzung der Begleit-CD. Um die Übungen in 

diesem Training durchzuarbeiten, brauchen Sie zusätzliche Hard- oder Software, wie 

weiter oben genau beschrieben. 

So installieren Sie die Übungstests 

Gehen Sie folgendermaßen vor, um die Übungstests von der Begleit-CD auf Ihre Festplatte 

zu installieren: 

1. Legen Sie die Begleit-CD in das CD-Laufwerk und stimmen Sie der Lizenzvereinbarung 

zu. Daraufhin öffnet sich ein CD-Menü. 

Hinweis Falls sich das CD-Menü nicht öffnet 

Falls das CD-Menü oder die Lizenzvereinbarung nicht angezeigt werden, ist wahrscheinlich 

die AutoRun-Funktion auf Ihrem Computer deaktiviert. Bitte lesen Sie in diesem 

Fall die Datei Readme.txt auf der Begleit-CD, dort finden Sie Hinweise zu alternativen 

Installationsmethoden. 

2. Klicken Sie auf das Feld Practice Tests und folgen Sie den angezeigten Anweisungen. 

So benutzen Sie die Übungstests 

Gehen Sie folgendermaßen vor, um die Übungstests zu starten: 

1. Klicken Sie auf Start/Alle Programme/Microsoft Press Training Kit Exam Prep. 

Daraufhin öffnet sich ein Fenster, in dem alle Microsoft Press-Training Kit-Prüfungsvorbereitungskomponenten 

aufgelistet sind, die Sie auf Ihrem Computer installiert 

haben. 

2. Klicken Sie doppelt auf die Lernzielkontroll- oder Übungstests, die Sie durcharbeiten 

möchten. 

Hinweis Unterschiede zwischen Lernzielkontroll- und Übungstests 

Wählen Sie den Punkt Lesson Review zu (70-685) Windows 7, Enterprise Desktop 

Support Technician aus, wenn Sie die Fragen aus den »Lernzielkontrolle«-Abschnitten 

dieses Buchs durcharbeiten möchten. Wählen Sie den Punkt Practice Test aus, wenn Sie 

Fragen aus einem Pool mit über 200 Übungsfragen beantworten möchten, die den Fragen 

in der Prüfung 70-685 ähneln.

Optionen für Lernzielkontrollfragen 

Einführung XXI 

Wenn Sie die Lernzielkontrollfragen ausgewählt haben, öffnet sich das Dialogfeld Custom 

Mode, in dem Sie Ihren Test konfigurieren können. Sie können einfach auf OK klicken, um 

die Standardeinstellungen zu übernehmen, oder auswählen, wie viele Fragen gestellt werden 

sollen, welche Prüfungsziele Sie abdecken wollen und ob die Übungsdauer gemessen werden 

soll. Falls Sie einen Test ein weiteres Mal durchführen, können Sie auswählen, ob sämtliche 

Fragen erneut angezeigt werden sollen oder nur die Fragen, die Sie beim letzten Mal falsch 

oder überhaupt nicht beantwortet haben. 

Sobald Sie auf OK geklickt haben, beginnt die Lernzielkontrolle. 

Beantworten Sie im Test die Fragen und wechseln Sie mit den Schaltflächen Next und 

Previous von einer Frage zur anderen. 

Nachdem Sie eine Frage beantwortet haben, können Sie überprüfen, ob die Antwort 

richtig war, indem Sie auf die Schaltfläche Explanation klicken. Dabei wird auch eine 

Erläuterung zu den richtigen und falschen Antworten angezeigt. 

Falls Sie lieber erst den gesamten Test durcharbeiten wollen, bevor Sie sich das Ergebnis 

ansehen, können Sie alle Fragen beantworten und dann auf Score Test klicken. Daraufhin 

wird eine Zusammenfassung der ausgewählten Prüfungsziele angezeigt, in der Sie sehen, 

wie viel Prozent der Fragen Sie insgesamt und pro Lernziel richtig beantwortet haben. 

Sie können sich den Test ausdrucken, Ihre Antworten durchgehen oder den Test wiederholen. 

Optionen für Übungstests 

Wenn Sie einen Übungstest starten, können Sie auswählen, ob Sie im Zertifizierungs-, Lernoder 

benutzerdefinierten Modus arbeiten wollen: 

Zertifizierungsmodus (Certification Mode) Dieser Modus ähnelt stark dem Ablegen 

einer echten Zertifizierungsprüfung. Der Test enthält eine bestimmte Zahl von Fragen, 

die Zeit ist begrenzt und Sie können die Prüfung nicht unterbrechen. 

Lernmodus (Study Mode) Erstellt einen Test ohne Zeitbegrenzung, in dem Sie sich 

die richtigen Antworten und die zugehörigen Erklärungen ansehen können, nachdem Sie 

jeweils eine Frage beantwortet haben. 

Benutzerdefinierter Modus (Custom Mode) In diesem Modus haben Sie volle Kontrolle 

über die Testoptionen, sodass Sie den Test nach Belieben gestalten können. 

Die Benutzeroberfläche beim Durchführen des Tests ist in allen Modi fast dieselbe, allerdings 

sind jeweils andere Optionen aktiviert oder deaktiviert. Die wichtigsten Optionen sind im 

vorhergehenden Abschnitt, »Optionen für Lernzielkontrollfragen«, beschrieben. 

Wenn Sie nachsehen, ob Ihre Antwort für eine einzelne Frage eines Übungstests richtig war, 

wird ein Verweisabschnitt (References) angezeigt, in dem aufgelistet ist, an welcher Stelle 

im Training das entsprechende Thema behandelt wird und wo Sie weitere Informationen 

finden. Nachdem Sie auf Test Results geklickt haben, um sich das Gesamtergebnis für Ihren 

Test anzeigen zu lassen, können Sie auf die Registerkarte Learning Plan klicken, um sich 

eine Liste der Verweise für jedes einzelne Lernziel anzeigen zu lassen.

XXII Einführung 

So deinstallieren Sie die Übungstests 

Sie können die Übungstests mit dem Eintrag Programm deinstallieren in der Windows- 

Systemsteuerung deinstallieren. 

Das Microsoft Certified Professional-Programm 

Die Microsoft-Zertifizierungen bieten Ihnen eine optimale Möglichkeit, Ihre Kenntnisse der 

aktuellen Microsoft-Produkte und -Technologien unter Beweis zu stellen. Die Prüfungen 

und entsprechenden Zertifikate dienen als Nachweis Ihrer Kompetenz in Bezug auf Entwurf, 

Entwicklung, Implementierung und Unterstützung von Lösungen mit Microsoft-Produkten 

und -Technologien. Fachkräfte, die über Microsoft-Zertifikate verfügen, sind als Experten 

anerkannt und in der Branche äußerst gefragt. Die Zertifizierung bringt zahlreiche Vorteile 

für Bewerber, Arbeitgeber und Organisationen mit sich. 

Weitere Informationen Alle Microsoft-Zertifizierungen 

Eine vollständige Liste der Microsoft-Zertifizierungen finden Sie unter http://www.microsoft. 

com/learning/mcp/default.asp. 

Support für dieses Buch 

Microsoft Press hat sich um die Richtigkeit der in diesem Buch sowie der auf der Begleit- 

CD enthaltenen Informationen bemüht. Mit Anmerkungen, Fragen oder Verbesserungsvorschlägen 

zu diesem Buch oder der Begleit-CD können Sie sich an Microsoft Press wenden: 

Per E-Mail (auf Englisch): 

tkinput@microsoft.com 

Per Post: Microsoft Press 

Betrifft: Training 70-685: Windows 7-Support in Unternehmen 

Konrad-Zuse-Straße 1 

85716 Unterschleißheim 

Weitere Supportinformationen zu diesem Buch und der beiliegenden CD-ROM finden Sie 

auf der Supportwebsite von Microsoft Press unter http://microsoft.com/germany/mspress/ 

support/. Sie können eine Frage auch direkt in die Microsoft Press Knowledge Base eingeben. 

Besuchen Sie hierzu die folgende Website: http://www.microsoft.com/mspress/ 

support/search.asp. Weitere Informationen zu den Microsoft-Softwareprodukten erhalten 

Sie unter der Adresse http://support.microsoft.com/.

K A P I T E L 1 

Beseitigen von Hardwarefehlern 

Windows 7 ist das neueste Mitglied in der Familie der Windows-Clientbetriebssysteme, zu 

der unter anderem Windows XP und Windows Vista gehören. Wenn Sie ein Supporttechniker 

in einem großen Unternehmen sind, das Windows 7 bereitgestellt hat, gehören zu Ihren Aufgaben 

wahrscheinlich nicht nur der Support für dieses Betriebssystem, sondern auch für alle 

Clientanwendungen, die unter Windows 7 laufen, sowie für die Hardwarecomputer, auf denen 

die Software ausgeführt wird. 

Für Ihre Arbeit müssen Sie daher wissen, welche Tools sich für die Diagnose fehlerhafter 

Hardware eignen und wie Sie diese Tools einsetzen. Windows 7 bringt etliche solcher Tools 

mit, darunter integrierte Problembehandlungsmodule, Speicherdiagnosesoftware, Datenträgerdiagnosesoftware 

und andere Dienstprogramme. 

Dieses Kapitel stellt diese Tools vor und beschreibt Strategien für die Problembehandlung 

bestimmter Hardwarekomponenten. 

Prüfungslernziele in diesem Kapitel: 


Lektionen in diesem Kapitel: 

Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 . 2 

Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten ............. 34 

Bevor Sie beginnen 

Um die Übungen in diesem Kapitel durcharbeiten zu können, brauchen Sie: 

Einen Computer mit Windows 7 Professional, Enterprise oder Ultimate 

Grundkenntnisse über Microsoft Windows 

1

2 Kapitel 1: Beseitigen von Hardwarefehlern 

Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools 

von Windows 7 

In dieser Lektion lernen Sie die Tools kennen, die Windows 7 zur Verfügung stellt (zum 

Beispiel Wartungscenter, Windows 7-Problembehandlungsmodule, Zuverlässigkeitsüberwachung, 

Ereignisanzeige und Geräte-Manager), um eine Problembehandlung bei Computerfehlern 

einzuleiten. Anschließend stellt die Lektion weitere Tools vor (beispielsweise 

Systemstartreparatur, Windows-Speicherdiagnose, Chkdsk und Defragmentierung), die Sie 

einsetzen können, um Fehler im Bereich bestimmter Hardwarekomponenten zu untersuchen, 

zu diagnostizieren und zu reparieren. 

Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen: 

Einsetzen verschiedener Tools aus Windows 7 für die Problembehandlung von Hardwarefehlern 

Veranschlagte Zeit für diese Lektion: 60 Minuten 

Problembehandlung mit dem Windows 7-Wartungscenter 

Wenn Sie ein Computerproblem untersuchen, dessen Ursache nicht bekannt ist, ist das Wartungscenter 

der erste und bequemste Anlaufpunkt, um nach entsprechenden Informationen 

zu suchen. Das Wartungscenter ist eine erweiterte Version des Tools, das in Windows Vista 

den Namen Sicherheitscenter trug. In Windows 7 zeigt das erweiterte Wartungscenter mehr 

als nur Sicherheitsbenachrichtigungen an. Es listet alle wichtigen Warnungen auf, die das 

Eingreifen des Benutzers erfordern. Diese Warnungen weisen zwar oft auf Softwareprobleme 

im Bereich der Sicherheit (etwa fehlerhafte Firewall- oder Antivireneinstellungen) oder Wartung 

(beispielsweise fehlgeschlagene Datensicherungen) hin, sie können aber auch bestimmte 

Arten von Hardwareproblemen aufdecken, beispielsweise aufgrund fehlender oder inkompatibler 

Gerätetreiber. Abbildung 1.1 zeigt das Wartungscenter. 

Abbildung 1.1 Das Windows 7-Wartungscenter

Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von Windows 7 3 

Sie öffnen das Wartungscenter, indem Sie im Infobereich der Taskleiste auf das Flaggensymbol 

klicken. Daraufhin öffnet sich ein Menü (Abbildung 1.2), das Links zu allen Warnmeldungen 

sowie Einträge zum Durchführen der empfohlenen Aktionen und zum Öffnen des 

Wartungscenters enthält. 

Abbildung 1.2 Das Wartungscenter zeigt 

im Infobereich ein Flaggensymbol an 

Selbst wenn Sie im Wartungscenter keine Warnmeldungen zu dem Problem finden, das Sie 

gerade untersuchen, können Sie es nutzen, um andere wichtige Problembehandlungswerkzeuge 

aufzurufen. Beispielsweise haben Sie im Wartungscenter die Möglichkeit, die Problembehandlungsmodule 

der Systemsteuerung oder die Zuverlässigkeitsüberwachung zu 

öffnen; diese Tools werden weiter unten in diesem Kapitel beschrieben. 

Aktivieren von Benachrichtigungen im Wartungscenter 

Sie haben die Möglichkeit, das Wartungscenter so zu konfigurieren, dass es nur bestimmte 

Arten von Warnmeldungen anzeigt. Wenn Sie daher ein Hardwareproblem untersuchen und 

keine entsprechenden Warnungen im Wartungscenter angezeigt werden, sollten Sie zuerst 

sicherstellen, dass die Windows-Fehlermeldungen nicht ausgeschaltet sind. Klicken Sie dazu 

im Wartungscenter auf Wartungscentereinstellungen ändern (Abbildung 1.3). 

Abbildung 1.3 Ändern der Wartungscentereinstellungen


Stellen Sie dann unter Meldungen aktivieren bzw. deaktivieren sicher, dass das Kontrollkästchen 

Windows-Problembehandlung aktiviert ist (Abbildung 1.4). 

Abbildung 1.4 Aktivieren der Meldungen für die Windows-Problembehandlung 

im Wartungscenter 

Behandeln von Problemen mit den Windows 7-Problembehandlungsmodulen 

Die Problembehandlungsmodule (troubleshooter) sind weitere neue Tools in Windows 7, die 

Ihnen bei der Diagnose von Hardwarefehlern helfen. Problembehandlungsmodule sind Assistenten, 

die versuchen, häufig auftretende Computerprobleme automatisch zu diagnostizieren 

und zu reparieren. Windows 7 bringt viele integrierte Problembehandlungsmodule mit, zahlreiche 

weitere werden von anderen Herstellern über die neue Windows-Problembehandlungsplattform 

zur Verfügung gestellt. Die Windows-Problembehandlungsplattform liefert mithilfe 

einer Skriptschnittstelle detaillierte Problembehandlungsinformationen über die Windows- 

Umgebung und stellt ein simples Gerüst zum Erstellen neuer Problembehandlungsassistenten 

zur Verfügung. Das ermöglicht es Softwareentwicklern, Geräteherstellern und sogar Administratoren, 

neue Problembehandlungsmodule zu schreiben, die bei Diagnose und Reparatur 

bestimmter Geräte, Anwendungen oder Konfigurationsbereiche helfen. 

Beispielsweise kann ein Hersteller externer Festplattenlaufwerke ganz einfach ein Problembehandlungsmodul 

entwickeln, das seinen Kunden hilft, Fehler der Festplatten zu erkennen 

und zu beseitigen, sodass die Kunden in vielen Fällen nicht den technischen Support anzurufen 

brauchen. Auch ein Administrator kann ein Problembehandlungsmodul erstellen, das 

häufig vorkommende Probleme im lokalen Unternehmensnetzwerk erkennt und beseitigt; 

dann braucht er nur den Benutzern zu zeigen, wie sie dieses Problembehandlungsmodul 

ausführen, bevor sie beim Helpdesk anrufen.

Praxistipp 

J.C. Mackin 


Wie nützlich sind die Problembehandlungsmodule nun wirklich? Die in Windows 7 eingebauten 

Problembehandlungsmodule sind nicht dazu gedacht, Tier-2-Support zu ersetzen. 

Daher helfen sie in erster Linie normalen Benutzern, grundlegende Probleme zu überprüfen. 

Man kann aber für die Zukunft deutlich mehr von dieser neuen Technologie erwarten, 

denn die Leistungsfähigkeit der Windows-Problembehandlungsplattform ist beeindruckend. 

Problembehandlungsmodule besitzen das Potenzial, Einstellungen detailliert zu 

untersuchen und viele Low-Level-Konfigurationseinstellungen zu überprüfen. Das reicht 

so weit, dass sich diese Tools in Zukunft für Tier-2-Support eignen werden. Am besten 

können die Hersteller diese Möglichkeiten nutzen, weil sie ihr jeweiliges Produkt am 

besten kennen. So können sie spezialisierte Problembehandlungsmodule entwickeln, mit 

denen die jeweils relevanten Low-Level-Einstellungen überprüft werden. Der Nutzen der 

Problembehandlungsmodule wird für Tier-2-Desktopsupporttechniker dann am größten, 

wenn Hardwarehersteller auf die Windows-Problembehandlungsplattform zurückgreifen, 

um den Support für ihre Produkte zu verbessern. Ob sich dieses Konzept tatsächlich auf 

breiter Basis durchsetzt, bleibt abzuwarten. 

Als dieses Buch geschrieben wurde, enthielt Windows 23 Problembehandlungsmodule. Sie 

sind in Tabelle 1.1 aufgelistet. Einige der integrierten Problembehandlungsmodule, zum 

Beispiel Hardware und Geräte, Wiedergeben von Audiodateien und Netzwerkadapter, dienen 

dazu, bei der Diagnose spezieller Hardwareprobleme zu helfen. Das Problembehandlungsmodul 

Systemwartung enthält eine Routine, die auf den lokal angeschlossenen Festplatten 

nach fehlerhaften Sektoren, verlorenen Clustern, querverbundenen Dateien und 

Verzeichnisfehlern sucht. 

Bis auf Geräte und Drucker stehen alle 23 aufgelisteten Problembehandlungsmodule in der 

Systemsteuerung zur Verfügung. Das Problembehandlungsmodul Geräte und Drucker wird 

weiter unten in dieser Lektion im Abschnitt »Ausführen des Problembehandlungsmoduls 

Geräte und Drucker« beschrieben. 

Hinweis Problembehandlungspakete 

Die Features eines Problembehandlungsmoduls sind in einem Satz Skripts definiert, dem 

sogenannten Problembehandlungspaket (troubleshooting pack). Problembehandlungspakete 

werden mithilfe der Windows PowerShell erstellt, einer Skriptsprache und Ausführungsumgebung, 

die für die Windows-Administration benutzt wird. Windows PowerShell ist relativ 

einfach zu erlernen, daher brauchen Sie kein erfahrener Programmierer zu sein, um ein 

Problembehandlungspaket zu entwickeln. Die auf Ihrem System installierten Problembehandlungspakete 

können Sie sich ansehen, indem Sie in den Ordner C:\Windows\Diagnose\ 

System wechseln.


Tabelle 1.1 Integrierte Windows 7-Problembehandlungsmodule 

Problembehandlungsmodul 

Ziel der Problembehandlung Kategorie 

Aero Anzeigen von Aero-Effekten wie Transparenz Desktopdarstellung 

Aufzeichnen von Audiodateien 

Aufzeichnen von Audio über ein Mikrofon oder andere 

Quellen 

Sound 

Drucker Funktionsfähigkeit eines Druckers sicherstellen Drucken 

Eingehende Verbindungen Erlauben, dass andere Computer durch die Windows- 

Firewall mit Ihrem Computer kommunizieren 

Netzwerk 

Freigegebene Ordner Zugreifen auf freigegebene Dateien und Ordner, die auf 

anderen Computern liegen 

Netzwerk 

Geräte und Drucker Funktionsfähigkeit eines Geräts oder Druckers herstellen Gerät, 

Drucken 

Hardware und Geräte Verwenden von Hardware und Zugreifen auf Geräte, die 

an den Computer angeschlossen sind 

Gerät 

Heimnetzgruppe Anzeigen von Computern oder freigegebenen Dateien in 

einer Heimnetzgruppe 

Netzwerk 

Internet Explorer- 

Sicherheit 

Abwehren von Malware, Popups und Onlineangriffen Webbrowser 

Internetverbindungen Herstellen einer Verbindung mit dem Internet oder einer 

bestimmten Website 

Netzwerk 

Leistung Verbessern der Gesamtgeschwindigkeit und -leistung 

des Systems 

Leistung 

Leistung von Internet 

Explorer 

Verhindern von Problemen mit Add-Ons und Optimieren 

von temporären Dateien und Verbindungen 

Netzwerkadapter Funktionsfähigkeit von Ethernet-, Drahtlos- oder 

anderen Netzwerkkarten sicherstellen 

Programmkompatibilität Ermöglichen, dass ältere Programme unter dieser 

Windows-Version laufen 

Stromversorgung Verlängern der Akkulaufzeit und Senken des Energieverbrauchs 

Suche und Indizierung Suchen nach Objekten in Ihrem Computer mithilfe von 

Windows Search 

Systemwartung Löschen unbenutzter Dateien und Verknüpfungen, 

Überprüfen von Festplattenvolumes auf Fehler und 

Durchführen anderer Wartungsaufgaben 

Verbinden mit einem 

Arbeitsplatz über Direct- 

Access 

Wiedergeben von Audiodateien 

Windows Media Player- 

Bibliothek 

Herstellen einer Verbindung mit dem Unternehmensnetzwerk 

über das Internet 

Abspielen von Sounds und anderen Audiodaten, zum 

Beispiel Musikdateien 

Sicherstellen, dass Mediendateien in der Windows 

Media Player-Bibliothek angezeigt werden 

Webbrowser 

Netzwerk 

Programme 

Stromversorgung 

Windows 

System 

Netzwerk 

Sound 

Medien- 

wiedergabe

Problembehandlungsmodul 


DVD 


Einstellungen 


Ziel der Problembehandlung Kategorie 

Abspielen einer DVD mit Windows Media Player Medienwiedergabe 

Zurücksetzen des Windows Media Players auf die 

Standardeinstellungen 

Medienwiedergabe 

Windows Update Funktion von Windows Update sicherstellen Windows 

Ausführen der Problembehandlungsmodule in der Systemsteuerung 

Die meisten der in Windows 7 integrierten Problembehandlungsmodule stehen über das 

Systemsteuerungselement Problembehandlung zur Verfügung. Sie sollten sich mit diesen 

Problembehandlungsmodulen der Systemsteuerung vertraut machen, bevor Sie an die 

Problembehandlung gehen. Nur so wissen Sie, welches Modul Sie für ein bestimmtes 

Problem brauchen. Bekommen Sie beispielsweise die Aufgabe zugewiesen, Probleme mit 

einem Audiogerät zu beseitigen, hilft es Ihnen zu wissen, dass in der Systemsteuerung das 

integrierte Problembehandlungsmodul Wiedergeben von Audiodateien zur Verfügung steht. 

Sie greifen auf die Problembehandlungsmodule der Systemsteuerung zu, indem Sie das 

Wartungscenter öffnen und auf Problembehandlung klicken (Abbildung 1.5). 

Abbildung 1.5 Öffnen der Windows 7-Problembehandlungsmodule im Wartungscenter


Daraufhin öffnet sich das Hauptfenster des Systemsteuerungselements Problembehandlung 

(Abbildung 1.6). 

Abbildung 1.6 Problembehandlung in der Systemsteuerung 

Sofern Sie in diesem Fenster schon einen Link zu einem bestimmten Problembehandlungsmodul 

sehen (etwa Gerät konfigurieren), das Sie ausführen wollen, brauchen Sie lediglich 

den Link anzuklicken. Eine vollständige Liste aller verfügbaren Problembehandlungsmodule 

erhalten Sie, wenn Sie am linken Fensterrand auf Alles anzeigen klicken; in dieser Liste sind 

die Problembehandlungsmodule nicht in Kategorien untergliedert. 

Stattdessen können Sie auch eine Problembehandlungskategorie auswählen. Wollen Sie beispielsweise 

ein Problem mit einem Gerät untersuchen, können Sie auf die Kategorie Hardware 

und Sound klicken, um die Seite Problembehandlung – Hardware und Sound zu öffnen 

(Abbildung 1.7). In der Kategorie Hardware und Sound stehen in Windows 7 momentan die 

Problembehandlungsmodule Wiedergeben von Audiodateien, Aufzeichnen von Audiodateien, 

Hardware und Geräte, Netzwerkadapter, Drucker und Windows Media Player-DVD zur 

Verfügung. 

Klicken Sie in der Liste das Problembehandlungsmodul an, das Sie ausführen möchten. Wenn 

Sie zum Beispiel Probleme mit einer Netzwerkkarte haben, müssen Sie auf Netzwerkadapter 

klicken. Abbildung 1.8 zeigt die erste Seite des Problembehandlungsmoduls Netzwerkadapter.


Abbildung 1.7 Problembehandlungsmodule für Hardware und Sound in Windows 7 

Abbildung 1.8 Das Problembehandlungsmodul Netzwerkadapter 

Ausführen des Problembehandlungsmoduls Geräte und Drucker 

Das Problembehandlungsmodul Geräte und Drucker ist ein spezieller, einfach bedienbarer 

Hardwareratgeber, der Probleme im Bereich von Druckern und Peripheriegeräten schnell 

beseitigen kann. 

Über den Befehl Problembehandlung steht dieses Problembehandlungsmodul ausschließlich 

im Fenster Geräte und Drucker zur Verfügung, einem neuen Feature in Windows 7, das 

beim Verwalten der Peripheriegeräte und Drucker des lokalen Computers hilft. Sie öffnen 

Geräte und Drucker, indem Sie im Startmenü auf den Eintrag Geräte und Drucker klicken 

(Abbildung 1.9).


Abbildung 1.9 Öffnen von Geräte und Drucker 

Abbildung 1.10 zeigt das Fenster Geräte und Drucker. 

Abbildung 1.10 Das Fenster Geräte und Drucker in Windows 7


Hinweis Arbeiten mit dem Fenster Geräte und Drucker 

Eines der nützlichsten Features im Fenster Geräte und Drucker ist, dass für jedes Peripheriegerät 

individuell angepasste Kontextmenüeinträge angeboten werden. Wenn Sie beispielsweise 

mit der rechten Maustaste auf ein Mausgerät klicken und im Kontextmenü Mauseinstellungen 

wählen, öffnet sich das Eigenschaftendialogfeld für das Mausgerät in der Systemsteuerung. 

Klicken Sie dagegen mit der rechten Maustaste auf ein externes Speichergerät, 

werden Befehle wie Automatische Wiedergabe, Dateien durchsuchen und Auswerfen angeboten. 

Und wenn Sie das Kontextmenü für ein Computergerät öffnen (das für den lokalen 

Computer steht), erhalten Sie Zugriff auf viele weitere Einstellmöglichkeiten, etwa Netzwerkeinstellungen, 

Systemeigenschaften, Region und Sprache oder Windows Update. 

Sie starten das Problembehandlungsmodul Geräte und Drucker, indem Sie mit der rechten 

Maustaste auf das Gerät klicken, bei dem Probleme auftreten, und im Kontextmenü den 

Befehl Problembehandlung wählen (Abbildung 1.11). 

Abbildung 1.11 Starten des Problembehandlungsmoduls für ein Gerät 

Daraufhin wird sofort das Problembehandlungsmodul Geräte und Drucker gestartet 

(Abbildung 1.12).


Abbildung 1.12 Das Problembehandlungsmodul Geräte und 

Drucker wird in der Standardeinstellung sofort gestartet 

Verwenden von Hardwareratgebern 

Problembehandlungsmodule suchen üblicherweise nach Fehlern und geben Ihnen dann 

Gelegenheit, gefundene Fehler zu beseitigen. Die letzte Seite des Assistenten enthält eine 

Zusammenfassung der Ergebnisse, die im Rahmen der Fehlersuche gefunden wurden. 

Die Problembehandlungsmodule erkennen in erster Linie Konfigurationsfehler, keine Hardwarefehler. 

Dennoch können Sie ein Problembehandlungsmodul einsetzen, um festzustellen, 

ob das Problem mit einem Gerät durch die Hardware verursacht wird. 

Abbildung 1.13 Problembehandlungsmodule schlagen oft 

Lösungsmöglichkeiten für erkannte Probleme vor 

Wenn Sie beispielsweise eine Problembehandlung für ein Gerät durchführen, decken die 

Hardware- und Geräteproblembehandlungsmodule unter Umständen auf, dass ein geeigneter 

Treiber installiert werden muss. Abbildung 1.13 zeigt ein Beispiel. Dieses Ergebnis deutet


darauf hin, dass die Probleme, die beim Gerät auftreten, durch die Softwarekonfiguration 

verursacht werden, nicht durch die Hardware selbst. 

Erkennt ein Problembehandlungsmodul aber ein Problem, über das es keine weiteren Informationen 

liefern kann (Abbildung 1.14), deutet das in vielen Fällen darauf hin, dass das 

Gerät selbst defekt ist. In diesem Fall können Sie andere Diagnosemöglichkeiten nutzen, die 

vom Gerätehersteller zur Verfügung gestellt werden, um die Funktion des Hardwaregeräts 

genauer zu untersuchen. 

Abbildung 1.14 Nicht genauer erläuterte Fehler erfordern eine tiefer gehende Problembehandlung 

Konfigurieren der Einstellungen für Problembehandlungsmodule 

Wenn Sie im Hauptfenster des Systemsteuerungselements Problembehandlung auf den Link 

Einstellungen ändern klicken, öffnet sich die Seite Problembehandlungseinstellungen 

ändern. 

Abbildung 1.15 Ändern der Einstellungen für Problembehandlungsmodule


Abbildung 1.16 zeigt die Seite Problembehandlungseinstellungen ändern. 

Abbildung 1.16 Konfigurieren der Problembehandlungsmodule 

Auf der Seite Problembehandlungseinstellungen ändern können Sie drei Einstellungen 

ändern, die sich auf die Problembehandlungsmodule auswirken. 

Das System wird auf Probleme bei der Routinewartung überprüft. Sie werden benachrichtigt, 

wenn die Problembehandlung für die Systemwartung zum Beheben von Problemen 

verwendet werden kann. 

In der Standardeinstellung sind die Routineprüfungen aktiviert (Option Ein). Diese Einstellung 

ist für die Diagnose von Hardwareproblemen (besonders von Festplattenproblemen) 

wichtig, weil das Problembehandlungsmodul Systemwartung Sie warnen kann, 

sobald es bestimmte Probleme bei der Festplattenhardware erkennt. 

Benutzern das Suchen nach Problembehandlungen im Windows-Onlinedienst für Problembehandlung 

gestatten 

Dieses Kontrollkästchen ist in der Standardeinstellung aktiviert. Falls die Liste der verfügbaren 

Problembehandlungsmodule bei Ihren Benutzern im Lauf der Zeit nicht länger 

wird, sollten Sie sicherstellen, dass diese Einstellung aktiviert ist. 

Umgehenden Beginn der Problembehandlung nach dem Start zulassen 

Diese Einstellung wirkt sich nur auf die Problembehandlung in Geräte und Drucker aus. 

Sie legt fest, ob dieses Problembehandlungsmodul die Startseite des Assistenten überspringt, 

wenn der Befehl gewählt wurde. In der Standardeinstellung ist dieses Kontrollkästchen 

aktiviert.

Schnelltest 


Ein Mausgerät scheint nicht zu funktionieren. Welches ist die schnellste Methode, um ein 

Problembehandlungsmodul für die Maus zu starten? 

Antwort zum Schnelltest 

Öffnen Sie Geräte und Drucker, klicken Sie mit der rechten Maustaste auf das Mausgerät 

und wählen Sie im Kontextmenü den Befehl Problembehandlung. 

Behandeln von Problemen im Geräte-Manager 

Ist keines der Problembehandlungsmodule in der Lage, ein Hardwareproblem automatisch 

zu reparieren, sollten Sie den Geräte-Manager öffnen, um weitere Informationen zu erhalten. 

Der Geräte-Manager ist ein nützliches Tool, um festzustellen, ob irgendwelche der an das 

System angeschlossenen Geräte nicht richtig funktionieren. 

Gehen Sie folgendermaßen vor, um nicht funktionsfähige Hardwaregeräte im Geräte-Manager 

anzuzeigen: 

1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den 

Befehl Verwalten. 

2. Klicken Sie unter System auf Geräte-Manager. 

3. Der Geräte-Manager zeigt alle lokal angeschlossenen Geräte an. Geräte, bei denen Probleme 

auftreten (dazu gehören alle Geräte, mit denen Windows 7 nicht kommunizieren 

kann), werden mit einem Warnsymbol angezeigt (Abbildung 1.17). Falls keine Kategoriezweige 

aufgeklappt und keine Geräte sichtbar sind, hat Windows keine Probleme mit 

irgendwelchen Geräten erkannt. 

Abbildung 1.17 In der Computerverwaltung haben Sie 

Zugriff auf den Geräte-Manager


Falls der Geräte-Manager ein Problem mit einem Gerät erkennt, sollten Sie mit der rechten 

Maustaste auf dieses Gerät klicken und sein Eigenschaftendialogfeld öffnen. Das Eigenschaftendialogfeld 

für das Gerät, für das in Abbildung 1.17 ein Problem gemeldet wurde, 

sehen Sie in Abbildung 1.18. 

Abbildung 1.18 Öffnen Sie das Eigenschaftendialogfeld 

für Geräte, zu denen der Geräte-Manager ein Problem meldet 

Abbildung 1.19 Auf der Registerkarte Treiber 

eines Geräts können Sie seine Treiber aktualisieren 

oder die Vorversion wiederherstellen 

Häufige Ursache für Hardwareprobleme sind fehlerhafte Treiber. Sofern die Registerkarte 

Allgemein des Eigenschaftendialogfelds ein Problem mit einem Gerätetreiber meldet, sollten 

Sie die Registerkarte Treiber anklicken (Abbildung 1.19). Auf dieser Registerkarte haben Sie


die Möglichkeit, den Treiber zu aktualisieren oder die vorher installierte Version wiederherzustellen. 

Die vorherige Version des Treibers wiederherzustellen ist sinnvoll, wenn das Gerät vor der 

letzten Aktualisierung funktioniert hat. Sofern auch der vorher installierte Treiber nicht funktioniert 

hat oder noch nie ein älterer Treiber installiert war, sollten Sie den Treiber aktualisieren. 

Beachten Sie aber, dass Sie einen Treiber üblicherweise dadurch aktualisieren, dass 

Sie das neueste Treiberinstallationsprogramm von der Website des Geräteherstellers herunterladen 

und ausführen. Die Schaltfläche Treiber aktualisieren sollten Sie nur verwenden, wenn 

kein Installationsprogramm für einen funktionierenden Treiber zur Verfügung steht. 

Wenn der Geräte-Manager ein Problem mit einem Gerät meldet, aber keine konkreten Informationen 

über das Problem liefert, erhöht sich die Wahrscheinlichkeit, dass es sich tatsächlich 

um einen Hardwaredefekt handelt. 

Behandeln von Problemen mit der Zuverlässigkeitsüberwachung 

Die Zuverlässigkeitsüberwachung ist ein Tool, das die Stabilität eines Systems über einen 

längeren Zeitraum hinweg misst. In Windows 7 öffnen Sie die Zuverlässigkeitsüberwachung 

über das Wartungscenter. Erweitern Sie den Abschnitt Wartung und klicken Sie auf Zuverlässigkeitsverlauf 

anzeigen (Abbildung 1.20). 

Abbildung 1.20 Öffnen der Zuverlässigkeitsüberwachung im Wartungscenter 

Abbildung 1.21 zeigt die Zuverlässigkeitsüberwachung. 

Die Zuverlässigkeitsüberwachung zeigt ein Diagramm für die Zuverlässigkeit des lokalen 

Computers im Verlauf der letzten 20 Tage oder 20 Wochen. Die Stabilität des Systems wird 

als Wert von 1 (geringe Stabilität) bis 10 (hohe Stabilität) gemessen und als blaue Linie über 

den gewählten Zeitraum angezeigt.


Abbildung 1.21 Zuverlässigkeitsüberwachung 

Um die Stabilität eines Systems zu bewerten, verfolgt die Zuverlässigkeitsüberwachung fünf 

Ereigniskategorien: 

Anwendungsfehler 

Windows-Fehler 

Verschiedene Fehler 

Warnungen 

Informationen 

Im Abschnitt Zuverlässigkeitsdetails liefert die Zuverlässigkeitsüberwachung genauere Informationen 

über die aufgezeichneten Ereignisse. Tritt in einer der überwachten Kategorien ein 

kritisches Ereignis auf, sinkt die Bewertung des Systems für den entsprechenden Zeitraum 

(Tag oder Woche). 

Diagnostizieren von Hardwarefehlern mit der Zuverlässigkeitsüberwachung 

Die Zuverlässigkeitsüberwachung sammelt Daten über die Softwarefehler, die in letzter Zeit 

im System aufgetreten sind. Weil Hardwarefehler letztlich Softwarefehler auslösen, sind 

diese Informationen auch dann wichtig, wenn Sie eine Problembehandlung für Systemfehler 

durchführen, bei denen sich letztlich herausstellt, dass sie durch Hardwaredefekte verursacht 

wurden. 

Bei jeder Problembehandlung sollten Sie daher in der Zuverlässigkeitsüberwachung prüfen, 

ob Windows relevante Informationen über den zeitlichen Verlauf des Problems aufgezeichnet 

hat. Suchen Sie vor allem nach kritischen Ereignissen in der Kategorie Windows-Fehler. 

Klagt ein Benutzer zum Beispiel, dass Windows abstürzt, könnte sich herausstellen, dass 

dieses Problem erst seit dem Zeitpunkt auftritt, zu dem eine bekannte Änderung am System 

vorgenommen wurde. Abstürze, die nur ganz selten auftreten, haben möglicherweise mit


einer bestimmten Anwendung zu tun und werden nicht durch ein hardwarespezifisches Problem 

ausgelöst. Treten Abstürze in Phasen mit intensiven Lese- oder Schreibaktivitäten auf 

(etwa während einer Datensicherung), haben sie es unter Umständen mit einem fehlerhaften 

Festplattenlaufwerk zu tun. 

Die Zuverlässigkeitsüberwachung liefert zwar oft nützliche Informationen für die Problembehandlung, 

Sie müssen aber auch die Grenzen der Zuverlässigkeitsüberwachung als Diagnosetool 

kennen. Die Zuverlässigkeitsüberwachung kann durchaus für die Diagnose von 

Hardwarefehlern eingesetzt werden, aber sie ist nur bei den Hardwarefehlern von Nutzen, 

die auch von Windows aufgezeichnet werden können. Zum Beispiel kann die Zuverlässigkeitsüberwachung 

Ihnen helfen, Speicherfehler aufzudecken, die wiederholt Abbruchfehler 

auslösen. Dagegen können Hardwarefehler, die auftreten, bevor Windows überhaupt startet, 

natürlich nicht mit der Zuverlässigkeitsüberwachung untersucht werden. 

Betrachten Sie die Zuverlässigkeitsüberwachung daher als nützliches Werkzeug innerhalb 

der Windows-Diagnosetools, die Ihnen zur Verfügung stehen, wenn Sie die Ursache eines 

Systemfehlers aufdecken müssen. 

Behandeln von Problemen mit der Ereignisanzeige 

Die Ereignisanzeige listet Ereignisse auf, die von Windows und anderen Anwendungen in 

die Ereignisprotokolle geschrieben werden. Auf den meisten Computern enthält die Ereignisanzeige 

Tausende von Ereignissen, von denen Sie die meisten einfach ignorieren können. 

Bei einer Problembehandlung sollten Sie sich aber das Ereignisprotokoll ansehen und nach 

Ereignissen suchen, die möglicherweise die Ursache des Problems aufdecken, das Sie untersuchen. 

Denken Sie aber daran, dass nicht alle Probleme ein Ereignis generieren. Aus diesem 

Grund ist es möglich, dass Sie überhaupt keine Ereignisse zu dem Problem finden, das Sie 

untersuchen. 

Gehen Sie folgendermaßen vor, um die Ereignisanzeige zu öffnen und sich Ereignisse anzusehen, 

die mit der Hardware zu tun haben: 



2. Erweitern Sie unter System den Knoten Ereignisanzeige. 

3. Erweitern Sie unter Ereignisanzeige den Knoten Windows-Protokolle und klicken Sie 

auf System. 

4. Klicken Sie im Fensterabschnitt Aktionen auf Aktuelles Protokoll filtern. 

5. Aktivieren Sie im Dialogfeld Aktuelles Protokoll filtern die Kontrollkästchen Kritisch 

und Fehler und klicken Sie auf OK. 

Anschließend listet die Ereignisanzeige nur kritische Ereignisse und Fehler auf (Abbildung 

1.22). 

Weitere Informationen zur Problembehandlung mit der Ereignisanzeige finden Sie in 

Kapitel 8, »Leistung«, und Kapitel 9, »Beseitigen von Softwareproblemen«.


Abbildung 1.22 Ereignisanzeige 

Gehen Sie die gefilterte Liste der Ereignisse durch. Sehen Sie sich insbesondere Ereignisse 

genau an, als deren Quelle die Hardwarekomponente angegeben ist, bei der das Problem 

auftritt. Wenn Sie beispielsweise Festplattenfehler untersuchen, sollten Sie nach Fehlern im 

Bereich der Systemdatenträger Ausschau halten. Wurden solche Ereignisse aufgezeichnet, 

sind sie bei der Diagnose Ihres Problems wahrscheinlich sehr hilfreich. 

Praxistipp 


Machen Sie sich keine Sorgen, wenn Sie viele der Ereignisprotokollmeldungen, die in der 

Ereignisanzeige aufgelistet werden, nicht verstehen. Finden Sie einen kritischen Fehler 

im Ereignisprotokoll, den Sie nicht verstehen, können Sie einfach die Ereignis-ID und 

-Nachricht kopieren und dann anhand dieser Daten online nach weiteren Informationen 

dazu suchen. 

Wenn Sie eine Ereignisprotokollnachricht recherchieren, sollten Sie unbedingt die Informationen 

auf den Microsoft-Sites wie http://technet.microsoft.com und http://support. 

microsoft.com lesen. Es gibt aber noch weitere Sites, auf denen Sie Informationen zu Ereignis-IDs 

finden. Eine besonders nützliche Site ist http://eventid.net, wo Administratoren 

ihr Wissen zu bestimmten Ereignis-IDs sammeln. 

Behandeln von Startfehlern mit der Systemstartreparatur 

Sind Festplatte, Motherboard oder ein RAM-Modul defekt, verhindert das den Start des Systems. 

Die Ursache kann aber auch lediglich eine fehlerhafte Festplattenkonfiguration sein. 

Wenn Sie eine Problembehandlung für ein System durchführen, das nicht startet, sollten Sie


zuerst versuchen, Fehler im Bereich von Softwarekonfiguration oder Datenbeschädigung auf 

der Festplatte als Ursache ausschließen. 

Die Systemstartreparatur erkennt und repariert viele Festplattenfehler automatisch, die den 

Start von Windows verhindern. Die Systemstartreparatur analysiert zuerst die Startsektoren, 

den Start-Manager, die Festplattenkonfiguration, die Festplattenintegrität, die BCD-Registrierungsdatei 

(Boot Configuration Data), die Systemdateien, die Startprotokolle und die 

Ereignisprotokolle. Dann versucht sie, alle aufgedeckten Probleme zu beseitigen. Im Rahmen 

dieses Reparaturvorgangs werden bei Bedarf Konfigurationsdateien bearbeitet, einfache 

Laufwerksprobleme beseitigt, fehlende Systemdateien ersetzt oder eine Systemwiederherstellung 

ausgeführt, um den Computer auf einen früheren Zustand zurückzusetzen. Weil die 

Systemstartreparatur diese Aufgaben automatisch ausführt, können Sie Startprobleme mit 

diesem Tool viel schneller beseitigen als bei einer manuellen Analyse und Reparatur. 

Die Systemstartreparatur hilft Ihnen bei der detaillierten Diagnose von Hardwarefehlern, 

weil sie häufig auftretende Softwarekonfigurationsfehler auf Startdatenträgern (normalerweise 

Festplatten) beseitigt. Gelingt es der Systemstartreparatur nicht, ein Windows-Startproblem 

zu beseitigen, können Sie die Datenträgerkonfiguration üblicherweise von der Liste 

potenzieller Fehlerursachen streichen. Anschließend können Sie sich auf andere mögliche 

Ursachen konzentrieren, beispielsweise Festplattenpartitionierungsprogramme anderer Hersteller, 

Hardwaredefekte bei Laufwerken, falsch konfiguriertes BIOS (Basic Input/Output 

System), defekter Arbeitsspeicher oder ein defektes Motherboard. 

Abbildung 1.23 Öffnen der Windows-Wiederherstellungsumgebung über das 

Menü Erweiterte Startoptionen


Starten der Systemstartreparatur 

Sie starten die Systemstartreparatur über die Windows-Wiederherstellungsumgebung und die 

zugehörigen Systemwiederherstellungsoptionen, die das Windows 7-Setupprogramm automatisch 

auf dem Startdatenträger installiert. Die Windows-Wiederherstellungsumgebung ist 

ein schlankes Betriebssystem, mit dem Sie Windows-Probleme beseitigen können, ohne dass 

das Hauptbetriebssystem läuft. Sie öffnen die Windows-Wiederherstellungsumgebung, indem 

Sie die Taste F8 drücken, während der Computer startet. Daraufhin öffnet sich das Menü 

Erweiterte Startoptionen. Wählen Sie nun die Option Computer reparieren (Abbildung 1.23). 

Sollte das Startproblem, das Sie untersuchen, den Zugriff auf das Menü Erweiterte Startoptionen 

verhindern, erreichen Sie die Windows-Wiederherstellungsumgebung und die Systemwiederherstellungsoptionen, 

indem Sie von der Windows 7-DVD starten. Bei dieser Methode 

öffnet sich der Windows-Installationsassistent. Wählen Sie Ihre Sprache, klicken Sie auf 

Weiter und dann auf der zweiten Seite des Windows-Installationsassistenten auf Computerreparaturoptionen 


Abbildung 1.24 Öffnen der Windows-Wiederherstellungsumgebung 

über die Windows 7-DVD 

Bei beiden Methoden, die Windows-Wiederherstellungsumgebung zu starten, wird anschließend 

die erste Seite des Assistenten Systemwiederherstellungsoptionen angezeigt. In Abbildung 

1.25 sehen Sie die Variante, die erscheint, wenn Sie von der Windows 7-DVD starten. 

Haben Sie stattdessen im Menü Erweiterte Startoptionen den Eintrag Computer reparieren 

ausgewählt, werden Sie zuerst aufgefordert, eine Sprache auszuwählen; auf einer zweiten 

Seite müssen Sie dann die Anmeldeinformationen eines lokalen Benutzers eingeben. 

Die letzte Seite im Assistenten Systemwiederherstellungsoptionen ist bei allen Versionen 

dieselbe: Sie heißt Wählen Sie ein Wiederherstellungstool aus. Wählen Sie den entsprechenden 

Eintrag, um das Systemstartreparaturtool zu starten (Abbildung 1.26).


Abbildung 1.25 Öffnen der Systemwiederherstellungsoptionen 

Abbildung 1.26 Auswählen des Systemstartreparaturtools 

Abbildung 1.27 zeigt die Systemstartreparatur bei der Ausführung. Es führt in dieser Phase 

folgende Tests aus: 

Suchen nach Updates 

Testen des Systemdatenträgers 

Datenträgerfehlerdiagnose 

Überprüfen der Datenträgermetadaten 

Prüfen des Zielbetriebssystems 

Prüfen des Volumeinhalts 

Diagnose des Start-Managers 

Diagnose des Systemstartprotokolls 

Diagnose der Ereignisprotokolle 

Prüfen des internen Status 

Prüfen des Systemstartstatus


Abbildung 1.27 Das Tool Systemstartreparatur 

Sobald die Systemstartreparatur diese Tests abgeschlossen und den Datenträger repariert hat, 

zeigt sie die Diagnose der Systemstartfehler an. 

Findet die Systemstartreparatur keine Fehler, können Sie sich bei Ihrer Problembehandlung 

anderen Systemkomponenten zuwenden, etwa dem Hardware-RAM oder der Festplattenhardware. 

Untersuchen von RAM-Fehlern mit der Windows-Speicherdiagnose 

Defekte im RAM, das in einem Computer eingebaut ist, sind häufig die Ursache für Systemfehler. 

Arbeitsspeicherprobleme können verhindern, dass Windows überhaupt startet, aber 

auch unvorhersagbare Abbruchfehler auslösen, während Windows läuft. Probleme im Bereich 

des Arbeitsspeichers lösen oft sporadische Fehler aus. Ohne ein spezielles Diagnoseprogramm 

sind sie schwierig zu diagnostizieren. Für den Fall, dass Sie Arbeitsspeicherdefekte 

als Ursache für ein Computerproblem im Verdacht haben, steht Ihnen in Windows 7 

ein spezielles Diagnosedienstprogramm zur Verfügung, um den Arbeitsspeicher Ihres Computers 

zu testen: die Windows-Speicherdiagnose. 

Die Windows-Speicherdiagnose muss ausgeführt werden, während das Betriebssystem nicht 

läuft, aber es stehen mehrere Wege zur Verfügung, das Tool auf einem System zu starten, das 

unter Windows 7 läuft. In der Windows-Benutzeroberfläche können Sie die Ausführung des 

Tools planen, sodass es beim nächsten Systemstart ausgeführt wird. Sie können das Tool 

auch über das Menü des Windows-Start-Managers oder die Systemwiederherstellungsoptionen 

starten. Alle drei Methoden werden im folgenden Abschnitt beschrieben. 

Planen der Windows-Speicherdiagnose für den nächsten Systemstart 

Sie können das Windows-Speicherdiagnosetool zwar nicht ausführen, während Windows 

läuft, aber Sie können die Aufgabenplanung von Windows so konfigurieren, dass das Dienstprogramm 

automatisch ausgeführt wird, sobald das System das nächste Mal startet. Klicken 

Sie dazu im Menü Verwaltung auf Windows-Speicherdiagnose. Stattdessen können Sie auch 

im Suchfeld des Startmenüs mdsched eingeben, Mdsched aus der Programmliste auswählen 

und die EINGABETASTE drücken. Bei beiden Methoden wird das Fenster Windows-Speicherdiagnose 

geöffnet (Abbildung 1.28).


Abbildung 1.28 Festlegen, wann die Windows-Speicherdiagnose ausgeführt wird 

In diesem Fenster können Sie auswählen, ob der Computer sofort neu gestartet und der Arbeitsspeicher 

getestet wird oder ob dies erledigt wird, sobald Sie den Computer das nächste 

Mal starten. 

Starten der Windows-Speicherdiagnose im Windows-Start-Manager 

Wenn Sie die Speicherdiagnose ausführen wollen, Windows aber noch nicht läuft, können 

Sie das Windows-Speicherdiagnosetool im Windows-Start-Manager auswählen. 

Der Windows-Start-Manager ist ein Feature, mit dem Sie ein Betriebssystem auswählen, 

sofern mehrere auf dem lokalen Computer installiert sind. Wenn Sie nur ein Betriebssystem 

installiert haben, erscheint der Windows-Start-Manager normalerweise nicht. Sie können 

aber erzwingen, dass der Windows-Start-Manager angezeigt wird, indem Sie beim Start des 

Systems wiederholt die LEERTASTE drücken. 

Abbildung 1.29 Starten der Windows-Speicherdiagnose im Windows-Start-Manager


Warten Sie, bis der Windows-Start-Manager erscheint, und drücken Sie dann die TABU- 

LATORTASTE, um statt Windows 7 den Eintrag Windows-Speicherdiagnose auszuwählen 

(Abbildung 1.29). Drücken Sie nun die Eingabetaste, um das Diagnosetool auszuführen. 

Starten der Windows-Speicherdiagnose in den Systemwiederherstellungsoptionen 

Die dritte Möglichkeit, das Windows-Speicherdiagnosetool zu starten, führt über die Systemwiederherstellungsoptionen. 

Wie Systemstartreparatur steht auch Windows-Speicherdiagnose 

als Option auf der Seite Wählen Sie ein Wiederherstellungstool aus zur Verfügung (Abbildung 

1.30). 

Abbildung 1.30 Auswählen des Tools Windows-Speicherdiagnose 

Abbildung 1.31 Die Windows-Speicherdiagnose führt in der Standardeinstellung 

zwei Durchläufe aus


Ausführen der Windows-Speicherdiagnose 

Unabhängig davon, auf welchem Weg Sie die Windows-Speicherdiagnose starten, beginnt 

das Tool sofort nach dem Start damit, den Arbeitsspeicher zu testen (Abbildung 1.31). 

Mit der Taste F1 öffnen Sie die Seite Windows-Arbeitsspeicherdiagnosetool – Optionen 


Abbildung 1.32 Optionen für die Windows-Speicherdiagnose 

Auf dieser Seite haben Sie die Auswahl zwischen drei Teststufen: Minimal, Standard und 

Erweitert. Normalerweise wird die Einstellung Standard verwendet; sie führt 8 Testarten 

aus. Minimal führt dagegen nur 3 Arten von Speichertests aus, die Einstellung Erweitert 17. 

Bei allen Stufen werden die Tests in der Standardeinstellung zweimal durchlaufen. Sie können 

stattdessen eine beliebige Zahl von Durchläufen von 1 bis 99 einstellen. 

Praxistipp 


Es ist verlockend zu glauben, dass Sie lediglich die Windows-Speicherdiagnose in ihren 

Standardeinstellungen auszuführen brauchen, um herauszufinden, ob ein RAM-Modul 

ersetzt werden muss. In Wirklichkeit kommt es durchaus vor, dass ein einzelner Schaltkreis, 

der im RAM Daten speichert, nur kurzzeitig Fehler produziert. Selten auftretende 

Fehler im Hardware-RAM können sporadische Abbruchfehler auslösen, ohne dass oberflächliche 

Diagnosetests die Fehler aufdecken. 

Die Standardeinstellungen der Windows-Speicherdiagnose eignen sich für eine Routinewartung. 

Aber wenn bei einem Computer aus unerfindlichen Gründen Abbruchfehler auftreten, 

sollten Sie gründlichere Tests ausführen, die viele Stunden laufen. Denken Sie auch 

daran, dass die Tests umso gründlicher sein müssen, je seltener die Fehler auftreten.


Sobald die Windows-Speicherdiagnose ihre Tests abgeschlossen hat, wird Windows gestartet. 

Auf dem Desktop zeigt Windows eine Benachrichtigung mit den Testergebnissen an (Abbildung 

1.33). Die zugehörigen Ereignisse finden Sie im Systemereignisprotokoll unter der 

Quelle MemoryDiagnosticsResults (Ereignis-ID 1201). 

Abbildung 1.33 Eine Benachrichtigungsmeldung 

für die Windows-Speicherdiagnose 

Falls Sie einen Speicherfehler gefunden haben, müssen Sie das betroffene RAM-Modul unbedingt 

austauschen. Wenn der Computer mehrere RAM-Module hat und Sie nicht sicher 

sind, welches Modul oder welche Module defekt sind, sollten Sie bis auf eines alle Module 

entfernen. Führen Sie dann erneut die Windows-Speicherdiagnose aus, um zu prüfen, ob das 

Modul einen Defekt hat. Bauen Sie dieses Modul anschließend aus, setzen Sie das zweite 

ein und starten Sie wieder die Windows-Speicherdiagnose. Wiederholen Sie diesen Vorgang 

für alle RAM-Module des Computers, bis Sie alle defekten Module gefunden haben. 

Treten nach dem Austausch des RAMs weiterhin Probleme auf, hat das Problem wahrscheinlich 

eine andere Ursache. Zum Beispiel können hohe Temperaturen (Notebooks sind dafür 

besonders anfällig) dazu führen, dass RAM unzuverlässig wird. Die Computerhersteller 

wählen zwar üblicherweise Arbeitsspeicher aus, der auch bei höheren Temperaturen keine 

Probleme verursacht, aber wenn RAM-Module anderer Hersteller nachgerüstet wurden, 

erfüllen sie unter Umständen nicht dieselben Spezifikationen und verursachen Fehler. Neben 

Wärme sind auch elektrische Störungen durch andere Komponenten innerhalb des Computers 

eine mögliche Fehlerquelle. Und schließlich sollten Sie daran denken, dass Defekte bei 

Motherboard oder Prozessor gelegentlich zu Fehlern bei der Kommunikation mit dem 

Arbeitsspeicher führen, was dann wie ein RAM-Defekt aussieht. 

Behandeln von Festplattenproblemen mit Chkdsk 

Chkdsk ist ein Tool, das automatisch nach Problemen bei Datenträgervolumes sucht und sie 

repariert. Dazu gehören fehlerhafte Sektoren, verlorene Cluster, querverbundene Dateien 

und Verzeichnisfehler. Sie können Chkdsk entweder in Windows oder eigenständig ausführen, 

aber wenn Sie das Systemvolume prüfen wollen, müssen Sie das Tool ausführen, 

während Windows nicht läuft. In diesem Fall können Sie die Ausführung des Tools so planen, 

dass es beim nächsten Windows-Start läuft (wie bei der Windows-Speicherdiagnose). 

Hinweis Problembehandlung mit Chkdsk 

Festplattenfehler sind eine häufige Ursache für Softwareprobleme. Beispielsweise können 

beschädigte Sektoren auf einer Festplatte zu Abbruchfehlern, einfrierenden Systemen oder 

anderen Fehlern führen. Wenn Sie Probleme untersuchen, die vermutlich nicht auf eine kürzliche 

Systemänderung zurückzuführen sind, sollten Sie Ihre Datenträger immer mit Chkdsk 

auf Fehler untersuchen.


Der Name Chkdsk leitet sich aus dem Namen der Befehlszeilenversion des Tools ab, aber 

Sie können Chkdsk auch über die grafische Benutzeroberfläche starten. Öffnen Sie dazu die 

Eigenschaften des Volumes, das Sie überprüfen wollen, und klicken Sie auf die Registerkarte 

Tools. Klicken Sie dort auf die Schaltfläche Jetzt prüfen (Abbildung 1.34). 

Abbildung 1.34 Ausführen von Chkdsk in Windows 

Daraufhin öffnet sich das Dialogfeld Datenträger überprüfen (Abbildung 1.35). Hier legen 

Sie fest, ob sowohl Dateisystemfehler als auch fehlerhafte Sektoren repariert werden oder 

nur Dateisystemfehler. Klicken Sie auf Starten, wenn Sie die gewünschten Einstellungen 

gewählt haben. 

Abbildung 1.35 Optionen für Chkdsk 

Sofern Sie das Systemvolume ausgewählt haben, erhalten Sie die Meldung aus Abbildung 

1.36. Sie werden darin informiert, dass die Festplatte auf Fehler überprüft wird, 

sobald Sie Ihren Computer zum nächsten Mal starten.


Abbildung 1.36 Planen der Ausführung von Chkdsk 

Schnelltest 

In welchem Fall müssen Sie Chkdsk offline ausführen? 


Wenn die Festplatte, die Sie überprüfen, der Systemdatenträger ist. 

Behandeln von Festplattenproblemen mit der Defragmentierung 

Unter Fragmentierung versteht man die immer stärkere Zerteilung der Daten auf einer Festplatte, 

sodass zusammengehörige Daten nach längerer Zeit nicht mehr in einem Stück unmittelbar 

hintereinander liegen, sondern in kleineren Fragmenten über die gesamte Festplatte 

verteilt sind. Weil die Festplattenfragmentierung Ihren Computer langsamer macht, sollten 

Sie die Festplatten regelmäßig defragmentieren. Bei der Defragmentierung werden fragmentierte 

Daten so umsortiert, dass der Festplattenzugriff wieder effizienter abläuft. Die Defragmentierung 

wird in Windows 7 automatisch nach einem eingestellten Zeitplan ausgeführt 

(jeden Mittwoch um 1 Uhr nachts), aber Sie können Ihre Festplatten auch von Hand analysieren 

und defragmentieren. 

Gehen Sie folgendermaßen vor, um die Defragmentierung von Hand zu starten: 

1. Geben Sie Sie im Suchfeld des Startmenüs Defragmentierung ein und drücken Sie die 

EINGABETASTE, sobald der Eintrag Defragmentierung in der Programmliste ausgewählt 

ist. 

Daraufhin öffnet sich das Fenster Defragmentierung. 

2. Wählen Sie im Feld Aktueller Status die Festplatte aus, die Sie defragmentieren wollen. 

3. Klicken Sie auf Datenträger analysieren, um festzustellen, ob die Festplatte defragmentiert 

werden muss. 

4. Sobald Windows mit der Analyse der Festplatte fertig ist, wird der Prozentsatz der Fragmentierung 

in der Spalte Zuletzt ausgeführt aufgelistet. Sofern die Zahl 10% übersteigt, 

sollten Sie die Festplatte defragmentieren. 

5. Klicken Sie auf Datenträger defragmentieren, um die Festplatte zu defragmentieren. 

Die Defragmentierung kann von wenigen Minuten bis zu mehreren Stunden dauern, 

abhängig von Größe und Fragmentierungsgrad der Festplatte. Sie können Ihren Computer 

weiter benutzen, während der Defragmentierungsvorgang läuft.

Prüfungstipp 


Die Defragmentierung wird in den Standardeinstellungen von Windows 7 automatisch ausgeführt. 

Übung Problembehandlung in Windows 7 

In dieser Übung führen Sie ein Problembehandlungsmodul in Windows 7 aus und sehen sich 

das Skript an, das dieses Problembehandlungsmodul steuert. Dann führen Sie das Systemstartreparaturtool 

aus und sehen sich die Ergebnisse an. 

Übung 1 Ausführen eines Windows 7-Problembehandlungsmoduls 

In dieser Übung führen Sie das Problembehandlungsmodul Wiedergeben von Audiodateien 

aus. Dann wechseln Sie in den Ordner C:\Windows\Diagnostics\System und sehen sich den 

Inhalt des Windows PowerShell-Skripts an, das das Problembehandlungspaket für dieses 

Problembehandlungsmodul bildet. 

1. Melden Sie sich als Administrator an einem Windows 7-Computer an. 

2. Öffnen Sie die Systemsteuerung und klicken Sie auf System und Sicherheit. 

3. Klicken Sie in der Kategorie Wartungscenter auf Problembehandlung für allgemeine 

Computerprobleme (gemeint sind häufiger vorkommende Computerprobleme). 

4. Klicken Sie auf der Seite Computerprobleme behandeln auf Hardware und Sound. 

5. Klicken Sie auf der Seite Problembehandlung – Hardware und Sound auf Wiedergeben 

von Audiodateien. 

Daraufhin öffnet sich die erste Seite des Problembehandlungsmoduls Wiedergeben von 

Audiodateien. 

6. Klicken Sie auf Erweitert. 

Das Kontrollkästchen Reparaturen automatisch anwenden ist in der Standardeinstellung 

aktiviert. 

7. Klicken Sie auf Weiter. 

8. Der Assistent Wiedergeben von Audiodateien sucht nach Problemen und versucht, gefundene 

Probleme zu beseitigen. 

9. Warten Sie, bis der Assistent fertig ist, und klicken Sie dann auf Ausführliche Informationen 

anzeigen. 

10. Lesen Sie sich den Problembehandlungsbericht durch. 

11. Klicken Sie auf Weiter und dann auf Schließen. 

12. Wechseln Sie im Windows-Explorer zum Ordner C:\Windows\Diagnostics\System. 

Dieser Ordner enthält die lokal installierten Problembehandlungspakete, die steuern, 

welche Problembehandlungsmodule im System zur Verfügung stehen. 

13. Öffnen Sie den Ordner Audio. 

Dieser Ordner enthält die Windows PowerShell-Skripts, die ausgeführt werden, wenn 

Sie das Problembehandlungsmodul Wiedergeben von Audiodateien starten.


14. Sehen Sie sich an, welche Windows PowerShell-Skripts in diesem Ordner vorhanden 

sind. 

Die Skripts werden benutzt, um sehr detaillierte Konfigurations- und Statusdaten vom 

lokalen System abzurufen. 

15. Schließen Sie alle offenen Fenster. 

Übung 2 Ausführen der Systemstartreparatur 

In dieser Übung starten Sie den Computer und öffnen das Menü Erweiterte Startoptionen 

mit der Taste F8. In diesem Menü wählen Sie die Option Computer reparieren aus. In der 

Windows-Wiederherstellungsumgebung, die daraufhin geöffnet wird, führen Sie den Assistenten 

Systemwiederherstellungsoptionen aus und wählen das Tool Systemstartreparatur. 

1. Starten Sie Ihren Windows 7-Computer neu, sofern er bereits läuft, andernfalls schalten 

Sie ihn ein. 

2. Drücken Sie die Taste F8, sobald der Computer startet, und halten Sie die Taste gedrückt. 

Das Menü Erweiterte Startoptionen erscheint. 

3. Stellen Sie sicher, dass Computer reparieren ausgewählt ist, und drücken Sie die 

EINGABETASTE. 

Die erste Seite des Assistenten Systemwiederherstellungsoptionen erscheint. 

4. Stellen Sie sicher, dass in der Dropdownliste Wählen Sie eine Tastatureingabemethode 

aus Ihre gewünschte Tastatureingabemethode ausgewählt ist, und klicken Sie auf Weiter. 

5. Geben Sie auf der zweiten Seite des Assistenten Systemwiederherstellungsoptionen die 

Anmeldeinformationen eines lokalen Administrators ein und klicken Sie auf OK. 

Die Seite Wählen Sie ein Wiederherstellungstool aus wird geöffnet. 

6. Klicken Sie auf Systemstartreparatur. 

Die Systemstartreparatur startet und sucht nach Fehlern. 

7. Warten Sie, bis die Systemstartreparatur ihre Prüfungen beendet hat, und klicken Sie 

dann auf Diagnose- und Reparaturdetails anzeigen. 

8. Sehen Sie sich das Diagnose- und Reparaturprotokoll der Systemstartreparatur an. 

9. Klicken Sie auf Schließen. 

10. Klicken Sie auf Fertig stellen. 

11. Klicken Sie auf Herunterfahren. 

Zusammenfassung der Lektion 

Das Wartungscenter ist ein guter Ausgangspunkt für die Problembehandlung. 

Windows 7 bringt viele integrierte Problembehandlungsmodule mit, die zur neuen 

erweiterbaren Windows-Problembehandlungsplattform gehören. 

Die Zuverlässigkeitsüberwachung informiert Sie über die relative Stabilität eines 

Systems während der letzten Wochen.


Häufige Startprobleme können Sie mit dem Systemstartreparaturtool beseitigen, das in 

der Liste der Systemwiederherstellungsoptionen der Windows-Wiederherstellungsumgebung 

zur Verfügung steht. 

Verwenden Sie die Windows-Speicherdiagnose, um das Hardware-RAM auf Fehler zu 

prüfen. 

Verwenden Sie Chkdsk, um eine Hardwarefestplatte auf Fehler zu prüfen. 

Verwenden Sie die Defragmentierung, um eine physische Festplatte auf Fragmentierung 

zu prüfen. 

Lernzielkontrolle 

Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 1, 

»Arbeiten mit den Hardwareproblembehandlungstools von Windows 7«, überprüfen. Die 

Fragen finden Sie (in englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch 

auf dem Computer im Rahmen eines Übungstests beantworten. 

Hinweis Die Antworten 

Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglichkeiten 

richtig oder falsch sind, finden Sie im Abschnitt »Antworten« am Ende dieses Buchs. 

1. Sie arbeiten als Supporttechniker für ein großes Unternehmen. Der Helpdesk bittet Sie 

um Unterstützung bei einem Computerproblem. Der betroffene Computer läuft unter 

Windows 7, und das System friert immer öfter ein. Das Helpdeskpersonal teilt Ihnen mit, 

dass abgesehen von einem kritischen Windows-Update keine Änderungen an der Software 

vorgenommen wurden, seit das Problem zum ersten Mal auftauchte. Außerdem hat 

ein gründlicher Virenscan keine Malware auf dem System gefunden. 

Welches der folgenden Tools deckt wahrscheinlich einen Fehler bei dem System auf, das 

zum geschilderten Problem passt? 

A. Chkdsk 

B. Defragmentierung 

C. Systemstartreparatur 

D. Geräte-Manager 

2. Sie führen eine Problembehandlung für einen Systemfehler durch. Wenn Sie den Computer 

einschalten, wird eine Meldung angezeigt, dass die Partitionstabelle ungültig ist. 

Sie haben festgestellt, dass das System nur ein einziges Volume enthält und Windows 7 

auf diesem Volume installiert ist. 

Welches der folgenden Tools sollten Sie zuerst verwenden, um das gemeldete Problem 

zu behandeln? 

A. Chkdsk 

B. Zuverlässigkeitsüberwachung 

C. Windows-Speicherdiagnose 

D. Systemstartreparatur


Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten 

Während Lektion 1 viele Tools vorgestellt hat, die in Windows 7 für die Behandlung von 

Hardwareproblemen zur Verfügung stehen, beschreibt diese Lektion einen konkreten Satz 

Strategien für die Problembehandlung bestimmter Komponenten. 

Wenn Sie allgemeine Computerfehler untersuchen, sollten Sie zuerst das Problem einkreisen 

und feststellen, ob es sich um ein Hardware- oder ein Softwareproblem handelt. Sobald Sie 

vermuten, dass defekte Hardware für den Computerfehler verantwortlich ist, können Sie Ihre 

Problembehandlung auf eine bestimmte Hardwarekomponente konzentrieren (etwa das 

Motherboard oder die Festplatte), um festzustellen, ob diese Komponente die Ursache für 

den Fehler ist. Um zu wissen, welche Komponente Sie zuerst untersuchen sollten, müssen 

Sie die Abläufe beim Startvorgang des Computers kennen. Außerdem müssen Sie wissen, an 

welchen typischen Symptomen Sie das Versagen einer bestimmten Komponente erkennen. 

In dieser Lektion lernen Sie grundlegende Abläufe für die Problembehandlung der vier 

Hardwarekomponenten kennen, die am häufigsten für Computerfehler verantwortlich sind: 

Netzteil, Motherboard, RAM und Festplatten. Dabei erfahren Sie auch, durch welche Symptome 

sich ein Defekt dieser Komponententypen verrät. 


Diagnostizieren von Hardwarefehlern mithilfe verschiedener Windows 7-Tools 


Unterscheiden von Hardware- und Softwarefehlern 

Wenn bei einem Computersystem ein Fehler auftritt, sollten Sie zuerst herausfinden, ob 

Software- oder Hardwarefehler die Ursache sind. Das ist nicht immer einfach. Manche 

Hardwarefehler sind zwar leicht von Softwarefehlern zu unterscheiden, aber andere (beispielsweise 

ein defektes RAM-Modul) zeigen Symptome, die denen von Softwarefehlern 

zum Verwechseln ähnlich sind. 

Im Allgemeinen gilt die folgende Regel aber für Fehler, die durch defekte Hardware verursacht 

werden. 

Ein Systemfehler wird durch ein Hardwareproblem verursacht, wenn eines der folgenden 

Symptome auftritt: 

Der Fehler tritt auf, bevor das Betriebssystem geladen wird. 

Der Fehler tritt sporadisch auf, ohne dass ein Zusammenhang mit bestimmten Softwareaktivitäten 

zu erkennen ist. 

Wenn Sie vermuten, dass ein Systemfehler durch ein Hardwareproblem verursacht wird, 

können Sie die Informationen aus dieser Lektion in Kombination mit den in Lektion 1 beschriebenen 

Tools nutzen, um die konkrete Natur des Problems zu diagnostizieren. 

Ablauf des Systemstarts 

Funktioniert ein Hardwaregerät nicht, zeigt sich dieses Problem oft schon, bevor das Betriebssystem 

startet. Wenn Sie Hardwareprobleme untersuchen, ist es daher wichtig, dass Sie 

wissen, welche Schritte innerhalb des Systemstartvorgangs dem Start des Betriebssystems

Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten 35 

vorangehen. Können Sie beobachten, an welcher Stelle der Fehler auftritt, hilft Ihnen die 

Kenntnis der Abläufe, die Komponente ausfindig zu machen, die den Fehler verursacht. 

Die folgenden Schritte fassen den Systemstart bis zum Laden des Betriebssystems zusammen: 

1. Einschalten 

Während dieser Phase speist das Netzteil Strom in das Motherboard und die CPU (Prozessor) 

ein. 

2. Ausführen von Anweisungen, die im BIOS gespeichert sind 

Sobald die CPU mit Strom versorgt wird, beginnt sie, die Anweisungen abzuarbeiten, die 

im BIOS gespeichert sind. Das BIOS ist Firmware oder Low-Level-Software, die eng 

mit der Hardware zusammenarbeitet. Das BIOS eines Computers enthält den prozessorabhängigen 

Code, der die grundlegenden Hardwarefunktionen des Computers testet und 

die Kontrolle an das Systemstartgerät übergibt. 

Außerdem enthält das BIOS Softwareschnittstellen zur Hardware, die es dem Betriebssystem 

ermöglichen, Features wie Energieverwaltung, Virtualisierung, Hot-Swapping 

und Start von USB-Geräten (Universal Serial Bus) anzubieten. 

Hinweis Extensible Firmware Interface (EFI) 

EFI ist ein erweiterter Nachfolger für das BIOS. In manchen neuen Computern ist es 

bereits anzutreffen. Unabhängig davon, ob ein Computer BIOS oder EFI als Firmware 

verwendet, ist die grundlegende Rolle dieser Firmware für den Startvorgang des Computers 

dieselbe. 

Während der Startphase werden zwei grundlegende Schritte durch die Anweisungen im 

BIOS ausgeführt: 

a. Durchführen des POST (Power On Self Test) 

Der POST ist die Hardwareüberprüfung, die das BIOS ausführt, sobald der Computer 

eingeschaltet wird. Erkennt der POST einen Hardwarefehler, etwa ein defektes 

Anzeigegerät, meldet er den Fehler durch eine Tonfolge, die über den Typ des erkannten 

Fehlers Aufschluss gibt. 

b. Lesen von Befehlen aus dem Systemstartgerät 

Die zweite Funktion, die das BIOS ausführt, besteht darin, die Kontrolle an das Systemstartgerät 

(boot device) zu übergeben und die Befehle zu lesen, die auf diesem 

Systemstartgerät gespeichert sind. Das Systemstartgerät sollte das Gerät sein, auf 

dem das Betriebssystem gespeichert ist. Üblicherweise ist das eine interne Festplatte, 

aber Sie können im BIOS-Setupprogramm einstellen, in welcher Reihenfolge das 

BIOS die verschiedenen Geräte nach gültigem Startcode durchsuchen soll. 

3. Laden des Betriebssystems vom Systemstartgerät 

Sofern der Systemstartvorgang diesen Punkt nicht erreicht, kann das Problem durch die 

falsch konfigurierte Auswahl des Systemstartgeräts im BIOS-Setupprogramm, einen beschädigten 

MBR (Master Boot Record) auf der Festplatte, einen defekten Treiber (meist 

bei einem SCSI-Festplattenlaufwerk) oder einen Hardwaredefekt verursacht werden. 

Stürzt ein Computer nach dem Zeitpunkt ab, an dem das Laden des Betriebssystems vom 

Systemstartgerät beginnt, ist die Ursache wahrscheinlich eher ein Software- als ein Hard-


wareproblem. Aber das ist nicht immer so; durch Hardwaredefekte ausgelöste Abstürze 

können jederzeit auftreten. 

Prüfungstipp 

Unter Umständen müssen Sie Ihr BIOS aktualisieren, damit Sie bestimmte Features wie den 

Start von einem USB- oder Netzwerkgerät nutzen können. 

Hinweis Simple Strategie für die Problembehandlung 

Führen Sie im Rahmen einer Problembehandlung immer zuerst die ungefährlichste, billigste 

und einfachste Aktion durch, die Ihnen hilft, die Ursache des Problems einzukreisen oder zu 

identifizieren. Brauchen Sie danach weitere Informationen, um das Problem zu identifizieren, 

führen Sie die nächste Aktion durch, die am ungefährlichsten, billigsten und einfachsten 

ist; das wiederholen Sie, bis das Problem eindeutig identifiziert ist. 

Behandeln von Netzteilproblemen 

Das Netzteil wandelt den Wechselstrom aus der Steckdose in Gleichstrom der Spannungen 

um, die von verschiedenen Computerkomponenten wie dem Motherboard benötigt werden. 

Der folgende Abschnitt beschreibt grundlegende Strategien für die Problembehandlung im 

Bereich der Stromversorgung. 

Vorsicht Ziehen Sie den Stromstecker ab, bevor Sie das Gehäuse Ihres Computers öffnen! 

Berühren Sie keine internen Komponenten, während ein Computer an die Steckdose angeschlossen 

ist. Sie könnten einen elektrischen Schlag bekommen oder den Computer schwer 

beschädigen. Beachten Sie auch, dass die elektronischen Schaltkreise in einem Computer 

sehr empfindlich auf statische Elektrizität reagieren, selbst auf einem Niveau, von dem ein 

Mensch gar nichts bemerkt. Bevor Sie irgendeine Komponente berühren, sollten Sie sich 

immer erst erden, indem Sie ein Metallteil in Ihrer Umgebung anfassen. 

Der Computer scheint völlig tot zu sein. (Es bewegen sich keine Ventilatoren, es leuchten 

keine Lämpchen, es sind keine Geräusche zu vernehmen oder Bewegungen zu sehen, 

wenn Sie ihn einschalten.) 

1. Überprüfen Sie, ob die Steckdose in Ordnung ist. 

2. Überprüfen Sie, ob die Stromkabel richtig in die Steckdose, den Computer und das 

Motherboard eingesteckt sind. (Denken Sie daran, dass die meisten modernen Motherboards 

zwei Stromstecker benötigen.) 

3. Überprüfen Sie, ob ein interner Stromschalter ausgeschaltet ist. Falls es einen solchen 

Schalter gibt, er eingeschaltet ist und das Netzteil in einem anderen Computer funktioniert, 

sollten Sie den Schalter austauschen. 

4. Sofern Ihr Netzteil einen Spannungsumschalter hat, sollten Sie überprüfen, ob die 

richtige Spannung für Ihr Land eingestellt ist. 

5. Ersetzen Sie das Netzteil, falls die bisherigen Schritte das Problem nicht beseitigen.


Der Computer friert ein, bevor das Betriebssystem startet. 

1. Vergleichen Sie die Stromanforderungen Ihrer Geräte mit der Kapazität des Netzteils. 

Überprüfen Sie, ob das Netzteil genug Leistung für alle Geräte Ihres Computers liefert. 

Ist das nicht der Fall, müssen Sie das Netzteil durch ein leistungsfähigeres Modell ersetzen. 

2. Prüfen Sie mit einem Multimeter, ob das Netzteil dem Computer stabil die richtigen 

Spannungen liefert. Ersetzen Sie andernfalls das Netzteil. 

Der Computer schaltet sich plötzlich ab, ohne dass ein Grund zu erkennen ist. 

1. Überprüfen Sie, ob sich der Netzteillüfter dreht. Falls nicht, können Sie sich darauf 

beschränken, den Netzteillüfter austauschen. 

2. Überprüfen Sie, ob der Lüfter auf dem Motherboard arbeitet. Ersetzen Sie diesen Lüfter, 

wenn nötig. 

3. Starten Sie die Windows-Speicherdiagnose, um Ihr RAM auf Hardwaredefekte zu überprüfen, 

wie in Lektion 1 dieses Kapitels beschrieben. 

4. Führen Sie die Diagnosesoftware für das Motherboard aus, um die Funktion des Motherboards 

zu überprüfen. Diese Software erhalten Sie vom Hardwarehersteller. 

5. Ersetzen Sie das gesamte Netzteil, falls die bisherigen Schritte das Problem nicht beseitigen. 

Das Netzteil gibt ständig laute Geräusche von sich. 

Ersetzen Sie das Netzteil. 

Behandeln von Problemen mit dem Motherboard 

Das Motherboard ist die Hauptkomponente des Computers. Es enthält die CPU oder CPUs, 

Steckplätze für RAM-Module, Erweiterungssteckplätze für andere Geräte und (bei den 

meisten modernen Motherboards) integrierte Komponenten und zugehörige Anschlüsse für 

Ethernet, Sound, Monitor und USB. 

Abbildung 1.37 zeigt ein modernes Motherboard mit integrierten Komponenten für Grafik, 

USB, Ethernet und Audio. 

Abbildung 1.37 Moderne Motherboards enthalten normalerweise 

integrierte Komponenten für Grafik, USB, Ethernet und Audio 


Bereich des Motherboards.


Beim Einschalten des Computers wird auf dem Monitor nichts angezeigt und es sind 

keine Signaltöne zu hören. 

1. Entfernen Sie alle Peripheriegeräte, zum Beispiel externe Laufwerke und PC Cards, und 

versuchen Sie dann erneut, den Computer zu starten. Gelingt das, können Sie versuchen, 

das Gerät zu isolieren, von dem das Problem verursacht wird. Schließen Sie dazu jeweils 

ein weiteres Gerät an und starten Sie den Computer neu, bis der Fehler erneut auftritt. 

Sobald Sie sehen, welches externe Gerät das Problem verursacht, können Sie sich an den 

Hersteller wenden und um Unterstützung für die weitere Problembehandlung bitten. 

2. Überprüfen Sie, ob der Monitor mit Strom versorgt wird und an den Computer angeschlossen 

ist. 

3. Überprüfen Sie, ob sich der Netzteillüfter dreht. Ist das nicht der Fall, müssen Sie mit 

der Problembehandlung für das Netzteil fortfahren. 

4. Stellen Sie sicher, dass alle erforderlichen Stromstecker an das Motherboard und andere 

Computerkomponenten angeschlossen sind. (Denken Sie daran, dass die meisten modernen 

Motherboards zwei Stromstecker benötigen.) 

5. Überprüfen Sie, ob ein eventuell vorhandener Stromschalter eingeschaltet ist. 

6. Sofern Ihr Netzteil einen Spannungsumschalter hat, sollten Sie überprüfen, ob die 

richtige Spannung für Ihr Land eingestellt ist. 

7. Überprüfen Sie, ob das Motherboard richtig eingebaut ist und die CPU fest im Sockel 

sitzt. 

8. Stellen Sie sicher, dass die RAM-Module fest in den richtigen Steckplätzen sitzen, wie 

im Handbuch des Motherboardherstellers angegeben. 

9. Führen Sie die Windows-Speicherdiagnose aus und ersetzen Sie bei Bedarf die defekten 

RAM-Module. 

10. Setzen Sie das BIOS auf seine Standardeinstellungen zurück. (Wie das geht, ist im Handbuch 

für das Motherboard beschrieben. Sie können das BIOS auch zurücksetzen, indem 

Sie die Batterie auf dem Motherboard 30 Minuten lang entfernen.) 

11. Prüfen Sie mithilfe des Handbuchs für das Motherboard, ob alle Jumper richtig gesetzt 


12. Ersetzen Sie die Grafikkarte, falls Ihr Computer keinen internen Lautsprecher hat (und 

Sie deshalb keine Signaltöne hören können). 

13. Tauschen Sie das Netzteil aus. 

14. Tauschen Sie das Motherboard aus. 

Beim Einschalten des Computers hören Sie Signaltöne, aber das System startet nicht. 

1. Entfernen Sie alle Peripheriegeräte, zum Beispiel externe Laufwerke und PC Cards, und 

versuchen Sie dann erneut, den Computer zu starten. Gelingt das, können Sie versuchen, 

das Gerät zu isolieren, von dem das Problem verursacht wird. Schließen Sie dazu jeweils 

ein weiteres Gerät an und starten Sie den Computer neu, bis der Fehler erneut auftritt. 

2. Schlagen Sie im Handbuch des Motherboards oder auf der Website des Herstellers nach, 

was die ausgegebenen Signaltöne bedeuten. 

3. Versuchen Sie, die Komponente zu reparieren, die durch die Signaltöne identifiziert wird. 

Dazu müssen Sie unter Umständen Stromkabel anschließen, Komponenten wie das RAM


oder die CPU neu einstecken, das BIOS zurücksetzen oder Jumper auf dem Motherboard 

umstecken. 

4. Tauschen Sie bei Bedarf die defekte Komponente aus, die durch die Signaltöne identifiziert 

wird. 

Der Computer schaltet sich immer wieder aus, sobald er einige Minuten gelaufen ist. 

1. Überprüfen Sie, ob sich der CPU-Lüfter auf dem Motherboard dreht. Ersetzen Sie ihn, 

wenn das nicht der Fall ist. 

2. Stellen Sie den Computer so auf, dass er nicht in einer Warmluftblase steht. (Bei Notebooks 

ist das besonders problematisch.) 

Der Computer schaltet sich in nicht vorhersagbaren Abständen aus. 

1. Starten Sie die Windows-Speicherdiagnose, um Ihr RAM auf Hardwaredefekte zu überprüfen, 

wie in Lektion 1 dieses Kapitels beschrieben. 

2. Führen Sie die Diagnosesoftware für das Motherboard aus, um die Funktion des Motherboards 

zu überprüfen. Diese Software erhalten Sie vom Hardwarehersteller. 

3. Stellen Sie den Computer so auf, dass er nicht in einer Warmluftblase steht. (Bei Notebooks 

ist das besonders problematisch.) 

Das Betriebssystem kann Energieverwaltung, Virtualisierung, USB- oder Netzwerkstart, 

Hot-Swapping oder andere Features nicht nutzen, obwohl sie von der Hardware 

unterstützt werden. 

Aktivieren Sie das gewünschte Feature im BIOS-Setupprogramm. 

Behandeln von RAM-Problemen 

Bei PCs ist das RAM (Random Access Memory) der nicht dauerhafte Arbeitsspeicher, der 

von Modulen wie beispielsweise DIMMs (Dual Inline Memory Module) zur Verfügung 

gestellt wird. In diesem Arbeitsspeicher werden relativ große Datenmengen so gespeichert, 

dass der Prozessor schnell darauf zugreifen kann. Eine wichtige Beschränkung des Computer-RAMs 

ist, dass alle Daten darin verloren gehen, sobald es nicht mehr mit Strom versorgt 

wird. 

Das häufigste Symptom für ein Arbeitsspeicherproblem ist ein Systemabsturz oder ein Abbruchfehler 

in Windows. Sollten derartige Fehler auftreten, erhalten Sie unter Umständen 

eine Meldung, die explizit auf ein Arbeitsspeicherproblem hinweist. Arbeitsspeicherprobleme 

können aber auch verhindern, dass Windows überhaupt startet. Sofern Sie eine Fehlermeldung 

sehen, die den Arbeitsspeicher betrifft, oder ein RAM-Defekt definitiv als Ursache 

für Computerabstürze oder Systemstartfehler ausschließen wollen, sollten Sie folgendermaßen 

vorgehen: 

1. Führen Sie die Windows-Speicherdiagnose aus, wie in Lektion 1 dieses Kapitels beschrieben. 

2. Gehen Sie folgendermaßen vor, falls Fehler gefunden wurden oder nicht das gesamte 

installierte RAM erkannt wird: 

a. Stellen Sie sicher, dass die RAM-Module fest in den Sockeln stecken. 

b. Überprüfen Sie, ob die RAM-Module in den richtigen Sockeln stecken, wie im 

Handbuch des Motherboardherstellers angegeben.


c. Überprüfen Sie, ob das eingebaute RAM den richtigen Typ hat, wie im Handbuch 

des Motherboardherstellers angegeben. 

d. Falls das Problem weiterhin besteht, sollten Sie alle Module ausbauen, die RAM- 

Sockel säubern, ein Modul in den ersten Sockel einsetzen und den Computer neu 

starten. Testen Sie auf diese Weise alle RAM-Module. 

Behandeln von Festplattenproblemen 

Technisch gesehen ist ein Festplattenlaufwerk ein Gerät zum dauerhaften Speichern von 

Daten auf rotierenden Magnetplatten. Die Technik ist zwar schon Jahrzehnte alt, aber auch 

heute noch der am häufigsten genutzte Speichertyp. Allmählich werden Festplattenlaufwerke 

allerdings durch andere Formen nicht-flüchtiger Speicher ersetzt, beispielsweise 

SSDs (Solid-State Drive). 


Bereich der Festplatten. 

Sie hören ein lautes Sirren, Kreischen oder Klicken. 

1. Sichern Sie Ihre Daten. Das Festplattenlaufwerk könnte jeden Augenblick ausfallen. 

2. Tauschen Sie das Laufwerk aus. 

Das Betriebssystem startet nicht und Sie erhalten eine Fehlermeldung, die so ähnlich 

aussieht wie eine der folgenden: 

Hard disk error. 

Invalid partition table. 

A disk-read error occurred. 

Couldn’t find loader. 

1. Überprüfen Sie, ob das BIOS-Setupprogramm so konfiguriert ist, dass es vom Festplattenlaufwerk 

startet. 

2. Überprüfen Sie, ob das Festplattenlaufwerk ein Betriebssystem enthält. 

3. Führen Sie das Systemstartreparaturtool aus, wie in Lektion 1 dieses Kapitels beschrieben. 

4. Überprüfen Sie, ob die Stromleitung an das Festplattenlaufwerk angeschlossen ist. 

5. Überprüfen Sie, ob alle Jumper an Ihren Festplattenlaufwerken richtig konfiguriert sind, 

wie im Handbuch des Herstellers angegeben. 

6. Versuchen Sie, die Festplatte aus einem Systemabbild wiederherzustellen. 

7. Tauschen Sie das Festplattenlaufwerk aus. 

Das Betriebssystem startet, aber die Leistung wird im Lauf der Zeit immer schlechter. 

Führen Sie die Defragmentierung aus, wie in Lektion 1 dieses Kapitels beschrieben. 

Das Betriebssystem startet, aber Sie finden Hinweise, dass Daten beschädigt sind. 

oder 

Das System friert gelegentlich ein und reagiert einige Zeit nicht. 

1. Führen Sie Chkdsk aus, wie in Lektion 1 dieses Kapitels beschrieben. 

2. Führen Sie die Diagnosesoftware des Festplattenherstellers aus, um die Funktion der 

Festplattenhardware zu testen.

Schnelltest 


Ist die Festplatte oder das RAM die wahrscheinlichere Ursache, wenn ein System 

einfriert? 


Wenn ein System einfriert, ist wahrscheinlich ein Defekt der Festplatte die Ursache. 

Weitere Informationen Beseitigen von Problemen mit Hardwarekomponenten 

Einen ausführlichen Leitfaden, wie Sie Probleme mit Hardwarekomponenten beseitigen, 

finden Sie in Computer Repair with Diagnostic Flowcharts: Troubleshooting PC Hardware 

Problems from Boot Failure to Poor Performance, Revised Edition (Foner Books, 2008) von 

Morris Rosenthal. Umfangreiche Auszüge aus diesem Buch finden Sie unter http://www. 

fonerbooks.com/pcrepair.htm. 

Übung Testen diverser Hardwarekomponenten 

In dieser Übung führen Sie eine Diagnose durch, um das RAM und die Festplatte Ihres 

Computers zu überprüfen. 

Übung 1 Testen des RAMs mit der Windows-Speicherdiagnose 

In dieser Übung starten Sie Ihren Computer neu, öffnen das Menü des Windows-Start- 

Managers, wählen die Windows-Speicherdiagnose aus und testen den Arbeitsspeicher. 

1. Nehmen Sie alle CDs oder DVDs aus den lokalen Laufwerken des Windows 7-Computers. 

2. Starten Sie den Computer (oder starten Sie ihn neu, wenn er bereits läuft). 

3. Drücken Sie beim Start des Computers wiederholt die Leertaste (einmal pro Sekunde 

reicht). 

Das Menü Windows-Start-Manager wird angezeigt. 

4. Drücken Sie die TABULATORTASTE, um im Menü des Windows-Start-Managers den 

Eintrag Windows-Speicherdiagnose auszuwählen, und drücken Sie die EINGABETASTE. 

Das Windows-Speicherdiagnosetool startet. 

5. Lesen Sie die angezeigten Meldungen durch und drücken Sie dann F1, um den Bildschirm 

Optionen zu öffnen. 

6. Stellen Sie auf dem Bildschirm Optionen mithilfe von TABULATORTASTE, Pfeiltasten 

und Zahlentasten die Testzusammenstellung auf Minimal und die Durchlaufanzahl auf 1. 

7. Drücken Sie F10, damit die neuen Einstellungen übernommen werden. 

8. Es beginnt ein kurzer Test des Arbeitsspeichers. Sobald die Überprüfung abgeschlossen 

ist, wird Windows automatisch neu gestartet. Wenn Sie sich angemeldet haben, erscheint 

eine Benachrichtigung, die angibt, ob Fehler gefunden wurden.


Übung 2 Testen der Festplatte mit Chkdsk 

In dieser Übung melden Sie sich an Windows 7 an, öffnen eine Eingabeaufforderung mit 

erhöhten Rechten und führen das Programm Chkdsk in der Befehlszeile aus. 

1. Melden Sie sich an Windows 7 an und öffnen Sie eine Eingabeaufforderung mit erhöhten 

Rechten. Klicken Sie dazu im Startmenü unter Alle Programme\Zubehör mit der 

rechten Maustaste auf Eingabeaufforderung, wählen Sie im Kontextmenü den Befehl Als 

Administrator ausführen und klicken Sie in der Eingabeaufforderung der Benutzerkontensteuerung 

auf Ja. 

2. Geben Sie an der Eingabeaufforderung den Befehl chkdsk /? ein. 

3. Lesen Sie die Ausgabe und sehen Sie sich an, welche Optionen für den Befehl chkdsk zur 

Verfügung stehen. 

4. Geben Sie an der Eingabeaufforderung den Befehl chkdsk c: /f /v /i /c ein. 

(Sofern Ihr Systemlaufwerk einen anderen Laufwerkbuchstaben als C: hat, müssen Sie 

das c: in diesem Befehl durch den Laufwerkbuchstaben ersetzen, der Ihrem Systemlaufwerk 

zugewiesen ist. Hat Ihr Systemlaufwerk beispielsweise den Buchstaben E:, lautet 

der Befehl chkdsk e: /f /v /i /c.) 

Diese Argumente bewirken, dass gefundene Fehler automatisch repariert (/f) und Meldungen 

zu Aufräumoperationen angezeigt werden (/v). Chkdsk führt dabei eine schnellere 

Überprüfung durch, bei der bestimmte Testarten übersprungen werden (/i und /c). 

5. Es erscheint eine Meldung, dass Chkdsk nicht ausgeführt werden kann, weil das Volume 

von einem anderen Prozess benutzt wird. Sie werden gefragt, ob das Volume geprüft 

werden soll, sobald das System das nächste Mal startet. 

Diese Meldung erscheint, weil das Volume, das Sie überprüfen wollen, momentan für 

die Ausführung von Windows benutzt wird. Sie können Chkdsk nur für ein Volume ausführen, 

das nicht anderweitig benutzt wird. 

6. Drücken Sie Y und starten Sie das System neu. 

7. Wenn Windows neu startet, wird eine Meldung angezeigt, während Chkdsk läuft. Weil 

die Argumente /i und /c angegeben wurden, weist eine Meldung darauf hin, dass der 

Datenträger beschädigt sein könnte, selbst wenn keine Fehler gefunden werden. 

Sobald Chkdsk fertig ist, wird Windows automatisch gestartet. 


Beginnen Sie die Problembehandlung für einen Computerfehler damit, dass Sie herausfinden, 

ob das Problem auf Hardware oder Software zurückzuführen ist. 

Haben Sie festgestellt, dass ein Fehler durch Hardware verursacht wird, müssen Sie 

herausfinden, welche konkrete Komponente schuld ist. Beobachten Sie den Ablauf des 

Systemstarts und entscheiden Sie anhand Ihres Wissens über Fehlersymptome, welche 

Hardwarekomponente Sie zuerst untersuchen sollten. 

Die Schritte zum Beseitigen von Problemen mit Hardwarekomponenten unterscheiden 

sich von Komponente zu Komponente.




»Beseitigen von Problemen mit Hardwarekomponenten«, überprüfen. Die Fragen finden Sie 

(in englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer 

im Rahmen eines Übungstests beantworten. 




1. Sie untersuchen ein Problem bei einem Windows 7-Computer. An diesen Computer ist 

ein externes Gehäuse für SATA-Laufwerke (Serial Advanced Technology Attachments) 

angeschlossen, das es erlaubt, Festplatten im laufenden Betrieb einzustecken und wieder 

zu entfernen. Aber immer, wenn Sie das Gerät ausschalten und die Festplatte entnehmen, 

treten Fehler auf. 

Durch welche der folgenden Maßnahmen gelingt es wahrscheinlich, die Festplatte im 

externen Gehäuse auszutauschen, ohne dass Fehler entstehen? 

A. Aktivieren Sie in der Systemsteuerung den Energiesparplan Höchstleistung. 

B. Führen Sie Chkdsk für den Datenträger aus. 

C. Stellen Sie sicher, dass die Jumper der internen IDE-Laufwerke (Integrated Drive 

Electronics) richtig konfiguriert sind. 

D. Aktualisieren Sie das BIOS und stellen Sie sicher, dass es richtig konfiguriert ist. 

2. Sie untersuchen ein Problem bei einem Windows 7-Computer. Dieser Computer wird 

nachts von einem Administrator, tagsüber von einem normalen Benutzer verwendet. Der 

normale Benutzer beschwert sich, dass der Computer träge reagiert. Ein gründlicher 

Virenscan hat keine Malware auf dem System entdeckt. Wartungscenter, Zuverlässigkeitsüberwachung, 

Ereignisanzeige und Geräte-Manager zeigen nichts Ungewöhnliches. 

Welchen der folgenden Problembehandlungsschritte sollten Sie zuerst ausführen? 

A. Führen Sie Chkdsk aus. 

B. Starten Sie die Defragmentierung, um den Fragmentierungsgrad der Festplatte zu 

analysieren. 

C. Führen Sie die Systemstartreparatur aus. 

D. Führen Sie die Windows-Speicherdiagnose aus.


Rückblick auf dieses Kapitel 

Sie können die in diesem Kapitel erworbenen Fähigkeiten folgendermaßen einüben und 

vertiefen: 

Lesen Sie die Zusammenfassung des Kapitels sorgfältig durch. 

Lesen Sie die Liste der Schlüsselbegriffe durch, die in diesem Kapitel eingeführt wurden. 

Arbeiten Sie die Übungen mit Fallbeispielen durch. Diese Szenarien beschreiben Fälle 

aus der Praxis, in denen die Themen dieses Kapitels zur Anwendung kommen. Sie werden 

aufgefordert, eine Lösung zu entwickeln. 

Führen Sie die vorgeschlagenen Übungen durch. 

Machen Sie einen Übungstest. 

Zusammenfassung des Kapitels 

Windows 7 enthält mehrere Tools, die Sie einsetzen können, um Probleme im Bereich 

der Hardware zu diagnostizieren. 

Wenn Sie eine Problembehandlung für Hardware durchführen, sollten Sie unbedingt die 

verschiedenen Strategien für alle einzelnen Komponententypen kennen. 

Schlüsselbegriffe 

Wissen Sie, was die folgenden Schlüsselbegriffe bedeuten? Sie können Ihre Antworten überprüfen, 

indem Sie die Begriffe im Glossar am Ende dieses Buchs nachschlagen. 

Wartungscenter 

BIOS (Basic Input/Output System) 

Chkdsk 

Defragmentierung 

Zuverlässigkeitsüberwachung 

Systemstartreparatur 

Systemwiederherstellungsoptionen 

Problembehandlungspaket 

Windows-Start-Manager 

Windows-Speicherdiagnose 

Windows-Wiederherstellungsumgebung 

Übungen mit Fallbeispiel 

In den folgenden Übungen mit Fallbeispiel wenden Sie an, was Sie über die in diesem Kapitel 

behandelten Themen gelernt haben. Die Lösungen zu den Fragen finden Sie im Abschnitt 

»Antworten« hinten in diesem Buch.

Übung mit Fallbeispiel 1: Problembehandlung für Abbruchfehler 

Übungen mit Fallbeispiel 45 

Sie arbeiten als Supporttechniker in einem Großunternehmen. Ihr Manager bittet Sie, Probleme 

mit einem Computer zu beseitigen, der vom Arbeitsplatz eines Benutzers entfernt 

wurde. Der Benutzer hat gemeldet, dass in der letzten Woche etliche Abbruchfehler aufgetreten 

sind, und zwar während er Webseiten las. Der Computer läuft unter Windows 7. 

Als Sie sich an diesem Computer anmelden, stellen Sie fest, dass Wartungscenter und Ereignisanzeige 

keine Informationen zum untersuchten Problem enthalten. 

Beantworten Sie vor diesem Hintergrund die folgenden Fragen: 

1. Welches Tool benutzen Sie, um herauszufinden, wie lange das Problem schon besteht? 

2. Sie stellen fest, dass das Problem bald nach einer Aufrüstung des Arbeitsspeichers begann. 

Welches Problembehandlungstool verwenden Sie als Nächstes? 

3. Sie finden Fehler beim neuen RAM-Modul. Welche Maßnahme empfehlen Sie, um das 

Problem zu beseitigen? 

Übung mit Fallbeispiel 2: Problembehandlung für Systemabstürze 

Sie arbeiten als Supporttechniker für Humongous Insurance, einen Versicherungskonzern 

mit 250 Angestellten. In der Hauptniederlassung in Atlanta gibt es 200 Clientcomputer, die 

unter Windows 7 laufen, und 10 Server, die unter Windows Server 2008 laufen. 

Sie erhalten einen Anruf vom Helpdesk, der Sie über ein Problem informiert, das der Helpdesk-Supporttechniker 

nicht lösen konnte. Der Computer eines Sachbearbeiters ist heute 

mehrmals ohne Vorwarnung abgestürzt. Sie befragen sowohl den Sachbearbeiter als auch 

den Helpdeskmitarbeiter. 

Recherche 

Hier die Aussagen der Unternehmensmitarbeiter, die Sie befragt haben: 

Sachbearbeiter »Das ist heute schon dreimal passiert, und ständig geht meine Arbeit 

verloren. Jedes Mal hatte ich bereits einige Minuten gearbeitet, als sich der Computer 

ohne Vorwarnung ausschaltete. Das Problem trat einmal auf, als ich eine E-Mail schrieb, 

die beiden anderen Male füllte ich gerade Formulare aus.« 

Helpdeskmitarbeiter »Im Wartungscenter werden keine Fehler gemeldet. Ich habe 

einige Problembehandlungsmodule ausgeführt, ohne dass Probleme gefunden wurden. 

Im Geräte-Manager sehe ich nichts Ungewöhnliches, und die Windows-Updates sind auf 

dem aktuellen Stand. In der Ereignisanzeige tauchen einige Fehler aus den letzten Wochen 

auf, aber ich verstehe sie nicht. Der Benutzer sagt, dass es keinen Abbruchfehler gibt, 

wenn der Computer neu startet.« 

Fragen 

1. Warum ist die Ursache für dieses Problem eher bei der Hardware zu suchen als bei der 

Software? 

2. Sie stellen fest, dass das Problem rund 15 Minuten nach dem Start auftritt. Was sollten 

Sie als Nächstes prüfen?


Vorgeschlagene Übungen 

Sie sollten die folgenden Aufgaben durcharbeiten, wenn Sie die in diesem Kapitel behandelten 

Prüfungsziele meistern wollen. 


Arbeiten Sie folgende Aufgaben durch, um Ihre Fähigkeiten bei der Problembehandlung von 

Hardware zu erweitern: 

Übung 1 Lesen Sie das Handbuch für Ihr Motherboard durch. Prägen Sie sich die Signaltöne 

für die verschiedenen Arten von Hardwarefehlern ein. 

Übung 2 Laden Sie von der Website Ihres Motherboardherstellers alle Dienstprogramme 

herunter, die die Funktion des Motherboards und der darauf verwendeten 

Chipsätze testen, und führen Sie diese Programme aus. 

Übung 3 Führen Sie die Windows-Speicherdiagnose über Nacht aus, wobei Sie die 

Zusammenstellung Erweitert und eine Durchführungszahl von 20 einstellen. 

Übung 4 Laden Sie von der Website Ihres Festplattenherstellers alle Dienstprogramme 

herunter, die die Funktion des Laufwerks testen, und führen Sie diese Programme aus. 

Übung 5 Drücken Sie, während Ihr Computer startet, die Taste zum Aufrufen des 

BIOS-Setupprogramms. Sehen Sie sich im BIOS-Setup an, welche Optionen zur Verfügung 

stehen. Schließen Sie das Programm, ohne Änderungen zu übernehmen. 

Übung 6 Prüfen Sie auf der Website Ihres Motherboardherstellers, ob eine neuere Version 

des BIOS verfügbar ist. Laden Sie in diesem Fall die neue Version herunter und 

führen Sie ein BIOS-Update durch. 

Machen Sie einen Übungstest 

Die Übungstests (in englischer Sprache) auf der Begleit-CD zu diesem Buch bieten zahlreiche 

Möglichkeiten. Zum Beispiel können Sie einen Test machen, der ausschließlich die 

Themen aus einem Prüfungslernziel behandelt, oder Sie können sich selbst mit dem gesamten 

Inhalt der Prüfung 70-685 testen. Sie können den Test so konfigurieren, dass er dem Ablauf 

einer echten Prüfung entspricht, oder Sie können einen Lernmodus verwenden, in dem 

Sie sich nach dem Beantworten einer Frage jeweils sofort die richtige Antwort und Erklärungen 

ansehen können. 

Weitere Informationen Übungstests 

Einzelheiten zu allen Optionen, die bei den Übungstests zur Verfügung stehen, finden Sie im 

Abschnitt »So benutzen Sie die Übungstests« in der Einführung am Anfang dieses Buchs.


Netzwerk 

Weil Benutzer Netzwerkressourcen unbedingt für wichtige Anwendungen wie E-Mail brauchen, 

müssen Sie in der Lage sein, häufige Netzwerkprobleme schnell zu diagnostizieren. 

Windows 7 kann viele häufige Probleme automatisch diagnostizieren und stellt Tools zur 

Verfügung, mit denen Sie andere Bedingungen von Hand überprüfen können. Dieses Kapitel 

beschreibt, wie Sie Netzwerkeinstellungen auf Windows 7-Computern konfigurieren und 

wie Sie eine Problembehandlung durchführen. 

Drahtlosnetzwerke (wireless network) verbreiten sich immer mehr, die meisten mobilen 

Computer nehmen regelmäßig Verbindung mit einem oder mehreren Drahtlosnetzwerken 

auf. Viele reisende Benutzer stellen Verbindungen zu Dutzenden von Drahtlosnetzwerken 

her: einige im Büro, andere zu Hause, wieder andere an öffentlichen WLAN-Hotspots in 

Internetcafés oder Flughäfen. 

Um sicherzustellen, dass den Benutzern ihre Verbindungen erhalten bleiben, müssen Sie 

wissen, wie Sie Kabel- und Drahtlosnetzwerke konfigurieren und Probleme damit beseitigen. 

Dieses Kapitel erklärt, wie Sie mithilfe der verfügbaren Tools Netzwerkprobleme diagnostizieren 

und Verbindungsprobleme beseitigen, beispielsweise Probleme mit der Namensauflösung. 

In diesem Kapitel abgedeckte Prüfungsziele: 

Untersuchen und Beseitigen von Netzwerkkonnektivitätsproblemen 

Untersuchen und Beseitigen von Namensauflösungsproblemen 

Untersuchen und Beseitigen von Problemen im Bereich der Drahtloskonnektivität 


Lektion 1: Problembehandlung für die Netzwerkkonnektivität . ............... 49 

Lektion 2: Problembehandlung für die Namensauflösung ................... 68 

Lektion 3: Problembehandlung für Drahtlosnetzwerke ..................... 75 


Um die Übungen in diesem Kapitel durcharbeiten zu können, sollten Sie mit Windows 7 

vertraut sein und folgende Aufgaben beherrschen: 

Installieren von Windows 7 

Einen Computer hardwaremäßig an das Netzwerk anschließen 

Konfigurieren eines Drahtloszugriffspunkts 

Durchführen einfacher Verwaltungsaufgaben auf einem Windows Server 2008 R2- 

Domänencontroller 

47

48 Kapitel 2: Netzwerk 

Um die Übungen in Lektion 3, »Problembehandlung für Drahtlosnetzwerke« durchzuarbeiten, 

brauchen Sie einen Drahtloszugriffspunkt und einen Computer, der unter Windows 7 

läuft und mit einem Drahtlosnetzwerkadapter ausgestattet ist. 

Praxistipp 

Tony Northrup 

Sie lernen in diesem Kapitel etliche unterschiedliche Tools zum Behandeln von Netzwerkproblemen 

kennen, darunter Ping, PathPing, Nslookup und Ipconfig. Das wichtigste 

Problembehandlungstool erfordert aber gar keine lange Einarbeitung: die Windows-Netzwerkdiagnose. 

Sie automatisiert die Diagnose von Netzwerkproblemen und ist sogar in 

der Lage, viele Probleme mit der Netzwerkkonfiguration automatisch zu reparieren. 

Läuft die Diagnose automatisiert ab, schaltet das viele Fehlerquellen aus, die durch 

menschliches Versagen entstehen. Als ich Netzwerkprobleme von Hand untersuchte, 

verließ ich mich oft auf mein Gefühl. War zum Beispiel in der Vergangenheit der Router 

ausgefallen, nahm ich an, dass das Problem beim Router lag, und versuchte, ihn mit Ping 

zu erreichen. Schlug der Ping-Test fehl, ging ich davon aus, dass meine erste Vermutung 

zutraf. Dass der Ping-Test fehlschlug, konnte aber auch daran liegen, dass eine Netzwerkkarte 

defekt war, die IP-Adresse falsch konfiguriert war oder eine Firewall die Übertragung 

blockierte. Unter Umständen hatte ich mich auch nur beim Eingeben der IP-Adresse 

des Routers vertippt. 

Manchmal sparen Sie sich Zeit, wenn Sie sich auf Ihr Gefühl verlassen. Ist Ihre erste Vermutung 

allerdings falsch, verschwenden Sie möglicherweise Stunden damit, ein Problem 

zu beseitigen, das gar nicht besteht. Die Windows-Netzwerkdiagnose verlässt sich nicht 

auf Ahnungen oder Gefühle. Sie verschwendet aber auch niemals Zeit, weil sie eine komplexe 

Diagnose binnen weniger Sekunden erledigt. Sie überspringt niemals Schritte, vergisst 

nie, etwas zu überprüfen, und vertippt sich nicht. 

In der Praxis sollten Sie Ihre Problembehandlung immer mit der Windows-Netzwerkdiagnose 

beginnen. Danach können Sie die anderen Problembehandlungswerkzeuge einsetzen, 

um das Problem zu bestätigen oder eine zusätzliche Diagnose durchzuführen, falls die 

Windows-Netzwerkdiagnose keine brauchbare Antwort liefert.

Lektion 1: Problembehandlung für die Netzwerkkonnektivität 49 

Lektion 1: Problembehandlung für die Netzwerkkonnektivität 

Falls eine Netzwerkkarte, ein Netzwerkkabel, ein Switch, ein Router, eine Internetverbindung 

oder ein Server ausfällt, hat der Benutzer den Eindruck, dass er keine Verbindung mit 

einem Netzwerk herstellen kann. Oft bedeutet das, dass dieser Benutzer seine Arbeit nicht 

erledigen kann. Daher ist es sehr wichtig, dass Sie das Problem schnell identifizieren und 

beseitigen. Weil Netzwerkfehler durch viele unterschiedliche Komponenten verursacht werden 

können, müssen Sie unbedingt wissen, wie jede Komponente funktioniert und welche 

Tools zur Verfügung stehen, um herauszufinden, ob eine bestimmte Komponente ausgefallen 

ist. Diese Lektion beschreibt, wie Sie die Ursache von Netzwerkproblemen identifizieren 

und wie Sie das Problem beseitigen (soweit möglich). 


Durchführen einer automatischen Problembehandlung für häufige Netzwerkprobleme 

mit der Windows-Netzwerkdiagnose 

Durchführen einer manuellen Problembehandlung für Netzwerkprobleme mit Ping, 

PathPing, PortQry und Nslookup 

Durchführen einer Problembehandlung für Verbindungen zu freigegebenen Ordnern 

Durchführen einer Problembehandlung für eine APIPA-Adresse 

Durchführen einer Problembehandlung für ein Namensauflösungsproblem 

Durchführen einer Problembehandlung für ein Netzwerk- oder Anwendungsverbindungsproblem 


Arbeiten mit der Windows-Netzwerkdiagnose 

Windows 7 enthält Diagnosetools, die den Überprüfungsprozess für häufig vorkommende 

Netzwerkprobleme automatisieren. Windows 7 kann viele Netzwerkprobleme, die mit der 

Konfiguration zu tun haben oder schlicht ein Zurücksetzen der Netzwerkkarte erfordern, 

auch automatisch beseitigen. 

Es gibt verschiedene Methoden, die Windows-Netzwerkdiagnose zu starten: 

Klicken Sie im Infobereich der Taskleiste mit der rechten Maustaste auf das Netzwerksymbol 

und wählen Sie den Befehl Problembehandlung (Abbildung 2.1). 

Abbildung 2.1 Starten der Windows-Netzwerkdiagnose 

über das Netzwerksymbol in der Taskleiste 

Öffnen Sie das Netzwerk- und Freigabecenter (zum Beispiel indem Sie mit der rechten 

Maustaste auf das Netzwerksymbol in der Taskleiste klicken und dann den Befehl Netzwerk- 

und Freigabecenter öffnen wählen). Klicken Sie in der Netzwerkübersicht auf die 

Verbindung, die mit einem X markiert ist (Abbildung 2.2).


Abbildung 2.2 Anklicken einer unterbrochenen Verbindung im Netzwerk- und 

Freigabecenter, um ein Problem zu diagnostizieren 

Öffnen Sie das Netzwerk- und Freigabecenter. Klicken Sie unten im rechten Fensterabschnitt 

auf den Link Probleme beheben. 

Klicken Sie auf der Seite Netzwerkverbindungen der Systemsteuerung mit der rechten 

Maustaste auf einen Netzwerkadapter und wählen Sie den Befehl Diagnose. 

Wenn der Windows Internet Explorer eine Website nicht erreicht, haben Sie die Möglichkeit, 

den Link Diagnose von Verbindungsproblemen anzuklicken. 

Halten Sie die WINDOWS-LOGO-TASTE gedrückt und drücken Sie R, um das Dialogfeld 

Ausführen zu öffnen. Geben Sie rundll32.exe ndfapi,NdfRunDllDiagnoseIncident 

ein (beachten Sie dabei die Groß- und Kleinschreibung) und drücken Sie die EINGABE- 

TASTE. 

Sobald die Windows-Netzwerkdiagnose die Diagnose abgeschlossen hat, zeigt sie eine Liste 

der erkannten Probleme an. Zum Beispiel zeigt Abbildung 2.3, dass der Computer richtig 

mit dem Netzwerk verbunden ist, aber der DNS-Server (Domain Name System) nicht verfügbar 

ist. Wenn der DNS-Server nicht verfügbar ist, hat das ähnliche Auswirkungen wie ein 

vollständiger Verbindungsausfall, weil keine Computer zur Verfügung stehen, die anhand 

ihres Hostnamens identifiziert werden. Um das Problem zu lösen, müssen Sie entweder eine 

andere DNS-Server-IP-Adresse einstellen oder den DNS-Server wieder hochfahren. 

Abbildung 2.4 zeigt ein Problem, das die Windows-Netzwerkdiagnose beseitigt hat: Die 

Netzwerkkarte war deaktiviert. In diesem Fall braucht der Benutzer lediglich den Anweisungen 

des Assistenten zu folgen, um die Netzwerkkarte wieder zu aktivieren.


Abbildung 2.3 Die Windows-Netzwerkdiagnose kann Probleme schnell 

identifizieren, die für einen Menschen schwierig zu isolieren wären 

Abbildung 2.4 Einige Konfigurationsprobleme kann die 

Windows-Netzwerkdiagnose automatisch beseitigen 

Die Windows-Netzwerkdiagnose zeichnet detaillierte Informationen über den Problembehandlungsvorgang 

auf, auf die Sie bei Bedarf zurückgreifen können, um das Problem 

genauer einzukreisen. Gehen Sie folgendermaßen vor, um sich ausführliche Informationen 

der Windows-Netzwerkdiagnose anzusehen, nachdem Sie die Windows-Netzwerkdiagnose 

ausgeführt haben: 



2. Wählen Sie Computerverwaltung, System, Ereignisanzeige, Windows-Protokolle und 

schließlich System aus. 

3. Klicken Sie im Fensterabschnitt Aktionen auf Aktuelles Protokoll filtern.


4. Klappen Sie im Dialogfeld Aktuelles Protokoll filtern die Dropdownliste Quellen auf 

und aktivieren Sie den Eintrag Diagnostics-Networking. Klicken Sie auf OK. 

5. Das Snap-In Ereignisanzeige zeigt eine Liste der Ereignisse an, die von der Windows- 

Netzwerkdiagnose generiert wurden. Sie enthalten detaillierte Informationen über alle 

Problembehandlungssitzungen. 

Tools zum Behandeln von Netzwerkproblemen 

Für den Fall, dass die Windows-Netzwerkdiagnose die Ursache des Problems nicht ausfindig 

machen kann, stellt Windows 7 viele Tools zur Verfügung, mit denen Sie eine manuelle 

Problembehandlung durchführen können. Die folgenden Abschnitte beschreiben die wichtigsten 

Tools. Weiter unten in diesem Kapitel wird beschrieben, wie Sie mithilfe dieser Tools 

spezifische Netzwerkprobleme beseitigen. 

Ipconfig 

Die meisten Administratoren beginnen die Diagnose von Netzwerkproblemen mit dem 

Befehlszeilentool Ipconfig. Es gibt zahlreiche Möglichkeiten, Ipconfig einzusetzen, wie in 

diesem Kapitel beschrieben. Führen Sie den folgenden Befehl aus, um die aktuelle IP-Konfiguration 

des Computers anzuzeigen: 

C:\ipconfig /all 

Windows-IP-Konfiguration 

Hostname . . . . . . . . . . . . : WIN7 

Primäres DNS-Suffix . . . . . . . : 

Knotentyp . . . . . . . . . . . . : Hybrid 

IP-Routing aktiviert . . . . . . : Nein 

WINS-Proxy aktiviert . . . . . . : Nein 

Ethernet-Adapter LAN-Verbindung: 

Verbindungsspezifisches DNS-Suffix: 

Beschreibung. . . . . . . . . . . : Intel 21140-basierter PCI Fast-Ethernet-Adapter 

Physikalische Adresse . . . . . . : 00-15-C5-07-BF-34 

DHCP aktiviert. . . . . . . . . . : Ja 

Autokonfiguration aktiviert . . . : Ja 

Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung: 


Beschreibung. . . . . . . . . . . : Intel(R) PRO/Wireless 3945ABG-Netzwerkverbindung 

Physikalische Adresse . . . . . . : 00-13-02-1E-E6-59 

DHCP aktiviert. . . . . . . . . . : Ja 


IPv4-Adresse . . . . . . . . . . : 192.168.1.130(Bevorzugt) 

Subnetzmaske . . . . . . . . . . : 255.255.255.0 

Lease erhalten. . . . . . . . . . : Montag, 10. September 2009 09:47:28 

Lease läuft ab. . . . . . . . . . : Mittwoch, 12. September 2009 16:00:17 

Standardgateway . . . . . . . . . : 192.168.1.1 

DHCP-Server . . . . . . . . . . . : 192.168.1.1 

DNS-Server . . . . . . . . . . . : 192.168.0.1 

NetBIOS über TCP/IP . . . . . . . : Aktiviert


Wenn Sie sich die Ausgabe in diesem Beispiel ansehen, stellen Sie fest, dass der kabelgebundene 

Gigabit-Ethernet-Controller keine Verbindung hat. Der Computer ist allerdings mit 

einem Drahtlosnetzwerk verbunden, und ein DHCP-Server (Dynamic Host Configuration 

Protocol) hat ihm die IP-Adresse (Internet Protocol) 192.168.1.130 zugewiesen. Das Standardgateway 

hat die IP-Adresse 192.168.1.1, und der DNS-Server die IP-Adresse 192.168.0.1. 

Sie können Ipconfig auch einsetzen, um die IP-Konfiguration eines Computers zu aktualisieren. 

Sofern der Computer seine IP-Adresse automatisch von einem DHCP-Server zugewiesen 

bekommen hat (was bei den meisten Clients der Fall ist), können Sie ihm mit den 

beiden folgenden Befehlen eine neue IPv4-Adresse zuteilen lassen: 

ipconfig /release 

ipconfig /renew 

Und mit den beiden nächsten Befehlen erhalten Sie eine neue IPv6-Adresse: 

ipconfig /release6 

ipconfig /renew6 

Ipconfig eignet sich auch zum Untersuchen von DNS-Problemen, wie in Lektion 2, »Problembehandlung 

für die Namensauflösung«, beschrieben. 

Ping 

Ping ist das bekannteste Netzwerkdiagnosetool. Da aber immer mehr neue Computer und 

Router ICMP-Anforderungen (Internet Control Message Protocol, das Netzwerkprotokoll, 

mit dem Ping arbeitet) blockieren, ist es nicht mehr so nützlich wie früher. Ping funktioniert 

aber noch in den meisten LANs (Local Area Network). 

Sie benutzen Ping, indem Sie eine Eingabeaufforderung öffnen und den Befehl ping Hostname 

ausführen. Ein Beispiel: 

C:\>ping www.contoso.com 

Ping wird ausgeführt für contoso.com [207.46.197.32] mit 32 Bytes Daten: 

Antwort von 207.46.197.32: Bytes=32 Zeit=95ms TTL=105 




Ping-Statistik für 207.46.197.32: 

Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust), 

Ca. Zeitangaben in Millisek.: 

Minimum = 95ms, Maximum = 258ms, Mittelwert = 199ms 

Ping verrät Ihnen mehrere nützliche Dinge. Falls Sie Antworten erhalten, wissen Sie, dass 

der Netzwerkhost eingeschaltet und mit dem Netzwerk verbunden ist. Die in Millisekunden 

(ms) gemessene Zeit gibt die sogenannte Round-Trip-Latenz zwischen Ihnen und dem 

Remotehost an. Latenz ist der Zeitabstand zwischen dem Absenden eines Pakets und dem 

Empfang der Antwort. Sie hängt davon ab, wie lange Router zum Weiterleiten der Pakete 

zwischen Netzwerken brauchen und wie schnell die Signale durch elektrische oder optische 

Leitungen laufen. Falls die Latenz größer als 1 Sekunde ist, fühlt sich wahrscheinlich die 

gesamte Netzwerkkommunikation sehr langsam an.


Viele Hosts antworten nicht auf Ping-Anforderungen, selbst wenn sie online sind. Zum 

Beispiel verwerfen die Webserver von microsoft.com ICMP-Anforderungen, auch wenn sie 

online sind und Webanforderungen beantworten. Das folgende Beispiel demonstriert dies: 

C:\>ping www.microsoft.com 

Ping wird ausgeführt für lb1.www.microsoft.com [10.46.20.60] mit 32 Bytes Daten: 

Zeitüberschreitung der Anforderung. 




Ping-Statistik für 10.46.20.60: 

Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust) 

Sie können Ping als primitives Netzwerküberwachungstool einsetzen, während Sie darauf 

warten, dass ein Remotecomputer ein- oder ausgeschaltet wird. Verwenden Sie das Argument 

-t, um ständig Ping-Anforderungen an einen Host zu senden. Das folgende Beispiel 

zeigt, wie dieser Aufruf aussieht. Ping sendet in diesem Falls so lange Anforderungen, bis 

Sie den Befehl mit der Tastenkombination STRG+C abbrechen oder die Eingabeaufforderung 

schließen: 

C:\>ping www.contoso.com -t 

PathPing 

Ping testet die Verbindung zu einem bestimmten Host mit ICMP. Auch PathPing verwendet 

ICMP, um die Verbindung zu einem Remotehost und allen Routern zwischen Ihnen und dem 

Remotehost zu überprüfen. Das kann Ihnen helfen, Probleme zu identifizieren, die beim 

Weiterleiten von Verkehr in Ihrem Netzwerk auftreten, zum Beispiel Routingschleifen (Verkehr 

durchläuft denselben Router mehrfach), einen ausgefallenen Router (dann kann es so 

aussehen, als wäre das gesamte Netzwerk ausgefallen) oder schlechte Netzwerkleistung. 

Abbildung 2.5 zeigt, wie PathPing arbeitet. 

Abbildung 2.5 PathPing sendet Anforderungen an alle Hosts zwischen Client und Ziel 

Prüfungstipp PathPing und Tracert 

Windows 7 enthält weiterhin Tracert (Abkürzung für »Trace Route«), aber PathPing kann 

alles, was Tracert beherrscht, und ist leistungsfähiger. Daher sollten Sie stattdessen PathPing 

verwenden. Sie müssen allerdings damit rechnen, dass in der Prüfung auch Fragen zu 

Tracert auftauchen. 

PathPing können Sie genauso verwenden wie Ping. PathPing versucht, jeden Router zwischen 

Ihnen und dem Ziel aufzulisten (genau wie Tracert). Dann wendet PathPing einige 

Minuten dafür auf, Statistiken für die gesamte Route zu berechnen:

C:\>pathping www.contoso.com 

Routenverfolgung zu contoso.com [10.46.196.103] 

über maximal 30 Abschnitte: 

0 contoso-test [192.168.1.207] 

1 10.211.240.1 

2 10.128.191.245 

3 10.128.191.73 

4 10.125.39.213 

5 gbr1-p70.cb1ma.ip.contoso.com [10.123.40.98] 

6 tbr2-p013501.cb1ma.ip.contoso.com [10.122.11.201] 

7 tbr2-p012101.cgcil.ip.contoso.com [10.122.10.106] 

8 gbr4-p50.st6wa.ip.contoso.com [10.122.2.54] 

9 gar1-p370.stwwa.ip.contoso.com [10.123.203.177] 

10 10.127.70.6 

11 10.46.33.225 

12 10.46.36.210 

13 10.46.155.17 

14 10.46.129.51 

15 10.46.196.103 


Berechnung der Statistiken dauert ca. 625 Sekunden... 

Quelle zum Abs. Knoten/Verbindung 

Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse 

0 contoso-test [192.168.1.207] 

0/ 100 = 0% | 

1 50ms 1/ 100 = 1% 1/ 100 = 1% 10.211.24.1 

0/ 100 = 0% | 

2 50ms 0/ 100 = 0% 0/ 100 = 0% 10.128.19.245 

0/ 100 = 0% | 

3 50ms 2/ 100 = 2% 2/ 100 = 2% 10.128.19.73 

0/ 100 = 0% | 

4 44ms 0/ 100 = 0% 0/ 100 = 0% 10.12.39.213 

0/ 100 = 0% | 

5 46ms 0/ 100 = 0% 0/ 100 = 0% gbr1-p70.cb1ma.ip.contoso.com [10.12.40.98] 

0/ 100 = 0% | 

6 40ms 2/ 100 = 2% 2/ 100 = 2% tbr2-p013501.cb1ma.ip.contoso.com [10.12.11.201] 

0/ 100 = 0% | 

7 62ms 1/ 100 = 1% 1/ 100 = 1% tbr2-p012101.cgcil.ip.contoso.com [10.12.10.106] 

0/ 100 = 0% | 

8 107ms 2/ 100 = 2% 2/ 100 = 2% gbr4-p50.st6wa.ip.contoso.com [10.12.2.54] 

0/ 100 = 0% | 

9 111ms 0/ 100 = 0% 0/ 100 = 0% gar1-p370.stwwa.ip.contoso.com [10.12.203.177] 

0/ 100 = 0% | 

10 118ms 0/ 100 = 0% 0/ 100 = 0% 10.12.70.6 

0/ 100 = 0% | 

11 --- 100/ 100 =100% 100/ 100 =100% 10.46.33.225 

0/ 100 = 0% | 

12 --- 100/ 100 =100% 100/ 100 =100% 10.46.36.210 

0/ 100 = 0% |


13 123ms 0/ 100 = 0% 0/ 100 = 0% 10.46.155.17 

0/ 100 = 0% | 

14 127ms 0/ 100 = 0% 0/ 100 = 0% 10.46.129.51 

1/ 100 = 1% | 

15 125ms 1/ 100 = 1% 0/ 100 = 0% 10.46.196.103 

Ablaufverfolgung beendet. 

Hinweis Netzwerkjargon 

Der Begriff Abschnitt (engl. hop) ist eine andere Bezeichnung für einen Router oder ein 

Gateway. Knoten (engl. node) und Verbindung (engl. link) sind andere Bezeichnungen für 

einen Computer beziehungsweise Router. RTT steht für »Round Trip Time«; sie gibt an, wie 

lange es dauert, bis ein Paket vom Client zum Ziel gelangt und die Antwort an den Client 

zurückgegeben wird. 

Zeigen die Statistiken, dass ein einzelner Router eine sehr hohe Latenz hat, verursacht dieser 

Knoten unter Umständen Netzwerkprobleme. Normalerweise vergrößert ein Router mit hoher 

Latenz die Latenz für alle Router, die danach aufgelistet sind. Aber nur beim ersten Router 

besteht ein Problem. Wenn ein Router hohe Latenz hat, aber die dahinter aufgeführten Router 

geringe Latenz, ist die Latenz wahrscheinlich kein Anzeichen für ein Problem. Router verarbeiten 

ICMP-Anforderungen mit geringerer Priorität als anderen Verkehr. Wenn PathPing 

daher hohe Latenz zeigt, bedeutet das nicht zwangsläufig, dass die Latenz insgesamt hoch 

ist. 

Sie können oft anhand des Routernamens feststellen, ob er in Ihrem internen Netzwerk, dem 

Netzwerk Ihres Internetproviders (Internet Service Provider, ISP) oder anderswo im Internet 

liegt. Sofern er in Ihrem internen Netzwerk oder dem Netzwerk Ihres Internetproviders liegt, 

sollten Sie sich an Ihren Netzwerkadministrator wenden und ihn um Hilfe bei der Problembehandlung 

bitten. Wenn der Router woanders im Netzwerk liegt, können Sie wahrscheinlich 

nichts anderes tun, als zu warten, bis die Administratoren des Routers das Problem beseitigen. 

Wenn Sie Ihrem Internetprovider das Problem schildern, kann er möglicherweise 

Kontakt mit dem anderen Internetprovider aufnehmen und sicherstellen, dass die Probleme 

dort bekannt sind. Möglicherweise erhalten Sie auf diese Weise auch eine Schätzung, wann 

das Problem beseitigt werden dürfte. 

Sie können die Geschwindigkeit von PathPing erhöhen, indem Sie das Argument -d angeben. 

Dann versucht PathPing nicht, die Namen der dazwischen liegenden Routeradressen 

aufzulösen. 

PortQry 

Ping testet mithilfe von ICMP-Paketen, ob ein Remotecomputer mit dem Netzwerk verbunden 

ist. Aber selbst wenn ein Computer auf ICMP-Pakete antwortet, verrät Ihnen das nicht, 

ob auf dem Computer die von Ihnen benötigten Netzwerkdienste laufen. Falls es beispielsweise 

nicht möglich ist, Ihre E-Mails herunterzuladen, müssen Sie testen, ob der Maildienst 

selbst antwortet, und nicht, ob der Mailserver auf ICMP-Anforderungen reagiert. 

PortQry testet, ob ein bestimmter Netzwerkdienst auf einem Server läuft. Sie verwenden 

PortQry, indem Sie eine Eingabeaufforderung öffnen und den folgenden Befehl ausführen: 

portqry -n Ziel -e Portnummer


Zum Beispiel arbeitet HTTP (Hypertext Transfer Protocol) über TCP-Port 80. Ob eine 

HTTP-Verbindung zu www.microsoft.com hergestellt werden kann, testen Sie daher, indem 

Sie den folgenden Befehl an der Befehlszeile eingeben: 

portqry -n www.microsoft.com -e 80 

Dieser Befehl liefert Ausgaben, die ähnlich wie hier aussehen: 

Querying target system called: 

www.microsoft.com 

Attempting to resolve name to IP address... 

Name resolved to 10.209.68.190 

TCP port 80 (http service): LISTENING 

Eine Liste gebräuchlicher Portnummern finden Sie im Abschnitt »So führen Sie eine Fehlerbehandlung 

für Anwendungsverbindungsprobleme durch« weiter unten in dieser Lektion. 

Leider ist PortQry in keiner Windows-Version enthalten, auch nicht in Windows 7. Stattdessen 

müssen Sie es von der Adresse http://www.microsoft.com/downloads/details.aspx 

?FamilyID=89811747-C74B-4638-A2D5-AC828BDC6983 herunterladen. Wenn Sie Windows 

7 bereitstellen, kann es sinnvoll sein, PortQry in den Ordner %WinDir%\System32\ 

zu kopieren, damit es jederzeit für die Problembehandlung zur Verfügung steht. 

Falls Sie mit einem Computer arbeiten, auf dem PortQry nicht installiert ist, können Sie 

einen Remotedienst mit dem Telnet-Client testen. Weitere Informationen finden Sie im 

Abschnitt »So führen Sie eine Problembehandlung für Anwendungsverbindungsprobleme 

durch« weiter unten in dieser Lektion. 

Nslookup 

Mit Nslookup können Sie testen, ob Ihr DNS-Server einen Hostnamen richtig in eine 

IP-Adresse auflöst. Ein Beispiel: 

C:\>nslookup contoso.com 

Server: dns.fabrikam.com 

Address: 192.168.1.1:53 

Non-authoritative answer: 

Name: contoso.com 

Addresses: 207.46.232.182, 207.46.197.32 

In diesem Beispiel hat der Client den Standard-DNS-Server (192.168.1.1) kontaktiert und 

erfolgreich eine Antwort empfangen, die verrät, dass contoso.com zwei IP-Adressen hat: 

207.46.232.182 und 207.46.197.32. Das beweist, dass der DNS-Server richtig arbeitet. 

Hinweis Round-Robin-DNS-Adressierung 

Manche Hostnamen, zum Beispiel contoso.com und microsoft.com, werden in mehrere 

IP-Adressen aufgelöst. Ihr Webbrowser ist so schlau, dass er eine Verbindung zu einer der 

anderen Adressen herstellt, falls die erste Adresse nicht richtig funktioniert. So können 

mehrere Webserver mit unterschiedlichen IP-Adressen auf Anforderungen nach demselben 

Hostnamen reagieren. Das gewährleistet Skalierbarkeit (die Fähigkeit, mehrere parallele 

Anforderungen zu verarbeiten) und Redundanz (die Fähigkeit, dass eine Website auch beim 

Ausfall eines Servers online bleibt).


Die folgende Antwort auf dieselbe Abfrage zeigt, dass der DNS-Server keine IP-Adresse für 

den Hostnamen contoso.com findet: 

*** dns.fabrikam.com can’t find contoso.com: Non-existent domain 

Die folgende Antwort gibt an, dass kein DNS-Server antwortet: 

Server: dns.fabrikam.com 

Address: 192.168.1.1:53 

DNS request timed out. 

timeout was 2 seconds. 

DNS request timed out. 

timeout was 2 seconds. 

*** Request to dns.fabrikam.com timed-out 

Verwenden Sie Nslookup immer dann, wenn Sie vermuten, dass ein Netzwerkproblem durch 

einen ausgefallenen DNS-Server oder eine ungültige Namensauflösung verursacht wird. 

Weitere Informationen über Nslookup finden Sie in Lektion 2. 

Schnelltest 

Mit welchem Tool stellen Sie fest, ob ein Computer mit dem Standardgateway kommunizieren 

kann? 


Ping ist die schnellste Möglichkeit. Sie können auch PathPing einsetzen, um eine Internetadresse 

zu überprüfen; es prüft das Standardgateway sowie alle anderen Gateways, die 

zwischen Ihnen und dem Ziel liegen. 

Problembehandlung für eine APIPA-Adresse 

Windows 7 weist eine APIPA-Adresse (Automatic Private IP Addressing) aus dem Bereich 

169.254.0.0 bis 169.254.255.255 zu, wenn der Computer so konfiguriert ist, dass er die IP- 

Adressen automatisch bezieht, aber kein DHCP-Server erreichbar ist. Mithilfe von APIPA- 

Adressen sind Computer in der Lage, Verbindung mit einem LAN herzustellen, auch wenn 

sie keinen DHCP-Server erreichen. Allerdings können sie in diesem Fall keine Verbindung 

mit Computern aufnehmen, die keine APIPA-Adressen haben. 

Hat ein Computer eine APIPA-Adresse, kann dies mehrere Ursachen haben: 

Der DHCP-Server war zeitweise nicht verfügbar. 

Der Computer war nicht richtig mit dem Netzwerk verbunden. 

Der Computer war nicht autorisiert, eine Verbindung mit dem Netzwerk herzustellen. 

Wie bei den meisten Konnektivitätsproblemen sollten Sie erst einmal die Windows-Netzwerkdiagnose 

zurate ziehen. Falls dies das Problem nicht beseitigt, sollten Sie sicherstellen, 

dass der Computer mit dem lokalen Netzwerk verbunden ist und dass die Netzwerkhardware 

richtig funktioniert. Gehen Sie dann folgendermaßen vor, um eine IP-Adresse von einem 

DHCP-Server abzurufen:


1. Geben Sie im Suchfeld des Startmenüs cmd ein, klicken Sie mit der rechten Maustaste 

oben im Startmenü auf den Eintrag cmd und wählen Sie den Befehl Als Administrator 

ausführen. Daraufhin wird eine administrative Eingabeaufforderung geöffnet, die Sie 

brauchen, um die IP-Adresse zu erneuern. 

2. Führen Sie an der Eingabeaufforderung die beiden folgenden Befehle aus: 



Der erste Befehl bewirkt, dass Windows 7 die aktuelle IP-Konfiguration zurückgibt (sofern 

es eine hat). Der zweite Befehl versucht, Kontakt mit einem DHCP-Server aufzunehmen 

und eine neue Konfiguration abzurufen. Falls die Netzwerkkarte noch eine APIPA-Adresse 

hat, nachdem Sie diese Befehle ausgeführt haben, und Sie mit dem Netzwerk verbunden 

sind, ist der DHCP-Server entweder offline oder er hat entschieden, dass Ihr Computer nicht 

berechtigt ist, sich mit dem Netzwerk zu verbinden. Bringen Sie einen DHCP-Server online 

und starten Sie den Computer dann neu. Falls das Netzwerk keinen DHCP-Server verwendet, 

sollten Sie eine statische oder alternative IPv4-Adresse konfigurieren, die Ihnen Ihr 

Netzwerkadministrator nennt. 

Schnelltest 

Woran erkennen Sie eine APIPA-Adresse? 


Sie beginnt mit 169.254. 

Praxistipp 

Tony Northrup 

Falls Sie keine Adresse vom DHCP-Server bekommen, aber mit dem Netzwerk verbunden 

zu sein scheinen, können Sie versuchsweise von Hand eine IP-Adresse auf dem Computer 

eintragen. Melden Sie sich erst an einem Computer an, der einwandfrei im Netzwerk 

funktioniert, und notieren Sie sich seine IP-Adresse, Subnetzmaske, Standardgateway und 

DNS-Serveradressen. Trennen Sie diesen anderen Computer dann vom Netzwerk oder 

schalten Sie ihn vollständig aus. Konfigurieren Sie nun den Computer, dessen Verbindungsprobleme 

Sie behandeln, so, dass er die IP-Konfiguration des anderen Computers 

verwendet. Sofern mit der neuen Konfiguration alles richtig funktioniert, wissen Sie, dass 

das Problem lediglich beim DHCP-Server liegt, und nicht bei der Netzwerkinfrastruktur. 

Wenn Sie mithilfe dieser Technik festgestellt haben, ob der DHCP-Server die Ursache für 

das Problem ist, sollten Sie den Computer sofort wieder so konfigurieren, dass er als 

DHCP-Client arbeitet. Zwei Computer im selben Netzwerk dürfen niemals dieselbe IP- 

Adresse haben.


Behandeln von Verbindungsproblemen 

Netzwerkverbindungsprobleme verhindern, dass irgendeine Anwendung auf eine Netzwerkressource 

zugreifen kann. Dagegen verhindern Anwendungsverbindungsprobleme nur, dass 

bestimmte Anwendungen auf Ressourcen zugreifen können. Die meisten Netzwerkverbindungsprobleme 

werden durch folgende Ursachen ausgelöst (mit abnehmender Wahrscheinlichkeit): 

Falsch konfigurierter Netzwerkadapter 

Falsch konfigurierte Netzwerkhardware 

Unterbrochene Netzwerkverbindung 

Defekte Netzwerkkabel 

Defekter Netzwerkadapter 

Defekte Netzwerkhardware 

Anwendungsverbindungsprobleme werden dagegen meist durch die folgenden Probleme 

ausgelöst (von sehr wahrscheinlich bis weniger wahrscheinlich): 

Der Remotedienst läuft nicht. Wenn Sie beispielsweise versuchen, einen Computer im 

Remotezugriff zu steuern, ist auf dem Remotecomputer möglicherweise der Remotedesktop 

nicht aktiviert. 

Der Remoteserver hat eine Firewallkonfiguration, die die Kommunikation dieser 

Anwendung vom Clientcomputer blockiert. 

Eine Firewall zwischen Client- und Servercomputer blockiert die Kommunikation der 

Anwendung. 

Die Windows-Firewall auf dem lokalen Computer ist so konfiguriert, dass sie den 

Verkehr der Anwendung blockiert. 

Der Remotedienst wurde so konfiguriert, dass er eine andere als die standardmäßige 

Portnummer verwendet. Zum Beispiel verwenden Webserver normalerweise TCP-Port 

80, aber manche Administratoren konfigurieren TCP-Port 81 oder einen anderen Port. 

Die folgenden Abschnitte beschreiben, wie Sie Netzwerk- und Anwendungsverbindungsprobleme 

beseitigen. 

So beseitigen Sie Netzwerkverbindungsprobleme von Hand 

Sie können die Ursache eines Verbindungsproblems ohne Hilfe der Windows-Netzwerkdiagnose 

identifizieren, indem Sie entsprechend dem folgenden Schema vorgehen und die 

Fragen beantworten, bis Sie auf einen anderen Abschnitt verwiesen werden: 

1. Klicken Sie auf das Netzwerksymbol in der Taskleiste und wählen Sie den Befehl Netzwerk- 

und Freigabecenter öffnen. 

Falls ein rotes »X«-Symbol über einer Netzwerkverbindung angezeigt wird, können 

Sie auf die Verbindung klicken, um die Windows-Netzwerkdiagnose zu starten. Folgen 

Sie den angezeigten Anleitungen. Falls sich das rote »X« zwischen dem internen 

Netzwerk und dem Internet befindet, handelt es sich um ein Problem mit der Internetverbindung, 

nicht mit dem lokalen Computer. Bitten Sie den Netzwerkadministrator 

um Hilfe.


Falls keine Netzwerkadapter aufgeführt werden, ist entweder kein Netzwerkadapter 

vorhanden, die Netzwerkadapter sind deaktiviert, die Hardware ist defekt oder der 

Treiber funktioniert nicht. Aktivieren Sie alle eventuell deaktivierten Netzwerkadapter. 

Starten Sie den Computer neu, wenn das Problem weiterhin besteht. Falls der 

Netzwerkadapter nun immer noch nicht verfügbar ist, sollten Sie das Problem im 

Geräte-Manager diagnostizieren. Aktualisieren Sie die Treiber, sofern eine neuere 

Version verfügbar ist. Verwenden Sie dazu Microsoft Update oder suchen Sie auf der 

Website des Herstellers nach einem Update. 

2. Können andere Computer eine Verbindung zum selben Netzwerk herstellen? Falls nicht, 

liegt das Problem beim Netzwerk und nicht beim Computer, für den Sie eine Problembehandlung 

durchführen. Bitten Sie den Netzwerkadministrator um Hilfe. 

3. Können Sie Verbindungen zu anderen Netzwerkressourcen herstellen? Falls Sie zum 

Beispiel im Web surfen, aber keine Verbindung zu einem freigegebenen Ordner herstellen 

können, haben Sie es wahrscheinlich mit einem Anwendungsverbindungsproblem zu 

tun. Weitere Informationen finden Sie im Abschnitt »So führen Sie eine Problembehandlung 

für Anwendungsverbindungsprobleme durch« weiter unten in dieser Lektion. 

4. Öffnen Sie eine Eingabeaufforderung und führen Sie den Befehl ipconfig /all aus. Sehen 

Sie sich die Ausgaben an: 

Falls der Computer eine IP-Adresse im Bereich 169.254.0.0 bis 169.254.255.255 hat, 

ist er so konfiguriert, dass er DHCP-Adressierung verwendet, aber es war kein DHCP- 

Server verfügbar. Folgen Sie den Anleitungen im Abschnitt »Problembehandlung für 

eine APIPA-Adresse« weiter oben in dieser Lektion. 

Falls Sie eine gültige IP-Adresse haben, aber kein Standardgateway oder keinen 

DNS-Server, wird das Problem durch eine ungültige IP-Konfiguration verursacht. 

Sofern der Computer eine über DHCP zugewiesene IP-Adresse hat, sollten Sie von 

einer administrativen Eingabeaufforderung aus die Befehle ipconfig /release und 

ipconfig /renew ausführen. Wurde der Computer von Hand mit einer IP-Adresse 

konfiguriert, bekommen Sie die richtige Konfiguration von einem Netzwerkadministrator. 

Falls keine Netzwerkadapter aufgelistet werden, hat der Computer entweder überhaupt 

keine Netzwerkkarte oder (wahrscheinlicher) es ist kein gültiger Treiber installiert. 

Identifizieren Sie die Netzwerkkarte im Geräte-Manager und installieren Sie 

einen aktualisierten Treiber. Falls die Hardware defekt ist, müssen Sie die Netzwerkkarte 

austauschen (oder eine neue Netzwerkkarte einbauen, sofern die bisherige 

Netzwerkkarte integriert ist). 

Falls alle Netzwerkkarten als Medienstatus die Meldung »Medium getrennt« anzeigen, 

ist der Computer nicht physisch mit einem Netzwerk verbunden. Verbinden Sie 

den Computer mit einem Kabel- oder Drahtlosnetzwerk. Wenn Sie ein Kabelnetzwerk 

haben und trotzdem diesen Fehler erhalten, sollten Sie beide Enden des Netzwerkkabels 

abziehen und wieder einstecken. Besteht das Problem weiterhin, sollten 

Sie das Netzwerkkabel austauschen. Versuchen Sie, das Netzwerkkabel auf einem 

anderen Computer einzustecken und dort eine Verbindung herzustellen. Falls der 

neue Computer erfolgreich eine Verbindung herstellt, ist die Netzwerkkarte auf dem 

ursprünglichen Computer defekt. Kann keiner der beiden Computer eine Verbindung


herstellen, besteht ein Problem mit dem Netzwerkkabel, dem Netzwerkswitch oder 

dem Netzwerkhub. Ersetzen Sie die defekte Netzwerkhardware. 

Falls alle Netzwerkkarten in der Ausgabe des Befehls ipconfig /all die Meldung 

»DHCP-Aktiviert: Nein« anzeigen, ist unter Umständen die Netzwerkkarte falsch 

konfiguriert. Wenn DHCP deaktiviert ist, hat der Computer eine statische IPv4- 

Adresse. Das ist für Clientcomputer eine ungewöhnliche Konfiguration. Ändern Sie 

die IPv4-Konfiguration der Netzwerkkarte, sodass die Optionen IP-Adresse automatisch 

beziehen und DNS-Serveradresse automatisch beziehen ausgewählt sind. 

Konfigurieren Sie dann die Registerkarte Alternative Konfiguration im IP-Eigenschaftendialogfeld 

mit der aktuellen statischen IP-Konfiguration. 

5. Falls Sie eine gültige IP-Adresse haben und Ihr Standardgateway mit einer Ping-Anforderung 

erreichen, sollten Sie eine Eingabeaufforderung öffnen und den Befehl nslookup 

Servername ausführen. Wenn Nslookup einen gültigen Namen nicht auflösen kann und 

keine Antwort anzeigt, die ähnlich aussieht wie im folgenden Beispiel, handelt es sich 

um ein Namensauflösungsproblem. Weitere Informationen finden Sie im Abschnitt 

»So führen Sie eine Problembehandlung für Namensauflösungsprobleme durch« in 

Lektion 2. 


Non-authoritative answer: 


Addresses: 10.46.232.182, 10.46.130.117 

Mit diesen Problembehandlungsschritten müssten Sie in der Lage sein, die Ursache für die 

meisten Netzwerkprobleme zu identifizieren. 

Schnelltest 

Welche zwei Befehle führen Sie aus, um eine neue IP-Adresse vom DHCP-Server zu 

erhalten? 


ipconfig /release und ipconfig /renew. 

So führen Sie eine Fehlerbehandlung für Anwendungsverbindungsprobleme durch 

Wenn eine Anwendung (oder ein Netzwerkprotokoll) richtig arbeitet, aber andere nicht, 

haben Sie es mit einem Anwendungsverbindungsproblem zu tun. Gehen Sie dann folgendermaßen 

vor, um eine Problembehandlung durchzuführen: 

1. Stellen Sie sicher, dass Sie es nicht mit einem Namensauflösungsproblem zu tun haben, 

indem Sie mit Nslookup den Namen des Servers abfragen, zu dem Sie eine Verbindung 

herstellen wollen. Wenn Nslookup den Namen nicht auflösen kann, können Sie in Lektion 

2 weiterlesen. 

2. Oft blockiert eine Firewall die Kommunikation Ihrer Anwendung. Bevor Sie testen können, 

ob das der Fall ist, müssen Sie ermitteln, welches Netzwerkprotokoll und welche 

Portnummer die Anwendung benutzt. Tabelle 2.1 listet Portnummern für wichtige Anwendungen 

auf. Wenn Sie nicht sicher sind, welche Portnummern Ihre Anwendung verwendet, 

können Sie im Anwendungshandbuch nachschlagen oder sich an den technischen


Support wenden. Auch eine Internetsuche nach den Begriffen » 

port number« liefert oft die benötigten Portnummern. Manche Administratoren ändern 

die Portnummern auf andere als die Standardwerte. In einem solchen Fall müssen Sie 

den Administrator nach der richtigen Portnummer fragen. 

Tabelle 2.1 Standardports für wichtige Dienste und Aufgaben 

Dienstname oder Aufgabe UDP (User Data- TCP (Transmission 

gram Protocol) Control Protocol) 

Webserver, HTTP und Internetinformationsdienste 

(Internet Information Services, IIS) 

– 80 

Webserver, die HTTPS (Hypertext Transfer Protocol 

Secure) benutzen 

– 443 

FTP-Server (File Transfer Protocol) 20, 21 

DNS-Abfragen 53 53 

DHCP-Client 67 

Datei- und Druckerfreigabe 137 139, 445 

Internet Relay Chat (IRC) 6667 

Eingehende E-Mail: Internet Mail Access Protocol 

(IMAP) 

143 

Eingehende E-Mail: IMAP (Secure Sockets Layer 

[SSL]) 

993 

Eingehende E-Mail: Post Office Protocol 3 (POP3) 110 

Eingehende E-Mail: POP3 (SSL) 995 

Ausgehende E-Mail: Simple Mail Transfer Protocol 

(SMTP) 

25 

Verbinden mit einem AD DS-Domänencontroller 

(Active Directory Domain Services) 

Netzwerkverwaltung: Simple Network Management 

Protocol (SNMP) 

389, 53, 88 135, 389, 636, 3268, 

3269, 53, 88, 445 

161, 162 

SQL Server 1433 

Telnet 23 

Terminalserver, Remotedesktop und Remoteunterstützung 

3389 

VMRC-Client (Virtual Machine Remote Control) für 

Microsoft Virtual Server 2005 R2 

5900 

3. Wenn Sie ermittelt haben, welche Portnummern Ihre Anwendung benötigt, können Sie 

testen, ob Sie von Hand eine Verbindung zu diesem Port auf dem Server herstellen 

können. Handelt es sich um einen TCP-Port, können Sie entweder PortQry oder Telnet 

verwenden. Wenn Sie einen TCP-Port mit Telnet testen wollen (bei Bedarf müssen Sie 

dazu im Systemsteuerungselement Windows-Funktionen aktivieren oder deaktivieren das 

Feature Telnet-Client einschalten), müssen Sie den folgenden Befehl ausführen: 

telnet Hostname_oder_Adresse TCP-Port


Zum Beispiel stellen Sie mit dem folgenden Befehl fest, ob Sie eine Verbindung zum 

Webserver www.microsoft.com (der Port 80 benutzt) herstellen können: 

telnet www.microsoft.com 80 

Wenn die Eingabeaufforderung gelöscht oder Text vom Remotedienst angezeigt wird, haben 

Sie erfolgreich eine Verbindung hergestellt. Das bedeutet, dass es sich nicht um ein Anwendungsverbindungsproblem 

handelt. Stattdessen haben Sie es möglicherweise mit einem 

Authentifizierungsproblem zu tun oder mit einem Problem in der Client- oder Serversoftware. 

Falls Telnet meldet »Es konnte keine Verbindung mit dem Host hergestellt werden«, steht 

fest, dass es sich tatsächlich um ein Anwendungsverbindungsproblem handelt. Entweder ist 

der Server offline oder eine falsch konfigurierte Firewall blockiert den Netzwerkverkehr der 

Anwendung. Gehen Sie folgendermaßen vor, um die Problembehandlung fortzusetzen: 

1. Stellen Sie sicher, dass der Server online ist, indem Sie eine Verbindung zu einem anderen 

Dienst herstellen, der auf demselben Server läuft. Wenn Sie zum Beispiel versuchen, 

eine Verbindung zu einem Webserver herzustellen, und wissen, dass auf diesem Server 

eine Dateifreigabe aktiviert ist, können Sie versuchen, auf den freigegebenen Ordner 

zuzugreifen. Falls Sie eine Verbindung zu einem anderen Dienst herstellen können, handelt 

es sich fast sicher um ein Firewallkonfigurationsproblem auf dem Server. Wenn Sie 

nicht wissen, welche anderen Dienste auf dem Server laufen, können Sie beim Serveradministrator 

nachfragen, ob der Computer einwandfrei läuft. 

2. Versuchen Sie, von anderen Computern im selben und dann in anderen Subnetzen eine 

Verbindung herzustellen. Wenn Sie von einem Computer im selben Subnetz aus eine 

Verbindung bekommen, wird das Problem durch eine Firewall oder ein Anwendungskonfigurationsproblem 

auf Ihrem Computer verursacht. Stellen Sie sicher, dass entweder 

für Ihre Anwendung oder für die benutzten Portnummern eine Firewallausnahme erstellt 

wurde. (Weitere Informationen finden Sie in Kapitel 5, »Schützen von Clientsystemen«.) 

Sofern Sie von einem Clientcomputer in einem anderen Subnetz aus eine Verbindung 

bekommen, aber nicht aus demselben Subnetz, filtert wahrscheinlich eine Firewall im 

Netzwerk oder auf dem Server den Verkehr, der aus dem Netzwerk Ihres Clients stammt. 

Bitten Sie einen Netzwerkadministrator um Hilfe. 

Übung Behandeln eines Verbindungsproblems 

In dieser Übung untersuchen und beseitigen Sie zwei häufige Netzwerkprobleme. 

Übung 1 Ein Netzwerkproblem automatisch reparieren 

In dieser Übung führen Sie eine Batchdatei aus, um ein Netzwerkproblem auszulösen. Dieses 

Problem untersuchen Sie dann mit der Windows-Netzwerkdiagnose. Diese Übung simuliert 

ein Netzwerkproblem auf Ihrem Computer. Bevor Sie die Batchdatei ausführen, sollten Sie 

sicherstellen, dass Sie mit dem Netzwerk verbunden sind und auf Netzwerkressourcen zugreifen 

können. Bereiten Sie auch alles so vor, dass keine Daten verloren gehen, wenn Sie 

vom Netzwerk getrennt werden. Führen Sie diese Übung nicht auf einem Server oder einem 

anderen Computer durch, dessen Ausfall Auswirkungen auf andere Benutzer hat.


1. Installieren Sie die Übungsdateien von der Begleit-CD auf Ihrem Computer und wechseln 

Sie in den Ordner mit den Übungsdateien für Kapitel 2. Klicken Sie mit der rechten 

Maustaste auf die Batchdatei Chapter2-Lesson1-Exercise1.bat und wählen Sie den Befehl 

Als Administrator ausführen. 

2. Ignorieren Sie das Befehlsfenster, das daraufhin erscheint; die Batchdatei simuliert lediglich 

einen Netzwerkausfall. Nun können Sie sich an die Problembehandlung machen. 

3. Öffnen Sie den Internet Explorer und versuchen Sie, sich eine Website anzusehen. Sie 

stellen fest, dass das Internet nicht verfügbar ist. 

4. Klicken Sie mit der rechten Maustaste auf das Netzwerksymbol in der Taskleiste (es 

müsste nun mit einem roten X markiert sein) und wählen Sie den Befehl Netzwerk- und 

Freigabecenter öffnen. 

5. Das Netzwerk- und Freigabecenter wird geöffnet und zeigt die Netzwerkübersicht an. 

6. Klicken Sie in der Netzwerkübersicht auf das rote »X«-Symbol, das anzeigt, dass Sie 

nicht mit dem LAN verbunden sind. 

7. Folgen Sie den angezeigten Problembehandlungsschritten und versuchen Sie, die vorgeschlagenen 

Reparaturen als Administrator ausführen zu lassen. Klicken Sie auf den 

angezeigten Lösungsvorschlag, sobald die Windows-Netzwerkdiagnose das Problem 

identifiziert hat. 

Die Windows-Netzwerkdiagnose beseitigt das Netzwerkproblem. Wie Sie sehen, war 

das Vorgehen so simpel, dass jeder Benutzer es selbst erledigen kann. Diese Übung 

demonstriert zwar, wie Sie die Windows-Netzwerkdiagnose aus dem Netzwerk- und 

Freigabecenter heraus starten, Sie können stattdessen aber auch im Internet Explorer auf 

Diagnose von Verbindungsproblemen klicken oder mit der rechten Maustaste auf das 

Netzwerksymbol klicken und den Befehl Problembehandlung wählen. 

Übung 2 Ein Netzwerkproblem von Hand beseitigen 

In dieser Übung führen Sie eine Batchdatei aus, um ein Netzwerkproblem zu erzeugen, und 

untersuchen das Problem dann mithilfe der Tools für die manuelle Netzwerkproblembehandlung. 

Diese Übung simuliert ein Netzwerkproblem auf Ihrem Computer. Bevor Sie die Batchdatei 

ausführen, sollten Sie sicherstellen, dass Sie mit dem Netzwerk verbunden sind und auf 

Netzwerkressourcen zugreifen können. Bereiten Sie auch alles so vor, dass keine Daten verloren 

gehen, wenn Sie vom Netzwerk getrennt werden. Führen Sie diese Übung nicht auf 

einem Server oder einem anderen Computer durch, dessen Ausfall Auswirkungen auf andere 

Benutzer hat. 

1. Wechseln Sie in den Ordner mit den Übungsdateien für dieses Kapitel. Kopieren Sie die 

Datei Chapter2-Lesson1-Exercise2.bat auf Ihren Desktop. Klicken Sie mit der rechten 

Maustaste auf die Datei und wählen Sie den Befehl Als Administrator ausführen. 

Ignorieren Sie das Befehlsfenster, das daraufhin erscheint; die Batchdatei simuliert lediglich 


2. Öffnen Sie eine Eingabeaufforderung und führen Sie den Befehl ipconfig /all aus. 

3. Sehen Sie sich die Ausgabe an. 

Beachten Sie, dass keine Netzwerkadapter aufgelistet werden. Um das Problem genauer 

zu untersuchen, sollten Sie sich die Konfiguration der Netzwerkadapter ansehen.


4. Klicken Sie auf das Netzwerksymbol in der Taskleiste (es müsste nun mit einem roten X 

markiert sein) und wählen Sie den Befehl Netzwerk- und Freigabecenter öffnen. 

5. Klicken Sie im linken Fensterabschnitt auf Adaptereinstellungen ändern. 

6. Wie Sie sehen, sind die Netzwerkadapter deaktiviert. Aktivieren Sie jeden Netzwerkadapter 

wieder, indem Sie ihn mit der rechten Maustaste anklicken und den Befehl 

Aktivieren wählen. 

Warten Sie einige Sekunden, bis der Netzwerkadapter eine neue IP-Adresse abgerufen 

hat. Prüfen Sie dann, ob Sie wieder eine Verbindung zum Netzwerk haben. 


Die Windows-Netzwerkdiagnose kann viele häufig vorkommende Netzwerkprobleme 

automatisch identifizieren. Die Windows-Netzwerkdiagnose lässt sich an vielen Stellen 

starten. Der Benutzer wird oft aufgefordert, sie auszuführen, wenn ein Netzwerkproblem 

erkannt wird. 

Mit Ping können Sie die Verbindung zu einem Remotehost testen. PathPing funktioniert 

ähnlich, listet aber auch die Router zwischen Ihnen und dem Remotehost auf. Mit Port- 

Qry oder Telnet können Sie feststellen, ob ein Remoteserver Verbindungen an einem 

bestimmten Port annimmt. Mit Nslookup können Sie DNS-Namensauflösungsprobleme 

untersuchen. 

Wenn beim Zugriff auf freigegebene Ordner Probleme auftreten, können Sie die Problembehandlung 

entweder auf dem Client oder dem Server durchführen. Meist wird das Problem 

dadurch verursacht, dass die Privilegien nicht ausreichen. Es kann aber auch sein, 

dass der Server offline ist, die Windows-Firewall die Verbindung blockiert oder eine 

Netzwerkfirewall den Netzwerkverkehr filtert. 

APIPA-Adressen liegen im Bereich 169.254.0.0 bis 169.254.255.255. Falls ein Computer 

eine dieser Adressen zugewiesen bekommt, ist er so konfiguriert, dass er eine DHCP- 

Adresse erhalten soll, aber es war kein DHCP-Server verfügbar. Sie können dieses Problem 

beseitigen, indem Sie sicherstellen, dass ein DHCP-Server online ist, und dann die 

DHCP-Konfiguration mit den Befehlen ipconfig /release und ipconfig /renew aktualisieren. 

Verbindungsprobleme werden entweder durch das Netzwerk oder die Anwendung verursacht. 

Netzwerkverbindungsprobleme verhindern, dass überhaupt Verkehr ausgetauscht 

werden kann. Anwendungsverbindungsprobleme blockieren nur den jeweiligen Verkehr 

einer Anwendung. Normalerweise treten Anwendungsverbindungsprobleme auf, weil 

auf dem Server keine Windows-Firewallausnahme erstellt wurde oder eine Netzwerkfirewall 

die Kommunikation der Anwendung blockiert. 


Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 1, »Problembehandlung 

für die Netzwerkkonnektivität«, überprüfen. Die Fragen finden Sie (in englischer 

Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im 

Rahmen eines Übungstests beantworten.





1. Microsoft Office Outlook zeigt eine Fehlermeldung an, wenn Sie versuchen, Ihre Mail 

herunterzuladen. Sie stellen fest, dass Sie eine Verbindung zu anderen Computern im 

Netzwerk herstellen können. Welche Tools sollten Sie verwenden, um festzustellen, ob 

der Mailserver auf eingehende E-Mail-Anforderungen antwortet? (Wählen Sie alle zutreffenden 

Antworten aus.) 

A. Ping 

B. Telnet 

C. PortQry 

D. PathPing 

2. Welche der folgenden IP-Adressen bedeutet, dass ein Clientcomputer keine IP-Adresse 

von einem DHCP-Server abrufen konnte und keine alternative Konfiguration hat? 

A. 10.24.68.20 

B. 127.0.0.1 

C. 192.168.22.93 

D. 169.254.43.98 

3. Es gelingt Ihnen nicht, eine Verbindung zu einem Server im Internet herzustellen. Server 

im Intranet erreichen Sie dagegen problemlos. Sie wollen herausfinden, ob Ihr lokaler 

Router ausgefallen ist, Probleme bei Ihrem Internetprovider auftreten oder ein anderer 

Internetprovider für den Fehler verantwortlich ist. Welche Tools benutzen Sie, um das 

Problem am effizientesten einzukreisen? (Wählen Sie alle zutreffenden Antworten aus.) 

A. Nslookup 

B. Tracert 

C. Ipconfig 

D. PathPing


Lektion 2: Problembehandlung für die Namensauflösung 

Computer verwenden IP-Adressen, um andere Computer im Netzwerk zu identifizieren. Menschen 

verwenden dafür normalerweise Hostnamen. Tippt jemand zum Beispiel den Hostnamen 

www.contoso.com in die Adressleiste des Internet Explorers ein, muss der Internet 

Explorer diesen Hostnamen in eine IP-Adresse übersetzen, die beispielsweise 10.32.93.124 

lautet. 

Probleme bei der Namensauflösung können sich über ganz kleine oder sehr große Bereiche 

erstrecken. Ist beispielsweise eine ungültige IP-Adresse im DNS-Cache gespeichert, kann 

das bewirken, dass ein Client nicht auf einen bestimmten Server zugreifen kann. Ist dagegen 

der DNS-Server offline, führt das zu einem fast völligen Ausfall der Netzwerkkonnektivität 

für alle Clients, weil sie keine Verbindung mehr zu den Netzwerkservern herstellen können. 

Diese Lektion beschreibt, woran Sie Namensauflösungsprobleme erkennen und wie Sie derartige 

Probleme beseitigen. 


Behandeln von Namensauflösungsproblemen mit Nslookup 

Anzeigen und Löschen des DNS-Cache 


So führen Sie eine Problembehandlung für Namensauflösungsprobleme durch 

Bevor zwei Computer miteinander kommunizieren können, muss der Client den Hostnamen 

des Servers (zum Beispiel www.contoso.com) in eine IP-Adresse übersetzen (zum Beispiel 

192.168.10.233 oder die IPv6-Adresse 2001:db8::1). Diese Übersetzung wird als Namensauflösung 

(name resolution) bezeichnet. Meist führt ein DNS-Server die Namensauflösung 

durch und gibt die IP-Adresse an den Clientcomputer zurück. 

Wie bei den meisten Netzwerkproblemen sollten Sie zuerst einmal die Windows-Netzwerkdiagnose 

starten. Wenn dies das Problem nicht beseitigt, sollten Sie überprüfen, ob der Computer 

mit dem lokalen Netzwerk verbunden ist, und dann folgendermaßen vorgehen: 

1. Überprüfen Sie, ob Sie anhand der IP-Adressen Verbindungen zu anderen Computern 

herstellen können. Sofern Sie keine Verbindung zu einem Server erhalten, wenn Sie dessen 

IP-Adresse verwenden, ist die Ursache Ihrer Probleme die Netzwerkkonnektivität, 

nicht die Namensauflösung. Das können Sie testen, indem Sie eine Eingabeaufforderung 

öffnen und den Befehl ipconfig ausführen. Notieren Sie sich das Standardgateway. Versuchen 

Sie dann, eine Ping-Anforderung an das Standardgateway zu senden. Wenn das 

Standardgateway etwa die Adresse 192.168.1.1 hat, können Sie in einer Eingabeaufforderung 

den folgenden Befehl ausführen: 

ping 192.168.1.1 

Erhalten Sie Antworten, haben Sie definitiv eine Verbindung mit dem Netzwerk und Ihr 

Problem hat wahrscheinlich mit der Namensauflösung zu tun. Wenn Sie keine Antwort 

erhalten, sind Sie möglicherweise nicht mit dem Netzwerk verbunden. Bevor Sie die 

Problembehandlung unter der Annahme fortsetzen, dass es sich um ein Namensauflösungsproblem 

handelt, sollten Sie sicherstellen, dass der Computer richtig mit dem 

lokalen Netzwerk verbunden ist.

Lektion 2: Problembehandlung für die Namensauflösung 69 

2. Öffnen Sie eine Eingabeaufforderung und versuchen Sie, mit Nslookup (ein Tool zum 

Testen der Namensauflösung) den Hostnamen aufzulösen, zu dem Sie eine Verbindung 

herstellen wollen. Das sieht beispielsweise so aus: 

nslookup www.microsoft.com 

Sehen Sie sich die Ausgabe unter folgenden Gesichtspunkten an: 

1. Falls Nslookup den Namen auflöst, ist die Namensauflösung nicht die Ursache des Problems. 

Möglicherweise ist der Server offline, eine Firewall blockiert Ihren Verkehr, das 

Programm, das Sie verwenden, ist vielleicht falsch konfiguriert oder die Datenbank des 

DNS-Servers ist falsch und gibt eine ungültige IP-Adresse zurück. 

2. Falls Nslookup nur »DNS request timed out« anzeigt (und den Namen auch später nicht 

auflöst), antworten Ihre DNS-Server nicht. Führen Sie Nslookup noch einmal aus, um 

sicherzustellen, dass es sich nicht um ein kurzzeitiges Problem handelt. Stellen Sie dann 

sicher, dass Ihr Computer die richtigen IP-Adressen für die DNS-Server eingetragen hat. 

Sofern die IP-Adressen der DNS-Server richtig sind, sind die DNS-Server oder das 

Netzwerk, an das sie angeschlossen sind, offline. 

Tipp Ermitteln der richtigen DNS-Serverkonfiguration 

Wenn Sie nicht sicher sind, welche Adressen die DNS-Server haben, können Sie die 

Konfiguration eines funktionierenden Computers im selben Netzwerk überprüfen. 

3. Falls Nslookup die Meldung »Default servers are not available« anzeigt, ist auf dem 

Computer kein DNS-Server konfiguriert. Aktualisieren Sie die Netzwerkkonfiguration 

auf dem Client mit den IP-Adressen der DNS-Server oder konfigurieren Sie den Computer 

so, dass er automatisch eine Adresse erhält. DHCP weist Clients praktisch immer 

DNS-Server zu. 

Praxistipp 

Tony Northrup 

Hier ein Tipp, wie Sie Namensauflösungsprobleme umgehen können: Falls der DNS-Server 

nicht richtig funktioniert oder ein DNS-Update noch nicht wirksam ist und Sie einen 

bestimmten Server anhand seines Namens erreichen müssen, können Sie den Namen und 

die IP-Adresse in die Textdatei Hosts des Computers eintragen. Die Datei Hosts (sie hat 

keine Dateierweiterung) liegt in %WinDir%\System32\Drivers\Etc\Hosts. 

Führen Sie erst auf einem funktionierenden Computer den Befehl nslookup aus, um die 

IP-Adresse des Servers zu ermitteln. Fügen Sie diese Daten dann in die Datei Hosts ein. 

Sie können die Datei Hosts öffnen, indem Sie den Windows-Editor mit administrativen 

Berechtigungen ausführen. Öffnen Sie dann im Editor die Datei %WinDir%\System32\ 

Drivers\Etc\Hosts (ohne Dateierweiterung). Damit die Namensauflösung ohne DNS 

funktioniert, können Sie Zeilen am Ende der Datei Hosts hinzufügen, wie hier für IPv4- 

und IPv6-Adressen demonstriert: 

192.168.1.10 www.contoso.com 

2001:db8::1 mail.fabrikam.com

70 Kapitel 2: Netzwerk 

Speichern Sie die Datei Hosts und starten Sie den Webbrowser neu (sofern nötig). Nun 

verwendet Windows die IP-Adresse, die Sie angegeben haben, statt eine Abfrage an den 

DNS-Server zu schicken. Vergessen Sie nicht, die Zeile aus der Datei Hosts zu löschen, 

sobald DNS wieder richtig arbeitet. Andernfalls kann der Benutzer den Server nicht mehr 

erreichen, wenn sich seine IP-Adresse ändert. 

Verwalten des DNS-Caches 

Anwendungen schicken meist mehrere Netzwerkanforderungen an denselben Server. Wenn 

Sie beispielsweise Dateien von einem Webserver herunterladen, öffnet Internet Explorer 8 

bis zu 6 parallele Verbindungen zum selben Server. Statt dabei 6 DNS-Anforderungen nach 

derselben Adresse hintereinander zu senden, speichert Windows das Ergebnis der ersten 

Anforderung in einem Cache und greift auf dieses zwischengespeicherte DNS-Ergebnis 

zurück, um bei den weiteren Anforderungen die IP-Adresse des Zielservers zu ermitteln. 

DNS-Anforderungen werden so zwischengespeichert, dass sie allen Benutzern zur Verfügung 

stehen. Sie können sich sogar den DNS-Cache ansehen, um herauszufinden, zu welchen 

Computern andere Benutzer desselben Computers in letzter Zeit eine Verbindung hergestellt 

haben. 

Normalerweise brauchen Sie sich nicht um die Verwaltung des DNS-Caches zu kümmern. 

Für den Fall, dass ein Eingriff notwendig ist, erfahren Sie in den folgenden Abschnitten, wie 

Sie den DNS-Cache anzeigen, löschen und deaktivieren. 

Anzeigen des DNS-Caches 

Sie zeigen den DNS-Cache an, indem Sie eine Eingabeaufforderung öffnen und den folgenden 

Befehl ausführen: 

ipconfig /displaydns 

Die Ausgabe zeigt alle Einträge im DNS-Cache an, zusammen mit dem Typ des Eintrags, 

seiner TTL (Time To Live) und dem A- oder CNAME-Eintrag, auf den sich der Eintrag bezieht. 

Die TTL legt fest, wie viele Sekunden der Eintrag gültig bleibt. Sie wird vom primären 

DNS-Server für den abgefragten DNS-Eintrag bestimmt. 

Das folgende Beispiel zeigt die Ausgabe des Befehls ipconfig /displaydns: 


www.contoso.com 

---------------------------------------- 

Eintragsname . . . . : www.contoso.com 

Eintragstyp . . . . . : 1 

Gültigkeitsdauer . . : 40724 

Datenlänge . . . . . : 4 

Abschnitt . . . . . . : Antwort 

(Host-)A-Eintrag . . : 10.32.98.220 

www.fabrikam.com 

---------------------------------------- 

Eintragsname . . . . : www.fabrikam.com 

Eintragstyp . . . . . : 5 

Gültigkeitsdauer . . : 11229

Datenlänge . . . . . : 4 

Abschnitt . . . . . . : Antwort 

CNAME-Eintrag . . . . : fabrikam.com 


Löschen des DNS Caches 

Führen Sie den folgenden Befehl in einer Eingabeaufforderung aus, um den DNS-Cache zu 

löschen: 

ipconfig /flushdns 

Anschließend können Sie ipconfig /displaydns ausführen, um zu überprüfen, ob der DNS- 

Cache tatsächlich leer ist. In diesem Fall zeigt Windows 7 die Meldung »Der DNS-Auflösungscache 

konnte nicht angezeigt werden« an. 

Deaktivieren des DNS-Caches 

Sie deaktivieren den DNS-Cache, indem Sie den DNS-Clientdienst über den Knoten Dienste 

und Anwendungen\Dienste in der Konsole Computerverwaltung beenden oder in einer administrativen 

Eingabeaufforderung den folgenden Befehl ausführen: 

net stop dnscache 

Wenn Sie den DNS-Clientdienst beenden und neu starten, wird dabei auch der DNS-Cache 

gelöscht. 

Schnelltest 

Mit welchem Befehl leeren Sie den DNS-Cache? 


ipconfig /flushdns 

Übung Beseitigen eines Namensauflösungsproblems 

In dieser Übung beseitigen Sie ein häufig auftretendes Namensauflösungsproblem. 

Übung Beseitigen eines Namensauflösungsproblems 

In dieser Übung führen Sie eine Batchdatei aus, um ein Netzwerkproblem auszulösen. Dann 

führen Sie eine Problembehandlung mit mehreren Tools durch. Diese Übung simuliert ein 

Netzwerkproblem auf Ihrem Computer. Bevor Sie die Batchdatei ausführen, sollten Sie 

sicherstellen, dass Sie mit dem Netzwerk verbunden sind und auf Netzwerkressourcen zugreifen 

können. Bereiten Sie auch alles so vor, dass keine Daten verloren gehen, wenn Sie 

vom Netzwerk getrennt werden. 

1. Wechseln Sie in den Ordner mit den Übungsdateien für dieses Kapitel. Kopieren Sie die 

Datei Chapter2-Lesson2-Exercise1.bat auf Ihren Desktop. Klicken Sie mit der rechten 

Maustaste auf die Datei und wählen Sie den Befehl Als Administrator ausführen. 

Ignorieren Sie das Befehlsfenster, das daraufhin erscheint; die Batchdatei simuliert lediglich 


2. Öffnen Sie den Internet Explorer und versuchen Sie, eine Webseite aufzurufen. Sie 

stellen fest, dass das Internet nicht verfügbar ist.


3. Klicken Sie auf der Fehlerseite, die im Internet Explorer angezeigt wird, auf Diagnose 

von Verbindungsproblemen. 

Die Windows-Netzwerkdiagnose versucht, das Problem zu identifizieren. 

4. Sehen Sie sich an, welches Problem die Windows-Netzwerkdiagnose meldet. Klicken 

Sie dann auf Schließen. Das Problem besteht zu diesem Zeitpunkt weiterhin. 

5. Öffnen Sie eine Eingabeaufforderung, indem Sie im Startmenü cmd eingeben und die 

EINGABETASTE drücken. 

6. Geben Sie den Befehl ipconfig /all ein und drücken Sie die EINGABETASTE, um sich 

die aktuelle Netzwerkkonfiguration anzusehen. 

7. Versuchen Sie, das Standardgateway mit Ping zu erreichen. Es müsste antworten. Daran 

erkennen Sie, dass Sie erfolgreich mit Ihrem LAN verbunden sind. 

8. Führen Sie den Befehl nslookup www.microsoft.com aus. Wie Sie sehen, antwortet der 

DNS-Server nicht. Das kann auf verschiedene mögliche Probleme hindeuten: 

Der DNS-Server ist offline. 

Ein Netzwerk, das Ihren Computer mit dem DNS-Server verbindet, ist offline. 

Auf Ihrem Computer ist die falsche DNS-Serveradresse konfiguriert. 

9. Stellen Sie sicher, dass die IP-Adresse des DNS-Servers richtig ist. Sie finden die richtige 

DNS-Serveradresse in der Datei %WinDir%\System32\Previous_ip_configuration.txt. 

Klicken Sie doppelt auf diese Datei und notieren Sie sich die richtige DNS-Serveradresse. 

Normalerweise bekommen Sie diese Adresse von Ihrem Netzwerkadministrator, aber 

die Batchdatei, die Sie ausgeführt haben, hat Ihre vorherige Netzwerkkonfiguration automatisch 

gespeichert. 

10. Weil die IP-Adresse des DNS-Servers anders ist, müssen Sie die Adresse korrigieren. 

Klicken Sie mit der rechten Maustaste auf das Netzwerksymbol in der Taskleiste und 

wählen Sie den Befehl Netzwerk- und Freigabecenter öffnen. 

11. Klicken Sie im Netzwerk- und Freigabecenter im Abschnitt Aktive Netzwerke anzeigen 

neben der Beschriftung Verbindungen auf den Namen Ihres Netzwerkadapters. 

12. Klicken Sie auf Eigenschaften. 

13. Wählen Sie den Eintrag Internetprotokoll Version 4 (TCP/IPv4) aus und klicken Sie auf 

die Schaltfläche Eigenschaften. 

14. Konfigurieren Sie Netzwerkeinstellungen, die denen aus der Datei %WinDir%\System32\ 

Previous_ip_configuration.txt entsprechen. Wenn Sie DHCP benutzen, müssen Sie die 

Option DNS-Serveradresse automatisch beziehen auswählen, damit die Schnittstelle 

wieder die DNS-Serverkonfiguration verwendet, die der DHCP-Server liefert. 

15. Klicken Sie auf OK und dann zweimal auf Schließen. 

16. Kehren Sie zum Internet Explorer zurück und überprüfen Sie, ob Sie nun wieder Zugriff 

auf das Internet haben.



Namensauflösungsprobleme treten auf, wenn sowohl der Client als auch der Server 

online sind, aber der Client die IP-Adresse des Servers nicht ermitteln kann. Normalerweise 

werden Namensauflösungsprobleme durch eine falsche DNS-Serverkonfiguration 

auf dem Client verursacht, durch einen ausgefallenen DNS-Server oder durch einen 

DNS-Server, der eine falsche IP-Adresse für den Server gespeichert hat. 

Verwenden Sie den Befehl ipconfig, um den DNS-Cache anzuzeigen oder zu löschen. 

Mit ipconfig /displaydns zeigen Sie den Inhalt des DNS-Caches an. Mit ipconfig 

/flushdns löschen Sie den DNS-Cache. Es ist sinnvoll, den DNS-Cache zu löschen, 

wenn ein DNS-Eintrag auf dem Server aktualisiert wurde, aber der Client den DNS- 

Eintrag vor der Änderung abgefragt hat. 



»Problembehandlung für die Namensauflösung«, überprüfen. Die Fragen finden Sie (in 

englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer 





1. Mit welchem Tool stellen Sie fest, ob ein Verbindungsproblem, das bei Ihnen gerade 

auftritt, mit der Namensauflösung zu tun hat? 

A. Nslookup 

B. Ipconfig 

C. Ping 

D. Netstat 

2. Sie versuchen, auf einen Internetwebserver zuzugreifen, erhalten aber die Fehlermeldung, 

»Die Webseite kann nicht angezeigt werden«. Sie ermitteln die IP-Adresse des 

Servers auf einem Computer, der an ein anderes Netzwerk angeschlossen ist, und geben 

diese Adresse direkt in die Adressleiste des Internet Explorers ein. Diesmal wird die 

Webseite angezeigt. Welche Ursachen könnte das Problem haben? (Wählen Sie alle 

zutreffenden Antworten aus.) 

A. Der DNS-Server ist offline. 

B. Die Datei Hosts ist nicht vorhanden. 

C. Beim Client ist ein falscher DNS-Server konfiguriert. 

D. Der Client hat eine APIPA-Adresse. 

3. Ein Benutzer ruft Sie an, weil es ihm nicht gelingt, eine Verbindung zu einem internen 

Datenbankserver herzustellen. Nach einer Problembehandlung stellen Sie fest, dass der 

Datenbankserver offline ist. Sie nehmen Kontakt mit dem Datenbanksupportteam auf, 

das einen Ersatzserver startet. Dieser Ersatzserver hat denselben Hostnamen, aber eine


andere IP-Adresse. Sie versuchen, eine Verbindung zum Datenbankserver herzustellen, 

aber der Verbindungsversuch schlägt fehl. Anderen Benutzern gelingt es dagegen, eine 

Verbindung zum Datenbankserver aufzunehmen. Wie lösen Sie dieses Problem? 

A. Führen Sie den Befehl nslookup aus. 

B. Führen Sie die Befehle ipconfig /release und ipconfig /renew aus. 

C. Führen Sie den Befehl ipconfig /flushdns aus. 

D. Führen Sie den Befehl ipconfig /all aus.

Lektion 3: Problembehandlung für Drahtlosnetzwerke 75 

Lektion 3: Problembehandlung für Drahtlosnetzwerke 

Weil die Benutzeroberfläche von Windows 7 so intuitiv ist und Drahtlosnetzwerkverbindungen 

über Gruppenrichtlinieneinstellungen in AD DS konfiguriert werden können, treten nur 

bei wenigen Benutzern Probleme mit Drahtlosnetzwerkverbindungen auf. Allerdings können 

Fehler auftreten, wenn das Funksignal zu schwach ist, Hardware ausfällt oder falsche Sicherheitsdaten 

für das Netzwerk konfiguriert sind. Aus diesem Grund ist die Problembehandlung 

für Drahtlosnetzwerke besonders wichtig. 

Diese Lektion beschreibt, wie Sie häufige Probleme im Bereich von Drahtlosnetzwerken 

untersuchen und beseitigen. 


Beschreiben des Zwecks von Drahtlosnetzwerken 

Herstellen einer Verbindung zu Drahtlosnetzwerken 

Konfigurieren von Drahtlosnetzwerkprofilen 

Ändern des Drahtlosnetzwerkprofiltyps, sodass es nicht für alle, sondern nur einen 

bestimmten Benutzer gilt 

Behandeln häufiger Drahtlosnetzwerkprobleme 

Analysieren von Drahtlosverbindungsproblemen mithilfe der Ereignisanzeige 


Grundlagen von Drahtlosnetzwerken 

Für die meisten Benutzer sind mobile Computer viel nützlicher, wenn sie mit einem Netzwerk 

verbunden sind. Selbst wenn reisende Benutzer nur kurz zwischen zwei Flügen eine Verbindung 

mit einem Netzwerk aufnehmen können, gibt ihnen dieser Netzwerkzugriff die Gelegenheit, 

E-Mails zu senden und zu empfangen, wichtige Nachrichten zu lesen und Dateien 

zu synchronisieren. 

Viele Flughäfen und Hotels stellen Kabelnetzwerkverbindungen zur Verfügung, die mobile 

Benutzer verwenden können. Aber Kabelnetzwerke lassen sich schlecht skalieren, weil für 

jeden Benutzer eine eigene Netzwerkbuchse benötigt wird. Außerdem sind Kabelnetzwerkbuchsen 

an öffentlichen Orten schwierig zu warten, weil die Drähte brechen können oder die 

Buchsen mit diversen Materialien verstopft werden (es dauert meist nicht lang, bis ein Witzbold 

einen Kaugummi in eine Netzwerkbuchse gesteckt hat). 

Drahtlosnetzwerke (wireless network) sind dagegen viel effizienter. Ein einziger Drahtloszugriffspunkt 

(wireless access point) kann einen Radius von bis zu 100 Metern bedienen und 

möglicherweise Hunderten von Benutzern den Netzwerkzugriff ermöglichen. Der Drahtloszugriffspunkt 

kann in einem Schrank physisch geschützt werden, sodass er unbeschädigt 

bleibt. Außerdem brauchen die Benutzer keine Ethernetkabel mit sich herumzutragen, um 

die Verbindung ins Netzwerk herzustellen. 

Aus diesen Gründen und weil Anbieter Geld für den Zugriff auf Drahtlosnetzwerke verlangen 

können, haben sich öffentliche Drahtlosnetzwerke weit verbreitet (und decken inzwischen 

viele Innenstadtbereiche völlig ab). Drahtlosnetzwerke sind auch in privaten Netzwerken 

sehr beliebt geworden, weil die Benutzer sofort überall zu Hause ins Netzwerk


kommen, ohne Ethernetkabel durch die Wände verlegen zu müssen (eine aufwendige Angelegenheit). 

Auch im geschäftlichen Bereich haben sich Drahtlosnetzwerke durchgesetzt, weil 

sie es den Benutzern erlauben, ihre mobilen Computer in Konferenzräume, Cafeterias und 

andere Orte zu bringen, wo keine Kabelverbindung zur Verfügung steht. 

Der wichtigste Vorteil von Drahtlosnetzwerken ist, dass die Benutzer kein Netzwerkkabel 

anschließen müssen. Leider ist das auch der größte Nachteil. Drahtlosnetzwerke sind viel 

verwundbarer gegen Angriffe als Kabelnetzwerke, weil Angreifer keinen physischen Zugang 

zu einem Gebäude brauchen, um Zugriff auf das Netzwerk zu bekommen. Ein Angreifer 

kann eine Verbindung zu einem Drahtlosnetzwerk vom Parkplatz, von der Straße oder aus 

einem Nachbargebäude herstellen. Glücklicherweise unterstützt Windows 7 Sicherheitstechnologien 

für Drahtlosnetzwerke, die ausreichend Schutz bieten, sodass die Sicherheitsanforderungen 

der meisten Organisationen erfüllt werden. 

Herstellen der Verbindung zu Drahtlosnetzwerken 

Es gibt mehrere Wege, Verbindungen zu Drahtlosnetzen herzustellen: von Hand, mit Gruppenrichtlinien 

und über Skripts. Die folgenden Abschnitte beschreiben diese Techniken. 

Verbindung zu einem Drahtlosnetzwerk, das in Reichweite ist, manuell herstellen 

Gehen Sie folgendermaßen vor, um die Verbindung zu einem Drahtlosnetzwerk herzustellen, 

das momentan in Reichweite ist: 

1. Klicken Sie auf das Netzwerksymbol in der Taskleiste und dann auf den Namen des 

Netzwerks, mit dem Sie sich verbinden wollen (Abbildung 2.6). Wenn Sie zum ersten 

Mal eine Verbindung zu diesem Netzwerk herstellen und künftig automatisch damit 

kommunizieren wollen, können Sie das Kontrollkästchen Verbindung automatisch 

herstellen aktivieren und dann auf Verbinden klicken. 

Abbildung 2.6 Zwei bis drei Mausklicks genügen, 

um eine Verbindung zu einem Drahtlosnetzwerk herzustellen 

Hinweis Konfigurieren der Dienste für Drahtlosnetzwerke 

Der WLAN-Autokonfigurationsdienst muss laufen, damit Drahtlosnetzwerke zur Verfügung 

stehen. Dieser Dienst hat in der Standardeinstellung den Starttyp »Automatisch«.


2. Falls sich das Dialogfeld Geben Sie den Netzwerksicherheitsschlüssel ein öffnet (Abbildung 

2.7), müssen Sie den Netzwerksicherheitsschlüssel eintippen und auf OK klicken. 

Abbildung 2.7 Ist das Drahtlosnetzwerk geschützt, 

müssen Sie den Sicherheitsschlüssel eingeben 

Windows 7 stellt nun die Verbindung zum Netzwerk her. Wollen Sie die Verbindung zum 

Drahtlosnetzwerk wieder trennen, können Sie den beschriebenen Schritten folgen, um 

eine Verbindung zu einem anderen Drahtlosnetzwerk aufzubauen. Die Verbindung zu 

allen Drahtlosnetzwerken können Sie trennen, indem Sie auf das Netzwerksymbol in der 

Taskleiste klicken, den Namen des aktuellen Netzwerks anklicken und dann auf Verbindung 

trennen klicken. 

Ein neues Drahtlosnetzwerkprofil von Hand erstellen 

Am einfachsten stellen Sie die Verbindung zu einem Drahtlosnetzwerk her, indem Sie das 

Netzwerksymbol in der Taskleiste anklicken, auf das gewünschte Netzwerk klicken und 

dann den angezeigten Anweisungen folgen. Das funktioniert aber nur, solange das Drahtlosnetzwerk 

momentan in Reichweite ist und eine SSID (Service Set Identifier) aussendet, die 

den Namen des Netzwerks bekannt macht. Wenn Sie ein Drahtlosnetzwerk vorkonfigurieren 

wollen, sodass Windows 7 später automatisch eine Verbindung dazu aufbauen kann, sobald 

es sich in Reichweite befindet, können Sie folgendermaßen vorgehen: 



2. Klicken Sie im Netzwerk- und Freigabecenter auf Drahtlosnetzwerke verwalten. 

3. Klicken Sie auf Hinzufügen. 

4. Der Assistent Manuell mit einem Drahtlosnetzwerk verbinden erscheint. Klicken Sie auf 

Ein Netzwerkprofil manuell erstellen. 

5. Geben Sie auf der Seite Geben Sie Informationen für das Drahtlosnetzwerk ein, das Sie 

hinzufügen möchten (Abbildung 2.8) die erforderlichen Daten ein. Klicken Sie auf Weiter. 

6. Klicken Sie auf der letzten Seite auf Schließen. 

Sie können Drahtlosnetzwerke auch mithilfe von Gruppenrichtlinieneinstellungen oder 

Skripts vorkonfigurieren.


Abbildung 2.8 Ein Drahtlosnetzwerk, das momentan nicht 

in Reichweite ist, wird von Hand konfiguriert 

Praxistipp 

Tony Northrup 

Als Drahtlosnetzwerke noch neu waren, erzählten manche Sicherheitsexperten den Administratoren, 

sie sollten das SSID-Broadcasting ausschalten, um die Sicherheit zu verbessern. 

Das klang vernünftig, denn wenn ein Drahtloszugriffspunkt keine SSID aussendet, 

können Clientcomputer ihn nicht automatisch erkennen. 

Das Problem ist allerdings, dass es für autorisierte Benutzer viel schwieriger wird, eine 

Verbindung zum Drahtlosnetzwerk herzustellen, wenn das SSID-Broadcasting ausgeschaltet 

ist. Für einen Angreifer ist das aber schon längst keine Hürde mehr. Die Fähigkeit, 

sich mit Drahtlosnetzwerken zu verbinden, die keine SSID aussenden, ist zwar nicht 

in das Betriebssystem integriert, aber im Internet stehen kostenlose Tools zur Verfügung, 

die Drahtlosnetzwerke sofort erkennen, auch wenn sie keine SSID aussenden. 

Herstellen der Verbindung zu Drahtlosnetzwerken 

mithilfe von Gruppenrichtlinieneinstellungen 

Eine Verbindung zu Drahtlosnetzwerken von Hand einzurichten, funktioniert hervorragend, 

solange Sie nur eine kleine Zahl von Computern verwalten. In AD DS-Umgebungen sollten 

Sie stattdessen Gruppenrichtlinieneinstellungen verwenden, um Clientcomputer zu konfigurieren. 

Sie sollten dabei Windows Server 2003 mit Service Pack 1 oder neuer auf Ihren 

Domänencontrollern installiert haben, weil Microsoft die Unterstützung für Drahtlos- 

Gruppenrichtlinieneinstellungen in Service Pack 1 erweitert hat. 

Bevor Sie Drahtlosnetzwerke für Clientcomputer konfigurieren können, die unter Windows 

XP, Windows Vista oder Windows 7 laufen und mit Domänencontrollern kommunizieren, 

die eine ältere Version als Windows Server 2008 verwenden, müssen Sie das AD DS-


Schema mithilfe der Datei 802.11Schema.ldf erweitern, die Sie von http://www.microsoft. 

com/technet/network/wifi/vista_ad_ext.mspx herunterladen können. Gehen Sie folgendermaßen 

vor, um das Schema zu erweitern: 

1. Kopieren Sie die Datei 802.11Schema.ldf in einen Ordner auf einem Domänencontroller. 

2. Melden Sie sich am Domänencontroller mit den Privilegien eines Domänenadministrators 

an und öffnen Sie eine Eingabeaufforderung. 

3. Wechseln Sie in den Ordner, in dem die Datei 802.11Schema.ldf gespeichert ist, und 

führen Sie den folgenden Befehl aus (dabei ist Dist-Name_der_AD-Domäne der definierte 

Name der AD DS-Domäne, zum Beispiel »DC=contoso,DC=com« für die AD DS- 

Domäne contoso.com): 

ldifde -i -v -k -f 802.11Schema.ldf -c DC=X Dist-Name_der_AD-Domäne 

4. Starten Sie den Domänencontroller neu. 

Wenn Ihre Domänencontroller unter Windows Server 2008 oder einer neueren Version laufen 

oder wenn Sie bei einer älteren Windows-Version das Schema erweitert haben, können 

Sie von einem Windows 7-Clientcomputer aus eine Drahtlosnetzwerkrichtlinie konfigurieren. 

Gehen Sie dazu folgendermaßen vor: 

1. Öffnen Sie das AD DS-Gruppenrichtlinienobjekt (Group Policy Object, GPO) im 

Gruppenrichtlinienverwaltungs-Editor. 

2. Erweitern Sie Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen 

und klicken Sie dann auf Drahtlosnetzwerkrichtlinien (IEEE 802.11). 

3. Wählen Sie den Knoten Drahtlosnetzwerkrichtlinien (IEEE 802.11) aus, klicken Sie ihn 

mit der rechten Maustaste an und wählen Sie den Befehl Erstellen Sie eine neue Drahtlosnetzwerkrichtlinie 

für Windows Vista und neuere Versionen (wenn der Server unter 

Windows Server 2008 R2 läuft) beziehungsweise Eine neue Windows Vista-Richtlinie 

erstellen (wenn der Server unter einer älteren Windows-Version läuft). 

4. Das Eigenschaftendialogfeld für die neue Drahtlosnetzwerkrichtlinie wird geöffnet 


5. Sie können ein Infrastrukturnetzwerk hinzufügen, indem Sie auf Hinzufügen und dann 

auf Infrastruktur klicken, um die Registerkarte Verbindung im Eigenschaftendialogfeld 

des neuen Profils zu öffnen. Geben Sie eine gültige interne SSID im Feld Netzwerkname(n) 

(SSID) ein und klicken Sie auf Hinzufügen. Wiederholen Sie diese Schritte, um 

mehrere SSIDs für ein einziges Profil zu konfigurieren. Falls das Netzwerk versteckt ist, 

müssen Sie das Kontrollkästchen Verbinden, selbst wenn das Netzwerk keine Kennung 

aussendet aktivieren. 

6. Klicken Sie im Eigenschaftendialogfeld des neuen Profils auf die Registerkarte Sicherheit. 

Konfigurieren Sie auf dieser Registerkarte die Einstellungen für Authentifizierung 

und Verschlüsselung. Klicken Sie auf OK. 

Diese Einstellungen konfigurieren Clientcomputer so, dass sie automatisch eine Verbindung 

zu Ihren internen Drahtlosnetzwerken herstellen, aber nicht zu anderen Drahtlosnetzwerken.


Abbildung 2.9 Konfigurieren von Windows 7-Drahtlos- 

netzwerkclients mit Gruppenrichtlinieneinstellungen 

Herstellen der Verbindung zu Drahtlosnetzwerken mithilfe von Skripts 

Sie können Drahtloseinstellungen auch mit den Befehlen im Kontext netsh wlan des Befehlszeilentools 

Netsh konfigurieren. Auf diese Weise können Sie Skripts erstellen, die Verbindung 

zu unterschiedlichen Drahtlosnetzwerken (ob verschlüsselt oder nicht) herstellen. Mit 

dem folgenden Befehl können Sie sich die verfügbaren Drahtlosnetzwerke anzeigen lassen: 

netsh wlan show networks 

Schnittstellenname : Drahtlosnetzwerkverbindung 

Momentan sind 2 Netzwerke sichtbar 

SSID 1 : Nwtraders1 

Netzwerktyp : Infrastruktur 

Authentifizierung : Offen 

Verschlüsselung : Keine 

SSID 1 : Nwtraders2 

Netzwerktyp : Infrastruktur 

Authentifizierung : Offen 

Verschlüsselung : WEP 

Bevor Sie mit Netsh eine Verbindung zu einem Drahtlosnetzwerk herstellen können, müssen 

Sie ein Profil für dieses Netzwerk gespeichert haben. Profile enthalten die SSID und die 

Sicherheitsinformationen, die benötigt werden, um sich mit einem Netzwerk zu verbinden. 

Falls Sie schon vorher eine Verbindung zu diesem Netzwerk hergestellt haben, hat der Computer 

ein Profil für dieses Netzwerk gespeichert. Falls ein Computer noch nie eine Verbindung 

zu einem Drahtlosnetzwerk hergestellt hat, müssen Sie ein Profil speichern, bevor Sie 

mit Netsh die Verbindung aufbauen können. Sie können ein Profil auf einem Computer in 

einer XML-Datei (Extensible Markup Language) speichern und sie dann an andere Computer


in Ihrem Netzwerk verteilen. Nachdem Sie von Hand die Verbindung zu einem Netzwerk 

hergestellt haben, können Sie den folgenden Befehl ausführen, um ein Profil zu speichern: 

netsh wlan export profile name="" 

Bevor Sie die Verbindung zu einem neuen Drahtlosnetzwerk herstellen, können Sie ein Profil 

aus einer Datei laden. Das folgende Beispiel demonstriert, wie Sie ein Drahtlosprofil (das in 

einer XML-Datei gespeichert ist) aus einem Skript oder in der Befehlszeile erstellen: 

netsh wlan add profile filename="C:\profiles\nwtraders1.xml" 

Sie können schnell eine Verbindung zu einem Drahtlosnetzwerk herstellen, indem Sie den 

Befehl netsh wlan connect eingeben und den Namen eines Drahtlosprofils angeben (das Sie 

vorher konfiguriert oder hinzugefügt haben). Die folgenden Beispiele demonstrieren unterschiedliche, 

aber äquivalente Syntaxvarianten zum Herstellen einer Verbindung zu einem 

Drahtlosnetzwerk mit der SSID Nwtraders1: 

netsh wlan connect Nwtraders1 

netsh wlan connect Nwtraders1 interface="Drahtlosnetzwerkverbindung" 

Sie brauchen den Schnittstellennamen nur anzugeben, wenn Sie mehrere Drahtlosnetzwerkkarten 

haben (was selten vorkommt). Mit dem folgenden Befehl trennen Sie die Verbindungen 

zu allen Drahtlosnetzwerken: 

netsh wlan disconnect 

Sie können Skripts und Profile erstellen, um es Ihren Benutzern einfacher zu machen, die 

Verbindung zu privaten Drahtlosnetzwerken herzustellen. Im Idealfall ersparen die Skripts 

und Profile es Ihren Benutzern, jemals Sicherheitsschlüssel für Drahtlosnetzwerke eintippen 

zu müssen. 

Sie können mit Netsh auch den Zugriff auf Drahtlosnetzwerke anhand ihrer SSIDs erlauben 

oder verbieten. Zum Beispiel erlaubt der folgende Befehl den Zugriff auf ein Drahtlosnetzwerk 

mit der SSID Nwtraders1: 

netsh wlan add filter permission=allow ssid=Nwtraders1 networktype=infrastructure 

Und der folgende Befehl verbietet den Zugriff auf das Drahtlosnetzwerk Contoso: 

Netsh wlan add filter permission=block ssid=Contoso networktype=adhoc 

Mit der Berechtigung Denyall können Sie den Zugriff auf sämtliche Ad-hoc-Netzwerke 

verbieten, wie in diesem Beispiel demonstriert: 

netsh wlan add filter permission=denyall networktype=adhoc 

Den folgenden Befehl können Sie ausführen, um zu verhindern, dass Windows 7 automatisch 

eine Verbindung zu Drahtlosnetzwerken herstellt: 

netsh wlan set autoconfig enabled=no interface="Drahtlosnetzwerkverbindung" 

Netsh hat viele andere Befehle zum Konfigurieren von Drahtlosnetzwerken. Weitere Informationen 

erhalten Sie, indem Sie in einer Eingabeaufforderung folgenden Befehl ausführen: 

netsh wlan help


Ändern der Konfiguration eines Drahtlosnetzwerks 

Wenn Sie das Netzwerk erstmals konfiguriert haben, speichert Windows 7 diese Einstellungen 

für künftige Verbindungen. Falls sich die Konfiguration des Drahtloszugriffspunkts 

ändert, können Sie unter Umständen keine Verbindung mehr dazu aufbauen. 

Gehen Sie folgendermaßen vor, um die Konfiguration eines Drahtlosnetzwerks zu ändern, 

nachdem die ursprüngliche Konfiguration gespeichert wurde: 




3. Klicken Sie mit der rechten Maustaste auf das Netzwerk, dessen Konfiguration Sie verändern 

wollen, und wählen Sie den Befehl Eigenschaften. 

Das Dialogfeld Eigenschaften für Drahtlosnetzwerk wird geöffnet. 

4. Wie in Abbildung 2.10 gezeigt, können Sie auf der Registerkarte Verbindung einstellen, 

ob Windows 7 automatisch eine Verbindung mit dem Netzwerk herstellt, wenn es sich in 

Reichweite befindet (sofern noch keine andere Drahtlosverbindung vorhanden ist). 

Abbildung 2.10 Auf der Registerkarte Verbindung im Dialogfeld 

Eigenschaften für Drahtlosnetzwerk ändern Sie die Einstellungen für 

den automatischen Verbindungsaufbau 

5. Wie in Abbildung 2.11 zu sehen, können Sie auf der Registerkarte Sicherheit die Sicherheits- 

und Verschlüsselungstypen einstellen. Je nach Sicherheitstyp zeigt Windows 7 

jeweils andere Optionen in diesem Dialogfeld an. 

6. Klicken Sie auf OK.

Abbildung 2.11 Ändern der Sicherheitseinstellungen 

im Dialogfeld Eigenschaften für Drahtlosnetzwerk 


Wenn Sie die Konfiguration der Netzwerkverbindung geändert haben, sollten Sie versuchen, 

erneut eine Verbindung zum Netzwerk herzustellen, um Ihre Einstellungen zu überprüfen. 

Stattdessen können Sie auch im Fenster Drahtlosnetzwerke verwalten mit der rechten Maustaste 

auf ein Drahtlosnetzwerk klicken und den Befehl Netzwerk entfernen wählen. Nach 

dem Deinstallieren des Netzwerks können Sie erneut eine Verbindung zu diesem Netzwerk 

herstellen; das Netzwerk wird nun so behandelt, als wäre es neu. 

Ändern der Prioritäten für Drahtlosnetzwerke 

An vielen Standorten stehen mehrere Drahtlosnetzwerke gleichzeitig zur Verfügung. Wenn 

Ihr Büro zum Beispiel über einem Internetcafé liegt, haben Sie wahrscheinlich die Wahl, ob 

Sie eine Verbindung mit Ihrem Büronetzwerk oder dem öffentlichen Drahtlosnetzwerk des 

Internetcafés herstellen wollen. Noch komplexer wird die Angelegenheit, wenn Sie explizit 

das Drahtlosnetzwerk des Internetcafés benutzen wollen, während sie nicht im Büro sind, 

und sonst immer Ihr Bürodrahtlosnetzwerk. 

Um sicherzustellen, dass Sie sich mit dem richtigen Netzwerk verbinden, wenn mehrere 

Drahtlosnetzwerke verfügbar sind, können Sie den Drahtlosnetzwerken Prioritäten zuweisen. 

Gehen Sie folgendermaßen vor, um die Priorität von Drahtlosnetzwerken festzulegen: 




3. Wählen Sie im Fenster Drahtlosnetzwerke verwalten ein Drahtlosnetzwerkprofil aus und 

verschieben Sie es mit den Schaltflächen nach oben oder unten in der Liste. 

Wenn mehrere Netzwerke verfügbar sind, stellt Windows 7 immer eine Verbindung zu dem 

Netzwerk her, das weiter oben in der Liste steht.


Sicherheit in Drahtlosnetzwerken 

Viele Drahtlosnetzwerke laufen unverschlüsselt und ohne Authentifizierung. Ihnen fehlen 

somit jegliche Sicherheitsfeatures. Kabelnetzwerke sind normalerweise auch unverschlüsselt 

(zumindest auf Schicht 2), aber das ist nicht schlimm, weil ein Angreifer physischen Zugriff 

benötigt, um ein Ethernetkabel an das Netzwerk anzuschließen, und die meisten Organisationen 

haben etwas dagegen, dass Fremde in ihre Büros spazieren. Bei einem Drahtlosnetzwerk 

kann ein Angreifer dagegen eine Verbindung mit dem Netzwerk der Organisation herstellen, 

während er im Empfang, auf dem Parkplatz oder sogar in einem Nachbargebäude sitzt. 

Praxistipp 

Tony Northrup 

Wenn jemand das Internet nutzt, um ein Verbrechen zu begehen, haben die Ermittler als 

Beweis für die Identität des Verdächtigen meist seine IP-Adresse in der Hand. Wenn die 

IP-Adresse vorliegt, können die Ermittler den Internetprovider zwingen, die Daten des 

Kunden herauszugeben, dem diese IP-Adresse zum Zeitpunkt des Verbrechens zugewiesen 

war. 

Viele Möchtegern-Kriminelle wissen das und vermeiden es bei kriminellen Tätigkeiten, 

eine persönliche Internetverbindung zu benutzen. Oft suchen sie sich ein ungeschütztes 

Drahtlosnetzwerk, das Internetzugriff bietet, und verwenden einfach diese Verbindung. 

Wenn die Ermittler dann nachforschen, landen sie beim Besitzer des Drahtlosnetzwerks 

statt beim Kriminellen. Wenn Sie also ein Drahtlosnetzwerk ungeschützt lassen, helfen 

Sie unter Umständen einem Kriminellen, unerkannt zu entkommen. 

Um zumindest minimalen Schutz zu bieten, brauchen Drahtlosnetzwerke sowohl Authentifizierung 

(damit nur autorisierte Computer eine Verbindung herstellen dürfen) als auch Verschlüsselung 

(damit Angreifer nicht den Netzwerkverkehr lesen können). Alle Sicherheitsstandards 

für Drahtlosnetzwerke bieten sowohl Authentifizierung als auch Verschlüsselung, 

aber manche sind sicherer als andere. 

Windows 7 unterstützt folgende Sicherheitsstandards für Drahtlosnetzwerke: 

Keine Sicherheit Viele Drahtloszugriffspunkte für Privatanwender sind in der Standardeinstellung 

so konfiguriert, dass Drahtlosnetzwerke ohne Sicherheit aktiviert sind. 

Folglich sind ungeschützte Drahtlosnetzwerke recht häufig. Wenn keine Sicherheit erforderlich 

ist, wird es sehr bequem, sich mit dem Netzwerk zu verbinden: Der Benutzer 

braucht keine Passphrasen oder Schlüssel anzugeben. Aber die Gefahren sind groß. Jeder 

innerhalb eines gewissen Abstands vom Drahtloszugriffspunkt kann eine Verbindung 

dazu herstellen und sie unter Umständen missbrauchen. Außerdem können Angreifer den 

gesamten Verkehr lesen, der mit dem Drahtloszugriffspunkt ausgetauscht wird, darunter 

E-Mails, Instant Messaging und jeglichen anderen unverschlüsselten Verkehr. Die meisten 

modernen Drahtlosnetzwerke, die auf Drahtlossicherheit verzichten, zwingen den Benutzer, 

sich beim Drahtloszugriffspunkt zu authentifizieren, sobald er eine Verbindung 

zum Drahtlosnetzwerk hergestellt hat. 

Wired Equivalent Protection (WEP) WEP steht entweder als 64- oder 128-Bit-Verschlüsselung 

zur Verfügung. Es war der ursprüngliche Sicherheitsstandard für Drahtlosnetzwerke. 

Es wird auch heute noch verwendet, weil es umfassend unterstützt wird.


Praktisch jedes Betriebssystem, jeder Drahtloszugriffspunkt, jede Drahtlos-Bridge und 

alle anderen Drahtlosnetzwerkgeräte (etwa Drucker und Media-Extender) unterstützen 

WEP. Auch wenn WEP Schutz bietet, der besser ist als gar keine Sicherheit, lässt es sich 

von einem erfahrenen Angreifer leicht knacken. 128-Bit-WEP bietet deutlich besseren 

Schutz als 64-Bit-WEP, aber beide lassen sich innerhalb weniger Minuten überwinden. 

WEP ist aber immer noch besser als gar keine Sicherheit. Es kann zumindest verhindern, 

dass jeder beliebige Benutzer Ihr Netzwerk missbraucht. 

Wi-Fi Protected Access (WPA) WPA ist der Nachfolger von WEP und bietet deutlich 

besseren Schutz. WPA wird aber nicht so universell unterstützt wie WEP. Falls Sie also 

Drahtlosclients oder Drahtlosgeräte haben, die WPA nicht beherrschen, müssen Sie sie 

unter Umständen aktualisieren, um die WPA-Unterstützung nachzurüsten. Windows 7 

unterstützt sowohl WPA-Personal als auch WPA-Enterprise: 

WPA-PSK (für vorinstallierte Schlüssel), auch als WPA-Personal bezeichnet, ist 

für private Umgebungen gedacht. Bei WPA-PSK muss ein Benutzer eine 8 bis 63 

Zeichen lange Passphrase in jeden Drahtlosclient eingeben. WPA konvertiert die 

Passphrase in einen 256-Bit-Schlüssel. 

WPA-EAP (Extensible Authentication Protocol), auch als WPA-Enterprise bezeichnet, 

benötigt einen Backendserver, auf dem die Authentifizierung mit RADIUS 

(Remote Authentication Dial-In User Service) vorgenommen wird. Der RADIUS- 

Server kann dann den Benutzer in AD DS authentifizieren oder anhand eines Zertifikats 

überprüfen. WPA-EAP ermöglicht eine sehr flexible Authentifizierung, und 

Windows 7 bietet den Benutzern die Möglichkeit, eine Smartcard zu verwenden, um 

die Verbindung mit einem WPA-Enterprise-geschützten Netzwerk herzustellen. 

WPA2 WPA2 (auch als IEEE 802.11i bezeichnet) ist eine aktualisierte Version von 

WPA, die bessere Sicherheit und mehr Schutz vor Angriffen bietet. Wie WPA steht auch 

WPA2 als WPA2-PSK und WPA2-EAP zur Verfügung. 

Offen bei 802.1X 802.1X ist ein Verfahren für die Netzwerkauthentifizierung, das 

üblicherweise für Kabelnetzwerke eingesetzt wird. Wenn Netzwerkadministratoren bei 

einem Kabelnetzwerk die 802.1X-Authentifizierung erzwingen, kommuniziert der Netzwerk-Switch 

mit einem Authentifizierungsserver, sobald ein neuer Benutzer ein Ethernetkabel 

an das Netzwerk anschließt. Sofern der Benutzer authentifiziert wird, erlaubt der 

Switch ihm Zugriff auf das Netzwerk. Bei der Drahtlossicherheitseinstellung Offen bei 

802.1X erfordert der Drahtloszugriffspunkt keinerlei Verschlüsselung. Sobald ein Drahtlosclient 

aber eine Verbindung zum Netzwerk hergestellt hat, muss der Computer sich 

mit 802.1X authentifizieren, damit ihm der Netzwerkzugriff gewährt wird. Dieser 

Sicherheitstyp erfordert Authentifizierung, aber keine Verschlüsselung. 

Windows 7 und Windows Vista bieten integrierte Unterstützung für WEP, WPA und WPA2. 

Windows XP kann WPA und WPA2 unterstützen, wenn Updates installiert werden, die auf 

microsoft.com zur Verfügung stehen. Neuere Versionen von Linux und Mac OS sowie viele 

mobile Geräte bieten Unterstützung für WEP, WPA und WPA2.


Schnelltest 

Welches ist die sicherste Methode der Drahtlossicherheit? 


WPA2-EAP 

Konfigurieren von WPA-EAP-Sicherheit 

Die statischen Schlüssel, die in WEP und WPA-PSK benutzt werden, sind in Unternehmensumgebungen 

unmöglich zu verwalten. Wenn ein Mitarbeiter das Unternehmen verlässt, müssen 

Sie den Schlüssel für den Drahtloszugriff ändern, damit dieser Ex-Mitarbeiter nicht mehr 

auf das Netzwerk zugreifen kann. Dann müssen Sie jeden einzelnen Drahtlosclientcomputer 

in Ihrer Organisation aktualisieren. 

Wie Sie wissen, steht das »EAP« in WPA-EAP für Extensible Authentication Protocol (erweiterbares 

Authentifizierungsprotokoll). Weil es erweiterbar ist, können Sie die Authentifizierung 

über unterschiedliche Methoden durchführen: 

PEAP-MS-CHAPv2 ermöglicht es den Benutzern, die Verbindung zu einem Drahtlosnetzwerk 

mit ihren Domänenanmeldeinformationen herzustellen. 

Zertifikate, die auf den Computern der Benutzer gespeichert sind 

Zertifikate, die auf Smartcards gespeichert sind 

Windows 7 verwendet immer denselben Authentifizierungsprozess, unabhängig davon, 

welche Authentifizierungsmethode Sie wählen. Wie in Abbildung 2.12 zu sehen, gibt der 

Drahtlosclientcomputer die Anmeldeinformationen an den Drahtloszugriffspunkt weiter, der 

sie wiederum an einen RADIUS-Server übergibt, der den Benutzer schließlich in AD DS 

authentifiziert. Abbildung 2.12 führt zwar den RADIUS-Server und den Domänencontroller 

als getrennte Server auf, aber Sie können beide Dienste auf demselben Computer installieren. 

Abbildung 2.12 WPA benutzt einen RADIUS-Server für die Authentifizierung 

Windows Server 2008 enthält den Netzwerkrichtlinienserver (Network Policy Server, NPS), 

der als RADIUS-Server agiert und eng in AD DS integriert ist. Wenn Sie NPS konfigurieren, 

können Sie eine Domänensicherheitsgruppe angeben, die Zugriff auf das Drahtlosnetzwerk 

erhält. Aus diesem Grund sollten Sie eine Gruppe speziell für Benutzer zu erstellen, die 

berechtigt sind, auf das Drahtlosnetzwerk zuzugreifen.

Weitere Informationen Mehr über NPS 


Weil sich diese Zertifizierungsprüfung auf Windows 7 konzentriert, befasst sie sich nicht der 

Konfiguration eines RADIUS-Servers. Weitere Informationen, wie Sie NPS mit Windows 

Server 2008 konfigurieren, finden Sie in den Kapiteln 14 bis 19 von Microsoft Windows 

Server 2008 – Networking und Netzwerkzugriffsschutz von Joseph Davies und Tony Northrup 

(Microsoft Press, 2008). 

Wenn Sie eine Verbindung zu einem neuen WPA-EAP- oder WPA2-EAP-Netzwerk herstellen, 

ist Windows 7 in der Standardeinstellung so konfiguriert, dass die Authentifizierungsmethode 

»Gesichertes Kennwort (EAP-MSCHAP v2)« verwendet wird. Die Benutzer können 

sich daher mit ihren Domänenanmeldeinformationen authentifizieren. Wenn die Benutzer 

sich mit einem Zertifikat authentifizieren sollen (entweder auf dem lokalen Computer oder 

einer Smartcard gespeichert), können Sie ein Drahtlosnetzwerkprofil für das Netzwerk erstellen, 

indem Sie die Standardeinstellungen als Ausgangsbasis verwenden und dann die 

Drahtlosnetzwerksicherheit folgendermaßen konfigurieren: 




3. Klicken Sie mit der rechten Maustaste auf das Netzwerk und wählen Sie den Befehl 

Eigenschaften. Klicken Sie auf die Registerkarte Sicherheit. 

4. Klicken Sie auf Wählen Sie eine Methode für die Netzwerkauthentifizierung aus und 

wählen Sie den Eintrag Microsoft: Smartcard- oder anderes Zertifikat (Abbildung 2.13). 

Abbildung 2.13 Sie müssen die Eigenschaften eines 

Drahtlosnetzwerkprofils manuell bearbeiten, wenn ein 

Zertifikat für die Authentifizierung verwendet wird


Hinweis Smartcards erzwingen 

Beachten Sie, dass das Kontrollkästchen Für diese Verbindung eigene Anmeldeinformationen 

für jede Anmeldung speichern standardmäßig aktiviert ist. Wollen Sie, dass die 

Benutzer ihre Smartcards jedes Mal einlegen müssen, wenn Sie die Verbindung zum 

Netzwerk herstellen, müssen Sie dieses Kontrollkästchen deaktivieren. 

5. Klicken Sie auf Einstellungen. Wird das Zertifikat auf dem lokalen Computer gespeichert, 

müssen Sie im Feld Beim Herstellen der Verbindung die Option Zertifikat auf 

diesem Computer verwenden auswählen (Abbildung 2.14). Wenn Sie Smartcards verwenden, 

müssen Sie die Option Eigene Smartcard verwenden auswählen. 

Abbildung 2.14 Sie können auswählen, ob ein Zertifikat auf dem 

lokalen Computer oder auf einer Smartcard gespeichert wird 

Hinweis Überprüfen von Servern 

Beachten Sie, dass in der Standardeinstellung das Kontrollkästchen Serverzertifikat 

überprüfen aktiviert ist. So ist sichergestellt, dass der RADIUS-Server ein Zertifikat 

von einer vertrauenswürdigen Zertifizierungsstelle hat, bevor die Anmeldeinformationen 

gesendet werden. Das ist wichtig, weil Sie Ihre Anmeldeinformationen nicht an einen 

böswilligen Server senden dürfen, der sie dann missbrauchen könnte. Allerdings weist 

der Client den RADIUS-Server ab, wenn der RADIUS-Server ein Zertifikat von einer 

Unternehmenszertifizierungsstelle hat (oder einer anderen Zertifizierungsstelle, die nicht 

in der Standardeinstellung als vertrauenswürdig eingestuft ist) und der Clientcomputer 

noch keine Verbindung zur Domäne hergestellt hat, seit die Unternehmenszertifizierungsstelle 

zur Domäne hinzugefügt wurde. Sie können dieses Problem umgehen, wenn Sie 

das erste Mal eine Verbindung zu einer Domäne herstellen (danach vertraut der Clientcomputer 

ja der Unternehmenszertifizierungsstelle), indem Sie das Kontrollkästchen


Serverzertifikat überprüfen deaktivieren, die Verbindung zum Drahtlosnetzwerk und der 

Domäne herstellen und danach das Kontrollkästchen Serverzertifikat überprüfen wieder 

aktivieren. 

6. Klicken Sie zweimal auf OK. 

Wenn der Benutzer das nächste Mal eine Verbindung über dieses Profil herstellt, versucht 

Windows 7, automatisch ein passendes Zertifikat zu finden. Falls es keines findet oder falls 

der Benutzer eine Smartcard einlegen muss, fordert Windows 7 den Benutzer auf, ein Zertifikat 

auszuwählen. 

Konfigurieren von Drahtlosnetzwerkprofiltypen 

Die meisten mobilen Computer werden nur von einem einzigen Benutzer verwendet. Wenn 

in Ihrer Organisation allerdings mobile Computer von mehreren Benutzern gemeinsam verwendet 

werden, ist es sinnvoll, die Drahtlosnetzwerke so zu konfigurieren, dass sie benutzerspezifische 

Profile verwenden. Mit benutzerspezifischen Profilen kann ein Benutzer eine 

Verbindung zu einem Drahtlosnetzwerk herstellen, ohne dass andere Benutzer in der Lage 

sind, dieselbe Drahtlosnetzwerkverbindung zu nutzen. 

Benutzerspezifische Drahtlosprofile sind beispielsweise wichtig, wenn ein Benutzer ein 

gemeinsam genutztes Notebook so konfiguriert, dass es eine Verbindung zu seinem privaten 

Drahtlosnetzwerk herstellt. Wenn wie in der Standardkonfiguration gemeinsame Profile für 

alle Benutzer verwendet werden, kann jeder andere Benutzer dieses Computers zum Haus 

des ursprünglichen Benutzers gehen und eine Verbindung zum dortigen Drahtlosnetzwerk 

herstellen, ohne den Sicherheitsschlüssel eingeben zu müssen. Das gilt auch, wenn das 

Drahtlosnetzwerk Sicherheitsmaßnahmen verwendet. 

Gehen Sie folgendermaßen vor, um ein Drahtlosprofil so zu konfigurieren, dass es nicht für 

alle Benutzer gilt, sondern benutzerspezifisch verwaltet wird: 



Das Netzwerk- und Freigabecenter wird geöffnet. 

2. Klicken Sie im linken Fensterabschnitt auf Drahtlosnetzwerke verwalten. 

a. Klicken Sie auf Profiltypen. 

b. Wählen Sie im Dialogfeld Drahtlosnetzwerkprofiltyp die Option Profile für alle 

Benutzer und benutzerspezifische Profile verwenden aus (Abbildung 2.15). 

c. Klicken Sie auf Speichern. 

Wenn Sie benutzerspezifische Profile aktiviert haben, bleiben alle bereits vorhandenen Drahtlosprofile 

für alle Benutzer verfügbar. Aber wenn Sie das nächste Mal eine Verbindung zu 

einem neuen Drahtlosnetzwerk herstellen, lässt Windows 7 Sie auswählen, wie das Drahtlosnetzwerkprofil 

gespeichert werden soll. Wenn Sie ein vorhandenes Drahtlosnetzwerkprofil 

von einem Profil für alle Benutzer in ein benutzerspezifisches Profil konvertieren wollen, 

müssen Sie es löschen und dann neu erstellen. Eine der unangenehmen Nebenwirkungen 

von benutzerspezifischen Drahtlosprofilen ist, dass der Computer die Verbindung vom Drahtlosnetzwerk 

trennt, wenn sich ein Benutzer abmeldet.


Abbildung 2.15 Benutzerspezifische Drahtlosprofile verhindern, dass 

Benutzer Drahtlosverbindungskonfigurationen gemeinsam verwenden 

Behandeln häufiger Drahtlosnetzwerkprobleme 

Sobald Sie mit einem Drahtlosnetzwerk verbunden sind, können Sie dieselben Problembehandlungstechniken 

einsetzen, die Sie auch bei einem Kabelnetzwerk verwenden. Drahtlosnetzwerke 

erfordern aber ganz andere Problembehandlungstechniken während der Phase 

des Verbindungsaufbaus. Die häufigsten Probleme sind: 

Netzwerkkarte erkennt keine Drahtlosnetzwerke Wenn Ihre Netzwerkkarte überhaupt 

keine Drahtlosnetzwerke erkennt, obwohl welche verfügbar sind, ist die Netzwerkkarte 

möglicherweise auf Hardwareebene ausgeschaltet. Die meisten mobilen Computer 

haben entweder einen speziellen Hardwareschalter oder eine Tastenkombination, 

die das WLAN ein- und ausschaltet. Wie Sie in Abbildung 2.16 sehen, erkennt die Windows-Netzwerkdiagnose 

diese Bedingung richtig. 

Abbildung 2.16 Eines der häufigsten Drahtlosprobleme: 

WLAN wurde auf der Hardwareebene ausgeschaltet


Sie sollten auch mit dem Geräte-Manager sicherstellen, dass Ihre Drahtlosnetzwerkkarte 

erkannt wurde und einen gültigen Treiber hat. Sie können den Geräte-Manager öffnen, 

indem Sie im Startmenü den Befehl devmgmt.msc eingeben und die EINGABETASTE 

drücken. Erweitern Sie den Knoten Netzwerkadapter. Falls der WLAN-Adapter ausgeschaltet 

ist, erkennt Windows 7 den Adapter trotzdem. Es kann ihn nur nicht benutzen. 

Schwaches Funksignal Je weiter Sie sich vom Drahtloszugriffspunkt entfernen, desto 

schwächer wird das Signal. Und je schwächer das Signal, desto langsamer das Netzwerk. 

Sie können aber einige Maßnahmen ergreifen, um die Reichweite eines Funksignals zu 

erhöhen: 

Stellen Sie den Drahtloszugriffspunkt nicht in der Nähe von Metallschränken, Computern 

oder anderen Objekten auf, die unter Umständen das Funksignal abschirmen. 

Wenn Sie versuchen, von außen eine Verbindung herzustellen, sollten Sie Fliegengitter 

aus Metall entfernen. Solche Gitter schirmen das Funksignal zwar nicht völlig 

ab, verursachen aber erhebliches Rauschen. 

Verstellen Sie die Antenne des Drahtloszugriffspunkts. Sie bekommen den besten 

Empfang, wenn jemand langsam die Antenne des Drahtloszugriffspunkts verschiebt, 

während eine zweite Person die Signalstärke auf einem Computer an der gewünschten 

Position überwacht. 

Verwenden Sie eine Verstärkerantenne oder Richtantenne. Normale omnidirektionale 

Antennen senden relativ gleichmäßig in alle Richtungen. Richtantennen konzentrieren 

sich auf einen bestimmten Bereich. Wenn Sie einen bestimmten Bereich abdecken 

wollen, sollten Sie eine Richtantenne passend platzieren. Manche Drahtlosnetzwerkadapter 

unterstützen auch Verstärkerantennen. Die besten Ergebnisse erhalten 

Sie, wenn Sie sowohl auf dem Drahtloszugriffspunkt als auch dem Computer 

Richtantennen verwenden. 

Hinweis Verwenden einer Richtantenne 

Viele Leute glauben fälschlicherweise, dass Richtantennen leistungsfähiger sind. Die 

Antenne selbst kann die Leistung nicht verstärken, das wird vom Sender innerhalb 

des Drahtloszugriffspunkts gesteuert. Die Antenne steuert allerdings die Richtung 

des Signals. Richtantennen konzentrieren die Sendeleistung in einer bestimmten 

Richtung, sodass in manchen Bereichen ein stärkeres Signal ankommt als in anderen. 

Erhöhen Sie die Sendeleistung. Viele Drahtloszugriffspunkte erlauben Ihnen, die 

Sendeleistung zu konfigurieren. Die Standardeinstellung ist zwar normalerweise 

bereits der Maximalwert, aber unter Umständen hat ein anderer Administrator die 

Sendeleistung verringert. 

Erhöhen Sie die Sendeleistung auf dem Clientcomputer. Alle Netzwerkverbindungen 

sind bidirektional. Damit also eine Verbindung hergestellt werden kann, müssen die 

vom Computer gesendeten Signale stark genug sein, dass sie den Drahtloszugriffspunkt 

erreichen. Viele Drahtlosnetzwerkkarten erlauben, die Sendeleistung im Eigenschaftendialogfeld 

der Drahtlosnetzwerkkarte zu konfigurieren (Abbildung 2.17). 

Die konkreten Optionen unterscheiden sich von einer Drahtlosnetzwerkkarte zur 

anderen. Wenn sie die Sendeleistung erhöhen, kann sich die Akkubetriebszeit verringern.


Abbildung 2.17 Bei manchen Drahtlosnetzwerkkarten 

können Sie die Sendeleistung konfigurieren 

Hinweis Anzeigen der Signalstärke 

Sie können sich die Signalstärke eines Drahtlosnetzwerks ansehen, indem Sie in der 

Taskleiste auf das Netzwerksymbol klicken oder das Netzwerk- und Freigabecenter 

öffnen. 

Windows kann keine erneute Verbindung zu einem Drahtlosnetzwerk herstellen 

Wenn Sie keine Verbindung mehr zu einem Drahtlosnetzwerk herstellen können, mit 

dem Sie vorher bereits einmal verbunden waren, liegt das normalerweise daran, dass 

sich die Sicherheitseinstellungen im Netzwerk geändert haben. Benutzt das Drahtlosnetzwerk 

beispielsweise WEP, hat unter Umständen ein Administrator den Schlüssel 

geändert. Wie Sie den Sicherheitsschlüssel ändern, ist im Abschnitt »Ändern der Konfiguration 

eines Drahtlosnetzwerks« weiter oben in dieser Lektion beschrieben. Stattdessen 

können Sie auch einfach das Drahtlosnetzwerkprofil löschen und dann die Verbindung 

zum Netzwerk neu herstellen. 

Schlechte Leistung Verschiedene Faktoren können schlechte Netzwerkleistung verursachen: 

Ein schwaches Funksignal, wie bereits beschrieben. 

Interferenz 802.11b, 802.11g und 802.11n verwenden die Funkfrequenz 2,4 GHz, 

802.11a die Frequenz 5,8 GHz. Funktelefone oder andere Funksender auf derselben 

Frequenz können Leistungsprobleme verursachen. 

Überlappende Drahtloszugriffspunkte Drahtloszugriffspunkte können auf einem 

von 11 Kanälen (nummeriert von 1 bis 11) senden. Wenn zwei Drahtloszugriffspunkte 

auf demselben Kanal oder auf Kanälen senden, die nicht zumindest fünf Stellen aus-


einanderliegen, kann die Leistung bei beiden eingeschränkt sein. Sie erhalten die 

besten Ergebnisse, wenn Sie für überlappende Drahtloszugriffspunkte die Kanäle 1, 

6 und 11 verwenden. 

Mehrere Funkfrequenzen 802.11n und 802.11g sind abwärtskompatibel zu 

802.11b. Aber wenn in 802.11n- oder 802.11g-Netzwerken 802.11b-Clients unterstützt 

werden, kann das die Leistung deutlich senken. Rüsten Sie nach Möglichkeit 

alle Drahtlosclients auf den schnellsten Drahtlosnetzwerkstandard auf, den Ihre 

Drahtloszugriffspunkte unterstützen. Konfigurieren Sie dann Ihre Drahtloszugriffspunkte 

so, dass sie im Modus »Nur 802.11g« oder »Nur 802.11n« laufen. 

Umfangreicher Netzwerkverkehr Alle Drahtlosclients teilen sich eine begrenzte 

Bandbreite. Wenn ein Client eine große Datei herunterlädt, kann das die Leistung 

aller Clients beinträchtigen. 

Sporadische oder unerklärliche Probleme Drahtlosnetzwerkprotokolle haben sich 

innerhalb kurzer Zeit stark verändert. Leider kommt es vor, dass es Schwierigkeiten gibt, 

wenn Sie Drahtlosnetzwerkhardware von unterschiedlichen Herstellern kombinieren. 

Zum Beispiel haben viele Hersteller Drahtloszugriffspunkte auf Basis des Standards 

802.11n produziert, bevor dieser Standard überhaupt verabschiedet war. Wenn Sie eine 

Drahtlosnetzwerkkarte verwenden, die 802.11n vollständig implementiert, und Sie versuchen, 

auf einen Drahtloszugriffspunkt zuzugreifen, der auf einem Prä-802.11n-Standard 

basiert, können Sie unter Umständen keine Verbindung herstellen. Vielleicht treten 

auch nur gelegentlich Abbrüche auf oder die Leistung ist schlecht. Sie erreichen die 

besten Ergebnisse, wenn Sie bei allen Drahtloszugriffspunkten die Firmware und die 

Netzwerkkartentreiber auf die neuesten Versionen aktualisieren. Setzen Sie dann die 

Problembehandlung in Zusammenarbeit mit dem technischen Support des Hardwareherstellers 

fort. 

Weitere Informationen Problembehandlung für Drahtlosdienste 

Ausführliche Informationen über Drahtlosdienste finden Sie auf der Netzwerkseite von 

Microsoft TechNet unter http://technet.microsoft.com/en-us/library/dd393010.aspx. Weitere 

Informationen über das Behandeln von Netzwerkproblemen enthält Anhang E. 

Analysieren von Drahtlosverbindungsproblemen in der Ereignisanzeige 

Wenn ein Benutzer Sie anruft und über ein Problem beim Herstellen einer Drahtlosnetzwerkverbindung 

berichtet, verfügt dieser Benutzer möglicherweise nicht über alle relevanten 

technischen Details, die Sie wissen müssen. Vielleicht weiß der Benutzer noch die SSID, 

aber wahrscheinlich ist ihm nicht bekannt, welchen Sicherheitstyp das Netzwerk fordert 

oder ob es mit 802.11b, 802.11g oder etwas anderem arbeitet. Glücklicherweise zeichnet 

Windows 7 diese technischen Details jedes Mal auf, wenn ein Benutzer eine Verbindung zu 

einem Netzwerk herstellt. 

Gehen Sie folgendermaßen vor, um sich die Details der Drahtlosnetzwerke anzusehen, zu 

denen ein Benutzer Verbindungen aufgebaut hat: 


Befehl Verwalten.


2. Erweitern Sie unter Computerverwaltung die Knoten System, Ereignisanzeige, Anwendungs- 

und Dienstprotokolle, Microsoft, Windows und WLAN-AutoConfig. Wählen Sie 

dann Betriebsbereit aus. 

3. Wählen Sie im mittleren Fensterabschnitt einen Ereignisprotokolleintrag aus. 

Dieses Ereignisprotokoll zeigt die Details von versuchten und erfolgreichen Verbindungen 

zu einem Drahtlosnetzwerk. Abbildung 2.18 zeigt ein Beispiel mit der Ereignis-ID 8001, die 

Details über eine erfolgreiche Drahtlosnetzwerkverbindung liefert. 

Abbildung 2.18 Windows 7 zeichnet ein Ereignis auf, wenn es 

erfolgreich eine Verbindung zu einem Drahtlosnetzwerk herstellt 

Abbildung 2.19 Windows 7 zeichnet detaillierte Informationen 

über Drahtlosnetzwerkprobleme auf


Abbildung 2.19 zeigt ein Beispiel für die Ereignis-ID 11006, die anzeigt, dass die Drahtlosauthentifizierung 

fehlgeschlagen ist. Wie Sie sehen, führt dieses Ereignis die SSID des 

Drahtlosnetzwerks (Contoso) und den Grund für den Fehler auf (Empfang eines expliziten 

Eap-Fehlers). Anhand des Zeitpunkts des Ereignisses können Sie den Authentifizierungsfehler 

einem Ereignis im RADIUS-Server oder dem Domänencontroller zuordnen. Weitere 

Ereignisse, die auf einen Fehler bei der Drahtlosauthentifizierung hinweisen, haben die 

Ereignis-IDs 8002 und 12013. 

Windows 7 fügt für jede erfolgreiche oder fehlgeschlagene Verbindung mehrere Ereignisse 

hinzu. Hat der Benutzer die Windows-Netzwerkdiagnose gestartet, finden Sie unter Umständen 

weitere nützliche Informationen im Systemereignisprotokoll und im Ereignisprotokoll 

Anwendungs- und Dienstprotokolle\Microsoft\Windows\Diagnostics-Networking\Betriebsbereit. 

Übung Arbeiten mit Drahtlosnetzwerken 

In dieser Übung konfigurieren Sie Drahtlosnetzwerke und beseitigen Probleme. 

Übung 1 Konfigurieren eines WPA-PSK-verschlüsselten Drahtloszugriffspunkts 

In dieser Übung stellen Sie eine Verbindung zu einem Drahtlosnetzwerk her, das mit WPA- 

PSK geschützt ist. Um diese Übung durchzuarbeiten, brauchen Sie einen Drahtloszugriffspunkt 

und einen Windows 7-Computer mit Drahtlosnetzwerkadapter. 

1. Öffnen Sie die Konfigurationsseite für Ihren Drahtloszugriffspunkt. Üblicherweise verwalten 

Sie einen Drahtloszugriffspunkt über einen Webbrowser. Geben Sie als SSID 

Contoso ein und stellen Sie unter Sicherheit WPA2-PSK (sofern verfügbar) oder WPA- 

PSK (auch als WPA-Personal bezeichnet) ein. Tippen Sie eine komplexe Passphrase mit 

8 bis 63 Zeichen ein (je länger, desto sicherer) und notieren Sie sich diesen Schlüssel. 

2. Klicken Sie auf Ihrem Windows 7-Computer auf das Netzwerksymbol in der Taskleiste, 

dann auf das Netzwerk Contoso und schließlich auf Verbinden. 

Das Dialogfeld Verbindung mit einem Netzwerk herstellen wird geöffnet. 

3. Geben Sie den Sicherheitsschlüssel ein und klicken Sie auf OK. 

4. Klicken Sie auf Öffentlich, falls das Dialogfeld Wählen Sie einen Ort für das Netzwerk 

Contoso aus angezeigt wird. 

Bei der WPA-PSK-Verschlüsselung gehen Sie genauso vor wie bei WEP. Sowohl WEP als 

auch WPA-PSK verwenden statische Schlüssel, die schwierig zu verwalten sind, weil alle 

Clientcomputer denselben Schlüssel haben. Sollte es jemals nötig werden, den Netzwerkschlüssel 

zu ändern, müssen Sie alle Clientcomputer umkonfigurieren. 

Übung 2 Problembehandlung für ein Drahtlosnetzwerk 

In dieser Übung versuchen Sie, eine Verbindung zu einem Drahtlosnetzwerk herzustellen, 

das mit falschen Einstellungen konfiguriert wurde. Bevor Sie diese Übung beginnen, müssen 

Sie Übung 1 in dieser Lektion abgeschlossen haben. 

1. Öffnen Sie die Konfigurationsseite für Ihren Drahtloszugriffspunkt. Ändern Sie die Passphrase 

für das Netzwerk.


2. Auf Ihrem Windows 7-Computer zeigt nun das Netzwerksymbol an, dass der Computer 

keine Verbindung mehr hat. Klicken Sie auf das Netzwerksymbol und dann auf Contoso. 

Klicken Sie auf Verbinden. 

Der Assistent Verbindung mit einem Netzwerk herstellen wird gestartet. 

3. Das Dialogfeld Verbindung mit einem Netzwerk herstellen zeigt eine Fehlermeldung an. 

Klicken Sie auf Probleme behandeln. 

Die Windows-Netzwerkdiagnose versucht, das Problem zu identifizieren. 

4. Folgen Sie den Anweisungen der Windows-Netzwerkdiagnose. Klicken Sie auf Ausführliche 

Informationen anzeigen, um sich den Problembehandlungsbericht anzusehen. Lesen 

Sie sich die detaillierten Informationen durch. 

5. Weil die Windows-Netzwerkdiagnose nicht in der Lage war, das Problem zu beseitigen, 

müssen Sie das Drahtlosprofil von Hand löschen und neu erstellen. Klicken Sie auf das 

Netzwerksymbol in der Taskleiste und wählen Sie den Befehl Netzwerk- und Freigabecenter 

öffnen. 

6. Klicken Sie im linken Fensterabschnitt auf Drahtlosnetzwerke verwalten. 

7. Klicken Sie im Fenster Drahtlosnetzwerke verwalten mit der rechten Maustaste auf 

Contoso, wählen Sie den Befehl Netzwerk entfernen und klicken Sie auf Ja. Stattdessen 

könnten Sie auch die Netzwerkeigenschaften bearbeiten und die Passphrase auf der 

Registerkarte Sicherheit von Hand ändern. 

8. Klicken Sie auf Ihrem Windows 7-Computer auf das Netzwerksymbol in der Taskleiste, 

dann auf Contoso und schließlich auf Verbinden. 

Das Dialogfeld Verbindung mit einem Netzwerk herstellen wird geöffnet. 

9. Geben Sie den Sicherheitsschlüssel ein und klicken Sie auf OK. 

Öffnen Sie nun den Internet Explorer und prüfen Sie, ob Sie über Ihre Drahtlosverbindung 

auf das Internet Zugriff haben. 


Bei Drahtlosnetzwerken kommunizieren Computer über Funksignale statt über ein 

Ethernetkabel. Drahtlosnetzwerke sind komplexer als Kabelnetzwerke, weil es mehrere 

Sicherheitsstandards gibt und die Signalstärke schwankt. 

Windows 7 enthält eine neue Benutzeroberfläche, um die Verbindung zu Drahtlosnetzwerken 

herzustellen. In Windows 7 brauchen Benutzer lediglich auf das Netzwerksymbol 

in der Taskleiste zu klicken und ein verfügbares Netzwerk auszuwählen. 

Wenn sich Netzwerkeinstellungen ändern, können Sie das Tool Drahtlosnetzwerke verwalten 

der Systemsteuerung verwenden, um sie zu aktualisieren. 

Mit dem Tool Drahtlosnetzwerke verwalten der Systemsteuerung können Sie auch die 

Priorität von Drahtlosnetzwerken ändern. Sind mehrere Drahtlosnetzwerke verfügbar, 

stellt Windows 7 eine Verbindung zu dem Netzwerk mit der höchsten Priorität her. 

Windows 7 unterstützt mehrere Netzwerksicherheitstypen: Offen (verwendet keine 

Sicherheit); WEP, WPA-PSK und WPA2-PSK (verwenden einen statischen Schlüssel für 

Authentifizierung und Verschlüsselung); sowie WPA-EAP und WPA2-EAP (verwenden 

einen RADIUS-Server für die Authentifizierung). Außerdem können Sie Drahtlosclients,


die unter Windows 7 laufen, so konfigurieren, dass sie offene Sicherheit bei 802.1X- 

Netzwerkauthentifizierung verwenden. 

Das häufigste Drahtlosnetzwerkproblem besteht darin, dass der WLAN-Sender eines 

mobilen Computers ausgeschaltet wurde. Das lässt sich lösen, indem Sie den Sender 

wieder einschalten. Weitere häufige Probleme sind geringe Signalstärke, schlechte Netzwerkleistung, 

Inkompatibilitäten und Drahtlosnetzwerkeinstellungen, die geändert wurden, 

seit das Netzwerk erstmals konfiguriert wurde. 

Sie können im Protokoll Anwendungs- und Dienstprotokolle\Microsoft\Windows\WLAN- 

AutoConfig\Betriebsbereit feststellen, zu welchen Netzwerken ein Benutzer Verbindungen 

hergestellt hat und welche Probleme dabei aufgetreten sind. 



für Drahtlosnetzwerke«, überprüfen. Die Fragen finden Sie (in englischer 

Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im Rahmen 

eines Übungstests beantworten. 




1. Ein Benutzer beschwert sich darüber, dass die Verbindung fehlgeschlagen ist, als er versucht 

hat, eine Verbindung zu einem Drahtlosnetzwerk herzustellen. Er hat keinerlei 

Details zur Verbindung notiert. In welchem Protokoll finden Sie Details zu diesem Verbindungsversuch? 

A. Anwendungs- und Dienstprotokolle\Microsoft\Windows\Diagnostics-Networking\ 

Betriebsbereit 

B. System 

C. Anwendungs- und Dienstprotokolle\Microsoft\Windows\Wired-AutoConfig\ 


D. Anwendungs- und Dienstprotokolle\Microsoft\Windows\WLAN-AutoConfig\ 


2. Sie versuchen, eine Verbindung zu einem Drahtlosnetzwerk herzustellen, indem Sie auf 

das Netzwerksymbol in der Taskleiste klicken. Aber Windows 7 erkennt überhaupt keine 

Drahtlosnetzwerke in der Umgebung. Sie sehen, dass jemand neben Ihnen sitzt, der eine 

Verbindung zu einem Drahtlosnetzwerk hat. Sie stellen sicher, dass der Geräte-Manager 

eine Drahtlosnetzwerkkarte im Knoten Netzwerkadapter auflistet. Welche der folgenden 

Ursachen könnten für das Problem verantwortlich sein? (Wählen Sie alle zutreffenden 


A. Sie haben keine Drahtlosnetzwerkkarte installiert. 

B. Ihr WLAN-Sender wurde auf der Hardwareebene ausgeschaltet.


C. Das Drahtlosnetzwerk ist so konfiguriert, dass es keine SSID (Service Set Identifier) 

aussendet. 

D. Das Drahtlosnetzwerk ist geschützt und Ihnen wurde kein Zugriff gewährt. 

3. Welcher der folgenden Sicherheitstypen für Drahtlosnetzwerke erfordert zusätzliche 

Infrastrukturserver, um die Benutzer zu authentifizieren? 

A. WEP 

B. WPA-PSK 

C. WPA-EAP 

D. WPA2-PSK 



vertiefen: 









Windows 7 stellt die Windows-Netzwerkdiagnose zur Verfügung, ein Tool, das häufig 

vorkommende Netzwerkprobleme automatisch diagnostizieren kann. Die Windows- 

Netzwerkdiagnose sollte immer Ihre erste Anlaufstelle bei einer Problembehandlung 

sein. Wenn Sie das Problem auf diese Weise nicht identifizieren konnten, können Sie 

Ping, PathPing, PortQry und Nslookup verwenden, um festzustellen, ob es sich um ein 

Netzwerkverbindungsproblem, ein Anwendungsverbindungsproblem oder ein Namensauflösungsproblem 

handelt. 

Namensauflösungsprobleme untersuchen Sie, indem Sie sich mit Ipconfig die aktuelle 

Konfiguration ansehen und mit Nslookup von Hand DNS-Abfragen an den DNS-Server 

senden. Hat ein Administrator einen DNS-Eintrag verändert, den Sie vor Kurzem abgefragt 

haben, können Sie den Befehl ipconfig /flushdns ausführen, um den DNS-Cache 

zu löschen. 

Probleme bei Drahtlosnetzwerken haben oft mit der Signalstärke, Sicherheitsschlüsseln 

und Adaptereinstellungen zu tun. Windows 7 stellt eine bequeme Benutzeroberfläche 

bereit, um Verbindungen zu Drahtlosnetzwerken herzustellen. Tauchen bei einem Benutzer 

Probleme auf, kann die Windows-Netzwerkdiagnose sie oft diagnostizieren oder 

beseitigen. In anderen Fällen müssen Sie unter Umständen das Drahtlosnetzwerkprofil 

löschen, damit Windows es automatisch neu anlegt, sobald Sie das nächste Mal eine 

Verbindung zum Drahtlosnetzwerk aufbauen.


Schlüsselbegriffe 99 



APIPA (Automatic Private IP Address) 

Hotspot 

Latenz 

Namensauflösung 

SSID (Service Set Identifier) 

WEP (Wired Equivalent Protection) 

WPA (Wi-Fi Protected Access) 


In den folgenden Übungen mit Fallbeispiel wenden Sie an, was Sie über das Behandeln von 

Netzwerkproblemen gelernt haben. Die Lösungen zu den Fragen finden Sie im Abschnitt 

»Antworten« hinten in diesem Buch. 

Übung mit Fallbeispiel 1: Behandeln eines Netzwerkproblems 

Sie arbeiten als Desktopsupporttechniker für Contoso Pharmaceuticals. Vor Kurzem haben 

Sie geholfen, 20 Windows 7-Computer in einer neuen Niederlassung in Tulsa, Oklahoma, 

bereitzustellen. Einer der Benutzer, Gordon L. Hee, ruft Sie wegen eines besonders subtilen 

Netzwerkproblems an: »Mein Netzwerk geht nicht.« 

Fragen 

1. Welchen Schritt sollte Gordon als Erstes unternehmen? 

2. Wie können Sie feststellen, ob das Problem beim lokalen Netzwerk oder dem WAN 

(Wide Area Network) liegt? 

3. Wie können Sie feststellen, ob es sich um ein Namensauflösungsproblem handelt? 

Übung mit Fallbeispiel 2: Problembehandlung beim Verbindungsaufbau zu 

einem Drahtlosnetzwerk 

Sie sind Desktopsupporttechniker bei City Power & Light. Sie bekommen einen Anruf von 

Parry Bedi, die versucht, eine Verbindung zum Drahtlosnetzwerk am Flughafen herzustellen, 

aber Probleme hat. Parry kann die Verbindung zum Netzwerk aufbauen, aber die Verbindung 

scheint nicht stabil zu sein. Der Download der E-Mails ist sehr langsam und gelegentlich 

bricht die Verbindung völlig zusammen. 

Fragen 

1. Was ist wahrscheinlich die Ursache für Parrys Problem und wie kann Parry sie beseitigen? 

2. Welche anderen Ursachen kann Parrys Problem haben?





Untersuchen und Beseitigen von Problemen mit der Netzwerkkonnektivität 

Die Problembehandlung erfordert eine Menge praktische Erfahrung. Dieses Kapitel stellt 

zwar Konzepte und Tools vor, aber letztlich erwerben Sie nur durch Übung die Fähigkeiten, 

die Sie brauchen, um Netzwerkverbindungsprobleme zu beseitigen und die Prüfung zu bestehen. 

Arbeiten Sie so viele dieser Übungen durch wie möglich, um Ihre Problembehandlungsfähigkeiten 

zu erweitern. 

Übung 1 Besuchen Sie http://social.answers.microsoft.com/Forums/de-DE/category/ 

windows7 und suchen Sie die Newsgroup »Netzwerke, E-Mail und Onlineverbindungen«. 

Lesen Sie die Nachrichten durch, um festzustellen, wie die Teilnehmer ihre unterschiedlichen 

Netzwerkprobleme gelöst haben. 

Übung 2 Stellen Sie getrennte Verbindungen zu Ihren Heim- und Unternehmensnetzwerken 

her. Sehen Sie sich jeweils die Netzwerkkonfiguration an. Wird DHCP oder eine 

manuelle IP-Adressierung verwendet? Steht mehr als ein DNS-Server zur Verfügung? 

Wie lautet die IP-Adresse Ihres Standardgateways? 

Übung 3 Versuchen Sie, Ihr Standardgateway, Ihren DNS-Server und diverse Computer 

in Ihrem lokalen Netzwerk sowie Webserver im Internet mit Ping zu erreichen. 

Welche davon antworten auf Ping-Anforderungen, welche ignorieren sie? 

Übung 4 Verwenden Sie statt PathPing das Tool Tracert für Ihre Problembehandlung. 

PathPing ist zwar leistungsfähiger, aber für die Prüfung müssen Sie auch Tracert kennen. 

Übung 5 Stellen Sie mit Ipconfig fest, welche IP-Adresse Ihr DHCP-Server hat, und 

notieren Sie sich, seit wann Sie Ihre IP-Adresse haben. Testen Sie den DHCP-Server mit 

Ping. 

Übung 6 Sehen Sie sich mit Ipconfig Ihre aktuelle IP-Adresse an. Rufen Sie dann 

Ipconfig auf, um Ihre IP-Adresse freizugeben und eine neue anzufordern. Haben Sie 

dieselbe IP-Adresse erhalten oder eine andere? 

Übung 7 Lassen Sie von einem Kollegen eines der folgenden Netzwerkprobleme auslösen. 

Verwenden Sie dann die in Windows 7 eingebauten Tools, um das Problem zu 

diagnostizieren und zu reparieren: 

Das LAN-Kabel des Computers ist abgezogen. 

Die Drahtlosnetzwerkkarte ist ausgeschaltet (über den Hardwareschalter des Notebooks). 

Die Netzwerkkarte ist deaktiviert. 

Der Router hat keine Verbindung mit dem Internet. 

Der DNS-Server ist nicht verfügbar oder falsch konfiguriert. 

Das Standardgateway ist offline.

Untersuchen und Beseitigen von Namensauflösungsproblemen 

Vorgeschlagene Übungen 101 

Die Namensauflösung ist ein umfangreiches Thema. Dieses Kapitel hat sich auf Probleme 

mit der DNS-Namensauflösung konzentriert, die in der Prüfung 70-685 am wahrscheinlichsten 

behandelt werden. Wenn Sie sich tiefer in die Namensauflösung einarbeiten, hilft Ihnen 

das sowohl bei der Prüfung als auch bei der Problembehandlung an Ihrem Arbeitsplatz. 

Arbeiten Sie so viele dieser Übungen durch, wie Sie schaffen. 

Übung 1 Fragen Sie mit Nslookup mehrere Hostnamen ab: www.microsoft.com, www. 

conotoso.com und not-valid.contoso.com. 

Übung 2 Suchen Sie mit Nslookup nach dem Mailserver einer Domäne. Führen Sie 

den Befehl nslookup -type=mx microsoft.com aus, um den Standardmailserver von 

Microsoft abzufragen. Recherchieren Sie im Internet die Bedeutung von MX-Einträgen 

und anderen Arten von DNS-Einträgen. 

Übung 3 Machen Sie sich mit der Bedienung von Nslookup im interaktiven Modus 

vertraut, indem Sie Nslookup in einer Eingabeaufforderung ohne jegliche Argumente 

aufrufen. Geben Sie dann den Befehl help ein. 

Übung 4 Suchen Sie im Internet, insbesondere auf http://technet.microsoft.com, nach 

Informationen über die NetBIOS-Namensauflösung und WINS-Server. Üben Sie, wie 

Sie mit Nbtstat den lokalen Cache für NetBIOS-Namen anzeigen. 

Untersuchen und Beseitigen von Problemen mit Drahtlosverbindungen 

Arbeiten Sie mindestens die ersten beiden Übungen durch, um mehr Erfahrung bei der Problembehandlung 

für Drahtlosverbindungen zu sammeln. Sofern Sie genug Zeit haben und 

mehr über den Einsatz von Drahtlosnetzwerken in der Praxis erfahren wollen, können Sie 

auch die Übungen 3 und 4 durcharbeiten. 

Übung 1 Stellen Sie auf einem mobilen Computer eine Verbindung zu einem Drahtlosnetzwerk 

her. Öffnen Sie eine Eingabeaufforderung und führen Sie den Befehl ping -t 

gateway aus, um unbegrenzt Ping-Anforderungen an Ihr Standardgateway zu schicken. 

Die Ping-Schleife ermöglicht Ihnen zu beobachten, ob Sie mit dem LAN verbunden 

sind. Bewegen Sie sich jetzt vom Drahtloszugriffspunkt weg. Wie weit kommen Sie, 

bevor Sie die Verbindung verlieren? Wie verhält sich Windows 7 dabei? 


windows7 und suchen Sie die Newsgroup »Netzwerke, E-Mail und Onlineverbindungen«. 

Lesen Sie die Nachrichten durch, um festzustellen, wie die Teilnehmer ihre unterschiedlichen 

Probleme mit Drahtlosnetzwerken gelöst haben. 

Übung 3 Besuchen Sie ein Internetcafé, einen Flughafen oder ein Hotel mit einem 

öffentlichen WLAN-Hotspot. Versuchen Sie, eine Verbindung ins Internet herzustellen. 

Müssen Sie sich authentifizieren oder eine Nutzungsvereinbarung akzeptieren? 

Übung 4 Suchen Sie im Internet nach Tools, die dazu dienen, WEP oder WPA-PSK zu 

knacken. Wie einfach sind sie zu benutzen? Sofern Sie kompatible Hardware haben (die 

meisten Geräte unterstützen keine Crackversuche), können Sie versuchen, Ihr privates 

Drahtlosnetzwerk zu knacken. Wie lange brauchen Sie dazu?






Inhalt der Prüfung 70-685 testen. Sie können den Test so konfigurieren, dass er dem 

Ablauf einer echten Prüfung entspricht, oder Sie können einen Lernmodus verwenden, in 

dem Sie sich nach dem Beantworten einer Frage jeweils sofort die richtige Antwort und 

Erklärungen ansehen können. 





Drucker 

Drucker schlagen die Brücke zwischen der virtuellen und der physischen Welt. Sie ermöglichen 

es den Benutzern anzufassen, was sie auf ihren Computern erstellt haben. Die meisten 

Benutzer drucken nur die wichtigsten Dokumente aus, daher muss sichergestellt sein, dass 

die Drucker funktionieren, wenn sie gebraucht werden. Muss ein Benutzer 20 Minuten vor 

einem wichtigen Meeting unbedingt seine Präsentation ausdrucken, wird aber durch einen 

Fehler aufgehalten, müssen Sie in der Lage sein, das Problem schnell zu finden und zu beseitigen. 

Damit die Benutzer produktiv arbeiten können, müssen Sie wissen, wie Sie freigegebene 

Drucker konfigurieren und Probleme damit beseitigen. Dieses Kapitel zeigt, wie Sie häufige 

Probleme mit Druckertreibern, -freigaben und -hardware behandeln. 


Untersuchen und Beseitigen von Netzwerkdruckerproblemen 

Lektion in diesem Kapitel: 

Lektion 1: Problembehandlung für Netzwerkdrucker . ...................... 105 






Konfigurieren und Verwalten von Druckern 



103

104 Kapitel 3: Drucker 

Praxistipp 

Tony Northrup 

Ganze Kapitel in diesem Buch beschäftigen sich ausschließlich mit der Behandlung von 

Hardware- und Netzwerkproblemen. Warum bekommen Netzwerkdrucker also ein eigenes 

Kapitel? Schließlich müsste die Problembehandlung für Netzwerkdrucker doch eine 

Kombination aus Problembehandlung für Netzwerk und Hardware sein. 

Auch wenn es nicht immer ganz logisch ist, behandelt Windows 7 Drucker ganz anders 

als die sonstigen Hardwarekomponenten. Erstens finden Sie keinen Knoten für Drucker 

im Geräte-Manager. Stattdessen müssen Sie das Eigenschaftendialogfeld eines Druckers 

öffnen, um seine Treiber zu ändern. Zweitens können Standardbenutzer die meisten Treibertypen 

nicht installieren, aber es ist ihnen erlaubt, Druckertreiber zu installieren (sofern 

der Administrator es nicht verhindert). Drucker sind auch die einzigen Hardwarekomponenten, 

die üblicherweise im gesamten Netzwerk freigegeben sind. 

Abgesehen davon, dass Windows 7 Druckern einen Sonderstatus einräumt, verdienen sie 

auch deshalb ein eigenes Kapitel, weil sie viel mehr Supportanfragen verursachen als 

andere Hardwaretypen. Viele mobile Benutzer greifen regelmäßig auf unterschiedliche 

Drucker zu, je nachdem, ob sie gerade zuhause, im Büro oder in einem Hotel sind. Jeder 

Drucker benötigt eine neue Verbindung und eigene Treiber. Drucker erfordern auch eine 

wesentlich aufwendigere Wartung als andere Hardwarekomponenten, weil ihnen regelmäßig 

Papier oder Tinte ausgehen und die komplexen beweglichen Teile häufiger Defekte 

verursachen als bei anderen Hardwarekomponenten.

Lektion 1: Problembehandlung für Netzwerkdrucker 105 

Lektion 1: Problembehandlung für Netzwerkdrucker 

Diese Lektion beschreibt, welche Abläufe und Tools Sie einsetzen, um komplexe Probleme 

mit freigegebenen Druckern zu behandeln. Dazu zählen beispielsweise ausgefallene Dienste, 

ungültige Treiber, Probleme mit der Firewallkonfiguration und Netzwerkausfälle. Bei einfacheren 

Problemen macht Windows 7 die Problembehandlung so simpel, dass keine Anleitung 

erforderlich ist. Geht einem Drucker etwa das Papier aus, informiert Windows 7 einfach 

den Benutzer. Und wenn einem Benutzer die Privilegien zum Drucken fehlen, zeigt 

Windows 7 eine Fehlermeldung an, die das Problem beschreibt. 

In dieser Lektion wird vorausgesetzt, dass Sie bereits wissen, wie Sie Drucker in Windows 7 

und Windows Server 2008 R2 konfigurieren und verwalten. 


Verwenden des Problembehandlungsmoduls für Drucker, das in Windows 7 eingebaut ist 

Untersuchen von Druckerereignissen im Ereignisprotokoll 

Konfigurieren von Gruppenrichtlinieneinstellungen, um die Problembehandlung für 

Drucker zu unterstützen 

Behandeln von Problemen mit einem Druckserver 

Behandeln von Problemen mit Druckertreibern 

Behandeln von Problemen beim Herstellen einer Verbindung zu Druckern im Netzwerk 


Verwenden des Problembehandlungsmoduls Drucker 

Windows stellt ein integriertes Problembehandlungsfeature für die Diagnose von Problemen 

im Zusammenhang mit Druckern bereit. Das Problembehandlungsmodul ist so entworfen, 

dass es von normalen Benutzern bedient werden kann, aber es ist auch für Systemadministratoren 

der beste Ausgangspunkt, um ein Druckerproblem zu untersuchen. 

Wenn Sie Schwierigkeiten haben, eine Verbindung zu einem freigegebenen Drucker herzustellen, 

sollten Sie folgendermaßen vorgehen, um das Problembehandlungsmodul Drucker zu 

öffnen: 

1. Klicken Sie im Startmenü auf Systemsteuerung. 

2. Klicken Sie auf System und Sicherheit. 

3. Klicken Sie unter Wartungscenter auf Problembehandlung für allgemeine Computerprobleme. 

4. Klicken Sie unter Hardware und Sound auf Drucker verwenden. 

5. Das Problembehandlungsmodul Drucker öffnet sich und versucht, das Problem zu diagnostizieren. 

Folgen Sie den angezeigten Anweisungen. 

6. Klicken Sie auf der Seite Computerprobleme behandeln und Computerproblemen vorbeugen 

auf Weiter. 

7. Klicken Sie auf der Seite Für welchen Drucker möchten Sie eine Problembehandlung 

durchführen? auf Mein Drucker ist nicht aufgeführt. Klicken Sie auf Weiter.


8. Wählen Sie die Optionen aus, die vermutlich Ihr Problem betreffen. 

Haben Sie Schwierigkeiten beim Ausdrucken auf einem vorhandenen Drucker, sollten Sie 

das Problembehandlungsmodul Drucker folgendermaßen ausführen: 

1. Klicken Sie im Startmenü auf Geräte und Drucker. 

2. Klicken Sie mit der rechten Maustaste auf den Drucker und wählen Sie den Befehl Problembehandlung. 

Das Problembehandlungsmodul Drucker öffnet sich und versucht, das Problem zu diagnostizieren. 

3. Folgen Sie den angezeigten Anweisungen. 

Das Problembehandlungsmodul Drucker ist in der Lage, folgende Probleme zu erkennen: 

Es ist kein physischer Drucker installiert. 

Ein neuer Drucker wurde noch nicht erkannt. 

Der Drucker ist nicht der Standarddrucker. 

Der Drucker ist nicht freigegeben. 

Der Drucker hat kein Papier mehr. 

Beim Drucker ist der Toner aus. 

Beim Drucker ist ein Papierstau aufgetreten. 

Der Druckertreiber muss aktualisiert werden. 

Der Drucker ist ausgeschaltet. 

Ein Druckauftrag verhindert, dass andere Druckaufträge abgearbeitet werden. 

Der Dienst Druckwarteschlange läuft nicht oder verursacht einen Fehler. 

Wie in Abbildung 3.1 zu sehen, kann das Problembehandlungsmodul Drucker einige Konfigurationsprobleme 

automatisch reparieren (dazu sind allerdings oft Administratorprivilegien 

nötig). 

Abbildung 3.1 Das Problembehandlungsmodul Drucker 

kann einige Probleme automatisch beseitigen

Überwachen von Druckerereignissen 


Windows 7 zeichnet Druckerereignisse im Ereignisprotokoll Anwendungs- und Dienstprotokolle\Microsoft\Windows\PrintService\Administrator 

auf. Häufige Ereignisse sind: 

Ändern des Standarddruckers 

Fehler beim Initialisieren eines neuen Druckers oder Treibers 

Fehler beim Versuch, eine Verbindung zu einem Netzwerkdrucker herzustellen 

Fehler beim Versuch, einen Drucker freizugeben 

Windows 7 kann Ereignisse in das Sicherheitsereignisprotokoll schreiben, wenn Benutzer 

zum ersten Mal eine Verbindung zu einem Drucker herstellen. Damit in diesen Fällen ein 

Ereignis aufgezeichnet wird, müssen Sie mithilfe von Gruppenrichtlinien die Erfolgs- oder 

Fehlerüberwachung für die Richtlinie Anmeldeereignisse überwachen im Knoten Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\LokaleRichtlinien\Überwachungsrichtlinie 

aktivieren. 

Windows 7 bietet keine Unterstützung zum Überwachen, wann Benutzer Dokumente ausdrucken 

oder Drucker verwalten. Windows Server 2008 R2 unterstützt allerdings die Objektüberwachung 

für Drucker. Aktivieren Sie dazu erst die Erfolgs- oder Fehlerüberwachung für 

die Richtlinie Objektzugriffsversuche überwachen im Knoten Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale 

Richtlinien\Überwachungsrichtlinie. 

Gehen Sie folgendermaßen vor, um die Überwachung des Druckers zu aktivieren: 


2. Klicken Sie mit der rechten Maustaste auf den Drucker und wählen Sie den Befehl 

Druckereigenschaften. 

Das Dialogfeld Druckereigenschaften erscheint. 

3. Klicken Sie auf der Registerkarte Sicherheit auf Erweitert. 

Das Dialogfeld Erweiterte Sicherheitseinstellungen wird geöffnet. 

4. Klicken Sie auf der Registerkarte Überwachung auf Hinzufügen. 

Das Dialogfeld Benutzer, Computer, Dienstkonto oder Gruppe auswählen wird geöffnet. 

5. Geben Sie den Namen des Benutzers oder der Gruppe ein, die Sie überwachen wollen, 

und klicken Sie auf OK. 

Das Dialogfeld Überwachungseintrag wird geöffnet. 

6. Wählen Sie die Erfolgs- oder Fehlerüberwachung für die unterschiedlichen Zugriffstypen 

aus (Abbildung 3.2). Klicken Sie dreimal auf OK. 

Ab jetzt zeichnet Windows Server 2008 R2 Ereignisse im Sicherheitsereignisprotokoll auf, 

wenn Benutzer der angegebenen Gruppe die ausgewählten Zugriffsarten ausführen.


Abbildung 3.2 Windows 7 unterstützt keine Druckerüberwachung, 

Windows Server 2008 R2 bietet aber diese Möglichkeit 

Gruppenrichtlinieneinstellungen für die Problembehandlung 

Windows 7 stellt im Knoten Computerkonfiguration\Administrative Vorlagen\Drucker viele 

Gruppenrichtlinieneinstellungen zur Verfügung, die Ihnen helfen, das Verhalten von Druckern 

und Druckertreibern zu konfigurieren. Außerdem können Sie Clientcomputer so konfigurieren, 

dass sie automatisch eine Verbindung zu einem freigegebenen Drucker herstellen, 

indem Sie den Drucker zu den Knoten Computerkonfiguration\Windows-Einstellungen\ 

Bereitgestellte Drucker oder Benutzerkonfiguration\Windows-Einstellungen\Bereitgestellte 

Drucker hinzufügen. 

Weil sich die Prüfung 70-685 auf die Problembehandlung konzentriert, beschreibt dieses 

Buch keine Gruppenrichtlinieneinstellungen, mit denen Drucker bereitgestellt oder verwaltet 

werden. Die folgenden Gruppenrichtlinieneinstellungen sind aber oft für die Problembehandlung 

von Druckern auf Windows 7-Computern nützlich: 

Druckertreiber in isolierten Prozessen ausführen In der Standardeinstellung hält die 

Druckwarteschlange alle Druckertreiber in einem eigenen Prozess. So funktioniert die 

Druckwarteschlange auch dann, wenn ein Druckertreiber abstürzt. Die Standardeinstellung 

eignet sich für die Problembehandlung am besten, aber wenn Sie feststellen, dass 

die Druckwarteschlange abstürzt, sollten Sie sicherstellen, dass diese Einstellung nicht 

deaktiviert wurde. 

Vom Druckertreiber gemeldete Kompatibilitätseinstellung zur Ausführung des 

Druckertreibers außer Kraft setzen Druckertreiber enthalten ein Kompatibilitätsflag 

für die Treiberisolation, das festlegt, ob der Druckertreiber in einem anderen Prozess als 

die Druckwarteschlange laufen soll. Wenn Sie diese Einstellung aktivieren (in der Standardeinstellung 

ist sie deaktiviert), führt die Druckwarteschlange alle Druckertreiber in 

einem separaten Prozess aus, unabhängig davon, welchen Wert ihr Kompatibilitätsflag 

für die Treiberisolation hat. Wenn Sie feststellen, dass die Druckwarteschlange abstürzt, 

sollten Sie diese Einstellung aktivieren.


Annahme von Clientverbindungen zum Druckspooler erlauben Diese Einstellung 

verhindert, dass ein Computer als Druckserver agiert. Wenn Probleme beim Freigeben 

eines Druckers auftauchen, sollten Sie sicherstellen, dass diese Einstellung aktiviert ist 

(das ist der Standardwert). 

Behandeln von Serverproblemen 

In privaten Umgebungen schließen die Benutzer ihre Drucker normalerweise über ein USB- 

Kabel (Universal Serial Bus) an den Computer an. In Unternehmensumgebungen werden 

Drucker oft von vielen Benutzern gemeinsam verwendet. Um viele unterschiedliche Benutzer 

mit einem Drucker verbinden zu können, müssen die Drucker im Netzwerk zur Verfügung 

stehen. Es gibt zwei verbreitete Methoden, einen Drucker im Netzwerk freizugeben: 

Den Drucker direkt an das Netzwerk anschließen Drucker müssen dazu netzwerkfähig 

sein, also einen Ethernetanschluss oder einen Drahtlosadapter haben. 

Anschließen des Druckers an einen Computer und Freigeben im Netzwerk In diesem 

Fall wird der Computer, an den der Drucker direkt angeschlossen ist, zum Druckserver. 

Alle neueren Client- und Serverversionen von Microsoft Windows sind in der 

Lage, als Druckserver zu agieren. 

Entscheiden, ob ein Druckserver verwendet wird 

Wenn Sie einen Drucker direkt an das Netzwerk anschließen, kann das die Anschaffungskosten 

senken, weil Sie keinen Server kaufen oder konfigurieren müssen. Außerdem fällt ein 

Drucker, der direkt ans Netzwerk angeschlossen ist, nicht aus, wenn ein Server offline geht. 

Abhängig von den Verwaltungsfunktionen des vernetzten Druckers ist ein direkter Anschluss 

an das Netzwerk unter Umständen die beste Wahl für Ihre Umgebung. Es hat aber auch 

mehrere Vorteile, wenn Sie einen Computer als Druckserver konfigurieren: 

Integration in die Windows-Sicherheit Wenn Sie einen Drucker in Windows freigeben, 

können Sie konfigurieren, welche AD DS-Konten (Active Directory Domain 

Services) Zugriff auf den Drucker haben oder unterschiedliche Verwaltungsfunktionen 

ausführen dürfen. 

Integration in die AD DS-Suche Sie können Drucker in Ihrem AD DS veröffentlichen, 

sodass die Benutzer nach dem Drucker suchen können, der ihrem Standort am 

nächsten ist. 

Automatische Installation von Druckertreibern Windows-Druckserver können 

Druckertreiber für Clientcomputer zur Verfügung stellen, sobald sie das erste Mal eine 

Verbindung herstellen. Das vereinfacht die Verwaltung. 

Integration in Unternehmensverwaltungstools Probleme beim Drucken generieren 

Ereignisse im Ereignisprotokoll, die Sie mithilfe verbreiteter Unternehmensverwaltungstools 

wie Microsoft Systems Center Operations Manager verwalten können. 

Anforderungen an einen Druckserver 

Damit ein Computer Drucker freigeben kann, muss er zwei Dienste ausführen: 

Server Dieser Dienst wird gebraucht, um Dateien oder Drucker über das Netzwerk 

freizugeben. 

Druckwarteschlange Dieser Dienst ist für das Drucken erforderlich.


Clientcomputer, die eine Verbindung zum freigegebenen Drucker herstellen wollen, müssen 

den Arbeitsstationsdienst und den Druckwarteschlangendienst ausführen. Startet ein erforderlicher 

Dienst nicht, sollten Sie überprüfen, ob alle anderen Dienste laufen, von denen 

dieser Dienst abhängig ist. Sehen Sie sich dann die Ereignisse im Systemereignisprotokoll 

und im Ereignisprotokoll Anwendungs- und Dienstprotokolle\Microsoft\Windows\Print- 

Service\Administrator an. 

Freigeben eines Druckers 

In Windows Server 2008 R2 oder Windows 7 gehen Sie folgendermaßen vor, um einen freigegebenen 

Drucker zu verwalten: 


2. Klicken Sie mit der rechten Maustaste auf den Drucker und wählen Sie den Befehl Druckereigenschaften. 

Wählen Sie nicht Eigenschaften, der Befehl Druckereigenschaften 

befindet sich in der Mitte des Kontextmenüs. 

3. Aktivieren Sie auf der Registerkarte Freigabe das Kontrollkästchen Drucker freigeben. 

Sie haben nun drei weitere Möglichkeiten zur Auswahl: 

Aktivieren Sie das Kontrollkästchen Druckauftragsaufbereitung auf Clientcomputern 

durchführen, um den Prozessor des Servers zu entlasten. Dadurch zwingen Sie den 

Client, einen größeren Teil der Druckaufbereitung selbst zu erledigen. Sofern Ihr 

Druckserver mehr Rechenleistung besitzt als die Clientcomputer und die Druckleistung 

nicht leidet, können Sie dieses Kontrollkästchen deaktivieren. 

Wenn Sie in einer AD DS-Umgebung arbeiten, können Sie das Kontrollkästchen In 

Verzeichnis auflisten aktivieren. Daraufhin wird der Drucker in AD DS veröffentlicht, 

sodass Benutzer nach einem Drucker suchen können, der sich nahe an ihrem Standort 

befindet. 

Klicken Sie auf Zusätzliche Treiber, um andere Prozessortypen auszuwählen, für die 

Treiber gespeichert werden sollen. Clients können einen Treiber automatisch vom 

Server herunterladen, sofern der passende Treibertyp verfügbar ist. Wenn Sie auf OK 

klicken, werden Sie unter Umständen aufgefordert, den Pfad zum Speicherort des 

Treibers anzugeben. Klicken Sie auf OK. 

Verwalten von Druckaufträgen für einen Drucker 

Gehen Sie in Windows Server 2008 R2 oder Windows 7 folgendermaßen vor, um einen freigegebenen 

Drucker zu verwalten: 


2. Klicken Sie doppelt auf den Drucker, den Sie verwalten wollen. 

3. Klicken Sie auf Druckaufträge anzeigen. 

4. Windows zeigt die Druckerwarteschlange an, eine Sammlung der Dokumente, die auf 

den Ausdruck warten. Sie können mit der rechten Maustaste auf ein beliebiges Dokument 

klicken und die Befehle Anhalten, Neu starten oder Abbrechen wählen.

Problembehandlung für die Druckerwarteschlange 


Wenn Sie ein Dokument haben, das hartnäckig in der Druckerwarteschlange verbleibt, können 

Sie es löschen, indem Sie den Dienst Druckwarteschlange neu starten. Dafür können Sie 

den Knoten Dienste im Fenster Computerverwaltung verwenden oder in einer administrativen 

Eingabeaufforderung die Befehle net stop spooler und net start spooler ausführen. Wollen 

Sie den Dienst Druckwarteschlange in einem einzigen Befehl neu starten, können Sie 

net stop spooler && net start spooler eingeben. 

Lassen sich unerwünschte Dokumente nicht aus der Druckerwarteschlange entfernen, obwohl 

Sie die Druckwarteschlange neu starten, können Sie solche Dokumente folgendermaßen 

von Hand löschen: 

1. Beenden Sie erst den Dienst Druckwarteschlange, wie weiter oben in diesem Abschnitt 

beschrieben. 

2. Löschen Sie im Windows-Explorer alle Dateien im Ordner %WinDir%\System32\Spool\ 

Printers. Dieser Ordner enthält zwei Dateien für jedes Dokument, das in der Druckerwarteschlange 

steht: eine .shd- und eine .spl-Datei. 

3. Starten Sie den Dienst Druckwarteschlange wieder. 

Prüfungstipp 

Für die Prüfung müssen Sie die Bedeutung des Dienstes Druckwarteschlange kennen. Der 

Dienst muss sowohl auf dem Client als auch dem Server laufen, damit die Benutzer Dokumente 

ausdrucken oder Drucker verwalten können. Wenn Sie den Dienst Druckwarteschlange 

neu starten, wird die Druckerwarteschlange gelöscht; das beseitigt oft Probleme mit einem 

Dokument, das nicht ausgedruckt wird, und verhindert, dass andere Dokumente gedruckt 

werden. 

Behandeln von Treiberproblemen 

Treiber wickeln die Kommunikation zwischen Windows und Hardwarekomponenten ab. 

Beispielsweise hat Windows neben den Druckertreibern auch Treiber für Grafikkarten, 

Tastaturen, Mäuse und Monitore. Bei den meisten Hardwarekomponenten verwenden Sie 

den Geräte-Manager, um die zugehörigen Treiber zu verwalten. Bei Druckern müssen Sie 

dafür das Dialogfeld Druckereigenschaften verwenden. 

Aktualisieren eines Treibers für den Druckserver 

Wenn Sie eine Verbindung zu einem neuen Drucker herstellen, erkennt Windows 7 die neue 

Hardware und versucht, automatisch einen Treiber zu installieren. Verursacht dieser Standardtreiber 

Probleme, sollten Sie folgendermaßen einen anderen Treiber installieren: 


2. Klicken Sie mit der rechten Maustaste auf den Drucker, den Sie verwalten wollen, und 

wählen Sie den Befehl Druckereigenschaften. 

3. Klicken Sie auf der Registerkarte Erweitert auf Neuer Treiber, um einen Treiber hinzuzufügen. 

4. Der Assistent für die Druckertreiberinstallation leitet Sie durch den Vorgang. Sie haben 

die Wahl, ob Sie einen in Windows eingebauten Treiber verwenden, einen Treiber von


Windows Update herunterladen oder einen Treiber auswählen, den Sie auf der Festplatte 

gespeichert haben. 

Gelegentlich schlägt eine Treiberinstallation fehl, sodass der Drucker nicht mehr funktioniert. 

Am schnellsten können Sie den Treiber neu installieren, indem Sie folgendermaßen den 

ganzen Drucker neu installieren: 

1. Löschen Sie alle Dokumente aus der Druckerwarteschlange, wie im Abschnitt »Problembehandlung 

für die Druckerwarteschlange« weiter oben in dieser Lektion beschrieben. 

2. Löschen Sie den Drucker, indem Sie ihn mit der rechten Maustaste anklicken und den 

Befehl Gerät entfernen wählen. 

3. Öffnen Sie das Systemsteuerungselement Programm deinstallieren, um jegliche Software 

zu entfernen, die für den Drucker installiert wurde. 

4. Installieren Sie den Drucker neu, wobei Sie die neueste Treiberversion verwenden. 

Klicken Sie dazu im Fenster Geräte und Drucker auf Drucker hinzufügen und folgen Sie 

den angezeigten Anweisungen. 

Besteht das Problem weiterhin, obwohl Sie den Drucker neu installiert haben, müssen Sie 

unter Umständen von Hand Dateien löschen, die mit der Treiberinstallation zu tun haben. 


1. Beenden Sie erst den Dienst Druckwarteschlange. 

2. Wechseln Sie im Windows-Explorer in den Ordner %WinDir%\System32\Spool\Drivers\ 

W32x86\3\ (bei 32-Bit-Versionen von Windows) beziehungsweise %WinDir%\System32\ 

Spool\Drivers\x64\3\ (bei 64-Bit-Versionen). 

3. Löschen Sie in diesem Ordner alle Unterordner, deren Name eine Zahl ist. 

4. Starten Sie den Dienst Druckwarteschlange neu. 

Informationen über die Problembehandlung von Hardwarefehlern, die nicht durch Treiber 

verursacht werden, finden Sie in Kapitel 1, »Beseitigen von Hardwarefehlern«. 

Hinzufügen von Treibern für Clients, die auf freigegebene Drucker zugreifen 

Wenn Windows-Clients eine Verbindung zu einem neuen Drucker herstellen, können sie 

automatisch Treiber installieren, die auf dem Druckserver gespeichert sind. In der Standardeinstellung 

enthält der Druckserver nur die Treiber, die er selbst für das Drucken braucht. 

Ein 64-Bit-Druckserver, der unter Windows 7 läuft, hat also 64-Bit-Druckertreiber, aber 

keine 32-Bit-Treiber. Somit können 64-Bit-Clients, die unter Windows 7 laufen, die Treiber 

automatisch vom Druckserver installieren, aber 32-Bit-Clients müssen einen Treiber von 

Windows Update herunterladen oder den Benutzer auffordern, selbst passende Treiber 

bereitzustellen. 

Wenn Sie den Druckserver verwalten, haben Sie die Gelegenheit, Druckertreiber für andere 

Prozessorarchitekturen zu speichern. Dabei können Sie frei auswählen, für welche Druckermodelle 

Sie welche Treiber speichern. Beispielsweise können Sie einen 32-Bit-Druckertreiber 

zu einem 64-Bit-Druckserver hinzufügen, damit 32-Bit-Windows 7-Clients automatisch 

den für sie passenden Treiber herunterladen können.


Gehen Sie folgendermaßen vor, um Treiber für andere Prozessorarchitekturen zu speichern: 




3. Klicken Sie auf der Registerkarte Freigabe auf Zusätzliche Treiber. 

4. Wählen Sie im Dialogfeld Zusätzliche Treiber die Prozessorarchitekturen aus, für die Sie 

Treiber speichern möchten. In der Standardeinstellung stehen nur Treiber für die Prozessorarchitektur 

des Servers zur Verfügung. Klicken Sie auf OK. 

5. Wählen Sie im Dialogfeld Druckertreiber installieren den Pfad aus, in dem die Treiber 

liegen. Wenn Sie beispielsweise die 32-Bit-Version von Windows 7 einsetzen und automatisch 

Druckertreiber für Clients bereitstellen wollen, die unter der 64-Bit-Version von 

Windows 7 laufen, müssen Sie die 64-Bit-Version der Treiber herunterladen und in diesem 

Dialogfeld auswählen. Klicken Sie zweimal auf OK. 

Hinweis Suchen nach Treibern 

Sie können Windows-Treiber nicht direkt von der Windows 7-DVD nehmen, weil alle Systemdateien 

in der Datei \Sources\Install.wim zusammengefasst sind. Um sich den Inhalt 

einer .wim-Datei anzusehen, müssen Sie das Windows Automated Installation Kit (AIK; als 

kostenloser Download bei microsoft.com erhältlich) installieren und die .wim-Datei dann mit 

dem Befehlszeilentool ImageX als Ordner im Dateisystem bereitstellen. Zum Beispiel stellt 

der Befehl imagex /mount D:\sources\install.wim 1 C:\Win7 die Datei Install.wim im leeren 

Ordner C:\Win7 bereit. Stellt ein Hardwarehersteller nur ausführbare Dateien bereit, um 

seine Treiber zu installieren, können Sie die Treiber auf einem Clientcomputer installieren, 

der die passende Prozessorarchitektur hat, und ihn dann von diesem Computer kopieren. 

Gehen Sie folgendermaßen vor, um Treiber für beliebige Drucker zu speichern: 


2. Wählen Sie einen Drucker aus und klicken Sie in der Symbolleiste auf Druckerservereigenschaften. 

3. Klicken Sie im Dialogfeld Eigenschaften von Druckerserver auf der Registerkarte Treiber 

auf Hinzufügen. 

Der Assistent für die Druckertreiberinstallation wird gestartet. 

4. Klicken Sie auf der Seite Willkommen auf Weiter. 

5. Wählen Sie auf der Seite Prozessor- und Betriebssystemauswahl die Prozessorarchitekturen 

aus, für die Sie Treiber installieren wollen. Klicken Sie auf Weiter. 

6. Wählen Sie auf der Seite Druckertreiberauswahl die gewünschten Treiber aus der Liste 

der Treiber aus, die in Windows 7 enthalten sind. Wird ein benötigter Treiber hier nicht 

angeboten, können Sie ihn herunterladen und dann auf Datenträger klicken, um ihn auszuwählen. 

Klicken Sie auf Weiter. 


8. Geben Sie bei Bedarf einen Pfad für die Druckertreiber an.


Wenn das Problem durch das Aktualisieren des Treibers nicht beseitigt wird oder keine neuere 

Treiberversion verfügbar ist, sollten Sie prüfen, ob das Problem verschwindet, wenn Sie die 

erweiterten Druckfunktionen deaktivieren. Gehen Sie dazu folgendermaßen vor: 




3. Deaktivieren Sie auf der Registerkarte Erweitert des Dialogfelds Druckereigenschaften 

das Kontrollkästchen Erweiterte Druckfunktionen aktivieren und klicken Sie auf OK. 

Problembehandlung für Point-and-Print 

In der Standardeinstellung dürfen Windows 7-Standardbenutzern nur vertrauenswürdige 

Treiber installieren. Als vertrauenswürdig stuft Windows 7 Treiber ein, die in Windows 

enthalten sind oder deren Treiber in digital signierten Druckertreiberpaketen ausgeliefert 

werden. Sind die Benutzer darauf beschränkt, nur vertrauenswürdige Treiber zu installieren, 

verringern Sie die Gefahr, dass ein nichtvertrauenswürdiger Treiber die Systemstabilität 

schädigt (weil der Treiber instabil ist) oder böswillig agiert (weil es sich um Malware handelt). 

Windows 7 bringt sehr viele Druckertreiber mit, daher können die meisten Benutzer 

die Verbindung zu Druckern herstellen, während sie auf Reisen sind, und passende Treiber 

bei Bedarf installieren. 

Abbildung 3.3 Point-and-Print-Einschränkungen können Probleme 

beim Verwenden neuer Drucker verursachen


In Windows Vista und Windows 7 wird die Fähigkeit, Druckertreiber automatisch zu installieren, 

als Point-and-Print bezeichnet. Mithilfe der Gruppenrichtlinieneinstellungen Pointand-Print-Einschränkungen 

und Point-and-Print für Pakete – Genehmigte Server können 

Sie Point-and-Print auf bestimmte Server beschränken. Falls Sie bemerken, dass Point-and- 

Print nicht funktioniert, sollten Sie sicherstellen, dass die Einstellung Point-and-Print-Einschränkungen 

nicht aktiviert ist, oder den Druckserver zur Liste der genehmigten Point-and- 

Print-Druckserver hinzufügen. 

Werden Benutzer mit unerwünschten Eingabeaufforderungen der Benutzerkontensteuerung 

(User Account Control, UAC) konfrontiert, können Sie die Richtlinie Point-and-Print-Einschränkungen 

aktivieren und die Einstellungen für Sicherheitshinweise anpassen (Abbildung 

3.3). 

Behandeln von Netzwerkproblemen 

Tauchen beim Herstellen der Verbindung zu freigegebenen Druckern Probleme auf, kommen 

unterschiedliche Ursachen in Frage: 

Der Client findet den Server wegen eines Namensauflösungsproblems nicht. 

Eine Firewall verhindert, dass der Client mit dem Server kommunizieren kann. 

Der Server weist die Anmeldeinformationen des Benutzers zurück. 

In den meisten Fällen beginnt die Problembehandlung für Drucker mit dem Anruf eines 

Benutzers, bei dem etwas nicht funktioniert. Daher beginnen Sie Ihre Problembehandlung 

üblicherweise auf dem Clientcomputer. Abhängig vom konkreten Problem müssen Sie sich 

unter Umständen auch am Druckserver anmelden. Die folgenden Abschnitte beschreiben 

den Ablauf der Problembehandlung; dabei wird vorausgesetzt, dass sowohl Client als auch 

Server Domänenmitglieder sind. 

Weitere Informationen über das Behandeln von Netzwerkproblemen finden Sie in Kapitel 2, 

»Netzwerk«. Sehen Sie sich zu diesem Thema auch Anhang E an. 

Probleme mit Druckerfreigaben vom Client aus behandeln 

Gehen Sie folgendermaßen vor, um Probleme beim Herstellen einer Verbindung zu freigegebenen 

Druckern zu behandeln: 

1. Beenden Sie den Dienst Offlinedateien, sofern er läuft. Während dieser Dienst läuft, 

meldet Windows unter Umständen, dass es eine Verbindung zu einem Remoteserver 

herstellen kann, obwohl der Server nicht verfügbar ist. Sie können den Dienst Offlinedateien 

in der Konsole Dienste beenden oder indem Sie in einer administrativen Eingabeaufforderung 

den Befehl net stop cscservice ausführen. 

2. Wenn Sie eine Verbindung mithilfe der Datei- und Druckerfreigabe herstellen statt über 

IPP (Internet Printing Protocol) oder LPD/LPR (Line Printer Daemon/Line Printer Remote), 

sollten Sie versuchen, von Hand eine NetBIOS-Verbindung aufzubauen. Öffnen 

Sie dazu eine Eingabeaufforderung und führen Sie den Befehl net view \\ aus. 

Gelingt die Verbindung, verrät Ihnen das den genauen Namen des freigegebenen Druckers. 

Sie wissen somit, dass es sich nicht um ein Netzwerk- oder Firewallproblem 

handelt. Erhalten Sie die Meldung »Zugriff verweigert«, wenn Sie versuchen, eine 

Verbindung zum Drucker herzustellen, besitzt das Benutzerkonto keine ausreichenden 

Berechtigungen, um auf den freigegebenen Drucker zuzugreifen. Abhängig von der


Serverkonfiguration können Sie die Authentifizierungsprobleme möglicherweise 

genauer einkreisen, indem Sie sich das Sicherheitsereignisprotokoll auf dem Server 

ansehen. Weitere Informationen über die Sicherheitsüberwachung finden Sie im Abschnitt 

»Überwachen von Druckerereignissen« weiter oben in dieser Lektion. Wie Sie 

Privilegien anpassen, erfahren Sie im Abschnitt »Probleme mit Druckerfreigaben vom 

Server aus behandeln« weiter unten in dieser Lektion. 

3. Sofern Sie den Dienst Offlinedateien in Schritt 1 beendet haben, müssen Sie ihn nun 

wieder starten. Dazu können Sie die Konsole Dienste verwenden oder in einer administrativen 

Eingabeaufforderung den Befehl net start cscservice ausführen. 

4. Überprüfen Sie, ob Sie den Namen des Servers auflösen können, wie in Lektion 2, »Problembehandlung 

für die Namensauflösung«, von Kapitel 2 beschrieben. Gelingt das 

nicht, weil der DNS-Server (Domain Name System) offline ist, können Sie das Namensauflösungsproblem 

umgehen, indem Sie direkt die IP-Adresse (Internet Protocol) des 

Servers statt seines Hostnamens verwenden. Statt also eine Verbindung zu \\\Drucker 

herzustellen, verwenden Sie beispielsweise \\10.1.42.22\Drucker. 

5. Sofern Sie für die Verbindung die Datei- und Druckerfreigabe benutzen, sollten Sie mit 

PortQry testen, ob der Client eine Verbindung zu TCP-Port 445 oder 139 auf dem Server 

herstellen kann. Verwenden Sie dagegen IPP, müssen Sie testen, ob eine Verbindung zu 

TCP-Port 80 auf dem Server möglich ist. 

Gelingt es Ihnen an diesem Punkt immer noch nicht, eine Verbindung aufzubauen, müssen 

Sie die Problembehandlung vom Server aus fortsetzen, wie im nächsten Abschnitt beschrieben. 

Schnelltest 

Mit welchen Tools können Sie sicherstellen, dass keine Firewall die Ursache ist, wenn Sie 

über das Netzwerk keine Verbindung zu einem freigegebenen Drucker aufbauen können? 


Sie können mit dem Befehl net use eine Verbindung zum Druckserver herstellen oder mit 

dem Tool PortQry sicherstellen, dass der Server eingehende Netzwerkverbindungen auf 

den Ports entgegennimmt, die für die Druckerfreigabe benutzt werden (in erster Linie 

TCP 445 oder TCP 139). 

Probleme mit Druckerfreigaben vom Server aus behandeln 

Gehen Sie folgendermaßen vor, wenn Probleme bei der Freigabe eines Druckers auf einem 

Windows 7-Computer auftauchen: 

1. Überprüfen Sie, ob Sie auf dem Druckserver selbst drucken können. Ist das nicht möglich, 

liegt das Problem möglicherweise gar nicht bei der Druckerfreigabe. Führen Sie 

stattdessen eine Problembehandlung für den lokalen Drucker durch. Beginnen Sie mit 

dem Problembehandlungsmodul Drucker, wie im Abschnitt »Verwenden des Problembehandlungsmoduls 

Drucker« weiter oben in dieser Lektion beschrieben. Löschen Sie 

alle Dokumente aus der Druckerwarteschlange, wie im Abschnitt »Problembehandlung 

für die Druckerwarteschlange« weiter oben in dieser Lektion beschrieben, und versuchen 

Sie erneut, etwas auszudrucken. Funktioniert der Ausdruck immer noch nicht, sollten Sie


den Drucker mit dem neuesten Treiber neu installieren, wie im Abschnitt »Aktualisieren 

eines Treibers für den Druckserver« weiter oben in dieser Lektion beschrieben. 

2. Überprüfen Sie, ob der Drucker freigegeben ist. Klicken Sie dazu mit der rechten Maustaste 

auf den Drucker und wählen Sie den Befehl Druckereigenschaften. Klicken Sie 

dann auf die Registerkarte Freigabe und stellen Sie sicher, dass das Kontrollkästchen 

Drucker freigeben aktiviert ist. 

3. Eigentlich müsste das Problembehandlungsmodul Drucker bereits sichergestellt haben, 

dass die Dienste Server und Druckwarteschlange laufen, aber Sie sollten diesen Punkt 

nochmals von Hand überprüfen. Klicken Sie dazu im Startmenü mit der rechten Maustaste 

auf Computer und wählen Sie den Befehl Verwalten. Wählen Sie unter Dienste und 

Anwendungen den Knoten Dienste aus. Überprüfen Sie, ob die Dienste Server und 

Druckwarteschlange laufen und ihr Starttyp auf Automatisch steht. 

4. Überprüfen Sie, ob die Benutzer die erforderliche Berechtigung haben, um auf die Ressourcen 

zuzugreifen. Klicken Sie dazu mit der rechten Maustaste auf den Drucker und 

wählen Sie den Befehl Druckereigenschaften. Klicken Sie im Dialogfeld Druckereigenschaften 

auf die Registerkarte Sicherheit. Überprüfen Sie, ob das Benutzerkonto Mitglied 

einer Gruppe ist, die in der Liste aufgeführt wird, und ob das Zulassen-Kontrollkästchen 

in der Zeile Drucken aktiviert ist. Befindet sich das Konto nicht in der Liste, 

müssen Sie es hinzufügen und ihm die Zulassen-Berechtigung für Drucken gewähren. 

5. Überprüfen Sie die Windows-Firewallausnahmen, um sicherzustellen, dass sie richtig 

konfiguriert sind. Gehen Sie dazu folgendermaßen vor: 

a. Klicken Sie im Startmenü auf Systemsteuerung. 

b. Klicken Sie auf System und Sicherheit und dann auf Windows-Firewall. 

c. Merken Sie sich, welcher Netzwerkstandort im Dialogfeld Windows-Firewall angezeigt 

wird. Klicken Sie auf Ein Programm oder Feature durch die Windows-Firewall 

zulassen. 

d. Stellen Sie im Fenster Zugelassene Programme sicher, dass das Kontrollkästchen 

Datei- und Druckerfreigabe aktiviert ist. Sollte das nicht der Fall sein, müssen Sie 

auf Einstellungen ändern klicken und das Kontrollkästchen für den aktuellen Netzwerkstandort 

aktivieren. Ist das Kontrollkästchen bereits aktiviert, sollten Sie prüfen, 

ob keine andere Firewallregel die Datei- und Druckerfreigabe blockiert. Klicken Sie 

auf OK. 

Firewallkonfiguration 

Wie alle Firewalls blockiert auch die Windows-Firewall bestimmten Netzwerkverkehr, 

der nicht explizit erlaubt ist. Die meisten Firewalls blockieren standardmäßig eingehende 

Verbindungen (Verbindungen, die von einem Client an einen Server gesendet werden) 

und erlauben alle ausgehenden Verbindungen (Verbindungen von einem Server an einen 

Client). Sofern daher die Druckerfreigabe auf einem Druckserver nicht explizit erlaubt 

ist, können die Clients keine Verbindung aufbauen. Treten also Probleme auf, weil Clients 

keine Verbindung zu einem Druckserver herstellen können, sollten Sie die Firewallkonfiguration 

auf dem Druckserver überprüfen. Befinden sich Client und Server nicht im 

selben LAN (Local Area Network), müssen Sie auch die Konfiguration aller Firewalls 

untersuchen, die möglicherweise den Verkehr zwischen Client und Server blockieren.


Wie Sie die Firewall richtig konfigurieren, hängt davon ab, welches Netzwerkprotokoll 

eingesetzt wird, um die Verbindung zum Druckserver herzustellen: 

Datei- und Druckerfreigabe Diese Art Druckerverbindung benutzt einen UNC- 

Pfad (Universal Naming Convention), zum Beispiel \\Servername\Drucker oder 

\\192.168.1.10\Drucker. Ist die Ausnahme Datei- und Druckerfreigabe auf dem 

Druckserver aktiviert, wie in Abbildung 3.4 gezeigt, erlaubt die Windows-Firewall 

Verbindungen zum freigegebenen Drucker. Diese Firewallausnahme wird automatisch 

aktiviert, wenn Sie einen Drucker freigeben. Es könnte aber passieren, dass Administratoren 

die Ausnahme entweder von Hand oder mithilfe von Gruppenrichtlinien entfernt 

haben. 

Abbildung 3.4 Überprüfen, ob die Firewallausnahme Datei- und 

Druckerfreigabe aktiviert ist 

Internet Printing Protocol (IPP) Diese Art Druckerverbindung benutzt einen 

URL-Pfad (Universal Resource Locator) wie http://server/printers/printer/.printer. 

Windows Vista und Windows 7 können nur als IPP-Client agieren, aber keine Drucker 

über IPP freigeben. Dagegen sind Windows XP, Windows Server 2003 und Windows 

Server 2008 in der Lage, Drucker mit IPP freizugeben. Bei HTTP-Verbindungen 

muss der Server eingehende Verbindungen über TCP-Port 80 erlauben, bei HTTPS- 

Verbindungen eingehende Verbindungen über TCP-Port 443.

Übung Behandeln von Druckerproblemen 


In dieser Übung behandeln Sie zwei unterschiedliche Druckerprobleme. 

Übung 1 Problembehandlung für die Druckerfreigabe 

In dieser Übung führen Sie eine Problembehandlung für einen Clientcomputer durch, der 

nicht auf einem Druckserver ausdrucken kann. 

1. Schließen Sie einen Drucker an Ihren Domänencontroller DC1 an. Stattdessen können 

Sie auch einen Drucker an irgendeinen Windows 7- oder Windows Server 2008 R2- 

Computer in Ihrer Testumgebung anschließen. Dieser Computer sollte aber nicht zur 

Produktivumgebung gehören. Sofern Sie keinen Drucker haben, können Sie auch einfach 

von Hand einen Druckertreiber für einen fiktiven Drucker installieren, obwohl gar 

keiner vorhanden ist. 

2. Geben Sie den Drucker auf DC1 folgendermaßen frei: 

a. Klicken Sie auf dem Domänencontroller DC1 im Startmenü auf Geräte und Drucker. 

b. Klicken Sie mit der rechten Maustaste auf den Drucker und wählen Sie den Befehl 


c. Aktivieren Sie auf der Registerkarte Freigabe die Kontrollkästchen Drucker freigeben 

und Im Verzeichnis anzeigen. Klicken Sie auf OK. 

3. Stellen Sie auf CLIENT1 folgendermaßen eine Verbindung zum Drucker her: 

a. Klicken Sie auf CLIENT1 im Startmenü auf Geräte und Drucker. 

b. Klicken Sie auf Drucker hinzufügen. 

Der Assistent Drucker hinzufügen wird gestartet. 

a. Klicken Sie auf der Seite Welchen Druckertyp möchten Sie installieren? auf Einen 

Netzwerk-, Drahtlos- oder Bluetoothdrucker hinzufügen. 

b. Wählen Sie auf der nächsten Seite den Drucker aus, den Sie auf DC1 freigegeben 

haben, und klicken Sie auf Weiter. 

c. Klicken Sie auf der nächsten Seite auf Weiter. 

d. Klicken Sie auf Testseite drucken, um zu überprüfen, ob der Drucker richtig installiert 

ist. Klicken Sie dann auf Fertig stellen. 

4. Überprüfen Sie auf DC1, ob die Seite richtig ausgedruckt wird. Sollten Sie keinen echten 

Drucker angeschlossen haben, können Sie im Fenster Geräte und Drucker doppelt auf 

das Druckersymbol klicken und sicherstellen, dass sich ein Dokument in der Warteschlange 


5. Wechseln Sie auf DC1 in den Ordner, in dem Sie die Übungsskripts für Kapitel 3 von 

der Begleit-CD installiert haben, klicken Sie mit der rechten Maustaste auf das Skript 

Ch3-lesson1-ex1-script1.cmd und wählen Sie den Befehl Als Administrator ausführen. 

Damit erzeugen Sie ein Druckerproblem, das Sie in den nächsten Schritten beseitigen. 

6. Versuchen Sie erneut, von CLIENT1 aus ein Dokument auszudrucken. Klicken Sie dazu 

im Fenster Geräte und Drucker mit der rechten Maustaste auf den Drucker, wählen Sie 

den Befehl Druckereigenschaften und klicken Sie auf der Registerkarte Allgemein des 

Dialogfelds Druckereigenschaften auf Testseite drucken. Wie Sie sehen, wird das Doku-


ment zur Druckerwarteschlange auf CLIENT1 hinzugefügt, taucht aber nicht in der Druckerwarteschlange 

von DC1 auf. Das deutet darauf hin, dass die Verbindung zwischen 

Client und Server unterbrochen ist. 

7. Führen Sie auf CLIENT1 eine Problembehandlung für die Netzwerkverbindung durch. 


a. Öffnen Sie eine administrative Eingabeaufforderung und versuchen Sie, DC1 von 

CLIENT1 aus mit Ping zu erreichen. Das müsste gelingen, was zeigt, dass CLIENT1 

und DC1 kommunizieren können. 

b. Versuchen Sie in derselben Eingabeaufforderung auf CLIENT1, den Dienst Offlinedateien 

zu beenden, indem Sie den Befehl net stop cscservice ausführen. Merken 

Sie sich, ob der Dienst schon beendet war oder ob Windows 7 ihn beendet hat. 

c. Versuchen Sie in derselben Eingabeaufforderung auf CLIENT1, eine NetBIOS-Verbindung 

herzustellen. Führen Sie dazu den Befehl net view \\dc1 aus. Wie Sie sehen, 

schlägt der Verbindungsversuch mit der Meldung »Der Netzwerkname wurde nicht 

gefunden« fehl. Das bedeutet, dass CLIENT1 keine Verbindung zum Serverdienst auf 

DC1 herstellen kann. Sie wissen aber, dass der Computer läuft und mit dem Netzwerk 

verbunden ist, weil der vorherige Ping-Test erfolgreich war. Daraus können Sie 

schließen, dass der Serverdienst nicht verfügbar ist. 

d. Sofern Sie den Dienst Offlinedateien in Schritt b beendet haben, sollten Sie ihn nun 

wieder starten, indem Sie in der administrativen Eingabeaufforderung auf CLIENT1 

den Befehl net start cscservice ausführen. 

e. Überprüfen Sie, ob der Serverdienst läuft. Wählen Sie dazu auf DC1 im Startmenü 

unter Verwaltung den Befehl Computerverwaltung. Wählen Sie in der Konsole 

Computerverwaltung den Knoten Dienste und Anwendungen\Dienste aus. Blättern 

Sie zum Eintrag Server und stellen Sie sicher, dass der Dienst läuft und als Starttyp 

Automatisch eingestellt ist. 

f. Überprüfen Sie, ob die Datei- und Druckerfreigabe in der Windows-Firewall erlaubt 

ist. Klicken Sie dazu im Startmenü auf Systemsteuerung, dann auf System und Sicherheit 

und schließlich auf Programm über die Windows-Firewall kommunizieren lassen. 

Stellen Sie sicher, dass das Kontrollkästchen für die Datei- und Druckerfreigabe 

aktiviert ist. 

g. Lassen Sie das Fenster Zugelassene Programme der Windows-Firewall offen und 

sehen Sie sich die anderen Firewallregeln an. Ihnen müsste eine Regel namens 

»Block File And Printer Sharing« auffallen. Wie der Name andeutet, blockiert diese 

Firewallregel den Verbindungsversuch. Klicken Sie auf Einstellungen ändern und 

deaktivieren Sie das Kontrollkästchen für Block File And Printer Sharing. Klicken 

Sie auf OK. 

8. Wechseln Sie auf DC1 zum Fenster Geräte und Drucker. Das Dokument, das Sie vorher 

ausdrucken wollten, müsste sich jetzt in der Warteschlange befinden oder bereits ausgegeben 

werden. Sie haben das Problem also beseitigt. 

9. Klicken Sie schließlich auf DC1 mit der rechten Maustaste auf das Skript Ch3-lesson1ex1-script2.cmd 

und wählen Sie den Befehl Als Administrator ausführen. Damit löschen 

Sie die Firewallregel, die das erste Skript hinzugefügt hat. Entfernen Sie nun den Drucker, 

den Sie in Schritt 1 dieser Übung hinzugefügt haben.


Übung 2 Problembehandlung für einen lokalen Drucker 

In dieser Übung installieren Sie einen Drucker und beseitigen Probleme beim lokalen Ausdruck. 

1. Schließen Sie einen Drucker an Ihren Windows 7-Computer CLIENT1 an. Stattdessen 

können Sie auch einen Drucker an irgendeinen Windows 7- oder Windows Server 2008 

R2-Computer in Ihrer Testumgebung anschließen. Dieser Computer sollte aber nicht zur 

Produktivumgebung gehören. Sofern Sie keinen Drucker haben, können Sie auch einfach 

von Hand einen Druckertreiber für einen fiktiven Drucker installieren, obwohl gar 

keiner vorhanden ist. Drucken Sie nach der Installation des Druckers eine Testseite aus, 

um sicherzustellen, dass er einwandfrei arbeitet. 

2. Klicken Sie mit der rechten Maustaste auf das Skript Ch3-lesson1-ex2-script1.cmd und 

wählen Sie den Befehl Als Administrator ausführen. Damit erzeugen Sie ein Druckerproblem, 

das Sie in den nächsten Schritten beseitigen. 

3. Öffnen Sie auf CLIENT1 den Windows Internet Explorer. Drücken Sie STRG+P, um die 

aktuelle Webseite auszudrucken. Sie bekommen nun eine Fehlermeldung, dass kein 

Drucker installiert ist. Klicken Sie auf OK und dann auf Abbrechen. 

4. Führen Sie auf CLIENT1 eine Problembehandlung für den lokalen Drucker durch. Gehen 

Sie dazu folgendermaßen vor: 

a. Überprüfen Sie, ob Ihr Drucker noch installiert ist. Klicken Sie im Startmenü auf 

Geräte und Drucker. Wie Sie sehen, sind keine Drucker aufgelistet. Das kann passieren, 

weil entweder alle Drucker entfernt wurden oder der Dienst Druckwarteschlange 

nicht läuft. 

b. Überprüfen Sie, ob der Dienst Druckwarteschlange läuft. Klicken Sie im Startmenü 

mit der rechten Maustaste auf Computer und wählen Sie den Befehl Verwalten. Wählen 

Sie in der Konsole Computerverwaltung den Knoten Dienste und Anwendungen\ 

Dienste aus. Blättern Sie zum Dienst Druckwarteschlange. Wie Sie sehen, steht in 

der Spalte Status nicht Gestartet. Klicken Sie mit der rechten Maustaste auf den 

Dienst und wählen Sie den Befehl Starten. 

5. Kehren Sie zum Internet Explorer zurück und drücken Sie erneut STRG+P, um die aktuelle 

Webseite auszudrucken. Klicken Sie auf Drucken, um sicherzustellen, dass der 

Ausdruck jetzt funktioniert. 

6. Entfernen Sie nun den Drucker, den Sie in Schritt 1 dieser Übung hinzugefügt haben. 


Verwenden Sie das in Windows 7 eingebaute Problembehandlungsmodul Drucker, um 

Probleme zu diagnostizieren und häufiger vorkommende schnell zu beseitigen. 

Sehen Sie im Ereignisprotokoll Anwendungs- und Dienstprotokolle\Microsoft\Windows\ 

PrintService\Administrator nach, ob Windows 7 Ereignisse aufgezeichnet hat, die mit 

Druckern zu tun haben. Läuft der Druckserver unter Windows Server 2008 R2, können 

Sie die Objektzugriffsüberwachung aktivieren, sodass Ereignisse in das Sicherheitsereignisprotokoll 

eingetragen werden, sobald Benutzer auf Drucker zugreifen.


Sie können mehrere Gruppenrichtlinieneinstellungen konfigurieren, die bei der Problembehandlung 

für Drucker hilfreich sind, insbesondere bei Problemen im Bereich der Treiber. 

Bei Druckservern müssen die Dienste Druckwarteschlange und Server laufen, damit sie 

einen Drucker freigeben können. Das häufigste Problem bei einem Druckserver ist, dass 

die Druckerwarteschlange keine Druckaufträge mehr abarbeitet. Starten Sie in einem 

solchen Fall den Dienst Druckwarteschlange neu. 

Sowohl auf dem Druckserver als auch dem Client muss ein Druckertreiber installiert 

sein. Treiber können Sie im Dialogfeld Druckereigenschaften aktualisieren. Lässt sich 

ein Treiberupdate nicht richtig installieren, können Sie den Drucker einfach entfernen 

und neu installieren. 

Tauchen Probleme auf, wenn über das Netzwerk auf einen freigegebenen Drucker zugegriffen 

wird, sollten Sie prüfen, ob der Client den Namen des Servers auflösen kann, ob 

keine Firewall die Kommunikation der Datei- und Druckerfreigabe blockiert und ob der 

Client eine Datei- und Druckerfreigabeverbindung zum Server herstellen kann. 



für Netzwerkdrucker«, überprüfen. Die Fragen finden Sie (in englischer 






1. Ein Benutzer versucht, über den UNC-Namen \\\Drucker eine Verbindung 

zu einem Netzwerkdrucker herzustellen. Dabei erhält er die Fehlermeldung »Windows 

konnte keine Verbindung zu Drucker herstellen«. Was dürfte die Ursache für das 

Problem sein? 

A. Der Dienst Server läuft nicht auf dem Client. 

B. Der Dienst Arbeitsstationsdienst läuft nicht auf dem Server. 

C. Auf dem Server ist nicht die Firewallausnahme Datei- und Druckerfreigabe aktiviert. 

D. Auf dem Client ist nicht die Firewallausnahme Datei- und Druckerfreigabe aktiviert. 

2. Ein Benutzer konnte seine Dokumente bis vor Kurzem einwandfrei auf einem Netzwerkdrucker 

ausgeben, aber jetzt scheint der Drucker nicht mehr verfügbar zu sein. Sie wollen 

prüfen, ob alle erforderlichen Dienste laufen. Welche der folgenden Dienste werden auf 

dem Druckserver benötigt? (Wählen Sie alle zutreffenden Antworten aus.) 

A. Arbeitsstationsdienst 

B. Druckwarteschlange 

C. Server 

D. Peer Name Resolution-Protokoll


3. Ein Benutzer ruft Sie an, weil er ein Problem mit seinem Drucker hat. Wenn er einen 

umfangreichen Druckauftrag ausgibt, fügt der Drucker zwischen jeder normalen Seite 

eine Leerseite ein. Sie untersuchen das Problem und stellen fest, dass es mit dem Treiber 

zu tun hat. Der Hardwarehersteller empfiehlt, einen Treiber für einen anderen Drucker 

zu verwenden, um das Problem zu beseitigen. Welches Tool sollten Sie verwenden, um 

den Treiber zu ändern? 

A. Konsole Dienste 

B. Geräte-Manager 

C. Ereignisanzeige 

D. Dialogfeld Druckereigenschaften




vertiefen: 









Probleme mit Netzwerkdruckern können unterschiedliche Ursachen haben: Druckertreiber 

auf Client oder Server, die Druckerwarteschlange, Druckerberechtigungen und Netzwerkkonnektivität. 

Um Treiberprobleme zu beseitigen, sollten Sie die neueste Treiberversion auf dem Druckserver 

installieren oder den Treiber ersetzen, indem Sie den Drucker neu installieren. 

Außerdem können Sie Druckertreiber auf dem Druckserver speichern, damit neue Clients 

diesen Druckertreiber automatisch installieren können. 

Probleme mit der Druckerwarteschlange können Sie beseitigen, indem Sie den Dienst 

Druckwarteschlange neu starten. 

Um Probleme im Bereich von Druckerberechtigungen zu untersuchen, sollten Sie die 

Überwachung aktivieren und das Sicherheitsereignisprotokoll auswerten. Sicherheitsprobleme 

beseitigen Sie, indem Sie die Druckerberechtigungen anpassen. 

Sie können die normalen Tools für die Netzwerkproblembehandlung einsetzen, um Probleme 

mit der Verbindung zu Netzwerkdruckern zu untersuchen. Verwenden Sie den 

Befehl net use, um zu überprüfen, ob Sie eine Verbindung zu einem Druckserver aufbauen 

können. 




Druckerwarteschlange 

Point-and-Print 


In den folgenden Übungen mit Fallbeispiel wenden Sie an, was Sie über die in diesem 

Kapitel behandelten Themen gelernt haben. Die Lösungen zu den Fragen finden Sie im 

Abschnitt »Antworten« hinten in diesem Buch.


Übung mit Fallbeispiel 1: Probleme aufgrund ungenügender Privilegien 

Ihre Chefin ruft Sie in ihr Büro, weil sie keine Verbindung zu einem Netzwerkdrucker herstellen 

kann. Der Drucker wird im Assistenten Drucker hinzufügen aufgelistet, aber wenn sie 

ihn auswählt, wird sie nach Benutzername und Kennwort gefragt. Gibt sie ihren AD DS- 

Benutzernamen und das Kennwort ein, bekommt sie die Meldung »Die angegebenen Anmeldeinformationen 

beinhalten keine ausreichenden Zugriffsrechte auf den Drucker«. 

Beantworten Sie Ihrer Chefin folgende Fragen: 

1. Warum bekommt Sie die Fehlermeldung? 

2. Wie beseitigen Sie das Problem? 

Übung mit Fallbeispiel 2: Behandeln eines Druckerproblems 

Ein Benutzer ruft Sie an, weil er seine Dokumente nicht auf einem Netzwerkdrucker ausgeben 

kann. Sie kennen den Drucker und wissen, dass er über einen Computer freigegeben 

wird, der unter Windows Server 2008 R2 läuft. Der Benutzer hat früher erfolgreich auf 

diesem Drucker ausgedruckt. 

Sie melden sich am Druckserver an und stellen sicher, dass der Ausdruck direkt auf dem 

Server möglich ist. Außerdem stellen Sie fest, dass der Benutzer ausreichende Privilegien 

hat. 

Beantworten Sie die folgenden Fragen zum Ablauf der Problembehandlung: 

1. Welche Fragen sollten Sie dem Benutzer stellen? 

2. Wie kreisen Sie die Ursache für das Problem ein? 

3. Welches sind mögliche Ursachen für das Problem? 




Untersuchen und Beseitigen von Problemen mit Netzwerkdruckern 

Für eine effiziente Problembehandlung brauchen Sie praktische Erfahrung. Dieses Kapitel 

stellt zwar Konzepte und Tools vor, aber nur in der Praxis erwerben Sie die Fähigkeiten, die 

Sie brauchen, um Probleme mit Netzwerkdruckern zu beseitigen und die Prüfung zu bestehen. 

Arbeiten Sie so viele dieser Übungen durch wie möglich, um Ihre Fähigkeiten im Bereich 

der Problembehandlung zu erweitern. 


windows7 und suchen Sie die Newsgroup »Hardware und Treiber«. Lesen Sie die Nachrichten 

durch, um festzustellen, wie die Teilnehmer ihre unterschiedlichen Probleme mit 

Druckern gelöst haben. 

Übung 2 Stellen Sie eine Verbindung zu einem freigegebenen Drucker her und simulieren 

Sie unterschiedliche Hardwareprobleme, um zu beobachten, wie der Client dem 

Benutzer die Fehler meldet. Trennen Sie erst den freigegebenen Drucker vom Druckserver. 

Nehmen Sie dann das Papier aus dem Drucker. Deaktivieren Sie zuletzt die Freigabe 

des Druckers.


Übung 3 Stellen Sie mit dem Befehl net use eine Verbindung von einem Windows 7- 

Client zu einem Server her. 

Übung 4 Geben Sie einen Drucker frei. Fügen Sie Druckertreiber für eine andere Prozessorarchitektur 

hinzu, damit Clients, die diese Prozessorarchitektur verwenden, den 

Druckertreiber automatisch installieren können. 













Sicherheit 

Bei manchen Benutzern fangen die Probleme schon an, bevor sie sich überhaupt anmelden. 

Die Authentifizierung, also der Prozess, bei dem Benutzer identifiziert und ihre Anmeldeinformationen 

überprüft werden, kann in einer Windows 7-Umgebung sehr komplex sein. 

Privatbenutzer haben nur selten Probleme, da sie lediglich ihre Benutzernamen und Kennwörter 

eintippen müssen. Aber in AD DS-Umgebungen (Active Directory Domain Services) 

werden Benutzer bei Domänencontrollern und anderen Servern im Netzwerk authentifiziert. 

Neben Kennwörtern werden bei der Authentifizierung außerdem oft Smartcards oder biometrische 

Verfahren eingesetzt. Die Benutzerkontensteuerung (User Account Control, UAC) 

zieht eine weitere Komplexitätsschicht ein, weil sich ein Benutzer während ein und derselben 

Sitzung unter Umständen mit mehreren unterschiedlichen Anmeldeinformationen 

authentifizieren muss. 

In den letzten Jahren wurden immer häufiger Sicherheitslücken ausgenutzt, wenn Benutzer 

eine Website besuchen. Zum Beispiel kann eine Website versuchen, den Benutzer durch 

einen Trick dazu zu bringen, vertrauliche Informationen einzugeben, oder sie kann eine 

Sicherheitslücke im Browser ausnutzen, um ohne die explizite Genehmigung des Benutzers 

Code auszuführen. In Windows 7 stellt der Microsoft Internet Explorer 8.0 mehrere Features 

bereit, um diese Gefahr zu verringern. 

Auch wenn inzwischen Netzwerkangriffe am weitesten verbreitet sind, hat die gestiegene 

Zahl mobiler Benutzer eine Zunahme von physischem Datendiebstahl zur Folge. Wenn 

jemand einen Computer klaut, kann er alle Ihre Sicherheitskontrollen umgehen, aber nicht 

die Verschlüsselung. Windows 7 bietet zwei Möglichkeiten, die Dateien auf Ihrem Computer 

zu verschlüsseln: Das verschlüsselnde Dateisystem (Encrypting File System, EFS) verschlüsselt 

einzelne Dateien und Ordner eines bestimmten Benutzers, während BitLocker 

gesamte Volumes verschlüsselt. 

Dieses Kapitel beschreibt, wie Sie Authentifizierung, Internet Explorer, EFS und BitLocker 

konfigurieren und Probleme in diesen Bereichen beseitigen. 


Untersuchen und Beseitigen von Anmeldungsproblemen 

Untersuchen und Beseitigen von Sicherheitsproblemen für Windows Internet Explorer 

Untersuchen und Beseitigen von Verschlüsselungsproblemen 


Lektion 1: Authentifizieren von Benutzern .............................. 130 

Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 146 

Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung ........ 167 

127

128 Kapitel 4: Sicherheit 








Lektion 1: Authentifizieren von Benutzern 

Praxistipp 

Tony Northrup 

Für Unternehmen ist Sicherheit eine simple Rechnung: Verringert eine Gegenmaßnahme 

das Risiko um mehr, als sie kostet, wird sie angewendet. 

Leider ist es nur in wenigen Fällen so simpel, Gefahr und Kosten finanziell zu bewerten. 

Nehmen Sie etwa die Gefahr, dass jemand einen mobilen Computer stiehlt und vertrauliche 

Dateien missbraucht. Meine Schätzungen sind hier ganz grob, aber nehmen wir an, 

die Gefahr, dass ein mobiler Computer in einem Kalenderjahr gestohlen wird, betrage 2 

Prozent. Unter diesen Notebooks sind vielleicht 10 Prozent, auf denen ein Dieb vertrauliche 

Informationen findet, die er missbrauchen könnte. Somit beträgt die Chance, dass 

vertrauliche Daten missbraucht werden, 0,2 Prozent pro Jahr und Notebook. 

Die Kosten können allerdings erheblich sein. Bei Großunternehmen könnte ein solcher 

Fall Millionen kosten. Nehmen wir an, ein einziger Vorfall verursacht einen Schaden von 

10 Millionen Euro. Hat das Unternehmen 100 Computer, die vertrauliche Daten speichern, 

beträgt das Gesamtrisiko 2 Millionen Euro jährlich. 

Bei einem Risiko von 2 Millionen Euro pro Jahr will das Unternehmen nicht mehr als 

diesen Betrag aufwenden, um sich gegen die Gefahr abzusichern. Windows 7 enthält die 

BitLocker-Laufwerkverschlüsselung, um die Gefahr des Datenmissbrauchs nach dem 

Diebstahl eines Computers zu verringern. Es ist aber wirkungslos, wenn ein Benutzer 

gerade angemeldet ist, der Dieb auch das USB-Flashlaufwerk (Universal Serial Bus) 

klaut oder der Angreifer die Geheimzahl (Personal Identification Number, PIN) des 

Benutzers errät. Nehmen wir für unsere Beispielrechnung an, dass die Gefahr beim 

Diebstahl von Computern um 80 Prozent verringert wird, wenn die Benutzer ordentlich 

geschult sind, unbenutzte Computer automatisch verriegelt werden und BitLocker-Laufwerkverschlüsselung 

mit einem USB-Flashlaufwerk oder einer PIN als Startschlüssel 

eingesetzt wird. 

Indem Sie das 2-Millionen-Euro-Risiko um 80 Prozent senken, spart das dem Unternehmen 

1,6 Millionen Euro jährlich ein. Gewisse Zusatzkosten müssen Sie dafür allerdings 

aufwenden. Die IT-Abteilung muss Computer, die vertrauliche Daten enthalten, auf Windows 

7 aktualisieren, bei Bedarf muss die Hardware aufgerüstet werden und die Benutzer 

müssen geschult werden. Schätzen wir, dass dafür 3.000 Euro pro Benutzer als Vorlaufkosten 

fällig werden. Bleibt der Computer drei Jahre in Betrieb, betragen die Kosten 

1.000 Euro pro Benutzer und Jahr beziehungsweise 100.000 Euro insgesamt. Die jährliche 

Ersparnis reduziert sich somit von 1,6 Millionen auf 1,5 Millionen Euro. BitLocker

Lektion 1: Authentifizieren von Benutzern 129 

verursacht auch laufende Kosten, besonders wenn Sie die Verwendung eines Startschlüssels 

erzwingen. Gelegentlich vergessen Benutzer ihr USB-Flashlaufwerk oder die PIN 

und bleiben von ihrem Computer ausgesperrt, wodurch Produktivität verloren geht und 

Aufwand für die IT-Abteilung entsteht. Diese Kosten sind sehr schwierig zu beziffern, 

aber wenn pro Jahr bei 10 Prozent der 100 Benutzer, die mit vertraulichen Daten umgehen, 

ein Problem auftritt und die Verluste an Produktivität und durch Supportaufwand 

500 Euro pro Benutzer kosten, beläuft sich die Gesamtsumme auf 5.000 Euro pro Jahr. 

Anhand dieser Abschätzungen für Risiko und Kosten lässt sich sagen, dass sich BitLocker 

für unser fiktionales Unternehmen rentiert. Allerdings amortisieren sich nicht alle Sicherheitsfeatures. 

Wenn Sie das nächste Mal ein Sicherheitsproblem behandeln, sollten Sie 

überlegen, ob die Vorteile des Sicherheitsfeatures den Aufwand, den Sie für die Problembehandlung 

aufwenden, und den Verlust an Produktivität bei den betroffenen Benutzern 

tatsächlich Wert sind. Weitere Informationen finden Sie im Security Risk Management 

Guide unter http://technet.microsoft.com/en-us/library/cc163143.aspx.


Lektion 1: Authentifizieren von Benutzern 

Bevor ein Benutzer sich an einem Windows 7-Computer anmelden, die Verbindung zu 

einem freigegebenen Ordner herstellen oder eine geschützte Website aufrufen kann, muss 

die jeweilige Ressource die Identität des Benutzers überprüfen. Das geschieht bei der sogenannten 

Authentifizierung. Windows 7 unterstützt eine ganze Reihe von Authentifizierungstechniken, 

zum Beispiel die herkömmliche Kombination aus Benutzername und Kennwort, 

Smartcards und Authentifizierungskomponenten von Fremdherstellern. Außerdem kann 

Windows 7 Benutzer anhand der lokalen Benutzerdatenbank oder einer AD DS-Domäne 

authentifizieren. 

Diese Lektion beschreibt die Funktionsweise der Authentifizierungstechnologien und erklärt, 

wie Sie Anmeldungen überwachen und Authentifizierungsprobleme beseitigen. 


Beschreiben der Authentifizierung und Aufzählen wichtiger Authentifizierungstechniken 

Benutzernamen und Kennwörter manuell zur Anmeldeinformationsverwaltung hinzufügen, 

um die automatische Authentifizierung an Netzwerkressourcen zu ermöglichen 

Durchführen einer Problembehandlung für die Authentifizierung 


Was ist Authentifizierung? 

Authentifizierung ist der Prozess, bei dem ein Benutzer identifiziert wird. In privaten Umgebungen 

beschränkt sich die Authentifizierung oft darauf, einen Benutzernamen auf dem 

Windows 7-Anmeldebildschirm anzuklicken. In Unternehmensumgebungen wird aber bei 

praktisch allen Authentifizierungsvorgängen gefordert, dass die Benutzer sowohl einen 

Benutzernamen (um sich selbst zu identifizieren) als auch ein Kennwort angeben (um zu 

beweisen, dass sie tatsächlich die angegebene Person sind). 

Windows 7 unterstützt auch die Authentifizierung mithilfe einer Smartcard. Die Smartcard, 

die ungefähr das Format einer Kreditkarte hat, enthält einen Chip, der ein Zertifikat speichert. 

Dieses Zertifikat identifiziert den Benutzer eindeutig. Solange ein Benutzer die Smartcard 

nicht jemand anderem überlässt, lässt sich die Identität des Benutzers ausreichend dadurch 

beweisen, dass er die Smartcard in einen Computer einsteckt. Üblicherweise muss der Benutzer 

zusätzlich ein Kennwort oder eine Geheimzahl eingeben, um zu beweisen, dass die 

Smartcard nicht jemand anders gehört. Wenn Sie zwei Authentifizierungsformen kombinieren 

(zum Beispiel eine Kennworteingabe und die Smartcard), wird das als Mehr-Faktoren- 

Authentifizierung bezeichnet. Mehr-Faktoren-Authentifizierung ist viel sicherer als Ein- 

Faktoren-Authentifizierung. 

Biometrie ist eine andere beliebte Form der Authentifizierung. Ein Kennwort beweist Ihre 

Identität, weil es sicherstellt, dass Sie »etwas wissen«, und eine Smartcard stellt sicher, dass 

Sie »etwas haben«. Aber Biometrie stellt sicher, dass Sie »jemand sind«, indem ein eindeutiges 

körperliches Merkmal überprüft wird. Die heute gebräuchlichsten biometrischen Authentifizierungsmechanismen 

sind Fingerabdruckleser (inzwischen in viele mobile Computer 

eingebaut) und Retinascanner.

Hinweis Biometrie 


Biometrie ist die sicherste und zuverlässigste Authentifizierungsmethode, weil das Merkmal 

nicht verloren gehen oder vergessen werden kann. Sie wird allerdings auch am seltensten 

eingesetzt. Zuverlässige biometrische Geräte sind für viele Organisationen zu kostspielig, 

und manche Benutzer hegen eine Abneigung gegen biometrische Prüfgeräte, weil sie fürchten, 

dass die Geräte ihre Privatsphäre verletzen. 

Arbeiten mit der Anmeldeinformationsverwaltung 

Die Anmeldeinformationsverwaltung (credential manager) ist ein Feature, das eine einmalige 

Anmeldung ermöglicht. Es wurde ursprünglich für Windows Server 2003 und Windows XP 

entwickelt, damit Benutzer ihren Benutzernamen und das Kennwort für mehrere Netzwerkressourcen 

und Anwendungen einsetzen können. Wenn unterschiedliche Ressourcen eine 

Authentifizierung erfordern, kann Windows die Anmeldeinformationen automatisch zur 

Verfügung stellen, ohne dass der Benutzer sie erneut eingeben muss. 

In Windows Vista und Windows 7 kann die Anmeldeinformationsverwaltung gespeicherte 

Benutzernamen und Kennwörter zwischen mehreren Windows-Computern in einer AD DS- 

Domäne übertragen. Windows speichert Anmeldeinformationen im AD DS-Benutzerobjekt. 

Der Benutzer braucht die Anmeldeinformationen daher nur ein einziges Mal zu speichern 

und kann sie anschließend von jeder Anmeldesitzung innerhalb der AD DS-Domäne aus 

verwenden. Wenn Sie zum Beispiel eine Verbindung zu einem kennwortgeschützten Webserver 

herstellen und das Kontrollkästchen Kennwort speichern aktivieren, kann der Microsoft 

Internet Explorer Ihr gespeichertes Kennwort später erneut abrufen, sogar wenn Sie sich 

auf einem anderen Computer anmelden, der unter Windows Vista und Windows 7 läuft. 

Benutzer profitieren von der Anmeldeinformationsverwaltung, selbst wenn sie gar nichts 

darüber wissen. Wenn ein Benutzer zum Beispiel eine Verbindung zu einem freigegebenen 

Ordner oder Drucker herstellt und das Kontrollkästchen Verbindung bei Anmeldung wiederherstellen 

aktiviert, speichert Windows 7 die Anmeldeinformationen des Benutzers automatisch 

innerhalb der Anmeldeinformationsverwaltung. Und wenn ein Benutzer sich bei einer 

Website authentifiziert, die Authentifizierung erfordert, und im Internet Explorer-Authentifizierungsdialogfeld 

das Kontrollkästchen Kennwort speichern aktiviert, speichert der Internet 

Explorer Benutzername und Kennwort in der Anmeldeinformationsverwaltung. 

Hinweis Servergespeicherte Anmeldeinformationen 

Ausführliche Informationen über servergespeicherte Anmeldeinformationen (credential 

roaming) finden Sie in »Configuring and Troubleshooting Certificate Services Client-Credential 

Roaming« unter der Adresse http://www.microsoft.com/technet/security/guidance/ 

cryptographyetc/client-credential-roaming/implementation-differences.mspx. 

Windows fügt Anmeldeinformationen, die für die Verbindung zu freigegebenen Ordnern 

eingegeben werden, automatisch zur Anmeldeinformationsverwaltung hinzu. Sie können 

allerdings auch von Hand einen Benutzernamen und das zugehörige Kennwort hinzufügen, 

damit Windows diese Anmeldeinformationen automatisch für eine Gruppe von Computern 

in einer anderen Domäne zur Verfügung stellen kann. Gehen Sie folgendermaßen vor, um 

von Hand Benutzername und Kennwort zur Anmeldeinformationsverwaltung hinzuzufügen:



2. Klicken Sie zweimal auf den Link Benutzerkonten. 

3. Klicken Sie im linken Fensterabschnitt auf den Link Eigene Anmeldeinformationen 

verwalten. 

Das Fenster Anmeldeinformationsverwaltung wird geöffnet (Abbildung 4.1). 

Abbildung 4.1 Mithilfe der Anmeldeinformationsverwaltung authentifizieren Sie 

sich automatisch bei Ressourcen, die andere Anmeldeinformationen als die Ihrer 

Benutzersitzung erfordern 

4. Klicken Sie auf Windows-Anmeldeinformationen hinzufügen. Daneben können Sie auch 

zertifikatbasierte Anmeldeinformationen und generische Anmeldeinformationen hinzufügen. 

5. Geben Sie im Feld Internet- oder Netzwerkadresse den Servernamen ein. Sie können 

einen Stern (*) als Platzhalter verwenden. Zum Beispiel können Sie die Anmeldeinformationen 

für alle Ressourcen in der Domäne contoso.com verwenden, indem Sie den 

Namen »*.contoso.com« eingeben. 

6. Geben Sie in den Textfeldern Benutzername und Kennwort Ihre Anmeldeinformationen 

ein. Klicken Sie auf OK. 

Hinweis Websites, die von der Anmeldeinformationsverwaltung automatisch 

authentifiziert werden 

Die einzigen Websites, bei der die Anmeldeinformationsverwaltung Sie automatisch authentifizieren 

kann, sind solche, die mit HTTP-Authentifizierung (Hypertext Transfer Protocol) 

arbeiten. Wenn Sie die Site besuchen, öffnet der Webbrowser ein Dialogfeld, in dem Sie 

Anmeldeinformationen eingeben sollen. Die Anmeldeinformationsverwaltung kann Ihren 

Benutzernamen und das Kennwort nicht für Websites speichern, die für die Authentifizie-


rung ein HTML-Formular (Hypertext Markup Language) verwenden (beispielsweise Sites 

mit einer speziellen Anmeldeseite). Solche Sites sind viel häufiger. Die Anmeldeinformationsverwaltung 

kann auch .NET Passport-Anmeldeinformationen speichern. 

Sie können im Fenster Anmeldeinformationsverwaltung außerdem von Hand Anmeldeinformationen 

sichern und wiederherstellen. 

Problembehandlung für die Authentifizierung 

Manchmal treten Probleme auf, wenn sich Benutzer bei Ressourcen authentifizieren wollen. 

Nicht alle diese Probleme sind so trivial wie ein Tippfehler beim Kennwort oder eine unabsichtlich 

aktivierte Feststelltaste. Die folgenden Abschnitte beschreiben Problembehandlungstechniken, 

die Ihnen helfen, Authentifizierungsprobleme zu isolieren. 

UAC-Kompatibilitätsprobleme 

Benutzer verwechseln oft Authentifizierungs- mit Autorisierungsproblemen. Das ist kaum 

überraschend, weil beide Problemarten letztlich dieselbe Fehlermeldung produzieren: 

»Zugriff verweigert«. Weil die Benutzerkontensteuerung die Privilegien eines Benutzers 

einschränkt und viele Anwendungen nicht so entwickelt wurden, dass sie mit der UAC 

zusammenarbeiten, treten Sicherheitsfehler in Windows 7 häufiger auf als in Windows XP. 

Die meisten Probleme im Zusammenhang mit der UAC betreffen die Autorisierung, nicht 

die Authentifizierung. Bekommt der Benutzer überhaupt keine UAC-Eingabeaufforderung 

angezeigt, aber eine Meldung über einen Sicherheitsfehler, handelt es sich definitiv 

um ein Autorisierungsproblem. Wenn der Benutzer eine UAC-Eingabeaufforderung erhält 

und seine Anmeldeinformationen akzeptiert werden (oder wenn sich der Benutzer als 

Administrator anmeldet und lediglich die Schaltfläche Fortsetzen anklickt), handelt es 

sich definitiv um ein Autorisierungsproblem. UAC-Probleme betreffen nur dann die 

Authentifizierung, falls die UAC bei einem Benutzer Anmeldeinformationen anfordert 

und das Kennwort des Benutzers als falsch zurückweist. 

Anmeldeeinschränkungen 

Oft treten Authentifizierungsprobleme auf, weil Administratoren Anmeldeeinschränkungen 

konfiguriert haben, um die Sicherheitsanforderungen des Unternehmens durchzusetzen. 

Anmeldeeinschränkungen sorgen beispielsweise dafür, dass Konten gesperrt werden, sobald 

mehrmals das falsche Kennwort eingegeben wurde, dass sich Benutzer nur während bestimmter 

Zeiten anmelden dürfen, dass die Benutzer ihre Kennwörter regelmäßig ändern 

müssen, dass Konten deaktiviert werden und dass Konten an einem bestimmten Tag ungültig 

werden. Die folgenden Abschnitte beschreiben diese Arten von Anmeldeeinschränkungen. 

Hinweis Der Anmeldekontext 

Benutzer können sich bei der lokalen Benutzerdatenbank oder einer AD DS-Domäne authentifizieren. 

Anmeldeeinschränkungen, die für die Domäne definiert sind, gelten nur für Domänenkonten, 

und Anmeldeeinschränkungen, die für die lokale Benutzerdatenbank definiert 

sind, nur für lokale Benutzerkonten. Wenn Sie daher Anmeldeeinschränkungen für Benutzer 

untersuchen, müssen Sie den Anmeldekontext herausfinden.


Das geht am schnellsten, wenn Sie eine Eingabeaufforderung öffnen und den Befehl set 

ausführen, um alle Umgebungsvariablen aufzulisten. Suchen Sie in der Ausgabe nach der 

Zeile für USERDOMAIN. Hat sich der Benutzer mit einem lokalen Benutzerkonto angemeldet, 

steht hier der Computername (wie in der Zeile COMPUTERNAME). Hat sich der Benutzer dagegen 

mit einem AD DS-Benutzerkonto angemeldet, steht hier der Name der Domäne. Sie können 

auch die Zeile LOGONSERVER überprüfen, um festzustellen, ob der Benutzer von einem Domänencontroller 

oder dem lokalen Computer authentifiziert wurde. 

Kontosperrung 

Tippt ein Benutzer mehrmals hintereinander falsche Anmeldeinformationen ein (weil beispielsweise 

ein Angreifer versucht, das Kennwort eines Benutzers zu erraten oder weil sich 

ein Benutzer ständig vertippt), kann Windows eine bestimmte Zeit lang jegliche Authentifizierungsversuche 

unterbinden. 

Einstellungen für die Kontosperrung werden mit Gruppenrichtlinieneinstellungen im Knoten 

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\ 

Kontosperrungsrichtlinien definiert. Es stehen folgende Einstellmöglichkeiten zur Verfügung: 

Die Richtlinie Kontensperrungsschwelle legt fest, nach wie vielen Fehlversuchen die 

Sperrung in Kraft tritt. 

Die Richtlinie Zurücksetzungsdauer des Kontosperrungszählers bestimmt, in welchem 

Zeitraum die festgelegte Zahl von Fehlversuchen auftreten muss. 

Die Richtlinie Kontosperrdauer legt fest, wie lange das Konto gesperrt bleibt. 

Ermitteln Sie mit dem Tool Richtlinienergebnissatz (Rsop.msc), welche effektiven Gruppenrichtlinieneinstellungen 

für einen Computer gelten. Gehen Sie folgendermaßen vor, um das 

Tool Richtlinienergebnissatz zu benutzen: 

1. Geben Sie im Suchfeld des Startmenüs den Befehl rsop.msc ein und drücken Sie die 

EINGABETASTE. 

2. Klappen Sie im Fenster Richtlinienergebnissatz den Knoten Computerkonfiguration\ 

Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrungsrichtlinien 

auf. 

3. Die Detailansicht gibt an, welche Kontosperrungsrichtlinien definiert sind und in welchem 

Gruppenrichtlinienobjekt sie konfiguriert sind. 

Wenn ein Benutzer eine Fehlermeldung erhält, dass sein Konto gesperrt ist, oder wenn er 

sich nicht anmelden kann, obwohl er sein Kennwort richtig eingetippt hat, sollten Sie die 

Identität des Benutzers überprüfen und dann sein Konto entsperren. Sie heben die Sperrung 

eines Benutzerkontos auf, indem Sie das Eigenschaftendialogfeld des Kontos öffnen und das 

Kontrollkästchen Konto ist gesperrt deaktivieren (bei lokalen Windows 7-Benutzerkonten) 

beziehungsweise Kontosperrung aufheben (für AD DS-Konten unter Windows Server 2008 

R2) aktivieren (Abbildung 4.2). Klicken Sie dann auf Übernehmen. 

Welche Konten gesperrt sind, finden Sie heraus, indem Sie im Sicherheitsereignisprotokoll 

des Domänencontrollers nach Fehlerüberwachungen für die Anmeldung mit der Ereignis-ID 

4625 suchen.

Abbildung 4.2 Windows Server 2008 R2 ändert die Beschriftung des 

Kontrollkästchens Kontosperrung aufheben, wenn ein Konto gesperrt ist 

Einschränkungen der Anmeldezeiten 


Administratoren können auf der Registerkarte Konto eines AD DS-Benutzers auch einschränken, 

zu welchen Zeiten sich der Benutzer anmelden darf. Das ist nützlich, wenn Administratoren 

verhindern wollen, dass sich ein Benutzer außerhalb der normalen Geschäftszeiten 

anmeldet. 

Versucht ein Benutzer, sich außerhalb des erlaubten Zeitraums anzumelden, zeigt Windows 7 

diese Fehlermeldung an: »Das Konto sieht es nicht vor, dass Sie sich zu dieser Zeit anmelden. 

Wiederholen Sie den Vorgang später.« Dieses Problem lässt sich nur dadurch lösen, dass Sie 

die Anmeldezeiten des Benutzers ändern, indem Sie im Eigenschaftendialogfeld des Benutzerkontos 

auf der Registerkarte Konto auf die Schaltfläche Anmeldezeiten klicken. Abbildung 

4.3 zeigt die Einstellungen für einen Benutzer, der sich Montag bis Freitag von 10 bis 

18 Uhr anmelden darf. 

Abbildung 4.3 Anmeldezeiten verhindern, dass sich 

Benutzer außerhalb der erlaubten Zeiten anmelden


Abgelaufene Kennwörter 

Die meisten Sicherheitsexperten sind sich einig, dass Benutzer gezwungen werden sollten, 

ihre Kennwörter regelmäßig zu ändern. Der Wechsel der Benutzerkennwörter verfolgt zwei 

Ziele: 

Versuchen Angreifer, ein Kennwort zu erraten, müssen sie wieder ganz von vorne 

beginnen. Würden Benutzer ihre Kennwörter niemals ändern, wäre es Angreifern 

irgendwann möglich, sie zu erraten. 

Hat ein Angreifer das Kennwort eines Benutzers erraten, kann er diese Anmeldeinformationen 

in Zukunft nicht mehr nutzen, sobald das Kennwort geändert wurde. 

Die Einstellungen für den Ablauf des Kennworts werden von Gruppenrichtlinieneinstellungen 

im Knoten Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\ 

Kontorichtlinien\Kennwortrichtlinie festgelegt. Hier stehen folgende Richtlinien zur Verfügung: 

Die Richtlinie Maximales Kennwortalter bestimmt, nach welchem Zeitraum ein Kennwort 

abläuft. 

Die Richtlinie Kennwortchronik erzwingen legt fest, wie viele unterschiedliche Kennwörter 

Benutzer verwenden müssen, bevor sie ein schon vorher benutztes Kennwort 

erneut verwenden dürfen. 

Die Richtlinie Minimales Kennwortalter gibt an, wie lange die Benutzer warten müssen, 

bis sie ihr Kennwort erneut ändern dürfen. In Kombination mit der Richtlinie Kennwortchronik 

erzwingen wird damit verhindert, dass Benutzer ihr Kennwort gleich wieder auf 

ein bereits vorher verwendetes Kennwort ändern. 

Versuchen Benutzer, sich interaktiv an einem Computer anzumelden, obwohl ihr Kennwort 

abgelaufen ist, fordert Windows sie automatisch auf, ihr Kennwort zu ändern. Wenn die Benutzer 

versuchen, mit einem abgelaufenen Kennwort auf einen freigegebenen Ordner, einen 

Drucker, eine Website oder eine andere Ressource zuzugreifen, wird ihnen einfach der Zugriff 

verweigert. Falls sich also ein Benutzer beschwert, dass er keine Verbindung zu einer 

Ressource herstellen kann, sollten Sie sicherstellen, dass sein Kennwort nicht abgelaufen ist. 

Sie können verhindern, dass die Kennwörter bestimmter Konten jemals ablaufen, indem Sie 

das Kontrollkästchen Kennwort läuft nie ab auf der Registerkarte Konto im Eigenschaftendialogfeld 

des Benutzerkontos aktivieren. 

Deaktiviertes Konto 

Administratoren können Benutzerkonten deaktivieren, um zu verhindern, dass sich ein Benutzer 

anmeldet. Das ist nützlich, wenn ein Benutzer im Urlaub ist und Sie wissen, dass er 

sich einige Zeit nicht anmeldet, oder wenn das Konto eines Benutzers kompromittiert wurde 

und die IT-Abteilung verlangt, dass der Benutzer sich bei ihr meldet, bevor er sich anmelden 

darf. 

Sie aktivieren das deaktivierte Konto eines Benutzers, indem Sie das Kontrollkästchen Konto 

ist deaktiviert im Eigenschaftendialogfeld des Kontos deaktivieren.

Abgelaufenes Konto 


In AD DS-Domänen können Konten so konfiguriert werden, dass sie nach einiger Zeit ablaufen. 

Das ist nützlich, wenn bestimmte Benutzer nur begrenzte Zeit beim Unternehmen 

arbeiten. Hat ein Mitarbeiter beispielsweise einen Zwei-Wochen-Vertrag, können die 

Domänenadministratoren das Ablaufdatum für dieses Konto auf zwei Wochen festlegen. 

Wird ein abgelaufenes Konto doch noch benötigt, können Sie das Eigenschaftendialogfeld 

dieses Kontos öffnen, die Registerkarte Konto anklicken und unter Konto läuft ab ein späteres 

Datum eintragen. Soll das Konto niemals ablaufen, können Sie die Option Nie auswählen. 

Behandeln von Authentifizierungsproblemen mithilfe der Überwachung 

In der Standardeinstellung trägt Windows 7 kein Ereignis in das Ereignisprotokoll ein, wenn 

ein Benutzer falsche Anmeldeinformationen eingibt (weil er sich zum Beispiel bei der Kennworteingabe 

vertippt). Wenn Sie daher Authentifizierungsprobleme untersuchen, sollten Sie 

erst einmal die Überwachung für Anmeldeereignisse aktivieren, damit Sie mehr Informationen 

über die vom Benutzer eingegebenen Anmeldeinformationen und die Ressource 

sammeln können, auf die zugegriffen werden soll. 

Windows 7 (wie auch ältere Windows-Versionen) stellen zwei getrennte Überwachungsrichtlinien 

für die Authentifizierung zur Verfügung: 

Anmeldeereignisse überwachen Überwacht Authentifizierungsversuche für lokale 

Ressourcen, zum Beispiel eine lokale Benutzeranmeldung, das Anheben von Privilegien 

über eine UAC-Eingabeaufforderung oder das Herstellen einer Verbindung über das 

Netzwerk (dazu gehört die Verwendung des Remotedesktops oder das Verbinden mit 

einem freigegebenen Ordner). Alle Authentifizierungsversuche werden überwacht, unabhängig 

davon, ob der Authentifizierungsversuch ein Domänenkonto oder ein lokales 

Benutzerkonto benutzt. 

Anmeldeversuche überwachen Überwacht Domänenauthentifizierungen. Unabhängig 

davon, an welchem Computer der Benutzer sich authentifiziert, treten diese Ereignisse 

nur auf dem Domänencontroller auf, der die Authentifizierungsanforderung verarbeitet. 

Normalerweise brauchen Sie die Überwachung von Kontoanmeldeereignissen 

nicht zu aktivieren, wenn Sie Authentifizierungsprobleme auf Windows 7-Computer 

untersuchen. Eine Erfolgsüberwachung dieser Ereignisse ist auf den Domänencontrollern 

standardmäßig aktiviert. 

Um fehlgeschlagene Authentifizierungsversuche untersuchen zu können, müssen Sie die 

entsprechende Überwachung aktivieren. Gehen Sie dazu folgendermaßen vor: 

1. Klicken Sie im Startmenü auf Systemsteuerung und dann auf System und Sicherheit. 

Klicken Sie auf Verwaltung und dann doppelt auf Lokale Sicherheitsrichtlinie. 

2. Erweitern Sie in der Konsole Lokale Sicherheitsrichtlinie den Knoten Lokale Richtlinien 

und wählen Sie Überwachungsrichtlinie aus. 

3. Klicken Sie im rechten Fensterabschnitt doppelt auf Anmeldeereignisse überwachen. 

4. Aktivieren Sie im Dialogfeld Eigenschaften von Anmeldeereignisse überwachen das 

Kontrollkästchen Fehlgeschlagen, damit jedes Mal ein Ereignis in das Sicherheitsereignisprotokoll 

eingetragen wird, wenn ein Benutzer ungültige Anmeldeinformationen eingibt. 

Falls Sie auch erfolgreiche Authentifizierungsversuche protokollieren wollen (dazu


zählen auch Authentifizierungsversuche von Diensten und anderen Entitäten, die keine 

Benutzer sind), können Sie auch das Kontrollkästchen Erfolgreich aktivieren. 

5. Klicken Sie auf OK. 

6. Starten Sie Ihren Computer neu, damit die Änderungen wirksam werden. 

Wenn die Überwachung aktiviert ist, können Sie sich die Ereignisse folgendermaßen in der 

Ereignisanzeige ansehen: 



2. Erweitern Sie System, Ereignisanzeige, Windows-Protokolle und wählen Sie den Knoten 

Sicherheit aus. 

Die Ereignisanzeige listet nun alle Sicherheitsereignisse auf. Sie können sich ausschließlich 

erfolgreiche Anmeldungen anzeigen lassen, indem Sie im Fensterabschnitt Aktionen 

auf den Link Aktuelles Protokoll filtern klicken und nur die Ereignis-ID 4624 auswählen. 

Wenn Sie ausschließlich fehlgeschlagene Anmeldeversuche sehen wollen, können Sie 

den Link Aktuelles Protokoll filtern anklicken und die Ereignis-ID 4625 auswählen. 

Abbildung 4.4 Ein Überwachungsereignis zu einer fehlgeschlagenen 

Anmeldung, bei der ungültige Anmeldeinformationen eingegeben wurden 

Abbildung 4.4 zeigt ein Beispiel für eine fehlgeschlagene Anmeldung, die aufgetreten ist, als 

der Benutzer ungültige Anmeldeinformationen an einer UAC-Eingabeaufforderung eingege-


ben hat. Beachten Sie, dass der Aufrufprozessname (im Abschnitt »Prozessinformationen«) 

Consent.exe lautet; dies ist der UAC-Prozess. 

Überwachungsereignisse von fehlgeschlagenen Authentifizierungsversuchen über das Netzwerk 

sehen ähnlich aus wie im folgenden Beispiel. Insbesondere Kontoname, Kontodomäne, 

Arbeitsstationsname und Quellnetzwerkadresse sind nützlich, um den betroffenen Computer 

zu identifizieren. 

Fehler beim Anmelden eines Kontos. 

Antragsteller: 

Sicherheits-ID: Keine SID 

Kontoname: - 

Kontodomäne: - 

Anmelde-ID: 0x0 

Anmeldetyp: 3 

Konto, für das die Anmeldung fehlgeschlagen ist: 

Sicherheits-ID: Keine SID 

Kontoname: baduser 

Kontodomäne: NWTRADERS 

Fehlerinformationen: 

Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort. 

Status: 0xc000006d 

Unterstatus: 0xc0000064 

Prozessinformationen: 

Aufrufprozess-ID: 0x0 

Aufrufprozessname: - 

Netzwerkinformationen: 

Arbeitsstationsname: CONTOSO-DC 

Quellnetzwerkadresse: 192.168.1.212 

Quellport: 4953 

Detaillierte Authentifizierungsinformationen: 

Anmeldeprozess: NtLmSsp 

Authentifizierungspaket: NTLM 

Übertragene Dienste: - 

Paketname (nur NTLM): - 

Schlüssellänge: 0 

Wenn Sie sich bei Netzwerkressourcen authentifizieren, werden Authentifizierungsfehler 

immer auf dem Server protokolliert, nicht auf dem Client. Wenn Sie beispielsweise versuchen, 

die Verbindung zu einem freigegebenen Ordner herzustellen, und dabei das Kennwort 

falsch eintippen, taucht das Ereignis nicht in Ihrem lokalen Ereignisprotokoll auf, 

sondern im Ereignisprotokoll des Computers, der den Ordner freigibt. 

Hinweis Trauen Sie nicht dem angegebenen Computernamen 

Der Computer, der den Authentifizierungsversuch sendet, meldet seinen eigenen Arbeitsstationsnamen. 

Handelt es sich um einen böswilligen Angriff, wurde der Arbeitsstationsname 

unter Umständen absichtlich manipuliert. Die IP-Adresse dürfte aber immer richtig sein.


Schnelltest 

1. Welchen Überwachungstyp sollten Sie aktivieren, um lokale Anmeldeereignisse zu 

überwachen? 

2. Welches Ereignisprotokoll werten Sie aus, um Überwachungsereignisse zu finden? 

Antworten zum Schnelltest 

1. Anmeldeereignisse überwachen 

2. Sicherheit 

Problembehandlung für die Netzwerkauthentifizierung 

Um die Netzwerksicherheit zu verbessern, fordern Netzwerkadministratoren oft eine 802.1X- 

Authentifizierung, bevor Clientcomputer eine Verbindung zu Drahtlos- oder Kabelnetzwerken 

herstellen dürfen. Die 802.1X-Authentifizierung arbeitet auf der Netzwerkinfrastrukturschicht. 

Nur Computer, die sich authentifizieren können, erhalten vollständigen Netzwerkzugriff. 

Zum Beispiel muss auf den meisten Drahtlosnetzwerkclientcomputern ein Netzwerksicherheitsschlüssel 

oder ein Zertifikat konfiguriert sein, damit sie auf den Drahtloszugriffspunkt 

zugreifen können. In Kabelnetzwerken erlaubt ein Switch, der 802.1X unterstützt, 

einem neu angeschlossenen Computer, lediglich auf eine beschränkte Zahl von Servern 

zuzugreifen, bis der Computer authentifiziert ist. 

Netzwerkauthentifizierung kann ein Problem sein, wenn Gruppenrichtlinieneinstellungen 

eingesetzt werden, um die Zertifikate zu verteilen, die für die Netzwerkauthentifizierung 

benötigt werden. Die Clientcomputer müssen nämlich erst eine Verbindung zum Netzwerk 

herstellen, um das Zertifikat abzurufen. Sie können dieses Problem bei 802.1X-geschützten 

Drahtlosnetzwerken umgehen, indem Sie die Clientcomputer erst einmal an ein Kabelnetzwerk 

anschließen, bis sie ihre Gruppenrichtlinieneinstellungen aktualisiert haben. 

Wenn Ihre Organisation eine Authentifizierung für Kabelnetzwerke fordert (dies wird seltener 

der Fall sein als bei Drahtlosnetzwerken), sollten Sie gemeinsam mit den Domänenadministratoren 

ein Verfahren entwickeln, wie eine temporäre Verbindung zum Netzwerk 

hergestellt werden kann, falls die 802.1X-Authentifizierung fehlschlägt. Dazu kann beispielsweise 

der Computer über ein virtuelles privates Netzwerk (VPN) angeschlossen werden, das 

Clientzertifikat kann von Hand auf den Clientcomputer importiert werden oder für die Netzwerkauthentifizierung 

kann eine Smartcard benutzt werden. 

Problembehandlung für eine nichtvertrauenswürdige Zertifizierungsstelle 

Zertifikate, wie sie zum Beispiel von einer Unternehmenszertifizierungsstelle (Certificate 

Authority, CA) ausgestellt werden, werden oft für die Authentifizierung eingesetzt. Windows 

7 kann Zertifikate lokal speichern, um einen Benutzer oder den Computer selbst zu 

authentifizieren, und Benutzer können Zertifikate auf einer Smartcard speichern. Im Normalfall 

sollten Domänenadministratoren Zertifikate verwalten, und Einstellungen sollten 

mithilfe von Gruppenrichtlinieneinstellungen an die Clientcomputer übertragen werden. 

Erhalten Sie allerdings eine Fehlermeldung, dass ein Zertifikat von einer nichtvertrauenswürdigen 

Zertifizierungsstelle ausgestellt wurde, können Sie sich die vorhandenen Zertifizierungsstellen 

anzeigen lassen und das Zertifikat der Zertifizierungsstelle dann importieren,


damit Windows 7 allen Zertifikaten vertraut, die von dieser Zertifizierungsstelle ausgestellt 

werden. 

Gehen Sie folgendermaßen vor, um die vertrauenswürdigen Zertifizierungsstellen anzuzeigen: 

1. Geben Sie im Suchfeld des Startmenüs den Befehl mmc ein und drücken Sie die 

EINGABETASTE, um ein leeres MMC-Fenster (Microsoft Management Console) zu 

öffnen. Bestätigen Sie die UAC-Eingabeaufforderung, die daraufhin angezeigt wird. 

2. Klicken Sie auf Datei und dann auf Snap-In hinzufügen/entfernen. 

3. Wählen Sie Zertifikate aus und klicken Sie auf Hinzufügen. 

4. Wählen Sie die Option Eigenes Benutzerkonto aus, falls ein entsprechendes Dialogfeld 

angezeigt wird, und klicken Sie dann auf Fertig stellen. 

5. Klicken Sie auf OK, um das Dialogfeld Snap-Ins hinzufügen bzw. entfernen zu schließen. 

6. Erweitern Sie den Knoten Zertifikate – Aktueller Benutzer, dann Vertrauenswürdige 

Stammzertifizierungsstellen und wählen Sie Zertifikate aus. 

Der mittlere Fensterabschnitt zeigt eine Liste der vertrauenswürdigen Zertifizierungsstellen 

an. In der Standardeinstellung finden Sie hier über 10 vordefinierte öffentliche 

Zertifizierungsstellen. Zusätzlich sollten hier alle internen Zertifizierungsstellen Ihrer 

Organisation enthalten sein. Falls Ihre Organisation eine Unternehmenszertifizierungsstelle 

hat, die nicht in dieser Liste aufgeführt ist, sollten Sie sich an einen Domänenadministrator 

wenden, weil die vertrauenswürdigen Zertifizierungsstellen mithilfe von 

Gruppenrichtlinien konfiguriert werden sollten. 

Stattdessen können Sie eine Zertifizierungsstelle auch von Hand als vertrauenswürdig einstufen. 

Gehen Sie dazu im Snap-In Zertifikate folgendermaßen vor: 

1. Klicken Sie unter Vertrauenswürdige Stammzertifizierungsstellen mit der rechten Maustaste 

auf Zertifikate, klicken Sie auf Alle Aufgaben und dann auf Importieren. 

Der Zertifikatimport-Assistent wird geöffnet. 

2. Klicken Sie auf der Seite Willkommen des Zertifikatimport-Assistenten auf Weiter. 

3. Klicken Sie auf der Seite Zu importierende Datei auf Durchsuchen. Wählen Sie das 

Zertifikat Ihrer Zertifizierungsstelle aus (es kann vom Administrator der Zertifizierungsstelle 

bereitgestellt oder von einem Computer exportiert werden, der dieser Zertifizierungsstelle 

vertraut) und klicken Sie auf Weiter. 

4. Übernehmen Sie auf der Seite Zertifikatspeicher die Standardoption für den Zertifikatspeicher 

(»Vertrauenswürdige Stammzertifizierungsstellen«) und klicken Sie auf Weiter. 

5. Klicken Sie auf der Seite Fertigstellen des Assistenten des Zertifikatimport-Assistenten 

auf Fertig stellen. 

6. Klicken Sie in der Sicherheitswarnung auf Ja, sofern eine solche Meldung angezeigt 

wird. 

7. Klicken Sie in der Bestätigung, dass der Import erfolgreich war, auf OK. 

Ihr Benutzerkonto vertraut jetzt allen Zertifikaten, die von dieser Zertifizierungsstelle 

ausgestellt wurden.


Problembehandlung für nichtvertrauenswürdige Computerkonten 

Computer haben Konten in AD DS-Domänen, genauso wie Benutzer. Computerkonten benötigen 

normalerweise keine Wartung, weil Windows und der Domänencontroller automatisch 

ein Kennwort generieren und den Computer beim Start authentifizieren. 

Computerkonten können allerdings nichtvertrauenswürdig werden. Das bedeutet, dass die 

Sicherheits-ID (Security ID, SID) oder das Kennwort des Computers sich von dem Wert 

unterscheiden, der in AD DS gespeichert ist. Das passiert in folgenden Fällen: 

Mehrere Computer haben dieselbe SID. Das kann vorkommen, wenn ein Computer 

dadurch bereitgestellt wird, dass ein Festplattenabbild kopiert wird, ohne dass die SID 

mit dem Bereitstellungstool Sysprep zurückgesetzt wurde. 

Das Computerkonto in AD DS ist beschädigt. 

Anders als bei einem Benutzerkonto können Sie das Kennwort eines Computerkontos nicht 

zurücksetzen. Wird ein Computerkonto daher nichtvertrauenswürdig, beseitigen Sie das 

Problem am einfachsten, indem Sie den Computer erneut zur Domäne hinzufügen. Gehen 

Sie dazu folgendermaßen vor: 

1. Klicken Sie im Startmenü des nichtvertrauenswürdigen Computers mit der rechten 

Maustaste auf Computer und wählen Sie den Befehl Eigenschaften. Das Fenster System 

wird geöffnet. 

2. Klicken Sie im Abschnitt Einstellungen für Computernamen, Domäne und Arbeitsgruppe 

auf Einstellungen ändern. Das Dialogfeld Systemeigenschaften wird geöffnet. 

3. Klicken Sie auf Ändern. Das Dialogfeld Ändern des Computernamens bzw. der Domäne 


4. Wählen Sie die Option Arbeitsgruppe aus und klicken Sie auf OK. Damit wird der Computer 

aus der Domäne entfernt. Starten Sie den Computer neu, wenn Sie dazu aufgefordert 

werden. 

5. Öffnen Sie auf einem Domänencontroller die Konsole Active Directory-Benutzer und 

-Computer, klicken Sie mit der rechten Maustaste auf das Computerkonto und wählen 

Sie den Befehl Konto zurücksetzen. 

6. Wiederholen Sie auf dem nichtvertrauenswürdigen Computer die Schritte 2 bis 4, um 

das Dialogfeld Ändern des Computernamens bzw. der Domäne zu öffnen. Wählen Sie 

die Option Domäne aus und tragen Sie den Namen Ihrer Domäne ein. Geben Sie die 

Anmeldeinformationen eines Domänenadministrators ein, um den Computer zur Domäne 

hinzuzufügen. Starten Sie den Computer neu, wenn Sie dazu aufgefordert werden. 

Stattdessen können Sie das Kennwort eines Computerkontos auch auf einem Computer, der 

unter Windows Server 2008 R2 läuft, mit dem Befehlszeilentool Netdom zurücksetzen. Bei 

älteren Windows Server-Versionen war Netdom im Ordner Support\Tools auf der Windows- 

DVD enthalten. Weitere Informationen über Netdom erhalten Sie, indem Sie in einer Eingabeaufforderung 

den Befehl netdom /? ausführen. In Windows 7 ist Netdom allerdings 

nicht enthalten.


Übung Anmeldeinformationen für die künftige Verwendung speichern 

In dieser Übung speichern Sie mithilfe der Anmeldeinformationsverwaltung Ihre Anmeldeinformationen, 

sodass Sie sich automatisch bei einem Remotecomputer authentifizieren 

können. 

Übung Verwenden der Anmeldeinformationsverwaltung 

In dieser Übung speichern Sie mit der Anmeldeinformationsverwaltung Ihre Anmeldeinformationen 

für die künftige Verwendung. 

1. Melden Sie sich an einem Windows 7-Computer an. Erstellen Sie ein neues Benutzerkonto 

mit dem Benutzernamen MyLocalUser und weisen Sie ihm ein Kennwort zu. Dieses 

Konto gibt es nicht auf irgendwelchen Netzwerkcomputern. Wenn dieser Benutzer 

eine Verbindung zu einem Remotecomputer herstellen will, muss er daher immer alternative 

Anmeldeinformationen eingeben. 

2. Legen Sie auf einem Remotecomputer einen freigegebenen Ordner an. Merken Sie sich 

die Namen des Servers und der Freigabe. 

3. Melden Sie sich als MyLocalUser an. 

4. Klicken Sie im Startmenü auf Computer. Klicken Sie auf Netzlaufwerk zuordnen. 

5. Geben Sie im Dialogfeld Netzlaufwerk verbinden den Namen \\\ 

ein, um zu versuchen, eine Verbindung zu der in Schritt 2 angelegten Freigabe herzustellen. 

Klicken Sie auf Fertig stellen. 

6. Klicken Sie zweimal auf Abbrechen, wenn das Dialogfeld Verbinden mit Server angezeigt 

wird. 

Dieses Dialogfeld wurde angezeigt, weil Ihr aktuelles Konto auf dem Remoteserver keine 

Privilegien hat und Sie keine Anmeldeinformationen in der Anmeldeinformationsverwaltung 

eingetragen haben. 

Hinweis Anmeldeinformationen für diese Übung von Hand konfigurieren 

Für diese Übung sollten Sie die Anmeldeinformationen von Hand in der Anmeldeinformationsverwaltung 

konfigurieren. Viel einfacher erreichen Sie aber dasselbe Ergebnis, 

wenn Sie die Daten in die Felder Benutzername und Kennwort eingeben und das Kontrollkästchen 

Kennwort speichern aktivieren. Daraufhin speichert der Windows-Explorer 

die Anmeldeinformationen automatisch ab. 



9. Klicken Sie im linken Fensterabschnitt auf den Link Eigene Anmeldeinformationen 

verwalten. 

Das Fenster Anmeldeinformationsverwaltung wird geöffnet. 

10. Klicken Sie auf Windows-Anmeldeinformationen hinzufügen. 

11. Geben Sie im Feld Internet- oder Netzwerkadresse den Namen des Servers ein, zu dem 

Sie in Schritt 5 eine Verbindung herstellen wollten.


12. Geben Sie in den Feldern Benutzername und Kennwort Ihre administrativen Anmeldeinformationen 

für den Remoteserver ein. 


14. Klicken Sie im Startmenü auf Computer und dann auf Netzlaufwerk zuordnen. 

15. Geben Sie im Dialogfeld Netzlaufwerk verbinden den Namen \\\ 

ein, um erneut zu versuchen, wie in Schritt 5 eine Verbindung zu der Freigabe herzustellen. 

Deaktivieren Sie das Kontrollkästchen Verbindung bei Anmeldung wiederherstellen 

und klicken Sie auf Fertig stellen. 

Der Windows-Explorer stellt automatisch die Verbindung zum freigegebenen Ordner 

her, ohne dass Sie Anmeldeinformationen eingeben müssen. Benutzername und Kennwort 

werden diesmal aus der Anmeldeinformationsverwaltung abgerufen. 


Die Authentifizierung ist der Prozess, bei dem ein Benutzer identifiziert und die Identität 

des Benutzers bewiesen wird. 

Die Anmeldeinformationsverwaltung speichert die Anmeldeinformationen eines Benutzers, 

sodass bei künftigen Versuchen, auf eine Ressource zuzugreifen, eine automatische 

Authentifizierung vorgenommen werden kann. Sie können Anmeldeinformationen von 

Hand eintragen, indem Sie das Tool Gespeicherte Benutzernamen und Kennwörter der 

Systemsteuerung öffnen. 

Wenn Sie eine Problembehandlung für die Benutzerauthentifizierung durchführen, sollten 

Sie die Überwachung fehlgeschlagener Anmeldungen aktivieren, das Authentifizierungsproblem 

reproduzieren und dann im Sicherheitsereignisprotokoll nach Details zum 

Authentifizierungsfehler suchen. Wenn Sie Netzwerkauthentifizierungsprobleme untersuchen, 

sollten Sie sicherstellen, dass die Gruppenrichtlinieneinstellungen aktualisiert 

wurden, und mit den Netzwerkadministratoren zusammenarbeiten, um das Problem zu 

beseitigen. Ein Problem mit einer nichtvertrauenswürdigen Zertifizierungsstelle können 

Sie beseitigen, indem Sie das Zertifikat dieser Zertifizierungsstelle in die Liste der vertrauenswürdigen 

Stammzertifizierungsstellen importieren. 



»Authentifizieren von Benutzern«, überprüfen. Die Fragen finden Sie (in englischer Sprache) 

auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im Rahmen eines 

Übungstests beantworten. 




1. Bei welchen der folgenden Operationen wird die automatische Authentifizierung mithilfe 

der Anmeldeinformationsverwaltung unterstützt? (Wählen Sie alle zutreffenden 

Antworten aus.)


A. Herstellen der Verbindung zu einem freigegebenen Ordner 

B. Herstellen der Verbindung zu einem freigegebenen Drucker 

C. Authentifizieren bei einer Website, die ein HTML-Formular verwendet 

D. Authentifizieren bei einer Website, die ein Dialogfeld öffnet, in das der Benutzer 

seine Anmeldeinformationen eingeben muss 

2. Welche der folgenden Überwachungsarten sollten Sie aktivieren, um zu verfolgen, wenn 

ein Benutzer seinen Benutzernamen oder das Kennwort falsch eintippt, während er sich 

an einem Windows 7-Domänenmitgliedscomputer unter einem lokalen Benutzerkonto 

anmeldet? 

A. Anmeldeereignisse überwachen, Erfolgreich 

B. Anmeldeereignisse überwachen, Fehlgeschlagen 

C. Anmeldeversuche überwachen, Erfolgreich 

D. Anmeldeversuche überwachen, Fehlgeschlagen 

3. Welche der folgenden Ereignisse werden im lokalen Ereignisprotokoll aufgezeichnet, 

wenn Sie die Überwachung für erfolgreiche und fehlgeschlagene Anmeldeversuche aktiviert 

haben? (Wählen Sie alle zutreffenden Antworten aus.) 

A. Lokale Anmeldung an einem Windows 7-Computer 

B. Eingabe von Benutzername und Kennwort auf einer Remotewebsite 

C. Herstellen der Verbindung zu einem freigegebenen Ordner auf einem Remotecomputer 

D. Anheben der Privilegien in einer Eingabeaufforderung der Benutzerkontensteuerung


Lektion 2: Konfigurieren und Problembehandlung der Internet 

Explorer-Sicherheit 

In den letzten Jahren wurden immer mehr erfolgreiche Angriffe dadurch ausgelöst, dass ein 

Benutzer eine Website besucht. So können Websites einen Benutzer beispielsweise durch 

einen Trick dazu bringen, vertrauliche Daten einzugeben. Oder sie nutzen eine Sicherheitslücke 

im Browser aus, um Code auszuführen, ohne dass der Benutzer dies explizit genehmigt. 

In Windows 7 ist der Windows Internet Explorer 8.0 standardmäßig so konfiguriert, dass 

derartige Gefahren so gering wie möglich gehalten werden. Daher laufen in der Standardeinstellung 

viele Add-Ons nicht und der Internet Explorer wird mit minimalen Privilegien ausgeführt. 

Als Administrator müssen Sie diese Einschränkungen kennen und wissen, wie Sie 

sie umgehen, damit auch Webanwendungen einwandfrei laufen, die solche eingeschränkten 

Features benötigen. Außerdem müssen Sie wissen, wie Sie häufige Probleme beim Websurfen 

beseitigen, beispielsweise durch Verwendung von Zertifikaten und die Analyse von 

Gruppenrichtlinieneinschränkungen. 


Konfigurieren von Add-Ons im Internet Explorer (auch ActiveX-Steuerelemente) und 

Durchführen einer Problembehandlung für Add-Ons 

Hinzufügen von Sites zur Liste Vertrauenswürdige Sites 

Beschreiben und Konfigurieren des geschützten Modus 

Beseitigen von Problemen im Zusammenhang mit SSL-Zertifikaten (Secure Sockets 

Layer) 

Erkennen von Einschränkungen aufgrund von Gruppenrichtlinien 


Internet Explorer-Add-Ons 

Add-Ons erweitern die Fähigkeiten des Internet Explorers, sodass Websites viel umfangreichere 

und interaktivere Inhalte bereitstellen können. Zum Beispiel sind folgende Add-Ons 

weit verbreitet: 

Shockwave Flash Ein Add-On, das komplexe Animationen, Spiele und andere interaktive 

Fähigkeiten ermöglicht 

Windows Media Player Ein Add-On, mit dem Webseiten Audio und Video integrieren 

können 

Microsoft Virtual Server VMRC Control Ein Add-On, mit dem Benutzer über das 

Netzwerk einen virtuellen Computer aus dem Internet Explorer steuern können 

Die folgenden Abschnitte beschreiben, wie Sie Add-Ons konfigurieren und Probleme im 

Zusammenhang mit Add-Ons beseitigen.


Aktivieren und Deaktivieren von Add-Ons 

Wenn Sie den Internet Explorer gestartet haben, können Sie Add-Ons folgendermaßen deaktivieren 

oder entfernen: 

1. Klicken Sie in der Symbolleiste auf die Schaltfläche Extras und dann auf Add-Ons 

verwalten. 

Das Dialogfeld Add-Ons verwalten wird geöffnet (Abbildung 4.5). 

Abbildung 4.5 Das Dialogfeld Add-Ons verwalten 

2. Wählen Sie im Dialogfeld Add-Ons verwalten ein Add-On aus und klicken Sie auf die 

Option Deaktivieren, um zu verhindern, dass das Add-On automatisch geladen wird. 

Wenn es sich beim Add-On um ein ActiveX-Steuerelement handelt, können Sie auch auf 

Löschen klicken, um es dauerhaft zu entfernen. 

Wenn ein Add-On ernste Probleme verursacht und der Internet Explorer gar nicht mehr startet, 

können Sie das Add-On auch deaktivieren, ohne den Internet Explorer zu öffnen. Gehen Sie 

dazu folgendermaßen vor: 


2. Klicken Sie auf Netzwerk und Internet. 

3. Klicken Sie unter Internetoptionen auf den Link Browser-Add-Ons verwalten. 

Das Dialogfeld Eigenschaften von Internet wird geöffnet. 

4. Klicken Sie auf Add-Ons verwalten. 

5. Wählen Sie im Dialogfeld Add-Ons verwalten ein Add-On aus. Klicken Sie auf Deaktivieren 

und dann auf OK, um zu verhindern, dass dieses Add-On automatisch geladen 

wird.


Den Internet Explorer ohne Add-Ons starten 

Ein fehlerhaftes oder böswilliges Add-On kann Probleme beim Start des Internet Explorers 

verursachen. Sie können dieses Problem umgehen, indem Sie den Internet Explorer folgendermaßen 

ohne Add-Ons starten: 

1. Klicken Sie im Startmenü auf Alle Programme, Zubehör und Systemprogramme. 

2. Klicken Sie auf Internet Explorer (ohne Add-Ons). 

Der Internet Explorer wird so gestartet, dass alle Add-Ons deaktiviert sind. Falls eine 

Webseite ein neues Fenster öffnet, wenn Sie auf einen Link klicken, sind auch in diesem 

neuen Fenster die Add-Ons deaktiviert. Add-Ons werden automatisch aktiviert, wenn Sie 

den Internet Explorer das nächste Mal über die normale Verknüpfung starten. 

Stattdessen können Sie den Internet Explorer auch von Hand mit dem Argument -extoff 

starten. Geben Sie dazu im Suchfeld des Startmenüs iexplore -extoff ein und drücken Sie 

die EINGABETASTE. 

Konfigurieren von Add-Ons in AD DS-Domänenumgebungen 

Wie bei älteren Versionen des Internet Explorers können Sie mit den Gruppenrichtlinieneinstellungen 

in Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Internet 

Explorer\Sicherheitsfunktionen\Add-On-Verwaltung bestimmte Add-Ons in 

Ihrer gesamten Organisation aktivieren oder deaktivieren. Üblicherweise verwenden Sie in 

diesem Knoten zwei Einstellungen, um alle unerwünschten Add-Ons in Ihrer Organisation 

zu blockieren: 

Add-On-Liste Aktivieren Sie diese Einstellung und geben Sie dann die erlaubten Add- 

Ons für Ihre Organisation an. Sie können ein Add-On identifizieren, indem Sie seine CLS- 

ID (Class Identifier) in der Add-On-Liste als Namen eintragen. Die CLSID muss in geschweiften 

Klammern stehen, zum Beispiel »{BDB57FF2-79B9-4205-9444-F5FE85F3 

7312}«. Sie finden die CLSID eines Add-Ons, indem Sie das -Tag im HTML- 

Code einer Webseite auslesen, die auf das Add-On verweist. Wenn Sie das Add-On verbieten 

wollen, müssen Sie als Wert 0 eintragen. Soll das Add-On erlaubt sein, tragen Sie 

den Wert 1 ein. Wenn Sie das Add-On zulassen und den Benutzern erlauben wollen, es 

zu verwalten, können Sie den Wert 2 eintragen. 

Alle Add-Ons sperren, soweit diese nicht explizit in der Add-On-Liste aufgeführt 

sind Wenn Sie in der Einstellung Add-On-Liste alle Add-Ons eingetragen haben, die 

Sie erlauben wollen, können Sie diese Richtlinie aktivieren, um automatisch alle anderen 

Add-Ons zu blockieren. Sie können diese beiden Einstellungen kombinieren, um alle 

ungenehmigten Add-Ons zu blockieren. 

Zwei weitere Gruppenrichtlinieneinstellungen, die mit der Add-On-Verwaltung zu tun haben, 

sind sowohl unter Benutzerkonfiguration als auch Computerkonfiguration im Knoten Administrative 

Vorlagen\Windows-Komponenten\Internet Explorer verfügbar. Die Einstellungen 

zum Verwalten von Add-Ons sind: 

Systemabsturzermittlung deaktivieren In der Standardeinstellung erkennt der Internet 

Explorer ein Add-On, das abstürzt, und deaktiviert es, wenn Sie den Internet Explorer 

das nächste Mal starten. Falls Sie ein problematisches Add-On haben, das für eine wichtige 

Webanwendung gebraucht wird, können Sie diese Richtlinie aktivieren und auf diese 

Weise sicherstellen, dass sogar ein fehlerhaftes Add-On weiterhin ausgeführt wird.


Aktivierung bzw. Deaktivierung von Add-Ons für Benutzer nicht zulassen In der 

Standardeinstellung können Benutzer das Dialogfeld Add-Ons verwalten öffnen und 

darin Add-Ons aktivieren oder deaktivieren. Wenn Sie diese Richtlinie aktivieren, können 

die Benutzer keine Add-Ons mehr konfigurieren. 

Konfigurieren von ActiveX-Add-Ons 

ActiveX ist eine Technologie, die es ermöglicht, leistungsfähige Anwendungen mit komfortabler 

Benutzeroberfläche innerhalb eines Webbrowsers auszuführen. Aus diesem Grund 

haben viele Organisationen ActiveX-Komponenten als Teil einer Webanwendung entwickelt. 

Aus demselben Grund haben aber auch viele Angreifer ActiveX-Komponenten erstellt, um 

die Fähigkeiten der Plattform zu missbrauchen. Einige Beispiele für ActiveX-Steuerelemente: 

Eine Komponente, mit der Sie virtuelle Computer über eine Microsoft Virtual Server- 

Webseite verwalten 

Eine Microsoft Update-Komponente, die untersucht, ob Updates auf Ihrem Computer 

fehlen 

Shockwave Flash, mit dem viele Websites komplexe Animationen und Spiele bereitstellen 

Eine Komponente, die versucht, Malware zu installieren oder Einstellungen ohne Wissen 

des Benutzers zu ändern 

Ältere Versionen des Internet Explorers installierten ActiveX-Steuerelemente, ohne beim 

Benutzer nachzufragen. Das machte Websites, die mit ActiveX-Steuerelementen arbeiten, 

sehr benutzerfreundlich, weil der Benutzer die Features des Steuerelements nutzen konnte, 

ohne seine Installation manuell genehmigen zu müssen. Allerdings missbrauchten Malware- 

Entwickler bald diese Fähigkeit und erstellten böswillige ActiveX-Steuerelemente, die Software 

auf dem Computer des Benutzers installieren oder Einstellungen ändern, zum Beispiel 

die Startseite des Benutzers. 

Damit Sie einerseits wichtige ActiveX-Steuerelemente benutzen können, aber andererseits 

potenziell gefährliche ActiveX-Steuerelemente blockiert werden, hat Microsoft leistungsfähige 

ActiveX-Verwaltungsfähigkeiten in den Internet Explorer eingebaut. Die folgenden 

Abschnitte beschreiben, wie Sie ActiveX auf einem einzelnen Computer und innerhalb eines 

großen Unternehmens konfigurieren. 

Konfigurieren des ActiveX-Opt-In 

Im Internet Explorer 8 werden ActiveX-Steuerelemente in der Standardeinstellung nicht 

automatisch installiert. Wenn ein Benutzer eine Webseite besucht, die ein ActiveX-Steuerelement 

enthält, bekommt er eine Informationsleiste angezeigt, die ihn informiert, dass ein 

ActiveX-Steuerelement erforderlich ist. Der Benutzer muss dann auf diese Informationsleiste 

klicken und den Befehl ActiveX-Steuerelement installieren wählen. Falls der Benutzer 

nichts tut, installiert der Internet Explorer das ActiveX-Steuerelement nicht. Abbildung 4.6 

zeigt die Genuine Microsoft Software-Webseite, auf der Benutzer ein ActiveX-Steuerelement 

installieren müssen, damit ihr Windows-Exemplar als Original bestätigt werden kann. 

Wenn der Benutzer auf ActiveX-Steuerelement installieren klickt, muss er in einer Eingabeaufforderung 

der Benutzerkontensteuerung administrative Anmeldeinformationen eingeben. 

Anschließend erhält der Benutzer eine zweite Sicherheitswarnung vom Internet Explorer.


Sofern der Benutzer diese Sicherheitswarnung bestätigt, installiert der Internet Explorer das 

ActiveX-Steuerelement und führt es aus. 

Abbildung 4.6 Die Genuine Microsoft Software-Seite 

Das ActiveX-Opt-In ist in der Standardeinstellung für die Zonen Internet und Eingeschränkte 

Sites aktiviert, aber für die Zonen Lokales Intranet und Vertrauenswürdige Sites deaktiviert. 

Daher sollten alle Websites in Ihrem lokalen Intranet in der Lage sein, ActiveX-Steuerelemente 

zu installieren, ohne dass der Benutzer dies genehmigen muss. Sie können die Standardeinstellung 

für eine Zone folgendermaßen ändern: 

1. Öffnen Sie den Internet Explorer. Klicken Sie in der Symbolleiste auf die Schaltfläche 

Extras und dann auf Internetoptionen. 

2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit. Wählen Sie 

die Zone aus, die Sie bearbeiten wollen, und klicken Sie auf die Schaltfläche Stufe anpassen. 

3. Blättern Sie in der Liste Einstellungen nach unten. Ändern Sie unter ActiveX-Steuerelemente 

und Plugins die Einstellung für den Eintrag Ausführung von bisher nicht verwendeten 

ActiveX-Steuerelementen ohne Eingabeaufforderung zulassen. Wenn hier Deaktivieren 

ausgewählt ist, ist das ActiveX-Opt-In aktiviert. Klicken Sie zweimal auf OK. 

Prüfungstipp 

Die Bezeichnung »ActiveX-Opt-In« kann verwirrend sein. Wenn Sie das ActiveX-Opt- 

In aktivieren, sorgen Sie dafür, dass der Internet Explorer ActiveX-Steuerelemente nicht 

automatisch installiert. Stattdessen muss der Benutzer explizit bestätigen, dass er das 

Add-On laden will. 

Das ActiveX-Opt-In gilt für die meisten ActiveX-Steuerelemente. Ausgenommen davon sind 

die ActiveX-Steuerelemente, die in der Liste der automatisch genehmigten Steuerelemente 

stehen. Diese Liste wird in der Registrierung unter HKEY_LOCAL_MACHINE\SOFTWARE\ 

Microsoft\Windows\CurrentVersion\Ext\PreApproved verwaltet. In diesem Schlüssel gibt es 

mehrere Unterschlüssel, jeweils mit der CLSID eines genehmigten ActiveX-Steuerelements. 

Sie finden die CLSID eines ActiveX-Steuerelements heraus, indem Sie den Quellcode einer 

Webseite anzeigen und nach dem -Tag suchen. Suchen Sie im Quellcode einer Webseite 

nach dem Begriff »


Konfigurieren von ActiveX auf einem einzelnen Computer 

Der vorherige Abschnitt hat beschrieben, wie Sie ActiveX-Opt-In auf einem einzelnen Computer 

konfigurieren. Neben dieser Einstellung können Sie im Dialogfeld Sicherheitseinstellungen 

mehrere andere zonenspezifische Einstellungen im Zusammenhang mit ActiveX 

konfigurieren: 

Automatische Eingabeaufforderung für ActiveX-Steuerelemente Diese Einstellung 

ist in der Standardeinstellung für alle Zonen deaktiviert. Wenn Sie diese Einstellung aktivieren, 

wird nicht die Informationsleiste geöffnet, sondern der Benutzer erhält eine 

direkte Meldung mit der Frage, ob er das ActiveX-Steuerelement installieren möchte. 

Signierte ActiveX-Steuerelemente herunterladen Der Entwickler kann ActiveX- 

Steuerelemente signieren. Normalerweise sind signierte ActiveX-Steuerelemente vertrauenswürdiger 

als unsignierte, aber Sie sollten signierten ActiveX-Steuerelementen 

nicht bedingungslos vertrauen. In der Standardeinstellung muss der Benutzer diesen 

Vorgang bestätigen. Sie können die Zahl der angezeigten Nachfragen verringern, indem 

Sie die Option Aktivieren einstellen. 

Unsignierte ActiveX-Steuerelemente herunterladen In der Standardeinstellung sind 

unsignierte ActiveX-Steuerelemente deaktiviert. Wenn Sie ein unsigniertes ActiveX- 

Steuerelement verteilen müssen, sollten Sie die Site, die das Steuerelement benötigt, zur 

Liste Vertrauenswürdige Sites hinzufügen und diese Einstellung für die Zone Vertrauenswürdige 

Sites auf Bestätigen ändern. 

ActiveX-Steuerelemente initialisieren und ausführen, die nicht als "sicher für 

Skripting" markiert sind Diese Einstellung ist in der Standardeinstellung für alle 

Zonen deaktiviert. Sie sollten sie nur aktivieren, falls ein Problem mit einem bestimmten 

ActiveX-Steuerelement auftritt und der Entwickler Sie informiert, dass diese Einstellung 

erforderlich ist. In diesem Fall sollten Sie die Site zur Liste Vertrauenswürdige Sites 

hinzufügen und die Einstellung ausschließlich für diese Zone aktivieren. 

ActiveX-Steuerelemente und Plugins ausführen Diese Einstellung steuert, ob 

ActiveX-Steuerelemente ausgeführt werden, unabhängig davon, wie andere Einstellungen 

definiert sind. Anders ausgedrückt: Wenn diese Einstellung deaktiviert ist, können 

die Benutzer keine ActiveX-Steuerelemente ausführen, nicht einmal über das ActiveX- 

Opt-In. Diese Einstellung ist für alle Zonen außer Eingeschränkte Sites aktiviert. 

ActiveX-Steuerelemente ausführen, die für Skripting sicher sind Manche ActiveX- 

Steuerelemente werden vom Entwickler als sicher für das Skripting markiert. Diese Einstellung 

ist für alle Zonen außer Eingeschränkte Sites aktiviert. Normalerweise sollten 

Sie hier die Standardeinstellung beibehalten. Weil der Entwickler entscheidet, ob das 

Steuerelement als sicher für Skripting markiert wird, verrät diese Kennzeichnung nicht, 

ob das ActiveX-Steuerelement vertrauenswürdiger ist als andere Steuerelemente. 

Verwalten von ActiveX-Add-Ons auf einem einzelnen Computer 

Gehen Sie folgendermaßen vor, um ActiveX-Steuerelemente auf einem einzelnen Computer 

zu konfigurieren: 

1. Öffnen Sie den Internet Explorer. 

2. Klicken Sie in der Symbolleiste auf die Schaltfläche Extras, dann auf Add-Ons verwalten 

und schließlich auf Add-Ons aktivieren bzw. deaktivieren.


Das Dialogfeld Add-Ons verwalten wird geöffnet. 

3. Klicken Sie auf die Dropdownliste Anzeigen und wählen Sie den Eintrag Heruntergeladene 

ActiveX-Steuerelemente aus. 

4. Wählen Sie das ActiveX-Steuerelement aus, das Sie verwalten wollen, und wählen Sie 

eine der folgenden Möglichkeiten. Klicken Sie auf OK, wenn Sie die gewünschten Einstellungen 

vorgenommen haben. 

Wählen Sie die Option Deaktivieren, um das ActiveX-Steuerelement zu deaktivieren. 

Klicken Sie auf Löschen, um das ActiveX-Steuerelement zu entfernen. 

Konfigurieren des ActiveX-Installerdienstes 

Manche wichtige Webanwendungen setzen unter Umständen voraus, dass ActiveX-Steuerelemente 

laufen. Das kann ein Problem sein, wenn Ihre Benutzer nicht über administrative 

Anmeldeinformationen verfügen, weil die UAC administrative Anmeldeinformationen anfordert, 

um ActiveX-Steuerelemente zu installieren (allerdings kann jeder Benutzer auf ein 

ActiveX-Steuerelement zugreifen, wenn es erst einmal installiert ist). 

Glücklicherweise können Sie den ActiveX-Installerdienst verwenden, damit Standardbenutzer 

bestimmte ActiveX-Steuerelemente installieren können. Gehen Sie folgendermaßen vor, 

um die Liste der Sites zu konfigurieren, die ActiveX-Steuerelemente installieren dürfen: 

1. Öffnen Sie das Gruppenrichtlinienobjekt (Group Policy Object, GPO) im Gruppenrichtlinienverwaltungs-Editor. 

2. Erweitern Sie den Knoten Computerkonfiguration\Administrative Vorlagen\Windows- 

Komponenten\ActiveX-Installerdienst. 

3. Klicken Sie doppelt auf die Einstellung Genehmigte Installationsorte für ActiveX-Steuerelemente. 

Aktivieren Sie die Einstellung. 

4. Klicken Sie auf die Schaltfläche Anzeigen, um einzutragen, welche Host-URLs (Uniform 

Resource Locator) ActiveX-Steuerelemente verteilen dürfen. Klicken Sie im Dialogfeld 

Inhalt anzeigen auf Hinzufügen und konfigurieren Sie die Host-URLs: 

Tragen Sie als Elementnamen den Hostnamen der Website ein, von der Clients die 

aktualisierten ActiveX-Steuerelemente herunterladen, zum Beispiel http://activex. 

microsoft.com. 

Tragen Sie als Wert vier Zahlen ein, die durch Kommas getrennt sind (zum Beispiel 

»2,1,0,0«). Die Bedeutung dieser Werte wird weiter unten in diesem Abschnitt beschrieben. 

5. Klicken Sie auf OK, um die Einstellung für die neue Richtlinie abzuspeichern. 

Wenn Sie die Liste der genehmigten Installationssites für ActiveX-Steuerelemente konfigurieren, 

tragen Sie für jede Site ein Name/Wert-Paar ein. Der Name ist immer der URL der 

Site, die das ActiveX-Steuerelement anbietet, zum Beispiel http://activex.microsoft.com. Der 

Wert besteht aus vier Zahlen: 

Vertrauenswürdige ActiveX-Steuerelemente Tragen Sie als erste Zahl 0 ein, wenn 

Sie verhindern wollen, dass vertrauenswürdige ActiveX-Steuerelemente installiert werden 

dürfen, 1, wenn beim Benutzer nachgefragt werden soll, ob vertrauenswürdige ActiveX-Steuerelemente 

installiert werden sollen, oder 2, um die ActiveX-Steuerelemente 

automatisch zu installieren, ohne beim Benutzer nachzufragen.


Signierte ActiveX-Steuerelemente Tragen Sie als zweite Zahl 0 ein, wenn Sie verhindern 

wollen, dass signierte ActiveX-Steuerelemente installiert werden dürfen, 1, wenn 

beim Benutzer nachgefragt werden soll, ob signierte ActiveX-Steuerelemente installiert 

werden sollen, oder 2, um signierte ActiveX-Steuerelemente automatisch zu installieren, 

ohne beim Benutzer nachzufragen. 

Unsignierte ActiveX-Steuerelemente Tragen Sie als dritte Zahl 0 ein, wenn Sie verhindern 

wollen, dass unsignierte ActiveX-Steuerelemente installiert werden dürfen, oder 

1, wenn beim Benutzer nachgefragt werden soll, ob unsignierte ActiveX-Steuerelemente 

installiert werden sollen. Sie können nicht einstellen, dass unsignierte ActiveX-Steuerelemente 

automatisch installiert werden. 

Serverzertifikatrichtlinie Tragen Sie bei diesem Wert die Zahl 0 ein, wenn der 

ActiveX-Installerdienst beim Auftreten von Zertifikatfehlern die Installation abbrechen 

soll. Stattdessen können Sie 256 eintragen, um eine unbekannte Zertifizierungsstelle zu 

ignorieren, 512, um ungültige Zertifikatverwendung zu ignorieren, 4096, um einen unbekannten 

Namen im Zertifikat zu ignorieren, oder 8192, um ein abgelaufenes Zertifikat 

zu ignorieren. Addieren Sie diese Zahlen, wenn Sie mehrere Typen von Zertifikatfehlern 

ignorieren wollen. 

Beispielsweise bedeutet die Zahlenfolge »2,1,0,0«, dass der ActiveX-Installerdienst vertrauenswürdige 

ActiveX-Steuerelemente automatisch installiert, den Benutzer vor der Installation 

signierter Steuerelemente fragt, unsignierte Steuerelemente niemals installiert und die Installation 

abbricht, sobald irgendwelche HTTPS-Zertifikatfehler (Hypertext Transfer Protocol 

Secure) auftreten. 

Wenn ein Benutzer versucht, ein ActiveX-Steuerelement zu installieren, das nicht genehmigt 

wurde, trägt der ActiveX-Installerdienst ein Ereignis mit der ID 4097 und der Quelle »Ax- 

InstallService« in das Anwendungsprotokoll ein. 

So arbeitet der Internet Explorer in 64-Bit-Versionen von Windows 7 

Aufgrund des breiteren Datenbusses, der viel höhere Skalierbarkeit erlaubt, gehört der 

64-Bit-Architektur die Zukunft. Momentan arbeiten die meisten Benutzer allerdings noch 

mit 32-Bit-Versionen von Windows. 

Obwohl die 64-Bit-Versionen von Windows im Prinzip deutlich leistungsfähiger sind, 

haben sie in der Praxis leider einige Kompatibilitätsprobleme. Insbesondere können 

die 64-Bit-Versionen des Internet Explorers keine 32-Bit-Komponenten benutzen (etwa 

ActiveX-Steuerelemente, ohne die viele Websites nicht benutzbar sind). 64-Bit-Komponenten 

verbreiten sich zwar immer mehr, aber einige wichtige Komponenten stehen 

immer noch nicht für die 64-Bit-Architektur zur Verfügung. 

Aus diesem Grund ist die 32-Bit-Version des Internet Explorers sogar in den 64-Bit-Versionen 

von Windows die Standardversion. Verwendet ein Benutzer stattdessen die 64-Bit- 

Version des Internet Explorers (eine Verknüpfung dafür liegt im Startmenü), sollten Sie 

alle problematischen Webseiten erst einmal in der 32-Bit-Version des Internet Explorers 

überprüfen, bevor Sie sich an die weitere Problembehandlung machen.


Hinzufügen von Sites zur Liste Vertrauenswürdige Sites 

Der Internet Explorer ist in der Standardeinstellung so konfiguriert, dass Internetwebsites 

viele Aktionen verboten sind, die möglicherweise die Sicherheit des Computers oder den 

Datenschutz des Benutzers gefährden. Es gibt aber auch nützliche Websites, die solche 

Aktionen durchführen müssen, damit Webanwendungen einwandfrei laufen. 

Administratoren können Sites zur Liste Vertrauenswürdige Sites hinzufügen, um ihnen 

zusätzliche Privilegien zu gewähren. Gehen Sie folgendermaßen vor, um eine Site zur Liste 

Vertrauenswürdige Sites hinzuzufügen: 

1. Klicken Sie im Internet Explorer in der Symbolleiste auf Extras und dann auf Internetoptionen. 

2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit. Wählen Sie 

die Zone Vertrauenswürdige Sites aus und klicken Sie auf die Schaltfläche Sites. 

3. Deaktivieren Sie im Dialogfeld Vertrauenswürdige Sites das Kontrollkästchen Für Sites 

dieser Zone ist eine Serverüberprüfung (https:) erforderlich, wenn Sie mit HTTP statt 

mit HTTPS auf den Server zugreifen. 

4. Geben Sie im Textfeld Diese Website zur Zone hinzufügen den URL der Website ein, 

zum Beispiel http://www.contoso.com, und klicken Sie auf Hinzufügen. 

5. Klicken Sie auf Schließen. 

Wenn Sie die Site das nächste Mal besuchen, gewährt der Internet Explorer ihr alle Privilegien, 

die der Zone Vertrauenswürdige Sites zugewiesen sind. 

Geschützter Modus 

Vor Windows Vista wurden viele Computer von Malware befallen, wenn Websites, die böswilligen 

Code enthielten, es schafften, den Webbrowser eines Besuchers dazu zu bringen, 

Code auf dem Clientcomputer auszuführen. Weil jeder neue Prozess, der von einem vorhandenen 

Prozess gestartet wird, die Privilegien des Elternprozesses erbt und der Webbrowser 

mit den vollen Privilegien des Benutzers lief, bekamen die heimlich gestarteten Prozesse 

dieselben Privilegien wie der Benutzer. Und mit den erhöhten Privilegien des Benutzers 

konnten solche böswilligen Prozesse Software installieren und vertrauliche Dokumente 

versenden. 

In Windows Vista und Windows 7 soll der Internet Explorer diese Gefahren verringern. 

Dazu wurde ein Feature namens »Geschützter Modus« (protected mode) entwickelt. Beim 

geschützten Modus (der erstmals in Internet Explorer 7 eingeführt wurde) läuft der Internet 

Explorer 8 unter stark eingeschränkten Privilegien auf dem lokalen Computer. Er hat sogar 

weniger Privilegien als ein Standardbenutzer in Windows 7. Sogar wenn böswilliger Code 

auf einer Website es schafft, über den Internet Explorer einen Prozess zu starten, verfügt 

dieser böswillige Prozess lediglich über die Privilegien, auf den Ordner Temporary Internet 

Files und einige wenige andere Orte zuzugreifen. Er ist nicht in der Lage, Software zu installieren, 

den Computer neu zu konfigurieren oder die Dokumente des Benutzers zu lesen. 

Zum Beispiel melden sich die meisten Benutzer mit administrativen Privilegien an Windows 

XP-Computern an. Falls eine Website eine Sicherheitslücke in Windows XP ausnutzt, die 

nicht durch ein Update beseitigt wurde, und erfolgreich einen Prozess startet, um Spyware 

zu installieren, verfügt der Spyware-Installationsvorgang über die vollständigen Administra-


torprivilegien auf dem lokalen Computer. Auf einem Windows 7-Computer hat der Spyware- 

Installationsprozess dagegen nur minimale Privilegien (sogar weniger als ein Standardbenutzer), 

ganz unabhängig davon, ob der Benutzer als Administrator angemeldet ist. 

Der geschützte Modus ist eine Form der gestaffelten Verteidigung. Der geschützte Modus 

kommt nur zum Tragen, wenn böswilliger Code erfolgreich den Webbrowser missbraucht 

und sich ausführen lässt. In diesen Fällen begrenzt der geschützte Modus den Schaden, den 

der Prozess ohne die Genehmigung des Benutzers anrichten kann. Der geschützte Modus 

steht nicht zur Verfügung, wenn der Internet Explorer unter Windows XP installiert ist, weil 

er verschiedene Sicherheitsfeatures voraussetzt, die nur unter Windows Vista und Windows 7 

vorhanden sind. 

Die folgenden Abschnitte beschreiben den geschützten Modus genauer. 

So funktioniert der geschützte Modus 

Eines der Features von Windows 7, die den geschützten Modus erst ermöglichen, ist Mandatory 

Integrity Control (MIC). MIC kennzeichnet Prozesse, Ordner, Dateien und Registrierungsschlüssel 

mit einer von vier möglichen Integritätszugriffsstufen (Integrity Access Level, 

IL). Diese Integritätszugriffsstufen sind in Tabelle 4.1 beschrieben. Der Internet Explorer 

läuft mit der IL »Niedrig«, das bedeutet, dass er ohne Genehmigung des Benutzers nur auf 

andere Ressourcen mit der IL »Niedrig« zugreifen kann. 

Tabelle 4.1 Integritätszugriffsstufen der Mandatory Integrity Control 

IL Systemprivilegien 

System Systemzugriff. Diese Prozesse haben uneingeschränkten Zugriff auf den Computer. 

Hoch Administrativer Zugriff. Diese Prozesse können Dateien im Programme-Ordner installieren 

und in kritische Registrierungsbereiche wie HKEY_LOCAL_MACHINE schreiben. 

Mittel Benutzer. Diese Prozesse können Dateien im Dokumente-Ordner des Benutzers anlegen und 

ändern sowie in benutzerspezifische Bereiche der Registrierung schreiben (zum Beispiel 

HKEY_CURRENT_USER). Die meisten Dateien und Ordner auf einem Computer haben die 

Integritätsstufe »Mittel«, weil für alle Objekte ohne entsprechende Kennzeichnung als 

Standardintegritätsstufe »Mittel« verwendet wird. 

Niedrig Nichtvertrauenswürdig. Diese Prozesse können nur in Speicherorte mit niedriger Integrität 

schreiben, zum Beispiel den Ordner Temporary Internet Files\Low oder den Schlüssel 

HKEY_CURRENT_USER\Software\LowRegistry. 

Folgende Ressourcen haben eine niedrige IL, sodass der Internet Explorer im geschützten 

Modus darauf zugreifen kann: 

Der Ordner Verlauf 

Der Ordner Cookies 

Der Ordner Favoriten 

Der Ordner %UserProfile%\AppData\Local\Microsoft\Windows\Temporary Internet 

Files\Low 

Der Ordner für die Windows-Temporärdateien 

Der Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low- 

Registry


So funktioniert die Kompatibilitätsschicht des geschützten Modus 

Damit sowohl die Zahl der Privileganhebungsanforderungen als auch die Zahl der Kompatibilitätsprobleme 

gering bleiben, stellt der geschützte Modus eine Kompatibilitätsschicht 

(compatibility layer) zur Verfügung. Die Kompatibilitätsschicht des geschützten Modus leitet 

Anforderungen nach geschützten Ressourcen an sichere Orte um. Beispielsweise werden 

alle Anforderungen nach der Bibliothek Dokumente automatisch auf Unterordner des versteckten 

Ordners \%UserProfile%\AppData\Local\Microsoft\Windows\Temporary Internet 

Files\Virtualized umgeleitet. Wenn ein Add-On zum ersten Mal versucht, in ein geschütztes 

Objekt zu schreiben, kopiert die Kompatibilitätsschicht das Objekt an einen sicheren Speicherort 

und greift dann auf die Kopie zu. Alle künftigen Anforderungen nach dieser geschützten 

Datei greifen auf die Kopie zu. 

Die Kompatibilitätsschicht arbeitet nur mit Internet Explorer-Add-Ons, die für Versionen 

vor Windows Vista geschrieben wurden, weil alles, was für Windows Vista oder Windows 7 

entwickelt wurde, ohnehin nur auf Dateien in den bevorzugten Speicherorten zugreift. 

Aktivieren der Kompatibilitätsprotokollierung 

Manche Webanwendungen und Internet Explorer-Add-Ons, die für ältere Versionen des 

Internet Explorers entwickelt wurden, verursachen Kompatibilitätsprobleme, wenn sie unter 

Internet Explorer 8 und Windows 7 ausgeführt werden. Sie können die Ursache des Kompatibilitätsproblems 

genauer untersuchen, indem Sie die Kompatibilitätsprotokollierung mithilfe 

von Gruppenrichtlinien aktivieren. Gehen Sie folgendermaßen vor, um die Kompatibilitätsprotokollierung 

auf Ihrem lokalen Computer zu aktivieren: 

1. Geben Sie im Suchfeld des Startmenüs den Befehl gpedit.msc ein und drücken Sie die 

EINGABETASTE. 

2. Erweitern Sie im Gruppenrichtlinienverwaltungs-Editor den Knoten Benutzerkonfiguration\Administrative 

Vorlagen\Windows-Komponenten\Internet Explorer. Wenn Sie 

die Kompatibilitätsprotokollierung für alle Benutzer des Computers aktivieren wollen, 

können Sie stattdessen den Knoten Computerkonfiguration\Administrative Vorlagen\ 

Windows-Komponenten\Internet Explorer verwenden. 

3. Klicken Sie doppelt auf die Einstellung Kompatibilitätsprotokollierung aktivieren. 

Wählen Sie die Option Aktiviert aus und klicken Sie dann auf OK. 

4. Starten Sie den Internet Explorer neu, sofern er momentan offen ist. 

Versuchen Sie, das Problem zu reproduzieren, während die Kompatibilitätsprotokollierung 

aktiviert ist. Sehen Sie sich anschließend die Ereignisse in der Ereignisanzeige unter Anwendungs- 

und Dienstprotokolle\Internet Explorer an. Manche Ereignisse, beispielsweise 

mit der Ereignis-ID 1037, enthalten nur dann eine Beschreibung, wenn Sie zusätzlich das 

Application Compatibility Toolkit installieren. 

Hinweis Kompatibilitätsprotokollierung 

Weitere Informationen über die Kompatibilitätsprotokollierung finden Sie in »Finding 

Security Compatibility Issues in Internet Explorer 7« unter http://msdn.microsoft.com/en-us/ 

library/bb250493.aspx. Die dort beschriebenen Informationen gelten gleichermaßen für 

Internet Explorer 8.


Deaktivieren des geschützten Modus 

Falls Sie befürchten, dass der geschützte Modus des Internet Explorers Probleme mit einer 

Webanwendung verursacht, können Sie den geschützten Modus zeitweise deaktivieren und 

die Anwendung testen. Der geschützte Modus wird für jede Zone individuell aktiviert, für 

vertrauenswürdige Sites ist er in der Standardeinstellung deaktiviert. 

Gehen Sie folgendermaßen vor, um den geschützten Modus zu deaktivieren: 

1. Öffnen Sie den Internet Explorer. 

2. Klicken Sie in der Symbolleiste auf die Schaltfläche Extras und wählen Sie den Befehl 

Internetoptionen. 

3. Klicken Sie auf die Registerkarte Sicherheit. 

4. Wählen Sie die Zone aus, für die Sie den geschützten Modus deaktivieren wollen. Deaktivieren 

Sie das Kontrollkästchen Geschützten Modus aktivieren. 


6. Starten Sie den Internet Explorer neu. 

Funktioniert die Anwendung, während der geschützte Modus deaktiviert ist, hat das Problem 

wahrscheinlich mit dem geschützten Modus zu tun. In diesem Fall sollten Sie den geschützten 

Modus wieder aktivieren und beim Anwendungsentwickler darauf dringen, dass die Probleme 

in der Webanwendung beseitigt werden. Stattdessen können Sie die Site auch zur 

Zone Vertrauenswürdige Sites hinzufügen und den geschützten Modus für diese Site dauerhaft 

deaktivieren. 

Problembehandlung für Zertifikatprobleme 

Zertifikate werden im Internet Explorer für verschiedene Aufgaben im Bereich der Sicherheit 

eingesetzt: 

Verschlüsseln von Datenverkehr Für diese Aufgabe werden Zertifikate am häufigsten 

im Internet Explorer verwendet. Viele Websites, besonders Websites von Onlineshops, 

die Kreditkarten akzeptieren, haben ein SSL-Zertifikat installiert. Dieses SSL- 

Zertifikat ermöglicht eine HTTPS-Kommunikation, die sich ähnlich wie HTTP verhält, 

aber mit Verschlüsselung und Authentifizierung erfolgt. Wenn ein Angreifer beim normalen, 

unverschlüsselten HTTP Zugriff auf das Netzwerk bekommt, kann er alle Daten 

lesen, die zum und vom Server übertragen werden. Bei HTTPS ist der Verkehr dagegen 

verschlüsselt. Selbst wenn ein Angreifer den Verkehr abfängt, kann er ihn nicht lesen, 

wenn er nicht über das private Zertifikat des Servers verfügt. 

Authentifizieren des Servers SSL-Zertifikate authentifizieren den Server, indem der 

Client überprüft, dass das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle 

ausgestellt wurde und einer der Namen im Zertifikat dem Hostnamen entspricht, unter 

dem der Zugriff auf die Site erfolgt. Das hilft, sogenannte Man-in-the-Middle-Angriffe 

zu verhindern, bei denen ein Angreifer einen Clientcomputer dazu bringt, mit einem 

böswilligen Server zu kommunizieren, der sich für den echten Server ausgibt. Websites 

im öffentlichen Internet haben normalerweise SSL-Zertifikate, die von einer bekannten 

Zertifizierungsstelle ausgestellt wurden, der der Internet Explorer standardmäßig vertraut. 

Websites im Intranet verwenden manchmal Zertifikate, die von einer internen Zertifi-


zierungsstelle ausgestellt wurden. Die Clientcomputer müssen dann so konfiguriert sein, 

dass sie der internen Zertifizierungsstelle vertrauen. 

Authentifizieren des Clients Websites im Intranet können Zertifikate an Clients in 

ihrem Netzwerk ausstellen und anhand dieser Clientzertifikate interne Websites authentifizieren. 

Wenn Sie AD DS-Gruppenrichtlinien verwenden, ist es ganz einfach, Clientzertifikate 

im gesamten Unternehmen zu verteilen. 

Stellt der Internet Explorer ein Problem mit einem Zertifikat fest, zeigt er die Meldung »Es 

besteht ein Problem mit dem Sicherheitszertifikat der Website« an (Abbildung 4.7). 

Abbildung 4.7 Der Internet Explorer erkennt falsche SSL-Zertifikate 

Die folgende Liste beschreibt häufige Probleme, die bei der Verwendung von Zertifikaten im 

Internet Explorer auftreten können, und erklärt, wie sie beseitigt werden können: 

Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website 

ausgestellt In diesem Fall gibt es mehrere mögliche Ursachen: 

Der Hostname, mit dem Sie auf die Website zugreifen, ist nicht die primäre Adresse 

der Website. Zum Beispiel könnten Sie versuchen, über die IP-Adresse auf eine Website 

zuzugreifen. Oder Sie greifen über einen alternativen Hostnamen auf die Website 

zu, etwa contoso.com statt www.contoso.com. 

Hinweis Alternative Antragstellernamen 

Früher enthielten SSL-Zertifikate den Hostnamen, für den sie galten, im Feld Common 

Name (allgemeiner Name). So können Sie beispielsweise www.contoso.com als 

allgemeinen Namen für Ihr Websitezertifikat eintragen. Griff ein Benutzer aber über 

den Hostnamen contoso.com auf dieselbe Site zu, meldete der Browser früher einen 

Fehler. 

Seit etwa 2003 unterstützen die meisten verbreiteten Browser SSL-Zertifikate mit 

alternativen Antragstellernamen (Subject Alternative Name, SAN). SANs sind Host-


namen, für die ein SSL-Zertifikat gilt. Beispielsweise können Sie ein SSL-Zertifikat 

mit einer SAN-Liste erstellen, sodass die Benutzer entweder über contoso.com oder 

www.contoso.com auf denselben Webserver zugreifen können. 

Sie können sich die SAN-Liste eines Zertifikats ansehen, indem Sie die Site mit 

HTTPS aufrufen und auf das Schlosssymbol in der Adressleiste des Internet Explorers 

klicken. Klicken Sie auf Zertifikate anzeigen und dann auf die Registerkarte 

Details. Wählen Sie das Feld Alternativer Antragstellername aus, um sich anzusehen, 

für welche Hostnamen das Zertifikat gültig ist. 

Der Serveradministrator hat einen Fehler gemacht. Zum Beispiel könnte es sein, dass 

der Administrator beim Hostnamen des Servers einen Tippfehler gemacht hat, als er 

das Zertifikat anforderte. Oder der Administrator hat das falsche Zertifikat auf dem 

Server installiert. 

Der Server gibt sich für einen Server mit einem anderen Hostnamen aus. So könnte 

es sein, dass ein Angreifer eine Website eingerichtet hat, die sich für www.fabrikam. 

com ausgibt. Der Angreifer verwendet aber ein anderes SSL-Zertifikat auf der Website. 

Ältere Versionen des Internet Explorers zeigten eine weniger bedrohlich wirkende 

Fehlermeldung an, sodass viele Benutzer die Fehlermeldung wegklickten und 

auf der böswilligen Site Eingaben machten. 

Das Zertifikat ist abgelaufen Zertifikate haben eine begrenzte Lebensdauer, normalerweise 

1 bis 5 Jahre. Ist das Zertifikat abgelaufen, sollte der Serveradministrator ein aktualisiertes 

Zertifikat anfordern und es auf den Server einspielen. 

Der Internet Explorer ist nicht so konfiguriert, dass er der Zertifizierungsstelle 

vertraut Jeder, auch ein Angreifer, kann eine eigene Zertifizierungsstelle einrichten 

und Zertifikate ausstellen. Daher vertraut der Internet Explorer standardmäßig nicht allen 

Zertifizierungsstellen. Der Internet Explorer vertraut nur einer Handvoll öffentlicher 

Zertifizierungsstellen. Wenn das Zertifikat von einer nichtvertrauenswürdigen Zertifizierungsstelle 

ausgestellt wurde und die Website sich im öffentlichen Internet befindet, sollte 

der Serveradministrator ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle 

erwerben. Liegt die Website in Ihrem Intranet, sollte ein Clientadministrator den Internet 

Explorer so konfigurieren, dass er der ausstellenden Zertifizierungsstelle vertraut. In AD 

DS-Domänen vertrauen Mitgliedscomputer automatisch den Unternehmenszertifizierungsstellen. 

Weitere Informationen finden Sie in den Übungen am Ende dieser Lektion. 

Erkennen von Einschränkungen, die durch Gruppenrichtlinien verursacht 

werden 

Unternehmen brauchen vollständige Kontrolle über die Fähigkeiten der Webbrowser aller 

Benutzer, und der Internet Explorer bietet enorme Flexibilität. Administratoren können beispielsweise 

mit Gruppenrichtlinieneinstellungen die Registerkarten im Browser deaktivieren, 

Popups erlauben, Vorschläge deaktivieren, die Suchanbieter einschränken oder die Favoritenleiste 

löschen. 

Wenn sich ein Benutzer beschwert, dass ein Internet Explorer-Feature nicht richtig funktioniert, 

sollten Sie feststellen, ob die Einschränkungen eventuell durch Gruppenrichtlinien 

verursacht werden. Mit dem Tool Richtlinienergebnissatz können Sie feststellen, welche 

Einstellungen für einen Benutzer oder Computer definiert wurden und welche Gruppenricht-


linienobjekte dafür verantwortlich sind. Gehen Sie folgendermaßen vor, um das Tool Richtlinienergebnissatz 

zu benutzen: 

1. Geben Sie im Suchfeld des Startmenüs den Befehl rsop.msc ein und drücken Sie die 

EINGABETASTE. 

2. Wählen Sie im Fenster Richtlinienergebnissatz unter Computerkonfiguration oder 

Benutzerkonfiguration den Knoten Administrative Vorlagen\Windows-Komponenten\ 

Internet Explorer aus. 

3. Wie in Abbildung 4.8 gezeigt, listet die Detailansicht auf, welche Internet Explorer- 

Einstellungen definiert sind und welches Gruppenrichtlinienobjekt sie konfiguriert. 

Abbildung 4.8 Das Tool Richtlinienergebnissatz zeigt, welche Gruppenrichtlinieneinstellungen 

angewendet wurden und welches Gruppenrichtlinienobjekt verantwortlich ist 

Übung Problembehandlung für Zertifikate 

In dieser Übung üben Sie die Problembehandlung für Zertifikate, indem Sie ein nichtvertrauenswürdiges 

Zertifikat ausstellen, sich ansehen, wie der Internet Explorer auf dieses 

Zertifikat reagiert, und schließlich den Internet Explorer so konfigurieren, dass er diesem 

Zertifikat vertraut. 

Übung 1 Simulieren eines ungültigen Zertifikats 

In dieser Übung öffnen Sie eine Webseite über einen anderen Hostnamen als den üblichen 

Namen, der im SSL-Zertifikat angegeben ist, und sehen sich an, wie der Internet Explorer 

darauf reagiert. 

1. Öffnen Sie den Internet Explorer. Geben Sie in der Adressleiste https://www.microsoft. 

com ein. Drücken Sie die EINGABETASTE. 

Der Internet Explorer öffnet die Startseite www.microsoft.com über verschlüsseltes 

HTTPS. Beachten Sie das goldene Schlosssymbol in der Adressleiste (Abbildung 4.9). 

Abbildung 4.9 Das goldene Schlosssymbol in der Adressleiste zeigt, dass die 

Kommunikation mit der Site verschlüsselt wird und das Zertifikat gültig ist


2. Klicken Sie auf das goldene Schlosssymbol in der Adressleiste, um die Identifizierungsdaten 

der Website anzuzeigen. Beachten Sie, dass die Identifizierungsseite als »www. 

microsoft.com« angezeigt wird, was exakt dem Hostnamen entspricht, den Sie in der 

Adressleiste eingegeben haben. 

3. Geben Sie in der Adressleiste https://microsoft.com ein. Diesmal beginnt der Hostname 

also nicht mit »www«. Drücken Sie die EINGABETASTE. 

Der Internet Explorer zeigt die Webseite Es besteht ein Problem mit dem Sicherheitszertifikat 

der Website an. Das passiert, weil der Hostname im Zertifikat (www.microsoft. 

com) nicht genau mit dem Hostnamen übereinstimmt, den Sie in der Adressleiste eingegeben 

haben (microsoft.com). Die Benutzer bekommen dieselbe Fehlermeldung, wenn 

sie versuchen, auf eine Site zuzugreifen, die sich für eine andere Site ausgibt. 

Übung 2 Ausstellen eines nichtvertrauenswürdigen Zertifikats 

In dieser Übung stellen Sie ein internes Zertifikat für einen Webserver aus und untersuchen, 

wie Windows 7 als Mitglied der Domäne und von außerhalb der Domäne reagiert. 

1. Stellen Sie in einer Testumgebung die Verbindung zu einem AD DS-Domänencontroller 

her, der unter Windows Server 2008 R2 läuft, und melden Sie sich als Administrator an. 

2. Klicken Sie im Startmenü auf Verwaltung und dann auf Server-Manager. 

3. Wählen Sie im Server-Manager den Knoten Rollen aus und klicken Sie auf Rollen hinzufügen. 

4. Klicken Sie auf der Seite Vorbemerkungen auf Weiter. 

5. Aktivieren Sie auf der Seite Serverrollen auswählen das Kontrollkästchen Active Directory-Zertifikatdienste 

und klicken Sie auf Weiter. 

6. Klicken Sie auf der Seite Einführung in Active Directory-Zertifikatdienste auf Weiter. 

7. Wählen Sie auf der Seite Rollendienste auswählen die Dienste Zertifizierungsstelle, 

Zertifizierungsstellen-Webregistrierung und Online-Responder aus. Klicken Sie auf 

Erforderliche Rollendienste hinzufügen, wenn Sie aufgefordert werden, weitere Dienste 

hinzuzufügen. Klicken Sie auf Weiter. 

8. Wählen Sie auf der Seite Setuptyp angeben die Option Unternehmen aus. Klicken Sie 

auf Weiter. 

9. Lassen Sie auf der Seite Zertifizierungsstellentyp angeben die Option Stammzertifizierungsstelle 

ausgewählt und klicken Sie auf Weiter. 

10. Lassen Sie auf der Seite Privaten Schlüssel einrichten die Option Neuen privaten 

Schlüssel erstellen ausgewählt. Klicken Sie auf Weiter. 

11. Klicken Sie auf der Seite Kryptografie für ZS konfigurieren auf Weiter. 

12. Geben Sie auf der Seite Name der Zertifizierungsstelle konfigurieren den Hostnamen für 

Ihre Zertifizierungsstelle ein (beispielsweise DCSRV1.nwtraders.msft) und klicken Sie 

auf Weiter. 

13. Klicken Sie auf der Seite Festlegen der Gültigkeitsdauer auf Weiter. 

14. Klicken Sie auf der Seite Zertifikatdatenbank konfigurieren auf Weiter. 

15. Klicken Sie auf der Seite Webserver (IIS) auf Weiter.


16. Klicken Sie auf der Seite Rollendienste auswählen auf Weiter. 

17. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren. 

18. Klicken Sie auf Schließen und dann auf Ja, um den Computer neu zu starten. 

19. Warten Sie, bis der Computer neu gestartet ist, und melden Sie sich wieder an. Warten 

Sie, bis der Server-Manager die Installation der Serverrollen abgeschlossen hat, und 

klicken Sie auf Schließen. 

20. Klicken Sie im Startmenü auf Verwaltung und dann auf Internetinformationsdienste 

(IIS)-Manager. 

21. Klicken Sie im Internetinformationsdienste-Manager auf Ihren Computer. 

22. Klicken Sie doppelt auf Serverzertifikate. 

23. Klicken Sie im Fensterabschnitt Aktionen auf Domänenzertifikat erstellen. 

24. Geben Sie auf der Seite Eigenschaften für definierten Namen den vollständigen Hostnamen 

in das Feld Gemeinsamer Name ein, zum Beispiel dc1.nwtraders.msft. Geben 

Sie Northwind Traders in das Feld Organisation ein und IT in das Feld Organisationseinheit. 

Tragen Sie unter Ort, Bundesland/Kanton und Land/Region Ihre Daten ein. 


25. Klicken Sie auf der Seite Onlinezertifizierungsstelle auf Auswählen. Wählen Sie den 

Domänencontroller aus und klicken Sie auf OK. Geben Sie im Textfeld Anzeigename 

den Namen DC1 ein. Klicken Sie auf Fertig. 

26. Erweitern Sie im Internetinformationsdienste-Manager den Knoten Sites und klicken Sie 

auf Default Web Site. Klicken Sie mit der rechten Maustaste auf Default Web Site und 

wählen Sie den Befehl Bindungen bearbeiten. 

27. Klicken Sie im Dialogfeld Sitebindungen auf Hinzufügen. 

28. Wählen Sie im Dialogfeld Sitebindung hinzufügen in der Dropdownliste Typ den Eintrag 

HTTPS aus. Wählen Sie in der Dropdownliste SSL-Zertifikat den Eintrag dc1.nwtraders. 

msft aus. Klicken Sie auf OK und dann auf Schließen. 

29. Sie haben jetzt Ihren Domänencontroller als Webserver mit einem SSL-Zertifikat konfiguriert. 

Öffnen Sie den Internet Explorer. Geben Sie in der Adressleiste https:// 

ein, wobei für den Namen steht, den Sie 

im Zertifikat eingegeben haben (zum Beispiel dc1.nwtraders.msft). Drücken Sie die 

EINGABETASTE. 

Der Internet Explorer öffnet die Seite. Wie Sie sehen, erscheint das goldene Schlosssymbol 

in der Adressleiste. Das zeigt, dass das SSL-Zertifikat gültig ist. 

30. Öffnen Sie den Internet Explorer auf einem zweiten Windows 7-Computer, der nicht 

Mitglied Ihrer Domäne ist. Wenn Sie keinen zweiten Computer zur Verfügung haben, 

können Sie Ihren Windows 7-Computer stattdessen auch zeitweise aus der Domäne entfernen. 

Geben Sie im Internet Explorer die Adresse https:// ein 

und drücken Sie die EINGABETASTE. 

Der Internet Explorer zeigt eine Warnmeldung an, dass das Zertifikat nicht von einer 

vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde (Abbildung 4.10).


Abbildung 4.10 Die Warnmeldung des Internet Explorers, 

dass die Zertifizierungsstelle nicht vertrauenswürdig ist 

Fahren Sie nun mit Übung 3 fort, um dieses Problem zu beseitigen. 

Übung 3 Eine Zertifizierungsstelle als vertrauenswürdig einstufen 

In dieser Übung exportieren Sie das Stammzertifikat Ihrer Zertifizierungsstelle und kennzeichnen 

es auf dem Windows 7-Computer, der nicht Mitglied Ihrer Domäne ist, als vertrauenswürdig. 

Anschließend können Sie die SSL-verschlüsselte Website öffnen, ohne dass eine 

Warnmeldung erscheint. Um diese Übung durcharbeiten zu können, müssen Sie Übung 2 

abgeschlossen haben. 

1. Klicken Sie auf Ihrem Domänencontroller in der Konsole Zertifizierungsstelle mit der 

rechten Maustaste auf Ihren Server und wählen Sie den Befehl Eigenschaften. 

2. Klicken Sie auf die Registerkarte Allgemein. Klicken Sie auf Zertifikat Nr. 0 und dann 

auf die Schaltfläche Zertifikat anzeigen. 

3. Klicken Sie im Dialogfeld Zertifikat auf die Registerkarte Details. Klicken Sie auf die 

Schaltfläche In Datei kopieren. 

4. Der Zertifikatexport-Assistent wird geöffnet. Klicken Sie auf Weiter. 

5. Übernehmen Sie auf der Seite Exportdateiformat das Standardexportformat und klicken 

Sie auf Weiter. 

6. Geben Sie auf der Seite Zu exportierende Datei den Namen C:\root.cer ein und klicken 


7. Klicken Sie auf Fertig stellen und dann dreimal auf OK. 

8. Wechseln Sie auf den Windows 7-Clientcomputer, der nicht Mitglied Ihrer Testdomäne 

ist, und öffnen Sie dort den Internet Explorer. Klicken Sie im Internet Explorer in der 

Symbolleiste auf die Schaltfläche Extras und dann auf Internetoptionen. 

9. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Inhalte und dann auf 

Zertifikate.


10. Klicken Sie im Dialogfeld Zertifikate auf die Registerkarte Vertrauenswürdige Stammzertifizierungsstellen. 

Klicken Sie auf die Schaltfläche Importieren. 

11. Der Zertifikatimport-Assistent wird geöffnet. Klicken Sie auf der Seite Willkommen auf 

Weiter. 

12. Klicken Sie auf der Seite Zu importierende Datei auf die Schaltfläche Durchsuchen. 

Geben Sie im Dialogfeld Öffnen den Pfad \\\c$\root.cer ein und klicken 

Sie auf Öffnen. Klicken Sie auf Weiter. 

13. Auf der Seite Zertifikatspeicher sehen Sie, dass der Zertifikatimport-Assistent das Zertifikat 

standardmäßig in den Speicher »Vertrauenswürdige Stammzertifizierungsstellen« 

importiert. Das ist die richtige Stelle. Klicken Sie auf Weiter. 

14. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen. 

15. Eine Sicherheitswarnung wird angezeigt. Klicken Sie auf Ja, um das Zertifikat zu installieren. 

Klicken Sie dann auf OK. 

16. Klicken Sie auf Schließen und dann auf OK. 

17. Geben Sie im Internet Explorer wieder die Adresse https:// ein 

und drücken Sie die EINGABETASTE. 

Der Internet Explorer öffnet die Seite. Wie Sie sehen, erscheint diesmal das goldene 

Schlosssymbol in der Adressleiste, was anzeigt, dass das SSL-Zertifikat gültig ist. Weil 

dieser Computer kein Mitglied der AD DS-Domäne ist, mussten Sie das Stammzertifikat 

von Hand als vertrauenswürdig kennzeichnen. Nun gelten alle Zertifikate, die von dieser 

Zertifizierungsstelle ausgestellt werden, als vertrauenswürdig. Wäre der Computer Mitglied 

der AD DS-Domäne, hätten Gruppenrichtlinien dafür gesorgt, dass der Computer 

der Unternehmenszertifizierungsstelle automatisch vertraut. 


Webanwendungsentwickler verwenden oft Internet Explorer-Add-Ons, um die Fähigkeiten 

des Webbrowsers zu erweitern. Manche Add-Ons können allerdings Zuverlässigkeitsprobleme 

verursachen, andere gefährden womöglich die Sicherheit Ihrer Organisation. 

Glücklicherweise stellt der Internet Explorer Möglichkeiten zur Verfügung, Add- 

Ons zu deaktivieren und ActiveX-Steuerelemente zu löschen. Falls ein Add-On verhindert, 

dass der Internet Explorer startet, können Sie den Internet Explorer in einem Modus 

starten, in dem alle Add-Ons deaktiviert sind. 

Der Internet Explorer schränkt die Fähigkeiten von Websites im öffentlichen Internet 

ein, um die Sicherheit des Benutzers zu gewährleisten. Gelegentlich verhindern diese 

Einschränkungen allerdings, dass eine erwünschte Webanwendung richtig funktioniert. 

Wenn Sie eine Webanwendung haben, die nicht einwandfrei funktioniert, und Sie der 

Website vertrauen, können Sie diese Website zur Liste Vertrauenswürdige Sites hinzufügen. 

Sites, die in der Liste Vertrauenswürdige Sites stehen, bekommen mehr Privilegien 

als Sites im öffentlichen Internet. Daher steigt die Wahrscheinlichkeit, dass sie 

richtig funktionieren. 

Der geschützte Modus ist eines der wichtigsten Sicherheitsfeatures von Windows Internet 

Explorer 8.0. Er steht nur unter Windows Vista und Windows 7 zur Verfügung. In der 

Standardeinstellung sorgt der geschützte Modus dafür, dass der Internet Explorer mit 

niedrigen Privilegien läuft. Das verhindert, dass der Internet Explorer (oder ein Prozess,


der vom Internet Explorer gestartet wird) auf die meisten Ressourcen des Computers 

zugreifen kann. Der Benutzer muss seine Genehmigung erteilen, wenn der Internet 

Explorer oder ein Add-On erhöhte Privilegien benötigt. 

Viele Websites verwenden Zertifikate, um den Webserver zu authentifizieren und verschlüsselte 

Kommunikation zu ermöglichen. Zertifikate sind sehr wichtig für Websites, 

die Zugriff auf vertrauliche Informationen ermöglichen oder persönliche Daten der Benutzer 

sammeln (etwa Kreditkartennummern). Das häufigste Problem bei Zertifikaten 

ist, dass der Serverhostname nicht übereinstimmt. Dies lässt sich normalerweise dadurch 

lösen, dass der Hostname verwendet wird, der im Zertifikat eingetragen ist. Bei Servern 

innerhalb Ihres Intranets können Zertifikatprobleme auftreten, wenn der Computer nicht 

richtig konfiguriert wurde, sodass er der Zertifizierungsstelle nicht vertraut. 

Gruppenrichtlinien verschaffen Administratoren weitgehende Kontrolle über die Features 

des Internet Explorers. Treten bei einem Benutzer Probleme auf, weil ein Feature nicht 

richtig zu funktionieren scheint, ist es möglich, dass die Ursache eine bewusst gewählte 

Konfigurationseinstellung der Administratoren ist. Führen Sie das Tool Richtlinienergebnissatz 

(Rsop.msc) aus, um auf einem Computer zu prüfen, welche Einschränkungen 

mithilfe von Gruppenrichtlinien auf den Internet Explorer angewendet werden. Wählen 

Sie dann die Knoten Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet 

Explorer und Benutzerkonfiguration\Administrative Vorlagen\Windows- 

Komponenten\Internet Explorer aus. Das Tool Richtlinienergebnissatz zeigt, welche 

Einstellungen definiert sind und welche Gruppenrichtlinienobjekte dafür verantwortlich 




»Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit«, überprüfen. Die 






1. Ein Benutzer versucht, eine der vielen internen Websites zu besuchen, die von Ihrer IT- 

Abteilung zur Verfügung gestellt werden. Der Link des Benutzers verwendet standardmäßig 

SSL. Als der Benutzer heute versucht hat, die Seite zu öffnen, zeigt der Internet 

Explorer ihm die folgende Meldung an: 

Es besteht ein Problem mit dem Sicherheitszertifikat der Website. 

Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website 

ausgestellt. 

Wodurch könnte diese Meldung ausgelöst werden? (Wählen Sie alle zutreffenden Antworten 

aus.) 

A. Das Zertifikat ist abgelaufen. 

B. Ein Angreifer leitet den Verkehr auf einen böswilligen Webserver um.


C. Der Internet Explorer vertraut der Zertifizierungsstelle nicht mehr, die das Zertifikat 

ausgestellt hat. 

D. Das Zertifikat der Website wurde für einen anderen Hostnamen ausgestellt als den, 

der im Link des Benutzers gespeichert ist. 

2. Welche der folgenden Elemente blockiert der Internet Explorer in der Standardeinstellung 

(bis ein Benutzer sie genehmigt)? (Wählen Sie alle zutreffenden Antworten aus.) 

A. Animierte GIFs 

B. Hintergrundmusik in einer Webseite 

C. In einer Webseite eingebettete Videos 

D. Anzeigen des Quelltextes einer Webseite 

3. Welche der folgenden Anforderungstypen leitet die Internet Explorer-Kompatibilitätsschicht 

des geschützten Modus an eine virtualisierte Position um? 

A. Speichern eines Cookies 

B. Speichern einer Datei im Ordner Dokumente 

C. Anfragen beim Benutzer, welche Datei er auf eine Website hochladen will 

D. Speichern einer Datei im Ordner Temporary Internet Files 

4. Sie bekommen einen Anruf von einem Benutzer, der versucht, auf eine Webseite zuzugreifen. 

Der Benutzer hat vor Kurzem von Windows XP und Internet Explorer 6.0 auf 

Windows 7 gewechselt. Die Webseite enthält ein ActiveX-Steuerelement, das aber beim 

Benutzer nicht auf der Webseite erscheint. Wie kann der Benutzer dieses Problem beseitigen? 

(Wählen Sie alle zutreffenden Antworten aus.) 

A. Klicken Sie mit der rechten Maustaste auf die Seite und wählen Sie den Befehl 

ActiveX-Steuerelement ausführen. 

B. Klicken Sie auf die Informationsleiste und wählen Sie den Befehl ActiveX-Steuerelement 

ausführen. 

C. Fügen Sie die Site zur Zone Vertrauenswürdige Sites hinzu. 

D. Deaktivieren Sie im Dialogfeld Sicherheit das Kontrollkästchen Geschützten Modus 

aktivieren.

Lektion 3: Steuern des Zugriffs auf Daten 

mithilfe von Verschlüsselung 

Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 167 

Sobald ein Angreifer physischen Zugriff auf einen Datenträger hat, kann er die Sicherheitsfeatures 

des Betriebssystems, zum Beispiel NTFS-Dateiberechtigungen, ganz einfach umgehen. 

Aber mit Verschlüsselung können Sie Daten sogar dann schützen, wenn Ihr Datenträger 

in die falschen Hände gerät. 

Verschlüsselung macht Daten für jeden völlig unlesbar, der nicht über einen gültigen Schlüssel 

verfügt. Wird Verschlüsselung eingesetzt, brauchen Angreifer sowohl Zugriff auf die 

Daten als auch auf den Schlüssel, bevor sie Ihre privaten Dateien lesen können. Windows 7 

stellt zwei Dateiverschlüsselungstechnologien zur Verfügung: EFS (zum Verschlüsseln einzelner 

Dateien und Ordner) und BitLocker (zum Verschlüsseln des gesamten Systemlaufwerks). 

In vielen Umgebungen kombinieren Sie die beiden. 

Diese Lektion beschreibt, wie Sie EFS und BitLocker konfigurieren, und erklärt, wie Sie 

eine Problembehandlung durchführen. 


EFS konfigurieren, mehreren Benutzern Zugriff auf EFS-verschlüsselte Dateien gewähren 

und EFS-Zertifikate sichern und wiederherstellen 

Beschreiben, wodurch sich die BitLocker-Verschlüsselung von EFS unterscheidet, Aktivieren 

von BitLocker und Wiederherstellen von Daten auf einem BitLocker-verschlüsselten 

Volume 


Das verschlüsselnde Dateisystem EFS 

EFS (Encrypting File System, verschlüsselndes Dateisystem) ist eine Dateiverschlüsselungstechnologie, 

die nur auf NTFS-Volumes unterstützt wird. Sie schützt Dateien gegen Offlineangriffe 

wie etwa Festplattendiebstahl. Weil EFS auf der Dateisystemebene arbeitet, ist es 

für Benutzer und Anwendungen völlig transparent. Dass die Daten verschlüsselt sind, wird 

nur dann deutlich, wenn ein Benutzer auf eine verschlüsselte Datei zugreifen will, für die er 

keinen Schlüssel hat. In diesem Fall kann er überhaupt nicht auf den Inhalt der Datei zugreifen. 

EFS wurde mit dem Ziel entworfen, vertrauliche Daten auf mobilen oder gemeinsam genutzten 

Computern zu schützen. Bei solchen Computern ist die Gefahr größer, dass Angriffe 

durchgeführt werden, die Einschränkungen durch Zugriffssteuerungslisten (Access Control 

List, ACL) wie zum Beispiel Dateiberechtigungen umgehen. Ein Angreifer kann einen Computer 

stehlen, das Festplattenlaufwerk ausbauen, in ein anderes System einbauen und sich so 

Zugriff auf die gespeicherten Dateien verschaffen (selbst wenn sie ansonsten durch Dateiberechtigungen 

geschützt werden). Wenn der Angreifer aber nicht über den Schlüssel verfügt, 

scheinen die mit EFS verschlüsselten Dateien lediglich unsinnige Zeichen zu enthalten. 

In den meisten Aspekten funktioniert EFS in Windows 7 genauso wie in Windows XP und 

Windows Vista.


Hinweis Windows 7-Versionen, die EFS nicht unterstützen 

Windows 7 Starter, Windows 7 Home Basic und Windows 7 Home Premium enthalten keine 

Unterstützung für EFS. 

Verschlüsseln eines Ordners mit EFS 

Mit EFS können Sie ausgewählte Dateien und Ordner verschlüsseln. Gehen Sie folgendermaßen 

vor, um EFS für einen Ordner zu aktivieren: 

1. Klicken Sie im Startmenü auf Computer. 

Es wird ein Windows-Explorer-Fenster geöffnet. 

2. Klicken Sie mit der rechten Maustaste auf den Ordner, den Sie verschlüsseln wollen, und 

wählen Sie den Befehl Eigenschaften. Wollen Sie beispielsweise das Profil eines Benutzers 

verschlüsseln, können Sie C:\Users auswählen, mit der rechten Maustaste auf den 

gewünschten Profilordner klicken und den Befehl Eigenschaften wählen. 

3. Klicken Sie in der Registerkarte Allgemein auf die Schaltfläche Erweitert. 

4. Aktivieren Sie im Dialogfeld Erweiterte Attribute das Kontrollkästchen Inhalt verschlüsseln, 

um Daten zu schützen. 


6. Übernehmen Sie im Dialogfeld Änderungen der Attribute bestätigen die Standardeinstellung, 

damit auch Unterordner verschlüsselt werden, und klicken Sie auf OK. 

Hinweis Erkennen EFS-verschlüsselter Dateien und Ordner im Windows-Explorer 

Im Windows-Explorer werden EFS-verschlüsselte Dateien und Ordner in grüner Farbe 

angezeigt. Andere Benutzer können EFS-verschlüsselte Ordner weiterhin ansehen, sind 

aber nicht in der Lage, auf EFS-verschlüsselte Dateien zuzugreifen. 

Während des Verschlüsselungsprozesses kann die Fehlermeldung erscheinen, dass eine 

Datei (zum Beispiel NTUSER.dat, die Registrierungsstruktur des Benutzers) momentan 

verwendet wird. Damit die Benutzer keine Datei verschlüsseln, die gebraucht wird, um 

den Computer zu starten, können Sie keine Dateien verschlüsseln, die mit dem Attribut 

für Systemdateien markiert sind. Verschlüsselte Dateien können nicht mit der NTFS- 

Komprimierung komprimiert werden. 

Hinweis EFS-verschlüsselte Dateien können nicht indiziert werden 

EFS-verschlüsselte Dateien werden nicht indiziert und nicht in Suchergebnissen zurückgegeben. 

Sie können die Indizierung für einige verschlüsselte Dateien aktivieren, indem 

Sie das Tool Indizierungsoptionen in der Systemsteuerung öffnen, auf Erweitert klicken 

und das Kontrollkästchen Verschlüsselte Dateien indizieren aktivieren. Stattdessen können 

Sie auch die Gruppenrichtlinieneinstellung Indizieren verschlüsselter Dateien zulassen 

im Knoten Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\ 

Suche aktivieren.


Erstellen und Sichern von EFS-Zertifikaten 

EFS verwendet Zertifikate, um Daten zu ver- und entschlüsseln. Falls Sie ein EFS-Zertifikat 

verlieren, können Sie Ihre Dateien nicht mehr entschlüsseln. Daher ist es sehr wichtig, EFS- 

Zertifikate zu sichern. 

Die in Windows integrierten Datensicherungstools sichern Ihre Zertifikate automatisch. 

Außerdem stellt Windows 7 eine Assistentenoberfläche zur Verfügung, in der Sie EFS- 

Zertifikate von Hand erstellen und sichern können. Gehen Sie dazu folgendermaßen vor: 


2. Klicken Sie auf den Link Benutzerkonten und dann erneut auf Benutzerkonten. 

3. Klicken Sie im linken Fensterabschnitt auf den Link Dateiverschlüsselungszertifikate 

verwalten. 

Der Assistent Verschlüsselndes Dateisystem wird geöffnet. 

4. Klicken Sie auf der Seite Verwalten Sie die Zertifikate zur Dateiverschlüsselung auf 

Weiter. 

5. Wählen Sie auf der Seite Ein Dateiverschlüsselungszertifikat auswählen oder erstellen 

(Abbildung 4.11) die Option Dieses Zertifikat verwenden, sofern bereits ein EFS-Zertifikat 

vorhanden ist (Windows 7 generiert automatisch ein Zertifikat, wenn ein Benutzer 

zum ersten Mal eine Datei verschlüsselt) und Sie es sichern wollen. Wenn Sie ein anderes 

als das Standardzertifikat verwenden wollen, können Sie auf die Schaltfläche Zertifikat 

auswählen klicken. Wollen Sie von Hand ein Zertifikat generieren, müssen Sie die Option 

Neues Zertifikat erstellen auswählen. 

Abbildung 4.11 Im Assistenten Verschlüsselndes Dateisystem 

können Sie EFS-Zertifikate sichern

170 Kapitel 4: Sicherheit 

6. Wenn Sie ein neues Zertifikat erstellen, wird die Seite Welchen Zertifikattyp möchten Sie 

erstellen geöffnet. Wenn Sie eine Smartcard verwenden wollen, um das Zertifikat zu 

speichern, können Sie Ihre Smartcard einlegen und die Option Ein selbstsigniertes Zertifikat 

auf meiner Smartcard auswählen. Stellt Ihre Domäne eine Unternehmenszertifizierungsstelle 

zur Verfügung, können Sie die Option Ein Zertifikat, das von der Zertifizierungsstelle 

der Domäne ausgestellt wurde auswählen. Behalten Sie andernfalls die 

Standardeinstellung Ein selbstsigniertes Zertifikat auf meinem Computer bei. Klicken 


7. Klicken Sie auf der Seite Schlüssel und Zertifikat sichern auf die Schaltfläche Durchsuchen, 

um einen unverschlüsselten Ordner auszusuchen, in dem das Zertifikat gespeichert 

wird. Es ist am sinnvollsten, das Zertifikat auf einen Wechseldatenträger zu schreiben, 

den Sie dann an einem sicheren Ort verwahren. Geben Sie dann das Kennwort 

zweimal in die entsprechenden Textfelder ein. Klicken Sie auf Weiter. 

8. Wenn die Seite Bereits verschlüsselte Dateien aktualisieren angezeigt wird, bedeutet das, 

dass einige Dateien mit einem anderen Schlüssel verschlüsselt wurden als dem, den Sie 

ausgewählt haben. Um künftige Probleme beim Entschlüsseln der Dateien zu vermeiden, 

sollten Sie die verschlüsselten Dateien immer aktualisieren. Aktivieren Sie das Kontrollkästchen 

Alle logischen Laufwerke und klicken Sie dann auf Weiter. Der Assistent Verschlüsselndes 

Dateisystem aktualisiert daraufhin die Schlüssel für alle verschlüsselten 

Dateien. Das kann einige Minuten bis einige Stunden dauern, je nachdem, wie viele 

Dateien aktualisiert werden müssen. 

Der Assistent Verschlüsselndes Dateisystem sichert Ihre Schlüssel und speichert sie in 

der angegebenen Datei. Bewahren Sie diese Datei sicher auf. 

9. Klicken Sie auf der letzten Seite auf Schließen. 

Sie können ein EFS-Zertifikat wiederherstellen, indem Sie es doppelt anklicken. Folgen Sie 

dann den Anweisungen des Zertifikatimport-Assistenten. Eine Schritt-für-Schritt-Anleitung 

finden Sie in Übung 3 am Ende dieser Lektion. 

Statt über die Systemsteuerung können Sie EFS-Zertifikate auch im Windows-Explorer 

sichern. Gehen Sie dazu folgendermaßen vor: 

1. Öffnen Sie den Windows-Explorer und wählen Sie eine Datei aus, die Sie verschlüsselt 

haben. Sie müssen dafür eine Datei verwenden, keinen Ordner. 

2. Klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie den Befehl Eigenschaften. 

3. Klicken Sie auf der Registerkarte Allgemein auf Erweitert. 

4. Klicken Sie im Dialogfeld Erweiterte Attribute auf Details, um das Dialogfeld Benutzerzugriff 

zu öffnen. 

5. Wählen Sie Ihren Benutzernamen aus und klicken Sie auf Schlüssel sichern, um den 

Zertifikatexport-Assistenten zu öffnen. 

6. Klicken Sie auf Weiter, um das verwendete Dateiformat auszuwählen. 

7. Klicken Sie auf Weiter und geben Sie ein Kennwort ein, das den Schlüssel schützt. 

Wiederholen Sie die Eingabe und klicken Sie dann auf Weiter. 

8. Geben Sie einen Pfad und Dateinamen ein, unter dem die Datei gespeichert werden soll, 

oder suchen Sie einen Pfad. Klicken Sie auf Weiter.


9. Klicken Sie auf Fertig stellen, um das Zertifikat zu exportieren, und klicken Sie dann auf 

OK, wenn bestätigt wird, dass der Export erfolgreich war. 

Jeder, der Zugriff auf ein EFS-Zertifikat hat, kann die Dateien des entsprechenden Benutzers 

entschlüsseln. Daher ist sehr wichtig, dass Sie die gesicherte Zertifikatdatei an einem sicheren 

Ort aufbewahren. 

Weiteren Benutzern Zugriff auf eine EFS-verschlüsselte Datei gewähren 

In der Standardeinstellung kann ausschließlich der Benutzer, der eine Datei verschlüsselt 

hat, darauf zugreifen. Windows 7 (wie auch Windows Vista, Windows XP und Windows 

Server 2003, aber nicht Microsoft Windows 2000) bieten Ihnen allerdings die Möglichkeit, 

mehr als einem Benutzer Zugriff auf eine EFS-verschlüsselte Datei zu gewähren. Das ist 

möglich, weil EFS die Dateien nicht mit dem persönlichen EFS-Schlüssel des Benutzers 

verschlüsselt. Vielmehr verschlüsselt EFS die Dateien mit einem Dateiverschlüsselungsschlüssel 

(File Encryption Key, FEK) und verschlüsselt dann wiederum den FEK mit dem 

persönlichen EFS-Schlüssel des Benutzers. Daher werden für die Entschlüsselung zwei 

getrennte Schlüssel benötigt. Der FEK-Schlüssel kann aber für mehrere Benutzer jeweils 

anders verschlüsselt werden, sodass jeder dieser Benutzer auf sein verschlüsseltes Exemplar 

des FEK-Schlüssels zugreifen und die Dateien entschlüsseln kann. 

Gehen Sie folgendermaßen vor, um mehreren Benutzern eines Computers Zugriff auf verschlüsselte 

Dateien zu gewähren: 

1. Klicken Sie im Windows-Explorer mit der rechten Maustaste auf die Datei und wählen 

Sie den Befehl Eigenschaften. 

2. Klicken Sie auf der Registerkarte Allgemein auf Erweitert. 

3. Klicken Sie im Dialogfeld Erweiterte Attribute auf die Schaltfläche Details. 

Das Dialogfeld Benutzerzugriff wird geöffnet. Es listet die Benutzer auf, die Zugriff auf 

die Datei haben, sowie die Benutzer, die als Wiederherstellungsagenten agieren können. 


Das Dialogfeld Verschlüsselndes Dateisystem wird geöffnet und zeigt eine Liste der 

Benutzer an, die sich am lokalen Computer angemeldet haben und über ein EFS-Zertifikat 

verfügen. Ein Domänenadministrator kann EFS-Zertifikate generieren, Windows 7 

generiert aber auch automatisch eines, sobald ein Benutzer zum ersten Mal eine Datei 

verschlüsselt. 

5. Sie können einen Domänenbenutzer, der sich nicht in der Liste befindet, aber über ein 

gültiges Verschlüsselungszertifikat verfügt, hinzufügen, indem Sie auf die Schaltfläche 

Benutzer suchen klicken. Wenn EFS Sie informiert, dass keine geeigneten Zertifikate für 

den ausgewählten Benutzer vorhanden sind, wurde für den Benutzer noch kein EFS-Zertifikat 

ausgestellt. Der Benutzer kann eines generieren, indem er eine Datei verschlüsselt, 

oder ein Domänenadministrator kann ein EFS-Zertifikat an den Benutzer schicken. 

Hinweis Zertifikate von Hand importieren 

Wenn ein Benutzer ein Zertifikat hat, Sie es aber nicht finden, können Sie es auch von 

Hand importieren. Lassen Sie das Zertifikat erst vom Benutzer exportieren, wie im vorherigen 

Abschnitt beschrieben. Importieren Sie dann das Zertifikat, wie im nächsten 

Abschnitt beschrieben.


6. Wählen Sie den Benutzer aus, den Sie hinzufügen wollen, und klicken Sie dann auf OK. 

7. Wiederholen Sie die Schritte 4 bis 6, um weitere Benutzer hinzuzufügen. Klicken Sie 

dann dreimal auf OK. 

Sie können keine verschlüsselten Ordner mit mehreren Benutzern gemeinsam verwenden, 

nur einzelne Dateien. Sie können nicht einmal mehrere verschlüsselte Dateien in einer einzigen 

Operation für die Verwendung durch andere Benutzer freigeben, das müssen Sie für 

jede einzelne Datei erledigen. Sie können aber das Befehlszeilentool Cipher.exe verwenden, 

um diese Freigabe von Dateien zu automatisieren. 

Wenn Sie einem Benutzer EFS-Zugriff auf eine Datei gewähren, werden dabei nicht die 

NTFS-Berechtigungen überschrieben. Wenn einem Benutzer daher die Dateiberechtigungen 

fehlen, um auf eine Datei zuzugreifen, verhindert Windows 7, dass der Benutzer diese Datei 

verwenden kann. 

Alle Benutzer, die Zugriff auf eine EFS-verschlüsselte Datei haben, können ihrerseits 

anderen Benutzern den Zugriff auf diese Datei gewähren. 

Hinweis EFS hat keine Wirkung auf die Freigabe in einem Netzwerk 

EFS hat keine Auswirkung, wenn Sie Dateien und Ordner über ein Netzwerk freigeben. 

Daher brauchen Sie den beschriebenen Schritten nur zu folgen, wenn Sie einen Ordner mit 

anderen lokalen Benutzern auf demselben Computer gemeinsam verwenden wollen. 

Importieren persönlicher Zertifikate 

Sie können verschlüsselte Dateien mit anderen Benutzern gemeinsam verwenden, sofern Sie 

das Zertifikat dieser anderen Benutzer haben. Wenn Sie einem anderen Benutzer erlauben 

wollen, auf eine Datei zuzugreifen, die Sie verschlüsselt haben, müssen Sie das Zertifikat 

dieses Benutzers auf Ihren Computer importieren und seinen Namen zur Liste der Benutzer 

hinzufügen, denen der Zugriff auf die Datei gestattet ist (wie im vorherigen Abschnitt beschrieben). 

Gehen Sie folgendermaßen vor, um ein Benutzerzertifikat zu importieren: 

1. Geben Sie im Suchfeld des Startmenüs den Befehl mmc ein und drücken Sie die EIN- 

GABETASTE, um eine leere MMC zu öffnen. 


3. Wählen Sie Zertifikate aus und klicken Sie auf Hinzufügen. Wählen Sie die Option 

Eigenes Benutzerkonto aus und klicken Sie dann auf Fertig stellen. Klicken Sie auf OK, 

um das Dialogfeld Snap-Ins hinzufügen bzw. entfernen zu entfernen. 

4. Erweitern Sie den Knoten Zertifikate und wählen Sie Vertrauenswürdige Personen aus. 

5. Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Personen. Wählen Sie im 

Kontextmenü erst Alle Aufgaben und dann Importieren, um den Zertifikatimport-Assistenten 

zu öffnen. 

6. Klicken Sie auf Weiter und suchen Sie den Ordner des Zertifikats, das Sie importieren 

wollen. 

7. Wählen Sie das Zertifikat aus und klicken Sie auf Weiter. 

8. Geben Sie das Kennwort für das Zertifikat ein und klicken Sie auf Weiter.


9. Klicken Sie auf Weiter, um das Zertifikat in den Speicher »Vertrauenswürdige Personen« 

zu legen. 

10. Klicken Sie auf Fertig stellen, um den Import abzuschließen. 

11. Klicken Sie in der Bestätigung, dass der Import erfolgreich war, auf OK. Schließen Sie 

die MMC. 

Jetzt können Sie diesem Benutzer den Zugriff auf EFS-verschlüsselte Dateien gewähren. 

Wiederherstellen einer EFS-verschlüsselten Datei 

mit einem Datenwiederherstellungs-Agenten 

EFS gewährt Datenwiederherstellungs-Agents (Data Recovery Agent, DRA) die Berechtigung, 

Dateien zu entschlüsseln, damit ein Administrator verschlüsselte Dateien wiederherstellen 

kann, selbst wenn der Benutzer seinen EFS-Schlüssel verliert. In der Standardeinstellung 

konfigurieren Arbeitsgruppencomputer das lokale Administratorkonto als DRA. In 

Domänenumgebungen konfigurieren Domänenadministratoren ein oder mehrere Benutzerkonten 

als DRAs für die gesamte Domäne. 

Weil DRA-Zertifikate nicht automatisch kopiert werden, wenn sich ein Administrator an 

einem Computer anmeldet, ist es ein wenig langwierig, das DRA-Zertifikat zu kopieren und 

eine EFS-verschlüsselte Datei wiederherzustellen (es ist aber nicht schwierig). Gehen Sie 

folgendermaßen vor, um eine EFS-verschlüsselte Datei wiederherzustellen: 

1. Zuerst müssen Sie eine Kopie des DRA-Zertifikats beschaffen. In der Standardeinstellung 

ist sie im Administratorkonto auf dem ersten Domänencontroller in der Domäne 

gespeichert. Melden Sie sich mit dem DRA-Konto am ersten Domänencontroller in der 

Domäne an. 

2. Klicken Sie im Startmenü auf Ausführen. Geben Sie mmc ein und drücken Sie die EIN- 

GABETASTE. Bestätigen Sie die UAC-Eingabeaufforderung, die daraufhin angezeigt 

wird. 



Eine Liste aller registrierten Snap-Ins auf dem aktuellen Computer wird angezeigt. 

5. Klicken Sie doppelt auf das Snap-In Zertifikate. 

6. Falls der Assistent Zertifikat-Snap-In erscheint, müssen Sie die Option Eigenes Benutzerkonto 

auswählen und dann auf Fertig stellen klicken. Klicken Sie auf OK. 

Die Konsole zeigt jetzt das Snap-In Zertifikate an. 

7. Erweitern Sie die Knoten Zertifikate – Aktueller Benutzer und Eigene Zertifikate, und 

wählen Sie Zertifikate aus. Klicken Sie in der Detailansicht mit der rechten Maustaste 

auf das Domänen-DRA-Zertifikat, dann auf Alle Aufgaben und auf Exportieren (Abbildung 

4.12). In der Standardeinstellung ist dies das Administratorzertifikat, das auch vom 

Administrator signiert wurde. Als beabsichtigter Zweck ist die Dateiwiederherstellung 

eingetragen.


Abbildung 4.12 Exportieren eines Zertifikats für die EFS-Wiederherstellung 

8. Klicken Sie im Zertifikatexport-Assistenten auf Weiter. 

9. Wählen Sie auf der Seite Privaten Schlüssel exportieren die Option Ja, privaten Schlüssel 

exportieren aus und klicken Sie auf Weiter. 

10. Übernehmen Sie auf der Seite Exportdateiformat die in Abbildung 4.13 gezeigten Standardeinstellungen 

und klicken Sie auf Weiter. Aus Sicherheitsgründen sollten Sie das 

Kontrollkästchen Privaten Schlüssel nach erfolgreichem Export löschen aktivieren, den 

privaten Schlüssel auf einem Wechseldatenträger abspeichern und den Datenträger an 

einem sicheren Ort aufbewahren. Dann können Sie diesen Wechseldatenträger verwenden, 

wenn Sie eine EFS-verschlüsselte Datei wiederherstellen müssen. 

Abbildung 4.13 Verwenden des .pfx-Dateiformats für den DRA-Wiederherstellungsschlüssel


11. Geben Sie auf der Seite Kennwort zweimal das Wiederherstellungskennwort ein. Klicken 


12. Geben Sie auf der Seite Exportdatei den Namen einer Datei auf einem Wechseldatenträger 

ein, in der das kennwortgeschützte Zertifikat gespeichert wird. Klicken Sie auf 

Weiter. 

13. Klicken Sie auf der Seite Fertigstellen des Assistenten des Zertifikatexport-Assistenten 

auf Fertig stellen. Klicken Sie zuletzt auf OK. 

Jetzt ist alles bereit, um den DRA-Schlüssel auf dem Clientcomputer zu importieren, auf 

dem Sie eine Wiederherstellung durchführen wollen. Melden Sie sich am Clientcomputer an 

und gehen Sie folgendermaßen vor: 

1. Klicken Sie im Startmenü auf Ausführen. Geben Sie mmc ein und drücken Sie die 

EINGABETASTE. 

2. Klicken Sie auf Datei und dann auf Snap-In hinzufügen/entfernen. Bestätigen Sie die 

UAC-Eingabeaufforderung, die daraufhin angezeigt wird. 


Eine Liste aller registrierten Snap-Ins auf dem aktuellen Computer wird angezeigt. 

4. Klicken Sie doppelt auf das Snap-In Zertifikate. 

5. Wählen Sie im Assistenten Zertifikat-Snap-In die Option Eigenes Benutzerkonto aus und 

klicken Sie auf Fertig stellen. Klicken Sie auf OK. 

Die Konsole zeigt nun das Snap-In Zertifikate an. 

6. Erweitern Sie die Knoten Zertifikate – Aktueller Benutzer und Eigene Zertifikate, klicken 

Sie mit der rechten Maustaste auf Zertifikate und wählen Sie den Befehl Importieren. 

7. Klicken Sie im Zertifikatimport-Assistenten auf Weiter. 

8. Klicken Sie auf der Seite Zu importierende Datei auf Durchsuchen. Klicken Sie im Dialogfeld 

Öffnen in die Dropdownliste für die Dateitypen (über der Schaltfläche Öffnen) 

und wählen Sie den Eintrag Privater Informationsaustausch aus. Wählen Sie dann die 

DRA-Schlüsseldatei aus und klicken Sie auf Öffnen. Klicken Sie auf Weiter. 

9. Geben Sie auf der Seite Kennwort das Kennwort ein, mit dem Sie den DRA-Schlüssel 

geschützt haben. Klicken Sie auf Weiter. 

10. Behalten Sie auf der Seite Zertifikatspeicher die Standardauswahl bei, damit das Zertifikat 

im Speicher »Eigene Zertifikate« gespeichert wird. Klicken Sie auf Weiter. 

11. Klicken Sie auf Fertig stellen und dann auf OK. 

Nun können Sie die Dateien öffnen oder entschlüsseln, genau so, als wären Sie als autorisierter 

Benutzer hinzugefügt worden. Sie können die Dateien entschlüsseln, indem Sie das 

Eigenschaftendialogfeld der Datei oder des Ordners öffnen und das Kontrollkästchen Inhalt 

verschlüsseln, um Daten zu schützen deaktivieren. Wenn Sie zweimal auf OK geklickt haben, 

entschlüsselt Windows die Dateien mit dem DRA-Schlüssel. Jetzt liegen die Dateien unverschlüsselt 

vor. Der Benutzer, dem diese Dateien gehören, sollte sie unverzüglich neu verschlüsseln.


BitLocker 

Tipp Entschlüsseln wiederhergestellter Dateien 

Wenn Sie das Windows-Sicherungsprogramm verwenden, bleiben Dateien, die von Sicherungsmedien 

wiederhergestellt wurden, mit EFS verschlüsselt. Sie können sie entschlüsseln, 

indem Sie die Dateien auf einem Computer wiederherstellen und dann den DRA bitten, sich 

auf diesem Computer anzumelden. 

Sobald Sie die Dateien wiederhergestellt haben, sollten Sie alle Kopien Ihres DRA-Schlüssels 

entfernen. Weil der DRA alle Dateien in Ihrer Domäne entschlüsseln kann, ist es wichtig, 

dass keinesfalls eine Schlüsselkopie auf dem Computer eines Benutzers verbleibt. 

NTFS-Dateiberechtigungen stellen die Zugriffssteuerung bereit, während das Betriebssystem 

läuft. EFS ergänzt NTFS-Dateiberechtigungen mithilfe von Verschlüsselung, sodass die 

Zugriffssteuerung sogar wirksam ist, falls ein Angreifer das Betriebssystem umgeht (indem 

er zum Beispiel den Computer von einer startfähigen DVD startet). Die BitLocker-Laufwerkverschlüsselung 

arbeitet wie EFS mit Verschlüsselung. Aber BitLocker unterscheidet 

sich in wichtigen Punkten von EFS: 

BitLocker verschlüsselt gesamte Volumes, beispielsweise das Systemvolume, mit allen 

Benutzer- und Systemdateien. EFS kann keine Systemdateien verschlüsseln. 

BitLocker schützt den Computer beim Systemstart, noch bevor das Betriebssystem startet. 

Sobald das Betriebssystem gestartet wurde, arbeitet BitLocker völlig transparent. 

BitLocker bietet computerspezifische Verschlüsselung, keine benutzerspezifische Verschlüsselung. 

Daher brauchen Sie zusätzlich EFS, wenn Sie vertrauliche Dateien vor 

anderen gültigen Benutzern schützen wollen. 

BitLocker kann die Integrität des Betriebssystems schützen. Es hilft, Rootkits und Offlineangriffe 

abzuwehren, die Systemdateien manipulieren. 

Hinweis Editionen von Windows 7, die BitLocker enthalten 

BitLocker ist ein Feature von Windows 7 Enterprise und Windows 7 Ultimate. In anderen 

Editionen von Windows 7 wird es nicht unterstützt. 

Auf älteren Windows-Versionen mussten Administratoren die BitLocker-Partitionen von 

Hand konfigurieren. In Windows 7 konfiguriert das Setup die Partitionen automatisch so, 

dass sie zu BitLocker kompatibel sind. 

Verwenden von BitLocker mit TPM-Hardware 

Steht ein TPM 1.2-Chip (Trusted Platform Module) zur Verfügung (was auf einigen neueren 

Computermodellen der Fall ist), versiegelt BitLocker den symmetrischen Verschlüsselungsschlüssel 

in diesem Chip. Hat der Computer keinen TPM-Chip, speichert BitLocker den 

Verschlüsselungsschlüssel auf einem USB-Flashlaufwerk, das jedes Mal, wenn der Computer 

startet oder aus dem Ruhezustand aufwacht, eingesteckt werden muss. 

Bei vielen Computern, die mit TPM ausgerüstet sind, ist der TPM-Chip im BIOS (Basic 

Input/Output System) deaktiviert. Bevor Sie TPM verwenden können, müssen Sie in einem


solchen Fall die BIOS-Einstellungen des Computers öffnen und darin TPM aktivieren. Sobald 

Sie den TPM-Chip aktiviert haben, führt BitLocker die TPM-Initialisierung automatisch 

durch. Damit Sie TPM-Chips von Hand initialisieren und auf Betriebssystemebene an- und 

ausschalten können, stellt Windows 7 das Snap-In TPM-Verwaltung zur Verfügung (Abbildung 

4.14). Sie können es benutzen, indem Sie ein leeres MMC-Fenster öffnen und dieses 

Snap-In hinzufügen. 

Abbildung 4.14 Im Snap-In TPM-Verwaltung können Sie ein TPM von Hand initialisieren 

Hinweis BitLocker initialisiert ein TPM automatisch 

Weil BitLocker die TPM-Initialisierung für Sie erledigt, wird das Snap-In TPM-Verwaltung 

in diesem Buch nicht weiter behandelt. 

BitLocker stellt auf Computern mit TPM-Hardware unterschiedliche Modi zur Verfügung: 

Nur TPM Dieser Modus ist für den Benutzer transparent, die Benutzeranmeldung 

sieht genauso aus wie vor der Aktivierung von BitLocker. Beim Start kommuniziert Bit- 

Locker mit der TPM-Hardware, um die Integrität des Computers und des Betriebssystems 

zu überprüfen. Falls das TPM fehlt oder geändert wurde, die Festplatte in einen 

anderen Computer eingebaut oder wichtige Startdateien geändert wurden, geht BitLocker 

in den Wiederherstellungsmodus. Im Wiederherstellungsmodus muss der Benutzer einen 

40 Stellen langen Wiederherstellungsschlüssel eingeben oder ein USB-Flashlaufwerk 

mit einem darauf gespeicherten Wiederherstellungsschlüssel einstecken, um Zugriff auf 

die Daten zu bekommen. Der Nur-TPM-Modus bietet Schutz gegen Festplattendiebstahl, 

ohne dass die Benutzer speziell geschult werden müssen. 

TPM mit externem Schlüssel In diesem Modus führt BitLocker dieselben Integritätsprüfungen 

wie im Nur-TPM-Modus durch, der Benutzer muss aber einen externen 

Schlüssel bereitstellen, um Windows starten zu können. (Der externe Schlüssel ist üblicherweise 

ein USB-Flashlaufwerk, auf dem ein Zertifikat gespeichert ist). Dies bietet 

Schutz gegen Festplattendiebstahl und den Diebstahl des gesamten Computers (sofern 

der Computer heruntergefahren oder gesperrt war). Für den Benutzer ist aber ein gewisser 

Aufwand erforderlich.


TPM mit PIN In diesem Modus muss der Benutzer eine PIN eingeben, um Windows 

zu starten. 

TPM mit PIN und externem Schlüssel In diesem Modus muss der Benutzer einen 

externen Schlüssel bereitstellen und eine PIN eingeben. 

Wenn TPM-Hardware zur Verfügung steht, überprüft BitLocker die Integrität des Computers 

und des Betriebssystems, indem es »Messwerte« für verschiedene Teile des Computers und 

Betriebssystems im TPM-Chip speichert. In seiner Standardkonfiguration weist BitLocker 

das TPM an, den Master Boot Record, die aktive Startpartition, den Startsektor, den Windows-Start-Manager 

und den BitLocker-Speicherungsstammschlüssel zu messen. Jedes Mal, 

wenn der Computer gestartet wird, berechnet das TPM den SHA-1-Hash des gemessenen 

Codes und vergleicht ihn mit dem Hashwert, der beim letzten Start im TPM gespeichert 

wurde. Stimmen die Hashwerte überein, wird der Startprozess fortgesetzt. Stimmen die 

Hashwerte nicht überein, wird der Startprozess angehalten. Am Ende eines erfolgreichen 

Startprozesses gibt das TPM den Speicherungsstammschlüssel (engl. storage root key) für 

BitLocker frei. BitLocker entschlüsselt die Daten, während Windows sie vom geschützten 

Volume liest. Weil kein anderes Betriebssystem dies tun kann (nicht einmal eine andere 

Instanz von Windows 7), gibt das TPM niemals den Schlüssel heraus. Das Volume bleibt 

daher verschlüsselt und für Angreifer völlig nutzlos. Jeder Versuch, das geschützte Volume 

zu manipulieren, bewirkt, dass es nicht mehr startfähig ist. 

Aktivieren von BitLocker auf Computern ohne TPM 

Ist keine TPM-Hardware verfügbar, kann BitLocker Entschlüsselungsschlüssel statt in einem 

eingebauten TPM-Modul auch auf einem USB-Flashlaufwerk speichern. Es ist allerdings 

gefährlich, BitLocker in dieser Konfiguration zu betreiben. Falls der Benutzer das USB- 

Flashlaufwerk verliert, kann auf das verschlüsselte Volume nicht mehr zugegriffen werden 

und der Computer kann ohne den Wiederherstellungsschlüssel nicht starten. Windows 7 

stellt diese Option daher nicht standardmäßig zur Verfügung. 

Wenn Sie die BitLocker-Verschlüsselung auf einem Computer ohne kompatibles TPM benutzen 

wollen, müssen Sie eine Einstellung in den Computergruppenrichtlinien ändern. 


1. Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor, indem Sie im Startmenü 

gpedit.msc eingeben und die EINGABETASTE drücken. Bestätigen Sie die UAC- 

Eingabeaufforderung, die daraufhin angezeigt wird. 

2. Erweitern Sie die Knoten Computerkonfiguration, Administrative Vorlagen, Windows- 

Komponenten, BitLocker-Laufwerkverschlüsselung und wählen Sie den Knoten Betriebssystemlaufwerke 

aus. 

3. Aktivieren Sie die Richtlinie Zusätzliche Authentifizierung beim Start erforderlich und 

aktivieren Sie das Kontrollkästchen BitLocker ohne kompatibles TPM zulassen. Klicken 

Sie auf OK. 

Wenn Sie BitLocker in einem Großunternehmen bereitstellen und dabei statt TPM USB- 

Flashlaufwerke einsetzen wollen, sollten Sie diese Einstellung in einer Domänen-Gruppenrichtlinieneinstellung 

vornehmen.

Aktivieren der BitLocker-Verschlüsselung 


Einzelne Benutzer können BitLocker in der Systemsteuerung aktivieren, aber die meisten 

Unternehmen sollten Schlüssel mithilfe von AD DS verwalten. 

Weitere Informationen AD DS so konfigurieren, dass BitLocker gesichert wird 

Eine ausführliche Anleitung, wie Sie AD DS so konfigurieren, dass BitLocker- und TPM- 

Wiederherstellungsinformationen gesichert werden, finden Sie in »Configuring AD DS to 

Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery 

Information« unter der Adresse http://go.microsoft.com/fwlink/?LinkId=78953. 

Gehen Sie folgendermaßen vor, um BitLocker über die Systemsteuerung zu aktivieren: 

1. Führen Sie eine vollständige Datensicherung des Computers durch. Überprüfen Sie dann 

die Integrität der BitLocker-Partition, indem Sie ChkDsk ausführen. 

2. Öffnen Sie die Systemsteuerung. Klicken Sie auf den Link System und Sicherheit. Klicken 

Sie unter BitLocker-Laufwerkverschlüsselung auf den Link Computer durch Verschlüsseln 

von Daten auf dem Datenträger schützen. 

3. Klicken Sie auf der Seite BitLocker-Laufwerkverschlüsselung auf BitLocker aktivieren. 

4. Klicken Sie auf der Seite Setup der BitLocker-Laufwerkverschlüsselung auf Weiter. 

5. Klicken Sie auf Weiter, falls die Seite Laufwerk für BitLocker vorbereiten angezeigt 

wird. Starten Sie den Computer neu, sofern Sie dazu aufgefordert werden. 

6. Klicken Sie auf Weiter, falls die Seite TPM-Sicherheitshardware aktivieren angezeigt 

wird. Klicken Sie anschließend auf Neu starten. 

Abbildung 4.15 Systemstarteinstellungen in BitLocker 

7. Wenn es sich bei dem Volume um das Systemvolume handelt und diese Möglichkeit 

nicht durch eine Gruppenrichtlinieneinstellung verboten ist, können Sie nun im Dialogfeld 

BitLocker-Systemstarteinstellungen festlegen (Abbildung 4.15) die gewünschte


Authentifizierungsmethode wählen. Welche Optionen hier zur Verfügung stehen, hängt 

davon ab, ob der Computer einen TPM-Chip eingebaut hat. 

Es stehen folgende Möglichkeiten zur Auswahl: 

BitLocker ohne zusätzliche Schlüssel verwenden Die Integrität des Betriebssystems 

wird bei jedem Systemstart mit dem TPM überprüft. Bei dieser Option wird der 

Benutzer während des Systemstarts nicht aufgefordert, etwas einzugeben. Der Schutz 

funktioniert völlig transparent. 

Bei jedem Start PIN anfordern Die Integrität des Betriebssystems wird bei jedem 

Systemstart mit dem TPM überprüft, und der Benutzer muss eine PIN eingeben, 

damit seine Identität überprüft wird. Diese Option bietet zusätzlichen Schutz, kann 

aber für den Benutzer unbequem sein. Wenn Sie eine PIN verwenden, öffnet sich die 

Seite Systemstart-PIN eingeben. Geben Sie dort Ihre PIN ein und klicken Sie auf 

PIN festlegen. 

Bei jedem Start Systemstartschlüssel anfordern Es wird keine TPM-Hardware 

benötigt. Bei dieser Option muss der Benutzer beim Systemstart einen USB-Stick 

anschließen, der den Entschlüsselungsschlüssel enthält. Stattdessen können die Benutzer 

auch einen Wiederherstellungsschlüssel eingeben, um Zugriff auf die verschlüsselte 

Systempartition zu bekommen. Wenn Sie einen USB-Stick verwenden 

wollen, wird die Seite Systemstartschlüssel speichern geöffnet. Wählen Sie den 

Systemstartschlüssel aus und klicken Sie dann auf Speichern. 

Hinweis Verwenden einer Kombination aus USB-Stick und PIN 

Sie können im BitLocker-Assistenten wählen, ob Sie entweder eine PIN oder einen 

USB-Stick mit Systemstartschlüssel verwenden wollen. Wollen Sie die beiden Methoden 

kombinieren, müssen Sie das Befehlszeilentool Manage-bde verwenden. Führen Sie 

beispielsweise den Befehl manage-bde -protectors -add C: -TPMAndPINAndStartupKey -tsk E: 

aus, um das Laufwerk C:\ durch eine PIN und einen Startschlüssel zu schützen, der auf 

dem Laufwerk E:\ liegt. 

8. Wählen Sie auf der Seite Wiederherstellungskennwort speichern das Ziel aus (ein USB- 

Laufwerk, einen lokalen oder Remoteordner oder einen Drucker), in dem Sie Ihr Wiederherstellungskennwort 

speichern wollen. Das Wiederherstellungskennwort ist eine 

kleine Textdatei mit einer knappen Anleitung, einer Laufwerksbezeichnung, der Kennwort-ID 

und dem 48-stelligen Wiederherstellungskennwort. Speichern Sie das Kennwort 

und den Wiederherstellungsschlüssel auf unterschiedlichen Geräten und bewahren Sie 

sie an getrennten Orten auf. Klicken Sie auf Weiter. 

9. Aktivieren Sie auf der Seite Volume verschlüsseln das Kontrollkästchen Bitlocker-Systemüberprüfung 

ausführen und klicken Sie auf Fortsetzen, wenn Sie mit der Verschlüsselung 

beginnen wollen. Klicken Sie auf Jetzt neu starten. Beim Neustart stellt BitLocker 

sicher, dass der Computer vollständig kompatibel ist und alles für die Verschlüsselung 

bereit ist. 

10. BitLocker zeigt einen speziellen Bildschirm an, auf dem bestätigt wird, dass der Schlüssel 

geladen wurde. Nachdem dies bestätigt wurde, beginnt BitLocker damit, das Laufwerk 

C zu verschlüsseln, sobald Windows 7 gestartet wurde. Damit ist BitLocker aktiviert.


BitLocker verschlüsselt das Laufwerk im Hintergrund, sodass Sie mit dem Computer weiterarbeiten 

können. 

Verwalten von BitLocker-Schlüsseln auf einem lokalen Computer 

Gehen Sie folgendermaßen vor, um Schlüssel auf dem lokalen Computer zu verwalten: 

1. Öffnen Sie die Systemsteuerung und klicken Sie auf den Link System und Sicherheit. 

Klicken Sie unter BitLocker-Laufwerkverschlüsselung auf den Link BitLocker-Schlüssel 

verwalten. 

2. Klicken Sie im Fenster BitLocker-Laufwerkverschlüsselung auf BitLocker-Schlüssel 

verwalten. 

Mit diesem Tool können Sie folgende Aktionen ausführen (abhängig vom ausgewählten 

Authentifizierungstyp): 

Wiederherstellungsschlüssel erneut speichern oder drucken Hier stehen folgende 

Optionen zur Verfügung: 

Wiederherstellungsschlüssel auf einem USB-Flashlaufwerk speichern 

Wiederherstellungsschlüssel in Datei speichern 

Wiederherstellungsschlüssel drucken 

Systemstartschlüssel kopieren Wenn Sie einen USB-Systemstartschlüssel für die 

Authentifizierung verwenden, können Sie hier einen zweiten USB-Systemstartschlüssel 

mit demselben Schlüssel anlegen. 

PIN zurücksetzen Wenn Sie eine PIN für die Authentifizierung verwenden, können 

Sie hier die PIN ändern. 

Mit dem Tool Manage-bde können Sie BitLocker in einer Eingabeaufforderung mit erhöhten 

Rechten oder von einem Remotecomputer aus verwalten. Dieses Tool ersetzt das Skript 

Manage-bde.wsf aus Windows Vista. Zum Beispiel zeigt der Befehl manage-bde -status die 

aktuelle BitLocker-Konfiguration an. Das folgende Beispiel zeigt, wie Sie einen Computer 

mit einem unverschlüsselten Datenlaufwerk und einem verschlüsselten Systemlaufwerk 

konfigurieren: 

manage-bde -status 

BitLocker-Laufwerkverschlüsselung: Konfigurationstoolversion 6.1.7600 

Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten. 

Datenträgervolumes, die mit BitLocker-Laufwerkverschlüsselung 

geschützt werden können: 

Volume "E:" [Flash] 

[Datenvolume] 

Größe: 0,12 GB 

BitLocker-Version: None 

Konvertierungsstatus: Vollständig entschlüsselt 

Verschlüsselt (Prozent): 0 % 

Verschlüsselungsmethode: Kein 

Schutzstatus: Der Schutz ist deaktiviert. 

Sperrungsstatus: Entsperrt 

ID-Feld: Kein 

Schlüsselschutzvorrichtungen: Keine gefunden


Volume "C:" [] 

[Betriebssystemvolume] 

Größe: 126,90 GB 

BitLocker-Version: Windows 7 

Konvertierungsstatus: Vollständig verschlüsselt 

Verschlüsselt (Prozent): 100 % 

Verschlüsselungsmethode: AES 128 mit Diffuser 

Schutzstatus: Der Schutz ist aktiviert 

Sperrungsstatus: Entsperrt 

ID-Feld: Kein 

Schlüsselschutzvorrichtungen: 

Externer Schlüssel 

Numerisches Kennwort 

Ausführliche Informationen über die Benutzung von Manage-bde erhalten Sie, indem Sie in 

einer Eingabeaufforderung den Befehl manage-bde -? ausführen. 

Wiederherstellen von Daten, die mit BitLocker geschützt werden 

Wenn Sie BitLocker einsetzen, um die Systempartition zu schützen, wird diese Partition 

gesperrt, falls der Verschlüsselungsschlüssel nicht verfügbar ist. Daraufhin wechselt Bit- 

Locker in den Wiederherstellungsmodus. Einige Gründe, warum der Verschlüsselungsschlüssel 

möglicherweise nicht verfügbar ist: 

Eine der Startdateien wurde verändert. 

Das BIOS wurde geändert und das TPM deaktiviert. 

Das TPM wurde gelöscht. 

Es wurde versucht, ohne TPM, PIN oder USB-Stick zu starten. 

Das BitLocker-verschlüsselte Laufwerk wurde in einen neuen Computer eingebaut. 

Abbildung 4.16 Sie erhalten Zugriff auf ein BitLocker-verschlüsseltes Laufwerk, 

indem Sie ein 48-stelliges Wiederherstellungskennwort eingeben


Wenn das Laufwerk gesperrt wurde, können Sie nur im Wiederherstellungsmodus starten 

(Abbildung 4.16). Auf den meisten Tastaturen können Sie die normalen Zifferntasten 0 bis 9 

verwenden. Auf manchen Tastaturbelegungen müssen Sie allerdings die Funktionstasten 

verwenden, also F1 für die Ziffer 1 drücken, F2 für die Ziffer 2 und so weiter bis F10 für 

die Ziffer 0. 

Wenn Sie den Wiederherstellungsschlüssel auf einem USB-Flashlaufwerk gespeichert haben, 

können Sie ihn einlegen und die ESC-Taste drücken, um den Computer neu zu starten. Bit- 

Locker liest den Wiederherstellungsschlüssel automatisch beim Systemstart. 

Falls Sie die Wiederherstellung abbrechen, zeigt der Windows-Start-Manager eine Anleitung 

an, wie Sie ein Startproblem mit der Systemstartreparatur automatisch beseitigen können. 

Folgen Sie nicht diesen Anleitungen, die Systemstartreparatur kann nicht auf das verschlüsselte 

Volume zugreifen. Starten Sie stattdessen den Computer neu und geben Sie den Wiederherstellungsschlüssel 


Als letzten Ausweg können Sie das BitLocker-Reparaturtool (Repair-bde) verwenden, um 

Daten von einem verschlüsselten Volume wiederherzustellen. In älteren Windows-Versionen 

musste das BitLocker-Reparaturtool separat heruntergeladen werden, in Windows 7 und 

Windows Server 2008 R2 ist es dagegen schon enthalten. 

Mit dem BitLocker-Reparaturtool können Sie den entschlüsselten Inhalt eines verschlüsselten 

Volumes auf ein anderes Volume kopieren. Nehmen wir an, Sie haben mit BitLocker das 

Datenvolume D:\ geschützt, dieses Volume wurde aber beschädigt. Sie möchten nun mit 

dem BitLocker-Reparaturtool seinen Inhalt entschlüsseln und auf das Volume E:\ kopieren. 

Den Wiederherstellungsschlüssel beziehungsweise das Kennwort haben Sie zur Verfügung. 

Der folgende Befehl erledigt diese Aufgabe: 

repair-bde D: E: -RecoveryPassword 111111-222222-333333-444444-5555555-6666666-7777777- 

888888 

Sie können auch versuchen, ein Volume zu reparieren, ohne seine Daten zu kopieren. Verwenden 

Sie dazu das Argument -NoOutputVolume, wie im folgenden Befehl gezeigt: 

repair-bde C: -NoOutputVolume -RecoveryKey D:\RecoveryKey.bek 

Ist das Systemvolume beschädigt, können Sie Windows 7-Setup von der Windows 7-DVD 

starten, die Reparaturtools ausführen und eine Eingabeaufforderung öffnen, um darin das 

BitLocker-Reparaturtool zu starten. Stattdessen können Sie auch versuchen, das Volume auf 

einem anderen Computer im Dateisystem bereitzustellen und dort das BitLocker-Reparaturtool 

auszuführen. 

Hinweis Sichern verschlüsselter Laufwerke 

Weil es unter Umständen schwierig oder sogar unmöglich ist, ein BitLocker-geschütztes 

Laufwerk wiederherstellen, nachdem es beschädigt wurde, ist es besonders wichtig, dass Sie 

alle BitLocker-geschützten Laufwerke regelmäßig sichern. Beachten Sie aber, dass Ihre 

Datensicherungen unter Umständen nicht standardmäßig verschlüsselt sind. Das gilt auch 

für die Systemabbildsicherung. Die Systemabbildsicherung legt zwar eine Kopie Ihres gesamten 

Datenträgers an, aber BitLocker arbeitet auf einer niedrigeren Ebene als die Systemabbildsicherung. 

Wenn die Systemabbildsicherung den Datenträger liest, bekommt sie die 

von BitLocker bereits entschlüsselte Version des Datenträgers.


Deaktivieren oder Entfernen der BitLocker-Laufwerkverschlüsselung 

Weil BitLocker den Systemstartprozess abfängt und nach Änderungen in allen Startdateien 

sucht, können in einigen Fällen Probleme auftreten, auch wenn es sich nicht um einen 

Angriff handelt: 

Motherboard oder TPM wurde aufgerüstet oder ersetzt. 

Es wurde ein neues Betriebssystem installiert, das den Master Boot Record oder den 

Start-Manager ändert. 

Ein BitLocker-verschlüsseltes Laufwerk wurde in einen anderen TPM-fähigen Computer 

eingebaut. 

Die Festplatte wurde neu partitioniert. 

Das BIOS wurde aktualisiert. 

Fremdherstellerupdates wurden außerhalb des Betriebssystems durchgeführt (zum 

Beispiel Firmwareupdates). 

Um nicht im BitLocker-Wiederherstellungsmodus zu landen, können Sie BitLocker kurzzeitig 

deaktivieren, um das TPM auszutauschen oder ein Betriebssystemupgrade durchzuführen. 

Wenn Sie BitLocker wieder aktivieren, wird derselbe Verschlüsselungsschlüssel 

benutzt. Sie können auch einstellen, dass das BitLocker-geschützte Volume entschlüsselt 

wird. Dann wird der BitLocker-Schutz vollständig entfernt. Sie können BitLocker danach 

nur wieder aktivieren, indem Sie neue Schlüssel erstellen und das Volume neu verschlüsseln. 

Gehen Sie folgendermaßen vor, um BitLocker temporär zu deaktivieren oder das BitLockergeschützte 

Volume dauerhaft zu entschlüsseln: 

1. Melden Sie sich als Administrator am Computer an. 

2. Öffnen Sie in der Systemsteuerung die BitLocker-Laufwerkverschlüsselung. 

3. Klicken Sie neben dem Volume, für das BitLocker aktiviert ist, auf Schutz anhalten, um 

einen leeren Schlüssel zu verwenden. Oder klicken Sie auf BitLocker deaktivieren, um 

BitLocker ganz auszuschalten. 

Problembehandlung für BitLocker 

Etliche häufige BitLocker-Probleme sind eigentlich »Features«. Die Probleme treten auf, 

weil BitLocker mit dem Ziel entworfen wurde, Schutz vor bestimmten Angriffsarten zu 

gewährleisten. Oft ähneln normale Operationen solchen Angriffen, daher weigert sich 

BitLocker, den Computer starten zu lassen, oder die BitLocker-Verschlüsselung gibt Ihnen 

keinen Zugriff auf die Dateien mehr: 

Das Betriebssystem startet in einer Dual-Boot-Konfiguration nicht mehr Sie können 

in einem Computer eine Dual-Boot-Konfiguration verwenden, nachdem Sie Bit- 

Locker aktiviert haben. Aber die zweite Betriebssysteminstanz muss auf einer anderen 

Partition konfiguriert sein. Sie können kein zweites Betriebssystem verwenden, das auf 

derselben Partition installiert ist. 

Das Betriebssystem startet nicht, nachdem Sie die Festplatte in einen anderen 

Computer eingebaut haben BitLocker soll Daten vor Offlineangriffen schützen, die 

beispielsweise die Betriebssystemsicherheit dadurch umgehen, dass die Festplatte an 

einen anderen Computer angeschlossen wird. Der neue Computer kann die Daten dann


nicht entschlüsseln (nicht einmal, wenn er einen TPM-Chip hat). Bevor Sie eine Bit- 

Locker-verschlüsselte Festplatte in einen anderen Computer einbauen, müssen Sie 

BitLocker deaktivieren. Sobald Sie die Festplatte in den anderen Computer eingebaut 

haben, können Sie BitLocker wieder aktivieren. Stattdessen können Sie Windows auch 

mit dem Wiederherstellungsschlüssel starten, nachdem Sie die Festplatte in den neuen 

Computer eingebaut haben. 

Die Daten auf der Festplatte lassen sich mit den Standarddatenträgerwiederherstellungstools 

nicht lesen Aus den Gründen, die im letzten Punkt beschrieben wurden, 

können BitLocker-Dateien nicht mit den Standarddatenträgerwiederherstellungstools 

gelesen werden. Eines Tages gibt es wahrscheinlich Wiederherstellungstools, die die 

Möglichkeit bieten, BitLocker-Dateien mit dem Wiederherstellungsschlüssel zu entschlüsseln. 

Als dieses Buch geschrieben wurde, bestand die einzige Möglichkeit zum 

Wiederherstellen BitLocker-verschlüsselter Dateien darin, Windows 7 mit dem Bit- 

Locker-Wiederherstellungsschlüssel zu starten. Aus diesem Grund ist es besonders 

wichtig, BitLocker-verschlüsselte Volumes regelmäßig zu sichern. 

Übung Verschlüsseln von Dateien und Wiederherstellen 

verschlüsselter Daten 

In dieser Übung simulieren Sie die Wiederherstellung eines verlorenen EFS-Verschlüsselungszertifikats. 

Übung 1 Verschlüsseln von Daten 

In dieser Übung verschlüsseln Sie eine Datei. Windows 7 generiert automatisch einen EFS- 

Schlüssel, sofern Sie noch keinen haben. 

1. Melden Sie sich als Standardbenutzer an einem Windows 7-Computer an. 

2. Erstellen Sie in Ihrem Dokumente-Ordner eine Datei namens Encrypted.txt. 

3. Klicken Sie mit der rechten Maustaste auf die Datei Encrypted.txt und wählen Sie den 

Befehl Eigenschaften. 

4. Klicken Sie auf der Registerkarte Allgemein im Eigenschaftendialogfeld auf die Schaltfläche 

Erweitert. 

5. Aktivieren Sie das Kontrollkästchen Inhalt verschlüsseln, um Daten zu schützen und 

klicken Sie auf OK. Klicken Sie erneut auf OK. 

6. Wählen Sie im Dialogfeld Verschlüsselungswarnung die Option Nur Datei verschlüsseln 

aus und klicken Sie auf OK. 

Der Windows-Explorer zeigt die Datei Encrypted.txt jetzt in grüner Farbe an. 

7. Klicken Sie doppelt auf die Datei Encrypted.txt, um sie im Editor zu öffnen. Fügen Sie 

den Text »Diese Datei ist verschlüsselt« ein. Speichern Sie die Datei und schließen Sie 

den Editor. 

8. Klicken Sie doppelt auf die Datei, um sicherzustellen, dass Sie sie öffnen können, und 

schließen Sie den Editor wieder. 

Sie haben nun eine verschlüsselte Datei, auf die kein Benutzer ohne Ihren EFS-Schlüssel 

zugreifen kann.


Übung 2 Sichern eines EFS-Schlüssels 

In Übung 1 haben Sie eine Datei verschlüsselt. In dieser Übung sichern Sie den EFS-Schlüssel, 

der automatisch generiert wurde, als Sie die Datei verschlüsselt haben. Dann löschen Sie 

den Originalschlüssel und überprüfen, ob Sie auf die EFS-verschlüsselte Datei zugreifen 

können. Um diese Übung durcharbeiten zu können, müssen Sie Übung 1 abgeschlossen 

haben. 



3. Klicken Sie im linken Fensterabschnitt auf den Link Dateiverschlüsselungszertifikate 

verwalten. 

Der Assistent Verschlüsselndes Dateisystem wird geöffnet. 

4. Klicken Sie auf der Seite Verwalten Sie die Zertifikate zur Dateiverschlüsselung auf 

Weiter. 

5. Lassen Sie auf der Seite Ein Dateiverschlüsselungszertifikat auswählen oder erstellen 

die Standardoption ausgewählt, um Ihr eigenes EFS-Zertifikat zu verwenden, und 

klicken Sie dann auf Weiter. 

6. Klicken Sie auf der Seite Schlüssel und Zertifikat sichern auf die Schaltfläche Durchsuchen 

und wählen Sie den Ordner Dokumente aus. Geben Sie als Dateinamen EFScert-backup.pfx 

ein und klicken Sie auf Speichern. Geben Sie ein komplexes Kennwort 

in die Felder Kennwort und Kennwort bestätigen ein. Klicken Sie auf Weiter. 

7. Falls die Seite Bereits verschlüsselte Dateien aktualisieren angezeigt wird, können Sie 

alle Kontrollkästchen deaktiviert lassen. Klicken Sie dann auf Weiter. 

8. Klicken Sie auf der Seite Das Zertifikat und der Schlüssel wurden gesichert auf Schließen. 

9. Öffnen Sie im Windows-Explorer Ihren Dokumente-Ordner und stellen Sie sicher, dass 

das EFS-Zertifikat richtig exportiert wurde. 

Da Sie Ihren EFS-Schlüssel gesichert haben, ist es keine Katastrophe mehr, wenn Sie ihn 

verlieren. Im Folgenden simulieren Sie einen beschädigten oder verlorenen Schlüssel, 

indem Sie ihn löschen: 


GABETASTE, um ein leeres Microsoft Management Console-Fenster zu öffnen. 


12. Wählen Sie Zertifikate aus und klicken Sie auf Hinzufügen. Klicken Sie auf OK. 

13. Wählen Sie Eigenes Benutzerkonto aus und klicken Sie auf Fertig stellen. 


15. Erweitern Sie die Knoten Zertifikate – Aktueller Benutzer und Eigene Zertifikate und 

wählen Sie Zertifikate aus. 

16. Klicken Sie im mittleren Fensterabschnitt mit der rechten Maustaste auf Ihr EFS-Zertifikat 

und wählen Sie den Befehl Löschen. 

17. Klicken Sie im Dialogfeld Zertifikate auf Ja, um zu bestätigen, dass Sie das Zertifikat 

löschen wollen.


18. Melden Sie sich von der aktuellen Desktopsitzung ab und wieder an. Windows 7 legt das 

EFS-Zertifikat des Benutzers in einem Zwischenspeicher ab. Solange Sie also angemeldet 

bleiben, können Sie Ihre verschlüsselte Datei weiterhin öffnen. 

19. Öffnen Sie den Ordner Dokumente und klicken Sie doppelt auf die Datei Encrypted.txt. 

Der Editor müsste sich öffnen und die Fehlermeldung »Zugriff verweigert« anzeigen. 

Das zeigt, dass die Datei verschlüsselt ist, Sie aber nicht über ein gültiges EFS-Zertifikat 

verfügen. 

Übung 3 Wiederherstellen verschlüsselter Daten 

In dieser Übung stellen Sie einen verlorenen EFS-Schlüssel wieder her und greifen damit 

auf verschlüsselte Daten zu. Um diese Übung durcharbeiten zu können, müssen Sie die 

Übungen 1 und 2 abgeschlossen haben. 

1. Klicken Sie im Ordner Dokumente doppelt auf die Datei EFS-cert-backup.pfx, die Sie in 

Übung 2 erstellt haben. 


2. Klicken Sie auf der Seite Willkommen des Zertifikatimport-Assistenten auf Weiter. 

3. Klicken Sie auf der Seite Zu importierende Datei auf Weiter. 

4. Geben Sie auf der Seite Kennwort das Kennwort ein, das Sie dem Zertifikat zugewiesen 

haben. Klicken Sie auf Weiter. 

5. Klicken Sie auf der Seite Zertifikatspeicher auf Weiter. 

6. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen. 

7. Klicken Sie in der Bestätigung, dass der Import erfolgreich war, auf OK. 

8. Öffnen Sie den Ordner Dokumente und klicken Sie doppelt auf die Datei Encrypted.txt. 

Der Editor müsste sich öffnen und den Inhalt der Datei anzeigen. Das beweist, dass Sie 

den EFS-Schlüssel erfolgreich wiederhergestellt haben und jetzt auf Ihre verschlüsselten 

Dateien zugreifen können. 


Mit EFS können Sie einzelne Dateien und Ordner verschlüsseln. Weil verschlüsselte 

Dateien nicht mehr verfügbar sind, falls der Benutzer sein EFS-Zertifikat verliert, ist es 

wichtig, das EFS-Zertifikat und einen Wiederherstellungsschlüssel zu sichern. In Umgebungen, 

wo sich mehrere Benutzer am selben Computer anmelden, können Sie mehreren 

Benutzern Zugriff auf EFS-verschlüsselte Dateien gewähren. 

Mit BitLocker können Sie das gesamte Systemvolume verschlüsseln. Sofern TPM-Hardware 

verfügbar ist, greift BitLocker darauf zurück, um den Verschlüsselungsschlüssel zu 

versiegeln. BitLocker arbeitet dann während des Computerstarts mit der TPM-Hardware 

zusammen, um die Integrität von Computer und Betriebssystem zu überprüfen. Steht 

TPM-Hardware zur Verfügung, können Sie optional fordern, dass der Benutzer ein USB- 

Flashlaufwerk mit einem speziellen Schlüssel anschließt oder ein Kennwort eingibt, um 

Zugriff auf das BitLocker-verschlüsselte Volume zu bekommen. BitLocker ist auf Computern 

ohne TPM-Hardware in der Standardeinstellung deaktiviert, aber Sie können Bit- 

Locker auch ohne TPM-Hardware mithilfe von Gruppenrichtlinieneinstellungen aktivieren. 

Wenn keine TPM-Hardware vorhanden ist, müssen die Benutzer ein USB-Flash-



laufwerk einlegen oder einen Wiederherstellungsschlüssel angeben, um Windows 7 zu 

starten. 


»Steuern des Zugriff auf Daten mithilfe von Verschlüsselung«, überprüfen. Die Fragen 

finden Sie (in englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch auf 

dem Computer im Rahmen eines Übungstests beantworten. 




1. Welches Tool verwenden Sie, um ein EFS-Zertifikat zu sichern? 

A. BitLocker-Laufwerkverschlüsselung 

B. Computerverwaltung 

C. Zertifikate 

D. Dienste 

2. Welchen Knoten in der Konsole Zertifikate verwenden Sie, um das Zertifikat des Datenwiederherstellungs-Agents 

zu sichern? 

A. Zertifikate – Aktueller Benutzer\Eigene Zertifikate\Zertifikate 

B. Zertifikate – Aktueller Benutzer\AD DSBenutzerobjekt 

C. Zertifikate (Lokaler Computer)\Eigene Zertifikate\Zertifikate 

D. Zertifikate (Lokaler Computer)\AD DSBenutzerobjekt 

3. Welche der folgenden Konfigurationen unterstützt BitLocker? (Wählen Sie alle zutreffenden 


A. BitLocker mit einem TPM, aber ohne zusätzliche Schlüssel 

B. BitLocker mit einem TPM, bei jedem Start muss eine PIN eingegeben werden 

C. BitLocker ohne TPM, bei jedem Start muss eine PIN eingegeben werden 

D. BitLocker ohne TPM, bei jedem Start muss ein USB-Stick eingesteckt werden


Rückblick auf dieses Kapitel 189 


vertiefen: 









Die Authentifizierung ist der Prozess, bei dem ein Benutzer identifiziert und seine Identität 

bewiesen wird. Wenn Sie Authentifizierungsprobleme untersuchen, sollten Sie erst 

sicherstellen, dass für den Benutzer keine Anmeldeeinschränkungen wirksam sind, etwa 

ein gesperrtes Konto, ein abgelaufenes Kennwort oder ein deaktiviertes Konto. Wenn Sie 

Authentifizierungsfehler überwachen wollen, können Sie die Fehlerüberwachung für 

Anmeldeversuche aktivieren und dann das Sicherheitsereignisprotokoll analysieren. 

Wird ein Computerkonto nichtvertrauenswürdig, können Sie den Computer aus der 

Domäne entfernen und erneut hinzufügen oder die Vertrauensbeziehung mit dem Tool 

Netdom wiederherstellen. 

Der Internet Explorer ist eines der wichtigsten Werkzeuge in Windows, weil die Benutzer 

damit auf Webanwendungen und das Internet zugreifen. Daher ist es wichtig, dass 

Sie wissen, wie Sie den Internet Explorer konfigurieren und häufig auftretende Probleme 

beseitigen. Früher hatten die Benutzer immer wieder Probleme mit Add-Ons, die die 

Fähigkeiten des Internet Explorers erweitern, aber unter Umständen auch unzuverlässig 

oder böswillig agieren. Glücklicherweise gibt der Internet Explorer Administratoren die 

vollständige Kontrolle darüber, welche Add-Ons installiert werden können. Sie können 

den Internet Explorer auch jederzeit ohne irgendwelche Add-Ons starten. Um die Gefahren 

beim Arbeiten mit dem Internet Explorer zu verringern, führt der geschützte Modus 

den Internet Explorer mit minimalen Privilegien aus. Wenn eine Webseite, der Internet 

Explorer, ein Add-On oder irgendein Prozess, der aus dem Internet Explorer heraus gestartet 

wurde, erhöhte Privilegien anfordert, muss diese Anhebung genehmigt werden, 

bevor der Internet Explorer die Aktion ausführen kann. Um Datenschutz und Authentifizierung 

zu gewährleisten, verwenden viele Websites SSL-Zertifikate. Daher ist es unverzichtbar, 

dass Sie die Ursachen für häufig auftretende Zertifikatprobleme kennen und 

wissen, wie Sie diese Probleme beseitigen. 

Verschlüsselung schützt Daten selbst dann, wenn ein Angreifer die Betriebssystemsicherheit 

umgeht. Windows 7 enthält zwei Verschlüsselungstechnologien: EFS und BitLocker. 

EFS verschlüsselt einzelne Dateien und Ordner, BitLocker gesamte Volumes. Falls ein 

Benutzer seinen Schlüssel verliert, kann er nicht auf seine verschlüsselten Dateien zugreifen. 

Daher ist es wichtig, Datenwiederherstellungs-Agents für EFS und BitLocker- 

Wiederherstellungsschlüssel bereitzuhalten und die Daten regelmäßig zu sichern. Mit


dem Tool Manage-bde verwalten Sie BitLocker in einer Eingabeaufforderung. Um Bit- 

Locker in einer Eingabeaufforderung zu reparieren, können Sie das Tool Repair-bde 

verwenden. 




ActiveX 

BitLocker-Laufwerkverschlüsselung 

Verschlüsselndes Dateisystem (Encrypting File System, EFS) 

Mandatory Integrity Control (MIC) 

Mehr-Faktoren-Authentifizierung 

Geschützter Modus 

Kompatibilitätsschicht des geschützten Modus 

Rootkit 




Abschnitt »Antworten« hinten in diesem Buch. 

Übung mit Fallbeispiel 1: Empfehlen von Datensicherheitstechnologien 

Sie arbeiten als Desktopsupporttechniker bei Wingtip Toys. Vor Kurzem hat Adina Hagege, 

die Vorstandsvorsitzende des Unternehmens, Sie auf dem Gang angesprochen, um schnell 

einige Fragen zu stellen. 

Fragen 

Beantworten Sie die folgenden Fragen: 

1. »Können Sie mir schnell eine Einschätzung zu einem bestimmten Thema geben? Ich bin 

fast ständig auf Reisen und speichere die Finanzdaten des Unternehmens und alle Pläne 

für unsere neuen Spielzeuge auf meinem Notebook. Die IT-Abteilung behauptet, dass sie 

die Dateiberechtigungen so eingerichtet haben, dass nur ich diese Dateien lesen kann. 

Reicht das aus für den Fall, dass jemand mein Notebook klaut?« 

2. »Gibt es irgendeine Möglichkeit, meine Daten auch dann zu schützen, wenn das Notebook 

gestohlen wird? Welche Varianten stehen mir zur Verfügung?« 

3. »Manchmal gebe ich Dateien für andere Leute im Netzwerk frei. Welche dieser Technologien 

erlaubt mir, die Dateien auf diese Weise freizugeben?«


Übung mit Fallbeispiel 2: Unerwünschte Internet Explorer-Add-Ons 

Sie sind Systemadministrator bei Humongous Insurance. Vor Kurzem hat einer Ihrer Vertreter 

beim Helpdesk angerufen, weil er seltsame Probleme mit dem Internet Explorer hat. Insbesondere 

stört ihn, dass seine Startseite geändert wurde und der Popupblocker nicht mehr zu 

funktionieren scheint. 

Ihr Manager macht sich Sorgen, dass dies kein Einzelfall ist, und beauftragt Sie, mit den 

entsprechenden Mitarbeitern zu reden. Anschließend sollen Sie in sein Büro kommen und 

Empfehlungen geben, wie sich solche Probleme in Zukunft vermeiden lassen. 

Recherche 


David Barber, Vertreter »Ich habe ein Add-On installiert, weil das Surfen im Web 

dadurch angeblich schneller wird. Ich habe keine Verbesserung bemerkt. Danach hat sich 

aber die Startseite bei meinem Internet Explorer geändert und seitdem bekomme ich jede 

Menge Popupwerbung auf meinem Bildschirm.« 

Julian Price, Projektmanager für Internetentwicklung »Wir haben vor Kurzem 

unsere gesamte interne Software auf die ASP.NET-Webanwendungsplattform umgestellt. 

Für einige kompliziertere Elemente haben wir selbst entwickelte clientseitige Add-Ons 

im Internet Explorer installiert. Sie dürfen also auf keinen Fall alle Add-Ons blockieren. 

Wir nutzen Add-Ons intern und aktualisieren sie regelmäßig, daher müssen die Benutzer 

in der Lage sein, die Add-Ons automatisch zu installieren.« 

Fragen 

Beantworten Sie Ihrem Manager folgende Fragen: 

1. Wie lassen sich unerwünschte Add-Ons am besten entfernen, falls dieses Problem noch 

einmal auftritt? 

2. Sind in der Standardeinstellung von Windows 7 irgendwelche Features aktiviert, die 

Benutzer vor unerwünschten Add-Ons schützen? Welche? 

3. Wie lassen sich unerwünschte Add-Ons in Zukunft am besten verhindern? 




Untersuchen und Beseitigen von Anmeldeproblemen 

Im Rahmen dieser Aufgabe sollten Sie beide Übungen durchführen. 


windows7 und suchen Sie die Newsgroup »Sicherheit, Datenschutz und Benutzerkonten«. 

Lesen Sie die Nachrichten durch, um festzustellen, wie andere Administratoren 

ihre Authentifizierungsprobleme gelöst haben. 

Übung 2 Aktivieren Sie auf Ihrem Produktivcomputer die Erfolgs- und Fehlerüberwachung 

für die Richtlinie Anmeldeereignisse überwachen. Lassen Sie die Überwachung


einige Tage laufen und analysieren Sie dann die Überwachungsereignisse im Sicherheitsereignisprotokoll. 

Stellen Sie fest, welche Ereignistypen während des normalen Computerbetriebs 

aufgezeichnet werden. 

Untersuchen und Beseitigen von Verschlüsselungsproblemen 

Im Rahmen dieser Aufgabe sollten Sie Übung 1 durchführen. Falls Sie sich ausführlicher 

mit BitLocker beschäftigen wollen, können Sie auch die Übungen 2 und 3 durcharbeiten. 

Übung 1 Verschlüsseln Sie in einer Domänenumgebung eine Datei mit EFS. Kopieren 

Sie dann den Domänen-DRA-Schlüssel auf diesen Computer und verwenden Sie ein 

anderes Konto, um die verschlüsselte Datei wiederherzustellen. 

Übung 2 Aktivieren Sie die BitLocker-Laufwerkverschlüsselung auf einem Windows 

7-Computer. Suchen Sie dann im Internet nach einer kostenlosen .iso-Datei für ein 

startfähiges Betriebssystem und brennen Sie die .iso-Datei auf eine CD oder DVD. 

Starten Sie den Computer von dem startfähigen Medium und versuchen Sie, sich die 

Dateien auf dem BitLocker-geschützten Volume anzusehen. 

Übung 3 Aktivieren Sie die BitLocker-Laufwerkverschlüsselung auf einem Windows 

7-Computer. Bauen Sie dann die Festplatte in einen anderen Computer ein und 

versuchen Sie, Windows zu laden. Geben Sie den Wiederherstellungsschlüssel ein, wenn 

Sie dazu aufgefordert werden. 

Untersuchen und Beseitigen von Sicherheitsproblemen für Windows Internet 

Explorer 

Im Rahmen dieser Aufgabe sollten Sie mindestens die Übungen 1 bis 3 durchführen. Wenn 

Sie genauer untersuchen wollen, wie der Internet Explorer auf erwünschte oder böswillige 

Änderungen reagiert, können Sie auch Übung 4 durcharbeiten. 

Übung 1 Öffnen Sie auf dem Computer, den Sie für Ihre normale Arbeit einsetzen, den 

Internet Explorer und zeigen Sie das Dialogfeld Add-Ons verwalten an. Untersuchen Sie, 

welche unterschiedlichen Add-Ons bereits installiert sind. 

Übung 2 Starten Sie den Internet Explorer mit deaktivierten Add-Ons. Besuchen Sie 

Ihre Lieblingswebsites und untersuchen Sie, ob sich durch das Fehlen der Add-Ons 

etwas ändert. 

Übung 3 Öffnen Sie auf dem Computer, den Sie für Ihre normale Arbeit einsetzen, im 

Explorer den Ordner \%UserProfile%\AppData\Local\Microsoft\Windows\Temporary 

Internet Files\Virtualized\ und seine Unterordner. Der Ordner ist ausgeblendet, daher 

müssen Sie den vollständigen Pfad eingeben. Untersuchen Sie, welche Anwendungen 

die Internet Explorer-Kompatibilitätsschicht virtualisiert hat und welche Dateitypen 

betroffen sind. 

Übung 4 Führen Sie auf einem Testcomputer eine Neuinstallation von Windows 7 

durch. Besuchen Sie Ihre Lieblingswebsites und sehen Sie sich an, wie Informationsleiste, 

geschützter Modus und UAC zusammenarbeiten, um den Benutzer gegen potenziell 

unerwünschte Add-Ons zu schützen. Besuchen Sie anschließend im Internet Explorer 

potenziell gefährliche Websites, die unter Umständen versuchen, böswillige Software 

zu installieren. Sehen Sie sich an, wie der Internet Explorer reagiert. (Hinweis: Suchen 

Sie nach Kombinationen von Wörtern wie »crack«, »hack«, »warez« und »serials«).


Machen Sie einen Übungstest 193 












Schützen von Clientsystemen 

Jeder Computer, der mit dem Internet verbunden ist, ist einer ständigen Welle von Angriffen 

durch Schadsoftware ausgesetzt, die über das Netzwerk einzudringen versucht. Die Zahl und 

Raffinesse dieser Bedrohungen nimmt von Jahr zu Jahr zu. Als Supporttechniker in einem 

Großunternehmen sind Sie dafür verantwortlich, die Clientsysteme vor dieser wachsenden 

Gefahr zu schützen. 

Um Ihre Rolle in der Verteidigungsstrategie des Unternehmens erfüllen zu können, müssen 

Sie wissen, wie Sie in Windows 7 die Features konfigurieren, die Ihre Clients schützen. Insbesondere 

müssen Sie wissen, wie Sie die Gefahr verringern, dass Malware Schaden anrichtet. 

Dazu richten Sie die Benutzerkontensteuerung (User Account Control, UAC) passend 

ein, konfigurieren Windows-Defender und deinstallieren unerwünschte Software, sobald sie 

entdeckt wird. 


Untersuchen und Beseitigen von Problemen aufgrund von Schadsoftware 


Lektion 1: Beseitigen von Malwareproblemen . ........................... 197 



Einen Domänencontroller, der unter Windows Server 2008 R2 läuft 

Einen Windows 7-Clientcomputer, der Mitglied derselben Domäne ist 

Praxistipp 


Ich höre oft, wie falsche Informationen über Viren und andere Malware verbreitet werden, 

und bin überzeugt, dass diese Fehlinformationen dazu führen, dass sich Benutzer und 

Administratoren in falscher Sicherheit wiegen, was die Gefahren betrifft, denen ihre 

Systeme ausgesetzt sind. Viele der Fehlinformationen basieren auf exakten Kenntnissen 

über den Stand der Technik, den Malwarebedrohungen vor rund 10 Jahre hatten. Aber die 

Fähigkeiten dieser Programme haben sich erheblich weiterentwickelt, und diese Entwicklung 

geht weiter. Damit Sie lernen, wie Sie sich heute am besten verteidigen können, 

sollten wir daher mit einigen Mythen aufräumen: 

195

196 Kapitel 5: Schützen von Clientsystemen 

»Solange Sie die Windows-Updates auf dem neuesten Stand halten, passiert Ihnen 

nichts.« 

Natürlich müssen Sie Microsoft Windows mit Updates auf dem neuesten Stand 

halten, aber das gilt für Ihre gesamte Software. Sicherheitslücken finden sich genauso 

in Anwendungen wie in Betriebssystemen. Und viele dieser Sicherheitslücken lassen 

sich ausnutzen, um ein System vollständig zu übernehmen. Microsoft Office-Anwendungen 

werden besonders oft angegriffen. Denken Sie daran, dass Ihre Systeme nicht 

vor Angriffen geschützt sind, wenn Sie nur Windows aktualisiert halten. 

»Solange Sie sich nicht durch einen Trick dazu bringen lassen, ein Einfallstor zu 

öffnen, passiert Ihnen nicht.« 

Vor langer, langer Zeit war es so, dass Schadsoftware die Mithilfe eines Benutzers 

brauchte, um sich auf einem System zu installieren. Heutzutage sieht die Situation 

ganz anders aus. Schon wenn Sie die falsche Site im Browser aufrufen, können Sie 

sich den heimlichen Download von Schadsoftware einhandeln. Einige der verheerendsten 

Angriffe stammen von Internet-Würmern, die völlig unabhängig von Benutzeraktionen 

agieren. Es ist nach wie vor wichtig, dass die Benutzer keine unbekannte 

Software starten, aber diese Maßnahme allein reicht nicht aus, um ihre Systeme vor 

einer Infektion zu schützen. 

»Solange Sie Ihre Antivirensoftware auf dem neuesten Stand halten und täglich einen 

Scan durchführen, passiert Ihnen nichts.« 

Das ist wahrscheinlich der am weitesten verbreitete Mythos über Malware. Es stimmt 

zwar, dass eine solide Antimalwarelösung einer der wesentlichen Pfeiler in jeder 

Clientschutzstrategie ist, aber es lässt sich nicht leugnen: Diese Software hat ihre 

Grenzen. Malwareentwickler, die bei ihren Angriffen Erfolg haben wollen, entwerfen 

ihre Programme natürlich so, dass sie nicht von Antiviruslösungen entdeckt werden. 

Beispielsweise ist das Rootkit ein relativ neuer Typ Malware, den bisher nur wenige 

Antimalwareanwendungen zuverlässig erkennen. Aber selbst herkömmliche Arten 

von Malware können so entworfen sein, dass sie einer Entdeckung aus dem Weg 

gehen. Selbst wenn Ihre Antivirensoftware also keine Malware auf einem System 

findet, sollten Sie sich bewusst sein, dass dieses System durchaus infiziert sein 

könnte. 

Durch diese drei Mythen zieht sich ein roter Faden: der Glaube, Sie könnten Ihre Systeme 

vor Malware schützen, indem Sie eine wenige bekannte Schutzmechanismen nutzen. Die 

Wirklichkeit sieht anders aus: Will Ihr Unternehmen seine Clientsysteme wirksam schützen, 

muss es eine ganze Palette von Strategien einsetzen. Das sind unter anderem effektive 

Softwareupdates, Antivirensoftware, Schulung der Benutzer, Firewalls und vor allem 

effektive Verwaltung dieser und anderer Sicherheitsfeatures.

Lektion 1: Beseitigen von Malwareproblemen 

Lektion 1: Beseitigen von Malwareproblemen 197 

Pro Tag werden inzwischen mehr neue Malwareanwendungen geschrieben als seriöse 

Anwendungen. Als Supporttechniker in einem großen Unternehmen müssen Sie Ihre Clients 

wirksam vor dieser wachsenden Gefahr schützen und wissen, wie Sie Malwareinfektionen 

begegnen, wenn sie dennoch eingetreten sind. 

Windows 7 enthält zwei Features, die Ihnen beim Kampf gegen Malware helfen. Die Benutzerkontensteuerung 

(User Account Control, UAC) hilft dabei zu verhindern, dass Programme 

geschützte Bereiche des Betriebssystems heimlich manipulieren. Und Windows-Defender 

durchsucht Ihr System nach Spyware und bietet an, jegliche unerwünschte Software, die er 

erkannt hat, direkt zu löschen. 

Sie brauchen daneben zwar weitere Anwendungen wie Microsoft Forefront und eine verwaltete 

Antimalwarelösung, um Ihr Netzwerk zu schützen, aber die Benutzung und Konfiguration 

dieser integrierten Features von Windows 7 gehören zu den Fähigkeiten, die Sie für 

Ihren Beruf unbedingt brauchen. 


Die Benutzerkontensteuerung so konfigurieren, dass die angezeigten Benachrichtigungen 

den Anforderungen Ihrer Organisation entsprechen 

Konfigurieren von Windows-Defender-Einstellungen 

Bestimmte Malware erkennen und von Hand entfernen, falls Ihre Antimalwareanwendungen 

scheitern 


Grundlagen von Malware 

Malware ist ein Sammelbegriff für viele unterschiedliche Arten unerwünschter Software. Sie 

müssen die Charakteristiken der unterschiedlichen Bedrohungen kennen, aber auch wissen, 

dass viele Malwareanwendungen Features unterschiedlicher Typen miteinander verschmelzen. 

Die folgende Liste beschreibt die am weitesten verbreiteten Malwaretypen: 

Virus Ein Virus ist ein Programm, das sich selbst vermehrt und sich automatisch auf 

einem Zielcomputer installiert. Viren vermehren sich nicht automatisch über Netzwerke. 

Ihre Verbreitungswege sind E-Mail oder andere Methoden. Ist ein Virus einmal installiert, 

verändert, schädigt oder kompromittiert er normalerweise ein System, wofür er unterschiedliche 

Techniken einsetzt. 

Wurm Ein Wurm ist ein Programm, das sich selbst vermehrt und sich ohne Hilfe eines 

Benutzers oder von Programmen wie E-Mail-Clients oder Webbrowsern automatisch 

über ein Netzwerk verbreitet. Würmer richten ganz unterschiedliche Schäden an. Manche 

Würmer beschränken sich darauf, sich zu vermehren; sie rauben im Grunde nur Netzwerkbandbreite. 

Andere können eingesetzt werden, um ein System vollständig zu kompromittieren. 

Trojanisches Pferd Ein Trojanisches Pferd ist ein Programm, das sich den Benutzern 

als nützliche Anwendung präsentiert, aber in Wirklichkeit dazu entwickelt wurde, ein 

System zu schädigen. Im Unterschied zu Viren und Würmern kopieren oder installieren 

sich Trojanische Pferde nicht automatisch. Ein Benutzer muss sie installieren.


Spyware Spyware ist Software, die in die Privatsphäre des Benutzers eindringt, indem 

sie heimlich Informationen über sein Verhalten aufzeichnet. Oft werden diese Daten für 

die Marktforschung verwendet. Spyware wird meist in ein System eingeschleust, wenn 

ein Benutzer ein kostenloses Tool installiert oder eine Website besucht, während die 

Sicherheitseinstellungen des Browsers lax konfiguriert sind. Am häufigsten zeichnet 

solche Spyware auf, welche Websites ein Benutzer besucht. In selteneren Fällen wird 

Spyware gezielt von einem Angreifer installiert, um persönliche Daten zu sammeln; ein 

Beispiel sind Keylogger, die jeden Tastendruck aufzeichnen. Die größte Bedrohung, die 

von den meisten Spywareprogrammen ausgeht, ist die Verschlechterung der Systemleistung. 

Alle Arten von Spyware drücken die Systemleistung, weil sie Ressourcen des 

Computers für ihre eigenen Zwecke missbrauchen. Im Unterschied zu Viren und Würmern 

vermehrt sich Spyware nicht selbst. 

Adware Adware ähnelt Spyware, die beiden Typen werden auch oft zusammen installiert. 

Adware verfolgt den Zweck, dem Benutzer Werbung in Form von Popupfenstern 

oder Webbrowsermanipulationen aufzuzwingen. Adware kann außerdem Spyware herunterladen 

und installieren. 

Hinweis Spyware und Adware 

Der Begriff Spyware wird oft als Sammelbegriff für jegliche unerwünschte Software 

verwendet, die im Hintergrund läuft und Marktforschungsdaten sammelt, Werbung anzeigt 

oder das Verhalten von Anwendungen wie Webbrowsern manipuliert. Microsoft 

verwendet die Phrase »Spyware und potenziell unerwünschte Software«, um Software 

zu bezeichnen, die unerwünscht, aber nicht zwangsläufig schädlich ist. 

Backdoor Ein Backdoor (Hintertür) ist ein Programm, mit dem ein unautorisierter 

Angreifer sich über das Netzwerk vollständige Kontrolle über ein System verschaffen 

kann, weil die normalen Authentifizierungsmechanismen des Systems einfach umgangen 

werden. Backdoors werden bisweilen von Würmern installiert, die eine Sicherheitslücke 

in einem verbreiteten Programm ausnutzen. Um Ihr System vor Backdoors zu schützen, 

müssen Sie Ihre Anwendungen (und nicht nur das Betriebssystem) bei Updates unbedingt 

auf dem neuesten Stand halten. 

Rootkit Ein Rootkit ist ein hartnäckiger Malwaretyp, der sich selbst unterhalb der 

Anwendungsebene einschleust. Daher ist es aus dem Betriebssystem heraus meist nur 

sehr schwer zu entdecken. Ein Rootkit kann die zentralen Funktionen des Betriebssystems 

verändern oder sich selbst als Betriebssystem installieren, das für den Benutzer 

und die meisten Antimalwareprogramme unsichtbar ist. Andere Rootkits arbeiten auf der 

Ebene der Firmware (BIOS). Rootkits werden meist benutzt, um ein Backdoor in ein 

System zu öffnen. 

Die Vielfalt und Zahl von Malware hat zwar zugenommen, aber auch die Abwehrmechanismen 

gegen diese Bedrohungen haben sich verbessert. Ist beispielsweise die UAC in Windows 

7 aktiviert, kann sich Malware nicht einfach installieren, ohne dass der Benutzer etwas 

davon bemerkt. Der nächste Abschnitt bietet einen Überblick über die UAC, die in Windows 

Vista erstmals eingeführt und in Windows 7 weiter verbessert wurde.

Grundlagen der Benutzerkontensteuerung 


Die Benutzerkontensteuerung (User Account Control, UAC) ist ein Satz Sicherheitsfeatures, 

die die Gefahren verringern sollen, die auftreten, wenn Sie Windows als Administrator benutzen. 

Andererseits soll sie die Arbeit so bequem wie möglich machen, wenn Sie Windows 

als Standardbenutzer ausführen. In älteren Windows-Versionen vor Windows Vista gab es 

erhebliche Risiken, wenn sie sich als Administrator anmeldeten. Dennoch war diese Praxis 

weit verbreitet. Dagegen war es im Allgemeinen sicher, sich als Standardbenutzer anzumelden, 

aber weil es oft unbequem war, verzichteten viele darauf. 

In Windows-Versionen vor Windows Vista konnte Malware die Anmeldeinformationen eines 

lokal angemeldeten Administrators missbrauchen, um das System zu beschädigen. Wenn Sie 

beispielsweise als Administrator an Windows XP angemeldet waren und unwissentlich ein 

Trojanisches Pferd aus einem Netzwerk herunterluden, konnte diese Malware Ihre administrativen 

Privilegien ausnutzen, um Ihre Festplatte neu zu formatieren, alle Ihre Dateien zu 

löschen oder ein verborgenes Administratorkonto auf dem lokalen System anzulegen. 

Benutzer arbeiteten in älteren Windows-Versionen trotz dieser Gefahren in erster Linie deshalb 

als Administratoren, weil viele häufig durchgeführte Aufgaben, etwa das Installieren 

einer Anwendung oder das Hinzufügen eines Druckers, nur von einem Benutzer durchgeführt 

werden durften, der administrative Privilegien auf dem lokalen Computer hatte. Weil es in 

älteren Windows-Versionen keine einfache Methode gab, sich als Standardbenutzer anzumelden 

und bei Bedarf zu einem Administrator »aufzusteigen«, konfigurierten viele Organisationen, 

deren Benutzer gelegentlich administrative Privilegien brauchten, ihre Benutzer 

einfach als Administratoren auf ihren lokalen Computern. 

Hinweis Was ist Anhebung? 

Der Begriff »Anhebung« (elevation) bedeutet, dass ein Benutzer administrative Privilegien 

bekommt, um eine Aufgabe auszuführen. 

Wie begegnet die UAC dem Problem der Administratorprivilegien? 

Die UAC ist das Ergebnis eines neuen Windows-Sicherheitsentwurfs, in dem sowohl Standardbenutzer 

als auch Administratoren lediglich die eingeschränkten Privilegien eines Standardbenutzers 

gewährt bekommen, um die meisten Aktionen auszuführen. Während Benutzer 

angemeldet sind, fordert die UAC sie auf unterschiedliche Weise auf, Aktionen zu bestätigen, 

die wichtige Änderungen am Computer vornehmen. Ist ein Administrator angemeldet, wird 

die Aktion nur ausgeführt, wenn er sie genehmigt. Ist dagegen ein Standardbenutzer angemeldet, 

wird die Aktion nur durchgeführt, wenn er die Anmeldeinformationen eines Administrators 

eingibt. In beiden Fällen ist die Anhebung auf die Privilegebene eines Administrators 

temporär; sie wird nur wirksam, um die gewünschte Aktion auszuführen. Mit diesem 

neuen System verhindert die UAC, dass Malware heimlich die Privilegien eines angemeldeten 

Administrators nutzt. 

Grundlagen der UAC-Benachrichtigungen für Administratoren 

In der Standardeinstellung ist die UAC so konfiguriert, dass sie Administratoren nur benachrichtigt, 

wenn Programme eine Anhebung anfordern. Beispielsweise bekommen Administratoren 

eine UAC-Benachrichtigung angezeigt, wenn sie versuchen, ein Programm (etwa 

Cmd.exe) mit erhöhten Administratorprivilegien auszuführen (Abbildung 5.1). Bei dieser


Standardeinstellung erhalten Administratoren in Windows 7 keine UAC-Benachrichtigung, 

wenn sie Windows-Einstellungen ändern, die Administratorprivilegien benötigen. 

Abbildung 5.1 Öffnen einer Eingabeaufforderung mit erhöhten Rechten 

Hinweis Änderungen am UAC-Verhalten in Windows 7 

Für Administratoren hat sich das Standardverhalten der UAC in Windows 7 gegenüber Windows 

Vista und Windows Server 2008 deutlich geändert. In diesen Betriebssystemen zeigte 

die UAC standardmäßig eine Eingabeaufforderung an, wenn irgendeine Anhebung angefordert 

wurde, also auch, wenn ein Administrator versuchte, Windows-Einstellungen zu verändern. 

In Windows 7 müssen Administratoren seltener UAC-Eingabeaufforderungen bestätigen. 

Die UAC-Benachrichtigung, die Administratoren normalerweise angezeigt bekommen, ist 

eine sogenannte Zustimmungs-Eingabeaufforderung (Abbildung 5.2). In der Standardeinstellung 

verdunkelt sich der gesamte Bildschirm, wenn die Benachrichtigung erscheint, und 

bleibt so lange eingefroren, bis der Benutzer die Eingabeaufforderung bestätigt hat. Dieses 

Feature heißt sicherer Desktop, es kann bei Bedarf deaktiviert werden. 

Hinweis Klären Sie die Benutzer über UAC-Eingabeaufforderungen auf! 

UAC-Benachrichtigungen haben die Aufgabe, Benutzer zu warnen, wenn die Gefahr besteht, 

dass Malware ihren Computer beschädigt. Würde Malware eine Anhebung für irgendeine 

Operation anfordern, würde sie ebenfalls eine Benachrichtigung wie in den Abbildungen 5.2 

oder 5.3 auslösen. Daher kann die UAC nur dann Malware abwehren, wenn die Benutzer 

auch richtig reagieren. Sie müssen den Benutzern beibringen (und Ihre Administratorkollegen 

diskret erinnern), dass sie auf Nein oder Abbrechen klicken sollen, wenn sie eine UAC- 

Benachrichtigung angezeigt bekommen, die sie nicht selbst veranlasst haben.


Abbildung 5.2 In der Standardeinstellung zeigt die UAC eine Zustimmungs- 

Eingabeaufforderung auf dem sicheren Desktop an, wenn Administratoren die 

Ausführung eines Programms mit Anhebung anfordern 

Grundlagen der UAC-Benachrichtigungen für Standardbenutzer 

Standardbenutzer bekommen andere UAC-Benachrichtigungen angezeigt als Administratoren. 

In diesen Benachrichtigungen werden die Standardbenutzer aufgefordert, die Anmeldeinformationen 

eines Administrators einzugeben. Wie Administratoren erhalten auch Standardbenutzer 

in der Standardeinstellung UAC-Benachrichtigungen, wenn sie versuchen, ein 

Programm wie die Eingabeaufforderung mit erhöhten Privilegien auszuführen, oder wenn 

ein Programm selbstständig eine Anhebung anfordert. Außerdem bekommen Standardbenutzer 

normalerweise eine UAC-Benachrichtigung angezeigt, wenn sie versuchen, Änderungen 

am System durchzuführen, die Administratorprivilegien erfordern. Öffnet ein Standardbenutzer 

beispielsweise in der Systemsteuerung die Seite System und klickt auf Remoteeinstellungen, 

bekommt er die Eingabeaufforderung aus Abbildung 5.3 angezeigt, in der er nach 

Anmeldeinformationen gefragt wird. 

Hinweis Für normale Benutzer ist das Standardverhalten der UAC in Windows 7 unverändert 

Die UAC stellt in Windows 7 zwar viele Benachrichtigungsebenen zur Verfügung, die es in 

Windows Vista oder Windows Server 2008 nicht gab, aber das Standardverhalten für normale 

Benutzer ist gleich geblieben. Jedes Mal, wenn ein Standardbenutzer versucht, eine Änderung 

durchzuführen, für die Administratorprivilegien benötigt werden, erscheint eine Eingabeaufforderung 

nach Anmeldeinformationen auf dem sicheren Desktop.


Abbildung 5.3 In der Standardeinstellung zeigt die UAC eine Eingabeaufforderung nach Anmeldeinformationen 

auf dem sicheren Desktop an, wenn ein Standardbenutzer eine Anhebung anfordert 

Konfigurieren der UAC in der Systemsteuerung 

In einer Domänenumgebung wird empfohlen, die UAC zentral mithilfe von Gruppenrichtlinien 

zu steuern, statt die Einstellungen auf jedem Computer lokal zu konfigurieren. In 

Arbeitsgruppenumgebungen oder in Domänenumgebungen, wo Gruppenrichtlinien eine 

lokale UAC-Konfiguration erlauben, können Sie die UAC in der Systemsteuerung konfigurieren. 

Gehen Sie folgendermaßen vor, um die UAC in der Systemsteuerung zu konfigurieren: 

1. Klicken Sie in der Systemsteuerung auf System und Sicherheit. 

2. Klicken Sie unter Wartungscenter auf Einstellungen der Benutzerkontensteuerung ändern 


Daraufhin öffnet sich das Fenster Einstellungen für Benutzerkontensteuerung (Abbildung 

5.5). Beachten Sie, dass hier für Administratoren und Standardbenutzer unterschiedliche 

Optionen verfügbar sind und dass jeder Benutzertyp eine andere Standardeinstellung 

hat.

Abbildung 5.4 UAC-Einstellungen ändern Sie im Wartungscenter 


Abbildung 5.5 Bei der UAC haben Sie die Wahl zwischen vier Benachrichtigungsstufen 

3. Wählen Sie eine der folgenden Benachrichtigungsstufen: 

Immer benachrichtigen Dies ist die Standardeinstellung für normale Benutzer. In 

dieser Stufe ist die UAC so konfiguriert, dass sie sich wie in Windows Vista verhält. 

Die Benutzer werden benachrichtigt, sobald versucht wird, am System Änderungen 

vorzunehmen, für die Administratorprivilegien erforderlich sind. 

Nur benachrichtigen, wenn Änderungen am Computer von Programmen vorgenommen 

werden Dies ist die Standardstufe für Administratoren, für normale 

Benutzer steht sie nicht zur Verfügung. Bei dieser Stufe werden Administratoren 

nicht benachrichtigt, wenn sie selbst Änderungen vornehmen, die Administratorprivilegien 

erfordern. Dagegen werden sie über eine Zustimmungs-Eingabeaufforderung 

benachrichtigt, wenn ein Programm eine Anhebung anfordert. 

In folgenden Situationen immer benachrichtigen (und Desktop nicht abblenden) 

Diese Stufe steht für Administratoren nicht zur Verfügung. Sie ähnelt der


Standardeinstellung für normale Benutzer, allerdings wird niemals der sichere 

Desktop angezeigt. Wenn Sie den sicheren Desktop deaktivieren, verringert das den 

Schutz vor Malware, verbessert aber die Benutzerfreundlichkeit. Diese Einstellung 

eignet sich für Standardbenutzer, die sehr oft eine Anhebung anfordern. 

Nur benachrichtigen, wenn Änderungen am Computer von Programmen vorgenommen 

werden (Desktop nicht abblenden) Diese Stufe steht sowohl für 

Standardbenutzer als auch Administratoren zur Verfügung. Ihr Verhalten gleicht der 

Standardstufe für Administratoren (»Nur benachrichtigen, wenn Änderungen am 

Computer von Programmen vorgenommen werden«), aber bei dieser Stufe wird der 

sichere Desktop nicht angezeigt. 

Nie benachrichtigen Diese Stufe deaktiviert die Benachrichtigungen der UAC. 

Benutzer werden über keinerlei Änderungen an den Windows-Einstellungen oder 

Installation von Software benachrichtigt. Diese Option ist nur sinnvoll, wenn Sie 

Programme einsetzen, die zur UAC inkompatibel sind. 


Konfigurieren der UAC mithilfe von Gruppenrichtlinien 

Sie können die UAC über die lokale Sicherheitsrichtlinie oder Gruppenrichtlinieneinstellungen 

konfigurieren. Die Richtlinieneinstellungen für die UAC finden Sie im folgenden Knoten 

eines Gruppenrichtlinienobjekts: 

Computerconfiguration\Richtlinien\Windows-Settings\Sicherheitseinstellungen\Lokale 

Richtlinien\Sicherheitsoptionen 

Abbildung 5.6 zeigt die Richtlinien in diesem Knoten. 

Abbildung 5.6 Sie finden die UAC-Einstellungen in einem Gruppenrichtlinienobjekt oder in der 

lokalen Sicherheitsrichtlinie unter Sicherheitsoptionen 

Für die UAC stehen 10 Richtlinieneinstellungen zur Verfügung, die in diesem Abschnitt 

beschrieben werden. 

Benutzerkontensteuerung: Administratorbestätigungsmodus für das integrierte 

Administratorkonto Diese Richtlinie betrifft nur das vordefinierte Administratorkonto, 

nicht die anderen Konten, die Mitglieder der lokalen Gruppe Administratoren


sind. Wenn Sie diese Richtlinieneinstellung aktivieren, bekommt das vordefinierte 

Administratorkonto dieselben UAC-Benachrichtigungen angezeigt wie alle anderen 

administrativen Konten. Wenn Sie diese Einstellung deaktivieren, verhält sich das 

vordefinierte Administratorkonto wie in Windows XP, und alle Prozesse laufen mit 

Administratorprivilegien. Diese Einstellung ist in der Standardeinstellung deaktiviert. 

Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne 

sicheren Desktop anfordern Diese Einstellung steuert, ob UIAccess-Programme 

(User Interface Accessibility) den sicheren Desktop automatisch deaktivieren dürfen. 

Wenn diese Richtlinie aktiviert ist, deaktivieren UIAccess-Anwendungen (beispielsweise 

die Remoteunterstützung) automatisch den sicheren Desktop für Anhebungsaufforderungen. 

Ist der sichere Desktop deaktiviert, werden Anhebungsaufforderungen auf 

dem Standarddesktop angezeigt. In der Standardeinstellung ist diese Einstellung in der 

lokalen Sicherheitsrichtlinie deaktiviert. 

Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte 

für Administratoren im Administratorbestätigungsmodus Diese Richtlinieneinstellung 

steuert das Verhalten der Anhebungseingabeaufforderung für Administratoren. 

Es stehen sechs Optionen zur Wahl: 

Erhöhte Rechte ohne Eingabeanforderung Bei dieser Option bekommen Administratoren 

niemals Anhebungsaufforderungen angezeigt. 

Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop 

Wenn Sie diese Option auswählen, bekommen Administratoren eine Eingabeaufforderung 

nach Anmeldeinformationen auf dem sicheren Desktop angezeigt, sobald 

eine Anhebung angefordert wird. 

Eingabeaufforderung zur Zustimmung auf dem sicheren Desktop Bei dieser 

Option bekommen Administratoren eine Zustimmungs-Eingabeaufforderung auf 

dem sicheren Desktop angezeigt, wenn eine Anhebung angefordert wird. 

Eingabeaufforderung zu Anmeldeinformationen Ist diese Option ausgewählt, 

bekommen Administratoren eine Eingabeaufforderung nach Anmeldeinformationen 

auf dem normalen Desktop angezeigt, wenn eine Anhebung angefordert wird. 

Eingabeaufforderung zur Zustimmung Wenn diese Option ausgewählt ist, bekommen 

Administratoren eine Zustimmungs-Eingabeaufforderung auf dem normalen 

Desktop angezeigt, wenn eine Anhebung angefordert wird. 

Eingabeaufforderung zur Zustimmung für Nicht-Windows-Binärdateien Dies 

ist die Standardeinstellung in der lokalen Sicherheitsrichtlinie. Dabei wird eine 

Zustimmungs-Eingabeaufforderung angezeigt, wann immer eine Anwendung eine 

Anhebung anfordert. 

Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für erhöhte Rechte für 

Standardbenutzer Diese Richtlinieneinstellung steuert das Verhalten der Anhebungsaufforderung 

für Standardbenutzer. Es stehen drei Optionen zur Wahl: 

Anforderungen für erhöhte Rechte automatisch ablehnen Wenn diese Option 

verwendet wird, können Standardbenutzer keine Aufgaben durchführen, die eine 

Anhebung erfordern. 

Eingabeaufforderung zu Anmeldeinformationen auf dem sicheren Desktop 

Bei dieser Option (Standardeinstellung in der lokalen Sicherheitsrichtlinie) bekom-


men Standardbenutzer eine Eingabeaufforderung nach Anmeldeinformationen auf 

dem sicheren Desktop angezeigt, wenn eine Anhebung angefordert wird. 

Eingabeaufforderung zu Anmeldeinformationen Wenn diese Option ausgewählt 

ist, bekommen Standardbenutzer eine Eingabeaufforderung nach Anmeldeinformationen 

auf dem normalen Desktop angezeigt, wenn eine Anhebung angefordert wird. 

Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte 

Rechte anfordern Wenn diese Richtlinieneinstellung aktiviert ist, fordert die UAC 

administrative Anmeldeinformationen an, wenn der Benutzer versucht, eine Anwendung 

zu installieren, die Änderungen an geschützten Bereichen des Systems vornimmt. Wenn 

die Einstellung deaktiviert ist, erscheint die Eingabeaufforderung nicht. Domänenumgebungen, 

die Technologien für delegierte Installation einsetzen, zum Beispiel GPSI 

(Group Policy Software Install) oder Microsoft Systems Management Server (SMS), 

können dieses Feature problemlos deaktivieren, weil Installationsvorgänge automatisch 

die Privilegien anheben können, ohne dass der Benutzer eingreifen muss. In der Standardeinstellung 

ist diese Einstellung in der lokalen Sicherheitsrichtlinie aktiviert. 

Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und 

überprüft sind Wenn diese Richtlinie aktiviert ist, weigert sich Windows 7, irgendeine 

ausführbare Datei auszuführen, die nicht mit einem vertrauenswürdigen Zertifikat signiert 

ist, also zum Beispiel einem Zertifikat, das von einer internen PKI (Public Key Infrastructure) 

generiert wurde. Ist die Richtlinie deaktiviert, dürfen Benutzer beliebige ausführbare 

Dateien starten, potenziell also auch Malware. Falls Ihre Umgebung voraussetzt, 

dass alle Anwendungen (auch intern entwickelte Anwendungen) mit einem vertrauenswürdigen 

Zertifikat signiert und überprüft sein müssen, können Sie diese Richtlinie 

aktivieren und die Sicherheit in Ihrer Organisation auf diese Weise deutlich erhöhen. 

Diese Einstellung ist in der lokalen Sicherheitsrichtlinie standardmäßig deaktiviert. 

Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an 

sicheren Orten installiert sind Wenn diese Richtlinie aktiviert ist, erlaubt Windows 7 

nur Anwendungen, die aus den Ordnern Program Files, Program Files (x86), \Windows\ 

System32\ oder einem Unterverzeichnis davon gestartet wurden, Zugriff auf die Benutzeroberfläche. 

Wenn die Richtlinie deaktiviert ist, wird Anwendungen unabhängig davon, 

von welchem Ort in der Dateistruktur sie gestartet wurden, Zugriff auf die Benutzeroberfläche 

gewährt. Diese Richtlinieneinstellung ist in der lokalen Sicherheitsrichtlinie standardmäßig 

aktiviert. 

Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus 

ausführen Diese Einstellung ist in der Standardeinstellung in der lokalen 

Sicherheitsrichtlinie aktiviert. Sie bewirkt, dass alle Konten mit Administratorprivilegien 

außer dem lokalen Administratorkonto eine Zustimmungs-Eingabeaufforderung angezeigt 

bekommen, wenn eine Anhebung angefordert wird. Wenn Sie diese Einstellung 

deaktivieren, bekommen Administratoren niemals Zustimmungs-Eingabeaufforderung 

angezeigt und das Sicherheitscenter zeigt eine Warnmeldung an. 

Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum 

sicheren Desktop wechseln Der sichere Desktop ist ein Feature, das den Bildschirm 

verdunkelt und alle Aktivitäten außer der UAC-Eingabeaufforderung einfriert. Es verringert 

die Gefahr, dass Malware funktioniert, aber manche Benutzer stört, dass dieses 

Feature ihre Arbeit zu sehr verzögert. Wenn diese Richtlinieneinstellung aktiviert ist, 

wird auf den sicheren Desktop gewechselt, wenn eine UAC-Eingabeaufforderung er-


scheint. Ist sie deaktiviert, werden UAC-Eingabeaufforderungen auf dem normalen 

Desktop angezeigt. Diese Richtlinieneinstellung ist in der lokalen Sicherheitsrichtlinie 

standardmäßig aktiviert. 

Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an Einzelbenutzerstandorte 

virtualisieren Diese Richtlinieneinstellung ist in der lokalen Sicherheitsrichtlinie 

standardmäßig aktiviert. Sie verbessert die Kompatibilität zu Anwendungen, 

die nicht für die UAC entwickelt wurden. Dazu werden Anforderungen nach geschützten 

Ressourcen umgeleitet. Ist die Richtlinieneinstellung deaktiviert, laufen Anwendungen 

unter Umständen nicht, wenn sie nicht für die UAC entwickelt wurden. 

Deaktivieren der UAC mit der lokalen Sicherheitsrichtlinie oder Gruppenrichtlinien 

Mithilfe der lokalen Sicherheitsrichtlinie oder Gruppenrichtlinien können Sie die UAC 

deaktivieren. Setzen Sie dazu erst die Richtlinie Benutzerkontensteuerung: Verhalten der 

Eingabeaufforderung für erhöhte Rechte für Administratoren im Administratorbestätigungsmodus 

auf die Option Erhöhte Rechte ohne Eingabeanforderung. Deaktivieren Sie dann die 

Richtlinien Benutzerkontensteuerung: Anwendungsinstallationen erkennen und erhöhte 

Rechte anfordern und Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus 

ausführen. Setzen Sie schließlich die Richtlinie Benutzerkontensteuerung: 

Verhalten der Eingabeaufforderung für erhöhte Rechte für Standardbenutzer auf 

Anforderungen für erhöhte Rechte automatisch ablehnen. Starten Sie nun die Computer 

neu, auf denen Sie diese neuen Einstellungen verwenden wollen. 

Empfehlungen für die Verwendung von UAC 

Halten Sie sich an die folgenden Verfahrensempfehlungen, um von den Sicherheitsvorteilen 

der UAC zu profitieren, aber gleichzeitig die Kosten zu minimieren: 

Lassen Sie UAC auf allen Clientcomputern in Ihrer Organisation aktiviert. 

Sorgen Sie dafür, dass sich alle Benutzer (insbesondere das IT-Personal) mit Standardbenutzerprivilegien 

anmelden. 

Jeder Benutzer sollte ein einzelnes Konto haben, das nur über Standardbenutzerprivilegien 

verfügt. Geben Sie normalen Domänenbenutzern keine Konten mit administrativen 

Privilegien für ihre lokalen Computer. 

Domänenadministratoren sollten zwei Konten haben: ein Standardbenutzerkonto, mit 

dem sie sich an ihrem Computer anmelden, und ein zweites Administratorkonto, mit 

dem sie Privilegien anheben können. 

Schulen Sie Benutzer, dass sie eine UAC-Eingabeaufforderung, die unerwartet erscheint, 

nicht einfach bestätigen dürfen. UAC-Eingabeaufforderungen sollten nur erscheinen, 

wenn der Benutzer eine Anwendung installiert oder ein Tool startet, das erhöhte Privilegien 

erfordert. Eine UAC-Eingabeaufforderung, die zu einem anderen Zeitpunkt erscheint, 

kann unter Umständen durch Malware generiert worden sein. Wenn ein Benutzer 

eine solche Eingabeaufforderung zurückweist, verhindert er dadurch, dass die 

Malware dauerhafte Änderungen am Computer vornimmt.


Schnelltest 

Welche Gruppenrichtlinieneinstellung aktivieren Sie, um zu verhindern, dass ausführbare 

Dateien, die nicht mit einem vertrauenswürdigen Zertifikat signiert sind, gestartet werden? 


Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft 

sind 

Während die UAC ein Satz von Features ist, die zentrale Bereiche des Betriebssystems möglichst 

umfangreich schützen sollen, konzentriert sich ein anderes Windows 7-Tool, der Windows-Defender, 

darauf, unerwünschte Software zu erkennen und zu entfernen. 

Clients mit Windows-Defender vor Spyware schützen 

Windows-Defender ist ein Tool in Windows 7, dessen Aufgabe es ist, Spyware auf einem 

Clientsystem zu erkennen und zu entfernen. In der Standardeinstellung ist der Windows- 

Defender so konfiguriert, dass er regelmäßig neue Spywaredefinitionen von Windows Update 

herunterlädt und anhand dieser Definitionen auf dem lokalen System nach Spyware 

sucht. In vielen Konstellationen brauchen Sie diese Standardkonfiguration nicht zu ändern. 

In großen Netzwerke ist es allerdings oft sinnvoll, einige Features von Windows-Defender 

mithilfe von Gruppenrichtlinien zu deaktivieren. 

Hinweis Verwenden von Windows-Defender in kleinen Netzwerken 

Windows-Defender ist ein simples Antimalwareprogramm, das sich für den Einsatz in kleinen 

Netzwerken oder als Übergangslösung vor der Anschaffung einer leistungsfähigeren Antimalwarelösung 

empfiehlt. In großen Netzwerken sollten Sie besser eine zentral verwaltete 

Antimalwarelösung verwenden, beispielsweise Microsoft Forefront Client Security. 

Sie öffnen Windows-Defender, indem Sie in der Systemsteuerung die Ansicht Große Symbole 

auswählen und dann nach unten zum Eintrag Windows-Defender blättern (Abbildung 5.7). 

Stattdessen können Sie auch im Suchfeld des Startmenüs defender eingeben und dann Windows-Defender 

auswählen. 

Abbildung 5.8 zeigt das Hauptfenster von Windows-Defender. 

In der Standardeinstellung bietet Windows-Defender zwei Arten von Schutz: 

Automatische Suche Windows-Defender ist in der Standardeinstellung so konfiguriert, 

dass er jede Nacht um 2 Uhr neue Definitionen herunterlädt und dann eine Schnellsuche 

nach Spyware ausführt. 

Echtzeitschutz Mit diesem Feature überwacht der Windows-Defender die Computernutzung 

ständig in sensiblen Bereichen, etwa den Autostart-Ordner, die Run-Schlüssel in 

der Registrierung und Internet Explorer-Add-Ons. Versucht eine Anwendung, Änderungen 

in einem dieser Bereiche vorzunehmen, fragt der Windows-Defender beim Benutzer 

nach, ob der die Änderung erlauben oder verbieten will.

Abbildung 5.7 Öffnen von Windows-Defender 

Abbildung 5.8 Der Windows-Defender sucht automatisch nach Spyware 


Neben diesen automatischen Funktionen erlaubt Ihnen der Windows-Defender auch, von 

Hand eine Überprüfung des Systems vorzunehmen. Sie starten eine manuelle Überprüfung, 

indem Sie im Menü Überprüfung die Befehle Schnellüberprüfung, Vollständige Überprüfung 

oder Benutzerdefinierte Überprüfung wählen (Abbildung 5.9).


Abbildung 5.9 Ausführen einer manuellen Überprüfung in Windows-Defender 

Diese drei Überprüfungsarten haben folgende Merkmale: 

Schnellüberprüfung Bei dieser Überprüfung werden nur die Bereiche eines Computers 

untersucht, die am häufigsten von Spyware oder anderer potenziell unerwünschter 

Software infiziert werden. Zu diesen Bereichen gehören der Arbeitsspeicher des Computers 

und Teile der Registrierung, die mit Autostartanwendungen verknüpft sind. Eine 

Schnellüberprüfung reicht aus, um den Großteil der Spyware zu entdecken. 

Vollständige Überprüfung Bei dieser Überprüfung werden alle Dateien auf dem 

Computer analysiert, darunter gebräuchliche Archivdateien und Anwendungen, die 

bereits in den Arbeitsspeicher des Computers geladen sind. Eine vollständige Überprüfung 

dauert üblicherweise mehrere Stunden, unter Umständen ist auch mehr als ein 

Tag nötig. Eine vollständige Überprüfung brauchen Sie nur auszuführen, wenn Sie nach 

einer Schnellüberprüfung den Verdacht haben, dass der Computer eines Benutzers mit 

unerwünschter Software infiziert ist. 

Benutzerdefinierte Überprüfung Eine benutzerdefinierte Überprüfung beginnt mit 

einer Schnellüberprüfung, auf die eine ausführliche Überprüfung bestimmter Teile des 

Computers folgt, die Sie individuell auswählen. 

Hinweis Sie können auf einem Computer arbeiten, während die Überprüfung läuft 

Die Überprüfungen verlangsamen den Computer zwar, aber der Benutzer kann weiterarbeiten, 

während die Überprüfung läuft. Beachten Sie auch, dass Überprüfungen die Akkus von 

mobilen Computern stark belasten. 

Entfernen gefundener Spyware 

Wenn Windows-Defender bei seiner Überprüfung Spyware oder potenziell unerwünschte 

Software findet, zeigt er eine Warnung an und bietet Ihnen zu jedem entdeckten Element 

vier Möglichkeiten:


Ignorieren Bei dieser Option bleibt die gefundene Software unverändert in Ihrem 

Computer. Der Windows-Defender erkennt sie bei seinen nächsten Überprüfungen 

wieder. Diese Option ist sinnvoll, wenn Sie die Software, die der Windows-Defender 

gefunden hat, selbst untersuchen wollen, bevor Sie sie löschen. 

Quarantäne Diese Option isoliert die gefundene Software. Wenn der Windows- 

Defender Software in Quarantäne schickt, verschiebt er sie an einen anderen Speicherort 

in Ihrem Computer und verhindert, dass sie ausgeführt wird, bis Sie entscheiden, ob Sie 

die Software wiederherstellen oder vom Computer löschen wollen. Diese Option wird 

meist benutzt, wenn die erkannte Software nicht erfolgreich entfernt werden kann. 

Entfernen Diese Option löscht die gefundene Software von Ihrem Computer. Im Normalfall 

sollten Sie diese Option verwenden, sofern keine zwingenden Gründe dagegensprechen. 

Immer zulassen Diese Option fügt die Software zur Liste der zugelassenen Programme 

im Windows-Defender hinzu, sodass sie auf Ihrem Computer ausgeführt werden 

darf. Der Windows-Defender warnt Sie künftig nicht mehr vor Aktionen, die das Programm 

ausführt. Sie sollten diese Option nur wählen, wenn Sie der Software und ihrem 

Hersteller vertrauen. 

Konfigurieren von Windows-Defender mithilfe von Gruppenrichtlinien 

In einer AD DS-Umgebung wird empfohlen, Clients mithilfe von Gruppenrichtlinien zu 

konfigurieren, statt jeden Computer einzeln einzurichten. Die Gruppenrichtlinieneinstellungen 

für Windows-Defender finden Sie im Knoten Computerkonfiguration\Richtlinien\Administrative 

Vorlagen\Windows-Komponenten\Windows-Defender eines Gruppenrichtlinienobjekts 


Abbildung 5.10 Gruppenrichtlinieneinstellungen für Windows-Defender 

Für Windows-Defender stehen die folgenden 7 Richtlinieneinstellungen zur Verfügung: 

Definitionsaktualisierungen durch WSUS und Windows Update einschalten Wenn 

Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren und der Client für 

automatische Updates so konfiguriert ist, dass er auf einen WSUS-Server zugreift, ruft 

Windows-Defender die Definitionsupdates von Windows Update ab, sofern die Verbindungen 

zu diesem WSUS-Server fehlschlagen. Wenn Sie diese Einstellung deaktivieren, 

sucht Windows-Defender nur anhand der Einstellung, die im Client für automatische 

Updates konfiguriert ist; also entweder mithilfe eines internen WSUS-Servers oder über 

Windows Update.


Definitionsaktualisierungen sowohl über WSUS als auch über Microsoft Malware 

Protection Center aktivieren Wenn Sie diese Richtlinieneinstellung aktivieren oder 

nicht konfigurieren und der Client für automatische Updates so konfiguriert ist, dass er 

auf einen WSUS-Server zugreift, sucht Windows-Defender sowohl über WSUS als auch 

im Microsoft Malware Protection Center nach Definitionsupdates, falls Verbindungen 

zum eingestellten WSUS-Server fehlschlagen. Wenn Sie diese Einstellung deaktivieren, 

sucht Windows-Defender nur anhand der Einstellung, die im Client für automatische 

Updates konfiguriert ist; also entweder mithilfe eines internen WSUS-Servers oder über 

Windows Update. 

Vor geplanten Scanvorgängen auf neue Signaturen überprüfen Wenn Sie diese 

Richtlinieneinstellung aktivieren, sucht Windows-Defender immer nach neuen Definitionen, 

bevor er eine geplante Überprüfung des Computers beginnt. Wenn Sie diese Einstellung 

deaktivieren oder nicht konfigurieren, sucht der Windows-Defender nicht nach 

neuen Definitionen, sondern beginnt sofort mit der geplanten Überprüfung. 

Windows-Defender deaktivieren Wenn Sie diese Richtlinieneinstellung aktivieren, 

führt Windows-Defender keine Echtzeit- oder geplanten Überprüfungen mehr aus. (Ein 

Benutzer kann aber weiterhin manuelle Überprüfungen ausführen.) Sie sollten diese 

Einstellung aktivieren, wenn Sie eine leistungsfähigere Antispywarelösung implementiert 

haben, beispielsweise Microsoft Forefront Client Security. Wenn Sie diese Richtlinieneinstellung 

deaktivieren oder nicht konfigurieren, führt Windows-Defender sowohl 

Echtzeitüberprüfungen als auch alle geplanten Überprüfungen aus. 

Echtzeitüberwachung deaktivieren Wenn Sie diese Richtlinieneinstellung aktivieren, 

fordert Windows-Defender den Benutzer nicht automatisch auf, Aktivitäten in geschützten 

Bereichen des Betriebssystems zu erlauben oder zu verbieten. Wenn Sie diese Richtlinieneinstellung 

deaktivieren oder nicht konfigurieren, fragt Windows-Defender standardmäßig 

bei den Benutzern nach, ob sie potenzielle Spywareaktivitäten auf ihrem 

Computer erlauben oder unterbinden wollen. 

Ausführung von Routinemaßnahmen deaktivieren Wenn Sie diese Richtlinieneinstellung 

aktivieren, fragt Windows-Defender beim Benutzer nur nach, wie er auf eine 

Bedrohung reagieren will, führt aber keine automatische Aktion aus. Wenn Sie diese 

Richtlinieneinstellung deaktivieren oder nicht konfigurieren, führt Windows-Defender 

etwa 10 Minuten, nachdem er eine Bedrohung entdeckt hat, automatisch eine Aktion 

aus. 

Microsoft SpyNet-Berichterstattung konfigurieren SpyNet ist eine Onlinecommunity, 

die Informationen über Bedrohungen sammelt, die von den Mitgliedern entdeckt 

wurden. SpyNet wertet die Reaktionen der Benutzer auf solche Bedrohungen aus und 

stellt auf diese Weise fest, welche ungefährlich und welche böswillig sind. 

Wenn Sie diese Richtlinieneinstellung aktivieren und die Option Keine Mitgliedschaft 

auswählen, ist die SpyNet-Mitgliedschaft deaktiviert; es werden keine Informationen an 

Microsoft gesendet. Wenn Sie die Richtlinieneinstellung aktivieren und die Option Erweitert 

auswählen, wird eine erweiterte SpyNet-Mitgliedschaft eingerichtet; dabei werden 

Informationen über erkannte Bedrohungen und Ihre Reaktion auf diese Bedrohungen 

an Microsoft gesendet.


Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, ist die Spy- 

Net-Mitgliedschaft in der Standardeinstellung deaktiviert. Lokale Benutzer können die 

Einstellung der Mitgliedschaft allerdings ändern. 

Hinweis Verwenden einer startfähigen Antiviren-CD 

Wurde ein Computer ernsthaft mit Malware infiziert, läuft er unter Umständen so langsam, 

dass es schwierig ist, eine Malwareüberprüfung durchzuführen. In diesem Fall ist es sinnvoll, 

eine Offlineüberprüfung von einer startfähigen CD zu starten, sofern Sie eine zur Hand 

haben. Indem Sie die Überprüfung außerhalb von Windows ausführen, verhindern Sie, dass 

die Malwareprogramme Leistung fressen und das System verlangsamen. 

Empfehlungen für die Verwendung von Windows-Defender 

Sie sollten die folgenden Empfehlungen befolgen, um von den Sicherheitsvorteilen von 

Windows-Defender zu profitieren und gleichzeitig die Kosten zu minimieren: 

Bevor Sie Windows 7 bereitstellen, sollten Sie alle Anwendungen testen, während Windows-Defender 

aktiviert ist. So stellen Sie sicher, dass Windows-Defender den Benutzer 

nicht wegen normaler Änderungen warnt, die Ihre Anwendungen unter Umständen vornehmen. 

Falls eine legitime Anwendung Warnungen auslöst, sollten Sie diese Anwendung 

zur Liste der zugelassenen Elemente in Windows-Defender hinzufügen. 

Ändern Sie die geplante Zeit für die Überprüfung so, dass sie sich für Ihr Unternehmen 

eignet. In der Standardeinstellung führt Windows-Defender die Überprüfungen um 2 Uhr 

nachts durch. Benutzt die Nachtschicht die Computer während dieser Zeit, sollten Sie 

nach einem besser geeigneten Termin für die Überprüfung suchen. Sofern Benutzer ihre 

Computer ausschalten, während sie nicht im Büro sind, sollten Sie die Überprüfung so 

planen, dass sie tagsüber durchgeführt wird. 

Verwenden Sie WSUS, um Signaturupdates zu verwalten und zu verteilen. 

Verwenden Sie Antivirensoftware in Kombination mit Windows-Defender. Stattdessen 

können Sie Windows-Defender auch völlig deaktivieren und Clientsicherheitssoftware 

einsetzen, die sowohl Antispyware- als auch Antivirenfunktionen bietet. 

Stellen Sie Windows-Defender nicht in großen Unternehmen bereit. Verwenden Sie 

stattdessen Forefront oder die Clientsicherheitssuite eines anderen Herstellers, die in 

Unternehmensumgebungen einfacher verwaltet werden können. 

Weitere Informationen Windows-Defender 

Weitere Informationen über Windows-Defender finden Sie im Windows Defender Virtual 

Lab Express unter http://www.microsoftvirtuallabs.com/express/registration.aspx?LabId= 

92e04589-cdd9-4e69-8b1b-2d131d9037af. 

Erkennen, ob ein System mit Malware infiziert ist 

Als Supporttechniker in einem großen Unternehmen müssen Sie wissen, wie Sie die Symptome 

einer Malwareinfektion auf Ihren Clientcomputern erkennen. Für den Fall, dass Ihre 

Antiviren- und Antispywaresoftware nicht funktioniert oder keine Malware erkennt, müssen 

Sie außerdem wissen, wie Sie Malware von Hand entfernen.


Hier einige Zeichen, dass ein Computer von einem Virus, einem Wurm oder einem Trojanischen 

Pferd infiziert wurde: 

Schlechte Computerleistung 

Ungewöhnliche Fehlermeldungen 

Verzerrte Menüs und Dialogfelder 

Antivirensoftware schaltet sich wiederholt aus. 

Der Bildschirm friert ein. 

Der Computer stürzt ab. 

Der Computer startet sich neu. 

Anwendungen funktionieren nicht richtig. 

Auf Festplattenlaufwerke kann nicht zugegriffen werden oder die Schublade eines CD- 

Laufwerks öffnet und schließt sich automatisch. 

Benachrichtigungsmeldungen, dass eine Anwendung versucht, Sie aus dem Internet zu 

erreichen 

Ungewöhnliche Audioausgaben 

Druckprobleme 

Beachten Sie, dass diese Symptome zwar alles klassische Zeichen für eine Infektion sind, 

aber auch durch andere Hardware- oder Softwareprobleme ausgelöst werden können, die 

nichts mit Malware zu tun haben. 

Zeichen für eine Spywareinfektion unterscheiden sich etwas von den anderen Malwaretypen. 

Wenn Sie eines der folgenden Symptome beobachten, können Sie Spyware vermuten: 

Eine neue, unerwartete Anwendung erscheint. 

Unerwartete Symbole tauchen in der Taskleiste auf. 

Unerwartete Benachrichtigungen erscheinen nahe dem Infobereich der Taskleiste. 

Startseite, Standardsuchmaschine oder Favoriten im Webbrowser ändern sich. 

Es erscheinen neue Symbolleisten, vor allem in Webbrowsern. 

Der Mauszeiger verändert sich. 

Der Webbrowser zeigt zusätzliche Werbung an, wenn Sie eine Webseite besuchen, oder 

Popupwerbung erscheint, während der Benutzer nicht im Web surft. 

Wenn der Benutzer versucht, eine Webseite zu besuchen, wird er auf eine völlig andere 

Webseite umgeleitet. 

Der Computer läuft langsamer als üblich. 

Nicht jede Spyware macht sich durch diese typischen Symptome bemerkbar, aber sie kann 

trotzdem persönliche Daten ausspähen. 

Beseitigen einer Malwareinfektion 

Die wichtigste Gegenmaßnahme im Kampf gegen Malwareinfektionen besteht darin, sie 

überhaupt zu verhindern. Führen Sie dazu täglich Antiviren- und Antispywareprogramme 

mit den neuesten Virus- und Spywaredefinitionen aus. Findet sich dennoch Malware auf


einem System, sollten Sie nach Möglichkeit die Antimalwareanwendung verwenden, um die 

Malware vom Computer zu löschen. Ist das nicht möglich, sollten Sie die Malware in Quarantäne 

verbannen. Handelt es sich um ein neues Malwareprogramm, müssen Sie unter 

Umständen ein Löschtool ausführen oder die Malware mit mehreren Schritten von Hand 

entfernen. 

Das alles gilt natürlich für Malware, die erkannt wurde. So wichtig es aber auch ist, Antiviren- 

und Antispyware täglich auszuführen, dürfen Sie nicht vergessen, dass keine Antimalwareanwendung 

absoluten Schutz gibt. Viele Malwareprogramme sind gezielt so geschrieben, 

dass Antimalwareprogramme sie nicht entdecken. Wenn auch nur ein einziges 

böswilliges Programm nach einer Überprüfung zurückbleibt, kann dieses Malwareprogramm 

wiederum andere Malware installieren. 

Wenn Sie vermuten, dass ein Problem auf Malware zurückzuführen ist, nachdem Sie Antiviren- 

und Antispywareanwendungen mit den neuesten Definitionen ausgeführt haben, sollten 

Sie folgendermaßen vorgehen: 

1. Wenn Ihnen Änderungen am Windows Internet Explorer auffallen, zum Beispiel unerwünschte 

Add-Ons oder eine neue Startseite, sollten Sie in der Systemsteuerung nach 

nicht benötigten Programmen suchen und sie entfernen. 

2. Löschen Sie auf der Registerkarte Systemstart des Systemkonfigurationsprogramms 

(Msconfig.exe) alle Autostartprogramme, die nicht benötigt werden. Notieren Sie sich 

den Registrierungseintrag, der mit diesen Programmen verknüpft ist. (Anhand dieser 

Registrierungsdaten können Sie bei Bedarf die zugehörigen Registrierungsschlüssel 

löschen.) Deaktivieren Sie auf der Registerkarte Dienste alle unnötigen Dienste. 

3. Öffnen Sie den Task-Manager. Prüfen Sie, ob ungewöhnliche Dienste auf der Registerkarte 

Dienste aufgeführt sind oder die Registerkarte Prozesse ungewöhnliche Prozesse 

enthält. (Vergessen Sie nicht, auf Prozesse aller Benutzer anzeigen zu klicken, damit alle 

laufenden Prozesse angezeigt werden.) Analysieren Sie mit den Befehlen Zu Prozess 

wechseln auf der Registerkarte Dienste und Zu Dienst(en) wechseln auf der Registerkarte 

Prozesse, welche Verbindung zwischen Diensten und Prozessen bestehen, die Ihnen unbekannt 

sind. Suchen Sie dann im Web nach Informationen über Dienste und Prozesse, 

zu denen Beschreibungen fehlen oder die anderweitig verdächtig wirken. Wenn Sie bei 

Ihrer Recherche erfahren, dass Dienste oder Prozesse mit Malware zu tun haben, können 

Sie sie mit der rechten Maustaste anklicken und beenden. Deaktivieren Sie dann in der 

Konsole Dienste den zugehörigen Dienst, damit er nicht erneut ausgeführt wird. 

4. Öffnen Sie den Registrierungs-Editor (Regedit.exe). Wählen Sie den Zweig HKLM\Software\Microsoft\Windows\CurrentVersion\Run 

aus. Sehen Sie sich in der Detailansicht 

alle Registrierungswerte an, die mit unerwünscht gestarteten Programmen verknüpft 

sind. Schreiben Sie die Pfadnamen der Zieldateien auf, die in der Spalte Daten angegeben 

sind (Abbildung 5.11), und löschen Sie die Registrierungswerte dann. Wechseln 

Sie nun in den Zweig HKCU\Software\Microsoft\Windows\CurrentVersion\Run und 

gehen Sie dort genauso vor. 

5. Suchen Sie anhand der Pfadnamen, die Sie in Schritt 4 aufgeschrieben haben, die Ordner 

in der Windows-Dateistruktur und löschen Sie die Zieldateien.


Abbildung 5.11 Schreiben Sie sich die Pfadnamen der Dateien auf, 

die mit unerwünschten Autostartprogrammen verknüpft sind, und löschen 

Sie die Registrierungswerte 

6. Falls Sie immer noch Anzeichen für Malware sehen, sollten Sie eine zusätzliche Antispyware- 

und Antivirenanwendung installieren. Ihre Chancen, alle Spuren von Malware 

zu beseitigen, sind besser, wenn Sie mehrere Anwendungen einsetzen. Sie sollten aber 

nicht mehrere Anwendungen für den Echtzeitschutz konfigurieren. 

7. Falls die Probleme weiterhin bestehen, sollten Sie das System herunterfahren und das 

Tool Systemstartreparatur starten, um eine Systemwiederherstellung durchzuführen. 

Setzen Sie den Computer in einen Zustand vor der Malwareinfektion zurück. Die 

Systemwiederherstellung entfernt normalerweise alle Starteinstellungen, die bewirken, 

dass Malwareanwendungen ausgeführt werden. Die ausführbaren Dateien selbst werden 

dabei allerdings nicht entfernt. Wählen Sie diese Möglichkeit nur als letzten Ausweg: Die 

Systemwiederherstellung entfernt zwar keine persönlichen Dateien des Benutzers, kann 

aber Probleme mit kürzlich installierten oder konfigurierten Anwendungen verursachen. 

Diese Schritte beseitigen die meisten Malwareprobleme. Sobald aber Malware einmal auf 

einem Computer gelaufen ist, können Sie nie mehr völlig sicher sein, dass die Software auch 

wirklich vollständig entfernt wurde. Insbesondere Rootkits sind sehr schwierig zu erkennen 

und zu entfernen. In Fällen, wo Sie vermuten, dass ein Rootkit vorhanden ist, das sich nicht 

entfernen lässt, sind Sie unter Umständen gezwungen, die Festplatte zu formatieren, Windows 

neu zu installieren und dann die Benutzerdateien aus einer Datensicherung wiederherzustellen, 

die vor der Infektion angefertigt wurde. 

Übung Erzwingen einer Antimalwarerichtlinie 

mithilfe von Gruppenrichtlinien 

In dieser Übung erzwingen Sie mithilfe von Gruppenrichtlinien bestimmte Einstellungen für 

UAC und Windows-Defender. Für diese Übungen brauchen Sie einen Domänencontroller, 

der unter Windows Server 2008 R2 läuft, und einen Windows 7-Client, der Mitglied derselben 

Domäne ist. 

Übung 1 Erzwingen von UAC-Einstellungen mithilfe von Gruppenrichtlinien 

In dieser Übung erzwingen Sie neue UAC-Standardeinstellungen auf den Windows 7- 

Computern in der Domäne. 

1. Melden Sie sich am Domänencontroller DC1 an. 

2. Öffnen Sie die Gruppenrichtlinienverwaltung, indem Sie im Startmenü auf Alle Programme, 

Verwaltung und schließlich Gruppenrichtlinienverwaltung klicken.


3. Wählen Sie in der Konsolenstruktur von Gruppenrichtlinien den Knoten Gruppenrichtlinienverwaltung\Gesamtstruktur: 

nwtraders.msft\Domänen\nwtraders.msft\Default 

Domain Policy aus. 

4. Klicken Sie mit der rechten Maustaste auf Default Domain Policy und wählen Sie im 

Kontextmenü den Befehl Bearbeiten. Der Gruppenrichtlinienverwaltungs-Editor wird 

geöffnet. 

5. Wählen Sie im Gruppenrichtlinienverwaltungs-Editor den Knoten Default Domain 

Policy\Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale 

Richtlinien\Sicherheitsoptionen aus. 

6. Klicken Sie in der Detailansicht doppelt auf Benutzerkontensteuerung: Bei Benutzeraufforderung 

nach erhöhten Rechten zum sicheren Desktop wechseln. 

7. Aktivieren Sie auf der Registerkarte Sicherheitsrichtlinie das Kontrollkästchen Diese 

Richtlinieneinstellung definieren und wählen Sie die Option Deaktiviert aus. Klicken Sie 

auf OK. 

8. Klicken Sie in der Detailansicht doppelt auf Benutzerkontensteuerung: Verhalten der 

Eingabeaufforderung für erhöhte Rechte für Standardbenutzer. 

9. Aktivieren Sie auf der Registerkarte Sicherheitsrichtlinie das Kontrollkästchen Diese 

Richtlinieneinstellung definieren und wählen Sie in der Dropdownliste den Eintrag Eingabeaufforderung 

zu Anmeldeinformationen aus. 

Diese Einstellungen bewirken, dass für UAC-Eingabeaufforderungen nicht mehr der 

sichere Desktop verwendet wird. 


11. Wechseln Sie auf Ihren Windows 7-Client CLIENT1. Starten Sie den Computer neu und 

melden Sie sich als Domänenadministrator an der Domäne an. 

12. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, indem Sie im Startmenü 

Alle Programme\Zubehör öffnen, mit der rechten Maustaste auf Eingabeaufforderung 

klicken und im Kontextmenü den Befehl Als Administrator ausführen wählen. 

13. Es wird eine Zustimmungs-Eingabeaufforderung angezeigt, aber ohne sicheren Desktop. 

14. Melden Sie sich vom Client ab und dann erneut an der Domäne an, diesmal aber als 

Standardbenutzer ohne administrative Privilegien. 

15. Klicken Sie in der Systemsteuerung unter Benutzerkonten auf Kontotyp ändern. Eine 

Eingabeaufforderung nach Anmeldeinformationen wird angezeigt, aber ohne sicheren 

Desktop. 

16. Melden Sie sich vom Client ab. 

Übung 2 Deaktivieren der Echtzeitüberwachung für Windows-Defender 

Ein großes Unternehmensnetzwerk sollte eine verwaltete Antispywarelösung einsetzen. 

Windows-Defender erfüllt diese Anforderung nicht. Es ist sinnvoll, Windows-Defender als 

zusätzliche Lösung eine tägliche Malwaresuche auf Clients durchführen zu lassen, aber Sie 

sollten verhindern, dass zwei Anwendungen gleichzeitig eine Echtzeitüberwachung durchführen. 

Sofern Ihre verwaltete Antispywarelösung Echtzeitüberwachung bietet, sollten Sie 

dasselbe Feature in Windows-Defender mithilfe von Gruppenrichtlinien deaktivieren.


In dieser Übung deaktivieren Sie mithilfe von Gruppenrichtlinien die Echtzeitüberwachung 

von Windows-Defender. 

1. Melden Sie sich am Domänencontroller an. 

2. Öffnen Sie, wie in Übung 1 beschrieben, die Gruppenrichtlinienverwaltung und bearbeiten 

Sie Default Domain Policy. 

3. Wählen Sie im Gruppenrichtlinienverwaltungs-Editor den Knoten Default Domain 

Policy\Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows-Defender 

aus. 

4. Klicken Sie in der Detailansicht doppelt auf Echtzeitüberwachung deaktivieren. 

5. Wählen Sie im Dialogfeld Echtzeitüberwachung deaktivieren die Option Aktiviert aus 

und klicken Sie auf OK. 

6. Wechseln Sie auf CLIENT1. Melden Sie sich auf CLIENT1 als Domänenadministrator 

an der Domäne an. 

7. Öffnen Sie eine Eingabeaufforderung und geben Sie gpupdate ein. Nun müsste eine 

Benachrichtigung erscheinen, dass Windows-Defender ausgeschaltet ist. 

8. Warten Sie, bis der Befehl ausgeführt wurde, geben Sie dann im Suchfeld des Startmenüs 

defender ein und klicken Sie in der Programmliste auf Windows-Defender. 

9. Klicken Sie im Windows-Defender auf Extras und dann auf Optionen. 

10. Wählen Sie in der Liste Optionen den Eintrag Echtzeitschutz aus. 

11. Die Einstellungen werden abgeblendet dargestellt. Die Echtzeitüberwachung ist deaktiviert. 

12. Wechseln Sie wieder auf den Domänencontroller und bearbeiten Sie Default Domain 

Policy. Setzen Sie die Richtlinieneinstellung Echtzeitüberwachung deaktivieren auf 

Nicht konfiguriert zurück und klicken Sie auf OK. 

13. Führen Sie auf CLIENT1 erneut gpupdate aus und schließen Sie dann alle offenen 

Fenster auf beiden Computern. 


UAC hilft zu verhindern, dass sich Malware heimlich auf Windows-Systemen installiert. 

Der Benutzer wird benachrichtigt, wenn versucht wird, in einen geschützten Bereich des 

Betriebssystems zu schreiben. Die Benutzer müssen geschult werden, die Operationen 

zu verbieten, wenn sie sie nicht selbst veranlasst haben. 

Sie können das Verhalten von UAC-Benachrichtigungen konfigurieren. In der Standardeinstellung 

bekommen Administratoren Zustimmungs-Eingabeaufforderungen auf dem 

sicheren Desktop angezeigt, wenn ein Programm eine Anhebung anfordert. Standardbenutzer 

erhalten in der Standardeinstellung eine Eingabeaufforderung nach Anmeldeinformationen 

auf dem sicheren Desktop, wenn sie oder ein Programm eine Anhebung 

anfordert. 

Windows-Defender ist ein integriertes Feature von Windows 7, das eine einfache Spywarefilterung 

und -erkennung bietet. In vielen Fällen braucht Windows-Defender nicht 

konfiguriert zu werden, aber in großen Netzwerken, die eine verwaltete Antispywarelösung 

brauchen, ist es oft sinnvoll, Windows-Defender zu deaktivieren.


Sie sollten von Hand nach Malware suchen und sie entfernen, falls Ihre Antimalwarelösung 

nicht wunschgemäß funktioniert. Untersuchen Sie dazu unbekannte Prozesse und 

Dienste, beenden und deaktivieren Sie sie bei Bedarf und suchen Sie in der Registrierung 

nach Programmen, die automatisch gestartet werden. Löschen Sie die zugehörigen 

Dateien. 



»Beseitigen von Malwareproblemen«, überprüfen. Die Fragen finden Sie (in englischer 






1. Sie arbeiten als Supporttechniker in einem großen Unternehmen. Ihre Chefin berichtet, 

dass manche Netzwerkadministratoren das eingebaute Administratorkonto für die Domäne 

benutzen. Während sie mit diesem Konto angemeldet sind, bekommen sie keine 

UAC-Benachrichtigungen angezeigt. Ihre Chefin beauftragt Sie, die Konfigurationseinstellungen 

so zu ändern, dass Benutzer, die mit dem integrierten Administratorkonto an 

der Domäne angemeldet sind, Zustimmungs-Eingabeaufforderungen der UAC angezeigt 

bekommen. Was sollten Sie tun? 

A. Setzen Sie in der lokalen Sicherheitsrichtlinie die Richtlinie Benutzerkontensteuerung: 

Administratorbestätigungsmodus für das integrierte Administratorkonto auf 

Aktiviert. 

B. Setzen Sie in Gruppenrichtlinien die Richtlinie Benutzerkontensteuerung: Administratorbestätigungsmodus 

für das integrierte Administratorkonto auf Aktiviert. 

C. Setzen Sie in der lokalen Sicherheitsrichtlinie die Richtlinie Benutzerkontensteuerung: 

Alle Administratoren im Administratorbestätigungsmodus ausführen auf 

Aktiviert. 

D. Setzen Sie in Gruppenrichtlinien die Richtlinie Benutzerkontensteuerung: Alle 

Administratoren im Administratorbestätigungsmodus ausführen auf Aktiviert. 

2. Sie arbeiten als Supporttechniker in einem Unternehmen, dessen AD DS-Domäne 20 

Server umfasst, die unter Windows Server 2008 R2 laufen, und 500 Clientcomputer, die 

unter Windows 7 laufen. 10 der Clientcomputer sind Notebooks, deren Benutzer weltweit 

dienstlich unterwegs sind. Diese Benutzer haben sich beschwert, dass Windows-Defender 

oft mit einer Überprüfung beginnt, wenn der Computer im Akkubetrieb arbeitet, was den 

Akku schnell leert. Sie wollen verhindern, dass Windows-Defender dringend benötigten 

Akkustrom verbraucht, aber andererseits nicht auf die Schutzfunktionen des Programms 

verzichten. Was sollten Sie tun? 

A. Zeigen Sie den Benutzern, wie sie eine manuelle Überprüfung durchführen, während 

ihr Computer an der Steckdose hängt. 

B. Wählen Sie die Option aus, eine Überprüfung nur im Leerlauf auszuführen.


C. Zeigen Sie den Benutzern, wie sie den Zeitplan für die automatische Überprüfung 

ändern. 

D. Deaktivieren Sie die automatische Überprüfung auf allen 10 Computern. 



vertiefen: 



Arbeiten Sie die Übung mit Fallbeispiel durch. Dieses Szenario beschreibt Fälle aus der 

Praxis, in denen die Themen dieses Kapitels zur Anwendung kommen. Sie werden aufgefordert, 

eine Lösung zu entwickeln. 




Um Malware abzuwehren, müssen Sie sich selbst und die Benutzer kontinuierlich über 

die neuesten Entwicklungen bei diesen Bedrohungen schulen. Außerdem müssen Sie 

Antivirensoftware, Antispywaresoftware wie Windows-Defender und die Benutzerkontensteuerung 

sinnvoll verwalten. Und schließlich müssen Sie wissen, wie Sie klassische 

Symptome einer Infektion erkennen und eine Infektion bei Bedarf von Hand beseitigen. 




Malware 

Spyware 

Virus 

Wurm 

Übung mit Fallbeispiel 

In der folgenden Übung mit Fallbeispiel wenden Sie an, was Sie über den Schutz von Clientsystemen 

gelernt haben. Die Lösungen zu den Fragen finden Sie im Abschnitt »Antworten« 

hinten in diesem Buch. 

Übung mit Fallbeispiel 1: Beseitigen von Malwareinfektionen 

Sie arbeiten als Supporttechniker für Contoso, ein Marktforschungsunternehmen mit 500 

Angestellten. Sie bekommen einen Anruf vom Helpdesk und werden gebeten, den Notebook 

eines Forschungsassistenten zu untersuchen. Dieser Computer läuft nur sehr langsam. Der 

Supporttechniker des Helpdesks war nicht in der Lage, das Problem zu beseitigen.


Sie führen einige grundlegende Tests auf dem Computer aus und stellen fest, dass im Internet 

Explorer mehrere Symbolleisten installiert sind, die Sie als Spyware erkennen. Ihr Unternehmen 

setzt eine kombinierte Antiviren-/Antispywarelösung ein, Windows-Defender ist im 

Netzwerk deaktiviert. 

Sie befragen den Forschungsassistenten und den Helpdesk-Supporttechniker. 

Recherche 


Forschungsassistent »Das Problem wird seit etwa 6 Monaten immer schlimmer. 

Inzwischen brauchen selbst Kleinigkeiten eine Ewigkeit. Ich habe diesen Computer 

früher oft mit nach Hause genommen, aber inzwischen mache ich das nicht mehr.« 

Helpdesk-Supporttechniker »Ich habe versucht, eine Antimalwareprüfung auszuführen, 

aber es scheint sich nichts zu tun.« 

Fragen 

1. Sie wollen sofort jegliche Malware beenden, die unter Umständen läuft. Wie erreichen 

Sie das? 

2. Ihre Tests zeigen, dass die Clientsoftware der Antimalwarelösung, die auf dem Computer 

installiert ist, nicht läuft, wenn sie gestartet wird. Was können Sie tun, um eine Antimalwareüberprüfung 

auf dem Computer auszuführen? 




Untersuchen und Beseitigen von Problemen aufgrund von Schadsoftware 

Arbeiten Sie die folgenden Übungen durch, um sich mit Tools vertraut zu machen, die 

Malware erkennen und beseitigen. 

Übung 1 Suchen Sie im Web nach dem Begriff »Sysinternals Suite« oder besuchen Sie 

http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx. Laden Sie die Sysinternals-Suite 

herunter und entpacken Sie die Datei. Suchen Sie in diesem Programmpaket 

nach Autoruns. Führen Sie Autoruns aus, um festzustellen, welche Programme so konfiguriert 

sind, dass sie auf Ihrem Computer automatisch gestartet werden. Suchen Sie 

dann Rootkitrevealer und führen Sie es aus, um festzustellen, ob sich irgendwelche 

Rootkits auf Ihrem System eingenistet haben. 

Übung 2 Suchen Sie im Web nach dem Begriff »bootable anti-malware CD« (startfähige 

Antimalware-CD) und sehen Sie sich an, welche startfähigen Antimalware-CDs 

online verfügbar sind. Erstellen Sie eine startfähige Antimalware-CD oder laden Sie eine 

fertige herunter. Führen Sie damit eine Malwareüberprüfung auf Ihrem System durch.






Inhalt der Prüfung 70-685 testen. Sie können den Test so konfigurieren, dass er dem Ablauf 

einer echten Prüfung entspricht, oder Sie können einen Lernmodus verwenden, in dem Sie 

sich nach dem Beantworten einer Frage jeweils sofort die richtige Antwort und Erklärungen 

ansehen können. 





Konfigurieren und Problembehandlung 

von Remotezugriffsverbindungen 

Als Supporttechniker in einem Großunternehmen gehört es möglicherweise zu Ihren 

Aufgaben, Remotebenutzern zu helfen, die keine Verbindung zum Unternehmensnetzwerk 

herstellen können. Am häufigsten greifen Benutzer von einem anderen Standort auf das 

Unternehmensnetzwerk zu, indem sie ein virtuelles privates Netzwerk (Virtual Private Network, 

VPN) nutzen. In Windows Server 2008 R2 und Windows 7 hat Microsoft allerdings 

DirectAccess eingeführt, eine stark verbesserte Alternative zu VPNs. Um Probleme im Bereich 

des Remotezugriffs zu beseitigen, müssen Sie die Komponenten kennen, aus denen 

sich eine VPN- und DirectAccess-Infrastruktur zusammensetzt, und wissen, wie diese Komponenten 

zusammenspielen, wenn ein Benutzer versucht, eine Remotezugriffsverbindung 

aufzubauen. 


Untersuchen und Beseitigen von Remotezugriffsproblemen 


Lektion 1: Grundlagen von VPN-Clientverbindungen ...................... 225 

Lektion 2: Grundlagen von DirectAccess-Clientverbindungen . ............... 254 




Einen Client mit Windows 7 Enterprise, der Mitglied der Domäne ist 

Grundkenntnisse zu IPv6 

223

224 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverbindungen 

Praxistipp 


Das in Windows 7 und Windows Server 2008 R2 eingeführte DirectAccess ist das erste 

wesentliche Feature von Windows, das ausschließlich auf IPv6 aufbaut und mit IPv4 

schlicht und einfach nicht funktioniert. Sie sollten die Einführung dieses Features als 

Weckruf begreifen. Bisher betrachten viele IT-Experten IPv6 als Thema, um das sie sich 

auch noch morgen kümmern können, und viele deaktivieren IPv6 sogar, weil sie fälschlicherweise 

glauben, dass es die Netzwerkleistung verschlechtert (stimmt nicht!). Dass so 

viele IPv6 links liegen lassen, ist nicht weiter überraschend: IPv6 ist schon seit langer 

Zeit eine Technologie der Zukunft. 

Die Zukunft ist aber jetzt. Die IANA (Internet Assigned Numbers Authority), von der die 

Vergabe der IP-Adressen verwaltet wird, schätzt, dass schon 2011 keine neuen IPv4- 

Adressen mehr verfügbar sind. Schon sehr bald wird IPv6 daher ein Eckpfeiler der Netzwerktechnologie 

werden, und das auch bleiben. Ich empfehle Ihnen, dieses Thema ernst 

zu nehmen und sich so bald wie möglich mit der IPv6-Adressierung vertraut zu machen. 

Als gute Einführung in IPv6 für Windows-Netzwerke empfehle ich Understanding IPv6, 

Second Edition (Microsoft Press, 2008) von Joseph Davies.

Lektion 1: Grundlagen von VPN-Clientverbindungen 225 

Lektion 1: Grundlagen von VPN-Clientverbindungen 

Die meisten Remotebenutzer greifen mithilfe von VPN auf ein Unternehmensnetzwerk zu, 

daher müssen Sie für die Problembehandlung im Bereich des Remotezugriffs eigentlich 

wissen, wie VPNs arbeiten. Es ist allerdings nicht ganz einfach, sich in dieses Thema einzuarbeiten. 

Die erfolgreiche Aushandlung einer VPN-Verbindung hängt von vielen Faktoren 

ab, darunter der richtigen Konfiguration der VPN-Infrastruktur, der Benutzer- und/oder 

Computerauthentifizierung und der Benutzerautorisierung. Abgesehen von der generellen 

Komplexität des VPN-Verbindungsprozesses stellen Windows 7 und Windows Server 2008 

R2 auch noch unterschiedliche VPN-Typen zur Verfügung, die jeweils andere Anforderungen, 

Vorteile und Nachteile haben. 

Diese Lektion beginnt mit einem Überblick über VPNs und beschreibt dann die Komponenten, 

aus denen eine VPN-Verbindung besteht. Darauf folgen ein Überblick über die verschiedenen 

VPN-Typen und eine Erklärung, mit welchen Schritten eine VPN-Remotezugriffsverbindung 

aufgebaut wird. Den Abschluss bildet eine allgemeine Checkliste für die Problembehandlung 

von Remotezugriff-VPNs. 


Beschreiben der Elemente in einer VPN-Infrastruktur 

Beschreiben von Vor- und Nachteilen der VPN-Typen, die in Windows-Netzwerken zur 

Verfügung stehen 

Beschreiben des VPN-Verbindungsaufbaus 

Durchführen einer Problembehandlung für VPN-Konnektivität 


Grundlagen von VPNs 

Ein VPN ist eine private, verschlüsselte Netzwerkverbindung, die das öffentliche Internet 

durchläuft. Normalerweise wird ein VPN eingesetzt, um entweder zwei Niederlassungen 

miteinander zu verbinden (das sogenannte Standortverbindungs-VPN) oder es Remotecomputern 

zu ermöglichen, auf ein zentrales Büronetzwerk zuzugreifen. Im Fall eines Standortverbindungs-VPNs 

(siehe Abbildung 6.1) ist für die Clients keine besondere Konfiguration 

erforderlich. Das Aushandeln der privaten Verbindung für solche VPNs übernehmen VPN- 

Server in den beteiligten Standorten. Die Clients in den unterschiedlichen Standorten kommunizieren 

genauso miteinander wie mit Clients innerhalb desselben Standorts. 

Bei einem Remotezugriff-VPN muss der Windows 7-Client dagegen so konfiguriert sein, 

dass er eine Verbindung zum VPN-Server aushandelt. Aus diesem Grund wird in Prüfung 

70-685 nur das Remotezugriff-VPN behandelt. Abbildung 6.2 zeigt den Aufbau eines 

Remotezugriff-VPNs.


Abbildung 6.1 Ein Standortverbindungs-VPN 

Abbildung 6.2 Ein Remotezugriff-VPN 

Grundlagen von VPN-Kapselung und -Tunneln 

Ein VPN nimmt die Kommunikationsdaten entgegen, die zwischen den Computern ausgetauscht 

würden, befänden sie sich im selben Netzwerk. Dann verschlüsselt das VPN diese 

Kommunikationsdaten und kapselt sie zusammen mit ergänzenden Netzwerkdaten, die 

gebraucht werden, um das Internet zu durchlaufen. Das Ergebnis dieser Kapselung ist, dass 

das physische Netzwerk, durch das die vertraulichen Daten gesendet werden, für die beiden 

Endpunkte der Kommunikation praktisch unsichtbar wird. In Abbildung 6.3 sind zwei Computer, 

Computer1 und Computer2, im Grunde nur über das Internet miteinander verbunden, 

aber die Transparenz dieser Verbindung zeigt sich, wenn auf einem dieser Computer der 

Befehl Tracert ausgeführt wird. Obwohl viele Abschnitte zwischen den beiden Computern 

liegen, scheinen sie auf der VPN-Verbindung nur einen Abschnitt voneinander entfernt zu 

sein. Die Kommunikation findet zwischen den zwei privaten IP-Adressen im Subnetz 

192.168.10.0/24 statt, genau wie bei Computern, die im selben Netzwerksegment liegen.


Abbildung 6.3 Bei einer VPN-Verbindung sieht es aus, als wären Remotecomputer lokal vorhanden 

Diese Technik, vertrauliche Daten innerhalb öffentlicher Daten zu kapseln, wird als Tunnel 

(engl. tunneling) bezeichnet. Ein VPN-Tunnelprotokoll baut einen sicheren Kanal zwischen 

zwei VPN-Servern beziehungsweise zwischen einem VPN-Server und einem VPN-Client 

auf. Innerhalb eines VPN-Tunnels werden die Daten durch Verschlüsselung geschützt, während 

sie das öffentliche Netzwerk durchqueren. Private Daten werden verschlüsselt, bevor


sie in den Tunnel gesendet werden. Haben sie das Ende des Tunnels erreicht, werden sie 

wieder entschlüsselt. 

Die meisten VPN-Tunnelprotokolle führen außerdem eine Datenauthentifizierung durch, um 

die Daten auf zwei Arten zu überprüfen. Erstens können Tunnelprotokolle eine Datenintegritätsprüfung 

durchführen, die sicherstellt, dass die Daten unterwegs nicht manipuliert wurden. 

Zweitens können sie die Datenherkunft authentifizieren, um sicherzustellen, dass die 

Daten tatsächlich vom angegebenen Absender stammen. 

Grundlagen der Remotezugriff-VPN-Infrastruktur 

Um VPN-Clients Remotezugriff bieten zu können, muss ein Windows-Netzwerk mehrere 

Features implementieren (Abbildung 6.4). Auf jeden Fall müssen der VPN-Client und die 

Clientsoftware (beziehungsweise eine Netzwerkverbindung in Windows), ein VPN-Server, 

auf dem die Routing- und RAS-Dienste (Routing and Remote Access Services, RRAS) laufen, 

sowie ein interner DNS-Server vorhanden sein. Meist umfasst eine VPN-Infrastruktur 

aber auch noch einen Domänencontroller, einen Zertifikatserver und einen DHCP-Server. 

Und schließlich kann noch ein Netzwerkrichtlinienserver (Network Policy Server, NPS) 

verwendet werden. Der nächste Abschnitt beschreibt die Rollen dieser VPN-Infrastrukturkomponenten. 

Abbildung 6.4 Eine VPN-Infrastruktur 

VPN-Client und Clientsoftware 

Damit ein Windows 7-Computer als VPN-Client agieren kann, muss Windows mit VPN- 

Clientsoftware konfiguriert sein. Generell stehen für VPN-Clients drei Typen zur Auswahl: 

eine Windows 7-VPN-Verbindung, ein Verbindungs-Manager-Client oder ein Client eines 

anderen Herstellers. 

Als erste Möglichkeit können Sie in Windows 7 eine VPN-Verbindung im Netzwerk- und 

Freigabecenter konfigurieren. Klicken Sie dazu auf Neue Verbindung oder neues Netzwerk 

einrichten (Abbildung 6.5).

Abbildung 6.5 Erstellen einer VPN-Verbindung in Windows 7 


Daraufhin öffnet sich der Assistent Eine Verbindung oder ein Netzwerk einrichten. Wählen 

Sie Verbindung mit dem Arbeitsplatz herstellen aus, wenn Sie eine VPN-Verbindung herstellen 

wollen (Abbildung 6.6), und folgen Sie dann den Anweisungen des Assistenten. 

Abbildung 6.6 Der Assistent Eine Verbindung oder ein Netzwerk einrichten 

Sobald Sie den Assistenten abgeschlossen haben, zeigt Windows 7 die neue VPN-Verbindung 

im Fenster Netzwerkverbindungen an, das Sie öffnen, indem Sie im Netzwerk- und 

Freigabecenter auf Adaptereinstellungen ändern klicken. Abbildung 6.7 zeigt eine Windows 

7-VPN-Verbindung.


Abbildung 6.7 Eine VPN-Verbindung 

Dieser erste Typ VPN-Client ist zwar auf einem einzelnen Computer einfach zu erstellen 

und zu konfigurieren, aber in Windows ist kein Mechanismus eingebaut, um in einem großen 

Netzwerk viele solcher VPN-Clients einzurichten. Stattdessen verwenden viele Administratoren 

das Verbindungs-Manager-Verwaltungskit (Connection Manager Administration Toolkit, 

CMAK), um Clientverbindungsprofile zu erstellen, die als Verbindungs-Manager-Clients 

verteilt und installiert werden können. Diese Methode hat den Vorteil, dass Benutzer VPN- 

Clients anhand des Profils erstellen und installieren können, ohne dass dafür technische 

Kenntnisse vorhanden sein müssen. Als dritte Möglichkeit kann auf Clientdesktops mithilfe 

von Gruppenrichtlinien oder anderen Methoden die VPN-Clientsoftware eines anderen Herstellers 

bereitgestellt werden. 

Hinweis Was sind der Verbindungs-Manager und das Verbindungs-Manager-Verwaltungskit? 

Der Verbindungs-Manager ist ein Tool für Clientnetzwerkverbindungen. Ein Benutzer kann 

damit eine Verbindung zu einem Remotenetzwerk aufbauen, etwa einem Unternehmensnetzwerk, 

das durch einen VPN-Server geschützt wird. 

Das Verbindungs-Manager-Verwaltungskit ist ein Feature in Windows Server 2008, das Sie 

im Assistenten "Feature hinzufügen" installieren können. Sie können damit für Remotebenutzer 

die Erstellung vordefinierter Verbindungen zu Remoteservern und -netzwerken automatisieren. 

Um einen Verbindungs-Manager-Client für Ihre Benutzer zu erstellen und anzupassen, verwenden 

Sie den Assistenten für das Microsoft Verbindungs-Manager-Verwaltungskit. In 

diesem Assistenten automatisieren Sie viele Aspekte einer Verbindung (beispielsweise die 

IP-Adresse des VPN-Servers), sodass die Benutzer sich nicht selbst um derartige technische 

Details zu kümmern brauchen. 

VPN-Server 

Der VPN-Server in einer Windows-VPN-Infrastruktur führt RRAS aus. In Windows Server 

2008 ist dies ein Rollendienst der Serverrolle Netzwerkrichtlinien- und Zugriffsdienste. Server, 

die mit RRAS konfiguriert sind, nehmen Anforderungen von Remotezugriffsbenutzern 

aus dem Internet entgegen, authentifizieren diese Benutzer, autorisieren die Verbindungsanforderungen 

und blockieren schließlich die Anforderungen oder leiten die Verbindungen 

in interne Segmente des privaten Netzwerks weiter.

Hinweis Authentifizierung und Autorisierung beim Remotezugriff 


Authentifizierung ist der Vorgang, bei dem der Benutzer überprüft wird. Dabei werden ein 

Kennwort oder andere Anmeldeinformationen wie ein Zertifikat oder eine Smartcard überprüft. 

So wird sichergestellt, dass der Benutzer wirklich ist, wer er zu sein vorgibt. 

Während bei der Authentifizierung Benutzeranmeldeinformationen überprüft werden, ist die 

Autorisierung der Vorgang, mit dem einem Benutzer der Zugriff auf Ressourcen erlaubt wird. 

Sobald die Remotezugriffsauthentifizierung abgeschlossen ist, wird die Remotezugriffsverbindung 

nur autorisiert, wenn sowohl auf der Registerkarte Einwählen im Eigenschaftendialogfeld 

des Benutzerkontos (mehr dazu im Abschnitt »Domänencontroller« weiter unten 

in dieser Lektion) als auch in der Netzwerkrichtlinie, die für die Verbindung gilt, passende 

Berechtigungen konfiguriert sind. 

Für die Authentifizierung kann RRAS so konfiguriert werden, dass es die Authentifizierungsanforderung 

an einen RADIUS-Server (bei Verwendung des Netzwerkrichtlinienservers) 

weiterleitet oder auf die Windows-Authentifizierung zurückgreift. Wenn die Windows- 

Authentifizierung verwendet wird und der lokale VPN-Server kein Mitglied einer Domäne 

ist, authentifiziert RRAS die Benutzer, indem es die empfangenen Anmeldeinformationen 

mit denen vergleicht, die in seiner lokalen SAM-Datenbank (Security Account Manager) 

gespeichert sind. Wenn dagegen Windows-Authentifizierung verwendet wird und der lokale 

VPN-Server Mitglied einer Domäne ist, übergibt RRAS die Benutzeranmeldeinformationen 

an einen verfügbaren Domänencontroller. 

Hinweis Die Remotezugriffsauthentifizierung verläuft getrennt von der Authentifizierung 

für die Domänenanmeldung 

Die Remotezugriffsauthentifizierung kommt vor der Authentifizierung für die Domänenanmeldung. 

Versucht ein VPN-Benutzer, sich im Remotezugriff an einer Domäne anzumelden, 

muss die VPN-Verbindung authentifiziert, autorisiert und aufgebaut sein, bevor die 

normale Domänenanmeldung durchgeführt wird. 

Sind die Anmeldeinformationen, die in der Remotezugriffsverbindung übergeben wurden, 

erfolgreich authentifiziert, muss die Verbindung autorisiert werden. Die Remotezugriffsautorisierung 

umfasst zwei Schritte: Erst werden die Einwähleigenschaften des Benutzerkontos 

überprüft, das in der VPN-Verbindung angegeben ist. Dann wird die erste passende 

Netzwerkrichtliniendefinition auf dem VPN-Server angewendet (oder auf dem Netzwerkrichtlinienserver, 

wenn RRAS so konfiguriert ist, dass es RADIUS-Authentifizierung verwendet). 

Hinweis Was sind Netzwerkrichtlinien? 

Netzwerkrichtlinien definieren verschiedene Verbindungstypen anhand ausgewählter Bedingungen, 

etwa abhängig davon, in welchen Windows-Gruppen der Benutzer Mitglied ist, ob 

Integritätsrichtlinien erfüllt sind oder welches Betriebssystem der Client ausführt. Dann werden 

Anforderungen, die diesen Bedingungen entsprechen, entweder erlaubt oder verweigert. 

Netzwerkrichtlinien können in RRAS oder in NPS definiert sein. Abbildung 6.8 zeigt, wie 

Netzwerkrichtlinien konfiguriert werden.


Abbildung 6.8 Netzwerkrichtlinien dienen dazu, Verbindungsanforderungen zu autorisieren 

DNS-Server 

VPN-Clients, die eine Verbindung zu einem privaten Netzwerk herstellen, müssen mit der 

Adresse eines internen DNS-Servers konfiguriert sein, der die Namen von Ressourcen in 

diesem privaten Netzwerk auflöst. Normalerweise übernimmt der Domänencontroller, der 

den Remotezugriffsbenutzer authentifiziert, auch die Aufgabe des DNS-Servers. 

Abbildung 6.9 Einstellen der Netzwerkzugriffs- 

berechtigung eines Benutzerkontos 


In einer VPN-Infrastruktur wird üblicherweise ein Domänencontroller eingesetzt, um Benutzer, 

die versuchen, über das VPN eine Verbindung zum Unternehmensnetzwerk herzustellen, 

zu authentifizieren und zu autorisieren. Neben der Authentifizierung der Benutzeranmelde-


informationen übernimmt der Domänencontroller auch die Aufgabe, das Benutzerkonto für 

den Remotezugriff zu autorisieren. Damit ein Benutzerkonto für den Remotezugriff autorisiert 

ist, muss es mit der Netzwerkzugriffsberechtigung Zugriff gestatten oder Zugriff über 

NPS-Netzwerkrichtlinien steuern konfiguriert sein. 

Sie konfigurieren die Netzwerkzugriffsberechtigung für einen einzelnen Benutzer in der 

Konsole Active Directory-Benutzer und -Computer auf der Registerkarte Einwählen im 

Eigenschaftendialogfeld des Benutzerkontos (Abbildung 6.9). In der Standardeinstellung ist 

für Domänenbenutzerkonten die Einstellung Zugriff über NPS-Netzwerkrichtlinien steuern 

konfiguriert. 

Zertifikatserver 

Viele VPNs setzen eine Form der Verschlüsselung ein, die mit öffentlichen Schlüsseln und 

einer Public Key-Infrastruktur (PKI) arbeitet. In einer PKI werden Zertifikate einerseits verwendet, 

um die Identität des Zertifikatbesitzers zu überprüfen, und andererseits, um Daten zu 

verschlüsseln oder entschlüsseln. Jedes Zertifikat ist mit einem Schlüsselpaar verknüpft, das 

aus einem öffentlichen Schlüssel (der in das öffentliche Zertifikat eingebettet ist und an alle 

verteilt wird) und einem privaten Schlüssel (er wird lokal generiert und niemals über das 

Netzwerk gesendet) besteht. Werden Daten mit dem privaten Schlüssel verschlüsselt, können 

sie mit dem zugehörigen öffentlichen Schlüssel wieder entschlüsselt werden. Und wird 

umgekehrt der öffentliche Schlüssel benutzt, um die Daten zu verschlüsseln, lassen sie sich 

mit dem privaten Schlüssel wieder entschlüsseln. In einem typischen Fall benutzt ein Absender 

den öffentlichen Schlüssel des Empfängers, um eine Nachricht zu verschlüsseln, 

bevor er sie absendet. Nur der Empfänger hat Zugriff auf den privaten Schlüssel, der 

gebraucht wird, um die Nachricht zu entschlüsseln. 

In einer PKI werden Zertifikate von einer Zertifizierungsstelle generiert und ausgegeben. 

Das kann ein Computer sein, der unter Windows Server 2008 läuft und die Serverrolle 

Active Directory-Zertifikatdienste ausführt. 

DHCP-Server 

Normalerweise wird ein interner DHCP-Server verwendet, um VPN-Clients eine IP-Adresse 

zuzuweisen. Erfüllt ein DHCP-Server diese Aufgabe, muss der externe Netzwerkadapter des 

VPN-Servers mit einem DHCP-Relay-Agent konfiguriert sein, damit er die DHCP-Anforderungen 

von externen VPN-Clients bedient. Stattdessen kann auch der VPN-Server selbst 

so konfiguriert werden, dass er den VPN-Clients Adressen zuweist; dazu wird nicht die 

Unterstützung des DHCP-Servers im Unternehmensnetzwerk gebraucht. 

Netzwerkrichtlinienserver 

NPS (Network Policy Server, Netzwerkrichtlinienserver) ist die Microsoft-Implementierung 

eines RADIUS-Servers und -Proxys. Sie können NPS einsetzen, um Authentifizierung, 

Autorisierung und Integritätsrichtlinien für VPN-Verbindungen, Wählverbindungen, 802.11- 

Drahtlosverbindungen und 802.1x-Verbindungen zentral zu verwalten. NPS kann außerdem 

als Integritätsprüfungsserver für Netzwerkzugriffsschutz (Network Access Protection, NAP) 

agieren. Wie RRAS ist auch NPS in Windows Server 2008 ein Rollendienst der Serverrolle 

Netzwerkrichtlinien- und Zugriffsdienste. 

Abbildung 6.10 zeigt, wie NPS als zentraler Authentifizierungs- und Autorisierungspunkt 

für den Netzwerkzugriff agiert. In dieser Abbildung arbeitet NPS als RADIUS-Server für


zahlreiche Zugriffsclients. Für die Authentifizierung der Benutzeranmeldeinformationen 

greift NPS auf einen Domänencontroller zurück. 

Abbildung 6.10 Ein NPS-Server kann die Authentifizierung und Autorisierung zentral verwalten 

Hinweis NPS und IAS 

NPS ist der Nachfolger des Internetauthentifizierungsdienstes (Internet Authentication 

Service, IAS) aus Windows Server 2003. 

Grundlagen der VPN-Tunnelprotokolle in Windows 7 

Windows 7 unterstützt vier Tunnelprotokolle für VPN-Remotezugriffsverbindungen zu 

Unternehmensnetzwerken. Jedes davon wird in einem anderen Remotezugriffsszenario 

eingesetzt, und jedes stellt andere Anforderungen an Betriebssystem, Konfiguration und 

Infrastruktur. Der folgende Abschnitt stellt diese vier VPN-Protokolle genauer vor. 

Grundlagen von IKEv2 

Internet Key Exchange Version 2 (IKEv2) ist neu in Windows 7 und Windows Server 2008 

R2. Es ist ein Tunnelprotokoll, das IPSec (Internet Protocol Security) für die Verschlüsselung 

einsetzt. Ein wichtiger Leistungsgewinn eines IKEv2-basierten VPNs ergibt sich aus 

der Unterstützung von VPN-Reconnect (auch unter dem Namen Mobility bekannt). VPN- 

Reconnect ermöglicht es, Verbindungen aufrechtzuerhalten, während ein VPN-Client von 

einem WLAN-Hotspot oder Switch einer Drahtlos- oder Kabelverbindung zu einem anderen 

wechselt. Ein anderer wichtiger Vorteil von IKEv2 ist, dass Clientcomputer sich nicht mithilfe 

eines Computerzertifikats oder eines vorinstallierten Schlüssels authentifizieren müssen. 

Diesen Vorteil bieten auch SSTP- (Secure Socket Tunneling Protocol) und PPTP-VPNs 

(Point-to-Point Tunneling Protocol), aber nicht die VPNs, die auf L2TP (Layer 2 Tunneling 

Protocol) aufbauen. Und schließlich bietet IKEv2 im Vergleich zu anderen VPN-Typen, die


auf IPSec-Verschlüsselung aufbauen (L2TP), höhere Leistung, weil die Verbindung schneller 

aufgebaut wird. 

Prüfungstipp 

Für die Prüfung 70-685 müssen Sie wissen, was VPN-Reconnect ist und dass nur IKEv2- 

VPNs dieses Feature unterstützen. 

IKEv2-VPNs setzen eine PKI voraus. In einem IKEv2-VPN muss der Server dem Client ein 

Serverauthentifizierungszertifikat vorweisen, und der Client muss in der Lage sein, dieses 

Zertifikat zu überprüfen. Damit diese Überprüfung vorgenommen werden kann, muss das 

Stammzertifikat der Zertifizierungsstelle, die das Serverauthentifizierungszertifikat ausgestellt 

hat, im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen des Clientcomputers 

installiert sein. 

Was Leistung und Sicherheit betrifft, ist IKEv2 der bevorzugte VPN-Typ. Sie sollten ihn 

bereitstellen, sofern die Betriebssystemvoraussetzungen für ein solches VPN erfüllt sind. 

Diese Anforderungen sind Windows 7 für den VPN-Client und Windows Server 2008 R2 

auf dem VPN-Server. 

Grundlagen von SSTP 

SSTP-VPNs wurden in Windows Server 2008 eingeführt. Sie können von Clients benutzt 

werden, die unter Windows Vista SP1 oder neuer laufen. Dieser VPN-Typ basiert auf demselben 

HTTP-über-SSL-Protokoll, das für sichere Websites verwendet wird. Das wichtigste 

Feature eines SSTP-VPNs ist, dass es die gesamte Kommunikation über TCP-Port 443 abwickelt. 

Dieser Port wird auf den meisten Firewalls für sicheren Webverkehr offen gehalten. 

Weil die meisten Firewalls nicht umkonfiguriert werden müssen, um SSTP-Kommunikation 

abzuwickeln, können SSTP-VPN-Clients durch die meisten NAT-Geräte (Network Address 

Translation), Firewalls und Webproxys hindurch Verbindungen aufbauen. Andere VPN- 

Typen können solche Netzwerkgeräte oft nicht durchlaufen. Ein SSTP-VPN ist daher ein 

außergewöhnlich flexibles Remotezugriff-VPN, das in mehr Netzwerkkonstellationen 

implementiert werden kann als andere VPNs. 

Wie IKEv2- und PPTP-VPNs, aber anders als L2TP-basierte VPNs erfordern SSTP-VPNs 

in der Standardeinstellung keine Clientcomputerauthentifizierung (dies kann aber durch eine 

Konfigurationsänderung erzwungen werden). Wie bei einem sicheren Webserver muss der 

SSTP-VPN-Server dem anfordernden Client aber am Anfang der Kommunikationssitzung 

ein Computerzertifikat vorweisen. Der VPN-Client muss dann in der Lage sein, das Computerzertifikat 

des Servers zu überprüfen. Damit diese Überprüfung vorgenommen werden 

kann, muss das Stammzertifikat der Zertifizierungsstelle, die das Serverauthentifizierungszertifikat 

ausgestellt hat, im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen 

des VPN-Clientcomputers installiert sein. 

Hinweis Zertifikatprüfung in SSTP-VPNs 

In einer PKI kann ein Administrator ein Zertifikat sperren, das einem Benutzer, Computer 

oder Dienst ausgestellt wurde. Eine Zertifizierungsstelle veröffentlicht die Listen der gesperrten 

Zertifikate in einer offiziellen Zertifikatsperrliste (Certificate Revocation List, 

CRL). Bei SSTP-VPN-Verbindungen muss der Client standardmäßig überprüfen, dass das


Computerzertifikat des VPN-Servers nicht gesperrt wurde. Dazu kommuniziert er mit dem 

Zertifikatserver, der im Zertifikat als Host der Zertifikatsperrliste angegeben ist. Ist der 

Server, der die Zertifikatsperrliste hostet, nicht erreichbar, schlägt die Überprüfung fehl. Die 

VPN-Verbindung wird daraufhin abgebrochen. Um das zu verhindern, müssen Sie die Zertifikatsperrliste 

entweder auf einem Server veröffentlichen, der im Internet erreichbar ist, 

oder den Client so konfigurieren, dass er keine Prüfung der Zertifikatsperrliste erzwingt. Sie 

deaktivieren die Prüfung der Zertifikatsperrliste, indem Sie einen Registrierungseintrag im 

folgenden Pfad anlegen: 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters 

Dieser Eintrag muss ein DWORD-Wert namens NoCertRevocationCheck sein. Setzen Sie 

diesen Eintrag auf den Wert 1. 

Grundlagen von L2TP 

L2TP ist der Industriestandard für ein Tunnelprotokoll, das mit dem Ziel entwickelt wurde, 

nativ über IP-Netzwerke zu laufen. Die Sicherheit für L2TP-VPN-Verbindungen wird mit 

IPSec gewährleistet, das Datenauthentifizierung und Verschlüsselung durchführt. Auf diese 

Weise ist sichergestellt, dass L2TP-Tunnel geschützt sind. Die Kombination aus L2TP und 

IPSec zum Aufbau eines Tunnels wird üblicherweise als L2TP über IPSec oder L2TP/IPSec 

bezeichnet. 

L2TP/IPSec-VPNs haben gegenüber IKEv2- und SSTP-VPNs einige Nachteile. Erstens 

benötigt L2TP/IPSec neben der Benutzerauthentifizierung, die in allen VPN-Protokollen 

erforderlich ist, zusätzlich eine Clientcomputerauthentifizierung. Aufgrund dieser Anforderung 

müssen alle VPN-Clientcomputer, auf denen der Benutzer eine Verbindung aufbauen 

will, entweder mit einem Computerzertifikat oder einem vorinstallierten Schlüssel konfiguriert 

sein, den der VPN-Server kennt. Daher ist es bei L2TP/IPSec nicht möglich, dass ein 

Benutzer eine VPN-Verbindung von öffentlichen Terminals aus oder von irgendeinem Computer 

aus eine Verbindung herstellt, die nicht explizit für das VPN konfiguriert wurde. 

Wollen Sie eine VPN-Clientverbindung in Windows 7 so konfigurieren, dass sie entweder 

ein Computerzertifikat oder einen vorinstallierten Schlüssel für die L2TP/IPSec-Authentifizierung 

verwendet, müssen Sie das Eigenschaftendialogfeld der VPN-Verbindung öffnen, 

auf die Registerkarte Sicherheit und dort auf die Schaltfläche Erweiterte Einstellungen klicken. 

Daraufhin öffnet sich das Dialogfeld Erweiterte Eigenschaften (Abbildung 6.11). In 

der Standardeinstellung ist die Zertifikatsauthentifizierung eingestellt. Um ein Clientauthentifizierungszertifikat 

zu bekommen, das Sie für diese Einstellung brauchen, müssen Sie üblicherweise 

eine Anforderung an die Zertifizierungsstelle im Unternehmensnetzwerk senden 

und dann das Zertifikat installieren, sobald die Anforderung genehmigt wurde. Wenn Sie die 

Einstellung auf Vorinstallierten Schlüssel für Authentifizierung verwenden ändern, müssen 

Sie den Schlüssel im zugehörigen Textfeld eingeben. 

Neben der Anforderung, dass der Clientcomputer authentifiziert werden muss, liegt eine 

weitere Einschränkung von L2TP/IPSec-VPNs darin, dass sie keine native Unterstützung für 

die Kommunikation über NAT-Geräte bieten. Sie können es L2TP/IPSec allerdings ermöglichen, 

ein NAT-Gerät zu durchlaufen, wenn Sie sowohl auf dem VPN-Clientcomputer als 

auch dem VPN-Server einen bestimmten Registrierungswert ändern.

Abbildung 6.11 Konfigurieren der VPN-Clientauthentifizierung 

für L2TP/IPSec 


Weitere Informationen Konfigurieren von L2TP/IPSec für NAT-Traversal 

Eine Anleitung, wie Sie die Registrierung so ändern, dass NAT-Traversal in L2TP/IPSec 

möglich ist, finden Sie unter http://support.microsoft.com/kb/926179. 

Grundlagen von PPTP 

PPTP ist unter allen VPN-Protokollen am einfachsten in Windows-Netzwerken zu implementieren. 

Im Unterschied zu anderen Tunnelprotokollen benötigt PPTP keinerlei Zertifikate 

oder vorinstallierte Schlüssel, weder auf dem VPN-Client noch dem Server. Ein anderes wichtiges 

Feature von PPTP ist, dass es auch für ältere Windows-Betriebssysteme benutzt werden 

kann: Es ist das einzige native Windows-VPN-Protokoll, das auf Microsoft Windows NT 4.0 

läuft, und es ist zu allen Windows-Versionen seit Microsoft Windows 2000 kompatibel. 

PPTP hat aber auch erhebliche Nachteile. Der größte ist, dass es nicht so sicher ist wie andere 

VPN-Protokolle. PPTP verschlüsselt die Daten zwar, stellt aber nicht die Datenintegrität 

sicher und führt keine Authentifizierung der Datenherkunft durch. Eine weitere Einschränkung 

von PPTP ist, dass es NAT-Geräte nur durchlaufen kann, wenn es sich um PPTP-fähige 

NAT-Router handelt. 

Tabelle 6.1 vergleicht die wichtigsten Features der vier VPN-Protokolle, die in Windows- 

Netzwerken zur Verfügung stehen.


Tabelle 6.1 VPN-Protokolle in Windows-Netzwerken 

VPN- 

Protokoll 

Unterstützte Betriebssysteme 

IKEv2 Windows 7, 

Windows Server 

2008 R2 

SSTP Windows Vista 

SP1, Windows 

Server 2008, 

Windows 7, 

Windows Server 

2008 R2 

L2TP/ 

IPSec 

Windows 2000 

oder neuer 

PPTP Windows NT 4.0, 

Windows 2000 

oder neuer 

Szenario Traversal VPN-Reconnect/Mobility 

Remotezugriff 

Remotezugriff 

Remotezugriff,Standortverbindung 

Remotezugriff,Standortverbindung 

Authentifizierung 

NAT Ja Computer- oder Benutzerauthentifizierung 

mit 

IKEv2; VPN-Server 

braucht ein Serverzertifikat 

NAT, 

Firewalls, 

Webproxy 

NAT, nur mit 

spezieller 

Änderung in 

der Registrierung 

NAT, nur 

durch PPTPfähige 

NAT- 

Router 

Ablauf des Verbindungsaufbaus bei Remotezugriff-VPNs 

Nein Benutzerauthentifizierung 

mit PPP (Point-to- 

Point Protocol); VPN- 

Server braucht ein 

Serverzertifikat 

Nein Computerauthentifizierung 

mit IPSec, gefolgt 

von Benutzerauthentifizierung 

mit PPP; VPN- 

Client braucht ein 

Computerzertifikat oder 

einen vorinstallierten 

Schlüssel 

Nein Benutzerauthentifizierung 

mit PPP 

Wenn ein VPN-Client Zugriff auf ein Windows-Unternehmensnetzwerk anfordert, müssen 

mehrere Schritte ablaufen, bis der Client tatsächlich den gewünschten Zugriff erhält. Tritt an 

irgendeiner Stelle in diesem Ablauf ein Fehler auf, misslingt der Verbindungsversuch. Sie 

müssen die Schritte beim VPN-Verbindungsaufbau genau kennen, wenn Sie eine effektive 

Problembehandlung durchführen wollen. Nur so können Sie wissen, durch welche Fehler in 

Ihrer VPN-Konfiguration bestimmte Verbindungsfehler verursacht werden. 

Der Verbindungsaufbau bei einem Remotezugriff-VPN läuft in folgenden Schritten ab: 

1. Der VPN-Client nimmt Kontakt zum VPN-Server auf. 

In der ersten Phase eines VPN-Verbindungsversuchs kontaktiert der VPN-Client den 

VPN-Server. Diese Phase verläuft nur erfolgreich, wenn der Client mit der richtigen IP- 

Adresse des VPN-Servers konfiguriert ist. Außerdem muss der VPN-Server öffentlich 

erreichbar sein. Liegt der VPN-Server hinter einer Firewall, muss sie so konfiguriert 

sein, dass sie den VPN-Clientzugriff erlaubt. 

2. Der VPN-Tunnel wird ausgehandelt. 

Sobald der VPN-Client den Kontakt zum VPN-Server hergestellt hat, schickt er eine 

Anforderung nach einem bestimmten Tunneltyp. Eine VPN-Netzwerkverbindung kann


eine von fünf Einstellungen verwenden: Automatisch, PPTP, L2TP/IPSec, SSTP und 

IKEv2 (Abbildung 6.12). 

Abbildung 6.12 Konfigurieren des VPN-Typs 

Die Standardeinstellung ist Automatisch. Bei dieser Einstellung fordert die VPN-Verbindung 

Protokolle in der folgenden Reihenfolge an: IKEv2, SSTP, L2TP/IPSec und PPTP. 

Es wird schließlich der VPN-Typ verwendet, für den der VPN-Server die Anforderung 

bestätigt. 

Während dieser Phase wird auch das Authentifizierungsprotokoll ausgehandelt. Bei 

IKEv2-VPNs wird das Authentifizierungsprotokoll EAP-MSCHAPv2 benutzt. Bei anderen 

VPN-Typen wird MS-CHAPv2 bevorzugt, sofern es auf dem VPN-Server verfügbar 

ist. Andernfalls wird CHAP angefordert. 

Zuletzt wird in dieser Phase die Verschlüsselung ausgehandelt. Wie die Authentifizierungseinstellungen 

werden in Windows 7 auch die Verschlüsselungseinstellungen auf der 

Registerkarte Sicherheit im Eigenschaftendialogfeld einer VPN-Verbindung konfiguriert 

(Abbildung 6.13). Damit die Verschlüsselung erfolgreich ausgehandelt werden kann, 

müssen die hier definierten Clienteinstellungen zu denen kompatibel sein, die auf dem 

VPN-Server konfiguriert sind. Ist auf dem Client also die Option Maximale eingestellt, 

muss der Server in der Lage sein, höchste Verschlüsselungsstärke zur Verfügung zu 

stellen, andernfalls schlägt der VPN-Verbindungsversuch fehl. 

3. Der VPN-Tunnel wird erstellt. 

Wurde über VPN-Tunneltyp, Authentifizierungsprotokoll und Verschlüsselungsstärke 

Einigung erzielt, wird der VPN-Tunnel zwischen VPN-Client und VPN-Server erstellt. 

Ab diesem Punkt läuft die gesamte Kommunikation verschlüsselt. 

Bei IKEv2- und SSTP-VPNs wird der Tunnel mithilfe des Computerzertifikats des VPN- 

Servers aufgebaut. Der VPN-Client muss daher in der Lage sein, dieses Zertifikat zu 

überprüfen. Das setzt voraus, dass auf dem VPN-Clientcomputers das Stammzertifikat 

der Zertifizierungsstelle, die das Serverauthentifizierungszertifikat ausgestellt hat, im 

Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen installiert ist.


Abbildung 6.13 Konfigurieren der 

Datenverschlüsselung in der VPN-Verbindung 

Bei L2TP/IPSec-VPNs werden vorinstallierte Schlüssel oder Computerzertifikate verwendet, 

um die Verschlüsselungsbedingungen für den Tunnel festzulegen. Daher gelingt 

die Aushandlung nur, wenn diese Elemente richtig konfiguriert sind. (PPTP-VPNs verwenden 

Microsoft Point-to-Point Encryption, um einen sicheren Tunnel zu erzeugen, sie 

erfordern keine PKI.) 

Eine letzte Voraussetzung für die erfolgreiche Aushandlung eines VPN-Tunnels ist, dass 

die Kommunikation zwischen VPN-Client und VPN-Server alle zwischengeschaltete 

Netzwerkgeräte durchläuft. Liegt zum Beispiel eine Firewall zwischen VPN-Client und 

VPN-Server, müssen darin die Ports geöffnet sein, die vom VPN-Protokoll benutzt 

werden. Liegt ein NAT-Gerät zwischen VPN-Client und VPN-Server, muss das VPN- 

Protokoll in der Lage sein, dieses NAT-Gerät zu durchlaufen. 

4. Die Remotezugriffsauthentifizierung wird durchgeführt. 

In dieser Phase werden die Benutzeranmeldeinformationen, die im Rahmen der VPN- 

Verbindungsanforderung übermittelt wurden, über das vorher ausgehandelte Authentifizierungsprotokoll 

an den VPN-Server gesendet. Der VPN-Server führt die Authentifizierung 

entweder lokal durch oder leitet die Authentifizierungsanforderung an einen 

verfügbaren Domänencontroller oder einen RADIUS-Server weiter. Dies gelingt nur, 

wenn der VPN-Benutzer korrekte Anmeldeinformationen eingegeben hat und der VPN- 

Server so konfiguriert ist, dass er die Authentifizierung an die richtige Stelle weiterleitet. 

5. Die Remotezugriffsautorisierung wird durchgeführt. 

In dieser Phase werden die Eigenschaften des Benutzerkontos überprüft, um festzustellen, 

dass der Benutzer für den Remotezugriff autorisiert ist. Dann wird die Liste der Netzwerkrichtlinien 

ausgewertet, die auf dem VPN-Server oder Netzwerkrichtlinienserver 

konfiguriert ist. Die erste Richtlinie, deren Bedingungen mit der Verbindungsanforderung 

übereinstimmen, wird auf die Anforderung angewendet. Sie legt nun fest, ob die 

Anforderung erlaubt oder zurückgewiesen wird. Beachten Sie, dass in der Richtlinie


auch Einschränkungen (etwa Anmeldezeiten) definiert sein können, die Auswirkungen 

auf die Autorisierung der Verbindungsanforderung haben. 

6. Die VPN-Verbindung wird aufgebaut. 

Wurde die Anforderung nach der Remotezugriffsverbindung autorisiert, erlaubt der VPN- 

Server dem VPN-Benutzer, sich an der Domäne anzumelden. Nach der Domänenanmeldung 

hat der VPN-Benutzer Zugriff auf das Unternehmensnetzwerk. 

Problembehandlung für VPN-Clientverbindungen 

Gehen Sie anhand der folgenden Liste vor, um Probleme bei einer VPN-Clientverbindung zu 

untersuchen: 

Überprüfen Sie, ob die VPN-Clientverbindung richtig mit dem Namen oder der IP- 

Adresse des VPN-Servers konfiguriert ist. 

Überprüfen Sie, ob der VPN-Clientcomputer eine aktive Internetverbindung hat. Die 

VPN-Verbindung kann nur aufgebaut werden, während der Client mit dem Internet 

verbunden ist. 

Überprüfen Sie, ob die Benutzeranmeldeinformationen in der VPN-Verbindung richtig 

eingetragen sind. 

Überprüfen Sie, ob der Benutzer für den Remotezugriff autorisiert ist. 

Überprüfen Sie, ob die Zertifikate für die VPN-Verbindung richtig konfiguriert sind. 

Beispielsweise muss das Zertifikat der Stammzertifizierungsstelle, die das Computerzertifikat 

des VPN-Servers ausgestellt hat, im Speicher Vertrauenswürdige Stammzertifizierungsstellen 

des VPN-Clientcomputers installiert sein. Bei einem L2TP/IPSec-VPN 

müssen Sie sicherstellen, dass auf dem VPN-Clientcomputer ein Computerzertifikat 

installiert ist, das der VPN-Server überprüfen kann. 

Falls eine Fehlermeldung mit dem Code 741 erscheint und Sie informiert werden, dass 

der lokale Computer keine Verschlüsselung unterstützt, sollten Sie prüfen, ob die Verschlüsselungseinstellungen, 

die für die VPN-Verbindung konfiguriert sind, zu denen des 

Servers kompatibel sind. 

Übung Erstellen einer IKEv2-VPN-Verbindung 

In dieser Übung erstellen Sie eine simulierte IKEv2-VPN-Verbindung zwischen einem 

Windows 7-Client und einem Server, der unter Windows Server 2008 R2 läuft. 

Das aus zwei Computern bestehende Netzwerk, das Sie in dieser Übung verwenden, ist 

natürlich viel simpler als eine echte Umgebung, in der eine solche Verbindung normalerweise 

eingesetzt wird. In der Praxis verbindet eine VPN-Verbindung einen Client im Internet 

durch eine Firewall hindurch mit einem VPN-Server, der Mitgliedserver der lokalen AD DS- 

Domäne (Active Directory Domain Services) ist. Ein separater Server, der als Domänencontroller 

agiert, übernimmt dabei die Authentifizierung des Benutzers. Und ein weiterer Server 

ist der Zertifikatserver, der die Zertifikate für die Verbindung generiert. In der Testumgebung 

für diese Übung dient dagegen ein einziger Windows Server 2008 R2-Computer als VPN- 

Server, Domänencontroller und Zertifikatserver.


In dieser Übung führen Sie folgende Aufgaben aus: 

1. Sie legen auf dem Domänencontroller ein Domänenbenutzerkonto an und weisen ihm 

die Einwählberechtigung Zugriff gestatten zu. (Übung 1) 

2. Sie installieren die Active Directory-Zertifikatdienste auf dem Server. Mit den Zertifikatdiensten 

generieren Sie sowohl ein Serverauthentifizierungszertifikat, das auf dem Server 

installiert wird, als auch ein Stammzertifizierungsstellenzertifikat, das auf dem Client 

installiert wird. (Übungen 2 bis 8) 

3. Sie installieren und konfigurieren die Serverrolle Netzwerkrichtlinien- und Zugriffsdienste 

auf dem Server. Mit diesem Schritt versetzen Sie den Server in die Lage, VPN- 

Verbindungen entgegenzunehmen und weiterzuleiten. (Übungen 9 bis 11) 

4. Sie erstellen und testen die VPN-Verbindung auf dem Client. (Übungen 12 bis 13) 

Für die Übung sollte der Server den Namen DC1.nwtraders.msft haben und der Client den 

Namen CLIENT1.nwtraders.msft. Konfigurieren Sie beide Computer mit je einer Netzwerkkarte 

und schließen Sie beide an dasselbe Netzwerk an. DC1 muss ein Domänencontroller in 

der Domäne Nwtraders.msft sein, CLIENT1 muss Mitglied in dieser Domäne sein. 

DC1 sollte nur mit folgenden Rollen konfiguriert sein: 

AD DS 

DHCP-Server 

DNS-Server 

Hinweis Entfernen Sie alle anderen Rollen 

Entfernen Sie alle anderen Rollen, die auf DC1 installiert sind, bevor Sie diese Übung in 

Angriff nehmen. (Einzige Ausnahme ist die Serverrolle Active Directory-Zertifikatdienste. 

Falls Sie diese Rolle installiert haben, als der Server den Namen DC1.nwtraders.msft hatte, 

können Sie die Rolle installiert lassen.) Wenn Sie den Rollendienst Routing- und RAS-Dienste 

der Serverrolle Netzwerkrichtlinien- und Zugriffsdienste installiert haben, sollten Sie erst den 

Routing- und RAS-Dienst deaktivieren, bevor Sie diese Serverrolle deinstallieren. 

Schließlich ist noch wichtig, dass Sie zum Deinstallieren der Serverrollen dasselbe Domänenadministratorkonto 

verwenden wie in den folgenden Übungen. 

Übung 1 Anlegen eines Domänenbenutzers mit Netzwerkzugriffsberechtigungen 

In dieser Übung legen Sie in der Konsole Active Directory-Benutzer und -Computer ein 

Domänenbenutzerkonto an und gewähren ihm die Netzwerkzugriffsberechtigung Zugriff 

gestatten. 

1. Melden Sie sich auf DC1 als Domänenadministrator an nwtraders.msft an. 

2. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer, indem Sie im Startmenü 

auf Verwaltung und dann auf Active Directory-Benutzer und -Computer klicken. 

3. Erweitern Sie in der Konsolenstruktur von Active Directory-Benutzer und -Computer 

den Knoten nwtraders.msft, klicken Sie mit der rechten Maustaste auf Users und wählen 

Sie Neu/Benutzer.


4. Geben Sie auf der ersten Seite des Assistenten Neues Objekt – Benutzer Vornamen, 

Nachnamen und Benutzeranmeldenamen für den VPN-Benutzer in die entsprechenden 

Felder ein und klicken Sie auf Weiter. 

5. Geben Sie auf der zweiten Seite des Assistenten Neues Objekt – Benutzer ein Kennwort 

in die Textfelder Kennwort und Kennwort bestätigen ein. 

6. Deaktivieren Sie das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung 

ändern und klicken Sie auf Weiter. 

7. Klicken Sie auf der letzten Seite im Assistenten Neues Objekt – Benutzer auf Fertig 

stellen. 

8. Wählen Sie das gerade erstellte Benutzerkonto in der Konsole Active Directory-Benutzer 

und -Computer aus und öffnen Sie sein Eigenschaftendialogfeld. 

9. Klicken Sie im Eigenschaftendialogfeld auf die Registerkarte Einwählen und wählen Sie 

im Abschnitt Netzwerkzugriffsberechtigung die Option Zugriff gestatten aus. 

10. Klicken Sie auf OK, um das Eigenschaftendialogfeld des Benutzerkontos zu schließen. 

Übung 2 Installieren der Serverrollen Active Directory-Zertifikatdienste und Webserver (IIS) 

Hinweis Wenn Sie diese Serverrollen bereits installiert haben 

Sie können diese Übung überspringen, wenn Sie »Übung 2: Ausstellen eines nichtvertrauenswürdigen 

Zertifikats« in Lektion 2 von Kapitel 4, »Sicherheit«, durchgearbeitet haben. In 

diesem Fall haben Sie bereits die Rollendienste Zertifizierungsstelle und Zertifizierungsstellen-Webregistrierung 

der Serverrolle Active Directory-Zertifikatdienste auf dem Domänencontroller 

installiert. Sofern diese Rollendienste schon auf Ihrem Domänencontroller installiert 

sind, sollten Sie diese Übung überspringen und mit Übung 3 fortfahren. 

In dieser Übung installieren Sie die Rollendienste Zertifizierungsstelle und Zertifizierungsstellen-Webregistrierung 

der Serverrolle Active Directory-Zertifikatdienste. Wenn Sie den 

zweiten dieser Rollendienste auswählen, wird außerdem die Rolle Webserver (IIS) installiert. 

Diese Features werden gebraucht, um die Infrastruktur aufzubauen, die für IKEv2-fähige 

VPN-Verbindungen erforderlich ist. 

Arbeiten Sie die Schritte in dieser Übung durch, während Sie noch als Domänenadministrator 

an DC1 angemeldet sind. 

1. Wählen Sie im Server-Manager den Knoten Rollen aus und klicken Sie im Abschnitt 

Rollenübersicht der Detailansicht auf Rollen hinzufügen. 

Der Assistent "Rollen hinzufügen" wird geöffnet. 


3. Aktivieren Sie auf der Seite Serverrollen auswählen das Kontrollkästchen Active Directory-Zertifikatdienste 

und klicken Sie auf Weiter. 

4. Lesen Sie auf der Seite Einführung in Active Directory-Zertifikatdienste den angezeigten 

Text und klicken Sie auf Weiter. 

5. Aktivieren Sie auf der Seite Rollendienste auswählen die Kontrollkästchen Zertifizierungsstelle 

und Zertifizierungsstellen-Webregistrierung.


6. Klicken Sie im Dialogfeld Möchten Sie die erforderlichen Rollendienste und Features 

für Zertifizierungsstellen-Webregistrierung hinzufügen? auf Erforderliche Rollendienste 

hinzufügen. 


8. Stellen Sie auf der Seite Setuptyp angeben sicher, dass die Option Unternehmen ausgewählt 

ist, und klicken Sie auf Weiter. 

9. Stellen Sie auf der Seite Zertifizierungsstellentyp angeben sicher, dass die Option 

Stammzertifizierungsstelle ausgewählt ist, und klicken Sie auf Weiter. 

10. Stellen Sie auf der Seite Privaten Schlüssel einrichten sicher, dass die Option Neuen 

privaten Schlüssel erstellen ausgewählt ist, und klicken Sie auf Weiter. 

11. Klicken Sie auf der Seite Kryptografie für ZS konfigurieren auf Weiter, um die Standardeinstellungen 

für die Kryptografie zu übernehmen. 

12. Klicken Sie auf der Seite Name der Zertifizierungsstelle konfigurieren auf Weiter, um 

den vorgeschlagenen Namen und das Suffix für die Zertifizierungsstelle zu übernehmen. 

13. Klicken Sie auf der Seite Festlegen der Gültigkeitsdauer auf Weiter, um die Standardeinstellung 

für die Gültigkeitsdauer zu übernehmen. 

14. Klicken Sie auf der Seite Zertifikatdatenbank konfigurieren auf Weiter, um die Standardspeicherorte 

zu verwenden. 

15. Klicken Sie auf der Seite Webserver (IIS) auf Weiter. 

16. Klicken Sie auf der Seite Rollendienste auswählen auf Weiter, um die Standardeinstellungen 

zu verwenden. 

17. Klicken Sie im Dialogfeld Installationsauswahl bestätigen auf Installieren. 

Die Installation kann einige Minuten dauern. Sobald sie abgeschlossen ist, wird die Seite 

Installationsergebnisse angezeigt. 

18. Klicken Sie auf der Seite Installationsergebnisse auf Schließen. 

Übung 3 Generieren und Ausstellen einer Zertifikatvorlage 

Wenn Sie die Active Directory-Zertifikatdienste installiert haben, lassen Sie von der neuen 

Zertifizierungsstelle auf DC1 ein Serverzertifikat generieren. Dieses Serverzertifikat wird 

später benutzt, um den VPN-Server zu authentifizieren. 

In der Standardkonfiguration gibt es keine Zertifikatvorlage für das Serverzertifikat, das 

gebraucht wird, um einen VPN-Server für eine IKEv2-Verbindung zu authentifizieren. Bevor 

Sie bei der Zertifizierungsstelle ein solches Zertifikat anfordern können, müssen Sie daher 

eine Zertifikatvorlage erstellen, die die richtigen Einstellungen für die erweiterte Schlüsselverwendung 

(Extended Key Usage, EKU) hat: Serverauthentifizierung und IP-Sicherheits- 

IKE, dazwischenliegend. 

In dieser Übung erstellen Sie eine Zertifikatvorlage, die es Ihnen ermöglicht, ein Serverzertifikat 

mit den benötigten EKU-Optionen anzufordern. Arbeiten Sie die Schritte in dieser 

Übung durch, während Sie noch als Domänenadministrator an DC1 angemeldet sind. 

1. Öffnen Sie die Konsole Zertifizierungsstelle, indem Sie im Startmenü auf Verwaltung 

und dann auf Zertifizierungsstelle klicken.


2. Klappen Sie in der Konsolenstruktur von Zertifizierungsstelle den Knoten nwtraders- 

DC1-CA auf. 

3. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie den Befehl 

Verwalten. 

Das Fenster Zertifikatvorlagenkonsole wird geöffnet. 

4. Suchen Sie in der Detailansicht die Vorlage IPSec, klicken Sie den Eintrag mit der 

rechten Maustaste an und wählen Sie den Befehl Doppelte Vorlage. 

5. Stellen Sie im Dialogfeld Doppelte Vorlage sicher, dass die Option Windows Server 2003 

Enterprise ausgewählt ist, und klicken Sie auf OK. Das Dialogfeld Eigenschaften der 

neuen Vorlage wird geöffnet. 

6. Ändern Sie auf der Registerkarte Allgemein den Vorlagenanzeigenamen auf IKEv2- 

VPN. 

7. Aktivieren Sie auf der Registerkarte Anforderungsverarbeitung das Kontrollkästchen 

Exportieren von privatem Schlüssel zulassen. 

8. Wählen Sie auf der Registerkarte Antragstellername die Option Informationen werden in 

der Anforderung angegeben aus. Wenn sich daraufhin ein Meldungsfeld öffnet, können 

Sie es mit OK schließen. 

9. Stellen Sie auf der Registerkarte Erweiterungen sicher, dass Anwendungsrichtlinien ausgewählt 

ist, und klicken Sie auf Bearbeiten. 

Die Richtlinie IP-Sicherheits-IKE, dazwischenliegend ist bereits in der Liste der Anwendungsrichtlinien 

aufgelistet. 

10. Klicken Sie auf Hinzufügen, wählen Sie Serverauthentifizierung aus und klicken Sie auf 

OK. 

11. Klicken Sie auf OK, um zur Registerkarte Erweiterungen zurückzukehren. 

12. Klicken Sie auf OK, um die fertige Vorlage zu speichern. 

13. Schließen Sie das Fenster Zertifikatvorlagenkonsole. 

14. Klicken Sie in der Konsolenstruktur von Zertifizierungsstelle mit der rechten Maustaste 

auf Zertifikatvorlagen und wählen Sie den Befehl Neu/Auszustellende Zertifikatvorlage. 

15. Wählen Sie im Dialogfeld Zertifikatvorlagen aktivieren den Eintrag IKEv2-VPN aus und 

klicken Sie auf OK. 

16. Starten Sie DC1 neu. 

Übung 4 Konfigurieren des Windows Internet Explorers, damit er die 

Zertifikatveröffentlichung zulässt 

Die neue Zertifikatvorlage steht jetzt für die Benutzung in Zertifikatanforderungen zur Verfügung. 

Bevor Sie allerdings ein solches Zertifikat anfordern können, müssen Sie die Sicherheitseinstellungen 

des Windows Internet Explorers so konfigurieren, dass sie die Webseite 

Zertifikat veröffentlichen erlauben. 

1. Melden Sie sich als Domänenadministrator an DC1 an. 

2. Klicken Sie im Startmenü mit der rechten Maustaste auf Internet Explorer und wählen 

Sie den Befehl Als Administrator ausführen.


3. Klicken Sie auf Extras und dann auf Internetoptionen. 

4. Wählen Sie auf der Registerkarte Sicherheit unter Wählen Sie eine Zone aus, um deren 

Sicherheitseinstellungen festzulegen den Eintrag Lokales Intranet aus. 

5. Ändern Sie im Abschnitt Sicherheitsstufe dieser Zone die Sicherheitsstufe für die Zone 

Lokales Intranet von Niedrig auf Sehr niedrig und klicken Sie auf OK. 

Hinweis Es ist besser, die Stufe anzupassen 

In einer Produktivumgebung sollten Sie die einzelnen Einstellungen für ActiveX-Steuerelemente 

mithilfe von Stufe anpassen verändern, statt die gesamte Sicherheitsstufe herunterzusetzen. 

Übung 5 Anfordern eines Serverauthentifizierungszertifikats mit dem Internet Explorer 

Sobald Sie die Sicherheitseinstellungen des Internet Explorers angepasst haben, können Sie 

ihn benutzen, um Zertifikate auf dem lokalen Computer anzufordern und zu installieren. In 

dieser Übung führen Sie diese Aufgabe aus. Bleiben Sie dazu als Domänenadministrator auf 

DC1 angemeldet. 

1. Geben Sie http://localhost/certsrv in die Adressleiste des Internet Explorers ein und 

drücken Sie die EINGABETASTE. 

2. Klicken Sie unter Wählen Sie eine Aufgabe auf Ein Zertifikat anfordern. 

3. Klicken Sie unter Zertifikat anfordern auf erweiterte Zertifikatanforderung. 

4. Klicken Sie unter Erweiterte Zertifikatanforderung auf Eine Anforderung an diese 

Zertifizierungsstelle erstellen und einreichen. 

5. Klicken Sie im ersten Bestätigungsdialogfeld auf Ja, um das ActiveX-Steuerelement 

zuzulassen. 

6. Klicken Sie im zweiten Bestätigungsdialogfeld auf Ja, um den Zertifikatvorgang zu 

erlauben. 

7. Wählen Sie in der Dropdownliste Zertifikatvorlage den Eintrag IKEv2-VPN aus. 

8. Geben Sie unter Identifikationsinformationen im Feld Name den Namen 

DC1.nwtraders.msft ein. 

Hinweis Verwenden Sie in den Verbindungseinstellungen denselben Namen 

Dies ist der Antragstellername im Zertifikat. Er muss mit der Internetadresse in den 

IKEv2-Verbindungseinstellungen übereinstimmen, die sie in Übung 12 weiter unten 

konfigurieren. 

9. Stellen Sie unter Schlüsseloptionen sicher, dass das Kontrollkästchen Schlüssel als 

"Exportierbar" markieren aktiviert ist, und klicken Sie auf Einsenden. 

10. Klicken Sie in allen Bestätigungsdialogfeldern auf Ja. 

11. Klicken Sie auf Dieses Zertifikat installieren. Eine Meldung bestätigt, dass das Zertifikat 

installiert wurde.


Übung 6 Das neue Zertifikat in den Zertifikatspeicher des lokalen Computers verschieben 

In der Standardeinstellung wird das Serverauthentifizierungszertifikat, das Sie gerade angefordert 

und installiert haben, im persönlichen Zertifikatspeicher des Benutzers abgelegt. 

Damit das Zertifikat aber verwendet werden kann, muss es in den Zertifikatspeicher des 

lokalen Computers verschoben werden. Bleiben Sie dazu als Domänenadministrator auf 

DC1 angemeldet. 


GABETASTE. Es wird ein MMC-Fenster (Microsoft Management Console) mit dem 

Namen Konsole1 geöffnet. 

2. Klicken Sie in Konsole1 auf Datei und dann auf Snap-In hinzufügen/entfernen. 

3. Wählen Sie im Dialogfeld Snap-Ins hinzufügen bzw. entfernen unter Verfügbare Snap- 

Ins den Eintrag Zertifikate aus und klicken Sie auf Hinzufügen. 

4. Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Fertig stellen, um die Standardeinstellung 

Eigenes Benutzerkonto zu übernehmen. 

5. Klicken Sie im Dialogfeld Snap-Ins hinzufügen bzw. entfernen erneut auf Hinzufügen. 

Wählen Sie diesmal die Option Computerkonto aus und klicken Sie auf Weiter. 

6. Klicken Sie im Dialogfeld Computer auswählen auf Fertig stellen, um die Standardeinstellung 

Lokalen Computer zu übernehmen. 


8. Erweitern Sie in der Konsolenstruktur von Konsole1 die Zweige Zertifikate – Aktueller 

Benutzer und Eigene Zertifikate und klicken Sie auf Zertifikate. 

9. Klicken Sie in der Detailansicht mit der rechten Maustaste auf das Zertifikat DC1. 

nwtraders.msft und wählen Sie den Befehl Alle Aufgaben/Exportieren. Der Zertifikatexport-Assistent 

wird gestartet. 


11. Wählen Sie auf der Seite Privaten Schlüssel exportieren die Option Ja, privaten Schlüssel 

exportieren aus und klicken Sie auf Weiter. 

12. Klicken Sie auf der Seite Format der zu exportierenden Datei auf Weiter, um das Standarddateiformat 

zu verwenden. 

13. Tippen Sie auf der Seite Kennwort in beiden Textfeldern ein Kennwort ein und klicken 


14. Klicken Sie auf der Seite Zu exportierende Datei auf Durchsuchen. 

15. Klicken Sie unter Favoriten auf Desktop. 

16. Geben Sie im Textfeld Dateiname den Namen DC1cert ein und klicken Sie auf Speichern, 

um das Zertifikat auf dem Desktop zu speichern. 

17. Sie sind nun wieder auf der Seite Zu exportierende Datei. Klicken Sie auf Weiter. 

18. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen, um den Zertifikatexport-Assistenten 

zu schließen. Klicken Sie im Bestätigungsdialogfeld auf OK. 

19. Erweitern Sie in der Konsolenstruktur von Konsole1 die Zweige Zertifikate (Lokaler 

Computer) und dann Eigene Zertifikate.


20. Klicken Sie mit der rechten Maustaste auf Zertifikate und wählen Sie den Befehl Alle 

Aufgaben/Importieren. Der Zertifikatimport-Assistent wird geöffnet. 


22. Klicken Sie auf der Seite Zu importierende Datei auf Durchsuchen. 

23. Klicken Sie unter Favoriten auf Desktop. 

24. Wählen Sie in der Dropdownliste Dateityp den Eintrag Privater Informationsaustausch 

(*.pfx, *.p12) aus. 

25. Klicken Sie in der Liste der Dateien doppelt auf DC1cert. 

26. Klicken Sie auf der Seite Zu importierende Datei auf Weiter. 

27. Geben Sie auf der Seite Kennwort das Kennwort ein, das Sie dem Zertifikat in Schritt 13 

zugewiesen haben, und klicken Sie auf Weiter. 

28. Klicken Sie auf der Seite Zertifikatspeicher auf Weiter, um den Speicherort Eigene 

Zertifikate zu verwenden. 

29. Klicken Sie auf Fertig stellen, um den Assistenten zu schließen, und dann im Bestätigungsdialogfeld 

auf OK. 

Übung 7 Generieren eines Stammzertifikats 

In dieser Übung generieren Sie im Internet Explorer ein Stammzertifikat für die lokale Zertifizierungsstelle. 

Dieses Stammzertifikat wird später auf CLIENT1 importiert. Bleiben Sie 

als Domänenadministrator auf DC1 angemeldet. 

1. Tippen Sie http://localhost/certsrv in die Adressleiste des Internet Explorers ein und 


2. Klicken Sie unter Wählen Sie eine Aufgabe auf Download eines Zertifizierungsstellenzertifikats, 

einer Zertifikatkette oder einer Sperrliste. 

3. Klicken Sie auf Ja, um das ActiveX-Steuerelement zuzulassen, und dann erneut auf Ja, 

um den Zertifikatvorgang zu erlauben. 

4. Klicken Sie auf Download des Zertifizierungsstellenzertifikats. 

5. Speichern Sie das Zertifikat unter dem Namen RootCACert auf dem Desktop. 

Übung 8 Konfigurieren des VPN-Clients mit dem Stammzertifikat 

Diese Übung arbeiten Sie auf CLIENT1 durch. In der Übung installieren Sie das Stammzertifikat 

für die Zertifizierungsstelle, die das Serverauthentifizierungszertifikat ausgestellt 

hat. Dieser Schritt ist erforderlich, damit der Clientcomputer dem Serverauthentifizierungszertifikat 

vertraut und die VPN-Verbindung aufbaut. 

1. Melden Sie sich auf CLIENT1 als Domänenadministrator an nwtraders.msft an. 


GABETASTE. Es wird ein MMC-Fenster mit dem Namen Konsole1 geöffnet. 

3. Klicken Sie in Konsole1 auf Datei und dann auf Snap-In hinzufügen/entfernen. 

4. Wählen Sie unter Verfügbare Snap-Ins den Eintrag Zertifikate aus und klicken Sie auf 

Hinzufügen.


5. Wählen Sie im Dialogfeld Zertifikat-Snap-In die Option Computerkonto aus und klicken 


6. Klicken Sie im Dialogfeld Computer auswählen auf Fertig stellen, um die Standardeinstellung 

Lokalen Computer zu übernehmen. 


8. Erweitern Sie in der Konsolenstruktur von Konsole1 die Zweige Zertifikate (Lokaler 

Computer) und Vertrauenswürdige Stammzertifizierungsstellen. Klicken Sie mit der 

rechten Maustaste auf Zertifikate und wählen Sie den Befehl Alle Aufgaben/Importieren. 



10. Klicken Sie auf der Seite Zu importierende Datei auf Durchsuchen. 

11. Geben Sie im Fenster Öffnen den Pfad \\dc1.nwtraders.msft\c$\Users\ in die Adressleiste 

ein und drücken Sie die EINGABETASTE. 

12. Klicken Sie in der Liste der Ordner doppelt auf den Ordner, der dem Namen des Domänenadministratorkontos 

entspricht, unter dem Sie die vorherigen Übungen durchgearbeitet 

haben. Die Ordner dieses Benutzerkontos werden aufgelistet. 

13. Klicken Sie doppelt auf den Ordner Desktop, um ihn zu öffnen. 

14. Wählen Sie in der Dateiliste RootCACert aus und klicken Sie auf Öffnen. 

15. Auf der Seite Zu importierende Datei ist nun der vollständige Pfad des Zertifikats eingetragen. 


16. Klicken Sie auf der Seite Zertifikatspeicher auf Weiter, um den Zertifikatspeicher Vertrauenswürdige 

Stammzertifizierungsstellen als Speicherort für das Zertifikat zu verwenden. 

17. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen und dann auf 

OK, um das Meldungsfeld zu schließen, das Ihnen den erfolgreichen Import bestätigt. 

Übung 9 Installieren der Serverrolle Netzwerkrichtlinien- und Zugriffsdienste 

Diese Übung arbeiten Sie durch, während Sie als Domänenadministrator auf DC1 angemeldet 

sind. In der Übung fügen Sie mit dem Assistenten "Rollen hinzufügen" die Rollendienste 

Netzwerkrichtlinienserver und Routing- und RAS-Dienste hinzu. Diese beiden Rollendienste 

sind Komponenten der Serverrolle Netzwerkrichtlinien- und Zugriffsdienste. 

1. Öffnen Sie den Server-Manager. 

2. Wählen Sie in der Konsolenstruktur des Server-Managers den Knoten Rollen aus und 

klicken Sie im Abschnitt Rollenübersicht der Detailansicht auf Rollen hinzufügen. Der 

Assistent "Rollen hinzufügen" wird geöffnet. 


4. Aktivieren Sie auf der Seite Serverrollen auswählen das Kontrollkästchen Netzwerkrichtlinien- 

und Zugriffsdienste und klicken Sie auf Weiter. 

5. Klicken Sie auf der Seite Netzwerkrichtlinien- und Zugriffsdienste auf Weiter. 

6. Aktivieren Sie auf der Seite Rollendienste auswählen die Kontrollkästchen Netzwerkrichtlinienserver 

und Routing- und RAS-Dienste. Klicken Sie auf Weiter.


7. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren. 

8. Klicken Sie auf der Seite Installationsergebnisse auf Schließen. 

Übung 10 Konfigurieren von DC1 als VPN-Server 

In dieser Übung aktivieren und konfigurieren Sie den Routing- und RAS-Dienst, damit DC1 

Verbindungen von VPN-Clients entgegennehmen und aufbauen kann. Bleiben Sie dazu als 

Domänenadministrator auf DC1 angemeldet. 

1. Öffnen Sie die Konsole Routing und RAS, indem Sie im Startmenü auf Verwaltung und 

dann auf Routing und RAS klicken. 

2. Klicken Sie in der Konsolenstruktur von Routing und RAS mit der rechten Maustaste auf 

DC1 (lokal) und wählen Sie den Befehl Routing und RAS konfigurieren und aktivieren. 

3. Klicken Sie auf der Seite Willkommen des Setup-Assistenten für den Routing- und RAS- 

Server auf Weiter. 

4. Klicken Sie auf der Seite Konfiguration auf Weiter, um die Standardeinstellung RAS 

(DFÜ oder VPN) zu verwenden. 

5. Aktivieren Sie auf der Seite Remotezugriff das Kontrollkästchen VPN und klicken Sie 

auf Weiter. 

6. Stellen Sie auf der Seite VPN-Verbindung sicher, dass unter Netzwerkschnittstellen die 

Verbindung ausgewählt ist, die mit dem Netzwerk verbunden ist, an das DC1 und 

CLIENT1 angeschlossen sind. 

7. Deaktivieren Sie das Kontrollkästchen Sicherheit auf der ausgewählten Schnittstelle 

durch Einrichten statischer Paketfilter aktivieren und klicken Sie auf Weiter. 

Hinweis Aktivieren der Sicherheit für eine öffentliche Schnittstelle 

In einer Produktivumgebung sollten Sie die Sicherheit für die öffentliche Schnittstelle 

aktiviert lassen. Um die Verbindung in einer Testumgebung zu testen, können Sie sie 

ausnahmsweise deaktivieren. 

8. Klicken Sie auf der Seite IP-Adresszuweisung auf Weiter, um die Standardeinstellung 

Automatisch zu übernehmen. 

9. Klicken Sie auf der Seite Mehrere RAS-Server verwalten auf Weiter. In der Standardeinstellung 

werden Verbindungsanforderungen mit Routing und RAS authentifiziert. 

10. Klicken Sie auf der Seite Fertigstellen des Assistenten im Setup-Assistenten für den 

Routing- und RAS-Server auf Fertig stellen. 

11. Schließen Sie das Warnungsdialogfeld über mögliche Konflikte mit der NPS-Richtlinie 

mit OK. 

Übung 11 Konfigurieren der Netzwerkrichtliniendienste 

In dieser Übung aktivieren und konfigurieren Sie die RAS-Richtlinien, die für eine IKEv2- 

VPN-Verbindung benötigt werden. Arbeiten Sie diese Übung durch, während Sie als Domänenadministrator 

auf DC1 angemeldet sind. 

1. Öffnen Sie die Konsole Routing und RAS, sofern sie noch nicht offen ist.


2. Erweitern Sie in der Konsolenstruktur von Routing und RAS den Zweig DC1 (lokal). 

3. Wählen Sie den Knoten RAS-Protokollierung und -Richtlinien aus, klicken Sie den Knoten 

mit der rechten Maustaste an und wählen Sie den Befehl NPS starten. Die Konsole 

Netzwerkrichtlinienserver wird geöffnet. 

4. Klicken Sie in der Detailansicht im Abschnitt Netzwerkzugriffsrichtlinien auf den Link 

Netzwerkzugriffsrichtlinien. 

5. Klicken Sie in der Detailansicht im Abschnitt Netzwerkrichtlinien doppelt auf Connections 

to Microsoft Routing and Remote Access server (Verbindungen mit dem Microsoft 

Routing- und RAS-Server). Das Dialogfeld Eigenschaften von Connections to Microsoft 

Routing and Remote Access server wird geöffnet. 

6. Wählen Sie auf der Registerkarte Übersicht im Abschnitt Zugriffsberechtigung die Option 

Zugriff gewähren. Der Zugriff wird gewährt, wenn die Verbindungsanforderung dieser 

Richtlinie entspricht. 

7. Wählen Sie die Registerkarte Einschränkungen aus. In der Liste Einschränkungen ist 

standardmäßig Authentifizierungsmethoden ausgewählt. Im rechten Fensterabschnitt sind 

zwei EAP-Typen aufgeführt: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2) und 

Microsoft: Smartcard- oder anderes Zertifikat. In dieser Übung brauchen Sie nur die 

erste Authentifizierungsmethode. 

8. Wählen Sie Microsoft: Smartcard- oder anderes Zertifikat aus und klicken Sie auf Entfernen, 

um diesen EAP-Typ zu löschen. 

9. Klicken Sie auf OK, um Ihre Änderungen zu speichern. 


Übung 12 Erstellen der VPN-Verbindung auf dem VPN-Client 

In dieser Übung erstellen Sie auf CLIENT1 eine VPN-Verbindung, mit der Sie später eine 

Verbindung zu DC1 aufbauen. 

1. Melden Sie sich auf CLIENT1 als Domänenadministrator an der Domäne nwtraders.msft 

an, sofern noch nicht geschehen. 

2. Geben Sie im Suchfeld des Startmenüs Netzwerk- und Freigabecenter ein und drücken 

Sie die EINGABETASTE. Das Netzwerk- und Freigabecenter wird geöffnet. 

3. Klicken Sie auf Neue Verbindung oder neues Netzwerk einrichten. 

4. Klicken Sie auf Verbindung mit dem Arbeitsplatz herstellen und dann auf Weiter. 

5. Klicken Sie auf Die Internetverbindung (VPN) verwenden. 

6. Klicken Sie auf Eine Internetverbindung wird später eingerichtet. 

7. Geben Sie im Textfeld Internetadresse den Namen DC1.nwtraders.msft ein. Lassen Sie 

VPN-Verbindung als Zielnamen unverändert und klicken Sie auf Weiter. 

8. Geben Sie in den Textfeldern Benutzername und Kennwort den Namen und das Kennwort 

des VPN-Benutzerkontos ein, das Sie in Übung 1 erstellt haben. 

9. Aktivieren Sie das Kontrollkästchen Dieses Kennwort speichern. 

10. Geben Sie im Textfeld Domäne (optional) den Namen nwtraders.msft. 

11. Klicken Sie auf Erstellen und dann auf Schließen.


Übung 13 Konfigurieren und Testen der VPN-Verbindung 

In dieser Übung überprüfen Sie, ob Sie eine VPN-Verbindung zwischen CLIENT1 und DC1 

aufbauen können. Bleiben Sie dazu als Domänenadministrator auf CLIENT1 angemeldet. 

1. Klicken Sie im Netzwerk- und Freigabecenter auf Adaptereinstellungen ändern. 

2. Klicken Sie doppelt auf VPN-Verbindung und dann auf die Schaltfläche Eigenschaften. 

3. Wählen Sie auf der Registerkarte Sicherheit in der Dropdownliste VPN-Typ den Eintrag 

IKEv2 aus und klicken Sie auf OK. 

4. Klicken Sie im Dialogfeld Verbindung mit "VPN-Verbindung" auf Verbinden. Der Benutzer 

wird authentifiziert und die VPN-Verbindung wird erfolgreich aufgebaut. 


In einem Windows-Netzwerk umfasst eine VPN-Infrastruktur mindestens einen VPN- 

Client, einen VPN-Server, auf dem RRAS läuft, und einen DNS-Server. Meist werden 

aber weitere Komponenten benutzt, zum Beispiel ein Domänencontroller, ein Zertifikatserver/PKI, 

ein DHCP-Server und ein NPS-Server. 

In Windows 7 stehen vier VPN-Tunnelprotokolle zur Auswahl. Ein Windows 7-VPN- 

Client versucht, die Tunnelprotokolle in folgender Reihenfolge auszuhandeln: IKEv2, 

SSTP, L2TP/IPSec und PPTP. 

IKEv2 ist ein neues Tunnelprotokoll, das Windows 7 und Windows Server 2008 R2 

voraussetzt. Ein Vorteil von IKEv2 ist, dass es VPN-Reconnect unterstützt. Bei diesem 

Feature kann ein Client zwischen Drahtloszugriffspunkten wechseln, ohne dass die 

VPN-Verbindung verloren geht. 

Beim Versuch, eine VPN-Verbindung aufzubauen, kontaktiert ein VPN-Client zuerst den 

VPN-Server und sendet ihm eine Anforderung nach einem Tunnelprotokoll. Die Bedingungen 

für den VPN-Tunnel werden ausgehandelt, der danach erstellt wird. Es folgt die 

Remotezugriffsauthentifizierung des Benutzers (und manchmal des Computers). Wird 

festgestellt, dass der Benutzer und die Verbindungsanforderung für den Remotezugriff 

autorisiert sind, wird schließlich die VPN-Verbindung hergestellt. 



»Grundlagen von VPN-Clientverbindungen«, überprüfen. Die Fragen finden Sie (in englischer 

Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im 

Rahmen eines Übungstests beantworten. 




1. Sie arbeiten als Desktopsupporttechniker in einem großen Unternehmen. Das Unternehmen 

hat vor Kurzem alle Clientcomputer auf Windows 7 Enterprise aufgerüstet. Alle 

Server laufen unter Windows Server 2008.


Ihr Unternehmen beschäftigt viele mobile Benutzer, die über ein VPN auf das Unternehmensnetzwerk 

zugreifen. Ihre VPN-Benutzer beschweren sich, dass sie ihre VPN- 

Verbindung verlieren, wenn sie sich über WLAN mit dem Internet verbinden und von 

einem Drahtloszugriffspunkt zum andern wechseln. Sie wollen, dass sich die VPN- 

Benutzer von einem Drahtloszugriffspunkt zum anderen bewegen können, ohne dass 

ihre Verbindung unterbrochen wird. Wie erreichen Sie das? 

A. Weisen Sie die VPN-Benutzer an, in den Adaptereinstellungen der VPN-Verbindung 

SSTP als VPN-Typ auszuwählen. 

B. Weisen Sie die VPN-Benutzer an, in den Adaptereinstellungen der VPN-Verbindung 

die höchste Verschlüsselungsstärke zu konfigurieren. 

C. Konfigurieren Sie den Windows-Server, der als VPN-Server agiert, so, dass er die 

Authentifizierung an einen NPS-Server weiterleitet. 

D. Aktualisieren Sie den Windows-Server, der als VPN-Server agiert, auf Windows 

Server 2008 R2. 

2. Welche der folgenden Aktionen müssen Sie ausführen, damit ein Windows 7-Client über 

ein IKEv2-VPN auf das Unternehmensnetzwerk zugreifen kann? 

A. Installieren Sie das VPN-Serverzertifikat auf dem Windows 7-Client. 

B. Stellen Sie sicher, dass das Stammzertifikat der Zertifizierungsstelle, die das Serverzertifikat 

des VPN-Server ausgestellt hat, auf dem Windows 7-Client im Zertifikatspeicher 

Vertrauenswürdige Stammzertifizierungsstellen installiert ist. 

C. Stellen Sie in den Eigenschaften der VPN-Verbindung auf dem Windows 7-Client als 

VPN-Typ IKEv2 ein. 

D. Besorgen Sie ein Computerzertifikat für den Windows 7-Client.


Lektion 2: Grundlagen von DirectAccess-Clientverbindungen 

DirectAccess ist ein neues Feature in Windows 7 und Windows Server 2008 R2. Es verbindet 

einen Remotebenutzer von jeder beliebigen Position im Internet aus automatisch und transparent 

mit einem privaten Unternehmensnetzwerk. DirectAccess soll später einmal herkömmliche 

VPNs völlig ersetzen, bei denen die Benutzer selbst eine VPN-Verbindung 

aufbauen müssen, sobald ihr Computer mit dem Internet verbunden ist. Diese Lektion bietet 

einen Überblick über die Vorteile von DirectAccess, beschreibt, wie es funktioniert, und 

erklärt, wie Sie Probleme mit den Einstellungen auf dem DirectAccess-Client beseitigen. 


Beschreiben der Vorteile von DirectAccess 

Beschreiben der Anforderungen und Features einer DirectAccess-Infrastruktur 

Beschreiben, mit welchen Schritten eine DirectAccess-Verbindung aufgebaut wird 

Durchführen einer grundlegenden Problembehandlung für DirectAccess-Clientverbindungen 


Überblick über DirectAccess 

DirectAccess ist eine neue Technologie, die automatisch eine bidirektionale Verbindung 

zwischen dem Computer eines Remotebenutzers und dem Unternehmensintranet dieses 

Benutzers herstellt. Der Remotebenutzer braucht die Verbindung ins Intranet nicht von Hand 

herzustellen. Die Administratoren können die Remotecomputer, die außerhalb des Unternehmens 

benutzt werden, über dieselbe DirectAccess-Verbindung verwalten. DirectAccess 

wird in Windows 7 Enterprise, Windows 7 Ultimate und Windows Server 2008 R2 unterstützt. 

Einschränkungen von VPNs 

Bisher greifen die meisten Benutzer über ein VPN auf Intranetressourcen zu. Die Verwendung 

eines VPNs hat aber eine Reihe von Nachteilen: 

Es erfordert mehrere Schritte, die Verbindung zu einem VPN aufzubauen, und der Benutzer 

muss auf die Authentifizierung warten. Bei Organisationen, die die Systemintegrität 

eines Computers überprüfen, bevor sie die Verbindung zulassen, kann es mehrere 

Minuten dauern, bis eine VPN-Verbindung hergestellt ist. 

Jedes Mal, wenn Benutzer ihre Internetverbindung verlieren, müssen sie die VPN-Verbindung 

neu aufbauen. 

VPN-Clientcomputer werden normalerweise nicht durch Gruppenrichtlinien gesteuert. 

Die Internetleistung wird verschlechtert, wenn sowohl Intranet- als auch Internetverkehr 

über die VPN-Verbindung läuft. 

Aufgrund dieser Nachteile scheuen es viele Benutzer, ein VPN zu verwenden. Stattdessen 

nutzen sie Anwendungsgateways wie Microsoft Outlook Web Access (OWA), um eine Verbindung 

zu Intranetressourcen herzustellen. Mit OWA können die Benutzer interne E-Mail 

abrufen, ohne eine VPN-Verbindung aufzubauen. Allerdings müssen die Benutzer trotzdem

Lektion 2: Grundlagen von DirectAccess-Clientverbindungen 255 

eine Verbindung über ein VPN aufbauen, um Dokumente zu öffnen, die in Intranetdateifreigaben 

liegen; das ist oft der Fall, wenn Dokumente in einer E-Mail-Nachricht verlinkt sind. 

Vorteile von DirectAccess 

DirectAccess beseitigt die Einschränkungen von VPNs, indem es Unternehmen und ihren 

Benutzern folgende Vorteile bietet: 

Dauerhafte Konnektivität Im Unterschied zu einem VPN ist eine DirectAccess-Verbindung 

ständig aktiv, sogar schon bevor sich der Benutzer an seinem Computer anmeldet. 

Nahtlose Konnektivität Für den Benutzer ist die DirectAccess-Verbindung zum 

Unternehmensnetzwerk völlig transparent. Abgesehen von der Verzögerung, die bei 

einer langsamen Internetverbindung unvermeidlich ist, sieht es für den Benutzer genauso 

aus, als würde er mit seinem Computer direkt im Büro am Unternehmensnetzwerk 

arbeiten. 

Bidirektionaler Zugriff Bei DirectAccess hat nicht nur der Remotecomputer des 

Benutzers Zugriff auf das Unternehmensintranet, das Intranet sieht auch den Computer 

des Benutzers. Das bedeutet, dass der Remotecomputer über Gruppenrichtlinien und 

andere Verwaltungstools verwaltet werden kann, genauso wie die Computer, die direkt 

im internen Netzwerk liegen. 

Verbesserte Sicherheit DirectAccess bietet Administratoren mehr Flexibilität, weil sie 

den Zugriff auf interne Ressourcen für Remotebenutzer und ihre Computer genau steuern 

können. Beispielsweise kann DirectAccess so konfiguriert werden, dass es nur Benutzerzugriff 

auf ausgewählte Ressourcen erlaubt. Außerdem ist DirectAccess vollständig 

in Server- und Domänenisolierungslösungen und die NAP-Infrastruktur integriert. So ist 

sichergestellt, dass Sicherheits-, Zugriffs- und Integritätsrichtlinien sowohl für lokale als 

auch Remotecomputer durchgesetzt werden. 

Zusätzlich enthält DirectAccess folgende Sicherheitsfeatures: 

DirectAccess baut auf standardisierten Technologien auf: IPSec und IPv6. 

DirectAccess nutzt IPSec, um sowohl den Computer als auch den Benutzer zu 

authentifizieren. Bei Bedarf können Sie die Verwendung einer Smartcard für die 

Benutzerauthentifizierung erzwingen. 

DirectAccess nutzt IPSec auch, um die Kommunikation, die über das Internet läuft, 

zu verschlüsseln. 

Grundlagen von DirectAccess und IPv6-Übergangstechnologien 

DirectAccess-Clients müssen global routingfähige IPv6-Adressen haben. In Organisationen, 

die bereits eine native IPv6-Infrastruktur haben, lässt sich die vorhandene Infrastruktur ganz 

einfach auf DirectAccess-Clientcomputer ausdehnen. Die Clientcomputer können dabei 

weiterhin mit IPv4 auf Internetressourcen zugreifen. 

Für Organisationen, die IPv6 noch nicht eingeführt haben, stehen mehrere IPv6-Übergangstechnologien 

zur Verfügung, um die Einführung einer IPv6-Bereitstellung einzuleiten, ohne 

dass die gesamte Infrastruktur aufgerüstet werden muss. 

Diese Technologien werden in den nächsten Abschnitten beschrieben.


ISATAP 

Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) ist ein Tunnelprotokoll, über das 

ein IPv6-Netzwerk mit einem IPv4-Netzwerk kommunizieren kann. Dazu wird ein ISATAP- 

Router verwendet (Abbildung 6.14). 

Abbildung 6.14 ISATAP-Router ermöglichen es reinen IPv4- und reinen IPv6-Hosts, 

miteinander zu kommunizieren 

ISATAP ermöglicht es IPv4- und IPv6-Hosts, miteinander zu kommunizieren. Dazu wird 

eine Art Adressumsetzung zwischen IPv4 und IPv6 durchgeführt. Bei diesem Vorgang erhalten 

alle ISATAP-Clients eine Adresse für eine ISATAP-Schnittstelle. Diese Adresse entsteht 

dadurch, dass eine IPv4-Adresse innerhalb einer IPv6-Adresse gekapselt wird. 

ISATAP ist für den Einsatz innerhalb eines privaten Netzwerks gedacht. 

6to4 

6to4 ist ein Protokoll, das IPv6-Verkehr mithilfe von 6to4-Routern über IPv4-Verkehr tunnelt. 

In die IPv6-Adresse von 6to4-Clients ist die IPv4-Adresse ihres Routers eingebettet, sie 

brauchen keine IPv4-Adresse. Während ISATAP in erster Linie für Intranets gedacht ist, 

wird 6to4 im Internet eingesetzt. Sie können mithilfe von 6to4 Verbindungen zu IPv6-Abschnitten 

des Internets herstellen, die über ein 6to4-Relay laufen. Das funktioniert sogar, 

wenn Ihr Intranet oder Ihr Internetprovider nur IPv4 unterstützt. 

Abbildung 6.15 zeigt den Aufbau eines 6to4-Netzwerks. 

Abbildung 6.15 Mit 6to4 können reine IPv6-Hosts über das Internet kommunizieren 

Teredo 

Teredo ist ein Tunnelprotokoll, mit dem Clients, die hinter einem IPv4-NAT-Gerät liegen, 

IPv6 über das Internet verwenden können. Teredo wird nur eingesetzt, wenn keine andere 

IPv6-Übergangstechnologie (wie 6to4) zur Verfügung steht. 

Teredo benötigt eine Infrastruktur, die Teredo-Clients, Teredo-Server, Teredo-Relays und 

hostspezifische Teredo-Relays umfasst (Abbildung 6.16).


Abbildung 6.16 Teredo ermöglicht es Hosts, die hinter einem Router liegen, der IPv4-NAT 

durchführt, mit IPv6 untereinander oder mit reinen IPv6-Hosts über das Internet zu kommunizieren 

Teredo-Client Ein Teredo-Client ist ein Computer, auf dem sowohl IPv6 als auch IPv4 

aktiviert sind und der hinter einem Router liegt, der IPv4-NAT durchführt. Der Teredo- 

Client legt eine Teredo-Tunnelschnittstelle an und konfiguriert mithilfe des Teredo-Servers 

eine routingfähige IPv6-Adresse. Über diese Schnittstelle kommunizieren Teredo- 

Clients mit anderen Teredo-Clients oder mit Hosts im IPv6-Internet (über ein Teredo- 

Relay). 

Teredo-Server Ein Teredo-Server ist ein öffentlicher Server, der sowohl mit dem 

IPv4-Internet als auch dem IPv6-Internet verbunden ist. Der Teredo-Server hilft dabei, 

die Adresskonfiguration des Teredo-Clients durchzuführen, und leitet die Kommunikation 

entweder zwischen zwei Teredo-Clients oder zwischen einem Teredo-Client und 

einem IPv6-Host ein. 

Um die Kommunikation zwischen Windows-basierten Teredo-Clientcomputern zu ermöglichen, 

hat Microsoft Teredo-Server im IPv4-Internet bereitgestellt. 

Teredo-Relay Ein Teredo-Relay ist ein Teredo-Tunnelendpunkt. Das ist ein IPv6/IPv4- 

Router, der Pakete zwischen Teredo-Clients im IPv4-Internet und reinen IPv6-Hosts 

weiterleiten kann. 

Hostspezifisches Teredo-Relay Ein hostspezifisches Teredo-Relay ist ein Host, auf 

dem sowohl IPv4 als auch IPv6 aktiviert sind und der als sein eigenes Teredo-Relay agiert. 

Ein hostspezifisches Teredo-Relay erlaubt es einem Teredo-Client, der eine globale IPv6- 

Adresse hat, durch das IPv4-Internet zu tunneln und direkt mit Hosts zu kommunizieren, 

die ans IPv6-Internet angeschlossen sind.


IP-HTTPS 

IP-HTTPS ist ein neues Protokoll, das von Microsoft für Windows 7 und Windows Server 

2008 R2 entwickelt wurde. Er ermöglicht es Hosts, die hinter einem Webproxyserver oder 

einer Firewall liegen, Verbindungen herzustellen, indem sie IPv6-Pakete innerhalb einer 

IPv4-HTTPS-Sitzung (Hypertext Transfer Protocol Secure) tunneln. Statt HTTP wird HTTPS 

benutzt, damit Webproxyserver nicht versuchen, den Datenstrom zu analysieren, und die 

Verbindung abbrechen. IP-HTTPS wird als Ausweichlösung für DirectAccess-Clients verwendet, 

wenn weder 6to4 noch Teredo zur Verfügung stehen. 

IPv6/IPv4-NAT 

Manche NAT-Router können Verbindungen zwischen globalen IPv6-Adressen und privaten 

IPv4-Adressen herstellen. Um diese Funktion zu gewährleisten, implementieren die meisten 

dieser Geräte die Standards NAT-PT (Network Address Translation/Protocol Translation) 

oder NAPT-PT (Network Address Port Translation + Protocol Translation), wie in RFC 2766 

definiert. Diese beiden Technologien stehen in einigen Netzwerken zwar noch zur Verfügung, 

wurden aber von der IETF (Internet Engineering Task Force) aufgrund technischer 

Probleme verworfen. NAT64 ist ein anderer Mechanismus, der diese Aufgabe in Zukunft 

übernehmen soll. 

Hinweis Konfigurieren von IPv6-Einstellungen in Gruppenrichtlinien 

Sie können Clienteinstellungen für IPv6-Übergangstechnologien in den Richtlinien für den 

lokalen Computer oder Gruppenrichtlinien konfigurieren. Diese Einstellungen befinden 

sich bei einem Gruppenrichtlinienobjekt im Knoten Computerkonfiguration\Richtlinien\ 

Administrative Vorlagen\Netzwerk\TCPIP-Einstellungen\IPv6-Übergangstechnologien. 

Elemente der DirectAccess-Infrastruktur 

Abbildung 6.17 zeigt die wichtigsten Elemente einer DirectAccess-Infrastruktur. Dazu gehören 

allgemeine Anforderungen an die Netzwerkinfrastruktur, beispielsweise eine PKI (mit 

Zertifizierungsstelle und Sperrlisten-Verteilungspunkt), Domänencontroller, IPv6-Übergangstechnologien 

und DNS-Server. Eine DirectAccess-Infrastruktur umfasst auch die Elemente, 

die den Kern der DirectAccess-Lösung bilden; dazu gehören DirectAccess-Clients, Direct- 

Access-Server und ein Netzwerkadressenserver. 

Der folgende Abschnitt beschreibt diese Elemente einer DirectAccess-Infrastruktur genauer. 

DirectAccess-Server 

Mindestens ein Server in der Domäne muss unter Windows Server 2008 R2 laufen, damit er 

als DirectAccess-Server agieren kann. Dieser Server liegt üblicherweise in Ihrem Perimeternetzwerk 

und agiert sowohl als Relay für IPv6-Verkehr als auch als IPSec-Gateway. Der 

Server kann Verbindungen von DirectAccess-Clients entgegennehmen und (wie ein VPN- 

Server) die Kommunikation mit Intranetressourcen ermöglichen. Der DirectAccess-Server 

muss mit zwei physischen Netzwerkkarten ausgerüstet sein und mindestens zwei aufeinanderfolgende, 

öffentlich erreichbare IPv4-Adressen haben, die extern über das Internet-DNS 

aufgelöst werden.

Abbildung 6.17 Aufbau einer DirectAccess-Infrastruktur 


Sie richten einen DirectAccess-Server ein, indem Sie im Server-Manager von Windows 

Server 2008 R2 das Feature DirectAccess-Verwaltungskonsole hinzufügen. Starten Sie dann 

den DirectAccess-Setup-Assistenten in dieser Konsole, um den Server zu konfigurieren. 

DirectAccess-Client 

Clientcomputer müssen Domänenmitglieder sein und unter Windows 7 Enterprise oder 

Ultimate laufen, damit DirectAccess eingesetzt werden kann. Sie richten Computer als 

DirectAccess-Clients ein, indem Sie sie zu einer Windows-Gruppe hinzufügen und dann 

diese Gruppe angeben, wenn Sie den DirectAccess-Setup-Assistenten auf dem DirectAccess- 

Server ausführen. 

Damit DirectAccess-Clients Internet- von Intranetverkehr trennen können, enthalten Windows 

7 und Windows Server 2008 R2 die NRPT (Name Resolution Policy Table). Die 

NRPT wird nur über Richtlinien für den lokalen Computer oder Gruppenrichtlinien auf 

Clients angewendet, sie kann nicht lokal auf dem Client konfiguriert werden. Sie finden die 

NRPT-Einstellungen in einem GPO im Knoten Computerkonfiguration\Richtlinien\Windows- 

Einstellungen\Namensauflösungsrichtlinie.


Hinweis Was ist die NRPT? 

Die NRPT ist ein neues Feature, das es einem Client erlaubt, eine DNS-Serveradresse 

bestimmten Namespaces zuzuweisen statt bestimmten Schnittstellen. Die NRPT speichert 

praktisch eine Liste der Namensauflösungsregeln, die über Gruppenrichtlinien auf Clients 

angewendet werden. Jede Regel definiert einen DNS-Namespace und das Verhalten des 

DNS-Clients für diesen Namespace. Wenn ein DirectAccess-Client sich im Internet befindet, 

wird jede Namensabfrageanforderung mit den Namespaceregeln verglichen, die in der NRPT 

gespeichert sind. Wird eine Übereinstimmung gefunden, wird die Anforderung anhand der 

Einstellungen in der NRPT-Regel verarbeitet. Die Einstellungen legen fest, an welche DNS- 

Server eine Anforderung gesendet wird. 

Stimmt eine Namensabfrageanforderung mit keinem Namespace überein, der in der NRPT 

aufgelistet ist, wird sie an die DNS-Server geschickt, die in den TCP/IP-Einstellungen für 

die angegebene Netzwerkschnittstelle konfiguriert sind. 

Netzwerkadressenserver 

Ein Netzwerkadressenserver (network location server) ist ein Webserver, auf den ein Direct- 

Access-Client zugreift, um zu ermitteln, ob der Client im Intranet oder im Internet liegt. Der 

DirectAccess-Server kann als Netzwerkadressenserver fungieren, es ist aber besser, für diesen 

Zweck stattdessen einen eigenen, hochverfügbaren Webserver einzusetzen. Dieser separate 

Webserver braucht nicht auf die Aufgabe als Netzwerkadressenserver beschränkt zu sein. Sie 

können die Einstellungen für den Netzwerkadressenserver in Richtlinien für den lokalen 

Computer oder Gruppenrichtlinien konfigurieren. Sie finden die Einstellungen in einem 

Gruppenrichtlinienobjekt im Knoten Computerkonfiguration\Richtlinien\Administrative 

Vorlagen\Netzwerk\Netzwerkverbindungs-Statusanzeige. 


Für DirectAccess wird eine AD DS-Infrastruktur gebraucht. Mindestens ein Domänencontroller 

in der Domäne muss unter Windows Server 2008 oder neuer laufen. 

IPv6-fähiges Netzwerk 

DirectAccess verwendet IPv6, damit Remoteclientcomputer Verbindung zu Intranetressourcen 

über eine Internetverbindung herstellen können. Weil der Großteil des öffentlichen Internets 

momentan aber mit IPv4 arbeitet, setzen DirectAccess-Clients IPv6-Übergangstechnologien 

ein, wo keine IPv6-Konnektivität vorhanden ist. DirectAccess-Clients versuchen, 

Verbindungsmethoden in folgender Reihenfolge auszuwählen: 

1. Natives IPv6 Diese Methode wird genutzt, wenn dem DirectAccess-Client eine global 

routingfähige IPv6-Adresse zugewiesen ist. 

2. 6to4 Diese Methode wird benutzt, wenn dem DirectAccess-Client eine öffentliche 

IPv4-Adresse zugewiesen ist. 

3. Teredo Diese Methode wird genutzt, wenn dem DirectAccess-Client eine private 

IPv4-Adresse zugewiesen ist. 

4. IP-HTTPS Diese Methode wird versucht, wenn alle anderen Methoden fehlschlagen.


Damit Remoteclientcomputer Computer im internen Unternehmensnetzwerk über Direct- 

Access erreichen können, müssen die internen Computer vollständig IPv6-kompatibel sein. 

Computer in Ihrem IPv4-Netzwerk sind vollständig IPv6-kompatibel, wenn eine der folgenden 

Aussagen zutrifft: 

Die Computer laufen unter Windows 7, Windows Vista, Windows Server 2008 oder 

Windows Server 2008 R2. 

Sie haben in Ihrem Intranet ISATAP bereitgestellt, damit interne Server und Anwendungen 

erreicht werden können, indem IPv6-Verkehr über Ihr reines IPv4-Intranet getunnelt 

wird. 

Sie verwenden ein NAT-PT-Gerät, um Verkehr zwischen Ihren DirectAccess-Clients und 

Ihren Intranetcomputern umzusetzen, die nur IPv4 unterstützen. 

IPSec 

DirectAccess greift auf IPSec zurück, um Endpunkt-zu-Endpunkt-Sicherheit für Remoteclientcomputer 

zu gewährleisten, die auf Ressourcen im internen Unternehmensnetzwerk 

zugreifen. Für die Authentifizierung und Verschlüsselung aller DirectAccess-Verbindungen 

werden IPsec-Richtlinien benutzt. Diese Richtlinien werden mithilfe von Gruppenrichtlinien 

auf Clientcomputern konfiguriert und angewendet. 

PKI 

Es wird eine PKI gebraucht, um Computerzertifikate für die Client- und Serverauthentifizierung 

auszustellen. Sie ist außerdem nötig, um Integritätszertifikate auszustellen, wenn 

NAP bereits implementiert ist. Diese Zertifikate können von einer Zertifizierungsstelle im 

internen Netzwerk ausgestellt werden; Sie brauchen dafür keine öffentliche Zertifizierungsstelle 

zu beauftragen. 

Sperrlisten-Verteilungspunkte 

In einer DirectAccess-Infrastruktur sind Sperrlisten-Verteilungspunkte (Certificate Revocation 

List Distribution Point, CDP) die Server, die Zugriff auf die Zertifikatsperrliste bieten, 

die von der Zertifizierungsstelle veröffentlicht wird, die Zertifikate für DirectAccess ausstellt. 

Es sollten getrennte CDPs für interne Clients im Unternehmensnetzwerk und externe Clients 

im Internet bereitgestellt werden. 

Ausnahmen für die Perimeterfirewall 

In der Perimeterfirewall Ihres Unternehmensnetzwerks müssen folgende Ports geöffnet 

werden, um DirectAccess zu unterstützen: 

UDP-Port 3544 für eingehenden Teredo-Verkehr 

IPv4-Protokoll 41 für eingehenden 6to4-Verkehr 

TCP-Port 443 für eingehenden IP-HTTPS-Verkehr 

Wenn Sie Clientcomputer unterstützen wollen, die native IPv6-Adressen haben, müssen 

zusätzlich folgende Ausnahmen geöffnet werden: 

ICMPv6 

IPv4-Protokoll 50


Weitere Informationen Bereitstellen von DirectAccess 

Informationen, wie Sie eine DirectAccess-Lösung für Ihre Organisation bereitstellen, finden 

Sie im Abschnitt zu DirectAccess im Networking and Access Technologies TechCenter auf 

Microsoft TechNet unter http://technet.microsoft.com/en-us/network/dd420463.aspx. 

DirectAccess-Clienteinstellungen für IPv6 von Hand konfigurieren 

DirectAccess-Clients werden zwar normalerweise automatisch konfiguriert, wenn Sie auf 

dem DirectAccess-Server den DirectAccess-Setup-Assistenten ausführen, aber Sie können 

IPv6-Einstellungen auf den Clients auch von Hand konfigurieren, um Verbindungsprobleme 

zu beseitigen. Verwenden Sie die Angaben aus Tabelle 6.2, um Remoteclients mit der richtigen 

IPv6-Übergangstechnologie zu konfigurieren: Teredo, 6to4 oder IP-HTTPS. 

Tabelle 6.2 Manuelle IPv6-Konfiguration für DirectAccess-Clients 

Aufgabe Befehl Gruppenrichtlinieneinstellung 

Konfigurieren des Teredo- netsh interface teredo Computerkonfiguration\Richtlinien\ 

Clients als Unternehmens- set state type= 

Administrative Vorlagen\Netzwerk\TCPIPclient 

und Konfigurieren der enterpriseclient Einstellungen\IPv6-Übergangstechnolo- 

IPv4-Adresse des Teredo- servername= 

und 

Computerkonfiguration\Richtlinien\ 

Administrative Vorlagen\Netzwerk\TCPIP- 

Einstellungen\IPv6-Übergangstechnologien\Teredo-Servername= 

Konfigurieren der öffent- netsh interface 6to4 set Computerkonfiguration\Richtlinien\ 

lichen IPv4-Adresse des relay name= gien\IPv6-zu-IPv4-Relayname= 

Aktivieren des IP-HTTPS- netsh interface 

Computerkonfiguration\Richtlinien\ 

Clients und Konfigurieren httpstunnel add interface Administrative Vorlagen\Netzwerk\TCPIPdes 

IP-HTTPS-URL (Uni- client https:/// logien\IP-HTTPS-Status=Aktiviert und 

IPHTTPS 

IP-HTTPS-URL=https://: 443/IPHTTPS 

IPv6-Internetfeatures auf dem DirectAccess-Server von Hand konfigurieren 

Im Rahmen einer Problembehandlung können Sie Ihre DirectAccess-Server von Hand für 

Teredo, 6to4 und IP-HTTPS konfigurieren. Verwenden Sie die Befehl aus Tabelle 6.3, um 

die gewünschten Einstellungen zu konfigurieren.


Tabelle 6.3 Konfigurieren von DirectAccess-Internetfeatures 

Feature Aufgabe Befehl 

Teredo-Server Konfigurieren von Teredo mit netsh interface ipv6 set teredo server 

IPv6-Schnitt- Konfigurieren der IPv6- Führen Sie den folgenden Befehl für die 6to4- und 

stellen 

Schnittstellen für das richtige Teredo-Schnittstellen aus: 

Weiterleitungs- und Ankündi- netsh interface ipv6 set interface 

gungsverhalten 

forwarding=enabled 

Ist eine LAN-Schnittstelle mit einer nativen IPv6- 

Adresse vorhanden, lautet der Befehl: 

netsh interface ipv6 set interface 

forwarding=enabled 

Bei einer IP-HTTPS-Schnittstelle führen Sie 

diesen Befehl aus: 

netsh interface ipv6 set interface IPHTTPSInterface 

forwarding=enabled advertise=enabled 

6to4 Aktivieren von 6to4 netsh interface 6to4 set state enabled 

SSL-Zertifikate Konfigurieren der Zertifikat- Installieren Sie das SSL-Zertifikat (Secure Sockets 

für IP-HTTPS- bindung 

Layer) durch manuelle Registrierung. 

Verbindungen 

Führen Sie den Befehl netsh http add sslcert aus, 

um die Zertifikatbindung zu konfigurieren. 

IP-HTTPS- Konfigurieren der IP-HTTPS- netsh interface httpstunnel add interface server 

Schnittstelle Schnittstelle 

https://:443/ 

iphttps enabled certificates 

IP-HTTPS- Konfigurieren des IPv6- netsh interface ipv6 add route ::/64 

Routing Routings für die IP-HTTPS- IPHTTPSInterface publish=yes 

Schnittstelle 

Dabei hat einen der folgenden 

Werte: 

6to4-basedPrefix :2, wenn Sie ein 6to4-Präfix 

auf Basis der ersten öffentlichen IPv4-Adresse 

verwenden, die der Internetschnittstelle des 

DirectAccess-Servers zugewiesen ist. 

NativePrefix :5555, wenn Sie ein 48 Bit 

langes, natives IPv6-Präfix verwenden. 5555 

ist die Subnetz-ID, die der DirectAccess-Setup- 

Assistent auswählt. 

Abläufe beim Aufbau einer DirectAccess-Verbindung 

Eine DirectAccess-Verbindung zu einer Intranetressource wird aufgebaut, wenn der Direct- 

Access-Client über IPv6 eine Verbindung zum DirectAccess-Server herstellt. Dann wird 

IPSec zwischen Client und Server ausgehandelt. Schließlich wird die Verbindung zwischen 

dem DirectAccess-Client und der Zielressource eingerichtet.


Dieser allgemeine Vorgang untergliedert sich in folgende Einzelschritte: 

1. Der DirectAccess-Clientcomputer, der unter Windows 7 läuft, erkennt, dass er mit einem 

Netzwerk verbunden ist. 

2. Der DirectAccess-Clientcomputer versucht, Verbindung mit dem Netzwerkadressenserver 

aufzunehmen. Ist der Netzwerkadressenserver verfügbar, stellt der DirectAccess- 

Client fest, dass er bereits mit dem Intranet verbunden ist, und der DirectAccess-Verbindungsprozess 

bricht ab. Ist dagegen kein Netzwerkadressenserver verfügbar, stellt der 

DirectAccess-Client fest, dass er mit dem Internet verbunden ist; der DirectAccess- 

Verbindungsprozess wird fortgesetzt. 

3. Der DirectAccess-Clientcomputer stellt über IPv6 und IPSec eine Verbindung zum 

DirectAccess-Server her. Ist kein natives IPv6-Netzwerk verfügbar, baut der Client einen 

IPv6-über-IPv4-Tunnel mit 6to4 oder Teredo auf. Der Benutzer braucht dafür nicht 

angemeldet zu sein. 

4. Verhindert eine Firewall oder ein Proxyserver, dass der Clientcomputer mit 6to4 oder 

Teredo eine Verbindung zum DirectAccess-Server herstellt, versucht der Client automatisch, 

eine Verbindung mit dem Protokoll IP-HTTPS herzustellen. Es verwendet eine 

SSL-Verbindung, um eine Verbindung zu ermöglichen. 

5. Beim Aufbau der IPSec-Sitzung authentifizieren sich DirectAccess-Client und -Server 

gegenseitig mithilfe von Computerzertifikaten. 

6. Durch Prüfen der AD DS-Gruppenzugehörigkeiten stellt der DirectAccess-Server fest, 

ob der Computer und sein Benutzer autorisiert sind, eine Verbindung über DirectAccess 

herzustellen. 

7. Wenn NAP aktiviert und für die Integritätsprüfung konfiguriert ist, ruft der DirectAccess- 

Client ein Integritätszertifikat von einer Integritätsregistrierungsstelle (Health Registration 

Authority, HRA) im Internet ab, bevor er sich mit dem DirectAccess-Server verbindet. 

Die HRA leitet die Daten zum Integritätsstatus des DirectAccess-Clients an einen 

NAP-Integritätsrichtlinienserver weiter. Der NAP-Integritätsrichtlinienserver verarbeitet 

die Richtliniendefinition des NPS und entscheidet, ob der Client die Integritätsanforderungen 

erfüllt. Ist das der Fall, ruft die HRA ein Integritätszertifikat für den DirectAccess- 

Client ab. Wenn der DirectAccess-Client eine Verbindung zum DirectAccess-Server 

herstellt, übergibt er sein Integritätszertifikat für die Authentifizierung. 

8. Der DirectAccess-Server beginnt, Verkehr vom DirectAccess-Client an die Intranetressourcen 

weiterzuleiten, auf die dem Benutzer Zugriff gewährt wurde. 

Problembehandlung für DirectAccess-Verbindungen 

Die folgende Liste beschreibt einige Bereiche, in denen eine DirectAccess-Verbindung richtig 

konfiguriert sein muss. Sie können anhand dieser Liste Prioritäten und Verfahren entwickeln, 

die Ihnen bei der Problembehandlung von DirectAccess-Clients helfen. 

Der DirectAccess-Client muss eine globale IPv6-Adresse haben. (Globale IPv6-Adressen 

beginnen mit einer 2 oder 3.) 

Führen Sie auf dem DirectAccess-Client den Befehl ipconfig /all aus. 

Wenn dem DirectAccess-Client eine öffentliche IPv4-Adresse zugewiesen ist, müsste 

eine Schnittstelle namens Tunneladapter 6TO4-Adapter in der Ausgabe von Ipconfig


aufgeführt werden. Diese Schnittstelle sollte mit einer Adresse konfiguriert sein, die mit 

2002 beginnt. Der Schnittstelle Tunneladapter 6TO4-Adapter muss auch ein Standardgateway 

zugewiesen sein. 

Ist einem DirectAccess-Client eine private IPv4-Adresse zugewiesen, müsste eine Teredo- 

Schnittstelle aufgeführt sein. Diese Schnittstelle sollte mit einer Adresse konfiguriert 

sein, die mit 2001 beginnt. 

Suchen Sie bei IP-HTTPS nach einer Schnittstelle namens Tunneladapter Iphttpsinterface. 

Sofern Sie keine native IPv6-Infrastruktur in Betrieb haben, bevor Sie den Direct- 

Access-Setup-Assistenten ausführen, müsste Tunneladapter Iphttpsinterface mit einer 

Adresse konfiguriert sein, die mit 2002 beginnt. Außerdem sollte Tunneladapter Iphttpsinterface 

ein Standardgateway zugewiesen sein. 

Der DirectAccess-Client muss in der Lage sein, die IPv6-Adressen des DirectAccess- 

Servers zu erreichen. 

Führen Sie auf dem DirectAccess-Server den Befehl ipconfig /all aus. Notieren Sie sich 

die globalen IPv6-Adressen des DirectAccess-Servers. Vom DirectAccess-Client aus 

müssten Sie alle globalen IPv6-Adressen des DirectAccess-Servers mit Ping erreichen 

können. 

Verläuft dieser Test nicht erfolgreich, sollten Sie die Verbindung untersuchen, indem Sie 

nach einer Unterbrechung der IPv6-Konnektivität zwischen DirectAccess-Client und 

-Server suchen. 

Gehen Sie nach folgendem Schema vor, um Unterbrechungen der IPv6-Konnektivität zu 

beseitigen: 

Falls Ihrem DirectAccess-Client eine private IPv4-Adresse zugewiesen ist, sollten Sie 

sicherstellen, dass der lokale Teredo-Client als Unternehmensclient konfiguriert ist und 

die IPv4-Adresse des DirectAccess-Servers als Teredo-Server eingetragen ist. Geben Sie 

dazu folgenden Befehl ein: 

netsh interface teredo set state type=enterpriseclient servername= 

Falls Ihrem DirectAccess-Client eine öffentliche IPv4-Adresse zugewiesen ist, sollten 

Sie sicherstellen, dass die IPv4-Adresse des DirectAccess-Servers als 6to4-Relay eingetragen 

ist. Führen Sie dazu folgenden Befehl aus: 

netsh interface 6to4 set relay name= 

Schlagen diese Methoden fehl, können Sie versuchen, mithilfe von IP-HTTPS die IPv6- 

Konnektivität zum DirectAccess-Server herzustellen. Geben Sie dazu den folgenden 

Befehl ein: 

netsh interface httpstunnel add interface client https:///IPHTTPS 

Hinweis Verwenden von Ping über IPSec 

Wenn Sie Ping als Problembehandlungtool verwenden wollen, müssen Sie sicherstellen, 

dass ICMP (Internet Control Message Protocol) vom IPSec-Schutz zwischen dem Direct- 

Access-Client und dem Remoteendpunkt der IPSec-Verbindung ausgenommen ist.


Die Intranetserver müssen globale IPv6-Adressen haben. 

Führen Sie auf allen Intranetservern, zu denen keine Verbindung möglich ist, den Befehl 

ipconfig /all aus. Die Ausgabe des Befehls sollte eine globale IPv6-Adresse enthalten. 

Ist das nicht der Fall, müssen Sie die IPv6-Infrastruktur in Ihrem Intranet untersuchen. 

Stellen Sie bei ISATAP-Netzwerken sicher, dass bei Ihren DNS-Servern, die unter Windows 

Server 2008 oder neuer laufen, der Name ISATAP aus den globalen Abfrageblockierlisten 

gelöscht wird. Stellen Sie außerdem sicher, dass der DirectAccess-Server 

einen ISATAP-A-Eintrag im Intranet-DNS registriert hat. 

Hinweis Verwenden von IPv6/IPv4-NAT-Geräten 

Wenn Sie ein NAT-PT- oder NAT64-Gerät verwenden, um den Intranetserver zu erreichen, 

hat der Intranetserver keine globale IPv6-Adresse. Stellen Sie in diesem Fall sicher, 

dass das NAT-PT- oder NAT64-Gerät eine globale IPv6-Adresse hat. 

Der DirectAccess-Client im Internet muss richtig feststellen, dass er sich nicht im Intranet 


Geben Sie auf dem DirectAccess-Client netsh namespace show effectivepolicy ein, um 

die NRPT anzuzeigen. Sie sollte NRPT-Regeln für den Intranetnamespace und eine Ausnahme 

für den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) 

des Netzwerkadressenservers enthalten. 

Ist das nicht der Fall, sollten Sie den URL des Netzwerkadressenservers ermitteln, indem 

Sie folgenden Befehl eingeben: 

reg query 

HKLM\software\policies\microsoft\windows\NetworkConnectivityStatusIndicator\ 

CorporateConnectivity /v DomainLocationDeterminationUrl 

Stellen Sie sicher, dass der FQDN dieses URLs entweder zu einem Ausnahmeeintrag 

passt oder nicht mit dem DNS-Suffix für Ihren Intranetnamespace in der NRPT übereinstimmt. 

Auf dem DirectAccess-Client darf nicht das Domänenfirewallprofil zugewiesen sein. 

Führen Sie netsh advfirewall monitor show currentprofile aus, um die Netzwerke mit 

den ermittelten Firewallprofilen aufzulisten. Sofern Sie noch keine DirectAccess-Verbindung 

aufgebaut haben, sollte keinem Ihrer Netzwerke das Domänenprofil zugewiesen 

sein. 

Ist dennoch einem Ihrer Netzwerke das Domänenprofil zugewiesen, sollten Sie prüfen, 

ob Sie eine aktive VPN-Remotezugriffsverbindung haben oder ob ein Domänencontroller 

im Internet verfügbar ist. Deaktivieren Sie diese Verbindung. 

Der DirectAccess-Client muss in der Lage sein, seine Intranet-DNS-Server über IPv6 zu 

erreichen. 

Geben Sie auf dem Client netsh namespace show effectivepolicy ein, um die IPv6- 

Adressen Ihrer Intranet-DNS-Server zu erfahren. Testen Sie diese IPv6-Adressen vom 

DirectAccess-Client aus mit Ping. 

Verläuft dieser Test nicht erfolgreich, sollten Sie die Unterbrechung der IPv6-Konnektivität 

zwischen dem DirectAccess-Client und den Intranet-DNS-Servern suchen. Stellen


Sie sicher, dass Ihr DirectAccess-Server nur ein einziges IPv4-Standardgateway hat, das 

in der Internetschnittstelle konfiguriert ist. Stellen Sie außerdem sicher, dass Ihr Direct- 

Access-Server auf der Intranetschnittstelle mit einem Satz IPv4-Routen konfiguriert ist, 

die ihm den Zugriff auf alle IPv4-Ziele in Ihrem Intranet erlauben. 

Der DirectAccess-Client muss in der Lage sein, mithilfe der Intranet-DNS-Server Intranet-FQDNs 

aufzulösen. 

Geben Sie nslookup 

ein, um die Namen von Intranetservern aufzulösen (zum Beispiel: nslookup dc1.corp. 

contoso.com 2002:836b:2:1::5efe:10.0.0.1). Die Ausgabe müsste die IPv6-Adressen 

des angegebenen Intranetservers enthalten. 

Ist der Intranet-DNS-Server nicht erreichbar, müssen Sie die Verbindung zu diesem DNS- 

Server untersuchen. Falls der Server antwortet, aber den angegebenen Servernamen nicht 

findet, müssen Sie das Intranet-DNS untersuchen. (Stellen Sie fest, warum kein AAAA- 

Eintrag für den Intranetserver vorhanden ist.) 

Der DirectAccess-Client muss in der Lage sein, Intranetserver zu erreichen. 

Versuchen Sie mit Ping, die IPv6-Adressen der Intranetserver zu erreichen. 

Wenn dieser Test fehlschlägt, sollten Sie versuchen, die Unterbrechung der IPv6-Konnektivität 

zwischen dem DirectAccess-Client und den Intranetservern zu finden. 

Der DirectAccess-Client muss in der Lage sein, mit Intranetservern über Anwendungsschichtprotokolle 

zu kommunizieren. 

Greifen Sie mithilfe der jeweiligen Anwendung auf den passenden Intranetserver zu. 

Wenn auf dem Intranetserver die Datei- und Druckerfreigabe aktiviert ist, können Sie 

den Zugriff über das Anwendungsschichtprotokoll testen, indem Sie net view \\ 

eingeben. 

Übung Verwenden von DirectAccess in einem Testnetzwerk (optional) 

Die Anforderungen an eine DirectAccess-Infrastruktur sind so komplex, dass sie sich mit 

dem kleinen Testnetzwerk, das wir in diesem Buch verwenden, einfach nicht nachbauen 

lässt. Sofern Sie allerdings einen Computer mit genug RAM haben, um sechs virtuelle Computer 

auszuführen, sollten Sie sich Step By Step Guide: Demonstrate DirectAccess in a Test 

Lab von http://www.microsoft.com/downloads/details.aspx?familyid=8D47ED5F-D217- 

4D84-B698-F39360D82FAC herunterladen. Richten Sie mithilfe der Anleitung in diesem 

Handbuch ein Testnetzwerk für DirectAccess ein. Für dieses Projekt müssen Sie mindestens 

vier Stunden einplanen. 


DirectAccess ist eine neue Technologie, die das herkömmliche VPN ersetzt. Wenn es 

richtig konfiguriert ist, können Remoteclients, die unter Windows 7 Enterprise oder 

Windows 7 Ultimate laufen, automatisch eine ständig verfügbare, bidirektionale Verbindung 

zum Unternehmensnetzwerk aufbauen, schon bevor sich der Benutzer anmeldet. 

DirectAccess läuft ausschließlich mit IPv6. Wenn Sie DirectAccess in einem IPv4-Netzwerk 

einsetzen wollen, müssen die Computer IPv6-Übergangstechnologien wie Teredo, 

6to4, ISATAP und IP-HTTPS nutzen.


Eine DirectAccess-Infrastruktur umfasst einen DirectAccess-Client, einen DirectAccess- 

Server am Rand des Unternehmensnetzwerks, einen Domänencontroller, einen Netzwerkadressenserver 

und eine PKI. 

Um eine DirectAccess-Verbindung aufzubauen, stellt ein Client erst seinen Standort fest, 

indem er versucht, den Netzwerkadressenserver zu erreichen. Findet der Client heraus, 

dass er sich im Internet befindet, versucht er, den DirectAccess-Server über IPv6 zu erreichen 

(sofern nötig, unter Benutzung einer Übergangstechnologie). Dann baut er einen 

IPSec-Tunnel zum DirectAccess-Server auf. Schließlich prüft der Server, ob der Client 

für Remotezugriff autorisiert ist, und die DirectAccess-Verbindung wird hergestellt. 



»Grundlagen von DirectAccess-Clientverbindungen«, überprüfen. Die Fragen finden Sie 

(in englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer 





1. Welches der folgenden Betriebssysteme kann nicht als DirectAccess-Client arbeiten? 

A. Windows 7 Enterprise 

B. Windows 7 Professional 

C. Windows 7 Ultimate 

D. Windows Server 2008 R2 

2. Welches der folgenden Elemente brauchen Sie nicht, um eine DirectAccess-Verbindung 

zu einem Remoteclient aufzubauen? 

A. Serverzertifikat auf dem DirectAccess-Server 

B. Computerzertifikat auf dem DirectAccess-Client 

C. Eine globale IPv6-Adresse auf dem DirectAccess-Client 

D. Eine globale IPv4-Adresse auf dem DirectAccess-Client




vertiefen: 




aus der Praxis, in denen die Themen dieses Kapitels zur Anwendung kommen. Sie 

werden aufgefordert, eine Lösung zu entwickeln. 




Um eine Problembehandlung für VPN-Remotezugriffsverbindungen durchzuführen, 

müssen Sie wissen, welche Voraussetzungen für eine VPN-Infrastruktur erfüllt sein 

müssen und welche Schritte beim Aufbau einer solchen Verbindung ablaufen. Die einzelnen 

Schritte sind die Kontaktaufnahme des VPN-Clients mit dem VPN-Server, die 

Aushandlung der Bedingungen für den VPN-Tunnel, das Erstellen des VPN-Tunnels, die 

Authentifizierung für den Remotezugriff und die Remotezugriffsautorisierung. 

Um eine Problembehandlung für eine DirectAccess-Verbindung durchführen zu können, 

müssen Sie wissen, welche Voraussetzungen für eine DirectAccess-Infrastruktur erfüllt 

sein müssen und welche Schritte beim Aufbau einer solchen Verbindung ablaufen. Die 

einzelnen Schritte sind die Kontaktaufnahme des DirectAccess-Clients mit dem Netzwerkadressenserver, 

die Kontaktaufnahme des DirectAccess-Clients mit dem Direct- 

Access-Server über IPv6, das Erstellen des IPSec-Tunnels zum DirectAccess-Server 

durch den Client und die Autorisierung des Clients für den Remotezugriff durch den 

Server. 




Tunnel 

Datenauthentifizierung 

VPN-Reconnect

270 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverbindungen 


In den folgenden Fallbeispielen wenden Sie an, was Sie über die Problembehandlung von 

Remotezugriffsverbindungen gelernt haben. Die Lösungen zu den Fragen finden Sie im 


Übung mit Fallbeispiel 1: Problembehandlung für ein Remotezugriff-VPN 

Sie arbeiten als Desktopsupporttechniker für ein Unternehmen, dessen Netzwerk 600 Windows 

7-Clients und 30 Server umfasst, die unter Windows Server 2008 R2 laufen. Ihre 

Netzwerkinfrastruktur enthält ein L2TP/IPSec-VPN, das die Angestellten nutzen, um von 

anderen Orten aus auf das Unternehmensintranet zuzugreifen. Der VPN-Server führt RRAS 

aus, und die Authentifizierung wird mithilfe eines vorinstallierten Schlüssels abgewickelt. 

Das Unternehmensnetzwerk implementiert keine eigene PKI, weder auf den VPN-Clients 

noch auf dem VPN-Server sind Computerzertifikate installiert. 

Beim Helpdesk beschweren sich viele Mitarbeiter über den VPN-Zugriff. Remotebenutzer 

klagen, dass der Aufbau der VPN-Verbindung zu lange dauert und dass die Verbindung häufig 

unterbrochen wird, wenn sie sich von einem Drahtloszugriffspunkt zu einem anderen bewegen. 

Außerdem beschweren sich viele Benutzer, dass es nicht gelingt, eine Verbindung zum 

Unternehmensnetzwerk aufzubauen, wenn sie ihren Computer in einem Netzwerk verwenden, 

das NAT-Geräte oder Firewalls einsetzt. Ihre Chefin bittet Sie, die Lage zu prüfen und 

ihr folgende Fragen zu beantworten: 

1. Welche technischen Maßnahmen lassen sich treffen, um die Probleme mit der VPN- 

Leistung zu beseitigen? Gehen Sie davon aus, dass bei allen Windows 7-Clients für die 

VPN-Verbindung als Sicherheitseinstellung die Option Automatisch (Standardwert) 

konfiguriert ist. 

2. Welche technischen Maßnahmen sind möglich, damit Benutzer eine VPN-Verbindung 

aufbauen können, auch wenn sie hinter NAT-Geräten oder Firewalls eines Remotenetzwerks 

arbeiten? 

Übung mit Fallbeispiel 2: Problembehandlung für DirectAccess 

Sie arbeiten als Supporttechniker für Contoso, ein großes Pharmaunternehmen mit über 2.000 

Angestellten. Viele Mitarbeiter nehmen Notebooks auf ihre Dienstreisen mit, und Ihre IT- 

Abteilung hat DirectAccess implementiert, damit sich die Computer dieser Benutzer automatisch 

mit dem Unternehmensnetzwerk verbinden, wenn sie außerhalb des Firmengeländes 

unterwegs sind. Das Unternehmen bietet keinen anderen VPN-Zugriff mehr an. 

Im Lauf eines Tages bekommen Sie folgende Anrufe vom Helpdesk, weil Probleme mit den 

DirectAccess-Verbindungen auftreten: 

1. Der Helpdesk informiert Sie, dass ein Benutzer von einem öffentlichen WLAN-Hotspot 

aus keine Verbindung zum Unternehmensintranet herstellen kann. Die Helpdeskmitarbeiter 

haben bereits festgestellt, dass dem Benutzer nur die IPv4-Adresse 192.168.0.110 

zugewiesen ist und die einzige IPv6-Adresse seines Computers mit »fe80::« beginnt. 

Sie wollen es dem Computer dieses Benutzers ermöglichen, eine Verbindung zum Direct- 

Access-Server herzustellen. Welche IPv6-Schnittstelle oder Übergangstechnologie auf 

dem Client sollten Sie zuerst konfigurieren, indem Sie die erste öffentliche IPv4-Adresse 

des DirectAccess-Servers eintragen, und warum?


2. Später ruft der Helpdesk erneut an. Ein anderer Remotebenutzer kann keine DirectAccess- 

Verbindung zum Unternehmensnetzwerk aufbauen. In diesem Fall hat der Helpdesk 

herausgefunden, dass dem Benutzer nur die IPv4-Adresse 207.46.197.32 zugewiesen ist 

und seine einzige IPv6-Adresse mit »fe80::« beginnt. 

Welche IPv6-Schnittstelle oder Übergangstechnologie auf dem Client sollten Sie zuerst 

konfigurieren, indem Sie die erste öffentliche IPv4-Adresse des DirectAccess-Servers 

eintragen, und warum? 




Untersuchen und Beseitigen von Remotezugriffsproblemen 

Arbeiten Sie beide Übungen durch, um sich mit dem Remotezugriff in Windows 7 vertraut 

zu machen. 

Übung 1 Erstellen Sie ein IKEv2- oder SSTP-Remotezugriff-VPN. Richten Sie einen 

VPN-Server ein, der unter Windows Server 2008 R2 läuft. Erstellen Sie auf einem Windows 

7-Computer eine VPN-Verbindung und versuchen Sie, über das Internet eine Verbindung 

zum VPN-Server aufzubauen. 

Übung 2 Stellen Sie einen DirectAccess-Server bereit. Fügen Sie das Feature Direct- 

Access zu einem Server hinzu, der unter Windows Server 2008 R2 läuft, und folgen Sie 

den Anweisungen, um alle Voraussetzungen bereitzustellen, die für DirectAccess benötigt 

werden, beispielsweise eine PKI. Sind alle Anforderungen erfüllt, können Sie den Direct- 

Access-Setup-Assistenten ausführen. 













Updates 

Windows 7 wurde zwar mit dem Ziel entworfen, bereits in der Standardeinstellung Bedrohungen 

für die Sicherheit zu minimieren, aber Angreifer entwickeln ständig neue Methoden. 

Um auf veränderte Gefahren zu reagieren, die Zuverlässigkeit von Windows zu steigern und 

neue Hardware zu unterstützen, müssen Sie auf Ihren Clientcomputern Updates bereitstellen. 

Im Privatbereich und in kleinen Büros lädt Windows automatisch die neuesten kritischen 

Updates von Microsoft herunter, sodass die Computer auf dem neuesten Stand bleiben, ohne 

dass dafür Verwaltungsaufwand notwendig ist. Dieser Ansatz eignet sich aber nicht für 

Großunternehmen, wo Tausende Computer verwaltet werden müssen. In großen Organisationen 

muss die IT-Abteilung Updates testen, um sicherzustellen, dass sie keine großflächigen 

Kompatibilitätsprobleme verursachen. Würde jeder Computer dasselbe Update über das 

Internet herunterladen, wäre das außerdem eine Verschwendung von Bandbreite, was sogar 

die Netzwerkleistung verschlechtern könnte, wenn Microsoft umfangreiche Updates veröffentlicht. 

Dieses Kapitel beschreibt, wie Sie Updates für Windows 7-Clientcomputer verwalten, testen 

und Probleme damit beseitigen. 


Untersuchen und Beseitigen von Softwareupdateproblemen 


Lektion 1: Aktualisieren von Software ................................. 275 








273

274 Kapitel 7: Updates 

Praxistipp 

Tony Northrup 

Im Juli 2001 verbreitete sich der Wurm »Code Red« schnell über Microsoft IIS-Webserver 

(Internet Information Services) im gesamten Internet. Damals war ich Mitarbeiter 

eines Teams, das Hunderte von IIS-Webservern verwaltete. 

Code Red nutzte eine Sicherheitslücke, konkret einen Pufferüberlauf in IIS auf Microsoft 

Windows 2000 Server und Microsoft Windows NT 4.0 aus. Etwa einen Monat vorher 

hatte Microsoft ein Update herausgegeben, das die Sicherheitslücke schloss und verhinderte, 

dass Code Red einen Webserver kompromittierte. 

Man sollte also davon ausgehen, dass meine Server geschützt waren. Leider traf das nicht 

zu. Damals war es sehr schwierig, Updates bereitzustellen. Automatische Updates standen 

nicht zur Verfügung, und Windows Server Update Services (WSUS) gab es noch nicht. 

Wir hatten die Infrastruktur eines anderen Herstellers implementiert, um Updates automatisch 

zu installieren, aber sie verursachte häufig Fehler. Weil Updates praktisch immer 

erforderten, die Server neu zu starten (was Ausfallzeit bedeutet), mussten wir jedes 

Update in Abstimmung mit dem Kunden planen. Weil es so lange dauerte, Updates zu 

installieren, und weil Microsoft häufig Updates veröffentlichte, hinkten wir unserem 

Zeitplan bei der Updatebereitstellung Monate hinterher. 

Code Red infizierte Hunderttausende IIS-Webserver, darunter auch einige Dutzend 

Server, die meine Organisation verwaltete. Das Notfallteam musste mehrere Wochen lang 

Tag und Nacht arbeiten, um Schäden zu reparieren, die sich leicht hätten vermeiden lassen, 

wäre nur das Update rechtzeitig installiert worden. Der Vertrauensverlust in unsere 

Arbeit war gewaltig. 

Inzwischen hat Microsoft die Updateverwaltung viel effizienter gemacht. Es ist aber 

sogar noch wichtiger geworden, Updates zu installieren. Malwareautoren sind raffinierter 

geworden, und sobald ein Exploit einmal eingedrungen ist, kann es schwierig oder gar 

unmöglich sein, ihn zu entfernen. Aus diesem Grund ist dies für Ihre Arbeit das wichtigste 

Kapitel innerhalb des Buchs.

Lektion 1: Aktualisieren von Software 

Lektion 1: Aktualisieren von Software 275 

Weil sich Sicherheitsbedrohungen ständig weiterentwickeln, muss Microsoft regelmäßig 

Updates für Windows 7 und andere Microsoft-Software herausgeben. Diese Updates bereitzustellen 

und zu verwalten, sind zwei der wichtigsten Sicherheitsaufgaben für eine IT-Abteilung. 

Diese Lektion beschreibt die unterschiedlichen Techniken zum Bereitstellen von Updates für 

Windows 7-Computer und erklärt, wie Sie Updates installieren und verwalten und Probleme 

im Zusammenhang mit Updates beseitigen. 


Auswählen einer Bereitstellungstechnik zum Verteilen von Updates innerhalb Ihrer 

Organisation 

Updates automatisch, von Hand und auf neuen Computern installieren 

Durchführen einer Problembehandlung beim Installieren von Updates 

Deinstallieren von Updates 


Methoden für die Bereitstellung von Updates 

Microsoft stellt mehrere Techniken zum Anwenden von Updates zur Verfügung: 

Direkt von Microsoft Bei Privatbenutzern und kleinen Firmen ist Windows 7 so konfiguriert, 

dass es Updates automatisch direkt von Microsoft herunterlädt. Diese Methode 

eignet sich nur für kleinere Netzwerke mit maximal 50 Computern. 

Windows Server Update Services (WSUS) Mit WSUS können Administratoren 

Updates genehmigen, bevor sie an die Computer im Intranet verteilt werden. Optional 

können Updates auch an einem zentralen Ort im lokalen Netzwerk gespeichert und 

bereitgestellt werden, sodass der Internetverkehr zum Herunterladen von Updates 

verringert wird. Dieser Ansatz setzt voraus, dass mindestens ein Infrastrukturserver 

vorhanden ist. 

Microsoft Systems Center Configuration Manager 2007 (Configuration Manager 

2007) Als bevorzugte Methode für die Verteilung von Software und Updates in großen 

Unternehmensnetzwerken bietet Configuration Manager 2007 flexibel konfigurierbare, 

zentralisierte Kontrolle über die Bereitstellung von Updates und die Fähigkeit, die 

Clientsysteme zu überwachen und zu inventarisieren. Configuration Manager 2007 

setzt normalerweise mehrere Infrastrukturserver voraus. 

Die folgenden Abschnitte beschreiben den Windows Update-Client, WSUS und Configuration 

Manager 2007. 

Windows Update-Client 

Unabhängig davon, ob Sie Updates von Microsoft oder über WSUS herunterladen, hat der 

Windows Update-Client die Aufgabe, die Updates auf die Windows 7- und Windows Vista- 

Computer herunterzuladen und zu installieren. Der Windows Update-Client ersetzt die 

Clientanwendung Automatische Updates aus älteren Windows-Versionen. Windows Update


in Windows 7 und Automatische Updates in älteren Windows-Versionen funktionieren auf 

dieselbe Weise: Sie laden Updates von Microsoft oder einem internen WSUS-Server herunter 

und installieren sie. Beide Clients installieren Updates zu geplanten Zeiten und starten den 

Computer bei Bedarf automatisch neu. Ist der Computer zu diesem Zeitpunkt ausgeschaltet, 

können die Updates installiert werden, sobald der Computer wieder angeschaltet wird. Stattdessen 

kann Windows Update einen Computer auch zum eingestellten Zeitpunkt aus dem 

Standbymodus aufwecken und die Updates installieren, sofern die Computerhardware dies 

unterstützt. 

Das Verhalten des Windows Update-Clients lässt sich flexibel steuern. Sie können einzelne 

Computer mithilfe der Seite Systemsteuerung\System und Sicherheit\Windows Update\Einstellungen 

ändern konfigurieren, wie im Abschnitt »Konfigurieren von Windows Update in 

der grafischen Benutzeroberfläche« weiter unten in dieser Lektion beschrieben. Netzwerke, 

die AD DS (Active Directory Domain Services) verwenden, können die Konfiguration aller 

Windows Update-Clients mithilfe von Gruppenrichtlinien definieren, wie in »Konfigurieren 

von Windows Update mit Gruppenrichtlinieneinstellungen« weiter unten in dieser Lektion 

beschrieben. 

Sobald der Windows Update-Client Updates heruntergeladen hat, überprüft er die digitale 

Signatur und den SHA1-Hash (Secure Hash Algorithm) der Updates, um sicherzustellen, 

dass sie nicht manipuliert wurden, seit Microsoft sie signiert hat. Das verringert die Gefahr, 

dass ein Angreifer Malware erstellt, die sich als Update tarnt, oder ein echtes Update manipuliert, 

indem er Schadcode einschleust. 

Windows Server Update Services 

Windows Server Update Services (WSUS) ist eine Version des Microsoft Update-Dienstes, 

die Sie in Ihrem privaten Netzwerk betreiben können. WSUS stellt eine Verbindung zur 

Microsoft Update-Site her, lädt Informationen über verfügbare Updates herunter und fügt sie 

zu einer Liste der Updates hinzu, die von Administratoren genehmigt werden müssen. 

Wenn ein Administrator diese Updates genehmigt und ihnen eine Prioritätsstufe zugewiesen 

hat, macht WSUS sie automatisch für alle Computer verfügbar, die Windows Update ausführen 

(oder den Client Automatische Updates auf älteren Windows-Versionen). Wenn 

Windows Update richtig konfiguriert ist, prüft es den WSUS-Server und lädt automatisch 

die von den Administratoren konfigurierten Updates herunter und installiert sie. Wie in 

Abbildung 7.1 gezeigt, können Sie WSUS über mehrere Server und Standorte verteilen, 

wenn es die Skalierung in großen Unternehmen erfordert. WSUS erfüllt die Anforderungen 

von mittelgroßen und vielen großen Organisationen. 

Sie müssen WSUS auf mindestens einem Infrastrukturserver installieren, beispielsweise auf 

einem Computer, der unter Windows Server 2003, Windows Server 2008 oder Windows 

Server 2008 R2 läuft. Um Updates auf Windows 7-Computern bereitzustellen, müssen Sie 

auf Ihrem Server die Version WSUS 3.0 SP2 oder neuer installieren. 

Weitere Informationen WSUS 

Weitere Informationen über die Updateverwaltung mit WSUS finden Sie unter http://www. 

microsoft.com/wsus/.


Abbildung 7.1 WSUS kann so skaliert werden, dass es Tausende von Computern unterstützt 

Configuration Manager 2007 

Configuration Manager 2007 ist ein Tool, mit dem Sie Software in Unternehmensumgebungen 

effizient verwalten, verteilen und inventarisieren können. WSUS erfüllt zwar die Anforderungen 

mittelgroßer Organisationen, aber Configuration Manager 2007 kann WSUS in 

großen Organisationen ergänzen, die Hunderte oder Tausende von Computern verwalten. 

Prüfungstipp 

Sie brauchen für die Prüfung garantiert nicht zu wissen, wie Sie Configuration Manager 

2007 bedienen, aber es schadet nicht, wenn Sie sich damit vertraut machen. Weitere Informationen 

über Configuration Manager 2007 finden Sie auf der Configuration Manager 

2007-Website unter http://www.microsoft.com/sccm. 

Kompatibilität von Updates prüfen 

Microsoft führt bei allen Updates diverse Kompatibilitätstests durch. Kritische Updates 

(kleine Updates, die ein einzelnes Problem beseitigen) werden am flüchtigsten getestet, weil 

es sehr viele davon gibt und sie schnell bereitgestellt werden müssen. Service Packs (große 

Updates, in denen viele Korrekturen für Probleme zusammengefasst sind, die vorher in 

unterschiedlichen kritischen Updates beseitigt wurden) werden viel ausführlicher getestet, 

weil sie nur selten veröffentlicht werden. 

Unabhängig davon, ob Sie kritische Updates oder ein Service Pack bereitstellen wollen, 

können Sie die Gefahr einer Anwendungsinkompatibilität dadurch senken, dass Sie die 

Updates in einer Testumgebung untersuchen. Die meisten Großunternehmen haben eine 

Qualitätssicherungsabteilung (Quality Assurance, QA), die eine Testumgebung mit Computern 

betreibt, die in den Standardkonfigurationen eingerichtet sind und die im Unternehmen 

eingesetzten Anwendungen ausführen. Bevor die QA-Abteilung die Bereitstellung eines


Updates in der Organisation genehmigt, installiert sie dieses Update auf den Testcomputern 

und prüft, ob wichtige Anwendungsfunktionen noch funktionieren, nachdem das Update 

installiert wurde. 

Welchen Aufwand Sie auch immer zum Testen von Updates vor der Bereitstellung betreiben, 

sollten Sie Updates grundsätzlich erst einmal auf Pilotgruppen mit wenigen Computern installieren, 

bevor Sie diese Updates in der gesamten Organisation verteilen. Eine Pilotgruppe 

ist ein kleiner Ausschnitt der Computer in Ihrer Organisation, auf denen ein Update eingespielt 

wird, bevor es allgemein bereitgestellt wird. Im Idealfall befinden sich Pilotgruppen in 

einer Abteilung mit gutem IT-Support und Benutzern, die sich gut mit Computern auskennen. 

Verursacht ein Update ein Problem im Bereich der Anwendungskompatibilität, ist die Wahrscheinlichkeit 

hoch, dass die Pilotgruppe diese Inkompatibilität erkennt, bevor mehr Benutzer 

davon betroffen sind. 

Wenn Sie Updates mithilfe von WSUS bereitstellen, können Sie eine Pilotgruppe einrichten, 

indem Sie eine Computergruppe namens Pilotbereitstellung anlegen und Computer zu dieser 

Gruppe hinzufügen. Genehmigen Sie dann Updates erst einmal nur für die Gruppe Pilotbereitstellung, 

bevor die übrige Organisation folgt. 

Prüfungstipp 

Die Prüfung konzentriert sich auf Windows 7, und WSUS läuft nur auf Windows Server- 

Versionen. Daher brauchen Sie für die Prüfung wahrscheinlich nicht im Einzelnen zu wissen, 

wie Sie Updates mit WSUS bereitstellen. Aus diesem Grund beschreibt diese Lektion WSUS 

nur oberflächlich. 

Übung 2 am Ende dieser Lektion beschreibt genau, wie Sie WSUS auf einem Computer 

installieren, der unter Windows Server 2008 R2 läuft, Updates von Microsoft synchronisieren 

und Updates genehmigen. Übung 2 müsste Ihnen genug Erfahrung mit WSUS verschaffen, 

um die Prüfung zu bestehen. Nachdem Sie die Übung durchgearbeitet haben, sollten Sie 

aber Ihre Kenntnisse zu WSUS vertiefen, indem Sie sich in alle Funktionen der Software 

einarbeiten und unter anderem lernen, wie Sie eine Pilotgruppe mit ausgewählten Computern 

anlegen. 

Treten bei Benutzern Probleme auf, bei denen Sie den Verdacht haben, dass sie durch ein 

Update verursacht werden, können Sie in der Zuverlässigkeitsüberwachung herausfinden, 

welche Updates für das Problem verantwortlich sein könnten. Informationen über die Benutzung 

der Zuverlässigkeitsüberwachung finden Sie in Kapitel 1, »Beseitigen von Hardwarefehlern«. 

Installieren von Updates 

Im Idealfall stellen Sie neue Computer bereit, auf denen bereits alle aktuellen Updates 

installiert sind. Nach der Bereitstellung können Sie Updates von Hand installieren, aber es 

ist viel effizienter, wenn Sie eine automatische Bereitstellungstechnik einsetzen. In Fällen, 

wo Sie vollständige Kontrolle über die Updateinstallation brauchen, aber trotzdem eine 

automatisierte Methode verwenden müssen, können Sie Skriptupdateinstallationen einsetzen.


Die folgenden Abschnitte beschreiben, wie Sie Updates in neue Computer einspielen, 

Updates von Hand installieren, Updates automatisch installieren und die Installation von 

Updates mit einem Skript steuern. 

Anwenden von Updates auf neue Computer 

Wenn Sie neue Computer bereitstellen, sollten Sie dabei gleich so viele aktuelle Updates wie 

möglich einspielen. Windows 7 sucht zwar sofort nach Updates, wenn es zum ersten Mal 

gestartet wird (statt bis zum geplanten Zeitpunkt für die automatischen Updates zu warten), 

aber es könnte Stunden dauern, bis Windows alle Updates heruntergeladen und installiert 

hat. Werden Updates in neue Computer eingespielt, verbessert das die Sicherheit dieser 

Computer, sobald sie zum ersten Mal gestartet werden. Somit verringern Sie die Gefahr, 

dass eine bereits behobene Sicherheitslücke ausgenützt wird, bevor das entsprechende 

Update angewendet wurde. 

Sie können die folgenden Techniken nutzen, um Updates auf neue Computer anzuwenden 

(in der Reihenfolge von sehr sicher bis am wenigsten sicher): 

Integrieren von Updates in die Windows 7-Setupdateien Wenn Sie eine automatische 

Bereitstellungstechnologie einsetzen, zum Beispiel das Microsoft Deployment 

Toolkit (MDT) 2010, können Sie sicherstellen, dass Updates schon bei der Installation 

von Windows 7 vorhanden sind. Dazu spielen Sie alle Updates auf einem Testcomputer 

ein und erstellen dann mit Windows PE und dem Tool XImage ein Betriebssystemabbild 

(eine .wim-Datei), das Sie auf neuen Computern bereitstellen. 

Weitere Informationen MDT 2010 

Weitere Informationen über MDT finden Sie unter http://www.microsoft.com/mdt. 

Updates automatisch während des Setups installieren Mithilfe von Skripts können 

Sie Updates automatisch während des Setups installieren. Ideal wäre es, wenn Sie die 

Updatedateien mit Ihrem Windows 7-Installationsmedium oder auf dem Distributionsserver 

verteilen. Sie können mit MDT Updates für die Installation während des Setups 

konfigurieren oder Updates mit einer der folgenden Techniken von Hand konfigurieren: 

Fügen Sie im Windows-Systemabbild-Manager einen RunSynchronous-Befehl in die 

Antwortdatei Ihres Windows 7-Abbilds ein. RunSynchronous-Befehle stehen in den 

Features -Microsoft-Windows-Setup, -Microsoft-Windows-Deployment 

und -Microsoft-Windows-Shell-Setup zur Verfügung. Eine ausführliche 

Anleitung enthält »Add a Custom Command to an Answer File« unter http://technet. 

microsoft.com/library/dd799295.aspx. Wie Sie Updates mithilfe eines Skripts installieren, 

ist in »Updates mithilfe von Skripts installieren« weiter unten in dieser Lektion 

erklärt. 

Bearbeiten Sie die Datei %WinDir%\Setup\Scripts\SetupComplete.cmd in Ihrem 

Windows 7-Abbild. Windows 7 führt alle Befehle in dieser Datei aus, sobald das 

Windows-Setup abgeschlossen ist. Befehle in der Datei SetupComplete.cmd werden 

mit Privilegien des lokalen Systems ausgeführt, und die Aktionen werden in der Datei 

SetupAct.log protokolliert. Es ist nicht möglich, das System neu zu starten und Setup- 

Complete.cmd dann fortzusetzen. Daher müssen Sie alle Updates in einem einzigen 

Durchgang installieren.


Fügen Sie das Updatepaket zur Distributionsfreigabe oder Antwortdatei hinzu. Weitere 

Informationen finden Sie in »Add Applications, Drivers, Packages, Files, and 

Folders« unter http://technet.microsoft.com/library/dd744568.aspx. 

Updates von Wechseldatenträgern manuell installieren Sie können die Gefahr, dass 

ein neuer Computer vor der Installation von Updates angegriffen wird, sehr gut dadurch 

minimieren, dass Sie den Computer bereitstellen, während er nicht mit dem Netzwerk 

verbunden ist. Dafür verwenden Sie einen Wechseldatenträger. Wenn Sie diesen Ansatz 

wählen, sollten Sie auch Updates von Wechseldatenträgern installieren, bevor Sie den 

Computer mit ungeschützten Netzwerken verbinden. 

Anwenden von Updates auf neue Computer mithilfe von WSUS Sobald Windows 7 

zum ersten Mal startet, versucht es sofort, Updates herunterzuladen. (Es wartet also nicht 

bis zum nächsten Zeitpunkt, für den die automatische Ausführung von Windows Update 

geplant ist.) Selbst mit den Standardeinstellungen laufen neue Computer also nur kurze 

Zeit ohne Updates. Um diese Spanne noch weiter zu verkürzen, können Sie Ihre WSUS- 

Administratoren bitten, die kritischsten Updates mit einem Zeitlimit zu konfigurieren. 

Das Zeitlimit zwingt neue Computer, die Updates herunterzuladen, die kritischen Updates 

zu installieren und dann sofort neu zu starten, damit die Updates angewendet 

werden. 

Updates von Hand installieren 

In älteren Versionen von Microsoft Windows konnten Sie Updates anwenden, indem Sie die 

Website http://windowsupdate.com besuchten. In Windows 7 müssen Sie folgendermaßen 

vorgehen: 

1. Klicken Sie im Startmenü auf Alle Programme und dann auf Windows Update. 

2. Das Fenster Windows Update wird geöffnet. Klicken Sie auf den Link Nach Updates 

suchen. 

Abbildung 7.2 Mit dem Tool Windows Update prüfen, ob Updates vorhanden sind


3. Falls irgendwelche Updates zur Verfügung stehen, können Sie auf Updates installieren 

klicken (Abbildung 7.2). Wenn Sie optionale Updates installieren wollen, müssen Sie 

auf Verfügbare Updates anzeigen klicken. 

Falls ein Update nicht in der Liste erscheint, wurde es möglicherweise ausgeblendet. Das 

können Sie korrigieren, indem Sie im Fenster Windows Update auf den Link Ausgeblendete 

Updates anzeigen klicken. 

4. Windows Update lädt die verfügbaren Updates herunter und installiert sie. 

5. Starten Sie den Computer bei Bedarf neu, indem Sie auf Jetzt neu starten klicken. 

Falls Sie den Computer nicht sofort neu starten, fordert Windows Update den Benutzer regelmäßig 

auf, den Computer neu zu starten. Der Benutzer kann diesen Vorgang maximal 4 Stunden 

lang verschieben. Es sind keine administrativen Anmeldeinformationen erforderlich, um 

Updates zu installieren. 

Updates automatisch installieren 

Sie können das automatische Anwenden von Updates entweder mithilfe grafischer, interaktiver 

Tools oder über Gruppenrichtlinien konfigurieren. Die folgenden Abschnitte beschreiben 

diese beiden Techniken. 

Konfigurieren von Windows Update in der grafischen Benutzeroberfläche 

Bei einem interaktiven Setup fordert Windows 7 den Benutzer auf, Updateeinstellungen 

auszuwählen. Setup empfiehlt, automatische Updates zu aktivieren. Gehen Sie folgendermaßen 

vor, um automatische Updates auf einem Computer von Hand zu konfigurieren (dazu 

sind administrative Privilegien erforderlich): 


2. Klicken Sie auf den Link System und Sicherheit. 

3. Klicken Sie unter Windows Update auf den Link Automatische Updates aktivieren oder 

deaktivieren. 

4. Passen Sie die Einstellungen wie gewünscht an. Sie können hier festlegen, ob Updates 

automatisch installiert werden und wann dies durchgeführt werden soll. Klicken Sie 

anschließend auf OK. 

Konfigurieren von Windows Update mit Gruppenrichtlinieneinstellungen 

Sie können die Einstellungen für den Windows Update-Client über lokale oder Domänengruppenrichtlinien 

konfigurieren. Das ist nützlich, wenn Sie folgende Aufgaben durchführen 

wollen: 

Computer so konfigurieren, dass sie einen lokalen WSUS-Server verwenden 

Die automatische Installation so konfigurieren, dass Updates zu einer bestimmten 

Uhrzeit installiert werden 

Konfigurieren, wie oft nach Updates gesucht wird 

Konfigurieren von Updatebenachrichtigungen. Sie können zum Beispiel einstellen, ob 

Standardbenutzer solche Benachrichtigungen erhalten.


Konfigurieren von Clientcomputern als Teil einer WSUS-Zielgruppe. Solche Gruppen 

machen es möglich, für unterschiedliche Computergruppen jeweils andere Updates 

bereitzustellen. 

Windows Update-Einstellungen liegen im Knoten Computerkonfiguration\Administrative 

Vorlagen\Windows-Komponenten\Windows Update. Für Windows Update stehen unter 

anderem folgende Gruppenrichtlinieneinstellungen zur Verfügung: 

Automatische Updates konfigurieren Legt fest, ob Clientcomputer Sicherheitsupdates 

und andere wichtige Downloads über den Windows Update-Dienst erhalten. 

Mit dieser Einstellung steuern Sie auch, ob die Updates automatisch installiert werden 

und zu welcher Uhrzeit. 

Internen Pfad für den Microsoft Updatedienst angeben Gibt die Adresse Ihres 

WSUS-Servers an. 

Suchhäufigkeit für automatische Updates Legt fest, wie oft der Windows Update- 

Client nach neuen Updates sucht. In der Standardeinstellung ist dies ein zufälliges Intervall 

zwischen 17 und 22 Stunden. 

Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten Legt fest, 

ob alle Benutzer oder nur Administratoren Benachrichtigungen über verfügbare Updates 

erhalten (Abbildung 7.3). Nichtadministratoren können Updates über den Windows 

Update-Client installieren. 

Abbildung 7.3 Benutzer werden benachrichtigt, wenn Updates verfügbar sind 

Automatische Updates sofort installieren Legt fest, ob Windows Update alle 

Updates, bei denen der Computer nicht neu gestartet werden muss, sofort installiert. 

Empfohlene Updates über automatische Updates aktivieren Legt fest, ob Clientcomputer 

sowohl kritische als auch empfohlene Updates installieren. Zu den empfohlenen 

Updates gehören oft auch aktualisierte Treiber. 

Keinen automatischen Neustart für geplante Installationen automatischer Updates 

durchführen, wenn Benutzer angemeldet sind Wenn Windows Update den Computer 

neu starten muss, um eine geplante Installation abzuschließen, legt diese Einstellung 

fest, ob gewartet wird, bis der Computer von einem angemeldeten Benutzer neu gestartet 

wird oder ob der Computer automatisch neu gestartet wird. 

Erneut zu einem Neustart für geplante Installationen auffordern Legt fest, wie oft 

der Windows Update-Client den Benutzer erinnert, dass ein Neustart erforderlich ist. 

Abhängig von anderen Konfigurationseinstellungen haben Benutzer unter Umständen 

die Möglichkeit, einen geplanten Neustart zu verschieben. Der Windows Update-Client 

erinnert sie dann aber in regelmäßigen Abständen, deren Intervall in dieser Einstellung 

festgelegt wird. 

Neustart für geplante Installationen verzögern Legt fest, wie lange der Windows 

Update-Client wartet, bevor er einen automatischen Neustart ausführt.


Zeitplan für geplante Installationen neu erstellen Legt fest, wie lange Windows 

Update nach dem Systemstart wartet, bevor es eine geplante Installation fortsetzt, die 

vorher versäumt wurde. Wenn Sie hier keinen Zeitraum eintragen, wird eine versäumte 

Installation 1 Minute nach dem nächsten Start des Computers fortgesetzt. 

Clientseitige Zielzuordnung aktivieren Legt fest, bei welcher Gruppe der Computer 

Mitglied ist. 

Windows Update-Energieverwaltung aktivieren, um das System zur Installation 

von geplanten Updates automatisch zu reaktivieren Schalten die Angestellten in 

Ihrer Organisation ihre Computer normalerweise aus, wenn sie ihr Büro verlassen, können 

Sie diese Einstellung aktivieren, damit Computer, deren Hardware diese Fähigkeit 

unterstützt, zum vorgesehenen Zeitpunkt automatisch aufgeweckt werden, um Updates 

zu installieren. Computer werden nur dann aufgeweckt, wenn ein Update für die Installation 

bereitsteht. Wenn der Computer im Akkubetrieb läuft, kehrt er nach 2 Minuten automatisch 

in den Standbymodus zurück. 

Zusätzlich sind die beiden folgenden Einstellungen im selben Knoten verfügbar, und zwar 

sowohl unter Benutzerkonfiguration als auch unter Computerkonfiguration (Sie können diese 

Einstellung für jeden Benutzer individuell konfigurieren): 

Option "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" 

nicht anzeigen Legt fest, ob Windows die Option Updates installieren 

und herunterfahren anzeigt. 

Die Standardoption "Updates installieren und herunterfahren" im Dialogfeld 

"Windows herunterfahren" nicht anpassen Legt fest, ob Windows die Standardoption 

zum Herunterfahren automatisch in Updates installieren und herunterfahren 

ändert, wenn Windows Update darauf wartet, ein Update zu installieren. 

Und schließlich gibt es noch eine reine Benutzereinstellung im Knoten Benutzerkonfiguration\Administrative 

Vorlagen\Windows-Komponenten\Windows Update: 

Zugriff auf alle Windows Update-Funktionen entfernen Wenn diese Einstellung 

aktiviert ist, kann der Benutzer nicht auf die Benutzeroberfläche von Windows Update 

zugreifen. 

Updates mithilfe von Skripts installieren 

Windows 7 öffnet MSU-Dateien mit dem Windows Update Standalone Installer (Wusa.exe). 

Sie können ein Update über ein Skript installieren, indem Sie das Skript mit administrativen 

Privilegien ausführen, Wusa aufrufen und den Pfad zur MSU-Datei angeben. Zum Beispiel 

installieren Sie ein Update namens Windows6.0-KB929761-x86.msu, das sich im aktuellen 

Verzeichnis befindet, mit dem folgenden Befehl: 

wusa Windows6.0-KB929761-x86.msu 

Außerdem unterstützt Wusa die folgenden Befehlszeilenargumente: 

/?, /h oder /help Zeigt die verfügbaren Befehlszeilenargumente an. 

/uninstall Entfernt das angegebene Paket. Fügen Sie das Argument /kb hinzu, um das 

Paket, das entfernt werden soll, anhand seiner Knowledge Base-Nummer (KB) zu identifizieren.


/quiet Stiller Modus. Dies ähnelt dem unbeaufsichtigten Modus, es werden aber keine 

Status- oder Fehlermeldungen angezeigt. Verwenden Sie diesen Modus, wenn Sie ein 

Update im Rahmen eines Skripts installieren. 

/norestart Wenn Sie dieses Argument mit /quiet kombinieren, wird der Computer nicht 

neu gestartet, sobald die Installation abgeschlossen ist. Verwenden Sie dieses Argument, 

wenn Sie mehrere Updates gleichzeitig installieren. Alle außer dem zuletzt installierten 

Update sollten das Argument /norestart haben. 

/warnrestart Wenn Sie dieses Argument mit /quiet kombinieren, warnt der Installer 

den Benutzer, bevor er den Computer neu startet. 

/promptrestart Wenn Sie dieses Argument mit /quiet kombinieren, fragt der Installer 

beim Benutzer nach, ob der Computer neu gestartet werden darf. 

/forcerestart Wenn Sie dieses Argument mit /quiet kombinieren, schließt der Installer 

alle Anwendungen und startet den Computer neu. 

Skripts sind normalerweise nicht die beste Methode, um Updates regelmäßig zu installieren. 

Stattdessen sollten Sie Windows Update, WSUS oder Systems Management Server (SMS) 

verwenden. Sie können aber ein Skript erstellen, um Updates auf neuen Computern zu installieren 

oder auf Computern, bei denen Ihre übliche Methode für die Updateverteilung 

nicht genutzt werden kann. 

Überprüfen von Updates 

Microsoft veröffentlicht Updates normalerweise einmal pro Monat. Falls ein Computer keine 

Updates erhält oder die Updates nicht richtig installiert werden, weist er unter Umständen 

Sicherheitslücken auf, die es nicht gäbe, wären die Updates richtig installiert worden. Daher 

ist es sehr wichtig für die Sicherheit Ihrer Clientcomputer, dass Sie regelmäßig überprüfen, 

ob alle Updates richtig installiert wurden. 

Sie können sich den Updateverlauf ansehen, um zu überprüfen, ob Updates auf einem bestimmten 

Computer installiert wurden. Gehen Sie folgendermaßen vor, um den Updateverlauf 

anzuzeigen: 


2. Das Fenster Windows Update wird geöffnet. Klicken Sie auf den Link Updateverlauf 

anzeigen. 

3. Das Fenster Updateverlauf anzeigen wird geöffnet (Abbildung 7.4). Klicken Sie doppelt 

auf ein Update, um sich die Details anzusehen. 

Mithilfe von WSUS oder Configuration Manager 2007 können Sie die Updateinstallation 

auf allen Computern überwachen, die Sie in Ihrer Organisation verwalten. Wollen Sie die 

Computer in einem bestimmten Netzwerk überwachen, können Sie Microsoft Baseline 

Security Analyzer (MBSA) verwenden. (Damit können Sie Computer überwachen, die keine 

Mitglieder Ihrer AD DS-Domäne sind, aber für die Sie administrative Anmeldeinformationen 

haben.) Wie in Abbildung 7.5 zu sehen, durchsucht MBSA ein Netzwerk nach Windows- 

Computern, stellt eine Verbindung zu jedem her und überprüft den aktuellen Updatestatus.

Abbildung 7.4 Prüfen des Updateverlaufs mit dem Tool Windows Update 

Weitere Informationen MBSA 


Weitere Informationen über MBSA und die Möglichkeit zum kostenlosen Download finden 

Sie unter http://www.microsoft.com/mbsa/. 

Abbildung 7.5 Vorbereiten einer Netzwerküberprüfung mit MBSA 

Schnelltest 

1. Welches Tool verwenden Sie, um Updates mit einem Skript zu installieren? 

2. Welches Tool verwenden Sie, um Updates zu einem Windows 7-Abbild hinzuzufügen, 

bevor Sie es bereitstellen?


3. Welches Tool verwenden Sie, um Updates zu genehmigen, bevor sie in der gesamten 

Organisation bereitgestellt werden? 

4. Welches Tool verwenden Sie, um in einem Netzwerk nach fehlenden Updates zu 

suchen? 


1. Wusa.exe 

2. Windows System Image Manager 

3. WSUS 

4. MBSA 

Problembehandlung für die Updateinstallation 

Gelegentlich kann es vorkommen, dass beim Installieren eines Updates Probleme auftreten. 

Glücklicherweise stellt Windows 7 ausführliche Informationen über die Updateinstallation 

zur Verfügung. Die folgenden Abschnitte beschreiben, wie Sie Probleme mit Windows 

Update und dem Neustart-Manager beseitigen. 

Problembehandlung für Windows Update 

Gehen Sie folgendermaßen vor, um herauszufinden, warum die Installation eines Updates 

fehlgeschlagen ist: 

1. Sehen Sie sich die neuesten Einträge in der Datei %WinDir%\WindowsUpdate.log an. 

Stellen Sie sicher, dass der Client sich mit dem richtigen Updateserver verbindet, und 

werten Sie eventuelle Fehlermeldungen aus. Das folgende Beispiel zeigt einen Ausschnitt 

aus dieser Protokolldatei, der angibt, dass Windows Update Windows-Defender-Informationen 

direkt von Microsoft heruntergeladen hat: 

=========== Logging initialized (build: 7.3.7600.16385, tz: -0400) =========== 

Process: c:\program files\windows defender\MpCmdRun.exe 

Module: C:\Windows\system32\wuapi.dll 

------------- 

-- START -- COMAPI: Search [ClientId = Windows Defender] 

--------- 


Die Datei WindowsUpdate.log führt auch Einzelheiten zu aufgetretenen Updatefehlern 

auf. Ausführliche Informationen, wie Sie den Inhalt der Datei WindowsUpdate.log analysieren, 

finden Sie im Microsoft Knowledge Base-Artikel 902093 unter http://support. 

microsoft.com/kb/902093/. 

2. Wenn Ihre Organisation WSUS einsetzt, sollten Sie überprüfen, ob der Client Verbindung 

zum WSUS-Server aufnehmen kann. Öffnen Sie dazu einen Webbrowser und rufen Sie 

http:///iuident.cab auf. Wenn Sie aufgefordert werden, die Datei 

herunterzuladen, ist sichergestellt, dass der Client den WSUS-Server erreichen kann und 

es sich nicht um ein Verbindungsproblem handelt. Andernfalls haben Sie es mit einem 

Namensauflösungs- oder Verbindungsproblem zu tun, oder WSUS ist falsch konfiguriert. 

Weitere Informationen Problembehandlung für WSUS 

Weitere Informationen, wie Sie Probleme mit WSUS vom WSUS-Client aus behandeln, 

finden Sie in »Automatic Updates Must be Updated« unter http://technet.microsoft.com/ 

library/cc708554.aspx. 

3. Wenn Sie den Windows Update-Client über Gruppenrichtlinien konfigurieren, sollten 

Sie im Tool Richtlinienergebnissatz (Resultant Set of Policy, RSOP) überprüfen, ob die 

Konfiguration richtig ist. Erweitern Sie dazu im Tool RSOP (Rsop.msc) den Knoten 

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows 

Update und überprüfen Sie die Konfigurationseinstellungen. 

Falls Sie ein Problem gefunden und eine Konfigurationsänderung vorgenommen haben, um 

es zu beseitigen, müssen Sie den Windows Update-Dienst auf dem Clientcomputer neu starten, 

um sicherzustellen, dass die Änderung angewendet wird, und einen neuen Updatezyklus 

einleiten. Sie können dazu die Konsole Dienste verwenden oder die beiden folgenden Befehle 

mit administrativen Anmeldeinformationen ausführen: 

net stop wuauserv | net start wuauserv 

Innerhalb von 6 bis 10 Minuten versucht Windows Update, Kontakt mit Ihrem Updateserver 

aufzunehmen. 

Problembehandlung für den Neustart-Manager 

Ein Computer muss meist deshalb neu gestartet werden, weil eine Datei aktualisiert werden 

soll, die bereits verwendet wird. Der Neustart-Manager, eine Komponente von Windows 

Installer, versucht, diesen Vorgang nach Möglichkeit zu vermeiden, indem er Programme 

und Dienste, die Dateien verwenden, beendet und neu startet. Sie erkennen, ob ein Problem 

mit dem Neustart-Manager besteht, indem Sie die Ereignisanzeige öffnen und sich die 

folgenden Ereignisprotokolle ansehen: 

Windows-Protokolle\Anwendung 

Anwendungs- und Dienstprotokolle\Microsoft\Windows\RestartManager\Betriebsbereit 

Suchen Sie nach Warn- oder Fehlerereignissen mit der Quelle »RestartManager«. Das folgende 

Beispiel ist ein Warnereignis mit der Ereignis-ID 10010: 

Die Anwendung 'C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE' (PID 5592) kann 

nicht neu gestartet werden – Die Anwendungs-SID stimmt nicht mit der Dirigenten-SID 

überein.


Sie können sich allgemeine Windows Update-Ereignisse auch im Anwendungsprotokoll 

ansehen. Suchen Sie nach Ereignissen mit der Quelle »MsiInstaller«. 

Entfernen von Updates 

Gelegentlich kann es vorkommen, dass ein Update Kompatibilitätsprobleme verursacht. 

Falls Sie Probleme mit einer Anwendung oder einer Windows-Funktion haben, nachdem Sie 

Updates installiert haben, und eines der Updates direkt mit dem Problem zu tun haben könnte, 

sollten Sie das Update von Hand deinstallieren, um festzustellen, ob es tatsächlich die Ursache 

ist. 

Gehen Sie folgendermaßen vor, um ein Update von Hand zu deinstallieren: 


2. Klicken Sie unter Programme auf den Link Programm deinstallieren. 

3. Klicken Sie auf den Link Installierte Updates anzeigen. 

4. Wählen Sie das Update aus, das Sie entfernen wollen, und klicken Sie auf Deinstallieren 


Abbildung 7.6 Indem Sie ein Update deinstallieren, können Sie feststellen, ob es ein Problem 

verursacht hat 

5. Folgen Sie den angezeigten Anweisungen und starten Sie den Computer neu, falls Sie 

dazu aufgefordert werden. 

Sie können ein Update auch mit dem Tool Wusa.exe entfernen, wie im Abschnitt »Updates 

mithilfe von Skripts installieren« weiter oben in diesem Kapitel beschrieben. Wird das Problem 

durch das Entfernen des Updates nicht beseitigt, sollten Sie das Update wieder anwenden. 

Wird das Problem tatsächlich beseitigt, sollten Sie mit dem Anwendungsentwickler (im 

Fall einer Programminkompatibilität) oder Ihrem Microsoft Support-Ansprechpartner Kontakt 

aufnehmen und ihn über die Inkompatibilität informieren. Das Update korrigiert wahrscheinlich 

ein anderes Problem, daher sollten Sie unbedingt versuchen, das Kompatibilitätsproblem 

zu beseitigen und das Update zu installieren.

Übung Verteilen von Updates 


In dieser Übung konfigurieren Sie einen Windows 7-Client so, dass er Updates von einem 

WSUS-Server herunterlädt. 

Übung 1 Prüfen des aktuellen Updatestatus 

In dieser Übung prüfen Sie den Updatestatus auf Ihrem Windows 7-Computer. Sofern Sie 

noch gar keine Updates auf dem Windows 7-Computer installiert haben, können Sie gleich 

zu Übung 2 springen. 

1. Melden Sie sich als Administrator am Windows 7-Computer CLIENT1 an. 


3. Klicken Sie unter Programme auf Programm deinstallieren. 

4. Klicken Sie auf der Seite Programme und Funktionen auf Installierte Updates anzeigen. 

5. Klicken Sie mit der rechten Maustaste auf eines der Updates und wählen Sie den Befehl 

Deinstallieren. Klicken Sie auf Ja, um den Vorgang zu bestätigen. Starten Sie den Computer 

neu, falls Sie dazu aufgefordert werden. 

Indem Sie dieses Update deinstallieren, können Sie es später mit WSUS erneut installieren. 

6. Klicken Sie auf System und Sicherheit und dann auf Windows Update. 

7. Klicken Sie auf Nach Updates suchen. Es müsste jetzt mindestens ein Update verfügbar 


8. Klicken Sie auf Verfügbare Updates anzeigen. Weil der Windows 7-Computer mit der 

Standardeinstellung konfiguriert ist, nimmt Windows Update direkt mit Microsoft Kontakt 

auf, um nach den neuesten Updates zu suchen. 

Übung 2 Konfigurieren WSUS 

In dieser Übung installieren Sie WSUS auf einem Server, genehmigen Updates und konfigurieren 

dann einen Windows 7-Client so, dass er Updates von diesem Server abruft. 

1. Melden Sie sich am Server DC1 als Administrator an. 

2. Klicken Sie im Startmenü auf Verwaltung und dann auf Server-Manager. 

3. Klicken Sie auf den Knoten Rollen und dann in der Detailansicht auf Rollen hinzufügen. 

Der Assistent "Rollen hinzufügen" wird geöffnet. 


5. Aktivieren Sie auf der Seite Serverrollen auswählen das Kontrollkästchen Windows 

Server Update Services (WSUS). Fügen Sie alle benötigten Rollendienste hinzu, wenn 

Sie dazu aufgefordert werden. Klicken Sie viermal auf Weiter und dann auf Installieren. 

6. Warten Sie, bis der Setup-Assistent für Windows Server Update Services erscheint 

(unter Umständen ist das Fenster hinter dem Assistenten "Rollen hinzufügen" verborgen), 

und klicken Sie auf Weiter.


Hinweis WSUS-Version 

Wenn Sie die WSUS-Serverrolle hinzufügen, lädt Windows Server 2008 R2 die neueste 

Version direkt von Microsoft herunter. Als dieses Buch geschrieben wurde, war die aktuelle 

Version WSUS 3.0 mit Service Pack 2. Falls Microsoft WSUS inzwischen aktualisiert 

hat, verlaufen die Schritte zum Installieren von WSUS möglicherweise etwas anders. 

Sie können wahrscheinlich weiterhin die Standardeinstellungen verwenden, sollten aber 

einstellen, dass die Updates nicht lokal gespeichert werden. 

7. Lesen Sie auf der Seite Lizenzvertrag den Lizenzvertrag durch, wählen Sie Ich stimme 

den Bedingungen des Lizenzvertrags zu aus und klicken Sie auf Weiter. 

8. Klicken Sie auf der Seite Zur Verwendung der Verwaltungsbenutzeroberfläche erforderliche 

Komponenten auf Weiter. 

9. Deaktivieren Sie auf der Seite Updatequelle auswählen das Kontrollkästchen Updates 

lokal speichern, damit der WSUS-Server nicht alle Updates lokal kopiert. In einer Produktivumgebung 

würden Sie dieses Kontrollkästchen aktiviert lassen, damit Clients 

Updates von Ihrem WSUS-Server (innerhalb Ihres lokalen Netzwerks) herunterladen 

statt direkt von Microsoft (über Ihre Internetverbindung). Klicken Sie auf Weiter. 

10. Klicken Sie auf der Seite Datenbankoptionen auf Weiter. 

11. Klicken Sie auf Weiter, falls die Seite Verbindungsherstellung mit der SQL Server- 

Instanz angezeigt wird. 

12. Klicken Sie auf der Seite Websiteauswahl auf Weiter, um die IIS-Standardwebsite zu 

verwenden. In einer Produktivumgebung würden Sie eine neue WSUS-Website anlegen, 

falls der WSUS-Server andere Websites hostet. 

13. Klicken Sie auf der Seite Windows Server Update Services kann jetzt installiert werden 

auf Weiter. 

14. Klicken Sie auf der Seite Fertigstellen des Setup-Assistenten für Windows Server Update 

Services auf Fertig stellen. 

15. Klicken Sie auf der Seite Installationsergebnisse auf Schließen. Starten Sie Ihren Computer 

neu, wenn Sie dazu aufgefordert werden. 

Anschließend konfigurieren Sie WSUS so, dass Updates nur installiert werden, nachdem sie 

von Ihnen genehmigt wurden. Gehen Sie dazu folgendermaßen vor: 

1. Unter Umständen wurde der Assistent zur Konfiguration von Windows Server Update 

Services automatisch gestartet. Ist das nicht der Fall, müssen Sie im Startmenü auf Verwaltung 

und dann auf Windows Server Update Services klicken. 

2. Klicken Sie auf der Seite Vorbemerkung auf Weiter. 

3. Klicken Sie auf der Seite Nehmen Sie am Programm zur Verbesserung von Microsoft 

Update teil auf Weiter. 

4. Klicken Sie auf der Seite Upstreamserver auswählen auf Weiter. 

5. Klicken Sie auf der Seite Proxyserver angeben auf Weiter. 

6. Klicken Sie auf der Seite Mit Upstreamserver verbinden auf Verbindung starten. Warten 

Sie, während der WSUS-Konfigurationsassistent Informationen von Microsoft Update 

herunterlädt. Klicken Sie auf die Schaltfläche Weiter, wenn sie verfügbar ist.


7. Auf der Seite Produkte auswählen sehen Sie, dass in der Standardeinstellung nur Updates 

für Office und Windows heruntergeladen werden. Sehen Sie sich die anderen verfügbaren 

Updatetypen durch, um sich damit vertraut zu machen. Übernehmen Sie die 

Standardeinstellungen, indem Sie auf Weiter klicken. 

8. Aktivieren Sie auf der Seite Klassifizierungen auswählen das Kontrollkästchen Alle 

Klassifizierungen. Klicken Sie auf Weiter. 

9. Klicken Sie auf der Seite Synchronisierungszeitplan festlegen auf Weiter. 

10. Klicken Sie auf der Seite Fertig gestellt auf Weiter. 

11. Lesen Sie auf der Seite Nächste Schritte, welche Konfigurationsaufgaben Sie für WSUS 

zusätzlich durchführen müssen. Klicken Sie auf Fertig stellen. 

Hinweis WSUS-Konfiguration in einer Produktivumgebung 

Weil sich diese Prüfung auf den Windows 7-Client konzentriert und nicht auf den WSUS- 

Server, beschreibt die Übung nicht alle diese Konfigurationsschritte. In einer Produktivumgebung 

sind aber zusätzliche Konfigurationsschritte für WSUS erforderlich. 

12. Nun müssen Sie AD DS-Gruppenrichtlinieneinstellungen so konfigurieren, dass Domänenmitglieder 

sich mit dem WSUS-Server synchronisieren. Klicken Sie auf DC1 im 

Startmenü auf Verwaltung und dann auf Gruppenrichtlinienverwaltung. 

13. Wählen Sie in der Konsole Gruppenrichtlinienverwaltung den Knoten Gruppenrichtlinienverwaltung\Gesamtstruktur\Domänen\nwtraders.msft\Default 

Domain Policy aus. 

Klicken Sie mit der rechten Maustaste auf Default Domain Policy und wählen Sie den 

Befehl Bearbeiten. 

14. Wählen Sie im Gruppenrichtlinienverwaltungs-Editor den Knoten Computerkonfiguration\Richtlinien\Administrative 

Vorlagen\Windows-Komponenten\Windows Update aus. 

15. Klicken Sie doppelt auf die Richtlinie Internen Pfad für den Microsoft Updatedienst 

angeben. Wählen Sie die Option Aktiviert aus. Tragen Sie im Feld Interner Updatedienst 

zum Ermitteln von Updates die Adresse des Computers ein, auf dem WSUS läuft, in 

diesem Beispiel also http://DC1. Damit konfigurieren Sie die Clients, auf die dieses 

Gruppenrichtlinienobjekt angewendet wird, so, dass sie nicht Microsoft Update, sondern 

den WSUS-Server abfragen. Klicken Sie auf OK. 

16. Klicken Sie im Gruppenrichtlinienverwaltungs-Editor doppelt auf die Richtlinie Automatische 

Updates konfigurieren. Wählen Sie die Option Aktiviert aus. Sehen Sie sich die 

verfügbaren Einstellungen in der Dropdownliste Automatische Updates konfigurieren 

durch. Wählen Sie den Eintrag 3 – Autom. Herunterladen, aber vor Installation benachrichtigen. 

Übernehmen Sie die Standardeinstellungen, indem Sie auf OK klicken. 

17. Klicken Sie doppelt auf die Richtlinie Empfohlene Updates über automatische Updates 

aktivieren. Wählen Sie die Option Aktiviert aus. Damit weisen Sie Windows Update an, 

sowohl empfohlene Updates, zu denen Treiberupdates und neue Windows-Features gehören, 

als auch wichtige Updates zu installieren. Klicken Sie auf OK. 

18. Klicken Sie im Startmenü auf Verwaltung und dann auf Windows Server Update Services. 

19. Falls Ihr Server in der Konsole Update Services nicht innerhalb des Knotens Update 

Services aufgeführt wird, müssen Sie im Fensterabschnitt Aktionen auf den Link Verbin-


dung mit dem Server herstellen klicken, den Servernamen eingeben und auf Verbinden 

klicken. 

20. Wählen Sie den Knoten Update Services\\Computer\Synchronisierungen 

aus. Wählen Sie eine Synchronisierung aus, sofern momentan eine ausgeführt wird. Warten 

Sie, bis die Synchronisierung abgeschlossen ist. 

21. Wählen Sie den Knoten Update Services\\Updates\Alle Updates aus. 

Wählen Sie in der Dropdownliste Genehmigung den Eintrag Nicht genehmigt aus. Wählen 

Sie in der Dropdownliste Status den Eintrag Fehlgeschlagen oder erforderlich aus. 

Klicken Sie nun auf Aktualisieren und warten Sie einige Minuten, bis die Konsole Update 

Services die Liste der nicht genehmigten Updates anzeigt. 

22. Klicken Sie mit der rechten Maustaste auf alle angezeigten Updates und klicken Sie auf 

Genehmigen. Drücken Sie die Tastenkombination STRG+A, um alle Updates auszuwählen. 

Werden keine Updates aufgelistet, sollten Sie überprüfen, ob Ihr Windows 7-Computer 

CLIENT1 im Knoten Computer\Alle Computer aufgeführt ist. Finden Sie noch 

immer keine Updates, sollten Sie prüfen, ob der WSUS-Server die verfügbaren Updates 

von Microsoft heruntergeladen hat. Wenn Updates synchronisiert wurden, müssen Sie 

unter Umständen warten, bis Windows Update auf dem Client den WSUS-Server über 

seinen aktuellen Status benachrichtigt hat. 

23. Klicken Sie im Dialogfeld Updates genehmigen auf die Gruppe Alle Computer und dann 

auf Für die Installation genehmigt (Abbildung 7.7). Klicken Sie auf OK. 

Abbildung 7.7 Genehmigen von Updates für alle Computer 

24. Lesen Sie sich bei Bedarf die Lizenzbedingungen durch und klicken Sie so oft wie nötig 

auf Ich stimme zu. 

25. Klicken Sie im Dialogfeld Status der Genehmigung auf Schließen. 

Übung 3 Abrufen von Updates von Windows Server Update Services 

In dieser Übung prüfen Sie, ob Updates für Ihren Windows 7-Clientcomputer zur Verfügung 

stehen. 

1. Melden Sie sich an Ihrem Windows 7-Computer CLIENT1 an. 

2. Warten Sie einige Minuten, bis Windows 7 eine Benachrichtigung anzeigt, dass Updates 

verfügbar sind. Klicken Sie auf das Benachrichtigungsfeld.


3. Klicken Sie im Fenster Windows Update auf Updates installieren. Folgen Sie den angezeigten 

Anweisungen, um die Updateinstallation abzuschließen und den Computer bei 

Bedarf neu zu starten. 

Übung 4 Entfernen eines Updates 

In dieser Übung entfernen Sie ein Update von Ihrem Windows 7-Clientcomputer. In der 

Praxis ist das sinnvoll, wenn ein Update Probleme mit der Anwendungskompatibilität verursacht. 

1. Melden Sie sich an Ihrem Windows 7-Computer CLIENT1 an. 


3. Klicken Sie unter Programme auf Programm deinstallieren. 

4. Klicken Sie auf Installierte Updates anzeigen. 

5. Klicken Sie auf eines der Updates, die Sie in Übung 3 installiert haben. Klicken Sie auf 

Deinstallieren. 


Microsoft stellt drei Methoden zum Verteilen von Updates zur Verfügung: den Windows 

Update-Client (in Windows 7 eingebaut), WSUS (ein kostenloses Tool, das auf einem 

Windows Server 2008 R2-Computer installiert werden kann) und Configuration Manager 

2007 (ein Softwareverteilungstool für Großunternehmen). Diese Tools wurden jeweils 

für kleine, mittlere und große Organisationen entwickelt. 

Sie sollten Updates mit wichtigen Anwendungen testen, bevor Sie die Updates auf vielen 

Computern bereitstellen. Um die Gefahr einer Anwendungsinkompatibilität weiter zu 

verringern, sollten Sie Updates zuerst in einer Pilotgruppe bereitstellen. Den Mitgliedern 

der Pilotgruppe fallen Kompatibilitätsprobleme vermutlich auf, sodass sie die IT-Abteilung 

informieren können, bevor das Update an die gesamte Organisation verteilt wird. 

Sie können überprüfen, ob ein Update auf einem einzelnen Computer installiert wurde, 

indem Sie den Updateverlauf anzeigen. Wenn Sie WSUS in Ihrer Organisation verwenden, 

können Sie die von WSUS generierten Berichte ansehen und so herausfinden, auf 

welchen Computern ein bestimmtes Update installiert ist. Wenn Sie Computer in einem 

Netzwerk überwachen wollen (unabhängig davon, ob sie auf WSUS zugreifen), können 

Sie das kostenlose Tool MBSA verwenden. 

Sie können Updates mit dem Systemsteuerungselement Windows Update interaktiv 

installieren. Das wäre aber sehr zeitaufwendig. Stattdessen sollten Sie Windows Update 

entweder über grafische Tools oder mithilfe von Gruppenrichtlinieneinstellungen konfigurieren. 

Falls Sie Updates sofort installieren müssen (zum Beispiel sobald sich ein 

Benutzer anmeldet), können Sie Skripts erstellen, die Updates installieren. 

Tritt beim Installieren eines Updates ein Problem auf, können Sie das Problem diagnostizieren, 

indem Sie den Updateverlauf anzeigen, die Datei %WinDir%\WindowsUpdate.log 

auswerten oder die WSUS-Protokolle analysieren. Einfache Probleme lassen sich oft 

dadurch beseitigen, dass Sie den Windows Update-Dienst neu starten. 

Falls Sie nach der Installation eines Updates ein Kompatibilitätsproblem entdecken, 

können Sie das Update von Hand entfernen oder es über WSUS deinstallieren.




»Aktualisieren von Software«, überprüfen. Die Fragen finden Sie (in englischer Sprache) 






1. Welche der folgenden Methoden empfehlen Sie, um Updates in einer kleinen Firma mit 

fünf Windows 7-Clientcomputern zu verteilen? 

A. Erklären Sie den Angestellten, wie sie von Hand Windows Update starten, falls sie 

Probleme bemerken. 

B. Konfigurieren Sie Windows Update auf allen Computern so, dass es Updates direkt 

von Microsoft herunterlädt. 

C. Installieren Sie WSUS und konfigurieren Sie Windows Update so, dass es Updates 

vom WSUS-Server herunterlädt. 

D. Stellen Sie Updates mithilfe von SMS und WSUS bereit. 

2. Sie arbeiten für eine mittelgroße Organisation, die etwa 100 Clientcomputer verwaltet. 

Die IT-Abteilung besteht darauf, alle Updates zu testen, bevor sie auf Computer angewendet 

werden. Welche der folgenden Methoden empfehlen Sie, um innerhalb dieser 

Organisation Updates zu verteilen? 

A. Erklären Sie den Angestellten, wie sie von Hand Windows Update starten, falls sie 

Probleme bemerken. 

B. Konfigurieren Sie Windows Update auf allen Computern so, dass es Updates direkt 

von Microsoft herunterlädt. 

C. Installieren Sie WSUS und konfigurieren Sie Windows Update so, dass es Updates 

vom WSUS-Server herunterlädt. 

D. Stellen Sie Updates mithilfe von SMS und WSUS bereit. 

3. Sie erstellen eine Batchdatei, die Updates installiert, sobald ein Windows 7-Computer 

zum ersten Mal startet. Wie gehen Sie dabei vor? 

A. Rufen Sie Update.exe auf und geben Sie den Pfad zur Updatedatei an. 

B. Rufen Sie Msiexec.exe auf und geben Sie den Pfad zur Updatedatei an. 

C. Führen Sie die ausführbare Datei aus, die das Update enthält. 

D. Rufen Sie Wusa.exe auf und geben Sie den Pfad zur Updatedatei an.




vertiefen: 









Kleine Büros, in denen Updates nicht vor der Bereitstellung getestet werden müssen, 

können Windows Update so konfigurieren, dass Updates automatisch von Microsoft 

heruntergeladen und installiert werden, sobald sie verfügbar sind. Verursacht ein Update 

Probleme, können die Administratoren es von Hand entfernen. Größere Organisationen 

können WSUS einsetzen, um Updates zu testen und zu genehmigen, bevor sie bereitgestellt 

werden. Für Großunternehmen, die zusätzliche Verwaltungsfähigkeiten benötigen, 

bietet sich Configuration Manager 2007 an, das die Updateverwaltung vollständig steuert. 

Wenn Sie neue Computer bereitstellen, sollten Sie Updates sofort installieren, damit der 

Computer nicht durch einen Netzwerkangriff kompromittiert werden kann. Glücklicherweise 

stellt Microsoft für diese Aufgabe eine Vielzahl von Methoden zur Verfügung. 

Wenn Computer in einem isolierten Netzwerk liegen und vor Angriffen geschützt sind, 

können sie Updates auf herkömmlichem Weg, also mit Microsoft Update herunterladen 

und installieren. Um die Bereitstellung zu beschleunigen, können Sie Updatepakete zu 

einem Windows 7-Abbild hinzufügen oder die Installation von Updates mit Skripts ausführen, 

sobald das Setup abgeschlossen ist. 

Gelegentlich kommt es vor, dass Probleme beim Installieren von Updates auftreten. Damit 

Administratoren alle Informationen bekommen, die sie brauchen, um die Ursache des 

Problems zu ermitteln, zeichnet Windows Update ausführliche Informationen in der 

Textprotokolldatei %WinDir%\WindowsUpdate.log und im Ereignisprotokoll auf. 


Wissen Sie, was die folgenden Schlüsselbegriffe bedeuten? Sie können Ihre Antworten 

überprüfen, indem Sie die Begriffe im Glossar am Ende dieses Buchs nachschlagen. 

Kritisches Update 

Microsoft Systems Center Configuration Manager 2007 

(Configuration Manager 2007) 

Pilotgruppe 

Qualitätssicherung (Quality Assurance, QA)


Neustart-Manager 

Service Pack 

Windows Server Update Services (WSUS) 


In den folgenden Übungen mit Fallbeispiel wenden Sie an, was Sie über die in diesem Kapitel 

behandelten Themen gelernt haben. Die Lösungen zu den Fragen finden Sie im Abschnitt 


Übung mit Fallbeispiel 1: Verteilen von Updates 

Sie sind Systemadministrator in der Verwaltung von Fourth Coffee, einem kleinen Laden 

mit drei Windows XP-Computern, drei Windows 7-Computern und einem Windows Server 

2008 R2-Domänencontroller. Vor Kurzem hat ein Update ein Kompatibilitätsproblem mit 

dem internen Buchhaltungsprogramm von Fourth Coffee verursacht. Momentan sind alle 

Computer so konfiguriert, dass sie Updates von Microsoft herunterladen und nachts automatisch 

installieren. 

Ihr Manager hat Sie beauftragt, einen Weg zu finden, Updates zu testen, bevor sie auf den 

Computern in Ihrer Organisation bereitgestellt werden. 

Fragen 


1. Wie können Sie Updates testen, bevor sie bereitgestellt werden? 

2. Erfordert Ihre empfohlene Bereitstellungstechnologie irgendeine Infrastruktur? 

3. Funktioniert Ihre empfohlene Bereitstellungstechnologie sowohl mit Windows XP- als 

auch Windows 7-Computern? 

4. Wie können Sie die Clientcomputer so konfigurieren, dass sie Ihre neue Bereitstellungstechnologie 

nutzen? 

Übung mit Fallbeispiel 2: Überwachen von Updates 

Sie sind Systemadministrator bei Fabrikam. Letzten Monat hat Microsoft ein Sicherheitsupdate 

veröffentlicht, das eine Sicherheitslücke in Windows 7 schließt. Gestern hat im Internet 

jemand ein Exploit für diese Sicherheitslücke veröffentlicht. Der Exploit hat bereits 

Zehntausende ungepatchter Computer im Internet infiziert. 

Sie haben das Update letzte Woche über Ihren WSUS-Server bereitgestellt. Ihr Manager will 

aber absolut sicher gehen, dass alle Computer in Ihrem Unternehmen geschützt sind. 

Fragen 


1. Wie spüren Sie am schnellsten alle Computer auf, bei denen das Update nicht installiert 

ist?


2. Gibt es ein Tool, mit dem wir das Netzwerk nach Computern durchsuchen können, auf 

denen das Update nicht installiert wurde, obwohl sie so konfiguriert sind, dass sie ihre 

Updates direkt von Microsoft herunterladen? Was ist das für ein Tool? 

3. Wenn Benutzer anrufen und nachfragen, will ich ihnen erklären, wie sie bei ihrem eigenen 

Computer überprüfen können, ob das Update installiert ist. Wie können Benutzer 

feststellen, ob das Update installiert ist? 


Um die in diesem Kapitel behandelten Prüfungsziele zu meistern, sollten Sie die folgenden 

Übungen durcharbeiten. 

Untersuchen und Beseitigen von Softwareupdateproblemen 

Im Rahmen dieser Aufgabe sollten Sie auf jeden Fall die ersten vier Übungen durcharbeiten. 

Übung 5 verschafft Ihnen Erfahrung mit MBSA, das in der Prüfung wahrscheinlich nicht 

behandelt wird, aber ein wertvolles Tool zum Verwalten von Computern in der Praxis ist. 

Wenn Sie genauer wissen wollen, wie Updates mit WSUS bereitgestellt werden, sollten Sie 

die letzten beiden Übungen durcharbeiten. 

Übung 1 Deinstallieren Sie ein neueres Update und installieren Sie es neu. 

Übung 2 Analysieren Sie das Systemereignisprotokoll und suchen Sie alle Updates, 

die vor Kurzem installiert wurden. 

Übung 3 Sehen Sie sich die Datei %WinDir%\WindowsUpdate.log durch und suchen 

Sie alle Updates, die vor Kurzem installiert wurden. 

Übung 4 Lesen Sie die Blogs des Windows Update-Teams unter http://blogs.technet. 

com/mu/ und des WSUS-Produktteams unter http://blogs.technet.com/wsus/. 

Übung 5 Suchen Sie mit MBSA nach Computern in Ihrem Netzwerk, bei denen 

Updates fehlen oder andere potenzielle Sicherheitslücken vorhanden sind. 

Übung 6 Konfigurieren Sie alle Computer in Ihrer Testumgebung so, dass sie Updates 

von Ihrem WSUS-Server herunterladen. Verwenden Sie dann Gruppenrichtlinieneinstellungen, 

um die Computer so zu konfigurieren, dass sie Updates automatisch installieren 

und den Computer sofort neu starten. Genehmigen Sie einige neue Updates und warten 

Sie, bis die Updates installiert wurden. 

Übung 7 Konfigurieren Sie einen zweiten WSUS-Server so, dass er Updates direkt 

von Ihrem ersten WSUS-Server herunterlädt. 








Erklärungen ansehen können.






Leistung 

Windows 7 müsste von allen bisherigen Windows-Versionen die beste Leistung bieten. Aber 

bei jedem Computer sind die Prozessor-, Arbeitsspeicher- und Laufwerksressourcen endlich, 

und jeder Computer reagiert langsam, wenn ungünstige Umstände eintreten. Weil Sie keine 

IT-Umgebung zusammenstellen können, die völlig frei von Problemen ist, müssen Sie zumindest 

planen, wie Sie Probleme im Fall ihres Auftretens schnell identifizieren und beseitigen. 

Windows 7 enthält mehrere Features, die es Administratoren ermöglichen, Leistungsprobleme 

zu überwachen und darauf zu reagieren. 

Erstens kann Windows 7 Ereignisse zwischen Computern weiterleiten, sodass Sie wichtige 

Ereignisse aus dem gesamten Netzwerk zentral sammeln können. Mit dem Task-Manager 

können Sie die Leistung in Echtzeit überwachen, Prioritäten anpassen, die Prozessorzugehörigkeit 

unterschiedlicher Prozesse ändern, steuern, wie viel Prozessorzeit einzelne Prozesse 

erhalten, und Prozesse beenden, die nicht auf Benutzereingaben reagieren. Die Leistungsüberwachung 

liefert sogar noch ausführlichere Informationen über die Systemleistung, 

sodass Sie winzige Details von Betriebssystem, Anwendungen und Hardware überwachen 

können. 

Treten sporadische Leistungsprobleme auf, können Sie in einem Sammlungssatz eine Momentaufnahme 

der Systemleistung aufzeichnen und die Leistungsdaten später analysieren. 

Falls Sie feststellen, dass die Festplatte Ihre Leistungsprobleme verursacht, müssen Sie unter 

Umständen mit dem Tool Datenträgerbereinigung Platz auf den Datenträgern freiräumen, 

damit Windows 7 die Festplatte automatisch defragmentieren kann. 

Die Leistungseinstellungen für mobile Computer sind komplexer als für Desktopcomputer, 

weil ihre Konfiguration darauf optimiert ist, die Akkulaufzeit zu verlängern. Um Leistungsprobleme 

mit mobilen Computern effizient behandeln zu können, müssen Sie wissen, wie 

Sie die unterschiedlichen Leistungseinstellungen konfigurieren. Und wenn Sie den Verdacht 

haben, dass ein Leistungsproblem durch einen automatisch gestarteten Dienst oder eine 

Autostartanwendung verursacht wird, können Sie die Dienste und Anwendungen mit dem 

Tool Systemkonfiguration zeitweise deaktivieren, um auf diese Weise die Ursache des 

Problems zu isolieren. 


Untersuchen und Beseitigen von Leistungsproblemen 


Lektion 1: Weiterleiten von Ereignissen ................................ 301 

Lektion 2: Behandeln von Leistungsproblemen ........................... 318 

299

300 Kapitel 8: Leistung 








Praxistipp 

Tony Northrup 

Vor Kurzem untersuchte ich sporadisch auftretende Leistungsprobleme auf einem Webserver. 

In scheinbar zufälligen Abständen wurde der Webserver so langsam, dass die 

Benutzer die Site überhaupt nicht mehr besuchen konnten. In dem Moment, als sich ein 

Benutzer bei mir beschwerte, war die Site aber schon wieder verfügbar. 

Um das Problem einzukreisen, führte ich die Leistungsüberwachung im Protokollierungsmodus 

aus. Dabei fand ich heraus, dass die gesamte Prozessorauslastung während der 

10-minütigen Phase, in der die Probleme auftraten, auf 100 Prozent stieg (während sie 

normalerweise rund 10 Prozent betrug). Bis der Server Webanforderungen bediente, 

vergingen in diesen Phasen durchaus 30 Sekunden (im Normalbetrieb 0,02 Sekunden). 

Während ich die Leistung der einzelnen Prozesse überwachte, verbrauchte keiner dieser 

Prozesse die zusätzliche Prozessorzeit. Der schuldige Prozess war also zu dem Zeitpunkt, 

als ich die Leistungsüberwachung konfigurierte, nicht gelaufen. Die Leistungsüberwachung 

half mir, weitere Symptome des Problems zu finden, aber die tatsächliche 

Ursache kannte ich noch nicht. 

Ich notierte, wann das Problem auftrat, und untersuchte diese Zeitabschnitte in der Ereignisanzeige. 

Dabei stellte sich heraus, dass Fehlermeldungen des Webservers aufgezeichnet 

wurden, weil die Webanforderungen nicht schnell genug verarbeitet wurden. Das 

war natürlich nicht die Ursache, sondern eine Folge der hohen Prozessorauslastung. 

Diese Ereignisse brachten mich aber auf die richtige Spur für die Problembehandlung, 

weil sie konsistent immer dann auftraten, wenn das Problem begann. Ich richtete einen 

Ereignistrigger ein, der eine Nachricht an mein Telefon schickte, sobald das Ereignis 

auftrat. Als es das nächste Mal so weit war, rannte ich zur Webserverkonsole, öffnete den 

Task-Manager und fand den Prozess, der die gesamte Prozessorzeit verbrauchte. 

Dieser Prozess war ein Skript, das die Datenbank aufräumte. Es war so geschrieben, dass 

es 100 Prozent der Prozessorzeit mit Beschlag belegte und den gesamten Server ausbremste. 

Der Webserver startete das Skript automatisch nach einer bestimmten Zahl von 

Datenbanktransaktionen, was erklärte, warum die Abstände rein zufällig wirkten. 

Um das Problem zu beseitigen, änderte ich, wie das Skript gestartet wurde. Statt das 

Skript direkt auszuführen, rief ich das Tool Start.exe auf, wobei ich mit dem Argument 

/low festlegte, dass das Skript mit niedrigerer Priorität laufen sollte. Außerdem verwendete 

ich das Argument /affinity, um einzustellen, dass das Skript nur einen der vier 

Prozessorkerne auf dem Webserver benutzen durfte. Auf diese Weise brauchte das Skript 

länger, brachte aber nicht den ganzen Webserver zum Erliegen.

Lektion 1: Weiterleiten von Ereignissen 

Lektion 1: Weiterleiten von Ereignissen 301 

In Microsoft Windows tragen sowohl das Betriebssystem als auch Anwendungen Ereignisse 

in die Ereignisprotokolle ein. Die meisten dieser Ereignisse sind Informationsmeldungen 

(zum Beispiel gibt ein Ereignis an, dass der Computer startet) und können ohne Weiteres 

ignoriert werden. Aber oft sind sehr wichtige Ereignisse innerhalb von Tausenden unbedeutender 

Ereignisse vergraben. Diese wichtigen Ereignisse weisen unter Umständen auf einen 

bevorstehenden Festplattenausfall hin, auf einen erfolgreichen Hackerangriff oder auf einen 

Benutzer, der auf dringend benötigte Netzwerkressourcen nicht zugreifen kann. 

Jeder Windows-Computer hat ein lokales Ereignisprotokoll. Weil Großunternehmen oft 

Tausende von Computern haben, jeder mit seinem eigenen lokalen Ereignisprotokoll, war es 

in älteren Windows-Versionen sehr schwierig, wirklich wichtige Ereignisse zu überwachen. 

Die Ereignisweiterleitung in Windows Vista und Windows 7 macht es Großunternehmen 

deutlich einfacher, lokale Ereignisprotokolle zu verwalten. Mit der Ereignisweiterleitung 

können Sie Windows-Computer so konfigurieren, dass sie wichtige Ereignisse an eine 

zentrale Stelle weiterleiten. Dann können Sie diese zentralisierten Ereignisse einfacher 

überwachen und darauf reagieren. 

Diese Lektion beschreibt, wie Sie die Ereignisweiterleitung konfigurieren und verwalten. 


Beschreiben, wie die Ereignisweiterleitung arbeitet 

Konfigurieren der Ereignisweiterleitung in AD DS-Umgebungen (Active Directory 

Domain Services) 

Konfigurieren der Ereignisweiterleitung in Arbeitsgruppenumgebungen 

Durchführen einer Problembehandlung für die Ereignisweiterleitung 


So funktioniert die Ereignisweiterleitung 

Die Ereignisweiterleitung nutzt HTTP (Hypertext Transfer Protocol) oder HTTPS (Hypertext 

Transfer Protocol Secure), dieselben Protokolle, die beim Besuchen von Websites zum 

Einsatz kommen. Sie sendet Ereignisse von einem Weiterleitungscomputer (engl. forwarding 

computer, der Computer, auf dem Ereignisse ausgelöst werden) an einen Sammelcomputer 

(engl. collecting computer, der Computer, der die Ereignisse sammelt). Mithilfe der Ereignisweiterleitung 

können Sie wichtige Ereignisse von jedem beliebigen Computer in Ihrer Organisation 

an Ihre Arbeitsstation senden lassen und so die Ereignisse von Ihrem Schreibtisch 

aus überwachen. 

Obwohl HTTP normalerweise unverschlüsselt ist, sendet die Ereignisweiterleitung ihre 

Kommunikation verschlüsselt. In Arbeitsgruppenumgebungen benutzt sie dazu den Microsoft 

Negotiate-SSP (Security Support Provider), in Domänenumgebungen den Microsoft 

Kerberos-SSP. HTTPS benutzt ein SSL-Zertifikat (Secure Sockets Layer), um eine zusätzliche 

Verschlüsselungsschicht bereitzustellen. (Dieses Zertifikat müssen Sie generieren.) In 

den meisten Umgebungen ist diese zusätzliche Verschlüsselungsschicht allerdings unnötig.


Weitere Informationen SSP-Anbieter 

Weitere Informationen über SSP-Anbieter finden Sie unter http://msdn2.microsoft.com/enus/library/aa380502.aspx. 

Prüfungstipp 

Denken Sie bei der Prüfung daran, dass die Ereignisweiterleitung auch dann mit Verschlüsselung 

arbeitet, wenn Sie das Protokoll HTTP auswählen. Das leuchtet nicht direkt ein, da 

HTTP immer unverschlüsselt ist, wenn Sie damit im Web surfen. 

Konfigurieren der Ereignisweiterleitung in AD DS-Domänen 

Um Ereignisse weiterzuleiten, müssen Sie einerseits den Computer konfigurieren, der die 

Ereignisse weiterleitet, und andererseits den Computer, der die Ereignisse sammelt. Der 

Weiterleitungscomputer ist der Computer, der die Ereignisse generiert. Der Sammelcomputer 

ist die Verwaltungsarbeitsstation, an der Administratoren die Ereignisse überwachen. 

Die Konfiguration, die Sie zum Weiterleiten und Sammeln von Ereignissen erstellen, wird 

als Ereignisabonnement (event subscription) bezeichnet. 

Die Ereignisweiterleitung ist in Windows 7 in der Standardeinstellung nicht aktiviert. Bevor 

Sie die Ereignisweiterleitung nutzen können, müssen auf Weiterleitungs- und Sammelcomputer 

zwei Dienste laufen: 

Windows-Remoteverwaltung 

Windows-Ereignissammlung 

Außerdem muss der Weiterleitungscomputer eine Windows-Firewallausnahme für das 

Protokoll HTTP definieren. Je nachdem, welche Optimierungstechnik für die Ereignisübermittlung 

Sie auswählen, müssen Sie auch noch eine Windows-Firewallausnahme für den 

Sammelcomputer konfigurieren. Glücklicherweise stellt Windows 7 Tools zur Verfügung, 

die das Konfigurieren von Weiterleitungs- und Sammelcomputern automatisieren. 

Die folgenden Abschnitte beschreiben Schritt für Schritt, wie Sie Computer für die Ereignisweiterleitung 


Konfigurieren des Weiterleitungscomputers 

Gehen Sie folgendermaßen vor, um einen Windows 7-Computer so zu konfigurieren, dass er 

Ereignisse weiterleitet: 

1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, indem Sie im Suchfeld des 

Startmenüs cmd eingeben und die Tastenkombination STRG+UMSCHALT+EINGABE- 

TASTE drücken. 

Tipp Öffnen einer administrativen Eingabeaufforderung 

Sie können eine administrative Eingabeaufforderung auch öffnen, indem Sie im Startmenü 

mit der rechten Maustaste auf Eingabeaufforderung klicken und den Befehl Als 

Administrator ausführen wählen. Die Tastenkombination STRG+UMSCHALT+EIN- 

GABETASTE kürzt diesen Vorgang lediglich ab (besonders wenn Sie lieber mit der 

Tastatur als mit der Maus arbeiten).


2. Führen Sie an der Eingabeaufforderung den folgenden Befehl aus, um den Dienst 

Windows-Remoteverwaltung zu konfigurieren: 

C:\>winrm quickconfig 

WinRM ist nicht zum Empfangen von Anforderungen auf diesem Computer konfiguriert. 

Folgende Änderungen müssen durchgeführt werden: 

Legen Sie den WinRM-Diensttyp auf einen verzögerten automatischen Start fest. 

Starten Sie den WinRM-Dienst. 

Diese Änderungen durchführen [y/n]? 

3. Geben Sie Y ein und drücken Sie die EINGABETASTE. Der Windows-Remoteverwaltungsdienst 

bietet an, weitere Änderungen vorzunehmen: 

WinRM wurde aktualisiert, um Anforderungen zu empfangen. 

Der WinRM-Diensttyp wurde erfolgreich geändert. 

Der WinRM-Dienst wurde gestartet. 

WinRM wurde nicht für Verwaltungsremotezugriff auf diesen Computer konfiguriert. 

Folgende Änderungen müssen durchgeführt werden: 

Erstellen Sie einen WinRM-Listener auf HTTP://*, um die WS-Verwaltungsanforderungen an 

eine beliebige IP-Adresse auf diesem Computer zu akzeptieren. 

Aktivieren Sie die WinRM-Firewallausnahme. 

Diese Änderungen durchführen [y/n]? 

4. Geben Sie Y ein und drücken Sie die EINGABETASTE. 

WinRm (das Befehlszeilentool für die Windows-Remoteverwaltung) konfiguriert den 

Computer so, dass er WS-Verwaltung-Anforderungen von anderen Computern entgegennimmt. 

Dafür werden folgende Änderungen vorgenommen: 

Der Dienst Windows-Remoteverwaltung (WS-Verwaltung) wird so konfiguriert, dass 

er automatisch startet (verzögerter Start). Dann wird der Dienst gestartet. 

Es wird ein HTTP-Listener für die Windows-Remoteverwaltung angelegt. Ein Listener 

ist eine Konfigurationseinstellung, die bestimmte eingehende Netzwerkkommunikation 

an eine Anwendung weiterleitet. 

Es wird eine Windows-Firewallausnahme erstellt, die eingehende Verbindungen an 

den Dienst Windows-Remoteverwaltung über HTTP erlaubt, also den TCP-Port 

(Transmission Control Protocol) 80. Diese Ausnahme gilt nur für die Profile 

»Domäne« und »Privat«. Solcher Verkehr wird weiterhin blockiert, wenn der 

Computer mit einem öffentlichen Netzwerk verbunden ist. 

Hinweis Der Starttyp Automatisch (Verzögerter Start) 

Seit Windows Vista können Dienste mit dem Starttyp Automatisch (Verzögerter Start) konfiguriert 

werden. Während Dienste bei der Einstellung Automatisch sofort nach dem Start 

von Windows gestartet werden (was die Benutzeranmeldung verzögert), sorgt Automatisch 

(Verzögerter Start) dafür, dass der Dienst erst nach dem Windows-Start im Hintergrund 

gestartet wird. Dieser Starttyp eignet sich perfekt für Dienste, die Sie zwar brauchen, die 

aber für Windows nicht unverzichtbar sind.


Anschließend müssen Sie das Computerkonto des Sammelcomputers auf allen Weiterleitungscomputern 

zur lokalen Gruppe Ereignisprotokollleser hinzufügen. Gehen Sie dazu auf 

dem Weiterleitungscomputer folgendermaßen vor: 



2. Erweitern Sie unter System den Knoten Lokale Benutzer und Gruppen und wählen Sie 

Gruppen aus. Klicken Sie doppelt auf Ereignisprotokollleser. 

3. Klicken Sie im Dialogfeld Eigenschaften von Ereignisprotokollleser auf Hinzufügen. 

4. Klicken Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen 

auf die Schaltfläche Objekttypen. In der Standardeinstellung wird nur nach Benutzern, 

Dienstkonten und Gruppen gesucht. Wir müssen aber das Computerkonto des Sammelcomputers 

hinzufügen. Aktivieren Sie also das Kontrollkästchen Computer und deaktivieren 

Sie die Kontrollkästchen Gruppen, Benutzer und Dienstkonten. Klicken Sie auf 

OK. 

5. Geben Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen 

den Namen des Sammelcomputers ein. Klicken Sie auf OK. 

6. Klicken Sie erneut auf OK, um das Dialogfeld Eigenschaften von Ereignisprotokollleser 

zu schließen. 

Stattdessen können Sie diesen Schritt auch über eine Eingabeaufforderung mit erhöhten 

Rechten oder eine Batchdatei durchführen, indem Sie den folgenden Befehl ausführen: 

net localgroup "Ereignisprotokollleser" $@ /add. 

Zum Beispiel fügen Sie mit dem folgenden Befehl den Computer CLIENT1 aus der Domäne 

nwtraders.msft zu dieser Gruppe hinzu: net localgroup "Ereignisprotokollleser" 

client1$@nwtraders.msft /add. 

Konfigurieren des Sammelcomputers 

Windows 7 unterstützt zwei Arten der Ereignisweiterleitung, die Sie auswählen, wenn Sie 

ein Ereignisabonnement erstellen: 

Sammlungsinitiiert Bei sammlungsinitiierten Abonnements baut der Sammelcomputer 

eine Verbindung zum Weiterleitungscomputer auf. 

Quellcomputerinitiiert Bei quellcomputerinitiierten Abonnements baut der Weiterleitungscomputer 

eine Verbindung zum Weiterleitungscomputer auf. In Arbeitsgruppenumgebungen 

stehen nur quellcomputerinitiierte Abonnements zur Verfügung. 

Sofern Sie sammlungsinitiierte Abonnements einsetzen wollen, fordert Windows 7 Sie auf, 

den Sammelcomputer zu konfigurieren, wenn Sie ein Abonnement erstellen; dies wird im 

nächsten Abschnitt beschrieben. Stattdessen können Sie einen Sammelcomputer auch folgendermaßen 

vorkonfigurieren: 





Windows-Ereignissammlung zu konfigurieren: 

wecutil qc


3. Geben Sie Y ein, wenn Sie dazu aufgefordert werden. 

Windows konfiguriert daraufhin den Dienst Windows-Ereignissammlung. 

Wenn Sie vorhaben, quellcomputerinitiierte Abonnements zu verwenden, müssen Sie auf 

dem Sammelcomputer winrm quickconfig ausführen, wie im Abschnitt »Konfigurieren des 

Weiterleitungscomputers« weiter oben in dieser Lektion beschrieben. 

Windows Server 2008 besitzt ebenfalls die Fähigkeit, weitergeleitete Ereignisse zu sammeln. 

Ältere Windows-Versionen als Windows Vista bieten aber nicht die Möglichkeit, als Sammeloder 

Weiterleitungscomputer zu agieren. 

Erstellen eines Ereignisabonnements 

Abonnements (Abbildung 8.1) werden auf einem Sammelcomputer konfiguriert. Sie rufen 

Ereignisse von den Weiterleitungscomputern ab. 

Abbildung 8.1 Abonnements leiten Ereignisse an einen Verwaltungscomputer weiter 

Gehen Sie folgendermaßen vor, um ein Abonnement auf einem Sammelcomputer zu erstellen: 

1. Erweitern Sie in der Konsole Computerverwaltung den Knoten Ereignisanzeige, klicken 

Sie mit der rechten Maustaste auf Abonnements und wählen Sie den Befehl Abonnement 

erstellen. 

2. Falls das Dialogfeld Ereignisanzeige (Abbildung 8.2) angezeigt wird, müssen Sie auf Ja 

klicken, um den Dienst Windows-Ereignissammlung zu konfigurieren. 

Abbildung 8.2 Ereignisse werden vom Weiterleitungscomputer 

an den Sammelcomputer gesendet 

Das Dialogfeld Abonnementeigenschaften wird geöffnet. 

3. Geben Sie im Feld Abonnementname einen Namen für das Abonnement ein. Optional 

können Sie auch eine Beschreibung eingeben.


4. Optional können Sie in die Liste Zielprotokoll klicken und das Protokoll auswählen, in 

dem Sie die weitergeleiteten Ereignisse speichern möchten. In der Standardeinstellung 

werden Ereignisse im Protokoll Weitergeleitete Ereignisse gespeichert. 

5. Wählen Sie den Abonnementtyp aus, also entweder Sammlungsinitiiert oder Quellcomputerinitiiert. 

Wenn Sie Sammlungsinitiiert verwenden, nimmt der Sammelcomputer 

Kontakt zu den Weiterleitungscomputern auf. Bei der Einstellung Quellcomputerinitiiert 

nehmen dagegen die Weiterleitungscomputer Kontakt zum Sammelcomputer auf. Geben 

Sie dann an, welche Computer verwendet werden sollen: 

Wenn Sie Sammlungsinitiiert ausgewählt haben: Klicken Sie auf Computer auswählen. 

Klicken Sie auf Domänencomputer hinzufügen. Geben Sie im Dialogfeld Computer 

auswählen den Namen des Computers ein, der Ereignisse weiterleitet, und klicken 

Sie auf OK. Klicken Sie im Dialogfeld Computer auf Testen. Klicken Sie auf 

OK, wenn die Ereignisanzeige bestätigt, dass eine Verbindung besteht. 

Wenn Sie Quellcomputerinitiiert ausgewählt haben: Klicken Sie auf Computergruppen 

auswählen. Klicken Sie auf Domänencomputer hinzufügen oder Nicht-Domänencomputer 

hinzufügen. Geben Sie den Namen des Computers ein, der Ereignisse 

weiterleitet, und klicken Sie auf OK. Wenn Sie einen Nicht-Domänen-Computer 

hinzugefügt haben, können Sie auf Zertifikate hinzufügen klicken und eine Zertifizierungsstelle 

auswählen, die benutzt wird, um die Quellcomputer zu authentifizieren. 

Klicken Sie auf OK. 

6. Klicken Sie auf Ereignisse auswählen und stellen Sie den Abfragefilter zusammen. Sie 

müssen entweder ein Protokoll oder eine Quelle auswählen. Klicken Sie auf OK. 

7. Klicken Sie auf die Schaltfläche Erweitert, um das Dialogfeld Erweiterte Abonnementeinstellungen 

zu öffnen. Sie können hier drei Abonnementtypen konfigurieren: 

Normal Diese Option stellt sicher, dass die Ereignisse zuverlässig übermittelt 

werden. Es wird nicht versucht, Bandbreite zu sparen. Dies ist die richtige Wahl, 

sofern Sie die Bandbreitennutzung nicht genauer steuern oder weitergeleitete Ereignisse 

so schnell wie möglich übertragen wollen. Hier wird der Pull-Modus genutzt 

(das heißt der Sammelcomputer nimmt Kontakt mit dem Weiterleitungscomputer 

auf). Es werden 5 Ereignisse gleichzeitig übertragen, außer es sind 15 Minuten verstrichen, 

dann werden alle Ereignisse übertragen, die verfügbar sind. 

Bandbreite minimieren Bei dieser Option wird die Netzwerkbandbreite, die für 

die Ereignisübermittlung erforderlich ist, so weit wie möglich verringert. Dies ist 

eine gute Wahl, wenn Sie die Ereignisweiterleitung über ein WAN (Wide Area Network) 

vornehmen oder in einem LAN (Local Area Network) eine große Zahl von 

Computern überwachen. Es wird der Push-Modus eingesetzt (das heißt, der Weiterleitungscomputer 

nimmt Kontakt mit dem Sammelcomputer auf), und die Ereignisse 

werden alle 6 Stunden übertragen. 

Wartezeit minimieren Bei dieser Option wird sichergestellt, dass die Ereignisse 

mit möglichst geringer Verzögerung übermittelt werden. Dies ist die richtige Wahl, 

wenn Sie Warnungen oder kritische Ereignisse sammeln. Es wird der Push-Modus 

eingesetzt, und es wird ein Zeitlimit von 30 Sekunden festgelegt, nach dem alle verfügbaren 

Ereignisse übertragen werden. 

Außerdem können Sie in diesem Dialogfeld festlegen, ob das Abonnement mit dem 

Protokoll HTTP oder HTTPS arbeitet. Wenn Sie ein sammlungsinitiiertes Abonne-


ment einrichten, konfigurieren Sie in diesem Dialogfeld, welches Benutzerkonto für 

das Abonnement verwendet wird. Unabhängig davon, ob Sie die Standardeinstellung 

(das Computerkonto) verwenden oder einen Benutzer angeben, müssen Sie sicherstellen, 

dass das Konto auf dem Weiterleitungscomputer Mitglied der Gruppe Ereignisprotokollleser 

ist. 

8. Klicken Sie auf OK, um das Dialogfeld Erweiterte Abonnementeinstellungen zu 

schließen. 

9. Klicken Sie im Dialogfeld Abonnementeigenschaften auf OK. 

In der Standardeinstellung prüfen normale Ereignisabonnements alle 15 Minuten, ob neue 

Ereignisse vorliegen. Sie können dieses Intervall verkürzen, um Ereignisse schneller auszulesen. 

Es gibt allerdings keine grafische Benutzeroberfläche, um diese Verzögerung einzustellen. 

Sie müssen das Befehlszeilentool Wecutil verwenden, mit dem Sie den Sammelcomputer 

anfangs konfiguriert haben. 

Wenn Sie die Verzögerung für das Ereignisabonnement konfigurieren wollen, müssen Sie 

erst Ihr Abonnement in der Ereignisanzeige erstellen. Führen Sie dann an einer Eingabeaufforderung 

mit erhöhten Rechten die folgenden beiden Befehle aus: 

wecutil ss /cm:custom 

wecutil ss /hi: 

Wenn Sie beispielsweise ein Abonnement namens »Kritische Ereignisse« erstellt haben und 

eine Verzögerung von 1 Minute einstellen wollen, verwenden Sie die folgenden Befehle: 

wecutil ss "Kritische Ereignisse" /cm:custom 

wecutil ss "Kritische Ereignisse" /hi:6000 

Wenn Sie nun das Dialogfeld Abonnementeigenschaften öffnen und auf die Schaltfläche 

Erweitert klicken, ist im Dialogfeld Erweiterte Abonnementeinstellungen unter Event 

Delivery Optimization die Option Benutzerdefiniert ausgewählt (Abbildung 8.3). Diese 

Option kann über die grafische Benutzeroberfläche nicht ausgewählt werden. 

Abbildung 8.3 Nach der Konfiguration der Verzögerung 

mit Wecutil ist die Option Benutzerdefiniert ausgewählt


Wenn Sie das Intervall ermitteln wollen, können Sie folgenden Befehl ausführen: 

wecutil gs 

Wenn Sie zum Beispiel überprüfen wollen, ob das Intervall für das Abonnement »Kritische 

Ereignisse« 1 Minute beträgt, können Sie den folgenden Befehl ausführen und nach dem 

Wert HeartbeatInterval suchen: 

wecutil gs "Kritische Ereignisse" 

Bei den Optionen Bandbreite minimieren und Wartezeit minimieren wird jeweils eine bestimmte 

Zahl von Elementen auf einmal übertragen. Sie können diesen Wert festlegen, 

indem Sie an einer Eingabeaufforderung den folgenden Befehl eingeben: 

winrm get winrm/config 

Konfigurieren der Ereignisweiterleitung mit HTTPS 

Wenn Sie die Ereignisweiterleitung so konfigurieren wollen, dass sie mit dem verschlüsselten 

Protokoll HTTPS arbeitet, müssen Sie auf dem Weiterleitungscomputer neben den Aufgaben, 

die im Abschnitt »Konfigurieren des Weiterleitungscomputers« weiter oben in dieser 

Lektion beschrieben sind, zusätzlich die folgenden Aufgaben durchführen: 

1. Konfigurieren Sie den Computer mit einem Computerzertifikat. In AD DS-Umgebungen 

können Sie das automatisch mithilfe einer Unternehmenszertifizierungsstelle erledigen. 

2. Erstellen Sie eine Windows-Firewallausnahme für TCP-Port 443. 

3. Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten den folgenden Befehl 

aus: winrm quickconfig -transport:https 

Auf dem Sammelcomputer müssen Sie die Abonnementeigenschaften so ändern, dass statt 

HTTP das Protokoll HTTPS benutzt wird. Außerdem muss der Sammelcomputer der Zertifizierungsstelle 

vertrauen, die das Computerzertifikat ausgestellt hat. Das geschieht automatisch, 

sofern das Zertifikat von einer Unternehmenszertifizierungsstelle ausgestellt wurde 

und der Weiterleitungscomputer sowie der Sammelcomputer Mitglieder derselben AD DS- 

Domäne sind. 

Falls Sie für das Abonnement die Optionen Bandbreite minimieren oder Wartezeit minimieren 

konfiguriert haben, müssen Sie auch ein Computerzertifikat und eine HTTPS-Windows- 

Firewallausnahme auf dem Sammelcomputer konfigurieren. 

Tipp Auswählen, welche Ereignisse weitergeleitet werden 

Windows 7 speichert eine Vielzahl sehr nützlicher Informationen im Ereignisprotokoll, aber 

der größte Teil des Inhalts besteht aus ziemlich nutzlosen Informationen. Für die Ereignisweiterleitung 

sollten Sie sich auf Ereignisse konzentrieren, auf die Sie schnell reagieren 

müssen. 

Welche Ereignisse so nützlich sind, dass sich die Weiterleitung lohnt, finden Sie heraus, 

indem Sie jedes Mal, wenn ein Benutzer wegen eines Problems anruft, das Ereignisprotokoll 

untersuchen. Ist darin ein Ereignis aufgetaucht, entweder kurz bevor oder nachdem das Problem 

aufgetreten ist? Wenn das der Fall ist und das Ereignis nur erscheint, wenn Probleme 

auftreten, sollten Sie für dieses Ereignis die Weiterleitung konfigurieren.


Konfigurieren der Ereignisweiterleitung in Arbeitsgruppenumgebungen 

Die Ereignisweiterleitung wird normalerweise nur in großen Umgebungen benötigt, die mit 

AD DS-Domänen arbeiten. Sie können die Ereignisweiterleitung aber auch in Arbeitsgruppenumgebungen 

konfigurieren. Dieser Vorgang verläuft ganz ähnlich wie in AD DS-Umgebungen, 

abgesehen von den folgenden Ausnahmen: 

Sie müssen auf jedem Weiterleitungscomputer eine Windows-Firewallausnahme für die 

Remote-Ereignisprotokollverwaltung hinzufügen. 

Sie müssen auf jedem Weiterleitungscomputer ein Konto mit Administratorprivilegien 

zur lokalen Gruppe Ereignisprotokollleser hinzufügen. Dieses Konto geben Sie im Dialogfeld 

Erweiterte Abonnementeinstellungen an, wenn Sie ein Abonnement auf dem 

Sammelcomputer erstellen. 

Sie müssen auf jedem Sammelcomputer den folgenden Befehl ausführen, damit 

die Weiterleitungscomputer mit NTLM-Authentifizierung arbeiten können: 

winrm set winrm/config/client @{TrustedHosts=""}. 

In diesem Beispiel steht für eine kommagetrennte Liste mit 

Weiterleitungscomputern. Stattdessen können Sie auch einen Platzhalter verwenden, 

zum Beispiel »msft*«. 

Prüfungstipp 

Denken Sie bei der Prüfung daran, dass Sie den Parameter TrustedHosts auf dem Sammelcomputer 

konfigurieren müssen, nicht auf dem Weiterleitungscomputer. Das ist etwas 

unlogisch und wird daher oft verwechselt. 

Schnelltest 

1. Welchen Befehl führen Sie aus, um einen Sammelcomputer so zu konfigurieren, dass 

er quellcomputerinitiierte Abonnements verwendet? 

2. Welche Protokolle kann die Ereignisweiterleitung nutzen? 

3. Bei welcher Gruppe auf dem Weiterleitungscomputer muss der Sammelcomputer Mitglied 

sein? 


1. Führen Sie winrm quickconfig aus. 

2. HTTP und HTTPS. 

3. Die Gruppe Ereignisprotokollleser. 

Problembehandlung für die Ereignisweiterleitung 

Falls die Ereignisweiterleitung nicht richtig zu funktionieren scheint, sollten Sie nach dem 

folgenden Schema vorgehen, um das Problem zu beseitigen: 

1. Stellen Sie sicher, dass Sie lange genug gewartet haben, bis das Ereignis auch weitergeleitet 

wurde. Die Weiterleitung von Ereignissen bei der Einstellung Normal kann bis zu 

15 Minuten dauern. Die Verzögerung kann länger sein, wenn der Weiterleitungs- oder


der Sammelcomputer vor Kurzem neu gestartet wurde, weil der Dienst Windows-Remoteverwaltung 

so konfiguriert ist, dass er zwar automatisch startet, aber mit einer gewissen 

Verzögerung (damit er die Startgeschwindigkeit nicht verschlechtert). Der 15- 

Minuten-Zähler beginnt erst, wenn der Dienst Windows-Remoteverwaltung gestartet ist. 

2. Prüfen Sie das Ereignisprotokoll Anwendungs- und Dienstprotokolle\Microsoft\Windows\ 

Eventlog-ForwardPlugin\Betriebsbereit und stellen Sie sicher, dass das Abonnement 

erfolgreich erstellt wurde. Die Ereignis-ID 100 gibt an, dass ein neues Abonnement 

erstellt wurde, die Ereignis-ID 103 gibt an, dass ein Abonnement aufgelöst wurde. 

3. Prüfen Sie im Sicherheitsereignisprotokoll, ob sich Weiterleitungs- und Sammelcomputer 

richtig authentifizieren. Aktivieren Sie bei Bedarf die Erfolgs- und Fehlerüberwachung,wie 

in Kapitel 4, »Sicherheit«, beschrieben. 

4. Stellen Sie sicher, dass das Abonnement aktiv ist. Überprüfen Sie auf dem Sammelcomputer 

den Knoten Ereignisanzeige\Abonnements. Der Abonnementstatus sollte »Aktiv« 

sein. Falls das nicht so ist, sollten Sie mit der rechten Maustaste auf das Abonnement 

klicken und den Befehl Laufzeitstatus wählen. Die Ereignisanzeige zeigt im Dialogfeld 

Laufzeitstatus des Abonnements einen Fehlercode an. 

5. Stellen Sie sicher, dass auf dem Weiterleitungscomputer der Listener für die Windows- 

Remoteverwaltung richtig konfiguriert ist. Geben Sie an einer Eingabeaufforderung mit 

erhöhten Rechten den folgenden Befehl ein: winrm enumerate winrm/config/Listener. 

Wenn der Windows-Remoteverwaltungs-Listener nicht konfiguriert ist, ist die Ausgabe 

leer. Falls der Windows-Remoteverwaltungs-Listener für HTTP richtig konfiguriert ist, 

sieht die Ausgabe zum Beispiel so aus: 

Listener 

Address = * 

Transport = HTTP 

Port = 80 

Hostname 

Enabled = true 

URLPrefix = wsman 

CertificateThumbprint 

ListeningOn = 127.0.0.1, 192.168.1.214, ::1, fe80::100:7f:ffe%9, 

fe80::5efe:192.168.1.214%10 

Wenn der Windows-Remoteverwaltungs-Listener für HTTPS richtig konfiguriert ist, 

sieht die Ausgabe etwa folgendermaßen aus (der Hostname muss dem Namen entsprechen, 

mit dem der Ereignissammler den Computer identifiziert): 

Listener 

Address = * 

Transport = HTTPS 

Port = 443 

Hostname = win7.nwtraders.msft 

Enabled = true 

URLPrefix = wsman 

CertificateThumbprint = 52 31 db a8 45 50 1f 29 d9 3e 16 f0 da 82 ae 94 18 8f 61 5e 

ListeningOn = 127.0.0.1, 192.168.1.214, ::1, fe80::100:7f:ffe%9, 

fe80::5efe:192.168.1.214%10


6. Stellen Sie sicher, dass der Sammelcomputer eine Verbindung mit der Windows-Remoteverwaltung 

auf dem Weiterleitungscomputer herstellen kann. Geben Sie auf dem Sammelcomputer 

an einer Eingabeaufforderung mit erhöhten Rechten den folgenden Befehl 

ein: winrm id -remote:.. 

Heißt der Weiterleitungscomputer beispielsweise win7.nwtraders.msft, lautet der entsprechende 

Befehl: winrm id -remote:win7.nwtraders.msft. 

Die Ausgabe sieht so aus: 

IdentifyResponse 

ProtocolVersion = http://schemas.dmtf.org/wbem/wsman/1/wsman.xsd 

ProductVender = Microsoft Corporation 

ProductVersion = OS: 6.0.6000 SP: 0.0 Stack: 1.0 

Falls Sie die Meldung »Die WS-Verwaltung konnte keine Verbindung mit dem angegebenen 

Ziel herstellen« bekommen, sollten Sie sicherstellen, dass der Dienst Windows- 

Remoteverwaltung auf dem Weiterleitungscomputer gestartet ist und keine Firewall die 

Verbindungen zwischen den beiden Computern blockiert. 

7. Stellen Sie sicher, dass das Benutzerkonto, das vom Abonnement benutzt wird, auf dem 

Weiterleitungscomputer die erforderlichen Privilegien hat. Aktivieren Sie bei Bedarf die 

Fehler-Sicherheitsüberwachung auf dem Remotecomputer (wie in Kapitel 4 beschrieben), 

warten Sie darauf, dass Ereignisse weitergeleitet werden, und suchen Sie dann im 

Sicherheitsereignisprotokoll nach Anmeldefehlern. Außerdem können Sie das Abonnement 

temporär so konfigurieren, dass es das Konto eines Domänenadministrators verwendet. 

Wenn das Abonnement mit dem Konto des Domänenadministrators funktioniert, 

ist die Ursache Ihres Problems definitiv bei der Authentifizierung zu suchen. Beseitigen 

Sie das Authentifizierungsproblem und konfigurieren Sie das Abonnement anschließend 

wieder so, dass es das ursprüngliche Benutzerkonto verwendet. 

8. Falls das Abonnement so konfiguriert ist, dass es das Computerkonto für die Authentifizierung 

verwendet, müssen Sie sicherstellen, dass das Konto des Sammelcomputers auf 

dem Weiterleitungscomputer Mitglied der lokalen Gruppe Ereignisprotokollleser ist. Ist 

das Abonnement so konfiguriert, dass es ein anderes Benutzerkonto verwendet, muss 

dieses Konto auf dem Weiterleitungscomputer Mitglied der lokalen Gruppe Ereignisprotokollleser 


9. Stellen Sie sicher, dass die folgenden Dienste auf dem Weiterleitungscomputer gestartet 

wurden: 

Windows-Remoteverwaltung (WS-Verwaltung) 

Windows-Ereignissammlung 

10. Stellen Sie sicher, dass auf dem Sammelcomputer der Dienst Windows-Ereignissammlung 

gestartet wurde. 

11. Überprüfen Sie die Windows-Firewalleinstellungen auf dem Weiterleitungscomputer: 

Stellen Sie sicher, dass die Firewallausnahme Windows-Remoteverwaltung (HTTP 

eingehend) aktiviert ist. 

Falls Sie statt HTTP das Protokoll HTTPS verwenden, müssen Sie sicherstellen, dass 

Sie eine benutzerdefinierte Firewallausnahme für TCP-Port 443 erstellt und aktiviert 

haben.


Stellen Sie sicher, dass Weiterleitungscomputer und Sammelcomputer an private 

oder Domänennetzwerke angeschlossen sind, und nicht an öffentliche Netzwerke. 

Sie können das Netzwerkprofil überprüfen, indem Sie in der Taskleiste auf das Netzwerksymbol 

und dann auf Netzwerk- und Freigabecenter öffnen klicken. Im Netzwerk- 

und Freigabecenter steht der Profiltyp hinter dem Netzwerknamen. Sollte hier 

»Öffentliches Netzwerk« stehen, müssen Sie auf den Link klicken und den Profiltyp 

auf »Arbeitsplatznetzwerk« ändern, für den das private Netzwerkprofil angewendet 

wird. 

12. Stellen Sie sicher, dass die Firewallausnahme Windows-Remoteverwaltung (HTTP eingehend) 

nicht nur auf dem Weiterleitungscomputer, sondern auch auf dem Sammelcomputer 


13. Stellen Sie sicher, dass keine Netzwerkfirewall den Verkehr blockiert, indem Sie die 

Verbindung testen. Weil auf dem Weiterleitungscomputer HTTP und unter Umständen 

auch HTTPS verfügbar sein muss, können Sie versuchen, vom Sammelcomputer aus im 

Windows Internet Explorer eine Verbindung herzustellen. Geben Sie einfach http:// 

(oder https://, falls Sie HTTPS verwenden) in der 

Adressleiste ein. Sofern die Firewall auf dem Weiterleitungscomputer richtig konfiguriert 

ist, bekommen Sie den Fehlercode »HTTP 404«, und der Internet Explorer zeigt die 

Meldung »Die Webseite wurde nicht gefunden« an. Falls der Internet Explorer die Meldung 

»Die Webseite kann nicht angezeigt werden« anzeigt, wurde die Firewallausnahme 

auf dem Weiterleitungscomputer nicht aktiviert. 

14. Stellen Sie sicher, dass die Ereignisabfrage gültig ist. Gehen Sie dazu folgendermaßen 

vor: 

a. Zeigen Sie die Abonnementeigenschaften an und klicken Sie auf die Schaltfläche 

Ereignisse auswählen. 

b. Wählen Sie die Registerkarte XML aus, markieren Sie den Inhalt der Abfrage und 

drücken Sie die Tastenkombination STRG+C, um sie in die Zwischenablage zu 

kopieren. 

c. Öffnen Sie eine zweite Instanz der Ereignisanzeige. Klicken Sie mit der rechten 

Maustaste auf Ereignisanzeige und wählen Sie den Befehl Verbindung mit anderem 

Computer herstellen. Wählen Sie den Weiterleitungscomputer aus und klicken Sie 

dann auf OK. 

d. Klicken Sie mit der rechten Maustaste auf Benutzerdefinierte Ansichten und wählen 

Sie den Befehl Benutzerdefinierte Ansicht erstellen. 

e. Wählen Sie im Dialogfeld Benutzerdefinierte Ansicht erstellen die Registerkarte 

XML aus. Aktivieren Sie das Kontrollkästchen Manuell bearbeiten und klicken Sie 

auf Ja, wenn Sie dazu aufgefordert werden. 

f. Klicken Sie in das Abfragefeld und drücken Sie die Tastenkombination STRG+V, 

um die Abfrage einzufügen. Klicken Sie auf OK. 

g. Die neue benutzerdefinierte Ansicht wird geöffnet und zeigt die zutreffenden Ereignisse 

an. Sind irgendwelche Ereignisse neu aufgetaucht, seit Sie die Ereignisweiterleitung 

erstellt haben, müssten sie weitergeleitet worden sein. Wenn es keine neuen 

Ereignisse gibt, liegt das Problem bei Ihren Weiterleitungskriterien. Versuchen Sie, 

eine benutzerdefinierte Ansicht zu erstellen, die genau die Ereignisse anzeigt, die Sie


weiterleiten wollen, und importieren Sie diese Ansicht dann in ein neues Abonnement. 

Übung Weiterleiten von Ereignissen zwischen Computern 

In dieser Übung konfigurieren Sie die Ereignisweiterleitung zwischen zwei Computern unter 

Verwendung der Standardeinstellungen. 

Übung 1 Einen Computer so konfigurieren, dass er Ereignisse sammelt 

In dieser Übung konfigurieren Sie einen Computer, der Ereignisse sammelt. 

1. Melden Sie sich an dem Windows 7-Computer, der Ereignisse sammeln soll, unter einem 

Domänenkonto an, das über administrative Privilegien verfügt. 




3. Führen Sie in der Eingabeaufforderung den folgenden Befehl aus, um den Dienst 

Windows-Ereignissammlung zu konfigurieren: 

wecutil qc 

4. Sie werden gefragt, ob Sie den Dienststartmodus auf »Verzögert« setzen wollen. 

Drücken Sie die Taste J und dann die EINGABETASTE. 

Übung 2 Einen Computer so konfigurieren, dass er Ereignisse weiterleitet 

In dieser Übung konfigurieren Sie einen Windows 7-Computer, der Ereignisse an den Sammelcomputer 

weiterleitet. Um diese Übung durcharbeiten zu können, müssen Sie Übung 1 

abgeschlossen haben. 

1. Melden Sie sich an dem Windows 7-Computer, der Ereignisse weiterleiten soll, unter 

einem Domänenkonto an, das über administrative Privilegien verfügt. 





Windows-Remoteverwaltung zu konfigurieren: winrm quickconfig. 

4. Sie werden gefragt, ob Sie den Dienststartmodus ändern wollen. Drücken Sie die Taste J 

und dann die EINGABETASTE. 

5. Sie werden gefragt, ob Sie den WinRM-Listener erstellen und die Firewallausnahme 

aktivieren wollen. Drücken Sie die Taste J und dann die EINGABETASTE. 

6. Überprüfen Sie mit den folgenden Schritten, ob die Windows-Firewallkonfiguration 

aktualisiert wurde: 


b. Klicken Sie auf den Link System und Sicherheit. 

c. Klicken Sie auf den Link Windows-Firewall. 

d. Klicken Sie auf den Link Erweiterte Einstellungen.


e. Wählen Sie den Knoten Eingehende Regeln aus. 

f. Prüfen Sie in der Detailansicht, ob die Ausnahme Windows-Remoteverwaltung 

(HTTP eingehend) für das Domänen- und das private Profil aktiviert ist. 

7. Überprüfen Sie mit den folgenden Schritten, ob der Dienst Windows-Remoteverwaltung 

so konfiguriert ist, dass er automatisch startet: 

a. Geben Sie im Suchfeld des Startmenüs den Befehl services.msc ein und drücken Sie 

die Eingabetaste. 

b. Wählen Sie in der Konsole Dienste den Dienst Windows-Remoteverwaltung (WS- 

Verwaltung) aus. Stellen Sie sicher, dass er gestartet wurde und dass der Starttyp 

Automatisch (Verzögerter Start) lautet. 

8. Nun müssen Sie dem Sammelcomputer die Berechtigung erteilen, das Ereignisprotokoll 

dieses Computers zu lesen. Wenn Sie diesen Schritt überspringen, müssten Sie das 

Abonnement so konfigurieren, dass es mit einem administrativen Benutzerkonto arbeitet. 

Gehen Sie folgendermaßen vor, um dem Sammelcomputerkonto Zugriff zu gewähren: 

a. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie 

den Befehl Verwalten. 

b. Erweitern Sie unter System den Knoten Lokale Benutzer und Gruppen und wählen 

Sie Gruppen aus. 

c. Klicken Sie doppelt auf Ereignisprotokollleser. 

d. Klicken Sie im Dialogfeld Eigenschaften von Ereignisprotokollleser auf Hinzufügen. 

e. Klicken Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen 

auf die Schaltfläche Objekttypen. In der Standardeinstellung wird nur nach Benutzern 

und Gruppen gesucht. Wir müssen aber das Computerkonto des Sammelcomputers 

hinzufügen. Aktivieren Sie also das Kontrollkästchen Computer und 

deaktivieren Sie die Kontrollkästchen Gruppen, Dienstkonten und Benutzer. Klicken 

Sie auf OK. 

f. Geben Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen 

den Namen des Sammelcomputers ein. Klicken Sie auf OK. 

g. Klicken Sie erneut auf OK, um das Dialogfeld Eigenschaften von Ereignisprotokollleser 


Übung 3 Konfigurieren eines Ereignisabonnements 

In dieser Übung erstellen Sie ein Ereignisabonnement, um Ereignisse vom Weiterleitungscomputer 

zu sammeln. Um diese Übung durcharbeiten zu können, müssen Sie die Übungen 

1 und 2 abgeschlossen haben. 

1. Melden Sie sich an dem Windows 7-Computer, der Ereignisse sammeln soll, unter einem 

Domänenkonto an, das über administrative Privilegien verfügt. 



3. Erweitern Sie in der Konsole Computerverwaltung die Knoten System und Ereignisanzeige. 

Klicken Sie mit der rechten Maustaste auf Abonnements und wählen Sie den 

Befehl Abonnement erstellen.


4. Falls das Dialogfeld Ereignisanzeige angezeigt wird, müssen Sie auf Ja klicken, um den 

Dienst Windows-Ereignissammlung zu konfigurieren. 

Das Dialogfeld Abonnementeigenschaften wird geöffnet. 

5. Geben Sie im Feld Abonnementname den Namen Windows-Defender-Warnungen und 

-Fehler ein. 

6. Klicken Sie auf Computer auswählen. Klicken Sie im Dialogfeld Computer auf Domänencomputer 

hinzufügen. Geben Sie den Namen des Computers ein, der Ereignisse 

weiterleitet, und klicken Sie auf OK. Klicken Sie im Dialogfeld Computer auf Testen, 

um sicherzustellen, dass eine Verbindung zum Weiterleitungscomputer besteht. Klicken 

Sie zweimal auf OK. 

7. Klicken Sie auf die Schaltfläche Ereignisse auswählen. Aktivieren Sie im Dialogfeld 

Abfragefilter die Kontrollkästchen Fehler, Kritisch, Warnung und Informationen. Klicken 

Sie auf Per Quelle. Klicken Sie dann in die Dropdownliste Quellen und wählen Sie den 

Eintrag Windows Defender aus (Abbildung 8.4). Klicken Sie auf OK. 

Abbildung 8.4 Konfigurieren des Abfragefilters, dass 

er wichtige Windows-Defender-Ereignisse weiterleitet 

8. Klicken Sie auf die Schaltfläche Erweitert, um das Dialogfeld Erweiterte Abonnementeinstellungen 

zu öffnen. Wie Sie sehen, ist als Standardeinstellung das Computerkonto 

ausgewählt. Das geht, weil wir das Domänenkonto dieses Computers auf dem Weiterleitungscomputer 

zur lokalen Gruppe Ereignisprotokollleser hinzugefügt haben. Außerdem 

ist das Abonnement in der Standardeinstellung so konfiguriert, dass es für die Ereignisübermittlung 

die Option Normal und das Protokoll HTTP verwendet. Klicken Sie 

auf OK. 

9. Klicken Sie im Dialogfeld Abonnementeigenschaften auf OK.


10. Generieren Sie nun auf dem Weiterleitungscomputer ein Windows-Defender-Ereignis. 


a. Melden Sie sich am Weiterleitungscomputer an. 

b. Geben Sie im Suchfeld des Startmenüs Defender ein. Klicken Sie auf den Eintrag 

Auf Spyware und andere eventuell unerwünschte Software überprüfen. 

Windows-Defender überprüft den Computer und trägt ein Ereignis in das Ereignisprotokoll 


11. Öffnen Sie noch auf dem Weiterleitungscomputer die Ereignisanzeige und sehen Sie sich 

das Protokoll Anwendungs- und Dienstprotokolle\Microsoft\Windows\Windows Defender\ 

Operational an. Es müssten einige Informationsereignisse mit Windows Defender als 

Quelle eingetragen sein. 

12. Wechseln Sie auf den Sammelcomputer. Wählen Sie das Ereignisprotokoll Weitergeleitete 

Ereignisse aus. Falls das Windows-Defender-Ereignis nicht sofort angezeigt wird, müssen 

Sie ein paar Minuten warten. Es kann bis zu 15 Minuten dauern, bis das Ereignis 

erscheint. 


Die Ereignisweiterleitung arbeitet in der Standardeinstellung mit HTTP, sodass sie problemlos 

durch die meisten Firewalls geleitet wird. Sie können die Ereignisweiterleitung 

auch so konfigurieren, dass sie HTTPS benutzt. Die Kommunikation wird aber auch im 

normalen HTTP bereits verschlüsselt. 

Sie konfigurieren die Ereignisweiterleitung in einer Domäne, indem Sie auf dem Weiterleitungscomputer 

den Befehl winrm quickconfig und auf dem Sammelcomputer den Befehl 

wecutil qc ausführen. Fügen Sie dann das Computerkonto des Sammelcomputers auf 

dem Weiterleitungscomputer zur Gruppe Ereignisprotokollleser hinzu. 

Wenn Sie die Ereignisweiterleitung in einer Arbeitsgruppe konfigurieren wollen, gehen 

Sie im Wesentlichen genauso vor wie in einer Domänenumgebung. Zusätzlich müssen 

Sie auf allen Weiterleitungscomputern eine Windows-Firewallausnahme für den Dienst 

Remote-Ereignisprotokollverwaltung erstellen, auf den Weiterleitungscomputern ein 

Benutzerkonto mit Administratorprivilegien zur Gruppe Ereignisprotokollleser hinzufügen 

und den Befehl winrm set ausführen, um den Sammelcomputer so zu konfigurieren, 

dass er den Weiterleitungscomputern vertraut. 

Wenn Sie eine Problembehandlung für die Ereignisweiterleitung durchführen, sollten Sie 

sicherstellen, dass Sie lange genug gewartet haben, dass die Abonnements aktiv sind, 

dass die Konfiguration der Windows-Remoteverwaltung auf dem Weiterleitungs- und 

dem Sammelcomputer korrekt ist und dass das Benutzerkonto, das Sie für das Abonnement 

angegeben haben, auf dem Weiterleitungscomputer ein Mitglied der Gruppe Ereignisprotokollleser 

ist. 



»Weiterleiten von Ereignissen«, überprüfen. Die Fragen finden Sie (in englischer Sprache) 


Übungstests beantworten.





1. Sie haben einen Computer mit Standardkonfiguration vor sich. Welche der folgenden 

Schritte sind erforderlich, um die Ereignisweiterleitung zu aktivieren? (Wählen Sie alle 

zutreffenden Antworten aus.) 

A. Starten Sie den Dienst Windows-Remoteverwaltung auf dem Weiterleitungscomputer. 

B. Starten Sie den Dienst Windows-Remoteverwaltung auf dem Sammelcomputer. 

C. Konfigurieren Sie die Internetinformationsdienste auf dem Weiterleitungscomputer. 

D. Aktivieren Sie eine Windows-Firewallausnahme auf dem Weiterleitungscomputer. 

E. Es muss nichts getan werden, die Ereignisweiterleitung ist in der Standardeinstellung 

aktiviert. 

2. Welches Tool verwenden Sie, um ein Abonnement zu konfigurieren, das mit einem 

10-Minuten-Intervall arbeitet? 

A. Ereignisanzeige 

B. Winrm 

C. Wecutil 

D. Wevutil 

3. Wie lang ist das Standardintervall für ein Abonnement, bei dem für die Bandbreitenoptimierung 

die Option Wartezeit minimieren eingestellt ist? 

A. 30 Sekunden 

B. 15 Minuten 

C. 30 Minuten 

D. 6 Stunden 

4. Welche der folgenden Aufgaben müssen Sie in einer AD DS-Domänenumgebung durchführen, 

damit ein Computer Ereignisse von einem anderen Computer sammeln kann? 

A. Führen Sie den folgenden Befehl auf dem Sammelcomputer aus: 


B. Führen Sie den folgenden Befehl auf dem Weiterleitungscomputer aus: 


C. Fügen Sie das Computerkonto des Weiterleitungscomputers zur lokalen Gruppe 

Ereignisprotokollleser hinzu. 

D. Fügen Sie das Computerkonto des Sammelcomputers zur lokalen Gruppe Ereignisprotokollleser 

hinzu.


Lektion 2: Behandeln von Leistungsproblemen 

Wenn bei einem Benutzer Leistungsprobleme auftreten, müssen Sie wissen, wie Sie schnell 

die Ursache des Problems finden und, sofern möglich, beseitigen. Glücklicherweise stellt 

Windows 7 den Task-Manager zur Verfügung, der Ihnen einen Überblick über die Systemleistung 

verschafft. Sie können im Task-Manager auch die Priorität und Prozessorzugehörigkeit 

eines Prozesses ändern, um seinen Ressourcenverbrauch einzuschränken. Mit der Leistungsüberwachung 

können Sie Tausende von Details über die System- und Anwendungsleistung 

in Echtzeit beobachten oder die Daten für eine spätere Analyse aufzeichnen. 

Sammlungssätze zeichnen eine Momentaufnahme des Zustands eines Systems auf und 

speichern detaillierte Informationen über die Konfiguration des Computers für die spätere 

Analyse. Wenn Sie die Datenträger-Ein-/Ausgabe als Ursache eines Leistungsproblems 

eingekreist haben, können Sie es unter Umständen beseitigen, indem Sie Festplattenplatz 

freigeben und die Festplatte defragmentieren. Bei mobilen Computern müssen Sie Einstellungen 

untersuchen, die die Systemleistung verschlechtern, um die Akkulaufzeit zu verlängern. 

Scheint ein Problem mit einer automatisch gestarteten Anwendung oder einem Dienst 

zu tun zu haben, können Sie das Tool Systemkonfiguration verwenden, um Startvorgänge 

individuell zu deaktivieren, bis Sie herausgefunden haben, welcher Prozess das Problem 

verursacht. 

Task-Manager 


Untersuchen der Systemleistung und Steuern einzelner Prozesse mit dem Task-Manager 

Arbeiten mit der Leistungsüberwachung, um Echtzeitstatistiken zu untersuchen und 

protokollierte Daten mit einer Leistungsbaseline zu vergleichen 

Generieren von Berichten mit den Sammlungssätzen, die detaillierte Informationen über 

die Konfiguration eines Computers und aufgetretene Probleme liefern 

Beseitigen von Leistungsproblemen bei Datenträgern durch Freigeben von Festplattenplatz 

Anpassen, wie mobile Computer Leistung und Akkulaufzeit optimieren, um die Anforderungen 

der Benutzer zu erfüllen 

Automatisch gestartete Anwendungen und Dienste mit dem Tool Systemkonfiguration 

einzeln deaktivieren 


Der Task-Manager bietet die schnellste Möglichkeit, häufige Leistungsprobleme zu identifizieren. 

Windows 7 macht es einfach, den Task-Manager zu öffnen, sogar wenn die Benutzeroberfläche 

nicht fehlerfrei reagiert. Sie haben folgende Möglichkeiten, den Task-Manager 

zu öffnen: 

Klicken Sie mit der rechten Maustaste auf die Taskleiste oder die Systemuhr und wählen 

Sie den Befehl Task-Manager starten. 

Drücken Sie die Tastenkombination STRG+ALT+ENTF und klicken Sie auf Task- 

Manager starten. Das funktioniert sogar, wenn die Benutzeroberfläche überhaupt nicht 

mehr reagiert.

Der Task-Manager hat sechs Registerkarten: 

Lektion 2: Behandeln von Leistungsproblemen 319 

Anwendungen Eine Liste der Anwendungen, die der aktuelle Benutzer geöffnet hat. 

Sie schließen eine Anwendung, indem Sie sie auswählen und auf Task beenden klicken. 

Falls das Startmenü nicht funktioniert, können Sie eine neue Anwendung starten, indem 

Sie auf Neuer Task klicken. Falls die Windows-Explorer-Oberfläche nicht offen ist, 

können Sie auf Neuer Task klicken und dann Windows-Explorer ausführen, um sie zu 

öffnen. 

Prozesse Eine Liste der Prozesse, die vom aktuellen Benutzer geöffnet wurden. Wenn 

Sie auf Prozesse aller Benutzer anzeigen klicken, bekommen Sie die offenen Prozesse 

aller Benutzer angezeigt. Welcher Prozess am meisten Prozessorzeit verbraucht, finden 

Sie schnell heraus, indem Sie auf den Spaltenkopf CPU klicken, damit die Prozesse nach 

ihrer Prozessorauslastung sortiert werden. Sie beenden einen Prozess, indem Sie ihn 

auswählen und auf Prozess beenden klicken. Einen Prozess zu beenden, ist besonders 

nützlich, wenn eine Anwendung nicht mehr reagiert, aber die gesamte Prozessorzeit 

verbraucht und den Computer langsam macht. 

Dienste Listet alle Dienste auf dem Computer auf, sowohl die laufenden als auch die 

beendeten. Sie starten und beenden einen Dienst, indem Sie den Eintrag mit der rechten 

Maustaste anklicken. Diese Registerkarte bietet ähnliche Funktionen wie die Konsole 

Dienste, aber mit dem Komfort des Task-Managers. 

Leistung Zeigt die aktuelle Prozessor- und Arbeitsspeicherauslastung. Wenn Ihnen ein 

Computer langsam vorkommt, sollten Sie die Registerkarte Leistung öffnen und feststellen, 

ob Prozessor- oder Arbeitsspeicherauslastung das Problem verursacht. Wenn die 

Prozessorauslastung für das Problem verantwortlich ist, liegt bei einem oder mehreren 

Prozessoren die CPU-Auslastung bei 100%, wie beim ersten Prozessor in Abbildung 8.5. 

Wird das Problem durch die Arbeitsspeicherauslastung verursacht, liegt der Wert im Diagramm 

Arbeitsspeicher nahe beim Wert Insgesamt aus dem Abschnitt Physikalischer 

Speicher (MB). 

Abbildung 8.5 Der Task-Manager zeigt die 

Prozessor- und Arbeitsspeicherauslastung an


Netzwerk Zeigt die Netzwerkauslastung jeder Netzwerkschnittstelle in einem Diagramm 

an. Verwenden Sie diese Registerkarte, um festzustellen, ob ein langsames Netzwerk 

durch eine Anwendung verursacht wird, die die gesamte verfügbare Bandbreite 

belegt. Kabelnetzwerkverbindungen bieten normalerweise nicht mehr als 70% Auslastung; 

daher können Sie ein Kabelnetzwerk mit einer Auslastung von 65% als fast am 

Anschlag betrachten. Die verfügbare Bandbreite für Drahtlosnetzwerkverbindungen 

variiert, aber meist liegt sie bei rund 35%, wie Sie in den Diagrammen der Registerkarte 

Netzwerk sehen können. 

Benutzer Listet die Benutzer auf, die momentan am Computer angemeldet sind. 

Die folgenden Abschnitte beschreiben, wie Sie mit dem Task-Manager verschiedene Aufgaben 

durchführen. 

So verteilt Windows Prozessorzeit zwischen Anwendungen 

Damit Sie Leistungsprobleme beseitigen können, müssen Sie wissen, wie Anwendungen, 

Prozesse und Threads zusammenhängen. Eine Anwendung oder ein Dienst ist normalerweise 

mit einem einzigen Prozess verknüpft, es gibt allerdings auch einige Anwendungen 

oder Dienste, die mehrere Prozesse starten. Prozesse laufen innerhalb von Threads. Jede 

Anwendung hat mindestens einen Thread, unter Umständen auch mehrere. Es gibt Anwendungen, 

die Hunderte von Threads verwenden. 

Ein Prozessor (oder Prozessorkern) kann nur einen Thread gleichzeitig ausführen. Ein 

Computer, der einen Prozessor hat, kann dennoch mehrere Anwendungen ausführen, weil 

Windows den Prozessor zwischen unterschiedlichen Prozessen und Threads hin- und herschaltet. 

Threads mit höherer Priorität erhalten mehr Prozessorzeit als Threads mit geringerer 

Priorität. 

Die meisten modernen Computer haben Prozessoren mit mehreren Kernen. Jeder Prozessorkern 

arbeitet wie ein eigener Prozessor. Wenn Sie sich die Registerkarte Leistung im Task- 

Manager ansehen, zeigt das Diagramm CPU-Auslastung die Gesamtauslastung aller Prozessoren, 

und das Diagramm Verlauf der CPU-Auslastung einen eigenen Bereich für jeden Prozessorkern. 

Wenn Sie nur ein Diagramm im Abschnitt Verlauf der CPU-Auslastung sehen, 

sollten Sie im Menü Ansicht auf CPU-Verlauf und dann auf Ein Diagramm pro CPU klicken. 

Abbildung 8.6 Windows weist Threads Prozessorzeit zu 

Eine der wichtigsten Aufgaben von Windows besteht darin, die Prozessorzeit zu verteilen. 

Wenn mehrere Anwendungen laufen, von denen viele mehrere Threads haben, und mehrere 

Prozessorkerne vorhanden sind, kann es sehr kompliziert sein, die Prozessorzeit zu verteilen.


Glücklicherweise erledigt Windows das automatisch (siehe Abbildung 8.6), sodass Sie die 

Standardeinstellungen nur selten anpassen müssen. 

Es gibt gelegentlich Fälle, in denen es notwendig ist, Prozesse von Hand zu steuern: 

Ein einziger Prozess verbraucht zu viel Prozessorzeit, sodass er andere Prozesse bremst. 

Anwendungen lasten den Prozessor vollständig aus, und Sie möchten, dass eine bestimmte 

Anwendung mehr oder weniger Prozessorzeit als andere erhält. 

Eine Anwendung reagiert nicht und Sie wollen ihre Prozesse zwangsweise beenden. 

Die folgenden Abschnitte zeigen, wie Sie diese Aufgaben ausführen. 

Feststellen, welches Programm am meisten Prozessorzeit verbraucht 

Sie können im Task-Manager feststellen, welcher Prozess außergewöhnlich viel Prozessorzeit 

verbraucht. Bei Bedarf können Sie den Prozess zwangsweise beenden. Gehen Sie dazu 

folgendermaßen vor: 

1. Starten Sie den Task-Manager. 

2. Klicken Sie auf der Registerkarte Prozesse auf den Spaltenkopf CPU. 

3. Der Prozess, der am meisten Prozessorzeit verbraucht, steht nun am Anfang der Liste. 

4. Da Sie nun wissen, welcher Prozess die höchste Auslastung verursacht, können Sie die 

Priorität dieses Prozesses ändern (was die Leistung anderer Anwendungen verbessern 

könnte), den Prozess beenden oder ihn an bestimmte Prozessorkerne binden. Wählen Sie 

dazu eine der folgenden Möglichkeiten: 

Sie ändern die Priorität des Prozesses, indem Sie mit der rechten Maustaste auf den 

Prozess klicken, das Untermenü Priorität festlegen öffnen und die gewünschte Priorität 

wählen. Prozesse mit geringerer Priorität erhalten weniger Prozessorzeit, Prozesse 

mit höherer Priorität mehr Prozessorzeit. Die meisten Prozesse laufen mit der 

Priorität Normal. Der Task-Manager ist eine wichtige Ausnahme, er läuft standardmäßig 

mit der Priorität Hoch, damit Sie ihn bedienen können, selbst wenn eine andere 

Anwendung große Mengen an Prozessorzeit mit Beschlag belegt. Sie sollten einem 

Prozess nie die Priorität Echtzeit zuweisen, weil das unter Umständen die Benutzeroberfläche 

unbedienbar macht. 

In der Standardeinstellung kann Windows einen Prozess auf jedem beliebigen Prozessorkern 

ausführen. Auf einem Computer mit mehreren Kernen können Sie einen 

Prozess auf bestimmte Prozessorkerne beschränken, indem Sie den Prozess mit der 

rechten Maustaste anklicken und den Befehl Zugehörigkeit festlegen wählen. Abbildung 

8.7 zeigt das Dialogfeld Prozessorzugehörigkeit, in dem Sie auswählen, welche 

Prozessorkerne ein Prozess benutzen darf. Im Beispiel aus Abbildung 8.7 wird Iexplore.exe 

(der Internet Explorer-Prozess) auf zwei der vier Prozessorkerne beschränkt. 

So ist sichergestellt, dass der Internet Explorer höchstens die Hälfte der gesamten 

Prozessorzeit verbraucht. Wenn Sie einen Prozess schließen und neu starten, wird die 

Prozessorzugehörigkeit zurückgesetzt. 

Sie beenden den Prozess, indem Sie ihn mit der rechten Maustaste anklicken und 

den Befehl Prozess beenden wählen. Stattdessen können Sie auch Prozessstruktur 

beenden wählen, um alle Prozesse zu beenden, die dieser Prozess gestartet hat.


Abbildung 8.7 Im Dialogfeld Prozessorzugehörigkeit schränken Sie ein, 

auf welchen Prozessorkernen ein Prozess ausgeführt werden darf 

Beenden eines Programms 

Gelegentlich kommt es vor, dass ein Programm nicht mehr reagiert. Normalerweise können 

Sie die Anwendung auf der Taskleiste mit der rechten Maustaste anklicken und den Befehl 

Fenster schließen wählen. Nach wenigen Sekunden fragt Windows nach, ob die nicht 

reagierende Anwendung beendet werden soll. 

Funktioniert das nicht, können Sie eine Anwendung folgendermaßen im Task-Manager 

schließen: 

1. Wählen Sie die Anwendung im Task-Manager auf der Registerkarte Anwendungen aus. 

2. Klicken Sie auf Task beenden. 

3. Falls der Task-Manager die Anwendung nicht beenden kann, öffnet sich das Dialogfeld 

Programm beenden. Klicken Sie auf Jetzt beenden. 

Wenn Sie herausfinden wollen, welcher Prozess mit einer Anwendung verknüpft ist, können 

Sie die Anwendung auf der Registerkarte Anwendungen mit der rechten Maustaste anklicken 

und den Befehl Zu Prozess wechseln wählen. 

Leistungsüberwachung 

Wie bei älteren Windows-Versionen ist die Leistungsüberwachung ein Snap-In, das Echtzeitdaten 

in grafischer Form anzeigt (Abbildung 8.8). 

Die folgenden Abschnitte beschreiben, wie Sie Echtzeitdaten überwachen, das Diagramm 

der Leistungsüberwachung konfigurieren und mehrere Diagramme miteinander vergleichen. 

Überwachen von Echtzeit-Leistungsdaten 

Gehen Sie folgendermaßen vor, um die Leistungsüberwachung zu öffnen: 



2. Erweitern Sie System, dann Leistung und Überwachungstools. Wählen Sie Leistungsüberwachung 

aus.


3. Fügen Sie Leistungsindikatoren zum Echtzeitdiagramm hinzu, indem Sie auf die grüne 

Plus-Schaltfläche auf der Symbolleiste klicken. Sie können auch Daten von anderen 

Computern im Netzwerk anzeigen. 

Abbildung 8.8 Anzeige von Echtzeitdaten in der Leistungsüberwachung 

Jede Kurve im Diagramm hat eine andere Farbe. Sie heben eine bestimmte Kurve hervor, 

indem Sie den gewünschten Leistungsindikator auswählen und die Tastenkombination 

STRG+H drücken. Der ausgewählte Leistungsindikator wird fett und in schwarzer Farbe im 

Diagramm hervorgehoben. 

Die Leistungsüberwachung weist den von Ihnen ausgewählten Indikatoren automatisch 

Kurvenfarben und -stile zu. Sie können die Kurvenfarben und -stile aber auch von Hand 

konfigurieren. Gehen Sie dazu folgendermaßen vor: 

1. Klicken Sie auf das Menü Aktion und wählen Sie den Befehl Eigenschaften. 

Das Dialogfeld Eigenschaften von Leistungsüberwachung wird geöffnet. 

2. Klicken Sie auf die Registerkarte Daten. 

3. Wählen Sie in der Liste Leistungsindikatoren den Eintrag aus, den Sie konfigurieren 

wollen, und passen Sie Farbe, Breite und Stil wie gewünscht an. 

4. Sie können das Diagramm für einen Leistungsindikator höher machen, indem Sie in die 

Dropdownliste Skalierung klicken und eine höhere Zahl auswählen. Um die Höhe zu 

verringern, müssen Sie eine kleinere Zahl auswählen. 

5. Sie können auch die Skalierung für sämtliche Indikatoren verändern, indem Sie auf die 

Registerkarte Grafik klicken und im Gruppenfeld Vertikale Skalierung die Werte der 

Felder Maximal und Minimal ändern. Klicken Sie auf OK. 

Wenn Sie mehrere Leistungsüberwachungsfenster gleichzeitig offen haben, können Sie die 

Fenster einfacher unterscheiden, wenn Sie die Hintergrundfarbe der Diagramme auf der


Registerkarte Darstellung im Dialogfeld Eigenschaften von Leistungsüberwachung verändern. 

Steuern, wie viele Daten im Diagramm angezeigt werden 

In der Standardeinstellung aktualisiert die Leistungsüberwachung die Diagramme einmal 

pro Sekunde und zeigt Daten über einen Zeitraum von 100 Sekunden an. Um Daten über 

einen längeren Zeitraum anzuzeigen, können Sie das Messintervall verlängern oder die 

Menge der Daten vergrößern, die gleichzeitig im Diagramm angezeigt werden. Gehen Sie 

folgendermaßen vor, um diese Einstellungen in der Leistungsüberwachung zu verändern: 



2. Klicken Sie auf die Registerkarte Allgemein. Verändern Sie im Feld Diagrammelemente 

im Textfeld Stichprobe alle, wie oft das Diagramm aktualisiert wird. Wenn Sie ein längeres 

Intervall einstellen (zum Beispiel 5 Sekunden), erhalten Sie eine glattere Kurve, 

die seltener aktualisiert wird. Falls Sie die Verbindung zu einem anderen Computer über 

ein Netzwerk herstellen, verringern längere Intervalle den Bandbreitenverbrauch. 

3. Verändern Sie den Wert im Textfeld Dauer, um einzustellen, wie viele Daten im Diagramm 

angezeigt werden, bevor die Leistungsüberwachung das Diagramm vom linken 

Rand her wieder überschreibt. Sie können eine volle Stunde mit Daten im Diagramm 

anzeigen, indem Sie in Dauer den Wert 3600 eintragen. Daten für einen ganzen Tag 

erhalten Sie, wenn Sie den Wert 86.400 eintragen. Wenn Sie den Wert im Feld Dauer 

vergrößern, sollten Sie auch den Wert in Stichprobe alle anheben. Klicken Sie auf OK. 

In der Standardeinstellung überschreibt die Leistungsüberwachung die dargestellten Daten 

auf der linken Seite des Diagramms, sobald die angegebene Dauer erreicht ist. Wenn Sie 

Daten über einen längeren Zeitraum anzeigen wollen, ist es meist sinnvoller, das Diagramm 

horizontal verschieben zu lassen, ähnlich wie im Task-Manager. Gehen Sie folgendermaßen 

vor, um die Leistungsüberwachung so zu konfigurieren, dass sie die Diagrammdaten horizontal 

verschiebt: 



2. Klicken Sie auf die Registerkarte Grafik. Wählen Sie im Feld Bildlaufstil die Option 

Bildlauf aus. Klicken Sie auf OK. 

Das Liniendiagramm zeigt zwar die ausführlichsten Informationen, Sie können aber auch 

die folgenden Diagrammtypen auswählen, indem Sie in der Symbolleiste auf die Schaltfläche 

Diagrammtyp ändern klicken oder die Tastenkombination STRG+G drücken: 

Linie Dies ist die Standardeinstellung. Die Werte werden als Kurve über einer Zeitachse 

angezeigt. 

Histogrammleiste Es wird ein Säulendiagramm mit den jeweils neuesten Werten für 

jeden Leistungsindikator angezeigt. Wenn Sie sehr viele Werte haben und in erster Linie 

am aktuellen Wert interessiert sind (und nicht am zeitlichen Verlauf der einzelnen Leistungsindikatoren), 

ist dieser Diagrammtyp einfacher auszulesen als das Liniendiagramm. 

Bericht Dieser Textbericht listet alle aktuellen Werte auf.

Sammlungssätze und Berichte 


In älteren Windows-Versionen können Sie die Leistungsindikatordaten aufzeichnen und 

später anzeigen. Windows Vista und Windows 7 erweitern diese Fähigkeit ganz entscheidend. 

Sie können nun einen Sammlungssatz (data collector set) erstellen, um folgende 

Datentypen aufzuzeichnen: 

Leistungsindikatoren und Warnungen (genau wie in älteren Windows-Versionen) 

Ereignisablaufverfolgungsdaten, die detaillierte Debuginformationen enthalten 

Registrierungseinstellungen mit Daten zur System- und Anwendungskonfiguration 

Wenn Sie einen Sammlungssatz ausgeführt haben, können Sie sich die Leistungsindikatoren 

in der Leistungsüberwachung ansehen und eine Zusammenfassung über die anderen gesammelten 

Informationen in einem Bericht anzeigen lassen. Die folgenden Abschnitte beschreiben, 

wie Sie Sammlungssätze erstellen und Berichte benutzen. 

Vordefinierte Sammlungssätze 

Windows 7 enthält mehrere vordefinierte Sammlungssätze im Knoten Leistung\Sammlungssätze\System: 

System Performance (Systemleistung) Zeichnet Daten zu Prozessor-, Datenträger-, 

Arbeitsspeicher- und Netzwerkleistungsindikatoren sowie Kernelablaufverfolgung auf. 

Verwenden Sie diesen Sammlungssatz für die Problembehandlung, wenn der Computer 

langsam ist oder immer wieder Leistungsprobleme auftreten. 

Abbildung 8.9 Der Systemintegritätsbericht 

System Diagnostics (Systemdiagnose) Zeichnet alle Informationen aus dem Sammlungssatz 

»System Performance (Systemleistung)« auf, und zusätzlich detaillierte Systeminformationen. 

Verwenden Sie diesen Sammlungssatz, wenn Zuverlässigkeitsprobleme 

auftreten, zum Beispiel problematische Hardware, Treiberfehler oder Abbruchfehler. 

Wie in Abbildung 8.9 zu sehen, enthält der von diesem Sammlungssatz generierte


Bericht eine Zusammenfassung zu den Fehlerbedingungen im System, ohne dass Sie von 

Hand die Ereignisanzeige und den Geräte-Manager durchsuchen müssen. 

Sie benutzen einen Sammlungssatz, indem Sie mit der rechten Maustaste darauf klicken und 

im Kontextmenü den Befehl Starten wählen. Der Sammlungssatz für die Systemleistung 

stoppt automatisch nach 1 Minute, der für Systemdiagnose nach 10 Minuten. Sie können 

einen Sammlungssatz von Hand stoppen, indem Sie mit der rechten Maustaste darauf 

klicken und den Befehl Beenden wählen. 

Nachdem Sie einen Sammlungssatz ausgeführt haben, können Sie eine Zusammenfassung 

der gesammelten Daten im Knoten Leistung\Berichte anzeigen. Den neuesten Bericht für 

einen Sammlungssatz erhalten Sie, indem Sie mit der rechten Maustaste auf den Sammlungssatz 

klicken und den Befehl Aktuellster Bericht wählen. Berichte werden automatisch nach 

dem Schema »_JJJJMMTT-####« benannt. 

Damit die Leistung unter der Datenaufzeichnung so wenig wie möglich leidet, sollten Sie 

möglichst wenig Informationen aufzeichnen. Beispielsweise sollten Sie statt des Sammlungssatzes 

Systemdiagnose lieber Systemleistung verwenden, weil der Sammlungssatz 

Systemleistung weniger Leistungsindikatoren enthält. 

Wenn ein Problem schwierig zu reproduzieren ist und nichts mit der Leistung zu tun hat, 

sollten Sie lieber zu viele als zu wenig Daten aufzeichnen, damit nicht die Gefahr besteht, 

wichtige Informationen zu verpassen. 

Erstellen eines Sammlungssatzes anhand einer Standardvorlage 

Sie können Leistungsdaten in einem Protokoll aufzeichnen und dann jederzeit in der Leistungsüberwachung 

anzeigen und analysieren. Es ist wichtig, beim Aufzeichnen von Leistungsdaten 

eine sogenannte Baseline zu haben, bevor Sie Änderungen vornehmen, von 

denen Sie vermuten, dass sie sich auf die Leistung auswirken. Sobald Sie die Änderungen 

vorgenommen haben, können Sie die neuen Leistungsdaten mit den ursprünglichen aus der 

Baseline vergleichen und auf diese Weise feststellen, ob Ihre Änderungen tatsächlich etwas 

gebracht haben. Haben Sie keine Baseline verfügbar, wenn ein Problem auftaucht, können 

Sie eine auf einem anderen Computer messen, der eine ähnliche Konfiguration aufweist, auf 

dem das Problem aber nicht auftritt. 

Gehen Sie folgendermaßen vor, um Leistungsdaten zu speichern: 

1. Erweitern Sie unter Leistung den Knoten Sammlungssätze. 

2. Klicken Sie mit der rechten Maustaste auf Benutzerdefiniert, dann auf Neu und auf 

Sammlungssatz. 

Der Assistent Neuen Sammlungssatz erstellen wird geöffnet. 

3. Geben Sie auf der Seite Wie soll dieser neue Sammlungssatz erstellt werden einen Namen 

für den Satz ein. Stellen Sie sicher, dass die Option Aus Vorlage erstellen ausgewählt ist. 


4. Wählen Sie auf der Seite Welche Vorlage möchten Sie verwenden eine der drei Standardvorlagen 

aus (oder klicken Sie auf Durchsuchen, um eine eigene Vorlage zu verwenden) 

und klicken Sie auf Weiter: 

Basis Zeichnet alle Prozessor-Leistungsindikatoren auf, speichert eine Kopie des 

Registrierungsschlüssels HKLM\Software\Microsoft\Windows NT\CurrentVersion 

und führt eine Windows-Kernel-Ablaufverfolgung durch.


System Diagnostics Zeichnet 13 nützliche Leistungsindikatoren auf (darunter 

Prozessor-, Datenträger-, Arbeitsspeicher- und Netzwerkindikatoren), speichert 

Kopien von Dutzenden wichtiger Konfigurationseinstellungen und führt eine 

Windows-Kernel-Ablaufverfolgung durch. In der Standardeinstellung zeichnet die 

Vorlage »System Diagnostics« Daten über 1 Minute auf, sodass Sie eine Momentaufnahme 

zum Zustand des Computers erhalten. 

System Performance Zeichnet 14 nützliche Leistungsindikatoren auf (darunter 

dieselben Indikatoren wie die Vorlage »System Diagnostics«) und führt eine Windows-Kernel-Ablaufverfolgung 

durch. Die Daten werden 1 Minute lang aufgezeichnet. 

5. Klicken Sie auf der Seite Wo sollen die Daten gespeichert werden auf Weiter, um den 

Standardspeicherort für die Daten zu übernehmen (%SystemDrive%\Perflogs\). 

6. Lassen Sie auf der Seite Möchten Sie den Sammlungssatz erstellen das Feld Ausführen 

als auf dem Wert , damit die Aufzeichnung unter den Anmeldeinformationen 

des aktuellen Benutzers ausgeführt wird, oder klicken Sie auf die Schaltfläche Ändern, 

um andere administrative Anmeldeinformationen anzugeben. Wählen Sie eine der folgenden 

drei Optionen aus, bevor Sie auf die Schaltfläche Fertig stellen klicken: 

Eigenschaften für diesen Sammlungssatz öffnen Sie können den Sammlungssatz 

sofort anpassen. 

Diesen Sammlungssatz jetzt starten Es wird sofort mit dem Aufzeichnen der 

Daten begonnen, ohne den Sammlungssatz anzupassen. 

Speichern und schließen Der Sammlungssatz wird geschlossen, ohne ihn zu starten. 

Sie können jederzeit seine Eigenschaften bearbeiten und ihn starten, nachdem 

Sie ihn gespeichert haben. 

Benutzerdefinierte Sammlungssätze stehen immer im Knoten Benutzerdefiniert unterhalb 

von Sammlungssätze zur Verfügung. 

Erstellen eines benutzerdefinierten Sammlungssatzes 

Wenn Sie einen neuen Sammlungssatz erstellt haben, können Sie ihn so anpassen, dass er 

zusätzliche Datenquellen aufzeichnet. Klicken Sie dazu mit der rechten Maustaste auf den 

Sammlungssatz, dann auf Neu und auf Sammlung, um den Assistenten Neue Sammlung 

erstellen zu öffnen. Geben Sie auf der Seite Welche Art von Datensammler möchten Sie 

erstellen einen Namen für die Sammlung ein, wählen Sie den Typ und klicken Sie dann auf 

Weiter. 

Sie haben die Auswahl zwischen folgenden Sammlungstypen (jeder stellt im Assistenten 

Neue Sammlung erstellen andere Optionen zur Verfügung): 

Leistungsindikatorensammlung Zeichnet Daten zu allen Leistungsindikatoren auf, 

die in der Konsole Leistungsüberwachung zur Verfügung stehen. Sie können beliebig 

viele Leistungsindikatoren zu einer Sammlung hinzufügen. Außerdem können Sie ein 

Messintervall (Standardeinstellung 15 Sekunden) für die Sammlung festlegen. 

Ereignisablaufverfolgungssammlung Speichert Ereignisse aus einem Ereignisablaufverfolgungsanbieter, 

die einem bestimmten Filter entsprechen. Windows 7 stellt Dutzende 

von Ereignisablaufverfolgungsanbietern zur Verfügung, die praktisch jedes Detail 

über das Verhalten eines Computers aufzeichnen können. Die besten Ergebnisse erhalten


Sie, indem Sie einfach alle Ereignisablaufverfolgungsanbieter hinzufügen, die unter Umständen 

mit Ihrem aktuellen Problem zu tun haben. Wenn die Sammlung eine große 

Menge unnötiger Daten aufzeichnet, können Sie anhand der Anbietereigenschaften 

filtern, welche Ablaufverfolgungsereignisse gespeichert werden. 

Konfigurationssammlung Speichert Kopien bestimmter Registrierungsschlüssel, 

Verwaltungspfade, Dateien oder des Systemzustands. Wenn Sie Anwendungsprobleme 

analysieren oder Daten über Anwendungseinstellungen benötigen, können Sie die Registrierungsschlüssel 

über eine Konfigurationssammlung hinzufügen. Sie können Verwaltungspfade, 

Dateien oder den Systemzustand hinzufügen, indem Sie die Sammlung 

erstellen, ohne im Assistenten einen Registrierungsschlüssel anzugeben. Zeigen Sie dann 

die Eigenschaften der neuen Sammlung an und wählen Sie die Registerkarten Verwaltungspfade, 

Datei oder Statusabfrage. 

Leistungsindikatorenwarnung Generiert eine Warnung, wenn ein Leistungsindikator 

einen angegebenen Schwellenwert über- oder unterschreitet. 

Sie können so viele Sammlungen zu einem Sammlungssatz hinzufügen, wie Sie brauchen. 

Speichern von Leistungsdaten 

Sobald Sie einen Sammlungssatz erstellt haben, können Sie die Daten aufzeichnen, die im 

Sammlungssatz definiert sind. Klicken Sie den Sammlungssatz dazu mit der rechten Maustaste 

an und wählen Sie den Befehl Starten. Abhängig von den Einstellungen auf der Registerkarte 

Stoppbedingung im Eigenschaftendialogfeld des Sammlungssatzes wird die Aufzeichnung 

entweder nach der festgelegten Dauer beendet oder unbegrenzt fortgesetzt. Sofern 

die Aufzeichnung nicht automatisch gestoppt wird, können Sie sie von Hand beenden, indem 

Sie mit der rechten Maustaste darauf klicken und den Befehl Beenden wählen. 

Anzeigen der gespeicherten Leistungsdaten in einem Bericht 

Sobald ein Sammlungssatz Informationen gesammelt hat und er angehalten wurde, können 

Sie die aufgezeichneten Informationen anzeigen. Sie können sich eine Zusammenfassung 

der Daten ansehen, die in einem Sammlungssatz gespeichert wurden, indem Sie mit der 

rechten Maustaste auf den Sammlungssatz klicken und den Befehl Aktuellster Bericht wählen. 

Die Konsole erweitert den Knoten Berichte und wählt den Bericht aus, der beim Ausführen 

des Sammlungssatzes generiert wurde. Sie können jeden Abschnitt erweitern, um ausführlichere 

Informationen abzurufen. 

Wenn der Sammlungssatz Leistungsindikatoren umfasst, können Sie diese Daten auch im 

Snap-In Leistungsüberwachung anzeigen. Gehen Sie dazu folgendermaßen vor: 

1. Erweitern Sie unter Leistung den Knoten Überwachungstools und wählen Sie Leistungsüberwachung 

aus. 

2. Klicken Sie auf das Menü Aktion und wählen Sie den Befehl Eigenschaften. Klicken Sie 

im Dialogfeld Eigenschaften von Leistungsüberwachung auf die Registerkarte Quelle. 

Sie können stattdessen auch in der Symbolleiste auf die Schaltfläche Protokolldaten 

anzeigen klicken oder die Tastenkombination STRG+L drücken. 

3. Wählen Sie unter Datenquelle die Option Protokolldateien aus und klicken Sie auf Hinzufügen. 

In der Standardeinstellung speichert Windows 7 Sammlungssatzdaten im Ordner 

C:\Perflogs. Wählen Sie die Sammlungssatzdaten aus (der Ordnername entspricht 

dem Namen des Berichts) und klicken Sie dann auf Öffnen.


4. Optional können Sie auf die Schaltfläche Zeitraum klicken und den Bereich der Daten 

eingrenzen, die Sie analysieren wollen. 


6. Klicken Sie in der Symbolleiste der Leistungsüberwachung auf die Schaltfläche mit dem 

grünen Pluszeichen und fügen Sie Leistungsindikatoren zum Diagramm hinzu. Weil Sie 

eine Datenquelle angegeben haben, können Sie nur Leistungsindikatoren auswählen, die 

auch aufgezeichnet wurden. 

7. Die Leistungsüberwachung zeigt statt Echtzeitdaten nun die aufgezeichneten Daten an. 

Sie können den angezeigten Zeitbereich verkleinern, indem Sie mit gedrückter Maustaste 

einen Bereich im Diagramm markieren. Klicken Sie dann mit der rechten Maustaste 

in das Diagramm und wählen Sie den Befehl Zoommodus (Abbildung 8.10). 

Abbildung 8.10 Auswählen des Zeitbereichs mit dem Zoommodus 

8. Die horizontale Leiste unter dem Diagramm steht für den momentan ausgewählten Zeitbereich. 

Sie können den linken oder rechten Rand des Balkens verschieben, um den ausgewählten 

Zeitbereich zu ändern. Klicken Sie dann mit der rechten Maustaste in das 

Diagramm und wählen Sie wieder den Befehl Zoommodus, um die Auswahl zu ändern. 

Problembehandlung für die Datenträgerleistung 

Bei vielen wichtigen Aktivitäten auf einem Computer begrenzt die Festplatte die Gesamtleistung. 

Um Dateien zu öffnen und zu speichern, müssen Daten auf der Festplatte gelesen 

und geschrieben werden, was viel länger dauert als der Zugriff auf das System-RAM. Und 

wenn Windows mehr Arbeitsspeicher braucht, als Hardware-RAM zur Verfügung steht, 

nutzt Windows die Festplatte als virtuellen Arbeitsspeicher, was die Leistung aller Aufgaben 

verringert, die Arbeitsspeicherbereiche nutzen, die auf Festplatte ausgelagert sind.


Glücklicherweise gibt es mehrere Maßnahmen, wie Sie die Leistung verbessern können, 

ohne eine schnellere Festplatte einzubauen. Die folgenden Abschnitte beschreiben Fragmentierung 

und virtuellen Arbeitsspeicher. 

Fragmentierung und freier Platz 

Um die Fragmentierung zu verringern, müssen Sie die Menge des freien Festplattenplatzes 

erhöhen. Wenn auf einer Festplatte der Platz knapp wird, muss Windows Dateien in mehrere 

Teilstücke (Fragmente) aufteilen. Dieser Vorgang wird als Fragmentierung bezeichnet. Weil 

Festplatten am schnellsten arbeiten, wenn eine Datei nicht fragmentiert ist, verschlechtert 

die Fragmentierung die Festplattenleistung. Als Faustregel sollten mindestens 15 Prozent der 

Kapazität einer Festplatte frei bleiben; wenn noch mehr Festplattenplatz frei ist, kann das die 

Leistung noch weiter steigern. 

Hinweis Fragmentierung und Flashlaufwerke 

Herkömmliche magnetische Festplatten haben einen Schreib-/Lesekopf, der sich über rotierende 

Platten bewegt, um Daten zu lesen und zu schreiben, ähnlich wie ein Plattenspieler. 

Diese Festplatten sind am schnellsten, wenn sie aufeinanderfolgende (sequenzielle) Daten 

lesen und schreiben, weil der Kopf dabei nicht zu einem anderen Teil der Festplatte verschoben 

werden muss. Wird dagegen eine fragmentierte Datei gelesen, muss der Kopf mehrmals 

bewegt werden, was die Leistung verschlechtert. 

Flashlaufwerke haben keinen Schreib-/Lesekopf, und Fragmentierung verschlechtert ihre 

Leistung nicht. Daher brauchen Sie sich bei einem Flashlaufwerk keine Gedanken über die 

Fragmentierung zu machen. Windows 7 deaktiviert die Defragmentierung für Flashlaufwerke 

automatisch. 

Sie können das Windows 7-Tool Datenträgerbereinigung verwenden, um Festplattenplatz 

automatisch freizumachen. Gehen Sie dazu folgendermaßen vor: 


2. Klicken Sie mit der rechten Maustaste auf das Laufwerk, das Sie bereinigen wollen, und 

wählen Sie den Befehl Eigenschaften. 

3. Klicken Sie auf der Registerkarte Allgemein auf Bereinigen. 

4. Klicken Sie auf Systemdateien bereinigen, um Systemdateien zu löschen (dazu sind 

administrative Privilegien erforderlich). 

5. Wählen Sie die Dateien aus, die Sie löschen wollen. Wenn Sie einen Dateityp anklicken, 

bekommen Sie eine Beschreibung der Dateien angezeigt, die gelöscht werden. Klicken 

Sie auf OK. 

Das Tool Datenträgerbereinigung löscht die Dateien, die Sie ausgewählt haben. 

Windows 7 defragmentiert Ihre Dateien automatisch, daher brauchen Sie sie eigentlich nie 

von Hand zu defragmentieren. Wollen Sie Dateien ausnahmsweise von Hand defragmentieren, 

können Sie folgendermaßen vorgehen: 


2. Klicken Sie mit der rechten Maustaste auf das Laufwerk, das Sie defragmentieren 

wollen, und wählen Sie den Befehl Eigenschaften.


3. Klicken Sie auf der Registerkarte Tools auf Jetzt defragmentieren. 

4. Klicken Sie auf Zeitplan konfigurieren, um den Zeitplan für die Defragmentierung festzulegen. 

5. Wählen Sie im Tool Defragmentierung die Festplatte aus, die Sie defragmentieren wollen, 

und klicken Sie auf Datenträger defragmentieren. 

Daraufhin beginnt sofort die Defragmentierung des Laufwerks. Sie brauchen aber nicht 

zu warten, bis sie abgeschlossen ist, sondern können das Fenster gleich schließen. 

6. Klicken Sie auf Schließen und dann auf OK. 

Virtueller Arbeitsspeicher 

Abhängig von der Festplattenkonfiguration können Sie die Leistung des virtuellen Arbeitsspeichers 

optimieren, indem Sie virtuellen Arbeitsspeicher auf einer anderen Hardwarefestplatte 

speichern als andere Dateien. Hat ein Computer beispielsweise getrennte Laufwerke 

C: und D:, verwendet Windows in der Standardeinstellung das Laufwerk C: für den virtuellen 

Arbeitsspeicher. Wird der virtuelle Arbeitsspeicher auf Laufwerk D: verschoben, kann 

Windows möglicherweise Dateien, die auf Laufwerk C: gespeichert sind, lesen und schreiben, 

während es gleichzeitig auf den virtuellen Arbeitsspeicher zugreift. 

Hinweis Speichern des virtuellen Arbeitsspeichers auf einer separaten Festplatte 

Sie erreichen zwar Leistungsvorteile, wenn Sie virtuellen Arbeitsspeicher auf einer separaten 

Festplatte speichern, aber das ist nicht der Fall, wenn Sie nur ein anderes Volume oder eine 

andere Partition derselben Festplatte verwenden. Um beim Vorhandensein mehrerer Festplatten 

die bestmögliche Leistung zu erzielen, können Sie die Festplatten als RAID-Array 

(Redundant Array of Independent Disks) konfigurieren und alle Daten in diesem RAID- 

Array speichern. 

Gehen Sie folgendermaßen vor, um zu konfigurieren, auf welcher Festplatte Windows 

virtuellen Arbeitsspeicher speichert: 



2. Klicken Sie auf Erweiterte Systemeinstellungen. 

3. Klicken Sie auf der Registerkarte Erweitert des Dialogfelds Systemeigenschaften im 

Abschnitt Leistung auf Einstellungen. 

4. Klicken Sie auf der Registerkarte Erweitert des Dialogfelds Leistungsoptionen auf 

Ändern. 

5. Deaktivieren Sie das Kontrollkästchen Auslagerungsdateigröße für alle Laufwerke 

automatisch verwalten. 

6. Wählen Sie das Laufwerk aus, auf dem Sie den virtuellen Arbeitsspeicher (auch als 

Auslagerungsdatei bezeichnet) speichern wollen. Wählen Sie die Option Größe wird 

vom System verwaltet aus und klicken Sie auf OK. 

7. Wählen Sie das Systemlaufwerk aus, dem momentan die Auslagerungsdatei zugewiesen 

ist. Wählen Sie die Option Keine Auslagerungsdatei aus und klicken Sie auf Festlegen. 

Abbildung 8.11 zeigt einen Computer, bei dem der virtuelle Arbeitsspeicher dem Lauf-


werk G: zugewiesen wurde, nachdem er vom Standardlaufwerk C: entfernt wurde. Klicken 

Sie auf Ja, wenn Sie dazu aufgefordert werden. 

Abbildung 8.11 Konfigurieren des virtuellen Arbeitsspeichers 

8. Klicken Sie viermal auf OK und dann auf Jetzt neu starten, um Ihren Computer neu zu 

starten. 

Konfigurieren von Energieeinstellungen 

Manche Eigenschaften eines Computers sind ein Kompromiss zwischen Leistung und Energieverbrauch. 

Bei mobilen Computern, die mit Akkustrom laufen, gilt: Je größer der Energieverbrauch, 

desto kürzer die Akkulaufzeit. Um die Akkulaufzeit zu verlängern, stellt Windows 

7 unterschiedliche Energiesparpläne zur Verfügung und schaltet automatisch zwischen 

ihnen um, je nachdem, ob der Computer im Netz- oder Akkubetrieb läuft. 

Der Standardenergiesparplan für den Akkubetrieb kann aber die Leistung verringern. Gehen 

Sie folgendermaßen vor, um von Hand einen Energiesparplan anzupassen: 

1. Klicken Sie auf das Energiesymbol im Infobereich der Taskleiste und dann auf Weitere 

Energieoptionen. 

2. Klicken Sie auf Energiesparplaneinstellungen ändern. 

3. Klicken Sie auf Zurzeit nicht verfügbare Einstellungen ändern. 

4. Ändern Sie die Einstellungen, die für Bildschirm und Standby gelten sollen, während der 

Computer im Netz- beziehungsweise Akkubetrieb läuft. 

5. Klicken Sie auf Erweiterte Energieeinstellungen ändern, um die anderen Einstellungen 

anzupassen. Nehmen Sie die gewünschten Einstellungen vor und klicken Sie auf OK. Zu 

den nützlichsten Einstellungen im Bereich der Leistung gehören: 

Festplatte ausschalten nach Windows kann die Festplatte ausschalten, um Strom 

zu sparen, wenn sie eine bestimmte Zeit lang nicht benutzt wurde. In der Praxis 

greifen Anwendungen aber weiterhin auf die Festplatte zu, selbst wenn der Benutzer 

nicht aktiv am Computer arbeitet.


Drahtlosadaptereinstellungen Drahtlosadapter brauchen unter Umständen eine 

Menge Strom, weil sie Funksignale senden und empfangen. In der Standardeinstellung 

aktiviert Windows 7 den Energiesparmodus für Drahtlosverbindungen, wenn 

der Computer mit Akkustrom läuft. Leidet die Drahtlosleistung im Akkubetrieb 

deutlich, können Sie den Energiesparmodus auf Höchstleistung setzen, während der 

Computer im Akkubetrieb läuft. 

Energie sparen In Windows Vista und Windows 7 ist der Energiesparmodus eine 

Kombination aus Standby (einem Zustand mit geringem Stromverbrauch, aus dem 

der Computer binnen weniger Sekunden wieder aufwacht) und Ruhezustand (einem 

Zustand, in dem kein Strom verbraucht wird und der Arbeitsspeicher des Computers 

auf Festplatte gespeichert wird; das Reaktivieren des Computers dauert dabei länger). 

In der Standardeinstellung schaltet Windows 7 den Computer erst in den Standbymodus 

und dann nach 20 Minuten in den Ruhezustand. Passen Sie diese Einstellung 

an, wenn Sie das ändern wollen. 

USB-Einstellungen USB-Geräte beziehen Strom vom Computer. Mit dem Feature 

»selektives USB-Energiesparen« kann Windows 7 den Energieverbrauch einiger 

USB-Geräte verringern. In der Standardeinstellung ist das selektive USB-Energiesparen 

in Windows 7 aktiviert, während der Computer im Akkubetrieb läuft. 

Netzschalter und Zuklappen In der Standardeinstellung wechselt Windows 7 

automatisch in den Energiesparmodus, wenn der Deckel eines Notebooks geschlossen 

wird. Sie können diese Einstellung ändern und konfigurieren, wie der Netzschalter 

arbeitet. 

PCI Express Manche mobilen Computer haben eine PCI Express-Schnittstelle. 

Diese Einstellung konfiguriert, welchen Energiesparmodus die PCI Express-Schnittstelle 

im Akku- oder Netzbetrieb verwendet. 

Prozessorenergieverwaltung Die meisten modernen Prozessoren können mit 

unterschiedlichen Geschwindigkeiten laufen, abhängig von den momentanen Leistungsanforderungen. 

Wird weniger Prozessorleistung benötigt, läuft der Prozessor 

langsamer und verbraucht weniger Strom. Mit diesen Einstellungen können Sie die 

minimale und maximale Geschwindigkeit des Prozessors einstellen. 

Multimediaeinstellungen Mit dieser Einstellung können Sie die Videoqualität im 

Akkubetrieb anpassen. Wenn Sie eine höhere Videoqualität verwenden, erhöht sich 

der Stromverbrauch. 

Akku Hier legen Sie fest, wie Windows reagiert, wenn die Akkukapazität zu Ende 

geht. 

6. Klicken Sie auf Änderungen speichern. 

Systemkonfiguration 

Bei der Problembehandlung müssen Sie oft experimentieren. Während Sie beispielsweise 

ein Leistungsproblem untersuchen, müssen Sie manchmal verhindern, dass ein Programm 

oder ein Dienst automatisch gestartet werden. Dann testen Sie den Computer, um festzustellen, 

ob das Leistungsproblem dadurch beseitigt wurde. Das Problem dabei ist aber, dass 

Sie unter Umständen nützliche Anwendungen und Dienste deaktivieren, die mit dem Problem 

gar nichts zu tun haben.


Das Systemkonfigurationsprogramm (Msconfig.exe) ermöglicht Ihnen, Autostartprogramme 

und Systemdienste einzeln oder in Gruppen zu deaktivieren. Sobald Sie die Ursache des 

Problems gefunden haben, können Sie die Autostartprogramme und Dienste schnell wieder 

aktivieren. Gehen Sie folgendermaßen vor, um ein Autostartprogramm oder einen Dienst 

mithilfe des Systemkonfigurationsprogramms zu deaktivieren: 

1. Geben Sie im Suchfeld des Startmenüs den Befehl msconfig ein und drücken Sie die 

EINGABETASTE. 

2. Sie deaktivieren den automatischen Start eines Dienstes, indem Sie die Registerkarte 

Dienste anklicken und das Kontrollkästchen für den Dienst deaktivieren. 

3. Sie deaktivieren ein Autostartprogramm, indem Sie die Registerkarte Systemstart anklicken 

und das Kontrollkästchen für die Anwendung deaktivieren. 

4. Klicken Sie auf OK. Klicken Sie auf Neu starten, wenn Sie dazu aufgefordert werden. 

Beim Neustart von Windows werden die Änderungen wirksam, die Sie vorgenommen 

haben. 

5. Untersuchen Sie nach dem Neustart des Computers, ob Ihre Änderungen die Leistung 

des Computers verbessert haben. Wurde das Problem durch Deaktivieren eines Autostartprogramms 

oder Dienstes beseitigt, können Sie die Software genauer untersuchen. 

Ist die Leistung gleich geblieben, sollten Sie das Autostartprogramm oder den Dienst im 

Systemkonfigurationsprogramm wieder aktivieren. 

Sie können ein Autostartprogramm in der Systemsteuerung dauerhaft entfernen. In der 

Konsole Dienste können Sie verhindern, dass Dienste automatisch gestartet werden. 

Schnelltest 

1. Welches Tool verwenden Sie, um die Prozessorzugehörigkeit eines Prozesses zu 

ändern, und welchen Grund gibt es, diese Einstellung zu ändern? 

2. Auf welchem Volume speichert Windows 7 in der Standardeinstellung den virtuellen 

Arbeitsspeicher? 


1. Task-Manager. Sie ändern die Prozessorzugehörigkeit, um einzuschränken, auf 

welchen Prozessorkernen ein Prozess ausgeführt werden darf. 

2. Auf dem Systemvolume. 

Übung Sammeln und Analysieren von Leistungsdaten 

In dieser Übung sammeln Sie Leistungsdaten mithilfe eines Sammlungssatzes und analysieren 

sie dann mit einem Bericht und der Leistungsüberwachung. 

Übung 1 Durchführen einer Systemdiagnose 

In dieser Übung sammeln Sie Leistungsdaten mithilfe eines vordefinierten Sammlungssatzes. 


Befehl Verwalten.


2. Erweitern Sie in der Konsole Computerverwaltung die Knoten System, Leistung, Sammlungssätze 

und dann System. 

3. Klicken Sie mit der rechten Maustaste auf System Diagnostics (Systemdiagnose) und 

wählen Sie den Befehl Starten. Ein grünes Pfeilsystem wird über dem Symbol von 

System Diagnostics (Systemdiagnose) angezeigt. 

4. Klicken Sie auf System Diagnostics (Systemdiagnose), während der Sammlungssatz 

läuft. Sehen Sie sich die verschiedenen Sammlungen durch. Untersuchen Sie insbesondere 

die Eigenschaften der folgenden Sammlungen: 

Performance Counter (Leistungsindikator) 

NT Kernel 

Operating System (Betriebssystem) 

UAC Settings (Einstellungen der Benutzerkontensteuerung) 

Windows Update Settings (Windows Update-Einstellungen) 

5. Der grüne Pfeil verschwindet vom Symbol System Diagnostics (Systemdiagnose), sobald 

der Sammlungssatz nach 1 Minute beendet wird. Klicken Sie nun mit der rechten Maustaste 

auf System Diagnostics (Systemdiagnose) und wählen Sie den Befehl Aktuellster 

Bericht. 

6. Sehen Sie sich den Abschnitt Diagnoseergebnisse an und untersuchen Sie alle Fehleroder 

Warnungsbedingungen. Sehen Sie dann alle anderen Abschnitte des Berichts durch 

und ermitteln Sie folgende Informationen: 

Prozessorauslastung 

Die Zahl der Prozessoren und ob die Prozessoren im Hyper-Threading-Modus 

arbeiten oder nicht 

Arbeitsspeicherauslastung 

Gesamter Hardwarearbeitsspeicher 

Ob das Betriebssystem eine 32-Bit- oder 64-Bit-Architektur hat 

Den Namen der Arbeitsgruppe oder Domäne, bei der der Computer Mitglied ist 

Die Namen der installierten Antispyware-, Antiviren- und Firewallsoftware (sofern 

vorhanden) 

Ob die Benutzerkontensteuerung aktiviert ist 

Ob die Computerbrowser-, Server-, Arbeitsstations- und Windows Update-Dienste 

laufen 

Welcher Dienst am meisten Prozessorzeit verbraucht 

Ob IRQ 3 benutzt wird 

Den Windows-Leistungsindex für Prozessor, Arbeitsspeicher und Festplatte 

Typ und Version des BIOS (Basic Input/Output System) 

Die IP-Adresse (Internet Protocol), die am meisten Bytes an den lokalen Computer 

sendet 

Die Zahl der IPv4- und IPv6-Verbindungen


Die Datei, die am meisten Datenträger-E/A verursacht (Eingabe/Ausgabe) 

Die Anwendung mit den größten Arbeitsseiten 

Übung 2 Erstellen eines Leistungsdiagramms 

In dieser Übung arbeiten Sie mit der Leistungsüberwachung und analysieren die in Übung 1 

gesammelten Daten in einem Diagramm. 

1. Wählen Sie in der Konsole Computerverwaltung den Knoten System\Leistung\Überwachungstools\Leistungsüberwachung 

aus. 

2. Klicken Sie in der Symbolleiste auf die Schaltfläche Protokolldaten anzeigen, um das 

Dialogfeld Eigenschaften von Leistungsüberwachung mit der Registerkarte Quelle zu 

öffnen. 

3. Wählen Sie die Option Protokolldateien aus und klicken Sie auf Hinzufügen. Wählen Sie 

die Datei C:\Perflogs\System\Diagnostics\_\Performance 

Counter.blg aus, um das Leistungsindikatorprotokoll zu öffnen, das Sie mit 

dem Sammlungssatz System Diagnostics (Systemdiagnose) aufgezeichnet haben. Klicken 

Sie auf Öffnen. 

4. Klicken Sie auf OK, um zur Leistungsüberwachung zurückzukehren. 

Nun werden die aufgezeichneten Leistungsdaten angezeigt. Weil Sie noch keine Leistungsindikatoren 

zum Diagramm hinzugefügt haben, ist vorerst noch nichts zu sehen. 

5. Klicken Sie in der Symbolleiste auf die Schaltfläche Hinzufügen. Fügen Sie die folgenden 

Leistungsindikatoren zum Diagramm hinzu und klicken Sie dann auf OK: 

IPv4, Datagramme/s 

IPv6, Datagramme/s 

Speicher, Zugesicherte verwendete Bytes (%) 

Physikalischer Datenträger, Bytes/s 

Prozessor, Prozessorzeit (%) 

System, Prozesse 

6. Drücken Sie die Tastenkombination STRG+H, um den ausgewählten Leistungsindikator 

hervorzuheben. Sehen Sie sich die verfügbaren Indikatoren durch und untersuchen Sie 

ihre Werte während der einminütigen Aufzeichnung. 

7. Ziehen Sie Ihre Maus mit gedrückter Maustaste horizontal über den Mittelbereich des 

Diagramms und wählen Sie etwa 30 Sekunden des Diagramms aus. Klicken Sie nun mit 

der rechten Maustaste in das Diagramm und wählen Sie den Befehl Zoommodus. Das 

Diagramm zeigt nun einen kürzeren Zeitraum an. 

8. Bewegen Sie den Schieberegler unter dem Diagramm, um die gesamte Zeitdauer des 

Diagramms durchzusehen. Klicken Sie mit der rechten Maustaste in das Diagramm und 

wählen Sie wieder den Befehl Zoommodus.


Übung 3 Einen Dienst mit dem Systemkonfigurationsprogramm kurzzeitig deaktivieren 

In dieser Übung deaktivieren Sie einen Dienst zeitweise mit dem Systemkonfigurationsprogramm. 


EINGABETASTE. 

2. Deaktivieren Sie im Dialogfeld Systemkonfiguration auf der Registerkarte Dienste das 

Kontrollkästchen Computerbrowser. 


4. Klicken Sie im Dialogfeld Systemkonfiguration auf Neu starten. Windows wird neu 

gestartet. 

5. Melden Sie sich wieder an Windows an. Geben Sie im Suchfeld des Startmenüs den 

Befehl msconfig ein und drücken Sie die EINGABETASTE. 

6. Prüfen Sie auf der Registerkarte Dienste, ob der Dienst Computerbrowser ausgeführt 

wird oder beendet ist. 

Beendet 

7. Aktivieren Sie das Kontrollkästchen Computerbrowser und klicken Sie auf OK. 

8. Klicken Sie im Dialogfeld Systemkonfiguration auf Neu starten. 


Der Task-Manager bietet eine schnelle Möglichkeit, die Leistung eines Computers zu 

untersuchen und einige Leistungsprobleme zu beseitigen. Im Task-Manager können Sie 

herausfinden, welche Prozesse am meisten Ressourcen verbrauchen, woraufhin Sie entweder 

die Priorität dieser Prozesse verringern oder sie beenden können. 

Mit der Leistungsüberwachung können Sie Systemstatistiken in Echtzeit analysieren 

oder Daten analysieren, die mit einem Sammlungssatz aufgezeichnet wurden. 

Sammlungssätze und Berichte sammeln Leistungs- und Konfigurationsdaten über einen 

Computer und ermöglichen Ihnen, die Informationen mithilfe von Berichten oder der 

Leistungsüberwachung ganz einfach zu analysieren. 

Leistungsprobleme bei den Datenträgern werden meist durch knappen Festplattenplatz 

und Fragmentierung verursacht. Windows 7 defragmentiert Datenträger automatisch, 

wenn das nötig ist. Aber wenn nicht genug Festplattenplatz frei ist, ist eine Fragmentierung 

unvermeidlich. Um verschwendeten Festplattenplatz freizumachen, können Sie das 

Tool Datenträgerbereinigung verwenden. 

Falls ein Autostartprogramm Leistungsprobleme verursacht, können Sie mit dem Tool 

Systemkonfiguration (Msconfig.exe) verhindern, dass ein solches Programm gestartet 

wird. Das Tool Systemkonfiguration bietet eine bequeme Möglichkeit, Anwendungen 

wieder zu aktivieren, falls Sie später feststellen, dass sie nicht für das Problem verantwortlich 

sind.




»Behandeln von Leistungsproblemen«, überprüfen. Die Fragen finden Sie (in englischer 






1. Sie arbeiten als Systemadministrator für ein Großunternehmen. Ein Benutzer ruft an, 

weil sein Computer sehr langsam reagiert und er in Microsoft Office Word keine Eingaben 

mehr machen kann. Er hat versucht, Word zu schließen, aber es bleibt auf dem 

Bildschirm. Was können Sie tun? 

A. Drücken Sie die Tastenkombination STRG+ALT+ENTF und klicken Sie auf Task- 

Manager starten. Wählen Sie auf der Registerkarte Anwendungen den Eintrag von 

Word aus und klicken Sie auf Task beenden. 

B. Drücken Sie die Tastenkombination STRG+ALT+ENTF und klicken Sie auf Systemkonfiguration 

starten. Klicken Sie auf der Registerkarte Systemstart auf Microsoft 

Word und dann auf OK. 

C. Drücken Sie die Tastenkombination ALT+TABULATOR und klicken Sie auf Task- 

Manager starten. Wählen Sie auf der Registerkarte Anwendungen den Eintrag von 

Word aus und klicken Sie auf Task beenden. 

D. Drücken Sie die Tastenkombination ALT+TABULATOR und klicken Sie auf Systemkonfiguration 

starten. Klicken Sie auf der Registerkarte Systemstart auf Microsoft 

Word und dann auf OK. 

2. Welcher der folgenden Faktoren erhöht die Fragmentierung einer Festplatte am stärksten? 

A. Akkubetrieb 

B. Große Auslagerungsdatei 

C. Wenig freier Festplattenplatz 

D. Benutzung eines Flashlaufwerks 

3. Welche der folgenden Leistungsprobleme können auf einem mobilen Computer auftreten, 

der im Akkubetrieb läuft? (Wählen Sie alle zutreffenden Antworten aus.) 

A. Höherer Verbrauch von virtuellem Arbeitsspeicher 

B. Langsamerer Speicherzugriff 

C. Langsamere Drahtlosverbindungen 

D. Schlechtere Videoqualität




vertiefen: 









Das Windows 7-Ereignisprotokoll enthält eine Vielzahl wertvoller Informationen, darunter 

Ereignisse, die Probleme beschreiben, die bereits aufgetreten sind oder bald auftreten 

könnten. Indem Sie diese Ereignisse mithilfe der Ereignisweiterleitung überwachen, 

können Sie schneller auf Probleme reagieren oder verhindern, dass sie ernst werden. 

Mit Task-Manager, Leistungsüberwachung und Sammlungssätzen kreisen Sie die Ursachen 

von Leistungsproblemen schnell ein. Der Task-Manager kann manche Leistungsprobleme 

sogar beseitigen, indem Sie die Priorität eines laufenden Prozesses ändern oder 

eine Anwendung schließen. Wenn Sie den Verdacht haben, dass ein Leistungsproblem 

durch einen automatisch gestarteten Dienst oder eine Autostartanwendung verursacht 

wird, können Sie im Rahmen der Problembehandlung unterschiedliche Programme mit 

dem Tool Systemkonfiguration zeitweise deaktivieren. 




Sammelcomputer 

Ereignisweiterleitung 

Weiterleitungscomputer 

Ruhezustand 

Listener 

Pull-Modus 

Push-Modus 

Standby






Übung mit Fallbeispiel 1: Überwachen von Kioskcomputern 

Sie sind Systemadministrator beim Baldwin Museum of Science. Sie verwalten die Computer 

für die internen Mitarbeiter, sind aber auch für mehrere Windows-Vista Computer 

verantwortlich, die in der Eingangshalle des Museums als Kioskgeräte konfiguriert sind. 

Besucher des Museums können an diesen Computern eine begrenzte Zahl von Websites mit 

wissenschaftlichem Inhalt aufrufen. Desktopsicherheitseinschränkungen begrenzen die 

Anwendungen, die von den Benutzern ausgeführt werden können, und die Websites, die sie 

besuchen können. 

Das Museum ist Anziehungspunkt für viele intelligente Besucher, die über Fachkenntnisse 

im Computerbereich verfügen. Leider sehen es einige als Herausforderung an, in die Kioskcomputer 

einzubrechen. Zum Beispiel hatten Sie es vor Kurzem mit einem Angreifer zu tun, 

der über eine interne Drahtlosverbindung versucht hat, über das Netzwerk in einen Kioskcomputer 

einzudringen. Sie haben den Angriff bemerkt, weil Sie einen Eintrag im Ereignisprotokoll 

gefunden haben. Den entsprechenden Eintrag sehen Sie in Abbildung 8.12. 

Abbildung 8.12 Ein Ereignis, das auf einen aktiven Angriff 

in Ihrer Organisation hinweist 

Fragen 


1. Sie verwalten mehrere Kioskcomputer. Wie können Sie ohne großen Aufwand alle 

Ereignisprotokolle dieser Computer auf ein bestimmtes Ereignis überwachen? 

2. Welche Bandbreitenoptimierungstechnik sollten Sie für die Ereignisweiterleitung 

wählen?

Übungen mit Fallbeispiel 341 

3. Falls dieses Ereignis auftaucht, müssen Sie sofort darüber Bescheid wissen. Wie können 

Sie sich aktiv über einen Angriff informieren lassen? 

Übung mit Fallbeispiel 2: Behandeln eines Leistungsproblems 

Sie sind leitender Systemadministrator bei der Woodgrove Bank. Mehrmals pro Tag werden 

die IT-Supportmitarbeiter von Benutzern um Hilfe gebeten, deren Computer zu langsam 

arbeiten. Das Supportpersonal war aber nicht in der Lage, die Ursache des Leistungsproblems 

zu ermitteln. Das Problem wird dadurch umgangen, dass die Benutzer angewiesen 

werden, ihre Computer neu zu starten. 

Recherche 


Stuart Railson, Desktopsupporttechniker »Es ist wirklich schwierig, diesen Benutzern 

zu helfen. Dieser eine Kerl beschwert sich, dass sein Computer zu langsam ist, und 

führt sich auf, als wäre das meine Schuld. Ich vermute, es liegt daran, dass der Computer 

einfach zu alt ist. Wir sollten den Prozessor oder Arbeitsspeicher oder so etwas aufrüsten. 

Ich sage den Benutzern, sie sollten ihre Computer neu starten. Ich vermute, dass 

nicht alle Benutzer, die Probleme mit der Geschwindigkeit haben, uns anrufen, weil sie 

selbst die Erfahrung gemacht haben, dass sich das Problem behebt, wenn sie ihren Computer 

neu starten.« 

Angela Barbariol, IT-Managerin »Wie Sie wissen, laufen alle unsere Computer unter 

Windows 7 und haben moderne Dual-Core-Prozessoren und mindestens 3 GByte RAM. 

Für die Anwendungen, die diese Benutzer einsetzen, sollte das mehr als ausreichend 

sein. Das ist offensichtlich, weil die Leistung der Computer einwandfrei ist, nachdem sie 

neu gestartet wurden. Offen gesagt ist es mir peinlich, dass wir das Problem umgehen, 

indem wir die Computer neu starten. Schließlich verringert das die Produktivität der 

Benutzer. Wir sollten die Ursache der Leistungsprobleme finden, damit wir sie beseitigen 

können.« 

Fragen 


1. Welche Tools setzen Sie ein, um die Ursache des Problems ausfindig zu machen? Wie 

verwenden Sie diese Tools? 

2. Wo vermuten Sie das Problem? Warum wird es zeitweise beseitigt, wenn die Computer 

neu gestartet werden?





Untersuchen und Beseitigen von Leistungsproblemen 

Im Rahmen dieser Aufgabe sollten Sie mindestens die Übungen 1 und 2 durcharbeiten, um 

Erfahrung mit der Ereignisweiterleitung zu sammeln. Wenn Sie genauer verstehen wollen, 

wie die Ereignisweiterleitung in einem Großunternehmen konfiguriert wird, sollten Sie auch 

Übung 3 ganz durcharbeiten. Wenn Sie diese Konfigurationsaufgaben durchführen, verbessern 

Sie auch Ihre Problembehandlungsfähigkeiten, weil Probleme meist auftreten, wenn 

eine von den Standardeinstellungen abweichende Ereignisweiterleitung konfiguriert wird. 

Arbeiten Sie danach die Übungen 4 bis 7 durch, um mehr Erfahrung mit dem Überwachen 

der Computerleistung zu sammeln. Führen Sie zuletzt Übung 8 durch, um sich damit vertraut 

zu machen, wie viel Festplattenplatz in der Praxis verschwendet wird. 

Übung 1 Konfigurieren Sie einen Arbeitsgruppencomputer so, dass er Ereignisse an 

einen anderen Arbeitsgruppencomputer weiterleitet. 

Übung 2 Konfigurieren Sie einen Weiterleitungscomputer so, dass er Ereignisse mit 

jeder der drei Standardbandbreitenoptimierungstechniken an einen Sammelcomputer 

sendet. Passen Sie dann die Konfiguration der Ereignisweiterleitung an, indem Sie das 

Zeitintervall für die Ereignisweiterleitung halbieren. 

Übung 3 Konfigurieren Sie mehrere Clientcomputer mithilfe von Gruppenrichtlinien 

so, dass sie Ereignisse an einen Sammelcomputer weiterleiten. Verwenden Sie Anmeldeskripts, 

um die Weiterleitungscomputer zu konfigurieren. Dies dient der Skalierbarkeit, 

es wäre in einem Großunternehmen zu zeitaufwendig, die Weiterleitungscomputer von 

Hand zu konfigurieren. 

Übung 4 Führen Sie auf mehreren Produktivcomputern beide Standardsammlungssätze 

aus. Analysieren Sie die dabei generierten Berichte. 

Übung 5 Halten Sie die Registerkarte Leistung des Task-Managers offen, während Sie 

andere Arbeiten an Ihrem Computer erledigen. Sehen Sie, sobald der Ressourcenverbrauch 

deutlich ansteigt, auf der Registerkarte Prozesse nach, welcher Prozess dafür 

verantwortlich ist. Wiederholen Sie diese Übung mit der Registerkarte Netzwerk. 

Übung 6 Starten Sie eine Anwendung, beispielsweise den Editor, und beenden Sie 

dann den Prozess auf der Registerkarte Prozesse des Task-Managers. 

Übung 7 Fügen Sie in der Leistungsüberwachung den Leistungsindikator Netzwerkschnittstelle\Gesamtanzahl 

Bytes/s für Ihre primäre Netzwerkschnittstelle hinzu. Kopieren 

Sie dann eine Datei über das Netzwerk. Notieren Sie sich den Höchstwert für die 

Bytes pro Sekunde. Multiplizieren Sie diesen Wert mit 8, um die maximale Bandbreite 

in der Einheit Bit/s zu ermitteln. Welchen Prozentsatz der theoretischen Netzwerkbandbreite 

nutzt die Dateiübertragung aus? 

Übung 8 Führen Sie das Tool Datenträgerbereinigung auf mehreren Produktivcomputern 

aus. Wie viel Platz wird durchschnittlich frei?


Machen Sie einen Übungstest 343 












Beseitigen von Softwareproblemen 

Softwarefehler können während des Installationsvorgangs auftreten, sofort nach der Installation 

oder erst viel später. Fehler während der Installation werden oft durch Einschränkungen 

aufgrund von Richtlinien oder Berechtigungen, fehlender Verfügbarkeit oder falschen Installationseinstellungen 

verursacht. Fehler, die sofort nach der Installation auftreten, haben 

oft mit Einschränkungen aufgrund von Richtlinien oder Kompatibilitätsproblemen zu tun. 

Und Fehler, die sich erst lange nach der Installation zeigen, werden oft von Konfigurationsänderungen 

verursacht. 

Dieses Kapitel stellt die verschiedenen Ursachen von Softwarefehlern vor und beschreibt 

Strategien, wie sie sich beseitigen lassen. 


Untersuchen und Beseitigen von Problemen bei der Installation neuer Software 

Untersuchen und Beseitigen von Softwarekonfigurationsproblemen 



Lektion 1: Beseitigen von Installationsfehlern ............................ 346 

Lektion 2: Beseitigen von Softwarekonfigurations- und Kompatibilitätsproblemen 361 




Einen Client mit Windows 7 Enterprise, der Mitglied der Domäne ist 

345

346 Kapitel 9: Beseitigen von Softwareproblemen 

Lektion 1: Beseitigen von Installationsfehlern 

Bei einer Problembehandlung für Installationsfehler müssen Sie wissen, welche Voraussetzungen 

für den erfolgreichen Ablauf der Installation gefordert werden. Zu diesen Voraussetzungen 

gehören unter anderem Administratorprivilegien, Kompatibilität zu Windows 7, Verfügbarkeit 

von Installationscode und -daten sowie der Status von anderen Komponenten, die 

für die Software benötigt werden. Sie müssen außerdem wissen, wie administrative Features, 

beispielsweise Richtlinien für Softwareeinschränkung (Software Restriction Policies, SRP) 

und AppLocker, eine Installation blockieren können, obwohl alle anderen Voraussetzungen 

erfüllt sind. Diese Lektion bietet einen Überblick über derartige Probleme, die sowohl für 

erfolgreiche als auch fehlgeschlagene Installationen von Bedeutung sind. 


Durchführen einer Problembehandlung für Softwareinstallationsfehler, indem mehrere 

bekannte Installationsvoraussetzungen geprüft werden 

Beschreiben, wie AppLocker Softwareinstallationen verhindern kann 

Beschreiben, welche Features in AppLocker im Vergleich zu den Richtlinien für Softwareeinschränkung 

verbessert wurden 

Blockieren der Ausführung eines Windows Installer-Programms mit AppLocker 


Überprüfen der Voraussetzungen für eine Softwareinstallation 

Es gibt zwei grundlegende Methoden, neue Software auf Windows 7-Clients zu installieren. 

Erstens können Sie die Anwendungen mithilfe einer Softwarebereitstellungstechnologie wie 

Gruppenrichtlinien, Microsoft System Center Configuration Manager oder der Lösung eines 

anderen Herstellers auf die Clients übertragen; dies ist die sogenannte Push-Methode. Die 

zweite Möglichkeit besteht darin, ein Programm von Hand zu installieren. 

Manche Voraussetzungen für eine erfolgreiche Softwareinstallation gelten ausschließlich für 

eine spezielle Methode, die Software bereitzustellen, aber die meisten Voraussetzungen müssen 

bei allen Softwareinstallationsmethoden erfüllt sein. Um die Problembehandlung für 

eine fehlgeschlagene Installation einzuleiten, sollten Sie daher erst einmal die allgemeinen 

Voraussetzungen überprüfen, die im nächsten Abschnitt beschrieben werden. 

Überprüfen der Administratorprivilegien 

Eine der wichtigsten Voraussetzungen für eine erfolgreiche Softwareinstallation ist, dass das 

Benutzerkonto, unter dem das Installationsprogramm ausgeführt wird, über die Privilegien 

eines lokalen Administrators verfügen muss. Damit diese lokalen Administratorprivilegien 

auf einem bestimmten Computer zur Verfügung stehen, muss das Konto Mitglied der Administratorengruppe 

auf diesem Computer sein. 

Wenn Sie an der Eingabeaufforderung der Benutzerkontensteuerung scheitern, während Sie 

versuchen, ein Programm zu installieren, sollten Sie deshalb überprüfen, ob das Konto, das 

Sie für die Installation verwenden, lokale Administratorprivilegien auf dem Computer 

besitzt. Üblicherweise reicht es aus, die Privilegien eines Domänenadministrators zu haben, 

weil die Mitglieder der Gruppe Domänen-Admins in der Standardeinstellung auch Mitglieder

Lektion 1: Beseitigen von Installationsfehlern 347 

der lokalen Gruppe Administratoren auf jedem Computer sind, der Mitglied derselben Domäne 

ist. Sie sollten diesen Punkt aber sogar dann überprüfen, wenn Sie bereits Domänenadministrator 

sind, weil es sein kann, dass die Gruppe Domänen-Admins aus der lokalen 

Gruppe Administratoren entfernt wurde. 

Ob Sie ein Mitglied der lokalen Gruppe Administratoren auf einem bestimmten Computer 

sind, finden Sie in der Konsole Lokale Benutzer und Gruppen heraus. Sie öffnen diese Konsole 

in Windows 7, indem Sie im Startmenü Lokale Benutzer und Gruppen bearbeiten 

eintippen und die EINGABETASTE drücken. (Diesen Schritt können Sie auch dann durchführen, 

wenn Sie noch kein lokaler Administrator sind.) Wählen Sie dann in der Konsolenstruktur 

von Lokale Benutzer und Gruppen den Knoten Gruppen aus und klicken Sie in der 

Detailansicht doppelt auf die Gruppe Administratoren. Daraufhin öffnet sich das Dialogfeld 

Eigenschaften von Administratoren (Abbildung 9.1). Dieses Dialogfeld listet alle lokalen 

Administratoren des Computers auf. 

Abbildung 9.1 Anzeigen der lokalen Administratoren 

Sofern Sie ein lokaler Administrator sind, können Sie im Dialogfeld Eigenschaften von 

Administratoren auf die Schaltfläche Hinzufügen klicken, um bei Bedarf weitere lokale 

Administratoren hinzuzufügen. Beachten Sie aber, dass es in einem großen Unternehmensnetzwerk 

sinnvoller ist, die Mitgliedschaft in lokalen Gruppen mithilfe der eingeschränkten 

Gruppen in den Gruppenrichtlinien zu steuern. 

Ausführen eines Installationsprogramms als Administrator 

Wenn Sie festgestellt haben, dass Sie ein lokaler Administrator sind, aber trotzdem die 

Meldung bekommen, dass Administratorprivilegien erforderlich sind, um die Installation 

auszuführen, sollten Sie die Möglichkeit nutzen, das Installationsprogramm als Administrator 

auszuführen. Klicken Sie dazu mit der rechten Maustaste auf das Installationssymbol des 

Programms und wählen Sie den Befehl Als Administrator ausführen (Abbildung 9.2). Wenn 

daraufhin eine Eingabeaufforderung der Benutzerkontensteuerung erscheint, können Sie den


Vorgang bestätigen beziehungsweise die geforderten Administratoranmeldeinformationen 

eingeben. 

Abbildung 9.2 Ausführen einer Installation mit Administratorprivilegien 

Überprüfen der Windows 7-Kompatibilität 

Ist von einer Anwendung bekannt, dass sie zu Windows 7 inkompatibel ist, erhalten Sie unter 

Umständen eine entsprechende Meldung, sobald Sie versuchen, das Programm zu installieren. 

Steht keine aktualisierte Version der Software zur Verfügung, können Sie versuchen, die 

Kompatibilitätseinstellungen für das Installationsprogramm anzupassen oder die Anwendung 

in einer virtuellen Umgebung auszuführen. Wie Sie solche Softwarekompatibilitätsprobleme 

beseitigen, wird in Lektion 2, »Beseitigen von Softwarekonfigurations- und 

Kompatibilitätsproblemen«, dieses Kapitels genauer beschrieben. 

Überprüfen, ob der Herausgeber vertrauenswürdig ist 

Wenn Sie ein neues Programm installieren, prüft Windows 7 das Zertifikat und eine digitale 

Signatur, um den Herausgeber des Programms zu authentifizieren. Damit diese Überprüfung 

der digitalen Signatur gelingt, muss der lokale Computer der Stammzertifizierungsstelle 

vertrauen, die das Zertifikat des Softwareherausgebers ausgestellt hat. Anders ausgedrückt: 

Im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen des lokalen Computers 

muss das Stammzertifikat für die Zertifikatkette des Herausgeberzertifikats installiert sein. 

Ein Administrator kann dieses Stammzertifikat von Hand auf einem lokalen Computer installieren, 

es kann aber auch mithilfe von Gruppenrichtlinien im Zertifikatspeicher Vertrauenswürdige 

Stammzertifizierungsstellen auf vielen Clients installiert werden. 

Wurde bestätigt, dass das Zertifikat im Installationsprogramm von einem vertrauenswürdigen 

Herausgeber stammt und die digitale Signatur echt ist, wird die Installation normal ausgeführt. 

Wenn dagegen keine digitale Signatur vorhanden ist oder der lokale Computer nicht 

so konfiguriert ist, dass der dem Herausgeber vertraut, bekommen Sie eine Warnmeldung, 

die ähnlich aussieht wie in Abbildung 9.3.

Abbildung 9.3 Vermeiden Sie es, Programme von 

nichtvertrauenswürdigen Herausgebern zu installieren 


Im Allgemeinen sollten Sie es in einer Unternehmensumgebung vermeiden, Programme von 

nichtvertrauenswürdigen Herausgebern zu installieren. Solche Programme verursachen unter 

Umständen Fehler während der Installation, und selbst wenn die Installation gelingt, 

könnten sie Stabilitätsprobleme verursachen oder Malware in Ihr Netzwerk einschleusen. 

Überprüfen, ob Software die Tests für das Windows 7-Logo bestanden hat 

Gelegentlich erhalten Sie beim Versuch, eine Anwendung zu installieren, eine Meldung, dass 

die Anwendung nicht die Tests für das Windows 7-Logo bestanden hat. In diesem Fall sollten 

Sie die Software nicht installieren. 

Damit eine Anwendung die Tests für das Windows 7-Logo besteht, muss sie eine Reihe von 

Anforderungen erfüllen, darunter die Einhaltung bestimmter Antispywarerichtlinien, die 

Isolierung geschützter Ressourcen in Windows, eine Möglichkeit zur vollständigen Deinstallation 

und eine digitale Signatur für alle Dateien. 

Überprüfen des Speicherorts für das Installationsmedium 

Bevor Sie versuchen, eine Anwendung zu installieren, sollten Sie sicherstellen, dass alle 

Dateien, die für die Installation gebraucht werden, an den vorgesehenen Speicherorten zur 

Verfügung stehen. Haben Sie beispielsweise ein Installationsprogramm aus einer Netzwerkquelle 

auf den lokalen Computer kopiert, sollten Sie überprüfen, ob auch alle Unterstützungsdateien 

mitkopiert wurden, die das Installationsprogramm bei seiner Ausführung aufruft. 

(Solche Unterstützungsdateien sind unter anderem .cab- oder .ini-Dateien.) Wenn Sie eine 

Anwendung über das Netzwerk installieren, müssen Sie sicherstellen, dass auch alle Unterstützungsdateien 

vom lokalen Computer aus erreichbar sind und Sie Lese- und Ausführungsberechtigungen 

für diese Dateien haben. 

Überprüfen der Installationseinstellungen 

Wenn Sie versuchen, eine Anwendung zu installieren, sollten Sie sicherstellen, dass die Einstellungen, 

die Sie für die Installation ausgewählt haben, richtig konfiguriert sind. Andernfalls 

könnte die Installation fehlschlagen. Wenn Sie beispielsweise versuchen, ein Programm 

auf einem schreibgeschützten Datenträger zu installieren, schlägt die Installation fehl.


Überprüfen der externen Verbindungen 

Bestimmte Anwendungen benötigen Verbindungen zu externen Datenquellen. So könnte es 

sein, dass eine Anwendung eine Verbindung zu einer Datenbank, einem Mainframe, einer 

Website, einem Lizenzserver oder einem anderen Anwendungsserver benötigt. Prüfen Sie in 

einem solchen Fall, ob das Installationsprogramm Verbindung zu diesen externen Zielen hat. 

Überprüfen von Lizenz- und anderen Anwendungseinschränkungen 

Für eine Anwendung gelten unter Umständen Einschränkungen, die eine erfolgreiche Installation 

verhindern. Beispielsweise wird oft eine Lizenz oder ein Product Key gebraucht, um 

die Anwendung zu installieren, vielleicht muss die Anwendung auch mit einem bestimmten 

Benutzerkonto installiert werden. Überprüfen Sie auch, ob die Anwendungsarchitektur zum 

lokalen Prozessor kompatibel ist. Zum Beispiel können Sie eine 64-Bit-Anwendung nicht 

auf einem Computer mit einer 32-Bit-CPU installieren. 

Überprüfen von Anwendungsabhängigkeiten 

Manche Anwendungen lassen sich erst installieren, wenn Sie vorher andere Updates, Features, 

Service Packs oder Anwendungen installiert haben. Stellen Sie sicher, dass der Windows 

7-Client für die Anwendungsinstallation vorbereitet ist, indem Sie erst alle erforderlichen 

Softwareabhängigkeiten installieren. 

Weitere Informationen Bereitstellen von Anwendungen 

Die folgenden Websites enthalten hilfreiche Informationen und Tools zur automatisierten 

Installation von Anwendungen sowie zu anderen Themen im Bereich der Bereitstellung: 

AppDeploy.com unter http://www.appdeploy.com Diese Website enthält Informationen 

über das Bereitstellen von Anwendungen, die mit ganz unterschiedlichen Techniken 

verpackt sind. 

SourceForge unter http://unattended.sourceforge.net Diese Website beschreibt, wie 

Sie die Installation vieler älteren Installationsprogramme automatisieren. 

Grundlagen von Installationseinschränkungen durch AppLocker 

Gelegentlich erhalten Sie beim Versuch, eine Anwendung zu installieren, Fehlermeldungen 

wie die in den Abbildungen 9.4 oder 9.5. 

Abbildung 9.4 Eine Installation wird durch AppLocker verhindert

Abbildung 9.5 Eine Installation wird durch SRP verhindert 


Wenn Sie eine solche Meldung erhalten, verhindert das Feature AppLocker oder Richtlinien 

für Softwareeinschränkung (Software Restriction Policies, SRP), dass die Anwendung installiert 

wird. Beide Technologien stehen in Windows 7 und Windows Server 2008 R2 zur Verfügung. 

AppLocker ist im Grunde eine neue und verbesserte Version von SRP, aber SRP ist 

in diesen neueren Betriebssystemen nach wie vor enthalten, um die Kompatibilität zu Netzwerken 

sicherzustellen, in denen ältere Windows-Versionen laufen. 

Wie SRP konfigurieren Sie AppLocker mithilfe von Gruppenrichtlinien. Sie finden die Einstellungen 

für AppLocker in einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) 

im Knoten Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Anwendungssteuerungsrichtlinien\AppLocker 

(Abbildung 9.6). In der lokalen Sicherheitsrichtlinie 

lautet der Pfad Sicherheitseinstellungen\Anwendungssteuerungsrichtlinien. 

Abbildung 9.6 AppLocker wird in einem Gruppenrichtlinienobjekt konfiguriert 

Wie Sie sehen, liegt der Container für AppLocker (Anwendungssteuerungsrichtlinien) direkt 

unter dem für SRP (Richtlinien für Softwareeinschränkung). 

Der nächste Abschnitt stellt AppLocker vor und beschreibt die Unterschiede zwischen App- 

Locker und SRP.


Überblick über AppLocker 

AppLocker ist ein neues Feature in Windows 7 und Windows Server 2008 R2. Administratoren 

können damit einschränken, welche Programme die Benutzer in der Organisation ausführen 

oder installieren dürfen. 

AppLocker weist zahlreiche Ähnlichkeiten mit SRP auf. Erstens konfigurieren Sie sowohl 

AppLocker als auch SRP in einem Gruppenrichtlinienobjekt. Und wie in SRP erstellen Sie 

auch in AppLocker Regeln, die festlegen, auf welche Anwendung Sie den Zugriff erlauben 

oder verbieten wollen. Und schließlich können Sie in AppLocker wie in SRP ein Programm 

identifizieren, indem Sie unter anderem einen Hashwert oder den Pfad zu seiner Datei 

angeben. 

AppLocker bietet gegenüber SRP folgende wichtige Verbesserungen: 

Herausgeberregeln 

In AppLocker können Sie ein Programm identifizieren, indem Sie Informationen aus 

seiner digitalen Signatur extrahieren (Abbildung 9.7). Anhand ausgewählter Teile dieser 

Herausgeberinformationen definieren Sie dann, welche Programme Sie zulassen oder 

verbieten. Diese Herausgeberbedingung ersetzt praktisch die Zertifikatregeln in SRP. 

Abbildung 9.7 Mit AppLocker können Sie eine Anwendung anhand der digitalen Signatur 

identifizieren 

Die Herausgeberdaten aus einer digitalen Signatur zu verwenden, ist die weitaus beste 

Methode, um eine Anwendung in AppLocker zu identifizieren. Erstens können Sie auf 

Basis dieser Herausgeberdaten unterschiedlich konkrete Regeln entwickeln: Sie können 

festlegen, dass die Regel für den Herausgeber generell gilt, für alle Versionen einer bestimmten 

Anwendung oder für ausgewählte Versionen der Anwendung (inklusive aller 

älteren oder künftigen Versionen). Zweitens löst die Herausgeberbedingung ein zentrales


Problem von SRP: In SRP gibt es keinen vergleichbaren Weg, den Zugriff auf eine Anwendung 

einzuschränken, wenn mehrere Updates angewendet wurden. Wenn Sie einen 

Pfad zu einer Anwendung angeben, die Sie einschränken wollen, können die Benutzer 

das Programm einfach in einen anderen Pfad verschieben, um die Einschränkung zu 

umgehen. Und wenn Sie einen Hashwert für die Anwendung angeben, müssen Sie jedes 

Mal, wenn die Anwendung aktualisiert wird, eine neue Regel hinzufügen. 

AppLocker blockiert alle Programme, die nicht explizit erlaubt sind 

In SRP werden Regeln standardmäßig benutzt, um den Zugriff auf die angegebenen 

Anwendungen zu blockieren. In einem Unternehmensnetzwerk übersteigt die Zahl der 

Anwendungen, die Sie sperren wollen, bei Weitem die Zahl derjenigen, die Sie erlauben. 

AppLocker beseitigt dieses Problem, indem es alle Anwendungen sperrt, die nicht ausdrücklich 

erlaubt sind. Genauer gesagt: Es werden AppLocker-Regeln für einen von vier 

Dateitypen (ausführbare Dateien, Windows Installer-Programme, Skripts oder DLL- 

Dateien) aktiviert, wenn Sie zum ersten Mal eine Regel für den jeweiligen Dateityp 

erstellen. Wird dann AppLocker aktiviert, werden alle Anwendungen dieses Dateityps 

gesperrt, sofern sie nicht durch eine Regel zugelassen werden. Um zu verhindern, dass 

das System völlig gesperrt wird, stellt AppLocker die Befehle Standardregeln erstellen 

und Regeln automatisch generieren zur Verfügung. Sie erstellen Zulassen-Regeln für die 

meisten Anwendungen. Anschließend können Sie dann zusätzliche Regeln erstellen, um 

diese Standardkonfiguration anzupassen. 

Zuweisen von Regeln an bestimmte Benutzer und Gruppen 

In AppLocker können Sie Regeln erstellen, die entweder für alle gelten oder nur für 

bestimmte Benutzer und Gruppen. In SRP gelten die Regeln dagegen immer für alle 

Benutzer. 

Ausnahmen 

AppLocker bietet die Möglichkeit, eine Regel mit einer Ausnahme zu erstellen. Beispielsweise 

können Sie eine Regel erstellen, die die Ausführung aller Anwendungen 

erlaubt außer einer bestimmten .exe-Datei. Dieses Feature steht in SRP nicht zur Verfügung. 

Reiner Überwachungsmodus 

Im Unterschied zu SRP stellt AppLocker einen reinen Überwachungsmodus zur Verfügung. 

In diesem Modus können Sie Ihre Konfiguration testen, ohne die AppLocker- 

Regeln durchzusetzen. Wenn Sie AppLocker so konfigurieren, dass die Regeln für einen 

bestimmten Dateityp (etwa Windows Installer-Programme) überwacht werden, werden 

Ereignisse im Ereignisprotokoll aufgezeichnet, wenn AppLocker im Standardmodus den 

Zugriff auf diese Anwendung blockieren würde. 

Der Überwachungsmodus wird in den Eigenschaften des Knotens AppLocker in einem 

Gruppenrichtlinienobjekt konfiguriert (Abbildung 9.8). Abbildung 9.9 zeigt, wie die 

entsprechenden Überwachungsereignisse in der Ereignisanzeige aufgelistet werden.


Abbildung 9.8 Konfigurieren von AppLocker-Regeln 

für den reinen Überwachungsmodus 

Abbildung 9.9 Ereignisse des AppLocker-Überwachungsmodus 

Importieren und Exportieren von Regeln 

In AppLocker können Sie Regeln auf anderen Computern exportieren und importieren, 

sodass Administratoren Regeln problemlos kopieren und anpassen können.

Praxistipp 



AppLocker ist zweifellos ein tolles Feature, aber ich finde, es warnt Administratoren 

nicht ausreichend vor den Gefahren einer Fehlkonfiguration. Wenn Sie beispielsweise 

eine neue Regel erstellen, ohne dabei Standardregeln generieren zu lassen, kann es leicht 

passieren, dass Sie sich selbst und alle anderen von Ihrem Computer ausschließen. 

Mit ist das selbst passiert, als ich AppLocker zum ersten Mal in einer Betaversion von 

Windows 7 in die Finger bekam. Ich erstellte einfach eine Regel in der lokalen Sicherheitsrichtlinie, 

die den Zugriff auf Editor.exe verbot, und ignorierte die Meldungen, die 

mich aufforderten, die Standardregeln zu generieren. Unmittelbar danach musste ich 

peinlich berührt feststellen, dass Windows nicht mehr startete. Damals wusste ich noch 

nicht, dass AppLocker aktiviert wird, sobald die erste Regel erstellt wird. Anschließend 

werden alle Programme desselben Typs, in diesem Fall ausführbare Dateien, blockiert, 

sofern sie nicht explizit erlaubt wurden. 

Ich hatte insofern Glück, als das nur in einer virtuellen Umgebung passierte und ich einen 

Snapshot des Computers angelegt hatte, bevor ich die Änderungen vornahm. Somit war 

es ganz einfach, den Computer in den vorherigen Zustand zurückzusetzen. Aber ich 

dachte: Was ist, wenn so etwas in einer echten Umgebung passiert? Es ist doch nicht ungewöhnlich, 

dass Administratoren neue Features auf ihren eigenen Computern ausprobieren. 

Wenige Leute halten es für möglich, dass sie als Strafe für die falsche Konfiguration 

eines solchen Features unwiderruflich von ihrem Computer ausgesperrt werden. Und 

noch schlimmer: Was passiert, wenn jemand eine solche Richtlinie tatsächlich auf die 

gesamte Domäne anwendet und die Domänencontroller selbst unbenutzbar werden? Das 

wäre eine Katastrophe. 

Denken Sie also immer daran, in AppLocker zuerst Standardregeln zu generieren und 

dann zusätzliche Regeln zu erstellen, um das Verhalten dieser Standardregeln anzupassen. 

Wenn Sie neue Regeln erstellen, sollten Sie sie immer zuerst im reinen Überwachungsmodus 

oder in einer Umgebung mit virtuellen Computern testen, damit sie bei Bedarf 

problemlos rückgängig gemacht werden können. 

Schnelltest 

Wo finden Sie Nachrichten zu AppLocker in der Ereignisanzeige? 


Wählen Sie in der Konsolenstruktur der Ereignisanzeige den Knoten Ereignisanzeige 

(Lokal)\Anwendungs- und Dienstprotokolle\Microsoft\Windows\AppLocker aus. 

Verfügbarkeit und Kompatibilität von AppLocker 

AppLocker-Regeln werden nur auf Computern durchgesetzt, die unter Windows Server 

2008 R2, Windows 7 Ultimate oder Windows 7 Enterprise laufen. Auf Computern, die unter 

anderen Windows-Versionen laufen, treten sie nicht in Kraft; das betrifft unter anderem 

Windows Server 2008, Windows 7 Professional und Windows Vista.


In einem Gruppenrichtlinienobjekt, das nur SRP-Regeln enthält, werden die Regeln auf allen 

Windows-Computern erzwungen, auch auf solchen, die unter Windows Server 2008 R2, 

Windows 7 Ultimate und Windows 7 Professional laufen. Enthält ein Gruppenrichtlinienobjekt 

dagegen sowohl SRP- als auch AppLocker-Regeln, lesen diese drei Betriebssysteme 

nur die AppLocker-Regeln. Die SRP-Regeln werden in diesem Fall auf Computer angewendet, 

die unter anderen Windows-Betriebssystemen laufen. 

AppLocker benötigt den Dienst Anwendungsidentität 

AppLocker-Regeln werden auf den Clients nur durchgesetzt, wenn auf diesen Clients der 

Dienst Anwendungsidentität läuft. In der Standardeinstellung ist dieser Dienst auf Windows 

7-Computern nicht so konfiguriert, dass er automatisch startet. Wenn Sie daher die 

AppLocker-Regeln erzwingen wollen, sollten Sie mithilfe von Gruppenrichtlinien den 

Starttyp des Dienstes Anwendungsidentität auf die Einstellung Automatisch setzen. 

Übung Verhindern der Softwareinstallation mit AppLocker 

In dieser Übung laden Sie eine .msi-Datei von der Microsoft-Website herunter und verhindern 

dann die Installation dieser Datei mithilfe von AppLocker. 

Übung 1 Herunterladen einer .msi-Datei 

In dieser Übung laden Sie die Datei SharedView.msi aus dem Microsoft Download Center 

herunter. Dann leiten Sie eine Installation ein, um zu prüfen, ob sie funktioniert. 

1. Melden Sie sich auf dem Windows 7-Computer CLIENT1 als Domänenadministrator an 

der Domäne an. 

2. Besuchen Sie im Windows Internet Explorer das Microsoft Download Center unter 

http://download.microsoft.com. Suchen Sie nach der Datei SharedView.msi und speichern 

Sie sie im Downloads-Ordner auf CLIENT1. (Falls Sie auf CLIENT1 keinen Internetzugriff 

haben, können Sie die Datei auch auf einem anderen Computer herunterladen 

und dann auf CLIENT1 kopieren.) 

Hinweis Sie können eine beliebige .msi-Datei verwenden 

In dieser Übung verwenden wir zwar SharedView.msi, aber Sie können diese Datei auch 

durch eine andere ersetzen. Kopieren Sie die Datei dazu einfach in den Ordner Downloads 

auf CLIENT1. 

3. Geben Sie den Ordner Downloads frei, indem Sie allen Benutzern Lesezugriff gewähren. 

Klicken Sie dazu mit der rechten Maustaste auf den Ordner Downloads, wählen Sie im 

Kontextmenü das Untermenü Freigeben für und klicken Sie auf Bestimmte Personen. 

Geben Sie im Fenster Dateifreigabe den Gruppennamen Jeder ein, klicken Sie auf Hinzufügen, 

dann auf Freigabe und schließlich auf Fertig. 

4. Öffnen Sie den Ordner Downloads und klicken Sie doppelt auf SharedView.msi, um die 

Installation einzuleiten. 

5. Klicken Sie auf Ausführen, wenn das Meldungsfeld Datei öffnen – Sicherheitswarnung 

erscheint und Sie gefragt werden, ob Sie die Datei ausführen wollen.


6. Die erste Seite des Assistenten Microsoft SharedView Setup wird geöffnet. Die Tatsache, 

dass der Assistent gestartet wird, beweist, dass die .msi-Datei nicht blockiert wird. 

7. Klicken Sie auf Cancel und dann auf Yes, um den Microsoft SharedView Setup-Assistenten 


Übung 2 AppLocker so konfigurieren, dass es eine .msi-Datei blockiert 

In dieser Übung erstellen Sie ein Gruppenrichtlinienobjekt und definieren darin die Standardregeln 

für AppLocker im Zweig Windows Installer-Regeln. Zuletzt legen Sie eine neue 

Windows Installer-Regel an, die SharedView.msi blockiert. 

1. Wechseln Sie auf den Domänencontroller DC1 und melden Sie sich als Domänenadministrator 

an. 

2. Öffnen Sie im Ordner Verwaltung des Startmenüs die Konsole Gruppenrichtlinienverwaltung. 

3. Erweitern Sie in der Konsolenstruktur von Gruppenrichtlinienverwaltung den Container 

Domänen und wählen Sie den Knoten der Domäne nwtraders.msft aus. 

4. Klicken Sie mit der rechten Maustaste auf den Knoten nwtraders.msft und wählen Sie im 

Kontextmenü den Befehl Gruppenrichtlinienobjekt hier erstellen und verknüpfen. 

5. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt den Namen AppLocker – 

SharedView.msi blockieren ein und klicken Sie auf OK. 

6. Klicken Sie in der Detailansicht der Konsole Gruppenrichtlinienverwaltung mit der 

rechten Maustaste auf das Gruppenrichtlinienobjekt AppLocker – SharedView.msi 

blockieren und wählen Sie den Befehl Bearbeiten. Der Gruppenrichtlinienverwaltungs- 

Editor wird geöffnet. 

7. Wählen Sie in der Konsolenstruktur von Gruppenrichtlinienverwaltungs-Editor den 

Knoten Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Anwendungssteuerungsrichtlinien\AppLocker\Windows 

Installer-Regeln aus. 

8. Klicken Sie mit der rechten Maustaste auf den Knoten Windows Installer-Regeln und 

wählen Sie im Kontextmenü den Befehl Standardregeln erstellen. 

In der Detailansicht erscheinen drei neue Regeln. Diese Regeln erlauben allen Benutzern, 

alle digital signierten Windows Installer-Dateien auszuführen, allen Benutzern, alle 

Windows Installer-Dateien (signiert oder nicht) aus dem Verzeichnis %SystemDrive%\ 

Windows\Installer auszuführen, und Administratoren, ausnahmslos alle Windows Installer-Dateien 

auszuführen. 

9. Klicken Sie mit der rechten Maustaste auf den Knoten Windows Installer-Regeln und 

wählen Sie im Kontextmenü den Befehl Neue Regel erstellen. Die Seite Vorbereitung 

des Assistenten Windows Installer-Regeln erstellen wird geöffnet. 

10. Lesen Sie sich den Text durch, der auf dieser Seite angezeigt wird, und klicken Sie auf 

Weiter. 

11. Wählen Sie auf der Seite Berechtigungen die Option Verweigern aus und klicken Sie auf 

Weiter. 

12. Lassen Sie auf der Seite Bedingungen die Standardoption Herausgeber ausgewählt und 

klicken Sie auf Weiter.


13. Klicken Sie auf der Seite Herausgeber auf Durchsuchen. 

14. Geben Sie im Fenster Öffnen im Textfeld Dateiname den Pfad \\CLIENT1\Users\ 

\Downloads\SharedView.msi ein und klicken Sie auf Öffnen. Tragen 

Sie dabei für die Variable den Namen des Kontos ein, das Sie in Übung 1 

verwendet haben, um SharedView.msi in den Ordner Downloads zu kopieren. Auf der 

Seite Herausgeber wurden nun die Informationen aus der digitalen Signatur der .msi- 

Datei in die Felder neben dem Schieberegler eingetragen. 

15. Bewegen Sie den Schieberegler zwei Positionen nach oben, sodass er neben dem Feld 

Produktname steht. Im zugehörigen Feld ist »MICROSOFT SHAREDVIEW« eingetragen, 

aber die beiden Felder darunter enthalten nur einen Stern (»*«). 


17. Klicken Sie auf der Seite Ausnahmen auf Weiter. 

18. Tippen Sie auf der Seite Name und Beschreibung die Bezeichnung SharedView.msi 

blockieren in das Textfeld Name ein und klicken Sie auf Erstellen. Die neue Verweigern-Regel 

ist nun in der Detailansicht aufgelistet. 


Knoten Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Systemdienste 

aus. 

20. Klicken Sie in der Detailansicht doppelt auf den Dienst Anwendungsidentität. Das Dialogfeld 

Eigenschaften von Anwendungsidentität wird geöffnet. 

21. Aktivieren Sie im Dialogfeld Eigenschaften von Anwendungsidentität das Kontrollkästchen 

Diese Richtlinieneinstellung definieren, wählen Sie die Option Automatisch aus 

und klicken Sie auf OK. Clients müssen diesen Dienst ausführen, damit AppLocker 

funktioniert. 

22. Schließen Sie die Konsolen Gruppenrichtlinienverwaltungs-Editor und Gruppenrichtlinienverwaltung. 

23. Wechseln Sie auf CLIENT1 und starten Sie den Computer neu. 

Übung 3 Testen der Konfiguration 

In dieser Übung testen Sie die Auswirkungen des neuen Gruppenrichtlinienobjekts, das Sie 

in der letzten Übung erstellt haben. 

1. Warten Sie, bis CLIENT1 neu gestartet wurde, und melden Sie sich dann als Domänenadministrator 

an der Domäne nwtraders.msft an. 

2. Öffnen Sie den Ordner Downloads und klicken Sie doppelt auf SharedView.msi. 

3. Klicken Sie auf Ausführen, wenn das Meldungsfeld Datei öffnen – Sicherheitswarnung 

erscheint und Sie gefragt werden, ob Sie die Datei ausführen wollen. 

4. Es erscheint eine Windows Installer-Warnmeldung, dass der Systemadministrator Richtlinien 

erlassen hat, die diese Installation verhindern. 

5. Klicken Sie auf OK, um die Meldung zu schließen. 

6. Wechseln Sie wieder auf DC1. Wählen Sie in der Konsolenstruktur von Gruppenrichtlinienverwaltung 

das Gruppenrichtlinienobjekt AppLocker – SharedView.msi blockieren 

aus.


7. Klicken Sie mit der rechten Maustaste auf AppLocker – SharedView.msi blockieren und 

wählen Sie im Kontextmenü den Befehl Verknüpfung aktiviert. Damit wird die Richtlinie 

deaktiviert. 

8. Melden Sie sich von beiden Computern ab. 


Damit die Installation von Software funktioniert, müssen viele Voraussetzungen erfüllt 

sein. Zu diesen Voraussetzungen gehören Privilegien eines lokalen Administrators, Windows 

7-Kompatibilität, richtige Installationseinstellungen und andere Faktoren. Bei einer 

Problembehandlung für eine Installation sollten Sie prüfen, ob alle diese Voraussetzungen 

erfüllt sind. 

Ein Windows Installer-Programm kann auch durch Richtlinien für Softwareeinschränkung 

oder AppLocker blockiert werden. 

AppLocker ist eine verbesserte Version der Richtlinien für Softwareeinschränkung. Es 

ist ein neues Feature in Windows 7 und Windows Server 2008 R2. Zu den Verbesserungen 

in AppLocker gehören die Herausgeberregeln, die Möglichkeit, Regeln bestimmten 

Benutzern und Gruppen zuzuweisen, und ein reiner Überwachungsmodus. 


Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 1, »Beseitigen 

von Installationsfehlern«, überprüfen. Die Fragen finden Sie (in englischer Sprache) 






1. Sie arbeiten für Fabrikam, ein Unternehmen, dessen Netzwerk aus einer einzelnen 

AD DS-Domäne besteht. 

Das Entwicklungsteam von Fabrikam testet regelmäßig neue Softwaretools für verschiedene 

Abteilungen. Vor Kurzem hat das Team ein Tool getestet, das von einem anderen 

Unternehmen namens Contoso.com entwickelt wurde. Aber jedes Mal, wenn autorisierte 

Benutzer versuchen, dieses Programm zu installieren, erhalten sie eine Warnmeldung, 

dass das Programm von einem unbekannten Herausgeber stammt. 

Sie möchten autorisierten Benutzern erlauben, Anwendungen von Contoso zu installieren, 

ohne dass dabei eine Warnmeldung angezeigt wird. Was sollten Sie tun? 

A. Stellen Sie sicher, dass alle autorisierten Benutzer Administratoren des Computers 

sind, auf dem sie die Software installieren. 

B. Stellen Sie den autorisierten Benutzern Anmeldeinformationen eines Domänenadministrators 

zur Verfügung und erklären Sie ihnen, wie sie diese Anmeldeinformationen 

in der Eingabeaufforderung der Benutzerkontensteuerung eingeben, wenn sie 

versuchen, die Software zu installieren.


C. Speichern Sie auf allen betroffenen Computern mithilfe von Gruppenrichtlinien das 

öffentliche Zertifikat, das in der Software enthalten ist, im Zertifikatspeicher Vertrauenswürdige 

Herausgeber. 

D. Speichern Sie auf allen betroffenen Computern mithilfe von Gruppenrichtlinien das 

Stammzertifikat von Contoso.com im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen. 

2. Sie wollen mit AppLocker verhindern, dass Benutzer eine Datei namens NewApp.msi in 

der Version 7.0 oder älter ausführen. Sie haben bereits Standardregeln generiert. Wie 

erreichen Sie dieses Ziel? 

A. Erstellen Sie eine neue ausführbare Regel mit der Bedingung Herausgeber. 

B. Erstellen Sie eine neue ausführbare Regel mit der Bedingung Dateihash. 

C. Erstellen Sie eine neue Windows Installer-Regel mit der Bedingung Herausgeber. 

D. Erstellen Sie eine neue Windows Installer-Regel mit der Bedingung Dateihash.


Lektion 2: Beseitigen von Softwarekonfigurations- und 

Kompatibilitätsproblemen 

Sofern von einem Programm, das nicht richtig läuft, bekannt ist, dass es zu Windows 7 

kompatibel ist, liegt die Ursache des Problems meist bei einer fehlerhaften Konfiguration. In 

diesem Fall beseitigen Sie das Problem, indem Sie sich die Programmeinstellungen ansehen 

und den Konfigurationsfehler aufspüren, der den Fehler auslöst. Ist das Programm dagegen 

nicht vollständig kompatibel zu Windows 7, können Sie das Problem oft dadurch beseitigen, 

dass Sie die Kompatibilitätseinstellungen anpassen oder einen anderen Host für die 

Anwendung suchen. 


Beschreiben von Strategien und Features, mit denen sich Softwarekonfigurationsfehler 

beseitigen lassen 

Beschreiben der Features in Windows 7, die oft Anwendungskompatibilitätsprobleme 

verursachen 

Konfigurieren einer Anwendung, damit sie mit Einstellungen läuft, die zu einer älteren 

Windows-Version kompatibel sind 

Beschreiben der Gruppenrichtlinieneinstellungen, die Auswirkungen auf Kompatibilität 

und Berichterstattung haben 


Beseitigen von Softwarekonfigurationsproblemen 

Es kommt vor, dass installierte Anwendungen einige Zeit einwandfrei funktionieren, dann 

aber plötzlich Fehler verursachen, ohne dass unmittelbar ein Grund erkennbar ist. Solche 

Anwendungsfehler werden oft durch Änderungen an den Konfigurationseinstellungen verursacht, 

die speziell für diese Anwendung gelten. Es gibt aber auch einige allgemeine Leitlinien, 

die Ihnen helfen, solche Probleme zu beseitigen. 

Die folgende Liste enthält allgemeine Strategien und Features, die Sie bei der Behandlung 

von Softwarekonfigurationsproblemen einsetzen können. 

Überprüfen der Anwendungseinstellungen Verursacht eine Anwendung plötzlich 

einen Fehler, ist das oft die Folge einer Konfigurationsänderung. Sofern die Anwendung 

noch startet, sollten Sie systematisch alle verfügbaren Menüs und Konfigurationsbereiche 

der Benutzeroberfläche durchgehen und prüfen, ob irgendwelche Einstellungen falsch 

konfiguriert sind. Greift eine Anwendung auf eine Datenbank oder einen bestimmten 

Dateityp zurück (zum Beispiel Microsoft Outlook, das .pst-Dateien verwendet), müssen 

Sie sicherstellen, dass die Datenbank oder Datei verfügbar und unbeschädigt ist. Greift 

die Anwendung auf eine Netzwerkressource zu, sollten Sie die Netzwerkeinstellungen 

prüfen und sicherstellen, dass die Netzwerkressource erreichbar und verfügbar ist. 

In dieser Phase der Problembehandlung sollten Sie auch im Web nach Informationen 

über das Problem suchen und bei Bedarf Kontakt mit dem Anwendungshersteller aufnehmen.


Arbeiten mit der Ereignisanzeige Suchen Sie im Rahmen der Problembehandlung in 

der Ereignisanzeige nach Fehlermeldungen der Anwendung, bei der die Fehler auftreten. 

Mithilfe der Ereignisanzeige können Sie eventuell herausfinden, seit wann die Anwendungsfehler 

auftreten. Das hilft Ihnen, die Ursache ausfindig zu machen. Konzentrieren 

Sie sich auf das Anwendungsprotokoll und alle Protokolle, in denen Ereignisse der betroffenen 

Anwendung aufgezeichnet werden. Verwenden Sie die Funktion Aktuelles Protokoll 

filtern, um gezielt nach kritischen Fehlern, Warnungen und Fehlermeldungen zu 

suchen. Wenn Sie Einträge finden, die mit dem Problem zusammenzuhängen scheinen, 

sollten Sie im Web nach Informationen über diese Ereignisse suchen und sich bei Bedarf 

genauer mit den Details beschäftigen. 

Nutzen der Ereignisweiterleitung Bei der Problembehandlung eines netzwerkweiten 

Anwendungsproblems müssen Sie unter Umständen Protokolle auf mehreren Computern 

auswerten. Um diese Aufgabe einfacher zu machen, können Sie die Ereignisweiterleitung 

nutzen, ein Feature, bei dem mehrere Computer so konfiguriert werden, dass sie 

bestimmte Ereignisse an einen Sammelcomputer weiterleiten. Um die Ereignisweiterleitung 

nutzen zu können, müssen Sie sowohl die Weiterleitungscomputer (auch als Quellcomputer 

bezeichnet) als auch den Sammelcomputer konfigurieren. 

Gehen Sie folgendermaßen vor, um die Ereignisweiterleitung zu konfigurieren: 

1. Führen Sie auf jedem Quellcomputer in einer Eingabeaufforderung mit erhöhten 

Rechten den folgenden Befehl aus: 

winrm quickconfig 

2. Führen Sie auf dem Sammelcomputer in einer Eingabeaufforderung mit erhöhten 

Rechten den folgenden Befehl aus: 

wecutil qc 

3. Fügen Sie das Computerkonto des Sammelcomputers auf jedem Quellcomputer zur 

lokalen Gruppe Administratoren hinzu (siehe dazu auch Kapitel 8, Lektion 1). 

4. Wählen Sie in der Ereignisanzeige auf dem Sammelcomputer den Befehl Abonnement 

erstellen und folgen Sie den Anweisungen, um festzulegen, welche Ereignisse 

Sie untersuchen wollen und von welchen Quellcomputern sie übertragen werden 

sollen. 

Hinweis Die Ereignisweiterleitung setzt voraus, dass bestimmte Dienste laufen 

Die Ereignisweiterleitung benötigt die Dienste Windows-Remoteverwaltung (WS-Verwaltung) 

und Windows-Ereignissammlung. Diese beiden Dienste müssen auf den Quell- und 

Sammelcomputern laufen. 

Systemwiederherstellung Fehler in einer Anwendung können durch Änderungen am 

Betriebssystem verursacht werden. Falls eine Anwendung nicht mehr funktioniert, nachdem 

Sie ein Update installiert oder eine Systemänderung vorgenommen haben, könnte 

es sinnvoll sein, mithilfe einer Systemwiederherstellung die Konfiguration des Computers 

zu dem Zeitpunkt wiederherzustellen, an dem die Anwendung noch einwandfrei lief. 

Die Systemwiederherstellung löscht oder ändert zwar keine Benutzerdateien wie Dokumente 

oder E-Mail, entfernt aber alle Anwendungen, Updates oder Systemänderungen,


die seit dem Zeitpunkt installiert wurden, an dem der Systemwiederherstellungspunkt 

angefertigt wurde. 

Hinweis Starten der Systemwiederherstellung 

Sie starten den Systemwiederherstellungs-Assistenten, indem Sie im Startmenü Systemwiederherstellung 

eingeben und die EINGABETASTE drücken. 

Software reparieren oder erneut installieren Wenn Software nicht mehr funktioniert 

und es Ihnen nicht gelingt, sie von Hand oder automatisch auf einen früheren Zustand 

zurückzusetzen, sollten Sie versuchen, die Software zu reparieren. Mit der Reparaturfunktion 

(sofern sie zur Verfügung steht) wird die Anwendung praktisch erneut installiert, 

während Benutzerdateien und Einstellungen der Anwendung erhalten bleiben. Bietet die 

Anwendung keine solche Reparaturfunktion an, können Sie die Benutzerdateien sichern 

und die Software einfach neu installieren. Damit eine solche Neuinstallation möglich ist, 

müssen Sie die Software unter Umständen erst deinstallieren. 

Wiederherstellen aus Datensicherung Wenn eine kritische Anwendung ausfällt und 

es Ihnen nicht gelingt, sie mit den bisher beschriebenen Methoden zu reparieren, sollten 

Sie das gesamte System aus einer Datensicherung wiederherstellen, die die letzte funktionierende 

Version des Computers enthält. Führen Sie vorher aber unbedingt eine Datensicherung 

aller persönlichen Dateien und Ordner des Benutzers aus. 

Grundlagen der Anwendungskompatibilität 

Jede Ausgabe von Windows enthält neue Features und Fähigkeiten, die Auswirkungen darauf 

haben, wie Anwendungen ausgeführt werden. Bevor Sie Anpassungen zum Verbessern der 

Anwendungskompatibilität vornehmen, sollten Sie sich mit bestimmten Features von Windows 

7 vertraut machen, die wahrscheinlich für Anwendungskompatibilitätsprobleme verantwortlich 

sind. Diese Features lassen sich allgemein in Sicherheitsverbesserungen und 

Betriebssystemänderungen untergliedern. 

Sicherheitsverbesserungen, die Auswirkungen 

auf die Anwendungskompatibilität haben 

Viele Organisationen, die Windows 7 bereitstellen, ersetzen auf ihren Clients Windows XP, 

nicht Windows Vista. Im Vergleich zu Windows XP bietet die Umgebung von Windows 7 

eine Reihe wichtiger Verbesserungen im Bereich der Sicherheit. Unter den Sicherheitsfeatures 

in Windows 7 können die folgenden am ehesten Kompatibilitätsprobleme mit Anwendungen 

anderer Hersteller verursachen: 

Benutzerkontensteuerung Die Benutzerkontensteuerung (User Account Control, 

UAC) wurde in Windows Vista eingeführt. Sie trennt Standardbenutzerprivilegien von 

Administratorprivilegien. So werden die Auswirkungen von Malware, nichtautorisierten 

Softwareinstallationen und ungenehmigten Systemänderungen verringert. Wenn Sie als 

Administrator angemeldet sind, fragt die UAC standardmäßig bei einigen Aufgaben, die 

Administratorprivilegien erfordern, nach, ob Sie die Durchführung dieser Aufgabe genehmigen. 

Wenn Sie als Standardbenutzer angemeldet sind und versuchen, eine Aufgabe 

durchzuführen, für die Administratorprivilegien erforderlich sind, gibt Ihnen die UAC


die Möglichkeit, Administratoranmeldeinformationen einzugeben. Das Durchführen der 

Aufgabe wird also nicht einfach verweigert. 

Die UAC kann Probleme mit Anwendungen verursachen, die nicht zu dieser technologischen 

Verbesserung kompatibel sind. Aus diesem Grund ist es wichtig, Anwendungen 

mit aktivierter UAC zu testen, bevor Sie sie bereitstellen. 

Windows-Ressourcenschutz (auch als Datei- und Registrierungsvirtualisierung bezeichnet) 

Windows-Ressourcenschutz ist ein Feature von Windows Vista und Windows 

7, das alle Anforderungen abfängt, mit denen Anwendungen versuchen, in geschützte 

Systemdateien oder Registrierungspositionen zu schreiben. Es leitet diese 

Anforderungen dann in sichere, temporäre Speicherorte um. Die meisten Anwendungen 

haben mit dieser Umleitung keinerlei Probleme, aber manche Anwendungen benötigen 

vollständigen Zugriff auf die geschützten Bereiche und werden durch den Umleitungsprozess 

lahmgelegt. 

Geschützter Modus im Internet Explorer Der geschützte Modus (protected mode) 

ist ein Feature von Windows Internet Explorers 8. Es schützt Computer vor Malware, 

indem es den Zugriff des Browsers innerhalb der Registrierung und des Dateisystems 

einschränkt. Der geschützte Modus hilft zwar dabei, die Integrität des Clientcomputers 

zu gewährleisten, er kann aber die Lauffähigkeit älterer Anwendungen, ActiveX-Steuerelemente 

und Skriptcodes einschränken. 

Versionsnummer von Betriebssystem und Internet Explorer Viele Anwendungen 

prüfen die Version des Betriebssystems und ändern ihr Verhalten oder verweigern ganz 

die Ausführung, wenn sie eine unerwartete Versionsnummer finden. Sie können solche 

Probleme dadurch beseitigen, dass Sie geeignete Kompatibilitätsmodi einstellen oder 

sogenannte Versions-Shims (Korrekturmechanismen für die Anwendungskompatibilität) 


Betriebssystemänderungen, die Auswirkungen 

auf die Anwendungskompatibilität haben 

Von den vielen Betriebssystemänderungen, die in Windows 7 eingeführt wurden, können die 

folgenden Features am ehesten Anwendungskompatibilitätsprobleme verursachen: 

Neue Systemprogrammierschnittstellen Programmierschnittstellen (Application 

Programming Interface, API) stellen einen etwas anderen Zugriff auf bestimmte Schichten 

des Betriebssystems Windows 7 zur Verfügung als in älteren Windows-Versionen. 

Antiviren- und Firewallsoftware sind Beispiele für Anwendungen, die auf diese neuen 

APIs zugreifen, um Windows 7 zu überwachen und zu schützen. 

Anwendungen, die auf veraltete APIs zugreifen, müssen aktualisiert oder ersetzt werden, 

wenn sie in Windows 7 eingesetzt werden sollen. 

64-Bit-Version von Windows 7 Weder 16-Bit-Anwendungen noch 32-Bit-Treiber 

werden in der 64-Bit-Version von Windows 7 unterstützt. Die automatische Registrierungs- 

und Systemdateiumleitung, die das Ausführen einiger alter Anwendungen in der 

32-Bit-Version von Windows 7 ermöglichen, stehen in der 64-Bit-Umgebung nicht zur 

Verfügung. Aus diesem Grund müssen neue 64-Bit-Anwendungen vollständig zu den 

Windows 7-Anwendungsstandards kompatibel sein. 

Betriebssystemversion Viele ältere Anwendungen prüfen, ob eine bestimmte Version 

von Windows vorhanden ist, und brechen ab, falls sie feststellen, dass sie nicht unter


dieser Version laufen. Die in Windows 7 eingebauten Features, beispielsweise der Programmkompatibilitäts-Assistent 

(siehe nächster Abschnitt), können solche Probleme 

normalerweise automatisch beseitigen. 

Neue Ordnerhierarchie Gegenüber Windows XP wurde der Speicherort der Ordner 

Benutzer und Dokumente sowie der Mechanismus zum Lokalisieren der Ordnernamen 

geändert. Anwendungen, in denen solche Pfade fest einprogrammiert sind, verursachen 

unter Umständen Fehler. 

Arbeiten mit den eingebauten Kompatibilitätstools von Windows 7 

Sie sollten die Anwendungskompatibilität zwar bereits umfassend testen, bevor Sie Windows 

7 bereitstellen, aber es kann passieren, dass Kompatibilitätsprobleme nach der Bereitstellung 

überraschend auftreten oder sich entgegen den Erwartungen nicht beseitigen lassen. 

Damit Sie die Kompatibilität älterer Programme nach der Bereitstellung verbessern können, 

stellt Ihnen Windows 7 drei Tools zur Verfügung: den Programmkompatibilitäts-Assistenten 

(Program Compatibility Assistant, PCA), das Problembehandlungsmodul Programmkompatibilität 

und die Registerkarte Kompatibilität im Eigenschaftendialogfeld eines Programms. 

Programmkompatibilitäts-Assistent Der Programmkompatibilitäts-Assistent ist ein 

Tool, das automatisch erscheint, wenn Windows 7 bekannte Kompatibilitätsprobleme in 

älteren Programmen feststellt. Der Programmkompatibilitäts-Assistent kann anbieten, 

das Problem zu beseitigen. Zum Beispiel kann der Programmkompatibilitäts-Assistent 

Konflikte mit der UAC beseitigen oder das Programm in einem Modus ausführen, der 

ältere Windows-Versionen simuliert. Sofern Sie den vom Programmkompatibilitäts- 

Assistenten vorgeschlagenen Änderungen zustimmen, werden diese Änderungen automatisch 

durchgeführt. Falls das erkannte Kompatibilitätsproblem ernst ist, kann der 

Programmkompatibilitäts-Assistent Sie stattdessen auch warnen oder verhindern, dass 

das Programm ausgeführt wird. 

Wenn der Programmkompatibilitäts-Assistent ein Problem erkennt, aber keinen Lösungsvorschlag 

hat, erhalten Sie die Möglichkeit, online nach möglichen Lösungen zu suchen 


Abbildung 9.10 Der Programmkompatibilitäts-Assistent meldet, 

wenn eine Programminkompatibilität gefunden wird 

Problembehandlungsmodul Programmkompatibilität Das Problembehandlungsmodul 

Programmkompatibilität ist ein Systemsteuerungsprogramm, mit dem Sie die 

Kompatibilitätseinstellungen für ein älteres Programm konfigurieren können, wenn Sie


feststellen, dass das Programm nicht einwandfrei läuft. Zum Beispiel können Sie einstellen, 

dass das Programm in der simulierten Umgebung einer älteren Windows-Version 

mit bestimmten Anzeigeeinstellungen oder mit Administratorprivilegien läuft. 

Sie starten das Problembehandlungsmodul in der Systemsteuerung, indem Sie auf Programme 

und dann in der Kategorie Programme und Funktionen auf Programme ausführen, 

die für vorherige Versionen von Windows entwickelt wurden klicken. Außerdem 

können Sie das Problembehandlungsmodul Programmkompatibilität starten, indem Sie 

mit der rechten Maustaste auf eine Anwendung klicken und im Kontextmenü den Befehl 

Behandeln von Kompatibilitätsproblemen wählen (Abbildung 9.11). 

Abbildung 9.11 Starten des Problembehandlungsmoduls Programmkompatibilität 

Abbildung 9.12 zeigt eine Seite im Problembehandlungsmodul Programmkompatibilität. 

Registerkarte Kompatibilität Statt das Problembehandlungsmodul Programmkompatibilität 

auszuführen, können Sie auch einfach die Kompatibilitätseinstellungen auf der 

Registerkarte Kompatibilität in den Eigenschaftenseiten eines Programms konfigurieren. 

Auf dieser Registerkarte stehen Ihnen dieselben Optionen zur Verfügung wie im Problembehandlungsmodul 

Programmkompatibilität. Abbildung 9.13 zeigt die Registerkarte 

Kompatibilität. 

Beachten Sie, dass die Probleme sich nicht immer dadurch beseitigen lassen, dass Sie 

die Kompatibilitätseinstellungen eines Programms ändern. Wenn die Probleme weiterhin 

bestehen, sollten Sie versuchen, einen anderen Host zu finden oder eine aktualisierte 

Version des Programms zu bekommen.


Abbildung 9.12 Das Problembehandlungsmodul Programmkompatibilität 

Abbildung 9.13 Die Registerkarte Kompatibilität einer Anwendung 

Alternative Ausführungsumgebungen für Anwendungen 

In manchen Fällen kann es vorkommen, dass Ihre Organisation unbedingt eine Anwendung 

benötigt, deren Kompatibilitätsprobleme mit Windows 7 sich nicht unmittelbar lösen lassen. 

Wenn Sie zum Beispiel eine 64-Bit-Version von Windows 7 verwenden, können Sie 16-Bit- 

Anwendungen nicht zum Laufen bekommen, indem Sie einfach die Kompatibilitätseinstellungen 

des Programms verändern. Bis eine neuere, kompatible Version der Anwendung erscheint 

(oder bis Ihre Organisation einen Ersatz für die Anwendung findet), müssen Sie eine 

temporäre Lösung für das Anwendungskompatibilitätsproblem finden. 

Hartnäckige Anwendungskompatibilitätsprobleme werden am häufigsten dadurch gelöst, 

dass die Anwendung unter dem alten Betriebssystem ausgeführt wird, und zwar in einem


virtuellen Computer oder auf einem Remoteserver, auf den über den Remotedesktop zugegriffen 

wird. 

Die folgende Liste beschreibt, welche Möglichkeiten zur Verfügung stehen, um eine ältere 

Anwendung auf einem alten Betriebssystem auszuführen: 

Microsoft Virtual PC 2007 Mit Virtual PC können Sie unter Windows 7 Anwendungen 

ausführen, die nur unter älteren Windows-Versionen laufen. Wenn Ihre Organisation 

beispielsweise eine 16-Bit-Anwendung benötigt, aber die 64-Bit-Version Windows 7 

verwendet, können Sie das Programm mithilfe von Virtual PC 2007 innerhalb eines virtuellen 

Computers ausführen, in dem eine ältere Windows-Version läuft. Es wird zwar 

Software für virtuelle Computer (zum Beispiel Virtual PC) benötigt, um 16-Bit-Anwendungen 

in den 64-Bit-Versionen von Windows 7 auszuführen, aber die Einsatzmöglichkeiten 

von Virtual PC beschränken sich nicht auf diese Aufgabe. Mit Virtual PC können 

die Benutzer eine ältere Windows-Version behalten, bis aktualisierte Versionen aller 

älteren Anwendungen zur Verfügung stehen. Wenn Sie eine ältere Anwendung benötigen, 

die in Windows 7 nicht einwandfrei läuft und für die kein Update zur Verfügung steht, 

sollten Sie untersuchen, ob Sie diese Anwendung in einem virtuellen Computer ausführen 

können. 

Windows XP Mode Der Windows XP Mode ist im Grunde eine Zusatzkomponente zu 

Virtual PC, die heruntergeladen und in Windows 7 Professional, Enterprise und Ultimate 

eingesetzt werden kann. Der Windows XP Mode setzt spezielle Virtualisierungstechnologie 

voraus. Das ist vor allem eine CPU mit Intel-VT- oder AMD-V-Technologie. Außerdem 

müssen diese Technologien im BIOS aktiviert sein. 

Auf geeigneten Computern haben Sie über den Windows XP Mode im Startmenü von 

Windows 7 Zugriff auf alle Anwendungen, die in einem virtuellen Windows XP-Gastcomputer 

installiert sind. Diese Anwendungen bedienen Sie genauso wie nativ in Windows 

7 installierte Software. Der Windows XP Mode bietet auch hohe Leistung: Das 

Windows XP-Gastbetriebssystem erhält direkten Zugriff auf die Systemhardware, daher 

ist die Leistung viel besser als in einer normalen Instanz von Virtual PC. 

Es ist ganz einfach, den Windows XP Mode zu installieren: Laden Sie erst Virtual PC 

herunter und installieren Sie es. Laden Sie dann den Windows XP Mode herunter und 

installieren Sie ihn. Sie können beide Schritte auf der Virtual PC-Website unter http:// 

www.microsoft.com/windows/virtual-pc/download.aspx erledigen. (Sowohl Virtual PC 

als auch der Windows XP Mode sind kostenlos.) 

Weitere Informationen Windows XP Mode 

Schritt-für-Schritt-Anleitungen, wie Sie den Windows XP Mode verwenden, inklusive 

Informationen zur Installation und zur Benutzung von Anwendungen, finden Sie unter 

http://www.microsoft.com/windows/virtual-pc/support/default.aspx. Eine fünfminütige 

Einführung in den Windows XP Mode können Sie sich unter http://windows.microsoft. 

com/en-us/windows7/help/videos/using-windows-xp-mode ansehen. 

Hyper-V auf Windows Server 2008 Hyper-V ist eine Hochleistungs-Virtualisierungsumgebung, 

die in Windows Server 2008 zur Verfügung steht. Sie können damit virtuelle 

Gastcomputer anlegen, die direkten Zugriff auf die Hardware erhalten. Auf dem virtuellen 

Computer können Sie beliebige Windows-Versionen installieren.


Wenn Sie eine Anwendung in einem virtuellen Computer ausführen, der unter Hyper-V 

läuft, können Clients, die unter Windows 7 oder anderen Betriebssystemen laufen, über 

das Netzwerk im Remotezugriff auf diese Anwendung zugreifen. 

Hyper-V setzt einen 64-Bit-Prozessor mit Virtualisierungstechnologie (Intel-VT oder 

AMD-V) voraus. 

Remotedesktopdienste zum Hosten von Anwendungen Indem Sie ältere Anwendungen 

in den Remotedesktopdiensten ausführen, können Sie Windows-Anwendungen 

oder den Windows-Desktop selbst auf praktisch jedem Computergerät in Ihrem Netzwerk 

zur Verfügung stellen. Windows 7-Clients können über den Remotedesktop eine 

Verbindung zu diesen Anwendungshosting-Umgebungen herstellen. 

Schnelltest 

Welche CPU-Technologie muss vorhanden sein, damit der Windows XP Mode auf einem 

Windows 7-Client zur Verfügung steht? 


Intel-VT oder AMD-V 

Grundlagen des Application Compatibility Toolkit 

Das Application Compatibility Toolkit (ACT) ist ein Tool, mit dem Sie Anwendungskompatibilitätsprobleme 

vor der Windows 7-Bereitstellung aufspüren können. 

Zum ACT gehören unter anderem die folgenden wichtigen Komponenten: 

Application Compatibility Manager Ein Tool, mit dem Sie Programmdaten erfassen 

und analysieren, um potenzielle Probleme noch vor der Bereitstellung eines neuen Betriebssystems 

oder eines Windows-Updates in Ihrer Organisation aufzudecken. In der 

Anfangsphase eines Anwendungsmigrationsprojekts werden Sie dieses Programm häufig 

verwenden. Dieses Tool sollten Sie als die primäre Benutzeroberfläche für das ACT 

betrachten. 

Application Compatibility Toolkit Data Collector Der Application Compatibility 

Toolkit Data Collector wird auf jedem Computer installiert und führt eine Kompatibilitätsprüfung 

durch. Die Daten werden gesammelt und in der zentralen Kompatibilitätsdatenbank 

gespeichert. 

Setup Analysis Tool (SAT) Automatisiert die Installation von Anwendungen, wobei es 

die Aktionen der Installationsprogramme der Anwendungen überwacht. 

Standard User Analyzer (SUA) Ermittelt die potenziellen Probleme, die beim Betrieb 

einer Anwendung als Standardbenutzer unter Windows 7 auftreten können. 

Das ACT ist ein wichtiges Tool, wenn Sie Anwendungen auf einer Vielzahl von Computern 

und Betriebssystemen innerhalb Ihrer Organisation testen müssen.

370 Kapitel 9: Beseitigen von Softwareproblemen 

Konfigurieren der Anwendungskompatibilitätsdiagnose 

mithilfe von Gruppenrichtlinien 

Windows Server 2008 enthält einen Satz Richtlinien aus dem Bereich der Anwendungskompatibilitätsdiagnose. 

Sie finden diese Einstellungen in einem Gruppenrichtlinienobjekt im 

Knoten Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Problembehandlung 

und Diagnose\Anwendungskompatibilitätsdiagnose. 

Der Container Anwendungskompatibilitätsdiagnose enthält die folgenden sechs Richtlinien: 

Über blockierte Treiber benachrichtigen Diese Richtlinieneinstellung legt fest, ob 

der Programmkompatibilitäts-Assistent den Benutzer benachrichtigt, falls Treiber aufgrund 

von Kompatibilitätsproblemen blockiert werden. Wenn Sie diese Richtlinieneinstellung 

aktivieren, zeigt der Programmkompatibilitäts-Assistent dem Benutzer eine 

Benachrichtigung über Probleme mit blockierten Treibern an und der Benutzer kann auf 

der Microsoft-Website nach Lösungen suchen. (Dies ist auch das Standardverhalten in 

Windows 7.) Wenn Sie diese Richtlinieneinstellung deaktivieren, benachrichtigt der 

Programmkompatibilitäts-Assistent den Benutzer nicht über Probleme mit blockierten 

Treibern. Falls diese Richtlinieneinstellung deaktiviert wird, bekommt der Benutzer 

keine Hinweise zu Lösungen für blockierte Treiber. 

Durch veraltete COM-Objekte verursachte Anwendungsfehler erkennen Diese 

Richtlinieneinstellung legt fest, ob der Programmkompatibilitäts-Assistent den Benutzer 

benachrichtigt, wenn das Anlegen eines COM-Objekts in einer Anwendung fehlschlägt. 

Wenn Sie diese Richtlinieneinstellung aktivieren, erkennt der Programmkompatibilitäts- 

Assistent Programme, die versuchen, alte COM-Objekte zu erstellen, die in dieser Windows-Version 

entfernt wurden. (Dies ist auch das Standardverhalten in Windows 7.) 

Wenn ein solcher Fehler erkannt wird, benachrichtigt der Programmkompatibilitäts- 

Assistent den Benutzer nach dem Beenden des Programms über das Problem und bietet 

an, auf der Microsoft-Website nach Lösungen zu suchen. Wenn Sie diese Richtlinieneinstellung 

deaktivieren, erkennt der Programmkompatibilitäts-Assistent nicht, wenn Programme 

versuchen, alte COM-Objekte anzulegen. 

Durch veraltete Windows-DLLs verursachte Anwendungsfehler erkennen Diese 

Richtlinieneinstellung legt fest, ob der Programmkompatibilitäts-Assistent den Benutzer 

benachrichtigt, wenn das Laden einer DLL in einer Anwendung fehlschlägt. Wenn Sie 

diese Richtlinieneinstellung aktivieren, erkennt der Programmkompatibilitäts-Assistent 

Programme, die versuchen, alte Microsoft Windows-DLLs zu laden, die in dieser Windows-Version 

entfernt wurden. (Dies ist auch das Standardverhalten in Windows 7.) 

Wenn ein solcher Fehler erkannt wird, benachrichtigt der PCA den Benutzer nach dem 

Beenden des Programms über das Problem und bietet an, auf der Microsoft-Website 

nach Lösungen zu suchen. Wenn Sie diese Richtlinieneinstellung deaktivieren, erkennt 

der Programmkompatibilitäts-Assistent nicht, wenn Programme versuchen, alte Windows-DLLs 

zu laden. 

Anwendungsinstallationsfehler erkennen Diese Richtlinieneinstellung konfiguriert 

den Programmkompatibilitäts-Assistenten so, dass der Benutzer benachrichtigt wird, 

wenn eine Anwendungsinstallation fehlschlägt. Wenn Sie diese Richtlinieneinstellung 

aktivieren, erkennt der Programmkompatibilitäts-Assistent Fehler bei der Anwendungsinstallation 

und gibt dem Benutzer die Möglichkeit, den Installer im Windows XP-Kompatibilitätsmodus 

erneut zu starten. (Dies ist auch das Standardverhalten in Windows 7.)


Wenn Sie diese Richtlinieneinstellung deaktivieren, erkennt der Programmkompatibilitäts-Assistent 

keine Fehler bei der Programminstallation. 

Anwendungsinstallationsprogramme erkennen, die als Administrator ausgeführt 

werden müssen Diese Richtlinieneinstellung legt fest, ob der Programmkompatibilitäts-Assistent 

den Benutzer benachrichtigt, wenn Anwendungsinstallationen fehlschlagen, 

weil sie als Administrator ausgeführt werden müssen. Wenn Sie diese Richtlinieneinstellung 

aktivieren, erkennt der Programmkompatibilitäts-Assistent solche Installationsfehler 

und bietet dem Benutzer an, das Installationsprogramm als Administrator 

erneut zu starten. (Dies ist auch das Standardverhalten in Windows 7.) Falls Sie diese 

Richtlinieneinstellung deaktivieren, benachrichtigt der Programmkompatibilitäts-Assistent 

den Benutzer nicht, wenn Installationsprogramme aus diesem Grund fehlschlagen. 

Anwendungen erkennen, die unter der Benutzerkontensteuerung keine Installationsprogramme 

starten können Diese Richtlinieneinstellung konfiguriert den 

Programmkompatibilitäts-Assistenten so, dass der Benutzer benachrichtigt wird, wenn 

die UAC verhindert, dass eine Anwendung einen Installer startet (normalerweise ein 

Updateprogramm). Wenn Sie diese Richtlinieneinstellung aktivieren, erkennt der Programmkompatibilitäts-Assistent 

Programme, die einen Installer nicht starten können, 

und gewährt beim nächsten Start des Programms Administratorprivilegien, die es ermöglichen, 

diese Aufgabe auszuführen. (Dies ist auch das Standardverhalten in Windows 7.) 

Wenn Sie diese Richtlinieneinstellung deaktivieren, erkennt der Programmkompatibilitäts-Assistent 

nicht, wenn Anwendungen wegen der UAC einen Installer nicht starten 

können. 

Prüfungstipp 

Für die Prüfung 70-685 müssen Sie diese Gruppenrichtlinieneinstellungen für die Anwendungskompatibilitätsdiagnose 

kennen. 

Übung Konfigurieren der Anwendungskompatibilitätsdiagnose 

In dieser Übung konfigurieren Sie Einstellungen für die Anwendungskompatibilität mithilfe 

von Gruppenrichtlinien. 

Übung Erstellen einer Richtlinie für Anwendungskompatibilitätseinstellungen 

In dieser Übung erstellen Sie ein neues Gruppenrichtlinienobjekt namens Anwendungskompatibilitätsdiagnoserichtlinie. 

In diesem Gruppenrichtlinienobjekt aktivieren Sie zwei Einstellungen, 

die bestimmte Verhaltensweisen für den Programmkompatibilitäts-Assistenten 

aktivieren. 

1. Melden Sie sich als Domänenadministrator am Domänencontroller DC1 an. 

2. Geben Sie im Suchfeld des Startmenüs den Befehl Gruppenrichtlinienverwaltung ein 

und drücken Sie die EINGABETASTE. Die Konsole Gruppenrichtlinienverwaltung wird 

geöffnet. 

3. Erweitern Sie in der Konsole Gruppenrichtlinienverwaltung in der Konsolenstruktur die 

Container Gesamtstruktur: nwtraders.msft und dann Domänen.


4. Klicken Sie unter dem Container Domänen mit der rechten Maustaste auf Nwtraders.msft 

und wählen Sie den Befehl Gruppenrichtlinienobjekt hier erstellen und verknüpfen. Das 

Dialogfeld Neues Gruppenrichtlinienobjekt wird geöffnet. 

5. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt den Namen Anwendungskompatibilitätsdiagnoserichtlinie 

ein und klicken Sie auf OK. 

6. Stellen Sie in der Detailansicht der Konsole Gruppenrichtlinienverwaltung sicher, dass 

die Registerkarte Verknüpfte Gruppenrichtlinienobjekte ausgewählt ist. Klicken Sie dann 

in der Liste der Gruppenrichtlinienobjekte mit der rechten Maustaste auf Anwendungskompatibilitätsdiagnoserichtlinie 

und wählen Sie den Befehl Bearbeiten. Die Konsole 

Gruppenrichtlinienverwaltungs-Editor wird geöffnet. 


Knoten Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Problembehandlung 

und Diagnose\Anwendungskompatibilitätsdiagnose aus. 

8. Klicken Sie in der Detailansicht des Gruppenrichtlinienverwaltungs-Editors doppelt auf 

die Richtlinie Durch veraltete Windows-DLLs verursachte Anwendungsfehler erkennen. 

Das zugehörige Eigenschaftendialogfeld wird geöffnet. 

9. Lesen Sie die Beschreibung der Richtlinieneinstellung durch. Beachten Sie, dass unter 

Windows 7 die Dienste Diagnoserichtliniendienst und Programmkompatibilitäts- 

Assistent-Dienst laufen müssen, damit der Programmkompatibilitäts-Assistent funktioniert. 

Diese Dienste werden auf Windows 7-Computern, die zu einer Domäne gehören, 

automatisch gestartet. 

10. Wählen Sie die Option Aktiviert aus. 

11. Stellen Sie in der Dropdownliste Szenarioausführungsebene sicher, dass der Eintrag 

Erkennung, Problembehandlung und Konfliktlösung ausgewählt ist. 

12. Klicken Sie auf OK. In der Detailansicht des Gruppenrichtlinienverwaltungs-Editors 

müsste die Richtlinieneinstellung nun als Aktiviert aufgelistet sein. 

13. Klicken Sie in der Detailansicht des Gruppenrichtlinienverwaltungs-Editors doppelt auf 

die Richtlinieneinstellung Anwendungsinstallationsfehler erkennen. Das zugehörige 

Eigenschaftendialogfeld wird geöffnet. 

14. Lesen Sie die Beschreibung der Richtlinieneinstellung und wählen Sie die Option 

Aktiviert aus. 

15. Klicken Sie auf OK. In der Detailansicht des Gruppenrichtlinienverwaltungs-Editors 

müsste die Richtlinieneinstellung nun als Aktiviert aufgelistet sein. 



Wenn eine Anwendung, die bisher einwandfrei funktioniert hat, auf einmal Fehler verursacht, 

ist die Ursache für das Problem normalerweise ein Konfigurationsfehler oder eine 

Änderung am System. Um den Fehler einzukreisen und zu beseitigen, sollten Sie mehrere 

Strategien nutzen, indem Sie unter anderem Anwendungseinstellungen prüfen, Ereignisprotokolle 

auswerten, eine Systemwiederherstellung durchführen, die Anwendung 

reparieren oder erneut installieren und das System aus einer Datensicherung wiederherstellen.


Jede neue Version von Windows führt Features ein, die Auswirkungen auf die Funktionsfähigkeit 

von Programmen haben, die für ältere Betriebssysteme geschrieben wurden. In 

Windows 7 werden Probleme im Bereich der Anwendungskompatibilität wahrscheinlich 

durch Features wie die Benutzerkontensteuerung, den Windows-Ressourcenschutz und 

neue System-APIs verursacht. 

Windows 7 enthält Tools, die Ihnen helfen, Kompatibilitätsprobleme für ältere Anwendungen 

zu erkennen und zu beseitigen. Der Programmkompatibilitäts-Assistent erscheint 

automatisch, wenn Windows 7 ein bekanntes Kompatibilitätsproblem erkennt. Das Problembehandlungsmodul 

Programmkompatibilität ist ein Assistent, in dem Sie ein älteres 

Programm mit Einstellungen konfigurieren, die für eine ältere Windows-Version gelten. 

Dieselben Kompatibilitätseinstellungen können Sie auch auf der Registerkarte Kompatibilität 

im Eigenschaftendialogfeld eines Programms konfigurieren. 

Wenn Sie eine Anwendung benötigen, die nicht zu Windows 7 kompatibel ist, können 

Sie das Programm innerhalb eines virtuellen Computers unter einem kompatiblen Betriebssystem 

ausführen. Stattdessen können Sie auch eine Remotedesktopverbindung zu 

einem Computer verwenden, auf dem die Anwendung unter einem kompatiblen Betriebssystem 

läuft. 

Windows 7 enthält einige Gruppenrichtlinieneinstellungen, mit denen Sie festlegen können, 

wie der Programmkompatibilitäts-Assistent seine Diagnose und Problembehandlung 

für Anwendungskompatibilitätsprobleme durchführt. 



»Beseitigen von Softwarekonfigurations- und Kompatibilitätsproblemen«, überprüfen. Die 






1. Sie bekommen einen Anruf vom Helpdesk, weil ein Benutzer Probleme mit einer Anwendung 

auf einem Windows 7-Computer hat. Die Anwendung funktionierte einwandfrei, 

bis der Benutzer ein optionales Update für Windows installiert hat. Andere Änderungen 

am System hat er seitdem nicht durchgeführt. Jetzt gelingt es ihm aber nicht 

mehr, die Anwendung zu starten. Leider haben es weder der Benutzer noch der Helpdeskmitarbeiter 

geschafft, die Anwendung wieder zum Laufen zu bekommen. 

Wie sollten Sie das Problem beseitigen? 

A. Versetzen Sie den Computer mit der Systemwiederherstellung in den Zustand zurück, 

den er hatte, bevor der Benutzer das optionale Update für Windows installiert hat. 

B. Stellen Sie die Benutzerdateien aus der neuesten Datensicherung wieder her. 

C. Konfigurieren Sie die Ereignisweiterleitung so, dass sie Nachrichten aus dem Anwendungsprotokoll 

an Ihren Computer weiterleitet. 

D. Deinstallieren Sie die Anwendung und installieren Sie sie dann neu.


2. Nachdem bei den Clientcomputern in Ihrer Organisation ein Upgrade von Windows XP 

auf Windows 7 vorgenommen wurde, stellen Sie fest, dass eine bestimmte Anwendung 

zwar fehlerfrei installiert werden konnte, aber unter dem neuen Betriebssystem nicht 

mehr läuft. Wie können Sie sicherstellen, dass Benutzer Benachrichtigungen erhalten, 

die erklären, warum diese Anwendung nicht läuft? 

A. Aktivieren Sie in den Gruppenrichtlinien die Richtlinien Durch veraltete COM-Objekte 

verursachte Anwendungsfehler erkennen und Durch veraltete Windows-DLLs 

verursachte Anwendungsfehler erkennen. 

B. Aktivieren Sie in den Gruppenrichtlinien die Richtlinie Über blockierte Treiber 

benachrichtigen. 

C. Aktivieren Sie in den Gruppenrichtlinien die Richtlinie Anwendungsinstallationsfehler 

erkennen. 

D. Aktivieren Sie in den Gruppenrichtlinien die Richtlinie Anwendungsinstallationsprogramme 

erkennen, die als Administrator ausgeführt werden müssen. 

3. Bei welcher der folgenden Anwendungen ist es am unwahrscheinlichsten, dass sie ohne 

Softwareupdate unter der 32-Bit-Version von Windows 7 läuft? 

A. Eine 16-Bit-Anwendung, die für Microsoft Windows 2000 geschrieben wurde 

B. Eine 32-Bit-Anwendung, die für Windows XP geschrieben wurde und administrative 

Privilegien zum Ausführen benötigt 

C. Eine Anwendung, die für Windows 2000 geschrieben wurde und in einen geschützten 

Bereich der Registrierung schreibt 

D. Eine Anwendung, die für Windows XP geschrieben wurde und in geschützte Systemdateien 

schreibt




vertiefen: 









Wenn Probleme bei der Installation auftreten, sollten Sie Administratorprivilegien, Windows 

7-Kompatibilität, Installationseinstellungen, Anwendungseinschränkungen und 

-abhängigkeiten, Ressourcenverfügbarkeit und eventuelle Richtlinieneinschränkungen 

prüfen, die mit SRP oder AppLocker definiert werden. 

Anwendungen können aufgrund falscher Konfiguration oder grundlegender Kompatibilitätsprobleme 

zu Windows 7 Fehler verursachen. Wenn es sich um Konfigurationsprobleme 

handelt, sollten Sie zuerst versuchen, das Problem von Hand zu identifizieren 

und zu reparieren. Sofern nötig, können Sie das Problem aber auch mit Systemwiederherstellung, 

Softwarereparatur oder Systemdatensicherungen beseitigen. Um Kompatibilitätsprobleme 

zu beseitigen, können Sie die Kompatibilitätseinstellungen des Programms 

anpassen, einen Remote- oder virtuellen älteren Host für die Anwendung suchen 

oder die Software einfach auf eine neuere Version aktualisieren, die zu Windows 7 

kompatibel ist. 




Ereignisweiterleitung 

Windows-Ressourcenschutz 

Windows XP Mode



In den folgenden Übungen mit Fallbeispiel wenden Sie an, was Sie über das Beseitigen von 

Softwareproblemen gelernt haben. Die Lösungen zu den Fragen finden Sie im Abschnitt 


Übung mit Fallbeispiel 1: Einschränken von Software mit AppLocker 

Sie arbeiten als Supporttechniker in einem großen Unternehmen, dessen Netzwerk aus einer 

einzelnen AD DS-Domäne besteht. Alle Clients laufen unter Windows 7, alle Domänencontroller 

unter Windows Server 2008 R2. 

Sie möchten mithilfe von AppLocker allen Benutzern erlauben, Windows Installer-Programme 

von Microsoft auszuführen. Außerdem wollen Sie ihnen verbieten, Windows Installer- 

Programme anderer Firmen zu starten. Sie legen dazu ein neues Gruppenrichtlinienobjekt an 

und verknüpfen es mit der Domäne. 

Beantworten Sie vor diesem Hintergrund folgende Fragen: 

1. Sie erstellen eine Windows Installer-Regel im neuen Gruppenrichtlinienobjekt. Welche 

Art von Bedingung sollten Sie definieren, damit Windows Installer-Programme von 

Microsoft ausgeführt werden dürfen? 

2. Sie haben eine funktionierende Windows Installer-Regel erstellt, die es allen Benutzern 

erlaubt, .msi-Dateien von Microsoft auszuführen. Sie haben noch überhaupt keine Standardregeln 

generiert. Wenn das Gruppenrichtlinienobjekt nun ohne weitere Änderungen 

angewendet wird, können die Benutzer dann Windows Installer-Programme starten, die 

von anderen Firmen erstellt wurden? Begründen Sie Ihre Antwort. 

Übung mit Fallbeispiel 2: Konfigurieren von 

Anwendungskompatibilitätseinstellungen 

Sie arbeiten als Supporttechniker für Contoso. Das Netzwerk des Unternehmens besteht aus 

20 Computern, die unter Windows Server 2008 R2 laufen, 150 Clientcomputern mit Windows 

XP Professional und 100 Clientcomputern, auf denen vor Kurzem Windows 7 Professional 

installiert wurde. 

Sie kümmern sich gerade um Probleme, die mit der Anwendungskompatibilität auf den 

Windows 7-Clients zu tun haben. 

Beantworten Sie vor diesem Hintergrund folgende Fragen: 

1. Eine bestimmte Anwendung, die gelegentlich in der Werbeabteilung benutzt wird, wurde 

für Windows XP entwickelt. Die Benutzer melden, dass sie unter Windows 7 instabil ist. 

Es stehen noch keine Updates für die Anwendung zur Verfügung. Welche Möglichkeit 

sollten Sie zuerst untersuchen, um das Problem zu beseitigen? 

2. Benutzer beklagen sich, dass Anwendungen manchmal nicht installiert werden, sie aber 

keine Benachrichtigung erhalten, dass ein Fehler aufgetreten ist. Wie können Sie sicherstellen, 

dass Benutzer Benachrichtigung erhalten, wenn die Installation einer Anwendung 

fehlschlägt?





Untersuchen und Beseitigen von Problemen bei der Installation neuer 

Software 

Arbeiten Sie folgende Übungen durch, um zu lernen, wie Sie häufige Installationsprobleme 

beseitigen: 

Übung 1 Versuchen Sie, auf Windows 7 ein älteres Programm zu installieren, das für 

Windows XP oder Windows 2000 geschrieben wurde. Probieren Sie, sofern die Installation 

fehlschlägt, die Installation als Administrator auszuführen und stellen Sie fest, ob sie 

diesmal gelingt. 

Übung 2 Besorgen Sie sich in einer Testdomäne das Zertifikat eines anderen Softwareherstellers. 

Stellen Sie dieses Zertifikat mithilfe von Gruppenrichtlinien auf allen Clients 

der Domäne im Zertifikatspeicher Vertrauenswürdige Herausgeber bereit. 

Untersuchen und Beseitigen von Softwarekonfigurationsproblemen 

Arbeiten Sie die folgende Übung durch, um zu lernen, wie Sie eine Problembehandlung in 

einem Netzwerk durchführen, in dem auf vielen Computern Fehler auftreten: 

Übung 1 Aktivieren Sie in einer Testdomäne die Ereignisweiterleitung auf mehreren 

Quellcomputern. Aktivieren Sie die Ereignisweiterleitung auf dem Sammelcomputer und 

wählen Sie einen häufigen Fehler aus, der gesammelt werden soll. Sehen Sie sich die 

Ergebnisse an. 


Arbeiten Sie die folgende Übung durch, um sich mit einer Möglichkeit vertraut zu machen, 

ein Problem mit der Anwendungskompatibilität zu beseitigen: 

Übung 1 Aktivieren Sie auf einem Computer, dessen CPU Intel-VT oder AMD-V 

unterstützt, das Virtualisierungsfeature im BIOS. Laden Sie dann Virtual PC herunter 

und installieren Sie ihn. Laden Sie den Windows XP Mode herunter und installieren Sie 

ihn. Greifen Sie mit dem Windows XP Mode über das Startmenü von Windows 7 auf 

Anwendungen zu, die in einem virtuellen Computer installiert sind.













A N H A N G A 

Konfigurieren der Windows-Firewall 

Jedes Netzwerk braucht eine Firewall, um externe Bedrohungen abzuwehren. In den letzten 

Jahren sind aber nicht nur die Anforderungen an die Netzwerksicherheit immer höher geworden, 

es ist genauso wichtig, jeden einzelnen Computer mit seiner eigenen Firewall (der 

»Hostfirewall«) zu schützen. Windows 7 stellt ein solches Feature in Form der Windows- 

Firewall bereit. Die Windows-Firewall kann und soll zwar die Netzwerkfirewall nicht ersetzen, 

aber sie ist eine wichtige Verteidigungslinie für jeden Clientcomputer. 

Als Supporttechniker in einem Großunternehmen müssen Sie wissen, wie Sie die Windows- 

Firewall so konfigurieren, dass sie einerseits Ihre Clients schützt, ihnen aber andererseits die 

Kommunikation mit anderen vertrauenswürdigen Computern im Netzwerk erlaubt. 

Grundlagen der Windows-Firewall 

Die Windows-Firewall ist eine Hostfirewall, die in Windows 7 integriert ist. Im Unterschied 

zu Firewallgeräten, die Verkehr zwischen Netzwerken kontrollieren, definieren Hostfirewalls, 

welche Verkehrsarten zwischen dem lokalen Computer und dem übrigen Netzwerk 

ausgetauscht werden dürfen. 

Abbildung A.1 Öffnen der Windows-Firewalleinstellungen in der Systemsteuerung 

379

380 Anhang A: Konfigurieren der Windows-Firewall 

Sie konfigurieren die Windows-Firewall mithilfe von zwei getrennten Tools. Wenn Sie eingehenden 

Verkehr anhand der zugehörigen Anwendung steuern wollen, können Sie die Seite 

Windows-Firewall der Systemsteuerung verwenden. Sie öffnen dieses Tool, indem Sie die 

Systemsteuerung starten, auf System und Sicherheit und dann auf Windows-Firewall klicken 

(Abbildung A.1). 

Abbildung A.2 zeigt die Seite Windows-Firewall. 

Abbildung A.2 Die Seite Windows-Firewall in der Systemsteuerung 

Abbildung A.3 Öffnen der Konsole Windows-Firewall mit erweiterter Sicherheit 

Wenn Sie dagegen ausgehenden Verkehr steuern oder eingehenden Verkehr anhand zusätzlicher 

Kriterien wie Quelladresse oder Zielport einschränken wollen, müssen Sie die

Grundlagen der Windows-Firewall 381 

Konsole Windows-Firewall mit erweiterter Sicherheit (Windows Firewall with Advanced 

Security, WFAS) verwenden. Diese Konsole öffnen Sie, indem Sie auf der Seite Windows- 

Firewall der Systemsteuerung auf Erweiterte Einstellungen klicken (Abbildung A.3). 

Abbildung A.4 zeigt die Konsole Windows-Firewall mit erweiterter Sicherheit. 

Abbildung A.4 Die Konsole Windows-Firewall mit erweiterter Sicherheit 

Eingehenden Verkehr zulassen 

In der Standardeinstellung blockiert die Windows-Firewall alle eingehenden Verbindungen 

zum lokalen Computer, die von einer externen Quelle stammen. Anschließend werden Ausnahmen 

(auch als Zulassen-Regeln bezeichnet) erstellt, um erwünschte eingehende Verbindungen 

zum lokalen Computer zuzulassen, zum Beispiel Verkehr zu lokalen Netzwerkfreigaben 

oder Verkehr für genehmigte Netzwerkanwendungen wie Windows Live Messenger. 

Wenn Ausnahmen definiert sind, untersucht die Windows-Firewall alle eingehenden Pakete 

und vergleicht sie mit dieser Liste des zugelassenen Verkehrs. Stimmt ein Paket mit einem 

Eintrag in der Ausnahmenliste überein, leitet die Windows-Firewall das Paket zur weiteren 

Verarbeitung an den TCP/IP-Protokollstapel weiter. Wenn das Paket keinem Eintrag in der 

Liste entspricht, verwirft die Windows-Firewall das Paket. Falls die Protokollierung aktiviert 

ist, schreibt sie dabei einen Eintrag in die Windows-Firewall-Protokolldatei. 

Dieser Ablauf ist in Abbildung A.5 dargestellt, wobei nur Ausnahmen für Windows Live 

Messenger und die Windows-Dateifreigabe definiert sind. Diese beiden Programme können 

also Verbindungen aufbauen, die durch die Windows-Firewall gelassen werden. Dagegen 

blockiert die Firewall alle Verbindungsversuche, die von einem anderen Netzwerkprogramm 

stammen.


Abbildung A.5 Die Windows-Firewall blockiert alle eingehenden 

Verbindungen, die nicht explizit zugelassen sind 

Ausgehenden Verkehr sperren 

In der Standardeinstellung erlaubt die Windows-Firewall alle ausgehenden Verbindungen 

vom lokalen Computer. Sie können die Windows-Firewall allerdings auch so konfigurieren, 

dass sie alle ausgehenden Verbindungen blockiert, die Sie definieren. Nehmen wir an, Sie 

wollen eine Regel erstellen, die ausgehenden Verkehr an eine bestimmte Adresse verbietet, 

die Sie der bekannten Malwareanwendung »Z« zuordnen. Eine solche Firewallregel hat 

keine Auswirkungen auf Verkehr zu anderen Netzwerkadressen. Abbildung A.6 zeigt diesen 

Fall.

Abbildung A.6 Die Windows-Firewall erlaubt alle ausgehenden 

Verbindungen, die nicht explizit verboten sind 

Definieren komplexer Verkehrstypen 

Grundlagen von Netzwerkstandorten 383 

In den bisherigen Beispielen erlauben oder verweigern Firewallregeln Verkehr, der anhand 

einer einzigen Eigenschaft definiert ist: einem bestimmten Netzwerkprogramm oder einer 

IP-Adresse. In der Konsole Windows-Firewall mit erweiterter Sicherheit können Sie aber 

Verkehr anhand einer beliebigen Kombination von Kriterien erlauben oder verweigern. 

Solche Kriterien sind unter anderem Quell- oder Ziel-IP-Adresse, Quell- oder Zielport und 

IPSec-Verschlüsselungsstatus (Internet Protocol Security). Mit einer solchen Regel können 

Sie beispielsweise eingehende Verbindungen von einer bestimmten Netzwerkanwendung 

erlauben, aber nur, wenn sie von einer bestimmten Adresse oder einem bestimmten Adressbereich 

stammen. 

Grundlagen von Netzwerkstandorten 

Netzwerkstandorte (network location) sind Sicherheitskategorien, die auf Netzwerkverbindungen 

angewendet werden. Es stehen vier Netzwerkstandorte zur Verfügung: Privat, Arbeitsplatz, 

Öffentlich und Domäne. Jede Verbindung wird genau einem dieser vier Netzwerkstandorte 

zugewiesen.


Netzwerkstandorte schränken manche Netzwerkfeatures für Umgebungen ein, die hohe 

Sicherheit erfordern. Zum Beispiel ist die Netzwerkerkennung ein Multicastprotokoll, mit 

dem ein Computer benachbarte Computer und Geräte in einem LAN (Local Area Network) 

erkennt. Weil dieses Feature in Umgebungen, in denen hohe Sicherheitsanforderungen gelten, 

normalerweise nicht erwünscht ist, ist die Netzwerkerkennung in den Netzwerkstandorten 

Öffentlich und Domäne standardmäßig deaktiviert. Dagegen ist die Heimnetzgruppe 

ein neues Feature von Windows 7, das Ihnen hilft, eine kennwortgeschützte Freigabe Ihrer 

lokalen Bibliotheken zu erstellen. Dieses Feature steht nur im Netzwerkstandort Privat zur 

Verfügung; in allen anderen Netzwerkstandorten kann es nicht aktiviert werden. 

Netzwerkstandorte können automatisch oder von Hand festgelegt werden. Ist ein Client Mitglied 

einer Domäne, bekommen alle seine Verbindungen automatisch den Netzwerkstandort 

Domäne zugewiesen, wenn der Computer startet, und dieser Netzwerkstandort kann nicht 

geändert werden. Bei Verbindungen außerhalb von Domänennetzwerken stellen Sie den 

Netzwerkstandort von Hand ein. 

Tabelle A-1 Features unterschiedlicher Netzwerkstandorte 

Privat Arbeitsplatz Öffentlich Domäne 

Netzwerkerkennung Standardmäßig Standardmäßig Standardmäßig Standardmäßig 

aktiviert aktiviert deaktiviert deaktiviert 

Datei- und Druckerfreigabe Standardmäßig Standardmäßig Standardmäßig Standardmäßig 

deaktiviert deaktiviert deaktiviert deaktiviert 

Freigabe des öffentlichen Standardmäßig Standardmäßig Standardmäßig Standardmäßig 

Ordners 


Medienstreaming Standardmäßig Standardmäßig Standardmäßig Standardmäßig 


Dateifreigabeverbindungen Verwendet Verwendet Verwendet Verwendet 

standardmäßig standardmäßig standardmäßig standardmäßig 

128-Bit- 128-Bit- 128-Bit- 128-Bit- 

Verbindungen Verbindungen Verbindungen Verbindungen 

Heimnetzgruppen Verfügbar Nicht verfügbar Nicht verfügbar Nicht verfügbar 

Prüfungstipp 

In allen Microsoft-Zertifizierungsprüfungen, die wie 70-685 das Thema Windows 7 behandeln, 

müssen Sie ausschließlich beweisen, dass Sie mit dem Support dieses Betriebssystems 

in einer Unternehmensumgebung vertraut sind. In solchen Umgebungen wird praktisch allen 

Verbindungen in Windows 7 der Netzwerkstandort Domäne zugewiesen. Denken Sie daran, 

dass der Netzwerkstandort bei jedem Computer, der wie beispielsweise ein Notebook Mitglied 

der Domäne ist, auf Domäne bleibt, selbst wenn Sie diesen Computer vom Unternehmensnetzwerk 

trennen und auf Dienstreise mitnehmen. 

Tabelle A-1 fasst die Standardsicherheitseinstellungen in den vier Netzwerkstandorten zusammen. 

Mit Ausnahme des Features Heimnetzgruppen können Sie die Standardeinstellung 

für jedes Feature in allen Netzwerkstandorten ändern. Sie finden diese Konfigurationseinstellungen, 

indem Sie im Startmenü den Begriff Erweiterte Freigabeeinstellungen ver-

Grundlagen von Firewallprofilen 385 

walten eingeben oder die Seite Systemsteuerung\Netzwerk und Internet\Netzwerk- und Freigabecenter\Erweiterte 

Freigabeeinstellungen ändern öffnen. 

Weitere Informationen 

Das Feature Netzwerkübersicht, das eine Art Karte des LAN erstellt, ist standardmäßig nur 

in den Netzwerkstandorten Privat und Arbeitsplatz aktiviert. Wollen Sie das Feature auch im 

Netzwerkstandort Domäne verwenden, müssen Sie es mit Gruppenrichtlinien aktivieren. 

Suchen Sie dazu in einem Gruppenrichtlinienobjekt den Knoten Computerkonfiguration\ 

Richtlinien\Administrative Vorlagen\Netzwerk\Verbindungsschicht-Topologieerkennung und 

konfigurieren Sie die Richtlinien Treiber für die Zuordnungs-E/A (LLTDIO) aktivieren und 

Treiber für den Beantworter (RSPNDR) aktivieren so, dass der Betrieb in einer Domäne 

möglich ist. 

Grundlagen von Firewallprofilen 

Netzwerkstandorte bilden die Basis für Firewallprofile, einfache Sammlungen mit Firewallregeln. 

Die Firewallprofile werden den Netzwerkstandorten folgendermaßen zugeordnet: 

Domänenprofil Definiert die Firewallregeln für Verbindungen, die dem Netzwerkstandort 

Domäne zugewiesen sind. 

Privates Profil Definiert die Firewallregeln für Verbindungen, die dem Netzwerkstandort 

Privat oder Arbeitsplatz zugewiesen sind. 

Öffentliches Profil Definiert die Firewallregeln für Verbindungen, die dem Netzwerkstandort 

Öffentlich zugewiesen sind. 

Hinweis Nicht identifizierte Netzwerke 

Kann eine Netzwerkverbindung nicht identifiziert werden, sei es wegen eines Netzwerkproblems 

oder weil brauchbare Merkmale fehlen, wird der Netzwerkstandorttyp auf Nicht 

identifiziert gesetzt. Als Firewallprofil wird in der Standardeinstellung Öffentliches Profil 

verwendet. 

Werden Computer nicht in einer Domänenumgebung betrieben, können Sie mithilfe der 

Firewallprofile unterschiedliche Sicherheitsstufen für die unterschiedlichen Netzwerke einstellen, 

mit denen Ihr Computer Verbindungen herstellt. Beispielsweise kann ein Notebookbenutzer 

in einem kleinen Unternehmen anderen Benutzern erlauben, Instant Messaging- 

Kommunikation in den Netzwerkstandorten Privat und Arbeitsplatz einzuleiten, aber nicht 

im Netzwerkstandort Öffentlich. Dazu erstellen Sie in der Konsole Windows-Firewall mit 

erweiterter Sicherheit eine eingehende Zulassen-Regel für das Programm, die nur für das 

Firewallprofil Privates Profil gilt. 

Bei Computern, die Mitglieder einer Domäne sind, werden das Firewallprofil Domänenprofil 

und die zugehörigen Firewallregeln auf alle Netzwerkverbindungen angewendet, sobald 

der Computer startet. Verwenden Angestellte in Ihrem Unternehmen tragbare Computer, 

werden die Firewalleinstellungen, die im Domänenprofil definiert sind, nach dem Start dieser 

Computer auf die Netzwerkverbindungen angewendet, selbst wenn die Benutzer mit ihren 

Notebooks außerhalb des Unternehmens unterwegs sind.


Erstellen eingehender Ausnahmen 

Clientcomputer müssen zwar im Allgemeinen vor unerwünschten eingehenden Verbindungen 

geschützt werden, aber in einer Unternehmensumgebung müssen Clientcomputer auch 

oft eingehenden Zugriff auf bestimmte Netzwerkprogramme oder Features erlauben. Zum 

Beispiel führen viele Büronetzwerke eine Datensicherungssoftware aus, die zentral verwaltet 

wird. Damit die Netzwerkdatensicherungssoftware eine Verbindung zum Clientcomputer 

herstellen und seine Daten auslesen kann, muss der Client den Zugriff auf diese Datensicherungsanwendung 

erlauben. Dasselbe gilt für Netzwerkverwaltungssoftware: Clients müssen 

oft einem Remoteserver den Zugriff gestatten, damit eine Anwendung, die auf dem Server 

läuft, Protokolldateien lesen und Fehler an die Administratoren melden kann. 

Firewallausnahmen werden in der Windows-Firewall meist automatisch erstellt, wenn Sie 

ein Clientfeature für eine Anwendung installieren. Es gibt aber durchaus Gründe, Firewallausnahmen 

von Hand zu erstellen. Erstens haben manche Netzwerkanwendungen gar keine 

installierbaren Clientfeatures, daher müssen Sie eine Ausnahme von Hand erstellen, um 

dieser Anwendung den Zugriff zu erlauben. Außerdem müssen Sie eine Firewallausnahme 

von Hand erstellen, wenn die ursprüngliche Firewallausnahme für ein Netzwerkprogramm 

gelöscht wurde. Und schließlich können Sie eine vorhandene Ausnahme von Hand ändern, 

um die Sicherheit zu verbessern. Wurde beispielsweise eine Firewallausnahme für eine 

Netzwerkdatensicherungsanwendung erstellt, kann es sinnvoll sein, diese Ausnahme so zu 

ändern, dass die Datensicherungsanwendung nur Zugriff erhält, wenn die Verbindung vom 

Datensicherungsserver stammt. 

Abbildung A.7 Erstellen einer einfachen Firewallausnahme für ein Netzwerkprogramm 

oder -feature in der Systemsteuerung

Erstellen eingehender Ausnahmen 387 

Gehen Sie folgendermaßen vor, um eine einfache Firewallausnahme für alle eingehenden 

Verbindungen eines Netzwerkprogramms oder -features zu erstellen: 

1. Klicken Sie in der Systemsteuerung auf System und Sicherheit, dann auf Windows-Firewall 

und schließlich auf Ein Programm oder Feature durch die Windows-Firewall zulassen 

(Abbildung A.7). 

Daraufhin öffnet sich die Seite Zugelassene Programme (Abbildung A.8). 

Abbildung A.8 Eingehenden Zugriff für Programme in der Windows-Firewall zulassen 

Abbildung A.9 Hinzufügen einer Programmausnahme 

2. Klicken Sie auf Einstellungen ändern.


3. Wenn das Programm, dem Sie eingehenden Zugriff erlauben wollen, in der Liste Zugelassene 

Programme und Features aufgelistet ist, brauchen Sie nur das Kontrollkästchen 

für dieses Programm zu aktivieren. Stellen Sie sicher, dass Sie nur die Kontrollkästchen 

für die benötigten Profile aktivieren. Klicken Sie auf OK. 

4. Ist das Programm nicht aufgelistet, müssen Sie auf Anderes Programm zulassen klicken. 

Daraufhin wird das Dialogfeld Programm hinzufügen geöffnet (Abbildung A.9). 

5. Wählen Sie das gewünschte Programm aus der Liste aus, klicken Sie auf Hinzufügen 

und dann auf OK. 

Auf diese Weise können Sie eine einfache eingehende Ausnahme für ein Programm in der 

Windows-Firewall erstellen. Wollen Sie irgendeinen anderen Typ Firewallregel konfigurieren, 

etwa für eine Ausnahme auf Basis der Quelladresse, müssen Sie in der Konsole Windows-Firewall 

mit erweiterter Sicherheit arbeiten. 

Gehen Sie folgendermaßen vor, um eine erweiterte Firewallregel zu definieren. 

1. Klicken Sie in der Systemsteuerung auf System und Sicherheit, dann auf Windows-Firewall 

und schließlich auf Erweiterte Einstellungen. Die Konsole Windows-Firewall mit 

erweiterter Sicherheit wird geöffnet. 

2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Eingehende Regeln 

und wählen Sie den Befehl Neue Regel. Der Assistent für neue eingehende Regel wird 

gestartet. 

3. Wählen Sie auf der Seite Regeltyp die Option Benutzerdefiniert aus und klicken Sie auf 

Weiter. 

4. Legen Sie auf der Seite Programm fest, für welches Programm oder welchen Dienst die 

Regel gelten soll, und klicken Sie auf Weiter. 

5. Definieren Sie auf der Seite Protokoll und Ports die Kombination aus Protokolltyp, 

Protokollnummer, lokalen Ports, Remoteports und ICMP-Typ (Internet Control Message 

Protocol), für die Ihre Regel gelten soll. Klicken Sie auf Weiter. 

6. Tragen Sie auf der Seite Bereich die lokalen und Remote-IP-Adressen ein, für die Ihre 

Regel gelten soll, und klicken Sie auf Weiter. 

7. Wählen Sie auf der Seite Aktion aus, ob die Regel die angegebene Verbindung zulassen, 

die angegebene Verbindung blockieren oder die Verbindung nur zulassen soll, wenn sie 

mit IPSec geschützt ist. Klicken Sie auf Weiter. 

8. Wählen Sie auf der Seite Profil aus, für welche Firewallprofile die Regel gelten soll, und 

klicken Sie auf Weiter. 

9. Tragen Sie auf der Seite Name einen Namen für die Firewallregel ein und klicken Sie 

auf Fertig stellen. 

Erstellen eingehender Ausnahmen in Gruppenrichtlinien 

Sie können eine eingehende Zulassen-Regel in einem Gruppenrichtlinienobjekt erstellen, die 

für alle Computer gilt, auf die das Gruppenrichtlinienobjekt angewendet wird. Eine solche 

Zulassen-Regel wird erzwungen. Sie kann nicht mithilfe lokaler Einstellungen gelöscht oder 

deaktiviert werden. Öffnen Sie dazu ein Gruppenrichtlinienobjekt auf einem Server, der 

unter Windows Server 2008 läuft, und öffnen Sie den Knoten Computerkonfiguration\Richt-

Problembehandlung für die Windows-Firewall 389 

linien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter 

Sicherheit\Windows-Firewall mit erweiterter Sicherheit\Eingehende Regeln. Klicken Sie mit 

der rechten Maustaste auf den Knoten Eingehende Regeln und wählen Sie im Kontextmenü 

den Befehl Neue Regel (Abbildung A.10). Daraufhin öffnet sich derselbe Assistent für neue 

eingehende Regel, der in der letzten Anleitung beschrieben wurde. Beachten Sie, dass Sie 

diese Konfiguration auch in der lokalen Sicherheitsrichtlinie vornehmen können; auf diese 

Weise können Sie eine Firewallregel auf einem einzelnen Clientcomputer erzwingen. 

Abbildung A.10 Erstellen einer eingehenden Firewallregel in einem Gruppenrichtlinienobjekt 

Problembehandlung für die Windows-Firewall 

Verhält sich die Windows-Firewall nicht wie erwartet, sollten Sie die Konfigurationseinstellungen 

in der Systemsteuerung, in der Konsole Windows-Firewall mit erweiterter Sicherheit 

und in den Gruppenrichtlinien überprüfen. Außerdem sollten Sie die Windows-Firewall-Protokolle 

(die erst aktiviert werden müssen) und die Windows-Ereignisprotokolle untersuchen. 

Die folgenden Abschnitte beschreiben diese grundlegenden Problembehandlungsschritte. 

Problembehandlung für die Windows-Firewalleinstellungen 

in der Systemsteuerung 

Bei einer Problembehandlung für die Windows-Firewall sollten Sie erst einmal in der Systemsteuerung 

prüfen, ob die Firewall eingeschaltet ist. Stellen Sie dann fest, ob die Firewall 

so konfiguriert ist, dass sie Ausnahmen erlaubt. 

Falls die Firewall ausgeschaltet ist, zeigt die Seite Windows-Firewall in der Systemsteuerung 

ein rotes Schildsymbol an, und der Status der Windows-Firewall wird als Aus angezeigt 

(Abbildung A.11).


Abbildung A.11 Ist die Windows-Firewall ausgeschaltet, wird ein 

rotes Schildsymbol angezeigt 

Wenn die Windows-Firewall eingeschaltet und so konfiguriert ist, dass sie keine Ausnahmen 

erlaubt, zeigt die Seite Windows-Firewall ein »Verboten«-Symbol an (ein roter Kreis mit 

Schrägstrich), wie in Abbildung A.12 zu sehen. 

Abbildung A.12 Wenn Ausnahmen nicht funktionieren, sind sie 

möglicherweise deaktiviert


Klicken Sie auf Windows-Firewall ein- oder ausschalten, um entweder Firewallausnahmen 

oder die Firewall selbst zu aktivieren oder zu deaktivieren. Daraufhin öffnet sich die Seite 

Einstellungen für die einzelnen Netzwerktypen anpassen (Abbildung A.13). 

Abbildung A.13 Prüfen Sie bei einer Problembehandlung 

die Windows-Firewalleinstellungen 

Auf dieser Seite konfigurieren Sie für jeden Netzwerkstandort jeweils drei Einstellungen: 

Windows-Firewall ein- oder ausschalten 

Alle eingehenden Verbindungen blockieren, einschließlich der in der Liste der zugelassenen 

Programme 

Aktivieren oder Deaktivieren der Benachrichtigungsmeldungen, die angezeigt werden, 

wenn ein eingehendes Programm blockiert wird 

Hinweis Problembehandlung für die Benachrichtigungsmeldungen der Windows-Firewall 

Beginnen Sie auf der Seite Einstellungen für die einzelnen Netzwerktypen anpassen der Systemsteuerung, 

wenn Sie Probleme mit den Benachrichtigungsmeldungen für die Windows- 

Firewall behandeln. 

Problembehandlung für zugelassene Programme 

Wenn das untersuchte Problem nicht beseitigt wird, nachdem Sie diese Konfigurationseinstellungen 

für die Windows-Firewall überprüft haben, sollten Sie sich in der Systemsteuerung 

die Liste der zugelassenen Programme (Ausnahmen) ansehen, die Sie definiert haben. 

Stellen Sie sicher, dass die richtigen (und nur diese) vorhanden und aktiviert sind. 

Eines der häufigsten Probleme, mit denen Administratoren bei neuen Installationen von 

Windows zu kämpfen haben, besteht darin, dass Windows-Clients in der Standardeinstellung 

nicht auf Ping-Nachrichten (ICMP Echo Request) antworten. Sie können dieses Problem


zwar dadurch beseitigen, dass Sie eine Zulassen-Regel für ICMP-Echo-Requests in der 

Konsole Windows-Firewall mit erweiterter Sicherheit erstellen, aber Sie können auch veranlassen, 

dass ein Client auf Ping-Anforderungen reagiert, indem Sie einfach eine Ausnahme 

für die Datei- und Druckerfreigabe in der Systemsteuerung aktivieren. 

Problembehandlung in der Konsole Windows-Firewall 

mit erweiterter Sicherheit 

Weil die Konsole Windows-Firewall mit erweiterter Sicherheit das zentrale Konfigurationstool 

für die Windows-Firewall ist, nimmt sie auch eine wichtige Rolle bei der Problembehandlung 

ein. Sie können in der Konsole Windows-Firewall mit erweiterter Sicherheit verschiedene 

Problembehandlungsaufgaben ausführen, zum Beispiel die Firewallkonfiguration 

im Knoten Überwachung überprüfen, die in den Firewalleigenschaften konfigurierten Einstellungen 

ansehen, alle lokal definierten Firewallregeln prüfen und Verbindungssicherheitsregeln 

testen. 

Hinweis Verbindungssicherheitsregeln 

Verbindungssicherheitsregeln werden benutzt, um IPSec-Sicherheitsanforderungen auf 

eingehende und ausgehende Verbindungen anzuwenden. 

Prüfen der Firewallkonfiguration im Knoten Überwachung 

Im Knoten Überwachung in der Konsole Windows-Firewall mit erweiterter Sicherheit 

(Abbildung A.14) können Sie die Firewallkonfiguration überprüfen. Vor allem haben Sie im 

Knoten Überwachung auf folgende Informationen Zugriff: 

Aktives Profil 

Firewallstatus 

Allgemeine Einstellungen (darunter Benachrichtigungseinstellungen) 

Protokollierungseinstellungen 

Aktive (aktivierte) Firewallregeln auf dem Computer 

Aktive Verbindungssicherheitsregeln auf dem Computer und detaillierte Informationen 

zu ihren Einstellungen 

Aktive Sicherheitszuordnungen für IPSec-Verbindungen 

Weitere Informationen Arbeiten mit der Konsole Windows-Firewall mit erweiterter Sicherheit 

Ausführliche Informationen, wie Sie die Konsole Windows-Firewall mit erweiterter Sicherheit 

für die Überwachung nutzen, finden Sie unter http://technet.microsoft.com/en-us/ 

library/dd421717(WS.10).aspx.


Abbildung A.14 Der Knoten Überwachung in der Konsole Windows-Firewall 

mit erweiterter Sicherheit 

Abbildung A.15 Öffnen der Windows-Firewalleigenschaften


Überprüfen der Windows-Firewalleigenschaften 

Die Windows-Firewalleigenschaften sind die Einstellungen, die in den Eigenschaften des 

Stammknotens in der Konsolenstruktur von Windows-Firewall mit erweiterter Sicherheit 

(also dem Knoten namens Windows-Firewall mit erweiterter Sicherheit) konfiguriert sind. 

Sie können die Windows-Firewalleigenschaften auch öffnen, indem Sie den Stammknoten 

auswählen und dann im mittleren Fensterabschnitt auf Windows-Firewalleigenschaften 

klicken (Abbildung A.15). 

Diese Einstellungen steuern folgende Verhaltensweisen für die Profile Domänenprofil, 

Privates Profil und Öffentliches Profil: 

Ob eingehende oder ausgehende Verbindungen generell blockiert werden 

Ob eine Benachrichtigung angezeigt wird, wenn ein eingehendes Netzwerkprogramm 

blockiert wird 

Ob der lokale Computer Unicast-Antworten auf Broadcast- oder Multicast-Nachrichten 

erlaubt, die er im Netzwerk sendet 

Ob erfolgreiche Verbindungen protokolliert werden 

Ob verworfene Pakete protokolliert werden 

Prüfen Sie diese Einstellungen, wenn Sie eine Problembehandlung für die Windows-Firewall 

durchführen. 

Überprüfen von Firewallregeln 

Wenn Sie ein Problem mit der Windows-Firewall untersuchen, müssen Sie in der Konsole 

Windows-Firewall mit erweiterter Sicherheit oft alle konfigurierten Firewallregeln prüfen, 

sowohl aktive als auch inaktive. Verwenden Sie dazu die Knoten Eingehende Regeln und 

Ausgehende Regeln. In diesen Knoten werden alle Regeln aufgelistet, die auf dem System 

erstellt wurden. Dazu gehören sogar die Regeln, die Sie als zugelassene Programme (Ausnahmen) 

in der Systemsteuerung konfiguriert haben. 

Wenn Sie beispielsweise herausfinden, dass ein Netzwerkprogramm nicht mit dem lokalen 

Computer kommunizieren kann, sollten Sie folgende Punkte überprüfen, indem Sie die Firewallregeln 

untersuchen: 

Überprüfen Sie, ob eine eingehende Zulassen-Regel für dieses Programm im aktiven 

Firewallprofil konfiguriert ist. 

Prüfen Sie, sofern eine solche Regel vorhanden ist, ob die Regel selbst aktiv ist. (Aktive 

Regeln sind mit einem grünen Häkchen markiert, inaktive Regeln mit einem grauen 

Symbol.) 

Ist die Regel inaktiv, obwohl sie Ihrer Meinung nach aktiv sein sollte, müssen Sie die 

Eigenschaften der Regel prüfen und sicherstellen, dass Sie den Verkehr für die Regel 

richtig definiert haben. 

Wenn die gewünschte eingehende Zulassen-Regel aktiv ist, sollten Sie prüfen, ob 

keine anderen Regeln, zum Beispiel eingehende Verweigern-Regeln, die erwartete 

Funktion verhindern. Verweigern-Regeln haben Vorrang vor Zulassen-Regeln. 

Wenn noch keine Zulassen-Regel für das Programm vorhanden ist, müssen Sie eine neue 

Regel für das Programm erstellen.

Überprüfen von Verbindungssicherheitsregeln 


Verbindungssicherheitsregeln erzwingen die IPSec-Authentifizierung bei den angegebenen 

Verbindungen. Wenn eine Verbindungssicherheitsregel Sicherheit fordert, kann sie Verkehr 

von einem Programm blockieren, sogar wenn Firewallregeln diesen Verkehr zulassen. Beispielsweise 

könnte eine aktive Verbindungssicherheitsregel erzwingen, dass jeglicher eingehender 

Verkehr authentifiziert wird. In diesem Fall wird Verkehr von einer Netzwerkquelle, 

die nicht authentifiziert werden kann, einfach verworfen. Das ist sogar dann der Fall, 

wenn Sie eine Zulassen-Regel für genau diesen Verkehr erstellt haben. 

Aus diesem Grund müssen Sie Verbindungssicherheitsregeln prüfen, wenn Sie eine Problembehandlung 

für die Windows-Firewall durchführen. Wenn Sie Verkehr von einer Remotequelle 

zulassen wollen, die nicht authentifiziert werden kann, müssen Sie eine Ausnahme für 

diese Remotequelle konfigurieren. Stattdessen können Sie auch die Verbindungssicherheitsregeln 

so anpassen, dass sie eine Authentifizierung nur anfordern, aber nicht erzwingen. 

Problembehandlung für die Windows-Firewall mit Gruppenrichtlinien 

Wenn Sie eine Problembehandlung für die Windows-Firewall durchführen, sollten Sie die 

Gruppenrichtlinien und Richtlinien für den lokalen Computer (inklusive denen in der lokalen 

Sicherheitsrichtlinie) prüfen, weil diese Einstellungen Auswirkungen auf die Windows-Firewallkonfiguration 

haben können. 

In den Gruppenrichtlinien jedes Gruppenrichtlinienobjekts gibt es zwei Stellen, an denen Sie 

die Windows-Firewall konfigurieren. Wie bereits weiter oben in diesem Anhang erwähnt, 

enthält jedes Gruppenrichtlinienobjekt den Knoten Windows-Firewall mit erweiterter Sicherheit 

unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen. 

In diesem Knoten eines Gruppenrichtlinienobjekts definieren Sie Firewallregeln, die 

automatisch auf allen Computern erstellt werden, die unter Windows Vista oder neuer laufen 

und auf die diese Richtlinie angewendet wird. Die zweite Stelle in einem Gruppenrichtlinienobjekt, 

an der Sie Windows-Firewalleinstellungen konfigurieren, ist Computerkonfiguration\ 

Richtlinien\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Windows-Firewall. 

Abbildung A.16 zeigt diesen Knoten. 

Abbildung A.16 Windows-Firewalleinstellungen in Gruppenrichtlinien


Über den Zweig Administrative Vorlagen eines Gruppenrichtlinienobjekts können Sie 

folgende Windows-Firewall-Richtlinieneinstellungen konfigurieren: 

Windows-Firewall: Authentifizierte IPSec-Umgehung zulassen Diese Richtlinieneinstellung 

liegt im Unterschied zu den anderen Einstellungen in dieser Liste direkt im 

Ordner Windows-Firewall unterhalb von Administrative Vorlagen. Mit dieser Richtlinieneinstellung 

können die ausgewählten Computer die lokale Windows-Firewall umgehen, 

sofern sie sich mit IPSec authentifizieren. 

Windows-Firewall: Ausnahmen für lokale Programme zulassen Diese Richtlinieneinstellung 

erlaubt Administratoren, über die Systemsteuerung eine lokale Programmausnahmenliste 

zu definieren. Ist diese Richtlinieneinstellung deaktiviert, verhindert sie, 

dass Administratoren Windows-Firewallausnahmen in der Systemsteuerung erstellen. 

Wenn es einem Administrator nicht möglich ist, Programmausnahmen zu erstellen, sollten 

Sie diese Richtlinieneinstellung überprüfen. 

Windows-Firewall: Eingehende Programmausnahmen festlegen Erlaubt Ihnen, 

Firewallausnahmen für eine festgelegte Liste von Programmen zu definieren. Diese Programme 

werden dann auf allen Computern, auf die diese Richtlinie angewendet wird, als 

zugelassene Programme in der Windows-Firewall definiert. Wenn Sie diese Richtlinie 

deaktivieren, wird die Programmausnahmenliste gelöscht, die Sie in dieser Richtlinieneinstellung 

definiert haben. 

Windows-Firewall: Alle Netzwerkverbindungen schützen Diese Einstellung erlaubt 

Ihnen, die Windows-Firewall ein- oder auszuschalten. 

Windows-Firewall: Keine Ausnahmen zulassen Wenn Sie diese Richtlinieneinstellung 

aktivieren, werden alle Ausnahmen ignoriert, die Sie in der Systemsteuerung definieren. 

Windows-Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen 

Wenn Sie diese Richtlinieneinstellung aktivieren, öffnet die Windows-Firewall 

diese Ports, sodass der Computer Druckaufträge und Anforderungen für den Zugriff auf 

freigegebene Dateien empfangen kann. Beachten Sie, dass Clients auch Ping-Nachrichten 

(ICMP Echo Request) empfangen und beantworten, wenn die Datei- und Druckerfreigabe 


Windows-Firewall: ICMP-Ausnahmen zulassen Diese Richtlinieneinstellung erlaubt 

Ihnen zu definieren, welche ICMP-Nachrichtentypen die Windows-Firewall erlaubt. 

Windows-Firewall: Protokollierung zulassen Diese Richtlinieneinstellung erlaubt es 

der Windows-Firewall, Informationen über unverlangt eingehende Nachrichten aufzuzeichnen, 

sobald sie empfangen wurden. Wenn Sie diese Richtlinieneinstellung aktivieren, 

schreibt die Windows-Firewall Informationen in eine Protokolldatei. 

Windows-Firewall: Benachrichtigungen nicht zulassen Diese Richtlinieneinstellung 

verhindert, dass die Windows-Firewall dem Benutzer Benachrichtigungen anzeigt, wenn 

ein Programm anfordert, dass die Windows-Firewall das Programm in die Programmausnahmenliste 

aufnimmt. 

Windows-Firewall: Ausnahmen für lokale Ports zulassen Erlaubt Administratoren, 

die Portausnahmenliste zu aktivieren oder zu deaktivieren. Wenn Sie diese Richtlinieneinstellung 

deaktivieren, werden Portausnahmen ignoriert.


Windows-Firewall: Eingehende Remoteverwaltungsausnahme zulassen Diese 

Richtlinieneinstellung erlaubt die Remoteadministration des lokalen Computers mithilfe 

von Verwaltungstools wie der Microsoft Management Console (MMC) und der Windows 

Management Instrumentation (WMI). 

Windows-Firewall: Eingehende Remotedesktopausnahmen zulassen Diese Richtlinieneinstellung 

erlaubt dem Computer, eingehende Remotedesktopanforderungen (über 

TCP-Port 3389) zu empfangen. Wenn Sie diese Richtlinieneinstellung deaktivieren, blockiert 

die Windows-Firewall diesen Port. Das verhindert, dass der Computer Remotedesktopanforderungen 

empfängt. 

Windows-Firewall: Unicastantwort auf Multicast- oder Broadcastanforderungen 

nicht zulassen Diese Richtlinieneinstellung verhindert, dass der lokale Computer Unicastantworten 

auf seine ausgehenden Multicast- oder Broadcastnachrichten empfängt. 

(Diese Richtlinie hat keine Auswirkungen auf DHCP.) 

Windows-Firewall: Eingehende UPnP-Framework-Ausnahmen zulassen Diese 

Richtlinieneinstellung erlaubt dem lokalen Computer, unangeforderte eingehende UPnP- 

Nachrichten (Universal Plug & Play) zu empfangen, die von Netzwerkgeräten, beispielsweise 

Routern mit eingebauter Firewall, gesendet werden. 

Schnelltest 

Welche Richtlinieneinstellung müssen Sie aktivieren, damit Remoteadministratoren 

Clientcomputer über eine MMC verwalten können? 


Windows-Firewall: Eingehende Remoteverwaltungsausnahme zulassen 

Problembehandlung für die Windows-Firewall mithilfe der Firewallprotokolle 

Die Protokollierung der Windows-Firewall ist in der Standardeinstellung nicht aktiviert. 

Wenn Sie ein Firewallproblem untersuchen, das Sie nicht beseitigen können, oder sich in 

Zukunft die Möglichkeit einer Problembehandlung mithilfe der Firewallprotokolle offen 

halten wollen, sollten Sie die Protokollierung aktivieren. 

Um die Protokollierung für die Windows-Firewall auf Clientcomputer im Netzwerk zu 

aktivieren, sollten Sie ein Gruppenrichtlinienobjekt benutzen, das die Richtlinieneinstellung 

Protokollierung zulassen aktiviert, wie im letzten Abschnitt beschrieben. Wenn Sie die Windows-Firewallprotokollierung 

auf einem einzelnen Computer aktivieren wollen, können Sie 

die Windows-Firewalleigenschaften öffnen und dann im Abschnitt Protokollierung auf Anpassen 

klicken (Abbildung A.17). 

Darauf öffnet sich das Dialogfeld Protokollierungseinstellungen anpassen (Abbildung A.18). 

Hier stellen Sie folgende Eigenschaften ein: 

Wo die Protokolldatei erstellt wird und wie groß sie werden darf 

Ob die Protokolldatei Informationen über verworfene Pakete, erfolgreiche Verbindungen 

oder beides aufzeichnet


Abbildung A.17 Sie aktivieren die Windows-Firewallprotokollierung 

im Eigenschaftendialogfeld des Stammknotens der Konsole Windows- 

Firewall mit erweiterter Sicherheit 

Abbildung A.18 Aktivieren der Protokollierung für 

verworfene Pakete und erfolgreiche Verbindungen 

Wenn Sie erfolgreiche Verbindungen protokollieren, müssen Sie sicherstellen, dass Sie 

reichlich Speicherplatz frei haben. Sofern Sie den Standardspeicherort des Protokolls verschieben 

müssen, damit genug freier Speicherplatz zur Verfügung steht, müssen Sie dem 

Dienstkonto der Windows-Firewall Schreibberechtigungen für den Ordner gewähren, in dem 

sich die Datei befindet. 

Problembehandlung für die Windows-Firewall mithilfe von Ereignisprotokollen 

Sie können auch die Windows-Ereignisprotokolle benutzen, um die Windows-Firewall und 

die IPsec-Aktivitäten zu überwachen und eventuelle Probleme zu beseitigen. Die Ereignisprotokolle 

für die Windows-Firewall befinden sich im folgenden Zweig der Ereignisanzeige: 

Anwendungs- und Dienstprotokolle\Microsoft\Windows\Windows Firewall With Advanced 

Security


Wie in Abbildung A.19 zu sehen, gibt es vier Ereignisprotokolle, die Sie für die Überwachung 

und Problembehandlung der Windows-Firewall auswerten können: 

ConnectionSecurity 

ConnectionSecurityVerbose 

Firewall 

FirewallVerbose 

Die zwei »Verbose«-Protokolle sind in der Standardeinstellung deaktiviert, weil darin sehr 

umfangreiche Daten aufgezeichnet werden. Sie können diese Protokolle bei Bedarf aktivieren, 

indem Sie sie mit der rechten Maustaste anklicken und den Befehl Protokoll aktivieren 

wählen. 

Abbildung A.19 Anzeigen der Ereignisprotokolle für die Windows-Firewall 

Übung Erstellen von Ausnahmen für die Windows-Firewall 

In dieser Übung vergleichen Sie zwei Methoden, um Windows-Firewallausnahmen zu 

erstellen: mit der Systemsteuerung und in der lokalen Sicherheitsrichtlinie. Für diese Übung 

brauchen Sie eine Domäne mit zwei Computern, dem Domänencontroller DC1, der unter 

Windows Server 2008 R2 läuft, und dem Windows 7-Client CLIENT1. 

Übung 1 Erstellen einer Programmausnahme für die Datei- und Druckerfreigabe 

In dieser Übung versuchen Sie, den Clientcomputer vom Server aus mit Ping zu erreichen. 

Anschließend erstellen Sie eine Firewallausnahme für die Datei- und Druckerfreigabe, 

wiederholen den Ping-Test und stellen schließlich die Standardkonfiguration wieder her.


Hinweis Erstellen Sie die Ausnahme nur, wenn ein Client die Datei- und Druckerfreigabe 

braucht 

Es ist nützlich zu wissen, dass mit dem Erstellen einer Ausnahme für die Datei- und 

Druckerfreigabe auch eine Ausnahme für Ping eingerichtet wird. Sie sollten diese Methode 

aber nicht nutzen, nur um Ping zu aktivieren, wenn der Client nicht wirklich die Datei- und 

Druckerfreigabe braucht. Das würde die Sicherheit des Clientsystems unnötig gefährden. 

Wenn Sie lediglich möchten, dass ein Client, der keine Datei- und Druckerfreigabe braucht, 

auf Ping-Anforderungen antwortet, sollten Sie in der Konsole Windows-Firewall mit erweiterter 

Sicherheit eine eingehende Zulassen-Regel für ICMP-Echo-Requests einrichten, 

wie in Übung 2 beschrieben. 

1. Melden Sie auf dem Computer CLIENT1 mit einem Domänenadministratorkonto an der 

Domäne an. 

2. Öffnen Sie die Systemsteuerung, klicken Sie auf System und Sicherheit und dann unter 

Windows-Firewall auf Programm durch die Windows-Firewall kommunizieren lassen. 

3. Stellen Sie sicher, dass auf der Seite Zugelassene Programme das Kontrollkästchen 

Datei- und Druckerfreigabe nicht aktiviert ist. Sollte es aktiviert sein, müssen Sie auf 

Einstellungen ändern klicken, die Kontrollkästchen für Domäne, Heim/Arbeit (Privat) 

und Öffentlich in der Zeile Datei- und Druckerfreigabe deaktivieren und auf OK klicken. 

Lassen Sie die Systemsteuerung offen. 

4. Melden Sie sich am Domänencontroller DC1 an. Öffnen Sie eine Eingabeaufforderung 

und versuchen Sie, CLIENT1 mit Ping zu erreichen. 

Der Ping-Test schlägt fehl. 

5. Wechseln Sie auf CLIENT1. Klicken Sie wieder auf Programm durch die Windows-Firewall 

kommunizieren lassen. 

6. Klicken Sie auf der Seite Zugelassene Programme auf Einstellungen ändern und aktivieren 

Sie das Kontrollkästchen links neben Datei- und Druckerfreigabe. 

7. Stellen Sie sicher, dass das zugehörige Kontrollkästchen Domäne aktiviert ist, und klicken 

Sie auf OK. 

8. Kehren Sie zum Domänencontroller DC1 zurück. Versuchen Sie erneut, CLIENT1 mit 

Ping zu erreichen. 

Diesmal gelingt der Ping-Test. Die Ausnahme für die Datei- und Druckerfreigabe erstellt 

nicht nur eine Ausnahme für die Dateifreigabe, sondern auch für Ping. 

9. Kehren Sie auf CLIENT1 zurück und öffnen Sie die Systemsteuerung. Entfernen Sie die 

Ausnahme für die Datei- und Druckerfreigabe, die Sie gerade erstellt haben, und klicken 

Sie auf OK. 

Übung 2 Erzwingen einer Zulassen-Regel mithilfe der lokalen Sicherheitsrichtlinie 

Übung 1 demonstriert zwar einen ganz einfachen Weg, Ping-Anforderungen durch die 

Windows-Firewall zu lassen, diese Methode hat aber zwei Nachteile. Erstens erstellt sie eine 

Firewallausnahme für die Datei- und Druckerfreigabe, die unnötig ist, wenn Sie lediglich 

Ping-Anforderungen durch die Firewall zulassen wollen. Wenn der Computer keine freigegebenen 

Ordner oder Drucker enthält, ist es nicht sinnvoll, diese Art des Netzwerkzugriffs


auf den Computer zu erlauben. Zweitens wird bei der Methode mit der Systemsteuerung die 

Zulassen-Regel, die Sie erstellt haben, nicht erzwungen. Die Regel kann von einem Administrator 

ganz einfach gelöscht oder deaktiviert werden. 

In dieser Übung öffnen Sie die lokale Sicherheitsrichtlinie und erstellen eine dauerhafte 

Zulassen-Regel, um ICMP-Echo-Anforderungen durch die Windows-Firewall zu erlauben. 

Dann testen Sie die Auswirkungen dieser neuen Regel. 

1. Melden Sie am Domänencontroller DC1 an, sofern noch nicht geschehen, und stellen Sie 

sicher, dass es nicht möglich ist, den Clientcomputer CLIENT1 mit Ping zu erreichen. 

Gelingt der Ping-Test zu CLIENT1, müssen Sie alle Firewallausnahmen entfernen, die 

Sie erstellt haben, um Ping-Anforderungen zu erlauben. 

2. Melden Sie sich auf dem Computer CLIENT1 als Domänenadministrator an der Domäne 

an, sofern noch nicht geschehen. 

3. Geben Sie auf CLIENT1 im Suchfeld des Startmenüs Lokale Sicherheitsrichtlinie ein 

und klicken Sie auf Lokale Sicherheitsrichtlinie. 

4. Wählen Sie in der Konsole Lokale Sicherheitsrichtlinie den Knoten Sicherheitseinstellungen\Windows-Firewall 

mit erweiterter Sicherheit\Windows-Firewall mit erweiterter 

Sicherheit – Lokales Gruppenrichtlinienobjekt\Eingehende Regeln aus. 

5. Klicken Sie mit der rechten Maustaste auf den Knoten Eingehende Regeln und wählen 

Sie im Kontextmenü den Befehl Neue Regel. Der Assistent für neue eingehende Regel 


6. Wählen Sie auf der Seite Regeltyp die Option Benutzerdefiniert aus und klicken Sie auf 

Weiter. 

7. Klicken Sie auf der Seite Programm auf Weiter. 

8. Wählen Sie auf der Seite Protokoll und Ports in der Dropdownliste Protokolltyp den 

Eintrag ICMPv4 aus. Klicken Sie auf die Schaltfläche Anpassen. 

9. Wählen Sie im Dialogfeld ICMP-Einstellungen anpassen die Option Bestimmte ICMP- 

Typen aus, aktivieren Sie das Kontrollkästchen Echoanforderung und klicken Sie auf 

OK. 

10. Klicken Sie auf der Seite Protokoll und Ports auf Weiter. 

11. Klicken Sie auf der Seite Bereich auf Weiter. 

12. Stellen Sie auf der Seite Aktion sicher, dass die Option Verbindung zulassen ausgewählt 

ist, und klicken Sie auf Weiter. 

13. Klicken Sie auf der Seite Profil auf Weiter. 

14. Geben Sie auf der Seite Name für die Regel den Namen Ping zulassen ein und klicken 

Sie auf Fertig stellen. 

Die Regel Ping zulassen wird nun in der Konsole Lokale Sicherheitsrichtlinie aufgeführt. 

15. Starten Sie CLIENT1 neu. 

16. Warten Sie, bis CLIENT1 den Neustart abgeschlossen hat, und versuchen Sie dann, den 

Clientcomputer von DC1 aus mit Ping zu erreichen. 

Der Ping-Test verläuft erfolgreich.


17. Melden Sie sich von CLIENT1 aus unter Ihrem Domänenadministratorkonto an der 

Domäne an. 

18. Öffnen Sie die Konsole Windows-Firewall mit erweiterter Sicherheit, indem Sie im 

Startmenü auf Alle Programme, Verwaltung und Windows-Firewall mit erweiterter 

Sicherheit klicken. 

19. Wählen Sie in der Konsolenstruktur von Windows-Firewall mit erweiterter Sicherheit 

den Knoten Eingehende Regeln aus und warten Sie, bis die Liste der Regeln vollständig 

ist. 

Die Regel Ping zulassen steht ganz oben in der Liste. 

20. Klicken Sie mit der rechten Maustaste auf die Regel und sehen Sie sich an, welche 

Befehle im Kontextmenü angeboten werden. 

Es stehen keine Befehle zum Löschen oder Deaktivieren der Regel zur Verfügung. Im 

Unterschied zu den anderen Regeln, die in der Konsole Windows-Firewall mit erweiterter 

Sicherheit angezeigt werden, kann diese Regel nicht deaktiviert oder gelöscht werden, 

weil sie über die lokale Sicherheitsrichtlinie erzwungen wird. Auf ähnliche Weise können 

Sie die Regel auch mithilfe von Gruppenrichtlinien im gesamten Netzwerk erzwingen. 


Zusammenfassung 

Die Windows-Firewall blockiert alle eingehenden Verbindungsanforderungen, sofern sie 

nicht explizit zugelassen werden. Ausgehende Verbindungsanforderungen werden erlaubt, 

sofern sie nicht explizit blockiert werden. 

Sie können in der Systemsteuerung bestimmte Programme durch die Windows-Firewall 

zulassen. Diese Einstellungen werden als Programmausnahmen bezeichnet. Ausnahmen 

werden unter anderem oft für Programme wie Remotedesktop, Windows Live Messenger 

und Datei- und Druckerfreigabe erstellt. 

Sie können in der Konsole Windows-Firewall mit erweiterter Sicherheit ganz detailliert 

definieren, welche Verkehrstypen durch die Windows-Firewall zugelassen oder verboten 

werden. Zum Beispiel können Sie eine Zulassen-Regel erstellen, die alle eingehenden 

Verbindungsanforderungen erlaubt, die von einem ganz bestimmten Adressbereich ausgehen 

und nur an einen bestimmten TCP-Port gerichtet sind. 

Sie können Windows-Firewalleinstellungen mithilfe von Richtlinien für den lokalen 

Computer oder Gruppenrichtlinien erzwingen. Wenn Sie eine Problembehandlung für 

die Windows-Firewall durchführen, sollten Sie auf jeden Fall die Richtlinieneinstellungen 

überprüfen, die auf diese Weise erzwungen wurden.

A N H A N G B 

Verwalten von Benutzerdateien 

und -einstellungen 

Als Supporttechniker in einem Großunternehmen ist es einer Ihrer zentralen Verantwortungsbereiche, 

Benutzern dabei zu helfen, jederzeit auf alle benötigten Ressourcen zuzugreifen. 

Bei dieser Aufgabe werden Sie von mehreren Features in Windows 7 unterstützt. So ermöglichen 

es Offlinedateien den Benutzern, auch nach der Trennung vom Netzwerk mit Dateien 

weiterzuarbeiten, die in einer Netzwerkfreigabe gespeichert sind. Sobald die Benutzer später 

wieder Verbindung zum Netzwerk haben, werden diese Dateien synchronisiert. Servergespeicherte 

Benutzerprofile bieten Benutzern Zugriff auf ihre zentral gespeicherten Dateien 

und Einstellungen, unabhängig davon, an welchem Netzwerkcomputer sie gerade arbeiten. 

Ein weiteres Feature, die Ordnerumleitung, ermöglicht es Administratoren, das Ziel wichtiger 

Ordner transparent auf ein Ziel in einem Dateiserver umzuleiten. 

Dieser Anhang stellt diese und andere Features ein, die Ihnen helfen, Benutzerdateien und 

-einstellungen in einer Unternehmensumgebung zu verwalten. 

Verwalten von Offlinedateien 

Benutzer in Unternehmensumgebungen speichern persönliche Dateien üblicherweise auf 

einem Dateiserver, weil das zahlreiche Vorteile bietet, etwa leichtere Zusammenarbeit mit 

anderen Benutzern, einfachere Suche nach wichtigen Dateien und (solange die Benutzer 

keine lokalen Kopien speichern) weniger Versionskonflikte. Die Speicherung im Netzwerk 

hat aber auch einige gewichtige Nachteile. Wenn ein Benutzer eine Datei in einer Netzwerkfreigabe 

speichert, kann er normalerweise auf diese Datei nur zugreifen, während er mit dem 

Netzwerk verbunden ist. Außerdem ist die Leistung deutlich schlechter, wenn der Benutzer 

mit Dateien arbeitet, die auf einem Remotelaufwerk gespeichert sind, als bei der Arbeit mit 

Dateien auf einem lokal angeschlossenen Datenträger. Und wenn die Benutzer kurzzeitig 

lokale Kopien der Dateien speichern, um die Leistung zu verbessern, treten Probleme mit 

der Versionsverwaltung auf, vor allem bei Dateien, die von mehreren Benutzern bearbeitet 

werden. 

Offlinedateien sind ein Feature, das es Benutzern erlaubt, die Vorteile einer zentralen Dateispeicherung 

zu nutzen, aber dabei die größten Nachteile dieser Technik zu umgehen. In 

Windows 7 sind sie standardmäßig aktiviert. 

Grundlagen von Offlinedateien 

Offlinedateien sind ein Windows-Feature, das es Ihnen ermöglicht, lokale Kopien von Dateien 

aufzubewahren, die in einer Netzwerkfreigabe gespeichert sind. Wenn Sie die Verbindung 

zur Netzwerkfreigabe trennen, können Sie auf die lokalen Dateien zugreifen, die Sie offline 

verfügbar gemacht haben. Diese lokalen Kopien sehen aus, als befänden sie sich im selben 

403

404 Anhang B: Verwalten von Benutzerdateien und -einstellungen 

Netzwerkspeicherort wie vor dem Trennen der Verbindung: Sie greifen offline auf die Dateien 

zu, indem Sie denselben Netzwerkpfad angeben, über den Sie normalerweise auf die Dateien 

zugreifen, während die Verbindung besteht. Wenn Sie später wieder mit der Netzwerkfreigabe 

verbunden sind, werden die lokalen Kopien automatisch mit den ursprünglichen Quelldateien 

synchronisiert, und Sie greifen wieder direkt auf den ursprünglichen Netzwerkspeicherort 

zu. 

Nehmen wir an, Sie haben ein Notebook an Ihr Unternehmens-LAN angeschlossen und arbeiten 

mit einer Datei namens DateiA, die im Netzwerk unter dem Pfad \\ServerA\FreigabeA\ 

DateiA gespeichert ist (Abbildung B.1). Vielleicht greifen Sie auf diese Datei zu, indem Sie 

eine Verknüpfung auf Ihrem Desktop anklicken, oder Sie geben den Pfad direkt im Windows- 

Explorer oder im Suchfeld des Startmenüs ein. 

Abbildung B.1 Zugreifen auf eine Datei, die in einer Remotefreigabe liegt 

Sofern Sie eingestellt haben, dass DateiA offline verfügbar sein soll, können Sie an der Datei 

sogar weiterarbeiten, während Ihr Notebook keine Verbindung zum Unternehmens-LAN hat. 

Sie öffnen dabei DateiA, indem Sie wie vorher die Adresse \\ServerA\FreigabeA\DateiA mit 

derselben Desktopverknüpfung im Windows-Explorer oder im Suchfeld des Startmenüs 

eingeben. Das Feature Offlinedateien erkennt den Netzwerkspeicherort und leitet die Netzwerkanforderung 

automatisch an die lokal zwischengespeicherte Kopie der Datei um (Abbildung 

B.2). 

Wenn Sie später eine Verbindung zum Netzwerk herstellen und den Netzwerkpfad zur freigegebenen 

Datei aufrufen, wird die Anforderung wieder an die ursprüngliche Quelldatei im 

Netzwerk geleitet. Zu diesem Zeitpunkt wird die lokale Kopie der Datei automatisch mit der 

Version synchronisiert, die in der Netzwerkfreigabe gespeichert ist (Abbildung B.3). 

Hinweis Wo sind Offlinedateien tatsächlich gespeichert? 

Dateien, die Sie offline verfügbar gemacht haben, sind im Offlinedateicache gespeichert 

(auch als clientseitiger Cache bezeichnet), der sich in %SystemRoot%\CSC befindet.

Abbildung B.2 Wenn Sie offline arbeiten, werden 

Anforderungen an eine lokale Kopie umgeleitet 

Abbildung B.3 Die beiden Versionen werden synchronisiert, 

sobald die Verbindung zur Netzwerkfreigabe wiederhergestellt ist 

Verwalten von Offlinedateien 405


Warum sollten Sie Offlinedateien benutzen? 

Das Offlinedateifeature erhöht Verfügbarkeit, Zuverlässigkeit und Leistung von Netzwerkfreigaben. 

Für Benutzer, die oft auf Reisen sind, verbessert sich die Verfügbarkeit freigegebener 

Dateien, wenn diese Dateien offline bearbeitet werden können. Während die Benutzer 

vom Netzwerk getrennt sind, können sie die lokalen Kopien der Dateien bearbeiten, und 

sobald sie wieder im Büro sind, werden die Dateien automatisch synchronisiert. Offlinedateien 

erhöhen auch die Zuverlässigkeit von Netzwerkfreigaben, weil eine Kopie des 

Netzwerkordners zur Verfügung steht, falls das Netzwerk ausfällt. Wird die Verbindung 

eines Benutzers zu einer Remotefreigabe aus irgendeinem Grund getrennt, kann er dank der 

Offlinedateien ohne Unterbrechung weiterarbeiten. Und schließlich steigern Offlinedateien 

die Effizienz über eine langsame Verbindung. Wenn die Leistung beim Anzeigen und Bearbeiten 

einer Remotedatei zu schlecht ist, können Benutzer stattdessen offline mit der lokalen 

Kopie der Datei arbeiten und sie dann mit dem Exemplar in der Netzwerkfreigabe synchronisieren, 

sobald sie mit dem Bearbeiten fertig sind. 

Arbeiten mit Offlinedateien 

Sie machen eine Datei offline verfügbar, indem Sie die Netzwerkfreigabe auswählen, in der 

die Datei gespeichert ist, mit der rechten Maustaste auf die Datei klicken und im Kontextmenü 

den Befehl Immer offline verfügbar wählen (Abbildung B.4). 

Abbildung B.4 Eine Datei offline verfügbar machen 

Hinweis Aktivieren von Offlinedateien 

Wenn im Kontextmenü einer Datei, die in einer Netzwerkfreigabe gespeichert ist, nicht der 

Befehl Immer offline verfügbar angeboten wird, wurde möglicherweise der Dienst Offlinedateien 

beendet oder deaktiviert. Geben Sie in diesem Fall im Startmenü Offlinedateien 

verwalten ein und drücken Sie die EINGABETASTE. Klicken Sie dann im Dialogfeld Offlinedateien 

auf Offlinedateien aktivieren. Denken Sie auch daran, dass der Befehl Immer

Verwalten von Offlinedateien 407 

offline verfügbar nur erscheint, wenn Sie erst den Netzwerkordner oder die Datei auswählen, 

bevor Sie die Datei mit der rechten Maustaste anklicken. 

Nach dieser Vorbereitung wird die Datei, die Sie offline verfügbar gemacht haben, mit 

einem Symbol gekennzeichnet, das einen grünen Kreis mit Pfeilen zeigt (Abbildung B.5). 

Abbildung B.5 Ein grüner Kreis markiert Dateien, 

die offline verfügbar sind 

Sie machen alle Dateien in einem Netzwerkordner oder einer Freigabe offline verfügbar, 

indem Sie einfach im Windows-Explorer mit der rechten Maustaste auf die Freigabe klicken 

und den Befehl Immer offline verfügbar wählen (Abbildung B.6). 

Abbildung B.6 Eine Freigabe vollständig offline verfügbar machen 

Wenn Sie eine Freigabe vollständig offline verfügbar machen, wird die Freigabe selbst mit 

dem Symbol für Offlinedateien markiert (Abbildung B.7).


Abbildung B.7 Eine Freigabe, die offline verfügbar ist 

Entfernen von Offlinedateien 

Wenn Sie eine Datei oder einen Ordner offline verfügbar gemacht haben, ist der Eintrag 

Immer offline verfügbar im Kontextmenü mit einem Häkchen markiert. Wollen Sie nicht 

mehr, dass die Netzwerkdatei oder der Ordner offline verfügbar ist, können Sie mit der 

rechten Maustaste auf die Datei beziehungsweise den Ordner klicken und dann das Häkchen 

im Eintrag Immer offline verfügbar deaktivieren (Abbildung B.8). 

Abbildung B.8 Entfernen der Offlinekopie einer Datei 

Wann findet die automatische Synchronisierung statt? 

Wenn Sie eine freigegebene Datei oder einen Ordner offline verfügbar machen, legt Windows 

automatisch eine Kopie dieser Datei beziehungsweise dieses Ordners auf Ihrem Computer 

an. Windows 7 synchronisiert die beiden Versionen der Datei oder des Ordners automatisch, 

sobald einer der folgenden Fälle eintritt: 

Sie arbeiten online und speichern Änderungen an der Datei. 

Sie arbeiten online und öffnen die Datei.


Sie starten den Computer, während Sie keine Verbindung zum Netzwerk haben, bearbeiten 

die Dateien und stellen später eine Verbindung zu dem Netzwerkordner her, in dem 

diese Dateien liegen. 

Während Sie Verbindung zum Netzwerk haben, wählen Sie die Möglichkeit, offline zu 

arbeiten. Später wählen Sie dann wieder die Möglichkeit, online zu arbeiten. (Beachten 

Sie, dass die Synchronisierung in diesem Fall nicht sofort ausgeführt wird.) 

Die Verbindung zur Netzwerkfreigabe mit den Offlinedateien wird plötzlich unterbrochen 

und dann wiederhergestellt. 

Die Verbindung zu den Offlinedateien kann unterbrochen werden, wenn unerwartet die 

Verbindung zu Ihrem Netzwerk verloren geht und Sie versuchen, eine Verbindung zu 

einer Netzwerkfreigabe aufzubauen. In diesem Fall verwendet Windows nach einer gewissen 

Wartezeit automatisch eine lokal gespeicherte Kopie, sofern eine zur Verfügung 

steht. Sobald die Netzwerkverbindung wiederhergestellt ist, wird das Offlinedateifeature 

zurückgesetzt, woraufhin die Dateien nach einigen Minuten synchronisiert werden. (Sie 

können die Offlinedateiverbindung auch zurücksetzen, indem Sie den Computer neu 

starten und sich wieder am Netzwerk anmelden.) 

Hinweis Verarbeiten von Dateikonflikten 

Haben sowohl Sie als auch jemand anders Änderungen an einer Datei vorgenommen, 

seit Sie zuletzt mit dem Quellnetzwerkordner Verbindung hatten, tritt beim Versuch, die 

Datei zu synchronisieren, ein Konflikt auf. Windows fragt Sie in diesem Fall, welche 

Version Sie behalten wollen. 

Offlinedateien von Hand synchronisieren 

Wenn andere Benutzer Änderungen an einer Datei speichern, die Sie offline verfügbar gemacht 

haben, werden diese Änderungen nicht automatisch mit Ihrer lokalen Kopie der Datei 

synchronisiert. Es wird aber die Versionsnummer der Datei aktualisiert und an alle Clients 

gemeldet, auf denen diese Datei offline verfügbar gemacht wurde. Auf diese Weise erkennen 

Offlinedateien, wenn die lokal gespeicherte Kopie der Datei nicht die neueste verfügbare 

Version ist. 

Wenn Sie online arbeiten, wird Ihre lokale Kopie der Datei automatisch mit der neuesten 

Version synchronisiert, sobald Sie die Datei öffnen. Trennen Sie aber die Verbindung, bevor 

eine Datei synchronisiert wurde, von der bekannt ist, dass sie veraltet ist, können Sie die 

Datei nicht offline öffnen. Stattdessen bekommen Sie die Fehlermeldung aus Abbildung B.9 

angezeigt. 

Abbildung B.9 Sie können eine Datei nicht 

öffnen, wenn bekannt ist, dass sie veraltet ist


Um diesen Fehler zu verhindern, sollten Sie, bevor Sie die Verbindung trennen, alle Dateien 

von Hand synchronisieren, bei denen die Gefahr besteht, dass andere Benutzer sie verändert 

haben. Sie können alle Dateien, die Sie offline verfügbar gemacht haben, im Infobereich der 

Taskleiste von Hand synchronisieren. Klicken Sie im Infobereich auf das Symbol mit dem 

nach oben zeigenden Pfeil, dann mit der rechten Maustaste auf das Offlinedateiensymbol, 

und wählen Sie den Befehl Alle synchronisieren (Abbildung B.10). 

Hinweis Anpassen des Synchronisierungsverhaltens im Synchronisierungscenter 

Um zu verhindern, dass Benutzer die Fehlermeldung aus Abbildung B.9 erhalten, können 

Sie im Synchronisierungscenter konfigurieren, dass zu bestimmten Zeiten automatische Synchronisierungen 

ausgeführt werden. Diese Möglichkeit wird im Abschnitt »Verwalten der 

Synchronisierung im Synchronisierungscenter« weiter unten in diesem Anhang beschrieben. 

Abbildung B.10 Offlinedateien von Hand synchronisieren 

Abbildung B.11 Auswählen des Offlinebetriebs 

Offlinebetrieb 

Wenn Sie offline mit einer Datei arbeiten wollen, können Sie Ihren Computer einfach herunterfahren 

und dann erneut starten, nachdem Sie die Verbindung zum Netzwerk getrennt haben. 

Wollen Sie allerdings offline mit einer Datei arbeiten, ohne Ihren Computer neu zu starten, 

können Sie die Option Offlinebetrieb von Hand aktivieren. Das verbessert Stabilität und 

Leistung der Anwendung, weil Sie sofort mit der Arbeit an der Offlinedatei beginnen können, 

statt abzuwarten, bis das Zeitlimit für eine nicht verfügbare Netzwerkfreigabe überschritten 

ist. Wenn Sie die Option Offlinebetrieb auswählen, verschaffen Sie sich auch die Möglichkeit, 

die Verbindung zum Quellnetzwerkordner herzustellen und Ihre Offlinedateien zu 

synchronisieren, sobald Sie fertig sind.


Sie arbeiten offline, indem Sie im Windows-Explorer die Freigabe aufrufen und dann in der 

Symbolleiste auf Offlinebetrieb klicken (Abbildung B.11). 

Sobald Sie wieder die Verbindung zum Netzwerkordner herstellen wollen, klicken Sie auf 

Onlinebetrieb (Abbildung B.12). Daraufhin wird Ihre lokale Kopie mit der Version in der 

Netzwerkfreigabe synchronisiert. 

Abbildung B.12 Zurückschalten in den Onlinebetrieb 

Anzeigen Ihrer Offlinedateien 

Wenn Sie mit Offlinedateien in unterschiedlichen Ordnern arbeiten, können Sie sich bei 

Bedarf alle zusammen ansehen, ohne jeden Ordner einzeln öffnen zu müssen. Gehen Sie 

dazu folgendermaßen vor: 

1. Geben Sie im Suchfeld des Startmenüs Offlinedateien verwalten ein und drücken Sie 


Das Dialogfeld Offlinedateien wird geöffnet. 

2. Klicken Sie auf der Registerkarte Allgemein auf Offlinedateien anzeigen (Abbildung 

B.13). 

Abbildung B.13 Anzeigen aller eigenen Offlinedateien


Verwalten der Synchronisierung im Synchronisierungscenter 

Das Synchronisierungscenter ist ein Tool in Windows 7, in dem Sie Synchronisierungen 

einrichten und verwalten. Sie öffnen das Synchronisierungscenter, indem Sie im Startmenü 

Synchronisierungscenter eingeben und die EINGABETASTE drücken. Abbildung B.14 

zeigt das Synchronisierungscenter. 

Abbildung B.14 Das Synchronisierungscenter in Windows 7 

Gehen Sie folgendermaßen vor, um einen automatischen Synchronisierungszeitplan für 

Offlinedateien einzurichten: 

1. Wählen Sie im Synchronisierungscenter den Eintrag Offlinedateien aus und klicken Sie 

auf Zeitplan (Abbildung B.15). 

Abbildung B.15 Erstellen eines Synchronisierungszeitplans 

Daraufhin öffnet sich der Assistent Offlinedateien-Synchronisierungszeitplan 

(Abbildung B.16). 

2. Wählen Sie in der Liste das Element aus, für das Sie einen Synchronisierungszeitplan 

einrichten wollen, und klicken Sie auf Weiter. 

Daraufhin öffnet sich die Seite Geben Sie an, wann die Synchronisierung anfangen soll 

(Abbildung B.17).

Abbildung B.16 Erstellen eines Synchronisierungszeitplans 

Abbildung B.17 Auswählen, wann die Synchronisierung beginnt 

3. Wählen Sie eine der folgenden Optionen aus: 


Nach Zeitplan Hierbei beginnt der Synchronisierungsvorgang zu festgelegten 

Zeiten, wobei Sie angeben, in welchen Intervallen der Vorgang wiederholt wird. 

Beim Eintreten eines Ereignisses Bei dieser Methode wird eine Synchronisierung 

ausgelöst, sobald eine der folgenden vier Bedingungen eintritt: Sie melden sich an 

Ihrem Computer an, der Computer ist eine bestimmte Zeit lang im Leerlauf, Sie 

sperren Windows oder Sie entsperren Windows. 

Wenn Sie Nach Zeitplan oder Beim Eintreten eines Ereignisses wählen, finden Sie 

auf der nächsten Assistentenseite die Schaltfläche Weitere Optionen, die das Dialogfeld 

Weitere Zeitplanoptionen öffnet (Abbildung B.18). In diesem Dialogfeld können 

Sie weiter einschränken, wann eine Synchronisierung beginnt, und festlegen, unter 

welchen Bedingungen eine Synchronisierung abgebrochen wird.


Abbildung B.18 Verfeinern des Synchronisierungszeitplans 

Schnelltest 

1. Können Sie Offlinedateien in Windows 7 so konfigurieren, dass sie automatisch synchronisiert 

werden, sobald sich der Benutzer anmeldet? 

2. Können Sie Offlinedateien in Windows 7 so konfigurieren, dass sie automatisch synchronisiert 

werden, sobald sich der Benutzer abmeldet? 


1. Ja 

2. Nein 

Anzeigen der Synchronisierungsergebnisse in Synchronisierungscenter 

Die Ergebnisse der letzten Synchronisierungsvorgänge können Sie sich im Synchronisierungscenter 

ansehen. Geben Sie dazu im Startmenü Synchronisierungsergebnisse anzeigen 

ein und drücken Sie die EINGABETASTE. Daraufhin öffnet sich das Fenster aus Abbildung 

B.19. 

Abbildung B.19 Anzeigen der Synchronisierungsergebnisse im Synchronisierungscenter 

Diese Seite listet die letzten Synchronisierungsvorgänge auf und zeigt die Ergebnisse an.

Verwalten der Datenträgerverwendung für Offlinedateien 


Anhand der Größe Ihrer Festplatte und der Menge freien Platzes berechnet das Offlinedateifeature, 

welchen Prozentsatz Ihrer Festplatte es für den Offlinedateicache reserviert. Dieser 

Prozentsatz legt somit die Obergrenze für den Speicherplatz fest, der für Offlinedateien zur 

Verfügung steht. Sie können diese Limits auf der Registerkarte Datenträgerverwendung des 

Eigenschaftendialogfelds Offlinedateien ansehen und ändern. 

Diese Registerkarte öffnen Sie, indem Sie im Startmenü Von Offlinedateien verwendeten 

Festplattenplatz verwalten eintippen und die EINGABETASTE drücken. Abbildung B.20 

zeigt die Registerkarte Datenträgerverwendung des Eigenschaftendialogfelds Offlinedateien. 

Diese Registerkarte zeigt an, wie viel Platz für Offlinedateien zugewiesen und wie viel 

momentan belegt ist. Klicken Sie auf Limits ändern, um die Limits für Offlinedateien zu 

ändern. Daraufhin öffnet sich das Dialogfeld Datenträgernutzungslimits für Offlinedateien 

(Abbildung B.21). 

Abbildung B.20 Anzeigen der Limits für die Datenträgerverwendung durch Offlinedateien 

Abbildung B.21 Ändern der Limits für die Datenträgerverwendung von Offlinedateien 

Sowohl im Dialogfeld Datenträgernutzungslimits für Offlinedateien als auch auf der Registerkarte 

Datenträgerverwendung des Eigenschaftendialogfelds Offlinedateien werden zwei 

Werte angezeigt. Der obere Wert gibt an, wie viel Platz den Offlinedateien insgesamt zugewiesen 

ist. Der untere Wert legt fest, wie viel von diesem Platz ausschließlich für die temporären 

Dateien zur Verfügung steht, die für die Offlinedateien verwendet werden.


Mit dem Schieberegler im Dialogfeld Datenträgernutzungslimits für Offlinedateien können 

Sie die Werte anpassen. Üblicherweise sollten Sie die Standardwerte unverändert lassen. 

Ausnahmen sind, wenn Sie Platz auf der Festplatte sparen müssen oder wenn Sie ungewöhnlich 

viele oder große Dateien offline verfügbar machen. Als Faustregel sollten Sie mehr als 

10 Prozent (besser mehr als 15 Prozent) Ihrer Festplatte frei halten. Sie sollten die Limits für 

die Offlinedateien heruntersetzen, falls auf Ihrer Festplatte nur noch rund 10 Prozent Platz 

frei sind. 

Praxistipp 


In manchen Fällen ist es sinnvoll, die Offlinedateicaches von ihrem Standardspeicherort 

in %SystemDrive%\CSC zu verschieben. Nehmen wir an, Sie haben Windows 7 auf dem 

Laufwerk C:\ installiert, einem relativ kleinen Volume mit 30 GByte Kapazität, während 

auf dem Laufwerk E:\ 250 GByte Platz für Arbeitsdateien frei sind. Leider bietet Windows 

7 keine einfache Einstellmöglichkeit oder ein Dialogfeld, in dem Sie den Speicherort 

für Offlinedateicache ändern können. 

Um den Offlinedateicache zu verschieben, müssen Sie daher direkt die Registrierung 

bearbeiten. Aber das ist nicht weiter schwierig. Gehen Sie folgendermaßen vor, um den 

Offlinedateicache auf einem Computer zu verschieben: 

1. Synchronisieren Sie alle Ihre Offlinedateien. Der Inhalt Ihrer aktuellen Offlinedateicaches 

wird bei diesem Vorgang gelöscht, daher sollten Sie die Quelldateien auf dem 

Server mit allen Änderungen aktualisieren, die Sie lokal vorgenommen haben. 

2. Erstellen Sie eine Batchdatei namens ResetCache.bat und führen Sie sie aus. Diese 

Batchdatei enthält lediglich eine Zeile: 

REG ADD "HKLM\System\CurrentControlSet\Services\CSC\Parameters"/v FormatDatabase /t 

REG_DWORD /d 1 /f 

Diese Batchdatei können Sie auch künftig aufrufen, wenn Sie den Inhalt Ihres Offlinedateicaches 

löschen wollen. 

3. Starten Sie Ihren Computer neu. 

4. Öffnen Sie Regedit. Fügen Sie den folgenden Eintrag im Schlüssel HKEY_LOCAL_ 

MACHINE\System\CurrentControlSet\Services\CSC\Parameters ein: 

Typ: Zeichenfolge (REG_SZ) 

Name: CacheLocation 

Wert: \??\ 

(Die Zeichenfolge muss die angegebenen Fragezeichen enthalten. Wenn Sie den 

Cache beispielsweise in E:\CSC verschieben wollen, lautet der Wert \??\E:\CSC.) 

5. Erstellen Sie unter dem Pfad, den Sie im letzten Schritt verwendet haben, den neuen 

Ordner, den Sie für Offlinedateicache verwenden. 

6. Starten Sie Ihren Computer neu. 

7. Synchronisieren Sie Ihre Offlinedateien. Bei diesem Schritt wird Ihr neuer Cache mit 

den Dateien gefüllt, die Sie offline verfügbar gemacht haben.

Konfigurieren von Offlinedateien mithilfe von Gruppenrichtlinien 


Sie können Gruppenrichtlinien verwenden, um das Verhalten von Offlinedateien anzupassen 

und dieses Verhalten in der gesamten Organisation zu erzwingen. Die Richtlinieneinstellungen 

für Offlinedateien finden Sie bei einem Gruppenrichtlinienobjekt im Knoten Computerkonfiguration\Richtlinien\Administrative 

Vorlagen\Netzwerk\Offlinedateien (Abbildung 

B.22). Dieser Bereich der Computerkonfiguration eines Gruppenrichtlinienobjekts enthält 

28 Einstellungen für Offlinedateien. Eine Teilmenge mit 15 dieser Einstellungen enthält 

auch der Zweig Benutzerkonfiguration eines Gruppenrichtlinienobjekts unter Benutzerkonfiguration\Richtlinien\Administrative 

Vorlagen\Netzwerk\Offlinedateien. Die meisten Richtlinieneinstellungen, 

die sowohl unter Computerkonfiguration als auch Benutzerkonfiguration 

vorhanden sind, sind allerdings für Windows-Versionen vor Windows Vista reserviert. 

Abbildung B.22 Einstellungen für Offlinedateien in einem Gruppenrichtlinienobjekt 

Die folgende Liste beschreibt die 10 Gruppenrichtlinieneinstellungen, die das Verhalten von 

Offlinedateien in Windows 7 steuern: 

Vom Administrator zugewiesene Offlinedateien Mit dieser Richtlinieneinstellung 

erzwingen Sie, dass bestimmte Netzwerkfreigaben oder freigegebene Dateien offline 

verfügbar sind. 

Hintergrundsynchronisierung konfigurieren Dies ist eine neue Richtlinieneinstellung 

in Windows 7 und Windows Server 2008 R2. Sie passen damit das Synchronisierungsverhalten 

für Netzwerkordner über langsame Verbindungen an. 

In der Standardeinstellung werden Netzwerkordner, die über langsame Verbindungen 

angebunden sind, alle 360 Minuten mit dem Server synchronisiert, wobei zwischen 0 

und 60 Minuten zusätzlich gewartet wird, bis die Synchronisierung beginnt. Ist diese 

Richtlinieneinstellung aktiviert, wird die Synchronisierung für Netzwerkordner, die über 

eine langsame Verbindung angebunden sind, stattdessen in den Intervallen durchgeführt, 

die in dieser Richtlinie festgelegt ist. 

Abbildung B.23 zeigt die Richtlinieneinstellung Hintergrundsynchronisierung konfigurieren.


Abbildung B.23 Die Richtlinieneinstellung Hintergrundsynchronisierung 

konfigurieren in Windows 7 

Von Offlinedateien verwendeten Speicherplatz begrenzen Erzwingt, dass ein 

Speicherplatzlimit (in der Einheit MByte) für die Verwendung durch Offlinedateien 

festgelegt wird. 

Die Funktion "Offlinedateien" zulassen bzw. nicht zulassen Erzwingt, ob das 

Offlinedateifeature aktiviert oder deaktiviert bleibt. 

Offlinedateicache verschlüsseln Erzwingt, dass die Offlinedateien im clientseitigen 

Cache verschlüsselt werden. Diese Feature wird in einigen Umgebungen benötigt, die 

sehr hohe Sicherheitsanforderungen stellen. 

Dateien aus der Zwischenspeicherung ausschließen Diese Richtlinieneinstellung ist 

neu in Windows 7 und Windows Server 2008 R2. Sie legen damit fest, welche Dateitypen 

(anhand der Dateierweiterung definiert) die Benutzer nicht offline verfügbar 

machen dürfen. 

Abbildung B.24 zeigt die Einstellung Dateien aus der Zwischenspeicherung ausschließen.


Abbildung B.24 Die Richtlinieneinstellung Dateien aus der Zwischenspeicherung 

ausschließen in Windows 7 

"Offline verfügbar machen" entfernen Löscht den Befehl Offline verfügbar machen 

aus dem Kontextmenü von Ordnern und Dateien. Diese Einstellung verhindert aber nicht, 

dass das System lokale Kopien von Dateien speichert, die für automatisches Zwischenspeichern 

ausgewählt wurden. 

Transparentes Zwischenspeichern aktivieren Diese Richtlinieneinstellung ist neu in 

Windows 7 und Windows Server 2008 R2. Sie zwingt Clients, kurzzeitig alle Netzwerkdateien 

zwischenzuspeichern, die über eine langsame Verbindung geöffnet werden. Nachfolgende 

Leseoperationen in derselben Datei werden dann aus dem lokalen Cache bedient, 

nachdem die Integrität der zwischengespeicherten Kopie überprüft wurde. Diese Richtlinie 

verbessert die Reaktionsgeschwindigkeit der Benutzeroberfläche und verringert den 

Bandbreitenverbrauch über WAN-Verbindungen (Wide Area Network) zum Server. Beachten 

Sie, dass die zwischengespeicherten Dateien rein temporäre Kopien sind, die dem 

Benutzer nicht im Offlinebetrieb zur Verfügung stehen. Die zwischengespeicherten Dateien 

werden auch nicht mit der Version auf dem Server synchronisiert. Bei nachfolgenden 

Lesevorgängen wird immer die neueste Version vom Server verwendet. 

In dieser Richtlinie definieren Sie, wann eine Verbindung als langsam eingestuft wird. 

Dazu geben Sie an, wie viele Millisekunden der Round-Trip (Netzwerklatenz) zwischen 

Client und Server dauert. Wenn Sie beispielsweise eine Netzwerklatenz von 60 einstellen, 

verwendet der Client lokal zwischengespeicherte Kopien von Offlinedateien, sobald 

die Latenz größer ist als 60 Millisekunden.


Abbildung B.25 zeigt die Richtlinieneinstellung Transparentes Zwischenspeichern 

aktivieren. 

Abbildung B.25 Die Richtlinieneinstellung Transparentes Zwischenspeichern 

aktivieren in Windows 7 

Wirtschaftliche Verwendung der vom Administrator zugewiesenen Offlinedateien 

aktivieren Erzwingt, dass nur vom Administrator zugewiesene Offlineordner bei der 

Anmeldung synchronisiert werden. 

Modus für langsame Verbindungen konfigurieren Mit dieser Richtlinie legen Sie 

fest, wann Clients den Modus für langsame Verbindungen verwenden. (Auf Computern 

mit Windows 7 oder Windows Server 2008 R2 wird der Modus für langsame Verbindungen 

standardmäßig aktiviert, wenn die Latenz 80 Millisekunden übersteigt.) Im 

Modus für langsame Verbindungen werden alle Anforderungen nach Netzwerkdateien 

aus dem Offlinedateicache bedient. Manuelle Synchronisierungen werden trotzdem 

online ausgeführt. 

Wiederherstellen der Vorgängerversionen von Dateien oder Ordnern 

Vorgängerversionen ist ein weiteres Feature von Windows 7, das die Arbeit mit Benutzerdateien 

erleichtert. Mithilfe der Vorgängerversionen können Sie in Windows 7 ganz einfach 

Versionen von Dateien oder Ordnern wiederherstellen, die automatisch in Systemwiederherstellungspunkten 

oder Datensicherungen aufgezeichnet wurden. Sie stellen die 

Vorgängerversion einer Datei oder eines Ordners wieder her, indem Sie mit der rechten 

Maustaste auf die Datei oder den Ordner klicken und den Befehl Vorgängerversionen 

wiederherstellen wählen (Abbildung B.26).

Abbildung B.26 Wiederherstellen der Vorgängerversion einer Datei 


Daraufhin wird die Registerkarte Vorgängerversionen im Eigenschaftendialogfeld der 

Datei geöffnet (Abbildung B.27). Hier werden die Vorgängerversionen der Datei aufgelistet, 

die in Datensicherungen und Wiederherstellungspunkten gespeichert wurden. 

Abbildung B.27 Auswählen der Version, 

die wiederhergestellt werden soll


Um eine Vorgängerversion wiederherzustellen, wählen Sie die Version aus, die Sie verwenden 

wollen, und klicken auf Wiederherstellen. Wenn Sie dabei eine Vorgängerversion 

gewählt haben, die in einem Wiederherstellungspunkt gespeichert wurde, öffnet sich das 

Dialogfeld aus Abbildung B.28. 

Abbildung B.28 Wiederherstellen einer Vorgängerversion, 

die in einem Wiederherstellungspunkt gespeichert wurde 

Stellen Sie dagegen eine Vorgängerversion wieder her, die im Rahmen einer Datensicherung 

gespeichert wurde, behandelt Windows diesen Vorgang als Dateikopie. Sie bekommen 

daher das Dialogfeld aus Abbildung B.29 angezeigt. 

Abbildung B.29 Wiederherstellen einer Vorgängerversion 

aus einer Datensicherung 

Beachten Sie folgende Punkte, wenn Sie Vorgängerversionen von Dateien und Ordnern 

wiederherstellen: 

Nicht alle Vorgängerversionen von Dateien und Ordnern können wiederhergestellt 

werden. Windows macht nur Dateien und Ordner verfügbar, die in Wiederherstellungspunkten 

und Datensicherungen gespeichert wurden.


Wenn Sie den Namen einer Datei ändern, müssen Sie den gesamten Ordner wiederherstellen, 

damit Sie Zugriff auf eine alte Version der Datei bekommen. 

Wiederherstellungspunkte werden vom Computerschutzfeature erstellt, das in der 

Standardeinstellung nur für das Systemvolume aktiviert ist. Sie aktivieren den 

Computerschutz für ein anderes Volume, indem Sie das Systemsteuerungselement 

System öffnen, auf Computerschutz und dann auf Konfigurieren klicken. Wählen Sie 

dann im Dialogfeld Systemschutz (Abbildung B.30) entweder die Option Systemeinstellungen 

und vorherige Dateiversionen wiederherstellen oder Nur vorherige Dateiversionen 

wiederherstellen aus. Passen Sie schließlich den Schieberegler an, um die 

maximale Belegung festzulegen, und klicken Sie auf OK. 

Abbildung B.30 Aktivieren des Computerschutzes auf einer Festplatte 

Bevor Sie eine Vorgängerversion einer Datei wiederherstellen, können Sie die Vorgängerversionen 

von Dateien öffnen, die in Wiederherstellungspunkten gespeichert 

wurden. Auf diese Weise können Sie feststellen, welche Version der Datei sich am 

besten für die Wiederherstellung eignet. Beachten Sie aber, dass Sie keine Vorgängerversionen 

von Dateien öffnen können, die in Datensicherungen gespeichert wurden. 

Wenn Sie die Vorgängerversion einer Datei oder eines Ordners wiederherstellen, 

können Sie diesen Vorgang nicht rückgängig machen. 

Wenn die Schaltfläche Wiederherstellen nicht verfügbar ist, können Sie die Vorgängerversion 

der Datei oder des Ordners nicht am ursprünglichen Speicherort wiederherstellen. 

Unter Umständen ist es aber möglich, die Datei oder den Ordner zu öffnen 

und an einem anderen Ort zu speichern. 

Wenn Sie möchten, dass die aktuelle Version einer Datei oder eines Ordners künftig 

als Vorgängerversion zur Verfügung steht, können Sie von Hand einen Wiederherstellungspunkt 

erstellen. Öffnen Sie dazu das Systemsteuerungselement System, klicken 

Sie auf Computerschutz und dann auf Erstellen (Abbildung B.31).


Abbildung B.31 Einen Wiederherstellungspunkt von Hand erstellen 

Übung Arbeiten mit Offlinedateien 

In dieser Übung machen Sie sich mit der Funktion von Offlinedateien vertraut. 

Übung 1 Arbeiten mit Offlinedateien 

In dieser Übung legen Sie eine Netzwerkfreigabe an und konfigurieren eine Datei in dieser 

Freigabe so, dass sie immer offline verfügbar ist. Dann nehmen Sie Änderungen an der Datei 

vor, während Sie im Online- und dann im Offlinebetrieb arbeiten, und sehen sich das Ergebnis 

an. Um diese Übung durchzuarbeiten, brauchen Sie: 

Einen Domänencontroller, der unter Windows Server 2008 R2 läuft. Hierfür können Sie 

den Server DC1 aus den früheren Übungen verwenden. 

Einen Windows 7-Clientcomputer, der Mitglied derselben Domäne ist. Hierfür können 

Sie den Computer CLIENT1 aus den früheren Übungen verwenden. 

1. Melden Sie sich beim Domänencontroller DC1 mit einem Domänenadministratorkonto 

an. 

2. Legen Sie im Stammverzeichnis des Laufwerks C:\ einen Ordner namens Freigabe1 an. 

3. Klicken Sie mit der rechten Maustaste auf den Ordner Freigabe1, wählen Sie im Kontextmenü 

den Befehl Freigeben für und klicken Sie auf Bestimmte Personen. 

4. Geben Sie auf der Seite Wählen Sie Benutzer im Netzwerk aus, mit denen Sie Elemente 

gemeinsam verwenden möchten des Dateifreigabe-Assistenten den Gruppennamen 

Domänen-Benutzer ein und klicken Sie auf Hinzufügen. 

5. Weisen Sie der Gruppe Domänen-Benutzer die Berechtigungsebene Lesen/Schreiben zu 

und klicken Sie auf Freigabe. 

6. Klicken Sie auf der Seite Der Ordner wurde freigegeben des Dateifreigabe-Assistenten 

auf Fertig.


7. Melden Sie sich unter einem Domänenbenutzerkonto am Windows 7-Computer CLIENT1 

an. 

8. Geben Sie im Suchfeld des Startmenüs den Pfad \\DC1\Freigabe1 ein und drücken Sie 


9. Legen Sie in Freigabe1 eine neue Textdatei namens Test1.txt an. 

10. Wählen Sie Test1.txt aus, klicken Sie die Datei mit der rechten Maustaste an und wählen 

Sie im Kontextmenü den Befehl Immer offline verfügbar. 

11. Öffnen Sie Test1.txt und fügen Sie den Text Version 1 ein. Speichern und schließen Sie 

die Datei. 

12. Wählen Sie die Datei Test1.txt aus. Klicken Sie in der Symbolleiste des Windows- 

Explorers auf Offlinebetrieb. 


die Datei. 

14. Wechseln Sie auf den Server DC1. Suchen Sie die Datei Test1.txt in Freigabe1 und 

öffnen Sie die Datei. 

Test1.txt enthält noch den Text »Version 1«. 

15. Schließen Sie Test1.txt. 

16. Wechseln Sie auf CLIENT1. Klicken Sie in der Symbolleiste des Windows-Explorers auf 

Onlinebetrieb. 

17. Klicken Sie mit der rechten Maustaste auf Test1.txt, wählen Sie im Kontextmenü Synchronisierung 

und dann Ausgewählte Offlinedateien synchronisieren. 

18. Wechseln Sie auf den Server DC1 und öffnen Sie Test1.txt. 

Test1.txt enthält nun den Text »Version 2«. 

19. Wechseln Sie auf CLIENT1 und schalten Sie wieder in den Offlinebetrieb. 


die Datei. 

21. Wechseln Sie auf den Server DC1, öffnen Sie Test1.txt und tippen Sie Version 3.1 ein. 

Speichern und schließen Sie die Datei. 

22. Wechseln Sie auf CLIENT1, schalten Sie in den Onlinebetrieb und versuchen Sie, die 

Datei zu synchronisieren. 

Das Dialogfeld Konflikt auflösen wird geöffnet und fragt nach, ob Sie eine der beiden 

Dateien oder beide behalten wollen. 

23. Klicken Sie auf Beide Versionen behalten. 

Nun taucht eine zweite Version der Datei in Freigabe1 auf. 

24. Melden Sie sich von beiden Computern ab.


Verwalten von Benutzerdaten im Netzwerk 

In einem großen Netzwerk ist wichtig, dass die Dateien und Einstellungen Ihrer Benutzer 

ständig verfügbar sind. Um dieses Ziel zu erreichen, müssen Dateien sowohl online als auch 

offline zur Verfügung stehen, wie weiter oben in diesem Anhang beschrieben. Es ist aber 

auch wichtig, dass die Benutzer auf jedem Computer im Netzwerk Zugriff auf ihre Dateien 

und Einstellungen haben. 

Dieser Abschnitt stellt zwei Methoden vor, die sich gegenseitig ergänzen: servergespeicherte 

Benutzerprofile und Ordnerumleitung. Beide dienen dazu, die Daten eines Benutzers im 

gesamten Netzwerk verfügbar zu machen. 

Grundlagen der Benutzerprofile in Windows 7 

Allgemein ausgedrückt, umfasst ein Benutzerprofil alle Daten, aus denen sich die individuelle 

Umgebung eines Benutzers zusammensetzt: die einzelnen Dateien des Benutzers, seine 

Anwendungseinstellungen und die Desktopkonfiguration. Etwas genauer betrachtet, ist ein 

Benutzerprofil der Inhalt des persönlichen Ordners. Dieser Ordner wird von Windows automatisch 

erstellt und trägt den Namen des jeweiligen Benutzers. In der Standardeinstellung 

wird dieser persönliche Ordner im Ordner C:\Users (im Windows-Explorer der deutschen 

Version als Benutzer angezeigt) angelegt, sobald sich ein Benutzer zum ersten Mal an einem 

Windows 7-Computer anmeldet. Er enthält Unterordner wie Documents, Desktop und 

Downloads sowie eine persönliche Datendatei namens Ntuser.dat. Wenn der Name eines 

Benutzers zum Beispiel StefanH lautet, werden die Daten, die seine persönliche Umgebung 

bilden, standardmäßig in einem Ordner namens C:\Users\StefanH gespeichert. Einen Ausschnitt 

dieses Ordners sehen Sie in Abbildung B.32. 

Abbildung B.32 Ein Benutzerprofil

Verwalten von Benutzerdaten im Netzwerk 427 

Zwar wird jedes Benutzerprofil standardmäßig in C:\Users gespeichert, aber dieser Standardspeicherort 

ist für Unternehmensumgebungen oft ungeeignet, insbesondere wenn 

Benutzer oft den Computer wechseln. Im Idealfall begleiten Dokumente und Einstellungen 

den Benutzer von Computer zu Computer, sodass sie nicht auf einen einzelnen Computer 

beschränkt bleiben, sondern sich über mehrere Computer verteilen. Damit die Dokumente 

und Einstellungen dem Benutzer in einer Organisation auf diese Weise überall zur Verfügung 

stehen, haben Netzwerkadministratoren in einer Domänenumgebung bisher immer 

servergespeicherte Benutzerprofile konfiguriert. Ein servergespeichertes Benutzerprofil 

(roaming user profile) ist ein Profil, das in einer Netzwerkfreigabe gespeichert ist und auf 

das ein Benutzer Zugriff hat, sobald er sich an irgendeinem Computer im Netzwerk anmeldet. 

Um Domänenbenutzerkonten mit servergespeicherten Benutzerprofilen zu konfigurieren, 

brauchen Sie lediglich die Eigenschaften dieser Konten so zu ändern, dass die Profile 

statt auf dem lokalen Computer in einer zentralen Netzwerkfreigabe gespeichert sind. Dann 

wird der persönliche Ordner, der die Dokumente und Einstellungen eines Benutzers enthält, 

jedes Mal von der Netzwerkfreigabe auf den lokalen Computer heruntergeladen, wenn sich 

der Benutzer irgendwo anmeldet. Es ist also ganz egal, auf welchem Domänencomputer sich 

der Benutzer anmeldet. Alle Änderungen, die am Benutzerprofil vorgenommen wurden, 

werden anschließend wieder in die zentrale Netzwerkfreigabe zurückkopiert, wenn sich der 

Benutzer abmeldet. 

In allen Windows-Versionen vor Windows 7 wurden Änderungen, die am Benutzerprofil 

vorgenommen wurden, erst dann in die zentrale Netzwerkfreigabe kopiert, wenn sich der 

Benutzer abmeldete. In einem Netzwerk, das Clients mit Windows 7 und Server mit Windows 

Server 2008 R2 enthält, können die Änderungen an den Benutzereinstellungen dagegen 

auch regelmäßig mit einer Remotenetzwerkfreigabe synchronisiert werden. Dieses Feature 

wird im Abschnitt »Hintergrundsynchronisierung servergespeicherter Benutzerprofile in 

Windows 7« weiter unten in diesem Anhang beschrieben. 

Abbildung B.33 Ein servergespeichertes Benutzerprofil 

wird in den Eigenschaften des Benutzerkontos konfiguriert


Abbildung B.33 zeigt ein Benutzerkonto, das mit einem servergespeicherten Benutzerprofil 

konfiguriert ist. 

Änderungen an Benutzerprofilen seit Windows Vista 

In Windows Vista wurden umfassende Änderungen an Speicherort, Aufbau und Inhalt der 

Benutzerprofile eingeführt. Gegenüber diesen Änderungen in Windows Vista sind Änderungen 

an Benutzerprofilen, die in Windows 7 vorgenommen wurden, vergleichsweise gering. 

Aber viele Firmen, die Windows 7 bereitstellen, verwenden bisher nur ältere Betriebssysteme 

als Windows Vista, also beispielsweise Windows XP und Windows Server 2003. Aus 

diesem Grund müssen Sie wissen, welche Unterschiede im Bereich der Benutzerprofile 

zwischen älteren Betriebssystemen als Windows Vista und Betriebssystemen ab Windows 

Vista bestehen. Ab Windows Vista wurden die Benutzerprofildaten neu organisiert und an 

anderen Stellen innerhalb der Windows-Dateistruktur gespeichert. 

Die folgende Liste fasst zusammen, welche Änderungen in Windows Vista und Windows 7 

im Bereich der Windows-Benutzerprofile eingeführt wurden: 

Der Stamm des Benutzerprofilnamespace wurde von %SystemDrive%\Dokumente und 

Einstellungen nach %SystemDrive%\Users verlegt. Das bedeutet zum Beispiel, dass der 

Profilordner des Benutzers Michael Allen (mallen@contoso.com) nun unter %System- 

Drive%\Users\mallen zu finden ist und nicht mehr unter %SystemDrive%\Dokumente 

und Einstellungen\mallen. 

Das Präfix Eigene (oder My) mancher Ordner wurde weggelassen, um die Oberfläche 

übersichtlicher zu gestalten. Dokumente werden nun zum Beispiel im Ordner Dokumente 

gespeichert und nicht mehr in Eigene Dateien. Beachten Sie, dass diese Ordner 

unter Windows Vista nicht nur im Windows-Explorer ohne das Präfix Eigene (oder My) 

angezeigt werden, sondern auch in einer Eingabeaufforderung. Beginnend mit Windows 7 

weisen diese Ordner aber ein Eigene-Präfix auf, wenn sie im Windows-Explorer angezeigt 

werden. Bei der Anzeige in einer Eingabeaufforderung ist dies nicht der Fall. 

Anders gesagt: Der Windows-Explorer von Windows 7 stellt den Namen dieser Ordner 

bei der Darstellung ein Eigene-Präfix voran, während die Ordner im zugrundeliegenden 

Dateisystem dieses Namenspräfix nicht tragen. 

Die neuen Versionen der Ordner Eigene Musik, Eigene Bilder und Eigene Videos sind 

unter Windows Vista und höher nicht mehr Unterordner von Eigene Dateien. Stattdessen 

werden diese und andere vom Benutzer verwaltete Datenordner nun im Stammordner 

des Benutzerprofils gespeichert und befinden sich auf derselben Stufe wie der Ordner 

Dokumente. Der Benutzerprofilnamespace wurde auf diese Weise flacher gemacht, um 

eine bessere Trennung zwischen vom Benutzer verwalteten Daten und Anwendungseinstellungen 

zu erreichen und die Ordnerumleitung zu vereinfachen. 

Unter dem Stammordner des Benutzerprofils wurden neue Unterordner angelegt, um die 

Organisation der vom Benutzer verwalteten Daten und Einstellungen übersichtlicher zu 

gestalten und nach Möglichkeit zu verhindern, dass Benutzer oder Anwendungen Daten 

im falschen Ordner des Benutzerprofils speichern. Die folgenden Unterordner wurden 

seit Windows Vista neu ins Profil aufgenommen: 

Kontakte Standardspeicherort für Kontaktinformationen des Benutzers 

Downloads Standardspeicherort für alles, was heruntergeladen wird 

Suchvorgänge Standardspeicherort für gespeicherte Suchvorgänge

Links Standardspeicherort für Explorerfavoriten 


Gespeicherte Spiele Standardspeicherort für gespeicherte Spiele 

Ein neuer verborgener Ordner namens AppData unter dem Profilstamm dient als zentraler 

Speicherort für alle benutzerspezifischen Anwendungseinstellungen und Binärdateien. 

Außerdem gibt es unter AppData folgende drei Unterordner, um eine bessere Trennung 

der Zustandsdaten zu erreichen und die Übernahme der Anwendungsdaten auf andere 

Computer zu erleichtern: 

Local Dieser Ordner speichert computerspezifische Anwendungsdaten und -einstellungen, 

die dem Benutzer nicht folgen können (oder sollen), sowie vom Benutzer 

verwaltete Daten oder Einstellungen, die zu umfangreich sind, um auf andere Computer 

übernommen zu werden. Der Ordner AppData\Local in einem Benutzerprofil 

unter Windows Vista oder höher lässt sich mit dem Ordner Lokale Einstellungen\ 

Anwendungsdaten unter dem Stammordner eines Windows XP-Benutzerprofils 

vergleichen. 

Roaming Dieser Ordner speichert benutzerspezifische Anwendungsdaten und -einstellungen, 

die dem Benutzer folgen sollen (oder müssen), wenn servergespeicherte 

Benutzerprofile verwendet werden. Der Ordner AppData\Roaming eines Benutzerprofils 

unter Windows Vista oder höher gleicht dem Ordner Anwendungsdaten unter 

dem Stammordner eines Windows XP-Benutzerprofils. 

LocalLow Dieser Ordner ermöglicht Prozessen mit niedriger Integritätseinstufung 

Schreibzugriff. Prozesse mit niedriger Integritätseinstufung führen Aufgaben durch, 

die für das Betriebssystem potenziell gefährlich sind. Beispielsweise müssen Anwendungen, 

die im geschützten Modus des Internet Explorers gestartet werden, zur Speicherung 

von Anwendungsdaten und -einstellungen diesen Profilordner verwenden. 

Für den Profilordner LocalLow gibt es in Windows XP keine Entsprechung. 

Das Profil Alle Benutzer wurde in Public umbenannt. Das Profil Public bietet die Möglichkeit, 

Daten zu allen Benutzerprofilen hinzuzufügen, ohne jedes Benutzerprofil einzeln 

bearbeiten zu müssen. Wenn Sie also eine Verknüpfung zum Desktop des Profils Public 

hinzufügen, bekommen alle Benutzer diese Verknüpfung auf ihrem Desktop angezeigt, 

sobald sie sich anmelden. 

Benutzer können nun auf einfache und sichere Weise einzelne Dateien aus ihren Profilordnern 

und Unterordnern freigeben. 

Das Profil Default User wurde in Default umbenannt. Wie das Profil Default User von 

Windows XP wird das Profil Default von Windows Vista und höher nie geladen, sondern 

bei der Erstellung eines neuen Profils kopiert. Das Profil Default dient als Vorlage, wenn 

sich ein Benutzer das erste Mal am Computer anmeldet und sein Benutzerprofil erstellt 

wird. 

Tabelle B.1 fasst die vielen Unterschiede zwischen Benutzerprofilen in Windows-Versionen 

vor Windows Vista und ab Windows Vista zusammen. (Beachten Sie, dass einige der in Tabelle 

B.1 aufgeführten Ordner in der Standardeinstellung nicht angezeigt werden.)


Tabelle B.1 Änderungen am Benutzerprofil in Windows 

Position im Benutzerprofilordner 

von Windows Vista, 

Windows Server 2008 und 

Windows 7 (unter \Users\ 

Benutzername) 


von Windows 2000, 

Windows XP und Windows 

Server 2003 (deutsche Version, 

unter \Dokumente und 

Einstellungen\Benutzername\) 




Server 2003 (englische Version, 

unter \Documents and Settings\ 

Benutzername\) 

. . .\AppData\Roaming ...\Anwendungsdaten . . .\Application Data 

. . .\AppData\Local . . .\Lokale Einstellungen\ 

Anwendungsdaten 

. . .\AppData\Local\Microsoft\ 

Windows\History 

. . .\Local Settings\Application 

Data 

. . .\Lokale Einstellungen\Verlauf . . .\Local Settings\History 

. . .\AppData\Local\Temp . . .\Lokale Einstellungen\Temp . . .\Local Settings\Temp 

. . .\AppData\Local\Microsoft\ 

Windows\Temporary Internet 

Files 

. . .\AppData\Roaming\Microsoft 

\Windows\Cookies 

. . .\AppData\Roaming\Microsoft 

\Windows\Libraries (nur 

Windows 7 und Windows 

Server 2008 R2) 

. . .\AppData\Roaming\ 

Microsoft\Windows\Network 

Shortcuts 


Microsoft\Windows\Printer 

Shortcuts 


Microsoft\Windows\Recent 

Items 

. . .\Lokale Einstellungen\ 

Temporary Internet Files 

. . .\Cookies . . .\Cookies 

. . .\Local Settings\Temporary 

Internet Files 

Nicht vorhanden Nicht vorhanden 

. . .\Netzwerkumgebung . . .\Nethood 

. . .\Druckumgebung . . .\PrintHood 

. . .\Zuletzt verwendete Dokumente 

. . .\Recent 


Microsoft\Windows\Send To 

. . .\SendTo . . .\SendTo 


Microsoft\Windows\Start Menu 

. . .\Startmenü . . .\Start Menu 


Microsoft\Windows\Templates 

. . .\Vorlagen . . .\Templates 

. . .\Contacts Nicht vorhanden Nicht vorhanden 

. . .\Desktop . . .\Desktop . . .\Desktop 

. . .\My Documents (nur 

Documents in Windows Vista 

und Windows Server 2008 R1) 

. . .\Eigene Dateien . . .\My Documents 

. . .\Downloads Nicht vorhanden Nicht vorhanden 

. . .\Favorites . . .\Favoriten . . .\Favorites


von Windows Vista, 

Windows Server 2008 und 

Windows 7 (unter \Users\ 

Benutzername) 

. . .\My Music (nur Music in 

Windows Vista und Windows 


. . .\My Videos (nur Videos in 



. . .\My Pictures (nur Pictures in 






Server 2003 (deutsche Version, 

unter \Dokumente und 

Einstellungen\Benutzername\) 


. . .\Eigene Musik . . .\My Music 

. . .\Eigene Videos . . .\My Videos 

. . .\Eigene Bilder . . .\My Pictures 




Server 2003 (englische Version, 

unter \Documents and Settings\ 

Benutzername\) 

. . .\Searches Nicht vorhanden Nicht vorhanden 

. . .\Links Nicht vorhanden Nicht vorhanden 

. . .\Saved Games Nicht vorhanden Nicht vorhanden 

Hintergrundsynchronisierung servergespeicherter Benutzerprofile in Windows 7 

Eine andere wichtige Änderung bei den Benutzerprofilen betrifft direkt die servergespeicherten 

Benutzerprofile. Ab Windows 7 ist es möglich, die aktuellen Benutzereinstellungen 

(die in der Datei Ntuser.dat gespeichert sind) von Benutzern, die servergespeicherte Benutzerprofile 

haben, regelmäßig mit dem Server zu synchronisieren, während diese Benutzer 

auf ihrem Computer angemeldet sind. Das ist eine Änderung gegenüber den servergespeicherten 

Benutzerprofilen in Windows Vista und älteren Versionen, wo servergespeicherte 

Benutzerprofile erst beim Abmelden mit dem Server synchronisiert wurden. 

Die Hintergrundsynchronisierung servergespeicherter Benutzerprofile ist in Windows 7 

standardmäßig deaktiviert. Sie kann auf den Zielcomputern mithilfe von Gruppenrichtlinien 

aktiviert werden. Die folgende Gruppenrichtlinieneinstellung steuert dieses Verhalten: 

Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Benutzerprofile\ 

Registrierungsdatei für servergespeichertes Benutzerprofil im Hintergrund hochladen, 

während Benutzer angemeldet ist 

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Hintergrundsynchronisierung 

servergespeicherter Benutzerprofile so konfigurieren, dass die Synchronisierung nach 

einem der folgenden Zeitpläne erfolgt: 

Fester Zeitabstand (Standardeinstellung 12 Stunden, möglich sind Intervalle von 1 bis 

720 Stunden) 

Bestimmte Uhrzeit (Standardeinstellung 3:00 Uhr nachts) 

Bibliotheken in Windows 7 

Eine der wichtigsten Neuerungen in den Windows 7-Profilen sind die Bibliotheken. Dieses 

Feature bietet einfachen Zugriff auf wichtige Dateien und Ordner auf der lokalen Festplatte 

und in Netzwerkfreigaben. In Windows 7 enthält das Startmenü in der Standardeinstellung


Verknüpfungen zu den Bibliotheken Dokumente, Musik und Bilder. Alle vier Bibliotheken 

werden außerdem immer aufgelistet, wenn Sie den Windows-Explorer öffnen (Abbildung 

B.34). 

Abbildung B.34 Die vier Standardbibliotheken in Windows 7 

Beachten Sie, dass diese Bibliotheken nicht einfach Verknüpfungen zu Ordnern des jeweiligen 

Namens sind. So ist die Bibliothek Dokumente keine simple Verknüpfung mit dem Ordner 

Documents, sondern sie enthält alle Dateien und Ordner, die (in der Standardeinstellung) 

an zwei Stellen gespeichert sind: 

Dokumente Der Ordner C:\Users\\Documents im Profil des Benutzers 

Öffentliche Dokumente Auf den Ordner C:\Users\Public\Documents kann jeder 

Benutzer zugreifen, der interaktiv am Computer angemeldet ist 

Anders ausgedrückt: Wenn Sie die Bibliothek Dokumente öffnen, bekommen Sie standardmäßig 

den kombinierten Inhalt der Ordner Dokumente und Öffentliche Dokumente angezeigt. 

Die anderen Standardbibliotheken funktionieren ähnlich: Die Bibliothek Bilder umfasst in 

der Standardeinstellung die Inhalte der Ordner Eigene Bilder und Öffentliche Bilder, die 

Bibliothek Videos standardmäßig die Inhalte der Ordner Eigene Videos und Öffentliche Videos 

und so weiter. 

Sie können neue Bibliotheken erstellen oder den Inhalt einer vorhandenen Bibliothek ändern, 

indem Sie Ordner zur Bibliothek hinzufügen. Danach wird der Inhalt dieses Ordners innerhalb 

der Bibliothek angezeigt und er kann in der Bibliothek durchsucht werden. 

Inkompatibilitäten beim servergespeicherten Benutzerprofil 

Dass sich die Benutzerprofile so deutlich geändert haben, ist ein ganz wichtiger Punkt bei 

der Windows 7-Bereitstellung, weil Windows 7 (ebenso wie Windows Vista und Windows 

Server 2008) nicht dieselben servergespeicherten Profile für Benutzer verwenden können 

wie Windows-Versionen, die älter sind als Windows Vista. Diese Inkompatibilität kann Probleme 

verursachen, wenn Sie Windows 7 gerade in einem Netzwerk bereitgestellt haben, das 

vorher nur Microsoft Windows 2000, Windows XP und Windows Server 2003 enthielt. Immer 

wenn sich ein Benutzer, für den Sie ein servergespeichertes Benutzerprofil konfiguriert haben, 

in diesem Fall an einem Windows 7-Computer anmeldet, wird ein zweiter Benutzerprofil-


ordner namens .V2 in der zentralen Netzwerkfreigabe erstellt. Dieser 

Benutzerprofilordner wird ausschließlich für Windows 7 verwendet. Auf die Daten, die in 

diesem neuen Ordner gespeichert sind, kann der Benutzer nicht zugreifen, während er an 

einem Computer angemeldet ist, der unter Windows 2000, Windows XP oder Windows 

Server 2003 läuft. 

Nehmen wir an, dass für den Benutzer CLee vor der Windows 7-Bereitstellung ein servergespeichertes 

Benutzerprofil konfiguriert war. Er kann sich also an jedem beliebigen Windows 

2000-, Windows XP- oder Windows Server 2003-Computer im Unternehmen anmelden und 

bekommt unter anderem immer denselben Desktop und denselben Dokumenteordner angezeigt. 

In einer zentralen Netzwerkfreigabe sind alle Dokumente und Einstellungen von CLee 

in einem Profil namens CLee gespeichert. Nachdem Sie nun Windows 7 in der Organisation 

bereitgestellt haben, bekommt CLee standardmäßig überhaupt keine Elemente seiner vertrauten 

Umgebung angezeigt, wenn er sich an einem Windows 7-Computer anmeldet: Sein 

Desktop hat sich geändert und er findet keines seiner Dokumente. In der zentralen Netzwerkfreigabe 

gibt es nun neben dem Ordner CLee einen neuen Ordner namens CLee.V2. Alle 

Änderungen, die CLee an seiner neuen Windows 7-Umgebung vornimmt, begleiten ihn auch 

auf andere Windows 7-Computer, aber diese Dokumente und Einstellungen werden getrennt 

von denen verwaltet, die ihm in Windows 2000, Windows XP und Windows Server 2003 zur 

Verfügung stehen. 

Abbildung B.35 zeigt, wie die Ordner für servergespeicherte Benutzerprofile in Windows 7 

und Windows XP parallel verwaltet werden. 

Abbildung B.35 Ordner des servergespeicherten 

Benutzerprofils für Windows XP und Windows 7 

Weitere Einschränkungen von servergespeicherten Benutzerprofilen 

Neben der fehlenden Kompatibilität zwischen den servergespeicherten Benutzerprofilen in 

Windows 7 und älteren Windows-Versionen als Windows Vista gibt es weitere wichtige Einschränkungen 

im Zusammenhang mit herkömmlichen servergespeicherten Benutzerprofilen, 

die bei allen Windows-Versionen auftreten: 

Langsame An- und Abmeldung Wenn ein Benutzer, für den ein servergespeichertes 

Benutzerprofil konfiguriert ist, sich an einer Domäne anmeldet, werden alle Daten, die


im Benutzerprofil enthalten sind, von der Netzwerkfreigabe auf den lokalen Computer 

kopiert. Dieser Vorgang kann zur Folge haben, dass die Anmeldung langsam ist, insbesondere 

wenn das Benutzerprofil über 20 MByte groß wird. Wenn sich ein Benutzer vom 

System abmeldet, muss das Profil wieder in die Netzwerkfreigabe zurückkopiert werden. 

Dieser Vorgang kann die Abmeldung verzögern. 

Echtzeitdatensynchronisierung mit älteren Windows-Versionen Bei allen Windows- 

Versionen vor Windows 7 und Windows Server 2008 R2 werden bei der Verwendung 

von servergespeicherten Benutzerprofilen alle Änderungen, die der Benutzer an seinen 

Dokumenten und Einstellungen vornimmt, erst dann in die zentrale Netzwerkfreigabe 

zurückgeschrieben, wenn sich der Benutzer wieder abmeldet. Diese fehlende Echtzeitdatensynchronisierung 

kann Probleme für Benutzer verursachen, die im Rahmen ihrer 

Arbeit häufig von einem Computer zum anderen wechseln. 

Netzwerkprobleme können den Zugriff auf Profildaten verhindern Falls Netzwerkprobleme 

auftreten, während sich ein Benutzer, für den ein servergespeichertes Benutzerprofil 

konfiguriert ist, an einem Computer anmeldet, wird das servergespeicherte Benutzerprofil 

nicht geladen. Stattdessen wird für diesen Benutzer unter Umständen automatisch 

ein neues Profil auf dem lokalen System angelegt. Wenn bei künftigen Sitzungen 

der Zugriff auf die Netzwerkfreigabe wieder möglich ist, kann der Benutzer dann nicht 

mehr auf die Daten zugreifen, die er während dieser Anmeldesitzung abgespeichert hat. 

Fehlende Automatisierung für servergespeicherte Benutzerprofile Sie können 

zwar servergespeicherte Benutzerprofile für viele vorhandene Konten gleichzeitig konfigurieren, 

aber Windows bietet keine eingebaute Methode, für neu erstellte Benutzer 

standardmäßig ein servergespeichertes Benutzerprofil einzurichten. Diese fehlende 

Automatisierungsmöglichkeit verursacht höheren Verwaltungsaufwand und steigert die 

Gefahr einer Fehlkonfiguration. 

Um diese Einschränkungen von servergespeicherten Benutzerprofilen zu umgehen, können 

Sie ein Feature namens Ordnerumleitung nutzen. Es kann servergespeicherte Benutzerprofile 

entweder ersetzen oder ergänzen. 

Grundlagen der Ordnerumleitung in Windows 7 

Die Ordnerumleitung (folder redirection) ist ein Windows-Feature, das Ihnen erlaubt, die 

Zielposition von Benutzerprofilordnern so zu verändern, dass dies für den Benutzer transparent 

abläuft. Hat ein Administrator zum Beispiel Ihren Ordner C:\Users\\ 

My Documents auf eine zentrale Netzwerkfreigabe umgeleitet, bekommen Sie den Ordner 

My Documents trotzdem in derselben Position auf Ihrem lokalen Computer angezeigt. Aber 

jedes Mal, wenn Sie diesen Ordner öffnen, zeigt das Fenster den Inhalt an, der auf der umgeleiteten 

Position in der zentralen Netzwerkfreigabe gespeichert ist. Die Ordnerumleitung 

verwandelt die ausgewählten Benutzerprofilordner damit praktisch in Verknüpfungen, die 

auf Netzwerkfreigaben verweisen. Wenn sich der Benutzer anmeldet, wird nur die Verknüpfung 

geladen, nicht der Inhalt der Remotefreigabe. 

Sie können die Ordnerumleitung für Domänenbenutzer über Gruppenrichtlinien konfigurieren 

und erzwingen. Abbildung B.36 zeigt, welche Ordner Sie mithilfe von Gruppenrichtlinien 

umleiten können.

Abbildung B.36 Ordnerumleitung in Windows 7 


Wenn die Ordnerumleitung konfiguriert ist, bietet sie gegenüber herkömmlichen servergespeicherten 

Benutzerprofilen eine Reihe wichtiger Vorteile: 

Kompatibilität zwischen Windows 7 und älteren Windows-Versionen In Windows 7 

können Sie die Ordnerumleitung so konfigurieren, dass die meisten wichtigen Elemente 

eines Benutzerprofils von allen Versionen ab Windows 2000 aus verfügbar sind. Zum 

Beispiel können Sie konfigurieren, dass Ihre Ordner für Anwendungsdaten, Desktop, 

Startmenü und Dokumente auf einen bestimmten Satz Ordner in einem Netzwerkserver 

umgeleitet werden, und zwar ganz unabhängig davon, ob Sie sich an einem Windows XPoder 

einem Windows 7-Computer anmelden. Die Ordnerumleitung ist daher eine unverzichtbare 

Methode, Datenkonsistenz für Benutzer zu gewährleisten, die abwechselnd mit 

Windows 7-Computern und Windows 2000-, XP- oder Server 2003-Computern arbeiten. 

Schnellere Anmeldung Wenn Sie Ordner wie My Documents umleiten, werden diese 

Daten getrennt vom Benutzerprofil verwaltet. Diese umgeleiteten Daten werden niemals 

bei der Anmeldung am lokalen Computer heruntergeladen, selbst wenn Sie zusätzlich 

servergespeicherte Benutzerprofile konfigurieren. Stattdessen wird nur bei Bedarf auf 

die Daten zugegriffen. Das ähnelt dem Zugriff auf eine Netzwerkfreigabe über eine 

Desktopverknüpfung: Die Desktopverknüpfung selbst ist Teil des Benutzerprofils, aber 

nicht die Daten hinter dieser Verknüpfung. 

Dieselben Faktoren, die für eine schnellere Anmeldung verantwortlich sind, beschleunigen 

auch die Abmeldung. 

Echtzeitdatensynchronisierung Die Ordnerumleitung aktiviert Offlinedateien, sofern 

sie noch nicht aktiviert sind. Die Kombination aus Ordnerumleitung und Offlinedateien 

erlaubt es Benutzern, alle Änderungen, die sie an den umgeleiteten Daten vornehmen, 

direkt auf anderen Computern zu verfolgen, auf denen sie gleichzeitig angemeldet sind. 

Bei Netzwerkproblemen gehen keine Daten verloren Falls Netzwerkprobleme verhindern, 

dass ein Benutzer eine Verbindung zu einem umgeleiteten Ordner herstellt, kann 

der Benutzer auf lokale Kopien der Daten zugreifen, die über Offlinedateien zur Verfügung 

gestellt werden. Diese Daten werden später automatisch synchronisiert, sobald 

die Netzwerkverbindung wiederhergestellt ist. Wenn Sie das Feature der Offlinedateien 

ausschalten oder die Daten niemals synchronisiert wurden, bekommt der Benutzer einfach 

eine Fehlermeldung, dass er keine Verbindung zu den Quelldaten herstellen kann. In


beiden Fällen führt der Ausfall einer Netzwerkverbindung nicht dazu, dass Daten der 

umgeleiteten Ordner über verschiedene Benutzerprofile verteilt werden. 

Ordnerumleitung kann über Gruppenrichtlinien automatisiert werden Indem Sie 

die Ordnerumleitung in einer Domänenumgebung mithilfe von Gruppenrichtlinien konfigurieren, 

können Sie sicherstellen, dass das Feature sowohl für die aktuellen Benutzer 

als auch für neue Benutzer eingesetzt wird, auf die die jeweilige Richtlinie angewendet 

wird. 

Verbesserungen an der Ordnerumleitung in Windows 7 

Die Ordnerumleitung wies unter Windows Vista und älteren Windows-Versionen einen 

großen Nachteil auf, nämlich die potenziell schlechte Leistung bei der ersten Anmeldung 

eines Benutzers nach der Aktivierung der Ordnerumleitung. Das liegt daran, dass sich der 

Benutzer unter Windows Vista und älteren Versionen so lange nicht anmelden kann, bis alle 

seine umgeleiteten Daten zum Server übertragen wurden. Für Benutzer mit großen Datenmengen 

können sich durchaus lange Wartezeiten ergeben, in denen sie nicht mit ihren Computern 

arbeiten können. Besonders frustrierend ist dies natürlich für Benutzer, die sich über 

eine langsame Verbindung anmelden. Wenn der Benutzer über eine große Datenmenge verfügt, 

die umgeleitet werden muss, kann es bei der ersten Anmeldung nach der Aktivierung 

der Ordnerumleitung 1 Stunde oder länger dauern, bis der Desktop des Benutzers erscheint. 

Beginnend mit Windows 7 erfolgt die erste Anmeldung nach der Aktivierung der Ordnerumleitung 

deutlich schneller. Die umgeleiteten Daten werden nun zuerst auf dem Computer des 

Benutzers in einen lokalen Zwischenspeicher für Offlinedateien kopiert. Dieser Vorgang ist 

wesentlich schneller als das Kopieren der Daten über das Netzwerk auf den Server. Anschließend 

erscheint der Desktop des Benutzers und der Zwischenspeicher für Offlinedateien lädt 

die umgeleiteten Daten des Benutzers im Rahmen der Synchronisation von Offlinedateien 

zum Server hoch, bis alle Daten kopiert sind. 

Zu den Erweiterungen von Windows 7, mit denen die erste Anmeldung nach der Aktivierung 

der Ordnerumleitung verbessert werden soll, gehören auch folgende: 

Bevor Windows versucht, die umgeleiteten Daten des Benutzers in den lokalen Zwischenspeicher 

für Offlinedateien zu kopieren, überprüft es, ob der Zwischenspeicher 

groß genug ist, um diese Daten aufzunehmen. Wenn die Daten nicht in den Zwischenspeicher 

passen, werden sie während der Anmeldung zum Server hochgeladen. Das 

entspricht dem Verhalten, das auch Windows Vista aufweist. Daraus ergibt sich unter 

Umständen wieder eine längere Verzögerung, bis der Desktop des Benutzers erscheint. 

Wenn der lokale Zwischenspeicher für Offlinedateien auf dem Computer des Benutzers 

deaktiviert wurde, überprüft Windows nun, ob es auf dem Server genügend Platz für die 

Benutzerdaten gibt, bevor es versucht, die Daten zum Server hochzuladen. Verfügt der 

Server nicht über genügend Speicherplatz, werden die Daten nicht hochgeladen und der 

Desktop des Benutzers wird schnell sichtbar. Im Ereignisprotokoll wird eine entsprechende 

Ereignismeldung protokolliert, die besagt, dass die Anmeldung ohne Umleitung 

von Daten erfolgte. 

Da Offlinedateien auf Windows 7-Computern in der Standardeinstellung aktiviert sind, zeigt 

sich auch diese verbesserte Leistung bei der ersten Anmeldung nach der Aktivierung der Ordnerumleitung 

standardmäßig.

Schnelltest 


1. Warum wird der Anmeldevorgang für Benutzer, bei denen servergespeicherte Benutzerprofile 

konfiguriert sind, durch die Verwendung der Ordnerumleitung beschleunigt? 

2. Richtig oder Falsch? Die Ordnerumleitung kann mit oder ohne servergespeicherte 

Benutzerprofile eingesetzt werden. 


1. Die Ordnerumleitung trennt Daten vom servergespeicherten Benutzerprofil, sodass 

weniger Daten auf den lokalen Desktopcomputer heruntergeladen werden müssen. 

2. Richtig. 

Konfigurieren der Ordnerumleitung 

Windows Server 2008 enthält in der Gruppenrichtlinien-Verwaltungskonsole einen neuen 

Knoten für die Ordnerumleitung. Hier können Sie die Ordnerumleitung für Clients konfigurieren, 

die unter allen Versionen ab Windows 2000 laufen. Es stehen für jeden Ordner, der 

im Knoten Ordnerumleitung aufgeführt ist, folgende Einstellungen zur Auswahl: 

Nicht konfiguriert Die Einstellung Nicht konfiguriert steht für die Ordnerumleitung 

bei allen Ordnern zur Verfügung, die im Snap-In aufgeführt sind. Wenn Sie diese Option 

auswählen, setzen Sie die Ordnerumleitungsrichtlinie für den Ordner auf ihre Standardeinstellung 

zurück. Bei Ordnern, die über diese Richtlinie vorher umgeleitet wurden, 

bleibt die Umleitung erhalten. Benutzerordner auf Clients, denen die Ordnerumleitungsrichtlinie 

bisher nicht bekannt war, bleiben lokal, sofern nicht eine andere Richtlinie zum 

Einsatz kommt. 

Standard Mit dieser Einstellung können Sie den ausgewählten Ordner für alle Benutzer 

auf dieselbe Freigabe umleiten. 

Abbildung B.37 Erweiterte Umleitung


Erweitert Eine erweiterte Umleitung verwenden Sie, wenn Sie den ausgewählten 

Ordner für unterschiedliche Sicherheitsgruppen an eine jeweils andere Position umleiten 

wollen. Zum Beispiel können Sie mithilfe der erweiterten Ordnerumleitung die Ordner 

der Buchhaltungsabteilung auf den Server Finance und die Ordner der Vertriebsabteilung 

auf den Server Marketing umleiten. 

Abbildung B.37 zeigt ein Beispiel für einen Ordner, bei dem die erweiterte Umleitung 

konfiguriert ist. Dabei ist %UserName% eine Umgebungsvariable, die einen eindeutigen 

Pfad anhand des Benutzernamens zurückgibt. 

Dem Ordner Dokumente folgen Die Ordner Musik, Bilder und Videos unterstützen 

eine weitere Ordnerumleitungseinstellung, nämlich Dem Ordner Dokumente folgen. 

Diese Einstellung leitet die Ordner Musik, Bilder und Videos als Unterordner des Ordners 

Eigene Dokumente um. Diese Ordnerumleitung bewirkt, dass der ausgewählte 

Ordner die Ordnerumleitungsoptionen vom Ordner Eigene Dokumente erbt. Die Ordnerumleitungsoptionen 

für den ausgewählten Ordner selbst werden deaktiviert. 

Abbildung B.38 zeigt, wie die Einstellung Dem Ordner Dokumente folgen ausgewählt 

wird. 

Abbildung B.38 Die Einstellung Dem Ordner Dokumente folgen 

Konfigurieren eines Zielordners 

Sofern Sie für einen Ordner nicht die Einstellung Dem Ordner Dokumente folgen gewählt 

haben, müssen Sie für diesen Ordner eine Zielposition konfigurieren. Windows 7 stellt vier 

Möglichkeiten zur Auswahl, wenn Sie die Zielposition für einen Ordner angeben: 

Einen Ordner für jeden Benutzer im Stammpfad erstellen Bei dieser Option wird 

der ausgewählte Ordner an die Position umgeleitet, die Sie im Textfeld Stammverzeichnis 

angeben. Außerdem wird ein Ordner angelegt, der dieselbe Bezeichnung trägt wie 

der Benutzeranmeldename. Wenn Sie beispielsweise den Ordner Eigene Dokumente in 

den Stammpfad von \\Server\Freigabe umleiten, legt die Ordnerumleitung den Eigene 

Dokumente-Ordner unter dem Pfad \\Server\Freigabe\ an.


An folgenden Pfad umleiten Der angegebene Ordner wird in genau den Pfad umgeleitet, 

der im Feld Stammverzeichnis angegeben ist. Auf diese Weise erhalten Sie die 

Möglichkeit, den Ordner bei mehreren Benutzern auf denselben Freigabepfad umzuleiten. 

Zum Beispiel können Sie mit dieser Option steuern, dass mehrere Benutzer denselben 

Desktop oder dasselbe Startmenü erhalten. 

An lokalen Benutzerprofilpfad umleiten Leitet den angegebenen Ordner in das 

lokale Benutzerprofil um. Das lokale Benutzerprofil liegt in Windows Vista, Windows 

Server 2008 und Windows 7 im Pfad Users\, in Windows 2000, 

Windows XP und Windows Server 2003 im Pfad Dokumente und Einstellungen\ 

. 

In das Basisverzeichnis des Benutzers kopieren Diese Option steht nur für den 

Ordner Eigene Dokumente zur Verfügung. Sie leitet den Ordner Eigene Dokumente in 

den Basisordnerpfad um, der in den Eigenschaften des Benutzerobjekts konfiguriert ist. 

(Ein Basisordner ist der Pfad, in dem einige Programme standardmäßig ihre Dateien 

speichern.) 

Diese vier Einstellungen für den Zielordner sehen Sie in Abbildung B.39. 

Abbildung B.39 Einstellungen für den Zielordner 

Konfigurieren der Optionen auf der Registerkarte Einstellungen 

der Ordnerumleitung 

Auf der Registerkarte Einstellungen der Ordnerumleitung können Sie Einstellungen zur Umleitung 

und zum Entfernen der Richtlinie vornehmen. Abbildung B.40 zeigt diese Registerkarte 

für den Ordner Dokumente. 

Auf der Registerkarte Einstellungen eines umgeleiteten Ordners stehen folgende Umleitungseinstellungen 

zur Verfügung: 

Dem Benutzer exklusive Zugriffsrechte für erteilen Dieses Kontrollkästchen 

steuert die NTFS-Berechtigungen für den neu erstellten Ordner %UserName%. Der 

Benutzer und das Konto Lokales System erhalten dabei Vollzugriff auf den neu erstellten 

Ordner. Dies ist das Standardverhalten.


Den Inhalt von an den neuen Ort verschieben Verschiebt alle Benutzerdaten 

aus dem angegebenen Ordner in den umgeleiteten Ordner. In der Standardeinstellung 

ist dieses Kontrollkästchen aktiviert. 

Umleitungsrichtlinie auch auf die Betriebssysteme Windows 2000, Windows 2000 

Server, Windows XP und Windows Server 2003 anwenden Weist das Verwaltungstool 

der Ordnerumleitung an, die Umleitungsrichtlinie in einem Format zu schreiben, das 

von den genannten älteren Betriebssystemen erkannt wird. Wenn dieses Kontrollkästchen 

deaktiviert ist, schreibt Windows die Umleitungsrichtlinie in einem Format, das nur 

Windows Vista, Windows Server 2008 und Windows 7 erkennen. 

Abbildung B.40 Registerkarte Einstellungen 

der Ordnerumleitung 

Außerdem können Sie auf der Registerkarte Einstellungen Optionen für das Entfernen der 

Richtlinie konfigurieren. Mithilfe dieser Einstellungen können Sie festlegen, was mit umgeleiteten 

Ordnern und ihrem Inhalt passiert, wenn die entsprechende Ordnerumleitungsrichtlinie 

für einen bestimmten Benutzer nicht mehr gilt. Eine Ordnerumleitungsrichtlinie wird 

zum Beispiel nicht mehr auf einen Benutzer angewendet, wenn ein Administrator die Richtlinie 

trennt oder löscht oder wenn der Benutzer Mitglied einer Sicherheitsgruppe wird, für 

die die entsprechende Richtlinie blockiert ist. 

Folgende Einstellungen für das Entfernen der Richtlinie stehen zur Verfügung: 

Ordner nach Entfernen der Richtlinie am neuen Ort belassen Wenn Sie diese 

Option aktivieren, verbleiben die Benutzerdaten, die an der umgeleiteten Position 

gespeichert sind, in dieser Position, wenn die Richtlinie nicht mehr auf den Benutzer 

angewendet wird. 

Ordner nach Entfernen der Richtlinie zurück an den Ort des lokalen Benutzerprofils 

umleiten Wenn Sie diese Option aktivieren, werden die Daten, die der Benutzer in 

der umgeleiteten Position gespeichert hat, in das lokale Benutzerprofil kopiert, sobald 

die Richtlinie nicht mehr auf den Benutzer angewendet wird.


Übung Konfigurieren von servergespeicherten Benutzerprofilen und 

Ordnerumleitung 

In dieser Übung legen Sie ein neues Domänenbenutzerkonto an und konfigurieren ein servergespeichertes 

Benutzerprofil für den neuen Benutzer. Dann sehen Sie sich an, was passiert, 

wenn sich der Benutzer an Computern anmeldet, die unter Windows XP, Windows 7 und 

Windows Server 2008 laufen. Zuletzt konfigurieren Sie die Ordnerumleitung und untersuchen 

den Unterschied im Verhalten zwischen der Ordnerumleitung und herkömmlichen servergespeicherten 

Benutzerprofilen. 

Um diese Übungen durchzuarbeiten, brauchen Sie: 

Einen Domänencontroller, der unter Windows Server 2008 R2 läuft. Hierfür können Sie 

den Server DC1 aus den früheren Übungen verwenden. 

Einen Windows 7-Clientcomputer, der Mitglied derselben Domäne ist. Hierfür können 

Sie den Computer CLIENT1 aus den früheren Übungen verwenden. 

Einen Windows XP-Clientcomputer, der Mitglied derselben Domäne ist. 

Wichtig Konfigurieren der Clients für DHCP und DNS 

Diese Übung setzt voraus, dass ein DHCP-Server (Dynamic Host Configuration Protocol) 

auf dem Domänencontroller läuft und alle Clients so konfiguriert sind, dass sie automatisch 

eine IP-Adresse abrufen. Sofern kein DHCP-Server konfiguriert ist, müssen alle Clients den 

Domänencontroller als bevorzugten DNS-Server eingetragen haben. 

Übung 1 Konfigurieren eines neuen Benutzers mit einem servergespeicherten Benutzerprofil 

In dieser Übung legen Sie eine Freigabe namens Profiles auf dem Domänencontroller DC1 

an, der unter Windows Server 2008 R2 läuft. Dann legen Sie ein neues Konto namens RoamingUser 

in der Domäne an und konfigurieren den neuen Benutzer mit einem servergespeicherten 

Benutzerprofil. 

1. Melden Sie sich als Administrator am Domänencontroller DC1 an. 

2. Legen Sie auf Laufwerk C: des Domänencontrollers einen neuen Ordner mit dem Namen 

Profiles an. 

3. Klicken Sie mit der rechten Maustaste auf den Ordner Profiles, wählen Sie Freigeben für 

und klicken Sie auf Bestimmte Personen. 

4. Geben Sie auf der Seite Wählen Sie Benutzer im Netzwerk aus, mit denen Sie Elemente 

gemeinsam verwenden möchten des Dateifreigabe-Assistenten den Gruppennamen Jeder 

ein und drücken Sie die EINGABETASTE. 

5. Stellen Sie für die Gruppe Jeder die Berechtigungsstufe Lesen/Schreiben ein. 

6. Klicken Sie auf Freigabe, um die Änderungen zu bestätigen, und dann auf Fertig, um 

den Dateifreigabe-Assistenten zu schließen. 

7. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer. 

8. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Container Users, 

wählen Sie Neu und dann Benutzer.


9. Geben Sie im Dialogfeld Neues Objekt – Benutzer folgende Daten ein: 

Vorname: Roaming 

Nachname: User 

Benutzeranmeldename: RoamingUser 


11. Geben Sie im Dialogfeld Neues Objekt – Benutzer ein Kennwort in den Feldern Kennwort 

und Kennwort bestätigen ein. 

12. Deaktivieren Sie das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung 

ändern. 

13. Klicken Sie im Dialogfeld Neues Objekt – Benutzer auf Weiter und dann auf Fertig 

stellen. 

14. Suchen Sie in der Detailansicht von Active Directory-Benutzer und -Computer das neue 

Domänenbenutzerkonto Roaming User, das Sie gerade erstellt haben, und öffnen Sie 

sein Eigenschaftendialogfeld. 

Sie müssen das Benutzerkonto RoamingUser zur Gruppe Server-Operatoren hinzufügen, 

damit Sie sich unter diesem neuen Konto am Domänencontroller anmelden können. 

15. Klicken Sie mit der rechten Maustaste auf das Benutzerkonto Roaming User und wählen 

Sie im Kontextmenü den Befehl Einer Gruppe hinzufügen. 

16. Geben Sie im Dialogfeld Gruppen auswählen den Namen Server-Operatoren ein und 


Das Meldungsfeld Active Directory-Domänendienste informiert Sie, dass das Konto zur 

Gruppe hinzugefügt wurde. 

17. Klicken Sie auf OK, um das Meldungsfeld zu schließen. 

18. Öffnen Sie das Eigenschaftendialogfeld für das Benutzerkonto RoamingUser. 

19. Klicken Sie im Dialogfeld Eigenschaften von Roaming User auf die Registerkarte Profil. 

20. Geben Sie im Textfeld Profilpfad den Pfad \\dc1\profiles\%UserName% ein. 

21. Klicken Sie im Dialogfeld Eigenschaften von Roaming User auf OK. 

Übung 2 Testen des servergespeicherten Benutzerprofils auf Windows 7-Computern 

In dieser Übung melden Sie sich von einem Windows 7-Computer aus an der Domäne an. 

Dann nehmen Sie eine Änderung auf Ihrem Desktop vor, melden sich ab und untersuchen, 

was passiert, wenn Sie sich am Domänencontroller anmelden. Schließlich melden Sie sich 

an einem Computer an, der unter Windows XP läuft, und sehen sich an, ob sich etwas geändert 

hat. 

1. Melden Sie sich am Windows 7-Computer CLIENT1 unter dem Benutzerkonto Roaming- 

User an der Domäne an. 

2. Erstellen Sie auf dem Desktop eine Textdatei namens Test1 und melden Sie sich wieder 

von CLIENT1 ab. 

3. Melden Sie sich am Domänencontroller DC1 mit dem Benutzerkonto RoamingUser an 

der Domäne an.


4. Überprüfen Sie, ob auf dem Domänencontroller DC1 die Datei Test1 auf dem Desktop 

von RoamingUser angezeigt wird. 

5. Beantworten Sie die folgende Frage: Wurde die Datei von einem Computer auf den 

anderen verschoben? 

Antwort: Nein, sie ist zentral auf dem Server gespeichert. 

6. Öffnen Sie auf dem Domänencontroller DC1 das Laufwerk C: und darin den Ordner 

Profiles. 

7. Beantworten Sie die folgende Frage: Wie lautet der Name des Ordners, in dem die Daten 

von RoamingUser gespeichert sind? 

Antwort: RoamingUser.V2 

8. Beantworten Sie die folgende Frage: Für welche Betriebssysteme enthält dieser Ordner 

Daten des servergespeicherten Benutzerprofils? 

Antwort: Windows Vista, Windows Server 2008 und Windows 7 

9. Melden Sie sich auf dem Client, der unter Windows XP läuft, mit dem Benutzerkonto 

RoamingUser an der Domäne an. 

10. Beantworten Sie die folgende Frage: Warum erscheint die Datei Test1 nicht auf dem 

Desktop des Windows XP-Clients? 

Antwort: Weil servergespeicherte Benutzerprofile nicht zwischen Windows XP und 

Windows 7 kompatibel sind. 

11. Melden Sie sich vom Windows XP-Client ab oder fahren Sie ihn herunter. 

12. Wechseln Sie auf den Server DC1 und öffnen Sie wieder den Ordner C:\Profiles. 

13. Beantworten Sie die folgende Frage: Welcher neue Ordner ist in Profiles aufgetaucht, 

seit Sie sich über den Windows XP-Client an der Domäne angemeldet haben? 

Antwort: Ein Ordner namens RoamingUser 

14. Beantworten Sie die folgende Frage: Für welche Betriebssysteme speichert dieser zweite 

Ordner Daten zum servergespeicherten Benutzerprofil? 

Antwort: Für Computer mit Windows 2000, Windows XP und Windows Server 2003 

Übung 3 Konfigurieren der Ordnerumleitung für Windows XP und Windows 7 

In dieser Übung legen Sie ein Gruppenrichtlinienobjekt an, das wichtige Ordner an einen 

zentralen Speicherort umleitet. 

1. Melden Sie sich beim Domänencontroller DC1 mit einem Domänenadministratorkonto 

an. 

2. Geben Sie im Suchfeld des Startmenüs gpmc.msc ein und drücken Sie die EINGABE- 

TASTE. 

3. Die Konsole Gruppenrichtlinienverwaltung wird geöffnet. 

4. Erweitern Sie in der Konsolenstruktur die Container Gesamtstruktur und Domänen. 

5. Klicken Sie unter dem Container Domänen mit der rechten Maustaste auf den Namen 

nwtraders.msft und wählen Sie den Befehl Gruppenrichtlinienobjekt hier erstellen und 

verknüpfen.


6. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt den Namen Ordnerumleitung 

für alle Windows-Betriebssysteme ein und drücken Sie die EINGABETASTE. 

7. Suchen Sie in der Detailansicht der Konsole Gruppenrichtlinienverwaltung das neue 

Gruppenrichtlinienobjekt, klicken Sie es mit der rechten Maustaste an und wählen Sie 

den Befehl Bearbeiten. 

Der Gruppenrichtlinienverwaltungs-Editor wird geöffnet. 

8. Erweitern Sie in der Konsolenstruktur die Knoten Benutzerkonfiguration, Richtlinien, 

Windows-Einstellungen und dann Ordnerumleitung. 

9. Sehen Sie sich an, welche Ordner im Container Ordnerumleitung aufgelistet sind. Dies 

sind die Ordner, die Sie an eine beliebige Position umleiten können, zum Beispiel auf 

einen zentralen Server. 

10. Öffnen Sie das Eigenschaftendialogfeld des Ordners AppData(Roaming). 

11. Wählen Sie auf der Registerkarte Ziel die Einstellung Standard – Leitet alle Ordner auf 

den gleichen Pfad um aus. 

12. Geben Sie im Textfeld Stammverzeichnis den Pfad \\DC1\Profiles ein. 

13. Aktivieren Sie auf der Registerkarte Einstellungen das Kontrollkästchen Umleitungsrichtlinie 

auch auf die Betriebssysteme Windows 2000, Windows 2000 Server, Windows 

XP und Windows Server 2003 anwenden. 

Diese Einstellung macht die Ordnerumleitung kompatibel zu allen Windows-Versionen 

ab Windows 2000. 


15. Unter Umständen öffnet sich eine Warnmeldung. Lesen Sie den Text und klicken Sie 

dann auf Ja. 

16. Wiederholen Sie die Schritte 10 bis 15 für die Ordner Desktop, Startmenü und Dokumente. 

17. Melden Sie sich von den Windows XP- und Windows 7-Clients ab. 

Übung 4 Testen der Ordnerumleitung 

In dieser Übung melden Sie sich unter einem Domänenbenutzerkonto an den beiden Clients 

an, die unter Windows XP beziehungsweise Windows 7 laufen. Dann nehmen Sie einige 

Änderungen an der Benutzerumgebung vor und sehen sich die Ergebnisse an. 

1. Melden Sie sich auf dem Windows XP-Client unter dem Benutzerkonto RoamingUser 

an der Domäne an. 

2. Erstellen Sie auf dem Desktop eine Textdatei namens Test2. 

3. Melden Sie sich auf dem Windows 7-Computer CLIENT1 unter dem Benutzerkonto 

RoamingUser an der Domäne an. 

4. Prüfen Sie, ob die Textdatei Test2 auf dem Desktop angezeigt wird. Falls diese Datei 

nicht zu sehen ist, müssen Sie sich ab- und dann wieder anmelden. 

5. Warten Sie, bis die Datei Test2 auf dem Desktop von CLIENT1 angezeigt wird, und 

legen Sie dann auf dem Desktop von CLIENT1 eine neue Textdatei namens Test3 an. 

6. Wechseln Sie auf den Windows XP-Client. 

Sie müssten jetzt Test3 auf dem Desktop des Windows XP-Clients sehen.


7. Öffnen Sie auf dem Windows 7-Computer CLIENT1 den Ordner Eigene Dokumente und 

erstellen Sie in diesem Ordner eine neue Textdatei namens Test4. 

8. Wechseln Sie auf den Windows XP-Client und beantworten Sie die folgende Frage: Wo 

wird Test4 auf dem Windows XP-Client angezeigt? 

Antwort: Im Ordner Eigene Dateien 

9. Melden Sie sich von allen Computern ab. 


Mithilfe von Offlinedateien können Sie eine lokale, automatisch synchronisierte Kopie 

von Dateien bereithalten, die in Netzwerkfreigaben gespeichert sind. Sie machen eine 

Datei oder einen Ordner offline verfügbar, indem Sie die Datei beziehungsweise den 

Ordner mit der rechten Maustaste anklicken und den Befehl Immer offline verfügbar 

wählen. 

Dateien können zwar automatisch synchronisiert werden, manchmal ist es aber nötig, sie 

von Hand zu synchronisieren, um sicherzustellen, dass sie auf dem neuesten Stand sind. 

Das ist beispielsweise der Fall, bevor Sie einige Zeit offline arbeiten. Sie können auch 

einen Zeitplan für Synchronisierungen festlegen, um sicherzustellen, dass Ihre Dateien 

mit der neuesten Version aktualisiert werden. 

Sie können einstellen, wie viel Platz für Offlinedateien verwendet wird. 

Die Gruppenrichtlinien enthalten drei neue Einstellungen für Offlinedateien in Windows 

7: Hintergrundsynchronisierung konfigurieren, Dateien aus der Zwischenspeicherung 

ausschließen und Transparentes Zwischenspeichern aktivieren. 

Auf der Registerkarte Vorgängerversionen können Sie ganz einfach ältere Versionen von 

Dateien oder Ordnern wiederherstellen, die in einem Wiederherstellungspunkt oder einer 

Windows-Datensicherung gespeichert wurden. 

Ein Benutzerprofil ist eine Sammlung persönlicher Dateien und Einstellungen, die in 

einem Ordner mit dem Namen des Benutzers gespeichert sind. 

Benutzerprofile haben sich in Windows Vista deutlich geändert. Das ist wichtig, wenn 

Sie Windows 7 in einem Netzwerk bereitstellen, dessen Clients unter älteren Betriebssystemen 

als Windows Vista laufen, etwa unter Windows XP. 

Ein servergespeichertes Benutzerprofil ist ein Profil, das zentral in einer Netzwerkfreigabe 

gespeichert ist. Es wird in den Eigenschaften des Benutzerkontos in der Konsole 

Active Directory-Benutzer und -Computer konfiguriert. 

In der Standardeinstellung sind servergespeicherte Benutzerprofile für ältere Betriebssysteme 

als Windows Vista (etwa Windows XP) nicht zu servergespeicherten Benutzerprofilen 

für Betriebssysteme ab der Version Windows Vista kompatibel, also beispielsweise 

Windows Vista und Windows 7. 

Die Ordnerumleitung ist ein Windows-Feature, mit dem Sie Benutzerordner wie Dokumente 

und Desktop auf Netzwerkfreigaben umleiten können. Indem Sie die Ordnerumleitung 

implementieren, ermöglichen Sie den Benutzern jederzeit Zugriff auf ihre Daten, 

unabhängig davon, auf welchem Computer und unter welcher Windows-Version sie sich 

anmelden.





Ordnerumleitung 

Offlinedateien 

Vorgängerversionen 

Servergespeichertes Benutzerprofil 

Benutzerprofil

A N H A N G C 

Konfiguration und Problembehandlung 

des Startvorgangs 

Hinweis Dieser Anhang wurde in ähnlicher Form ursprünglich in Microsoft Windows 7 – 

Die technische Referenz von Mitch Tulloch, Tony Northrup, Jerry Honeycutt, Ed Wilson und 

dem Microsoft Windows 7-Team (Microsoft Press, 2010) veröffentlicht. 

Für die Diagnose und Beseitigung von Hardware- und Softwareproblemen, die sich auf den 

Startvorgang auswirken, werden andere Tools und Techniken benötigt als für die Behandlung 

von Problemen, die auftreten, nachdem das System gestartet wurde. Die Person, die die 

Startproblembehandlung durchführt, hat nämlich keinen Zugriff auf die vollständige Palette 

der Windows 7-Problembehandlungswerkzeuge. Um Startprobleme beseitigen zu können, 

müssen Sie den Ablauf des Startvorgangs genau kennen, wie auch die Kernbetriebssystemfeatures 

und die Tools, mit denen Probleme isoliert und beseitigt werden. 

Dieser Anhang beschreibt Änderungen beim Startvorgang von Windows 7, erklärt, wie Sie 

Starteinstellungen konfigurieren und wie Sie eine Problembehandlung für Probleme vornehmen, 

die verhindern, dass Windows 7 startet und der Benutzer sich erfolgreich anmelden 

kann. 

Was ist neu beim Start von Windows 7? 

Windows 7 führt mehrere Verbesserungen am Startvorgang ein. Die wichtigste ist, dass das 

Setup nun automatisch die Windows-Wiederherstellungsumgebung (Windows Recovery 

Environment, WinRE) installiert. WinRE, das auch das Systemstartreparaturtool umfasst, 

stand bereits in Windows Vista zur Verfügung, wurde dort aber nicht automatisch installiert. 

IT-Experten konnten zwar die benötigte Partition einrichten und die Tools so auf der Festplatte 

des Computers installieren, aber das geschah nicht standardmäßig. Daher starteten die 

meisten Benutzer WinRE von der Windows Vista-Setup-DVD. Bei Windows 7 können die 

Benutzer WinRE dagegen direkt von der Festplatte ausführen, wenn der Windows-Start 

fehlschlägt. Beim Start von Windows wird WinRE außerdem automatisch geöffnet, falls der 

Windows-Startvorgang fehlschlägt. Ist die Festplatte beschädigt, haben die Benutzer nach 

wie vor die Möglichkeit, WinRE von der Windows 7-DVD zu starten. 

Neben der automatischen Installation von WinRE beschleunigt Windows 7 auch den Start, 

das Herunterfahren und das Wiederaufwachen aus dem Ruhezustand. Weil es in Windows 7 

nur geringe Änderungen im Bereich des Systemstarts gibt, konzentriert sich dieser Anhang 

vor allem auf Änderungen, die seit Windows XP vorgenommen wurden. Alle diese Neuerungen 

stehen sowohl in Windows 7 als auch Windows Vista zur Verfügung. 

Gegenüber Windows XP haben sich verschiedene Aspekte beim Startvorgang von Windows 

Vista und Windows 7 verändert. Am offensichtlichsten ist, dass Ntldr (das Windows XP- 

447

448 Anhang C: Konfiguration und Problembehandlung des Startvorgangs 

Feature, das das Startauswahlmenü anzeigt und den Windows XP-Kernel lädt) durch den 

Windows-Start-Manager und das Windows-Startladeprogramm ersetzt wurde. Die Datei 

Boot.ini (eine Datei mit Einträgen, die die verfügbaren Startoptionen beschreiben) wurde 

durch die Startkonfigurationsdaten-Registrierungsdatei (Boot Configuration Data, BCD) 

ersetzt. Die Funktionalität von Ntdetect.com wurde in den Kernel integriert, und Windows 7 

unterstützt keine Hardwareprofile mehr. Hardwareprofile sind auch gar nicht mehr erforderlich: 

Windows 7 erkennt unterschiedliche Hardwarekonfigurationen automatisch, ohne dass 

Administratoren explizit Profile konfigurieren müssen. Schließlich wurde die Befehlszeilen- 

Wiederherstellungskonsole durch die grafische Windows-Wiederherstellungsumgebung 

ersetzt, die die Problembehandlung vereinfacht. Dieser Anhang beschreibt diese Änderungen 

genauer. 

Startkonfigurationsdaten 

Die BCD-Registrierungsdatei ersetzt die Datei Boot.ini, mit der in Windows XP und älteren 

Windows-Versionen die Speicherorte des Betriebssystems angegeben wurden. Sie ermöglicht 

eine Vielzahl neuer Features in Windows Vista und Windows 7, zum Beispiel das Tool Systemstartreparatur 

und die Mehrbenutzerinstallationsverknüpfungen. Die BCD ist in einer 

Datendatei gespeichert, die dasselbe Format wie die Registrierung verwendet und entweder 

in der EFI-Systempartition (Extensible Firmware Interface) liegt (bei Computern, die EFI 

unterstützen) oder auf dem Systemvolume. Auf BIOS-basierten Betriebssystemen liegt die 

BCD-Registrierungsdatei unter \Boot\Bcd auf der aktiven Partition. Auf EFI-basierten Betriebssystemen 

liegt die BCD-Registrierungsdatei im Ordner \EFI\Microsoft\Boot\ auf der 

EFI-Systempartition. 

Die BCD-Registrierungsdatei kann folgende Informationstypen enthalten: 

Einträge, die Einstellungen für den Windows-Start-Manager (\Bootmgr) beschreiben 

Einträge, die das Windows-Startladeprogramm (\Windows\System32\WinLoad.exe) 

starten, das dann Windows 7 lädt 

Einträge, die das Windows-Fortsetzungsladeprogramm (\Windows\System32\ 

WinResume.exe) starten, das dann Windows 7 aus dem Ruhezustand wiederherstellt 

Einträge, die die Windows-Speicherdiagnose (\Boot\MemTest.exe) starten 

Einträge, die Ntldr starten, um ältere Windows-Versionen zu laden 

Einträge, die einen Volumestartdatensatz laden und ausführen, mit dem normalerweise 

ein Nicht-Microsoft-Startladeprogramm ausgeführt wird 

Außerdem können Sie weitere Einträge hinzufügen, um benutzerdefinierte Anwendungen zu 

laden, zum Beispiel Wiederherstellungstools. 

Sie haben mehrere Möglichkeiten, die BCD-Registrierungsdatei zu verändern: 

Starten und Wiederherstellen Im Dialogfeld Starten und Wiederherstellen (erreichbar 

über die Registerkarte Erweitert des Dialogfelds Systemeigenschaften) können Sie 

das Standardbetriebssystem auswählen, das gestartet wird, falls Sie mehrere Betriebssysteme 

auf Ihrem Computer installiert haben. Sie können auch einstellen, wie lange das 

Startauswahlmenü angezeigt wird. Dieses Dialogfeld hat sich seit Windows XP kaum 

verändert. Allerdings ändert es jetzt die BCD-Registrierungsdatei statt der Datei Boot.ini.

Was ist neu beim Start von Windows 7? 449 

Systemkonfigurationsprogramm (Msconfig.exe) Msconfig.exe ist ein Problembehandlungstool, 

mit dem Sie Startoptionen konfigurieren können. Die Registerkarte 

Start bietet in Windows 7 eine ähnliche Funktionalität wie die Registerkarte Boot.ini in 

Windows XP, zum Beispiel können Sie im abgesicherten Modus starten, ein Startprotokoll 

aufzeichnen oder die grafische Benutzeroberfläche deaktivieren. 

BCD-WMI-Anbieter Der BCD-WMI-Anbieter (Windows Management Instrumentation) 

ist eine Verwaltungsschnittstelle, über die Sie skriptgesteuert Dienstprogramme 

ausführen können, die die BCD verändern. Dies ist die einzige Programmierschnittstelle, 

die Zugriff auf die BCD bietet. Sie sollten immer diese Schnittstelle verwenden, statt zu 

versuchen, direkt auf die BCD-Registrierungsdatei zuzugreifen. Weitere Informationen 

finden Sie in »BCD WMI Provider Classes« unter http://msdn2.microsoft.com/en-us/ 

library/aa362675.aspx. 

BCDEdit.exe BCDEdit.exe ist ein Befehlszeilenprogramm, das Bootcfg.exe aus Windows 

XP ersetzt. BCDEdit kann innerhalb von Windows 7 in einer administrativen Eingabeaufforderung 

gestartet werden, aus Windows RE oder sogar aus älteren Windows- 

Versionen (sofern die Datei BCDEdit.exe dort zur Verfügung steht). BCDEdit bietet 

mehr Konfigurationsoptionen als das Dialogfeld Starten und Wiederherstellen. 

Nicht-Microsoft-Tools Fremdhersteller haben Softwaretools veröffentlicht, die es 

einfacher machen, die BCD-Registrierungsdatei zu editieren. Zwei Beispiele sind: 

BootPRO, verfügbar unter http://www.vistabootpro.org 

EasyBCD, verfügbar unter http://neosmart.net 

Sie können mit Bootcfg.exe nicht die BCD verändern. Aber Bootcfg.exe ist weiterhin im 

Betriebssystem, um Unterstützung für die Konfiguration älterer Betriebssysteme zu bieten, 

die unter Umständen auf demselben Computer installiert sind. 

Bei EFI-Computern ersetzt BCDEdit auch NvrBoot. In älteren Windows-Versionen konnten 

Sie mit NvrBoot die Menüelemente des EFI-Start-Managers bearbeiten. 

BCD-Speicher 

Ein BCD-Speicher (BCD store) ist eine Binärdatei im Format einer Registrierungsstruktur. 

Ein Computer hat einen System-BCD-Speicher, der alle installierten Windows Vista- und 

Windows 7-Betriebssysteme und installierten Windows-Startanwendungen beschreibt. 

Ein Computer kann optional viele Nicht-System-BCD-Speicher haben. Abbildung C.1 

zeigt ein Beispiel, wie die BCD-Hierarchie in einem typischen BCD-Speicher implementiert 

ist. 

Ein BCD-Speicher hat normalerweise mindestens zwei (und optional viele) BCD-Objekte: 

Ein Windows-Start-Manager-Objekt Dieses Objekt enthält BCD-Elemente, die 

zum Windows-Start-Manager gehören, zum Beispiel die Einträge, die im Betriebssystemauswahlmenü 

angezeigt werden, Auswahlmenüs für Starttools und Anzeigedauer 

für die Auswahlmenüs. Das Windows-Start-Manager-Objekt und seine zugehörigen 

Elemente haben praktisch dieselbe Aufgabe wie der [boot loader]-Abschnitt in der 

Datei Boot.ini. Ein Speicher kann optional mehrere Instanzen des Windows-Start- 

Managers enthalten. Allerdings kann nur eine davon durch die vordefinierte GUID 

(Globally Unique Identifier) des Windows-Start-Managers repräsentiert werden.


Sie können die Aliasbezeichnung der GUID, {bootmgr}, verwenden, um einen 

Speicher mit BCDEdit zu bearbeiten. 

Mindestens ein, optional mehrere Windows-Startladeprogramm-Objekte Speicher 

enthalten eine Instanz dieses Objekts für jede Version oder Konfiguration von 

Windows Vista, Windows Server 2008 oder Windows 7, die auf dem System installiert 

sind. Diese Objekte enthalten BCD-Ele-mente, die benutzt werden, wenn Windows 

geladen wird oder während der Windows-Initialisierung. Das können zum Beispiel 

NX-Seitenschutzrichtlinien (no-execute), PAE- Richtlinien (Physical Address Extensions) 

und Kerneldebuggereinstellungen sein. Jedes Objekt und seine zugehörigen 

Elemente haben im Prinzip dieselbe Aufgabe wie eine der Zeilen im [operating 

systems]-Abschnitt von Boot.ini. Wenn ein Computer mit Windows 7 gestartet wird, 

repräsentiert der Aliasname {current} das zugehörige Startladeprogramm-Objekt. 

Wenn Sie einen Speicher mit BCDEdit bearbeiten, hat das Standard-Startladeprogramm-Objekt 

die Aliasbezeichnung {default}. 

Ein optionales Windows-{ntldr}-Objekt Das {ntldr}-Objekt beschreibt die Position 

von Ntldr, die Sie ausführen können, um Windows XP oder ältere Windows-Versionen 

zu starten. Dieses Objekt ist nur erforderlich, falls das System ältere Windows- 

Versionen als Windows Vista enthält. Es ist möglich, mehrere Instanzen von Objekten 

zu haben, die Ntldr beschreiben. Wie beim Windows-Start-Manager kann aber nur 

eine Instanz durch das vordefinierte GUID-Alias {ntldr} repräsentiert werden. Sie 

können die Aliasbezeichnung der GUID, {ntldr}, verwenden, um einen Speicher mit 

BCDEdit zu bearbeiten. 

Optionale Startanwendungen Speicher können optional BCD-Objekte enthalten, 

die andere Startoperationen ausführen. Ein Beispiel ist das Windows-Speichertestprogramm, 

das die Speicherdiagnose startet. 

Abbildung C.1 Die BCD-Hierarchie ermöglicht mehrere Startoptionen

Was ist neu beim Start von Windows 7? 451 

Ausführliche Informationen über BCD finden Sie in »Boot Configuration Data in Windows 

Vista« unter http://www.microsoft.com/whdc/system/platform/firmware/bcd.mspx 

und in »Häufig gestellte Fragen zum Startkonfigurationsdaten-Editor« unter http://technet. 

microsoft.com/de-de/library/cc721886.aspx. 

Systemwiederherstellung 

Windows Vista und Windows 7 ersetzen das Problembehandlungstool Wiederherstellungskonsole 

durch das neue Systemwiederherstellungstool (ein Teil von WinRE). Normalerweise 

starten Sie dieses Tool, indem Sie die Taste F8 drücken, bevor Windows startet, und dann im 

Bildschirm Erweiterte Startoptionen den Eintrag Computer reparieren auswählen. Wird 

dieser Menüeintrag nicht angeboten, weil die Festplatte beschädigt ist, können Sie das Tool 

auch ausführen, indem Sie es von der Windows 7-DVD starten und dann auf Computer 

reparieren klicken (nachdem Sie die Sprachoptionen konfiguriert haben). Daraufhin wird 

eine spezielle Windows-Version geladen, die sogenannte Vorinstallationsumgebung (Pre- 

Installation, kurz Windows PE), die dann das Systemwiederherstellungstool anzeigt. Schrittfür-Schritt-Anleitungen, 

wie Sie die Systemwiederherstellungstools laden, finden Sie im Abschnitt 

»So starten Sie die Systemwiederherstellungstools« weiter unten in diesem Anhang. 

Die Systemwiederherstellungstools bieten Zugriff auf die folgenden Tools: 

Systemstartreparatur Das Tool Systemstartreparatur (Startup Repair) kann viele 

häufiger vorkommende Startprobleme automatisch beseitigen. Die Systemstartreparatur 

führt eine ausführliche Analyse aus, um Ihre Startprobleme zu diagnostizieren. Es analysiert 

unter anderem Bootsektoren, Start-Manager, Laufwerkskonfiguration, Laufwerksintegrität, 

Integrität der BCD-Registrierungsdatei, Systemdateiintegrität, Registrierungsintegrität, 

Start- und Ereignisprotokolle. Dann versucht sie, das Problem zu beseitigen. 

Dazu kann es erforderlich sein, Konfigurationsdateien zu reparieren, einfache Laufwerksprobleme 

zu beseitigen, fehlende Systemdateien zu ersetzen oder die Systemwiederherstellung 

auszuführen, um den Computer in einen früheren Zustand zurückzuversetzen. 

Weil die Systemstartreparatur diese Aufgaben automatisch ausführt, können Sie Startprobleme 

viel schneller lösen, als wenn Sie die Analyse und Reparatur von Hand vornehmen 

müssten. 

Systemwiederherstellung Windows 7 zeichnet automatisch den Systemstatus auf, 

bevor es neue Anwendungen oder Treiber installiert. Sie können später mit dem Tool 

Systemwiederherstellung (System Restore) zu diesem System zurückschalten, falls Probleme 

auftreten. Weil die Systemwiederherstellung innerhalb der Systemwiederherstellungstools 

zur Verfügung gestellt wird, können Sie mit der Systemwiederherstellung 

Probleme reparieren, die verhindern, dass Windows 7 startet. Die Systemstartreparatur 

kann Sie auffordern, eine Systemwiederherstellung durchzuführen, daher brauchen Sie 

unter Umständen niemals direkt auf dieses Tool zuzugreifen. 

Systemabbildwiederherstellung Mit diesem Tool können Sie eine vollständige Wiederherstellung 

der Systemfestplatte einleiten. Weil dabei allerdings alle Dateien verloren 

gehen, die seit der letzten Datensicherung verändert wurden, sollten Sie diese Maßnahme 

nur als allerletzte Möglichkeit in Betracht ziehen.


Windows-Speicherdiagnose Das Tool Windows-Speicherdiagnose (Windows Memory 

Diagnostics) führt einen automatisierten Test für die Zuverlässigkeit des Arbeitsspeichers 

in Ihrem Computer durch. Weitere Informationen finden Sie in Anhang D, »Problembehandlung 

für Hardware, Treiber und Laufwerke«. 

Eingabeaufforderung Aus dem Tool Eingabeaufforderung (Command Prompt) 

heraus haben Sie Zugriff auf viele Standardbefehlszeilentools. Es kann allerdings sein, 

dass einige Tools nicht richtig funktionieren, weil Windows noch nicht läuft. Weil zum 

Beispiel die Windows-Wiederherstellungsumgebung keine Netzwerkfähigkeiten bietet, 

funktionieren Netzwerktools nicht richtig. Die folgenden Tools in der Windows-Wiederherstellungsumgebung 

sind aber oft nützlich: 

BCDEdit.exe, um Änderungen an der BCD-Registrierungsdatei vorzunehmen. 

Diskpart.exe, um die Festplattenpartitionierung anzuzeigen und zu ändern. 

Format.exe, um Partitionen zu formatieren. 

Chkdsk.exe, um bestimmte Laufwerksprobleme zu finden und zu korrigieren. Beachten 

Sie, dass Chkdsk keine Ereignisse in das Ereignisprotokoll eintragen kann, wenn 

es aus den Systemwiederherstellungstools gestartet wird. 

Editor.exe, um Protokolldateien anzuzeigen oder Konfigurationsdateien zu editieren. 

Bootsect.exe (auf der Windows 7-DVD im Ordner \Boot), um den Master-Boot-Code 

von Festplattenpartitionen zu aktualisieren, sodass zwischen dem Windows 7-Start- 

Manager und Ntldr (in Windows XP und älteren Windows-Versionen benutzt) umgeschaltet 

werden kann. 

Bootrec.exe, um Laufwerksprobleme von Hand zu reparieren, falls die Systemstartreparatur 

sie nicht korrigieren kann. 

Windows-Startleistungsdiagnose 

Es kommt manchmal vor, dass Windows zwar korrekt startet, dies aber ungewöhnlich lange 

dauert. Ein solches Problem kann schwierig zu beheben sein, weil es keine direkte Möglichkeit 

gibt, die Abläufe beim Start von Windows zu überwachen. Um Administratoren zu helfen, 

die Ursache von Startleistungsproblemen zu identifizieren und einige Probleme automatisch 

zu beseitigen, stellt Windows 7 die Windows-Startleistungsdiagnose (Windows Boot Performance 

Diagnostics) zur Verfügung. 

Sie können die Windows-Startleistungsdiagnose in einer Active Directory-Umgebung 

(Active Directory Domain Services, AD DS) mit Gruppenrichtlinieneinstellungen verwalten. 

Bearbeiten Sie dazu im Knoten Computerkonfiguration\Richtlinien\Administrative Vorlagen\ 

System\Problembehandlung und Diagnose\Windows-Startleistungsdiagnose die Richtlinie 

Szenarioausführungsebene konfigurieren. Wenn diese Richtlinie aktiviert ist, können Sie 

zwischen zwei Einstellungen wählen: 

Nur Erkennung und Problembehandlung Die Windows-Startleistungsdiagnose 

identifiziert Startleistungsprobleme und trägt ein Ereignis in das Ereignisprotokoll ein, 

sodass Administratoren die Probleme erkennen und von Hand beseitigen können. Die 

Windows-Startleistungsdiagnose versucht aber nicht, das Problem selbst zu beseitigen. 

Erkennung, Problembehandlung und Konfliktlösung Die Windows-Startleistungsdiagnose 

identifiziert Startleistungsprobleme und leitet automatisch Schritte ein, um sie 

zu beseitigen.

Ablauf des Startvorgangs 453 

Falls Sie diese Einstellung deaktivieren, identifiziert die Windows-Startleistungsdiagnose 

keine Startleistungsprobleme und versucht auch nicht, sie zu beseitigen. Damit die Windows- 

Startleistungsdiagnose funktioniert, muss der Diagnoserichtliniendienst laufen. 

Einstellungen für die Windows-Herunterfahr-Leistungsdiagnose, die ganz ähnlich arbeitet 

wie die Windows-Startleistungsdiagnose, finden Sie im Knoten Computerkonfiguration\ 

Richtlinien\Administrative Vorlagen\System\Problembehandlung und Diagnose\Windows- 

Herunterfahr-Leistungsdiagnose. 

Ablauf des Startvorgangs 

Um ein Startproblem diagnostizieren und korrigieren zu können, müssen Sie wissen, welche 

Vorgänge während des Starts ablaufen. Abbildung C.2 bietet einen allgemeinen Überblick 

über die unterschiedlichen Pfade, die beim Start eingeschlagen werden können. 

Abbildung C.2 Der Windows-Start-Manager stellt mehrere 

unterschiedliche Startpfade zur Verfügung 

Der normale Startablauf für Windows 7 sieht folgendermaßen aus: 

1. POST-Phase (Power-On Self Test) 

2. Anfangsstartphase 

3. Windows-Start-Manager-Phase 

4. Windows-Startladeprogramm-Phase 

5. Kernel-Ladephase 

6. Anmeldephase


POST-Phase 

Dieser Ablauf kann variieren, falls der Computer aus dem Ruhezustand wiederhergestellt 

wird oder falls während der Windows-Start-Manager-Phase eine Nicht-Windows 7-Option 

ausgewählt wird. Die folgenden Abschnitte beschreiben die Phasen eines normalen Startvorgangs 

genauer. 

Sobald Sie einen Computer einschalten, beginnt sein Prozessor, die Programmbefehle auszuführen, 

die im BIOS (Basic Input/Output System) oder EFI (Extensible Firmware Interface) 

stehen. BIOS oder EFI, beides bestimmte Firmwaretypen, enthalten den prozessorabhängigen 

Code, der den Computer startet. Dieser Code ist völlig unabhängig vom installierten 

Betriebssystem. Die erste Gruppe der Startbefehle ist der Power-On Self Test (POST). Der 

POST hat die Aufgabe, folgende System- und Diagnosefunktionen auszuführen: 

Durchführen erster Hardwareprüfungen, um zum Beispiel zu ermitteln, wie viel Arbeitsspeicher 

vorhanden ist 

Überprüfen, ob alle Geräte vorhanden sind, die gebraucht werden, um ein Betriebssystem 

zu starten (zum Beispiel eine Festplatte) 

Abrufen von Systemkonfigurationseinstellungen aus dem permanenten Speicher des 

Motherboards 

Der Inhalt des permanenten Speichers bleibt auch erhalten, wenn Sie das System ausgeschaltet 

haben. Im permanenten Speicher sind Hardwareeinstellungen gespeichert, zum Beispiel 

die Startreihenfolge und Plug & Play-Informationen. 

Sobald der Motherboard-POST abgeschlossen ist, führen Add-On-Adapter, die eigene Firmware 

haben (zum Beispiel Grafikkarten oder Festplattencontroller), interne Diagnosetests 

aus. 

Falls der Start vor oder während des POST fehlschlägt, handelt es sich um einen Hardwarefehler. 

Im Allgemeinen zeigt BIOS oder EFI dann eine Fehlermeldung an, die auf das Problem 

hinweist. Falls die Grafikkarte nicht funktioniert, gibt BIOS oder EFI die Ursache 

normalerweise mithilfe einer Reihe von Piepstönen aus. 

Wie Sie die Firmwareeinstellungen für System und Erweiterungsgeräte anzeigen und ändern 

können, müssen Sie in der Systemdokumentation des Herstellers nachschlagen. Weitere 

Informationen finden Sie in der Dokumentation Ihres Computers und im Abschnitt »So 

diagnostizieren Sie Hardwareprobleme« weiter unten in diesem Anhang. 

Anfangsstartphase 

Nach dem POST muss der Computer den Windows-Start-Manager finden und laden. Ältere 

BIOS-Computer und neuere EFI-Computer gehen dabei leicht unterschiedlich vor, wie in 

den folgenden Abschnitten beschrieben. 

Anfangsstartphase für BIOS-Computer 

Nach dem POST legen die Einstellungen, die im permanenten Speicher abgelegt sind (zum 

Beispiel Startreihenfolge), fest, welche Geräte der Computer verwenden kann, um ein Betriebssystem 

zu starten. Neben Disketten- oder Festplattenlaufwerken, die an ATA- (Advanced 

Technology Attachment), Serial ATA- und SCSI-Controller (Small Computer System


Interface) angeschlossen sind, können Computer ein Betriebssystem normalerweise auch 

von anderen Geräten starten. Das sind zum Beispiel: 

CDs oder DVDs 

Netzwerkkarten 

USB-Flashlaufwerke 

Wechseldatenträger 

Sekundäre Speichergeräte, die in Dockingstations für tragbare Computer installiert sind 

Es ist möglich, eine beliebige Startreihenfolge einzustellen, zum Beispiel »CD-ROM, Diskette, 

Festplatte«. Wenn Sie die Startreihenfolge »CD-ROM, Diskette, Festplatte« einstellen, 

laufen beim Start folgende Vorgänge ab: 

1. Der Computer sucht im CD-ROM-Laufwerk nach einem startfähigen Medium. Falls 

eine startfähige CD oder DVD vorhanden ist, verwendet der Computer sie als Startgerät. 

Andernfalls durchsucht der Computer das nächste Gerät in der Startreihenfolge. Sie 

können Ihr System nicht mit einer CD oder DVD starten, die nicht startfähig ist. Wenn 

eine nicht startfähige CD oder DVD im CD-ROM-Laufwerk eingelegt ist, kann dies den 

Systemstart verlängern. Falls Sie nicht vorhaben, den Computer von CD zu starten, 

sollten Sie alle CDs aus dem CD-ROM-Laufwerk entfernen, bevor Sie neu starten. 

2. Der Computer sucht im Diskettenlaufwerk nach einem startfähigen Medium. Falls eine 

startfähige Diskette vorhanden ist, verwendet der Computer diese Diskette als Startgerät 

und lädt den ersten Sektor (Sektor 0, Diskettenstartsektor) in den Arbeitsspeicher. Andernfalls 

sucht der Computer nach dem nächsten Gerät in der Startreihenfolge oder zeigt 

eine Fehlermeldung an. 

3. Der Computer verwendet die Festplatte als Startgerät. Der Computer nimmt die Festplatte 

normalerweise nur dann als Startgerät her, wenn CD-ROM-Laufwerk und Diskettenlaufwerk 

leer sind. 

Es gibt Ausnahmen, in denen Code auf startfähigen Medien die Steuerung an die Festplatte 

übergibt. Wenn Sie zum Beispiel Ihr System mithilfe der startfähigen Windows-DVD starten, 

durchsucht Setup die Festplatte nach Windows-Installationen. Falls eine gefunden wird, 

haben Sie die Möglichkeit, den Start von DVD zu umgehen, indem Sie einfach keine Taste 

drücken, wenn die Eingabeaufforderung »Drücken Sie eine beliebige Taste, um von CD oder 

DVD zu starten« angezeigt wird. Diese Eingabeaufforderung wird tatsächlich vom Startprogramm 

auf der Windows-DVD angezeigt, nicht von der Hardware Ihres Computers. 

Falls der Start während der Anfangsstartphase fehlschlägt, handelt es sich um ein Problem 

mit der BIOS-Konfiguration, dem Laufwerkssubsystem oder dem Dateisystem. Die folgende 

Fehlermeldung kommt während dieser Phase häufiger vor (»Keine Systemdiskette oder 

Laufwerksfehler. Legen Sie ein startfähiges Medium ein und drücken Sie anschließend 

irgendeine Taste«). Sie bedeutet, dass keines der konfigurierten startfähigen Medien zur 

Verfügung stand. 

Non-system disk or disk error 

Replace and press any key when ready 

Falls Sie die Laufwerkskonfiguration vor Kurzem geändert haben, sollten Sie sicherstellen, 

dass alle Kabel richtig angeschlossen und die Jumper richtig konfiguriert sind. Falls Sie von 

Festplatte starten, sollten Sie überprüfen, ob alle Wechselmedien entfernt wurden. Falls Sie


von einer CD oder DVD starten, sollten Sie sicherstellen, dass das BIOS so konfiguriert ist, 

dass von der CD oder DVD gestartet wird und dass das Windows 7-Medium eingelegt ist. 

Falls das Laufwerkssubsystem und das BIOS richtig konfiguriert sind, kann das Problem mit 

dem Dateisystem zu tun haben. Anleitungen zum Reparieren des Master Boot Record und 

des Startsektors finden Sie im Abschnitt »So führen Sie die Systemstartreparatur aus« weiter 

unten in diesem Anhang. Weitere Informationen über das Konfigurieren der Startreihenfolge 

finden Sie in der Dokumentation Ihres Computers. 

Falls Sie von der Festplatte starten, liest der Computer die Startcodebefehle aus dem Master 

Boot Record (MBR). Der MBR ist der erste Sektor mit Daten auf der Startfestplatte. Der 

MBR enthält Befehle (den sogenannten Startcode) und eine Tabelle (die Partitionstabelle), 

die primäre und erweiterte Partitionen beschreibt. Das BIOS liest den MBR in den Arbeitsspeicher 

und übergibt die Steuerung an den MBR-Code. 

Dann sucht der Computer in der Partitionstabelle nach der aktiven Partition, die auch als 

startfähige Partition bezeichnet wird. Der erste Sektor der aktiven Partition enthält Startcode, 

der dem Computer folgende Fähigkeiten verleiht: 

Lesen des Inhalts des verwendeten Dateisystems. 

Suchen und Starten eines 16-Bit-Stub-Programms (Bootmgr) im Stammverzeichnis des 

Startvolumes. Dieses Stub-Programm schaltet den Prozessor in den 32- oder 64-Bit- 

Protected-Mode und lädt den 32- oder 64-Bit-Windows-Start-Manager, der ebenfalls in 

der Datei Bootmgr gespeichert ist. Sobald der Windows-Start-Manager geladen wurde, 

verläuft der Start auf BIOS- und EFI-Computern identisch. 

Hinweis Das Stub-Programm ist nötig, weil 32-Bit- und 64-Bit-Computer erst einmal im 

Real-Mode starten. Im Real-Mode deaktiviert der Prozessor bestimmte Features, um Kompatibilität 

zu Software zu ermöglichen, die für die Ausführung auf 8-Bit- und 16-Bit-Prozessoren 

geschrieben wurde. Der Windows-Start-Manager hat aber eine 32-Bit- oder 64-Bit- 

Architektur, daher richtet das Stub-Programm den BIOS-Computer so ein, dass er die 32- 

Bit- oder 64-Bit-Software richtig ausführen kann. 

Falls keine aktive Partition vorhanden ist oder die Startsektordaten fehlen oder beschädigt 

sind, wird eine Meldung angezeigt, die beispielsweise folgendermaßen aussehen kann: 

»Invalid partition table« (Ungültige Partitionstabelle) 

»Error loading operating system« (Fehler beim Laden des Betriebssystems) 

»Missing operating system« (Fehlendes Betriebssystem) 

Falls eine aktive Partition gefunden wird, sucht und startet der Code im Startsektor das Windows-Startladeprogramm 

(WinLoad) und das BIOS übergibt die Steuerung an dieses Programm. 

Anfangsstartphase für EFI-Computer 

Der Start unterscheidet sich bei EFI-Computern in dieser Phase von den Abläufen in BIOS- 

Computern. EFI-Computer haben einen eingebauten Start-Manager, der es der Hardware des 

Computers erlaubt, anhand von Benutzereingaben zwischen mehreren Betriebssystemen zu 

wählen. Wenn Sie Windows 7 auf einem EFI-Computer installieren, fügt es einen einzelnen 

Eintrag für den Windows-Start-Manager zum EFI-Start-Manager hinzu. Dieser Eintrag ver-


weist auf die ausführbare 32-Bit- oder 64-Bit-EFI-Datei \Efi\Microsoft\Boot\Bootmgfw.efi, 

den Windows-Start-Manager. Dies ist derselbe Windows-Start-Manager, der letztlich auch 

auf BIOS-basierten Computern geladen wird. Windows 7 konfiguriert den EFI-Start-Manager 

so, dass er das EFI-Startmenü nur 2 Sekunden lang anzeigt und dann standardmäßig den 

Windows-Start-Manager lädt, um die Komplexität und die Startdauer zu verringern. 

Falls Sie ein anderes Betriebssystem installieren oder die Einstellungen des EFI-Start- 

Managers von Hand ändern, kann EFI unter Umständen den Windows-Start-Manager nicht 

mehr laden. Sie können dieses Problem mit dem Tool Systemstartreparatur beseitigen, wie 

im Abschnitt »Der Ablauf bei der Behandlung von Startproblemen« weiter unten in diesem 

Anhang beschrieben. Stattdessen können Sie vielleicht auch die Einstellungen des EFI-Start- 

Managers von Hand aktualisieren, indem Sie die in Ihren Computer eingebauten EFI-Tools 

verwenden. Weitere Informationen über das Konfigurieren von EFI finden Sie in der Dokumentation 

Ihres Computers. 

Windows-Start-Manager-Phase 

Der Windows-Start-Manager kann unterstützte Dateisysteme direkt lesen und nutzt dies, um 

die BCD-Registrierungsdatei einzulesen, ohne das Dateisystem vollständig zu laden. 

Abbildung C.3 Der Windows-Start-Manager erlaubt Ihnen, zwischen mehreren 

Betriebssystemen auszuwählen oder die Windows-Speicherdiagnose zu starten 

Bei Computern, die nur ein einziges Betriebssystem haben, zeigt der Windows-Start-Manager 

niemals eine Benutzeroberfläche an. Er wartet allerdings einen Moment, damit der Benutzer 

die Möglichkeit hat, eine Taste zu drücken, die das Standardstartmenü anzeigt (Abbildung 

C.3), oder um F8 zu drücken, damit die erweiterten Startoptionen angezeigt werden 

(Abbildung C.4). Falls der Benutzer innerhalb weniger Sekunden nach dem Abschluss von 

POST keine Taste drückt, startet der Windows-Start-Manager das Windows-Startladeprogramm, 

das seinerseits dann Windows 7 startet.


Abbildung C.4 Während des Starts können Sie das Standardverhalten des Windows- 

Start-Managers unterbrechen, um die erweiterten Startoptionen anzuzeigen 

Bei Computern, auf denen mehrere Betriebssysteme installiert sind (zum Beispiel Windows 7 

und Windows XP), zeigt der Windows-Start-Manager beim Start ein Menü der verfügbaren 

Betriebssysteme an. Abhängig davon, welche Option Sie auswählen, startet der Windows- 

Start-Manager jeweils einen anderen Prozess: 

Falls Sie Windows Vista oder Windows 7 wählen, startet der Windows-Start-Manager 

das Windows-Startladeprogramm, um Windows zu starten. 

Falls Sie eine ältere Windows-Version oder einen anderen Eintrag für Windows Server 

2003, Windows XP Professional, Microsoft Windows 2000 oder Microsoft Windows NT 

4 auswählen, startet der Windows-Start-Manager Ntldr, der dann in die Hardwareerkennungsphase 

wechselt. 

Falls Sie ein anderes Betriebssystem auswählen, wird die Steuerung an den Startsektor 

für dieses andere Betriebssystem übergeben. 

Falls Sie die Windows-Speicherdiagnose ausgeben, indem Sie die TAB-Taste drücken, 

startet der Windows-Start-Manager dieses Diagnosetool, ohne erst Windows zu starten. 

Windows-Startladeprogramm-Phase 

Der Windows-Start-Manager leitet die Windows-Startladeprogramm-Phase ein, wenn der 

Benutzer entscheidet, Windows Vista oder Windows 7 zu laden. Das Windows-Startladeprogramm 

führt folgende Aktionen aus: 

1. Es lädt den Betriebssystemkernel, Ntoskrnl.exe, führt ihn aber noch nicht aus. 

2. Es lädt den Hardware Abstraction Layer (HAL), Hal.dll. Der HAL wird erst benutzt, 

wenn der Kernel ausgeführt wird.


3. Es lädt die Systemregistrierungsstruktur (System32\Config\System) in den Arbeitsspeicher. 

4. Es sucht im Schlüssel HKEY_LOCAL_MACHINE\System\Services nach Gerätetreibern 

und lädt alle Treiber, die für die Klasse »boot« konfiguriert sind, in den Arbeitsspeicher. 

Das Startladeprogramm initialisiert die Treiber allerdings noch nicht. Das geschieht erst 

in der Kernel-Ladephase. 

5. Es aktiviert die Seitenauslagerung. 

6. Es übergibt die Steuerung an den Betriebssystemkernel, was die nächste Phase einleitet. 

Kernel-Ladephase 

Das Windows-Startladeprogramm hat die Aufgabe, den Windows-Kernel (Ntoskrnl.exe) und 

den Hardware Abstraction Layer (HAL) in den Arbeitsspeicher zu laden. Kernel und HAL 

initialisieren zusammen eine Gruppe von Softwarekomponenten, die als »Windows-Exekutive« 

(Windows executive) bezeichnet wird. Die Windows-Exekutive verarbeitet die Konfigurationsinformationen, 

die in der Registrierung unter HKLM\System\CurrentControlSet 

gespeichert sind, und startet Dienste und Treiber. Die folgenden Abschnitte enthalten mehr 

Einzelheiten zur Kernel-Ladephase. 

Control Sets 

Das Windows-Startladeprogramm liest Control Set-Informationen aus dem Registrierungsschlüssel 

HKEY_LOCAL_MACHINE\System, der in der Datei %SystemRoot%\System32\ 

Config\System gespeichert ist. Auf diese Weise kann der Kernel feststellen, welche Gerätetreiber 

während des Starts geladen werden müssen. Normalerweise gibt es mehrere Control 

Sets, wie viele es tatsächlich sind, hängt davon ab, wie oft die Systemkonfigurationseinstellungen 

geändert wurden. 

Während des Starts werden folgende Unterschlüssel von HKEY_LOCAL_MACHINE\System 

benutzt: 

\CurrentControlSet Ein Zeiger auf einen ControlSetxxx-Unterschlüssel (wobei xxx für 

die Nummer eines Control Sets steht, zum Beispiel 001), der im Wert \Select\Current 

eingetragen ist. 

\Select Enthält die folgenden Einträge: 

Default Verweist auf die Control Set-Nummer (zum Beispiel 001 = ControlSet001), 

die das System beim nächsten Start verwenden soll. Falls kein Fehler auftritt und 

kein Benutzereingriff für die Startoption LastKnownGood vorgenommen wird, ist für 

die Nummer dieses Control Sets der Wert der Einträge Default, Current und Last- 

KnownGood gespeichert (sofern ein Benutzer sich erfolgreich anmelden kann). 

Current Verweist auf das letzte Control Set, das benutzt wurde, um das System zu 

starten. 

Failed Verweist auf ein Control Set, das Windows 7 nicht erfolgreich starten konnte. 

Dieser Wert wird aktualisiert, wenn die Option LastKnownGood verwendet wird, um 

das System zu starten.


LastKnownGood Verweist auf das Control Set, das während der letzten Benutzersitzung 

verwendet wurde. Wenn sich ein Benutzer anmeldet, wird das Control Set 

LastKnownGood mit Konfigurationsinformationen aus der vorherigen Benutzersitzung 

aktualisiert. 

Das Windows-Startladeprogramm verwendet das Control Set, das durch \Select\Default 

identifiziert wird, sofern Sie nicht im Menü Erweiterte Startoptionen den Eintrag Letzte als 

funktionierend bekannte Konfiguration auswählen. 

Der Kernel erstellt den Registrierungsschlüssel HKEY_LOCAL_MACHINE\HARDWARE. Er 

enthält die Hardwareinformationen, die beim Systemstart gesammelt wurden. Windows 7 

unterstützt eine große Bandbreite an Geräten, und von Hardwareherstellern werden zusätzliche 

Treiber zur Verfügung gestellt, die sich nicht auf der Windows 7-Betriebssystem-DVD 

befinden. Treiber sind Kernmoduskomponenten, die erforderlich sind, damit Geräte innerhalb 

eines Betriebssystems funktionieren. Dienste sind Komponenten, die Betriebssystemund 

Anwendungsfunktionen unterstützen und als Netzwerkserver agieren. Dienste können in 

einem anderen Kontext als Benutzeranwendungen laufen, und normalerweise stellen sie 

kaum Optionen zur Verfügung, die der Benutzer konfigurieren kann. 

Zum Beispiel erfordert der Dienst Druckwarteschlange nicht, dass ein Benutzer angemeldet 

ist, er funktioniert ganz unabhängig davon, dass ein Benutzer am System angemeldet ist. 

Treiber kommunizieren im Allgemeinen direkt mit Hardwaregeräten, während Dienste normalerweise 

über Treiber mit der Hardware kommunizieren. Treiber- und -Dienstdateien sind 

normalerweise in den Ordnern %SystemRoot%\System32 und %SystemRoot%\System32\ 

Drivers gespeichert und haben die Dateinamenerweiterungen .exe, .sys oder .dll. 

Treiber sind ebenfalls Dienste. Daher verwenden das Windows-Startladeprogramm und 

Ntoskrnl während der Kernel-Initialisierung die Informationen, die in den HKEY_LOCAL_ 

MACHINE\System\CurrentControlSet\Services\-Registrierungsunterschlüsseln 

gespeichert sind, um festzustellen, welche Treiber und Dienste geladen werden sollen. 

In den -Unterschlüsseln gibt der Eintrag Start an, wann der Dienst gestartet 

werden soll. Zum Beispiel lädt das Windows-Startladeprogramm alle Treiber, bei denen 

Start den Wert 0 hat, das sind zum Beispiel Gerätetreiber für Festplattencontroller. Sobald 

die Ausführung an den Kernel übergeben wurde, lädt der Kernel Treiber und Dienste, bei 

denen Start den Wert 1 hat. 

Tabelle C.1 listet die Werte (dezimal) für den Registrierungseintrag Start auf. Starttreiber 

(bei denen Start den Wert 0 hat) und Dateisystemtreiber werden immer geladen, unabhängig 

davon, welchen Wert Start hat, weil sie erforderlich sind, um Windows 7 zu starten.

Tabelle C.1 Werte für den Registrierungseintrag Start 

Wert Starttyp Beschreibung 


0 Start Ein Treiber, der vom Startladeprogramm geladen, aber nicht gestartet wird. Falls 

keine Fehler auftreten, wird der Treiber während der Kernel-Initialisierung gestartet, 

bevor irgendwelche Nicht-Starttreiber geladen werden. 

1 System Ein Treiber, der während der Kernel-Initialisierung geladen und gestartet wird, 

nachdem Treiber mit dem Start-Wert 0 gestartet wurden. 

2 Autoladen Ein Treiber oder Dienst, der beim Systemstart vom Sitzungs-Manager (Smss.exe) 

oder dem Dienststeuerungsprogramm (Services.exe) initialisiert wird. 

3 Laden bei 

Bedarf 

Ein Treiber oder Dienst, den der SCM (Service Control Manager) nur bei Bedarf 

startet. Diese Treiber müssen gestartet werden, indem eine Win32-SCM-API 

(Application Programming Interface) aufgerufen wird, zum Beispiel im Snap-In 

Dienste. 

4 Deaktiviert Ein deaktivierter (nicht gestarteter) Treiber oder Dienst. 

5 Verzögerter 

Start 

Führt weniger kritische Dienste erst kurz nach dem Start aus, damit das Betriebssystem 

früher auf Benutzereingaben reagieren kann. Dieser Starttyp wurde in 

Windows Vista neu eingeführt. 

Tabelle C.2 listet einige der Werte (dezimal) für den Registrierungseintrag Type auf. 

Tabelle C.2 Werte für den Registrierungseintrag Type 

Wert Beschreibung 

1 Ein Kernel-Gerätetreiber 

2 Ein Kernmodus-Dateisystemtreiber (ebenfalls ein Kernel-Gerätetreiber) 

4 Argumente, die an einen Adapter übergeben werden 

8 Ein Dateisystemtreiber, zum Beispiel ein Dateisystemerkennungstreiber 

16 Ein Dienst, der vom Dienststeuerungsprotokoll gesteuert wird, innerhalb eines Prozesses läuft, 

der nur einen Dienst hostet, und über das Dienststeuerungsprogramm gestartet werden kann 

32 Ein Dienst, der in einem Prozess läuft, der mehrere Dienste hostet 

256 Ein Dienst, der Fenster in der Konsole anzeigen und Benutzereingaben entgegennehmen darf 

Manche Treiber und Dienste setzen voraus, dass bestimmte Bedingungen, die sogenannten 

Abhängigkeiten, erfüllt sind. Diese Abhängigkeiten sind in den Einträgen DependOnGroup 

und DependOnService des Unterschlüssels HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ 

für den jeweiligen Dienst oder Treiber aufgelistet. Weitere 

Informationen darüber, wie Sie mit Abhängigkeiten verhindern oder aufschieben, dass ein 

Treiber oder Dienst gestartet wird, finden Sie im Abschnitt »So können Sie einen Dienst 

zeitweise deaktivieren« weiter unten in diesem Anhang. Der Unterschlüssel Services enthält 

auch Informationen, die sich darauf auswirken, wie Treiber und Dienste geladen werden. 

Tabelle C.3 listet einige dieser anderen Einträge auf.


Tabelle C.3 Andere Registrierungseinträge in den -Unterschlüsseln 

Eintrag Beschreibung 

DependOnGroup Mindestens ein Element dieser Gruppe muss gestartet sein, bevor dieser Dienst 

geladen wird. 

DependOnService Die spezifischen Dienste, die geladen sein müssen, bevor dieser Dienst geladen 

wird. 

DisplayName Beschreibt die Komponente. 

ErrorControl Steuert, ob das System bei einem Treiberfehler mit dem Control Set LastKnown- 

Good gestartet werden muss oder eine Abbruchmeldung anzeigt. 

Falls der Wert 0x0 ist (Ignorieren, kein Fehler wird gemeldet), wird keine Warnung 

angezeigt und der Start wird einfach fortgesetzt. 

Falls der Wert 0x1 ist (Normal, Fehler melden), wird das Ereignis im Systemereignisprotokoll 

aufgezeichnet und es wird eine Warnmeldung angezeigt, aber 

der Start wird fortgesetzt. 

Falls der Wert 0x2 ist (Ernst), wird das Ereignis im Systemereignisprotokoll aufgezeichnet, 

es werden die LastKnownGood-Einstellungen verwendet, das System 

wird neu gestartet und der Start wird dann fortgesetzt. 

Falls der Wert 0x3 ist (Kritisch), wird das Ereignis im Systemereignisprotokoll 

aufgezeichnet, es werden die LastKnownGood-Einstellungen verwendet, und das 

System wird neu gestartet. Falls bereits die LastKnownGood-Einstellungen verwendet 

werden, wird eine Abbruchmeldung angezeigt. 

Group Gibt an, zu welcher Gruppe dieser Treiber oder Dienst gehört. So können zusammengehörige 

Treiber oder Dienste gemeinsam gestartet werden (zum Beispiel 

Dateisystemtreiber). Der Registrierungseintrag List im Unterschlüssel HKEY_ 

LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceGroupOrder gibt 

an, in welcher Reihenfolge die Gruppe gestartet wird. 

ImagePath Gibt den Pfad und den Dateinamen des Treibers oder Dienstes an (dieser Eintrag 

ist nicht immer vorhanden). 

ObjectName Gibt einen Objektnamen an. Falls der Eintrag Type einen Dienst angibt, ist der 

Objektname der Kontoname, unter dem der Dienst angemeldet wird, wenn er 

ausgeführt wird. 

Tag Die Reihenfolge, in der ein Treiber innerhalb einer Treibergruppe gestartet wird. 

Sitzungs-Manager 

Sobald alle Einträge mit den Starttypen »Start« (0) und »System« (1) verarbeitet worden 

sind, startet der Kernel den Sitzungs-Manager (Smss.exe), einen Benutzerprozess, der weiterläuft, 

bis das Betriebssystem heruntergefahren wird. Der Sitzungs-Manager führt wichtige 

Initialisierungsfunktionen aus, zum Beispiel: 

Erstellen von Systemumgebungsvariablen 

Starten des Kernmodusabschnitts des Win32-Subsystems (implementiert durch %System- 

Root%\System32\Win32k.sys), das dafür sorgt, dass Windows 7 vom Textmodus (in dem 

das Menü des Windows-Start-Managers angezeigt wird) in den Grafikmodus schaltet (in 

dem das Windows-Logo angezeigt wird). Windows-Anwendungen laufen im Windows- 

Subsystem. Diese Umgebung erlaubt es Anwendungen, auf Betriebssystemfunktionen 

zuzugreifen, um zum Beispiel Informationen auf dem Bildschirm anzuzeigen.


Starten des Benutzermodusabschnitts des Win32-Subsystems (implementiert durch 

%SystemRoot%\System32\Csrss.exe). Die Anwendungen, die dieses Windows-Subsystem 

verwenden, sind Benutzermodusprozesse. Sie haben keinen direkten Zugriff auf 

Hardware oder Gerätetreiber. Stattdessen müssen sie auf Windows-APIs zugreifen, um 

sich indirekt Zugriff auf Hardware zu verschaffen. Das erlaubt es Windows, direkte 

Hardwarezugriffe zu steuern, sodass Sicherheit und Zuverlässigkeit verbessert werden. 

Benutzermodusprozesse laufen mit geringerer Priorität als Kernmodusprozesse. Wenn 

das Betriebssystem mehr Arbeitsspeicher braucht, kann es Speicherseiten, die von 

Benutzermodusprozessen verwendet werden, auf die Festplatte auslagern. 

Starten des Anmelde-Managers (%SystemRoot%\System32\Winlogon.exe) 

Erstellen zusätzlicher Auslagerungsdateien für virtuellen Arbeitsspeicher 

Durchführen verzögerter Umbenennungsoperationen für Dateien, die im Registrierungseintrag 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations 

eingetragen sind. Zum Beispiel werden Sie manchmal 

aufgefordert, den Computer neu zu starten, nachdem ein neuer Treiber oder eine 

Anwendung installiert wurde, damit Windows 7 Dateien ersetzen kann, die momentan 

benutzt werden. 

Der Sitzungs-Manager sucht in der Registrierung nach Dienstinformationen, die in den 

folgenden Unterschlüsseln eingetragen sind: 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager enthält 

eine Liste der Befehle, die ausgeführt werden, bevor die Dienste geladen werden. Das 

Tool Autochk.exe wird durch den Wert des Registrierungseintrags BootExecute angegeben, 

und die Einstellungen für virtuellen Arbeitsspeicher (Auslagerungsdatei) sind im 

Unterschlüssel Memory Management gespeichert. Autochk, eine spezielle Version des 

Tools Chkdsk, wird beim Start ausgeführt, falls das Betriebssystem ein Dateisystemproblem 

entdeckt, das repariert werden muss, bevor der Startvorgang abgeschlossen ist. 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Sub- 

Systems enthält eine Liste der verfügbaren Subsysteme. Zum Beispiel enthält Csrss.exe 

den Benutzermodusabschnitt des Windows-Subsystems. 

Falls der Start während der Kernel-Ladephase fehlschlägt, nachdem ein anderes Betriebssystem 

auf dem Computer installiert wurde, ist die Ursache für das Problem wahrscheinlich ein 

inkompatibles Startladeprogramm. Startladeprogramme, die von Windows-Versionen vor 

Windows Vista installiert werden, können nicht benutzt werden, um Windows Vista oder 

Windows 7 zu starten. Verwenden Sie in einem solchen Fall die Systemwiederherstellung, 

um die Startdateien durch Windows-Startdateien zu ersetzen. 

Falls der Start während der Kernel-Ladephase fehlschlägt, obwohl Sie kein neues Betriebssystem 

installiert haben, sollten Sie versuchen, die problematische Komponente in der Startprotokollierung 

zu isolieren. Verwenden Sie dann den abgesicherten Modus, um die problematischen 

Komponenten zu deaktivieren (sofern möglich), oder die Systemwiederherstellung, 

um problematische Dateien zu ersetzen. Weitere Informationen finden Sie im Abschnitt 

»Problembehandlung für den Startvorgang, bevor das Windows-Logo erscheint« weiter unten 

in diesem Anhang. Falls Sie während dieser Phase einen Abbruchfehler bekommen, sollten 

Sie die in der Abbruchmeldung angegebenen Informationen analysieren, um die schuldige 

Komponente zu isolieren. Weitere Informationen über die Problembehandlung von Abbruchfehlern 

finden Sie in Anhang F, »Problembehandlung für Abbruchfehler«.


Anmeldephase 

Das Windows-Subsystem startet Winlogon.exe, einen Systemdienst, der die An- und Abmeldung 

ermöglicht. Winlogon.exe führt dann folgende Aktionen aus: 

Starten des Dienstsubsystems (Services.exe), auch als Dienstesteuerungs-Manager 

(Service Control Manager, SCM) bezeichnet. Der Dienstesteuerungs-Manager initialisiert 

Dienste, bei denen der Registrierungseintrag Start im Registrierungsunterschlüssel 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ den 

Wert 2 (Autoladen) hat. 

Starten des LSA-Prozesses (Local Security Authority, Datei Lsass.exe) 

Warten auf die Tastenkombination STRG+ALT+ENTF bei der Anmelden-Eingabeaufforderung 

(falls der Computer zu einer Active Directory-Domäne gehört) 

Die Benutzeroberfläche der Anmeldekomponente (LogonUI) und der Anmeldeinformationsanbieter 

(dies kann der Standardanmeldeinformationsanbieter oder der eines Fremdherstellers 

sein) nimmt Benutzernamen und Kennwort (oder andere Anmeldeinformationen) entgegen 

und übergibt diese Daten geschützt an den LSA, um sie authentifizieren zu lassen. Falls der 

Benutzer gültige Anmeldeinformationen eingegeben hat, wird der Zugriff gewährt, entweder 

mit dem standardmäßigen Kerberos V5-Authentifizierungsprotokoll oder mit NTLM 

(Windows NT LAN Manager). 

Winlogon initialisiert die Sicherheits- und Authentifizierungskomponenten, während Plug & 

Play automatisch ladende Dienste und Treiber initialisiert. Sobald der Benutzer angemeldet 

ist, wird das Control Set, auf das der Registrierungseintrag LastKnownGood verweist (in 

HKLM\System\Select), mit dem Inhalt im Unterschlüssel CurrentControlSet aktualisiert. In 

der Standardeinstellung startet Winlogon anschließend Userinit.exe und die Windows-Explorer-Shell. 

Userinit kann dann weitere Abläufe starten, zum Beispiel: 

Gruppenrichtlinieneinstellungen werden angewendet Gruppenrichtlinieneinstellungen, 

die auf den Benutzer und Computer angewendet werden, treten in Kraft. 

Startprogramme werden ausgeführt Wenn dies nicht durch Gruppenrichtlinieneinstellungen 

verhindert wird, startet Windows 7 Anmeldeskripts, Startprogramme und 

Dienste, die in den folgenden Registrierungsunterschlüsseln und Dateisystemordnern 

eingetragen sind: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ 

Runonce 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ 

Policies\Explorer\Run 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\ 

Windows\Run 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 

%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup 

%SystemDrive%\Documents and Settings\\Start Menu\Programs\ 

Startup

Wichtige Startdateien 465 

Manche Anwendungen werden so konfiguriert, dass sie beim Start automatisch ausgeführt 

werden, zum Beispiel Windows Defender. Computerhersteller oder IT-Abteilungen 

konfigurieren unter Umständen noch weitere Anwendungen, die automatisch gestartet 

werden. 

Der Start von Windows ist erst abgeschlossen, wenn sich ein Benutzer erfolgreich am 

Computer anmeldet hat. 

Falls der Start während der Anmeldephase fehlschlägt, liegt ein Problem mit einem Dienst 

oder einer Anwendung vor, die für den automatischen Start konfiguriert ist. Informationen 

zur Problembehandlung finden Sie im Abschnitt »So können Sie Autostartanwendungen und 

-prozesse zeitweise deaktivieren« weiter unten in diesem Anhang. Falls während dieser 

Phase ein Abbruchfehler auftritt, können Sie mithilfe der Informationen, die in der Abbruchmeldung 

angegeben sind, die fehlerhafte Komponente isolieren. Weitere Informationen über 

die Problembehandlung von Abbruchfehlern finden Sie in Anhang F, »Problembehandlung 

für Abbruchfehler«. 

Wichtige Startdateien 

Damit Windows 7 starten kann, müssen die System- und Startpartitionen die in Tabelle C.4 

aufgeführten Dateien enthalten. 

Tabelle C.4 Windows 7-Startdateien 

Dateiname Position Beschreibung 

BootMgr Stamm der 

Systempartition 

Der Windows-Start-Manager 

WinLoad %SystemRoot%\ 

System32 

Das Windows-Startladeprogramm 

BCD \Boot Eine Datei, die die Pfade zu Betriebssysteminstallationen 

und anderen Informationen angibt, die für den 

Start von Windows erforderlich sind 

Ntoskrnl.exe %SystemRoot%\ 

System32 

Hal.dll %SystemRoot%\ 

System32 

Smss.exe %SystemRoot%\ 

System32 

Csrss.exe %SystemRoot%\ 

System32 

Der Kern (Core oder Kernel) des Betriebssystems 

Windows 7. Code, der als Teil des Kernels läuft, wird 

im privilegierten Prozessormodus ausgeführt und hat 

direkten Zugriff auf Systemdaten und Hardware. 

Die HAL-DLL (Dynamic-Link Library). Die HAL 

stellt dem Betriebssystem eine Abstraktion für Low- 

Level-Hardwaredetails bereit und bietet eine einheitliche 

Programmierschnittstelle für Geräte desselben 

Typs (zum Beispiel Grafikkarten). 

Die Datei des Sitzungs-Managers. Der Sitzungs-Manager 

ist ein Benutzermodusprozess, der vom Kernel 

während des Starts angelegt wird. Er verarbeitet 

kritische Startaufgaben, zum Beispiel das Erstellen der 

Auslagerungsdateien und das Durchführen verzögerter 

Dateiumbenennungs- und -löschoperationen. 

Die Datei des Win32-Subsystems. Das Win32-Subsystem 

wird vom Sitzungs-Manager gestartet. Es ist 

erforderlich, damit Windows 7 funktioniert.


Dateiname Position Beschreibung 

Winlogon.exe %SystemRoot%\ 

System32 

Services.exe %SystemRoot%\ 

System32 

Lsass.exe %SystemRoot%\ 

System32 

Systemregistrierungsdatei %SystemRoot%\ 

System32\Config\ 

System 

Gerätetreiber %SystemRoot%\ 

System32\Drivers 

Die Datei für den Anmeldeprozess, der Anmeldeanforderungen 

des Benutzers verarbeitet und die Tastenkombination 

STRG+ALT+ENTF abfängt. Der Anmeldeprozess 

wird vom Sitzungs-Manager gestartet. 

Dies ist eine erforderliche Komponente. 

Der Dienstesteuerungs-Manager hat die Aufgabe, 

Dienste zu starten und zu beenden. Er ist eine erforderliche 

Komponente von Windows 7. 

Der LSA-Serverprozess (Local Security Authentication) 

wird vom Anmeldeprozess aufgerufen, um 

Benutzer zu authentifizieren. Er ist eine erforderliche 

Komponente. 

Die Datei mit den Daten, aus denen der Registrierungsschlüssel 

HKEY_LOCAL_MACHINE\System 

generiert wird. Dieser Schlüssel enthält Informationen, 

die das Betriebssystem benötigt, um Geräte und Systemdienste 

zu starten. 

Treiberdateien in diesem Ordner werden für Hardwaregeräte 

verwendet, zum Beispiel Tastatur, Maus und 

Grafikkarte. 

In Tabelle C.4 ist %SystemRoot% eine der vielen Umgebungsvariablen (environment 

variable), mit denen Zeichenfolgen, zum Beispiel Ordner- oder Dateipfade, mit Variablen 

verknüpft werden, die von Windows 7-Anwendungen und -Diensten benutzt werden. Zum 

Beispiel können Skripts mithilfe von Umgebungsvariablen ohne Anpassung auf Computern 

ausgeführt werden, die eine andere Konfiguration aufweisen. Sie können sich eine Liste der 

Umgebungsvariablen anzeigen lassen, die Sie im Rahmen der Problembehandlung verwenden 

können, indem Sie an der Windows-Eingabeaufforderung den Befehl set eingeben. 

So konfigurieren Sie Starteinstellungen 

Windows Vista und Windows 7 ermöglichen es Administratoren, Starteinstellungen weitgehend 

in denselben grafischen Tools zu konfigurieren, die auch Windows XP bereitstellt. 

Die Befehlszeilentools zum Konfigurieren der Starttools wurden allerdings durch neue Tools 

ersetzt, und Sie können die Startkonfigurationsdatei (früher die Datei Boot.ini) nicht mehr 

direkt bearbeiten. Die folgenden Abschnitte beschreiben verschiedene Techniken, um Starteinstellungen 

zu konfigurieren. 

So verwenden Sie das Dialogfeld Starten und Wiederherstellen 

Am einfachsten können Sie die BCD-Registrierungsdatei bearbeiten, indem Sie das Dialogfeld 

Starten und Wiederherstellen verwenden. Gehen Sie folgendermaßen vor, um im Dialogfeld 

Starten und Wiederherstellen das Standardbetriebssystem zu ändern: 




3. Klicken Sie im Feld Starten und Wiederherstellen auf die Schaltfläche Einstellungen.

So konfigurieren Sie Starteinstellungen 467 

4. Klicken Sie auf die Dropdownliste Standardbetriebssystem und wählen Sie das Betriebssystem 

aus, das in der Standardeinstellung geladen werden soll. 


Das Standardbetriebssystem wird automatisch geladen, wenn Sie den Computer das nächste 

Mal neu starten. 

So verwenden Sie das Tool Systemkonfiguration 

Das Tool Systemkonfiguration erlaubt eine genauere Kontrolle der Starteinstellungen. Unter 

anderem können Sie damit die BCD-Registrierungsdatei konfigurieren. Dieses Tool wurde 

speziell für die Problembehandlung entworfen. Sie können damit ganz einfach Änderungen 

rückgängig machen, die Sie an der Konfiguration des Computers vorgenommen haben (sogar 

nach einem Neustart des Computers). Falls Sie Änderungen mit dem Tool Systemkonfiguration 

vornehmen, erinnert es Benutzer bei der Anmeldung daran, dass bestimmte Einstellungen 

zeitweise geändert wurden. So verringert sich die Wahrscheinlichkeit, dass Einstellungen 

nicht zurückgesetzt werden, nachdem der Problembehandlungsvorgang abgeschlossen 

ist. 

Unter anderem können Sie mit dem Tool Systemkonfiguration folgende Aufgaben durchführen: 

Autostartanwendungen zeitweise deaktivieren, um die Ursache eines Problems zu isolieren, 

das nach der Anmeldung auftritt 

Automatisch startende Dienste zeitweise deaktivieren, um die Ursache eines Problems 

zu isolieren, das vor oder nach der Anmeldung auftritt 

Die BCD-Registrierungsdatei zeitweise oder dauerhaft konfigurieren 

Konfigurieren eines normalen, Diagnose- oder benutzerdefinierten Systemstarts für 

Windows 

Sie können das Tool Systemkonfiguration öffnen, indem Sie im Suchfeld des Startmenüs 

den Befehl msconfig eingeben und die EINGABETASTE drücken. Das Tool Systemkonfiguration 

hat fünf Registerkarten: 

Allgemein Auf dieser Registerkarte können Sie den Modus für den nächsten Start 

ändern. Beim normalen Systemstart werden alle Gerätetreiber und Dienste geladen. Der 

Diagnosesystemstart ist nützlich für die Behandlung von Startproblemen, dabei werden 

nur die grundlegenden Geräte und Dienste geladen. Wenn Sie die Option Benutzerdefinierter 

Systemstart auswählen, können Sie festlegen, ob Sie Systemdienste oder Startelemente 

laden wollen. 

Start Auf dieser Registerkarte können Sie die BCD-Registrierungsdatei und Starteinstellungen 

konfigurieren. Sie können Optionen für den Start von Betriebssystemen entfernen, 

das Standardbetriebssystem auswählen, erweiterte Einstellungen für ein Betriebssystem 

konfigurieren (zum Beispiel Zahl der Prozessoren, maximaler Arbeitsspeicher 

und Debugeinstellungen) und Windows 7 für den abgesicherten Start oder einen Start 

ohne grafische Benutzeroberfläche konfigurieren. 

Dienste Auf dieser Registerkarte können Sie zeitweise die Starteinstellungen für einen 

Dienst ändern. Das ist eine hervorragende Methode, um festzustellen, ob ein automatisch 

startender Dienst Startprobleme verursacht. Starten Sie Ihren Computer neu, nachdem


Sie einen Dienst deaktiviert haben, und überprüfen Sie, ob das Problem noch besteht. 

Falls das Problem noch vorhanden ist, haben Sie eine mögliche Ursache für das Problem 

beseitigt. Sie können den Dienst dann auf dieser Registerkarte wieder aktivieren, einen 

anderen Dienst deaktivieren und den Prozess wiederholen. Wenn Sie Dienste dauerhaft 

deaktivieren wollen, sollten Sie die Konsole Dienste verwenden. 

Systemstart Listet Anwendungen auf, die so konfiguriert sind, dass sie automatisch 

gestartet werden. Dies ist die beste Methode, um Anwendungen während einer Problembehandlung 

zeitweise zu deaktivieren, weil Sie die Anwendungen später wieder problemlos 

im selben Tool aktivieren können. Sie sollten das Tool Systemkonfiguration allerdings 

nicht verwenden, um Startanwendungen dauerhaft zu deaktivieren, weil das Tool 

Systemkonfiguration mit dem Ziel entwickelt wurde, solche Änderungen leicht rückgängig 

machen zu können. Stattdessen sollten Sie die Anwendung von Hand entfernen oder 

Windows Defender verwenden. 

Tools Stellt Links auf andere Tools bereit, die Sie starten können. 

Hinweis Die Registerkarten Win.ini, System.ini und Boot.ini wurden aus dem Tool Systemkonfiguration 

entfernt, weil diese Dateien seit Windows XP nicht mehr benutzt werden. 

Weil das Tool Systemkonfiguration eine grafische Benutzeroberfläche hat, ist es in erster 

Linie nützlich, wenn Windows 7 erfolgreich starten konnte. 

So verwenden Sie BCDEdit 

Das Befehlszeilentool BCDEdit bietet Ihnen fast unbegrenzte Steuerungsmöglichkeiten über 

die BCD-Registrierungsdatei und die Konfigurationseinstellungen. 

Hinweis Falls Sie einen Computer haben, auf dem sowohl Windows XP als auch Windows 7 

installiert ist, und Sie die BCD-Registrierungsdatei von Windows XP aus bearbeiten möchten, 

können Sie BCDEdit unter Windows XP ausführen, indem Sie es direkt aus dem Ordner 

Windows\System32 Ihrer Windows 7-Installation starten. Das mag zwar in einigen Konfigurationen 

mit mehreren Betriebssystemen nützlich sein, aber normalerweise sollten Sie 

BCDEdit aus der Eingabeaufforderung der Systemwiederherstellung heraus starten, falls Sie 

Windows 7 nicht laden können. 

Sie müssen administrative Anmeldeinformationen verwenden, um BCDEdit innerhalb von 

Windows 7 auszuführen. Gehen Sie dazu folgendermaßen vor: 

1. Klicken Sie im Startmenü auf Alle Programme und dann auf Zubehör. 

2. Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator 

ausführen. 

Sie können sich ausführliche Informationen über die Verwendung von BCDEdit anzeigen 

lassen, indem Sie in einer Eingabeaufforderung den Befehl BCDEdit /? ausführen. Die 

folgenden Abschnitte beschreiben, wie Sie bestimmte Aufgaben mit BCDEdit ausführen.

So interpretieren Sie die Ausgaben von BCDEdit 


Mit dem Befehl bcdedit /enum können Sie sich ansehen, welche Einstellungen momentan in 

Ihrer BCD-Registrierungsdatei definiert sind. Optional können Sie an diesen Befehl einen 

der folgenden Parameter anhängen, um auszuwählen, welche Einträge angezeigt werden 

sollen: 

Active Die Standardeinstellung, die auch angezeigt wird, falls Sie bcdedit /enum ohne 

weitere Parameter aufrufen. Zeigt alle Einträge in der Reihenfolge an, in der Sie auch 

vom Start-Manager aufgelistet werden. 

Firmware Zeigt alle Firmwareanwendungen an. 

Bootapp Zeigt alle Startumgebungsanwendungen an. 

Osloader Zeigt alle Betriebssystemeinträge an. 

Resume Zeigt alle Einträge für die Wiederherstellung aus dem Ruhezustand an. 

Inherit Zeigt alle inherit-Einträge an. 

All Zeigt alle Einträge an. 

Zum Beispiel können Sie sich den Starteintrag für die Wiederherstellung aus dem Ruhezustand 

ansehen, indem Sie den folgenden Befehl mit Administratorrechten an der Eingabeaufforderung 

eingeben: 

bcdedit /enum resume 

Und mit dem folgenden Befehl können Sie sich alle Starteinträge ansehen: 

bcdedit /enum all 

So können Sie Einstellungen sichern und wiederherstellen 

Wenn Sie Änderungen an Ihrer BCD-Registrierungsdatei vornehmen, kann das dazu führen, 

dass Ihr Computer nicht mehr gestartet werden kann. Bevor Sie Änderungen an Ihrer BCD- 

Registrierungsdatei vornehmen, sollten Sie daher eine Sicherungskopie anlegen, eine startfähige 

Windows 7-DVD bereitlegen und darauf vorbereitet sein, die ursprüngliche BCD- 

Registrierungsdatei wiederherzustellen. 

Sie können Ihre aktuelle BCD-Registrierung sichern, indem Sie den Befehl bcdedit /export 

aufrufen, wie hier gezeigt: 

bcdedit /export backupbcd.bcd 

Später können Sie Ihre ursprüngliche BCD-Registrierungsdatei wiederherstellen, indem Sie 

den Befehl bcdedit /import aufrufen: 

bcdedit /import backupbcd.bcd 

Hinweis Dateiname und Erweiterung können Sie nach Belieben wählen. 

Falls Windows 7 nicht mehr gestartet werden kann, sollten Sie die Anleitung im Abschnitt 

»Der Ablauf bei der Behandlung von Startproblemen« weiter unten in diesem Anhang durcharbeiten.

470 Anhang C: Konfiguration und Problembehandlung des Startvorgangs 

So ändern Sie den Eintrag für das Standardbetriebssystem 

Sie können sich den aktuellen Eintrag für das Standardbetriebssystem ansehen, indem Sie 

den folgenden Befehl ausführen und nach der Zeile mit dem Begriff »default« suchen: 

bcdedit /enum {bootmgr} 


-------------------- 

identifier {bootmgr} 

device partition=\Device\HarddiskVolume1 

description Windows Boot Manager 

locale de-DE 

inherit {globalsettings} 

default {current} 

resumeobject {24a500f3-12ea-11db-a536-b7db70c06ac2} 

displayorder {current} 

toolsdisplayorder {memdiag} 

timeout 30 

Wenn Sie den Eintrag für das Standardbetriebssystem ändern wollen, sollten Sie erst den 

folgenden Befehl ausführen, um sich die vorhandenen Einträge anzusehen. Notieren Sie sich 

den Bezeichner für den Eintrag, den Sie als Standard verwenden wollen: 

bcdedit /enum 

Führen Sie dann den folgenden Befehl aus, um einen neuen Standardeintrag festzulegen 

(dabei ist der Bezeichner für den neuen Eintrag: 

bcdedit /default 

Zum Beispiel können Sie mit dem folgenden Befehl den Windows-Start-Manager so konfigurieren, 

dass er als Standardeinstellung die ältere Installation von Windows XP (die hier 

durch den Bezeichner {ntldr} identifiziert wird) startet: 

bcdedit /default {ntldr} 

Führen Sie den folgenden Befehl aus, damit die momentan laufende Instanz von Windows 7 

standardmäßig gestartet wird: 

bcdedit /default {current} 

So ändern Sie die Anzeigedauer des Startauswahlmenüs 

Das Startauswahlmenü wird standardmäßig 30 Sekunden lang angezeigt, falls mehr als ein 

Startauswahlmenüeintrag vorhanden ist. Falls es nur einen Eintrag gibt, wird das Menü 

überhaupt nicht angezeigt (der Start-Manager wartet allerdings einige Sekunden, damit Sie 

eine Taste drücken können, um das Menü zu öffnen). 

Mit dem Befehl bcdedit /timeout Sekunden können Sie einstellen, wie lange das Startauswahlmenü 

standardmäßig angezeigt wird: 

bcdedit /timeout 15


So ändern Sie die Reihenfolge der Einträge im Start-Manager-Menü 

Sie können die Reihenfolge der Elemente im Start-Manager-Menü ändern, indem Sie den 

Befehl bcdedit /display ausführen und dann die Bezeichner der Menüelemente in der gewünschten 

Reihenfolge angeben, wie im folgenden Beispiel gezeigt: 

bcdedit /display {current} {ntldr} {cbd971bf-b7b8-4885-951a-fa0344f5d71} 

So erstellen Sie einen Eintrag für ein anderes Betriebssystem 

Sie können mit BCDEdit einen Eintrag für ein anderes Betriebssystem als Windows 7 erstellen. 

Sie können zum Beispiel Starteinträge zur BCD-Registrierungsdatei hinzufügen, falls 

Sie die Möglichkeit bieten wollen, unterschiedliche Betriebssysteme auf demselben Computer 

zu laden. Windows 7 erstellt zwar automatisch Starteinträge für vorhandene Betriebssysteme, 

die bereits installiert sind, aber Sie müssen unter Umständen von Hand einen Starteintrag 

hinzufügen, falls Sie nach Windows 7 ein anderes Betriebssystem installieren oder 

ein Betriebssystem von einer neu angeschlossenen Festplatte starten wollen. 

In der Standardeinstellung enthält die BCD-Registrierungsdatei einen Eintrag mit der Bezeichnung 

{ntldr}. Dieser Eintrag startet eine ältere Windows-Version von Ihrer C:\Partition. 

Falls Sie nur ein älteres Betriebssystem haben und die Option Frühere Windows-Version 

momentan nicht im Startauswahlmenü des Computers angezeigt wird, können Sie diesen 

vorhandenen Eintrag verwenden, um das ältere Betriebssystem zu starten. Rufen Sie dazu 

bcdedit /set auf, um das Startvolume zu konfigurieren. Fügen Sie dann einen Eintrag zum 

Betriebssystemmenü des Windows-Start-Managers hinzu, indem Sie den Befehl bcdedit / 

displayorder aufrufen. Das folgende Codebeispiel demonstriert, wie Sie vorgehen sollten: 

REM Passen Sie die folgende Zeile so an, dass sie auf die Partition des anderen 

REM Betriebssystemsverweist. Die folgende Zeile könnte auch lauten: 

REM bcdedit /set {ntldr} device boot 

bcdedit /set {ntldr} device partition=C: 

REM Die folgende Zeile macht den Eintrag startfähig, indem sie ihn zum Menü hinzufügt 

bcdedit /displayorder {ntldr} /addlast 

Sie können überprüfen, ob der neue Eintrag im Startauswahlmenü angezeigt wird, indem Sie 

den Befehl bcdedit /enum active ausführen und nachsehen, ob der Eintrag für das Windows-Legacybetriebssystem-Ladeprogramm 

aufgeführt wird. 

Falls Sie zwischen mehreren älteren Windows-Betriebssystemen auswählen müssen, sollten 

Sie den Eintrag {ntldr} aus dem Startauswahlmenü verwenden. Der Windows-Start-Manager 

übergibt dann die Steuerung an NLTDR, das seinerseits auf Basis der Datei Boot.ini ein 

Menü anzeigt, in dem Sie zwischen allen Windows-Betriebssystemen auswählen können. 

Falls Sie einen Eintrag für ein Nicht-Microsoft-Betriebssystem erstellen wollen, können 

Sie entweder mit dem Befehl bcdedit /create einen Eintrag anlegen oder den vorhandenen 

{ntldr}-Eintrag kopieren und für das Betriebssystem anpassen. Sie können einen neuen Eintrag 

von {ntldr} ableiten, indem Sie den Eintrag kopieren, den Pfad für das Startladeprogramm 

ändern und den Eintrag dann mit den folgenden Befehlen zum Startauswahlmenü 

hinzufügen:


bcdedit /copy {ntldr} /d "Anderes Betriebssystem (oder andere Beschreibung)" 

REM Der vorherige Befehl zeigt eine neue GUID an, die die Kopie identifiziert. Verwenden 

REM Sie diese GUID im folg. Befehl und passen Sie den Partitionsbezeichner bei Bedarf an. 

bcdedit /set {NEUE-GUID} device partition=C: 

Hinweis Versuchen Sie nicht, die GUID abzutippen. Die Gefahr, dass Sie einen Fehler 

machen, ist zu groß. Kopieren Sie sie stattdessen in die Zwischenablage. Klicken Sie auf das 

Befehlsmenü in der linken oberen Ecke des Eingabeaufforderungsfensters und wählen Sie 

den Befehl Bearbeiten/Markieren. Wählen Sie den GUID-Text aus (inklusive der Klammern) 

und drücken Sie die EINGABETASTE. Fügen Sie dann die GUID in die Eingabeaufforderung 

ein, indem Sie im Befehlsmenü den Befehl Bearbeiten/Einfügen wählen. 

Führen Sie jetzt den folgenden Befehl aus, um das Startladeprogramm des Betriebssystems 

anzugeben: 

REM Ersetzen Sie den letzten Parameter durch den Dateinamen des Startladeprogramms 

bcdedit /set {NEUE-GUID} path \Startladeprogramm 

Falls {ntldr} nicht im Startauswahlmenü eingetragen war, als sie es kopiert haben, müssen 

Sie außerdem den folgenden Befehl ausführen, um den kopierten Eintrag zum Startauswahlmenü 

hinzuzufügen: 

bcdedit /displayorder {NEUE-GUID} /addlast 

Außerdem müssen Sie unter Umständen das eigene Startladeprogramm des anderen Betriebssystems 


So entfernen Sie einen Eintrag aus dem Startauswahlmenü 

Normalerweise brauchen Sie keine Einträge aus der BCD-Registrierungsdatei zu entfernen. 

Stattdessen sollten Sie einfach Einträge aus dem Menü des Windows-Start-Managers löschen. 

Führen Sie dazu erst den Befehl bcdedit /enum aus und notieren Sie sich den Bezeichner 

des Starteintrags. Führen Sie dann den folgenden Befehl aus, wobei Sie den Bezeichner 

einsetzen: 

bcdedit /displayorder {GUID} /remove 

Zum Beispiel entfernt der folgende Befehl einen Eintrag, der die ältere Windows-Version 

lädt, aus dem Startauswahlmenü: 

bcdedit /displayorder {ntldr} /remove 

Später können Sie den Eintrag wieder zum Startauswahlmenü hinzufügen, indem Sie den 

folgenden Befehl ausführen: 

bcdedit /displayorder {GUID} /addlast 

Mit dem folgenden Befehl können Sie einen Eintrag dauerhaft aus der BCD-Registrierung 

löschen: 

bcdedit /delete {GUID} /remove 

Sie sollten einen Eintrag aber nur dauerhaft entfernen, falls Sie die entsprechenden Betriebssystemdateien 

vom Computer gelöscht haben.


So können Sie globale Debuggereinstellungen anzeigen und ändern 

Sie können sich die Debuggereinstellungen für Starteinträge ansehen, indem Sie den folgenden 


bcdedit /enum 

Weitere Informationen über das Anzeigen von Einträgen finden Sie im Abschnitt »So interpretieren 

Sie die Ausgaben von BCDEdit« weiter oben in diesem Anhang. Mit dem folgenden 

Befehl können Sie die Debuggereinstellungen für einen Starteintrag ändern: 

bcdedit /dbgsettings Debugtyp [debugport:Port] [baudrate:Baud] [channel:Kanal] 

[targetname:Zielname] 

Ersetzen Sie die Parameter durch Ihre eigenen Einstellungen, wie in der folgenden Liste 

beschrieben: 

Debugtyp Gibt den Typ des Debuggers an. Debugtyp kann SERIAL, 1394 oder USB sein. 

Die übrigen Optionen hängen davon ab, welchen Debugtyp Sie ausgewählt haben. 

Port Gibt beim Debugtyp SERIAL die serielle Schnittstelle an, die als Debuganschluss 

verwendet wird. 

Baud Gibt beim Debugtyp SERIAL die Baudrate an, die für den Debuganschluss verwendet 

wird. 

Kanal Gibt beim Debugtyp 1394 an, welcher 1394-Kanal für das Debuggen verwendet 

wird. 

Zielname Gibt beim Debugtyp USB den USB-Zielnamen an, der für das Debuggen 

verwendet wird. 

Zum Beispiel konfiguriert der folgende Befehl die globalen Debuggereinstellungen für 

serielles Debuggen über COM1 mit 115.200 Baud: 

bcdedit /dbgsettings serial debugport:1 baudrate:115200 

Der folgende Befehl konfiguriert die globalen Debuggereinstellungen für 1394-Debuggen 

über Kanal 23: 

bcdedit /dbgsettings 1394 CHANNEL:32 

Der folgende Befehl konfiguriert die globalen Debuggereinstellungen für USB-Debuggen 

über den Zielnamen »debugging«: 

bcdedit /dbgsettings USB targetname:debugging 

So entfernen Sie das Windows 7-Startladeprogramm 

Wenn Sie Windows 7 aus einer Startumgebung mit mehreren Betriebssystemen entfernen 

wollen, in der Windows XP oder eine ältere Windows-Version vorhanden ist, können Sie 

folgendermaßen vorgehen: 

1. Stellen Sie mit Bootsect.exe das Programm Ntldr.exe wieder her. Geben Sie dazu den folgenden 

Befehl ein, wobei D:\ das Laufwerk mit dem Windows 7-Installationsmedium ist: 

D:\Boot\Bootsect.exe –NT52 All 

Wenn der Computer neu startet, lädt er nicht mehr den Windows-Start-Manager. Stattdessen 

wird Ntldr.exe geladen, das die Datei Boot.ini verarbeitet und eine ältere Windows- 

Version startet.


2. Falls Windows 7 nicht auf der aktiven Partition installiert ist, können Sie jetzt die Partition 

löschen oder entfernen, auf der Windows 7 installiert ist. 

Hinweis Sie können diese Schritte in allen Windows-Versionen durchführen. Falls Sie 

diese Schritte in Windows Vista oder Windows 7 durchführen, müssen Sie die Befehle in 

einer Eingabeaufforderung ausführen, die erhöhte Benutzerrechte hat. Klicken Sie dazu im 

Startmenü auf Alle Programme, Zubehör, dann mit der rechten Maustaste auf Eingabeaufforderung 

und schließlich auf Als Administrator ausführen. 

So konfigurieren Sie ein Benutzerkonto für die automatische Anmeldung 

Dass Benutzer nach dem Start des Computers ihre Anmeldeinformationen eingeben müssen, 

ist ein wichtiges Element der Windows-Sicherheit. Wird ein Benutzerkonto automatisch 

angemeldet, kann jeder, der physischen Zugriff auf den Computer hat, ihn neu starten und 

dann auf die Dateien des betreffenden Benutzers zugreifen. In Fällen, wo die physische 

Sicherheit eines Computers gewährleistet ist, wird eine automatische Anmeldung allerdings 

oft als nützlich empfunden. Gehen Sie folgendermaßen vor, um einen Arbeitsgruppencomputer 

so zu konfigurieren, dass ein Benutzerkonto automatisch angemeldet wird (diese 

Schritte können Sie nicht auf einem Computer ausführen, der ein Domänenmitglied ist): 

1. Geben Sie im Suchfeld des Startmenüs den Befehl netplwiz ein und drücken Sie die 

EINGABETASTE. 

2. Klicken Sie im Dialogfeld Benutzerkonten auf das Konto, das automatisch angemeldet 

werden soll. Deaktivieren Sie das Kontrollkästchen Benutzer müssen Benutzernamen 

und Kennwort eingeben, sofern es angezeigt wird. 


4. Geben Sie im Dialogfeld Automatische Anmeldung zweimal das Kennwort des Benutzers 

ein. Klicken Sie auf OK. 

Wenn Sie den Computer das nächste Mal starten, wird automatisch das lokale Benutzerkonto 

angemeldet, das Sie ausgewählt haben. Wenn Sie die automatische Anmeldung konfigurieren, 

wird das Kennwort des Benutzers unverschlüsselt in der Registrierung gespeichert, 

wo die Gefahr besteht, dass jemand es ausliest. 

So deaktivieren Sie den Windows-Startsound 

In der Standardeinstellung spielt Windows im Rahmen des Startvorgangs einen Sound ab. 

Dieser Sound ist manchmal für die Analyse von Startproblemen nützlich, weil er verrät, ob 

Sie eine bestimmte Startphase erreicht haben. Wenn es Ihnen lieber ist, können Sie den 

Startsound aber auch folgendermaßen deaktivieren: 


2. Klicken Sie in der Systemsteuerung auf Hardware und Sound. 

3. Klicken Sie auf Systemsounds ändern. 

4. Deaktivieren Sie auf der Registerkarte Sounds das Kontrollkästchen Windows-Startsound 

wiedergeben und klicken Sie auf OK.

So beschleunigen Sie den Startvorgang 

Der Ablauf bei der Behandlung von Startproblemen 475 

Der Systemstart ist ein komplexer Vorgang, und er dauert auf jedem Computer unterschiedlich 

lang. Aber oft ist es möglich, den Startvorgang zu beschleunigen. Gehen Sie folgendermaßen 

vor, um die Einstellungen zu optimieren, die Einfluss auf die Geschwindigkeit des 

Startvorgangs haben: 

1. Stellen Sie den Computer in den BIOS-Einstellungen so ein, dass er zuerst vom Windows- 

Startlaufwerk startet. Wollen Sie später ausnahmsweise von einem Wechseldatenträger 

starten, müssen Sie diese Einstellung vorher ändern. 

2. Aktivieren Sie in den BIOS-Einstellungen des Computers die Einstellung Fast Boot 

(sofern vorhanden), um zeitaufwendige und oft unnötige Hardwareprüfungen zu überspringen. 

3. Wenn Sie mehrere Startmenüelemente haben, können Sie die Wartezeit auf der Registerkarte 

Start des Programms Msconfig verringern. Stattdessen können Sie den Timeoutwert 

auch mit BCDEdit einstellen, wie im Abschnitt »So ändern Sie die Anzeigedauer 

des Startauswahlmenüs« weiter oben in diesem Anhang beschrieben. 

4. Machen Sie Platz auf der Festplatte frei, falls weniger als 15 Prozent frei sind, und defragmentieren 

Sie anschließend die Festplatte. Die Defragmentierung wird zwar standardmäßig 

automatisch durchgeführt, aber sie ist nicht besonders effektiv, wenn nur wenig 

Festplattenplatz frei ist. 

5. Deaktivieren Sie unnötige Hardware im Geräte-Manager von Windows. 

6. Verwenden Sie Windows-ReadyBoost, um bestimmte Dateien, die für den Startvorgang 

benutzt werden, auf einem USB-Flashlaufwerk zwischenzuspeichern. 

7. Entfernen Sie nicht benötigte Autostartanwendungen. 

8. Suchen Sie nach Diensten, die automatisch starten sollen, aber nicht sofort beim Start 

des Betriebssystems laufen müssen (dies betrifft nur Dienste, die nicht zu Windows gehören). 

Ändern Sie den Starttyp dieser Dienste in der Konsole Dienste auf Automatisch 

(Verzögerter Start). Sind Dienste so eingestellt, dass sie automatisch starten, obwohl dies 

gar nicht notwendig ist, sollten Sie ihren Starttyp auf Manuell ändern. 

Wollen Sie Probleme im Bereich der Systemstartleistung genauer analysieren, sollten Sie 

das Ereignisprotokoll Anwendungs- und Dienstprotokolle\Microsoft\Windows\Diagnostics- 

Performance\Betriebsbereit untersuchen. Ereignisse mit IDs von 100 bis 199 liefern Details 

zur Systemstartleistung, die nützlich sind, wenn sich der Startvorgang zu lange hinzieht. 

Insbesondere liefert die Ereignis-ID 100 die Dauer des Startvorgangs in der Einheit Millisekunden. 

Andere Ereignisse identifizieren Anwendungen oder Dienste, die den Startvorgang 

verzögern. 

Der Ablauf bei der Behandlung von Startproblemen 

Startprobleme lassen sich in drei Kategorien untergliedern: 

Probleme, die auftreten, bevor das Windows-Logo erscheint Diese Probleme werden 

normalerweise durch fehlende Startdateien (oft weil ein anderes Betriebssystem über 

Windows 7 installiert wurde), beschädigte Dateien oder Hardwareprobleme verursacht. 

Informationen über die Behandlung von Problemen, die auftreten, bevor das Windows-


Logo erscheint, finden Sie im nächsten Abschnitt, »Problembehandlung für den Startvorgang, 

bevor das Windows-Logo erscheint«. 

Probleme, die auftreten, nachdem das Windows-Logo erscheint, aber bevor die 

Anmeldeeingabeaufforderung angezeigt wird Diese Probleme werden meist durch 

fehlerhafte oder falsch konfigurierte Treiber und Dienste verursacht. Auch Hardwareprobleme 

können Fehler in dieser Phase des Startvorgangs auslösen. Informationen über 

die Behandlung von Problemen, die auftreten, nachdem das Windows-Logo erscheint, 

aber bevor die Anmeldeeingabeaufforderung angezeigt wird, finden Sie im Abschnitt 

»Problembehandlung für den Startvorgang, nachdem das Windows-Logo erscheint« 

weiter unten in diesem Anhang. 

Probleme, die nach der Anmeldung auftreten Diese Probleme werden normalerweise 

durch Autostartanwendungen ausgelöst. Informationen über die Behandlung von 

Problemen, die nach der Anmeldung auftreten, finden Sie im Abschnitt »Problembehandlung 

für Startprobleme nach der Anmeldung« weiter unten in diesem Anhang. 

Problembehandlung für den Startvorgang, bevor das Windows-Logo erscheint 

Die Behandlung von Startproblemen ist schwieriger als die Behandlung von Problemen, die 

auftreten, während Windows läuft, weil Sie nicht die ganze Bandbreite der Problembehandlungswerkzeuge 

zur Verfügung haben, die in Windows enthalten sind. Windows 7 stellt 

allerdings verschiedene Tools bereit, mit denen Sie die Ursache ermitteln und das Problem 

beseitigen können, falls es nicht gelingt, das Betriebssystem zu starten. In erster Linie 

können Sie WinRE ausführen, indem Sie es von der Windows-DVD oder direkt von der 

Festplatte starten. WinRE kann auch automatisch ausgeführt werden, falls der Start von 

Windows fehlschlägt. Die WinRE-Tools umfassen das Tool Systemstartreparatur, das viele 

häufiger vorkommende Startprobleme automatisch beseitigen kann. 

Gehen Sie nach dem Schema vor, das in Abbildung C.5 beschrieben ist, um Startprobleme 

zu beseitigen, die auftreten, bevor das Windows-Logo erscheint. Nach jedem Problembehandlungsschritt 

sollten Sie versuchen, den Computer zu starten. Falls der Computer erfolgreich 

startet oder der Startvorgang so weit fortschreitet, dass das Windows-Logo erscheint, 

können Sie die Problembehandlung beenden. 

Die folgenden Abschnitte beschreiben diese Problembehandlungsschritte genauer. 

Hinweis Wenn Sie Windows BitLocker aktiviert haben, kann ein verlorener Verschlüsselungsschlüssel 

dazu führen, dass der Computer nicht mehr gestartet werden kann. 

So führen Sie die Systemstartreparatur aus 

Sie können die Systemstartreparatur ausführen, indem Sie die Systemwiederherstellungstools 

öffnen und dann die Systemstartreparatur ausführen, wie in den folgenden Abschnitten 

beschrieben. 

So starten Sie die Systemwiederherstellungstools 

Windows 7 installiert automatisch die Systemwiederherstellungstools, die in der Lage sind, 

praktisch jedes Startproblem im Zusammenhang mit Bootsektoren, MBR oder BCD-Registrierungsdatei 

zu reparieren. Das Tool Systemstartreparatur kann die meisten Startprobleme 

automatisch korrigieren, ohne dass Sie genau wissen müssen, was beim Startvorgang des


Betriebssystems passiert. Das Tool ist so simpel, dass Sie im Rahmen der Problembehandlung 

sogar problemlos Endbenutzer durch die Bedienung dieses Tools leiten können. 

Abbildung C.5 Folgen Sie diesem Ablauf, um eine Problembehandlung für 

Startprobleme durchzuführen, die auftreten, bevor das Windows-Logo erscheint 

Gehen Sie folgendermaßen vor, um die Systemwiederherstellungstools zu starten: 

1. Starten Sie den Computer neu. Falls die Systemwiederherstellungstools nicht automatisch 

gestartet werden, müssen Sie den Computer noch einmal neu starten und diesmal 

F8 drücken, bevor das Windows-Startlogo erscheint. Wählen Sie dann im Bildschirm 

Erweiterte Startoptionen den Eintrag Computer reparieren aus. 

2. Wählen Sie Ihre Sprache und die gewünschte Tastatureingabemethode aus und klicken 


3. Wählen Sie Ihren Benutzernamen aus und geben Sie Ihr Kennwort ein. Klicken Sie auf 

OK.


Hinweis Auf den meisten Windows 7-Computern wurden die Systemwiederherstellungstools 

bereits vom Computerhersteller installiert. Auf diesen Computern können Sie die Systemwiederherstellungstools 

schneller starten, indem Sie F8 drücken, bevor das Windows- 

Logo erscheint, und dann auf dem Bildschirm Erweiterte Startoptionen den Eintrag Computer 

reparieren wählen. Diese Computer können Startfehler auch automatisch erkennen 

(indem sie feststellen, ob der letzte Start fehlgeschlagen ist) und die Systemstartreparatur 

ausführen. 

Gelingt es nicht, die Systemwiederherstellungstools von der Festplatte zu starten, müssen 

Sie die Windows-DVD einlegen und den Computer so konfigurieren, dass er von dieser 

DVD startet. Gehen Sie dabei folgendermaßen vor: 

1. Legen Sie die Windows-DVD in Ihren Computer ein. 

2. Starten Sie Ihren Computer neu. Drücken Sie irgendeine Taste, wenn Sie gefragt werden, 

ob Sie von der DVD starten wollen. Falls keine solche Meldung erscheint, müssen Sie 

unter Umständen die Startreihenfolge Ihres Computers verändern. Weitere Informationen 

finden Sie im Abschnitt »Anfangsstartphase« weiter oben in diesem Anhang. 

3. Warten Sie, bis das Windows 7-Setup ausgeführt wird. 

4. Wählen Sie Ihre Regionseinstellungen und das Tastaturlayout und klicken Sie dann auf 

Weiter. 

5. Klicken Sie auf Computer reparieren, um RecEnv.exe zu starten. 

6. Nach dem Start der Systemwiederherstellungstools sucht die Systemwiederherstellung 

auf Ihren Festplatten nach Windows-Installationen. 

7. Falls die Windows-Standardtreiber keine Festplatte erkennen, weil dafür Treiber benötigt 

werden, die nicht in Windows 7 enthalten sind, können Sie auf die Schaltfläche Treiber 

laden klicken, um den Treiber zu laden. Wählen Sie anschließend ein Betriebssystem 

aus, das repariert werden soll, und klicken Sie auf Weiter. 

Abbildung C.6 Die Systemwiederherstellung stellt eine Reihe 

unterschiedlicher Problembehandlungswerkzeuge zur Verfügung 

Der weitere Ablauf ist derselbe, egal ob Sie die Systemwiederherstellungstools von Festplatte 

oder von DVD geladen haben. Falls Windows beim letzten Versuch nicht starten konnte,


wird automatisch das Tool Systemstartreparatur ausgeführt. Andernfalls wird die Seite Wählen 

Sie ein Wiederherstellungstool aus geöffnet (Abbildung C.6). 


Am einfachsten können Sie Startprobleme beseitigen, indem Sie die Systemwiederherstellungstools 

laden (wie im letzten Abschnitt beschrieben), dann auf Systemstartreparatur 

klicken und den angezeigten Anweisungen folgen. Gehen Sie folgendermaßen vor, um die 

Systemstartreparatur auszuführen: 

1. Klicken Sie auf Systemstartreparatur und befolgen Sie die angezeigten Anweisungen. 

Welche Anweisungen angezeigt werden, hängt davon ab, welches Problem die Systemstartreparatur 

erkennt. Unter Umständen werden Sie aufgefordert, Ihren Computer mit 

der Systemwiederherstellung zurückzusetzen oder den Computer neu zu starten und die 

Problembehandlung fortzusetzen. 

2. Warten Sie, bis das Tool Systemstartreparatur die Diagnose und Reparatur abgeschlossen 

hat, und klicken Sie dann auf Klicken Sie hier, um Diagnose- und Reparaturdetails anzuzeigen. 

Am Ende des Berichts führt die Systemstartreparatur eine Fehlerursache auf, 

sofern sie eine gefunden hat, und zeigt an, welche Schritte erforderlich sind, um das 

Problem zu reparieren. Protokolldateien sind unter %WinDir%\System32\LogFiles\SRT\ 

SRTTrail.txt gespeichert. 

3. Starten Sie den Computer neu und lassen Sie Windows 7 diesmal normal starten. 

So verwenden Sie BootRec 

Die Systemstartreparatur kann die meisten BCD-Probleme automatisch beseitigen. Falls Sie 

Probleme lieber von Hand analysieren und reparieren, können Sie das Befehlszeilentool 

BootRec.exe verwenden, indem Sie die Systemwiederherstellungstools starten und dann im 

Dialogfeld Systemwiederherstellungsoptionen auf Eingabeaufforderung klicken. 

BootRec.exe unterstützt die folgenden Befehlszeilenparameter: 

/FIXMBR Der Parameter /FIXMBR schreibt einen Master Boot Record auf die Systempartition. 

/FIXBOOT Der Parameter /FIXBOOT schreibt einen neuen Startsektor auf die Systempartition. 

/SCANOS Der Parameter /SCANOS durchsucht alle Datenträger nach Windows-Installationen 

und zeigt Einträge an, die sich momentan nicht im BCD-Speicher befinden. 

/REBUILDBCD Der Parameter /REBUILDBCD durchsucht alle Datenträger nach Windows-Installationen 

und lässt Sie auswählen, welche Einträge zum BCD-Speicher 

hinzugefügt werden sollen.


Ersatz für die Befehle der Windows XP-Wiederherstellungskonsole 

Parveen Patel, Developer, Windows Reliability 

Die Wiederherstellungskonsole wurde in Windows Vista und Windows 7 aufgegeben. Was 

ist also mit all den wunderbaren Befehlen passiert, die in der Wiederherstellungskonsole 

zur Verfügung standen? Nun ja, wir hatten gehofft, dass Sie sie nicht mehr benötigen. 

Falls Sie sie aber doch haben wollen, sind Sie sicher glücklich darüber, dass die meisten 

davon über die Eingabeaufforderung in der Windows-Wiederherstellungsumgebung 

(Windows Recovery Environment, WinRE) verfügbar sind. Hier eine Liste der Wiederherstellungskonsolenbefehle, 

die in WinRE anders oder nicht verfügbar sind: 

Wiederherstellungskonsolenbefehl 

WinRE-Äquivalent(e) 

BootCfg BootRec /ScanOS, BootRec /RebuildBcd, bcdedit 

FixBoot BootRec /FixBoot 

FixMBR BootRec /FixMbr 

Map DiskPart 

Logon Nicht erforderlich 

LISTSVC Nicht verfügbar 

ENABLE Nicht verfügbar 

DISABLE Nicht verfügbar 

SYSTEMROOT Nicht verfügbar 

Alle übrigen Befehle haben in WinRE denselben Namen. Die Befehle im Zusammenhang 

mit Diensten (LISTSVC, ENABLE und DISABLE), die nicht zur Verfügung stehen, können dadurch 

ersetzt werden, dass Sie mit Regedit von Hand die Registrierungsstruktur bearbeiten. 

So diagnostizieren Sie Hardwareprobleme 

Falls die Systemstartreparatur das Problem nicht beseitigen kann oder Sie Windows Setup 

nicht starten können, handelt es sich möglicherweise um ein Hardwareproblem. Die meisten 

durch Hardware verursachten Probleme verhindern zwar nicht, dass Windows 7 startet, aber 

solche Probleme machen sich unter Umständen früh im Startvorgang bemerkbar. Symptome 

sind zum Beispiel Warnmeldungen, Startfehler und Abbruchmeldungen. Die Ursachen sind 

meist eine falsche Gerätekonfiguration, falsche Treibereinstellungen oder Hardwaredefekte 

oder -totalausfälle. 

Ausführliche Informationen über die Behandlung von Hardwareproblemen finden Sie in 

Anhang D, »Problembehandlung für Hardware, Treiber und Laufwerke«. 

So verwenden Sie die Systemwiederherstellung 

Windows 7 zeichnet automatisch den Systemzustand auf, bevor es neue Anwendungen oder 

Treiber installiert. Sie können mit den Systemwiederherstellungstools später diesen Systemzustand 

wiederherstellen, falls Probleme auftreten. 

Sie können die Systemwiederherstellung innerhalb von Windows (auch im abgesicherten 

Modus) starten, indem Sie im Startmenü auf Alle Programme, dann auf Zubehör, Systemprogramme 

und schließlich Systemwiederherstellung klicken.


Gehen Sie folgendermaßen vor, um die Systemwiederherstellung auszuführen, wenn Sie 

Windows nicht starten können: 

1. Starten Sie die Systemwiederherstellungstools, wie im Abschnitt »So starten Sie die 

Systemwiederherstellungstools« weiter oben in diesem Anhang beschrieben. 

2. Klicken Sie auf Systemwiederherstellung. 

Daraufhin wird der Systemwiederherstellungs-Assistent geöffnet. Nun können Sie folgendermaßen 

einen früheren Zustand von Windows wiederherstellen: 

1. Klicken Sie auf der Seite Systemdateien und -einstellungen wiederherstellen des Systemwiederherstellungs-Assistenten 

auf Weiter. 

2. Klicken Sie auf der Seite Einen Wiederherstellungspunkt auswählen auf einen Wiederherstellungspunkt. 

Normalerweise sollten Sie den Wiederherstellungspunkt des letzten 

Zeitpunkts wählen, an dem der Computer noch einwandfrei lief. Falls der Computer 

schon länger als 5 Tage nicht mehr richtig funktioniert, müssen Sie das Kontrollkästchen 

Weitere Wiederherstellungspunkte anzeigen aktivieren (Abbildung C.7) und dann den 

gewünschten Wiederherstellungspunkt auswählen. Klicken Sie auf Weiter. 

Abbildung C.7 Einige Startprobleme können Sie mithilfe 

der Systemwiederherstellung beseitigen 

3. Klicken Sie auf der Seite Wiederherzustellende Datenträger bestätigen auf Weiter. 

4. Klicken Sie auf der Seite Wiederherstellungspunkt bestätigen auf Fertig stellen. 

5. Klicken Sie auf Ja, um zu bestätigen, dass die Systemwiederherstellung durchgeführt 

werden soll. Das Tool Systemwiederherstellung ändert die Systemdateien und Einstellungen, 

sodass Windows 7 in den Zustand zurückversetzt wird, den es zu dem Zeitpunkt 

hatte, als der Wiederherstellungspunkt aufgezeichnet wurde. 

6. Warten Sie, bis die Systemwiederherstellung abgeschlossen ist, und klicken Sie dann auf 

Neu starten. Sie sollten jetzt versuchen, den Computer zu starten und festzustellen, ob 

das Problem beseitigt wurde.


7. Wenn der Computer neu startet, zeigt Windows 7 eine Meldung an, dass eine Systemwiederherstellung 

vorgenommen wurde. Klicken Sie auf Schließen. 

So reparieren Sie den Startsektor von Hand 

Die Systemstartreparatur ist bei Weitem der schnellste und einfachste Weg, die meisten 

Startprobleme zu beseitigen. Falls Sie allerdings mit der Behandlung von Startproblemen 

vertraut sind und lediglich ein Startsektorproblem beseitigen müssen, nachdem ein anderes 

Betriebssystem installiert wurde, können Sie in einer Eingabeaufforderung (etwa mit dem 

Tool Eingabeaufforderung aus den Systemwiederherstellungstools) den folgenden Befehl 

eingeben: 

bootsect /NT60 ALL 

Bootsect.exe liegt im Ordner \Boot\ der Windows 7-DVD und kann aus WinRE oder 

Windows 7 gestartet werden. 

Sobald Bootsect ausgeführt wurde, müsste es möglich sein, Windows zu laden, aber unter 

Umständen können Sie ältere Windows-Versionen nicht mehr starten, die auf demselben 

Computer installiert sind. Um andere Betriebssysteme zu laden, müssen Sie Einträge zur 

BCD-Registrierungsdatei hinzufügen, wie im Abschnitt »So erstellen Sie einen Eintrag für 

ein anderes Betriebssystem« weiter oben in diesem Anhang beschrieben. 

Abbildung C.8 Windows kann die Namen von fehlenden Startdateien anzeigen; 

Sie können diese Dateien dann von Hand ersetzen

So aktualisieren Sie von Hand die BCD-Registrierungsdatei 


Die einfachste Methode, Probleme mit der BCD-Registrierungsdatei zu beseitigen, besteht 

darin, die Systemstartreparatur auszuführen, wie weiter oben in diesem Anhang beschrieben. 

Sie können mit den Systemwiederherstellungstools aber auch von Hand die BCD-Registrierungsdatei 

aktualisieren. Gehen Sie dazu folgendermaßen vor: 

1. Laden Sie die Systemwiederherstellungstools, wie weiter oben beschrieben. 

2. Klicken Sie auf Eingabeaufforderung. 

3. Verwenden Sie jetzt BCDEdit, um die BCD-Registrierungsdatei zu aktualisieren. 

Ausführliche Informationen finden Sie im Abschnitt »So verwenden Sie BCDEdit« weiter 

oben in diesem Anhang. 

So können Sie Dateien von Hand ersetzen 

Falls Startdateien fehlen oder beschädigt sind, kann Windows 7 unter Umständen nicht 

starten. Oft zeigt Windows 7 eine Fehlermeldung an, in der die fehlende Datei genannt ist. 

Ein Beispiel von einer englischen Windows 7-Version sehen Sie in Abbildung C.8. 

Die Systemstartreparatur kann fehlende Systemdateien automatisch ersetzen, aber unter 

Umständen erkennt sie nicht, dass Dateien beschädigt sind. Sie können Dateien auch mit der 

Eingabeaufforderung der Systemwiederherstellungstools ersetzen. 

Gehen Sie folgendermaßen vor, um Dateien zu ersetzen: 

1. Kopieren Sie die benötigten Dateien auf einem anderen Computer auf einen Wechseldatenträger, 

zum Beispiel eine CD oder ein USB-Flashlaufwerk. Sie können nicht auf 

die Windows 7-Systemdateien der Windows 7-DVD zugreifen, weil sie innerhalb einer 

WIM-Datei gespeichert sind, auf die Sie aus der Systemwiederherstellungsumgebung 

heraus keinen Zugriff haben. 

2. Starten Sie die Systemwiederherstellungstools, wie im Abschnitt »So starten Sie die 

Systemwiederherstellungstools« weiter oben in diesem Anhang beschrieben. 

3. Warten Sie, bis die Systemwiederherstellungstools gestartet wurden, und klicken Sie 

dann auf Eingabeaufforderung. 

4. Ihr Wechseldatenträger hat einen Laufwerkbuchstaben, genau wie eine Festplatte. Die 

Systemwiederherstellungstools weisen Festplatten Buchstaben ab C: zu, danach folgen 

die Wechseldatenträger. Führen Sie den folgenden Befehl aus, um den Laufwerkbuchstaben 

Ihres Wechseldatenträgers zu ermitteln: 

C:\>diskpart 

DISKPART> list volume 

Volume ### Bst Bezeichnung DS Typ Größe Status Info 

---------- --- ----------- ----- ---------- ------- --------- -------- 

Volume 0 C Win7 NTFS Partition 63 GB Fehlerfre 

Volume 1 E Windows XP NTFS Partition 91 GB Fehlerfre 

Volume 2 D NTFS Partition 69 GB Fehlerfre 

Volume 3 I Wechselm. 0 B Kein Medi 

Volume 4 H Wechselm. 0 B Kein Medi 

Volume 5 F LR1CFRE_EN_ UDF Partition 2584 MB Fehlerfre 

Volume 6 G USBDRIVE FAT32 Partition 991 MB Fehlerfre


5. Übertragen Sie die Dateien mit dem Befehl Copy von Ihrem Wechseldatenträger auf die 

Festplatte des Computers. 

So installieren Sie Windows neu 

Gelegentlich kann es vorkommen, dass Startdateien und kritische Bereiche der Festplatte 

beschädigt werden. Falls Sie in erster Linie noch lesbare Datendateien retten und sie im Tool 

Sichern und Wiederherstellen auf Sicherungsmedien oder in einen Netzwerkordner kopieren 

wollen, können Sie eine Parallelinstallation von Windows durchführen. Das mag Ihnen zwar 

Zugriff auf das Dateisystem verschaffen, beschädigt aber Ihr vorhandenes Betriebssystem 

und die Anwendungen. 

Falls Sie Windows nicht starten können, obwohl Sie die Problembehandlungsschritte in 

dieser Anleitung befolgt haben, können Sie Windows neu installieren, um die Daten wiederherstellen 

zu können. Gehen Sie dazu folgendermaßen vor: 


2. Starten Sie Ihren Computer neu. Drücken Sie irgendeine Taste, wenn Sie gefragt werden, 

ob Sie von der DVD starten wollen. 

3. Das Windows-Setup wird ausgeführt. Wählen Sie Ihre Regionseinstellungen und das 

Tastaturlayout und klicken Sie dann auf Weiter. 

4. Klicken Sie auf Jetzt installieren. 

5. Geben Sie Ihren Product Key ein, wenn Sie dazu aufgefordert werden. 

6. Aktivieren Sie das Kontrollkästchen Ich akzeptiere die Lizenzbedingungen und klicken 


7. Klicken Sie auf Benutzerdefiniert. 

8. Wählen Sie auf der Seite Wo möchten Sie Windows installieren die Partition mit Ihrer 

Windows-Installation aus und klicken Sie auf Weiter. 


Setup installiert nun eine neue Instanz von Windows und verschiebt alle Dateien aus Ihrer 

vorherigen Installation in den Ordner \Windows.Old (darunter die Ordner \Program Files, 

\Windows und \Users). Sie haben jetzt zwei Möglichkeiten, um den Computer in seinen 

ursprünglichen Zustand zurückzuversetzen: 

Formatieren Sie die Systempartition neu Falls Sie eine automatisierte Bereitstellungslösung 

zur Verfügung haben (wie in Teil II dieses Buchs, »Bereitstellung«, beschrieben), 

besteht die schnellste Lösung darin, wichtige Dateien zu sichern und dann 

Windows neu bereitzustellen. Falls Sie Windows von Hand neu installieren müssen, 

können Sie folgendermaßen vorgehen: 

1. Sichern Sie alle wichtigen Dateien, indem Sie sie auf Wechseldatenträger schreiben, 

auf eine externe Festplatte kopieren oder in einen freigegebenen Netzwerkordner 

kopieren. 

2. Installieren Sie Windows neu. Wählen Sie diesmal aus, dass die Systempartition neu 

formatiert werden soll. 

3. Installieren Sie alle Anwendungen neu und konfigurieren Sie alle benutzerdefinierten 

Einstellungen. 

4. Stellen Sie wichtige Dateien wieder her.


Arbeiten Sie mit der aktuellen Systempartition weiter Sie können wichtige Dateien 

an die entsprechenden Stellen innerhalb der neuen Windows-Instanz verschieben. Installieren 

Sie dann alle Anwendungen neu und konfigurieren Sie alle benutzerdefinierten 

Einstellungen. Zuletzt können Sie die ursprüngliche Windows-Instanz mit der Datenträgerbereinigung 

entfernen, indem Sie den Ordner \Windows.Old löschen. 

Problembehandlung für den Startvorgang, 

nachdem das Windows-Logo erscheint 

Falls Ihr Computer das Windows-Logo (Abbildung C.9) anzeigt, bevor der Fehler auftritt, 

wurde der Windows-Kernel erfolgreich geladen. Wahrscheinlich wird der Startfehler durch 

einen defekten Treiber oder Dienst verursacht. 

Abbildung C.9 Wenn das Windows-Logo angezeigt wird, 

bedeutet das, dass Windows 7 den Kernel geladen hat 

Gehen Sie nach dem in Abbildung C.10 gezeigten Ablauf vor, um die fehlerhafte Softwarekomponente 

zu identifizieren und zu deaktivieren, damit Windows erfolgreich starten kann. 

Wenn Windows erst einmal gestartet ist, können Sie die Problembehandlung bei Bedarf fortsetzen, 

um das Problem mit der Komponente zu beseitigen. Falls das Startproblem sofort 

nach dem Aktualisieren oder Installieren einer Autostartanwendung auftritt, sollten Sie eine 

Problembehandlung für die Autostartanwendung durchführen. Informationen über die Problembehandlung 

von Autostartanwendungen finden Sie im Abschnitt »So können Sie Autostartanwendungen 

und -prozesse zeitweise deaktivieren« weiter unten in diesem Anhang. 

Die folgenden Abschnitte beschreiben diese Schritte genauer. 


Die Systemstartreparatur kann viele häufiger vorkommende Startprobleme automatisch 

beseitigen, auch falls das Problem auftaucht, nachdem das Windows-Logo angezeigt wird. 

Weil die Systemstartreparatur einfach zu bedienen ist und eine sehr geringe Gefahr besteht, 

dass zusätzliche Probleme entstehen, sollte dies Ihr erster Problembehandlungsschritt sein. 

Eine ausführliche Anleitung finden Sie im Abschnitt »So führen Sie die Systemstartreparatur 

aus« weiter oben in diesem Anhang. 

Sobald Sie die Systemstartreparatur ausgeführt haben, sollten Sie versuchen, Ihren Computer 

normal zu starten. Setzen Sie die Problembehandlung nur fort, falls Windows dann 

immer noch nicht startet.


Abbildung C.10 Gehen Sie nach diesem Schema vor, um eine Behandlung 

von Startproblemen durchzuführen, die auftreten, nachdem das Windows-Logo 

erscheint, aber bevor der Anmeldebildschirm sichtbar ist


So stellen Sie die letzte als funktionierend bekannte Konfiguration wieder her 

Die letzte als funktionierend bekannte Konfiguration wird normalerweise verwendet, damit 

das Betriebssystem wieder startet, falls ein Fehler auftritt, nachdem das Windows-Logo 

angezeigt wird. Indem Sie die letzte als funktionierend bekannte Konfiguration verwenden, 

können Sie Instabilität oder Startprobleme beheben, indem Sie die letzten Änderungen an 

System, Treiber und Registrierung rückgängig machen. Wenn Sie dieses Feature verwenden, 

gehen alle Konfigurationsänderungen verloren, die Sie vorgenommen haben, seit Sie Ihren 

Computer zum letzten Mal erfolgreich gestartet haben. 

Wenn Sie die letzte als funktionierend bekannte Konfiguration verwenden, werden vorherige 

Treiber und auch Registrierungseinstellungen für die Unterschlüssel HKEY_LOCAL_MA- 

CHINE\System\CurrentControlSet wiederhergestellt. Windows 7 aktualisiert das Control Set 

LastKnownGood erst, wenn Sie das Betriebssystem im normalen Modus erfolgreich starten 

und sich anmelden konnten. 

Wenn Sie eine Problembehandlung durchführen, wird empfohlen, dass Sie die letzte als 

funktionierend bekannte Konfiguration verwenden, bevor Sie andere Startoptionen probieren, 

zum Beispiel den abgesicherten Modus. Falls Sie allerdings erst den abgesicherten 

Modus verwenden, wird das Control Set für die letzte als funktionierend bekannte Konfiguration 

nicht aktualisiert, auch wenn es Ihnen gelingt, sich im abgesicherten Modus am 

Computer anzumelden. Daher bleibt die letzte als funktionierend bekannte Konfiguration 

auch dann noch eine Option, falls Sie Ihr Problem nicht mithilfe des abgesicherten Modus 

beseitigen konnten. 

Abbildung C.11 Mit der letzten als funktionierend bekannten Konfiguration 

können Sie einige Einstellungen in den Zustand zurückversetzen, den das System 

hatte, als sich zum letzten Mal ein Benutzer erfolgreich angemeldet hat


Gehen Sie folgendermaßen vor, um die letzte als funktionierend bekannte Konfiguration zu 

starten: 

1. Entfernen Sie alle Disketten, CDs, DVDs und anderen startfähigen Medien aus Ihrem 

Computer und starten Sie den Computer neu. 

2. Drücken Sie im Betriebssystemmenü die Taste F8. Falls das Betriebssystemmenü nicht 

angezeigt wird, müssen Sie wiederholt F8 drücken, sobald der Firmware-POST-Prozess 

abgeschlossen ist, aber noch bevor das Windows-Startlogo erscheint. Das Menü Erweiterte 

Startoptionen wird angezeigt. 

3. Wählen Sie im Menü Erweiterte Startoptionen den Eintrag Letzte als funktionierend 

bekannte Konfiguration (erweitert) aus (Abbildung C.11). 

Wenn Windows startet, liest es Statusinformationen aus der Datei %WinDir%\Bootstat.dat. 

Falls Windows feststellt, dass der letzte Startversuch fehlgeschlagen ist, zeigt es automatisch 

das Startwiederherstellungsmenü an, das ähnliche Startoptionen anbietet wie das Menü Erweiterte 

Startoptionen, aber ohne dass Sie F8 zu drücken brauchen. 

Hinweis Falls Sie vermuten, dass Änderungen, die Sie vorgenommen haben, seit Sie den 

Computer zum letzten Mal erfolgreich starten konnten, Probleme verursachen, sollten Sie 

Windows nicht normal starten und sich anmelden. Bei der Anmeldung wird das Control Set 

für die letzte als funktionierend bekannte Konfiguration überschrieben. Starten Sie stattdessen 

den Computer neu und verwenden Sie die letzte als funktionierend bekannte Konfiguration. 

Sie können sich auch im abgesicherten Modus anmelden, ohne dass die letzte als 

funktionierend bekannte Konfiguration überschrieben wird. Weitere Informationen über 

Control Sets finden Sie im Abschnitt »Kernel-Ladephase« weiter oben in diesem Anhang. 


Falls die letzte als funktionierend bekannte Konfiguration das Problem nicht beseitigt, können 

Sie von Hand eine Systemwiederherstellung durchführen, falls die Systemstartreparatur 

dies nicht automatisch erledigt hat. Die Systemstartreparatur hätte diesen Schritt aber normalerweise 

durchgeführt, falls sie das Problem hätte beseitigen können. Informationen zur 

Verwendung der Systemwiederherstellung finden Sie im Abschnitt »So verwenden Sie die 

Systemwiederherstellung«, einem Unterabschnitt von »Problembehandlung für den Startvorgang, 

bevor das Windows-Logo erscheint«, weiter oben in diesem Anhang. 

So aktivieren Sie die Startprotokollierung 

Die Startprotokollierung ist nützlich, um die Ursache eines Startproblems zu protokollieren, 

das auftritt, nachdem das Betriebssystemmenü angezeigt wird. Gehen Sie folgendermaßen 

vor, um die Startprotokollierung zu aktivieren: 

1. Entfernen Sie alle Disketten, CDs, DVDs und anderen startfähigen Medien aus Ihrem 

Computer und starten Sie den Computer neu. 




Startoptionen wird angezeigt.


3. Wählen Sie im Menü Erweiterte Startoptionen den Eintrag Startprotokollierung aktivieren 

(Abbildung C.12). 

Abbildung C.12 Die Startprotokollierung kann Ihnen helfen, die Ursache 

von Startproblemen zu identifizieren 

Windows startet und legt eine Protokolldatei unter %WinDir%\Ntbtlog.txt an. Die Protokolldatei 

beginnt mit Zeit- und Versionsinformationen und listet dann alle Dateien auf, die erfolgreich 

geladen werden. Die Einträge sehen zum Beispiel so aus: 

Microsoft (R) Windows (R) Version 6.1 (Build 7100) 

5 27 2009 17:57:37.500 

Loaded driver \SystemRoot\system32\ntoskrnl.exe 

Loaded driver \SystemRoot\system32\hal.dll 

Loaded driver \SystemRoot\system32\kdcom.dll 

Loaded driver \SystemRoot\system32\mcupdate_GenuineIntel.dll 

Loaded driver \SystemRoot\system32\PSHED.dll 

Loaded driver \SystemRoot\system32\BOOTVID.dll 

Loaded driver \SystemRoot\system32\CLFS.SYS 

Loaded driver \SystemRoot\system32\CI.dll 

Loaded driver \SystemRoot\system32\drivers\wdf0100.sys 

Loaded driver \SystemRoot\system32\drivers\WDFLDR.SYS 

Did not load driver \SystemRoot\system32\drivers\serial.sys 

Loaded driver \SystemRoot\system32\drivers\acpi.sys 

Die folgenden Abschnitte enthalten weitere Informationen darüber, wie Sie die Startprotokolldatei 

anzeigen und analysieren.


So starten Sie im abgesicherten Modus 

Der abgesicherte Modus ist eine Diagnoseumgebung, die nur einen Teil der Treiber und 

Dienste lädt, die beim Start im normalen Modus ausgeführt werden. Der abgesicherte Modus 

ist nützlich, wenn Sie Software oder einen Gerätetreiber installieren, der beim Start im normalen 

Modus Instabilität oder Probleme verursacht. Windows kann oft noch im abgesicherten 

Modus starten, selbst wenn Hardwarefehler verhindern, dass es im normalen Modus 

startet. In den meisten Fällen ermöglicht Ihnen der abgesicherte Modus, Windows zu starten 

und dann eine Behandlung der Probleme durchzuführen, die den Start verhindern. 

Wenn Sie sich im abgesicherten Modus am Computer anmelden, wird dabei nicht das Control 

Set LastKnownGood überschrieben. Falls Sie sich daher im abgesicherten Modus an 

Ihrem Computer anmelden und dann entscheiden, dass Sie die letzte als funktionierend 

bekannte Konfiguration probieren möchten, steht Ihnen diese Möglichkeit noch offen. 

Im abgesicherten Modus verwendet Windows 7 nur die Komponenten, die unbedingt erforderlich 

sind, um die grafische Benutzeroberfläche (Graphical User Interface, GUI) zu starten. 

Die folgenden Registrierungsunterschlüssel listen die Treiber und Dienste auf, die im abgesicherten 

Modus gestartet werden: 

Abgesicherter Modus HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ 

Control\SafeBoot\Minimal 

Abgesicherter Modus mit Netzwerktreibern HKEY_LOCAL_MACHINE\SYSTEM\ 

CurrentControlSet\Control\SafeBoot\Network 

Gehen Sie folgendermaßen vor, um auf den abgesicherten Modus zuzugreifen: 

1. Entfernen Sie alle Disketten und DVDs aus Ihrem Computer und starten Sie den Computer 

neu. 




Startoptionen wird angezeigt. 

3. Wählen Sie im Menü Erweiterte Startoptionen die Einträge Abgesicherter Modus, Abgesicherter 

Modus mit Netzwerktreibern oder Abgesicherter Modus mit Eingabeaufforderung. 

Wählen Sie Abgesicherter Modus, falls Sie keine Netzwerkunterstützung benötigen. 

Wählen Sie Abgesicherter Modus mit Netzwerktreibern, falls Sie für Ihre Problembehandlung 

Zugriff auf das Netzwerk brauchen, weil Sie zum Beispiel ein Treiberupdate 

herunterladen müssen. Wählen Sie Abgesicherter Modus mit Eingabeaufforderung, 

wenn Sie in der Eingabeaufforderung arbeiten wollen. 

Wenn Windows startet, liest es Statusinformationen aus der Datei %SystemRoot%\Bootstat.dat. 

Falls Windows erkennt, dass der letzte Startversuch fehlgeschlagen ist, zeigt es 

automatisch das Startwiederherstellungsmenü, das ähnliche Startoptionen anbietet wie das 

Menü Erweiterte Startoptionen, aber ohne dass Sie F8 starten müssen. 

So identifizieren Sie fehlerhafte Treiber und Dienste 

Wenn Sie eine Problembehandlung durchführen, variieren je nach Computer die Methoden, 

mit denen Sie feststellen, welche Dienste und Prozesse zeitweise deaktiviert werden müssen. 

Am zuverlässigsten können Sie feststellen, was Sie deaktivieren sollten, indem Sie mehr 

Informationen über die Dienste und Prozesse sammeln, die in Ihrem Computer aktiviert sind.


Die folgenden Windows-Tools und -Features generieren eine Vielzahl von Protokollen, die 

Ihnen wertvolle Informationen für die Problembehandlung liefern: 

Ereignisanzeige 

Sc.exe 

Systeminformationen 

Fehlerberichterstattungsdienst 

Startprotokolle 

Von diesen Tools stehen nur die Startprotokolle zur Verfügung, wenn Sie die Systemwiederherstellungstools 

verwenden. Allerdings stehen alle Tools zur Verfügung, wenn Sie im abgesicherten 

Modus arbeiten. 

So analysieren Sie Startprobleme im abgesicherten Modus 

Der abgesicherte Modus gibt Ihnen Zugriff auf alle üblichen grafischen Problembehandlungswerkzeuge, 

darunter auch alle, die in den folgenden Abschnitten beschrieben werden. 

Ereignisanzeige (Eventvwr.msc) 

Wenn Sie das System im abgesicherten oder normalen Modus starten können, können Sie 

mit der Ereignisanzeige (Eventvwr.msc) Protokolle ansehen, die Ihnen helfen, Systemprobleme 

zu identifizieren. Wenn Sie eine Problembehandlung durchführen, können Sie anhand 

dieser Protokolle Probleme isolieren, die durch Anwendungen, Treiber oder Dienste verursacht 

werden, und häufiger auftretende Probleme identifizieren. Sie können diese Protokolle 

in einer Datei speichern und Filterkriterien angeben. 

Die Ereignisanzeige stellt mindestens drei Protokolle zur Verfügung: 

Anwendungsprotokolle Das Anwendungsprotokoll enthält Ereignisse, die von Anwendungen 

oder Programmen aufgezeichnet werden. Zum Beispiel kann es sein, dass 

ein Datenbankprogramm hier Lese- und Schreibfehler einträgt. 

Sicherheitsprotokolle Das Sicherheitsprotokoll speichert Sicherheitsereigniseinträge, 

zum Beispiel Anmeldeversuche und Aktionen im Zusammenhang mit dem Erstellen, 

Öffnen oder Löschen von Dateien. Ein Administrator kann einstellen, welche Ereignisse 

im Sicherheitsprotokoll aufgezeichnet werden. 

Systemprotokolle Das Systemprotokoll enthält Informationen über Systemkomponenten. 

Die Ereignisanzeige zeichnet einen Eintrag auf, wenn ein Treiber oder eine andere 

Systemkomponente während des Starts nicht geladen wird. Daher können Sie in der 

Ereignisanzeige nach Informationen über Treiber oder Dienste suchen, die nicht geladen 

wurden. 

Gehen Sie folgendermaßen vor, um in der Ereignisanzeige Informationen über Treiber- und 

Dienstfehler aus dem Systemprotokoll zu ermitteln: 

1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und dann auf Verwalten. 

2. Erweitern Sie System, dann Ereignisanzeige, Windows-Protokolle und klicken Sie auf 

System. 

3. Wählen Sie den Menübefehl Aktion/Aktuelles Protokoll filtern. 

4. Aktivieren Sie im Feld Ereignisebene die Kontrollkästchen Kritisch und Fehler.


5. Aktivieren Sie in der Liste Quellen das Kontrollkästchen Ereignisprotokollanbieter für 

Dienststeuerungs-Manager und klicken Sie auf OK. 

6. Klicken Sie doppelt auf einen Ereigniseintrag, um sich die Details anzusehen. 

Nicht alle Startprobleme führen dazu, dass ein Eintrag in das Ereignisprotokoll geschrieben 

wird. Daher kann es sein, dass Sie keine Informationen zu Ihrem Problem finden. 

Systeminformationen 

Falls ein Startproblem nur sporadisch auftritt und Sie Windows im abgesicherten oder normalen 

Modus starten können, können Sie mit dem Tool Systeminformationen Daten über 

Treiber- und Dienstnamen, Status und Startinformationen abrufen. 

Mit dem Tool Systeminformationen können Sie Listen der Treiber anlegen, die während des 

Starts im abgesicherten und normalen Modus verarbeitet wurden. Wenn Sie die Unterschiede 

zwischen den beiden Listen vergleichen, können Sie feststellen, welche Komponenten nicht 

unbedingt benötigt werden, um Windows zu starten. Zu Diagnosezwecken können Sie diesen 

Listenvergleich zurate ziehen, um zu entscheiden, welche Dienste Sie deaktivieren. Deaktivieren 

Sie im abgesicherten Modus einen Dienst und versuchen Sie dann, das Betriebssystem 

im normalen Modus neu zu starten. Wiederholen Sie diesen Prozess für jeden Dienst, 

bis Sie im normalen Modus starten können. 

Gehen Sie folgendermaßen vor, um Dienst- oder Treiberinformationen anzuzeigen: 

1. Geben Sie im Suchfeld des Startmenüs den Befehl msinfo32 und drücken Sie die 

EINGABETASTE. 

2. Abhängig davon, welche Informationen Sie brauchen, haben Sie jetzt folgende Möglichkeiten: 

Sie können sich Informationen zu Diensten ansehen, indem Sie Softwareumgebung 

erweitern und dann auf Dienste klicken. 

Sie können sich den Status eines Treibers ansehen, indem Sie Softwareumgebung 

erweitern und dann auf Systemtreiber klicken. Die Informationen zu allen Treibern 

werden im rechten Fensterabschnitt angezeigt. 

Sie können sich Informationen zu Treibern nach der Kategorie aufschlüsseln lassen, 

indem Sie den Knoten Komponenten erweitern und dann eine Kategorie auswählen, 

zum Beispiel Anzeige. 

Sie können sich problematische Geräte ansehen, indem Sie den Knoten Komponenten 

erweitern und dann auf Problemgeräte klicken. Sehen Sie sich die Spalte Fehlercode 

an und suchen Sie nach Informationen, die Hinweise auf die Ursache des Problems 

geben. 

Sie können sich ansehen, welche Ressourcen mehrfach benutzt werden oder Konflikte 

verursachen (das bedeutet allerdings nicht immer, dass ein kritisches Problem 

vorliegt), indem Sie den Knoten Hardwareressourcen erweitern und dann auf Konflikte/Gemeinsame 

Nutzung klicken. Sehen Sie sich die Spalten Ressource und Gerät 

an und suchen Sie nach Geräten, denen fälschlicherweise dieselben Ressourcen zugewiesen 

wurden. Entfernen oder deaktivieren Sie eines der Geräte oder verwenden 

Sie den Geräte-Manager, um den Geräten andere Ressourcen zuzuweisen.

Fehlerberichterstattungsdienst 


Der Windows-Fehlerberichterstattungsdienst überwacht Ihren Computer auf Probleme, die 

sich auf Dienste und Anwendungen auswirken. Wenn ein Problem auftritt, können Sie einen 

Problembericht an Microsoft senden, worauf Sie eine automatisierte Antwort mit weiteren 

Informationen erhalten, zum Beispiel Neuigkeiten über ein Update für eine Anwendung oder 

einen Gerätetreiber. 

Anzeigen und Ändern von Ressourcen im Geräte-Manager 

Bei der Installation neuer Hardware oder beim Update von Treibern können Konflikte entstehen, 

sodass auf bestimmte Geräte nicht mehr zugegriffen werden kann. Sie können im 

Geräte-Manager überprüfen, welche Ressourcen diese Geräte verwenden. Auf diese Weise 

können Sie von Hand Konflikte identifizieren. 

Gehen Sie folgendermaßen vor, um im Geräte-Manager (Devmgmt.msc) Informationen über 

die Nutzung von Systemressourcen anzuzeigen und zu ändern: 


2. Klicken Sie auf Geräte-Manager und dann doppelt auf ein Gerät. 

3. Wählen Sie die Registerkarte Ressourcen, um sich anzusehen, welche Ressourcen dieses 

Gerät verwendet. 

4. Deaktivieren Sie das Kontrollkästchen Automatisch konfigurieren. 

5. Klicken Sie auf Einstellung ändern und stellen Sie ein, welche Ressourcen dem Gerät 

zugewiesen werden sollen. 

So analysieren Sie Startprotokolle 

Die Startprotokollierung listet auf, welche Dateien während des Starts erfolgreich und welche 

ohne Erfolg verarbeitet wurden. Mit der Startprotokollierung können Sie aufzeichnen, welche 

Windows-Features verarbeitet werden, wenn Sie Ihren Computer im abgesicherten 

Modus oder auch im normalen Modus starten. Indem Sie die Unterschiede zwischen den 

beiden Protokollen untersuchen, können Sie feststellen, welche Features nicht unbedingt 

benötigt werden, um den Computer zu starten. 

Windows zeichnet Namen und Pfad aller Dateien, die während des Starts ausgeführt werden, 

in der Protokolldatei %WinDir%\Ntbtlog.txt auf. Das Protokoll markiert jede Datei als erfolgreich 

(»Loaded driver ...«) oder nicht erfolgreich (»Did not load driver ...«). Die Startprotokollierung 

hängt neue Einträge ans Ende von Ntbtlog.txt an, wenn Sie Windows im abgesicherten 

Modus starten. Wenn Sie die Einträge für den normalen Modus mit denen aus dem 

abgesicherten Modus vergleichen, können Sie feststellen, welche Dienste nur im normalen 

Modus laufen. Einer davon muss die Ursache für das Startproblem sein, falls Windows im 

abgesicherten Modus erfolgreich startet. Die folgenden Zeilen sind Beispiele für Einträge in 

der Datei Ntbtlog.txt: 

Loaded driver \SystemRoot\System32\DRIVERS\flpydisk.sys 

Did not load driver \SystemRoot\System32\DRIVERS\sflpydisk.SYS 

Beachten Sie, dass nicht jede »Did not load driver«-Meldung unbedingt auf einen Fehler 

hinweist, der verhindert, dass Windows starten kann. Viele Treiber sind gar nicht erforderlich, 

um Windows zu starten. Gehen Sie folgendermaßen vor, um Probleme zu reparieren,


die durch problematische Treiber verursacht werden, falls Sie im abgesicherten Modus 

starten können: 

1. Starten Sie den Computer neu und aktivieren Sie die Startprotokollierung. 

2. Starten Sie den Computer neu, nachdem der Start fehlgeschlagen ist, und starten Sie ihn 

dann im abgesicherten Modus. 

3. Geben Sie im Suchfeld des Startmenüs den Befehl %WinDir%\ntbtlog.txt ein. Die 

Startprotokolldatei wird im Editor geöffnet. 

4. Vergleichen Sie die Liste der Treiber, die im normalen Modus geladen werden, mit der 

Liste der Treiber, die im abgesicherten Modus geladen werden. Der Treiber, der den Start 

des Systems verhindert, ist einer der Treiber, die im Startprotokoll für den normalen 

Modus mit »Loaded driver ...« markiert sind, aber im Startprotokoll für den abgesicherten 

Modus mit »Did not load driver ...«. 

5. Öffnen Sie im abgesicherten Modus den Geräte-Manager, um potenziell problematische 

Treiber zu ersetzen oder wiederherzustellen, wie im nächsten Abschnitt, »So stellen Sie 

installierte Treiber wieder her«, beschrieben. Beginnen Sie damit, dass Sie Treiber ersetzen, 

die erst vor Kurzem installiert oder aktualisiert wurden. Ersetzen Sie jeweils einen 

Treiber und wiederholen Sie diesen Prozess, bis das System erfolgreich im normalen 

Modus startet. 

Bei Diensten, die nur im normalen Modus ausgeführt werden, sollten Sie jeweils einen dieser 

Dienste deaktivieren und versuchen, Ihren Computer dann im normalen Modus neu zu starten, 

nachdem Sie einen Dienst deaktiviert haben. Fahren Sie damit fort, einen Dienst nach 

dem anderen zu deaktivieren, bis Ihr Computer im normalen Modus startet. 

Gehen Sie folgendermaßen vor, um Probleme zu reparieren, die durch problematische Treiber 

verursacht werden, wenn der Computer nicht im abgesicherten Modus startet: 

1. Starten Sie den Computer neu und laden Sie die Systemwiederherstellungstools. 

2. Klicken Sie auf Eingabeaufforderung. Geben Sie in der Eingabeaufforderung den Befehl 

notepad %WinDir%\ntbtlog.txt ein. Der Editor wird geöffnet und zeigt das Startprotokoll 

an. 

3. Vergleichen Sie das Startprotokoll, das erstellt wurde, als das System nicht im abgesicherten 

Modus gestartet werden konnte, mit einem Startprotokoll, das erstellt wurde, als das 

System erfolgreich im abgesicherten Modus starten konnte. Falls Sie kein Startprotokoll 

haben, das erstellt wurde, als das System erfolgreich im abgesicherten Modus starten 

konnte, sollten Sie ein Startprotokoll auf einem ähnlich konfigurierten Computer erstellen, 

indem Sie ihn im abgesicherten Modus starten. Der Treiber, der dafür verantwortlich 

ist, dass der Start im abgesicherten Modus fehlschlägt, ist einer der Treiber, die in dem 

Startprotokoll, das während des fehlgeschlagenen Startversuchs aufgezeichnet wurde, 

nicht aufgelistet sind, die aber mit der Meldung »Loaded driver ...« in dem Startprotokoll 

aufgelistet sind, das erstellt wurde, als der abgesicherte Modus erfolgreich gestartet 

wurde. 

4. Ersetzen Sie die Treiberdatei durch eine funktionierende Version. Dafür können Sie in 

der Eingabeaufforderung den Befehl copy eingeben. Beginnen Sie damit, dass Sie Treiber 

ersetzen, die erst vor Kurzem installiert oder aktualisiert wurden. Ersetzen Sie jeweils 

einen Treiber und wiederholen Sie diesen Prozess, bis das System erfolgreich im normalen 

Modus startet.

So stellen Sie installierte Treiber wieder her 


Wenn Sie einen Gerätetreiber aktualisieren, kann es passieren, dass auf Ihrem Computer 

anschließend Probleme auftreten, die es mit der Vorversion nicht gab. Zum Beispiel kann die 

Installation eines unsignierten Gerätetreibers dazu führen, dass das Gerät nicht funktioniert 

oder Ressourcenkonflikte mit anderer installierter Hardware verursacht. Wenn fehlerhafte 

Treiber installiert werden, kann das unter Umständen sogar Abbruchfehler auslösen, die 

verhindern, dass das Betriebssystem im normalen Modus startet. Normalerweise enthält die 

Abbruchmeldung den Dateinamen des Treibers, der den Fehler verursacht hat. 

Windows bietet Ihnen die Möglichkeit, die Systemstabilität wiederherzustellen, indem Sie 

ein Treiberupdate rückgängig machen. 

Hinweis Sie können mit den Tools Systeminformationen oder Sigverif feststellen, ob ein 

Treiber in Ihrem Computer signiert ist, und andere Informationen über den Treiber abrufen, 

zum Beispiel Version, Datum, Zeit und Hersteller. Zusammen mit Informationen von der 

Website des Herstellers können Ihnen diese Daten bei der Entscheidung helfen, ob Sie einen 

Gerätetreiber wiederherstellen oder aktualisieren. 

Gehen Sie folgendermaßen vor, um einen Treiber wiederherzustellen: 



3. Erweitern Sie eine Kategorie (zum Beispiel Netzwerkadapter) und klicken Sie doppelt 

auf ein Gerät. 

4. Klicken Sie auf die Registerkarte Treiber und dann auf die Schaltfläche Vorheriger Treiber. 

Sie werden gefragt, ob Sie den aktuellen Treiber überschreiben wollen. Klicken Sie 

auf Ja, um den Treiber wiederherzustellen. Daraufhin wird entweder der Wiederherstellungsprozess 

durchgeführt oder Sie werden benachrichtigt, dass kein alter Treiber zur 

Verfügung steht. 

So können Sie einen Dienst zeitweise deaktivieren 

Viele Dienste werden beim Start automatisch ausgeführt, andere werden nur durch Benutzer 

oder von anderen Prozessen gestartet. Wenn Sie eine Behandlung von Startproblemen durchführen, 

die mit Systemdiensten zu tun haben, besteht eine nützliche Technik darin, Ihre 

Computerkonfiguration zu vereinfachen, um die Systemkomplexität zu verringern und 

Betriebssystemdienste isolieren zu können. Sie können die Zahl der Variablen verringern, 

indem Sie Autostartanwendungen oder -dienste zeitweise deaktivieren und dann jeweils 

einzeln wieder aktivieren, bis Sie das Problem reproduziert haben. Deaktivieren Sie immer 

erst Anwendungen, bevor Sie versuchen, Systemdienste zu deaktivieren. 

Mit dem Systemkonfigurationsprogramm können Sie Systemdienste einzeln oder in Gruppen 

deaktivieren. Gehen Sie folgendermaßen vor, um einen Dienst mithilfe des Systemkonfigurationsprogramms 

zu deaktivieren: 


EINGABETASTE.


2. Sie haben jetzt folgende Möglichkeiten: 

Sie können alle Dienste deaktivieren, indem Sie auf der Registerkarte Allgemein die 

Option Benutzerdefinierter Systemstart auswählen und dann das Kontrollkästchen 

Systemdienste laden deaktivieren. 

Sie können bestimmte Dienste deaktivieren, indem Sie auf der Registerkarte Dienste 

die Kontrollkästchen der Elemente deaktivieren, die Sie deaktivieren wollen. Sie 

können auch auf die Schaltfläche Alle deaktivieren klicken, um alle Elemente zu 

deaktivieren. 

Falls Sie irgendwelche Starteinstellungen mit dem Systemkonfigurationsprogramm verändern, 

fragt Windows nach, ob zum normalen Betrieb zurückgekehrt werden soll, wenn Sie 

sich das nächste Mal anmelden. Die Eingabeaufforderung des Systemkonfigurationsprogramms 

erscheint jedes Mal, wenn Sie sich anmelden, bis Sie die ursprünglichen Starteinstellungen 

wiederherstellen, indem Sie auf der Registerkarte Allgemein im Feld Systemstartauswahl 

die Option Normaler Systemstart auswählen. Sie können eine Starteinstellung dauerhaft 

ändern, indem Sie die Konsole Dienste verwenden, eine Gruppenrichtlinieneinstellung 

ändern oder die Software deinstallieren, die den Dienst hinzugefügt hat. 

Behandlung von Startproblemen nach der Anmeldung 

Falls Ihr Computer einen Fehler verursacht, unmittelbar nachdem sich ein Benutzer angemeldet 

hat, sollten Sie nach dem in Abbildung C.13 gezeigten Ablauf vorgehen, um die fehlerhafte 

Autostartanwendung zu identifizieren und zu deaktivieren, damit sich der Benutzer 

erfolgreich anmelden kann. Falls das Problem auftritt, unmittelbar nachdem Sie eine Anwendung 

aktualisiert oder installiert haben, sollten Sie diese Anwendung versuchsweise 

deinstallieren. 

Abbildung C.13 Folgen Sie diesem Ablauf, um eine Behandlung 

von Startproblemen durchzuführen, die nach der Anmeldung auftreten


So können Sie Autostartanwendungen und -prozesse zeitweise deaktivieren 

Falls ein Problem auftritt, nachdem Sie neue Software installiert haben, können Sie die 

Anwendung zeitweise deaktivieren oder deinstallieren, um zu überprüfen, ob sie tatsächlich 

die Ursache für das Problem ist. 

Probleme mit Anwendungen, die beim Start automatisch ausgeführt werden, können Verzögerungen 

bei der Anmeldung verursachen oder sogar verhindern, dass Sie Windows 7 im 

normalen Modus starten können. Die folgenden Abschnitte beschreiben Techniken, mit denen 

Sie Autostartanwendungen zeitweise deaktivieren können. 

So deaktivieren Sie Autostartanwendungen durch Drücken der UMSCHALTTASTE 

Sie können Ihre Konfiguration dadurch vereinfachen, dass Sie Autostartanwendungen deaktivieren. 

Wenn Sie während des Anmeldeprozesses die UMSCHALTTASTE gedrückt halten, 

verhindern Sie, dass das Betriebssystem Autostartprogramme oder -verknüpfungen aus den 

folgenden Ordnern ausführt: 

%SystemDrive%\Users\\AppData\Roaming\Microsoft\Windows\Start 

Menu\Programs\Startup 

%SystemDrive%\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup 

Sie können die Anwendungen oder Verknüpfungen in diesen Ordnern deaktivieren, indem 

Sie die UMSCHALTTASTE gedrückt halten, bis die Desktopsymbole erscheinen. Es ist sinnvoller, 

die UMSCHALTTASTE zu drücken, als Programme und Verknüpfungen zeitweise zu 

löschen oder zu verschieben, weil sich das Verfahren mit der UMSCHALTTASTE nur auf 

die aktuelle Benutzersitzung auswirkt. 

Sie können mit der UMSCHALTTASTE die Anwendungen und Verknüpfungen in Autostartordnern 

deaktivieren, indem Sie sich vom Computer abmelden und dann wieder neu anmelden. 

Drücken Sie jetzt sofort die UMSCHALTTASTE und halten Sie sie gedrückt, bis die 

Desktopsymbole angezeigt werden. Falls Sie sich anmelden können, haben Sie die Ursache 

für das Problem isoliert: Es handelt sich um Ihre Autostartanwendungen. Anschließend sollten 

Sie Anwendungen einzeln mit dem Systemkonfigurationsprogramm zeitweise deaktivieren, 

bis Sie die Ursache für das Problem identifiziert haben. Wenn Sie den Auslöser kennen, 

können Sie die Anwendung reparieren oder dauerhaft aus Ihren Autostartprogrammen entfernen. 

So deaktivieren Sie Autostartanwendungen mit dem Systemkonfigurationsprogramm 

Mit dem Systemkonfigurationsprogramm können Sie Autostartanwendungen einzeln oder 

insgesamt deaktivieren. Gehen Sie folgendermaßen vor, um ein Autostartprogramm mithilfe 

des Systemkonfigurationsprogramms zu deaktivieren: 


EINGABETASTE. 

2. Sie können alle oder nur ausgewählte Autostartanwendungen deaktivieren: 

Sie können alle Autostartanwendungen deaktivieren, indem Sie auf der Registerkarte 

Allgemein die Option Benutzerdefinierter Systemstart auswählen und dann das Kontrollkästchen 

Systemstartelemente laden deaktivieren. 

Sie können bestimmte Autostartanwendungen deaktivieren, indem Sie auf der Registerkarte 

Systemstart die Kontrollkästchen der Elemente deaktivieren, die Sie zeit-


weise deaktivieren wollen. Sie können auch auf die Schaltfläche Alle deaktivieren 

klicken, um alle Elemente zu deaktivieren. 

Sie können eine Starteinstellung dauerhaft ändern, indem Sie die Autostartverknüpfung verschieben 

oder löschen, eine Gruppenrichtlinieneinstellung ändern oder die Software deinstallieren, 

die die Autostartanwendung hinzugefügt hat. 

So deaktivieren Sie Autostartanwendungen, die mit Gruppenrichtlinien oder Anmeldeskripts 

konfiguriert wurden 

Sie können im Gruppenrichtlinien-Snap-In Anwendungen deaktivieren, die beim Start ausgeführt 

werden. Lokale Gruppenrichtlinien können auf Computer angewendet werden; in 

diesem Fall müssen Sie die Gruppenrichtlinieneinstellungen des Computers bearbeiten, auf 

dem Sie die Problembehandlung durchführen. Gruppenrichtlinienobjekte (Group Policy 

Object, GPO) werden oft innerhalb von AD DS-Domänen angewendet; dann müssen Sie 

eine Verbindung zur Domäne herstellen und die entsprechende Richtlinie bearbeiten. Bevor 

Sie Domänengruppenrichtlinieneinstellungen verändern, sollten Sie erst einmal die Schritte 

durcharbeiten, die weiter unten in diesem Abschnitt beschrieben werden, um den Computer, 

auf dem Sie eine Problembehandlung vornehmen, vom Netzwerk zu trennen. Auf diese 

Weise können Sie feststellen, ob das Problem mit Domänengruppenrichtlinieneinstellungen 

zu tun hat. 

Gehen Sie folgendermaßen vor, um Autostartanwendungen mithilfe des Snap-Ins Gruppenrichtlinienverwaltungs-Editor 


1. Geben Sie im Suchfeld des Startmenüs den Befehl gpedit.msc ein und klicken Sie dann 

auf OK. 

2. Erweitern Sie im Knoten Computerkonfiguration (bei computerweit gültigen Autostartanwendungen) 

oder Benutzerkonfiguration (bei benutzerspezifischen Autostartanwendungen) 

die Unterknoten Richtlinien, Administrative Vorlagen und System und klicken 

Sie dann auf Anmelden. 

3. Klicken Sie doppelt auf die Gruppenrichtlinieneinstellung Diese Programme bei der 

Benutzeranmeldung ausführen. Sie haben nun folgende Möglichkeiten: 

Sie können alle Autostartanwendungen deaktivieren, die durch diese Richtlinie konfiguriert 

werden, indem Sie auf Deaktiviert klicken. 

Sie können einzelne Programme deaktivieren, die in der computerweit gültigen oder 

benutzerspezifischen Richtlinie aufgeführt sind, indem Sie auf Anzeigen klicken, im 

Dialogfeld Inhalt anzeigen ein Programm auswählen, das Sie deaktivieren wollen, 

und dann auf Entfernen klicken. 

Sie können weitere Gruppenrichtlinieneinstellungen ändern, die Ihnen dabei helfen können, 

Ihre Computerkonfiguration für die Behandlung von Startproblemen zu vereinfachen. Aktivieren 

Sie dazu die Richtlinie Einmalige Ausführungsliste nicht verarbeiten. Falls Sie diese 

Gruppenrichtlinieneinstellung aktivieren, ignoriert der Computer die Programme, die in den 

folgenden RunOnce-Unterschlüsseln eingetragen sind, wenn sich das nächste Mal ein Benutzer 

am Computer anmeldet: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce


Außerdem können Sie die Gruppenrichtlinieneinstellung Herkömmliche Ausführungsliste 

nicht verarbeiten aktivieren, um die Autostartanwendungen zu deaktivieren, die im ebenfalls 

verwendeten Unterschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ 

CurrentVersion\Run eingetragen sind. Die in diesem Unterschlüssel aufgeführten Programme 

stammen aus einer Liste, die mit dem Systemrichtlinien-Editor für Windows NT 4 oder ältere 

Versionen konfiguriert wurde. Falls Sie diese Gruppenrichtlinieneinstellung aktivieren, ignoriert 

Windows die Programme, die in diesem Unterschlüssel aufgeführt sind, wenn Sie Ihren 

Computer starten. Falls Sie diese Gruppenrichtlinieneinstellung deaktivieren oder nicht konfigurieren, 

verarbeitet Windows die angepasste Ausführungsliste in diesem Registrierungsunterschlüssel, 

wenn Sie den Computer starten. 

Änderungen an Gruppenrichtlinien werden nicht immer sofort wirksam. Sie können das Tool 

Gpupdate (Gpupdate.exe) verwenden, um die Änderungen an den lokalen Gruppenrichtlinien 

für Computer- und Benutzerrichtlinien sofort zu aktualisieren. Sobald Sie die Richtlinie aktualisiert 

haben, können Sie mit dem Gruppenrichtlinienergebnis-Tool (Gpresult.exe) überprüfen, 

ob die aktualisierten Einstellungen angewendet werden. 

Gruppenrichtlinieneinstellungen können auf den lokalen Computer oder eine gesamte Domäne 

angewendet werden. Um festzustellen, wie Einstellungen auf einen bestimmten Computer 

angewendet werden, können Sie das Tool Richtlinienergebnissatz (Rsop.msc) verwenden. 

Bearbeiten Sie dann diese Gruppenrichtlinienobjekte, um eine Änderung anzuwenden. 

Um die Ursache des Problems zu isolieren, können Sie verhindern, dass Gruppenrichtlinien, 

Anmeldeskripts, servergespeicherte Benutzerprofile, geplante Aufgaben und Netzwerkprobleme 

Ihre Problembehandlung stören, indem Sie die Netzwerkkarte zeitweise deaktivieren 

und sich dann über ein lokales Computerkonto anmelden. 

Falls lokale und Domänengruppenrichtlinieneinstellungen die Ursache des Startproblems 

nicht aufdecken, wird die Anwendung möglicherweise durch ein Anmeldeskript gestartet. 

Anmeldeskripts werden in den Eigenschaften von lokalen oder Domänenbenutzern konfiguriert. 

Sie können sich das Anmeldeskript ansehen, indem Sie die Computerverwaltung öffnen 

und die Eigenschaften des Benutzers anzeigen. Klicken Sie auf die Registerkarte Profil. 

Notieren Sie sich den Pfad des Anmeldeskripts und öffnen Sie es in einem Tool wie dem 

Windows-Editor, um festzustellen, ob irgendwelche Autostartanwendungen konfiguriert 


So können Sie Autostartanwendungen und -prozesse dauerhaft deaktivieren 

Sie haben mehrere Möglichkeiten, eine Autostartanwendung dauerhaft zu deaktivieren. 

Diese Möglichkeiten werden in den folgenden Abschnitten beschrieben. 

Deinstallieren der Anwendung 

Falls Sie feststellen, dass eine vor Kurzem installierte Software Systeminstabilität auslöst 

oder Fehlermeldungen ständig auf eine bestimmte Anwendung verweisen, können Sie die 

Software in der Systemsteuerung mit der Schaltfläche Deinstallieren des Moduls Programme 

und Funktionen deinstallieren. Falls die Anwendung benötigt wird, können Sie sie in einer 

Testumgebung installieren und zusätzliche Tests ausführen, bevor Sie sie erneut auf Produktivcomputern 

installieren.


Den Eintrag von Hand entfernen 

Sie können Verknüpfungen manuell aus dem Ordner Startup löschen, Starteinträge aus der 

Registrierung entfernen, Einträge aus Gruppenrichtlinien oder Anmeldeskripts löschen oder 

einen Dienst deaktivieren. Eine Liste der Registrierungsunterschlüssel, die Einträge für 

Dienst- und Autostartprogramme enthalten, finden Sie im Abschnitt »Anmeldephase« weiter 



Windows 7 installiert automatisch WinRE und beschleunigt den Systemstart, das Herunterfahren 

und das Aufwecken des Computers aus dem Ruhezustand. Gegenüber Windows Vista 

wurden zwar nur wenige Verbesserungen am Startvorgang vorgenommen, aber Windows 

Vista führte viele Verbesserungen gegenüber Windows XP ein, die Windows 7 weiterhin 

unterstützt. Einige dieser Features sind: 


Windows-Startladeprogramm 

Die BCD-Registrierungsdatei und das Befehlszeilentool BCDEdit 

Systemwiederherstellungstools 


Wenn Sie mit älteren Windows-Versionen vertraut sind, dürften Sie auch mit der Behandlung 

der meisten Probleme, die in der Kernel-Ladephase des Systemstarts oder danach auftreten, 

keine Schwierigkeiten haben. Glücklicherweise können Sie (oder ein Benutzer) viele 

häufiger vorkommende Startprobleme dadurch beseitigen, dass Sie einfach das Tool Systemstartreparatur 

von der Windows-DVD ausführen.

A N H A N G D 

Problembehandlung für Hardware, 

Treiber und Laufwerke 




Dieser Anhang beschreibt, wie Sie beim Einsatz des Betriebssystems Windows 7 häufiger 

vorkommende Hardwareprobleme beseitigen. Dieser Anhang ist nicht als umfassende Anleitung 

zur Problembehandlung für Hardware gedacht. Vielmehr konzentriert es sich darauf, 

wie sich Hardwareprobleme mit den Windows 7-Diagnose- und Problembehandlungswerkzeugen 

beseitigen lassen. Zuerst beschreibt dieser Anhang die Verbesserungen in Windows 7, 

die den Problembehandlungsvorgang für Hardwareprobleme erleichtern. Anschließend beschreibt 

der Anhang, wie Sie die Windows 7-Tools für die Behandlung von Hardwareproblemen 

einsetzen. 

Informationen über Hardwareprobleme, die verhindern, dass Windows 7 startet, finden Sie 

in Anhang C, »Konfiguration und Problembehandlung des Startvorgangs«. Informationen 

über Netzwerkprobleme finden Sie in Anhang E, »Behandlung von Problemen mit Netzwerken«. 

Informationen über Probleme, die Abbruchfehler auslösen (die sogenannten Bluescreens), 

finden Sie in Anhang F, »Problembehandlung für Abbruchfehler«. 

Verbesserungen für die Problembehandlung für Hardware und 

Treiber in Windows 7 

Windows 7 enthält mehrere Verbesserungen und neue Features, die es Ihnen einfacher 

machen, eine Behandlung von Hardwareproblemen durchzuführen, sodass Sie die Ausfallzeit 

für Clientcomputer verringern können. Die folgenden Abschnitte beschreiben diese 

Verbesserungen. 

Windows 7 bringt die Zuverlässigkeitsüberwachung und den Ressourcenmonitor mit, die es 

Ihnen einfacher machen, die Ursache von Hardwareproblemen aufzuspüren und auf diese 

Weise die Ausfallzeit eines Clientcomputers zu verkürzen. Außerdem enthält Windows 7 

mehrere Problembehandlungsfeatures, die erstmals in Windows Vista eingeführt wurden. 

Die folgenden Abschnitte beschreiben diese Verbesserungen. 

501

502 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke 

Die Windows-Problembehandlungsplattform 

Die Windows-Problembehandlungsplattform (Windows troubleshooting platform) ist neu in 

Windows 7. Dabei handelt es sich um eine erweiterbare Infrastruktur für die automatisierte 

Diagnose von Software- und Hardwareproblemen. Wenn Sie bereits die Windows-Netzwerkdiagnose 

in Windows Vista verwendet haben, sind Sie damit vertraut, wie die Windows- 

Problembehandlungsplattform funktioniert. 

Für den Benutzer, der die Problembehandlung durchführt, ist die Windows-Problembehandlungsplattform 

ein Assistent, der versucht, die Ursache des Problems aufzuspüren und nach 

Möglichkeit eine Anleitung zu liefern, wie der Benutzer das Problem beseitigen kann. In 

manchen Fällen repariert die Windows-Problembehandlungsplattform das Problem auch 

selbst. Die Benutzer haben mehrere Möglichkeiten, ein Problembehandlungspaket zu starten. 

Gelingt es beispielsweise dem Windows Internet Explorer nicht, eine Website zu öffnen, 

kann der Benutzer auf die Schaltfläche Diagnose von Verbindungsproblemen klicken, um 

die Windows-Netzwerkdiagnose zu starten (die mithilfe der Windows-Problembehandlungsplattform 

implementiert ist). Ein Benutzer kann Problembehandlungspakete auch in der Systemsteuerung 

(unter Systemsteuerung\Alle Systemsteuerungselemente\Problembehandlung) 

oder über Hilfe und Support starten. 

Integrierte Problembehandlungspakete 

Windows 7 enthält integrierte Problembehandlungspakete für die Kategorien, zu denen die 

meisten Supportanfragen bei Microsoft eingehen, darunter Energiespareinstellungen, Anwendungskompatibilität, 

Netzwerk und Sound. Tabelle D.1 beschreibt alle Problembehandlungspakete, 

die in Windows 7 integriert sind oder die über den Windows-Onlinedienst für 

Problembehandlung (Windows Online Troubleshooting Service, WOTS) zur Verfügung gestellt 

werden. WOTS ist ein kostenloser Onlinedienst, über den Windows 7 neue oder aktualisierte 

Problembehandlungspakete herunterlädt. 

Tabelle D.1 Windows 7-Problembehandlungspakete 

Problembehandlungspaket Beschreibung 

Aero Analysiert Probleme, die verhindern, dass Ihr Computer 

Aero-Animationen und -Effekte anzeigt. 

Aufzeichnen von Audiodateien Analysiert Probleme, die verhindern, dass Ihr Computer 

Sound aufzeichnet. 

Drucker Analysiert Probleme, die verhindern, dass Sie einen Drucker 

benutzen können. 

Eingehende Verbindungen Lässt zu, dass andere Computer eine Verbindung zu Ihrem 

Computer herstellen. 

Energiespareinstellungen Passt die Energieeinstellungen an, um die Akkulaufzeit zu 

verlängern und den Stromverbrauch zu senken. 

Freigegebene Ordner Ermöglicht den Zugriff auf freigegebene Dateien und Ordner, 

die auf anderen Computern liegen. 

Hardware und Geräte Analysiert Probleme mit Hardware und Geräten. 

Heimnetzgruppe Analysiert Probleme, die verhindern, dass Sie Computer oder 

freigegebene Dateien in einer Heimnetzgruppe angezeigt 

bekommen.

Verbesserungen für die Problembehandlung für Hardware und Treiber in Windows 7 503 

Problembehandlungspaket Beschreibung 

Internet Explorer-Sicherheit Passt Einstellungen an, die die Browsersicherheit in Internet 

Explorer erhöhen. 

Internetverbindungen Stellt eine Verbindung mit dem Internet oder zu einer bestimmten 

Website her. 

Leistung Passt Einstellungen in Windows an, die die Gesamtgeschwindigkeit 

und -leistung verbessern. 

Leistung von Internet Explorer Analysiert Probleme, die verhindern, dass Sie mit dem Internet 

Explorer im Web surfen. 

Netzwerkadapter Analysiert Probleme mit Ethernet-, Drahtlos- oder anderen 

Netzwerkkarten. 

Programmkompatibilität Analysiert Probleme, die verhindern, dass ein Programm 

nicht in dieser Windows-Version funktioniert. 

Suche und Indizierung Analysiert Probleme bei der Suche nach Elementen mit 

Windows Search. 

Systemwartung Löscht unbenutzte Dateien und Verknüpfungen und führt 

andere Wartungsaufgaben durch. 

Verbinden mit einem Arbeitsplatz über 

DirectAccess 

Stellt über das Internet eine Verbindung zu Ihrem Arbeitsplatznetzwerk 

her. 

Wiedergeben von Audiodateien Analysiert Probleme, die verhindern, dass Ihr Computer 

Sounds abspielt. 

Windows Media Player-Bibliothek Analysiert Probleme, die verhindern, dass Musik und Filme 

aus der Windows Media Player-Bibliothek angezeigt werden. 

Windows Media Player-Einstellungen Setzt den Windows Media Player auf die Standardeinstellungen 

zurück. 

Windows Media Player-DVD Analysiert Probleme, die verhindern, dass eine DVD im 

Windows Media Player abgespielt werden kann. 

Windows Update Analysiert Probleme, die verhindern, dass Windows Update 

richtig funktioniert. 

Ausführen von Problembehandlungspaketen im Remotezugriff 

Sie können ein Problembehandlungspaket auch über das Netzwerk auf einem Remotecomputer 

ausführen. Das ermöglicht Ihnen, häufiger vorkommende Probleme schnell zu diagnostizieren 

und unter Umständen sogar ganz zu beseitigen, ohne dass Sie den Benutzer 

durch den Problembehandlungsprozess leiten müssen. Wenn Sie die folgenden Windows 

PowerShell-Befehle auf einem Windows 7-Computer ausführen (entweder lokal oder im 

Remotezugriff mit Invoke-Command oder den *-PSession-Cmdlets), wird das integrierte Windows 

Aero-Problembehandlungspaket ausgeführt, das versucht, alle Probleme automatisch 

zu beseitigen. Die Ergebnisse werden im Ordner C:\DiagResult gespeichert. 

Import-Module TroubleshootingPack 

$aero = Get-TroubleshootingPack $env:SystemRoot\Diagnostics\System\Aero 

Invoke-TroubleshootingPack -Pack $aero -Result C:\DiagResult -unattend 

Diese Technik können Sie auch in einem Skript nutzen, um ein Problembehandlungspaket 

auf mehreren Computern über das Netzwerk auszuführen. In Kombination mit einem benutzerdefinierten 

Problembehandlungspaket können Sie auf diese Weise schnell feststellen, auf


welchen Computern bestimmte Probleme auftreten oder welche falsch konfiguriert sind. 

Weil Problembehandlungspakete unter Umständen Konfigurationsänderungen vornehmen, 

um Probleme zu beseitigen, eignet sich dieser Ansatz, um häufiger vorkommende Probleme 

zu erkennen und zu beseitigen, ohne dass Sie Kontakt mit den jeweiligen Benutzern aufnehmen 

oder von Hand eine Verbindung zu ihren Computern herstellen müssen. 

Ressourcenmonitor 

IT-Experten müssen sich die Vorgänge im Innern eines Computers genau ansehen, um 

Probleme effizient beseitigen zu können. Je komplexer das Problem ist, desto detailliertere 

Informationen werden gebraucht. Ein Beispiel: Der Task-Manager reicht zwar aus, um 

festzustellen, welcher Prozess am meisten Prozessorzeit verbraucht, aber IT-Experten 

brauchen ein leistungsfähigeres Tool, um herauszufinden, welcher Prozess am meisten 

Datenträger- oder Netzwerk-E/A (Ein-/Ausgabe) verursacht. 

Damit IT-Experten detaillierte Informationen über die Ressourcenauslastung zu jedem einzelnen 

Prozess erhalten, enthält Windows 7 eine verbesserte Version des Ressourcenmonitors. 

Wie in Abbildung D.1 zu sehen, zeigt der Ressourcenmonitor diese Daten in einem 

Format an, das auf einen Blick viele Informationen liefert, sodass Sie prozessspezifische 

Details ganz einfach analysieren können. 

Abbildung D.1 Der Ressourcenmonitor zeigt detaillierte Echtzeitleistungsdaten an 

Binnen weniger Sekunden bringen Sie mit dem Ressourcenmonitor folgende Daten in 

Erfahrung: 

Welche Prozesse am meisten Prozessorzeit und Arbeitsspeicher verbrauchen 

Welche Prozesse am meisten Daten auf Datenträger lesen und schreiben 

Wie viele Netzwerkdaten jeder Prozess sendet und empfängt


Wie viel Arbeitsspeicher jeder Prozess belegt 

Warum ein Prozess nicht reagiert 

Welche Dienste in einem SvcHost.exe-Prozess gehostet werden 

Auf welche Handles ein Prozess zugreift, also auf welche Geräte, Registrierungsschlüssel 

und Dateien 

Auf welche Module, also DLLs und andere Bibliotheken, ein Prozess zugreift 

Welche Prozesse eingehende Netzwerkverbindungen entgegennehmen oder Netzwerkverbindungen 

offen haben 

Außerdem können Sie Prozesse beenden und online nach Informationen über einen Prozess 

suchen. Mit dem Ressourcenmonitor können IT-Experten schnell die Ursache für Leistungsund 

Ressourcenauslastungsprobleme identifizieren, wodurch sich der Zeitaufwand für die 

Beseitigung komplexer Probleme verringert. 

Windows-Speicherdiagnose 

Anwendungs-, Betriebssystem- und Abbruchfehler werden oft durch defekten Arbeitsspeicher 

verursacht. Defekte Arbeitsspeicherchips geben andere Daten zurück, als das Betriebssystem 

ursprünglich gespeichert hat. Defekter Arbeitsspeicher kann schwierig zu identifizieren 

sein: Möglicherweise treten die Probleme nur gelegentlich auf, in bestimmten Fällen 

auch nur unter sehr speziellen Bedingungen. Zum Beispiel kann es sein, dass ein Arbeitsspeicherchip 

einwandfrei funktioniert, wenn er in einer kontrollierten Umgebung getestet 

wird, aber Defekte zeigt, wenn die Temperatur im Computergehäuse zu hoch wird. Defekter 

Arbeitsspeicher kann auch Folgeprobleme verursachen, zum Beispiel beschädigte Dateien. 

Oft unternehmen Administratoren drastische Schritte, um das Problem zu beseitigen. Zum 

Beispiel installieren sie Anwendungen oder das Betriebssystem neu, nur um dann feststellen 

zu müssen, dass die Fehler bestehen bleiben. 

Windows 7 stellt das Tool Windows-Speicherdiagnose zur Verfügung, um Administratoren 

dabei zu helfen, Probleme mit unzuverlässigem Arbeitsspeicher aufzuspüren. Falls in Windows 

7 die Windows-Fehlerberichterstattung (Windows Error Reporting, WER) oder der 

Microsoft Online Crash Analyzer (MOCA) feststellt, dass defekter Arbeitsspeicher eine 

Ursache für einen Fehler sein könnte, kann die Software den Benutzer auffordern, eine 

Speicherdiagnose durchzuführen, ohne dass er dafür zusätzliche Downloads herunterladen 

oder eine eigene Startdisk erstellen muss. Außerdem können Sie die Windows-Speicherdiagnose 

mit einer speziellen Startmenüoption ausführen, oder indem Sie WinRE von der 

Windows 7-DVD laden. 

Falls die Speicherdiagnose ein Problem mit dem Arbeitsspeicher aufdeckt, kann Windows 7 

versuchen, den betroffenen Abschnitt des Hardwarespeichers zu meiden, sodass das Betriebssystem 

erfolgreich starten und Anwendungsabstürze vermeiden kann. Beim Start liefert 

Windows 7 einen einfach verständlichen Bericht, der das Problem meldet und dem Benutzer 

erklärt, wie er den Arbeitsspeicher austauschen kann. Ausführliche Informationen finden Sie 

im Abschnitt »So verwenden Sie die Windows-Speicherdiagnose« weiter unten in diesem 

Anhang.


Datenträgerfehlerdiagnose 

Probleme mit der Zuverlässigkeit von Laufwerken können unterschiedlich ernst sein. 

Kleinere Probleme können aussehen wie scheinbar zufällige Anwendungsfehler. Falls zum 

Beispiel ein Benutzer eine neue Kamera anschließt und das Betriebssystem den Treiber nicht 

laden kann, ist unter Umständen ein Laufwerksfehler die Ursache des Problems. Schwerwiegendere 

Probleme können dazu führen, dass alle auf der Festplatte gespeicherten Daten 

verloren gehen. 

Windows kann die Folgen von Datenträgerfehlern deutlich verringern, weil es Laufwerksprobleme 

schon im Vorfeld entdeckt, bevor ein Totalausfall droht. Festplatten zeigen vor dem 

Ausfall oft Warnsignale, aber ältere Windows-Betriebssysteme nehmen diese Warnsignale 

nicht zur Kenntnis. Windows überwacht eine Festplatte auf Anzeichen für ein Problem und 

warnt den Benutzer oder das Supportcenter davor. Die IT-Abteilung kann dann die Daten 

sichern und die Festplatte ersetzen, bevor das Problem zu einem echten Notfall wird. Windows 

7 leitet Administratoren durch den Prozess zum Sichern ihrer Daten, sodass sie das 

Laufwerk ohne Datenverlust austauschen können. 

Die meisten neuen Festplatten beherrschen SMART (Self-Monitoring Analysis and Reporting 

Technology) und DSTs (Disk Self Test). SMART überwacht den Zustand der Festplatte 

anhand eines Satzes variabler Attribute, zum Beispiel des Abstands des Lesekopfs von der 

Oberfläche und der Zahl der wegen Fehlern verlegten Blöcke. DSTs suchen aktiv nach Fehlern, 

indem sie Lese-, Schreib- und Servotests ausführen. 

Windows fragt den SMART-Status einmal pro Stunde ab und führt regelmäßig DSTs durch. 

Falls Windows drohende Datenträgerfehler entdeckt, kann es die Datenträgerdiagnose starten, 

um den Benutzer oder den IT-Mitarbeiter durch den Prozess zum Sichern der Daten und 

Ersetzen der Festplatte zu leiten, bevor der Totalausfall eintritt. Windows kann auch Probleme 

im Zusammenhang mit schmutzigen oder verkratzten CDs oder DVDs erkennen und den 

Benutzer auffordern, das Medium zu reinigen. 

Sie können die Datenträgerdiagnose mithilfe von zwei Gruppenrichtlinieneinstellungen 

konfigurieren. Beide liegen im Knoten Computerkonfiguration\Richtlinien\Administrative 

Vorlagen\System\Problembehandlung und Diagnose\Datenträgerdiagnose. 

Datenträgerdiagnose: Ausführungsebene konfigurieren Mit dieser Richtlinie können 

Sie die Warnungen der Datenträgerdiagnose aktivieren oder deaktivieren. Wenn Sie diese 

Richtlinie deaktivieren, wird dadurch nicht die Datenträgerdiagnose deaktiviert, sondern 

es wird lediglich verhindert, dass die Datenträgerdiagnose dem Benutzer eine Meldung 

anzeigt und Reparaturmaßnahmen einleitet. Falls Sie eine Überwachungsinfrastruktur 

konfiguriert haben, um Datenträgerdiagnoseereignisse zu sammeln, die im Ereignisprotokoll 

aufgezeichnet werden, und lieber von Hand auf die Ereignisse reagieren, können 

Sie diese Richtlinie deaktivieren. 

Datenträgerdiagnose: Benutzerdefinierten Warnungstext festlegen Sie können diese 

Eigenschaft aktivieren, um einen eigenen Warnungstext (maximal 512 Zeichen) für die 

Meldung festzulegen, die von der Datenträgerdiagnose angezeigt wird, wenn ein Datenträger 

einen SMART-Fehler meldet. 

Damit die Datenträgerdiagnose funktionieren kann, muss der Diagnoserichtliniendienst 

laufen. Beachten Sie, dass die Datenträgerdiagnose nicht alle drohenden Fehler entdecken 

kann. Und weil die SMART-Attributdefinitionen herstellerspezifisch sind, können sich die 

Implementierungen von Hersteller zu Hersteller unterscheiden. SMART funktioniert nicht,


falls die Festplatten an einen Hardware-RAID-Controller (Redundant Array of Independent 

Disks) angeschlossen sind. 

Hinweis Viele Hardwareanbieter akzeptieren SMART-Fehler als Grund für einen Austausch 

im Rahmen der Garantie. 

Selbstheilendes NTFS 

Windows Vista und Windows 7 bieten ein selbstheilendes NTFS (NT File System), das 

Dateisystemfehler erkennen und reparieren kann, während das Betriebssystem läuft. In den 

meisten Fällen repariert Windows 7 beschädigte Dateien, ohne den Benutzer zu unterbrechen. 

Das selbstheilende NTFS arbeitet im Prinzip ähnlich wie Chkdsk (weiter unten in 

diesem Anhang im Abschnitt »So verwenden Sie Chkdsk« beschrieben), erledigt seine Arbeit 

aber im Hintergrund, ohne ein ganzes Volume zu sperren. Falls Windows beschädigte Metadaten 

im Dateisystem erkennt, startet es die Selbstheilungsfunktionen von NTFS, um die 

Metadaten neu zu erstellen. Einige Daten können zwar verloren gehen, aber Windows kann 

den Schaden begrenzen und das Problem reparieren, ohne das gesamte System für einen 

langwierigen Prüf- und Reparaturzyklus offline nehmen zu müssen. 

Das selbstheilende NTFS ist in der Standardeinstellung aktiviert und benötigt keine Verwaltung. 

Es hilft, die Zahl von Laufwerksproblemen zu verringern, die administrative Aktivitäten 

erforderlich machen. Falls die Selbstheilung fehlschlägt, wird das Volume entsprechend 

markiert und Windows führt beim nächsten Start Chkdsk aus. 

Höhere Zuverlässigkeit von Treibern 

Treiber sollten in Windows Vista und Windows 7 zuverlässiger sein als in älteren Windows- 

Versionen. Verbesserte Unterstützung für E/A-Abbruch (Ein-/Ausgabe) wurde in Windows 

Vista und Windows 7 integriert, damit Treiber, die andernfalls beim Versuch einer E/A 

blockieren könnten, wieder in einen konsistenten Zustand zurückgeführt werden können. 

Windows Vista und Windows 7 bringen auch neue Anwendungsprogrammierschnittstellen 

(Application Programming Interface, API) mit, die es Anwendungen erlauben, E/A-Operationen 

(zum Beispiel das Öffnen einer Datei) abzubrechen. 

Damit Entwickler stabilere Treiber erstellen können, stellt Microsoft die Treiberüberprüfung 

zur Verfügung. Entwickler können mithilfe der Treiberüberprüfung sicherstellen, dass ihre 

Treiber Anforderungen verzögerungsfrei annehmen und einen E/A-Abbruch einwandfrei 

unterstützten. Weil sich hängengebliebene Treiber oft auf mehrere Anwendungen oder das 

gesamte Betriebssystem auswirken, können diese Verbesserungen die Stabilität von Windows 

deutlich steigern. Diese Verbesserung bedeutet keinen Aufwand für die Administratoren, sie 

profitieren vielmehr von einem zuverlässigeren Betriebssystem. 

Verbesserte Fehlerberichterstattung 

Windows 7 bietet mehr Anwendungszuverlässigkeit, und die neuen Fähigkeiten der Fehlerberichterstattung 

ermöglichen es, die Zuverlässigkeit der Anwendungen im Lauf der Zeit 

sogar noch weiter zu steigern. In älteren Windows-Versionen war es für Entwickler oft sehr 

schwierig, hängengebliebene Anwendungen zu untersuchen, weil die Fehlerberichterstattung 

nur wenige oder gar keine Informationen über sie lieferte. Windows Vista und Windows 7 

verbessern die Fehlerberichterstattung, sodass Entwickler die Informationen bekommen, die


sie brauchen, um die eigentliche Ursache für die Probleme dauerhaft zu beseitigen und so 

die Zuverlässigkeit ihrer Anwendungen kontinuierlich zu verbessern. 

Der Ablauf bei der Behandlung von Hardwareproblemen 

Hardwareprobleme können unterschiedliche Formen annehmen: 

Hardwareprobleme, die verhindern, dass Windows starten kann 

Ein neu installiertes Hardwaregerät, das nicht wie erwartet funktioniert 

Ein Hardwaregerät, das vorher richtig funktioniert hat, aber jetzt ausgefallen ist 

Nicht eindeutig zuordenbare Symptome, zum Beispiel ausfallende Anwendungen und 

Dienste, Abbruchfehler, Zurücksetzen des Systems und Geräte, die unzuverlässig 

arbeiten 

Jede dieser Problemkategorien sollten Sie mit einer anderen Problembehandlungsstrategie 

angehen. Die folgenden Abschnitte beschreiben Vorschläge für diese Prozesse. 

So führen Sie eine Behandlung von Problemen durch, 

die verhindern, dass Windows startet 

Manche Hardwareprobleme (insbesondere im Zusammenhang mit Festplatten oder Kernkomponenten 

wie Motherboard oder Prozessor) können verhindern, dass Windows startet. 

Informationen über die Behandlung von Startproblemen finden Sie in Anhang C, »Konfiguration 

und Problembehandlung des Startvorgangs«. 

So führen Sie eine Behandlung von Problemen bei der Installation 

neuer Hardware durch 

Es kann immer wieder passieren, dass Sie auf Schwierigkeiten stoßen, wenn Sie eine neue 

Hardwarekomponente installieren, oder dass eine vorhandene Hardwarekomponente plötzlich 

ausfällt. Gehen Sie folgendermaßen vor, falls Sie bei der Installation einer neuen Hardwarekomponente 

auf Probleme stoßen: 

1. Falls Windows nicht startet, sollten Sie in Anhang C, »Konfiguration und Problembehandlung 

des Startvorgangs«, weiterlesen. 

2. Installieren Sie alle Updates, die in Windows Update verfügbar sind. 

3. Laden Sie aktualisierte Software und Treiber für Ihre Hardware herunter und installieren 

Sie sie. Hardwarehersteller geben oft aktualisierte Software für Hardwarekomponenten 

heraus, wenn die Hardware bereits auf dem Markt ist. Normalerweise können Sie Softwareupdates 

von der Website des Herstellers herunterladen. 

4. Entfernen Sie die neu installierte Hardware und bauen Sie sie dann wieder ein, wobei 

Sie sich genau an die Anleitungen des Herstellers halten. Oft müssen Sie die Software 

installieren, bevor Sie die Hardware anschließen. Weitere Informationen finden Sie in 

den Abschnitten »So diagnostizieren Sie Hardwareprobleme« und »So führen Sie eine 

Problembehandlung für Treiberprobleme durch« weiter unten in diesem Anhang. Ausführliche 

Informationen über die Problembehandlung von USB-Geräten finden Sie im 

Abschnitt »So führen Sie eine Behandlung von USB-Problemen durch«, Informationen 

über die Problembehandlung bei Geräten, die eine Verbindung über Bluetooth herstellen,

Der Ablauf bei der Behandlung von Hardwareproblemen 509 

im Abschnitt »So führen Sie eine Behandlung von Bluetooth-Problemen durch« weiter 

unten in diesem Anhang. 

5. Suchen Sie in der Ereignisanzeige nach Ereignissen, die nützliche Informationen für die 

Diagnose des Problems liefern könnten. Normalerweise schreiben Treiber Ereignisse in 

das Systemereignisprotokoll. Treiber können aber auch Ereignisse in beliebige andere 

Protokolle eintragen. 

6. Installieren Sie aktualisierte Treiber für andere Hardwarekomponenten wie das BIOS 

(Basic Input/Output System) und Firmwareupdates für alle Hardwaregeräte in Ihrem 

Computer. Treiberupdates für andere Hardwarekomponenten können manchmal Inkompatibilitätsprobleme 

mit neuer Hardware beseitigen. 

7. Schließen Sie die Hardware, sofern möglich, an andere Anschlüsse Ihres Computers an. 

Verlegen Sie zum Beispiel Einsteckkarten in andere Steckplätze und schließen Sie USB- 

Geräte an andere USB-Anschlüsse an. Falls das Problem dadurch beseitigt wird, ist der 

ursprüngliche Anschluss in Ihrem Computer defekt oder das Gerät war nicht richtig 

angeschlossen. 

8. Ersetzen Sie alle Kabel, mit denen die neue Hardware an Ihren Computer angeschlossen 

ist. Falls das Problem dadurch beseitigt wird, war das Kabel defekt. 

9. Schließen Sie die neue Hardware an einen anderen Computer an. Falls die Hardware auf 

mehreren Computern nicht funktioniert, ist sie möglicherweise defekt. 

10. Wenden Sie sich an den Hardwarehersteller. Es kann sich um einen Hardware- oder 

Softwarefehler handeln. Der Hardwarehersteller kann Ihnen bei der weiteren Problembehandlung 

helfen. 

So führen Sie eine Behandlung von Problemen mit vorhandener Hardware 

durch 

Falls eine Hardwarekomponente, die vorher funktioniert hat, plötzlich ausfällt, sollten Sie 

folgendermaßen vorgehen: 



2. Stellen Sie in der Zuverlässigkeitsüberwachung fest, wie lange das Problem bereits 

besteht und welche damit eventuell zusammenhängenden Symptome auftreten. Weitere 

Informationen finden Sie im Abschnitt »So verwenden Sie die Zuverlässigkeitsüberwachung« 

weiter unten in diesem Anhang. Suchen Sie dann in der Ereignisanzeige nach 

eventuellen verwandten Ereignissen, die nützliche Informationen für die Diagnose des 

Problems liefern. 


4. Stellen Sie alle vor Kurzem aktualisierten Treiber wieder her, selbst wenn sie für andere 

Geräte sind. Treiberprobleme können Inkompatibilitäten zu anderen Geräten verursachen. 




von der Website des Herstellers herunterladen.


6. Entfernen Sie die neu installierte Hardware und bauen Sie sie wieder neu ein. Weitere 

Informationen finden Sie in den Abschnitten »So diagnostizieren Sie Hardwareprobleme« 

und »So führen Sie eine Behandlung von Treiberproblemen durch« in diesem 

Anhang. Ausführliche Informationen über die Problembehandlung von USB-Geräten 

finden Sie im Abschnitt »So führen Sie eine Behandlung von USB-Problemen durch« 


7. Installieren Sie aktualisierte Treiber für andere Hardwarekomponenten wie BIOS und 

Firmwareupdates für alle Hardwaregeräte in Ihrem Computer. Treiberupdates für andere 

Hardwarekomponenten können manchmal Inkompatibilitätsprobleme mit neuer Hardware 

beseitigen. 

8. Führen Sie eine Behandlung von Laufwerksproblemen mithilfe von Chkdsk durch, um 

durch Laufwerke verursachte Probleme zu identifizieren und nach Möglichkeit zu beseitigen. 

Laufwerksprobleme können Treiber beschädigen, was wiederum dazu führt, dass 

die Hardware nicht mehr funktioniert. Weitere Informationen finden Sie im Abschnitt 

»So führen Sie eine Behandlung von Laufwerksproblemen durch« weiter unten in 

diesem Anhang. 

9. Schließen Sie die Hardware, sofern möglich, an andere Anschlüsse Ihres Computer an. 

Verlegen Sie zum Beispiel Einsteckkarten in andere Steckplätze und schließen Sie USB- 

Geräte an andere USB-Anschlüsse an. Falls das Problem dadurch beseitigt wird, ist der 

ursprüngliche Anschluss in Ihrem Computer defekt oder das Gerät war nicht richtig 

angeschlossen. 

10. Ersetzen Sie alle Kabel, mit denen die neue Hardware an Ihren Computer angeschlossen 

ist. Falls das Problem dadurch beseitigt wird, war das Kabel defekt. 

11. Schließen Sie die Hardware, die die Probleme verursacht, an einen anderen Computer 

an. Falls die Hardware auf mehreren Computern nicht funktioniert, ist sie möglicherweise 

defekt. Wenden Sie sich an den Hardwarehersteller und bitten Sie um technischen 

Support. 

12. Führen Sie eine Systemwiederherstellung durch, um zu versuchen, den Computer wieder 

in einen funktionsfähigen Zustand zurückzusetzen. Eine Anleitung zur Verwendung der 

Systemwiederherstellung finden Sie im Abschnitt »So verwenden Sie die Systemwiederherstellung« 


13. Wenden Sie sich an die Supportabteilung Ihres Hardwareherstellers. Unter Umständen 

handelt es sich um einen Hardware- oder Softwarefehler, und der Hardwarehersteller 

kann Ihnen bei der weiteren Problembehandlung behilflich sein. 

So führen Sie eine Behandlung von nicht eindeutig zuordenbaren Symptomen 

durch 

Hardware-, Treiber- und Laufwerksprobleme können zu nicht eindeutig zuordenbaren Symptomen 

führen, während Windows läuft. Zum Beispiel sind folgende Symptome möglich: 

Fehler in Anwendungen und Diensten 

Abbruchfehler 

Zurücksetzen des Systems 

Unzuverlässig arbeitendes Zubehör

Der Ablauf bei der Behandlung von Hardwareproblemen 511 

Viele unterschiedliche Probleme können solche Symptome verursachen. Gehen Sie folgendermaßen 

vor, um die Ursache dieser Probleme zu identifizieren und möglicherweise zu 

beseitigen. Überprüfen Sie nach jedem Schritt, ob das Problem noch besteht. 



2. Stellen Sie in der Zuverlässigkeitsüberwachung fest, wie lange das Problem bereits besteht 

und welche eventuell damit zusammenhängenden Symptome auftauchen. Weitere 

Informationen finden Sie im Abschnitt »So verwenden Sie die Zuverlässigkeitsüberwachung« 

weiter unten in diesem Anhang. Suchen Sie dann in der Ereignisanzeige nach 

eventuell damit zusammenhängenden Ereignissen, die nützliche Informationen für die 

Diagnose des Problems liefern könnten. Normalerweise schreiben Treiber Ereignisse in 

das Systemereignisprotokoll. Allerdings können Treiber Ereignisse in jedes beliebige 

Protokoll schreiben. 


4. Installieren Sie aktualisierte Treiber (direkt von den Herstellern) für andere Hardwarekomponenten 

wie das BIOS und Firmwareupdates für alle Hardwaregeräte in Ihrem 

Computer. 

5. Stellen Sie alle vor Kurzem aktualisierten Treiber wieder her. 

6. Führen Sie eine Behandlung von Laufwerksproblemen mithilfe von Chkdsk durch, um 

durch Laufwerke verursachte Probleme zu identifizieren und nach Möglichkeit zu beseitigen. 

Starten Sie den Datenträgerbereinigungs-Assistenten, um Probleme im Zusammenhang 

mit knappem Festplattenplatz zu beseitigen. Weitere Informationen finden Sie 

weiter unten in diesem Anhang im Abschnitt »So führen Sie eine Behandlung von Laufwerksproblemen 

durch«. 

7. Testen Sie Ihren Arbeitsspeicher mithilfe der Windows-Speicherdiagnose. Weitere 

Informationen finden Sie weiter unten in diesem Anhang im Abschnitt »So verwenden 

Sie die Windows-Speicherdiagnose«. 

8. Entfernen Sie nacheinander alle nicht unbedingt benötigten Hardwarekomponenten. 

Falls das Problem verschwindet, nachdem Sie eine Hardwarekomponente entfernt haben, 

haben Sie die Hardwarekomponente gefunden, die das Problem verursacht. Führen Sie 

die Problembehandlung für diese spezifische Komponente fort, indem Sie die Anleitung 

weiter oben in diesem Anhang im Abschnitt »So führen Sie eine Behandlung von Problemen 

mit vorhandener Hardware durch« durchgehen. 

9. Führen Sie eine Systemwiederherstellung durch, um zu versuchen, den Computer wieder 

in einen funktionsfähigen Zustand zurückzusetzen. Eine Anleitung zur Verwendung der 

Systemwiederherstellung finden Sie weiter unten in diesem Anhang im Abschnitt »So 

verwenden Sie die Systemwiederherstellung«. 

10. Wenden Sie sich an die Supportabteilung Ihres Computerherstellers. Unter Umständen 

handelt es sich um einen Hardware- oder Softwarefehler, und der Computerhersteller 

kann Ihnen bei der weiteren Problembehandlung behilflich sein.


So diagnostizieren Sie Hardwareprobleme 

Denken Sie immer daran, zuerst die grundlegenden Punkte zu überprüfen, bevor Sie Teile 

ausbauen und ersetzen. Bevor Sie neue Peripheriegeräte einbauen, sollten Sie im Handbuch 

zu Ihrem Motherboard oder Computer nach nützlichen Informationen suchen, zum Beispiel 

zu Sicherheitshinweisen, Firmwarekonfiguration und der Position von Erweiterungs- oder 

Arbeitsspeichersteckplätzen. Einige Hersteller von Peripheriegeräten empfehlen, dass Sie 

einen Bus-Master-PCI-Slot verwenden, und weisen darauf hin, dass die Funktion des Geräts 

unter Umständen nicht sichergestellt ist, wenn der Adapter in einem sekundären Slot installiert 

wird. 

So identifizieren Sie ausgefallene Geräte mit dem Geräte-Manager 

Windows 7 kann feststellen, wenn Hardware nicht richtig funktioniert. Gehen Sie folgendermaßen 

vor, um im Geräte-Manager nichtfunktionierende Hardware anzeigen zu lassen: 



3. Der Geräte-Manager zeigt alle Geräte an. Problematische Geräte (darunter alle Geräte, 

mit denen Windows 7 nicht erfolgreich kommunizieren kann) sind mit einem Warnungssymbol 

markiert. Falls keine Kategorien aufgeklappt und keine Geräte sichtbar sind, hat 

Windows 7 keine Probleme mit irgendwelchen Geräten festgestellt. 

So überprüfen Sie den Hardwarezustand Ihres Computers 

Falls Sie vor Kurzem das Computergehäuse geöffnet haben oder der Computer verschoben 

oder befördert wurde, haben sich möglicherweise Anschlüsse gelöst. Sie sollten folgendermaßen 

sicherstellen, dass keine Verbindungen lose sind: 

Überprüfen Sie, ob die Stromkabel für alle Geräte fest eingesteckt sind und ob das 

Netzteil des Computers die Hardwarespezifikationen erfüllt Die Netzteile von 

Computern sind in unterschiedlichen Stärken verfügbar, normalerweise sind sie für 200 

bis 400 Watt ausgelegt. Wenn zu viele Geräte in einem Computer mit einem zu schwachen 

Netzteil installiert werden, kann das Probleme mit der Zuverlässigkeit verursachen 

oder sogar das Netzteil beschädigen. Überprüfen Sie den Leistungsverbrauch in den 

Spezifikationen des Herstellers, bevor Sie neue Geräte installieren, und stellen Sie sicher, 

dass Ihr Computer den höheren Stromverbrauch verkraftet. 

Entfernen Sie externe Geräte Externe Geräte (die zum Beispiel über USB oder IEEE 

1394 verbunden sind, oder PC Cards und ExpressCards) können defekt sein und den 

Startvorgang behindern. Sie können Geräte entweder eines nach dem anderen entfernen 

und jedes Mal versuchen, den Computer zu starten, um die Ursache für das Problem zu 

finden, oder Sie können alle Geräte entfernen, dann den Computer starten und die Geräte 

nacheinander wieder anschließen. 

Überprüfen Sie, dass alle internen Adapter richtig installiert sind und fest sitzen 

Oft müssen Peripheriegeräte wie Tastaturen und Grafikkarten installiert und funktionsfähig 

sein, damit die Startphase ohne Fehlermeldungen durchläuft. Adapter können sich 

lösen, wenn der Computer bewegt oder angestoßen wird, aber auch durch Vibrationen 

des Computers selbst, die durch bewegliche Teile wie Festplatten verursacht werden.

So diagnostizieren Sie Hardwareprobleme 513 

Überprüfen Sie, dass alle Kabel richtig angeschlossen sind Stellen Sie sicher, dass 

alle Kabelanschlüsse richtig sitzen, indem Sie die Kabel abziehen und wieder anstecken. 

Suchen Sie nach beschädigten oder abgenutzten Kabeln und ersetzen Sie sie bei Bedarf. 

Sie können schmutzige Stecker mit einem Radiergummi reinigen, um sicherzustellen, 

dass die Kontakte einwandfrei leiten. 

Überprüfen Sie die Systemtemperatur Hohe Temperaturen in einem Computer können 

nicht eindeutig zuordenbare Fehler verursachen. Viele Computer zeigen die internen 

Temperaturen für Prozessor, Festplatte, Grafikkarte oder andere Komponenten an, wenn 

Sie das Firmwaremenü starten. Grafische Tools von Fremdherstellern können auch innerhalb 

von Windows Informationen zur Temperaturdiagnose anzeigen. Falls die Temperatur 

sehr hoch ist, sollten Sie überprüfen, ob alle Ventilatoren richtig funktionieren und 

die Luftauslässe frei sind. Überprüfen Sie, ob das Computergehäuse vollständig zusammengebaut 

ist: Falls Seitenteile offen bleiben, mag das aussehen, als käme ein besserer 

Luftaustausch zustande, aber in Wirklichkeit kann es dazu führen, dass der vorgesehene 

Luftfluss, der heiße Komponenten kühlen soll, umgeleitet wird. Überprüfen Sie, ob die 

Luft außen am Computer frei fließen kann. Achten Sie insbesondere bei mobilen PCs 

darauf, dass der Computer nicht auf einer weichen Oberfläche wie einer Couch oder 

einem Teppich steht, weil das die Wärmeableitung behindern kann. Setzen Sie schließlich 

die Taktraten von Prozessor und Arbeitsspeicher auf ihre Standardeinstellungen 

zurück, um sicherzustellen, dass der Computer nicht übertaktet wird. 

So prüfen Sie die Konfiguration Ihrer Hardware 

Falls Sie vor Kurzem die Hardwarekonfiguration Ihres Computers verändert oder einen neuen 

Computer konfiguriert haben, sollten Sie die Konfiguration überprüfen, um die Ursache für 

ein Startproblem zu identifizieren. 

Überprüfen Sie, ob Sie alle Jumper oder DIP-Schalter richtig konfiguriert haben 

Jumper und DIP-Schalter (Dual In-line Package) schließen oder öffnen elektrische Kontakte 

auf Schaltungen. Bei Festplatten sind Jumpereinstellungen besonders wichtig, weil 

sie den Startvorgang behindern können, falls sie nicht richtig sind. Wenn Sie zum Beispiel 

zwei Master-ATA-Laufwerke (Advanced Technology Attachment) konfigurieren, 

die am selben Kanal angeschlossen sind, oder mehreren Geräten am selben SCSI-Anschluss 

(Small Computer System Interface) dieselbe ID zuweisen, kann das einen Abbruchfehler 

oder Fehlermeldungen über Festplattenfehler auslösen. 

Konfigurieren Sie BCD-Verweise richtig, wenn eine Festplatte hinzugefügt wird 

Wenn eine zusätzliche Festplatte installiert oder die Laufwerkskonfiguration in einem 

Computer geändert wird, kann das dazu führen, dass Windows nicht startet. Verwenden 

Sie in einem solchen Fall das Starthilfe-Tool aus den Systemstartreparaturtools, um das 

Problem automatisch beseitigen zu lassen. Weitere Informationen finden Sie in Anhang C, 

»Konfiguration und Problembehandlung des Startvorgangs«. 

Überprüfen Sie die SCSI-Konfiguration Falls Ihr Computer SCSI-Geräte verwendet 

und davon startet, und Sie den Verdacht haben, dass diese Geräte Startprobleme verursachen, 

sollten Sie die Punkte aus Tabelle D.2 überprüfen.


Tabelle D.2 Checkliste für die Problembehandlung von SCSI-Geräten 

Punkt Beschreibung 

Alle Geräte sind richtig 

terminiert. 

Alle Geräte verwenden 

eindeutige SCSI-IDs. 

Das BIOS im SCSI- 

Startcontroller ist 

aktiviert. 

Sie verwenden die 

richtigen Kabel. 

Die Firmwareeinstellungen 

für den SCSI- 

Hostadapter entsprechen 

den Gerätefähigkeiten. 

SCSI-Adapter sind in 

einem Master-PCI-Slot 

installiert. 

Überprüfen Sie, ob die SCSI-Geräte richtig terminiert sind. Sie müssen 

bestimmte Regeln für die Terminierung einhalten, damit keine Probleme 

bei der Erkennung eines SCSI-Geräts im Computer auftreten. Diese Regeln 

können sich zwar von Adapter zu Adapter leicht unterscheiden, aber das 

grundlegende Prinzip lautet immer, dass Sie eine SCSI-Kette an beiden 

Enden terminieren müssen. 

Überprüfen Sie, ob jedes Gerät innerhalb einer bestimmten SCSI-Kette eine 

eindeutige ID hat. Doppelt verwendete IDs können sporadische Fehler oder 

sogar Beschädigung von Daten verursachen. Bei neueren Geräten können 

Sie den SCAM-Standard (SCSI Configured AutoMagically) nutzen. Der 

Hostadapter und alle Geräte müssen den SCAM-Standard unterstützen. 

Andernfalls müssen Sie die IDs von Hand einstellen. 

Überprüfen Sie, ob das SCSI-BIOS beim primären SCSI-Controller aktiviert 

und bei allen sekundären Controllern deaktiviert ist. SCSI-Firmware 

enthält Anweisungen, die es dem Computer erlauben, mit SCSI-Laufwerken 

zu kommunizieren, bevor Windows 7 startet. Wenn Sie dieses Feature auf 

allen Hostadaptern deaktivieren, schlägt der Start fehl. Informationen darüber, 

wie Sie das BIOS aktivieren oder deaktivieren, finden Sie in der 

Dokumentation zu Ihrem SCSI-Controller. 

Überprüfen Sie, dass die Verbindungskabel den richtigen Typ und die 

richtige Länge haben und den SCSI-Spezifikationen entsprechen. Es gibt 

unterschiedliche SCSI-Standards, von denen jeder spezifische Anforderungen 

an die Verkabelung stellt. Weitere Informationen finden Sie in der 

Produktdokumentation. 

Überprüfen Sie, ob die Hostadapter-BIOS-Einstellungen für jedes SCSI- 

Gerät richtig sind. (Das BIOS des SCSI-Adapters ist von der Motherboardfirmware 

des Computers getrennt.) Zu jedem SCSI-Gerät können Sie 

Einstellungen wie Sync-Aushandlung, maximale Übertragungsrate und 

Send-Start-Befehl angeben, die Einfluss auf Leistung und Kompatibilität 

haben können. Bestimmte SCSI-Geräte funktionieren unter Umständen 

nicht richtig, falls die Einstellungen für die Fähigkeiten der Hardware zu 

hoch gewählt sind. Prüfen Sie die Dokumentation Ihres SCSI-Adapters und 

des Geräts, bevor Sie die Standardeinstellungen verändern. 

Überprüfen Sie, ob der Hostadapter im richtigen Motherboardslot installiert 

ist. Die Dokumentation zu einigen PCI-SCSI-Adaptern empfiehlt, nur Busmaster-PCI-Slots 

zu verwenden, um Probleme auf 32-Bit-Computern zu 

vermeiden. Sehen Sie in der Dokumentation Ihres Motherboard- oder 

Computerherstellers nach, wo diese Busmaster-PCI-Slots liegen. Falls Ihr 

SCSI-Adapter in einem Nicht-Busmaster-PCI-Slot installiert ist, sollten Sie 

ihn in einen Master-Slot verlegen, um zu prüfen, ob das etwas an Funktion 

und Stabilität ändert. 

Warnung Schalten Sie zur Vorsicht immer den Computer aus und ziehen Sie das Stromkabel 

ab, bevor Sie eine Problembehandlung für Hardware durchführen. Versuchen Sie 

niemals, interne Geräte zu installieren oder zu entfernen, wenn Sie sich mit Hardware nicht 

auskennen.

So diagnostizieren Sie Hardwareprobleme 515 

Weitere Informationen Genauere Informationen zur SCSI-Terminierung finden Sie im 

Microsoft Knowledge Base-Artikel 92765, »Terminieren eines SCSI-Geräts«, unter http:// 

support.microsoft.com/?kbid=92765 und im Microsoft Knowledge Base-Artikel 154690, 

»So behandeln Sie Fehlermeldungen mit der Ereignis-ID 9, 11 oder 15«, unter http:// 

support.microsoft.com/?kbid=154690. 

So überprüfen Sie, ob die Firmware von System und Peripheriegeräten auf 

dem neusten Stand ist 

Gelegentlich lassen sich Stabilitäts- und Kompatibilitätsprobleme auf veraltete Firmware 

zurückführen. Verwenden Sie nach Möglichkeit immer die neuste Firmwareversion. Falls 

Setup nicht reagiert, wenn Sie das Betriebssystem installieren, kann das durch die Firmware 

Ihrer DVD-Laufwerke verursacht werden. Versuchen Sie, die DVD-Firmware auf die neuste 

Version zu aktualisieren. 

So testen Sie Ihre Hardware mit den Diagnosetools 

Falls das Problem auftritt, nachdem die POST-Routine (Power-On Self Test) abgeschlossen 

ist, aber noch bevor Windows vollständig geladen wurde, sollten Sie die Diagnosesoftware 

ausführen, die der Hersteller des Hardwareadapters zur Verfügung stellt. Diese Software umfasst 

normalerweise einen Selbsttest, mit dem Sie schnell überprüfen können, ob ein Gerät 

richtig funktioniert. Damit können Sie unter Umständen auch zusätzliche Informationen 

über das Gerät ermitteln, zum Beispiel Modellnummer, Hardware- und Firmwareversion. 

Außerdem können Sie mit Windows einen Arbeitsspeichertest auf Ihrem Computer ausführen. 

Eine ausführliche Anleitung finden Sie im Abschnitt »So verwenden Sie die Windows- 

Speicherdiagnose« weiter unten in diesem Anhang. 

So vereinfachen Sie Ihre Hardwarekonfiguration 

Hardwareprobleme können entstehen, wenn Sie sowohl neuere als auch ältere Geräte im 

selben Computer installiert haben. Falls Sie die Probleme nicht mit dem abgesicherten 

Modus und anderen Optionen (zum Beispiel durch Wiederherstellen installierter Treiber) 

beseitigen können, sollten Sie zeitweise alle ISA-Geräte deaktivieren oder entfernen, die 

Plug & Play nicht unterstützen. Falls Sie Windows starten können, sobald diese älteren 

Geräte entfernt sind, verursachen diese Geräte Ressourcenkonflikte und Sie müssen die 

ihnen zugewiesenen Ressourcen von Hand neu konfigurieren. 

Wenn Sie Startprobleme diagnostizieren, die auf Hardware zurückzuführen sind, wird empfohlen, 

dass Sie Ihre Konfiguration vereinfachen. Falls Sie Ihre Computerkonfiguration einfacher 

machen, können Sie Windows möglicherweise starten. Dann können Sie nach und 

nach die Hardwarekonfiguration des Computers komplexer machen, bis sich das Problem 

wieder einstellt. So können Sie das Problem diagnostizieren und beseitigen. 

Schieben Sie die Problembehandlung auf, wenn Sie noch mehr Adapter und externe Peripheriegeräte 

installiert haben. Deaktivieren oder entfernen Sie nacheinander alle Hardwaregeräte 

(wobei Sie mit externen und ISA-Geräten beginnen), bis Sie Ihren Computer starten 

können. Installieren Sie die Geräte dann neu, wobei Sie die Anleitungen der Hersteller befolgen, 

und stellen Sie sicher, dass ein Gerät einwandfrei funktioniert, bevor Sie das nächste 

Gerät in Angriff nehmen. Wenn Sie zum Beispiel eine PCI-Netzwerkkarte und einen SCSI-


Adapter gleichzeitig installieren, kann die Problembehandlung komplizierter werden, weil 

nicht klar ist, welcher der Adapter ein Problem verursacht. 

ISA-Geräte sind für einen großen Teil der Startprobleme verantwortlich, die durch Hardware 

verursacht werden. Der PCI-Bus hat keine zuverlässige Methode, um die ISA-Ressourceneinstellungen 

zu ermitteln. Gerätekonflikte können auftreten, weil die Kommunikation zwischen 

den beiden Bustypen nicht optimal ist. Um ISA- und PCI-Konflikte zu vermeiden, 

sollten Sie ISA-Geräte zeitweise entfernen. Nachdem Sie ein neues PCI-Gerät installiert 

haben, können Sie im Geräte-Manager feststellen, welche Systemressourcen für ISA-Geräte 

verfügbar sind. Konfigurieren Sie dann die ISA-Geräte, die keine Plug & Play-Unterstützung 

bieten, so um, dass keine Konflikte auftreten. Falls die Probleme weiterhin bestehen, 

nachdem Sie die ISA-Geräte erneut installiert haben, und Sie die Probleme auch mithilfe des 

technischen Supports nicht beseitigen können, können Sie in Erwägung ziehen, eine Aufrüstung 

auf neuere Hardware vorzunehmen. 

Das Vereinfachen Ihrer Computerkonfiguration kann auch nützlich sein, wenn Probleme 

verhindern, dass Sie Windows installieren können. Weitere Informationen darüber, wie Sie 

Ihre Hardwarekonfiguration vereinfachen können, um Setupprobleme zu beseitigen, finden 

Sie im Microsoft Knowledge Base-Artikel 224826, »Fehlerbehebung bei Textmodus-Setup- 

Problemen auf ACPI-Computern«, unter http://support.microsoft.com/?kbid=224826. 

So diagnostizieren Sie Probleme im Zusammenhang mit Laufwerken 

Probleme im Zusammenhang mit Laufwerken zeigen sich normalerweise, bevor Windows 7 

startet oder kurz danach. Tabelle D.3 listet die Symptome, mögliche Ursachen und Informationsquellen 

zu solchen Startproblemen auf. 

Gelegentlich können Probleme im Zusammenhang mit Laufwerken, zum Beispiel beschädigte 

Dateien, Dateisystemprobleme oder zu geringer freier Speicherplatz, dazu führen, dass 

Abbruchfehler auftreten. 

Tabelle D.3 Startprobleme im Zusammenhang mit Laufwerken 

Symptom, Meldung oder 

Problem 

Die POST-Routine zeigt 

eine Meldung an, die etwa 

so aussieht: 

Hard disk error. 

Hard disk absent/failed. 

Das System zeigt Meldungen 

zum MBR oder Startsektor 

an, die etwa folgendermaßen 

lauten: 

Missing operating system. 

Insert a system diskette 

and restart the system. 

Mögliche Ursache Weitere Informationen 

Die Selbsttestroutinen des 

Systems halten an, weil 

Geräte falsch installiert sind. 

Der MBR oder der Partitionsstartsektor 

ist beschädigt, 

möglicherweise durch 

Hardwareprobleme oder 

Viren. 

Überprüfen Sie, ob die Hardware richtig 

angeschlossen ist, wie weiter oben in 

diesem Abschnitt beschrieben. 

Führen Sie die Starthilfe aus, wie in 

Anhang C, »Konfiguration und Problembehandlung 

des Startvorgangs«, beschrieben.

Symptom, Meldung oder 

Problem 

Das System zeigt Meldungen 

über die Partitionstabelle 


lauten: 

Invalid partition table. 

A disk-read error 

occurred. 

Sie können nicht auf Windows 

7 zugreifen, nachdem 

Sie ein anderes Betriebssystem 

installiert 

haben. 

So verwenden Sie die eingebaute Diagnose 517 

Mögliche Ursache Weitere Informationen 

Die Partitionstabelle ist aufgrund 

einer falschen Konfiguration 

von neu hinzugefügten 

Laufwerken ungültig. 

Der Windows 7-Startsektor 

wurde durch das Setupprogramm 

eines anderen Betriebssystems 

überschrieben. 

Systemdateien fehlen. Erforderliche Startdateien 

fehlen oder sind beschädigt, 

oder Einträge in der BCD- 

Registrierungsdatei verweisen 

auf die falsche Partition. 

Der EFI-Start-Manager 

oder der Windows-Start- 

Manager zeigen Meldungen 


lauten: 

Couldn't find loader. 

Please insert another 

disk. 

CMOS- oder NVRAM- 

Laufwerkskonfigurationseinstellungen 

werden nicht 

dauerhaft gespeichert. 

Führen Sie die Starthilfe aus, wie in 

Anhang C, »Konfiguration und Problembehandlung 

des Startvorgangs«, beschrieben. 

Falls Windows 7 dann immer 

noch nicht startet, sollten Sie Ihre Datenträger 

über die Eingabeaufforderung der 

Systemwiederherstellung konfigurieren. 

Führen Sie die Starthilfe aus, wie in Anhang 

C, »Konfiguration und Problembehandlung 


Führen Sie die Starthilfe aus, wie in Anhang 



Systemdateien fehlen. Führen Sie die Starthilfe aus, wie in Anhang 



Der CMOS-Speicher oder 

das NVRAM ist defekt, 

Daten wurden beschädigt, 

oder die Batterie, die diesen 

Speicherbereich puffert, 

muss ersetzt werden. 

So verwenden Sie die eingebaute Diagnose 

Befolgen Sie die Anleitungen des Herstellers, 

um die Systembatterie auszutauschen 

oder aufzuladen. 

Windows 7 stellt mehrere Tools zur Verfügung, die Ihnen dabei helfen, die Ursache von 

Hardwareproblemen zu diagnostizieren. Die folgenden Abschnitte beschreiben die wichtigsten 

Tools. 

So verwenden Sie die Zuverlässigkeitsüberwachung 

Sie öffnen die Zuverlässigkeitsüberwachung, indem Sie im Suchfeld des Startmenüs Zuverlässigkeit 

eingeben und dann auf Zuverlässigkeitsverlauf anzeigen klicken. Das Systemstabilitätsdiagramm 

enthält einen nach Tagen aufgeschlüsselten Bericht über alle Probleme 

oder größere Änderungen. Sie können sich ansehen, welche Ereignisse an einem bestimmten 

Tag aufgetreten sind, indem Sie den Tag im Diagramm anklicken und sich dann die detaillierten 

Informationen durchlesen. Sie können auch auf die Dropdownliste in der rechten


oberen Ecke klicken und Alles markieren auswählen, um einen Bericht anzeigen zu lassen, 

der alle Ereignisse enthält, die Windows 7 bisher aufgezeichnet hat. 

In der Zuverlässigkeitsüberwachung haben Sie außerdem Zugriff auf Werkzeuge, die unter 

Windows Vista im Tool Problemberichte und -lösungen enthalten waren. Klicken Sie dazu 

am unteren Rand der Seite auf Alle Problemberichte anzeigen oder auf Nach Lösungen für 

alle Probleme suchen. 

So verwenden Sie Sammlungssätze 

Das Snap-In Leistungsüberwachung stellt Sammlungssätze und entsprechende Berichte zur 

Verfügung, die eine detaillierte Analyse unterschiedlicher Aspekte für die Konfiguration und 

Leistung eines Computers durchführen. 

Gehen Sie folgendermaßen vor, um Sammlungssätze und Berichte zu verwenden: 


2. Erweitern Sie Leistung, dann Sammlungssätze und klicken Sie auf System. 

3. Klicken Sie im mittleren Fensterabschnitt mit der rechten Maustaste auf den Sammlungssatz, 

den Sie analysieren wollen, und wählen Sie den Befehl Starten. Wenn Sie zum 

Beispiel die Hardware des Computers analysieren wollen, müssen Sie mit der rechten 

Maustaste auf System Diagnostics (Systemdiagnose) klicken und den Befehl Starten 

wählen. Windows 7 beginnt daraufhin, die Daten zu sammeln. 

Abbildung D.2 Der Systemdiagnosebericht enthält detaillierte Informationen 

über den Computer, inklusive möglicher Ursachen für Hardwareprobleme 

4. Klicken Sie mit der rechten Maustaste auf den Sammlungssatz und wählen Sie den 

Befehl Aktuellster Bericht. Windows zeigt den Berichtsstatus an, während die Daten 

gesammelt werden (das kann mehrere Minuten dauern). Sobald genügend Daten gesam-


melt worden sind, wird der Bericht angezeigt. Abbildung D.2 zeigt einen Systemdiagnosebericht. 

Sehen Sie sich den Bericht an und stellen Sie fest, ob einer der aufgeführten Punkte mit dem 

Problem zu tun hat, das Sie beseitigen wollen. 

So verwenden Sie die Windows-Speicherdiagnose 

Speicherprobleme sind eine der häufigsten Ursachen für Hardwareprobleme. Speicherprobleme 

können verhindern, dass Windows startet, und nicht eindeutig zuordenbare 

Abbruchfehler verursachen, sobald Windows läuft. Weil Probleme im Zusammenhang mit 

dem Arbeitsspeicher sporadisch auftreten können, sind sie oft schwierig zu identifizieren. 

Glücklicherweise enthält Windows 7 die Windows-Speicherdiagnose (Windows Memory 

Diagnostics), ein Offlinediagnosetool, das den Arbeitsspeicher Ihres Computers automatisch 

testet. Die Windows-Speicherdiagnose testet Ihren Arbeitsspeicher, indem sie wiederholt 

Werte hineinschreibt und diese Werte dann wieder ausliest, um zu überprüfen, ob sie sich 

verändert haben. Um möglichst viele Arten von Speicherfehlern identifizieren zu können, 

enthält die Windows-Speicherdiagnose drei unterschiedliche Teststufen: 

Minimal Hier sind folgende Tests enthalten: 

MATS+ 

INVC 

SCHCKR (aktiviert den Cache) 

Standard Alle Tests aus der Stufe »Minimal« und zusätzlich: 

LRAND 

Stride6 (aktiviert den Cache) 

CHCKR3 

WMATS+ 

WINVC 

Erweitert Alle Tests aus der Stufe »Standard« und zusätzlich: 

MATS+ (deaktiviert den Cache) 

Stride38 

WSCHCKR 

WStride-6 

CHKCKR4 

WCHCKR3 

ERAND 

Stride6 (deaktiviert den Cache) 

CHCKR8 

Es ist zwar nicht erforderlich, dass ein Administrator die Details dieser Tests im Einzelnen 

kennt, aber es ist wichtig zu wissen, dass ein Speichertest niemals vollkommen ist. Fehler 

treten oft sporadisch auf, möglicherweise im normalen Betrieb nur alle paar Tage oder


Wochen. Automatisierte Tests, wie sie zum Beispiel die Windows-Speicherdiagnose durchführt, 

vergrößern die Wahrscheinlichkeit, dass der Fehler entdeckt wird. Aber es kann sein, 

dass Ihr Arbeitsspeicher defekt ist, obwohl die Windows-Speicherdiagnose meldet, dass sie 

keine Probleme gefunden hat. Um diese Gefahr zu verringern, sollten Sie erweiterte Tests 

ausführen und die Zahl der Wiederholungen erhöhen. Je mehr Tests Sie durchführen, desto 

zuverlässiger ist das Ergebnis. Selbst wenn nur ein einziger Fehler auftritt, müssen Sie den 

Arbeitsspeicher als defekt betrachten. 

Sobald die Windows-Speicherdiagnose ihre Tests abgeschlossen hat, wird der Computer 

automatisch neu gestartet. Windows 7 zeigt eine Benachrichtigung mit den Testergebnissen 

an (Abbildung D.3). Die zugehörigen Ereignisse können Sie sich im Systemereignisprotokoll 

ansehen, sie haben die Quelle »MemoryDiagnosticsResults« (Ereignis-ID 1201). 

Abbildung D.3 Die Windows-Speicherdiagnose zeigt 

nach dem Anmelden eine Benachrichtigung an 

Falls Sie einen Speicherfehler finden, ist es normalerweise nicht sinnvoll, eine Reparatur des 

Arbeitsspeichers zu versuchen. Stattdessen sollten Sie unzuverlässigen Arbeitsspeicher austauschen. 

Falls der Computer mehrere Speichermodule hat und Sie nicht sicher sind, welches 

Modul das Problem verursacht, können Sie ein Modul nach dem anderen ersetzen und 

dann jeweils die Windows-Speicherdiagnose starten, bis der Computer zuverlässig arbeitet. 

Falls das Problem weiter bestehen bleibt, obwohl Sie den Arbeitsspeicher ausgetauscht 

haben, wird es durch eine externe Ursache ausgelöst. Zum Beispiel können hohe Temperaturen 

(oft in mobilen PCs) dazu führen, dass Arbeitsspeicher unzuverlässig wird. Computerhersteller 

wählen den Arbeitsspeicher zwar meist so aus, dass er auch hohe Temperaturen 

aushält, aber wenn Sie Arbeitsspeicher von anderen Herstellern einbauen, kann es sein, dass 

er nicht dieselben Spezifikationen erfüllt und Fehler verursacht. Neben Wärme können auch 

andere Geräte innerhalb des Computers elektrische Störungen verursachen. Und schließlich 

können auch Probleme im Motherboard oder Prozessor gelegentlich dazu führen, dass 

Kommunikationsfehler mit dem Speicher auftreten, die aussehen wie fehlerhafter Arbeitsspeicher. 

So stellt Windows Speicherprobleme automatisch fest 

Wenn Windows Problemberichte analysiert, kann es feststellen, ob Speicherprobleme als 

Ursache für das Problem infrage kommen. In einem solchen Fall fordert das Wartungscenter 

den Benutzer auf, die Windows-Speicherdiagnose auszuführen. Der Benutzer kann dann 

einen Link anklicken, um Windows 7 sofort neu zu starten und den Arbeitsspeicher auf 

Fehler zu überprüfen, oder zu warten, bis der Computer das nächste Mal neu gestartet wird.

So planen Sie eine Windows-Speicherdiagnose ein 


Falls Windows 7 läuft, können Sie die Ausführung der Windows-Speicherdiagnose beim 

nächsten Start einplanen. Gehen Sie dazu folgendermaßen vor: 

1. Geben Sie im Suchfeld des Startmenüs den Befehl mdsched.exe ein und drücken Sie die 

EINGABETASTE. 

2. Wählen Sie, ob Sie den Computer jetzt neu starten und das Tool ausführen oder das Tool 

beim nächsten Start des Computers ausführen lassen wollen (Abbildung D.4). 

Abbildung D.4 Sie können die Windows-Speicherdiagnose 

beim nächsten Start Ihres Computers ausführen lassen 

Die Windows-Speicherdiagnose wird automatisch ausgeführt, sobald der Computer neu 

startet. 

So starten Sie die Windows-Speicherdiagnose, wenn Windows installiert ist 

Falls Windows bereits installiert ist, können Sie die Windows-Speicherdiagnose aus dem 

Menü des Windows-Start-Managers ausführen. Gehen Sie dazu folgendermaßen vor: 

1. Entfernen Sie alle Disketten und CDs aus den Laufwerken und starten Sie den Computer 

dann neu. 

2. Falls das Menü des Windows-Start-Managers nicht automatisch erscheint, müssen Sie 

wiederholt die LEERTASTE drücken, während der Computer startet. Daraufhin öffnet 

sich das Menü des Windows-Start-Managers. Falls stattdessen das Windows-Startlogo 

erscheint, müssen Sie Ihren Computer wieder neu starten und versuchen, den Startvorgang 

durch Drücken der LEERTASTE zu unterbrechen. 

3. Drücken Sie im Menü des Windows-Start-Managers die TAB-Taste auf Ihrer Tastatur, 

um den Eintrag Windows-Speicherdiagnose auszuwählen (Abbildung D.5), und dann die 

EINGABETASTE. 

Die Windows-Speicherdiagnose startet und beginnt, den Arbeitsspeicher Ihres Computers 

automatisch zu testen. Informationen darüber, wie Sie die automatisierten Tests konfigurieren, 

finden Sie im Abschnitt »So konfigurieren Sie die Windows-Speicherdiagnose« weiter 

unten in diesem Anhang.


Abbildung D.5 Sie können die Windows-Speicherdiagnose aus dem Menü 

des Windows-Start-Managers ausführen 

So starten Sie die Windows-Speicherdiagnose von der Windows-DVD 

Falls Windows nicht installiert ist, können Sie die Windows-Speicherdiagnose folgendermaßen 

von der Windows-DVD starten: 

Hinweis Wenn Windows 7 bereits installiert ist, aber nicht startet, können Sie die Systemstartreparaturtools 

schneller starten, indem Sie F8 drücken, bevor das Windows-Logo erscheint, 

und dann auf dem Bildschirm Erweiterte Startoptionen den Eintrag Computer 

reparieren wählen. 


2. Starten Sie Ihren Computer neu. Drücken Sie irgendeine Taste, wenn gefragt wird, 

ob von der DVD gestartet werden soll. Falls keine Frage erscheint, ob von der DVD 

gestartet werden soll, müssen Sie unter Umständen die Startabfolge Ihres Computers 

konfigurieren. Weitere Informationen finden Sie im Abschnitt »Anfangsstartphase« in 

Anhang C, »Konfiguration und Problembehandlung des Startvorgangs«. 

3. Windows-Setup wird geladen. Wählen Sie Ihre Regionseinstellungen aus, sobald Sie 

danach gefragt werden, und klicken Sie dann auf Weiter. 

4. Klicken Sie auf Computer reparieren. 

5. Wählen Sie Ihr Tastaturlayout aus und klicken Sie auf Weiter. 

6. Die Systemwiederherstellung durchsucht Ihre Festplatten nach Windows-Installationen. 

Falls die Standardtreiber keine Festplatte erkennen, weil die Treiber nicht in Windows 

enthalten sind, müssen Sie auf die Schaltfläche Treiber laden klicken, um die Treiber zu


laden. Wählen Sie ein Betriebssystem aus, das repariert werden soll, und klicken Sie 

dann auf Weiter. 

7. Die Seite Wählen Sie ein Wiederherstellungstool aus wird angezeigt. Klicken Sie auf das 

Tool Windows-Speicherdiagnose. 

Die Windows-Speicherdiagnose startet und beginnt, den Arbeitsspeicher Ihres Computers 

automatisch zu testen. Informationen darüber, wie Sie die automatisierten Tests konfigurieren, 

finden Sie im nächsten Abschnitt. Weitere Informationen über Systemstartreparaturtools 

finden Sie in Anhang C. 

So konfigurieren Sie die Windows-Speicherdiagnose 

Wie in Abbildung D.6 zu sehen ist, können Sie unterschiedliche Optionen für die Windows- 

Speicherdiagnose konfigurieren. Sie können mit diesen Optionen wählen, ob eine gründlichere 

(und zeitaufwendigere) Diagnose durchgeführt werden soll. 

Abbildung D.6 Sie können die Windows-Speicherdiagnose so konfigurieren, 

dass sie gründlichere Testverfahren nutzt 

Sie können sich die Optionen der Windows-Speicherdiagnose ansehen, indem Sie sie starten 

und dann F1 drücken. Sie können drei unterschiedliche Einstellungen wählen, indem Sie sie 

mit der TAB-Taste auswählen: 

Testzusammenstellung Der Standardtestsatz, Standard, bietet einen effizienten Test, 

der die meisten häufiger vorkommenden Arten von Speicherfehlern aufdeckt. Sie können 

die Testdauer verringern (damit werden aber auch weniger Fehlertypen erkannt), indem 

Sie die Einstellung Minimal wählen. Mehr Fehlerarten werden erkannt (der Test dauert 

dann auch länger), wenn Sie Erweitert wählen. 

Cache Manche Tests verwenden den Cache, andere deaktivieren den Cache. Tests sind 

so entworfen, dass sie den Cache verwenden oder deaktivieren, um Probleme mit unter-


schiedlichen Arbeitsspeicherkomponenten identifizieren zu können. Daher sollten Sie 

hier normalerweise die Standardeinstellung beibehalten. 

Durchlaufanzahl Dies ist die Zahl der Durchgänge. Sie können diesen Wert vergrößern, 

um einen gründlicheren Test durchzuführen, bei dem sich die Wahrscheinlichkeit 

vergrößert, alle vorhandenen Probleme zu finden. Je höher die Durchlaufanzahl, desto 

wahrscheinlicher werden Sie Probleme finden. 

Drücken Sie F10, wenn Sie die gewünschten Einstellungen konfiguriert haben, um Ihre 

Änderungen anzuwenden. Die Windows-Speicherdiagnose startet daraufhin die Tests neu. 

So führen Sie eine Behandlung von Laufwerksproblemen durch 

Laufwerksprobleme können unvorhersehbares Verhalten in Windows hervorrufen. Erstens 

können Laufwerksprobleme beschädigte Dateien zur Folge haben, weil wichtige Systemdateien 

und Treiber auf Ihrer Festplatte gespeichert sind. Zweitens können die Auslagerungsdatei 

oder temporäre Dateien durch Laufwerksprobleme beschädigt werden. Drittens 

kann zu geringer freier Festplattenplatz dazu führen, dass kein Festplattenplatz für temporäre 

Dateien reserviert werden kann. All diese Problemarten können unvorhersehbares 

Verhalten auslösen. Daher sollte ein Schritt bei der Behandlung von Hardwareproblemen 

darin bestehen, nach Laufwerksproblemen zu suchen und den verfügbaren Festplattenplatz 

zu vergrößern. Falls Sie eine Festplatte mit nichtflüchtigem Cache haben, können Sie außerdem 

den Cache deaktivieren, um festzustellen, ob er die Probleme verursacht. 

Die folgenden Abschnitte enthalten Informationen über die Problembehandlung im Zusammenhang 

mit Laufwerken. 

So treffen Sie Vorbereitungen für den Fall, dass Datenträgerfehler auftreten 

Sie können mehrere Maßnahmen treffen, um sich selbst (und Ihre Computer) auf eine Behandlung 

von Laufwerksproblemen vorzubereiten, bevor die Probleme tatsächlich auftreten. 

Machen Sie sich zuerst mit den Wiederherstellungs- und Problembehandlungswerkzeugen 

vertraut. Die Nutzung von Laufwerksredundanz verringert die Folgen von Hardwarefehlern. 

Datensicherung sorgt dafür, dass der Datenverlust gering bleibt, falls ein Fehler auftritt. 

Schützen Sie sich mit Antivirensoftware gegen böswillige Angriffe. Führen Sie eine regelmäßige 

Wartung Ihrer Speichergeräte durch. 

Sie sollten sich selbst mit den Systemstartreparaturtools vertraut machen und eine Windows 

7-DVD zur Hand haben, damit Sie die Tools auch dann starten können, wenn die Festplatten 

nicht verfügbar sind. Weitere Informationen finden Sie in Anhang C, »Konfiguration 


Führen Sie regelmäßig chkdsk /f /r aus, um Dateisystemprobleme, die wegen fehlerhafter 

Hardware, Stromausfällen oder Softwarefehlern gelegentlich auftauchen, gleich zu beseitigen. 

Planen Sie Zeiten ein, in denen Sie den Computer aus dem Produktivbetrieb nehmen, 

neu starten und Autochk ausführen können, um Probleme beim Start und mit den Systemvolumes 

zu beseitigen. Sehen Sie sich regelmäßig die Ausgaben von Chkdsk und das Ereignisprotokoll 

an, um Probleme zu erkennen, die Chkdsk nicht korrigieren kann. 

Speichern Sie bei Desktopcomputern wichtige, ständig aktualisierte Daten. Nutzen Sie 

Hardwarelaufwerksredundanz (RAID), damit die Computer auch weiterlaufen, falls eine 

Festplatte ausfällt. Sorgen Sie dafür, dass Ersatzlaufwerke bereitliegen.

So führen Sie eine Behandlung von Laufwerksproblemen durch 525 

Sichern Sie wichtige Dateien mindestens jede Nacht. Redundanz bedeutet nicht, dass Sie auf 

Datensicherung verzichten können. Selbst redundante Dateisysteme können Fehler aufweisen, 

und Laufwerksredundanz kann nicht verhindern, dass Dateien von einer Anwendung 

beschädigt werden. Sie müssen beschädigte Dateien aus einer archivierten Datensicherung 

wiederherstellen, die angelegt wurde, bevor die Beschädigung eintrat. 

Viren, Spyware und andere Malware sind eine häufige Ursache für Laufwerks- und Dateisystemprobleme. 

Halten Sie sich an die folgenden Richtlinien, um eine Infektion der Computer 

durch Viren zu vermeiden: 

Installieren Sie ein Antivirenprogramm. Konfigurieren Sie es so, dass es automatisch 

aktualisierte Virensignaturen herunterlädt. 

Stellen Sie mit Windows Update sicher, dass die Betriebssystemdateien auf dem neusten 

Stand bleiben. 

Halten Sie alle Anwendungen auf dem neusten Stand. Das gilt besonders für Webbrowser, 

die von Malware oft missbraucht werden, um unerwünschte Software zu installieren. 

Windows Update verteilt Updates für Internet Explorer. 

Führen Sie niemals Skripts oder Anwendungen aus, die nicht vertrauenswürdig sind. 

Verwenden Sie Windows AppLocker, um zu verhindern, dass Benutzer ungenehmigte 

Software ausführen. 

Fragmentierung führt zwar nicht zum Festplattenausfall, verursacht aber Leistungsprobleme. 

Um solche Leistungsprobleme zu vermeiden, sollten Sie eine Aufgabe planen, die das Befehlszeilentool 

Defrag regelmäßig außerhalb der Arbeitszeiten ausführt. Speichern Sie die 

Ausgabe des Tools Defrag in einer Textdatei und sehen Sie sich diese Textdatei regelmäßig 

an, um sicherzustellen, dass die Defragmentierung wie vorgesehen durchgeführt wird. Sie 

können die durch Fragmentierung verursachten Probleme noch weiter verringern, indem Sie 

sicherstellen, dass auf allen Volumes mindestens 15 Prozent des Platzes frei sind. 

So verwenden Sie Chkdsk 

Chkdsk (Chkdsk.exe) ist ein Befehlszeilentool, das Laufwerksvolumes auf Probleme untersucht 

und versucht, gefundene Fehler zu reparieren. Zum Beispiel kann Chkdsk Probleme 

reparieren, die durch fehlerhafte Sektoren, verlorene Cluster, querverbundene Dateien und 

Verzeichnisfehler verursacht werden. Laufwerksfehler sind eine häufige Ursache für schwierig 

zu isolierende Probleme, und Chkdsk sollte eines der ersten Tools sein, das Sie bei der 

Problembehandlung einsetzen, die offenbar nicht durch kürzliche Systemänderungen verursacht 

werden. Sie müssen als Administrator oder Mitglied der Administratorengruppe angemeldet 

sein, um Chkdsk zu starten. 

Beachten Sie folgende Punkte, bevor Sie Chkdsk ausführen: 

Chkdsk benötigt exklusiven Zugriff auf ein Volume, während es läuft. Chkdsk zeigt 

unter Umständen ein Dialogfeld an, in dem Sie gefragt werden, ob Sie die Festplatte 

prüfen wollen, wenn Sie Ihren Computer das nächste Mal starten. 

Chkdsk braucht unter Umständen viel Zeit für seine Prüfungen. Das hängt ab von der 

Zahl der Dateien und Ordner, der Größe des Volumes, der Festplattengeschwindigkeit 

und den verfügbaren Systemressourcen (zum Beispiel Prozessor und Arbeitsspeicher).


Wenn Chkdsk im schreibgeschützten Modus ausgeführt wird, kann es nicht immer 

präzise Informationen liefern. 

Beispiele für den Aufruf von Chkdsk 

Sie korrigieren Laufwerksfehler, indem Sie eine administrative Eingabeaufforderung öffnen 

und den folgenden Befehl eingeben: 

chkdsk Laufwerksbuchstabe: /f /r 

Zum Beispiel prüft der folgende Befehl das Laufwerk C auf Fehler: 

chkdsk C: /f /r 

Falls Sie Chkdsk für ein großes Volume D ausführen und Chkdsk so schnell wie möglich 

fertig werden soll, können Sie diesen Befehl verwenden: 

chkdsk D: /f /c /i 

Syntax von Chkdsk 

Die Befehlszeilensyntax für Chkdsk ist folgendermaßen definiert: 

chkdsk [Volume[[Pfad] Dateiname]] [/f] [/v] [/r] [/x] [/i] [/c] [/b] [/l[:Größe]] 

Tabelle D.4 listet alle Befehlszeilenparameter von Chkdsk auf. 

Tabelle D.4 Parameter von Chkdsk 

Parameter Beschreibung 

Volume Gibt das Volume an, das Chkdsk prüfen soll. Sie können das Volume in verschiedenen 

Formaten angeben, die in den folgenden Beispielen gezeigt werden: 

Verwenden Sie diese Schreibweise, damit Chkdsk das Volume C prüft: 

c: 

Verwenden Sie diese Schreibweise, damit Chkdsk ein bereitgestelltes Volume namens 

Daten prüft, das auf dem Volume C bereitgestellt wird: 

c:\Daten 

Verwenden Sie diese Schreibweise, damit Chkdsk ein Volume prüft, das durch den 

symbolischen Link angegeben wird: 

\\?\Volume{109d05a2-6914-11d7-a037-806e6f6e6963}\ 

Sie können den symbolischen Link für ein Volume mit dem Befehl Mountvol ermitteln. 

Pfad Nur für FAT/FAT32. Gibt die Position einer Datei oder einer Gruppe von Dateien 

innerhalb der Ordnerstruktur des Volumes an. 

Dateiname Nur für FAT/FAT32. Gibt die Datei oder eine Gruppe von Dateien an, die auf Fragmentierung 

geprüft werden sollen. Platzhalterzeichen (* und ?) sind erlaubt. 

/f Korrigiert Fehler auf dem Laufwerk. Das Volume muss gesperrt sein. Falls Chkdsk das 

Volume nicht sperren kann, bietet es an, die Prüfung durchzuführen, wenn der Computer 

das nächste Mal gestartet wird. 

/v Für FAT/FAT32: Zeigt den vollständigen Pfad und Namen für jede Datei auf dem Laufwerk 

an. Für NTFS: Zeigt zusätzliche Informationen oder Meldungen über Korrekturen 

an (sofern vorgenommen).

Parameter Beschreibung 


/r Sucht nach fehlerhaften Sektoren und stellt noch lesbare Daten wieder her (impliziert /f). 

Falls Chkdsk das Volume nicht sperren kann, bietet es an, die Prüfung durchzuführen, 

wenn der Computer das nächste Mal gestartet wird. 

Weil NTFS fehlerhafte Sektoren während des normalen Betriebs identifiziert und neu 

zuordnet, ist es normalerweise nicht nötig, den Parameter /r zu verwenden, außer Sie 

vermuten, dass ein Laufwerk fehlerhafte Sektoren hat. 

/x Erzwingt es, die Bereitstellung des Volumes aufzuheben (sofern nötig). Alle offenen 

Handles für das Volume sind dann ungültig (impliziert /f). Dieser Parameter funktioniert 

nicht auf dem Startvolume. Sie müssen den Computer neu starten, um die Bereitstellung 

des Startvolumes aufzuheben (unmount). 

/i Nur für NTFS. Führt eine oberflächlichere Prüfung der Indexeinträge durch, sodass 

Chkdsk schneller fertig ist. 

/c Nur für NTFS. Überspringt die Prüfung nach Ringabhängigkeiten innerhalb der 

Ordnerstruktur, sodass Chkdsk schneller fertig ist. 

/l:Größe Nur für NTFS. Ändert die Größe der Protokolldatei auf den angegebenen Wert (in der 

Einheit KByte). Zeigt die aktuelle Größe an, falls Sie keine neue Größe angeben. 

Falls das System durch Stromausfall abgeschaltet wird, nicht mehr reagiert oder unerwartet 

neu gestartet wird, führt NTFS einen Wiederherstellungsprozess durch, wenn 

Windows 7 neu gestartet wird. Dabei wird auf die Informationen zugegriffen, die in 

dieser Protokolldatei gespeichert sind. Die Größe der Protokolldatei hängt von der Größe 

des Volumes ab. In den meisten Fällen brauchen Sie die Größe der Protokolldatei nicht 

zu ändern. Falls allerdings die Zahl der Änderungen am Volume so groß ist, dass NTFS 

das Protokoll füllt, bevor alle Metadaten auf das Laufwerk geschrieben wurden, muss 

NTFS die Metadaten sofort auf das Laufwerk schreiben, damit wieder Platz im Protokoll 

frei wird. Wenn diese Bedingung auftritt, bemerken Sie unter Umständen, dass Windows 

7 für 5 Sekunden oder länger nicht reagiert. Indem Sie die Protokolldatei vergrößern, 

können Sie diese Verzögerung verhindern, die auftritt, weil die Metadaten auf die 

Festplatte geschrieben werden. 

/b Nur für NTFS. Prüft die als fehlerhaft markierten Cluster auf dem Volume erneut. Das ist 

normalerweise nicht nötig, Sie können damit aber unter Umständen verlorene Kapazität 

auf einer Festplatte zurückgewinnen, die viele fehlerhafte Cluster hat. Diese Cluster 

könnten allerdings in Zukunft erneut Probleme verursachen, sodass sich die Zuverlässigkeit 

verschlechtert. 

/? Zeigt eine Liste mit den Parametern von Chkdsk an. 

So verwenden Sie die grafische Benutzeroberfläche von Chkdsk 

Neben der Befehlszeilenversion von Chkdsk können Sie Chkdsk auch aus dem Fenster 

Arbeitsplatz oder dem Windows-Explorer heraus starten. 


2. Klicken Sie mit der rechten Maustaste auf das Volume, das Sie prüfen wollen, und 

wählen Sie den Befehl Eigenschaften. 

3. Klicken Sie auf die Registerkarte Tools und dann auf die Schaltfläche Jetzt prüfen. 

4. Sie haben folgende Möglichkeiten: 

a. Sie können Chkdsk im schreibgeschützten Modus starten, indem Sie alle Kontrollkästchen 

deaktivieren und dann auf Starten klicken.


b. Sie können Fehler reparieren, ohne das Volume auf fehlerhafte Sektoren zu untersuchen, 

indem Sie das Kontrollkästchen Dateisystemfehler automatisch korrigieren 

aktivieren und dann auf Starten klicken. 

c. Sie können Fehler reparieren, nach fehlerhaften Sektoren suchen und lesbare Informationen 

wiederherstellen, indem Sie die Kontrollkästchen Dateisystemfehler automatisch 

korrigieren und Fehlerhafte Sektoren suchen/wiederherstellen aktivieren 

und dann auf Starten klicken. 

Chkdsk wird sofort ausgeführt, falls das Volume gerade nicht benutzt wird. Anschließend 

zeigt es die Ergebnisse in einem Dialogfeld an. Falls das Volume benutzt wird, bietet Chkdsk 

an, die Prüfung vorzunehmen, wenn der Computer das nächste Mal gestartet wird. 

So stellen Sie fest, ob die Ausführung von Chkdsk geplant ist 

Falls Windows Probleme mit einem Volume feststellt, kann es Chkdsk auch so konfigurieren, 

dass es beim Start automatisch ausgeführt wird. Wenn Windows entscheidet, dass ein Volume 

überprüft werden muss, wird es als »dirty« (schmutzig) markiert. Sie können feststellen, ob 

ein Volume als dirty markiert ist, indem Sie in einer Eingabeaufforderung folgenden Befehl 

ausführen: 

chkntfs volume: 

Zum Beispiel können Sie mit dem folgenden Befehl prüfen, ob das Laufwerk C als dirty 

markiert ist: 

chkntfs C: 

Sie können mit dem Tool Chkntfs auch verhindern, dass ein als dirty markiertes Volume 

beim Start geprüft wird. Das ist nützlich, falls Sie die zeitaufwendige Ausführung von 

Chkdsk vermeiden wollen und beim Start des Computers nicht anwesend sind, um Chkdsk 

zu überspringen. Weitere Informationen erhalten Sie, indem Sie folgenden Befehl in einer 

Eingabeaufforderung ausführen: 

chkntfs /? 

Der Ablauf von Chkdsk auf NTFS-Volumes 

Wenn Sie Chkdsk für NTFS-Volumes ausführen, besteht der Ablauf aus drei Hauptphasen 

und zwei optionalen Phasen. Chkdsk zeigt seinen Fortschritt in jeder Phase mit folgenden 

Meldungen an: 

CHKDSK überprüft Dateien (Phase 1 von 5)... 

Dateiüberprüfung beendet. 

CHKDSK überprüft Indizes (Phase 2 von 5)... 

Indexüberprüfung beendet. 

CHKDSK überprüft Sicherheitsbeschreibungen (Phase 3 von 5)... 

Überprüfung der Sicherheitsbeschreibungen beendet. 

CHKDSK überprüft Dateidaten (Phase 4 von 5)... 

Dateidatenüberprüfung beendet. 

CHKDSK überprüft freien Speicherplatz (Phase 5 von 5)... 

Verifizierung freien Speicherplatzes ist beendet. 

Die folgende Liste beschreibt diese Chkdsk-Phasen genauer.


Phase 1: Chkdsk überprüft jedes Datensatzsegment in der Masterdateitabelle 

In Phase 1 untersucht Chkdsk jedes Datensatzsegment (file record segment) in der Masterdateitabelle 

(Master File Table, MFT) des Volumes. Auf einem NTFS-Volume werden jede 

Datei und jedes Verzeichnis eindeutig durch ein bestimmtes Datensatzsegment in der MFT 

identifiziert. Die Meldung »XX Prozent abgeschlossen«, die Chkdsk während dieser Phase 

anzeigt, ist der Prozentsatz der MFT, der überprüft wurde. 

Die Prozentzahl wächst in dieser Phase relativ kontinuierlich an, es können allerdings auch 

einige Sprünge auftreten. Zum Beispiel wird für Datensatzsegmente, die nicht benutzt werden, 

weniger Zeit benötigt als für benutzte. Und die Verarbeitung größerer Sicherheitsbeschreibungen 

erfordert mehr Zeit als die von kleineren. Insgesamt ist der Wert in der 

Meldung »XX Prozent abgeschlossen« ein recht präziser Anhaltspunkt für die tatsächlich 

benötigte Zeit während dieser Phase. 

Phase 2: Chkdsk prüft die Verzeichnisse auf dem Volume 

In Phase 2 untersucht Chkdsk alle Indizes (Verzeichnisse) auf dem Volume auf interne Konsistenz 

und überprüft, ob auf alle Dateien und Verzeichnisse, für die ein Datensatzsegment in 

der MFT eingetragen ist, in mindestens einem Verzeichnis verwiesen wird. Chkdsk überprüft 

auch, ob jede Datei oder jedes Unterverzeichnis, auf das in einem Verzeichnis verwiesen 

wird, wirklich als gültiges Datensatzsegment in der MFT eingetragen ist. Und es prüft auf 

Ringverweise bei Verzeichnissen. Chkdsk prüft dann, ob die Daten zu Zeitstempel und 

Dateigröße für die Dateien in der Verzeichnisauflistung für diese Dateien auf dem neusten 

Stand sind. 

Die Meldung »XX Prozent abgeschlossen«, die Chkdsk während dieser Phase anzeigt, gibt 

an, wie viel Prozent der Gesamtzahl der Dateien auf dem Volume bereits geprüft wurden. 

Bei Volumes mit vielen Tausenden Dateien und Ordnern kann es einige Zeit dauern, bis 

diese Phase abgeschlossen ist. 

Die Dauer von Phase 2 variiert, weil unterschiedlich viel Zeit erforderlich ist, um ein Verzeichnis 

zu verarbeiten. Das hängt davon ab, wie viele Dateien oder Unterverzeichnisse das 

jeweilige Verzeichnis enthält. Wegen dieser Abhängigkeit kann es sein, dass sich der Wert in 

der Meldung »XX Prozent abgeschlossen« während Phase 2 nicht laufend verändert. Aber 

selbst bei großen Verzeichnissen steigt der Wert langsam an. Daher ist der Wert in »XX 

Prozent abgeschlossen« kein zuverlässiger Anhaltspunkt dafür, wie lange diese Phase noch 

dauert. 

Phase 3: Chkdsk überprüft die Sicherheitsbeschreibungen für jedes Volume 

In Phase 3 untersucht Chkdsk alle Sicherheitsbeschreibungen, die mit den Dateien und Verzeichnissen 

auf dem Volume verknüpft sind. Dabei prüft es, ob jede Sicherheitsbeschreibungsstruktur 

unbeschädigt und intern konsistent ist. Der Wert in »XX Prozent abgeschlossen«, 

den Chkdsk während dieser Phase anzeigt, gibt an, welcher Prozentsatz der Dateien 

und Verzeichnisse auf dem Volume geprüft wurde. 

Die Werte in der Meldung »XX Prozent abgeschlossen« wachsen in dieser Phase relativ 

kontinuierlich an, es können allerdings auch einige Sprünge auftreten. 

Phase 4: Chkdsk überprüft Dateidaten 

In Phase 4 (die optional ist) überprüft Chkdsk alle benutzten Cluster. Chkdsk führt die 

Phasen 4 und 5 durch, falls Sie beim Aufruf den Parameter /r angeben. Wenn der Parameter


/r angegeben ist, wird geprüft, ob die Sektoren in jedem Cluster benutzbar sind. Normalerweise 

ist es nicht erforderlich, den Parameter /r anzugeben, weil NTFS fehlerhafte Sektoren 

bereits im normalen Betrieb identifiziert und neu zuordnet, aber Sie können den Parameter 

/r angeben, falls Sie vermuten, dass das Laufwerk fehlerhafte Sektoren enthält. 

Der Wert in der Meldung »XX Prozent abgeschlossen«, den Chkdsk in Phase 4 anzeigt, gibt 

an, wie viel Prozent der Cluster geprüft wurden. Die Prüfung benutzter Cluster erfordert im 

Allgemeinen mehr Zeit als die unbenutzter Cluster, daher dauert Phase 4 länger als Phase 5, 

wenn auf einem Volume etwa die Hälfte der Cluster benutzt wird. Bei einem Volume, auf 

dem die meisten Cluster unbenutzt sind, dauert Phase 5 länger als Phase 4. 

Phase 5: Chkdsk überprüft den freien Speicherplatz 

In Phase 5 (die optional ist) prüft Chkdsk die unbenutzten Cluster. Chkdsk führt Phase 5 nur 

aus, falls Sie beim Aufruf den Parameter /r angeben. Der Wert in der Meldung »XX Prozent 

abgeschlossen«, den Chkdsk in Phase 5 anzeigt, gibt an, wie viel Prozent der unbenutzten 

Cluster geprüft wurden. 

So verwenden Sie den Datenträgerbereinigungs-Assistenten 

Mit der Datenträgerbereinigung (Cleanmgr.exe) können Sie unbenötigte Dateien löschen 

und selten benötigte Dateien komprimieren. Dieses Tool ist in erster Linie nützlich, wenn 

Sie Probleme beseitigen wollen, die auf eine Knappheit an freiem Festplattenplatz zurückzuführen 

sind. Knapper Festplattenplatz kann viele Probleme verursachen, von Abbruchfehlern 

bis Dateibeschädigungen. Sie haben folgende Möglichkeiten, um den freien Speicherplatz 

zu vergrößern: 

Verschieben Sie Dateien auf ein anderes Volume oder archivieren Sie sie auf Sicherungsmedien. 

Komprimieren Sie Dateien oder Datenträger, damit weniger Platz zum Speichern der 

Daten benötigt wird. 

Löschen Sie nicht mehr benötigte Dateien. 

Gehen Sie folgendermaßen vor, um die Datenträgerbereinigung auszuführen: 


2. Klicken Sie mit der rechten Maustaste auf das Laufwerk, das Sie bereinigen wollen, und 

wählen Sie den Befehl Eigenschaften. Klicken Sie auf der Registerkarte Allgemein im 

Eigenschaftendialogfeld auf Bereinigen. 

3. Klicken Sie entweder auf Nur eigene Dateien oder auf Dateien von allen Benutzern des 

Computers. 

4. Wählen Sie auf der Registerkarte Datenträgerbereinigung aus, welche Dateien gelöscht 

werden sollen, und klicken Sie dann auf OK. 

So deaktivieren Sie den permanenten Cache 

Windows Vista war das erste Windows-Betriebssystem, das die Zwischenspeicherung von 

Festplattendaten auf permanentem (non-volatile) Cache auf Festplatten unterstützt, die den 

dafür erforderlichen Cache eingebaut haben. Windows Vista und Windows 7 können den 

Cache einsetzen, um den Start zu beschleunigen, die Leistung von häufig geänderten Systemdaten 

zu verbessern und die Auslastung zu verringern. In seltenen Fällen kann ein Defekt im

So führen Sie eine Behandlung von Treiberproblemen durch 531 

permanenten Cache Probleme verursachen. Um die Möglichkeit auszuschalten, dass permanenter 

Cache Probleme verursacht, können Sie unterschiedliche Cachefunktionen deaktivieren. 

Verwenden Sie dazu die folgenden Gruppenrichtlinieneinstellungen (im Knoten Computerkonfiguration\Administrative 

Vorlagen\System\Permanenter Festplattencache): 

Start- und Fortsetzungsoptimierung deaktivieren Aktivieren Sie diese Richtlinie, 

wenn Sie verhindern wollen, dass Windows den permanenten Cache nutzt, um den Start 

zu beschleunigen. 

Cache-Energiesparmodus deaktivieren Aktivieren Sie diese Richtlinie, wenn Sie 

verhindern wollen, dass Windows Festplatten in einen Cache-Energiesparmodus schaltet, 

bei dem die Festplatte angehalten wird, während der permanente Cache benutzt wird. 

Permanenten Cache deaktivieren Aktivieren Sie diese Richtlinie, wenn Sie die 

Nutzung des permanenten Cache völlig unterbinden wollen. 

Solid-State-Modus deaktivieren Aktivieren Sie diese Richtlinie, wenn Sie verhindern 

wollen, dass häufig geschriebene Dateien, zum Beispiel die Systemmetadaten und die 

Registrierung, im permanenten Cache gespeichert werden. 

So führen Sie eine Behandlung von Treiberproblemen durch 

Treiber sind Softwarekomponenten, die Windows benutzt, um mit Hardwaregeräten zu 

kommunizieren. Windows hat normalerweise Dutzende von Treibern gleichzeitig aktiv, um 

mit Grafikkarte, Festplatten, Soundkarte, USB-Geräten und anderen Geräten zu kommunizieren. 

Ohne einen Treiber kann Hardware nicht richtig funktionieren. Es kann aber auch zu 

Problemen mit der Hardware führen, falls ein Treiber veraltet oder unzuverlässig ist. 

Die folgenden Abschnitte beschreiben, wie Sie mit Treibern arbeiten, um Hardwareprobleme 

zu beseitigen. 

So finden Sie Treiberupdates 

Microsoft oder Hardwareanbieter veröffentlichen gelegentlich aktualisierte Treiber, um die 

Hardwareleistung und die Zuverlässigkeit zu verbessern. Viele Updates stehen direkt in 

Windows Update zur Verfügung. Gehen Sie folgendermaßen vor, um alle verfügbaren 

Updates für einen Computer zu finden: 


2. Klicken Sie auf Nach Updates suchen, falls der Link verfügbar ist. 

3. Falls Windows Update irgendwelche optionalen Updates anzeigt, können Sie auf Verfügbare 

Updates anzeigen klicken. 

4. Sofern Treiberupdates verfügbar sind, zeigt Windows sie an. Aktivieren Sie das entsprechende 

Kontrollkästchen und klicken Sie dann auf Installieren. 

5. Windows Update lädt alle ausgewählten Updates herunter, legt einen Systemwiederherstellungspunkt 

an und installiert dann die Updates. 

Viele Hardwarehersteller stellen Benutzern aktualisierte Treiber direkt zur Verfügung, bevor 

sie in Windows Update zur Verfügung stehen. Prüfen Sie auf den Websites der Hersteller, ob 

aktualisierte Treiber zur Verfügung stehen.


So verwenden Sie die Treiberüberprüfung 

Windows 7 (und alle Windows-Versionen seit Microsoft Windows 2000) enthalten die Treiberüberprüfung 

(Verifier.exe). Sie können die Treiberüberprüfung entweder mit einer grafischen 

Oberfläche oder über die Befehlszeile ausführen. Sie können die Befehlszeilenversion 

starten, indem Sie eine Eingabeaufforderung öffnen und den Befehl verifier.exe ausführen. 

Wenn Sie die grafische Version ausführen wollen, können Sie im Startmenü den Befehl 

Verifier.exe eingeben und dann die EINGABETASTE drücken. 

Die Treiberüberprüfung ist nützlich, um problematische Treiber zu isolieren, die dafür verantwortlich 

sind, dass Windows-Computer gelegentlich abstürzen. Sie können Windows mit 

diesem Tool so konfigurieren, dass es potenziell problematische Treiber aktiv testet. Sobald 

die Treiberüberprüfung für einen Treiber konfiguriert worden ist, belastet Windows diesen 

Treiber während des normalen Betriebs besonders stark, indem es Bedingungen simuliert, 

die durch knappen Arbeitsspeicher und die Verifizierung der Ein-/Ausgabe (E/A) entstehen. 

Wenn Sie die Treiberüberprüfung für einen problematischen Treiber aktivieren, ist die Wahrscheinlichkeit 

recht hoch, dass dadurch ein Abbruchfehler ausgelöst wird, der den Treiber 

identifiziert. 

Sie können mit dem Treiberüberprüfungs-Manager eine Problembehandlung im Zusammenhang 

mit einem Treiber durchführen, indem Sie die Treiberüberprüfung für alle Treiber aktivieren, 

die eventuell für die Probleme verantwortlich sein könnten. Starten Sie dann das 

System neu und warten Sie. Die Treiberüberprüfung erfolgt im Hintergrund, während das 

System seine normalen Aufgaben erledigt. Daher produziert sie nicht unbedingt sofort Ergebnisse. 

Falls ein überprüfter Treiber eine falsche Antwort zurückgibt, löst die Treiberüberprüfung 

einen Abbruchfehler aus. Falls nach mehreren Tagen kein Abbruchfehler aufgetreten 

ist, sind die überprüften Treiber möglicherweise nicht die Ursache für das Problem, das Sie 

beseitigen wollen. Wenn Sie den Problembehandlungsprozess abgeschlossen haben, sollten 

Sie im Treiberüberprüfungs-Manager die Einstellungen löschen und die Treiberüberprüfung 

deaktivieren. 

Hinweis Setzen Sie die Treiberüberprüfung nur auf Nicht-Produktivsystemen ein, um einen 

problematischen Treiber zu identifizieren. Wenn Sie die Treiberüberprüfung verwenden, 

steigt die Wahrscheinlichkeit, dass ein Abbruchfehler auftritt und die Systemleistung langsamer 

wird, stark an. 

Gehen Sie folgendermaßen vor, um nichtsignierte Treiber zu überprüfen: 

1. Geben Sie im Suchfeld des Startmenüs den Befehl verifier ein und drücken Sie die 

EINGABETASTE. 

2. Klicken Sie auf Standardeinstellungen erstellen und dann auf Weiter. 

3. Klicken Sie auf Nicht signierte Treiber automatisch wählen und dann auf Weiter. 

Wie in Abbildung D.7 gezeigt, findet der Treiberüberprüfungs-Manager nichtsignierte 

Treiber, aktiviert die Überprüfung dieser Treiber und zeigt dann die Liste der nichtsignierten 

Treiber an. 


5. Klicken Sie auf OK und starten Sie den Computer neu.

So führen Sie eine Behandlung von Treiberproblemen durch 533 

Abbildung D.7 Der Treiberüberprüfungs-Manager kann Ihnen helfen, 

problematische Treiber zu identifizieren 

Gehen Sie folgendermaßen vor, um alle Treiber zu überprüfen: 


EINGABETASTE. 

2. Klicken Sie auf Standardeinstellungen erstellen und dann auf Weiter. 

3. Klicken Sie auf Alle auf diesem Computer installierten Treiber automatisch wählen und 

dann auf Fertig stellen. 

4. Klicken Sie auf OK und starten Sie den Computer neu. 

Gehen Sie folgendermaßen vor, um die Treiberüberprüfung zu deaktivieren: 


EINGABETASTE. 

2. Klicken Sie auf Vorhandene Einstellungen löschen und dann auf Fertig stellen. 

3. Klicken Sie auf Ja. 

4. Klicken Sie auf OK und starten Sie den Computer neu. 

So verwenden Sie die Dateisignaturverifizierung 

Die Dateisignaturverifizierung (Sigverif.exe) erkennt signierte Dateien. Sie haben damit 

folgende Möglichkeiten: 

Anzeigen der Zertifikate für signierte Dateien, um sicherzustellen, dass die Datei nicht 

manipuliert wurde, nachdem sie zertifiziert wurde. 

Suchen nach signierten Dateien. 

Suchen nach unsignierten Dateien.


Hinweis Unsignierte oder veränderte Treiber können auf x64-basierten Windows-Versionen 

nicht installiert werden. 

Die Treibersignierung ist ein mehrphasiger Prozess, bei dem Gerätetreiber verifiziert werden. 

Damit ein Treiber diese Zertifizierung erhalten kann, muss er eine Reihe von Kompatibilitätstests 

bestehen, die in den Windows Hardware Quality Labs (WHQL) durchgeführt werden. 

Wegen der strengen WHQL-Standards führt die Verwendung signierter Treiber normalerweise 

zu einem stabileren System. Wenn Sie eine Fehlerbehebung für ein Problem durchführen, 

das unter Umständen durch einen Treiber verursacht wird, können Sie versuchen, 

unsignierte Treiber zu entfernen, um die Möglichkeit auszuschließen, dass der unsignierte 

Treiber das Problem verursacht. Die meisten unsignierten Treiber verursachen zwar keine 

Probleme, aber sie wurden nicht von Microsoft überprüft und bergen daher ein höheres 

Risiko, dass damit Probleme auftreten, als bei signierten Treibern. Microsoft versieht Treiber, 

die die WHQL-Tests bestehen, mit einer digitalen Signatur, und Windows überprüft die 

Signatur, zum Beispiel für folgende Gerätekategorien: 

Tastaturen 

Festplattencontroller 

Modems 

Mausgeräte 

Multimediageräte 

Netzwerkkarten 

Drucker 

SCSI-Adapter 

Smartcardlesegeräte 

Grafikkarten 

Eine digitale Signatur von Microsoft zeigt an, dass eine Treiberdatei eine unveränderte 

Originalsystemdatei ist, die Microsoft für die Benutzung in Windows freigegeben hat. 

Windows kann Benutzer warnen oder daran hindern, unsignierte Treiber zu installieren. 

Falls ein Treiber nicht digital signiert ist, bekommt der Benutzer eine Meldung, die er 

bestätigen muss, um fortfahren zu können. Microsoft signiert alle Treiber, die in Windows 

enthalten sind oder mit Windows Update verteilt werden. Wenn Sie aktualisierte Treiber von 

der Webseite eines Herstellers herunterladen, sollten Sie immer Treiber wählen, die von 

Microsoft signiert wurden. 

Die folgenden Tools sind nützlich für die Behebung von Problemen, die durch unsignierte 

Dateien verursacht werden: 

Dateisignaturverifizierung 

Geräte-Manager 

Treiberüberprüfungs-Manager 

Gehen Sie folgendermaßen vor, um unsignierte Treiber zu identifizieren: 

1. Geben Sie im Suchfeld des Startmenüs den Befehl sigverif ein und drücken Sie die 

EINGABETASTE.

So verwenden Sie die Systemwiederherstellung 535 

2. Klicken Sie im Fenster Dateisignaturverifizierung auf Starten. 

3. Nach einigen Minuten listet die Seite Resultate der Signaturverifizierung die unsignierten 

Treiber auf. Unsignierte Treiber können durchaus zuverlässig sein, aber sie wurden 

nicht denselben Testprozeduren ausgesetzt wie signierte Treiber. Falls Sie Zuverlässigkeitsprobleme 

haben, sollten Sie die unsignierten Treiber durch signierte Versionen von 

Microsoft ersetzen. 

4. Klicken Sie auf Schließen, um zum Fenster Dateisignaturverifizierung zurückzukehren. 

5. Klicken Sie erneut auf Schließen. 

So können Sie mit dem Geräte-Manager die Ressourcennutzung anzeigen 

und ändern 

Bei der Installation neuer Hardware oder bei Treiberupdates können Konflikte entstehen, die 

dazu führen, dass auf Geräte nicht mehr zugegriffen werden kann. Sie können mit dem Geräte-Manager 

überprüfen, welche Ressourcen diese Geräte benutzen, um Konflikte von Hand 

zu identifizieren. Normalerweise sollten Sie allerdings Windows die Ressourcen automatisch 

zuweisen lassen. Bei moderner Hardware gibt es praktisch nie einen Grund, die Ressourcennutzung 

von Hand zu ändern. Letztlich verursacht das wahrscheinlich mehr Probleme, 

als es löst. 

Gehen Sie folgendermaßen vor, um im Geräte-Manager (Devmgmt.msc) Informationen zur 

Nutzung von Systemressourcen anzusehen und zu ändern: 


2. Klicken Sie auf Geräte-Manager und dann doppelt auf ein Gerät. 

3. Klicken Sie auf die Registerkarte Ressourcen, um sich anzusehen, welche Ressourcen 

dieses Gerät benutzt. 

4. Klicken Sie auf eine Ressource und deaktivieren Sie das Kontrollkästchen Automatisch 


5. Klicken Sie auf Einstellung ändern und geben Sie an, welche Ressourcen dem Gerät 

zugewiesen sind. 


Die Systemwiederherstellung zeichnet regelmäßig Systemeinstellungen auf, sodass Sie sie 

später wiederherstellen können, falls ein Problem auftritt. Den Computer mithilfe der 

Systemwiederherstellung in einen früheren Zustand zurückzusetzen, sollte allerdings einer 

der letzten Problembehandlungsschritte sein, weil das Probleme mit vor Kurzem installierten 

Anwendungen und Hardwaregeräten verursachen kann. 

Sie können die Systemwiederherstellung entweder aus den Systemstartreparaturtools oder 

direkt in Windows starten. Wie Sie die Systemwiederherstellung aus den Systemstartreparaturtools 

heraus verwenden (das ist nur nötig, falls Windows nicht startet), erfahren Sie in 

Anhang C, »Konfiguration und Problembehandlung des Startvorgangs«. Gehen Sie folgendermaßen 

vor, um die Systemwiederherstellung in Windows auszuführen:


1. Klicken Sie im Startmenü auf Alle Programme, dann Zubehör, Systemprogramme und 

schließlich auf Systemwiederherstellung. Der Systemwiederherstellungs-Assistent wird 

geöffnet. 

2. Falls Sie den Systemwiederherstellungs-Assistenten zum ersten Mal ausführen, können 

Sie auf Weiter klicken, um den Standardwiederherstellungspunkt zu übernehmen. Springen 

Sie dann zu Schritt 4. 

3. Falls Sie die Systemwiederherstellung schon vorher einmal ausgeführt haben, das Problem 

dadurch aber nicht beseitigt wurde, können Sie Anderen Wiederherstellungspunkt 

auswählen anklicken und dann auf Weiter klicken. 

4. Wählen Sie auf der Seite Wiederherstellung des Computerzustands zum angegebenen 

Zeitpunkt den letzten Wiederherstellungspunkt aus, bei dem der Computer noch einwandfrei 

funktioniert hat. Klicken Sie auf Weiter. 

5. Klicken Sie auf der Seite Wiederherstellungspunkt bestätigen auf Fertig stellen. Klicken 

Sie auf Ja, wenn eine Sicherheitsabfrage erscheint. 

6. Die Systemwiederherstellung startet Ihren Computer neu. Sobald der Neustart abgeschlossen 

ist, zeigt die Systemwiederherstellung einen Dialog an, um zu bestätigen, dass 

die Wiederherstellung erfolgreich war. Klicken Sie auf Schließen. 

Falls die Systemwiederherstellung Ihr Problem nicht beseitigt, haben Sie zwei Möglichkeiten: 

Machen Sie die Systemwiederherstellung rückgängig Das Problem wird unter 

Umständen gar nicht durch Änderungen an Ihrem Computer verursacht, sondern durch 

einen Hardwarefehler. Daher beseitigt die Systemwiederherstellung Ihr Problem unter 

Umständen nicht. Weil Sie beim Wiederherstellen eines früheren Zustands des Computers 

möglicherweise wichtige Änderungen an Ihrer Systemkonfiguration löschen, 

sollten Sie alle Wiederherstellungen rückgängig machen, die Ihr Problem nicht beseitigen. 

Sie können eine Systemwiederherstellung rückgängig machen, indem Sie einfach 

die Systemwiederherstellung erneut starten (wie in diesem Abschnitt beschrieben) und 

die Standardeinstellungen wählen. 

Wiederherstellen eines älteren Wiederherstellungspunkts Ihr Problem wird unter 

Umständen durch kürzliche Änderungen an Ihrem Computer verursacht, aber die verantwortlichen 

Änderungen fanden vor dem letzten Systemwiederherstellungspunkt statt. 

Daher könnte es sein, dass das Problem dadurch beseitigt wird, dass Sie einen älteren 

Wiederherstellungspunkt wählen. Wiederholen Sie die in diesem Abschnitt beschriebenen 

Schritte, um einen älteren Wiederherstellungspunkt wiederherzustellen. 

So führen Sie eine Behandlung von USB-Problemen durch 

Externe Geräte werden heutzutage meist über USB an den Computer angeschlossen. USB 

bietet Erweiterbarkeit ohne die Komplexität, die beim Anschluss interner Geräte wie PCI- 

Karten auftritt. Das Anschließen von USB-Geräten ist so einfach, dass die meisten Endbenutzer 

USB-Geräte ohne Hilfe des Supportcenters anschließen und konfigurieren können 

(sofern sie ausreichende Privilegien haben). Allerdings kommt es vor, dass Benutzer gelegentlich 

Probleme mit USB-Geräten haben. Die folgenden Abschnitte bieten einen Leitfaden 

für die Behandlung von USB-Problemen.

So führen Sie eine Behandlung von USB-Problemen durch 537 

So beseitigen Sie Probleme mit USB-Treibern und -Hardware 

Gehen Sie folgendermaßen vor, um aufgetretene Probleme zu beseitigen: 

1. Starten Sie den Computer neu. Manchmal erfordert Software, dass der Computer neu 

gestartet wird, bevor sie richtig funktioniert. Bei einem Neustart des Computers wird 

Windows 7 außerdem auch gezwungen, die USB-Hardware erneut zu erkennen. 

2. Installieren Sie aktualisierte Treibersoftware, sofern sie zur Verfügung steht. Prüfen Sie 

in Windows Update und auf der Website des Hardwareherstellers, ob Updates verfügbar 


3. Deinstallieren Sie Treiber und Software des Geräts, trennen Sie das USB-Gerät vom 

Computer, starten Sie den Computer neu und folgen Sie dann den Anleitungen des Herstellers, 

um die Software neu zu installieren. Viele USB-Geräte erfordern einen Treiber. 

Normalerweise sollte der Treiber installiert sein, bevor das USB-Gerät angeschlossen 

wird. Falls Probleme mit einem USB-Gerät auftreten, ist die Ursache wahrscheinlich ein 

Treiberproblem. Informationen darüber, wie Sie eine Behandlung des Treiberproblems 

durchführen, finden Sie im Abschnitt »So führen Sie eine Behandlung von Treiberproblemen 

durch« weiter oben in diesem Anhang. Externe Speichergeräte, zum Beispiel 

USB-Flashlaufwerke und externe Festplattenlaufwerke, benötigen normalerweise keine 

Treiber, weil die erforderliche Software direkt in Windows eingebaut ist. 

4. Trennen Sie die Verbindung zum USB-Gerät und schließen Sie es an einem anderen 

USB-Anschluss an. Das kann dazu führen, dass Windows das Gerät als neu erkennt und 

die erforderlichen Treiber installiert. Außerdem werden dadurch Probleme mit einem 

bestimmten USB-Anschluss beseitigt, zum Beispiel ein defekter Anschluss oder zu hohe 

Leistungsanforderungen. 

5. Ersetzen Sie das USB-Kabel durch ein neues Kabel oder ein anderes, von dem Sie 

wissen, dass es in Ordnung ist. 

Beschränkungen bei USB 

Auch wenn Sie die Software des USB-Geräts richtig installiert haben und die aktuellste 

Treiberversion verwenden, können noch Probleme auftreten. Sie werden unter Umständen 

durch die Hardwarebeschränkungen von USB verursacht. Unter anderem können folgende 

Beschränkungen Probleme verursachen: 

Zu schwache Stromversorgung Viele USB-Geräte beziehen ihren Strom über den 

USB-Anschluss. Wenn zu viele Geräte, die kein eigenes Netzteil haben, an einen USB- 

Hub angeschlossen werden, kann das zu einer Überlastung führen, die bewirkt, dass ein 

USB-Gerät nicht mehr richtig reagiert. Das passiert häufig, wenn ein externer USB-Hub 

ohne eigenes Netzteil verwendet wird. Sie können schnell feststellen, ob ein Problem mit 

der Stromversorgung zu tun hat, indem Sie die anderen USB-Geräte abziehen und nacheinander 

jedes USB-Gerät direkt an den Computer anschließen. Falls Geräte funktionieren, 

während sie einzeln angeschlossen sind, aber nicht mehr, wenn sie gleichzeitig angeschlossen 

sind, ist das Problem wahrscheinlich bei der Stromversorgung zu suchen. 

Verringern Sie die Zahl der Geräte oder fügen Sie einen USB-Hub mit eigener Stromversorgung 

hinzu. 

Zu lange Kabel USB-Geräte dürfen maximal 5 Meter von dem USB-Hub entfernt 

sein, an den sie angeschlossen sind. USB-Geräte werden zwar nie mit Kabeln geliefert,


die länger als 5 Meter sind, aber manche Benutzer verketten USB-Verlängerungen, sodass 

längere Leitungen entstehen können. Abhängig von der Qualität des Kabels und 

von möglichen Störquellen können auch schon bei kürzeren Strecken Probleme auftreten. 

Sie können feststellen, ob die Länge die Ursache der Probleme ist, indem Sie alle USB- 

Verlängerungen entfernen und das USB-Gerät direkt an den Computer anschließen. 

Zu viele Geräte USB kann maximal 127 Geräte unterstützen, die an einen einzigen 

USB-Hostcontroller angeschlossen sein dürfen. Das ist in den allermeisten Fällen für 

Clientcomputer mehr als ausreichend. Sie können maximal sieben Ebenen mit USB-Hubs 

an den USB-Hostcontroller des Computers anschließen, und es sind maximal fünf externe 

Hubs erlaubt. 

Ungenügende Bandbreite Die meisten USB-Geräte wurden so entworfen, dass sie 

innerhalb der Bandbreitenbeschränkungen arbeiten, die USB setzt. Insbesondere bei 

Videokameras kann es aber sein, dass sie mehr Bandbreite benötigen, als USB zur Verfügung 

stellen kann. Falls Sie die Meldung »Bandbreite überschritten« erhalten, sollten 

Sie erst versuchen, andere USB-Geräte zu entfernen. Falls die Meldung weiterhin erscheint, 

können Sie versuchen, die vom Gerät benötigte Bandbreite zu verringern, indem 

Sie die Auflösung der Kamera verringern. Bei einer Videokamera erzielen Sie die besten 

Ergebnisse, wenn Sie sie an einen IEEE 1394-Anschluss (auch als Firewire oder iLink 

bezeichnet) anschließen. 

Hinweis Falls Sie die Meldung »Hochgeschwindigkeits-USB-Gerät ist an Nicht-Hochgeschwindigkeits-USB-Hub 

angeschlossen« erhalten, unterstützt das USB-Gerät den Standard 

USB 2.0, aber der USB-Anschluss ist eine ältere Version. Das Gerät funktioniert wahrscheinlich, 

ist aber langsam. Sie können die Leistung verbessern, indem Sie einen USB 2.0-Port in 

den Computer einbauen. 

So identifizieren Sie USB-Probleme in der Leistungsüberwachung 

Falls Sie vermuten, dass ein Problem mit USB-Bandbreite oder -Leistung besteht, können 

Sie das Problem mithilfe der Leistungsüberwachung identifizieren: 

1. Falls das Problem, das Sie identifizieren wollen, dann auftritt, wenn ein USB-Gerät aktiv 

benutzt wird, müssen Sie das USB-Gerät, für das Sie eine Problembehandlung durchführen 

wollen, anschließen und einschalten. Falls das Problem auftritt, wenn Sie das 

USB-Gerät neu anstecken, dürfen Sie das Gerät nicht anschließen, bevor Sie die Protokollierung 

gestartet haben. 


3. Erweitern Sie System, Zuverlässigkeit und Leistung, Überwachungstools und klicken Sie 

dann auf Leistungsüberwachung. 

4. Klicken Sie in der Symbolleiste der Leistungsüberwachung auf die grüne Schaltfläche 

Hinzufügen. 

5. Erweitern Sie im Dialog Leistungsindikatoren hinzufügen im Feld Verfügbare Leistungsindikatoren 

den Knoten USB. Falls Sie eine Problembehandlung wegen eines nicht funktionierenden 

USB-Geräts durchführen, sollten Sie die folgenden Indikatoren für die 

Instanz hinzufügen:

ISO-Paket Fehler/s 

So führen Sie eine Behandlung von USB-Problemen durch 539 

Übertragung Fehler/s 

Falls Sie eine Problembehandlung wegen eines USB-Leistungsproblems durchführen, 

sollten Sie die folgenden Indikatoren für die Instanz hinzufügen: 

Massenvorgang Bytes/s 

Durchschnitt Bytes/Übertragung 

6. Klicken Sie auf OK, um die Indikatoren zur Leistungsüberwachung hinzuzufügen. 

Die Leistungsüberwachung beginnt jetzt, Daten über Ihre USB-Geräte und -Verbindungen 

zu sammeln. Versuchen Sie, das Problem zu reproduzieren (kopieren Sie zum Beispiel eine 

Datei auf eine USB-Festplatte oder schließen Sie eine Videokamera an). Falls Sie eine Behandlung 

wegen Leistungsproblemen durchführen, können Sie sofort mit der rechten Maustaste 

in die Leistungsüberwachungsanzeige klicken und den Befehl Löschen wählen, sobald 

Sie beginnen, das Gerät zu benutzen. So stellen Sie sicher, dass die Indikatoren nur Daten 

enthalten, die während Ihres Tests aufgezeichnet wurden. Je länger Sie den Test laufen 

lassen, desto präzisere Ergebnisse liefert er. Sie sollten die Leistungsüberwachung anhalten, 

sobald Ihr Test beendet ist. 

Sobald Sie das Problem reproduziert haben, können Sie die Leistungsüberwachung anhalten, 

indem Sie die Schaltfläche Anzeige fixieren in der Symbolleiste anklicken oder die Tastenkombination 

STRG+F drücken. Weil Sie Leistungsindikatoren für alle Instanzen hinzugefügt 

haben, bekommen Sie wahrscheinlich eine große Zahl von Indikatoren. Sie können die einzelnen 

Indikatoren durchsuchen, um die Ursache für Ihre Probleme zu identifizieren, indem 

Sie STRG+H drücken, um den Markierungsmodus zu aktivieren. 

Klicken Sie jetzt auf den ersten Leistungsindikator in der Liste. Sobald Sie einen Leistungsindikator 

ausgewählt haben, wird die Kurve, die zu diesem Leistungsindikator gehört, fett 

hervorgehoben. Sehen Sie sich die Werte für diesen Leistungsindikator an. Falls der Leistungsindikator 

einen Fehler zeigt, können Sie sich notieren, welcher USB-Controller und 

welches USB-Gerät das Problem verursachen. Drücken Sie die NACH UNTEN-Taste auf 

Ihrer Tastatur, um den nächsten Leistungsindikator auszuwählen, und setzen Sie die Analyse 

der USB-Leistungswerte fort. 

Unter normalen Bedingungen sollten eigentlich keine USB-Fehler auftreten. Windows 7 

kann aber nach vielen USB-Fehlern einen konsistenten Zustand wiederherstellen, ohne dass 

der Benutzer das überhaupt bemerkt. Sobald Sie die Ursache der USB-Probleme identifiziert 

haben, sollten Sie weiter vorgehen, wie im Abschnitt »So beseitigen Sie Probleme mit USB- 

Treibern und -Hardware« weiter oben in diesem Anhang beschrieben. 

Falls Sie eine Behandlung von USB-Leistungsproblemen durchführen, sollten Sie die Indikatoren 

»Massenvorgang Bytes/s« untersuchen, um festzustellen, welche Instanz zu dem Gerät 

gehört, das Sie benutzen. Wählen Sie dann den entsprechenden Leistungsindikator aus und 

notieren Sie sich den Durchschnittswert. Theoretisch kann USB 2.0 maximal 60.000.000 

Byte/s übertragen. Dieses theoretische Maximum wird allerdings niemals erreicht. In der 

Praxis können Sie davon ausgehen, dass Sie die Hälfte davon erreichen. USB-Speichergeräte 

sind oft viel langsamer, und die Leistung hängt von der Geschwindigkeit des Geräts selbst 

ab. USB-Festplatten erreichen normalerweise Durchschnittswerte unter 10.000.000 Byte/s, 

können aber Spitzenwerte von über 20.000.000 Byte/s erreichen. Auch variiert die Leistung 

von Festplatten abhängig davon, welcher Abschnitt der Festplatte beschrieben oder gelesen


wird, wie groß die Dateien sind, auf die zugegriffen wird, und wie stark die Festplatte fragmentiert 

ist. 

So untersuchen Sie USB-Hubs 

Wenn Sie ein USB-Gerät an einen Computer anschließen, sind daran mehrere Ebenen 

beteiligt: 

Ein USB-Hostcontroller, der direkt mit Ihrem Computer verbunden ist USB- 

Hostcontroller sind oft in das Motherboard des Computers integriert, Sie können sie aber 

auch mit einem internen Adapter oder einer PC Card nachrüsten. Falls der Name des 

Controllers das Wort »Enhanced« enthält, unterstützt er USB 2.0. 

Ein USB-Root-Hub, der direkt an den USB-Hostcontroller angeschlossen ist 

Normalerweise sind USB-Root-Hubs in das Gerät eingebaut, das auch den USB-Hostcontroller 

enthält, also das Motherboard Ihres Computers oder eine Adapterkarte. 

Optional können weitere USB-Hubs an den USB-Root-Hub angeschlossen sein, um 

zusätzliche USB-Anschlüsse bereitzustellen USB-Hubs können externe Geräte sein, 

die Sie einstecken, interne Geräte innerhalb eines Computers oder in eine Dockingstation 

eingebaute Geräte. 

Sie können die USB-Controller und -Hubs in einem Computer mit dem Gerätemanager 

untersuchen, um festzustellen, wie viel Strom sie zur Verfügung stellen und wie viel Strom 

die angeschlossenen Geräte beanspruchen. Das kann Ihnen helfen, die Ursache eines USB- 

Problems zu identifizieren. Gehen Sie folgendermaßen vor, um USB-Geräte zu untersuchen: 


2. Klicken Sie in der Computerverwaltungskonsole auf Geräte-Manager (unter System). 

3. Erweitern Sie im rechten Fensterabschnitt den Knoten USB-Controller. 

Abbildung D.8 Die Eigenschaften eines USB-Root-Hubs zeigen an, 

wie viel Strom verfügbar ist und verbraucht wird

So führen Sie eine Behandlung von Bluetooth-Problemen durch 541 

4. Klicken Sie mit der rechten Maustaste auf einen USB-Root-Hub (es kann mehrere geben) 

und wählen Sie den Befehl Eigenschaften. 

5. Klicken Sie auf die Registerkarte Stromversorgung (Abbildung D.8). Diese Registerkarte 

zeigt an, wie viel Strom der Hub liefern kann und wie viel Strom die einzelnen Geräte 

verbrauchen. Sie können die Anforderungen eines bestimmten Geräts ermitteln, indem 

Sie alle Geräte entfernen und dann die Geräte einzeln wieder anschließen. 

So führen Sie eine Behandlung von Bluetooth-Problemen durch 

Bluetooth ist ein Drahtlosprotokoll zum Anschließen von Zubehörgeräten an Computer. 

Bluetooth wird häufig benutzt, um Tastaturen, Mäuse, Organizergeräte, Mobiltelefone und 

GPS-Empfänger (Global Positioning System) anzuschließen. 

Bluetooth ist so einfach zu konfigurieren, dass die meisten Benutzer Bluetooth-Geräte ohne 

die Hilfe des Supportcenters anschließen können. Gelegentlich treten allerdings Probleme 

auf, wenn Benutzer versuchen, eine Bluetooth-Verbindung herzustellen. Es kann auch passieren, 

dass eine Verbindung, die vorher funktioniert hat, ohne sichtbaren Grund nicht mehr 

funktioniert. 

Falls Sie ein Bluetooth-Gerät nicht erfolgreich anschließen können, sollten Sie folgendermaßen 

vorgehen: 

1. Überprüfen Sie, ob das Gerät angeschaltet ist und die Batterien voll sind. 

2. Bringen Sie das Gerät ca. 1 Meter an Ihren Computer heran (aber nicht zu nah an Ihren 

Bluetooth-Adapter). Stellen Sie außerdem sicher, dass keine anderen Geräte in der Nähe 

dieselben Funkfrequenzen verwenden, zum Beispiel Mikrowellenherde, Funktelefone, 

Fernbedienungen oder 802.11-Drahtlosnetzwerke. 

3. Überprüfen Sie, ob bei dem Gerät Bluetooth aktiviert ist und es als erkennbar (discoverable) 

konfiguriert ist. Aus Sicherheitsgründen sind viele Geräte in der Standardeinstellung 

nicht erkennbar. Weitere Informationen finden Sie in der Anleitung zum jeweiligen Gerät. 





von der Website des Herstellers herunterladen. 

6. Überprüfen Sie, ob Windows so konfiguriert ist, dass es eingehende Bluetooth-Verbindungen 

annimmt. 

7. Überprüfen Sie, ob die Sicherheit richtig konfiguriert ist. Unter Umständen haben Sie 

einen nicht standardmäßigen Kenncode für das Gerät konfiguriert. In der Standardeinstellung 

verwenden viele Geräte den Kenncode 0000 oder 0001. 

8. Entfernen Sie das Bluetooth-Gerät und installieren Sie es neu.


Tools für die Problembehandlung 

DiskView 

Handle 

Die folgenden Abschnitte beschreiben kostenlose Microsoft-Tools, die für die erweiterte 

Problembehandlung nützlich sind. 

DiskView zeigt, wie Dateien auf Ihrer Festplatte angeordnet sind, sodass Sie feststellen 

können, wo eine bestimmte Datei gespeichert ist. Speichern Sie die ausführbare Datei von 

DiskView in einem Ordner, aus dem Dateien gestartet werden dürfen, etwa in C:\Program 

Files\. Ein Ordner für temporäre Dateien eignet sich ausdrücklich nicht für diesen Zweck. 

Klicken Sie mit der rechten Maustaste auf DiskView.exe und wählen Sie im Kontextmenü 

den Befehl Als Administrator ausführen. Wählen Sie in der Liste der Volumes das Volume 

aus, das Sie analysieren wollen, und klicken Sie auf Refresh, um die Anzeige zu aktualisieren. 

DiskView ist nun mehrere Minuten damit beschäftigt, den Inhalt des Datenträgers zu 

analysieren. 

Wie in Abbildung D.9 zu sehen, zeigt das Hauptfenster an, wie die Dateien über einen Abschnitt 

Ihres Datenträgers verteilt sind. Unter dem Hauptfenster wird die Verteilung für den 

gesamten Datenträger angezeigt. Die schwarze Markierung zeigt, welcher Ausschnitt des 

Datenträgers im Hauptfenster dargestellt wird. 

Abbildung D.9 DiskView zeigt die Anordnung der Dateien auf Ihrem Datenträger 

Wenn Sie im Hauptfenster auf eine Datei klicken, wird der Name dieser Datei im Feld Highlight 

angezeigt. Eine bestimmte Datei können Sie sich ansehen, indem Sie auf die Schaltfläche 

mit den drei Punkten klicken und die gewünschte Datei auswählen. Sie können Disk- 

View unter http://technet.microsoft.com/sysinternals/bb896650.aspx herunterladen. 

Mit Handle stellen Sie fest, welcher Prozess eine Datei oder einen Ordner geöffnet hat. 

Handle ist immer dann nützlich, wenn Sie eine Datei oder einen Ordner aktualisieren oder 

löschen wollen, aber der Zugriff darauf verweigert wird, weil das Objekt benutzt wird.

Tools für die Problembehandlung 543 

Speichern Sie die ausführbare Datei von Handle in einem Ordner, aus dem Dateien gestartet 

werden dürfen, etwa in C:\Program Files\. Ein Ordner für temporäre Dateien eignet sich 

ausdrücklich nicht für diesen Zweck. Öffnen Sie nun eine administrative Eingabeaufforderung 

und wechseln Sie in den Ordner, in dem Sie die ausführbare Datei von Handle abgelegt 

haben. 

Wenn Sie Handle ohne Argumente aufrufen, werden alle offenen Handles angezeigt. Welcher 

Prozess eine bestimmte Datei oder einen Ordner geöffnet hat, finden Sie heraus, indem Sie 

Handle einen Teil des Dateinamens übergeben. Ist beispielsweise die Musikdatei Amanda. 

wma gesperrt, stellen Sie fest, welcher Prozess diese Datei geöffnet hat, indem Sie den folgenden 


handle amanda 

Die folgende Ausgabe zeigt, dass der Windows Media Player (Wmplayer.exe) diese Datei 

gesperrt hat. 

Handle v3.3 

Copyright (C) 1997-2007 Mark Russinovich 

Sysinternals - www.sysinternals.com 

wmplayer.exe pid: 3236 2C0: C:\Users\Public\Music\Sample Music\Amanda.wma 

Weil die Ausgabe den Namen und die ID des Prozesses (Process Identifier, PID) enthält, 

können Sie nun im Task-Manager den Prozess beenden, sodass der Zugriff auf die gesperrte 

Datei möglich wird. Sie können Handle unter http://technet.microsoft.com/de-de/sysinternals/ 

bb896655.aspx herunterladen. 

Process Monitor 

Process Monitor (Prozessmonitor) ist ein äußerst leistungsfähiges Problembehandlungstool, 

das die Datei- und Registrierungszugriffe durch eine Anwendung überwacht. Mit Process 

Monitor können Sie genau verfolgen, was eine Anwendung tut. Auf diese Weise ist es möglich 

zu ermitteln, auf welche Ressourcen eine Anwendung Zugriff braucht. Tritt in einer Anwendung 

ein Fehler auf, weil eine Ressource nicht verfügbar ist oder der Zugriff verweigert 

wird, können Sie mit Process Monitor feststellen, um welche Ressource es sich handelt. Anhand 

dieser Informationen gelingt es dann oft, das Problem zu beseitigen. 

Speichern Sie die ausführbare Datei von Process Monitor in einem Ordner, aus dem Dateien 

gestartet werden dürfen, etwa in C:\Program Files\. Ein Ordner für temporäre Dateien eignet 

sich ausdrücklich nicht für diesen Zweck. Klicken Sie mit der rechten Maustaste auf Proc- 

Mon.exe und wählen Sie im Kontextmenü den Befehl Als Administrator ausführen. 

Nach dem Start beginnt Process Monitor sofort damit, Ereignisse aufzuzeichnen. Sie beenden 

die Aufzeichnung von Ereignissen oder starten sie neu, indem Sie die Tastenkombination 

STRG+E drücken oder im Menü File den Befehl Capture Events wählen. 

Sie verwenden Process Monitor für die Problembehandlung, indem Sie die Ereignisaufzeichnung 

aktivieren und dann die Anwendung ausführen, die Sie untersuchen möchten. Führen 

Sie die Aktionen durch, die Sie analysieren wollen, und beenden Sie die Ereignisaufzeichnung 

wieder. 

Process Monitor zeigt alle Datenträger- und Dateizugriffe an, die durchgeführt wurden, während 

die Aufzeichnung lief (Abbildung D.10). Die Ereignisse für einen bestimmten Prozess


bekommen Sie angezeigt, indem Sie mit der rechten Maustaste auf irgendein Ereignis klicken, 

das dieser Prozess generiert hat, und den Befehl Include wählen. Process Monitor filtert nun 

das angezeigte Ereignis, sodass nur Ereignisse sichtbar sind, die vom ausgewählten Prozess 

generiert wurden. Komplexere Filter können Sie über das Menü Filter zusammenstellen. 

Abbildung D.10 Process Monitor zeigt alle Datei- und Registrierungszugriffe 

durch eine Anwendung an 

Wenn Sie die aufgezeichneten Ereignisse untersuchen, sollten Sie besonders auf Ereignisse 

achten, die nicht mit Success (Erfolg) markiert sind. Solche Ereignisse kommen zwar häufig 

vor und sind völlig normal, aber aus ihnen lassen sich oft Schlüsse auf die Ursache eines 

Fehlers ziehen. 

Sie können Process Monitor von http://technet.microsoft.com/de-de/sysinternals/bb896645. 

aspx herunterladen. Beispiele, wie Sie mit Process Monitor arbeiten, finden Sie in »The 

Case of the Failed File Copy« unter http://blogs.technet.com/markrussinovich/archive/2007/ 

10/01/2087460.aspx und in »The Case of the Missing AutoPlay« unter http://blogs.technet. 

com/markrussinovich/archive/2008/01/02/2696753.aspx. 


Wenn Sie Hardware an einen Computer anschließen, können Probleme auftreten. Glücklicherweise 

stellt Windows 7 viele unterschiedliche Tools zur Verfügung, mit denen Sie die 

Ursache des Problems ermitteln können. In vielen Fällen stellt Windows 7 auch die Tools 

bereit, mit denen Sie das Problem beseitigen können, indem Sie Software aktualisieren oder 

die Hardware neu konfigurieren. Falls die Ursache für das Problem fehlerhafte Hardware ist, 

muss das Gerät repariert oder ausgetauscht werden, bevor es mit Windows 7 benutzt wird.

A N H A N G E 

Behandlung von Problemen mit Netzwerken 




Benutzer brauchen oft Netzwerkkonnektivität, um ihre Arbeit zu erledigen, und Netzwerkausfälle 

können die Produktivität einer Organisation gewaltig bremsen. Wenn Fehler vorkommen, 

müssen Sie das Problem schnell diagnostizieren. Oft müssen Sie die Problembehandlung 

an einen Netzwerkspezialisten weiterleiten. Aber von einem Computer aus, der 

unter dem Betriebssystem Windows 7 läuft, können Sie viele häufiger vorkommende Netzwerkprobleme 

diagnostizieren und beseitigen. 

Dieser Anhang beschreibt, wie Sie wichtige Netzwerkproblembehandlungswerkzeuge einsetzen, 

und liefert Schritt-für-Schritt-Anleitungen für die Beseitigung häufiger vorkommender 

Netzwerkprobleme. 

Tools für die Problembehandlung 

Zu den folgenden häufiger vorkommenden Netzwerkproblemen sind die Tools aufgelistet, 

die wahrscheinlich nützlich sind, um sie zu isolieren, zu diagnostizieren und zu beseitigen. 

Diese Tools sind in den entsprechenden Abschnitten dieses Anhangs beschrieben, sofern 

nicht anders vermerkt. 

Einige Clients können keine Verbindung zu einem Server herstellen Arp, Ipconfig, 

Nbtstat, Netstat, Network Monitor, Nslookup, PathPing, Portqry, Telnet-Client, Windows-Netzwerkdiagnose 

Kein Client kann eine Verbindung zu einem Server herstellen Ipconfig, Network 

Monitor, Portqry, Telnet-Client, Windows-Netzwerkdiagnose 

Clients können keine Verbindung zu freigegebenen Ressourcen herstellen Ipconfig, 

Nbtstat, Net, Nslookup, Network Monitor, Portqry, Telnet-Client, Windows-Netzwerkdiagnose 

Clients können keine Verbindung zum Netzwerk herstellen Ipconfig, Windows- 

Netzwerkdiagnose 

Die Netzwerkleistung ist schlecht oder unregelmäßig Network Monitor, Leistungsüberwachung, 

PathPing, Ressourcenmonitor und Task-Manager 

Viele Faktoren haben Einfluss auf die Leistung und Zuverlässigkeit des Netzwerks, zum 

Beispiel Remoteverbindungen, Hardwarekonfiguration (Netzwerkkarten oder die physische 

Netzwerkverbindung) und Gerätetreiber. Recht oft haben Netzwerkprobleme mit Fehlern in 

der Protokollkonfiguration zu tun. Wenn z.B. falsche Einstellungen in TCP/IP-basierten Netzwerken 

gewählt werden, können IP-Adressierung, Routing und IP-Sicherheit gestört sein. 

545

546 Anhang E: Behandlung von Problemen mit Netzwerken 

Windows 7 stellt eine Sammlung nützlicher Problembehandlungswerkzeuge zur Verfügung, 

mit denen Sie die Netzwerkleistung überwachen und testen können. Tabelle E.1 listet die 

wichtigsten Tools für die Beseitigung von Netzwerkproblemen auf. 

Tabelle E.1 Tools für die Problembehandlung in Netzwerken 

Tool Zweck Erforderliche Gruppenmitgliedschaften 

Arp Zeigt den ARP-Cache (Address Resolution 

Protocol) an und löscht ihn. Der 

ARP-Cache kann die Kommunikation 

mit Hosts im lokalen Netzwerk beeinflussen. 

Ipconfig Zeigt Netzwerkkonfigurationsinformationen 

über den lokalen Computer an, 

fordert neue dynamisch zugewiesene IP- 

Adressen an, verwaltet den Auflösungscache 

des DNS-Clients und registriert 

neue DNS-Datensätze. 

Nblookup Testet die WINS-Namensauflösung 

(Windows Internet Naming Service). 

Nbtstat Zeigt NetBIOS-Namen (Network Basic 

Input/Output System) an und löscht sie. 

Net Zeigt Informationen über freigegebene 

Ressourcen an und stellt eine Verbindung 

zu ihnen her. 

Netsh Zeigt und ändert Netzwerkkonfigurationseinstellungen. 

Netstat Zeigt detaillierte Informationen über 

offene Verbindungen an. 

Network 

Monitor 

Zeichnet Netzwerkverkehr auf, der zum 

und vom lokalen Computer gesendet 

wird, und zeigt ihn an. 

Nslookup Diagnostiziert Probleme bei der DNS- 

Namensauflösung. 

PathPing Diagnostiziert Probleme bei Netzwerkkonnektivität, 

Routing und Leistung. 


Zeigt detaillierte Informationen über 

Hunderte von Netzwerkleistungsindikatoren 

an. 

Portqry Überprüft die Verfügbarkeit von Netzwerkdiensten 

von einem Client aus, auf 

dem das Tool installiert ist. 


Zeigt Informationen über die Netzwerkauslastung 

an. 

Benutzer oder Administratoren, 

abhängig 

von den verwendeten 

Befehlen 


abhängig 


Befehlen 

Beschreibung 

Betriebssystem, 

Befehlszeile 


Befehlszeile 

Benutzer Kostenloser 

Download, 

Befehlszeile 

Benutzer Betriebssystem, 

Befehlszeile 


Befehlszeile 


je nach 

Befehl 


Befehlszeile 


Befehlszeile 

Administratoren Kostenloser 

Download, GUI 


Befehlszeile 


Befehlszeile 

Administratoren Betriebssystem, 

GUI 

Benutzer Kostenloser 

Download, 

Befehlszeile 

Administratoren Betriebssystem, 

GUI

Arp 

Tool Zweck Erforderliche Gruppenmitgliedschaften 

Route Zeigt und ändert die IP-Routingtabellen 

des lokalen Computers. Das ist in erster 

Linie nützlich, wenn sich mehrere Gateways 

im lokalen Netzwerk befinden. 

Task- 

Manager 

Stellt schnell die aktuelle Netzwerkauslastung 

fest. Identifiziert Prozesse, die 

das Netzwerk nutzen, und Prozesse, die 

Prozessorzeit verbrauchen. 

Telnet-Client Überprüft die Verfügbarkeit von Netzwerkdiensten 

von einem Client aus, auf 

dem PortQry nicht installiert ist. Dieses 

Tool ist eine optionale Komponente und 

in der Standardeinstellung nicht installiert. 

Test TCP Testet die TCP-Konnektivität zwischen 

zwei Computern. 

Windows- 


Diagnostiziert automatisch einige Netzwerkprobleme 

und stellt eine benutzerfreundliche 

Schnittstelle zur Verfügung, 

um solche Probleme zu beseitigen. 



abhängig 


Befehlen 


abhängig 


Befehlen 

Beschreibung 


Befehlszeile 


GUI 


Befehlszeile 


Befehlszeile 


GUI 

Hinweis In Windows 7 verläuft die Problembehandlung für IPv6 genauso wie die für IPv4. 

Die meisten Tools funktionieren auch mit IPv6, zum Beispiel Ping, PathPing, Nslookup, 

Ipconfig, Route, Netstat, Tracert und Netsh. Sie können sie verwenden, indem Sie einfach 

IPv6-Adressen statt IPv4-Adressen angeben. Leider bietet Portqry momentan keine Unterstützung 

für IPv6. Sie können stattdessen aber Telnet verwenden. Außerdem können Sie mit 

dem Tool Route keine IPv6-Adressen hinzufügen oder löschen. Stattdessen sollten Sie die 

Befehle netsh interface ipv6 add route und netsh interface ipv6 delete route verwenden. 

Arp (Arp.exe) ist ein nützliches Befehlszeilentool, wenn Sie Probleme bei der Verbindung 

von Systemen in einem LAN (Local Area Network) diagnostizieren wollen, wo die Kommunikation 

zwischen den Computern nicht über einen Router läuft. Arp ist auch nützlich, 

um Probleme zu diagnostizieren, die bei der Kommunikation eines Clients mit dem Standardgateway 

auftreten. Wenn ein Client Verbindung mit einem Server im selben Subnetz aufnimmt, 

muss er den Frame sowohl mit der MAC-Adresse (Media Access Control) als auch 

der IPv4-Adresse versehen. Die MAC-Adresse ist eine 48-Bit-Zahl, die eine Netzwerkkarte 

eindeutig identifiziert. 

Arp ist der Name eines Tools, aber auch das Akronym für Address Resolution Protocol (ARP), 

das benutzt wird, um die MAC-Adresse zu ermitteln, die zu einer IPv4-Adresse gehört. Wenn 

ein Client mit einem System im selben LAN kommuniziert, sendet ARP eine Broadcastnachricht 

an alle Systeme im LAN und wartet dann auf eine Antwort von dem System, das 

die angeforderte IPv4-Adresse hat. Dieses System antwortet auf den Broadcast, indem es 

seine MAC-Adresse sendet. ARP speichert daraufhin die MAC-Adresse im ARP-Cache.


Hinweis IPv4-Adressen werden benutzt, um Computer in unterschiedlichen Netzwerken zu 

identifizieren. Computer, die über ein LAN miteinander kommunizieren, identifizieren sich 

gegenseitig allerdings über ihre MAC-Adressen. ARP ermöglicht es einem Computer, eine 

MAC-Adresse für eine IPv4-Adresse zu ermitteln, sodass zwei Computer im selben LAN 

kommunizieren können. 

Probleme mit ARP treten nur gelegentlich auf. Falls zum Beispiel bei einem System die 

Netzwerkkarte ausgewechselt wird, haben Clients unter Umständen noch die falsche MAC- 

Adresse in ihrem ARP-Cache. Sie können MAC-Adressen auch von Hand in den ARP-Cache 

eintragen, aber falls eine solche manuell hinzugefügte MAC-Adresse falsch ist, ist keine 

Kommunikation mit der entsprechenden IPv4-Adresse möglich. 

So identifizieren Sie ein Problem mit dem ARP-Cache 

Um einen falschen Eintrag im ARP-Cache zu identifizieren, sollten Sie erst die MAC- 

Adressen und IPv4-Adressen der Hosts oder Gateways im LAN ermitteln, mit denen der 

Computer nicht kommunizieren kann (wie in diesem Abschnitt im Beispiel mit dem Befehl 

ipconfig /all gezeigt). Sehen Sie sich dann den ARP-Cache auf dem Computer an, auf dem 

das Problem auftritt. Vergleichen Sie die Ausgabe mit den richtigen Kombinationen aus 

IPv4-Adresse und MAC-Adresse. Falls ein Eintrag falsch ist, können Sie den ARP-Cache 

löschen, um das Problem zu beseitigen. 

Sie können die MAC-Adresse eines Computers ermitteln, indem Sie eine Eingabeaufforderung 

öffnen und den folgenden Befehl eingeben. Suchen Sie dann die Zeile mit der Beschriftung 

»Physikalische Adresse« in der Ausgabe für Ihre Netzwerkkarte (hier durch Fettschrift 

hervorgehoben): 

ipconfig /all 


Verbindungsspezifisches DNS-Suffix: contoso.com 

Beschreibung . . . . . . . . . . : NVIDIA nForce Networking Controller 

Physikalische Adresse . . . . . . : 00-13-D3-3B-50-8F 

DHCP aktiviert . . . . . . . . . : Ja 

Sobald Sie mit Ipconfig die richtige MAC-Adresse ermittelt haben, können Sie sich den 

ARP-Cache auf dem Computer ansehen, auf dem das Problem auftritt. So können Sie feststellen, 

ob die zwischengespeicherte Adresse falsch ist. Sie können den ARP-Cache anzeigen, 

indem Sie eine Eingabeaufforderung öffnen und den folgenden Befehl ausführen: 

arp –a 

Schnittstelle: 192.168.1.132 --- 0xa 

Internetadresse Physikal. Adresse Typ 

192.168.1.1 00-11-95-bb-e2-c7 dynamisch 

192.168.1.210 00-03-ff-cf-38-2f dynamisch 

192.168.1.241 00-13-02-1e-e6-59 dynamisch 

192.168.1.255 ff-ff-ff-ff-ff-ff statisch 

224.0.0.22 01-00-5e-00-00-16 statisch

So löschen Sie den ARP-Cache 


Falls Sie feststellen, dass einer der Einträge im ARP-Cache falsch ist, können Sie das Problem 

beseitigen, indem Sie den ARP-Cache löschen. Es schadet nichts, den ARP-Cache zu 

löschen, selbst falls alle Einträge in Ordnung zu sein scheinen. Daher ist es ein sinnvoller 

Schritt während der Problembehandlung. 

Sie können den ARP-Cache löschen, indem Sie eine Eingabeaufforderung öffnen und den 


arp –d 

Stattdessen können Sie den ARP-Cache auch löschen, indem Sie eine Netzwerkkarte deaktivieren 

und danach wieder aktivieren, oder mit der automatischen Reparaturoption. Weitere 

Informationen über das Tool Arp erhalten Sie, indem Sie in einer Eingabeaufforderung den 

Befehl arp -? eingeben. 

Ereignisanzeige 

Die Windows-Problembehandlungsplattform zeichnet sehr detaillierte Informationen im 

Systemereignisprotokoll auf, nicht nur beim Auftreten von Problemen, sondern auch wenn 

Netzwerkverbindungen erfolgreich hergestellt werden. Außerdem können Administratoren 

mit der Ablaufverfolgung der Drahtlos-Diagnose Diagnoseinformationen mithilfe von grafischen 

Tools aufzeichnen und analysieren. 

Sie finden die Netzwerkdiagnoseinformationen an zwei Stellen in der Ereignisanzeige: 

Windows-Protokolle\System Suchen Sie nach Ereignissen, deren Quelle »Diagnostics- 

Networking« ist. Diese Ereignisse enthalten Problembehandlungsoptionen, die dem 

Benutzer angezeigt wurden (Ereignis-ID 4000), die vom Benutzer ausgewählte Option 

(Ereignis-ID 5000) und detaillierte Informationen, die während des Diagnosevorgangs 

gesammelt wurden (Ereignis-ID 6100). Bei der Problembehandlung in Drahtlosnetzwerken 

enthalten Ereignisse auch den Namen der Drahtlosnetzwerkkarte, Informationen 

zum Treiber (nativer Windows 7- oder ein älterer Treiber), eine Liste der sichtbaren 

Drahtlosnetzwerke mit ihrer Signalstärke, Kanal und Protokoll (zum Beispiel 802.11b 

oder 802.11g) für jedes Netzwerk, die Liste der bevorzugten Drahtlosnetzwerke und die 

Konfigurationseinstellungen für jedes Netzwerk. Ereignisbeschreibungen sehen zum 

Beispiel so aus: 

Die Reparaturphase des Vorgangs wurde abgeschlossen. 

Die folgende Reparaturoption bzw. der folgende Workaround wurde ausgeführt: 

Hilfsklassenname: AddressAcquisition 

Reparaturoption: Den Netzwerkadapter "LAN-Verbindung" zurücksetzen. 

Manchmal können dadurch Unterbrechungen repariert werden. 

Reparatur-GUID: {07D37F7B-FA5E-4443-BDA7-AB107B29AFB9} 

Das diagnostizierte Problem scheint durch die Reparaturoption behoben worden zu sein. 

Anwendungs- und Dienstprotokolle\Microsoft\Windows\Diagnostics-Networking\ 

Betriebsbereit Dieses Ereignisprotokoll zeichnet die internen Vorgänge der Windows- 

Problembehandlungsplattform auf. Es ist in erster Linie nützlich, wenn Probleme an den 

Microsoft-Support weitergeleitet werden.


Ipconfig 

Ipconfig (Ipconfig.exe) ist ein nützliches Befehlszeilentool für die Behandlung von Problemen 

mit der automatischen Konfiguration, zum Beispiel DHCP (Dynamic Host Configuration 

Protocol). Sie können mit Ipconfig die aktuelle IP-Konfiguration anzeigen, feststellen, 

ob DHCP oder APIPA (Automatic Private IP Addressing) verwendet wird, und eine automatische 

IP-Konfiguration freigeben und erneuern. 

Sie können sich detaillierte IP-Konfigurationsinformationen ansehen, indem Sie eine Eingabeaufforderung 

öffnen und den folgenden Befehl ausführen: 

ipconfig /all 

Dieser Befehl zeigt die aktuelle IP-Konfiguration an. Die Ausgabe sieht zum Beispiel so 

aus: 


Hostname . . . . . . . . . . . . : Win7 

Primäres DNS-Suffix . . . . . . . : hq.contoso.com 

Knotentyp . . . . . . . . . . . . : Hybrid 

IP-Routing aktiviert. . . . . . . : Nein 

WINS-Proxy aktiviert. . . . . . . : Nein 

DNS-Suffixsuchliste . . . . . . . : hq.contoso.com 

contoso.com 


Verbindungsspezifisches DNS-Suffix: contoso.com 

Beschreibung . . . . . . . . . . : NVIDIA nForce Networking Controller 

Physikalische Adresse . . . . . . : 00-13-D3-3B-50-8F 

DHCP aktiviert . . . . . . . . . : Ja 


Verbindungslokale IPv6-Adresse . : fe80::a54b:d9d7:1a10:c1eb%10(Bevorzugt) 

IPv4-Adresse. . . . . . . . . . . : 192.168.1.132(Bevorzugt) 

Subnetzmaske . . . . . . . . . . : 255.255.255.0 

Lease erhalten. . . . . . . . . . : Dienstag, 1. Mai 2009 11:47:38 

Lease läuft ab. . . . . . . . . . : Mittwoch, 9. Mai 2009 11:47:38 


DHCP-Server . . . . . . . . . . . : 192.168.1.1 

DHCPv6-IAID . . . . . . . . . . . : 234886099 

DNS-Server . . . . . . . . . . . : 192.168.1.210 

NetBIOS über TCP/IP . . . . . . . : Aktiviert 

Sie können feststellen, ob die DHCP-Adressierung erfolgreich war, indem Sie eine Eingabeaufforderung 


ipconfig

Nblookup 

Die Ausgabe dieses Befehls sieht ähnlich aus wie die folgende: 




Autoconfiguration IP Address. . . : 169.254.187.237 

Subnetzmaske . . . . . . . . . . : 255.255.0.0 

Standardgateway . . . . . . . . . : 


Falls die angezeigte IP-Adresse aus dem Bereich 169.254.0.0 bis 169.254.255.255 stammt, 

verwendet Windows APIPA, weil das Betriebssystem beim Start keine IP-Konfiguration von 

einem DHCP-Server abrufen konnte und es keine alternative Konfiguration gab. Sie können 

das überprüfen, indem Sie sich die Einstellung »DHCP aktiviert« in der Ausgabe von Ipconfig 

ansehen. Falls keine DHCP-Serveradresse eingetragen ist, war kein entsprechender Server 

erreichbar. 

Sie können eine über DHCP zugewiesene IPv4-Adresse freigeben und erneuern, indem Sie 

eine Eingabeaufforderung öffnen und die folgenden Befehle ausführen: 



Windows 7 beendet daraufhin die Verwendung der aktuellen IPv4-Adresse und versucht, mit 

einem DHCP-Server Kontakt aufzunehmen und eine neue IPv4-Adresse abzurufen. Falls 

kein DHCP-Server verfügbar ist, verwendet Windows 7 entweder die alternative Konfiguration 

oder weist automatisch eine APIPA-Adresse im Bereich von 169.254.0.0 bis 

169.254.255.255 zu. 

Sie können eine automatisch zugewiesene IPv6-Adresse freigeben und erneuern, indem Sie 

eine Eingabeaufforderung öffnen und die folgenden Befehle ausführen: 

ipconfig /release6 

ipconfig /renew6 

WINS (Windows Internet Naming Service) ist ein NetBIOS-Namensauflösungsprotokoll. 

WINS erfüllt für NetBIOS-Namen eine ähnliche Funktion wie DNS für Hostnamen. Viele 

Jahre lang war die WINS-Namensauflösung die übliche Methode für Windows-Computer, 

sich gegenseitig im Netzwerk zu identifizieren. In AD DS-Domänenumgebungen (Active 

Directory Domain Services) wird allerdings standardmäßig DNS benutzt, und WINS dient in 

erster Linie dazu, ältere Clients und Anwendungen zu unterstützen. 

In Umgebungen, die noch WINS-Server verwenden, ist Nblookup ein wertvolles Tool, um 

Probleme mit der WINS-Namensauflösung zu diagnostizieren. Nblookup ist nicht in Windows 

7 enthalten, steht aber als kostenloser Download über http://support.microsoft.com/kb/ 

830578 zur Verfügung. Nachdem Sie Nblookup.exe auf einem Computer gespeichert haben, 

können Sie doppelt auf die Datei klicken, um sie im interaktiven Modus innerhalb einer 

Eingabeaufforderung auszuführen. Stattdessen können Sie auch den Befehlszeilenmodus 

verwenden, bei dem Sie das Programm von einer beliebigen Eingabeaufforderung aus starten. 

Die folgenden Beispiele demonstrieren den Befehlszeilenmodus.


Nbtstat 

Mit dem folgenden Befehl können Sie einen NetBIOS-Namen über den WINS-Server abfragen, 

der für den Computer konfiguriert ist: 

nblookup Computername 

Wenn Sie einen NetBIOS-Namen über einen bestimmten WINS-Server auflösen lassen 

möchten, können Sie den Parameter /s Server_IP verwenden: 

nblookup /s Server_IP Computername 

Zum Beispiel können Sie mit dem folgenden Befehl den Namen COMPUTER1 über den 

WINS-Server an der Adresse 192.168.1.222 auflösen lassen: 

nblookup /s 192.168.1.222 COMPUTER1 

NetBIOS-Namen identifizieren eigentlich Dienste, keine Computer. Falls Sie versuchen, 

einen NetBIOS-Namen für einen bestimmten Dienst aufzulösen, können Sie den Parameter /x 

verwenden und das NetBIOS-Suffix des Dienstes angeben. Zum Beispiel sucht der folgende 

Befehl Domänencontroller (das entsprechende NetBIOS-Suffix lautet 1C) in einer Domäne 

namens DOMAIN: 

nblookup /x 1C DOMAIN 

Weil WINS normalerweise nicht für die Namensauflösung durch Windows 7 in AD DS- 

Umgebungen erforderlich ist, wird die Problembehandlung der WINS-Namensauflösung in 

diesem Anhang nicht weiter vertieft. Weitere Informationen finden Sie in Kapitel 8 des Buchs 

Windows Server 2008 Networking und Netzwerkzugriffsschutz von Joseph Davies und Tony 

Northrup (Microsoft Press, 2008). 

Nbtstat (Nbtstat.exe) ist ein Befehlszeilentool für die Problembehandlung bei der NetBIOS- 

Namensauflösung. NetBIOS ist ein Protokoll der Sitzungsschicht, das seit vielen Jahren die 

Grundlage von Microsoft-Netzwerkanwendungen bildet. NetBIOS-Anwendungen identifizieren 

Dienste im Netzwerk mithilfe eines 16 Zeichen langen NetBIOS-Namens. Jeder 

Computer in einem Netzwerk kann mehrere unterschiedliche NetBIOS-Namen haben, um 

die NetBIOS-Dienste auf diesem System zu identifizieren. 

Heutzutage wird NetBIOS in TCP/IP-Netzwerken mithilfe von NetBIOS über TCP/IP 

(NetBT) implementiert. NetBT enthält eine eigene Form der Namensauflösung, um Net- 

BIOS-Namen in IP-Adressen aufzulösen. Namen können durch Broadcastabfragen im 

lokalen Netzwerksegment oder durch Abfragen an einen WINS-Server aufgelöst werden. 

Leider ist die NetBIOS-Namensauflösung oft eine Problemquelle. Sie können mit Nbtstat 

anzeigen lassen, welche NetBIOS-Namen auf dem lokalen Computer oder Remotecomputern 

zur Verfügung stehen. Bei einer Problembehandlung hilft Ihnen das zu überprüfen, ob 

ein NetBIOS-Dienst zur Verfügung steht und ob sein Name richtig aufgelöst wird. 

Sie können sich den NetBIOS-Namenscache ansehen, indem Sie eine Eingabeaufforderung 


nbtstat -c


LAN-Verbindung: 

Knoten-IP-Adresse: [192.168.1.132] Bereichskennung: [] 

NetBIOS-Remotecache-Namentabelle 

Name Typ Hostadresse Dauer [Sek.] 

------------------------------------------------------------ 

WIN71 EINDEUTIG 192.168.1.196 602 

WIN72 EINDEUTIG 192.168.1.200 585 


Die lokalen NetBIOS-Dienstnamen können Sie sich anzeigen lassen, indem Sie eine Eingabeaufforderung 


nbtstat -n 




Lokale NetBIOS-Namentabelle 

Name Typ Status 

--------------------------------------------- 

WIN71 EINDEUTIG Registriert 

HQ GRUPPE Registriert 

HQ GRUPPE Registriert 

HQ EINDEUTIG Registriert 

..__MSBROWSE__. GRUPPE Registriert 

Die NetBIOS-Namen auf einem Remotesystem, das über seinen Computernamen angegeben 

wird, können Sie anzeigen, indem Sie eine Eingabeaufforderung öffnen und den folgenden 

Befehl ausführen: nbtstat –a Computername 

Zum Beispiel: 

nbtstat –a win71 




NetBIOS-Namentabelle des Remotecomputers 

Name Typ Status 

--------------------------------------------- 



MSHOME GRUPPE Registriert 

MSHOME GRUPPE Registriert 

MAC Adresse = 00-15-C5-08-82-F3


Net 

Beachten Sie, dass die Ausgaben ähnlich aussehen, wenn Sie nbtstat –n lokal ausführen. 

Diese Ausgabe zeigt aber auch die MAC-Adresse des Remotecomputers an. Sie können sich 

die NetBIOS-Namen auf einem Remotesystem, das über seine IP-Adresse angegeben wird, 

ansehen, indem Sie eine Eingabeaufforderung öffnen und den folgenden Befehl ausführen: 

nbtstat –A IP-Adresse 

Windows 7 bevorzugt (wie alle neueren Versionen von Windows) die Verwendung von DNS- 

Hostnamen gegenüber NetBIOS-Namen. Falls Sie daher eine AD DS-Domäne mit einem 

DNS-Server konfiguriert haben, werden Sie kaum vor das Problem gestellt, eine Problembehandlung 

für die Auflösung von NetBIOS-Namen durchzuführen. Windows verwendet 

aber unter Umständen noch NetBIOS-Namen, um mit Computern im lokalen Netzwerk zu 

kommunizieren. Daher verwendet es NetBIOS-Namen, falls ein Hostname nicht mit DNS 

aufgelöst werden kann und Sie einen WINS-Server konfiguriert haben. Für die Problembehandlung 

bei der NetBIOS-Namensauflösung mit WINS-Servern können Sie Nblookup 

verwenden, wie weiter oben in diesem Anhang beschrieben. 

Net (Net.exe) ist ein Befehlszeilentool, das nützlich ist, um Netzwerkkonfigurationseinstellungen 

zu ändern, Dienste zu starten und zu beenden und freigegebene Ressourcen anzuzeigen. 

Andere Tools bieten zwar eine benutzerfreundlichere Oberfläche für einen Großteil der 

Funktionalität, die Net zur Verfügung stellt, aber Net ist sehr nützlich, wenn Sie schnell 

ermitteln wollen, welche Ressourcen auf lokalen oder Remotecomputern freigegeben sind. 

Wenn Sie eine Problembehandlung für Verbindungen zu Ressourcen durchführen, ist dieses 

Tool nützlich, um zu überprüfen, ob freigegebene Ressourcen zur Verfügung stehen, und um 

die Namen dieser freigegebenen Ressourcen zu überprüfen. 

So zeigen Sie die Ordner an, die auf dem lokalen Computer freigegeben sind 

Mit dem Befehl net share können Sie freigegebene Ressourcen anzeigen, die auf dem lokalen 

Computer liegen. Falls der Serverdienst gestartet wurde, gibt Net eine Liste mit den Namen 

und Speicherorten der freigegebenen Ressourcen aus. Sie können freigegebene Ressourcen 

anzeigen, indem Sie eine Eingabeaufforderung öffnen und den folgenden Befehl ausführen: 

net share 


Name Ressource Beschreibung 

------------------------------------------------------------------------------- 

C$ C:\ Standardfreigabe 

D$ D:\ Standardfreigabe 

E$ E:\ Standardfreigabe 

print$ C:\Windows\system32\spool\drivers Druckertreiber 

IPC$ Remote-IPC 

ADMIN$ C:\Windows Remoteverwaltung 

MyShare C:\PortQryUI 

HP DeskJet 930C932C935C 

LPT1: Spooler HP DeskJet 930C/932C/935C 

Der Befehl wurde erfolgreich ausgeführt.

Netstat 


So zeigen Sie die Ordner an, die auf einem anderen Computer freigegeben sind 

Mit dem Befehl net view können Sie die freigegebenen Ressourcen anzeigen, die auf einem 

anderen Computer liegen. Sie können die freigegebenen Ordner auf anderen Computern 

anzeigen, indem Sie eine Eingabeaufforderung öffnen und den folgenden Befehl ausführen: 

net view Computer 

Zum Beispiel: 

net view d820 

Die Ausgabe dieses Befehls sieht ähnlich aus wie die folgende. 

Freigegebene Ressourcen auf d820 

Freigabename Typ Verwendet als Kommentar 

------------------------------------------------------------------------------- 

In Progress Platte 

Printer Drucker Microsoft Office Document Image Writer 

publish Platte 

SharedDocs Platte 

Software Platte 

Der Befehl wurde erfolgreich ausgeführt. 

Sie können den Computer als Computername, Hostname oder IP-Adresse angeben. Falls Sie 

die Fehlermeldung »Zugriff verweigert« erhalten, wenn Sie versuchen, sich die Freigaben 

auf einem Remotecomputer anzusehen, müssen Sie erst eine NetBIOS-Verbindung zum 

Remotecomputer aufbauen. Zum Beispiel können Sie mit net use eine Verbindung herstellen 

und dann net view eingeben, wie im folgenden Beispiel gezeigt: 

net use \\win7 /user:Benutzername 

net view win7 

Damit ein Netzwerkdienst eingehende Kommunikation empfangen kann, muss er einen bestimmten 

TCP- oder UDP-Port überwachen. Wenn Sie eine Behandlung von Netzwerkproblemen 

durchführen, ist es oft sinnvoll, sich anzusehen, welche Ports Ihr Computer auf 

eingehende Verbindungen überwacht. So können Sie sicherstellen, dass der Dienst richtig 

konfiguriert ist und dass die Portnummer nicht geändert wurde. 

Netstat (Netstat.exe) ist ein nützliches Befehlszeilentool, mit dem Sie Netzwerkdienste und 

die Ports, die sie überwachen, identifizieren können. Die Auflistung der Ports, die ein Computer 

überwacht, ist nützlich, um zu überprüfen, ob ein Netzwerkdienst den erwarteten Port 

benutzt. Es ist üblich, die Portnummern zu ändern, die Dienste überwachen, und Netstat 

kann schnell aufdecken, wenn Ports überwacht werden, die nicht der Standardeinstellung 

entsprechen. 

Sie können sich die offenen Ports und die aktiven eingehenden Verbindungen ansehen, 


netstat –a –n –o


Netstat zeigt eine Liste der überwachten Ports sowie der ausgehenden Verbindungen an und 

führt zu jedem Listener oder jeder Verbindung die Prozess-IDs (PIDs) auf. Die folgende 

gekürzte Ausgabe von Netstat zeigt die überwachten Ports auf einem Computer, bei dem 

Remotedesktop aktiviert ist: 

Aktive Verbindungen 

Proto Lokale Adresse Remoteadresse Status PID 

TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN 884 

TCP 0.0.0.0:3389 0.0.0.0:0 ABHÖREN 1512 

TCP 0.0.0.0:49152 0.0.0.0:0 ABHÖREN 592 

TCP 192.168.1.132:139 0.0.0.0:0 ABHÖREN 4 

TCP 192.168.1.132:3389 192.168.1.196:1732 HERGESTELLT 1512 

TCP [::]:135 [::]:0 ABHÖREN 884 

TCP [::]:445 [::]:0 ABHÖREN 4 

TCP [::]:2869 [::]:0 ABHÖREN 4 

TCP [::]:3389 [::]:0 ABHÖREN 1512 

UDP [fe80::28db:d21:3f57:fe7b%11]:1900 *:* 1360 

UDP [fe80::28db:d21:3f57:fe7b%11]:49643 *:* 1360 

UDP [fe80::a54b:d9d7:1a10:c1eb%10]:1900 *:* 1360 

UDP [fe80::a54b:d9d7:1a10:c1eb%10]:49641 *:* 1360 

Die durch Fettschrift hervorgehobene Zeile wartet auf eingehende Verbindungen auf TCP- 

Port 3389, der vom Remotedesktop benutzt wird. Weil die Spalte »Remoteadresse« eine 

IPv4-Adresse anzeigt, können Sie erkennen, dass ein Benutzer vom Computer mit der IP- 

Adresse 192.168.1.196 aus eine Remotedesktopverbindung mit dem Computer aufgebaut 

hat. Falls Sie feststellen, dass ein Computer unerwartete Ports auf eingehende Verbindungen 

überwacht, können Sie den Prozess mit dem Wert aus der Spalte »PID« identifizieren. Tools 

wie die Registerkarte Prozesse im Task-Manager verraten, welcher Prozess mit einer PID 

verknüpft ist. 

Hinweis Sie können Prozesse anhand einer PID im Task-Manager identifizieren, indem Sie 

die Registerkarte Prozesse aktivieren, den Menübefehl Ansicht/Spalten auswählen anklicken, 

das Kontrollkästchen PID (Prozess-ID) aktivieren und dann auf OK klicken. 

Falls Sie eine Eingabeaufforderung mit erhöhten Privilegien geöffnet haben, können Sie 

stattdessen auch den Parameter –b verwenden, um zu ermitteln, welche Anwendungen mit 

aktiven Verbindungen verknüpft sind. Das folgende Beispiel demonstriert, wie Sie Netstat 

mit dem Parameter –b aufrufen, sodass vor jeder Verbindung der zugehörige Prozess in 

Klammern angezeigt wird: 

netstat –a –n –o -b 

Aktive Verbindungen 

Proto Lokale Adresse Remoteadresse Status PID 

TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN 828 

RpcSs


[svchost.exe] 

TCP 0.0.0.0:3389 0.0.0.0:0 ABHÖREN 1444 

Dnscache 

[svchost.exe] 

TCP 0.0.0.0:49152 0.0.0.0:0 ABHÖREN 508 

[wininit.exe] 

TCP 0.0.0.0:49153 0.0.0.0:0 ABHÖREN 972 

Eventlog 

[svchost.exe] 

TCP 0.0.0.0:49154 0.0.0.0:0 ABHÖREN 1236 

nsi 

[svchost.exe] 

TCP 0.0.0.0:49155 0.0.0.0:0 ABHÖREN 1076 

Schedule 

[svchost.exe] 

TCP 0.0.0.0:49156 0.0.0.0:0 ABHÖREN 564 

[lsass.exe] 

TCP 0.0.0.0:49157 0.0.0.0:0 ABHÖREN 552 

[services.exe] 

TCP 169.254.166.248:139 0.0.0.0:0 ABHÖREN 4 

TCPView, als kostenloser Download von Microsoft erhältlich, bietet ähnliche Funktionen in 

einer grafischen Benutzeroberfläche. TCPView wird weiter unten in diesem Anhang beschrieben. 

Network Monitor 

Der Network Monitor 3.3, den Sie kostenlos von http://www.microsoft.com/downloads/ 

herunterladen können, ist das leistungsfähigste – und komplizierteste – Tool zum Analysieren 

der Netzwerkkommunikation. Der Network Monitor ist ein Protokoll-Analyzer (auch 

als Sniffer bezeichnet), der jedes Byte aufzeichnen kann, das zu oder von einem Windows 7- 

Computer übertragen wird. Ein erfahrener Systemadministrator kann mit dem Network 

Monitor eine Vielzahl von Problemen beseitigen, zum Beispiel: 

Probleme mit der Netzwerkleistung 

Probleme mit TCP-Verbindungen 

Probleme mit der Konfiguration des IP-Protokollstapels 

Probleme, die durch Netzwerkfilterung verursacht werden 

Probleme der Anwendungsschicht bei textbasierten Protokollen, zum Beispiel HTTP 

(Hypertext Transfer Protocol), POP (Post Office Protocol) und SMTP (Simple Mail 

Transfer Protocol) 

Der Network Monitor nimmt eine umfangreiche Interpretation der aufgezeichneten Informationen 

vor, indem er die unterschiedlichen Protokolle, die an der Netzwerkkommunikation 

beteiligt sind, zerlegt. Der Network Monitor kann sogar die meisten gebräuchlichen Protokolle 

der Anwendungsschicht interpretieren. Wenn der Network Monitor zum Beispiel HTTP- 

Verkehr analysiert, identifiziert er automatisch das Paket mit der HTTP-Anforderung und 

listet Anforderungsmethode, URL (Uniform Resource Locator), Referrer, Benutzeragenten


und andere Parameter auf, die in der Anforderung enthalten sind. Diese Informationen sind 

sehr nützlich für eine Behandlung von Kompatibilitätsproblemen mit einem bestimmten 

Browser. 

Gehen Sie folgendermaßen vor, um Netzwerkverkehr mithilfe des Network Monitors zu 

analysieren: 

1. Laden Sie den Network Monitor 3.3 herunter, installieren Sie ihn und starten Sie dann 

den Computer neu, um den Network Monitor-Treiber für Ihre Netzwerkkarten zu aktivieren. 

2. Klicken Sie im Startmenü auf Alle Programme, Microsoft Network Monitor3 und zuletzt 

auf Microsoft Network Monitor 3.3. 

3. Klicken Sie auf New Capture. 

4. Nun ist die Hauptregisterkarte New Capture ausgewählt. Klicken Sie auf die Registerkarte 

Select Networks und wählen Sie eine oder mehrere Netzwerkkarten aus. 

5. Klicken Sie auf die Schaltfläche Start, um die Kommunikation aufzuzeichnen. 

6. Wechseln Sie zu der Anwendung, deren Netzwerkverkehr Sie analysieren möchten, und 

führen Sie dann die Schritte durch, die erforderlich sind, um den gewünschten Verkehr 

zu generieren. Falls Sie zum Beispiel eine Anforderung an einen Webserver aufzeichnen 

möchten, müssen Sie zum Windows Internet Explorer wechseln und die Webadresse 

eingeben. Wechseln Sie zum Network Monitor zurück, nachdem Sie den Verkehr generiert 

haben, an dem Sie interessiert sind. 

7. Klicken Sie auf der Seite Network Conversations auf die Anwendung, die Sie überwachen 

wollen. 

8. Blättern Sie im Abschnitt Frame Summary die aufgezeichneten Frames durch. Klicken 

Sie einen Frame an, um sich seinen Inhalt anzusehen. 

Abbildung E.1 zeigt eine Aufzeichnung einer TCP-Verbindung und einer HTTP-Anforderung, 

die erstellt wurde, indem eine Website im Browser aufgerufen wird. Weil im Fensterabschnitt 

Network Conversations das Programm Iexplore.exe ausgewählt ist, werden nur 

Frames angezeigt, die an oder vom Internet Explorer gesendet wurden. Der Fensterabschnitt 

Frame Summary listet die aufgezeichneten Pakete auf. Die ersten drei Frames zeigen den 

Drei-Wege-TCP-Handshake. Wie Sie im Abschnitt Frame Details sehen, zeigt der ausgewählte 

Frame, dass der Internet Explorer eine Anforderung an den Webserver sendet. Der 

nächste Frame ist die Antwort, in diesem Fall eine HTTP-302-Umleitung auf eine andere 

Seite. In Frame 35 fordert der Internet Explorer die Seite /en/us/default.aspx an, zu der er 

umgeleitet wurde. 

Weitere Informationen Im Blog des Network Monitor-Teams unter http://blogs.technet.com/ 

netmon/ finden Sie weitere Informationen über den Network Monitor und Hinweise auf die 

neusten Verbesserungen.

Nslookup 


Abbildung E.1 Mit dem Network Monitor können Sie Verkehr aufzeichnen und analysieren 

Nslookup (Nslookup.exe) ist das Hauptwerkzeug, um Probleme mit der DNS-Namensauflösung 

zu isolieren. Sie müssen dazu mit dem Client verbunden sein, auf dem die Probleme 

auftreten. Nslookup ist ein Befehlszeilentool, das DNS-Lookups ausführen und die Ergebnisse 

melden kann. Andere Tools, zum Beispiel PathPing, können ebenfalls Hostnamen in 

IP-Adressen auflösen und die Ergebnisse anzeigen, aber nur Nslookup zeigt an, welcher 

DNS-Server benutzt wird, um die Anforderung aufzulösen. Außerdem zeigt Nslookup alle 

Ergebnisse an, die vom DNS-Server zurückgegeben werden, und erlaubt Ihnen, einen bestimmten 

DNS-Server auszuwählen, statt den Server zu verwenden, der automatisch von 

Windows gewählt wird. Nslookup ist das richtige Tool für eine Problembehandlung, wenn 

folgende Arten von Problemen auftreten: 

Clients benötigen mehrere Sekunden, um eine neue Verbindung aufzubauen. 

Einige Clients können eine Verbindung zu einem Server herstellen, andere Clients haben 

dagegen Probleme. 

Der DNS-Server ist richtig konfiguriert, aber Clients lösen Hostnamen falsch auf. 

Hinweis Die Datei Hosts im Ordner %WinDir%\System32\Drivers\Etc kann statische Einträge 

enthalten, die DNS-Lookups für die meisten Anwendungen überschreiben. Nslookup 

ignoriert diese Datei allerdings. Falls Anwendungen einen Hostnamen anders auflösen als


Nslookup, sollten Sie überprüfen, ob die Datei Hosts einen Eintrag für den Hostnamen enthält. 

Überprüfen, ob der Standard-DNS-Server richtig auflöst 

Sie können überprüfen, ob ein Client einen Hostnamen in die richtige IP-Adresse auflösen 

kann, indem Sie eine Eingabeaufforderung öffnen und den Befehl nslookup Hostname ausführen. 

Nslookup meldet, welcher Server benutzt wird, um die Anforderung aufzulösen, und 

welche Antwort der DNS-Server liefert. Falls der Client so konfiguriert wurde, dass er mehrere 

DNS-Server benutzt, kann diese Aktion verraten, dass der Client keine Anforderungen 

an den primären DNS-Server sendet. 

Sie können einen DNS-Hostnamen in eine IP-Adresse auflösen, indem Sie eine Eingabeaufforderung 


nslookup Hostname 

Sie können eine IP-Adresse in einen DNS-Hostnamen auflösen, indem Sie einen Reverse- 

DNS-Lookup durchführen. Öffnen Sie dazu eine Eingabeaufforderung und führen Sie den 

folgenden Befehl aus: 

nslookup IP-Adresse 

Falls der DNS-Server mehrere IP-Adressen zurückgibt, zeigt Nslookup alle diese Adressen 

an. Im Allgemeinen verwenden Anwendungen die erste IP-Adresse, die der DNS-Server 

zurückgegeben hat. Manche Anwendungen, zum Beispiel der Internet Explorer, versuchen, 

alle IP-Adressen zu erreichen, die vom DNS-Server zurückgegeben wurden, bis eine Antwort 

empfangen wird. 

Überprüfen, ob ein bestimmter DNS-Server richtig auflöst 

Eine der häufigsten Ursachen für Probleme mit der DNS-Auflösung ist die Zwischenspeicherung 

von veralteten DNS-Adressen. Insbesondere im Internet kommt es vor, dass DNS- 

Server noch mehrere Stunden, nachdem die Änderung an dem DNS-Server, der den Datensatz 

enthält, durchgeführt wurde, eine veraltete IP-Adresse zurückgeben. Falls einige Clients 

eine IP-Adresse nicht richtig auflösen können, aber andere Systeme keine Probleme damit 

haben, haben wahrscheinlich ein oder mehrere DNS-Server die falsche Adresse zwischengespeichert. 

Sie können diese DNS-Server identifizieren, indem Sie mit Nslookup von Hand 

jeden Server abfragen. 

Sie können überprüfen, ob ein bestimmter DNS-Server einen Hostnamen in die richtige IP- 

Adresse auflösen kann, indem Sie eine Eingabeaufforderung öffnen und den folgenden Befehl 

ausführen: 

nslookup Hostname Servername_oder_Adresse 

Nslookup fragt nur den angegebenen Server ab, unabhängig davon, welche DNS-Server auf 

dem Client konfiguriert sind. Falls ein bestimmter Server eine falsche IP-Adresse zurückgibt, 

ist dieser Server die Quelle des Problems. Im Allgemeinen löst sich dieses Problem von selbst, 

sobald die Lebensdauer des falschen Eintrags im Cache des DNS-Servers abgelaufen ist. Sie 

können das Problem aber auch von Hand lösen, indem Sie den Cache des DNS-Servers 

löschen.

Listen mit DNS-Datensätzen prüfen 

Tim Rains, Program Manager, Windows Networking 


Falls Sie häufig prüfen müssen, ob zahlreiche DNS-Datensätze auf zahlreichen DNS- 

Servern richtig aufgelöst werden, können Sie statt Nslookup das Tool DNSLint mit dem 

Parameter -ql aufrufen. Dieser Befehl kann die Namensauflösung für bestimmte DNS- 

Datensätze über viele DNS-Server sehr schnell testen. DNSLint kann auch bei der Behandlung 

einiger DNS-Probleme im Zusammenhang mit AD DS helfen. DNSLint steht 

als kostenloser Download von http://support.microsoft.com/kb/321045/ zur Verfügung. 

Überprüfen bestimmter Adresstypen 

Sie können mit Nslookup auch bestimmte Adresstypen überprüfen, zum Beispiel MX- 

Adressen (Mail eXchange), die Mailserver für eine Domäne identifizieren. 

Sie können den Mailserver für eine Domäne identifizieren, indem Sie eine Eingabeaufforderung 


nslookup "-set type=mx" Domänenname 

Wenn Sie zum Beispiel mit Nslookup über die Standard-DNS-Server des Clients alle MX- 

Server ermitteln wollen, die für die Domäne microsoft.com registriert sind, können Sie folgenden 

Befehl eingeben: 

nslookup "-set type=mx" microsoft.com 

Außerdem können Sie einen bestimmten DNS-Server abfragen, indem Sie den Servernamen 

oder die IP-Adresse hinter dem Domänennamen angeben: 

nslookup "-set type=type" Hostname Servername_oder_adresse 

Verwenden von TCP für DNS-Lookups 


Wenn ein DNS-Server eine Antwort auf eine DNS-Abfrage zurückgibt, aber die Antwort 

mehr DNS-Datensätze enthält, als in ein einziges UDP-Paket passen, kann der Client entscheiden, 

die Abfrage erneut zu senden, und zwar mit TCP statt UDP. Bei TCP können 

mehrere Pakete sämtliche DNS-Datensätze aus der Antwort liefern. Sie können mit Nslookup 

prüfen, ob ein DNS-Server auf UDP- oder TCP-Abfragen antwortet. Mit dem 

folgenden Befehl schicken Sie eine UDP-Abfrage an den DNS-Server: 

nslookup microsoft.com 

Der folgende Befehl verwendet TCP, um den DNS-Server abzufragen: 

nslookup "-set vc" microsoft.com 

Der Parameter -set vc konfiguriert Nslookup so, dass es einen virtuellen Circuit verwendet. 

Dieser Test kann insbesondere nützlich sein, wenn Sie erwarten, dass die Antwort auf 

eine Abfrage sehr viele DNS-Datensätze enthält.


PathPing 

Das wahrscheinlich nützlichste Tool, um Verbindungsprobleme vom Client zu isolieren, ist 

PathPing. Das Tool PathPing (PathPing.exe) kann helfen, Probleme mit Namensauflösung, 

Netzwerkkonnektivität, Routing und Netzwerkleistung zu diagnostizieren. Aus diesem Grund 

sollte PathPing eines der ersten Tools sein, mit dem Sie bei der Behandlung von Netzwerkproblemen 

arbeiten. PathPing ist ein Befehlszeilentool, seine Syntax ähnelt der von Tracert 

und Ping. 

Hinweis Der Nutzen von Ping hat sich in den letzten Jahren stark verringert, inzwischen ist 

es kein effektives Tool mehr, um den Status von Netzwerkdiensten zu ermitteln. Ping meldet 

oft, dass es einen verfügbaren Server nicht erreichen kann, weil eine Firewall, zum Beispiel 

die Windows-Firewall, so konfiguriert wurde, dass sie ICMP-Anforderungen (Internet Control 

Message Protocol) verwirft. Falls ein Host trotzdem auf ICMP-Anforderungen antworten 

kann, meldet Ping unter Umständen, dass der Remotehost verfügbar ist, selbst falls 

wichtige Dienste auf dem Remotehost ausgefallen sind. Um festzustellen, ob ein Remotehost 

antwortet, sollten Sie statt Ping das Tool Portqry verwenden. 

Sie können die Konnektivität zu einem Endpunkt testen, indem Sie eine Eingabeaufforderung 


pathping Ziel 

Das Ziel kann ein Hostname, Computername oder eine IP-Adresse sein. 

Ausgaben von PathPing 

PathPing zeigt seine Ausgaben in zwei Abschnitten an. Der erste Abschnitt wird sofort angezeigt 

und enthält eine nummerierte Liste aller Geräte zwischen Quelle und Ziel, die auf die 

Abfrage antworten. Das erste Gerät (es hat die Nummer 0) ist der Host, auf dem PathPing 

läuft. PathPing versucht, den Namen jedes Geräts zu ermitteln, wie hier gezeigt: 

Routenverfolgung zu support.go.microsoft.contoso.com [10.46.196.103] 


0 contoso-test [192.168.1.207] 

1 10.211.240.1 

2 10.128.191.245 

3 10.128.191.73 

4 10.125.39.213 

5 gbr1-p70.cb1ma.ip.contoso.com [10.123.40.98] 

6 tbr2-p013501.cb1ma.ip.contoso.com [10.122.11.201] 

7 tbr2-p012101.cgcil.ip.contoso.com [10.122.10.106] 

8 gbr4-p50.st6wa.ip.contoso.com [10.122.2.54] 

9 gar1-p370.stwwa.ip.contoso.com [10.123.203.177] 

10 10.127.70.6 

11 10.46.33.225 

12 10.46.36.210 

13 10.46.155.17 

14 10.46.129.51 

15 10.46.196.103


Sie können die Ausgabe von PathPing beschleunigen, indem Sie die Option –d angeben, 

damit PathPing nicht versucht, die Namen jeder dazwischen liegenden Routeradresse aufzulösen. 

Der zweite Abschnitt in der Ausgabe von PathPing beginnt mit der Meldung »Berechnung 

der Statistiken dauert ca. Sekunden«. Die Zeit, die PathPing für die Berechnung der 

Statistiken benötigt, kann sich von wenigen Sekunden bis zu einigen Minuten erstrecken, 

abhängig von der Zahl der gefundenen Geräte. Während dieser Zeit fragt PathPing jedes 

dieser Geräte ab und berechnet Leistungsstatistiken, die angeben, ob und wie schnell jedes 

Gerät antwortet. Dieser Abschnitt sieht zum Beispiel so aus: 

Berechnung der Statistiken dauert ca. 375 Sekunden... 

Quelle zum Abs. Knoten/Verbindung 

Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse 

0 contoso-test [192.168.1.207] 

0/ 100 = 0% | 

1 50ms 1/ 100 = 1% 1/ 100 = 1% 10.211.24.1 

0/ 100 = 0% | 

2 50ms 0/ 100 = 0% 0/ 100 = 0% 10.128.19.245 

0/ 100 = 0% | 

3 50ms 2/ 100 = 2% 2/ 100 = 2% 10.128.19.73 

0/ 100 = 0% | 

4 44ms 0/ 100 = 0% 0/ 100 = 0% 10.12.39.213 

0/ 100 = 0% | 

5 46ms 0/ 100 = 0% 0/ 100 = 0% gbr1-p70.cb1ma.ip.contoso.com [10.12.40.98] 

0/ 100 = 0% | 

6 40ms 2/ 100 = 2% 2/ 100 = 2% tbr2-p013501.cb1ma.ip.contoso.com [10.12.11.201] 

0/ 100 = 0% | 

7 62ms 1/ 100 = 1% 1/ 100 = 1% tbr2-p012101.cgcil.ip.contoso.com [10.12.10.106] 

0/ 100 = 0% | 

8 107ms 2/ 100 = 2% 2/ 100 = 2% gbr4-p50.st6wa.ip.contoso.com [10.12.2.54] 

0/ 100 = 0% | 

9 111ms 0/ 100 = 0% 0/ 100 = 0% gar1-p370.stwwa.ip.contoso.com [10.12.203.177] 

0/ 100 = 0% | 

10 118ms 0/ 100 = 0% 0/ 100 = 0% 10.12.70.6 

0/ 100 = 0% | 

11 --- 100/ 100 =100% 100/ 100 =100% 10.46.33.225 

0/ 100 = 0% | 

12 --- 100/ 100 =100% 100/ 100 =100% 10.46.36.210 

0/ 100 = 0% | 

13 123ms 0/ 100 = 0% 0/ 100 = 0% 10.46.155.17 

0/ 100 = 0% | 

14 127ms 0/ 100 = 0% 0/ 100 = 0% 10.46.129.51 

1/ 100 = 1% | 

15 125ms 1/ 100 = 1% 0/ 100 = 0% 10.46.196.103 

Ablaufverfolgung beendet.


In der Ausgabe von PathPing können Sie oft schnell die Quelle Ihrer Verbindungsprobleme 

identifizieren. Vielleicht ist es ein Namensauflösungs-, ein Routing-, ein Leistungs- oder ein 

Konnektivitätsproblem. Mithilfe von PathPing können Sie auch Konnektivitätsprobleme auf 

der Netzwerkschicht oder darunter als Ursache ausschließen. 

Routingschleifen 

Sie können mit PathPing Routingschleifen aufdecken. Solche Routingschleifen treten auf, 

wenn Verkehr zu einem Router zurückgeleitet wird, der ein bestimmtes Paket bereits weitergeleitet 

hat. Sie lassen sich daran erkennen, dass in der Ausgabe von PathPing ein Satz von 

Routern mehrmals wiederholt wird. Zum Beispiel weist die folgende Ausgabe auf eine Routingschleife 

zwischen den Routern mit den Adressen 10.128.191.245, 10.128.191.73 und 

10.125.39.213 hin: 

Routenverfolgung zu support.go.microsoft.contoso.com [10.46.196.103] 


0 contoso-test [192.168.1.207] 

1 10.211.240.1 

2 10.128.191.245 

3 10.128.191.73 

4 10.125.39.213 

5 10.128.191.245 

6 10.128.191.73 

7 10.125.39.213 

8 10.128.191.245 

9 10.128.191.73 

10 10.125.39.213 (... Rest gekürzt ...) 

Routingschleifen werden im Allgemeinen durch falsche Konfiguration von Routern oder 

Routingprotokollen verursacht. In einem solchen Fall muss eine Problembehandlung für die 

Netzwerkroutingausrüstung durchgeführt werden. 

Leistungsprobleme 

Die Spalte »Zeit« im Leistungsabschnitt innerhalb der Ausgabe von PathPing kann ein Leistungsproblem 

identifizieren. Diese Spalte zeigt die bidirektionale Latenz der Kommunikation 

mit dem jeweiligen Gerät in der Einheit Millisekunden, dies ist die sogenannte RTT (Round- 

Trip Time). Zwar zeigen alle Netzwerke allmählich zunehmende Latenz, wenn sich die Zahl 

der Abschnitte (hop) vergrößert, aber ein großer Latenzsprung von einem Abschnitt zum 

nächsten deutet auf Leistungsprobleme hin. 

Leistungsprobleme zeigen sich auch an einem hohen Prozentwert in der Spalte »Verl./Ges.= 

%«. Diese Spalte misst die Paketverluste. Paketverluste im einstelligen Bereich deuten im 

Allgemeinen noch nicht auf ein Problem hin, das Leistungs- oder Verbindungsprobleme 

verursacht, aber ein Paketverlust von über 30 Prozent bedeutet im Allgemeinen, dass der 

Netzwerkknoten Probleme verursacht.


Hinweis Falls für ein Netzwerkgerät ein Paketverlust von 100 Prozent angegeben wird, 

aber die Pakete in nachfolgenden Abschnitten verarbeitet werden, wurde das Netzwerkgerät 

so konfiguriert, dass es nicht auf PathPing-Abfragen antwortet. Das deutet nicht zwangsläufig 

auf ein Problem hin. 

Mögliche Konnektivitätsprobleme 

Falls das letzte Element im ersten Abschnitt der PathPing-Ausgabe ähnlich aussieht wie im 

folgenden Beispiel, konnte PathPing nicht direkt mit dem Ziel kommunizieren: 

14 * * * 

Das kann, muss aber nicht durch ein Verbindungsproblem verursacht sein. Das Gerät ist 

zwar unter Umständen offline oder nicht erreichbar, es ist aber auch denkbar, dass das Ziel 

(oder ein Netzwerkknoten auf dem Weg zum Ziel) so konfiguriert wurde, dass es die ICMP- 

Pakete verwirft, mit denen PathPing Geräte abfragt. ICMP ist bei vielen modernen Betriebssystemen 

in der Standardeinstellung deaktiviert. Außerdem deaktivieren viele Administratoren 

ICMP auch auf anderen Betriebssystemen von Hand. Das dient als Sicherheitsmaßnahme, 

die es böswilligen Angreifern schwerer machen soll, Knoten im Netzwerk zu identifizieren. 

Auch die Auswirkungen bestimmter Denial-of-Service-Angriffe können so verringert 

werden. 

Hinweis Die Windows-Firewall verwirft ICMP-Pakete auf öffentlichen Netzwerken standardmäßig. 

Sofern Sie daher keine Verbindung zu einem Domänencontroller herstellen oder 

das Netzwerk als privat konfigurieren, antwortet Windows in der Standardeinstellung nicht 

auf ICMP-Anforderungen. 

Falls PathPing das Ziel nicht erreichen kann, sollten Sie versuchen, über Telnet direkt mit 

der Anwendung zu kommunizieren, wie im Abschnitt »Telnet-Client« weiter unten in 

diesem Anhang beschrieben. 

Keine Konnektivitätsprobleme 

Falls die Ausgabe von PathPing angibt, dass PathPing erfolgreich mit dem Ziel kommunizieren 

konnte und die Zeit dafür unter 1000 Millisekunden liegt, bestehen wahrscheinlich 

keine Namensauflösungs- oder IP-Verbindungsprobleme zwischen Quelle und Ziel. Daher 

kann PathPing keine Probleme mit einem bestimmten Dienst oder einer bestimmten Anwendung 

aufklären. Zum Beispiel kann es sein, dass PathPing erfolgreich mit einem Webserver 

kommunizieren kann, obwohl die Webserverdienste beendet wurden. Weitere Informationen 

über die Behandlung von Anwendungsproblemen finden Sie im Abschnitt »So führen Sie 

eine Behandlung von Anwendungsverbindungsproblemen durch« weiter unten in diesem 

Anhang. 


Mit der Leistungsüberwachung (Abbildung E.2) können Sie Tausende von Echtzeitindikatoren 

mit Informationen über Ihren Computer oder einen Remotecomputer anzeigen. Bei 

einer Behandlung von Netzwerkleistungsproblemen können Sie sich mit der Leistungsüberwachung 

die aktuelle Bandbreitennutzung detaillierter aufgeschlüsselt ansehen, als das im


Task-Manager oder Ressourcenmonitor möglich ist. Außerdem bietet die Leistungsüberwachung 

Zugriff auf Indikatoren, die Wiederholungsversuche, Fehler und viele weitere 

Daten sammeln. 

Abbildung E.2 Die Leistungsüberwachung liefert detaillierte Netzwerkstatistiken in Echtzeit 

Die Leistungsüberwachung bietet Zugriff auf folgende Kategorien, deren Indikatoren für die 

Behandlung von Netzwerkproblemen nützlich sein können: 

.NET CLR-Netzwerk Zur Untersuchung der Netzwerkstatistiken für bestimmte .NET 

Framework-Anwendungen. Verwenden Sie diese Indikatoren, falls Sie anwendungsspezifische 

Netzwerkprobleme haben und die Anwendung auf dem .NET Framework basiert. 

BITS, Netzwerknutzung Liefert Statistiken zum intelligenten Hintergrundübertragungsdienst, 

mit dem Dateien im Hintergrund übertragen werden. Unter anderem verwendet 

Windows Update BITS, um Dateien zu übertragen. Verwenden Sie diese Indikatoren, 

falls Sie denken, dass ein Netzwerkleistungsproblem mit BITS-Übertragungen 

zu tun hat, oder falls BITS-Übertragungen nicht wie erwartet funktionieren. 

Suchdienst Liefert Statistiken über den Computerbrowserdienst, mit dem nach Netzwerkressourcen 

gesucht wird. Verwenden Sie diese Indikatoren nur, falls Sie eine Behandlung 

von Problemen beim Durchsuchen lokaler Netzwerke durchführen, insbesondere 

bei der Suche nach Ressourcen in Windows XP oder älteren Windows-Versionen. 

ICMP und ICMPv6 Stellt Statistiken über ICMP bereit. ICMP wird von Tools wie 

Ping, Tracert und PathPing verwendet. Verwenden Sie diese Indikatoren nur, falls Sie 

ICMP gezielt einsetzen, um die Netzwerkkonnektivität zu testen. 

IPsec-AuthIPv4, IPsec-AuthIPv6, IPsec-Treiber, IPsec-IKEv4 und IPsec-IKEv6 

Stellt IPsec-Statistiken (Internet Protocol Security) zur Verfügung. Verwenden Sie diese 

Indikatoren, falls Netzwerkprobleme auftreten und IPsec in Ihrer Umgebung aktiviert ist.


IPv4 und IPv6 Diese Kategorie liefert Informationen zur Schicht 3 des Netzwerks, 

zum Beispiel Fragmentierungsstatistiken. Falls Sie die Gesamtauslastung des Netzwerks 

überwachen wollen, sollten Sie stattdessen die Indikatoren aus der Kategorie »Netzwerkschnittstelle« 

verwenden. 

NBT-Verbindung Liefert Informationen über die Bytes, die im Rahmen von NetBIOS 

gesendet und empfangen wurden, zum Beispiel für Datei- und Druckerfreigabe. 

Netzwerkschnittstelle Die nützlichste Kategorie für die Problembehandlung. Sie enthält 

Indikatoren für den gesamten Netzwerkverkehr, der von einer bestimmten Netzwerkkarte 

gesendet oder empfangen wird. Diese Indikatoren sind die zuverlässigste Möglichkeit, 

die Gesamtauslastung des Netzwerks zu ermitteln. Indikatoren der Kategorie »Netzwerkschnittstelle« 

liefern auch Informationen über Fehler. 

Redirectordienst Liefert Statistiken, die vom Windows 7-Redirectordienst gesammelt 

werden, der Verkehr zu und von unterschiedlichen Netzwerkkomponenten weiterleitet. 

Die meisten dieser Indikatoren können Sie nur richtig interpretieren, wenn Sie detailliertes 

Wissen über den Netzwerkstack von Windows 7 besitzen. Der Leistungsindikator 

»Netzwerkfehler/s« kann aber bei der Diagnose von Netzwerkproblemen sehr nützlich 


Server Liefert Statistiken zur Freigabe von Dateien und Druckern, zum Beispiel die 

verbrauchte Bandbreite und die Zahl der Fehler. Verwenden Sie diese Indikatoren, wenn 

Sie eine Behandlung von Problemen mit der Datei- und Druckerfreigabe auf einem 

Server vornehmen. 

TCPv4 und TCPv6 Liefern Informationen über TCP-Verbindungen. Für die Problembehandlung 

besonders interessant sind die Leistungsindikatoren »Verbindungsfehler«, 

»Aktive Verbindungen« und »Hergestellte Verbindungen«. 

UDPv4 und UDPv6 Liefern Informationen über die UDP-Kommunikation. Verwenden 

Sie diese Indikatoren, um festzustellen, ob ein Computer UDP-Daten, zum Beispiel 

DNS-Anforderungen, sendet oder empfängt. Überwachen Sie die Leistungsindikatoren 

»Erhaltene Datagramme, kein Port/s« und »Erhaltene Datagramme, Fehler«, um festzustellen, 

ob ein Computer unangeforderten UDP-Verkehr erhält. 

Gehen Sie folgendermaßen vor, um die Leistungsüberwachung zu öffnen: 


2. Erweitern Sie den Knoten System, dann Leistung und schließlich Überwachungstools. 

Klicken Sie auf Leistungsüberwachung. 

3. Fügen Sie Leistungsindikatoren zum Echtzeitdiagramm hinzu, indem Sie die grüne Plus- 

Schaltfläche auf der Symbolleiste anklicken. 

Sammlungssätze 

Mit der Leistungsüberwachung können Sie zwar einen selbstdefinierten Satz Daten aufzeichnen, 

aber im Allgemeinen ist es schneller, einen der vordefinierten Sammlungssätze als Ausgangsbasis 

zu nehmen. Die Sammlungssätze System Diagnostics (Systemdiagnose) wie auch 

System Performance (Systemleistung) messen Netzwerkleistungsindikatoren, die möglicherweise 

über die Ursache von Netzwerkproblemen Auskunft geben.


Gehen Sie folgendermaßen vor, um einen Sammlungssatz zu verwenden: 



2. Erweitern Sie die Knoten Leistung, Sammlungssätze und dann System. 

3. Klicken Sie unter System mit der rechten Maustaste auf System Diagnostics (Systemdiagnose) 

und wählen Sie den Befehl Starten. 

4. Sobald Sie die Diagnoseablaufverfolgung aktiviert haben, sammelt Windows detaillierte 

Informationen über Netzwerkkarten und die Gesamtleistung des Betriebssystems. 

5. Versuchen Sie jetzt, bei laufender Ablaufverfolgung das Netzwerkproblem zu reproduzieren. 

Der Sammlungssatz zeichnet 60 Sekunden lang Daten auf. 

6. Windows benötigt einige Sekunden, um den Bericht zu generieren, nachdem Sie die 

Ablaufverfolgung beendet haben. Anschließend können Sie die gesammelten Informationen 

in Berichtsform ansehen (Abbildung E.3). Erweitern Sie dazu unter Leistung den 

Knoten Berichte. Erweitern Sie anschließend den Knoten System Diagnostics (Systemdiagnose) 

und klicken Sie auf den neusten Bericht. 

Abbildung E.3 Ablaufverfolgungsberichte zeigen detaillierte Informationen 

Abhängig vom Typ des Berichts finden Sie darin folgende Informationen: 

Computerhersteller und -modell 

Betriebssystemversion 

Liste aller Dienste mit ihrem aktuellen Status und ihrer Prozess-ID 

Informationen zu Netzwerkkartentreibern und Netzwerksystemdateien mit Versionsangaben 

Auslastung von Prozessor, Datenträgern, Netzwerk und Arbeitsspeicher

Gesamte Bandbreite jeder Netzwerkkarte 

Gesendete und empfangene Pakete 

Aktive TCPv4- und TCPv6-Verbindungen 



Windows 7 stellt den Ressourcenmonitor zur Verfügung, damit Sie Prozessor-, Datenträger-, 

Netzwerk- und Arbeitsspeicherauslastung verfolgen können. Es gibt zwei Möglichkeiten, 

den Ressourcenmonitor zu öffnen: 

Klicken Sie im Startmenü auf Alle Programme, Zubehör, Systemprogramme und schließlich 

auf Ressourcenmonitor. 

Öffnen Sie den Task-Manager. Klicken Sie auf die Registerkarte Leistung und dann auf 

Ressourcenmonitor. 

Bei der Behandlung von Netzwerkproblemen ist der Abschnitt Netzwerk innerhalb des Ressourcenmonitors 

am interessantesten. Der Abschnitt Netzwerk zeigt an, wie viele Bytes pro 

Minute jeder Prozess auf Ihrem Computer verbraucht. Anhand dieser Informationen können 

Sie einen Prozess identifizieren, der große Datenmengen überträgt, und ihn beenden, falls er 

nicht über das Netzwerk kommunizieren soll. Gehen Sie folgendermaßen vor, um einen 

Prozess, der Netzwerkauslastung verursacht, zu identifizieren und zu beenden: 

1. Öffnen Sie den Ressourcenmonitor. 

2. Erweitern Sie den Abschnitt Netzwerk. Klicken Sie auf den Spaltenkopf Total, um die 

Prozessliste nach dem Bandbreitenverbrauch zu sortieren. 

3. Der oberste Prozess sendet und empfängt die meisten Daten. Notieren Sie sich den Prozessnamen 

(in der Spalte Abbild), die Prozess-ID (Spalte PID) und den Remotecomputer 

(Spalte Adresse). Falls diese Informationen ausreichen, um den Prozess zu identifizieren, 

können Sie die Anwendung jetzt schließen. 

4. Falls es sich bei dem Prozess um Svchost.exe handelt, können Sie unter Umständen nicht 

erkennen, welche konkrete Anwendung den Netzwerkverkehr verursacht, weil es ein 

Windows-Feature ist (beziehungsweise ein Windows-Feature für die Kommunikation 

genutzt wird). Falls es ein anderer Prozess ist, können Sie den Task-Manager öffnen. 

5. Klicken Sie im Task-Manager auf die Registerkarte Prozesse und dann im Menü Ansicht 

auf Spalten auswählen. 

6. Aktivieren Sie im Dialogfeld Spalten für die Prozessseite auswählen das Kontrollkästchen 

für PID (Prozess-ID). Klicken Sie auf OK. 

7. Klicken Sie auf die Spalte PID, um die Liste nach der Prozess-ID zu sortieren. Klicken 

Sie auf den Prozess mit der PID, die Sie im Ressourcenmonitor als Verursacher des 

Netzwerkverkehrs identifiziert haben. Wird die PID nicht aufgeführt, müssen Sie auf 

Prozesse aller Benutzer anzeigen klicken. 

8. Identifizieren Sie den Dienst, indem Sie ihn mit der rechten Maustaste anklicken und 

den Befehl Zu Dienst(en) wechseln wählen. Beenden Sie den Prozess, indem Sie auf die 

Schaltfläche Prozess beenden klicken.

570 Anhang E: Behandlung von Problemen mit Netzwerken 

Ping 

In den meisten Fällen hat eine Anwendung, die große Datenmengen sendet oder empfängt, 

dafür einen konkreten Anlass, und Sie sollten sie nicht beenden. In bestimmten Fällen kann 

es aber sein, dass dieser Prozess mit Malware zu tun hat. Überprüfen Sie, ob auf dem Computer 

Windows Defender aktiviert ist und ob auf dem aktuellsten Stand ist. 

Der Nutzen von Ping ist heutzutage beschränkt, weil die meisten neuen Computer Ping- 

Anforderungen (die ICMP benutzen) verwerfen. Daher kann es passieren, dass Sie einen 

Computer, der an ein Netzwerk angeschlossen ist, mit Ping überprüfen, aber keine Antwort 

erhalten. Andererseits kann es auch sein, dass ein Computer auf Ping-Anforderungen antwortet, 

eine Firewall aber allen anderen Verkehr verwirft, sodass Sie irrtümlich glauben, die 

Konnektivität wäre vorhanden. 

Ping ist aber nach wie vor das beste Tool, um mit einfachen Mitteln die Netzwerkkonnektivität 

regelmäßig zu testen. Nachdem Sie mit PathPing Netzwerkhosts identifiziert haben, die 

auf ICMP-Anforderungen reagieren, können Sie mit Ping regelmäßig Ping-Anforderungen 

schicken und somit ganz einfach feststellen, ob Sie momentan Konnektivität zu diesem Host 

haben. Falls Sie gelegentliche Verbindungsprobleme haben, verrät eine Ping-Schleife jederzeit, 

ob Ihre Verbindung aktiv ist. 

Führen Sie den folgenden Befehl aus, um eine Ping-Schleife zu starten: 

ping –t Hostname 

Zeilen mit der Meldung »Antwort von« zeigen, dass das Paket erfolgreich gesendet wurde, 

die Meldung »Zeitüberschreitung der Anforderung« dagegen, dass der Computer keine 

Antwort vom Remotehost erhalten hat. Das folgende Beispiel zeigt, wie Sie die Verbindung 

zu einem Host an der IP-Adresse 192.168.1.1 überwachen können: 

ping –t 192.168.1.1 

Ping wird ausgeführt für 192.168.1.1 mit 32 Bytes Daten: 


Antwort von 192.168.1.1: Bytes=32 Zeit

Portqry 

Suchen von Blackhole-Routern 



Ping kann nützlich sein, um festzustellen, ob Router auf dem Pfad Blackhole-Router sind, 

die alle Datagramme verwerfen, die eine bestimmte Größe überschreiten. Weitere Informationen 

finden Sie unter http://support.microsoft.com/kb/314825. 

Wenn Sie Ping aus einem Windows PowerShell-Skript heraus aufrufen wollen, können Sie 

das Cmdlet Test-Connection verwenden. Es bietet praktisch dieselbe Funktion wie Ping, hat 

aber den Vorteil, dass Sie mit dem Parameter –Source festlegen können, dass die ICMP- 

Anforderung von einem Remotecomputer aus gesendet wird. 

Fragen Sie wichtige Dienste auf einem Remotehost ab, um festzustellen, ob dieser Remotehost 

verfügbar und der Zugriff möglich ist. Sie können zwei Problembehandlungswerkzeuge 

verwenden, um Dienste auf einem Remotehost abzufragen: Portqry (Portqry.exe) und den 

Telnet-Client. Portqry ist flexibler und einfacher zu bedienen als der Telnet-Client. Da es 

allerdings nicht in Windows enthalten ist, ist es möglicherweise nicht auf allen Systemen 

installiert (es kann aber von der Microsoft-Website heruntergeladen werden). Den Telnet- 

Client sollten Sie nur verwenden, um Remotedienste abzufragen, falls Portqry nicht zur 

Verfügung steht. 

PortQry Version 1.22 ist ein Dienstprogramm zum Testen der TCP/IP-Konnektivität, das in 

den Supporttools für Windows Server 2003 enthalten ist. Hinweise zum Download dieser 

Tools finden Sie unter http://support.microsoft.com/kb/892777. PortqryV2.exe ist eine neue 

Version von PortQry, die alle Features und Funktionen der Vorgängerversion bietet und sie 

durch neue Features und Funktionen erweitert. Informationen über PortqryV2.exe sowie 

eine Downloadmöglichkeit finden Sie unter http://support.microsoft.com/kb/832919. Die 

folgenden Beispiele können Sie mit beiden Versionen ausführen. 

Hinweis Informationen über PortQryUI, eine Benutzeroberfläche für den ursprünglichen 

Befehlszeilen-Portscanner Portqry.exe, finden Sie unter http://support.microsoft.com/kb/ 

310099; der Artikel enthält auch einen Downloadlink für dieses Tool. 

Identifizieren des TCP-Ports für einen Dienst 

Ein einziger Computer kann viele Netzwerkdienste hosten. Diese Dienste trennen ihren jeweiligen 

Verkehr mithilfe von Portnummern. Wenn Sie die Konnektivität zu einer Anwendung 

mithilfe von Portqry testen, müssen Sie dabei angeben, welche Portnummer die 

Zielanwendung verwendet. 

Hinweis Die meisten Dienste erlauben dem Administrator, eine andere Portnummer als in 

der Standardeinstellung festzulegen. Falls der Dienst nicht auf der Standardportnummer 

antwortet, sollten Sie überprüfen, ob er vielleicht nicht so konfiguriert ist, dass er eine andere 

Portnummer verwendet. Sie können Netstat auf dem Server starten, um die überwachten 

Ports aufzulisten. Weitere Informationen finden Sie im Abschnitt »Netstat« weiter oben in 

diesem Anhang.


Eine Liste gebräuchlicher Portnummern finden Sie im Abschnitt »So führen Sie eine 

Behandlung von Netzwerkverbindungsproblemen durch« weiter unten in diesem Anhang. 

Testen der Dienstkonnektivität 

Sobald Sie die Portnummer für den Dienst identifiziert haben, können Sie mit Portqry die 

Konnektivität zu diesem Dienst testen. Sie können die Konnektivität zu einem Dienst testen, 


portqry –n Ziel –e Portnummer 

Zum Beispiel können Sie die HTTP-Konnektivität zu www.microsoft.com testen, indem Sie 

den folgenden Befehl eingeben: 

portqry -n www.microsoft.com –e 80 

Dieser Befehl liefert eine Ausgabe, die zum Beispiel so aussieht: 


www.microsoft.com 

Attempting to resolve name to IP address... 

Name resolved to 10.209.68.190 

TCP port 80 (http service): LISTENING 

Das Ziel kann als Hostname, Computername oder IP-Adresse angegeben werden. Falls die 

Antwort das Wort »LISTENING« enthält, hat der Host auf der angegebenen Portnummer 

geantwortet. Falls die Antwort »NOT LISTENING« oder »FILTERED« enthält, steht der 

Dienst, den Sie testen, nicht zur Verfügung. 

Hinweis Netcat ist ein hervorragendes Tool, das nicht von Microsoft stammt. Sie können 

damit die Verbindung zu bestimmten Ports testen oder prüfen, welche Ports ein Computer 

auf Verbindungen überwacht. Netcat ist ein Open-Source-Tool, das kostenlos unter http:// 

netcat.sourceforge.net/ zur Verfügung steht. 

Bestimmen der verfügbaren Remoteverwaltungsprotokolle 

Wenn Sie eine Problembehandlung für einen Computer im Remotezugriff durchführen, 

müssen Sie oft feststellen, welche Remoteverwaltungsprotokolle verfügbar sind. Portqry 

kann die Standardportnummern für wichtige Remoteverwaltungsprotokolle testen und 

herausfinden, welche Protokolle zur Verfügung stehen. 

Sie können feststellen, welche Verwaltungsprotokolle auf einem Remotehost verfügbar sind, 


portqry –n Ziel –o 32,139,445,3389 

Dieser Befehl überprüft beim Remotehost, ob Telnet-Server, NetBIOS, CIFS (Common 

Internet File System) und der Remotedesktop zur Verfügung stehen.

Route 

Angeben des Quellports 



Mit der Portqry-Option -sp können Sie angeben, welchen Quellport Sie verwenden wollen, 

um die Konnektivität zu testen. Verwenden Sie diesen Parameter, um den ursprünglichen 

Quellport anzugeben, wenn Sie die Verbindung zu den angegebenen TCP- und UDP-Ports 

auf dem Zielcomputer herstellen. Diese Funktionalität ist nützlich, wenn Sie Firewall- 

oder Routerregeln testen, die Ports anhand der Quellports filtern. 

Die folgende Portqry-Ausgabe verrät, dass das Remotesystem auf NetBIOS-, CIFS- und 

Remotedesktopanforderungen antwortet, aber nicht auf Telnet-Anforderungen: 


192.168.1.200 

Attempting to resolve IP address to a name... 

IP address resolved to CONTOSO-SERVER 

TCP port 32 (unknown service): NOT LISTENING 

TCP port 139 (netbios-ssn service): LISTENING 

TCP port 445 (microsoft-ds service): LISTENING 

TCP port 3389 (unknown service): LISTENING 

Warum Portqry großartig ist 


Der wichtigste Vorteil, den Portqry gegenüber dem Telnet-Client und ähnlichen Tools 

bietet, ist die Unterstützung für UDP-basierte Dienste. Der Telnet-Client kann nur 

Konnektivität mit TCP-Ports testen. Mit Portqry können Sie neben TCP-Ports auch UDP- 

Ports testen. Unter anderem kann Portqry die UDP-Ports für LDAP (Lightweight Directory 

Access Protocol), RPC (Remote Procedure Calls), DNS, NetBIOS-Namendienst, 

SNMP (Simple Network Management Protocol), Microsoft Internet Security and Acceleration 

(ISA), SQL Server 2000 Named Instances, TFTP (Trivial File Transfer Protocol) 

und L2TP (Layer Two Tunneling Protocol) testen. 

Alle IP-basierten, vernetzten Geräte, dazu zählen auch Computer, haben Routingtabellen. 

Routingtabellen beschreiben das lokale Netzwerk, Remotenetzwerke und Gateways, über 

die Sie Verkehr zwischen Netzwerken weiterleiten können. In Netzwerken mit einem einzigen 

Gateway ist die Routingtabelle ganz simpel. Sie gibt an, dass lokaler Verkehr direkt an 

das LAN gesendet werden soll, Verkehr an irgendein anderes Netzwerk dagegen an das 

Gateway. 

Manche Netzwerke haben aber mehrere Gateways. Zum Beispiel kann es sein, dass Sie in 

einem LAN zwei Gateways haben: eines, das ins Internet führt, und ein anderes, das zu 

einem privaten Netzwerk führt. In diesem Fall muss die Routingtabelle des lokalen Computers 

beschreiben, dass bestimmte Netzwerke durch das interne Gateway verfügbar sind 

und alle anderen Netzwerke durch das Internetgateway.


Hinweis Ein Clientcomputer wird in Remotezugriffsszenarien meist mit mehreren Routen 

konfiguriert. Insbesondere wenn ein Client eine VPN-Verbindung (Virtual Private Network) 

verwendet, kann es getrennte Routen für die Netzwerke geben, die durch die VPN-Verbindung 

verfügbar sind, wohingegen jeglicher anderer Verkehr direkt ins Internet gesendet wird. 

Normalerweise werden Windows-Computer automatisch mit der richtigen Routingtabelle 

konfiguriert. Zum Beispiel konfigurieren Netzwerkadministratoren den DHCP-Server, um 

ein Standardgateway zuzuweisen. Wenn eine VPN-Verbindung hergestellt wird, liefert der 

VPN-Server Routinginformationen, die Windows 7 verwendet, um die Routingtabellen zu 

aktualisieren. Daher brauchen Sie den Befehl Route nur selten zu verwenden, um die Routingtabelle 

anzusehen oder zu aktualisieren. 

Falls Sie allerdings Verbindungsprobleme haben und mit einem Remotenetzwerk verbunden 

sind oder Ihr lokales Netzwerk mehrere Gateways hat, können Sie mit dem Befehl Route 

Routingprobleme diagnostizieren und sogar unterschiedliche Routingkonfigurationen testen. 

Sie können sich die IPv4- und IPv6-Routingtabellen des lokalen Computers ansehen, indem 

Sie eine Eingabeaufforderung öffnen und den folgenden Befehl ausführen: 

route print 


=========================================================================== 

Schnittstellenliste 

11 ...00 80 c8 ac 0d 9e ...... D-Link AirPlus DWL-520+ Wireless PCI Adapter 

8 ...00 13 d3 3b 50 8f ...... NVIDIA nForce Networking Controller 

1 ........................... Software Loopback Interface 1 

9 ...02 00 54 55 4e 01 ...... Teredo Tunneling Pseudo-Interface 

12 ...00 00 00 00 00 00 00 e0 isatap.{B1A1A1DE-A1E5-4ED6-B597-7667C85F8999} 

13 ...00 00 00 00 00 00 00 e0 isatap.hsd1.nh.comcast.net. 

=========================================================================== 

IPv4-Routentabelle 

=========================================================================== 

Aktive Routen: 

Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik 

0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.132 20 

127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306 











224.0.0.0 240.0.0.0 Auf Verbindung 169.254.166.248 286





=========================================================================== 

Ständige Routen: 

Keine 

IPv6-Routentabelle 

=========================================================================== 

Aktive Routen: 

If Metrik Netzwerkziel Gateway 

9 18 ::/0 Auf Verbindung 

1 306 ::1/128 Auf Verbindung 

9 18 2001::/32 Auf Verbindung 

9 266 2001:0:4136:e37a:14fc:39dc:3f57:fe7b/128 

Auf Verbindung 

8 276 fe80::/64 Auf Verbindung 



12 296 fe80::5efe:169.254.166.248/128 


13 281 fe80::5efe:192.168.1.132/128 


9 266 fe80::14fc:39dc:3f57:fe7b/128 


8 276 fe80::41e9:c80b:416d:717c/128 


11 286 fe80::c038:ad1f:3cc6:a6f8/128 


1 306 ff00::/8 Auf Verbindung 




=========================================================================== 

Ständige Routen: 

Keine 

Um die Routingkonfiguration richtig interpretieren zu können, benötigen Sie Fachwissen zur 

Funktionsweise von IP-Netzwerken. Sie können allerdings schnell Standardrouten für Verkehr 

identifizieren, der an Ihr Standardgateway gesendet wird: Suchen Sie dazu die aktive 

Route mit dem Netzwerkziel und der Netzwerkmaske 0.0.0.0 für IPv4-Routen und eine aktive 

Route mit dem Präfix ::/0 für IPv6-Routen. Andere aktive Routen, denen ein Gateway zugewiesen 

ist, sorgen dafür, dass Verkehr an das jeweilige Netzwerkziel und die angegebene 

Netzwerkmaske durch dieses Gateway gesendet wird. Dabei wird die Route bevorzugt, die 

den kleinsten Metrikwert hat. 

Falls Sie die IPv4-Routingtabelle von Hand aktualisieren müssen (normalerweise sollten Sie 

stattdessen Änderungen an der Netzwerkinfrastruktur vornehmen, die dem Client die Routen 

zugewiesen hat), können Sie die Befehle route add, route change und route delete verwenden.


Weitere Informationen erhalten Sie, indem Sie in einer Eingabeaufforderung den Befehl 

route -? eingeben. 

Wenn Sie die IPv6-Routingtabelle aktualisieren wollen, müssen Sie die Befehle netsh 

interface ipv6 add|set|delete route verwenden. 

Task-Manager 

Der Task-Manager (Taskmgr.exe) ist ein GUI-Tool, mit dem Sie einen Prozess oder eine 

Anwendung, die nicht mehr reagiert, anzeigen und beenden können. Sie können mit dem 

Task-Manager auch andere Informationen sammeln, zum Beispiel CPU-Statistiken. 

Sie können den Task-Manager starten, indem Sie im Startmenü den Befehl Taskmgr eingeben 

und dann die EINGABETASTE drücken. Stattdessen können Sie mit der rechten Maustaste 

auf die Taskleiste klicken und den Befehl Task-Manager wählen. 

Das Fenster Windows Task-Manager enthält sechs Registerkarten: Anwendungen, Prozesse, 

Dienste, Leistung, Netzwerk und Benutzer. 

Die Registerkarten Anwendungen und Prozesse listen die Anwendungen beziehungsweise 

Prozesse auf, die momentan auf Ihrem System aktiv sind. Diese Listen sind nützlich, 

weil aktive Aufgaben nicht immer eine Benutzeroberfläche anzeigen, sodass es 

schwierig sein kann, Aktivitäten zu erkennen. Der Task-Manager zeigt aktive Prozesse 

an und erlaubt Ihnen, die meisten Elemente zu beenden, indem Sie auf die Schaltfläche 

Prozess beenden klicken. Einige Prozesse können Sie nicht sofort beenden. In solchen 

Fällen können Sie das Snap-In Dienste oder Taskkill verwenden, um sie zu beenden. Sie 

können den Task-Manager auch anpassen, um mehr oder weniger Details auf der Registerkarte 

Prozesse anzuzeigen. 

Abbildung E.4 Auf der Registerkarte Dienste können Sie 

Dienste anhand ihrer PID identifizieren und beenden 

Die Registerkarte Dienste zeigt laufende Dienste und ihre PID an. Falls Sie feststellen, 

dass eine bestimmte PID Netzwerkressourcen verbraucht und Sie die PID auf dieser 

Registerkarte finden, wissen Sie, dass ein Dienst die Netzwerkbelastung verursacht. Sie


können einen Dienst beenden, indem Sie ihn mit der rechten Maustaste anklicken und 

den Befehl Dienst beenden wählen (Abbildung E.4). 

Die Registerkarte Leistung stellt die Prozessor- und Arbeitsspeicherauslastung grafisch 

dar. Ein Blick auf diese Registerkarte verrät schnell die Gesamtbelastung durch alle Programme 

und Dienste auf dem Computer. Die Registerkarte Leistung zeigt auch zentrale 

Leistungsindikatoren, darunter die Zahl der Prozesse, die Zahl der Threads und der insgesamt 

im System installierten Hardwarespeicher. 

Die Registerkarte Netzwerk zeigt die Belastung aller Netzwerkschnittstellen. 

Auf der Registerkarte Benutzer können Sie aktive Benutzer trennen und abmelden. 

Gehen Sie folgendermaßen vor, um sich detaillierte Informationen über Prozesse anzusehen: 

1. Starten Sie den Task-Manager und klicken Sie auf die Registerkarte Prozesse. 

2. Klicken Sie optional auf Prozesse aller Benutzer anzeigen. 

3. Wählen Sie den Menübefehl Ansicht/Spalten auswählen. 

4. Aktivieren oder deaktivieren Sie die Spalten, die Sie zur Registerkarte Prozesse hinzufügen 

oder daraus entfernen wollen. 

5. Klicken Sie auf OK, um zum Task-Manager zurückzukehren. 

Gehen Sie folgendermaßen vor, um die Ursache für eine hohe Prozessorauslastung zu 

ermitteln: 

1. Starten Sie den Task-Manager und klicken Sie auf die Registerkarte Leistung. 

2. Wählen Sie im Menü Ansicht den Befehl Kernel-Zeiten anzeigen (sofern noch nicht 

aktiviert). 

3. Sehen Sie sich das Diagramm Verlauf der CPU-Auslastung an. Falls das Diagramm Werte 

anzeigt, die nahe 100 Prozent liegen, verbrauchen ein oder mehrere Prozesse den Großteil 

der Rechenkapazität des Computers. Die rote Linie zeigt an, wie viel Prozent des 

Prozessors durch den Kernel ausgelastet werden; dazu gehören auch Treiber. Wird der 

Großteil der CPU-Zeit vom Kernel verbraucht, sollten Sie überprüfen, ob Sie signierte 

Treiber verwenden und die neusten Versionen aller Treiber installiert haben. Ist dagegen 

nicht der Kernel für den Großteil der Prozessorauslastung verantwortlich, sollten Sie mit 

dem nächsten Schritt fortfahren, um herauszufinden, um welchen Prozess es sich handelt. 

4. Klicken Sie auf die Registerkarte Prozesse. 

5. Klicken Sie zweimal auf den Spaltenkopf CPU, um die Prozesse nach der Prozessorbelastung 

zu sortieren, sodass der Prozess, der die höchste Belastung verursacht, am 

Anfang der Liste steht. 

Der Prozess oder die Prozesse, die die Prozessorbelastung verursachen, zeigen hohe Werte 

in der Spalte CPU. Wenn der Prozessor nicht stark belastet wird, zeigt der Systemleerlaufprozess 

die höchste CPU-Auslastung. 

Gehen Sie folgendermaßen vor, um die PID einer Anwendung zu finden: 

1. Starten Sie den Task-Manager und stellen Sie sicher, dass die Spalte PID auf der Registerkarte 

Prozesse angezeigt wird. Ist das nicht der Fall, können Sie den Menübefehl 

Ansicht/Spalten auswählen wählen und dann das Kontrollkästchen PID (Prozess-ID) 

aktivieren. Klicken Sie auf OK.


TCPView 

2. Klicken Sie auf die Registerkarte Anwendungen. 

3. Klicken Sie mit der rechten Maustaste auf die Anwendung und dann auf Zu Prozess 

wechseln. 

Der Task-Manager zeigt daraufhin die Registerkarte Prozesse an. Der mit der Anwendung 

verknüpfte Prozess wird markiert. Die Prozess-ID wird in der Spalte PID angezeigt. 

Gehen Sie folgendermaßen vor, um einen Prozess zu beenden: 

1. Starten Sie den Task-Manager und klicken Sie auf die Registerkarte Prozesse. 

2. Klicken Sie mit der rechten Maustaste auf den Prozess, den Sie beenden wollen, und 

wählen Sie im Kontextmenü den Befehl Prozess beenden. 

Der Task-Manager versucht nun, den Prozess zu beenden. Falls das im Task-Manager nicht 

gelingt, können Sie Taskkill verwenden. 

Sie können die Netzwerkauslastung ermitteln, indem Sie den Task-Manager starten und 

dann auf die Registerkarte Netzwerk klicken. Der Task-Manager zeigt die Auslastung für 

jede Netzwerkkarte an. Der Prozentsatz für die Auslastung wird als Verhältnis zur gemeldeten 

Geschwindigkeit des Adapters berechnet. In den meisten Fällen sind Netzwerkkarten 

nicht in der Lage, 100 Prozent Auslastung zu erreichen, der Maximalwert liegt gewöhnlich 

bei 60 bis 70 Prozent. 

TCPView (Abbildung E.5) überwacht in Echtzeit sowohl eingehende als auch ausgehende 

Verbindungen und Anwendungen, die Verbindungen entgegennehmen. Mit TCPView können 

Sie genau ermitteln, zu welchen Servern und welchen Portnummern ein Client Verbindungen 

herstellt oder welche Clients Verbindungen zu einem bestimmten Server aufnehmen. 

Abbildung E.5 Mit TCPView können Sie Netzwerkverbindungen 

in Echtzeit überwachen

Telnet-Client 


Sie können TCPView unter http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx 

herunterladen. TCPView brauchen Sie nicht zu installieren. Kopieren Sie einfach die ausführbare 

Datei in einen Ordner, aus dem Anwendungen gestartet werden dürfen (zum Beispiel 

C:\Program Files\), und klicken Sie dann doppelt auf Tcpview.exe. TCPView bringt außerdem 

Tcpvcon.exe mit, ein Befehlszeilentool, das einen ähnlichen Funktionsumfang bietet. 

Der Telnet-Client ist zwar nicht in erster Linie ein Problembehandlungstool, er ist aber sehr 

nützlich, um festzustellen, ob TCP-basierte Netzwerkdienste von einem Client aus erreichbar 

sind. Die am häufigsten benutzten Netzwerkdienste arbeiten TCP-basiert, zum Beispiel 

Webdienste, Maildienste und Dateiübertragungsdienste. Der Telnet-Client ist nicht nützlich 

für die Problembehandlung UDP-basierter Netzwerkdienste, zum Beispiel von DNS und 

vielen Mediastreaming-Protokollen. 

Der Telnet-Client wird in Windows 7 nicht standardmäßig installiert. Sie können ihn installieren, 

indem Sie in einer Eingabeaufforderung mit administrativen Privilegien folgenden 


start /w pkgmgr /iu:"TelnetClient" 

Stattdessen können Sie ihn auch folgendermaßen installieren: 


2. Klicken Sie auf Programme. 

3. Klicken Sie auf Windows-Funktionen ein- oder ausschalten. 

4. Aktivieren Sie im Dialogfeld Windows-Funktionen das Kontrollkästchen Telnet-Client. 

Klicken Sie auf OK. 

Der Telnet-Client ist nur nützlich, um festzustellen, ob ein Dienst erreichbar ist. Er liefert 

keine Informationen, die Sie für die Problembehandlung bei Namensauflösung, Netzwerkleistung 

oder Netzwerkverbindung nutzen können. Verwenden Sie den Telnet-Client erst, 

nachdem Sie mit Ping ausgeschlossen haben, dass das Problem durch Fehler in der Namensauflösung 

verursacht wird. Weitere Informationen über Ping finden Sie im Abschnitt »Ping« 

weiter oben in diesem Anhang. 

Testen der Dienstkonnektivität 

Sobald Sie die Portnummer für den Dienst identifiziert haben, können Sie mit dem Telnet- 

Client die Konnektivität zu diesem Dienst testen. Sie können die Konnektivität zu einem 

Dienst testen, indem Sie eine Eingabeaufforderung öffnen und den folgenden Befehl ausführen: 

telnet Ziel Portnummer 

Wenn Sie zum Beispiel die HTTP-Konnektivität zu www.microsoft.com testen wollen, 

können Sie den folgenden Befehl eingeben: 

telnet www.microsoft.com 80 

Das Ziel können Sie als Hostname, Computername oder IP-Adresse angeben. Die Antwort, 

die Sie erhalten, zeigt, ob eine Verbindung eingerichtet wurde. Falls Sie die Meldung »Es 

konnte keine Verbindung mit dem Host hergestellt werden« erhalten, hat der Host über die


Test TCP 

angegebene Portnummer nicht auf die Anforderung nach einer Verbindung geantwortet. Der 

Dienst, den Sie testen, ist somit nicht erreichbar. 

Falls Sie irgendeine andere Antwort erhalten (es kann auch sein, dass der gesamte Text im 

Eingabeaufforderungsfenster gelöscht wird), wurde die Verbindung erfolgreich hergestellt. 

Damit können Sie ausschließen, dass das Problem durch ein Konnektivitätsproblem zwischen 

dem Client und dem Server verursacht wird. Abhängig vom Dienst, den Sie testen, 

trennt der Telnet-Client die Verbindung automatisch oder die Sitzung bleibt offen. Beide 

Fälle bedeuten, dass erfolgreich eine Verbindung aufgebaut wurde. Falls die Telnet-Clientsitzung 

offen bleibt, sollten Sie die Verbindung im Telnet-Client trennen und schließen. 

Gehen Sie folgendermaßen vor, um die Verbindung im Telnet-Client zu trennen: 

1. Drücken Sie die Tastenkombination STRG+]. 

2. Warten Sie, bis die Eingabeaufforderung »Microsoft Telnet>« erscheint, und geben Sie 

dann ein: 

quit 

Mit dem Tool Test TCP können Sie TCP-Verbindungen einleiten und auf TCP-Verbindungen 

warten. Sie können Test TCP auch für UDP-Verkehr verwenden. Mit Test TCP können Sie 

einen Computer so konfigurieren, dass er einen bestimmten TCP- oder UDP-Port überwacht, 

ohne die entsprechende Anwendung oder den Dienst auf dem Computer installieren zu 

müssen. So können Sie die Netzwerkkonnektivität für bestimmte Verkehrsarten testen, bevor 

die Dienste tatsächlich bereitgestellt werden. 

Test TCP (Ttcp.exe) ist ein Tool, mit dem Sie TCP-Segmentdaten oder UDP-Nachrichten 

zwischen zwei Knoten entgegennehmen oder senden können. Ttcp.exe wird im Ordner 

Valueadd\Msft\Net\Tools der Produkt-CD-ROM von Windows Server 2003 oder Windows 

XP Service Pack 2 geliefert. 

Test TCP unterscheiden sich von Portqry in folgenden Punkten: 

Mit Test TCP können Sie einen Computer so konfigurieren, dass er einen bestimmten 

TCP- oder UDP-Port überwacht, ohne die Anwendung oder den Dienst auf dem Computer 

installieren zu müssen. So können Sie die Netzwerkkonnektivität für bestimmte 

Verkehrsarten testen, bevor die Dienste tatsächlich bereitgestellt werden. Zum Beispiel 

können Sie mit Test TCP den Domänenreplikationsverkehr zu einem Computer austesten, 

bevor Sie den Computer zu einem Domänencontroller machen. 

Test TCP unterstützt auch IPv6-Verkehr. 

Wenn Sie einen TCP-Port benutzen, lautet die grundlegende Syntax für Ttcp.exe am überwachenden 

Knoten (Empfängerseite): 

ttcp -r -pPort 

Die Syntax zum Überwachen eines UDP-Ports lautet: 

ttcp -r –pPort -u 

Nachdem Sie Test TCP im Empfangsmodus gestartet haben, wartet das Tool unbegrenzt 

lange auf eine Übertragung, sodass Sie nicht direkt zur Eingabeaufforderung zurückkommen. 

Wenn Sie zum ersten Mal mit Test TCP auf einem Windows 7-Computer Verbindungen ent-


gegennehmen wollen, bekommen Sie unter Umständen eine Meldung, dass Sie eine Windows-Firewall-Ausnahme 

erstellen müssen. Sie müssen diese Ausnahme anlegen, ansonsten 

funktioniert Test TCP nicht. Falls Sie sich entscheiden, die Anwendung nicht mehr zu blockieren, 

erlaubt die Windows-Firewall in Zukunft jeglichen Verkehr an diesen Computer 

über den angegebenen Port. Daher brauchen Sie künftig keine neue Ausnahme für diesen 

Netzwerktyp mehr zu erstellen, selbst falls Sie einen anderen Port überwachen. 

Wenn Sie einen TCP-Port benutzen, lautet die grundlegende Syntax für Ttcp.exe am sendenden 

Knoten: 

ttcp -t -pPort Hostname 

Und die Syntax für einen UDP-Port lautet: 

ttcp -t –pPort -u Hostname 

Falls die beiden Computer miteinander kommunizieren können, gibt der sendende Computer 

Meldungen aus, die zum Beispiel so aussehen: 

ttcp-t: Win7 -> 192.168.1.132 

ttcp-t: local 192.168.1.196 -> remote 192.168.1.132 

ttcp-t: buflen=8192, nbuf=2048, align=16384/+0, port=81 tcp -> Win7 

ttcp-t: done sending, nbuf = -1 

ttcp-t: 16777216 bytes in 1423 real milliseconds = 11513 KB/sec 

ttcp-t: 2048 I/O calls, msec/call = 0, calls/sec = 1439, bytes/call = 8192 

Gleichzeitig erscheinen auf dem empfangenden Computer folgende Ausgaben: 

ttcp-r: local 192.168.1.132 remote 10.46.20.60 

ttcp-t: buflen=8192, nbuf=2048, align=16384/+0, port=80 tcp -> www.microsoft.com 

send(to) failed: 10053 

ttcp-t: done sending, nbuf = 2037 

ttcp-t: 81920 bytes in 16488 real milliseconds = 4 KB/sec 

ttcp-t: 11 I/O calls, msec/call = 1498, calls/sec = 0, bytes/call = 7447 

In diesem Beispiel war die TCP-Verbindung erfolgreich, obwohl die Ausgaben die Meldung 

»send(to) failed« (Senden fehlgeschlagen) enthalten. Falls die Verbindung nicht erfolgreich 

war, enthalten die Ausgaben die Meldung »connection refused« (Verbindung verweigert). 

Manche Server antworten auch einfach nicht auf ungültige Kommunikation, dann bleibt der


Test TCP-Sender einfach hängen, während er auf eine Antwort vom Server wartet. Sie 

können Test TCP mit der Tastenkombination STRG+C abbrechen. 

Jede Instanz von Test TCP kann nur einen einzigen Port überwachen oder an einen Port 

senden. Sie können das Tool allerdings in mehreren Eingabeaufforderungen starten, um an 

mehrere Ports zu senden oder mehrere Ports zu überwachen. Weitere Informationen zu 

Befehlszeilenoptionen erhalten Sie, indem Sie in der Eingabeaufforderung ttcp eingeben. 

Windows-Netzwerkdiagnose 

Die Behandlung von Netzwerkproblemen ist kompliziert, insbesondere für Endbenutzer. 

Viele Benutzer entdecken Netzwerkprobleme, wenn sie versuchen, eine Webseite mit dem 

Internet Explorer zu besuchen. Falls die Webseite nicht verfügbar ist, gibt der Internet Explorer 

die Meldung »Die Webseite kann nicht angezeigt werden« aus. Das Problem kann 

aber viele Ursachen haben: 

Der Benutzer hat die Adresse der Webseite falsch eingetippt. 

Der Webserver ist nicht verfügbar. 

Die Internetverbindung des Benutzers steht nicht zur Verfügung. 

Das LAN des Benutzers steht nicht zur Verfügung. 

Die Netzwerkkarte des Benutzers ist falsch konfiguriert. 

Die Netzwerkkarte des Benutzers ist ausgefallen. 

Es ist wichtig, dass der Benutzer die Ursache des Problems kennt. Falls zum Beispiel der 

Webserver nicht verfügbar ist, braucht der Benutzer nichts zu unternehmen. Er muss einfach 

warten, bis der Webserver wieder in Betrieb ist. Falls die Internetverbindung ausgefallen ist, 

muss der Benutzer möglicherweise seinen Internetprovider anrufen, um das Problem beseitigen 

zu lassen. Falls die Netzwerkkarte des Benutzers ausgefallen ist, sollte er versuchen, 

sie zurückzusetzen, und sich wegen weiterer Hilfe an den technischen Support seines Computerherstellers 

wenden. 

Die Windows-Netzwerkdiagnose und die zugrundeliegende Windows-Problembehandlungsplattform 

helfen dem Benutzer dabei, Netzwerkkonnektivitätsprobleme zu diagnostizieren 

und in einigen Fällen auch zu beseitigen. Wenn Windows 7 Netzwerkprobleme feststellt, 

fragt es beim Benutzer nach, ob er sie diagnostizieren will. Zum Beispiel zeigt der Internet 

Explorer einen Link an, mit dem die Windows-Netzwerkdiagnose gestartet wird, falls ein 

Webserver nicht verfügbar ist, und das Netzwerk- und Freigabecenter zeigt einen Diagnoselink 

an, falls ein Netzwerk nicht zur Verfügung steht. 

Anwendungen können dem Benutzer anbieten, die Windows-Netzwerkdiagnose zu öffnen, 

falls Verbindungsprobleme auftreten. Sie starten die Windows-Netzwerkdiagnose von Hand, 

indem Sie das Netzwerk- und Freigabecenter öffnen, auf Probleme beheben klicken und den 

angezeigten Anweisungen folgen. Im Unterschied zu vielen anderen Tools, die in diesem 

Anhang beschrieben werden, wurde die Windows-Netzwerkdiagnose mit dem Ziel entwickelt, 

auch für Personen nützlich zu sein, die keine Experten für Netzwerktechnologien sind.

Der Ablauf bei der Behandlung von Netzwerkproblemen 583 

Der Ablauf bei der Behandlung von Netzwerkproblemen 

Die meisten Benutzer fassen unter dem Begriff Verbindungsprobleme eine Vielzahl von Problemen 

zusammen, zum Beispiel eine ausgefallene Netzwerkverbindung, eine Anwendung, 

die aufgrund von Firewallfilterung keine Verbindung herstellen kann, und bedenkliche Leistungsprobleme. 

Daher besteht der erste Schritt bei der Behandlung von Verbindungsproblemen 

darin, die näheren Umstände des Verbindungsproblems zu identifizieren. 

Gehen Sie folgendermaßen vor, um die Ursache eines Verbindungsproblems zu ermitteln. 

Beantworten Sie dabei die Fragen, bis Sie auf einen anderen Abschnitt verwiesen werden: 

1. Öffnen Sie das Netzwerk- und Freigabecenter, indem Sie in der Taskleiste auf das Netzwerksymbol 

klicken und den Befehl Netzwerk- und Freigabecenter öffnen wählen. Klicken 

Sie unten auf der Seite auf Probleme beheben und folgen Sie dann den angezeigten 

Anweisungen. Falls die Windows-Netzwerkdiagnose das Problem nicht identifizieren 

oder beseitigen kann, sollten Sie die Informationen an Microsoft senden, um mitzuhelfen, 

die Windows-Netzwerkdiagnose weiter zu verbessern. Folgen Sie dann den weiteren 

Schritten in dieser Anleitung. 

2. Sie versuchen, eine Verbindung zu einem Drahtlosnetzwerk herzustellen, aber Ihr Verbindungsversuch 

wird zurückgewiesen? Lesen Sie in diesem Fall im Abschnitt »So führen 

Sie eine Behandlung von Problemen in Drahtlosnetzwerken durch« weiter unten in diesem 

Anhang weiter. 

3. Versuchen Sie, eine Verbindung zu einem Remotenetzwerk über eine VPN-Verbindung 

herzustellen, aber Ihr Verbindungsversuch wird zurückgewiesen? Lesen Sie in diesem 

Fall »Troubleshooting Common VPN Related Errors« unter http://blogs.technet.com/ 

rrasblog/archive/2009/08/12/troubleshooting-common-vpn-related-errors.aspx. 

4. Können Sie gelegentlich auf die Netzwerkressource zugreifen, aber sie ist unzuverlässig 

oder langsam? Lesen Sie in diesem Fall den Abschnitt »So führen Sie eine Behandlung 

von Leistungsproblemen und sporadischen Konnektivitätsproblemen durch« in diesem 

Anhang. 

5. Können Sie auf andere Netzwerkressourcen zugreifen, wenn Sie andere Anwendungen 

benutzen, zum Beispiel E-Mail oder andere Websites? Falls nicht, haben Sie ein Netzwerkverbindungsproblem 

oder ein Namensauflösungsproblem. Falls Sie Server über die 

IP-Adresse, aber nicht über den Hostnamen erreichen können, sollten Sie den Abschnitt 

»So führen Sie eine Behandlung von Namensauflösungsproblemen durch« weiter unten 

in diesem Anhang lesen. Falls Server auch dann nicht verfügbar sind, wenn Sie eine IP- 

Adresse angeben, oder Sie die IP-Adresse nicht kennen, sollten Sie den Abschnitt »So 

führen Sie eine Behandlung von Netzwerkverbindungsproblemen durch« weiter unten in 

diesem Anhang lesen. 

6. Versuchen Sie, einer Domäne beizutreten oder sich mit einem Domänenkonto an Ihrem 

Computer anzumelden, erhalten aber eine Fehlermeldung, dass der Domänencontroller 

nicht verfügbar ist? Lesen Sie in diesem Fall den Abschnitt »So führen Sie eine Behandlung 

von Beitritts- oder Anmeldeproblemen in einer Domäne durch« weiter unten in 

diesem Anhang. 

7. Öffnen Sie eine Eingabeaufforderung und führen Sie den Befehl Nslookup Servername aus. 

Falls Nslookup keine Meldung wie die folgende anzeigt, haben Sie ein Namensauflö-


sungsproblem. Lesen Sie in diesem Fall den Abschnitt »So führen Sie eine Behandlung 

von Namensauflösungsproblemen durch« weiter unten in diesem Anhang. 


Nicht-autorisierende Antwort: 


Addresses: 10.46.232.182, 10.46.130.117 

8. Versuchen Sie, eine Verbindung zu einem freigegebenen Ordner herzustellen? Lesen Sie 

in diesem Fall den Abschnitt »So führen Sie eine Behandlung von Problemen mit der 

Datei- und Druckerfreigabe durch« weiter unten in diesem Anhang. 

9. Falls andere Netzwerkanwendungen funktionieren und die Namensauflösung erfolgreich 

ist, haben Sie unter Umständen ein Firewallproblem. Lesen Sie in diesem Fall den Abschnitt 

»So führen Sie eine Behandlung von Anwendungsverbindungsproblemen durch« 


So führen Sie eine Behandlung von Netzwerkverbindungsproblemen durch 

Falls Sie ein Netzwerkverbindungsproblem haben, können Sie überhaupt keine Netzwerkressourcen 

erreichen, die normalerweise über das ausgefallene Netzwerk verfügbar sind. 

Falls zum Beispiel Ihre Internetverbindung ausgefallen ist, können Sie nicht auf Internetressourcen 

zugreifen, aber immer noch auf Ressourcen in Ihrem LAN. Falls dagegen Ihr LAN 

ausfällt, können Sie auf gar nichts mehr zugreifen. Die meisten Netzwerkverbindungsprobleme 

haben eine der folgenden Ursachen: 

Ausgefallene Netzwerkkarte 

Ausgefallene Netzwerkhardware 

Ausgefallene Netzwerkverbindung 

Beschädigte Netzwerkkabel 

Falsch konfigurierte Netzwerkhardware 

Falsch konfigurierte Netzwerkkarte 

Hinweis Wenn nur eine einzige Netzwerkressource ausgefallen ist, nehmen viele Benutzer 

fälschlicherweise an, dass gleich das gesamte Netzwerk ausgefallen ist. Zum Beispiel verhindert 

ein ausgefallener DNS-Server, dass Ihr Computer Hostnamen auflösen kann. Das 

führt dazu, dass der Computer keine Ressourcen mehr im Netzwerk anhand ihrer Namen 

finden kann. Und falls ein Benutzer immer nur auf seinen E-Mail-Server als einzige Netzwerkressource 

zugreift und dieser Server ausgefallen ist, sieht es für den Benutzer vielleicht 

so aus, als wäre seine Konnektivität völlig ausgefallen. Um zu vermeiden, dass Sie Zeit mit 

dem Versuch verschwenden, das falsche Problem zu beheben, beginnen die Anleitungen in 

diesem Anhang immer damit, die Ursache für das Problem zu isolieren. 

Wenn Sie die ausgefallene Komponente isoliert haben, können Sie sich daran machen, das 

konkrete Problem zu beseitigen oder an das entsprechende Supportteam weiterzuleiten. Falls 

Sie zum Beispiel feststellen, dass die Netzwerkkarte ausgefallen ist, müssen Sie beim Hardwarehersteller 

Ersatz anfordern. Falls Sie feststellen, dass die Internetverbindung ausgefal-


len ist, müssen Sie mit Ihrem Internetprovider Kontakt aufnehmen. Gehen Sie folgendermaßen 

vor, um die Ursache für ein Netzwerkverbindungsproblem zu isolieren: 

1. Öffnen Sie das Netzwerk- und Freigabecenter, indem Sie in der Taskleiste auf das Netzwerksymbol 

klicken und den Befehl Netzwerk- und Freigabecenter öffnen wählen. Klicken 

Sie unten auf der Seite auf Probleme beheben und folgen Sie dann den angezeigten 

Anweisungen. Falls die Windows-Netzwerkdiagnose das Problem nicht identifiziert oder 

beseitigt, müssen Sie die nächsten Schritte durchgehen. 

2. Öffnen Sie eine Eingabeaufforderung auf dem Computer, auf dem die Probleme auftreten. 

Führen Sie den Befehl ipconfig /all aus. Sehen Sie sich die Ausgabe an: 

Falls keine Netzwerkkarten aufgelistet werden, ist auf dem Computer entweder gar 

keine Netzwerkkarte installiert oder (wahrscheinlicher) es ist kein gültiger Treiber 

dafür installiert. Lesen Sie in diesem Fall Anhang D, »Problembehandlung für Hardware, 

Treiber und Laufwerke«. 

Falls alle Netzwerkkarten unter »Medienstatus« die Meldung »Medium getrennt« 

anzeigen, ist der Computer nicht mit einem Netzwerk verbunden. Falls Sie ein Drahtlosnetzwerk 

verwenden, sollten Sie im Abschnitt »So führen Sie eine Behandlung 

von Problemen in Drahtlosnetzwerken durch« weiter unten in diesem Anhang weiterlesen. 

Falls Sie ein Kabelnetzwerk verwenden, sollten Sie die beiden Enden des 

Netzwerkskabels abziehen und wieder einstecken. Falls das Problem weiterhin 

besteht, sollten Sie das Netzwerkkabel austauschen. Versuchen Sie, mit demselben 

Netzwerkkabel eine Verbindung zu einem anderen Computer herzustellen. Falls der 

andere Computer erfolgreich eine Verbindung herstellt, ist beim ersten Computer die 

Netzwerkkarte ausgefallen. Falls keiner der Computer eine erfolgreiche Verbindung 

herstellen kann, hat das Problem mit der Netzwerkverkabelung, dem Netzwerkswitch 

oder dem Netzwerkhub zu tun. Ersetzen Sie die Netzwerkhardware, sofern 

erforderlich. 

Falls die Netzwerkkarte eine IPv4-Adresse im Bereich von 169.254.0.1 bis 

169.254.255.254 hat, hat der Computer eine APIPA-Adresse. Das bedeutet, dass der 

Computer so konfiguriert ist, dass er einen DHCP-Server verwendet, dass aber keiner 

zur Verfügung stand. Führen Sie mit administrativen Anmeldeinformationen die folgenden 

Befehle in einer Eingabeaufforderung aus: 



ipconfig /all 

Falls die Netzwerkkarte nun immer noch eine APIPA-Adresse hat, ist der DHCP- 

Server offline. Aktivieren Sie einen DHCP-Server und starten Sie den Computer 

dann neu. Falls das Netzwerk keinen DHCP-Server verwendet, müssen Sie eine 

statische oder alternative IPv4-Adresse konfigurieren, die Ihnen das Netzwerkadministrationsteam 

oder Ihr Internetprovider nennt. Weitere Informationen über 

Ipconfig finden Sie im Abschnitt »Ipconfig« weiter oben in diesem Anhang. 

Falls alle Netzwerkkarten in der Ausgabe des Befehls ipconfig /all die Meldung 

»DHCP aktiviert: Nein« anzeigen, ist die Netzwerkkarte unter Umständen falsch 

konfiguriert. Falls DHCP deaktiviert ist, hat der Computer eine statische IPv4- 

Adresse, was für Clientcomputer eine ungewöhnliche Konfiguration ist. Aktualisieren 

Sie die IPv4-Konfiguration der Netzwerkkarte, sodass die Optionen IP-Adresse


automatisch beziehen und DNS-Serveradresse automatisch beziehen aktiviert 

sind (Abbildung E.6). 

Abbildung E.6 In den meisten Netzwerken sollte 

der Client die IP-Adresse automatisch beziehen 

Konfigurieren Sie dann die Registerkarte Alternative Konfiguration im IP-Eigenschaftendialogfeld 

mit Ihrer aktuellen, statischen IP-Konfiguration. 

3. Wenn Sie bei diesem Schritt angekommen sind, wissen Sie, dass Ihr Computer eine 

gültige, über DHCP zugewiesene IPv4-Adresse hat und im LAN kommunizieren kann. 

Daher beruhen alle Verbindungsprobleme auf ausgefallener oder falsch konfigurierter 

Netzwerkhardware. Sie können zwar nicht viel tun, um das Problem von einem Windows-Client 

aus zu beseitigen, aber Sie können es immerhin diagnostizieren. Sehen Sie 

sich die Ausgabe des Befehls Ipconfig an und identifizieren Sie die IPv4-Adresse Ihres 

Standardgateways. Überprüfen Sie, ob sich die IPv4-Adresse des Standardgateways im 

selben Subnetz befindet wie die IP-Adresse der Netzwerkkarte. Falls sie nicht im selben 

Subnetz liegt, ist die Adresse des Standardgateways falsch: Das Standardgateway muss 

im selben Subnetz sein wie die IPv4-Adresse des Clientcomputers. 

Hinweis Um festzustellen, ob eine IPv4-Adresse im selben Subnetz liegt wie die IPv4- 

Adresse Ihres Computers, müssen Sie sich erst Ihre Subnetzmaske ansehen. Falls Ihre 

Subnetzmaske 255.255.255.0 ist, müssen Sie die ersten drei Zahlengruppen (die sogenannten 

Oktette) in den IPv4-Adressen vergleichen (zum Beispiel 192.168.1 oder 

10.25.2). Falls sie genau übereinstimmen, befinden sich die beiden IPv4-Adressen im 

selben Subnetz. Falls Ihre Subnetzmaske 255.255.0.0 ist, müssen Sie die beiden ersten 

Oktette vergleichen. Falls Ihre Subnetzmaske 255.0.0.0 ist, müssen Sie nur das erste 

Oktett vergleichen (die erste Zahlengruppe vor dem Punkt in der IP-Adresse). Falls 

irgendeine Zahl in der Subnetzmaske zwischen 0 und 255 liegt, brauchen Sie eine binäre 

Berechnung und den AND-Operator, um festzustellen, ob die beiden Adressen sich im 

selben Subnetz befinden.


4. Versuchen Sie, mit folgendem Befehl einen Ping-Test an das Standardgateway zu 

schicken: 

ping Standardgateway_IP_Adresse 

Nehmen wir als Beispiel die folgende Ausgabe des Befehls Ipconfig: 


Verbindungsspezifisches DNS-Suffix: hsd1.nh.contoso.com. 

Verbindungslokale IPv6-Adresse . : fe80::1ccc:d0f4:3959:7d74%10 

IPv4-Adresse. . . . . . . . . . . : 192.168.1.132 

Subnetzmaske . . . . . . . . . . : 255.255.255.0 


Sie führen in diesem Beispiel den folgenden Befehl aus: 

ping 192.168.1.1 

Falls die Ergebnisse von Ping die Meldung »Zeitüberschreitung der Anforderung« enthalten, 

ist bei Ihrem Computer entweder die falsche IP-Adresse für Ihr Standardgateway 

konfiguriert oder Ihr Standardgateway ist offline oder blockiert ICMP-Anforderungen. 

Falls die Ergebnisse von Ping die Meldung »Antwort von ...« enthalten, ist Ihr Standardgateway 

richtig konfiguriert und das Problem tritt an anderer Stelle im Netzwerk auf. 

Hinweis Ping ist kein zuverlässiges Tool, um festzustellen, ob Computer oder Netzwerkgeräte 

im Netzwerk verfügbar sind. Heutzutage konfigurieren viele Administratoren 

aus Sicherheitsgründen ihre Geräte so, dass sie nicht auf Ping-Anforderungen reagieren. 

Ping ist aber nach wie vor das zuverlässigste Tool, um Router zu testen. Die meisten 

Administratoren konfigurieren Router so, dass sie auf Ping-Anforderungen aus dem 

lokalen Netzwerk antworten. Es ist sinnvoll, einen Ping-Test an Ihr Netzwerkgerät zu 

schicken, während alles einwandfrei funktioniert. Auf diese Weise stellen Sie fest, ob es 

unter normalen Bedingungen antwortet. 

5. Testen Sie mit dem Befehl Tracert, ob Sie mit Geräten außerhalb Ihres LANs kommunizieren 

können. Sie können dafür irgendeinen Server in einem Remotenetzwerk ansprechen. 

Dieses Beispiel verwendet den Host www.microsoft.com: 

tracert www.microsoft.com 

Routenverfolgung zu www.microsoft.com [10.46.19.30] 


0 win7.hsd1.nh.contoso.com. [192.168.1.132] 

1 192.168.1.1 

2 c-3-0-ubr01.winchendon.ma.boston.contoso.com [10.165.8.1] 

3 ge-3-37-ur01.winchendon.ma.boston.contoso.com [10.87.148.129] 

4 ge-1-1-ur01.gardner.ma.boston.contoso.com [10.87.144.225] 

5 10g-9-1-ur01.sterling.ma.boston.contoso.com [10.87.144.217] 

Die Zeile mit dem Index 0 steht für Ihren Clientcomputer. Die Zeile 1 ist das Standardgateway. 

Die Zeilen ab 2 sind Router außerhalb Ihres LANs.


Falls Sie die Meldung »Der Zielname konnte nicht aufgelöst werden« erhalten, ist 

Ihr DNS-Server nicht erreichbar, weil der DNS-Server offline ist, Ihr Clientcomputer 

falsch konfiguriert ist oder das Netzwerk ausgefallen ist. Falls Ihr DNS-Server sich 

im LAN befindet (zu erkennen in den Ausgaben des Befehls ipconfig /all) und Sie 

Ihren Router nach wie vor mit Ping erreichen können, ist der DNS-Server ausgefallen 

oder falsch konfiguriert. Lesen Sie in diesem Fall im Abschnitt »So führen Sie 

eine Behandlung von Namensauflösungsproblemen durch« in diesem Anhang weiter. 

Falls Ihr DNS-Server sich in einem anderen Netzwerk befindet, kann das Problem 

entweder ein Netzwerkinfrastrukturproblem oder ein Namensauflösungsproblem 

sein. Wiederholen Sie diesen Schritt, testen Sie diesmal aber die IP-Adresse Ihres 

DNS-Servers mit Ping (die Adresse können Sie der Ausgabe des Befehls ipconfig / 

all entnehmen). Folgen Sie dann der Anleitung im Abschnitt »So führen Sie eine 

Behandlung von Namensauflösungsproblemen durch«, um das Problem weiter zu 

isolieren. 

Falls nach Zeile 1 keine weiteren Antworten aufgelistet sind, kann Ihr Standardgateway 

nicht mit externen Netzwerken kommunizieren. Versuchen Sie, das Standardgateway 

neu zu starten. Falls das Standardgateway direkt mit dem Internet verbunden 

ist, ist unter Umständen die Internetverbindung oder das Gerät ausgefallen, das 

die Verbindung zum Internet herstellt (zum Beispiel ein Kabel- oder DSL-Modem). 

Wenden Sie sich in diesem Fall an Ihren Internetprovider, um das Problem zu beseitigen. 

Falls dasselbe Gateway mehrmals in der Ausgabe von Tracert auftaucht, tritt im Netzwerk 

eine Routingschleife auf. Routingschleifen können Leistungsprobleme verursachen 

oder die Kommunikation völlig zum Erliegen bringen. Netzwerke beseitigen 

Routingschleifen normalerweise automatisch. Sie sollten aber Kontakt mit Ihrem 

Netzwerksupportteam aufnehmen, um sicherzustellen, dass sie über das Problem 

Bescheid wissen. Die folgende Ausgabe von Tracert zeigt eine Routingschleife, weil 

sich die Knoten 5, 6 und 7 wiederholen: 

tracert www.contoso.com 

Routenverfolgung zu www.contoso.com [10.73.186.238] 


0 d820.hsd1.nh.contoso.com. [192.168.1.196] 

1 192.168.1.1 





6 te-9-2-ur01.marlboro.ma.boston.contoso.com [10.87.144.77] 

7 10g-8-1-ur01.natick.ma.boston.contoso.com [10.87.144.197] 






13 10g-8-1-ur01.natick.ma.boston.contoso.com [10.87.144.197]


Falls irgendwelche Router ab Zeile 2 antworten (egal, ob der endgültige Zielhost 

antwortet oder nicht), sind der Clientcomputer und das Standardgateway richtig konfiguriert. 

Das Problem liegt in der Netzwerkinfrastruktur oder Ihre Internetverbindung 

ist ausgefallen. Folgen Sie den Problembehandlungsschritten im Abschnitt »So 

führen Sie eine Behandlung von Anwendungsverbindungsproblemen durch« oder 

wenden Sie sich an den Netzwerksupport, um das Problem beseitigen zu lassen. 

Um Ihre Ergebnisse zu bestätigen, sollten Sie diese Schritte auf einem anderen Clientcomputer 

im selben Netzwerk wiederholen. Falls der zweite Clientcomputer dieselben Symptome 

zeigt, können Sie relativ sicher sein, dass ein Teil der Netzwerksinfrastruktur ausgefallen ist. 

Falls der zweite Client erfolgreich im Netzwerk kommunizieren kann, sollten Sie die Ausgaben 

von ipconfig /all der beiden Computer vergleichen. Falls sich die Adressen von Standardgateway 

oder DNS-Server unterscheiden, können Sie den Computer, auf dem die Probleme 

auftreten, versuchsweise mit den Einstellungen des anderen Computers konfigurieren. 

Falls das Problem dadurch nicht beseitigt wird, handelt es sich um ein spezielles Problem 

des ersten Computers, das möglicherweise auf ein Hardware- oder Treiberproblem zurückzuführen 

ist (siehe Anhang D, »Problembehandlung für Hardware, Treiber und Laufwerke«). 

So führen Sie eine Behandlung von Anwendungsverbindungsproblemen 

durch 

Manchmal können Sie mit einigen Anwendungen auf das Netzwerk zugreifen, aber mit anderen 

nicht. Zum Beispiel könnte es sein, dass Sie Ihre E-Mails herunterladen können, aber 

der Zugriff auf Webserver fehlschlägt. Oder Sie können sich Seiten auf einem Remotewebserver 

ansehen, aber mit Remotedesktop keine Verbindung mit dem Computer aufnehmen. 

Diese Symptome können durch verschiedene Probleme verursacht werden (wahrscheinlichere 

sind zuerst genannt): 

Der Remotedienst läuft nicht. Zum Beispiel kann es sein, dass Remotedesktop auf dem 

Remotecomputer nicht aktiviert ist. 

Auf dem Remoteserver ist eine Firewall konfiguriert, die die Kommunikation dieser 

Anwendung von Ihrem Clientcomputer blockiert. 

Eine Firewall zwischen dem Client- und dem Servercomputer blockiert die Kommunikation 

der Anwendung. 

Die Windows-Firewall auf dem lokalen Computer kann so konfiguriert sein, dass sie den 

Verkehr der Anwendung blockiert. 

Der Remotedienst wurde so konfiguriert, dass er eine nicht standardmäßige Portnummer 

verwendet. Zum Beispiel benutzen Webserver normalerweise TCP-Port 80, aber manche 

Administratoren konfigurieren TCP-Port 81 oder einen anderen Port. 

Gehen Sie folgendermaßen vor, um die Behandlung eines Anwendungsverbindungsproblems 

durchzuführen: 

1. Bevor Sie beginnen, eine Problembehandlung im Bereich der Anwendungskonnektivität 

durchzuführen, sollten Sie erst sicherstellen, dass es sich nicht um ein Namensauflösungsproblem 

handelt. Öffnen Sie dazu eine Eingabeaufforderung und führen Sie den 

Befehl nslookup servername aus. Falls Nslookup keine Antwort wie im folgenden Beispiel 

anzeigt, haben Sie ein Namensauflösungsproblem. Lesen Sie in diesem Fall im Abschnitt


»So führen Sie eine Behandlung von Namensauflösungsproblemen durch« in diesem 

Anhang weiter. 

nslookup contoso.com 

Nicht-autorisierende Antwort: 


Addresses: 10.46.232.182, 10.46.130.117 

Tabelle E.2 Standardportzuweisungen für wichtige Dienste und Aufgaben 

Dienstname oder Aufgabe UDP TCP 

Webserver, HTTP und IIS (Internet Information Services) 80 

HTTP-SSL (Secure Sockets Layer) 443 

DNS-Client-an-Server-Lookup (unterschiedlich) 53 53 

DHCP-Client 67 

Datei- und Druckerfreigabe 137 139, 445 

FTP-Steuerung 21 

FTP-Daten 20 

IRC (Internet Relay Chat) 

Microsoft Office Outlook (Ports siehe POP3, IMAP und SMTP) 

6667 

IMAP (Internet Mail Access Protocol) 143 

IMAP (SSL) 993 

LDAP 389 

LDAP (SSL) 636 

MTA (Message Transfer Agent) – X.400 über TCP/IP 102 

POP3 110 

POP3 (SSL) 995 

RPC-Endpunktzuordnung (Remote Procedure Calls) 135 

SMTP 25 

NNTP 119 

NNTP (SSL) 563 

POP3 110 

POP3 (SSL) 995 

SNMP 161 

SNMP-Trap 162 

SQL Server 1433 

Telnet 23 

Terminalserver und Remotedesktop 3389 

PPTP (Point-to-Point Tunneling Protocol) 

Beitreten zu einer AD DS-Domäne (siehe »So führen Sie eine Behandlung von 

Beitritts- oder Anmeldeproblemen in einer Domäne durch« in diesem Anhang) 

1723


2. Ermitteln Sie, welche Portnummer von der Anwendung benutzt wird. Tabelle E.2 listet 

Portnummern für wichtige Anwendungen auf. Falls Sie sich nicht sicher sind, welche 

Portnummern Ihre Anwendung verwendet, können Sie im Handbuch der Anwendung 

nachschlagen oder beim technischen Support nachfragen. Stattdessen können Sie auch 

einen Protokoll-Analyzer wie den Network Monitor starten und damit den Netzwerkverkehr 

analysieren, um die verwendeten Portnummern zu ermitteln. 

Sobald Sie die Portnummer ermittelt haben, besteht der erste Schritt bei der Behandlung des 

Anwendungsverbindungsproblems darin festzustellen, ob die Kommunikation über diesen 

Port erfolgreich ist. Falls es sich um einen TCP-Port handelt, können Sie Portqry, Test Tcp 

oder Telnet verwenden. Unter diesen drei Tools ist Telnet das unflexibelste, aber es ist auch 

das einzige Tool, das in Windows enthalten ist (wenn auch nicht in der Standardeinstellung 

installiert). Weitere Informationen über Telnet, inklusive einer Installationsanleitung, finden 

Sie im Abschnitt »Telnet-Client« weiter oben in diesem Anhang. 

Geben Sie den folgenden Befehl ein, um einen TCP-Port mit Telnet zu testen: 

Telnet Hostname_oder_Adresse TCP_Port 

Um zum Beispiel festzustellen, ob Sie eine Verbindung zum Webserver unter www.microsoft. 

com (der Port 80 verwendet) herstellen können, geben Sie den folgenden Befehl ein: 

Telnet www.microsoft.com 80 

Falls der Text in der Eingabeaufforderung gelöscht wird oder Sie Text vom Remotedienst 

angezeigt bekommen, haben Sie erfolgreich eine Verbindung hergestellt. Schließen Sie die 

Eingabeaufforderung, um Telnet abzubrechen. Das bedeutet, dass Sie eine Verbindung zum 

Server herstellen können. Somit nimmt die Serveranwendung eingehende Verbindungen 

entgegen, und keine Firewall blockiert Ihren Verkehr. Statt das Problem als Konnektivitätsproblem 

zu behandeln, sollten Sie sich auf Probleme auf Anwendungsebene konzentrieren, 

zum Beispiel folgende: 

Authentifizierungsprobleme Sehen Sie sich das Sicherheitsereignisprotokoll des Servers 

oder das Protokoll der Anwendung an, um festzustellen, ob Ihre Clientverbindungen 

wegen ungültiger Anmeldeinformationen zurückgewiesen werden. 

Ausgefallener Dienst Starten Sie den Server neu. Testen Sie, ob andere Clientcomputer 

eine Verbindung zum Server herstellen können. 

Ungültige Clientsoftware Überprüfen Sie, ob die Clientsoftware, die auf Ihrem Computer 

läuft, die richtige Version ist und ob sie richtig konfiguriert ist. 

Falls Telnet die Meldung »Es konnte keine Verbindung mit dem Host hergestellt werden« 

anzeigt, weist das auf ein Anwendungskonnektivitätsproblem hin, zum Beispiel eine falsch 

konfigurierte Firewall. Gehen Sie folgendermaßen vor, um die Problembehandlung fortzusetzen: 

1. Überprüfen Sie, ob der Server online ist (falls möglich). Falls der Server online ist, 

können Sie versuchen, eine Verbindung zu einem anderen Dienst herzustellen, der auf 

demselben Server läuft. Falls Sie zum Beispiel versuchen, eine Verbindung zu einem 

Webserver herzustellen, und Sie wissen, dass auf dem Server eine Dateifreigabe aktiviert 

ist, können Sie versuchen, eine Verbindung zu einem freigegebenen Ordner herzustellen. 

Falls Sie eine Verbindung zu einem anderen Dienst herstellen können, handelt es sich 

fast sicher um ein Firewallkonfigurationsproblem auf dem Server.


2. Versuchen Sie, von anderen Clientcomputern im selben sowie in anderen Subnetzen aus 

eine Verbindung herzustellen. Falls Sie von einem Clientcomputer im selben Subnetz 

aus eine Verbindung herstellen können, haben Sie möglicherweise ein Anwendungskonfigurationsproblem 

auf dem Clientcomputer. Falls Sie eine Verbindung von einem 

Clientcomputer in einem anderen Subnetz aus herstellen können, aber nicht aus demselben 

Subnetz, filtert unter Umständen eine Firewall im Netzwerk oder auf dem Server 

Verkehr, der aus dem Netzwerk Ihres Clients stammt. 

3. Schließen Sie einen Clientcomputer an dasselbe Subnetz an wie den Server (sofern möglich). 

Falls Sie eine Verbindung vom selben Subnetz aus herstellen können, aber nicht 

aus anderen Subnetzen, blockiert eine routerbasierte Firewall den Verkehr. Falls Sie vom 

selben Subnetz aus keine Verbindung herstellen können, läuft auf dem Server eine Firewall, 

die den Verkehr blockiert. Es kann aber auch sein, dass die Serveranwendung nicht 

läuft oder so konfiguriert ist, dass sie einen anderen Port verwendet. 

4. Melden Sie sich am Server an und versuchen Sie, mit Telnet eine Verbindung zum Port 

der Serveranwendung herzustellen. Falls Sie vom Server aus eine Verbindung herstellen 

können, aber nicht von anderen Computern, ist auf dem Server definitiv Firewallsoftware 

konfiguriert. Fügen Sie in der Firewallsoftware eine Ausnahme für die Anwendung 

hinzu. Falls Sie vom Server selbst aus keine Verbindung mit der Serveranwendung herstellen 

können, nimmt die Anwendung keine Verbindungen entgegen oder ist so konfiguriert, 

dass sie eingehende Verbindungen auf einem anderen Port annimmt. Schlagen Sie 

in der Anwendungsdokumentation nach, wie Sie die Anwendung starten und konfigurieren 

können. Falls der Server unter Windows läuft, können Sie mit Netstat feststellen, auf 

welchen Ports der Server eingehende Verbindungen entgegennimmt. Weitere Informationen 

finden Sie im Abschnitt »Netstat« weiter oben in diesem Anhang. 

So führen Sie eine Behandlung von Namensauflösungsproblemen durch 

Computer verwenden numerische IP-Adressen (zum Beispiel 192.168.10.233 oder 

2001:db8::1), um sich in Netzwerken gegenseitig zu identifizieren. Menschen können 

sich IP-Adressen aber kaum merken, daher verwenden wir Hostnamen (zum Beispiel 

www.contoso.com). Die Namensauflösung (name resolution) ist der Vorgang, bei dem 

ein Hostname in eine IP-Adresse konvertiert wird. DNS ist bei Weitem die am häufigsten 

eingesetzte Namensauflösungstechnik. 

Viele scheinbare Verbindungsprobleme sind in Wirklichkeit Namensauflösungsprobleme. 

Falls irgendeines der folgenden Probleme auftritt, ist der Client nicht in der Lage, anhand 

des Hostnamens Kontakt mit einem Server aufzunehmen: 

DNS-Server sind ausgefallen. 

Das Netzwerk, über das der Client mit dem DNS-Server verbunden wird, ist ausgefallen. 

Ein Hostname fehlt in der DNS-Datenbank. 

Ein Hostname wird einer falschen IP-Adresse zugeordnet. Das passiert oft, weil ein Host 

vor Kurzem seine IP-Adressen geändert hat und die DNS-Datenbank noch nicht aktualisiert 

wurde. 

Auf dem Client sind keine DNS-Server konfiguriert, oder es sind die falschen DNS- 

Server-IP-Adressen konfiguriert. 

Gehen Sie folgendermaßen vor, um ein Namensauflösungsproblem zu diagnostizieren:


1. Öffnen Sie das Netzwerk- und Freigabecenter, indem Sie im Startmenü auf Netzwerk 

und dann auf Netzwerk- und Freigabecenter klicken. Falls ein rotes X über einer Netzwerkverbindung 

angezeigt wird, können Sie den Link anklicken, um die Windows-Netzwerkdiagnose 

zu starten. Folgen Sie dann den angezeigten Anweisungen. Die Windows- 

Netzwerkdiagnose kann viele häufiger auftretende Netzwerkprobleme lösen. Falls die 

Windows-Netzwerkdiagnose das Problem nicht identifizieren oder beseitigen kann, 

müssen Sie die nächsten Schritte in dieser Anleitung durchgehen. 

2. Überprüfen Sie, ob Sie unter Angabe der IP-Adressen eine Verbindung zu anderen Computern 

herstellen können. Falls Sie keine Verbindung zu Servern herstellen können, 

indem Sie ihre IP-Adresse direkt angeben, ist die Ursache für Ihr Problem in der Netzwerkkonnektivität 

zu suchen, nicht bei der Namensauflösung. Lesen Sie in diesem Fall 

im Abschnitt »So führen Sie eine Behandlung von Netzwerkverbindungsproblemen 

durch« weiter oben in diesem Anhang weiter. Falls Sie eine Verbindung zu den Servern 

über ihre IP-Adresse herstellen können, aber nicht über ihre Hostnamen, müssen Sie den 

nächsten Schritten in dieser Anleitung folgen. 

Hinweis Während Ihr Netzwerk einwandfrei funktioniert, sollten Sie die IP-Adressen 

verschiedener Computer notieren, darunter Computer in Ihrem Subnetz, in anderen Subnetzen 

innerhalb Ihres Intranets und Computer im Internet. Testen Sie die IP-Adressen, 

um sicherzustellen, dass sie auf Ping-Anforderungen antworten. Halten Sie diese Liste 

bereit, damit Sie anhand der IP-Adressen die Netzwerkkonnektivität prüfen können, 

ohne eine Namensauflösung zu benötigen. 

3. Öffnen Sie eine Eingabeaufforderung und fragen Sie mit Nslookup den Hostnamen ab, 

zu dem Sie eine Verbindung herstellen wollen. Hier ein Beispiel: 

nslookup www.microsoft.com 

Sehen Sie sich die Ausgaben an: 

Falls Nslookup Adressen oder Aliasnamen für den Hostnamen anzeigt, war die 

Namensauflösung erfolgreich. Wahrscheinlich ist der Server, den Sie zu erreichen 

versuchen, offline. Oder Sie haben ein Verbindungsproblem, das verhindert, dass Sie 

den Server erreichen können. Vielleicht ist auch die Anwendung, die Sie verwenden, 

falsch konfiguriert oder die DNS-Serverdatenbank ist falsch. Lesen Sie in diesem 

Fall in den Abschnitten »So führen Sie eine Behandlung von Netzwerkverbindungsproblemen 

durch« und »So führen Sie eine Behandlung von Anwendungsverbindungsproblemen 

durch« in diesem Anhang weiter. Falls Sie den Verdacht haben, 

dass die DNS-Serverdatenbank falsch ist, sollten Sie sich an den Administrator Ihres 

DNS-Servers wenden. 

Falls Nslookup nur die Meldung »DNS request timed out« anzeigt, antwortet der 

DNS-Server nicht. Wiederholen Sie den Test mehrere Male, um sicherzustellen, dass 

es sich nicht um ein temporäres Problem handelt. Überprüfen Sie dann mit dem Befehl 

Ipconfig, ob auf dem Clientcomputer der richtige DNS-Server konfiguriert ist. 

Falls nötig, müssen Sie die DNS-Serverkonfiguration des Clientcomputers aktualisieren. 

Falls die IP-Adressen der DNS-Server richtig sind, sind die DNS-Server oder 

das Netzwerk, an das sie angeschlossen sind, ausgefallen. Wenden Sie sich an den 

Server- oder Netzwerkadministrator.


Falls Nslookup die Meldung »Die Standardserver sind nicht verfügbar« anzeigt, ist 

auf dem Computer kein DNS-Server konfiguriert. Aktualisieren Sie die Netzwerkkonfiguration 

auf dem Client mit den IP-Adressen der DNS-Server oder konfigurieren 

Sie den Computer so, dass er automatisch eine Adresse bezieht. 

4. Falls Sie von einem anderen Clientcomputer aus eine Verbindung zum Server herstellen 

können, sollten Sie in einer Eingabeaufforderung ipconfig /all ausführen, um festzustellen, 

welche DNS-Server der Clientcomputer konfiguriert hat. Falls sich die IP-Adressen 

unterscheiden, können Sie die Konfiguration auf dem Clientcomputer, der das Problem 

aufweist, so ändern, dass er die funktionierenden IP-Adressen verwendet. 

So überprüfen Sie die Konnektivität zu einem DNS-Server 

Während DNS-Verkehr entweder TCP-Port 53 oder UDP-Port 53 verwenden kann, wird fast 

immer UDP benutzt, weil es für kurze Kommunikation effizienter ist. Weil Telnet immer 

TCP verwendet, eignet es sich nicht, um UDP-DNS-Konnektivität zu testen. Stattdessen 

können Sie das Tool PortQry installieren und verwenden, wie weiter oben in diesem Anhang 

beschrieben. 

Sie können die Konnektivität für DNS-Verkehr testen, indem Sie PortQry installieren und 

dann den folgenden Befehl ausführen: 

portqry -n DNS_Servername_oder_IP_Adresse -p UDP -e 53 

Abbildung E.7 PortQryUI stellt eine grafische Benutzeroberfläche 

zur Verfügung, in der Sie die DNS-Konnektivität testen können 

Falls PortQry die Verbindung zum angegebenen DNS-Server herstellen kann, zeigt es die 

Meldung »LISTENING« an. Falls PortQry keine Verbindung herstellen kann, zeigt es


»LISTENING OR FILTERED« an. Sobald PortQry die Meldung »LISTENING OR 

FILTERED« angezeigt hat, versucht es, eine DNS-Anforderung an den Remotecomputer 

zu schicken, und zeigt dann an, ob der Server auf die Anforderung geantwortet hat. 

Falls Sie grafische Tools bevorzugen, können Sie das Tool PortQryUI (Abbildung E.7) 

verwenden, um UDP-Port 53 abzufragen. 

So verwenden Sie die Datei Hosts 

Sie können die Datei Hosts als alternative Namensauflösungsmethode nutzen. Das kann 

sinnvoll sein, falls Ihr DNS-Server nicht verfügbar oder seine Datenbank nicht auf dem 

aktuellen Stand ist und Sie auf einen Server zugreifen müssen und die IP-Adresse dieses 

Servers kennen. Sie ist auch nützlich, wenn Sie vor Kurzem einen neuen Server installiert 

haben und unter Angabe eines Hostnamens Verbindung mit ihm aufnehmen wollen, noch 

bevor die DNS-Datenbank aktualisiert wurde. Zwar können Sie normalerweise die Verbindung 

mit Servern über ihre IP-Adressen herstellen, aber Websites müssen oft unter dem 

richtigen Hostnamen erreichbar sein, und IP-Adressen funktionieren in solchen Fällen nicht 

immer. 

Ihre Hosts-Datei liegt in %WinDir%\System32\Drivers\Etc\Hosts. Es ist eine Textdatei, die 

Sie mit dem Windows-Editor bearbeiten können. Wenn Sie die Datei Hosts bearbeiten wollen, 

müssen Sie den Editor mit administrativen Berechtigungen starten. Öffnen Sie dann im 

Editor die Datei %WinDir%\System32\Drivers\Etc\Hosts (sie hat keine Dateierweiterung). 

Sie können einen Eintrag zur Datei Hosts hinzufügen, um die Namensauflösung ohne DNS 

zu ermöglichen. Fügen Sie dazu Zeilen am Ende der Datei Hosts hinzu, wie hier für IPv4und 

IPv6-Adressen demonstriert: 

192.168.1.10 www.microsoft.com 

10.15.33.25 www.contoso.com 

2001:db8::1 www.microsoft.com 

Sobald Sie die Datei Hosts aktualisiert haben, können Sie Verbindungen zu Servern mithilfe 

ihrer Hostnamen herstellen. Wenn ein Eintrag in der Datei Hosts vorhanden ist, verwendet 

Windows 7 die zugehörige IP-Adresse, ohne einen DNS-Server abzufragen. Die einzige Anwendung, 

die die Datei Hosts umgeht, ist Nslookup. Sie fragt immer direkt die DNS-Server 

ab. Vergessen Sie nicht, die Einträge wieder aus der Datei Hosts zu löschen, sobald Sie sie 

nicht mehr brauchen. Andernfalls bekommen Sie später unter Umständen Namensauflösungsprobleme, 

falls sich die IP-Adresse des Servers ändert. 

So führen Sie eine Behandlung von Leistungsproblemen und sporadischen 

Konnektivitätsproblemen durch 

Netzwerkprobleme haben oft gar nicht zur Folge, dass die Konnektivität völlig verloren 

geht. Netzwerkprobleme können bedeuten, dass Dateiübertragungen länger brauchen, als 

Ihre Netzwerkbandbreite rechtfertigt, Audio- und Videostreams Lücken haben oder Netzwerkanwendungen 

sehr langsam reagieren. 

Um eine Behandlung von Netzwerkleistungsproblemen durchzuführen, müssen Sie erst die 

Ursache des Problems identifizieren. Verschiedene Komponenten können Leistungsprobleme 

verursachen: 

Der lokale Computer Auf Ihrem lokalen Computer läuft möglicherweise eine Anwendung, 

die die gesamte Prozessorkapazität beansprucht, sodass alles andere auf Ihrem


Computer gebremst wird, inklusive des Netzwerks. Auch Hardwarefehler oder problematische 

Treiber können Leistungsprobleme oder sporadische Ausfälle verursachen. 

Diese Probleme können Sie lösen, indem Sie die problematischen Anwendungen beenden 

oder drosseln, Hardware ersetzen oder Treiber aktualisieren. 

Die Netzwerkinfrastruktur Überlastete Router verursachen Latenz und Paketverlust, 

was beides Leistungsprobleme und sporadische Ausfälle verursachen kann. Routingprobleme, 

zum Beispiel Routingschleifen, können dazu führen, dass Verkehr über einen 

unnötig langen Pfad weitergeleitet wird, was die Netzwerklatenz vergrößert. Manchmal, 

zum Beispiel bei der Nutzung von Satellitenverbindungen, sind die durch die Latenz 

verursachten Leistungsprobleme unvermeidlich. Das Beseitigen von Netzwerkinfrastrukturproblemen 

würde das Thema dieses Buchs zwar sprengen, aber Sie können 

immerhin die Quelle des Problems identifizieren und es an das zuständige Supportteam 

weiterleiten. 

Der Server Falls der Server überlastet ist, bekommt die gesamte Netzwerkkommunikation 

mit diesem Server Leistungsprobleme. Das Beseitigen von Serverleistungsproblemen 

würde das Thema dieses Buchs sprengen. Wenn Sie aber die Quelle des Problems 

einmal identifiziert haben, können Sie es an das zuständige Supportteam weiterleiten. 

Gehen Sie folgendermaßen vor, um die Quelle eines Netzwerkleistungsproblems zu identifizieren. 

Testen Sie nach jedem Schritt Ihre Netzwerkleistung, um festzustellen, ob das Problem 

noch besteht. 

1. Starten Sie den Task-Manager, indem Sie mit der rechten Maustaste auf die Taskleiste 

klicken und den Befehl Task-Manager wählen. Klicken Sie auf die Registerkarte Leistung. 

Falls die Prozessorauslastung nahe bei 100 Prozent liegt, wird das scheinbare Netzwerkleistungsproblem 

möglicherweise dadurch verursacht. Klicken Sie auf die Registerkarte 

Prozesse, suchen Sie den Prozess, der die Prozessorbelastung verursacht, und 

schließen Sie ihn. 

2. Klicken Sie im Task-Manager auf die Registerkarte Netzwerk. Diese Registerkarte zeigt 

ein Diagramm für jede Netzwerkkarte, die im Computer installiert ist. Falls sich die 

Netzwerkauslastung nahe der Kapazität der Netzwerkverbindung befindet, ist dies die 

Ursache für Ihr Leistungsproblem. Bei Ethernet-Kabelnetzwerken (zum Beispiel Verbindungen 

mit 10 MBit/s, 100 MBit/s oder 1000 MBit/s) kann die Auslastung normalerweise 

60 bis 70 Prozent der Verbindungsgeschwindigkeit nicht überschreiten. Bei 

Drahtlosnetzwerken kann die Auslastung kaum 50 Prozent der Verbindungsgeschwindigkeit 

überschreiten. Allerdings stoßen Drahtlosverbindungen oft sogar schon bei weit 

unter 50 Prozent der Verbindungsgeschwindigkeit an ihre Grenze, sodass selbst 15 oder 

20 Prozent Auslastung bedeuten können, dass Ihre Leistungsprobleme durch zu geringe 

Bandbreite im Drahtlosnetzwerk verursacht werden. Sie können die Ursache der Bandbreitenauslastung 

identifizieren, indem Sie im Task-Manager auf die Registerkarte Leistung 

klicken und dann auf die Schaltfläche Ressourcenmonitor. Erweitern Sie im Ressourcenmonitor 

den Abschnitt Netzwerk (Abbildung E.8). Stellen Sie fest, welcher Prozess 

am meisten Bandbreite verbraucht, und notieren Sie seine Prozess-ID (PID) und 

den Zielserver. Wechseln Sie dann zum Task-Manager zurück, um zu ermitteln, welcher 

Prozess die Netzwerkbandbreite verbraucht. Beenden Sie den Prozess, um festzustellen, 

ob dies die Ursache für Ihre Leistungsprobleme war.

Abbildung E.8 Im Ressourcenmonitor können Sie feststellen, 

wodurch die Netzwerkbandbreite verbraucht wird 


Hinweis Die im Task-Manager und im Ressourcenmonitor angezeigte Netzwerkauslastung 

gibt nur Verkehr an, der zu oder von Ihrem Computer gesendet wird. Falls ein 

anderer Computer in Ihrem Netzwerk Bandbreite verbraucht, steht Ihnen diese Bandbreite 

nicht zur Verfügung, aber weder der Task-Manager noch der Ressourcenmonitor 

kann Ihnen zeigen, wie viel Bandbreite andere Hosts verbrauchen. 

3. Verwenden Sie (sofern möglich) dieselbe Anwendung, um Verbindungen zu anderen 

Servern herzustellen. Falls das Leistungsproblem bestehen bleibt, wenn Sie Verbindungen 

zu anderen Servern herstellen, liegt das Problem wahrscheinlich beim lokalen Host 

oder dem Netzwerk. Die folgenden Schritte helfen Ihnen, das Problem weiter zu isolieren. 

Falls das Problem nur auftritt, wenn Sie eine Verbindung zu einem bestimmten 

Server herstellen, kann es durch die Leistung dieses Servers oder Leistungsprobleme im 

Netzwerk verursacht werden, an das der Server angeschlossen ist. Wenden Sie sich in 

diesem Fall an den Administrator des Servers. 

4. Führen Sie (sofern möglich) dieselbe Anwendung von einem anderen Computer im 

selben Netzwerk aus. Falls beide Computer dasselbe Problem zeigen, hat das Problem 

wahrscheinlich mit der Netzwerkleistung zu tun. Die folgenden Schritte helfen Ihnen, 

dieses Problem weiter zu isolieren. Falls andere Computer im selben Netzwerk nicht 

dieses Problem haben, ist die Ursache wahrscheinlich auf Ihrem lokalen Computer zu 

suchen. Spielen Sie zuerst alle verfügbaren Updates ein und starten Sie den Computer 

neu. Installieren Sie dann eventuell verfügbare Updates für Netzwerkkartentreiber. Falls 

die Probleme weiterhin bestehen, sollten Sie die Netzwerkkabel austauschen und danach 

die Netzwerkkarte. Weitere Informationen finden Sie in Anhang D, »Problembehandlung 

für Hardware, Treiber und Laufwerke«. 

An diesem Punkt im Problembehandlungsprozess haben Sie die Netzwerkinfrastruktur als 

wahrscheinliche Ursache Ihres Problems identifiziert. Öffnen Sie eine Eingabeaufforderung 

und rufen Sie das Tool PathPing mit dem Hostnamen Ihres Servers auf. PathPing zeigt die 

Route zwischen Ihrem Computer und dem Server an und verbringt dann mehrere Minuten 

damit, die Latenz aller Router und aller Netzwerkverbindungen im Pfad zu ermitteln.


Im Idealfall kommen bei jedem Netzwerkverbindungsabschnitt nur wenige Millisekunden 

Latenz zu (angezeigt in der Spalte »Zeit«) der Zeit aus dem vorherigen Verbindungsabschnitt 

hinzu. Falls sich die Latenz bei einem einzigen Verbindungsabschnitt um mehr als 100 Millisekunden 

vergrößert und bei den nachfolgenden Abschnitten auf diesem Niveau bleibt, ist 

dieser Verbindungsabschnitt möglicherweise die Ursache für Ihre Leistungsprobleme. Falls 

die Verbindung über einen Satelliten oder ein Interkontinentalkabel läuft, ist diese Latenz zu 

erwarten, und wahrscheinlich lässt sich daran nichts ändern. 

Falls die Verbindung allerdings Ihre Internetverbindung oder ein anderes Netzwerk ist, das 

Teil Ihres Intranets ist, werden Ihre Leistungsprobleme unter Umständen durch eine überlastete 

Netzwerkinfrastruktur verursacht. Falls zum Beispiel mehrere Computer ihre Laufwerke 

im Rahmen einer Datensicherung in einen Ordner im Netzwerk schreiben, kann eine 

Verbindung überlastet sein, was dann Leistungsprobleme verursacht. Und falls mehrere 

Benutzer große Dateien über Ihre Internetverbindung übertragen, können andere Anwendungen 

dadurch in Mitleidenschaft gezogen werden (insbesondere Echtzeitvideo- oder 

-audiostreaming, zum Beispiel Voice over IP [VoIP]). Wenden Sie sich in solchen Fällen an 

den Netzwerksupport. Unter Umständen können Sie Quality of Service (QoS) einsetzen, um 

zeitkritischem Verkehr eine höhere Priorität gegenüber Dateiübertragungen einzuräumen. 

Hinweis Falls Sie ein Administrator in einem kleinen oder Heimnetzwerk sind, können Sie 

schnell feststellen, ob andere Computer im Netzwerk die Internetleistungsprobleme verursachen. 

Schließen Sie dazu Ihren Computer direkt an Ihre Internetverbindung an und trennen 

Sie alle anderen Computer. Falls die Probleme verschwunden sind, verursacht ein anderer 

Computer in Ihrem Netzwerk das Problem. 

Falls dasselbe Gateway mehrmals in der PathPing-Route auftaucht, tritt im Netzwerk eine 

Routingschleife auf. Routingschleifen können Leistungsprobleme verursachen oder die 

Kommunikation ganz zum Erliegen bringen. Netzwerke, die mit Routingprotokollen 

arbeiten, korrigieren Routingschleifen normalerweise automatisch. Sie sollten aber Ihrem 

Netzwerksupportteam Bescheid geben, um sicherzustellen, dass es von dem Problem erfährt. 

Die folgende PathPing-Ausgabe demonstriert eine Routingschleife, weil sich die Knoten 5, 6 

und 7 wiederholen: 

pathping www.contoso.com 

Routenverfolgung zu www.contoso.com [10.73.186.238] 


0 d820.hsd1.nh.contoso.com. [192.168.1.196] 

1 192.168.1.1 









10 10g-8-1-ur01.natick.ma.boston.contoso.com [10.87.144.197]





So führen Sie eine Behandlung von Beitritts- oder Anmeldeproblemen in einer 

Domäne durch 

Administratoren bekommen oft Probleme, wenn sie versuchen, einen Windows-Computer 

zu einer AD DS-Domäne hinzuzufügen. Auch Benutzer bekommen unter Umständen die 

Fehlermeldung, dass Domänencontroller nicht verfügbar sind, wenn sie versuchen, sich mit 

einem Domänenkonto an ihrem Computer anzumelden. 

Der erste Schritt bei der Behandlung von Domänenbeitrittsproblemen besteht darin, die 

Schaltfläche Details auf dem Dialogfeld Computernamen- bzw. -domänenänderungen anzuklicken, 

um sich die Fehlerinformationen anzeigen zu lassen. Zum Beispiel bedeutet die 

Fehlermeldung in Abbildung E.9, dass der DNS-Server keinen DNS-Eintrag für den Domänencontroller 

hat. Falls Sie diese Fehlerinformationen sehen wollen, nachdem Sie das Dialogfeld 

Computernamen- bzw. -domänenänderungen geschlossen haben, können Sie die 

Protokolldatei %WinDir%\Debug\Dcdiag.txt öffnen. 

Abbildung E.9 Meistens gibt Windows die Ursache 

des Problems in der detaillierten Fehlermeldung an 

So analysieren Sie die Datei NetSetup.log 

Falls das Dialogfeld Computernamen- bzw. -domänenänderungen die Ursache des Problems 

nicht verrät, können Sie sich die Datei %WinDir%\Debug\Netsetup.log ansehen. Dieses Protokoll 

zeichnet die Vorgänge beim Beitritt zu einer Domäne auf, ebenso die Details eventueller 

Probleme, die dabei auftreten. Am besten vergleichen Sie eine Protokolldatei, die auf 

einem Computer generiert wurde, der erfolgreich Ihrer Domäne beigetreten ist, mit der des 

Computers, der der Domäne nicht beitreten konnte. Zum Beispiel zeigt der folgende Eintrag, 

dass der Computer den Domänencontroller hq.contoso.com erfolgreich finden konnte (der 

Rückgabewert ist 0x0):


----------------------------------------------------------------- 

NetpValidateName: checking to see if 'HQ.CONTOSO.COM' is valid as type 3 name 

NetpCheckDomainNameIsValid [ Exists ] for 'HQ.CONTOSO.COM' returned 0x0 

NetpValidateName: name 'HQ.CONTOSO.COM' is valid for type 3 

----------------------------------------------------------------- 

Der folgende Eintrag zeigt dagegen, dass der Computer den Domänencontroller hq.fabrikam. 

com nicht finden konnte (Rückgabewert 0x54b): 

----------------------------------------------------------------- 

NetpValidateName: checking to see if 'hq.fabrikam.com' is valid as type 3 name 

NetpCheckDomainNameIsValid for hq.fabrikam.com returned 0x54b, last error is 0x3e5 

NetpCheckDomainNameIsValid [ Exists ] for 'hq.fabrikam.com' returned 0x54b 

----------------------------------------------------------------- 

Falls Sie diese Art von Namensauflösungsfehler während eines unbeaufsichtigten Setups 

bekommen, aber von Hand einer Domäne beitreten können, sollten Sie überprüfen, ob die 

Clients eine gültige DHCP-Konfiguration empfangen. Stellen Sie vor allem sicher, dass die 

DNS-Serveradressen richtig sind und dass die identifizierten DNS-Server SRV-Ressourceneinträge 

für Ihre Domänencontroller im Format _ldap._tcp.dc._msdcs. 

enthalten. 

Falls Sie einen Fehler sehen, der ähnlich aussieht wie im folgenden Beispiel, ist der Computer 

vorher einer Domäne beigetreten und hat dabei denselben Computernamen, aber ein 

anderes Konto benutzt. Das kann fehlschlagen, weil das administrative Benutzerkonto nicht 

die Berechtigung hat, das vorhandene Konto zu ändern. Sie können das Problem umgehen, 

indem Sie den Computernamen ändern, das Computerkonto aus der Domäne löschen lassen 

oder das ursprüngliche Benutzerkonto verwenden, um den Computer zur Domäne hinzuzufügen. 

NetpManageMachineAccountWithSid: NetUserAdd on '\\hq.contoso.com' for '43L2251A2- 

55$' failed: 0x8b0 

04/06 06:36:20 SamOpenUser on 3386585 failed with 0xc0000022 

Falls Sie einen Fehler sehen, der ähnlich aussieht wie im folgenden Beispiel, konnte der 

Client keine SMB-Sitzung (Server Message Block) mit dem Domänencontroller einrichten, 

um das Clientcomputerkonto zu verwalten. Eine denkbare Ursache für dieses Problem ist, 

dass WINS-Registrierungen für einen Domänencontroller fehlen. 

NetUseAdd to \\ntdev-dc-02.ntdev.corp.microsoft.com\IPC$ returned 53 

Sie können dieses Problem reproduzieren (und testen, ob Sie es beseitigt haben), indem Sie 

eine Eingabeaufforderung öffnen und den folgenden Befehl ausführen: 

net use \\Server_von_oben\ipc$ /u:Konto_für_Beitritt Kennwort 

Sie können feststellen, ob die Windows 7-Edition den Beitritt zu einer Domäne unterstützt, 

indem Sie nach dem Schlüsselwort »NetpDomainJoinLicensingCheck« suchen (die neusten 

Einträge befinden sich am Ende der Protokolldatei). Falls »ulLicenseValue« einen anderen 

Wert als 1 hat, kann diese Edition von Windows nicht einer Domäne beitreten. Um einer 

Domäne beitreten zu können, muss ein Computer unter den Betriebssystemen Windows 7 

Professional, Windows 7 Enterprise oder Windows 7 Ultimate laufen. Das folgende Beispiel 

zeigt einen Protokolldateieintrag für einen Computer, der unter einer unterstützten Windows- 

Version läuft (erkennbar an »ulLicenseValue=1«): 

NetpDomainJoinLicensingCheck: ulLicenseValue=1, Status: 0x0


So überprüfen Sie die Anforderungen für den Beitritt zu einer Domäne 

Damit Sie einer Domäne erfolgreich beitreten oder sich an einer Domäne anmelden können, 

müssen Sie mehrere Anforderungen erfüllen. Wenn Sie eine Problembehandlung beim Beitritt 

zu einer Domäne durchführen, sollten Sie alle diese Anforderungen überprüfen: 

Der Clientcomputer muss in der Lage sein, die IP-Adresse eines Domänencontrollers 

aufzulösen In den meisten Unternehmensnetzwerken erhalten Clientcomputer 

eine IP-Adresszuweisung von einem DHCP-Server, und der DHCP-Server stellt die 

Adressen von AD DS-fähigen DNS-Servern zur Verfügung, die die IP-Adresse des 

Domänencontrollers auflösen können. Falls ein anderer DNS-Server konfiguriert ist, 

sollten Sie die IP-Konfiguration des Clientcomputers so aktualisieren, dass er einen AD 

DS-fähigen DNS-Server verwendet. Ist das nicht möglich, können Sie zwei Datensätze 

zu Ihrem vorhandenen DNS-Server hinzufügen, die die IP-Adresse eines Domänencontrollers 

auflösen: 

Einen _ldap._tcp.dc._msdcs.-SRV-Ressourceneintrag, der 

den Namen des Domänencontrollers angibt, der die AD DS-Domäne hostet. Dabei 

ist der DNS-Name der AD DS-Domäne, der Ihr Computer 

beizutreten versucht. 

Einen entsprechenden Adresse-(A)-Ressourceneintrag, der die IP-Adresse des 

Domänencontrollers angibt, der im _ldap._tcp.dc._msdcs.- 

SRV-Ressourceneintrag eingetragen ist. 

Der Clientcomputer muss in der Lage sein, Verkehr mit dem Domänencontroller 

über mehrere TCP- und UDP-Ports auszutauschen Diese Ports sind: 

TCP-Port 135 für RPC-Verkehr 

TCP-Port 389 und UDP-Port 389 für LDAP-Verkehr 

TCP-Port 636 für LDAP over SSL-Verkehr 

TCP-Port 3268 für LDAP-GC-Verkehr (Global Catalog) 

TCP-Port 3269 für LDAP-GC-SSL-Verkehr 

TCP-Port 53 und UDP-Port 53 für DNS-Verkehr 

TCP-Port 88 und UDP-Port 88 für Kerberos-Verkehr 

TCP-Port 445 für SMB-Verkehr (auch als CIFS-Verkehr bezeichnet) 

Hinweis Informationen darüber, wie Sie feststellen, ob bestimmte Ports verfügbar sind, 

finden Sie im Abschnitt »So führen Sie eine Behandlung von Anwendungsverbindungsproblemen 

durch« weiter oben in diesem Anhang. Am einfachsten können Sie alle diese 

Ports nacheinander testen, indem Sie Portqueryui.exe und den vordefinierten Dienst 

»Domains and Trusts« verwenden. 

Der Administrator muss die Privilegien haben, einen Computer zu einer Domäne 

hinzuzufügen Administratoren, die einen Computer zu einer Domäne hinzufügen, 

müssen das Benutzerrecht Hinzufügen von Arbeitsstationen zur Domäne haben.


Der Computer muss unter Windows 7 Professional, Windows 7 Enterprise oder 

Windows 7 Ultimate laufen Die Betriebssysteme Windows 7 Starter, Windows 7 

Home Basic und Windows 7 Home Premium sind nicht in der Lage, einer Domäne 

beizutreten. 

So führen Sie eine Behandlung von Problemen bei der Netzwerkerkennung 

durch 

Die Netzwerkerkennung macht es möglich, dass die Benutzer freigegebene Netzwerkressourcen 

im Fenster Netzwerk angezeigt bekommen. In privaten Netzwerken ist das bequem, 

weil die Benutzer Verbindungen zu Ressourcen herstellen können, ohne die Namen der 

anderen Computer im Netzwerk kennen zu müssen. In öffentlichen Netzwerken ist die Netzwerkerkennung 

dagegen ein Sicherheitsproblem, weil sie die Anwesenheit der Computer im 

öffentlichen Netzwerk bekannt macht und Benutzer unter Umständen Verbindungen zu 

einem potenziell gefährlichen Computer herstellen. 

Aus diesen Gründen ist die Netzwerkerkennung in privaten Netzwerken aktiviert, aber in 

öffentlichen Netzwerken standardmäßig deaktiviert. Bei der Verbindung mit einer AD DS- 

Domäne wird die Netzwerkerkennung durch Gruppenrichtlinieneinstellungen gesteuert, ist 

aber standardmäßig deaktiviert. Falls das Fenster Netzwerk daher keine freigegebenen Ressourcen 

im lokalen Netzwerk anzeigt, hat das fast mit Sicherheit den Grund, dass die Netzwerkerkennung 

deaktiviert ist. Das können Sie folgendermaßen ändern (alle Schritte erfordern 

Administratorprivilegien und können Ihren Computer angreifbar machen): 

1. Überprüfen Sie, ob der Dienst Funktionssuchanbieter-Host läuft. 

2. Stellen Sie sicher, dass in der Windows-Firewall Ausnahmen für die Netzwerkerkennung 

aktiviert sind. 

3. Ändern Sie den Typ des Netzwerks von »Öffentlich« auf »Privat«. Stattdessen können 

Sie auch von Hand die Netzwerkerkennung aktivieren, indem Sie das Fenster Netzwerkund 

Freigabecenter öffnen und die Netzwerkerkennung aktivieren. 

So führen Sie eine Behandlung von Problemen mit der Datei- 

und Druckerfreigabe durch 

Verschiedene unterschiedliche Faktoren können Probleme bei der Verbindung zu freigegebenen 

Dateien und Druckern verursachen (die dieselben Kommunikationsprotokolle nutzen): 

Die Windows-Firewall oder eine andere Softwarefirewall blockiert den Verkehr auf dem 

Client oder dem Server. 

Eine Netzwerkfirewall zwischen Client und Server blockiert den Verkehr. 

Der Client liefert ungültige Anmeldeinformationen und der Server weist den Verbindungsversuch 

des Clients zurück. 

Namensauflösungsprobleme verhindern, dass der Client die IP-Adresse des Servers 

ermitteln kann. 

Beginnen Sie mit der Problembehandlung auf dem Clientcomputer. Falls der Server ein 

Windows 7-Computer ist und Sie Administratorzugriff darauf haben, können Sie die Problembehandlung 

auch vom Server aus durchführen. Die beiden nächsten Abschnitte setzen 

voraus, dass Client und Server zur selben Domäne gehören.



vom Clientcomputer aus durch 

Gehen Sie folgendermaßen vor, um Probleme bei der Verbindung zu freigegebenen Dateien 

und Druckern zu beseitigen: 

1. Falls Sie eine Verbindung zum freigegebenen Ordner herstellen können, aber die Meldung 

»Zugriff verweigert« erhalten, wenn Sie versuchen, den Ordner zu öffnen, hat Ihr Benutzerkonto 

die Berechtigung, auf die Freigabe zuzugreifen, verfügt aber nicht über 

NTFS-Berechtigungen für den Ordner. Wenden Sie sich an den Serveradministrator, 

damit Sie die erforderlichen NTFS-Dateiberechtigungen gewährt bekommen. Falls der 

Server ein Windows 7-Computer ist, können Sie im Abschnitt »So führen Sie eine Behandlung 

von Problemen mit der Datei- und Druckerfreigabe vom Servercomputer aus 

durch« weiter unten in diesem Anhang weiterlesen. 

2. Überprüfen Sie, ob Sie den Namen des Servers richtig auflösen können. Geben Sie in 

einer Eingabeaufforderung den Befehl ping Hostname ein. Falls Ping eine IP-Adresse 

anzeigt, wie im folgenden Beispiel, können Sie den Namen des Servers richtig auflösen. 

Es ist dabei unerheblich, ob der Server auf die Ping-Anfragen antwortet. Falls dieser 

Schritt fehlschlägt, haben Sie es mit einem Namensauflösungsproblem zu tun. Wenden 

Sie sich an Ihren AD DS- oder DNS-Administrator. 

ping server 

Ping wird ausgeführt für server [10.1.42.22] mit 32 Bytes Daten: 

3. Versuchen Sie, statt zum Hostnamen des Servers eine Verbindung zur IP-Adresse des 

Servers herzustellen, die Sie im letzten Schritt ermittelt haben. Zum Beispiel können Sie 

statt \\Server\Drucker den Pfad \\10.1.42.22\Drucker angeben. 

4. Versuchen Sie, in einer Eingabeaufforderung mit dem Befehl net use \\IP_Adresse eine 

Verbindung zu einem Server herzustellen. Falls das gelingt, ist die Netzwerkkonnektivität 

vorhanden, aber Ihr Benutzerkonto verfügt nicht über die Privilegien, die Verbindung 

mit der Ordner- oder Druckerfreigabe herzustellen. Wenden Sie sich an den Serveradministrator, 

damit Ihr Konto die erforderlichen Freigabeberechtigungen erhält. Freigabeberechtigungen 

werden getrennt von den NTFS-Dateiberechtigungen verwaltet. 

5. Testen Sie mit Telnet oder PortQry, ob Ihr Computer eine Verbindung zu TCP-Port 445 

auf dem Remotecomputer herstellen kann. Falls Sie keine Verbindung zu TCP-Port 445 

herstellen können, sollten Sie als Nächstes TCP-Port 139 testen. Eine Anleitung, wie Sie 

die Konnektivität zu einem bestimmten Port überprüfen können, finden Sie im Abschnitt 

»So führen Sie eine Behandlung von Anwendungsverbindungsproblemen durch« weiter 

oben in diesem Anhang. Falls Sie weder über TCP-Port 139 noch TCP-Port 445 eine 

Verbindung herstellen können, sollten Sie überprüfen, ob Datei- und Druckerfreigabe auf 

dem Server aktiviert sind. Stellen Sie dann sicher, dass der Server eine Firewallausnahme 

für die TCP-Ports 139 und 445 konfiguriert hat oder in der Windows-Firewall eine Ausnahme 

für Datei- und Druckerfreigabe aktiviert ist. 

6. Versuchen Sie, eine Verbindung zum Server über ein Konto mit administrativen Anmeldeinformationen 

auf dem Server herzustellen. Falls Sie mit einem anderen Konto eine 

Verbindung herstellen können, verfügt Ihr normales Konto nicht über die erforderlichen 

Rechte. Wenden Sie sich an den Serveradministrator, damit er Ihrem Konto die erforder-


lichen Privilegien gewährt. Abhängig von der Serverkonfiguration können Sie Authentifizierungsprobleme 

manchmal auch daran erkennen, dass Sie sich das Sicherheitsereignisprotokoll 

ansehen. Allerdings muss die Überwachung für fehlgeschlagene Anmeldeversuche 

auf dem Server aktiviert sein, damit die entsprechenden Ereignisse zur Verfügung 

stehen. 

Falls Sie immer noch keine Verbindung herstellen können, müssen Sie die Problembehandlung 

auf dem Server fortsetzen. Falls Sie keinen Zugriff auf den Server haben, müssen Sie 

sich an den Serveradministrator wenden. 


vom Servercomputer aus durch 

Gehen Sie folgendermaßen vor, um eine Behandlung von Problemen mit der Datei- und 

Druckerfreigabe von einem Windows 7-Server aus durchzuführen, der den Ordner oder 

Drucker freigibt: 

1. Überprüfen Sie, ob der Ordner oder Drucker freigegeben ist. Klicken Sie mit der rechten 

Maustaste auf das Objekt und wählen Sie den Befehl Freigabe. Falls nicht angegeben 

ist, dass das Objekt bereits freigegeben wurde, können Sie es jetzt freigeben und dann 

erneut versuchen, vom Client aus eine Verbindung herzustellen. 

2. Falls Sie einen Ordner freigeben wollen, der noch nicht freigegeben wurde, können Sie 

mit der rechten Maustaste auf den Ordner klicken und den Befehl Freigabe wählen. 

Klicken Sie im Assistenten Dateifreigabe auf Zugriffsberechtigungen ändern. Falls der 

Assistent Dateifreigabe nicht erscheint, läuft der Serverdienst nicht. Fahren Sie dann mit 

dem nächsten Schritt fort. Überprüfen Sie andernfalls, ob das Benutzerkonto, mit dem 

versucht wird, auf die Freigabe zuzugreifen, in der Liste aufgeführt ist oder ob das Benutzerkonto 

Mitglied einer Gruppe ist, die in der Liste aufgeführt ist. Falls sich das 

Konto nicht in der Liste befindet, können Sie es hinzufügen. Klicken Sie auf Freigabe 

und dann auf Fertig. 

3. Überprüfen Sie, ob der Serverdienst läuft. Damit die Datei- und Druckerfreigabe funktioniert, 

sollte der Serverdienst laufen und so eingerichtet sein, dass er automatisch gestartet 

wird. 

4. Überprüfen Sie, ob die Benutzer die nötigen Berechtigungen haben, um auf die Ressourcen 

zuzugreifen. Klicken Sie mit der rechten Maustaste auf das Objekt und wählen Sie 

den Befehl Eigenschaften. Klicken Sie im Eigenschaftendialogfeld auf die Registerkarte 

Sicherheit. Überprüfen Sie, ob das Benutzerkonto, mit dem versucht wird, die Verbindung 

herzustellen, in der Liste aufgeführt ist oder ob das Benutzerkonto Mitglied einer 

Gruppe ist, die in der Liste aufgeführt ist. Falls das Konto nicht in der Liste steht, können 

Sie es hinzufügen. 

5. Überprüfen Sie die Windows-Firewallausnahmen, um sicherzustellen, dass die Firewall 

richtig konfiguriert ist. Gehen Sie dazu folgendermaßen vor: 


b. Klicken Sie auf Sicherheit und dann auf Windows-Firewall. 

c. Sehen Sie sich im Dialogfeld Windows-Firewall den Netzwerkstandort an. Klicken 

Sie auf Einstellungen ändern.


d. Klicken Sie im Dialogfeld Windows-Firewalleinstellungen auf die Registerkarte 

Ausnahmen. Überprüfen Sie, ob das Kontrollkästchen Datei- und Druckerfreigabe 


e. Wenn die Ausnahme Datei- und Druckerfreigabe aktiviert ist, gilt sie nur für das 

aktuelle Netzwerkprofil. Falls zum Beispiel die Windows-Firewall Ihren Netzwerkstandort 

als Domänennetzwerk angibt, ist die Ausnahme für Datei- und Druckerfreigabe 

unter Umständen nicht aktiviert, wenn Sie mit privaten oder öffentlichen Netzwerken 

verbunden sind. Außerdem erlaubt die Windows-Firewall in der Standardeinstellung 

nur Datei- und Druckerfreigabeverkehr aus dem lokalen Netzwerk, wenn 

Sie mit einem privaten oder öffentlichen Netzwerk verbunden sind. 

So führen Sie eine Behandlung von Problemen in Drahtlosnetzwerken durch 

Drahtlosnetzwerke sind inzwischen sehr verbreitet. Benutzer haben allerdings oft Probleme, 

eine Verbindung zu Drahtlosnetzwerken herzustellen, weil diese Netzwerke komplizierter 

sind als Kabelnetzwerke. Gehen Sie folgendermaßen vor, um eine Fehlerbehebung für Probleme 

bei der Verbindung zu einem Drahtlosnetzwerk durchzuführen. 

1. Überprüfen Sie, ob die Drahtlosnetzwerkkarte installiert und ihr Treiber aktiviert ist. 

Klicken Sie im Netzwerk- und Freigabecenter auf Adaptereinstellungen ändern. Falls 

Ihre Drahtlosnetzwerkverbindung nicht wie in Abbildung E.10 aufgeführt ist, ist Ihre 

Netzwerkkarte oder der Treiber nicht installiert. Weitere Informationen finden Sie in 


Abbildung E.10 Im Fenster Netzwerkverbindungen wird der Adapter angezeigt, 

falls Ihre Drahtlosnetzwerkkarte und der Treiber richtig installiert sind 

2. Falls eine Drahtlosnetzwerkkarte installiert ist, können Sie im Fenster Netzwerkverbindungen 

mit der rechten Maustaste darauf klicken und den Befehl Diagnose wählen. Folgen 

Sie den angezeigten Anweisungen. Windows 7 kann das Problem unter Umständen 

diagnostizieren. 

3. Öffnen Sie die Ereignisanzeige und sehen Sie sich das Systemereignisprotokoll an. Filtern 

Sie die Ereignisse, sodass nur Ereignisse angezeigt werden, deren Quelle »Diagnostics-Networking« 

lautet. Sehen Sie sich die jüngsten Ereignisse an und analysieren Sie 

die Informationen, die von der Windows-Problembehandlungsplattform als mögliche 

Ursachen des Problems angegeben werden.




Die Netzwerkdiagnose kann über 180 unterschiedliche Probleme im Zusammenhang 

mit Drahtlosnetzwerken diagnostizieren. Um die Netzwerkdiagnose für Drahtlosnetzwerke 

optimal zu nutzen, sollten Sie sicherstellen, dass Sie native WiFi-Treiber verwenden, 

keine Legacy-WiFi-Treiber. Welche Arten von Treibern auf einem System 

installiert sind, können Sie feststellen, indem Sie in einer Eingabeaufforderung den 


netsh wlan show drivers 

Suchen Sie in der Ausgabe nach der Zeile mit dem Inhalt »Typ«. Er sollte entweder 

»WiFi-Treiber (Vorgängerversion)« (für die Legacy-Treiber) oder »WiFi-Treiber 

(Ursprungsversion)« (für Native-Treiber) lauten. Falls ein Legacy-Treiber installiert 

ist, sollten Sie beim Hersteller der Drahtlosnetzwerkkarte nachfragen, ob ein Native- 

WiFi-Treiber für den Adapter verfügbar ist. 

4. Überprüfen Sie, ob Drahtlosnetzwerke auf Ihrem Computer aktiviert sind. Um Strom zu 

sparen, haben die meisten tragbaren Computer die Fähigkeit, den Sender für das Drahtlosnetzwerk 

zu deaktivieren. Oft wird das durch einen Hardwareschalter auf dem Computer 

gesteuert. In anderen Fällen müssen Sie eine spezielle, computerspezifische Tastenkombination 

drücken (zum Beispiel FN+F2), um den Sender zu aktivieren oder zu deaktivieren. 

Falls der Drahtlossender deaktiviert ist, wird die Netzwerkkarte zwar unter 

den Netzwerkverbindungen aufgeführt, kann aber keine Drahtlosnetzwerke anzeigen. 

5. Falls für die Drahtlosnetzwerkkarte die Meldung »Verbindung getrennt« angezeigt wird, 

sollten Sie versuchen, Verbindung mit einem Drahtlosnetzwerk herzustellen. Klicken Sie 

im Fenster Netzwerkverbindungen mit der rechten Maustaste auf den Netzwerkadapter 

und dann auf Verbinden. Klicken Sie im Dialogfeld Verbindung mit einem Netzwerk 

herstellen auf ein Drahtlosnetzwerk und dann auf Verbindung herstellen. 

6. Falls die Sicherheit beim Drahtlosnetzwerk aktiviert ist und Sie aufgefordert werden, 

den Kenncode einzugeben, aber keine Verbindung herstellen können (oder der Drahtlosadapter 

immer nur die Statusmeldung »Netzwerkidentifizierung« oder »Mit eingeschränktem 

Zugriff verbunden« anzeigt), sollten Sie überprüfen, ob Sie den Kenncode 

richtig eingetippt haben. Trennen Sie die Verbindung zum Netzwerk und stellen Sie sie 

unter Verwendung des richtigen Kenncodes wieder her. 

7. Falls Sie immer noch keine Verbindung zu einem Drahtlosnetzwerk herstellen können, 

sollten Sie eine Ablaufverfolgung für das Drahtlosnetzwerk durchführen und die Einzelheiten 

des Berichts nach einer möglichen Ursache des Problems durchsuchen, wie im 

Abschnitt »So führen Sie eine Behandlung von Leistungsproblemen und sporadischen 

Konnektivitätsproblemen durch« weiter oben in diesem Anhang beschrieben. 

Falls die Drahtlosnetzwerkkarte den Namen eines Drahtlosnetzwerks anzeigt (statt »Nicht 

verbunden«), haben Sie momentan Verbindung zu einem Drahtlosnetzwerk. Das bedeutet 

allerdings nicht zwangsläufig, dass Sie auch eine IP-Adressenkonfiguration zugewiesen 

bekommen, Zugriff auf andere Computer im Netzwerk erhalten oder Zugriff auf das Internet 

haben. Deaktivieren Sie erst die Netzwerkkarte und aktivieren Sie sie dann wieder, indem 

Sie mit der rechten Maustaste darauf klicken, den Befehl Deaktivieren wählen, dann erneut


mit der rechten Maustaste darauf klicken und den Befehl Aktivieren wählen. Stellen Sie dann 

erneut die Verbindung zu Ihrem Drahtlosnetzwerk her. Falls die Probleme bestehen bleiben, 

sollten Sie den Computer näher zum Drahtloszugriffspunkt bringen, um festzustellen, ob das 

Problem mit der Signalstärke zu tun hat. Drahtlosnetzwerke haben eine beschränkte Reichweite, 

und unterschiedliche Computer können unterschiedliche Antennentypen und somit 

unterschiedliche Reichweiten haben. Falls das Problem nicht mit der Drahtlosverbindung 

selbst zu tun hat, sollten Sie im Abschnitt »So führen Sie eine Behandlung von Netzwerkverbindungsproblemen 

durch« in diesem Anhang weiterlesen. 

Hinweis Dieser Abschnitt konzentriert sich lediglich auf die Konfiguration eines Drahtlosclients, 

der unter Windows 7 läuft, er beschreibt nicht, wie Sie eine Drahtlosnetzwerkinfrastruktur 

konfigurieren. Weitere Informationen finden Sie in Kapitel 10 des Buchs Windows 

Server 2008 Networking und Netzwerkzugriffsschutz von Joseph Davies und Tony Northrup 

(Microsoft Press, 2008). 

So führen Sie eine Behandlung von Firewallproblemen durch 

Viele Angriffe werden über Netzwerkverbindungen eingeleitet. Um die Folgen solcher Angriffe 

zu verringern, blockiert die Windows-Firewall in der Standardeinstellung unangeforderten, 

ungenehmigten eingehenden Verkehr sowie ungenehmigten ausgehenden Verkehr. 

Die Windows-Firewall verursacht zwar normalerweise keine Anwendungsprobleme, es 

besteht aber die Möglichkeit, dass sie eigentlich erlaubten Verkehr blockiert, falls sie nicht 

richtig konfiguriert ist. Wenn Sie eine Behandlung von Anwendungskonnektivitätsproblemen 

durchführen, müssen Sie oft die Windows-Firewallkonfiguration auf Client oder Server 

untersuchen und möglicherweise ändern. 

Eine falsche Konfiguration der Windows-Firewall kann ganz unterschiedliche Arten von 

Verbindungsproblemen verursachen. Auf einem Windows 7-Computer, der als Client agiert, 

kann die Windows-Firewall ausgehende Kommunikation für die Anwendung blockieren 

(obwohl das Blockieren ausgehender Kommunikation nicht standardmäßig aktiviert ist). Auf 

einem Windows 7-Computer, der als Server agiert (zum Beispiel ein Computer, der einen 

Ordner freigibt), kann eine falsche Konfiguration der Windows-Firewall zu folgenden Problemen 

führen: 

Die Windows-Firewall blockiert den gesamten eingehenden Verkehr für die Anwendung. 

Die Windows-Firewall erlaubt eingehenden Verkehr für das LAN, blockiert aber eingehenden 

Verkehr für andere Netzwerke. 

Die Windows-Firewall erlaubt eingehenden Verkehr, wenn der Computer mit einem 

Domänennetzwerk verbunden ist, blockiert aber eingehenden Verkehr, wenn der Computer 

mit einem öffentlichen oder privaten Netzwerk verbunden ist. 

Die Symptome einer falschen Firewallkonfiguration auf Client- oder Serverseite sind dieselben: 

Die Anwendungskommunikation schlägt fehl. Damit die Problembehandlung nicht zu 

einfach wird, können auch Netzwerkfirewalls dieselben Symptome verursachen. Beantworten 

Sie die folgenden Fragen, um die Ursache des Problems zu identifizieren: 

1. Können Sie von anderen Clients im selben Netzwerk aus eine Verbindung zum Server 

herstellen? Falls ja, haben Sie ein Problem bei der Konfiguration der serverseitigen Firewall, 

das wahrscheinlich mit dem konfigurierten Bereich einer Firewallausnahme zu tun


hat. Falls das Problem nicht dadurch beseitigt wird, dass Sie den Bereich der Firewallausnahme 

verändern, wird es wahrscheinlich durch eine Netzwerkfirewall verursacht. 

Wenden Sie sich in diesem Fall an Ihre Netzwerkadministratoren. 

2. Können Sie einen Verbindung zum Server herstellen, wenn der Client mit einem Netzwerkstandorttyp 

verbunden ist (zum Beispiel einem Heim- oder Domänennetzwerk), 

aber nicht, wenn er mit einem anderen Netzwerkstandorttyp verbunden ist? Falls ja, liegt 

ein Problem bei der Konfiguration der clientseitigen Firewall vor, das wahrscheinlich 

dadurch verursacht wird, dass eine Ausnahme nur für einen Netzwerkstandorttyp konfiguriert 

ist. 

3. Können andere Clients im selben Netzwerk mit derselben Anwendung eine Verbindung 

zum Server herstellen? Falls ja, handelt es sich um ein Problem mit der Konfiguration 

der clientseitigen Firewall, das wahrscheinlich dadurch verursacht wird, dass eine Regel 

ausgehenden Verkehr für die Anwendung blockiert. 

4. Kann der Client eine Verbindung zu anderen Servern herstellen, die dieselbe Anwendung 

verwenden? Falls ja, handelt es sich um ein Problem mit der Konfiguration der serverseitigen 

Firewall und Sie müssen eine Firewallausnahme zum Server hinzufügen. Falls 

das Problem nicht dadurch beseitigt wird, dass Sie eine Ausnahme hinzufügen, wird es 

wahrscheinlich durch eine Netzwerkfirewall verursacht. Wenden Sie sich in diesem Fall 

an Ihre Netzwerkadministratoren. 


Windows 7 kann viele häufiger vorkommende Netzwerkprobleme automatisch diagnostizieren. 

Andere Probleme sind komplizierter und erfordern, dass Sie als Administrator eine Problembehandlung 

durchführen, um die Ursache des Problems zu finden. Sobald Sie die Ursache 

des Problems isoliert haben, können Sie es unter Umständen selbst beseitigen. Falls 

das Problem auf einen ausgefallenen Netzwerkabschnitt oder andere Faktoren zurückzuführen 

ist, die außerhalb Ihres Einflussbereichs liegen, können Sie es immerhin an das richtige 

Supportteam weiterleiten, um es so schnell wie möglich beseitigen zu lassen.

A N H A N G F 

Problembehandlung für Abbruchfehler 




Wenn Windows ein unerwartetes Problem entdeckt, das es nicht mehr beheben kann, tritt ein 

Abbruchfehler (stop error) auf. Ein Abbruchfehler soll die Integrität des Systems schützen, 

indem sofort jegliche Verarbeitung beendet wird. Es ist zwar theoretisch möglich, dass Windows 

weiter funktioniert, falls es feststellt, dass in einer Kernkomponente ein schweres Problem 

aufgetreten ist, aber die Integrität des Systems wäre dann zweifelhaft. Das könnte zu 

Sicherheitsverletzungen, Systembeschädigung und ungültiger Transaktionsverarbeitung 

führen. 

Wenn ein Abbruchfehler auftritt, zeigt Windows eine Abbruchmeldung (stop message) an, 

manchmal auch als Bluescreen bezeichnet. Dies ist eine Textmodus-Fehlermeldung, die 

Informationen über die Bedingung anzeigt. Wenn Sie grundlegende Kenntnisse über Abbruchfehler 

und ihre möglichen Ursachen haben, sind Sie besser in der Lage, technische 

Informationen zu finden und zu verstehen oder Diagnoseprozeduren durchzuführen, um die 

Sie von Mitarbeitern des technischen Supports gebeten werden. 

Überblick über Abbruchmeldungen 

Abbruchfehler treten nur auf, wenn ein Problem nicht mithilfe der übergeordneten Fehlerbehandlungsmechanismen 

in Windows verarbeitet werden kann. Wenn ein Fehler in einer 

Anwendung auftritt, interpretiert normalerweise die Anwendung die Fehlermeldung und 

liefert dem Systemadministrator detaillierte Informationen. Abbruchfehler werden dagegen 

vom Kernel behandelt, und Windows kann nur grundlegende Informationen über den Fehler 

anzeigen, den Inhalt des Arbeitsspeichers auf die Festplatte schreiben (sofern Speicherabbilder 

aktiviert sind) und das System anhalten. Diese grundlegenden Informationen, die 

sogenannte Abbruchmeldung, sind im Abschnitt »Abbruchmeldungen« weiter unten in 

diesem Anhang ausführlich beschrieben. 

Weil in einer Abbruchmeldung nur so knappe Informationen stehen und das Betriebssystem 

jegliche Verarbeitung anhält, kann es schwierig sein, eine Problembehandlung für Abbruchfehler 

durchzuführen. Glücklicherweise treten sie im Allgemeinen nur sehr selten auf. Wenn 

sie doch auftreten, werden sie fast immer durch Treiberprobleme, Hardwareprobleme oder 

Dateiinkonsistenzen verursacht. 

609

610 Anhang F: Problembehandlung für Abbruchfehler 

Identifizieren des Abbruchfehlers 

Es gibt viele unterschiedliche Typen von Abbruchfehlern. Für jeden gibt es bestimmte Ursachen, 

und für jeden ist ein eigener Problembehandlungsprozess erforderlich. Daher besteht 

der erste Schritt bei der Problembehandlung eines Abbruchfehlers darin, den Abbruchfehler 

zu identifizieren. Sie brauchen folgende Informationen über den Abbruchfehler, um die Problembehandlung 

einleiten zu können: 

Nummer des Abbruchfehlers Diese Zahl identifiziert den Abbruchfehler eindeutig. 

Parameter des Abbruchfehlers Diese Parameter liefern zusätzliche Informationen 

über den Abbruchfehler. Ihre Bedeutung hängt von der Abbruchfehlernummer ab. 

Treiberinformationen Sofern vorhanden, identifizieren Treiberinformationen die 

wahrscheinlichste Ursache für das Problem. Allerdings werden nicht alle Abbruchfehler 

durch Treiber verursacht. 

Diese Informationen werden oft als Teil der Abbruchmeldung angezeigt. Notieren Sie sich 

diese Angaben nach Möglichkeit, damit Sie während des Problembehandlungsprozesses 

darauf zurückgreifen können. Falls das Betriebssystem neu startet, bevor Sie die Informationen 

abschreiben konnten, können Sie die Daten auch oft in der Ereignisanzeige aus dem 

Systemprotokoll auslesen. 

Falls Sie die Abbruchfehlernummer weder der Abbruchmeldung noch dem Systemprotokoll 

entnehmen können, können Sie sie aus einer Speicherabbilddatei (memory dump file) auslesen. 

In der Standardeinstellung ist Windows so konfiguriert, dass es jedes Mal ein Speicherabbild 

anlegt, wenn ein Abbruchfehler auftritt. Falls keine Speicherabbilddatei erstellt wurde, 

sollten Sie das System so konfigurieren, dass es künftig eine Speicherabbilddatei generiert. 

Sollte sich der Abbruchfehler dann wiederholen, können Sie die erforderlichen Informationen 

aus der Speicherabbilddatei auslesen. 

Informationen für die Problembehandlung recherchieren 

Jeder Abbruchfehler erfordert seine eigene Problembehandlungstechnik. Sobald Sie den 

Abbruchfehler identifiziert und die zugehörigen Informationen zusammengestellt haben, 

sollten Sie daher die folgenden Quellen nach Problembehandlungsinformationen durchsuchen, 

die für diesen Abbruchfehler relevant sind: 

Hilfe zu den Microsoft Debugging Tools for Windows Installieren Sie die Microsoft 

Debugging Tools for Windows und lesen Sie die Hilfe zu diesem Tool. Diese Hilfetexte 

enthalten die Referenzliste der Abbruchmeldungen und erklären, wie Sie eine Problembehandlung 

für eine Vielzahl von Abbruchfehlern durchführen. Wie Sie die Debugging 

Tools for Windows herunterladen und installieren, erfahren Sie unter http://www. 

microsoft.com/whdc/devtools/debugging/. 

Microsoft Knowledge Base Die Microsoft Knowledge Base enthält aktuelle Artikel 

über eine kleinere Auswahl von Abbruchfehlern. Informationen über Abbruchfehler in 

der Microsoft Knowledge Base betreffen oft einen bestimmten Treiber oder eine Hardwarekomponente, 

im Allgemeinen enthalten sie auch Schritt-für-Schritt-Anleitungen, 

wie Sie das Problem beseitigen können. 

Microsoft Hilfe und Support Informationen finden Sie in Microsoft Hilfe und 

Support unter http://support.microsoft.com.

Überblick über Abbruchmeldungen 611 

Microsoft Product Support Services Falls Sie die Ursache des Abbruchfehlers nicht 

genau bestimmen können, können Sie auf die fachkundigen Mitarbeiter der Microsoft 

Product Support Services zurückgreifen. Dabei müssen Sie unter Umständen bestimmte 

Informationen recherchieren und bestimmte Operationen durchführen, um dem technischen 

Support dabei zu helfen, Ihr Problem zu untersuchen. Weitere Informationen über 

Microsoft Product Support Services finden Sie unter http://www.microsoft.com/services/ 

microsoftservices/srv_support.mspx. 

Abbruchmeldungen 

Abbruchmeldungen liefern Informationen über Abbruchfehler. Sie sollen dem Systemadministrator 

dabei helfen, das Problem, das den Abbruchfehler ausgelöst hat, genau zu bestimmen 

und letztlich zu beseitigen. Abbruchmeldungen liefern eine Menge nützlicher Informationen 

für Administratoren, die wissen, wie sie die Informationen in der Abbruchmeldung zu interpretieren 

haben. Neben anderen Informationen enthält die Abbruchmeldung die Abbruchfehlernummer 

(auch bugcheck code), anhand derer Sie nach Problembehandlungsinformationen 

über den konkreten Abbruchfehler unter http://technet.microsoft.com suchen können. 

Wenn Sie eine Abbruchmeldung untersuchen, brauchen Sie ein bestimmtes Grundwissen 

über das Problem, damit Sie die weiteren Maßnahmen planen können. Sehen Sie sich immer 

die Abbruchmeldung an und notieren Sie so viele Informationen über das Problem wie möglich, 

bevor Sie die technischen Quellen durchsuchen. Abbruchmeldungen werden in einem 

Textmodus-Vollbildformat ausgegeben (Abbildung F.1). Die Texte von Abbruchmeldungen 

sind immer englisch, auch wenn Sie eine deutsche Windows-Version benutzen. 

Abbildung F.1 Abbruchmeldungen zeigen Informationen an, die Ihnen 

bei der Problembehandlung von Abbruchfehlern helfen


Wie in Abbildung F.1 gezeigt, umfasst ein Abbruchmeldungsbildschirm vier Hauptabschnitte, 

die folgende Informationen anzeigen: 

Fehlercode 

Empfohlene Maßnahmen 

Technische Informationen 

Treiberinformationen (sofern verfügbar) 

Debugport und Speicherabbildstatus 

Hinweis Falls die Grafikkartentreiber nicht mehr funktionieren, kann der Kernel unter Umständen 

nicht mehr die gesamte Abbruchmeldung anzeigen. In einem solchen Fall ist manchmal 

nur die erste Zeile sichtbar oder der Bildschirm ist völlig schwarz. Warten Sie einige 

Minuten, damit die Speicherabbilddatei erstellt werden kann, und wenden Sie dann die üblichen 

Problembehandlungstechniken an, wie sie in diesem Anhang beschrieben sind. 

Fehlercode 

Der Fehlercodeabschnitt führt den Abbruchfehler mit einem aussagekräftigen Namen auf. 

Diese Namen sind direkt den Abbruchfehlernummern zugeordnet, die im Abschnitt »Technische 

Informationen« aufgelistet sind. 

Empfohlene Maßnahmen 

Der Abschnitt »Empfohlene Maßnahmen« informiert den Benutzer, dass ein Problem aufgetreten 

ist und dass Windows angehalten wird. Er nennt auch den symbolischen Namen für 

den Abbruchfehler. In Abbildung F.1 lautet der symbolische Name BUGCODE_USB_DRI- 

VER. Der Abschnitt beschreibt nach Möglichkeit das Problem und führt Empfehlungen auf, 

wie sich eine Wiederherstellung durchführen lässt. In manchen Fällen kann es ausreichen, 

den Computer neu zu starten, weil es unwahrscheinlich ist, dass das Problem erneut auftritt. 

Falls der Abbruchfehler allerdings nach dem Neustart des Betriebssystems wieder auftritt, 

müssen Sie die eigentliche Ursache ermitteln, damit das Betriebssystem wieder benutzbar 

wird. Dazu ist es unter Umständen erforderlich, kürzliche Änderungen rückgängig zu 

machen, Hardware auszutauschen oder Treiber zu aktualisieren, um die Ursache des Problems 

zu beseitigen. 

Technische Informationen 

Der Abschnitt »Technische Informationen« (unter der Überschrift »Technical information«) 

listet die Abbruchfehlernummer auf (den sogenannten Abbruchfehlercode oder bugcheck 

code), gefolgt von maximal vier abbruchfehlerspezifischen Codes (angezeigt als Hexadezimalzahlen, 

die in Klammern eingeschlossen sind), die zugehörige Parameter angeben. 

Abbruchfehlercodes haben das Präfix »0x«, um anzuzeigen, dass es sich um eine Zahl im 

Hexadezimalformat handelt. Zum Beispiel hat der Abbruchfehler in Abbildung F.1 den 

Hexadezimalcode 0x000000FE (oft als 0xFE geschrieben). 

Treiberinformationen 

Der Abschnitt »Treiberinformationen« identifiziert den Treiber, der mit dem Abbruchfehler 

in Verbindung steht. Falls ein Dateiname angegeben ist, können Sie im abgesicherten Modus

Überblick über Abbruchmeldungen 613 

überprüfen, ob der Treiber signiert ist oder denselben Zeitstempel hat wie die anderen Treiber. 

Falls nötig, können Sie die Datei von Hand ersetzen (in der Systemstartreparatur oder im 

abgesicherten Modus) oder die vorherige Version des Treibers wiederherstellen. Weitere 

Informationen über das Tool Systemstartreparatur und den abgesicherten Modus finden Sie 

in Anhang C, »Konfiguration und Problembehandlung des Startvorgangs«. Weitere Informationen 

über die Problembehandlung bei Treibern finden Sie in Anhang D, »Problembehandlung 

für Hardware, Treiber und Laufwerke«. Die Abbruchmeldung aus Abbildung F.1 

zeigt keinen Treibernamen an. 

Debugport und Speicherabbildstatus 

Der Abschnitt »Debugport und Speicherabbildstatus« listet die Parameter für die serielle 

Schnittstelle auf, die ein Kerneldebugger benutzt (sofern einer aktiviert ist). Falls Sie Speicherabbilddateien 

aktiviert haben, gibt dieser Abschnitt auch an, ob diese Datei erfolgreich 

geschrieben wurde. Während eine Speicherabbilddatei auf die Festplatte geschrieben wird, 

wird der Prozentsatz in der Zeile »Dumping physical memory to disk« bis auf den Wert 100 

hochgezählt. Der Wert 100 bedeutet, dass das Speicherabbild erfolgreich gespeichert wurde. 

Weitere Informationen über das Installieren und Verwenden von Kerneldebuggern finden Sie 

im Abschnitt »Arbeiten mit Symboldateien und Debuggern« weiter unten in diesem Anhang. 

Arten von Abbruchfehlern 

Ein Hardware- oder Softwareproblem kann einen Abbruchfehler auslösen, der bewirkt, dass 

eine Abbruchmeldung erscheint. Abbruchmeldungen lassen sich normalerweise in eine der 

folgenden Kategorien einordnen: 

Abbruchfehler durch fehlerhafte Software Ein Abbruchfehler kann auftreten, wenn 

ein Treiber, ein Dienst oder eine Systemkomponente, die im Kernmodus laufen, eine 

Ausnahme auslöst. Zum Beispiel kann es sein, dass ein Treiber versucht, eine Operation 

auszuführen, die seine zugewiesene Interruptanforderungsebene (Interrupt ReQuest 

Level, IRQL) übersteigt, oder in eine ungültige Speicheradresse zu schreiben. Es mag so 

aussehen, als ob eine Abbruchmeldung zufällig auftaucht, aber durch sorgfältige Beobachtung 

schaffen Sie es vielleicht, das Problem mit einer bestimmten Aktivität zu verknüpfen. 

Überprüfen Sie, ob die gesamte in Frage kommende Software (insbesondere 

Treiber) vollständig Windows 7-kompatibel ist und Sie die neusten Versionen verwenden. 

Windows 7-Kompatibilität ist insbesondere für Anwendungen wichtig, die Treiber installieren. 

Abbruchfehler durch Hardwareprobleme Dieses Problem tritt als unvorhergesehenes 

Ereignis aufgrund defekter, fehlerhafter oder falsch konfigurierter Hardware auf. 

Falls Sie vermuten, dass ein Abbruchfehler durch Hardware verursacht wird, sollten Sie 

erst die neusten Treiber für diese Hardware installieren. Fehlerhafte Hardware kann aber 

Abbruchfehler auslösen, auch wenn die Stabilität der Treiber einwandfrei ist. Weitere 

Informationen über die Problembehandlung bei Hardwareproblemen finden Sie in Anhang 

D, »Problembehandlung für Hardware, Treiber und Laufwerke«. 

Abbruchfehler der Windows-Exekutive-Initialisierung Abbruchfehler der Windows-Exekutive-Initialisierung 

treten nur während des relativ kurzen Zeitraums auf, in 

dem die Initialisierung der Windows-Exekutive abläuft. Meist werden diese Abbruchfehler 

durch beschädigte Systemdateien oder fehlerhafte Hardware verursacht. Sie sollten 

sie beheben, indem Sie das Tool Systemstartreparatur ausführen, wie in Anhang C,


»Konfiguration und Problembehandlung des Startvorgangs«, beschrieben. Falls die Probleme 

weiterhin bestehen, sollten Sie sicherstellen, dass alle Hardwarekomponenten mit 

der neusten Firmware versehen sind, und dann die Problembehandlung wie in Anhang D, 

»Problembehandlung für Hardware, Treiber und Laufwerke«, beschrieben fortsetzen. 

Installationsabbruchfehler während des Setups Bei Neuinstallationen treten Installationsabbruchfehler 

meist wegen inkompatibler Hardware, defekter Hardware oder veralteter 

Firmware auf. Während eines Betriebssystemupdates können Abbruchfehler auftreten, 

wenn inkompatible Anwendungen und Treiber auf dem System vorhanden sind. 

Aktualisieren Sie die Firmware des Computers auf die Version, die vom Computerhersteller 

empfohlen wird, bevor Sie Windows installieren. In der Dokumentation zu Ihrem 

System ist normalerweise beschrieben, wie Sie die Firmware Ihres Computers prüfen 

und aktualisieren. 

Speicherabbilddateien 

Wenn ein Abbruchfehler auftritt, zeigt Windows Informationen an, die Ihnen helfen können, 

die eigentliche Ursache für das Problem zu identifizieren. Windows schreibt die Informationen 

standardmäßig in die Auslagerungsdatei (Pagefile.sys) im Stammverzeichnis des 

Systemdatenträgers. Wenn Sie den Computer im normalen oder abgesicherten Modus neu 

starten, nachdem ein Abbruchfehler aufgetreten ist, erstellt Windows anhand der Auslagerungsdateiinformationen 

eine Speicherabbilddatei im Ordner %SystemRoot%. Eine Analyse 

der Speicherabbilddatei kann weitere Informationen über die eigentliche Ursache eines Problems 

liefern, und Sie können eine Offlineanalyse ausführen, indem Sie Analysetools auf 

einem anderen Computer verwenden. 

Sie können Ihr System so konfigurieren, dass es drei unterschiedliche Arten von Speicherabbilddateien 

generiert: 

Kleine Speicherabbilddateien Manchmal auch als »Mini-Speicherabbilddateien« 

bezeichnet. Diese Speicherabbilddateien enthalten am wenigsten Informationen, sind 

aber sehr kompakt. Kleine Speicherabbilddateien können schnell auf die Festplatte geschrieben 

werden, sodass die Ausfallzeit verkürzt wird und das Betriebssystem schneller 

wieder starten kann. Windows speichert kleine Speicherabbilddateien (im Unterschied 

zu Kernel- und vollständigen Speicherabbilddateien) im Ordner %SystemRoot%\Minidump, 

statt den Dateinamen %SystemRoot%\Memory.dmp zu verwenden. 

Kernelspeicherabbilddateien Zeichnet den Inhalt des Kernelspeichers auf. Kernelspeicherabbilddateien 

erfordern eine größere Auslagerungsdatei auf dem Startgerät als 

kleine Speicherabbilddateien, und es dauert länger, sie zu generieren, wenn ein Fehler 

aufgetreten ist. Sie zeichnen allerdings deutlich mehr Informationen auf und sind nützlicher, 

wenn Sie eine tiefgehende Analyse durchführen müssen. Wenn Sie Ihren Computer 

so konfigurieren, dass er eine Kernelspeicherabbilddatei anlegt, generiert Windows 

zusätzlich auch eine kleine Speicherabbilddatei. 

Vollständige Speicherabbilddateien Zeichnet den gesamten Inhalt des Hardwarearbeitsspeichers 

auf, wenn ein Abbruchfehler auftritt. Eine vollständige Speicherabbilddatei 

ist etwas größer als die Menge des Hardwarespeichers, der beim Auftreten des 

Fehlers installiert ist. Wenn Sie Ihren Computer so konfigurieren, dass er eine vollständige 

Speicherabbilddatei anlegt, generiert Windows zusätzlich auch eine kleine Speicherabbilddatei.

Speicherabbilddateien 615 

In der Standardeinstellung ist Windows so konfiguriert, dass es Kernelspeicherabbilddateien 

generiert. Kleine Speicherabbilddateien werden in der Standardeinstellung im Ordner 

%SystemRoot%\Minidump gespeichert, Kernel- und vollständige Speicherabbilddateien in 

einer Datei namens %SystemRoot%\Memory.dmp. Gehen Sie folgendermaßen vor, um den 

Typ der von Windows generierten Speicherabbilddatei oder ihren Speicherort zu ändern: 




3. Klicken Sie im Dialogfeld Systemeigenschaften auf die Registerkarte Erweitert. Klicken 

Sie im Feld Starten und Wiederherstellen auf die Schaltfläche Einstellungen. 

4. Klicken Sie auf die Dropdownliste Debuginformationen speichern und wählen Sie den 

gewünschten Typ für die Speicherabbilddatei aus. 

5. Ändern Sie bei Bedarf den Pfad im Feld Sicherungsdatei. Abbildung F.2 zeigt das 

Dialogfeld Starten und Wiederherstellen. 

Abbildung F.2 Im Dialogfeld Starten und Wiederherstellen können 

Sie den Typ und den Speicherort der Speicherabbilddatei ändern 

6. Klicken Sie zweimal auf OK und starten Sie dann das Betriebssystem neu, wenn Sie 

dazu aufgefordert werden. 

Die folgenden Abschnitte beschreiben die unterschiedlichen Speicherabbilddateitypen 

genauer. 

Konfigurieren von kleinen Speicherabbilddateien 

Kleine Speicherabbilddateien enthalten am wenigsten Informationen, verbrauchen aber auch 

am wenigsten Festplattenplatz. In der Standardeinstellung speichert Windows kleine Speicherabbilddateien 

im Ordner %SystemRoot%\Minidump. 

Windows erstellt immer eine kleine Speicherabbilddatei, wenn ein Abbruchfehler auftritt, 

auch dann, wenn Sie die Optionen für eine Kernelspeicherabbilddatei oder eine vollständige


Speicherabbilddatei gewählt haben. Kleine Speicherabbilddateien können von der Windows- 

Fehlerberichterstattung (Windows Error Reporting, WER) sowie von Debuggern ausgewertet 

werden. Diese Tools lesen den Inhalt einer kleinen Speicherabbilddatei, um Probleme zu 

diagnostizieren, die Abbruchfehler auslösen. Weitere Informationen finden Sie in den Abschnitten 

»Analysieren von Abbruchfehlern mithilfe von Speicherabbilddateien« und »Arbeiten 

mit der Windows-Fehlerberichterstattung« weiter unten in diesem Anhang. 

Eine kleine Speicherabbilddatei zeichnet gerade so viele Informationen auf, wie wahrscheinlich 

nötig sind, um zu ermitteln, warum das System unerwartet angehalten wurde. Zum Beispiel 

enthält das kleine Speicherabbild folgende Informationen: 

Abbruchfehlerinformationen Enthält die Fehlernummer und zusätzliche Parameter, 

die den Abbruchfehler beschreiben. 

Eine Liste der Treiber, die auf dem System laufen Gibt an, welche Module in den 

Arbeitsspeicher geladen waren, als der Abbruchfehler auftrat. Diese Gerätetreiberinformationen 

umfassen Dateinamen, Datum, Version, Größe und Hersteller. 

Prozessorkontextinformationen für den Prozess, der angehalten wurde Enthält 

Prozessor- und Hardwarestatus, Leistungsindikatoren, Multiprozessorpaketinformationen, 

Informationen zu verzögerten Prozeduraufrufen und Interrupts. 

Kernelkontextinformationen für den Prozess, der angehalten wurde Enthält den 

Offset der Verzeichnistabelle und die Speicherseitennummer-Datenbank, die den Status 

jeder Hardwareseite im Arbeitsspeicher beschreibt. 

Kernelkontextinformationen für den Thread, der angehalten wurde Enthält Register 

und Interruptanforderungsebenen sowie Zeiger auf Datenstrukturen des Betriebssystems. 

Informationen zum Kernmodus-Aufrufstapel für den Thread, der angehalten 

wurde Besteht aus einer Reihe von Arbeitsspeicheradressen und einem Zeiger auf die 

Stelle, von der aus der Aufruf erfolgte. Entwickler können anhand dieser Informationen 

möglicherweise die Ursache des Fehlers ermitteln. Falls diese Informationen größer sind 

als 16 KByte, werden nur die obersten 16 KByte aufgezeichnet. 

Eine kleine Speicherabbilddatei setzt eine Auslagerungsdatei mit mindestens 2 MByte Platz 

auf dem Startvolume voraus. Das Betriebssystem speichert jedes Mal bei einem Abbruchfehler 

die entsprechende Speicherabbilddatei unter einem eindeutigen Dateinamen. Der Dateiname 

enthält das Datum, an dem der Abbruchfehler auftrat. Zum Beispiel ist Mini011009- 

02.dmp die zweite kleine Speicherabbilddatei, die am 10. Januar 2009 generiert wurde. 

Kleine Speicherabbilddateien sind nützlich, wenn der Platz begrenzt ist oder wenn Sie eine 

langsame Verbindung benutzen, um Informationen an den technischen Support zu senden. 

Weil diese Speicherabbilddateien nur eine begrenzte Menge an Informationen aufzeichnen, 

enthalten sie keine Fehler, die nicht direkt durch den Thread ausgelöst wurden, der lief, als 

das Problem auftrat. 

Konfigurieren von Kernelspeicherabbilddateien 

In der Standardeinstellung erstellen Windows-Systeme Kernelspeicherabbilddateien. Die 

Kernelspeicherabbilddatei ist eine Speicherabbilddatei mittlerer Größe, die nur Kernelspeicher 

aufzeichnet. Sie kann mehrere MByte Festplattenplatz benötigen. Es dauert länger, eine 

Kernelspeicherabbilddatei zu erstellen als eine kleine Speicherabbilddatei. Daher verlängert


sich die Ausfallzeit, die wegen des Systemfehlers auftritt. Auf den meisten Systemen ist der 

Anstieg der Ausfallzeit aber minimal. 

Kernelspeicherabbilder enthalten zusätzliche Informationen, die bei der Problembehandlung 

helfen können. Wenn ein Abbruchfehler auftritt, speichert Windows eine Kernelspeicherabbilddatei 

in einer Datei namens %SystemRoot%\Memory.dmp und legt eine kleine Speicherabbilddatei 

im Ordner %SystemRoot%\Minidump ab. 

Eine Kernelspeicherabbilddatei zeichnet nur Kernelspeicherdaten auf, weshalb die Speicherabbilddatei 

schneller generiert werden kann. Die Kernelspeicherabbilddatei enthält keinen 

unbenutzten Arbeitsspeicher oder irgendwelchen Arbeitsspeicher, der Benutzermodusprogrammen 

zugewiesen ist. Sie enthält ausschließlich Arbeitsspeicher, der der Windows-Exekutive, 

dem Kernel, dem Hardware Abstraction Layer (HAL) und dem Dateisystemcache 

zugewiesen sind, außerdem nichtausgelagerten Pool-Arbeitsspeicher, der Kernmodustreibern 

und anderen Kernmodusroutinen zugewiesen ist. 

Die Größe der Kernelspeicherabbilddatei variiert, sie ist aber immer kleiner als der Systemarbeitsspeicher. 

Wenn Windows die Speicherabbilddatei erstellt, schreibt es erst die Informationen 

in die Auslagerungsdatei. Daher kann es sein, dass die Auslagerungsdatei so groß 

wird wie der Hardwarearbeitsspeicher. Später werden die Speicherabbilddateiinformationen 

aus der Auslagerungsdatei in die eigentliche Speicherabbilddatei extrahiert. Um sicherzustellen, 

dass Sie genügend Platz frei haben, sollten Sie überprüfen, ob der freie Speicherplatz 

auf dem Systemlaufwerk größer ist als der Hardwarearbeitsspeicher, für den Fall, dass die 

Auslagerungsdatei auf die Größe des Hardwarearbeitsspeichers anwächst. Sie können die 

Größe einer Kernelspeicherabbilddatei zwar nicht genau vorhersagen, eine brauchbare 

Daumenregel lautet aber, dass zwischen 50 MByte und 800 MByte (oder ein Drittel der 

Hardwarearbeitsspeichergröße) auf dem Startvolume für die Auslagerungsdatei zur Verfügung 

stehen muss. 

In den meisten Fällen reicht eine Kernelspeicherabbilddatei für die Problembehandlung von 

Abbruchfehlern aus. Sie enthält mehr Informationen als eine kleine Speicherabbilddatei und 

ist kleiner als eine vollständige Speicherabbilddatei. Sie ignoriert Abschnitte des Arbeitsspeichers, 

bei denen es unwahrscheinlich ist, dass sie mit dem Problem zu tun haben. Manche Probleme 

erfordern allerdings eine vollständige Speicherabbilddatei für die Problembehandlung. 

Hinweis In der Standardeinstellung überschreibt eine neue Kernelspeicherabbilddatei eine 

bereits vorhandene Datei. Sie können diese Standardeinstellung ändern, indem Sie das Kontrollkästchen 

Vorhandene Dateien überschreiben deaktivieren. Sie können eine vorhandene 

Speicherabbilddatei auch vor der Problembehandlung umbenennen oder verschieben. 

Konfigurieren von vollständigen Speicherabbilddateien 

Eine vollständige Speicherabbilddatei (complete memory dump file oder auch full memory 

dump file) enthält den gesamten Inhalt des Hardwarearbeitsspeichers zu dem Zeitpunkt, als 

der Abbruchfehler auftrat. Dazu gehören alle Informationen, die schon in einer Kernelspeicherabbilddatei 

enthalten sind, und zusätzlich der Benutzermodusarbeitsspeicher. Daher 

können Sie vollständige Speicherabbilddateien analysieren, um sich den Inhalt von Arbeitsspeicher 

anzusehen, der innerhalb von Anwendungen verwendet wird. Das ist allerdings nur 

selten erforderlich oder sinnvoll, wenn eine Behandlung von Anwendungsproblemen durchgeführt 

wird.


Falls Sie vollständige Speicherabbilddateien verwenden wollen, müssen Sie genug Platz auf 

der Partition %SystemDrive% frei haben, dass er für den Inhalt des Hardware-RAM ausreicht. 

Außerdem brauchen Sie eine Auslagerungsdatei, die mindestens so groß ist wie Ihr Hardware-RAM. 

Wenn ein Abbruchfehler auftritt, speichert das Betriebssystem eine vollständige Speicherabbilddatei 

in einer Datei namens %SystemRoot%\Memory.dmp und erstellt eine kleine 

Speicherabbilddatei im Ordner %SystemRoot%\Minidump. Ein Mitarbeiter des technischen 

Supports bei Microsoft bittet Sie unter Umständen, diese Einstellung zu ändern, um Datenuploads 

über langsame Verbindungen zu beschleunigen. Abhängig von der Geschwindigkeit 

Ihrer Internetverbindung ist es unter Umständen nicht praktikabel, die Daten hochzuladen. 

Sie werden dann möglicherweise gebeten, die Speicherabbilddatei auf einem Wechseldatenträger 

zur Verfügung zu stellen. 

Hinweis In der Standardeinstellung überschreibt eine neue vollständige Speicherabbilddatei 

eine bereits vorhandene Datei. Sie können diese Standardeinstellung ändern, indem Sie das 

Kontrollkästchen Vorhandene Dateien überschreiben deaktivieren. Sie können eine vorhandene 

Speicherabbilddatei auch vor der Problembehandlung umbenennen oder verschieben. 

So können Sie von Hand einen Abbruchfehler auslösen 

und eine Speicherabbilddatei erstellen 

Um absolut sicher sein zu können, dass eine Speicherabbilddatei erstellt wird, falls ein Abbruchfehler 

auftritt, können Sie einen Abbruchfehler von Hand auslösen, indem Sie einen 

Registrierungswert verändern und eine spezielle Tastenkombination drücken. Sobald Windows 

neu gestartet ist, können Sie nachprüfen, ob die Speicherabbilddatei richtig erstellt 

wurde. 

Gehen Sie folgendermaßen vor, um von Hand ein Absturzabbild generieren zu lassen: 

1. Geben Sie im Suchfeld des Startmenüs den Befehl regedit ein. Klicken Sie im Startmenü 

mit der rechten Maustaste auf Regedit und wählen Sie den Befehl Als Administrator 

ausführen. Bestätigen Sie die UAC-Eingabeaufforderung (User Account Control, 

Benutzerkontensteuerung), die daraufhin angezeigt wird. 

2. Wechseln Sie im Registrierungs-Editor zum Pfad HKEY_LOCAL_MACHINE\System\ 

CurrentControlSet\Services\i8042prt\Parameters. 

3. Wählen Sie den Menübefehl Bearbeiten/Neu/DWORD-Wert (32-Bit) und fügen Sie den 

folgenden Registrierungswert hinzu: 

Wertname: CrashOnCtrlScroll 

Wert: 1 

4. Schließen Sie den Registrierungs-Editor und starten Sie den Computer neu. 

5. Melden Sie sich an Windows an. Halten Sie die rechte STRG-Taste gedrückt und drücken 

Sie dann zweimal die ROLLEN-Taste, um einen Abbruchfehler zu provozieren. 

In einem virtuellen Computer, auf dem die Virtual Machine Additions installiert sind, ist es 

nicht möglich, einen Abbruchfehler von Hand zu provozieren.

Analysieren von Abbruchfehlern mithilfe von Speicherabbilddateien 


Speicherabbilddateien zeichnen detaillierte Informationen über den Zustand Ihres Betriebssystems 

zu dem Zeitpunkt auf, als der Abbruchfehler auftrat. Sie können Speicherabbilddateien 

von Hand mithilfe von Debugtools analysieren oder über automatisierte Prozesse, 

die von Microsoft zur Verfügung gestellt werden. Die Informationen, die Sie bekommen, 

können Ihnen helfen, die eigentliche Ursache für das Problem besser zu verstehen. 

Sie können Ihre Speicherabbilddateiinformationen mit der Windows-Fehlerberichterstattung 

an Microsoft hochladen. Sie können auch die folgenden Debugtools verwenden, um Ihre 

Speicherabbilddateien von Hand zu analysieren: 

Microsoft Kernel Debugger (Kd.exe) 

Microsoft WinDbg Debugger (WinDbg.exe) 

Informationen über den Abbruchfehler finden Sie auch im Systemprotokoll, nachdem ein 

Abbruchfehler aufgetreten ist. Zum Beispiel zeigt das folgende Informationsereignis (die 

Quelle lautet »BugCheck« und die Ereignis-ID 1001) an, dass ein 0xFE-Abbruchfehler aufgetreten 

ist: 

Der Computer ist nach einem schwerwiegenden Fehler neu gestartet. 

Der Fehlercode war: 0x000000fe (0x00000008, 0x00000006, 0x00000001, 0x87b1e000). 

Ein volles Abbild wurde gespeichert in: C:\Windows\MEMORY.DMP. 

Arbeiten mit der Windows-Fehlerberichterstattung 

Wenn der Windows-Fehlerberichterstattungsdienst aktiviert ist, überwacht er Ihr Betriebssystem 

auf Fehler, die mit Betriebssystemkomponenten und Anwendungen zu tun haben. 

Wenn Sie den Windows-Fehlerberichterstattungsdienst verwenden, können Sie weitere 

Informationen über das Problem oder die Bedingungen ermitteln, die den Abbruchfehler 

ausgelöst haben. 

Wenn ein Abbruchfehler auftritt, zeigt Windows eine Abbruchmeldung an und schreibt 

Diagnoseinformationen in die Speicherabbilddatei. Zu Berichterstattungszwecken speichert 

das Betriebssystem außerdem eine kleine Speicherabbilddatei. Wenn Sie Ihr System das 

nächste Mal starten und sich als Administrator bei Windows anmelden, sammelt die Windows-Fehlerberichterstattung 

Informationen über das Problem und führt folgende Aktionen 

durch: 

1. Windows zeigt das Dialogfeld Windows wird nach unerwartetem Herunterfahren wieder 

ausgeführt an (Abbildung F.3). Sie können sich Abbruchfehlercode, Betriebssysteminformationen 

und Speicherort der Speicherabbilddatei anzeigen lassen, indem Sie auf 

Problemdetails anzeigen klicken. Klicken Sie auf Problembehandlung, um die Informationen 

aus der Mini-Speicherabbilddatei und unter Umständen andere temporäre Dateien 

an Microsoft zu senden. 

2. Unter Umständen werden Sie aufgefordert, zusätzliche Informationen über künftige 

Fehler zu sammeln. Klicken Sie auf Sammlung aktivieren (Abbildung F.4). 

3. Es kann auch sein, dass Sie aufgefordert werden, die Diagnose zu aktivieren (Abbildung 

F.5). Klicken Sie in diesem Fall auf Diagnose aktivieren.


Abbildung F.3 Windows bietet Ihnen an, nach einer Lösung zu suchen, 

sobald das System nach einem Abbruchfehler wiederhergestellt wurde 

Abbildung F.4 Windows fordert Sie unter Umständen auf, 

weitere Informationen für künftige Fehlerberichte zu sammeln 

Abbildung F.5 Windows fordert Sie unter Umständen 

auf, die Diagnose zu aktivieren, damit mehr Problem- 

behandlungsinformationen gesammelt werden können 

4. Falls Sie aufgefordert werden, weitere Details zu senden, sollten Sie auf Details anzeigen 

klicken, um zu prüfen, welche zusätzlichen Informationen gesendet werden. Klicken 

Sie dann auf Informationen senden. 

5. Falls Sie aufgefordert werden, auch künftig automatisch Informationen über Probleme 

zu senden, können Sie Ja oder Nein wählen. 

6. Wenn eine mögliche Lösung verfügbar ist, zeigt das Wartungscenter in der Taskleiste ein 

Symbol mit einer Benachrichtigungsmeldung an. 

7. Öffnen Sie das Wartungscenter und sehen Sie sich die Lösung an. Stattdessen können 

Sie auch in der Systemsteuerung auf Alle Problemberichte anzeigen klicken. 

Falls die Windows-Fehlerberichterstattung die Ursache eines Fehlers nicht identifiziert, 

können Sie möglicherweise mithilfe eines Debuggers feststellen, ob ein bestimmter Treiber 

die Ursache ist. Dies ist im nächsten Abschnitt beschrieben.

Arbeiten mit Symboldateien und Debuggern 


Sie können Speicherabbilddateien auch mithilfe eines Kerneldebuggers analysieren. Kerneldebugger 

sind in erster Linie für Entwickler gedacht, die eine tiefgehende Analyse des Anwendungsverhaltens 

durchführen müssen. Kerneldebugger sind aber auch nützliche Tools 

für Administratoren, die eine Problembehandlung für Abbruchfehler durchführen. Insbesondere 

können Kerneldebugger benutzt werden, um Speicherabbilddateien zu analysieren, 

nachdem ein Abbruchfehler aufgetreten ist. 

Ein Debugger ist ein Programm, mit dem Benutzer, die über das Benutzerrecht Debuggen 

von Programmen verfügen (standardmäßig nur die Administratorengruppe), schrittweise die 

Softwarebefehle durchgehen, Daten untersuchen und nach bestimmten Bedingungen suchen 

können. Die beiden folgenden Kerneldebugger werden zum Beispiel mit den Debugging 

Tools for Windows installiert: 

Kernel Debugger Kernel Debugger (Kd.exe) ist ein Befehlszeilendebugger, mit dem 

Sie eine Speicherabbilddatei analysieren können, die auf die Festplatte geschrieben 

wurde, als eine Abbruchmeldung auftrat. Der Kernel Debugger setzt voraus, dass Sie 

Symboldateien auf Ihrem System installieren. 

WinDbg Debugger WinDbg Debugger (WinDbg.exe) bietet eine ähnliche Funktionalität 

wie Kernel Debugger, verwendet aber eine grafische Benutzeroberfläche (Graphical 

User Interface, GUI). 

Beide Tools erlauben es Benutzern mit dem Benutzerrecht Debuggen von Programmen, den 

Inhalt einer Speicherabbilddatei zu analysieren und Kernmodus- und Benutzermodusprogramme 

sowie Treiber zu debuggen. Kernel Debugger und WinDbg Debugger sind nur zwei 

der vielen Tools, die in den Debugging Tools for Windows enthalten sind. Weitere Informationen 

über diese und andere Debugtools, die in den Debugging Tools for Windows enthalten 

sind, finden Sie in der Hilfe zu Debugging Tools for Windows. 

Wenn Sie mit WinDbg ein Absturzabbild analysieren wollen, müssen Sie erst die Debugging 

Tools for Windows installieren, die unter http://www.microsoft.com/whdc/devtools/debugging/ 

zur Verfügung stehen. 

Um möglichst viele Informationen aus einer Speicherabbilddatei zu gewinnen, müssen Sie 

dem Debugger Zugriff auf Symboldateien verschaffen. Der Debugger verwendet Symboldateien, 

um den Arbeitsspeicheradressen besser verständliche Modul- und Funktionsnamen 

zuzuordnen. Am einfachsten können Sie dem Debugger Zugriff auf Symboldateien verschaffen, 

indem Sie ihn so konfigurieren, dass er auf den Microsoft-Symbolserver zugreift, der im 

Internet zur Verfügung steht. 

Gehen Sie folgendermaßen vor, um den Debugger so zu konfigurieren, dass er den Microsoft-Symbolserver 

verwendet: 

1. Klicken Sie im Startmenü auf Alle Programme, dann auf Debugging Tools for Windows, 

klicken Sie mit der rechten Maustaste auf WinDbg und wählen Sie den Befehl Als Administrator 

ausführen. 

2. Wählen Sie den Menübefehl File/Symbol File Path. 

3. Geben Sie im Feld Symbol path den folgenden Pfad ein: 

SRV**http://msdl.microsoft.com/download/symbols


Dabei steht für einen Pfad auf der Festplatte, in dem der Debugger die 

heruntergeladenen Symboldateien speichert. Der Debugger erstellt automatisch, 

wenn Sie eine Speicherabbilddatei analysieren. 

Wenn Sie die Symboldateien zum Beispiel in C:\Websymbols speichern wollen, müssen 

Sie als Symboldateipfad SRV*c:\websymbols*http://msdl.microsoft.com/download/ 

symbols eintragen 


Debugger benötigen keinen Zugriff auf Symboldateien, um die Abbruchfehlernummer 

und die Parameter aus einer Speicherabbilddatei abzurufen. Debugger können die Ursache 

eines Abbruchfehlers oft auch ohne Zugriff auf Symbole identifizieren. 

Hinweis Sie können Symboldateien auch für die Offlineverwendung von http://www. 

microsoft.com/whdc/devtools/debugging/ herunterladen. 

Gehen Sie folgendermaßen vor, um eine Speicherabbilddatei zu analysieren: 

1. Klicken Sie im Startmenü auf Alle Programme, dann auf Debugging Tools for Windows, 

klicken Sie mit der rechten Maustaste auf WinDbg und wählen Sie den Befehl Als Administrator 

ausführen. 

2. Wählen Sie den Menübefehl File/Open Crash Dump. 

3. Geben Sie den Speicherort der Speicherabbilddatei ein und klicken Sie dann auf Open. 

In der Standardeinstellung ist der Speicherort %SystemRoot%\Memory.dmp. 

4. Klicken Sie im Dialogfeld Save Information for Workspace auf No. 

5. Wählen Sie das Fenster Command aus. 

Wie in Abbildung F.6 gezeigt, verrät die Zeile, die mit »Bugcheck« beginnt, wie die Abbruchfehlernummer 

lautet. Die Zeile »Probably Caused By« gibt an, welche Datei gerade 

verarbeitet wurde, als der Abbruchfehler auftrat. 

Das Fenster Command zeigt Meldungen des Debuggers an und erlaubt Ihnen, zusätzliche 

Befehle einzugeben. Wenn ein Absturzabbild geöffnet ist, zeigt das Fenster Command automatisch 

die Ausgabe des Befehls !analyze an. In vielen Fällen reichen diese Standardinformationen 

aus, um die Ursache eines Abbruchfehlers zu ermitteln. 

Falls die Standardanalyse nicht alle Informationen liefert, die Sie für die Problembehandlung 

benötigen, können Sie im Fenster Command den folgenden Befehl ausführen: 

!analyze –v 

Dieser Befehl zeigt den Stapel (stack) an, der eine Liste der Methodenaufrufe enthält, die 

unmittelbar vor dem Abbruchfehler ausgeführt wurden. Das kann Hinweise auf die Ursache 

eines Abbruchfehlers liefern. Zum Beispiel wurde die folgende Stapelablaufverfolgungsausgabe 

mit dem Befehl !analyze –v erstellt. Der durch Fettschrift hervorgehobene Abschnitt 

zeigt ganz richtig an, dass der Abbruchfehler durch das Entfernen eines USB-Geräts (Universal 

Serial Bus) verursacht wurde:

Vorbereitungen für das Auftreten von Abbruchfehlern treffen 623 

Abbildung F.6 WinDbg zeigt den Abbruchfehlercode und den Treiber an, 

der den Abbruchfehler verursacht hat 

STACK_TEXT: 

WARNING: Frame IP not in any known module. Following frames may be wrong. 

ba4ffb2c ba26c6ff 89467df0 68627375 70646f52 0x8924ed33 

ba4ffb5c ba273661 88ffade8 8924eae0 89394e48 usbhub!USBH_PdoRemoveDevice+0x41 

ba4ffb7c ba26c952 88ffaea0 89394e48 00000002 usbhub!USBH_PdoPnP+0x5b 

ba4ffba0 ba26a1d8 01ffaea0 89394e48 ba4ffbd4 usbhub!USBH_PdoDispatch+0x5a 

ba4ffbb0 804eef95 88ffade8 89394e48 88eac2e0 usbhub!USBH_HubDispatch+0x48 

ba4ffbc0 ba3f2db4 88eac228 88eac2e0 00000000 nt!IopfCallDriver+0x31 

ba4ffbd4 ba3f4980 88eac228 89394e48 89394e48 USBSTOR!USBSTOR_FdoRemoveDevice+0xac 

ba4ffbec b9eed58c 88eac228 89394e48 89394f48 USBSTOR!USBSTOR_Pnp+0x4e 

Vorbereitungen für das Auftreten von Abbruchfehlern treffen 

Einige nützliche Software- und Hardwaretechniken können Ihnen helfen, sich auf den Fall 

vorzubereiten, dass Abbruchfehler auftreten. Abbruchmeldungen verweisen nicht immer 

direkt auf die Ursache des Problems, liefern aber wichtige Hinweise, die Sie oder ein geschulter 

Supportmitarbeiter nutzen können, um die Ursache zu identifizieren und zu beseitigen. 

Verhindern, dass das System nach einem Abbruchfehler neu startet 

Wenn ein Abbruchfehler auftritt, zeigt Windows eine Abbruchmeldung an, die auf das 

Problem hinweist. In der Standardeinstellung startet Windows automatisch neu, wenn ein 

Abbruchfehler aufgetreten ist. Das funktioniert allerdings nicht, wenn das System nicht 

mehr reagiert. Falls Windows Ihr System sofort nach dem Auftreten eines Abbruchfehlers


neu startet, bleibt Ihnen unter Umständen nicht genug Zeit, um die Informationen aus der 

Abbruchmeldung zu notieren, die Ihnen helfen, die Ursache des Problems zu analysieren. 

Außerdem kann es sein, dass Sie die Möglichkeit verpassen, Startoptionen zu ändern oder 

das Betriebssystem im abgesicherten Modus zu starten. 

Indem Sie das Standardverhalten für den Neustart verändern, verschaffen Sie sich die Möglichkeit, 

den Text der Abbruchmeldung in Ruhe abzuschreiben. Diese Informationen können 

Ihnen helfen, die eigentliche Ursache des Problems zu analysieren, falls die Speicherabbilddateien 

nicht verfügbar sind. Gehen Sie folgendermaßen vor, um den automatischen Neustart 





3. Klicken Sie im Dialogfeld Systemeigenschaften auf die Registerkarte Erweitert. Klicken 

Sie im Feld Starten und Wiederherstellen auf die Schaltfläche Einstellungen. 

4. Deaktivieren Sie im Feld Systemfehler das Kontrollkästchen Automatisch Neustart 

durchführen. 

Falls Sie Ihren Computer nicht im normalen Modus neu starten können, können Sie die 

geschilderten Schritte im abgesicherten Modus ausführen. 

Aufzeichnen und Speichern der Abbruchmeldungen 

Wenn Sie den automatischen Neustart deaktiviert haben, müssen Sie Ihren Computer von 

Hand neu starten, falls eine Abbruchmeldung erscheint. Abbruchmeldungen liefern Diagnoseinformationen, 

zum Beispiel Abbruchfehlernummern und Treibernamen, die Ihnen 

helfen, das Problem zu beseitigen. Diese Informationen verschwinden allerdings vom Bildschirm, 

sobald Sie Ihren Computer neu starten. Im Allgemeinen können Sie diese Informationen 

abrufen, nachdem das System neu gestartet wurde, indem Sie sich die Speicherabbilddatei 

ansehen, wie im Abschnitt »Analysieren von Abbruchfehlern mithilfe von Speicherabbilddateien« 

weiter oben in diesem Anhang beschrieben. In bestimmten Fällen werden die 

Abbruchfehlerinformationen nicht erfolgreich protokolliert. Daher ist es wichtig, die Informationen, 

die in der Abbruchmeldung angezeigt werden, zu notieren. Bevor Sie das System 

neu starten, sollten Sie daher mit den folgenden Aktionen sicherstellen, dass Sie alle wichtigen 

Informationen zur Hand haben. Diese Informationen können Sie dann verwenden, um in 

den Ressourcen zu recherchieren, die in diesem Anhang aufgeführt sind. 

Gehen Sie folgendermaßen vor, um Abbruchmeldungsinformationen aufzuzeichnen und zu 

speichern: 

1. Notieren Sie die Daten, die in den Abschnitten »Technical Information« und »Driver 

Information« der Abbruchmeldung stehen. Diese Abschnitte sind in »Abbruchmeldungen« 

weiter oben in diesem Anhang beschrieben. 

2. Notieren Sie sich die Vorschläge im Abschnitt mit den empfohlenen Maßnahmen. Abbruchmeldungen 

enthalten meist Problembehandlungstipps, die für den jeweiligen Fehler 

sinnvoll sind. 

3. Überprüfen Sie den Abschnitt mit Informationen zu Debugport und Speicherabbildstatus, 

um sicherzustellen, dass Windows erfolgreich eine Speicherabbilddatei erstellt.

Meldungen über Hardwarefehler 625 

4. Falls eine Speicherabbilddatei vorhanden ist, sollten Sie diese Datei auf einen Wechseldatenträger, 

ein anderes Festplattenvolume oder an einen Netzwerkstandort kopieren, 

damit ihr nichts passieren kann. Sie können die Speicherabbilddatei mit der Systemstartreparatur 

kopieren, falls es nicht möglich ist, Windows im normalen oder abgesicherten 

Modus zu starten. 

Eine Analyse der Speicherabbilddateien kann Ihnen helfen, die eigentliche Ursache zu ermitteln, 

weil sie detaillierte Informationen über den Zustand des Systems zu dem Zeitpunkt 

liefern, an dem der Abbruchfehler auftrat. Mit den eben beschriebenen Schritten können Sie 

wichtige Informationen sichern, die Sie später nachschlagen können, wenn Sie die Problembehandlung 

mit den Ressourcen durchführen, die im Abschnitt »Abbruchmeldungen« weiter 

oben in diesem Anhang beschrieben sind. Weitere Informationen über das Erstellen und 

Analysieren von Speicherabbilddateien finden Sie im Abschnitt »Speicherabbilddateien« 


Überprüfen Sie die Anforderungen an den Festplattenplatz 

Überprüfen Sie, ob auf den Datenträgervolumes genug Platz für Auslagerungsdateien des 

virtuellen Arbeitsspeichers und Anwendungsdatendateien frei ist. Wenn nicht genug Platz 

frei ist, kann das Abbruchfehler und andere Symptome auslösen, zum Beispiel die Beschädigung 

von Daten. Im Abschnitt »Speicherabbilddateien« weiter oben in diesem Anhang ist 

beschrieben, wie viel Platz für Auslagerungsdateien benötigt wird. 

Sie können unbenötigte Dateien von Hand oder mithilfe des Tools Datenträgerbereinigung 

verschieben, löschen oder komprimieren, um den freien Platz auf Datenträgervolumes zu 

vergrößern. 

Sie können die Datenträgerbereinigung ausführen, indem Sie im Suchfeld des Startmenüs 

den Befehl cleanmgr eingeben und die EINGABETASTE drücken. Folgen Sie den Anweisungen, 

um den freien Festplattenplatz auf Ihrem Systemlaufwerk zu vergrößern. Beachten 

Sie, dass die Datenträgerbereinigung Ihnen die Möglichkeit anbietet, Speicherabbilddateien 

zu löschen. 

Installieren von Kerneldebuggern und Symboldateien 

Mit einem Kerneldebugger können Sie weitere Informationen über das Problem sammeln. 

Weitere Informationen über das Installieren und Verwenden von Debugtools finden Sie im 

Abschnitt »Analysieren von Abbruchfehlern mithilfe von Speicherabbilddateien« weiter 


Meldungen über Hardwarefehler 

Abbruchmeldungen können auch die Form von Hardwarefehlermeldungen haben. Wie alle 

Abbruchmeldungen werden sie im Textmodus angezeigt. Diese Abbruchmeldungen treten 

auf, wenn der Prozessor einen Hardwaredefekt erkennt. Die ersten ein oder zwei Zeilen der 

Meldung enthalten eine Beschreibung. Die Fehlerbeschreibung verweist normalerweise auf 

ein Hardwareproblem, wie in diesem Beispiel. 

Hardware malfunction. 

Call your hardware vendor for support.


Bevor Sie die Empfehlungen befolgen, die in dieser Meldung angezeigt werden, sollten Sie 

beim Hersteller um technischen Support bitten. Notieren Sie die Informationen aus den 

ersten beiden Zeilen der Meldung, sie können für den Supportmitarbeiter nützlich sein. 

Unter bestimmten Umständen können Treiberprobleme Abbruchmeldungen auslösen, die 

den Eindruck erwecken, die Ursache wäre ein Hardwarefehler. Falls zum Beispiel ein Treiber 

in den falschen E/A-Port schreibt, könnte das Gerät am Zielport darauf reagieren, indem es 

eine Hardwarefehlermeldung generiert. Fehler dieser Art werden normalerweise erkannt und 

beseitigt, bevor die endgültige Version erscheint. Das zeigt aber, wie wichtig es ist, regelmäßig 

nach aktualisierten Treibern zu suchen. 

Checkliste für Abbruchmeldungen 

Abbruchmeldungen liefern Diagnoseinformationen, zum Beispiel Abbruchcodes und Treibernamen, 

die Ihnen helfen können, das Problem zu beseitigen. Diese Informationen verschwinden 

aber, sobald Sie Ihren Computer neu starten. Daher ist es wichtig, die angezeigten Informationen 

sorgfältig zu notieren. Wenn eine Abbruchmeldung erscheint, sollten Sie folgendermaßen 

vorgehen, bevor Sie das System neu starten: 

1. Notieren Sie den Fehlercode und alle Daten aus dem Abschnitt »Driver Information«. 

2. Notieren Sie sich die Vorschläge im Abschnitt mit den empfohlenen Maßnahmen. Abbruchmeldungen 

enthalten meist Problembehandlungstipps, die für den jeweiligen Fehler 

sinnvoll sind. 

3. Überprüfen Sie den Abschnitt mit Informationen zu Debugport und Speicherabbildstatus, 

um sicherzustellen, dass Windows den Speicherinhalt erfolgreich in die Auslagerungsdatei 

geschrieben hat, und fahren Sie dann mit der Problembehandlung fort. 

4. Wenn Sie das Problem beseitigt haben oder den Computer zumindest starten konnten, 

sollten Sie die Speicherabbilddatei auf einen Wechseldatenträger, ein anderes Festplattenvolume 

oder einen Netzwerkstandort kopieren, um sie später untersuchen zu können. 

Die Analyse der Speicherabbilddateien kann Ihnen helfen, die eigentlichen Ursachen zu 

erkennen. Diese Dateien liefern detaillierte Informationen über den Systemzustand zu 

dem Zeitpunkt, als die Abbruchmeldung auftrat. Weitere Informationen über das Erstellen 

und Analysieren von Speicherabbilddateien finden Sie im Abschnitt »Speicherabbilddateien« 


Mit den eben beschriebenen Schritten können Sie wichtige Informationen sichern, die Sie 

später nachschlagen können, wenn Sie die Problembehandlung mit den Ressourcen durchführen, 

die im Abschnitt »Abbruchmeldungen« weiter oben in diesem Anhang beschrieben 

sind. Abbruchmeldungen verweisen nicht immer direkt auf die Ursache des Problem, liefern 

aber wichtige Hinweise, die Sie oder ein geschulter Supportmitarbeiter nutzen können, um 

die Ursache zu identifizieren und zu beseitigen.

Überprüfen Sie Ihre Software 

Checkliste für Abbruchmeldungen 627 

Die folgenden Maßnahmen sind nützliche Techniken im Zusammenhang mit Software, die 

Sie nutzen können, um Probleme zu beseitigen, die Abbruchmeldungen auslösen. 

Überprüfen Sie die Anforderungen der Software an den Festplattenplatz 

Überprüfen Sie, ob auf Ihren Festplattenvolumes genug Platz für Auslagerungsdateien des 

virtuellen Arbeitsspeichers und Anwendungsdatendateien frei ist. Wenn nicht mehr genug 

Platz frei ist, kann das Abbruchmeldungen und andere Symptome auslösen, darunter eine 

Beschädigung der Festplattendaten. Prüfen Sie immer die Mindestsystemvoraussetzungen, 

die der Softwarehersteller empfiehlt, bevor Sie eine Anwendung installieren. Wie Sie herausfinden, 

wie viel Platz den Auslagerungsdateien zugewiesen ist, erfahren Sie im Abschnitt 

»Speicherabbilddateien« weiter oben in diesem Anhang. Sie können unbenötigte Dateien 

von Hand oder mithilfe des Tools Datenträgerbereinigung (Cleanmgr.exe) verschieben, 

löschen oder komprimieren, um den freien Platz auf Festplattenvolumes zu vergrößern. 

Verwenden Sie die letzte als funktionierend bekannte Konfiguration 

Falls eine Abbruchmeldung auftritt, unmittelbar nachdem Sie neue Software oder Treiber 

installiert haben, können Sie die Startoption Letzte als funktionierend bekannte Konfiguration 

verwenden, um die Änderungen an Registrierung und Treibern rückgängig zu machen. 

Sie können diese Option verwenden, indem Sie Ihren Computer neu starten und dann F8 

drücken, wenn Sie dazu aufgefordert werden, um das Menü Erweiterte Startoptionen zu 

aktivieren. Die letzte als funktionierend bekannte Konfiguration ist eine der verfügbaren 

Optionen. Weitere Informationen über die Start- und Wiederherstellungsoptionen von Windows 

7 finden Sie in Anhang C, »Konfiguration und Problembehandlung des Startvorgangs«. 

Verwenden Sie die Notfallwiederherstellungsfeatures 

Notfallwiederherstellungsfeatures wie die Systemwiederherstellung und das Wiederherstellen 

der letzten Treiberversion machen kürzlich vorgenommene Änderungen rückgängig. 

Weitere Informationen über Wiederherstellungsoptionen finden Sie in Anhang C, »Konfiguration 


Starten Sie das System im abgesicherten Modus 

Der abgesicherte Modus ist eine Diagnoseumgebung, die nur die unbedingt nötigen Treiber 

und Systemdienste lädt, sodass die Chancen größer sind, dass das Betriebssystem erfolgreich 

gestartet wird. Sobald Windows gestartet ist, können Sie Treiber aktivieren oder deaktivieren 

und die erforderlichen Änderungen vornehmen, um die Stabilität wiederherzustellen. Sie 

können den abgesicherten Modus verwenden, indem Sie Ihren Computer neu starten und 

dann F8 drücken, wenn Sie dazu aufgefordert werden, um das Menü Erweiterte Startoptionen 

zu aktivieren. Der abgesicherte Modus ist eine der verfügbaren Optionen. Weitere Informationen 

über die Start- und Wiederherstellungsoptionen finden Sie in Anhang C, »Konfiguration 


Verwenden Sie die Systemstartreparatur 

Sie können mit dem Tool Systemstartreparatur erweiterte Operationen ausführen, zum Beispiel 

beschädigte Dateien ersetzen. Sie können auch einen Dienst deaktivieren, indem Sie 

die in einer Abbruchmeldung genannte Datei umbenennen. Weitere Informationen darüber,


wie Sie mit der Systemstartreparatur Startprobleme beseitigen, finden Sie in Anhang C, 


Überprüfen Sie die Protokolle der Ereignisanzeige 

Suchen Sie in den System- und Anwendungsprotokollen der Ereignisanzeige nach Warnungen 

oder Fehlermeldungen, die auf eine Anwendung oder einen Dienst verweisen. Notieren 

Sie diese Informationen und greifen Sie darauf zurück, wenn Sie nach weiteren Informationen 

suchen oder den technischen Support kontaktieren. 

Überprüfen Sie die Anwendungs- und Treiberkompatibilität 

Es gibt einige Softwarekategorien, von denen bekannt ist, dass sie Abbruchmeldungen auslösen 

können, falls sie nicht vollständig kompatibel zu Windows 7 sind (weil sie zum Beispiel 

für ältere Windows-Versionen entwickelt wurden): Datensicherung, Remotesteuerung, 

Multimedia, CD-Mastering, Internetfirewall und Antivirustools. Falls das Problem beseitigt 

wird, wenn Sie einen Treiber zeitweise deaktivieren oder Software deinstallieren, sollten Sie 

beim Hersteller nachfragen, ob ein Update oder ein Workaround verfügbar sind. Sie müssen 

einen Dienst deaktivieren, wenn er Abbruchfehler oder andere Probleme verursacht. Es 

reicht nicht, ihn zu beenden oder anzuhalten. Ein beendeter oder angehaltener Dienst läuft 

wieder, sobald Sie den Computer neu starten. Weitere Informationen über das Deaktivieren 

von Diensten im Rahmen einer Diagnose oder Problembehandlung finden Sie in Anhang C, 


Installieren Sie kompatible Antivirentools 

Eine Virusinfektion kann Probleme wie Abbruchfehler (zum Beispiel Stop 0x7B) und 

Datenverluste verursachen. Bevor Sie eine Antivirensoftware ausführen, sollten Sie sicherstellen, 

dass Sie aktualisierte Virensignaturdateien verwenden. Signaturdateien liefern 

Informationen, die es dem Antivirenprogramm ermöglichen, Viren zu identifizieren. Wenn 

Sie aktuelle Signaturdateien verwenden, erhöhen Sie Ihre Chancen, auch neuere Viren zu 

erkennen. Überprüfen Sie, ob Ihr Virenscanner den Master Boot Record (MBR) und den 

Startsektor untersucht. Weitere Informationen über MBR- und Bootsektorviren finden Sie in 


Suchen Sie nach Service Pack-Updates und installieren Sie sie 

Microsoft stellt regelmäßig Service Packs zur Verfügung, die aktualisierte Systemdateien, 

Sicherheitsverbesserungen und andere Verbesserungen enthalten, die Probleme beseitigen 

können. Sie können mit Windows Update nach den neusten Versionen suchen und sie installieren, 

sobald sie verfügbar sind. Sie können ermitteln, welche Service Pack-Version auf 

Ihrem System installiert ist, indem Sie im Startmenü mit der rechten Maustaste auf Computer 

klicken und den Befehl Eigenschaften wählen. 

Berichten Sie Ihre Fehler 

Sie können mehr darüber herausfinden, welche Bedingungen die Abbruchmeldung auslösen, 

wenn Sie die Windows-Fehlerberichterstattung verwenden. Weitere Informationen über die 

Optionen zum Analysieren von Speicherabbilddateien finden Sie im Abschnitt »Analysieren 

von Abbruchfehlern mithilfe von Speicherabbilddateien« weiter oben in diesem Anhang.

Installieren Sie Betriebssystem- und Treiberupdates 

Checkliste für Abbruchmeldungen 629 

Gelegentlich geben Microsoft und andere Hersteller Softwareupdates heraus, die bekannte 

Probleme korrigieren. 

Recherchieren Sie Informationsquellen 

Informationen über Workarounds oder Lösungen für ein Problem lassen sich oft finden. Gute 

Informationsquellen sind unter anderem die Microsoft Knowledge Base und die Webseiten 

des technischen Supports eines Herstellers. 

Installieren und verwenden Sie einen Kerneldebugger 

Sie können mit einem Kerneldebugger umfangreiche Informationen über das Problem sammeln. 

Die Hilfedatei der Debugtools enthält Anleitungen und Beispiele, die Ihnen helfen 

können, zusätzliche Informationen über aufgetretene Abbruchfehler zu finden. Weitere Informationen 

darüber, wie Sie die Debugtools installieren und verwenden, finden Sie in den 

Abschnitten »Abbruchmeldungen« und »Analysieren von Abbruchfehlern mithilfe von 

Speicherabbilddateien« weiter oben in diesem Anhang. 

Überprüfen Sie Ihre Hardware 

Die folgenden Maßnahmen sind nützliche Techniken im Zusammenhang mit Hardware, die 

Sie nutzen können, um Probleme zu beseitigen, die Abbruchmeldungen auslösen. 

Stellen Sie die vorherige Konfiguration wieder her 

Falls eine Abbruchmeldung erscheint, unmittelbar nachdem Sie neue Hardware hinzugefügt 

haben, sollten Sie probieren, ob das Problem beseitigt wird, wenn Sie das Teil wieder entfernen 

und die vorherige Konfiguration wiederherstellen. Sie können die Wiederherstellungsfeatures 

wie die Option Letzte als funktionierend bekannte Konfiguration, das Wiederherstellen 

der vorherigen Treiberversion oder die Systemwiederherstellung nutzen, um das 

System auf die vorherige Konfiguration zurückzusetzen oder einen bestimmten Treiber zu 

entfernen. Weitere Informationen über die Start- und Wiederherstellungsoptionen finden Sie 

in Anhang C, »Konfiguration und Problembehandlung des Startvorgangs«. 

Prüfen Sie, ob Firmwareeinstellungen von den Standardwerten abweichen 

Manche Computer haben eine Firmware, in der Sie Hardwareeinstellungen ändern können, 

zum Beispiel Energieverwaltungsparameter, Grafikkartenkonfiguration, Arbeitsspeichergeschwindigkeit 

und Arbeitsspeicherpufferung (Shadowing). Verändern Sie diese Einstellungen 

nicht, sofern es dafür keinen triftigen Grund gibt. Falls bei Ihnen Hardwareprobleme 

auftreten, sollten Sie sicherstellen, dass die Firmwarewerte ihre Standardeinstellungen haben. 

Wie Sie die Standardfirmwareeinstellungen wiederherstellen können, erfahren Sie in den 

Anleitungen des Computer- oder Motherboardherstellers. 

Überprüfen Sie, ob erhöhte Hardwaretaktraten eingestellt sind 

Überprüfen Sie, ob die Hardware mit der richtigen Geschwindigkeit läuft. Erhöhen Sie die 

Taktraten von Komponenten wie Prozessor, Grafikkarte oder Arbeitsspeicher nicht über die 

angegebene Spezifikation (Overclocking). Dies kann sporadische Fehler verursachen, die 

schwierig zu diagnostizieren sind. Falls bei Ihnen Probleme mit übertakteter Hardware auf-


treten, sollten Sie die Standardeinstellungen für Geschwindigkeit und Spannungsversorgung 

wiederherstellen, wie durch die Spezifikation des Hardwareherstellers vorgegeben. 

Prüfen Sie, ob Updates für die Hardware verfügbar sind 

Suchen Sie auf der Website des Herstellers nach aktualisierter Firmware für Ihr System oder 

einzelne Peripheriegeräte. 

Führen Sie Tests mit Hardwarediagnosetools durch 

Durch das Ausführen von Hardwarediagnosesoftware können Sie überprüfen, ob Ihre Hardware 

fehlerfrei ist. Diese Tools sind normalerweise in die Hardware eingebaut oder werden 

mitgeliefert. 

Überprüfen Sie ATA-Laufwerks- und -Controllereinstellungen 

Falls Ihr System ATA-Geräte wie zum Beispiel Festplatten verwendet, sollten Sie feststellen, 

ob die Firmwareeinstellung »Primary IDE Only« verfügbar ist. Falls diese Einstellung angeboten 

wird, sollten Sie sie aktivieren, falls der zweite ATA-Kanal nicht benutzt wird. Überprüfen 

Sie, ob die Jumpereinstellungen bei primären und sekundären Geräten richtig sind. 

Speichergeräte (auch CD- und DVD-Laufwerke) haben eigene Firmware, prüfen Sie also 

regelmäßig auf der Website des Herstellers, ob Updates verfügbar sind. Stellen Sie sicher, 

dass Sie ein Kabel verwenden, das zu Ihrem Gerät kompatibel ist. Bestimmte ATA-Standards 

erfordern, dass Sie einen anderen Kabeltyp verwenden. 

Überprüfen Sie die Einstellungen von SCSI-Laufwerken und -Controllern 

Falls Ihr System einen SCSI-Adapter benutzt, sollten Sie nach Updates für Gerätetreiber und 

Adapterfirmware suchen. Deaktivieren Sie versuchsweise erweiterte SCSI-Firmwareoptionen, 

zum Beispiel Sync-Aushandlung für Geräte mit geringer Bandbreite (Bandlaufwerke 

und CD-Laufwerke). Stellen Sie sicher, dass Sie Kabel verwenden, die die Anforderungen 

des SCSI-Adapters an Terminierung und maximale Kabellänge erfüllen. Überprüfen Sie die 

SCSI-ID-Einstellungen und die Terminierung, um sicherzustellen, dass sie für alle Geräte 

korrekt sind. Weitere Informationen finden Sie in Anhang D, »Problembehandlung für Hardware, 

Treiber und Laufwerke«. 

Prüfen Sie, ob die Hardware richtig installiert und angeschlossen ist 

Überprüfen Sie, ob die internen Erweiterungskarten und externen Geräte fest sitzen, richtig 

installiert und die Verbindungskabel fest eingesteckt sind. Bei Bedarf können Sie die elektrischen 

Kontakte einer Adapterkarte reinigen, die entsprechenden Mittel erhalten Sie im 

Fachhandel. Weitere Informationen über die Problembehandlung von Hardware finden Sie 

in Anhang D, »Problembehandlung für Hardware, Treiber und Laufwerke«. 

Überprüfen Sie die Arbeitsspeicherkompatibilität 

Falls eine Abbruchmeldung erscheint, unmittelbar nachdem Sie neuen Arbeitsspeicher eingebaut 

haben, sollten Sie überprüfen, ob das neue Modul zu Ihrem System kompatibel ist. 

Verlassen Sie sich nicht allein auf Merkmale wie Anzahl der Chips oder Abmessungen, 

wenn Sie neuen oder Austauschspeicher kaufen. Beachten Sie immer die Spezifikationen 

des Herstellers, wenn Sie Arbeitsspeichermodule kaufen. Zum Beispiel können Sie ein Arbeitsspeichermodul, 

das für 667-MHz- oder 800-MHz-Betrieb (DDR2-667- beziehungs-

Zusammenfassung 631 

weise DDR2-800-RAM) vorgesehen ist, in ein System einbauen, das eine 1066-MHz- 

Speicherbusgeschwindigkeit verwendet, und das kann anfangs auch durchaus funktionieren. 

Aber der langsamere Arbeitsspeicher führt dazu, dass das System instabil wird. Mit der 

Windows-Speicherdiagnose (beschrieben in Anhang D, »Problembehandlung für Hardware, 

Treiber und Laufwerke«) können Sie den Arbeitsspeicher testen. 

Entfernen Sie zeitweise bestimmte Geräte 

Wenn Sie ein neues Gerät installieren, kann das manchmal Ressourcenkonflikte mit vorhandenen 

Geräten verursachen. Sie können dieses Problem unter Umständen beseitigen, indem 

Sie alle Geräte, die für den Start des Betriebssystems nicht benötigt werden, zeitweise entfernen. 

Zum Beispiel können Sie Windows wahrscheinlich auch starten, wenn Sie ein CD- 

Laufwerk oder einen Audioadapter zeitweise entfernen. Dann können Sie die Geräte- und 

Betriebssystemeinstellungen einzeln untersuchen und feststellen, welche Änderungen Sie 

vornehmen müssen. Weitere Informationen darüber, wie Sie Ihre Hardwarekonfiguration für 

die Problembehandlung vereinfachen können, finden Sie in Anhang C, »Konfiguration und 

Problembehandlung des Startvorgangs«. 

Ersetzen Sie ein Gerät 

Falls Sie keine Diagnosesoftware für das problematische Gerät finden können, sollten Sie 

ein Austauschgerät installieren, um zu überprüfen, ob das Problem dadurch beseitigt wird. 

Falls das Problem verschwindet, ist die ursprüngliche Hardware möglicherweise defekt oder 

falsch konfiguriert. 

Recherchieren Sie Informationsquellen 

Informationen über Workarounds oder Lösungen für ein Problem lassen sich oft finden. 

Gute Informationsquellen sind unter anderem die Microsoft Knowledge Base und die Webseiten 

des technischen Supports eines Herstellers. 

Wenden Sie sich an den technischen Support 

Als letztes Mittel kann Ihnen der technische Support von Microsoft bei der Problembehandlung 

helfen. Weitere Informationen darüber, welche Optionen Microsoft für technischen 

Support anbietet, erfahren Sie über den Supportlink auf der Microsoft-Webseite unter 

http://www.microsoft.com. 


Die Problembehandlung für Abbruchfehler kann frustrierend sein. Wenn Sie allerdings die 

Anleitung aus diesem Anhang befolgen, können Sie die Ursachen von Abbruchfehlern identifizieren 

und sich daran machen, sie zu beseitigen. Meistens werden Abbruchfehler durch 

Treiber oder defekte Hardware verursacht. Wenn Abbruchfehler durch Treiber verursacht 

werden, müssen Sie beim Hardwarehersteller veranlassen, dass ein verbesserter Treiber entwickelt 

wird. Falls ein Abbruchfehler durch defekte Hardware verursacht wird, sollten Sie 

die Hardware reparieren oder austauschen.

Antworten 

Kapitel 1: Lernzielkontrolle 

Lektion 1 

1. Richtige Antwort: A 

A. Richtig: Chkdsk kann defekte Sektoren auf einer Festplatte erkennen. Defekte Sektoren 

können bewirken, dass ein System einfriert. 

B. Falsch: Die Defragmentierung verringert die Datenfragmentierung auf Festplatten. 

Fragmentierung drückt die Leistung, es ist aber unwahrscheinlich, dass ein System 

deswegen einfriert. 

C. Falsch: Die Systemstartreparatur dient dazu, Startprobleme bei einem Computer zu 

beseitigen. Es ist unwahrscheinlich, dass sie ein System repariert, das gelegentlich 

einfriert. 

D. Falsch: Der Geräte-Manager wird wohl kaum ein Problem mit dem System aufdecken. 

Er kann zwar Treiberprobleme aufspüren, die bewirken, dass ein System 

einfriert. Aber im geschilderten Fall wurden neben einem kritischen Windows- 

Update keine Softwareänderungen vorgenommen. Das beschriebene Problem wird 

daher wohl von einem Hardwaredefekt ausgelöst. 

2. Richtige Antwort: D 

A. Falsch: Chkdsk ist zwar in der Lage, Festplattenfehler zu erkennen, die eine Ursache 

für das Problem sein könnten, aber die Systemstartreparatur prüft mehr Fehlerarten 

und ist daher eher in der Lage, das Problem zu beseitigen. 

B. Falsch: Mit der Zuverlässigkeitsüberwachung können Sie die Stabilität eines Systems 

während der letzten Wochen überprüfen. Weil das System aber gar nicht startet, 

können Sie nicht auf die Zuverlässigkeitsüberwachung zugreifen. Außerdem beseitigt 

die Zuverlässigkeitsüberwachung, im Unterschied zur Systemstartreparatur, Probleme 

nicht automatisch. 

C. Falsch: Die Windows-Speicherdiagnose hilft Ihnen in diesem Fall nicht weiter. Die 

Fehlermeldung gibt an, dass die Partitionstabelle ungültig ist. Das Problem liegt 

daher im Bereich der Festplatte, nicht des Arbeitsspeichers. 

D. Richtig: Die Systemstartreparatur hilft dabei, Systeme zu reparieren, die nicht 

starten können. Sie führt eine Reihe unterschiedlicher Prüfungen für die Festplatten 

aus und versucht herauszufinden, warum der Computer nicht startet. Dann versucht 

sie, alle gefundenen Probleme automatisch zu reparieren. Die Systemstartreparatur 

ist das beste Tool für den geschilderten Fall, weil es speziell für diese Art Fehler 

entwickelt wurde. 

633

634 Antworten 

Lektion 2 


A. Falsch: Mithilfe der Energiesparpläne in der Systemsteuerung legen Sie fest, wann 

bestimmte Geräte, etwa der Monitor, ausgeschaltet werden. Energiesparpläne haben 

keinen Einfluss auf die Funktionsfähigkeit externer Festplattengehäuse. 

B. Falsch: Chkdsk überprüft Datenträger und versucht, gefundene Fehler zu reparieren. 

Die Ausführung von Chkdsk hat keinen Einfluss auf die Funktionsfähigkeit externer 

Festplattengehäuse. 

C. Falsch: Mithilfe von Jumpern weisen Sie IDE-Laufwerken die Master- oder Slave- 

Funktion zu. Diese Jumper haben keinen Einfluss auf die Funktionsfähigkeit externer 

Festplattengehäuse für SATA-Laufwerke. 

D. Richtig: Selbst wenn Ihre Hardware das Austauschen von Festplatten im laufenden 

Betrieb unterstützt, können Sie diese Möglichkeit nur nutzen, wenn auch das BIOS 

sie unterstützt. Aus diesem Grund müssen Sie das BIOS mit einer Version aktualisieren, 

die diese Funktion unterstützt. Prüfen Sie anschließend, ob der Austausch von 

Festplatten im laufenden Betrieb auch im BIOS-Setupprogramm aktiviert ist. 

2. Richtige Antwort: B 

A. Falsch: Chkdsk analysiert Festplatten auf Fehler, beispielsweise beschädigte Cluster. 

Solche Fehler bewirken nicht, dass der Computer träge reagiert; sie lösen Datenbeschädigung, 

einfrierende Bildschirmanzeige und Abbruchfehler aus. 

B. Richtig: Die Fragmentierung von Festplatten führt dazu, dass der Computer träge 

reagiert. In der Aufgabenplanung ist zwar konfiguriert, dass die Defragmentierung 

einmal pro Woche nachts ausgeführt wird, aber diese Standardeinstellung könnte 

geändert oder deaktiviert worden sein. Analysieren Sie den Grad der Fragmentierung 

bei der Festplatte, um festzustellen, ob dies die Ursache für die Leistungsprobleme 

ist. 

C. Falsch: Die Systemstartreparatur hilft nicht, wenn der Computer träge reagiert. Sie 

besteigt Fehler beim Systemstart. 

D. Falsch: Die Windows-Speicherdiagnose prüft, ob das Hardware-RAM defekt ist. Es 

ist äußerst unwahrscheinlich, dass solche Defekte eine träge Leistung bewirken. Die 

Windows-Speicherdiagnose wird üblicherweise eingesetzt, um Abbruchfehler zu 

diagnostizieren. 

Kapitel 1: Übung mit Fallbeispiel 

Übung mit Fallbeispiel 1: Problembehandlung für Abbruchfehler 

1. Zuverlässigkeitsüberwachung 

2. Windows-Speicherdiagnose 

3. Tauschen Sie das defekte RAM-Modul aus.

Übung mit Fallbeispiel 2: Problembehandlung für Systemabstürze 

Antworten 635 

1. Das Problem ist aufgetreten, während der Benutzer ganz unterschiedliche Software verwendet 

hat. Daher ist unwahrscheinlich, dass es von einer bestimmten Software verursacht 

wird. Außerdem gibt es keinen Abbruchfehler, wenn der Computer neu startet. 

2. Sie sollten prüfen, ob der CPU-Lüfter funktioniert. 


Lektion 1 

1. Richtige Antworten: B und C 

A. Falsch: Sie können mit Ping feststellen, ob der Mailserver mit dem Netzwerk verbunden 

ist. Aber Ping verrät Ihnen nicht, ob der Mailserver auf eingehende E-Mail- 

Anforderungen antwortet. Es ist denkbar, dass der Mailserver online ist, aber der 

Maildienst nicht läuft. 

B. Richtig: Sie können mit Telnet eine Verbindung zu dem TCP-Port herstellen, über 

den Sie eingehende E-Mails herunterladen. Wenn der Mailserver auf die Telnet- 

Anforderung antwortet, wissen Sie, dass der Mailserver richtig antwortet und dass 

keine Firewall den Verbindungsversuch blockiert. 

C. Richtig: Wie mit Telnet können Sie auch mit PortQry feststellen, ob der Maildienst 

auf dem Mailserver antwortet. PortQry ist allerdings nicht in Windows 7 enthalten. 

D. Falsch: PathPing ermittelt, ob der Host und alle Router zwischen Ihrem Computer 

und dem Remotehost antworten. Es hat dieselben Nachteile wie Ping. Und es kann 

nicht feststellen, ob der Maildienst selbst antwortet. 


A. Falsch: Dies ist eine private IP-Adresse. APIPA – die Technik, mit der Windows 

eine IP-Adresse zuweist, wenn kein DHCP-Server zur Verfügung steht – benutzt 

diesen Bereich nicht. 

B. Falsch: Die spezielle IP-Adresse 127.0.0.1 verweist immer auf den lokalen Host, 

unabhängig davon, ob die DHCP-Konfiguration erfolgreich war oder nicht. 

C. Falsch: Dies ist eine private IP-Adresse. APIPA – die Technik, mit der Windows 

eine IP-Adresse zuweist, wenn kein DHCP-Server zur Verfügung steht – benutzt 

diesen Bereich nicht. 

D. Richtig: Alle IP-Adressen, die mit 169.254 beginnen, sind APIPA-Adressen. 

Windows weist eine APIPA-Adresse zu, wenn kein DHCP-Server verfügbar ist. 

3. Richtige Antworten: B und D 

A. Falsch: Nslookup ist nützlich, um Namensauflösungsprobleme zu analysieren. Sie 

können damit aber keine Router in Ihrem Netzwerk überprüfen. 

B. Richtig: Tracert sendet ICMP-Pakete an alle Hosts, die zwischen Ihrem Computer 

und dem Ziel liegen. Dabei erstellt es eine simple Netzwerkübersicht. Ist einer der 

Router ausgefallen, endet die Liste der Router, bevor das Zielnetzwerk erreicht ist. 

Ist der lokale Router ausgefallen, werden überhaupt keine Router angezeigt.

636 Antworten 

Lektion 2 

C. Falsch: Sie können Ipconfig verwenden, um sich Ihre aktuelle IP-Konfiguration 

anzusehen. Damit können Sie aber keine Remoterouter abfragen. 

D. Richtig: PathPing bietet einen ähnlichen Funktionsumfang wie Tracert, liefert aber 

detailliertere Leistungsdaten. 


A. Richtig: Nslookup sendet eine Abfrage an einen DNS-Server (Domain Name System) 

und meldet, ob der DNS-Server verfügbar ist und ob er den Namen auflösen 

konnte. 

B. Falsch: Ipconfig gibt die aktuelle IP-Konfiguration aus. Außerdem können Sie mit 

den Argumenten /release und /renew eine neue IP-Adresse vom DHCP-Server anfordern. 

Sie können so zwar die IP-Adresse Ihres DNS-Servers feststellen, aber den 

DNS-Server nicht testen. 

C. Falsch: Ping testet die Verbindung mit einem Remotehost. Sie können zwar versuchen, 

Ihren DNS-Server (Domain Name System) mit Ping zu erreichen, das verrät 

Ihnen aber nicht, ob er erfolgreich Hostnamen auflösen kann. 

D. Falsch: Netstat zeigt die aktuellen Verbindungen an. Sie können damit keine 

Namensauflösungsprobleme identifizieren. 

2. Richtige Antworten: A und C 

A. Richtig: Wenn der DNS-Server ausgefallen ist, schlägt die Namensauflösung immer 

fehl. Netzwerkanforderungen, die keinen DNS-Server benötigen, gelingen dagegen. 

Falls daher der DNS-Server offline ist, können Sie nicht über den Hostnamen auf 

den Webserver zugreifen, der Aufruf funktioniert aber, wenn Sie seine IP-Adresse 

angeben. 

B. Falsch: Die Datei Hosts speichert manuell konfigurierte Hostnamen und IP-Adressen. 

Sie wird aber so gut wie nie benutzt und wird nie als primäre Methode für die 

Namensauflösung eingesetzt. 

C. Richtig: Hat der Client eine falsche IP-Adresse für den DNS-Server konfiguriert, 

bleiben Anforderungen unbeantwortet. Um dieses Problem zu beseitigen, müssen Sie 

die Netzwerkkonfiguration des Clients so ändern, dass er die richtige IP-Adresse des 

DNS-Servers verwendet. 

D. Falsch: Hätte der Client eine APIPA-Adresse, könnte er nicht auf Computer in 

einem externen Netzwerk zugreifen. Der Zugriff auf den Internetwebserver hat aber 

funktioniert. 

3. Richtige Antwort: C 

A. Falsch: Es ist durchaus sinnvoll, den Hostnamen des Servers mit Nslookup aufzulösen. 

Auf diese Weise stellen Sie fest, dass der DNS-Eintrag aktualisiert wurde. 

Andere Clients sind aber in der Lage, eine Verbindung zum neuen Datenbankserver 

herzustellen. Daher wissen Sie bereits, dass der Eintrag aktualisiert wurde. Um das 

Problem zu beseitigen, müssen Sie den DNS-Cache löschen. 

B. Falsch: Diese Befehle rufen eine neue IP-Konfiguration vom DHCP-Server ab. Sie 

löschen nicht den DNS-Cache.

Lektion 3 

Antworten 637 

C. Richtig: Der DNS-Client von Windows 7 speichert aufgelöste Hostnamen in einem 

Cache. Wird, wie im beschriebenen Fall, ein DNS-Eintrag aktualisiert, verwendet der 

DNS-Client unter Umständen weiterhin die veraltete IP-Adresse für den Hostnamen. 

Um das Problem zu beseitigen, müssen Sie den DNS-Cache löschen. 

D. Falsch: Dieser Befehl zeigt die aktuelle IP-Konfiguration an. Er löscht nicht den 

DNS-Cache. 


A. Falsch: Das Protokoll Diagnostics-Networking enthält nützliche Informationen, die 

von der Windows-Netzwerkdiagnose aufgezeichnet wurden. Diese Informationen 

sind aber nicht so detailliert wie die im Protokoll WLAN-AutoConfig. 

B. Falsch: Das Systemprotokoll enthält Informationen, die von der Windows-Netzwerkdiagnose 

aufgezeichnet wurden. Diese Informationen sind aber nicht so detailliert 

wie die im Protokoll WLAN-AutoConfig. 

C. Falsch: Das Protokoll Wired-AutoConfig enthält Informationen über Verbindungen 

zu Kabelnetzwerken, nicht zu Drahtlosnetzwerken. 

D. Richtig: Das Protokoll WLAN-AutoConfig enthält die Details aller Drahtlosverbindungsversuche, 

erfolgreiche wie auch fehlgeschlagene. Diesem Protokoll können Sie 

entnehmen, zu welchem Drahtlosnetzwerk der Benutzer eine Verbindung herstellen 

wollte und warum der Versuch fehlgeschlagen ist. 


A. Falsch: Hätten Sie keinen Drahtlosadapter installiert, würde der Geräte-Manager ihn 

nicht im Knoten Netzwerkadapter auflisten. 

B. Richtig: Falls der WLAN-Sender ausgeschaltet ist, wird er weiterhin im Geräte- 

Manager angezeigt. Sie bekommen aber keine Drahtlosnetzwerke angezeigt. Das 

sind genau die beschriebenen Symptome. 

C. Richtig: Falls das Drahtlosnetzwerk keine SSID aussendet, müssen Sie von Hand 

ein Drahtlosprofil erstellen, bevor Sie eine Verbindung zu diesem Netzwerk herstellen 

können. Die meisten Drahtlosnetzwerke senden aber eine SSID aus. Daher ist 

dies zwar eine richtige Antwort, aber es ist wahrscheinlicher, dass der WLAN- 

Sender ausgeschaltet ist. 

D. Falsch: Authentifizierungsfehler treten erst auf, nachdem Sie versucht haben, eine 

Verbindung mit einem Drahtlosnetzwerk herzustellen. 


A. Falsch: WEP verwendet einen statischen Schlüssel und benötigt daher keinen 

zusätzlichen Infrastrukturserver. 

B. Falsch: Wie WEP arbeitet auch WPA-PSK mit einem statischen Schlüssel. 

C. Richtig: WPA-EAP authentifiziert Benutzer über einen RADIUS-Server. Das erleichtert 

die Verwaltung vieler Benutzer, erfordert aber mindestens einen Infrastrukturserver. 

D. Falsch: Wie WEP und WPA-PSK arbeitet WPA2-PSK mit einem statischen 

Schlüssel.

638 Antworten 


Übung mit Fallbeispiel 1: Behandeln eines Netzwerkproblems 

1. Bitten Sie Gordon als Erstes, die Windows-Netzwerkdiagnose zu starten. Dieses Tool 

kann die häufigsten Netzwerkprobleme diagnostizieren und einige Probleme automatisch 

beseitigen. 

2. Sie können feststellen, ob das Problem beim lokalen Netzwerk liegt, indem Sie Gordon 

bitten, eine Verbindung zu einer Netzwerkressource in seinem lokalen Netzwerk herzustellen. 

Zum Beispiel sollten Sie Gordon bitten, mit Ping die Verbindung zu seinem 

Standardgateway zu testen oder mit PathPing die Verbindung zu einer Ressource im 

WAN. Falls er das Standardgateway erreicht, aber keine Ressourcen im WAN, handelt es 

sich um ein WAN-Problem. 

3. Bitten Sie Gordon zu versuchen, eine Verbindung zu einer Netzwerkressource über die 

IP-Adresse herzustellen statt über den Hostnamen. Falls Gordon zum Beispiel www. 

microsoft.com aufrufen kann, wenn er eine der IP-Adressen dieser Website verwendet, 

aber die Site nicht über ihren Hostnamen aufrufen kann, liegt das Problem definitiv bei 

der Namensauflösung. 

Übung mit Fallbeispiel 2: Problembehandlung beim Verbindungsaufbau zu 

einem Drahtlosnetzwerk 

1. Parry hat wahrscheinlich eine schwache Funkverbindung. Das kann sie korrigieren, 

indem sie näher beim Drahtloszugriffspunkt bleibt. Sofern Sie das Drahtlosnetzwerk 

selbst eingerichtet haben, können Sie die Verbindung unter Umständen verbessern, 

indem Sie den Drahtloszugriffspunkt verlegen, die Sendeleistung anpassen oder die 

Antenne austauschen. An einem öffentlichen Drahtloszugriffspunkt haben Sie aber keine 

Kontrolle über diese Faktoren. 

2. Kompatibilitätsprobleme können ebenfalls zu unzuverlässigen Drahtlosverbindungen 

führen. Benutzt der Drahtloszugriffspunkt beispielsweise eine schlechte oder veraltete 

Implementierung des WLAN-Standards, können bei der Drahtlosverbindung diese 

Symptome auftreten. 


Lektion 1 


A. Falsch: Der Dienst Server wird auf dem Server benötigt, aber nicht auf dem Client. 

B. Falsch: Der Dienst Arbeitsstationsdienst wird auf dem Client benötigt, aber nicht 

auf dem Server. 

C. Richtig: Die Firewallausnahme Datei- und Druckerfreigabe muss auf dem Server 

aktiviert sein. Wenn diese Ausnahme nicht aktiviert ist oder eine andere Firewallregel 

den Verkehr blockiert, kann der Server keine eingehenden Verbindungen zum 

freigegebenen Drucker entgegennehmen.

Antworten 639 

D. Falsch: In der Standardeinstellung können Clientcomputer ausgehende Verbindungen 

zu allen Servern aufbauen. Daher braucht die Firewallausnahme Datei- und 

Druckerfreigabe beim Clientcomputer nicht aktiviert zu sein. 


A. Falsch: Der Dienst Arbeitsstationsdienst ermöglicht Datei- und Druckerfreigabeverbindungen 

vom Clientcomputer zum Server. Er wird nur auf dem Clientcomputer 

gebraucht. 

B. Richtig: Der Dienst Druckwarteschlange verwaltet Druckaufträge, er wird sowohl 

auf dem Client als auch dem Server gebraucht. 

C. Richtig: Der Dienst Server nimmt eingehende Datei- und Druckerfreigabeverbindungen 

von Clientcomputern entgegen. Er wird nur auf dem Server gebraucht. 

D. Falsch: Der Dienst Peer Name Resolution-Protokoll wird von einigen Netzwerkanwendungen 

gebraucht, beispielsweise der Remoteunterstützung. Für die Druckerfreigabe 

braucht er nicht zu laufen. 


A. Falsch: In der Konsole Dienste starten und beenden Sie Dienste, etwa die Dienste 

Arbeitsstationsdienst, Server und Druckwarteschlange. Sie können damit aber keine 

Treiber verwalten. 

B. Falsch: Im Geräte-Manager können Sie Treiber für die meisten Hardwarekomponenten 

ändern, aber nicht für Drucker. 

C. Falsch: Die Konsole Ereignisanzeige zeigt Ereignisse an, die von Anwendungen und 

anderen Komponenten des Betriebssystems aufgezeichnet wurden. Sie können damit 

keine Treiber verwalten. 

D. Richtig: Auf der Registerkarte Erweitert des Dialogfelds Druckereigenschaften 

können Sie den Treiber für einen Drucker ändern. 


Übung mit Fallbeispiel 1: Probleme aufgrund ungenügender Privilegien 

1. Ihr Benutzerkonto verfügt nicht über die Berechtigung, diesen Drucker zu benutzen. 

2. Sie müssen die Berechtigungen des Druckers so ändern, dass Ihre Chefin die Berechtigung 

Drucken erhält. 

Übung mit Fallbeispiel 2: Behandeln eines Druckerproblems 

1. Stellen Sie dem Benutzer Fragen, um die Ursache des Problems einzukreisen, sodass Sie 

die Diagnose des Problems beschleunigen können. Zum Beispiel können Sie abschätzen, 

ob das Problem auf den Treiber zurückzuführen ist, indem Sie den Benutzer fragen, ob 

er den Treiber aktualisiert hat, irgendwelche Updates installiert hat oder Software eingespielt 

hat, die mit dem Drucker zu tun hat. Sie können den Benutzer auch fragen, wann 

er zum letzten Mal etwas ausgedruckt hat, damit Sie anhand der Zuverlässigkeitsüberwachung 

prüfen können, ob irgendwelche Updates installiert wurden, unmittelbar bevor 

das Problem auftrat.

640 Antworten 

2. Weil der Drucker über das Netzwerk freigegeben wird, sollten Sie prüfen, ob Sie eine 

Verbindung zum Drucker herstellen können. Beenden Sie den Dienst Offlinedateien und 

führen Sie den Befehl net view \\ aus. Gelingt die Verbindung, wissen Sie, dass 

der Client eine Verbindung zum Server bekommt. In diesem Fall können Sie sich auf 

Probleme mit dem Treiber, den Druckereinstellungen und der Hardware konzentrieren. 

Schlägt der Verbindungsversuch fehl, wissen Sie, dass die Ursache für das Problem bei 

der Druckerfreigabe, der Netzwerkkonnektivität, einer Firewall oder einem Dienst liegt. 

Sofern Sie feststellen, dass es sich um ein Netzwerkproblem handelt, können Sie mit 

dem Tool Ping prüfen, ob der Client den Hostnamen des Servers auflöst und die Netzwerkverbindung 

zwischen Client und Server funktioniert. Verläuft der Ping-Test vom 

Client zum Server erfolgreich, sollten Sie mit dem Tool PortQry sicherstellen, dass keine 

Firewall die Kommunikation für die Druckerfreigabe blockiert. 

3. Viele Probleme können bewirken, dass ein Benutzer nicht drucken kann. Glücklicherweise 

haben Sie bereits Probleme im Bereich von Berechtigungen und Hardware ausgeschlossen. 

Andere mögliche Probleme sind ausgefallene Netzwerkkonnektivität, ein fehlender 

Dienst auf Client oder Server, ein Treiberproblem auf dem Client und Druckereinstellungen 

auf dem Client. 


Lektion 1 

1. Richtige Antworten: A, B und D 

A. Richtig: Sie können sich bei einem freigegebenen Ordner unter Verwendung der 

Anmeldeinformationen aus der Anmeldeinformationsverwaltung authentifizieren. 

B. Richtig: Sie können sich bei einem freigegebenen Drucker unter Verwendung der 

Anmeldeinformationen aus der Anmeldeinformationsverwaltung authentifizieren. 

C. Falsch: Die Anmeldeinformationsverwaltung kann die Felder für Benutzername und 

Kennwort in einem HTML-Formular nicht automatisch ausfüllen. 

D. Richtig: Wenn die Website mit HTTP-Authentifizierung arbeitet, kann die Anmeldeinformationsverwaltung 

automatisch Benutzername und Kennwort liefern. Sie erkennen 

eine solche Website daran, dass der Webbrowser eine Eingabeaufforderung 

anzeigt, in der der Benutzer Anmeldeinformationen eingeben soll. Eine solche Website 

verwendet also kein HTML-Formular. 


A. Falsch: Die Überwachungsrichtlinie Anmeldeereignisse überwachen zeichnet lokale 

Authentifizierungsversuche auf sowie Authentifizierungsversuche am lokalen Computer, 

die von Domänenbenutzerkonten ausgeführt werden. Aber wenn Sie die Erfolgsüberwachung 

aktivieren, werden erfolgreiche Authentifizierungsversuche aufgezeichnet, 

bei denen die Anmeldeinformationen des Benutzers als richtig bestätigt 

wurden. Dabei werden keine fehlgeschlagenen Versuche aufgezeichnet. 

B. Richtig: Die Überwachungsrichtlinie Anmeldeereignisse überwachen zeichnet lokale 

Authentifizierungsversuche auf sowie Authentifizierungsversuche am lokalen Computer, 

die von Domänenbenutzerkonten ausgeführt werden. Wenn Sie die Fehlerüberwachung 

aktivieren, wird ein Ereignis aufgezeichnet, wenn der Benutzer sich

Lektion 2 

Antworten 641 

aus irgendeinem Grund nicht authentifizieren kann, zum Beispiel weil er ungültige 

Anmeldeinformationen eingegeben hat. 

C. Falsch: Die Überwachungsrichtlinie Anmeldeversuche überwachen überwacht nur 

Authentifizierungsanforderungen, die von Domänencontrollern empfangen wurden. 

Sie hat daher keine Auswirkung auf einem Windows 7-Mitgliedscomputer. 

D. Falsch: Die Überwachungsrichtlinie Anmeldeversuche überwachen überwacht nur 

Authentifizierungsanforderungen, die von Domänencontrollern empfangen wurden. 

Sie hat daher keine Auswirkung auf einem Windows 7-Mitgliedscomputer. 

3. Richtige Antworten: A und D 

A. Richtig: Wenn Sie die Überwachung für Anmeldeversuche aktivieren, werden alle 

Authentifizierungsversuche auf dem lokalen Computer protokolliert, auch die lokale 

Anmeldung. 

B. Falsch: Wenn Sie die Überwachung für Anmeldeversuche aktivieren, werden alle 

Authentifizierungsversuche auf dem lokalen Computer protokolliert, aber nicht auf 

Remotecomputern. Es kann aber sein, dass der Remotewebserver ein Überwachungsereignis 

in sein eigenes Ereignisprotokoll einträgt, falls die Überwachung aktiviert 

ist. 

C. Falsch: Wenn Sie die Überwachung für Anmeldeversuche aktivieren, werden alle 

Authentifizierungsversuche auf dem lokalen Computer protokolliert, aber nicht auf 

Remotecomputern. Es kann aber sein, dass der Remotedateiserver ein Überwachungsereignis 

in sein eigenes Ereignisprotokoll einträgt, falls die Überwachung aktiviert 

ist. 

D. Richtig: Wenn Sie die Überwachung für Anmeldeversuche aktivieren, werden alle 

Authentifizierungsversuche auf dem lokalen Computer protokolliert, auch die 

Authentifizierung an einer UAC-Eingabeaufforderung. Darunter fallen auch UAC- 

Eingabeaufforderungen, bei denen der Administrator lediglich die Schaltfläche 

Fortsetzen anklicken muss. 

1. Richtige Antworten: B und D 

A. Falsch: Wenn ein Zertifikat abgelaufen ist, zeigt der Internet Explorer eine andere 

Meldung an. 

B. Richtig: Falls ein Angreifer den Verkehr auf einen böswilligen Server mit einem 

SSL-Zertifikat umleitet, wurde das SSL-Zertifikat des böswilligen Servers wahrscheinlich 

nicht von einer vertrauenswürdigen Zertifizierungsstelle für denselben 

Namen ausgestellt. Daher warnt der Internet Explorer den Benutzer, dass der gemeinsame 

Name, der im Zertifikat aufgeführt ist, nicht dem Namen im Link entspricht. 

C. Falsch: Bei einer nichtvertrauenswürdigen Zertifizierungsstelle zeigt der Internet 

Explorer eine andere Meldung an. 

D. Richtig: Die wahrscheinlichste Ursache für diesen Fehler ist, dass der Benutzer zwar 

einen gültigen Hostnamen für einen seriösen Server eingegeben hat, aber das Zertifikat 

des Servers diesen Hostnamen nicht als allgemeinen Namen eingetragen hat

642 Antworten 

und der Hostname auch nicht in der SAN-Liste steht. Alle Namen, die nicht als allgemeiner 

Name oder in der SAN-Liste des Zertifikats eingetragen sind, veranlassen 

den Internet Explorer, diese Fehlermeldung anzuzeigen. 


A. Falsch: Der Internet Explorer kann animierte GIFs sowie beliebige andere Bilder 

anzeigen, ohne den geschützten Modus verlassen zu müssen. 

B. Richtig: Eingebettetes Audio erfordert ein Plug-In, sogar wenn der Windows Media 

Player benutzt wird. Bevor das Plug-In aktiviert wird, muss der Benutzer in die Informationsleiste 

klicken. 

C. Richtig: Eingebettetes Video erfordert ein Plug-In, sogar wenn der Windows Media 

Player benutzt wird. Bevor das Plug-In aktiviert wird, muss der Benutzer in die Informationsleiste 

klicken. 

D. Falsch: Um den Quelltext einer Webseite anzeigen zu können, muss der Internet 

Explorer den Windows-Editor öffnen. Im Internet Explorer 7.0 erforderte das erhöhte 

Privilegien, weshalb der Internet Explorer eine Eingabeaufforderung für den geschützten 

Modus anzeigte. Windows Internet Explorer 8.0 braucht dagegen keine 

erhöhten Privilegien, um den Quellcode anzuzeigen. 


A. Falsch: Die Kompatibilitätsschicht des geschützten Modus braucht nichts zu virtualisieren, 

um ein Cookie zu speichern. 

B. Richtig: Versucht ein Add-On, eine Datei im Ordner Dokumente zu speichern, leitet 

die Kompatibilitätsschicht des geschützten Modus die Datei in \%UserProfile%\ 

AppData\Local\Microsoft\Windows\Temporary Internet Files\Virtualized um, damit 

der Benutzer geschützt wird. 

C. Falsch: Webanwendungen können den Benutzer auffordern, eine Datei hochzuladen, 

ohne dass diese Anforderung umgeleitet werden muss. 

D. Falsch: Add-Ons können Dateien im Ordner Temporary Internet Files speichern, 

ohne dass die Kompatibilitätsschicht des geschützten Modus diese Anforderung 

virtualisieren muss. 


A. Falsch: Um ein ActiveX-Steuerelement auszuführen, muss der Benutzer in die 

Informationsleiste klicken. Wenn er mit der rechten Maustaste in die Webseite klickt, 

wird dieser Befehl nicht angeboten. 

B. Richtig: Am einfachsten können Sie ein ActiveX-Steuerelement aktivieren, indem 

Sie in die Informationsleiste klicken. 

C. Richtig: Sites in der Zone Vertrauenswürdige Sites führen die meisten ActiveX- 

Steuerelemente automatisch aus. 

D. Falsch: Wenn Sie den geschützten Modus deaktivieren, werden ActiveX-Steuerelemente 

nicht automatisch ausgeführt.

Lektion 3 

Antworten 643 


A. Falsch: Die BitLocker-Laufwerkverschlüsselung hat nichts mit EFS zu tun. 

B. Falsch: Die Konsole Computerverwaltung enthält viele Snap-Ins, aber nicht das 

Snap-In Zertifikate. 

C. Richtig: In der Konsole Zertifikate können Sie EFS-Zertifikate sichern und wiederherstellen. 

So können Sie wieder auf EFS-verschlüsselte Dateien zugreifen, wenn 

Sie diese Dateien auf einen anderen Computer verschoben haben. 

D. Falsch: Im Snap-In Dienste können Sie Dienste verwalten, aber keine Zertifikate. 


A. Richtig: Zertifikate für das verschlüsselnde Dateisystem liegen im Knoten Zertifikate 

– Aktueller Benutzer\Eigene Zertifikate\Zertifikate. 

B. Falsch: Zertifikate für das verschlüsselnde Dateisystem sind nicht in diesem Knoten 

gespeichert. 

C. Falsch: Zertifikate für das verschlüsselnde Dateisystem sind benutzerspezifisch, sie 

gehören nicht zum Computer. 

D. Falsch: Zertifikate für das verschlüsselnde Dateisystem sind benutzerspezifisch, sie 

gehören nicht zum Computer. 


A. Richtig: Wenn ein Computer ein TPM hat, können Sie BitLocker aktivieren, ohne 

dass der Benutzer einen Schlüssel eingeben oder ein USB-Flashlaufwerk anschließen 

muss. 

B. Richtig: Wenn ein Computer ein TPM hat, können Sie Windows 7 so konfigurieren, 

dass der Benutzer eine PIN eingeben muss, bevor das Betriebssystem geladen wird. 

C. Falsch: Wenn ein Computer kein TPM hat, haben Sie nur die Möglichkeit, vom 

Benutzer beim Systemstart ein USB-Flashlaufwerk einstecken zu lassen. Sie brauchen 

ein TPM, wenn Sie PIN-Sicherheit beim Systemstart verwenden wollen. 

D. Richtig: Mit oder ohne TPM können Sie BitLocker so konfigurieren, dass der Benutzer 

bei jedem Systemstart einen USB-Stick anschließen muss. 


Übung mit Fallbeispiel 1: Empfehlen von Datensicherheitstechnologien 

1. Nein. Dateiberechtigungen schützen Daten nur, während das Betriebssystem läuft. Hat 

ein Angreifer physischen Zugriff auf einen Computer, kann er problemlos ein anderes 

Betriebssystem laden, das die NTFS-Dateiberechtigungen ignoriert. 

2. Ja. Verschlüsselung schützt Daten selbst dann, wenn ein Angreifer physischen Zugriff 

auf einen Computer hat. Windows 7 bietet zwei Arten von Verschlüsselung: EFS und 

BitLocker. EFS verschlüsselt einzelne Dateien, BitLocker die gesamte Systempartition.

644 Antworten 

3. Sowohl EFS als auch BitLocker erlauben es, Dateien über ein Netzwerk freizugeben. Es 

ist sogar so, dass keiner dieser beiden Verschlüsselungstypen irgendeinen Schutz über 

das Netzwerk bietet. 

Übung mit Fallbeispiel 2: Unerwünschte Internet Explorer-Add-Ons 

1. Sie können ein Add-On im Dialogfeld Add-Ons verwalten entfernen. Starten Sie dazu 

den Internet Explorer, klicken Sie in der Symbolleiste auf die Schaltfläche Extras, dann 

auf Add-Ons verwalten und auf Add-Ons aktivieren bzw. deaktivieren. 

2. Ja. Der Internet Explorer installiert Add-Ons von den meisten Websites nicht automatisch. 

Stattdessen zeigt er eine Informationsleiste an, und die Benutzer müssen in diese 

Informationsleiste klicken, um das Add-On zu installieren. Außerdem fordert der geschützte 

Modus administrative Privilegien an, bevor irgendwelche Add-Ons installiert 

werden können. (Der geschützte Modus zeigt aber nur eine Eingabeaufforderung für den 

Benutzer an, wenn das Add-On erhöhte Privilegien benötigt.) 

3. Über Gruppenrichtlinieneinstellungen in Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\InternetExplorer\Sicherheitsfunktionen\Add-On-Verwaltung 

können Sie bestimmte Add-Ons in Ihrer gesamten Organisation aktivieren oder 

deaktivieren. Zum Beispiel könnten Sie in der Einstellung Add-On-Liste alle Add-Ons 

eintragen, die von Ihrem internen Entwicklungsteam erstellt wurden, und dann die Einstellung 

Alle Add-Ons sperren, soweit diese nicht explizit in der Add-On-Liste aufgeführt 

sind aktivieren, um alle anderen Add-Ons zu blockieren. 


Lektion 1 


A. Falsch: Das ist die richtige Richtlinieneinstellung, aber Sie müssen Gruppenrichtlinien 

verwenden, nicht die lokale Sicherheitsrichtlinie. Wenn Sie die lokale Sicherheitsrichtlinie 

verwenden, müssen Sie die Konfigurationsänderung auf jedem Computer 

in der Domäne vornehmen. 

B. Richtig: Diese Richtlinieneinstellung aktiviert UAC-Eingabeaufforderungen für das 

integrierte Administratorkonto. Sie sollten Gruppenrichtlinien verwenden, damit die 

Änderung in der gesamten Domäne erzwungen wird. 

C. Falsch: Diese Richtlinieneinstellung aktiviert UAC-Eingabeaufforderungen für alle 

Domänenadministratoren, aber mit Ausnahme des integrierten Administratorkontos. 

Außerdem sollten Sie Gruppenrichtlinien verwenden, damit die Änderung in der 

gesamten Domäne erzwungen wird. 

D. Falsch: Sie sollten zwar Gruppenrichtlinien verwenden, das ist aber die falsche 

Richtlinieneinstellung. Diese Richtlinieneinstellung aktiviert UAC-Eingabeaufforderungen 

für alle Domänenadministratoren, aber mit Ausnahme des integrierten 

Administratorkontos.

Antworten 645 


A. Falsch: Sie müssen den Benutzern zeigen, wie sie die automatische Überprüfung 

anpassen. Diese Lösung löst nur eine zusätzliche Überprüfung aus und beseitigt 

nicht die Ursache des Problems. 

B. Falsch: Diese Lösung könnte immer noch bewirken, dass der Akku geleert wird, 

wenn die Überprüfung startet, während sich der Computer einige Minuten im Leerlauf 

befindet und mit Akkustrom arbeitet. Sie sollten die Überprüfung nur während 

geeigneter Zeiten ausführen, beispielsweise wenn der Benutzer weiß, dass der Computer 

mit Netzstrom betrieben wird. 

C. Richtig: Sie müssen den Zeitplan für die automatische Überprüfung von den Benutzern 

selbst einstellen lassen. So können sie Zeiten wählen, in denen der Computer 

am Stromnetz betrieben wird. 

D. Falsch: Ihr Ziel besteht darin, die Verschwendung von Akkustrom zu verhindern, 

ohne den Schutz zu verschenken, den Windows-Defender bietet. Wenn Sie die automatische 

Überprüfung deaktivieren, verschlechtert sich der Schutz, den Windows- 

Defender bietet. Daher erfüllt diese Lösung nicht die Anforderungen. 


Übung mit Fallbeispiel 1: Beseitigen von Malwareinfektionen 

1. Öffnen Sie den Task-Manager und beenden Sie alle Prozesse und Dienste, die verdächtig 

aussehen. Deaktivieren Sie dann die zugehörigen Dienste in der Konsole Dienste. 

2. Erstens können Sie versuchen, die Clientsoftware der Antimalwarelösung erneut zu installieren. 

Läuft der Computer zu langsam, um diese Software zu installieren, können 

Sie zweitens eine Offlineüberprüfung der Antimalwaresoftware von einer startfähigen 

CD durchführen, sofern Sie eine zur Hand haben. Und schließlich können Sie eine Antimalwareüberprüfung 

über das Netzwerk starten, beispielsweise von einer Onlinequelle 

oder von einem lokalen Server, der Ihre Antimalwaresoftware hostet. 


Lektion 1 


A. Falsch: Das Problem wird nicht beseitigt, wenn Sie den VPN-Client so konfigurieren, 

dass er ein SSTP-VPN aufbaut. SSTP-VPNs erlauben dem Benutzer nicht, die 

VPN-Verbindung aufrechtzuerhalten, wenn sie von einem Drahtloszugriffspunkt 

zum anderen wechseln. Dieses Feature bieten nur IKEv2-VPNs. 

B. Falsch: Die Verschlüsselungsstärke einer VPN-Verbindung hat keine Auswirkung 

darauf, ob die Verbindung das Feature Mobility unterstützt. Mobility ist ein Feature 

von IKEv2-VPNs. 

C. Falsch: Die Authentifizierung für eine VPN-Verbindung hat keine Auswirkung 

darauf, ob die Verbindung das Feature Mobility unterstützt. Dieses Feature bieten 

nur IKEv2-VPNs.

646 Antworten 

Lektion 2 

D. Richtig: Mobility (auch als VPN-Reconnect bezeichnet) ist ein Feature von IKEv2- 

VPNs. Wenn VPN-Clients, die unter Windows 7 laufen, eine Verbindung aufbauen, 

fordern sie in der Standardeinstellung zuerst eine IKEv2-VPN-Verbindung vom 

VPN-Server an. Der VPN-Server, der RRAS ausführt, kann diese Anforderung nach 

einem IKEv2-VPN aber nur positiv beantworten, wenn er unter Windows Server 

2008 R2 läuft. 


A. Falsch: Sie müssen zwar ein Serverzertifikat für den VPN-Server beantragen und es 

auf dem Server installieren, dieses Zertifikat brauchen Sie aber nicht auf dem Client 

zu installieren. Das Serverzertifikat wird dem Client vorgelegt, sobald er eine Verbindung 

aufbaut. 

B. Richtig: Damit der Client das Serverzertifikat überprüfen kann, das der VPN-Server 

ihm vorlegt, muss der Client der Zertifizierungsstelle vertrauen, die das Zertifikat 

des VPN-Servers ausgestellt hat. Dazu muss das Stammzertifikat dieser Zertifizierungsstelle 

im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen des 

Clients installiert sein. 

C. Falsch: In der Standardeinstellung ist als VPN-Typ die Einstellung Automatisch 

konfiguriert. Das reicht aus und braucht nicht geändert zu werden. Wenn der VPN- 

Typ als Automatisch konfiguriert ist, versucht Windows 7, zuerst eine VPN-Verbindung 

mit IKEv2 herzustellen. 

D. Falsch: IKEv2-VPNs brauchen kein Computerzertifikat auf dem VPN-Client. 


A. Falsch: DirectAccess-Clients können unter Windows 7 Enterprise, Windows 7 

Ultimate und Windows Server 2008 R2 laufen. 

B. Richtig: DirectAccess-Clients können unter Windows 7 Enterprise, Windows 7 


C. Falsch: DirectAccess-Clients können unter Windows 7 Enterprise, Windows 7 


D. Falsch: DirectAccess-Clients können unter Windows 7 Enterprise, Windows 7 



A. Falsch: In DirectAccess müssen sich sowohl der Client als auch der Server gegenseitig 

mit einem Zertifikat authentifizieren. 

B. Falsch: In DirectAccess müssen sich sowohl der Client als auch der Server gegenseitig 

mit einem Zertifikat authentifizieren. 

C. Falsch: DirectAccess basiert auf IPv6. Der DirectAccess-Client muss eine IPv6- 

Adresse von einem nativen IPv6-Router erhalten oder eine IPv6-Übergangstechnologie 

wie 6to4, Teredo oder IP-HTTPS nutzen.

Antworten 647 

D. Richtig: DirectAccess erfordert IPv6, nicht IPv4. Steht kein IPv6-Netzwerk zur Verfügung, 

stellt DirectAccess eine IPv6-Verbindung über IPv4 her, wobei es eine IPv6- 

Übergangstechnologie wie 6to4, Teredo oder IP-HTTPS einsetzt. 


Übung mit Fallbeispiel 1: Problembehandlung für ein Remotezugriff-VPN 

1. Um die Probleme mit der VPN-Leistung zu beseitigen, müssen Sie den VPN-Client so 

konfigurieren, dass er erfolgreich ein IKEv2-VPN aushandelt. Diesen VPN-Typ versucht 

ein Windows 7-Client als Erstes aufzubauen, wenn als VPN-Typ die Option Automatisch 

eingestellt ist. Dazu müssen Sie von einer Zertifizierungsstelle ein Serverzertifikat für 

den VPN-Server ausstellen lassen und dieses Serverzertifikat auf dem VPN-Server installieren. 

Dann müssen Sie sicherstellen, dass das Zertifikat der Stammzertifizierungsstelle, 

die dieses Zertifikat ausgestellt hat, auf allen VPN-Clients im Zertifikatspeicher 

Vertrauenswürdige Stammzertifizierungsstellen installiert ist. 

2. Damit Windows 7-Clients eine VPN-Verbindung aufbauen können, wenn sie sich hinter 

Remotefirewalls und NAT-Geräten befinden, müssen Sie sicherstellen, dass die VPN- 

Clients ein SSTP-VPN aushandeln können. Die Voraussetzungen für diesen VPN-Typ 

gleichen denen eines IKEv2-VPNs, daher reichen die Vorbereitungen aus, die in der Antwort 

zu Frage 1 beschrieben wurden. Falls die Netzwerkinfrastruktur zwischen dem 

VPN-Client und dem Server verhindert, dass ein Windows 7-Client ein IKEv2-VPN 

aufbaut, versuchen Windows 7-Clients in der Standardeinstellung, automatisch ein 

SSTP-VPN auszuhandeln. 

Übung mit Fallbeispiel 2: Problembehandlung für DirectAccess 

1. Sie sollten zuerst versuchen, die Teredo-Schnittstelle zu konfigurieren, weil dem Client 

eine private IPv4-Adresse zugewiesen ist. Verwenden Sie den Befehl netsh interface 

teredo set state type=enterpriseclient servername=. 

2. Sie sollten zuerst versuchen, die 6to4-Schnittstelle zu konfigurieren, weil dem Client 

eine öffentliche IPv4-Adresse zugewiesen ist. Verwenden Sie den Befehl netsh interface 

6to4 set relay name=. 


Lektion 1 


A. Falsch: Wenn Sie sich darauf verlassen, dass die Angestellten Windows Update von 

Hand starten, ist unvermeidlich, dass es früher oder später jemand vergisst. Die 

Sicherheit der Computer wird dann langfristig schlechter, weil wichtige Updates 


B. Richtig: In kleinen Organisationen lohnt es sich normalerweise nicht, einen WSUS- 

Server zu konfigurieren. Daher reicht die Standardkonfiguration aus, in der Updates 

direkt von Microsoft heruntergeladen werden.

648 Antworten 

C. Falsch: Bei kleinen Organisationen, in denen Updates nicht genehmigt zu werden 

brauchen, ist WSUS unnötig. 

D. Falsch: SMS wurde für Großunternehmen entwickelt, die komplexe Anforderungen 

an die Softwareverwaltung stellen. Es wäre zeitaufwendig und unnötig, SMS für eine 

kleine Organisation bereitzustellen. 


A. Falsch: Wenn Sie sich darauf verlassen, dass die Angestellten Windows Update von 

Hand starten, ist unvermeidlich, dass es früher oder später jemand vergisst. Die 

Sicherheit der Computer wird dann langfristig schlechter, weil wichtige Updates 


B. Falsch: Wenn Sie Windows Update so konfigurieren, dass es Updates direkt von 

Microsoft herunterlädt, bekommt die IT-Abteilung nicht die Gelegenheit, diese 

Updates vor der Bereitstellung zu testen und zu genehmigen. 

C. Richtig: WSUS gibt der IT-Abteilung die Möglichkeit, Updates vor der Bereitstellung 

zu testen und zu genehmigen. 

D. Falsch: SMS wurde für Großunternehmen entwickelt, die komplexe Anforderungen 

an die Softwareverwaltung haben. Für Organisationen mit lediglich 100 Computern 

ist es meist zeitaufwendig und unnötig, SMS bereitzustellen. 


A. Falsch: Ältere Windows-Versionen verwenden das Tool Update.exe, um Updates zu 

installieren. Windows 7 benutzt stattdessen das eingebaute Tool Wusa.exe. 

B. Falsch: Über Msiexec.exe können Sie Windows Installer-Dateien mit der Erweiterung 

.msi installieren. Sie können Msiexec.exe aber nicht benutzen, um Windows 7- 

Updates von Microsoft zu installieren. 

C. Falsch: Updates für ältere Windows-Versionen wurden zwar in Form von .exe- 

Dateien veröffentlicht, aber Updates für Windows 7 sind keine ausführbaren Dateien. 

D. Richtig: Windows 7-Updates werden als .msu-Dateien verteilt. Windows 7 enthält 

das Befehlszeilentool Wusa.exe, mit dem Sie Updates aus einer Batchdatei oder über 

die Befehlszeile installieren können. 


Übung mit Fallbeispiel 1: Verteilen von Updates 

1. In so kleinen Büros ist es zwar nicht immer erforderlich, aber WSUS bietet die Möglichkeit, 

Updates zu testen und zu genehmigen, bevor sie bereitgestellt werden. Auch Configuration 

Manager 2007 bietet diese Möglichkeit, aber die nötige Infrastruktur und die 

Kosten sind für ein so kleines Netzwerk nicht zu rechtfertigen. 

2. Ja, auf einem Server muss WSUS installiert werden. In diesem Fall können Sie dafür 

den Windows Server 2008 R2-Computer verwenden. 

3. Ja, WSUS funktioniert mit Windows XP- und Windows 7-Clients. 

4. Sie können die Clientcomputer mit AD DS-Gruppenrichtlinieneinstellungen konfigurieren.

Übung mit Fallbeispiel 2: Überwachen von Updates 

Antworten 649 

1. WSUS listet auf, auf welchen Computern das Update nicht installiert ist. 

2. Ja, Sie können dafür das Tool MBSA verwenden, das als kostenloser Download von 

Microsoft zur Verfügung steht. Es durchsucht das Netzwerk und findet alle Computer, 

auf denen das Update nicht installiert ist. 

3. Die Benutzer sollen in der Systemsteuerung auf Programme und dann unter Programme 

und Funktionen auf Installierte Updates anzeigen klicken. Nun können Sie in der angezeigten 

Liste nach der KB-Nummer des Updates suchen. 


Lektion 1 


A. Richtig: Auf dem Weiterleitungscomputer muss der Dienst Windows-Remoteverwaltung 

laufen, damit Ereignisse weitergeleitet werden. 

B. Richtig: Auf dem Sammelcomputer muss der Dienst Windows-Remoteverwaltung 

laufen, damit Ereignisse empfangen werden können. 

C. Falsch: Die Internetinformationsdienste sind nicht erforderlich für den Dienst Windows-Remoteverwaltung, 

auch wenn die Windows-Remoteverwaltung in der Standardeinstellung 

HTTP für die Kommunikation einsetzt. 

D. Richtig: Der Weiterleitungscomputer muss eingehende Windows-Remoteverwaltungsverbindungen 

annehmen. Daher muss eine Windows-Firewallausnahme aktiviert 

sein. Der Befehl winrm quickconfig erledigt das automatisch. 

E. Falsch: Die Ereignisweiterleitung ist in der Standardeinstellung nicht aktiviert. 


A. Falsch: Sie können im Snap-In Ereignisanzeige Abonnements erstellen und verwalten. 

Aber die Ereignisanzeige ermöglicht es Ihnen nicht, ein benutzerdefiniertes 

Intervall einzustellen. Dafür müssen Sie das Befehlszeilentool Wecutil verwenden. 

B. Falsch: Das Windows-Remoteverwaltungs-Befehlszeilentool (Winrm) dient dazu, 

den Dienst Windows-Remoteverwaltung zu konfigurieren. Sie können damit keine 

Abonnements verwalten. 

C. Richtig: Das Windows-Ereignissammlungs-Dienstprogramm (Wecutil) ist das richtige 

Tool, um Abonnementeinstellungen zu ändern, die nicht im Snap-In Ereignisanzeige 

zur Verfügung stehen. 

D. Falsch: Das Windows-Ereignisse-Befehlszeilendienstprogramm (Wevutil) dient 

dazu, Ereignisse und Ereignisprotokolle zu verwalten. Sie können damit keine 

Abonnements verwalten. 


A. Richtig: Bei der Option Wartezeit minimieren beträgt das Intervall 30 Sekunden. Es 

kann aber länger dauern, bis Ereignisse synchronisiert werden. Das hängt von mehreren 

Faktoren ab, zum Beispiel muss unter Umständen erst der Dienst Windows- 

Remoteverwaltung gestartet werden.

650 Antworten 

Lektion 2 

B. Falsch: Die Standardeinstellung Normal für Abonnements hat ein Zeitlimit von 

15 Minuten. 

C. Falsch: Bei der Option Wartezeit minimieren beträgt das Intervall 30 Sekunden, 

nicht 30 Minuten. 

D. Falsch: Falls Sie die Option Bandbreite minimieren wählen, beträgt die Standardeinstellung 

für das Intervall 6 Stunden. 


A. Falsch: Dieser Befehl wird nur in Arbeitsgruppenumgebungen benötigt. In einer 

AD DS-Umgebung brauchen Sie den Befehl nicht auszuführen. 

B. Falsch: Dieser Befehl wird nur in Arbeitsgruppenumgebungen benötigt. Außerdem 

müssen Sie diesen Befehl auf dem Sammelcomputer ausführen, nicht auf dem 

Weiterleitungscomputer. 

C. Falsch: In einer AD DS-Umgebung brauchen Sie die Gruppenmitgliedschaft auf 

dem Sammelcomputer nicht zu ändern. 

D. Richtig: Damit ein Abonnement mit der Standardauthentifizierungseinstellung des 

Computerkontos arbeiten kann, müssen Sie das Computerkonto des Sammelcomputers 

auf dem Weiterleitungscomputer zur lokalen Gruppe Ereignisprotokollleser 

hinzufügen. 


A. Richtig: Wenn ein Computer langsam läuft, sollten Sie den Task-Manager mit der 

Tastenkombination STRG+ALT+ENTF starten. Sie können einen Prozess entweder 

in der Registerkarte Anwendungen oder Prozesse beenden. 

B. Falsch: Sie können mit dem Systemkonfigurationsprogramm verhindern, dass Programme 

oder Dienste automatisch gestartet werden. Sie können damit aber keine 

Programme beenden, die bereits laufen. 

C. Falsch: Sie können den Task-Manager nicht mit der Tastenkombination ALT+TABU- 

LATOR öffnen. Diese Tastenkombination dient dazu, zu einer anderen Anwendung 

umzuschalten, die bereits läuft. Stattdessen müssen Sie die Tastenkombination 

STRG+ALT+ENTF drücken. 

D. Falsch: Sie können mit dem Systemkonfigurationsprogramm keine Programme beenden, 

die bereits laufen. 


A. Falsch: Der Akkubetrieb hat keine Auswirkung auf die Fragmentierung der Festplatte. 

Er hat normalerweise überhaupt keinen Einfluss auf die Festplattenleistung. 

B. Falsch: Solange genug Festplattenplatz frei ist, hat eine große Auslagerungsdatei 

keine Auswirkung auf die Fragmentierung der Festplatte. 

C. Richtig: Wird auf einer Festplatte der Platz knapp, muss Windows neue Daten auf 

die noch verfügbaren Stellen verteilen, selbst wenn die gespeicherte Datei so groß 

ist, dass sie nicht vollständig an eine einzige freie Stelle passt. Die übrigen Teile werden 

an andere Stellen geschrieben, was die Fragmentierung bewirkt. Das Lesen und

Antworten 651 

Schreiben fragmentierter Dateien dauert länger als der Zugriff auf fortlaufend gespeicherte 

Dateien, weil der Schreib-/Lesekopf zwischen den Dateifragmenten hin 

und her bewegt werden muss. 

D. Falsch: Flashlaufwerke können genauso wie herkömmliche, magnetische Festplatten 

fragmentiert werden. Diese Fragmentierung hat aber keinen Einfluss auf die Leistung 

von Flashlaufwerken. 

3. Richtige Antworten: C und D 

A. Falsch: Die Algorithmen, mit denen Windows 7 auf virtuellen Arbeitsspeicher zugreift, 

ändern sich nicht, während der Computer im Akkubetrieb läuft. 

B. Falsch: Der Arbeitsspeicherzugriff ist derselbe, unabhängig davon, ob ein Computer 

im Netz- oder Akkubetrieb läuft. 

C. Richtig: Drahtlosschnittstellen unterstützen oft einen Energiesparmodus, der die 

Reichweite und Leistung verringert, während der Computer im Akkubetrieb läuft. 

Falls der Leistungseinbruch zu groß ist, können Sie die Leistungseinstellung anpassen. 

D. Richtig: In der Standardeinstellung verwendet Windows 7 einen Energiesparmodus, 

wenn es Video anzeigt, während der Computer im Akkubetrieb läuft. Sie können 

dieses Energiesparfeature in den erweiterten Energieeinstellungen deaktivieren. 


Übung mit Fallbeispiel 1: Überwachen von Kioskcomputern 

1. Sie können die Ereignisweiterleitung von den Kioskcomputern auf Ihren Computer konfigurieren 

und lediglich das Ereignis weiterleiten, für das Sie sich interessieren. 

2. Sie sollten die Bandbreitenoptimierungstechnik Wartezeit minimieren wählen, weil es 

wichtig ist, dass Sie Benachrichtigungen über neue Ereignisse so schnell wie möglich 

erhalten. Die Zahl der Computer ist so klein, dass der Bandbreitenverbrauch kein Problem 

sein dürfte. 

3. Sie können eine geplante Aufgabe mit einem Trigger für die Ereignis-ID 4226 einrichten. 

Dann können Sie eine Aktion für die geplante Aufgabe konfigurieren, die eine 

E-Mail an Ihren Computer oder Ihr Mobiltelefon sendet. 

Übung mit Fallbeispiel 2: Behandeln eines Leistungsproblems 

1. Die besten Tools, um die Ursache eines Leistungsproblems zu ermitteln, sind Task- 

Manager und Leistungsüberwachung. Mit jedem dieser Tools können Sie herausfinden, 

welcher Prozess am meisten Prozessorzeit und Arbeitsspeicher verbraucht. Dann können 

Sie diese Anwendung untersuchen und herausfinden, warum sie so viele Ressourcen 

benötigt. 

2. Leistungsprobleme, die sich erst nach einiger Zeit zeigen, werden oft durch Speicherlecks 

verursacht. Bei einem Speicherleck verbraucht eine Anwendung immer mehr Ressourcen, 

je länger die Anwendung läuft. Theoretisch sollten keine Speicherlecks entstehen, 

weil eine Anwendung alle Ressourcen freigeben muss, sobald sie nicht mehr 

benötigt werden. Aber manche Anwendungen, besonders selbstentwickelte Anwendungen, 

halten sich nicht an die Empfehlungen für saubere Programmierung; daher kann es 

vorkommen, dass diese Art Fehler auftritt.

652 Antworten 


Lektion 1 

Lektion 2 


A. Falsch: Diese Warnmeldung erhalten die Benutzer unabhängig davon, ob sie lokale 

Administratoren sind oder nicht. Damit die Meldung nicht mehr erscheint, müssen 

Sie das Herausgeberzertifikat im Zertifikatspeicher Vertrauenswürdige Herausgeber 

bereitstellen. 

B. Falsch: Diese Warnmeldung erhalten die Benutzer unabhängig davon, ob sie Domänenadministratoren 

sind oder nicht. Damit die Meldung nicht mehr erscheint, müssen 

Sie das Herausgeberzertifikat im Zertifikatspeicher Vertrauenswürdige Herausgeber 

bereitstellen. 

C. Falsch: Sie brauchen das Herausgeberzertifikat nicht im Zertifikatspeicher Vertrauenswürdige 

Herausgeber zu installieren. Sie müssen vielmehr das Stammzertifikat 

für Contoso.com im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen 

installieren. 

D. Richtig: Die Warnmeldung erscheint, weil die Clients nicht so konfiguriert sind, 

dass sie Zertifikaten von Contoso.com vertrauen. Damit diese Meldung nicht mehr 

angezeigt wird, muss das Stammzertifikat für die Zertifizierungsstelle von Contoso. 

com auf allen Clientcomputern im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen 

installiert sein. Das erledigen Sie am besten mit Gruppenrichtlinien. 


A. Falsch: Weil die Datei, die Sie blockieren wollen, eine .msi-Datei ist, müssen Sie 

eine Windows Installer-Regel erstellen. 

B. Falsch: Weil Sie mehrere Versionen derselben Datei blockieren wollen, müssen Sie 

die Bedingung Herausgeber verwenden. Die Bedingung Dateihash identifiziert nur 

eine einzige Version der Datei. 

C. Richtig: Sie müssen eine Windows Installer-Regel erstellen, weil Sie eine .msi-Datei 

blockieren wollen. Sie müssen die Bedingung Herausgeber auswählen und konfigurieren, 

weil Sie mehrere Versionen derselben Datei blockieren wollen. 

D. Falsch: Weil Sie mehrere Versionen derselben Datei blockieren wollen, müssen Sie 

die Bedingung Herausgeber verwenden. Die Bedingung Dateihash identifiziert nur 

eine einzige Version der Datei. 


A. Richtig: In dieser Situation ist eine Systemwiederherstellung sinnvoll. Sie macht das 

Update für Windows rückgängig, nimmt aber keine anderen Änderungen am System 

vor. 

B. Falsch: Wenn Sie alte Benutzerdateien wiederherstellen, hat das keine Auswirkungen 

darauf, ob die Anwendung funktioniert. Sie müssen die Änderung rückgängig 

machen, die den Fehler der Anwendung verursacht hat.

Antworten 653 

C. Falsch: Die Ereignisweiterleitung ist nützlich, wenn Sie viele Computer auf ein 

bestimmtes Ereignis oder einen Satz Ereignisse überwachen wollen. In diesem Fall 

brauchen Sie nur eine bestimmte Änderung am System rückgängig zu machen, aber 

kein Ereignis überwachen. 

D. Falsch: Das Problem könnte behoben werden, wenn Sie die Anwendung neu installieren, 

vielleicht aber auch nicht. Da das Windows-Update aber optional war, ist es 

am sinnvollsten, es einfach zu entfernen. Die Installation des optionalen Updates war 

dafür verantwortlich, dass die Anwendung nicht mehr funktioniert. 


A. Richtig: Durch veraltete COM-Objekte verursachte Anwendungsfehler erkennen 

und Durch veraltete Windows-DLLs verursachte Anwendungsfehler erkennen sind 

die einzigen Richtlinien, die tatsächlich Informationen liefern, warum eine Anwendung 

nicht läuft. 

B. Falsch: Wenn die Richtlinie Über blockierte Treiber benachrichtigen aktiviert ist, 

wird der Benutzer benachrichtigt, wenn Treiber aufgrund von Kompatibilitätsproblemen 

blockiert werden. Die Richtlinie hilft Ihnen nicht dabei herauszufinden, 

warum eine Anwendung nicht läuft. 

C. Falsch: Die Richtlinie Anwendungsinstallationsfehler erkennen hilft herauszufinden, 

warum eine Anwendungsinstallation fehlschlägt. Im geschilderten Fall wurde die 

Anwendung aber bereits erfolgreich installiert. 

D. Falsch: Die Richtlinie Anwendungsinstallationsprogramme erkennen, die als Administrator 

ausgeführt werden müssen hilft herauszufinden, warum eine Anwendungsinstallation 

fehlschlägt. Im geschilderten Fall wurde die Anwendung aber 

bereits erfolgreich installiert. 


A. Falsch: 16-Bit-Anwendungen können in der 32-Bit-Version von Windows 7 ausgeführt 

werden. Sie laufen allerdings nicht unter der 64-Bit-Version. 

B. Richtig: Wegen der neuen Benutzerkontensteuerung von Windows 7 müssen Programme, 

die Administratorprivilegien erfordern, so umgeschrieben werden, dass sie 

die Meldungen verarbeiten, die beim Ausführen administrativer Aufgaben angezeigt 

werden. 

C. Falsch: Wegen des Windows-Ressourcenschutzes von Windows 7 fängt das Betriebssystem 

Anwendungsanforderungen ab, die in geschützte Bereiche der Registrierung 

schreiben wollen, und leitet die Schreiboperation stattdessen in einen sicheren Bereich 

um. Weil Windows 7 so entworfen wurde, dass es diese Umleitung automatisch 

vornimmt, sind für solche Anwendungen wahrscheinlich keine Updates erforderlich, 

um unter Windows 7 zu laufen. 

D. Falsch: Wegen des Windows-Ressourcenschutzes von Windows 7 fängt das Betriebssystem 

Anwendungsanforderungen ab, die in Systemdateien schreiben wollen, 

und leitet die Schreiboperation stattdessen in einen sicheren Bereich um. Weil Windows 

7 so entworfen wurde, dass es diese Umleitung automatisch vornimmt, sind für 

solche Anwendungen wahrscheinlich keine Updates erforderlich, damit sie unter 

Windows 7 laufen.

654 Antworten 


Übung mit Fallbeispiel 1: Einschränken von Software mit AppLocker 

1. Sie sollten die Bedingung Herausgeber verwenden. 

2. Nein, Sie können keine anderen Windows Installer-Programme ausführen. Sobald Sie 

eine Regel in AppLocker erstellt haben, werden alle Programme, für die der Regeltyp 

gilt (hier also Windows Installer-Programme), blockiert, sofern sie nicht explizit erlaubt 


Übung mit Fallbeispiel 2: Konfigurieren von Anwendungskompatibilitätseinstellungen 

1. Sie sollten die Anwendungskompatibilitätseinstellungen des Programms so ändern, dass 

es im Windows XP-Kompatibilitätsmodus läuft. 

2. Aktivieren Sie die Richtlinieneinstellung Anwendungsinstallationsfehler erkennen in den 

Gruppenrichtlinien.

Glossar 

ActiveX Eine Technologie, die leistungsfähige 

Anwendungen mit komfortabler Benutzeroberfläche 

innerhalb eines Webbrowsers ausführen 

kann. 

Ausnahme Eine eingehende Verbindung, die 

durch eine Firewall zugelassen wird. Eine typische 

Ausnahme ist mit einem Port oder einer 

Netzwerkanwendung verknüpft. Auch als Zulassen-Regel 

bezeichnet. 

Automatic Private IP Address (APIPA) Eine IP- 

Adressierungstechnik, die eine Adresse im Bereich 

169.254.0.0 bis 169.254.255.255 zuweist. 

APIPA ermöglicht es Computern, die keine IP- 

Adresseinstellungen haben, über ein LAN zu 

kommunizieren. 

Basic Input/Output System (BIOS) Die Firmware 

im Computer, die mit der Ausführung beginnt, 

sobald der Computer eingeschaltet wird. Ein 

BIOS umfasst ein Setupprogramm, das eine Startreihenfolge 

festlegt. Damit wird gesteuert, in welcher 

Reihenfolge das BIOS die Geräte nach einem 

Betriebssystem durchsucht. Das BIOS eines Computers 

hat außerdem die Aufgabe, dem Betriebssystem 

bestimmte Hardwarefunktionen zugänglich 

zu machen, beispielsweise die Energieverwaltung 

(ACPI), das Starten aus dem Netzwerk 

oder von einem USB-Gerät sowie das Hot-Swapping 

von Festplatten. 

Benutzerprofil Die Sammlung der Daten, aus 

denen die individuelle Umgebung des Benutzers 

besteht. Dazu gehören unter anderem die Dateien 

des Benutzers, Anwendungseinstellungen und 

Desktopkonfiguration. 

BitLocker-Laufwerkverschlüsselung Ein Windows 

7-Feature, das das gesamte Systemvolume 

verschlüsseln kann. Es schützt so den Computer 

für den Fall, dass ein Angreifer die Betriebssystemsicherheit 

umgeht. 

Chkdsk Ein Tool, mit dem Sie auf Festplatten 

nach Fehlern wie defekten Sektoren suchen und 

sie bei Bedarf reparieren können. 

Defragmentierung Ein Tool, das die Dateifragmentierung 

verringert und die Leistung steigert. 

In Windows 7 wird die Defragmentierung in der 

Standardeinstellung jeden Mittwochmorgen um 

1:00 ausgeführt. 

Druckerwarteschlange Eine Sammlung der 

Dokumente, die auf das Ausdrucken warten. 

655 

Ereignisweiterleitung Der Prozess, bei dem bestimmte 

Ereignisse von einem Weiterleitungscomputer 

zu einem Sammelcomputer weitergeleitet 

werden, wo ein Administrator sie einfacher 

überwachen kann. 

Geschützter Modus Ein Feature in Internet Explorers 

7.0 und Windows Internet Explorer 8.0, 

das bewirkt, dass der Browser mit stark eingeschränkten 

Privilegien läuft. Das bietet Schutz 

sogar für den Fall, dass böswilliger Code auf 

einer Website erfolgreich den Internet Explorer 

übernimmt. 

Hotspot Ein Drahtlosnetzwerk für öffentliche 

Benutzung. Die meisten Hotspots haben keinerlei 

Sicherheit. Bei manchen Hotspots müssen die 

Benutzer dafür zahlen, dass sie auf das Internet 

zugreifen können. 

Kompatibilitätsschicht des geschützten Modus 

Ein Feature von Internet Explorer 7.0 und Internet 

Explorer 8.0, das in Windows Vista oder 

Windows 7 Anforderungen nach geschützten 

Ressourcen an sichere Speicherorte umleitet. 

Zum Beispiel werden alle Anforderungen nach 

dem Ordner Dokumente automatisch an \%User- 

Profile%\AppData\Local\Microsoft\Windows\ 

Temporary Internet Files\Virtualized umgeleitet.

656 Glossar 

Kritisches Update Ein kleines Update, das ein 

einzelnes Problem mit Windows oder anderer 

Microsoft-Software beseitigt. 

Latenz In der Netzwerkkommunikation die 

Zeit, die ein Paket für den Weg zwischen Hosts 

braucht. Verbindungen mit hoher Latenz haben 

nicht zwangsläufig zur Folge, dass Bandbreite 

oder Durchsatz sinken. Aber die Latenz verursacht 

Probleme bei der Echtzeitkommunikation, 

zum Beispiel bei Voice over IP (VoIP). 

Listener Eine Konfigurationseinstellung, die 

bestimmte eingehende Netzwerkkommunikation 

an eine Anwendung weiterleitet. 

Malware Ein Sammelbegriff für eine Vielzahl 

unerwünschter Software, zum Beispiel Viren, 

Würmer, Spyware und Trojanische Pferde. 

Mandatory Integrity Control (MIC) Ein Windows 7- 

Feature, das Prozesse, Ordner, Dateien und 

Registrierungsschlüssel mit einer von vier Integritätszugriffsebenen 

kennzeichnet: System, 

Hoch, Mittel und Niedrig. 

Mehr-Faktoren-Authentifizierung Es werden zwei 

oder mehrere Authentifizierungstechniken gefordert, 

um die Anmeldeinformationen eines Benutzers 

zu überprüfen. Zum Beispiel müssen Benutzer 

eine Smartcard einlegen und ein Kennwort 

eintippen. 

Microsoft Systems Center Configuration Manager 2007 

(Configuration Manager 2007) Die bevorzugte Methode, 

um Software und Updates in großen Unternehmensnetzwerken 

zu verteilen. Configuration 

Manager 2007 bietet sehr flexible, zentralisierte 

Kontrolle über die Updatebereitstellung, mit der 

Möglichkeit, Clientsysteme zu überwachen und 

zu inventarisieren. 

Namensauflösung Der Prozess, bei dem ein 

Hostname in eine IP-Adresse konvertiert wird. 

DNS (Domain Name System) ist die bei Weitem 

gebräuchlichste Namensauflösungstechnik. 

Netzwerkstandort Eine von vier Sicherheitskategorien 

(Privat, Arbeitsplatz, Öffentlich oder Domäne), 

die jeder Netzwerkverbindung zugewiesen 

wird. 

Neustart-Manager Ein Feature von Windows 

Vista und Windows 7, das es Programmen ermöglicht, 

sich mit Windows abzustimmen, um 

Ressourcen freizugeben, die aktualisiert werden 

müssen. So bleibt die Zahl der Neustarts, die 

durch Updates ausgelöst werden, möglichst 

gering. 

Offlinedateien Ein Feature von Windows, mit 

dem Sie lokale Kopien von Dateien bereithalten, 

deren Originale in einer Netzwerkfreigabe gespeichert 

sind. Wird die Verbindung zum Netzwerk 

getrennt, können Sie diese lokalen Kopien 

öffnen und bearbeiten. Die lokale Kopie wird 

automatisch mit der Quelldatei in der Netzwerkfreigabe 

synchronisiert, sobald Sie später wieder 

die Verbindung herstellen. 

Ordnerumleitung Ein Feature in Windows, das 

die üblichen Ordner eines Benutzers transparent 

auf ein anderes Ziel umleitet. Beispielsweise 

können Sie mithilfe der Ordnerumleitung den 

lokalen Ordner Dokumente eines Benutzers auf 

einen persönlichen Ordner in einer Netzwerkfreigabe 

umleiten. 

Pilotgruppe Eine kleine Teilmenge der Computer 

in einer Organisation, auf denen ein Update schon 

vor der allgemeinen Bereitstellung installiert wird. 

Verursacht ein Update ein Anwendungskompatibilitätsproblem, 

ist es wahrscheinlich, dass die 

Pilotgruppe die Inkompatibilität bemerkt, bevor 

mehr Benutzer betroffen sind. 

Point-and-Print Die Fähigkeit, Druckertreiber 

automatisch zu installieren. 

Problembehandlungspaket Ein Satz Skripts, die 

über die Windows-Problembehandlungsplattform 

Funktionen für Windows-Ratgeber zur Verfügung 

stellen. 

Pull-Modus Bedeutet im Kontext der Ereignisweiterleitung, 

dass der Sammelcomputer eine 

Verbindung zum Weiterleitungscomputer einleitet, 

um Ereignisse abzurufen. 

Push-Modus Bedeutet im Kontext der Ereignisweiterleitung, 

dass der Weiterleitungscomputer

eine Verbindung zum Sammelcomputer einleitet, 

um Ereignisse zu senden. 

Qualitätssicherung (Quality Assurance, QA) Eine 

Abteilung innerhalb einer Organisation, die eine 

Testumgebung mit Computern betreibt, die in den 

Standardkonfigurationen eingerichtet sind und die 

im Unternehmen eingesetzten Anwendungen ausführen. 

Die Qualitätssicherung kann helfen, Probleme 

mit Updates vor der Bereitstellung aufzudecken. 

Rootkit Eine Form von Malware, die auf einer 

niedrigeren Ebene läuft als das Betriebssystem. 

Rootkits sind oft sehr schwierig oder sogar unmöglich 

zu erkennen. 

Ruhezustand Ein Zustand, in dem kein Strom 

verbraucht wird. Der Arbeitsspeicherinhalt des 

Computers wird dabei auf Festplatte gespeichert, 

aber es dauert länger, den Computer wieder aufzuwecken. 

Sammelcomputer Der Computer, der in einer 

Ereignisweiterleitung so konfiguriert ist, dass er 

Ereignisse entgegennimmt. 

Servergespeichertes Benutzerprofil Ein persönliches 

Benutzerprofil, das in einer Netzwerkfreigabe 

gespeichert ist und dem Benutzer unabhängig 

davon zur Verfügung steht, auf welchem 

Computer im Netzwerk er sich anmeldet. 

Service Pack Ein umfangreiches Update, das 

viele Probleme mit Windows oder anderer Microsoft-Software 

beseitigt. Service Packs enthalten 

meist Dutzende kritischer Updates und erweitern 

das Betriebssystem manchmal um neue Features. 

Service Set Identifier (SSID) Der Name eines 

Drahtlosnetzwerks. 

Spyware Software, die heimlich auf einem Computer 

installiert wird und Informationen über das 

Verhalten des Benutzers sammelt, normalerweise 

für Marktforschungszwecke. 

Standby Ein Zustand mit geringem Stromverbrauch, 

aus dem der Computer innerhalb weniger 

Sekunden aufwacht. 

Glossar 657 

Systemstartreparatur Ein Tool, mit dem Sie viele 

häufige Fehler, die einen Start von Windows 7 

verhindern, automatisch beseitigen können. Steht 

als Eintrag in den Systemwiederherstellungsoptionen 

zur Verfügung. 

Systemwiederherstellungsoptionen Ein Satz 

Wiederherstellungstools, die in der Windows- 

Wiederherstellungsumgebung angeboten werden. 

Verschlüsselndes Dateisystem (Encrypting File System, 

EFS) Ein Windows 7-Feature, das bestimmte 

Dateien und Ordner verschlüsselt. Es schützt so 

die Daten für den Fall, dass ein Angreifer die Betriebssystemsicherheit 

umgeht. 

Virus Ein verstecktes Programm, das sich selbst 

vermehrt und installiert. Viren enthalten Code, 

der einen Computer üblicherweise beschädigt 

oder kompromittiert. Viren benötigen einen externen 

Mechanismus, um sich durch ein Netzwerk 

zu bewegen; das geschieht zum Beispiel oft über 

E-Mails. 

Vorgängerversionen Ein Feature von Windows, 

mit dem Sie ganz einfach Vorgängerversionen 

von Dateien oder Ordnern wiederherstellen können, 

die in einem Wiederherstellungspunkt oder 

einer Windows-Datensicherung gespeichert wurden. 

Wartungscenter Ein Tool in Windows 7, das als 

Ausgangspunkt für die Problembehandlung dient. 

Das Wartungscenter benachrichtigt den Benutzer 

über alle wichtigen Aktionen, die er ausführen 

soll, um die Funktionsfähigkeit und Integrität des 

Systems zu gewährleisten. Außerdem stellt es 

Links zu anderen Tools bereit, etwa Problembehandlungsmodule, 

die Zuverlässigkeitsüberwachung 

und die Systemwiederherstellung. 

Weiterleitungscomputer In einer Ereignisweiterleitung 

der Computer, der Ereignisse auslöst. 

Wi-Fi Protected Access (WPA) Ein Sicherheitsstandard 

für Drahtlosnetzwerke, der eine Verbesserung 

gegenüber WEP darstellt, weil er die Daten 

viel besser schützt. WPA steht entweder als Wi-Fi 

Protected Access zur Verfügung, als WPA mit vorinstalliertem 

Schlüssel (WPA-PSK, auch als WPA-

658 Glossar 

Personal bezeichnet), bei dem eine Passphrase für 

die Authentifizierung benutzt wird, oder als Wi-Fi 

Protected Access-Extensible Authentication Protocol 

(WPA-EAP, auch als WPA-Enterprise bezeichnet), 

bei dem Domänenanmeldeinformationen 

oder ein Zertifikat für die Authentifizierung 

benutzt werden. WPA2 bietet gegenüber WPA 

bessere Sicherheit bei ähnlicher Funktionalität. 

Windows Server Update Services (WSUS) Eine 

Version des Microsoft Update-Dienstes, den Sie 

in Ihrem privaten Netzwerk betreiben können. 

WSUS stellt eine Verbindung zur Windows Update-Site 

her, lädt Informationen über verfügbare 

Updates herunter und fügt sie in eine Liste der 

Updates ein, die von Administratoren genehmigt 

werden müssen. 

Windows XP Mode In Windows 7 eine herunterladbare 

Erweiterung für Virtual PC, mit der Sie 

transparent auf Programme zugreifen, die in 

einem virtuellen Windows XP-Gastcomputer 

laufen. Windows XP Mode setzt eine CPU mit 

Intel-VT- oder AMD-V-Technologie voraus. 

Windows-Ressourcenschutz Ein Feature von 

Windows Vista und Windows 7, das Anforderungen 

durch Programme, die in geschützte 

Bereiche des Betriebssystems schreiben wollen, 

abfängt und in sichere Bereiche umleitet. 

Windows-Speicherdiagnose Ein Tool, mit dem 

das Hardware-RAM im System auf Defekte 

geprüft wird. 

Windows-Start-Manager Ein Menü, in dem Sie 

auswählen, welches Betriebssystem gestartet 

wird, sofern mehrere zur Verfügung stehen. Ist 

nur ein Betriebssystem verfügbar, können Sie den 

Windows-Start-Manager anzeigen, indem Sie 

während des Systemstarts wiederholt die LEER- 


Windows-Wiederherstellungsumgebung Ein Windows-ähnliches 

Betriebssystem, das Sie einsetzen 

können, um Windows-Probleme offline zu reparieren. 

In Windows 7 erreichen Sie die Windows- 

Wiederherstellungsumgebung über die Option 

Computer reparieren im erweiterten Startmenü. 

Außerdem können Sie die Windows-Wiederherstellungsumgebung 

ausführen, indem Sie von der 

Windows 7-DVD starten. 

Wired Equivalent Protection (WEP) Ein älterer 

Sicherheitsstandard für Drahtlosnetzwerke, der 

von einem geschickten Angreifer schnell zu 

knacken ist. 

Wurm Ein verstecktes Programm, das sich selbst 

vermehrt, installiert und verbreitet. Würmer nutzen 

Sicherheitslücken in Software aus, um ein 

System zu kompromittieren. 

Zuverlässigkeitsüberwachung Ein Tool in Windows 

7, mit dem Sie die Stabilität des lokalen 

Systems in der letzten Zeit analysieren können.

Stichwortverzeichnis 

6to4 256, 260 

802.1X-Authentifizierung 85, 140 

A 

Abbruchmeldungen 609 

Checkliste 626 

Hardware 625, 629 

Software 627 


Analysieren 619 

Erstellen, manuell 618 

Kernel 616 

Kleine 615 

Typen 615 

Vollständige 617 

Überblick 609 

Vorbereitungen 623 

Abgesicherter Modus 490 

Ablaufverfolgung für Netzwerke, Problembehandlung 567 

Abstürze 18 

ACT (Application Compatibility Toolkit) 315f. 

ActiveX-Add-Ons 149–152 

ActiveX-Installerdienst 152f. 

ActiveX-Opt-In-Konfiguration 149f. 

ActiveX-Steuerelemente ausführen, die für Skripts sicher sind 

151 

ActiveX-Steuerelemente initialisieren und ausführen, die nicht als 

sicher für Skripts markiert sind 151 

ActiveX-Steuerelemente und Plugins ausführen 151 

AD DS-Domänen 302 

Add-Ons 148f. 

Ereignisabonnement 305–308 

HTTPS 308 

Weiterleitungscomputer 302ff. 

AD DS-Suche 109 

Add-Ons 146, 148 



AD DS-Domänen 148f. 

Aktivieren und Deaktivieren 147 

Ohne Add-Ons ausführen 148 

Administratorbestätigungsmodus 204ff. 

Administratoren, UAC-Benachrichtigungen 199f. 

Administratorprivilegien 199 

Überprüfung 346f. 

Adware 198 

Aktivierung bzw. Deaktivierung von Add-Ons für Benutzer nicht 

zulassen 149 

Alle Add-Ons sperren, soweit diese nicht explizit in der Add-On- 

Liste aufgeführt sind 148 

Alle Benutzer (Benutzerprofil) 428 

Alternativer Antragstellername 158f. 

Alternatives Hosting 314f. 

Änderungen am Betriebssystem, Anwendungskompatibilität 313 

659 

Anhebung 199, 205f. 

Anmeldeeinschränkungen 133–137 

Anmeldeereignisse überwachen 137 

Anmeldeinformationsverwaltung 131ff. 

Anmeldeversuche überwachen 137 

Anmeldung, automatisch 474 

Anmeldungszeiten 135 

Annahme von Clientverbindungen zum Druckspooler erlauben 

109 

Antivirensoftware 

Mythen 196 

Windows-Defender 213 

Anwendungen, Verbindungsprobleme 589 

Anwendungsabhängigkeiten, Überprüfung 350 

Anwendungseinschränkungen, Überprüfung 350 

Anwendungsidentitätsdienst 356 

Anwendungsinstallation 371 

Fehler 370 

Anwendungskompatibilität 311, 313 



Änderungen am Betriebssystem 313 

Anwendungskompatibilitätsdiagnose und Gruppenrichtlinieneinstellungen 

316f. 

Sicherheitsverbesserungen 313 

Windows 7, integrierte Kompatibilitätstools 313f. 

Anwendungskompatibilitätsdiagnose 316f. 

Anwendungskompatibilitätsmanager 369 

Anwendungsschichtprotokolle 267 

Anwendungsverbindungsprobleme 62ff. 

API (Application Programming Interface) 364 

APIPA (Automatic Private IP Address) 58f. 

AppData (Benutzerprofil) 429 

Application Compatibility Toolkit Siehe ACT 

Application Compatibility Toolkit-Sammlung 369 

Application Programming Interface Siehe API 

AppLocker 302–305 

Arbeitsgruppenumgebungen, Ereignisweiterleitung 309 

Ausgehender Verkehr 382 

Ausnahmen 381, 386ff. 

Authentifizierung 130, 231 



Definition 130f. 

Lernzielkontrolle 144f. 

Netzwerkprobleme 140 

Nicht vertrauenswürdige Computerkonten 142 

Nicht vertrauenswürdige Zertifizierungsstelle 140f. 

UAC-Kompatibilitätsprobleme 133 

Überwachung 137–140 

Automatic Private IP Address Siehe APIPA 

Automatisch (Verzögerter Start) 303 

Automatische Anmeldung 474 

Automatische Softwareinstallation 281ff.

660 Stichwortverzeichnis 

Automatische Synchronisierung 408f. 

Automatisierte Diagnose 502 

Autorisierung 231 

B 

Backdoor 198 

Baseline 326 

Basic Input/Output System (BIOS) 35, 38 

Benachrichtigungen, aktivieren 3f. 

Benutzerdefinierte Sammlungssätze 327f. 

Benutzerkonfiguration 283 

Benutzerkontensteuerung Siehe UAC (Benutzerkontensteuerung) 

Benutzerprofile 426ff. 

Änderungen 428–432 

Definition 426ff. 

Inkompatibilität, servergespeicherte Benutzerprofile 432ff. 

Berichte, Leistungsdaten 328f. 

Betriebssystemversion 364 

Bibliotheken 431f. 

Bidirektionaler Zugriff, DirectAccess 255 

Biometrische Verfahren 130f. 

BIOS Siehe Basic Input/Output System 

BitLocker-Laufwerkverschlüsselung 128, 176 

Aktivieren 179ff. 

Datenwiederherstellung 182f. 

Deaktivieren oder Deinstallieren 184 

Gruppenrichtlinieneinstellungen 178 

Probleme 184f. 

Schlüsselverwaltung auf lokalen Computern 181f. 

TPM-Hardware (Trusted Platform Module) 176ff. 

USB-Flashlaufwerke 178 

Blockierte Dateien 543 

Blockierte Treiber 370 

Bluetooth 541 

BootRec.exe 479 

Browsen, Leistungsüberwachung 566 

C 

CDPs 261 

Chkdsk, Tool 525 

Definition 28 

Problembehandlung 28ff. 

Clientauthentifizierung 158 

Clienteinstellungen, IPv6 262 

Clientsoftware 228ff. 

Clientsysteme schützen (Malwareprobleme) 195ff. 

Erkannte Spyware 210f. 

Kapitelübungen 221 

Kapitelübungstest 222 

Lektionsübungen 216ff. 


Probleme beseitigen 214ff. 


Systeminfektion 213f. 

Typen 197f. 

UAC 199 


Benachrichtigungen für Administratoren 199f. 

Benachrichtigungen für Standardbenutzer 201 

Deaktivieren 207 

Clientsysteme schützen , UAC (Fortsetzung) 

Empfehlungen 207f. 

Gruppenrichtlinieneinstellungen konfigurieren 204–207 

Systemsteuerung, Konfiguration 202ff. 

Übung mit Fallbeispiel 220f. 

Windows-Defender 

Empfehlungen 213 

Gruppenrichtlinieneinstellungen 211ff. 

Spyware 208ff. 

CMAK (Connection Manager Administration Toolkit) 230 

Code Red, Wurm 274 

COM-Objekte 370 

Computerkonfiguration 282f. 

Computerkonten 142 

Configuration Manager 2007 275, 277 

Connection Manager Administration Toolkit Siehe CMAK 

D 

Data Recovery Agent Siehe Datenwiederherstellungs-Agent 

Datei- und Druckerfreigabe 118 

Datei wiederherstellen 420–423 

Dateien, blockierte 543 

Dateien und Einstellungen verwalten 403 

Offlinedateien 403 

Anzeigen 411 


Benutzen 406f. 

Deinstallieren 408 

Festplattenplatz verwalten 415f. 

Gründe 406 

Grundlagen 403ff. 

Gruppenrichtlinieneinstellungen 417–423 

Manuelle Synchronisierung 409f. 

Offlinebetrieb 410f. 

Synchronisierung verwalten 412ff. 

Übung 424f. 


Servergespeicherte Benutzerprofile 426 


Einstellungsoptionen für Ordnerumleitung 439f. 

Inkompatibilität 432ff. 

Ordnerumleitung 434ff. 

Ordnerumleitung konfigurieren 437f. 

Übung 441–445 

Verbesserungen bei Ordnerumleitung 436f. 

Windows Vista 428–432 

Zielordner 438f. 

Dateifreigabe, net share, Befehl 554 

Dateisignaturverifizierung 533 

Datenauthentifizierung 228, 269 

Datensicherung, wiederherstellen 363 

Datenträger, DiskView 542 

Datenträger und Dateisysteme 

Datenträgerfehlerdiagnose 506 

Problembehandlung 524 

Datenträgerbereinigung 530 


Datenwiederherstellungs-Agent (DRA) 173–176 

Dauerhafte Verbindung, DirectAccess 255 

Deaktiviertes Konto 136

Debugger 621, 625 

Defragmentierung 330f. 


Problembehandlung 30f. 

DHCP-Server 233 

Diagnose, automatisiert 502 

Diagnose, eingebaut 517 

Sammlungssätze 518 

Speicherdiagnose 519 

Zuverlässigkeitsüberwachung 517 

Dienste, Problembehandlung 490 

DirectAccess 223f., 254 


Infrastrukturfeatures 258–262 

IPv6-Internetfeatures konfigurieren 262 

Lernzielkontrolle 268 

Problembehandlung 264–267 

Überblick 254f. 

Übergangstechnologien 255–258 

Übung 267 

Verbindungsprozess 263f. 

Vorteile 255 

DirectAccess-Clients 259f. 

DirectAccess-Server 258f., 265 

DiskView 542 

DLLs 370 

DNS-Cache 

Anzeigen 70 


Löschen 71 

Verwalten 70 

DNS-Server (Domain Name System) 232, 560, 594 

DirectAccess-Clients 266f. 

Dokumente 428 

Domäne-Firewallprofil 266, 385 

Domänencontroller 232f., 260 

Domänenumgebungen 599 

Downloads, Ordner (Benutzerprofil) 428 

DRA Siehe Datenwiederherstellungs-Agent 

Drahtloskonnektivitätsprobleme 

Drahtlosnetzwerkprofil 77f. 

Ereignisanzeige 93ff. 


Häufige Probleme 90–93 

Konfigurationsänderung 82f. 


Manuelle Verbindung 76f. 

Priorität ändern 83 

Profiltypen konfigurieren 89f. 

Sicherheit 84ff. 

Skripts 80f. 

Übungen 95f., 101 

WPA-EAP-Sicherheit 86–89 

Drahtlosnetzwerkprofil 

Konfigurieren 89f. 

Manuell erstellen 77f. 

Drucker 103ff. 

Drucker-Problembehandlungsmodul 105f. 

Ereignisse überwachen 107f. 

Fallbeispiele 124f. 

Gruppenrichtlinieneinstellungen 108f. 

Stichwortverzeichnis 661 

Drucker (Fortsetzung) 

Kapitelübungen 125f. 



Netzwerkprobleme 115–118 


Serverprobleme 109ff. 

Treiberprobleme 111–115 

Drucker verwalten 110 

Druckerereignisse, überwachen 107f. 

Druckerfreigabe 

Client, Freigabe 115f. 

Schritte 110 

Server, Freigabe 116–119 

Treiber hinzufügen 112ff. 

Übungen 119f. 

Druckertreiber 

Automatische Installation 109 

Druckerfreigabeclients 112ff. 

Druckserver 111f. 

Druckertreiber in isolierten Prozessen ausführen 108 

Druckerwarteschlange 110f. 

Druckserver 109 

Anforderungen 109f. 

Treiberupdates 111f. 

Druckwarteschlange 109f. 

E 

E/A, Ressourcenmonitor 504 

Editor 69 

EFS Siehe Verschlüsselndes Dateisystem 

Eigene Bilder 428 

Eigene Musik 428 

Eigene Videos 428 

Eingehende Ausnahmen 386ff. 

Eingehender Verkehr 381 

Einmalanmeldung 131 

Einstellungen konfigurieren, Problembehandlungsmodule 13ff. 

Encrypting File System Siehe Verschlüsselndes Dateisystem 

Energieeinstellungen 332f. 

Ereignis überwachen, Drucker 107f. 

Ereignisablaufverfolgungssammlung 327 



Erstellen 305–308 

Sammelcomputerkonfiguration 304f. 

Ereignisanzeige 362 

Drahtlosverbindungsprobleme 93ff. 


Ereignisprotokoll 19, 398f. 

Ereignisprotokollleser 304 

Ereignisse 

Diagnose 518 

Netzwerkproblembehandlung 549 

Ereignisweiterleitung 301, 362, 375 

AD DS-Domänen 302 


HTTPS 308 

Weiterleitungscomputer 302ff. 

Arbeitsgruppenumgebungen 309 

Lernzielkontrolle 316f.


Ereignisweiterleitung (Fortsetzung) 


Prozess 301f. 

Sammelcomputer in AD DS-Domänen 304f. 

Übungen 313–316 


Erneut installieren, Software 363 

Externe Verbindungen, Überprüfung 350 

F 

Fehlerhafte Treiber 16f. 

Fehlersuche, Problembehandlungsmodule 12f. 

Festplatte 

DiskView 542 



Firewalls 

DirectAccess-Clients 266 

Konfiguration 117ff. 


Flashlaufwerke 178, 330 

Forefront 213 

FQDN (Fully Qualified Domain Name) 266f. 

Fragmentierung 330f. 

Freier Platz 330f. 

Fully Qualified Domain Name Siehe FQDN 

G 

Geräte 

Geräte-Manager 512, 535 

SCSI 513 

Geräte und Drucker, Problembehandlungsmodul 9ff. 

Geräte-Manager, Problembehandlung 15ff. 

Geschützter Modus 154–157 

Gespeicherte Spiele, Ordner (Benutzerprofil) 429 

Globales IPv6 264ff. 

Grafische Tools, Windows Update-Konfiguration 281 

Gruppenrichtlinieneinschränkungen, Internet Explorer 159f. 


Anwendungskompatibilitätsdiagnose 316f. 

BitLocker 178 

Drucker 108f. 

Offlinedateien 417–423 

Ordnerumleitung 436 

UAC deaktivieren 207 

UAC-Konfiguration 204–207 

Windows Update-Konfiguration 281ff. 

Windows-Defender 211ff. 

Windows-Firewall 395ff. 

Gruppenrichtlinienverwaltung, Konsole 437 

H 

Handle 542 

Hardware 

Abbruchmeldungen 625, 629 


Diagnose, Probleme 510 

Prozess 508 

Verbesserungen in 7 501 

Hardware und Geräte, Problembehandlungsmodule 12 

Hardware und Sound, Problembehandlungsmodule 8 

Hardwarefehler 

Softwarefehler, Vergleich 34 

Zuverlässigkeitsüberwachungsdiagnose 18f. 

Hardware-Ratgeber 12f. 

Herausgeber, vertrauenswürdige 348f. 

Hintergrundsynchronisierung servergespeicherter Benutzerprofile 

431 

Hosting, alternatives 314f. 

Hotspots 47 

HTTP 301 

HTTPS 301, 308 

Hyper-V 368f. 

I 

IANA (Internet Assigned Numbers Authority) 224 

IKEv2 (Internet Key Exchange Version 2) 234f. 

Infektion (Malware) 213f. 

Infrastrukturfeatures, DirectAccess 258–262 


Integrierte Kompatibilitätstools 313f. 

Integrierte Sammlungssätze 325f. 

Internet Assigned Numbers Authority Siehe IANA 

Internet Explorer 146 

ActiveX-Installerdienst, Übung 160f. 

Add-Ons 146 



AD DS-Domänen 148f. 

Aktivieren und Deaktivieren 147 


Geschützter Modus 154–157, 364 

Gruppenrichtlinieneinschränkungen 159f. 


Version 364 

Vertrauenswürdige Sites, Liste 154 

Windows 7 (64-Bit-Versionen) 153 

Zertifikatprobleme 157ff. 

Zertifikatprobleme, Übungen 161–164 

Internet Key Exchange Version 2 (IKEv2) 234f. 

Internet Printing Protocol Siehe IPP 

Intranetserver, DirectAccess-Clients 266f. 

Intra-Site Automatic Tunneling Addressing Protocol 

Siehe ISATAP 

IpConfig 52f. 

Ipconfig, Tool für Netzwerkproblembehandlung 550 

IP-HTTPS 258, 260 

IPP (Internet Printing Protocol) 118 

IPSec 261 

IPv4 224 

IPv4-NAT 258 

IPv6 224, 260 

DirectAccess 264ff. 

Einstellungen 262 

Internetfeatures konfigurieren 262 


IPv6-fähiges Netzwerk 260f. 

IPv6-NAT 258 

IPv6-Übergangstechnologien 255–258 

ISATAP (Intra-Site Automatic Tunneling Addressing Protocol) 

256

K 

Kennwortablauf 136 

Keylogger 198 

Kompatibilität, Softwareupdates 277f. 

Kompatibilität, Registerkarte 365ff. 

Kompatibilitätsprotokollierung 156 

Kompatibilitätsschicht, geschützter Modus 156 

Komplexe Verkehrstypen 383 

Konfiguration 

Hardware 513 



Konfigurationsänderung, Drahtlosnetzwerke 82f. 

Konfigurationssammlung 328 

Konnektivitätsprobleme behandeln 

DirectAccess 264–267 

VPN-Clientverbindungen 241 

Kontakte, Ordner (Benutzerprofil) 428 

Konten, nicht vertrauenswürdige 142 

Kontoablauf 137 

Kontosperrung 134f. 

Kritische Updates 277 

L 

L2TP (Layer 2 Tunneling Protocol) 236f. 

Latenz 53, 56 

Laufwerksprobleme, Leistung 329–332 

Layer 2 Tunneling Protocol (L2TP) 236f. 

Leistung 299f. 

Ablaufverfolgung 567 

Ereignisweiterleitung 301 

AD DS-Domänen, 302 

AD DS-Domänen, Ereignisabonnement 305–308 

AD DS-Domänen, HTTPS 308 

Arbeitsgruppenumgebungen 309 


Prozess 301f. 



Weiterleitungscomputer in AD DS-Domänen 302ff. 


Problembehandlung 318, 595 

Datenträgerleistungsprobleme 329–332 

Energieeinstellungen 332f. 


Sammlungssätze und Berichte 325–329 

Systemkonfiguration 333f. 

Systemmonitor 322ff. 

Task-Manager 318–322 



Übungen 342 

Übungstest 343 

Leistungsindikatorensammlung 327 

Leistungsindikatorenwarnung 328 


Netzwerke, Problembehandlung 565 

USB-Probleme 538 

Links, Ordner (Benutzerprofil) 429 

Listener 303 

Lizenz, Überprüfung 350 


Local, Ordner (Benutzerprofil) 429 

LocalLow, Ordner (Benutzerprofil) 429 

Logotests 349 

Lokale Computer, Schlüsselverwaltung 181f. 

Lokale Sicherheitsrichtlinie, Deaktivieren der UAC 207 

Lokaler Drucker, Übungen 121 

M 

Malwareprobleme 195ff. 






Mythen 195f. 

Probleme beseitigen 214ff. 


Softwareupdates 274 

Systeminfektion 213f. 

Typen 197f. 

UAC 199 


Benachrichtigungen für Administratoren 199f. 

Benachrichtigungen für Standardbenutzer 201 





Übung mit Fallbeispiel 220f. 





Mandatory Integrity Control Siehe MIC 

Manuelle Drahtlosverbindungen 76f. 

Manuelle Problembehandlung, Netzwerkverbindungen 60ff. 

Manuelle Softwareinstallation 280f. 


Mauseigenschaften 11 

Mauseinstellungen 11 

Mausgeräte, Problembehandlung 15 

MBSA Siehe Microsoft Baseline Security Analyzer 

Mehr-Faktoren-Authentifizierung 130 

MIC (Mandatory Integrity Control) 155 

Microsoft Baseline Security Analyzer (MBSA) 284f. 

Microsoft Deployment Toolkit 279 

Microsoft Kerberos-SSP 301 

Microsoft Malware Protection Center 212 

Microsoft Online Crash Analyzer (MOCA) 505 

Microsoft Outlook Web Access (OWA) 254 

Microsoft System Center Configuration Manager 2007 275, 277 

Microsoft Virtual PC 2007 368 

Microsoft Virtual Server 146 

Motherboard, Problembehandlung 37ff. 

N 

Nahtlose Konnektivität, DirectAccess 255 

Name Resolution Policy Table Siehe NRPT 

Namensauflösungsprobleme 68 

DNS-Cache anzeigen 70 

DNS-Cache deaktivieren 71


Namensauflösungsprobleme (Fortsetzung) 

DNS-Cache löschen 71 

DNS-Cache verwalten 70 


Probleme 68ff. 


NAT (Network Address Translation) 258 

Natives IPv6 260 

Nblookup, Tool für Netzwerkproblembehandlung 551 

Nbtstat, Tool für Netzwerkproblembehandlung 552 

Net, Tool für Netzwerkproblembehandlung 554 

Netdom 142 

NetSetup.log-Datei 599 

netsh wlan connect, Befehl 81 

Netstat, Tool für Netzwerkproblembehandlung 555 

Network Address Translation Siehe NAT 

Network Monitor 557 

Netzteil, Problembehandlung 36f. 

Netzwerkadressenserver 260 

Netzwerkauthentifizierungsprobleme 140 

Netzwerkdrucker 103ff. 

Drucker-Problembehandlungsmodul 105f. 

Ereignisse überwachen 107f. 


Freigeben 110 

Gruppenrichtlinieneinstellungen 108f. 

Kapitelübungen 125f. 




Netzwerkprobleme 115–118 


Serverprobleme 109ff. 

Treiberprobleme 111–115 

Netzwerke 47f. 

Drahtloskonnektivitätsprobleme 75 

Drahtlosnetzwerkprofil 77f. 

Ereignisanzeige 93ff. 


Häufige Probleme 90–93 

Konfigurationsänderung 82f. 


Manuelle Verbindung 76f. 

Priorität ändern 83 

Profiltypen konfigurieren 89f. 


Skripts 80f. 

Überblick 75f. 



Druckerprobleme 115–118 

Fallbeispiele 99 


DNS-Cache 70f. 


Probleme 68ff. 


Netzwerkkonnektivitätsprobleme 49 

Anwendung 62ff. 

APIPA-Adresse 58f. 

Ipconfig 52f. 

Netzwerke, Netzwerkkonnektivitätsprobleme (Fortsetzung) 


Manuelle Problembehandlung 60ff. 

Netzwerkproblembehandlungswerkzeuge 52 

Nslookup 57f. 

PathPing 54ff. 

Ping 53f. 

PortQry 56f. 

Probleme 60 

Übung 64ff. 

Übungen 100 

Windows-Netzwerkdiagnose 49–52 

Problembehandlung 


Anwendungsverbindungsprobleme 589 

ARP, Tool 547 

Ereignisanzeige 549 

Firewallprobleme 607 

Ipconfig, Tool 550 

Leistungsprobleme 595 

Leistungsüberwachung 565 


Nblookup, Tool 551 

Nbtstat, Tool 552 

Net, Tool 554 

Netstat, Tool 555 

Network Monitor, Tool 557 

Netzwerkerkennung 602 

Netzwerkverbindungsprobleme 582 

Nslookup, Tool 559 

PathPing, Tool 562 

Ping, Tool 570 

Portqry, Tool 571 

Ressourcenmonitor 569 

Route, Tool 573 

Task-Manager 576 

Telnet-Client 579 

Test TCP 580 

Tools 546 

Windows-Netzwerkdiagnose 582 


Netzwerkerkennung 602 

Netzwerkkarte, Problembehandlungsmodul 8 

Netzwerkkonnektivitätsprobleme 49 

APIPA-Adresse 58f. 



Ipconfig 52f. 

Nslookup 57f. 



PortQry 56f. 

Probleme 60 

Anwendung 62ff. 

Manuelle Problembehandlung 60ff. 

Übung 64ff. 

Übungen 100 

Windows-Netzwerkdiagnose 49–52 


Ipconfig 52f. 

Nslookup 57f.

Netzwerkproblembehandlungswerkzeuge (Fortsetzung) 



PortQry 56f. 

Netzwerkrichtlinienserver (NPS) 228, 233f. 

Netzwerkstandorte 383ff. 

Neue Computer, Softwareinstallation 279f. 

Neustart-Manager 287f. 



NPS Siehe Netzwerkrichtlinienserver 

NRPT (Name Resolution Policy Table) 259f. 

Nslookup 57f. 

Nslookup, Tool für Netzwerkproblembehandlung 559 

NTFS 

Chkdsk, Tool 528 

Selbstheilung 507 

F 

Öffentlich, Netzwerkfirewallprofil 385 

Öffentlicher Schlüssel 233 

Öffentliches Profil 429 


Offlinedateien 403 

Anzeigen 411 


Benutzen 406f. 




Gründe 406 

Grundlagen 403ff. 

Gruppenrichtlinieneinstellungen 417–423 



Synchronisierung verwalten 412ff. 

Übung 424f. 

Optionen, Registerkarte, Ordnerumleitung 439f. 

Ordner wiederherstellen 420–423 

Ordnerpfade 365 



Einstellungen, Registerkarte Optionen 439f. 


Verbesserungen 436f. 

Ordnerverschlüsselung 168 

Outlook Web Access 254 

OWA (Outlook Web Access) 254 

P 

PathPing, Tool für Netzwerkproblembehandlung 54ff., 562 

Persönliches Zertifikat importieren 172f. 

Pilotbereitstellungsgruppe 278 

Ping, Tool für Netzwerkproblembehandlung 53f., 570 

PKI (Public Key Infrastructure) 233, 261 

Point-and-Print 114f. 

Portqry, Tool für Netzwerkproblembehandlung 571 

PortQry, Tool für Netzwerkproblembehandlung 56f. 

PowerShell, Problembehandlungspaket 503 

PPTP (Point-to-Point Tunneling Protocol) 237 

Priorität ändern, Drahtlosnetzwerke 83 


Privat und Arbeitsplatz, Netzwerkfirewallprofil 385 


Bluetooth-Probleme 541 

DiskView 542 

Domänenbeitritt und -anmeldung 599 

eingebaute Diagnose 517 

Sammlungssätze 518 


Zuverlässigkeitsüberwachung 517 

Handle 542 

Hardware 

Diagnose, Probleme 510 

Prozess 508 

Laufwerksprobleme 524 

Process Monitor 543 

Systemwiederherstellung 535 

Tools 542 

Treiber 


Geräte-Manager 535 

Überprüfung 532 

Updates 531 

USB-Probleme 536 

Problembehandlungseinstellungen ändern 13f. 

Problembehandlungsmodule, Drucker 105f. 

Problembehandlungspakete, Definition 5 

Problembehandlungsplattform 502 

Process Monitor 543 

Profile 

Domäne, Firewall 266 

Windows-Firewall 385 

Programmabbruch 322 

Programmkompatibilität, Problembehandlungsmodul 365f. 

Programmkompatibilitäts-Assistent 364f., 370f. 

Prozesse, Ressourcenmonitor 504 

Prozessorzeit 320ff. 

Public Key Infrastructure Siehe PKI 

Pull-Modus 306 

Push-Modus 306 

Q 

Qualitätssicherung (QA) 277 

Quellcomputer 362 

Quellcomputerinitiierte Abonnements 304 

R 

Rains, Tim 573, 606 

RAM 


Windows-Speicherdiagnose 24–28 

Registrierung, Systemstart 461 

Remotedesktopdienste 369 

Remotezugriffsauthentifizierung 231 

Remotezugriffsverbindungen 223f. 

DirectAccess 254 


Infrastrukturfeatures 258–262 

IPv6-Internetfeatures konfigurieren 262 



Überblick 254f.


Remotezugriffsverbindungen, DirectAccess (Fortsetzung) 


Übung 267 

Verbindungsprozess 263f. 

Fallbeispiele 270f. 


Übungen 271 



Grundlagen 225–234 

Konnektivitätsprobleme behandeln 241 


Tunnelprotokolle 234–237 


Verbindungsaufbau 238–241 

Remotezugriff-VPN-Infrastruktur 228–234 

Reparieren, Software 363 

Ressourcenmonitor 504, 569 

Richtlinien für Softwareeinschränkung (SRP) 346, 351ff. 

Rootkit 176, 196, 198, 216 

Route, Tool für Netzwerkproblembehandlung 573 

Routineprüfungen 14 

Routing- und RAS-Dienste (RRAS) 228, 230f. 

RRAS Siehe Routing- und RAS-Dienste 

Ruhezustand 333 

RunSynchronous-Befehle 279 

S 

Sammelcomputer 362 


Konfiguration 304f. 


Sammlungsinitiierte Abonnements 304 

Sammlungssätze 518, 567 

Leistung 325–329 

SAN-Liste 158f. 

SAT (Setup Analyses Tool) 369 

Schlüsselpaar 233 

Schlüsselverwaltung, auf lokalen Computern 181f. 

SCSI-Geräte 513 

Secure Socket Tunneling Protocol Siehe SSTP 

Secure Sockets Layer Siehe SSL 

Security Support Provider Siehe SSP 

Serverauthentifizierung 157 

Servergespeicherte Benutzerprofile 426f. 



Windows Vista 428–432 

Einstellungsoptionen für Ordnerumleitung 439f. 

Inkompatibilität 432f. 

Ordner 429 



Verbesserungen 436f. 

Übung 441–445 


Serverprobleme, Drucker 109ff. 

Serverzertifikatrichtlinie 153 

Service Pack 277 

Service Set Identifier Siehe SSID 

Setup Analyses Tool (SAT) 369 

Shockwave Flash 146 

Sicherer Desktop 205f. 


Authentifizierung 130 



Definition 130f. 


Netzwerkprobleme 140 




Überwachung 137–140 


BitLocker-Laufwerkverschlüsselung 176 










Drahtlosnetzwerke 84ff. 

Drucker 109 


Internet Explorer 146 



ActiveX-Installerdienst, Übung 160f. 

Add-Ons 146 

Add-Ons aktivieren und deaktivieren 147 

Add-Ons in AD DS-Domänen 148f. 

Geschützter Modus 154–157 

Gruppenrichtlinieneinschränkungen 159f. 




Zertifikatprobleme 157ff. 

Zertifikatprobleme, Übungen 161–164 




Verschlüsselndes Dateisystem (EFS) 


Eigene Zertifikat imports 172f. 

Weitere Benutzer 171f. 

Zertifikat erstellen und sichern 169ff. 

Verschlüsselung 167 



Verschlüsselndes Dateisystem (EFS) 167f. 

WPA-EAP 86–89 

Sicherheitsverbesserungen 

Anwendungskompatibilität 313 


Signierte ActiveX-Steuerelemente 151, 153 

Skripts 80f. 

Softwareupdates 283f. 

Smartcards 130

Software erneut installieren 363 

Software reparieren 363 

Software Restriction Policies Siehe Richtlinien für Softwareeinschränkung 

Software, Abbruchmeldungen 627 

Softwarefehler 34 

Softwareinstallation 278f. 

Automatische 281ff. 

Einstellungen 349 

Manuelle 280f. 

Neue Computer 279f. 


Skripts für Updates 283f. 

Speicherort 349 

Überprüfung 284ff. 

Update deinstallieren 288 

Softwareinstallationseinschränkungen 302–305 

Softwareinstallationsfehler 346 

AppLocker- und Installationseinschränkungen 302–305 

Installationsvoraussetzungen 300ff. 

Softwareinstallationsvoraussetzungen 300ff. 

Softwarelogo, Tests 349 

Softwareproblembehandlung 345 

Anwendungskompatibilität 311, 313 



Änderungen am Betriebssystem 313 

Anwendungskompatibilitätsdiagnose und Gruppenrichtlinieneinstellungen 

316f. 

Lernzielkontrolle 318ff. 

Sicherheitsverbesserungen 313 

Übung 317 


Fallbeispiele 321ff. 

Installationsfehler 346 

AppLocker- und Installationseinschränkungen 302–305 

Installationsvoraussetzungen 300ff. 

Lernzielkontrolle 309ff. 


Konfigurationsprobleme 311ff. 



Übungstests 323 

Softwareupdates 273ff. 

Anwendungsmethoden 275ff. 



Installation 278f. 

Automatische 281ff. 


Neue Computer 279f. 


Skripts für Updates 283f. 

Überprüfung 284ff. 

Update deinstallieren 288 



Kompatibilität 277f. 

Lektionsübungen 289–293 


Schlüsselbegriffe 295f. 


Sounds, Startsound 474 


Analysieren 619 

Erstellen, manuell 618 

Kernel 616 

Kleine 615 

Typen 615 

Vollständige 617 

Speicherdiagnose 505, 519 

Aufgabenplanung 521 

automatische Erkennung 520 

Konfigurieren 523 

Starten 521 

Tests 519 

SpyNet 212f. 

Spyware 


Erkannte 210f. 

Windows-Defender 208ff. 

SRP Siehe Richtlinien für Softwareeinschränkung 

SSID (Service Set Identifier) 77f. 

SSL (Secure Sockets Layer) 301 

SSL-Zertifikate 158 

SSP (Security Support Provider) 301f. 

SSTP (Secure Socket Tunneling Protocol) 234ff. 

Standard User Analyzer (SUA) 369 

Standardbenutzer, UAC-Benachrichtigungen 201 

Standardprofil 429 

Standby 333 

Startkonfigurationsdaten (BCD) 448, 466, 468 

Startladeprogramm entfernen 473 

Startprotokollierung 488 

Startsound 474 

SUA (Standard User Analyzer) 369 

Suchvorgänge, Ordner (Benutzerprofil) 428 

Synchronisierung 

Automatische 408f. 


Ordnerumleitung 435 

Synchronisierungscenter 412ff. 

Synchronisierungscenter 412ff. 

Systemabsturzermittlung deaktivieren 148 

Systeminfektion (Malware) 213f. 

Systemkonfiguration 333f. 

Systemkonfigurationsprogramm 334 

Systemmonitor, Problembehandlung 322ff. 

Systemstart 447 

Ablauf 34ff. 

Automatische Anmeldung 474 

Beschleunigen 475 

Dateien 465 

Debuggereinstellungen 473 

Fehler 20f. 

Geschwindigkeit 475 

Konfigurationseinstellungen 466 

neue Features 447 


abgesicherter Modus 490 

Ablaufdiagramm 475, 485 

BootRec.exe 479 

Dateien manuell ersetzen 483


Systemstart, Problembehandlung (Fortsetzung) 

fehlerhafte Treiber und Dienste 490 

letzte als funktionierend bekannte Konfiguration 487 

nach der Anmeldung 496 

Startprotokollierung 488 

Systemstartreparatur 475, 485 

Systemwiederherstellung 479, 488 

Windows neu installieren 484 

Prozess 453 

Anfangsphase 454 

Anmeldephase 464 

Kernel-Ladephase 459 

Power-On Self Test-Phase 454 

Windows-Startladeprogramm-Phase 458 

Windows-Start-Manager-Phase 457 

Startladeprogramm entfernen 473 

Startsound 474 



Starten 21–24 

Systemstart, Problembehandlung 20f. 

Systemsteuerung 

Problembehandlungseinstellungen ändern 13f. 

UAC-Konfiguration 202ff. 

Windows-Firewall 389ff. 

Systemsteuerung, Problembehandlungsmodule 7ff. 

Systemwartung, Problembehandlungsmodul 14 

Systemwiederherstellung 362f., 479, 488, 535 

Systemwiederherstellungsoptionen 21ff., 26 

Systemwiederherstellungstool 451 

T 

Task-Manager 318–322, 576 

TCPView 578 

Telnet-Client für Netzwerke, Problembehandlung 579 

Teredo 256f., 260 

Test TCP für Netzwerke, Problembehandlung 580 


Treiber 

Blockierte 370 



Geräte-Manager 535 

Systemstart 490 

Überprüfung 532 

Updates 531 

Treiberprobleme, Drucker 111–115 

Trojanisches Pferd 197 

Trusted Platform Module Siehe TPM-Hardware 

Tunnel 

Definition 227, 269 

Protokolle 234–237 

VPN-Kapselung 226ff. 

U 

UAC 199 






UAC (Benutzerkontensteuerung) 363f. 

Anwendungskompatibilität 371 

UAC-Benachrichtigungen 

Administratoren 199f. 

Standardbenutzer 201 



Überprüfung 

Softwareupdates 284ff. 

Windows-Defender 209f. 

Überwachung 

Authentifizierungsprobleme 137–140 

Druckerereignisse 107f. 

Überwachung, Knoten 392 

UIAccess 205f. 

Universal Resource Locator Siehe URL 

Unsignierte ActiveX-Steuerelemente 151, 153 

Unternehmensverwaltungstools 109 

Updates, Mythen 196 

URL (Universal Resource Locator) 118 

USB-Laufwerke 178 


User Account Control Siehe UAC (Benutzerkontensteuerung) 

V 

Verbindungsaufbau 

DirectAccess 263f. 

VPN-Clientverbindungen 238–241 

Verbindungs-Manager 228, 230 

Verbindungssicherheitsregeln 395 

Verkehrsverschlüsselung 157 




Schritte 168 



Verschlüsselung 167 

BitLocker 176 














Schritte 168 



Vertrauenswürdige ActiveX-Steuerelemente 152 

Vertrauenswürdige Herausgeber, Überprüfung 348f. 


Virtual PC 2007 368 

Virtueller Arbeitsspeicher 331f. 

Virtuelles Privates Netzwerk Siehe VPN

Virus 197 

Vorgängerversionen 420–423 

VPN (Virtuelles Privates Netzwerk) 223 

VPN-Client 228ff. 


Einschränkungen 254 


Konnektivitätsprobleme behandeln 241 


Tunnelprotokolle 234–237 


Verbindungsaufbau 238–241 

VPN-Kapselung 226ff. 

VPN-Reconnect 234, 269 

VPN-Server 230f. 

W 

WAIK (Windows Automated Installation Kit) 113 

Wartungscenter 



Warnungen 3f. 

Weiterleitungscomputer 


Konfiguration 302ff. 

WEP (Wired Equivalent Protection) 84 

Wiedergeben von Audiodateien, Problembehandlungsmodul 7 

Wi-Fi Protected Access Siehe WPA 

Windows 7, 64-Bit-Version 153, 364 

Windows 7-Datenträgerbereinigung 330 


Windows 7-Hardwareproblembehandlungskomponenten 34–43 


Festplatte 40f. 

Hardwarefehler und Softwarefehler 34 


Motherboard 37ff. 

Netzteil 36f. 

RAM 39f. 


Startprozess 34ff. 

Testen 41f. 

Übungen 46 


Windows 7-Hardwareproblembehandlungstools 2–33 

Chkdsk, Tool 28ff. 

Defragmentierung 30f. 

Ereignisanzeige 19f. 


Geräte-Manager 15ff. 



Lektionsübungen 31f. 




Starten 21–24 

Systemstartfehler, Problembehandlung 20f. 

Wartungscenter 2f. 

Warnungen 3f. 


Windows 7-Hardwareproblembehandlungstools (Fortsetzung) 

Windows 7-Problembehandlungsmodule 4f. 

Einstellungen konfigurieren 13ff. 



Systemsteuerung, Problembehandlungsmodul 7ff. 

Windows-Speicherdiagnose 24–28 

Zuverlässigkeitsüberwachung 17ff. 

Windows 7-Kompatibilität, Überprüfung 348 

Windows 7-Logo, Tests 349 

Windows 7-Problembehandlungsmodule 4f. 

Einstellungen konfigurieren 13ff. 



Systemsteuerung, Problembehandlungsmodul 7ff. 

Windows Automated Installation Kit Siehe WAIK 

Windows Media Player 146 

Windows Server 2008 R2 107f. 

Windows Server Update Services Siehe WSUS 

Windows System Image Manager 279 

Windows Update 196, 211, 286f. 

Windows Update-Client 275f. 

Windows XP, Wiederherstellungskonsole, Tools 476 

Windows XP Mode 368, 375 





Windows-Ereignissammlung 302, 362 

Windows-Fehler 18 

Windows-Fehlerberichterstattung (WER) 

Abbruchmeldungen 619 

Problembehandlung für Hardware und Treiber 501, 508 

Windows-Fehlerberichterstattung, Systemsteuerung 619 

Windows-Firewall 379 

Ausgehender Verkehr 382 

Eingehende Ausnahmen 386ff. 

Eingehender Verkehr 381 


Komplexe Verkehrstypen 383 

Konfigurieren 117ff. 

Netzwerkstandorte 383ff. 


Ereignisprotokolle 398f. 


Protokolle 397f. 

Systemsteuerung 389ff. 

Windows-Firewall mit erweiterter Sicherheit, Konsole 

392–395 

Zugelassene Programme (Ausnahmen) 391 

Profile 385 


Updates 302f. 

Windows-Firewall mit erweiterter Sicherheit, Konsole 392–395 

Windows-Netzwerkdiagnose 49–52, 582 

Windows-Onlinedienst für Problembehandlung 502 

Windows-Problembehandlungsplattform 4f., 502 

Windows-Remoteverwaltung 302f., 362 

Windows-Ressourcenschutz 364, 375 

Windows-Sicherheit, Drucker 109

670 Stichwortverzeichnis 

Windows-Speicherdiagnose 24 


Windows-Start-Manager 25 

Windows-Speicherdiagnose 25f. 

Windows-Wiederherstellungsumgebung (WinRE) 21f. 

WinRE Siehe Windows-Wiederherstellungsumgebung 

Wired Equivalent Protection Siehe WEP 

WOTS 502 

WPA (Wi-Fi Protected Access) 85 

WPA2 85 


WPA-PSK 85 

WSUS (Windows Server Update Services) 211f., 275ff. 

Wurm 196f., 274 

Wusa.exe 283f. 

Z 

Zertifikate 169– 173 

Zertifikatprobleme, Internet Explorer 157ff. 

Zertifikatserver 233 

Zertifikatsperrliste 234, 261 

Zertifizierungsstelle, nicht vertrauenswürdige 140f. 


Zugelassene Programme (Ausnahmen) 391 

Zulassen-Regeln 381 

Zuverlässigkeit 


Treiber 507 

Zuverlässigkeitsüberwachung, Diagnose, Tool 517 

Zuverlässigkeitsüberwachung 17ff. 

Zwischenspeicher, permanente 530

Die Autoren 

Tony Northrup, MVP, MCSE, MCTS und CISSP, arbeitet als Consultant und 

Autor zum Thema Microsoft Windows. Er wohnt in New London, Connecticut. 

Tony Northrup begann mit dem Programmieren, noch bevor Windows 1.0 

erschien, hat sich aber in den letzten 15 Jahren auf die Administration von und 

Entwicklung für Windows konzentriert. Er hat rund 25 Bücher zu Windows- 

Entwicklung, -Netzwerken und -Sicherheit geschrieben. Unter anderem ist Tony 

Northrup Koautor von Windows 7 – Die technische Referenz, Windows Vista – 

Die technische Referenz und Windows Server 2008 – Networking und Netzwerkzugriffsschutz. 

Wenn Tony Northrup gerade nicht arbeitet, fotografiert er gerne und ist auf Reisen. Er lebt 

mit seiner Freundin Chelsea, ihrer Tochter Madelyn und drei Hunden zusammen. Mehr über 

Tony Northrup erfahren Sie auf seiner privaten Website unter http://www.northrup.org und 

in seinem technischen Blog unter http://www.vistaclues.com. 

J.C. Mackin, MCITP, MCTS, MCSE, MCDST und MCT, arbeitet als Consultant, 

Schulungsleiter und Autor. Mit Microsoft-Netzwerken beschäftigt er sich 

seit Microsoft Windows NT 4.0. Er ist Autor oder Koautor vieler Trainings von 

Microsoft Press (darunter für die Prüfungen 70-291, 70-642 und 70-643) und 

des Buchs Windows Essential Business Server 2008 Administrator’s Companion. 

Wenn er nicht mit Computern arbeitet, wandert J.C. Mackin oft mit einer 

Kamera bewaffnet durch geschichtsträchtige Städtchen in Europa. 

671

70-685 Windows 7 Support in Unternehmen.pdf - Gattner

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?