70-685 Windows 7 Support in Unternehmen.pdf - Gattner
70-685 Windows 7 Support in Unternehmen.pdf - Gattner
70-685 Windows 7 Support in Unternehmen.pdf - Gattner
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>W<strong>in</strong>dows</strong> 7-<strong>Support</strong><br />
<strong>in</strong> <strong>Unternehmen</strong> –<br />
Orig<strong>in</strong>al Microsoft Tra<strong>in</strong><strong>in</strong>g<br />
für Examen <strong>70</strong>-<strong>685</strong>
Dieses Buch ist die deutsche Übersetzung von: Tony Northrup, J.C. Mack<strong>in</strong>:<br />
MCITP Self-Paced Tra<strong>in</strong><strong>in</strong>g Kit (Exam <strong>70</strong>-<strong>685</strong>): <strong>W<strong>in</strong>dows</strong> 7 Enterprise Desktop<br />
<strong>Support</strong> Technician<br />
Microsoft Press, Redmond, Wash<strong>in</strong>gton 98052-6399<br />
Copyright 2010 Microsoft Corporation<br />
Das <strong>in</strong> diesem Buch enthaltene Programmmaterial ist mit ke<strong>in</strong>er Verpflichtung oder<br />
Garantie irgende<strong>in</strong>er Art verbunden. Autor, Übersetzer und der Verlag übernehmen<br />
folglich ke<strong>in</strong>e Verantwortung und werden ke<strong>in</strong>e daraus folgende oder sonstige Haftung<br />
übernehmen, die auf irgende<strong>in</strong>e Art aus der Benutzung dieses Programmmaterials oder<br />
Teilen davon entsteht.<br />
Das Werk e<strong>in</strong>schließlich aller Teile ist urheberrechtlich geschützt. Jede Verwertung<br />
außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des<br />
Verlags unzulässig und strafbar. Das gilt <strong>in</strong>sbesondere für Vervielfältigungen, Übersetzungen,<br />
Mikroverfilmungen und die E<strong>in</strong>speicherung und Verarbeitung <strong>in</strong> elektronischen<br />
Systemen.<br />
Die <strong>in</strong> den Beispielen verwendeten Namen von Firmen, Organisationen, Produkten,<br />
Domänen, Personen, Orten, Ereignissen sowie E-Mail-Adressen und Logos s<strong>in</strong>d frei<br />
erfunden, soweit nichts anderes angegeben ist. Jede Ähnlichkeit mit tatsächlichen<br />
Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen, E-Mail-<br />
Adressen und Logos ist re<strong>in</strong> zufällig.<br />
15 14 13 12 11 10 9 8 7 6 5 4 3 2 1<br />
12 11 10<br />
ISBN 978-3-86645-985-4<br />
Copyright der deutschen Ausgabe:<br />
© 2010 O’Reilly Verlag GmbH & Co. KG<br />
Balthasarstr. 81, 506<strong>70</strong> Köln<br />
Alle Rechte vorbehalten<br />
Übersetzung: Detlef Johannis, Kempten<br />
Korrektorat: Claudia Mantel-Rehbach, Entrach<strong>in</strong>g<br />
Fachlektorat und Satz: Günter Jürgensmeier, München<br />
Umschlaggestaltung: Hommer Design GmbH, Haar (www.HommerDesign.com)<br />
Layout und Gesamtherstellung: Kösel, Krugzell (www.KoeselBuch.de)
Inhaltsverzeichnis<br />
Danksagungen . ......................................................... XV<br />
E<strong>in</strong>führung . ............................................................ XVII<br />
Hardwarevoraussetzungen .............................................. XVIII<br />
E<strong>in</strong>richten des Testnetzwerks für die Übungen ............................... XIX<br />
Verwenden der CD . ................................................... XIX<br />
So <strong>in</strong>stallieren Sie die Übungstests .................................... XX<br />
So benutzen Sie die Übungstests . ..................................... XX<br />
So de<strong>in</strong>stallieren Sie die Übungstests .................................. XXII<br />
Das Microsoft Certified Professional-Programm ............................. XXII<br />
<strong>Support</strong> für dieses Buch ................................................ XXII<br />
Kapitel 1: Beseitigen von Hardwarefehlern . ..................................... 1<br />
Bevor Sie beg<strong>in</strong>nen ..................................................... 1<br />
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von <strong>W<strong>in</strong>dows</strong> 7 ....... 2<br />
Problembehandlung mit dem <strong>W<strong>in</strong>dows</strong> 7-Wartungscenter ..................... 2<br />
Behandeln von Problemen mit den <strong>W<strong>in</strong>dows</strong> 7-Problembehandlungsmodulen . ..... 4<br />
Behandeln von Problemen im Geräte-Manager ............................. 15<br />
Behandeln von Problemen mit der Zuverlässigkeitsüberwachung ............... 17<br />
Behandeln von Problemen mit der Ereignisanzeige .......................... 19<br />
Behandeln von Startfehlern mit der Systemstartreparatur . ..................... 20<br />
Untersuchen von RAM-Fehlern mit der <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose . ............ 24<br />
Behandeln von Festplattenproblemen mit Chkdsk ........................... 28<br />
Behandeln von Festplattenproblemen mit der Defragmentierung ................ 30<br />
Zusammenfassung der Lektion ......................................... 32<br />
Lernzielkontrolle ................................................... 33<br />
Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten .................. 34<br />
Unterscheiden von Hardware- und Softwarefehlern . ......................... 34<br />
Ablauf des Systemstarts .............................................. 34<br />
Behandeln von Netzteilproblemen ...................................... 36<br />
Behandeln von Problemen mit dem Motherboard ........................... 37<br />
Behandeln von RAM-Problemen ....................................... 39<br />
Behandeln von Festplattenproblemen .................................... 40<br />
Zusammenfassung der Lektion ......................................... 42<br />
Lernzielkontrolle ................................................... 43<br />
Rückblick auf dieses Kapitel .............................................. 44<br />
Zusammenfassung des Kapitels ............................................ 44<br />
Schlüsselbegriffe ....................................................... 44<br />
III
IV Inhaltsverzeichnis<br />
Übungen mit Fallbeispiel ................................................. 44<br />
Übung mit Fallbeispiel 1: Problembehandlung für Abbruchfehler ............... 45<br />
Übung mit Fallbeispiel 2: Problembehandlung für Systemabstürze .............. 45<br />
Vorgeschlagene Übungen . ................................................ 46<br />
Untersuchen und Beseitigen von Hardwareproblemen . ....................... 46<br />
Machen Sie e<strong>in</strong>en Übungstest . ............................................. 46<br />
Kapitel 2: Netzwerk ........................................................ 47<br />
Bevor Sie beg<strong>in</strong>nen ..................................................... 47<br />
Lektion 1: Problembehandlung für die Netzwerkkonnektivität ..................... 49<br />
Arbeiten mit der <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose . ............................. 49<br />
Tools zum Behandeln von Netzwerkproblemen . ............................ 52<br />
Problembehandlung für e<strong>in</strong>e APIPA-Adresse .............................. 58<br />
Behandeln von Verb<strong>in</strong>dungsproblemen ................................... 60<br />
Zusammenfassung der Lektion ......................................... 66<br />
Lernzielkontrolle ................................................... 66<br />
Lektion 2: Problembehandlung für die Namensauflösung ......................... 68<br />
So führen Sie e<strong>in</strong>e Problembehandlung für Namensauflösungsprobleme durch ..... 68<br />
Verwalten des DNS-Caches ........................................... <strong>70</strong><br />
Zusammenfassung der Lektion ......................................... 73<br />
Lernzielkontrolle ................................................... 73<br />
Lektion 3: Problembehandlung für Drahtlosnetzwerke ........................... 75<br />
Grundlagen von Drahtlosnetzwerken .................................... 75<br />
Herstellen der Verb<strong>in</strong>dung zu Drahtlosnetzwerken .......................... 76<br />
Ändern der Konfiguration e<strong>in</strong>es Drahtlosnetzwerks . ......................... 82<br />
Ändern der Prioritäten für Drahtlosnetzwerke .............................. 83<br />
Sicherheit <strong>in</strong> Drahtlosnetzwerken ....................................... 84<br />
Konfigurieren von WPA-EAP-Sicherheit ................................. 86<br />
Konfigurieren von Drahtlosnetzwerkprofiltypen ............................ 89<br />
Behandeln häufiger Drahtlosnetzwerkprobleme ............................ 90<br />
Analysieren von Drahtlosverb<strong>in</strong>dungsproblemen <strong>in</strong> der Ereignisanzeige .......... 93<br />
Zusammenfassung der Lektion ......................................... 96<br />
Lernzielkontrolle ................................................... 97<br />
Rückblick auf dieses Kapitel .............................................. 98<br />
Zusammenfassung des Kapitels ............................................ 98<br />
Schlüsselbegriffe ....................................................... 99<br />
Übungen mit Fallbeispiel ................................................. 99<br />
Übung mit Fallbeispiel 1: Behandeln e<strong>in</strong>es Netzwerkproblems .................<br />
Übung mit Fallbeispiel 2: Problembehandlung beim Verb<strong>in</strong>dungsaufbau zu e<strong>in</strong>em<br />
99<br />
Drahtlosnetzwerk ................................................... 99<br />
Vorgeschlagene Übungen . ................................................ 100<br />
Untersuchen und Beseitigen von Problemen mit der Netzwerkkonnektivität ....... 100<br />
Untersuchen und Beseitigen von Namensauflösungsproblemen . ................ 101<br />
Untersuchen und Beseitigen von Problemen mit Drahtlosverb<strong>in</strong>dungen . .......... 101<br />
Machen Sie e<strong>in</strong>en Übungstest . ............................................. 102
Inhaltsverzeichnis V<br />
Kapitel 3: Drucker ......................................................... 103<br />
Bevor Sie beg<strong>in</strong>nen ..................................................... 103<br />
Lektion 1: Problembehandlung für Netzwerkdrucker ............................ 105<br />
Verwenden des Problembehandlungsmoduls Drucker ........................ 105<br />
Überwachen von Druckerereignissen .................................... 107<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen für die Problembehandlung . .................. 108<br />
Behandeln von Serverproblemen ....................................... 109<br />
Behandeln von Treiberproblemen ....................................... 111<br />
Behandeln von Netzwerkproblemen ..................................... 115<br />
Zusammenfassung der Lektion ......................................... 121<br />
Lernzielkontrolle ................................................... 122<br />
Rückblick auf dieses Kapitel .............................................. 124<br />
Zusammenfassung des Kapitels ............................................ 124<br />
Schlüsselbegriffe ....................................................... 124<br />
Übungen mit Fallbeispiel ................................................. 124<br />
Übung mit Fallbeispiel 1: Probleme aufgrund ungenügender Privilegien .......... 125<br />
Übung mit Fallbeispiel 2: Behandeln e<strong>in</strong>es Druckerproblems .................. 125<br />
Vorgeschlagene Übungen . ................................................ 125<br />
Untersuchen und Beseitigen von Problemen mit Netzwerkdruckern ............. 125<br />
Machen Sie e<strong>in</strong>en Übungstest . ............................................. 126<br />
Kapitel 4: Sicherheit ....................................................... 127<br />
Bevor Sie beg<strong>in</strong>nen ..................................................... 128<br />
Lektion 1: Authentifizieren von Benutzern .................................... 130<br />
Was ist Authentifizierung? ............................................ 130<br />
Arbeiten mit der Anmelde<strong>in</strong>formationsverwaltung .......................... 131<br />
Problembehandlung für die Authentifizierung .............................. 133<br />
Zusammenfassung der Lektion ......................................... 144<br />
Lernzielkontrolle ................................................... 144<br />
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit ..... 146<br />
Internet Explorer-Add-Ons ............................................ 146<br />
H<strong>in</strong>zufügen von Sites zur Liste Vertrauenswürdige Sites ...................... 154<br />
Geschützter Modus . ................................................. 154<br />
Problembehandlung für Zertifikatprobleme . ............................... 157<br />
Erkennen von E<strong>in</strong>schränkungen, die durch Gruppenrichtl<strong>in</strong>ien verursacht werden . .. 159<br />
Zusammenfassung der Lektion ......................................... 164<br />
Lernzielkontrolle ................................................... 165<br />
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung .............. 167<br />
Das verschlüsselnde Dateisystem EFS ................................... 167<br />
BitLocker ......................................................... 176<br />
Zusammenfassung der Lektion ......................................... 187<br />
Lernzielkontrolle ................................................... 188<br />
Rückblick auf dieses Kapitel .............................................. 189<br />
Zusammenfassung des Kapitels ............................................ 189<br />
Schlüsselbegriffe ....................................................... 190
VI Inhaltsverzeichnis<br />
Übungen mit Fallbeispiel ................................................. 190<br />
Übung mit Fallbeispiel 1: Empfehlen von Datensicherheitstechnologien .......... 190<br />
Übung mit Fallbeispiel 2: Unerwünschte Internet Explorer-Add-Ons ............ 191<br />
Vorgeschlagene Übungen . ................................................ 191<br />
Untersuchen und Beseitigen von Anmeldeproblemen ........................ 191<br />
Untersuchen und Beseitigen von Verschlüsselungsproblemen .................. 192<br />
Untersuchen und Beseitigen von Sicherheitsproblemen für <strong>W<strong>in</strong>dows</strong><br />
Internet Explorer ................................................... 192<br />
Machen Sie e<strong>in</strong>en Übungstest . ............................................. 193<br />
Kapitel 5: Schützen von Clientsystemen ....................................... 195<br />
Bevor Sie beg<strong>in</strong>nen ..................................................... 195<br />
Lektion 1: Beseitigen von Malwareproblemen ................................. 197<br />
Grundlagen von Malware ............................................. 197<br />
Grundlagen der Benutzerkontensteuerung ................................. 199<br />
Clients mit <strong>W<strong>in</strong>dows</strong>-Defender vor Spyware schützen ....................... 208<br />
Erkennen, ob e<strong>in</strong> System mit Malware <strong>in</strong>fiziert ist .......................... 213<br />
Beseitigen e<strong>in</strong>er Malware<strong>in</strong>fektion ...................................... 214<br />
Zusammenfassung der Lektion ......................................... 218<br />
Lernzielkontrolle ................................................... 219<br />
Rückblick auf dieses Kapitel .............................................. 220<br />
Zusammenfassung des Kapitels ............................................ 220<br />
Schlüsselbegriffe ....................................................... 220<br />
Übung mit Fallbeispiel . .................................................. 220<br />
Übung mit Fallbeispiel 1: Beseitigen von Malware<strong>in</strong>fektionen ................. 220<br />
Vorgeschlagene Übungen . ................................................ 221<br />
Untersuchen und Beseitigen von Problemen aufgrund von Schadsoftware . ........ 221<br />
Machen Sie e<strong>in</strong>en Übungstest . ............................................. 222<br />
Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen .... 223<br />
Bevor Sie beg<strong>in</strong>nen ..................................................... 223<br />
Lektion 1: Grundlagen von VPN-Clientverb<strong>in</strong>dungen . ........................... 225<br />
Grundlagen von VPNs ............................................... 225<br />
Grundlagen der VPN-Tunnelprotokolle <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 . ....................... 234<br />
Ablauf des Verb<strong>in</strong>dungsaufbaus bei Remotezugriff-VPNs ..................... 238<br />
Problembehandlung für VPN-Clientverb<strong>in</strong>dungen . .......................... 241<br />
Zusammenfassung der Lektion ......................................... 252<br />
Lernzielkontrolle ................................................... 252<br />
Lektion 2: Grundlagen von DirectAccess-Clientverb<strong>in</strong>dungen ..................... 254<br />
Überblick über DirectAccess .......................................... 254<br />
Grundlagen von DirectAccess und IPv6-Übergangstechnologien . ............... 255<br />
Elemente der DirectAccess-Infrastruktur . ................................. 258<br />
DirectAccess-Cliente<strong>in</strong>stellungen für IPv6 von Hand konfigurieren ............. 262<br />
IPv6-Internetfeatures auf dem DirectAccess-Server von Hand konfigurieren . ...... 262<br />
Abläufe beim Aufbau e<strong>in</strong>er DirectAccess-Verb<strong>in</strong>dung . ....................... 263<br />
Problembehandlung für DirectAccess-Verb<strong>in</strong>dungen . ........................ 264<br />
Zusammenfassung der Lektion ......................................... 267<br />
Lernzielkontrolle ................................................... 268
Inhaltsverzeichnis VII<br />
Rückblick auf dieses Kapitel .............................................. 269<br />
Zusammenfassung des Kapitels ............................................ 269<br />
Schlüsselbegriffe ....................................................... 269<br />
Übungen mit Fallbeispiel ................................................. 2<strong>70</strong><br />
Übung mit Fallbeispiel 1: Problembehandlung für e<strong>in</strong> Remotezugriff-VPN ........ 2<strong>70</strong><br />
Übung mit Fallbeispiel 2: Problembehandlung für DirectAccess ................ 2<strong>70</strong><br />
Vorgeschlagene Übungen . ................................................ 271<br />
Untersuchen und Beseitigen von Remotezugriffsproblemen ................... 271<br />
Machen Sie e<strong>in</strong>en Übungstest . ............................................. 271<br />
Kapitel 7: Updates ......................................................... 273<br />
Bevor Sie beg<strong>in</strong>nen ..................................................... 273<br />
Lektion 1: Aktualisieren von Software ....................................... 275<br />
Methoden für die Bereitstellung von Updates .............................. 275<br />
Kompatibilität von Updates prüfen ...................................... 277<br />
Installieren von Updates .............................................. 278<br />
Überprüfen von Updates . ............................................. 284<br />
Problembehandlung für die Update<strong>in</strong>stallation ............................. 286<br />
Entfernen von Updates ............................................... 288<br />
Zusammenfassung der Lektion ......................................... 293<br />
Lernzielkontrolle ................................................... 294<br />
Rückblick auf dieses Kapitel .............................................. 295<br />
Zusammenfassung des Kapitels ............................................ 295<br />
Schlüsselbegriffe ....................................................... 295<br />
Übungen mit Fallbeispiel ................................................. 296<br />
Übung mit Fallbeispiel 1: Verteilen von Updates . ........................... 296<br />
Übung mit Fallbeispiel 2: Überwachen von Updates ......................... 296<br />
Vorgeschlagene Übungen . ................................................ 297<br />
Untersuchen und Beseitigen von Softwareupdateproblemen ................... 297<br />
Machen Sie e<strong>in</strong>en Übungstest . ............................................. 297<br />
Kapitel 8: Leistung . ........................................................ 299<br />
Bevor Sie beg<strong>in</strong>nen ..................................................... 300<br />
Lektion 1: Weiterleiten von Ereignissen ...................................... 301<br />
So funktioniert die Ereignisweiterleitung ................................. 301<br />
Konfigurieren der Ereignisweiterleitung <strong>in</strong> AD DS-Domänen .................. 302<br />
Konfigurieren der Ereignisweiterleitung <strong>in</strong> Arbeitsgruppenumgebungen .......... 309<br />
Problembehandlung für die Ereignisweiterleitung ........................... 309<br />
Zusammenfassung der Lektion ......................................... 316<br />
Lernzielkontrolle ................................................... 316<br />
Lektion 2: Behandeln von Leistungsproblemen ................................ 318<br />
Task-Manager . ..................................................... 318<br />
Leistungsüberwachung ............................................... 322<br />
Sammlungssätze und Berichte . ......................................... 325<br />
Problembehandlung für die Datenträgerleistung ............................ 329<br />
Konfigurieren von Energiee<strong>in</strong>stellungen .................................. 332<br />
Systemkonfiguration . ................................................ 333
VIII Inhaltsverzeichnis<br />
Zusammenfassung der Lektion ......................................... 337<br />
Lernzielkontrolle ................................................... 338<br />
Rückblick auf dieses Kapitel .............................................. 339<br />
Zusammenfassung des Kapitels ............................................ 339<br />
Schlüsselbegriffe ....................................................... 339<br />
Übungen mit Fallbeispiel ................................................. 340<br />
Übung mit Fallbeispiel 1: Überwachen von Kioskcomputern .................. 340<br />
Übung mit Fallbeispiel 2: Behandeln e<strong>in</strong>es Leistungsproblems ................. 341<br />
Vorgeschlagene Übungen . ................................................ 342<br />
Untersuchen und Beseitigen von Leistungsproblemen ........................ 342<br />
Machen Sie e<strong>in</strong>en Übungstest . ............................................. 343<br />
Kapitel 9: Beseitigen von Softwareproblemen ................................... 345<br />
Bevor Sie beg<strong>in</strong>nen ..................................................... 345<br />
Lektion 1: Beseitigen von Installationsfehlern ................................. 346<br />
Überprüfen der Voraussetzungen für e<strong>in</strong>e Software<strong>in</strong>stallation ................. 346<br />
Grundlagen von Installationse<strong>in</strong>schränkungen durch AppLocker . ............... 350<br />
Zusammenfassung der Lektion ......................................... 359<br />
Lernzielkontrolle ................................................... 359<br />
Lektion 2: Beseitigen von Softwarekonfigurations- und Kompatibilitätsproblemen . ..... 361<br />
Beseitigen von Softwarekonfigurationsproblemen . .......................... 361<br />
Grundlagen der Anwendungskompatibilität . ............................... 363<br />
Zusammenfassung der Lektion ......................................... 372<br />
Lernzielkontrolle ................................................... 373<br />
Rückblick auf dieses Kapitel .............................................. 375<br />
Zusammenfassung des Kapitels ............................................ 375<br />
Schlüsselbegriffe ....................................................... 375<br />
Übungen mit Fallbeispiel ................................................. 376<br />
Übung mit Fallbeispiel 1: E<strong>in</strong>schränken von Software mit AppLocker ...........<br />
Übung mit Fallbeispiel 2: Konfigurieren von Anwendungskompatibilitäts-<br />
376<br />
e<strong>in</strong>stellungen ...................................................... 376<br />
Vorgeschlagene Übungen . ................................................ 377<br />
Untersuchen und Beseitigen von Problemen bei der Installation neuer Software .... 377<br />
Untersuchen und Beseitigen von Softwarekonfigurationsproblemen ............. 377<br />
Untersuchen und Beseitigen von Softwarefehlern ........................... 377<br />
Machen Sie e<strong>in</strong>en Übungstest . ............................................. 378<br />
Anhang A: Konfigurieren der <strong>W<strong>in</strong>dows</strong>-Firewall . ................................. 379<br />
Grundlagen der <strong>W<strong>in</strong>dows</strong>-Firewall . ......................................... 379<br />
E<strong>in</strong>gehenden Verkehr zulassen ......................................... 381<br />
Ausgehenden Verkehr sperren . ......................................... 382<br />
Def<strong>in</strong>ieren komplexer Verkehrstypen .................................... 383<br />
Grundlagen von Netzwerkstandorten ........................................ 383<br />
Grundlagen von Firewallprofilen ........................................... 385<br />
Erstellen e<strong>in</strong>gehender Ausnahmen .......................................... 386<br />
Erstellen e<strong>in</strong>gehender Ausnahmen <strong>in</strong> Gruppenrichtl<strong>in</strong>ien ......................... 388
Inhaltsverzeichnis IX<br />
Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewall . ................................ 389<br />
Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewalle<strong>in</strong>stellungen <strong>in</strong> der Systemsteuerung . 389<br />
Problembehandlung für zugelassene Programme . ........................... 391<br />
Problembehandlung <strong>in</strong> der Konsole <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit ... 392<br />
Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewall mit Gruppenrichtl<strong>in</strong>ien ........... 395<br />
Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewall mithilfe der Firewallprotokolle ..... 397<br />
Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewall mithilfe von Ereignisprotokollen . ... 398<br />
Zusammenfassung ...................................................... 402<br />
Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen ...................... 403<br />
Verwalten von Offl<strong>in</strong>edateien . ............................................. 403<br />
Grundlagen von Offl<strong>in</strong>edateien ......................................... 403<br />
Arbeiten mit Offl<strong>in</strong>edateien ........................................... 406<br />
Verwalten der Datenträgerverwendung für Offl<strong>in</strong>edateien ..................... 415<br />
Konfigurieren von Offl<strong>in</strong>edateien mithilfe von Gruppenrichtl<strong>in</strong>ien .............. 417<br />
Verwalten von Benutzerdaten im Netzwerk ................................... 426<br />
Grundlagen der Benutzerprofile <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 ............................. 426<br />
Grundlagen der Ordnerumleitung <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 ............................ 434<br />
Konfigurieren der Ordnerumleitung ..................................... 437<br />
Konfigurieren e<strong>in</strong>es Zielordners ........................................ 438<br />
Konfigurieren der Optionen auf der Registerkarte E<strong>in</strong>stellungen der Ordnerumleitung 439<br />
Zusammenfassung .................................................. 445<br />
Schlüsselbegriffe ....................................................... 446<br />
Anhang C: Konfiguration und Problembehandlung des Startvorgangs ............... 447<br />
Was ist neu beim Start von <strong>W<strong>in</strong>dows</strong> 7? ...................................... 447<br />
Startkonfigurationsdaten .............................................. 448<br />
Systemwiederherstellung ............................................. 451<br />
<strong>W<strong>in</strong>dows</strong>-Startleistungsdiagnose . ....................................... 452<br />
Ablauf des Startvorgangs ................................................. 453<br />
POST-Phase ....................................................... 454<br />
Anfangsstartphase .................................................. 454<br />
<strong>W<strong>in</strong>dows</strong>-Start-Manager-Phase . ........................................ 457<br />
<strong>W<strong>in</strong>dows</strong>-Startladeprogramm-Phase ..................................... 458<br />
Kernel-Ladephase . .................................................. 459<br />
Anmeldephase ..................................................... 464<br />
Wichtige Startdateien . ................................................... 465<br />
So konfigurieren Sie Starte<strong>in</strong>stellungen ...................................... 466<br />
So verwenden Sie das Dialogfeld Starten und Wiederherstellen . ................ 466<br />
So verwenden Sie das Tool Systemkonfiguration ........................... 467<br />
So verwenden Sie BCDEdit ........................................... 468<br />
So entfernen Sie das <strong>W<strong>in</strong>dows</strong> 7-Startladeprogramm . ........................ 473<br />
So konfigurieren Sie e<strong>in</strong> Benutzerkonto für die automatische Anmeldung ......... 474<br />
So deaktivieren Sie den <strong>W<strong>in</strong>dows</strong>-Startsound .............................. 474<br />
So beschleunigen Sie den Startvorgang ................................... 475
X Inhaltsverzeichnis<br />
Der Ablauf bei der Behandlung von Startproblemen ............................. 475<br />
Problembehandlung für den Startvorgang, bevor das <strong>W<strong>in</strong>dows</strong>-Logo ersche<strong>in</strong>t ..... 476<br />
Problembehandlung für den Startvorgang, nachdem das <strong>W<strong>in</strong>dows</strong>-Logo ersche<strong>in</strong>t . .. 485<br />
Behandlung von Startproblemen nach der Anmeldung . ....................... 496<br />
Zusammenfassung ...................................................... 500<br />
Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke ................ 501<br />
Verbesserungen für die Problembehandlung für Hardware und Treiber <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 .... 501<br />
Die <strong>W<strong>in</strong>dows</strong>-Problembehandlungsplattform .............................. 502<br />
Ressourcenmonitor . ................................................. 504<br />
<strong>W<strong>in</strong>dows</strong>-Speicherdiagnose ........................................... 505<br />
Datenträgerfehlerdiagnose ............................................ 506<br />
Selbstheilendes NTFS . ............................................... 507<br />
Höhere Zuverlässigkeit von Treibern .................................... 507<br />
Verbesserte Fehlerberichterstattung . ..................................... 507<br />
Der Ablauf bei der Behandlung von Hardwareproblemen .........................<br />
So führen Sie e<strong>in</strong>e Behandlung von Problemen durch, die verh<strong>in</strong>dern,<br />
508<br />
dass <strong>W<strong>in</strong>dows</strong> startet ................................................<br />
So führen Sie e<strong>in</strong>e Behandlung von Problemen bei der Installation<br />
508<br />
neuer Hardware durch . ............................................... 508<br />
So führen Sie e<strong>in</strong>e Behandlung von Problemen mit vorhandener Hardware durch ... 509<br />
So führen Sie e<strong>in</strong>e Behandlung von nicht e<strong>in</strong>deutig zuordenbaren Symptomen durch 510<br />
So diagnostizieren Sie Hardwareprobleme .................................... 512<br />
So identifizieren Sie ausgefallene Geräte mit dem Geräte-Manager .............. 512<br />
So überprüfen Sie den Hardwarezustand Ihres Computers . .................... 512<br />
So prüfen Sie die Konfiguration Ihrer Hardware ............................<br />
So überprüfen Sie, ob die Firmware von System und Peripheriegeräten<br />
513<br />
auf dem neusten Stand ist ............................................. 515<br />
So testen Sie Ihre Hardware mit den Diagnosetools . ......................... 515<br />
So vere<strong>in</strong>fachen Sie Ihre Hardwarekonfiguration ........................... 515<br />
So diagnostizieren Sie Probleme im Zusammenhang mit Laufwerken ............ 516<br />
So verwenden Sie die e<strong>in</strong>gebaute Diagnose ................................... 517<br />
So verwenden Sie die Zuverlässigkeitsüberwachung ......................... 517<br />
So verwenden Sie Sammlungssätze . ..................................... 518<br />
So verwenden Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose .......................... 519<br />
So führen Sie e<strong>in</strong>e Behandlung von Laufwerksproblemen durch . ................... 524<br />
So treffen Sie Vorbereitungen für den Fall, dass Datenträgerfehler auftreten ....... 524<br />
So verwenden Sie Chkdsk . ............................................ 525<br />
So verwenden Sie den Datenträgerbere<strong>in</strong>igungs-Assistenten ................... 530<br />
So deaktivieren Sie den permanenten Cache ............................... 530<br />
So führen Sie e<strong>in</strong>e Behandlung von Treiberproblemen durch ...................... 531<br />
So f<strong>in</strong>den Sie Treiberupdates .......................................... 531<br />
So verwenden Sie die Treiberüberprüfung . ................................ 532<br />
So verwenden Sie die Dateisignaturverifizierung ........................... 533<br />
So können Sie mit dem Geräte-Manager die Ressourcennutzung anzeigen und ändern 535<br />
So verwenden Sie die Systemwiederherstellung ................................ 535<br />
So führen Sie e<strong>in</strong>e Behandlung von USB-Problemen durch ....................... 536
Inhaltsverzeichnis XI<br />
So führen Sie e<strong>in</strong>e Behandlung von Bluetooth-Problemen durch . ................... 541<br />
Tools für die Problembehandlung . .......................................... 542<br />
DiskView ......................................................... 542<br />
Handle ........................................................... 542<br />
Process Monitor .................................................... 543<br />
Zusammenfassung ...................................................... 544<br />
Anhang E: Behandlung von Problemen mit Netzwerken ........................... 545<br />
Tools für die Problembehandlung . .......................................... 545<br />
Arp . ............................................................. 547<br />
Ereignisanzeige .................................................... 549<br />
Ipconfig .......................................................... 550<br />
Nblookup ......................................................... 551<br />
Nbtstat ........................................................... 552<br />
Net .............................................................. 554<br />
Netstat ........................................................... 555<br />
Network Monitor ................................................... 557<br />
Nslookup ......................................................... 559<br />
PathP<strong>in</strong>g . ......................................................... 562<br />
Leistungsüberwachung ............................................... 565<br />
Sammlungssätze .................................................... 567<br />
Ressourcenmonitor . ................................................. 569<br />
P<strong>in</strong>g ............................................................. 5<strong>70</strong><br />
Portqry ........................................................... 571<br />
Route ............................................................ 573<br />
Task-Manager . ..................................................... 576<br />
TCPView ......................................................... 578<br />
Telnet-Client . ...................................................... 579<br />
Test TCP .......................................................... 580<br />
<strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose . .......................................... 582<br />
Der Ablauf bei der Behandlung von Netzwerkproblemen ......................... 583<br />
So führen Sie e<strong>in</strong>e Behandlung von Netzwerkverb<strong>in</strong>dungsproblemen durch ....... 584<br />
So führen Sie e<strong>in</strong>e Behandlung von Anwendungsverb<strong>in</strong>dungsproblemen durch ..... 589<br />
So führen Sie e<strong>in</strong>e Behandlung von Namensauflösungsproblemen durch . .........<br />
So führen Sie e<strong>in</strong>e Behandlung von Leistungsproblemen und sporadischen<br />
592<br />
Konnektivitätsproblemen durch ........................................<br />
So führen Sie e<strong>in</strong>e Behandlung von Beitritts- oder Anmeldeproblemen<br />
595<br />
<strong>in</strong> e<strong>in</strong>er Domäne durch ............................................... 599<br />
So führen Sie e<strong>in</strong>e Behandlung von Problemen bei der Netzwerkerkennung durch .. 602<br />
So führen Sie e<strong>in</strong>e Behandlung von Problemen mit der Datei- und Druckerfreigabe<br />
durch ............................................................ 602<br />
So führen Sie e<strong>in</strong>e Behandlung von Problemen <strong>in</strong> Drahtlosnetzwerken durch ...... 605<br />
So führen Sie e<strong>in</strong>e Behandlung von Firewallproblemen durch .................. 607<br />
Zusammenfassung ...................................................... 608
XII Inhaltsverzeichnis<br />
Anhang F: Problembehandlung für Abbruchfehler . ............................... 609<br />
Überblick über Abbruchmeldungen ......................................... 609<br />
Identifizieren des Abbruchfehlers ....................................... 610<br />
Informationen für die Problembehandlung recherchieren . ..................... 610<br />
Abbruchmeldungen ................................................. 611<br />
Arten von Abbruchfehlern ............................................ 613<br />
Speicherabbilddateien ................................................... 614<br />
Konfigurieren von kle<strong>in</strong>en Speicherabbilddateien ........................... 615<br />
Konfigurieren von Kernelspeicherabbilddateien ............................ 616<br />
Konfigurieren von vollständigen Speicherabbilddateien ...................... 617<br />
So können Sie von Hand e<strong>in</strong>en Abbruchfehler auslösen und<br />
e<strong>in</strong>e Speicherabbilddatei erstellen ....................................... 618<br />
Analysieren von Abbruchfehlern mithilfe von Speicherabbilddateien ............ 619<br />
Vorbereitungen für das Auftreten von Abbruchfehlern treffen ...................... 623<br />
Verh<strong>in</strong>dern, dass das System nach e<strong>in</strong>em Abbruchfehler neu startet .............. 623<br />
Aufzeichnen und Speichern der Abbruchmeldungen ......................... 624<br />
Überprüfen Sie die Anforderungen an den Festplattenplatz .................... 625<br />
Installieren von Kerneldebuggern und Symboldateien . ....................... 625<br />
Meldungen über Hardwarefehler ........................................... 625<br />
Checkliste für Abbruchmeldungen .......................................... 626<br />
Überprüfen Sie Ihre Software .......................................... 627<br />
Überprüfen Sie Ihre Hardware ......................................... 629<br />
Zusammenfassung ...................................................... 631<br />
Antworten ............................................................... 633<br />
Glossar ................................................................. 655<br />
Stichwortverzeichnis . ...................................................... 659<br />
Die Autoren .............................................................. 671
Für me<strong>in</strong>e Oma June<br />
TONY NORTHRUP<br />
Für me<strong>in</strong>e Nichten Cassidy und Mckenna<br />
und me<strong>in</strong>en Neffen Ralph<br />
J.C. MACKIN
Danksagungen<br />
Dieses Buch wurde von e<strong>in</strong>em Team von Profis zusammengestellt, und wir, die Autoren,<br />
möchten diesen Leuten für ihre hervorragende Arbeit danken. Bei Microsoft arbeiteten Ken<br />
Jones und Mart<strong>in</strong> DelRe unsere Verträge aus, und Maria Gargiulo war als Lektor<strong>in</strong> tätig.<br />
Denise Bankaitis, Carol Vu und Christian Holdener koord<strong>in</strong>ierten die Zusammenarbeit der<br />
vielen Leute, die an diesem Buch mitgearbeitet haben. Susan McClung war die Korrektor<strong>in</strong>,<br />
deren Aufgabe es ist, den Buchtext stilsicher und konsistent zu halten. L<strong>in</strong>dsey Valich, Paul<br />
Connelly und Nicole Schlutt waren ebenfalls als Korrektoren tätig.<br />
Bob Dean und Bob Hogan prüften den Inhalt. Sie halfen dabei, die Beschreibungen so<br />
korrekt wie möglich zu machen.<br />
Tony Northrup möchte außerdem se<strong>in</strong>en Freunden dafür danken, dass sie ihm am Ende<br />
langer Arbeitstage beim Entspannen halfen. Besonderer Dank geht an Eddie und Christ<strong>in</strong>e<br />
Mercado (für die Abendessen), Jose und Lucy Mercado (por el arroz y los frijoles), Brian<br />
und Melissa Rheaume (für die Dr<strong>in</strong>ks), Diane Glenn (für den Kuchen), Jose Gonzalez (für<br />
die Scherze) und Madelyn Knowles (für die Geduld).<br />
J.C. Mack<strong>in</strong> möchte allen Freunden und se<strong>in</strong>er Familie für ihre Unterstützung und Ermutigung<br />
danken.<br />
Es ist e<strong>in</strong> Riesengeschenk, mit Leuten zusammenzuarbeiten, die Freunde s<strong>in</strong>d. E<strong>in</strong> hervorragendes<br />
Team verbessert nicht nur die Qualität des Buchs, es macht auch die Arbeitsatmosphäre<br />
viel angenehmer. Dieses Buch zu schreiben, war für uns das bisher angenehmste<br />
Projekt. Wir hoffen, <strong>in</strong> Zukunft erneut mit euch allen zusammenarbeiten zu dürfen.<br />
XV
E<strong>in</strong>führung<br />
XVII<br />
Dieses Tra<strong>in</strong><strong>in</strong>g richtet sich an IT-Mitarbeiter, die <strong>in</strong> e<strong>in</strong>er Vielzahl von Umgebungen für den<br />
<strong>Support</strong> für <strong>W<strong>in</strong>dows</strong> 7 auf Level 1 oder 2 zuständig s<strong>in</strong>d und die Prüfung <strong>70</strong>-<strong>685</strong> als Microsoft<br />
Certified Information Technology Professional (MCITP) ablegen möchten. Wir setzen<br />
voraus, dass Sie bereits die Grundlagen von Microsoft <strong>W<strong>in</strong>dows</strong>-Clientbetriebssystemen<br />
und der wichtigsten Internettechnologien kennen, bevor Sie dieses Buch <strong>in</strong> Angriff nehmen.<br />
Informationen zur Vorbereitung auf Prüfung <strong>70</strong>-<strong>685</strong> f<strong>in</strong>den Sie (<strong>in</strong> englischer Sprache) unter<br />
http://www.microsoft.com/learn<strong>in</strong>g/en/us/exam.aspx?ID=<strong>70</strong>-<strong>685</strong>.<br />
Beim Durcharbeiten dieses Tra<strong>in</strong><strong>in</strong>gs lernen Sie folgende Fertigkeiten:<br />
Untersuchen und Beseitigen von Problemen mit Desktopanwendungen<br />
Untersuchen und Beseitigen von Netzwerkproblemen<br />
Verwalten und Pflegen von Systemen, die unter dem Clientbetriebssystem <strong>W<strong>in</strong>dows</strong> 7<br />
laufen<br />
<strong>Support</strong> für mobile Benutzer<br />
Untersuchen und Beseitigen von Sicherheitsproblemen<br />
In der Tabelle E.1 ist aufgeschlüsselt, wo die e<strong>in</strong>zelnen Prüfungslernziele behandelt werden.<br />
Tabelle E.1 Prüfungslernziele für Examen <strong>70</strong>-<strong>685</strong>: <strong>W<strong>in</strong>dows</strong> 7, Enterprise Desktop <strong>Support</strong><br />
Technician<br />
Prüfungsziel<br />
Untersuchen und Beseitigen von Problemen mit Desktopanwendungen<br />
Kapitel Lektion<br />
Untersuchen und Beseitigen von Problemen bei der Installation neuer Software 9 1<br />
Untersuchen und Beseitigen von Softwarekonfigurationsproblemen 9 2<br />
Untersuchen und Beseitigen von Softwarefehlern<br />
Untersuchen und Beseitigen von Netzwerkproblemen<br />
9 1<br />
Untersuchen und Beseitigen von Anmeldungsproblemen 4 1<br />
Untersuchen und Beseitigen von Netzwerkkonnektivitätsproblemen 2 1<br />
Untersuchen und Beseitigen von Namensauflösungsproblemen 2 2<br />
Untersuchen und Beseitigen von Netzwerkdruckerproblemen<br />
Verwalten und Pflegen von Systemen, die unter dem<br />
Clientbetriebssystem <strong>W<strong>in</strong>dows</strong> 7 laufen<br />
3 1<br />
Untersuchen und Beseitigen von Leistungsproblemen 8 1 und 2<br />
Untersuchen und Beseitigen von Hardwareproblemen<br />
<strong>Support</strong> für mobile Benutzer<br />
1 1 und 2<br />
Untersuchen und Beseitigen von Problemen im Bereich der<br />
Drahtloskonnektivität<br />
2 3<br />
Untersuchen und Beseitigen von Remotezugriffsproblemen 6 1 und 2
XVIII E<strong>in</strong>führung<br />
Prüfungsziel Kapitel Lektion<br />
Untersuchen und Beseitigen von Sicherheitsproblemen<br />
Untersuchen und Beseitigen von Sicherheitsproblemen<br />
beim <strong>W<strong>in</strong>dows</strong> Internet Explorer<br />
4 2<br />
Untersuchen und Beseitigen von Problemen aufgrund von Schadsoftware 5 1<br />
Untersuchen und Beseitigen von Verschlüsselungsproblemen 4 3<br />
Untersuchen und Beseitigen von Softwareupdateproblemen 7 1<br />
H<strong>in</strong>weis Prüfungsziele<br />
Die hier aufgeführten Prüfungsziele waren zu dem Zeitpunkt gültig, als das Buch veröffentlicht<br />
wurde. Prüfungsziele können von Microsoft jederzeit ohne vorherige Ankündigung und<br />
ohne Begründung geändert werden. E<strong>in</strong>e stets aktuelle Liste der Prüfungsziele f<strong>in</strong>den Sie auf<br />
der Website von Microsoft Learn<strong>in</strong>g unter http://www.microsoft.com/learn<strong>in</strong>g/en/us/Exam.<br />
aspx?ID=<strong>70</strong>-<strong>685</strong>.<br />
Hardwarevoraussetzungen<br />
Sie können praktisch alle Übungen <strong>in</strong> diesem Buch mithilfe virtueller Computer durcharbeiten.<br />
Die e<strong>in</strong>zige Ausnahme ist Lektion 3 <strong>in</strong> Kapitel 2 (<strong>in</strong> der e<strong>in</strong>e Drahtlosnetzwerkkarte zum<br />
E<strong>in</strong>satz kommt), für die Sie e<strong>in</strong>en Hardwarecomputer brauchen. Tabelle E-2 führt die M<strong>in</strong>dest-<br />
und die empfohlenen Hardwarevoraussetzungen für <strong>W<strong>in</strong>dows</strong> 7 auf.<br />
Tabelle E-2 M<strong>in</strong>destanforderungen an die Hardware für <strong>W<strong>in</strong>dows</strong> 7<br />
Hardwarekomponente M<strong>in</strong>destanforderungen Empfohlen<br />
Prozessor 1 GHz (x86), 1,4 GHz (x64) 2 GHz oder schneller<br />
RAM 1 GByte 2 GByte oder mehr<br />
Festplattenspeicher 16 GByte 40 GByte oder mehr<br />
Daneben brauchen Sie e<strong>in</strong>e Installation von <strong>W<strong>in</strong>dows</strong> Server 2008 R2, das nur als 64-Bit-<br />
Version zur Verfügung steht. Daher brauchen Sie Hardware oder e<strong>in</strong>e Virtualisierungssoftware,<br />
die 64-Bit-Betriebssysteme unterstützt. Zum Zeitpunkt, als dieses Buch geschrieben<br />
wurde, boten Microsoft <strong>W<strong>in</strong>dows</strong> Virtual PC und Microsoft Virtual Server 2005 ke<strong>in</strong>e Unterstützung<br />
für 64-Bit-Gastsysteme. Sun VirtualBox unterstützt 64-Bit-Gastsysteme, Sie können<br />
es kostenlos von http://www.virtualbox.org herunterladen. Stattdessen können Sie auch das<br />
Feature Hyper-V <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Server 2008 R2 verwenden, wie unter http://www.microsoft.<br />
com/w<strong>in</strong>dowsserver2008/en/us/hyperv-ma<strong>in</strong>.aspx beschrieben.<br />
Sofern Sie vorhaben, mehrere virtuelle Computer auf demselben Hardwarecomputer e<strong>in</strong>zurichten<br />
(die empfohlene Vorgehensweise), brauchen Sie mehr Leistung, wenn Sie flüssig<br />
arbeiten wollen. E<strong>in</strong> Computer mit 4 GByte RAM und 60 GByte freiem Festplattenplatz ist<br />
<strong>in</strong> der Lage, alle virtuellen Computer zu hosten, die <strong>in</strong> den Übungen dieses Buchs vorausgesetzt<br />
werden.
E<strong>in</strong>richten des Testnetzwerks für die Übungen<br />
E<strong>in</strong>führung XIX<br />
Für die Übungen <strong>in</strong> diesem Tra<strong>in</strong><strong>in</strong>g brauchen Sie m<strong>in</strong>destens drei echte oder virtuelle<br />
Computer, die folgendermaßen e<strong>in</strong>gerichtet s<strong>in</strong>d:<br />
E<strong>in</strong> Server, der unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2 Standard läuft und als Domänencontroller<br />
konfiguriert ist. Geben Sie dem Server den Namen DC1 und der Domäne den Namen<br />
nwtraders.msft.<br />
Zwei Computer mit <strong>W<strong>in</strong>dows</strong> 7, die als Domänenmitglieder konfiguriert s<strong>in</strong>d. Geben Sie<br />
diesen Computern die Namen CLIENT1 und CLIENT2.<br />
Übernehmen Sie beim Installieren der Betriebssysteme alle Standarde<strong>in</strong>stellungen, ändern<br />
Sie lediglich die Computernamen, wie hier beschrieben.<br />
Verwenden der CD<br />
Die <strong>in</strong> diesem Buch enthaltene Begleit-CD enthält folgende Komponenten:<br />
Übungstests Mit den Übungstests (<strong>in</strong> englischer Sprache) können Sie Ihre Kenntnisse<br />
zum <strong>Support</strong> für <strong>W<strong>in</strong>dows</strong> 7 vertiefen. Sie können diese Übungstests an Ihre Anforderungen<br />
anpassen, <strong>in</strong>dem Sie die gewünschten Bereiche aus den Lernzielkontrollfragen<br />
dieses Buchs auswählen. Oder Sie üben für die Prüfung <strong>70</strong>-<strong>685</strong> mithilfe von Tests, die<br />
aus e<strong>in</strong>em Pool mit etwa 200 realistischen Prüfungsfragen zusammengestellt werden.<br />
Diese Zahl reicht aus, um etliche unterschiedliche Testprüfungen durchzuführen, sodass<br />
Sie optimal vorbereitet s<strong>in</strong>d.<br />
Übungen E<strong>in</strong>ige Kapitel <strong>in</strong> diesem Buch enthalten Skripts, die Ihre Testcomputer für<br />
die Übungen am Ende e<strong>in</strong>er Lektion konfigurieren. Sie f<strong>in</strong>den diese Skripts im Ordner<br />
Practice Exercises auf der Begleit-CD.<br />
E<strong>in</strong> E-Book E<strong>in</strong>e elektronische Version (E-Book) dieses Buchs (<strong>in</strong> englischer Sprache)<br />
ist auf der Begleit-CD enthalten. So können Sie das Buch lesen, auch wenn Sie gerade<br />
ke<strong>in</strong>e Gelegenheit haben, die Papierversion mitzunehmen. Das E-Book liegt im PDF-<br />
Format (Portable Document Format) vor, Sie können es sich mit Adobe Acrobat oder<br />
Adobe Reader ansehen.<br />
H<strong>in</strong>weis Wenn Sie dieses Buch ohne Begleitmedium erworben haben (z.B. als E-Book),<br />
können Sie die für das Durcharbeiten notwendigen Dateien unter dieser Adresse herunterladen:<br />
http://go.microsoft.com/fwl<strong>in</strong>k/?L<strong>in</strong>kID=194574&clcid=0x407.<br />
Systemvoraussetzungen für die Begleit-CD<br />
Um die Begleit-CD zu diesem Buch benutzen zu können, brauchen Sie e<strong>in</strong>en Computer<br />
mit <strong>W<strong>in</strong>dows</strong> 7, <strong>W<strong>in</strong>dows</strong> Server 2008, <strong>W<strong>in</strong>dows</strong> Vista, <strong>W<strong>in</strong>dows</strong> Server 2003 oder<br />
<strong>W<strong>in</strong>dows</strong> XP. Dieser Computer muss folgende M<strong>in</strong>destvoraussetzungen erfüllen:<br />
32-Bit- (x86) oder 64-Bit-Prozessor (x64) mit 1 GHz<br />
1 GByte Arbeitsspeicher<br />
E<strong>in</strong>e Festplattenpartition mit m<strong>in</strong>destens 1 GByte freiem Platz<br />
E<strong>in</strong> Monitor mit e<strong>in</strong>er Auflösung von m<strong>in</strong>destens 800 × 600 Pixeln
XX E<strong>in</strong>führung<br />
Tastatur<br />
Maus oder anderes Zeigegerät<br />
E<strong>in</strong> optisches Laufwerk, das CD-ROMs lesen kann<br />
Auf dem Computer muss folgende Software vorhanden se<strong>in</strong>:<br />
E<strong>in</strong> Webbrowser, beispielsweise Microsoft Internet Explorer Version 6 oder neuer<br />
E<strong>in</strong>e Anwendung zum Anzeigen von PDF-Dateien, zum Beispiel Adobe Acrobat<br />
Reader, den Sie unter http://www.adobe.com/reader herunterladen können<br />
Diese Voraussetzungen gelten für die Nutzung der Begleit-CD. Um die Übungen <strong>in</strong><br />
diesem Tra<strong>in</strong><strong>in</strong>g durchzuarbeiten, brauchen Sie zusätzliche Hard- oder Software, wie<br />
weiter oben genau beschrieben.<br />
So <strong>in</strong>stallieren Sie die Übungstests<br />
Gehen Sie folgendermaßen vor, um die Übungstests von der Begleit-CD auf Ihre Festplatte<br />
zu <strong>in</strong>stallieren:<br />
1. Legen Sie die Begleit-CD <strong>in</strong> das CD-Laufwerk und stimmen Sie der Lizenzvere<strong>in</strong>barung<br />
zu. Daraufh<strong>in</strong> öffnet sich e<strong>in</strong> CD-Menü.<br />
H<strong>in</strong>weis Falls sich das CD-Menü nicht öffnet<br />
Falls das CD-Menü oder die Lizenzvere<strong>in</strong>barung nicht angezeigt werden, ist wahrsche<strong>in</strong>lich<br />
die AutoRun-Funktion auf Ihrem Computer deaktiviert. Bitte lesen Sie <strong>in</strong> diesem<br />
Fall die Datei Readme.txt auf der Begleit-CD, dort f<strong>in</strong>den Sie H<strong>in</strong>weise zu alternativen<br />
Installationsmethoden.<br />
2. Klicken Sie auf das Feld Practice Tests und folgen Sie den angezeigten Anweisungen.<br />
So benutzen Sie die Übungstests<br />
Gehen Sie folgendermaßen vor, um die Übungstests zu starten:<br />
1. Klicken Sie auf Start/Alle Programme/Microsoft Press Tra<strong>in</strong><strong>in</strong>g Kit Exam Prep.<br />
Daraufh<strong>in</strong> öffnet sich e<strong>in</strong> Fenster, <strong>in</strong> dem alle Microsoft Press-Tra<strong>in</strong><strong>in</strong>g Kit-Prüfungsvorbereitungskomponenten<br />
aufgelistet s<strong>in</strong>d, die Sie auf Ihrem Computer <strong>in</strong>stalliert<br />
haben.<br />
2. Klicken Sie doppelt auf die Lernzielkontroll- oder Übungstests, die Sie durcharbeiten<br />
möchten.<br />
H<strong>in</strong>weis Unterschiede zwischen Lernzielkontroll- und Übungstests<br />
Wählen Sie den Punkt Lesson Review zu (<strong>70</strong>-<strong>685</strong>) <strong>W<strong>in</strong>dows</strong> 7, Enterprise Desktop<br />
<strong>Support</strong> Technician aus, wenn Sie die Fragen aus den »Lernzielkontrolle«-Abschnitten<br />
dieses Buchs durcharbeiten möchten. Wählen Sie den Punkt Practice Test aus, wenn Sie<br />
Fragen aus e<strong>in</strong>em Pool mit über 200 Übungsfragen beantworten möchten, die den Fragen<br />
<strong>in</strong> der Prüfung <strong>70</strong>-<strong>685</strong> ähneln.
Optionen für Lernzielkontrollfragen<br />
E<strong>in</strong>führung XXI<br />
Wenn Sie die Lernzielkontrollfragen ausgewählt haben, öffnet sich das Dialogfeld Custom<br />
Mode, <strong>in</strong> dem Sie Ihren Test konfigurieren können. Sie können e<strong>in</strong>fach auf OK klicken, um<br />
die Standarde<strong>in</strong>stellungen zu übernehmen, oder auswählen, wie viele Fragen gestellt werden<br />
sollen, welche Prüfungsziele Sie abdecken wollen und ob die Übungsdauer gemessen werden<br />
soll. Falls Sie e<strong>in</strong>en Test e<strong>in</strong> weiteres Mal durchführen, können Sie auswählen, ob sämtliche<br />
Fragen erneut angezeigt werden sollen oder nur die Fragen, die Sie beim letzten Mal falsch<br />
oder überhaupt nicht beantwortet haben.<br />
Sobald Sie auf OK geklickt haben, beg<strong>in</strong>nt die Lernzielkontrolle.<br />
Beantworten Sie im Test die Fragen und wechseln Sie mit den Schaltflächen Next und<br />
Previous von e<strong>in</strong>er Frage zur anderen.<br />
Nachdem Sie e<strong>in</strong>e Frage beantwortet haben, können Sie überprüfen, ob die Antwort<br />
richtig war, <strong>in</strong>dem Sie auf die Schaltfläche Explanation klicken. Dabei wird auch e<strong>in</strong>e<br />
Erläuterung zu den richtigen und falschen Antworten angezeigt.<br />
Falls Sie lieber erst den gesamten Test durcharbeiten wollen, bevor Sie sich das Ergebnis<br />
ansehen, können Sie alle Fragen beantworten und dann auf Score Test klicken. Daraufh<strong>in</strong><br />
wird e<strong>in</strong>e Zusammenfassung der ausgewählten Prüfungsziele angezeigt, <strong>in</strong> der Sie sehen,<br />
wie viel Prozent der Fragen Sie <strong>in</strong>sgesamt und pro Lernziel richtig beantwortet haben.<br />
Sie können sich den Test ausdrucken, Ihre Antworten durchgehen oder den Test wiederholen.<br />
Optionen für Übungstests<br />
Wenn Sie e<strong>in</strong>en Übungstest starten, können Sie auswählen, ob Sie im Zertifizierungs-, Lernoder<br />
benutzerdef<strong>in</strong>ierten Modus arbeiten wollen:<br />
Zertifizierungsmodus (Certification Mode) Dieser Modus ähnelt stark dem Ablegen<br />
e<strong>in</strong>er echten Zertifizierungsprüfung. Der Test enthält e<strong>in</strong>e bestimmte Zahl von Fragen,<br />
die Zeit ist begrenzt und Sie können die Prüfung nicht unterbrechen.<br />
Lernmodus (Study Mode) Erstellt e<strong>in</strong>en Test ohne Zeitbegrenzung, <strong>in</strong> dem Sie sich<br />
die richtigen Antworten und die zugehörigen Erklärungen ansehen können, nachdem Sie<br />
jeweils e<strong>in</strong>e Frage beantwortet haben.<br />
Benutzerdef<strong>in</strong>ierter Modus (Custom Mode) In diesem Modus haben Sie volle Kontrolle<br />
über die Testoptionen, sodass Sie den Test nach Belieben gestalten können.<br />
Die Benutzeroberfläche beim Durchführen des Tests ist <strong>in</strong> allen Modi fast dieselbe, allerd<strong>in</strong>gs<br />
s<strong>in</strong>d jeweils andere Optionen aktiviert oder deaktiviert. Die wichtigsten Optionen s<strong>in</strong>d im<br />
vorhergehenden Abschnitt, »Optionen für Lernzielkontrollfragen«, beschrieben.<br />
Wenn Sie nachsehen, ob Ihre Antwort für e<strong>in</strong>e e<strong>in</strong>zelne Frage e<strong>in</strong>es Übungstests richtig war,<br />
wird e<strong>in</strong> Verweisabschnitt (References) angezeigt, <strong>in</strong> dem aufgelistet ist, an welcher Stelle<br />
im Tra<strong>in</strong><strong>in</strong>g das entsprechende Thema behandelt wird und wo Sie weitere Informationen<br />
f<strong>in</strong>den. Nachdem Sie auf Test Results geklickt haben, um sich das Gesamtergebnis für Ihren<br />
Test anzeigen zu lassen, können Sie auf die Registerkarte Learn<strong>in</strong>g Plan klicken, um sich<br />
e<strong>in</strong>e Liste der Verweise für jedes e<strong>in</strong>zelne Lernziel anzeigen zu lassen.
XXII E<strong>in</strong>führung<br />
So de<strong>in</strong>stallieren Sie die Übungstests<br />
Sie können die Übungstests mit dem E<strong>in</strong>trag Programm de<strong>in</strong>stallieren <strong>in</strong> der <strong>W<strong>in</strong>dows</strong>-<br />
Systemsteuerung de<strong>in</strong>stallieren.<br />
Das Microsoft Certified Professional-Programm<br />
Die Microsoft-Zertifizierungen bieten Ihnen e<strong>in</strong>e optimale Möglichkeit, Ihre Kenntnisse der<br />
aktuellen Microsoft-Produkte und -Technologien unter Beweis zu stellen. Die Prüfungen<br />
und entsprechenden Zertifikate dienen als Nachweis Ihrer Kompetenz <strong>in</strong> Bezug auf Entwurf,<br />
Entwicklung, Implementierung und Unterstützung von Lösungen mit Microsoft-Produkten<br />
und -Technologien. Fachkräfte, die über Microsoft-Zertifikate verfügen, s<strong>in</strong>d als Experten<br />
anerkannt und <strong>in</strong> der Branche äußerst gefragt. Die Zertifizierung br<strong>in</strong>gt zahlreiche Vorteile<br />
für Bewerber, Arbeitgeber und Organisationen mit sich.<br />
Weitere Informationen Alle Microsoft-Zertifizierungen<br />
E<strong>in</strong>e vollständige Liste der Microsoft-Zertifizierungen f<strong>in</strong>den Sie unter http://www.microsoft.<br />
com/learn<strong>in</strong>g/mcp/default.asp.<br />
<strong>Support</strong> für dieses Buch<br />
Microsoft Press hat sich um die Richtigkeit der <strong>in</strong> diesem Buch sowie der auf der Begleit-<br />
CD enthaltenen Informationen bemüht. Mit Anmerkungen, Fragen oder Verbesserungsvorschlägen<br />
zu diesem Buch oder der Begleit-CD können Sie sich an Microsoft Press wenden:<br />
Per E-Mail (auf Englisch):<br />
tk<strong>in</strong>put@microsoft.com<br />
Per Post: Microsoft Press<br />
Betrifft: Tra<strong>in</strong><strong>in</strong>g <strong>70</strong>-<strong>685</strong>: <strong>W<strong>in</strong>dows</strong> 7-<strong>Support</strong> <strong>in</strong> <strong>Unternehmen</strong><br />
Konrad-Zuse-Straße 1<br />
85716 Unterschleißheim<br />
Weitere <strong>Support</strong><strong>in</strong>formationen zu diesem Buch und der beiliegenden CD-ROM f<strong>in</strong>den Sie<br />
auf der <strong>Support</strong>website von Microsoft Press unter http://microsoft.com/germany/mspress/<br />
support/. Sie können e<strong>in</strong>e Frage auch direkt <strong>in</strong> die Microsoft Press Knowledge Base e<strong>in</strong>geben.<br />
Besuchen Sie hierzu die folgende Website: http://www.microsoft.com/mspress/<br />
support/search.asp. Weitere Informationen zu den Microsoft-Softwareprodukten erhalten<br />
Sie unter der Adresse http://support.microsoft.com/.
K A P I T E L 1<br />
Beseitigen von Hardwarefehlern<br />
<strong>W<strong>in</strong>dows</strong> 7 ist das neueste Mitglied <strong>in</strong> der Familie der <strong>W<strong>in</strong>dows</strong>-Clientbetriebssysteme, zu<br />
der unter anderem <strong>W<strong>in</strong>dows</strong> XP und <strong>W<strong>in</strong>dows</strong> Vista gehören. Wenn Sie e<strong>in</strong> <strong>Support</strong>techniker<br />
<strong>in</strong> e<strong>in</strong>em großen <strong>Unternehmen</strong> s<strong>in</strong>d, das <strong>W<strong>in</strong>dows</strong> 7 bereitgestellt hat, gehören zu Ihren Aufgaben<br />
wahrsche<strong>in</strong>lich nicht nur der <strong>Support</strong> für dieses Betriebssystem, sondern auch für alle<br />
Clientanwendungen, die unter <strong>W<strong>in</strong>dows</strong> 7 laufen, sowie für die Hardwarecomputer, auf denen<br />
die Software ausgeführt wird.<br />
Für Ihre Arbeit müssen Sie daher wissen, welche Tools sich für die Diagnose fehlerhafter<br />
Hardware eignen und wie Sie diese Tools e<strong>in</strong>setzen. <strong>W<strong>in</strong>dows</strong> 7 br<strong>in</strong>gt etliche solcher Tools<br />
mit, darunter <strong>in</strong>tegrierte Problembehandlungsmodule, Speicherdiagnosesoftware, Datenträgerdiagnosesoftware<br />
und andere Dienstprogramme.<br />
Dieses Kapitel stellt diese Tools vor und beschreibt Strategien für die Problembehandlung<br />
bestimmter Hardwarekomponenten.<br />
Prüfungslernziele <strong>in</strong> diesem Kapitel:<br />
Untersuchen und Beseitigen von Hardwareproblemen<br />
Lektionen <strong>in</strong> diesem Kapitel:<br />
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von <strong>W<strong>in</strong>dows</strong> 7 . 2<br />
Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten ............. 34<br />
Bevor Sie beg<strong>in</strong>nen<br />
Um die Übungen <strong>in</strong> diesem Kapitel durcharbeiten zu können, brauchen Sie:<br />
E<strong>in</strong>en Computer mit <strong>W<strong>in</strong>dows</strong> 7 Professional, Enterprise oder Ultimate<br />
Grundkenntnisse über Microsoft <strong>W<strong>in</strong>dows</strong><br />
1
2 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools<br />
von <strong>W<strong>in</strong>dows</strong> 7<br />
In dieser Lektion lernen Sie die Tools kennen, die <strong>W<strong>in</strong>dows</strong> 7 zur Verfügung stellt (zum<br />
Beispiel Wartungscenter, <strong>W<strong>in</strong>dows</strong> 7-Problembehandlungsmodule, Zuverlässigkeitsüberwachung,<br />
Ereignisanzeige und Geräte-Manager), um e<strong>in</strong>e Problembehandlung bei Computerfehlern<br />
e<strong>in</strong>zuleiten. Anschließend stellt die Lektion weitere Tools vor (beispielsweise<br />
Systemstartreparatur, <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose, Chkdsk und Defragmentierung), die Sie<br />
e<strong>in</strong>setzen können, um Fehler im Bereich bestimmter Hardwarekomponenten zu untersuchen,<br />
zu diagnostizieren und zu reparieren.<br />
Am Ende dieser Lektion werden Sie <strong>in</strong> der Lage se<strong>in</strong>, die folgenden Aufgaben auszuführen:<br />
E<strong>in</strong>setzen verschiedener Tools aus <strong>W<strong>in</strong>dows</strong> 7 für die Problembehandlung von Hardwarefehlern<br />
Veranschlagte Zeit für diese Lektion: 60 M<strong>in</strong>uten<br />
Problembehandlung mit dem <strong>W<strong>in</strong>dows</strong> 7-Wartungscenter<br />
Wenn Sie e<strong>in</strong> Computerproblem untersuchen, dessen Ursache nicht bekannt ist, ist das Wartungscenter<br />
der erste und bequemste Anlaufpunkt, um nach entsprechenden Informationen<br />
zu suchen. Das Wartungscenter ist e<strong>in</strong>e erweiterte Version des Tools, das <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Vista<br />
den Namen Sicherheitscenter trug. In <strong>W<strong>in</strong>dows</strong> 7 zeigt das erweiterte Wartungscenter mehr<br />
als nur Sicherheitsbenachrichtigungen an. Es listet alle wichtigen Warnungen auf, die das<br />
E<strong>in</strong>greifen des Benutzers erfordern. Diese Warnungen weisen zwar oft auf Softwareprobleme<br />
im Bereich der Sicherheit (etwa fehlerhafte Firewall- oder Antivirene<strong>in</strong>stellungen) oder Wartung<br />
(beispielsweise fehlgeschlagene Datensicherungen) h<strong>in</strong>, sie können aber auch bestimmte<br />
Arten von Hardwareproblemen aufdecken, beispielsweise aufgrund fehlender oder <strong>in</strong>kompatibler<br />
Gerätetreiber. Abbildung 1.1 zeigt das Wartungscenter.<br />
Abbildung 1.1 Das <strong>W<strong>in</strong>dows</strong> 7-Wartungscenter
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von <strong>W<strong>in</strong>dows</strong> 7 3<br />
Sie öffnen das Wartungscenter, <strong>in</strong>dem Sie im Infobereich der Taskleiste auf das Flaggensymbol<br />
klicken. Daraufh<strong>in</strong> öffnet sich e<strong>in</strong> Menü (Abbildung 1.2), das L<strong>in</strong>ks zu allen Warnmeldungen<br />
sowie E<strong>in</strong>träge zum Durchführen der empfohlenen Aktionen und zum Öffnen des<br />
Wartungscenters enthält.<br />
Abbildung 1.2 Das Wartungscenter zeigt<br />
im Infobereich e<strong>in</strong> Flaggensymbol an<br />
Selbst wenn Sie im Wartungscenter ke<strong>in</strong>e Warnmeldungen zu dem Problem f<strong>in</strong>den, das Sie<br />
gerade untersuchen, können Sie es nutzen, um andere wichtige Problembehandlungswerkzeuge<br />
aufzurufen. Beispielsweise haben Sie im Wartungscenter die Möglichkeit, die Problembehandlungsmodule<br />
der Systemsteuerung oder die Zuverlässigkeitsüberwachung zu<br />
öffnen; diese Tools werden weiter unten <strong>in</strong> diesem Kapitel beschrieben.<br />
Aktivieren von Benachrichtigungen im Wartungscenter<br />
Sie haben die Möglichkeit, das Wartungscenter so zu konfigurieren, dass es nur bestimmte<br />
Arten von Warnmeldungen anzeigt. Wenn Sie daher e<strong>in</strong> Hardwareproblem untersuchen und<br />
ke<strong>in</strong>e entsprechenden Warnungen im Wartungscenter angezeigt werden, sollten Sie zuerst<br />
sicherstellen, dass die <strong>W<strong>in</strong>dows</strong>-Fehlermeldungen nicht ausgeschaltet s<strong>in</strong>d. Klicken Sie dazu<br />
im Wartungscenter auf Wartungscentere<strong>in</strong>stellungen ändern (Abbildung 1.3).<br />
Abbildung 1.3 Ändern der Wartungscentere<strong>in</strong>stellungen
4 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Stellen Sie dann unter Meldungen aktivieren bzw. deaktivieren sicher, dass das Kontrollkästchen<br />
<strong>W<strong>in</strong>dows</strong>-Problembehandlung aktiviert ist (Abbildung 1.4).<br />
Abbildung 1.4 Aktivieren der Meldungen für die <strong>W<strong>in</strong>dows</strong>-Problembehandlung<br />
im Wartungscenter<br />
Behandeln von Problemen mit den <strong>W<strong>in</strong>dows</strong> 7-Problembehandlungsmodulen<br />
Die Problembehandlungsmodule (troubleshooter) s<strong>in</strong>d weitere neue Tools <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7, die<br />
Ihnen bei der Diagnose von Hardwarefehlern helfen. Problembehandlungsmodule s<strong>in</strong>d Assistenten,<br />
die versuchen, häufig auftretende Computerprobleme automatisch zu diagnostizieren<br />
und zu reparieren. <strong>W<strong>in</strong>dows</strong> 7 br<strong>in</strong>gt viele <strong>in</strong>tegrierte Problembehandlungsmodule mit, zahlreiche<br />
weitere werden von anderen Herstellern über die neue <strong>W<strong>in</strong>dows</strong>-Problembehandlungsplattform<br />
zur Verfügung gestellt. Die <strong>W<strong>in</strong>dows</strong>-Problembehandlungsplattform liefert mithilfe<br />
e<strong>in</strong>er Skriptschnittstelle detaillierte Problembehandlungs<strong>in</strong>formationen über die <strong>W<strong>in</strong>dows</strong>-<br />
Umgebung und stellt e<strong>in</strong> simples Gerüst zum Erstellen neuer Problembehandlungsassistenten<br />
zur Verfügung. Das ermöglicht es Softwareentwicklern, Geräteherstellern und sogar Adm<strong>in</strong>istratoren,<br />
neue Problembehandlungsmodule zu schreiben, die bei Diagnose und Reparatur<br />
bestimmter Geräte, Anwendungen oder Konfigurationsbereiche helfen.<br />
Beispielsweise kann e<strong>in</strong> Hersteller externer Festplattenlaufwerke ganz e<strong>in</strong>fach e<strong>in</strong> Problembehandlungsmodul<br />
entwickeln, das se<strong>in</strong>en Kunden hilft, Fehler der Festplatten zu erkennen<br />
und zu beseitigen, sodass die Kunden <strong>in</strong> vielen Fällen nicht den technischen <strong>Support</strong> anzurufen<br />
brauchen. Auch e<strong>in</strong> Adm<strong>in</strong>istrator kann e<strong>in</strong> Problembehandlungsmodul erstellen, das<br />
häufig vorkommende Probleme im lokalen <strong>Unternehmen</strong>snetzwerk erkennt und beseitigt;<br />
dann braucht er nur den Benutzern zu zeigen, wie sie dieses Problembehandlungsmodul<br />
ausführen, bevor sie beim Helpdesk anrufen.
Praxistipp<br />
J.C. Mack<strong>in</strong><br />
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von <strong>W<strong>in</strong>dows</strong> 7 5<br />
Wie nützlich s<strong>in</strong>d die Problembehandlungsmodule nun wirklich? Die <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>gebauten<br />
Problembehandlungsmodule s<strong>in</strong>d nicht dazu gedacht, Tier-2-<strong>Support</strong> zu ersetzen.<br />
Daher helfen sie <strong>in</strong> erster L<strong>in</strong>ie normalen Benutzern, grundlegende Probleme zu überprüfen.<br />
Man kann aber für die Zukunft deutlich mehr von dieser neuen Technologie erwarten,<br />
denn die Leistungsfähigkeit der <strong>W<strong>in</strong>dows</strong>-Problembehandlungsplattform ist bee<strong>in</strong>druckend.<br />
Problembehandlungsmodule besitzen das Potenzial, E<strong>in</strong>stellungen detailliert zu<br />
untersuchen und viele Low-Level-Konfigurationse<strong>in</strong>stellungen zu überprüfen. Das reicht<br />
so weit, dass sich diese Tools <strong>in</strong> Zukunft für Tier-2-<strong>Support</strong> eignen werden. Am besten<br />
können die Hersteller diese Möglichkeiten nutzen, weil sie ihr jeweiliges Produkt am<br />
besten kennen. So können sie spezialisierte Problembehandlungsmodule entwickeln, mit<br />
denen die jeweils relevanten Low-Level-E<strong>in</strong>stellungen überprüft werden. Der Nutzen der<br />
Problembehandlungsmodule wird für Tier-2-Desktopsupporttechniker dann am größten,<br />
wenn Hardwarehersteller auf die <strong>W<strong>in</strong>dows</strong>-Problembehandlungsplattform zurückgreifen,<br />
um den <strong>Support</strong> für ihre Produkte zu verbessern. Ob sich dieses Konzept tatsächlich auf<br />
breiter Basis durchsetzt, bleibt abzuwarten.<br />
Als dieses Buch geschrieben wurde, enthielt <strong>W<strong>in</strong>dows</strong> 23 Problembehandlungsmodule. Sie<br />
s<strong>in</strong>d <strong>in</strong> Tabelle 1.1 aufgelistet. E<strong>in</strong>ige der <strong>in</strong>tegrierten Problembehandlungsmodule, zum<br />
Beispiel Hardware und Geräte, Wiedergeben von Audiodateien und Netzwerkadapter, dienen<br />
dazu, bei der Diagnose spezieller Hardwareprobleme zu helfen. Das Problembehandlungsmodul<br />
Systemwartung enthält e<strong>in</strong>e Rout<strong>in</strong>e, die auf den lokal angeschlossenen Festplatten<br />
nach fehlerhaften Sektoren, verlorenen Clustern, querverbundenen Dateien und<br />
Verzeichnisfehlern sucht.<br />
Bis auf Geräte und Drucker stehen alle 23 aufgelisteten Problembehandlungsmodule <strong>in</strong> der<br />
Systemsteuerung zur Verfügung. Das Problembehandlungsmodul Geräte und Drucker wird<br />
weiter unten <strong>in</strong> dieser Lektion im Abschnitt »Ausführen des Problembehandlungsmoduls<br />
Geräte und Drucker« beschrieben.<br />
H<strong>in</strong>weis Problembehandlungspakete<br />
Die Features e<strong>in</strong>es Problembehandlungsmoduls s<strong>in</strong>d <strong>in</strong> e<strong>in</strong>em Satz Skripts def<strong>in</strong>iert, dem<br />
sogenannten Problembehandlungspaket (troubleshoot<strong>in</strong>g pack). Problembehandlungspakete<br />
werden mithilfe der <strong>W<strong>in</strong>dows</strong> PowerShell erstellt, e<strong>in</strong>er Skriptsprache und Ausführungsumgebung,<br />
die für die <strong>W<strong>in</strong>dows</strong>-Adm<strong>in</strong>istration benutzt wird. <strong>W<strong>in</strong>dows</strong> PowerShell ist relativ<br />
e<strong>in</strong>fach zu erlernen, daher brauchen Sie ke<strong>in</strong> erfahrener Programmierer zu se<strong>in</strong>, um e<strong>in</strong><br />
Problembehandlungspaket zu entwickeln. Die auf Ihrem System <strong>in</strong>stallierten Problembehandlungspakete<br />
können Sie sich ansehen, <strong>in</strong>dem Sie <strong>in</strong> den Ordner C:\<strong>W<strong>in</strong>dows</strong>\Diagnose\<br />
System wechseln.
6 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Tabelle 1.1 Integrierte <strong>W<strong>in</strong>dows</strong> 7-Problembehandlungsmodule<br />
Problembehandlungsmodul<br />
Ziel der Problembehandlung Kategorie<br />
Aero Anzeigen von Aero-Effekten wie Transparenz Desktopdarstellung<br />
Aufzeichnen von Audiodateien<br />
Aufzeichnen von Audio über e<strong>in</strong> Mikrofon oder andere<br />
Quellen<br />
Sound<br />
Drucker Funktionsfähigkeit e<strong>in</strong>es Druckers sicherstellen Drucken<br />
E<strong>in</strong>gehende Verb<strong>in</strong>dungen Erlauben, dass andere Computer durch die <strong>W<strong>in</strong>dows</strong>-<br />
Firewall mit Ihrem Computer kommunizieren<br />
Netzwerk<br />
Freigegebene Ordner Zugreifen auf freigegebene Dateien und Ordner, die auf<br />
anderen Computern liegen<br />
Netzwerk<br />
Geräte und Drucker Funktionsfähigkeit e<strong>in</strong>es Geräts oder Druckers herstellen Gerät,<br />
Drucken<br />
Hardware und Geräte Verwenden von Hardware und Zugreifen auf Geräte, die<br />
an den Computer angeschlossen s<strong>in</strong>d<br />
Gerät<br />
Heimnetzgruppe Anzeigen von Computern oder freigegebenen Dateien <strong>in</strong><br />
e<strong>in</strong>er Heimnetzgruppe<br />
Netzwerk<br />
Internet Explorer-<br />
Sicherheit<br />
Abwehren von Malware, Popups und Onl<strong>in</strong>eangriffen Webbrowser<br />
Internetverb<strong>in</strong>dungen Herstellen e<strong>in</strong>er Verb<strong>in</strong>dung mit dem Internet oder e<strong>in</strong>er<br />
bestimmten Website<br />
Netzwerk<br />
Leistung Verbessern der Gesamtgeschw<strong>in</strong>digkeit und -leistung<br />
des Systems<br />
Leistung<br />
Leistung von Internet<br />
Explorer<br />
Verh<strong>in</strong>dern von Problemen mit Add-Ons und Optimieren<br />
von temporären Dateien und Verb<strong>in</strong>dungen<br />
Netzwerkadapter Funktionsfähigkeit von Ethernet-, Drahtlos- oder<br />
anderen Netzwerkkarten sicherstellen<br />
Programmkompatibilität Ermöglichen, dass ältere Programme unter dieser<br />
<strong>W<strong>in</strong>dows</strong>-Version laufen<br />
Stromversorgung Verlängern der Akkulaufzeit und Senken des Energieverbrauchs<br />
Suche und Indizierung Suchen nach Objekten <strong>in</strong> Ihrem Computer mithilfe von<br />
<strong>W<strong>in</strong>dows</strong> Search<br />
Systemwartung Löschen unbenutzter Dateien und Verknüpfungen,<br />
Überprüfen von Festplattenvolumes auf Fehler und<br />
Durchführen anderer Wartungsaufgaben<br />
Verb<strong>in</strong>den mit e<strong>in</strong>em<br />
Arbeitsplatz über Direct-<br />
Access<br />
Wiedergeben von Audiodateien<br />
<strong>W<strong>in</strong>dows</strong> Media Player-<br />
Bibliothek<br />
Herstellen e<strong>in</strong>er Verb<strong>in</strong>dung mit dem <strong>Unternehmen</strong>snetzwerk<br />
über das Internet<br />
Abspielen von Sounds und anderen Audiodaten, zum<br />
Beispiel Musikdateien<br />
Sicherstellen, dass Mediendateien <strong>in</strong> der <strong>W<strong>in</strong>dows</strong><br />
Media Player-Bibliothek angezeigt werden<br />
Webbrowser<br />
Netzwerk<br />
Programme<br />
Stromversorgung<br />
<strong>W<strong>in</strong>dows</strong><br />
System<br />
Netzwerk<br />
Sound<br />
Medien-<br />
wiedergabe
Problembehandlungsmodul<br />
<strong>W<strong>in</strong>dows</strong> Media Player-<br />
DVD<br />
<strong>W<strong>in</strong>dows</strong> Media Player-<br />
E<strong>in</strong>stellungen<br />
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von <strong>W<strong>in</strong>dows</strong> 7 7<br />
Ziel der Problembehandlung Kategorie<br />
Abspielen e<strong>in</strong>er DVD mit <strong>W<strong>in</strong>dows</strong> Media Player Medienwiedergabe<br />
Zurücksetzen des <strong>W<strong>in</strong>dows</strong> Media Players auf die<br />
Standarde<strong>in</strong>stellungen<br />
Medienwiedergabe<br />
<strong>W<strong>in</strong>dows</strong> Update Funktion von <strong>W<strong>in</strong>dows</strong> Update sicherstellen <strong>W<strong>in</strong>dows</strong><br />
Ausführen der Problembehandlungsmodule <strong>in</strong> der Systemsteuerung<br />
Die meisten der <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 <strong>in</strong>tegrierten Problembehandlungsmodule stehen über das<br />
Systemsteuerungselement Problembehandlung zur Verfügung. Sie sollten sich mit diesen<br />
Problembehandlungsmodulen der Systemsteuerung vertraut machen, bevor Sie an die<br />
Problembehandlung gehen. Nur so wissen Sie, welches Modul Sie für e<strong>in</strong> bestimmtes<br />
Problem brauchen. Bekommen Sie beispielsweise die Aufgabe zugewiesen, Probleme mit<br />
e<strong>in</strong>em Audiogerät zu beseitigen, hilft es Ihnen zu wissen, dass <strong>in</strong> der Systemsteuerung das<br />
<strong>in</strong>tegrierte Problembehandlungsmodul Wiedergeben von Audiodateien zur Verfügung steht.<br />
Sie greifen auf die Problembehandlungsmodule der Systemsteuerung zu, <strong>in</strong>dem Sie das<br />
Wartungscenter öffnen und auf Problembehandlung klicken (Abbildung 1.5).<br />
Abbildung 1.5 Öffnen der <strong>W<strong>in</strong>dows</strong> 7-Problembehandlungsmodule im Wartungscenter
8 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Daraufh<strong>in</strong> öffnet sich das Hauptfenster des Systemsteuerungselements Problembehandlung<br />
(Abbildung 1.6).<br />
Abbildung 1.6 Problembehandlung <strong>in</strong> der Systemsteuerung<br />
Sofern Sie <strong>in</strong> diesem Fenster schon e<strong>in</strong>en L<strong>in</strong>k zu e<strong>in</strong>em bestimmten Problembehandlungsmodul<br />
sehen (etwa Gerät konfigurieren), das Sie ausführen wollen, brauchen Sie lediglich<br />
den L<strong>in</strong>k anzuklicken. E<strong>in</strong>e vollständige Liste aller verfügbaren Problembehandlungsmodule<br />
erhalten Sie, wenn Sie am l<strong>in</strong>ken Fensterrand auf Alles anzeigen klicken; <strong>in</strong> dieser Liste s<strong>in</strong>d<br />
die Problembehandlungsmodule nicht <strong>in</strong> Kategorien untergliedert.<br />
Stattdessen können Sie auch e<strong>in</strong>e Problembehandlungskategorie auswählen. Wollen Sie beispielsweise<br />
e<strong>in</strong> Problem mit e<strong>in</strong>em Gerät untersuchen, können Sie auf die Kategorie Hardware<br />
und Sound klicken, um die Seite Problembehandlung – Hardware und Sound zu öffnen<br />
(Abbildung 1.7). In der Kategorie Hardware und Sound stehen <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 momentan die<br />
Problembehandlungsmodule Wiedergeben von Audiodateien, Aufzeichnen von Audiodateien,<br />
Hardware und Geräte, Netzwerkadapter, Drucker und <strong>W<strong>in</strong>dows</strong> Media Player-DVD zur<br />
Verfügung.<br />
Klicken Sie <strong>in</strong> der Liste das Problembehandlungsmodul an, das Sie ausführen möchten. Wenn<br />
Sie zum Beispiel Probleme mit e<strong>in</strong>er Netzwerkkarte haben, müssen Sie auf Netzwerkadapter<br />
klicken. Abbildung 1.8 zeigt die erste Seite des Problembehandlungsmoduls Netzwerkadapter.
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von <strong>W<strong>in</strong>dows</strong> 7 9<br />
Abbildung 1.7 Problembehandlungsmodule für Hardware und Sound <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
Abbildung 1.8 Das Problembehandlungsmodul Netzwerkadapter<br />
Ausführen des Problembehandlungsmoduls Geräte und Drucker<br />
Das Problembehandlungsmodul Geräte und Drucker ist e<strong>in</strong> spezieller, e<strong>in</strong>fach bedienbarer<br />
Hardwareratgeber, der Probleme im Bereich von Druckern und Peripheriegeräten schnell<br />
beseitigen kann.<br />
Über den Befehl Problembehandlung steht dieses Problembehandlungsmodul ausschließlich<br />
im Fenster Geräte und Drucker zur Verfügung, e<strong>in</strong>em neuen Feature <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7, das<br />
beim Verwalten der Peripheriegeräte und Drucker des lokalen Computers hilft. Sie öffnen<br />
Geräte und Drucker, <strong>in</strong>dem Sie im Startmenü auf den E<strong>in</strong>trag Geräte und Drucker klicken<br />
(Abbildung 1.9).
10 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Abbildung 1.9 Öffnen von Geräte und Drucker<br />
Abbildung 1.10 zeigt das Fenster Geräte und Drucker.<br />
Abbildung 1.10 Das Fenster Geräte und Drucker <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von <strong>W<strong>in</strong>dows</strong> 7 11<br />
H<strong>in</strong>weis Arbeiten mit dem Fenster Geräte und Drucker<br />
E<strong>in</strong>es der nützlichsten Features im Fenster Geräte und Drucker ist, dass für jedes Peripheriegerät<br />
<strong>in</strong>dividuell angepasste Kontextmenüe<strong>in</strong>träge angeboten werden. Wenn Sie beispielsweise<br />
mit der rechten Maustaste auf e<strong>in</strong> Mausgerät klicken und im Kontextmenü Mause<strong>in</strong>stellungen<br />
wählen, öffnet sich das Eigenschaftendialogfeld für das Mausgerät <strong>in</strong> der Systemsteuerung.<br />
Klicken Sie dagegen mit der rechten Maustaste auf e<strong>in</strong> externes Speichergerät,<br />
werden Befehle wie Automatische Wiedergabe, Dateien durchsuchen und Auswerfen angeboten.<br />
Und wenn Sie das Kontextmenü für e<strong>in</strong> Computergerät öffnen (das für den lokalen<br />
Computer steht), erhalten Sie Zugriff auf viele weitere E<strong>in</strong>stellmöglichkeiten, etwa Netzwerke<strong>in</strong>stellungen,<br />
Systemeigenschaften, Region und Sprache oder <strong>W<strong>in</strong>dows</strong> Update.<br />
Sie starten das Problembehandlungsmodul Geräte und Drucker, <strong>in</strong>dem Sie mit der rechten<br />
Maustaste auf das Gerät klicken, bei dem Probleme auftreten, und im Kontextmenü den<br />
Befehl Problembehandlung wählen (Abbildung 1.11).<br />
Abbildung 1.11 Starten des Problembehandlungsmoduls für e<strong>in</strong> Gerät<br />
Daraufh<strong>in</strong> wird sofort das Problembehandlungsmodul Geräte und Drucker gestartet<br />
(Abbildung 1.12).
12 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Abbildung 1.12 Das Problembehandlungsmodul Geräte und<br />
Drucker wird <strong>in</strong> der Standarde<strong>in</strong>stellung sofort gestartet<br />
Verwenden von Hardwareratgebern<br />
Problembehandlungsmodule suchen üblicherweise nach Fehlern und geben Ihnen dann<br />
Gelegenheit, gefundene Fehler zu beseitigen. Die letzte Seite des Assistenten enthält e<strong>in</strong>e<br />
Zusammenfassung der Ergebnisse, die im Rahmen der Fehlersuche gefunden wurden.<br />
Die Problembehandlungsmodule erkennen <strong>in</strong> erster L<strong>in</strong>ie Konfigurationsfehler, ke<strong>in</strong>e Hardwarefehler.<br />
Dennoch können Sie e<strong>in</strong> Problembehandlungsmodul e<strong>in</strong>setzen, um festzustellen,<br />
ob das Problem mit e<strong>in</strong>em Gerät durch die Hardware verursacht wird.<br />
Abbildung 1.13 Problembehandlungsmodule schlagen oft<br />
Lösungsmöglichkeiten für erkannte Probleme vor<br />
Wenn Sie beispielsweise e<strong>in</strong>e Problembehandlung für e<strong>in</strong> Gerät durchführen, decken die<br />
Hardware- und Geräteproblembehandlungsmodule unter Umständen auf, dass e<strong>in</strong> geeigneter<br />
Treiber <strong>in</strong>stalliert werden muss. Abbildung 1.13 zeigt e<strong>in</strong> Beispiel. Dieses Ergebnis deutet
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von <strong>W<strong>in</strong>dows</strong> 7 13<br />
darauf h<strong>in</strong>, dass die Probleme, die beim Gerät auftreten, durch die Softwarekonfiguration<br />
verursacht werden, nicht durch die Hardware selbst.<br />
Erkennt e<strong>in</strong> Problembehandlungsmodul aber e<strong>in</strong> Problem, über das es ke<strong>in</strong>e weiteren Informationen<br />
liefern kann (Abbildung 1.14), deutet das <strong>in</strong> vielen Fällen darauf h<strong>in</strong>, dass das<br />
Gerät selbst defekt ist. In diesem Fall können Sie andere Diagnosemöglichkeiten nutzen, die<br />
vom Gerätehersteller zur Verfügung gestellt werden, um die Funktion des Hardwaregeräts<br />
genauer zu untersuchen.<br />
Abbildung 1.14 Nicht genauer erläuterte Fehler erfordern e<strong>in</strong>e tiefer gehende Problembehandlung<br />
Konfigurieren der E<strong>in</strong>stellungen für Problembehandlungsmodule<br />
Wenn Sie im Hauptfenster des Systemsteuerungselements Problembehandlung auf den L<strong>in</strong>k<br />
E<strong>in</strong>stellungen ändern klicken, öffnet sich die Seite Problembehandlungse<strong>in</strong>stellungen<br />
ändern.<br />
Abbildung 1.15 Ändern der E<strong>in</strong>stellungen für Problembehandlungsmodule
14 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Abbildung 1.16 zeigt die Seite Problembehandlungse<strong>in</strong>stellungen ändern.<br />
Abbildung 1.16 Konfigurieren der Problembehandlungsmodule<br />
Auf der Seite Problembehandlungse<strong>in</strong>stellungen ändern können Sie drei E<strong>in</strong>stellungen<br />
ändern, die sich auf die Problembehandlungsmodule auswirken.<br />
Das System wird auf Probleme bei der Rout<strong>in</strong>ewartung überprüft. Sie werden benachrichtigt,<br />
wenn die Problembehandlung für die Systemwartung zum Beheben von Problemen<br />
verwendet werden kann.<br />
In der Standarde<strong>in</strong>stellung s<strong>in</strong>d die Rout<strong>in</strong>eprüfungen aktiviert (Option E<strong>in</strong>). Diese E<strong>in</strong>stellung<br />
ist für die Diagnose von Hardwareproblemen (besonders von Festplattenproblemen)<br />
wichtig, weil das Problembehandlungsmodul Systemwartung Sie warnen kann,<br />
sobald es bestimmte Probleme bei der Festplattenhardware erkennt.<br />
Benutzern das Suchen nach Problembehandlungen im <strong>W<strong>in</strong>dows</strong>-Onl<strong>in</strong>edienst für Problembehandlung<br />
gestatten<br />
Dieses Kontrollkästchen ist <strong>in</strong> der Standarde<strong>in</strong>stellung aktiviert. Falls die Liste der verfügbaren<br />
Problembehandlungsmodule bei Ihren Benutzern im Lauf der Zeit nicht länger<br />
wird, sollten Sie sicherstellen, dass diese E<strong>in</strong>stellung aktiviert ist.<br />
Umgehenden Beg<strong>in</strong>n der Problembehandlung nach dem Start zulassen<br />
Diese E<strong>in</strong>stellung wirkt sich nur auf die Problembehandlung <strong>in</strong> Geräte und Drucker aus.<br />
Sie legt fest, ob dieses Problembehandlungsmodul die Startseite des Assistenten überspr<strong>in</strong>gt,<br />
wenn der Befehl gewählt wurde. In der Standarde<strong>in</strong>stellung ist dieses Kontrollkästchen<br />
aktiviert.
Schnelltest<br />
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von <strong>W<strong>in</strong>dows</strong> 7 15<br />
E<strong>in</strong> Mausgerät sche<strong>in</strong>t nicht zu funktionieren. Welches ist die schnellste Methode, um e<strong>in</strong><br />
Problembehandlungsmodul für die Maus zu starten?<br />
Antwort zum Schnelltest<br />
Öffnen Sie Geräte und Drucker, klicken Sie mit der rechten Maustaste auf das Mausgerät<br />
und wählen Sie im Kontextmenü den Befehl Problembehandlung.<br />
Behandeln von Problemen im Geräte-Manager<br />
Ist ke<strong>in</strong>es der Problembehandlungsmodule <strong>in</strong> der Lage, e<strong>in</strong> Hardwareproblem automatisch<br />
zu reparieren, sollten Sie den Geräte-Manager öffnen, um weitere Informationen zu erhalten.<br />
Der Geräte-Manager ist e<strong>in</strong> nützliches Tool, um festzustellen, ob irgendwelche der an das<br />
System angeschlossenen Geräte nicht richtig funktionieren.<br />
Gehen Sie folgendermaßen vor, um nicht funktionsfähige Hardwaregeräte im Geräte-Manager<br />
anzuzeigen:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den<br />
Befehl Verwalten.<br />
2. Klicken Sie unter System auf Geräte-Manager.<br />
3. Der Geräte-Manager zeigt alle lokal angeschlossenen Geräte an. Geräte, bei denen Probleme<br />
auftreten (dazu gehören alle Geräte, mit denen <strong>W<strong>in</strong>dows</strong> 7 nicht kommunizieren<br />
kann), werden mit e<strong>in</strong>em Warnsymbol angezeigt (Abbildung 1.17). Falls ke<strong>in</strong>e Kategoriezweige<br />
aufgeklappt und ke<strong>in</strong>e Geräte sichtbar s<strong>in</strong>d, hat <strong>W<strong>in</strong>dows</strong> ke<strong>in</strong>e Probleme mit<br />
irgendwelchen Geräten erkannt.<br />
Abbildung 1.17 In der Computerverwaltung haben Sie<br />
Zugriff auf den Geräte-Manager
16 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Falls der Geräte-Manager e<strong>in</strong> Problem mit e<strong>in</strong>em Gerät erkennt, sollten Sie mit der rechten<br />
Maustaste auf dieses Gerät klicken und se<strong>in</strong> Eigenschaftendialogfeld öffnen. Das Eigenschaftendialogfeld<br />
für das Gerät, für das <strong>in</strong> Abbildung 1.17 e<strong>in</strong> Problem gemeldet wurde,<br />
sehen Sie <strong>in</strong> Abbildung 1.18.<br />
Abbildung 1.18 Öffnen Sie das Eigenschaftendialogfeld<br />
für Geräte, zu denen der Geräte-Manager e<strong>in</strong> Problem meldet<br />
Abbildung 1.19 Auf der Registerkarte Treiber<br />
e<strong>in</strong>es Geräts können Sie se<strong>in</strong>e Treiber aktualisieren<br />
oder die Vorversion wiederherstellen<br />
Häufige Ursache für Hardwareprobleme s<strong>in</strong>d fehlerhafte Treiber. Sofern die Registerkarte<br />
Allgeme<strong>in</strong> des Eigenschaftendialogfelds e<strong>in</strong> Problem mit e<strong>in</strong>em Gerätetreiber meldet, sollten<br />
Sie die Registerkarte Treiber anklicken (Abbildung 1.19). Auf dieser Registerkarte haben Sie
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von <strong>W<strong>in</strong>dows</strong> 7 17<br />
die Möglichkeit, den Treiber zu aktualisieren oder die vorher <strong>in</strong>stallierte Version wiederherzustellen.<br />
Die vorherige Version des Treibers wiederherzustellen ist s<strong>in</strong>nvoll, wenn das Gerät vor der<br />
letzten Aktualisierung funktioniert hat. Sofern auch der vorher <strong>in</strong>stallierte Treiber nicht funktioniert<br />
hat oder noch nie e<strong>in</strong> älterer Treiber <strong>in</strong>stalliert war, sollten Sie den Treiber aktualisieren.<br />
Beachten Sie aber, dass Sie e<strong>in</strong>en Treiber üblicherweise dadurch aktualisieren, dass<br />
Sie das neueste Treiber<strong>in</strong>stallationsprogramm von der Website des Geräteherstellers herunterladen<br />
und ausführen. Die Schaltfläche Treiber aktualisieren sollten Sie nur verwenden, wenn<br />
ke<strong>in</strong> Installationsprogramm für e<strong>in</strong>en funktionierenden Treiber zur Verfügung steht.<br />
Wenn der Geräte-Manager e<strong>in</strong> Problem mit e<strong>in</strong>em Gerät meldet, aber ke<strong>in</strong>e konkreten Informationen<br />
über das Problem liefert, erhöht sich die Wahrsche<strong>in</strong>lichkeit, dass es sich tatsächlich<br />
um e<strong>in</strong>en Hardwaredefekt handelt.<br />
Behandeln von Problemen mit der Zuverlässigkeitsüberwachung<br />
Die Zuverlässigkeitsüberwachung ist e<strong>in</strong> Tool, das die Stabilität e<strong>in</strong>es Systems über e<strong>in</strong>en<br />
längeren Zeitraum h<strong>in</strong>weg misst. In <strong>W<strong>in</strong>dows</strong> 7 öffnen Sie die Zuverlässigkeitsüberwachung<br />
über das Wartungscenter. Erweitern Sie den Abschnitt Wartung und klicken Sie auf Zuverlässigkeitsverlauf<br />
anzeigen (Abbildung 1.20).<br />
Abbildung 1.20 Öffnen der Zuverlässigkeitsüberwachung im Wartungscenter<br />
Abbildung 1.21 zeigt die Zuverlässigkeitsüberwachung.<br />
Die Zuverlässigkeitsüberwachung zeigt e<strong>in</strong> Diagramm für die Zuverlässigkeit des lokalen<br />
Computers im Verlauf der letzten 20 Tage oder 20 Wochen. Die Stabilität des Systems wird<br />
als Wert von 1 (ger<strong>in</strong>ge Stabilität) bis 10 (hohe Stabilität) gemessen und als blaue L<strong>in</strong>ie über<br />
den gewählten Zeitraum angezeigt.
18 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Abbildung 1.21 Zuverlässigkeitsüberwachung<br />
Um die Stabilität e<strong>in</strong>es Systems zu bewerten, verfolgt die Zuverlässigkeitsüberwachung fünf<br />
Ereigniskategorien:<br />
Anwendungsfehler<br />
<strong>W<strong>in</strong>dows</strong>-Fehler<br />
Verschiedene Fehler<br />
Warnungen<br />
Informationen<br />
Im Abschnitt Zuverlässigkeitsdetails liefert die Zuverlässigkeitsüberwachung genauere Informationen<br />
über die aufgezeichneten Ereignisse. Tritt <strong>in</strong> e<strong>in</strong>er der überwachten Kategorien e<strong>in</strong><br />
kritisches Ereignis auf, s<strong>in</strong>kt die Bewertung des Systems für den entsprechenden Zeitraum<br />
(Tag oder Woche).<br />
Diagnostizieren von Hardwarefehlern mit der Zuverlässigkeitsüberwachung<br />
Die Zuverlässigkeitsüberwachung sammelt Daten über die Softwarefehler, die <strong>in</strong> letzter Zeit<br />
im System aufgetreten s<strong>in</strong>d. Weil Hardwarefehler letztlich Softwarefehler auslösen, s<strong>in</strong>d<br />
diese Informationen auch dann wichtig, wenn Sie e<strong>in</strong>e Problembehandlung für Systemfehler<br />
durchführen, bei denen sich letztlich herausstellt, dass sie durch Hardwaredefekte verursacht<br />
wurden.<br />
Bei jeder Problembehandlung sollten Sie daher <strong>in</strong> der Zuverlässigkeitsüberwachung prüfen,<br />
ob <strong>W<strong>in</strong>dows</strong> relevante Informationen über den zeitlichen Verlauf des Problems aufgezeichnet<br />
hat. Suchen Sie vor allem nach kritischen Ereignissen <strong>in</strong> der Kategorie <strong>W<strong>in</strong>dows</strong>-Fehler.<br />
Klagt e<strong>in</strong> Benutzer zum Beispiel, dass <strong>W<strong>in</strong>dows</strong> abstürzt, könnte sich herausstellen, dass<br />
dieses Problem erst seit dem Zeitpunkt auftritt, zu dem e<strong>in</strong>e bekannte Änderung am System<br />
vorgenommen wurde. Abstürze, die nur ganz selten auftreten, haben möglicherweise mit
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von <strong>W<strong>in</strong>dows</strong> 7 19<br />
e<strong>in</strong>er bestimmten Anwendung zu tun und werden nicht durch e<strong>in</strong> hardwarespezifisches Problem<br />
ausgelöst. Treten Abstürze <strong>in</strong> Phasen mit <strong>in</strong>tensiven Lese- oder Schreibaktivitäten auf<br />
(etwa während e<strong>in</strong>er Datensicherung), haben sie es unter Umständen mit e<strong>in</strong>em fehlerhaften<br />
Festplattenlaufwerk zu tun.<br />
Die Zuverlässigkeitsüberwachung liefert zwar oft nützliche Informationen für die Problembehandlung,<br />
Sie müssen aber auch die Grenzen der Zuverlässigkeitsüberwachung als Diagnosetool<br />
kennen. Die Zuverlässigkeitsüberwachung kann durchaus für die Diagnose von<br />
Hardwarefehlern e<strong>in</strong>gesetzt werden, aber sie ist nur bei den Hardwarefehlern von Nutzen,<br />
die auch von <strong>W<strong>in</strong>dows</strong> aufgezeichnet werden können. Zum Beispiel kann die Zuverlässigkeitsüberwachung<br />
Ihnen helfen, Speicherfehler aufzudecken, die wiederholt Abbruchfehler<br />
auslösen. Dagegen können Hardwarefehler, die auftreten, bevor <strong>W<strong>in</strong>dows</strong> überhaupt startet,<br />
natürlich nicht mit der Zuverlässigkeitsüberwachung untersucht werden.<br />
Betrachten Sie die Zuverlässigkeitsüberwachung daher als nützliches Werkzeug <strong>in</strong>nerhalb<br />
der <strong>W<strong>in</strong>dows</strong>-Diagnosetools, die Ihnen zur Verfügung stehen, wenn Sie die Ursache e<strong>in</strong>es<br />
Systemfehlers aufdecken müssen.<br />
Behandeln von Problemen mit der Ereignisanzeige<br />
Die Ereignisanzeige listet Ereignisse auf, die von <strong>W<strong>in</strong>dows</strong> und anderen Anwendungen <strong>in</strong><br />
die Ereignisprotokolle geschrieben werden. Auf den meisten Computern enthält die Ereignisanzeige<br />
Tausende von Ereignissen, von denen Sie die meisten e<strong>in</strong>fach ignorieren können.<br />
Bei e<strong>in</strong>er Problembehandlung sollten Sie sich aber das Ereignisprotokoll ansehen und nach<br />
Ereignissen suchen, die möglicherweise die Ursache des Problems aufdecken, das Sie untersuchen.<br />
Denken Sie aber daran, dass nicht alle Probleme e<strong>in</strong> Ereignis generieren. Aus diesem<br />
Grund ist es möglich, dass Sie überhaupt ke<strong>in</strong>e Ereignisse zu dem Problem f<strong>in</strong>den, das Sie<br />
untersuchen.<br />
Gehen Sie folgendermaßen vor, um die Ereignisanzeige zu öffnen und sich Ereignisse anzusehen,<br />
die mit der Hardware zu tun haben:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den<br />
Befehl Verwalten.<br />
2. Erweitern Sie unter System den Knoten Ereignisanzeige.<br />
3. Erweitern Sie unter Ereignisanzeige den Knoten <strong>W<strong>in</strong>dows</strong>-Protokolle und klicken Sie<br />
auf System.<br />
4. Klicken Sie im Fensterabschnitt Aktionen auf Aktuelles Protokoll filtern.<br />
5. Aktivieren Sie im Dialogfeld Aktuelles Protokoll filtern die Kontrollkästchen Kritisch<br />
und Fehler und klicken Sie auf OK.<br />
Anschließend listet die Ereignisanzeige nur kritische Ereignisse und Fehler auf (Abbildung<br />
1.22).<br />
Weitere Informationen zur Problembehandlung mit der Ereignisanzeige f<strong>in</strong>den Sie <strong>in</strong><br />
Kapitel 8, »Leistung«, und Kapitel 9, »Beseitigen von Softwareproblemen«.
20 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Abbildung 1.22 Ereignisanzeige<br />
Gehen Sie die gefilterte Liste der Ereignisse durch. Sehen Sie sich <strong>in</strong>sbesondere Ereignisse<br />
genau an, als deren Quelle die Hardwarekomponente angegeben ist, bei der das Problem<br />
auftritt. Wenn Sie beispielsweise Festplattenfehler untersuchen, sollten Sie nach Fehlern im<br />
Bereich der Systemdatenträger Ausschau halten. Wurden solche Ereignisse aufgezeichnet,<br />
s<strong>in</strong>d sie bei der Diagnose Ihres Problems wahrsche<strong>in</strong>lich sehr hilfreich.<br />
Praxistipp<br />
J.C. Mack<strong>in</strong><br />
Machen Sie sich ke<strong>in</strong>e Sorgen, wenn Sie viele der Ereignisprotokollmeldungen, die <strong>in</strong> der<br />
Ereignisanzeige aufgelistet werden, nicht verstehen. F<strong>in</strong>den Sie e<strong>in</strong>en kritischen Fehler<br />
im Ereignisprotokoll, den Sie nicht verstehen, können Sie e<strong>in</strong>fach die Ereignis-ID und<br />
-Nachricht kopieren und dann anhand dieser Daten onl<strong>in</strong>e nach weiteren Informationen<br />
dazu suchen.<br />
Wenn Sie e<strong>in</strong>e Ereignisprotokollnachricht recherchieren, sollten Sie unbed<strong>in</strong>gt die Informationen<br />
auf den Microsoft-Sites wie http://technet.microsoft.com und http://support.<br />
microsoft.com lesen. Es gibt aber noch weitere Sites, auf denen Sie Informationen zu Ereignis-IDs<br />
f<strong>in</strong>den. E<strong>in</strong>e besonders nützliche Site ist http://eventid.net, wo Adm<strong>in</strong>istratoren<br />
ihr Wissen zu bestimmten Ereignis-IDs sammeln.<br />
Behandeln von Startfehlern mit der Systemstartreparatur<br />
S<strong>in</strong>d Festplatte, Motherboard oder e<strong>in</strong> RAM-Modul defekt, verh<strong>in</strong>dert das den Start des Systems.<br />
Die Ursache kann aber auch lediglich e<strong>in</strong>e fehlerhafte Festplattenkonfiguration se<strong>in</strong>.<br />
Wenn Sie e<strong>in</strong>e Problembehandlung für e<strong>in</strong> System durchführen, das nicht startet, sollten Sie
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von <strong>W<strong>in</strong>dows</strong> 7 21<br />
zuerst versuchen, Fehler im Bereich von Softwarekonfiguration oder Datenbeschädigung auf<br />
der Festplatte als Ursache ausschließen.<br />
Die Systemstartreparatur erkennt und repariert viele Festplattenfehler automatisch, die den<br />
Start von <strong>W<strong>in</strong>dows</strong> verh<strong>in</strong>dern. Die Systemstartreparatur analysiert zuerst die Startsektoren,<br />
den Start-Manager, die Festplattenkonfiguration, die Festplatten<strong>in</strong>tegrität, die BCD-Registrierungsdatei<br />
(Boot Configuration Data), die Systemdateien, die Startprotokolle und die<br />
Ereignisprotokolle. Dann versucht sie, alle aufgedeckten Probleme zu beseitigen. Im Rahmen<br />
dieses Reparaturvorgangs werden bei Bedarf Konfigurationsdateien bearbeitet, e<strong>in</strong>fache<br />
Laufwerksprobleme beseitigt, fehlende Systemdateien ersetzt oder e<strong>in</strong>e Systemwiederherstellung<br />
ausgeführt, um den Computer auf e<strong>in</strong>en früheren Zustand zurückzusetzen. Weil die<br />
Systemstartreparatur diese Aufgaben automatisch ausführt, können Sie Startprobleme mit<br />
diesem Tool viel schneller beseitigen als bei e<strong>in</strong>er manuellen Analyse und Reparatur.<br />
Die Systemstartreparatur hilft Ihnen bei der detaillierten Diagnose von Hardwarefehlern,<br />
weil sie häufig auftretende Softwarekonfigurationsfehler auf Startdatenträgern (normalerweise<br />
Festplatten) beseitigt. Gel<strong>in</strong>gt es der Systemstartreparatur nicht, e<strong>in</strong> <strong>W<strong>in</strong>dows</strong>-Startproblem<br />
zu beseitigen, können Sie die Datenträgerkonfiguration üblicherweise von der Liste<br />
potenzieller Fehlerursachen streichen. Anschließend können Sie sich auf andere mögliche<br />
Ursachen konzentrieren, beispielsweise Festplattenpartitionierungsprogramme anderer Hersteller,<br />
Hardwaredefekte bei Laufwerken, falsch konfiguriertes BIOS (Basic Input/Output<br />
System), defekter Arbeitsspeicher oder e<strong>in</strong> defektes Motherboard.<br />
Abbildung 1.23 Öffnen der <strong>W<strong>in</strong>dows</strong>-Wiederherstellungsumgebung über das<br />
Menü Erweiterte Startoptionen
22 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Starten der Systemstartreparatur<br />
Sie starten die Systemstartreparatur über die <strong>W<strong>in</strong>dows</strong>-Wiederherstellungsumgebung und die<br />
zugehörigen Systemwiederherstellungsoptionen, die das <strong>W<strong>in</strong>dows</strong> 7-Setupprogramm automatisch<br />
auf dem Startdatenträger <strong>in</strong>stalliert. Die <strong>W<strong>in</strong>dows</strong>-Wiederherstellungsumgebung ist<br />
e<strong>in</strong> schlankes Betriebssystem, mit dem Sie <strong>W<strong>in</strong>dows</strong>-Probleme beseitigen können, ohne dass<br />
das Hauptbetriebssystem läuft. Sie öffnen die <strong>W<strong>in</strong>dows</strong>-Wiederherstellungsumgebung, <strong>in</strong>dem<br />
Sie die Taste F8 drücken, während der Computer startet. Daraufh<strong>in</strong> öffnet sich das Menü<br />
Erweiterte Startoptionen. Wählen Sie nun die Option Computer reparieren (Abbildung 1.23).<br />
Sollte das Startproblem, das Sie untersuchen, den Zugriff auf das Menü Erweiterte Startoptionen<br />
verh<strong>in</strong>dern, erreichen Sie die <strong>W<strong>in</strong>dows</strong>-Wiederherstellungsumgebung und die Systemwiederherstellungsoptionen,<br />
<strong>in</strong>dem Sie von der <strong>W<strong>in</strong>dows</strong> 7-DVD starten. Bei dieser Methode<br />
öffnet sich der <strong>W<strong>in</strong>dows</strong>-Installationsassistent. Wählen Sie Ihre Sprache, klicken Sie auf<br />
Weiter und dann auf der zweiten Seite des <strong>W<strong>in</strong>dows</strong>-Installationsassistenten auf Computerreparaturoptionen<br />
(Abbildung 1.24).<br />
Abbildung 1.24 Öffnen der <strong>W<strong>in</strong>dows</strong>-Wiederherstellungsumgebung<br />
über die <strong>W<strong>in</strong>dows</strong> 7-DVD<br />
Bei beiden Methoden, die <strong>W<strong>in</strong>dows</strong>-Wiederherstellungsumgebung zu starten, wird anschließend<br />
die erste Seite des Assistenten Systemwiederherstellungsoptionen angezeigt. In Abbildung<br />
1.25 sehen Sie die Variante, die ersche<strong>in</strong>t, wenn Sie von der <strong>W<strong>in</strong>dows</strong> 7-DVD starten.<br />
Haben Sie stattdessen im Menü Erweiterte Startoptionen den E<strong>in</strong>trag Computer reparieren<br />
ausgewählt, werden Sie zuerst aufgefordert, e<strong>in</strong>e Sprache auszuwählen; auf e<strong>in</strong>er zweiten<br />
Seite müssen Sie dann die Anmelde<strong>in</strong>formationen e<strong>in</strong>es lokalen Benutzers e<strong>in</strong>geben.<br />
Die letzte Seite im Assistenten Systemwiederherstellungsoptionen ist bei allen Versionen<br />
dieselbe: Sie heißt Wählen Sie e<strong>in</strong> Wiederherstellungstool aus. Wählen Sie den entsprechenden<br />
E<strong>in</strong>trag, um das Systemstartreparaturtool zu starten (Abbildung 1.26).
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von <strong>W<strong>in</strong>dows</strong> 7 23<br />
Abbildung 1.25 Öffnen der Systemwiederherstellungsoptionen<br />
Abbildung 1.26 Auswählen des Systemstartreparaturtools<br />
Abbildung 1.27 zeigt die Systemstartreparatur bei der Ausführung. Es führt <strong>in</strong> dieser Phase<br />
folgende Tests aus:<br />
Suchen nach Updates<br />
Testen des Systemdatenträgers<br />
Datenträgerfehlerdiagnose<br />
Überprüfen der Datenträgermetadaten<br />
Prüfen des Zielbetriebssystems<br />
Prüfen des Volume<strong>in</strong>halts<br />
Diagnose des Start-Managers<br />
Diagnose des Systemstartprotokolls<br />
Diagnose der Ereignisprotokolle<br />
Prüfen des <strong>in</strong>ternen Status<br />
Prüfen des Systemstartstatus
24 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Abbildung 1.27 Das Tool Systemstartreparatur<br />
Sobald die Systemstartreparatur diese Tests abgeschlossen und den Datenträger repariert hat,<br />
zeigt sie die Diagnose der Systemstartfehler an.<br />
F<strong>in</strong>det die Systemstartreparatur ke<strong>in</strong>e Fehler, können Sie sich bei Ihrer Problembehandlung<br />
anderen Systemkomponenten zuwenden, etwa dem Hardware-RAM oder der Festplattenhardware.<br />
Untersuchen von RAM-Fehlern mit der <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose<br />
Defekte im RAM, das <strong>in</strong> e<strong>in</strong>em Computer e<strong>in</strong>gebaut ist, s<strong>in</strong>d häufig die Ursache für Systemfehler.<br />
Arbeitsspeicherprobleme können verh<strong>in</strong>dern, dass <strong>W<strong>in</strong>dows</strong> überhaupt startet, aber<br />
auch unvorhersagbare Abbruchfehler auslösen, während <strong>W<strong>in</strong>dows</strong> läuft. Probleme im Bereich<br />
des Arbeitsspeichers lösen oft sporadische Fehler aus. Ohne e<strong>in</strong> spezielles Diagnoseprogramm<br />
s<strong>in</strong>d sie schwierig zu diagnostizieren. Für den Fall, dass Sie Arbeitsspeicherdefekte<br />
als Ursache für e<strong>in</strong> Computerproblem im Verdacht haben, steht Ihnen <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
e<strong>in</strong> spezielles Diagnosedienstprogramm zur Verfügung, um den Arbeitsspeicher Ihres Computers<br />
zu testen: die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose.<br />
Die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose muss ausgeführt werden, während das Betriebssystem nicht<br />
läuft, aber es stehen mehrere Wege zur Verfügung, das Tool auf e<strong>in</strong>em System zu starten, das<br />
unter <strong>W<strong>in</strong>dows</strong> 7 läuft. In der <strong>W<strong>in</strong>dows</strong>-Benutzeroberfläche können Sie die Ausführung des<br />
Tools planen, sodass es beim nächsten Systemstart ausgeführt wird. Sie können das Tool<br />
auch über das Menü des <strong>W<strong>in</strong>dows</strong>-Start-Managers oder die Systemwiederherstellungsoptionen<br />
starten. Alle drei Methoden werden im folgenden Abschnitt beschrieben.<br />
Planen der <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose für den nächsten Systemstart<br />
Sie können das <strong>W<strong>in</strong>dows</strong>-Speicherdiagnosetool zwar nicht ausführen, während <strong>W<strong>in</strong>dows</strong><br />
läuft, aber Sie können die Aufgabenplanung von <strong>W<strong>in</strong>dows</strong> so konfigurieren, dass das Dienstprogramm<br />
automatisch ausgeführt wird, sobald das System das nächste Mal startet. Klicken<br />
Sie dazu im Menü Verwaltung auf <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose. Stattdessen können Sie auch<br />
im Suchfeld des Startmenüs mdsched e<strong>in</strong>geben, Mdsched aus der Programmliste auswählen<br />
und die EINGABETASTE drücken. Bei beiden Methoden wird das Fenster <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose<br />
geöffnet (Abbildung 1.28).
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von <strong>W<strong>in</strong>dows</strong> 7 25<br />
Abbildung 1.28 Festlegen, wann die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose ausgeführt wird<br />
In diesem Fenster können Sie auswählen, ob der Computer sofort neu gestartet und der Arbeitsspeicher<br />
getestet wird oder ob dies erledigt wird, sobald Sie den Computer das nächste<br />
Mal starten.<br />
Starten der <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose im <strong>W<strong>in</strong>dows</strong>-Start-Manager<br />
Wenn Sie die Speicherdiagnose ausführen wollen, <strong>W<strong>in</strong>dows</strong> aber noch nicht läuft, können<br />
Sie das <strong>W<strong>in</strong>dows</strong>-Speicherdiagnosetool im <strong>W<strong>in</strong>dows</strong>-Start-Manager auswählen.<br />
Der <strong>W<strong>in</strong>dows</strong>-Start-Manager ist e<strong>in</strong> Feature, mit dem Sie e<strong>in</strong> Betriebssystem auswählen,<br />
sofern mehrere auf dem lokalen Computer <strong>in</strong>stalliert s<strong>in</strong>d. Wenn Sie nur e<strong>in</strong> Betriebssystem<br />
<strong>in</strong>stalliert haben, ersche<strong>in</strong>t der <strong>W<strong>in</strong>dows</strong>-Start-Manager normalerweise nicht. Sie können<br />
aber erzw<strong>in</strong>gen, dass der <strong>W<strong>in</strong>dows</strong>-Start-Manager angezeigt wird, <strong>in</strong>dem Sie beim Start des<br />
Systems wiederholt die LEERTASTE drücken.<br />
Abbildung 1.29 Starten der <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose im <strong>W<strong>in</strong>dows</strong>-Start-Manager
26 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Warten Sie, bis der <strong>W<strong>in</strong>dows</strong>-Start-Manager ersche<strong>in</strong>t, und drücken Sie dann die TABU-<br />
LATORTASTE, um statt <strong>W<strong>in</strong>dows</strong> 7 den E<strong>in</strong>trag <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose auszuwählen<br />
(Abbildung 1.29). Drücken Sie nun die E<strong>in</strong>gabetaste, um das Diagnosetool auszuführen.<br />
Starten der <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose <strong>in</strong> den Systemwiederherstellungsoptionen<br />
Die dritte Möglichkeit, das <strong>W<strong>in</strong>dows</strong>-Speicherdiagnosetool zu starten, führt über die Systemwiederherstellungsoptionen.<br />
Wie Systemstartreparatur steht auch <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose<br />
als Option auf der Seite Wählen Sie e<strong>in</strong> Wiederherstellungstool aus zur Verfügung (Abbildung<br />
1.30).<br />
Abbildung 1.30 Auswählen des Tools <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose<br />
Abbildung 1.31 Die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose führt <strong>in</strong> der Standarde<strong>in</strong>stellung<br />
zwei Durchläufe aus
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von <strong>W<strong>in</strong>dows</strong> 7 27<br />
Ausführen der <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose<br />
Unabhängig davon, auf welchem Weg Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose starten, beg<strong>in</strong>nt<br />
das Tool sofort nach dem Start damit, den Arbeitsspeicher zu testen (Abbildung 1.31).<br />
Mit der Taste F1 öffnen Sie die Seite <strong>W<strong>in</strong>dows</strong>-Arbeitsspeicherdiagnosetool – Optionen<br />
(Abbildung 1.32).<br />
Abbildung 1.32 Optionen für die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose<br />
Auf dieser Seite haben Sie die Auswahl zwischen drei Teststufen: M<strong>in</strong>imal, Standard und<br />
Erweitert. Normalerweise wird die E<strong>in</strong>stellung Standard verwendet; sie führt 8 Testarten<br />
aus. M<strong>in</strong>imal führt dagegen nur 3 Arten von Speichertests aus, die E<strong>in</strong>stellung Erweitert 17.<br />
Bei allen Stufen werden die Tests <strong>in</strong> der Standarde<strong>in</strong>stellung zweimal durchlaufen. Sie können<br />
stattdessen e<strong>in</strong>e beliebige Zahl von Durchläufen von 1 bis 99 e<strong>in</strong>stellen.<br />
Praxistipp<br />
J.C. Mack<strong>in</strong><br />
Es ist verlockend zu glauben, dass Sie lediglich die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose <strong>in</strong> ihren<br />
Standarde<strong>in</strong>stellungen auszuführen brauchen, um herauszuf<strong>in</strong>den, ob e<strong>in</strong> RAM-Modul<br />
ersetzt werden muss. In Wirklichkeit kommt es durchaus vor, dass e<strong>in</strong> e<strong>in</strong>zelner Schaltkreis,<br />
der im RAM Daten speichert, nur kurzzeitig Fehler produziert. Selten auftretende<br />
Fehler im Hardware-RAM können sporadische Abbruchfehler auslösen, ohne dass oberflächliche<br />
Diagnosetests die Fehler aufdecken.<br />
Die Standarde<strong>in</strong>stellungen der <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose eignen sich für e<strong>in</strong>e Rout<strong>in</strong>ewartung.<br />
Aber wenn bei e<strong>in</strong>em Computer aus unerf<strong>in</strong>dlichen Gründen Abbruchfehler auftreten,<br />
sollten Sie gründlichere Tests ausführen, die viele Stunden laufen. Denken Sie auch<br />
daran, dass die Tests umso gründlicher se<strong>in</strong> müssen, je seltener die Fehler auftreten.
28 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Sobald die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose ihre Tests abgeschlossen hat, wird <strong>W<strong>in</strong>dows</strong> gestartet.<br />
Auf dem Desktop zeigt <strong>W<strong>in</strong>dows</strong> e<strong>in</strong>e Benachrichtigung mit den Testergebnissen an (Abbildung<br />
1.33). Die zugehörigen Ereignisse f<strong>in</strong>den Sie im Systemereignisprotokoll unter der<br />
Quelle MemoryDiagnosticsResults (Ereignis-ID 1201).<br />
Abbildung 1.33 E<strong>in</strong>e Benachrichtigungsmeldung<br />
für die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose<br />
Falls Sie e<strong>in</strong>en Speicherfehler gefunden haben, müssen Sie das betroffene RAM-Modul unbed<strong>in</strong>gt<br />
austauschen. Wenn der Computer mehrere RAM-Module hat und Sie nicht sicher<br />
s<strong>in</strong>d, welches Modul oder welche Module defekt s<strong>in</strong>d, sollten Sie bis auf e<strong>in</strong>es alle Module<br />
entfernen. Führen Sie dann erneut die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose aus, um zu prüfen, ob das<br />
Modul e<strong>in</strong>en Defekt hat. Bauen Sie dieses Modul anschließend aus, setzen Sie das zweite<br />
e<strong>in</strong> und starten Sie wieder die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose. Wiederholen Sie diesen Vorgang<br />
für alle RAM-Module des Computers, bis Sie alle defekten Module gefunden haben.<br />
Treten nach dem Austausch des RAMs weiterh<strong>in</strong> Probleme auf, hat das Problem wahrsche<strong>in</strong>lich<br />
e<strong>in</strong>e andere Ursache. Zum Beispiel können hohe Temperaturen (Notebooks s<strong>in</strong>d dafür<br />
besonders anfällig) dazu führen, dass RAM unzuverlässig wird. Die Computerhersteller<br />
wählen zwar üblicherweise Arbeitsspeicher aus, der auch bei höheren Temperaturen ke<strong>in</strong>e<br />
Probleme verursacht, aber wenn RAM-Module anderer Hersteller nachgerüstet wurden,<br />
erfüllen sie unter Umständen nicht dieselben Spezifikationen und verursachen Fehler. Neben<br />
Wärme s<strong>in</strong>d auch elektrische Störungen durch andere Komponenten <strong>in</strong>nerhalb des Computers<br />
e<strong>in</strong>e mögliche Fehlerquelle. Und schließlich sollten Sie daran denken, dass Defekte bei<br />
Motherboard oder Prozessor gelegentlich zu Fehlern bei der Kommunikation mit dem<br />
Arbeitsspeicher führen, was dann wie e<strong>in</strong> RAM-Defekt aussieht.<br />
Behandeln von Festplattenproblemen mit Chkdsk<br />
Chkdsk ist e<strong>in</strong> Tool, das automatisch nach Problemen bei Datenträgervolumes sucht und sie<br />
repariert. Dazu gehören fehlerhafte Sektoren, verlorene Cluster, querverbundene Dateien<br />
und Verzeichnisfehler. Sie können Chkdsk entweder <strong>in</strong> <strong>W<strong>in</strong>dows</strong> oder eigenständig ausführen,<br />
aber wenn Sie das Systemvolume prüfen wollen, müssen Sie das Tool ausführen,<br />
während <strong>W<strong>in</strong>dows</strong> nicht läuft. In diesem Fall können Sie die Ausführung des Tools so planen,<br />
dass es beim nächsten <strong>W<strong>in</strong>dows</strong>-Start läuft (wie bei der <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose).<br />
H<strong>in</strong>weis Problembehandlung mit Chkdsk<br />
Festplattenfehler s<strong>in</strong>d e<strong>in</strong>e häufige Ursache für Softwareprobleme. Beispielsweise können<br />
beschädigte Sektoren auf e<strong>in</strong>er Festplatte zu Abbruchfehlern, e<strong>in</strong>frierenden Systemen oder<br />
anderen Fehlern führen. Wenn Sie Probleme untersuchen, die vermutlich nicht auf e<strong>in</strong>e kürzliche<br />
Systemänderung zurückzuführen s<strong>in</strong>d, sollten Sie Ihre Datenträger immer mit Chkdsk<br />
auf Fehler untersuchen.
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von <strong>W<strong>in</strong>dows</strong> 7 29<br />
Der Name Chkdsk leitet sich aus dem Namen der Befehlszeilenversion des Tools ab, aber<br />
Sie können Chkdsk auch über die grafische Benutzeroberfläche starten. Öffnen Sie dazu die<br />
Eigenschaften des Volumes, das Sie überprüfen wollen, und klicken Sie auf die Registerkarte<br />
Tools. Klicken Sie dort auf die Schaltfläche Jetzt prüfen (Abbildung 1.34).<br />
Abbildung 1.34 Ausführen von Chkdsk <strong>in</strong> <strong>W<strong>in</strong>dows</strong><br />
Daraufh<strong>in</strong> öffnet sich das Dialogfeld Datenträger überprüfen (Abbildung 1.35). Hier legen<br />
Sie fest, ob sowohl Dateisystemfehler als auch fehlerhafte Sektoren repariert werden oder<br />
nur Dateisystemfehler. Klicken Sie auf Starten, wenn Sie die gewünschten E<strong>in</strong>stellungen<br />
gewählt haben.<br />
Abbildung 1.35 Optionen für Chkdsk<br />
Sofern Sie das Systemvolume ausgewählt haben, erhalten Sie die Meldung aus Abbildung<br />
1.36. Sie werden dar<strong>in</strong> <strong>in</strong>formiert, dass die Festplatte auf Fehler überprüft wird,<br />
sobald Sie Ihren Computer zum nächsten Mal starten.
30 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Abbildung 1.36 Planen der Ausführung von Chkdsk<br />
Schnelltest<br />
In welchem Fall müssen Sie Chkdsk offl<strong>in</strong>e ausführen?<br />
Antwort zum Schnelltest<br />
Wenn die Festplatte, die Sie überprüfen, der Systemdatenträger ist.<br />
Behandeln von Festplattenproblemen mit der Defragmentierung<br />
Unter Fragmentierung versteht man die immer stärkere Zerteilung der Daten auf e<strong>in</strong>er Festplatte,<br />
sodass zusammengehörige Daten nach längerer Zeit nicht mehr <strong>in</strong> e<strong>in</strong>em Stück unmittelbar<br />
h<strong>in</strong>tere<strong>in</strong>ander liegen, sondern <strong>in</strong> kle<strong>in</strong>eren Fragmenten über die gesamte Festplatte<br />
verteilt s<strong>in</strong>d. Weil die Festplattenfragmentierung Ihren Computer langsamer macht, sollten<br />
Sie die Festplatten regelmäßig defragmentieren. Bei der Defragmentierung werden fragmentierte<br />
Daten so umsortiert, dass der Festplattenzugriff wieder effizienter abläuft. Die Defragmentierung<br />
wird <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 automatisch nach e<strong>in</strong>em e<strong>in</strong>gestellten Zeitplan ausgeführt<br />
(jeden Mittwoch um 1 Uhr nachts), aber Sie können Ihre Festplatten auch von Hand analysieren<br />
und defragmentieren.<br />
Gehen Sie folgendermaßen vor, um die Defragmentierung von Hand zu starten:<br />
1. Geben Sie Sie im Suchfeld des Startmenüs Defragmentierung e<strong>in</strong> und drücken Sie die<br />
EINGABETASTE, sobald der E<strong>in</strong>trag Defragmentierung <strong>in</strong> der Programmliste ausgewählt<br />
ist.<br />
Daraufh<strong>in</strong> öffnet sich das Fenster Defragmentierung.<br />
2. Wählen Sie im Feld Aktueller Status die Festplatte aus, die Sie defragmentieren wollen.<br />
3. Klicken Sie auf Datenträger analysieren, um festzustellen, ob die Festplatte defragmentiert<br />
werden muss.<br />
4. Sobald <strong>W<strong>in</strong>dows</strong> mit der Analyse der Festplatte fertig ist, wird der Prozentsatz der Fragmentierung<br />
<strong>in</strong> der Spalte Zuletzt ausgeführt aufgelistet. Sofern die Zahl 10% übersteigt,<br />
sollten Sie die Festplatte defragmentieren.<br />
5. Klicken Sie auf Datenträger defragmentieren, um die Festplatte zu defragmentieren.<br />
Die Defragmentierung kann von wenigen M<strong>in</strong>uten bis zu mehreren Stunden dauern,<br />
abhängig von Größe und Fragmentierungsgrad der Festplatte. Sie können Ihren Computer<br />
weiter benutzen, während der Defragmentierungsvorgang läuft.
Prüfungstipp<br />
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von <strong>W<strong>in</strong>dows</strong> 7 31<br />
Die Defragmentierung wird <strong>in</strong> den Standarde<strong>in</strong>stellungen von <strong>W<strong>in</strong>dows</strong> 7 automatisch ausgeführt.<br />
Übung Problembehandlung <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
In dieser Übung führen Sie e<strong>in</strong> Problembehandlungsmodul <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 aus und sehen sich<br />
das Skript an, das dieses Problembehandlungsmodul steuert. Dann führen Sie das Systemstartreparaturtool<br />
aus und sehen sich die Ergebnisse an.<br />
Übung 1 Ausführen e<strong>in</strong>es <strong>W<strong>in</strong>dows</strong> 7-Problembehandlungsmoduls<br />
In dieser Übung führen Sie das Problembehandlungsmodul Wiedergeben von Audiodateien<br />
aus. Dann wechseln Sie <strong>in</strong> den Ordner C:\<strong>W<strong>in</strong>dows</strong>\Diagnostics\System und sehen sich den<br />
Inhalt des <strong>W<strong>in</strong>dows</strong> PowerShell-Skripts an, das das Problembehandlungspaket für dieses<br />
Problembehandlungsmodul bildet.<br />
1. Melden Sie sich als Adm<strong>in</strong>istrator an e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Computer an.<br />
2. Öffnen Sie die Systemsteuerung und klicken Sie auf System und Sicherheit.<br />
3. Klicken Sie <strong>in</strong> der Kategorie Wartungscenter auf Problembehandlung für allgeme<strong>in</strong>e<br />
Computerprobleme (geme<strong>in</strong>t s<strong>in</strong>d häufiger vorkommende Computerprobleme).<br />
4. Klicken Sie auf der Seite Computerprobleme behandeln auf Hardware und Sound.<br />
5. Klicken Sie auf der Seite Problembehandlung – Hardware und Sound auf Wiedergeben<br />
von Audiodateien.<br />
Daraufh<strong>in</strong> öffnet sich die erste Seite des Problembehandlungsmoduls Wiedergeben von<br />
Audiodateien.<br />
6. Klicken Sie auf Erweitert.<br />
Das Kontrollkästchen Reparaturen automatisch anwenden ist <strong>in</strong> der Standarde<strong>in</strong>stellung<br />
aktiviert.<br />
7. Klicken Sie auf Weiter.<br />
8. Der Assistent Wiedergeben von Audiodateien sucht nach Problemen und versucht, gefundene<br />
Probleme zu beseitigen.<br />
9. Warten Sie, bis der Assistent fertig ist, und klicken Sie dann auf Ausführliche Informationen<br />
anzeigen.<br />
10. Lesen Sie sich den Problembehandlungsbericht durch.<br />
11. Klicken Sie auf Weiter und dann auf Schließen.<br />
12. Wechseln Sie im <strong>W<strong>in</strong>dows</strong>-Explorer zum Ordner C:\<strong>W<strong>in</strong>dows</strong>\Diagnostics\System.<br />
Dieser Ordner enthält die lokal <strong>in</strong>stallierten Problembehandlungspakete, die steuern,<br />
welche Problembehandlungsmodule im System zur Verfügung stehen.<br />
13. Öffnen Sie den Ordner Audio.<br />
Dieser Ordner enthält die <strong>W<strong>in</strong>dows</strong> PowerShell-Skripts, die ausgeführt werden, wenn<br />
Sie das Problembehandlungsmodul Wiedergeben von Audiodateien starten.
32 Kapitel 1: Beseitigen von Hardwarefehlern<br />
14. Sehen Sie sich an, welche <strong>W<strong>in</strong>dows</strong> PowerShell-Skripts <strong>in</strong> diesem Ordner vorhanden<br />
s<strong>in</strong>d.<br />
Die Skripts werden benutzt, um sehr detaillierte Konfigurations- und Statusdaten vom<br />
lokalen System abzurufen.<br />
15. Schließen Sie alle offenen Fenster.<br />
Übung 2 Ausführen der Systemstartreparatur<br />
In dieser Übung starten Sie den Computer und öffnen das Menü Erweiterte Startoptionen<br />
mit der Taste F8. In diesem Menü wählen Sie die Option Computer reparieren aus. In der<br />
<strong>W<strong>in</strong>dows</strong>-Wiederherstellungsumgebung, die daraufh<strong>in</strong> geöffnet wird, führen Sie den Assistenten<br />
Systemwiederherstellungsoptionen aus und wählen das Tool Systemstartreparatur.<br />
1. Starten Sie Ihren <strong>W<strong>in</strong>dows</strong> 7-Computer neu, sofern er bereits läuft, andernfalls schalten<br />
Sie ihn e<strong>in</strong>.<br />
2. Drücken Sie die Taste F8, sobald der Computer startet, und halten Sie die Taste gedrückt.<br />
Das Menü Erweiterte Startoptionen ersche<strong>in</strong>t.<br />
3. Stellen Sie sicher, dass Computer reparieren ausgewählt ist, und drücken Sie die<br />
EINGABETASTE.<br />
Die erste Seite des Assistenten Systemwiederherstellungsoptionen ersche<strong>in</strong>t.<br />
4. Stellen Sie sicher, dass <strong>in</strong> der Dropdownliste Wählen Sie e<strong>in</strong>e Tastature<strong>in</strong>gabemethode<br />
aus Ihre gewünschte Tastature<strong>in</strong>gabemethode ausgewählt ist, und klicken Sie auf Weiter.<br />
5. Geben Sie auf der zweiten Seite des Assistenten Systemwiederherstellungsoptionen die<br />
Anmelde<strong>in</strong>formationen e<strong>in</strong>es lokalen Adm<strong>in</strong>istrators e<strong>in</strong> und klicken Sie auf OK.<br />
Die Seite Wählen Sie e<strong>in</strong> Wiederherstellungstool aus wird geöffnet.<br />
6. Klicken Sie auf Systemstartreparatur.<br />
Die Systemstartreparatur startet und sucht nach Fehlern.<br />
7. Warten Sie, bis die Systemstartreparatur ihre Prüfungen beendet hat, und klicken Sie<br />
dann auf Diagnose- und Reparaturdetails anzeigen.<br />
8. Sehen Sie sich das Diagnose- und Reparaturprotokoll der Systemstartreparatur an.<br />
9. Klicken Sie auf Schließen.<br />
10. Klicken Sie auf Fertig stellen.<br />
11. Klicken Sie auf Herunterfahren.<br />
Zusammenfassung der Lektion<br />
Das Wartungscenter ist e<strong>in</strong> guter Ausgangspunkt für die Problembehandlung.<br />
<strong>W<strong>in</strong>dows</strong> 7 br<strong>in</strong>gt viele <strong>in</strong>tegrierte Problembehandlungsmodule mit, die zur neuen<br />
erweiterbaren <strong>W<strong>in</strong>dows</strong>-Problembehandlungsplattform gehören.<br />
Die Zuverlässigkeitsüberwachung <strong>in</strong>formiert Sie über die relative Stabilität e<strong>in</strong>es<br />
Systems während der letzten Wochen.
Lektion 1: Arbeiten mit den Hardwareproblembehandlungstools von <strong>W<strong>in</strong>dows</strong> 7 33<br />
Häufige Startprobleme können Sie mit dem Systemstartreparaturtool beseitigen, das <strong>in</strong><br />
der Liste der Systemwiederherstellungsoptionen der <strong>W<strong>in</strong>dows</strong>-Wiederherstellungsumgebung<br />
zur Verfügung steht.<br />
Verwenden Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose, um das Hardware-RAM auf Fehler zu<br />
prüfen.<br />
Verwenden Sie Chkdsk, um e<strong>in</strong>e Hardwarefestplatte auf Fehler zu prüfen.<br />
Verwenden Sie die Defragmentierung, um e<strong>in</strong>e physische Festplatte auf Fragmentierung<br />
zu prüfen.<br />
Lernzielkontrolle<br />
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 1,<br />
»Arbeiten mit den Hardwareproblembehandlungstools von <strong>W<strong>in</strong>dows</strong> 7«, überprüfen. Die<br />
Fragen f<strong>in</strong>den Sie (<strong>in</strong> englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch<br />
auf dem Computer im Rahmen e<strong>in</strong>es Übungstests beantworten.<br />
H<strong>in</strong>weis Die Antworten<br />
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglichkeiten<br />
richtig oder falsch s<strong>in</strong>d, f<strong>in</strong>den Sie im Abschnitt »Antworten« am Ende dieses Buchs.<br />
1. Sie arbeiten als <strong>Support</strong>techniker für e<strong>in</strong> großes <strong>Unternehmen</strong>. Der Helpdesk bittet Sie<br />
um Unterstützung bei e<strong>in</strong>em Computerproblem. Der betroffene Computer läuft unter<br />
<strong>W<strong>in</strong>dows</strong> 7, und das System friert immer öfter e<strong>in</strong>. Das Helpdeskpersonal teilt Ihnen mit,<br />
dass abgesehen von e<strong>in</strong>em kritischen <strong>W<strong>in</strong>dows</strong>-Update ke<strong>in</strong>e Änderungen an der Software<br />
vorgenommen wurden, seit das Problem zum ersten Mal auftauchte. Außerdem hat<br />
e<strong>in</strong> gründlicher Virenscan ke<strong>in</strong>e Malware auf dem System gefunden.<br />
Welches der folgenden Tools deckt wahrsche<strong>in</strong>lich e<strong>in</strong>en Fehler bei dem System auf, das<br />
zum geschilderten Problem passt?<br />
A. Chkdsk<br />
B. Defragmentierung<br />
C. Systemstartreparatur<br />
D. Geräte-Manager<br />
2. Sie führen e<strong>in</strong>e Problembehandlung für e<strong>in</strong>en Systemfehler durch. Wenn Sie den Computer<br />
e<strong>in</strong>schalten, wird e<strong>in</strong>e Meldung angezeigt, dass die Partitionstabelle ungültig ist.<br />
Sie haben festgestellt, dass das System nur e<strong>in</strong> e<strong>in</strong>ziges Volume enthält und <strong>W<strong>in</strong>dows</strong> 7<br />
auf diesem Volume <strong>in</strong>stalliert ist.<br />
Welches der folgenden Tools sollten Sie zuerst verwenden, um das gemeldete Problem<br />
zu behandeln?<br />
A. Chkdsk<br />
B. Zuverlässigkeitsüberwachung<br />
C. <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose<br />
D. Systemstartreparatur
34 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten<br />
Während Lektion 1 viele Tools vorgestellt hat, die <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 für die Behandlung von<br />
Hardwareproblemen zur Verfügung stehen, beschreibt diese Lektion e<strong>in</strong>en konkreten Satz<br />
Strategien für die Problembehandlung bestimmter Komponenten.<br />
Wenn Sie allgeme<strong>in</strong>e Computerfehler untersuchen, sollten Sie zuerst das Problem e<strong>in</strong>kreisen<br />
und feststellen, ob es sich um e<strong>in</strong> Hardware- oder e<strong>in</strong> Softwareproblem handelt. Sobald Sie<br />
vermuten, dass defekte Hardware für den Computerfehler verantwortlich ist, können Sie Ihre<br />
Problembehandlung auf e<strong>in</strong>e bestimmte Hardwarekomponente konzentrieren (etwa das<br />
Motherboard oder die Festplatte), um festzustellen, ob diese Komponente die Ursache für<br />
den Fehler ist. Um zu wissen, welche Komponente Sie zuerst untersuchen sollten, müssen<br />
Sie die Abläufe beim Startvorgang des Computers kennen. Außerdem müssen Sie wissen, an<br />
welchen typischen Symptomen Sie das Versagen e<strong>in</strong>er bestimmten Komponente erkennen.<br />
In dieser Lektion lernen Sie grundlegende Abläufe für die Problembehandlung der vier<br />
Hardwarekomponenten kennen, die am häufigsten für Computerfehler verantwortlich s<strong>in</strong>d:<br />
Netzteil, Motherboard, RAM und Festplatten. Dabei erfahren Sie auch, durch welche Symptome<br />
sich e<strong>in</strong> Defekt dieser Komponententypen verrät.<br />
Am Ende dieser Lektion werden Sie <strong>in</strong> der Lage se<strong>in</strong>, die folgenden Aufgaben auszuführen:<br />
Diagnostizieren von Hardwarefehlern mithilfe verschiedener <strong>W<strong>in</strong>dows</strong> 7-Tools<br />
Veranschlagte Zeit für diese Lektion: 30 M<strong>in</strong>uten<br />
Unterscheiden von Hardware- und Softwarefehlern<br />
Wenn bei e<strong>in</strong>em Computersystem e<strong>in</strong> Fehler auftritt, sollten Sie zuerst herausf<strong>in</strong>den, ob<br />
Software- oder Hardwarefehler die Ursache s<strong>in</strong>d. Das ist nicht immer e<strong>in</strong>fach. Manche<br />
Hardwarefehler s<strong>in</strong>d zwar leicht von Softwarefehlern zu unterscheiden, aber andere (beispielsweise<br />
e<strong>in</strong> defektes RAM-Modul) zeigen Symptome, die denen von Softwarefehlern<br />
zum Verwechseln ähnlich s<strong>in</strong>d.<br />
Im Allgeme<strong>in</strong>en gilt die folgende Regel aber für Fehler, die durch defekte Hardware verursacht<br />
werden.<br />
E<strong>in</strong> Systemfehler wird durch e<strong>in</strong> Hardwareproblem verursacht, wenn e<strong>in</strong>es der folgenden<br />
Symptome auftritt:<br />
Der Fehler tritt auf, bevor das Betriebssystem geladen wird.<br />
Der Fehler tritt sporadisch auf, ohne dass e<strong>in</strong> Zusammenhang mit bestimmten Softwareaktivitäten<br />
zu erkennen ist.<br />
Wenn Sie vermuten, dass e<strong>in</strong> Systemfehler durch e<strong>in</strong> Hardwareproblem verursacht wird,<br />
können Sie die Informationen aus dieser Lektion <strong>in</strong> Komb<strong>in</strong>ation mit den <strong>in</strong> Lektion 1 beschriebenen<br />
Tools nutzen, um die konkrete Natur des Problems zu diagnostizieren.<br />
Ablauf des Systemstarts<br />
Funktioniert e<strong>in</strong> Hardwaregerät nicht, zeigt sich dieses Problem oft schon, bevor das Betriebssystem<br />
startet. Wenn Sie Hardwareprobleme untersuchen, ist es daher wichtig, dass Sie<br />
wissen, welche Schritte <strong>in</strong>nerhalb des Systemstartvorgangs dem Start des Betriebssystems
Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten 35<br />
vorangehen. Können Sie beobachten, an welcher Stelle der Fehler auftritt, hilft Ihnen die<br />
Kenntnis der Abläufe, die Komponente ausf<strong>in</strong>dig zu machen, die den Fehler verursacht.<br />
Die folgenden Schritte fassen den Systemstart bis zum Laden des Betriebssystems zusammen:<br />
1. E<strong>in</strong>schalten<br />
Während dieser Phase speist das Netzteil Strom <strong>in</strong> das Motherboard und die CPU (Prozessor)<br />
e<strong>in</strong>.<br />
2. Ausführen von Anweisungen, die im BIOS gespeichert s<strong>in</strong>d<br />
Sobald die CPU mit Strom versorgt wird, beg<strong>in</strong>nt sie, die Anweisungen abzuarbeiten, die<br />
im BIOS gespeichert s<strong>in</strong>d. Das BIOS ist Firmware oder Low-Level-Software, die eng<br />
mit der Hardware zusammenarbeitet. Das BIOS e<strong>in</strong>es Computers enthält den prozessorabhängigen<br />
Code, der die grundlegenden Hardwarefunktionen des Computers testet und<br />
die Kontrolle an das Systemstartgerät übergibt.<br />
Außerdem enthält das BIOS Softwareschnittstellen zur Hardware, die es dem Betriebssystem<br />
ermöglichen, Features wie Energieverwaltung, Virtualisierung, Hot-Swapp<strong>in</strong>g<br />
und Start von USB-Geräten (Universal Serial Bus) anzubieten.<br />
H<strong>in</strong>weis Extensible Firmware Interface (EFI)<br />
EFI ist e<strong>in</strong> erweiterter Nachfolger für das BIOS. In manchen neuen Computern ist es<br />
bereits anzutreffen. Unabhängig davon, ob e<strong>in</strong> Computer BIOS oder EFI als Firmware<br />
verwendet, ist die grundlegende Rolle dieser Firmware für den Startvorgang des Computers<br />
dieselbe.<br />
Während der Startphase werden zwei grundlegende Schritte durch die Anweisungen im<br />
BIOS ausgeführt:<br />
a. Durchführen des POST (Power On Self Test)<br />
Der POST ist die Hardwareüberprüfung, die das BIOS ausführt, sobald der Computer<br />
e<strong>in</strong>geschaltet wird. Erkennt der POST e<strong>in</strong>en Hardwarefehler, etwa e<strong>in</strong> defektes<br />
Anzeigegerät, meldet er den Fehler durch e<strong>in</strong>e Tonfolge, die über den Typ des erkannten<br />
Fehlers Aufschluss gibt.<br />
b. Lesen von Befehlen aus dem Systemstartgerät<br />
Die zweite Funktion, die das BIOS ausführt, besteht dar<strong>in</strong>, die Kontrolle an das Systemstartgerät<br />
(boot device) zu übergeben und die Befehle zu lesen, die auf diesem<br />
Systemstartgerät gespeichert s<strong>in</strong>d. Das Systemstartgerät sollte das Gerät se<strong>in</strong>, auf<br />
dem das Betriebssystem gespeichert ist. Üblicherweise ist das e<strong>in</strong>e <strong>in</strong>terne Festplatte,<br />
aber Sie können im BIOS-Setupprogramm e<strong>in</strong>stellen, <strong>in</strong> welcher Reihenfolge das<br />
BIOS die verschiedenen Geräte nach gültigem Startcode durchsuchen soll.<br />
3. Laden des Betriebssystems vom Systemstartgerät<br />
Sofern der Systemstartvorgang diesen Punkt nicht erreicht, kann das Problem durch die<br />
falsch konfigurierte Auswahl des Systemstartgeräts im BIOS-Setupprogramm, e<strong>in</strong>en beschädigten<br />
MBR (Master Boot Record) auf der Festplatte, e<strong>in</strong>en defekten Treiber (meist<br />
bei e<strong>in</strong>em SCSI-Festplattenlaufwerk) oder e<strong>in</strong>en Hardwaredefekt verursacht werden.<br />
Stürzt e<strong>in</strong> Computer nach dem Zeitpunkt ab, an dem das Laden des Betriebssystems vom<br />
Systemstartgerät beg<strong>in</strong>nt, ist die Ursache wahrsche<strong>in</strong>lich eher e<strong>in</strong> Software- als e<strong>in</strong> Hard-
36 Kapitel 1: Beseitigen von Hardwarefehlern<br />
wareproblem. Aber das ist nicht immer so; durch Hardwaredefekte ausgelöste Abstürze<br />
können jederzeit auftreten.<br />
Prüfungstipp<br />
Unter Umständen müssen Sie Ihr BIOS aktualisieren, damit Sie bestimmte Features wie den<br />
Start von e<strong>in</strong>em USB- oder Netzwerkgerät nutzen können.<br />
H<strong>in</strong>weis Simple Strategie für die Problembehandlung<br />
Führen Sie im Rahmen e<strong>in</strong>er Problembehandlung immer zuerst die ungefährlichste, billigste<br />
und e<strong>in</strong>fachste Aktion durch, die Ihnen hilft, die Ursache des Problems e<strong>in</strong>zukreisen oder zu<br />
identifizieren. Brauchen Sie danach weitere Informationen, um das Problem zu identifizieren,<br />
führen Sie die nächste Aktion durch, die am ungefährlichsten, billigsten und e<strong>in</strong>fachsten<br />
ist; das wiederholen Sie, bis das Problem e<strong>in</strong>deutig identifiziert ist.<br />
Behandeln von Netzteilproblemen<br />
Das Netzteil wandelt den Wechselstrom aus der Steckdose <strong>in</strong> Gleichstrom der Spannungen<br />
um, die von verschiedenen Computerkomponenten wie dem Motherboard benötigt werden.<br />
Der folgende Abschnitt beschreibt grundlegende Strategien für die Problembehandlung im<br />
Bereich der Stromversorgung.<br />
Vorsicht Ziehen Sie den Stromstecker ab, bevor Sie das Gehäuse Ihres Computers öffnen!<br />
Berühren Sie ke<strong>in</strong>e <strong>in</strong>ternen Komponenten, während e<strong>in</strong> Computer an die Steckdose angeschlossen<br />
ist. Sie könnten e<strong>in</strong>en elektrischen Schlag bekommen oder den Computer schwer<br />
beschädigen. Beachten Sie auch, dass die elektronischen Schaltkreise <strong>in</strong> e<strong>in</strong>em Computer<br />
sehr empf<strong>in</strong>dlich auf statische Elektrizität reagieren, selbst auf e<strong>in</strong>em Niveau, von dem e<strong>in</strong><br />
Mensch gar nichts bemerkt. Bevor Sie irgende<strong>in</strong>e Komponente berühren, sollten Sie sich<br />
immer erst erden, <strong>in</strong>dem Sie e<strong>in</strong> Metallteil <strong>in</strong> Ihrer Umgebung anfassen.<br />
Der Computer sche<strong>in</strong>t völlig tot zu se<strong>in</strong>. (Es bewegen sich ke<strong>in</strong>e Ventilatoren, es leuchten<br />
ke<strong>in</strong>e Lämpchen, es s<strong>in</strong>d ke<strong>in</strong>e Geräusche zu vernehmen oder Bewegungen zu sehen,<br />
wenn Sie ihn e<strong>in</strong>schalten.)<br />
1. Überprüfen Sie, ob die Steckdose <strong>in</strong> Ordnung ist.<br />
2. Überprüfen Sie, ob die Stromkabel richtig <strong>in</strong> die Steckdose, den Computer und das<br />
Motherboard e<strong>in</strong>gesteckt s<strong>in</strong>d. (Denken Sie daran, dass die meisten modernen Motherboards<br />
zwei Stromstecker benötigen.)<br />
3. Überprüfen Sie, ob e<strong>in</strong> <strong>in</strong>terner Stromschalter ausgeschaltet ist. Falls es e<strong>in</strong>en solchen<br />
Schalter gibt, er e<strong>in</strong>geschaltet ist und das Netzteil <strong>in</strong> e<strong>in</strong>em anderen Computer funktioniert,<br />
sollten Sie den Schalter austauschen.<br />
4. Sofern Ihr Netzteil e<strong>in</strong>en Spannungsumschalter hat, sollten Sie überprüfen, ob die<br />
richtige Spannung für Ihr Land e<strong>in</strong>gestellt ist.<br />
5. Ersetzen Sie das Netzteil, falls die bisherigen Schritte das Problem nicht beseitigen.
Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten 37<br />
Der Computer friert e<strong>in</strong>, bevor das Betriebssystem startet.<br />
1. Vergleichen Sie die Stromanforderungen Ihrer Geräte mit der Kapazität des Netzteils.<br />
Überprüfen Sie, ob das Netzteil genug Leistung für alle Geräte Ihres Computers liefert.<br />
Ist das nicht der Fall, müssen Sie das Netzteil durch e<strong>in</strong> leistungsfähigeres Modell ersetzen.<br />
2. Prüfen Sie mit e<strong>in</strong>em Multimeter, ob das Netzteil dem Computer stabil die richtigen<br />
Spannungen liefert. Ersetzen Sie andernfalls das Netzteil.<br />
Der Computer schaltet sich plötzlich ab, ohne dass e<strong>in</strong> Grund zu erkennen ist.<br />
1. Überprüfen Sie, ob sich der Netzteillüfter dreht. Falls nicht, können Sie sich darauf<br />
beschränken, den Netzteillüfter austauschen.<br />
2. Überprüfen Sie, ob der Lüfter auf dem Motherboard arbeitet. Ersetzen Sie diesen Lüfter,<br />
wenn nötig.<br />
3. Starten Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose, um Ihr RAM auf Hardwaredefekte zu überprüfen,<br />
wie <strong>in</strong> Lektion 1 dieses Kapitels beschrieben.<br />
4. Führen Sie die Diagnosesoftware für das Motherboard aus, um die Funktion des Motherboards<br />
zu überprüfen. Diese Software erhalten Sie vom Hardwarehersteller.<br />
5. Ersetzen Sie das gesamte Netzteil, falls die bisherigen Schritte das Problem nicht beseitigen.<br />
Das Netzteil gibt ständig laute Geräusche von sich.<br />
Ersetzen Sie das Netzteil.<br />
Behandeln von Problemen mit dem Motherboard<br />
Das Motherboard ist die Hauptkomponente des Computers. Es enthält die CPU oder CPUs,<br />
Steckplätze für RAM-Module, Erweiterungssteckplätze für andere Geräte und (bei den<br />
meisten modernen Motherboards) <strong>in</strong>tegrierte Komponenten und zugehörige Anschlüsse für<br />
Ethernet, Sound, Monitor und USB.<br />
Abbildung 1.37 zeigt e<strong>in</strong> modernes Motherboard mit <strong>in</strong>tegrierten Komponenten für Grafik,<br />
USB, Ethernet und Audio.<br />
Abbildung 1.37 Moderne Motherboards enthalten normalerweise<br />
<strong>in</strong>tegrierte Komponenten für Grafik, USB, Ethernet und Audio<br />
Der folgende Abschnitt beschreibt grundlegende Strategien für die Problembehandlung im<br />
Bereich des Motherboards.
38 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Beim E<strong>in</strong>schalten des Computers wird auf dem Monitor nichts angezeigt und es s<strong>in</strong>d<br />
ke<strong>in</strong>e Signaltöne zu hören.<br />
1. Entfernen Sie alle Peripheriegeräte, zum Beispiel externe Laufwerke und PC Cards, und<br />
versuchen Sie dann erneut, den Computer zu starten. Gel<strong>in</strong>gt das, können Sie versuchen,<br />
das Gerät zu isolieren, von dem das Problem verursacht wird. Schließen Sie dazu jeweils<br />
e<strong>in</strong> weiteres Gerät an und starten Sie den Computer neu, bis der Fehler erneut auftritt.<br />
Sobald Sie sehen, welches externe Gerät das Problem verursacht, können Sie sich an den<br />
Hersteller wenden und um Unterstützung für die weitere Problembehandlung bitten.<br />
2. Überprüfen Sie, ob der Monitor mit Strom versorgt wird und an den Computer angeschlossen<br />
ist.<br />
3. Überprüfen Sie, ob sich der Netzteillüfter dreht. Ist das nicht der Fall, müssen Sie mit<br />
der Problembehandlung für das Netzteil fortfahren.<br />
4. Stellen Sie sicher, dass alle erforderlichen Stromstecker an das Motherboard und andere<br />
Computerkomponenten angeschlossen s<strong>in</strong>d. (Denken Sie daran, dass die meisten modernen<br />
Motherboards zwei Stromstecker benötigen.)<br />
5. Überprüfen Sie, ob e<strong>in</strong> eventuell vorhandener Stromschalter e<strong>in</strong>geschaltet ist.<br />
6. Sofern Ihr Netzteil e<strong>in</strong>en Spannungsumschalter hat, sollten Sie überprüfen, ob die<br />
richtige Spannung für Ihr Land e<strong>in</strong>gestellt ist.<br />
7. Überprüfen Sie, ob das Motherboard richtig e<strong>in</strong>gebaut ist und die CPU fest im Sockel<br />
sitzt.<br />
8. Stellen Sie sicher, dass die RAM-Module fest <strong>in</strong> den richtigen Steckplätzen sitzen, wie<br />
im Handbuch des Motherboardherstellers angegeben.<br />
9. Führen Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose aus und ersetzen Sie bei Bedarf die defekten<br />
RAM-Module.<br />
10. Setzen Sie das BIOS auf se<strong>in</strong>e Standarde<strong>in</strong>stellungen zurück. (Wie das geht, ist im Handbuch<br />
für das Motherboard beschrieben. Sie können das BIOS auch zurücksetzen, <strong>in</strong>dem<br />
Sie die Batterie auf dem Motherboard 30 M<strong>in</strong>uten lang entfernen.)<br />
11. Prüfen Sie mithilfe des Handbuchs für das Motherboard, ob alle Jumper richtig gesetzt<br />
s<strong>in</strong>d.<br />
12. Ersetzen Sie die Grafikkarte, falls Ihr Computer ke<strong>in</strong>en <strong>in</strong>ternen Lautsprecher hat (und<br />
Sie deshalb ke<strong>in</strong>e Signaltöne hören können).<br />
13. Tauschen Sie das Netzteil aus.<br />
14. Tauschen Sie das Motherboard aus.<br />
Beim E<strong>in</strong>schalten des Computers hören Sie Signaltöne, aber das System startet nicht.<br />
1. Entfernen Sie alle Peripheriegeräte, zum Beispiel externe Laufwerke und PC Cards, und<br />
versuchen Sie dann erneut, den Computer zu starten. Gel<strong>in</strong>gt das, können Sie versuchen,<br />
das Gerät zu isolieren, von dem das Problem verursacht wird. Schließen Sie dazu jeweils<br />
e<strong>in</strong> weiteres Gerät an und starten Sie den Computer neu, bis der Fehler erneut auftritt.<br />
2. Schlagen Sie im Handbuch des Motherboards oder auf der Website des Herstellers nach,<br />
was die ausgegebenen Signaltöne bedeuten.<br />
3. Versuchen Sie, die Komponente zu reparieren, die durch die Signaltöne identifiziert wird.<br />
Dazu müssen Sie unter Umständen Stromkabel anschließen, Komponenten wie das RAM
Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten 39<br />
oder die CPU neu e<strong>in</strong>stecken, das BIOS zurücksetzen oder Jumper auf dem Motherboard<br />
umstecken.<br />
4. Tauschen Sie bei Bedarf die defekte Komponente aus, die durch die Signaltöne identifiziert<br />
wird.<br />
Der Computer schaltet sich immer wieder aus, sobald er e<strong>in</strong>ige M<strong>in</strong>uten gelaufen ist.<br />
1. Überprüfen Sie, ob sich der CPU-Lüfter auf dem Motherboard dreht. Ersetzen Sie ihn,<br />
wenn das nicht der Fall ist.<br />
2. Stellen Sie den Computer so auf, dass er nicht <strong>in</strong> e<strong>in</strong>er Warmluftblase steht. (Bei Notebooks<br />
ist das besonders problematisch.)<br />
Der Computer schaltet sich <strong>in</strong> nicht vorhersagbaren Abständen aus.<br />
1. Starten Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose, um Ihr RAM auf Hardwaredefekte zu überprüfen,<br />
wie <strong>in</strong> Lektion 1 dieses Kapitels beschrieben.<br />
2. Führen Sie die Diagnosesoftware für das Motherboard aus, um die Funktion des Motherboards<br />
zu überprüfen. Diese Software erhalten Sie vom Hardwarehersteller.<br />
3. Stellen Sie den Computer so auf, dass er nicht <strong>in</strong> e<strong>in</strong>er Warmluftblase steht. (Bei Notebooks<br />
ist das besonders problematisch.)<br />
Das Betriebssystem kann Energieverwaltung, Virtualisierung, USB- oder Netzwerkstart,<br />
Hot-Swapp<strong>in</strong>g oder andere Features nicht nutzen, obwohl sie von der Hardware<br />
unterstützt werden.<br />
Aktivieren Sie das gewünschte Feature im BIOS-Setupprogramm.<br />
Behandeln von RAM-Problemen<br />
Bei PCs ist das RAM (Random Access Memory) der nicht dauerhafte Arbeitsspeicher, der<br />
von Modulen wie beispielsweise DIMMs (Dual Inl<strong>in</strong>e Memory Module) zur Verfügung<br />
gestellt wird. In diesem Arbeitsspeicher werden relativ große Datenmengen so gespeichert,<br />
dass der Prozessor schnell darauf zugreifen kann. E<strong>in</strong>e wichtige Beschränkung des Computer-RAMs<br />
ist, dass alle Daten dar<strong>in</strong> verloren gehen, sobald es nicht mehr mit Strom versorgt<br />
wird.<br />
Das häufigste Symptom für e<strong>in</strong> Arbeitsspeicherproblem ist e<strong>in</strong> Systemabsturz oder e<strong>in</strong> Abbruchfehler<br />
<strong>in</strong> <strong>W<strong>in</strong>dows</strong>. Sollten derartige Fehler auftreten, erhalten Sie unter Umständen<br />
e<strong>in</strong>e Meldung, die explizit auf e<strong>in</strong> Arbeitsspeicherproblem h<strong>in</strong>weist. Arbeitsspeicherprobleme<br />
können aber auch verh<strong>in</strong>dern, dass <strong>W<strong>in</strong>dows</strong> überhaupt startet. Sofern Sie e<strong>in</strong>e Fehlermeldung<br />
sehen, die den Arbeitsspeicher betrifft, oder e<strong>in</strong> RAM-Defekt def<strong>in</strong>itiv als Ursache<br />
für Computerabstürze oder Systemstartfehler ausschließen wollen, sollten Sie folgendermaßen<br />
vorgehen:<br />
1. Führen Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose aus, wie <strong>in</strong> Lektion 1 dieses Kapitels beschrieben.<br />
2. Gehen Sie folgendermaßen vor, falls Fehler gefunden wurden oder nicht das gesamte<br />
<strong>in</strong>stallierte RAM erkannt wird:<br />
a. Stellen Sie sicher, dass die RAM-Module fest <strong>in</strong> den Sockeln stecken.<br />
b. Überprüfen Sie, ob die RAM-Module <strong>in</strong> den richtigen Sockeln stecken, wie im<br />
Handbuch des Motherboardherstellers angegeben.
40 Kapitel 1: Beseitigen von Hardwarefehlern<br />
c. Überprüfen Sie, ob das e<strong>in</strong>gebaute RAM den richtigen Typ hat, wie im Handbuch<br />
des Motherboardherstellers angegeben.<br />
d. Falls das Problem weiterh<strong>in</strong> besteht, sollten Sie alle Module ausbauen, die RAM-<br />
Sockel säubern, e<strong>in</strong> Modul <strong>in</strong> den ersten Sockel e<strong>in</strong>setzen und den Computer neu<br />
starten. Testen Sie auf diese Weise alle RAM-Module.<br />
Behandeln von Festplattenproblemen<br />
Technisch gesehen ist e<strong>in</strong> Festplattenlaufwerk e<strong>in</strong> Gerät zum dauerhaften Speichern von<br />
Daten auf rotierenden Magnetplatten. Die Technik ist zwar schon Jahrzehnte alt, aber auch<br />
heute noch der am häufigsten genutzte Speichertyp. Allmählich werden Festplattenlaufwerke<br />
allerd<strong>in</strong>gs durch andere Formen nicht-flüchtiger Speicher ersetzt, beispielsweise<br />
SSDs (Solid-State Drive).<br />
Der folgende Abschnitt beschreibt grundlegende Strategien für die Problembehandlung im<br />
Bereich der Festplatten.<br />
Sie hören e<strong>in</strong> lautes Sirren, Kreischen oder Klicken.<br />
1. Sichern Sie Ihre Daten. Das Festplattenlaufwerk könnte jeden Augenblick ausfallen.<br />
2. Tauschen Sie das Laufwerk aus.<br />
Das Betriebssystem startet nicht und Sie erhalten e<strong>in</strong>e Fehlermeldung, die so ähnlich<br />
aussieht wie e<strong>in</strong>e der folgenden:<br />
Hard disk error.<br />
Invalid partition table.<br />
A disk-read error occurred.<br />
Couldn’t f<strong>in</strong>d loader.<br />
1. Überprüfen Sie, ob das BIOS-Setupprogramm so konfiguriert ist, dass es vom Festplattenlaufwerk<br />
startet.<br />
2. Überprüfen Sie, ob das Festplattenlaufwerk e<strong>in</strong> Betriebssystem enthält.<br />
3. Führen Sie das Systemstartreparaturtool aus, wie <strong>in</strong> Lektion 1 dieses Kapitels beschrieben.<br />
4. Überprüfen Sie, ob die Stromleitung an das Festplattenlaufwerk angeschlossen ist.<br />
5. Überprüfen Sie, ob alle Jumper an Ihren Festplattenlaufwerken richtig konfiguriert s<strong>in</strong>d,<br />
wie im Handbuch des Herstellers angegeben.<br />
6. Versuchen Sie, die Festplatte aus e<strong>in</strong>em Systemabbild wiederherzustellen.<br />
7. Tauschen Sie das Festplattenlaufwerk aus.<br />
Das Betriebssystem startet, aber die Leistung wird im Lauf der Zeit immer schlechter.<br />
Führen Sie die Defragmentierung aus, wie <strong>in</strong> Lektion 1 dieses Kapitels beschrieben.<br />
Das Betriebssystem startet, aber Sie f<strong>in</strong>den H<strong>in</strong>weise, dass Daten beschädigt s<strong>in</strong>d.<br />
oder<br />
Das System friert gelegentlich e<strong>in</strong> und reagiert e<strong>in</strong>ige Zeit nicht.<br />
1. Führen Sie Chkdsk aus, wie <strong>in</strong> Lektion 1 dieses Kapitels beschrieben.<br />
2. Führen Sie die Diagnosesoftware des Festplattenherstellers aus, um die Funktion der<br />
Festplattenhardware zu testen.
Schnelltest<br />
Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten 41<br />
Ist die Festplatte oder das RAM die wahrsche<strong>in</strong>lichere Ursache, wenn e<strong>in</strong> System<br />
e<strong>in</strong>friert?<br />
Antwort zum Schnelltest<br />
Wenn e<strong>in</strong> System e<strong>in</strong>friert, ist wahrsche<strong>in</strong>lich e<strong>in</strong> Defekt der Festplatte die Ursache.<br />
Weitere Informationen Beseitigen von Problemen mit Hardwarekomponenten<br />
E<strong>in</strong>en ausführlichen Leitfaden, wie Sie Probleme mit Hardwarekomponenten beseitigen,<br />
f<strong>in</strong>den Sie <strong>in</strong> Computer Repair with Diagnostic Flowcharts: Troubleshoot<strong>in</strong>g PC Hardware<br />
Problems from Boot Failure to Poor Performance, Revised Edition (Foner Books, 2008) von<br />
Morris Rosenthal. Umfangreiche Auszüge aus diesem Buch f<strong>in</strong>den Sie unter http://www.<br />
fonerbooks.com/pcrepair.htm.<br />
Übung Testen diverser Hardwarekomponenten<br />
In dieser Übung führen Sie e<strong>in</strong>e Diagnose durch, um das RAM und die Festplatte Ihres<br />
Computers zu überprüfen.<br />
Übung 1 Testen des RAMs mit der <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose<br />
In dieser Übung starten Sie Ihren Computer neu, öffnen das Menü des <strong>W<strong>in</strong>dows</strong>-Start-<br />
Managers, wählen die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose aus und testen den Arbeitsspeicher.<br />
1. Nehmen Sie alle CDs oder DVDs aus den lokalen Laufwerken des <strong>W<strong>in</strong>dows</strong> 7-Computers.<br />
2. Starten Sie den Computer (oder starten Sie ihn neu, wenn er bereits läuft).<br />
3. Drücken Sie beim Start des Computers wiederholt die Leertaste (e<strong>in</strong>mal pro Sekunde<br />
reicht).<br />
Das Menü <strong>W<strong>in</strong>dows</strong>-Start-Manager wird angezeigt.<br />
4. Drücken Sie die TABULATORTASTE, um im Menü des <strong>W<strong>in</strong>dows</strong>-Start-Managers den<br />
E<strong>in</strong>trag <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose auszuwählen, und drücken Sie die EINGABETASTE.<br />
Das <strong>W<strong>in</strong>dows</strong>-Speicherdiagnosetool startet.<br />
5. Lesen Sie die angezeigten Meldungen durch und drücken Sie dann F1, um den Bildschirm<br />
Optionen zu öffnen.<br />
6. Stellen Sie auf dem Bildschirm Optionen mithilfe von TABULATORTASTE, Pfeiltasten<br />
und Zahlentasten die Testzusammenstellung auf M<strong>in</strong>imal und die Durchlaufanzahl auf 1.<br />
7. Drücken Sie F10, damit die neuen E<strong>in</strong>stellungen übernommen werden.<br />
8. Es beg<strong>in</strong>nt e<strong>in</strong> kurzer Test des Arbeitsspeichers. Sobald die Überprüfung abgeschlossen<br />
ist, wird <strong>W<strong>in</strong>dows</strong> automatisch neu gestartet. Wenn Sie sich angemeldet haben, ersche<strong>in</strong>t<br />
e<strong>in</strong>e Benachrichtigung, die angibt, ob Fehler gefunden wurden.
42 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Übung 2 Testen der Festplatte mit Chkdsk<br />
In dieser Übung melden Sie sich an <strong>W<strong>in</strong>dows</strong> 7 an, öffnen e<strong>in</strong>e E<strong>in</strong>gabeaufforderung mit<br />
erhöhten Rechten und führen das Programm Chkdsk <strong>in</strong> der Befehlszeile aus.<br />
1. Melden Sie sich an <strong>W<strong>in</strong>dows</strong> 7 an und öffnen Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung mit erhöhten<br />
Rechten. Klicken Sie dazu im Startmenü unter Alle Programme\Zubehör mit der<br />
rechten Maustaste auf E<strong>in</strong>gabeaufforderung, wählen Sie im Kontextmenü den Befehl Als<br />
Adm<strong>in</strong>istrator ausführen und klicken Sie <strong>in</strong> der E<strong>in</strong>gabeaufforderung der Benutzerkontensteuerung<br />
auf Ja.<br />
2. Geben Sie an der E<strong>in</strong>gabeaufforderung den Befehl chkdsk /? e<strong>in</strong>.<br />
3. Lesen Sie die Ausgabe und sehen Sie sich an, welche Optionen für den Befehl chkdsk zur<br />
Verfügung stehen.<br />
4. Geben Sie an der E<strong>in</strong>gabeaufforderung den Befehl chkdsk c: /f /v /i /c e<strong>in</strong>.<br />
(Sofern Ihr Systemlaufwerk e<strong>in</strong>en anderen Laufwerkbuchstaben als C: hat, müssen Sie<br />
das c: <strong>in</strong> diesem Befehl durch den Laufwerkbuchstaben ersetzen, der Ihrem Systemlaufwerk<br />
zugewiesen ist. Hat Ihr Systemlaufwerk beispielsweise den Buchstaben E:, lautet<br />
der Befehl chkdsk e: /f /v /i /c.)<br />
Diese Argumente bewirken, dass gefundene Fehler automatisch repariert (/f) und Meldungen<br />
zu Aufräumoperationen angezeigt werden (/v). Chkdsk führt dabei e<strong>in</strong>e schnellere<br />
Überprüfung durch, bei der bestimmte Testarten übersprungen werden (/i und /c).<br />
5. Es ersche<strong>in</strong>t e<strong>in</strong>e Meldung, dass Chkdsk nicht ausgeführt werden kann, weil das Volume<br />
von e<strong>in</strong>em anderen Prozess benutzt wird. Sie werden gefragt, ob das Volume geprüft<br />
werden soll, sobald das System das nächste Mal startet.<br />
Diese Meldung ersche<strong>in</strong>t, weil das Volume, das Sie überprüfen wollen, momentan für<br />
die Ausführung von <strong>W<strong>in</strong>dows</strong> benutzt wird. Sie können Chkdsk nur für e<strong>in</strong> Volume ausführen,<br />
das nicht anderweitig benutzt wird.<br />
6. Drücken Sie Y und starten Sie das System neu.<br />
7. Wenn <strong>W<strong>in</strong>dows</strong> neu startet, wird e<strong>in</strong>e Meldung angezeigt, während Chkdsk läuft. Weil<br />
die Argumente /i und /c angegeben wurden, weist e<strong>in</strong>e Meldung darauf h<strong>in</strong>, dass der<br />
Datenträger beschädigt se<strong>in</strong> könnte, selbst wenn ke<strong>in</strong>e Fehler gefunden werden.<br />
Sobald Chkdsk fertig ist, wird <strong>W<strong>in</strong>dows</strong> automatisch gestartet.<br />
Zusammenfassung der Lektion<br />
Beg<strong>in</strong>nen Sie die Problembehandlung für e<strong>in</strong>en Computerfehler damit, dass Sie herausf<strong>in</strong>den,<br />
ob das Problem auf Hardware oder Software zurückzuführen ist.<br />
Haben Sie festgestellt, dass e<strong>in</strong> Fehler durch Hardware verursacht wird, müssen Sie<br />
herausf<strong>in</strong>den, welche konkrete Komponente schuld ist. Beobachten Sie den Ablauf des<br />
Systemstarts und entscheiden Sie anhand Ihres Wissens über Fehlersymptome, welche<br />
Hardwarekomponente Sie zuerst untersuchen sollten.<br />
Die Schritte zum Beseitigen von Problemen mit Hardwarekomponenten unterscheiden<br />
sich von Komponente zu Komponente.
Lernzielkontrolle<br />
Lektion 2: Beseitigen von Problemen mit Hardwarekomponenten 43<br />
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 2,<br />
»Beseitigen von Problemen mit Hardwarekomponenten«, überprüfen. Die Fragen f<strong>in</strong>den Sie<br />
(<strong>in</strong> englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer<br />
im Rahmen e<strong>in</strong>es Übungstests beantworten.<br />
H<strong>in</strong>weis Die Antworten<br />
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglichkeiten<br />
richtig oder falsch s<strong>in</strong>d, f<strong>in</strong>den Sie im Abschnitt »Antworten« am Ende dieses Buchs.<br />
1. Sie untersuchen e<strong>in</strong> Problem bei e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Computer. An diesen Computer ist<br />
e<strong>in</strong> externes Gehäuse für SATA-Laufwerke (Serial Advanced Technology Attachments)<br />
angeschlossen, das es erlaubt, Festplatten im laufenden Betrieb e<strong>in</strong>zustecken und wieder<br />
zu entfernen. Aber immer, wenn Sie das Gerät ausschalten und die Festplatte entnehmen,<br />
treten Fehler auf.<br />
Durch welche der folgenden Maßnahmen gel<strong>in</strong>gt es wahrsche<strong>in</strong>lich, die Festplatte im<br />
externen Gehäuse auszutauschen, ohne dass Fehler entstehen?<br />
A. Aktivieren Sie <strong>in</strong> der Systemsteuerung den Energiesparplan Höchstleistung.<br />
B. Führen Sie Chkdsk für den Datenträger aus.<br />
C. Stellen Sie sicher, dass die Jumper der <strong>in</strong>ternen IDE-Laufwerke (Integrated Drive<br />
Electronics) richtig konfiguriert s<strong>in</strong>d.<br />
D. Aktualisieren Sie das BIOS und stellen Sie sicher, dass es richtig konfiguriert ist.<br />
2. Sie untersuchen e<strong>in</strong> Problem bei e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Computer. Dieser Computer wird<br />
nachts von e<strong>in</strong>em Adm<strong>in</strong>istrator, tagsüber von e<strong>in</strong>em normalen Benutzer verwendet. Der<br />
normale Benutzer beschwert sich, dass der Computer träge reagiert. E<strong>in</strong> gründlicher<br />
Virenscan hat ke<strong>in</strong>e Malware auf dem System entdeckt. Wartungscenter, Zuverlässigkeitsüberwachung,<br />
Ereignisanzeige und Geräte-Manager zeigen nichts Ungewöhnliches.<br />
Welchen der folgenden Problembehandlungsschritte sollten Sie zuerst ausführen?<br />
A. Führen Sie Chkdsk aus.<br />
B. Starten Sie die Defragmentierung, um den Fragmentierungsgrad der Festplatte zu<br />
analysieren.<br />
C. Führen Sie die Systemstartreparatur aus.<br />
D. Führen Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose aus.
44 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Rückblick auf dieses Kapitel<br />
Sie können die <strong>in</strong> diesem Kapitel erworbenen Fähigkeiten folgendermaßen e<strong>in</strong>üben und<br />
vertiefen:<br />
Lesen Sie die Zusammenfassung des Kapitels sorgfältig durch.<br />
Lesen Sie die Liste der Schlüsselbegriffe durch, die <strong>in</strong> diesem Kapitel e<strong>in</strong>geführt wurden.<br />
Arbeiten Sie die Übungen mit Fallbeispielen durch. Diese Szenarien beschreiben Fälle<br />
aus der Praxis, <strong>in</strong> denen die Themen dieses Kapitels zur Anwendung kommen. Sie werden<br />
aufgefordert, e<strong>in</strong>e Lösung zu entwickeln.<br />
Führen Sie die vorgeschlagenen Übungen durch.<br />
Machen Sie e<strong>in</strong>en Übungstest.<br />
Zusammenfassung des Kapitels<br />
<strong>W<strong>in</strong>dows</strong> 7 enthält mehrere Tools, die Sie e<strong>in</strong>setzen können, um Probleme im Bereich<br />
der Hardware zu diagnostizieren.<br />
Wenn Sie e<strong>in</strong>e Problembehandlung für Hardware durchführen, sollten Sie unbed<strong>in</strong>gt die<br />
verschiedenen Strategien für alle e<strong>in</strong>zelnen Komponententypen kennen.<br />
Schlüsselbegriffe<br />
Wissen Sie, was die folgenden Schlüsselbegriffe bedeuten? Sie können Ihre Antworten überprüfen,<br />
<strong>in</strong>dem Sie die Begriffe im Glossar am Ende dieses Buchs nachschlagen.<br />
Wartungscenter<br />
BIOS (Basic Input/Output System)<br />
Chkdsk<br />
Defragmentierung<br />
Zuverlässigkeitsüberwachung<br />
Systemstartreparatur<br />
Systemwiederherstellungsoptionen<br />
Problembehandlungspaket<br />
<strong>W<strong>in</strong>dows</strong>-Start-Manager<br />
<strong>W<strong>in</strong>dows</strong>-Speicherdiagnose<br />
<strong>W<strong>in</strong>dows</strong>-Wiederherstellungsumgebung<br />
Übungen mit Fallbeispiel<br />
In den folgenden Übungen mit Fallbeispiel wenden Sie an, was Sie über die <strong>in</strong> diesem Kapitel<br />
behandelten Themen gelernt haben. Die Lösungen zu den Fragen f<strong>in</strong>den Sie im Abschnitt<br />
»Antworten« h<strong>in</strong>ten <strong>in</strong> diesem Buch.
Übung mit Fallbeispiel 1: Problembehandlung für Abbruchfehler<br />
Übungen mit Fallbeispiel 45<br />
Sie arbeiten als <strong>Support</strong>techniker <strong>in</strong> e<strong>in</strong>em Großunternehmen. Ihr Manager bittet Sie, Probleme<br />
mit e<strong>in</strong>em Computer zu beseitigen, der vom Arbeitsplatz e<strong>in</strong>es Benutzers entfernt<br />
wurde. Der Benutzer hat gemeldet, dass <strong>in</strong> der letzten Woche etliche Abbruchfehler aufgetreten<br />
s<strong>in</strong>d, und zwar während er Webseiten las. Der Computer läuft unter <strong>W<strong>in</strong>dows</strong> 7.<br />
Als Sie sich an diesem Computer anmelden, stellen Sie fest, dass Wartungscenter und Ereignisanzeige<br />
ke<strong>in</strong>e Informationen zum untersuchten Problem enthalten.<br />
Beantworten Sie vor diesem H<strong>in</strong>tergrund die folgenden Fragen:<br />
1. Welches Tool benutzen Sie, um herauszuf<strong>in</strong>den, wie lange das Problem schon besteht?<br />
2. Sie stellen fest, dass das Problem bald nach e<strong>in</strong>er Aufrüstung des Arbeitsspeichers begann.<br />
Welches Problembehandlungstool verwenden Sie als Nächstes?<br />
3. Sie f<strong>in</strong>den Fehler beim neuen RAM-Modul. Welche Maßnahme empfehlen Sie, um das<br />
Problem zu beseitigen?<br />
Übung mit Fallbeispiel 2: Problembehandlung für Systemabstürze<br />
Sie arbeiten als <strong>Support</strong>techniker für Humongous Insurance, e<strong>in</strong>en Versicherungskonzern<br />
mit 250 Angestellten. In der Hauptniederlassung <strong>in</strong> Atlanta gibt es 200 Clientcomputer, die<br />
unter <strong>W<strong>in</strong>dows</strong> 7 laufen, und 10 Server, die unter <strong>W<strong>in</strong>dows</strong> Server 2008 laufen.<br />
Sie erhalten e<strong>in</strong>en Anruf vom Helpdesk, der Sie über e<strong>in</strong> Problem <strong>in</strong>formiert, das der Helpdesk-<strong>Support</strong>techniker<br />
nicht lösen konnte. Der Computer e<strong>in</strong>es Sachbearbeiters ist heute<br />
mehrmals ohne Vorwarnung abgestürzt. Sie befragen sowohl den Sachbearbeiter als auch<br />
den Helpdeskmitarbeiter.<br />
Recherche<br />
Hier die Aussagen der <strong>Unternehmen</strong>smitarbeiter, die Sie befragt haben:<br />
Sachbearbeiter »Das ist heute schon dreimal passiert, und ständig geht me<strong>in</strong>e Arbeit<br />
verloren. Jedes Mal hatte ich bereits e<strong>in</strong>ige M<strong>in</strong>uten gearbeitet, als sich der Computer<br />
ohne Vorwarnung ausschaltete. Das Problem trat e<strong>in</strong>mal auf, als ich e<strong>in</strong>e E-Mail schrieb,<br />
die beiden anderen Male füllte ich gerade Formulare aus.«<br />
Helpdeskmitarbeiter »Im Wartungscenter werden ke<strong>in</strong>e Fehler gemeldet. Ich habe<br />
e<strong>in</strong>ige Problembehandlungsmodule ausgeführt, ohne dass Probleme gefunden wurden.<br />
Im Geräte-Manager sehe ich nichts Ungewöhnliches, und die <strong>W<strong>in</strong>dows</strong>-Updates s<strong>in</strong>d auf<br />
dem aktuellen Stand. In der Ereignisanzeige tauchen e<strong>in</strong>ige Fehler aus den letzten Wochen<br />
auf, aber ich verstehe sie nicht. Der Benutzer sagt, dass es ke<strong>in</strong>en Abbruchfehler gibt,<br />
wenn der Computer neu startet.«<br />
Fragen<br />
1. Warum ist die Ursache für dieses Problem eher bei der Hardware zu suchen als bei der<br />
Software?<br />
2. Sie stellen fest, dass das Problem rund 15 M<strong>in</strong>uten nach dem Start auftritt. Was sollten<br />
Sie als Nächstes prüfen?
46 Kapitel 1: Beseitigen von Hardwarefehlern<br />
Vorgeschlagene Übungen<br />
Sie sollten die folgenden Aufgaben durcharbeiten, wenn Sie die <strong>in</strong> diesem Kapitel behandelten<br />
Prüfungsziele meistern wollen.<br />
Untersuchen und Beseitigen von Hardwareproblemen<br />
Arbeiten Sie folgende Aufgaben durch, um Ihre Fähigkeiten bei der Problembehandlung von<br />
Hardware zu erweitern:<br />
Übung 1 Lesen Sie das Handbuch für Ihr Motherboard durch. Prägen Sie sich die Signaltöne<br />
für die verschiedenen Arten von Hardwarefehlern e<strong>in</strong>.<br />
Übung 2 Laden Sie von der Website Ihres Motherboardherstellers alle Dienstprogramme<br />
herunter, die die Funktion des Motherboards und der darauf verwendeten<br />
Chipsätze testen, und führen Sie diese Programme aus.<br />
Übung 3 Führen Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose über Nacht aus, wobei Sie die<br />
Zusammenstellung Erweitert und e<strong>in</strong>e Durchführungszahl von 20 e<strong>in</strong>stellen.<br />
Übung 4 Laden Sie von der Website Ihres Festplattenherstellers alle Dienstprogramme<br />
herunter, die die Funktion des Laufwerks testen, und führen Sie diese Programme aus.<br />
Übung 5 Drücken Sie, während Ihr Computer startet, die Taste zum Aufrufen des<br />
BIOS-Setupprogramms. Sehen Sie sich im BIOS-Setup an, welche Optionen zur Verfügung<br />
stehen. Schließen Sie das Programm, ohne Änderungen zu übernehmen.<br />
Übung 6 Prüfen Sie auf der Website Ihres Motherboardherstellers, ob e<strong>in</strong>e neuere Version<br />
des BIOS verfügbar ist. Laden Sie <strong>in</strong> diesem Fall die neue Version herunter und<br />
führen Sie e<strong>in</strong> BIOS-Update durch.<br />
Machen Sie e<strong>in</strong>en Übungstest<br />
Die Übungstests (<strong>in</strong> englischer Sprache) auf der Begleit-CD zu diesem Buch bieten zahlreiche<br />
Möglichkeiten. Zum Beispiel können Sie e<strong>in</strong>en Test machen, der ausschließlich die<br />
Themen aus e<strong>in</strong>em Prüfungslernziel behandelt, oder Sie können sich selbst mit dem gesamten<br />
Inhalt der Prüfung <strong>70</strong>-<strong>685</strong> testen. Sie können den Test so konfigurieren, dass er dem Ablauf<br />
e<strong>in</strong>er echten Prüfung entspricht, oder Sie können e<strong>in</strong>en Lernmodus verwenden, <strong>in</strong> dem<br />
Sie sich nach dem Beantworten e<strong>in</strong>er Frage jeweils sofort die richtige Antwort und Erklärungen<br />
ansehen können.<br />
Weitere Informationen Übungstests<br />
E<strong>in</strong>zelheiten zu allen Optionen, die bei den Übungstests zur Verfügung stehen, f<strong>in</strong>den Sie im<br />
Abschnitt »So benutzen Sie die Übungstests« <strong>in</strong> der E<strong>in</strong>führung am Anfang dieses Buchs.
K A P I T E L 2<br />
Netzwerk<br />
Weil Benutzer Netzwerkressourcen unbed<strong>in</strong>gt für wichtige Anwendungen wie E-Mail brauchen,<br />
müssen Sie <strong>in</strong> der Lage se<strong>in</strong>, häufige Netzwerkprobleme schnell zu diagnostizieren.<br />
<strong>W<strong>in</strong>dows</strong> 7 kann viele häufige Probleme automatisch diagnostizieren und stellt Tools zur<br />
Verfügung, mit denen Sie andere Bed<strong>in</strong>gungen von Hand überprüfen können. Dieses Kapitel<br />
beschreibt, wie Sie Netzwerke<strong>in</strong>stellungen auf <strong>W<strong>in</strong>dows</strong> 7-Computern konfigurieren und<br />
wie Sie e<strong>in</strong>e Problembehandlung durchführen.<br />
Drahtlosnetzwerke (wireless network) verbreiten sich immer mehr, die meisten mobilen<br />
Computer nehmen regelmäßig Verb<strong>in</strong>dung mit e<strong>in</strong>em oder mehreren Drahtlosnetzwerken<br />
auf. Viele reisende Benutzer stellen Verb<strong>in</strong>dungen zu Dutzenden von Drahtlosnetzwerken<br />
her: e<strong>in</strong>ige im Büro, andere zu Hause, wieder andere an öffentlichen WLAN-Hotspots <strong>in</strong><br />
Internetcafés oder Flughäfen.<br />
Um sicherzustellen, dass den Benutzern ihre Verb<strong>in</strong>dungen erhalten bleiben, müssen Sie<br />
wissen, wie Sie Kabel- und Drahtlosnetzwerke konfigurieren und Probleme damit beseitigen.<br />
Dieses Kapitel erklärt, wie Sie mithilfe der verfügbaren Tools Netzwerkprobleme diagnostizieren<br />
und Verb<strong>in</strong>dungsprobleme beseitigen, beispielsweise Probleme mit der Namensauflösung.<br />
In diesem Kapitel abgedeckte Prüfungsziele:<br />
Untersuchen und Beseitigen von Netzwerkkonnektivitätsproblemen<br />
Untersuchen und Beseitigen von Namensauflösungsproblemen<br />
Untersuchen und Beseitigen von Problemen im Bereich der Drahtloskonnektivität<br />
Lektionen <strong>in</strong> diesem Kapitel:<br />
Lektion 1: Problembehandlung für die Netzwerkkonnektivität . ............... 49<br />
Lektion 2: Problembehandlung für die Namensauflösung ................... 68<br />
Lektion 3: Problembehandlung für Drahtlosnetzwerke ..................... 75<br />
Bevor Sie beg<strong>in</strong>nen<br />
Um die Übungen <strong>in</strong> diesem Kapitel durcharbeiten zu können, sollten Sie mit <strong>W<strong>in</strong>dows</strong> 7<br />
vertraut se<strong>in</strong> und folgende Aufgaben beherrschen:<br />
Installieren von <strong>W<strong>in</strong>dows</strong> 7<br />
E<strong>in</strong>en Computer hardwaremäßig an das Netzwerk anschließen<br />
Konfigurieren e<strong>in</strong>es Drahtloszugriffspunkts<br />
Durchführen e<strong>in</strong>facher Verwaltungsaufgaben auf e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> Server 2008 R2-<br />
Domänencontroller<br />
47
48 Kapitel 2: Netzwerk<br />
Um die Übungen <strong>in</strong> Lektion 3, »Problembehandlung für Drahtlosnetzwerke« durchzuarbeiten,<br />
brauchen Sie e<strong>in</strong>en Drahtloszugriffspunkt und e<strong>in</strong>en Computer, der unter <strong>W<strong>in</strong>dows</strong> 7<br />
läuft und mit e<strong>in</strong>em Drahtlosnetzwerkadapter ausgestattet ist.<br />
Praxistipp<br />
Tony Northrup<br />
Sie lernen <strong>in</strong> diesem Kapitel etliche unterschiedliche Tools zum Behandeln von Netzwerkproblemen<br />
kennen, darunter P<strong>in</strong>g, PathP<strong>in</strong>g, Nslookup und Ipconfig. Das wichtigste<br />
Problembehandlungstool erfordert aber gar ke<strong>in</strong>e lange E<strong>in</strong>arbeitung: die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose.<br />
Sie automatisiert die Diagnose von Netzwerkproblemen und ist sogar <strong>in</strong><br />
der Lage, viele Probleme mit der Netzwerkkonfiguration automatisch zu reparieren.<br />
Läuft die Diagnose automatisiert ab, schaltet das viele Fehlerquellen aus, die durch<br />
menschliches Versagen entstehen. Als ich Netzwerkprobleme von Hand untersuchte,<br />
verließ ich mich oft auf me<strong>in</strong> Gefühl. War zum Beispiel <strong>in</strong> der Vergangenheit der Router<br />
ausgefallen, nahm ich an, dass das Problem beim Router lag, und versuchte, ihn mit P<strong>in</strong>g<br />
zu erreichen. Schlug der P<strong>in</strong>g-Test fehl, g<strong>in</strong>g ich davon aus, dass me<strong>in</strong>e erste Vermutung<br />
zutraf. Dass der P<strong>in</strong>g-Test fehlschlug, konnte aber auch daran liegen, dass e<strong>in</strong>e Netzwerkkarte<br />
defekt war, die IP-Adresse falsch konfiguriert war oder e<strong>in</strong>e Firewall die Übertragung<br />
blockierte. Unter Umständen hatte ich mich auch nur beim E<strong>in</strong>geben der IP-Adresse<br />
des Routers vertippt.<br />
Manchmal sparen Sie sich Zeit, wenn Sie sich auf Ihr Gefühl verlassen. Ist Ihre erste Vermutung<br />
allerd<strong>in</strong>gs falsch, verschwenden Sie möglicherweise Stunden damit, e<strong>in</strong> Problem<br />
zu beseitigen, das gar nicht besteht. Die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose verlässt sich nicht<br />
auf Ahnungen oder Gefühle. Sie verschwendet aber auch niemals Zeit, weil sie e<strong>in</strong>e komplexe<br />
Diagnose b<strong>in</strong>nen weniger Sekunden erledigt. Sie überspr<strong>in</strong>gt niemals Schritte, vergisst<br />
nie, etwas zu überprüfen, und vertippt sich nicht.<br />
In der Praxis sollten Sie Ihre Problembehandlung immer mit der <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose<br />
beg<strong>in</strong>nen. Danach können Sie die anderen Problembehandlungswerkzeuge e<strong>in</strong>setzen,<br />
um das Problem zu bestätigen oder e<strong>in</strong>e zusätzliche Diagnose durchzuführen, falls die<br />
<strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose ke<strong>in</strong>e brauchbare Antwort liefert.
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 49<br />
Lektion 1: Problembehandlung für die Netzwerkkonnektivität<br />
Falls e<strong>in</strong>e Netzwerkkarte, e<strong>in</strong> Netzwerkkabel, e<strong>in</strong> Switch, e<strong>in</strong> Router, e<strong>in</strong>e Internetverb<strong>in</strong>dung<br />
oder e<strong>in</strong> Server ausfällt, hat der Benutzer den E<strong>in</strong>druck, dass er ke<strong>in</strong>e Verb<strong>in</strong>dung mit<br />
e<strong>in</strong>em Netzwerk herstellen kann. Oft bedeutet das, dass dieser Benutzer se<strong>in</strong>e Arbeit nicht<br />
erledigen kann. Daher ist es sehr wichtig, dass Sie das Problem schnell identifizieren und<br />
beseitigen. Weil Netzwerkfehler durch viele unterschiedliche Komponenten verursacht werden<br />
können, müssen Sie unbed<strong>in</strong>gt wissen, wie jede Komponente funktioniert und welche<br />
Tools zur Verfügung stehen, um herauszuf<strong>in</strong>den, ob e<strong>in</strong>e bestimmte Komponente ausgefallen<br />
ist. Diese Lektion beschreibt, wie Sie die Ursache von Netzwerkproblemen identifizieren<br />
und wie Sie das Problem beseitigen (soweit möglich).<br />
Am Ende dieser Lektion werden Sie <strong>in</strong> der Lage se<strong>in</strong>, die folgenden Aufgaben auszuführen:<br />
Durchführen e<strong>in</strong>er automatischen Problembehandlung für häufige Netzwerkprobleme<br />
mit der <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose<br />
Durchführen e<strong>in</strong>er manuellen Problembehandlung für Netzwerkprobleme mit P<strong>in</strong>g,<br />
PathP<strong>in</strong>g, PortQry und Nslookup<br />
Durchführen e<strong>in</strong>er Problembehandlung für Verb<strong>in</strong>dungen zu freigegebenen Ordnern<br />
Durchführen e<strong>in</strong>er Problembehandlung für e<strong>in</strong>e APIPA-Adresse<br />
Durchführen e<strong>in</strong>er Problembehandlung für e<strong>in</strong> Namensauflösungsproblem<br />
Durchführen e<strong>in</strong>er Problembehandlung für e<strong>in</strong> Netzwerk- oder Anwendungsverb<strong>in</strong>dungsproblem<br />
Veranschlagte Zeit für diese Lektion: 45 M<strong>in</strong>uten<br />
Arbeiten mit der <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose<br />
<strong>W<strong>in</strong>dows</strong> 7 enthält Diagnosetools, die den Überprüfungsprozess für häufig vorkommende<br />
Netzwerkprobleme automatisieren. <strong>W<strong>in</strong>dows</strong> 7 kann viele Netzwerkprobleme, die mit der<br />
Konfiguration zu tun haben oder schlicht e<strong>in</strong> Zurücksetzen der Netzwerkkarte erfordern,<br />
auch automatisch beseitigen.<br />
Es gibt verschiedene Methoden, die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose zu starten:<br />
Klicken Sie im Infobereich der Taskleiste mit der rechten Maustaste auf das Netzwerksymbol<br />
und wählen Sie den Befehl Problembehandlung (Abbildung 2.1).<br />
Abbildung 2.1 Starten der <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose<br />
über das Netzwerksymbol <strong>in</strong> der Taskleiste<br />
Öffnen Sie das Netzwerk- und Freigabecenter (zum Beispiel <strong>in</strong>dem Sie mit der rechten<br />
Maustaste auf das Netzwerksymbol <strong>in</strong> der Taskleiste klicken und dann den Befehl Netzwerk-<br />
und Freigabecenter öffnen wählen). Klicken Sie <strong>in</strong> der Netzwerkübersicht auf die<br />
Verb<strong>in</strong>dung, die mit e<strong>in</strong>em X markiert ist (Abbildung 2.2).
50 Kapitel 2: Netzwerk<br />
Abbildung 2.2 Anklicken e<strong>in</strong>er unterbrochenen Verb<strong>in</strong>dung im Netzwerk- und<br />
Freigabecenter, um e<strong>in</strong> Problem zu diagnostizieren<br />
Öffnen Sie das Netzwerk- und Freigabecenter. Klicken Sie unten im rechten Fensterabschnitt<br />
auf den L<strong>in</strong>k Probleme beheben.<br />
Klicken Sie auf der Seite Netzwerkverb<strong>in</strong>dungen der Systemsteuerung mit der rechten<br />
Maustaste auf e<strong>in</strong>en Netzwerkadapter und wählen Sie den Befehl Diagnose.<br />
Wenn der <strong>W<strong>in</strong>dows</strong> Internet Explorer e<strong>in</strong>e Website nicht erreicht, haben Sie die Möglichkeit,<br />
den L<strong>in</strong>k Diagnose von Verb<strong>in</strong>dungsproblemen anzuklicken.<br />
Halten Sie die WINDOWS-LOGO-TASTE gedrückt und drücken Sie R, um das Dialogfeld<br />
Ausführen zu öffnen. Geben Sie rundll32.exe ndfapi,NdfRunDllDiagnoseIncident<br />
e<strong>in</strong> (beachten Sie dabei die Groß- und Kle<strong>in</strong>schreibung) und drücken Sie die EINGABE-<br />
TASTE.<br />
Sobald die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose die Diagnose abgeschlossen hat, zeigt sie e<strong>in</strong>e Liste<br />
der erkannten Probleme an. Zum Beispiel zeigt Abbildung 2.3, dass der Computer richtig<br />
mit dem Netzwerk verbunden ist, aber der DNS-Server (Doma<strong>in</strong> Name System) nicht verfügbar<br />
ist. Wenn der DNS-Server nicht verfügbar ist, hat das ähnliche Auswirkungen wie e<strong>in</strong><br />
vollständiger Verb<strong>in</strong>dungsausfall, weil ke<strong>in</strong>e Computer zur Verfügung stehen, die anhand<br />
ihres Hostnamens identifiziert werden. Um das Problem zu lösen, müssen Sie entweder e<strong>in</strong>e<br />
andere DNS-Server-IP-Adresse e<strong>in</strong>stellen oder den DNS-Server wieder hochfahren.<br />
Abbildung 2.4 zeigt e<strong>in</strong> Problem, das die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose beseitigt hat: Die<br />
Netzwerkkarte war deaktiviert. In diesem Fall braucht der Benutzer lediglich den Anweisungen<br />
des Assistenten zu folgen, um die Netzwerkkarte wieder zu aktivieren.
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 51<br />
Abbildung 2.3 Die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose kann Probleme schnell<br />
identifizieren, die für e<strong>in</strong>en Menschen schwierig zu isolieren wären<br />
Abbildung 2.4 E<strong>in</strong>ige Konfigurationsprobleme kann die<br />
<strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose automatisch beseitigen<br />
Die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose zeichnet detaillierte Informationen über den Problembehandlungsvorgang<br />
auf, auf die Sie bei Bedarf zurückgreifen können, um das Problem<br />
genauer e<strong>in</strong>zukreisen. Gehen Sie folgendermaßen vor, um sich ausführliche Informationen<br />
der <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose anzusehen, nachdem Sie die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose<br />
ausgeführt haben:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den<br />
Befehl Verwalten.<br />
2. Wählen Sie Computerverwaltung, System, Ereignisanzeige, <strong>W<strong>in</strong>dows</strong>-Protokolle und<br />
schließlich System aus.<br />
3. Klicken Sie im Fensterabschnitt Aktionen auf Aktuelles Protokoll filtern.
52 Kapitel 2: Netzwerk<br />
4. Klappen Sie im Dialogfeld Aktuelles Protokoll filtern die Dropdownliste Quellen auf<br />
und aktivieren Sie den E<strong>in</strong>trag Diagnostics-Network<strong>in</strong>g. Klicken Sie auf OK.<br />
5. Das Snap-In Ereignisanzeige zeigt e<strong>in</strong>e Liste der Ereignisse an, die von der <strong>W<strong>in</strong>dows</strong>-<br />
Netzwerkdiagnose generiert wurden. Sie enthalten detaillierte Informationen über alle<br />
Problembehandlungssitzungen.<br />
Tools zum Behandeln von Netzwerkproblemen<br />
Für den Fall, dass die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose die Ursache des Problems nicht ausf<strong>in</strong>dig<br />
machen kann, stellt <strong>W<strong>in</strong>dows</strong> 7 viele Tools zur Verfügung, mit denen Sie e<strong>in</strong>e manuelle<br />
Problembehandlung durchführen können. Die folgenden Abschnitte beschreiben die wichtigsten<br />
Tools. Weiter unten <strong>in</strong> diesem Kapitel wird beschrieben, wie Sie mithilfe dieser Tools<br />
spezifische Netzwerkprobleme beseitigen.<br />
Ipconfig<br />
Die meisten Adm<strong>in</strong>istratoren beg<strong>in</strong>nen die Diagnose von Netzwerkproblemen mit dem<br />
Befehlszeilentool Ipconfig. Es gibt zahlreiche Möglichkeiten, Ipconfig e<strong>in</strong>zusetzen, wie <strong>in</strong><br />
diesem Kapitel beschrieben. Führen Sie den folgenden Befehl aus, um die aktuelle IP-Konfiguration<br />
des Computers anzuzeigen:<br />
C:\ipconfig /all<br />
<strong>W<strong>in</strong>dows</strong>-IP-Konfiguration<br />
Hostname . . . . . . . . . . . . : WIN7<br />
Primäres DNS-Suffix . . . . . . . :<br />
Knotentyp . . . . . . . . . . . . : Hybrid<br />
IP-Rout<strong>in</strong>g aktiviert . . . . . . : Ne<strong>in</strong><br />
WINS-Proxy aktiviert . . . . . . : Ne<strong>in</strong><br />
Ethernet-Adapter LAN-Verb<strong>in</strong>dung:<br />
Verb<strong>in</strong>dungsspezifisches DNS-Suffix:<br />
Beschreibung. . . . . . . . . . . : Intel 21140-basierter PCI Fast-Ethernet-Adapter<br />
Physikalische Adresse . . . . . . : 00-15-C5-07-BF-34<br />
DHCP aktiviert. . . . . . . . . . : Ja<br />
Autokonfiguration aktiviert . . . : Ja<br />
Drahtlos-LAN-Adapter Drahtlosnetzwerkverb<strong>in</strong>dung:<br />
Verb<strong>in</strong>dungsspezifisches DNS-Suffix:<br />
Beschreibung. . . . . . . . . . . : Intel(R) PRO/Wireless 3945ABG-Netzwerkverb<strong>in</strong>dung<br />
Physikalische Adresse . . . . . . : 00-13-02-1E-E6-59<br />
DHCP aktiviert. . . . . . . . . . : Ja<br />
Autokonfiguration aktiviert . . . : Ja<br />
IPv4-Adresse . . . . . . . . . . : 192.168.1.130(Bevorzugt)<br />
Subnetzmaske . . . . . . . . . . : 255.255.255.0<br />
Lease erhalten. . . . . . . . . . : Montag, 10. September 2009 09:47:28<br />
Lease läuft ab. . . . . . . . . . : Mittwoch, 12. September 2009 16:00:17<br />
Standardgateway . . . . . . . . . : 192.168.1.1<br />
DHCP-Server . . . . . . . . . . . : 192.168.1.1<br />
DNS-Server . . . . . . . . . . . : 192.168.0.1<br />
NetBIOS über TCP/IP . . . . . . . : Aktiviert
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 53<br />
Wenn Sie sich die Ausgabe <strong>in</strong> diesem Beispiel ansehen, stellen Sie fest, dass der kabelgebundene<br />
Gigabit-Ethernet-Controller ke<strong>in</strong>e Verb<strong>in</strong>dung hat. Der Computer ist allerd<strong>in</strong>gs mit<br />
e<strong>in</strong>em Drahtlosnetzwerk verbunden, und e<strong>in</strong> DHCP-Server (Dynamic Host Configuration<br />
Protocol) hat ihm die IP-Adresse (Internet Protocol) 192.168.1.130 zugewiesen. Das Standardgateway<br />
hat die IP-Adresse 192.168.1.1, und der DNS-Server die IP-Adresse 192.168.0.1.<br />
Sie können Ipconfig auch e<strong>in</strong>setzen, um die IP-Konfiguration e<strong>in</strong>es Computers zu aktualisieren.<br />
Sofern der Computer se<strong>in</strong>e IP-Adresse automatisch von e<strong>in</strong>em DHCP-Server zugewiesen<br />
bekommen hat (was bei den meisten Clients der Fall ist), können Sie ihm mit den<br />
beiden folgenden Befehlen e<strong>in</strong>e neue IPv4-Adresse zuteilen lassen:<br />
ipconfig /release<br />
ipconfig /renew<br />
Und mit den beiden nächsten Befehlen erhalten Sie e<strong>in</strong>e neue IPv6-Adresse:<br />
ipconfig /release6<br />
ipconfig /renew6<br />
Ipconfig eignet sich auch zum Untersuchen von DNS-Problemen, wie <strong>in</strong> Lektion 2, »Problembehandlung<br />
für die Namensauflösung«, beschrieben.<br />
P<strong>in</strong>g<br />
P<strong>in</strong>g ist das bekannteste Netzwerkdiagnosetool. Da aber immer mehr neue Computer und<br />
Router ICMP-Anforderungen (Internet Control Message Protocol, das Netzwerkprotokoll,<br />
mit dem P<strong>in</strong>g arbeitet) blockieren, ist es nicht mehr so nützlich wie früher. P<strong>in</strong>g funktioniert<br />
aber noch <strong>in</strong> den meisten LANs (Local Area Network).<br />
Sie benutzen P<strong>in</strong>g, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den Befehl p<strong>in</strong>g Hostname<br />
ausführen. E<strong>in</strong> Beispiel:<br />
C:\>p<strong>in</strong>g www.contoso.com<br />
P<strong>in</strong>g wird ausgeführt für contoso.com [207.46.197.32] mit 32 Bytes Daten:<br />
Antwort von 207.46.197.32: Bytes=32 Zeit=95ms TTL=105<br />
Antwort von 207.46.197.32: Bytes=32 Zeit=210ms TTL=105<br />
Antwort von 207.46.197.32: Bytes=32 Zeit=234ms TTL=105<br />
Antwort von 207.46.197.32: Bytes=32 Zeit=258ms TTL=105<br />
P<strong>in</strong>g-Statistik für 207.46.197.32:<br />
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),<br />
Ca. Zeitangaben <strong>in</strong> Millisek.:<br />
M<strong>in</strong>imum = 95ms, Maximum = 258ms, Mittelwert = 199ms<br />
P<strong>in</strong>g verrät Ihnen mehrere nützliche D<strong>in</strong>ge. Falls Sie Antworten erhalten, wissen Sie, dass<br />
der Netzwerkhost e<strong>in</strong>geschaltet und mit dem Netzwerk verbunden ist. Die <strong>in</strong> Millisekunden<br />
(ms) gemessene Zeit gibt die sogenannte Round-Trip-Latenz zwischen Ihnen und dem<br />
Remotehost an. Latenz ist der Zeitabstand zwischen dem Absenden e<strong>in</strong>es Pakets und dem<br />
Empfang der Antwort. Sie hängt davon ab, wie lange Router zum Weiterleiten der Pakete<br />
zwischen Netzwerken brauchen und wie schnell die Signale durch elektrische oder optische<br />
Leitungen laufen. Falls die Latenz größer als 1 Sekunde ist, fühlt sich wahrsche<strong>in</strong>lich die<br />
gesamte Netzwerkkommunikation sehr langsam an.
54 Kapitel 2: Netzwerk<br />
Viele Hosts antworten nicht auf P<strong>in</strong>g-Anforderungen, selbst wenn sie onl<strong>in</strong>e s<strong>in</strong>d. Zum<br />
Beispiel verwerfen die Webserver von microsoft.com ICMP-Anforderungen, auch wenn sie<br />
onl<strong>in</strong>e s<strong>in</strong>d und Webanforderungen beantworten. Das folgende Beispiel demonstriert dies:<br />
C:\>p<strong>in</strong>g www.microsoft.com<br />
P<strong>in</strong>g wird ausgeführt für lb1.www.microsoft.com [10.46.20.60] mit 32 Bytes Daten:<br />
Zeitüberschreitung der Anforderung.<br />
Zeitüberschreitung der Anforderung.<br />
Zeitüberschreitung der Anforderung.<br />
Zeitüberschreitung der Anforderung.<br />
P<strong>in</strong>g-Statistik für 10.46.20.60:<br />
Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust)<br />
Sie können P<strong>in</strong>g als primitives Netzwerküberwachungstool e<strong>in</strong>setzen, während Sie darauf<br />
warten, dass e<strong>in</strong> Remotecomputer e<strong>in</strong>- oder ausgeschaltet wird. Verwenden Sie das Argument<br />
-t, um ständig P<strong>in</strong>g-Anforderungen an e<strong>in</strong>en Host zu senden. Das folgende Beispiel<br />
zeigt, wie dieser Aufruf aussieht. P<strong>in</strong>g sendet <strong>in</strong> diesem Falls so lange Anforderungen, bis<br />
Sie den Befehl mit der Tastenkomb<strong>in</strong>ation STRG+C abbrechen oder die E<strong>in</strong>gabeaufforderung<br />
schließen:<br />
C:\>p<strong>in</strong>g www.contoso.com -t<br />
PathP<strong>in</strong>g<br />
P<strong>in</strong>g testet die Verb<strong>in</strong>dung zu e<strong>in</strong>em bestimmten Host mit ICMP. Auch PathP<strong>in</strong>g verwendet<br />
ICMP, um die Verb<strong>in</strong>dung zu e<strong>in</strong>em Remotehost und allen Routern zwischen Ihnen und dem<br />
Remotehost zu überprüfen. Das kann Ihnen helfen, Probleme zu identifizieren, die beim<br />
Weiterleiten von Verkehr <strong>in</strong> Ihrem Netzwerk auftreten, zum Beispiel Rout<strong>in</strong>gschleifen (Verkehr<br />
durchläuft denselben Router mehrfach), e<strong>in</strong>en ausgefallenen Router (dann kann es so<br />
aussehen, als wäre das gesamte Netzwerk ausgefallen) oder schlechte Netzwerkleistung.<br />
Abbildung 2.5 zeigt, wie PathP<strong>in</strong>g arbeitet.<br />
Abbildung 2.5 PathP<strong>in</strong>g sendet Anforderungen an alle Hosts zwischen Client und Ziel<br />
Prüfungstipp PathP<strong>in</strong>g und Tracert<br />
<strong>W<strong>in</strong>dows</strong> 7 enthält weiterh<strong>in</strong> Tracert (Abkürzung für »Trace Route«), aber PathP<strong>in</strong>g kann<br />
alles, was Tracert beherrscht, und ist leistungsfähiger. Daher sollten Sie stattdessen PathP<strong>in</strong>g<br />
verwenden. Sie müssen allerd<strong>in</strong>gs damit rechnen, dass <strong>in</strong> der Prüfung auch Fragen zu<br />
Tracert auftauchen.<br />
PathP<strong>in</strong>g können Sie genauso verwenden wie P<strong>in</strong>g. PathP<strong>in</strong>g versucht, jeden Router zwischen<br />
Ihnen und dem Ziel aufzulisten (genau wie Tracert). Dann wendet PathP<strong>in</strong>g e<strong>in</strong>ige<br />
M<strong>in</strong>uten dafür auf, Statistiken für die gesamte Route zu berechnen:
C:\>pathp<strong>in</strong>g www.contoso.com<br />
Routenverfolgung zu contoso.com [10.46.196.103]<br />
über maximal 30 Abschnitte:<br />
0 contoso-test [192.168.1.207]<br />
1 10.211.240.1<br />
2 10.128.191.245<br />
3 10.128.191.73<br />
4 10.125.39.213<br />
5 gbr1-p<strong>70</strong>.cb1ma.ip.contoso.com [10.123.40.98]<br />
6 tbr2-p013501.cb1ma.ip.contoso.com [10.122.11.201]<br />
7 tbr2-p012101.cgcil.ip.contoso.com [10.122.10.106]<br />
8 gbr4-p50.st6wa.ip.contoso.com [10.122.2.54]<br />
9 gar1-p3<strong>70</strong>.stwwa.ip.contoso.com [10.123.203.177]<br />
10 10.127.<strong>70</strong>.6<br />
11 10.46.33.225<br />
12 10.46.36.210<br />
13 10.46.155.17<br />
14 10.46.129.51<br />
15 10.46.196.103<br />
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 55<br />
Berechnung der Statistiken dauert ca. 625 Sekunden...<br />
Quelle zum Abs. Knoten/Verb<strong>in</strong>dung<br />
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse<br />
0 contoso-test [192.168.1.207]<br />
0/ 100 = 0% |<br />
1 50ms 1/ 100 = 1% 1/ 100 = 1% 10.211.24.1<br />
0/ 100 = 0% |<br />
2 50ms 0/ 100 = 0% 0/ 100 = 0% 10.128.19.245<br />
0/ 100 = 0% |<br />
3 50ms 2/ 100 = 2% 2/ 100 = 2% 10.128.19.73<br />
0/ 100 = 0% |<br />
4 44ms 0/ 100 = 0% 0/ 100 = 0% 10.12.39.213<br />
0/ 100 = 0% |<br />
5 46ms 0/ 100 = 0% 0/ 100 = 0% gbr1-p<strong>70</strong>.cb1ma.ip.contoso.com [10.12.40.98]<br />
0/ 100 = 0% |<br />
6 40ms 2/ 100 = 2% 2/ 100 = 2% tbr2-p013501.cb1ma.ip.contoso.com [10.12.11.201]<br />
0/ 100 = 0% |<br />
7 62ms 1/ 100 = 1% 1/ 100 = 1% tbr2-p012101.cgcil.ip.contoso.com [10.12.10.106]<br />
0/ 100 = 0% |<br />
8 107ms 2/ 100 = 2% 2/ 100 = 2% gbr4-p50.st6wa.ip.contoso.com [10.12.2.54]<br />
0/ 100 = 0% |<br />
9 111ms 0/ 100 = 0% 0/ 100 = 0% gar1-p3<strong>70</strong>.stwwa.ip.contoso.com [10.12.203.177]<br />
0/ 100 = 0% |<br />
10 118ms 0/ 100 = 0% 0/ 100 = 0% 10.12.<strong>70</strong>.6<br />
0/ 100 = 0% |<br />
11 --- 100/ 100 =100% 100/ 100 =100% 10.46.33.225<br />
0/ 100 = 0% |<br />
12 --- 100/ 100 =100% 100/ 100 =100% 10.46.36.210<br />
0/ 100 = 0% |
56 Kapitel 2: Netzwerk<br />
13 123ms 0/ 100 = 0% 0/ 100 = 0% 10.46.155.17<br />
0/ 100 = 0% |<br />
14 127ms 0/ 100 = 0% 0/ 100 = 0% 10.46.129.51<br />
1/ 100 = 1% |<br />
15 125ms 1/ 100 = 1% 0/ 100 = 0% 10.46.196.103<br />
Ablaufverfolgung beendet.<br />
H<strong>in</strong>weis Netzwerkjargon<br />
Der Begriff Abschnitt (engl. hop) ist e<strong>in</strong>e andere Bezeichnung für e<strong>in</strong>en Router oder e<strong>in</strong><br />
Gateway. Knoten (engl. node) und Verb<strong>in</strong>dung (engl. l<strong>in</strong>k) s<strong>in</strong>d andere Bezeichnungen für<br />
e<strong>in</strong>en Computer beziehungsweise Router. RTT steht für »Round Trip Time«; sie gibt an, wie<br />
lange es dauert, bis e<strong>in</strong> Paket vom Client zum Ziel gelangt und die Antwort an den Client<br />
zurückgegeben wird.<br />
Zeigen die Statistiken, dass e<strong>in</strong> e<strong>in</strong>zelner Router e<strong>in</strong>e sehr hohe Latenz hat, verursacht dieser<br />
Knoten unter Umständen Netzwerkprobleme. Normalerweise vergrößert e<strong>in</strong> Router mit hoher<br />
Latenz die Latenz für alle Router, die danach aufgelistet s<strong>in</strong>d. Aber nur beim ersten Router<br />
besteht e<strong>in</strong> Problem. Wenn e<strong>in</strong> Router hohe Latenz hat, aber die dah<strong>in</strong>ter aufgeführten Router<br />
ger<strong>in</strong>ge Latenz, ist die Latenz wahrsche<strong>in</strong>lich ke<strong>in</strong> Anzeichen für e<strong>in</strong> Problem. Router verarbeiten<br />
ICMP-Anforderungen mit ger<strong>in</strong>gerer Priorität als anderen Verkehr. Wenn PathP<strong>in</strong>g<br />
daher hohe Latenz zeigt, bedeutet das nicht zwangsläufig, dass die Latenz <strong>in</strong>sgesamt hoch<br />
ist.<br />
Sie können oft anhand des Routernamens feststellen, ob er <strong>in</strong> Ihrem <strong>in</strong>ternen Netzwerk, dem<br />
Netzwerk Ihres Internetproviders (Internet Service Provider, ISP) oder anderswo im Internet<br />
liegt. Sofern er <strong>in</strong> Ihrem <strong>in</strong>ternen Netzwerk oder dem Netzwerk Ihres Internetproviders liegt,<br />
sollten Sie sich an Ihren Netzwerkadm<strong>in</strong>istrator wenden und ihn um Hilfe bei der Problembehandlung<br />
bitten. Wenn der Router woanders im Netzwerk liegt, können Sie wahrsche<strong>in</strong>lich<br />
nichts anderes tun, als zu warten, bis die Adm<strong>in</strong>istratoren des Routers das Problem beseitigen.<br />
Wenn Sie Ihrem Internetprovider das Problem schildern, kann er möglicherweise<br />
Kontakt mit dem anderen Internetprovider aufnehmen und sicherstellen, dass die Probleme<br />
dort bekannt s<strong>in</strong>d. Möglicherweise erhalten Sie auf diese Weise auch e<strong>in</strong>e Schätzung, wann<br />
das Problem beseitigt werden dürfte.<br />
Sie können die Geschw<strong>in</strong>digkeit von PathP<strong>in</strong>g erhöhen, <strong>in</strong>dem Sie das Argument -d angeben.<br />
Dann versucht PathP<strong>in</strong>g nicht, die Namen der dazwischen liegenden Routeradressen<br />
aufzulösen.<br />
PortQry<br />
P<strong>in</strong>g testet mithilfe von ICMP-Paketen, ob e<strong>in</strong> Remotecomputer mit dem Netzwerk verbunden<br />
ist. Aber selbst wenn e<strong>in</strong> Computer auf ICMP-Pakete antwortet, verrät Ihnen das nicht,<br />
ob auf dem Computer die von Ihnen benötigten Netzwerkdienste laufen. Falls es beispielsweise<br />
nicht möglich ist, Ihre E-Mails herunterzuladen, müssen Sie testen, ob der Maildienst<br />
selbst antwortet, und nicht, ob der Mailserver auf ICMP-Anforderungen reagiert.<br />
PortQry testet, ob e<strong>in</strong> bestimmter Netzwerkdienst auf e<strong>in</strong>em Server läuft. Sie verwenden<br />
PortQry, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den folgenden Befehl ausführen:<br />
portqry -n Ziel -e Portnummer
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 57<br />
Zum Beispiel arbeitet HTTP (Hypertext Transfer Protocol) über TCP-Port 80. Ob e<strong>in</strong>e<br />
HTTP-Verb<strong>in</strong>dung zu www.microsoft.com hergestellt werden kann, testen Sie daher, <strong>in</strong>dem<br />
Sie den folgenden Befehl an der Befehlszeile e<strong>in</strong>geben:<br />
portqry -n www.microsoft.com -e 80<br />
Dieser Befehl liefert Ausgaben, die ähnlich wie hier aussehen:<br />
Query<strong>in</strong>g target system called:<br />
www.microsoft.com<br />
Attempt<strong>in</strong>g to resolve name to IP address...<br />
Name resolved to 10.209.68.190<br />
TCP port 80 (http service): LISTENING<br />
E<strong>in</strong>e Liste gebräuchlicher Portnummern f<strong>in</strong>den Sie im Abschnitt »So führen Sie e<strong>in</strong>e Fehlerbehandlung<br />
für Anwendungsverb<strong>in</strong>dungsprobleme durch« weiter unten <strong>in</strong> dieser Lektion.<br />
Leider ist PortQry <strong>in</strong> ke<strong>in</strong>er <strong>W<strong>in</strong>dows</strong>-Version enthalten, auch nicht <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7. Stattdessen<br />
müssen Sie es von der Adresse http://www.microsoft.com/downloads/details.aspx<br />
?FamilyID=89811747-C74B-4638-A2D5-AC828BDC6983 herunterladen. Wenn Sie <strong>W<strong>in</strong>dows</strong><br />
7 bereitstellen, kann es s<strong>in</strong>nvoll se<strong>in</strong>, PortQry <strong>in</strong> den Ordner %W<strong>in</strong>Dir%\System32\<br />
zu kopieren, damit es jederzeit für die Problembehandlung zur Verfügung steht.<br />
Falls Sie mit e<strong>in</strong>em Computer arbeiten, auf dem PortQry nicht <strong>in</strong>stalliert ist, können Sie<br />
e<strong>in</strong>en Remotedienst mit dem Telnet-Client testen. Weitere Informationen f<strong>in</strong>den Sie im<br />
Abschnitt »So führen Sie e<strong>in</strong>e Problembehandlung für Anwendungsverb<strong>in</strong>dungsprobleme<br />
durch« weiter unten <strong>in</strong> dieser Lektion.<br />
Nslookup<br />
Mit Nslookup können Sie testen, ob Ihr DNS-Server e<strong>in</strong>en Hostnamen richtig <strong>in</strong> e<strong>in</strong>e<br />
IP-Adresse auflöst. E<strong>in</strong> Beispiel:<br />
C:\>nslookup contoso.com<br />
Server: dns.fabrikam.com<br />
Address: 192.168.1.1:53<br />
Non-authoritative answer:<br />
Name: contoso.com<br />
Addresses: 207.46.232.182, 207.46.197.32<br />
In diesem Beispiel hat der Client den Standard-DNS-Server (192.168.1.1) kontaktiert und<br />
erfolgreich e<strong>in</strong>e Antwort empfangen, die verrät, dass contoso.com zwei IP-Adressen hat:<br />
207.46.232.182 und 207.46.197.32. Das beweist, dass der DNS-Server richtig arbeitet.<br />
H<strong>in</strong>weis Round-Rob<strong>in</strong>-DNS-Adressierung<br />
Manche Hostnamen, zum Beispiel contoso.com und microsoft.com, werden <strong>in</strong> mehrere<br />
IP-Adressen aufgelöst. Ihr Webbrowser ist so schlau, dass er e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>er der<br />
anderen Adressen herstellt, falls die erste Adresse nicht richtig funktioniert. So können<br />
mehrere Webserver mit unterschiedlichen IP-Adressen auf Anforderungen nach demselben<br />
Hostnamen reagieren. Das gewährleistet Skalierbarkeit (die Fähigkeit, mehrere parallele<br />
Anforderungen zu verarbeiten) und Redundanz (die Fähigkeit, dass e<strong>in</strong>e Website auch beim<br />
Ausfall e<strong>in</strong>es Servers onl<strong>in</strong>e bleibt).
58 Kapitel 2: Netzwerk<br />
Die folgende Antwort auf dieselbe Abfrage zeigt, dass der DNS-Server ke<strong>in</strong>e IP-Adresse für<br />
den Hostnamen contoso.com f<strong>in</strong>det:<br />
*** dns.fabrikam.com can’t f<strong>in</strong>d contoso.com: Non-existent doma<strong>in</strong><br />
Die folgende Antwort gibt an, dass ke<strong>in</strong> DNS-Server antwortet:<br />
Server: dns.fabrikam.com<br />
Address: 192.168.1.1:53<br />
DNS request timed out.<br />
timeout was 2 seconds.<br />
DNS request timed out.<br />
timeout was 2 seconds.<br />
*** Request to dns.fabrikam.com timed-out<br />
Verwenden Sie Nslookup immer dann, wenn Sie vermuten, dass e<strong>in</strong> Netzwerkproblem durch<br />
e<strong>in</strong>en ausgefallenen DNS-Server oder e<strong>in</strong>e ungültige Namensauflösung verursacht wird.<br />
Weitere Informationen über Nslookup f<strong>in</strong>den Sie <strong>in</strong> Lektion 2.<br />
Schnelltest<br />
Mit welchem Tool stellen Sie fest, ob e<strong>in</strong> Computer mit dem Standardgateway kommunizieren<br />
kann?<br />
Antwort zum Schnelltest<br />
P<strong>in</strong>g ist die schnellste Möglichkeit. Sie können auch PathP<strong>in</strong>g e<strong>in</strong>setzen, um e<strong>in</strong>e Internetadresse<br />
zu überprüfen; es prüft das Standardgateway sowie alle anderen Gateways, die<br />
zwischen Ihnen und dem Ziel liegen.<br />
Problembehandlung für e<strong>in</strong>e APIPA-Adresse<br />
<strong>W<strong>in</strong>dows</strong> 7 weist e<strong>in</strong>e APIPA-Adresse (Automatic Private IP Address<strong>in</strong>g) aus dem Bereich<br />
169.254.0.0 bis 169.254.255.255 zu, wenn der Computer so konfiguriert ist, dass er die IP-<br />
Adressen automatisch bezieht, aber ke<strong>in</strong> DHCP-Server erreichbar ist. Mithilfe von APIPA-<br />
Adressen s<strong>in</strong>d Computer <strong>in</strong> der Lage, Verb<strong>in</strong>dung mit e<strong>in</strong>em LAN herzustellen, auch wenn<br />
sie ke<strong>in</strong>en DHCP-Server erreichen. Allerd<strong>in</strong>gs können sie <strong>in</strong> diesem Fall ke<strong>in</strong>e Verb<strong>in</strong>dung<br />
mit Computern aufnehmen, die ke<strong>in</strong>e APIPA-Adressen haben.<br />
Hat e<strong>in</strong> Computer e<strong>in</strong>e APIPA-Adresse, kann dies mehrere Ursachen haben:<br />
Der DHCP-Server war zeitweise nicht verfügbar.<br />
Der Computer war nicht richtig mit dem Netzwerk verbunden.<br />
Der Computer war nicht autorisiert, e<strong>in</strong>e Verb<strong>in</strong>dung mit dem Netzwerk herzustellen.<br />
Wie bei den meisten Konnektivitätsproblemen sollten Sie erst e<strong>in</strong>mal die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose<br />
zurate ziehen. Falls dies das Problem nicht beseitigt, sollten Sie sicherstellen,<br />
dass der Computer mit dem lokalen Netzwerk verbunden ist und dass die Netzwerkhardware<br />
richtig funktioniert. Gehen Sie dann folgendermaßen vor, um e<strong>in</strong>e IP-Adresse von e<strong>in</strong>em<br />
DHCP-Server abzurufen:
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 59<br />
1. Geben Sie im Suchfeld des Startmenüs cmd e<strong>in</strong>, klicken Sie mit der rechten Maustaste<br />
oben im Startmenü auf den E<strong>in</strong>trag cmd und wählen Sie den Befehl Als Adm<strong>in</strong>istrator<br />
ausführen. Daraufh<strong>in</strong> wird e<strong>in</strong>e adm<strong>in</strong>istrative E<strong>in</strong>gabeaufforderung geöffnet, die Sie<br />
brauchen, um die IP-Adresse zu erneuern.<br />
2. Führen Sie an der E<strong>in</strong>gabeaufforderung die beiden folgenden Befehle aus:<br />
ipconfig /release<br />
ipconfig /renew<br />
Der erste Befehl bewirkt, dass <strong>W<strong>in</strong>dows</strong> 7 die aktuelle IP-Konfiguration zurückgibt (sofern<br />
es e<strong>in</strong>e hat). Der zweite Befehl versucht, Kontakt mit e<strong>in</strong>em DHCP-Server aufzunehmen<br />
und e<strong>in</strong>e neue Konfiguration abzurufen. Falls die Netzwerkkarte noch e<strong>in</strong>e APIPA-Adresse<br />
hat, nachdem Sie diese Befehle ausgeführt haben, und Sie mit dem Netzwerk verbunden<br />
s<strong>in</strong>d, ist der DHCP-Server entweder offl<strong>in</strong>e oder er hat entschieden, dass Ihr Computer nicht<br />
berechtigt ist, sich mit dem Netzwerk zu verb<strong>in</strong>den. Br<strong>in</strong>gen Sie e<strong>in</strong>en DHCP-Server onl<strong>in</strong>e<br />
und starten Sie den Computer dann neu. Falls das Netzwerk ke<strong>in</strong>en DHCP-Server verwendet,<br />
sollten Sie e<strong>in</strong>e statische oder alternative IPv4-Adresse konfigurieren, die Ihnen Ihr<br />
Netzwerkadm<strong>in</strong>istrator nennt.<br />
Schnelltest<br />
Woran erkennen Sie e<strong>in</strong>e APIPA-Adresse?<br />
Antwort zum Schnelltest<br />
Sie beg<strong>in</strong>nt mit 169.254.<br />
Praxistipp<br />
Tony Northrup<br />
Falls Sie ke<strong>in</strong>e Adresse vom DHCP-Server bekommen, aber mit dem Netzwerk verbunden<br />
zu se<strong>in</strong> sche<strong>in</strong>en, können Sie versuchsweise von Hand e<strong>in</strong>e IP-Adresse auf dem Computer<br />
e<strong>in</strong>tragen. Melden Sie sich erst an e<strong>in</strong>em Computer an, der e<strong>in</strong>wandfrei im Netzwerk<br />
funktioniert, und notieren Sie sich se<strong>in</strong>e IP-Adresse, Subnetzmaske, Standardgateway und<br />
DNS-Serveradressen. Trennen Sie diesen anderen Computer dann vom Netzwerk oder<br />
schalten Sie ihn vollständig aus. Konfigurieren Sie nun den Computer, dessen Verb<strong>in</strong>dungsprobleme<br />
Sie behandeln, so, dass er die IP-Konfiguration des anderen Computers<br />
verwendet. Sofern mit der neuen Konfiguration alles richtig funktioniert, wissen Sie, dass<br />
das Problem lediglich beim DHCP-Server liegt, und nicht bei der Netzwerk<strong>in</strong>frastruktur.<br />
Wenn Sie mithilfe dieser Technik festgestellt haben, ob der DHCP-Server die Ursache für<br />
das Problem ist, sollten Sie den Computer sofort wieder so konfigurieren, dass er als<br />
DHCP-Client arbeitet. Zwei Computer im selben Netzwerk dürfen niemals dieselbe IP-<br />
Adresse haben.
60 Kapitel 2: Netzwerk<br />
Behandeln von Verb<strong>in</strong>dungsproblemen<br />
Netzwerkverb<strong>in</strong>dungsprobleme verh<strong>in</strong>dern, dass irgende<strong>in</strong>e Anwendung auf e<strong>in</strong>e Netzwerkressource<br />
zugreifen kann. Dagegen verh<strong>in</strong>dern Anwendungsverb<strong>in</strong>dungsprobleme nur, dass<br />
bestimmte Anwendungen auf Ressourcen zugreifen können. Die meisten Netzwerkverb<strong>in</strong>dungsprobleme<br />
werden durch folgende Ursachen ausgelöst (mit abnehmender Wahrsche<strong>in</strong>lichkeit):<br />
Falsch konfigurierter Netzwerkadapter<br />
Falsch konfigurierte Netzwerkhardware<br />
Unterbrochene Netzwerkverb<strong>in</strong>dung<br />
Defekte Netzwerkkabel<br />
Defekter Netzwerkadapter<br />
Defekte Netzwerkhardware<br />
Anwendungsverb<strong>in</strong>dungsprobleme werden dagegen meist durch die folgenden Probleme<br />
ausgelöst (von sehr wahrsche<strong>in</strong>lich bis weniger wahrsche<strong>in</strong>lich):<br />
Der Remotedienst läuft nicht. Wenn Sie beispielsweise versuchen, e<strong>in</strong>en Computer im<br />
Remotezugriff zu steuern, ist auf dem Remotecomputer möglicherweise der Remotedesktop<br />
nicht aktiviert.<br />
Der Remoteserver hat e<strong>in</strong>e Firewallkonfiguration, die die Kommunikation dieser<br />
Anwendung vom Clientcomputer blockiert.<br />
E<strong>in</strong>e Firewall zwischen Client- und Servercomputer blockiert die Kommunikation der<br />
Anwendung.<br />
Die <strong>W<strong>in</strong>dows</strong>-Firewall auf dem lokalen Computer ist so konfiguriert, dass sie den<br />
Verkehr der Anwendung blockiert.<br />
Der Remotedienst wurde so konfiguriert, dass er e<strong>in</strong>e andere als die standardmäßige<br />
Portnummer verwendet. Zum Beispiel verwenden Webserver normalerweise TCP-Port<br />
80, aber manche Adm<strong>in</strong>istratoren konfigurieren TCP-Port 81 oder e<strong>in</strong>en anderen Port.<br />
Die folgenden Abschnitte beschreiben, wie Sie Netzwerk- und Anwendungsverb<strong>in</strong>dungsprobleme<br />
beseitigen.<br />
So beseitigen Sie Netzwerkverb<strong>in</strong>dungsprobleme von Hand<br />
Sie können die Ursache e<strong>in</strong>es Verb<strong>in</strong>dungsproblems ohne Hilfe der <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose<br />
identifizieren, <strong>in</strong>dem Sie entsprechend dem folgenden Schema vorgehen und die<br />
Fragen beantworten, bis Sie auf e<strong>in</strong>en anderen Abschnitt verwiesen werden:<br />
1. Klicken Sie auf das Netzwerksymbol <strong>in</strong> der Taskleiste und wählen Sie den Befehl Netzwerk-<br />
und Freigabecenter öffnen.<br />
Falls e<strong>in</strong> rotes »X«-Symbol über e<strong>in</strong>er Netzwerkverb<strong>in</strong>dung angezeigt wird, können<br />
Sie auf die Verb<strong>in</strong>dung klicken, um die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose zu starten. Folgen<br />
Sie den angezeigten Anleitungen. Falls sich das rote »X« zwischen dem <strong>in</strong>ternen<br />
Netzwerk und dem Internet bef<strong>in</strong>det, handelt es sich um e<strong>in</strong> Problem mit der Internetverb<strong>in</strong>dung,<br />
nicht mit dem lokalen Computer. Bitten Sie den Netzwerkadm<strong>in</strong>istrator<br />
um Hilfe.
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 61<br />
Falls ke<strong>in</strong>e Netzwerkadapter aufgeführt werden, ist entweder ke<strong>in</strong> Netzwerkadapter<br />
vorhanden, die Netzwerkadapter s<strong>in</strong>d deaktiviert, die Hardware ist defekt oder der<br />
Treiber funktioniert nicht. Aktivieren Sie alle eventuell deaktivierten Netzwerkadapter.<br />
Starten Sie den Computer neu, wenn das Problem weiterh<strong>in</strong> besteht. Falls der<br />
Netzwerkadapter nun immer noch nicht verfügbar ist, sollten Sie das Problem im<br />
Geräte-Manager diagnostizieren. Aktualisieren Sie die Treiber, sofern e<strong>in</strong>e neuere<br />
Version verfügbar ist. Verwenden Sie dazu Microsoft Update oder suchen Sie auf der<br />
Website des Herstellers nach e<strong>in</strong>em Update.<br />
2. Können andere Computer e<strong>in</strong>e Verb<strong>in</strong>dung zum selben Netzwerk herstellen? Falls nicht,<br />
liegt das Problem beim Netzwerk und nicht beim Computer, für den Sie e<strong>in</strong>e Problembehandlung<br />
durchführen. Bitten Sie den Netzwerkadm<strong>in</strong>istrator um Hilfe.<br />
3. Können Sie Verb<strong>in</strong>dungen zu anderen Netzwerkressourcen herstellen? Falls Sie zum<br />
Beispiel im Web surfen, aber ke<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em freigegebenen Ordner herstellen<br />
können, haben Sie es wahrsche<strong>in</strong>lich mit e<strong>in</strong>em Anwendungsverb<strong>in</strong>dungsproblem zu<br />
tun. Weitere Informationen f<strong>in</strong>den Sie im Abschnitt »So führen Sie e<strong>in</strong>e Problembehandlung<br />
für Anwendungsverb<strong>in</strong>dungsprobleme durch« weiter unten <strong>in</strong> dieser Lektion.<br />
4. Öffnen Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung und führen Sie den Befehl ipconfig /all aus. Sehen<br />
Sie sich die Ausgaben an:<br />
Falls der Computer e<strong>in</strong>e IP-Adresse im Bereich 169.254.0.0 bis 169.254.255.255 hat,<br />
ist er so konfiguriert, dass er DHCP-Adressierung verwendet, aber es war ke<strong>in</strong> DHCP-<br />
Server verfügbar. Folgen Sie den Anleitungen im Abschnitt »Problembehandlung für<br />
e<strong>in</strong>e APIPA-Adresse« weiter oben <strong>in</strong> dieser Lektion.<br />
Falls Sie e<strong>in</strong>e gültige IP-Adresse haben, aber ke<strong>in</strong> Standardgateway oder ke<strong>in</strong>en<br />
DNS-Server, wird das Problem durch e<strong>in</strong>e ungültige IP-Konfiguration verursacht.<br />
Sofern der Computer e<strong>in</strong>e über DHCP zugewiesene IP-Adresse hat, sollten Sie von<br />
e<strong>in</strong>er adm<strong>in</strong>istrativen E<strong>in</strong>gabeaufforderung aus die Befehle ipconfig /release und<br />
ipconfig /renew ausführen. Wurde der Computer von Hand mit e<strong>in</strong>er IP-Adresse<br />
konfiguriert, bekommen Sie die richtige Konfiguration von e<strong>in</strong>em Netzwerkadm<strong>in</strong>istrator.<br />
Falls ke<strong>in</strong>e Netzwerkadapter aufgelistet werden, hat der Computer entweder überhaupt<br />
ke<strong>in</strong>e Netzwerkkarte oder (wahrsche<strong>in</strong>licher) es ist ke<strong>in</strong> gültiger Treiber <strong>in</strong>stalliert.<br />
Identifizieren Sie die Netzwerkkarte im Geräte-Manager und <strong>in</strong>stallieren Sie<br />
e<strong>in</strong>en aktualisierten Treiber. Falls die Hardware defekt ist, müssen Sie die Netzwerkkarte<br />
austauschen (oder e<strong>in</strong>e neue Netzwerkkarte e<strong>in</strong>bauen, sofern die bisherige<br />
Netzwerkkarte <strong>in</strong>tegriert ist).<br />
Falls alle Netzwerkkarten als Medienstatus die Meldung »Medium getrennt« anzeigen,<br />
ist der Computer nicht physisch mit e<strong>in</strong>em Netzwerk verbunden. Verb<strong>in</strong>den Sie<br />
den Computer mit e<strong>in</strong>em Kabel- oder Drahtlosnetzwerk. Wenn Sie e<strong>in</strong> Kabelnetzwerk<br />
haben und trotzdem diesen Fehler erhalten, sollten Sie beide Enden des Netzwerkkabels<br />
abziehen und wieder e<strong>in</strong>stecken. Besteht das Problem weiterh<strong>in</strong>, sollten<br />
Sie das Netzwerkkabel austauschen. Versuchen Sie, das Netzwerkkabel auf e<strong>in</strong>em<br />
anderen Computer e<strong>in</strong>zustecken und dort e<strong>in</strong>e Verb<strong>in</strong>dung herzustellen. Falls der<br />
neue Computer erfolgreich e<strong>in</strong>e Verb<strong>in</strong>dung herstellt, ist die Netzwerkkarte auf dem<br />
ursprünglichen Computer defekt. Kann ke<strong>in</strong>er der beiden Computer e<strong>in</strong>e Verb<strong>in</strong>dung
62 Kapitel 2: Netzwerk<br />
herstellen, besteht e<strong>in</strong> Problem mit dem Netzwerkkabel, dem Netzwerkswitch oder<br />
dem Netzwerkhub. Ersetzen Sie die defekte Netzwerkhardware.<br />
Falls alle Netzwerkkarten <strong>in</strong> der Ausgabe des Befehls ipconfig /all die Meldung<br />
»DHCP-Aktiviert: Ne<strong>in</strong>« anzeigen, ist unter Umständen die Netzwerkkarte falsch<br />
konfiguriert. Wenn DHCP deaktiviert ist, hat der Computer e<strong>in</strong>e statische IPv4-<br />
Adresse. Das ist für Clientcomputer e<strong>in</strong>e ungewöhnliche Konfiguration. Ändern Sie<br />
die IPv4-Konfiguration der Netzwerkkarte, sodass die Optionen IP-Adresse automatisch<br />
beziehen und DNS-Serveradresse automatisch beziehen ausgewählt s<strong>in</strong>d.<br />
Konfigurieren Sie dann die Registerkarte Alternative Konfiguration im IP-Eigenschaftendialogfeld<br />
mit der aktuellen statischen IP-Konfiguration.<br />
5. Falls Sie e<strong>in</strong>e gültige IP-Adresse haben und Ihr Standardgateway mit e<strong>in</strong>er P<strong>in</strong>g-Anforderung<br />
erreichen, sollten Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den Befehl nslookup<br />
Servername ausführen. Wenn Nslookup e<strong>in</strong>en gültigen Namen nicht auflösen kann und<br />
ke<strong>in</strong>e Antwort anzeigt, die ähnlich aussieht wie im folgenden Beispiel, handelt es sich<br />
um e<strong>in</strong> Namensauflösungsproblem. Weitere Informationen f<strong>in</strong>den Sie im Abschnitt<br />
»So führen Sie e<strong>in</strong>e Problembehandlung für Namensauflösungsprobleme durch« <strong>in</strong><br />
Lektion 2.<br />
C:\>nslookup contoso.com<br />
Non-authoritative answer:<br />
Name: contoso.com<br />
Addresses: 10.46.232.182, 10.46.130.117<br />
Mit diesen Problembehandlungsschritten müssten Sie <strong>in</strong> der Lage se<strong>in</strong>, die Ursache für die<br />
meisten Netzwerkprobleme zu identifizieren.<br />
Schnelltest<br />
Welche zwei Befehle führen Sie aus, um e<strong>in</strong>e neue IP-Adresse vom DHCP-Server zu<br />
erhalten?<br />
Antwort zum Schnelltest<br />
ipconfig /release und ipconfig /renew.<br />
So führen Sie e<strong>in</strong>e Fehlerbehandlung für Anwendungsverb<strong>in</strong>dungsprobleme durch<br />
Wenn e<strong>in</strong>e Anwendung (oder e<strong>in</strong> Netzwerkprotokoll) richtig arbeitet, aber andere nicht,<br />
haben Sie es mit e<strong>in</strong>em Anwendungsverb<strong>in</strong>dungsproblem zu tun. Gehen Sie dann folgendermaßen<br />
vor, um e<strong>in</strong>e Problembehandlung durchzuführen:<br />
1. Stellen Sie sicher, dass Sie es nicht mit e<strong>in</strong>em Namensauflösungsproblem zu tun haben,<br />
<strong>in</strong>dem Sie mit Nslookup den Namen des Servers abfragen, zu dem Sie e<strong>in</strong>e Verb<strong>in</strong>dung<br />
herstellen wollen. Wenn Nslookup den Namen nicht auflösen kann, können Sie <strong>in</strong> Lektion<br />
2 weiterlesen.<br />
2. Oft blockiert e<strong>in</strong>e Firewall die Kommunikation Ihrer Anwendung. Bevor Sie testen können,<br />
ob das der Fall ist, müssen Sie ermitteln, welches Netzwerkprotokoll und welche<br />
Portnummer die Anwendung benutzt. Tabelle 2.1 listet Portnummern für wichtige Anwendungen<br />
auf. Wenn Sie nicht sicher s<strong>in</strong>d, welche Portnummern Ihre Anwendung verwendet,<br />
können Sie im Anwendungshandbuch nachschlagen oder sich an den technischen
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 63<br />
<strong>Support</strong> wenden. Auch e<strong>in</strong>e Internetsuche nach den Begriffen »<br />
port number« liefert oft die benötigten Portnummern. Manche Adm<strong>in</strong>istratoren ändern<br />
die Portnummern auf andere als die Standardwerte. In e<strong>in</strong>em solchen Fall müssen Sie<br />
den Adm<strong>in</strong>istrator nach der richtigen Portnummer fragen.<br />
Tabelle 2.1 Standardports für wichtige Dienste und Aufgaben<br />
Dienstname oder Aufgabe UDP (User Data- TCP (Transmission<br />
gram Protocol) Control Protocol)<br />
Webserver, HTTP und Internet<strong>in</strong>formationsdienste<br />
(Internet Information Services, IIS)<br />
– 80<br />
Webserver, die HTTPS (Hypertext Transfer Protocol<br />
Secure) benutzen<br />
– 443<br />
FTP-Server (File Transfer Protocol) 20, 21<br />
DNS-Abfragen 53 53<br />
DHCP-Client 67<br />
Datei- und Druckerfreigabe 137 139, 445<br />
Internet Relay Chat (IRC) 6667<br />
E<strong>in</strong>gehende E-Mail: Internet Mail Access Protocol<br />
(IMAP)<br />
143<br />
E<strong>in</strong>gehende E-Mail: IMAP (Secure Sockets Layer<br />
[SSL])<br />
993<br />
E<strong>in</strong>gehende E-Mail: Post Office Protocol 3 (POP3) 110<br />
E<strong>in</strong>gehende E-Mail: POP3 (SSL) 995<br />
Ausgehende E-Mail: Simple Mail Transfer Protocol<br />
(SMTP)<br />
25<br />
Verb<strong>in</strong>den mit e<strong>in</strong>em AD DS-Domänencontroller<br />
(Active Directory Doma<strong>in</strong> Services)<br />
Netzwerkverwaltung: Simple Network Management<br />
Protocol (SNMP)<br />
389, 53, 88 135, 389, 636, 3268,<br />
3269, 53, 88, 445<br />
161, 162<br />
SQL Server 1433<br />
Telnet 23<br />
Term<strong>in</strong>alserver, Remotedesktop und Remoteunterstützung<br />
3389<br />
VMRC-Client (Virtual Mach<strong>in</strong>e Remote Control) für<br />
Microsoft Virtual Server 2005 R2<br />
5900<br />
3. Wenn Sie ermittelt haben, welche Portnummern Ihre Anwendung benötigt, können Sie<br />
testen, ob Sie von Hand e<strong>in</strong>e Verb<strong>in</strong>dung zu diesem Port auf dem Server herstellen<br />
können. Handelt es sich um e<strong>in</strong>en TCP-Port, können Sie entweder PortQry oder Telnet<br />
verwenden. Wenn Sie e<strong>in</strong>en TCP-Port mit Telnet testen wollen (bei Bedarf müssen Sie<br />
dazu im Systemsteuerungselement <strong>W<strong>in</strong>dows</strong>-Funktionen aktivieren oder deaktivieren das<br />
Feature Telnet-Client e<strong>in</strong>schalten), müssen Sie den folgenden Befehl ausführen:<br />
telnet Hostname_oder_Adresse TCP-Port
64 Kapitel 2: Netzwerk<br />
Zum Beispiel stellen Sie mit dem folgenden Befehl fest, ob Sie e<strong>in</strong>e Verb<strong>in</strong>dung zum<br />
Webserver www.microsoft.com (der Port 80 benutzt) herstellen können:<br />
telnet www.microsoft.com 80<br />
Wenn die E<strong>in</strong>gabeaufforderung gelöscht oder Text vom Remotedienst angezeigt wird, haben<br />
Sie erfolgreich e<strong>in</strong>e Verb<strong>in</strong>dung hergestellt. Das bedeutet, dass es sich nicht um e<strong>in</strong> Anwendungsverb<strong>in</strong>dungsproblem<br />
handelt. Stattdessen haben Sie es möglicherweise mit e<strong>in</strong>em<br />
Authentifizierungsproblem zu tun oder mit e<strong>in</strong>em Problem <strong>in</strong> der Client- oder Serversoftware.<br />
Falls Telnet meldet »Es konnte ke<strong>in</strong>e Verb<strong>in</strong>dung mit dem Host hergestellt werden«, steht<br />
fest, dass es sich tatsächlich um e<strong>in</strong> Anwendungsverb<strong>in</strong>dungsproblem handelt. Entweder ist<br />
der Server offl<strong>in</strong>e oder e<strong>in</strong>e falsch konfigurierte Firewall blockiert den Netzwerkverkehr der<br />
Anwendung. Gehen Sie folgendermaßen vor, um die Problembehandlung fortzusetzen:<br />
1. Stellen Sie sicher, dass der Server onl<strong>in</strong>e ist, <strong>in</strong>dem Sie e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em anderen<br />
Dienst herstellen, der auf demselben Server läuft. Wenn Sie zum Beispiel versuchen,<br />
e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Webserver herzustellen, und wissen, dass auf diesem Server<br />
e<strong>in</strong>e Dateifreigabe aktiviert ist, können Sie versuchen, auf den freigegebenen Ordner<br />
zuzugreifen. Falls Sie e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em anderen Dienst herstellen können, handelt<br />
es sich fast sicher um e<strong>in</strong> Firewallkonfigurationsproblem auf dem Server. Wenn Sie<br />
nicht wissen, welche anderen Dienste auf dem Server laufen, können Sie beim Serveradm<strong>in</strong>istrator<br />
nachfragen, ob der Computer e<strong>in</strong>wandfrei läuft.<br />
2. Versuchen Sie, von anderen Computern im selben und dann <strong>in</strong> anderen Subnetzen e<strong>in</strong>e<br />
Verb<strong>in</strong>dung herzustellen. Wenn Sie von e<strong>in</strong>em Computer im selben Subnetz aus e<strong>in</strong>e<br />
Verb<strong>in</strong>dung bekommen, wird das Problem durch e<strong>in</strong>e Firewall oder e<strong>in</strong> Anwendungskonfigurationsproblem<br />
auf Ihrem Computer verursacht. Stellen Sie sicher, dass entweder<br />
für Ihre Anwendung oder für die benutzten Portnummern e<strong>in</strong>e Firewallausnahme erstellt<br />
wurde. (Weitere Informationen f<strong>in</strong>den Sie <strong>in</strong> Kapitel 5, »Schützen von Clientsystemen«.)<br />
Sofern Sie von e<strong>in</strong>em Clientcomputer <strong>in</strong> e<strong>in</strong>em anderen Subnetz aus e<strong>in</strong>e Verb<strong>in</strong>dung<br />
bekommen, aber nicht aus demselben Subnetz, filtert wahrsche<strong>in</strong>lich e<strong>in</strong>e Firewall im<br />
Netzwerk oder auf dem Server den Verkehr, der aus dem Netzwerk Ihres Clients stammt.<br />
Bitten Sie e<strong>in</strong>en Netzwerkadm<strong>in</strong>istrator um Hilfe.<br />
Übung Behandeln e<strong>in</strong>es Verb<strong>in</strong>dungsproblems<br />
In dieser Übung untersuchen und beseitigen Sie zwei häufige Netzwerkprobleme.<br />
Übung 1 E<strong>in</strong> Netzwerkproblem automatisch reparieren<br />
In dieser Übung führen Sie e<strong>in</strong>e Batchdatei aus, um e<strong>in</strong> Netzwerkproblem auszulösen. Dieses<br />
Problem untersuchen Sie dann mit der <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose. Diese Übung simuliert<br />
e<strong>in</strong> Netzwerkproblem auf Ihrem Computer. Bevor Sie die Batchdatei ausführen, sollten Sie<br />
sicherstellen, dass Sie mit dem Netzwerk verbunden s<strong>in</strong>d und auf Netzwerkressourcen zugreifen<br />
können. Bereiten Sie auch alles so vor, dass ke<strong>in</strong>e Daten verloren gehen, wenn Sie<br />
vom Netzwerk getrennt werden. Führen Sie diese Übung nicht auf e<strong>in</strong>em Server oder e<strong>in</strong>em<br />
anderen Computer durch, dessen Ausfall Auswirkungen auf andere Benutzer hat.
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 65<br />
1. Installieren Sie die Übungsdateien von der Begleit-CD auf Ihrem Computer und wechseln<br />
Sie <strong>in</strong> den Ordner mit den Übungsdateien für Kapitel 2. Klicken Sie mit der rechten<br />
Maustaste auf die Batchdatei Chapter2-Lesson1-Exercise1.bat und wählen Sie den Befehl<br />
Als Adm<strong>in</strong>istrator ausführen.<br />
2. Ignorieren Sie das Befehlsfenster, das daraufh<strong>in</strong> ersche<strong>in</strong>t; die Batchdatei simuliert lediglich<br />
e<strong>in</strong>en Netzwerkausfall. Nun können Sie sich an die Problembehandlung machen.<br />
3. Öffnen Sie den Internet Explorer und versuchen Sie, sich e<strong>in</strong>e Website anzusehen. Sie<br />
stellen fest, dass das Internet nicht verfügbar ist.<br />
4. Klicken Sie mit der rechten Maustaste auf das Netzwerksymbol <strong>in</strong> der Taskleiste (es<br />
müsste nun mit e<strong>in</strong>em roten X markiert se<strong>in</strong>) und wählen Sie den Befehl Netzwerk- und<br />
Freigabecenter öffnen.<br />
5. Das Netzwerk- und Freigabecenter wird geöffnet und zeigt die Netzwerkübersicht an.<br />
6. Klicken Sie <strong>in</strong> der Netzwerkübersicht auf das rote »X«-Symbol, das anzeigt, dass Sie<br />
nicht mit dem LAN verbunden s<strong>in</strong>d.<br />
7. Folgen Sie den angezeigten Problembehandlungsschritten und versuchen Sie, die vorgeschlagenen<br />
Reparaturen als Adm<strong>in</strong>istrator ausführen zu lassen. Klicken Sie auf den<br />
angezeigten Lösungsvorschlag, sobald die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose das Problem<br />
identifiziert hat.<br />
Die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose beseitigt das Netzwerkproblem. Wie Sie sehen, war<br />
das Vorgehen so simpel, dass jeder Benutzer es selbst erledigen kann. Diese Übung<br />
demonstriert zwar, wie Sie die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose aus dem Netzwerk- und<br />
Freigabecenter heraus starten, Sie können stattdessen aber auch im Internet Explorer auf<br />
Diagnose von Verb<strong>in</strong>dungsproblemen klicken oder mit der rechten Maustaste auf das<br />
Netzwerksymbol klicken und den Befehl Problembehandlung wählen.<br />
Übung 2 E<strong>in</strong> Netzwerkproblem von Hand beseitigen<br />
In dieser Übung führen Sie e<strong>in</strong>e Batchdatei aus, um e<strong>in</strong> Netzwerkproblem zu erzeugen, und<br />
untersuchen das Problem dann mithilfe der Tools für die manuelle Netzwerkproblembehandlung.<br />
Diese Übung simuliert e<strong>in</strong> Netzwerkproblem auf Ihrem Computer. Bevor Sie die Batchdatei<br />
ausführen, sollten Sie sicherstellen, dass Sie mit dem Netzwerk verbunden s<strong>in</strong>d und auf<br />
Netzwerkressourcen zugreifen können. Bereiten Sie auch alles so vor, dass ke<strong>in</strong>e Daten verloren<br />
gehen, wenn Sie vom Netzwerk getrennt werden. Führen Sie diese Übung nicht auf<br />
e<strong>in</strong>em Server oder e<strong>in</strong>em anderen Computer durch, dessen Ausfall Auswirkungen auf andere<br />
Benutzer hat.<br />
1. Wechseln Sie <strong>in</strong> den Ordner mit den Übungsdateien für dieses Kapitel. Kopieren Sie die<br />
Datei Chapter2-Lesson1-Exercise2.bat auf Ihren Desktop. Klicken Sie mit der rechten<br />
Maustaste auf die Datei und wählen Sie den Befehl Als Adm<strong>in</strong>istrator ausführen.<br />
Ignorieren Sie das Befehlsfenster, das daraufh<strong>in</strong> ersche<strong>in</strong>t; die Batchdatei simuliert lediglich<br />
e<strong>in</strong>en Netzwerkausfall. Nun können Sie sich an die Problembehandlung machen.<br />
2. Öffnen Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung und führen Sie den Befehl ipconfig /all aus.<br />
3. Sehen Sie sich die Ausgabe an.<br />
Beachten Sie, dass ke<strong>in</strong>e Netzwerkadapter aufgelistet werden. Um das Problem genauer<br />
zu untersuchen, sollten Sie sich die Konfiguration der Netzwerkadapter ansehen.
66 Kapitel 2: Netzwerk<br />
4. Klicken Sie auf das Netzwerksymbol <strong>in</strong> der Taskleiste (es müsste nun mit e<strong>in</strong>em roten X<br />
markiert se<strong>in</strong>) und wählen Sie den Befehl Netzwerk- und Freigabecenter öffnen.<br />
5. Klicken Sie im l<strong>in</strong>ken Fensterabschnitt auf Adaptere<strong>in</strong>stellungen ändern.<br />
6. Wie Sie sehen, s<strong>in</strong>d die Netzwerkadapter deaktiviert. Aktivieren Sie jeden Netzwerkadapter<br />
wieder, <strong>in</strong>dem Sie ihn mit der rechten Maustaste anklicken und den Befehl<br />
Aktivieren wählen.<br />
Warten Sie e<strong>in</strong>ige Sekunden, bis der Netzwerkadapter e<strong>in</strong>e neue IP-Adresse abgerufen<br />
hat. Prüfen Sie dann, ob Sie wieder e<strong>in</strong>e Verb<strong>in</strong>dung zum Netzwerk haben.<br />
Zusammenfassung der Lektion<br />
Die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose kann viele häufig vorkommende Netzwerkprobleme<br />
automatisch identifizieren. Die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose lässt sich an vielen Stellen<br />
starten. Der Benutzer wird oft aufgefordert, sie auszuführen, wenn e<strong>in</strong> Netzwerkproblem<br />
erkannt wird.<br />
Mit P<strong>in</strong>g können Sie die Verb<strong>in</strong>dung zu e<strong>in</strong>em Remotehost testen. PathP<strong>in</strong>g funktioniert<br />
ähnlich, listet aber auch die Router zwischen Ihnen und dem Remotehost auf. Mit Port-<br />
Qry oder Telnet können Sie feststellen, ob e<strong>in</strong> Remoteserver Verb<strong>in</strong>dungen an e<strong>in</strong>em<br />
bestimmten Port annimmt. Mit Nslookup können Sie DNS-Namensauflösungsprobleme<br />
untersuchen.<br />
Wenn beim Zugriff auf freigegebene Ordner Probleme auftreten, können Sie die Problembehandlung<br />
entweder auf dem Client oder dem Server durchführen. Meist wird das Problem<br />
dadurch verursacht, dass die Privilegien nicht ausreichen. Es kann aber auch se<strong>in</strong>,<br />
dass der Server offl<strong>in</strong>e ist, die <strong>W<strong>in</strong>dows</strong>-Firewall die Verb<strong>in</strong>dung blockiert oder e<strong>in</strong>e<br />
Netzwerkfirewall den Netzwerkverkehr filtert.<br />
APIPA-Adressen liegen im Bereich 169.254.0.0 bis 169.254.255.255. Falls e<strong>in</strong> Computer<br />
e<strong>in</strong>e dieser Adressen zugewiesen bekommt, ist er so konfiguriert, dass er e<strong>in</strong>e DHCP-<br />
Adresse erhalten soll, aber es war ke<strong>in</strong> DHCP-Server verfügbar. Sie können dieses Problem<br />
beseitigen, <strong>in</strong>dem Sie sicherstellen, dass e<strong>in</strong> DHCP-Server onl<strong>in</strong>e ist, und dann die<br />
DHCP-Konfiguration mit den Befehlen ipconfig /release und ipconfig /renew aktualisieren.<br />
Verb<strong>in</strong>dungsprobleme werden entweder durch das Netzwerk oder die Anwendung verursacht.<br />
Netzwerkverb<strong>in</strong>dungsprobleme verh<strong>in</strong>dern, dass überhaupt Verkehr ausgetauscht<br />
werden kann. Anwendungsverb<strong>in</strong>dungsprobleme blockieren nur den jeweiligen Verkehr<br />
e<strong>in</strong>er Anwendung. Normalerweise treten Anwendungsverb<strong>in</strong>dungsprobleme auf, weil<br />
auf dem Server ke<strong>in</strong>e <strong>W<strong>in</strong>dows</strong>-Firewallausnahme erstellt wurde oder e<strong>in</strong>e Netzwerkfirewall<br />
die Kommunikation der Anwendung blockiert.<br />
Lernzielkontrolle<br />
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 1, »Problembehandlung<br />
für die Netzwerkkonnektivität«, überprüfen. Die Fragen f<strong>in</strong>den Sie (<strong>in</strong> englischer<br />
Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im<br />
Rahmen e<strong>in</strong>es Übungstests beantworten.
H<strong>in</strong>weis Die Antworten<br />
Lektion 1: Problembehandlung für die Netzwerkkonnektivität 67<br />
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglichkeiten<br />
richtig oder falsch s<strong>in</strong>d, f<strong>in</strong>den Sie im Abschnitt »Antworten« am Ende dieses Buchs.<br />
1. Microsoft Office Outlook zeigt e<strong>in</strong>e Fehlermeldung an, wenn Sie versuchen, Ihre Mail<br />
herunterzuladen. Sie stellen fest, dass Sie e<strong>in</strong>e Verb<strong>in</strong>dung zu anderen Computern im<br />
Netzwerk herstellen können. Welche Tools sollten Sie verwenden, um festzustellen, ob<br />
der Mailserver auf e<strong>in</strong>gehende E-Mail-Anforderungen antwortet? (Wählen Sie alle zutreffenden<br />
Antworten aus.)<br />
A. P<strong>in</strong>g<br />
B. Telnet<br />
C. PortQry<br />
D. PathP<strong>in</strong>g<br />
2. Welche der folgenden IP-Adressen bedeutet, dass e<strong>in</strong> Clientcomputer ke<strong>in</strong>e IP-Adresse<br />
von e<strong>in</strong>em DHCP-Server abrufen konnte und ke<strong>in</strong>e alternative Konfiguration hat?<br />
A. 10.24.68.20<br />
B. 127.0.0.1<br />
C. 192.168.22.93<br />
D. 169.254.43.98<br />
3. Es gel<strong>in</strong>gt Ihnen nicht, e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Server im Internet herzustellen. Server<br />
im Intranet erreichen Sie dagegen problemlos. Sie wollen herausf<strong>in</strong>den, ob Ihr lokaler<br />
Router ausgefallen ist, Probleme bei Ihrem Internetprovider auftreten oder e<strong>in</strong> anderer<br />
Internetprovider für den Fehler verantwortlich ist. Welche Tools benutzen Sie, um das<br />
Problem am effizientesten e<strong>in</strong>zukreisen? (Wählen Sie alle zutreffenden Antworten aus.)<br />
A. Nslookup<br />
B. Tracert<br />
C. Ipconfig<br />
D. PathP<strong>in</strong>g
68 Kapitel 2: Netzwerk<br />
Lektion 2: Problembehandlung für die Namensauflösung<br />
Computer verwenden IP-Adressen, um andere Computer im Netzwerk zu identifizieren. Menschen<br />
verwenden dafür normalerweise Hostnamen. Tippt jemand zum Beispiel den Hostnamen<br />
www.contoso.com <strong>in</strong> die Adressleiste des Internet Explorers e<strong>in</strong>, muss der Internet<br />
Explorer diesen Hostnamen <strong>in</strong> e<strong>in</strong>e IP-Adresse übersetzen, die beispielsweise 10.32.93.124<br />
lautet.<br />
Probleme bei der Namensauflösung können sich über ganz kle<strong>in</strong>e oder sehr große Bereiche<br />
erstrecken. Ist beispielsweise e<strong>in</strong>e ungültige IP-Adresse im DNS-Cache gespeichert, kann<br />
das bewirken, dass e<strong>in</strong> Client nicht auf e<strong>in</strong>en bestimmten Server zugreifen kann. Ist dagegen<br />
der DNS-Server offl<strong>in</strong>e, führt das zu e<strong>in</strong>em fast völligen Ausfall der Netzwerkkonnektivität<br />
für alle Clients, weil sie ke<strong>in</strong>e Verb<strong>in</strong>dung mehr zu den Netzwerkservern herstellen können.<br />
Diese Lektion beschreibt, woran Sie Namensauflösungsprobleme erkennen und wie Sie derartige<br />
Probleme beseitigen.<br />
Am Ende dieser Lektion werden Sie <strong>in</strong> der Lage se<strong>in</strong>, die folgenden Aufgaben auszuführen:<br />
Behandeln von Namensauflösungsproblemen mit Nslookup<br />
Anzeigen und Löschen des DNS-Cache<br />
Veranschlagte Zeit für diese Lektion: 20 M<strong>in</strong>uten<br />
So führen Sie e<strong>in</strong>e Problembehandlung für Namensauflösungsprobleme durch<br />
Bevor zwei Computer mite<strong>in</strong>ander kommunizieren können, muss der Client den Hostnamen<br />
des Servers (zum Beispiel www.contoso.com) <strong>in</strong> e<strong>in</strong>e IP-Adresse übersetzen (zum Beispiel<br />
192.168.10.233 oder die IPv6-Adresse 2001:db8::1). Diese Übersetzung wird als Namensauflösung<br />
(name resolution) bezeichnet. Meist führt e<strong>in</strong> DNS-Server die Namensauflösung<br />
durch und gibt die IP-Adresse an den Clientcomputer zurück.<br />
Wie bei den meisten Netzwerkproblemen sollten Sie zuerst e<strong>in</strong>mal die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose<br />
starten. Wenn dies das Problem nicht beseitigt, sollten Sie überprüfen, ob der Computer<br />
mit dem lokalen Netzwerk verbunden ist, und dann folgendermaßen vorgehen:<br />
1. Überprüfen Sie, ob Sie anhand der IP-Adressen Verb<strong>in</strong>dungen zu anderen Computern<br />
herstellen können. Sofern Sie ke<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Server erhalten, wenn Sie dessen<br />
IP-Adresse verwenden, ist die Ursache Ihrer Probleme die Netzwerkkonnektivität,<br />
nicht die Namensauflösung. Das können Sie testen, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung<br />
öffnen und den Befehl ipconfig ausführen. Notieren Sie sich das Standardgateway. Versuchen<br />
Sie dann, e<strong>in</strong>e P<strong>in</strong>g-Anforderung an das Standardgateway zu senden. Wenn das<br />
Standardgateway etwa die Adresse 192.168.1.1 hat, können Sie <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung<br />
den folgenden Befehl ausführen:<br />
p<strong>in</strong>g 192.168.1.1<br />
Erhalten Sie Antworten, haben Sie def<strong>in</strong>itiv e<strong>in</strong>e Verb<strong>in</strong>dung mit dem Netzwerk und Ihr<br />
Problem hat wahrsche<strong>in</strong>lich mit der Namensauflösung zu tun. Wenn Sie ke<strong>in</strong>e Antwort<br />
erhalten, s<strong>in</strong>d Sie möglicherweise nicht mit dem Netzwerk verbunden. Bevor Sie die<br />
Problembehandlung unter der Annahme fortsetzen, dass es sich um e<strong>in</strong> Namensauflösungsproblem<br />
handelt, sollten Sie sicherstellen, dass der Computer richtig mit dem<br />
lokalen Netzwerk verbunden ist.
Lektion 2: Problembehandlung für die Namensauflösung 69<br />
2. Öffnen Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung und versuchen Sie, mit Nslookup (e<strong>in</strong> Tool zum<br />
Testen der Namensauflösung) den Hostnamen aufzulösen, zu dem Sie e<strong>in</strong>e Verb<strong>in</strong>dung<br />
herstellen wollen. Das sieht beispielsweise so aus:<br />
nslookup www.microsoft.com<br />
Sehen Sie sich die Ausgabe unter folgenden Gesichtspunkten an:<br />
1. Falls Nslookup den Namen auflöst, ist die Namensauflösung nicht die Ursache des Problems.<br />
Möglicherweise ist der Server offl<strong>in</strong>e, e<strong>in</strong>e Firewall blockiert Ihren Verkehr, das<br />
Programm, das Sie verwenden, ist vielleicht falsch konfiguriert oder die Datenbank des<br />
DNS-Servers ist falsch und gibt e<strong>in</strong>e ungültige IP-Adresse zurück.<br />
2. Falls Nslookup nur »DNS request timed out« anzeigt (und den Namen auch später nicht<br />
auflöst), antworten Ihre DNS-Server nicht. Führen Sie Nslookup noch e<strong>in</strong>mal aus, um<br />
sicherzustellen, dass es sich nicht um e<strong>in</strong> kurzzeitiges Problem handelt. Stellen Sie dann<br />
sicher, dass Ihr Computer die richtigen IP-Adressen für die DNS-Server e<strong>in</strong>getragen hat.<br />
Sofern die IP-Adressen der DNS-Server richtig s<strong>in</strong>d, s<strong>in</strong>d die DNS-Server oder das<br />
Netzwerk, an das sie angeschlossen s<strong>in</strong>d, offl<strong>in</strong>e.<br />
Tipp Ermitteln der richtigen DNS-Serverkonfiguration<br />
Wenn Sie nicht sicher s<strong>in</strong>d, welche Adressen die DNS-Server haben, können Sie die<br />
Konfiguration e<strong>in</strong>es funktionierenden Computers im selben Netzwerk überprüfen.<br />
3. Falls Nslookup die Meldung »Default servers are not available« anzeigt, ist auf dem<br />
Computer ke<strong>in</strong> DNS-Server konfiguriert. Aktualisieren Sie die Netzwerkkonfiguration<br />
auf dem Client mit den IP-Adressen der DNS-Server oder konfigurieren Sie den Computer<br />
so, dass er automatisch e<strong>in</strong>e Adresse erhält. DHCP weist Clients praktisch immer<br />
DNS-Server zu.<br />
Praxistipp<br />
Tony Northrup<br />
Hier e<strong>in</strong> Tipp, wie Sie Namensauflösungsprobleme umgehen können: Falls der DNS-Server<br />
nicht richtig funktioniert oder e<strong>in</strong> DNS-Update noch nicht wirksam ist und Sie e<strong>in</strong>en<br />
bestimmten Server anhand se<strong>in</strong>es Namens erreichen müssen, können Sie den Namen und<br />
die IP-Adresse <strong>in</strong> die Textdatei Hosts des Computers e<strong>in</strong>tragen. Die Datei Hosts (sie hat<br />
ke<strong>in</strong>e Dateierweiterung) liegt <strong>in</strong> %W<strong>in</strong>Dir%\System32\Drivers\Etc\Hosts.<br />
Führen Sie erst auf e<strong>in</strong>em funktionierenden Computer den Befehl nslookup aus, um die<br />
IP-Adresse des Servers zu ermitteln. Fügen Sie diese Daten dann <strong>in</strong> die Datei Hosts e<strong>in</strong>.<br />
Sie können die Datei Hosts öffnen, <strong>in</strong>dem Sie den <strong>W<strong>in</strong>dows</strong>-Editor mit adm<strong>in</strong>istrativen<br />
Berechtigungen ausführen. Öffnen Sie dann im Editor die Datei %W<strong>in</strong>Dir%\System32\<br />
Drivers\Etc\Hosts (ohne Dateierweiterung). Damit die Namensauflösung ohne DNS<br />
funktioniert, können Sie Zeilen am Ende der Datei Hosts h<strong>in</strong>zufügen, wie hier für IPv4-<br />
und IPv6-Adressen demonstriert:<br />
192.168.1.10 www.contoso.com<br />
2001:db8::1 mail.fabrikam.com
<strong>70</strong> Kapitel 2: Netzwerk<br />
Speichern Sie die Datei Hosts und starten Sie den Webbrowser neu (sofern nötig). Nun<br />
verwendet <strong>W<strong>in</strong>dows</strong> die IP-Adresse, die Sie angegeben haben, statt e<strong>in</strong>e Abfrage an den<br />
DNS-Server zu schicken. Vergessen Sie nicht, die Zeile aus der Datei Hosts zu löschen,<br />
sobald DNS wieder richtig arbeitet. Andernfalls kann der Benutzer den Server nicht mehr<br />
erreichen, wenn sich se<strong>in</strong>e IP-Adresse ändert.<br />
Verwalten des DNS-Caches<br />
Anwendungen schicken meist mehrere Netzwerkanforderungen an denselben Server. Wenn<br />
Sie beispielsweise Dateien von e<strong>in</strong>em Webserver herunterladen, öffnet Internet Explorer 8<br />
bis zu 6 parallele Verb<strong>in</strong>dungen zum selben Server. Statt dabei 6 DNS-Anforderungen nach<br />
derselben Adresse h<strong>in</strong>tere<strong>in</strong>ander zu senden, speichert <strong>W<strong>in</strong>dows</strong> das Ergebnis der ersten<br />
Anforderung <strong>in</strong> e<strong>in</strong>em Cache und greift auf dieses zwischengespeicherte DNS-Ergebnis<br />
zurück, um bei den weiteren Anforderungen die IP-Adresse des Zielservers zu ermitteln.<br />
DNS-Anforderungen werden so zwischengespeichert, dass sie allen Benutzern zur Verfügung<br />
stehen. Sie können sich sogar den DNS-Cache ansehen, um herauszuf<strong>in</strong>den, zu welchen<br />
Computern andere Benutzer desselben Computers <strong>in</strong> letzter Zeit e<strong>in</strong>e Verb<strong>in</strong>dung hergestellt<br />
haben.<br />
Normalerweise brauchen Sie sich nicht um die Verwaltung des DNS-Caches zu kümmern.<br />
Für den Fall, dass e<strong>in</strong> E<strong>in</strong>griff notwendig ist, erfahren Sie <strong>in</strong> den folgenden Abschnitten, wie<br />
Sie den DNS-Cache anzeigen, löschen und deaktivieren.<br />
Anzeigen des DNS-Caches<br />
Sie zeigen den DNS-Cache an, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den folgenden<br />
Befehl ausführen:<br />
ipconfig /displaydns<br />
Die Ausgabe zeigt alle E<strong>in</strong>träge im DNS-Cache an, zusammen mit dem Typ des E<strong>in</strong>trags,<br />
se<strong>in</strong>er TTL (Time To Live) und dem A- oder CNAME-E<strong>in</strong>trag, auf den sich der E<strong>in</strong>trag bezieht.<br />
Die TTL legt fest, wie viele Sekunden der E<strong>in</strong>trag gültig bleibt. Sie wird vom primären<br />
DNS-Server für den abgefragten DNS-E<strong>in</strong>trag bestimmt.<br />
Das folgende Beispiel zeigt die Ausgabe des Befehls ipconfig /displaydns:<br />
<strong>W<strong>in</strong>dows</strong>-IP-Konfiguration<br />
www.contoso.com<br />
----------------------------------------<br />
E<strong>in</strong>tragsname . . . . : www.contoso.com<br />
E<strong>in</strong>tragstyp . . . . . : 1<br />
Gültigkeitsdauer . . : 40724<br />
Datenlänge . . . . . : 4<br />
Abschnitt . . . . . . : Antwort<br />
(Host-)A-E<strong>in</strong>trag . . : 10.32.98.220<br />
www.fabrikam.com<br />
----------------------------------------<br />
E<strong>in</strong>tragsname . . . . : www.fabrikam.com<br />
E<strong>in</strong>tragstyp . . . . . : 5<br />
Gültigkeitsdauer . . : 11229
Datenlänge . . . . . : 4<br />
Abschnitt . . . . . . : Antwort<br />
CNAME-E<strong>in</strong>trag . . . . : fabrikam.com<br />
Lektion 2: Problembehandlung für die Namensauflösung 71<br />
Löschen des DNS Caches<br />
Führen Sie den folgenden Befehl <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung aus, um den DNS-Cache zu<br />
löschen:<br />
ipconfig /flushdns<br />
Anschließend können Sie ipconfig /displaydns ausführen, um zu überprüfen, ob der DNS-<br />
Cache tatsächlich leer ist. In diesem Fall zeigt <strong>W<strong>in</strong>dows</strong> 7 die Meldung »Der DNS-Auflösungscache<br />
konnte nicht angezeigt werden« an.<br />
Deaktivieren des DNS-Caches<br />
Sie deaktivieren den DNS-Cache, <strong>in</strong>dem Sie den DNS-Clientdienst über den Knoten Dienste<br />
und Anwendungen\Dienste <strong>in</strong> der Konsole Computerverwaltung beenden oder <strong>in</strong> e<strong>in</strong>er adm<strong>in</strong>istrativen<br />
E<strong>in</strong>gabeaufforderung den folgenden Befehl ausführen:<br />
net stop dnscache<br />
Wenn Sie den DNS-Clientdienst beenden und neu starten, wird dabei auch der DNS-Cache<br />
gelöscht.<br />
Schnelltest<br />
Mit welchem Befehl leeren Sie den DNS-Cache?<br />
Antwort zum Schnelltest<br />
ipconfig /flushdns<br />
Übung Beseitigen e<strong>in</strong>es Namensauflösungsproblems<br />
In dieser Übung beseitigen Sie e<strong>in</strong> häufig auftretendes Namensauflösungsproblem.<br />
Übung Beseitigen e<strong>in</strong>es Namensauflösungsproblems<br />
In dieser Übung führen Sie e<strong>in</strong>e Batchdatei aus, um e<strong>in</strong> Netzwerkproblem auszulösen. Dann<br />
führen Sie e<strong>in</strong>e Problembehandlung mit mehreren Tools durch. Diese Übung simuliert e<strong>in</strong><br />
Netzwerkproblem auf Ihrem Computer. Bevor Sie die Batchdatei ausführen, sollten Sie<br />
sicherstellen, dass Sie mit dem Netzwerk verbunden s<strong>in</strong>d und auf Netzwerkressourcen zugreifen<br />
können. Bereiten Sie auch alles so vor, dass ke<strong>in</strong>e Daten verloren gehen, wenn Sie<br />
vom Netzwerk getrennt werden.<br />
1. Wechseln Sie <strong>in</strong> den Ordner mit den Übungsdateien für dieses Kapitel. Kopieren Sie die<br />
Datei Chapter2-Lesson2-Exercise1.bat auf Ihren Desktop. Klicken Sie mit der rechten<br />
Maustaste auf die Datei und wählen Sie den Befehl Als Adm<strong>in</strong>istrator ausführen.<br />
Ignorieren Sie das Befehlsfenster, das daraufh<strong>in</strong> ersche<strong>in</strong>t; die Batchdatei simuliert lediglich<br />
e<strong>in</strong>en Netzwerkausfall. Nun können Sie sich an die Problembehandlung machen.<br />
2. Öffnen Sie den Internet Explorer und versuchen Sie, e<strong>in</strong>e Webseite aufzurufen. Sie<br />
stellen fest, dass das Internet nicht verfügbar ist.
72 Kapitel 2: Netzwerk<br />
3. Klicken Sie auf der Fehlerseite, die im Internet Explorer angezeigt wird, auf Diagnose<br />
von Verb<strong>in</strong>dungsproblemen.<br />
Die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose versucht, das Problem zu identifizieren.<br />
4. Sehen Sie sich an, welches Problem die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose meldet. Klicken<br />
Sie dann auf Schließen. Das Problem besteht zu diesem Zeitpunkt weiterh<strong>in</strong>.<br />
5. Öffnen Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung, <strong>in</strong>dem Sie im Startmenü cmd e<strong>in</strong>geben und die<br />
EINGABETASTE drücken.<br />
6. Geben Sie den Befehl ipconfig /all e<strong>in</strong> und drücken Sie die EINGABETASTE, um sich<br />
die aktuelle Netzwerkkonfiguration anzusehen.<br />
7. Versuchen Sie, das Standardgateway mit P<strong>in</strong>g zu erreichen. Es müsste antworten. Daran<br />
erkennen Sie, dass Sie erfolgreich mit Ihrem LAN verbunden s<strong>in</strong>d.<br />
8. Führen Sie den Befehl nslookup www.microsoft.com aus. Wie Sie sehen, antwortet der<br />
DNS-Server nicht. Das kann auf verschiedene mögliche Probleme h<strong>in</strong>deuten:<br />
Der DNS-Server ist offl<strong>in</strong>e.<br />
E<strong>in</strong> Netzwerk, das Ihren Computer mit dem DNS-Server verb<strong>in</strong>det, ist offl<strong>in</strong>e.<br />
Auf Ihrem Computer ist die falsche DNS-Serveradresse konfiguriert.<br />
9. Stellen Sie sicher, dass die IP-Adresse des DNS-Servers richtig ist. Sie f<strong>in</strong>den die richtige<br />
DNS-Serveradresse <strong>in</strong> der Datei %W<strong>in</strong>Dir%\System32\Previous_ip_configuration.txt.<br />
Klicken Sie doppelt auf diese Datei und notieren Sie sich die richtige DNS-Serveradresse.<br />
Normalerweise bekommen Sie diese Adresse von Ihrem Netzwerkadm<strong>in</strong>istrator, aber<br />
die Batchdatei, die Sie ausgeführt haben, hat Ihre vorherige Netzwerkkonfiguration automatisch<br />
gespeichert.<br />
10. Weil die IP-Adresse des DNS-Servers anders ist, müssen Sie die Adresse korrigieren.<br />
Klicken Sie mit der rechten Maustaste auf das Netzwerksymbol <strong>in</strong> der Taskleiste und<br />
wählen Sie den Befehl Netzwerk- und Freigabecenter öffnen.<br />
11. Klicken Sie im Netzwerk- und Freigabecenter im Abschnitt Aktive Netzwerke anzeigen<br />
neben der Beschriftung Verb<strong>in</strong>dungen auf den Namen Ihres Netzwerkadapters.<br />
12. Klicken Sie auf Eigenschaften.<br />
13. Wählen Sie den E<strong>in</strong>trag Internetprotokoll Version 4 (TCP/IPv4) aus und klicken Sie auf<br />
die Schaltfläche Eigenschaften.<br />
14. Konfigurieren Sie Netzwerke<strong>in</strong>stellungen, die denen aus der Datei %W<strong>in</strong>Dir%\System32\<br />
Previous_ip_configuration.txt entsprechen. Wenn Sie DHCP benutzen, müssen Sie die<br />
Option DNS-Serveradresse automatisch beziehen auswählen, damit die Schnittstelle<br />
wieder die DNS-Serverkonfiguration verwendet, die der DHCP-Server liefert.<br />
15. Klicken Sie auf OK und dann zweimal auf Schließen.<br />
16. Kehren Sie zum Internet Explorer zurück und überprüfen Sie, ob Sie nun wieder Zugriff<br />
auf das Internet haben.
Zusammenfassung der Lektion<br />
Lektion 2: Problembehandlung für die Namensauflösung 73<br />
Namensauflösungsprobleme treten auf, wenn sowohl der Client als auch der Server<br />
onl<strong>in</strong>e s<strong>in</strong>d, aber der Client die IP-Adresse des Servers nicht ermitteln kann. Normalerweise<br />
werden Namensauflösungsprobleme durch e<strong>in</strong>e falsche DNS-Serverkonfiguration<br />
auf dem Client verursacht, durch e<strong>in</strong>en ausgefallenen DNS-Server oder durch e<strong>in</strong>en<br />
DNS-Server, der e<strong>in</strong>e falsche IP-Adresse für den Server gespeichert hat.<br />
Verwenden Sie den Befehl ipconfig, um den DNS-Cache anzuzeigen oder zu löschen.<br />
Mit ipconfig /displaydns zeigen Sie den Inhalt des DNS-Caches an. Mit ipconfig<br />
/flushdns löschen Sie den DNS-Cache. Es ist s<strong>in</strong>nvoll, den DNS-Cache zu löschen,<br />
wenn e<strong>in</strong> DNS-E<strong>in</strong>trag auf dem Server aktualisiert wurde, aber der Client den DNS-<br />
E<strong>in</strong>trag vor der Änderung abgefragt hat.<br />
Lernzielkontrolle<br />
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 2,<br />
»Problembehandlung für die Namensauflösung«, überprüfen. Die Fragen f<strong>in</strong>den Sie (<strong>in</strong><br />
englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer<br />
im Rahmen e<strong>in</strong>es Übungstests beantworten.<br />
H<strong>in</strong>weis Die Antworten<br />
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglichkeiten<br />
richtig oder falsch s<strong>in</strong>d, f<strong>in</strong>den Sie im Abschnitt »Antworten« am Ende dieses Buchs.<br />
1. Mit welchem Tool stellen Sie fest, ob e<strong>in</strong> Verb<strong>in</strong>dungsproblem, das bei Ihnen gerade<br />
auftritt, mit der Namensauflösung zu tun hat?<br />
A. Nslookup<br />
B. Ipconfig<br />
C. P<strong>in</strong>g<br />
D. Netstat<br />
2. Sie versuchen, auf e<strong>in</strong>en Internetwebserver zuzugreifen, erhalten aber die Fehlermeldung,<br />
»Die Webseite kann nicht angezeigt werden«. Sie ermitteln die IP-Adresse des<br />
Servers auf e<strong>in</strong>em Computer, der an e<strong>in</strong> anderes Netzwerk angeschlossen ist, und geben<br />
diese Adresse direkt <strong>in</strong> die Adressleiste des Internet Explorers e<strong>in</strong>. Diesmal wird die<br />
Webseite angezeigt. Welche Ursachen könnte das Problem haben? (Wählen Sie alle<br />
zutreffenden Antworten aus.)<br />
A. Der DNS-Server ist offl<strong>in</strong>e.<br />
B. Die Datei Hosts ist nicht vorhanden.<br />
C. Beim Client ist e<strong>in</strong> falscher DNS-Server konfiguriert.<br />
D. Der Client hat e<strong>in</strong>e APIPA-Adresse.<br />
3. E<strong>in</strong> Benutzer ruft Sie an, weil es ihm nicht gel<strong>in</strong>gt, e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em <strong>in</strong>ternen<br />
Datenbankserver herzustellen. Nach e<strong>in</strong>er Problembehandlung stellen Sie fest, dass der<br />
Datenbankserver offl<strong>in</strong>e ist. Sie nehmen Kontakt mit dem Datenbanksupportteam auf,<br />
das e<strong>in</strong>en Ersatzserver startet. Dieser Ersatzserver hat denselben Hostnamen, aber e<strong>in</strong>e
74 Kapitel 2: Netzwerk<br />
andere IP-Adresse. Sie versuchen, e<strong>in</strong>e Verb<strong>in</strong>dung zum Datenbankserver herzustellen,<br />
aber der Verb<strong>in</strong>dungsversuch schlägt fehl. Anderen Benutzern gel<strong>in</strong>gt es dagegen, e<strong>in</strong>e<br />
Verb<strong>in</strong>dung zum Datenbankserver aufzunehmen. Wie lösen Sie dieses Problem?<br />
A. Führen Sie den Befehl nslookup aus.<br />
B. Führen Sie die Befehle ipconfig /release und ipconfig /renew aus.<br />
C. Führen Sie den Befehl ipconfig /flushdns aus.<br />
D. Führen Sie den Befehl ipconfig /all aus.
Lektion 3: Problembehandlung für Drahtlosnetzwerke 75<br />
Lektion 3: Problembehandlung für Drahtlosnetzwerke<br />
Weil die Benutzeroberfläche von <strong>W<strong>in</strong>dows</strong> 7 so <strong>in</strong>tuitiv ist und Drahtlosnetzwerkverb<strong>in</strong>dungen<br />
über Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen <strong>in</strong> AD DS konfiguriert werden können, treten nur<br />
bei wenigen Benutzern Probleme mit Drahtlosnetzwerkverb<strong>in</strong>dungen auf. Allerd<strong>in</strong>gs können<br />
Fehler auftreten, wenn das Funksignal zu schwach ist, Hardware ausfällt oder falsche Sicherheitsdaten<br />
für das Netzwerk konfiguriert s<strong>in</strong>d. Aus diesem Grund ist die Problembehandlung<br />
für Drahtlosnetzwerke besonders wichtig.<br />
Diese Lektion beschreibt, wie Sie häufige Probleme im Bereich von Drahtlosnetzwerken<br />
untersuchen und beseitigen.<br />
Am Ende dieser Lektion werden Sie <strong>in</strong> der Lage se<strong>in</strong>, die folgenden Aufgaben auszuführen:<br />
Beschreiben des Zwecks von Drahtlosnetzwerken<br />
Herstellen e<strong>in</strong>er Verb<strong>in</strong>dung zu Drahtlosnetzwerken<br />
Konfigurieren von Drahtlosnetzwerkprofilen<br />
Ändern des Drahtlosnetzwerkprofiltyps, sodass es nicht für alle, sondern nur e<strong>in</strong>en<br />
bestimmten Benutzer gilt<br />
Behandeln häufiger Drahtlosnetzwerkprobleme<br />
Analysieren von Drahtlosverb<strong>in</strong>dungsproblemen mithilfe der Ereignisanzeige<br />
Veranschlagte Zeit für diese Lektion: 45 M<strong>in</strong>uten<br />
Grundlagen von Drahtlosnetzwerken<br />
Für die meisten Benutzer s<strong>in</strong>d mobile Computer viel nützlicher, wenn sie mit e<strong>in</strong>em Netzwerk<br />
verbunden s<strong>in</strong>d. Selbst wenn reisende Benutzer nur kurz zwischen zwei Flügen e<strong>in</strong>e Verb<strong>in</strong>dung<br />
mit e<strong>in</strong>em Netzwerk aufnehmen können, gibt ihnen dieser Netzwerkzugriff die Gelegenheit,<br />
E-Mails zu senden und zu empfangen, wichtige Nachrichten zu lesen und Dateien<br />
zu synchronisieren.<br />
Viele Flughäfen und Hotels stellen Kabelnetzwerkverb<strong>in</strong>dungen zur Verfügung, die mobile<br />
Benutzer verwenden können. Aber Kabelnetzwerke lassen sich schlecht skalieren, weil für<br />
jeden Benutzer e<strong>in</strong>e eigene Netzwerkbuchse benötigt wird. Außerdem s<strong>in</strong>d Kabelnetzwerkbuchsen<br />
an öffentlichen Orten schwierig zu warten, weil die Drähte brechen können oder die<br />
Buchsen mit diversen Materialien verstopft werden (es dauert meist nicht lang, bis e<strong>in</strong> Witzbold<br />
e<strong>in</strong>en Kaugummi <strong>in</strong> e<strong>in</strong>e Netzwerkbuchse gesteckt hat).<br />
Drahtlosnetzwerke (wireless network) s<strong>in</strong>d dagegen viel effizienter. E<strong>in</strong> e<strong>in</strong>ziger Drahtloszugriffspunkt<br />
(wireless access po<strong>in</strong>t) kann e<strong>in</strong>en Radius von bis zu 100 Metern bedienen und<br />
möglicherweise Hunderten von Benutzern den Netzwerkzugriff ermöglichen. Der Drahtloszugriffspunkt<br />
kann <strong>in</strong> e<strong>in</strong>em Schrank physisch geschützt werden, sodass er unbeschädigt<br />
bleibt. Außerdem brauchen die Benutzer ke<strong>in</strong>e Ethernetkabel mit sich herumzutragen, um<br />
die Verb<strong>in</strong>dung <strong>in</strong>s Netzwerk herzustellen.<br />
Aus diesen Gründen und weil Anbieter Geld für den Zugriff auf Drahtlosnetzwerke verlangen<br />
können, haben sich öffentliche Drahtlosnetzwerke weit verbreitet (und decken <strong>in</strong>zwischen<br />
viele Innenstadtbereiche völlig ab). Drahtlosnetzwerke s<strong>in</strong>d auch <strong>in</strong> privaten Netzwerken<br />
sehr beliebt geworden, weil die Benutzer sofort überall zu Hause <strong>in</strong>s Netzwerk
76 Kapitel 2: Netzwerk<br />
kommen, ohne Ethernetkabel durch die Wände verlegen zu müssen (e<strong>in</strong>e aufwendige Angelegenheit).<br />
Auch im geschäftlichen Bereich haben sich Drahtlosnetzwerke durchgesetzt, weil<br />
sie es den Benutzern erlauben, ihre mobilen Computer <strong>in</strong> Konferenzräume, Cafeterias und<br />
andere Orte zu br<strong>in</strong>gen, wo ke<strong>in</strong>e Kabelverb<strong>in</strong>dung zur Verfügung steht.<br />
Der wichtigste Vorteil von Drahtlosnetzwerken ist, dass die Benutzer ke<strong>in</strong> Netzwerkkabel<br />
anschließen müssen. Leider ist das auch der größte Nachteil. Drahtlosnetzwerke s<strong>in</strong>d viel<br />
verwundbarer gegen Angriffe als Kabelnetzwerke, weil Angreifer ke<strong>in</strong>en physischen Zugang<br />
zu e<strong>in</strong>em Gebäude brauchen, um Zugriff auf das Netzwerk zu bekommen. E<strong>in</strong> Angreifer<br />
kann e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk vom Parkplatz, von der Straße oder aus<br />
e<strong>in</strong>em Nachbargebäude herstellen. Glücklicherweise unterstützt <strong>W<strong>in</strong>dows</strong> 7 Sicherheitstechnologien<br />
für Drahtlosnetzwerke, die ausreichend Schutz bieten, sodass die Sicherheitsanforderungen<br />
der meisten Organisationen erfüllt werden.<br />
Herstellen der Verb<strong>in</strong>dung zu Drahtlosnetzwerken<br />
Es gibt mehrere Wege, Verb<strong>in</strong>dungen zu Drahtlosnetzen herzustellen: von Hand, mit Gruppenrichtl<strong>in</strong>ien<br />
und über Skripts. Die folgenden Abschnitte beschreiben diese Techniken.<br />
Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk, das <strong>in</strong> Reichweite ist, manuell herstellen<br />
Gehen Sie folgendermaßen vor, um die Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk herzustellen,<br />
das momentan <strong>in</strong> Reichweite ist:<br />
1. Klicken Sie auf das Netzwerksymbol <strong>in</strong> der Taskleiste und dann auf den Namen des<br />
Netzwerks, mit dem Sie sich verb<strong>in</strong>den wollen (Abbildung 2.6). Wenn Sie zum ersten<br />
Mal e<strong>in</strong>e Verb<strong>in</strong>dung zu diesem Netzwerk herstellen und künftig automatisch damit<br />
kommunizieren wollen, können Sie das Kontrollkästchen Verb<strong>in</strong>dung automatisch<br />
herstellen aktivieren und dann auf Verb<strong>in</strong>den klicken.<br />
Abbildung 2.6 Zwei bis drei Mausklicks genügen,<br />
um e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk herzustellen<br />
H<strong>in</strong>weis Konfigurieren der Dienste für Drahtlosnetzwerke<br />
Der WLAN-Autokonfigurationsdienst muss laufen, damit Drahtlosnetzwerke zur Verfügung<br />
stehen. Dieser Dienst hat <strong>in</strong> der Standarde<strong>in</strong>stellung den Starttyp »Automatisch«.
Lektion 3: Problembehandlung für Drahtlosnetzwerke 77<br />
2. Falls sich das Dialogfeld Geben Sie den Netzwerksicherheitsschlüssel e<strong>in</strong> öffnet (Abbildung<br />
2.7), müssen Sie den Netzwerksicherheitsschlüssel e<strong>in</strong>tippen und auf OK klicken.<br />
Abbildung 2.7 Ist das Drahtlosnetzwerk geschützt,<br />
müssen Sie den Sicherheitsschlüssel e<strong>in</strong>geben<br />
<strong>W<strong>in</strong>dows</strong> 7 stellt nun die Verb<strong>in</strong>dung zum Netzwerk her. Wollen Sie die Verb<strong>in</strong>dung zum<br />
Drahtlosnetzwerk wieder trennen, können Sie den beschriebenen Schritten folgen, um<br />
e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em anderen Drahtlosnetzwerk aufzubauen. Die Verb<strong>in</strong>dung zu<br />
allen Drahtlosnetzwerken können Sie trennen, <strong>in</strong>dem Sie auf das Netzwerksymbol <strong>in</strong> der<br />
Taskleiste klicken, den Namen des aktuellen Netzwerks anklicken und dann auf Verb<strong>in</strong>dung<br />
trennen klicken.<br />
E<strong>in</strong> neues Drahtlosnetzwerkprofil von Hand erstellen<br />
Am e<strong>in</strong>fachsten stellen Sie die Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk her, <strong>in</strong>dem Sie das<br />
Netzwerksymbol <strong>in</strong> der Taskleiste anklicken, auf das gewünschte Netzwerk klicken und<br />
dann den angezeigten Anweisungen folgen. Das funktioniert aber nur, solange das Drahtlosnetzwerk<br />
momentan <strong>in</strong> Reichweite ist und e<strong>in</strong>e SSID (Service Set Identifier) aussendet, die<br />
den Namen des Netzwerks bekannt macht. Wenn Sie e<strong>in</strong> Drahtlosnetzwerk vorkonfigurieren<br />
wollen, sodass <strong>W<strong>in</strong>dows</strong> 7 später automatisch e<strong>in</strong>e Verb<strong>in</strong>dung dazu aufbauen kann, sobald<br />
es sich <strong>in</strong> Reichweite bef<strong>in</strong>det, können Sie folgendermaßen vorgehen:<br />
1. Klicken Sie auf das Netzwerksymbol <strong>in</strong> der Taskleiste und wählen Sie den Befehl Netzwerk-<br />
und Freigabecenter öffnen.<br />
2. Klicken Sie im Netzwerk- und Freigabecenter auf Drahtlosnetzwerke verwalten.<br />
3. Klicken Sie auf H<strong>in</strong>zufügen.<br />
4. Der Assistent Manuell mit e<strong>in</strong>em Drahtlosnetzwerk verb<strong>in</strong>den ersche<strong>in</strong>t. Klicken Sie auf<br />
E<strong>in</strong> Netzwerkprofil manuell erstellen.<br />
5. Geben Sie auf der Seite Geben Sie Informationen für das Drahtlosnetzwerk e<strong>in</strong>, das Sie<br />
h<strong>in</strong>zufügen möchten (Abbildung 2.8) die erforderlichen Daten e<strong>in</strong>. Klicken Sie auf Weiter.<br />
6. Klicken Sie auf der letzten Seite auf Schließen.<br />
Sie können Drahtlosnetzwerke auch mithilfe von Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen oder<br />
Skripts vorkonfigurieren.
78 Kapitel 2: Netzwerk<br />
Abbildung 2.8 E<strong>in</strong> Drahtlosnetzwerk, das momentan nicht<br />
<strong>in</strong> Reichweite ist, wird von Hand konfiguriert<br />
Praxistipp<br />
Tony Northrup<br />
Als Drahtlosnetzwerke noch neu waren, erzählten manche Sicherheitsexperten den Adm<strong>in</strong>istratoren,<br />
sie sollten das SSID-Broadcast<strong>in</strong>g ausschalten, um die Sicherheit zu verbessern.<br />
Das klang vernünftig, denn wenn e<strong>in</strong> Drahtloszugriffspunkt ke<strong>in</strong>e SSID aussendet,<br />
können Clientcomputer ihn nicht automatisch erkennen.<br />
Das Problem ist allerd<strong>in</strong>gs, dass es für autorisierte Benutzer viel schwieriger wird, e<strong>in</strong>e<br />
Verb<strong>in</strong>dung zum Drahtlosnetzwerk herzustellen, wenn das SSID-Broadcast<strong>in</strong>g ausgeschaltet<br />
ist. Für e<strong>in</strong>en Angreifer ist das aber schon längst ke<strong>in</strong>e Hürde mehr. Die Fähigkeit,<br />
sich mit Drahtlosnetzwerken zu verb<strong>in</strong>den, die ke<strong>in</strong>e SSID aussenden, ist zwar nicht<br />
<strong>in</strong> das Betriebssystem <strong>in</strong>tegriert, aber im Internet stehen kostenlose Tools zur Verfügung,<br />
die Drahtlosnetzwerke sofort erkennen, auch wenn sie ke<strong>in</strong>e SSID aussenden.<br />
Herstellen der Verb<strong>in</strong>dung zu Drahtlosnetzwerken<br />
mithilfe von Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen<br />
E<strong>in</strong>e Verb<strong>in</strong>dung zu Drahtlosnetzwerken von Hand e<strong>in</strong>zurichten, funktioniert hervorragend,<br />
solange Sie nur e<strong>in</strong>e kle<strong>in</strong>e Zahl von Computern verwalten. In AD DS-Umgebungen sollten<br />
Sie stattdessen Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen verwenden, um Clientcomputer zu konfigurieren.<br />
Sie sollten dabei <strong>W<strong>in</strong>dows</strong> Server 2003 mit Service Pack 1 oder neuer auf Ihren<br />
Domänencontrollern <strong>in</strong>stalliert haben, weil Microsoft die Unterstützung für Drahtlos-<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen <strong>in</strong> Service Pack 1 erweitert hat.<br />
Bevor Sie Drahtlosnetzwerke für Clientcomputer konfigurieren können, die unter <strong>W<strong>in</strong>dows</strong><br />
XP, <strong>W<strong>in</strong>dows</strong> Vista oder <strong>W<strong>in</strong>dows</strong> 7 laufen und mit Domänencontrollern kommunizieren,<br />
die e<strong>in</strong>e ältere Version als <strong>W<strong>in</strong>dows</strong> Server 2008 verwenden, müssen Sie das AD DS-
Lektion 3: Problembehandlung für Drahtlosnetzwerke 79<br />
Schema mithilfe der Datei 802.11Schema.ldf erweitern, die Sie von http://www.microsoft.<br />
com/technet/network/wifi/vista_ad_ext.mspx herunterladen können. Gehen Sie folgendermaßen<br />
vor, um das Schema zu erweitern:<br />
1. Kopieren Sie die Datei 802.11Schema.ldf <strong>in</strong> e<strong>in</strong>en Ordner auf e<strong>in</strong>em Domänencontroller.<br />
2. Melden Sie sich am Domänencontroller mit den Privilegien e<strong>in</strong>es Domänenadm<strong>in</strong>istrators<br />
an und öffnen Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung.<br />
3. Wechseln Sie <strong>in</strong> den Ordner, <strong>in</strong> dem die Datei 802.11Schema.ldf gespeichert ist, und<br />
führen Sie den folgenden Befehl aus (dabei ist Dist-Name_der_AD-Domäne der def<strong>in</strong>ierte<br />
Name der AD DS-Domäne, zum Beispiel »DC=contoso,DC=com« für die AD DS-<br />
Domäne contoso.com):<br />
ldifde -i -v -k -f 802.11Schema.ldf -c DC=X Dist-Name_der_AD-Domäne<br />
4. Starten Sie den Domänencontroller neu.<br />
Wenn Ihre Domänencontroller unter <strong>W<strong>in</strong>dows</strong> Server 2008 oder e<strong>in</strong>er neueren Version laufen<br />
oder wenn Sie bei e<strong>in</strong>er älteren <strong>W<strong>in</strong>dows</strong>-Version das Schema erweitert haben, können<br />
Sie von e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Clientcomputer aus e<strong>in</strong>e Drahtlosnetzwerkrichtl<strong>in</strong>ie konfigurieren.<br />
Gehen Sie dazu folgendermaßen vor:<br />
1. Öffnen Sie das AD DS-Gruppenrichtl<strong>in</strong>ienobjekt (Group Policy Object, GPO) im<br />
Gruppenrichtl<strong>in</strong>ienverwaltungs-Editor.<br />
2. Erweitern Sie Computerkonfiguration, Richtl<strong>in</strong>ien, <strong>W<strong>in</strong>dows</strong>-E<strong>in</strong>stellungen, Sicherheitse<strong>in</strong>stellungen<br />
und klicken Sie dann auf Drahtlosnetzwerkrichtl<strong>in</strong>ien (IEEE 802.11).<br />
3. Wählen Sie den Knoten Drahtlosnetzwerkrichtl<strong>in</strong>ien (IEEE 802.11) aus, klicken Sie ihn<br />
mit der rechten Maustaste an und wählen Sie den Befehl Erstellen Sie e<strong>in</strong>e neue Drahtlosnetzwerkrichtl<strong>in</strong>ie<br />
für <strong>W<strong>in</strong>dows</strong> Vista und neuere Versionen (wenn der Server unter<br />
<strong>W<strong>in</strong>dows</strong> Server 2008 R2 läuft) beziehungsweise E<strong>in</strong>e neue <strong>W<strong>in</strong>dows</strong> Vista-Richtl<strong>in</strong>ie<br />
erstellen (wenn der Server unter e<strong>in</strong>er älteren <strong>W<strong>in</strong>dows</strong>-Version läuft).<br />
4. Das Eigenschaftendialogfeld für die neue Drahtlosnetzwerkrichtl<strong>in</strong>ie wird geöffnet<br />
(Abbildung 2.9).<br />
5. Sie können e<strong>in</strong> Infrastrukturnetzwerk h<strong>in</strong>zufügen, <strong>in</strong>dem Sie auf H<strong>in</strong>zufügen und dann<br />
auf Infrastruktur klicken, um die Registerkarte Verb<strong>in</strong>dung im Eigenschaftendialogfeld<br />
des neuen Profils zu öffnen. Geben Sie e<strong>in</strong>e gültige <strong>in</strong>terne SSID im Feld Netzwerkname(n)<br />
(SSID) e<strong>in</strong> und klicken Sie auf H<strong>in</strong>zufügen. Wiederholen Sie diese Schritte, um<br />
mehrere SSIDs für e<strong>in</strong> e<strong>in</strong>ziges Profil zu konfigurieren. Falls das Netzwerk versteckt ist,<br />
müssen Sie das Kontrollkästchen Verb<strong>in</strong>den, selbst wenn das Netzwerk ke<strong>in</strong>e Kennung<br />
aussendet aktivieren.<br />
6. Klicken Sie im Eigenschaftendialogfeld des neuen Profils auf die Registerkarte Sicherheit.<br />
Konfigurieren Sie auf dieser Registerkarte die E<strong>in</strong>stellungen für Authentifizierung<br />
und Verschlüsselung. Klicken Sie auf OK.<br />
Diese E<strong>in</strong>stellungen konfigurieren Clientcomputer so, dass sie automatisch e<strong>in</strong>e Verb<strong>in</strong>dung<br />
zu Ihren <strong>in</strong>ternen Drahtlosnetzwerken herstellen, aber nicht zu anderen Drahtlosnetzwerken.
80 Kapitel 2: Netzwerk<br />
Abbildung 2.9 Konfigurieren von <strong>W<strong>in</strong>dows</strong> 7-Drahtlos-<br />
netzwerkclients mit Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen<br />
Herstellen der Verb<strong>in</strong>dung zu Drahtlosnetzwerken mithilfe von Skripts<br />
Sie können Drahtlose<strong>in</strong>stellungen auch mit den Befehlen im Kontext netsh wlan des Befehlszeilentools<br />
Netsh konfigurieren. Auf diese Weise können Sie Skripts erstellen, die Verb<strong>in</strong>dung<br />
zu unterschiedlichen Drahtlosnetzwerken (ob verschlüsselt oder nicht) herstellen. Mit<br />
dem folgenden Befehl können Sie sich die verfügbaren Drahtlosnetzwerke anzeigen lassen:<br />
netsh wlan show networks<br />
Schnittstellenname : Drahtlosnetzwerkverb<strong>in</strong>dung<br />
Momentan s<strong>in</strong>d 2 Netzwerke sichtbar<br />
SSID 1 : Nwtraders1<br />
Netzwerktyp : Infrastruktur<br />
Authentifizierung : Offen<br />
Verschlüsselung : Ke<strong>in</strong>e<br />
SSID 1 : Nwtraders2<br />
Netzwerktyp : Infrastruktur<br />
Authentifizierung : Offen<br />
Verschlüsselung : WEP<br />
Bevor Sie mit Netsh e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk herstellen können, müssen<br />
Sie e<strong>in</strong> Profil für dieses Netzwerk gespeichert haben. Profile enthalten die SSID und die<br />
Sicherheits<strong>in</strong>formationen, die benötigt werden, um sich mit e<strong>in</strong>em Netzwerk zu verb<strong>in</strong>den.<br />
Falls Sie schon vorher e<strong>in</strong>e Verb<strong>in</strong>dung zu diesem Netzwerk hergestellt haben, hat der Computer<br />
e<strong>in</strong> Profil für dieses Netzwerk gespeichert. Falls e<strong>in</strong> Computer noch nie e<strong>in</strong>e Verb<strong>in</strong>dung<br />
zu e<strong>in</strong>em Drahtlosnetzwerk hergestellt hat, müssen Sie e<strong>in</strong> Profil speichern, bevor Sie<br />
mit Netsh die Verb<strong>in</strong>dung aufbauen können. Sie können e<strong>in</strong> Profil auf e<strong>in</strong>em Computer <strong>in</strong><br />
e<strong>in</strong>er XML-Datei (Extensible Markup Language) speichern und sie dann an andere Computer
Lektion 3: Problembehandlung für Drahtlosnetzwerke 81<br />
<strong>in</strong> Ihrem Netzwerk verteilen. Nachdem Sie von Hand die Verb<strong>in</strong>dung zu e<strong>in</strong>em Netzwerk<br />
hergestellt haben, können Sie den folgenden Befehl ausführen, um e<strong>in</strong> Profil zu speichern:<br />
netsh wlan export profile name=""<br />
Bevor Sie die Verb<strong>in</strong>dung zu e<strong>in</strong>em neuen Drahtlosnetzwerk herstellen, können Sie e<strong>in</strong> Profil<br />
aus e<strong>in</strong>er Datei laden. Das folgende Beispiel demonstriert, wie Sie e<strong>in</strong> Drahtlosprofil (das <strong>in</strong><br />
e<strong>in</strong>er XML-Datei gespeichert ist) aus e<strong>in</strong>em Skript oder <strong>in</strong> der Befehlszeile erstellen:<br />
netsh wlan add profile filename="C:\profiles\nwtraders1.xml"<br />
Sie können schnell e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk herstellen, <strong>in</strong>dem Sie den<br />
Befehl netsh wlan connect e<strong>in</strong>geben und den Namen e<strong>in</strong>es Drahtlosprofils angeben (das Sie<br />
vorher konfiguriert oder h<strong>in</strong>zugefügt haben). Die folgenden Beispiele demonstrieren unterschiedliche,<br />
aber äquivalente Syntaxvarianten zum Herstellen e<strong>in</strong>er Verb<strong>in</strong>dung zu e<strong>in</strong>em<br />
Drahtlosnetzwerk mit der SSID Nwtraders1:<br />
netsh wlan connect Nwtraders1<br />
netsh wlan connect Nwtraders1 <strong>in</strong>terface="Drahtlosnetzwerkverb<strong>in</strong>dung"<br />
Sie brauchen den Schnittstellennamen nur anzugeben, wenn Sie mehrere Drahtlosnetzwerkkarten<br />
haben (was selten vorkommt). Mit dem folgenden Befehl trennen Sie die Verb<strong>in</strong>dungen<br />
zu allen Drahtlosnetzwerken:<br />
netsh wlan disconnect<br />
Sie können Skripts und Profile erstellen, um es Ihren Benutzern e<strong>in</strong>facher zu machen, die<br />
Verb<strong>in</strong>dung zu privaten Drahtlosnetzwerken herzustellen. Im Idealfall ersparen die Skripts<br />
und Profile es Ihren Benutzern, jemals Sicherheitsschlüssel für Drahtlosnetzwerke e<strong>in</strong>tippen<br />
zu müssen.<br />
Sie können mit Netsh auch den Zugriff auf Drahtlosnetzwerke anhand ihrer SSIDs erlauben<br />
oder verbieten. Zum Beispiel erlaubt der folgende Befehl den Zugriff auf e<strong>in</strong> Drahtlosnetzwerk<br />
mit der SSID Nwtraders1:<br />
netsh wlan add filter permission=allow ssid=Nwtraders1 networktype=<strong>in</strong>frastructure<br />
Und der folgende Befehl verbietet den Zugriff auf das Drahtlosnetzwerk Contoso:<br />
Netsh wlan add filter permission=block ssid=Contoso networktype=adhoc<br />
Mit der Berechtigung Denyall können Sie den Zugriff auf sämtliche Ad-hoc-Netzwerke<br />
verbieten, wie <strong>in</strong> diesem Beispiel demonstriert:<br />
netsh wlan add filter permission=denyall networktype=adhoc<br />
Den folgenden Befehl können Sie ausführen, um zu verh<strong>in</strong>dern, dass <strong>W<strong>in</strong>dows</strong> 7 automatisch<br />
e<strong>in</strong>e Verb<strong>in</strong>dung zu Drahtlosnetzwerken herstellt:<br />
netsh wlan set autoconfig enabled=no <strong>in</strong>terface="Drahtlosnetzwerkverb<strong>in</strong>dung"<br />
Netsh hat viele andere Befehle zum Konfigurieren von Drahtlosnetzwerken. Weitere Informationen<br />
erhalten Sie, <strong>in</strong>dem Sie <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung folgenden Befehl ausführen:<br />
netsh wlan help
82 Kapitel 2: Netzwerk<br />
Ändern der Konfiguration e<strong>in</strong>es Drahtlosnetzwerks<br />
Wenn Sie das Netzwerk erstmals konfiguriert haben, speichert <strong>W<strong>in</strong>dows</strong> 7 diese E<strong>in</strong>stellungen<br />
für künftige Verb<strong>in</strong>dungen. Falls sich die Konfiguration des Drahtloszugriffspunkts<br />
ändert, können Sie unter Umständen ke<strong>in</strong>e Verb<strong>in</strong>dung mehr dazu aufbauen.<br />
Gehen Sie folgendermaßen vor, um die Konfiguration e<strong>in</strong>es Drahtlosnetzwerks zu ändern,<br />
nachdem die ursprüngliche Konfiguration gespeichert wurde:<br />
1. Klicken Sie auf das Netzwerksymbol <strong>in</strong> der Taskleiste und wählen Sie den Befehl Netzwerk-<br />
und Freigabecenter öffnen.<br />
2. Klicken Sie im Netzwerk- und Freigabecenter auf Drahtlosnetzwerke verwalten.<br />
3. Klicken Sie mit der rechten Maustaste auf das Netzwerk, dessen Konfiguration Sie verändern<br />
wollen, und wählen Sie den Befehl Eigenschaften.<br />
Das Dialogfeld Eigenschaften für Drahtlosnetzwerk wird geöffnet.<br />
4. Wie <strong>in</strong> Abbildung 2.10 gezeigt, können Sie auf der Registerkarte Verb<strong>in</strong>dung e<strong>in</strong>stellen,<br />
ob <strong>W<strong>in</strong>dows</strong> 7 automatisch e<strong>in</strong>e Verb<strong>in</strong>dung mit dem Netzwerk herstellt, wenn es sich <strong>in</strong><br />
Reichweite bef<strong>in</strong>det (sofern noch ke<strong>in</strong>e andere Drahtlosverb<strong>in</strong>dung vorhanden ist).<br />
Abbildung 2.10 Auf der Registerkarte Verb<strong>in</strong>dung im Dialogfeld<br />
Eigenschaften für Drahtlosnetzwerk ändern Sie die E<strong>in</strong>stellungen für<br />
den automatischen Verb<strong>in</strong>dungsaufbau<br />
5. Wie <strong>in</strong> Abbildung 2.11 zu sehen, können Sie auf der Registerkarte Sicherheit die Sicherheits-<br />
und Verschlüsselungstypen e<strong>in</strong>stellen. Je nach Sicherheitstyp zeigt <strong>W<strong>in</strong>dows</strong> 7<br />
jeweils andere Optionen <strong>in</strong> diesem Dialogfeld an.<br />
6. Klicken Sie auf OK.
Abbildung 2.11 Ändern der Sicherheitse<strong>in</strong>stellungen<br />
im Dialogfeld Eigenschaften für Drahtlosnetzwerk<br />
Lektion 3: Problembehandlung für Drahtlosnetzwerke 83<br />
Wenn Sie die Konfiguration der Netzwerkverb<strong>in</strong>dung geändert haben, sollten Sie versuchen,<br />
erneut e<strong>in</strong>e Verb<strong>in</strong>dung zum Netzwerk herzustellen, um Ihre E<strong>in</strong>stellungen zu überprüfen.<br />
Stattdessen können Sie auch im Fenster Drahtlosnetzwerke verwalten mit der rechten Maustaste<br />
auf e<strong>in</strong> Drahtlosnetzwerk klicken und den Befehl Netzwerk entfernen wählen. Nach<br />
dem De<strong>in</strong>stallieren des Netzwerks können Sie erneut e<strong>in</strong>e Verb<strong>in</strong>dung zu diesem Netzwerk<br />
herstellen; das Netzwerk wird nun so behandelt, als wäre es neu.<br />
Ändern der Prioritäten für Drahtlosnetzwerke<br />
An vielen Standorten stehen mehrere Drahtlosnetzwerke gleichzeitig zur Verfügung. Wenn<br />
Ihr Büro zum Beispiel über e<strong>in</strong>em Internetcafé liegt, haben Sie wahrsche<strong>in</strong>lich die Wahl, ob<br />
Sie e<strong>in</strong>e Verb<strong>in</strong>dung mit Ihrem Büronetzwerk oder dem öffentlichen Drahtlosnetzwerk des<br />
Internetcafés herstellen wollen. Noch komplexer wird die Angelegenheit, wenn Sie explizit<br />
das Drahtlosnetzwerk des Internetcafés benutzen wollen, während sie nicht im Büro s<strong>in</strong>d,<br />
und sonst immer Ihr Bürodrahtlosnetzwerk.<br />
Um sicherzustellen, dass Sie sich mit dem richtigen Netzwerk verb<strong>in</strong>den, wenn mehrere<br />
Drahtlosnetzwerke verfügbar s<strong>in</strong>d, können Sie den Drahtlosnetzwerken Prioritäten zuweisen.<br />
Gehen Sie folgendermaßen vor, um die Priorität von Drahtlosnetzwerken festzulegen:<br />
1. Klicken Sie auf das Netzwerksymbol <strong>in</strong> der Taskleiste und wählen Sie den Befehl Netzwerk-<br />
und Freigabecenter öffnen.<br />
2. Klicken Sie im Netzwerk- und Freigabecenter auf Drahtlosnetzwerke verwalten.<br />
3. Wählen Sie im Fenster Drahtlosnetzwerke verwalten e<strong>in</strong> Drahtlosnetzwerkprofil aus und<br />
verschieben Sie es mit den Schaltflächen nach oben oder unten <strong>in</strong> der Liste.<br />
Wenn mehrere Netzwerke verfügbar s<strong>in</strong>d, stellt <strong>W<strong>in</strong>dows</strong> 7 immer e<strong>in</strong>e Verb<strong>in</strong>dung zu dem<br />
Netzwerk her, das weiter oben <strong>in</strong> der Liste steht.
84 Kapitel 2: Netzwerk<br />
Sicherheit <strong>in</strong> Drahtlosnetzwerken<br />
Viele Drahtlosnetzwerke laufen unverschlüsselt und ohne Authentifizierung. Ihnen fehlen<br />
somit jegliche Sicherheitsfeatures. Kabelnetzwerke s<strong>in</strong>d normalerweise auch unverschlüsselt<br />
(zum<strong>in</strong>dest auf Schicht 2), aber das ist nicht schlimm, weil e<strong>in</strong> Angreifer physischen Zugriff<br />
benötigt, um e<strong>in</strong> Ethernetkabel an das Netzwerk anzuschließen, und die meisten Organisationen<br />
haben etwas dagegen, dass Fremde <strong>in</strong> ihre Büros spazieren. Bei e<strong>in</strong>em Drahtlosnetzwerk<br />
kann e<strong>in</strong> Angreifer dagegen e<strong>in</strong>e Verb<strong>in</strong>dung mit dem Netzwerk der Organisation herstellen,<br />
während er im Empfang, auf dem Parkplatz oder sogar <strong>in</strong> e<strong>in</strong>em Nachbargebäude sitzt.<br />
Praxistipp<br />
Tony Northrup<br />
Wenn jemand das Internet nutzt, um e<strong>in</strong> Verbrechen zu begehen, haben die Ermittler als<br />
Beweis für die Identität des Verdächtigen meist se<strong>in</strong>e IP-Adresse <strong>in</strong> der Hand. Wenn die<br />
IP-Adresse vorliegt, können die Ermittler den Internetprovider zw<strong>in</strong>gen, die Daten des<br />
Kunden herauszugeben, dem diese IP-Adresse zum Zeitpunkt des Verbrechens zugewiesen<br />
war.<br />
Viele Möchtegern-Krim<strong>in</strong>elle wissen das und vermeiden es bei krim<strong>in</strong>ellen Tätigkeiten,<br />
e<strong>in</strong>e persönliche Internetverb<strong>in</strong>dung zu benutzen. Oft suchen sie sich e<strong>in</strong> ungeschütztes<br />
Drahtlosnetzwerk, das Internetzugriff bietet, und verwenden e<strong>in</strong>fach diese Verb<strong>in</strong>dung.<br />
Wenn die Ermittler dann nachforschen, landen sie beim Besitzer des Drahtlosnetzwerks<br />
statt beim Krim<strong>in</strong>ellen. Wenn Sie also e<strong>in</strong> Drahtlosnetzwerk ungeschützt lassen, helfen<br />
Sie unter Umständen e<strong>in</strong>em Krim<strong>in</strong>ellen, unerkannt zu entkommen.<br />
Um zum<strong>in</strong>dest m<strong>in</strong>imalen Schutz zu bieten, brauchen Drahtlosnetzwerke sowohl Authentifizierung<br />
(damit nur autorisierte Computer e<strong>in</strong>e Verb<strong>in</strong>dung herstellen dürfen) als auch Verschlüsselung<br />
(damit Angreifer nicht den Netzwerkverkehr lesen können). Alle Sicherheitsstandards<br />
für Drahtlosnetzwerke bieten sowohl Authentifizierung als auch Verschlüsselung,<br />
aber manche s<strong>in</strong>d sicherer als andere.<br />
<strong>W<strong>in</strong>dows</strong> 7 unterstützt folgende Sicherheitsstandards für Drahtlosnetzwerke:<br />
Ke<strong>in</strong>e Sicherheit Viele Drahtloszugriffspunkte für Privatanwender s<strong>in</strong>d <strong>in</strong> der Standarde<strong>in</strong>stellung<br />
so konfiguriert, dass Drahtlosnetzwerke ohne Sicherheit aktiviert s<strong>in</strong>d.<br />
Folglich s<strong>in</strong>d ungeschützte Drahtlosnetzwerke recht häufig. Wenn ke<strong>in</strong>e Sicherheit erforderlich<br />
ist, wird es sehr bequem, sich mit dem Netzwerk zu verb<strong>in</strong>den: Der Benutzer<br />
braucht ke<strong>in</strong>e Passphrasen oder Schlüssel anzugeben. Aber die Gefahren s<strong>in</strong>d groß. Jeder<br />
<strong>in</strong>nerhalb e<strong>in</strong>es gewissen Abstands vom Drahtloszugriffspunkt kann e<strong>in</strong>e Verb<strong>in</strong>dung<br />
dazu herstellen und sie unter Umständen missbrauchen. Außerdem können Angreifer den<br />
gesamten Verkehr lesen, der mit dem Drahtloszugriffspunkt ausgetauscht wird, darunter<br />
E-Mails, Instant Messag<strong>in</strong>g und jeglichen anderen unverschlüsselten Verkehr. Die meisten<br />
modernen Drahtlosnetzwerke, die auf Drahtlossicherheit verzichten, zw<strong>in</strong>gen den Benutzer,<br />
sich beim Drahtloszugriffspunkt zu authentifizieren, sobald er e<strong>in</strong>e Verb<strong>in</strong>dung<br />
zum Drahtlosnetzwerk hergestellt hat.<br />
Wired Equivalent Protection (WEP) WEP steht entweder als 64- oder 128-Bit-Verschlüsselung<br />
zur Verfügung. Es war der ursprüngliche Sicherheitsstandard für Drahtlosnetzwerke.<br />
Es wird auch heute noch verwendet, weil es umfassend unterstützt wird.
Lektion 3: Problembehandlung für Drahtlosnetzwerke 85<br />
Praktisch jedes Betriebssystem, jeder Drahtloszugriffspunkt, jede Drahtlos-Bridge und<br />
alle anderen Drahtlosnetzwerkgeräte (etwa Drucker und Media-Extender) unterstützen<br />
WEP. Auch wenn WEP Schutz bietet, der besser ist als gar ke<strong>in</strong>e Sicherheit, lässt es sich<br />
von e<strong>in</strong>em erfahrenen Angreifer leicht knacken. 128-Bit-WEP bietet deutlich besseren<br />
Schutz als 64-Bit-WEP, aber beide lassen sich <strong>in</strong>nerhalb weniger M<strong>in</strong>uten überw<strong>in</strong>den.<br />
WEP ist aber immer noch besser als gar ke<strong>in</strong>e Sicherheit. Es kann zum<strong>in</strong>dest verh<strong>in</strong>dern,<br />
dass jeder beliebige Benutzer Ihr Netzwerk missbraucht.<br />
Wi-Fi Protected Access (WPA) WPA ist der Nachfolger von WEP und bietet deutlich<br />
besseren Schutz. WPA wird aber nicht so universell unterstützt wie WEP. Falls Sie also<br />
Drahtlosclients oder Drahtlosgeräte haben, die WPA nicht beherrschen, müssen Sie sie<br />
unter Umständen aktualisieren, um die WPA-Unterstützung nachzurüsten. <strong>W<strong>in</strong>dows</strong> 7<br />
unterstützt sowohl WPA-Personal als auch WPA-Enterprise:<br />
WPA-PSK (für vor<strong>in</strong>stallierte Schlüssel), auch als WPA-Personal bezeichnet, ist<br />
für private Umgebungen gedacht. Bei WPA-PSK muss e<strong>in</strong> Benutzer e<strong>in</strong>e 8 bis 63<br />
Zeichen lange Passphrase <strong>in</strong> jeden Drahtlosclient e<strong>in</strong>geben. WPA konvertiert die<br />
Passphrase <strong>in</strong> e<strong>in</strong>en 256-Bit-Schlüssel.<br />
WPA-EAP (Extensible Authentication Protocol), auch als WPA-Enterprise bezeichnet,<br />
benötigt e<strong>in</strong>en Backendserver, auf dem die Authentifizierung mit RADIUS<br />
(Remote Authentication Dial-In User Service) vorgenommen wird. Der RADIUS-<br />
Server kann dann den Benutzer <strong>in</strong> AD DS authentifizieren oder anhand e<strong>in</strong>es Zertifikats<br />
überprüfen. WPA-EAP ermöglicht e<strong>in</strong>e sehr flexible Authentifizierung, und<br />
<strong>W<strong>in</strong>dows</strong> 7 bietet den Benutzern die Möglichkeit, e<strong>in</strong>e Smartcard zu verwenden, um<br />
die Verb<strong>in</strong>dung mit e<strong>in</strong>em WPA-Enterprise-geschützten Netzwerk herzustellen.<br />
WPA2 WPA2 (auch als IEEE 802.11i bezeichnet) ist e<strong>in</strong>e aktualisierte Version von<br />
WPA, die bessere Sicherheit und mehr Schutz vor Angriffen bietet. Wie WPA steht auch<br />
WPA2 als WPA2-PSK und WPA2-EAP zur Verfügung.<br />
Offen bei 802.1X 802.1X ist e<strong>in</strong> Verfahren für die Netzwerkauthentifizierung, das<br />
üblicherweise für Kabelnetzwerke e<strong>in</strong>gesetzt wird. Wenn Netzwerkadm<strong>in</strong>istratoren bei<br />
e<strong>in</strong>em Kabelnetzwerk die 802.1X-Authentifizierung erzw<strong>in</strong>gen, kommuniziert der Netzwerk-Switch<br />
mit e<strong>in</strong>em Authentifizierungsserver, sobald e<strong>in</strong> neuer Benutzer e<strong>in</strong> Ethernetkabel<br />
an das Netzwerk anschließt. Sofern der Benutzer authentifiziert wird, erlaubt der<br />
Switch ihm Zugriff auf das Netzwerk. Bei der Drahtlossicherheitse<strong>in</strong>stellung Offen bei<br />
802.1X erfordert der Drahtloszugriffspunkt ke<strong>in</strong>erlei Verschlüsselung. Sobald e<strong>in</strong> Drahtlosclient<br />
aber e<strong>in</strong>e Verb<strong>in</strong>dung zum Netzwerk hergestellt hat, muss der Computer sich<br />
mit 802.1X authentifizieren, damit ihm der Netzwerkzugriff gewährt wird. Dieser<br />
Sicherheitstyp erfordert Authentifizierung, aber ke<strong>in</strong>e Verschlüsselung.<br />
<strong>W<strong>in</strong>dows</strong> 7 und <strong>W<strong>in</strong>dows</strong> Vista bieten <strong>in</strong>tegrierte Unterstützung für WEP, WPA und WPA2.<br />
<strong>W<strong>in</strong>dows</strong> XP kann WPA und WPA2 unterstützen, wenn Updates <strong>in</strong>stalliert werden, die auf<br />
microsoft.com zur Verfügung stehen. Neuere Versionen von L<strong>in</strong>ux und Mac OS sowie viele<br />
mobile Geräte bieten Unterstützung für WEP, WPA und WPA2.
86 Kapitel 2: Netzwerk<br />
Schnelltest<br />
Welches ist die sicherste Methode der Drahtlossicherheit?<br />
Antwort zum Schnelltest<br />
WPA2-EAP<br />
Konfigurieren von WPA-EAP-Sicherheit<br />
Die statischen Schlüssel, die <strong>in</strong> WEP und WPA-PSK benutzt werden, s<strong>in</strong>d <strong>in</strong> <strong>Unternehmen</strong>sumgebungen<br />
unmöglich zu verwalten. Wenn e<strong>in</strong> Mitarbeiter das <strong>Unternehmen</strong> verlässt, müssen<br />
Sie den Schlüssel für den Drahtloszugriff ändern, damit dieser Ex-Mitarbeiter nicht mehr<br />
auf das Netzwerk zugreifen kann. Dann müssen Sie jeden e<strong>in</strong>zelnen Drahtlosclientcomputer<br />
<strong>in</strong> Ihrer Organisation aktualisieren.<br />
Wie Sie wissen, steht das »EAP« <strong>in</strong> WPA-EAP für Extensible Authentication Protocol (erweiterbares<br />
Authentifizierungsprotokoll). Weil es erweiterbar ist, können Sie die Authentifizierung<br />
über unterschiedliche Methoden durchführen:<br />
PEAP-MS-CHAPv2 ermöglicht es den Benutzern, die Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk<br />
mit ihren Domänenanmelde<strong>in</strong>formationen herzustellen.<br />
Zertifikate, die auf den Computern der Benutzer gespeichert s<strong>in</strong>d<br />
Zertifikate, die auf Smartcards gespeichert s<strong>in</strong>d<br />
<strong>W<strong>in</strong>dows</strong> 7 verwendet immer denselben Authentifizierungsprozess, unabhängig davon,<br />
welche Authentifizierungsmethode Sie wählen. Wie <strong>in</strong> Abbildung 2.12 zu sehen, gibt der<br />
Drahtlosclientcomputer die Anmelde<strong>in</strong>formationen an den Drahtloszugriffspunkt weiter, der<br />
sie wiederum an e<strong>in</strong>en RADIUS-Server übergibt, der den Benutzer schließlich <strong>in</strong> AD DS<br />
authentifiziert. Abbildung 2.12 führt zwar den RADIUS-Server und den Domänencontroller<br />
als getrennte Server auf, aber Sie können beide Dienste auf demselben Computer <strong>in</strong>stallieren.<br />
Abbildung 2.12 WPA benutzt e<strong>in</strong>en RADIUS-Server für die Authentifizierung<br />
<strong>W<strong>in</strong>dows</strong> Server 2008 enthält den Netzwerkrichtl<strong>in</strong>ienserver (Network Policy Server, NPS),<br />
der als RADIUS-Server agiert und eng <strong>in</strong> AD DS <strong>in</strong>tegriert ist. Wenn Sie NPS konfigurieren,<br />
können Sie e<strong>in</strong>e Domänensicherheitsgruppe angeben, die Zugriff auf das Drahtlosnetzwerk<br />
erhält. Aus diesem Grund sollten Sie e<strong>in</strong>e Gruppe speziell für Benutzer zu erstellen, die<br />
berechtigt s<strong>in</strong>d, auf das Drahtlosnetzwerk zuzugreifen.
Weitere Informationen Mehr über NPS<br />
Lektion 3: Problembehandlung für Drahtlosnetzwerke 87<br />
Weil sich diese Zertifizierungsprüfung auf <strong>W<strong>in</strong>dows</strong> 7 konzentriert, befasst sie sich nicht der<br />
Konfiguration e<strong>in</strong>es RADIUS-Servers. Weitere Informationen, wie Sie NPS mit <strong>W<strong>in</strong>dows</strong><br />
Server 2008 konfigurieren, f<strong>in</strong>den Sie <strong>in</strong> den Kapiteln 14 bis 19 von Microsoft <strong>W<strong>in</strong>dows</strong><br />
Server 2008 – Network<strong>in</strong>g und Netzwerkzugriffsschutz von Joseph Davies und Tony Northrup<br />
(Microsoft Press, 2008).<br />
Wenn Sie e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em neuen WPA-EAP- oder WPA2-EAP-Netzwerk herstellen,<br />
ist <strong>W<strong>in</strong>dows</strong> 7 <strong>in</strong> der Standarde<strong>in</strong>stellung so konfiguriert, dass die Authentifizierungsmethode<br />
»Gesichertes Kennwort (EAP-MSCHAP v2)« verwendet wird. Die Benutzer können<br />
sich daher mit ihren Domänenanmelde<strong>in</strong>formationen authentifizieren. Wenn die Benutzer<br />
sich mit e<strong>in</strong>em Zertifikat authentifizieren sollen (entweder auf dem lokalen Computer oder<br />
e<strong>in</strong>er Smartcard gespeichert), können Sie e<strong>in</strong> Drahtlosnetzwerkprofil für das Netzwerk erstellen,<br />
<strong>in</strong>dem Sie die Standarde<strong>in</strong>stellungen als Ausgangsbasis verwenden und dann die<br />
Drahtlosnetzwerksicherheit folgendermaßen konfigurieren:<br />
1. Klicken Sie auf das Netzwerksymbol <strong>in</strong> der Taskleiste und wählen Sie den Befehl Netzwerk-<br />
und Freigabecenter öffnen.<br />
2. Klicken Sie im Netzwerk- und Freigabecenter auf Drahtlosnetzwerke verwalten.<br />
3. Klicken Sie mit der rechten Maustaste auf das Netzwerk und wählen Sie den Befehl<br />
Eigenschaften. Klicken Sie auf die Registerkarte Sicherheit.<br />
4. Klicken Sie auf Wählen Sie e<strong>in</strong>e Methode für die Netzwerkauthentifizierung aus und<br />
wählen Sie den E<strong>in</strong>trag Microsoft: Smartcard- oder anderes Zertifikat (Abbildung 2.13).<br />
Abbildung 2.13 Sie müssen die Eigenschaften e<strong>in</strong>es<br />
Drahtlosnetzwerkprofils manuell bearbeiten, wenn e<strong>in</strong><br />
Zertifikat für die Authentifizierung verwendet wird
88 Kapitel 2: Netzwerk<br />
H<strong>in</strong>weis Smartcards erzw<strong>in</strong>gen<br />
Beachten Sie, dass das Kontrollkästchen Für diese Verb<strong>in</strong>dung eigene Anmelde<strong>in</strong>formationen<br />
für jede Anmeldung speichern standardmäßig aktiviert ist. Wollen Sie, dass die<br />
Benutzer ihre Smartcards jedes Mal e<strong>in</strong>legen müssen, wenn Sie die Verb<strong>in</strong>dung zum<br />
Netzwerk herstellen, müssen Sie dieses Kontrollkästchen deaktivieren.<br />
5. Klicken Sie auf E<strong>in</strong>stellungen. Wird das Zertifikat auf dem lokalen Computer gespeichert,<br />
müssen Sie im Feld Beim Herstellen der Verb<strong>in</strong>dung die Option Zertifikat auf<br />
diesem Computer verwenden auswählen (Abbildung 2.14). Wenn Sie Smartcards verwenden,<br />
müssen Sie die Option Eigene Smartcard verwenden auswählen.<br />
Abbildung 2.14 Sie können auswählen, ob e<strong>in</strong> Zertifikat auf dem<br />
lokalen Computer oder auf e<strong>in</strong>er Smartcard gespeichert wird<br />
H<strong>in</strong>weis Überprüfen von Servern<br />
Beachten Sie, dass <strong>in</strong> der Standarde<strong>in</strong>stellung das Kontrollkästchen Serverzertifikat<br />
überprüfen aktiviert ist. So ist sichergestellt, dass der RADIUS-Server e<strong>in</strong> Zertifikat<br />
von e<strong>in</strong>er vertrauenswürdigen Zertifizierungsstelle hat, bevor die Anmelde<strong>in</strong>formationen<br />
gesendet werden. Das ist wichtig, weil Sie Ihre Anmelde<strong>in</strong>formationen nicht an e<strong>in</strong>en<br />
böswilligen Server senden dürfen, der sie dann missbrauchen könnte. Allerd<strong>in</strong>gs weist<br />
der Client den RADIUS-Server ab, wenn der RADIUS-Server e<strong>in</strong> Zertifikat von e<strong>in</strong>er<br />
<strong>Unternehmen</strong>szertifizierungsstelle hat (oder e<strong>in</strong>er anderen Zertifizierungsstelle, die nicht<br />
<strong>in</strong> der Standarde<strong>in</strong>stellung als vertrauenswürdig e<strong>in</strong>gestuft ist) und der Clientcomputer<br />
noch ke<strong>in</strong>e Verb<strong>in</strong>dung zur Domäne hergestellt hat, seit die <strong>Unternehmen</strong>szertifizierungsstelle<br />
zur Domäne h<strong>in</strong>zugefügt wurde. Sie können dieses Problem umgehen, wenn Sie<br />
das erste Mal e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>er Domäne herstellen (danach vertraut der Clientcomputer<br />
ja der <strong>Unternehmen</strong>szertifizierungsstelle), <strong>in</strong>dem Sie das Kontrollkästchen
Lektion 3: Problembehandlung für Drahtlosnetzwerke 89<br />
Serverzertifikat überprüfen deaktivieren, die Verb<strong>in</strong>dung zum Drahtlosnetzwerk und der<br />
Domäne herstellen und danach das Kontrollkästchen Serverzertifikat überprüfen wieder<br />
aktivieren.<br />
6. Klicken Sie zweimal auf OK.<br />
Wenn der Benutzer das nächste Mal e<strong>in</strong>e Verb<strong>in</strong>dung über dieses Profil herstellt, versucht<br />
<strong>W<strong>in</strong>dows</strong> 7, automatisch e<strong>in</strong> passendes Zertifikat zu f<strong>in</strong>den. Falls es ke<strong>in</strong>es f<strong>in</strong>det oder falls<br />
der Benutzer e<strong>in</strong>e Smartcard e<strong>in</strong>legen muss, fordert <strong>W<strong>in</strong>dows</strong> 7 den Benutzer auf, e<strong>in</strong> Zertifikat<br />
auszuwählen.<br />
Konfigurieren von Drahtlosnetzwerkprofiltypen<br />
Die meisten mobilen Computer werden nur von e<strong>in</strong>em e<strong>in</strong>zigen Benutzer verwendet. Wenn<br />
<strong>in</strong> Ihrer Organisation allerd<strong>in</strong>gs mobile Computer von mehreren Benutzern geme<strong>in</strong>sam verwendet<br />
werden, ist es s<strong>in</strong>nvoll, die Drahtlosnetzwerke so zu konfigurieren, dass sie benutzerspezifische<br />
Profile verwenden. Mit benutzerspezifischen Profilen kann e<strong>in</strong> Benutzer e<strong>in</strong>e<br />
Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk herstellen, ohne dass andere Benutzer <strong>in</strong> der Lage<br />
s<strong>in</strong>d, dieselbe Drahtlosnetzwerkverb<strong>in</strong>dung zu nutzen.<br />
Benutzerspezifische Drahtlosprofile s<strong>in</strong>d beispielsweise wichtig, wenn e<strong>in</strong> Benutzer e<strong>in</strong><br />
geme<strong>in</strong>sam genutztes Notebook so konfiguriert, dass es e<strong>in</strong>e Verb<strong>in</strong>dung zu se<strong>in</strong>em privaten<br />
Drahtlosnetzwerk herstellt. Wenn wie <strong>in</strong> der Standardkonfiguration geme<strong>in</strong>same Profile für<br />
alle Benutzer verwendet werden, kann jeder andere Benutzer dieses Computers zum Haus<br />
des ursprünglichen Benutzers gehen und e<strong>in</strong>e Verb<strong>in</strong>dung zum dortigen Drahtlosnetzwerk<br />
herstellen, ohne den Sicherheitsschlüssel e<strong>in</strong>geben zu müssen. Das gilt auch, wenn das<br />
Drahtlosnetzwerk Sicherheitsmaßnahmen verwendet.<br />
Gehen Sie folgendermaßen vor, um e<strong>in</strong> Drahtlosprofil so zu konfigurieren, dass es nicht für<br />
alle Benutzer gilt, sondern benutzerspezifisch verwaltet wird:<br />
1. Klicken Sie auf das Netzwerksymbol <strong>in</strong> der Taskleiste und wählen Sie den Befehl Netzwerk-<br />
und Freigabecenter öffnen.<br />
Das Netzwerk- und Freigabecenter wird geöffnet.<br />
2. Klicken Sie im l<strong>in</strong>ken Fensterabschnitt auf Drahtlosnetzwerke verwalten.<br />
a. Klicken Sie auf Profiltypen.<br />
b. Wählen Sie im Dialogfeld Drahtlosnetzwerkprofiltyp die Option Profile für alle<br />
Benutzer und benutzerspezifische Profile verwenden aus (Abbildung 2.15).<br />
c. Klicken Sie auf Speichern.<br />
Wenn Sie benutzerspezifische Profile aktiviert haben, bleiben alle bereits vorhandenen Drahtlosprofile<br />
für alle Benutzer verfügbar. Aber wenn Sie das nächste Mal e<strong>in</strong>e Verb<strong>in</strong>dung zu<br />
e<strong>in</strong>em neuen Drahtlosnetzwerk herstellen, lässt <strong>W<strong>in</strong>dows</strong> 7 Sie auswählen, wie das Drahtlosnetzwerkprofil<br />
gespeichert werden soll. Wenn Sie e<strong>in</strong> vorhandenes Drahtlosnetzwerkprofil<br />
von e<strong>in</strong>em Profil für alle Benutzer <strong>in</strong> e<strong>in</strong> benutzerspezifisches Profil konvertieren wollen,<br />
müssen Sie es löschen und dann neu erstellen. E<strong>in</strong>e der unangenehmen Nebenwirkungen<br />
von benutzerspezifischen Drahtlosprofilen ist, dass der Computer die Verb<strong>in</strong>dung vom Drahtlosnetzwerk<br />
trennt, wenn sich e<strong>in</strong> Benutzer abmeldet.
90 Kapitel 2: Netzwerk<br />
Abbildung 2.15 Benutzerspezifische Drahtlosprofile verh<strong>in</strong>dern, dass<br />
Benutzer Drahtlosverb<strong>in</strong>dungskonfigurationen geme<strong>in</strong>sam verwenden<br />
Behandeln häufiger Drahtlosnetzwerkprobleme<br />
Sobald Sie mit e<strong>in</strong>em Drahtlosnetzwerk verbunden s<strong>in</strong>d, können Sie dieselben Problembehandlungstechniken<br />
e<strong>in</strong>setzen, die Sie auch bei e<strong>in</strong>em Kabelnetzwerk verwenden. Drahtlosnetzwerke<br />
erfordern aber ganz andere Problembehandlungstechniken während der Phase<br />
des Verb<strong>in</strong>dungsaufbaus. Die häufigsten Probleme s<strong>in</strong>d:<br />
Netzwerkkarte erkennt ke<strong>in</strong>e Drahtlosnetzwerke Wenn Ihre Netzwerkkarte überhaupt<br />
ke<strong>in</strong>e Drahtlosnetzwerke erkennt, obwohl welche verfügbar s<strong>in</strong>d, ist die Netzwerkkarte<br />
möglicherweise auf Hardwareebene ausgeschaltet. Die meisten mobilen Computer<br />
haben entweder e<strong>in</strong>en speziellen Hardwareschalter oder e<strong>in</strong>e Tastenkomb<strong>in</strong>ation,<br />
die das WLAN e<strong>in</strong>- und ausschaltet. Wie Sie <strong>in</strong> Abbildung 2.16 sehen, erkennt die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose<br />
diese Bed<strong>in</strong>gung richtig.<br />
Abbildung 2.16 E<strong>in</strong>es der häufigsten Drahtlosprobleme:<br />
WLAN wurde auf der Hardwareebene ausgeschaltet
Lektion 3: Problembehandlung für Drahtlosnetzwerke 91<br />
Sie sollten auch mit dem Geräte-Manager sicherstellen, dass Ihre Drahtlosnetzwerkkarte<br />
erkannt wurde und e<strong>in</strong>en gültigen Treiber hat. Sie können den Geräte-Manager öffnen,<br />
<strong>in</strong>dem Sie im Startmenü den Befehl devmgmt.msc e<strong>in</strong>geben und die EINGABETASTE<br />
drücken. Erweitern Sie den Knoten Netzwerkadapter. Falls der WLAN-Adapter ausgeschaltet<br />
ist, erkennt <strong>W<strong>in</strong>dows</strong> 7 den Adapter trotzdem. Es kann ihn nur nicht benutzen.<br />
Schwaches Funksignal Je weiter Sie sich vom Drahtloszugriffspunkt entfernen, desto<br />
schwächer wird das Signal. Und je schwächer das Signal, desto langsamer das Netzwerk.<br />
Sie können aber e<strong>in</strong>ige Maßnahmen ergreifen, um die Reichweite e<strong>in</strong>es Funksignals zu<br />
erhöhen:<br />
Stellen Sie den Drahtloszugriffspunkt nicht <strong>in</strong> der Nähe von Metallschränken, Computern<br />
oder anderen Objekten auf, die unter Umständen das Funksignal abschirmen.<br />
Wenn Sie versuchen, von außen e<strong>in</strong>e Verb<strong>in</strong>dung herzustellen, sollten Sie Fliegengitter<br />
aus Metall entfernen. Solche Gitter schirmen das Funksignal zwar nicht völlig<br />
ab, verursachen aber erhebliches Rauschen.<br />
Verstellen Sie die Antenne des Drahtloszugriffspunkts. Sie bekommen den besten<br />
Empfang, wenn jemand langsam die Antenne des Drahtloszugriffspunkts verschiebt,<br />
während e<strong>in</strong>e zweite Person die Signalstärke auf e<strong>in</strong>em Computer an der gewünschten<br />
Position überwacht.<br />
Verwenden Sie e<strong>in</strong>e Verstärkerantenne oder Richtantenne. Normale omnidirektionale<br />
Antennen senden relativ gleichmäßig <strong>in</strong> alle Richtungen. Richtantennen konzentrieren<br />
sich auf e<strong>in</strong>en bestimmten Bereich. Wenn Sie e<strong>in</strong>en bestimmten Bereich abdecken<br />
wollen, sollten Sie e<strong>in</strong>e Richtantenne passend platzieren. Manche Drahtlosnetzwerkadapter<br />
unterstützen auch Verstärkerantennen. Die besten Ergebnisse erhalten<br />
Sie, wenn Sie sowohl auf dem Drahtloszugriffspunkt als auch dem Computer<br />
Richtantennen verwenden.<br />
H<strong>in</strong>weis Verwenden e<strong>in</strong>er Richtantenne<br />
Viele Leute glauben fälschlicherweise, dass Richtantennen leistungsfähiger s<strong>in</strong>d. Die<br />
Antenne selbst kann die Leistung nicht verstärken, das wird vom Sender <strong>in</strong>nerhalb<br />
des Drahtloszugriffspunkts gesteuert. Die Antenne steuert allerd<strong>in</strong>gs die Richtung<br />
des Signals. Richtantennen konzentrieren die Sendeleistung <strong>in</strong> e<strong>in</strong>er bestimmten<br />
Richtung, sodass <strong>in</strong> manchen Bereichen e<strong>in</strong> stärkeres Signal ankommt als <strong>in</strong> anderen.<br />
Erhöhen Sie die Sendeleistung. Viele Drahtloszugriffspunkte erlauben Ihnen, die<br />
Sendeleistung zu konfigurieren. Die Standarde<strong>in</strong>stellung ist zwar normalerweise<br />
bereits der Maximalwert, aber unter Umständen hat e<strong>in</strong> anderer Adm<strong>in</strong>istrator die<br />
Sendeleistung verr<strong>in</strong>gert.<br />
Erhöhen Sie die Sendeleistung auf dem Clientcomputer. Alle Netzwerkverb<strong>in</strong>dungen<br />
s<strong>in</strong>d bidirektional. Damit also e<strong>in</strong>e Verb<strong>in</strong>dung hergestellt werden kann, müssen die<br />
vom Computer gesendeten Signale stark genug se<strong>in</strong>, dass sie den Drahtloszugriffspunkt<br />
erreichen. Viele Drahtlosnetzwerkkarten erlauben, die Sendeleistung im Eigenschaftendialogfeld<br />
der Drahtlosnetzwerkkarte zu konfigurieren (Abbildung 2.17).<br />
Die konkreten Optionen unterscheiden sich von e<strong>in</strong>er Drahtlosnetzwerkkarte zur<br />
anderen. Wenn sie die Sendeleistung erhöhen, kann sich die Akkubetriebszeit verr<strong>in</strong>gern.
92 Kapitel 2: Netzwerk<br />
Abbildung 2.17 Bei manchen Drahtlosnetzwerkkarten<br />
können Sie die Sendeleistung konfigurieren<br />
H<strong>in</strong>weis Anzeigen der Signalstärke<br />
Sie können sich die Signalstärke e<strong>in</strong>es Drahtlosnetzwerks ansehen, <strong>in</strong>dem Sie <strong>in</strong> der<br />
Taskleiste auf das Netzwerksymbol klicken oder das Netzwerk- und Freigabecenter<br />
öffnen.<br />
<strong>W<strong>in</strong>dows</strong> kann ke<strong>in</strong>e erneute Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk herstellen<br />
Wenn Sie ke<strong>in</strong>e Verb<strong>in</strong>dung mehr zu e<strong>in</strong>em Drahtlosnetzwerk herstellen können, mit<br />
dem Sie vorher bereits e<strong>in</strong>mal verbunden waren, liegt das normalerweise daran, dass<br />
sich die Sicherheitse<strong>in</strong>stellungen im Netzwerk geändert haben. Benutzt das Drahtlosnetzwerk<br />
beispielsweise WEP, hat unter Umständen e<strong>in</strong> Adm<strong>in</strong>istrator den Schlüssel<br />
geändert. Wie Sie den Sicherheitsschlüssel ändern, ist im Abschnitt »Ändern der Konfiguration<br />
e<strong>in</strong>es Drahtlosnetzwerks« weiter oben <strong>in</strong> dieser Lektion beschrieben. Stattdessen<br />
können Sie auch e<strong>in</strong>fach das Drahtlosnetzwerkprofil löschen und dann die Verb<strong>in</strong>dung<br />
zum Netzwerk neu herstellen.<br />
Schlechte Leistung Verschiedene Faktoren können schlechte Netzwerkleistung verursachen:<br />
E<strong>in</strong> schwaches Funksignal, wie bereits beschrieben.<br />
Interferenz 802.11b, 802.11g und 802.11n verwenden die Funkfrequenz 2,4 GHz,<br />
802.11a die Frequenz 5,8 GHz. Funktelefone oder andere Funksender auf derselben<br />
Frequenz können Leistungsprobleme verursachen.<br />
Überlappende Drahtloszugriffspunkte Drahtloszugriffspunkte können auf e<strong>in</strong>em<br />
von 11 Kanälen (nummeriert von 1 bis 11) senden. Wenn zwei Drahtloszugriffspunkte<br />
auf demselben Kanal oder auf Kanälen senden, die nicht zum<strong>in</strong>dest fünf Stellen aus-
Lektion 3: Problembehandlung für Drahtlosnetzwerke 93<br />
e<strong>in</strong>anderliegen, kann die Leistung bei beiden e<strong>in</strong>geschränkt se<strong>in</strong>. Sie erhalten die<br />
besten Ergebnisse, wenn Sie für überlappende Drahtloszugriffspunkte die Kanäle 1,<br />
6 und 11 verwenden.<br />
Mehrere Funkfrequenzen 802.11n und 802.11g s<strong>in</strong>d abwärtskompatibel zu<br />
802.11b. Aber wenn <strong>in</strong> 802.11n- oder 802.11g-Netzwerken 802.11b-Clients unterstützt<br />
werden, kann das die Leistung deutlich senken. Rüsten Sie nach Möglichkeit<br />
alle Drahtlosclients auf den schnellsten Drahtlosnetzwerkstandard auf, den Ihre<br />
Drahtloszugriffspunkte unterstützen. Konfigurieren Sie dann Ihre Drahtloszugriffspunkte<br />
so, dass sie im Modus »Nur 802.11g« oder »Nur 802.11n« laufen.<br />
Umfangreicher Netzwerkverkehr Alle Drahtlosclients teilen sich e<strong>in</strong>e begrenzte<br />
Bandbreite. Wenn e<strong>in</strong> Client e<strong>in</strong>e große Datei herunterlädt, kann das die Leistung<br />
aller Clients be<strong>in</strong>trächtigen.<br />
Sporadische oder unerklärliche Probleme Drahtlosnetzwerkprotokolle haben sich<br />
<strong>in</strong>nerhalb kurzer Zeit stark verändert. Leider kommt es vor, dass es Schwierigkeiten gibt,<br />
wenn Sie Drahtlosnetzwerkhardware von unterschiedlichen Herstellern komb<strong>in</strong>ieren.<br />
Zum Beispiel haben viele Hersteller Drahtloszugriffspunkte auf Basis des Standards<br />
802.11n produziert, bevor dieser Standard überhaupt verabschiedet war. Wenn Sie e<strong>in</strong>e<br />
Drahtlosnetzwerkkarte verwenden, die 802.11n vollständig implementiert, und Sie versuchen,<br />
auf e<strong>in</strong>en Drahtloszugriffspunkt zuzugreifen, der auf e<strong>in</strong>em Prä-802.11n-Standard<br />
basiert, können Sie unter Umständen ke<strong>in</strong>e Verb<strong>in</strong>dung herstellen. Vielleicht treten<br />
auch nur gelegentlich Abbrüche auf oder die Leistung ist schlecht. Sie erreichen die<br />
besten Ergebnisse, wenn Sie bei allen Drahtloszugriffspunkten die Firmware und die<br />
Netzwerkkartentreiber auf die neuesten Versionen aktualisieren. Setzen Sie dann die<br />
Problembehandlung <strong>in</strong> Zusammenarbeit mit dem technischen <strong>Support</strong> des Hardwareherstellers<br />
fort.<br />
Weitere Informationen Problembehandlung für Drahtlosdienste<br />
Ausführliche Informationen über Drahtlosdienste f<strong>in</strong>den Sie auf der Netzwerkseite von<br />
Microsoft TechNet unter http://technet.microsoft.com/en-us/library/dd393010.aspx. Weitere<br />
Informationen über das Behandeln von Netzwerkproblemen enthält Anhang E.<br />
Analysieren von Drahtlosverb<strong>in</strong>dungsproblemen <strong>in</strong> der Ereignisanzeige<br />
Wenn e<strong>in</strong> Benutzer Sie anruft und über e<strong>in</strong> Problem beim Herstellen e<strong>in</strong>er Drahtlosnetzwerkverb<strong>in</strong>dung<br />
berichtet, verfügt dieser Benutzer möglicherweise nicht über alle relevanten<br />
technischen Details, die Sie wissen müssen. Vielleicht weiß der Benutzer noch die SSID,<br />
aber wahrsche<strong>in</strong>lich ist ihm nicht bekannt, welchen Sicherheitstyp das Netzwerk fordert<br />
oder ob es mit 802.11b, 802.11g oder etwas anderem arbeitet. Glücklicherweise zeichnet<br />
<strong>W<strong>in</strong>dows</strong> 7 diese technischen Details jedes Mal auf, wenn e<strong>in</strong> Benutzer e<strong>in</strong>e Verb<strong>in</strong>dung zu<br />
e<strong>in</strong>em Netzwerk herstellt.<br />
Gehen Sie folgendermaßen vor, um sich die Details der Drahtlosnetzwerke anzusehen, zu<br />
denen e<strong>in</strong> Benutzer Verb<strong>in</strong>dungen aufgebaut hat:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den<br />
Befehl Verwalten.
94 Kapitel 2: Netzwerk<br />
2. Erweitern Sie unter Computerverwaltung die Knoten System, Ereignisanzeige, Anwendungs-<br />
und Dienstprotokolle, Microsoft, <strong>W<strong>in</strong>dows</strong> und WLAN-AutoConfig. Wählen Sie<br />
dann Betriebsbereit aus.<br />
3. Wählen Sie im mittleren Fensterabschnitt e<strong>in</strong>en Ereignisprotokolle<strong>in</strong>trag aus.<br />
Dieses Ereignisprotokoll zeigt die Details von versuchten und erfolgreichen Verb<strong>in</strong>dungen<br />
zu e<strong>in</strong>em Drahtlosnetzwerk. Abbildung 2.18 zeigt e<strong>in</strong> Beispiel mit der Ereignis-ID 8001, die<br />
Details über e<strong>in</strong>e erfolgreiche Drahtlosnetzwerkverb<strong>in</strong>dung liefert.<br />
Abbildung 2.18 <strong>W<strong>in</strong>dows</strong> 7 zeichnet e<strong>in</strong> Ereignis auf, wenn es<br />
erfolgreich e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk herstellt<br />
Abbildung 2.19 <strong>W<strong>in</strong>dows</strong> 7 zeichnet detaillierte Informationen<br />
über Drahtlosnetzwerkprobleme auf
Lektion 3: Problembehandlung für Drahtlosnetzwerke 95<br />
Abbildung 2.19 zeigt e<strong>in</strong> Beispiel für die Ereignis-ID 11006, die anzeigt, dass die Drahtlosauthentifizierung<br />
fehlgeschlagen ist. Wie Sie sehen, führt dieses Ereignis die SSID des<br />
Drahtlosnetzwerks (Contoso) und den Grund für den Fehler auf (Empfang e<strong>in</strong>es expliziten<br />
Eap-Fehlers). Anhand des Zeitpunkts des Ereignisses können Sie den Authentifizierungsfehler<br />
e<strong>in</strong>em Ereignis im RADIUS-Server oder dem Domänencontroller zuordnen. Weitere<br />
Ereignisse, die auf e<strong>in</strong>en Fehler bei der Drahtlosauthentifizierung h<strong>in</strong>weisen, haben die<br />
Ereignis-IDs 8002 und 12013.<br />
<strong>W<strong>in</strong>dows</strong> 7 fügt für jede erfolgreiche oder fehlgeschlagene Verb<strong>in</strong>dung mehrere Ereignisse<br />
h<strong>in</strong>zu. Hat der Benutzer die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose gestartet, f<strong>in</strong>den Sie unter Umständen<br />
weitere nützliche Informationen im Systemereignisprotokoll und im Ereignisprotokoll<br />
Anwendungs- und Dienstprotokolle\Microsoft\<strong>W<strong>in</strong>dows</strong>\Diagnostics-Network<strong>in</strong>g\Betriebsbereit.<br />
Übung Arbeiten mit Drahtlosnetzwerken<br />
In dieser Übung konfigurieren Sie Drahtlosnetzwerke und beseitigen Probleme.<br />
Übung 1 Konfigurieren e<strong>in</strong>es WPA-PSK-verschlüsselten Drahtloszugriffspunkts<br />
In dieser Übung stellen Sie e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk her, das mit WPA-<br />
PSK geschützt ist. Um diese Übung durchzuarbeiten, brauchen Sie e<strong>in</strong>en Drahtloszugriffspunkt<br />
und e<strong>in</strong>en <strong>W<strong>in</strong>dows</strong> 7-Computer mit Drahtlosnetzwerkadapter.<br />
1. Öffnen Sie die Konfigurationsseite für Ihren Drahtloszugriffspunkt. Üblicherweise verwalten<br />
Sie e<strong>in</strong>en Drahtloszugriffspunkt über e<strong>in</strong>en Webbrowser. Geben Sie als SSID<br />
Contoso e<strong>in</strong> und stellen Sie unter Sicherheit WPA2-PSK (sofern verfügbar) oder WPA-<br />
PSK (auch als WPA-Personal bezeichnet) e<strong>in</strong>. Tippen Sie e<strong>in</strong>e komplexe Passphrase mit<br />
8 bis 63 Zeichen e<strong>in</strong> (je länger, desto sicherer) und notieren Sie sich diesen Schlüssel.<br />
2. Klicken Sie auf Ihrem <strong>W<strong>in</strong>dows</strong> 7-Computer auf das Netzwerksymbol <strong>in</strong> der Taskleiste,<br />
dann auf das Netzwerk Contoso und schließlich auf Verb<strong>in</strong>den.<br />
Das Dialogfeld Verb<strong>in</strong>dung mit e<strong>in</strong>em Netzwerk herstellen wird geöffnet.<br />
3. Geben Sie den Sicherheitsschlüssel e<strong>in</strong> und klicken Sie auf OK.<br />
4. Klicken Sie auf Öffentlich, falls das Dialogfeld Wählen Sie e<strong>in</strong>en Ort für das Netzwerk<br />
Contoso aus angezeigt wird.<br />
Bei der WPA-PSK-Verschlüsselung gehen Sie genauso vor wie bei WEP. Sowohl WEP als<br />
auch WPA-PSK verwenden statische Schlüssel, die schwierig zu verwalten s<strong>in</strong>d, weil alle<br />
Clientcomputer denselben Schlüssel haben. Sollte es jemals nötig werden, den Netzwerkschlüssel<br />
zu ändern, müssen Sie alle Clientcomputer umkonfigurieren.<br />
Übung 2 Problembehandlung für e<strong>in</strong> Drahtlosnetzwerk<br />
In dieser Übung versuchen Sie, e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk herzustellen,<br />
das mit falschen E<strong>in</strong>stellungen konfiguriert wurde. Bevor Sie diese Übung beg<strong>in</strong>nen, müssen<br />
Sie Übung 1 <strong>in</strong> dieser Lektion abgeschlossen haben.<br />
1. Öffnen Sie die Konfigurationsseite für Ihren Drahtloszugriffspunkt. Ändern Sie die Passphrase<br />
für das Netzwerk.
96 Kapitel 2: Netzwerk<br />
2. Auf Ihrem <strong>W<strong>in</strong>dows</strong> 7-Computer zeigt nun das Netzwerksymbol an, dass der Computer<br />
ke<strong>in</strong>e Verb<strong>in</strong>dung mehr hat. Klicken Sie auf das Netzwerksymbol und dann auf Contoso.<br />
Klicken Sie auf Verb<strong>in</strong>den.<br />
Der Assistent Verb<strong>in</strong>dung mit e<strong>in</strong>em Netzwerk herstellen wird gestartet.<br />
3. Das Dialogfeld Verb<strong>in</strong>dung mit e<strong>in</strong>em Netzwerk herstellen zeigt e<strong>in</strong>e Fehlermeldung an.<br />
Klicken Sie auf Probleme behandeln.<br />
Die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose versucht, das Problem zu identifizieren.<br />
4. Folgen Sie den Anweisungen der <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose. Klicken Sie auf Ausführliche<br />
Informationen anzeigen, um sich den Problembehandlungsbericht anzusehen. Lesen<br />
Sie sich die detaillierten Informationen durch.<br />
5. Weil die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose nicht <strong>in</strong> der Lage war, das Problem zu beseitigen,<br />
müssen Sie das Drahtlosprofil von Hand löschen und neu erstellen. Klicken Sie auf das<br />
Netzwerksymbol <strong>in</strong> der Taskleiste und wählen Sie den Befehl Netzwerk- und Freigabecenter<br />
öffnen.<br />
6. Klicken Sie im l<strong>in</strong>ken Fensterabschnitt auf Drahtlosnetzwerke verwalten.<br />
7. Klicken Sie im Fenster Drahtlosnetzwerke verwalten mit der rechten Maustaste auf<br />
Contoso, wählen Sie den Befehl Netzwerk entfernen und klicken Sie auf Ja. Stattdessen<br />
könnten Sie auch die Netzwerkeigenschaften bearbeiten und die Passphrase auf der<br />
Registerkarte Sicherheit von Hand ändern.<br />
8. Klicken Sie auf Ihrem <strong>W<strong>in</strong>dows</strong> 7-Computer auf das Netzwerksymbol <strong>in</strong> der Taskleiste,<br />
dann auf Contoso und schließlich auf Verb<strong>in</strong>den.<br />
Das Dialogfeld Verb<strong>in</strong>dung mit e<strong>in</strong>em Netzwerk herstellen wird geöffnet.<br />
9. Geben Sie den Sicherheitsschlüssel e<strong>in</strong> und klicken Sie auf OK.<br />
Öffnen Sie nun den Internet Explorer und prüfen Sie, ob Sie über Ihre Drahtlosverb<strong>in</strong>dung<br />
auf das Internet Zugriff haben.<br />
Zusammenfassung der Lektion<br />
Bei Drahtlosnetzwerken kommunizieren Computer über Funksignale statt über e<strong>in</strong><br />
Ethernetkabel. Drahtlosnetzwerke s<strong>in</strong>d komplexer als Kabelnetzwerke, weil es mehrere<br />
Sicherheitsstandards gibt und die Signalstärke schwankt.<br />
<strong>W<strong>in</strong>dows</strong> 7 enthält e<strong>in</strong>e neue Benutzeroberfläche, um die Verb<strong>in</strong>dung zu Drahtlosnetzwerken<br />
herzustellen. In <strong>W<strong>in</strong>dows</strong> 7 brauchen Benutzer lediglich auf das Netzwerksymbol<br />
<strong>in</strong> der Taskleiste zu klicken und e<strong>in</strong> verfügbares Netzwerk auszuwählen.<br />
Wenn sich Netzwerke<strong>in</strong>stellungen ändern, können Sie das Tool Drahtlosnetzwerke verwalten<br />
der Systemsteuerung verwenden, um sie zu aktualisieren.<br />
Mit dem Tool Drahtlosnetzwerke verwalten der Systemsteuerung können Sie auch die<br />
Priorität von Drahtlosnetzwerken ändern. S<strong>in</strong>d mehrere Drahtlosnetzwerke verfügbar,<br />
stellt <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>e Verb<strong>in</strong>dung zu dem Netzwerk mit der höchsten Priorität her.<br />
<strong>W<strong>in</strong>dows</strong> 7 unterstützt mehrere Netzwerksicherheitstypen: Offen (verwendet ke<strong>in</strong>e<br />
Sicherheit); WEP, WPA-PSK und WPA2-PSK (verwenden e<strong>in</strong>en statischen Schlüssel für<br />
Authentifizierung und Verschlüsselung); sowie WPA-EAP und WPA2-EAP (verwenden<br />
e<strong>in</strong>en RADIUS-Server für die Authentifizierung). Außerdem können Sie Drahtlosclients,
Lektion 3: Problembehandlung für Drahtlosnetzwerke 97<br />
die unter <strong>W<strong>in</strong>dows</strong> 7 laufen, so konfigurieren, dass sie offene Sicherheit bei 802.1X-<br />
Netzwerkauthentifizierung verwenden.<br />
Das häufigste Drahtlosnetzwerkproblem besteht dar<strong>in</strong>, dass der WLAN-Sender e<strong>in</strong>es<br />
mobilen Computers ausgeschaltet wurde. Das lässt sich lösen, <strong>in</strong>dem Sie den Sender<br />
wieder e<strong>in</strong>schalten. Weitere häufige Probleme s<strong>in</strong>d ger<strong>in</strong>ge Signalstärke, schlechte Netzwerkleistung,<br />
Inkompatibilitäten und Drahtlosnetzwerke<strong>in</strong>stellungen, die geändert wurden,<br />
seit das Netzwerk erstmals konfiguriert wurde.<br />
Sie können im Protokoll Anwendungs- und Dienstprotokolle\Microsoft\<strong>W<strong>in</strong>dows</strong>\WLAN-<br />
AutoConfig\Betriebsbereit feststellen, zu welchen Netzwerken e<strong>in</strong> Benutzer Verb<strong>in</strong>dungen<br />
hergestellt hat und welche Probleme dabei aufgetreten s<strong>in</strong>d.<br />
Lernzielkontrolle<br />
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 3, »Problembehandlung<br />
für Drahtlosnetzwerke«, überprüfen. Die Fragen f<strong>in</strong>den Sie (<strong>in</strong> englischer<br />
Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im Rahmen<br />
e<strong>in</strong>es Übungstests beantworten.<br />
H<strong>in</strong>weis Die Antworten<br />
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglichkeiten<br />
richtig oder falsch s<strong>in</strong>d, f<strong>in</strong>den Sie im Abschnitt »Antworten« am Ende dieses Buchs.<br />
1. E<strong>in</strong> Benutzer beschwert sich darüber, dass die Verb<strong>in</strong>dung fehlgeschlagen ist, als er versucht<br />
hat, e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk herzustellen. Er hat ke<strong>in</strong>erlei<br />
Details zur Verb<strong>in</strong>dung notiert. In welchem Protokoll f<strong>in</strong>den Sie Details zu diesem Verb<strong>in</strong>dungsversuch?<br />
A. Anwendungs- und Dienstprotokolle\Microsoft\<strong>W<strong>in</strong>dows</strong>\Diagnostics-Network<strong>in</strong>g\<br />
Betriebsbereit<br />
B. System<br />
C. Anwendungs- und Dienstprotokolle\Microsoft\<strong>W<strong>in</strong>dows</strong>\Wired-AutoConfig\<br />
Betriebsbereit<br />
D. Anwendungs- und Dienstprotokolle\Microsoft\<strong>W<strong>in</strong>dows</strong>\WLAN-AutoConfig\<br />
Betriebsbereit<br />
2. Sie versuchen, e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk herzustellen, <strong>in</strong>dem Sie auf<br />
das Netzwerksymbol <strong>in</strong> der Taskleiste klicken. Aber <strong>W<strong>in</strong>dows</strong> 7 erkennt überhaupt ke<strong>in</strong>e<br />
Drahtlosnetzwerke <strong>in</strong> der Umgebung. Sie sehen, dass jemand neben Ihnen sitzt, der e<strong>in</strong>e<br />
Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk hat. Sie stellen sicher, dass der Geräte-Manager<br />
e<strong>in</strong>e Drahtlosnetzwerkkarte im Knoten Netzwerkadapter auflistet. Welche der folgenden<br />
Ursachen könnten für das Problem verantwortlich se<strong>in</strong>? (Wählen Sie alle zutreffenden<br />
Antworten aus.)<br />
A. Sie haben ke<strong>in</strong>e Drahtlosnetzwerkkarte <strong>in</strong>stalliert.<br />
B. Ihr WLAN-Sender wurde auf der Hardwareebene ausgeschaltet.
98 Kapitel 2: Netzwerk<br />
C. Das Drahtlosnetzwerk ist so konfiguriert, dass es ke<strong>in</strong>e SSID (Service Set Identifier)<br />
aussendet.<br />
D. Das Drahtlosnetzwerk ist geschützt und Ihnen wurde ke<strong>in</strong> Zugriff gewährt.<br />
3. Welcher der folgenden Sicherheitstypen für Drahtlosnetzwerke erfordert zusätzliche<br />
Infrastrukturserver, um die Benutzer zu authentifizieren?<br />
A. WEP<br />
B. WPA-PSK<br />
C. WPA-EAP<br />
D. WPA2-PSK<br />
Rückblick auf dieses Kapitel<br />
Sie können die <strong>in</strong> diesem Kapitel erworbenen Fähigkeiten folgendermaßen e<strong>in</strong>üben und<br />
vertiefen:<br />
Lesen Sie die Zusammenfassung des Kapitels sorgfältig durch.<br />
Lesen Sie die Liste der Schlüsselbegriffe durch, die <strong>in</strong> diesem Kapitel e<strong>in</strong>geführt wurden.<br />
Arbeiten Sie die Übungen mit Fallbeispielen durch. Diese Szenarien beschreiben Fälle<br />
aus der Praxis, <strong>in</strong> denen die Themen dieses Kapitels zur Anwendung kommen. Sie werden<br />
aufgefordert, e<strong>in</strong>e Lösung zu entwickeln.<br />
Führen Sie die vorgeschlagenen Übungen durch.<br />
Machen Sie e<strong>in</strong>en Übungstest.<br />
Zusammenfassung des Kapitels<br />
<strong>W<strong>in</strong>dows</strong> 7 stellt die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose zur Verfügung, e<strong>in</strong> Tool, das häufig<br />
vorkommende Netzwerkprobleme automatisch diagnostizieren kann. Die <strong>W<strong>in</strong>dows</strong>-<br />
Netzwerkdiagnose sollte immer Ihre erste Anlaufstelle bei e<strong>in</strong>er Problembehandlung<br />
se<strong>in</strong>. Wenn Sie das Problem auf diese Weise nicht identifizieren konnten, können Sie<br />
P<strong>in</strong>g, PathP<strong>in</strong>g, PortQry und Nslookup verwenden, um festzustellen, ob es sich um e<strong>in</strong><br />
Netzwerkverb<strong>in</strong>dungsproblem, e<strong>in</strong> Anwendungsverb<strong>in</strong>dungsproblem oder e<strong>in</strong> Namensauflösungsproblem<br />
handelt.<br />
Namensauflösungsprobleme untersuchen Sie, <strong>in</strong>dem Sie sich mit Ipconfig die aktuelle<br />
Konfiguration ansehen und mit Nslookup von Hand DNS-Abfragen an den DNS-Server<br />
senden. Hat e<strong>in</strong> Adm<strong>in</strong>istrator e<strong>in</strong>en DNS-E<strong>in</strong>trag verändert, den Sie vor Kurzem abgefragt<br />
haben, können Sie den Befehl ipconfig /flushdns ausführen, um den DNS-Cache<br />
zu löschen.<br />
Probleme bei Drahtlosnetzwerken haben oft mit der Signalstärke, Sicherheitsschlüsseln<br />
und Adaptere<strong>in</strong>stellungen zu tun. <strong>W<strong>in</strong>dows</strong> 7 stellt e<strong>in</strong>e bequeme Benutzeroberfläche<br />
bereit, um Verb<strong>in</strong>dungen zu Drahtlosnetzwerken herzustellen. Tauchen bei e<strong>in</strong>em Benutzer<br />
Probleme auf, kann die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose sie oft diagnostizieren oder<br />
beseitigen. In anderen Fällen müssen Sie unter Umständen das Drahtlosnetzwerkprofil<br />
löschen, damit <strong>W<strong>in</strong>dows</strong> es automatisch neu anlegt, sobald Sie das nächste Mal e<strong>in</strong>e<br />
Verb<strong>in</strong>dung zum Drahtlosnetzwerk aufbauen.
Schlüsselbegriffe<br />
Schlüsselbegriffe 99<br />
Wissen Sie, was die folgenden Schlüsselbegriffe bedeuten? Sie können Ihre Antworten überprüfen,<br />
<strong>in</strong>dem Sie die Begriffe im Glossar am Ende dieses Buchs nachschlagen.<br />
APIPA (Automatic Private IP Address)<br />
Hotspot<br />
Latenz<br />
Namensauflösung<br />
SSID (Service Set Identifier)<br />
WEP (Wired Equivalent Protection)<br />
WPA (Wi-Fi Protected Access)<br />
Übungen mit Fallbeispiel<br />
In den folgenden Übungen mit Fallbeispiel wenden Sie an, was Sie über das Behandeln von<br />
Netzwerkproblemen gelernt haben. Die Lösungen zu den Fragen f<strong>in</strong>den Sie im Abschnitt<br />
»Antworten« h<strong>in</strong>ten <strong>in</strong> diesem Buch.<br />
Übung mit Fallbeispiel 1: Behandeln e<strong>in</strong>es Netzwerkproblems<br />
Sie arbeiten als Desktopsupporttechniker für Contoso Pharmaceuticals. Vor Kurzem haben<br />
Sie geholfen, 20 <strong>W<strong>in</strong>dows</strong> 7-Computer <strong>in</strong> e<strong>in</strong>er neuen Niederlassung <strong>in</strong> Tulsa, Oklahoma,<br />
bereitzustellen. E<strong>in</strong>er der Benutzer, Gordon L. Hee, ruft Sie wegen e<strong>in</strong>es besonders subtilen<br />
Netzwerkproblems an: »Me<strong>in</strong> Netzwerk geht nicht.«<br />
Fragen<br />
1. Welchen Schritt sollte Gordon als Erstes unternehmen?<br />
2. Wie können Sie feststellen, ob das Problem beim lokalen Netzwerk oder dem WAN<br />
(Wide Area Network) liegt?<br />
3. Wie können Sie feststellen, ob es sich um e<strong>in</strong> Namensauflösungsproblem handelt?<br />
Übung mit Fallbeispiel 2: Problembehandlung beim Verb<strong>in</strong>dungsaufbau zu<br />
e<strong>in</strong>em Drahtlosnetzwerk<br />
Sie s<strong>in</strong>d Desktopsupporttechniker bei City Power & Light. Sie bekommen e<strong>in</strong>en Anruf von<br />
Parry Bedi, die versucht, e<strong>in</strong>e Verb<strong>in</strong>dung zum Drahtlosnetzwerk am Flughafen herzustellen,<br />
aber Probleme hat. Parry kann die Verb<strong>in</strong>dung zum Netzwerk aufbauen, aber die Verb<strong>in</strong>dung<br />
sche<strong>in</strong>t nicht stabil zu se<strong>in</strong>. Der Download der E-Mails ist sehr langsam und gelegentlich<br />
bricht die Verb<strong>in</strong>dung völlig zusammen.<br />
Fragen<br />
1. Was ist wahrsche<strong>in</strong>lich die Ursache für Parrys Problem und wie kann Parry sie beseitigen?<br />
2. Welche anderen Ursachen kann Parrys Problem haben?
100 Kapitel 2: Netzwerk<br />
Vorgeschlagene Übungen<br />
Sie sollten die folgenden Aufgaben durcharbeiten, wenn Sie die <strong>in</strong> diesem Kapitel behandelten<br />
Prüfungsziele meistern wollen.<br />
Untersuchen und Beseitigen von Problemen mit der Netzwerkkonnektivität<br />
Die Problembehandlung erfordert e<strong>in</strong>e Menge praktische Erfahrung. Dieses Kapitel stellt<br />
zwar Konzepte und Tools vor, aber letztlich erwerben Sie nur durch Übung die Fähigkeiten,<br />
die Sie brauchen, um Netzwerkverb<strong>in</strong>dungsprobleme zu beseitigen und die Prüfung zu bestehen.<br />
Arbeiten Sie so viele dieser Übungen durch wie möglich, um Ihre Problembehandlungsfähigkeiten<br />
zu erweitern.<br />
Übung 1 Besuchen Sie http://social.answers.microsoft.com/Forums/de-DE/category/<br />
w<strong>in</strong>dows7 und suchen Sie die Newsgroup »Netzwerke, E-Mail und Onl<strong>in</strong>everb<strong>in</strong>dungen«.<br />
Lesen Sie die Nachrichten durch, um festzustellen, wie die Teilnehmer ihre unterschiedlichen<br />
Netzwerkprobleme gelöst haben.<br />
Übung 2 Stellen Sie getrennte Verb<strong>in</strong>dungen zu Ihren Heim- und <strong>Unternehmen</strong>snetzwerken<br />
her. Sehen Sie sich jeweils die Netzwerkkonfiguration an. Wird DHCP oder e<strong>in</strong>e<br />
manuelle IP-Adressierung verwendet? Steht mehr als e<strong>in</strong> DNS-Server zur Verfügung?<br />
Wie lautet die IP-Adresse Ihres Standardgateways?<br />
Übung 3 Versuchen Sie, Ihr Standardgateway, Ihren DNS-Server und diverse Computer<br />
<strong>in</strong> Ihrem lokalen Netzwerk sowie Webserver im Internet mit P<strong>in</strong>g zu erreichen.<br />
Welche davon antworten auf P<strong>in</strong>g-Anforderungen, welche ignorieren sie?<br />
Übung 4 Verwenden Sie statt PathP<strong>in</strong>g das Tool Tracert für Ihre Problembehandlung.<br />
PathP<strong>in</strong>g ist zwar leistungsfähiger, aber für die Prüfung müssen Sie auch Tracert kennen.<br />
Übung 5 Stellen Sie mit Ipconfig fest, welche IP-Adresse Ihr DHCP-Server hat, und<br />
notieren Sie sich, seit wann Sie Ihre IP-Adresse haben. Testen Sie den DHCP-Server mit<br />
P<strong>in</strong>g.<br />
Übung 6 Sehen Sie sich mit Ipconfig Ihre aktuelle IP-Adresse an. Rufen Sie dann<br />
Ipconfig auf, um Ihre IP-Adresse freizugeben und e<strong>in</strong>e neue anzufordern. Haben Sie<br />
dieselbe IP-Adresse erhalten oder e<strong>in</strong>e andere?<br />
Übung 7 Lassen Sie von e<strong>in</strong>em Kollegen e<strong>in</strong>es der folgenden Netzwerkprobleme auslösen.<br />
Verwenden Sie dann die <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>gebauten Tools, um das Problem zu<br />
diagnostizieren und zu reparieren:<br />
Das LAN-Kabel des Computers ist abgezogen.<br />
Die Drahtlosnetzwerkkarte ist ausgeschaltet (über den Hardwareschalter des Notebooks).<br />
Die Netzwerkkarte ist deaktiviert.<br />
Der Router hat ke<strong>in</strong>e Verb<strong>in</strong>dung mit dem Internet.<br />
Der DNS-Server ist nicht verfügbar oder falsch konfiguriert.<br />
Das Standardgateway ist offl<strong>in</strong>e.
Untersuchen und Beseitigen von Namensauflösungsproblemen<br />
Vorgeschlagene Übungen 101<br />
Die Namensauflösung ist e<strong>in</strong> umfangreiches Thema. Dieses Kapitel hat sich auf Probleme<br />
mit der DNS-Namensauflösung konzentriert, die <strong>in</strong> der Prüfung <strong>70</strong>-<strong>685</strong> am wahrsche<strong>in</strong>lichsten<br />
behandelt werden. Wenn Sie sich tiefer <strong>in</strong> die Namensauflösung e<strong>in</strong>arbeiten, hilft Ihnen<br />
das sowohl bei der Prüfung als auch bei der Problembehandlung an Ihrem Arbeitsplatz.<br />
Arbeiten Sie so viele dieser Übungen durch, wie Sie schaffen.<br />
Übung 1 Fragen Sie mit Nslookup mehrere Hostnamen ab: www.microsoft.com, www.<br />
conotoso.com und not-valid.contoso.com.<br />
Übung 2 Suchen Sie mit Nslookup nach dem Mailserver e<strong>in</strong>er Domäne. Führen Sie<br />
den Befehl nslookup -type=mx microsoft.com aus, um den Standardmailserver von<br />
Microsoft abzufragen. Recherchieren Sie im Internet die Bedeutung von MX-E<strong>in</strong>trägen<br />
und anderen Arten von DNS-E<strong>in</strong>trägen.<br />
Übung 3 Machen Sie sich mit der Bedienung von Nslookup im <strong>in</strong>teraktiven Modus<br />
vertraut, <strong>in</strong>dem Sie Nslookup <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung ohne jegliche Argumente<br />
aufrufen. Geben Sie dann den Befehl help e<strong>in</strong>.<br />
Übung 4 Suchen Sie im Internet, <strong>in</strong>sbesondere auf http://technet.microsoft.com, nach<br />
Informationen über die NetBIOS-Namensauflösung und WINS-Server. Üben Sie, wie<br />
Sie mit Nbtstat den lokalen Cache für NetBIOS-Namen anzeigen.<br />
Untersuchen und Beseitigen von Problemen mit Drahtlosverb<strong>in</strong>dungen<br />
Arbeiten Sie m<strong>in</strong>destens die ersten beiden Übungen durch, um mehr Erfahrung bei der Problembehandlung<br />
für Drahtlosverb<strong>in</strong>dungen zu sammeln. Sofern Sie genug Zeit haben und<br />
mehr über den E<strong>in</strong>satz von Drahtlosnetzwerken <strong>in</strong> der Praxis erfahren wollen, können Sie<br />
auch die Übungen 3 und 4 durcharbeiten.<br />
Übung 1 Stellen Sie auf e<strong>in</strong>em mobilen Computer e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk<br />
her. Öffnen Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung und führen Sie den Befehl p<strong>in</strong>g -t<br />
gateway aus, um unbegrenzt P<strong>in</strong>g-Anforderungen an Ihr Standardgateway zu schicken.<br />
Die P<strong>in</strong>g-Schleife ermöglicht Ihnen zu beobachten, ob Sie mit dem LAN verbunden<br />
s<strong>in</strong>d. Bewegen Sie sich jetzt vom Drahtloszugriffspunkt weg. Wie weit kommen Sie,<br />
bevor Sie die Verb<strong>in</strong>dung verlieren? Wie verhält sich <strong>W<strong>in</strong>dows</strong> 7 dabei?<br />
Übung 2 Besuchen Sie http://social.answers.microsoft.com/Forums/de-DE/category/<br />
w<strong>in</strong>dows7 und suchen Sie die Newsgroup »Netzwerke, E-Mail und Onl<strong>in</strong>everb<strong>in</strong>dungen«.<br />
Lesen Sie die Nachrichten durch, um festzustellen, wie die Teilnehmer ihre unterschiedlichen<br />
Probleme mit Drahtlosnetzwerken gelöst haben.<br />
Übung 3 Besuchen Sie e<strong>in</strong> Internetcafé, e<strong>in</strong>en Flughafen oder e<strong>in</strong> Hotel mit e<strong>in</strong>em<br />
öffentlichen WLAN-Hotspot. Versuchen Sie, e<strong>in</strong>e Verb<strong>in</strong>dung <strong>in</strong>s Internet herzustellen.<br />
Müssen Sie sich authentifizieren oder e<strong>in</strong>e Nutzungsvere<strong>in</strong>barung akzeptieren?<br />
Übung 4 Suchen Sie im Internet nach Tools, die dazu dienen, WEP oder WPA-PSK zu<br />
knacken. Wie e<strong>in</strong>fach s<strong>in</strong>d sie zu benutzen? Sofern Sie kompatible Hardware haben (die<br />
meisten Geräte unterstützen ke<strong>in</strong>e Crackversuche), können Sie versuchen, Ihr privates<br />
Drahtlosnetzwerk zu knacken. Wie lange brauchen Sie dazu?
102 Kapitel 2: Netzwerk<br />
Machen Sie e<strong>in</strong>en Übungstest<br />
Die Übungstests (<strong>in</strong> englischer Sprache) auf der Begleit-CD zu diesem Buch bieten zahlreiche<br />
Möglichkeiten. Zum Beispiel können Sie e<strong>in</strong>en Test machen, der ausschließlich die<br />
Themen aus e<strong>in</strong>em Prüfungslernziel behandelt, oder Sie können sich selbst mit dem gesamten<br />
Inhalt der Prüfung <strong>70</strong>-<strong>685</strong> testen. Sie können den Test so konfigurieren, dass er dem<br />
Ablauf e<strong>in</strong>er echten Prüfung entspricht, oder Sie können e<strong>in</strong>en Lernmodus verwenden, <strong>in</strong><br />
dem Sie sich nach dem Beantworten e<strong>in</strong>er Frage jeweils sofort die richtige Antwort und<br />
Erklärungen ansehen können.<br />
Weitere Informationen Übungstests<br />
E<strong>in</strong>zelheiten zu allen Optionen, die bei den Übungstests zur Verfügung stehen, f<strong>in</strong>den Sie im<br />
Abschnitt »So benutzen Sie die Übungstests« <strong>in</strong> der E<strong>in</strong>führung am Anfang dieses Buchs.
K A P I T E L 3<br />
Drucker<br />
Drucker schlagen die Brücke zwischen der virtuellen und der physischen Welt. Sie ermöglichen<br />
es den Benutzern anzufassen, was sie auf ihren Computern erstellt haben. Die meisten<br />
Benutzer drucken nur die wichtigsten Dokumente aus, daher muss sichergestellt se<strong>in</strong>, dass<br />
die Drucker funktionieren, wenn sie gebraucht werden. Muss e<strong>in</strong> Benutzer 20 M<strong>in</strong>uten vor<br />
e<strong>in</strong>em wichtigen Meet<strong>in</strong>g unbed<strong>in</strong>gt se<strong>in</strong>e Präsentation ausdrucken, wird aber durch e<strong>in</strong>en<br />
Fehler aufgehalten, müssen Sie <strong>in</strong> der Lage se<strong>in</strong>, das Problem schnell zu f<strong>in</strong>den und zu beseitigen.<br />
Damit die Benutzer produktiv arbeiten können, müssen Sie wissen, wie Sie freigegebene<br />
Drucker konfigurieren und Probleme damit beseitigen. Dieses Kapitel zeigt, wie Sie häufige<br />
Probleme mit Druckertreibern, -freigaben und -hardware behandeln.<br />
Prüfungslernziele <strong>in</strong> diesem Kapitel:<br />
Untersuchen und Beseitigen von Netzwerkdruckerproblemen<br />
Lektion <strong>in</strong> diesem Kapitel:<br />
Lektion 1: Problembehandlung für Netzwerkdrucker . ...................... 105<br />
Bevor Sie beg<strong>in</strong>nen<br />
Um die Übungen <strong>in</strong> diesem Kapitel durcharbeiten zu können, sollten Sie mit <strong>W<strong>in</strong>dows</strong> 7<br />
vertraut se<strong>in</strong> und folgende Aufgaben beherrschen:<br />
Installieren von <strong>W<strong>in</strong>dows</strong> 7<br />
E<strong>in</strong>en Computer hardwaremäßig an das Netzwerk anschließen<br />
Konfigurieren und Verwalten von Druckern<br />
Durchführen e<strong>in</strong>facher Verwaltungsaufgaben auf e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> Server 2008 R2-<br />
Domänencontroller<br />
103
104 Kapitel 3: Drucker<br />
Praxistipp<br />
Tony Northrup<br />
Ganze Kapitel <strong>in</strong> diesem Buch beschäftigen sich ausschließlich mit der Behandlung von<br />
Hardware- und Netzwerkproblemen. Warum bekommen Netzwerkdrucker also e<strong>in</strong> eigenes<br />
Kapitel? Schließlich müsste die Problembehandlung für Netzwerkdrucker doch e<strong>in</strong>e<br />
Komb<strong>in</strong>ation aus Problembehandlung für Netzwerk und Hardware se<strong>in</strong>.<br />
Auch wenn es nicht immer ganz logisch ist, behandelt <strong>W<strong>in</strong>dows</strong> 7 Drucker ganz anders<br />
als die sonstigen Hardwarekomponenten. Erstens f<strong>in</strong>den Sie ke<strong>in</strong>en Knoten für Drucker<br />
im Geräte-Manager. Stattdessen müssen Sie das Eigenschaftendialogfeld e<strong>in</strong>es Druckers<br />
öffnen, um se<strong>in</strong>e Treiber zu ändern. Zweitens können Standardbenutzer die meisten Treibertypen<br />
nicht <strong>in</strong>stallieren, aber es ist ihnen erlaubt, Druckertreiber zu <strong>in</strong>stallieren (sofern<br />
der Adm<strong>in</strong>istrator es nicht verh<strong>in</strong>dert). Drucker s<strong>in</strong>d auch die e<strong>in</strong>zigen Hardwarekomponenten,<br />
die üblicherweise im gesamten Netzwerk freigegeben s<strong>in</strong>d.<br />
Abgesehen davon, dass <strong>W<strong>in</strong>dows</strong> 7 Druckern e<strong>in</strong>en Sonderstatus e<strong>in</strong>räumt, verdienen sie<br />
auch deshalb e<strong>in</strong> eigenes Kapitel, weil sie viel mehr <strong>Support</strong>anfragen verursachen als<br />
andere Hardwaretypen. Viele mobile Benutzer greifen regelmäßig auf unterschiedliche<br />
Drucker zu, je nachdem, ob sie gerade zuhause, im Büro oder <strong>in</strong> e<strong>in</strong>em Hotel s<strong>in</strong>d. Jeder<br />
Drucker benötigt e<strong>in</strong>e neue Verb<strong>in</strong>dung und eigene Treiber. Drucker erfordern auch e<strong>in</strong>e<br />
wesentlich aufwendigere Wartung als andere Hardwarekomponenten, weil ihnen regelmäßig<br />
Papier oder T<strong>in</strong>te ausgehen und die komplexen beweglichen Teile häufiger Defekte<br />
verursachen als bei anderen Hardwarekomponenten.
Lektion 1: Problembehandlung für Netzwerkdrucker 105<br />
Lektion 1: Problembehandlung für Netzwerkdrucker<br />
Diese Lektion beschreibt, welche Abläufe und Tools Sie e<strong>in</strong>setzen, um komplexe Probleme<br />
mit freigegebenen Druckern zu behandeln. Dazu zählen beispielsweise ausgefallene Dienste,<br />
ungültige Treiber, Probleme mit der Firewallkonfiguration und Netzwerkausfälle. Bei e<strong>in</strong>facheren<br />
Problemen macht <strong>W<strong>in</strong>dows</strong> 7 die Problembehandlung so simpel, dass ke<strong>in</strong>e Anleitung<br />
erforderlich ist. Geht e<strong>in</strong>em Drucker etwa das Papier aus, <strong>in</strong>formiert <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>fach<br />
den Benutzer. Und wenn e<strong>in</strong>em Benutzer die Privilegien zum Drucken fehlen, zeigt<br />
<strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>e Fehlermeldung an, die das Problem beschreibt.<br />
In dieser Lektion wird vorausgesetzt, dass Sie bereits wissen, wie Sie Drucker <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
und <strong>W<strong>in</strong>dows</strong> Server 2008 R2 konfigurieren und verwalten.<br />
Am Ende dieser Lektion werden Sie <strong>in</strong> der Lage se<strong>in</strong>, die folgenden Aufgaben auszuführen:<br />
Verwenden des Problembehandlungsmoduls für Drucker, das <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>gebaut ist<br />
Untersuchen von Druckerereignissen im Ereignisprotokoll<br />
Konfigurieren von Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen, um die Problembehandlung für<br />
Drucker zu unterstützen<br />
Behandeln von Problemen mit e<strong>in</strong>em Druckserver<br />
Behandeln von Problemen mit Druckertreibern<br />
Behandeln von Problemen beim Herstellen e<strong>in</strong>er Verb<strong>in</strong>dung zu Druckern im Netzwerk<br />
Veranschlagte Zeit für diese Lektion: 25 M<strong>in</strong>uten<br />
Verwenden des Problembehandlungsmoduls Drucker<br />
<strong>W<strong>in</strong>dows</strong> stellt e<strong>in</strong> <strong>in</strong>tegriertes Problembehandlungsfeature für die Diagnose von Problemen<br />
im Zusammenhang mit Druckern bereit. Das Problembehandlungsmodul ist so entworfen,<br />
dass es von normalen Benutzern bedient werden kann, aber es ist auch für Systemadm<strong>in</strong>istratoren<br />
der beste Ausgangspunkt, um e<strong>in</strong> Druckerproblem zu untersuchen.<br />
Wenn Sie Schwierigkeiten haben, e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em freigegebenen Drucker herzustellen,<br />
sollten Sie folgendermaßen vorgehen, um das Problembehandlungsmodul Drucker zu<br />
öffnen:<br />
1. Klicken Sie im Startmenü auf Systemsteuerung.<br />
2. Klicken Sie auf System und Sicherheit.<br />
3. Klicken Sie unter Wartungscenter auf Problembehandlung für allgeme<strong>in</strong>e Computerprobleme.<br />
4. Klicken Sie unter Hardware und Sound auf Drucker verwenden.<br />
5. Das Problembehandlungsmodul Drucker öffnet sich und versucht, das Problem zu diagnostizieren.<br />
Folgen Sie den angezeigten Anweisungen.<br />
6. Klicken Sie auf der Seite Computerprobleme behandeln und Computerproblemen vorbeugen<br />
auf Weiter.<br />
7. Klicken Sie auf der Seite Für welchen Drucker möchten Sie e<strong>in</strong>e Problembehandlung<br />
durchführen? auf Me<strong>in</strong> Drucker ist nicht aufgeführt. Klicken Sie auf Weiter.
106 Kapitel 3: Drucker<br />
8. Wählen Sie die Optionen aus, die vermutlich Ihr Problem betreffen.<br />
Haben Sie Schwierigkeiten beim Ausdrucken auf e<strong>in</strong>em vorhandenen Drucker, sollten Sie<br />
das Problembehandlungsmodul Drucker folgendermaßen ausführen:<br />
1. Klicken Sie im Startmenü auf Geräte und Drucker.<br />
2. Klicken Sie mit der rechten Maustaste auf den Drucker und wählen Sie den Befehl Problembehandlung.<br />
Das Problembehandlungsmodul Drucker öffnet sich und versucht, das Problem zu diagnostizieren.<br />
3. Folgen Sie den angezeigten Anweisungen.<br />
Das Problembehandlungsmodul Drucker ist <strong>in</strong> der Lage, folgende Probleme zu erkennen:<br />
Es ist ke<strong>in</strong> physischer Drucker <strong>in</strong>stalliert.<br />
E<strong>in</strong> neuer Drucker wurde noch nicht erkannt.<br />
Der Drucker ist nicht der Standarddrucker.<br />
Der Drucker ist nicht freigegeben.<br />
Der Drucker hat ke<strong>in</strong> Papier mehr.<br />
Beim Drucker ist der Toner aus.<br />
Beim Drucker ist e<strong>in</strong> Papierstau aufgetreten.<br />
Der Druckertreiber muss aktualisiert werden.<br />
Der Drucker ist ausgeschaltet.<br />
E<strong>in</strong> Druckauftrag verh<strong>in</strong>dert, dass andere Druckaufträge abgearbeitet werden.<br />
Der Dienst Druckwarteschlange läuft nicht oder verursacht e<strong>in</strong>en Fehler.<br />
Wie <strong>in</strong> Abbildung 3.1 zu sehen, kann das Problembehandlungsmodul Drucker e<strong>in</strong>ige Konfigurationsprobleme<br />
automatisch reparieren (dazu s<strong>in</strong>d allerd<strong>in</strong>gs oft Adm<strong>in</strong>istratorprivilegien<br />
nötig).<br />
Abbildung 3.1 Das Problembehandlungsmodul Drucker<br />
kann e<strong>in</strong>ige Probleme automatisch beseitigen
Überwachen von Druckerereignissen<br />
Lektion 1: Problembehandlung für Netzwerkdrucker 107<br />
<strong>W<strong>in</strong>dows</strong> 7 zeichnet Druckerereignisse im Ereignisprotokoll Anwendungs- und Dienstprotokolle\Microsoft\<strong>W<strong>in</strong>dows</strong>\Pr<strong>in</strong>tService\Adm<strong>in</strong>istrator<br />
auf. Häufige Ereignisse s<strong>in</strong>d:<br />
Ändern des Standarddruckers<br />
Fehler beim Initialisieren e<strong>in</strong>es neuen Druckers oder Treibers<br />
Fehler beim Versuch, e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Netzwerkdrucker herzustellen<br />
Fehler beim Versuch, e<strong>in</strong>en Drucker freizugeben<br />
<strong>W<strong>in</strong>dows</strong> 7 kann Ereignisse <strong>in</strong> das Sicherheitsereignisprotokoll schreiben, wenn Benutzer<br />
zum ersten Mal e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Drucker herstellen. Damit <strong>in</strong> diesen Fällen e<strong>in</strong><br />
Ereignis aufgezeichnet wird, müssen Sie mithilfe von Gruppenrichtl<strong>in</strong>ien die Erfolgs- oder<br />
Fehlerüberwachung für die Richtl<strong>in</strong>ie Anmeldeereignisse überwachen im Knoten Computerkonfiguration\<strong>W<strong>in</strong>dows</strong>-E<strong>in</strong>stellungen\Sicherheitse<strong>in</strong>stellungen\LokaleRichtl<strong>in</strong>ien\Überwachungsrichtl<strong>in</strong>ie<br />
aktivieren.<br />
<strong>W<strong>in</strong>dows</strong> 7 bietet ke<strong>in</strong>e Unterstützung zum Überwachen, wann Benutzer Dokumente ausdrucken<br />
oder Drucker verwalten. <strong>W<strong>in</strong>dows</strong> Server 2008 R2 unterstützt allerd<strong>in</strong>gs die Objektüberwachung<br />
für Drucker. Aktivieren Sie dazu erst die Erfolgs- oder Fehlerüberwachung für<br />
die Richtl<strong>in</strong>ie Objektzugriffsversuche überwachen im Knoten Computerkonfiguration\<strong>W<strong>in</strong>dows</strong>-E<strong>in</strong>stellungen\Sicherheitse<strong>in</strong>stellungen\Lokale<br />
Richtl<strong>in</strong>ien\Überwachungsrichtl<strong>in</strong>ie.<br />
Gehen Sie folgendermaßen vor, um die Überwachung des Druckers zu aktivieren:<br />
1. Klicken Sie im Startmenü auf Geräte und Drucker.<br />
2. Klicken Sie mit der rechten Maustaste auf den Drucker und wählen Sie den Befehl<br />
Druckereigenschaften.<br />
Das Dialogfeld Druckereigenschaften ersche<strong>in</strong>t.<br />
3. Klicken Sie auf der Registerkarte Sicherheit auf Erweitert.<br />
Das Dialogfeld Erweiterte Sicherheitse<strong>in</strong>stellungen wird geöffnet.<br />
4. Klicken Sie auf der Registerkarte Überwachung auf H<strong>in</strong>zufügen.<br />
Das Dialogfeld Benutzer, Computer, Dienstkonto oder Gruppe auswählen wird geöffnet.<br />
5. Geben Sie den Namen des Benutzers oder der Gruppe e<strong>in</strong>, die Sie überwachen wollen,<br />
und klicken Sie auf OK.<br />
Das Dialogfeld Überwachungse<strong>in</strong>trag wird geöffnet.<br />
6. Wählen Sie die Erfolgs- oder Fehlerüberwachung für die unterschiedlichen Zugriffstypen<br />
aus (Abbildung 3.2). Klicken Sie dreimal auf OK.<br />
Ab jetzt zeichnet <strong>W<strong>in</strong>dows</strong> Server 2008 R2 Ereignisse im Sicherheitsereignisprotokoll auf,<br />
wenn Benutzer der angegebenen Gruppe die ausgewählten Zugriffsarten ausführen.
108 Kapitel 3: Drucker<br />
Abbildung 3.2 <strong>W<strong>in</strong>dows</strong> 7 unterstützt ke<strong>in</strong>e Druckerüberwachung,<br />
<strong>W<strong>in</strong>dows</strong> Server 2008 R2 bietet aber diese Möglichkeit<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen für die Problembehandlung<br />
<strong>W<strong>in</strong>dows</strong> 7 stellt im Knoten Computerkonfiguration\Adm<strong>in</strong>istrative Vorlagen\Drucker viele<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen zur Verfügung, die Ihnen helfen, das Verhalten von Druckern<br />
und Druckertreibern zu konfigurieren. Außerdem können Sie Clientcomputer so konfigurieren,<br />
dass sie automatisch e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em freigegebenen Drucker herstellen,<br />
<strong>in</strong>dem Sie den Drucker zu den Knoten Computerkonfiguration\<strong>W<strong>in</strong>dows</strong>-E<strong>in</strong>stellungen\<br />
Bereitgestellte Drucker oder Benutzerkonfiguration\<strong>W<strong>in</strong>dows</strong>-E<strong>in</strong>stellungen\Bereitgestellte<br />
Drucker h<strong>in</strong>zufügen.<br />
Weil sich die Prüfung <strong>70</strong>-<strong>685</strong> auf die Problembehandlung konzentriert, beschreibt dieses<br />
Buch ke<strong>in</strong>e Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen, mit denen Drucker bereitgestellt oder verwaltet<br />
werden. Die folgenden Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen s<strong>in</strong>d aber oft für die Problembehandlung<br />
von Druckern auf <strong>W<strong>in</strong>dows</strong> 7-Computern nützlich:<br />
Druckertreiber <strong>in</strong> isolierten Prozessen ausführen In der Standarde<strong>in</strong>stellung hält die<br />
Druckwarteschlange alle Druckertreiber <strong>in</strong> e<strong>in</strong>em eigenen Prozess. So funktioniert die<br />
Druckwarteschlange auch dann, wenn e<strong>in</strong> Druckertreiber abstürzt. Die Standarde<strong>in</strong>stellung<br />
eignet sich für die Problembehandlung am besten, aber wenn Sie feststellen, dass<br />
die Druckwarteschlange abstürzt, sollten Sie sicherstellen, dass diese E<strong>in</strong>stellung nicht<br />
deaktiviert wurde.<br />
Vom Druckertreiber gemeldete Kompatibilitätse<strong>in</strong>stellung zur Ausführung des<br />
Druckertreibers außer Kraft setzen Druckertreiber enthalten e<strong>in</strong> Kompatibilitätsflag<br />
für die Treiberisolation, das festlegt, ob der Druckertreiber <strong>in</strong> e<strong>in</strong>em anderen Prozess als<br />
die Druckwarteschlange laufen soll. Wenn Sie diese E<strong>in</strong>stellung aktivieren (<strong>in</strong> der Standarde<strong>in</strong>stellung<br />
ist sie deaktiviert), führt die Druckwarteschlange alle Druckertreiber <strong>in</strong><br />
e<strong>in</strong>em separaten Prozess aus, unabhängig davon, welchen Wert ihr Kompatibilitätsflag<br />
für die Treiberisolation hat. Wenn Sie feststellen, dass die Druckwarteschlange abstürzt,<br />
sollten Sie diese E<strong>in</strong>stellung aktivieren.
Lektion 1: Problembehandlung für Netzwerkdrucker 109<br />
Annahme von Clientverb<strong>in</strong>dungen zum Druckspooler erlauben Diese E<strong>in</strong>stellung<br />
verh<strong>in</strong>dert, dass e<strong>in</strong> Computer als Druckserver agiert. Wenn Probleme beim Freigeben<br />
e<strong>in</strong>es Druckers auftauchen, sollten Sie sicherstellen, dass diese E<strong>in</strong>stellung aktiviert ist<br />
(das ist der Standardwert).<br />
Behandeln von Serverproblemen<br />
In privaten Umgebungen schließen die Benutzer ihre Drucker normalerweise über e<strong>in</strong> USB-<br />
Kabel (Universal Serial Bus) an den Computer an. In <strong>Unternehmen</strong>sumgebungen werden<br />
Drucker oft von vielen Benutzern geme<strong>in</strong>sam verwendet. Um viele unterschiedliche Benutzer<br />
mit e<strong>in</strong>em Drucker verb<strong>in</strong>den zu können, müssen die Drucker im Netzwerk zur Verfügung<br />
stehen. Es gibt zwei verbreitete Methoden, e<strong>in</strong>en Drucker im Netzwerk freizugeben:<br />
Den Drucker direkt an das Netzwerk anschließen Drucker müssen dazu netzwerkfähig<br />
se<strong>in</strong>, also e<strong>in</strong>en Ethernetanschluss oder e<strong>in</strong>en Drahtlosadapter haben.<br />
Anschließen des Druckers an e<strong>in</strong>en Computer und Freigeben im Netzwerk In diesem<br />
Fall wird der Computer, an den der Drucker direkt angeschlossen ist, zum Druckserver.<br />
Alle neueren Client- und Serverversionen von Microsoft <strong>W<strong>in</strong>dows</strong> s<strong>in</strong>d <strong>in</strong> der<br />
Lage, als Druckserver zu agieren.<br />
Entscheiden, ob e<strong>in</strong> Druckserver verwendet wird<br />
Wenn Sie e<strong>in</strong>en Drucker direkt an das Netzwerk anschließen, kann das die Anschaffungskosten<br />
senken, weil Sie ke<strong>in</strong>en Server kaufen oder konfigurieren müssen. Außerdem fällt e<strong>in</strong><br />
Drucker, der direkt ans Netzwerk angeschlossen ist, nicht aus, wenn e<strong>in</strong> Server offl<strong>in</strong>e geht.<br />
Abhängig von den Verwaltungsfunktionen des vernetzten Druckers ist e<strong>in</strong> direkter Anschluss<br />
an das Netzwerk unter Umständen die beste Wahl für Ihre Umgebung. Es hat aber auch<br />
mehrere Vorteile, wenn Sie e<strong>in</strong>en Computer als Druckserver konfigurieren:<br />
Integration <strong>in</strong> die <strong>W<strong>in</strong>dows</strong>-Sicherheit Wenn Sie e<strong>in</strong>en Drucker <strong>in</strong> <strong>W<strong>in</strong>dows</strong> freigeben,<br />
können Sie konfigurieren, welche AD DS-Konten (Active Directory Doma<strong>in</strong><br />
Services) Zugriff auf den Drucker haben oder unterschiedliche Verwaltungsfunktionen<br />
ausführen dürfen.<br />
Integration <strong>in</strong> die AD DS-Suche Sie können Drucker <strong>in</strong> Ihrem AD DS veröffentlichen,<br />
sodass die Benutzer nach dem Drucker suchen können, der ihrem Standort am<br />
nächsten ist.<br />
Automatische Installation von Druckertreibern <strong>W<strong>in</strong>dows</strong>-Druckserver können<br />
Druckertreiber für Clientcomputer zur Verfügung stellen, sobald sie das erste Mal e<strong>in</strong>e<br />
Verb<strong>in</strong>dung herstellen. Das vere<strong>in</strong>facht die Verwaltung.<br />
Integration <strong>in</strong> <strong>Unternehmen</strong>sverwaltungstools Probleme beim Drucken generieren<br />
Ereignisse im Ereignisprotokoll, die Sie mithilfe verbreiteter <strong>Unternehmen</strong>sverwaltungstools<br />
wie Microsoft Systems Center Operations Manager verwalten können.<br />
Anforderungen an e<strong>in</strong>en Druckserver<br />
Damit e<strong>in</strong> Computer Drucker freigeben kann, muss er zwei Dienste ausführen:<br />
Server Dieser Dienst wird gebraucht, um Dateien oder Drucker über das Netzwerk<br />
freizugeben.<br />
Druckwarteschlange Dieser Dienst ist für das Drucken erforderlich.
110 Kapitel 3: Drucker<br />
Clientcomputer, die e<strong>in</strong>e Verb<strong>in</strong>dung zum freigegebenen Drucker herstellen wollen, müssen<br />
den Arbeitsstationsdienst und den Druckwarteschlangendienst ausführen. Startet e<strong>in</strong> erforderlicher<br />
Dienst nicht, sollten Sie überprüfen, ob alle anderen Dienste laufen, von denen<br />
dieser Dienst abhängig ist. Sehen Sie sich dann die Ereignisse im Systemereignisprotokoll<br />
und im Ereignisprotokoll Anwendungs- und Dienstprotokolle\Microsoft\<strong>W<strong>in</strong>dows</strong>\Pr<strong>in</strong>t-<br />
Service\Adm<strong>in</strong>istrator an.<br />
Freigeben e<strong>in</strong>es Druckers<br />
In <strong>W<strong>in</strong>dows</strong> Server 2008 R2 oder <strong>W<strong>in</strong>dows</strong> 7 gehen Sie folgendermaßen vor, um e<strong>in</strong>en freigegebenen<br />
Drucker zu verwalten:<br />
1. Klicken Sie im Startmenü auf Geräte und Drucker.<br />
2. Klicken Sie mit der rechten Maustaste auf den Drucker und wählen Sie den Befehl Druckereigenschaften.<br />
Wählen Sie nicht Eigenschaften, der Befehl Druckereigenschaften<br />
bef<strong>in</strong>det sich <strong>in</strong> der Mitte des Kontextmenüs.<br />
3. Aktivieren Sie auf der Registerkarte Freigabe das Kontrollkästchen Drucker freigeben.<br />
Sie haben nun drei weitere Möglichkeiten zur Auswahl:<br />
Aktivieren Sie das Kontrollkästchen Druckauftragsaufbereitung auf Clientcomputern<br />
durchführen, um den Prozessor des Servers zu entlasten. Dadurch zw<strong>in</strong>gen Sie den<br />
Client, e<strong>in</strong>en größeren Teil der Druckaufbereitung selbst zu erledigen. Sofern Ihr<br />
Druckserver mehr Rechenleistung besitzt als die Clientcomputer und die Druckleistung<br />
nicht leidet, können Sie dieses Kontrollkästchen deaktivieren.<br />
Wenn Sie <strong>in</strong> e<strong>in</strong>er AD DS-Umgebung arbeiten, können Sie das Kontrollkästchen In<br />
Verzeichnis auflisten aktivieren. Daraufh<strong>in</strong> wird der Drucker <strong>in</strong> AD DS veröffentlicht,<br />
sodass Benutzer nach e<strong>in</strong>em Drucker suchen können, der sich nahe an ihrem Standort<br />
bef<strong>in</strong>det.<br />
Klicken Sie auf Zusätzliche Treiber, um andere Prozessortypen auszuwählen, für die<br />
Treiber gespeichert werden sollen. Clients können e<strong>in</strong>en Treiber automatisch vom<br />
Server herunterladen, sofern der passende Treibertyp verfügbar ist. Wenn Sie auf OK<br />
klicken, werden Sie unter Umständen aufgefordert, den Pfad zum Speicherort des<br />
Treibers anzugeben. Klicken Sie auf OK.<br />
Verwalten von Druckaufträgen für e<strong>in</strong>en Drucker<br />
Gehen Sie <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Server 2008 R2 oder <strong>W<strong>in</strong>dows</strong> 7 folgendermaßen vor, um e<strong>in</strong>en freigegebenen<br />
Drucker zu verwalten:<br />
1. Klicken Sie im Startmenü auf Geräte und Drucker.<br />
2. Klicken Sie doppelt auf den Drucker, den Sie verwalten wollen.<br />
3. Klicken Sie auf Druckaufträge anzeigen.<br />
4. <strong>W<strong>in</strong>dows</strong> zeigt die Druckerwarteschlange an, e<strong>in</strong>e Sammlung der Dokumente, die auf<br />
den Ausdruck warten. Sie können mit der rechten Maustaste auf e<strong>in</strong> beliebiges Dokument<br />
klicken und die Befehle Anhalten, Neu starten oder Abbrechen wählen.
Problembehandlung für die Druckerwarteschlange<br />
Lektion 1: Problembehandlung für Netzwerkdrucker 111<br />
Wenn Sie e<strong>in</strong> Dokument haben, das hartnäckig <strong>in</strong> der Druckerwarteschlange verbleibt, können<br />
Sie es löschen, <strong>in</strong>dem Sie den Dienst Druckwarteschlange neu starten. Dafür können Sie<br />
den Knoten Dienste im Fenster Computerverwaltung verwenden oder <strong>in</strong> e<strong>in</strong>er adm<strong>in</strong>istrativen<br />
E<strong>in</strong>gabeaufforderung die Befehle net stop spooler und net start spooler ausführen. Wollen<br />
Sie den Dienst Druckwarteschlange <strong>in</strong> e<strong>in</strong>em e<strong>in</strong>zigen Befehl neu starten, können Sie<br />
net stop spooler && net start spooler e<strong>in</strong>geben.<br />
Lassen sich unerwünschte Dokumente nicht aus der Druckerwarteschlange entfernen, obwohl<br />
Sie die Druckwarteschlange neu starten, können Sie solche Dokumente folgendermaßen<br />
von Hand löschen:<br />
1. Beenden Sie erst den Dienst Druckwarteschlange, wie weiter oben <strong>in</strong> diesem Abschnitt<br />
beschrieben.<br />
2. Löschen Sie im <strong>W<strong>in</strong>dows</strong>-Explorer alle Dateien im Ordner %W<strong>in</strong>Dir%\System32\Spool\<br />
Pr<strong>in</strong>ters. Dieser Ordner enthält zwei Dateien für jedes Dokument, das <strong>in</strong> der Druckerwarteschlange<br />
steht: e<strong>in</strong>e .shd- und e<strong>in</strong>e .spl-Datei.<br />
3. Starten Sie den Dienst Druckwarteschlange wieder.<br />
Prüfungstipp<br />
Für die Prüfung müssen Sie die Bedeutung des Dienstes Druckwarteschlange kennen. Der<br />
Dienst muss sowohl auf dem Client als auch dem Server laufen, damit die Benutzer Dokumente<br />
ausdrucken oder Drucker verwalten können. Wenn Sie den Dienst Druckwarteschlange<br />
neu starten, wird die Druckerwarteschlange gelöscht; das beseitigt oft Probleme mit e<strong>in</strong>em<br />
Dokument, das nicht ausgedruckt wird, und verh<strong>in</strong>dert, dass andere Dokumente gedruckt<br />
werden.<br />
Behandeln von Treiberproblemen<br />
Treiber wickeln die Kommunikation zwischen <strong>W<strong>in</strong>dows</strong> und Hardwarekomponenten ab.<br />
Beispielsweise hat <strong>W<strong>in</strong>dows</strong> neben den Druckertreibern auch Treiber für Grafikkarten,<br />
Tastaturen, Mäuse und Monitore. Bei den meisten Hardwarekomponenten verwenden Sie<br />
den Geräte-Manager, um die zugehörigen Treiber zu verwalten. Bei Druckern müssen Sie<br />
dafür das Dialogfeld Druckereigenschaften verwenden.<br />
Aktualisieren e<strong>in</strong>es Treibers für den Druckserver<br />
Wenn Sie e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em neuen Drucker herstellen, erkennt <strong>W<strong>in</strong>dows</strong> 7 die neue<br />
Hardware und versucht, automatisch e<strong>in</strong>en Treiber zu <strong>in</strong>stallieren. Verursacht dieser Standardtreiber<br />
Probleme, sollten Sie folgendermaßen e<strong>in</strong>en anderen Treiber <strong>in</strong>stallieren:<br />
1. Klicken Sie im Startmenü auf Geräte und Drucker.<br />
2. Klicken Sie mit der rechten Maustaste auf den Drucker, den Sie verwalten wollen, und<br />
wählen Sie den Befehl Druckereigenschaften.<br />
3. Klicken Sie auf der Registerkarte Erweitert auf Neuer Treiber, um e<strong>in</strong>en Treiber h<strong>in</strong>zuzufügen.<br />
4. Der Assistent für die Druckertreiber<strong>in</strong>stallation leitet Sie durch den Vorgang. Sie haben<br />
die Wahl, ob Sie e<strong>in</strong>en <strong>in</strong> <strong>W<strong>in</strong>dows</strong> e<strong>in</strong>gebauten Treiber verwenden, e<strong>in</strong>en Treiber von
112 Kapitel 3: Drucker<br />
<strong>W<strong>in</strong>dows</strong> Update herunterladen oder e<strong>in</strong>en Treiber auswählen, den Sie auf der Festplatte<br />
gespeichert haben.<br />
Gelegentlich schlägt e<strong>in</strong>e Treiber<strong>in</strong>stallation fehl, sodass der Drucker nicht mehr funktioniert.<br />
Am schnellsten können Sie den Treiber neu <strong>in</strong>stallieren, <strong>in</strong>dem Sie folgendermaßen den<br />
ganzen Drucker neu <strong>in</strong>stallieren:<br />
1. Löschen Sie alle Dokumente aus der Druckerwarteschlange, wie im Abschnitt »Problembehandlung<br />
für die Druckerwarteschlange« weiter oben <strong>in</strong> dieser Lektion beschrieben.<br />
2. Löschen Sie den Drucker, <strong>in</strong>dem Sie ihn mit der rechten Maustaste anklicken und den<br />
Befehl Gerät entfernen wählen.<br />
3. Öffnen Sie das Systemsteuerungselement Programm de<strong>in</strong>stallieren, um jegliche Software<br />
zu entfernen, die für den Drucker <strong>in</strong>stalliert wurde.<br />
4. Installieren Sie den Drucker neu, wobei Sie die neueste Treiberversion verwenden.<br />
Klicken Sie dazu im Fenster Geräte und Drucker auf Drucker h<strong>in</strong>zufügen und folgen Sie<br />
den angezeigten Anweisungen.<br />
Besteht das Problem weiterh<strong>in</strong>, obwohl Sie den Drucker neu <strong>in</strong>stalliert haben, müssen Sie<br />
unter Umständen von Hand Dateien löschen, die mit der Treiber<strong>in</strong>stallation zu tun haben.<br />
Gehen Sie dazu folgendermaßen vor:<br />
1. Beenden Sie erst den Dienst Druckwarteschlange.<br />
2. Wechseln Sie im <strong>W<strong>in</strong>dows</strong>-Explorer <strong>in</strong> den Ordner %W<strong>in</strong>Dir%\System32\Spool\Drivers\<br />
W32x86\3\ (bei 32-Bit-Versionen von <strong>W<strong>in</strong>dows</strong>) beziehungsweise %W<strong>in</strong>Dir%\System32\<br />
Spool\Drivers\x64\3\ (bei 64-Bit-Versionen).<br />
3. Löschen Sie <strong>in</strong> diesem Ordner alle Unterordner, deren Name e<strong>in</strong>e Zahl ist.<br />
4. Starten Sie den Dienst Druckwarteschlange neu.<br />
Informationen über die Problembehandlung von Hardwarefehlern, die nicht durch Treiber<br />
verursacht werden, f<strong>in</strong>den Sie <strong>in</strong> Kapitel 1, »Beseitigen von Hardwarefehlern«.<br />
H<strong>in</strong>zufügen von Treibern für Clients, die auf freigegebene Drucker zugreifen<br />
Wenn <strong>W<strong>in</strong>dows</strong>-Clients e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em neuen Drucker herstellen, können sie<br />
automatisch Treiber <strong>in</strong>stallieren, die auf dem Druckserver gespeichert s<strong>in</strong>d. In der Standarde<strong>in</strong>stellung<br />
enthält der Druckserver nur die Treiber, die er selbst für das Drucken braucht.<br />
E<strong>in</strong> 64-Bit-Druckserver, der unter <strong>W<strong>in</strong>dows</strong> 7 läuft, hat also 64-Bit-Druckertreiber, aber<br />
ke<strong>in</strong>e 32-Bit-Treiber. Somit können 64-Bit-Clients, die unter <strong>W<strong>in</strong>dows</strong> 7 laufen, die Treiber<br />
automatisch vom Druckserver <strong>in</strong>stallieren, aber 32-Bit-Clients müssen e<strong>in</strong>en Treiber von<br />
<strong>W<strong>in</strong>dows</strong> Update herunterladen oder den Benutzer auffordern, selbst passende Treiber<br />
bereitzustellen.<br />
Wenn Sie den Druckserver verwalten, haben Sie die Gelegenheit, Druckertreiber für andere<br />
Prozessorarchitekturen zu speichern. Dabei können Sie frei auswählen, für welche Druckermodelle<br />
Sie welche Treiber speichern. Beispielsweise können Sie e<strong>in</strong>en 32-Bit-Druckertreiber<br />
zu e<strong>in</strong>em 64-Bit-Druckserver h<strong>in</strong>zufügen, damit 32-Bit-<strong>W<strong>in</strong>dows</strong> 7-Clients automatisch<br />
den für sie passenden Treiber herunterladen können.
Lektion 1: Problembehandlung für Netzwerkdrucker 113<br />
Gehen Sie folgendermaßen vor, um Treiber für andere Prozessorarchitekturen zu speichern:<br />
1. Klicken Sie im Startmenü auf Geräte und Drucker.<br />
2. Klicken Sie mit der rechten Maustaste auf den Drucker und wählen Sie den Befehl<br />
Druckereigenschaften.<br />
3. Klicken Sie auf der Registerkarte Freigabe auf Zusätzliche Treiber.<br />
4. Wählen Sie im Dialogfeld Zusätzliche Treiber die Prozessorarchitekturen aus, für die Sie<br />
Treiber speichern möchten. In der Standarde<strong>in</strong>stellung stehen nur Treiber für die Prozessorarchitektur<br />
des Servers zur Verfügung. Klicken Sie auf OK.<br />
5. Wählen Sie im Dialogfeld Druckertreiber <strong>in</strong>stallieren den Pfad aus, <strong>in</strong> dem die Treiber<br />
liegen. Wenn Sie beispielsweise die 32-Bit-Version von <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>setzen und automatisch<br />
Druckertreiber für Clients bereitstellen wollen, die unter der 64-Bit-Version von<br />
<strong>W<strong>in</strong>dows</strong> 7 laufen, müssen Sie die 64-Bit-Version der Treiber herunterladen und <strong>in</strong> diesem<br />
Dialogfeld auswählen. Klicken Sie zweimal auf OK.<br />
H<strong>in</strong>weis Suchen nach Treibern<br />
Sie können <strong>W<strong>in</strong>dows</strong>-Treiber nicht direkt von der <strong>W<strong>in</strong>dows</strong> 7-DVD nehmen, weil alle Systemdateien<br />
<strong>in</strong> der Datei \Sources\Install.wim zusammengefasst s<strong>in</strong>d. Um sich den Inhalt<br />
e<strong>in</strong>er .wim-Datei anzusehen, müssen Sie das <strong>W<strong>in</strong>dows</strong> Automated Installation Kit (AIK; als<br />
kostenloser Download bei microsoft.com erhältlich) <strong>in</strong>stallieren und die .wim-Datei dann mit<br />
dem Befehlszeilentool ImageX als Ordner im Dateisystem bereitstellen. Zum Beispiel stellt<br />
der Befehl imagex /mount D:\sources\<strong>in</strong>stall.wim 1 C:\W<strong>in</strong>7 die Datei Install.wim im leeren<br />
Ordner C:\W<strong>in</strong>7 bereit. Stellt e<strong>in</strong> Hardwarehersteller nur ausführbare Dateien bereit, um<br />
se<strong>in</strong>e Treiber zu <strong>in</strong>stallieren, können Sie die Treiber auf e<strong>in</strong>em Clientcomputer <strong>in</strong>stallieren,<br />
der die passende Prozessorarchitektur hat, und ihn dann von diesem Computer kopieren.<br />
Gehen Sie folgendermaßen vor, um Treiber für beliebige Drucker zu speichern:<br />
1. Klicken Sie im Startmenü auf Geräte und Drucker.<br />
2. Wählen Sie e<strong>in</strong>en Drucker aus und klicken Sie <strong>in</strong> der Symbolleiste auf Druckerservereigenschaften.<br />
3. Klicken Sie im Dialogfeld Eigenschaften von Druckerserver auf der Registerkarte Treiber<br />
auf H<strong>in</strong>zufügen.<br />
Der Assistent für die Druckertreiber<strong>in</strong>stallation wird gestartet.<br />
4. Klicken Sie auf der Seite Willkommen auf Weiter.<br />
5. Wählen Sie auf der Seite Prozessor- und Betriebssystemauswahl die Prozessorarchitekturen<br />
aus, für die Sie Treiber <strong>in</strong>stallieren wollen. Klicken Sie auf Weiter.<br />
6. Wählen Sie auf der Seite Druckertreiberauswahl die gewünschten Treiber aus der Liste<br />
der Treiber aus, die <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 enthalten s<strong>in</strong>d. Wird e<strong>in</strong> benötigter Treiber hier nicht<br />
angeboten, können Sie ihn herunterladen und dann auf Datenträger klicken, um ihn auszuwählen.<br />
Klicken Sie auf Weiter.<br />
7. Klicken Sie auf Fertig stellen.<br />
8. Geben Sie bei Bedarf e<strong>in</strong>en Pfad für die Druckertreiber an.
114 Kapitel 3: Drucker<br />
Wenn das Problem durch das Aktualisieren des Treibers nicht beseitigt wird oder ke<strong>in</strong>e neuere<br />
Treiberversion verfügbar ist, sollten Sie prüfen, ob das Problem verschw<strong>in</strong>det, wenn Sie die<br />
erweiterten Druckfunktionen deaktivieren. Gehen Sie dazu folgendermaßen vor:<br />
1. Klicken Sie im Startmenü auf Geräte und Drucker.<br />
2. Klicken Sie mit der rechten Maustaste auf den Drucker und wählen Sie den Befehl<br />
Druckereigenschaften.<br />
3. Deaktivieren Sie auf der Registerkarte Erweitert des Dialogfelds Druckereigenschaften<br />
das Kontrollkästchen Erweiterte Druckfunktionen aktivieren und klicken Sie auf OK.<br />
Problembehandlung für Po<strong>in</strong>t-and-Pr<strong>in</strong>t<br />
In der Standarde<strong>in</strong>stellung dürfen <strong>W<strong>in</strong>dows</strong> 7-Standardbenutzern nur vertrauenswürdige<br />
Treiber <strong>in</strong>stallieren. Als vertrauenswürdig stuft <strong>W<strong>in</strong>dows</strong> 7 Treiber e<strong>in</strong>, die <strong>in</strong> <strong>W<strong>in</strong>dows</strong><br />
enthalten s<strong>in</strong>d oder deren Treiber <strong>in</strong> digital signierten Druckertreiberpaketen ausgeliefert<br />
werden. S<strong>in</strong>d die Benutzer darauf beschränkt, nur vertrauenswürdige Treiber zu <strong>in</strong>stallieren,<br />
verr<strong>in</strong>gern Sie die Gefahr, dass e<strong>in</strong> nichtvertrauenswürdiger Treiber die Systemstabilität<br />
schädigt (weil der Treiber <strong>in</strong>stabil ist) oder böswillig agiert (weil es sich um Malware handelt).<br />
<strong>W<strong>in</strong>dows</strong> 7 br<strong>in</strong>gt sehr viele Druckertreiber mit, daher können die meisten Benutzer<br />
die Verb<strong>in</strong>dung zu Druckern herstellen, während sie auf Reisen s<strong>in</strong>d, und passende Treiber<br />
bei Bedarf <strong>in</strong>stallieren.<br />
Abbildung 3.3 Po<strong>in</strong>t-and-Pr<strong>in</strong>t-E<strong>in</strong>schränkungen können Probleme<br />
beim Verwenden neuer Drucker verursachen
Lektion 1: Problembehandlung für Netzwerkdrucker 115<br />
In <strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7 wird die Fähigkeit, Druckertreiber automatisch zu <strong>in</strong>stallieren,<br />
als Po<strong>in</strong>t-and-Pr<strong>in</strong>t bezeichnet. Mithilfe der Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen Po<strong>in</strong>tand-Pr<strong>in</strong>t-E<strong>in</strong>schränkungen<br />
und Po<strong>in</strong>t-and-Pr<strong>in</strong>t für Pakete – Genehmigte Server können<br />
Sie Po<strong>in</strong>t-and-Pr<strong>in</strong>t auf bestimmte Server beschränken. Falls Sie bemerken, dass Po<strong>in</strong>t-and-<br />
Pr<strong>in</strong>t nicht funktioniert, sollten Sie sicherstellen, dass die E<strong>in</strong>stellung Po<strong>in</strong>t-and-Pr<strong>in</strong>t-E<strong>in</strong>schränkungen<br />
nicht aktiviert ist, oder den Druckserver zur Liste der genehmigten Po<strong>in</strong>t-and-<br />
Pr<strong>in</strong>t-Druckserver h<strong>in</strong>zufügen.<br />
Werden Benutzer mit unerwünschten E<strong>in</strong>gabeaufforderungen der Benutzerkontensteuerung<br />
(User Account Control, UAC) konfrontiert, können Sie die Richtl<strong>in</strong>ie Po<strong>in</strong>t-and-Pr<strong>in</strong>t-E<strong>in</strong>schränkungen<br />
aktivieren und die E<strong>in</strong>stellungen für Sicherheitsh<strong>in</strong>weise anpassen (Abbildung<br />
3.3).<br />
Behandeln von Netzwerkproblemen<br />
Tauchen beim Herstellen der Verb<strong>in</strong>dung zu freigegebenen Druckern Probleme auf, kommen<br />
unterschiedliche Ursachen <strong>in</strong> Frage:<br />
Der Client f<strong>in</strong>det den Server wegen e<strong>in</strong>es Namensauflösungsproblems nicht.<br />
E<strong>in</strong>e Firewall verh<strong>in</strong>dert, dass der Client mit dem Server kommunizieren kann.<br />
Der Server weist die Anmelde<strong>in</strong>formationen des Benutzers zurück.<br />
In den meisten Fällen beg<strong>in</strong>nt die Problembehandlung für Drucker mit dem Anruf e<strong>in</strong>es<br />
Benutzers, bei dem etwas nicht funktioniert. Daher beg<strong>in</strong>nen Sie Ihre Problembehandlung<br />
üblicherweise auf dem Clientcomputer. Abhängig vom konkreten Problem müssen Sie sich<br />
unter Umständen auch am Druckserver anmelden. Die folgenden Abschnitte beschreiben<br />
den Ablauf der Problembehandlung; dabei wird vorausgesetzt, dass sowohl Client als auch<br />
Server Domänenmitglieder s<strong>in</strong>d.<br />
Weitere Informationen über das Behandeln von Netzwerkproblemen f<strong>in</strong>den Sie <strong>in</strong> Kapitel 2,<br />
»Netzwerk«. Sehen Sie sich zu diesem Thema auch Anhang E an.<br />
Probleme mit Druckerfreigaben vom Client aus behandeln<br />
Gehen Sie folgendermaßen vor, um Probleme beim Herstellen e<strong>in</strong>er Verb<strong>in</strong>dung zu freigegebenen<br />
Druckern zu behandeln:<br />
1. Beenden Sie den Dienst Offl<strong>in</strong>edateien, sofern er läuft. Während dieser Dienst läuft,<br />
meldet <strong>W<strong>in</strong>dows</strong> unter Umständen, dass es e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Remoteserver<br />
herstellen kann, obwohl der Server nicht verfügbar ist. Sie können den Dienst Offl<strong>in</strong>edateien<br />
<strong>in</strong> der Konsole Dienste beenden oder <strong>in</strong>dem Sie <strong>in</strong> e<strong>in</strong>er adm<strong>in</strong>istrativen E<strong>in</strong>gabeaufforderung<br />
den Befehl net stop cscservice ausführen.<br />
2. Wenn Sie e<strong>in</strong>e Verb<strong>in</strong>dung mithilfe der Datei- und Druckerfreigabe herstellen statt über<br />
IPP (Internet Pr<strong>in</strong>t<strong>in</strong>g Protocol) oder LPD/LPR (L<strong>in</strong>e Pr<strong>in</strong>ter Daemon/L<strong>in</strong>e Pr<strong>in</strong>ter Remote),<br />
sollten Sie versuchen, von Hand e<strong>in</strong>e NetBIOS-Verb<strong>in</strong>dung aufzubauen. Öffnen<br />
Sie dazu e<strong>in</strong>e E<strong>in</strong>gabeaufforderung und führen Sie den Befehl net view \\ aus.<br />
Gel<strong>in</strong>gt die Verb<strong>in</strong>dung, verrät Ihnen das den genauen Namen des freigegebenen Druckers.<br />
Sie wissen somit, dass es sich nicht um e<strong>in</strong> Netzwerk- oder Firewallproblem<br />
handelt. Erhalten Sie die Meldung »Zugriff verweigert«, wenn Sie versuchen, e<strong>in</strong>e<br />
Verb<strong>in</strong>dung zum Drucker herzustellen, besitzt das Benutzerkonto ke<strong>in</strong>e ausreichenden<br />
Berechtigungen, um auf den freigegebenen Drucker zuzugreifen. Abhängig von der
116 Kapitel 3: Drucker<br />
Serverkonfiguration können Sie die Authentifizierungsprobleme möglicherweise<br />
genauer e<strong>in</strong>kreisen, <strong>in</strong>dem Sie sich das Sicherheitsereignisprotokoll auf dem Server<br />
ansehen. Weitere Informationen über die Sicherheitsüberwachung f<strong>in</strong>den Sie im Abschnitt<br />
»Überwachen von Druckerereignissen« weiter oben <strong>in</strong> dieser Lektion. Wie Sie<br />
Privilegien anpassen, erfahren Sie im Abschnitt »Probleme mit Druckerfreigaben vom<br />
Server aus behandeln« weiter unten <strong>in</strong> dieser Lektion.<br />
3. Sofern Sie den Dienst Offl<strong>in</strong>edateien <strong>in</strong> Schritt 1 beendet haben, müssen Sie ihn nun<br />
wieder starten. Dazu können Sie die Konsole Dienste verwenden oder <strong>in</strong> e<strong>in</strong>er adm<strong>in</strong>istrativen<br />
E<strong>in</strong>gabeaufforderung den Befehl net start cscservice ausführen.<br />
4. Überprüfen Sie, ob Sie den Namen des Servers auflösen können, wie <strong>in</strong> Lektion 2, »Problembehandlung<br />
für die Namensauflösung«, von Kapitel 2 beschrieben. Gel<strong>in</strong>gt das<br />
nicht, weil der DNS-Server (Doma<strong>in</strong> Name System) offl<strong>in</strong>e ist, können Sie das Namensauflösungsproblem<br />
umgehen, <strong>in</strong>dem Sie direkt die IP-Adresse (Internet Protocol) des<br />
Servers statt se<strong>in</strong>es Hostnamens verwenden. Statt also e<strong>in</strong>e Verb<strong>in</strong>dung zu \\\Drucker<br />
herzustellen, verwenden Sie beispielsweise \\10.1.42.22\Drucker.<br />
5. Sofern Sie für die Verb<strong>in</strong>dung die Datei- und Druckerfreigabe benutzen, sollten Sie mit<br />
PortQry testen, ob der Client e<strong>in</strong>e Verb<strong>in</strong>dung zu TCP-Port 445 oder 139 auf dem Server<br />
herstellen kann. Verwenden Sie dagegen IPP, müssen Sie testen, ob e<strong>in</strong>e Verb<strong>in</strong>dung zu<br />
TCP-Port 80 auf dem Server möglich ist.<br />
Gel<strong>in</strong>gt es Ihnen an diesem Punkt immer noch nicht, e<strong>in</strong>e Verb<strong>in</strong>dung aufzubauen, müssen<br />
Sie die Problembehandlung vom Server aus fortsetzen, wie im nächsten Abschnitt beschrieben.<br />
Schnelltest<br />
Mit welchen Tools können Sie sicherstellen, dass ke<strong>in</strong>e Firewall die Ursache ist, wenn Sie<br />
über das Netzwerk ke<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em freigegebenen Drucker aufbauen können?<br />
Antwort zum Schnelltest<br />
Sie können mit dem Befehl net use e<strong>in</strong>e Verb<strong>in</strong>dung zum Druckserver herstellen oder mit<br />
dem Tool PortQry sicherstellen, dass der Server e<strong>in</strong>gehende Netzwerkverb<strong>in</strong>dungen auf<br />
den Ports entgegennimmt, die für die Druckerfreigabe benutzt werden (<strong>in</strong> erster L<strong>in</strong>ie<br />
TCP 445 oder TCP 139).<br />
Probleme mit Druckerfreigaben vom Server aus behandeln<br />
Gehen Sie folgendermaßen vor, wenn Probleme bei der Freigabe e<strong>in</strong>es Druckers auf e<strong>in</strong>em<br />
<strong>W<strong>in</strong>dows</strong> 7-Computer auftauchen:<br />
1. Überprüfen Sie, ob Sie auf dem Druckserver selbst drucken können. Ist das nicht möglich,<br />
liegt das Problem möglicherweise gar nicht bei der Druckerfreigabe. Führen Sie<br />
stattdessen e<strong>in</strong>e Problembehandlung für den lokalen Drucker durch. Beg<strong>in</strong>nen Sie mit<br />
dem Problembehandlungsmodul Drucker, wie im Abschnitt »Verwenden des Problembehandlungsmoduls<br />
Drucker« weiter oben <strong>in</strong> dieser Lektion beschrieben. Löschen Sie<br />
alle Dokumente aus der Druckerwarteschlange, wie im Abschnitt »Problembehandlung<br />
für die Druckerwarteschlange« weiter oben <strong>in</strong> dieser Lektion beschrieben, und versuchen<br />
Sie erneut, etwas auszudrucken. Funktioniert der Ausdruck immer noch nicht, sollten Sie
Lektion 1: Problembehandlung für Netzwerkdrucker 117<br />
den Drucker mit dem neuesten Treiber neu <strong>in</strong>stallieren, wie im Abschnitt »Aktualisieren<br />
e<strong>in</strong>es Treibers für den Druckserver« weiter oben <strong>in</strong> dieser Lektion beschrieben.<br />
2. Überprüfen Sie, ob der Drucker freigegeben ist. Klicken Sie dazu mit der rechten Maustaste<br />
auf den Drucker und wählen Sie den Befehl Druckereigenschaften. Klicken Sie<br />
dann auf die Registerkarte Freigabe und stellen Sie sicher, dass das Kontrollkästchen<br />
Drucker freigeben aktiviert ist.<br />
3. Eigentlich müsste das Problembehandlungsmodul Drucker bereits sichergestellt haben,<br />
dass die Dienste Server und Druckwarteschlange laufen, aber Sie sollten diesen Punkt<br />
nochmals von Hand überprüfen. Klicken Sie dazu im Startmenü mit der rechten Maustaste<br />
auf Computer und wählen Sie den Befehl Verwalten. Wählen Sie unter Dienste und<br />
Anwendungen den Knoten Dienste aus. Überprüfen Sie, ob die Dienste Server und<br />
Druckwarteschlange laufen und ihr Starttyp auf Automatisch steht.<br />
4. Überprüfen Sie, ob die Benutzer die erforderliche Berechtigung haben, um auf die Ressourcen<br />
zuzugreifen. Klicken Sie dazu mit der rechten Maustaste auf den Drucker und<br />
wählen Sie den Befehl Druckereigenschaften. Klicken Sie im Dialogfeld Druckereigenschaften<br />
auf die Registerkarte Sicherheit. Überprüfen Sie, ob das Benutzerkonto Mitglied<br />
e<strong>in</strong>er Gruppe ist, die <strong>in</strong> der Liste aufgeführt wird, und ob das Zulassen-Kontrollkästchen<br />
<strong>in</strong> der Zeile Drucken aktiviert ist. Bef<strong>in</strong>det sich das Konto nicht <strong>in</strong> der Liste,<br />
müssen Sie es h<strong>in</strong>zufügen und ihm die Zulassen-Berechtigung für Drucken gewähren.<br />
5. Überprüfen Sie die <strong>W<strong>in</strong>dows</strong>-Firewallausnahmen, um sicherzustellen, dass sie richtig<br />
konfiguriert s<strong>in</strong>d. Gehen Sie dazu folgendermaßen vor:<br />
a. Klicken Sie im Startmenü auf Systemsteuerung.<br />
b. Klicken Sie auf System und Sicherheit und dann auf <strong>W<strong>in</strong>dows</strong>-Firewall.<br />
c. Merken Sie sich, welcher Netzwerkstandort im Dialogfeld <strong>W<strong>in</strong>dows</strong>-Firewall angezeigt<br />
wird. Klicken Sie auf E<strong>in</strong> Programm oder Feature durch die <strong>W<strong>in</strong>dows</strong>-Firewall<br />
zulassen.<br />
d. Stellen Sie im Fenster Zugelassene Programme sicher, dass das Kontrollkästchen<br />
Datei- und Druckerfreigabe aktiviert ist. Sollte das nicht der Fall se<strong>in</strong>, müssen Sie<br />
auf E<strong>in</strong>stellungen ändern klicken und das Kontrollkästchen für den aktuellen Netzwerkstandort<br />
aktivieren. Ist das Kontrollkästchen bereits aktiviert, sollten Sie prüfen,<br />
ob ke<strong>in</strong>e andere Firewallregel die Datei- und Druckerfreigabe blockiert. Klicken Sie<br />
auf OK.<br />
Firewallkonfiguration<br />
Wie alle Firewalls blockiert auch die <strong>W<strong>in</strong>dows</strong>-Firewall bestimmten Netzwerkverkehr,<br />
der nicht explizit erlaubt ist. Die meisten Firewalls blockieren standardmäßig e<strong>in</strong>gehende<br />
Verb<strong>in</strong>dungen (Verb<strong>in</strong>dungen, die von e<strong>in</strong>em Client an e<strong>in</strong>en Server gesendet werden)<br />
und erlauben alle ausgehenden Verb<strong>in</strong>dungen (Verb<strong>in</strong>dungen von e<strong>in</strong>em Server an e<strong>in</strong>en<br />
Client). Sofern daher die Druckerfreigabe auf e<strong>in</strong>em Druckserver nicht explizit erlaubt<br />
ist, können die Clients ke<strong>in</strong>e Verb<strong>in</strong>dung aufbauen. Treten also Probleme auf, weil Clients<br />
ke<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Druckserver herstellen können, sollten Sie die Firewallkonfiguration<br />
auf dem Druckserver überprüfen. Bef<strong>in</strong>den sich Client und Server nicht im<br />
selben LAN (Local Area Network), müssen Sie auch die Konfiguration aller Firewalls<br />
untersuchen, die möglicherweise den Verkehr zwischen Client und Server blockieren.
118 Kapitel 3: Drucker<br />
Wie Sie die Firewall richtig konfigurieren, hängt davon ab, welches Netzwerkprotokoll<br />
e<strong>in</strong>gesetzt wird, um die Verb<strong>in</strong>dung zum Druckserver herzustellen:<br />
Datei- und Druckerfreigabe Diese Art Druckerverb<strong>in</strong>dung benutzt e<strong>in</strong>en UNC-<br />
Pfad (Universal Nam<strong>in</strong>g Convention), zum Beispiel \\Servername\Drucker oder<br />
\\192.168.1.10\Drucker. Ist die Ausnahme Datei- und Druckerfreigabe auf dem<br />
Druckserver aktiviert, wie <strong>in</strong> Abbildung 3.4 gezeigt, erlaubt die <strong>W<strong>in</strong>dows</strong>-Firewall<br />
Verb<strong>in</strong>dungen zum freigegebenen Drucker. Diese Firewallausnahme wird automatisch<br />
aktiviert, wenn Sie e<strong>in</strong>en Drucker freigeben. Es könnte aber passieren, dass Adm<strong>in</strong>istratoren<br />
die Ausnahme entweder von Hand oder mithilfe von Gruppenrichtl<strong>in</strong>ien entfernt<br />
haben.<br />
Abbildung 3.4 Überprüfen, ob die Firewallausnahme Datei- und<br />
Druckerfreigabe aktiviert ist<br />
Internet Pr<strong>in</strong>t<strong>in</strong>g Protocol (IPP) Diese Art Druckerverb<strong>in</strong>dung benutzt e<strong>in</strong>en<br />
URL-Pfad (Universal Resource Locator) wie http://server/pr<strong>in</strong>ters/pr<strong>in</strong>ter/.pr<strong>in</strong>ter.<br />
<strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7 können nur als IPP-Client agieren, aber ke<strong>in</strong>e Drucker<br />
über IPP freigeben. Dagegen s<strong>in</strong>d <strong>W<strong>in</strong>dows</strong> XP, <strong>W<strong>in</strong>dows</strong> Server 2003 und <strong>W<strong>in</strong>dows</strong><br />
Server 2008 <strong>in</strong> der Lage, Drucker mit IPP freizugeben. Bei HTTP-Verb<strong>in</strong>dungen<br />
muss der Server e<strong>in</strong>gehende Verb<strong>in</strong>dungen über TCP-Port 80 erlauben, bei HTTPS-<br />
Verb<strong>in</strong>dungen e<strong>in</strong>gehende Verb<strong>in</strong>dungen über TCP-Port 443.
Übung Behandeln von Druckerproblemen<br />
Lektion 1: Problembehandlung für Netzwerkdrucker 119<br />
In dieser Übung behandeln Sie zwei unterschiedliche Druckerprobleme.<br />
Übung 1 Problembehandlung für die Druckerfreigabe<br />
In dieser Übung führen Sie e<strong>in</strong>e Problembehandlung für e<strong>in</strong>en Clientcomputer durch, der<br />
nicht auf e<strong>in</strong>em Druckserver ausdrucken kann.<br />
1. Schließen Sie e<strong>in</strong>en Drucker an Ihren Domänencontroller DC1 an. Stattdessen können<br />
Sie auch e<strong>in</strong>en Drucker an irgende<strong>in</strong>en <strong>W<strong>in</strong>dows</strong> 7- oder <strong>W<strong>in</strong>dows</strong> Server 2008 R2-<br />
Computer <strong>in</strong> Ihrer Testumgebung anschließen. Dieser Computer sollte aber nicht zur<br />
Produktivumgebung gehören. Sofern Sie ke<strong>in</strong>en Drucker haben, können Sie auch e<strong>in</strong>fach<br />
von Hand e<strong>in</strong>en Druckertreiber für e<strong>in</strong>en fiktiven Drucker <strong>in</strong>stallieren, obwohl gar<br />
ke<strong>in</strong>er vorhanden ist.<br />
2. Geben Sie den Drucker auf DC1 folgendermaßen frei:<br />
a. Klicken Sie auf dem Domänencontroller DC1 im Startmenü auf Geräte und Drucker.<br />
b. Klicken Sie mit der rechten Maustaste auf den Drucker und wählen Sie den Befehl<br />
Druckereigenschaften.<br />
c. Aktivieren Sie auf der Registerkarte Freigabe die Kontrollkästchen Drucker freigeben<br />
und Im Verzeichnis anzeigen. Klicken Sie auf OK.<br />
3. Stellen Sie auf CLIENT1 folgendermaßen e<strong>in</strong>e Verb<strong>in</strong>dung zum Drucker her:<br />
a. Klicken Sie auf CLIENT1 im Startmenü auf Geräte und Drucker.<br />
b. Klicken Sie auf Drucker h<strong>in</strong>zufügen.<br />
Der Assistent Drucker h<strong>in</strong>zufügen wird gestartet.<br />
a. Klicken Sie auf der Seite Welchen Druckertyp möchten Sie <strong>in</strong>stallieren? auf E<strong>in</strong>en<br />
Netzwerk-, Drahtlos- oder Bluetoothdrucker h<strong>in</strong>zufügen.<br />
b. Wählen Sie auf der nächsten Seite den Drucker aus, den Sie auf DC1 freigegeben<br />
haben, und klicken Sie auf Weiter.<br />
c. Klicken Sie auf der nächsten Seite auf Weiter.<br />
d. Klicken Sie auf Testseite drucken, um zu überprüfen, ob der Drucker richtig <strong>in</strong>stalliert<br />
ist. Klicken Sie dann auf Fertig stellen.<br />
4. Überprüfen Sie auf DC1, ob die Seite richtig ausgedruckt wird. Sollten Sie ke<strong>in</strong>en echten<br />
Drucker angeschlossen haben, können Sie im Fenster Geräte und Drucker doppelt auf<br />
das Druckersymbol klicken und sicherstellen, dass sich e<strong>in</strong> Dokument <strong>in</strong> der Warteschlange<br />
bef<strong>in</strong>det.<br />
5. Wechseln Sie auf DC1 <strong>in</strong> den Ordner, <strong>in</strong> dem Sie die Übungsskripts für Kapitel 3 von<br />
der Begleit-CD <strong>in</strong>stalliert haben, klicken Sie mit der rechten Maustaste auf das Skript<br />
Ch3-lesson1-ex1-script1.cmd und wählen Sie den Befehl Als Adm<strong>in</strong>istrator ausführen.<br />
Damit erzeugen Sie e<strong>in</strong> Druckerproblem, das Sie <strong>in</strong> den nächsten Schritten beseitigen.<br />
6. Versuchen Sie erneut, von CLIENT1 aus e<strong>in</strong> Dokument auszudrucken. Klicken Sie dazu<br />
im Fenster Geräte und Drucker mit der rechten Maustaste auf den Drucker, wählen Sie<br />
den Befehl Druckereigenschaften und klicken Sie auf der Registerkarte Allgeme<strong>in</strong> des<br />
Dialogfelds Druckereigenschaften auf Testseite drucken. Wie Sie sehen, wird das Doku-
120 Kapitel 3: Drucker<br />
ment zur Druckerwarteschlange auf CLIENT1 h<strong>in</strong>zugefügt, taucht aber nicht <strong>in</strong> der Druckerwarteschlange<br />
von DC1 auf. Das deutet darauf h<strong>in</strong>, dass die Verb<strong>in</strong>dung zwischen<br />
Client und Server unterbrochen ist.<br />
7. Führen Sie auf CLIENT1 e<strong>in</strong>e Problembehandlung für die Netzwerkverb<strong>in</strong>dung durch.<br />
Gehen Sie dazu folgendermaßen vor:<br />
a. Öffnen Sie e<strong>in</strong>e adm<strong>in</strong>istrative E<strong>in</strong>gabeaufforderung und versuchen Sie, DC1 von<br />
CLIENT1 aus mit P<strong>in</strong>g zu erreichen. Das müsste gel<strong>in</strong>gen, was zeigt, dass CLIENT1<br />
und DC1 kommunizieren können.<br />
b. Versuchen Sie <strong>in</strong> derselben E<strong>in</strong>gabeaufforderung auf CLIENT1, den Dienst Offl<strong>in</strong>edateien<br />
zu beenden, <strong>in</strong>dem Sie den Befehl net stop cscservice ausführen. Merken<br />
Sie sich, ob der Dienst schon beendet war oder ob <strong>W<strong>in</strong>dows</strong> 7 ihn beendet hat.<br />
c. Versuchen Sie <strong>in</strong> derselben E<strong>in</strong>gabeaufforderung auf CLIENT1, e<strong>in</strong>e NetBIOS-Verb<strong>in</strong>dung<br />
herzustellen. Führen Sie dazu den Befehl net view \\dc1 aus. Wie Sie sehen,<br />
schlägt der Verb<strong>in</strong>dungsversuch mit der Meldung »Der Netzwerkname wurde nicht<br />
gefunden« fehl. Das bedeutet, dass CLIENT1 ke<strong>in</strong>e Verb<strong>in</strong>dung zum Serverdienst auf<br />
DC1 herstellen kann. Sie wissen aber, dass der Computer läuft und mit dem Netzwerk<br />
verbunden ist, weil der vorherige P<strong>in</strong>g-Test erfolgreich war. Daraus können Sie<br />
schließen, dass der Serverdienst nicht verfügbar ist.<br />
d. Sofern Sie den Dienst Offl<strong>in</strong>edateien <strong>in</strong> Schritt b beendet haben, sollten Sie ihn nun<br />
wieder starten, <strong>in</strong>dem Sie <strong>in</strong> der adm<strong>in</strong>istrativen E<strong>in</strong>gabeaufforderung auf CLIENT1<br />
den Befehl net start cscservice ausführen.<br />
e. Überprüfen Sie, ob der Serverdienst läuft. Wählen Sie dazu auf DC1 im Startmenü<br />
unter Verwaltung den Befehl Computerverwaltung. Wählen Sie <strong>in</strong> der Konsole<br />
Computerverwaltung den Knoten Dienste und Anwendungen\Dienste aus. Blättern<br />
Sie zum E<strong>in</strong>trag Server und stellen Sie sicher, dass der Dienst läuft und als Starttyp<br />
Automatisch e<strong>in</strong>gestellt ist.<br />
f. Überprüfen Sie, ob die Datei- und Druckerfreigabe <strong>in</strong> der <strong>W<strong>in</strong>dows</strong>-Firewall erlaubt<br />
ist. Klicken Sie dazu im Startmenü auf Systemsteuerung, dann auf System und Sicherheit<br />
und schließlich auf Programm über die <strong>W<strong>in</strong>dows</strong>-Firewall kommunizieren lassen.<br />
Stellen Sie sicher, dass das Kontrollkästchen für die Datei- und Druckerfreigabe<br />
aktiviert ist.<br />
g. Lassen Sie das Fenster Zugelassene Programme der <strong>W<strong>in</strong>dows</strong>-Firewall offen und<br />
sehen Sie sich die anderen Firewallregeln an. Ihnen müsste e<strong>in</strong>e Regel namens<br />
»Block File And Pr<strong>in</strong>ter Shar<strong>in</strong>g« auffallen. Wie der Name andeutet, blockiert diese<br />
Firewallregel den Verb<strong>in</strong>dungsversuch. Klicken Sie auf E<strong>in</strong>stellungen ändern und<br />
deaktivieren Sie das Kontrollkästchen für Block File And Pr<strong>in</strong>ter Shar<strong>in</strong>g. Klicken<br />
Sie auf OK.<br />
8. Wechseln Sie auf DC1 zum Fenster Geräte und Drucker. Das Dokument, das Sie vorher<br />
ausdrucken wollten, müsste sich jetzt <strong>in</strong> der Warteschlange bef<strong>in</strong>den oder bereits ausgegeben<br />
werden. Sie haben das Problem also beseitigt.<br />
9. Klicken Sie schließlich auf DC1 mit der rechten Maustaste auf das Skript Ch3-lesson1ex1-script2.cmd<br />
und wählen Sie den Befehl Als Adm<strong>in</strong>istrator ausführen. Damit löschen<br />
Sie die Firewallregel, die das erste Skript h<strong>in</strong>zugefügt hat. Entfernen Sie nun den Drucker,<br />
den Sie <strong>in</strong> Schritt 1 dieser Übung h<strong>in</strong>zugefügt haben.
Lektion 1: Problembehandlung für Netzwerkdrucker 121<br />
Übung 2 Problembehandlung für e<strong>in</strong>en lokalen Drucker<br />
In dieser Übung <strong>in</strong>stallieren Sie e<strong>in</strong>en Drucker und beseitigen Probleme beim lokalen Ausdruck.<br />
1. Schließen Sie e<strong>in</strong>en Drucker an Ihren <strong>W<strong>in</strong>dows</strong> 7-Computer CLIENT1 an. Stattdessen<br />
können Sie auch e<strong>in</strong>en Drucker an irgende<strong>in</strong>en <strong>W<strong>in</strong>dows</strong> 7- oder <strong>W<strong>in</strong>dows</strong> Server 2008<br />
R2-Computer <strong>in</strong> Ihrer Testumgebung anschließen. Dieser Computer sollte aber nicht zur<br />
Produktivumgebung gehören. Sofern Sie ke<strong>in</strong>en Drucker haben, können Sie auch e<strong>in</strong>fach<br />
von Hand e<strong>in</strong>en Druckertreiber für e<strong>in</strong>en fiktiven Drucker <strong>in</strong>stallieren, obwohl gar<br />
ke<strong>in</strong>er vorhanden ist. Drucken Sie nach der Installation des Druckers e<strong>in</strong>e Testseite aus,<br />
um sicherzustellen, dass er e<strong>in</strong>wandfrei arbeitet.<br />
2. Klicken Sie mit der rechten Maustaste auf das Skript Ch3-lesson1-ex2-script1.cmd und<br />
wählen Sie den Befehl Als Adm<strong>in</strong>istrator ausführen. Damit erzeugen Sie e<strong>in</strong> Druckerproblem,<br />
das Sie <strong>in</strong> den nächsten Schritten beseitigen.<br />
3. Öffnen Sie auf CLIENT1 den <strong>W<strong>in</strong>dows</strong> Internet Explorer. Drücken Sie STRG+P, um die<br />
aktuelle Webseite auszudrucken. Sie bekommen nun e<strong>in</strong>e Fehlermeldung, dass ke<strong>in</strong><br />
Drucker <strong>in</strong>stalliert ist. Klicken Sie auf OK und dann auf Abbrechen.<br />
4. Führen Sie auf CLIENT1 e<strong>in</strong>e Problembehandlung für den lokalen Drucker durch. Gehen<br />
Sie dazu folgendermaßen vor:<br />
a. Überprüfen Sie, ob Ihr Drucker noch <strong>in</strong>stalliert ist. Klicken Sie im Startmenü auf<br />
Geräte und Drucker. Wie Sie sehen, s<strong>in</strong>d ke<strong>in</strong>e Drucker aufgelistet. Das kann passieren,<br />
weil entweder alle Drucker entfernt wurden oder der Dienst Druckwarteschlange<br />
nicht läuft.<br />
b. Überprüfen Sie, ob der Dienst Druckwarteschlange läuft. Klicken Sie im Startmenü<br />
mit der rechten Maustaste auf Computer und wählen Sie den Befehl Verwalten. Wählen<br />
Sie <strong>in</strong> der Konsole Computerverwaltung den Knoten Dienste und Anwendungen\<br />
Dienste aus. Blättern Sie zum Dienst Druckwarteschlange. Wie Sie sehen, steht <strong>in</strong><br />
der Spalte Status nicht Gestartet. Klicken Sie mit der rechten Maustaste auf den<br />
Dienst und wählen Sie den Befehl Starten.<br />
5. Kehren Sie zum Internet Explorer zurück und drücken Sie erneut STRG+P, um die aktuelle<br />
Webseite auszudrucken. Klicken Sie auf Drucken, um sicherzustellen, dass der<br />
Ausdruck jetzt funktioniert.<br />
6. Entfernen Sie nun den Drucker, den Sie <strong>in</strong> Schritt 1 dieser Übung h<strong>in</strong>zugefügt haben.<br />
Zusammenfassung der Lektion<br />
Verwenden Sie das <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>gebaute Problembehandlungsmodul Drucker, um<br />
Probleme zu diagnostizieren und häufiger vorkommende schnell zu beseitigen.<br />
Sehen Sie im Ereignisprotokoll Anwendungs- und Dienstprotokolle\Microsoft\<strong>W<strong>in</strong>dows</strong>\<br />
Pr<strong>in</strong>tService\Adm<strong>in</strong>istrator nach, ob <strong>W<strong>in</strong>dows</strong> 7 Ereignisse aufgezeichnet hat, die mit<br />
Druckern zu tun haben. Läuft der Druckserver unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2, können<br />
Sie die Objektzugriffsüberwachung aktivieren, sodass Ereignisse <strong>in</strong> das Sicherheitsereignisprotokoll<br />
e<strong>in</strong>getragen werden, sobald Benutzer auf Drucker zugreifen.
122 Kapitel 3: Drucker<br />
Sie können mehrere Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen konfigurieren, die bei der Problembehandlung<br />
für Drucker hilfreich s<strong>in</strong>d, <strong>in</strong>sbesondere bei Problemen im Bereich der Treiber.<br />
Bei Druckservern müssen die Dienste Druckwarteschlange und Server laufen, damit sie<br />
e<strong>in</strong>en Drucker freigeben können. Das häufigste Problem bei e<strong>in</strong>em Druckserver ist, dass<br />
die Druckerwarteschlange ke<strong>in</strong>e Druckaufträge mehr abarbeitet. Starten Sie <strong>in</strong> e<strong>in</strong>em<br />
solchen Fall den Dienst Druckwarteschlange neu.<br />
Sowohl auf dem Druckserver als auch dem Client muss e<strong>in</strong> Druckertreiber <strong>in</strong>stalliert<br />
se<strong>in</strong>. Treiber können Sie im Dialogfeld Druckereigenschaften aktualisieren. Lässt sich<br />
e<strong>in</strong> Treiberupdate nicht richtig <strong>in</strong>stallieren, können Sie den Drucker e<strong>in</strong>fach entfernen<br />
und neu <strong>in</strong>stallieren.<br />
Tauchen Probleme auf, wenn über das Netzwerk auf e<strong>in</strong>en freigegebenen Drucker zugegriffen<br />
wird, sollten Sie prüfen, ob der Client den Namen des Servers auflösen kann, ob<br />
ke<strong>in</strong>e Firewall die Kommunikation der Datei- und Druckerfreigabe blockiert und ob der<br />
Client e<strong>in</strong>e Datei- und Druckerfreigabeverb<strong>in</strong>dung zum Server herstellen kann.<br />
Lernzielkontrolle<br />
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 1, »Problembehandlung<br />
für Netzwerkdrucker«, überprüfen. Die Fragen f<strong>in</strong>den Sie (<strong>in</strong> englischer<br />
Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im Rahmen<br />
e<strong>in</strong>es Übungstests beantworten.<br />
H<strong>in</strong>weis Die Antworten<br />
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglichkeiten<br />
richtig oder falsch s<strong>in</strong>d, f<strong>in</strong>den Sie im Abschnitt »Antworten« am Ende dieses Buchs.<br />
1. E<strong>in</strong> Benutzer versucht, über den UNC-Namen \\\Drucker e<strong>in</strong>e Verb<strong>in</strong>dung<br />
zu e<strong>in</strong>em Netzwerkdrucker herzustellen. Dabei erhält er die Fehlermeldung »<strong>W<strong>in</strong>dows</strong><br />
konnte ke<strong>in</strong>e Verb<strong>in</strong>dung zu Drucker herstellen«. Was dürfte die Ursache für das<br />
Problem se<strong>in</strong>?<br />
A. Der Dienst Server läuft nicht auf dem Client.<br />
B. Der Dienst Arbeitsstationsdienst läuft nicht auf dem Server.<br />
C. Auf dem Server ist nicht die Firewallausnahme Datei- und Druckerfreigabe aktiviert.<br />
D. Auf dem Client ist nicht die Firewallausnahme Datei- und Druckerfreigabe aktiviert.<br />
2. E<strong>in</strong> Benutzer konnte se<strong>in</strong>e Dokumente bis vor Kurzem e<strong>in</strong>wandfrei auf e<strong>in</strong>em Netzwerkdrucker<br />
ausgeben, aber jetzt sche<strong>in</strong>t der Drucker nicht mehr verfügbar zu se<strong>in</strong>. Sie wollen<br />
prüfen, ob alle erforderlichen Dienste laufen. Welche der folgenden Dienste werden auf<br />
dem Druckserver benötigt? (Wählen Sie alle zutreffenden Antworten aus.)<br />
A. Arbeitsstationsdienst<br />
B. Druckwarteschlange<br />
C. Server<br />
D. Peer Name Resolution-Protokoll
Lektion 1: Problembehandlung für Netzwerkdrucker 123<br />
3. E<strong>in</strong> Benutzer ruft Sie an, weil er e<strong>in</strong> Problem mit se<strong>in</strong>em Drucker hat. Wenn er e<strong>in</strong>en<br />
umfangreichen Druckauftrag ausgibt, fügt der Drucker zwischen jeder normalen Seite<br />
e<strong>in</strong>e Leerseite e<strong>in</strong>. Sie untersuchen das Problem und stellen fest, dass es mit dem Treiber<br />
zu tun hat. Der Hardwarehersteller empfiehlt, e<strong>in</strong>en Treiber für e<strong>in</strong>en anderen Drucker<br />
zu verwenden, um das Problem zu beseitigen. Welches Tool sollten Sie verwenden, um<br />
den Treiber zu ändern?<br />
A. Konsole Dienste<br />
B. Geräte-Manager<br />
C. Ereignisanzeige<br />
D. Dialogfeld Druckereigenschaften
124 Kapitel 3: Drucker<br />
Rückblick auf dieses Kapitel<br />
Sie können die <strong>in</strong> diesem Kapitel erworbenen Fähigkeiten folgendermaßen e<strong>in</strong>üben und<br />
vertiefen:<br />
Lesen Sie die Zusammenfassung des Kapitels sorgfältig durch.<br />
Lesen Sie die Liste der Schlüsselbegriffe durch, die <strong>in</strong> diesem Kapitel e<strong>in</strong>geführt wurden.<br />
Arbeiten Sie die Übungen mit Fallbeispielen durch. Diese Szenarien beschreiben Fälle<br />
aus der Praxis, <strong>in</strong> denen die Themen dieses Kapitels zur Anwendung kommen. Sie werden<br />
aufgefordert, e<strong>in</strong>e Lösung zu entwickeln.<br />
Führen Sie die vorgeschlagenen Übungen durch.<br />
Machen Sie e<strong>in</strong>en Übungstest.<br />
Zusammenfassung des Kapitels<br />
Probleme mit Netzwerkdruckern können unterschiedliche Ursachen haben: Druckertreiber<br />
auf Client oder Server, die Druckerwarteschlange, Druckerberechtigungen und Netzwerkkonnektivität.<br />
Um Treiberprobleme zu beseitigen, sollten Sie die neueste Treiberversion auf dem Druckserver<br />
<strong>in</strong>stallieren oder den Treiber ersetzen, <strong>in</strong>dem Sie den Drucker neu <strong>in</strong>stallieren.<br />
Außerdem können Sie Druckertreiber auf dem Druckserver speichern, damit neue Clients<br />
diesen Druckertreiber automatisch <strong>in</strong>stallieren können.<br />
Probleme mit der Druckerwarteschlange können Sie beseitigen, <strong>in</strong>dem Sie den Dienst<br />
Druckwarteschlange neu starten.<br />
Um Probleme im Bereich von Druckerberechtigungen zu untersuchen, sollten Sie die<br />
Überwachung aktivieren und das Sicherheitsereignisprotokoll auswerten. Sicherheitsprobleme<br />
beseitigen Sie, <strong>in</strong>dem Sie die Druckerberechtigungen anpassen.<br />
Sie können die normalen Tools für die Netzwerkproblembehandlung e<strong>in</strong>setzen, um Probleme<br />
mit der Verb<strong>in</strong>dung zu Netzwerkdruckern zu untersuchen. Verwenden Sie den<br />
Befehl net use, um zu überprüfen, ob Sie e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Druckserver aufbauen<br />
können.<br />
Schlüsselbegriffe<br />
Wissen Sie, was die folgenden Schlüsselbegriffe bedeuten? Sie können Ihre Antworten überprüfen,<br />
<strong>in</strong>dem Sie die Begriffe im Glossar am Ende dieses Buchs nachschlagen.<br />
Druckerwarteschlange<br />
Po<strong>in</strong>t-and-Pr<strong>in</strong>t<br />
Übungen mit Fallbeispiel<br />
In den folgenden Übungen mit Fallbeispiel wenden Sie an, was Sie über die <strong>in</strong> diesem<br />
Kapitel behandelten Themen gelernt haben. Die Lösungen zu den Fragen f<strong>in</strong>den Sie im<br />
Abschnitt »Antworten« h<strong>in</strong>ten <strong>in</strong> diesem Buch.
Vorgeschlagene Übungen 125<br />
Übung mit Fallbeispiel 1: Probleme aufgrund ungenügender Privilegien<br />
Ihre Chef<strong>in</strong> ruft Sie <strong>in</strong> ihr Büro, weil sie ke<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Netzwerkdrucker herstellen<br />
kann. Der Drucker wird im Assistenten Drucker h<strong>in</strong>zufügen aufgelistet, aber wenn sie<br />
ihn auswählt, wird sie nach Benutzername und Kennwort gefragt. Gibt sie ihren AD DS-<br />
Benutzernamen und das Kennwort e<strong>in</strong>, bekommt sie die Meldung »Die angegebenen Anmelde<strong>in</strong>formationen<br />
be<strong>in</strong>halten ke<strong>in</strong>e ausreichenden Zugriffsrechte auf den Drucker«.<br />
Beantworten Sie Ihrer Chef<strong>in</strong> folgende Fragen:<br />
1. Warum bekommt Sie die Fehlermeldung?<br />
2. Wie beseitigen Sie das Problem?<br />
Übung mit Fallbeispiel 2: Behandeln e<strong>in</strong>es Druckerproblems<br />
E<strong>in</strong> Benutzer ruft Sie an, weil er se<strong>in</strong>e Dokumente nicht auf e<strong>in</strong>em Netzwerkdrucker ausgeben<br />
kann. Sie kennen den Drucker und wissen, dass er über e<strong>in</strong>en Computer freigegeben<br />
wird, der unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2 läuft. Der Benutzer hat früher erfolgreich auf<br />
diesem Drucker ausgedruckt.<br />
Sie melden sich am Druckserver an und stellen sicher, dass der Ausdruck direkt auf dem<br />
Server möglich ist. Außerdem stellen Sie fest, dass der Benutzer ausreichende Privilegien<br />
hat.<br />
Beantworten Sie die folgenden Fragen zum Ablauf der Problembehandlung:<br />
1. Welche Fragen sollten Sie dem Benutzer stellen?<br />
2. Wie kreisen Sie die Ursache für das Problem e<strong>in</strong>?<br />
3. Welches s<strong>in</strong>d mögliche Ursachen für das Problem?<br />
Vorgeschlagene Übungen<br />
Sie sollten die folgenden Aufgaben durcharbeiten, wenn Sie die <strong>in</strong> diesem Kapitel behandelten<br />
Prüfungsziele meistern wollen.<br />
Untersuchen und Beseitigen von Problemen mit Netzwerkdruckern<br />
Für e<strong>in</strong>e effiziente Problembehandlung brauchen Sie praktische Erfahrung. Dieses Kapitel<br />
stellt zwar Konzepte und Tools vor, aber nur <strong>in</strong> der Praxis erwerben Sie die Fähigkeiten, die<br />
Sie brauchen, um Probleme mit Netzwerkdruckern zu beseitigen und die Prüfung zu bestehen.<br />
Arbeiten Sie so viele dieser Übungen durch wie möglich, um Ihre Fähigkeiten im Bereich<br />
der Problembehandlung zu erweitern.<br />
Übung 1 Besuchen Sie http://social.answers.microsoft.com/Forums/de-DE/category/<br />
w<strong>in</strong>dows7 und suchen Sie die Newsgroup »Hardware und Treiber«. Lesen Sie die Nachrichten<br />
durch, um festzustellen, wie die Teilnehmer ihre unterschiedlichen Probleme mit<br />
Druckern gelöst haben.<br />
Übung 2 Stellen Sie e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em freigegebenen Drucker her und simulieren<br />
Sie unterschiedliche Hardwareprobleme, um zu beobachten, wie der Client dem<br />
Benutzer die Fehler meldet. Trennen Sie erst den freigegebenen Drucker vom Druckserver.<br />
Nehmen Sie dann das Papier aus dem Drucker. Deaktivieren Sie zuletzt die Freigabe<br />
des Druckers.
126 Kapitel 3: Drucker<br />
Übung 3 Stellen Sie mit dem Befehl net use e<strong>in</strong>e Verb<strong>in</strong>dung von e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-<br />
Client zu e<strong>in</strong>em Server her.<br />
Übung 4 Geben Sie e<strong>in</strong>en Drucker frei. Fügen Sie Druckertreiber für e<strong>in</strong>e andere Prozessorarchitektur<br />
h<strong>in</strong>zu, damit Clients, die diese Prozessorarchitektur verwenden, den<br />
Druckertreiber automatisch <strong>in</strong>stallieren können.<br />
Machen Sie e<strong>in</strong>en Übungstest<br />
Die Übungstests (<strong>in</strong> englischer Sprache) auf der Begleit-CD zu diesem Buch bieten zahlreiche<br />
Möglichkeiten. Zum Beispiel können Sie e<strong>in</strong>en Test machen, der ausschließlich die<br />
Themen aus e<strong>in</strong>em Prüfungslernziel behandelt, oder Sie können sich selbst mit dem gesamten<br />
Inhalt der Prüfung <strong>70</strong>-<strong>685</strong> testen. Sie können den Test so konfigurieren, dass er dem<br />
Ablauf e<strong>in</strong>er echten Prüfung entspricht, oder Sie können e<strong>in</strong>en Lernmodus verwenden, <strong>in</strong><br />
dem Sie sich nach dem Beantworten e<strong>in</strong>er Frage jeweils sofort die richtige Antwort und<br />
Erklärungen ansehen können.<br />
Weitere Informationen Übungstests<br />
E<strong>in</strong>zelheiten zu allen Optionen, die bei den Übungstests zur Verfügung stehen, f<strong>in</strong>den Sie im<br />
Abschnitt »So benutzen Sie die Übungstests« <strong>in</strong> der E<strong>in</strong>führung am Anfang dieses Buchs.
K A P I T E L 4<br />
Sicherheit<br />
Bei manchen Benutzern fangen die Probleme schon an, bevor sie sich überhaupt anmelden.<br />
Die Authentifizierung, also der Prozess, bei dem Benutzer identifiziert und ihre Anmelde<strong>in</strong>formationen<br />
überprüft werden, kann <strong>in</strong> e<strong>in</strong>er <strong>W<strong>in</strong>dows</strong> 7-Umgebung sehr komplex se<strong>in</strong>.<br />
Privatbenutzer haben nur selten Probleme, da sie lediglich ihre Benutzernamen und Kennwörter<br />
e<strong>in</strong>tippen müssen. Aber <strong>in</strong> AD DS-Umgebungen (Active Directory Doma<strong>in</strong> Services)<br />
werden Benutzer bei Domänencontrollern und anderen Servern im Netzwerk authentifiziert.<br />
Neben Kennwörtern werden bei der Authentifizierung außerdem oft Smartcards oder biometrische<br />
Verfahren e<strong>in</strong>gesetzt. Die Benutzerkontensteuerung (User Account Control, UAC)<br />
zieht e<strong>in</strong>e weitere Komplexitätsschicht e<strong>in</strong>, weil sich e<strong>in</strong> Benutzer während e<strong>in</strong> und derselben<br />
Sitzung unter Umständen mit mehreren unterschiedlichen Anmelde<strong>in</strong>formationen<br />
authentifizieren muss.<br />
In den letzten Jahren wurden immer häufiger Sicherheitslücken ausgenutzt, wenn Benutzer<br />
e<strong>in</strong>e Website besuchen. Zum Beispiel kann e<strong>in</strong>e Website versuchen, den Benutzer durch<br />
e<strong>in</strong>en Trick dazu zu br<strong>in</strong>gen, vertrauliche Informationen e<strong>in</strong>zugeben, oder sie kann e<strong>in</strong>e<br />
Sicherheitslücke im Browser ausnutzen, um ohne die explizite Genehmigung des Benutzers<br />
Code auszuführen. In <strong>W<strong>in</strong>dows</strong> 7 stellt der Microsoft Internet Explorer 8.0 mehrere Features<br />
bereit, um diese Gefahr zu verr<strong>in</strong>gern.<br />
Auch wenn <strong>in</strong>zwischen Netzwerkangriffe am weitesten verbreitet s<strong>in</strong>d, hat die gestiegene<br />
Zahl mobiler Benutzer e<strong>in</strong>e Zunahme von physischem Datendiebstahl zur Folge. Wenn<br />
jemand e<strong>in</strong>en Computer klaut, kann er alle Ihre Sicherheitskontrollen umgehen, aber nicht<br />
die Verschlüsselung. <strong>W<strong>in</strong>dows</strong> 7 bietet zwei Möglichkeiten, die Dateien auf Ihrem Computer<br />
zu verschlüsseln: Das verschlüsselnde Dateisystem (Encrypt<strong>in</strong>g File System, EFS) verschlüsselt<br />
e<strong>in</strong>zelne Dateien und Ordner e<strong>in</strong>es bestimmten Benutzers, während BitLocker<br />
gesamte Volumes verschlüsselt.<br />
Dieses Kapitel beschreibt, wie Sie Authentifizierung, Internet Explorer, EFS und BitLocker<br />
konfigurieren und Probleme <strong>in</strong> diesen Bereichen beseitigen.<br />
In diesem Kapitel abgedeckte Prüfungsziele:<br />
Untersuchen und Beseitigen von Anmeldungsproblemen<br />
Untersuchen und Beseitigen von Sicherheitsproblemen für <strong>W<strong>in</strong>dows</strong> Internet Explorer<br />
Untersuchen und Beseitigen von Verschlüsselungsproblemen<br />
Lektionen <strong>in</strong> diesem Kapitel:<br />
Lektion 1: Authentifizieren von Benutzern .............................. 130<br />
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 146<br />
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung ........ 167<br />
127
128 Kapitel 4: Sicherheit<br />
Bevor Sie beg<strong>in</strong>nen<br />
Um die Übungen <strong>in</strong> diesem Kapitel durcharbeiten zu können, sollten Sie mit <strong>W<strong>in</strong>dows</strong> 7<br />
vertraut se<strong>in</strong> und folgende Aufgaben beherrschen:<br />
Installieren von <strong>W<strong>in</strong>dows</strong> 7<br />
E<strong>in</strong>en Computer hardwaremäßig an das Netzwerk anschließen<br />
Durchführen e<strong>in</strong>facher Verwaltungsaufgaben auf e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> Server 2008 R2-<br />
Domänencontroller<br />
Lektion 1: Authentifizieren von Benutzern<br />
Praxistipp<br />
Tony Northrup<br />
Für <strong>Unternehmen</strong> ist Sicherheit e<strong>in</strong>e simple Rechnung: Verr<strong>in</strong>gert e<strong>in</strong>e Gegenmaßnahme<br />
das Risiko um mehr, als sie kostet, wird sie angewendet.<br />
Leider ist es nur <strong>in</strong> wenigen Fällen so simpel, Gefahr und Kosten f<strong>in</strong>anziell zu bewerten.<br />
Nehmen Sie etwa die Gefahr, dass jemand e<strong>in</strong>en mobilen Computer stiehlt und vertrauliche<br />
Dateien missbraucht. Me<strong>in</strong>e Schätzungen s<strong>in</strong>d hier ganz grob, aber nehmen wir an,<br />
die Gefahr, dass e<strong>in</strong> mobiler Computer <strong>in</strong> e<strong>in</strong>em Kalenderjahr gestohlen wird, betrage 2<br />
Prozent. Unter diesen Notebooks s<strong>in</strong>d vielleicht 10 Prozent, auf denen e<strong>in</strong> Dieb vertrauliche<br />
Informationen f<strong>in</strong>det, die er missbrauchen könnte. Somit beträgt die Chance, dass<br />
vertrauliche Daten missbraucht werden, 0,2 Prozent pro Jahr und Notebook.<br />
Die Kosten können allerd<strong>in</strong>gs erheblich se<strong>in</strong>. Bei Großunternehmen könnte e<strong>in</strong> solcher<br />
Fall Millionen kosten. Nehmen wir an, e<strong>in</strong> e<strong>in</strong>ziger Vorfall verursacht e<strong>in</strong>en Schaden von<br />
10 Millionen Euro. Hat das <strong>Unternehmen</strong> 100 Computer, die vertrauliche Daten speichern,<br />
beträgt das Gesamtrisiko 2 Millionen Euro jährlich.<br />
Bei e<strong>in</strong>em Risiko von 2 Millionen Euro pro Jahr will das <strong>Unternehmen</strong> nicht mehr als<br />
diesen Betrag aufwenden, um sich gegen die Gefahr abzusichern. <strong>W<strong>in</strong>dows</strong> 7 enthält die<br />
BitLocker-Laufwerkverschlüsselung, um die Gefahr des Datenmissbrauchs nach dem<br />
Diebstahl e<strong>in</strong>es Computers zu verr<strong>in</strong>gern. Es ist aber wirkungslos, wenn e<strong>in</strong> Benutzer<br />
gerade angemeldet ist, der Dieb auch das USB-Flashlaufwerk (Universal Serial Bus)<br />
klaut oder der Angreifer die Geheimzahl (Personal Identification Number, PIN) des<br />
Benutzers errät. Nehmen wir für unsere Beispielrechnung an, dass die Gefahr beim<br />
Diebstahl von Computern um 80 Prozent verr<strong>in</strong>gert wird, wenn die Benutzer ordentlich<br />
geschult s<strong>in</strong>d, unbenutzte Computer automatisch verriegelt werden und BitLocker-Laufwerkverschlüsselung<br />
mit e<strong>in</strong>em USB-Flashlaufwerk oder e<strong>in</strong>er PIN als Startschlüssel<br />
e<strong>in</strong>gesetzt wird.<br />
Indem Sie das 2-Millionen-Euro-Risiko um 80 Prozent senken, spart das dem <strong>Unternehmen</strong><br />
1,6 Millionen Euro jährlich e<strong>in</strong>. Gewisse Zusatzkosten müssen Sie dafür allerd<strong>in</strong>gs<br />
aufwenden. Die IT-Abteilung muss Computer, die vertrauliche Daten enthalten, auf <strong>W<strong>in</strong>dows</strong><br />
7 aktualisieren, bei Bedarf muss die Hardware aufgerüstet werden und die Benutzer<br />
müssen geschult werden. Schätzen wir, dass dafür 3.000 Euro pro Benutzer als Vorlaufkosten<br />
fällig werden. Bleibt der Computer drei Jahre <strong>in</strong> Betrieb, betragen die Kosten<br />
1.000 Euro pro Benutzer und Jahr beziehungsweise 100.000 Euro <strong>in</strong>sgesamt. Die jährliche<br />
Ersparnis reduziert sich somit von 1,6 Millionen auf 1,5 Millionen Euro. BitLocker
Lektion 1: Authentifizieren von Benutzern 129<br />
verursacht auch laufende Kosten, besonders wenn Sie die Verwendung e<strong>in</strong>es Startschlüssels<br />
erzw<strong>in</strong>gen. Gelegentlich vergessen Benutzer ihr USB-Flashlaufwerk oder die PIN<br />
und bleiben von ihrem Computer ausgesperrt, wodurch Produktivität verloren geht und<br />
Aufwand für die IT-Abteilung entsteht. Diese Kosten s<strong>in</strong>d sehr schwierig zu beziffern,<br />
aber wenn pro Jahr bei 10 Prozent der 100 Benutzer, die mit vertraulichen Daten umgehen,<br />
e<strong>in</strong> Problem auftritt und die Verluste an Produktivität und durch <strong>Support</strong>aufwand<br />
500 Euro pro Benutzer kosten, beläuft sich die Gesamtsumme auf 5.000 Euro pro Jahr.<br />
Anhand dieser Abschätzungen für Risiko und Kosten lässt sich sagen, dass sich BitLocker<br />
für unser fiktionales <strong>Unternehmen</strong> rentiert. Allerd<strong>in</strong>gs amortisieren sich nicht alle Sicherheitsfeatures.<br />
Wenn Sie das nächste Mal e<strong>in</strong> Sicherheitsproblem behandeln, sollten Sie<br />
überlegen, ob die Vorteile des Sicherheitsfeatures den Aufwand, den Sie für die Problembehandlung<br />
aufwenden, und den Verlust an Produktivität bei den betroffenen Benutzern<br />
tatsächlich Wert s<strong>in</strong>d. Weitere Informationen f<strong>in</strong>den Sie im Security Risk Management<br />
Guide unter http://technet.microsoft.com/en-us/library/cc163143.aspx.
130 Kapitel 4: Sicherheit<br />
Lektion 1: Authentifizieren von Benutzern<br />
Bevor e<strong>in</strong> Benutzer sich an e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Computer anmelden, die Verb<strong>in</strong>dung zu<br />
e<strong>in</strong>em freigegebenen Ordner herstellen oder e<strong>in</strong>e geschützte Website aufrufen kann, muss<br />
die jeweilige Ressource die Identität des Benutzers überprüfen. Das geschieht bei der sogenannten<br />
Authentifizierung. <strong>W<strong>in</strong>dows</strong> 7 unterstützt e<strong>in</strong>e ganze Reihe von Authentifizierungstechniken,<br />
zum Beispiel die herkömmliche Komb<strong>in</strong>ation aus Benutzername und Kennwort,<br />
Smartcards und Authentifizierungskomponenten von Fremdherstellern. Außerdem kann<br />
<strong>W<strong>in</strong>dows</strong> 7 Benutzer anhand der lokalen Benutzerdatenbank oder e<strong>in</strong>er AD DS-Domäne<br />
authentifizieren.<br />
Diese Lektion beschreibt die Funktionsweise der Authentifizierungstechnologien und erklärt,<br />
wie Sie Anmeldungen überwachen und Authentifizierungsprobleme beseitigen.<br />
Am Ende dieser Lektion werden Sie <strong>in</strong> der Lage se<strong>in</strong>, die folgenden Aufgaben auszuführen:<br />
Beschreiben der Authentifizierung und Aufzählen wichtiger Authentifizierungstechniken<br />
Benutzernamen und Kennwörter manuell zur Anmelde<strong>in</strong>formationsverwaltung h<strong>in</strong>zufügen,<br />
um die automatische Authentifizierung an Netzwerkressourcen zu ermöglichen<br />
Durchführen e<strong>in</strong>er Problembehandlung für die Authentifizierung<br />
Veranschlagte Zeit für diese Lektion: 25 M<strong>in</strong>uten<br />
Was ist Authentifizierung?<br />
Authentifizierung ist der Prozess, bei dem e<strong>in</strong> Benutzer identifiziert wird. In privaten Umgebungen<br />
beschränkt sich die Authentifizierung oft darauf, e<strong>in</strong>en Benutzernamen auf dem<br />
<strong>W<strong>in</strong>dows</strong> 7-Anmeldebildschirm anzuklicken. In <strong>Unternehmen</strong>sumgebungen wird aber bei<br />
praktisch allen Authentifizierungsvorgängen gefordert, dass die Benutzer sowohl e<strong>in</strong>en<br />
Benutzernamen (um sich selbst zu identifizieren) als auch e<strong>in</strong> Kennwort angeben (um zu<br />
beweisen, dass sie tatsächlich die angegebene Person s<strong>in</strong>d).<br />
<strong>W<strong>in</strong>dows</strong> 7 unterstützt auch die Authentifizierung mithilfe e<strong>in</strong>er Smartcard. Die Smartcard,<br />
die ungefähr das Format e<strong>in</strong>er Kreditkarte hat, enthält e<strong>in</strong>en Chip, der e<strong>in</strong> Zertifikat speichert.<br />
Dieses Zertifikat identifiziert den Benutzer e<strong>in</strong>deutig. Solange e<strong>in</strong> Benutzer die Smartcard<br />
nicht jemand anderem überlässt, lässt sich die Identität des Benutzers ausreichend dadurch<br />
beweisen, dass er die Smartcard <strong>in</strong> e<strong>in</strong>en Computer e<strong>in</strong>steckt. Üblicherweise muss der Benutzer<br />
zusätzlich e<strong>in</strong> Kennwort oder e<strong>in</strong>e Geheimzahl e<strong>in</strong>geben, um zu beweisen, dass die<br />
Smartcard nicht jemand anders gehört. Wenn Sie zwei Authentifizierungsformen komb<strong>in</strong>ieren<br />
(zum Beispiel e<strong>in</strong>e Kennworte<strong>in</strong>gabe und die Smartcard), wird das als Mehr-Faktoren-<br />
Authentifizierung bezeichnet. Mehr-Faktoren-Authentifizierung ist viel sicherer als E<strong>in</strong>-<br />
Faktoren-Authentifizierung.<br />
Biometrie ist e<strong>in</strong>e andere beliebte Form der Authentifizierung. E<strong>in</strong> Kennwort beweist Ihre<br />
Identität, weil es sicherstellt, dass Sie »etwas wissen«, und e<strong>in</strong>e Smartcard stellt sicher, dass<br />
Sie »etwas haben«. Aber Biometrie stellt sicher, dass Sie »jemand s<strong>in</strong>d«, <strong>in</strong>dem e<strong>in</strong> e<strong>in</strong>deutiges<br />
körperliches Merkmal überprüft wird. Die heute gebräuchlichsten biometrischen Authentifizierungsmechanismen<br />
s<strong>in</strong>d F<strong>in</strong>gerabdruckleser (<strong>in</strong>zwischen <strong>in</strong> viele mobile Computer<br />
e<strong>in</strong>gebaut) und Ret<strong>in</strong>ascanner.
H<strong>in</strong>weis Biometrie<br />
Lektion 1: Authentifizieren von Benutzern 131<br />
Biometrie ist die sicherste und zuverlässigste Authentifizierungsmethode, weil das Merkmal<br />
nicht verloren gehen oder vergessen werden kann. Sie wird allerd<strong>in</strong>gs auch am seltensten<br />
e<strong>in</strong>gesetzt. Zuverlässige biometrische Geräte s<strong>in</strong>d für viele Organisationen zu kostspielig,<br />
und manche Benutzer hegen e<strong>in</strong>e Abneigung gegen biometrische Prüfgeräte, weil sie fürchten,<br />
dass die Geräte ihre Privatsphäre verletzen.<br />
Arbeiten mit der Anmelde<strong>in</strong>formationsverwaltung<br />
Die Anmelde<strong>in</strong>formationsverwaltung (credential manager) ist e<strong>in</strong> Feature, das e<strong>in</strong>e e<strong>in</strong>malige<br />
Anmeldung ermöglicht. Es wurde ursprünglich für <strong>W<strong>in</strong>dows</strong> Server 2003 und <strong>W<strong>in</strong>dows</strong> XP<br />
entwickelt, damit Benutzer ihren Benutzernamen und das Kennwort für mehrere Netzwerkressourcen<br />
und Anwendungen e<strong>in</strong>setzen können. Wenn unterschiedliche Ressourcen e<strong>in</strong>e<br />
Authentifizierung erfordern, kann <strong>W<strong>in</strong>dows</strong> die Anmelde<strong>in</strong>formationen automatisch zur<br />
Verfügung stellen, ohne dass der Benutzer sie erneut e<strong>in</strong>geben muss.<br />
In <strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7 kann die Anmelde<strong>in</strong>formationsverwaltung gespeicherte<br />
Benutzernamen und Kennwörter zwischen mehreren <strong>W<strong>in</strong>dows</strong>-Computern <strong>in</strong> e<strong>in</strong>er AD DS-<br />
Domäne übertragen. <strong>W<strong>in</strong>dows</strong> speichert Anmelde<strong>in</strong>formationen im AD DS-Benutzerobjekt.<br />
Der Benutzer braucht die Anmelde<strong>in</strong>formationen daher nur e<strong>in</strong> e<strong>in</strong>ziges Mal zu speichern<br />
und kann sie anschließend von jeder Anmeldesitzung <strong>in</strong>nerhalb der AD DS-Domäne aus<br />
verwenden. Wenn Sie zum Beispiel e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em kennwortgeschützten Webserver<br />
herstellen und das Kontrollkästchen Kennwort speichern aktivieren, kann der Microsoft<br />
Internet Explorer Ihr gespeichertes Kennwort später erneut abrufen, sogar wenn Sie sich<br />
auf e<strong>in</strong>em anderen Computer anmelden, der unter <strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7 läuft.<br />
Benutzer profitieren von der Anmelde<strong>in</strong>formationsverwaltung, selbst wenn sie gar nichts<br />
darüber wissen. Wenn e<strong>in</strong> Benutzer zum Beispiel e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em freigegebenen<br />
Ordner oder Drucker herstellt und das Kontrollkästchen Verb<strong>in</strong>dung bei Anmeldung wiederherstellen<br />
aktiviert, speichert <strong>W<strong>in</strong>dows</strong> 7 die Anmelde<strong>in</strong>formationen des Benutzers automatisch<br />
<strong>in</strong>nerhalb der Anmelde<strong>in</strong>formationsverwaltung. Und wenn e<strong>in</strong> Benutzer sich bei e<strong>in</strong>er<br />
Website authentifiziert, die Authentifizierung erfordert, und im Internet Explorer-Authentifizierungsdialogfeld<br />
das Kontrollkästchen Kennwort speichern aktiviert, speichert der Internet<br />
Explorer Benutzername und Kennwort <strong>in</strong> der Anmelde<strong>in</strong>formationsverwaltung.<br />
H<strong>in</strong>weis Servergespeicherte Anmelde<strong>in</strong>formationen<br />
Ausführliche Informationen über servergespeicherte Anmelde<strong>in</strong>formationen (credential<br />
roam<strong>in</strong>g) f<strong>in</strong>den Sie <strong>in</strong> »Configur<strong>in</strong>g and Troubleshoot<strong>in</strong>g Certificate Services Client-Credential<br />
Roam<strong>in</strong>g« unter der Adresse http://www.microsoft.com/technet/security/guidance/<br />
cryptographyetc/client-credential-roam<strong>in</strong>g/implementation-differences.mspx.<br />
<strong>W<strong>in</strong>dows</strong> fügt Anmelde<strong>in</strong>formationen, die für die Verb<strong>in</strong>dung zu freigegebenen Ordnern<br />
e<strong>in</strong>gegeben werden, automatisch zur Anmelde<strong>in</strong>formationsverwaltung h<strong>in</strong>zu. Sie können<br />
allerd<strong>in</strong>gs auch von Hand e<strong>in</strong>en Benutzernamen und das zugehörige Kennwort h<strong>in</strong>zufügen,<br />
damit <strong>W<strong>in</strong>dows</strong> diese Anmelde<strong>in</strong>formationen automatisch für e<strong>in</strong>e Gruppe von Computern<br />
<strong>in</strong> e<strong>in</strong>er anderen Domäne zur Verfügung stellen kann. Gehen Sie folgendermaßen vor, um<br />
von Hand Benutzername und Kennwort zur Anmelde<strong>in</strong>formationsverwaltung h<strong>in</strong>zuzufügen:
132 Kapitel 4: Sicherheit<br />
1. Klicken Sie im Startmenü auf Systemsteuerung.<br />
2. Klicken Sie zweimal auf den L<strong>in</strong>k Benutzerkonten.<br />
3. Klicken Sie im l<strong>in</strong>ken Fensterabschnitt auf den L<strong>in</strong>k Eigene Anmelde<strong>in</strong>formationen<br />
verwalten.<br />
Das Fenster Anmelde<strong>in</strong>formationsverwaltung wird geöffnet (Abbildung 4.1).<br />
Abbildung 4.1 Mithilfe der Anmelde<strong>in</strong>formationsverwaltung authentifizieren Sie<br />
sich automatisch bei Ressourcen, die andere Anmelde<strong>in</strong>formationen als die Ihrer<br />
Benutzersitzung erfordern<br />
4. Klicken Sie auf <strong>W<strong>in</strong>dows</strong>-Anmelde<strong>in</strong>formationen h<strong>in</strong>zufügen. Daneben können Sie auch<br />
zertifikatbasierte Anmelde<strong>in</strong>formationen und generische Anmelde<strong>in</strong>formationen h<strong>in</strong>zufügen.<br />
5. Geben Sie im Feld Internet- oder Netzwerkadresse den Servernamen e<strong>in</strong>. Sie können<br />
e<strong>in</strong>en Stern (*) als Platzhalter verwenden. Zum Beispiel können Sie die Anmelde<strong>in</strong>formationen<br />
für alle Ressourcen <strong>in</strong> der Domäne contoso.com verwenden, <strong>in</strong>dem Sie den<br />
Namen »*.contoso.com« e<strong>in</strong>geben.<br />
6. Geben Sie <strong>in</strong> den Textfeldern Benutzername und Kennwort Ihre Anmelde<strong>in</strong>formationen<br />
e<strong>in</strong>. Klicken Sie auf OK.<br />
H<strong>in</strong>weis Websites, die von der Anmelde<strong>in</strong>formationsverwaltung automatisch<br />
authentifiziert werden<br />
Die e<strong>in</strong>zigen Websites, bei der die Anmelde<strong>in</strong>formationsverwaltung Sie automatisch authentifizieren<br />
kann, s<strong>in</strong>d solche, die mit HTTP-Authentifizierung (Hypertext Transfer Protocol)<br />
arbeiten. Wenn Sie die Site besuchen, öffnet der Webbrowser e<strong>in</strong> Dialogfeld, <strong>in</strong> dem Sie<br />
Anmelde<strong>in</strong>formationen e<strong>in</strong>geben sollen. Die Anmelde<strong>in</strong>formationsverwaltung kann Ihren<br />
Benutzernamen und das Kennwort nicht für Websites speichern, die für die Authentifizie-
Lektion 1: Authentifizieren von Benutzern 133<br />
rung e<strong>in</strong> HTML-Formular (Hypertext Markup Language) verwenden (beispielsweise Sites<br />
mit e<strong>in</strong>er speziellen Anmeldeseite). Solche Sites s<strong>in</strong>d viel häufiger. Die Anmelde<strong>in</strong>formationsverwaltung<br />
kann auch .NET Passport-Anmelde<strong>in</strong>formationen speichern.<br />
Sie können im Fenster Anmelde<strong>in</strong>formationsverwaltung außerdem von Hand Anmelde<strong>in</strong>formationen<br />
sichern und wiederherstellen.<br />
Problembehandlung für die Authentifizierung<br />
Manchmal treten Probleme auf, wenn sich Benutzer bei Ressourcen authentifizieren wollen.<br />
Nicht alle diese Probleme s<strong>in</strong>d so trivial wie e<strong>in</strong> Tippfehler beim Kennwort oder e<strong>in</strong>e unabsichtlich<br />
aktivierte Feststelltaste. Die folgenden Abschnitte beschreiben Problembehandlungstechniken,<br />
die Ihnen helfen, Authentifizierungsprobleme zu isolieren.<br />
UAC-Kompatibilitätsprobleme<br />
Benutzer verwechseln oft Authentifizierungs- mit Autorisierungsproblemen. Das ist kaum<br />
überraschend, weil beide Problemarten letztlich dieselbe Fehlermeldung produzieren:<br />
»Zugriff verweigert«. Weil die Benutzerkontensteuerung die Privilegien e<strong>in</strong>es Benutzers<br />
e<strong>in</strong>schränkt und viele Anwendungen nicht so entwickelt wurden, dass sie mit der UAC<br />
zusammenarbeiten, treten Sicherheitsfehler <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 häufiger auf als <strong>in</strong> <strong>W<strong>in</strong>dows</strong> XP.<br />
Die meisten Probleme im Zusammenhang mit der UAC betreffen die Autorisierung, nicht<br />
die Authentifizierung. Bekommt der Benutzer überhaupt ke<strong>in</strong>e UAC-E<strong>in</strong>gabeaufforderung<br />
angezeigt, aber e<strong>in</strong>e Meldung über e<strong>in</strong>en Sicherheitsfehler, handelt es sich def<strong>in</strong>itiv<br />
um e<strong>in</strong> Autorisierungsproblem. Wenn der Benutzer e<strong>in</strong>e UAC-E<strong>in</strong>gabeaufforderung erhält<br />
und se<strong>in</strong>e Anmelde<strong>in</strong>formationen akzeptiert werden (oder wenn sich der Benutzer als<br />
Adm<strong>in</strong>istrator anmeldet und lediglich die Schaltfläche Fortsetzen anklickt), handelt es<br />
sich def<strong>in</strong>itiv um e<strong>in</strong> Autorisierungsproblem. UAC-Probleme betreffen nur dann die<br />
Authentifizierung, falls die UAC bei e<strong>in</strong>em Benutzer Anmelde<strong>in</strong>formationen anfordert<br />
und das Kennwort des Benutzers als falsch zurückweist.<br />
Anmeldee<strong>in</strong>schränkungen<br />
Oft treten Authentifizierungsprobleme auf, weil Adm<strong>in</strong>istratoren Anmeldee<strong>in</strong>schränkungen<br />
konfiguriert haben, um die Sicherheitsanforderungen des <strong>Unternehmen</strong>s durchzusetzen.<br />
Anmeldee<strong>in</strong>schränkungen sorgen beispielsweise dafür, dass Konten gesperrt werden, sobald<br />
mehrmals das falsche Kennwort e<strong>in</strong>gegeben wurde, dass sich Benutzer nur während bestimmter<br />
Zeiten anmelden dürfen, dass die Benutzer ihre Kennwörter regelmäßig ändern<br />
müssen, dass Konten deaktiviert werden und dass Konten an e<strong>in</strong>em bestimmten Tag ungültig<br />
werden. Die folgenden Abschnitte beschreiben diese Arten von Anmeldee<strong>in</strong>schränkungen.<br />
H<strong>in</strong>weis Der Anmeldekontext<br />
Benutzer können sich bei der lokalen Benutzerdatenbank oder e<strong>in</strong>er AD DS-Domäne authentifizieren.<br />
Anmeldee<strong>in</strong>schränkungen, die für die Domäne def<strong>in</strong>iert s<strong>in</strong>d, gelten nur für Domänenkonten,<br />
und Anmeldee<strong>in</strong>schränkungen, die für die lokale Benutzerdatenbank def<strong>in</strong>iert<br />
s<strong>in</strong>d, nur für lokale Benutzerkonten. Wenn Sie daher Anmeldee<strong>in</strong>schränkungen für Benutzer<br />
untersuchen, müssen Sie den Anmeldekontext herausf<strong>in</strong>den.
134 Kapitel 4: Sicherheit<br />
Das geht am schnellsten, wenn Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den Befehl set<br />
ausführen, um alle Umgebungsvariablen aufzulisten. Suchen Sie <strong>in</strong> der Ausgabe nach der<br />
Zeile für USERDOMAIN. Hat sich der Benutzer mit e<strong>in</strong>em lokalen Benutzerkonto angemeldet,<br />
steht hier der Computername (wie <strong>in</strong> der Zeile COMPUTERNAME). Hat sich der Benutzer dagegen<br />
mit e<strong>in</strong>em AD DS-Benutzerkonto angemeldet, steht hier der Name der Domäne. Sie können<br />
auch die Zeile LOGONSERVER überprüfen, um festzustellen, ob der Benutzer von e<strong>in</strong>em Domänencontroller<br />
oder dem lokalen Computer authentifiziert wurde.<br />
Kontosperrung<br />
Tippt e<strong>in</strong> Benutzer mehrmals h<strong>in</strong>tere<strong>in</strong>ander falsche Anmelde<strong>in</strong>formationen e<strong>in</strong> (weil beispielsweise<br />
e<strong>in</strong> Angreifer versucht, das Kennwort e<strong>in</strong>es Benutzers zu erraten oder weil sich<br />
e<strong>in</strong> Benutzer ständig vertippt), kann <strong>W<strong>in</strong>dows</strong> e<strong>in</strong>e bestimmte Zeit lang jegliche Authentifizierungsversuche<br />
unterb<strong>in</strong>den.<br />
E<strong>in</strong>stellungen für die Kontosperrung werden mit Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen im Knoten<br />
Computerkonfiguration\<strong>W<strong>in</strong>dows</strong>-E<strong>in</strong>stellungen\Sicherheitse<strong>in</strong>stellungen\Kontorichtl<strong>in</strong>ien\<br />
Kontosperrungsrichtl<strong>in</strong>ien def<strong>in</strong>iert. Es stehen folgende E<strong>in</strong>stellmöglichkeiten zur Verfügung:<br />
Die Richtl<strong>in</strong>ie Kontensperrungsschwelle legt fest, nach wie vielen Fehlversuchen die<br />
Sperrung <strong>in</strong> Kraft tritt.<br />
Die Richtl<strong>in</strong>ie Zurücksetzungsdauer des Kontosperrungszählers bestimmt, <strong>in</strong> welchem<br />
Zeitraum die festgelegte Zahl von Fehlversuchen auftreten muss.<br />
Die Richtl<strong>in</strong>ie Kontosperrdauer legt fest, wie lange das Konto gesperrt bleibt.<br />
Ermitteln Sie mit dem Tool Richtl<strong>in</strong>ienergebnissatz (Rsop.msc), welche effektiven Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen<br />
für e<strong>in</strong>en Computer gelten. Gehen Sie folgendermaßen vor, um das<br />
Tool Richtl<strong>in</strong>ienergebnissatz zu benutzen:<br />
1. Geben Sie im Suchfeld des Startmenüs den Befehl rsop.msc e<strong>in</strong> und drücken Sie die<br />
EINGABETASTE.<br />
2. Klappen Sie im Fenster Richtl<strong>in</strong>ienergebnissatz den Knoten Computerkonfiguration\<br />
<strong>W<strong>in</strong>dows</strong>-E<strong>in</strong>stellungen\Sicherheitse<strong>in</strong>stellungen\Kontorichtl<strong>in</strong>ien\Kontosperrungsrichtl<strong>in</strong>ien<br />
auf.<br />
3. Die Detailansicht gibt an, welche Kontosperrungsrichtl<strong>in</strong>ien def<strong>in</strong>iert s<strong>in</strong>d und <strong>in</strong> welchem<br />
Gruppenrichtl<strong>in</strong>ienobjekt sie konfiguriert s<strong>in</strong>d.<br />
Wenn e<strong>in</strong> Benutzer e<strong>in</strong>e Fehlermeldung erhält, dass se<strong>in</strong> Konto gesperrt ist, oder wenn er<br />
sich nicht anmelden kann, obwohl er se<strong>in</strong> Kennwort richtig e<strong>in</strong>getippt hat, sollten Sie die<br />
Identität des Benutzers überprüfen und dann se<strong>in</strong> Konto entsperren. Sie heben die Sperrung<br />
e<strong>in</strong>es Benutzerkontos auf, <strong>in</strong>dem Sie das Eigenschaftendialogfeld des Kontos öffnen und das<br />
Kontrollkästchen Konto ist gesperrt deaktivieren (bei lokalen <strong>W<strong>in</strong>dows</strong> 7-Benutzerkonten)<br />
beziehungsweise Kontosperrung aufheben (für AD DS-Konten unter <strong>W<strong>in</strong>dows</strong> Server 2008<br />
R2) aktivieren (Abbildung 4.2). Klicken Sie dann auf Übernehmen.<br />
Welche Konten gesperrt s<strong>in</strong>d, f<strong>in</strong>den Sie heraus, <strong>in</strong>dem Sie im Sicherheitsereignisprotokoll<br />
des Domänencontrollers nach Fehlerüberwachungen für die Anmeldung mit der Ereignis-ID<br />
4625 suchen.
Abbildung 4.2 <strong>W<strong>in</strong>dows</strong> Server 2008 R2 ändert die Beschriftung des<br />
Kontrollkästchens Kontosperrung aufheben, wenn e<strong>in</strong> Konto gesperrt ist<br />
E<strong>in</strong>schränkungen der Anmeldezeiten<br />
Lektion 1: Authentifizieren von Benutzern 135<br />
Adm<strong>in</strong>istratoren können auf der Registerkarte Konto e<strong>in</strong>es AD DS-Benutzers auch e<strong>in</strong>schränken,<br />
zu welchen Zeiten sich der Benutzer anmelden darf. Das ist nützlich, wenn Adm<strong>in</strong>istratoren<br />
verh<strong>in</strong>dern wollen, dass sich e<strong>in</strong> Benutzer außerhalb der normalen Geschäftszeiten<br />
anmeldet.<br />
Versucht e<strong>in</strong> Benutzer, sich außerhalb des erlaubten Zeitraums anzumelden, zeigt <strong>W<strong>in</strong>dows</strong> 7<br />
diese Fehlermeldung an: »Das Konto sieht es nicht vor, dass Sie sich zu dieser Zeit anmelden.<br />
Wiederholen Sie den Vorgang später.« Dieses Problem lässt sich nur dadurch lösen, dass Sie<br />
die Anmeldezeiten des Benutzers ändern, <strong>in</strong>dem Sie im Eigenschaftendialogfeld des Benutzerkontos<br />
auf der Registerkarte Konto auf die Schaltfläche Anmeldezeiten klicken. Abbildung<br />
4.3 zeigt die E<strong>in</strong>stellungen für e<strong>in</strong>en Benutzer, der sich Montag bis Freitag von 10 bis<br />
18 Uhr anmelden darf.<br />
Abbildung 4.3 Anmeldezeiten verh<strong>in</strong>dern, dass sich<br />
Benutzer außerhalb der erlaubten Zeiten anmelden
136 Kapitel 4: Sicherheit<br />
Abgelaufene Kennwörter<br />
Die meisten Sicherheitsexperten s<strong>in</strong>d sich e<strong>in</strong>ig, dass Benutzer gezwungen werden sollten,<br />
ihre Kennwörter regelmäßig zu ändern. Der Wechsel der Benutzerkennwörter verfolgt zwei<br />
Ziele:<br />
Versuchen Angreifer, e<strong>in</strong> Kennwort zu erraten, müssen sie wieder ganz von vorne<br />
beg<strong>in</strong>nen. Würden Benutzer ihre Kennwörter niemals ändern, wäre es Angreifern<br />
irgendwann möglich, sie zu erraten.<br />
Hat e<strong>in</strong> Angreifer das Kennwort e<strong>in</strong>es Benutzers erraten, kann er diese Anmelde<strong>in</strong>formationen<br />
<strong>in</strong> Zukunft nicht mehr nutzen, sobald das Kennwort geändert wurde.<br />
Die E<strong>in</strong>stellungen für den Ablauf des Kennworts werden von Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen<br />
im Knoten Computerkonfiguration\<strong>W<strong>in</strong>dows</strong>-E<strong>in</strong>stellungen\Sicherheitse<strong>in</strong>stellungen\<br />
Kontorichtl<strong>in</strong>ien\Kennwortrichtl<strong>in</strong>ie festgelegt. Hier stehen folgende Richtl<strong>in</strong>ien zur Verfügung:<br />
Die Richtl<strong>in</strong>ie Maximales Kennwortalter bestimmt, nach welchem Zeitraum e<strong>in</strong> Kennwort<br />
abläuft.<br />
Die Richtl<strong>in</strong>ie Kennwortchronik erzw<strong>in</strong>gen legt fest, wie viele unterschiedliche Kennwörter<br />
Benutzer verwenden müssen, bevor sie e<strong>in</strong> schon vorher benutztes Kennwort<br />
erneut verwenden dürfen.<br />
Die Richtl<strong>in</strong>ie M<strong>in</strong>imales Kennwortalter gibt an, wie lange die Benutzer warten müssen,<br />
bis sie ihr Kennwort erneut ändern dürfen. In Komb<strong>in</strong>ation mit der Richtl<strong>in</strong>ie Kennwortchronik<br />
erzw<strong>in</strong>gen wird damit verh<strong>in</strong>dert, dass Benutzer ihr Kennwort gleich wieder auf<br />
e<strong>in</strong> bereits vorher verwendetes Kennwort ändern.<br />
Versuchen Benutzer, sich <strong>in</strong>teraktiv an e<strong>in</strong>em Computer anzumelden, obwohl ihr Kennwort<br />
abgelaufen ist, fordert <strong>W<strong>in</strong>dows</strong> sie automatisch auf, ihr Kennwort zu ändern. Wenn die Benutzer<br />
versuchen, mit e<strong>in</strong>em abgelaufenen Kennwort auf e<strong>in</strong>en freigegebenen Ordner, e<strong>in</strong>en<br />
Drucker, e<strong>in</strong>e Website oder e<strong>in</strong>e andere Ressource zuzugreifen, wird ihnen e<strong>in</strong>fach der Zugriff<br />
verweigert. Falls sich also e<strong>in</strong> Benutzer beschwert, dass er ke<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>er<br />
Ressource herstellen kann, sollten Sie sicherstellen, dass se<strong>in</strong> Kennwort nicht abgelaufen ist.<br />
Sie können verh<strong>in</strong>dern, dass die Kennwörter bestimmter Konten jemals ablaufen, <strong>in</strong>dem Sie<br />
das Kontrollkästchen Kennwort läuft nie ab auf der Registerkarte Konto im Eigenschaftendialogfeld<br />
des Benutzerkontos aktivieren.<br />
Deaktiviertes Konto<br />
Adm<strong>in</strong>istratoren können Benutzerkonten deaktivieren, um zu verh<strong>in</strong>dern, dass sich e<strong>in</strong> Benutzer<br />
anmeldet. Das ist nützlich, wenn e<strong>in</strong> Benutzer im Urlaub ist und Sie wissen, dass er<br />
sich e<strong>in</strong>ige Zeit nicht anmeldet, oder wenn das Konto e<strong>in</strong>es Benutzers kompromittiert wurde<br />
und die IT-Abteilung verlangt, dass der Benutzer sich bei ihr meldet, bevor er sich anmelden<br />
darf.<br />
Sie aktivieren das deaktivierte Konto e<strong>in</strong>es Benutzers, <strong>in</strong>dem Sie das Kontrollkästchen Konto<br />
ist deaktiviert im Eigenschaftendialogfeld des Kontos deaktivieren.
Abgelaufenes Konto<br />
Lektion 1: Authentifizieren von Benutzern 137<br />
In AD DS-Domänen können Konten so konfiguriert werden, dass sie nach e<strong>in</strong>iger Zeit ablaufen.<br />
Das ist nützlich, wenn bestimmte Benutzer nur begrenzte Zeit beim <strong>Unternehmen</strong><br />
arbeiten. Hat e<strong>in</strong> Mitarbeiter beispielsweise e<strong>in</strong>en Zwei-Wochen-Vertrag, können die<br />
Domänenadm<strong>in</strong>istratoren das Ablaufdatum für dieses Konto auf zwei Wochen festlegen.<br />
Wird e<strong>in</strong> abgelaufenes Konto doch noch benötigt, können Sie das Eigenschaftendialogfeld<br />
dieses Kontos öffnen, die Registerkarte Konto anklicken und unter Konto läuft ab e<strong>in</strong> späteres<br />
Datum e<strong>in</strong>tragen. Soll das Konto niemals ablaufen, können Sie die Option Nie auswählen.<br />
Behandeln von Authentifizierungsproblemen mithilfe der Überwachung<br />
In der Standarde<strong>in</strong>stellung trägt <strong>W<strong>in</strong>dows</strong> 7 ke<strong>in</strong> Ereignis <strong>in</strong> das Ereignisprotokoll e<strong>in</strong>, wenn<br />
e<strong>in</strong> Benutzer falsche Anmelde<strong>in</strong>formationen e<strong>in</strong>gibt (weil er sich zum Beispiel bei der Kennworte<strong>in</strong>gabe<br />
vertippt). Wenn Sie daher Authentifizierungsprobleme untersuchen, sollten Sie<br />
erst e<strong>in</strong>mal die Überwachung für Anmeldeereignisse aktivieren, damit Sie mehr Informationen<br />
über die vom Benutzer e<strong>in</strong>gegebenen Anmelde<strong>in</strong>formationen und die Ressource<br />
sammeln können, auf die zugegriffen werden soll.<br />
<strong>W<strong>in</strong>dows</strong> 7 (wie auch ältere <strong>W<strong>in</strong>dows</strong>-Versionen) stellen zwei getrennte Überwachungsrichtl<strong>in</strong>ien<br />
für die Authentifizierung zur Verfügung:<br />
Anmeldeereignisse überwachen Überwacht Authentifizierungsversuche für lokale<br />
Ressourcen, zum Beispiel e<strong>in</strong>e lokale Benutzeranmeldung, das Anheben von Privilegien<br />
über e<strong>in</strong>e UAC-E<strong>in</strong>gabeaufforderung oder das Herstellen e<strong>in</strong>er Verb<strong>in</strong>dung über das<br />
Netzwerk (dazu gehört die Verwendung des Remotedesktops oder das Verb<strong>in</strong>den mit<br />
e<strong>in</strong>em freigegebenen Ordner). Alle Authentifizierungsversuche werden überwacht, unabhängig<br />
davon, ob der Authentifizierungsversuch e<strong>in</strong> Domänenkonto oder e<strong>in</strong> lokales<br />
Benutzerkonto benutzt.<br />
Anmeldeversuche überwachen Überwacht Domänenauthentifizierungen. Unabhängig<br />
davon, an welchem Computer der Benutzer sich authentifiziert, treten diese Ereignisse<br />
nur auf dem Domänencontroller auf, der die Authentifizierungsanforderung verarbeitet.<br />
Normalerweise brauchen Sie die Überwachung von Kontoanmeldeereignissen<br />
nicht zu aktivieren, wenn Sie Authentifizierungsprobleme auf <strong>W<strong>in</strong>dows</strong> 7-Computer<br />
untersuchen. E<strong>in</strong>e Erfolgsüberwachung dieser Ereignisse ist auf den Domänencontrollern<br />
standardmäßig aktiviert.<br />
Um fehlgeschlagene Authentifizierungsversuche untersuchen zu können, müssen Sie die<br />
entsprechende Überwachung aktivieren. Gehen Sie dazu folgendermaßen vor:<br />
1. Klicken Sie im Startmenü auf Systemsteuerung und dann auf System und Sicherheit.<br />
Klicken Sie auf Verwaltung und dann doppelt auf Lokale Sicherheitsrichtl<strong>in</strong>ie.<br />
2. Erweitern Sie <strong>in</strong> der Konsole Lokale Sicherheitsrichtl<strong>in</strong>ie den Knoten Lokale Richtl<strong>in</strong>ien<br />
und wählen Sie Überwachungsrichtl<strong>in</strong>ie aus.<br />
3. Klicken Sie im rechten Fensterabschnitt doppelt auf Anmeldeereignisse überwachen.<br />
4. Aktivieren Sie im Dialogfeld Eigenschaften von Anmeldeereignisse überwachen das<br />
Kontrollkästchen Fehlgeschlagen, damit jedes Mal e<strong>in</strong> Ereignis <strong>in</strong> das Sicherheitsereignisprotokoll<br />
e<strong>in</strong>getragen wird, wenn e<strong>in</strong> Benutzer ungültige Anmelde<strong>in</strong>formationen e<strong>in</strong>gibt.<br />
Falls Sie auch erfolgreiche Authentifizierungsversuche protokollieren wollen (dazu
138 Kapitel 4: Sicherheit<br />
zählen auch Authentifizierungsversuche von Diensten und anderen Entitäten, die ke<strong>in</strong>e<br />
Benutzer s<strong>in</strong>d), können Sie auch das Kontrollkästchen Erfolgreich aktivieren.<br />
5. Klicken Sie auf OK.<br />
6. Starten Sie Ihren Computer neu, damit die Änderungen wirksam werden.<br />
Wenn die Überwachung aktiviert ist, können Sie sich die Ereignisse folgendermaßen <strong>in</strong> der<br />
Ereignisanzeige ansehen:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den<br />
Befehl Verwalten.<br />
2. Erweitern Sie System, Ereignisanzeige, <strong>W<strong>in</strong>dows</strong>-Protokolle und wählen Sie den Knoten<br />
Sicherheit aus.<br />
Die Ereignisanzeige listet nun alle Sicherheitsereignisse auf. Sie können sich ausschließlich<br />
erfolgreiche Anmeldungen anzeigen lassen, <strong>in</strong>dem Sie im Fensterabschnitt Aktionen<br />
auf den L<strong>in</strong>k Aktuelles Protokoll filtern klicken und nur die Ereignis-ID 4624 auswählen.<br />
Wenn Sie ausschließlich fehlgeschlagene Anmeldeversuche sehen wollen, können Sie<br />
den L<strong>in</strong>k Aktuelles Protokoll filtern anklicken und die Ereignis-ID 4625 auswählen.<br />
Abbildung 4.4 E<strong>in</strong> Überwachungsereignis zu e<strong>in</strong>er fehlgeschlagenen<br />
Anmeldung, bei der ungültige Anmelde<strong>in</strong>formationen e<strong>in</strong>gegeben wurden<br />
Abbildung 4.4 zeigt e<strong>in</strong> Beispiel für e<strong>in</strong>e fehlgeschlagene Anmeldung, die aufgetreten ist, als<br />
der Benutzer ungültige Anmelde<strong>in</strong>formationen an e<strong>in</strong>er UAC-E<strong>in</strong>gabeaufforderung e<strong>in</strong>gege-
Lektion 1: Authentifizieren von Benutzern 139<br />
ben hat. Beachten Sie, dass der Aufrufprozessname (im Abschnitt »Prozess<strong>in</strong>formationen«)<br />
Consent.exe lautet; dies ist der UAC-Prozess.<br />
Überwachungsereignisse von fehlgeschlagenen Authentifizierungsversuchen über das Netzwerk<br />
sehen ähnlich aus wie im folgenden Beispiel. Insbesondere Kontoname, Kontodomäne,<br />
Arbeitsstationsname und Quellnetzwerkadresse s<strong>in</strong>d nützlich, um den betroffenen Computer<br />
zu identifizieren.<br />
Fehler beim Anmelden e<strong>in</strong>es Kontos.<br />
Antragsteller:<br />
Sicherheits-ID: Ke<strong>in</strong>e SID<br />
Kontoname: -<br />
Kontodomäne: -<br />
Anmelde-ID: 0x0<br />
Anmeldetyp: 3<br />
Konto, für das die Anmeldung fehlgeschlagen ist:<br />
Sicherheits-ID: Ke<strong>in</strong>e SID<br />
Kontoname: baduser<br />
Kontodomäne: NWTRADERS<br />
Fehler<strong>in</strong>formationen:<br />
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.<br />
Status: 0xc000006d<br />
Unterstatus: 0xc0000064<br />
Prozess<strong>in</strong>formationen:<br />
Aufrufprozess-ID: 0x0<br />
Aufrufprozessname: -<br />
Netzwerk<strong>in</strong>formationen:<br />
Arbeitsstationsname: CONTOSO-DC<br />
Quellnetzwerkadresse: 192.168.1.212<br />
Quellport: 4953<br />
Detaillierte Authentifizierungs<strong>in</strong>formationen:<br />
Anmeldeprozess: NtLmSsp<br />
Authentifizierungspaket: NTLM<br />
Übertragene Dienste: -<br />
Paketname (nur NTLM): -<br />
Schlüssellänge: 0<br />
Wenn Sie sich bei Netzwerkressourcen authentifizieren, werden Authentifizierungsfehler<br />
immer auf dem Server protokolliert, nicht auf dem Client. Wenn Sie beispielsweise versuchen,<br />
die Verb<strong>in</strong>dung zu e<strong>in</strong>em freigegebenen Ordner herzustellen, und dabei das Kennwort<br />
falsch e<strong>in</strong>tippen, taucht das Ereignis nicht <strong>in</strong> Ihrem lokalen Ereignisprotokoll auf,<br />
sondern im Ereignisprotokoll des Computers, der den Ordner freigibt.<br />
H<strong>in</strong>weis Trauen Sie nicht dem angegebenen Computernamen<br />
Der Computer, der den Authentifizierungsversuch sendet, meldet se<strong>in</strong>en eigenen Arbeitsstationsnamen.<br />
Handelt es sich um e<strong>in</strong>en böswilligen Angriff, wurde der Arbeitsstationsname<br />
unter Umständen absichtlich manipuliert. Die IP-Adresse dürfte aber immer richtig se<strong>in</strong>.
140 Kapitel 4: Sicherheit<br />
Schnelltest<br />
1. Welchen Überwachungstyp sollten Sie aktivieren, um lokale Anmeldeereignisse zu<br />
überwachen?<br />
2. Welches Ereignisprotokoll werten Sie aus, um Überwachungsereignisse zu f<strong>in</strong>den?<br />
Antworten zum Schnelltest<br />
1. Anmeldeereignisse überwachen<br />
2. Sicherheit<br />
Problembehandlung für die Netzwerkauthentifizierung<br />
Um die Netzwerksicherheit zu verbessern, fordern Netzwerkadm<strong>in</strong>istratoren oft e<strong>in</strong>e 802.1X-<br />
Authentifizierung, bevor Clientcomputer e<strong>in</strong>e Verb<strong>in</strong>dung zu Drahtlos- oder Kabelnetzwerken<br />
herstellen dürfen. Die 802.1X-Authentifizierung arbeitet auf der Netzwerk<strong>in</strong>frastrukturschicht.<br />
Nur Computer, die sich authentifizieren können, erhalten vollständigen Netzwerkzugriff.<br />
Zum Beispiel muss auf den meisten Drahtlosnetzwerkclientcomputern e<strong>in</strong> Netzwerksicherheitsschlüssel<br />
oder e<strong>in</strong> Zertifikat konfiguriert se<strong>in</strong>, damit sie auf den Drahtloszugriffspunkt<br />
zugreifen können. In Kabelnetzwerken erlaubt e<strong>in</strong> Switch, der 802.1X unterstützt,<br />
e<strong>in</strong>em neu angeschlossenen Computer, lediglich auf e<strong>in</strong>e beschränkte Zahl von Servern<br />
zuzugreifen, bis der Computer authentifiziert ist.<br />
Netzwerkauthentifizierung kann e<strong>in</strong> Problem se<strong>in</strong>, wenn Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen<br />
e<strong>in</strong>gesetzt werden, um die Zertifikate zu verteilen, die für die Netzwerkauthentifizierung<br />
benötigt werden. Die Clientcomputer müssen nämlich erst e<strong>in</strong>e Verb<strong>in</strong>dung zum Netzwerk<br />
herstellen, um das Zertifikat abzurufen. Sie können dieses Problem bei 802.1X-geschützten<br />
Drahtlosnetzwerken umgehen, <strong>in</strong>dem Sie die Clientcomputer erst e<strong>in</strong>mal an e<strong>in</strong> Kabelnetzwerk<br />
anschließen, bis sie ihre Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen aktualisiert haben.<br />
Wenn Ihre Organisation e<strong>in</strong>e Authentifizierung für Kabelnetzwerke fordert (dies wird seltener<br />
der Fall se<strong>in</strong> als bei Drahtlosnetzwerken), sollten Sie geme<strong>in</strong>sam mit den Domänenadm<strong>in</strong>istratoren<br />
e<strong>in</strong> Verfahren entwickeln, wie e<strong>in</strong>e temporäre Verb<strong>in</strong>dung zum Netzwerk<br />
hergestellt werden kann, falls die 802.1X-Authentifizierung fehlschlägt. Dazu kann beispielsweise<br />
der Computer über e<strong>in</strong> virtuelles privates Netzwerk (VPN) angeschlossen werden, das<br />
Clientzertifikat kann von Hand auf den Clientcomputer importiert werden oder für die Netzwerkauthentifizierung<br />
kann e<strong>in</strong>e Smartcard benutzt werden.<br />
Problembehandlung für e<strong>in</strong>e nichtvertrauenswürdige Zertifizierungsstelle<br />
Zertifikate, wie sie zum Beispiel von e<strong>in</strong>er <strong>Unternehmen</strong>szertifizierungsstelle (Certificate<br />
Authority, CA) ausgestellt werden, werden oft für die Authentifizierung e<strong>in</strong>gesetzt. <strong>W<strong>in</strong>dows</strong><br />
7 kann Zertifikate lokal speichern, um e<strong>in</strong>en Benutzer oder den Computer selbst zu<br />
authentifizieren, und Benutzer können Zertifikate auf e<strong>in</strong>er Smartcard speichern. Im Normalfall<br />
sollten Domänenadm<strong>in</strong>istratoren Zertifikate verwalten, und E<strong>in</strong>stellungen sollten<br />
mithilfe von Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen an die Clientcomputer übertragen werden.<br />
Erhalten Sie allerd<strong>in</strong>gs e<strong>in</strong>e Fehlermeldung, dass e<strong>in</strong> Zertifikat von e<strong>in</strong>er nichtvertrauenswürdigen<br />
Zertifizierungsstelle ausgestellt wurde, können Sie sich die vorhandenen Zertifizierungsstellen<br />
anzeigen lassen und das Zertifikat der Zertifizierungsstelle dann importieren,
Lektion 1: Authentifizieren von Benutzern 141<br />
damit <strong>W<strong>in</strong>dows</strong> 7 allen Zertifikaten vertraut, die von dieser Zertifizierungsstelle ausgestellt<br />
werden.<br />
Gehen Sie folgendermaßen vor, um die vertrauenswürdigen Zertifizierungsstellen anzuzeigen:<br />
1. Geben Sie im Suchfeld des Startmenüs den Befehl mmc e<strong>in</strong> und drücken Sie die<br />
EINGABETASTE, um e<strong>in</strong> leeres MMC-Fenster (Microsoft Management Console) zu<br />
öffnen. Bestätigen Sie die UAC-E<strong>in</strong>gabeaufforderung, die daraufh<strong>in</strong> angezeigt wird.<br />
2. Klicken Sie auf Datei und dann auf Snap-In h<strong>in</strong>zufügen/entfernen.<br />
3. Wählen Sie Zertifikate aus und klicken Sie auf H<strong>in</strong>zufügen.<br />
4. Wählen Sie die Option Eigenes Benutzerkonto aus, falls e<strong>in</strong> entsprechendes Dialogfeld<br />
angezeigt wird, und klicken Sie dann auf Fertig stellen.<br />
5. Klicken Sie auf OK, um das Dialogfeld Snap-Ins h<strong>in</strong>zufügen bzw. entfernen zu schließen.<br />
6. Erweitern Sie den Knoten Zertifikate – Aktueller Benutzer, dann Vertrauenswürdige<br />
Stammzertifizierungsstellen und wählen Sie Zertifikate aus.<br />
Der mittlere Fensterabschnitt zeigt e<strong>in</strong>e Liste der vertrauenswürdigen Zertifizierungsstellen<br />
an. In der Standarde<strong>in</strong>stellung f<strong>in</strong>den Sie hier über 10 vordef<strong>in</strong>ierte öffentliche<br />
Zertifizierungsstellen. Zusätzlich sollten hier alle <strong>in</strong>ternen Zertifizierungsstellen Ihrer<br />
Organisation enthalten se<strong>in</strong>. Falls Ihre Organisation e<strong>in</strong>e <strong>Unternehmen</strong>szertifizierungsstelle<br />
hat, die nicht <strong>in</strong> dieser Liste aufgeführt ist, sollten Sie sich an e<strong>in</strong>en Domänenadm<strong>in</strong>istrator<br />
wenden, weil die vertrauenswürdigen Zertifizierungsstellen mithilfe von<br />
Gruppenrichtl<strong>in</strong>ien konfiguriert werden sollten.<br />
Stattdessen können Sie e<strong>in</strong>e Zertifizierungsstelle auch von Hand als vertrauenswürdig e<strong>in</strong>stufen.<br />
Gehen Sie dazu im Snap-In Zertifikate folgendermaßen vor:<br />
1. Klicken Sie unter Vertrauenswürdige Stammzertifizierungsstellen mit der rechten Maustaste<br />
auf Zertifikate, klicken Sie auf Alle Aufgaben und dann auf Importieren.<br />
Der Zertifikatimport-Assistent wird geöffnet.<br />
2. Klicken Sie auf der Seite Willkommen des Zertifikatimport-Assistenten auf Weiter.<br />
3. Klicken Sie auf der Seite Zu importierende Datei auf Durchsuchen. Wählen Sie das<br />
Zertifikat Ihrer Zertifizierungsstelle aus (es kann vom Adm<strong>in</strong>istrator der Zertifizierungsstelle<br />
bereitgestellt oder von e<strong>in</strong>em Computer exportiert werden, der dieser Zertifizierungsstelle<br />
vertraut) und klicken Sie auf Weiter.<br />
4. Übernehmen Sie auf der Seite Zertifikatspeicher die Standardoption für den Zertifikatspeicher<br />
(»Vertrauenswürdige Stammzertifizierungsstellen«) und klicken Sie auf Weiter.<br />
5. Klicken Sie auf der Seite Fertigstellen des Assistenten des Zertifikatimport-Assistenten<br />
auf Fertig stellen.<br />
6. Klicken Sie <strong>in</strong> der Sicherheitswarnung auf Ja, sofern e<strong>in</strong>e solche Meldung angezeigt<br />
wird.<br />
7. Klicken Sie <strong>in</strong> der Bestätigung, dass der Import erfolgreich war, auf OK.<br />
Ihr Benutzerkonto vertraut jetzt allen Zertifikaten, die von dieser Zertifizierungsstelle<br />
ausgestellt wurden.
142 Kapitel 4: Sicherheit<br />
Problembehandlung für nichtvertrauenswürdige Computerkonten<br />
Computer haben Konten <strong>in</strong> AD DS-Domänen, genauso wie Benutzer. Computerkonten benötigen<br />
normalerweise ke<strong>in</strong>e Wartung, weil <strong>W<strong>in</strong>dows</strong> und der Domänencontroller automatisch<br />
e<strong>in</strong> Kennwort generieren und den Computer beim Start authentifizieren.<br />
Computerkonten können allerd<strong>in</strong>gs nichtvertrauenswürdig werden. Das bedeutet, dass die<br />
Sicherheits-ID (Security ID, SID) oder das Kennwort des Computers sich von dem Wert<br />
unterscheiden, der <strong>in</strong> AD DS gespeichert ist. Das passiert <strong>in</strong> folgenden Fällen:<br />
Mehrere Computer haben dieselbe SID. Das kann vorkommen, wenn e<strong>in</strong> Computer<br />
dadurch bereitgestellt wird, dass e<strong>in</strong> Festplattenabbild kopiert wird, ohne dass die SID<br />
mit dem Bereitstellungstool Sysprep zurückgesetzt wurde.<br />
Das Computerkonto <strong>in</strong> AD DS ist beschädigt.<br />
Anders als bei e<strong>in</strong>em Benutzerkonto können Sie das Kennwort e<strong>in</strong>es Computerkontos nicht<br />
zurücksetzen. Wird e<strong>in</strong> Computerkonto daher nichtvertrauenswürdig, beseitigen Sie das<br />
Problem am e<strong>in</strong>fachsten, <strong>in</strong>dem Sie den Computer erneut zur Domäne h<strong>in</strong>zufügen. Gehen<br />
Sie dazu folgendermaßen vor:<br />
1. Klicken Sie im Startmenü des nichtvertrauenswürdigen Computers mit der rechten<br />
Maustaste auf Computer und wählen Sie den Befehl Eigenschaften. Das Fenster System<br />
wird geöffnet.<br />
2. Klicken Sie im Abschnitt E<strong>in</strong>stellungen für Computernamen, Domäne und Arbeitsgruppe<br />
auf E<strong>in</strong>stellungen ändern. Das Dialogfeld Systemeigenschaften wird geöffnet.<br />
3. Klicken Sie auf Ändern. Das Dialogfeld Ändern des Computernamens bzw. der Domäne<br />
wird geöffnet.<br />
4. Wählen Sie die Option Arbeitsgruppe aus und klicken Sie auf OK. Damit wird der Computer<br />
aus der Domäne entfernt. Starten Sie den Computer neu, wenn Sie dazu aufgefordert<br />
werden.<br />
5. Öffnen Sie auf e<strong>in</strong>em Domänencontroller die Konsole Active Directory-Benutzer und<br />
-Computer, klicken Sie mit der rechten Maustaste auf das Computerkonto und wählen<br />
Sie den Befehl Konto zurücksetzen.<br />
6. Wiederholen Sie auf dem nichtvertrauenswürdigen Computer die Schritte 2 bis 4, um<br />
das Dialogfeld Ändern des Computernamens bzw. der Domäne zu öffnen. Wählen Sie<br />
die Option Domäne aus und tragen Sie den Namen Ihrer Domäne e<strong>in</strong>. Geben Sie die<br />
Anmelde<strong>in</strong>formationen e<strong>in</strong>es Domänenadm<strong>in</strong>istrators e<strong>in</strong>, um den Computer zur Domäne<br />
h<strong>in</strong>zuzufügen. Starten Sie den Computer neu, wenn Sie dazu aufgefordert werden.<br />
Stattdessen können Sie das Kennwort e<strong>in</strong>es Computerkontos auch auf e<strong>in</strong>em Computer, der<br />
unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2 läuft, mit dem Befehlszeilentool Netdom zurücksetzen. Bei<br />
älteren <strong>W<strong>in</strong>dows</strong> Server-Versionen war Netdom im Ordner <strong>Support</strong>\Tools auf der <strong>W<strong>in</strong>dows</strong>-<br />
DVD enthalten. Weitere Informationen über Netdom erhalten Sie, <strong>in</strong>dem Sie <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung<br />
den Befehl netdom /? ausführen. In <strong>W<strong>in</strong>dows</strong> 7 ist Netdom allerd<strong>in</strong>gs<br />
nicht enthalten.
Lektion 1: Authentifizieren von Benutzern 143<br />
Übung Anmelde<strong>in</strong>formationen für die künftige Verwendung speichern<br />
In dieser Übung speichern Sie mithilfe der Anmelde<strong>in</strong>formationsverwaltung Ihre Anmelde<strong>in</strong>formationen,<br />
sodass Sie sich automatisch bei e<strong>in</strong>em Remotecomputer authentifizieren<br />
können.<br />
Übung Verwenden der Anmelde<strong>in</strong>formationsverwaltung<br />
In dieser Übung speichern Sie mit der Anmelde<strong>in</strong>formationsverwaltung Ihre Anmelde<strong>in</strong>formationen<br />
für die künftige Verwendung.<br />
1. Melden Sie sich an e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Computer an. Erstellen Sie e<strong>in</strong> neues Benutzerkonto<br />
mit dem Benutzernamen MyLocalUser und weisen Sie ihm e<strong>in</strong> Kennwort zu. Dieses<br />
Konto gibt es nicht auf irgendwelchen Netzwerkcomputern. Wenn dieser Benutzer<br />
e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Remotecomputer herstellen will, muss er daher immer alternative<br />
Anmelde<strong>in</strong>formationen e<strong>in</strong>geben.<br />
2. Legen Sie auf e<strong>in</strong>em Remotecomputer e<strong>in</strong>en freigegebenen Ordner an. Merken Sie sich<br />
die Namen des Servers und der Freigabe.<br />
3. Melden Sie sich als MyLocalUser an.<br />
4. Klicken Sie im Startmenü auf Computer. Klicken Sie auf Netzlaufwerk zuordnen.<br />
5. Geben Sie im Dialogfeld Netzlaufwerk verb<strong>in</strong>den den Namen \\\<br />
e<strong>in</strong>, um zu versuchen, e<strong>in</strong>e Verb<strong>in</strong>dung zu der <strong>in</strong> Schritt 2 angelegten Freigabe herzustellen.<br />
Klicken Sie auf Fertig stellen.<br />
6. Klicken Sie zweimal auf Abbrechen, wenn das Dialogfeld Verb<strong>in</strong>den mit Server angezeigt<br />
wird.<br />
Dieses Dialogfeld wurde angezeigt, weil Ihr aktuelles Konto auf dem Remoteserver ke<strong>in</strong>e<br />
Privilegien hat und Sie ke<strong>in</strong>e Anmelde<strong>in</strong>formationen <strong>in</strong> der Anmelde<strong>in</strong>formationsverwaltung<br />
e<strong>in</strong>getragen haben.<br />
H<strong>in</strong>weis Anmelde<strong>in</strong>formationen für diese Übung von Hand konfigurieren<br />
Für diese Übung sollten Sie die Anmelde<strong>in</strong>formationen von Hand <strong>in</strong> der Anmelde<strong>in</strong>formationsverwaltung<br />
konfigurieren. Viel e<strong>in</strong>facher erreichen Sie aber dasselbe Ergebnis,<br />
wenn Sie die Daten <strong>in</strong> die Felder Benutzername und Kennwort e<strong>in</strong>geben und das Kontrollkästchen<br />
Kennwort speichern aktivieren. Daraufh<strong>in</strong> speichert der <strong>W<strong>in</strong>dows</strong>-Explorer<br />
die Anmelde<strong>in</strong>formationen automatisch ab.<br />
7. Klicken Sie im Startmenü auf Systemsteuerung.<br />
8. Klicken Sie zweimal auf den L<strong>in</strong>k Benutzerkonten.<br />
9. Klicken Sie im l<strong>in</strong>ken Fensterabschnitt auf den L<strong>in</strong>k Eigene Anmelde<strong>in</strong>formationen<br />
verwalten.<br />
Das Fenster Anmelde<strong>in</strong>formationsverwaltung wird geöffnet.<br />
10. Klicken Sie auf <strong>W<strong>in</strong>dows</strong>-Anmelde<strong>in</strong>formationen h<strong>in</strong>zufügen.<br />
11. Geben Sie im Feld Internet- oder Netzwerkadresse den Namen des Servers e<strong>in</strong>, zu dem<br />
Sie <strong>in</strong> Schritt 5 e<strong>in</strong>e Verb<strong>in</strong>dung herstellen wollten.
144 Kapitel 4: Sicherheit<br />
12. Geben Sie <strong>in</strong> den Feldern Benutzername und Kennwort Ihre adm<strong>in</strong>istrativen Anmelde<strong>in</strong>formationen<br />
für den Remoteserver e<strong>in</strong>.<br />
13. Klicken Sie auf OK.<br />
14. Klicken Sie im Startmenü auf Computer und dann auf Netzlaufwerk zuordnen.<br />
15. Geben Sie im Dialogfeld Netzlaufwerk verb<strong>in</strong>den den Namen \\\<br />
e<strong>in</strong>, um erneut zu versuchen, wie <strong>in</strong> Schritt 5 e<strong>in</strong>e Verb<strong>in</strong>dung zu der Freigabe herzustellen.<br />
Deaktivieren Sie das Kontrollkästchen Verb<strong>in</strong>dung bei Anmeldung wiederherstellen<br />
und klicken Sie auf Fertig stellen.<br />
Der <strong>W<strong>in</strong>dows</strong>-Explorer stellt automatisch die Verb<strong>in</strong>dung zum freigegebenen Ordner<br />
her, ohne dass Sie Anmelde<strong>in</strong>formationen e<strong>in</strong>geben müssen. Benutzername und Kennwort<br />
werden diesmal aus der Anmelde<strong>in</strong>formationsverwaltung abgerufen.<br />
Zusammenfassung der Lektion<br />
Die Authentifizierung ist der Prozess, bei dem e<strong>in</strong> Benutzer identifiziert und die Identität<br />
des Benutzers bewiesen wird.<br />
Die Anmelde<strong>in</strong>formationsverwaltung speichert die Anmelde<strong>in</strong>formationen e<strong>in</strong>es Benutzers,<br />
sodass bei künftigen Versuchen, auf e<strong>in</strong>e Ressource zuzugreifen, e<strong>in</strong>e automatische<br />
Authentifizierung vorgenommen werden kann. Sie können Anmelde<strong>in</strong>formationen von<br />
Hand e<strong>in</strong>tragen, <strong>in</strong>dem Sie das Tool Gespeicherte Benutzernamen und Kennwörter der<br />
Systemsteuerung öffnen.<br />
Wenn Sie e<strong>in</strong>e Problembehandlung für die Benutzerauthentifizierung durchführen, sollten<br />
Sie die Überwachung fehlgeschlagener Anmeldungen aktivieren, das Authentifizierungsproblem<br />
reproduzieren und dann im Sicherheitsereignisprotokoll nach Details zum<br />
Authentifizierungsfehler suchen. Wenn Sie Netzwerkauthentifizierungsprobleme untersuchen,<br />
sollten Sie sicherstellen, dass die Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen aktualisiert<br />
wurden, und mit den Netzwerkadm<strong>in</strong>istratoren zusammenarbeiten, um das Problem zu<br />
beseitigen. E<strong>in</strong> Problem mit e<strong>in</strong>er nichtvertrauenswürdigen Zertifizierungsstelle können<br />
Sie beseitigen, <strong>in</strong>dem Sie das Zertifikat dieser Zertifizierungsstelle <strong>in</strong> die Liste der vertrauenswürdigen<br />
Stammzertifizierungsstellen importieren.<br />
Lernzielkontrolle<br />
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 1,<br />
»Authentifizieren von Benutzern«, überprüfen. Die Fragen f<strong>in</strong>den Sie (<strong>in</strong> englischer Sprache)<br />
auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im Rahmen e<strong>in</strong>es<br />
Übungstests beantworten.<br />
H<strong>in</strong>weis Die Antworten<br />
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglichkeiten<br />
richtig oder falsch s<strong>in</strong>d, f<strong>in</strong>den Sie im Abschnitt »Antworten« am Ende dieses Buchs.<br />
1. Bei welchen der folgenden Operationen wird die automatische Authentifizierung mithilfe<br />
der Anmelde<strong>in</strong>formationsverwaltung unterstützt? (Wählen Sie alle zutreffenden<br />
Antworten aus.)
Lektion 1: Authentifizieren von Benutzern 145<br />
A. Herstellen der Verb<strong>in</strong>dung zu e<strong>in</strong>em freigegebenen Ordner<br />
B. Herstellen der Verb<strong>in</strong>dung zu e<strong>in</strong>em freigegebenen Drucker<br />
C. Authentifizieren bei e<strong>in</strong>er Website, die e<strong>in</strong> HTML-Formular verwendet<br />
D. Authentifizieren bei e<strong>in</strong>er Website, die e<strong>in</strong> Dialogfeld öffnet, <strong>in</strong> das der Benutzer<br />
se<strong>in</strong>e Anmelde<strong>in</strong>formationen e<strong>in</strong>geben muss<br />
2. Welche der folgenden Überwachungsarten sollten Sie aktivieren, um zu verfolgen, wenn<br />
e<strong>in</strong> Benutzer se<strong>in</strong>en Benutzernamen oder das Kennwort falsch e<strong>in</strong>tippt, während er sich<br />
an e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Domänenmitgliedscomputer unter e<strong>in</strong>em lokalen Benutzerkonto<br />
anmeldet?<br />
A. Anmeldeereignisse überwachen, Erfolgreich<br />
B. Anmeldeereignisse überwachen, Fehlgeschlagen<br />
C. Anmeldeversuche überwachen, Erfolgreich<br />
D. Anmeldeversuche überwachen, Fehlgeschlagen<br />
3. Welche der folgenden Ereignisse werden im lokalen Ereignisprotokoll aufgezeichnet,<br />
wenn Sie die Überwachung für erfolgreiche und fehlgeschlagene Anmeldeversuche aktiviert<br />
haben? (Wählen Sie alle zutreffenden Antworten aus.)<br />
A. Lokale Anmeldung an e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Computer<br />
B. E<strong>in</strong>gabe von Benutzername und Kennwort auf e<strong>in</strong>er Remotewebsite<br />
C. Herstellen der Verb<strong>in</strong>dung zu e<strong>in</strong>em freigegebenen Ordner auf e<strong>in</strong>em Remotecomputer<br />
D. Anheben der Privilegien <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung der Benutzerkontensteuerung
146 Kapitel 4: Sicherheit<br />
Lektion 2: Konfigurieren und Problembehandlung der Internet<br />
Explorer-Sicherheit<br />
In den letzten Jahren wurden immer mehr erfolgreiche Angriffe dadurch ausgelöst, dass e<strong>in</strong><br />
Benutzer e<strong>in</strong>e Website besucht. So können Websites e<strong>in</strong>en Benutzer beispielsweise durch<br />
e<strong>in</strong>en Trick dazu br<strong>in</strong>gen, vertrauliche Daten e<strong>in</strong>zugeben. Oder sie nutzen e<strong>in</strong>e Sicherheitslücke<br />
im Browser aus, um Code auszuführen, ohne dass der Benutzer dies explizit genehmigt.<br />
In <strong>W<strong>in</strong>dows</strong> 7 ist der <strong>W<strong>in</strong>dows</strong> Internet Explorer 8.0 standardmäßig so konfiguriert, dass<br />
derartige Gefahren so ger<strong>in</strong>g wie möglich gehalten werden. Daher laufen <strong>in</strong> der Standarde<strong>in</strong>stellung<br />
viele Add-Ons nicht und der Internet Explorer wird mit m<strong>in</strong>imalen Privilegien ausgeführt.<br />
Als Adm<strong>in</strong>istrator müssen Sie diese E<strong>in</strong>schränkungen kennen und wissen, wie Sie<br />
sie umgehen, damit auch Webanwendungen e<strong>in</strong>wandfrei laufen, die solche e<strong>in</strong>geschränkten<br />
Features benötigen. Außerdem müssen Sie wissen, wie Sie häufige Probleme beim Websurfen<br />
beseitigen, beispielsweise durch Verwendung von Zertifikaten und die Analyse von<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>schränkungen.<br />
Am Ende dieser Lektion werden Sie <strong>in</strong> der Lage se<strong>in</strong>, die folgenden Aufgaben auszuführen:<br />
Konfigurieren von Add-Ons im Internet Explorer (auch ActiveX-Steuerelemente) und<br />
Durchführen e<strong>in</strong>er Problembehandlung für Add-Ons<br />
H<strong>in</strong>zufügen von Sites zur Liste Vertrauenswürdige Sites<br />
Beschreiben und Konfigurieren des geschützten Modus<br />
Beseitigen von Problemen im Zusammenhang mit SSL-Zertifikaten (Secure Sockets<br />
Layer)<br />
Erkennen von E<strong>in</strong>schränkungen aufgrund von Gruppenrichtl<strong>in</strong>ien<br />
Veranschlagte Zeit für diese Lektion: 40 M<strong>in</strong>uten<br />
Internet Explorer-Add-Ons<br />
Add-Ons erweitern die Fähigkeiten des Internet Explorers, sodass Websites viel umfangreichere<br />
und <strong>in</strong>teraktivere Inhalte bereitstellen können. Zum Beispiel s<strong>in</strong>d folgende Add-Ons<br />
weit verbreitet:<br />
Shockwave Flash E<strong>in</strong> Add-On, das komplexe Animationen, Spiele und andere <strong>in</strong>teraktive<br />
Fähigkeiten ermöglicht<br />
<strong>W<strong>in</strong>dows</strong> Media Player E<strong>in</strong> Add-On, mit dem Webseiten Audio und Video <strong>in</strong>tegrieren<br />
können<br />
Microsoft Virtual Server VMRC Control E<strong>in</strong> Add-On, mit dem Benutzer über das<br />
Netzwerk e<strong>in</strong>en virtuellen Computer aus dem Internet Explorer steuern können<br />
Die folgenden Abschnitte beschreiben, wie Sie Add-Ons konfigurieren und Probleme im<br />
Zusammenhang mit Add-Ons beseitigen.
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 147<br />
Aktivieren und Deaktivieren von Add-Ons<br />
Wenn Sie den Internet Explorer gestartet haben, können Sie Add-Ons folgendermaßen deaktivieren<br />
oder entfernen:<br />
1. Klicken Sie <strong>in</strong> der Symbolleiste auf die Schaltfläche Extras und dann auf Add-Ons<br />
verwalten.<br />
Das Dialogfeld Add-Ons verwalten wird geöffnet (Abbildung 4.5).<br />
Abbildung 4.5 Das Dialogfeld Add-Ons verwalten<br />
2. Wählen Sie im Dialogfeld Add-Ons verwalten e<strong>in</strong> Add-On aus und klicken Sie auf die<br />
Option Deaktivieren, um zu verh<strong>in</strong>dern, dass das Add-On automatisch geladen wird.<br />
Wenn es sich beim Add-On um e<strong>in</strong> ActiveX-Steuerelement handelt, können Sie auch auf<br />
Löschen klicken, um es dauerhaft zu entfernen.<br />
Wenn e<strong>in</strong> Add-On ernste Probleme verursacht und der Internet Explorer gar nicht mehr startet,<br />
können Sie das Add-On auch deaktivieren, ohne den Internet Explorer zu öffnen. Gehen Sie<br />
dazu folgendermaßen vor:<br />
1. Klicken Sie im Startmenü auf Systemsteuerung.<br />
2. Klicken Sie auf Netzwerk und Internet.<br />
3. Klicken Sie unter Internetoptionen auf den L<strong>in</strong>k Browser-Add-Ons verwalten.<br />
Das Dialogfeld Eigenschaften von Internet wird geöffnet.<br />
4. Klicken Sie auf Add-Ons verwalten.<br />
5. Wählen Sie im Dialogfeld Add-Ons verwalten e<strong>in</strong> Add-On aus. Klicken Sie auf Deaktivieren<br />
und dann auf OK, um zu verh<strong>in</strong>dern, dass dieses Add-On automatisch geladen<br />
wird.
148 Kapitel 4: Sicherheit<br />
Den Internet Explorer ohne Add-Ons starten<br />
E<strong>in</strong> fehlerhaftes oder böswilliges Add-On kann Probleme beim Start des Internet Explorers<br />
verursachen. Sie können dieses Problem umgehen, <strong>in</strong>dem Sie den Internet Explorer folgendermaßen<br />
ohne Add-Ons starten:<br />
1. Klicken Sie im Startmenü auf Alle Programme, Zubehör und Systemprogramme.<br />
2. Klicken Sie auf Internet Explorer (ohne Add-Ons).<br />
Der Internet Explorer wird so gestartet, dass alle Add-Ons deaktiviert s<strong>in</strong>d. Falls e<strong>in</strong>e<br />
Webseite e<strong>in</strong> neues Fenster öffnet, wenn Sie auf e<strong>in</strong>en L<strong>in</strong>k klicken, s<strong>in</strong>d auch <strong>in</strong> diesem<br />
neuen Fenster die Add-Ons deaktiviert. Add-Ons werden automatisch aktiviert, wenn Sie<br />
den Internet Explorer das nächste Mal über die normale Verknüpfung starten.<br />
Stattdessen können Sie den Internet Explorer auch von Hand mit dem Argument -extoff<br />
starten. Geben Sie dazu im Suchfeld des Startmenüs iexplore -extoff e<strong>in</strong> und drücken Sie<br />
die EINGABETASTE.<br />
Konfigurieren von Add-Ons <strong>in</strong> AD DS-Domänenumgebungen<br />
Wie bei älteren Versionen des Internet Explorers können Sie mit den Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen<br />
<strong>in</strong> Benutzerkonfiguration\Richtl<strong>in</strong>ien\Adm<strong>in</strong>istrative Vorlagen\<strong>W<strong>in</strong>dows</strong>-Komponenten\Internet<br />
Explorer\Sicherheitsfunktionen\Add-On-Verwaltung bestimmte Add-Ons <strong>in</strong><br />
Ihrer gesamten Organisation aktivieren oder deaktivieren. Üblicherweise verwenden Sie <strong>in</strong><br />
diesem Knoten zwei E<strong>in</strong>stellungen, um alle unerwünschten Add-Ons <strong>in</strong> Ihrer Organisation<br />
zu blockieren:<br />
Add-On-Liste Aktivieren Sie diese E<strong>in</strong>stellung und geben Sie dann die erlaubten Add-<br />
Ons für Ihre Organisation an. Sie können e<strong>in</strong> Add-On identifizieren, <strong>in</strong>dem Sie se<strong>in</strong>e CLS-<br />
ID (Class Identifier) <strong>in</strong> der Add-On-Liste als Namen e<strong>in</strong>tragen. Die CLSID muss <strong>in</strong> geschweiften<br />
Klammern stehen, zum Beispiel »{BDB57FF2-79B9-4205-9444-F5FE85F3<br />
7312}«. Sie f<strong>in</strong>den die CLSID e<strong>in</strong>es Add-Ons, <strong>in</strong>dem Sie das -Tag im HTML-<br />
Code e<strong>in</strong>er Webseite auslesen, die auf das Add-On verweist. Wenn Sie das Add-On verbieten<br />
wollen, müssen Sie als Wert 0 e<strong>in</strong>tragen. Soll das Add-On erlaubt se<strong>in</strong>, tragen Sie<br />
den Wert 1 e<strong>in</strong>. Wenn Sie das Add-On zulassen und den Benutzern erlauben wollen, es<br />
zu verwalten, können Sie den Wert 2 e<strong>in</strong>tragen.<br />
Alle Add-Ons sperren, soweit diese nicht explizit <strong>in</strong> der Add-On-Liste aufgeführt<br />
s<strong>in</strong>d Wenn Sie <strong>in</strong> der E<strong>in</strong>stellung Add-On-Liste alle Add-Ons e<strong>in</strong>getragen haben, die<br />
Sie erlauben wollen, können Sie diese Richtl<strong>in</strong>ie aktivieren, um automatisch alle anderen<br />
Add-Ons zu blockieren. Sie können diese beiden E<strong>in</strong>stellungen komb<strong>in</strong>ieren, um alle<br />
ungenehmigten Add-Ons zu blockieren.<br />
Zwei weitere Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen, die mit der Add-On-Verwaltung zu tun haben,<br />
s<strong>in</strong>d sowohl unter Benutzerkonfiguration als auch Computerkonfiguration im Knoten Adm<strong>in</strong>istrative<br />
Vorlagen\<strong>W<strong>in</strong>dows</strong>-Komponenten\Internet Explorer verfügbar. Die E<strong>in</strong>stellungen<br />
zum Verwalten von Add-Ons s<strong>in</strong>d:<br />
Systemabsturzermittlung deaktivieren In der Standarde<strong>in</strong>stellung erkennt der Internet<br />
Explorer e<strong>in</strong> Add-On, das abstürzt, und deaktiviert es, wenn Sie den Internet Explorer<br />
das nächste Mal starten. Falls Sie e<strong>in</strong> problematisches Add-On haben, das für e<strong>in</strong>e wichtige<br />
Webanwendung gebraucht wird, können Sie diese Richtl<strong>in</strong>ie aktivieren und auf diese<br />
Weise sicherstellen, dass sogar e<strong>in</strong> fehlerhaftes Add-On weiterh<strong>in</strong> ausgeführt wird.
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 149<br />
Aktivierung bzw. Deaktivierung von Add-Ons für Benutzer nicht zulassen In der<br />
Standarde<strong>in</strong>stellung können Benutzer das Dialogfeld Add-Ons verwalten öffnen und<br />
dar<strong>in</strong> Add-Ons aktivieren oder deaktivieren. Wenn Sie diese Richtl<strong>in</strong>ie aktivieren, können<br />
die Benutzer ke<strong>in</strong>e Add-Ons mehr konfigurieren.<br />
Konfigurieren von ActiveX-Add-Ons<br />
ActiveX ist e<strong>in</strong>e Technologie, die es ermöglicht, leistungsfähige Anwendungen mit komfortabler<br />
Benutzeroberfläche <strong>in</strong>nerhalb e<strong>in</strong>es Webbrowsers auszuführen. Aus diesem Grund<br />
haben viele Organisationen ActiveX-Komponenten als Teil e<strong>in</strong>er Webanwendung entwickelt.<br />
Aus demselben Grund haben aber auch viele Angreifer ActiveX-Komponenten erstellt, um<br />
die Fähigkeiten der Plattform zu missbrauchen. E<strong>in</strong>ige Beispiele für ActiveX-Steuerelemente:<br />
E<strong>in</strong>e Komponente, mit der Sie virtuelle Computer über e<strong>in</strong>e Microsoft Virtual Server-<br />
Webseite verwalten<br />
E<strong>in</strong>e Microsoft Update-Komponente, die untersucht, ob Updates auf Ihrem Computer<br />
fehlen<br />
Shockwave Flash, mit dem viele Websites komplexe Animationen und Spiele bereitstellen<br />
E<strong>in</strong>e Komponente, die versucht, Malware zu <strong>in</strong>stallieren oder E<strong>in</strong>stellungen ohne Wissen<br />
des Benutzers zu ändern<br />
Ältere Versionen des Internet Explorers <strong>in</strong>stallierten ActiveX-Steuerelemente, ohne beim<br />
Benutzer nachzufragen. Das machte Websites, die mit ActiveX-Steuerelementen arbeiten,<br />
sehr benutzerfreundlich, weil der Benutzer die Features des Steuerelements nutzen konnte,<br />
ohne se<strong>in</strong>e Installation manuell genehmigen zu müssen. Allerd<strong>in</strong>gs missbrauchten Malware-<br />
Entwickler bald diese Fähigkeit und erstellten böswillige ActiveX-Steuerelemente, die Software<br />
auf dem Computer des Benutzers <strong>in</strong>stallieren oder E<strong>in</strong>stellungen ändern, zum Beispiel<br />
die Startseite des Benutzers.<br />
Damit Sie e<strong>in</strong>erseits wichtige ActiveX-Steuerelemente benutzen können, aber andererseits<br />
potenziell gefährliche ActiveX-Steuerelemente blockiert werden, hat Microsoft leistungsfähige<br />
ActiveX-Verwaltungsfähigkeiten <strong>in</strong> den Internet Explorer e<strong>in</strong>gebaut. Die folgenden<br />
Abschnitte beschreiben, wie Sie ActiveX auf e<strong>in</strong>em e<strong>in</strong>zelnen Computer und <strong>in</strong>nerhalb e<strong>in</strong>es<br />
großen <strong>Unternehmen</strong>s konfigurieren.<br />
Konfigurieren des ActiveX-Opt-In<br />
Im Internet Explorer 8 werden ActiveX-Steuerelemente <strong>in</strong> der Standarde<strong>in</strong>stellung nicht<br />
automatisch <strong>in</strong>stalliert. Wenn e<strong>in</strong> Benutzer e<strong>in</strong>e Webseite besucht, die e<strong>in</strong> ActiveX-Steuerelement<br />
enthält, bekommt er e<strong>in</strong>e Informationsleiste angezeigt, die ihn <strong>in</strong>formiert, dass e<strong>in</strong><br />
ActiveX-Steuerelement erforderlich ist. Der Benutzer muss dann auf diese Informationsleiste<br />
klicken und den Befehl ActiveX-Steuerelement <strong>in</strong>stallieren wählen. Falls der Benutzer<br />
nichts tut, <strong>in</strong>stalliert der Internet Explorer das ActiveX-Steuerelement nicht. Abbildung 4.6<br />
zeigt die Genu<strong>in</strong>e Microsoft Software-Webseite, auf der Benutzer e<strong>in</strong> ActiveX-Steuerelement<br />
<strong>in</strong>stallieren müssen, damit ihr <strong>W<strong>in</strong>dows</strong>-Exemplar als Orig<strong>in</strong>al bestätigt werden kann.<br />
Wenn der Benutzer auf ActiveX-Steuerelement <strong>in</strong>stallieren klickt, muss er <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung<br />
der Benutzerkontensteuerung adm<strong>in</strong>istrative Anmelde<strong>in</strong>formationen e<strong>in</strong>geben.<br />
Anschließend erhält der Benutzer e<strong>in</strong>e zweite Sicherheitswarnung vom Internet Explorer.
150 Kapitel 4: Sicherheit<br />
Sofern der Benutzer diese Sicherheitswarnung bestätigt, <strong>in</strong>stalliert der Internet Explorer das<br />
ActiveX-Steuerelement und führt es aus.<br />
Abbildung 4.6 Die Genu<strong>in</strong>e Microsoft Software-Seite<br />
Das ActiveX-Opt-In ist <strong>in</strong> der Standarde<strong>in</strong>stellung für die Zonen Internet und E<strong>in</strong>geschränkte<br />
Sites aktiviert, aber für die Zonen Lokales Intranet und Vertrauenswürdige Sites deaktiviert.<br />
Daher sollten alle Websites <strong>in</strong> Ihrem lokalen Intranet <strong>in</strong> der Lage se<strong>in</strong>, ActiveX-Steuerelemente<br />
zu <strong>in</strong>stallieren, ohne dass der Benutzer dies genehmigen muss. Sie können die Standarde<strong>in</strong>stellung<br />
für e<strong>in</strong>e Zone folgendermaßen ändern:<br />
1. Öffnen Sie den Internet Explorer. Klicken Sie <strong>in</strong> der Symbolleiste auf die Schaltfläche<br />
Extras und dann auf Internetoptionen.<br />
2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit. Wählen Sie<br />
die Zone aus, die Sie bearbeiten wollen, und klicken Sie auf die Schaltfläche Stufe anpassen.<br />
3. Blättern Sie <strong>in</strong> der Liste E<strong>in</strong>stellungen nach unten. Ändern Sie unter ActiveX-Steuerelemente<br />
und Plug<strong>in</strong>s die E<strong>in</strong>stellung für den E<strong>in</strong>trag Ausführung von bisher nicht verwendeten<br />
ActiveX-Steuerelementen ohne E<strong>in</strong>gabeaufforderung zulassen. Wenn hier Deaktivieren<br />
ausgewählt ist, ist das ActiveX-Opt-In aktiviert. Klicken Sie zweimal auf OK.<br />
Prüfungstipp<br />
Die Bezeichnung »ActiveX-Opt-In« kann verwirrend se<strong>in</strong>. Wenn Sie das ActiveX-Opt-<br />
In aktivieren, sorgen Sie dafür, dass der Internet Explorer ActiveX-Steuerelemente nicht<br />
automatisch <strong>in</strong>stalliert. Stattdessen muss der Benutzer explizit bestätigen, dass er das<br />
Add-On laden will.<br />
Das ActiveX-Opt-In gilt für die meisten ActiveX-Steuerelemente. Ausgenommen davon s<strong>in</strong>d<br />
die ActiveX-Steuerelemente, die <strong>in</strong> der Liste der automatisch genehmigten Steuerelemente<br />
stehen. Diese Liste wird <strong>in</strong> der Registrierung unter HKEY_LOCAL_MACHINE\SOFTWARE\<br />
Microsoft\<strong>W<strong>in</strong>dows</strong>\CurrentVersion\Ext\PreApproved verwaltet. In diesem Schlüssel gibt es<br />
mehrere Unterschlüssel, jeweils mit der CLSID e<strong>in</strong>es genehmigten ActiveX-Steuerelements.<br />
Sie f<strong>in</strong>den die CLSID e<strong>in</strong>es ActiveX-Steuerelements heraus, <strong>in</strong>dem Sie den Quellcode e<strong>in</strong>er<br />
Webseite anzeigen und nach dem -Tag suchen. Suchen Sie im Quellcode e<strong>in</strong>er Webseite<br />
nach dem Begriff »
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 151<br />
Konfigurieren von ActiveX auf e<strong>in</strong>em e<strong>in</strong>zelnen Computer<br />
Der vorherige Abschnitt hat beschrieben, wie Sie ActiveX-Opt-In auf e<strong>in</strong>em e<strong>in</strong>zelnen Computer<br />
konfigurieren. Neben dieser E<strong>in</strong>stellung können Sie im Dialogfeld Sicherheitse<strong>in</strong>stellungen<br />
mehrere andere zonenspezifische E<strong>in</strong>stellungen im Zusammenhang mit ActiveX<br />
konfigurieren:<br />
Automatische E<strong>in</strong>gabeaufforderung für ActiveX-Steuerelemente Diese E<strong>in</strong>stellung<br />
ist <strong>in</strong> der Standarde<strong>in</strong>stellung für alle Zonen deaktiviert. Wenn Sie diese E<strong>in</strong>stellung aktivieren,<br />
wird nicht die Informationsleiste geöffnet, sondern der Benutzer erhält e<strong>in</strong>e<br />
direkte Meldung mit der Frage, ob er das ActiveX-Steuerelement <strong>in</strong>stallieren möchte.<br />
Signierte ActiveX-Steuerelemente herunterladen Der Entwickler kann ActiveX-<br />
Steuerelemente signieren. Normalerweise s<strong>in</strong>d signierte ActiveX-Steuerelemente vertrauenswürdiger<br />
als unsignierte, aber Sie sollten signierten ActiveX-Steuerelementen<br />
nicht bed<strong>in</strong>gungslos vertrauen. In der Standarde<strong>in</strong>stellung muss der Benutzer diesen<br />
Vorgang bestätigen. Sie können die Zahl der angezeigten Nachfragen verr<strong>in</strong>gern, <strong>in</strong>dem<br />
Sie die Option Aktivieren e<strong>in</strong>stellen.<br />
Unsignierte ActiveX-Steuerelemente herunterladen In der Standarde<strong>in</strong>stellung s<strong>in</strong>d<br />
unsignierte ActiveX-Steuerelemente deaktiviert. Wenn Sie e<strong>in</strong> unsigniertes ActiveX-<br />
Steuerelement verteilen müssen, sollten Sie die Site, die das Steuerelement benötigt, zur<br />
Liste Vertrauenswürdige Sites h<strong>in</strong>zufügen und diese E<strong>in</strong>stellung für die Zone Vertrauenswürdige<br />
Sites auf Bestätigen ändern.<br />
ActiveX-Steuerelemente <strong>in</strong>itialisieren und ausführen, die nicht als "sicher für<br />
Skript<strong>in</strong>g" markiert s<strong>in</strong>d Diese E<strong>in</strong>stellung ist <strong>in</strong> der Standarde<strong>in</strong>stellung für alle<br />
Zonen deaktiviert. Sie sollten sie nur aktivieren, falls e<strong>in</strong> Problem mit e<strong>in</strong>em bestimmten<br />
ActiveX-Steuerelement auftritt und der Entwickler Sie <strong>in</strong>formiert, dass diese E<strong>in</strong>stellung<br />
erforderlich ist. In diesem Fall sollten Sie die Site zur Liste Vertrauenswürdige Sites<br />
h<strong>in</strong>zufügen und die E<strong>in</strong>stellung ausschließlich für diese Zone aktivieren.<br />
ActiveX-Steuerelemente und Plug<strong>in</strong>s ausführen Diese E<strong>in</strong>stellung steuert, ob<br />
ActiveX-Steuerelemente ausgeführt werden, unabhängig davon, wie andere E<strong>in</strong>stellungen<br />
def<strong>in</strong>iert s<strong>in</strong>d. Anders ausgedrückt: Wenn diese E<strong>in</strong>stellung deaktiviert ist, können<br />
die Benutzer ke<strong>in</strong>e ActiveX-Steuerelemente ausführen, nicht e<strong>in</strong>mal über das ActiveX-<br />
Opt-In. Diese E<strong>in</strong>stellung ist für alle Zonen außer E<strong>in</strong>geschränkte Sites aktiviert.<br />
ActiveX-Steuerelemente ausführen, die für Skript<strong>in</strong>g sicher s<strong>in</strong>d Manche ActiveX-<br />
Steuerelemente werden vom Entwickler als sicher für das Skript<strong>in</strong>g markiert. Diese E<strong>in</strong>stellung<br />
ist für alle Zonen außer E<strong>in</strong>geschränkte Sites aktiviert. Normalerweise sollten<br />
Sie hier die Standarde<strong>in</strong>stellung beibehalten. Weil der Entwickler entscheidet, ob das<br />
Steuerelement als sicher für Skript<strong>in</strong>g markiert wird, verrät diese Kennzeichnung nicht,<br />
ob das ActiveX-Steuerelement vertrauenswürdiger ist als andere Steuerelemente.<br />
Verwalten von ActiveX-Add-Ons auf e<strong>in</strong>em e<strong>in</strong>zelnen Computer<br />
Gehen Sie folgendermaßen vor, um ActiveX-Steuerelemente auf e<strong>in</strong>em e<strong>in</strong>zelnen Computer<br />
zu konfigurieren:<br />
1. Öffnen Sie den Internet Explorer.<br />
2. Klicken Sie <strong>in</strong> der Symbolleiste auf die Schaltfläche Extras, dann auf Add-Ons verwalten<br />
und schließlich auf Add-Ons aktivieren bzw. deaktivieren.
152 Kapitel 4: Sicherheit<br />
Das Dialogfeld Add-Ons verwalten wird geöffnet.<br />
3. Klicken Sie auf die Dropdownliste Anzeigen und wählen Sie den E<strong>in</strong>trag Heruntergeladene<br />
ActiveX-Steuerelemente aus.<br />
4. Wählen Sie das ActiveX-Steuerelement aus, das Sie verwalten wollen, und wählen Sie<br />
e<strong>in</strong>e der folgenden Möglichkeiten. Klicken Sie auf OK, wenn Sie die gewünschten E<strong>in</strong>stellungen<br />
vorgenommen haben.<br />
Wählen Sie die Option Deaktivieren, um das ActiveX-Steuerelement zu deaktivieren.<br />
Klicken Sie auf Löschen, um das ActiveX-Steuerelement zu entfernen.<br />
Konfigurieren des ActiveX-Installerdienstes<br />
Manche wichtige Webanwendungen setzen unter Umständen voraus, dass ActiveX-Steuerelemente<br />
laufen. Das kann e<strong>in</strong> Problem se<strong>in</strong>, wenn Ihre Benutzer nicht über adm<strong>in</strong>istrative<br />
Anmelde<strong>in</strong>formationen verfügen, weil die UAC adm<strong>in</strong>istrative Anmelde<strong>in</strong>formationen anfordert,<br />
um ActiveX-Steuerelemente zu <strong>in</strong>stallieren (allerd<strong>in</strong>gs kann jeder Benutzer auf e<strong>in</strong><br />
ActiveX-Steuerelement zugreifen, wenn es erst e<strong>in</strong>mal <strong>in</strong>stalliert ist).<br />
Glücklicherweise können Sie den ActiveX-Installerdienst verwenden, damit Standardbenutzer<br />
bestimmte ActiveX-Steuerelemente <strong>in</strong>stallieren können. Gehen Sie folgendermaßen vor,<br />
um die Liste der Sites zu konfigurieren, die ActiveX-Steuerelemente <strong>in</strong>stallieren dürfen:<br />
1. Öffnen Sie das Gruppenrichtl<strong>in</strong>ienobjekt (Group Policy Object, GPO) im Gruppenrichtl<strong>in</strong>ienverwaltungs-Editor.<br />
2. Erweitern Sie den Knoten Computerkonfiguration\Adm<strong>in</strong>istrative Vorlagen\<strong>W<strong>in</strong>dows</strong>-<br />
Komponenten\ActiveX-Installerdienst.<br />
3. Klicken Sie doppelt auf die E<strong>in</strong>stellung Genehmigte Installationsorte für ActiveX-Steuerelemente.<br />
Aktivieren Sie die E<strong>in</strong>stellung.<br />
4. Klicken Sie auf die Schaltfläche Anzeigen, um e<strong>in</strong>zutragen, welche Host-URLs (Uniform<br />
Resource Locator) ActiveX-Steuerelemente verteilen dürfen. Klicken Sie im Dialogfeld<br />
Inhalt anzeigen auf H<strong>in</strong>zufügen und konfigurieren Sie die Host-URLs:<br />
Tragen Sie als Elementnamen den Hostnamen der Website e<strong>in</strong>, von der Clients die<br />
aktualisierten ActiveX-Steuerelemente herunterladen, zum Beispiel http://activex.<br />
microsoft.com.<br />
Tragen Sie als Wert vier Zahlen e<strong>in</strong>, die durch Kommas getrennt s<strong>in</strong>d (zum Beispiel<br />
»2,1,0,0«). Die Bedeutung dieser Werte wird weiter unten <strong>in</strong> diesem Abschnitt beschrieben.<br />
5. Klicken Sie auf OK, um die E<strong>in</strong>stellung für die neue Richtl<strong>in</strong>ie abzuspeichern.<br />
Wenn Sie die Liste der genehmigten Installationssites für ActiveX-Steuerelemente konfigurieren,<br />
tragen Sie für jede Site e<strong>in</strong> Name/Wert-Paar e<strong>in</strong>. Der Name ist immer der URL der<br />
Site, die das ActiveX-Steuerelement anbietet, zum Beispiel http://activex.microsoft.com. Der<br />
Wert besteht aus vier Zahlen:<br />
Vertrauenswürdige ActiveX-Steuerelemente Tragen Sie als erste Zahl 0 e<strong>in</strong>, wenn<br />
Sie verh<strong>in</strong>dern wollen, dass vertrauenswürdige ActiveX-Steuerelemente <strong>in</strong>stalliert werden<br />
dürfen, 1, wenn beim Benutzer nachgefragt werden soll, ob vertrauenswürdige ActiveX-Steuerelemente<br />
<strong>in</strong>stalliert werden sollen, oder 2, um die ActiveX-Steuerelemente<br />
automatisch zu <strong>in</strong>stallieren, ohne beim Benutzer nachzufragen.
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 153<br />
Signierte ActiveX-Steuerelemente Tragen Sie als zweite Zahl 0 e<strong>in</strong>, wenn Sie verh<strong>in</strong>dern<br />
wollen, dass signierte ActiveX-Steuerelemente <strong>in</strong>stalliert werden dürfen, 1, wenn<br />
beim Benutzer nachgefragt werden soll, ob signierte ActiveX-Steuerelemente <strong>in</strong>stalliert<br />
werden sollen, oder 2, um signierte ActiveX-Steuerelemente automatisch zu <strong>in</strong>stallieren,<br />
ohne beim Benutzer nachzufragen.<br />
Unsignierte ActiveX-Steuerelemente Tragen Sie als dritte Zahl 0 e<strong>in</strong>, wenn Sie verh<strong>in</strong>dern<br />
wollen, dass unsignierte ActiveX-Steuerelemente <strong>in</strong>stalliert werden dürfen, oder<br />
1, wenn beim Benutzer nachgefragt werden soll, ob unsignierte ActiveX-Steuerelemente<br />
<strong>in</strong>stalliert werden sollen. Sie können nicht e<strong>in</strong>stellen, dass unsignierte ActiveX-Steuerelemente<br />
automatisch <strong>in</strong>stalliert werden.<br />
Serverzertifikatrichtl<strong>in</strong>ie Tragen Sie bei diesem Wert die Zahl 0 e<strong>in</strong>, wenn der<br />
ActiveX-Installerdienst beim Auftreten von Zertifikatfehlern die Installation abbrechen<br />
soll. Stattdessen können Sie 256 e<strong>in</strong>tragen, um e<strong>in</strong>e unbekannte Zertifizierungsstelle zu<br />
ignorieren, 512, um ungültige Zertifikatverwendung zu ignorieren, 4096, um e<strong>in</strong>en unbekannten<br />
Namen im Zertifikat zu ignorieren, oder 8192, um e<strong>in</strong> abgelaufenes Zertifikat<br />
zu ignorieren. Addieren Sie diese Zahlen, wenn Sie mehrere Typen von Zertifikatfehlern<br />
ignorieren wollen.<br />
Beispielsweise bedeutet die Zahlenfolge »2,1,0,0«, dass der ActiveX-Installerdienst vertrauenswürdige<br />
ActiveX-Steuerelemente automatisch <strong>in</strong>stalliert, den Benutzer vor der Installation<br />
signierter Steuerelemente fragt, unsignierte Steuerelemente niemals <strong>in</strong>stalliert und die Installation<br />
abbricht, sobald irgendwelche HTTPS-Zertifikatfehler (Hypertext Transfer Protocol<br />
Secure) auftreten.<br />
Wenn e<strong>in</strong> Benutzer versucht, e<strong>in</strong> ActiveX-Steuerelement zu <strong>in</strong>stallieren, das nicht genehmigt<br />
wurde, trägt der ActiveX-Installerdienst e<strong>in</strong> Ereignis mit der ID 4097 und der Quelle »Ax-<br />
InstallService« <strong>in</strong> das Anwendungsprotokoll e<strong>in</strong>.<br />
So arbeitet der Internet Explorer <strong>in</strong> 64-Bit-Versionen von <strong>W<strong>in</strong>dows</strong> 7<br />
Aufgrund des breiteren Datenbusses, der viel höhere Skalierbarkeit erlaubt, gehört der<br />
64-Bit-Architektur die Zukunft. Momentan arbeiten die meisten Benutzer allerd<strong>in</strong>gs noch<br />
mit 32-Bit-Versionen von <strong>W<strong>in</strong>dows</strong>.<br />
Obwohl die 64-Bit-Versionen von <strong>W<strong>in</strong>dows</strong> im Pr<strong>in</strong>zip deutlich leistungsfähiger s<strong>in</strong>d,<br />
haben sie <strong>in</strong> der Praxis leider e<strong>in</strong>ige Kompatibilitätsprobleme. Insbesondere können<br />
die 64-Bit-Versionen des Internet Explorers ke<strong>in</strong>e 32-Bit-Komponenten benutzen (etwa<br />
ActiveX-Steuerelemente, ohne die viele Websites nicht benutzbar s<strong>in</strong>d). 64-Bit-Komponenten<br />
verbreiten sich zwar immer mehr, aber e<strong>in</strong>ige wichtige Komponenten stehen<br />
immer noch nicht für die 64-Bit-Architektur zur Verfügung.<br />
Aus diesem Grund ist die 32-Bit-Version des Internet Explorers sogar <strong>in</strong> den 64-Bit-Versionen<br />
von <strong>W<strong>in</strong>dows</strong> die Standardversion. Verwendet e<strong>in</strong> Benutzer stattdessen die 64-Bit-<br />
Version des Internet Explorers (e<strong>in</strong>e Verknüpfung dafür liegt im Startmenü), sollten Sie<br />
alle problematischen Webseiten erst e<strong>in</strong>mal <strong>in</strong> der 32-Bit-Version des Internet Explorers<br />
überprüfen, bevor Sie sich an die weitere Problembehandlung machen.
154 Kapitel 4: Sicherheit<br />
H<strong>in</strong>zufügen von Sites zur Liste Vertrauenswürdige Sites<br />
Der Internet Explorer ist <strong>in</strong> der Standarde<strong>in</strong>stellung so konfiguriert, dass Internetwebsites<br />
viele Aktionen verboten s<strong>in</strong>d, die möglicherweise die Sicherheit des Computers oder den<br />
Datenschutz des Benutzers gefährden. Es gibt aber auch nützliche Websites, die solche<br />
Aktionen durchführen müssen, damit Webanwendungen e<strong>in</strong>wandfrei laufen.<br />
Adm<strong>in</strong>istratoren können Sites zur Liste Vertrauenswürdige Sites h<strong>in</strong>zufügen, um ihnen<br />
zusätzliche Privilegien zu gewähren. Gehen Sie folgendermaßen vor, um e<strong>in</strong>e Site zur Liste<br />
Vertrauenswürdige Sites h<strong>in</strong>zuzufügen:<br />
1. Klicken Sie im Internet Explorer <strong>in</strong> der Symbolleiste auf Extras und dann auf Internetoptionen.<br />
2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Sicherheit. Wählen Sie<br />
die Zone Vertrauenswürdige Sites aus und klicken Sie auf die Schaltfläche Sites.<br />
3. Deaktivieren Sie im Dialogfeld Vertrauenswürdige Sites das Kontrollkästchen Für Sites<br />
dieser Zone ist e<strong>in</strong>e Serverüberprüfung (https:) erforderlich, wenn Sie mit HTTP statt<br />
mit HTTPS auf den Server zugreifen.<br />
4. Geben Sie im Textfeld Diese Website zur Zone h<strong>in</strong>zufügen den URL der Website e<strong>in</strong>,<br />
zum Beispiel http://www.contoso.com, und klicken Sie auf H<strong>in</strong>zufügen.<br />
5. Klicken Sie auf Schließen.<br />
Wenn Sie die Site das nächste Mal besuchen, gewährt der Internet Explorer ihr alle Privilegien,<br />
die der Zone Vertrauenswürdige Sites zugewiesen s<strong>in</strong>d.<br />
Geschützter Modus<br />
Vor <strong>W<strong>in</strong>dows</strong> Vista wurden viele Computer von Malware befallen, wenn Websites, die böswilligen<br />
Code enthielten, es schafften, den Webbrowser e<strong>in</strong>es Besuchers dazu zu br<strong>in</strong>gen,<br />
Code auf dem Clientcomputer auszuführen. Weil jeder neue Prozess, der von e<strong>in</strong>em vorhandenen<br />
Prozess gestartet wird, die Privilegien des Elternprozesses erbt und der Webbrowser<br />
mit den vollen Privilegien des Benutzers lief, bekamen die heimlich gestarteten Prozesse<br />
dieselben Privilegien wie der Benutzer. Und mit den erhöhten Privilegien des Benutzers<br />
konnten solche böswilligen Prozesse Software <strong>in</strong>stallieren und vertrauliche Dokumente<br />
versenden.<br />
In <strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7 soll der Internet Explorer diese Gefahren verr<strong>in</strong>gern.<br />
Dazu wurde e<strong>in</strong> Feature namens »Geschützter Modus« (protected mode) entwickelt. Beim<br />
geschützten Modus (der erstmals <strong>in</strong> Internet Explorer 7 e<strong>in</strong>geführt wurde) läuft der Internet<br />
Explorer 8 unter stark e<strong>in</strong>geschränkten Privilegien auf dem lokalen Computer. Er hat sogar<br />
weniger Privilegien als e<strong>in</strong> Standardbenutzer <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7. Sogar wenn böswilliger Code<br />
auf e<strong>in</strong>er Website es schafft, über den Internet Explorer e<strong>in</strong>en Prozess zu starten, verfügt<br />
dieser böswillige Prozess lediglich über die Privilegien, auf den Ordner Temporary Internet<br />
Files und e<strong>in</strong>ige wenige andere Orte zuzugreifen. Er ist nicht <strong>in</strong> der Lage, Software zu <strong>in</strong>stallieren,<br />
den Computer neu zu konfigurieren oder die Dokumente des Benutzers zu lesen.<br />
Zum Beispiel melden sich die meisten Benutzer mit adm<strong>in</strong>istrativen Privilegien an <strong>W<strong>in</strong>dows</strong><br />
XP-Computern an. Falls e<strong>in</strong>e Website e<strong>in</strong>e Sicherheitslücke <strong>in</strong> <strong>W<strong>in</strong>dows</strong> XP ausnutzt, die<br />
nicht durch e<strong>in</strong> Update beseitigt wurde, und erfolgreich e<strong>in</strong>en Prozess startet, um Spyware<br />
zu <strong>in</strong>stallieren, verfügt der Spyware-Installationsvorgang über die vollständigen Adm<strong>in</strong>istra-
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 155<br />
torprivilegien auf dem lokalen Computer. Auf e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Computer hat der Spyware-<br />
Installationsprozess dagegen nur m<strong>in</strong>imale Privilegien (sogar weniger als e<strong>in</strong> Standardbenutzer),<br />
ganz unabhängig davon, ob der Benutzer als Adm<strong>in</strong>istrator angemeldet ist.<br />
Der geschützte Modus ist e<strong>in</strong>e Form der gestaffelten Verteidigung. Der geschützte Modus<br />
kommt nur zum Tragen, wenn böswilliger Code erfolgreich den Webbrowser missbraucht<br />
und sich ausführen lässt. In diesen Fällen begrenzt der geschützte Modus den Schaden, den<br />
der Prozess ohne die Genehmigung des Benutzers anrichten kann. Der geschützte Modus<br />
steht nicht zur Verfügung, wenn der Internet Explorer unter <strong>W<strong>in</strong>dows</strong> XP <strong>in</strong>stalliert ist, weil<br />
er verschiedene Sicherheitsfeatures voraussetzt, die nur unter <strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7<br />
vorhanden s<strong>in</strong>d.<br />
Die folgenden Abschnitte beschreiben den geschützten Modus genauer.<br />
So funktioniert der geschützte Modus<br />
E<strong>in</strong>es der Features von <strong>W<strong>in</strong>dows</strong> 7, die den geschützten Modus erst ermöglichen, ist Mandatory<br />
Integrity Control (MIC). MIC kennzeichnet Prozesse, Ordner, Dateien und Registrierungsschlüssel<br />
mit e<strong>in</strong>er von vier möglichen Integritätszugriffsstufen (Integrity Access Level,<br />
IL). Diese Integritätszugriffsstufen s<strong>in</strong>d <strong>in</strong> Tabelle 4.1 beschrieben. Der Internet Explorer<br />
läuft mit der IL »Niedrig«, das bedeutet, dass er ohne Genehmigung des Benutzers nur auf<br />
andere Ressourcen mit der IL »Niedrig« zugreifen kann.<br />
Tabelle 4.1 Integritätszugriffsstufen der Mandatory Integrity Control<br />
IL Systemprivilegien<br />
System Systemzugriff. Diese Prozesse haben une<strong>in</strong>geschränkten Zugriff auf den Computer.<br />
Hoch Adm<strong>in</strong>istrativer Zugriff. Diese Prozesse können Dateien im Programme-Ordner <strong>in</strong>stallieren<br />
und <strong>in</strong> kritische Registrierungsbereiche wie HKEY_LOCAL_MACHINE schreiben.<br />
Mittel Benutzer. Diese Prozesse können Dateien im Dokumente-Ordner des Benutzers anlegen und<br />
ändern sowie <strong>in</strong> benutzerspezifische Bereiche der Registrierung schreiben (zum Beispiel<br />
HKEY_CURRENT_USER). Die meisten Dateien und Ordner auf e<strong>in</strong>em Computer haben die<br />
Integritätsstufe »Mittel«, weil für alle Objekte ohne entsprechende Kennzeichnung als<br />
Standard<strong>in</strong>tegritätsstufe »Mittel« verwendet wird.<br />
Niedrig Nichtvertrauenswürdig. Diese Prozesse können nur <strong>in</strong> Speicherorte mit niedriger Integrität<br />
schreiben, zum Beispiel den Ordner Temporary Internet Files\Low oder den Schlüssel<br />
HKEY_CURRENT_USER\Software\LowRegistry.<br />
Folgende Ressourcen haben e<strong>in</strong>e niedrige IL, sodass der Internet Explorer im geschützten<br />
Modus darauf zugreifen kann:<br />
Der Ordner Verlauf<br />
Der Ordner Cookies<br />
Der Ordner Favoriten<br />
Der Ordner %UserProfile%\AppData\Local\Microsoft\<strong>W<strong>in</strong>dows</strong>\Temporary Internet<br />
Files\Low<br />
Der Ordner für die <strong>W<strong>in</strong>dows</strong>-Temporärdateien<br />
Der Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low-<br />
Registry
156 Kapitel 4: Sicherheit<br />
So funktioniert die Kompatibilitätsschicht des geschützten Modus<br />
Damit sowohl die Zahl der Privileganhebungsanforderungen als auch die Zahl der Kompatibilitätsprobleme<br />
ger<strong>in</strong>g bleiben, stellt der geschützte Modus e<strong>in</strong>e Kompatibilitätsschicht<br />
(compatibility layer) zur Verfügung. Die Kompatibilitätsschicht des geschützten Modus leitet<br />
Anforderungen nach geschützten Ressourcen an sichere Orte um. Beispielsweise werden<br />
alle Anforderungen nach der Bibliothek Dokumente automatisch auf Unterordner des versteckten<br />
Ordners \%UserProfile%\AppData\Local\Microsoft\<strong>W<strong>in</strong>dows</strong>\Temporary Internet<br />
Files\Virtualized umgeleitet. Wenn e<strong>in</strong> Add-On zum ersten Mal versucht, <strong>in</strong> e<strong>in</strong> geschütztes<br />
Objekt zu schreiben, kopiert die Kompatibilitätsschicht das Objekt an e<strong>in</strong>en sicheren Speicherort<br />
und greift dann auf die Kopie zu. Alle künftigen Anforderungen nach dieser geschützten<br />
Datei greifen auf die Kopie zu.<br />
Die Kompatibilitätsschicht arbeitet nur mit Internet Explorer-Add-Ons, die für Versionen<br />
vor <strong>W<strong>in</strong>dows</strong> Vista geschrieben wurden, weil alles, was für <strong>W<strong>in</strong>dows</strong> Vista oder <strong>W<strong>in</strong>dows</strong> 7<br />
entwickelt wurde, ohneh<strong>in</strong> nur auf Dateien <strong>in</strong> den bevorzugten Speicherorten zugreift.<br />
Aktivieren der Kompatibilitätsprotokollierung<br />
Manche Webanwendungen und Internet Explorer-Add-Ons, die für ältere Versionen des<br />
Internet Explorers entwickelt wurden, verursachen Kompatibilitätsprobleme, wenn sie unter<br />
Internet Explorer 8 und <strong>W<strong>in</strong>dows</strong> 7 ausgeführt werden. Sie können die Ursache des Kompatibilitätsproblems<br />
genauer untersuchen, <strong>in</strong>dem Sie die Kompatibilitätsprotokollierung mithilfe<br />
von Gruppenrichtl<strong>in</strong>ien aktivieren. Gehen Sie folgendermaßen vor, um die Kompatibilitätsprotokollierung<br />
auf Ihrem lokalen Computer zu aktivieren:<br />
1. Geben Sie im Suchfeld des Startmenüs den Befehl gpedit.msc e<strong>in</strong> und drücken Sie die<br />
EINGABETASTE.<br />
2. Erweitern Sie im Gruppenrichtl<strong>in</strong>ienverwaltungs-Editor den Knoten Benutzerkonfiguration\Adm<strong>in</strong>istrative<br />
Vorlagen\<strong>W<strong>in</strong>dows</strong>-Komponenten\Internet Explorer. Wenn Sie<br />
die Kompatibilitätsprotokollierung für alle Benutzer des Computers aktivieren wollen,<br />
können Sie stattdessen den Knoten Computerkonfiguration\Adm<strong>in</strong>istrative Vorlagen\<br />
<strong>W<strong>in</strong>dows</strong>-Komponenten\Internet Explorer verwenden.<br />
3. Klicken Sie doppelt auf die E<strong>in</strong>stellung Kompatibilitätsprotokollierung aktivieren.<br />
Wählen Sie die Option Aktiviert aus und klicken Sie dann auf OK.<br />
4. Starten Sie den Internet Explorer neu, sofern er momentan offen ist.<br />
Versuchen Sie, das Problem zu reproduzieren, während die Kompatibilitätsprotokollierung<br />
aktiviert ist. Sehen Sie sich anschließend die Ereignisse <strong>in</strong> der Ereignisanzeige unter Anwendungs-<br />
und Dienstprotokolle\Internet Explorer an. Manche Ereignisse, beispielsweise<br />
mit der Ereignis-ID 1037, enthalten nur dann e<strong>in</strong>e Beschreibung, wenn Sie zusätzlich das<br />
Application Compatibility Toolkit <strong>in</strong>stallieren.<br />
H<strong>in</strong>weis Kompatibilitätsprotokollierung<br />
Weitere Informationen über die Kompatibilitätsprotokollierung f<strong>in</strong>den Sie <strong>in</strong> »F<strong>in</strong>d<strong>in</strong>g<br />
Security Compatibility Issues <strong>in</strong> Internet Explorer 7« unter http://msdn.microsoft.com/en-us/<br />
library/bb250493.aspx. Die dort beschriebenen Informationen gelten gleichermaßen für<br />
Internet Explorer 8.
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 157<br />
Deaktivieren des geschützten Modus<br />
Falls Sie befürchten, dass der geschützte Modus des Internet Explorers Probleme mit e<strong>in</strong>er<br />
Webanwendung verursacht, können Sie den geschützten Modus zeitweise deaktivieren und<br />
die Anwendung testen. Der geschützte Modus wird für jede Zone <strong>in</strong>dividuell aktiviert, für<br />
vertrauenswürdige Sites ist er <strong>in</strong> der Standarde<strong>in</strong>stellung deaktiviert.<br />
Gehen Sie folgendermaßen vor, um den geschützten Modus zu deaktivieren:<br />
1. Öffnen Sie den Internet Explorer.<br />
2. Klicken Sie <strong>in</strong> der Symbolleiste auf die Schaltfläche Extras und wählen Sie den Befehl<br />
Internetoptionen.<br />
3. Klicken Sie auf die Registerkarte Sicherheit.<br />
4. Wählen Sie die Zone aus, für die Sie den geschützten Modus deaktivieren wollen. Deaktivieren<br />
Sie das Kontrollkästchen Geschützten Modus aktivieren.<br />
5. Klicken Sie zweimal auf OK.<br />
6. Starten Sie den Internet Explorer neu.<br />
Funktioniert die Anwendung, während der geschützte Modus deaktiviert ist, hat das Problem<br />
wahrsche<strong>in</strong>lich mit dem geschützten Modus zu tun. In diesem Fall sollten Sie den geschützten<br />
Modus wieder aktivieren und beim Anwendungsentwickler darauf dr<strong>in</strong>gen, dass die Probleme<br />
<strong>in</strong> der Webanwendung beseitigt werden. Stattdessen können Sie die Site auch zur<br />
Zone Vertrauenswürdige Sites h<strong>in</strong>zufügen und den geschützten Modus für diese Site dauerhaft<br />
deaktivieren.<br />
Problembehandlung für Zertifikatprobleme<br />
Zertifikate werden im Internet Explorer für verschiedene Aufgaben im Bereich der Sicherheit<br />
e<strong>in</strong>gesetzt:<br />
Verschlüsseln von Datenverkehr Für diese Aufgabe werden Zertifikate am häufigsten<br />
im Internet Explorer verwendet. Viele Websites, besonders Websites von Onl<strong>in</strong>eshops,<br />
die Kreditkarten akzeptieren, haben e<strong>in</strong> SSL-Zertifikat <strong>in</strong>stalliert. Dieses SSL-<br />
Zertifikat ermöglicht e<strong>in</strong>e HTTPS-Kommunikation, die sich ähnlich wie HTTP verhält,<br />
aber mit Verschlüsselung und Authentifizierung erfolgt. Wenn e<strong>in</strong> Angreifer beim normalen,<br />
unverschlüsselten HTTP Zugriff auf das Netzwerk bekommt, kann er alle Daten<br />
lesen, die zum und vom Server übertragen werden. Bei HTTPS ist der Verkehr dagegen<br />
verschlüsselt. Selbst wenn e<strong>in</strong> Angreifer den Verkehr abfängt, kann er ihn nicht lesen,<br />
wenn er nicht über das private Zertifikat des Servers verfügt.<br />
Authentifizieren des Servers SSL-Zertifikate authentifizieren den Server, <strong>in</strong>dem der<br />
Client überprüft, dass das Zertifikat von e<strong>in</strong>er vertrauenswürdigen Zertifizierungsstelle<br />
ausgestellt wurde und e<strong>in</strong>er der Namen im Zertifikat dem Hostnamen entspricht, unter<br />
dem der Zugriff auf die Site erfolgt. Das hilft, sogenannte Man-<strong>in</strong>-the-Middle-Angriffe<br />
zu verh<strong>in</strong>dern, bei denen e<strong>in</strong> Angreifer e<strong>in</strong>en Clientcomputer dazu br<strong>in</strong>gt, mit e<strong>in</strong>em<br />
böswilligen Server zu kommunizieren, der sich für den echten Server ausgibt. Websites<br />
im öffentlichen Internet haben normalerweise SSL-Zertifikate, die von e<strong>in</strong>er bekannten<br />
Zertifizierungsstelle ausgestellt wurden, der der Internet Explorer standardmäßig vertraut.<br />
Websites im Intranet verwenden manchmal Zertifikate, die von e<strong>in</strong>er <strong>in</strong>ternen Zertifi-
158 Kapitel 4: Sicherheit<br />
zierungsstelle ausgestellt wurden. Die Clientcomputer müssen dann so konfiguriert se<strong>in</strong>,<br />
dass sie der <strong>in</strong>ternen Zertifizierungsstelle vertrauen.<br />
Authentifizieren des Clients Websites im Intranet können Zertifikate an Clients <strong>in</strong><br />
ihrem Netzwerk ausstellen und anhand dieser Clientzertifikate <strong>in</strong>terne Websites authentifizieren.<br />
Wenn Sie AD DS-Gruppenrichtl<strong>in</strong>ien verwenden, ist es ganz e<strong>in</strong>fach, Clientzertifikate<br />
im gesamten <strong>Unternehmen</strong> zu verteilen.<br />
Stellt der Internet Explorer e<strong>in</strong> Problem mit e<strong>in</strong>em Zertifikat fest, zeigt er die Meldung »Es<br />
besteht e<strong>in</strong> Problem mit dem Sicherheitszertifikat der Website« an (Abbildung 4.7).<br />
Abbildung 4.7 Der Internet Explorer erkennt falsche SSL-Zertifikate<br />
Die folgende Liste beschreibt häufige Probleme, die bei der Verwendung von Zertifikaten im<br />
Internet Explorer auftreten können, und erklärt, wie sie beseitigt werden können:<br />
Das Sicherheitszertifikat dieser Website wurde für e<strong>in</strong>e andere Adresse der Website<br />
ausgestellt In diesem Fall gibt es mehrere mögliche Ursachen:<br />
Der Hostname, mit dem Sie auf die Website zugreifen, ist nicht die primäre Adresse<br />
der Website. Zum Beispiel könnten Sie versuchen, über die IP-Adresse auf e<strong>in</strong>e Website<br />
zuzugreifen. Oder Sie greifen über e<strong>in</strong>en alternativen Hostnamen auf die Website<br />
zu, etwa contoso.com statt www.contoso.com.<br />
H<strong>in</strong>weis Alternative Antragstellernamen<br />
Früher enthielten SSL-Zertifikate den Hostnamen, für den sie galten, im Feld Common<br />
Name (allgeme<strong>in</strong>er Name). So können Sie beispielsweise www.contoso.com als<br />
allgeme<strong>in</strong>en Namen für Ihr Websitezertifikat e<strong>in</strong>tragen. Griff e<strong>in</strong> Benutzer aber über<br />
den Hostnamen contoso.com auf dieselbe Site zu, meldete der Browser früher e<strong>in</strong>en<br />
Fehler.<br />
Seit etwa 2003 unterstützen die meisten verbreiteten Browser SSL-Zertifikate mit<br />
alternativen Antragstellernamen (Subject Alternative Name, SAN). SANs s<strong>in</strong>d Host-
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 159<br />
namen, für die e<strong>in</strong> SSL-Zertifikat gilt. Beispielsweise können Sie e<strong>in</strong> SSL-Zertifikat<br />
mit e<strong>in</strong>er SAN-Liste erstellen, sodass die Benutzer entweder über contoso.com oder<br />
www.contoso.com auf denselben Webserver zugreifen können.<br />
Sie können sich die SAN-Liste e<strong>in</strong>es Zertifikats ansehen, <strong>in</strong>dem Sie die Site mit<br />
HTTPS aufrufen und auf das Schlosssymbol <strong>in</strong> der Adressleiste des Internet Explorers<br />
klicken. Klicken Sie auf Zertifikate anzeigen und dann auf die Registerkarte<br />
Details. Wählen Sie das Feld Alternativer Antragstellername aus, um sich anzusehen,<br />
für welche Hostnamen das Zertifikat gültig ist.<br />
Der Serveradm<strong>in</strong>istrator hat e<strong>in</strong>en Fehler gemacht. Zum Beispiel könnte es se<strong>in</strong>, dass<br />
der Adm<strong>in</strong>istrator beim Hostnamen des Servers e<strong>in</strong>en Tippfehler gemacht hat, als er<br />
das Zertifikat anforderte. Oder der Adm<strong>in</strong>istrator hat das falsche Zertifikat auf dem<br />
Server <strong>in</strong>stalliert.<br />
Der Server gibt sich für e<strong>in</strong>en Server mit e<strong>in</strong>em anderen Hostnamen aus. So könnte<br />
es se<strong>in</strong>, dass e<strong>in</strong> Angreifer e<strong>in</strong>e Website e<strong>in</strong>gerichtet hat, die sich für www.fabrikam.<br />
com ausgibt. Der Angreifer verwendet aber e<strong>in</strong> anderes SSL-Zertifikat auf der Website.<br />
Ältere Versionen des Internet Explorers zeigten e<strong>in</strong>e weniger bedrohlich wirkende<br />
Fehlermeldung an, sodass viele Benutzer die Fehlermeldung wegklickten und<br />
auf der böswilligen Site E<strong>in</strong>gaben machten.<br />
Das Zertifikat ist abgelaufen Zertifikate haben e<strong>in</strong>e begrenzte Lebensdauer, normalerweise<br />
1 bis 5 Jahre. Ist das Zertifikat abgelaufen, sollte der Serveradm<strong>in</strong>istrator e<strong>in</strong> aktualisiertes<br />
Zertifikat anfordern und es auf den Server e<strong>in</strong>spielen.<br />
Der Internet Explorer ist nicht so konfiguriert, dass er der Zertifizierungsstelle<br />
vertraut Jeder, auch e<strong>in</strong> Angreifer, kann e<strong>in</strong>e eigene Zertifizierungsstelle e<strong>in</strong>richten<br />
und Zertifikate ausstellen. Daher vertraut der Internet Explorer standardmäßig nicht allen<br />
Zertifizierungsstellen. Der Internet Explorer vertraut nur e<strong>in</strong>er Handvoll öffentlicher<br />
Zertifizierungsstellen. Wenn das Zertifikat von e<strong>in</strong>er nichtvertrauenswürdigen Zertifizierungsstelle<br />
ausgestellt wurde und die Website sich im öffentlichen Internet bef<strong>in</strong>det, sollte<br />
der Serveradm<strong>in</strong>istrator e<strong>in</strong> Zertifikat von e<strong>in</strong>er vertrauenswürdigen Zertifizierungsstelle<br />
erwerben. Liegt die Website <strong>in</strong> Ihrem Intranet, sollte e<strong>in</strong> Clientadm<strong>in</strong>istrator den Internet<br />
Explorer so konfigurieren, dass er der ausstellenden Zertifizierungsstelle vertraut. In AD<br />
DS-Domänen vertrauen Mitgliedscomputer automatisch den <strong>Unternehmen</strong>szertifizierungsstellen.<br />
Weitere Informationen f<strong>in</strong>den Sie <strong>in</strong> den Übungen am Ende dieser Lektion.<br />
Erkennen von E<strong>in</strong>schränkungen, die durch Gruppenrichtl<strong>in</strong>ien verursacht<br />
werden<br />
<strong>Unternehmen</strong> brauchen vollständige Kontrolle über die Fähigkeiten der Webbrowser aller<br />
Benutzer, und der Internet Explorer bietet enorme Flexibilität. Adm<strong>in</strong>istratoren können beispielsweise<br />
mit Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen die Registerkarten im Browser deaktivieren,<br />
Popups erlauben, Vorschläge deaktivieren, die Suchanbieter e<strong>in</strong>schränken oder die Favoritenleiste<br />
löschen.<br />
Wenn sich e<strong>in</strong> Benutzer beschwert, dass e<strong>in</strong> Internet Explorer-Feature nicht richtig funktioniert,<br />
sollten Sie feststellen, ob die E<strong>in</strong>schränkungen eventuell durch Gruppenrichtl<strong>in</strong>ien<br />
verursacht werden. Mit dem Tool Richtl<strong>in</strong>ienergebnissatz können Sie feststellen, welche<br />
E<strong>in</strong>stellungen für e<strong>in</strong>en Benutzer oder Computer def<strong>in</strong>iert wurden und welche Gruppenricht-
160 Kapitel 4: Sicherheit<br />
l<strong>in</strong>ienobjekte dafür verantwortlich s<strong>in</strong>d. Gehen Sie folgendermaßen vor, um das Tool Richtl<strong>in</strong>ienergebnissatz<br />
zu benutzen:<br />
1. Geben Sie im Suchfeld des Startmenüs den Befehl rsop.msc e<strong>in</strong> und drücken Sie die<br />
EINGABETASTE.<br />
2. Wählen Sie im Fenster Richtl<strong>in</strong>ienergebnissatz unter Computerkonfiguration oder<br />
Benutzerkonfiguration den Knoten Adm<strong>in</strong>istrative Vorlagen\<strong>W<strong>in</strong>dows</strong>-Komponenten\<br />
Internet Explorer aus.<br />
3. Wie <strong>in</strong> Abbildung 4.8 gezeigt, listet die Detailansicht auf, welche Internet Explorer-<br />
E<strong>in</strong>stellungen def<strong>in</strong>iert s<strong>in</strong>d und welches Gruppenrichtl<strong>in</strong>ienobjekt sie konfiguriert.<br />
Abbildung 4.8 Das Tool Richtl<strong>in</strong>ienergebnissatz zeigt, welche Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen<br />
angewendet wurden und welches Gruppenrichtl<strong>in</strong>ienobjekt verantwortlich ist<br />
Übung Problembehandlung für Zertifikate<br />
In dieser Übung üben Sie die Problembehandlung für Zertifikate, <strong>in</strong>dem Sie e<strong>in</strong> nichtvertrauenswürdiges<br />
Zertifikat ausstellen, sich ansehen, wie der Internet Explorer auf dieses<br />
Zertifikat reagiert, und schließlich den Internet Explorer so konfigurieren, dass er diesem<br />
Zertifikat vertraut.<br />
Übung 1 Simulieren e<strong>in</strong>es ungültigen Zertifikats<br />
In dieser Übung öffnen Sie e<strong>in</strong>e Webseite über e<strong>in</strong>en anderen Hostnamen als den üblichen<br />
Namen, der im SSL-Zertifikat angegeben ist, und sehen sich an, wie der Internet Explorer<br />
darauf reagiert.<br />
1. Öffnen Sie den Internet Explorer. Geben Sie <strong>in</strong> der Adressleiste https://www.microsoft.<br />
com e<strong>in</strong>. Drücken Sie die EINGABETASTE.<br />
Der Internet Explorer öffnet die Startseite www.microsoft.com über verschlüsseltes<br />
HTTPS. Beachten Sie das goldene Schlosssymbol <strong>in</strong> der Adressleiste (Abbildung 4.9).<br />
Abbildung 4.9 Das goldene Schlosssymbol <strong>in</strong> der Adressleiste zeigt, dass die<br />
Kommunikation mit der Site verschlüsselt wird und das Zertifikat gültig ist
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 161<br />
2. Klicken Sie auf das goldene Schlosssymbol <strong>in</strong> der Adressleiste, um die Identifizierungsdaten<br />
der Website anzuzeigen. Beachten Sie, dass die Identifizierungsseite als »www.<br />
microsoft.com« angezeigt wird, was exakt dem Hostnamen entspricht, den Sie <strong>in</strong> der<br />
Adressleiste e<strong>in</strong>gegeben haben.<br />
3. Geben Sie <strong>in</strong> der Adressleiste https://microsoft.com e<strong>in</strong>. Diesmal beg<strong>in</strong>nt der Hostname<br />
also nicht mit »www«. Drücken Sie die EINGABETASTE.<br />
Der Internet Explorer zeigt die Webseite Es besteht e<strong>in</strong> Problem mit dem Sicherheitszertifikat<br />
der Website an. Das passiert, weil der Hostname im Zertifikat (www.microsoft.<br />
com) nicht genau mit dem Hostnamen übere<strong>in</strong>stimmt, den Sie <strong>in</strong> der Adressleiste e<strong>in</strong>gegeben<br />
haben (microsoft.com). Die Benutzer bekommen dieselbe Fehlermeldung, wenn<br />
sie versuchen, auf e<strong>in</strong>e Site zuzugreifen, die sich für e<strong>in</strong>e andere Site ausgibt.<br />
Übung 2 Ausstellen e<strong>in</strong>es nichtvertrauenswürdigen Zertifikats<br />
In dieser Übung stellen Sie e<strong>in</strong> <strong>in</strong>ternes Zertifikat für e<strong>in</strong>en Webserver aus und untersuchen,<br />
wie <strong>W<strong>in</strong>dows</strong> 7 als Mitglied der Domäne und von außerhalb der Domäne reagiert.<br />
1. Stellen Sie <strong>in</strong> e<strong>in</strong>er Testumgebung die Verb<strong>in</strong>dung zu e<strong>in</strong>em AD DS-Domänencontroller<br />
her, der unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2 läuft, und melden Sie sich als Adm<strong>in</strong>istrator an.<br />
2. Klicken Sie im Startmenü auf Verwaltung und dann auf Server-Manager.<br />
3. Wählen Sie im Server-Manager den Knoten Rollen aus und klicken Sie auf Rollen h<strong>in</strong>zufügen.<br />
4. Klicken Sie auf der Seite Vorbemerkungen auf Weiter.<br />
5. Aktivieren Sie auf der Seite Serverrollen auswählen das Kontrollkästchen Active Directory-Zertifikatdienste<br />
und klicken Sie auf Weiter.<br />
6. Klicken Sie auf der Seite E<strong>in</strong>führung <strong>in</strong> Active Directory-Zertifikatdienste auf Weiter.<br />
7. Wählen Sie auf der Seite Rollendienste auswählen die Dienste Zertifizierungsstelle,<br />
Zertifizierungsstellen-Webregistrierung und Onl<strong>in</strong>e-Responder aus. Klicken Sie auf<br />
Erforderliche Rollendienste h<strong>in</strong>zufügen, wenn Sie aufgefordert werden, weitere Dienste<br />
h<strong>in</strong>zuzufügen. Klicken Sie auf Weiter.<br />
8. Wählen Sie auf der Seite Setuptyp angeben die Option <strong>Unternehmen</strong> aus. Klicken Sie<br />
auf Weiter.<br />
9. Lassen Sie auf der Seite Zertifizierungsstellentyp angeben die Option Stammzertifizierungsstelle<br />
ausgewählt und klicken Sie auf Weiter.<br />
10. Lassen Sie auf der Seite Privaten Schlüssel e<strong>in</strong>richten die Option Neuen privaten<br />
Schlüssel erstellen ausgewählt. Klicken Sie auf Weiter.<br />
11. Klicken Sie auf der Seite Kryptografie für ZS konfigurieren auf Weiter.<br />
12. Geben Sie auf der Seite Name der Zertifizierungsstelle konfigurieren den Hostnamen für<br />
Ihre Zertifizierungsstelle e<strong>in</strong> (beispielsweise DCSRV1.nwtraders.msft) und klicken Sie<br />
auf Weiter.<br />
13. Klicken Sie auf der Seite Festlegen der Gültigkeitsdauer auf Weiter.<br />
14. Klicken Sie auf der Seite Zertifikatdatenbank konfigurieren auf Weiter.<br />
15. Klicken Sie auf der Seite Webserver (IIS) auf Weiter.
162 Kapitel 4: Sicherheit<br />
16. Klicken Sie auf der Seite Rollendienste auswählen auf Weiter.<br />
17. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.<br />
18. Klicken Sie auf Schließen und dann auf Ja, um den Computer neu zu starten.<br />
19. Warten Sie, bis der Computer neu gestartet ist, und melden Sie sich wieder an. Warten<br />
Sie, bis der Server-Manager die Installation der Serverrollen abgeschlossen hat, und<br />
klicken Sie auf Schließen.<br />
20. Klicken Sie im Startmenü auf Verwaltung und dann auf Internet<strong>in</strong>formationsdienste<br />
(IIS)-Manager.<br />
21. Klicken Sie im Internet<strong>in</strong>formationsdienste-Manager auf Ihren Computer.<br />
22. Klicken Sie doppelt auf Serverzertifikate.<br />
23. Klicken Sie im Fensterabschnitt Aktionen auf Domänenzertifikat erstellen.<br />
24. Geben Sie auf der Seite Eigenschaften für def<strong>in</strong>ierten Namen den vollständigen Hostnamen<br />
<strong>in</strong> das Feld Geme<strong>in</strong>samer Name e<strong>in</strong>, zum Beispiel dc1.nwtraders.msft. Geben<br />
Sie Northw<strong>in</strong>d Traders <strong>in</strong> das Feld Organisation e<strong>in</strong> und IT <strong>in</strong> das Feld Organisationse<strong>in</strong>heit.<br />
Tragen Sie unter Ort, Bundesland/Kanton und Land/Region Ihre Daten e<strong>in</strong>.<br />
Klicken Sie auf Weiter.<br />
25. Klicken Sie auf der Seite Onl<strong>in</strong>ezertifizierungsstelle auf Auswählen. Wählen Sie den<br />
Domänencontroller aus und klicken Sie auf OK. Geben Sie im Textfeld Anzeigename<br />
den Namen DC1 e<strong>in</strong>. Klicken Sie auf Fertig.<br />
26. Erweitern Sie im Internet<strong>in</strong>formationsdienste-Manager den Knoten Sites und klicken Sie<br />
auf Default Web Site. Klicken Sie mit der rechten Maustaste auf Default Web Site und<br />
wählen Sie den Befehl B<strong>in</strong>dungen bearbeiten.<br />
27. Klicken Sie im Dialogfeld Siteb<strong>in</strong>dungen auf H<strong>in</strong>zufügen.<br />
28. Wählen Sie im Dialogfeld Siteb<strong>in</strong>dung h<strong>in</strong>zufügen <strong>in</strong> der Dropdownliste Typ den E<strong>in</strong>trag<br />
HTTPS aus. Wählen Sie <strong>in</strong> der Dropdownliste SSL-Zertifikat den E<strong>in</strong>trag dc1.nwtraders.<br />
msft aus. Klicken Sie auf OK und dann auf Schließen.<br />
29. Sie haben jetzt Ihren Domänencontroller als Webserver mit e<strong>in</strong>em SSL-Zertifikat konfiguriert.<br />
Öffnen Sie den Internet Explorer. Geben Sie <strong>in</strong> der Adressleiste https://<br />
e<strong>in</strong>, wobei für den Namen steht, den Sie<br />
im Zertifikat e<strong>in</strong>gegeben haben (zum Beispiel dc1.nwtraders.msft). Drücken Sie die<br />
EINGABETASTE.<br />
Der Internet Explorer öffnet die Seite. Wie Sie sehen, ersche<strong>in</strong>t das goldene Schlosssymbol<br />
<strong>in</strong> der Adressleiste. Das zeigt, dass das SSL-Zertifikat gültig ist.<br />
30. Öffnen Sie den Internet Explorer auf e<strong>in</strong>em zweiten <strong>W<strong>in</strong>dows</strong> 7-Computer, der nicht<br />
Mitglied Ihrer Domäne ist. Wenn Sie ke<strong>in</strong>en zweiten Computer zur Verfügung haben,<br />
können Sie Ihren <strong>W<strong>in</strong>dows</strong> 7-Computer stattdessen auch zeitweise aus der Domäne entfernen.<br />
Geben Sie im Internet Explorer die Adresse https:// e<strong>in</strong><br />
und drücken Sie die EINGABETASTE.<br />
Der Internet Explorer zeigt e<strong>in</strong>e Warnmeldung an, dass das Zertifikat nicht von e<strong>in</strong>er<br />
vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde (Abbildung 4.10).
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 163<br />
Abbildung 4.10 Die Warnmeldung des Internet Explorers,<br />
dass die Zertifizierungsstelle nicht vertrauenswürdig ist<br />
Fahren Sie nun mit Übung 3 fort, um dieses Problem zu beseitigen.<br />
Übung 3 E<strong>in</strong>e Zertifizierungsstelle als vertrauenswürdig e<strong>in</strong>stufen<br />
In dieser Übung exportieren Sie das Stammzertifikat Ihrer Zertifizierungsstelle und kennzeichnen<br />
es auf dem <strong>W<strong>in</strong>dows</strong> 7-Computer, der nicht Mitglied Ihrer Domäne ist, als vertrauenswürdig.<br />
Anschließend können Sie die SSL-verschlüsselte Website öffnen, ohne dass e<strong>in</strong>e<br />
Warnmeldung ersche<strong>in</strong>t. Um diese Übung durcharbeiten zu können, müssen Sie Übung 2<br />
abgeschlossen haben.<br />
1. Klicken Sie auf Ihrem Domänencontroller <strong>in</strong> der Konsole Zertifizierungsstelle mit der<br />
rechten Maustaste auf Ihren Server und wählen Sie den Befehl Eigenschaften.<br />
2. Klicken Sie auf die Registerkarte Allgeme<strong>in</strong>. Klicken Sie auf Zertifikat Nr. 0 und dann<br />
auf die Schaltfläche Zertifikat anzeigen.<br />
3. Klicken Sie im Dialogfeld Zertifikat auf die Registerkarte Details. Klicken Sie auf die<br />
Schaltfläche In Datei kopieren.<br />
4. Der Zertifikatexport-Assistent wird geöffnet. Klicken Sie auf Weiter.<br />
5. Übernehmen Sie auf der Seite Exportdateiformat das Standardexportformat und klicken<br />
Sie auf Weiter.<br />
6. Geben Sie auf der Seite Zu exportierende Datei den Namen C:\root.cer e<strong>in</strong> und klicken<br />
Sie auf Weiter.<br />
7. Klicken Sie auf Fertig stellen und dann dreimal auf OK.<br />
8. Wechseln Sie auf den <strong>W<strong>in</strong>dows</strong> 7-Clientcomputer, der nicht Mitglied Ihrer Testdomäne<br />
ist, und öffnen Sie dort den Internet Explorer. Klicken Sie im Internet Explorer <strong>in</strong> der<br />
Symbolleiste auf die Schaltfläche Extras und dann auf Internetoptionen.<br />
9. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Inhalte und dann auf<br />
Zertifikate.
164 Kapitel 4: Sicherheit<br />
10. Klicken Sie im Dialogfeld Zertifikate auf die Registerkarte Vertrauenswürdige Stammzertifizierungsstellen.<br />
Klicken Sie auf die Schaltfläche Importieren.<br />
11. Der Zertifikatimport-Assistent wird geöffnet. Klicken Sie auf der Seite Willkommen auf<br />
Weiter.<br />
12. Klicken Sie auf der Seite Zu importierende Datei auf die Schaltfläche Durchsuchen.<br />
Geben Sie im Dialogfeld Öffnen den Pfad \\\c$\root.cer e<strong>in</strong> und klicken<br />
Sie auf Öffnen. Klicken Sie auf Weiter.<br />
13. Auf der Seite Zertifikatspeicher sehen Sie, dass der Zertifikatimport-Assistent das Zertifikat<br />
standardmäßig <strong>in</strong> den Speicher »Vertrauenswürdige Stammzertifizierungsstellen«<br />
importiert. Das ist die richtige Stelle. Klicken Sie auf Weiter.<br />
14. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.<br />
15. E<strong>in</strong>e Sicherheitswarnung wird angezeigt. Klicken Sie auf Ja, um das Zertifikat zu <strong>in</strong>stallieren.<br />
Klicken Sie dann auf OK.<br />
16. Klicken Sie auf Schließen und dann auf OK.<br />
17. Geben Sie im Internet Explorer wieder die Adresse https:// e<strong>in</strong><br />
und drücken Sie die EINGABETASTE.<br />
Der Internet Explorer öffnet die Seite. Wie Sie sehen, ersche<strong>in</strong>t diesmal das goldene<br />
Schlosssymbol <strong>in</strong> der Adressleiste, was anzeigt, dass das SSL-Zertifikat gültig ist. Weil<br />
dieser Computer ke<strong>in</strong> Mitglied der AD DS-Domäne ist, mussten Sie das Stammzertifikat<br />
von Hand als vertrauenswürdig kennzeichnen. Nun gelten alle Zertifikate, die von dieser<br />
Zertifizierungsstelle ausgestellt werden, als vertrauenswürdig. Wäre der Computer Mitglied<br />
der AD DS-Domäne, hätten Gruppenrichtl<strong>in</strong>ien dafür gesorgt, dass der Computer<br />
der <strong>Unternehmen</strong>szertifizierungsstelle automatisch vertraut.<br />
Zusammenfassung der Lektion<br />
Webanwendungsentwickler verwenden oft Internet Explorer-Add-Ons, um die Fähigkeiten<br />
des Webbrowsers zu erweitern. Manche Add-Ons können allerd<strong>in</strong>gs Zuverlässigkeitsprobleme<br />
verursachen, andere gefährden womöglich die Sicherheit Ihrer Organisation.<br />
Glücklicherweise stellt der Internet Explorer Möglichkeiten zur Verfügung, Add-<br />
Ons zu deaktivieren und ActiveX-Steuerelemente zu löschen. Falls e<strong>in</strong> Add-On verh<strong>in</strong>dert,<br />
dass der Internet Explorer startet, können Sie den Internet Explorer <strong>in</strong> e<strong>in</strong>em Modus<br />
starten, <strong>in</strong> dem alle Add-Ons deaktiviert s<strong>in</strong>d.<br />
Der Internet Explorer schränkt die Fähigkeiten von Websites im öffentlichen Internet<br />
e<strong>in</strong>, um die Sicherheit des Benutzers zu gewährleisten. Gelegentlich verh<strong>in</strong>dern diese<br />
E<strong>in</strong>schränkungen allerd<strong>in</strong>gs, dass e<strong>in</strong>e erwünschte Webanwendung richtig funktioniert.<br />
Wenn Sie e<strong>in</strong>e Webanwendung haben, die nicht e<strong>in</strong>wandfrei funktioniert, und Sie der<br />
Website vertrauen, können Sie diese Website zur Liste Vertrauenswürdige Sites h<strong>in</strong>zufügen.<br />
Sites, die <strong>in</strong> der Liste Vertrauenswürdige Sites stehen, bekommen mehr Privilegien<br />
als Sites im öffentlichen Internet. Daher steigt die Wahrsche<strong>in</strong>lichkeit, dass sie<br />
richtig funktionieren.<br />
Der geschützte Modus ist e<strong>in</strong>es der wichtigsten Sicherheitsfeatures von <strong>W<strong>in</strong>dows</strong> Internet<br />
Explorer 8.0. Er steht nur unter <strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7 zur Verfügung. In der<br />
Standarde<strong>in</strong>stellung sorgt der geschützte Modus dafür, dass der Internet Explorer mit<br />
niedrigen Privilegien läuft. Das verh<strong>in</strong>dert, dass der Internet Explorer (oder e<strong>in</strong> Prozess,
Lektion 2: Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit 165<br />
der vom Internet Explorer gestartet wird) auf die meisten Ressourcen des Computers<br />
zugreifen kann. Der Benutzer muss se<strong>in</strong>e Genehmigung erteilen, wenn der Internet<br />
Explorer oder e<strong>in</strong> Add-On erhöhte Privilegien benötigt.<br />
Viele Websites verwenden Zertifikate, um den Webserver zu authentifizieren und verschlüsselte<br />
Kommunikation zu ermöglichen. Zertifikate s<strong>in</strong>d sehr wichtig für Websites,<br />
die Zugriff auf vertrauliche Informationen ermöglichen oder persönliche Daten der Benutzer<br />
sammeln (etwa Kreditkartennummern). Das häufigste Problem bei Zertifikaten<br />
ist, dass der Serverhostname nicht übere<strong>in</strong>stimmt. Dies lässt sich normalerweise dadurch<br />
lösen, dass der Hostname verwendet wird, der im Zertifikat e<strong>in</strong>getragen ist. Bei Servern<br />
<strong>in</strong>nerhalb Ihres Intranets können Zertifikatprobleme auftreten, wenn der Computer nicht<br />
richtig konfiguriert wurde, sodass er der Zertifizierungsstelle nicht vertraut.<br />
Gruppenrichtl<strong>in</strong>ien verschaffen Adm<strong>in</strong>istratoren weitgehende Kontrolle über die Features<br />
des Internet Explorers. Treten bei e<strong>in</strong>em Benutzer Probleme auf, weil e<strong>in</strong> Feature nicht<br />
richtig zu funktionieren sche<strong>in</strong>t, ist es möglich, dass die Ursache e<strong>in</strong>e bewusst gewählte<br />
Konfigurationse<strong>in</strong>stellung der Adm<strong>in</strong>istratoren ist. Führen Sie das Tool Richtl<strong>in</strong>ienergebnissatz<br />
(Rsop.msc) aus, um auf e<strong>in</strong>em Computer zu prüfen, welche E<strong>in</strong>schränkungen<br />
mithilfe von Gruppenrichtl<strong>in</strong>ien auf den Internet Explorer angewendet werden. Wählen<br />
Sie dann die Knoten Computerkonfiguration\Adm<strong>in</strong>istrative Vorlagen\<strong>W<strong>in</strong>dows</strong>-Komponenten\Internet<br />
Explorer und Benutzerkonfiguration\Adm<strong>in</strong>istrative Vorlagen\<strong>W<strong>in</strong>dows</strong>-<br />
Komponenten\Internet Explorer aus. Das Tool Richtl<strong>in</strong>ienergebnissatz zeigt, welche<br />
E<strong>in</strong>stellungen def<strong>in</strong>iert s<strong>in</strong>d und welche Gruppenrichtl<strong>in</strong>ienobjekte dafür verantwortlich<br />
s<strong>in</strong>d.<br />
Lernzielkontrolle<br />
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 2,<br />
»Konfigurieren und Problembehandlung der Internet Explorer-Sicherheit«, überprüfen. Die<br />
Fragen f<strong>in</strong>den Sie (<strong>in</strong> englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch<br />
auf dem Computer im Rahmen e<strong>in</strong>es Übungstests beantworten.<br />
H<strong>in</strong>weis Die Antworten<br />
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglichkeiten<br />
richtig oder falsch s<strong>in</strong>d, f<strong>in</strong>den Sie im Abschnitt »Antworten« am Ende dieses Buchs.<br />
1. E<strong>in</strong> Benutzer versucht, e<strong>in</strong>e der vielen <strong>in</strong>ternen Websites zu besuchen, die von Ihrer IT-<br />
Abteilung zur Verfügung gestellt werden. Der L<strong>in</strong>k des Benutzers verwendet standardmäßig<br />
SSL. Als der Benutzer heute versucht hat, die Seite zu öffnen, zeigt der Internet<br />
Explorer ihm die folgende Meldung an:<br />
Es besteht e<strong>in</strong> Problem mit dem Sicherheitszertifikat der Website.<br />
Das Sicherheitszertifikat dieser Website wurde für e<strong>in</strong>e andere Adresse der Website<br />
ausgestellt.<br />
Wodurch könnte diese Meldung ausgelöst werden? (Wählen Sie alle zutreffenden Antworten<br />
aus.)<br />
A. Das Zertifikat ist abgelaufen.<br />
B. E<strong>in</strong> Angreifer leitet den Verkehr auf e<strong>in</strong>en böswilligen Webserver um.
166 Kapitel 4: Sicherheit<br />
C. Der Internet Explorer vertraut der Zertifizierungsstelle nicht mehr, die das Zertifikat<br />
ausgestellt hat.<br />
D. Das Zertifikat der Website wurde für e<strong>in</strong>en anderen Hostnamen ausgestellt als den,<br />
der im L<strong>in</strong>k des Benutzers gespeichert ist.<br />
2. Welche der folgenden Elemente blockiert der Internet Explorer <strong>in</strong> der Standarde<strong>in</strong>stellung<br />
(bis e<strong>in</strong> Benutzer sie genehmigt)? (Wählen Sie alle zutreffenden Antworten aus.)<br />
A. Animierte GIFs<br />
B. H<strong>in</strong>tergrundmusik <strong>in</strong> e<strong>in</strong>er Webseite<br />
C. In e<strong>in</strong>er Webseite e<strong>in</strong>gebettete Videos<br />
D. Anzeigen des Quelltextes e<strong>in</strong>er Webseite<br />
3. Welche der folgenden Anforderungstypen leitet die Internet Explorer-Kompatibilitätsschicht<br />
des geschützten Modus an e<strong>in</strong>e virtualisierte Position um?<br />
A. Speichern e<strong>in</strong>es Cookies<br />
B. Speichern e<strong>in</strong>er Datei im Ordner Dokumente<br />
C. Anfragen beim Benutzer, welche Datei er auf e<strong>in</strong>e Website hochladen will<br />
D. Speichern e<strong>in</strong>er Datei im Ordner Temporary Internet Files<br />
4. Sie bekommen e<strong>in</strong>en Anruf von e<strong>in</strong>em Benutzer, der versucht, auf e<strong>in</strong>e Webseite zuzugreifen.<br />
Der Benutzer hat vor Kurzem von <strong>W<strong>in</strong>dows</strong> XP und Internet Explorer 6.0 auf<br />
<strong>W<strong>in</strong>dows</strong> 7 gewechselt. Die Webseite enthält e<strong>in</strong> ActiveX-Steuerelement, das aber beim<br />
Benutzer nicht auf der Webseite ersche<strong>in</strong>t. Wie kann der Benutzer dieses Problem beseitigen?<br />
(Wählen Sie alle zutreffenden Antworten aus.)<br />
A. Klicken Sie mit der rechten Maustaste auf die Seite und wählen Sie den Befehl<br />
ActiveX-Steuerelement ausführen.<br />
B. Klicken Sie auf die Informationsleiste und wählen Sie den Befehl ActiveX-Steuerelement<br />
ausführen.<br />
C. Fügen Sie die Site zur Zone Vertrauenswürdige Sites h<strong>in</strong>zu.<br />
D. Deaktivieren Sie im Dialogfeld Sicherheit das Kontrollkästchen Geschützten Modus<br />
aktivieren.
Lektion 3: Steuern des Zugriffs auf Daten<br />
mithilfe von Verschlüsselung<br />
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 167<br />
Sobald e<strong>in</strong> Angreifer physischen Zugriff auf e<strong>in</strong>en Datenträger hat, kann er die Sicherheitsfeatures<br />
des Betriebssystems, zum Beispiel NTFS-Dateiberechtigungen, ganz e<strong>in</strong>fach umgehen.<br />
Aber mit Verschlüsselung können Sie Daten sogar dann schützen, wenn Ihr Datenträger<br />
<strong>in</strong> die falschen Hände gerät.<br />
Verschlüsselung macht Daten für jeden völlig unlesbar, der nicht über e<strong>in</strong>en gültigen Schlüssel<br />
verfügt. Wird Verschlüsselung e<strong>in</strong>gesetzt, brauchen Angreifer sowohl Zugriff auf die<br />
Daten als auch auf den Schlüssel, bevor sie Ihre privaten Dateien lesen können. <strong>W<strong>in</strong>dows</strong> 7<br />
stellt zwei Dateiverschlüsselungstechnologien zur Verfügung: EFS (zum Verschlüsseln e<strong>in</strong>zelner<br />
Dateien und Ordner) und BitLocker (zum Verschlüsseln des gesamten Systemlaufwerks).<br />
In vielen Umgebungen komb<strong>in</strong>ieren Sie die beiden.<br />
Diese Lektion beschreibt, wie Sie EFS und BitLocker konfigurieren, und erklärt, wie Sie<br />
e<strong>in</strong>e Problembehandlung durchführen.<br />
Am Ende dieser Lektion werden Sie <strong>in</strong> der Lage se<strong>in</strong>, die folgenden Aufgaben auszuführen:<br />
EFS konfigurieren, mehreren Benutzern Zugriff auf EFS-verschlüsselte Dateien gewähren<br />
und EFS-Zertifikate sichern und wiederherstellen<br />
Beschreiben, wodurch sich die BitLocker-Verschlüsselung von EFS unterscheidet, Aktivieren<br />
von BitLocker und Wiederherstellen von Daten auf e<strong>in</strong>em BitLocker-verschlüsselten<br />
Volume<br />
Veranschlagte Zeit für diese Lektion: 40 M<strong>in</strong>uten<br />
Das verschlüsselnde Dateisystem EFS<br />
EFS (Encrypt<strong>in</strong>g File System, verschlüsselndes Dateisystem) ist e<strong>in</strong>e Dateiverschlüsselungstechnologie,<br />
die nur auf NTFS-Volumes unterstützt wird. Sie schützt Dateien gegen Offl<strong>in</strong>eangriffe<br />
wie etwa Festplattendiebstahl. Weil EFS auf der Dateisystemebene arbeitet, ist es<br />
für Benutzer und Anwendungen völlig transparent. Dass die Daten verschlüsselt s<strong>in</strong>d, wird<br />
nur dann deutlich, wenn e<strong>in</strong> Benutzer auf e<strong>in</strong>e verschlüsselte Datei zugreifen will, für die er<br />
ke<strong>in</strong>en Schlüssel hat. In diesem Fall kann er überhaupt nicht auf den Inhalt der Datei zugreifen.<br />
EFS wurde mit dem Ziel entworfen, vertrauliche Daten auf mobilen oder geme<strong>in</strong>sam genutzten<br />
Computern zu schützen. Bei solchen Computern ist die Gefahr größer, dass Angriffe<br />
durchgeführt werden, die E<strong>in</strong>schränkungen durch Zugriffssteuerungslisten (Access Control<br />
List, ACL) wie zum Beispiel Dateiberechtigungen umgehen. E<strong>in</strong> Angreifer kann e<strong>in</strong>en Computer<br />
stehlen, das Festplattenlaufwerk ausbauen, <strong>in</strong> e<strong>in</strong> anderes System e<strong>in</strong>bauen und sich so<br />
Zugriff auf die gespeicherten Dateien verschaffen (selbst wenn sie ansonsten durch Dateiberechtigungen<br />
geschützt werden). Wenn der Angreifer aber nicht über den Schlüssel verfügt,<br />
sche<strong>in</strong>en die mit EFS verschlüsselten Dateien lediglich uns<strong>in</strong>nige Zeichen zu enthalten.<br />
In den meisten Aspekten funktioniert EFS <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 genauso wie <strong>in</strong> <strong>W<strong>in</strong>dows</strong> XP und<br />
<strong>W<strong>in</strong>dows</strong> Vista.
168 Kapitel 4: Sicherheit<br />
H<strong>in</strong>weis <strong>W<strong>in</strong>dows</strong> 7-Versionen, die EFS nicht unterstützen<br />
<strong>W<strong>in</strong>dows</strong> 7 Starter, <strong>W<strong>in</strong>dows</strong> 7 Home Basic und <strong>W<strong>in</strong>dows</strong> 7 Home Premium enthalten ke<strong>in</strong>e<br />
Unterstützung für EFS.<br />
Verschlüsseln e<strong>in</strong>es Ordners mit EFS<br />
Mit EFS können Sie ausgewählte Dateien und Ordner verschlüsseln. Gehen Sie folgendermaßen<br />
vor, um EFS für e<strong>in</strong>en Ordner zu aktivieren:<br />
1. Klicken Sie im Startmenü auf Computer.<br />
Es wird e<strong>in</strong> <strong>W<strong>in</strong>dows</strong>-Explorer-Fenster geöffnet.<br />
2. Klicken Sie mit der rechten Maustaste auf den Ordner, den Sie verschlüsseln wollen, und<br />
wählen Sie den Befehl Eigenschaften. Wollen Sie beispielsweise das Profil e<strong>in</strong>es Benutzers<br />
verschlüsseln, können Sie C:\Users auswählen, mit der rechten Maustaste auf den<br />
gewünschten Profilordner klicken und den Befehl Eigenschaften wählen.<br />
3. Klicken Sie <strong>in</strong> der Registerkarte Allgeme<strong>in</strong> auf die Schaltfläche Erweitert.<br />
4. Aktivieren Sie im Dialogfeld Erweiterte Attribute das Kontrollkästchen Inhalt verschlüsseln,<br />
um Daten zu schützen.<br />
5. Klicken Sie zweimal auf OK.<br />
6. Übernehmen Sie im Dialogfeld Änderungen der Attribute bestätigen die Standarde<strong>in</strong>stellung,<br />
damit auch Unterordner verschlüsselt werden, und klicken Sie auf OK.<br />
H<strong>in</strong>weis Erkennen EFS-verschlüsselter Dateien und Ordner im <strong>W<strong>in</strong>dows</strong>-Explorer<br />
Im <strong>W<strong>in</strong>dows</strong>-Explorer werden EFS-verschlüsselte Dateien und Ordner <strong>in</strong> grüner Farbe<br />
angezeigt. Andere Benutzer können EFS-verschlüsselte Ordner weiterh<strong>in</strong> ansehen, s<strong>in</strong>d<br />
aber nicht <strong>in</strong> der Lage, auf EFS-verschlüsselte Dateien zuzugreifen.<br />
Während des Verschlüsselungsprozesses kann die Fehlermeldung ersche<strong>in</strong>en, dass e<strong>in</strong>e<br />
Datei (zum Beispiel NTUSER.dat, die Registrierungsstruktur des Benutzers) momentan<br />
verwendet wird. Damit die Benutzer ke<strong>in</strong>e Datei verschlüsseln, die gebraucht wird, um<br />
den Computer zu starten, können Sie ke<strong>in</strong>e Dateien verschlüsseln, die mit dem Attribut<br />
für Systemdateien markiert s<strong>in</strong>d. Verschlüsselte Dateien können nicht mit der NTFS-<br />
Komprimierung komprimiert werden.<br />
H<strong>in</strong>weis EFS-verschlüsselte Dateien können nicht <strong>in</strong>diziert werden<br />
EFS-verschlüsselte Dateien werden nicht <strong>in</strong>diziert und nicht <strong>in</strong> Suchergebnissen zurückgegeben.<br />
Sie können die Indizierung für e<strong>in</strong>ige verschlüsselte Dateien aktivieren, <strong>in</strong>dem<br />
Sie das Tool Indizierungsoptionen <strong>in</strong> der Systemsteuerung öffnen, auf Erweitert klicken<br />
und das Kontrollkästchen Verschlüsselte Dateien <strong>in</strong>dizieren aktivieren. Stattdessen können<br />
Sie auch die Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellung Indizieren verschlüsselter Dateien zulassen<br />
im Knoten Computerkonfiguration\Adm<strong>in</strong>istrative Vorlagen\<strong>W<strong>in</strong>dows</strong>-Komponenten\<br />
Suche aktivieren.
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 169<br />
Erstellen und Sichern von EFS-Zertifikaten<br />
EFS verwendet Zertifikate, um Daten zu ver- und entschlüsseln. Falls Sie e<strong>in</strong> EFS-Zertifikat<br />
verlieren, können Sie Ihre Dateien nicht mehr entschlüsseln. Daher ist es sehr wichtig, EFS-<br />
Zertifikate zu sichern.<br />
Die <strong>in</strong> <strong>W<strong>in</strong>dows</strong> <strong>in</strong>tegrierten Datensicherungstools sichern Ihre Zertifikate automatisch.<br />
Außerdem stellt <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>e Assistentenoberfläche zur Verfügung, <strong>in</strong> der Sie EFS-<br />
Zertifikate von Hand erstellen und sichern können. Gehen Sie dazu folgendermaßen vor:<br />
1. Klicken Sie im Startmenü auf Systemsteuerung.<br />
2. Klicken Sie auf den L<strong>in</strong>k Benutzerkonten und dann erneut auf Benutzerkonten.<br />
3. Klicken Sie im l<strong>in</strong>ken Fensterabschnitt auf den L<strong>in</strong>k Dateiverschlüsselungszertifikate<br />
verwalten.<br />
Der Assistent Verschlüsselndes Dateisystem wird geöffnet.<br />
4. Klicken Sie auf der Seite Verwalten Sie die Zertifikate zur Dateiverschlüsselung auf<br />
Weiter.<br />
5. Wählen Sie auf der Seite E<strong>in</strong> Dateiverschlüsselungszertifikat auswählen oder erstellen<br />
(Abbildung 4.11) die Option Dieses Zertifikat verwenden, sofern bereits e<strong>in</strong> EFS-Zertifikat<br />
vorhanden ist (<strong>W<strong>in</strong>dows</strong> 7 generiert automatisch e<strong>in</strong> Zertifikat, wenn e<strong>in</strong> Benutzer<br />
zum ersten Mal e<strong>in</strong>e Datei verschlüsselt) und Sie es sichern wollen. Wenn Sie e<strong>in</strong> anderes<br />
als das Standardzertifikat verwenden wollen, können Sie auf die Schaltfläche Zertifikat<br />
auswählen klicken. Wollen Sie von Hand e<strong>in</strong> Zertifikat generieren, müssen Sie die Option<br />
Neues Zertifikat erstellen auswählen.<br />
Abbildung 4.11 Im Assistenten Verschlüsselndes Dateisystem<br />
können Sie EFS-Zertifikate sichern
1<strong>70</strong> Kapitel 4: Sicherheit<br />
6. Wenn Sie e<strong>in</strong> neues Zertifikat erstellen, wird die Seite Welchen Zertifikattyp möchten Sie<br />
erstellen geöffnet. Wenn Sie e<strong>in</strong>e Smartcard verwenden wollen, um das Zertifikat zu<br />
speichern, können Sie Ihre Smartcard e<strong>in</strong>legen und die Option E<strong>in</strong> selbstsigniertes Zertifikat<br />
auf me<strong>in</strong>er Smartcard auswählen. Stellt Ihre Domäne e<strong>in</strong>e <strong>Unternehmen</strong>szertifizierungsstelle<br />
zur Verfügung, können Sie die Option E<strong>in</strong> Zertifikat, das von der Zertifizierungsstelle<br />
der Domäne ausgestellt wurde auswählen. Behalten Sie andernfalls die<br />
Standarde<strong>in</strong>stellung E<strong>in</strong> selbstsigniertes Zertifikat auf me<strong>in</strong>em Computer bei. Klicken<br />
Sie auf Weiter.<br />
7. Klicken Sie auf der Seite Schlüssel und Zertifikat sichern auf die Schaltfläche Durchsuchen,<br />
um e<strong>in</strong>en unverschlüsselten Ordner auszusuchen, <strong>in</strong> dem das Zertifikat gespeichert<br />
wird. Es ist am s<strong>in</strong>nvollsten, das Zertifikat auf e<strong>in</strong>en Wechseldatenträger zu schreiben,<br />
den Sie dann an e<strong>in</strong>em sicheren Ort verwahren. Geben Sie dann das Kennwort<br />
zweimal <strong>in</strong> die entsprechenden Textfelder e<strong>in</strong>. Klicken Sie auf Weiter.<br />
8. Wenn die Seite Bereits verschlüsselte Dateien aktualisieren angezeigt wird, bedeutet das,<br />
dass e<strong>in</strong>ige Dateien mit e<strong>in</strong>em anderen Schlüssel verschlüsselt wurden als dem, den Sie<br />
ausgewählt haben. Um künftige Probleme beim Entschlüsseln der Dateien zu vermeiden,<br />
sollten Sie die verschlüsselten Dateien immer aktualisieren. Aktivieren Sie das Kontrollkästchen<br />
Alle logischen Laufwerke und klicken Sie dann auf Weiter. Der Assistent Verschlüsselndes<br />
Dateisystem aktualisiert daraufh<strong>in</strong> die Schlüssel für alle verschlüsselten<br />
Dateien. Das kann e<strong>in</strong>ige M<strong>in</strong>uten bis e<strong>in</strong>ige Stunden dauern, je nachdem, wie viele<br />
Dateien aktualisiert werden müssen.<br />
Der Assistent Verschlüsselndes Dateisystem sichert Ihre Schlüssel und speichert sie <strong>in</strong><br />
der angegebenen Datei. Bewahren Sie diese Datei sicher auf.<br />
9. Klicken Sie auf der letzten Seite auf Schließen.<br />
Sie können e<strong>in</strong> EFS-Zertifikat wiederherstellen, <strong>in</strong>dem Sie es doppelt anklicken. Folgen Sie<br />
dann den Anweisungen des Zertifikatimport-Assistenten. E<strong>in</strong>e Schritt-für-Schritt-Anleitung<br />
f<strong>in</strong>den Sie <strong>in</strong> Übung 3 am Ende dieser Lektion.<br />
Statt über die Systemsteuerung können Sie EFS-Zertifikate auch im <strong>W<strong>in</strong>dows</strong>-Explorer<br />
sichern. Gehen Sie dazu folgendermaßen vor:<br />
1. Öffnen Sie den <strong>W<strong>in</strong>dows</strong>-Explorer und wählen Sie e<strong>in</strong>e Datei aus, die Sie verschlüsselt<br />
haben. Sie müssen dafür e<strong>in</strong>e Datei verwenden, ke<strong>in</strong>en Ordner.<br />
2. Klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie den Befehl Eigenschaften.<br />
3. Klicken Sie auf der Registerkarte Allgeme<strong>in</strong> auf Erweitert.<br />
4. Klicken Sie im Dialogfeld Erweiterte Attribute auf Details, um das Dialogfeld Benutzerzugriff<br />
zu öffnen.<br />
5. Wählen Sie Ihren Benutzernamen aus und klicken Sie auf Schlüssel sichern, um den<br />
Zertifikatexport-Assistenten zu öffnen.<br />
6. Klicken Sie auf Weiter, um das verwendete Dateiformat auszuwählen.<br />
7. Klicken Sie auf Weiter und geben Sie e<strong>in</strong> Kennwort e<strong>in</strong>, das den Schlüssel schützt.<br />
Wiederholen Sie die E<strong>in</strong>gabe und klicken Sie dann auf Weiter.<br />
8. Geben Sie e<strong>in</strong>en Pfad und Date<strong>in</strong>amen e<strong>in</strong>, unter dem die Datei gespeichert werden soll,<br />
oder suchen Sie e<strong>in</strong>en Pfad. Klicken Sie auf Weiter.
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 171<br />
9. Klicken Sie auf Fertig stellen, um das Zertifikat zu exportieren, und klicken Sie dann auf<br />
OK, wenn bestätigt wird, dass der Export erfolgreich war.<br />
Jeder, der Zugriff auf e<strong>in</strong> EFS-Zertifikat hat, kann die Dateien des entsprechenden Benutzers<br />
entschlüsseln. Daher ist sehr wichtig, dass Sie die gesicherte Zertifikatdatei an e<strong>in</strong>em sicheren<br />
Ort aufbewahren.<br />
Weiteren Benutzern Zugriff auf e<strong>in</strong>e EFS-verschlüsselte Datei gewähren<br />
In der Standarde<strong>in</strong>stellung kann ausschließlich der Benutzer, der e<strong>in</strong>e Datei verschlüsselt<br />
hat, darauf zugreifen. <strong>W<strong>in</strong>dows</strong> 7 (wie auch <strong>W<strong>in</strong>dows</strong> Vista, <strong>W<strong>in</strong>dows</strong> XP und <strong>W<strong>in</strong>dows</strong><br />
Server 2003, aber nicht Microsoft <strong>W<strong>in</strong>dows</strong> 2000) bieten Ihnen allerd<strong>in</strong>gs die Möglichkeit,<br />
mehr als e<strong>in</strong>em Benutzer Zugriff auf e<strong>in</strong>e EFS-verschlüsselte Datei zu gewähren. Das ist<br />
möglich, weil EFS die Dateien nicht mit dem persönlichen EFS-Schlüssel des Benutzers<br />
verschlüsselt. Vielmehr verschlüsselt EFS die Dateien mit e<strong>in</strong>em Dateiverschlüsselungsschlüssel<br />
(File Encryption Key, FEK) und verschlüsselt dann wiederum den FEK mit dem<br />
persönlichen EFS-Schlüssel des Benutzers. Daher werden für die Entschlüsselung zwei<br />
getrennte Schlüssel benötigt. Der FEK-Schlüssel kann aber für mehrere Benutzer jeweils<br />
anders verschlüsselt werden, sodass jeder dieser Benutzer auf se<strong>in</strong> verschlüsseltes Exemplar<br />
des FEK-Schlüssels zugreifen und die Dateien entschlüsseln kann.<br />
Gehen Sie folgendermaßen vor, um mehreren Benutzern e<strong>in</strong>es Computers Zugriff auf verschlüsselte<br />
Dateien zu gewähren:<br />
1. Klicken Sie im <strong>W<strong>in</strong>dows</strong>-Explorer mit der rechten Maustaste auf die Datei und wählen<br />
Sie den Befehl Eigenschaften.<br />
2. Klicken Sie auf der Registerkarte Allgeme<strong>in</strong> auf Erweitert.<br />
3. Klicken Sie im Dialogfeld Erweiterte Attribute auf die Schaltfläche Details.<br />
Das Dialogfeld Benutzerzugriff wird geöffnet. Es listet die Benutzer auf, die Zugriff auf<br />
die Datei haben, sowie die Benutzer, die als Wiederherstellungsagenten agieren können.<br />
4. Klicken Sie auf H<strong>in</strong>zufügen.<br />
Das Dialogfeld Verschlüsselndes Dateisystem wird geöffnet und zeigt e<strong>in</strong>e Liste der<br />
Benutzer an, die sich am lokalen Computer angemeldet haben und über e<strong>in</strong> EFS-Zertifikat<br />
verfügen. E<strong>in</strong> Domänenadm<strong>in</strong>istrator kann EFS-Zertifikate generieren, <strong>W<strong>in</strong>dows</strong> 7<br />
generiert aber auch automatisch e<strong>in</strong>es, sobald e<strong>in</strong> Benutzer zum ersten Mal e<strong>in</strong>e Datei<br />
verschlüsselt.<br />
5. Sie können e<strong>in</strong>en Domänenbenutzer, der sich nicht <strong>in</strong> der Liste bef<strong>in</strong>det, aber über e<strong>in</strong><br />
gültiges Verschlüsselungszertifikat verfügt, h<strong>in</strong>zufügen, <strong>in</strong>dem Sie auf die Schaltfläche<br />
Benutzer suchen klicken. Wenn EFS Sie <strong>in</strong>formiert, dass ke<strong>in</strong>e geeigneten Zertifikate für<br />
den ausgewählten Benutzer vorhanden s<strong>in</strong>d, wurde für den Benutzer noch ke<strong>in</strong> EFS-Zertifikat<br />
ausgestellt. Der Benutzer kann e<strong>in</strong>es generieren, <strong>in</strong>dem er e<strong>in</strong>e Datei verschlüsselt,<br />
oder e<strong>in</strong> Domänenadm<strong>in</strong>istrator kann e<strong>in</strong> EFS-Zertifikat an den Benutzer schicken.<br />
H<strong>in</strong>weis Zertifikate von Hand importieren<br />
Wenn e<strong>in</strong> Benutzer e<strong>in</strong> Zertifikat hat, Sie es aber nicht f<strong>in</strong>den, können Sie es auch von<br />
Hand importieren. Lassen Sie das Zertifikat erst vom Benutzer exportieren, wie im vorherigen<br />
Abschnitt beschrieben. Importieren Sie dann das Zertifikat, wie im nächsten<br />
Abschnitt beschrieben.
172 Kapitel 4: Sicherheit<br />
6. Wählen Sie den Benutzer aus, den Sie h<strong>in</strong>zufügen wollen, und klicken Sie dann auf OK.<br />
7. Wiederholen Sie die Schritte 4 bis 6, um weitere Benutzer h<strong>in</strong>zuzufügen. Klicken Sie<br />
dann dreimal auf OK.<br />
Sie können ke<strong>in</strong>e verschlüsselten Ordner mit mehreren Benutzern geme<strong>in</strong>sam verwenden,<br />
nur e<strong>in</strong>zelne Dateien. Sie können nicht e<strong>in</strong>mal mehrere verschlüsselte Dateien <strong>in</strong> e<strong>in</strong>er e<strong>in</strong>zigen<br />
Operation für die Verwendung durch andere Benutzer freigeben, das müssen Sie für<br />
jede e<strong>in</strong>zelne Datei erledigen. Sie können aber das Befehlszeilentool Cipher.exe verwenden,<br />
um diese Freigabe von Dateien zu automatisieren.<br />
Wenn Sie e<strong>in</strong>em Benutzer EFS-Zugriff auf e<strong>in</strong>e Datei gewähren, werden dabei nicht die<br />
NTFS-Berechtigungen überschrieben. Wenn e<strong>in</strong>em Benutzer daher die Dateiberechtigungen<br />
fehlen, um auf e<strong>in</strong>e Datei zuzugreifen, verh<strong>in</strong>dert <strong>W<strong>in</strong>dows</strong> 7, dass der Benutzer diese Datei<br />
verwenden kann.<br />
Alle Benutzer, die Zugriff auf e<strong>in</strong>e EFS-verschlüsselte Datei haben, können ihrerseits<br />
anderen Benutzern den Zugriff auf diese Datei gewähren.<br />
H<strong>in</strong>weis EFS hat ke<strong>in</strong>e Wirkung auf die Freigabe <strong>in</strong> e<strong>in</strong>em Netzwerk<br />
EFS hat ke<strong>in</strong>e Auswirkung, wenn Sie Dateien und Ordner über e<strong>in</strong> Netzwerk freigeben.<br />
Daher brauchen Sie den beschriebenen Schritten nur zu folgen, wenn Sie e<strong>in</strong>en Ordner mit<br />
anderen lokalen Benutzern auf demselben Computer geme<strong>in</strong>sam verwenden wollen.<br />
Importieren persönlicher Zertifikate<br />
Sie können verschlüsselte Dateien mit anderen Benutzern geme<strong>in</strong>sam verwenden, sofern Sie<br />
das Zertifikat dieser anderen Benutzer haben. Wenn Sie e<strong>in</strong>em anderen Benutzer erlauben<br />
wollen, auf e<strong>in</strong>e Datei zuzugreifen, die Sie verschlüsselt haben, müssen Sie das Zertifikat<br />
dieses Benutzers auf Ihren Computer importieren und se<strong>in</strong>en Namen zur Liste der Benutzer<br />
h<strong>in</strong>zufügen, denen der Zugriff auf die Datei gestattet ist (wie im vorherigen Abschnitt beschrieben).<br />
Gehen Sie folgendermaßen vor, um e<strong>in</strong> Benutzerzertifikat zu importieren:<br />
1. Geben Sie im Suchfeld des Startmenüs den Befehl mmc e<strong>in</strong> und drücken Sie die EIN-<br />
GABETASTE, um e<strong>in</strong>e leere MMC zu öffnen.<br />
2. Klicken Sie auf Datei und dann auf Snap-In h<strong>in</strong>zufügen/entfernen.<br />
3. Wählen Sie Zertifikate aus und klicken Sie auf H<strong>in</strong>zufügen. Wählen Sie die Option<br />
Eigenes Benutzerkonto aus und klicken Sie dann auf Fertig stellen. Klicken Sie auf OK,<br />
um das Dialogfeld Snap-Ins h<strong>in</strong>zufügen bzw. entfernen zu entfernen.<br />
4. Erweitern Sie den Knoten Zertifikate und wählen Sie Vertrauenswürdige Personen aus.<br />
5. Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Personen. Wählen Sie im<br />
Kontextmenü erst Alle Aufgaben und dann Importieren, um den Zertifikatimport-Assistenten<br />
zu öffnen.<br />
6. Klicken Sie auf Weiter und suchen Sie den Ordner des Zertifikats, das Sie importieren<br />
wollen.<br />
7. Wählen Sie das Zertifikat aus und klicken Sie auf Weiter.<br />
8. Geben Sie das Kennwort für das Zertifikat e<strong>in</strong> und klicken Sie auf Weiter.
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 173<br />
9. Klicken Sie auf Weiter, um das Zertifikat <strong>in</strong> den Speicher »Vertrauenswürdige Personen«<br />
zu legen.<br />
10. Klicken Sie auf Fertig stellen, um den Import abzuschließen.<br />
11. Klicken Sie <strong>in</strong> der Bestätigung, dass der Import erfolgreich war, auf OK. Schließen Sie<br />
die MMC.<br />
Jetzt können Sie diesem Benutzer den Zugriff auf EFS-verschlüsselte Dateien gewähren.<br />
Wiederherstellen e<strong>in</strong>er EFS-verschlüsselten Datei<br />
mit e<strong>in</strong>em Datenwiederherstellungs-Agenten<br />
EFS gewährt Datenwiederherstellungs-Agents (Data Recovery Agent, DRA) die Berechtigung,<br />
Dateien zu entschlüsseln, damit e<strong>in</strong> Adm<strong>in</strong>istrator verschlüsselte Dateien wiederherstellen<br />
kann, selbst wenn der Benutzer se<strong>in</strong>en EFS-Schlüssel verliert. In der Standarde<strong>in</strong>stellung<br />
konfigurieren Arbeitsgruppencomputer das lokale Adm<strong>in</strong>istratorkonto als DRA. In<br />
Domänenumgebungen konfigurieren Domänenadm<strong>in</strong>istratoren e<strong>in</strong> oder mehrere Benutzerkonten<br />
als DRAs für die gesamte Domäne.<br />
Weil DRA-Zertifikate nicht automatisch kopiert werden, wenn sich e<strong>in</strong> Adm<strong>in</strong>istrator an<br />
e<strong>in</strong>em Computer anmeldet, ist es e<strong>in</strong> wenig langwierig, das DRA-Zertifikat zu kopieren und<br />
e<strong>in</strong>e EFS-verschlüsselte Datei wiederherzustellen (es ist aber nicht schwierig). Gehen Sie<br />
folgendermaßen vor, um e<strong>in</strong>e EFS-verschlüsselte Datei wiederherzustellen:<br />
1. Zuerst müssen Sie e<strong>in</strong>e Kopie des DRA-Zertifikats beschaffen. In der Standarde<strong>in</strong>stellung<br />
ist sie im Adm<strong>in</strong>istratorkonto auf dem ersten Domänencontroller <strong>in</strong> der Domäne<br />
gespeichert. Melden Sie sich mit dem DRA-Konto am ersten Domänencontroller <strong>in</strong> der<br />
Domäne an.<br />
2. Klicken Sie im Startmenü auf Ausführen. Geben Sie mmc e<strong>in</strong> und drücken Sie die EIN-<br />
GABETASTE. Bestätigen Sie die UAC-E<strong>in</strong>gabeaufforderung, die daraufh<strong>in</strong> angezeigt<br />
wird.<br />
3. Klicken Sie auf Datei und dann auf Snap-In h<strong>in</strong>zufügen/entfernen.<br />
4. Klicken Sie auf H<strong>in</strong>zufügen.<br />
E<strong>in</strong>e Liste aller registrierten Snap-Ins auf dem aktuellen Computer wird angezeigt.<br />
5. Klicken Sie doppelt auf das Snap-In Zertifikate.<br />
6. Falls der Assistent Zertifikat-Snap-In ersche<strong>in</strong>t, müssen Sie die Option Eigenes Benutzerkonto<br />
auswählen und dann auf Fertig stellen klicken. Klicken Sie auf OK.<br />
Die Konsole zeigt jetzt das Snap-In Zertifikate an.<br />
7. Erweitern Sie die Knoten Zertifikate – Aktueller Benutzer und Eigene Zertifikate, und<br />
wählen Sie Zertifikate aus. Klicken Sie <strong>in</strong> der Detailansicht mit der rechten Maustaste<br />
auf das Domänen-DRA-Zertifikat, dann auf Alle Aufgaben und auf Exportieren (Abbildung<br />
4.12). In der Standarde<strong>in</strong>stellung ist dies das Adm<strong>in</strong>istratorzertifikat, das auch vom<br />
Adm<strong>in</strong>istrator signiert wurde. Als beabsichtigter Zweck ist die Dateiwiederherstellung<br />
e<strong>in</strong>getragen.
174 Kapitel 4: Sicherheit<br />
Abbildung 4.12 Exportieren e<strong>in</strong>es Zertifikats für die EFS-Wiederherstellung<br />
8. Klicken Sie im Zertifikatexport-Assistenten auf Weiter.<br />
9. Wählen Sie auf der Seite Privaten Schlüssel exportieren die Option Ja, privaten Schlüssel<br />
exportieren aus und klicken Sie auf Weiter.<br />
10. Übernehmen Sie auf der Seite Exportdateiformat die <strong>in</strong> Abbildung 4.13 gezeigten Standarde<strong>in</strong>stellungen<br />
und klicken Sie auf Weiter. Aus Sicherheitsgründen sollten Sie das<br />
Kontrollkästchen Privaten Schlüssel nach erfolgreichem Export löschen aktivieren, den<br />
privaten Schlüssel auf e<strong>in</strong>em Wechseldatenträger abspeichern und den Datenträger an<br />
e<strong>in</strong>em sicheren Ort aufbewahren. Dann können Sie diesen Wechseldatenträger verwenden,<br />
wenn Sie e<strong>in</strong>e EFS-verschlüsselte Datei wiederherstellen müssen.<br />
Abbildung 4.13 Verwenden des .pfx-Dateiformats für den DRA-Wiederherstellungsschlüssel
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 175<br />
11. Geben Sie auf der Seite Kennwort zweimal das Wiederherstellungskennwort e<strong>in</strong>. Klicken<br />
Sie auf Weiter.<br />
12. Geben Sie auf der Seite Exportdatei den Namen e<strong>in</strong>er Datei auf e<strong>in</strong>em Wechseldatenträger<br />
e<strong>in</strong>, <strong>in</strong> der das kennwortgeschützte Zertifikat gespeichert wird. Klicken Sie auf<br />
Weiter.<br />
13. Klicken Sie auf der Seite Fertigstellen des Assistenten des Zertifikatexport-Assistenten<br />
auf Fertig stellen. Klicken Sie zuletzt auf OK.<br />
Jetzt ist alles bereit, um den DRA-Schlüssel auf dem Clientcomputer zu importieren, auf<br />
dem Sie e<strong>in</strong>e Wiederherstellung durchführen wollen. Melden Sie sich am Clientcomputer an<br />
und gehen Sie folgendermaßen vor:<br />
1. Klicken Sie im Startmenü auf Ausführen. Geben Sie mmc e<strong>in</strong> und drücken Sie die<br />
EINGABETASTE.<br />
2. Klicken Sie auf Datei und dann auf Snap-In h<strong>in</strong>zufügen/entfernen. Bestätigen Sie die<br />
UAC-E<strong>in</strong>gabeaufforderung, die daraufh<strong>in</strong> angezeigt wird.<br />
3. Klicken Sie auf H<strong>in</strong>zufügen.<br />
E<strong>in</strong>e Liste aller registrierten Snap-Ins auf dem aktuellen Computer wird angezeigt.<br />
4. Klicken Sie doppelt auf das Snap-In Zertifikate.<br />
5. Wählen Sie im Assistenten Zertifikat-Snap-In die Option Eigenes Benutzerkonto aus und<br />
klicken Sie auf Fertig stellen. Klicken Sie auf OK.<br />
Die Konsole zeigt nun das Snap-In Zertifikate an.<br />
6. Erweitern Sie die Knoten Zertifikate – Aktueller Benutzer und Eigene Zertifikate, klicken<br />
Sie mit der rechten Maustaste auf Zertifikate und wählen Sie den Befehl Importieren.<br />
7. Klicken Sie im Zertifikatimport-Assistenten auf Weiter.<br />
8. Klicken Sie auf der Seite Zu importierende Datei auf Durchsuchen. Klicken Sie im Dialogfeld<br />
Öffnen <strong>in</strong> die Dropdownliste für die Dateitypen (über der Schaltfläche Öffnen)<br />
und wählen Sie den E<strong>in</strong>trag Privater Informationsaustausch aus. Wählen Sie dann die<br />
DRA-Schlüsseldatei aus und klicken Sie auf Öffnen. Klicken Sie auf Weiter.<br />
9. Geben Sie auf der Seite Kennwort das Kennwort e<strong>in</strong>, mit dem Sie den DRA-Schlüssel<br />
geschützt haben. Klicken Sie auf Weiter.<br />
10. Behalten Sie auf der Seite Zertifikatspeicher die Standardauswahl bei, damit das Zertifikat<br />
im Speicher »Eigene Zertifikate« gespeichert wird. Klicken Sie auf Weiter.<br />
11. Klicken Sie auf Fertig stellen und dann auf OK.<br />
Nun können Sie die Dateien öffnen oder entschlüsseln, genau so, als wären Sie als autorisierter<br />
Benutzer h<strong>in</strong>zugefügt worden. Sie können die Dateien entschlüsseln, <strong>in</strong>dem Sie das<br />
Eigenschaftendialogfeld der Datei oder des Ordners öffnen und das Kontrollkästchen Inhalt<br />
verschlüsseln, um Daten zu schützen deaktivieren. Wenn Sie zweimal auf OK geklickt haben,<br />
entschlüsselt <strong>W<strong>in</strong>dows</strong> die Dateien mit dem DRA-Schlüssel. Jetzt liegen die Dateien unverschlüsselt<br />
vor. Der Benutzer, dem diese Dateien gehören, sollte sie unverzüglich neu verschlüsseln.
176 Kapitel 4: Sicherheit<br />
BitLocker<br />
Tipp Entschlüsseln wiederhergestellter Dateien<br />
Wenn Sie das <strong>W<strong>in</strong>dows</strong>-Sicherungsprogramm verwenden, bleiben Dateien, die von Sicherungsmedien<br />
wiederhergestellt wurden, mit EFS verschlüsselt. Sie können sie entschlüsseln,<br />
<strong>in</strong>dem Sie die Dateien auf e<strong>in</strong>em Computer wiederherstellen und dann den DRA bitten, sich<br />
auf diesem Computer anzumelden.<br />
Sobald Sie die Dateien wiederhergestellt haben, sollten Sie alle Kopien Ihres DRA-Schlüssels<br />
entfernen. Weil der DRA alle Dateien <strong>in</strong> Ihrer Domäne entschlüsseln kann, ist es wichtig,<br />
dass ke<strong>in</strong>esfalls e<strong>in</strong>e Schlüsselkopie auf dem Computer e<strong>in</strong>es Benutzers verbleibt.<br />
NTFS-Dateiberechtigungen stellen die Zugriffssteuerung bereit, während das Betriebssystem<br />
läuft. EFS ergänzt NTFS-Dateiberechtigungen mithilfe von Verschlüsselung, sodass die<br />
Zugriffssteuerung sogar wirksam ist, falls e<strong>in</strong> Angreifer das Betriebssystem umgeht (<strong>in</strong>dem<br />
er zum Beispiel den Computer von e<strong>in</strong>er startfähigen DVD startet). Die BitLocker-Laufwerkverschlüsselung<br />
arbeitet wie EFS mit Verschlüsselung. Aber BitLocker unterscheidet<br />
sich <strong>in</strong> wichtigen Punkten von EFS:<br />
BitLocker verschlüsselt gesamte Volumes, beispielsweise das Systemvolume, mit allen<br />
Benutzer- und Systemdateien. EFS kann ke<strong>in</strong>e Systemdateien verschlüsseln.<br />
BitLocker schützt den Computer beim Systemstart, noch bevor das Betriebssystem startet.<br />
Sobald das Betriebssystem gestartet wurde, arbeitet BitLocker völlig transparent.<br />
BitLocker bietet computerspezifische Verschlüsselung, ke<strong>in</strong>e benutzerspezifische Verschlüsselung.<br />
Daher brauchen Sie zusätzlich EFS, wenn Sie vertrauliche Dateien vor<br />
anderen gültigen Benutzern schützen wollen.<br />
BitLocker kann die Integrität des Betriebssystems schützen. Es hilft, Rootkits und Offl<strong>in</strong>eangriffe<br />
abzuwehren, die Systemdateien manipulieren.<br />
H<strong>in</strong>weis Editionen von <strong>W<strong>in</strong>dows</strong> 7, die BitLocker enthalten<br />
BitLocker ist e<strong>in</strong> Feature von <strong>W<strong>in</strong>dows</strong> 7 Enterprise und <strong>W<strong>in</strong>dows</strong> 7 Ultimate. In anderen<br />
Editionen von <strong>W<strong>in</strong>dows</strong> 7 wird es nicht unterstützt.<br />
Auf älteren <strong>W<strong>in</strong>dows</strong>-Versionen mussten Adm<strong>in</strong>istratoren die BitLocker-Partitionen von<br />
Hand konfigurieren. In <strong>W<strong>in</strong>dows</strong> 7 konfiguriert das Setup die Partitionen automatisch so,<br />
dass sie zu BitLocker kompatibel s<strong>in</strong>d.<br />
Verwenden von BitLocker mit TPM-Hardware<br />
Steht e<strong>in</strong> TPM 1.2-Chip (Trusted Platform Module) zur Verfügung (was auf e<strong>in</strong>igen neueren<br />
Computermodellen der Fall ist), versiegelt BitLocker den symmetrischen Verschlüsselungsschlüssel<br />
<strong>in</strong> diesem Chip. Hat der Computer ke<strong>in</strong>en TPM-Chip, speichert BitLocker den<br />
Verschlüsselungsschlüssel auf e<strong>in</strong>em USB-Flashlaufwerk, das jedes Mal, wenn der Computer<br />
startet oder aus dem Ruhezustand aufwacht, e<strong>in</strong>gesteckt werden muss.<br />
Bei vielen Computern, die mit TPM ausgerüstet s<strong>in</strong>d, ist der TPM-Chip im BIOS (Basic<br />
Input/Output System) deaktiviert. Bevor Sie TPM verwenden können, müssen Sie <strong>in</strong> e<strong>in</strong>em
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 177<br />
solchen Fall die BIOS-E<strong>in</strong>stellungen des Computers öffnen und dar<strong>in</strong> TPM aktivieren. Sobald<br />
Sie den TPM-Chip aktiviert haben, führt BitLocker die TPM-Initialisierung automatisch<br />
durch. Damit Sie TPM-Chips von Hand <strong>in</strong>itialisieren und auf Betriebssystemebene an- und<br />
ausschalten können, stellt <strong>W<strong>in</strong>dows</strong> 7 das Snap-In TPM-Verwaltung zur Verfügung (Abbildung<br />
4.14). Sie können es benutzen, <strong>in</strong>dem Sie e<strong>in</strong> leeres MMC-Fenster öffnen und dieses<br />
Snap-In h<strong>in</strong>zufügen.<br />
Abbildung 4.14 Im Snap-In TPM-Verwaltung können Sie e<strong>in</strong> TPM von Hand <strong>in</strong>itialisieren<br />
H<strong>in</strong>weis BitLocker <strong>in</strong>itialisiert e<strong>in</strong> TPM automatisch<br />
Weil BitLocker die TPM-Initialisierung für Sie erledigt, wird das Snap-In TPM-Verwaltung<br />
<strong>in</strong> diesem Buch nicht weiter behandelt.<br />
BitLocker stellt auf Computern mit TPM-Hardware unterschiedliche Modi zur Verfügung:<br />
Nur TPM Dieser Modus ist für den Benutzer transparent, die Benutzeranmeldung<br />
sieht genauso aus wie vor der Aktivierung von BitLocker. Beim Start kommuniziert Bit-<br />
Locker mit der TPM-Hardware, um die Integrität des Computers und des Betriebssystems<br />
zu überprüfen. Falls das TPM fehlt oder geändert wurde, die Festplatte <strong>in</strong> e<strong>in</strong>en<br />
anderen Computer e<strong>in</strong>gebaut oder wichtige Startdateien geändert wurden, geht BitLocker<br />
<strong>in</strong> den Wiederherstellungsmodus. Im Wiederherstellungsmodus muss der Benutzer e<strong>in</strong>en<br />
40 Stellen langen Wiederherstellungsschlüssel e<strong>in</strong>geben oder e<strong>in</strong> USB-Flashlaufwerk<br />
mit e<strong>in</strong>em darauf gespeicherten Wiederherstellungsschlüssel e<strong>in</strong>stecken, um Zugriff auf<br />
die Daten zu bekommen. Der Nur-TPM-Modus bietet Schutz gegen Festplattendiebstahl,<br />
ohne dass die Benutzer speziell geschult werden müssen.<br />
TPM mit externem Schlüssel In diesem Modus führt BitLocker dieselben Integritätsprüfungen<br />
wie im Nur-TPM-Modus durch, der Benutzer muss aber e<strong>in</strong>en externen<br />
Schlüssel bereitstellen, um <strong>W<strong>in</strong>dows</strong> starten zu können. (Der externe Schlüssel ist üblicherweise<br />
e<strong>in</strong> USB-Flashlaufwerk, auf dem e<strong>in</strong> Zertifikat gespeichert ist). Dies bietet<br />
Schutz gegen Festplattendiebstahl und den Diebstahl des gesamten Computers (sofern<br />
der Computer heruntergefahren oder gesperrt war). Für den Benutzer ist aber e<strong>in</strong> gewisser<br />
Aufwand erforderlich.
178 Kapitel 4: Sicherheit<br />
TPM mit PIN In diesem Modus muss der Benutzer e<strong>in</strong>e PIN e<strong>in</strong>geben, um <strong>W<strong>in</strong>dows</strong><br />
zu starten.<br />
TPM mit PIN und externem Schlüssel In diesem Modus muss der Benutzer e<strong>in</strong>en<br />
externen Schlüssel bereitstellen und e<strong>in</strong>e PIN e<strong>in</strong>geben.<br />
Wenn TPM-Hardware zur Verfügung steht, überprüft BitLocker die Integrität des Computers<br />
und des Betriebssystems, <strong>in</strong>dem es »Messwerte« für verschiedene Teile des Computers und<br />
Betriebssystems im TPM-Chip speichert. In se<strong>in</strong>er Standardkonfiguration weist BitLocker<br />
das TPM an, den Master Boot Record, die aktive Startpartition, den Startsektor, den <strong>W<strong>in</strong>dows</strong>-Start-Manager<br />
und den BitLocker-Speicherungsstammschlüssel zu messen. Jedes Mal,<br />
wenn der Computer gestartet wird, berechnet das TPM den SHA-1-Hash des gemessenen<br />
Codes und vergleicht ihn mit dem Hashwert, der beim letzten Start im TPM gespeichert<br />
wurde. Stimmen die Hashwerte übere<strong>in</strong>, wird der Startprozess fortgesetzt. Stimmen die<br />
Hashwerte nicht übere<strong>in</strong>, wird der Startprozess angehalten. Am Ende e<strong>in</strong>es erfolgreichen<br />
Startprozesses gibt das TPM den Speicherungsstammschlüssel (engl. storage root key) für<br />
BitLocker frei. BitLocker entschlüsselt die Daten, während <strong>W<strong>in</strong>dows</strong> sie vom geschützten<br />
Volume liest. Weil ke<strong>in</strong> anderes Betriebssystem dies tun kann (nicht e<strong>in</strong>mal e<strong>in</strong>e andere<br />
Instanz von <strong>W<strong>in</strong>dows</strong> 7), gibt das TPM niemals den Schlüssel heraus. Das Volume bleibt<br />
daher verschlüsselt und für Angreifer völlig nutzlos. Jeder Versuch, das geschützte Volume<br />
zu manipulieren, bewirkt, dass es nicht mehr startfähig ist.<br />
Aktivieren von BitLocker auf Computern ohne TPM<br />
Ist ke<strong>in</strong>e TPM-Hardware verfügbar, kann BitLocker Entschlüsselungsschlüssel statt <strong>in</strong> e<strong>in</strong>em<br />
e<strong>in</strong>gebauten TPM-Modul auch auf e<strong>in</strong>em USB-Flashlaufwerk speichern. Es ist allerd<strong>in</strong>gs<br />
gefährlich, BitLocker <strong>in</strong> dieser Konfiguration zu betreiben. Falls der Benutzer das USB-<br />
Flashlaufwerk verliert, kann auf das verschlüsselte Volume nicht mehr zugegriffen werden<br />
und der Computer kann ohne den Wiederherstellungsschlüssel nicht starten. <strong>W<strong>in</strong>dows</strong> 7<br />
stellt diese Option daher nicht standardmäßig zur Verfügung.<br />
Wenn Sie die BitLocker-Verschlüsselung auf e<strong>in</strong>em Computer ohne kompatibles TPM benutzen<br />
wollen, müssen Sie e<strong>in</strong>e E<strong>in</strong>stellung <strong>in</strong> den Computergruppenrichtl<strong>in</strong>ien ändern.<br />
Gehen Sie dazu folgendermaßen vor:<br />
1. Öffnen Sie den Gruppenrichtl<strong>in</strong>ienverwaltungs-Editor, <strong>in</strong>dem Sie im Startmenü<br />
gpedit.msc e<strong>in</strong>geben und die EINGABETASTE drücken. Bestätigen Sie die UAC-<br />
E<strong>in</strong>gabeaufforderung, die daraufh<strong>in</strong> angezeigt wird.<br />
2. Erweitern Sie die Knoten Computerkonfiguration, Adm<strong>in</strong>istrative Vorlagen, <strong>W<strong>in</strong>dows</strong>-<br />
Komponenten, BitLocker-Laufwerkverschlüsselung und wählen Sie den Knoten Betriebssystemlaufwerke<br />
aus.<br />
3. Aktivieren Sie die Richtl<strong>in</strong>ie Zusätzliche Authentifizierung beim Start erforderlich und<br />
aktivieren Sie das Kontrollkästchen BitLocker ohne kompatibles TPM zulassen. Klicken<br />
Sie auf OK.<br />
Wenn Sie BitLocker <strong>in</strong> e<strong>in</strong>em Großunternehmen bereitstellen und dabei statt TPM USB-<br />
Flashlaufwerke e<strong>in</strong>setzen wollen, sollten Sie diese E<strong>in</strong>stellung <strong>in</strong> e<strong>in</strong>er Domänen-Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellung<br />
vornehmen.
Aktivieren der BitLocker-Verschlüsselung<br />
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 179<br />
E<strong>in</strong>zelne Benutzer können BitLocker <strong>in</strong> der Systemsteuerung aktivieren, aber die meisten<br />
<strong>Unternehmen</strong> sollten Schlüssel mithilfe von AD DS verwalten.<br />
Weitere Informationen AD DS so konfigurieren, dass BitLocker gesichert wird<br />
E<strong>in</strong>e ausführliche Anleitung, wie Sie AD DS so konfigurieren, dass BitLocker- und TPM-<br />
Wiederherstellungs<strong>in</strong>formationen gesichert werden, f<strong>in</strong>den Sie <strong>in</strong> »Configur<strong>in</strong>g AD DS to<br />
Back up <strong>W<strong>in</strong>dows</strong> BitLocker Drive Encryption and Trusted Platform Module Recovery<br />
Information« unter der Adresse http://go.microsoft.com/fwl<strong>in</strong>k/?L<strong>in</strong>kId=78953.<br />
Gehen Sie folgendermaßen vor, um BitLocker über die Systemsteuerung zu aktivieren:<br />
1. Führen Sie e<strong>in</strong>e vollständige Datensicherung des Computers durch. Überprüfen Sie dann<br />
die Integrität der BitLocker-Partition, <strong>in</strong>dem Sie ChkDsk ausführen.<br />
2. Öffnen Sie die Systemsteuerung. Klicken Sie auf den L<strong>in</strong>k System und Sicherheit. Klicken<br />
Sie unter BitLocker-Laufwerkverschlüsselung auf den L<strong>in</strong>k Computer durch Verschlüsseln<br />
von Daten auf dem Datenträger schützen.<br />
3. Klicken Sie auf der Seite BitLocker-Laufwerkverschlüsselung auf BitLocker aktivieren.<br />
4. Klicken Sie auf der Seite Setup der BitLocker-Laufwerkverschlüsselung auf Weiter.<br />
5. Klicken Sie auf Weiter, falls die Seite Laufwerk für BitLocker vorbereiten angezeigt<br />
wird. Starten Sie den Computer neu, sofern Sie dazu aufgefordert werden.<br />
6. Klicken Sie auf Weiter, falls die Seite TPM-Sicherheitshardware aktivieren angezeigt<br />
wird. Klicken Sie anschließend auf Neu starten.<br />
Abbildung 4.15 Systemstarte<strong>in</strong>stellungen <strong>in</strong> BitLocker<br />
7. Wenn es sich bei dem Volume um das Systemvolume handelt und diese Möglichkeit<br />
nicht durch e<strong>in</strong>e Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellung verboten ist, können Sie nun im Dialogfeld<br />
BitLocker-Systemstarte<strong>in</strong>stellungen festlegen (Abbildung 4.15) die gewünschte
180 Kapitel 4: Sicherheit<br />
Authentifizierungsmethode wählen. Welche Optionen hier zur Verfügung stehen, hängt<br />
davon ab, ob der Computer e<strong>in</strong>en TPM-Chip e<strong>in</strong>gebaut hat.<br />
Es stehen folgende Möglichkeiten zur Auswahl:<br />
BitLocker ohne zusätzliche Schlüssel verwenden Die Integrität des Betriebssystems<br />
wird bei jedem Systemstart mit dem TPM überprüft. Bei dieser Option wird der<br />
Benutzer während des Systemstarts nicht aufgefordert, etwas e<strong>in</strong>zugeben. Der Schutz<br />
funktioniert völlig transparent.<br />
Bei jedem Start PIN anfordern Die Integrität des Betriebssystems wird bei jedem<br />
Systemstart mit dem TPM überprüft, und der Benutzer muss e<strong>in</strong>e PIN e<strong>in</strong>geben,<br />
damit se<strong>in</strong>e Identität überprüft wird. Diese Option bietet zusätzlichen Schutz, kann<br />
aber für den Benutzer unbequem se<strong>in</strong>. Wenn Sie e<strong>in</strong>e PIN verwenden, öffnet sich die<br />
Seite Systemstart-PIN e<strong>in</strong>geben. Geben Sie dort Ihre PIN e<strong>in</strong> und klicken Sie auf<br />
PIN festlegen.<br />
Bei jedem Start Systemstartschlüssel anfordern Es wird ke<strong>in</strong>e TPM-Hardware<br />
benötigt. Bei dieser Option muss der Benutzer beim Systemstart e<strong>in</strong>en USB-Stick<br />
anschließen, der den Entschlüsselungsschlüssel enthält. Stattdessen können die Benutzer<br />
auch e<strong>in</strong>en Wiederherstellungsschlüssel e<strong>in</strong>geben, um Zugriff auf die verschlüsselte<br />
Systempartition zu bekommen. Wenn Sie e<strong>in</strong>en USB-Stick verwenden<br />
wollen, wird die Seite Systemstartschlüssel speichern geöffnet. Wählen Sie den<br />
Systemstartschlüssel aus und klicken Sie dann auf Speichern.<br />
H<strong>in</strong>weis Verwenden e<strong>in</strong>er Komb<strong>in</strong>ation aus USB-Stick und PIN<br />
Sie können im BitLocker-Assistenten wählen, ob Sie entweder e<strong>in</strong>e PIN oder e<strong>in</strong>en<br />
USB-Stick mit Systemstartschlüssel verwenden wollen. Wollen Sie die beiden Methoden<br />
komb<strong>in</strong>ieren, müssen Sie das Befehlszeilentool Manage-bde verwenden. Führen Sie<br />
beispielsweise den Befehl manage-bde -protectors -add C: -TPMAndPINAndStartupKey -tsk E:<br />
aus, um das Laufwerk C:\ durch e<strong>in</strong>e PIN und e<strong>in</strong>en Startschlüssel zu schützen, der auf<br />
dem Laufwerk E:\ liegt.<br />
8. Wählen Sie auf der Seite Wiederherstellungskennwort speichern das Ziel aus (e<strong>in</strong> USB-<br />
Laufwerk, e<strong>in</strong>en lokalen oder Remoteordner oder e<strong>in</strong>en Drucker), <strong>in</strong> dem Sie Ihr Wiederherstellungskennwort<br />
speichern wollen. Das Wiederherstellungskennwort ist e<strong>in</strong>e<br />
kle<strong>in</strong>e Textdatei mit e<strong>in</strong>er knappen Anleitung, e<strong>in</strong>er Laufwerksbezeichnung, der Kennwort-ID<br />
und dem 48-stelligen Wiederherstellungskennwort. Speichern Sie das Kennwort<br />
und den Wiederherstellungsschlüssel auf unterschiedlichen Geräten und bewahren Sie<br />
sie an getrennten Orten auf. Klicken Sie auf Weiter.<br />
9. Aktivieren Sie auf der Seite Volume verschlüsseln das Kontrollkästchen Bitlocker-Systemüberprüfung<br />
ausführen und klicken Sie auf Fortsetzen, wenn Sie mit der Verschlüsselung<br />
beg<strong>in</strong>nen wollen. Klicken Sie auf Jetzt neu starten. Beim Neustart stellt BitLocker<br />
sicher, dass der Computer vollständig kompatibel ist und alles für die Verschlüsselung<br />
bereit ist.<br />
10. BitLocker zeigt e<strong>in</strong>en speziellen Bildschirm an, auf dem bestätigt wird, dass der Schlüssel<br />
geladen wurde. Nachdem dies bestätigt wurde, beg<strong>in</strong>nt BitLocker damit, das Laufwerk<br />
C zu verschlüsseln, sobald <strong>W<strong>in</strong>dows</strong> 7 gestartet wurde. Damit ist BitLocker aktiviert.
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 181<br />
BitLocker verschlüsselt das Laufwerk im H<strong>in</strong>tergrund, sodass Sie mit dem Computer weiterarbeiten<br />
können.<br />
Verwalten von BitLocker-Schlüsseln auf e<strong>in</strong>em lokalen Computer<br />
Gehen Sie folgendermaßen vor, um Schlüssel auf dem lokalen Computer zu verwalten:<br />
1. Öffnen Sie die Systemsteuerung und klicken Sie auf den L<strong>in</strong>k System und Sicherheit.<br />
Klicken Sie unter BitLocker-Laufwerkverschlüsselung auf den L<strong>in</strong>k BitLocker-Schlüssel<br />
verwalten.<br />
2. Klicken Sie im Fenster BitLocker-Laufwerkverschlüsselung auf BitLocker-Schlüssel<br />
verwalten.<br />
Mit diesem Tool können Sie folgende Aktionen ausführen (abhängig vom ausgewählten<br />
Authentifizierungstyp):<br />
Wiederherstellungsschlüssel erneut speichern oder drucken Hier stehen folgende<br />
Optionen zur Verfügung:<br />
Wiederherstellungsschlüssel auf e<strong>in</strong>em USB-Flashlaufwerk speichern<br />
Wiederherstellungsschlüssel <strong>in</strong> Datei speichern<br />
Wiederherstellungsschlüssel drucken<br />
Systemstartschlüssel kopieren Wenn Sie e<strong>in</strong>en USB-Systemstartschlüssel für die<br />
Authentifizierung verwenden, können Sie hier e<strong>in</strong>en zweiten USB-Systemstartschlüssel<br />
mit demselben Schlüssel anlegen.<br />
PIN zurücksetzen Wenn Sie e<strong>in</strong>e PIN für die Authentifizierung verwenden, können<br />
Sie hier die PIN ändern.<br />
Mit dem Tool Manage-bde können Sie BitLocker <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung mit erhöhten<br />
Rechten oder von e<strong>in</strong>em Remotecomputer aus verwalten. Dieses Tool ersetzt das Skript<br />
Manage-bde.wsf aus <strong>W<strong>in</strong>dows</strong> Vista. Zum Beispiel zeigt der Befehl manage-bde -status die<br />
aktuelle BitLocker-Konfiguration an. Das folgende Beispiel zeigt, wie Sie e<strong>in</strong>en Computer<br />
mit e<strong>in</strong>em unverschlüsselten Datenlaufwerk und e<strong>in</strong>em verschlüsselten Systemlaufwerk<br />
konfigurieren:<br />
manage-bde -status<br />
BitLocker-Laufwerkverschlüsselung: Konfigurationstoolversion 6.1.7600<br />
Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten.<br />
Datenträgervolumes, die mit BitLocker-Laufwerkverschlüsselung<br />
geschützt werden können:<br />
Volume "E:" [Flash]<br />
[Datenvolume]<br />
Größe: 0,12 GB<br />
BitLocker-Version: None<br />
Konvertierungsstatus: Vollständig entschlüsselt<br />
Verschlüsselt (Prozent): 0 %<br />
Verschlüsselungsmethode: Ke<strong>in</strong><br />
Schutzstatus: Der Schutz ist deaktiviert.<br />
Sperrungsstatus: Entsperrt<br />
ID-Feld: Ke<strong>in</strong><br />
Schlüsselschutzvorrichtungen: Ke<strong>in</strong>e gefunden
182 Kapitel 4: Sicherheit<br />
Volume "C:" []<br />
[Betriebssystemvolume]<br />
Größe: 126,90 GB<br />
BitLocker-Version: <strong>W<strong>in</strong>dows</strong> 7<br />
Konvertierungsstatus: Vollständig verschlüsselt<br />
Verschlüsselt (Prozent): 100 %<br />
Verschlüsselungsmethode: AES 128 mit Diffuser<br />
Schutzstatus: Der Schutz ist aktiviert<br />
Sperrungsstatus: Entsperrt<br />
ID-Feld: Ke<strong>in</strong><br />
Schlüsselschutzvorrichtungen:<br />
Externer Schlüssel<br />
Numerisches Kennwort<br />
Ausführliche Informationen über die Benutzung von Manage-bde erhalten Sie, <strong>in</strong>dem Sie <strong>in</strong><br />
e<strong>in</strong>er E<strong>in</strong>gabeaufforderung den Befehl manage-bde -? ausführen.<br />
Wiederherstellen von Daten, die mit BitLocker geschützt werden<br />
Wenn Sie BitLocker e<strong>in</strong>setzen, um die Systempartition zu schützen, wird diese Partition<br />
gesperrt, falls der Verschlüsselungsschlüssel nicht verfügbar ist. Daraufh<strong>in</strong> wechselt Bit-<br />
Locker <strong>in</strong> den Wiederherstellungsmodus. E<strong>in</strong>ige Gründe, warum der Verschlüsselungsschlüssel<br />
möglicherweise nicht verfügbar ist:<br />
E<strong>in</strong>e der Startdateien wurde verändert.<br />
Das BIOS wurde geändert und das TPM deaktiviert.<br />
Das TPM wurde gelöscht.<br />
Es wurde versucht, ohne TPM, PIN oder USB-Stick zu starten.<br />
Das BitLocker-verschlüsselte Laufwerk wurde <strong>in</strong> e<strong>in</strong>en neuen Computer e<strong>in</strong>gebaut.<br />
Abbildung 4.16 Sie erhalten Zugriff auf e<strong>in</strong> BitLocker-verschlüsseltes Laufwerk,<br />
<strong>in</strong>dem Sie e<strong>in</strong> 48-stelliges Wiederherstellungskennwort e<strong>in</strong>geben
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 183<br />
Wenn das Laufwerk gesperrt wurde, können Sie nur im Wiederherstellungsmodus starten<br />
(Abbildung 4.16). Auf den meisten Tastaturen können Sie die normalen Zifferntasten 0 bis 9<br />
verwenden. Auf manchen Tastaturbelegungen müssen Sie allerd<strong>in</strong>gs die Funktionstasten<br />
verwenden, also F1 für die Ziffer 1 drücken, F2 für die Ziffer 2 und so weiter bis F10 für<br />
die Ziffer 0.<br />
Wenn Sie den Wiederherstellungsschlüssel auf e<strong>in</strong>em USB-Flashlaufwerk gespeichert haben,<br />
können Sie ihn e<strong>in</strong>legen und die ESC-Taste drücken, um den Computer neu zu starten. Bit-<br />
Locker liest den Wiederherstellungsschlüssel automatisch beim Systemstart.<br />
Falls Sie die Wiederherstellung abbrechen, zeigt der <strong>W<strong>in</strong>dows</strong>-Start-Manager e<strong>in</strong>e Anleitung<br />
an, wie Sie e<strong>in</strong> Startproblem mit der Systemstartreparatur automatisch beseitigen können.<br />
Folgen Sie nicht diesen Anleitungen, die Systemstartreparatur kann nicht auf das verschlüsselte<br />
Volume zugreifen. Starten Sie stattdessen den Computer neu und geben Sie den Wiederherstellungsschlüssel<br />
e<strong>in</strong>.<br />
Als letzten Ausweg können Sie das BitLocker-Reparaturtool (Repair-bde) verwenden, um<br />
Daten von e<strong>in</strong>em verschlüsselten Volume wiederherzustellen. In älteren <strong>W<strong>in</strong>dows</strong>-Versionen<br />
musste das BitLocker-Reparaturtool separat heruntergeladen werden, <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 und<br />
<strong>W<strong>in</strong>dows</strong> Server 2008 R2 ist es dagegen schon enthalten.<br />
Mit dem BitLocker-Reparaturtool können Sie den entschlüsselten Inhalt e<strong>in</strong>es verschlüsselten<br />
Volumes auf e<strong>in</strong> anderes Volume kopieren. Nehmen wir an, Sie haben mit BitLocker das<br />
Datenvolume D:\ geschützt, dieses Volume wurde aber beschädigt. Sie möchten nun mit<br />
dem BitLocker-Reparaturtool se<strong>in</strong>en Inhalt entschlüsseln und auf das Volume E:\ kopieren.<br />
Den Wiederherstellungsschlüssel beziehungsweise das Kennwort haben Sie zur Verfügung.<br />
Der folgende Befehl erledigt diese Aufgabe:<br />
repair-bde D: E: -RecoveryPassword 111111-222222-333333-444444-5555555-6666666-7777777-<br />
888888<br />
Sie können auch versuchen, e<strong>in</strong> Volume zu reparieren, ohne se<strong>in</strong>e Daten zu kopieren. Verwenden<br />
Sie dazu das Argument -NoOutputVolume, wie im folgenden Befehl gezeigt:<br />
repair-bde C: -NoOutputVolume -RecoveryKey D:\RecoveryKey.bek<br />
Ist das Systemvolume beschädigt, können Sie <strong>W<strong>in</strong>dows</strong> 7-Setup von der <strong>W<strong>in</strong>dows</strong> 7-DVD<br />
starten, die Reparaturtools ausführen und e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen, um dar<strong>in</strong> das<br />
BitLocker-Reparaturtool zu starten. Stattdessen können Sie auch versuchen, das Volume auf<br />
e<strong>in</strong>em anderen Computer im Dateisystem bereitzustellen und dort das BitLocker-Reparaturtool<br />
auszuführen.<br />
H<strong>in</strong>weis Sichern verschlüsselter Laufwerke<br />
Weil es unter Umständen schwierig oder sogar unmöglich ist, e<strong>in</strong> BitLocker-geschütztes<br />
Laufwerk wiederherstellen, nachdem es beschädigt wurde, ist es besonders wichtig, dass Sie<br />
alle BitLocker-geschützten Laufwerke regelmäßig sichern. Beachten Sie aber, dass Ihre<br />
Datensicherungen unter Umständen nicht standardmäßig verschlüsselt s<strong>in</strong>d. Das gilt auch<br />
für die Systemabbildsicherung. Die Systemabbildsicherung legt zwar e<strong>in</strong>e Kopie Ihres gesamten<br />
Datenträgers an, aber BitLocker arbeitet auf e<strong>in</strong>er niedrigeren Ebene als die Systemabbildsicherung.<br />
Wenn die Systemabbildsicherung den Datenträger liest, bekommt sie die<br />
von BitLocker bereits entschlüsselte Version des Datenträgers.
184 Kapitel 4: Sicherheit<br />
Deaktivieren oder Entfernen der BitLocker-Laufwerkverschlüsselung<br />
Weil BitLocker den Systemstartprozess abfängt und nach Änderungen <strong>in</strong> allen Startdateien<br />
sucht, können <strong>in</strong> e<strong>in</strong>igen Fällen Probleme auftreten, auch wenn es sich nicht um e<strong>in</strong>en<br />
Angriff handelt:<br />
Motherboard oder TPM wurde aufgerüstet oder ersetzt.<br />
Es wurde e<strong>in</strong> neues Betriebssystem <strong>in</strong>stalliert, das den Master Boot Record oder den<br />
Start-Manager ändert.<br />
E<strong>in</strong> BitLocker-verschlüsseltes Laufwerk wurde <strong>in</strong> e<strong>in</strong>en anderen TPM-fähigen Computer<br />
e<strong>in</strong>gebaut.<br />
Die Festplatte wurde neu partitioniert.<br />
Das BIOS wurde aktualisiert.<br />
Fremdherstellerupdates wurden außerhalb des Betriebssystems durchgeführt (zum<br />
Beispiel Firmwareupdates).<br />
Um nicht im BitLocker-Wiederherstellungsmodus zu landen, können Sie BitLocker kurzzeitig<br />
deaktivieren, um das TPM auszutauschen oder e<strong>in</strong> Betriebssystemupgrade durchzuführen.<br />
Wenn Sie BitLocker wieder aktivieren, wird derselbe Verschlüsselungsschlüssel<br />
benutzt. Sie können auch e<strong>in</strong>stellen, dass das BitLocker-geschützte Volume entschlüsselt<br />
wird. Dann wird der BitLocker-Schutz vollständig entfernt. Sie können BitLocker danach<br />
nur wieder aktivieren, <strong>in</strong>dem Sie neue Schlüssel erstellen und das Volume neu verschlüsseln.<br />
Gehen Sie folgendermaßen vor, um BitLocker temporär zu deaktivieren oder das BitLockergeschützte<br />
Volume dauerhaft zu entschlüsseln:<br />
1. Melden Sie sich als Adm<strong>in</strong>istrator am Computer an.<br />
2. Öffnen Sie <strong>in</strong> der Systemsteuerung die BitLocker-Laufwerkverschlüsselung.<br />
3. Klicken Sie neben dem Volume, für das BitLocker aktiviert ist, auf Schutz anhalten, um<br />
e<strong>in</strong>en leeren Schlüssel zu verwenden. Oder klicken Sie auf BitLocker deaktivieren, um<br />
BitLocker ganz auszuschalten.<br />
Problembehandlung für BitLocker<br />
Etliche häufige BitLocker-Probleme s<strong>in</strong>d eigentlich »Features«. Die Probleme treten auf,<br />
weil BitLocker mit dem Ziel entworfen wurde, Schutz vor bestimmten Angriffsarten zu<br />
gewährleisten. Oft ähneln normale Operationen solchen Angriffen, daher weigert sich<br />
BitLocker, den Computer starten zu lassen, oder die BitLocker-Verschlüsselung gibt Ihnen<br />
ke<strong>in</strong>en Zugriff auf die Dateien mehr:<br />
Das Betriebssystem startet <strong>in</strong> e<strong>in</strong>er Dual-Boot-Konfiguration nicht mehr Sie können<br />
<strong>in</strong> e<strong>in</strong>em Computer e<strong>in</strong>e Dual-Boot-Konfiguration verwenden, nachdem Sie Bit-<br />
Locker aktiviert haben. Aber die zweite Betriebssystem<strong>in</strong>stanz muss auf e<strong>in</strong>er anderen<br />
Partition konfiguriert se<strong>in</strong>. Sie können ke<strong>in</strong> zweites Betriebssystem verwenden, das auf<br />
derselben Partition <strong>in</strong>stalliert ist.<br />
Das Betriebssystem startet nicht, nachdem Sie die Festplatte <strong>in</strong> e<strong>in</strong>en anderen<br />
Computer e<strong>in</strong>gebaut haben BitLocker soll Daten vor Offl<strong>in</strong>eangriffen schützen, die<br />
beispielsweise die Betriebssystemsicherheit dadurch umgehen, dass die Festplatte an<br />
e<strong>in</strong>en anderen Computer angeschlossen wird. Der neue Computer kann die Daten dann
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 185<br />
nicht entschlüsseln (nicht e<strong>in</strong>mal, wenn er e<strong>in</strong>en TPM-Chip hat). Bevor Sie e<strong>in</strong>e Bit-<br />
Locker-verschlüsselte Festplatte <strong>in</strong> e<strong>in</strong>en anderen Computer e<strong>in</strong>bauen, müssen Sie<br />
BitLocker deaktivieren. Sobald Sie die Festplatte <strong>in</strong> den anderen Computer e<strong>in</strong>gebaut<br />
haben, können Sie BitLocker wieder aktivieren. Stattdessen können Sie <strong>W<strong>in</strong>dows</strong> auch<br />
mit dem Wiederherstellungsschlüssel starten, nachdem Sie die Festplatte <strong>in</strong> den neuen<br />
Computer e<strong>in</strong>gebaut haben.<br />
Die Daten auf der Festplatte lassen sich mit den Standarddatenträgerwiederherstellungstools<br />
nicht lesen Aus den Gründen, die im letzten Punkt beschrieben wurden,<br />
können BitLocker-Dateien nicht mit den Standarddatenträgerwiederherstellungstools<br />
gelesen werden. E<strong>in</strong>es Tages gibt es wahrsche<strong>in</strong>lich Wiederherstellungstools, die die<br />
Möglichkeit bieten, BitLocker-Dateien mit dem Wiederherstellungsschlüssel zu entschlüsseln.<br />
Als dieses Buch geschrieben wurde, bestand die e<strong>in</strong>zige Möglichkeit zum<br />
Wiederherstellen BitLocker-verschlüsselter Dateien dar<strong>in</strong>, <strong>W<strong>in</strong>dows</strong> 7 mit dem Bit-<br />
Locker-Wiederherstellungsschlüssel zu starten. Aus diesem Grund ist es besonders<br />
wichtig, BitLocker-verschlüsselte Volumes regelmäßig zu sichern.<br />
Übung Verschlüsseln von Dateien und Wiederherstellen<br />
verschlüsselter Daten<br />
In dieser Übung simulieren Sie die Wiederherstellung e<strong>in</strong>es verlorenen EFS-Verschlüsselungszertifikats.<br />
Übung 1 Verschlüsseln von Daten<br />
In dieser Übung verschlüsseln Sie e<strong>in</strong>e Datei. <strong>W<strong>in</strong>dows</strong> 7 generiert automatisch e<strong>in</strong>en EFS-<br />
Schlüssel, sofern Sie noch ke<strong>in</strong>en haben.<br />
1. Melden Sie sich als Standardbenutzer an e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Computer an.<br />
2. Erstellen Sie <strong>in</strong> Ihrem Dokumente-Ordner e<strong>in</strong>e Datei namens Encrypted.txt.<br />
3. Klicken Sie mit der rechten Maustaste auf die Datei Encrypted.txt und wählen Sie den<br />
Befehl Eigenschaften.<br />
4. Klicken Sie auf der Registerkarte Allgeme<strong>in</strong> im Eigenschaftendialogfeld auf die Schaltfläche<br />
Erweitert.<br />
5. Aktivieren Sie das Kontrollkästchen Inhalt verschlüsseln, um Daten zu schützen und<br />
klicken Sie auf OK. Klicken Sie erneut auf OK.<br />
6. Wählen Sie im Dialogfeld Verschlüsselungswarnung die Option Nur Datei verschlüsseln<br />
aus und klicken Sie auf OK.<br />
Der <strong>W<strong>in</strong>dows</strong>-Explorer zeigt die Datei Encrypted.txt jetzt <strong>in</strong> grüner Farbe an.<br />
7. Klicken Sie doppelt auf die Datei Encrypted.txt, um sie im Editor zu öffnen. Fügen Sie<br />
den Text »Diese Datei ist verschlüsselt« e<strong>in</strong>. Speichern Sie die Datei und schließen Sie<br />
den Editor.<br />
8. Klicken Sie doppelt auf die Datei, um sicherzustellen, dass Sie sie öffnen können, und<br />
schließen Sie den Editor wieder.<br />
Sie haben nun e<strong>in</strong>e verschlüsselte Datei, auf die ke<strong>in</strong> Benutzer ohne Ihren EFS-Schlüssel<br />
zugreifen kann.
186 Kapitel 4: Sicherheit<br />
Übung 2 Sichern e<strong>in</strong>es EFS-Schlüssels<br />
In Übung 1 haben Sie e<strong>in</strong>e Datei verschlüsselt. In dieser Übung sichern Sie den EFS-Schlüssel,<br />
der automatisch generiert wurde, als Sie die Datei verschlüsselt haben. Dann löschen Sie<br />
den Orig<strong>in</strong>alschlüssel und überprüfen, ob Sie auf die EFS-verschlüsselte Datei zugreifen<br />
können. Um diese Übung durcharbeiten zu können, müssen Sie Übung 1 abgeschlossen<br />
haben.<br />
1. Klicken Sie im Startmenü auf Systemsteuerung.<br />
2. Klicken Sie zweimal auf den L<strong>in</strong>k Benutzerkonten.<br />
3. Klicken Sie im l<strong>in</strong>ken Fensterabschnitt auf den L<strong>in</strong>k Dateiverschlüsselungszertifikate<br />
verwalten.<br />
Der Assistent Verschlüsselndes Dateisystem wird geöffnet.<br />
4. Klicken Sie auf der Seite Verwalten Sie die Zertifikate zur Dateiverschlüsselung auf<br />
Weiter.<br />
5. Lassen Sie auf der Seite E<strong>in</strong> Dateiverschlüsselungszertifikat auswählen oder erstellen<br />
die Standardoption ausgewählt, um Ihr eigenes EFS-Zertifikat zu verwenden, und<br />
klicken Sie dann auf Weiter.<br />
6. Klicken Sie auf der Seite Schlüssel und Zertifikat sichern auf die Schaltfläche Durchsuchen<br />
und wählen Sie den Ordner Dokumente aus. Geben Sie als Date<strong>in</strong>amen EFScert-backup.pfx<br />
e<strong>in</strong> und klicken Sie auf Speichern. Geben Sie e<strong>in</strong> komplexes Kennwort<br />
<strong>in</strong> die Felder Kennwort und Kennwort bestätigen e<strong>in</strong>. Klicken Sie auf Weiter.<br />
7. Falls die Seite Bereits verschlüsselte Dateien aktualisieren angezeigt wird, können Sie<br />
alle Kontrollkästchen deaktiviert lassen. Klicken Sie dann auf Weiter.<br />
8. Klicken Sie auf der Seite Das Zertifikat und der Schlüssel wurden gesichert auf Schließen.<br />
9. Öffnen Sie im <strong>W<strong>in</strong>dows</strong>-Explorer Ihren Dokumente-Ordner und stellen Sie sicher, dass<br />
das EFS-Zertifikat richtig exportiert wurde.<br />
Da Sie Ihren EFS-Schlüssel gesichert haben, ist es ke<strong>in</strong>e Katastrophe mehr, wenn Sie ihn<br />
verlieren. Im Folgenden simulieren Sie e<strong>in</strong>en beschädigten oder verlorenen Schlüssel,<br />
<strong>in</strong>dem Sie ihn löschen:<br />
10. Geben Sie im Suchfeld des Startmenüs den Befehl mmc e<strong>in</strong> und drücken Sie die EIN-<br />
GABETASTE, um e<strong>in</strong> leeres Microsoft Management Console-Fenster zu öffnen.<br />
11. Klicken Sie auf Datei und dann auf Snap-In h<strong>in</strong>zufügen/entfernen.<br />
12. Wählen Sie Zertifikate aus und klicken Sie auf H<strong>in</strong>zufügen. Klicken Sie auf OK.<br />
13. Wählen Sie Eigenes Benutzerkonto aus und klicken Sie auf Fertig stellen.<br />
14. Klicken Sie auf OK.<br />
15. Erweitern Sie die Knoten Zertifikate – Aktueller Benutzer und Eigene Zertifikate und<br />
wählen Sie Zertifikate aus.<br />
16. Klicken Sie im mittleren Fensterabschnitt mit der rechten Maustaste auf Ihr EFS-Zertifikat<br />
und wählen Sie den Befehl Löschen.<br />
17. Klicken Sie im Dialogfeld Zertifikate auf Ja, um zu bestätigen, dass Sie das Zertifikat<br />
löschen wollen.
Lektion 3: Steuern des Zugriffs auf Daten mithilfe von Verschlüsselung 187<br />
18. Melden Sie sich von der aktuellen Desktopsitzung ab und wieder an. <strong>W<strong>in</strong>dows</strong> 7 legt das<br />
EFS-Zertifikat des Benutzers <strong>in</strong> e<strong>in</strong>em Zwischenspeicher ab. Solange Sie also angemeldet<br />
bleiben, können Sie Ihre verschlüsselte Datei weiterh<strong>in</strong> öffnen.<br />
19. Öffnen Sie den Ordner Dokumente und klicken Sie doppelt auf die Datei Encrypted.txt.<br />
Der Editor müsste sich öffnen und die Fehlermeldung »Zugriff verweigert« anzeigen.<br />
Das zeigt, dass die Datei verschlüsselt ist, Sie aber nicht über e<strong>in</strong> gültiges EFS-Zertifikat<br />
verfügen.<br />
Übung 3 Wiederherstellen verschlüsselter Daten<br />
In dieser Übung stellen Sie e<strong>in</strong>en verlorenen EFS-Schlüssel wieder her und greifen damit<br />
auf verschlüsselte Daten zu. Um diese Übung durcharbeiten zu können, müssen Sie die<br />
Übungen 1 und 2 abgeschlossen haben.<br />
1. Klicken Sie im Ordner Dokumente doppelt auf die Datei EFS-cert-backup.pfx, die Sie <strong>in</strong><br />
Übung 2 erstellt haben.<br />
Der Zertifikatimport-Assistent wird geöffnet.<br />
2. Klicken Sie auf der Seite Willkommen des Zertifikatimport-Assistenten auf Weiter.<br />
3. Klicken Sie auf der Seite Zu importierende Datei auf Weiter.<br />
4. Geben Sie auf der Seite Kennwort das Kennwort e<strong>in</strong>, das Sie dem Zertifikat zugewiesen<br />
haben. Klicken Sie auf Weiter.<br />
5. Klicken Sie auf der Seite Zertifikatspeicher auf Weiter.<br />
6. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.<br />
7. Klicken Sie <strong>in</strong> der Bestätigung, dass der Import erfolgreich war, auf OK.<br />
8. Öffnen Sie den Ordner Dokumente und klicken Sie doppelt auf die Datei Encrypted.txt.<br />
Der Editor müsste sich öffnen und den Inhalt der Datei anzeigen. Das beweist, dass Sie<br />
den EFS-Schlüssel erfolgreich wiederhergestellt haben und jetzt auf Ihre verschlüsselten<br />
Dateien zugreifen können.<br />
Zusammenfassung der Lektion<br />
Mit EFS können Sie e<strong>in</strong>zelne Dateien und Ordner verschlüsseln. Weil verschlüsselte<br />
Dateien nicht mehr verfügbar s<strong>in</strong>d, falls der Benutzer se<strong>in</strong> EFS-Zertifikat verliert, ist es<br />
wichtig, das EFS-Zertifikat und e<strong>in</strong>en Wiederherstellungsschlüssel zu sichern. In Umgebungen,<br />
wo sich mehrere Benutzer am selben Computer anmelden, können Sie mehreren<br />
Benutzern Zugriff auf EFS-verschlüsselte Dateien gewähren.<br />
Mit BitLocker können Sie das gesamte Systemvolume verschlüsseln. Sofern TPM-Hardware<br />
verfügbar ist, greift BitLocker darauf zurück, um den Verschlüsselungsschlüssel zu<br />
versiegeln. BitLocker arbeitet dann während des Computerstarts mit der TPM-Hardware<br />
zusammen, um die Integrität von Computer und Betriebssystem zu überprüfen. Steht<br />
TPM-Hardware zur Verfügung, können Sie optional fordern, dass der Benutzer e<strong>in</strong> USB-<br />
Flashlaufwerk mit e<strong>in</strong>em speziellen Schlüssel anschließt oder e<strong>in</strong> Kennwort e<strong>in</strong>gibt, um<br />
Zugriff auf das BitLocker-verschlüsselte Volume zu bekommen. BitLocker ist auf Computern<br />
ohne TPM-Hardware <strong>in</strong> der Standarde<strong>in</strong>stellung deaktiviert, aber Sie können Bit-<br />
Locker auch ohne TPM-Hardware mithilfe von Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen aktivieren.<br />
Wenn ke<strong>in</strong>e TPM-Hardware vorhanden ist, müssen die Benutzer e<strong>in</strong> USB-Flash-
188 Kapitel 4: Sicherheit<br />
Lernzielkontrolle<br />
laufwerk e<strong>in</strong>legen oder e<strong>in</strong>en Wiederherstellungsschlüssel angeben, um <strong>W<strong>in</strong>dows</strong> 7 zu<br />
starten.<br />
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 3,<br />
»Steuern des Zugriff auf Daten mithilfe von Verschlüsselung«, überprüfen. Die Fragen<br />
f<strong>in</strong>den Sie (<strong>in</strong> englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch auf<br />
dem Computer im Rahmen e<strong>in</strong>es Übungstests beantworten.<br />
H<strong>in</strong>weis Die Antworten<br />
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglichkeiten<br />
richtig oder falsch s<strong>in</strong>d, f<strong>in</strong>den Sie im Abschnitt »Antworten« am Ende dieses Buchs.<br />
1. Welches Tool verwenden Sie, um e<strong>in</strong> EFS-Zertifikat zu sichern?<br />
A. BitLocker-Laufwerkverschlüsselung<br />
B. Computerverwaltung<br />
C. Zertifikate<br />
D. Dienste<br />
2. Welchen Knoten <strong>in</strong> der Konsole Zertifikate verwenden Sie, um das Zertifikat des Datenwiederherstellungs-Agents<br />
zu sichern?<br />
A. Zertifikate – Aktueller Benutzer\Eigene Zertifikate\Zertifikate<br />
B. Zertifikate – Aktueller Benutzer\AD DSBenutzerobjekt<br />
C. Zertifikate (Lokaler Computer)\Eigene Zertifikate\Zertifikate<br />
D. Zertifikate (Lokaler Computer)\AD DSBenutzerobjekt<br />
3. Welche der folgenden Konfigurationen unterstützt BitLocker? (Wählen Sie alle zutreffenden<br />
Antworten aus.)<br />
A. BitLocker mit e<strong>in</strong>em TPM, aber ohne zusätzliche Schlüssel<br />
B. BitLocker mit e<strong>in</strong>em TPM, bei jedem Start muss e<strong>in</strong>e PIN e<strong>in</strong>gegeben werden<br />
C. BitLocker ohne TPM, bei jedem Start muss e<strong>in</strong>e PIN e<strong>in</strong>gegeben werden<br />
D. BitLocker ohne TPM, bei jedem Start muss e<strong>in</strong> USB-Stick e<strong>in</strong>gesteckt werden
Rückblick auf dieses Kapitel<br />
Rückblick auf dieses Kapitel 189<br />
Sie können die <strong>in</strong> diesem Kapitel erworbenen Fähigkeiten folgendermaßen e<strong>in</strong>üben und<br />
vertiefen:<br />
Lesen Sie die Zusammenfassung des Kapitels sorgfältig durch.<br />
Lesen Sie die Liste der Schlüsselbegriffe durch, die <strong>in</strong> diesem Kapitel e<strong>in</strong>geführt wurden.<br />
Arbeiten Sie die Übungen mit Fallbeispielen durch. Diese Szenarien beschreiben Fälle<br />
aus der Praxis, <strong>in</strong> denen die Themen dieses Kapitels zur Anwendung kommen. Sie werden<br />
aufgefordert, e<strong>in</strong>e Lösung zu entwickeln.<br />
Führen Sie die vorgeschlagenen Übungen durch.<br />
Machen Sie e<strong>in</strong>en Übungstest.<br />
Zusammenfassung des Kapitels<br />
Die Authentifizierung ist der Prozess, bei dem e<strong>in</strong> Benutzer identifiziert und se<strong>in</strong>e Identität<br />
bewiesen wird. Wenn Sie Authentifizierungsprobleme untersuchen, sollten Sie erst<br />
sicherstellen, dass für den Benutzer ke<strong>in</strong>e Anmeldee<strong>in</strong>schränkungen wirksam s<strong>in</strong>d, etwa<br />
e<strong>in</strong> gesperrtes Konto, e<strong>in</strong> abgelaufenes Kennwort oder e<strong>in</strong> deaktiviertes Konto. Wenn Sie<br />
Authentifizierungsfehler überwachen wollen, können Sie die Fehlerüberwachung für<br />
Anmeldeversuche aktivieren und dann das Sicherheitsereignisprotokoll analysieren.<br />
Wird e<strong>in</strong> Computerkonto nichtvertrauenswürdig, können Sie den Computer aus der<br />
Domäne entfernen und erneut h<strong>in</strong>zufügen oder die Vertrauensbeziehung mit dem Tool<br />
Netdom wiederherstellen.<br />
Der Internet Explorer ist e<strong>in</strong>es der wichtigsten Werkzeuge <strong>in</strong> <strong>W<strong>in</strong>dows</strong>, weil die Benutzer<br />
damit auf Webanwendungen und das Internet zugreifen. Daher ist es wichtig, dass<br />
Sie wissen, wie Sie den Internet Explorer konfigurieren und häufig auftretende Probleme<br />
beseitigen. Früher hatten die Benutzer immer wieder Probleme mit Add-Ons, die die<br />
Fähigkeiten des Internet Explorers erweitern, aber unter Umständen auch unzuverlässig<br />
oder böswillig agieren. Glücklicherweise gibt der Internet Explorer Adm<strong>in</strong>istratoren die<br />
vollständige Kontrolle darüber, welche Add-Ons <strong>in</strong>stalliert werden können. Sie können<br />
den Internet Explorer auch jederzeit ohne irgendwelche Add-Ons starten. Um die Gefahren<br />
beim Arbeiten mit dem Internet Explorer zu verr<strong>in</strong>gern, führt der geschützte Modus<br />
den Internet Explorer mit m<strong>in</strong>imalen Privilegien aus. Wenn e<strong>in</strong>e Webseite, der Internet<br />
Explorer, e<strong>in</strong> Add-On oder irgende<strong>in</strong> Prozess, der aus dem Internet Explorer heraus gestartet<br />
wurde, erhöhte Privilegien anfordert, muss diese Anhebung genehmigt werden,<br />
bevor der Internet Explorer die Aktion ausführen kann. Um Datenschutz und Authentifizierung<br />
zu gewährleisten, verwenden viele Websites SSL-Zertifikate. Daher ist es unverzichtbar,<br />
dass Sie die Ursachen für häufig auftretende Zertifikatprobleme kennen und<br />
wissen, wie Sie diese Probleme beseitigen.<br />
Verschlüsselung schützt Daten selbst dann, wenn e<strong>in</strong> Angreifer die Betriebssystemsicherheit<br />
umgeht. <strong>W<strong>in</strong>dows</strong> 7 enthält zwei Verschlüsselungstechnologien: EFS und BitLocker.<br />
EFS verschlüsselt e<strong>in</strong>zelne Dateien und Ordner, BitLocker gesamte Volumes. Falls e<strong>in</strong><br />
Benutzer se<strong>in</strong>en Schlüssel verliert, kann er nicht auf se<strong>in</strong>e verschlüsselten Dateien zugreifen.<br />
Daher ist es wichtig, Datenwiederherstellungs-Agents für EFS und BitLocker-<br />
Wiederherstellungsschlüssel bereitzuhalten und die Daten regelmäßig zu sichern. Mit
190 Kapitel 4: Sicherheit<br />
dem Tool Manage-bde verwalten Sie BitLocker <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung. Um Bit-<br />
Locker <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung zu reparieren, können Sie das Tool Repair-bde<br />
verwenden.<br />
Schlüsselbegriffe<br />
Wissen Sie, was die folgenden Schlüsselbegriffe bedeuten? Sie können Ihre Antworten überprüfen,<br />
<strong>in</strong>dem Sie die Begriffe im Glossar am Ende dieses Buchs nachschlagen.<br />
ActiveX<br />
BitLocker-Laufwerkverschlüsselung<br />
Verschlüsselndes Dateisystem (Encrypt<strong>in</strong>g File System, EFS)<br />
Mandatory Integrity Control (MIC)<br />
Mehr-Faktoren-Authentifizierung<br />
Geschützter Modus<br />
Kompatibilitätsschicht des geschützten Modus<br />
Rootkit<br />
Übungen mit Fallbeispiel<br />
In den folgenden Übungen mit Fallbeispiel wenden Sie an, was Sie über die <strong>in</strong> diesem<br />
Kapitel behandelten Themen gelernt haben. Die Lösungen zu den Fragen f<strong>in</strong>den Sie im<br />
Abschnitt »Antworten« h<strong>in</strong>ten <strong>in</strong> diesem Buch.<br />
Übung mit Fallbeispiel 1: Empfehlen von Datensicherheitstechnologien<br />
Sie arbeiten als Desktopsupporttechniker bei W<strong>in</strong>gtip Toys. Vor Kurzem hat Ad<strong>in</strong>a Hagege,<br />
die Vorstandsvorsitzende des <strong>Unternehmen</strong>s, Sie auf dem Gang angesprochen, um schnell<br />
e<strong>in</strong>ige Fragen zu stellen.<br />
Fragen<br />
Beantworten Sie die folgenden Fragen:<br />
1. »Können Sie mir schnell e<strong>in</strong>e E<strong>in</strong>schätzung zu e<strong>in</strong>em bestimmten Thema geben? Ich b<strong>in</strong><br />
fast ständig auf Reisen und speichere die F<strong>in</strong>anzdaten des <strong>Unternehmen</strong>s und alle Pläne<br />
für unsere neuen Spielzeuge auf me<strong>in</strong>em Notebook. Die IT-Abteilung behauptet, dass sie<br />
die Dateiberechtigungen so e<strong>in</strong>gerichtet haben, dass nur ich diese Dateien lesen kann.<br />
Reicht das aus für den Fall, dass jemand me<strong>in</strong> Notebook klaut?«<br />
2. »Gibt es irgende<strong>in</strong>e Möglichkeit, me<strong>in</strong>e Daten auch dann zu schützen, wenn das Notebook<br />
gestohlen wird? Welche Varianten stehen mir zur Verfügung?«<br />
3. »Manchmal gebe ich Dateien für andere Leute im Netzwerk frei. Welche dieser Technologien<br />
erlaubt mir, die Dateien auf diese Weise freizugeben?«
Vorgeschlagene Übungen 191<br />
Übung mit Fallbeispiel 2: Unerwünschte Internet Explorer-Add-Ons<br />
Sie s<strong>in</strong>d Systemadm<strong>in</strong>istrator bei Humongous Insurance. Vor Kurzem hat e<strong>in</strong>er Ihrer Vertreter<br />
beim Helpdesk angerufen, weil er seltsame Probleme mit dem Internet Explorer hat. Insbesondere<br />
stört ihn, dass se<strong>in</strong>e Startseite geändert wurde und der Popupblocker nicht mehr zu<br />
funktionieren sche<strong>in</strong>t.<br />
Ihr Manager macht sich Sorgen, dass dies ke<strong>in</strong> E<strong>in</strong>zelfall ist, und beauftragt Sie, mit den<br />
entsprechenden Mitarbeitern zu reden. Anschließend sollen Sie <strong>in</strong> se<strong>in</strong> Büro kommen und<br />
Empfehlungen geben, wie sich solche Probleme <strong>in</strong> Zukunft vermeiden lassen.<br />
Recherche<br />
Hier die Aussagen der <strong>Unternehmen</strong>smitarbeiter, die Sie befragt haben:<br />
David Barber, Vertreter »Ich habe e<strong>in</strong> Add-On <strong>in</strong>stalliert, weil das Surfen im Web<br />
dadurch angeblich schneller wird. Ich habe ke<strong>in</strong>e Verbesserung bemerkt. Danach hat sich<br />
aber die Startseite bei me<strong>in</strong>em Internet Explorer geändert und seitdem bekomme ich jede<br />
Menge Popupwerbung auf me<strong>in</strong>em Bildschirm.«<br />
Julian Price, Projektmanager für Internetentwicklung »Wir haben vor Kurzem<br />
unsere gesamte <strong>in</strong>terne Software auf die ASP.NET-Webanwendungsplattform umgestellt.<br />
Für e<strong>in</strong>ige kompliziertere Elemente haben wir selbst entwickelte clientseitige Add-Ons<br />
im Internet Explorer <strong>in</strong>stalliert. Sie dürfen also auf ke<strong>in</strong>en Fall alle Add-Ons blockieren.<br />
Wir nutzen Add-Ons <strong>in</strong>tern und aktualisieren sie regelmäßig, daher müssen die Benutzer<br />
<strong>in</strong> der Lage se<strong>in</strong>, die Add-Ons automatisch zu <strong>in</strong>stallieren.«<br />
Fragen<br />
Beantworten Sie Ihrem Manager folgende Fragen:<br />
1. Wie lassen sich unerwünschte Add-Ons am besten entfernen, falls dieses Problem noch<br />
e<strong>in</strong>mal auftritt?<br />
2. S<strong>in</strong>d <strong>in</strong> der Standarde<strong>in</strong>stellung von <strong>W<strong>in</strong>dows</strong> 7 irgendwelche Features aktiviert, die<br />
Benutzer vor unerwünschten Add-Ons schützen? Welche?<br />
3. Wie lassen sich unerwünschte Add-Ons <strong>in</strong> Zukunft am besten verh<strong>in</strong>dern?<br />
Vorgeschlagene Übungen<br />
Sie sollten die folgenden Aufgaben durcharbeiten, wenn Sie die <strong>in</strong> diesem Kapitel behandelten<br />
Prüfungsziele meistern wollen.<br />
Untersuchen und Beseitigen von Anmeldeproblemen<br />
Im Rahmen dieser Aufgabe sollten Sie beide Übungen durchführen.<br />
Übung 1 Besuchen Sie http://social.answers.microsoft.com/Forums/de-DE/category/<br />
w<strong>in</strong>dows7 und suchen Sie die Newsgroup »Sicherheit, Datenschutz und Benutzerkonten«.<br />
Lesen Sie die Nachrichten durch, um festzustellen, wie andere Adm<strong>in</strong>istratoren<br />
ihre Authentifizierungsprobleme gelöst haben.<br />
Übung 2 Aktivieren Sie auf Ihrem Produktivcomputer die Erfolgs- und Fehlerüberwachung<br />
für die Richtl<strong>in</strong>ie Anmeldeereignisse überwachen. Lassen Sie die Überwachung
192 Kapitel 4: Sicherheit<br />
e<strong>in</strong>ige Tage laufen und analysieren Sie dann die Überwachungsereignisse im Sicherheitsereignisprotokoll.<br />
Stellen Sie fest, welche Ereignistypen während des normalen Computerbetriebs<br />
aufgezeichnet werden.<br />
Untersuchen und Beseitigen von Verschlüsselungsproblemen<br />
Im Rahmen dieser Aufgabe sollten Sie Übung 1 durchführen. Falls Sie sich ausführlicher<br />
mit BitLocker beschäftigen wollen, können Sie auch die Übungen 2 und 3 durcharbeiten.<br />
Übung 1 Verschlüsseln Sie <strong>in</strong> e<strong>in</strong>er Domänenumgebung e<strong>in</strong>e Datei mit EFS. Kopieren<br />
Sie dann den Domänen-DRA-Schlüssel auf diesen Computer und verwenden Sie e<strong>in</strong><br />
anderes Konto, um die verschlüsselte Datei wiederherzustellen.<br />
Übung 2 Aktivieren Sie die BitLocker-Laufwerkverschlüsselung auf e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong><br />
7-Computer. Suchen Sie dann im Internet nach e<strong>in</strong>er kostenlosen .iso-Datei für e<strong>in</strong><br />
startfähiges Betriebssystem und brennen Sie die .iso-Datei auf e<strong>in</strong>e CD oder DVD.<br />
Starten Sie den Computer von dem startfähigen Medium und versuchen Sie, sich die<br />
Dateien auf dem BitLocker-geschützten Volume anzusehen.<br />
Übung 3 Aktivieren Sie die BitLocker-Laufwerkverschlüsselung auf e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong><br />
7-Computer. Bauen Sie dann die Festplatte <strong>in</strong> e<strong>in</strong>en anderen Computer e<strong>in</strong> und<br />
versuchen Sie, <strong>W<strong>in</strong>dows</strong> zu laden. Geben Sie den Wiederherstellungsschlüssel e<strong>in</strong>, wenn<br />
Sie dazu aufgefordert werden.<br />
Untersuchen und Beseitigen von Sicherheitsproblemen für <strong>W<strong>in</strong>dows</strong> Internet<br />
Explorer<br />
Im Rahmen dieser Aufgabe sollten Sie m<strong>in</strong>destens die Übungen 1 bis 3 durchführen. Wenn<br />
Sie genauer untersuchen wollen, wie der Internet Explorer auf erwünschte oder böswillige<br />
Änderungen reagiert, können Sie auch Übung 4 durcharbeiten.<br />
Übung 1 Öffnen Sie auf dem Computer, den Sie für Ihre normale Arbeit e<strong>in</strong>setzen, den<br />
Internet Explorer und zeigen Sie das Dialogfeld Add-Ons verwalten an. Untersuchen Sie,<br />
welche unterschiedlichen Add-Ons bereits <strong>in</strong>stalliert s<strong>in</strong>d.<br />
Übung 2 Starten Sie den Internet Explorer mit deaktivierten Add-Ons. Besuchen Sie<br />
Ihre Liebl<strong>in</strong>gswebsites und untersuchen Sie, ob sich durch das Fehlen der Add-Ons<br />
etwas ändert.<br />
Übung 3 Öffnen Sie auf dem Computer, den Sie für Ihre normale Arbeit e<strong>in</strong>setzen, im<br />
Explorer den Ordner \%UserProfile%\AppData\Local\Microsoft\<strong>W<strong>in</strong>dows</strong>\Temporary<br />
Internet Files\Virtualized\ und se<strong>in</strong>e Unterordner. Der Ordner ist ausgeblendet, daher<br />
müssen Sie den vollständigen Pfad e<strong>in</strong>geben. Untersuchen Sie, welche Anwendungen<br />
die Internet Explorer-Kompatibilitätsschicht virtualisiert hat und welche Dateitypen<br />
betroffen s<strong>in</strong>d.<br />
Übung 4 Führen Sie auf e<strong>in</strong>em Testcomputer e<strong>in</strong>e Neu<strong>in</strong>stallation von <strong>W<strong>in</strong>dows</strong> 7<br />
durch. Besuchen Sie Ihre Liebl<strong>in</strong>gswebsites und sehen Sie sich an, wie Informationsleiste,<br />
geschützter Modus und UAC zusammenarbeiten, um den Benutzer gegen potenziell<br />
unerwünschte Add-Ons zu schützen. Besuchen Sie anschließend im Internet Explorer<br />
potenziell gefährliche Websites, die unter Umständen versuchen, böswillige Software<br />
zu <strong>in</strong>stallieren. Sehen Sie sich an, wie der Internet Explorer reagiert. (H<strong>in</strong>weis: Suchen<br />
Sie nach Komb<strong>in</strong>ationen von Wörtern wie »crack«, »hack«, »warez« und »serials«).
Machen Sie e<strong>in</strong>en Übungstest<br />
Machen Sie e<strong>in</strong>en Übungstest 193<br />
Die Übungstests (<strong>in</strong> englischer Sprache) auf der Begleit-CD zu diesem Buch bieten zahlreiche<br />
Möglichkeiten. Zum Beispiel können Sie e<strong>in</strong>en Test machen, der ausschließlich die<br />
Themen aus e<strong>in</strong>em Prüfungslernziel behandelt, oder Sie können sich selbst mit dem gesamten<br />
Inhalt der Prüfung <strong>70</strong>-<strong>685</strong> testen. Sie können den Test so konfigurieren, dass er dem<br />
Ablauf e<strong>in</strong>er echten Prüfung entspricht, oder Sie können e<strong>in</strong>en Lernmodus verwenden, <strong>in</strong><br />
dem Sie sich nach dem Beantworten e<strong>in</strong>er Frage jeweils sofort die richtige Antwort und<br />
Erklärungen ansehen können.<br />
Weitere Informationen Übungstests<br />
E<strong>in</strong>zelheiten zu allen Optionen, die bei den Übungstests zur Verfügung stehen, f<strong>in</strong>den Sie im<br />
Abschnitt »So benutzen Sie die Übungstests« <strong>in</strong> der E<strong>in</strong>führung am Anfang dieses Buchs.
K A P I T E L 5<br />
Schützen von Clientsystemen<br />
Jeder Computer, der mit dem Internet verbunden ist, ist e<strong>in</strong>er ständigen Welle von Angriffen<br />
durch Schadsoftware ausgesetzt, die über das Netzwerk e<strong>in</strong>zudr<strong>in</strong>gen versucht. Die Zahl und<br />
Raff<strong>in</strong>esse dieser Bedrohungen nimmt von Jahr zu Jahr zu. Als <strong>Support</strong>techniker <strong>in</strong> e<strong>in</strong>em<br />
Großunternehmen s<strong>in</strong>d Sie dafür verantwortlich, die Clientsysteme vor dieser wachsenden<br />
Gefahr zu schützen.<br />
Um Ihre Rolle <strong>in</strong> der Verteidigungsstrategie des <strong>Unternehmen</strong>s erfüllen zu können, müssen<br />
Sie wissen, wie Sie <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 die Features konfigurieren, die Ihre Clients schützen. Insbesondere<br />
müssen Sie wissen, wie Sie die Gefahr verr<strong>in</strong>gern, dass Malware Schaden anrichtet.<br />
Dazu richten Sie die Benutzerkontensteuerung (User Account Control, UAC) passend<br />
e<strong>in</strong>, konfigurieren <strong>W<strong>in</strong>dows</strong>-Defender und de<strong>in</strong>stallieren unerwünschte Software, sobald sie<br />
entdeckt wird.<br />
Prüfungslernziele <strong>in</strong> diesem Kapitel:<br />
Untersuchen und Beseitigen von Problemen aufgrund von Schadsoftware<br />
Lektion <strong>in</strong> diesem Kapitel:<br />
Lektion 1: Beseitigen von Malwareproblemen . ........................... 197<br />
Bevor Sie beg<strong>in</strong>nen<br />
Um die Übungen <strong>in</strong> diesem Kapitel durcharbeiten zu können, brauchen Sie:<br />
E<strong>in</strong>en Domänencontroller, der unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2 läuft<br />
E<strong>in</strong>en <strong>W<strong>in</strong>dows</strong> 7-Clientcomputer, der Mitglied derselben Domäne ist<br />
Praxistipp<br />
J.C. Mack<strong>in</strong><br />
Ich höre oft, wie falsche Informationen über Viren und andere Malware verbreitet werden,<br />
und b<strong>in</strong> überzeugt, dass diese Fehl<strong>in</strong>formationen dazu führen, dass sich Benutzer und<br />
Adm<strong>in</strong>istratoren <strong>in</strong> falscher Sicherheit wiegen, was die Gefahren betrifft, denen ihre<br />
Systeme ausgesetzt s<strong>in</strong>d. Viele der Fehl<strong>in</strong>formationen basieren auf exakten Kenntnissen<br />
über den Stand der Technik, den Malwarebedrohungen vor rund 10 Jahre hatten. Aber die<br />
Fähigkeiten dieser Programme haben sich erheblich weiterentwickelt, und diese Entwicklung<br />
geht weiter. Damit Sie lernen, wie Sie sich heute am besten verteidigen können,<br />
sollten wir daher mit e<strong>in</strong>igen Mythen aufräumen:<br />
195
196 Kapitel 5: Schützen von Clientsystemen<br />
»Solange Sie die <strong>W<strong>in</strong>dows</strong>-Updates auf dem neuesten Stand halten, passiert Ihnen<br />
nichts.«<br />
Natürlich müssen Sie Microsoft <strong>W<strong>in</strong>dows</strong> mit Updates auf dem neuesten Stand<br />
halten, aber das gilt für Ihre gesamte Software. Sicherheitslücken f<strong>in</strong>den sich genauso<br />
<strong>in</strong> Anwendungen wie <strong>in</strong> Betriebssystemen. Und viele dieser Sicherheitslücken lassen<br />
sich ausnutzen, um e<strong>in</strong> System vollständig zu übernehmen. Microsoft Office-Anwendungen<br />
werden besonders oft angegriffen. Denken Sie daran, dass Ihre Systeme nicht<br />
vor Angriffen geschützt s<strong>in</strong>d, wenn Sie nur <strong>W<strong>in</strong>dows</strong> aktualisiert halten.<br />
»Solange Sie sich nicht durch e<strong>in</strong>en Trick dazu br<strong>in</strong>gen lassen, e<strong>in</strong> E<strong>in</strong>fallstor zu<br />
öffnen, passiert Ihnen nicht.«<br />
Vor langer, langer Zeit war es so, dass Schadsoftware die Mithilfe e<strong>in</strong>es Benutzers<br />
brauchte, um sich auf e<strong>in</strong>em System zu <strong>in</strong>stallieren. Heutzutage sieht die Situation<br />
ganz anders aus. Schon wenn Sie die falsche Site im Browser aufrufen, können Sie<br />
sich den heimlichen Download von Schadsoftware e<strong>in</strong>handeln. E<strong>in</strong>ige der verheerendsten<br />
Angriffe stammen von Internet-Würmern, die völlig unabhängig von Benutzeraktionen<br />
agieren. Es ist nach wie vor wichtig, dass die Benutzer ke<strong>in</strong>e unbekannte<br />
Software starten, aber diese Maßnahme alle<strong>in</strong> reicht nicht aus, um ihre Systeme vor<br />
e<strong>in</strong>er Infektion zu schützen.<br />
»Solange Sie Ihre Antivirensoftware auf dem neuesten Stand halten und täglich e<strong>in</strong>en<br />
Scan durchführen, passiert Ihnen nichts.«<br />
Das ist wahrsche<strong>in</strong>lich der am weitesten verbreitete Mythos über Malware. Es stimmt<br />
zwar, dass e<strong>in</strong>e solide Antimalwarelösung e<strong>in</strong>er der wesentlichen Pfeiler <strong>in</strong> jeder<br />
Clientschutzstrategie ist, aber es lässt sich nicht leugnen: Diese Software hat ihre<br />
Grenzen. Malwareentwickler, die bei ihren Angriffen Erfolg haben wollen, entwerfen<br />
ihre Programme natürlich so, dass sie nicht von Antiviruslösungen entdeckt werden.<br />
Beispielsweise ist das Rootkit e<strong>in</strong> relativ neuer Typ Malware, den bisher nur wenige<br />
Antimalwareanwendungen zuverlässig erkennen. Aber selbst herkömmliche Arten<br />
von Malware können so entworfen se<strong>in</strong>, dass sie e<strong>in</strong>er Entdeckung aus dem Weg<br />
gehen. Selbst wenn Ihre Antivirensoftware also ke<strong>in</strong>e Malware auf e<strong>in</strong>em System<br />
f<strong>in</strong>det, sollten Sie sich bewusst se<strong>in</strong>, dass dieses System durchaus <strong>in</strong>fiziert se<strong>in</strong><br />
könnte.<br />
Durch diese drei Mythen zieht sich e<strong>in</strong> roter Faden: der Glaube, Sie könnten Ihre Systeme<br />
vor Malware schützen, <strong>in</strong>dem Sie e<strong>in</strong>e wenige bekannte Schutzmechanismen nutzen. Die<br />
Wirklichkeit sieht anders aus: Will Ihr <strong>Unternehmen</strong> se<strong>in</strong>e Clientsysteme wirksam schützen,<br />
muss es e<strong>in</strong>e ganze Palette von Strategien e<strong>in</strong>setzen. Das s<strong>in</strong>d unter anderem effektive<br />
Softwareupdates, Antivirensoftware, Schulung der Benutzer, Firewalls und vor allem<br />
effektive Verwaltung dieser und anderer Sicherheitsfeatures.
Lektion 1: Beseitigen von Malwareproblemen<br />
Lektion 1: Beseitigen von Malwareproblemen 197<br />
Pro Tag werden <strong>in</strong>zwischen mehr neue Malwareanwendungen geschrieben als seriöse<br />
Anwendungen. Als <strong>Support</strong>techniker <strong>in</strong> e<strong>in</strong>em großen <strong>Unternehmen</strong> müssen Sie Ihre Clients<br />
wirksam vor dieser wachsenden Gefahr schützen und wissen, wie Sie Malware<strong>in</strong>fektionen<br />
begegnen, wenn sie dennoch e<strong>in</strong>getreten s<strong>in</strong>d.<br />
<strong>W<strong>in</strong>dows</strong> 7 enthält zwei Features, die Ihnen beim Kampf gegen Malware helfen. Die Benutzerkontensteuerung<br />
(User Account Control, UAC) hilft dabei zu verh<strong>in</strong>dern, dass Programme<br />
geschützte Bereiche des Betriebssystems heimlich manipulieren. Und <strong>W<strong>in</strong>dows</strong>-Defender<br />
durchsucht Ihr System nach Spyware und bietet an, jegliche unerwünschte Software, die er<br />
erkannt hat, direkt zu löschen.<br />
Sie brauchen daneben zwar weitere Anwendungen wie Microsoft Forefront und e<strong>in</strong>e verwaltete<br />
Antimalwarelösung, um Ihr Netzwerk zu schützen, aber die Benutzung und Konfiguration<br />
dieser <strong>in</strong>tegrierten Features von <strong>W<strong>in</strong>dows</strong> 7 gehören zu den Fähigkeiten, die Sie für<br />
Ihren Beruf unbed<strong>in</strong>gt brauchen.<br />
Am Ende dieser Lektion werden Sie <strong>in</strong> der Lage se<strong>in</strong>, die folgenden Aufgaben auszuführen:<br />
Die Benutzerkontensteuerung so konfigurieren, dass die angezeigten Benachrichtigungen<br />
den Anforderungen Ihrer Organisation entsprechen<br />
Konfigurieren von <strong>W<strong>in</strong>dows</strong>-Defender-E<strong>in</strong>stellungen<br />
Bestimmte Malware erkennen und von Hand entfernen, falls Ihre Antimalwareanwendungen<br />
scheitern<br />
Veranschlagte Zeit für diese Lektion: 30 M<strong>in</strong>uten<br />
Grundlagen von Malware<br />
Malware ist e<strong>in</strong> Sammelbegriff für viele unterschiedliche Arten unerwünschter Software. Sie<br />
müssen die Charakteristiken der unterschiedlichen Bedrohungen kennen, aber auch wissen,<br />
dass viele Malwareanwendungen Features unterschiedlicher Typen mite<strong>in</strong>ander verschmelzen.<br />
Die folgende Liste beschreibt die am weitesten verbreiteten Malwaretypen:<br />
Virus E<strong>in</strong> Virus ist e<strong>in</strong> Programm, das sich selbst vermehrt und sich automatisch auf<br />
e<strong>in</strong>em Zielcomputer <strong>in</strong>stalliert. Viren vermehren sich nicht automatisch über Netzwerke.<br />
Ihre Verbreitungswege s<strong>in</strong>d E-Mail oder andere Methoden. Ist e<strong>in</strong> Virus e<strong>in</strong>mal <strong>in</strong>stalliert,<br />
verändert, schädigt oder kompromittiert er normalerweise e<strong>in</strong> System, wofür er unterschiedliche<br />
Techniken e<strong>in</strong>setzt.<br />
Wurm E<strong>in</strong> Wurm ist e<strong>in</strong> Programm, das sich selbst vermehrt und sich ohne Hilfe e<strong>in</strong>es<br />
Benutzers oder von Programmen wie E-Mail-Clients oder Webbrowsern automatisch<br />
über e<strong>in</strong> Netzwerk verbreitet. Würmer richten ganz unterschiedliche Schäden an. Manche<br />
Würmer beschränken sich darauf, sich zu vermehren; sie rauben im Grunde nur Netzwerkbandbreite.<br />
Andere können e<strong>in</strong>gesetzt werden, um e<strong>in</strong> System vollständig zu kompromittieren.<br />
Trojanisches Pferd E<strong>in</strong> Trojanisches Pferd ist e<strong>in</strong> Programm, das sich den Benutzern<br />
als nützliche Anwendung präsentiert, aber <strong>in</strong> Wirklichkeit dazu entwickelt wurde, e<strong>in</strong><br />
System zu schädigen. Im Unterschied zu Viren und Würmern kopieren oder <strong>in</strong>stallieren<br />
sich Trojanische Pferde nicht automatisch. E<strong>in</strong> Benutzer muss sie <strong>in</strong>stallieren.
198 Kapitel 5: Schützen von Clientsystemen<br />
Spyware Spyware ist Software, die <strong>in</strong> die Privatsphäre des Benutzers e<strong>in</strong>dr<strong>in</strong>gt, <strong>in</strong>dem<br />
sie heimlich Informationen über se<strong>in</strong> Verhalten aufzeichnet. Oft werden diese Daten für<br />
die Marktforschung verwendet. Spyware wird meist <strong>in</strong> e<strong>in</strong> System e<strong>in</strong>geschleust, wenn<br />
e<strong>in</strong> Benutzer e<strong>in</strong> kostenloses Tool <strong>in</strong>stalliert oder e<strong>in</strong>e Website besucht, während die<br />
Sicherheitse<strong>in</strong>stellungen des Browsers lax konfiguriert s<strong>in</strong>d. Am häufigsten zeichnet<br />
solche Spyware auf, welche Websites e<strong>in</strong> Benutzer besucht. In selteneren Fällen wird<br />
Spyware gezielt von e<strong>in</strong>em Angreifer <strong>in</strong>stalliert, um persönliche Daten zu sammeln; e<strong>in</strong><br />
Beispiel s<strong>in</strong>d Keylogger, die jeden Tastendruck aufzeichnen. Die größte Bedrohung, die<br />
von den meisten Spywareprogrammen ausgeht, ist die Verschlechterung der Systemleistung.<br />
Alle Arten von Spyware drücken die Systemleistung, weil sie Ressourcen des<br />
Computers für ihre eigenen Zwecke missbrauchen. Im Unterschied zu Viren und Würmern<br />
vermehrt sich Spyware nicht selbst.<br />
Adware Adware ähnelt Spyware, die beiden Typen werden auch oft zusammen <strong>in</strong>stalliert.<br />
Adware verfolgt den Zweck, dem Benutzer Werbung <strong>in</strong> Form von Popupfenstern<br />
oder Webbrowsermanipulationen aufzuzw<strong>in</strong>gen. Adware kann außerdem Spyware herunterladen<br />
und <strong>in</strong>stallieren.<br />
H<strong>in</strong>weis Spyware und Adware<br />
Der Begriff Spyware wird oft als Sammelbegriff für jegliche unerwünschte Software<br />
verwendet, die im H<strong>in</strong>tergrund läuft und Marktforschungsdaten sammelt, Werbung anzeigt<br />
oder das Verhalten von Anwendungen wie Webbrowsern manipuliert. Microsoft<br />
verwendet die Phrase »Spyware und potenziell unerwünschte Software«, um Software<br />
zu bezeichnen, die unerwünscht, aber nicht zwangsläufig schädlich ist.<br />
Backdoor E<strong>in</strong> Backdoor (H<strong>in</strong>tertür) ist e<strong>in</strong> Programm, mit dem e<strong>in</strong> unautorisierter<br />
Angreifer sich über das Netzwerk vollständige Kontrolle über e<strong>in</strong> System verschaffen<br />
kann, weil die normalen Authentifizierungsmechanismen des Systems e<strong>in</strong>fach umgangen<br />
werden. Backdoors werden bisweilen von Würmern <strong>in</strong>stalliert, die e<strong>in</strong>e Sicherheitslücke<br />
<strong>in</strong> e<strong>in</strong>em verbreiteten Programm ausnutzen. Um Ihr System vor Backdoors zu schützen,<br />
müssen Sie Ihre Anwendungen (und nicht nur das Betriebssystem) bei Updates unbed<strong>in</strong>gt<br />
auf dem neuesten Stand halten.<br />
Rootkit E<strong>in</strong> Rootkit ist e<strong>in</strong> hartnäckiger Malwaretyp, der sich selbst unterhalb der<br />
Anwendungsebene e<strong>in</strong>schleust. Daher ist es aus dem Betriebssystem heraus meist nur<br />
sehr schwer zu entdecken. E<strong>in</strong> Rootkit kann die zentralen Funktionen des Betriebssystems<br />
verändern oder sich selbst als Betriebssystem <strong>in</strong>stallieren, das für den Benutzer<br />
und die meisten Antimalwareprogramme unsichtbar ist. Andere Rootkits arbeiten auf der<br />
Ebene der Firmware (BIOS). Rootkits werden meist benutzt, um e<strong>in</strong> Backdoor <strong>in</strong> e<strong>in</strong><br />
System zu öffnen.<br />
Die Vielfalt und Zahl von Malware hat zwar zugenommen, aber auch die Abwehrmechanismen<br />
gegen diese Bedrohungen haben sich verbessert. Ist beispielsweise die UAC <strong>in</strong> <strong>W<strong>in</strong>dows</strong><br />
7 aktiviert, kann sich Malware nicht e<strong>in</strong>fach <strong>in</strong>stallieren, ohne dass der Benutzer etwas<br />
davon bemerkt. Der nächste Abschnitt bietet e<strong>in</strong>en Überblick über die UAC, die <strong>in</strong> <strong>W<strong>in</strong>dows</strong><br />
Vista erstmals e<strong>in</strong>geführt und <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 weiter verbessert wurde.
Grundlagen der Benutzerkontensteuerung<br />
Lektion 1: Beseitigen von Malwareproblemen 199<br />
Die Benutzerkontensteuerung (User Account Control, UAC) ist e<strong>in</strong> Satz Sicherheitsfeatures,<br />
die die Gefahren verr<strong>in</strong>gern sollen, die auftreten, wenn Sie <strong>W<strong>in</strong>dows</strong> als Adm<strong>in</strong>istrator benutzen.<br />
Andererseits soll sie die Arbeit so bequem wie möglich machen, wenn Sie <strong>W<strong>in</strong>dows</strong><br />
als Standardbenutzer ausführen. In älteren <strong>W<strong>in</strong>dows</strong>-Versionen vor <strong>W<strong>in</strong>dows</strong> Vista gab es<br />
erhebliche Risiken, wenn sie sich als Adm<strong>in</strong>istrator anmeldeten. Dennoch war diese Praxis<br />
weit verbreitet. Dagegen war es im Allgeme<strong>in</strong>en sicher, sich als Standardbenutzer anzumelden,<br />
aber weil es oft unbequem war, verzichteten viele darauf.<br />
In <strong>W<strong>in</strong>dows</strong>-Versionen vor <strong>W<strong>in</strong>dows</strong> Vista konnte Malware die Anmelde<strong>in</strong>formationen e<strong>in</strong>es<br />
lokal angemeldeten Adm<strong>in</strong>istrators missbrauchen, um das System zu beschädigen. Wenn Sie<br />
beispielsweise als Adm<strong>in</strong>istrator an <strong>W<strong>in</strong>dows</strong> XP angemeldet waren und unwissentlich e<strong>in</strong><br />
Trojanisches Pferd aus e<strong>in</strong>em Netzwerk herunterluden, konnte diese Malware Ihre adm<strong>in</strong>istrativen<br />
Privilegien ausnutzen, um Ihre Festplatte neu zu formatieren, alle Ihre Dateien zu<br />
löschen oder e<strong>in</strong> verborgenes Adm<strong>in</strong>istratorkonto auf dem lokalen System anzulegen.<br />
Benutzer arbeiteten <strong>in</strong> älteren <strong>W<strong>in</strong>dows</strong>-Versionen trotz dieser Gefahren <strong>in</strong> erster L<strong>in</strong>ie deshalb<br />
als Adm<strong>in</strong>istratoren, weil viele häufig durchgeführte Aufgaben, etwa das Installieren<br />
e<strong>in</strong>er Anwendung oder das H<strong>in</strong>zufügen e<strong>in</strong>es Druckers, nur von e<strong>in</strong>em Benutzer durchgeführt<br />
werden durften, der adm<strong>in</strong>istrative Privilegien auf dem lokalen Computer hatte. Weil es <strong>in</strong><br />
älteren <strong>W<strong>in</strong>dows</strong>-Versionen ke<strong>in</strong>e e<strong>in</strong>fache Methode gab, sich als Standardbenutzer anzumelden<br />
und bei Bedarf zu e<strong>in</strong>em Adm<strong>in</strong>istrator »aufzusteigen«, konfigurierten viele Organisationen,<br />
deren Benutzer gelegentlich adm<strong>in</strong>istrative Privilegien brauchten, ihre Benutzer<br />
e<strong>in</strong>fach als Adm<strong>in</strong>istratoren auf ihren lokalen Computern.<br />
H<strong>in</strong>weis Was ist Anhebung?<br />
Der Begriff »Anhebung« (elevation) bedeutet, dass e<strong>in</strong> Benutzer adm<strong>in</strong>istrative Privilegien<br />
bekommt, um e<strong>in</strong>e Aufgabe auszuführen.<br />
Wie begegnet die UAC dem Problem der Adm<strong>in</strong>istratorprivilegien?<br />
Die UAC ist das Ergebnis e<strong>in</strong>es neuen <strong>W<strong>in</strong>dows</strong>-Sicherheitsentwurfs, <strong>in</strong> dem sowohl Standardbenutzer<br />
als auch Adm<strong>in</strong>istratoren lediglich die e<strong>in</strong>geschränkten Privilegien e<strong>in</strong>es Standardbenutzers<br />
gewährt bekommen, um die meisten Aktionen auszuführen. Während Benutzer<br />
angemeldet s<strong>in</strong>d, fordert die UAC sie auf unterschiedliche Weise auf, Aktionen zu bestätigen,<br />
die wichtige Änderungen am Computer vornehmen. Ist e<strong>in</strong> Adm<strong>in</strong>istrator angemeldet, wird<br />
die Aktion nur ausgeführt, wenn er sie genehmigt. Ist dagegen e<strong>in</strong> Standardbenutzer angemeldet,<br />
wird die Aktion nur durchgeführt, wenn er die Anmelde<strong>in</strong>formationen e<strong>in</strong>es Adm<strong>in</strong>istrators<br />
e<strong>in</strong>gibt. In beiden Fällen ist die Anhebung auf die Privilegebene e<strong>in</strong>es Adm<strong>in</strong>istrators<br />
temporär; sie wird nur wirksam, um die gewünschte Aktion auszuführen. Mit diesem<br />
neuen System verh<strong>in</strong>dert die UAC, dass Malware heimlich die Privilegien e<strong>in</strong>es angemeldeten<br />
Adm<strong>in</strong>istrators nutzt.<br />
Grundlagen der UAC-Benachrichtigungen für Adm<strong>in</strong>istratoren<br />
In der Standarde<strong>in</strong>stellung ist die UAC so konfiguriert, dass sie Adm<strong>in</strong>istratoren nur benachrichtigt,<br />
wenn Programme e<strong>in</strong>e Anhebung anfordern. Beispielsweise bekommen Adm<strong>in</strong>istratoren<br />
e<strong>in</strong>e UAC-Benachrichtigung angezeigt, wenn sie versuchen, e<strong>in</strong> Programm (etwa<br />
Cmd.exe) mit erhöhten Adm<strong>in</strong>istratorprivilegien auszuführen (Abbildung 5.1). Bei dieser
200 Kapitel 5: Schützen von Clientsystemen<br />
Standarde<strong>in</strong>stellung erhalten Adm<strong>in</strong>istratoren <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 ke<strong>in</strong>e UAC-Benachrichtigung,<br />
wenn sie <strong>W<strong>in</strong>dows</strong>-E<strong>in</strong>stellungen ändern, die Adm<strong>in</strong>istratorprivilegien benötigen.<br />
Abbildung 5.1 Öffnen e<strong>in</strong>er E<strong>in</strong>gabeaufforderung mit erhöhten Rechten<br />
H<strong>in</strong>weis Änderungen am UAC-Verhalten <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
Für Adm<strong>in</strong>istratoren hat sich das Standardverhalten der UAC <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 gegenüber <strong>W<strong>in</strong>dows</strong><br />
Vista und <strong>W<strong>in</strong>dows</strong> Server 2008 deutlich geändert. In diesen Betriebssystemen zeigte<br />
die UAC standardmäßig e<strong>in</strong>e E<strong>in</strong>gabeaufforderung an, wenn irgende<strong>in</strong>e Anhebung angefordert<br />
wurde, also auch, wenn e<strong>in</strong> Adm<strong>in</strong>istrator versuchte, <strong>W<strong>in</strong>dows</strong>-E<strong>in</strong>stellungen zu verändern.<br />
In <strong>W<strong>in</strong>dows</strong> 7 müssen Adm<strong>in</strong>istratoren seltener UAC-E<strong>in</strong>gabeaufforderungen bestätigen.<br />
Die UAC-Benachrichtigung, die Adm<strong>in</strong>istratoren normalerweise angezeigt bekommen, ist<br />
e<strong>in</strong>e sogenannte Zustimmungs-E<strong>in</strong>gabeaufforderung (Abbildung 5.2). In der Standarde<strong>in</strong>stellung<br />
verdunkelt sich der gesamte Bildschirm, wenn die Benachrichtigung ersche<strong>in</strong>t, und<br />
bleibt so lange e<strong>in</strong>gefroren, bis der Benutzer die E<strong>in</strong>gabeaufforderung bestätigt hat. Dieses<br />
Feature heißt sicherer Desktop, es kann bei Bedarf deaktiviert werden.<br />
H<strong>in</strong>weis Klären Sie die Benutzer über UAC-E<strong>in</strong>gabeaufforderungen auf!<br />
UAC-Benachrichtigungen haben die Aufgabe, Benutzer zu warnen, wenn die Gefahr besteht,<br />
dass Malware ihren Computer beschädigt. Würde Malware e<strong>in</strong>e Anhebung für irgende<strong>in</strong>e<br />
Operation anfordern, würde sie ebenfalls e<strong>in</strong>e Benachrichtigung wie <strong>in</strong> den Abbildungen 5.2<br />
oder 5.3 auslösen. Daher kann die UAC nur dann Malware abwehren, wenn die Benutzer<br />
auch richtig reagieren. Sie müssen den Benutzern beibr<strong>in</strong>gen (und Ihre Adm<strong>in</strong>istratorkollegen<br />
diskret er<strong>in</strong>nern), dass sie auf Ne<strong>in</strong> oder Abbrechen klicken sollen, wenn sie e<strong>in</strong>e UAC-<br />
Benachrichtigung angezeigt bekommen, die sie nicht selbst veranlasst haben.
Lektion 1: Beseitigen von Malwareproblemen 201<br />
Abbildung 5.2 In der Standarde<strong>in</strong>stellung zeigt die UAC e<strong>in</strong>e Zustimmungs-<br />
E<strong>in</strong>gabeaufforderung auf dem sicheren Desktop an, wenn Adm<strong>in</strong>istratoren die<br />
Ausführung e<strong>in</strong>es Programms mit Anhebung anfordern<br />
Grundlagen der UAC-Benachrichtigungen für Standardbenutzer<br />
Standardbenutzer bekommen andere UAC-Benachrichtigungen angezeigt als Adm<strong>in</strong>istratoren.<br />
In diesen Benachrichtigungen werden die Standardbenutzer aufgefordert, die Anmelde<strong>in</strong>formationen<br />
e<strong>in</strong>es Adm<strong>in</strong>istrators e<strong>in</strong>zugeben. Wie Adm<strong>in</strong>istratoren erhalten auch Standardbenutzer<br />
<strong>in</strong> der Standarde<strong>in</strong>stellung UAC-Benachrichtigungen, wenn sie versuchen, e<strong>in</strong><br />
Programm wie die E<strong>in</strong>gabeaufforderung mit erhöhten Privilegien auszuführen, oder wenn<br />
e<strong>in</strong> Programm selbstständig e<strong>in</strong>e Anhebung anfordert. Außerdem bekommen Standardbenutzer<br />
normalerweise e<strong>in</strong>e UAC-Benachrichtigung angezeigt, wenn sie versuchen, Änderungen<br />
am System durchzuführen, die Adm<strong>in</strong>istratorprivilegien erfordern. Öffnet e<strong>in</strong> Standardbenutzer<br />
beispielsweise <strong>in</strong> der Systemsteuerung die Seite System und klickt auf Remotee<strong>in</strong>stellungen,<br />
bekommt er die E<strong>in</strong>gabeaufforderung aus Abbildung 5.3 angezeigt, <strong>in</strong> der er nach<br />
Anmelde<strong>in</strong>formationen gefragt wird.<br />
H<strong>in</strong>weis Für normale Benutzer ist das Standardverhalten der UAC <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 unverändert<br />
Die UAC stellt <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 zwar viele Benachrichtigungsebenen zur Verfügung, die es <strong>in</strong><br />
<strong>W<strong>in</strong>dows</strong> Vista oder <strong>W<strong>in</strong>dows</strong> Server 2008 nicht gab, aber das Standardverhalten für normale<br />
Benutzer ist gleich geblieben. Jedes Mal, wenn e<strong>in</strong> Standardbenutzer versucht, e<strong>in</strong>e Änderung<br />
durchzuführen, für die Adm<strong>in</strong>istratorprivilegien benötigt werden, ersche<strong>in</strong>t e<strong>in</strong>e E<strong>in</strong>gabeaufforderung<br />
nach Anmelde<strong>in</strong>formationen auf dem sicheren Desktop.
202 Kapitel 5: Schützen von Clientsystemen<br />
Abbildung 5.3 In der Standarde<strong>in</strong>stellung zeigt die UAC e<strong>in</strong>e E<strong>in</strong>gabeaufforderung nach Anmelde<strong>in</strong>formationen<br />
auf dem sicheren Desktop an, wenn e<strong>in</strong> Standardbenutzer e<strong>in</strong>e Anhebung anfordert<br />
Konfigurieren der UAC <strong>in</strong> der Systemsteuerung<br />
In e<strong>in</strong>er Domänenumgebung wird empfohlen, die UAC zentral mithilfe von Gruppenrichtl<strong>in</strong>ien<br />
zu steuern, statt die E<strong>in</strong>stellungen auf jedem Computer lokal zu konfigurieren. In<br />
Arbeitsgruppenumgebungen oder <strong>in</strong> Domänenumgebungen, wo Gruppenrichtl<strong>in</strong>ien e<strong>in</strong>e<br />
lokale UAC-Konfiguration erlauben, können Sie die UAC <strong>in</strong> der Systemsteuerung konfigurieren.<br />
Gehen Sie folgendermaßen vor, um die UAC <strong>in</strong> der Systemsteuerung zu konfigurieren:<br />
1. Klicken Sie <strong>in</strong> der Systemsteuerung auf System und Sicherheit.<br />
2. Klicken Sie unter Wartungscenter auf E<strong>in</strong>stellungen der Benutzerkontensteuerung ändern<br />
(Abbildung 5.4).<br />
Daraufh<strong>in</strong> öffnet sich das Fenster E<strong>in</strong>stellungen für Benutzerkontensteuerung (Abbildung<br />
5.5). Beachten Sie, dass hier für Adm<strong>in</strong>istratoren und Standardbenutzer unterschiedliche<br />
Optionen verfügbar s<strong>in</strong>d und dass jeder Benutzertyp e<strong>in</strong>e andere Standarde<strong>in</strong>stellung<br />
hat.
Abbildung 5.4 UAC-E<strong>in</strong>stellungen ändern Sie im Wartungscenter<br />
Lektion 1: Beseitigen von Malwareproblemen 203<br />
Abbildung 5.5 Bei der UAC haben Sie die Wahl zwischen vier Benachrichtigungsstufen<br />
3. Wählen Sie e<strong>in</strong>e der folgenden Benachrichtigungsstufen:<br />
Immer benachrichtigen Dies ist die Standarde<strong>in</strong>stellung für normale Benutzer. In<br />
dieser Stufe ist die UAC so konfiguriert, dass sie sich wie <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Vista verhält.<br />
Die Benutzer werden benachrichtigt, sobald versucht wird, am System Änderungen<br />
vorzunehmen, für die Adm<strong>in</strong>istratorprivilegien erforderlich s<strong>in</strong>d.<br />
Nur benachrichtigen, wenn Änderungen am Computer von Programmen vorgenommen<br />
werden Dies ist die Standardstufe für Adm<strong>in</strong>istratoren, für normale<br />
Benutzer steht sie nicht zur Verfügung. Bei dieser Stufe werden Adm<strong>in</strong>istratoren<br />
nicht benachrichtigt, wenn sie selbst Änderungen vornehmen, die Adm<strong>in</strong>istratorprivilegien<br />
erfordern. Dagegen werden sie über e<strong>in</strong>e Zustimmungs-E<strong>in</strong>gabeaufforderung<br />
benachrichtigt, wenn e<strong>in</strong> Programm e<strong>in</strong>e Anhebung anfordert.<br />
In folgenden Situationen immer benachrichtigen (und Desktop nicht abblenden)<br />
Diese Stufe steht für Adm<strong>in</strong>istratoren nicht zur Verfügung. Sie ähnelt der
204 Kapitel 5: Schützen von Clientsystemen<br />
Standarde<strong>in</strong>stellung für normale Benutzer, allerd<strong>in</strong>gs wird niemals der sichere<br />
Desktop angezeigt. Wenn Sie den sicheren Desktop deaktivieren, verr<strong>in</strong>gert das den<br />
Schutz vor Malware, verbessert aber die Benutzerfreundlichkeit. Diese E<strong>in</strong>stellung<br />
eignet sich für Standardbenutzer, die sehr oft e<strong>in</strong>e Anhebung anfordern.<br />
Nur benachrichtigen, wenn Änderungen am Computer von Programmen vorgenommen<br />
werden (Desktop nicht abblenden) Diese Stufe steht sowohl für<br />
Standardbenutzer als auch Adm<strong>in</strong>istratoren zur Verfügung. Ihr Verhalten gleicht der<br />
Standardstufe für Adm<strong>in</strong>istratoren (»Nur benachrichtigen, wenn Änderungen am<br />
Computer von Programmen vorgenommen werden«), aber bei dieser Stufe wird der<br />
sichere Desktop nicht angezeigt.<br />
Nie benachrichtigen Diese Stufe deaktiviert die Benachrichtigungen der UAC.<br />
Benutzer werden über ke<strong>in</strong>erlei Änderungen an den <strong>W<strong>in</strong>dows</strong>-E<strong>in</strong>stellungen oder<br />
Installation von Software benachrichtigt. Diese Option ist nur s<strong>in</strong>nvoll, wenn Sie<br />
Programme e<strong>in</strong>setzen, die zur UAC <strong>in</strong>kompatibel s<strong>in</strong>d.<br />
4. Klicken Sie auf OK.<br />
Konfigurieren der UAC mithilfe von Gruppenrichtl<strong>in</strong>ien<br />
Sie können die UAC über die lokale Sicherheitsrichtl<strong>in</strong>ie oder Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen<br />
konfigurieren. Die Richtl<strong>in</strong>iene<strong>in</strong>stellungen für die UAC f<strong>in</strong>den Sie im folgenden Knoten<br />
e<strong>in</strong>es Gruppenrichtl<strong>in</strong>ienobjekts:<br />
Computerconfiguration\Richtl<strong>in</strong>ien\<strong>W<strong>in</strong>dows</strong>-Sett<strong>in</strong>gs\Sicherheitse<strong>in</strong>stellungen\Lokale<br />
Richtl<strong>in</strong>ien\Sicherheitsoptionen<br />
Abbildung 5.6 zeigt die Richtl<strong>in</strong>ien <strong>in</strong> diesem Knoten.<br />
Abbildung 5.6 Sie f<strong>in</strong>den die UAC-E<strong>in</strong>stellungen <strong>in</strong> e<strong>in</strong>em Gruppenrichtl<strong>in</strong>ienobjekt oder <strong>in</strong> der<br />
lokalen Sicherheitsrichtl<strong>in</strong>ie unter Sicherheitsoptionen<br />
Für die UAC stehen 10 Richtl<strong>in</strong>iene<strong>in</strong>stellungen zur Verfügung, die <strong>in</strong> diesem Abschnitt<br />
beschrieben werden.<br />
Benutzerkontensteuerung: Adm<strong>in</strong>istratorbestätigungsmodus für das <strong>in</strong>tegrierte<br />
Adm<strong>in</strong>istratorkonto Diese Richtl<strong>in</strong>ie betrifft nur das vordef<strong>in</strong>ierte Adm<strong>in</strong>istratorkonto,<br />
nicht die anderen Konten, die Mitglieder der lokalen Gruppe Adm<strong>in</strong>istratoren
Lektion 1: Beseitigen von Malwareproblemen 205<br />
s<strong>in</strong>d. Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung aktivieren, bekommt das vordef<strong>in</strong>ierte<br />
Adm<strong>in</strong>istratorkonto dieselben UAC-Benachrichtigungen angezeigt wie alle anderen<br />
adm<strong>in</strong>istrativen Konten. Wenn Sie diese E<strong>in</strong>stellung deaktivieren, verhält sich das<br />
vordef<strong>in</strong>ierte Adm<strong>in</strong>istratorkonto wie <strong>in</strong> <strong>W<strong>in</strong>dows</strong> XP, und alle Prozesse laufen mit<br />
Adm<strong>in</strong>istratorprivilegien. Diese E<strong>in</strong>stellung ist <strong>in</strong> der Standarde<strong>in</strong>stellung deaktiviert.<br />
Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne<br />
sicheren Desktop anfordern Diese E<strong>in</strong>stellung steuert, ob UIAccess-Programme<br />
(User Interface Accessibility) den sicheren Desktop automatisch deaktivieren dürfen.<br />
Wenn diese Richtl<strong>in</strong>ie aktiviert ist, deaktivieren UIAccess-Anwendungen (beispielsweise<br />
die Remoteunterstützung) automatisch den sicheren Desktop für Anhebungsaufforderungen.<br />
Ist der sichere Desktop deaktiviert, werden Anhebungsaufforderungen auf<br />
dem Standarddesktop angezeigt. In der Standarde<strong>in</strong>stellung ist diese E<strong>in</strong>stellung <strong>in</strong> der<br />
lokalen Sicherheitsrichtl<strong>in</strong>ie deaktiviert.<br />
Benutzerkontensteuerung: Verhalten der E<strong>in</strong>gabeaufforderung für erhöhte Rechte<br />
für Adm<strong>in</strong>istratoren im Adm<strong>in</strong>istratorbestätigungsmodus Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung<br />
steuert das Verhalten der Anhebungse<strong>in</strong>gabeaufforderung für Adm<strong>in</strong>istratoren.<br />
Es stehen sechs Optionen zur Wahl:<br />
Erhöhte Rechte ohne E<strong>in</strong>gabeanforderung Bei dieser Option bekommen Adm<strong>in</strong>istratoren<br />
niemals Anhebungsaufforderungen angezeigt.<br />
E<strong>in</strong>gabeaufforderung zu Anmelde<strong>in</strong>formationen auf dem sicheren Desktop<br />
Wenn Sie diese Option auswählen, bekommen Adm<strong>in</strong>istratoren e<strong>in</strong>e E<strong>in</strong>gabeaufforderung<br />
nach Anmelde<strong>in</strong>formationen auf dem sicheren Desktop angezeigt, sobald<br />
e<strong>in</strong>e Anhebung angefordert wird.<br />
E<strong>in</strong>gabeaufforderung zur Zustimmung auf dem sicheren Desktop Bei dieser<br />
Option bekommen Adm<strong>in</strong>istratoren e<strong>in</strong>e Zustimmungs-E<strong>in</strong>gabeaufforderung auf<br />
dem sicheren Desktop angezeigt, wenn e<strong>in</strong>e Anhebung angefordert wird.<br />
E<strong>in</strong>gabeaufforderung zu Anmelde<strong>in</strong>formationen Ist diese Option ausgewählt,<br />
bekommen Adm<strong>in</strong>istratoren e<strong>in</strong>e E<strong>in</strong>gabeaufforderung nach Anmelde<strong>in</strong>formationen<br />
auf dem normalen Desktop angezeigt, wenn e<strong>in</strong>e Anhebung angefordert wird.<br />
E<strong>in</strong>gabeaufforderung zur Zustimmung Wenn diese Option ausgewählt ist, bekommen<br />
Adm<strong>in</strong>istratoren e<strong>in</strong>e Zustimmungs-E<strong>in</strong>gabeaufforderung auf dem normalen<br />
Desktop angezeigt, wenn e<strong>in</strong>e Anhebung angefordert wird.<br />
E<strong>in</strong>gabeaufforderung zur Zustimmung für Nicht-<strong>W<strong>in</strong>dows</strong>-B<strong>in</strong>ärdateien Dies<br />
ist die Standarde<strong>in</strong>stellung <strong>in</strong> der lokalen Sicherheitsrichtl<strong>in</strong>ie. Dabei wird e<strong>in</strong>e<br />
Zustimmungs-E<strong>in</strong>gabeaufforderung angezeigt, wann immer e<strong>in</strong>e Anwendung e<strong>in</strong>e<br />
Anhebung anfordert.<br />
Benutzerkontensteuerung: Verhalten der E<strong>in</strong>gabeaufforderung für erhöhte Rechte für<br />
Standardbenutzer Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung steuert das Verhalten der Anhebungsaufforderung<br />
für Standardbenutzer. Es stehen drei Optionen zur Wahl:<br />
Anforderungen für erhöhte Rechte automatisch ablehnen Wenn diese Option<br />
verwendet wird, können Standardbenutzer ke<strong>in</strong>e Aufgaben durchführen, die e<strong>in</strong>e<br />
Anhebung erfordern.<br />
E<strong>in</strong>gabeaufforderung zu Anmelde<strong>in</strong>formationen auf dem sicheren Desktop<br />
Bei dieser Option (Standarde<strong>in</strong>stellung <strong>in</strong> der lokalen Sicherheitsrichtl<strong>in</strong>ie) bekom-
206 Kapitel 5: Schützen von Clientsystemen<br />
men Standardbenutzer e<strong>in</strong>e E<strong>in</strong>gabeaufforderung nach Anmelde<strong>in</strong>formationen auf<br />
dem sicheren Desktop angezeigt, wenn e<strong>in</strong>e Anhebung angefordert wird.<br />
E<strong>in</strong>gabeaufforderung zu Anmelde<strong>in</strong>formationen Wenn diese Option ausgewählt<br />
ist, bekommen Standardbenutzer e<strong>in</strong>e E<strong>in</strong>gabeaufforderung nach Anmelde<strong>in</strong>formationen<br />
auf dem normalen Desktop angezeigt, wenn e<strong>in</strong>e Anhebung angefordert wird.<br />
Benutzerkontensteuerung: Anwendungs<strong>in</strong>stallationen erkennen und erhöhte<br />
Rechte anfordern Wenn diese Richtl<strong>in</strong>iene<strong>in</strong>stellung aktiviert ist, fordert die UAC<br />
adm<strong>in</strong>istrative Anmelde<strong>in</strong>formationen an, wenn der Benutzer versucht, e<strong>in</strong>e Anwendung<br />
zu <strong>in</strong>stallieren, die Änderungen an geschützten Bereichen des Systems vornimmt. Wenn<br />
die E<strong>in</strong>stellung deaktiviert ist, ersche<strong>in</strong>t die E<strong>in</strong>gabeaufforderung nicht. Domänenumgebungen,<br />
die Technologien für delegierte Installation e<strong>in</strong>setzen, zum Beispiel GPSI<br />
(Group Policy Software Install) oder Microsoft Systems Management Server (SMS),<br />
können dieses Feature problemlos deaktivieren, weil Installationsvorgänge automatisch<br />
die Privilegien anheben können, ohne dass der Benutzer e<strong>in</strong>greifen muss. In der Standarde<strong>in</strong>stellung<br />
ist diese E<strong>in</strong>stellung <strong>in</strong> der lokalen Sicherheitsrichtl<strong>in</strong>ie aktiviert.<br />
Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und<br />
überprüft s<strong>in</strong>d Wenn diese Richtl<strong>in</strong>ie aktiviert ist, weigert sich <strong>W<strong>in</strong>dows</strong> 7, irgende<strong>in</strong>e<br />
ausführbare Datei auszuführen, die nicht mit e<strong>in</strong>em vertrauenswürdigen Zertifikat signiert<br />
ist, also zum Beispiel e<strong>in</strong>em Zertifikat, das von e<strong>in</strong>er <strong>in</strong>ternen PKI (Public Key Infrastructure)<br />
generiert wurde. Ist die Richtl<strong>in</strong>ie deaktiviert, dürfen Benutzer beliebige ausführbare<br />
Dateien starten, potenziell also auch Malware. Falls Ihre Umgebung voraussetzt,<br />
dass alle Anwendungen (auch <strong>in</strong>tern entwickelte Anwendungen) mit e<strong>in</strong>em vertrauenswürdigen<br />
Zertifikat signiert und überprüft se<strong>in</strong> müssen, können Sie diese Richtl<strong>in</strong>ie<br />
aktivieren und die Sicherheit <strong>in</strong> Ihrer Organisation auf diese Weise deutlich erhöhen.<br />
Diese E<strong>in</strong>stellung ist <strong>in</strong> der lokalen Sicherheitsrichtl<strong>in</strong>ie standardmäßig deaktiviert.<br />
Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an<br />
sicheren Orten <strong>in</strong>stalliert s<strong>in</strong>d Wenn diese Richtl<strong>in</strong>ie aktiviert ist, erlaubt <strong>W<strong>in</strong>dows</strong> 7<br />
nur Anwendungen, die aus den Ordnern Program Files, Program Files (x86), \<strong>W<strong>in</strong>dows</strong>\<br />
System32\ oder e<strong>in</strong>em Unterverzeichnis davon gestartet wurden, Zugriff auf die Benutzeroberfläche.<br />
Wenn die Richtl<strong>in</strong>ie deaktiviert ist, wird Anwendungen unabhängig davon,<br />
von welchem Ort <strong>in</strong> der Dateistruktur sie gestartet wurden, Zugriff auf die Benutzeroberfläche<br />
gewährt. Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung ist <strong>in</strong> der lokalen Sicherheitsrichtl<strong>in</strong>ie standardmäßig<br />
aktiviert.<br />
Benutzerkontensteuerung: Alle Adm<strong>in</strong>istratoren im Adm<strong>in</strong>istratorbestätigungsmodus<br />
ausführen Diese E<strong>in</strong>stellung ist <strong>in</strong> der Standarde<strong>in</strong>stellung <strong>in</strong> der lokalen<br />
Sicherheitsrichtl<strong>in</strong>ie aktiviert. Sie bewirkt, dass alle Konten mit Adm<strong>in</strong>istratorprivilegien<br />
außer dem lokalen Adm<strong>in</strong>istratorkonto e<strong>in</strong>e Zustimmungs-E<strong>in</strong>gabeaufforderung angezeigt<br />
bekommen, wenn e<strong>in</strong>e Anhebung angefordert wird. Wenn Sie diese E<strong>in</strong>stellung<br />
deaktivieren, bekommen Adm<strong>in</strong>istratoren niemals Zustimmungs-E<strong>in</strong>gabeaufforderung<br />
angezeigt und das Sicherheitscenter zeigt e<strong>in</strong>e Warnmeldung an.<br />
Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum<br />
sicheren Desktop wechseln Der sichere Desktop ist e<strong>in</strong> Feature, das den Bildschirm<br />
verdunkelt und alle Aktivitäten außer der UAC-E<strong>in</strong>gabeaufforderung e<strong>in</strong>friert. Es verr<strong>in</strong>gert<br />
die Gefahr, dass Malware funktioniert, aber manche Benutzer stört, dass dieses<br />
Feature ihre Arbeit zu sehr verzögert. Wenn diese Richtl<strong>in</strong>iene<strong>in</strong>stellung aktiviert ist,<br />
wird auf den sicheren Desktop gewechselt, wenn e<strong>in</strong>e UAC-E<strong>in</strong>gabeaufforderung er-
Lektion 1: Beseitigen von Malwareproblemen 207<br />
sche<strong>in</strong>t. Ist sie deaktiviert, werden UAC-E<strong>in</strong>gabeaufforderungen auf dem normalen<br />
Desktop angezeigt. Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung ist <strong>in</strong> der lokalen Sicherheitsrichtl<strong>in</strong>ie<br />
standardmäßig aktiviert.<br />
Benutzerkontensteuerung: Datei- und Registrierungsschreibfehler an E<strong>in</strong>zelbenutzerstandorte<br />
virtualisieren Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung ist <strong>in</strong> der lokalen Sicherheitsrichtl<strong>in</strong>ie<br />
standardmäßig aktiviert. Sie verbessert die Kompatibilität zu Anwendungen,<br />
die nicht für die UAC entwickelt wurden. Dazu werden Anforderungen nach geschützten<br />
Ressourcen umgeleitet. Ist die Richtl<strong>in</strong>iene<strong>in</strong>stellung deaktiviert, laufen Anwendungen<br />
unter Umständen nicht, wenn sie nicht für die UAC entwickelt wurden.<br />
Deaktivieren der UAC mit der lokalen Sicherheitsrichtl<strong>in</strong>ie oder Gruppenrichtl<strong>in</strong>ien<br />
Mithilfe der lokalen Sicherheitsrichtl<strong>in</strong>ie oder Gruppenrichtl<strong>in</strong>ien können Sie die UAC<br />
deaktivieren. Setzen Sie dazu erst die Richtl<strong>in</strong>ie Benutzerkontensteuerung: Verhalten der<br />
E<strong>in</strong>gabeaufforderung für erhöhte Rechte für Adm<strong>in</strong>istratoren im Adm<strong>in</strong>istratorbestätigungsmodus<br />
auf die Option Erhöhte Rechte ohne E<strong>in</strong>gabeanforderung. Deaktivieren Sie dann die<br />
Richtl<strong>in</strong>ien Benutzerkontensteuerung: Anwendungs<strong>in</strong>stallationen erkennen und erhöhte<br />
Rechte anfordern und Benutzerkontensteuerung: Alle Adm<strong>in</strong>istratoren im Adm<strong>in</strong>istratorbestätigungsmodus<br />
ausführen. Setzen Sie schließlich die Richtl<strong>in</strong>ie Benutzerkontensteuerung:<br />
Verhalten der E<strong>in</strong>gabeaufforderung für erhöhte Rechte für Standardbenutzer auf<br />
Anforderungen für erhöhte Rechte automatisch ablehnen. Starten Sie nun die Computer<br />
neu, auf denen Sie diese neuen E<strong>in</strong>stellungen verwenden wollen.<br />
Empfehlungen für die Verwendung von UAC<br />
Halten Sie sich an die folgenden Verfahrensempfehlungen, um von den Sicherheitsvorteilen<br />
der UAC zu profitieren, aber gleichzeitig die Kosten zu m<strong>in</strong>imieren:<br />
Lassen Sie UAC auf allen Clientcomputern <strong>in</strong> Ihrer Organisation aktiviert.<br />
Sorgen Sie dafür, dass sich alle Benutzer (<strong>in</strong>sbesondere das IT-Personal) mit Standardbenutzerprivilegien<br />
anmelden.<br />
Jeder Benutzer sollte e<strong>in</strong> e<strong>in</strong>zelnes Konto haben, das nur über Standardbenutzerprivilegien<br />
verfügt. Geben Sie normalen Domänenbenutzern ke<strong>in</strong>e Konten mit adm<strong>in</strong>istrativen<br />
Privilegien für ihre lokalen Computer.<br />
Domänenadm<strong>in</strong>istratoren sollten zwei Konten haben: e<strong>in</strong> Standardbenutzerkonto, mit<br />
dem sie sich an ihrem Computer anmelden, und e<strong>in</strong> zweites Adm<strong>in</strong>istratorkonto, mit<br />
dem sie Privilegien anheben können.<br />
Schulen Sie Benutzer, dass sie e<strong>in</strong>e UAC-E<strong>in</strong>gabeaufforderung, die unerwartet ersche<strong>in</strong>t,<br />
nicht e<strong>in</strong>fach bestätigen dürfen. UAC-E<strong>in</strong>gabeaufforderungen sollten nur ersche<strong>in</strong>en,<br />
wenn der Benutzer e<strong>in</strong>e Anwendung <strong>in</strong>stalliert oder e<strong>in</strong> Tool startet, das erhöhte Privilegien<br />
erfordert. E<strong>in</strong>e UAC-E<strong>in</strong>gabeaufforderung, die zu e<strong>in</strong>em anderen Zeitpunkt ersche<strong>in</strong>t,<br />
kann unter Umständen durch Malware generiert worden se<strong>in</strong>. Wenn e<strong>in</strong> Benutzer<br />
e<strong>in</strong>e solche E<strong>in</strong>gabeaufforderung zurückweist, verh<strong>in</strong>dert er dadurch, dass die<br />
Malware dauerhafte Änderungen am Computer vornimmt.
208 Kapitel 5: Schützen von Clientsystemen<br />
Schnelltest<br />
Welche Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellung aktivieren Sie, um zu verh<strong>in</strong>dern, dass ausführbare<br />
Dateien, die nicht mit e<strong>in</strong>em vertrauenswürdigen Zertifikat signiert s<strong>in</strong>d, gestartet werden?<br />
Antwort zum Schnelltest<br />
Benutzerkontensteuerung: Nur ausführbare Dateien heraufstufen, die signiert und überprüft<br />
s<strong>in</strong>d<br />
Während die UAC e<strong>in</strong> Satz von Features ist, die zentrale Bereiche des Betriebssystems möglichst<br />
umfangreich schützen sollen, konzentriert sich e<strong>in</strong> anderes <strong>W<strong>in</strong>dows</strong> 7-Tool, der <strong>W<strong>in</strong>dows</strong>-Defender,<br />
darauf, unerwünschte Software zu erkennen und zu entfernen.<br />
Clients mit <strong>W<strong>in</strong>dows</strong>-Defender vor Spyware schützen<br />
<strong>W<strong>in</strong>dows</strong>-Defender ist e<strong>in</strong> Tool <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7, dessen Aufgabe es ist, Spyware auf e<strong>in</strong>em<br />
Clientsystem zu erkennen und zu entfernen. In der Standarde<strong>in</strong>stellung ist der <strong>W<strong>in</strong>dows</strong>-<br />
Defender so konfiguriert, dass er regelmäßig neue Spywaredef<strong>in</strong>itionen von <strong>W<strong>in</strong>dows</strong> Update<br />
herunterlädt und anhand dieser Def<strong>in</strong>itionen auf dem lokalen System nach Spyware<br />
sucht. In vielen Konstellationen brauchen Sie diese Standardkonfiguration nicht zu ändern.<br />
In großen Netzwerke ist es allerd<strong>in</strong>gs oft s<strong>in</strong>nvoll, e<strong>in</strong>ige Features von <strong>W<strong>in</strong>dows</strong>-Defender<br />
mithilfe von Gruppenrichtl<strong>in</strong>ien zu deaktivieren.<br />
H<strong>in</strong>weis Verwenden von <strong>W<strong>in</strong>dows</strong>-Defender <strong>in</strong> kle<strong>in</strong>en Netzwerken<br />
<strong>W<strong>in</strong>dows</strong>-Defender ist e<strong>in</strong> simples Antimalwareprogramm, das sich für den E<strong>in</strong>satz <strong>in</strong> kle<strong>in</strong>en<br />
Netzwerken oder als Übergangslösung vor der Anschaffung e<strong>in</strong>er leistungsfähigeren Antimalwarelösung<br />
empfiehlt. In großen Netzwerken sollten Sie besser e<strong>in</strong>e zentral verwaltete<br />
Antimalwarelösung verwenden, beispielsweise Microsoft Forefront Client Security.<br />
Sie öffnen <strong>W<strong>in</strong>dows</strong>-Defender, <strong>in</strong>dem Sie <strong>in</strong> der Systemsteuerung die Ansicht Große Symbole<br />
auswählen und dann nach unten zum E<strong>in</strong>trag <strong>W<strong>in</strong>dows</strong>-Defender blättern (Abbildung 5.7).<br />
Stattdessen können Sie auch im Suchfeld des Startmenüs defender e<strong>in</strong>geben und dann <strong>W<strong>in</strong>dows</strong>-Defender<br />
auswählen.<br />
Abbildung 5.8 zeigt das Hauptfenster von <strong>W<strong>in</strong>dows</strong>-Defender.<br />
In der Standarde<strong>in</strong>stellung bietet <strong>W<strong>in</strong>dows</strong>-Defender zwei Arten von Schutz:<br />
Automatische Suche <strong>W<strong>in</strong>dows</strong>-Defender ist <strong>in</strong> der Standarde<strong>in</strong>stellung so konfiguriert,<br />
dass er jede Nacht um 2 Uhr neue Def<strong>in</strong>itionen herunterlädt und dann e<strong>in</strong>e Schnellsuche<br />
nach Spyware ausführt.<br />
Echtzeitschutz Mit diesem Feature überwacht der <strong>W<strong>in</strong>dows</strong>-Defender die Computernutzung<br />
ständig <strong>in</strong> sensiblen Bereichen, etwa den Autostart-Ordner, die Run-Schlüssel <strong>in</strong><br />
der Registrierung und Internet Explorer-Add-Ons. Versucht e<strong>in</strong>e Anwendung, Änderungen<br />
<strong>in</strong> e<strong>in</strong>em dieser Bereiche vorzunehmen, fragt der <strong>W<strong>in</strong>dows</strong>-Defender beim Benutzer<br />
nach, ob der die Änderung erlauben oder verbieten will.
Abbildung 5.7 Öffnen von <strong>W<strong>in</strong>dows</strong>-Defender<br />
Abbildung 5.8 Der <strong>W<strong>in</strong>dows</strong>-Defender sucht automatisch nach Spyware<br />
Lektion 1: Beseitigen von Malwareproblemen 209<br />
Neben diesen automatischen Funktionen erlaubt Ihnen der <strong>W<strong>in</strong>dows</strong>-Defender auch, von<br />
Hand e<strong>in</strong>e Überprüfung des Systems vorzunehmen. Sie starten e<strong>in</strong>e manuelle Überprüfung,<br />
<strong>in</strong>dem Sie im Menü Überprüfung die Befehle Schnellüberprüfung, Vollständige Überprüfung<br />
oder Benutzerdef<strong>in</strong>ierte Überprüfung wählen (Abbildung 5.9).
210 Kapitel 5: Schützen von Clientsystemen<br />
Abbildung 5.9 Ausführen e<strong>in</strong>er manuellen Überprüfung <strong>in</strong> <strong>W<strong>in</strong>dows</strong>-Defender<br />
Diese drei Überprüfungsarten haben folgende Merkmale:<br />
Schnellüberprüfung Bei dieser Überprüfung werden nur die Bereiche e<strong>in</strong>es Computers<br />
untersucht, die am häufigsten von Spyware oder anderer potenziell unerwünschter<br />
Software <strong>in</strong>fiziert werden. Zu diesen Bereichen gehören der Arbeitsspeicher des Computers<br />
und Teile der Registrierung, die mit Autostartanwendungen verknüpft s<strong>in</strong>d. E<strong>in</strong>e<br />
Schnellüberprüfung reicht aus, um den Großteil der Spyware zu entdecken.<br />
Vollständige Überprüfung Bei dieser Überprüfung werden alle Dateien auf dem<br />
Computer analysiert, darunter gebräuchliche Archivdateien und Anwendungen, die<br />
bereits <strong>in</strong> den Arbeitsspeicher des Computers geladen s<strong>in</strong>d. E<strong>in</strong>e vollständige Überprüfung<br />
dauert üblicherweise mehrere Stunden, unter Umständen ist auch mehr als e<strong>in</strong><br />
Tag nötig. E<strong>in</strong>e vollständige Überprüfung brauchen Sie nur auszuführen, wenn Sie nach<br />
e<strong>in</strong>er Schnellüberprüfung den Verdacht haben, dass der Computer e<strong>in</strong>es Benutzers mit<br />
unerwünschter Software <strong>in</strong>fiziert ist.<br />
Benutzerdef<strong>in</strong>ierte Überprüfung E<strong>in</strong>e benutzerdef<strong>in</strong>ierte Überprüfung beg<strong>in</strong>nt mit<br />
e<strong>in</strong>er Schnellüberprüfung, auf die e<strong>in</strong>e ausführliche Überprüfung bestimmter Teile des<br />
Computers folgt, die Sie <strong>in</strong>dividuell auswählen.<br />
H<strong>in</strong>weis Sie können auf e<strong>in</strong>em Computer arbeiten, während die Überprüfung läuft<br />
Die Überprüfungen verlangsamen den Computer zwar, aber der Benutzer kann weiterarbeiten,<br />
während die Überprüfung läuft. Beachten Sie auch, dass Überprüfungen die Akkus von<br />
mobilen Computern stark belasten.<br />
Entfernen gefundener Spyware<br />
Wenn <strong>W<strong>in</strong>dows</strong>-Defender bei se<strong>in</strong>er Überprüfung Spyware oder potenziell unerwünschte<br />
Software f<strong>in</strong>det, zeigt er e<strong>in</strong>e Warnung an und bietet Ihnen zu jedem entdeckten Element<br />
vier Möglichkeiten:
Lektion 1: Beseitigen von Malwareproblemen 211<br />
Ignorieren Bei dieser Option bleibt die gefundene Software unverändert <strong>in</strong> Ihrem<br />
Computer. Der <strong>W<strong>in</strong>dows</strong>-Defender erkennt sie bei se<strong>in</strong>en nächsten Überprüfungen<br />
wieder. Diese Option ist s<strong>in</strong>nvoll, wenn Sie die Software, die der <strong>W<strong>in</strong>dows</strong>-Defender<br />
gefunden hat, selbst untersuchen wollen, bevor Sie sie löschen.<br />
Quarantäne Diese Option isoliert die gefundene Software. Wenn der <strong>W<strong>in</strong>dows</strong>-<br />
Defender Software <strong>in</strong> Quarantäne schickt, verschiebt er sie an e<strong>in</strong>en anderen Speicherort<br />
<strong>in</strong> Ihrem Computer und verh<strong>in</strong>dert, dass sie ausgeführt wird, bis Sie entscheiden, ob Sie<br />
die Software wiederherstellen oder vom Computer löschen wollen. Diese Option wird<br />
meist benutzt, wenn die erkannte Software nicht erfolgreich entfernt werden kann.<br />
Entfernen Diese Option löscht die gefundene Software von Ihrem Computer. Im Normalfall<br />
sollten Sie diese Option verwenden, sofern ke<strong>in</strong>e zw<strong>in</strong>genden Gründe dagegensprechen.<br />
Immer zulassen Diese Option fügt die Software zur Liste der zugelassenen Programme<br />
im <strong>W<strong>in</strong>dows</strong>-Defender h<strong>in</strong>zu, sodass sie auf Ihrem Computer ausgeführt werden<br />
darf. Der <strong>W<strong>in</strong>dows</strong>-Defender warnt Sie künftig nicht mehr vor Aktionen, die das Programm<br />
ausführt. Sie sollten diese Option nur wählen, wenn Sie der Software und ihrem<br />
Hersteller vertrauen.<br />
Konfigurieren von <strong>W<strong>in</strong>dows</strong>-Defender mithilfe von Gruppenrichtl<strong>in</strong>ien<br />
In e<strong>in</strong>er AD DS-Umgebung wird empfohlen, Clients mithilfe von Gruppenrichtl<strong>in</strong>ien zu<br />
konfigurieren, statt jeden Computer e<strong>in</strong>zeln e<strong>in</strong>zurichten. Die Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen<br />
für <strong>W<strong>in</strong>dows</strong>-Defender f<strong>in</strong>den Sie im Knoten Computerkonfiguration\Richtl<strong>in</strong>ien\Adm<strong>in</strong>istrative<br />
Vorlagen\<strong>W<strong>in</strong>dows</strong>-Komponenten\<strong>W<strong>in</strong>dows</strong>-Defender e<strong>in</strong>es Gruppenrichtl<strong>in</strong>ienobjekts<br />
(Abbildung 5.10).<br />
Abbildung 5.10 Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen für <strong>W<strong>in</strong>dows</strong>-Defender<br />
Für <strong>W<strong>in</strong>dows</strong>-Defender stehen die folgenden 7 Richtl<strong>in</strong>iene<strong>in</strong>stellungen zur Verfügung:<br />
Def<strong>in</strong>itionsaktualisierungen durch WSUS und <strong>W<strong>in</strong>dows</strong> Update e<strong>in</strong>schalten Wenn<br />
Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung aktivieren oder nicht konfigurieren und der Client für<br />
automatische Updates so konfiguriert ist, dass er auf e<strong>in</strong>en WSUS-Server zugreift, ruft<br />
<strong>W<strong>in</strong>dows</strong>-Defender die Def<strong>in</strong>itionsupdates von <strong>W<strong>in</strong>dows</strong> Update ab, sofern die Verb<strong>in</strong>dungen<br />
zu diesem WSUS-Server fehlschlagen. Wenn Sie diese E<strong>in</strong>stellung deaktivieren,<br />
sucht <strong>W<strong>in</strong>dows</strong>-Defender nur anhand der E<strong>in</strong>stellung, die im Client für automatische<br />
Updates konfiguriert ist; also entweder mithilfe e<strong>in</strong>es <strong>in</strong>ternen WSUS-Servers oder über<br />
<strong>W<strong>in</strong>dows</strong> Update.
212 Kapitel 5: Schützen von Clientsystemen<br />
Def<strong>in</strong>itionsaktualisierungen sowohl über WSUS als auch über Microsoft Malware<br />
Protection Center aktivieren Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung aktivieren oder<br />
nicht konfigurieren und der Client für automatische Updates so konfiguriert ist, dass er<br />
auf e<strong>in</strong>en WSUS-Server zugreift, sucht <strong>W<strong>in</strong>dows</strong>-Defender sowohl über WSUS als auch<br />
im Microsoft Malware Protection Center nach Def<strong>in</strong>itionsupdates, falls Verb<strong>in</strong>dungen<br />
zum e<strong>in</strong>gestellten WSUS-Server fehlschlagen. Wenn Sie diese E<strong>in</strong>stellung deaktivieren,<br />
sucht <strong>W<strong>in</strong>dows</strong>-Defender nur anhand der E<strong>in</strong>stellung, die im Client für automatische<br />
Updates konfiguriert ist; also entweder mithilfe e<strong>in</strong>es <strong>in</strong>ternen WSUS-Servers oder über<br />
<strong>W<strong>in</strong>dows</strong> Update.<br />
Vor geplanten Scanvorgängen auf neue Signaturen überprüfen Wenn Sie diese<br />
Richtl<strong>in</strong>iene<strong>in</strong>stellung aktivieren, sucht <strong>W<strong>in</strong>dows</strong>-Defender immer nach neuen Def<strong>in</strong>itionen,<br />
bevor er e<strong>in</strong>e geplante Überprüfung des Computers beg<strong>in</strong>nt. Wenn Sie diese E<strong>in</strong>stellung<br />
deaktivieren oder nicht konfigurieren, sucht der <strong>W<strong>in</strong>dows</strong>-Defender nicht nach<br />
neuen Def<strong>in</strong>itionen, sondern beg<strong>in</strong>nt sofort mit der geplanten Überprüfung.<br />
<strong>W<strong>in</strong>dows</strong>-Defender deaktivieren Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung aktivieren,<br />
führt <strong>W<strong>in</strong>dows</strong>-Defender ke<strong>in</strong>e Echtzeit- oder geplanten Überprüfungen mehr aus. (E<strong>in</strong><br />
Benutzer kann aber weiterh<strong>in</strong> manuelle Überprüfungen ausführen.) Sie sollten diese<br />
E<strong>in</strong>stellung aktivieren, wenn Sie e<strong>in</strong>e leistungsfähigere Antispywarelösung implementiert<br />
haben, beispielsweise Microsoft Forefront Client Security. Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung<br />
deaktivieren oder nicht konfigurieren, führt <strong>W<strong>in</strong>dows</strong>-Defender sowohl<br />
Echtzeitüberprüfungen als auch alle geplanten Überprüfungen aus.<br />
Echtzeitüberwachung deaktivieren Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung aktivieren,<br />
fordert <strong>W<strong>in</strong>dows</strong>-Defender den Benutzer nicht automatisch auf, Aktivitäten <strong>in</strong> geschützten<br />
Bereichen des Betriebssystems zu erlauben oder zu verbieten. Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung<br />
deaktivieren oder nicht konfigurieren, fragt <strong>W<strong>in</strong>dows</strong>-Defender standardmäßig<br />
bei den Benutzern nach, ob sie potenzielle Spywareaktivitäten auf ihrem<br />
Computer erlauben oder unterb<strong>in</strong>den wollen.<br />
Ausführung von Rout<strong>in</strong>emaßnahmen deaktivieren Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung<br />
aktivieren, fragt <strong>W<strong>in</strong>dows</strong>-Defender beim Benutzer nur nach, wie er auf e<strong>in</strong>e<br />
Bedrohung reagieren will, führt aber ke<strong>in</strong>e automatische Aktion aus. Wenn Sie diese<br />
Richtl<strong>in</strong>iene<strong>in</strong>stellung deaktivieren oder nicht konfigurieren, führt <strong>W<strong>in</strong>dows</strong>-Defender<br />
etwa 10 M<strong>in</strong>uten, nachdem er e<strong>in</strong>e Bedrohung entdeckt hat, automatisch e<strong>in</strong>e Aktion<br />
aus.<br />
Microsoft SpyNet-Berichterstattung konfigurieren SpyNet ist e<strong>in</strong>e Onl<strong>in</strong>ecommunity,<br />
die Informationen über Bedrohungen sammelt, die von den Mitgliedern entdeckt<br />
wurden. SpyNet wertet die Reaktionen der Benutzer auf solche Bedrohungen aus und<br />
stellt auf diese Weise fest, welche ungefährlich und welche böswillig s<strong>in</strong>d.<br />
Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung aktivieren und die Option Ke<strong>in</strong>e Mitgliedschaft<br />
auswählen, ist die SpyNet-Mitgliedschaft deaktiviert; es werden ke<strong>in</strong>e Informationen an<br />
Microsoft gesendet. Wenn Sie die Richtl<strong>in</strong>iene<strong>in</strong>stellung aktivieren und die Option Erweitert<br />
auswählen, wird e<strong>in</strong>e erweiterte SpyNet-Mitgliedschaft e<strong>in</strong>gerichtet; dabei werden<br />
Informationen über erkannte Bedrohungen und Ihre Reaktion auf diese Bedrohungen<br />
an Microsoft gesendet.
Lektion 1: Beseitigen von Malwareproblemen 213<br />
Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung deaktivieren oder nicht konfigurieren, ist die Spy-<br />
Net-Mitgliedschaft <strong>in</strong> der Standarde<strong>in</strong>stellung deaktiviert. Lokale Benutzer können die<br />
E<strong>in</strong>stellung der Mitgliedschaft allerd<strong>in</strong>gs ändern.<br />
H<strong>in</strong>weis Verwenden e<strong>in</strong>er startfähigen Antiviren-CD<br />
Wurde e<strong>in</strong> Computer ernsthaft mit Malware <strong>in</strong>fiziert, läuft er unter Umständen so langsam,<br />
dass es schwierig ist, e<strong>in</strong>e Malwareüberprüfung durchzuführen. In diesem Fall ist es s<strong>in</strong>nvoll,<br />
e<strong>in</strong>e Offl<strong>in</strong>eüberprüfung von e<strong>in</strong>er startfähigen CD zu starten, sofern Sie e<strong>in</strong>e zur Hand<br />
haben. Indem Sie die Überprüfung außerhalb von <strong>W<strong>in</strong>dows</strong> ausführen, verh<strong>in</strong>dern Sie, dass<br />
die Malwareprogramme Leistung fressen und das System verlangsamen.<br />
Empfehlungen für die Verwendung von <strong>W<strong>in</strong>dows</strong>-Defender<br />
Sie sollten die folgenden Empfehlungen befolgen, um von den Sicherheitsvorteilen von<br />
<strong>W<strong>in</strong>dows</strong>-Defender zu profitieren und gleichzeitig die Kosten zu m<strong>in</strong>imieren:<br />
Bevor Sie <strong>W<strong>in</strong>dows</strong> 7 bereitstellen, sollten Sie alle Anwendungen testen, während <strong>W<strong>in</strong>dows</strong>-Defender<br />
aktiviert ist. So stellen Sie sicher, dass <strong>W<strong>in</strong>dows</strong>-Defender den Benutzer<br />
nicht wegen normaler Änderungen warnt, die Ihre Anwendungen unter Umständen vornehmen.<br />
Falls e<strong>in</strong>e legitime Anwendung Warnungen auslöst, sollten Sie diese Anwendung<br />
zur Liste der zugelassenen Elemente <strong>in</strong> <strong>W<strong>in</strong>dows</strong>-Defender h<strong>in</strong>zufügen.<br />
Ändern Sie die geplante Zeit für die Überprüfung so, dass sie sich für Ihr <strong>Unternehmen</strong><br />
eignet. In der Standarde<strong>in</strong>stellung führt <strong>W<strong>in</strong>dows</strong>-Defender die Überprüfungen um 2 Uhr<br />
nachts durch. Benutzt die Nachtschicht die Computer während dieser Zeit, sollten Sie<br />
nach e<strong>in</strong>em besser geeigneten Term<strong>in</strong> für die Überprüfung suchen. Sofern Benutzer ihre<br />
Computer ausschalten, während sie nicht im Büro s<strong>in</strong>d, sollten Sie die Überprüfung so<br />
planen, dass sie tagsüber durchgeführt wird.<br />
Verwenden Sie WSUS, um Signaturupdates zu verwalten und zu verteilen.<br />
Verwenden Sie Antivirensoftware <strong>in</strong> Komb<strong>in</strong>ation mit <strong>W<strong>in</strong>dows</strong>-Defender. Stattdessen<br />
können Sie <strong>W<strong>in</strong>dows</strong>-Defender auch völlig deaktivieren und Clientsicherheitssoftware<br />
e<strong>in</strong>setzen, die sowohl Antispyware- als auch Antivirenfunktionen bietet.<br />
Stellen Sie <strong>W<strong>in</strong>dows</strong>-Defender nicht <strong>in</strong> großen <strong>Unternehmen</strong> bereit. Verwenden Sie<br />
stattdessen Forefront oder die Clientsicherheitssuite e<strong>in</strong>es anderen Herstellers, die <strong>in</strong><br />
<strong>Unternehmen</strong>sumgebungen e<strong>in</strong>facher verwaltet werden können.<br />
Weitere Informationen <strong>W<strong>in</strong>dows</strong>-Defender<br />
Weitere Informationen über <strong>W<strong>in</strong>dows</strong>-Defender f<strong>in</strong>den Sie im <strong>W<strong>in</strong>dows</strong> Defender Virtual<br />
Lab Express unter http://www.microsoftvirtuallabs.com/express/registration.aspx?LabId=<br />
92e04589-cdd9-4e69-8b1b-2d131d9037af.<br />
Erkennen, ob e<strong>in</strong> System mit Malware <strong>in</strong>fiziert ist<br />
Als <strong>Support</strong>techniker <strong>in</strong> e<strong>in</strong>em großen <strong>Unternehmen</strong> müssen Sie wissen, wie Sie die Symptome<br />
e<strong>in</strong>er Malware<strong>in</strong>fektion auf Ihren Clientcomputern erkennen. Für den Fall, dass Ihre<br />
Antiviren- und Antispywaresoftware nicht funktioniert oder ke<strong>in</strong>e Malware erkennt, müssen<br />
Sie außerdem wissen, wie Sie Malware von Hand entfernen.
214 Kapitel 5: Schützen von Clientsystemen<br />
Hier e<strong>in</strong>ige Zeichen, dass e<strong>in</strong> Computer von e<strong>in</strong>em Virus, e<strong>in</strong>em Wurm oder e<strong>in</strong>em Trojanischen<br />
Pferd <strong>in</strong>fiziert wurde:<br />
Schlechte Computerleistung<br />
Ungewöhnliche Fehlermeldungen<br />
Verzerrte Menüs und Dialogfelder<br />
Antivirensoftware schaltet sich wiederholt aus.<br />
Der Bildschirm friert e<strong>in</strong>.<br />
Der Computer stürzt ab.<br />
Der Computer startet sich neu.<br />
Anwendungen funktionieren nicht richtig.<br />
Auf Festplattenlaufwerke kann nicht zugegriffen werden oder die Schublade e<strong>in</strong>es CD-<br />
Laufwerks öffnet und schließt sich automatisch.<br />
Benachrichtigungsmeldungen, dass e<strong>in</strong>e Anwendung versucht, Sie aus dem Internet zu<br />
erreichen<br />
Ungewöhnliche Audioausgaben<br />
Druckprobleme<br />
Beachten Sie, dass diese Symptome zwar alles klassische Zeichen für e<strong>in</strong>e Infektion s<strong>in</strong>d,<br />
aber auch durch andere Hardware- oder Softwareprobleme ausgelöst werden können, die<br />
nichts mit Malware zu tun haben.<br />
Zeichen für e<strong>in</strong>e Spyware<strong>in</strong>fektion unterscheiden sich etwas von den anderen Malwaretypen.<br />
Wenn Sie e<strong>in</strong>es der folgenden Symptome beobachten, können Sie Spyware vermuten:<br />
E<strong>in</strong>e neue, unerwartete Anwendung ersche<strong>in</strong>t.<br />
Unerwartete Symbole tauchen <strong>in</strong> der Taskleiste auf.<br />
Unerwartete Benachrichtigungen ersche<strong>in</strong>en nahe dem Infobereich der Taskleiste.<br />
Startseite, Standardsuchmasch<strong>in</strong>e oder Favoriten im Webbrowser ändern sich.<br />
Es ersche<strong>in</strong>en neue Symbolleisten, vor allem <strong>in</strong> Webbrowsern.<br />
Der Mauszeiger verändert sich.<br />
Der Webbrowser zeigt zusätzliche Werbung an, wenn Sie e<strong>in</strong>e Webseite besuchen, oder<br />
Popupwerbung ersche<strong>in</strong>t, während der Benutzer nicht im Web surft.<br />
Wenn der Benutzer versucht, e<strong>in</strong>e Webseite zu besuchen, wird er auf e<strong>in</strong>e völlig andere<br />
Webseite umgeleitet.<br />
Der Computer läuft langsamer als üblich.<br />
Nicht jede Spyware macht sich durch diese typischen Symptome bemerkbar, aber sie kann<br />
trotzdem persönliche Daten ausspähen.<br />
Beseitigen e<strong>in</strong>er Malware<strong>in</strong>fektion<br />
Die wichtigste Gegenmaßnahme im Kampf gegen Malware<strong>in</strong>fektionen besteht dar<strong>in</strong>, sie<br />
überhaupt zu verh<strong>in</strong>dern. Führen Sie dazu täglich Antiviren- und Antispywareprogramme<br />
mit den neuesten Virus- und Spywaredef<strong>in</strong>itionen aus. F<strong>in</strong>det sich dennoch Malware auf
Lektion 1: Beseitigen von Malwareproblemen 215<br />
e<strong>in</strong>em System, sollten Sie nach Möglichkeit die Antimalwareanwendung verwenden, um die<br />
Malware vom Computer zu löschen. Ist das nicht möglich, sollten Sie die Malware <strong>in</strong> Quarantäne<br />
verbannen. Handelt es sich um e<strong>in</strong> neues Malwareprogramm, müssen Sie unter<br />
Umständen e<strong>in</strong> Löschtool ausführen oder die Malware mit mehreren Schritten von Hand<br />
entfernen.<br />
Das alles gilt natürlich für Malware, die erkannt wurde. So wichtig es aber auch ist, Antiviren-<br />
und Antispyware täglich auszuführen, dürfen Sie nicht vergessen, dass ke<strong>in</strong>e Antimalwareanwendung<br />
absoluten Schutz gibt. Viele Malwareprogramme s<strong>in</strong>d gezielt so geschrieben,<br />
dass Antimalwareprogramme sie nicht entdecken. Wenn auch nur e<strong>in</strong> e<strong>in</strong>ziges<br />
böswilliges Programm nach e<strong>in</strong>er Überprüfung zurückbleibt, kann dieses Malwareprogramm<br />
wiederum andere Malware <strong>in</strong>stallieren.<br />
Wenn Sie vermuten, dass e<strong>in</strong> Problem auf Malware zurückzuführen ist, nachdem Sie Antiviren-<br />
und Antispywareanwendungen mit den neuesten Def<strong>in</strong>itionen ausgeführt haben, sollten<br />
Sie folgendermaßen vorgehen:<br />
1. Wenn Ihnen Änderungen am <strong>W<strong>in</strong>dows</strong> Internet Explorer auffallen, zum Beispiel unerwünschte<br />
Add-Ons oder e<strong>in</strong>e neue Startseite, sollten Sie <strong>in</strong> der Systemsteuerung nach<br />
nicht benötigten Programmen suchen und sie entfernen.<br />
2. Löschen Sie auf der Registerkarte Systemstart des Systemkonfigurationsprogramms<br />
(Msconfig.exe) alle Autostartprogramme, die nicht benötigt werden. Notieren Sie sich<br />
den Registrierungse<strong>in</strong>trag, der mit diesen Programmen verknüpft ist. (Anhand dieser<br />
Registrierungsdaten können Sie bei Bedarf die zugehörigen Registrierungsschlüssel<br />
löschen.) Deaktivieren Sie auf der Registerkarte Dienste alle unnötigen Dienste.<br />
3. Öffnen Sie den Task-Manager. Prüfen Sie, ob ungewöhnliche Dienste auf der Registerkarte<br />
Dienste aufgeführt s<strong>in</strong>d oder die Registerkarte Prozesse ungewöhnliche Prozesse<br />
enthält. (Vergessen Sie nicht, auf Prozesse aller Benutzer anzeigen zu klicken, damit alle<br />
laufenden Prozesse angezeigt werden.) Analysieren Sie mit den Befehlen Zu Prozess<br />
wechseln auf der Registerkarte Dienste und Zu Dienst(en) wechseln auf der Registerkarte<br />
Prozesse, welche Verb<strong>in</strong>dung zwischen Diensten und Prozessen bestehen, die Ihnen unbekannt<br />
s<strong>in</strong>d. Suchen Sie dann im Web nach Informationen über Dienste und Prozesse,<br />
zu denen Beschreibungen fehlen oder die anderweitig verdächtig wirken. Wenn Sie bei<br />
Ihrer Recherche erfahren, dass Dienste oder Prozesse mit Malware zu tun haben, können<br />
Sie sie mit der rechten Maustaste anklicken und beenden. Deaktivieren Sie dann <strong>in</strong> der<br />
Konsole Dienste den zugehörigen Dienst, damit er nicht erneut ausgeführt wird.<br />
4. Öffnen Sie den Registrierungs-Editor (Regedit.exe). Wählen Sie den Zweig HKLM\Software\Microsoft\<strong>W<strong>in</strong>dows</strong>\CurrentVersion\Run<br />
aus. Sehen Sie sich <strong>in</strong> der Detailansicht<br />
alle Registrierungswerte an, die mit unerwünscht gestarteten Programmen verknüpft<br />
s<strong>in</strong>d. Schreiben Sie die Pfadnamen der Zieldateien auf, die <strong>in</strong> der Spalte Daten angegeben<br />
s<strong>in</strong>d (Abbildung 5.11), und löschen Sie die Registrierungswerte dann. Wechseln<br />
Sie nun <strong>in</strong> den Zweig HKCU\Software\Microsoft\<strong>W<strong>in</strong>dows</strong>\CurrentVersion\Run und<br />
gehen Sie dort genauso vor.<br />
5. Suchen Sie anhand der Pfadnamen, die Sie <strong>in</strong> Schritt 4 aufgeschrieben haben, die Ordner<br />
<strong>in</strong> der <strong>W<strong>in</strong>dows</strong>-Dateistruktur und löschen Sie die Zieldateien.
216 Kapitel 5: Schützen von Clientsystemen<br />
Abbildung 5.11 Schreiben Sie sich die Pfadnamen der Dateien auf,<br />
die mit unerwünschten Autostartprogrammen verknüpft s<strong>in</strong>d, und löschen<br />
Sie die Registrierungswerte<br />
6. Falls Sie immer noch Anzeichen für Malware sehen, sollten Sie e<strong>in</strong>e zusätzliche Antispyware-<br />
und Antivirenanwendung <strong>in</strong>stallieren. Ihre Chancen, alle Spuren von Malware<br />
zu beseitigen, s<strong>in</strong>d besser, wenn Sie mehrere Anwendungen e<strong>in</strong>setzen. Sie sollten aber<br />
nicht mehrere Anwendungen für den Echtzeitschutz konfigurieren.<br />
7. Falls die Probleme weiterh<strong>in</strong> bestehen, sollten Sie das System herunterfahren und das<br />
Tool Systemstartreparatur starten, um e<strong>in</strong>e Systemwiederherstellung durchzuführen.<br />
Setzen Sie den Computer <strong>in</strong> e<strong>in</strong>en Zustand vor der Malware<strong>in</strong>fektion zurück. Die<br />
Systemwiederherstellung entfernt normalerweise alle Starte<strong>in</strong>stellungen, die bewirken,<br />
dass Malwareanwendungen ausgeführt werden. Die ausführbaren Dateien selbst werden<br />
dabei allerd<strong>in</strong>gs nicht entfernt. Wählen Sie diese Möglichkeit nur als letzten Ausweg: Die<br />
Systemwiederherstellung entfernt zwar ke<strong>in</strong>e persönlichen Dateien des Benutzers, kann<br />
aber Probleme mit kürzlich <strong>in</strong>stallierten oder konfigurierten Anwendungen verursachen.<br />
Diese Schritte beseitigen die meisten Malwareprobleme. Sobald aber Malware e<strong>in</strong>mal auf<br />
e<strong>in</strong>em Computer gelaufen ist, können Sie nie mehr völlig sicher se<strong>in</strong>, dass die Software auch<br />
wirklich vollständig entfernt wurde. Insbesondere Rootkits s<strong>in</strong>d sehr schwierig zu erkennen<br />
und zu entfernen. In Fällen, wo Sie vermuten, dass e<strong>in</strong> Rootkit vorhanden ist, das sich nicht<br />
entfernen lässt, s<strong>in</strong>d Sie unter Umständen gezwungen, die Festplatte zu formatieren, <strong>W<strong>in</strong>dows</strong><br />
neu zu <strong>in</strong>stallieren und dann die Benutzerdateien aus e<strong>in</strong>er Datensicherung wiederherzustellen,<br />
die vor der Infektion angefertigt wurde.<br />
Übung Erzw<strong>in</strong>gen e<strong>in</strong>er Antimalwarerichtl<strong>in</strong>ie<br />
mithilfe von Gruppenrichtl<strong>in</strong>ien<br />
In dieser Übung erzw<strong>in</strong>gen Sie mithilfe von Gruppenrichtl<strong>in</strong>ien bestimmte E<strong>in</strong>stellungen für<br />
UAC und <strong>W<strong>in</strong>dows</strong>-Defender. Für diese Übungen brauchen Sie e<strong>in</strong>en Domänencontroller,<br />
der unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2 läuft, und e<strong>in</strong>en <strong>W<strong>in</strong>dows</strong> 7-Client, der Mitglied derselben<br />
Domäne ist.<br />
Übung 1 Erzw<strong>in</strong>gen von UAC-E<strong>in</strong>stellungen mithilfe von Gruppenrichtl<strong>in</strong>ien<br />
In dieser Übung erzw<strong>in</strong>gen Sie neue UAC-Standarde<strong>in</strong>stellungen auf den <strong>W<strong>in</strong>dows</strong> 7-<br />
Computern <strong>in</strong> der Domäne.<br />
1. Melden Sie sich am Domänencontroller DC1 an.<br />
2. Öffnen Sie die Gruppenrichtl<strong>in</strong>ienverwaltung, <strong>in</strong>dem Sie im Startmenü auf Alle Programme,<br />
Verwaltung und schließlich Gruppenrichtl<strong>in</strong>ienverwaltung klicken.
Lektion 1: Beseitigen von Malwareproblemen 217<br />
3. Wählen Sie <strong>in</strong> der Konsolenstruktur von Gruppenrichtl<strong>in</strong>ien den Knoten Gruppenrichtl<strong>in</strong>ienverwaltung\Gesamtstruktur:<br />
nwtraders.msft\Domänen\nwtraders.msft\Default<br />
Doma<strong>in</strong> Policy aus.<br />
4. Klicken Sie mit der rechten Maustaste auf Default Doma<strong>in</strong> Policy und wählen Sie im<br />
Kontextmenü den Befehl Bearbeiten. Der Gruppenrichtl<strong>in</strong>ienverwaltungs-Editor wird<br />
geöffnet.<br />
5. Wählen Sie im Gruppenrichtl<strong>in</strong>ienverwaltungs-Editor den Knoten Default Doma<strong>in</strong><br />
Policy\Computerkonfiguration\Richtl<strong>in</strong>ien\<strong>W<strong>in</strong>dows</strong>-E<strong>in</strong>stellungen\Sicherheitse<strong>in</strong>stellungen\Lokale<br />
Richtl<strong>in</strong>ien\Sicherheitsoptionen aus.<br />
6. Klicken Sie <strong>in</strong> der Detailansicht doppelt auf Benutzerkontensteuerung: Bei Benutzeraufforderung<br />
nach erhöhten Rechten zum sicheren Desktop wechseln.<br />
7. Aktivieren Sie auf der Registerkarte Sicherheitsrichtl<strong>in</strong>ie das Kontrollkästchen Diese<br />
Richtl<strong>in</strong>iene<strong>in</strong>stellung def<strong>in</strong>ieren und wählen Sie die Option Deaktiviert aus. Klicken Sie<br />
auf OK.<br />
8. Klicken Sie <strong>in</strong> der Detailansicht doppelt auf Benutzerkontensteuerung: Verhalten der<br />
E<strong>in</strong>gabeaufforderung für erhöhte Rechte für Standardbenutzer.<br />
9. Aktivieren Sie auf der Registerkarte Sicherheitsrichtl<strong>in</strong>ie das Kontrollkästchen Diese<br />
Richtl<strong>in</strong>iene<strong>in</strong>stellung def<strong>in</strong>ieren und wählen Sie <strong>in</strong> der Dropdownliste den E<strong>in</strong>trag E<strong>in</strong>gabeaufforderung<br />
zu Anmelde<strong>in</strong>formationen aus.<br />
Diese E<strong>in</strong>stellungen bewirken, dass für UAC-E<strong>in</strong>gabeaufforderungen nicht mehr der<br />
sichere Desktop verwendet wird.<br />
10. Klicken Sie auf OK.<br />
11. Wechseln Sie auf Ihren <strong>W<strong>in</strong>dows</strong> 7-Client CLIENT1. Starten Sie den Computer neu und<br />
melden Sie sich als Domänenadm<strong>in</strong>istrator an der Domäne an.<br />
12. Öffnen Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung mit erhöhten Rechten, <strong>in</strong>dem Sie im Startmenü<br />
Alle Programme\Zubehör öffnen, mit der rechten Maustaste auf E<strong>in</strong>gabeaufforderung<br />
klicken und im Kontextmenü den Befehl Als Adm<strong>in</strong>istrator ausführen wählen.<br />
13. Es wird e<strong>in</strong>e Zustimmungs-E<strong>in</strong>gabeaufforderung angezeigt, aber ohne sicheren Desktop.<br />
14. Melden Sie sich vom Client ab und dann erneut an der Domäne an, diesmal aber als<br />
Standardbenutzer ohne adm<strong>in</strong>istrative Privilegien.<br />
15. Klicken Sie <strong>in</strong> der Systemsteuerung unter Benutzerkonten auf Kontotyp ändern. E<strong>in</strong>e<br />
E<strong>in</strong>gabeaufforderung nach Anmelde<strong>in</strong>formationen wird angezeigt, aber ohne sicheren<br />
Desktop.<br />
16. Melden Sie sich vom Client ab.<br />
Übung 2 Deaktivieren der Echtzeitüberwachung für <strong>W<strong>in</strong>dows</strong>-Defender<br />
E<strong>in</strong> großes <strong>Unternehmen</strong>snetzwerk sollte e<strong>in</strong>e verwaltete Antispywarelösung e<strong>in</strong>setzen.<br />
<strong>W<strong>in</strong>dows</strong>-Defender erfüllt diese Anforderung nicht. Es ist s<strong>in</strong>nvoll, <strong>W<strong>in</strong>dows</strong>-Defender als<br />
zusätzliche Lösung e<strong>in</strong>e tägliche Malwaresuche auf Clients durchführen zu lassen, aber Sie<br />
sollten verh<strong>in</strong>dern, dass zwei Anwendungen gleichzeitig e<strong>in</strong>e Echtzeitüberwachung durchführen.<br />
Sofern Ihre verwaltete Antispywarelösung Echtzeitüberwachung bietet, sollten Sie<br />
dasselbe Feature <strong>in</strong> <strong>W<strong>in</strong>dows</strong>-Defender mithilfe von Gruppenrichtl<strong>in</strong>ien deaktivieren.
218 Kapitel 5: Schützen von Clientsystemen<br />
In dieser Übung deaktivieren Sie mithilfe von Gruppenrichtl<strong>in</strong>ien die Echtzeitüberwachung<br />
von <strong>W<strong>in</strong>dows</strong>-Defender.<br />
1. Melden Sie sich am Domänencontroller an.<br />
2. Öffnen Sie, wie <strong>in</strong> Übung 1 beschrieben, die Gruppenrichtl<strong>in</strong>ienverwaltung und bearbeiten<br />
Sie Default Doma<strong>in</strong> Policy.<br />
3. Wählen Sie im Gruppenrichtl<strong>in</strong>ienverwaltungs-Editor den Knoten Default Doma<strong>in</strong><br />
Policy\Computerkonfiguration\Richtl<strong>in</strong>ien\Adm<strong>in</strong>istrative Vorlagen\<strong>W<strong>in</strong>dows</strong>-Komponenten\<strong>W<strong>in</strong>dows</strong>-Defender<br />
aus.<br />
4. Klicken Sie <strong>in</strong> der Detailansicht doppelt auf Echtzeitüberwachung deaktivieren.<br />
5. Wählen Sie im Dialogfeld Echtzeitüberwachung deaktivieren die Option Aktiviert aus<br />
und klicken Sie auf OK.<br />
6. Wechseln Sie auf CLIENT1. Melden Sie sich auf CLIENT1 als Domänenadm<strong>in</strong>istrator<br />
an der Domäne an.<br />
7. Öffnen Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung und geben Sie gpupdate e<strong>in</strong>. Nun müsste e<strong>in</strong>e<br />
Benachrichtigung ersche<strong>in</strong>en, dass <strong>W<strong>in</strong>dows</strong>-Defender ausgeschaltet ist.<br />
8. Warten Sie, bis der Befehl ausgeführt wurde, geben Sie dann im Suchfeld des Startmenüs<br />
defender e<strong>in</strong> und klicken Sie <strong>in</strong> der Programmliste auf <strong>W<strong>in</strong>dows</strong>-Defender.<br />
9. Klicken Sie im <strong>W<strong>in</strong>dows</strong>-Defender auf Extras und dann auf Optionen.<br />
10. Wählen Sie <strong>in</strong> der Liste Optionen den E<strong>in</strong>trag Echtzeitschutz aus.<br />
11. Die E<strong>in</strong>stellungen werden abgeblendet dargestellt. Die Echtzeitüberwachung ist deaktiviert.<br />
12. Wechseln Sie wieder auf den Domänencontroller und bearbeiten Sie Default Doma<strong>in</strong><br />
Policy. Setzen Sie die Richtl<strong>in</strong>iene<strong>in</strong>stellung Echtzeitüberwachung deaktivieren auf<br />
Nicht konfiguriert zurück und klicken Sie auf OK.<br />
13. Führen Sie auf CLIENT1 erneut gpupdate aus und schließen Sie dann alle offenen<br />
Fenster auf beiden Computern.<br />
Zusammenfassung der Lektion<br />
UAC hilft zu verh<strong>in</strong>dern, dass sich Malware heimlich auf <strong>W<strong>in</strong>dows</strong>-Systemen <strong>in</strong>stalliert.<br />
Der Benutzer wird benachrichtigt, wenn versucht wird, <strong>in</strong> e<strong>in</strong>en geschützten Bereich des<br />
Betriebssystems zu schreiben. Die Benutzer müssen geschult werden, die Operationen<br />
zu verbieten, wenn sie sie nicht selbst veranlasst haben.<br />
Sie können das Verhalten von UAC-Benachrichtigungen konfigurieren. In der Standarde<strong>in</strong>stellung<br />
bekommen Adm<strong>in</strong>istratoren Zustimmungs-E<strong>in</strong>gabeaufforderungen auf dem<br />
sicheren Desktop angezeigt, wenn e<strong>in</strong> Programm e<strong>in</strong>e Anhebung anfordert. Standardbenutzer<br />
erhalten <strong>in</strong> der Standarde<strong>in</strong>stellung e<strong>in</strong>e E<strong>in</strong>gabeaufforderung nach Anmelde<strong>in</strong>formationen<br />
auf dem sicheren Desktop, wenn sie oder e<strong>in</strong> Programm e<strong>in</strong>e Anhebung<br />
anfordert.<br />
<strong>W<strong>in</strong>dows</strong>-Defender ist e<strong>in</strong> <strong>in</strong>tegriertes Feature von <strong>W<strong>in</strong>dows</strong> 7, das e<strong>in</strong>e e<strong>in</strong>fache Spywarefilterung<br />
und -erkennung bietet. In vielen Fällen braucht <strong>W<strong>in</strong>dows</strong>-Defender nicht<br />
konfiguriert zu werden, aber <strong>in</strong> großen Netzwerken, die e<strong>in</strong>e verwaltete Antispywarelösung<br />
brauchen, ist es oft s<strong>in</strong>nvoll, <strong>W<strong>in</strong>dows</strong>-Defender zu deaktivieren.
Lektion 1: Beseitigen von Malwareproblemen 219<br />
Sie sollten von Hand nach Malware suchen und sie entfernen, falls Ihre Antimalwarelösung<br />
nicht wunschgemäß funktioniert. Untersuchen Sie dazu unbekannte Prozesse und<br />
Dienste, beenden und deaktivieren Sie sie bei Bedarf und suchen Sie <strong>in</strong> der Registrierung<br />
nach Programmen, die automatisch gestartet werden. Löschen Sie die zugehörigen<br />
Dateien.<br />
Lernzielkontrolle<br />
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 1,<br />
»Beseitigen von Malwareproblemen«, überprüfen. Die Fragen f<strong>in</strong>den Sie (<strong>in</strong> englischer<br />
Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im Rahmen<br />
e<strong>in</strong>es Übungstests beantworten.<br />
H<strong>in</strong>weis Die Antworten<br />
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglichkeiten<br />
richtig oder falsch s<strong>in</strong>d, f<strong>in</strong>den Sie im Abschnitt »Antworten« am Ende dieses Buchs.<br />
1. Sie arbeiten als <strong>Support</strong>techniker <strong>in</strong> e<strong>in</strong>em großen <strong>Unternehmen</strong>. Ihre Chef<strong>in</strong> berichtet,<br />
dass manche Netzwerkadm<strong>in</strong>istratoren das e<strong>in</strong>gebaute Adm<strong>in</strong>istratorkonto für die Domäne<br />
benutzen. Während sie mit diesem Konto angemeldet s<strong>in</strong>d, bekommen sie ke<strong>in</strong>e<br />
UAC-Benachrichtigungen angezeigt. Ihre Chef<strong>in</strong> beauftragt Sie, die Konfigurationse<strong>in</strong>stellungen<br />
so zu ändern, dass Benutzer, die mit dem <strong>in</strong>tegrierten Adm<strong>in</strong>istratorkonto an<br />
der Domäne angemeldet s<strong>in</strong>d, Zustimmungs-E<strong>in</strong>gabeaufforderungen der UAC angezeigt<br />
bekommen. Was sollten Sie tun?<br />
A. Setzen Sie <strong>in</strong> der lokalen Sicherheitsrichtl<strong>in</strong>ie die Richtl<strong>in</strong>ie Benutzerkontensteuerung:<br />
Adm<strong>in</strong>istratorbestätigungsmodus für das <strong>in</strong>tegrierte Adm<strong>in</strong>istratorkonto auf<br />
Aktiviert.<br />
B. Setzen Sie <strong>in</strong> Gruppenrichtl<strong>in</strong>ien die Richtl<strong>in</strong>ie Benutzerkontensteuerung: Adm<strong>in</strong>istratorbestätigungsmodus<br />
für das <strong>in</strong>tegrierte Adm<strong>in</strong>istratorkonto auf Aktiviert.<br />
C. Setzen Sie <strong>in</strong> der lokalen Sicherheitsrichtl<strong>in</strong>ie die Richtl<strong>in</strong>ie Benutzerkontensteuerung:<br />
Alle Adm<strong>in</strong>istratoren im Adm<strong>in</strong>istratorbestätigungsmodus ausführen auf<br />
Aktiviert.<br />
D. Setzen Sie <strong>in</strong> Gruppenrichtl<strong>in</strong>ien die Richtl<strong>in</strong>ie Benutzerkontensteuerung: Alle<br />
Adm<strong>in</strong>istratoren im Adm<strong>in</strong>istratorbestätigungsmodus ausführen auf Aktiviert.<br />
2. Sie arbeiten als <strong>Support</strong>techniker <strong>in</strong> e<strong>in</strong>em <strong>Unternehmen</strong>, dessen AD DS-Domäne 20<br />
Server umfasst, die unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2 laufen, und 500 Clientcomputer, die<br />
unter <strong>W<strong>in</strong>dows</strong> 7 laufen. 10 der Clientcomputer s<strong>in</strong>d Notebooks, deren Benutzer weltweit<br />
dienstlich unterwegs s<strong>in</strong>d. Diese Benutzer haben sich beschwert, dass <strong>W<strong>in</strong>dows</strong>-Defender<br />
oft mit e<strong>in</strong>er Überprüfung beg<strong>in</strong>nt, wenn der Computer im Akkubetrieb arbeitet, was den<br />
Akku schnell leert. Sie wollen verh<strong>in</strong>dern, dass <strong>W<strong>in</strong>dows</strong>-Defender dr<strong>in</strong>gend benötigten<br />
Akkustrom verbraucht, aber andererseits nicht auf die Schutzfunktionen des Programms<br />
verzichten. Was sollten Sie tun?<br />
A. Zeigen Sie den Benutzern, wie sie e<strong>in</strong>e manuelle Überprüfung durchführen, während<br />
ihr Computer an der Steckdose hängt.<br />
B. Wählen Sie die Option aus, e<strong>in</strong>e Überprüfung nur im Leerlauf auszuführen.
220 Kapitel 5: Schützen von Clientsystemen<br />
C. Zeigen Sie den Benutzern, wie sie den Zeitplan für die automatische Überprüfung<br />
ändern.<br />
D. Deaktivieren Sie die automatische Überprüfung auf allen 10 Computern.<br />
Rückblick auf dieses Kapitel<br />
Sie können die <strong>in</strong> diesem Kapitel erworbenen Fähigkeiten folgendermaßen e<strong>in</strong>üben und<br />
vertiefen:<br />
Lesen Sie die Zusammenfassung des Kapitels sorgfältig durch.<br />
Lesen Sie die Liste der Schlüsselbegriffe durch, die <strong>in</strong> diesem Kapitel e<strong>in</strong>geführt wurden.<br />
Arbeiten Sie die Übung mit Fallbeispiel durch. Dieses Szenario beschreibt Fälle aus der<br />
Praxis, <strong>in</strong> denen die Themen dieses Kapitels zur Anwendung kommen. Sie werden aufgefordert,<br />
e<strong>in</strong>e Lösung zu entwickeln.<br />
Führen Sie die vorgeschlagenen Übungen durch.<br />
Machen Sie e<strong>in</strong>en Übungstest.<br />
Zusammenfassung des Kapitels<br />
Um Malware abzuwehren, müssen Sie sich selbst und die Benutzer kont<strong>in</strong>uierlich über<br />
die neuesten Entwicklungen bei diesen Bedrohungen schulen. Außerdem müssen Sie<br />
Antivirensoftware, Antispywaresoftware wie <strong>W<strong>in</strong>dows</strong>-Defender und die Benutzerkontensteuerung<br />
s<strong>in</strong>nvoll verwalten. Und schließlich müssen Sie wissen, wie Sie klassische<br />
Symptome e<strong>in</strong>er Infektion erkennen und e<strong>in</strong>e Infektion bei Bedarf von Hand beseitigen.<br />
Schlüsselbegriffe<br />
Wissen Sie, was die folgenden Schlüsselbegriffe bedeuten? Sie können Ihre Antworten überprüfen,<br />
<strong>in</strong>dem Sie die Begriffe im Glossar am Ende dieses Buchs nachschlagen.<br />
Malware<br />
Spyware<br />
Virus<br />
Wurm<br />
Übung mit Fallbeispiel<br />
In der folgenden Übung mit Fallbeispiel wenden Sie an, was Sie über den Schutz von Clientsystemen<br />
gelernt haben. Die Lösungen zu den Fragen f<strong>in</strong>den Sie im Abschnitt »Antworten«<br />
h<strong>in</strong>ten <strong>in</strong> diesem Buch.<br />
Übung mit Fallbeispiel 1: Beseitigen von Malware<strong>in</strong>fektionen<br />
Sie arbeiten als <strong>Support</strong>techniker für Contoso, e<strong>in</strong> Marktforschungsunternehmen mit 500<br />
Angestellten. Sie bekommen e<strong>in</strong>en Anruf vom Helpdesk und werden gebeten, den Notebook<br />
e<strong>in</strong>es Forschungsassistenten zu untersuchen. Dieser Computer läuft nur sehr langsam. Der<br />
<strong>Support</strong>techniker des Helpdesks war nicht <strong>in</strong> der Lage, das Problem zu beseitigen.
Vorgeschlagene Übungen 221<br />
Sie führen e<strong>in</strong>ige grundlegende Tests auf dem Computer aus und stellen fest, dass im Internet<br />
Explorer mehrere Symbolleisten <strong>in</strong>stalliert s<strong>in</strong>d, die Sie als Spyware erkennen. Ihr <strong>Unternehmen</strong><br />
setzt e<strong>in</strong>e komb<strong>in</strong>ierte Antiviren-/Antispywarelösung e<strong>in</strong>, <strong>W<strong>in</strong>dows</strong>-Defender ist im<br />
Netzwerk deaktiviert.<br />
Sie befragen den Forschungsassistenten und den Helpdesk-<strong>Support</strong>techniker.<br />
Recherche<br />
Hier die Aussagen der <strong>Unternehmen</strong>smitarbeiter, die Sie befragt haben:<br />
Forschungsassistent »Das Problem wird seit etwa 6 Monaten immer schlimmer.<br />
Inzwischen brauchen selbst Kle<strong>in</strong>igkeiten e<strong>in</strong>e Ewigkeit. Ich habe diesen Computer<br />
früher oft mit nach Hause genommen, aber <strong>in</strong>zwischen mache ich das nicht mehr.«<br />
Helpdesk-<strong>Support</strong>techniker »Ich habe versucht, e<strong>in</strong>e Antimalwareprüfung auszuführen,<br />
aber es sche<strong>in</strong>t sich nichts zu tun.«<br />
Fragen<br />
1. Sie wollen sofort jegliche Malware beenden, die unter Umständen läuft. Wie erreichen<br />
Sie das?<br />
2. Ihre Tests zeigen, dass die Clientsoftware der Antimalwarelösung, die auf dem Computer<br />
<strong>in</strong>stalliert ist, nicht läuft, wenn sie gestartet wird. Was können Sie tun, um e<strong>in</strong>e Antimalwareüberprüfung<br />
auf dem Computer auszuführen?<br />
Vorgeschlagene Übungen<br />
Sie sollten die folgenden Aufgaben durcharbeiten, wenn Sie die <strong>in</strong> diesem Kapitel behandelten<br />
Prüfungsziele meistern wollen.<br />
Untersuchen und Beseitigen von Problemen aufgrund von Schadsoftware<br />
Arbeiten Sie die folgenden Übungen durch, um sich mit Tools vertraut zu machen, die<br />
Malware erkennen und beseitigen.<br />
Übung 1 Suchen Sie im Web nach dem Begriff »Sys<strong>in</strong>ternals Suite« oder besuchen Sie<br />
http://technet.microsoft.com/en-us/sys<strong>in</strong>ternals/bb842062.aspx. Laden Sie die Sys<strong>in</strong>ternals-Suite<br />
herunter und entpacken Sie die Datei. Suchen Sie <strong>in</strong> diesem Programmpaket<br />
nach Autoruns. Führen Sie Autoruns aus, um festzustellen, welche Programme so konfiguriert<br />
s<strong>in</strong>d, dass sie auf Ihrem Computer automatisch gestartet werden. Suchen Sie<br />
dann Rootkitrevealer und führen Sie es aus, um festzustellen, ob sich irgendwelche<br />
Rootkits auf Ihrem System e<strong>in</strong>genistet haben.<br />
Übung 2 Suchen Sie im Web nach dem Begriff »bootable anti-malware CD« (startfähige<br />
Antimalware-CD) und sehen Sie sich an, welche startfähigen Antimalware-CDs<br />
onl<strong>in</strong>e verfügbar s<strong>in</strong>d. Erstellen Sie e<strong>in</strong>e startfähige Antimalware-CD oder laden Sie e<strong>in</strong>e<br />
fertige herunter. Führen Sie damit e<strong>in</strong>e Malwareüberprüfung auf Ihrem System durch.
222 Kapitel 5: Schützen von Clientsystemen<br />
Machen Sie e<strong>in</strong>en Übungstest<br />
Die Übungstests (<strong>in</strong> englischer Sprache) auf der Begleit-CD zu diesem Buch bieten zahlreiche<br />
Möglichkeiten. Zum Beispiel können Sie e<strong>in</strong>en Test machen, der ausschließlich die<br />
Themen aus e<strong>in</strong>em Prüfungslernziel behandelt, oder Sie können sich selbst mit dem gesamten<br />
Inhalt der Prüfung <strong>70</strong>-<strong>685</strong> testen. Sie können den Test so konfigurieren, dass er dem Ablauf<br />
e<strong>in</strong>er echten Prüfung entspricht, oder Sie können e<strong>in</strong>en Lernmodus verwenden, <strong>in</strong> dem Sie<br />
sich nach dem Beantworten e<strong>in</strong>er Frage jeweils sofort die richtige Antwort und Erklärungen<br />
ansehen können.<br />
Weitere Informationen Übungstests<br />
E<strong>in</strong>zelheiten zu allen Optionen, die bei den Übungstests zur Verfügung stehen, f<strong>in</strong>den Sie im<br />
Abschnitt »So benutzen Sie die Übungstests« <strong>in</strong> der E<strong>in</strong>führung am Anfang dieses Buchs.
K A P I T E L 6<br />
Konfigurieren und Problembehandlung<br />
von Remotezugriffsverb<strong>in</strong>dungen<br />
Als <strong>Support</strong>techniker <strong>in</strong> e<strong>in</strong>em Großunternehmen gehört es möglicherweise zu Ihren<br />
Aufgaben, Remotebenutzern zu helfen, die ke<strong>in</strong>e Verb<strong>in</strong>dung zum <strong>Unternehmen</strong>snetzwerk<br />
herstellen können. Am häufigsten greifen Benutzer von e<strong>in</strong>em anderen Standort auf das<br />
<strong>Unternehmen</strong>snetzwerk zu, <strong>in</strong>dem sie e<strong>in</strong> virtuelles privates Netzwerk (Virtual Private Network,<br />
VPN) nutzen. In <strong>W<strong>in</strong>dows</strong> Server 2008 R2 und <strong>W<strong>in</strong>dows</strong> 7 hat Microsoft allerd<strong>in</strong>gs<br />
DirectAccess e<strong>in</strong>geführt, e<strong>in</strong>e stark verbesserte Alternative zu VPNs. Um Probleme im Bereich<br />
des Remotezugriffs zu beseitigen, müssen Sie die Komponenten kennen, aus denen<br />
sich e<strong>in</strong>e VPN- und DirectAccess-Infrastruktur zusammensetzt, und wissen, wie diese Komponenten<br />
zusammenspielen, wenn e<strong>in</strong> Benutzer versucht, e<strong>in</strong>e Remotezugriffsverb<strong>in</strong>dung<br />
aufzubauen.<br />
Prüfungslernziele <strong>in</strong> diesem Kapitel:<br />
Untersuchen und Beseitigen von Remotezugriffsproblemen<br />
Lektionen <strong>in</strong> diesem Kapitel:<br />
Lektion 1: Grundlagen von VPN-Clientverb<strong>in</strong>dungen ...................... 225<br />
Lektion 2: Grundlagen von DirectAccess-Clientverb<strong>in</strong>dungen . ............... 254<br />
Bevor Sie beg<strong>in</strong>nen<br />
Um die Übungen <strong>in</strong> diesem Kapitel durcharbeiten zu können, brauchen Sie:<br />
E<strong>in</strong>en Domänencontroller, der unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2 läuft<br />
E<strong>in</strong>en Client mit <strong>W<strong>in</strong>dows</strong> 7 Enterprise, der Mitglied der Domäne ist<br />
Grundkenntnisse zu IPv6<br />
223
224 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
Praxistipp<br />
J.C. Mack<strong>in</strong><br />
Das <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 und <strong>W<strong>in</strong>dows</strong> Server 2008 R2 e<strong>in</strong>geführte DirectAccess ist das erste<br />
wesentliche Feature von <strong>W<strong>in</strong>dows</strong>, das ausschließlich auf IPv6 aufbaut und mit IPv4<br />
schlicht und e<strong>in</strong>fach nicht funktioniert. Sie sollten die E<strong>in</strong>führung dieses Features als<br />
Weckruf begreifen. Bisher betrachten viele IT-Experten IPv6 als Thema, um das sie sich<br />
auch noch morgen kümmern können, und viele deaktivieren IPv6 sogar, weil sie fälschlicherweise<br />
glauben, dass es die Netzwerkleistung verschlechtert (stimmt nicht!). Dass so<br />
viele IPv6 l<strong>in</strong>ks liegen lassen, ist nicht weiter überraschend: IPv6 ist schon seit langer<br />
Zeit e<strong>in</strong>e Technologie der Zukunft.<br />
Die Zukunft ist aber jetzt. Die IANA (Internet Assigned Numbers Authority), von der die<br />
Vergabe der IP-Adressen verwaltet wird, schätzt, dass schon 2011 ke<strong>in</strong>e neuen IPv4-<br />
Adressen mehr verfügbar s<strong>in</strong>d. Schon sehr bald wird IPv6 daher e<strong>in</strong> Eckpfeiler der Netzwerktechnologie<br />
werden, und das auch bleiben. Ich empfehle Ihnen, dieses Thema ernst<br />
zu nehmen und sich so bald wie möglich mit der IPv6-Adressierung vertraut zu machen.<br />
Als gute E<strong>in</strong>führung <strong>in</strong> IPv6 für <strong>W<strong>in</strong>dows</strong>-Netzwerke empfehle ich Understand<strong>in</strong>g IPv6,<br />
Second Edition (Microsoft Press, 2008) von Joseph Davies.
Lektion 1: Grundlagen von VPN-Clientverb<strong>in</strong>dungen 225<br />
Lektion 1: Grundlagen von VPN-Clientverb<strong>in</strong>dungen<br />
Die meisten Remotebenutzer greifen mithilfe von VPN auf e<strong>in</strong> <strong>Unternehmen</strong>snetzwerk zu,<br />
daher müssen Sie für die Problembehandlung im Bereich des Remotezugriffs eigentlich<br />
wissen, wie VPNs arbeiten. Es ist allerd<strong>in</strong>gs nicht ganz e<strong>in</strong>fach, sich <strong>in</strong> dieses Thema e<strong>in</strong>zuarbeiten.<br />
Die erfolgreiche Aushandlung e<strong>in</strong>er VPN-Verb<strong>in</strong>dung hängt von vielen Faktoren<br />
ab, darunter der richtigen Konfiguration der VPN-Infrastruktur, der Benutzer- und/oder<br />
Computerauthentifizierung und der Benutzerautorisierung. Abgesehen von der generellen<br />
Komplexität des VPN-Verb<strong>in</strong>dungsprozesses stellen <strong>W<strong>in</strong>dows</strong> 7 und <strong>W<strong>in</strong>dows</strong> Server 2008<br />
R2 auch noch unterschiedliche VPN-Typen zur Verfügung, die jeweils andere Anforderungen,<br />
Vorteile und Nachteile haben.<br />
Diese Lektion beg<strong>in</strong>nt mit e<strong>in</strong>em Überblick über VPNs und beschreibt dann die Komponenten,<br />
aus denen e<strong>in</strong>e VPN-Verb<strong>in</strong>dung besteht. Darauf folgen e<strong>in</strong> Überblick über die verschiedenen<br />
VPN-Typen und e<strong>in</strong>e Erklärung, mit welchen Schritten e<strong>in</strong>e VPN-Remotezugriffsverb<strong>in</strong>dung<br />
aufgebaut wird. Den Abschluss bildet e<strong>in</strong>e allgeme<strong>in</strong>e Checkliste für die Problembehandlung<br />
von Remotezugriff-VPNs.<br />
Am Ende dieser Lektion werden Sie <strong>in</strong> der Lage se<strong>in</strong>, die folgenden Aufgaben auszuführen:<br />
Beschreiben der Elemente <strong>in</strong> e<strong>in</strong>er VPN-Infrastruktur<br />
Beschreiben von Vor- und Nachteilen der VPN-Typen, die <strong>in</strong> <strong>W<strong>in</strong>dows</strong>-Netzwerken zur<br />
Verfügung stehen<br />
Beschreiben des VPN-Verb<strong>in</strong>dungsaufbaus<br />
Durchführen e<strong>in</strong>er Problembehandlung für VPN-Konnektivität<br />
Veranschlagte Zeit für diese Lektion: 120 M<strong>in</strong>uten<br />
Grundlagen von VPNs<br />
E<strong>in</strong> VPN ist e<strong>in</strong>e private, verschlüsselte Netzwerkverb<strong>in</strong>dung, die das öffentliche Internet<br />
durchläuft. Normalerweise wird e<strong>in</strong> VPN e<strong>in</strong>gesetzt, um entweder zwei Niederlassungen<br />
mite<strong>in</strong>ander zu verb<strong>in</strong>den (das sogenannte Standortverb<strong>in</strong>dungs-VPN) oder es Remotecomputern<br />
zu ermöglichen, auf e<strong>in</strong> zentrales Büronetzwerk zuzugreifen. Im Fall e<strong>in</strong>es Standortverb<strong>in</strong>dungs-VPNs<br />
(siehe Abbildung 6.1) ist für die Clients ke<strong>in</strong>e besondere Konfiguration<br />
erforderlich. Das Aushandeln der privaten Verb<strong>in</strong>dung für solche VPNs übernehmen VPN-<br />
Server <strong>in</strong> den beteiligten Standorten. Die Clients <strong>in</strong> den unterschiedlichen Standorten kommunizieren<br />
genauso mite<strong>in</strong>ander wie mit Clients <strong>in</strong>nerhalb desselben Standorts.<br />
Bei e<strong>in</strong>em Remotezugriff-VPN muss der <strong>W<strong>in</strong>dows</strong> 7-Client dagegen so konfiguriert se<strong>in</strong>,<br />
dass er e<strong>in</strong>e Verb<strong>in</strong>dung zum VPN-Server aushandelt. Aus diesem Grund wird <strong>in</strong> Prüfung<br />
<strong>70</strong>-<strong>685</strong> nur das Remotezugriff-VPN behandelt. Abbildung 6.2 zeigt den Aufbau e<strong>in</strong>es<br />
Remotezugriff-VPNs.
226 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
Abbildung 6.1 E<strong>in</strong> Standortverb<strong>in</strong>dungs-VPN<br />
Abbildung 6.2 E<strong>in</strong> Remotezugriff-VPN<br />
Grundlagen von VPN-Kapselung und -Tunneln<br />
E<strong>in</strong> VPN nimmt die Kommunikationsdaten entgegen, die zwischen den Computern ausgetauscht<br />
würden, befänden sie sich im selben Netzwerk. Dann verschlüsselt das VPN diese<br />
Kommunikationsdaten und kapselt sie zusammen mit ergänzenden Netzwerkdaten, die<br />
gebraucht werden, um das Internet zu durchlaufen. Das Ergebnis dieser Kapselung ist, dass<br />
das physische Netzwerk, durch das die vertraulichen Daten gesendet werden, für die beiden<br />
Endpunkte der Kommunikation praktisch unsichtbar wird. In Abbildung 6.3 s<strong>in</strong>d zwei Computer,<br />
Computer1 und Computer2, im Grunde nur über das Internet mite<strong>in</strong>ander verbunden,<br />
aber die Transparenz dieser Verb<strong>in</strong>dung zeigt sich, wenn auf e<strong>in</strong>em dieser Computer der<br />
Befehl Tracert ausgeführt wird. Obwohl viele Abschnitte zwischen den beiden Computern<br />
liegen, sche<strong>in</strong>en sie auf der VPN-Verb<strong>in</strong>dung nur e<strong>in</strong>en Abschnitt vone<strong>in</strong>ander entfernt zu<br />
se<strong>in</strong>. Die Kommunikation f<strong>in</strong>det zwischen den zwei privaten IP-Adressen im Subnetz<br />
192.168.10.0/24 statt, genau wie bei Computern, die im selben Netzwerksegment liegen.
Lektion 1: Grundlagen von VPN-Clientverb<strong>in</strong>dungen 227<br />
Abbildung 6.3 Bei e<strong>in</strong>er VPN-Verb<strong>in</strong>dung sieht es aus, als wären Remotecomputer lokal vorhanden<br />
Diese Technik, vertrauliche Daten <strong>in</strong>nerhalb öffentlicher Daten zu kapseln, wird als Tunnel<br />
(engl. tunnel<strong>in</strong>g) bezeichnet. E<strong>in</strong> VPN-Tunnelprotokoll baut e<strong>in</strong>en sicheren Kanal zwischen<br />
zwei VPN-Servern beziehungsweise zwischen e<strong>in</strong>em VPN-Server und e<strong>in</strong>em VPN-Client<br />
auf. Innerhalb e<strong>in</strong>es VPN-Tunnels werden die Daten durch Verschlüsselung geschützt, während<br />
sie das öffentliche Netzwerk durchqueren. Private Daten werden verschlüsselt, bevor
228 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
sie <strong>in</strong> den Tunnel gesendet werden. Haben sie das Ende des Tunnels erreicht, werden sie<br />
wieder entschlüsselt.<br />
Die meisten VPN-Tunnelprotokolle führen außerdem e<strong>in</strong>e Datenauthentifizierung durch, um<br />
die Daten auf zwei Arten zu überprüfen. Erstens können Tunnelprotokolle e<strong>in</strong>e Daten<strong>in</strong>tegritätsprüfung<br />
durchführen, die sicherstellt, dass die Daten unterwegs nicht manipuliert wurden.<br />
Zweitens können sie die Datenherkunft authentifizieren, um sicherzustellen, dass die<br />
Daten tatsächlich vom angegebenen Absender stammen.<br />
Grundlagen der Remotezugriff-VPN-Infrastruktur<br />
Um VPN-Clients Remotezugriff bieten zu können, muss e<strong>in</strong> <strong>W<strong>in</strong>dows</strong>-Netzwerk mehrere<br />
Features implementieren (Abbildung 6.4). Auf jeden Fall müssen der VPN-Client und die<br />
Clientsoftware (beziehungsweise e<strong>in</strong>e Netzwerkverb<strong>in</strong>dung <strong>in</strong> <strong>W<strong>in</strong>dows</strong>), e<strong>in</strong> VPN-Server,<br />
auf dem die Rout<strong>in</strong>g- und RAS-Dienste (Rout<strong>in</strong>g and Remote Access Services, RRAS) laufen,<br />
sowie e<strong>in</strong> <strong>in</strong>terner DNS-Server vorhanden se<strong>in</strong>. Meist umfasst e<strong>in</strong>e VPN-Infrastruktur<br />
aber auch noch e<strong>in</strong>en Domänencontroller, e<strong>in</strong>en Zertifikatserver und e<strong>in</strong>en DHCP-Server.<br />
Und schließlich kann noch e<strong>in</strong> Netzwerkrichtl<strong>in</strong>ienserver (Network Policy Server, NPS)<br />
verwendet werden. Der nächste Abschnitt beschreibt die Rollen dieser VPN-Infrastrukturkomponenten.<br />
Abbildung 6.4 E<strong>in</strong>e VPN-Infrastruktur<br />
VPN-Client und Clientsoftware<br />
Damit e<strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7-Computer als VPN-Client agieren kann, muss <strong>W<strong>in</strong>dows</strong> mit VPN-<br />
Clientsoftware konfiguriert se<strong>in</strong>. Generell stehen für VPN-Clients drei Typen zur Auswahl:<br />
e<strong>in</strong>e <strong>W<strong>in</strong>dows</strong> 7-VPN-Verb<strong>in</strong>dung, e<strong>in</strong> Verb<strong>in</strong>dungs-Manager-Client oder e<strong>in</strong> Client e<strong>in</strong>es<br />
anderen Herstellers.<br />
Als erste Möglichkeit können Sie <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>e VPN-Verb<strong>in</strong>dung im Netzwerk- und<br />
Freigabecenter konfigurieren. Klicken Sie dazu auf Neue Verb<strong>in</strong>dung oder neues Netzwerk<br />
e<strong>in</strong>richten (Abbildung 6.5).
Abbildung 6.5 Erstellen e<strong>in</strong>er VPN-Verb<strong>in</strong>dung <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
Lektion 1: Grundlagen von VPN-Clientverb<strong>in</strong>dungen 229<br />
Daraufh<strong>in</strong> öffnet sich der Assistent E<strong>in</strong>e Verb<strong>in</strong>dung oder e<strong>in</strong> Netzwerk e<strong>in</strong>richten. Wählen<br />
Sie Verb<strong>in</strong>dung mit dem Arbeitsplatz herstellen aus, wenn Sie e<strong>in</strong>e VPN-Verb<strong>in</strong>dung herstellen<br />
wollen (Abbildung 6.6), und folgen Sie dann den Anweisungen des Assistenten.<br />
Abbildung 6.6 Der Assistent E<strong>in</strong>e Verb<strong>in</strong>dung oder e<strong>in</strong> Netzwerk e<strong>in</strong>richten<br />
Sobald Sie den Assistenten abgeschlossen haben, zeigt <strong>W<strong>in</strong>dows</strong> 7 die neue VPN-Verb<strong>in</strong>dung<br />
im Fenster Netzwerkverb<strong>in</strong>dungen an, das Sie öffnen, <strong>in</strong>dem Sie im Netzwerk- und<br />
Freigabecenter auf Adaptere<strong>in</strong>stellungen ändern klicken. Abbildung 6.7 zeigt e<strong>in</strong>e <strong>W<strong>in</strong>dows</strong><br />
7-VPN-Verb<strong>in</strong>dung.
230 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
Abbildung 6.7 E<strong>in</strong>e VPN-Verb<strong>in</strong>dung<br />
Dieser erste Typ VPN-Client ist zwar auf e<strong>in</strong>em e<strong>in</strong>zelnen Computer e<strong>in</strong>fach zu erstellen<br />
und zu konfigurieren, aber <strong>in</strong> <strong>W<strong>in</strong>dows</strong> ist ke<strong>in</strong> Mechanismus e<strong>in</strong>gebaut, um <strong>in</strong> e<strong>in</strong>em großen<br />
Netzwerk viele solcher VPN-Clients e<strong>in</strong>zurichten. Stattdessen verwenden viele Adm<strong>in</strong>istratoren<br />
das Verb<strong>in</strong>dungs-Manager-Verwaltungskit (Connection Manager Adm<strong>in</strong>istration Toolkit,<br />
CMAK), um Clientverb<strong>in</strong>dungsprofile zu erstellen, die als Verb<strong>in</strong>dungs-Manager-Clients<br />
verteilt und <strong>in</strong>stalliert werden können. Diese Methode hat den Vorteil, dass Benutzer VPN-<br />
Clients anhand des Profils erstellen und <strong>in</strong>stallieren können, ohne dass dafür technische<br />
Kenntnisse vorhanden se<strong>in</strong> müssen. Als dritte Möglichkeit kann auf Clientdesktops mithilfe<br />
von Gruppenrichtl<strong>in</strong>ien oder anderen Methoden die VPN-Clientsoftware e<strong>in</strong>es anderen Herstellers<br />
bereitgestellt werden.<br />
H<strong>in</strong>weis Was s<strong>in</strong>d der Verb<strong>in</strong>dungs-Manager und das Verb<strong>in</strong>dungs-Manager-Verwaltungskit?<br />
Der Verb<strong>in</strong>dungs-Manager ist e<strong>in</strong> Tool für Clientnetzwerkverb<strong>in</strong>dungen. E<strong>in</strong> Benutzer kann<br />
damit e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Remotenetzwerk aufbauen, etwa e<strong>in</strong>em <strong>Unternehmen</strong>snetzwerk,<br />
das durch e<strong>in</strong>en VPN-Server geschützt wird.<br />
Das Verb<strong>in</strong>dungs-Manager-Verwaltungskit ist e<strong>in</strong> Feature <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Server 2008, das Sie<br />
im Assistenten "Feature h<strong>in</strong>zufügen" <strong>in</strong>stallieren können. Sie können damit für Remotebenutzer<br />
die Erstellung vordef<strong>in</strong>ierter Verb<strong>in</strong>dungen zu Remoteservern und -netzwerken automatisieren.<br />
Um e<strong>in</strong>en Verb<strong>in</strong>dungs-Manager-Client für Ihre Benutzer zu erstellen und anzupassen, verwenden<br />
Sie den Assistenten für das Microsoft Verb<strong>in</strong>dungs-Manager-Verwaltungskit. In<br />
diesem Assistenten automatisieren Sie viele Aspekte e<strong>in</strong>er Verb<strong>in</strong>dung (beispielsweise die<br />
IP-Adresse des VPN-Servers), sodass die Benutzer sich nicht selbst um derartige technische<br />
Details zu kümmern brauchen.<br />
VPN-Server<br />
Der VPN-Server <strong>in</strong> e<strong>in</strong>er <strong>W<strong>in</strong>dows</strong>-VPN-Infrastruktur führt RRAS aus. In <strong>W<strong>in</strong>dows</strong> Server<br />
2008 ist dies e<strong>in</strong> Rollendienst der Serverrolle Netzwerkrichtl<strong>in</strong>ien- und Zugriffsdienste. Server,<br />
die mit RRAS konfiguriert s<strong>in</strong>d, nehmen Anforderungen von Remotezugriffsbenutzern<br />
aus dem Internet entgegen, authentifizieren diese Benutzer, autorisieren die Verb<strong>in</strong>dungsanforderungen<br />
und blockieren schließlich die Anforderungen oder leiten die Verb<strong>in</strong>dungen<br />
<strong>in</strong> <strong>in</strong>terne Segmente des privaten Netzwerks weiter.
H<strong>in</strong>weis Authentifizierung und Autorisierung beim Remotezugriff<br />
Lektion 1: Grundlagen von VPN-Clientverb<strong>in</strong>dungen 231<br />
Authentifizierung ist der Vorgang, bei dem der Benutzer überprüft wird. Dabei werden e<strong>in</strong><br />
Kennwort oder andere Anmelde<strong>in</strong>formationen wie e<strong>in</strong> Zertifikat oder e<strong>in</strong>e Smartcard überprüft.<br />
So wird sichergestellt, dass der Benutzer wirklich ist, wer er zu se<strong>in</strong> vorgibt.<br />
Während bei der Authentifizierung Benutzeranmelde<strong>in</strong>formationen überprüft werden, ist die<br />
Autorisierung der Vorgang, mit dem e<strong>in</strong>em Benutzer der Zugriff auf Ressourcen erlaubt wird.<br />
Sobald die Remotezugriffsauthentifizierung abgeschlossen ist, wird die Remotezugriffsverb<strong>in</strong>dung<br />
nur autorisiert, wenn sowohl auf der Registerkarte E<strong>in</strong>wählen im Eigenschaftendialogfeld<br />
des Benutzerkontos (mehr dazu im Abschnitt »Domänencontroller« weiter unten<br />
<strong>in</strong> dieser Lektion) als auch <strong>in</strong> der Netzwerkrichtl<strong>in</strong>ie, die für die Verb<strong>in</strong>dung gilt, passende<br />
Berechtigungen konfiguriert s<strong>in</strong>d.<br />
Für die Authentifizierung kann RRAS so konfiguriert werden, dass es die Authentifizierungsanforderung<br />
an e<strong>in</strong>en RADIUS-Server (bei Verwendung des Netzwerkrichtl<strong>in</strong>ienservers)<br />
weiterleitet oder auf die <strong>W<strong>in</strong>dows</strong>-Authentifizierung zurückgreift. Wenn die <strong>W<strong>in</strong>dows</strong>-<br />
Authentifizierung verwendet wird und der lokale VPN-Server ke<strong>in</strong> Mitglied e<strong>in</strong>er Domäne<br />
ist, authentifiziert RRAS die Benutzer, <strong>in</strong>dem es die empfangenen Anmelde<strong>in</strong>formationen<br />
mit denen vergleicht, die <strong>in</strong> se<strong>in</strong>er lokalen SAM-Datenbank (Security Account Manager)<br />
gespeichert s<strong>in</strong>d. Wenn dagegen <strong>W<strong>in</strong>dows</strong>-Authentifizierung verwendet wird und der lokale<br />
VPN-Server Mitglied e<strong>in</strong>er Domäne ist, übergibt RRAS die Benutzeranmelde<strong>in</strong>formationen<br />
an e<strong>in</strong>en verfügbaren Domänencontroller.<br />
H<strong>in</strong>weis Die Remotezugriffsauthentifizierung verläuft getrennt von der Authentifizierung<br />
für die Domänenanmeldung<br />
Die Remotezugriffsauthentifizierung kommt vor der Authentifizierung für die Domänenanmeldung.<br />
Versucht e<strong>in</strong> VPN-Benutzer, sich im Remotezugriff an e<strong>in</strong>er Domäne anzumelden,<br />
muss die VPN-Verb<strong>in</strong>dung authentifiziert, autorisiert und aufgebaut se<strong>in</strong>, bevor die<br />
normale Domänenanmeldung durchgeführt wird.<br />
S<strong>in</strong>d die Anmelde<strong>in</strong>formationen, die <strong>in</strong> der Remotezugriffsverb<strong>in</strong>dung übergeben wurden,<br />
erfolgreich authentifiziert, muss die Verb<strong>in</strong>dung autorisiert werden. Die Remotezugriffsautorisierung<br />
umfasst zwei Schritte: Erst werden die E<strong>in</strong>wähleigenschaften des Benutzerkontos<br />
überprüft, das <strong>in</strong> der VPN-Verb<strong>in</strong>dung angegeben ist. Dann wird die erste passende<br />
Netzwerkrichtl<strong>in</strong>iendef<strong>in</strong>ition auf dem VPN-Server angewendet (oder auf dem Netzwerkrichtl<strong>in</strong>ienserver,<br />
wenn RRAS so konfiguriert ist, dass es RADIUS-Authentifizierung verwendet).<br />
H<strong>in</strong>weis Was s<strong>in</strong>d Netzwerkrichtl<strong>in</strong>ien?<br />
Netzwerkrichtl<strong>in</strong>ien def<strong>in</strong>ieren verschiedene Verb<strong>in</strong>dungstypen anhand ausgewählter Bed<strong>in</strong>gungen,<br />
etwa abhängig davon, <strong>in</strong> welchen <strong>W<strong>in</strong>dows</strong>-Gruppen der Benutzer Mitglied ist, ob<br />
Integritätsrichtl<strong>in</strong>ien erfüllt s<strong>in</strong>d oder welches Betriebssystem der Client ausführt. Dann werden<br />
Anforderungen, die diesen Bed<strong>in</strong>gungen entsprechen, entweder erlaubt oder verweigert.<br />
Netzwerkrichtl<strong>in</strong>ien können <strong>in</strong> RRAS oder <strong>in</strong> NPS def<strong>in</strong>iert se<strong>in</strong>. Abbildung 6.8 zeigt, wie<br />
Netzwerkrichtl<strong>in</strong>ien konfiguriert werden.
232 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
Abbildung 6.8 Netzwerkrichtl<strong>in</strong>ien dienen dazu, Verb<strong>in</strong>dungsanforderungen zu autorisieren<br />
DNS-Server<br />
VPN-Clients, die e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em privaten Netzwerk herstellen, müssen mit der<br />
Adresse e<strong>in</strong>es <strong>in</strong>ternen DNS-Servers konfiguriert se<strong>in</strong>, der die Namen von Ressourcen <strong>in</strong><br />
diesem privaten Netzwerk auflöst. Normalerweise übernimmt der Domänencontroller, der<br />
den Remotezugriffsbenutzer authentifiziert, auch die Aufgabe des DNS-Servers.<br />
Abbildung 6.9 E<strong>in</strong>stellen der Netzwerkzugriffs-<br />
berechtigung e<strong>in</strong>es Benutzerkontos<br />
Domänencontroller<br />
In e<strong>in</strong>er VPN-Infrastruktur wird üblicherweise e<strong>in</strong> Domänencontroller e<strong>in</strong>gesetzt, um Benutzer,<br />
die versuchen, über das VPN e<strong>in</strong>e Verb<strong>in</strong>dung zum <strong>Unternehmen</strong>snetzwerk herzustellen,<br />
zu authentifizieren und zu autorisieren. Neben der Authentifizierung der Benutzeranmelde-
Lektion 1: Grundlagen von VPN-Clientverb<strong>in</strong>dungen 233<br />
<strong>in</strong>formationen übernimmt der Domänencontroller auch die Aufgabe, das Benutzerkonto für<br />
den Remotezugriff zu autorisieren. Damit e<strong>in</strong> Benutzerkonto für den Remotezugriff autorisiert<br />
ist, muss es mit der Netzwerkzugriffsberechtigung Zugriff gestatten oder Zugriff über<br />
NPS-Netzwerkrichtl<strong>in</strong>ien steuern konfiguriert se<strong>in</strong>.<br />
Sie konfigurieren die Netzwerkzugriffsberechtigung für e<strong>in</strong>en e<strong>in</strong>zelnen Benutzer <strong>in</strong> der<br />
Konsole Active Directory-Benutzer und -Computer auf der Registerkarte E<strong>in</strong>wählen im<br />
Eigenschaftendialogfeld des Benutzerkontos (Abbildung 6.9). In der Standarde<strong>in</strong>stellung ist<br />
für Domänenbenutzerkonten die E<strong>in</strong>stellung Zugriff über NPS-Netzwerkrichtl<strong>in</strong>ien steuern<br />
konfiguriert.<br />
Zertifikatserver<br />
Viele VPNs setzen e<strong>in</strong>e Form der Verschlüsselung e<strong>in</strong>, die mit öffentlichen Schlüsseln und<br />
e<strong>in</strong>er Public Key-Infrastruktur (PKI) arbeitet. In e<strong>in</strong>er PKI werden Zertifikate e<strong>in</strong>erseits verwendet,<br />
um die Identität des Zertifikatbesitzers zu überprüfen, und andererseits, um Daten zu<br />
verschlüsseln oder entschlüsseln. Jedes Zertifikat ist mit e<strong>in</strong>em Schlüsselpaar verknüpft, das<br />
aus e<strong>in</strong>em öffentlichen Schlüssel (der <strong>in</strong> das öffentliche Zertifikat e<strong>in</strong>gebettet ist und an alle<br />
verteilt wird) und e<strong>in</strong>em privaten Schlüssel (er wird lokal generiert und niemals über das<br />
Netzwerk gesendet) besteht. Werden Daten mit dem privaten Schlüssel verschlüsselt, können<br />
sie mit dem zugehörigen öffentlichen Schlüssel wieder entschlüsselt werden. Und wird<br />
umgekehrt der öffentliche Schlüssel benutzt, um die Daten zu verschlüsseln, lassen sie sich<br />
mit dem privaten Schlüssel wieder entschlüsseln. In e<strong>in</strong>em typischen Fall benutzt e<strong>in</strong> Absender<br />
den öffentlichen Schlüssel des Empfängers, um e<strong>in</strong>e Nachricht zu verschlüsseln,<br />
bevor er sie absendet. Nur der Empfänger hat Zugriff auf den privaten Schlüssel, der<br />
gebraucht wird, um die Nachricht zu entschlüsseln.<br />
In e<strong>in</strong>er PKI werden Zertifikate von e<strong>in</strong>er Zertifizierungsstelle generiert und ausgegeben.<br />
Das kann e<strong>in</strong> Computer se<strong>in</strong>, der unter <strong>W<strong>in</strong>dows</strong> Server 2008 läuft und die Serverrolle<br />
Active Directory-Zertifikatdienste ausführt.<br />
DHCP-Server<br />
Normalerweise wird e<strong>in</strong> <strong>in</strong>terner DHCP-Server verwendet, um VPN-Clients e<strong>in</strong>e IP-Adresse<br />
zuzuweisen. Erfüllt e<strong>in</strong> DHCP-Server diese Aufgabe, muss der externe Netzwerkadapter des<br />
VPN-Servers mit e<strong>in</strong>em DHCP-Relay-Agent konfiguriert se<strong>in</strong>, damit er die DHCP-Anforderungen<br />
von externen VPN-Clients bedient. Stattdessen kann auch der VPN-Server selbst<br />
so konfiguriert werden, dass er den VPN-Clients Adressen zuweist; dazu wird nicht die<br />
Unterstützung des DHCP-Servers im <strong>Unternehmen</strong>snetzwerk gebraucht.<br />
Netzwerkrichtl<strong>in</strong>ienserver<br />
NPS (Network Policy Server, Netzwerkrichtl<strong>in</strong>ienserver) ist die Microsoft-Implementierung<br />
e<strong>in</strong>es RADIUS-Servers und -Proxys. Sie können NPS e<strong>in</strong>setzen, um Authentifizierung,<br />
Autorisierung und Integritätsrichtl<strong>in</strong>ien für VPN-Verb<strong>in</strong>dungen, Wählverb<strong>in</strong>dungen, 802.11-<br />
Drahtlosverb<strong>in</strong>dungen und 802.1x-Verb<strong>in</strong>dungen zentral zu verwalten. NPS kann außerdem<br />
als Integritätsprüfungsserver für Netzwerkzugriffsschutz (Network Access Protection, NAP)<br />
agieren. Wie RRAS ist auch NPS <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Server 2008 e<strong>in</strong> Rollendienst der Serverrolle<br />
Netzwerkrichtl<strong>in</strong>ien- und Zugriffsdienste.<br />
Abbildung 6.10 zeigt, wie NPS als zentraler Authentifizierungs- und Autorisierungspunkt<br />
für den Netzwerkzugriff agiert. In dieser Abbildung arbeitet NPS als RADIUS-Server für
234 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
zahlreiche Zugriffsclients. Für die Authentifizierung der Benutzeranmelde<strong>in</strong>formationen<br />
greift NPS auf e<strong>in</strong>en Domänencontroller zurück.<br />
Abbildung 6.10 E<strong>in</strong> NPS-Server kann die Authentifizierung und Autorisierung zentral verwalten<br />
H<strong>in</strong>weis NPS und IAS<br />
NPS ist der Nachfolger des Internetauthentifizierungsdienstes (Internet Authentication<br />
Service, IAS) aus <strong>W<strong>in</strong>dows</strong> Server 2003.<br />
Grundlagen der VPN-Tunnelprotokolle <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
<strong>W<strong>in</strong>dows</strong> 7 unterstützt vier Tunnelprotokolle für VPN-Remotezugriffsverb<strong>in</strong>dungen zu<br />
<strong>Unternehmen</strong>snetzwerken. Jedes davon wird <strong>in</strong> e<strong>in</strong>em anderen Remotezugriffsszenario<br />
e<strong>in</strong>gesetzt, und jedes stellt andere Anforderungen an Betriebssystem, Konfiguration und<br />
Infrastruktur. Der folgende Abschnitt stellt diese vier VPN-Protokolle genauer vor.<br />
Grundlagen von IKEv2<br />
Internet Key Exchange Version 2 (IKEv2) ist neu <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 und <strong>W<strong>in</strong>dows</strong> Server 2008<br />
R2. Es ist e<strong>in</strong> Tunnelprotokoll, das IPSec (Internet Protocol Security) für die Verschlüsselung<br />
e<strong>in</strong>setzt. E<strong>in</strong> wichtiger Leistungsgew<strong>in</strong>n e<strong>in</strong>es IKEv2-basierten VPNs ergibt sich aus<br />
der Unterstützung von VPN-Reconnect (auch unter dem Namen Mobility bekannt). VPN-<br />
Reconnect ermöglicht es, Verb<strong>in</strong>dungen aufrechtzuerhalten, während e<strong>in</strong> VPN-Client von<br />
e<strong>in</strong>em WLAN-Hotspot oder Switch e<strong>in</strong>er Drahtlos- oder Kabelverb<strong>in</strong>dung zu e<strong>in</strong>em anderen<br />
wechselt. E<strong>in</strong> anderer wichtiger Vorteil von IKEv2 ist, dass Clientcomputer sich nicht mithilfe<br />
e<strong>in</strong>es Computerzertifikats oder e<strong>in</strong>es vor<strong>in</strong>stallierten Schlüssels authentifizieren müssen.<br />
Diesen Vorteil bieten auch SSTP- (Secure Socket Tunnel<strong>in</strong>g Protocol) und PPTP-VPNs<br />
(Po<strong>in</strong>t-to-Po<strong>in</strong>t Tunnel<strong>in</strong>g Protocol), aber nicht die VPNs, die auf L2TP (Layer 2 Tunnel<strong>in</strong>g<br />
Protocol) aufbauen. Und schließlich bietet IKEv2 im Vergleich zu anderen VPN-Typen, die
Lektion 1: Grundlagen von VPN-Clientverb<strong>in</strong>dungen 235<br />
auf IPSec-Verschlüsselung aufbauen (L2TP), höhere Leistung, weil die Verb<strong>in</strong>dung schneller<br />
aufgebaut wird.<br />
Prüfungstipp<br />
Für die Prüfung <strong>70</strong>-<strong>685</strong> müssen Sie wissen, was VPN-Reconnect ist und dass nur IKEv2-<br />
VPNs dieses Feature unterstützen.<br />
IKEv2-VPNs setzen e<strong>in</strong>e PKI voraus. In e<strong>in</strong>em IKEv2-VPN muss der Server dem Client e<strong>in</strong><br />
Serverauthentifizierungszertifikat vorweisen, und der Client muss <strong>in</strong> der Lage se<strong>in</strong>, dieses<br />
Zertifikat zu überprüfen. Damit diese Überprüfung vorgenommen werden kann, muss das<br />
Stammzertifikat der Zertifizierungsstelle, die das Serverauthentifizierungszertifikat ausgestellt<br />
hat, im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen des Clientcomputers<br />
<strong>in</strong>stalliert se<strong>in</strong>.<br />
Was Leistung und Sicherheit betrifft, ist IKEv2 der bevorzugte VPN-Typ. Sie sollten ihn<br />
bereitstellen, sofern die Betriebssystemvoraussetzungen für e<strong>in</strong> solches VPN erfüllt s<strong>in</strong>d.<br />
Diese Anforderungen s<strong>in</strong>d <strong>W<strong>in</strong>dows</strong> 7 für den VPN-Client und <strong>W<strong>in</strong>dows</strong> Server 2008 R2<br />
auf dem VPN-Server.<br />
Grundlagen von SSTP<br />
SSTP-VPNs wurden <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Server 2008 e<strong>in</strong>geführt. Sie können von Clients benutzt<br />
werden, die unter <strong>W<strong>in</strong>dows</strong> Vista SP1 oder neuer laufen. Dieser VPN-Typ basiert auf demselben<br />
HTTP-über-SSL-Protokoll, das für sichere Websites verwendet wird. Das wichtigste<br />
Feature e<strong>in</strong>es SSTP-VPNs ist, dass es die gesamte Kommunikation über TCP-Port 443 abwickelt.<br />
Dieser Port wird auf den meisten Firewalls für sicheren Webverkehr offen gehalten.<br />
Weil die meisten Firewalls nicht umkonfiguriert werden müssen, um SSTP-Kommunikation<br />
abzuwickeln, können SSTP-VPN-Clients durch die meisten NAT-Geräte (Network Address<br />
Translation), Firewalls und Webproxys h<strong>in</strong>durch Verb<strong>in</strong>dungen aufbauen. Andere VPN-<br />
Typen können solche Netzwerkgeräte oft nicht durchlaufen. E<strong>in</strong> SSTP-VPN ist daher e<strong>in</strong><br />
außergewöhnlich flexibles Remotezugriff-VPN, das <strong>in</strong> mehr Netzwerkkonstellationen<br />
implementiert werden kann als andere VPNs.<br />
Wie IKEv2- und PPTP-VPNs, aber anders als L2TP-basierte VPNs erfordern SSTP-VPNs<br />
<strong>in</strong> der Standarde<strong>in</strong>stellung ke<strong>in</strong>e Clientcomputerauthentifizierung (dies kann aber durch e<strong>in</strong>e<br />
Konfigurationsänderung erzwungen werden). Wie bei e<strong>in</strong>em sicheren Webserver muss der<br />
SSTP-VPN-Server dem anfordernden Client aber am Anfang der Kommunikationssitzung<br />
e<strong>in</strong> Computerzertifikat vorweisen. Der VPN-Client muss dann <strong>in</strong> der Lage se<strong>in</strong>, das Computerzertifikat<br />
des Servers zu überprüfen. Damit diese Überprüfung vorgenommen werden<br />
kann, muss das Stammzertifikat der Zertifizierungsstelle, die das Serverauthentifizierungszertifikat<br />
ausgestellt hat, im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen<br />
des VPN-Clientcomputers <strong>in</strong>stalliert se<strong>in</strong>.<br />
H<strong>in</strong>weis Zertifikatprüfung <strong>in</strong> SSTP-VPNs<br />
In e<strong>in</strong>er PKI kann e<strong>in</strong> Adm<strong>in</strong>istrator e<strong>in</strong> Zertifikat sperren, das e<strong>in</strong>em Benutzer, Computer<br />
oder Dienst ausgestellt wurde. E<strong>in</strong>e Zertifizierungsstelle veröffentlicht die Listen der gesperrten<br />
Zertifikate <strong>in</strong> e<strong>in</strong>er offiziellen Zertifikatsperrliste (Certificate Revocation List,<br />
CRL). Bei SSTP-VPN-Verb<strong>in</strong>dungen muss der Client standardmäßig überprüfen, dass das
236 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
Computerzertifikat des VPN-Servers nicht gesperrt wurde. Dazu kommuniziert er mit dem<br />
Zertifikatserver, der im Zertifikat als Host der Zertifikatsperrliste angegeben ist. Ist der<br />
Server, der die Zertifikatsperrliste hostet, nicht erreichbar, schlägt die Überprüfung fehl. Die<br />
VPN-Verb<strong>in</strong>dung wird daraufh<strong>in</strong> abgebrochen. Um das zu verh<strong>in</strong>dern, müssen Sie die Zertifikatsperrliste<br />
entweder auf e<strong>in</strong>em Server veröffentlichen, der im Internet erreichbar ist,<br />
oder den Client so konfigurieren, dass er ke<strong>in</strong>e Prüfung der Zertifikatsperrliste erzw<strong>in</strong>gt. Sie<br />
deaktivieren die Prüfung der Zertifikatsperrliste, <strong>in</strong>dem Sie e<strong>in</strong>en Registrierungse<strong>in</strong>trag im<br />
folgenden Pfad anlegen:<br />
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sstpsvc\parameters<br />
Dieser E<strong>in</strong>trag muss e<strong>in</strong> DWORD-Wert namens NoCertRevocationCheck se<strong>in</strong>. Setzen Sie<br />
diesen E<strong>in</strong>trag auf den Wert 1.<br />
Grundlagen von L2TP<br />
L2TP ist der Industriestandard für e<strong>in</strong> Tunnelprotokoll, das mit dem Ziel entwickelt wurde,<br />
nativ über IP-Netzwerke zu laufen. Die Sicherheit für L2TP-VPN-Verb<strong>in</strong>dungen wird mit<br />
IPSec gewährleistet, das Datenauthentifizierung und Verschlüsselung durchführt. Auf diese<br />
Weise ist sichergestellt, dass L2TP-Tunnel geschützt s<strong>in</strong>d. Die Komb<strong>in</strong>ation aus L2TP und<br />
IPSec zum Aufbau e<strong>in</strong>es Tunnels wird üblicherweise als L2TP über IPSec oder L2TP/IPSec<br />
bezeichnet.<br />
L2TP/IPSec-VPNs haben gegenüber IKEv2- und SSTP-VPNs e<strong>in</strong>ige Nachteile. Erstens<br />
benötigt L2TP/IPSec neben der Benutzerauthentifizierung, die <strong>in</strong> allen VPN-Protokollen<br />
erforderlich ist, zusätzlich e<strong>in</strong>e Clientcomputerauthentifizierung. Aufgrund dieser Anforderung<br />
müssen alle VPN-Clientcomputer, auf denen der Benutzer e<strong>in</strong>e Verb<strong>in</strong>dung aufbauen<br />
will, entweder mit e<strong>in</strong>em Computerzertifikat oder e<strong>in</strong>em vor<strong>in</strong>stallierten Schlüssel konfiguriert<br />
se<strong>in</strong>, den der VPN-Server kennt. Daher ist es bei L2TP/IPSec nicht möglich, dass e<strong>in</strong><br />
Benutzer e<strong>in</strong>e VPN-Verb<strong>in</strong>dung von öffentlichen Term<strong>in</strong>als aus oder von irgende<strong>in</strong>em Computer<br />
aus e<strong>in</strong>e Verb<strong>in</strong>dung herstellt, die nicht explizit für das VPN konfiguriert wurde.<br />
Wollen Sie e<strong>in</strong>e VPN-Clientverb<strong>in</strong>dung <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 so konfigurieren, dass sie entweder<br />
e<strong>in</strong> Computerzertifikat oder e<strong>in</strong>en vor<strong>in</strong>stallierten Schlüssel für die L2TP/IPSec-Authentifizierung<br />
verwendet, müssen Sie das Eigenschaftendialogfeld der VPN-Verb<strong>in</strong>dung öffnen,<br />
auf die Registerkarte Sicherheit und dort auf die Schaltfläche Erweiterte E<strong>in</strong>stellungen klicken.<br />
Daraufh<strong>in</strong> öffnet sich das Dialogfeld Erweiterte Eigenschaften (Abbildung 6.11). In<br />
der Standarde<strong>in</strong>stellung ist die Zertifikatsauthentifizierung e<strong>in</strong>gestellt. Um e<strong>in</strong> Clientauthentifizierungszertifikat<br />
zu bekommen, das Sie für diese E<strong>in</strong>stellung brauchen, müssen Sie üblicherweise<br />
e<strong>in</strong>e Anforderung an die Zertifizierungsstelle im <strong>Unternehmen</strong>snetzwerk senden<br />
und dann das Zertifikat <strong>in</strong>stallieren, sobald die Anforderung genehmigt wurde. Wenn Sie die<br />
E<strong>in</strong>stellung auf Vor<strong>in</strong>stallierten Schlüssel für Authentifizierung verwenden ändern, müssen<br />
Sie den Schlüssel im zugehörigen Textfeld e<strong>in</strong>geben.<br />
Neben der Anforderung, dass der Clientcomputer authentifiziert werden muss, liegt e<strong>in</strong>e<br />
weitere E<strong>in</strong>schränkung von L2TP/IPSec-VPNs dar<strong>in</strong>, dass sie ke<strong>in</strong>e native Unterstützung für<br />
die Kommunikation über NAT-Geräte bieten. Sie können es L2TP/IPSec allerd<strong>in</strong>gs ermöglichen,<br />
e<strong>in</strong> NAT-Gerät zu durchlaufen, wenn Sie sowohl auf dem VPN-Clientcomputer als<br />
auch dem VPN-Server e<strong>in</strong>en bestimmten Registrierungswert ändern.
Abbildung 6.11 Konfigurieren der VPN-Clientauthentifizierung<br />
für L2TP/IPSec<br />
Lektion 1: Grundlagen von VPN-Clientverb<strong>in</strong>dungen 237<br />
Weitere Informationen Konfigurieren von L2TP/IPSec für NAT-Traversal<br />
E<strong>in</strong>e Anleitung, wie Sie die Registrierung so ändern, dass NAT-Traversal <strong>in</strong> L2TP/IPSec<br />
möglich ist, f<strong>in</strong>den Sie unter http://support.microsoft.com/kb/926179.<br />
Grundlagen von PPTP<br />
PPTP ist unter allen VPN-Protokollen am e<strong>in</strong>fachsten <strong>in</strong> <strong>W<strong>in</strong>dows</strong>-Netzwerken zu implementieren.<br />
Im Unterschied zu anderen Tunnelprotokollen benötigt PPTP ke<strong>in</strong>erlei Zertifikate<br />
oder vor<strong>in</strong>stallierte Schlüssel, weder auf dem VPN-Client noch dem Server. E<strong>in</strong> anderes wichtiges<br />
Feature von PPTP ist, dass es auch für ältere <strong>W<strong>in</strong>dows</strong>-Betriebssysteme benutzt werden<br />
kann: Es ist das e<strong>in</strong>zige native <strong>W<strong>in</strong>dows</strong>-VPN-Protokoll, das auf Microsoft <strong>W<strong>in</strong>dows</strong> NT 4.0<br />
läuft, und es ist zu allen <strong>W<strong>in</strong>dows</strong>-Versionen seit Microsoft <strong>W<strong>in</strong>dows</strong> 2000 kompatibel.<br />
PPTP hat aber auch erhebliche Nachteile. Der größte ist, dass es nicht so sicher ist wie andere<br />
VPN-Protokolle. PPTP verschlüsselt die Daten zwar, stellt aber nicht die Daten<strong>in</strong>tegrität<br />
sicher und führt ke<strong>in</strong>e Authentifizierung der Datenherkunft durch. E<strong>in</strong>e weitere E<strong>in</strong>schränkung<br />
von PPTP ist, dass es NAT-Geräte nur durchlaufen kann, wenn es sich um PPTP-fähige<br />
NAT-Router handelt.<br />
Tabelle 6.1 vergleicht die wichtigsten Features der vier VPN-Protokolle, die <strong>in</strong> <strong>W<strong>in</strong>dows</strong>-<br />
Netzwerken zur Verfügung stehen.
238 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
Tabelle 6.1 VPN-Protokolle <strong>in</strong> <strong>W<strong>in</strong>dows</strong>-Netzwerken<br />
VPN-<br />
Protokoll<br />
Unterstützte Betriebssysteme<br />
IKEv2 <strong>W<strong>in</strong>dows</strong> 7,<br />
<strong>W<strong>in</strong>dows</strong> Server<br />
2008 R2<br />
SSTP <strong>W<strong>in</strong>dows</strong> Vista<br />
SP1, <strong>W<strong>in</strong>dows</strong><br />
Server 2008,<br />
<strong>W<strong>in</strong>dows</strong> 7,<br />
<strong>W<strong>in</strong>dows</strong> Server<br />
2008 R2<br />
L2TP/<br />
IPSec<br />
<strong>W<strong>in</strong>dows</strong> 2000<br />
oder neuer<br />
PPTP <strong>W<strong>in</strong>dows</strong> NT 4.0,<br />
<strong>W<strong>in</strong>dows</strong> 2000<br />
oder neuer<br />
Szenario Traversal VPN-Reconnect/Mobility <br />
Remotezugriff <br />
Remotezugriff <br />
Remotezugriff,Standortverb<strong>in</strong>dung <br />
Remotezugriff,Standortverb<strong>in</strong>dung<br />
Authentifizierung<br />
NAT Ja Computer- oder Benutzerauthentifizierung<br />
mit<br />
IKEv2; VPN-Server<br />
braucht e<strong>in</strong> Serverzertifikat<br />
NAT,<br />
Firewalls,<br />
Webproxy<br />
NAT, nur mit<br />
spezieller<br />
Änderung <strong>in</strong><br />
der Registrierung<br />
NAT, nur<br />
durch PPTPfähige<br />
NAT-<br />
Router<br />
Ablauf des Verb<strong>in</strong>dungsaufbaus bei Remotezugriff-VPNs<br />
Ne<strong>in</strong> Benutzerauthentifizierung<br />
mit PPP (Po<strong>in</strong>t-to-<br />
Po<strong>in</strong>t Protocol); VPN-<br />
Server braucht e<strong>in</strong><br />
Serverzertifikat<br />
Ne<strong>in</strong> Computerauthentifizierung<br />
mit IPSec, gefolgt<br />
von Benutzerauthentifizierung<br />
mit PPP; VPN-<br />
Client braucht e<strong>in</strong><br />
Computerzertifikat oder<br />
e<strong>in</strong>en vor<strong>in</strong>stallierten<br />
Schlüssel<br />
Ne<strong>in</strong> Benutzerauthentifizierung<br />
mit PPP<br />
Wenn e<strong>in</strong> VPN-Client Zugriff auf e<strong>in</strong> <strong>W<strong>in</strong>dows</strong>-<strong>Unternehmen</strong>snetzwerk anfordert, müssen<br />
mehrere Schritte ablaufen, bis der Client tatsächlich den gewünschten Zugriff erhält. Tritt an<br />
irgende<strong>in</strong>er Stelle <strong>in</strong> diesem Ablauf e<strong>in</strong> Fehler auf, missl<strong>in</strong>gt der Verb<strong>in</strong>dungsversuch. Sie<br />
müssen die Schritte beim VPN-Verb<strong>in</strong>dungsaufbau genau kennen, wenn Sie e<strong>in</strong>e effektive<br />
Problembehandlung durchführen wollen. Nur so können Sie wissen, durch welche Fehler <strong>in</strong><br />
Ihrer VPN-Konfiguration bestimmte Verb<strong>in</strong>dungsfehler verursacht werden.<br />
Der Verb<strong>in</strong>dungsaufbau bei e<strong>in</strong>em Remotezugriff-VPN läuft <strong>in</strong> folgenden Schritten ab:<br />
1. Der VPN-Client nimmt Kontakt zum VPN-Server auf.<br />
In der ersten Phase e<strong>in</strong>es VPN-Verb<strong>in</strong>dungsversuchs kontaktiert der VPN-Client den<br />
VPN-Server. Diese Phase verläuft nur erfolgreich, wenn der Client mit der richtigen IP-<br />
Adresse des VPN-Servers konfiguriert ist. Außerdem muss der VPN-Server öffentlich<br />
erreichbar se<strong>in</strong>. Liegt der VPN-Server h<strong>in</strong>ter e<strong>in</strong>er Firewall, muss sie so konfiguriert<br />
se<strong>in</strong>, dass sie den VPN-Clientzugriff erlaubt.<br />
2. Der VPN-Tunnel wird ausgehandelt.<br />
Sobald der VPN-Client den Kontakt zum VPN-Server hergestellt hat, schickt er e<strong>in</strong>e<br />
Anforderung nach e<strong>in</strong>em bestimmten Tunneltyp. E<strong>in</strong>e VPN-Netzwerkverb<strong>in</strong>dung kann
Lektion 1: Grundlagen von VPN-Clientverb<strong>in</strong>dungen 239<br />
e<strong>in</strong>e von fünf E<strong>in</strong>stellungen verwenden: Automatisch, PPTP, L2TP/IPSec, SSTP und<br />
IKEv2 (Abbildung 6.12).<br />
Abbildung 6.12 Konfigurieren des VPN-Typs<br />
Die Standarde<strong>in</strong>stellung ist Automatisch. Bei dieser E<strong>in</strong>stellung fordert die VPN-Verb<strong>in</strong>dung<br />
Protokolle <strong>in</strong> der folgenden Reihenfolge an: IKEv2, SSTP, L2TP/IPSec und PPTP.<br />
Es wird schließlich der VPN-Typ verwendet, für den der VPN-Server die Anforderung<br />
bestätigt.<br />
Während dieser Phase wird auch das Authentifizierungsprotokoll ausgehandelt. Bei<br />
IKEv2-VPNs wird das Authentifizierungsprotokoll EAP-MSCHAPv2 benutzt. Bei anderen<br />
VPN-Typen wird MS-CHAPv2 bevorzugt, sofern es auf dem VPN-Server verfügbar<br />
ist. Andernfalls wird CHAP angefordert.<br />
Zuletzt wird <strong>in</strong> dieser Phase die Verschlüsselung ausgehandelt. Wie die Authentifizierungse<strong>in</strong>stellungen<br />
werden <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 auch die Verschlüsselungse<strong>in</strong>stellungen auf der<br />
Registerkarte Sicherheit im Eigenschaftendialogfeld e<strong>in</strong>er VPN-Verb<strong>in</strong>dung konfiguriert<br />
(Abbildung 6.13). Damit die Verschlüsselung erfolgreich ausgehandelt werden kann,<br />
müssen die hier def<strong>in</strong>ierten Cliente<strong>in</strong>stellungen zu denen kompatibel se<strong>in</strong>, die auf dem<br />
VPN-Server konfiguriert s<strong>in</strong>d. Ist auf dem Client also die Option Maximale e<strong>in</strong>gestellt,<br />
muss der Server <strong>in</strong> der Lage se<strong>in</strong>, höchste Verschlüsselungsstärke zur Verfügung zu<br />
stellen, andernfalls schlägt der VPN-Verb<strong>in</strong>dungsversuch fehl.<br />
3. Der VPN-Tunnel wird erstellt.<br />
Wurde über VPN-Tunneltyp, Authentifizierungsprotokoll und Verschlüsselungsstärke<br />
E<strong>in</strong>igung erzielt, wird der VPN-Tunnel zwischen VPN-Client und VPN-Server erstellt.<br />
Ab diesem Punkt läuft die gesamte Kommunikation verschlüsselt.<br />
Bei IKEv2- und SSTP-VPNs wird der Tunnel mithilfe des Computerzertifikats des VPN-<br />
Servers aufgebaut. Der VPN-Client muss daher <strong>in</strong> der Lage se<strong>in</strong>, dieses Zertifikat zu<br />
überprüfen. Das setzt voraus, dass auf dem VPN-Clientcomputers das Stammzertifikat<br />
der Zertifizierungsstelle, die das Serverauthentifizierungszertifikat ausgestellt hat, im<br />
Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen <strong>in</strong>stalliert ist.
240 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
Abbildung 6.13 Konfigurieren der<br />
Datenverschlüsselung <strong>in</strong> der VPN-Verb<strong>in</strong>dung<br />
Bei L2TP/IPSec-VPNs werden vor<strong>in</strong>stallierte Schlüssel oder Computerzertifikate verwendet,<br />
um die Verschlüsselungsbed<strong>in</strong>gungen für den Tunnel festzulegen. Daher gel<strong>in</strong>gt<br />
die Aushandlung nur, wenn diese Elemente richtig konfiguriert s<strong>in</strong>d. (PPTP-VPNs verwenden<br />
Microsoft Po<strong>in</strong>t-to-Po<strong>in</strong>t Encryption, um e<strong>in</strong>en sicheren Tunnel zu erzeugen, sie<br />
erfordern ke<strong>in</strong>e PKI.)<br />
E<strong>in</strong>e letzte Voraussetzung für die erfolgreiche Aushandlung e<strong>in</strong>es VPN-Tunnels ist, dass<br />
die Kommunikation zwischen VPN-Client und VPN-Server alle zwischengeschaltete<br />
Netzwerkgeräte durchläuft. Liegt zum Beispiel e<strong>in</strong>e Firewall zwischen VPN-Client und<br />
VPN-Server, müssen dar<strong>in</strong> die Ports geöffnet se<strong>in</strong>, die vom VPN-Protokoll benutzt<br />
werden. Liegt e<strong>in</strong> NAT-Gerät zwischen VPN-Client und VPN-Server, muss das VPN-<br />
Protokoll <strong>in</strong> der Lage se<strong>in</strong>, dieses NAT-Gerät zu durchlaufen.<br />
4. Die Remotezugriffsauthentifizierung wird durchgeführt.<br />
In dieser Phase werden die Benutzeranmelde<strong>in</strong>formationen, die im Rahmen der VPN-<br />
Verb<strong>in</strong>dungsanforderung übermittelt wurden, über das vorher ausgehandelte Authentifizierungsprotokoll<br />
an den VPN-Server gesendet. Der VPN-Server führt die Authentifizierung<br />
entweder lokal durch oder leitet die Authentifizierungsanforderung an e<strong>in</strong>en<br />
verfügbaren Domänencontroller oder e<strong>in</strong>en RADIUS-Server weiter. Dies gel<strong>in</strong>gt nur,<br />
wenn der VPN-Benutzer korrekte Anmelde<strong>in</strong>formationen e<strong>in</strong>gegeben hat und der VPN-<br />
Server so konfiguriert ist, dass er die Authentifizierung an die richtige Stelle weiterleitet.<br />
5. Die Remotezugriffsautorisierung wird durchgeführt.<br />
In dieser Phase werden die Eigenschaften des Benutzerkontos überprüft, um festzustellen,<br />
dass der Benutzer für den Remotezugriff autorisiert ist. Dann wird die Liste der Netzwerkrichtl<strong>in</strong>ien<br />
ausgewertet, die auf dem VPN-Server oder Netzwerkrichtl<strong>in</strong>ienserver<br />
konfiguriert ist. Die erste Richtl<strong>in</strong>ie, deren Bed<strong>in</strong>gungen mit der Verb<strong>in</strong>dungsanforderung<br />
übere<strong>in</strong>stimmen, wird auf die Anforderung angewendet. Sie legt nun fest, ob die<br />
Anforderung erlaubt oder zurückgewiesen wird. Beachten Sie, dass <strong>in</strong> der Richtl<strong>in</strong>ie
Lektion 1: Grundlagen von VPN-Clientverb<strong>in</strong>dungen 241<br />
auch E<strong>in</strong>schränkungen (etwa Anmeldezeiten) def<strong>in</strong>iert se<strong>in</strong> können, die Auswirkungen<br />
auf die Autorisierung der Verb<strong>in</strong>dungsanforderung haben.<br />
6. Die VPN-Verb<strong>in</strong>dung wird aufgebaut.<br />
Wurde die Anforderung nach der Remotezugriffsverb<strong>in</strong>dung autorisiert, erlaubt der VPN-<br />
Server dem VPN-Benutzer, sich an der Domäne anzumelden. Nach der Domänenanmeldung<br />
hat der VPN-Benutzer Zugriff auf das <strong>Unternehmen</strong>snetzwerk.<br />
Problembehandlung für VPN-Clientverb<strong>in</strong>dungen<br />
Gehen Sie anhand der folgenden Liste vor, um Probleme bei e<strong>in</strong>er VPN-Clientverb<strong>in</strong>dung zu<br />
untersuchen:<br />
Überprüfen Sie, ob die VPN-Clientverb<strong>in</strong>dung richtig mit dem Namen oder der IP-<br />
Adresse des VPN-Servers konfiguriert ist.<br />
Überprüfen Sie, ob der VPN-Clientcomputer e<strong>in</strong>e aktive Internetverb<strong>in</strong>dung hat. Die<br />
VPN-Verb<strong>in</strong>dung kann nur aufgebaut werden, während der Client mit dem Internet<br />
verbunden ist.<br />
Überprüfen Sie, ob die Benutzeranmelde<strong>in</strong>formationen <strong>in</strong> der VPN-Verb<strong>in</strong>dung richtig<br />
e<strong>in</strong>getragen s<strong>in</strong>d.<br />
Überprüfen Sie, ob der Benutzer für den Remotezugriff autorisiert ist.<br />
Überprüfen Sie, ob die Zertifikate für die VPN-Verb<strong>in</strong>dung richtig konfiguriert s<strong>in</strong>d.<br />
Beispielsweise muss das Zertifikat der Stammzertifizierungsstelle, die das Computerzertifikat<br />
des VPN-Servers ausgestellt hat, im Speicher Vertrauenswürdige Stammzertifizierungsstellen<br />
des VPN-Clientcomputers <strong>in</strong>stalliert se<strong>in</strong>. Bei e<strong>in</strong>em L2TP/IPSec-VPN<br />
müssen Sie sicherstellen, dass auf dem VPN-Clientcomputer e<strong>in</strong> Computerzertifikat<br />
<strong>in</strong>stalliert ist, das der VPN-Server überprüfen kann.<br />
Falls e<strong>in</strong>e Fehlermeldung mit dem Code 741 ersche<strong>in</strong>t und Sie <strong>in</strong>formiert werden, dass<br />
der lokale Computer ke<strong>in</strong>e Verschlüsselung unterstützt, sollten Sie prüfen, ob die Verschlüsselungse<strong>in</strong>stellungen,<br />
die für die VPN-Verb<strong>in</strong>dung konfiguriert s<strong>in</strong>d, zu denen des<br />
Servers kompatibel s<strong>in</strong>d.<br />
Übung Erstellen e<strong>in</strong>er IKEv2-VPN-Verb<strong>in</strong>dung<br />
In dieser Übung erstellen Sie e<strong>in</strong>e simulierte IKEv2-VPN-Verb<strong>in</strong>dung zwischen e<strong>in</strong>em<br />
<strong>W<strong>in</strong>dows</strong> 7-Client und e<strong>in</strong>em Server, der unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2 läuft.<br />
Das aus zwei Computern bestehende Netzwerk, das Sie <strong>in</strong> dieser Übung verwenden, ist<br />
natürlich viel simpler als e<strong>in</strong>e echte Umgebung, <strong>in</strong> der e<strong>in</strong>e solche Verb<strong>in</strong>dung normalerweise<br />
e<strong>in</strong>gesetzt wird. In der Praxis verb<strong>in</strong>det e<strong>in</strong>e VPN-Verb<strong>in</strong>dung e<strong>in</strong>en Client im Internet<br />
durch e<strong>in</strong>e Firewall h<strong>in</strong>durch mit e<strong>in</strong>em VPN-Server, der Mitgliedserver der lokalen AD DS-<br />
Domäne (Active Directory Doma<strong>in</strong> Services) ist. E<strong>in</strong> separater Server, der als Domänencontroller<br />
agiert, übernimmt dabei die Authentifizierung des Benutzers. Und e<strong>in</strong> weiterer Server<br />
ist der Zertifikatserver, der die Zertifikate für die Verb<strong>in</strong>dung generiert. In der Testumgebung<br />
für diese Übung dient dagegen e<strong>in</strong> e<strong>in</strong>ziger <strong>W<strong>in</strong>dows</strong> Server 2008 R2-Computer als VPN-<br />
Server, Domänencontroller und Zertifikatserver.
242 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
In dieser Übung führen Sie folgende Aufgaben aus:<br />
1. Sie legen auf dem Domänencontroller e<strong>in</strong> Domänenbenutzerkonto an und weisen ihm<br />
die E<strong>in</strong>wählberechtigung Zugriff gestatten zu. (Übung 1)<br />
2. Sie <strong>in</strong>stallieren die Active Directory-Zertifikatdienste auf dem Server. Mit den Zertifikatdiensten<br />
generieren Sie sowohl e<strong>in</strong> Serverauthentifizierungszertifikat, das auf dem Server<br />
<strong>in</strong>stalliert wird, als auch e<strong>in</strong> Stammzertifizierungsstellenzertifikat, das auf dem Client<br />
<strong>in</strong>stalliert wird. (Übungen 2 bis 8)<br />
3. Sie <strong>in</strong>stallieren und konfigurieren die Serverrolle Netzwerkrichtl<strong>in</strong>ien- und Zugriffsdienste<br />
auf dem Server. Mit diesem Schritt versetzen Sie den Server <strong>in</strong> die Lage, VPN-<br />
Verb<strong>in</strong>dungen entgegenzunehmen und weiterzuleiten. (Übungen 9 bis 11)<br />
4. Sie erstellen und testen die VPN-Verb<strong>in</strong>dung auf dem Client. (Übungen 12 bis 13)<br />
Für die Übung sollte der Server den Namen DC1.nwtraders.msft haben und der Client den<br />
Namen CLIENT1.nwtraders.msft. Konfigurieren Sie beide Computer mit je e<strong>in</strong>er Netzwerkkarte<br />
und schließen Sie beide an dasselbe Netzwerk an. DC1 muss e<strong>in</strong> Domänencontroller <strong>in</strong><br />
der Domäne Nwtraders.msft se<strong>in</strong>, CLIENT1 muss Mitglied <strong>in</strong> dieser Domäne se<strong>in</strong>.<br />
DC1 sollte nur mit folgenden Rollen konfiguriert se<strong>in</strong>:<br />
AD DS<br />
DHCP-Server<br />
DNS-Server<br />
H<strong>in</strong>weis Entfernen Sie alle anderen Rollen<br />
Entfernen Sie alle anderen Rollen, die auf DC1 <strong>in</strong>stalliert s<strong>in</strong>d, bevor Sie diese Übung <strong>in</strong><br />
Angriff nehmen. (E<strong>in</strong>zige Ausnahme ist die Serverrolle Active Directory-Zertifikatdienste.<br />
Falls Sie diese Rolle <strong>in</strong>stalliert haben, als der Server den Namen DC1.nwtraders.msft hatte,<br />
können Sie die Rolle <strong>in</strong>stalliert lassen.) Wenn Sie den Rollendienst Rout<strong>in</strong>g- und RAS-Dienste<br />
der Serverrolle Netzwerkrichtl<strong>in</strong>ien- und Zugriffsdienste <strong>in</strong>stalliert haben, sollten Sie erst den<br />
Rout<strong>in</strong>g- und RAS-Dienst deaktivieren, bevor Sie diese Serverrolle de<strong>in</strong>stallieren.<br />
Schließlich ist noch wichtig, dass Sie zum De<strong>in</strong>stallieren der Serverrollen dasselbe Domänenadm<strong>in</strong>istratorkonto<br />
verwenden wie <strong>in</strong> den folgenden Übungen.<br />
Übung 1 Anlegen e<strong>in</strong>es Domänenbenutzers mit Netzwerkzugriffsberechtigungen<br />
In dieser Übung legen Sie <strong>in</strong> der Konsole Active Directory-Benutzer und -Computer e<strong>in</strong><br />
Domänenbenutzerkonto an und gewähren ihm die Netzwerkzugriffsberechtigung Zugriff<br />
gestatten.<br />
1. Melden Sie sich auf DC1 als Domänenadm<strong>in</strong>istrator an nwtraders.msft an.<br />
2. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer, <strong>in</strong>dem Sie im Startmenü<br />
auf Verwaltung und dann auf Active Directory-Benutzer und -Computer klicken.<br />
3. Erweitern Sie <strong>in</strong> der Konsolenstruktur von Active Directory-Benutzer und -Computer<br />
den Knoten nwtraders.msft, klicken Sie mit der rechten Maustaste auf Users und wählen<br />
Sie Neu/Benutzer.
Lektion 1: Grundlagen von VPN-Clientverb<strong>in</strong>dungen 243<br />
4. Geben Sie auf der ersten Seite des Assistenten Neues Objekt – Benutzer Vornamen,<br />
Nachnamen und Benutzeranmeldenamen für den VPN-Benutzer <strong>in</strong> die entsprechenden<br />
Felder e<strong>in</strong> und klicken Sie auf Weiter.<br />
5. Geben Sie auf der zweiten Seite des Assistenten Neues Objekt – Benutzer e<strong>in</strong> Kennwort<br />
<strong>in</strong> die Textfelder Kennwort und Kennwort bestätigen e<strong>in</strong>.<br />
6. Deaktivieren Sie das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung<br />
ändern und klicken Sie auf Weiter.<br />
7. Klicken Sie auf der letzten Seite im Assistenten Neues Objekt – Benutzer auf Fertig<br />
stellen.<br />
8. Wählen Sie das gerade erstellte Benutzerkonto <strong>in</strong> der Konsole Active Directory-Benutzer<br />
und -Computer aus und öffnen Sie se<strong>in</strong> Eigenschaftendialogfeld.<br />
9. Klicken Sie im Eigenschaftendialogfeld auf die Registerkarte E<strong>in</strong>wählen und wählen Sie<br />
im Abschnitt Netzwerkzugriffsberechtigung die Option Zugriff gestatten aus.<br />
10. Klicken Sie auf OK, um das Eigenschaftendialogfeld des Benutzerkontos zu schließen.<br />
Übung 2 Installieren der Serverrollen Active Directory-Zertifikatdienste und Webserver (IIS)<br />
H<strong>in</strong>weis Wenn Sie diese Serverrollen bereits <strong>in</strong>stalliert haben<br />
Sie können diese Übung überspr<strong>in</strong>gen, wenn Sie »Übung 2: Ausstellen e<strong>in</strong>es nichtvertrauenswürdigen<br />
Zertifikats« <strong>in</strong> Lektion 2 von Kapitel 4, »Sicherheit«, durchgearbeitet haben. In<br />
diesem Fall haben Sie bereits die Rollendienste Zertifizierungsstelle und Zertifizierungsstellen-Webregistrierung<br />
der Serverrolle Active Directory-Zertifikatdienste auf dem Domänencontroller<br />
<strong>in</strong>stalliert. Sofern diese Rollendienste schon auf Ihrem Domänencontroller <strong>in</strong>stalliert<br />
s<strong>in</strong>d, sollten Sie diese Übung überspr<strong>in</strong>gen und mit Übung 3 fortfahren.<br />
In dieser Übung <strong>in</strong>stallieren Sie die Rollendienste Zertifizierungsstelle und Zertifizierungsstellen-Webregistrierung<br />
der Serverrolle Active Directory-Zertifikatdienste. Wenn Sie den<br />
zweiten dieser Rollendienste auswählen, wird außerdem die Rolle Webserver (IIS) <strong>in</strong>stalliert.<br />
Diese Features werden gebraucht, um die Infrastruktur aufzubauen, die für IKEv2-fähige<br />
VPN-Verb<strong>in</strong>dungen erforderlich ist.<br />
Arbeiten Sie die Schritte <strong>in</strong> dieser Übung durch, während Sie noch als Domänenadm<strong>in</strong>istrator<br />
an DC1 angemeldet s<strong>in</strong>d.<br />
1. Wählen Sie im Server-Manager den Knoten Rollen aus und klicken Sie im Abschnitt<br />
Rollenübersicht der Detailansicht auf Rollen h<strong>in</strong>zufügen.<br />
Der Assistent "Rollen h<strong>in</strong>zufügen" wird geöffnet.<br />
2. Klicken Sie auf der Seite Vorbemerkungen auf Weiter.<br />
3. Aktivieren Sie auf der Seite Serverrollen auswählen das Kontrollkästchen Active Directory-Zertifikatdienste<br />
und klicken Sie auf Weiter.<br />
4. Lesen Sie auf der Seite E<strong>in</strong>führung <strong>in</strong> Active Directory-Zertifikatdienste den angezeigten<br />
Text und klicken Sie auf Weiter.<br />
5. Aktivieren Sie auf der Seite Rollendienste auswählen die Kontrollkästchen Zertifizierungsstelle<br />
und Zertifizierungsstellen-Webregistrierung.
244 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
6. Klicken Sie im Dialogfeld Möchten Sie die erforderlichen Rollendienste und Features<br />
für Zertifizierungsstellen-Webregistrierung h<strong>in</strong>zufügen? auf Erforderliche Rollendienste<br />
h<strong>in</strong>zufügen.<br />
7. Klicken Sie auf Weiter.<br />
8. Stellen Sie auf der Seite Setuptyp angeben sicher, dass die Option <strong>Unternehmen</strong> ausgewählt<br />
ist, und klicken Sie auf Weiter.<br />
9. Stellen Sie auf der Seite Zertifizierungsstellentyp angeben sicher, dass die Option<br />
Stammzertifizierungsstelle ausgewählt ist, und klicken Sie auf Weiter.<br />
10. Stellen Sie auf der Seite Privaten Schlüssel e<strong>in</strong>richten sicher, dass die Option Neuen<br />
privaten Schlüssel erstellen ausgewählt ist, und klicken Sie auf Weiter.<br />
11. Klicken Sie auf der Seite Kryptografie für ZS konfigurieren auf Weiter, um die Standarde<strong>in</strong>stellungen<br />
für die Kryptografie zu übernehmen.<br />
12. Klicken Sie auf der Seite Name der Zertifizierungsstelle konfigurieren auf Weiter, um<br />
den vorgeschlagenen Namen und das Suffix für die Zertifizierungsstelle zu übernehmen.<br />
13. Klicken Sie auf der Seite Festlegen der Gültigkeitsdauer auf Weiter, um die Standarde<strong>in</strong>stellung<br />
für die Gültigkeitsdauer zu übernehmen.<br />
14. Klicken Sie auf der Seite Zertifikatdatenbank konfigurieren auf Weiter, um die Standardspeicherorte<br />
zu verwenden.<br />
15. Klicken Sie auf der Seite Webserver (IIS) auf Weiter.<br />
16. Klicken Sie auf der Seite Rollendienste auswählen auf Weiter, um die Standarde<strong>in</strong>stellungen<br />
zu verwenden.<br />
17. Klicken Sie im Dialogfeld Installationsauswahl bestätigen auf Installieren.<br />
Die Installation kann e<strong>in</strong>ige M<strong>in</strong>uten dauern. Sobald sie abgeschlossen ist, wird die Seite<br />
Installationsergebnisse angezeigt.<br />
18. Klicken Sie auf der Seite Installationsergebnisse auf Schließen.<br />
Übung 3 Generieren und Ausstellen e<strong>in</strong>er Zertifikatvorlage<br />
Wenn Sie die Active Directory-Zertifikatdienste <strong>in</strong>stalliert haben, lassen Sie von der neuen<br />
Zertifizierungsstelle auf DC1 e<strong>in</strong> Serverzertifikat generieren. Dieses Serverzertifikat wird<br />
später benutzt, um den VPN-Server zu authentifizieren.<br />
In der Standardkonfiguration gibt es ke<strong>in</strong>e Zertifikatvorlage für das Serverzertifikat, das<br />
gebraucht wird, um e<strong>in</strong>en VPN-Server für e<strong>in</strong>e IKEv2-Verb<strong>in</strong>dung zu authentifizieren. Bevor<br />
Sie bei der Zertifizierungsstelle e<strong>in</strong> solches Zertifikat anfordern können, müssen Sie daher<br />
e<strong>in</strong>e Zertifikatvorlage erstellen, die die richtigen E<strong>in</strong>stellungen für die erweiterte Schlüsselverwendung<br />
(Extended Key Usage, EKU) hat: Serverauthentifizierung und IP-Sicherheits-<br />
IKE, dazwischenliegend.<br />
In dieser Übung erstellen Sie e<strong>in</strong>e Zertifikatvorlage, die es Ihnen ermöglicht, e<strong>in</strong> Serverzertifikat<br />
mit den benötigten EKU-Optionen anzufordern. Arbeiten Sie die Schritte <strong>in</strong> dieser<br />
Übung durch, während Sie noch als Domänenadm<strong>in</strong>istrator an DC1 angemeldet s<strong>in</strong>d.<br />
1. Öffnen Sie die Konsole Zertifizierungsstelle, <strong>in</strong>dem Sie im Startmenü auf Verwaltung<br />
und dann auf Zertifizierungsstelle klicken.
Lektion 1: Grundlagen von VPN-Clientverb<strong>in</strong>dungen 245<br />
2. Klappen Sie <strong>in</strong> der Konsolenstruktur von Zertifizierungsstelle den Knoten nwtraders-<br />
DC1-CA auf.<br />
3. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie den Befehl<br />
Verwalten.<br />
Das Fenster Zertifikatvorlagenkonsole wird geöffnet.<br />
4. Suchen Sie <strong>in</strong> der Detailansicht die Vorlage IPSec, klicken Sie den E<strong>in</strong>trag mit der<br />
rechten Maustaste an und wählen Sie den Befehl Doppelte Vorlage.<br />
5. Stellen Sie im Dialogfeld Doppelte Vorlage sicher, dass die Option <strong>W<strong>in</strong>dows</strong> Server 2003<br />
Enterprise ausgewählt ist, und klicken Sie auf OK. Das Dialogfeld Eigenschaften der<br />
neuen Vorlage wird geöffnet.<br />
6. Ändern Sie auf der Registerkarte Allgeme<strong>in</strong> den Vorlagenanzeigenamen auf IKEv2-<br />
VPN.<br />
7. Aktivieren Sie auf der Registerkarte Anforderungsverarbeitung das Kontrollkästchen<br />
Exportieren von privatem Schlüssel zulassen.<br />
8. Wählen Sie auf der Registerkarte Antragstellername die Option Informationen werden <strong>in</strong><br />
der Anforderung angegeben aus. Wenn sich daraufh<strong>in</strong> e<strong>in</strong> Meldungsfeld öffnet, können<br />
Sie es mit OK schließen.<br />
9. Stellen Sie auf der Registerkarte Erweiterungen sicher, dass Anwendungsrichtl<strong>in</strong>ien ausgewählt<br />
ist, und klicken Sie auf Bearbeiten.<br />
Die Richtl<strong>in</strong>ie IP-Sicherheits-IKE, dazwischenliegend ist bereits <strong>in</strong> der Liste der Anwendungsrichtl<strong>in</strong>ien<br />
aufgelistet.<br />
10. Klicken Sie auf H<strong>in</strong>zufügen, wählen Sie Serverauthentifizierung aus und klicken Sie auf<br />
OK.<br />
11. Klicken Sie auf OK, um zur Registerkarte Erweiterungen zurückzukehren.<br />
12. Klicken Sie auf OK, um die fertige Vorlage zu speichern.<br />
13. Schließen Sie das Fenster Zertifikatvorlagenkonsole.<br />
14. Klicken Sie <strong>in</strong> der Konsolenstruktur von Zertifizierungsstelle mit der rechten Maustaste<br />
auf Zertifikatvorlagen und wählen Sie den Befehl Neu/Auszustellende Zertifikatvorlage.<br />
15. Wählen Sie im Dialogfeld Zertifikatvorlagen aktivieren den E<strong>in</strong>trag IKEv2-VPN aus und<br />
klicken Sie auf OK.<br />
16. Starten Sie DC1 neu.<br />
Übung 4 Konfigurieren des <strong>W<strong>in</strong>dows</strong> Internet Explorers, damit er die<br />
Zertifikatveröffentlichung zulässt<br />
Die neue Zertifikatvorlage steht jetzt für die Benutzung <strong>in</strong> Zertifikatanforderungen zur Verfügung.<br />
Bevor Sie allerd<strong>in</strong>gs e<strong>in</strong> solches Zertifikat anfordern können, müssen Sie die Sicherheitse<strong>in</strong>stellungen<br />
des <strong>W<strong>in</strong>dows</strong> Internet Explorers so konfigurieren, dass sie die Webseite<br />
Zertifikat veröffentlichen erlauben.<br />
1. Melden Sie sich als Domänenadm<strong>in</strong>istrator an DC1 an.<br />
2. Klicken Sie im Startmenü mit der rechten Maustaste auf Internet Explorer und wählen<br />
Sie den Befehl Als Adm<strong>in</strong>istrator ausführen.
246 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
3. Klicken Sie auf Extras und dann auf Internetoptionen.<br />
4. Wählen Sie auf der Registerkarte Sicherheit unter Wählen Sie e<strong>in</strong>e Zone aus, um deren<br />
Sicherheitse<strong>in</strong>stellungen festzulegen den E<strong>in</strong>trag Lokales Intranet aus.<br />
5. Ändern Sie im Abschnitt Sicherheitsstufe dieser Zone die Sicherheitsstufe für die Zone<br />
Lokales Intranet von Niedrig auf Sehr niedrig und klicken Sie auf OK.<br />
H<strong>in</strong>weis Es ist besser, die Stufe anzupassen<br />
In e<strong>in</strong>er Produktivumgebung sollten Sie die e<strong>in</strong>zelnen E<strong>in</strong>stellungen für ActiveX-Steuerelemente<br />
mithilfe von Stufe anpassen verändern, statt die gesamte Sicherheitsstufe herunterzusetzen.<br />
Übung 5 Anfordern e<strong>in</strong>es Serverauthentifizierungszertifikats mit dem Internet Explorer<br />
Sobald Sie die Sicherheitse<strong>in</strong>stellungen des Internet Explorers angepasst haben, können Sie<br />
ihn benutzen, um Zertifikate auf dem lokalen Computer anzufordern und zu <strong>in</strong>stallieren. In<br />
dieser Übung führen Sie diese Aufgabe aus. Bleiben Sie dazu als Domänenadm<strong>in</strong>istrator auf<br />
DC1 angemeldet.<br />
1. Geben Sie http://localhost/certsrv <strong>in</strong> die Adressleiste des Internet Explorers e<strong>in</strong> und<br />
drücken Sie die EINGABETASTE.<br />
2. Klicken Sie unter Wählen Sie e<strong>in</strong>e Aufgabe auf E<strong>in</strong> Zertifikat anfordern.<br />
3. Klicken Sie unter Zertifikat anfordern auf erweiterte Zertifikatanforderung.<br />
4. Klicken Sie unter Erweiterte Zertifikatanforderung auf E<strong>in</strong>e Anforderung an diese<br />
Zertifizierungsstelle erstellen und e<strong>in</strong>reichen.<br />
5. Klicken Sie im ersten Bestätigungsdialogfeld auf Ja, um das ActiveX-Steuerelement<br />
zuzulassen.<br />
6. Klicken Sie im zweiten Bestätigungsdialogfeld auf Ja, um den Zertifikatvorgang zu<br />
erlauben.<br />
7. Wählen Sie <strong>in</strong> der Dropdownliste Zertifikatvorlage den E<strong>in</strong>trag IKEv2-VPN aus.<br />
8. Geben Sie unter Identifikations<strong>in</strong>formationen im Feld Name den Namen<br />
DC1.nwtraders.msft e<strong>in</strong>.<br />
H<strong>in</strong>weis Verwenden Sie <strong>in</strong> den Verb<strong>in</strong>dungse<strong>in</strong>stellungen denselben Namen<br />
Dies ist der Antragstellername im Zertifikat. Er muss mit der Internetadresse <strong>in</strong> den<br />
IKEv2-Verb<strong>in</strong>dungse<strong>in</strong>stellungen übere<strong>in</strong>stimmen, die sie <strong>in</strong> Übung 12 weiter unten<br />
konfigurieren.<br />
9. Stellen Sie unter Schlüsseloptionen sicher, dass das Kontrollkästchen Schlüssel als<br />
"Exportierbar" markieren aktiviert ist, und klicken Sie auf E<strong>in</strong>senden.<br />
10. Klicken Sie <strong>in</strong> allen Bestätigungsdialogfeldern auf Ja.<br />
11. Klicken Sie auf Dieses Zertifikat <strong>in</strong>stallieren. E<strong>in</strong>e Meldung bestätigt, dass das Zertifikat<br />
<strong>in</strong>stalliert wurde.
Lektion 1: Grundlagen von VPN-Clientverb<strong>in</strong>dungen 247<br />
Übung 6 Das neue Zertifikat <strong>in</strong> den Zertifikatspeicher des lokalen Computers verschieben<br />
In der Standarde<strong>in</strong>stellung wird das Serverauthentifizierungszertifikat, das Sie gerade angefordert<br />
und <strong>in</strong>stalliert haben, im persönlichen Zertifikatspeicher des Benutzers abgelegt.<br />
Damit das Zertifikat aber verwendet werden kann, muss es <strong>in</strong> den Zertifikatspeicher des<br />
lokalen Computers verschoben werden. Bleiben Sie dazu als Domänenadm<strong>in</strong>istrator auf<br />
DC1 angemeldet.<br />
1. Geben Sie im Suchfeld des Startmenüs den Befehl mmc e<strong>in</strong> und drücken Sie die EIN-<br />
GABETASTE. Es wird e<strong>in</strong> MMC-Fenster (Microsoft Management Console) mit dem<br />
Namen Konsole1 geöffnet.<br />
2. Klicken Sie <strong>in</strong> Konsole1 auf Datei und dann auf Snap-In h<strong>in</strong>zufügen/entfernen.<br />
3. Wählen Sie im Dialogfeld Snap-Ins h<strong>in</strong>zufügen bzw. entfernen unter Verfügbare Snap-<br />
Ins den E<strong>in</strong>trag Zertifikate aus und klicken Sie auf H<strong>in</strong>zufügen.<br />
4. Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Fertig stellen, um die Standarde<strong>in</strong>stellung<br />
Eigenes Benutzerkonto zu übernehmen.<br />
5. Klicken Sie im Dialogfeld Snap-Ins h<strong>in</strong>zufügen bzw. entfernen erneut auf H<strong>in</strong>zufügen.<br />
Wählen Sie diesmal die Option Computerkonto aus und klicken Sie auf Weiter.<br />
6. Klicken Sie im Dialogfeld Computer auswählen auf Fertig stellen, um die Standarde<strong>in</strong>stellung<br />
Lokalen Computer zu übernehmen.<br />
7. Klicken Sie auf OK, um das Dialogfeld Snap-Ins h<strong>in</strong>zufügen bzw. entfernen zu schließen.<br />
8. Erweitern Sie <strong>in</strong> der Konsolenstruktur von Konsole1 die Zweige Zertifikate – Aktueller<br />
Benutzer und Eigene Zertifikate und klicken Sie auf Zertifikate.<br />
9. Klicken Sie <strong>in</strong> der Detailansicht mit der rechten Maustaste auf das Zertifikat DC1.<br />
nwtraders.msft und wählen Sie den Befehl Alle Aufgaben/Exportieren. Der Zertifikatexport-Assistent<br />
wird gestartet.<br />
10. Klicken Sie auf der Seite Willkommen auf Weiter.<br />
11. Wählen Sie auf der Seite Privaten Schlüssel exportieren die Option Ja, privaten Schlüssel<br />
exportieren aus und klicken Sie auf Weiter.<br />
12. Klicken Sie auf der Seite Format der zu exportierenden Datei auf Weiter, um das Standarddateiformat<br />
zu verwenden.<br />
13. Tippen Sie auf der Seite Kennwort <strong>in</strong> beiden Textfeldern e<strong>in</strong> Kennwort e<strong>in</strong> und klicken<br />
Sie auf Weiter.<br />
14. Klicken Sie auf der Seite Zu exportierende Datei auf Durchsuchen.<br />
15. Klicken Sie unter Favoriten auf Desktop.<br />
16. Geben Sie im Textfeld Date<strong>in</strong>ame den Namen DC1cert e<strong>in</strong> und klicken Sie auf Speichern,<br />
um das Zertifikat auf dem Desktop zu speichern.<br />
17. Sie s<strong>in</strong>d nun wieder auf der Seite Zu exportierende Datei. Klicken Sie auf Weiter.<br />
18. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen, um den Zertifikatexport-Assistenten<br />
zu schließen. Klicken Sie im Bestätigungsdialogfeld auf OK.<br />
19. Erweitern Sie <strong>in</strong> der Konsolenstruktur von Konsole1 die Zweige Zertifikate (Lokaler<br />
Computer) und dann Eigene Zertifikate.
248 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
20. Klicken Sie mit der rechten Maustaste auf Zertifikate und wählen Sie den Befehl Alle<br />
Aufgaben/Importieren. Der Zertifikatimport-Assistent wird geöffnet.<br />
21. Klicken Sie auf der Seite Willkommen auf Weiter.<br />
22. Klicken Sie auf der Seite Zu importierende Datei auf Durchsuchen.<br />
23. Klicken Sie unter Favoriten auf Desktop.<br />
24. Wählen Sie <strong>in</strong> der Dropdownliste Dateityp den E<strong>in</strong>trag Privater Informationsaustausch<br />
(*.pfx, *.p12) aus.<br />
25. Klicken Sie <strong>in</strong> der Liste der Dateien doppelt auf DC1cert.<br />
26. Klicken Sie auf der Seite Zu importierende Datei auf Weiter.<br />
27. Geben Sie auf der Seite Kennwort das Kennwort e<strong>in</strong>, das Sie dem Zertifikat <strong>in</strong> Schritt 13<br />
zugewiesen haben, und klicken Sie auf Weiter.<br />
28. Klicken Sie auf der Seite Zertifikatspeicher auf Weiter, um den Speicherort Eigene<br />
Zertifikate zu verwenden.<br />
29. Klicken Sie auf Fertig stellen, um den Assistenten zu schließen, und dann im Bestätigungsdialogfeld<br />
auf OK.<br />
Übung 7 Generieren e<strong>in</strong>es Stammzertifikats<br />
In dieser Übung generieren Sie im Internet Explorer e<strong>in</strong> Stammzertifikat für die lokale Zertifizierungsstelle.<br />
Dieses Stammzertifikat wird später auf CLIENT1 importiert. Bleiben Sie<br />
als Domänenadm<strong>in</strong>istrator auf DC1 angemeldet.<br />
1. Tippen Sie http://localhost/certsrv <strong>in</strong> die Adressleiste des Internet Explorers e<strong>in</strong> und<br />
drücken Sie die EINGABETASTE.<br />
2. Klicken Sie unter Wählen Sie e<strong>in</strong>e Aufgabe auf Download e<strong>in</strong>es Zertifizierungsstellenzertifikats,<br />
e<strong>in</strong>er Zertifikatkette oder e<strong>in</strong>er Sperrliste.<br />
3. Klicken Sie auf Ja, um das ActiveX-Steuerelement zuzulassen, und dann erneut auf Ja,<br />
um den Zertifikatvorgang zu erlauben.<br />
4. Klicken Sie auf Download des Zertifizierungsstellenzertifikats.<br />
5. Speichern Sie das Zertifikat unter dem Namen RootCACert auf dem Desktop.<br />
Übung 8 Konfigurieren des VPN-Clients mit dem Stammzertifikat<br />
Diese Übung arbeiten Sie auf CLIENT1 durch. In der Übung <strong>in</strong>stallieren Sie das Stammzertifikat<br />
für die Zertifizierungsstelle, die das Serverauthentifizierungszertifikat ausgestellt<br />
hat. Dieser Schritt ist erforderlich, damit der Clientcomputer dem Serverauthentifizierungszertifikat<br />
vertraut und die VPN-Verb<strong>in</strong>dung aufbaut.<br />
1. Melden Sie sich auf CLIENT1 als Domänenadm<strong>in</strong>istrator an nwtraders.msft an.<br />
2. Geben Sie im Suchfeld des Startmenüs den Befehl mmc e<strong>in</strong> und drücken Sie die EIN-<br />
GABETASTE. Es wird e<strong>in</strong> MMC-Fenster mit dem Namen Konsole1 geöffnet.<br />
3. Klicken Sie <strong>in</strong> Konsole1 auf Datei und dann auf Snap-In h<strong>in</strong>zufügen/entfernen.<br />
4. Wählen Sie unter Verfügbare Snap-Ins den E<strong>in</strong>trag Zertifikate aus und klicken Sie auf<br />
H<strong>in</strong>zufügen.
Lektion 1: Grundlagen von VPN-Clientverb<strong>in</strong>dungen 249<br />
5. Wählen Sie im Dialogfeld Zertifikat-Snap-In die Option Computerkonto aus und klicken<br />
Sie auf Weiter.<br />
6. Klicken Sie im Dialogfeld Computer auswählen auf Fertig stellen, um die Standarde<strong>in</strong>stellung<br />
Lokalen Computer zu übernehmen.<br />
7. Klicken Sie auf OK, um das Dialogfeld Snap-Ins h<strong>in</strong>zufügen bzw. entfernen zu schließen.<br />
8. Erweitern Sie <strong>in</strong> der Konsolenstruktur von Konsole1 die Zweige Zertifikate (Lokaler<br />
Computer) und Vertrauenswürdige Stammzertifizierungsstellen. Klicken Sie mit der<br />
rechten Maustaste auf Zertifikate und wählen Sie den Befehl Alle Aufgaben/Importieren.<br />
Der Zertifikatimport-Assistent wird geöffnet.<br />
9. Klicken Sie auf der Seite Willkommen auf Weiter.<br />
10. Klicken Sie auf der Seite Zu importierende Datei auf Durchsuchen.<br />
11. Geben Sie im Fenster Öffnen den Pfad \\dc1.nwtraders.msft\c$\Users\ <strong>in</strong> die Adressleiste<br />
e<strong>in</strong> und drücken Sie die EINGABETASTE.<br />
12. Klicken Sie <strong>in</strong> der Liste der Ordner doppelt auf den Ordner, der dem Namen des Domänenadm<strong>in</strong>istratorkontos<br />
entspricht, unter dem Sie die vorherigen Übungen durchgearbeitet<br />
haben. Die Ordner dieses Benutzerkontos werden aufgelistet.<br />
13. Klicken Sie doppelt auf den Ordner Desktop, um ihn zu öffnen.<br />
14. Wählen Sie <strong>in</strong> der Dateiliste RootCACert aus und klicken Sie auf Öffnen.<br />
15. Auf der Seite Zu importierende Datei ist nun der vollständige Pfad des Zertifikats e<strong>in</strong>getragen.<br />
Klicken Sie auf Weiter.<br />
16. Klicken Sie auf der Seite Zertifikatspeicher auf Weiter, um den Zertifikatspeicher Vertrauenswürdige<br />
Stammzertifizierungsstellen als Speicherort für das Zertifikat zu verwenden.<br />
17. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen und dann auf<br />
OK, um das Meldungsfeld zu schließen, das Ihnen den erfolgreichen Import bestätigt.<br />
Übung 9 Installieren der Serverrolle Netzwerkrichtl<strong>in</strong>ien- und Zugriffsdienste<br />
Diese Übung arbeiten Sie durch, während Sie als Domänenadm<strong>in</strong>istrator auf DC1 angemeldet<br />
s<strong>in</strong>d. In der Übung fügen Sie mit dem Assistenten "Rollen h<strong>in</strong>zufügen" die Rollendienste<br />
Netzwerkrichtl<strong>in</strong>ienserver und Rout<strong>in</strong>g- und RAS-Dienste h<strong>in</strong>zu. Diese beiden Rollendienste<br />
s<strong>in</strong>d Komponenten der Serverrolle Netzwerkrichtl<strong>in</strong>ien- und Zugriffsdienste.<br />
1. Öffnen Sie den Server-Manager.<br />
2. Wählen Sie <strong>in</strong> der Konsolenstruktur des Server-Managers den Knoten Rollen aus und<br />
klicken Sie im Abschnitt Rollenübersicht der Detailansicht auf Rollen h<strong>in</strong>zufügen. Der<br />
Assistent "Rollen h<strong>in</strong>zufügen" wird geöffnet.<br />
3. Klicken Sie auf der Seite Vorbemerkungen auf Weiter.<br />
4. Aktivieren Sie auf der Seite Serverrollen auswählen das Kontrollkästchen Netzwerkrichtl<strong>in</strong>ien-<br />
und Zugriffsdienste und klicken Sie auf Weiter.<br />
5. Klicken Sie auf der Seite Netzwerkrichtl<strong>in</strong>ien- und Zugriffsdienste auf Weiter.<br />
6. Aktivieren Sie auf der Seite Rollendienste auswählen die Kontrollkästchen Netzwerkrichtl<strong>in</strong>ienserver<br />
und Rout<strong>in</strong>g- und RAS-Dienste. Klicken Sie auf Weiter.
250 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
7. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.<br />
8. Klicken Sie auf der Seite Installationsergebnisse auf Schließen.<br />
Übung 10 Konfigurieren von DC1 als VPN-Server<br />
In dieser Übung aktivieren und konfigurieren Sie den Rout<strong>in</strong>g- und RAS-Dienst, damit DC1<br />
Verb<strong>in</strong>dungen von VPN-Clients entgegennehmen und aufbauen kann. Bleiben Sie dazu als<br />
Domänenadm<strong>in</strong>istrator auf DC1 angemeldet.<br />
1. Öffnen Sie die Konsole Rout<strong>in</strong>g und RAS, <strong>in</strong>dem Sie im Startmenü auf Verwaltung und<br />
dann auf Rout<strong>in</strong>g und RAS klicken.<br />
2. Klicken Sie <strong>in</strong> der Konsolenstruktur von Rout<strong>in</strong>g und RAS mit der rechten Maustaste auf<br />
DC1 (lokal) und wählen Sie den Befehl Rout<strong>in</strong>g und RAS konfigurieren und aktivieren.<br />
3. Klicken Sie auf der Seite Willkommen des Setup-Assistenten für den Rout<strong>in</strong>g- und RAS-<br />
Server auf Weiter.<br />
4. Klicken Sie auf der Seite Konfiguration auf Weiter, um die Standarde<strong>in</strong>stellung RAS<br />
(DFÜ oder VPN) zu verwenden.<br />
5. Aktivieren Sie auf der Seite Remotezugriff das Kontrollkästchen VPN und klicken Sie<br />
auf Weiter.<br />
6. Stellen Sie auf der Seite VPN-Verb<strong>in</strong>dung sicher, dass unter Netzwerkschnittstellen die<br />
Verb<strong>in</strong>dung ausgewählt ist, die mit dem Netzwerk verbunden ist, an das DC1 und<br />
CLIENT1 angeschlossen s<strong>in</strong>d.<br />
7. Deaktivieren Sie das Kontrollkästchen Sicherheit auf der ausgewählten Schnittstelle<br />
durch E<strong>in</strong>richten statischer Paketfilter aktivieren und klicken Sie auf Weiter.<br />
H<strong>in</strong>weis Aktivieren der Sicherheit für e<strong>in</strong>e öffentliche Schnittstelle<br />
In e<strong>in</strong>er Produktivumgebung sollten Sie die Sicherheit für die öffentliche Schnittstelle<br />
aktiviert lassen. Um die Verb<strong>in</strong>dung <strong>in</strong> e<strong>in</strong>er Testumgebung zu testen, können Sie sie<br />
ausnahmsweise deaktivieren.<br />
8. Klicken Sie auf der Seite IP-Adresszuweisung auf Weiter, um die Standarde<strong>in</strong>stellung<br />
Automatisch zu übernehmen.<br />
9. Klicken Sie auf der Seite Mehrere RAS-Server verwalten auf Weiter. In der Standarde<strong>in</strong>stellung<br />
werden Verb<strong>in</strong>dungsanforderungen mit Rout<strong>in</strong>g und RAS authentifiziert.<br />
10. Klicken Sie auf der Seite Fertigstellen des Assistenten im Setup-Assistenten für den<br />
Rout<strong>in</strong>g- und RAS-Server auf Fertig stellen.<br />
11. Schließen Sie das Warnungsdialogfeld über mögliche Konflikte mit der NPS-Richtl<strong>in</strong>ie<br />
mit OK.<br />
Übung 11 Konfigurieren der Netzwerkrichtl<strong>in</strong>iendienste<br />
In dieser Übung aktivieren und konfigurieren Sie die RAS-Richtl<strong>in</strong>ien, die für e<strong>in</strong>e IKEv2-<br />
VPN-Verb<strong>in</strong>dung benötigt werden. Arbeiten Sie diese Übung durch, während Sie als Domänenadm<strong>in</strong>istrator<br />
auf DC1 angemeldet s<strong>in</strong>d.<br />
1. Öffnen Sie die Konsole Rout<strong>in</strong>g und RAS, sofern sie noch nicht offen ist.
Lektion 1: Grundlagen von VPN-Clientverb<strong>in</strong>dungen 251<br />
2. Erweitern Sie <strong>in</strong> der Konsolenstruktur von Rout<strong>in</strong>g und RAS den Zweig DC1 (lokal).<br />
3. Wählen Sie den Knoten RAS-Protokollierung und -Richtl<strong>in</strong>ien aus, klicken Sie den Knoten<br />
mit der rechten Maustaste an und wählen Sie den Befehl NPS starten. Die Konsole<br />
Netzwerkrichtl<strong>in</strong>ienserver wird geöffnet.<br />
4. Klicken Sie <strong>in</strong> der Detailansicht im Abschnitt Netzwerkzugriffsrichtl<strong>in</strong>ien auf den L<strong>in</strong>k<br />
Netzwerkzugriffsrichtl<strong>in</strong>ien.<br />
5. Klicken Sie <strong>in</strong> der Detailansicht im Abschnitt Netzwerkrichtl<strong>in</strong>ien doppelt auf Connections<br />
to Microsoft Rout<strong>in</strong>g and Remote Access server (Verb<strong>in</strong>dungen mit dem Microsoft<br />
Rout<strong>in</strong>g- und RAS-Server). Das Dialogfeld Eigenschaften von Connections to Microsoft<br />
Rout<strong>in</strong>g and Remote Access server wird geöffnet.<br />
6. Wählen Sie auf der Registerkarte Übersicht im Abschnitt Zugriffsberechtigung die Option<br />
Zugriff gewähren. Der Zugriff wird gewährt, wenn die Verb<strong>in</strong>dungsanforderung dieser<br />
Richtl<strong>in</strong>ie entspricht.<br />
7. Wählen Sie die Registerkarte E<strong>in</strong>schränkungen aus. In der Liste E<strong>in</strong>schränkungen ist<br />
standardmäßig Authentifizierungsmethoden ausgewählt. Im rechten Fensterabschnitt s<strong>in</strong>d<br />
zwei EAP-Typen aufgeführt: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2) und<br />
Microsoft: Smartcard- oder anderes Zertifikat. In dieser Übung brauchen Sie nur die<br />
erste Authentifizierungsmethode.<br />
8. Wählen Sie Microsoft: Smartcard- oder anderes Zertifikat aus und klicken Sie auf Entfernen,<br />
um diesen EAP-Typ zu löschen.<br />
9. Klicken Sie auf OK, um Ihre Änderungen zu speichern.<br />
10. Schließen Sie alle offenen Fenster.<br />
Übung 12 Erstellen der VPN-Verb<strong>in</strong>dung auf dem VPN-Client<br />
In dieser Übung erstellen Sie auf CLIENT1 e<strong>in</strong>e VPN-Verb<strong>in</strong>dung, mit der Sie später e<strong>in</strong>e<br />
Verb<strong>in</strong>dung zu DC1 aufbauen.<br />
1. Melden Sie sich auf CLIENT1 als Domänenadm<strong>in</strong>istrator an der Domäne nwtraders.msft<br />
an, sofern noch nicht geschehen.<br />
2. Geben Sie im Suchfeld des Startmenüs Netzwerk- und Freigabecenter e<strong>in</strong> und drücken<br />
Sie die EINGABETASTE. Das Netzwerk- und Freigabecenter wird geöffnet.<br />
3. Klicken Sie auf Neue Verb<strong>in</strong>dung oder neues Netzwerk e<strong>in</strong>richten.<br />
4. Klicken Sie auf Verb<strong>in</strong>dung mit dem Arbeitsplatz herstellen und dann auf Weiter.<br />
5. Klicken Sie auf Die Internetverb<strong>in</strong>dung (VPN) verwenden.<br />
6. Klicken Sie auf E<strong>in</strong>e Internetverb<strong>in</strong>dung wird später e<strong>in</strong>gerichtet.<br />
7. Geben Sie im Textfeld Internetadresse den Namen DC1.nwtraders.msft e<strong>in</strong>. Lassen Sie<br />
VPN-Verb<strong>in</strong>dung als Zielnamen unverändert und klicken Sie auf Weiter.<br />
8. Geben Sie <strong>in</strong> den Textfeldern Benutzername und Kennwort den Namen und das Kennwort<br />
des VPN-Benutzerkontos e<strong>in</strong>, das Sie <strong>in</strong> Übung 1 erstellt haben.<br />
9. Aktivieren Sie das Kontrollkästchen Dieses Kennwort speichern.<br />
10. Geben Sie im Textfeld Domäne (optional) den Namen nwtraders.msft.<br />
11. Klicken Sie auf Erstellen und dann auf Schließen.
252 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
Übung 13 Konfigurieren und Testen der VPN-Verb<strong>in</strong>dung<br />
In dieser Übung überprüfen Sie, ob Sie e<strong>in</strong>e VPN-Verb<strong>in</strong>dung zwischen CLIENT1 und DC1<br />
aufbauen können. Bleiben Sie dazu als Domänenadm<strong>in</strong>istrator auf CLIENT1 angemeldet.<br />
1. Klicken Sie im Netzwerk- und Freigabecenter auf Adaptere<strong>in</strong>stellungen ändern.<br />
2. Klicken Sie doppelt auf VPN-Verb<strong>in</strong>dung und dann auf die Schaltfläche Eigenschaften.<br />
3. Wählen Sie auf der Registerkarte Sicherheit <strong>in</strong> der Dropdownliste VPN-Typ den E<strong>in</strong>trag<br />
IKEv2 aus und klicken Sie auf OK.<br />
4. Klicken Sie im Dialogfeld Verb<strong>in</strong>dung mit "VPN-Verb<strong>in</strong>dung" auf Verb<strong>in</strong>den. Der Benutzer<br />
wird authentifiziert und die VPN-Verb<strong>in</strong>dung wird erfolgreich aufgebaut.<br />
Zusammenfassung der Lektion<br />
In e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong>-Netzwerk umfasst e<strong>in</strong>e VPN-Infrastruktur m<strong>in</strong>destens e<strong>in</strong>en VPN-<br />
Client, e<strong>in</strong>en VPN-Server, auf dem RRAS läuft, und e<strong>in</strong>en DNS-Server. Meist werden<br />
aber weitere Komponenten benutzt, zum Beispiel e<strong>in</strong> Domänencontroller, e<strong>in</strong> Zertifikatserver/PKI,<br />
e<strong>in</strong> DHCP-Server und e<strong>in</strong> NPS-Server.<br />
In <strong>W<strong>in</strong>dows</strong> 7 stehen vier VPN-Tunnelprotokolle zur Auswahl. E<strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7-VPN-<br />
Client versucht, die Tunnelprotokolle <strong>in</strong> folgender Reihenfolge auszuhandeln: IKEv2,<br />
SSTP, L2TP/IPSec und PPTP.<br />
IKEv2 ist e<strong>in</strong> neues Tunnelprotokoll, das <strong>W<strong>in</strong>dows</strong> 7 und <strong>W<strong>in</strong>dows</strong> Server 2008 R2<br />
voraussetzt. E<strong>in</strong> Vorteil von IKEv2 ist, dass es VPN-Reconnect unterstützt. Bei diesem<br />
Feature kann e<strong>in</strong> Client zwischen Drahtloszugriffspunkten wechseln, ohne dass die<br />
VPN-Verb<strong>in</strong>dung verloren geht.<br />
Beim Versuch, e<strong>in</strong>e VPN-Verb<strong>in</strong>dung aufzubauen, kontaktiert e<strong>in</strong> VPN-Client zuerst den<br />
VPN-Server und sendet ihm e<strong>in</strong>e Anforderung nach e<strong>in</strong>em Tunnelprotokoll. Die Bed<strong>in</strong>gungen<br />
für den VPN-Tunnel werden ausgehandelt, der danach erstellt wird. Es folgt die<br />
Remotezugriffsauthentifizierung des Benutzers (und manchmal des Computers). Wird<br />
festgestellt, dass der Benutzer und die Verb<strong>in</strong>dungsanforderung für den Remotezugriff<br />
autorisiert s<strong>in</strong>d, wird schließlich die VPN-Verb<strong>in</strong>dung hergestellt.<br />
Lernzielkontrolle<br />
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 1,<br />
»Grundlagen von VPN-Clientverb<strong>in</strong>dungen«, überprüfen. Die Fragen f<strong>in</strong>den Sie (<strong>in</strong> englischer<br />
Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im<br />
Rahmen e<strong>in</strong>es Übungstests beantworten.<br />
H<strong>in</strong>weis Die Antworten<br />
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglichkeiten<br />
richtig oder falsch s<strong>in</strong>d, f<strong>in</strong>den Sie im Abschnitt »Antworten« am Ende dieses Buchs.<br />
1. Sie arbeiten als Desktopsupporttechniker <strong>in</strong> e<strong>in</strong>em großen <strong>Unternehmen</strong>. Das <strong>Unternehmen</strong><br />
hat vor Kurzem alle Clientcomputer auf <strong>W<strong>in</strong>dows</strong> 7 Enterprise aufgerüstet. Alle<br />
Server laufen unter <strong>W<strong>in</strong>dows</strong> Server 2008.
Lektion 1: Grundlagen von VPN-Clientverb<strong>in</strong>dungen 253<br />
Ihr <strong>Unternehmen</strong> beschäftigt viele mobile Benutzer, die über e<strong>in</strong> VPN auf das <strong>Unternehmen</strong>snetzwerk<br />
zugreifen. Ihre VPN-Benutzer beschweren sich, dass sie ihre VPN-<br />
Verb<strong>in</strong>dung verlieren, wenn sie sich über WLAN mit dem Internet verb<strong>in</strong>den und von<br />
e<strong>in</strong>em Drahtloszugriffspunkt zum andern wechseln. Sie wollen, dass sich die VPN-<br />
Benutzer von e<strong>in</strong>em Drahtloszugriffspunkt zum anderen bewegen können, ohne dass<br />
ihre Verb<strong>in</strong>dung unterbrochen wird. Wie erreichen Sie das?<br />
A. Weisen Sie die VPN-Benutzer an, <strong>in</strong> den Adaptere<strong>in</strong>stellungen der VPN-Verb<strong>in</strong>dung<br />
SSTP als VPN-Typ auszuwählen.<br />
B. Weisen Sie die VPN-Benutzer an, <strong>in</strong> den Adaptere<strong>in</strong>stellungen der VPN-Verb<strong>in</strong>dung<br />
die höchste Verschlüsselungsstärke zu konfigurieren.<br />
C. Konfigurieren Sie den <strong>W<strong>in</strong>dows</strong>-Server, der als VPN-Server agiert, so, dass er die<br />
Authentifizierung an e<strong>in</strong>en NPS-Server weiterleitet.<br />
D. Aktualisieren Sie den <strong>W<strong>in</strong>dows</strong>-Server, der als VPN-Server agiert, auf <strong>W<strong>in</strong>dows</strong><br />
Server 2008 R2.<br />
2. Welche der folgenden Aktionen müssen Sie ausführen, damit e<strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7-Client über<br />
e<strong>in</strong> IKEv2-VPN auf das <strong>Unternehmen</strong>snetzwerk zugreifen kann?<br />
A. Installieren Sie das VPN-Serverzertifikat auf dem <strong>W<strong>in</strong>dows</strong> 7-Client.<br />
B. Stellen Sie sicher, dass das Stammzertifikat der Zertifizierungsstelle, die das Serverzertifikat<br />
des VPN-Server ausgestellt hat, auf dem <strong>W<strong>in</strong>dows</strong> 7-Client im Zertifikatspeicher<br />
Vertrauenswürdige Stammzertifizierungsstellen <strong>in</strong>stalliert ist.<br />
C. Stellen Sie <strong>in</strong> den Eigenschaften der VPN-Verb<strong>in</strong>dung auf dem <strong>W<strong>in</strong>dows</strong> 7-Client als<br />
VPN-Typ IKEv2 e<strong>in</strong>.<br />
D. Besorgen Sie e<strong>in</strong> Computerzertifikat für den <strong>W<strong>in</strong>dows</strong> 7-Client.
254 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
Lektion 2: Grundlagen von DirectAccess-Clientverb<strong>in</strong>dungen<br />
DirectAccess ist e<strong>in</strong> neues Feature <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 und <strong>W<strong>in</strong>dows</strong> Server 2008 R2. Es verb<strong>in</strong>det<br />
e<strong>in</strong>en Remotebenutzer von jeder beliebigen Position im Internet aus automatisch und transparent<br />
mit e<strong>in</strong>em privaten <strong>Unternehmen</strong>snetzwerk. DirectAccess soll später e<strong>in</strong>mal herkömmliche<br />
VPNs völlig ersetzen, bei denen die Benutzer selbst e<strong>in</strong>e VPN-Verb<strong>in</strong>dung<br />
aufbauen müssen, sobald ihr Computer mit dem Internet verbunden ist. Diese Lektion bietet<br />
e<strong>in</strong>en Überblick über die Vorteile von DirectAccess, beschreibt, wie es funktioniert, und<br />
erklärt, wie Sie Probleme mit den E<strong>in</strong>stellungen auf dem DirectAccess-Client beseitigen.<br />
Am Ende dieser Lektion werden Sie <strong>in</strong> der Lage se<strong>in</strong>, die folgenden Aufgaben auszuführen:<br />
Beschreiben der Vorteile von DirectAccess<br />
Beschreiben der Anforderungen und Features e<strong>in</strong>er DirectAccess-Infrastruktur<br />
Beschreiben, mit welchen Schritten e<strong>in</strong>e DirectAccess-Verb<strong>in</strong>dung aufgebaut wird<br />
Durchführen e<strong>in</strong>er grundlegenden Problembehandlung für DirectAccess-Clientverb<strong>in</strong>dungen<br />
Veranschlagte Zeit für diese Lektion: 45 M<strong>in</strong>uten<br />
Überblick über DirectAccess<br />
DirectAccess ist e<strong>in</strong>e neue Technologie, die automatisch e<strong>in</strong>e bidirektionale Verb<strong>in</strong>dung<br />
zwischen dem Computer e<strong>in</strong>es Remotebenutzers und dem <strong>Unternehmen</strong>s<strong>in</strong>tranet dieses<br />
Benutzers herstellt. Der Remotebenutzer braucht die Verb<strong>in</strong>dung <strong>in</strong>s Intranet nicht von Hand<br />
herzustellen. Die Adm<strong>in</strong>istratoren können die Remotecomputer, die außerhalb des <strong>Unternehmen</strong>s<br />
benutzt werden, über dieselbe DirectAccess-Verb<strong>in</strong>dung verwalten. DirectAccess<br />
wird <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 Enterprise, <strong>W<strong>in</strong>dows</strong> 7 Ultimate und <strong>W<strong>in</strong>dows</strong> Server 2008 R2 unterstützt.<br />
E<strong>in</strong>schränkungen von VPNs<br />
Bisher greifen die meisten Benutzer über e<strong>in</strong> VPN auf Intranetressourcen zu. Die Verwendung<br />
e<strong>in</strong>es VPNs hat aber e<strong>in</strong>e Reihe von Nachteilen:<br />
Es erfordert mehrere Schritte, die Verb<strong>in</strong>dung zu e<strong>in</strong>em VPN aufzubauen, und der Benutzer<br />
muss auf die Authentifizierung warten. Bei Organisationen, die die System<strong>in</strong>tegrität<br />
e<strong>in</strong>es Computers überprüfen, bevor sie die Verb<strong>in</strong>dung zulassen, kann es mehrere<br />
M<strong>in</strong>uten dauern, bis e<strong>in</strong>e VPN-Verb<strong>in</strong>dung hergestellt ist.<br />
Jedes Mal, wenn Benutzer ihre Internetverb<strong>in</strong>dung verlieren, müssen sie die VPN-Verb<strong>in</strong>dung<br />
neu aufbauen.<br />
VPN-Clientcomputer werden normalerweise nicht durch Gruppenrichtl<strong>in</strong>ien gesteuert.<br />
Die Internetleistung wird verschlechtert, wenn sowohl Intranet- als auch Internetverkehr<br />
über die VPN-Verb<strong>in</strong>dung läuft.<br />
Aufgrund dieser Nachteile scheuen es viele Benutzer, e<strong>in</strong> VPN zu verwenden. Stattdessen<br />
nutzen sie Anwendungsgateways wie Microsoft Outlook Web Access (OWA), um e<strong>in</strong>e Verb<strong>in</strong>dung<br />
zu Intranetressourcen herzustellen. Mit OWA können die Benutzer <strong>in</strong>terne E-Mail<br />
abrufen, ohne e<strong>in</strong>e VPN-Verb<strong>in</strong>dung aufzubauen. Allerd<strong>in</strong>gs müssen die Benutzer trotzdem
Lektion 2: Grundlagen von DirectAccess-Clientverb<strong>in</strong>dungen 255<br />
e<strong>in</strong>e Verb<strong>in</strong>dung über e<strong>in</strong> VPN aufbauen, um Dokumente zu öffnen, die <strong>in</strong> Intranetdateifreigaben<br />
liegen; das ist oft der Fall, wenn Dokumente <strong>in</strong> e<strong>in</strong>er E-Mail-Nachricht verl<strong>in</strong>kt s<strong>in</strong>d.<br />
Vorteile von DirectAccess<br />
DirectAccess beseitigt die E<strong>in</strong>schränkungen von VPNs, <strong>in</strong>dem es <strong>Unternehmen</strong> und ihren<br />
Benutzern folgende Vorteile bietet:<br />
Dauerhafte Konnektivität Im Unterschied zu e<strong>in</strong>em VPN ist e<strong>in</strong>e DirectAccess-Verb<strong>in</strong>dung<br />
ständig aktiv, sogar schon bevor sich der Benutzer an se<strong>in</strong>em Computer anmeldet.<br />
Nahtlose Konnektivität Für den Benutzer ist die DirectAccess-Verb<strong>in</strong>dung zum<br />
<strong>Unternehmen</strong>snetzwerk völlig transparent. Abgesehen von der Verzögerung, die bei<br />
e<strong>in</strong>er langsamen Internetverb<strong>in</strong>dung unvermeidlich ist, sieht es für den Benutzer genauso<br />
aus, als würde er mit se<strong>in</strong>em Computer direkt im Büro am <strong>Unternehmen</strong>snetzwerk<br />
arbeiten.<br />
Bidirektionaler Zugriff Bei DirectAccess hat nicht nur der Remotecomputer des<br />
Benutzers Zugriff auf das <strong>Unternehmen</strong>s<strong>in</strong>tranet, das Intranet sieht auch den Computer<br />
des Benutzers. Das bedeutet, dass der Remotecomputer über Gruppenrichtl<strong>in</strong>ien und<br />
andere Verwaltungstools verwaltet werden kann, genauso wie die Computer, die direkt<br />
im <strong>in</strong>ternen Netzwerk liegen.<br />
Verbesserte Sicherheit DirectAccess bietet Adm<strong>in</strong>istratoren mehr Flexibilität, weil sie<br />
den Zugriff auf <strong>in</strong>terne Ressourcen für Remotebenutzer und ihre Computer genau steuern<br />
können. Beispielsweise kann DirectAccess so konfiguriert werden, dass es nur Benutzerzugriff<br />
auf ausgewählte Ressourcen erlaubt. Außerdem ist DirectAccess vollständig<br />
<strong>in</strong> Server- und Domänenisolierungslösungen und die NAP-Infrastruktur <strong>in</strong>tegriert. So ist<br />
sichergestellt, dass Sicherheits-, Zugriffs- und Integritätsrichtl<strong>in</strong>ien sowohl für lokale als<br />
auch Remotecomputer durchgesetzt werden.<br />
Zusätzlich enthält DirectAccess folgende Sicherheitsfeatures:<br />
DirectAccess baut auf standardisierten Technologien auf: IPSec und IPv6.<br />
DirectAccess nutzt IPSec, um sowohl den Computer als auch den Benutzer zu<br />
authentifizieren. Bei Bedarf können Sie die Verwendung e<strong>in</strong>er Smartcard für die<br />
Benutzerauthentifizierung erzw<strong>in</strong>gen.<br />
DirectAccess nutzt IPSec auch, um die Kommunikation, die über das Internet läuft,<br />
zu verschlüsseln.<br />
Grundlagen von DirectAccess und IPv6-Übergangstechnologien<br />
DirectAccess-Clients müssen global rout<strong>in</strong>gfähige IPv6-Adressen haben. In Organisationen,<br />
die bereits e<strong>in</strong>e native IPv6-Infrastruktur haben, lässt sich die vorhandene Infrastruktur ganz<br />
e<strong>in</strong>fach auf DirectAccess-Clientcomputer ausdehnen. Die Clientcomputer können dabei<br />
weiterh<strong>in</strong> mit IPv4 auf Internetressourcen zugreifen.<br />
Für Organisationen, die IPv6 noch nicht e<strong>in</strong>geführt haben, stehen mehrere IPv6-Übergangstechnologien<br />
zur Verfügung, um die E<strong>in</strong>führung e<strong>in</strong>er IPv6-Bereitstellung e<strong>in</strong>zuleiten, ohne<br />
dass die gesamte Infrastruktur aufgerüstet werden muss.<br />
Diese Technologien werden <strong>in</strong> den nächsten Abschnitten beschrieben.
256 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
ISATAP<br />
Intra-Site Automatic Tunnel Address<strong>in</strong>g Protocol (ISATAP) ist e<strong>in</strong> Tunnelprotokoll, über das<br />
e<strong>in</strong> IPv6-Netzwerk mit e<strong>in</strong>em IPv4-Netzwerk kommunizieren kann. Dazu wird e<strong>in</strong> ISATAP-<br />
Router verwendet (Abbildung 6.14).<br />
Abbildung 6.14 ISATAP-Router ermöglichen es re<strong>in</strong>en IPv4- und re<strong>in</strong>en IPv6-Hosts,<br />
mite<strong>in</strong>ander zu kommunizieren<br />
ISATAP ermöglicht es IPv4- und IPv6-Hosts, mite<strong>in</strong>ander zu kommunizieren. Dazu wird<br />
e<strong>in</strong>e Art Adressumsetzung zwischen IPv4 und IPv6 durchgeführt. Bei diesem Vorgang erhalten<br />
alle ISATAP-Clients e<strong>in</strong>e Adresse für e<strong>in</strong>e ISATAP-Schnittstelle. Diese Adresse entsteht<br />
dadurch, dass e<strong>in</strong>e IPv4-Adresse <strong>in</strong>nerhalb e<strong>in</strong>er IPv6-Adresse gekapselt wird.<br />
ISATAP ist für den E<strong>in</strong>satz <strong>in</strong>nerhalb e<strong>in</strong>es privaten Netzwerks gedacht.<br />
6to4<br />
6to4 ist e<strong>in</strong> Protokoll, das IPv6-Verkehr mithilfe von 6to4-Routern über IPv4-Verkehr tunnelt.<br />
In die IPv6-Adresse von 6to4-Clients ist die IPv4-Adresse ihres Routers e<strong>in</strong>gebettet, sie<br />
brauchen ke<strong>in</strong>e IPv4-Adresse. Während ISATAP <strong>in</strong> erster L<strong>in</strong>ie für Intranets gedacht ist,<br />
wird 6to4 im Internet e<strong>in</strong>gesetzt. Sie können mithilfe von 6to4 Verb<strong>in</strong>dungen zu IPv6-Abschnitten<br />
des Internets herstellen, die über e<strong>in</strong> 6to4-Relay laufen. Das funktioniert sogar,<br />
wenn Ihr Intranet oder Ihr Internetprovider nur IPv4 unterstützt.<br />
Abbildung 6.15 zeigt den Aufbau e<strong>in</strong>es 6to4-Netzwerks.<br />
Abbildung 6.15 Mit 6to4 können re<strong>in</strong>e IPv6-Hosts über das Internet kommunizieren<br />
Teredo<br />
Teredo ist e<strong>in</strong> Tunnelprotokoll, mit dem Clients, die h<strong>in</strong>ter e<strong>in</strong>em IPv4-NAT-Gerät liegen,<br />
IPv6 über das Internet verwenden können. Teredo wird nur e<strong>in</strong>gesetzt, wenn ke<strong>in</strong>e andere<br />
IPv6-Übergangstechnologie (wie 6to4) zur Verfügung steht.<br />
Teredo benötigt e<strong>in</strong>e Infrastruktur, die Teredo-Clients, Teredo-Server, Teredo-Relays und<br />
hostspezifische Teredo-Relays umfasst (Abbildung 6.16).
Lektion 2: Grundlagen von DirectAccess-Clientverb<strong>in</strong>dungen 257<br />
Abbildung 6.16 Teredo ermöglicht es Hosts, die h<strong>in</strong>ter e<strong>in</strong>em Router liegen, der IPv4-NAT<br />
durchführt, mit IPv6 untere<strong>in</strong>ander oder mit re<strong>in</strong>en IPv6-Hosts über das Internet zu kommunizieren<br />
Teredo-Client E<strong>in</strong> Teredo-Client ist e<strong>in</strong> Computer, auf dem sowohl IPv6 als auch IPv4<br />
aktiviert s<strong>in</strong>d und der h<strong>in</strong>ter e<strong>in</strong>em Router liegt, der IPv4-NAT durchführt. Der Teredo-<br />
Client legt e<strong>in</strong>e Teredo-Tunnelschnittstelle an und konfiguriert mithilfe des Teredo-Servers<br />
e<strong>in</strong>e rout<strong>in</strong>gfähige IPv6-Adresse. Über diese Schnittstelle kommunizieren Teredo-<br />
Clients mit anderen Teredo-Clients oder mit Hosts im IPv6-Internet (über e<strong>in</strong> Teredo-<br />
Relay).<br />
Teredo-Server E<strong>in</strong> Teredo-Server ist e<strong>in</strong> öffentlicher Server, der sowohl mit dem<br />
IPv4-Internet als auch dem IPv6-Internet verbunden ist. Der Teredo-Server hilft dabei,<br />
die Adresskonfiguration des Teredo-Clients durchzuführen, und leitet die Kommunikation<br />
entweder zwischen zwei Teredo-Clients oder zwischen e<strong>in</strong>em Teredo-Client und<br />
e<strong>in</strong>em IPv6-Host e<strong>in</strong>.<br />
Um die Kommunikation zwischen <strong>W<strong>in</strong>dows</strong>-basierten Teredo-Clientcomputern zu ermöglichen,<br />
hat Microsoft Teredo-Server im IPv4-Internet bereitgestellt.<br />
Teredo-Relay E<strong>in</strong> Teredo-Relay ist e<strong>in</strong> Teredo-Tunnelendpunkt. Das ist e<strong>in</strong> IPv6/IPv4-<br />
Router, der Pakete zwischen Teredo-Clients im IPv4-Internet und re<strong>in</strong>en IPv6-Hosts<br />
weiterleiten kann.<br />
Hostspezifisches Teredo-Relay E<strong>in</strong> hostspezifisches Teredo-Relay ist e<strong>in</strong> Host, auf<br />
dem sowohl IPv4 als auch IPv6 aktiviert s<strong>in</strong>d und der als se<strong>in</strong> eigenes Teredo-Relay agiert.<br />
E<strong>in</strong> hostspezifisches Teredo-Relay erlaubt es e<strong>in</strong>em Teredo-Client, der e<strong>in</strong>e globale IPv6-<br />
Adresse hat, durch das IPv4-Internet zu tunneln und direkt mit Hosts zu kommunizieren,<br />
die ans IPv6-Internet angeschlossen s<strong>in</strong>d.
258 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
IP-HTTPS<br />
IP-HTTPS ist e<strong>in</strong> neues Protokoll, das von Microsoft für <strong>W<strong>in</strong>dows</strong> 7 und <strong>W<strong>in</strong>dows</strong> Server<br />
2008 R2 entwickelt wurde. Er ermöglicht es Hosts, die h<strong>in</strong>ter e<strong>in</strong>em Webproxyserver oder<br />
e<strong>in</strong>er Firewall liegen, Verb<strong>in</strong>dungen herzustellen, <strong>in</strong>dem sie IPv6-Pakete <strong>in</strong>nerhalb e<strong>in</strong>er<br />
IPv4-HTTPS-Sitzung (Hypertext Transfer Protocol Secure) tunneln. Statt HTTP wird HTTPS<br />
benutzt, damit Webproxyserver nicht versuchen, den Datenstrom zu analysieren, und die<br />
Verb<strong>in</strong>dung abbrechen. IP-HTTPS wird als Ausweichlösung für DirectAccess-Clients verwendet,<br />
wenn weder 6to4 noch Teredo zur Verfügung stehen.<br />
IPv6/IPv4-NAT<br />
Manche NAT-Router können Verb<strong>in</strong>dungen zwischen globalen IPv6-Adressen und privaten<br />
IPv4-Adressen herstellen. Um diese Funktion zu gewährleisten, implementieren die meisten<br />
dieser Geräte die Standards NAT-PT (Network Address Translation/Protocol Translation)<br />
oder NAPT-PT (Network Address Port Translation + Protocol Translation), wie <strong>in</strong> RFC 2766<br />
def<strong>in</strong>iert. Diese beiden Technologien stehen <strong>in</strong> e<strong>in</strong>igen Netzwerken zwar noch zur Verfügung,<br />
wurden aber von der IETF (Internet Eng<strong>in</strong>eer<strong>in</strong>g Task Force) aufgrund technischer<br />
Probleme verworfen. NAT64 ist e<strong>in</strong> anderer Mechanismus, der diese Aufgabe <strong>in</strong> Zukunft<br />
übernehmen soll.<br />
H<strong>in</strong>weis Konfigurieren von IPv6-E<strong>in</strong>stellungen <strong>in</strong> Gruppenrichtl<strong>in</strong>ien<br />
Sie können Cliente<strong>in</strong>stellungen für IPv6-Übergangstechnologien <strong>in</strong> den Richtl<strong>in</strong>ien für den<br />
lokalen Computer oder Gruppenrichtl<strong>in</strong>ien konfigurieren. Diese E<strong>in</strong>stellungen bef<strong>in</strong>den<br />
sich bei e<strong>in</strong>em Gruppenrichtl<strong>in</strong>ienobjekt im Knoten Computerkonfiguration\Richtl<strong>in</strong>ien\<br />
Adm<strong>in</strong>istrative Vorlagen\Netzwerk\TCPIP-E<strong>in</strong>stellungen\IPv6-Übergangstechnologien.<br />
Elemente der DirectAccess-Infrastruktur<br />
Abbildung 6.17 zeigt die wichtigsten Elemente e<strong>in</strong>er DirectAccess-Infrastruktur. Dazu gehören<br />
allgeme<strong>in</strong>e Anforderungen an die Netzwerk<strong>in</strong>frastruktur, beispielsweise e<strong>in</strong>e PKI (mit<br />
Zertifizierungsstelle und Sperrlisten-Verteilungspunkt), Domänencontroller, IPv6-Übergangstechnologien<br />
und DNS-Server. E<strong>in</strong>e DirectAccess-Infrastruktur umfasst auch die Elemente,<br />
die den Kern der DirectAccess-Lösung bilden; dazu gehören DirectAccess-Clients, Direct-<br />
Access-Server und e<strong>in</strong> Netzwerkadressenserver.<br />
Der folgende Abschnitt beschreibt diese Elemente e<strong>in</strong>er DirectAccess-Infrastruktur genauer.<br />
DirectAccess-Server<br />
M<strong>in</strong>destens e<strong>in</strong> Server <strong>in</strong> der Domäne muss unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2 laufen, damit er<br />
als DirectAccess-Server agieren kann. Dieser Server liegt üblicherweise <strong>in</strong> Ihrem Perimeternetzwerk<br />
und agiert sowohl als Relay für IPv6-Verkehr als auch als IPSec-Gateway. Der<br />
Server kann Verb<strong>in</strong>dungen von DirectAccess-Clients entgegennehmen und (wie e<strong>in</strong> VPN-<br />
Server) die Kommunikation mit Intranetressourcen ermöglichen. Der DirectAccess-Server<br />
muss mit zwei physischen Netzwerkkarten ausgerüstet se<strong>in</strong> und m<strong>in</strong>destens zwei aufe<strong>in</strong>anderfolgende,<br />
öffentlich erreichbare IPv4-Adressen haben, die extern über das Internet-DNS<br />
aufgelöst werden.
Abbildung 6.17 Aufbau e<strong>in</strong>er DirectAccess-Infrastruktur<br />
Lektion 2: Grundlagen von DirectAccess-Clientverb<strong>in</strong>dungen 259<br />
Sie richten e<strong>in</strong>en DirectAccess-Server e<strong>in</strong>, <strong>in</strong>dem Sie im Server-Manager von <strong>W<strong>in</strong>dows</strong><br />
Server 2008 R2 das Feature DirectAccess-Verwaltungskonsole h<strong>in</strong>zufügen. Starten Sie dann<br />
den DirectAccess-Setup-Assistenten <strong>in</strong> dieser Konsole, um den Server zu konfigurieren.<br />
DirectAccess-Client<br />
Clientcomputer müssen Domänenmitglieder se<strong>in</strong> und unter <strong>W<strong>in</strong>dows</strong> 7 Enterprise oder<br />
Ultimate laufen, damit DirectAccess e<strong>in</strong>gesetzt werden kann. Sie richten Computer als<br />
DirectAccess-Clients e<strong>in</strong>, <strong>in</strong>dem Sie sie zu e<strong>in</strong>er <strong>W<strong>in</strong>dows</strong>-Gruppe h<strong>in</strong>zufügen und dann<br />
diese Gruppe angeben, wenn Sie den DirectAccess-Setup-Assistenten auf dem DirectAccess-<br />
Server ausführen.<br />
Damit DirectAccess-Clients Internet- von Intranetverkehr trennen können, enthalten <strong>W<strong>in</strong>dows</strong><br />
7 und <strong>W<strong>in</strong>dows</strong> Server 2008 R2 die NRPT (Name Resolution Policy Table). Die<br />
NRPT wird nur über Richtl<strong>in</strong>ien für den lokalen Computer oder Gruppenrichtl<strong>in</strong>ien auf<br />
Clients angewendet, sie kann nicht lokal auf dem Client konfiguriert werden. Sie f<strong>in</strong>den die<br />
NRPT-E<strong>in</strong>stellungen <strong>in</strong> e<strong>in</strong>em GPO im Knoten Computerkonfiguration\Richtl<strong>in</strong>ien\<strong>W<strong>in</strong>dows</strong>-<br />
E<strong>in</strong>stellungen\Namensauflösungsrichtl<strong>in</strong>ie.
260 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
H<strong>in</strong>weis Was ist die NRPT?<br />
Die NRPT ist e<strong>in</strong> neues Feature, das es e<strong>in</strong>em Client erlaubt, e<strong>in</strong>e DNS-Serveradresse<br />
bestimmten Namespaces zuzuweisen statt bestimmten Schnittstellen. Die NRPT speichert<br />
praktisch e<strong>in</strong>e Liste der Namensauflösungsregeln, die über Gruppenrichtl<strong>in</strong>ien auf Clients<br />
angewendet werden. Jede Regel def<strong>in</strong>iert e<strong>in</strong>en DNS-Namespace und das Verhalten des<br />
DNS-Clients für diesen Namespace. Wenn e<strong>in</strong> DirectAccess-Client sich im Internet bef<strong>in</strong>det,<br />
wird jede Namensabfrageanforderung mit den Namespaceregeln verglichen, die <strong>in</strong> der NRPT<br />
gespeichert s<strong>in</strong>d. Wird e<strong>in</strong>e Übere<strong>in</strong>stimmung gefunden, wird die Anforderung anhand der<br />
E<strong>in</strong>stellungen <strong>in</strong> der NRPT-Regel verarbeitet. Die E<strong>in</strong>stellungen legen fest, an welche DNS-<br />
Server e<strong>in</strong>e Anforderung gesendet wird.<br />
Stimmt e<strong>in</strong>e Namensabfrageanforderung mit ke<strong>in</strong>em Namespace übere<strong>in</strong>, der <strong>in</strong> der NRPT<br />
aufgelistet ist, wird sie an die DNS-Server geschickt, die <strong>in</strong> den TCP/IP-E<strong>in</strong>stellungen für<br />
die angegebene Netzwerkschnittstelle konfiguriert s<strong>in</strong>d.<br />
Netzwerkadressenserver<br />
E<strong>in</strong> Netzwerkadressenserver (network location server) ist e<strong>in</strong> Webserver, auf den e<strong>in</strong> Direct-<br />
Access-Client zugreift, um zu ermitteln, ob der Client im Intranet oder im Internet liegt. Der<br />
DirectAccess-Server kann als Netzwerkadressenserver fungieren, es ist aber besser, für diesen<br />
Zweck stattdessen e<strong>in</strong>en eigenen, hochverfügbaren Webserver e<strong>in</strong>zusetzen. Dieser separate<br />
Webserver braucht nicht auf die Aufgabe als Netzwerkadressenserver beschränkt zu se<strong>in</strong>. Sie<br />
können die E<strong>in</strong>stellungen für den Netzwerkadressenserver <strong>in</strong> Richtl<strong>in</strong>ien für den lokalen<br />
Computer oder Gruppenrichtl<strong>in</strong>ien konfigurieren. Sie f<strong>in</strong>den die E<strong>in</strong>stellungen <strong>in</strong> e<strong>in</strong>em<br />
Gruppenrichtl<strong>in</strong>ienobjekt im Knoten Computerkonfiguration\Richtl<strong>in</strong>ien\Adm<strong>in</strong>istrative<br />
Vorlagen\Netzwerk\Netzwerkverb<strong>in</strong>dungs-Statusanzeige.<br />
Domänencontroller<br />
Für DirectAccess wird e<strong>in</strong>e AD DS-Infrastruktur gebraucht. M<strong>in</strong>destens e<strong>in</strong> Domänencontroller<br />
<strong>in</strong> der Domäne muss unter <strong>W<strong>in</strong>dows</strong> Server 2008 oder neuer laufen.<br />
IPv6-fähiges Netzwerk<br />
DirectAccess verwendet IPv6, damit Remoteclientcomputer Verb<strong>in</strong>dung zu Intranetressourcen<br />
über e<strong>in</strong>e Internetverb<strong>in</strong>dung herstellen können. Weil der Großteil des öffentlichen Internets<br />
momentan aber mit IPv4 arbeitet, setzen DirectAccess-Clients IPv6-Übergangstechnologien<br />
e<strong>in</strong>, wo ke<strong>in</strong>e IPv6-Konnektivität vorhanden ist. DirectAccess-Clients versuchen,<br />
Verb<strong>in</strong>dungsmethoden <strong>in</strong> folgender Reihenfolge auszuwählen:<br />
1. Natives IPv6 Diese Methode wird genutzt, wenn dem DirectAccess-Client e<strong>in</strong>e global<br />
rout<strong>in</strong>gfähige IPv6-Adresse zugewiesen ist.<br />
2. 6to4 Diese Methode wird benutzt, wenn dem DirectAccess-Client e<strong>in</strong>e öffentliche<br />
IPv4-Adresse zugewiesen ist.<br />
3. Teredo Diese Methode wird genutzt, wenn dem DirectAccess-Client e<strong>in</strong>e private<br />
IPv4-Adresse zugewiesen ist.<br />
4. IP-HTTPS Diese Methode wird versucht, wenn alle anderen Methoden fehlschlagen.
Lektion 2: Grundlagen von DirectAccess-Clientverb<strong>in</strong>dungen 261<br />
Damit Remoteclientcomputer Computer im <strong>in</strong>ternen <strong>Unternehmen</strong>snetzwerk über Direct-<br />
Access erreichen können, müssen die <strong>in</strong>ternen Computer vollständig IPv6-kompatibel se<strong>in</strong>.<br />
Computer <strong>in</strong> Ihrem IPv4-Netzwerk s<strong>in</strong>d vollständig IPv6-kompatibel, wenn e<strong>in</strong>e der folgenden<br />
Aussagen zutrifft:<br />
Die Computer laufen unter <strong>W<strong>in</strong>dows</strong> 7, <strong>W<strong>in</strong>dows</strong> Vista, <strong>W<strong>in</strong>dows</strong> Server 2008 oder<br />
<strong>W<strong>in</strong>dows</strong> Server 2008 R2.<br />
Sie haben <strong>in</strong> Ihrem Intranet ISATAP bereitgestellt, damit <strong>in</strong>terne Server und Anwendungen<br />
erreicht werden können, <strong>in</strong>dem IPv6-Verkehr über Ihr re<strong>in</strong>es IPv4-Intranet getunnelt<br />
wird.<br />
Sie verwenden e<strong>in</strong> NAT-PT-Gerät, um Verkehr zwischen Ihren DirectAccess-Clients und<br />
Ihren Intranetcomputern umzusetzen, die nur IPv4 unterstützen.<br />
IPSec<br />
DirectAccess greift auf IPSec zurück, um Endpunkt-zu-Endpunkt-Sicherheit für Remoteclientcomputer<br />
zu gewährleisten, die auf Ressourcen im <strong>in</strong>ternen <strong>Unternehmen</strong>snetzwerk<br />
zugreifen. Für die Authentifizierung und Verschlüsselung aller DirectAccess-Verb<strong>in</strong>dungen<br />
werden IPsec-Richtl<strong>in</strong>ien benutzt. Diese Richtl<strong>in</strong>ien werden mithilfe von Gruppenrichtl<strong>in</strong>ien<br />
auf Clientcomputern konfiguriert und angewendet.<br />
PKI<br />
Es wird e<strong>in</strong>e PKI gebraucht, um Computerzertifikate für die Client- und Serverauthentifizierung<br />
auszustellen. Sie ist außerdem nötig, um Integritätszertifikate auszustellen, wenn<br />
NAP bereits implementiert ist. Diese Zertifikate können von e<strong>in</strong>er Zertifizierungsstelle im<br />
<strong>in</strong>ternen Netzwerk ausgestellt werden; Sie brauchen dafür ke<strong>in</strong>e öffentliche Zertifizierungsstelle<br />
zu beauftragen.<br />
Sperrlisten-Verteilungspunkte<br />
In e<strong>in</strong>er DirectAccess-Infrastruktur s<strong>in</strong>d Sperrlisten-Verteilungspunkte (Certificate Revocation<br />
List Distribution Po<strong>in</strong>t, CDP) die Server, die Zugriff auf die Zertifikatsperrliste bieten,<br />
die von der Zertifizierungsstelle veröffentlicht wird, die Zertifikate für DirectAccess ausstellt.<br />
Es sollten getrennte CDPs für <strong>in</strong>terne Clients im <strong>Unternehmen</strong>snetzwerk und externe Clients<br />
im Internet bereitgestellt werden.<br />
Ausnahmen für die Perimeterfirewall<br />
In der Perimeterfirewall Ihres <strong>Unternehmen</strong>snetzwerks müssen folgende Ports geöffnet<br />
werden, um DirectAccess zu unterstützen:<br />
UDP-Port 3544 für e<strong>in</strong>gehenden Teredo-Verkehr<br />
IPv4-Protokoll 41 für e<strong>in</strong>gehenden 6to4-Verkehr<br />
TCP-Port 443 für e<strong>in</strong>gehenden IP-HTTPS-Verkehr<br />
Wenn Sie Clientcomputer unterstützen wollen, die native IPv6-Adressen haben, müssen<br />
zusätzlich folgende Ausnahmen geöffnet werden:<br />
ICMPv6<br />
IPv4-Protokoll 50
262 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
Weitere Informationen Bereitstellen von DirectAccess<br />
Informationen, wie Sie e<strong>in</strong>e DirectAccess-Lösung für Ihre Organisation bereitstellen, f<strong>in</strong>den<br />
Sie im Abschnitt zu DirectAccess im Network<strong>in</strong>g and Access Technologies TechCenter auf<br />
Microsoft TechNet unter http://technet.microsoft.com/en-us/network/dd420463.aspx.<br />
DirectAccess-Cliente<strong>in</strong>stellungen für IPv6 von Hand konfigurieren<br />
DirectAccess-Clients werden zwar normalerweise automatisch konfiguriert, wenn Sie auf<br />
dem DirectAccess-Server den DirectAccess-Setup-Assistenten ausführen, aber Sie können<br />
IPv6-E<strong>in</strong>stellungen auf den Clients auch von Hand konfigurieren, um Verb<strong>in</strong>dungsprobleme<br />
zu beseitigen. Verwenden Sie die Angaben aus Tabelle 6.2, um Remoteclients mit der richtigen<br />
IPv6-Übergangstechnologie zu konfigurieren: Teredo, 6to4 oder IP-HTTPS.<br />
Tabelle 6.2 Manuelle IPv6-Konfiguration für DirectAccess-Clients<br />
Aufgabe Befehl Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellung<br />
Konfigurieren des Teredo- netsh <strong>in</strong>terface teredo Computerkonfiguration\Richtl<strong>in</strong>ien\<br />
Clients als <strong>Unternehmen</strong>s- set state type=<br />
Adm<strong>in</strong>istrative Vorlagen\Netzwerk\TCPIPclient<br />
und Konfigurieren der enterpriseclient E<strong>in</strong>stellungen\IPv6-Übergangstechnolo-<br />
IPv4-Adresse des Teredo- servername=<br />
und<br />
Computerkonfiguration\Richtl<strong>in</strong>ien\<br />
Adm<strong>in</strong>istrative Vorlagen\Netzwerk\TCPIP-<br />
E<strong>in</strong>stellungen\IPv6-Übergangstechnologien\Teredo-Servername=<br />
Konfigurieren der öffent- netsh <strong>in</strong>terface 6to4 set Computerkonfiguration\Richtl<strong>in</strong>ien\<br />
lichen IPv4-Adresse des relay name= gien\IPv6-zu-IPv4-Relayname=<br />
Aktivieren des IP-HTTPS- netsh <strong>in</strong>terface<br />
Computerkonfiguration\Richtl<strong>in</strong>ien\<br />
Clients und Konfigurieren httpstunnel add <strong>in</strong>terface Adm<strong>in</strong>istrative Vorlagen\Netzwerk\TCPIPdes<br />
IP-HTTPS-URL (Uni- client https:/// logien\IP-HTTPS-Status=Aktiviert und<br />
IPHTTPS<br />
IP-HTTPS-URL=https://: 443/IPHTTPS<br />
IPv6-Internetfeatures auf dem DirectAccess-Server von Hand konfigurieren<br />
Im Rahmen e<strong>in</strong>er Problembehandlung können Sie Ihre DirectAccess-Server von Hand für<br />
Teredo, 6to4 und IP-HTTPS konfigurieren. Verwenden Sie die Befehl aus Tabelle 6.3, um<br />
die gewünschten E<strong>in</strong>stellungen zu konfigurieren.
Lektion 2: Grundlagen von DirectAccess-Clientverb<strong>in</strong>dungen 263<br />
Tabelle 6.3 Konfigurieren von DirectAccess-Internetfeatures<br />
Feature Aufgabe Befehl<br />
Teredo-Server Konfigurieren von Teredo mit netsh <strong>in</strong>terface ipv6 set teredo server <br />
IPv6-Schnitt- Konfigurieren der IPv6- Führen Sie den folgenden Befehl für die 6to4- und<br />
stellen<br />
Schnittstellen für das richtige Teredo-Schnittstellen aus:<br />
Weiterleitungs- und Ankündi- netsh <strong>in</strong>terface ipv6 set <strong>in</strong>terface<br />
gungsverhalten<br />
forward<strong>in</strong>g=enabled<br />
Ist e<strong>in</strong>e LAN-Schnittstelle mit e<strong>in</strong>er nativen IPv6-<br />
Adresse vorhanden, lautet der Befehl:<br />
netsh <strong>in</strong>terface ipv6 set <strong>in</strong>terface <br />
forward<strong>in</strong>g=enabled<br />
Bei e<strong>in</strong>er IP-HTTPS-Schnittstelle führen Sie<br />
diesen Befehl aus:<br />
netsh <strong>in</strong>terface ipv6 set <strong>in</strong>terface IPHTTPSInterface<br />
forward<strong>in</strong>g=enabled advertise=enabled<br />
6to4 Aktivieren von 6to4 netsh <strong>in</strong>terface 6to4 set state enabled<br />
SSL-Zertifikate Konfigurieren der Zertifikat- Installieren Sie das SSL-Zertifikat (Secure Sockets<br />
für IP-HTTPS- b<strong>in</strong>dung<br />
Layer) durch manuelle Registrierung.<br />
Verb<strong>in</strong>dungen<br />
Führen Sie den Befehl netsh http add sslcert aus,<br />
um die Zertifikatb<strong>in</strong>dung zu konfigurieren.<br />
IP-HTTPS- Konfigurieren der IP-HTTPS- netsh <strong>in</strong>terface httpstunnel add <strong>in</strong>terface server<br />
Schnittstelle Schnittstelle<br />
https://:443/<br />
iphttps enabled certificates<br />
IP-HTTPS- Konfigurieren des IPv6- netsh <strong>in</strong>terface ipv6 add route ::/64<br />
Rout<strong>in</strong>g Rout<strong>in</strong>gs für die IP-HTTPS- IPHTTPSInterface publish=yes<br />
Schnittstelle<br />
Dabei hat e<strong>in</strong>en der folgenden<br />
Werte:<br />
6to4-basedPrefix :2, wenn Sie e<strong>in</strong> 6to4-Präfix<br />
auf Basis der ersten öffentlichen IPv4-Adresse<br />
verwenden, die der Internetschnittstelle des<br />
DirectAccess-Servers zugewiesen ist.<br />
NativePrefix :5555, wenn Sie e<strong>in</strong> 48 Bit<br />
langes, natives IPv6-Präfix verwenden. 5555<br />
ist die Subnetz-ID, die der DirectAccess-Setup-<br />
Assistent auswählt.<br />
Abläufe beim Aufbau e<strong>in</strong>er DirectAccess-Verb<strong>in</strong>dung<br />
E<strong>in</strong>e DirectAccess-Verb<strong>in</strong>dung zu e<strong>in</strong>er Intranetressource wird aufgebaut, wenn der Direct-<br />
Access-Client über IPv6 e<strong>in</strong>e Verb<strong>in</strong>dung zum DirectAccess-Server herstellt. Dann wird<br />
IPSec zwischen Client und Server ausgehandelt. Schließlich wird die Verb<strong>in</strong>dung zwischen<br />
dem DirectAccess-Client und der Zielressource e<strong>in</strong>gerichtet.
264 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
Dieser allgeme<strong>in</strong>e Vorgang untergliedert sich <strong>in</strong> folgende E<strong>in</strong>zelschritte:<br />
1. Der DirectAccess-Clientcomputer, der unter <strong>W<strong>in</strong>dows</strong> 7 läuft, erkennt, dass er mit e<strong>in</strong>em<br />
Netzwerk verbunden ist.<br />
2. Der DirectAccess-Clientcomputer versucht, Verb<strong>in</strong>dung mit dem Netzwerkadressenserver<br />
aufzunehmen. Ist der Netzwerkadressenserver verfügbar, stellt der DirectAccess-<br />
Client fest, dass er bereits mit dem Intranet verbunden ist, und der DirectAccess-Verb<strong>in</strong>dungsprozess<br />
bricht ab. Ist dagegen ke<strong>in</strong> Netzwerkadressenserver verfügbar, stellt der<br />
DirectAccess-Client fest, dass er mit dem Internet verbunden ist; der DirectAccess-<br />
Verb<strong>in</strong>dungsprozess wird fortgesetzt.<br />
3. Der DirectAccess-Clientcomputer stellt über IPv6 und IPSec e<strong>in</strong>e Verb<strong>in</strong>dung zum<br />
DirectAccess-Server her. Ist ke<strong>in</strong> natives IPv6-Netzwerk verfügbar, baut der Client e<strong>in</strong>en<br />
IPv6-über-IPv4-Tunnel mit 6to4 oder Teredo auf. Der Benutzer braucht dafür nicht<br />
angemeldet zu se<strong>in</strong>.<br />
4. Verh<strong>in</strong>dert e<strong>in</strong>e Firewall oder e<strong>in</strong> Proxyserver, dass der Clientcomputer mit 6to4 oder<br />
Teredo e<strong>in</strong>e Verb<strong>in</strong>dung zum DirectAccess-Server herstellt, versucht der Client automatisch,<br />
e<strong>in</strong>e Verb<strong>in</strong>dung mit dem Protokoll IP-HTTPS herzustellen. Es verwendet e<strong>in</strong>e<br />
SSL-Verb<strong>in</strong>dung, um e<strong>in</strong>e Verb<strong>in</strong>dung zu ermöglichen.<br />
5. Beim Aufbau der IPSec-Sitzung authentifizieren sich DirectAccess-Client und -Server<br />
gegenseitig mithilfe von Computerzertifikaten.<br />
6. Durch Prüfen der AD DS-Gruppenzugehörigkeiten stellt der DirectAccess-Server fest,<br />
ob der Computer und se<strong>in</strong> Benutzer autorisiert s<strong>in</strong>d, e<strong>in</strong>e Verb<strong>in</strong>dung über DirectAccess<br />
herzustellen.<br />
7. Wenn NAP aktiviert und für die Integritätsprüfung konfiguriert ist, ruft der DirectAccess-<br />
Client e<strong>in</strong> Integritätszertifikat von e<strong>in</strong>er Integritätsregistrierungsstelle (Health Registration<br />
Authority, HRA) im Internet ab, bevor er sich mit dem DirectAccess-Server verb<strong>in</strong>det.<br />
Die HRA leitet die Daten zum Integritätsstatus des DirectAccess-Clients an e<strong>in</strong>en<br />
NAP-Integritätsrichtl<strong>in</strong>ienserver weiter. Der NAP-Integritätsrichtl<strong>in</strong>ienserver verarbeitet<br />
die Richtl<strong>in</strong>iendef<strong>in</strong>ition des NPS und entscheidet, ob der Client die Integritätsanforderungen<br />
erfüllt. Ist das der Fall, ruft die HRA e<strong>in</strong> Integritätszertifikat für den DirectAccess-<br />
Client ab. Wenn der DirectAccess-Client e<strong>in</strong>e Verb<strong>in</strong>dung zum DirectAccess-Server<br />
herstellt, übergibt er se<strong>in</strong> Integritätszertifikat für die Authentifizierung.<br />
8. Der DirectAccess-Server beg<strong>in</strong>nt, Verkehr vom DirectAccess-Client an die Intranetressourcen<br />
weiterzuleiten, auf die dem Benutzer Zugriff gewährt wurde.<br />
Problembehandlung für DirectAccess-Verb<strong>in</strong>dungen<br />
Die folgende Liste beschreibt e<strong>in</strong>ige Bereiche, <strong>in</strong> denen e<strong>in</strong>e DirectAccess-Verb<strong>in</strong>dung richtig<br />
konfiguriert se<strong>in</strong> muss. Sie können anhand dieser Liste Prioritäten und Verfahren entwickeln,<br />
die Ihnen bei der Problembehandlung von DirectAccess-Clients helfen.<br />
Der DirectAccess-Client muss e<strong>in</strong>e globale IPv6-Adresse haben. (Globale IPv6-Adressen<br />
beg<strong>in</strong>nen mit e<strong>in</strong>er 2 oder 3.)<br />
Führen Sie auf dem DirectAccess-Client den Befehl ipconfig /all aus.<br />
Wenn dem DirectAccess-Client e<strong>in</strong>e öffentliche IPv4-Adresse zugewiesen ist, müsste<br />
e<strong>in</strong>e Schnittstelle namens Tunneladapter 6TO4-Adapter <strong>in</strong> der Ausgabe von Ipconfig
Lektion 2: Grundlagen von DirectAccess-Clientverb<strong>in</strong>dungen 265<br />
aufgeführt werden. Diese Schnittstelle sollte mit e<strong>in</strong>er Adresse konfiguriert se<strong>in</strong>, die mit<br />
2002 beg<strong>in</strong>nt. Der Schnittstelle Tunneladapter 6TO4-Adapter muss auch e<strong>in</strong> Standardgateway<br />
zugewiesen se<strong>in</strong>.<br />
Ist e<strong>in</strong>em DirectAccess-Client e<strong>in</strong>e private IPv4-Adresse zugewiesen, müsste e<strong>in</strong>e Teredo-<br />
Schnittstelle aufgeführt se<strong>in</strong>. Diese Schnittstelle sollte mit e<strong>in</strong>er Adresse konfiguriert<br />
se<strong>in</strong>, die mit 2001 beg<strong>in</strong>nt.<br />
Suchen Sie bei IP-HTTPS nach e<strong>in</strong>er Schnittstelle namens Tunneladapter Iphttps<strong>in</strong>terface.<br />
Sofern Sie ke<strong>in</strong>e native IPv6-Infrastruktur <strong>in</strong> Betrieb haben, bevor Sie den Direct-<br />
Access-Setup-Assistenten ausführen, müsste Tunneladapter Iphttps<strong>in</strong>terface mit e<strong>in</strong>er<br />
Adresse konfiguriert se<strong>in</strong>, die mit 2002 beg<strong>in</strong>nt. Außerdem sollte Tunneladapter Iphttps<strong>in</strong>terface<br />
e<strong>in</strong> Standardgateway zugewiesen se<strong>in</strong>.<br />
Der DirectAccess-Client muss <strong>in</strong> der Lage se<strong>in</strong>, die IPv6-Adressen des DirectAccess-<br />
Servers zu erreichen.<br />
Führen Sie auf dem DirectAccess-Server den Befehl ipconfig /all aus. Notieren Sie sich<br />
die globalen IPv6-Adressen des DirectAccess-Servers. Vom DirectAccess-Client aus<br />
müssten Sie alle globalen IPv6-Adressen des DirectAccess-Servers mit P<strong>in</strong>g erreichen<br />
können.<br />
Verläuft dieser Test nicht erfolgreich, sollten Sie die Verb<strong>in</strong>dung untersuchen, <strong>in</strong>dem Sie<br />
nach e<strong>in</strong>er Unterbrechung der IPv6-Konnektivität zwischen DirectAccess-Client und<br />
-Server suchen.<br />
Gehen Sie nach folgendem Schema vor, um Unterbrechungen der IPv6-Konnektivität zu<br />
beseitigen:<br />
Falls Ihrem DirectAccess-Client e<strong>in</strong>e private IPv4-Adresse zugewiesen ist, sollten Sie<br />
sicherstellen, dass der lokale Teredo-Client als <strong>Unternehmen</strong>sclient konfiguriert ist und<br />
die IPv4-Adresse des DirectAccess-Servers als Teredo-Server e<strong>in</strong>getragen ist. Geben Sie<br />
dazu folgenden Befehl e<strong>in</strong>:<br />
netsh <strong>in</strong>terface teredo set state type=enterpriseclient servername=<br />
Falls Ihrem DirectAccess-Client e<strong>in</strong>e öffentliche IPv4-Adresse zugewiesen ist, sollten<br />
Sie sicherstellen, dass die IPv4-Adresse des DirectAccess-Servers als 6to4-Relay e<strong>in</strong>getragen<br />
ist. Führen Sie dazu folgenden Befehl aus:<br />
netsh <strong>in</strong>terface 6to4 set relay name=<br />
Schlagen diese Methoden fehl, können Sie versuchen, mithilfe von IP-HTTPS die IPv6-<br />
Konnektivität zum DirectAccess-Server herzustellen. Geben Sie dazu den folgenden<br />
Befehl e<strong>in</strong>:<br />
netsh <strong>in</strong>terface httpstunnel add <strong>in</strong>terface client https:///IPHTTPS<br />
H<strong>in</strong>weis Verwenden von P<strong>in</strong>g über IPSec<br />
Wenn Sie P<strong>in</strong>g als Problembehandlungtool verwenden wollen, müssen Sie sicherstellen,<br />
dass ICMP (Internet Control Message Protocol) vom IPSec-Schutz zwischen dem Direct-<br />
Access-Client und dem Remoteendpunkt der IPSec-Verb<strong>in</strong>dung ausgenommen ist.
266 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
Die Intranetserver müssen globale IPv6-Adressen haben.<br />
Führen Sie auf allen Intranetservern, zu denen ke<strong>in</strong>e Verb<strong>in</strong>dung möglich ist, den Befehl<br />
ipconfig /all aus. Die Ausgabe des Befehls sollte e<strong>in</strong>e globale IPv6-Adresse enthalten.<br />
Ist das nicht der Fall, müssen Sie die IPv6-Infrastruktur <strong>in</strong> Ihrem Intranet untersuchen.<br />
Stellen Sie bei ISATAP-Netzwerken sicher, dass bei Ihren DNS-Servern, die unter <strong>W<strong>in</strong>dows</strong><br />
Server 2008 oder neuer laufen, der Name ISATAP aus den globalen Abfrageblockierlisten<br />
gelöscht wird. Stellen Sie außerdem sicher, dass der DirectAccess-Server<br />
e<strong>in</strong>en ISATAP-A-E<strong>in</strong>trag im Intranet-DNS registriert hat.<br />
H<strong>in</strong>weis Verwenden von IPv6/IPv4-NAT-Geräten<br />
Wenn Sie e<strong>in</strong> NAT-PT- oder NAT64-Gerät verwenden, um den Intranetserver zu erreichen,<br />
hat der Intranetserver ke<strong>in</strong>e globale IPv6-Adresse. Stellen Sie <strong>in</strong> diesem Fall sicher,<br />
dass das NAT-PT- oder NAT64-Gerät e<strong>in</strong>e globale IPv6-Adresse hat.<br />
Der DirectAccess-Client im Internet muss richtig feststellen, dass er sich nicht im Intranet<br />
bef<strong>in</strong>det.<br />
Geben Sie auf dem DirectAccess-Client netsh namespace show effectivepolicy e<strong>in</strong>, um<br />
die NRPT anzuzeigen. Sie sollte NRPT-Regeln für den Intranetnamespace und e<strong>in</strong>e Ausnahme<br />
für den vollqualifizierten Domänennamen (Fully Qualified Doma<strong>in</strong> Name, FQDN)<br />
des Netzwerkadressenservers enthalten.<br />
Ist das nicht der Fall, sollten Sie den URL des Netzwerkadressenservers ermitteln, <strong>in</strong>dem<br />
Sie folgenden Befehl e<strong>in</strong>geben:<br />
reg query<br />
HKLM\software\policies\microsoft\w<strong>in</strong>dows\NetworkConnectivityStatusIndicator\<br />
CorporateConnectivity /v Doma<strong>in</strong>LocationDeterm<strong>in</strong>ationUrl<br />
Stellen Sie sicher, dass der FQDN dieses URLs entweder zu e<strong>in</strong>em Ausnahmee<strong>in</strong>trag<br />
passt oder nicht mit dem DNS-Suffix für Ihren Intranetnamespace <strong>in</strong> der NRPT übere<strong>in</strong>stimmt.<br />
Auf dem DirectAccess-Client darf nicht das Domänenfirewallprofil zugewiesen se<strong>in</strong>.<br />
Führen Sie netsh advfirewall monitor show currentprofile aus, um die Netzwerke mit<br />
den ermittelten Firewallprofilen aufzulisten. Sofern Sie noch ke<strong>in</strong>e DirectAccess-Verb<strong>in</strong>dung<br />
aufgebaut haben, sollte ke<strong>in</strong>em Ihrer Netzwerke das Domänenprofil zugewiesen<br />
se<strong>in</strong>.<br />
Ist dennoch e<strong>in</strong>em Ihrer Netzwerke das Domänenprofil zugewiesen, sollten Sie prüfen,<br />
ob Sie e<strong>in</strong>e aktive VPN-Remotezugriffsverb<strong>in</strong>dung haben oder ob e<strong>in</strong> Domänencontroller<br />
im Internet verfügbar ist. Deaktivieren Sie diese Verb<strong>in</strong>dung.<br />
Der DirectAccess-Client muss <strong>in</strong> der Lage se<strong>in</strong>, se<strong>in</strong>e Intranet-DNS-Server über IPv6 zu<br />
erreichen.<br />
Geben Sie auf dem Client netsh namespace show effectivepolicy e<strong>in</strong>, um die IPv6-<br />
Adressen Ihrer Intranet-DNS-Server zu erfahren. Testen Sie diese IPv6-Adressen vom<br />
DirectAccess-Client aus mit P<strong>in</strong>g.<br />
Verläuft dieser Test nicht erfolgreich, sollten Sie die Unterbrechung der IPv6-Konnektivität<br />
zwischen dem DirectAccess-Client und den Intranet-DNS-Servern suchen. Stellen
Lektion 2: Grundlagen von DirectAccess-Clientverb<strong>in</strong>dungen 267<br />
Sie sicher, dass Ihr DirectAccess-Server nur e<strong>in</strong> e<strong>in</strong>ziges IPv4-Standardgateway hat, das<br />
<strong>in</strong> der Internetschnittstelle konfiguriert ist. Stellen Sie außerdem sicher, dass Ihr Direct-<br />
Access-Server auf der Intranetschnittstelle mit e<strong>in</strong>em Satz IPv4-Routen konfiguriert ist,<br />
die ihm den Zugriff auf alle IPv4-Ziele <strong>in</strong> Ihrem Intranet erlauben.<br />
Der DirectAccess-Client muss <strong>in</strong> der Lage se<strong>in</strong>, mithilfe der Intranet-DNS-Server Intranet-FQDNs<br />
aufzulösen.<br />
Geben Sie nslookup <br />
e<strong>in</strong>, um die Namen von Intranetservern aufzulösen (zum Beispiel: nslookup dc1.corp.<br />
contoso.com 2002:836b:2:1::5efe:10.0.0.1). Die Ausgabe müsste die IPv6-Adressen<br />
des angegebenen Intranetservers enthalten.<br />
Ist der Intranet-DNS-Server nicht erreichbar, müssen Sie die Verb<strong>in</strong>dung zu diesem DNS-<br />
Server untersuchen. Falls der Server antwortet, aber den angegebenen Servernamen nicht<br />
f<strong>in</strong>det, müssen Sie das Intranet-DNS untersuchen. (Stellen Sie fest, warum ke<strong>in</strong> AAAA-<br />
E<strong>in</strong>trag für den Intranetserver vorhanden ist.)<br />
Der DirectAccess-Client muss <strong>in</strong> der Lage se<strong>in</strong>, Intranetserver zu erreichen.<br />
Versuchen Sie mit P<strong>in</strong>g, die IPv6-Adressen der Intranetserver zu erreichen.<br />
Wenn dieser Test fehlschlägt, sollten Sie versuchen, die Unterbrechung der IPv6-Konnektivität<br />
zwischen dem DirectAccess-Client und den Intranetservern zu f<strong>in</strong>den.<br />
Der DirectAccess-Client muss <strong>in</strong> der Lage se<strong>in</strong>, mit Intranetservern über Anwendungsschichtprotokolle<br />
zu kommunizieren.<br />
Greifen Sie mithilfe der jeweiligen Anwendung auf den passenden Intranetserver zu.<br />
Wenn auf dem Intranetserver die Datei- und Druckerfreigabe aktiviert ist, können Sie<br />
den Zugriff über das Anwendungsschichtprotokoll testen, <strong>in</strong>dem Sie net view \\<br />
e<strong>in</strong>geben.<br />
Übung Verwenden von DirectAccess <strong>in</strong> e<strong>in</strong>em Testnetzwerk (optional)<br />
Die Anforderungen an e<strong>in</strong>e DirectAccess-Infrastruktur s<strong>in</strong>d so komplex, dass sie sich mit<br />
dem kle<strong>in</strong>en Testnetzwerk, das wir <strong>in</strong> diesem Buch verwenden, e<strong>in</strong>fach nicht nachbauen<br />
lässt. Sofern Sie allerd<strong>in</strong>gs e<strong>in</strong>en Computer mit genug RAM haben, um sechs virtuelle Computer<br />
auszuführen, sollten Sie sich Step By Step Guide: Demonstrate DirectAccess <strong>in</strong> a Test<br />
Lab von http://www.microsoft.com/downloads/details.aspx?familyid=8D47ED5F-D217-<br />
4D84-B698-F39360D82FAC herunterladen. Richten Sie mithilfe der Anleitung <strong>in</strong> diesem<br />
Handbuch e<strong>in</strong> Testnetzwerk für DirectAccess e<strong>in</strong>. Für dieses Projekt müssen Sie m<strong>in</strong>destens<br />
vier Stunden e<strong>in</strong>planen.<br />
Zusammenfassung der Lektion<br />
DirectAccess ist e<strong>in</strong>e neue Technologie, die das herkömmliche VPN ersetzt. Wenn es<br />
richtig konfiguriert ist, können Remoteclients, die unter <strong>W<strong>in</strong>dows</strong> 7 Enterprise oder<br />
<strong>W<strong>in</strong>dows</strong> 7 Ultimate laufen, automatisch e<strong>in</strong>e ständig verfügbare, bidirektionale Verb<strong>in</strong>dung<br />
zum <strong>Unternehmen</strong>snetzwerk aufbauen, schon bevor sich der Benutzer anmeldet.<br />
DirectAccess läuft ausschließlich mit IPv6. Wenn Sie DirectAccess <strong>in</strong> e<strong>in</strong>em IPv4-Netzwerk<br />
e<strong>in</strong>setzen wollen, müssen die Computer IPv6-Übergangstechnologien wie Teredo,<br />
6to4, ISATAP und IP-HTTPS nutzen.
268 Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
E<strong>in</strong>e DirectAccess-Infrastruktur umfasst e<strong>in</strong>en DirectAccess-Client, e<strong>in</strong>en DirectAccess-<br />
Server am Rand des <strong>Unternehmen</strong>snetzwerks, e<strong>in</strong>en Domänencontroller, e<strong>in</strong>en Netzwerkadressenserver<br />
und e<strong>in</strong>e PKI.<br />
Um e<strong>in</strong>e DirectAccess-Verb<strong>in</strong>dung aufzubauen, stellt e<strong>in</strong> Client erst se<strong>in</strong>en Standort fest,<br />
<strong>in</strong>dem er versucht, den Netzwerkadressenserver zu erreichen. F<strong>in</strong>det der Client heraus,<br />
dass er sich im Internet bef<strong>in</strong>det, versucht er, den DirectAccess-Server über IPv6 zu erreichen<br />
(sofern nötig, unter Benutzung e<strong>in</strong>er Übergangstechnologie). Dann baut er e<strong>in</strong>en<br />
IPSec-Tunnel zum DirectAccess-Server auf. Schließlich prüft der Server, ob der Client<br />
für Remotezugriff autorisiert ist, und die DirectAccess-Verb<strong>in</strong>dung wird hergestellt.<br />
Lernzielkontrolle<br />
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 2,<br />
»Grundlagen von DirectAccess-Clientverb<strong>in</strong>dungen«, überprüfen. Die Fragen f<strong>in</strong>den Sie<br />
(<strong>in</strong> englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer<br />
im Rahmen e<strong>in</strong>es Übungstests beantworten.<br />
H<strong>in</strong>weis Die Antworten<br />
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglichkeiten<br />
richtig oder falsch s<strong>in</strong>d, f<strong>in</strong>den Sie im Abschnitt »Antworten« am Ende dieses Buchs.<br />
1. Welches der folgenden Betriebssysteme kann nicht als DirectAccess-Client arbeiten?<br />
A. <strong>W<strong>in</strong>dows</strong> 7 Enterprise<br />
B. <strong>W<strong>in</strong>dows</strong> 7 Professional<br />
C. <strong>W<strong>in</strong>dows</strong> 7 Ultimate<br />
D. <strong>W<strong>in</strong>dows</strong> Server 2008 R2<br />
2. Welches der folgenden Elemente brauchen Sie nicht, um e<strong>in</strong>e DirectAccess-Verb<strong>in</strong>dung<br />
zu e<strong>in</strong>em Remoteclient aufzubauen?<br />
A. Serverzertifikat auf dem DirectAccess-Server<br />
B. Computerzertifikat auf dem DirectAccess-Client<br />
C. E<strong>in</strong>e globale IPv6-Adresse auf dem DirectAccess-Client<br />
D. E<strong>in</strong>e globale IPv4-Adresse auf dem DirectAccess-Client
Rückblick auf dieses Kapitel<br />
Rückblick auf dieses Kapitel 269<br />
Sie können die <strong>in</strong> diesem Kapitel erworbenen Fähigkeiten folgendermaßen e<strong>in</strong>üben und<br />
vertiefen:<br />
Lesen Sie die Zusammenfassung des Kapitels sorgfältig durch.<br />
Lesen Sie die Liste der Schlüsselbegriffe durch, die <strong>in</strong> diesem Kapitel e<strong>in</strong>geführt wurden.<br />
Arbeiten Sie die Übungen mit Fallbeispielen durch. Diese Szenarien beschreiben Fälle<br />
aus der Praxis, <strong>in</strong> denen die Themen dieses Kapitels zur Anwendung kommen. Sie<br />
werden aufgefordert, e<strong>in</strong>e Lösung zu entwickeln.<br />
Führen Sie die vorgeschlagenen Übungen durch.<br />
Machen Sie e<strong>in</strong>en Übungstest.<br />
Zusammenfassung des Kapitels<br />
Um e<strong>in</strong>e Problembehandlung für VPN-Remotezugriffsverb<strong>in</strong>dungen durchzuführen,<br />
müssen Sie wissen, welche Voraussetzungen für e<strong>in</strong>e VPN-Infrastruktur erfüllt se<strong>in</strong><br />
müssen und welche Schritte beim Aufbau e<strong>in</strong>er solchen Verb<strong>in</strong>dung ablaufen. Die e<strong>in</strong>zelnen<br />
Schritte s<strong>in</strong>d die Kontaktaufnahme des VPN-Clients mit dem VPN-Server, die<br />
Aushandlung der Bed<strong>in</strong>gungen für den VPN-Tunnel, das Erstellen des VPN-Tunnels, die<br />
Authentifizierung für den Remotezugriff und die Remotezugriffsautorisierung.<br />
Um e<strong>in</strong>e Problembehandlung für e<strong>in</strong>e DirectAccess-Verb<strong>in</strong>dung durchführen zu können,<br />
müssen Sie wissen, welche Voraussetzungen für e<strong>in</strong>e DirectAccess-Infrastruktur erfüllt<br />
se<strong>in</strong> müssen und welche Schritte beim Aufbau e<strong>in</strong>er solchen Verb<strong>in</strong>dung ablaufen. Die<br />
e<strong>in</strong>zelnen Schritte s<strong>in</strong>d die Kontaktaufnahme des DirectAccess-Clients mit dem Netzwerkadressenserver,<br />
die Kontaktaufnahme des DirectAccess-Clients mit dem Direct-<br />
Access-Server über IPv6, das Erstellen des IPSec-Tunnels zum DirectAccess-Server<br />
durch den Client und die Autorisierung des Clients für den Remotezugriff durch den<br />
Server.<br />
Schlüsselbegriffe<br />
Wissen Sie, was die folgenden Schlüsselbegriffe bedeuten? Sie können Ihre Antworten überprüfen,<br />
<strong>in</strong>dem Sie die Begriffe im Glossar am Ende dieses Buchs nachschlagen.<br />
Tunnel<br />
Datenauthentifizierung<br />
VPN-Reconnect
2<strong>70</strong> Kapitel 6: Konfigurieren und Problembehandlung von Remotezugriffsverb<strong>in</strong>dungen<br />
Übungen mit Fallbeispiel<br />
In den folgenden Fallbeispielen wenden Sie an, was Sie über die Problembehandlung von<br />
Remotezugriffsverb<strong>in</strong>dungen gelernt haben. Die Lösungen zu den Fragen f<strong>in</strong>den Sie im<br />
Abschnitt »Antworten« h<strong>in</strong>ten <strong>in</strong> diesem Buch.<br />
Übung mit Fallbeispiel 1: Problembehandlung für e<strong>in</strong> Remotezugriff-VPN<br />
Sie arbeiten als Desktopsupporttechniker für e<strong>in</strong> <strong>Unternehmen</strong>, dessen Netzwerk 600 <strong>W<strong>in</strong>dows</strong><br />
7-Clients und 30 Server umfasst, die unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2 laufen. Ihre<br />
Netzwerk<strong>in</strong>frastruktur enthält e<strong>in</strong> L2TP/IPSec-VPN, das die Angestellten nutzen, um von<br />
anderen Orten aus auf das <strong>Unternehmen</strong>s<strong>in</strong>tranet zuzugreifen. Der VPN-Server führt RRAS<br />
aus, und die Authentifizierung wird mithilfe e<strong>in</strong>es vor<strong>in</strong>stallierten Schlüssels abgewickelt.<br />
Das <strong>Unternehmen</strong>snetzwerk implementiert ke<strong>in</strong>e eigene PKI, weder auf den VPN-Clients<br />
noch auf dem VPN-Server s<strong>in</strong>d Computerzertifikate <strong>in</strong>stalliert.<br />
Beim Helpdesk beschweren sich viele Mitarbeiter über den VPN-Zugriff. Remotebenutzer<br />
klagen, dass der Aufbau der VPN-Verb<strong>in</strong>dung zu lange dauert und dass die Verb<strong>in</strong>dung häufig<br />
unterbrochen wird, wenn sie sich von e<strong>in</strong>em Drahtloszugriffspunkt zu e<strong>in</strong>em anderen bewegen.<br />
Außerdem beschweren sich viele Benutzer, dass es nicht gel<strong>in</strong>gt, e<strong>in</strong>e Verb<strong>in</strong>dung zum<br />
<strong>Unternehmen</strong>snetzwerk aufzubauen, wenn sie ihren Computer <strong>in</strong> e<strong>in</strong>em Netzwerk verwenden,<br />
das NAT-Geräte oder Firewalls e<strong>in</strong>setzt. Ihre Chef<strong>in</strong> bittet Sie, die Lage zu prüfen und<br />
ihr folgende Fragen zu beantworten:<br />
1. Welche technischen Maßnahmen lassen sich treffen, um die Probleme mit der VPN-<br />
Leistung zu beseitigen? Gehen Sie davon aus, dass bei allen <strong>W<strong>in</strong>dows</strong> 7-Clients für die<br />
VPN-Verb<strong>in</strong>dung als Sicherheitse<strong>in</strong>stellung die Option Automatisch (Standardwert)<br />
konfiguriert ist.<br />
2. Welche technischen Maßnahmen s<strong>in</strong>d möglich, damit Benutzer e<strong>in</strong>e VPN-Verb<strong>in</strong>dung<br />
aufbauen können, auch wenn sie h<strong>in</strong>ter NAT-Geräten oder Firewalls e<strong>in</strong>es Remotenetzwerks<br />
arbeiten?<br />
Übung mit Fallbeispiel 2: Problembehandlung für DirectAccess<br />
Sie arbeiten als <strong>Support</strong>techniker für Contoso, e<strong>in</strong> großes Pharmaunternehmen mit über 2.000<br />
Angestellten. Viele Mitarbeiter nehmen Notebooks auf ihre Dienstreisen mit, und Ihre IT-<br />
Abteilung hat DirectAccess implementiert, damit sich die Computer dieser Benutzer automatisch<br />
mit dem <strong>Unternehmen</strong>snetzwerk verb<strong>in</strong>den, wenn sie außerhalb des Firmengeländes<br />
unterwegs s<strong>in</strong>d. Das <strong>Unternehmen</strong> bietet ke<strong>in</strong>en anderen VPN-Zugriff mehr an.<br />
Im Lauf e<strong>in</strong>es Tages bekommen Sie folgende Anrufe vom Helpdesk, weil Probleme mit den<br />
DirectAccess-Verb<strong>in</strong>dungen auftreten:<br />
1. Der Helpdesk <strong>in</strong>formiert Sie, dass e<strong>in</strong> Benutzer von e<strong>in</strong>em öffentlichen WLAN-Hotspot<br />
aus ke<strong>in</strong>e Verb<strong>in</strong>dung zum <strong>Unternehmen</strong>s<strong>in</strong>tranet herstellen kann. Die Helpdeskmitarbeiter<br />
haben bereits festgestellt, dass dem Benutzer nur die IPv4-Adresse 192.168.0.110<br />
zugewiesen ist und die e<strong>in</strong>zige IPv6-Adresse se<strong>in</strong>es Computers mit »fe80::« beg<strong>in</strong>nt.<br />
Sie wollen es dem Computer dieses Benutzers ermöglichen, e<strong>in</strong>e Verb<strong>in</strong>dung zum Direct-<br />
Access-Server herzustellen. Welche IPv6-Schnittstelle oder Übergangstechnologie auf<br />
dem Client sollten Sie zuerst konfigurieren, <strong>in</strong>dem Sie die erste öffentliche IPv4-Adresse<br />
des DirectAccess-Servers e<strong>in</strong>tragen, und warum?
Vorgeschlagene Übungen 271<br />
2. Später ruft der Helpdesk erneut an. E<strong>in</strong> anderer Remotebenutzer kann ke<strong>in</strong>e DirectAccess-<br />
Verb<strong>in</strong>dung zum <strong>Unternehmen</strong>snetzwerk aufbauen. In diesem Fall hat der Helpdesk<br />
herausgefunden, dass dem Benutzer nur die IPv4-Adresse 207.46.197.32 zugewiesen ist<br />
und se<strong>in</strong>e e<strong>in</strong>zige IPv6-Adresse mit »fe80::« beg<strong>in</strong>nt.<br />
Welche IPv6-Schnittstelle oder Übergangstechnologie auf dem Client sollten Sie zuerst<br />
konfigurieren, <strong>in</strong>dem Sie die erste öffentliche IPv4-Adresse des DirectAccess-Servers<br />
e<strong>in</strong>tragen, und warum?<br />
Vorgeschlagene Übungen<br />
Sie sollten die folgenden Aufgaben durcharbeiten, wenn Sie die <strong>in</strong> diesem Kapitel behandelten<br />
Prüfungsziele meistern wollen.<br />
Untersuchen und Beseitigen von Remotezugriffsproblemen<br />
Arbeiten Sie beide Übungen durch, um sich mit dem Remotezugriff <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 vertraut<br />
zu machen.<br />
Übung 1 Erstellen Sie e<strong>in</strong> IKEv2- oder SSTP-Remotezugriff-VPN. Richten Sie e<strong>in</strong>en<br />
VPN-Server e<strong>in</strong>, der unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2 läuft. Erstellen Sie auf e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong><br />
7-Computer e<strong>in</strong>e VPN-Verb<strong>in</strong>dung und versuchen Sie, über das Internet e<strong>in</strong>e Verb<strong>in</strong>dung<br />
zum VPN-Server aufzubauen.<br />
Übung 2 Stellen Sie e<strong>in</strong>en DirectAccess-Server bereit. Fügen Sie das Feature Direct-<br />
Access zu e<strong>in</strong>em Server h<strong>in</strong>zu, der unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2 läuft, und folgen Sie<br />
den Anweisungen, um alle Voraussetzungen bereitzustellen, die für DirectAccess benötigt<br />
werden, beispielsweise e<strong>in</strong>e PKI. S<strong>in</strong>d alle Anforderungen erfüllt, können Sie den Direct-<br />
Access-Setup-Assistenten ausführen.<br />
Machen Sie e<strong>in</strong>en Übungstest<br />
Die Übungstests (<strong>in</strong> englischer Sprache) auf der Begleit-CD zu diesem Buch bieten zahlreiche<br />
Möglichkeiten. Zum Beispiel können Sie e<strong>in</strong>en Test machen, der ausschließlich die<br />
Themen aus e<strong>in</strong>em Prüfungslernziel behandelt, oder Sie können sich selbst mit dem gesamten<br />
Inhalt der Prüfung <strong>70</strong>-<strong>685</strong> testen. Sie können den Test so konfigurieren, dass er dem<br />
Ablauf e<strong>in</strong>er echten Prüfung entspricht, oder Sie können e<strong>in</strong>en Lernmodus verwenden, <strong>in</strong><br />
dem Sie sich nach dem Beantworten e<strong>in</strong>er Frage jeweils sofort die richtige Antwort und<br />
Erklärungen ansehen können.<br />
Weitere Informationen Übungstests<br />
E<strong>in</strong>zelheiten zu allen Optionen, die bei den Übungstests zur Verfügung stehen, f<strong>in</strong>den Sie im<br />
Abschnitt »So benutzen Sie die Übungstests« <strong>in</strong> der E<strong>in</strong>führung am Anfang dieses Buchs.
K A P I T E L 7<br />
Updates<br />
<strong>W<strong>in</strong>dows</strong> 7 wurde zwar mit dem Ziel entworfen, bereits <strong>in</strong> der Standarde<strong>in</strong>stellung Bedrohungen<br />
für die Sicherheit zu m<strong>in</strong>imieren, aber Angreifer entwickeln ständig neue Methoden.<br />
Um auf veränderte Gefahren zu reagieren, die Zuverlässigkeit von <strong>W<strong>in</strong>dows</strong> zu steigern und<br />
neue Hardware zu unterstützen, müssen Sie auf Ihren Clientcomputern Updates bereitstellen.<br />
Im Privatbereich und <strong>in</strong> kle<strong>in</strong>en Büros lädt <strong>W<strong>in</strong>dows</strong> automatisch die neuesten kritischen<br />
Updates von Microsoft herunter, sodass die Computer auf dem neuesten Stand bleiben, ohne<br />
dass dafür Verwaltungsaufwand notwendig ist. Dieser Ansatz eignet sich aber nicht für<br />
Großunternehmen, wo Tausende Computer verwaltet werden müssen. In großen Organisationen<br />
muss die IT-Abteilung Updates testen, um sicherzustellen, dass sie ke<strong>in</strong>e großflächigen<br />
Kompatibilitätsprobleme verursachen. Würde jeder Computer dasselbe Update über das<br />
Internet herunterladen, wäre das außerdem e<strong>in</strong>e Verschwendung von Bandbreite, was sogar<br />
die Netzwerkleistung verschlechtern könnte, wenn Microsoft umfangreiche Updates veröffentlicht.<br />
Dieses Kapitel beschreibt, wie Sie Updates für <strong>W<strong>in</strong>dows</strong> 7-Clientcomputer verwalten, testen<br />
und Probleme damit beseitigen.<br />
Prüfungslernziele <strong>in</strong> diesem Kapitel:<br />
Untersuchen und Beseitigen von Softwareupdateproblemen<br />
Lektion <strong>in</strong> diesem Kapitel:<br />
Lektion 1: Aktualisieren von Software ................................. 275<br />
Bevor Sie beg<strong>in</strong>nen<br />
Um die Übungen <strong>in</strong> diesem Kapitel durcharbeiten zu können, sollten Sie mit <strong>W<strong>in</strong>dows</strong> 7<br />
vertraut se<strong>in</strong> und folgende Aufgaben beherrschen:<br />
Installieren von <strong>W<strong>in</strong>dows</strong> 7<br />
E<strong>in</strong>en Computer hardwaremäßig an das Netzwerk anschließen<br />
Durchführen e<strong>in</strong>facher Verwaltungsaufgaben auf e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> Server 2008 R2-<br />
Domänencontroller<br />
273
274 Kapitel 7: Updates<br />
Praxistipp<br />
Tony Northrup<br />
Im Juli 2001 verbreitete sich der Wurm »Code Red« schnell über Microsoft IIS-Webserver<br />
(Internet Information Services) im gesamten Internet. Damals war ich Mitarbeiter<br />
e<strong>in</strong>es Teams, das Hunderte von IIS-Webservern verwaltete.<br />
Code Red nutzte e<strong>in</strong>e Sicherheitslücke, konkret e<strong>in</strong>en Pufferüberlauf <strong>in</strong> IIS auf Microsoft<br />
<strong>W<strong>in</strong>dows</strong> 2000 Server und Microsoft <strong>W<strong>in</strong>dows</strong> NT 4.0 aus. Etwa e<strong>in</strong>en Monat vorher<br />
hatte Microsoft e<strong>in</strong> Update herausgegeben, das die Sicherheitslücke schloss und verh<strong>in</strong>derte,<br />
dass Code Red e<strong>in</strong>en Webserver kompromittierte.<br />
Man sollte also davon ausgehen, dass me<strong>in</strong>e Server geschützt waren. Leider traf das nicht<br />
zu. Damals war es sehr schwierig, Updates bereitzustellen. Automatische Updates standen<br />
nicht zur Verfügung, und <strong>W<strong>in</strong>dows</strong> Server Update Services (WSUS) gab es noch nicht.<br />
Wir hatten die Infrastruktur e<strong>in</strong>es anderen Herstellers implementiert, um Updates automatisch<br />
zu <strong>in</strong>stallieren, aber sie verursachte häufig Fehler. Weil Updates praktisch immer<br />
erforderten, die Server neu zu starten (was Ausfallzeit bedeutet), mussten wir jedes<br />
Update <strong>in</strong> Abstimmung mit dem Kunden planen. Weil es so lange dauerte, Updates zu<br />
<strong>in</strong>stallieren, und weil Microsoft häufig Updates veröffentlichte, h<strong>in</strong>kten wir unserem<br />
Zeitplan bei der Updatebereitstellung Monate h<strong>in</strong>terher.<br />
Code Red <strong>in</strong>fizierte Hunderttausende IIS-Webserver, darunter auch e<strong>in</strong>ige Dutzend<br />
Server, die me<strong>in</strong>e Organisation verwaltete. Das Notfallteam musste mehrere Wochen lang<br />
Tag und Nacht arbeiten, um Schäden zu reparieren, die sich leicht hätten vermeiden lassen,<br />
wäre nur das Update rechtzeitig <strong>in</strong>stalliert worden. Der Vertrauensverlust <strong>in</strong> unsere<br />
Arbeit war gewaltig.<br />
Inzwischen hat Microsoft die Updateverwaltung viel effizienter gemacht. Es ist aber<br />
sogar noch wichtiger geworden, Updates zu <strong>in</strong>stallieren. Malwareautoren s<strong>in</strong>d raff<strong>in</strong>ierter<br />
geworden, und sobald e<strong>in</strong> Exploit e<strong>in</strong>mal e<strong>in</strong>gedrungen ist, kann es schwierig oder gar<br />
unmöglich se<strong>in</strong>, ihn zu entfernen. Aus diesem Grund ist dies für Ihre Arbeit das wichtigste<br />
Kapitel <strong>in</strong>nerhalb des Buchs.
Lektion 1: Aktualisieren von Software<br />
Lektion 1: Aktualisieren von Software 275<br />
Weil sich Sicherheitsbedrohungen ständig weiterentwickeln, muss Microsoft regelmäßig<br />
Updates für <strong>W<strong>in</strong>dows</strong> 7 und andere Microsoft-Software herausgeben. Diese Updates bereitzustellen<br />
und zu verwalten, s<strong>in</strong>d zwei der wichtigsten Sicherheitsaufgaben für e<strong>in</strong>e IT-Abteilung.<br />
Diese Lektion beschreibt die unterschiedlichen Techniken zum Bereitstellen von Updates für<br />
<strong>W<strong>in</strong>dows</strong> 7-Computer und erklärt, wie Sie Updates <strong>in</strong>stallieren und verwalten und Probleme<br />
im Zusammenhang mit Updates beseitigen.<br />
Am Ende dieser Lektion werden Sie <strong>in</strong> der Lage se<strong>in</strong>, die folgenden Aufgaben auszuführen:<br />
Auswählen e<strong>in</strong>er Bereitstellungstechnik zum Verteilen von Updates <strong>in</strong>nerhalb Ihrer<br />
Organisation<br />
Updates automatisch, von Hand und auf neuen Computern <strong>in</strong>stallieren<br />
Durchführen e<strong>in</strong>er Problembehandlung beim Installieren von Updates<br />
De<strong>in</strong>stallieren von Updates<br />
Veranschlagte Zeit für diese Lektion: 45 M<strong>in</strong>uten<br />
Methoden für die Bereitstellung von Updates<br />
Microsoft stellt mehrere Techniken zum Anwenden von Updates zur Verfügung:<br />
Direkt von Microsoft Bei Privatbenutzern und kle<strong>in</strong>en Firmen ist <strong>W<strong>in</strong>dows</strong> 7 so konfiguriert,<br />
dass es Updates automatisch direkt von Microsoft herunterlädt. Diese Methode<br />
eignet sich nur für kle<strong>in</strong>ere Netzwerke mit maximal 50 Computern.<br />
<strong>W<strong>in</strong>dows</strong> Server Update Services (WSUS) Mit WSUS können Adm<strong>in</strong>istratoren<br />
Updates genehmigen, bevor sie an die Computer im Intranet verteilt werden. Optional<br />
können Updates auch an e<strong>in</strong>em zentralen Ort im lokalen Netzwerk gespeichert und<br />
bereitgestellt werden, sodass der Internetverkehr zum Herunterladen von Updates<br />
verr<strong>in</strong>gert wird. Dieser Ansatz setzt voraus, dass m<strong>in</strong>destens e<strong>in</strong> Infrastrukturserver<br />
vorhanden ist.<br />
Microsoft Systems Center Configuration Manager 2007 (Configuration Manager<br />
2007) Als bevorzugte Methode für die Verteilung von Software und Updates <strong>in</strong> großen<br />
<strong>Unternehmen</strong>snetzwerken bietet Configuration Manager 2007 flexibel konfigurierbare,<br />
zentralisierte Kontrolle über die Bereitstellung von Updates und die Fähigkeit, die<br />
Clientsysteme zu überwachen und zu <strong>in</strong>ventarisieren. Configuration Manager 2007<br />
setzt normalerweise mehrere Infrastrukturserver voraus.<br />
Die folgenden Abschnitte beschreiben den <strong>W<strong>in</strong>dows</strong> Update-Client, WSUS und Configuration<br />
Manager 2007.<br />
<strong>W<strong>in</strong>dows</strong> Update-Client<br />
Unabhängig davon, ob Sie Updates von Microsoft oder über WSUS herunterladen, hat der<br />
<strong>W<strong>in</strong>dows</strong> Update-Client die Aufgabe, die Updates auf die <strong>W<strong>in</strong>dows</strong> 7- und <strong>W<strong>in</strong>dows</strong> Vista-<br />
Computer herunterzuladen und zu <strong>in</strong>stallieren. Der <strong>W<strong>in</strong>dows</strong> Update-Client ersetzt die<br />
Clientanwendung Automatische Updates aus älteren <strong>W<strong>in</strong>dows</strong>-Versionen. <strong>W<strong>in</strong>dows</strong> Update
276 Kapitel 7: Updates<br />
<strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 und Automatische Updates <strong>in</strong> älteren <strong>W<strong>in</strong>dows</strong>-Versionen funktionieren auf<br />
dieselbe Weise: Sie laden Updates von Microsoft oder e<strong>in</strong>em <strong>in</strong>ternen WSUS-Server herunter<br />
und <strong>in</strong>stallieren sie. Beide Clients <strong>in</strong>stallieren Updates zu geplanten Zeiten und starten den<br />
Computer bei Bedarf automatisch neu. Ist der Computer zu diesem Zeitpunkt ausgeschaltet,<br />
können die Updates <strong>in</strong>stalliert werden, sobald der Computer wieder angeschaltet wird. Stattdessen<br />
kann <strong>W<strong>in</strong>dows</strong> Update e<strong>in</strong>en Computer auch zum e<strong>in</strong>gestellten Zeitpunkt aus dem<br />
Standbymodus aufwecken und die Updates <strong>in</strong>stallieren, sofern die Computerhardware dies<br />
unterstützt.<br />
Das Verhalten des <strong>W<strong>in</strong>dows</strong> Update-Clients lässt sich flexibel steuern. Sie können e<strong>in</strong>zelne<br />
Computer mithilfe der Seite Systemsteuerung\System und Sicherheit\<strong>W<strong>in</strong>dows</strong> Update\E<strong>in</strong>stellungen<br />
ändern konfigurieren, wie im Abschnitt »Konfigurieren von <strong>W<strong>in</strong>dows</strong> Update <strong>in</strong><br />
der grafischen Benutzeroberfläche« weiter unten <strong>in</strong> dieser Lektion beschrieben. Netzwerke,<br />
die AD DS (Active Directory Doma<strong>in</strong> Services) verwenden, können die Konfiguration aller<br />
<strong>W<strong>in</strong>dows</strong> Update-Clients mithilfe von Gruppenrichtl<strong>in</strong>ien def<strong>in</strong>ieren, wie <strong>in</strong> »Konfigurieren<br />
von <strong>W<strong>in</strong>dows</strong> Update mit Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen« weiter unten <strong>in</strong> dieser Lektion<br />
beschrieben.<br />
Sobald der <strong>W<strong>in</strong>dows</strong> Update-Client Updates heruntergeladen hat, überprüft er die digitale<br />
Signatur und den SHA1-Hash (Secure Hash Algorithm) der Updates, um sicherzustellen,<br />
dass sie nicht manipuliert wurden, seit Microsoft sie signiert hat. Das verr<strong>in</strong>gert die Gefahr,<br />
dass e<strong>in</strong> Angreifer Malware erstellt, die sich als Update tarnt, oder e<strong>in</strong> echtes Update manipuliert,<br />
<strong>in</strong>dem er Schadcode e<strong>in</strong>schleust.<br />
<strong>W<strong>in</strong>dows</strong> Server Update Services<br />
<strong>W<strong>in</strong>dows</strong> Server Update Services (WSUS) ist e<strong>in</strong>e Version des Microsoft Update-Dienstes,<br />
die Sie <strong>in</strong> Ihrem privaten Netzwerk betreiben können. WSUS stellt e<strong>in</strong>e Verb<strong>in</strong>dung zur<br />
Microsoft Update-Site her, lädt Informationen über verfügbare Updates herunter und fügt sie<br />
zu e<strong>in</strong>er Liste der Updates h<strong>in</strong>zu, die von Adm<strong>in</strong>istratoren genehmigt werden müssen.<br />
Wenn e<strong>in</strong> Adm<strong>in</strong>istrator diese Updates genehmigt und ihnen e<strong>in</strong>e Prioritätsstufe zugewiesen<br />
hat, macht WSUS sie automatisch für alle Computer verfügbar, die <strong>W<strong>in</strong>dows</strong> Update ausführen<br />
(oder den Client Automatische Updates auf älteren <strong>W<strong>in</strong>dows</strong>-Versionen). Wenn<br />
<strong>W<strong>in</strong>dows</strong> Update richtig konfiguriert ist, prüft es den WSUS-Server und lädt automatisch<br />
die von den Adm<strong>in</strong>istratoren konfigurierten Updates herunter und <strong>in</strong>stalliert sie. Wie <strong>in</strong><br />
Abbildung 7.1 gezeigt, können Sie WSUS über mehrere Server und Standorte verteilen,<br />
wenn es die Skalierung <strong>in</strong> großen <strong>Unternehmen</strong> erfordert. WSUS erfüllt die Anforderungen<br />
von mittelgroßen und vielen großen Organisationen.<br />
Sie müssen WSUS auf m<strong>in</strong>destens e<strong>in</strong>em Infrastrukturserver <strong>in</strong>stallieren, beispielsweise auf<br />
e<strong>in</strong>em Computer, der unter <strong>W<strong>in</strong>dows</strong> Server 2003, <strong>W<strong>in</strong>dows</strong> Server 2008 oder <strong>W<strong>in</strong>dows</strong><br />
Server 2008 R2 läuft. Um Updates auf <strong>W<strong>in</strong>dows</strong> 7-Computern bereitzustellen, müssen Sie<br />
auf Ihrem Server die Version WSUS 3.0 SP2 oder neuer <strong>in</strong>stallieren.<br />
Weitere Informationen WSUS<br />
Weitere Informationen über die Updateverwaltung mit WSUS f<strong>in</strong>den Sie unter http://www.<br />
microsoft.com/wsus/.
Lektion 1: Aktualisieren von Software 277<br />
Abbildung 7.1 WSUS kann so skaliert werden, dass es Tausende von Computern unterstützt<br />
Configuration Manager 2007<br />
Configuration Manager 2007 ist e<strong>in</strong> Tool, mit dem Sie Software <strong>in</strong> <strong>Unternehmen</strong>sumgebungen<br />
effizient verwalten, verteilen und <strong>in</strong>ventarisieren können. WSUS erfüllt zwar die Anforderungen<br />
mittelgroßer Organisationen, aber Configuration Manager 2007 kann WSUS <strong>in</strong><br />
großen Organisationen ergänzen, die Hunderte oder Tausende von Computern verwalten.<br />
Prüfungstipp<br />
Sie brauchen für die Prüfung garantiert nicht zu wissen, wie Sie Configuration Manager<br />
2007 bedienen, aber es schadet nicht, wenn Sie sich damit vertraut machen. Weitere Informationen<br />
über Configuration Manager 2007 f<strong>in</strong>den Sie auf der Configuration Manager<br />
2007-Website unter http://www.microsoft.com/sccm.<br />
Kompatibilität von Updates prüfen<br />
Microsoft führt bei allen Updates diverse Kompatibilitätstests durch. Kritische Updates<br />
(kle<strong>in</strong>e Updates, die e<strong>in</strong> e<strong>in</strong>zelnes Problem beseitigen) werden am flüchtigsten getestet, weil<br />
es sehr viele davon gibt und sie schnell bereitgestellt werden müssen. Service Packs (große<br />
Updates, <strong>in</strong> denen viele Korrekturen für Probleme zusammengefasst s<strong>in</strong>d, die vorher <strong>in</strong><br />
unterschiedlichen kritischen Updates beseitigt wurden) werden viel ausführlicher getestet,<br />
weil sie nur selten veröffentlicht werden.<br />
Unabhängig davon, ob Sie kritische Updates oder e<strong>in</strong> Service Pack bereitstellen wollen,<br />
können Sie die Gefahr e<strong>in</strong>er Anwendungs<strong>in</strong>kompatibilität dadurch senken, dass Sie die<br />
Updates <strong>in</strong> e<strong>in</strong>er Testumgebung untersuchen. Die meisten Großunternehmen haben e<strong>in</strong>e<br />
Qualitätssicherungsabteilung (Quality Assurance, QA), die e<strong>in</strong>e Testumgebung mit Computern<br />
betreibt, die <strong>in</strong> den Standardkonfigurationen e<strong>in</strong>gerichtet s<strong>in</strong>d und die im <strong>Unternehmen</strong><br />
e<strong>in</strong>gesetzten Anwendungen ausführen. Bevor die QA-Abteilung die Bereitstellung e<strong>in</strong>es
278 Kapitel 7: Updates<br />
Updates <strong>in</strong> der Organisation genehmigt, <strong>in</strong>stalliert sie dieses Update auf den Testcomputern<br />
und prüft, ob wichtige Anwendungsfunktionen noch funktionieren, nachdem das Update<br />
<strong>in</strong>stalliert wurde.<br />
Welchen Aufwand Sie auch immer zum Testen von Updates vor der Bereitstellung betreiben,<br />
sollten Sie Updates grundsätzlich erst e<strong>in</strong>mal auf Pilotgruppen mit wenigen Computern <strong>in</strong>stallieren,<br />
bevor Sie diese Updates <strong>in</strong> der gesamten Organisation verteilen. E<strong>in</strong>e Pilotgruppe<br />
ist e<strong>in</strong> kle<strong>in</strong>er Ausschnitt der Computer <strong>in</strong> Ihrer Organisation, auf denen e<strong>in</strong> Update e<strong>in</strong>gespielt<br />
wird, bevor es allgeme<strong>in</strong> bereitgestellt wird. Im Idealfall bef<strong>in</strong>den sich Pilotgruppen <strong>in</strong><br />
e<strong>in</strong>er Abteilung mit gutem IT-<strong>Support</strong> und Benutzern, die sich gut mit Computern auskennen.<br />
Verursacht e<strong>in</strong> Update e<strong>in</strong> Problem im Bereich der Anwendungskompatibilität, ist die Wahrsche<strong>in</strong>lichkeit<br />
hoch, dass die Pilotgruppe diese Inkompatibilität erkennt, bevor mehr Benutzer<br />
davon betroffen s<strong>in</strong>d.<br />
Wenn Sie Updates mithilfe von WSUS bereitstellen, können Sie e<strong>in</strong>e Pilotgruppe e<strong>in</strong>richten,<br />
<strong>in</strong>dem Sie e<strong>in</strong>e Computergruppe namens Pilotbereitstellung anlegen und Computer zu dieser<br />
Gruppe h<strong>in</strong>zufügen. Genehmigen Sie dann Updates erst e<strong>in</strong>mal nur für die Gruppe Pilotbereitstellung,<br />
bevor die übrige Organisation folgt.<br />
Prüfungstipp<br />
Die Prüfung konzentriert sich auf <strong>W<strong>in</strong>dows</strong> 7, und WSUS läuft nur auf <strong>W<strong>in</strong>dows</strong> Server-<br />
Versionen. Daher brauchen Sie für die Prüfung wahrsche<strong>in</strong>lich nicht im E<strong>in</strong>zelnen zu wissen,<br />
wie Sie Updates mit WSUS bereitstellen. Aus diesem Grund beschreibt diese Lektion WSUS<br />
nur oberflächlich.<br />
Übung 2 am Ende dieser Lektion beschreibt genau, wie Sie WSUS auf e<strong>in</strong>em Computer<br />
<strong>in</strong>stallieren, der unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2 läuft, Updates von Microsoft synchronisieren<br />
und Updates genehmigen. Übung 2 müsste Ihnen genug Erfahrung mit WSUS verschaffen,<br />
um die Prüfung zu bestehen. Nachdem Sie die Übung durchgearbeitet haben, sollten Sie<br />
aber Ihre Kenntnisse zu WSUS vertiefen, <strong>in</strong>dem Sie sich <strong>in</strong> alle Funktionen der Software<br />
e<strong>in</strong>arbeiten und unter anderem lernen, wie Sie e<strong>in</strong>e Pilotgruppe mit ausgewählten Computern<br />
anlegen.<br />
Treten bei Benutzern Probleme auf, bei denen Sie den Verdacht haben, dass sie durch e<strong>in</strong><br />
Update verursacht werden, können Sie <strong>in</strong> der Zuverlässigkeitsüberwachung herausf<strong>in</strong>den,<br />
welche Updates für das Problem verantwortlich se<strong>in</strong> könnten. Informationen über die Benutzung<br />
der Zuverlässigkeitsüberwachung f<strong>in</strong>den Sie <strong>in</strong> Kapitel 1, »Beseitigen von Hardwarefehlern«.<br />
Installieren von Updates<br />
Im Idealfall stellen Sie neue Computer bereit, auf denen bereits alle aktuellen Updates<br />
<strong>in</strong>stalliert s<strong>in</strong>d. Nach der Bereitstellung können Sie Updates von Hand <strong>in</strong>stallieren, aber es<br />
ist viel effizienter, wenn Sie e<strong>in</strong>e automatische Bereitstellungstechnik e<strong>in</strong>setzen. In Fällen,<br />
wo Sie vollständige Kontrolle über die Update<strong>in</strong>stallation brauchen, aber trotzdem e<strong>in</strong>e<br />
automatisierte Methode verwenden müssen, können Sie Skriptupdate<strong>in</strong>stallationen e<strong>in</strong>setzen.
Lektion 1: Aktualisieren von Software 279<br />
Die folgenden Abschnitte beschreiben, wie Sie Updates <strong>in</strong> neue Computer e<strong>in</strong>spielen,<br />
Updates von Hand <strong>in</strong>stallieren, Updates automatisch <strong>in</strong>stallieren und die Installation von<br />
Updates mit e<strong>in</strong>em Skript steuern.<br />
Anwenden von Updates auf neue Computer<br />
Wenn Sie neue Computer bereitstellen, sollten Sie dabei gleich so viele aktuelle Updates wie<br />
möglich e<strong>in</strong>spielen. <strong>W<strong>in</strong>dows</strong> 7 sucht zwar sofort nach Updates, wenn es zum ersten Mal<br />
gestartet wird (statt bis zum geplanten Zeitpunkt für die automatischen Updates zu warten),<br />
aber es könnte Stunden dauern, bis <strong>W<strong>in</strong>dows</strong> alle Updates heruntergeladen und <strong>in</strong>stalliert<br />
hat. Werden Updates <strong>in</strong> neue Computer e<strong>in</strong>gespielt, verbessert das die Sicherheit dieser<br />
Computer, sobald sie zum ersten Mal gestartet werden. Somit verr<strong>in</strong>gern Sie die Gefahr,<br />
dass e<strong>in</strong>e bereits behobene Sicherheitslücke ausgenützt wird, bevor das entsprechende<br />
Update angewendet wurde.<br />
Sie können die folgenden Techniken nutzen, um Updates auf neue Computer anzuwenden<br />
(<strong>in</strong> der Reihenfolge von sehr sicher bis am wenigsten sicher):<br />
Integrieren von Updates <strong>in</strong> die <strong>W<strong>in</strong>dows</strong> 7-Setupdateien Wenn Sie e<strong>in</strong>e automatische<br />
Bereitstellungstechnologie e<strong>in</strong>setzen, zum Beispiel das Microsoft Deployment<br />
Toolkit (MDT) 2010, können Sie sicherstellen, dass Updates schon bei der Installation<br />
von <strong>W<strong>in</strong>dows</strong> 7 vorhanden s<strong>in</strong>d. Dazu spielen Sie alle Updates auf e<strong>in</strong>em Testcomputer<br />
e<strong>in</strong> und erstellen dann mit <strong>W<strong>in</strong>dows</strong> PE und dem Tool XImage e<strong>in</strong> Betriebssystemabbild<br />
(e<strong>in</strong>e .wim-Datei), das Sie auf neuen Computern bereitstellen.<br />
Weitere Informationen MDT 2010<br />
Weitere Informationen über MDT f<strong>in</strong>den Sie unter http://www.microsoft.com/mdt.<br />
Updates automatisch während des Setups <strong>in</strong>stallieren Mithilfe von Skripts können<br />
Sie Updates automatisch während des Setups <strong>in</strong>stallieren. Ideal wäre es, wenn Sie die<br />
Updatedateien mit Ihrem <strong>W<strong>in</strong>dows</strong> 7-Installationsmedium oder auf dem Distributionsserver<br />
verteilen. Sie können mit MDT Updates für die Installation während des Setups<br />
konfigurieren oder Updates mit e<strong>in</strong>er der folgenden Techniken von Hand konfigurieren:<br />
Fügen Sie im <strong>W<strong>in</strong>dows</strong>-Systemabbild-Manager e<strong>in</strong>en RunSynchronous-Befehl <strong>in</strong> die<br />
Antwortdatei Ihres <strong>W<strong>in</strong>dows</strong> 7-Abbilds e<strong>in</strong>. RunSynchronous-Befehle stehen <strong>in</strong> den<br />
Features -Microsoft-<strong>W<strong>in</strong>dows</strong>-Setup, -Microsoft-<strong>W<strong>in</strong>dows</strong>-Deployment<br />
und -Microsoft-<strong>W<strong>in</strong>dows</strong>-Shell-Setup zur Verfügung. E<strong>in</strong>e ausführliche<br />
Anleitung enthält »Add a Custom Command to an Answer File« unter http://technet.<br />
microsoft.com/library/dd799295.aspx. Wie Sie Updates mithilfe e<strong>in</strong>es Skripts <strong>in</strong>stallieren,<br />
ist <strong>in</strong> »Updates mithilfe von Skripts <strong>in</strong>stallieren« weiter unten <strong>in</strong> dieser Lektion<br />
erklärt.<br />
Bearbeiten Sie die Datei %W<strong>in</strong>Dir%\Setup\Scripts\SetupComplete.cmd <strong>in</strong> Ihrem<br />
<strong>W<strong>in</strong>dows</strong> 7-Abbild. <strong>W<strong>in</strong>dows</strong> 7 führt alle Befehle <strong>in</strong> dieser Datei aus, sobald das<br />
<strong>W<strong>in</strong>dows</strong>-Setup abgeschlossen ist. Befehle <strong>in</strong> der Datei SetupComplete.cmd werden<br />
mit Privilegien des lokalen Systems ausgeführt, und die Aktionen werden <strong>in</strong> der Datei<br />
SetupAct.log protokolliert. Es ist nicht möglich, das System neu zu starten und Setup-<br />
Complete.cmd dann fortzusetzen. Daher müssen Sie alle Updates <strong>in</strong> e<strong>in</strong>em e<strong>in</strong>zigen<br />
Durchgang <strong>in</strong>stallieren.
280 Kapitel 7: Updates<br />
Fügen Sie das Updatepaket zur Distributionsfreigabe oder Antwortdatei h<strong>in</strong>zu. Weitere<br />
Informationen f<strong>in</strong>den Sie <strong>in</strong> »Add Applications, Drivers, Packages, Files, and<br />
Folders« unter http://technet.microsoft.com/library/dd744568.aspx.<br />
Updates von Wechseldatenträgern manuell <strong>in</strong>stallieren Sie können die Gefahr, dass<br />
e<strong>in</strong> neuer Computer vor der Installation von Updates angegriffen wird, sehr gut dadurch<br />
m<strong>in</strong>imieren, dass Sie den Computer bereitstellen, während er nicht mit dem Netzwerk<br />
verbunden ist. Dafür verwenden Sie e<strong>in</strong>en Wechseldatenträger. Wenn Sie diesen Ansatz<br />
wählen, sollten Sie auch Updates von Wechseldatenträgern <strong>in</strong>stallieren, bevor Sie den<br />
Computer mit ungeschützten Netzwerken verb<strong>in</strong>den.<br />
Anwenden von Updates auf neue Computer mithilfe von WSUS Sobald <strong>W<strong>in</strong>dows</strong> 7<br />
zum ersten Mal startet, versucht es sofort, Updates herunterzuladen. (Es wartet also nicht<br />
bis zum nächsten Zeitpunkt, für den die automatische Ausführung von <strong>W<strong>in</strong>dows</strong> Update<br />
geplant ist.) Selbst mit den Standarde<strong>in</strong>stellungen laufen neue Computer also nur kurze<br />
Zeit ohne Updates. Um diese Spanne noch weiter zu verkürzen, können Sie Ihre WSUS-<br />
Adm<strong>in</strong>istratoren bitten, die kritischsten Updates mit e<strong>in</strong>em Zeitlimit zu konfigurieren.<br />
Das Zeitlimit zw<strong>in</strong>gt neue Computer, die Updates herunterzuladen, die kritischen Updates<br />
zu <strong>in</strong>stallieren und dann sofort neu zu starten, damit die Updates angewendet<br />
werden.<br />
Updates von Hand <strong>in</strong>stallieren<br />
In älteren Versionen von Microsoft <strong>W<strong>in</strong>dows</strong> konnten Sie Updates anwenden, <strong>in</strong>dem Sie die<br />
Website http://w<strong>in</strong>dowsupdate.com besuchten. In <strong>W<strong>in</strong>dows</strong> 7 müssen Sie folgendermaßen<br />
vorgehen:<br />
1. Klicken Sie im Startmenü auf Alle Programme und dann auf <strong>W<strong>in</strong>dows</strong> Update.<br />
2. Das Fenster <strong>W<strong>in</strong>dows</strong> Update wird geöffnet. Klicken Sie auf den L<strong>in</strong>k Nach Updates<br />
suchen.<br />
Abbildung 7.2 Mit dem Tool <strong>W<strong>in</strong>dows</strong> Update prüfen, ob Updates vorhanden s<strong>in</strong>d
Lektion 1: Aktualisieren von Software 281<br />
3. Falls irgendwelche Updates zur Verfügung stehen, können Sie auf Updates <strong>in</strong>stallieren<br />
klicken (Abbildung 7.2). Wenn Sie optionale Updates <strong>in</strong>stallieren wollen, müssen Sie<br />
auf Verfügbare Updates anzeigen klicken.<br />
Falls e<strong>in</strong> Update nicht <strong>in</strong> der Liste ersche<strong>in</strong>t, wurde es möglicherweise ausgeblendet. Das<br />
können Sie korrigieren, <strong>in</strong>dem Sie im Fenster <strong>W<strong>in</strong>dows</strong> Update auf den L<strong>in</strong>k Ausgeblendete<br />
Updates anzeigen klicken.<br />
4. <strong>W<strong>in</strong>dows</strong> Update lädt die verfügbaren Updates herunter und <strong>in</strong>stalliert sie.<br />
5. Starten Sie den Computer bei Bedarf neu, <strong>in</strong>dem Sie auf Jetzt neu starten klicken.<br />
Falls Sie den Computer nicht sofort neu starten, fordert <strong>W<strong>in</strong>dows</strong> Update den Benutzer regelmäßig<br />
auf, den Computer neu zu starten. Der Benutzer kann diesen Vorgang maximal 4 Stunden<br />
lang verschieben. Es s<strong>in</strong>d ke<strong>in</strong>e adm<strong>in</strong>istrativen Anmelde<strong>in</strong>formationen erforderlich, um<br />
Updates zu <strong>in</strong>stallieren.<br />
Updates automatisch <strong>in</strong>stallieren<br />
Sie können das automatische Anwenden von Updates entweder mithilfe grafischer, <strong>in</strong>teraktiver<br />
Tools oder über Gruppenrichtl<strong>in</strong>ien konfigurieren. Die folgenden Abschnitte beschreiben<br />
diese beiden Techniken.<br />
Konfigurieren von <strong>W<strong>in</strong>dows</strong> Update <strong>in</strong> der grafischen Benutzeroberfläche<br />
Bei e<strong>in</strong>em <strong>in</strong>teraktiven Setup fordert <strong>W<strong>in</strong>dows</strong> 7 den Benutzer auf, Updatee<strong>in</strong>stellungen<br />
auszuwählen. Setup empfiehlt, automatische Updates zu aktivieren. Gehen Sie folgendermaßen<br />
vor, um automatische Updates auf e<strong>in</strong>em Computer von Hand zu konfigurieren (dazu<br />
s<strong>in</strong>d adm<strong>in</strong>istrative Privilegien erforderlich):<br />
1. Klicken Sie im Startmenü auf Systemsteuerung.<br />
2. Klicken Sie auf den L<strong>in</strong>k System und Sicherheit.<br />
3. Klicken Sie unter <strong>W<strong>in</strong>dows</strong> Update auf den L<strong>in</strong>k Automatische Updates aktivieren oder<br />
deaktivieren.<br />
4. Passen Sie die E<strong>in</strong>stellungen wie gewünscht an. Sie können hier festlegen, ob Updates<br />
automatisch <strong>in</strong>stalliert werden und wann dies durchgeführt werden soll. Klicken Sie<br />
anschließend auf OK.<br />
Konfigurieren von <strong>W<strong>in</strong>dows</strong> Update mit Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen<br />
Sie können die E<strong>in</strong>stellungen für den <strong>W<strong>in</strong>dows</strong> Update-Client über lokale oder Domänengruppenrichtl<strong>in</strong>ien<br />
konfigurieren. Das ist nützlich, wenn Sie folgende Aufgaben durchführen<br />
wollen:<br />
Computer so konfigurieren, dass sie e<strong>in</strong>en lokalen WSUS-Server verwenden<br />
Die automatische Installation so konfigurieren, dass Updates zu e<strong>in</strong>er bestimmten<br />
Uhrzeit <strong>in</strong>stalliert werden<br />
Konfigurieren, wie oft nach Updates gesucht wird<br />
Konfigurieren von Updatebenachrichtigungen. Sie können zum Beispiel e<strong>in</strong>stellen, ob<br />
Standardbenutzer solche Benachrichtigungen erhalten.
282 Kapitel 7: Updates<br />
Konfigurieren von Clientcomputern als Teil e<strong>in</strong>er WSUS-Zielgruppe. Solche Gruppen<br />
machen es möglich, für unterschiedliche Computergruppen jeweils andere Updates<br />
bereitzustellen.<br />
<strong>W<strong>in</strong>dows</strong> Update-E<strong>in</strong>stellungen liegen im Knoten Computerkonfiguration\Adm<strong>in</strong>istrative<br />
Vorlagen\<strong>W<strong>in</strong>dows</strong>-Komponenten\<strong>W<strong>in</strong>dows</strong> Update. Für <strong>W<strong>in</strong>dows</strong> Update stehen unter<br />
anderem folgende Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen zur Verfügung:<br />
Automatische Updates konfigurieren Legt fest, ob Clientcomputer Sicherheitsupdates<br />
und andere wichtige Downloads über den <strong>W<strong>in</strong>dows</strong> Update-Dienst erhalten.<br />
Mit dieser E<strong>in</strong>stellung steuern Sie auch, ob die Updates automatisch <strong>in</strong>stalliert werden<br />
und zu welcher Uhrzeit.<br />
Internen Pfad für den Microsoft Updatedienst angeben Gibt die Adresse Ihres<br />
WSUS-Servers an.<br />
Suchhäufigkeit für automatische Updates Legt fest, wie oft der <strong>W<strong>in</strong>dows</strong> Update-<br />
Client nach neuen Updates sucht. In der Standarde<strong>in</strong>stellung ist dies e<strong>in</strong> zufälliges Intervall<br />
zwischen 17 und 22 Stunden.<br />
Nichtadm<strong>in</strong>istratoren gestatten, Updatebenachrichtigungen zu erhalten Legt fest,<br />
ob alle Benutzer oder nur Adm<strong>in</strong>istratoren Benachrichtigungen über verfügbare Updates<br />
erhalten (Abbildung 7.3). Nichtadm<strong>in</strong>istratoren können Updates über den <strong>W<strong>in</strong>dows</strong><br />
Update-Client <strong>in</strong>stallieren.<br />
Abbildung 7.3 Benutzer werden benachrichtigt, wenn Updates verfügbar s<strong>in</strong>d<br />
Automatische Updates sofort <strong>in</strong>stallieren Legt fest, ob <strong>W<strong>in</strong>dows</strong> Update alle<br />
Updates, bei denen der Computer nicht neu gestartet werden muss, sofort <strong>in</strong>stalliert.<br />
Empfohlene Updates über automatische Updates aktivieren Legt fest, ob Clientcomputer<br />
sowohl kritische als auch empfohlene Updates <strong>in</strong>stallieren. Zu den empfohlenen<br />
Updates gehören oft auch aktualisierte Treiber.<br />
Ke<strong>in</strong>en automatischen Neustart für geplante Installationen automatischer Updates<br />
durchführen, wenn Benutzer angemeldet s<strong>in</strong>d Wenn <strong>W<strong>in</strong>dows</strong> Update den Computer<br />
neu starten muss, um e<strong>in</strong>e geplante Installation abzuschließen, legt diese E<strong>in</strong>stellung<br />
fest, ob gewartet wird, bis der Computer von e<strong>in</strong>em angemeldeten Benutzer neu gestartet<br />
wird oder ob der Computer automatisch neu gestartet wird.<br />
Erneut zu e<strong>in</strong>em Neustart für geplante Installationen auffordern Legt fest, wie oft<br />
der <strong>W<strong>in</strong>dows</strong> Update-Client den Benutzer er<strong>in</strong>nert, dass e<strong>in</strong> Neustart erforderlich ist.<br />
Abhängig von anderen Konfigurationse<strong>in</strong>stellungen haben Benutzer unter Umständen<br />
die Möglichkeit, e<strong>in</strong>en geplanten Neustart zu verschieben. Der <strong>W<strong>in</strong>dows</strong> Update-Client<br />
er<strong>in</strong>nert sie dann aber <strong>in</strong> regelmäßigen Abständen, deren Intervall <strong>in</strong> dieser E<strong>in</strong>stellung<br />
festgelegt wird.<br />
Neustart für geplante Installationen verzögern Legt fest, wie lange der <strong>W<strong>in</strong>dows</strong><br />
Update-Client wartet, bevor er e<strong>in</strong>en automatischen Neustart ausführt.
Lektion 1: Aktualisieren von Software 283<br />
Zeitplan für geplante Installationen neu erstellen Legt fest, wie lange <strong>W<strong>in</strong>dows</strong><br />
Update nach dem Systemstart wartet, bevor es e<strong>in</strong>e geplante Installation fortsetzt, die<br />
vorher versäumt wurde. Wenn Sie hier ke<strong>in</strong>en Zeitraum e<strong>in</strong>tragen, wird e<strong>in</strong>e versäumte<br />
Installation 1 M<strong>in</strong>ute nach dem nächsten Start des Computers fortgesetzt.<br />
Clientseitige Zielzuordnung aktivieren Legt fest, bei welcher Gruppe der Computer<br />
Mitglied ist.<br />
<strong>W<strong>in</strong>dows</strong> Update-Energieverwaltung aktivieren, um das System zur Installation<br />
von geplanten Updates automatisch zu reaktivieren Schalten die Angestellten <strong>in</strong><br />
Ihrer Organisation ihre Computer normalerweise aus, wenn sie ihr Büro verlassen, können<br />
Sie diese E<strong>in</strong>stellung aktivieren, damit Computer, deren Hardware diese Fähigkeit<br />
unterstützt, zum vorgesehenen Zeitpunkt automatisch aufgeweckt werden, um Updates<br />
zu <strong>in</strong>stallieren. Computer werden nur dann aufgeweckt, wenn e<strong>in</strong> Update für die Installation<br />
bereitsteht. Wenn der Computer im Akkubetrieb läuft, kehrt er nach 2 M<strong>in</strong>uten automatisch<br />
<strong>in</strong> den Standbymodus zurück.<br />
Zusätzlich s<strong>in</strong>d die beiden folgenden E<strong>in</strong>stellungen im selben Knoten verfügbar, und zwar<br />
sowohl unter Benutzerkonfiguration als auch unter Computerkonfiguration (Sie können diese<br />
E<strong>in</strong>stellung für jeden Benutzer <strong>in</strong>dividuell konfigurieren):<br />
Option "Updates <strong>in</strong>stallieren und herunterfahren" im Dialogfeld "<strong>W<strong>in</strong>dows</strong> herunterfahren"<br />
nicht anzeigen Legt fest, ob <strong>W<strong>in</strong>dows</strong> die Option Updates <strong>in</strong>stallieren<br />
und herunterfahren anzeigt.<br />
Die Standardoption "Updates <strong>in</strong>stallieren und herunterfahren" im Dialogfeld<br />
"<strong>W<strong>in</strong>dows</strong> herunterfahren" nicht anpassen Legt fest, ob <strong>W<strong>in</strong>dows</strong> die Standardoption<br />
zum Herunterfahren automatisch <strong>in</strong> Updates <strong>in</strong>stallieren und herunterfahren<br />
ändert, wenn <strong>W<strong>in</strong>dows</strong> Update darauf wartet, e<strong>in</strong> Update zu <strong>in</strong>stallieren.<br />
Und schließlich gibt es noch e<strong>in</strong>e re<strong>in</strong>e Benutzere<strong>in</strong>stellung im Knoten Benutzerkonfiguration\Adm<strong>in</strong>istrative<br />
Vorlagen\<strong>W<strong>in</strong>dows</strong>-Komponenten\<strong>W<strong>in</strong>dows</strong> Update:<br />
Zugriff auf alle <strong>W<strong>in</strong>dows</strong> Update-Funktionen entfernen Wenn diese E<strong>in</strong>stellung<br />
aktiviert ist, kann der Benutzer nicht auf die Benutzeroberfläche von <strong>W<strong>in</strong>dows</strong> Update<br />
zugreifen.<br />
Updates mithilfe von Skripts <strong>in</strong>stallieren<br />
<strong>W<strong>in</strong>dows</strong> 7 öffnet MSU-Dateien mit dem <strong>W<strong>in</strong>dows</strong> Update Standalone Installer (Wusa.exe).<br />
Sie können e<strong>in</strong> Update über e<strong>in</strong> Skript <strong>in</strong>stallieren, <strong>in</strong>dem Sie das Skript mit adm<strong>in</strong>istrativen<br />
Privilegien ausführen, Wusa aufrufen und den Pfad zur MSU-Datei angeben. Zum Beispiel<br />
<strong>in</strong>stallieren Sie e<strong>in</strong> Update namens <strong>W<strong>in</strong>dows</strong>6.0-KB929761-x86.msu, das sich im aktuellen<br />
Verzeichnis bef<strong>in</strong>det, mit dem folgenden Befehl:<br />
wusa <strong>W<strong>in</strong>dows</strong>6.0-KB929761-x86.msu<br />
Außerdem unterstützt Wusa die folgenden Befehlszeilenargumente:<br />
/?, /h oder /help Zeigt die verfügbaren Befehlszeilenargumente an.<br />
/un<strong>in</strong>stall Entfernt das angegebene Paket. Fügen Sie das Argument /kb h<strong>in</strong>zu, um das<br />
Paket, das entfernt werden soll, anhand se<strong>in</strong>er Knowledge Base-Nummer (KB) zu identifizieren.
284 Kapitel 7: Updates<br />
/quiet Stiller Modus. Dies ähnelt dem unbeaufsichtigten Modus, es werden aber ke<strong>in</strong>e<br />
Status- oder Fehlermeldungen angezeigt. Verwenden Sie diesen Modus, wenn Sie e<strong>in</strong><br />
Update im Rahmen e<strong>in</strong>es Skripts <strong>in</strong>stallieren.<br />
/norestart Wenn Sie dieses Argument mit /quiet komb<strong>in</strong>ieren, wird der Computer nicht<br />
neu gestartet, sobald die Installation abgeschlossen ist. Verwenden Sie dieses Argument,<br />
wenn Sie mehrere Updates gleichzeitig <strong>in</strong>stallieren. Alle außer dem zuletzt <strong>in</strong>stallierten<br />
Update sollten das Argument /norestart haben.<br />
/warnrestart Wenn Sie dieses Argument mit /quiet komb<strong>in</strong>ieren, warnt der Installer<br />
den Benutzer, bevor er den Computer neu startet.<br />
/promptrestart Wenn Sie dieses Argument mit /quiet komb<strong>in</strong>ieren, fragt der Installer<br />
beim Benutzer nach, ob der Computer neu gestartet werden darf.<br />
/forcerestart Wenn Sie dieses Argument mit /quiet komb<strong>in</strong>ieren, schließt der Installer<br />
alle Anwendungen und startet den Computer neu.<br />
Skripts s<strong>in</strong>d normalerweise nicht die beste Methode, um Updates regelmäßig zu <strong>in</strong>stallieren.<br />
Stattdessen sollten Sie <strong>W<strong>in</strong>dows</strong> Update, WSUS oder Systems Management Server (SMS)<br />
verwenden. Sie können aber e<strong>in</strong> Skript erstellen, um Updates auf neuen Computern zu <strong>in</strong>stallieren<br />
oder auf Computern, bei denen Ihre übliche Methode für die Updateverteilung<br />
nicht genutzt werden kann.<br />
Überprüfen von Updates<br />
Microsoft veröffentlicht Updates normalerweise e<strong>in</strong>mal pro Monat. Falls e<strong>in</strong> Computer ke<strong>in</strong>e<br />
Updates erhält oder die Updates nicht richtig <strong>in</strong>stalliert werden, weist er unter Umständen<br />
Sicherheitslücken auf, die es nicht gäbe, wären die Updates richtig <strong>in</strong>stalliert worden. Daher<br />
ist es sehr wichtig für die Sicherheit Ihrer Clientcomputer, dass Sie regelmäßig überprüfen,<br />
ob alle Updates richtig <strong>in</strong>stalliert wurden.<br />
Sie können sich den Updateverlauf ansehen, um zu überprüfen, ob Updates auf e<strong>in</strong>em bestimmten<br />
Computer <strong>in</strong>stalliert wurden. Gehen Sie folgendermaßen vor, um den Updateverlauf<br />
anzuzeigen:<br />
1. Klicken Sie im Startmenü auf Alle Programme und dann auf <strong>W<strong>in</strong>dows</strong> Update.<br />
2. Das Fenster <strong>W<strong>in</strong>dows</strong> Update wird geöffnet. Klicken Sie auf den L<strong>in</strong>k Updateverlauf<br />
anzeigen.<br />
3. Das Fenster Updateverlauf anzeigen wird geöffnet (Abbildung 7.4). Klicken Sie doppelt<br />
auf e<strong>in</strong> Update, um sich die Details anzusehen.<br />
Mithilfe von WSUS oder Configuration Manager 2007 können Sie die Update<strong>in</strong>stallation<br />
auf allen Computern überwachen, die Sie <strong>in</strong> Ihrer Organisation verwalten. Wollen Sie die<br />
Computer <strong>in</strong> e<strong>in</strong>em bestimmten Netzwerk überwachen, können Sie Microsoft Basel<strong>in</strong>e<br />
Security Analyzer (MBSA) verwenden. (Damit können Sie Computer überwachen, die ke<strong>in</strong>e<br />
Mitglieder Ihrer AD DS-Domäne s<strong>in</strong>d, aber für die Sie adm<strong>in</strong>istrative Anmelde<strong>in</strong>formationen<br />
haben.) Wie <strong>in</strong> Abbildung 7.5 zu sehen, durchsucht MBSA e<strong>in</strong> Netzwerk nach <strong>W<strong>in</strong>dows</strong>-<br />
Computern, stellt e<strong>in</strong>e Verb<strong>in</strong>dung zu jedem her und überprüft den aktuellen Updatestatus.
Abbildung 7.4 Prüfen des Updateverlaufs mit dem Tool <strong>W<strong>in</strong>dows</strong> Update<br />
Weitere Informationen MBSA<br />
Lektion 1: Aktualisieren von Software 285<br />
Weitere Informationen über MBSA und die Möglichkeit zum kostenlosen Download f<strong>in</strong>den<br />
Sie unter http://www.microsoft.com/mbsa/.<br />
Abbildung 7.5 Vorbereiten e<strong>in</strong>er Netzwerküberprüfung mit MBSA<br />
Schnelltest<br />
1. Welches Tool verwenden Sie, um Updates mit e<strong>in</strong>em Skript zu <strong>in</strong>stallieren?<br />
2. Welches Tool verwenden Sie, um Updates zu e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Abbild h<strong>in</strong>zuzufügen,<br />
bevor Sie es bereitstellen?
286 Kapitel 7: Updates<br />
3. Welches Tool verwenden Sie, um Updates zu genehmigen, bevor sie <strong>in</strong> der gesamten<br />
Organisation bereitgestellt werden?<br />
4. Welches Tool verwenden Sie, um <strong>in</strong> e<strong>in</strong>em Netzwerk nach fehlenden Updates zu<br />
suchen?<br />
Antworten zum Schnelltest<br />
1. Wusa.exe<br />
2. <strong>W<strong>in</strong>dows</strong> System Image Manager<br />
3. WSUS<br />
4. MBSA<br />
Problembehandlung für die Update<strong>in</strong>stallation<br />
Gelegentlich kann es vorkommen, dass beim Installieren e<strong>in</strong>es Updates Probleme auftreten.<br />
Glücklicherweise stellt <strong>W<strong>in</strong>dows</strong> 7 ausführliche Informationen über die Update<strong>in</strong>stallation<br />
zur Verfügung. Die folgenden Abschnitte beschreiben, wie Sie Probleme mit <strong>W<strong>in</strong>dows</strong><br />
Update und dem Neustart-Manager beseitigen.<br />
Problembehandlung für <strong>W<strong>in</strong>dows</strong> Update<br />
Gehen Sie folgendermaßen vor, um herauszuf<strong>in</strong>den, warum die Installation e<strong>in</strong>es Updates<br />
fehlgeschlagen ist:<br />
1. Sehen Sie sich die neuesten E<strong>in</strong>träge <strong>in</strong> der Datei %W<strong>in</strong>Dir%\<strong>W<strong>in</strong>dows</strong>Update.log an.<br />
Stellen Sie sicher, dass der Client sich mit dem richtigen Updateserver verb<strong>in</strong>det, und<br />
werten Sie eventuelle Fehlermeldungen aus. Das folgende Beispiel zeigt e<strong>in</strong>en Ausschnitt<br />
aus dieser Protokolldatei, der angibt, dass <strong>W<strong>in</strong>dows</strong> Update <strong>W<strong>in</strong>dows</strong>-Defender-Informationen<br />
direkt von Microsoft heruntergeladen hat:<br />
=========== Logg<strong>in</strong>g <strong>in</strong>itialized (build: 7.3.7600.16385, tz: -0400) ===========<br />
Process: c:\program files\w<strong>in</strong>dows defender\MpCmdRun.exe<br />
Module: C:\<strong>W<strong>in</strong>dows</strong>\system32\wuapi.dll<br />
-------------<br />
-- START -- COMAPI: Search [ClientId = <strong>W<strong>in</strong>dows</strong> Defender]<br />
---------<br />
Lektion 1: Aktualisieren von Software 287<br />
Die Datei <strong>W<strong>in</strong>dows</strong>Update.log führt auch E<strong>in</strong>zelheiten zu aufgetretenen Updatefehlern<br />
auf. Ausführliche Informationen, wie Sie den Inhalt der Datei <strong>W<strong>in</strong>dows</strong>Update.log analysieren,<br />
f<strong>in</strong>den Sie im Microsoft Knowledge Base-Artikel 902093 unter http://support.<br />
microsoft.com/kb/902093/.<br />
2. Wenn Ihre Organisation WSUS e<strong>in</strong>setzt, sollten Sie überprüfen, ob der Client Verb<strong>in</strong>dung<br />
zum WSUS-Server aufnehmen kann. Öffnen Sie dazu e<strong>in</strong>en Webbrowser und rufen Sie<br />
http:///iuident.cab auf. Wenn Sie aufgefordert werden, die Datei<br />
herunterzuladen, ist sichergestellt, dass der Client den WSUS-Server erreichen kann und<br />
es sich nicht um e<strong>in</strong> Verb<strong>in</strong>dungsproblem handelt. Andernfalls haben Sie es mit e<strong>in</strong>em<br />
Namensauflösungs- oder Verb<strong>in</strong>dungsproblem zu tun, oder WSUS ist falsch konfiguriert.<br />
Weitere Informationen Problembehandlung für WSUS<br />
Weitere Informationen, wie Sie Probleme mit WSUS vom WSUS-Client aus behandeln,<br />
f<strong>in</strong>den Sie <strong>in</strong> »Automatic Updates Must be Updated« unter http://technet.microsoft.com/<br />
library/cc<strong>70</strong>8554.aspx.<br />
3. Wenn Sie den <strong>W<strong>in</strong>dows</strong> Update-Client über Gruppenrichtl<strong>in</strong>ien konfigurieren, sollten<br />
Sie im Tool Richtl<strong>in</strong>ienergebnissatz (Resultant Set of Policy, RSOP) überprüfen, ob die<br />
Konfiguration richtig ist. Erweitern Sie dazu im Tool RSOP (Rsop.msc) den Knoten<br />
Computerkonfiguration\Adm<strong>in</strong>istrative Vorlagen\<strong>W<strong>in</strong>dows</strong>-Komponenten\<strong>W<strong>in</strong>dows</strong><br />
Update und überprüfen Sie die Konfigurationse<strong>in</strong>stellungen.<br />
Falls Sie e<strong>in</strong> Problem gefunden und e<strong>in</strong>e Konfigurationsänderung vorgenommen haben, um<br />
es zu beseitigen, müssen Sie den <strong>W<strong>in</strong>dows</strong> Update-Dienst auf dem Clientcomputer neu starten,<br />
um sicherzustellen, dass die Änderung angewendet wird, und e<strong>in</strong>en neuen Updatezyklus<br />
e<strong>in</strong>leiten. Sie können dazu die Konsole Dienste verwenden oder die beiden folgenden Befehle<br />
mit adm<strong>in</strong>istrativen Anmelde<strong>in</strong>formationen ausführen:<br />
net stop wuauserv | net start wuauserv<br />
Innerhalb von 6 bis 10 M<strong>in</strong>uten versucht <strong>W<strong>in</strong>dows</strong> Update, Kontakt mit Ihrem Updateserver<br />
aufzunehmen.<br />
Problembehandlung für den Neustart-Manager<br />
E<strong>in</strong> Computer muss meist deshalb neu gestartet werden, weil e<strong>in</strong>e Datei aktualisiert werden<br />
soll, die bereits verwendet wird. Der Neustart-Manager, e<strong>in</strong>e Komponente von <strong>W<strong>in</strong>dows</strong><br />
Installer, versucht, diesen Vorgang nach Möglichkeit zu vermeiden, <strong>in</strong>dem er Programme<br />
und Dienste, die Dateien verwenden, beendet und neu startet. Sie erkennen, ob e<strong>in</strong> Problem<br />
mit dem Neustart-Manager besteht, <strong>in</strong>dem Sie die Ereignisanzeige öffnen und sich die<br />
folgenden Ereignisprotokolle ansehen:<br />
<strong>W<strong>in</strong>dows</strong>-Protokolle\Anwendung<br />
Anwendungs- und Dienstprotokolle\Microsoft\<strong>W<strong>in</strong>dows</strong>\RestartManager\Betriebsbereit<br />
Suchen Sie nach Warn- oder Fehlerereignissen mit der Quelle »RestartManager«. Das folgende<br />
Beispiel ist e<strong>in</strong> Warnereignis mit der Ereignis-ID 10010:<br />
Die Anwendung 'C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE' (PID 5592) kann<br />
nicht neu gestartet werden – Die Anwendungs-SID stimmt nicht mit der Dirigenten-SID<br />
übere<strong>in</strong>.
288 Kapitel 7: Updates<br />
Sie können sich allgeme<strong>in</strong>e <strong>W<strong>in</strong>dows</strong> Update-Ereignisse auch im Anwendungsprotokoll<br />
ansehen. Suchen Sie nach Ereignissen mit der Quelle »MsiInstaller«.<br />
Entfernen von Updates<br />
Gelegentlich kann es vorkommen, dass e<strong>in</strong> Update Kompatibilitätsprobleme verursacht.<br />
Falls Sie Probleme mit e<strong>in</strong>er Anwendung oder e<strong>in</strong>er <strong>W<strong>in</strong>dows</strong>-Funktion haben, nachdem Sie<br />
Updates <strong>in</strong>stalliert haben, und e<strong>in</strong>es der Updates direkt mit dem Problem zu tun haben könnte,<br />
sollten Sie das Update von Hand de<strong>in</strong>stallieren, um festzustellen, ob es tatsächlich die Ursache<br />
ist.<br />
Gehen Sie folgendermaßen vor, um e<strong>in</strong> Update von Hand zu de<strong>in</strong>stallieren:<br />
1. Klicken Sie im Startmenü auf Systemsteuerung.<br />
2. Klicken Sie unter Programme auf den L<strong>in</strong>k Programm de<strong>in</strong>stallieren.<br />
3. Klicken Sie auf den L<strong>in</strong>k Installierte Updates anzeigen.<br />
4. Wählen Sie das Update aus, das Sie entfernen wollen, und klicken Sie auf De<strong>in</strong>stallieren<br />
(Abbildung 7.6).<br />
Abbildung 7.6 Indem Sie e<strong>in</strong> Update de<strong>in</strong>stallieren, können Sie feststellen, ob es e<strong>in</strong> Problem<br />
verursacht hat<br />
5. Folgen Sie den angezeigten Anweisungen und starten Sie den Computer neu, falls Sie<br />
dazu aufgefordert werden.<br />
Sie können e<strong>in</strong> Update auch mit dem Tool Wusa.exe entfernen, wie im Abschnitt »Updates<br />
mithilfe von Skripts <strong>in</strong>stallieren« weiter oben <strong>in</strong> diesem Kapitel beschrieben. Wird das Problem<br />
durch das Entfernen des Updates nicht beseitigt, sollten Sie das Update wieder anwenden.<br />
Wird das Problem tatsächlich beseitigt, sollten Sie mit dem Anwendungsentwickler (im<br />
Fall e<strong>in</strong>er Programm<strong>in</strong>kompatibilität) oder Ihrem Microsoft <strong>Support</strong>-Ansprechpartner Kontakt<br />
aufnehmen und ihn über die Inkompatibilität <strong>in</strong>formieren. Das Update korrigiert wahrsche<strong>in</strong>lich<br />
e<strong>in</strong> anderes Problem, daher sollten Sie unbed<strong>in</strong>gt versuchen, das Kompatibilitätsproblem<br />
zu beseitigen und das Update zu <strong>in</strong>stallieren.
Übung Verteilen von Updates<br />
Lektion 1: Aktualisieren von Software 289<br />
In dieser Übung konfigurieren Sie e<strong>in</strong>en <strong>W<strong>in</strong>dows</strong> 7-Client so, dass er Updates von e<strong>in</strong>em<br />
WSUS-Server herunterlädt.<br />
Übung 1 Prüfen des aktuellen Updatestatus<br />
In dieser Übung prüfen Sie den Updatestatus auf Ihrem <strong>W<strong>in</strong>dows</strong> 7-Computer. Sofern Sie<br />
noch gar ke<strong>in</strong>e Updates auf dem <strong>W<strong>in</strong>dows</strong> 7-Computer <strong>in</strong>stalliert haben, können Sie gleich<br />
zu Übung 2 spr<strong>in</strong>gen.<br />
1. Melden Sie sich als Adm<strong>in</strong>istrator am <strong>W<strong>in</strong>dows</strong> 7-Computer CLIENT1 an.<br />
2. Klicken Sie im Startmenü auf Systemsteuerung.<br />
3. Klicken Sie unter Programme auf Programm de<strong>in</strong>stallieren.<br />
4. Klicken Sie auf der Seite Programme und Funktionen auf Installierte Updates anzeigen.<br />
5. Klicken Sie mit der rechten Maustaste auf e<strong>in</strong>es der Updates und wählen Sie den Befehl<br />
De<strong>in</strong>stallieren. Klicken Sie auf Ja, um den Vorgang zu bestätigen. Starten Sie den Computer<br />
neu, falls Sie dazu aufgefordert werden.<br />
Indem Sie dieses Update de<strong>in</strong>stallieren, können Sie es später mit WSUS erneut <strong>in</strong>stallieren.<br />
6. Klicken Sie auf System und Sicherheit und dann auf <strong>W<strong>in</strong>dows</strong> Update.<br />
7. Klicken Sie auf Nach Updates suchen. Es müsste jetzt m<strong>in</strong>destens e<strong>in</strong> Update verfügbar<br />
se<strong>in</strong>.<br />
8. Klicken Sie auf Verfügbare Updates anzeigen. Weil der <strong>W<strong>in</strong>dows</strong> 7-Computer mit der<br />
Standarde<strong>in</strong>stellung konfiguriert ist, nimmt <strong>W<strong>in</strong>dows</strong> Update direkt mit Microsoft Kontakt<br />
auf, um nach den neuesten Updates zu suchen.<br />
Übung 2 Konfigurieren WSUS<br />
In dieser Übung <strong>in</strong>stallieren Sie WSUS auf e<strong>in</strong>em Server, genehmigen Updates und konfigurieren<br />
dann e<strong>in</strong>en <strong>W<strong>in</strong>dows</strong> 7-Client so, dass er Updates von diesem Server abruft.<br />
1. Melden Sie sich am Server DC1 als Adm<strong>in</strong>istrator an.<br />
2. Klicken Sie im Startmenü auf Verwaltung und dann auf Server-Manager.<br />
3. Klicken Sie auf den Knoten Rollen und dann <strong>in</strong> der Detailansicht auf Rollen h<strong>in</strong>zufügen.<br />
Der Assistent "Rollen h<strong>in</strong>zufügen" wird geöffnet.<br />
4. Klicken Sie auf der Seite Vorbemerkungen auf Weiter.<br />
5. Aktivieren Sie auf der Seite Serverrollen auswählen das Kontrollkästchen <strong>W<strong>in</strong>dows</strong><br />
Server Update Services (WSUS). Fügen Sie alle benötigten Rollendienste h<strong>in</strong>zu, wenn<br />
Sie dazu aufgefordert werden. Klicken Sie viermal auf Weiter und dann auf Installieren.<br />
6. Warten Sie, bis der Setup-Assistent für <strong>W<strong>in</strong>dows</strong> Server Update Services ersche<strong>in</strong>t<br />
(unter Umständen ist das Fenster h<strong>in</strong>ter dem Assistenten "Rollen h<strong>in</strong>zufügen" verborgen),<br />
und klicken Sie auf Weiter.
290 Kapitel 7: Updates<br />
H<strong>in</strong>weis WSUS-Version<br />
Wenn Sie die WSUS-Serverrolle h<strong>in</strong>zufügen, lädt <strong>W<strong>in</strong>dows</strong> Server 2008 R2 die neueste<br />
Version direkt von Microsoft herunter. Als dieses Buch geschrieben wurde, war die aktuelle<br />
Version WSUS 3.0 mit Service Pack 2. Falls Microsoft WSUS <strong>in</strong>zwischen aktualisiert<br />
hat, verlaufen die Schritte zum Installieren von WSUS möglicherweise etwas anders.<br />
Sie können wahrsche<strong>in</strong>lich weiterh<strong>in</strong> die Standarde<strong>in</strong>stellungen verwenden, sollten aber<br />
e<strong>in</strong>stellen, dass die Updates nicht lokal gespeichert werden.<br />
7. Lesen Sie auf der Seite Lizenzvertrag den Lizenzvertrag durch, wählen Sie Ich stimme<br />
den Bed<strong>in</strong>gungen des Lizenzvertrags zu aus und klicken Sie auf Weiter.<br />
8. Klicken Sie auf der Seite Zur Verwendung der Verwaltungsbenutzeroberfläche erforderliche<br />
Komponenten auf Weiter.<br />
9. Deaktivieren Sie auf der Seite Updatequelle auswählen das Kontrollkästchen Updates<br />
lokal speichern, damit der WSUS-Server nicht alle Updates lokal kopiert. In e<strong>in</strong>er Produktivumgebung<br />
würden Sie dieses Kontrollkästchen aktiviert lassen, damit Clients<br />
Updates von Ihrem WSUS-Server (<strong>in</strong>nerhalb Ihres lokalen Netzwerks) herunterladen<br />
statt direkt von Microsoft (über Ihre Internetverb<strong>in</strong>dung). Klicken Sie auf Weiter.<br />
10. Klicken Sie auf der Seite Datenbankoptionen auf Weiter.<br />
11. Klicken Sie auf Weiter, falls die Seite Verb<strong>in</strong>dungsherstellung mit der SQL Server-<br />
Instanz angezeigt wird.<br />
12. Klicken Sie auf der Seite Websiteauswahl auf Weiter, um die IIS-Standardwebsite zu<br />
verwenden. In e<strong>in</strong>er Produktivumgebung würden Sie e<strong>in</strong>e neue WSUS-Website anlegen,<br />
falls der WSUS-Server andere Websites hostet.<br />
13. Klicken Sie auf der Seite <strong>W<strong>in</strong>dows</strong> Server Update Services kann jetzt <strong>in</strong>stalliert werden<br />
auf Weiter.<br />
14. Klicken Sie auf der Seite Fertigstellen des Setup-Assistenten für <strong>W<strong>in</strong>dows</strong> Server Update<br />
Services auf Fertig stellen.<br />
15. Klicken Sie auf der Seite Installationsergebnisse auf Schließen. Starten Sie Ihren Computer<br />
neu, wenn Sie dazu aufgefordert werden.<br />
Anschließend konfigurieren Sie WSUS so, dass Updates nur <strong>in</strong>stalliert werden, nachdem sie<br />
von Ihnen genehmigt wurden. Gehen Sie dazu folgendermaßen vor:<br />
1. Unter Umständen wurde der Assistent zur Konfiguration von <strong>W<strong>in</strong>dows</strong> Server Update<br />
Services automatisch gestartet. Ist das nicht der Fall, müssen Sie im Startmenü auf Verwaltung<br />
und dann auf <strong>W<strong>in</strong>dows</strong> Server Update Services klicken.<br />
2. Klicken Sie auf der Seite Vorbemerkung auf Weiter.<br />
3. Klicken Sie auf der Seite Nehmen Sie am Programm zur Verbesserung von Microsoft<br />
Update teil auf Weiter.<br />
4. Klicken Sie auf der Seite Upstreamserver auswählen auf Weiter.<br />
5. Klicken Sie auf der Seite Proxyserver angeben auf Weiter.<br />
6. Klicken Sie auf der Seite Mit Upstreamserver verb<strong>in</strong>den auf Verb<strong>in</strong>dung starten. Warten<br />
Sie, während der WSUS-Konfigurationsassistent Informationen von Microsoft Update<br />
herunterlädt. Klicken Sie auf die Schaltfläche Weiter, wenn sie verfügbar ist.
Lektion 1: Aktualisieren von Software 291<br />
7. Auf der Seite Produkte auswählen sehen Sie, dass <strong>in</strong> der Standarde<strong>in</strong>stellung nur Updates<br />
für Office und <strong>W<strong>in</strong>dows</strong> heruntergeladen werden. Sehen Sie sich die anderen verfügbaren<br />
Updatetypen durch, um sich damit vertraut zu machen. Übernehmen Sie die<br />
Standarde<strong>in</strong>stellungen, <strong>in</strong>dem Sie auf Weiter klicken.<br />
8. Aktivieren Sie auf der Seite Klassifizierungen auswählen das Kontrollkästchen Alle<br />
Klassifizierungen. Klicken Sie auf Weiter.<br />
9. Klicken Sie auf der Seite Synchronisierungszeitplan festlegen auf Weiter.<br />
10. Klicken Sie auf der Seite Fertig gestellt auf Weiter.<br />
11. Lesen Sie auf der Seite Nächste Schritte, welche Konfigurationsaufgaben Sie für WSUS<br />
zusätzlich durchführen müssen. Klicken Sie auf Fertig stellen.<br />
H<strong>in</strong>weis WSUS-Konfiguration <strong>in</strong> e<strong>in</strong>er Produktivumgebung<br />
Weil sich diese Prüfung auf den <strong>W<strong>in</strong>dows</strong> 7-Client konzentriert und nicht auf den WSUS-<br />
Server, beschreibt die Übung nicht alle diese Konfigurationsschritte. In e<strong>in</strong>er Produktivumgebung<br />
s<strong>in</strong>d aber zusätzliche Konfigurationsschritte für WSUS erforderlich.<br />
12. Nun müssen Sie AD DS-Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen so konfigurieren, dass Domänenmitglieder<br />
sich mit dem WSUS-Server synchronisieren. Klicken Sie auf DC1 im<br />
Startmenü auf Verwaltung und dann auf Gruppenrichtl<strong>in</strong>ienverwaltung.<br />
13. Wählen Sie <strong>in</strong> der Konsole Gruppenrichtl<strong>in</strong>ienverwaltung den Knoten Gruppenrichtl<strong>in</strong>ienverwaltung\Gesamtstruktur\Domänen\nwtraders.msft\Default<br />
Doma<strong>in</strong> Policy aus.<br />
Klicken Sie mit der rechten Maustaste auf Default Doma<strong>in</strong> Policy und wählen Sie den<br />
Befehl Bearbeiten.<br />
14. Wählen Sie im Gruppenrichtl<strong>in</strong>ienverwaltungs-Editor den Knoten Computerkonfiguration\Richtl<strong>in</strong>ien\Adm<strong>in</strong>istrative<br />
Vorlagen\<strong>W<strong>in</strong>dows</strong>-Komponenten\<strong>W<strong>in</strong>dows</strong> Update aus.<br />
15. Klicken Sie doppelt auf die Richtl<strong>in</strong>ie Internen Pfad für den Microsoft Updatedienst<br />
angeben. Wählen Sie die Option Aktiviert aus. Tragen Sie im Feld Interner Updatedienst<br />
zum Ermitteln von Updates die Adresse des Computers e<strong>in</strong>, auf dem WSUS läuft, <strong>in</strong><br />
diesem Beispiel also http://DC1. Damit konfigurieren Sie die Clients, auf die dieses<br />
Gruppenrichtl<strong>in</strong>ienobjekt angewendet wird, so, dass sie nicht Microsoft Update, sondern<br />
den WSUS-Server abfragen. Klicken Sie auf OK.<br />
16. Klicken Sie im Gruppenrichtl<strong>in</strong>ienverwaltungs-Editor doppelt auf die Richtl<strong>in</strong>ie Automatische<br />
Updates konfigurieren. Wählen Sie die Option Aktiviert aus. Sehen Sie sich die<br />
verfügbaren E<strong>in</strong>stellungen <strong>in</strong> der Dropdownliste Automatische Updates konfigurieren<br />
durch. Wählen Sie den E<strong>in</strong>trag 3 – Autom. Herunterladen, aber vor Installation benachrichtigen.<br />
Übernehmen Sie die Standarde<strong>in</strong>stellungen, <strong>in</strong>dem Sie auf OK klicken.<br />
17. Klicken Sie doppelt auf die Richtl<strong>in</strong>ie Empfohlene Updates über automatische Updates<br />
aktivieren. Wählen Sie die Option Aktiviert aus. Damit weisen Sie <strong>W<strong>in</strong>dows</strong> Update an,<br />
sowohl empfohlene Updates, zu denen Treiberupdates und neue <strong>W<strong>in</strong>dows</strong>-Features gehören,<br />
als auch wichtige Updates zu <strong>in</strong>stallieren. Klicken Sie auf OK.<br />
18. Klicken Sie im Startmenü auf Verwaltung und dann auf <strong>W<strong>in</strong>dows</strong> Server Update Services.<br />
19. Falls Ihr Server <strong>in</strong> der Konsole Update Services nicht <strong>in</strong>nerhalb des Knotens Update<br />
Services aufgeführt wird, müssen Sie im Fensterabschnitt Aktionen auf den L<strong>in</strong>k Verb<strong>in</strong>-
292 Kapitel 7: Updates<br />
dung mit dem Server herstellen klicken, den Servernamen e<strong>in</strong>geben und auf Verb<strong>in</strong>den<br />
klicken.<br />
20. Wählen Sie den Knoten Update Services\\Computer\Synchronisierungen<br />
aus. Wählen Sie e<strong>in</strong>e Synchronisierung aus, sofern momentan e<strong>in</strong>e ausgeführt wird. Warten<br />
Sie, bis die Synchronisierung abgeschlossen ist.<br />
21. Wählen Sie den Knoten Update Services\\Updates\Alle Updates aus.<br />
Wählen Sie <strong>in</strong> der Dropdownliste Genehmigung den E<strong>in</strong>trag Nicht genehmigt aus. Wählen<br />
Sie <strong>in</strong> der Dropdownliste Status den E<strong>in</strong>trag Fehlgeschlagen oder erforderlich aus.<br />
Klicken Sie nun auf Aktualisieren und warten Sie e<strong>in</strong>ige M<strong>in</strong>uten, bis die Konsole Update<br />
Services die Liste der nicht genehmigten Updates anzeigt.<br />
22. Klicken Sie mit der rechten Maustaste auf alle angezeigten Updates und klicken Sie auf<br />
Genehmigen. Drücken Sie die Tastenkomb<strong>in</strong>ation STRG+A, um alle Updates auszuwählen.<br />
Werden ke<strong>in</strong>e Updates aufgelistet, sollten Sie überprüfen, ob Ihr <strong>W<strong>in</strong>dows</strong> 7-Computer<br />
CLIENT1 im Knoten Computer\Alle Computer aufgeführt ist. F<strong>in</strong>den Sie noch<br />
immer ke<strong>in</strong>e Updates, sollten Sie prüfen, ob der WSUS-Server die verfügbaren Updates<br />
von Microsoft heruntergeladen hat. Wenn Updates synchronisiert wurden, müssen Sie<br />
unter Umständen warten, bis <strong>W<strong>in</strong>dows</strong> Update auf dem Client den WSUS-Server über<br />
se<strong>in</strong>en aktuellen Status benachrichtigt hat.<br />
23. Klicken Sie im Dialogfeld Updates genehmigen auf die Gruppe Alle Computer und dann<br />
auf Für die Installation genehmigt (Abbildung 7.7). Klicken Sie auf OK.<br />
Abbildung 7.7 Genehmigen von Updates für alle Computer<br />
24. Lesen Sie sich bei Bedarf die Lizenzbed<strong>in</strong>gungen durch und klicken Sie so oft wie nötig<br />
auf Ich stimme zu.<br />
25. Klicken Sie im Dialogfeld Status der Genehmigung auf Schließen.<br />
Übung 3 Abrufen von Updates von <strong>W<strong>in</strong>dows</strong> Server Update Services<br />
In dieser Übung prüfen Sie, ob Updates für Ihren <strong>W<strong>in</strong>dows</strong> 7-Clientcomputer zur Verfügung<br />
stehen.<br />
1. Melden Sie sich an Ihrem <strong>W<strong>in</strong>dows</strong> 7-Computer CLIENT1 an.<br />
2. Warten Sie e<strong>in</strong>ige M<strong>in</strong>uten, bis <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>e Benachrichtigung anzeigt, dass Updates<br />
verfügbar s<strong>in</strong>d. Klicken Sie auf das Benachrichtigungsfeld.
Lektion 1: Aktualisieren von Software 293<br />
3. Klicken Sie im Fenster <strong>W<strong>in</strong>dows</strong> Update auf Updates <strong>in</strong>stallieren. Folgen Sie den angezeigten<br />
Anweisungen, um die Update<strong>in</strong>stallation abzuschließen und den Computer bei<br />
Bedarf neu zu starten.<br />
Übung 4 Entfernen e<strong>in</strong>es Updates<br />
In dieser Übung entfernen Sie e<strong>in</strong> Update von Ihrem <strong>W<strong>in</strong>dows</strong> 7-Clientcomputer. In der<br />
Praxis ist das s<strong>in</strong>nvoll, wenn e<strong>in</strong> Update Probleme mit der Anwendungskompatibilität verursacht.<br />
1. Melden Sie sich an Ihrem <strong>W<strong>in</strong>dows</strong> 7-Computer CLIENT1 an.<br />
2. Klicken Sie im Startmenü auf Systemsteuerung.<br />
3. Klicken Sie unter Programme auf Programm de<strong>in</strong>stallieren.<br />
4. Klicken Sie auf Installierte Updates anzeigen.<br />
5. Klicken Sie auf e<strong>in</strong>es der Updates, die Sie <strong>in</strong> Übung 3 <strong>in</strong>stalliert haben. Klicken Sie auf<br />
De<strong>in</strong>stallieren.<br />
Zusammenfassung der Lektion<br />
Microsoft stellt drei Methoden zum Verteilen von Updates zur Verfügung: den <strong>W<strong>in</strong>dows</strong><br />
Update-Client (<strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>gebaut), WSUS (e<strong>in</strong> kostenloses Tool, das auf e<strong>in</strong>em<br />
<strong>W<strong>in</strong>dows</strong> Server 2008 R2-Computer <strong>in</strong>stalliert werden kann) und Configuration Manager<br />
2007 (e<strong>in</strong> Softwareverteilungstool für Großunternehmen). Diese Tools wurden jeweils<br />
für kle<strong>in</strong>e, mittlere und große Organisationen entwickelt.<br />
Sie sollten Updates mit wichtigen Anwendungen testen, bevor Sie die Updates auf vielen<br />
Computern bereitstellen. Um die Gefahr e<strong>in</strong>er Anwendungs<strong>in</strong>kompatibilität weiter zu<br />
verr<strong>in</strong>gern, sollten Sie Updates zuerst <strong>in</strong> e<strong>in</strong>er Pilotgruppe bereitstellen. Den Mitgliedern<br />
der Pilotgruppe fallen Kompatibilitätsprobleme vermutlich auf, sodass sie die IT-Abteilung<br />
<strong>in</strong>formieren können, bevor das Update an die gesamte Organisation verteilt wird.<br />
Sie können überprüfen, ob e<strong>in</strong> Update auf e<strong>in</strong>em e<strong>in</strong>zelnen Computer <strong>in</strong>stalliert wurde,<br />
<strong>in</strong>dem Sie den Updateverlauf anzeigen. Wenn Sie WSUS <strong>in</strong> Ihrer Organisation verwenden,<br />
können Sie die von WSUS generierten Berichte ansehen und so herausf<strong>in</strong>den, auf<br />
welchen Computern e<strong>in</strong> bestimmtes Update <strong>in</strong>stalliert ist. Wenn Sie Computer <strong>in</strong> e<strong>in</strong>em<br />
Netzwerk überwachen wollen (unabhängig davon, ob sie auf WSUS zugreifen), können<br />
Sie das kostenlose Tool MBSA verwenden.<br />
Sie können Updates mit dem Systemsteuerungselement <strong>W<strong>in</strong>dows</strong> Update <strong>in</strong>teraktiv<br />
<strong>in</strong>stallieren. Das wäre aber sehr zeitaufwendig. Stattdessen sollten Sie <strong>W<strong>in</strong>dows</strong> Update<br />
entweder über grafische Tools oder mithilfe von Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen konfigurieren.<br />
Falls Sie Updates sofort <strong>in</strong>stallieren müssen (zum Beispiel sobald sich e<strong>in</strong><br />
Benutzer anmeldet), können Sie Skripts erstellen, die Updates <strong>in</strong>stallieren.<br />
Tritt beim Installieren e<strong>in</strong>es Updates e<strong>in</strong> Problem auf, können Sie das Problem diagnostizieren,<br />
<strong>in</strong>dem Sie den Updateverlauf anzeigen, die Datei %W<strong>in</strong>Dir%\<strong>W<strong>in</strong>dows</strong>Update.log<br />
auswerten oder die WSUS-Protokolle analysieren. E<strong>in</strong>fache Probleme lassen sich oft<br />
dadurch beseitigen, dass Sie den <strong>W<strong>in</strong>dows</strong> Update-Dienst neu starten.<br />
Falls Sie nach der Installation e<strong>in</strong>es Updates e<strong>in</strong> Kompatibilitätsproblem entdecken,<br />
können Sie das Update von Hand entfernen oder es über WSUS de<strong>in</strong>stallieren.
294 Kapitel 7: Updates<br />
Lernzielkontrolle<br />
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 1,<br />
»Aktualisieren von Software«, überprüfen. Die Fragen f<strong>in</strong>den Sie (<strong>in</strong> englischer Sprache)<br />
auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im Rahmen e<strong>in</strong>es<br />
Übungstests beantworten.<br />
H<strong>in</strong>weis Die Antworten<br />
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglichkeiten<br />
richtig oder falsch s<strong>in</strong>d, f<strong>in</strong>den Sie im Abschnitt »Antworten« am Ende dieses Buchs.<br />
1. Welche der folgenden Methoden empfehlen Sie, um Updates <strong>in</strong> e<strong>in</strong>er kle<strong>in</strong>en Firma mit<br />
fünf <strong>W<strong>in</strong>dows</strong> 7-Clientcomputern zu verteilen?<br />
A. Erklären Sie den Angestellten, wie sie von Hand <strong>W<strong>in</strong>dows</strong> Update starten, falls sie<br />
Probleme bemerken.<br />
B. Konfigurieren Sie <strong>W<strong>in</strong>dows</strong> Update auf allen Computern so, dass es Updates direkt<br />
von Microsoft herunterlädt.<br />
C. Installieren Sie WSUS und konfigurieren Sie <strong>W<strong>in</strong>dows</strong> Update so, dass es Updates<br />
vom WSUS-Server herunterlädt.<br />
D. Stellen Sie Updates mithilfe von SMS und WSUS bereit.<br />
2. Sie arbeiten für e<strong>in</strong>e mittelgroße Organisation, die etwa 100 Clientcomputer verwaltet.<br />
Die IT-Abteilung besteht darauf, alle Updates zu testen, bevor sie auf Computer angewendet<br />
werden. Welche der folgenden Methoden empfehlen Sie, um <strong>in</strong>nerhalb dieser<br />
Organisation Updates zu verteilen?<br />
A. Erklären Sie den Angestellten, wie sie von Hand <strong>W<strong>in</strong>dows</strong> Update starten, falls sie<br />
Probleme bemerken.<br />
B. Konfigurieren Sie <strong>W<strong>in</strong>dows</strong> Update auf allen Computern so, dass es Updates direkt<br />
von Microsoft herunterlädt.<br />
C. Installieren Sie WSUS und konfigurieren Sie <strong>W<strong>in</strong>dows</strong> Update so, dass es Updates<br />
vom WSUS-Server herunterlädt.<br />
D. Stellen Sie Updates mithilfe von SMS und WSUS bereit.<br />
3. Sie erstellen e<strong>in</strong>e Batchdatei, die Updates <strong>in</strong>stalliert, sobald e<strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7-Computer<br />
zum ersten Mal startet. Wie gehen Sie dabei vor?<br />
A. Rufen Sie Update.exe auf und geben Sie den Pfad zur Updatedatei an.<br />
B. Rufen Sie Msiexec.exe auf und geben Sie den Pfad zur Updatedatei an.<br />
C. Führen Sie die ausführbare Datei aus, die das Update enthält.<br />
D. Rufen Sie Wusa.exe auf und geben Sie den Pfad zur Updatedatei an.
Rückblick auf dieses Kapitel<br />
Rückblick auf dieses Kapitel 295<br />
Sie können die <strong>in</strong> diesem Kapitel erworbenen Fähigkeiten folgendermaßen e<strong>in</strong>üben und<br />
vertiefen:<br />
Lesen Sie die Zusammenfassung des Kapitels sorgfältig durch.<br />
Lesen Sie die Liste der Schlüsselbegriffe durch, die <strong>in</strong> diesem Kapitel e<strong>in</strong>geführt wurden.<br />
Arbeiten Sie die Übungen mit Fallbeispielen durch. Diese Szenarien beschreiben Fälle<br />
aus der Praxis, <strong>in</strong> denen die Themen dieses Kapitels zur Anwendung kommen. Sie werden<br />
aufgefordert, e<strong>in</strong>e Lösung zu entwickeln.<br />
Führen Sie die vorgeschlagenen Übungen durch.<br />
Machen Sie e<strong>in</strong>en Übungstest.<br />
Zusammenfassung des Kapitels<br />
Kle<strong>in</strong>e Büros, <strong>in</strong> denen Updates nicht vor der Bereitstellung getestet werden müssen,<br />
können <strong>W<strong>in</strong>dows</strong> Update so konfigurieren, dass Updates automatisch von Microsoft<br />
heruntergeladen und <strong>in</strong>stalliert werden, sobald sie verfügbar s<strong>in</strong>d. Verursacht e<strong>in</strong> Update<br />
Probleme, können die Adm<strong>in</strong>istratoren es von Hand entfernen. Größere Organisationen<br />
können WSUS e<strong>in</strong>setzen, um Updates zu testen und zu genehmigen, bevor sie bereitgestellt<br />
werden. Für Großunternehmen, die zusätzliche Verwaltungsfähigkeiten benötigen,<br />
bietet sich Configuration Manager 2007 an, das die Updateverwaltung vollständig steuert.<br />
Wenn Sie neue Computer bereitstellen, sollten Sie Updates sofort <strong>in</strong>stallieren, damit der<br />
Computer nicht durch e<strong>in</strong>en Netzwerkangriff kompromittiert werden kann. Glücklicherweise<br />
stellt Microsoft für diese Aufgabe e<strong>in</strong>e Vielzahl von Methoden zur Verfügung.<br />
Wenn Computer <strong>in</strong> e<strong>in</strong>em isolierten Netzwerk liegen und vor Angriffen geschützt s<strong>in</strong>d,<br />
können sie Updates auf herkömmlichem Weg, also mit Microsoft Update herunterladen<br />
und <strong>in</strong>stallieren. Um die Bereitstellung zu beschleunigen, können Sie Updatepakete zu<br />
e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Abbild h<strong>in</strong>zufügen oder die Installation von Updates mit Skripts ausführen,<br />
sobald das Setup abgeschlossen ist.<br />
Gelegentlich kommt es vor, dass Probleme beim Installieren von Updates auftreten. Damit<br />
Adm<strong>in</strong>istratoren alle Informationen bekommen, die sie brauchen, um die Ursache des<br />
Problems zu ermitteln, zeichnet <strong>W<strong>in</strong>dows</strong> Update ausführliche Informationen <strong>in</strong> der<br />
Textprotokolldatei %W<strong>in</strong>Dir%\<strong>W<strong>in</strong>dows</strong>Update.log und im Ereignisprotokoll auf.<br />
Schlüsselbegriffe<br />
Wissen Sie, was die folgenden Schlüsselbegriffe bedeuten? Sie können Ihre Antworten<br />
überprüfen, <strong>in</strong>dem Sie die Begriffe im Glossar am Ende dieses Buchs nachschlagen.<br />
Kritisches Update<br />
Microsoft Systems Center Configuration Manager 2007<br />
(Configuration Manager 2007)<br />
Pilotgruppe<br />
Qualitätssicherung (Quality Assurance, QA)
296 Kapitel 7: Updates<br />
Neustart-Manager<br />
Service Pack<br />
<strong>W<strong>in</strong>dows</strong> Server Update Services (WSUS)<br />
Übungen mit Fallbeispiel<br />
In den folgenden Übungen mit Fallbeispiel wenden Sie an, was Sie über die <strong>in</strong> diesem Kapitel<br />
behandelten Themen gelernt haben. Die Lösungen zu den Fragen f<strong>in</strong>den Sie im Abschnitt<br />
»Antworten« h<strong>in</strong>ten <strong>in</strong> diesem Buch.<br />
Übung mit Fallbeispiel 1: Verteilen von Updates<br />
Sie s<strong>in</strong>d Systemadm<strong>in</strong>istrator <strong>in</strong> der Verwaltung von Fourth Coffee, e<strong>in</strong>em kle<strong>in</strong>en Laden<br />
mit drei <strong>W<strong>in</strong>dows</strong> XP-Computern, drei <strong>W<strong>in</strong>dows</strong> 7-Computern und e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> Server<br />
2008 R2-Domänencontroller. Vor Kurzem hat e<strong>in</strong> Update e<strong>in</strong> Kompatibilitätsproblem mit<br />
dem <strong>in</strong>ternen Buchhaltungsprogramm von Fourth Coffee verursacht. Momentan s<strong>in</strong>d alle<br />
Computer so konfiguriert, dass sie Updates von Microsoft herunterladen und nachts automatisch<br />
<strong>in</strong>stallieren.<br />
Ihr Manager hat Sie beauftragt, e<strong>in</strong>en Weg zu f<strong>in</strong>den, Updates zu testen, bevor sie auf den<br />
Computern <strong>in</strong> Ihrer Organisation bereitgestellt werden.<br />
Fragen<br />
Beantworten Sie Ihrem Manager folgende Fragen:<br />
1. Wie können Sie Updates testen, bevor sie bereitgestellt werden?<br />
2. Erfordert Ihre empfohlene Bereitstellungstechnologie irgende<strong>in</strong>e Infrastruktur?<br />
3. Funktioniert Ihre empfohlene Bereitstellungstechnologie sowohl mit <strong>W<strong>in</strong>dows</strong> XP- als<br />
auch <strong>W<strong>in</strong>dows</strong> 7-Computern?<br />
4. Wie können Sie die Clientcomputer so konfigurieren, dass sie Ihre neue Bereitstellungstechnologie<br />
nutzen?<br />
Übung mit Fallbeispiel 2: Überwachen von Updates<br />
Sie s<strong>in</strong>d Systemadm<strong>in</strong>istrator bei Fabrikam. Letzten Monat hat Microsoft e<strong>in</strong> Sicherheitsupdate<br />
veröffentlicht, das e<strong>in</strong>e Sicherheitslücke <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 schließt. Gestern hat im Internet<br />
jemand e<strong>in</strong> Exploit für diese Sicherheitslücke veröffentlicht. Der Exploit hat bereits<br />
Zehntausende ungepatchter Computer im Internet <strong>in</strong>fiziert.<br />
Sie haben das Update letzte Woche über Ihren WSUS-Server bereitgestellt. Ihr Manager will<br />
aber absolut sicher gehen, dass alle Computer <strong>in</strong> Ihrem <strong>Unternehmen</strong> geschützt s<strong>in</strong>d.<br />
Fragen<br />
Beantworten Sie Ihrem Manager folgende Fragen:<br />
1. Wie spüren Sie am schnellsten alle Computer auf, bei denen das Update nicht <strong>in</strong>stalliert<br />
ist?
Vorgeschlagene Übungen 297<br />
2. Gibt es e<strong>in</strong> Tool, mit dem wir das Netzwerk nach Computern durchsuchen können, auf<br />
denen das Update nicht <strong>in</strong>stalliert wurde, obwohl sie so konfiguriert s<strong>in</strong>d, dass sie ihre<br />
Updates direkt von Microsoft herunterladen? Was ist das für e<strong>in</strong> Tool?<br />
3. Wenn Benutzer anrufen und nachfragen, will ich ihnen erklären, wie sie bei ihrem eigenen<br />
Computer überprüfen können, ob das Update <strong>in</strong>stalliert ist. Wie können Benutzer<br />
feststellen, ob das Update <strong>in</strong>stalliert ist?<br />
Vorgeschlagene Übungen<br />
Um die <strong>in</strong> diesem Kapitel behandelten Prüfungsziele zu meistern, sollten Sie die folgenden<br />
Übungen durcharbeiten.<br />
Untersuchen und Beseitigen von Softwareupdateproblemen<br />
Im Rahmen dieser Aufgabe sollten Sie auf jeden Fall die ersten vier Übungen durcharbeiten.<br />
Übung 5 verschafft Ihnen Erfahrung mit MBSA, das <strong>in</strong> der Prüfung wahrsche<strong>in</strong>lich nicht<br />
behandelt wird, aber e<strong>in</strong> wertvolles Tool zum Verwalten von Computern <strong>in</strong> der Praxis ist.<br />
Wenn Sie genauer wissen wollen, wie Updates mit WSUS bereitgestellt werden, sollten Sie<br />
die letzten beiden Übungen durcharbeiten.<br />
Übung 1 De<strong>in</strong>stallieren Sie e<strong>in</strong> neueres Update und <strong>in</strong>stallieren Sie es neu.<br />
Übung 2 Analysieren Sie das Systemereignisprotokoll und suchen Sie alle Updates,<br />
die vor Kurzem <strong>in</strong>stalliert wurden.<br />
Übung 3 Sehen Sie sich die Datei %W<strong>in</strong>Dir%\<strong>W<strong>in</strong>dows</strong>Update.log durch und suchen<br />
Sie alle Updates, die vor Kurzem <strong>in</strong>stalliert wurden.<br />
Übung 4 Lesen Sie die Blogs des <strong>W<strong>in</strong>dows</strong> Update-Teams unter http://blogs.technet.<br />
com/mu/ und des WSUS-Produktteams unter http://blogs.technet.com/wsus/.<br />
Übung 5 Suchen Sie mit MBSA nach Computern <strong>in</strong> Ihrem Netzwerk, bei denen<br />
Updates fehlen oder andere potenzielle Sicherheitslücken vorhanden s<strong>in</strong>d.<br />
Übung 6 Konfigurieren Sie alle Computer <strong>in</strong> Ihrer Testumgebung so, dass sie Updates<br />
von Ihrem WSUS-Server herunterladen. Verwenden Sie dann Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen,<br />
um die Computer so zu konfigurieren, dass sie Updates automatisch <strong>in</strong>stallieren<br />
und den Computer sofort neu starten. Genehmigen Sie e<strong>in</strong>ige neue Updates und warten<br />
Sie, bis die Updates <strong>in</strong>stalliert wurden.<br />
Übung 7 Konfigurieren Sie e<strong>in</strong>en zweiten WSUS-Server so, dass er Updates direkt<br />
von Ihrem ersten WSUS-Server herunterlädt.<br />
Machen Sie e<strong>in</strong>en Übungstest<br />
Die Übungstests (<strong>in</strong> englischer Sprache) auf der Begleit-CD zu diesem Buch bieten zahlreiche<br />
Möglichkeiten. Zum Beispiel können Sie e<strong>in</strong>en Test machen, der ausschließlich die<br />
Themen aus e<strong>in</strong>em Prüfungslernziel behandelt, oder Sie können sich selbst mit dem gesamten<br />
Inhalt der Prüfung <strong>70</strong>-<strong>685</strong> testen. Sie können den Test so konfigurieren, dass er dem<br />
Ablauf e<strong>in</strong>er echten Prüfung entspricht, oder Sie können e<strong>in</strong>en Lernmodus verwenden, <strong>in</strong><br />
dem Sie sich nach dem Beantworten e<strong>in</strong>er Frage jeweils sofort die richtige Antwort und<br />
Erklärungen ansehen können.
298 Kapitel 7: Updates<br />
Weitere Informationen Übungstests<br />
E<strong>in</strong>zelheiten zu allen Optionen, die bei den Übungstests zur Verfügung stehen, f<strong>in</strong>den Sie im<br />
Abschnitt »So benutzen Sie die Übungstests« <strong>in</strong> der E<strong>in</strong>führung am Anfang dieses Buchs.
K A P I T E L 8<br />
Leistung<br />
<strong>W<strong>in</strong>dows</strong> 7 müsste von allen bisherigen <strong>W<strong>in</strong>dows</strong>-Versionen die beste Leistung bieten. Aber<br />
bei jedem Computer s<strong>in</strong>d die Prozessor-, Arbeitsspeicher- und Laufwerksressourcen endlich,<br />
und jeder Computer reagiert langsam, wenn ungünstige Umstände e<strong>in</strong>treten. Weil Sie ke<strong>in</strong>e<br />
IT-Umgebung zusammenstellen können, die völlig frei von Problemen ist, müssen Sie zum<strong>in</strong>dest<br />
planen, wie Sie Probleme im Fall ihres Auftretens schnell identifizieren und beseitigen.<br />
<strong>W<strong>in</strong>dows</strong> 7 enthält mehrere Features, die es Adm<strong>in</strong>istratoren ermöglichen, Leistungsprobleme<br />
zu überwachen und darauf zu reagieren.<br />
Erstens kann <strong>W<strong>in</strong>dows</strong> 7 Ereignisse zwischen Computern weiterleiten, sodass Sie wichtige<br />
Ereignisse aus dem gesamten Netzwerk zentral sammeln können. Mit dem Task-Manager<br />
können Sie die Leistung <strong>in</strong> Echtzeit überwachen, Prioritäten anpassen, die Prozessorzugehörigkeit<br />
unterschiedlicher Prozesse ändern, steuern, wie viel Prozessorzeit e<strong>in</strong>zelne Prozesse<br />
erhalten, und Prozesse beenden, die nicht auf Benutzere<strong>in</strong>gaben reagieren. Die Leistungsüberwachung<br />
liefert sogar noch ausführlichere Informationen über die Systemleistung,<br />
sodass Sie w<strong>in</strong>zige Details von Betriebssystem, Anwendungen und Hardware überwachen<br />
können.<br />
Treten sporadische Leistungsprobleme auf, können Sie <strong>in</strong> e<strong>in</strong>em Sammlungssatz e<strong>in</strong>e Momentaufnahme<br />
der Systemleistung aufzeichnen und die Leistungsdaten später analysieren.<br />
Falls Sie feststellen, dass die Festplatte Ihre Leistungsprobleme verursacht, müssen Sie unter<br />
Umständen mit dem Tool Datenträgerbere<strong>in</strong>igung Platz auf den Datenträgern freiräumen,<br />
damit <strong>W<strong>in</strong>dows</strong> 7 die Festplatte automatisch defragmentieren kann.<br />
Die Leistungse<strong>in</strong>stellungen für mobile Computer s<strong>in</strong>d komplexer als für Desktopcomputer,<br />
weil ihre Konfiguration darauf optimiert ist, die Akkulaufzeit zu verlängern. Um Leistungsprobleme<br />
mit mobilen Computern effizient behandeln zu können, müssen Sie wissen, wie<br />
Sie die unterschiedlichen Leistungse<strong>in</strong>stellungen konfigurieren. Und wenn Sie den Verdacht<br />
haben, dass e<strong>in</strong> Leistungsproblem durch e<strong>in</strong>en automatisch gestarteten Dienst oder e<strong>in</strong>e<br />
Autostartanwendung verursacht wird, können Sie die Dienste und Anwendungen mit dem<br />
Tool Systemkonfiguration zeitweise deaktivieren, um auf diese Weise die Ursache des<br />
Problems zu isolieren.<br />
Prüfungslernziele <strong>in</strong> diesem Kapitel:<br />
Untersuchen und Beseitigen von Leistungsproblemen<br />
Lektionen <strong>in</strong> diesem Kapitel:<br />
Lektion 1: Weiterleiten von Ereignissen ................................ 301<br />
Lektion 2: Behandeln von Leistungsproblemen ........................... 318<br />
299
300 Kapitel 8: Leistung<br />
Bevor Sie beg<strong>in</strong>nen<br />
Um die Übungen <strong>in</strong> diesem Kapitel durcharbeiten zu können, sollten Sie mit <strong>W<strong>in</strong>dows</strong> 7<br />
vertraut se<strong>in</strong> und folgende Aufgaben beherrschen:<br />
Installieren von <strong>W<strong>in</strong>dows</strong> 7<br />
E<strong>in</strong>en Computer hardwaremäßig an das Netzwerk anschließen<br />
Durchführen e<strong>in</strong>facher Verwaltungsaufgaben auf e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> Server 2008 R2-<br />
Domänencontroller<br />
Praxistipp<br />
Tony Northrup<br />
Vor Kurzem untersuchte ich sporadisch auftretende Leistungsprobleme auf e<strong>in</strong>em Webserver.<br />
In sche<strong>in</strong>bar zufälligen Abständen wurde der Webserver so langsam, dass die<br />
Benutzer die Site überhaupt nicht mehr besuchen konnten. In dem Moment, als sich e<strong>in</strong><br />
Benutzer bei mir beschwerte, war die Site aber schon wieder verfügbar.<br />
Um das Problem e<strong>in</strong>zukreisen, führte ich die Leistungsüberwachung im Protokollierungsmodus<br />
aus. Dabei fand ich heraus, dass die gesamte Prozessorauslastung während der<br />
10-m<strong>in</strong>ütigen Phase, <strong>in</strong> der die Probleme auftraten, auf 100 Prozent stieg (während sie<br />
normalerweise rund 10 Prozent betrug). Bis der Server Webanforderungen bediente,<br />
verg<strong>in</strong>gen <strong>in</strong> diesen Phasen durchaus 30 Sekunden (im Normalbetrieb 0,02 Sekunden).<br />
Während ich die Leistung der e<strong>in</strong>zelnen Prozesse überwachte, verbrauchte ke<strong>in</strong>er dieser<br />
Prozesse die zusätzliche Prozessorzeit. Der schuldige Prozess war also zu dem Zeitpunkt,<br />
als ich die Leistungsüberwachung konfigurierte, nicht gelaufen. Die Leistungsüberwachung<br />
half mir, weitere Symptome des Problems zu f<strong>in</strong>den, aber die tatsächliche<br />
Ursache kannte ich noch nicht.<br />
Ich notierte, wann das Problem auftrat, und untersuchte diese Zeitabschnitte <strong>in</strong> der Ereignisanzeige.<br />
Dabei stellte sich heraus, dass Fehlermeldungen des Webservers aufgezeichnet<br />
wurden, weil die Webanforderungen nicht schnell genug verarbeitet wurden. Das<br />
war natürlich nicht die Ursache, sondern e<strong>in</strong>e Folge der hohen Prozessorauslastung.<br />
Diese Ereignisse brachten mich aber auf die richtige Spur für die Problembehandlung,<br />
weil sie konsistent immer dann auftraten, wenn das Problem begann. Ich richtete e<strong>in</strong>en<br />
Ereignistrigger e<strong>in</strong>, der e<strong>in</strong>e Nachricht an me<strong>in</strong> Telefon schickte, sobald das Ereignis<br />
auftrat. Als es das nächste Mal so weit war, rannte ich zur Webserverkonsole, öffnete den<br />
Task-Manager und fand den Prozess, der die gesamte Prozessorzeit verbrauchte.<br />
Dieser Prozess war e<strong>in</strong> Skript, das die Datenbank aufräumte. Es war so geschrieben, dass<br />
es 100 Prozent der Prozessorzeit mit Beschlag belegte und den gesamten Server ausbremste.<br />
Der Webserver startete das Skript automatisch nach e<strong>in</strong>er bestimmten Zahl von<br />
Datenbanktransaktionen, was erklärte, warum die Abstände re<strong>in</strong> zufällig wirkten.<br />
Um das Problem zu beseitigen, änderte ich, wie das Skript gestartet wurde. Statt das<br />
Skript direkt auszuführen, rief ich das Tool Start.exe auf, wobei ich mit dem Argument<br />
/low festlegte, dass das Skript mit niedrigerer Priorität laufen sollte. Außerdem verwendete<br />
ich das Argument /aff<strong>in</strong>ity, um e<strong>in</strong>zustellen, dass das Skript nur e<strong>in</strong>en der vier<br />
Prozessorkerne auf dem Webserver benutzen durfte. Auf diese Weise brauchte das Skript<br />
länger, brachte aber nicht den ganzen Webserver zum Erliegen.
Lektion 1: Weiterleiten von Ereignissen<br />
Lektion 1: Weiterleiten von Ereignissen 301<br />
In Microsoft <strong>W<strong>in</strong>dows</strong> tragen sowohl das Betriebssystem als auch Anwendungen Ereignisse<br />
<strong>in</strong> die Ereignisprotokolle e<strong>in</strong>. Die meisten dieser Ereignisse s<strong>in</strong>d Informationsmeldungen<br />
(zum Beispiel gibt e<strong>in</strong> Ereignis an, dass der Computer startet) und können ohne Weiteres<br />
ignoriert werden. Aber oft s<strong>in</strong>d sehr wichtige Ereignisse <strong>in</strong>nerhalb von Tausenden unbedeutender<br />
Ereignisse vergraben. Diese wichtigen Ereignisse weisen unter Umständen auf e<strong>in</strong>en<br />
bevorstehenden Festplattenausfall h<strong>in</strong>, auf e<strong>in</strong>en erfolgreichen Hackerangriff oder auf e<strong>in</strong>en<br />
Benutzer, der auf dr<strong>in</strong>gend benötigte Netzwerkressourcen nicht zugreifen kann.<br />
Jeder <strong>W<strong>in</strong>dows</strong>-Computer hat e<strong>in</strong> lokales Ereignisprotokoll. Weil Großunternehmen oft<br />
Tausende von Computern haben, jeder mit se<strong>in</strong>em eigenen lokalen Ereignisprotokoll, war es<br />
<strong>in</strong> älteren <strong>W<strong>in</strong>dows</strong>-Versionen sehr schwierig, wirklich wichtige Ereignisse zu überwachen.<br />
Die Ereignisweiterleitung <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7 macht es Großunternehmen<br />
deutlich e<strong>in</strong>facher, lokale Ereignisprotokolle zu verwalten. Mit der Ereignisweiterleitung<br />
können Sie <strong>W<strong>in</strong>dows</strong>-Computer so konfigurieren, dass sie wichtige Ereignisse an e<strong>in</strong>e<br />
zentrale Stelle weiterleiten. Dann können Sie diese zentralisierten Ereignisse e<strong>in</strong>facher<br />
überwachen und darauf reagieren.<br />
Diese Lektion beschreibt, wie Sie die Ereignisweiterleitung konfigurieren und verwalten.<br />
Am Ende dieser Lektion werden Sie <strong>in</strong> der Lage se<strong>in</strong>, die folgenden Aufgaben auszuführen:<br />
Beschreiben, wie die Ereignisweiterleitung arbeitet<br />
Konfigurieren der Ereignisweiterleitung <strong>in</strong> AD DS-Umgebungen (Active Directory<br />
Doma<strong>in</strong> Services)<br />
Konfigurieren der Ereignisweiterleitung <strong>in</strong> Arbeitsgruppenumgebungen<br />
Durchführen e<strong>in</strong>er Problembehandlung für die Ereignisweiterleitung<br />
Veranschlagte Zeit für diese Lektion: 30 M<strong>in</strong>uten<br />
So funktioniert die Ereignisweiterleitung<br />
Die Ereignisweiterleitung nutzt HTTP (Hypertext Transfer Protocol) oder HTTPS (Hypertext<br />
Transfer Protocol Secure), dieselben Protokolle, die beim Besuchen von Websites zum<br />
E<strong>in</strong>satz kommen. Sie sendet Ereignisse von e<strong>in</strong>em Weiterleitungscomputer (engl. forward<strong>in</strong>g<br />
computer, der Computer, auf dem Ereignisse ausgelöst werden) an e<strong>in</strong>en Sammelcomputer<br />
(engl. collect<strong>in</strong>g computer, der Computer, der die Ereignisse sammelt). Mithilfe der Ereignisweiterleitung<br />
können Sie wichtige Ereignisse von jedem beliebigen Computer <strong>in</strong> Ihrer Organisation<br />
an Ihre Arbeitsstation senden lassen und so die Ereignisse von Ihrem Schreibtisch<br />
aus überwachen.<br />
Obwohl HTTP normalerweise unverschlüsselt ist, sendet die Ereignisweiterleitung ihre<br />
Kommunikation verschlüsselt. In Arbeitsgruppenumgebungen benutzt sie dazu den Microsoft<br />
Negotiate-SSP (Security <strong>Support</strong> Provider), <strong>in</strong> Domänenumgebungen den Microsoft<br />
Kerberos-SSP. HTTPS benutzt e<strong>in</strong> SSL-Zertifikat (Secure Sockets Layer), um e<strong>in</strong>e zusätzliche<br />
Verschlüsselungsschicht bereitzustellen. (Dieses Zertifikat müssen Sie generieren.) In<br />
den meisten Umgebungen ist diese zusätzliche Verschlüsselungsschicht allerd<strong>in</strong>gs unnötig.
302 Kapitel 8: Leistung<br />
Weitere Informationen SSP-Anbieter<br />
Weitere Informationen über SSP-Anbieter f<strong>in</strong>den Sie unter http://msdn2.microsoft.com/enus/library/aa380502.aspx.<br />
Prüfungstipp<br />
Denken Sie bei der Prüfung daran, dass die Ereignisweiterleitung auch dann mit Verschlüsselung<br />
arbeitet, wenn Sie das Protokoll HTTP auswählen. Das leuchtet nicht direkt e<strong>in</strong>, da<br />
HTTP immer unverschlüsselt ist, wenn Sie damit im Web surfen.<br />
Konfigurieren der Ereignisweiterleitung <strong>in</strong> AD DS-Domänen<br />
Um Ereignisse weiterzuleiten, müssen Sie e<strong>in</strong>erseits den Computer konfigurieren, der die<br />
Ereignisse weiterleitet, und andererseits den Computer, der die Ereignisse sammelt. Der<br />
Weiterleitungscomputer ist der Computer, der die Ereignisse generiert. Der Sammelcomputer<br />
ist die Verwaltungsarbeitsstation, an der Adm<strong>in</strong>istratoren die Ereignisse überwachen.<br />
Die Konfiguration, die Sie zum Weiterleiten und Sammeln von Ereignissen erstellen, wird<br />
als Ereignisabonnement (event subscription) bezeichnet.<br />
Die Ereignisweiterleitung ist <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 <strong>in</strong> der Standarde<strong>in</strong>stellung nicht aktiviert. Bevor<br />
Sie die Ereignisweiterleitung nutzen können, müssen auf Weiterleitungs- und Sammelcomputer<br />
zwei Dienste laufen:<br />
<strong>W<strong>in</strong>dows</strong>-Remoteverwaltung<br />
<strong>W<strong>in</strong>dows</strong>-Ereignissammlung<br />
Außerdem muss der Weiterleitungscomputer e<strong>in</strong>e <strong>W<strong>in</strong>dows</strong>-Firewallausnahme für das<br />
Protokoll HTTP def<strong>in</strong>ieren. Je nachdem, welche Optimierungstechnik für die Ereignisübermittlung<br />
Sie auswählen, müssen Sie auch noch e<strong>in</strong>e <strong>W<strong>in</strong>dows</strong>-Firewallausnahme für den<br />
Sammelcomputer konfigurieren. Glücklicherweise stellt <strong>W<strong>in</strong>dows</strong> 7 Tools zur Verfügung,<br />
die das Konfigurieren von Weiterleitungs- und Sammelcomputern automatisieren.<br />
Die folgenden Abschnitte beschreiben Schritt für Schritt, wie Sie Computer für die Ereignisweiterleitung<br />
konfigurieren.<br />
Konfigurieren des Weiterleitungscomputers<br />
Gehen Sie folgendermaßen vor, um e<strong>in</strong>en <strong>W<strong>in</strong>dows</strong> 7-Computer so zu konfigurieren, dass er<br />
Ereignisse weiterleitet:<br />
1. Öffnen Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung mit erhöhten Rechten, <strong>in</strong>dem Sie im Suchfeld des<br />
Startmenüs cmd e<strong>in</strong>geben und die Tastenkomb<strong>in</strong>ation STRG+UMSCHALT+EINGABE-<br />
TASTE drücken.<br />
Tipp Öffnen e<strong>in</strong>er adm<strong>in</strong>istrativen E<strong>in</strong>gabeaufforderung<br />
Sie können e<strong>in</strong>e adm<strong>in</strong>istrative E<strong>in</strong>gabeaufforderung auch öffnen, <strong>in</strong>dem Sie im Startmenü<br />
mit der rechten Maustaste auf E<strong>in</strong>gabeaufforderung klicken und den Befehl Als<br />
Adm<strong>in</strong>istrator ausführen wählen. Die Tastenkomb<strong>in</strong>ation STRG+UMSCHALT+EIN-<br />
GABETASTE kürzt diesen Vorgang lediglich ab (besonders wenn Sie lieber mit der<br />
Tastatur als mit der Maus arbeiten).
Lektion 1: Weiterleiten von Ereignissen 303<br />
2. Führen Sie an der E<strong>in</strong>gabeaufforderung den folgenden Befehl aus, um den Dienst<br />
<strong>W<strong>in</strong>dows</strong>-Remoteverwaltung zu konfigurieren:<br />
C:\>w<strong>in</strong>rm quickconfig<br />
W<strong>in</strong>RM ist nicht zum Empfangen von Anforderungen auf diesem Computer konfiguriert.<br />
Folgende Änderungen müssen durchgeführt werden:<br />
Legen Sie den W<strong>in</strong>RM-Diensttyp auf e<strong>in</strong>en verzögerten automatischen Start fest.<br />
Starten Sie den W<strong>in</strong>RM-Dienst.<br />
Diese Änderungen durchführen [y/n]?<br />
3. Geben Sie Y e<strong>in</strong> und drücken Sie die EINGABETASTE. Der <strong>W<strong>in</strong>dows</strong>-Remoteverwaltungsdienst<br />
bietet an, weitere Änderungen vorzunehmen:<br />
W<strong>in</strong>RM wurde aktualisiert, um Anforderungen zu empfangen.<br />
Der W<strong>in</strong>RM-Diensttyp wurde erfolgreich geändert.<br />
Der W<strong>in</strong>RM-Dienst wurde gestartet.<br />
W<strong>in</strong>RM wurde nicht für Verwaltungsremotezugriff auf diesen Computer konfiguriert.<br />
Folgende Änderungen müssen durchgeführt werden:<br />
Erstellen Sie e<strong>in</strong>en W<strong>in</strong>RM-Listener auf HTTP://*, um die WS-Verwaltungsanforderungen an<br />
e<strong>in</strong>e beliebige IP-Adresse auf diesem Computer zu akzeptieren.<br />
Aktivieren Sie die W<strong>in</strong>RM-Firewallausnahme.<br />
Diese Änderungen durchführen [y/n]?<br />
4. Geben Sie Y e<strong>in</strong> und drücken Sie die EINGABETASTE.<br />
W<strong>in</strong>Rm (das Befehlszeilentool für die <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung) konfiguriert den<br />
Computer so, dass er WS-Verwaltung-Anforderungen von anderen Computern entgegennimmt.<br />
Dafür werden folgende Änderungen vorgenommen:<br />
Der Dienst <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung (WS-Verwaltung) wird so konfiguriert, dass<br />
er automatisch startet (verzögerter Start). Dann wird der Dienst gestartet.<br />
Es wird e<strong>in</strong> HTTP-Listener für die <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung angelegt. E<strong>in</strong> Listener<br />
ist e<strong>in</strong>e Konfigurationse<strong>in</strong>stellung, die bestimmte e<strong>in</strong>gehende Netzwerkkommunikation<br />
an e<strong>in</strong>e Anwendung weiterleitet.<br />
Es wird e<strong>in</strong>e <strong>W<strong>in</strong>dows</strong>-Firewallausnahme erstellt, die e<strong>in</strong>gehende Verb<strong>in</strong>dungen an<br />
den Dienst <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung über HTTP erlaubt, also den TCP-Port<br />
(Transmission Control Protocol) 80. Diese Ausnahme gilt nur für die Profile<br />
»Domäne« und »Privat«. Solcher Verkehr wird weiterh<strong>in</strong> blockiert, wenn der<br />
Computer mit e<strong>in</strong>em öffentlichen Netzwerk verbunden ist.<br />
H<strong>in</strong>weis Der Starttyp Automatisch (Verzögerter Start)<br />
Seit <strong>W<strong>in</strong>dows</strong> Vista können Dienste mit dem Starttyp Automatisch (Verzögerter Start) konfiguriert<br />
werden. Während Dienste bei der E<strong>in</strong>stellung Automatisch sofort nach dem Start<br />
von <strong>W<strong>in</strong>dows</strong> gestartet werden (was die Benutzeranmeldung verzögert), sorgt Automatisch<br />
(Verzögerter Start) dafür, dass der Dienst erst nach dem <strong>W<strong>in</strong>dows</strong>-Start im H<strong>in</strong>tergrund<br />
gestartet wird. Dieser Starttyp eignet sich perfekt für Dienste, die Sie zwar brauchen, die<br />
aber für <strong>W<strong>in</strong>dows</strong> nicht unverzichtbar s<strong>in</strong>d.
304 Kapitel 8: Leistung<br />
Anschließend müssen Sie das Computerkonto des Sammelcomputers auf allen Weiterleitungscomputern<br />
zur lokalen Gruppe Ereignisprotokollleser h<strong>in</strong>zufügen. Gehen Sie dazu auf<br />
dem Weiterleitungscomputer folgendermaßen vor:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den<br />
Befehl Verwalten.<br />
2. Erweitern Sie unter System den Knoten Lokale Benutzer und Gruppen und wählen Sie<br />
Gruppen aus. Klicken Sie doppelt auf Ereignisprotokollleser.<br />
3. Klicken Sie im Dialogfeld Eigenschaften von Ereignisprotokollleser auf H<strong>in</strong>zufügen.<br />
4. Klicken Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen<br />
auf die Schaltfläche Objekttypen. In der Standarde<strong>in</strong>stellung wird nur nach Benutzern,<br />
Dienstkonten und Gruppen gesucht. Wir müssen aber das Computerkonto des Sammelcomputers<br />
h<strong>in</strong>zufügen. Aktivieren Sie also das Kontrollkästchen Computer und deaktivieren<br />
Sie die Kontrollkästchen Gruppen, Benutzer und Dienstkonten. Klicken Sie auf<br />
OK.<br />
5. Geben Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen<br />
den Namen des Sammelcomputers e<strong>in</strong>. Klicken Sie auf OK.<br />
6. Klicken Sie erneut auf OK, um das Dialogfeld Eigenschaften von Ereignisprotokollleser<br />
zu schließen.<br />
Stattdessen können Sie diesen Schritt auch über e<strong>in</strong>e E<strong>in</strong>gabeaufforderung mit erhöhten<br />
Rechten oder e<strong>in</strong>e Batchdatei durchführen, <strong>in</strong>dem Sie den folgenden Befehl ausführen:<br />
net localgroup "Ereignisprotokollleser" $@ /add.<br />
Zum Beispiel fügen Sie mit dem folgenden Befehl den Computer CLIENT1 aus der Domäne<br />
nwtraders.msft zu dieser Gruppe h<strong>in</strong>zu: net localgroup "Ereignisprotokollleser"<br />
client1$@nwtraders.msft /add.<br />
Konfigurieren des Sammelcomputers<br />
<strong>W<strong>in</strong>dows</strong> 7 unterstützt zwei Arten der Ereignisweiterleitung, die Sie auswählen, wenn Sie<br />
e<strong>in</strong> Ereignisabonnement erstellen:<br />
Sammlungs<strong>in</strong>itiiert Bei sammlungs<strong>in</strong>itiierten Abonnements baut der Sammelcomputer<br />
e<strong>in</strong>e Verb<strong>in</strong>dung zum Weiterleitungscomputer auf.<br />
Quellcomputer<strong>in</strong>itiiert Bei quellcomputer<strong>in</strong>itiierten Abonnements baut der Weiterleitungscomputer<br />
e<strong>in</strong>e Verb<strong>in</strong>dung zum Weiterleitungscomputer auf. In Arbeitsgruppenumgebungen<br />
stehen nur quellcomputer<strong>in</strong>itiierte Abonnements zur Verfügung.<br />
Sofern Sie sammlungs<strong>in</strong>itiierte Abonnements e<strong>in</strong>setzen wollen, fordert <strong>W<strong>in</strong>dows</strong> 7 Sie auf,<br />
den Sammelcomputer zu konfigurieren, wenn Sie e<strong>in</strong> Abonnement erstellen; dies wird im<br />
nächsten Abschnitt beschrieben. Stattdessen können Sie e<strong>in</strong>en Sammelcomputer auch folgendermaßen<br />
vorkonfigurieren:<br />
1. Öffnen Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung mit erhöhten Rechten, <strong>in</strong>dem Sie im Suchfeld des<br />
Startmenüs cmd e<strong>in</strong>geben und die Tastenkomb<strong>in</strong>ation STRG+UMSCHALT+EINGABE-<br />
TASTE drücken.<br />
2. Führen Sie an der E<strong>in</strong>gabeaufforderung den folgenden Befehl aus, um den Dienst<br />
<strong>W<strong>in</strong>dows</strong>-Ereignissammlung zu konfigurieren:<br />
wecutil qc
Lektion 1: Weiterleiten von Ereignissen 305<br />
3. Geben Sie Y e<strong>in</strong>, wenn Sie dazu aufgefordert werden.<br />
<strong>W<strong>in</strong>dows</strong> konfiguriert daraufh<strong>in</strong> den Dienst <strong>W<strong>in</strong>dows</strong>-Ereignissammlung.<br />
Wenn Sie vorhaben, quellcomputer<strong>in</strong>itiierte Abonnements zu verwenden, müssen Sie auf<br />
dem Sammelcomputer w<strong>in</strong>rm quickconfig ausführen, wie im Abschnitt »Konfigurieren des<br />
Weiterleitungscomputers« weiter oben <strong>in</strong> dieser Lektion beschrieben.<br />
<strong>W<strong>in</strong>dows</strong> Server 2008 besitzt ebenfalls die Fähigkeit, weitergeleitete Ereignisse zu sammeln.<br />
Ältere <strong>W<strong>in</strong>dows</strong>-Versionen als <strong>W<strong>in</strong>dows</strong> Vista bieten aber nicht die Möglichkeit, als Sammeloder<br />
Weiterleitungscomputer zu agieren.<br />
Erstellen e<strong>in</strong>es Ereignisabonnements<br />
Abonnements (Abbildung 8.1) werden auf e<strong>in</strong>em Sammelcomputer konfiguriert. Sie rufen<br />
Ereignisse von den Weiterleitungscomputern ab.<br />
Abbildung 8.1 Abonnements leiten Ereignisse an e<strong>in</strong>en Verwaltungscomputer weiter<br />
Gehen Sie folgendermaßen vor, um e<strong>in</strong> Abonnement auf e<strong>in</strong>em Sammelcomputer zu erstellen:<br />
1. Erweitern Sie <strong>in</strong> der Konsole Computerverwaltung den Knoten Ereignisanzeige, klicken<br />
Sie mit der rechten Maustaste auf Abonnements und wählen Sie den Befehl Abonnement<br />
erstellen.<br />
2. Falls das Dialogfeld Ereignisanzeige (Abbildung 8.2) angezeigt wird, müssen Sie auf Ja<br />
klicken, um den Dienst <strong>W<strong>in</strong>dows</strong>-Ereignissammlung zu konfigurieren.<br />
Abbildung 8.2 Ereignisse werden vom Weiterleitungscomputer<br />
an den Sammelcomputer gesendet<br />
Das Dialogfeld Abonnementeigenschaften wird geöffnet.<br />
3. Geben Sie im Feld Abonnementname e<strong>in</strong>en Namen für das Abonnement e<strong>in</strong>. Optional<br />
können Sie auch e<strong>in</strong>e Beschreibung e<strong>in</strong>geben.
306 Kapitel 8: Leistung<br />
4. Optional können Sie <strong>in</strong> die Liste Zielprotokoll klicken und das Protokoll auswählen, <strong>in</strong><br />
dem Sie die weitergeleiteten Ereignisse speichern möchten. In der Standarde<strong>in</strong>stellung<br />
werden Ereignisse im Protokoll Weitergeleitete Ereignisse gespeichert.<br />
5. Wählen Sie den Abonnementtyp aus, also entweder Sammlungs<strong>in</strong>itiiert oder Quellcomputer<strong>in</strong>itiiert.<br />
Wenn Sie Sammlungs<strong>in</strong>itiiert verwenden, nimmt der Sammelcomputer<br />
Kontakt zu den Weiterleitungscomputern auf. Bei der E<strong>in</strong>stellung Quellcomputer<strong>in</strong>itiiert<br />
nehmen dagegen die Weiterleitungscomputer Kontakt zum Sammelcomputer auf. Geben<br />
Sie dann an, welche Computer verwendet werden sollen:<br />
Wenn Sie Sammlungs<strong>in</strong>itiiert ausgewählt haben: Klicken Sie auf Computer auswählen.<br />
Klicken Sie auf Domänencomputer h<strong>in</strong>zufügen. Geben Sie im Dialogfeld Computer<br />
auswählen den Namen des Computers e<strong>in</strong>, der Ereignisse weiterleitet, und klicken<br />
Sie auf OK. Klicken Sie im Dialogfeld Computer auf Testen. Klicken Sie auf<br />
OK, wenn die Ereignisanzeige bestätigt, dass e<strong>in</strong>e Verb<strong>in</strong>dung besteht.<br />
Wenn Sie Quellcomputer<strong>in</strong>itiiert ausgewählt haben: Klicken Sie auf Computergruppen<br />
auswählen. Klicken Sie auf Domänencomputer h<strong>in</strong>zufügen oder Nicht-Domänencomputer<br />
h<strong>in</strong>zufügen. Geben Sie den Namen des Computers e<strong>in</strong>, der Ereignisse<br />
weiterleitet, und klicken Sie auf OK. Wenn Sie e<strong>in</strong>en Nicht-Domänen-Computer<br />
h<strong>in</strong>zugefügt haben, können Sie auf Zertifikate h<strong>in</strong>zufügen klicken und e<strong>in</strong>e Zertifizierungsstelle<br />
auswählen, die benutzt wird, um die Quellcomputer zu authentifizieren.<br />
Klicken Sie auf OK.<br />
6. Klicken Sie auf Ereignisse auswählen und stellen Sie den Abfragefilter zusammen. Sie<br />
müssen entweder e<strong>in</strong> Protokoll oder e<strong>in</strong>e Quelle auswählen. Klicken Sie auf OK.<br />
7. Klicken Sie auf die Schaltfläche Erweitert, um das Dialogfeld Erweiterte Abonnemente<strong>in</strong>stellungen<br />
zu öffnen. Sie können hier drei Abonnementtypen konfigurieren:<br />
Normal Diese Option stellt sicher, dass die Ereignisse zuverlässig übermittelt<br />
werden. Es wird nicht versucht, Bandbreite zu sparen. Dies ist die richtige Wahl,<br />
sofern Sie die Bandbreitennutzung nicht genauer steuern oder weitergeleitete Ereignisse<br />
so schnell wie möglich übertragen wollen. Hier wird der Pull-Modus genutzt<br />
(das heißt der Sammelcomputer nimmt Kontakt mit dem Weiterleitungscomputer<br />
auf). Es werden 5 Ereignisse gleichzeitig übertragen, außer es s<strong>in</strong>d 15 M<strong>in</strong>uten verstrichen,<br />
dann werden alle Ereignisse übertragen, die verfügbar s<strong>in</strong>d.<br />
Bandbreite m<strong>in</strong>imieren Bei dieser Option wird die Netzwerkbandbreite, die für<br />
die Ereignisübermittlung erforderlich ist, so weit wie möglich verr<strong>in</strong>gert. Dies ist<br />
e<strong>in</strong>e gute Wahl, wenn Sie die Ereignisweiterleitung über e<strong>in</strong> WAN (Wide Area Network)<br />
vornehmen oder <strong>in</strong> e<strong>in</strong>em LAN (Local Area Network) e<strong>in</strong>e große Zahl von<br />
Computern überwachen. Es wird der Push-Modus e<strong>in</strong>gesetzt (das heißt, der Weiterleitungscomputer<br />
nimmt Kontakt mit dem Sammelcomputer auf), und die Ereignisse<br />
werden alle 6 Stunden übertragen.<br />
Wartezeit m<strong>in</strong>imieren Bei dieser Option wird sichergestellt, dass die Ereignisse<br />
mit möglichst ger<strong>in</strong>ger Verzögerung übermittelt werden. Dies ist die richtige Wahl,<br />
wenn Sie Warnungen oder kritische Ereignisse sammeln. Es wird der Push-Modus<br />
e<strong>in</strong>gesetzt, und es wird e<strong>in</strong> Zeitlimit von 30 Sekunden festgelegt, nach dem alle verfügbaren<br />
Ereignisse übertragen werden.<br />
Außerdem können Sie <strong>in</strong> diesem Dialogfeld festlegen, ob das Abonnement mit dem<br />
Protokoll HTTP oder HTTPS arbeitet. Wenn Sie e<strong>in</strong> sammlungs<strong>in</strong>itiiertes Abonne-
Lektion 1: Weiterleiten von Ereignissen 307<br />
ment e<strong>in</strong>richten, konfigurieren Sie <strong>in</strong> diesem Dialogfeld, welches Benutzerkonto für<br />
das Abonnement verwendet wird. Unabhängig davon, ob Sie die Standarde<strong>in</strong>stellung<br />
(das Computerkonto) verwenden oder e<strong>in</strong>en Benutzer angeben, müssen Sie sicherstellen,<br />
dass das Konto auf dem Weiterleitungscomputer Mitglied der Gruppe Ereignisprotokollleser<br />
ist.<br />
8. Klicken Sie auf OK, um das Dialogfeld Erweiterte Abonnemente<strong>in</strong>stellungen zu<br />
schließen.<br />
9. Klicken Sie im Dialogfeld Abonnementeigenschaften auf OK.<br />
In der Standarde<strong>in</strong>stellung prüfen normale Ereignisabonnements alle 15 M<strong>in</strong>uten, ob neue<br />
Ereignisse vorliegen. Sie können dieses Intervall verkürzen, um Ereignisse schneller auszulesen.<br />
Es gibt allerd<strong>in</strong>gs ke<strong>in</strong>e grafische Benutzeroberfläche, um diese Verzögerung e<strong>in</strong>zustellen.<br />
Sie müssen das Befehlszeilentool Wecutil verwenden, mit dem Sie den Sammelcomputer<br />
anfangs konfiguriert haben.<br />
Wenn Sie die Verzögerung für das Ereignisabonnement konfigurieren wollen, müssen Sie<br />
erst Ihr Abonnement <strong>in</strong> der Ereignisanzeige erstellen. Führen Sie dann an e<strong>in</strong>er E<strong>in</strong>gabeaufforderung<br />
mit erhöhten Rechten die folgenden beiden Befehle aus:<br />
wecutil ss /cm:custom<br />
wecutil ss /hi:<br />
Wenn Sie beispielsweise e<strong>in</strong> Abonnement namens »Kritische Ereignisse« erstellt haben und<br />
e<strong>in</strong>e Verzögerung von 1 M<strong>in</strong>ute e<strong>in</strong>stellen wollen, verwenden Sie die folgenden Befehle:<br />
wecutil ss "Kritische Ereignisse" /cm:custom<br />
wecutil ss "Kritische Ereignisse" /hi:6000<br />
Wenn Sie nun das Dialogfeld Abonnementeigenschaften öffnen und auf die Schaltfläche<br />
Erweitert klicken, ist im Dialogfeld Erweiterte Abonnemente<strong>in</strong>stellungen unter Event<br />
Delivery Optimization die Option Benutzerdef<strong>in</strong>iert ausgewählt (Abbildung 8.3). Diese<br />
Option kann über die grafische Benutzeroberfläche nicht ausgewählt werden.<br />
Abbildung 8.3 Nach der Konfiguration der Verzögerung<br />
mit Wecutil ist die Option Benutzerdef<strong>in</strong>iert ausgewählt
308 Kapitel 8: Leistung<br />
Wenn Sie das Intervall ermitteln wollen, können Sie folgenden Befehl ausführen:<br />
wecutil gs <br />
Wenn Sie zum Beispiel überprüfen wollen, ob das Intervall für das Abonnement »Kritische<br />
Ereignisse« 1 M<strong>in</strong>ute beträgt, können Sie den folgenden Befehl ausführen und nach dem<br />
Wert HeartbeatInterval suchen:<br />
wecutil gs "Kritische Ereignisse"<br />
Bei den Optionen Bandbreite m<strong>in</strong>imieren und Wartezeit m<strong>in</strong>imieren wird jeweils e<strong>in</strong>e bestimmte<br />
Zahl von Elementen auf e<strong>in</strong>mal übertragen. Sie können diesen Wert festlegen,<br />
<strong>in</strong>dem Sie an e<strong>in</strong>er E<strong>in</strong>gabeaufforderung den folgenden Befehl e<strong>in</strong>geben:<br />
w<strong>in</strong>rm get w<strong>in</strong>rm/config<br />
Konfigurieren der Ereignisweiterleitung mit HTTPS<br />
Wenn Sie die Ereignisweiterleitung so konfigurieren wollen, dass sie mit dem verschlüsselten<br />
Protokoll HTTPS arbeitet, müssen Sie auf dem Weiterleitungscomputer neben den Aufgaben,<br />
die im Abschnitt »Konfigurieren des Weiterleitungscomputers« weiter oben <strong>in</strong> dieser<br />
Lektion beschrieben s<strong>in</strong>d, zusätzlich die folgenden Aufgaben durchführen:<br />
1. Konfigurieren Sie den Computer mit e<strong>in</strong>em Computerzertifikat. In AD DS-Umgebungen<br />
können Sie das automatisch mithilfe e<strong>in</strong>er <strong>Unternehmen</strong>szertifizierungsstelle erledigen.<br />
2. Erstellen Sie e<strong>in</strong>e <strong>W<strong>in</strong>dows</strong>-Firewallausnahme für TCP-Port 443.<br />
3. Führen Sie an e<strong>in</strong>er E<strong>in</strong>gabeaufforderung mit erhöhten Rechten den folgenden Befehl<br />
aus: w<strong>in</strong>rm quickconfig -transport:https<br />
Auf dem Sammelcomputer müssen Sie die Abonnementeigenschaften so ändern, dass statt<br />
HTTP das Protokoll HTTPS benutzt wird. Außerdem muss der Sammelcomputer der Zertifizierungsstelle<br />
vertrauen, die das Computerzertifikat ausgestellt hat. Das geschieht automatisch,<br />
sofern das Zertifikat von e<strong>in</strong>er <strong>Unternehmen</strong>szertifizierungsstelle ausgestellt wurde<br />
und der Weiterleitungscomputer sowie der Sammelcomputer Mitglieder derselben AD DS-<br />
Domäne s<strong>in</strong>d.<br />
Falls Sie für das Abonnement die Optionen Bandbreite m<strong>in</strong>imieren oder Wartezeit m<strong>in</strong>imieren<br />
konfiguriert haben, müssen Sie auch e<strong>in</strong> Computerzertifikat und e<strong>in</strong>e HTTPS-<strong>W<strong>in</strong>dows</strong>-<br />
Firewallausnahme auf dem Sammelcomputer konfigurieren.<br />
Tipp Auswählen, welche Ereignisse weitergeleitet werden<br />
<strong>W<strong>in</strong>dows</strong> 7 speichert e<strong>in</strong>e Vielzahl sehr nützlicher Informationen im Ereignisprotokoll, aber<br />
der größte Teil des Inhalts besteht aus ziemlich nutzlosen Informationen. Für die Ereignisweiterleitung<br />
sollten Sie sich auf Ereignisse konzentrieren, auf die Sie schnell reagieren<br />
müssen.<br />
Welche Ereignisse so nützlich s<strong>in</strong>d, dass sich die Weiterleitung lohnt, f<strong>in</strong>den Sie heraus,<br />
<strong>in</strong>dem Sie jedes Mal, wenn e<strong>in</strong> Benutzer wegen e<strong>in</strong>es Problems anruft, das Ereignisprotokoll<br />
untersuchen. Ist dar<strong>in</strong> e<strong>in</strong> Ereignis aufgetaucht, entweder kurz bevor oder nachdem das Problem<br />
aufgetreten ist? Wenn das der Fall ist und das Ereignis nur ersche<strong>in</strong>t, wenn Probleme<br />
auftreten, sollten Sie für dieses Ereignis die Weiterleitung konfigurieren.
Lektion 1: Weiterleiten von Ereignissen 309<br />
Konfigurieren der Ereignisweiterleitung <strong>in</strong> Arbeitsgruppenumgebungen<br />
Die Ereignisweiterleitung wird normalerweise nur <strong>in</strong> großen Umgebungen benötigt, die mit<br />
AD DS-Domänen arbeiten. Sie können die Ereignisweiterleitung aber auch <strong>in</strong> Arbeitsgruppenumgebungen<br />
konfigurieren. Dieser Vorgang verläuft ganz ähnlich wie <strong>in</strong> AD DS-Umgebungen,<br />
abgesehen von den folgenden Ausnahmen:<br />
Sie müssen auf jedem Weiterleitungscomputer e<strong>in</strong>e <strong>W<strong>in</strong>dows</strong>-Firewallausnahme für die<br />
Remote-Ereignisprotokollverwaltung h<strong>in</strong>zufügen.<br />
Sie müssen auf jedem Weiterleitungscomputer e<strong>in</strong> Konto mit Adm<strong>in</strong>istratorprivilegien<br />
zur lokalen Gruppe Ereignisprotokollleser h<strong>in</strong>zufügen. Dieses Konto geben Sie im Dialogfeld<br />
Erweiterte Abonnemente<strong>in</strong>stellungen an, wenn Sie e<strong>in</strong> Abonnement auf dem<br />
Sammelcomputer erstellen.<br />
Sie müssen auf jedem Sammelcomputer den folgenden Befehl ausführen, damit<br />
die Weiterleitungscomputer mit NTLM-Authentifizierung arbeiten können:<br />
w<strong>in</strong>rm set w<strong>in</strong>rm/config/client @{TrustedHosts=""}.<br />
In diesem Beispiel steht für e<strong>in</strong>e kommagetrennte Liste mit<br />
Weiterleitungscomputern. Stattdessen können Sie auch e<strong>in</strong>en Platzhalter verwenden,<br />
zum Beispiel »msft*«.<br />
Prüfungstipp<br />
Denken Sie bei der Prüfung daran, dass Sie den Parameter TrustedHosts auf dem Sammelcomputer<br />
konfigurieren müssen, nicht auf dem Weiterleitungscomputer. Das ist etwas<br />
unlogisch und wird daher oft verwechselt.<br />
Schnelltest<br />
1. Welchen Befehl führen Sie aus, um e<strong>in</strong>en Sammelcomputer so zu konfigurieren, dass<br />
er quellcomputer<strong>in</strong>itiierte Abonnements verwendet?<br />
2. Welche Protokolle kann die Ereignisweiterleitung nutzen?<br />
3. Bei welcher Gruppe auf dem Weiterleitungscomputer muss der Sammelcomputer Mitglied<br />
se<strong>in</strong>?<br />
Antworten zum Schnelltest<br />
1. Führen Sie w<strong>in</strong>rm quickconfig aus.<br />
2. HTTP und HTTPS.<br />
3. Die Gruppe Ereignisprotokollleser.<br />
Problembehandlung für die Ereignisweiterleitung<br />
Falls die Ereignisweiterleitung nicht richtig zu funktionieren sche<strong>in</strong>t, sollten Sie nach dem<br />
folgenden Schema vorgehen, um das Problem zu beseitigen:<br />
1. Stellen Sie sicher, dass Sie lange genug gewartet haben, bis das Ereignis auch weitergeleitet<br />
wurde. Die Weiterleitung von Ereignissen bei der E<strong>in</strong>stellung Normal kann bis zu<br />
15 M<strong>in</strong>uten dauern. Die Verzögerung kann länger se<strong>in</strong>, wenn der Weiterleitungs- oder
310 Kapitel 8: Leistung<br />
der Sammelcomputer vor Kurzem neu gestartet wurde, weil der Dienst <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung<br />
so konfiguriert ist, dass er zwar automatisch startet, aber mit e<strong>in</strong>er gewissen<br />
Verzögerung (damit er die Startgeschw<strong>in</strong>digkeit nicht verschlechtert). Der 15-<br />
M<strong>in</strong>uten-Zähler beg<strong>in</strong>nt erst, wenn der Dienst <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung gestartet ist.<br />
2. Prüfen Sie das Ereignisprotokoll Anwendungs- und Dienstprotokolle\Microsoft\<strong>W<strong>in</strong>dows</strong>\<br />
Eventlog-ForwardPlug<strong>in</strong>\Betriebsbereit und stellen Sie sicher, dass das Abonnement<br />
erfolgreich erstellt wurde. Die Ereignis-ID 100 gibt an, dass e<strong>in</strong> neues Abonnement<br />
erstellt wurde, die Ereignis-ID 103 gibt an, dass e<strong>in</strong> Abonnement aufgelöst wurde.<br />
3. Prüfen Sie im Sicherheitsereignisprotokoll, ob sich Weiterleitungs- und Sammelcomputer<br />
richtig authentifizieren. Aktivieren Sie bei Bedarf die Erfolgs- und Fehlerüberwachung,wie<br />
<strong>in</strong> Kapitel 4, »Sicherheit«, beschrieben.<br />
4. Stellen Sie sicher, dass das Abonnement aktiv ist. Überprüfen Sie auf dem Sammelcomputer<br />
den Knoten Ereignisanzeige\Abonnements. Der Abonnementstatus sollte »Aktiv«<br />
se<strong>in</strong>. Falls das nicht so ist, sollten Sie mit der rechten Maustaste auf das Abonnement<br />
klicken und den Befehl Laufzeitstatus wählen. Die Ereignisanzeige zeigt im Dialogfeld<br />
Laufzeitstatus des Abonnements e<strong>in</strong>en Fehlercode an.<br />
5. Stellen Sie sicher, dass auf dem Weiterleitungscomputer der Listener für die <strong>W<strong>in</strong>dows</strong>-<br />
Remoteverwaltung richtig konfiguriert ist. Geben Sie an e<strong>in</strong>er E<strong>in</strong>gabeaufforderung mit<br />
erhöhten Rechten den folgenden Befehl e<strong>in</strong>: w<strong>in</strong>rm enumerate w<strong>in</strong>rm/config/Listener.<br />
Wenn der <strong>W<strong>in</strong>dows</strong>-Remoteverwaltungs-Listener nicht konfiguriert ist, ist die Ausgabe<br />
leer. Falls der <strong>W<strong>in</strong>dows</strong>-Remoteverwaltungs-Listener für HTTP richtig konfiguriert ist,<br />
sieht die Ausgabe zum Beispiel so aus:<br />
Listener<br />
Address = *<br />
Transport = HTTP<br />
Port = 80<br />
Hostname<br />
Enabled = true<br />
URLPrefix = wsman<br />
CertificateThumbpr<strong>in</strong>t<br />
Listen<strong>in</strong>gOn = 127.0.0.1, 192.168.1.214, ::1, fe80::100:7f:ffe%9,<br />
fe80::5efe:192.168.1.214%10<br />
Wenn der <strong>W<strong>in</strong>dows</strong>-Remoteverwaltungs-Listener für HTTPS richtig konfiguriert ist,<br />
sieht die Ausgabe etwa folgendermaßen aus (der Hostname muss dem Namen entsprechen,<br />
mit dem der Ereignissammler den Computer identifiziert):<br />
Listener<br />
Address = *<br />
Transport = HTTPS<br />
Port = 443<br />
Hostname = w<strong>in</strong>7.nwtraders.msft<br />
Enabled = true<br />
URLPrefix = wsman<br />
CertificateThumbpr<strong>in</strong>t = 52 31 db a8 45 50 1f 29 d9 3e 16 f0 da 82 ae 94 18 8f 61 5e<br />
Listen<strong>in</strong>gOn = 127.0.0.1, 192.168.1.214, ::1, fe80::100:7f:ffe%9,<br />
fe80::5efe:192.168.1.214%10
Lektion 1: Weiterleiten von Ereignissen 311<br />
6. Stellen Sie sicher, dass der Sammelcomputer e<strong>in</strong>e Verb<strong>in</strong>dung mit der <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung<br />
auf dem Weiterleitungscomputer herstellen kann. Geben Sie auf dem Sammelcomputer<br />
an e<strong>in</strong>er E<strong>in</strong>gabeaufforderung mit erhöhten Rechten den folgenden Befehl<br />
e<strong>in</strong>: w<strong>in</strong>rm id -remote:..<br />
Heißt der Weiterleitungscomputer beispielsweise w<strong>in</strong>7.nwtraders.msft, lautet der entsprechende<br />
Befehl: w<strong>in</strong>rm id -remote:w<strong>in</strong>7.nwtraders.msft.<br />
Die Ausgabe sieht so aus:<br />
IdentifyResponse<br />
ProtocolVersion = http://schemas.dmtf.org/wbem/wsman/1/wsman.xsd<br />
ProductVender = Microsoft Corporation<br />
ProductVersion = OS: 6.0.6000 SP: 0.0 Stack: 1.0<br />
Falls Sie die Meldung »Die WS-Verwaltung konnte ke<strong>in</strong>e Verb<strong>in</strong>dung mit dem angegebenen<br />
Ziel herstellen« bekommen, sollten Sie sicherstellen, dass der Dienst <strong>W<strong>in</strong>dows</strong>-<br />
Remoteverwaltung auf dem Weiterleitungscomputer gestartet ist und ke<strong>in</strong>e Firewall die<br />
Verb<strong>in</strong>dungen zwischen den beiden Computern blockiert.<br />
7. Stellen Sie sicher, dass das Benutzerkonto, das vom Abonnement benutzt wird, auf dem<br />
Weiterleitungscomputer die erforderlichen Privilegien hat. Aktivieren Sie bei Bedarf die<br />
Fehler-Sicherheitsüberwachung auf dem Remotecomputer (wie <strong>in</strong> Kapitel 4 beschrieben),<br />
warten Sie darauf, dass Ereignisse weitergeleitet werden, und suchen Sie dann im<br />
Sicherheitsereignisprotokoll nach Anmeldefehlern. Außerdem können Sie das Abonnement<br />
temporär so konfigurieren, dass es das Konto e<strong>in</strong>es Domänenadm<strong>in</strong>istrators verwendet.<br />
Wenn das Abonnement mit dem Konto des Domänenadm<strong>in</strong>istrators funktioniert,<br />
ist die Ursache Ihres Problems def<strong>in</strong>itiv bei der Authentifizierung zu suchen. Beseitigen<br />
Sie das Authentifizierungsproblem und konfigurieren Sie das Abonnement anschließend<br />
wieder so, dass es das ursprüngliche Benutzerkonto verwendet.<br />
8. Falls das Abonnement so konfiguriert ist, dass es das Computerkonto für die Authentifizierung<br />
verwendet, müssen Sie sicherstellen, dass das Konto des Sammelcomputers auf<br />
dem Weiterleitungscomputer Mitglied der lokalen Gruppe Ereignisprotokollleser ist. Ist<br />
das Abonnement so konfiguriert, dass es e<strong>in</strong> anderes Benutzerkonto verwendet, muss<br />
dieses Konto auf dem Weiterleitungscomputer Mitglied der lokalen Gruppe Ereignisprotokollleser<br />
se<strong>in</strong>.<br />
9. Stellen Sie sicher, dass die folgenden Dienste auf dem Weiterleitungscomputer gestartet<br />
wurden:<br />
<strong>W<strong>in</strong>dows</strong>-Remoteverwaltung (WS-Verwaltung)<br />
<strong>W<strong>in</strong>dows</strong>-Ereignissammlung<br />
10. Stellen Sie sicher, dass auf dem Sammelcomputer der Dienst <strong>W<strong>in</strong>dows</strong>-Ereignissammlung<br />
gestartet wurde.<br />
11. Überprüfen Sie die <strong>W<strong>in</strong>dows</strong>-Firewalle<strong>in</strong>stellungen auf dem Weiterleitungscomputer:<br />
Stellen Sie sicher, dass die Firewallausnahme <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung (HTTP<br />
e<strong>in</strong>gehend) aktiviert ist.<br />
Falls Sie statt HTTP das Protokoll HTTPS verwenden, müssen Sie sicherstellen, dass<br />
Sie e<strong>in</strong>e benutzerdef<strong>in</strong>ierte Firewallausnahme für TCP-Port 443 erstellt und aktiviert<br />
haben.
312 Kapitel 8: Leistung<br />
Stellen Sie sicher, dass Weiterleitungscomputer und Sammelcomputer an private<br />
oder Domänennetzwerke angeschlossen s<strong>in</strong>d, und nicht an öffentliche Netzwerke.<br />
Sie können das Netzwerkprofil überprüfen, <strong>in</strong>dem Sie <strong>in</strong> der Taskleiste auf das Netzwerksymbol<br />
und dann auf Netzwerk- und Freigabecenter öffnen klicken. Im Netzwerk-<br />
und Freigabecenter steht der Profiltyp h<strong>in</strong>ter dem Netzwerknamen. Sollte hier<br />
»Öffentliches Netzwerk« stehen, müssen Sie auf den L<strong>in</strong>k klicken und den Profiltyp<br />
auf »Arbeitsplatznetzwerk« ändern, für den das private Netzwerkprofil angewendet<br />
wird.<br />
12. Stellen Sie sicher, dass die Firewallausnahme <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung (HTTP e<strong>in</strong>gehend)<br />
nicht nur auf dem Weiterleitungscomputer, sondern auch auf dem Sammelcomputer<br />
aktiviert ist.<br />
13. Stellen Sie sicher, dass ke<strong>in</strong>e Netzwerkfirewall den Verkehr blockiert, <strong>in</strong>dem Sie die<br />
Verb<strong>in</strong>dung testen. Weil auf dem Weiterleitungscomputer HTTP und unter Umständen<br />
auch HTTPS verfügbar se<strong>in</strong> muss, können Sie versuchen, vom Sammelcomputer aus im<br />
<strong>W<strong>in</strong>dows</strong> Internet Explorer e<strong>in</strong>e Verb<strong>in</strong>dung herzustellen. Geben Sie e<strong>in</strong>fach http://<br />
(oder https://, falls Sie HTTPS verwenden) <strong>in</strong> der<br />
Adressleiste e<strong>in</strong>. Sofern die Firewall auf dem Weiterleitungscomputer richtig konfiguriert<br />
ist, bekommen Sie den Fehlercode »HTTP 404«, und der Internet Explorer zeigt die<br />
Meldung »Die Webseite wurde nicht gefunden« an. Falls der Internet Explorer die Meldung<br />
»Die Webseite kann nicht angezeigt werden« anzeigt, wurde die Firewallausnahme<br />
auf dem Weiterleitungscomputer nicht aktiviert.<br />
14. Stellen Sie sicher, dass die Ereignisabfrage gültig ist. Gehen Sie dazu folgendermaßen<br />
vor:<br />
a. Zeigen Sie die Abonnementeigenschaften an und klicken Sie auf die Schaltfläche<br />
Ereignisse auswählen.<br />
b. Wählen Sie die Registerkarte XML aus, markieren Sie den Inhalt der Abfrage und<br />
drücken Sie die Tastenkomb<strong>in</strong>ation STRG+C, um sie <strong>in</strong> die Zwischenablage zu<br />
kopieren.<br />
c. Öffnen Sie e<strong>in</strong>e zweite Instanz der Ereignisanzeige. Klicken Sie mit der rechten<br />
Maustaste auf Ereignisanzeige und wählen Sie den Befehl Verb<strong>in</strong>dung mit anderem<br />
Computer herstellen. Wählen Sie den Weiterleitungscomputer aus und klicken Sie<br />
dann auf OK.<br />
d. Klicken Sie mit der rechten Maustaste auf Benutzerdef<strong>in</strong>ierte Ansichten und wählen<br />
Sie den Befehl Benutzerdef<strong>in</strong>ierte Ansicht erstellen.<br />
e. Wählen Sie im Dialogfeld Benutzerdef<strong>in</strong>ierte Ansicht erstellen die Registerkarte<br />
XML aus. Aktivieren Sie das Kontrollkästchen Manuell bearbeiten und klicken Sie<br />
auf Ja, wenn Sie dazu aufgefordert werden.<br />
f. Klicken Sie <strong>in</strong> das Abfragefeld und drücken Sie die Tastenkomb<strong>in</strong>ation STRG+V,<br />
um die Abfrage e<strong>in</strong>zufügen. Klicken Sie auf OK.<br />
g. Die neue benutzerdef<strong>in</strong>ierte Ansicht wird geöffnet und zeigt die zutreffenden Ereignisse<br />
an. S<strong>in</strong>d irgendwelche Ereignisse neu aufgetaucht, seit Sie die Ereignisweiterleitung<br />
erstellt haben, müssten sie weitergeleitet worden se<strong>in</strong>. Wenn es ke<strong>in</strong>e neuen<br />
Ereignisse gibt, liegt das Problem bei Ihren Weiterleitungskriterien. Versuchen Sie,<br />
e<strong>in</strong>e benutzerdef<strong>in</strong>ierte Ansicht zu erstellen, die genau die Ereignisse anzeigt, die Sie
Lektion 1: Weiterleiten von Ereignissen 313<br />
weiterleiten wollen, und importieren Sie diese Ansicht dann <strong>in</strong> e<strong>in</strong> neues Abonnement.<br />
Übung Weiterleiten von Ereignissen zwischen Computern<br />
In dieser Übung konfigurieren Sie die Ereignisweiterleitung zwischen zwei Computern unter<br />
Verwendung der Standarde<strong>in</strong>stellungen.<br />
Übung 1 E<strong>in</strong>en Computer so konfigurieren, dass er Ereignisse sammelt<br />
In dieser Übung konfigurieren Sie e<strong>in</strong>en Computer, der Ereignisse sammelt.<br />
1. Melden Sie sich an dem <strong>W<strong>in</strong>dows</strong> 7-Computer, der Ereignisse sammeln soll, unter e<strong>in</strong>em<br />
Domänenkonto an, das über adm<strong>in</strong>istrative Privilegien verfügt.<br />
2. Öffnen Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung mit erhöhten Rechten, <strong>in</strong>dem Sie im Suchfeld des<br />
Startmenüs cmd e<strong>in</strong>geben und die Tastenkomb<strong>in</strong>ation STRG+UMSCHALT+EINGABE-<br />
TASTE drücken.<br />
3. Führen Sie <strong>in</strong> der E<strong>in</strong>gabeaufforderung den folgenden Befehl aus, um den Dienst<br />
<strong>W<strong>in</strong>dows</strong>-Ereignissammlung zu konfigurieren:<br />
wecutil qc<br />
4. Sie werden gefragt, ob Sie den Dienststartmodus auf »Verzögert« setzen wollen.<br />
Drücken Sie die Taste J und dann die EINGABETASTE.<br />
Übung 2 E<strong>in</strong>en Computer so konfigurieren, dass er Ereignisse weiterleitet<br />
In dieser Übung konfigurieren Sie e<strong>in</strong>en <strong>W<strong>in</strong>dows</strong> 7-Computer, der Ereignisse an den Sammelcomputer<br />
weiterleitet. Um diese Übung durcharbeiten zu können, müssen Sie Übung 1<br />
abgeschlossen haben.<br />
1. Melden Sie sich an dem <strong>W<strong>in</strong>dows</strong> 7-Computer, der Ereignisse weiterleiten soll, unter<br />
e<strong>in</strong>em Domänenkonto an, das über adm<strong>in</strong>istrative Privilegien verfügt.<br />
2. Öffnen Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung mit erhöhten Rechten, <strong>in</strong>dem Sie im Suchfeld des<br />
Startmenüs cmd e<strong>in</strong>geben und die Tastenkomb<strong>in</strong>ation STRG+UMSCHALT+EINGABE-<br />
TASTE drücken.<br />
3. Führen Sie an der E<strong>in</strong>gabeaufforderung den folgenden Befehl aus, um den Dienst<br />
<strong>W<strong>in</strong>dows</strong>-Remoteverwaltung zu konfigurieren: w<strong>in</strong>rm quickconfig.<br />
4. Sie werden gefragt, ob Sie den Dienststartmodus ändern wollen. Drücken Sie die Taste J<br />
und dann die EINGABETASTE.<br />
5. Sie werden gefragt, ob Sie den W<strong>in</strong>RM-Listener erstellen und die Firewallausnahme<br />
aktivieren wollen. Drücken Sie die Taste J und dann die EINGABETASTE.<br />
6. Überprüfen Sie mit den folgenden Schritten, ob die <strong>W<strong>in</strong>dows</strong>-Firewallkonfiguration<br />
aktualisiert wurde:<br />
a. Klicken Sie im Startmenü auf Systemsteuerung.<br />
b. Klicken Sie auf den L<strong>in</strong>k System und Sicherheit.<br />
c. Klicken Sie auf den L<strong>in</strong>k <strong>W<strong>in</strong>dows</strong>-Firewall.<br />
d. Klicken Sie auf den L<strong>in</strong>k Erweiterte E<strong>in</strong>stellungen.
314 Kapitel 8: Leistung<br />
e. Wählen Sie den Knoten E<strong>in</strong>gehende Regeln aus.<br />
f. Prüfen Sie <strong>in</strong> der Detailansicht, ob die Ausnahme <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung<br />
(HTTP e<strong>in</strong>gehend) für das Domänen- und das private Profil aktiviert ist.<br />
7. Überprüfen Sie mit den folgenden Schritten, ob der Dienst <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung<br />
so konfiguriert ist, dass er automatisch startet:<br />
a. Geben Sie im Suchfeld des Startmenüs den Befehl services.msc e<strong>in</strong> und drücken Sie<br />
die E<strong>in</strong>gabetaste.<br />
b. Wählen Sie <strong>in</strong> der Konsole Dienste den Dienst <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung (WS-<br />
Verwaltung) aus. Stellen Sie sicher, dass er gestartet wurde und dass der Starttyp<br />
Automatisch (Verzögerter Start) lautet.<br />
8. Nun müssen Sie dem Sammelcomputer die Berechtigung erteilen, das Ereignisprotokoll<br />
dieses Computers zu lesen. Wenn Sie diesen Schritt überspr<strong>in</strong>gen, müssten Sie das<br />
Abonnement so konfigurieren, dass es mit e<strong>in</strong>em adm<strong>in</strong>istrativen Benutzerkonto arbeitet.<br />
Gehen Sie folgendermaßen vor, um dem Sammelcomputerkonto Zugriff zu gewähren:<br />
a. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie<br />
den Befehl Verwalten.<br />
b. Erweitern Sie unter System den Knoten Lokale Benutzer und Gruppen und wählen<br />
Sie Gruppen aus.<br />
c. Klicken Sie doppelt auf Ereignisprotokollleser.<br />
d. Klicken Sie im Dialogfeld Eigenschaften von Ereignisprotokollleser auf H<strong>in</strong>zufügen.<br />
e. Klicken Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen<br />
auf die Schaltfläche Objekttypen. In der Standarde<strong>in</strong>stellung wird nur nach Benutzern<br />
und Gruppen gesucht. Wir müssen aber das Computerkonto des Sammelcomputers<br />
h<strong>in</strong>zufügen. Aktivieren Sie also das Kontrollkästchen Computer und<br />
deaktivieren Sie die Kontrollkästchen Gruppen, Dienstkonten und Benutzer. Klicken<br />
Sie auf OK.<br />
f. Geben Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen<br />
den Namen des Sammelcomputers e<strong>in</strong>. Klicken Sie auf OK.<br />
g. Klicken Sie erneut auf OK, um das Dialogfeld Eigenschaften von Ereignisprotokollleser<br />
zu schließen.<br />
Übung 3 Konfigurieren e<strong>in</strong>es Ereignisabonnements<br />
In dieser Übung erstellen Sie e<strong>in</strong> Ereignisabonnement, um Ereignisse vom Weiterleitungscomputer<br />
zu sammeln. Um diese Übung durcharbeiten zu können, müssen Sie die Übungen<br />
1 und 2 abgeschlossen haben.<br />
1. Melden Sie sich an dem <strong>W<strong>in</strong>dows</strong> 7-Computer, der Ereignisse sammeln soll, unter e<strong>in</strong>em<br />
Domänenkonto an, das über adm<strong>in</strong>istrative Privilegien verfügt.<br />
2. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den<br />
Befehl Verwalten.<br />
3. Erweitern Sie <strong>in</strong> der Konsole Computerverwaltung die Knoten System und Ereignisanzeige.<br />
Klicken Sie mit der rechten Maustaste auf Abonnements und wählen Sie den<br />
Befehl Abonnement erstellen.
Lektion 1: Weiterleiten von Ereignissen 315<br />
4. Falls das Dialogfeld Ereignisanzeige angezeigt wird, müssen Sie auf Ja klicken, um den<br />
Dienst <strong>W<strong>in</strong>dows</strong>-Ereignissammlung zu konfigurieren.<br />
Das Dialogfeld Abonnementeigenschaften wird geöffnet.<br />
5. Geben Sie im Feld Abonnementname den Namen <strong>W<strong>in</strong>dows</strong>-Defender-Warnungen und<br />
-Fehler e<strong>in</strong>.<br />
6. Klicken Sie auf Computer auswählen. Klicken Sie im Dialogfeld Computer auf Domänencomputer<br />
h<strong>in</strong>zufügen. Geben Sie den Namen des Computers e<strong>in</strong>, der Ereignisse<br />
weiterleitet, und klicken Sie auf OK. Klicken Sie im Dialogfeld Computer auf Testen,<br />
um sicherzustellen, dass e<strong>in</strong>e Verb<strong>in</strong>dung zum Weiterleitungscomputer besteht. Klicken<br />
Sie zweimal auf OK.<br />
7. Klicken Sie auf die Schaltfläche Ereignisse auswählen. Aktivieren Sie im Dialogfeld<br />
Abfragefilter die Kontrollkästchen Fehler, Kritisch, Warnung und Informationen. Klicken<br />
Sie auf Per Quelle. Klicken Sie dann <strong>in</strong> die Dropdownliste Quellen und wählen Sie den<br />
E<strong>in</strong>trag <strong>W<strong>in</strong>dows</strong> Defender aus (Abbildung 8.4). Klicken Sie auf OK.<br />
Abbildung 8.4 Konfigurieren des Abfragefilters, dass<br />
er wichtige <strong>W<strong>in</strong>dows</strong>-Defender-Ereignisse weiterleitet<br />
8. Klicken Sie auf die Schaltfläche Erweitert, um das Dialogfeld Erweiterte Abonnemente<strong>in</strong>stellungen<br />
zu öffnen. Wie Sie sehen, ist als Standarde<strong>in</strong>stellung das Computerkonto<br />
ausgewählt. Das geht, weil wir das Domänenkonto dieses Computers auf dem Weiterleitungscomputer<br />
zur lokalen Gruppe Ereignisprotokollleser h<strong>in</strong>zugefügt haben. Außerdem<br />
ist das Abonnement <strong>in</strong> der Standarde<strong>in</strong>stellung so konfiguriert, dass es für die Ereignisübermittlung<br />
die Option Normal und das Protokoll HTTP verwendet. Klicken Sie<br />
auf OK.<br />
9. Klicken Sie im Dialogfeld Abonnementeigenschaften auf OK.
316 Kapitel 8: Leistung<br />
10. Generieren Sie nun auf dem Weiterleitungscomputer e<strong>in</strong> <strong>W<strong>in</strong>dows</strong>-Defender-Ereignis.<br />
Gehen Sie dazu folgendermaßen vor:<br />
a. Melden Sie sich am Weiterleitungscomputer an.<br />
b. Geben Sie im Suchfeld des Startmenüs Defender e<strong>in</strong>. Klicken Sie auf den E<strong>in</strong>trag<br />
Auf Spyware und andere eventuell unerwünschte Software überprüfen.<br />
<strong>W<strong>in</strong>dows</strong>-Defender überprüft den Computer und trägt e<strong>in</strong> Ereignis <strong>in</strong> das Ereignisprotokoll<br />
e<strong>in</strong>.<br />
11. Öffnen Sie noch auf dem Weiterleitungscomputer die Ereignisanzeige und sehen Sie sich<br />
das Protokoll Anwendungs- und Dienstprotokolle\Microsoft\<strong>W<strong>in</strong>dows</strong>\<strong>W<strong>in</strong>dows</strong> Defender\<br />
Operational an. Es müssten e<strong>in</strong>ige Informationsereignisse mit <strong>W<strong>in</strong>dows</strong> Defender als<br />
Quelle e<strong>in</strong>getragen se<strong>in</strong>.<br />
12. Wechseln Sie auf den Sammelcomputer. Wählen Sie das Ereignisprotokoll Weitergeleitete<br />
Ereignisse aus. Falls das <strong>W<strong>in</strong>dows</strong>-Defender-Ereignis nicht sofort angezeigt wird, müssen<br />
Sie e<strong>in</strong> paar M<strong>in</strong>uten warten. Es kann bis zu 15 M<strong>in</strong>uten dauern, bis das Ereignis<br />
ersche<strong>in</strong>t.<br />
Zusammenfassung der Lektion<br />
Die Ereignisweiterleitung arbeitet <strong>in</strong> der Standarde<strong>in</strong>stellung mit HTTP, sodass sie problemlos<br />
durch die meisten Firewalls geleitet wird. Sie können die Ereignisweiterleitung<br />
auch so konfigurieren, dass sie HTTPS benutzt. Die Kommunikation wird aber auch im<br />
normalen HTTP bereits verschlüsselt.<br />
Sie konfigurieren die Ereignisweiterleitung <strong>in</strong> e<strong>in</strong>er Domäne, <strong>in</strong>dem Sie auf dem Weiterleitungscomputer<br />
den Befehl w<strong>in</strong>rm quickconfig und auf dem Sammelcomputer den Befehl<br />
wecutil qc ausführen. Fügen Sie dann das Computerkonto des Sammelcomputers auf<br />
dem Weiterleitungscomputer zur Gruppe Ereignisprotokollleser h<strong>in</strong>zu.<br />
Wenn Sie die Ereignisweiterleitung <strong>in</strong> e<strong>in</strong>er Arbeitsgruppe konfigurieren wollen, gehen<br />
Sie im Wesentlichen genauso vor wie <strong>in</strong> e<strong>in</strong>er Domänenumgebung. Zusätzlich müssen<br />
Sie auf allen Weiterleitungscomputern e<strong>in</strong>e <strong>W<strong>in</strong>dows</strong>-Firewallausnahme für den Dienst<br />
Remote-Ereignisprotokollverwaltung erstellen, auf den Weiterleitungscomputern e<strong>in</strong><br />
Benutzerkonto mit Adm<strong>in</strong>istratorprivilegien zur Gruppe Ereignisprotokollleser h<strong>in</strong>zufügen<br />
und den Befehl w<strong>in</strong>rm set ausführen, um den Sammelcomputer so zu konfigurieren,<br />
dass er den Weiterleitungscomputern vertraut.<br />
Wenn Sie e<strong>in</strong>e Problembehandlung für die Ereignisweiterleitung durchführen, sollten Sie<br />
sicherstellen, dass Sie lange genug gewartet haben, dass die Abonnements aktiv s<strong>in</strong>d,<br />
dass die Konfiguration der <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung auf dem Weiterleitungs- und<br />
dem Sammelcomputer korrekt ist und dass das Benutzerkonto, das Sie für das Abonnement<br />
angegeben haben, auf dem Weiterleitungscomputer e<strong>in</strong> Mitglied der Gruppe Ereignisprotokollleser<br />
ist.<br />
Lernzielkontrolle<br />
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 1,<br />
»Weiterleiten von Ereignissen«, überprüfen. Die Fragen f<strong>in</strong>den Sie (<strong>in</strong> englischer Sprache)<br />
auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im Rahmen e<strong>in</strong>es<br />
Übungstests beantworten.
H<strong>in</strong>weis Die Antworten<br />
Lektion 1: Weiterleiten von Ereignissen 317<br />
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglichkeiten<br />
richtig oder falsch s<strong>in</strong>d, f<strong>in</strong>den Sie im Abschnitt »Antworten« am Ende dieses Buchs.<br />
1. Sie haben e<strong>in</strong>en Computer mit Standardkonfiguration vor sich. Welche der folgenden<br />
Schritte s<strong>in</strong>d erforderlich, um die Ereignisweiterleitung zu aktivieren? (Wählen Sie alle<br />
zutreffenden Antworten aus.)<br />
A. Starten Sie den Dienst <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung auf dem Weiterleitungscomputer.<br />
B. Starten Sie den Dienst <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung auf dem Sammelcomputer.<br />
C. Konfigurieren Sie die Internet<strong>in</strong>formationsdienste auf dem Weiterleitungscomputer.<br />
D. Aktivieren Sie e<strong>in</strong>e <strong>W<strong>in</strong>dows</strong>-Firewallausnahme auf dem Weiterleitungscomputer.<br />
E. Es muss nichts getan werden, die Ereignisweiterleitung ist <strong>in</strong> der Standarde<strong>in</strong>stellung<br />
aktiviert.<br />
2. Welches Tool verwenden Sie, um e<strong>in</strong> Abonnement zu konfigurieren, das mit e<strong>in</strong>em<br />
10-M<strong>in</strong>uten-Intervall arbeitet?<br />
A. Ereignisanzeige<br />
B. W<strong>in</strong>rm<br />
C. Wecutil<br />
D. Wevutil<br />
3. Wie lang ist das Standard<strong>in</strong>tervall für e<strong>in</strong> Abonnement, bei dem für die Bandbreitenoptimierung<br />
die Option Wartezeit m<strong>in</strong>imieren e<strong>in</strong>gestellt ist?<br />
A. 30 Sekunden<br />
B. 15 M<strong>in</strong>uten<br />
C. 30 M<strong>in</strong>uten<br />
D. 6 Stunden<br />
4. Welche der folgenden Aufgaben müssen Sie <strong>in</strong> e<strong>in</strong>er AD DS-Domänenumgebung durchführen,<br />
damit e<strong>in</strong> Computer Ereignisse von e<strong>in</strong>em anderen Computer sammeln kann?<br />
A. Führen Sie den folgenden Befehl auf dem Sammelcomputer aus:<br />
w<strong>in</strong>rm set w<strong>in</strong>rm/config/client @{TrustedHosts=""}.<br />
B. Führen Sie den folgenden Befehl auf dem Weiterleitungscomputer aus:<br />
w<strong>in</strong>rm set w<strong>in</strong>rm/config/client @{TrustedHosts=""}.<br />
C. Fügen Sie das Computerkonto des Weiterleitungscomputers zur lokalen Gruppe<br />
Ereignisprotokollleser h<strong>in</strong>zu.<br />
D. Fügen Sie das Computerkonto des Sammelcomputers zur lokalen Gruppe Ereignisprotokollleser<br />
h<strong>in</strong>zu.
318 Kapitel 8: Leistung<br />
Lektion 2: Behandeln von Leistungsproblemen<br />
Wenn bei e<strong>in</strong>em Benutzer Leistungsprobleme auftreten, müssen Sie wissen, wie Sie schnell<br />
die Ursache des Problems f<strong>in</strong>den und, sofern möglich, beseitigen. Glücklicherweise stellt<br />
<strong>W<strong>in</strong>dows</strong> 7 den Task-Manager zur Verfügung, der Ihnen e<strong>in</strong>en Überblick über die Systemleistung<br />
verschafft. Sie können im Task-Manager auch die Priorität und Prozessorzugehörigkeit<br />
e<strong>in</strong>es Prozesses ändern, um se<strong>in</strong>en Ressourcenverbrauch e<strong>in</strong>zuschränken. Mit der Leistungsüberwachung<br />
können Sie Tausende von Details über die System- und Anwendungsleistung<br />
<strong>in</strong> Echtzeit beobachten oder die Daten für e<strong>in</strong>e spätere Analyse aufzeichnen.<br />
Sammlungssätze zeichnen e<strong>in</strong>e Momentaufnahme des Zustands e<strong>in</strong>es Systems auf und<br />
speichern detaillierte Informationen über die Konfiguration des Computers für die spätere<br />
Analyse. Wenn Sie die Datenträger-E<strong>in</strong>-/Ausgabe als Ursache e<strong>in</strong>es Leistungsproblems<br />
e<strong>in</strong>gekreist haben, können Sie es unter Umständen beseitigen, <strong>in</strong>dem Sie Festplattenplatz<br />
freigeben und die Festplatte defragmentieren. Bei mobilen Computern müssen Sie E<strong>in</strong>stellungen<br />
untersuchen, die die Systemleistung verschlechtern, um die Akkulaufzeit zu verlängern.<br />
Sche<strong>in</strong>t e<strong>in</strong> Problem mit e<strong>in</strong>er automatisch gestarteten Anwendung oder e<strong>in</strong>em Dienst<br />
zu tun zu haben, können Sie das Tool Systemkonfiguration verwenden, um Startvorgänge<br />
<strong>in</strong>dividuell zu deaktivieren, bis Sie herausgefunden haben, welcher Prozess das Problem<br />
verursacht.<br />
Task-Manager<br />
Am Ende dieser Lektion werden Sie <strong>in</strong> der Lage se<strong>in</strong>, die folgenden Aufgaben auszuführen:<br />
Untersuchen der Systemleistung und Steuern e<strong>in</strong>zelner Prozesse mit dem Task-Manager<br />
Arbeiten mit der Leistungsüberwachung, um Echtzeitstatistiken zu untersuchen und<br />
protokollierte Daten mit e<strong>in</strong>er Leistungsbasel<strong>in</strong>e zu vergleichen<br />
Generieren von Berichten mit den Sammlungssätzen, die detaillierte Informationen über<br />
die Konfiguration e<strong>in</strong>es Computers und aufgetretene Probleme liefern<br />
Beseitigen von Leistungsproblemen bei Datenträgern durch Freigeben von Festplattenplatz<br />
Anpassen, wie mobile Computer Leistung und Akkulaufzeit optimieren, um die Anforderungen<br />
der Benutzer zu erfüllen<br />
Automatisch gestartete Anwendungen und Dienste mit dem Tool Systemkonfiguration<br />
e<strong>in</strong>zeln deaktivieren<br />
Veranschlagte Zeit für diese Lektion: 45 M<strong>in</strong>uten<br />
Der Task-Manager bietet die schnellste Möglichkeit, häufige Leistungsprobleme zu identifizieren.<br />
<strong>W<strong>in</strong>dows</strong> 7 macht es e<strong>in</strong>fach, den Task-Manager zu öffnen, sogar wenn die Benutzeroberfläche<br />
nicht fehlerfrei reagiert. Sie haben folgende Möglichkeiten, den Task-Manager<br />
zu öffnen:<br />
Klicken Sie mit der rechten Maustaste auf die Taskleiste oder die Systemuhr und wählen<br />
Sie den Befehl Task-Manager starten.<br />
Drücken Sie die Tastenkomb<strong>in</strong>ation STRG+ALT+ENTF und klicken Sie auf Task-<br />
Manager starten. Das funktioniert sogar, wenn die Benutzeroberfläche überhaupt nicht<br />
mehr reagiert.
Der Task-Manager hat sechs Registerkarten:<br />
Lektion 2: Behandeln von Leistungsproblemen 319<br />
Anwendungen E<strong>in</strong>e Liste der Anwendungen, die der aktuelle Benutzer geöffnet hat.<br />
Sie schließen e<strong>in</strong>e Anwendung, <strong>in</strong>dem Sie sie auswählen und auf Task beenden klicken.<br />
Falls das Startmenü nicht funktioniert, können Sie e<strong>in</strong>e neue Anwendung starten, <strong>in</strong>dem<br />
Sie auf Neuer Task klicken. Falls die <strong>W<strong>in</strong>dows</strong>-Explorer-Oberfläche nicht offen ist,<br />
können Sie auf Neuer Task klicken und dann <strong>W<strong>in</strong>dows</strong>-Explorer ausführen, um sie zu<br />
öffnen.<br />
Prozesse E<strong>in</strong>e Liste der Prozesse, die vom aktuellen Benutzer geöffnet wurden. Wenn<br />
Sie auf Prozesse aller Benutzer anzeigen klicken, bekommen Sie die offenen Prozesse<br />
aller Benutzer angezeigt. Welcher Prozess am meisten Prozessorzeit verbraucht, f<strong>in</strong>den<br />
Sie schnell heraus, <strong>in</strong>dem Sie auf den Spaltenkopf CPU klicken, damit die Prozesse nach<br />
ihrer Prozessorauslastung sortiert werden. Sie beenden e<strong>in</strong>en Prozess, <strong>in</strong>dem Sie ihn<br />
auswählen und auf Prozess beenden klicken. E<strong>in</strong>en Prozess zu beenden, ist besonders<br />
nützlich, wenn e<strong>in</strong>e Anwendung nicht mehr reagiert, aber die gesamte Prozessorzeit<br />
verbraucht und den Computer langsam macht.<br />
Dienste Listet alle Dienste auf dem Computer auf, sowohl die laufenden als auch die<br />
beendeten. Sie starten und beenden e<strong>in</strong>en Dienst, <strong>in</strong>dem Sie den E<strong>in</strong>trag mit der rechten<br />
Maustaste anklicken. Diese Registerkarte bietet ähnliche Funktionen wie die Konsole<br />
Dienste, aber mit dem Komfort des Task-Managers.<br />
Leistung Zeigt die aktuelle Prozessor- und Arbeitsspeicherauslastung. Wenn Ihnen e<strong>in</strong><br />
Computer langsam vorkommt, sollten Sie die Registerkarte Leistung öffnen und feststellen,<br />
ob Prozessor- oder Arbeitsspeicherauslastung das Problem verursacht. Wenn die<br />
Prozessorauslastung für das Problem verantwortlich ist, liegt bei e<strong>in</strong>em oder mehreren<br />
Prozessoren die CPU-Auslastung bei 100%, wie beim ersten Prozessor <strong>in</strong> Abbildung 8.5.<br />
Wird das Problem durch die Arbeitsspeicherauslastung verursacht, liegt der Wert im Diagramm<br />
Arbeitsspeicher nahe beim Wert Insgesamt aus dem Abschnitt Physikalischer<br />
Speicher (MB).<br />
Abbildung 8.5 Der Task-Manager zeigt die<br />
Prozessor- und Arbeitsspeicherauslastung an
320 Kapitel 8: Leistung<br />
Netzwerk Zeigt die Netzwerkauslastung jeder Netzwerkschnittstelle <strong>in</strong> e<strong>in</strong>em Diagramm<br />
an. Verwenden Sie diese Registerkarte, um festzustellen, ob e<strong>in</strong> langsames Netzwerk<br />
durch e<strong>in</strong>e Anwendung verursacht wird, die die gesamte verfügbare Bandbreite<br />
belegt. Kabelnetzwerkverb<strong>in</strong>dungen bieten normalerweise nicht mehr als <strong>70</strong>% Auslastung;<br />
daher können Sie e<strong>in</strong> Kabelnetzwerk mit e<strong>in</strong>er Auslastung von 65% als fast am<br />
Anschlag betrachten. Die verfügbare Bandbreite für Drahtlosnetzwerkverb<strong>in</strong>dungen<br />
variiert, aber meist liegt sie bei rund 35%, wie Sie <strong>in</strong> den Diagrammen der Registerkarte<br />
Netzwerk sehen können.<br />
Benutzer Listet die Benutzer auf, die momentan am Computer angemeldet s<strong>in</strong>d.<br />
Die folgenden Abschnitte beschreiben, wie Sie mit dem Task-Manager verschiedene Aufgaben<br />
durchführen.<br />
So verteilt <strong>W<strong>in</strong>dows</strong> Prozessorzeit zwischen Anwendungen<br />
Damit Sie Leistungsprobleme beseitigen können, müssen Sie wissen, wie Anwendungen,<br />
Prozesse und Threads zusammenhängen. E<strong>in</strong>e Anwendung oder e<strong>in</strong> Dienst ist normalerweise<br />
mit e<strong>in</strong>em e<strong>in</strong>zigen Prozess verknüpft, es gibt allerd<strong>in</strong>gs auch e<strong>in</strong>ige Anwendungen<br />
oder Dienste, die mehrere Prozesse starten. Prozesse laufen <strong>in</strong>nerhalb von Threads. Jede<br />
Anwendung hat m<strong>in</strong>destens e<strong>in</strong>en Thread, unter Umständen auch mehrere. Es gibt Anwendungen,<br />
die Hunderte von Threads verwenden.<br />
E<strong>in</strong> Prozessor (oder Prozessorkern) kann nur e<strong>in</strong>en Thread gleichzeitig ausführen. E<strong>in</strong><br />
Computer, der e<strong>in</strong>en Prozessor hat, kann dennoch mehrere Anwendungen ausführen, weil<br />
<strong>W<strong>in</strong>dows</strong> den Prozessor zwischen unterschiedlichen Prozessen und Threads h<strong>in</strong>- und herschaltet.<br />
Threads mit höherer Priorität erhalten mehr Prozessorzeit als Threads mit ger<strong>in</strong>gerer<br />
Priorität.<br />
Die meisten modernen Computer haben Prozessoren mit mehreren Kernen. Jeder Prozessorkern<br />
arbeitet wie e<strong>in</strong> eigener Prozessor. Wenn Sie sich die Registerkarte Leistung im Task-<br />
Manager ansehen, zeigt das Diagramm CPU-Auslastung die Gesamtauslastung aller Prozessoren,<br />
und das Diagramm Verlauf der CPU-Auslastung e<strong>in</strong>en eigenen Bereich für jeden Prozessorkern.<br />
Wenn Sie nur e<strong>in</strong> Diagramm im Abschnitt Verlauf der CPU-Auslastung sehen,<br />
sollten Sie im Menü Ansicht auf CPU-Verlauf und dann auf E<strong>in</strong> Diagramm pro CPU klicken.<br />
Abbildung 8.6 <strong>W<strong>in</strong>dows</strong> weist Threads Prozessorzeit zu<br />
E<strong>in</strong>e der wichtigsten Aufgaben von <strong>W<strong>in</strong>dows</strong> besteht dar<strong>in</strong>, die Prozessorzeit zu verteilen.<br />
Wenn mehrere Anwendungen laufen, von denen viele mehrere Threads haben, und mehrere<br />
Prozessorkerne vorhanden s<strong>in</strong>d, kann es sehr kompliziert se<strong>in</strong>, die Prozessorzeit zu verteilen.
Lektion 2: Behandeln von Leistungsproblemen 321<br />
Glücklicherweise erledigt <strong>W<strong>in</strong>dows</strong> das automatisch (siehe Abbildung 8.6), sodass Sie die<br />
Standarde<strong>in</strong>stellungen nur selten anpassen müssen.<br />
Es gibt gelegentlich Fälle, <strong>in</strong> denen es notwendig ist, Prozesse von Hand zu steuern:<br />
E<strong>in</strong> e<strong>in</strong>ziger Prozess verbraucht zu viel Prozessorzeit, sodass er andere Prozesse bremst.<br />
Anwendungen lasten den Prozessor vollständig aus, und Sie möchten, dass e<strong>in</strong>e bestimmte<br />
Anwendung mehr oder weniger Prozessorzeit als andere erhält.<br />
E<strong>in</strong>e Anwendung reagiert nicht und Sie wollen ihre Prozesse zwangsweise beenden.<br />
Die folgenden Abschnitte zeigen, wie Sie diese Aufgaben ausführen.<br />
Feststellen, welches Programm am meisten Prozessorzeit verbraucht<br />
Sie können im Task-Manager feststellen, welcher Prozess außergewöhnlich viel Prozessorzeit<br />
verbraucht. Bei Bedarf können Sie den Prozess zwangsweise beenden. Gehen Sie dazu<br />
folgendermaßen vor:<br />
1. Starten Sie den Task-Manager.<br />
2. Klicken Sie auf der Registerkarte Prozesse auf den Spaltenkopf CPU.<br />
3. Der Prozess, der am meisten Prozessorzeit verbraucht, steht nun am Anfang der Liste.<br />
4. Da Sie nun wissen, welcher Prozess die höchste Auslastung verursacht, können Sie die<br />
Priorität dieses Prozesses ändern (was die Leistung anderer Anwendungen verbessern<br />
könnte), den Prozess beenden oder ihn an bestimmte Prozessorkerne b<strong>in</strong>den. Wählen Sie<br />
dazu e<strong>in</strong>e der folgenden Möglichkeiten:<br />
Sie ändern die Priorität des Prozesses, <strong>in</strong>dem Sie mit der rechten Maustaste auf den<br />
Prozess klicken, das Untermenü Priorität festlegen öffnen und die gewünschte Priorität<br />
wählen. Prozesse mit ger<strong>in</strong>gerer Priorität erhalten weniger Prozessorzeit, Prozesse<br />
mit höherer Priorität mehr Prozessorzeit. Die meisten Prozesse laufen mit der<br />
Priorität Normal. Der Task-Manager ist e<strong>in</strong>e wichtige Ausnahme, er läuft standardmäßig<br />
mit der Priorität Hoch, damit Sie ihn bedienen können, selbst wenn e<strong>in</strong>e andere<br />
Anwendung große Mengen an Prozessorzeit mit Beschlag belegt. Sie sollten e<strong>in</strong>em<br />
Prozess nie die Priorität Echtzeit zuweisen, weil das unter Umständen die Benutzeroberfläche<br />
unbedienbar macht.<br />
In der Standarde<strong>in</strong>stellung kann <strong>W<strong>in</strong>dows</strong> e<strong>in</strong>en Prozess auf jedem beliebigen Prozessorkern<br />
ausführen. Auf e<strong>in</strong>em Computer mit mehreren Kernen können Sie e<strong>in</strong>en<br />
Prozess auf bestimmte Prozessorkerne beschränken, <strong>in</strong>dem Sie den Prozess mit der<br />
rechten Maustaste anklicken und den Befehl Zugehörigkeit festlegen wählen. Abbildung<br />
8.7 zeigt das Dialogfeld Prozessorzugehörigkeit, <strong>in</strong> dem Sie auswählen, welche<br />
Prozessorkerne e<strong>in</strong> Prozess benutzen darf. Im Beispiel aus Abbildung 8.7 wird Iexplore.exe<br />
(der Internet Explorer-Prozess) auf zwei der vier Prozessorkerne beschränkt.<br />
So ist sichergestellt, dass der Internet Explorer höchstens die Hälfte der gesamten<br />
Prozessorzeit verbraucht. Wenn Sie e<strong>in</strong>en Prozess schließen und neu starten, wird die<br />
Prozessorzugehörigkeit zurückgesetzt.<br />
Sie beenden den Prozess, <strong>in</strong>dem Sie ihn mit der rechten Maustaste anklicken und<br />
den Befehl Prozess beenden wählen. Stattdessen können Sie auch Prozessstruktur<br />
beenden wählen, um alle Prozesse zu beenden, die dieser Prozess gestartet hat.
322 Kapitel 8: Leistung<br />
Abbildung 8.7 Im Dialogfeld Prozessorzugehörigkeit schränken Sie e<strong>in</strong>,<br />
auf welchen Prozessorkernen e<strong>in</strong> Prozess ausgeführt werden darf<br />
Beenden e<strong>in</strong>es Programms<br />
Gelegentlich kommt es vor, dass e<strong>in</strong> Programm nicht mehr reagiert. Normalerweise können<br />
Sie die Anwendung auf der Taskleiste mit der rechten Maustaste anklicken und den Befehl<br />
Fenster schließen wählen. Nach wenigen Sekunden fragt <strong>W<strong>in</strong>dows</strong> nach, ob die nicht<br />
reagierende Anwendung beendet werden soll.<br />
Funktioniert das nicht, können Sie e<strong>in</strong>e Anwendung folgendermaßen im Task-Manager<br />
schließen:<br />
1. Wählen Sie die Anwendung im Task-Manager auf der Registerkarte Anwendungen aus.<br />
2. Klicken Sie auf Task beenden.<br />
3. Falls der Task-Manager die Anwendung nicht beenden kann, öffnet sich das Dialogfeld<br />
Programm beenden. Klicken Sie auf Jetzt beenden.<br />
Wenn Sie herausf<strong>in</strong>den wollen, welcher Prozess mit e<strong>in</strong>er Anwendung verknüpft ist, können<br />
Sie die Anwendung auf der Registerkarte Anwendungen mit der rechten Maustaste anklicken<br />
und den Befehl Zu Prozess wechseln wählen.<br />
Leistungsüberwachung<br />
Wie bei älteren <strong>W<strong>in</strong>dows</strong>-Versionen ist die Leistungsüberwachung e<strong>in</strong> Snap-In, das Echtzeitdaten<br />
<strong>in</strong> grafischer Form anzeigt (Abbildung 8.8).<br />
Die folgenden Abschnitte beschreiben, wie Sie Echtzeitdaten überwachen, das Diagramm<br />
der Leistungsüberwachung konfigurieren und mehrere Diagramme mite<strong>in</strong>ander vergleichen.<br />
Überwachen von Echtzeit-Leistungsdaten<br />
Gehen Sie folgendermaßen vor, um die Leistungsüberwachung zu öffnen:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den<br />
Befehl Verwalten.<br />
2. Erweitern Sie System, dann Leistung und Überwachungstools. Wählen Sie Leistungsüberwachung<br />
aus.
Lektion 2: Behandeln von Leistungsproblemen 323<br />
3. Fügen Sie Leistungs<strong>in</strong>dikatoren zum Echtzeitdiagramm h<strong>in</strong>zu, <strong>in</strong>dem Sie auf die grüne<br />
Plus-Schaltfläche auf der Symbolleiste klicken. Sie können auch Daten von anderen<br />
Computern im Netzwerk anzeigen.<br />
Abbildung 8.8 Anzeige von Echtzeitdaten <strong>in</strong> der Leistungsüberwachung<br />
Jede Kurve im Diagramm hat e<strong>in</strong>e andere Farbe. Sie heben e<strong>in</strong>e bestimmte Kurve hervor,<br />
<strong>in</strong>dem Sie den gewünschten Leistungs<strong>in</strong>dikator auswählen und die Tastenkomb<strong>in</strong>ation<br />
STRG+H drücken. Der ausgewählte Leistungs<strong>in</strong>dikator wird fett und <strong>in</strong> schwarzer Farbe im<br />
Diagramm hervorgehoben.<br />
Die Leistungsüberwachung weist den von Ihnen ausgewählten Indikatoren automatisch<br />
Kurvenfarben und -stile zu. Sie können die Kurvenfarben und -stile aber auch von Hand<br />
konfigurieren. Gehen Sie dazu folgendermaßen vor:<br />
1. Klicken Sie auf das Menü Aktion und wählen Sie den Befehl Eigenschaften.<br />
Das Dialogfeld Eigenschaften von Leistungsüberwachung wird geöffnet.<br />
2. Klicken Sie auf die Registerkarte Daten.<br />
3. Wählen Sie <strong>in</strong> der Liste Leistungs<strong>in</strong>dikatoren den E<strong>in</strong>trag aus, den Sie konfigurieren<br />
wollen, und passen Sie Farbe, Breite und Stil wie gewünscht an.<br />
4. Sie können das Diagramm für e<strong>in</strong>en Leistungs<strong>in</strong>dikator höher machen, <strong>in</strong>dem Sie <strong>in</strong> die<br />
Dropdownliste Skalierung klicken und e<strong>in</strong>e höhere Zahl auswählen. Um die Höhe zu<br />
verr<strong>in</strong>gern, müssen Sie e<strong>in</strong>e kle<strong>in</strong>ere Zahl auswählen.<br />
5. Sie können auch die Skalierung für sämtliche Indikatoren verändern, <strong>in</strong>dem Sie auf die<br />
Registerkarte Grafik klicken und im Gruppenfeld Vertikale Skalierung die Werte der<br />
Felder Maximal und M<strong>in</strong>imal ändern. Klicken Sie auf OK.<br />
Wenn Sie mehrere Leistungsüberwachungsfenster gleichzeitig offen haben, können Sie die<br />
Fenster e<strong>in</strong>facher unterscheiden, wenn Sie die H<strong>in</strong>tergrundfarbe der Diagramme auf der
324 Kapitel 8: Leistung<br />
Registerkarte Darstellung im Dialogfeld Eigenschaften von Leistungsüberwachung verändern.<br />
Steuern, wie viele Daten im Diagramm angezeigt werden<br />
In der Standarde<strong>in</strong>stellung aktualisiert die Leistungsüberwachung die Diagramme e<strong>in</strong>mal<br />
pro Sekunde und zeigt Daten über e<strong>in</strong>en Zeitraum von 100 Sekunden an. Um Daten über<br />
e<strong>in</strong>en längeren Zeitraum anzuzeigen, können Sie das Mess<strong>in</strong>tervall verlängern oder die<br />
Menge der Daten vergrößern, die gleichzeitig im Diagramm angezeigt werden. Gehen Sie<br />
folgendermaßen vor, um diese E<strong>in</strong>stellungen <strong>in</strong> der Leistungsüberwachung zu verändern:<br />
1. Klicken Sie auf das Menü Aktion und wählen Sie den Befehl Eigenschaften.<br />
Das Dialogfeld Eigenschaften von Leistungsüberwachung wird geöffnet.<br />
2. Klicken Sie auf die Registerkarte Allgeme<strong>in</strong>. Verändern Sie im Feld Diagrammelemente<br />
im Textfeld Stichprobe alle, wie oft das Diagramm aktualisiert wird. Wenn Sie e<strong>in</strong> längeres<br />
Intervall e<strong>in</strong>stellen (zum Beispiel 5 Sekunden), erhalten Sie e<strong>in</strong>e glattere Kurve,<br />
die seltener aktualisiert wird. Falls Sie die Verb<strong>in</strong>dung zu e<strong>in</strong>em anderen Computer über<br />
e<strong>in</strong> Netzwerk herstellen, verr<strong>in</strong>gern längere Intervalle den Bandbreitenverbrauch.<br />
3. Verändern Sie den Wert im Textfeld Dauer, um e<strong>in</strong>zustellen, wie viele Daten im Diagramm<br />
angezeigt werden, bevor die Leistungsüberwachung das Diagramm vom l<strong>in</strong>ken<br />
Rand her wieder überschreibt. Sie können e<strong>in</strong>e volle Stunde mit Daten im Diagramm<br />
anzeigen, <strong>in</strong>dem Sie <strong>in</strong> Dauer den Wert 3600 e<strong>in</strong>tragen. Daten für e<strong>in</strong>en ganzen Tag<br />
erhalten Sie, wenn Sie den Wert 86.400 e<strong>in</strong>tragen. Wenn Sie den Wert im Feld Dauer<br />
vergrößern, sollten Sie auch den Wert <strong>in</strong> Stichprobe alle anheben. Klicken Sie auf OK.<br />
In der Standarde<strong>in</strong>stellung überschreibt die Leistungsüberwachung die dargestellten Daten<br />
auf der l<strong>in</strong>ken Seite des Diagramms, sobald die angegebene Dauer erreicht ist. Wenn Sie<br />
Daten über e<strong>in</strong>en längeren Zeitraum anzeigen wollen, ist es meist s<strong>in</strong>nvoller, das Diagramm<br />
horizontal verschieben zu lassen, ähnlich wie im Task-Manager. Gehen Sie folgendermaßen<br />
vor, um die Leistungsüberwachung so zu konfigurieren, dass sie die Diagrammdaten horizontal<br />
verschiebt:<br />
1. Klicken Sie auf das Menü Aktion und wählen Sie den Befehl Eigenschaften.<br />
Das Dialogfeld Eigenschaften von Leistungsüberwachung wird geöffnet.<br />
2. Klicken Sie auf die Registerkarte Grafik. Wählen Sie im Feld Bildlaufstil die Option<br />
Bildlauf aus. Klicken Sie auf OK.<br />
Das L<strong>in</strong>iendiagramm zeigt zwar die ausführlichsten Informationen, Sie können aber auch<br />
die folgenden Diagrammtypen auswählen, <strong>in</strong>dem Sie <strong>in</strong> der Symbolleiste auf die Schaltfläche<br />
Diagrammtyp ändern klicken oder die Tastenkomb<strong>in</strong>ation STRG+G drücken:<br />
L<strong>in</strong>ie Dies ist die Standarde<strong>in</strong>stellung. Die Werte werden als Kurve über e<strong>in</strong>er Zeitachse<br />
angezeigt.<br />
Histogrammleiste Es wird e<strong>in</strong> Säulendiagramm mit den jeweils neuesten Werten für<br />
jeden Leistungs<strong>in</strong>dikator angezeigt. Wenn Sie sehr viele Werte haben und <strong>in</strong> erster L<strong>in</strong>ie<br />
am aktuellen Wert <strong>in</strong>teressiert s<strong>in</strong>d (und nicht am zeitlichen Verlauf der e<strong>in</strong>zelnen Leistungs<strong>in</strong>dikatoren),<br />
ist dieser Diagrammtyp e<strong>in</strong>facher auszulesen als das L<strong>in</strong>iendiagramm.<br />
Bericht Dieser Textbericht listet alle aktuellen Werte auf.
Sammlungssätze und Berichte<br />
Lektion 2: Behandeln von Leistungsproblemen 325<br />
In älteren <strong>W<strong>in</strong>dows</strong>-Versionen können Sie die Leistungs<strong>in</strong>dikatordaten aufzeichnen und<br />
später anzeigen. <strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7 erweitern diese Fähigkeit ganz entscheidend.<br />
Sie können nun e<strong>in</strong>en Sammlungssatz (data collector set) erstellen, um folgende<br />
Datentypen aufzuzeichnen:<br />
Leistungs<strong>in</strong>dikatoren und Warnungen (genau wie <strong>in</strong> älteren <strong>W<strong>in</strong>dows</strong>-Versionen)<br />
Ereignisablaufverfolgungsdaten, die detaillierte Debug<strong>in</strong>formationen enthalten<br />
Registrierungse<strong>in</strong>stellungen mit Daten zur System- und Anwendungskonfiguration<br />
Wenn Sie e<strong>in</strong>en Sammlungssatz ausgeführt haben, können Sie sich die Leistungs<strong>in</strong>dikatoren<br />
<strong>in</strong> der Leistungsüberwachung ansehen und e<strong>in</strong>e Zusammenfassung über die anderen gesammelten<br />
Informationen <strong>in</strong> e<strong>in</strong>em Bericht anzeigen lassen. Die folgenden Abschnitte beschreiben,<br />
wie Sie Sammlungssätze erstellen und Berichte benutzen.<br />
Vordef<strong>in</strong>ierte Sammlungssätze<br />
<strong>W<strong>in</strong>dows</strong> 7 enthält mehrere vordef<strong>in</strong>ierte Sammlungssätze im Knoten Leistung\Sammlungssätze\System:<br />
System Performance (Systemleistung) Zeichnet Daten zu Prozessor-, Datenträger-,<br />
Arbeitsspeicher- und Netzwerkleistungs<strong>in</strong>dikatoren sowie Kernelablaufverfolgung auf.<br />
Verwenden Sie diesen Sammlungssatz für die Problembehandlung, wenn der Computer<br />
langsam ist oder immer wieder Leistungsprobleme auftreten.<br />
Abbildung 8.9 Der System<strong>in</strong>tegritätsbericht<br />
System Diagnostics (Systemdiagnose) Zeichnet alle Informationen aus dem Sammlungssatz<br />
»System Performance (Systemleistung)« auf, und zusätzlich detaillierte System<strong>in</strong>formationen.<br />
Verwenden Sie diesen Sammlungssatz, wenn Zuverlässigkeitsprobleme<br />
auftreten, zum Beispiel problematische Hardware, Treiberfehler oder Abbruchfehler.<br />
Wie <strong>in</strong> Abbildung 8.9 zu sehen, enthält der von diesem Sammlungssatz generierte
326 Kapitel 8: Leistung<br />
Bericht e<strong>in</strong>e Zusammenfassung zu den Fehlerbed<strong>in</strong>gungen im System, ohne dass Sie von<br />
Hand die Ereignisanzeige und den Geräte-Manager durchsuchen müssen.<br />
Sie benutzen e<strong>in</strong>en Sammlungssatz, <strong>in</strong>dem Sie mit der rechten Maustaste darauf klicken und<br />
im Kontextmenü den Befehl Starten wählen. Der Sammlungssatz für die Systemleistung<br />
stoppt automatisch nach 1 M<strong>in</strong>ute, der für Systemdiagnose nach 10 M<strong>in</strong>uten. Sie können<br />
e<strong>in</strong>en Sammlungssatz von Hand stoppen, <strong>in</strong>dem Sie mit der rechten Maustaste darauf<br />
klicken und den Befehl Beenden wählen.<br />
Nachdem Sie e<strong>in</strong>en Sammlungssatz ausgeführt haben, können Sie e<strong>in</strong>e Zusammenfassung<br />
der gesammelten Daten im Knoten Leistung\Berichte anzeigen. Den neuesten Bericht für<br />
e<strong>in</strong>en Sammlungssatz erhalten Sie, <strong>in</strong>dem Sie mit der rechten Maustaste auf den Sammlungssatz<br />
klicken und den Befehl Aktuellster Bericht wählen. Berichte werden automatisch nach<br />
dem Schema »_JJJJMMTT-####« benannt.<br />
Damit die Leistung unter der Datenaufzeichnung so wenig wie möglich leidet, sollten Sie<br />
möglichst wenig Informationen aufzeichnen. Beispielsweise sollten Sie statt des Sammlungssatzes<br />
Systemdiagnose lieber Systemleistung verwenden, weil der Sammlungssatz<br />
Systemleistung weniger Leistungs<strong>in</strong>dikatoren enthält.<br />
Wenn e<strong>in</strong> Problem schwierig zu reproduzieren ist und nichts mit der Leistung zu tun hat,<br />
sollten Sie lieber zu viele als zu wenig Daten aufzeichnen, damit nicht die Gefahr besteht,<br />
wichtige Informationen zu verpassen.<br />
Erstellen e<strong>in</strong>es Sammlungssatzes anhand e<strong>in</strong>er Standardvorlage<br />
Sie können Leistungsdaten <strong>in</strong> e<strong>in</strong>em Protokoll aufzeichnen und dann jederzeit <strong>in</strong> der Leistungsüberwachung<br />
anzeigen und analysieren. Es ist wichtig, beim Aufzeichnen von Leistungsdaten<br />
e<strong>in</strong>e sogenannte Basel<strong>in</strong>e zu haben, bevor Sie Änderungen vornehmen, von<br />
denen Sie vermuten, dass sie sich auf die Leistung auswirken. Sobald Sie die Änderungen<br />
vorgenommen haben, können Sie die neuen Leistungsdaten mit den ursprünglichen aus der<br />
Basel<strong>in</strong>e vergleichen und auf diese Weise feststellen, ob Ihre Änderungen tatsächlich etwas<br />
gebracht haben. Haben Sie ke<strong>in</strong>e Basel<strong>in</strong>e verfügbar, wenn e<strong>in</strong> Problem auftaucht, können<br />
Sie e<strong>in</strong>e auf e<strong>in</strong>em anderen Computer messen, der e<strong>in</strong>e ähnliche Konfiguration aufweist, auf<br />
dem das Problem aber nicht auftritt.<br />
Gehen Sie folgendermaßen vor, um Leistungsdaten zu speichern:<br />
1. Erweitern Sie unter Leistung den Knoten Sammlungssätze.<br />
2. Klicken Sie mit der rechten Maustaste auf Benutzerdef<strong>in</strong>iert, dann auf Neu und auf<br />
Sammlungssatz.<br />
Der Assistent Neuen Sammlungssatz erstellen wird geöffnet.<br />
3. Geben Sie auf der Seite Wie soll dieser neue Sammlungssatz erstellt werden e<strong>in</strong>en Namen<br />
für den Satz e<strong>in</strong>. Stellen Sie sicher, dass die Option Aus Vorlage erstellen ausgewählt ist.<br />
Klicken Sie auf Weiter.<br />
4. Wählen Sie auf der Seite Welche Vorlage möchten Sie verwenden e<strong>in</strong>e der drei Standardvorlagen<br />
aus (oder klicken Sie auf Durchsuchen, um e<strong>in</strong>e eigene Vorlage zu verwenden)<br />
und klicken Sie auf Weiter:<br />
Basis Zeichnet alle Prozessor-Leistungs<strong>in</strong>dikatoren auf, speichert e<strong>in</strong>e Kopie des<br />
Registrierungsschlüssels HKLM\Software\Microsoft\<strong>W<strong>in</strong>dows</strong> NT\CurrentVersion<br />
und führt e<strong>in</strong>e <strong>W<strong>in</strong>dows</strong>-Kernel-Ablaufverfolgung durch.
Lektion 2: Behandeln von Leistungsproblemen 327<br />
System Diagnostics Zeichnet 13 nützliche Leistungs<strong>in</strong>dikatoren auf (darunter<br />
Prozessor-, Datenträger-, Arbeitsspeicher- und Netzwerk<strong>in</strong>dikatoren), speichert<br />
Kopien von Dutzenden wichtiger Konfigurationse<strong>in</strong>stellungen und führt e<strong>in</strong>e<br />
<strong>W<strong>in</strong>dows</strong>-Kernel-Ablaufverfolgung durch. In der Standarde<strong>in</strong>stellung zeichnet die<br />
Vorlage »System Diagnostics« Daten über 1 M<strong>in</strong>ute auf, sodass Sie e<strong>in</strong>e Momentaufnahme<br />
zum Zustand des Computers erhalten.<br />
System Performance Zeichnet 14 nützliche Leistungs<strong>in</strong>dikatoren auf (darunter<br />
dieselben Indikatoren wie die Vorlage »System Diagnostics«) und führt e<strong>in</strong>e <strong>W<strong>in</strong>dows</strong>-Kernel-Ablaufverfolgung<br />
durch. Die Daten werden 1 M<strong>in</strong>ute lang aufgezeichnet.<br />
5. Klicken Sie auf der Seite Wo sollen die Daten gespeichert werden auf Weiter, um den<br />
Standardspeicherort für die Daten zu übernehmen (%SystemDrive%\Perflogs\).<br />
6. Lassen Sie auf der Seite Möchten Sie den Sammlungssatz erstellen das Feld Ausführen<br />
als auf dem Wert , damit die Aufzeichnung unter den Anmelde<strong>in</strong>formationen<br />
des aktuellen Benutzers ausgeführt wird, oder klicken Sie auf die Schaltfläche Ändern,<br />
um andere adm<strong>in</strong>istrative Anmelde<strong>in</strong>formationen anzugeben. Wählen Sie e<strong>in</strong>e der folgenden<br />
drei Optionen aus, bevor Sie auf die Schaltfläche Fertig stellen klicken:<br />
Eigenschaften für diesen Sammlungssatz öffnen Sie können den Sammlungssatz<br />
sofort anpassen.<br />
Diesen Sammlungssatz jetzt starten Es wird sofort mit dem Aufzeichnen der<br />
Daten begonnen, ohne den Sammlungssatz anzupassen.<br />
Speichern und schließen Der Sammlungssatz wird geschlossen, ohne ihn zu starten.<br />
Sie können jederzeit se<strong>in</strong>e Eigenschaften bearbeiten und ihn starten, nachdem<br />
Sie ihn gespeichert haben.<br />
Benutzerdef<strong>in</strong>ierte Sammlungssätze stehen immer im Knoten Benutzerdef<strong>in</strong>iert unterhalb<br />
von Sammlungssätze zur Verfügung.<br />
Erstellen e<strong>in</strong>es benutzerdef<strong>in</strong>ierten Sammlungssatzes<br />
Wenn Sie e<strong>in</strong>en neuen Sammlungssatz erstellt haben, können Sie ihn so anpassen, dass er<br />
zusätzliche Datenquellen aufzeichnet. Klicken Sie dazu mit der rechten Maustaste auf den<br />
Sammlungssatz, dann auf Neu und auf Sammlung, um den Assistenten Neue Sammlung<br />
erstellen zu öffnen. Geben Sie auf der Seite Welche Art von Datensammler möchten Sie<br />
erstellen e<strong>in</strong>en Namen für die Sammlung e<strong>in</strong>, wählen Sie den Typ und klicken Sie dann auf<br />
Weiter.<br />
Sie haben die Auswahl zwischen folgenden Sammlungstypen (jeder stellt im Assistenten<br />
Neue Sammlung erstellen andere Optionen zur Verfügung):<br />
Leistungs<strong>in</strong>dikatorensammlung Zeichnet Daten zu allen Leistungs<strong>in</strong>dikatoren auf,<br />
die <strong>in</strong> der Konsole Leistungsüberwachung zur Verfügung stehen. Sie können beliebig<br />
viele Leistungs<strong>in</strong>dikatoren zu e<strong>in</strong>er Sammlung h<strong>in</strong>zufügen. Außerdem können Sie e<strong>in</strong><br />
Mess<strong>in</strong>tervall (Standarde<strong>in</strong>stellung 15 Sekunden) für die Sammlung festlegen.<br />
Ereignisablaufverfolgungssammlung Speichert Ereignisse aus e<strong>in</strong>em Ereignisablaufverfolgungsanbieter,<br />
die e<strong>in</strong>em bestimmten Filter entsprechen. <strong>W<strong>in</strong>dows</strong> 7 stellt Dutzende<br />
von Ereignisablaufverfolgungsanbietern zur Verfügung, die praktisch jedes Detail<br />
über das Verhalten e<strong>in</strong>es Computers aufzeichnen können. Die besten Ergebnisse erhalten
328 Kapitel 8: Leistung<br />
Sie, <strong>in</strong>dem Sie e<strong>in</strong>fach alle Ereignisablaufverfolgungsanbieter h<strong>in</strong>zufügen, die unter Umständen<br />
mit Ihrem aktuellen Problem zu tun haben. Wenn die Sammlung e<strong>in</strong>e große<br />
Menge unnötiger Daten aufzeichnet, können Sie anhand der Anbietereigenschaften<br />
filtern, welche Ablaufverfolgungsereignisse gespeichert werden.<br />
Konfigurationssammlung Speichert Kopien bestimmter Registrierungsschlüssel,<br />
Verwaltungspfade, Dateien oder des Systemzustands. Wenn Sie Anwendungsprobleme<br />
analysieren oder Daten über Anwendungse<strong>in</strong>stellungen benötigen, können Sie die Registrierungsschlüssel<br />
über e<strong>in</strong>e Konfigurationssammlung h<strong>in</strong>zufügen. Sie können Verwaltungspfade,<br />
Dateien oder den Systemzustand h<strong>in</strong>zufügen, <strong>in</strong>dem Sie die Sammlung<br />
erstellen, ohne im Assistenten e<strong>in</strong>en Registrierungsschlüssel anzugeben. Zeigen Sie dann<br />
die Eigenschaften der neuen Sammlung an und wählen Sie die Registerkarten Verwaltungspfade,<br />
Datei oder Statusabfrage.<br />
Leistungs<strong>in</strong>dikatorenwarnung Generiert e<strong>in</strong>e Warnung, wenn e<strong>in</strong> Leistungs<strong>in</strong>dikator<br />
e<strong>in</strong>en angegebenen Schwellenwert über- oder unterschreitet.<br />
Sie können so viele Sammlungen zu e<strong>in</strong>em Sammlungssatz h<strong>in</strong>zufügen, wie Sie brauchen.<br />
Speichern von Leistungsdaten<br />
Sobald Sie e<strong>in</strong>en Sammlungssatz erstellt haben, können Sie die Daten aufzeichnen, die im<br />
Sammlungssatz def<strong>in</strong>iert s<strong>in</strong>d. Klicken Sie den Sammlungssatz dazu mit der rechten Maustaste<br />
an und wählen Sie den Befehl Starten. Abhängig von den E<strong>in</strong>stellungen auf der Registerkarte<br />
Stoppbed<strong>in</strong>gung im Eigenschaftendialogfeld des Sammlungssatzes wird die Aufzeichnung<br />
entweder nach der festgelegten Dauer beendet oder unbegrenzt fortgesetzt. Sofern<br />
die Aufzeichnung nicht automatisch gestoppt wird, können Sie sie von Hand beenden, <strong>in</strong>dem<br />
Sie mit der rechten Maustaste darauf klicken und den Befehl Beenden wählen.<br />
Anzeigen der gespeicherten Leistungsdaten <strong>in</strong> e<strong>in</strong>em Bericht<br />
Sobald e<strong>in</strong> Sammlungssatz Informationen gesammelt hat und er angehalten wurde, können<br />
Sie die aufgezeichneten Informationen anzeigen. Sie können sich e<strong>in</strong>e Zusammenfassung<br />
der Daten ansehen, die <strong>in</strong> e<strong>in</strong>em Sammlungssatz gespeichert wurden, <strong>in</strong>dem Sie mit der<br />
rechten Maustaste auf den Sammlungssatz klicken und den Befehl Aktuellster Bericht wählen.<br />
Die Konsole erweitert den Knoten Berichte und wählt den Bericht aus, der beim Ausführen<br />
des Sammlungssatzes generiert wurde. Sie können jeden Abschnitt erweitern, um ausführlichere<br />
Informationen abzurufen.<br />
Wenn der Sammlungssatz Leistungs<strong>in</strong>dikatoren umfasst, können Sie diese Daten auch im<br />
Snap-In Leistungsüberwachung anzeigen. Gehen Sie dazu folgendermaßen vor:<br />
1. Erweitern Sie unter Leistung den Knoten Überwachungstools und wählen Sie Leistungsüberwachung<br />
aus.<br />
2. Klicken Sie auf das Menü Aktion und wählen Sie den Befehl Eigenschaften. Klicken Sie<br />
im Dialogfeld Eigenschaften von Leistungsüberwachung auf die Registerkarte Quelle.<br />
Sie können stattdessen auch <strong>in</strong> der Symbolleiste auf die Schaltfläche Protokolldaten<br />
anzeigen klicken oder die Tastenkomb<strong>in</strong>ation STRG+L drücken.<br />
3. Wählen Sie unter Datenquelle die Option Protokolldateien aus und klicken Sie auf H<strong>in</strong>zufügen.<br />
In der Standarde<strong>in</strong>stellung speichert <strong>W<strong>in</strong>dows</strong> 7 Sammlungssatzdaten im Ordner<br />
C:\Perflogs. Wählen Sie die Sammlungssatzdaten aus (der Ordnername entspricht<br />
dem Namen des Berichts) und klicken Sie dann auf Öffnen.
Lektion 2: Behandeln von Leistungsproblemen 329<br />
4. Optional können Sie auf die Schaltfläche Zeitraum klicken und den Bereich der Daten<br />
e<strong>in</strong>grenzen, die Sie analysieren wollen.<br />
5. Klicken Sie auf OK.<br />
6. Klicken Sie <strong>in</strong> der Symbolleiste der Leistungsüberwachung auf die Schaltfläche mit dem<br />
grünen Pluszeichen und fügen Sie Leistungs<strong>in</strong>dikatoren zum Diagramm h<strong>in</strong>zu. Weil Sie<br />
e<strong>in</strong>e Datenquelle angegeben haben, können Sie nur Leistungs<strong>in</strong>dikatoren auswählen, die<br />
auch aufgezeichnet wurden.<br />
7. Die Leistungsüberwachung zeigt statt Echtzeitdaten nun die aufgezeichneten Daten an.<br />
Sie können den angezeigten Zeitbereich verkle<strong>in</strong>ern, <strong>in</strong>dem Sie mit gedrückter Maustaste<br />
e<strong>in</strong>en Bereich im Diagramm markieren. Klicken Sie dann mit der rechten Maustaste<br />
<strong>in</strong> das Diagramm und wählen Sie den Befehl Zoommodus (Abbildung 8.10).<br />
Abbildung 8.10 Auswählen des Zeitbereichs mit dem Zoommodus<br />
8. Die horizontale Leiste unter dem Diagramm steht für den momentan ausgewählten Zeitbereich.<br />
Sie können den l<strong>in</strong>ken oder rechten Rand des Balkens verschieben, um den ausgewählten<br />
Zeitbereich zu ändern. Klicken Sie dann mit der rechten Maustaste <strong>in</strong> das<br />
Diagramm und wählen Sie wieder den Befehl Zoommodus, um die Auswahl zu ändern.<br />
Problembehandlung für die Datenträgerleistung<br />
Bei vielen wichtigen Aktivitäten auf e<strong>in</strong>em Computer begrenzt die Festplatte die Gesamtleistung.<br />
Um Dateien zu öffnen und zu speichern, müssen Daten auf der Festplatte gelesen<br />
und geschrieben werden, was viel länger dauert als der Zugriff auf das System-RAM. Und<br />
wenn <strong>W<strong>in</strong>dows</strong> mehr Arbeitsspeicher braucht, als Hardware-RAM zur Verfügung steht,<br />
nutzt <strong>W<strong>in</strong>dows</strong> die Festplatte als virtuellen Arbeitsspeicher, was die Leistung aller Aufgaben<br />
verr<strong>in</strong>gert, die Arbeitsspeicherbereiche nutzen, die auf Festplatte ausgelagert s<strong>in</strong>d.
330 Kapitel 8: Leistung<br />
Glücklicherweise gibt es mehrere Maßnahmen, wie Sie die Leistung verbessern können,<br />
ohne e<strong>in</strong>e schnellere Festplatte e<strong>in</strong>zubauen. Die folgenden Abschnitte beschreiben Fragmentierung<br />
und virtuellen Arbeitsspeicher.<br />
Fragmentierung und freier Platz<br />
Um die Fragmentierung zu verr<strong>in</strong>gern, müssen Sie die Menge des freien Festplattenplatzes<br />
erhöhen. Wenn auf e<strong>in</strong>er Festplatte der Platz knapp wird, muss <strong>W<strong>in</strong>dows</strong> Dateien <strong>in</strong> mehrere<br />
Teilstücke (Fragmente) aufteilen. Dieser Vorgang wird als Fragmentierung bezeichnet. Weil<br />
Festplatten am schnellsten arbeiten, wenn e<strong>in</strong>e Datei nicht fragmentiert ist, verschlechtert<br />
die Fragmentierung die Festplattenleistung. Als Faustregel sollten m<strong>in</strong>destens 15 Prozent der<br />
Kapazität e<strong>in</strong>er Festplatte frei bleiben; wenn noch mehr Festplattenplatz frei ist, kann das die<br />
Leistung noch weiter steigern.<br />
H<strong>in</strong>weis Fragmentierung und Flashlaufwerke<br />
Herkömmliche magnetische Festplatten haben e<strong>in</strong>en Schreib-/Lesekopf, der sich über rotierende<br />
Platten bewegt, um Daten zu lesen und zu schreiben, ähnlich wie e<strong>in</strong> Plattenspieler.<br />
Diese Festplatten s<strong>in</strong>d am schnellsten, wenn sie aufe<strong>in</strong>anderfolgende (sequenzielle) Daten<br />
lesen und schreiben, weil der Kopf dabei nicht zu e<strong>in</strong>em anderen Teil der Festplatte verschoben<br />
werden muss. Wird dagegen e<strong>in</strong>e fragmentierte Datei gelesen, muss der Kopf mehrmals<br />
bewegt werden, was die Leistung verschlechtert.<br />
Flashlaufwerke haben ke<strong>in</strong>en Schreib-/Lesekopf, und Fragmentierung verschlechtert ihre<br />
Leistung nicht. Daher brauchen Sie sich bei e<strong>in</strong>em Flashlaufwerk ke<strong>in</strong>e Gedanken über die<br />
Fragmentierung zu machen. <strong>W<strong>in</strong>dows</strong> 7 deaktiviert die Defragmentierung für Flashlaufwerke<br />
automatisch.<br />
Sie können das <strong>W<strong>in</strong>dows</strong> 7-Tool Datenträgerbere<strong>in</strong>igung verwenden, um Festplattenplatz<br />
automatisch freizumachen. Gehen Sie dazu folgendermaßen vor:<br />
1. Klicken Sie im Startmenü auf Computer.<br />
2. Klicken Sie mit der rechten Maustaste auf das Laufwerk, das Sie bere<strong>in</strong>igen wollen, und<br />
wählen Sie den Befehl Eigenschaften.<br />
3. Klicken Sie auf der Registerkarte Allgeme<strong>in</strong> auf Bere<strong>in</strong>igen.<br />
4. Klicken Sie auf Systemdateien bere<strong>in</strong>igen, um Systemdateien zu löschen (dazu s<strong>in</strong>d<br />
adm<strong>in</strong>istrative Privilegien erforderlich).<br />
5. Wählen Sie die Dateien aus, die Sie löschen wollen. Wenn Sie e<strong>in</strong>en Dateityp anklicken,<br />
bekommen Sie e<strong>in</strong>e Beschreibung der Dateien angezeigt, die gelöscht werden. Klicken<br />
Sie auf OK.<br />
Das Tool Datenträgerbere<strong>in</strong>igung löscht die Dateien, die Sie ausgewählt haben.<br />
<strong>W<strong>in</strong>dows</strong> 7 defragmentiert Ihre Dateien automatisch, daher brauchen Sie sie eigentlich nie<br />
von Hand zu defragmentieren. Wollen Sie Dateien ausnahmsweise von Hand defragmentieren,<br />
können Sie folgendermaßen vorgehen:<br />
1. Klicken Sie im Startmenü auf Computer.<br />
2. Klicken Sie mit der rechten Maustaste auf das Laufwerk, das Sie defragmentieren<br />
wollen, und wählen Sie den Befehl Eigenschaften.
Lektion 2: Behandeln von Leistungsproblemen 331<br />
3. Klicken Sie auf der Registerkarte Tools auf Jetzt defragmentieren.<br />
4. Klicken Sie auf Zeitplan konfigurieren, um den Zeitplan für die Defragmentierung festzulegen.<br />
5. Wählen Sie im Tool Defragmentierung die Festplatte aus, die Sie defragmentieren wollen,<br />
und klicken Sie auf Datenträger defragmentieren.<br />
Daraufh<strong>in</strong> beg<strong>in</strong>nt sofort die Defragmentierung des Laufwerks. Sie brauchen aber nicht<br />
zu warten, bis sie abgeschlossen ist, sondern können das Fenster gleich schließen.<br />
6. Klicken Sie auf Schließen und dann auf OK.<br />
Virtueller Arbeitsspeicher<br />
Abhängig von der Festplattenkonfiguration können Sie die Leistung des virtuellen Arbeitsspeichers<br />
optimieren, <strong>in</strong>dem Sie virtuellen Arbeitsspeicher auf e<strong>in</strong>er anderen Hardwarefestplatte<br />
speichern als andere Dateien. Hat e<strong>in</strong> Computer beispielsweise getrennte Laufwerke<br />
C: und D:, verwendet <strong>W<strong>in</strong>dows</strong> <strong>in</strong> der Standarde<strong>in</strong>stellung das Laufwerk C: für den virtuellen<br />
Arbeitsspeicher. Wird der virtuelle Arbeitsspeicher auf Laufwerk D: verschoben, kann<br />
<strong>W<strong>in</strong>dows</strong> möglicherweise Dateien, die auf Laufwerk C: gespeichert s<strong>in</strong>d, lesen und schreiben,<br />
während es gleichzeitig auf den virtuellen Arbeitsspeicher zugreift.<br />
H<strong>in</strong>weis Speichern des virtuellen Arbeitsspeichers auf e<strong>in</strong>er separaten Festplatte<br />
Sie erreichen zwar Leistungsvorteile, wenn Sie virtuellen Arbeitsspeicher auf e<strong>in</strong>er separaten<br />
Festplatte speichern, aber das ist nicht der Fall, wenn Sie nur e<strong>in</strong> anderes Volume oder e<strong>in</strong>e<br />
andere Partition derselben Festplatte verwenden. Um beim Vorhandense<strong>in</strong> mehrerer Festplatten<br />
die bestmögliche Leistung zu erzielen, können Sie die Festplatten als RAID-Array<br />
(Redundant Array of Independent Disks) konfigurieren und alle Daten <strong>in</strong> diesem RAID-<br />
Array speichern.<br />
Gehen Sie folgendermaßen vor, um zu konfigurieren, auf welcher Festplatte <strong>W<strong>in</strong>dows</strong><br />
virtuellen Arbeitsspeicher speichert:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den<br />
Befehl Eigenschaften.<br />
2. Klicken Sie auf Erweiterte Systeme<strong>in</strong>stellungen.<br />
3. Klicken Sie auf der Registerkarte Erweitert des Dialogfelds Systemeigenschaften im<br />
Abschnitt Leistung auf E<strong>in</strong>stellungen.<br />
4. Klicken Sie auf der Registerkarte Erweitert des Dialogfelds Leistungsoptionen auf<br />
Ändern.<br />
5. Deaktivieren Sie das Kontrollkästchen Auslagerungsdateigröße für alle Laufwerke<br />
automatisch verwalten.<br />
6. Wählen Sie das Laufwerk aus, auf dem Sie den virtuellen Arbeitsspeicher (auch als<br />
Auslagerungsdatei bezeichnet) speichern wollen. Wählen Sie die Option Größe wird<br />
vom System verwaltet aus und klicken Sie auf OK.<br />
7. Wählen Sie das Systemlaufwerk aus, dem momentan die Auslagerungsdatei zugewiesen<br />
ist. Wählen Sie die Option Ke<strong>in</strong>e Auslagerungsdatei aus und klicken Sie auf Festlegen.<br />
Abbildung 8.11 zeigt e<strong>in</strong>en Computer, bei dem der virtuelle Arbeitsspeicher dem Lauf-
332 Kapitel 8: Leistung<br />
werk G: zugewiesen wurde, nachdem er vom Standardlaufwerk C: entfernt wurde. Klicken<br />
Sie auf Ja, wenn Sie dazu aufgefordert werden.<br />
Abbildung 8.11 Konfigurieren des virtuellen Arbeitsspeichers<br />
8. Klicken Sie viermal auf OK und dann auf Jetzt neu starten, um Ihren Computer neu zu<br />
starten.<br />
Konfigurieren von Energiee<strong>in</strong>stellungen<br />
Manche Eigenschaften e<strong>in</strong>es Computers s<strong>in</strong>d e<strong>in</strong> Kompromiss zwischen Leistung und Energieverbrauch.<br />
Bei mobilen Computern, die mit Akkustrom laufen, gilt: Je größer der Energieverbrauch,<br />
desto kürzer die Akkulaufzeit. Um die Akkulaufzeit zu verlängern, stellt <strong>W<strong>in</strong>dows</strong><br />
7 unterschiedliche Energiesparpläne zur Verfügung und schaltet automatisch zwischen<br />
ihnen um, je nachdem, ob der Computer im Netz- oder Akkubetrieb läuft.<br />
Der Standardenergiesparplan für den Akkubetrieb kann aber die Leistung verr<strong>in</strong>gern. Gehen<br />
Sie folgendermaßen vor, um von Hand e<strong>in</strong>en Energiesparplan anzupassen:<br />
1. Klicken Sie auf das Energiesymbol im Infobereich der Taskleiste und dann auf Weitere<br />
Energieoptionen.<br />
2. Klicken Sie auf Energiesparplane<strong>in</strong>stellungen ändern.<br />
3. Klicken Sie auf Zurzeit nicht verfügbare E<strong>in</strong>stellungen ändern.<br />
4. Ändern Sie die E<strong>in</strong>stellungen, die für Bildschirm und Standby gelten sollen, während der<br />
Computer im Netz- beziehungsweise Akkubetrieb läuft.<br />
5. Klicken Sie auf Erweiterte Energiee<strong>in</strong>stellungen ändern, um die anderen E<strong>in</strong>stellungen<br />
anzupassen. Nehmen Sie die gewünschten E<strong>in</strong>stellungen vor und klicken Sie auf OK. Zu<br />
den nützlichsten E<strong>in</strong>stellungen im Bereich der Leistung gehören:<br />
Festplatte ausschalten nach <strong>W<strong>in</strong>dows</strong> kann die Festplatte ausschalten, um Strom<br />
zu sparen, wenn sie e<strong>in</strong>e bestimmte Zeit lang nicht benutzt wurde. In der Praxis<br />
greifen Anwendungen aber weiterh<strong>in</strong> auf die Festplatte zu, selbst wenn der Benutzer<br />
nicht aktiv am Computer arbeitet.
Lektion 2: Behandeln von Leistungsproblemen 333<br />
Drahtlosadaptere<strong>in</strong>stellungen Drahtlosadapter brauchen unter Umständen e<strong>in</strong>e<br />
Menge Strom, weil sie Funksignale senden und empfangen. In der Standarde<strong>in</strong>stellung<br />
aktiviert <strong>W<strong>in</strong>dows</strong> 7 den Energiesparmodus für Drahtlosverb<strong>in</strong>dungen, wenn<br />
der Computer mit Akkustrom läuft. Leidet die Drahtlosleistung im Akkubetrieb<br />
deutlich, können Sie den Energiesparmodus auf Höchstleistung setzen, während der<br />
Computer im Akkubetrieb läuft.<br />
Energie sparen In <strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7 ist der Energiesparmodus e<strong>in</strong>e<br />
Komb<strong>in</strong>ation aus Standby (e<strong>in</strong>em Zustand mit ger<strong>in</strong>gem Stromverbrauch, aus dem<br />
der Computer b<strong>in</strong>nen weniger Sekunden wieder aufwacht) und Ruhezustand (e<strong>in</strong>em<br />
Zustand, <strong>in</strong> dem ke<strong>in</strong> Strom verbraucht wird und der Arbeitsspeicher des Computers<br />
auf Festplatte gespeichert wird; das Reaktivieren des Computers dauert dabei länger).<br />
In der Standarde<strong>in</strong>stellung schaltet <strong>W<strong>in</strong>dows</strong> 7 den Computer erst <strong>in</strong> den Standbymodus<br />
und dann nach 20 M<strong>in</strong>uten <strong>in</strong> den Ruhezustand. Passen Sie diese E<strong>in</strong>stellung<br />
an, wenn Sie das ändern wollen.<br />
USB-E<strong>in</strong>stellungen USB-Geräte beziehen Strom vom Computer. Mit dem Feature<br />
»selektives USB-Energiesparen« kann <strong>W<strong>in</strong>dows</strong> 7 den Energieverbrauch e<strong>in</strong>iger<br />
USB-Geräte verr<strong>in</strong>gern. In der Standarde<strong>in</strong>stellung ist das selektive USB-Energiesparen<br />
<strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 aktiviert, während der Computer im Akkubetrieb läuft.<br />
Netzschalter und Zuklappen In der Standarde<strong>in</strong>stellung wechselt <strong>W<strong>in</strong>dows</strong> 7<br />
automatisch <strong>in</strong> den Energiesparmodus, wenn der Deckel e<strong>in</strong>es Notebooks geschlossen<br />
wird. Sie können diese E<strong>in</strong>stellung ändern und konfigurieren, wie der Netzschalter<br />
arbeitet.<br />
PCI Express Manche mobilen Computer haben e<strong>in</strong>e PCI Express-Schnittstelle.<br />
Diese E<strong>in</strong>stellung konfiguriert, welchen Energiesparmodus die PCI Express-Schnittstelle<br />
im Akku- oder Netzbetrieb verwendet.<br />
Prozessorenergieverwaltung Die meisten modernen Prozessoren können mit<br />
unterschiedlichen Geschw<strong>in</strong>digkeiten laufen, abhängig von den momentanen Leistungsanforderungen.<br />
Wird weniger Prozessorleistung benötigt, läuft der Prozessor<br />
langsamer und verbraucht weniger Strom. Mit diesen E<strong>in</strong>stellungen können Sie die<br />
m<strong>in</strong>imale und maximale Geschw<strong>in</strong>digkeit des Prozessors e<strong>in</strong>stellen.<br />
Multimediae<strong>in</strong>stellungen Mit dieser E<strong>in</strong>stellung können Sie die Videoqualität im<br />
Akkubetrieb anpassen. Wenn Sie e<strong>in</strong>e höhere Videoqualität verwenden, erhöht sich<br />
der Stromverbrauch.<br />
Akku Hier legen Sie fest, wie <strong>W<strong>in</strong>dows</strong> reagiert, wenn die Akkukapazität zu Ende<br />
geht.<br />
6. Klicken Sie auf Änderungen speichern.<br />
Systemkonfiguration<br />
Bei der Problembehandlung müssen Sie oft experimentieren. Während Sie beispielsweise<br />
e<strong>in</strong> Leistungsproblem untersuchen, müssen Sie manchmal verh<strong>in</strong>dern, dass e<strong>in</strong> Programm<br />
oder e<strong>in</strong> Dienst automatisch gestartet werden. Dann testen Sie den Computer, um festzustellen,<br />
ob das Leistungsproblem dadurch beseitigt wurde. Das Problem dabei ist aber, dass<br />
Sie unter Umständen nützliche Anwendungen und Dienste deaktivieren, die mit dem Problem<br />
gar nichts zu tun haben.
334 Kapitel 8: Leistung<br />
Das Systemkonfigurationsprogramm (Msconfig.exe) ermöglicht Ihnen, Autostartprogramme<br />
und Systemdienste e<strong>in</strong>zeln oder <strong>in</strong> Gruppen zu deaktivieren. Sobald Sie die Ursache des<br />
Problems gefunden haben, können Sie die Autostartprogramme und Dienste schnell wieder<br />
aktivieren. Gehen Sie folgendermaßen vor, um e<strong>in</strong> Autostartprogramm oder e<strong>in</strong>en Dienst<br />
mithilfe des Systemkonfigurationsprogramms zu deaktivieren:<br />
1. Geben Sie im Suchfeld des Startmenüs den Befehl msconfig e<strong>in</strong> und drücken Sie die<br />
EINGABETASTE.<br />
2. Sie deaktivieren den automatischen Start e<strong>in</strong>es Dienstes, <strong>in</strong>dem Sie die Registerkarte<br />
Dienste anklicken und das Kontrollkästchen für den Dienst deaktivieren.<br />
3. Sie deaktivieren e<strong>in</strong> Autostartprogramm, <strong>in</strong>dem Sie die Registerkarte Systemstart anklicken<br />
und das Kontrollkästchen für die Anwendung deaktivieren.<br />
4. Klicken Sie auf OK. Klicken Sie auf Neu starten, wenn Sie dazu aufgefordert werden.<br />
Beim Neustart von <strong>W<strong>in</strong>dows</strong> werden die Änderungen wirksam, die Sie vorgenommen<br />
haben.<br />
5. Untersuchen Sie nach dem Neustart des Computers, ob Ihre Änderungen die Leistung<br />
des Computers verbessert haben. Wurde das Problem durch Deaktivieren e<strong>in</strong>es Autostartprogramms<br />
oder Dienstes beseitigt, können Sie die Software genauer untersuchen.<br />
Ist die Leistung gleich geblieben, sollten Sie das Autostartprogramm oder den Dienst im<br />
Systemkonfigurationsprogramm wieder aktivieren.<br />
Sie können e<strong>in</strong> Autostartprogramm <strong>in</strong> der Systemsteuerung dauerhaft entfernen. In der<br />
Konsole Dienste können Sie verh<strong>in</strong>dern, dass Dienste automatisch gestartet werden.<br />
Schnelltest<br />
1. Welches Tool verwenden Sie, um die Prozessorzugehörigkeit e<strong>in</strong>es Prozesses zu<br />
ändern, und welchen Grund gibt es, diese E<strong>in</strong>stellung zu ändern?<br />
2. Auf welchem Volume speichert <strong>W<strong>in</strong>dows</strong> 7 <strong>in</strong> der Standarde<strong>in</strong>stellung den virtuellen<br />
Arbeitsspeicher?<br />
Antworten zum Schnelltest<br />
1. Task-Manager. Sie ändern die Prozessorzugehörigkeit, um e<strong>in</strong>zuschränken, auf<br />
welchen Prozessorkernen e<strong>in</strong> Prozess ausgeführt werden darf.<br />
2. Auf dem Systemvolume.<br />
Übung Sammeln und Analysieren von Leistungsdaten<br />
In dieser Übung sammeln Sie Leistungsdaten mithilfe e<strong>in</strong>es Sammlungssatzes und analysieren<br />
sie dann mit e<strong>in</strong>em Bericht und der Leistungsüberwachung.<br />
Übung 1 Durchführen e<strong>in</strong>er Systemdiagnose<br />
In dieser Übung sammeln Sie Leistungsdaten mithilfe e<strong>in</strong>es vordef<strong>in</strong>ierten Sammlungssatzes.<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den<br />
Befehl Verwalten.
Lektion 2: Behandeln von Leistungsproblemen 335<br />
2. Erweitern Sie <strong>in</strong> der Konsole Computerverwaltung die Knoten System, Leistung, Sammlungssätze<br />
und dann System.<br />
3. Klicken Sie mit der rechten Maustaste auf System Diagnostics (Systemdiagnose) und<br />
wählen Sie den Befehl Starten. E<strong>in</strong> grünes Pfeilsystem wird über dem Symbol von<br />
System Diagnostics (Systemdiagnose) angezeigt.<br />
4. Klicken Sie auf System Diagnostics (Systemdiagnose), während der Sammlungssatz<br />
läuft. Sehen Sie sich die verschiedenen Sammlungen durch. Untersuchen Sie <strong>in</strong>sbesondere<br />
die Eigenschaften der folgenden Sammlungen:<br />
Performance Counter (Leistungs<strong>in</strong>dikator)<br />
NT Kernel<br />
Operat<strong>in</strong>g System (Betriebssystem)<br />
UAC Sett<strong>in</strong>gs (E<strong>in</strong>stellungen der Benutzerkontensteuerung)<br />
<strong>W<strong>in</strong>dows</strong> Update Sett<strong>in</strong>gs (<strong>W<strong>in</strong>dows</strong> Update-E<strong>in</strong>stellungen)<br />
5. Der grüne Pfeil verschw<strong>in</strong>det vom Symbol System Diagnostics (Systemdiagnose), sobald<br />
der Sammlungssatz nach 1 M<strong>in</strong>ute beendet wird. Klicken Sie nun mit der rechten Maustaste<br />
auf System Diagnostics (Systemdiagnose) und wählen Sie den Befehl Aktuellster<br />
Bericht.<br />
6. Sehen Sie sich den Abschnitt Diagnoseergebnisse an und untersuchen Sie alle Fehleroder<br />
Warnungsbed<strong>in</strong>gungen. Sehen Sie dann alle anderen Abschnitte des Berichts durch<br />
und ermitteln Sie folgende Informationen:<br />
Prozessorauslastung<br />
Die Zahl der Prozessoren und ob die Prozessoren im Hyper-Thread<strong>in</strong>g-Modus<br />
arbeiten oder nicht<br />
Arbeitsspeicherauslastung<br />
Gesamter Hardwarearbeitsspeicher<br />
Ob das Betriebssystem e<strong>in</strong>e 32-Bit- oder 64-Bit-Architektur hat<br />
Den Namen der Arbeitsgruppe oder Domäne, bei der der Computer Mitglied ist<br />
Die Namen der <strong>in</strong>stallierten Antispyware-, Antiviren- und Firewallsoftware (sofern<br />
vorhanden)<br />
Ob die Benutzerkontensteuerung aktiviert ist<br />
Ob die Computerbrowser-, Server-, Arbeitsstations- und <strong>W<strong>in</strong>dows</strong> Update-Dienste<br />
laufen<br />
Welcher Dienst am meisten Prozessorzeit verbraucht<br />
Ob IRQ 3 benutzt wird<br />
Den <strong>W<strong>in</strong>dows</strong>-Leistungs<strong>in</strong>dex für Prozessor, Arbeitsspeicher und Festplatte<br />
Typ und Version des BIOS (Basic Input/Output System)<br />
Die IP-Adresse (Internet Protocol), die am meisten Bytes an den lokalen Computer<br />
sendet<br />
Die Zahl der IPv4- und IPv6-Verb<strong>in</strong>dungen
336 Kapitel 8: Leistung<br />
Die Datei, die am meisten Datenträger-E/A verursacht (E<strong>in</strong>gabe/Ausgabe)<br />
Die Anwendung mit den größten Arbeitsseiten<br />
Übung 2 Erstellen e<strong>in</strong>es Leistungsdiagramms<br />
In dieser Übung arbeiten Sie mit der Leistungsüberwachung und analysieren die <strong>in</strong> Übung 1<br />
gesammelten Daten <strong>in</strong> e<strong>in</strong>em Diagramm.<br />
1. Wählen Sie <strong>in</strong> der Konsole Computerverwaltung den Knoten System\Leistung\Überwachungstools\Leistungsüberwachung<br />
aus.<br />
2. Klicken Sie <strong>in</strong> der Symbolleiste auf die Schaltfläche Protokolldaten anzeigen, um das<br />
Dialogfeld Eigenschaften von Leistungsüberwachung mit der Registerkarte Quelle zu<br />
öffnen.<br />
3. Wählen Sie die Option Protokolldateien aus und klicken Sie auf H<strong>in</strong>zufügen. Wählen Sie<br />
die Datei C:\Perflogs\System\Diagnostics\_\Performance<br />
Counter.blg aus, um das Leistungs<strong>in</strong>dikatorprotokoll zu öffnen, das Sie mit<br />
dem Sammlungssatz System Diagnostics (Systemdiagnose) aufgezeichnet haben. Klicken<br />
Sie auf Öffnen.<br />
4. Klicken Sie auf OK, um zur Leistungsüberwachung zurückzukehren.<br />
Nun werden die aufgezeichneten Leistungsdaten angezeigt. Weil Sie noch ke<strong>in</strong>e Leistungs<strong>in</strong>dikatoren<br />
zum Diagramm h<strong>in</strong>zugefügt haben, ist vorerst noch nichts zu sehen.<br />
5. Klicken Sie <strong>in</strong> der Symbolleiste auf die Schaltfläche H<strong>in</strong>zufügen. Fügen Sie die folgenden<br />
Leistungs<strong>in</strong>dikatoren zum Diagramm h<strong>in</strong>zu und klicken Sie dann auf OK:<br />
IPv4, Datagramme/s<br />
IPv6, Datagramme/s<br />
Speicher, Zugesicherte verwendete Bytes (%)<br />
Physikalischer Datenträger, Bytes/s<br />
Prozessor, Prozessorzeit (%)<br />
System, Prozesse<br />
6. Drücken Sie die Tastenkomb<strong>in</strong>ation STRG+H, um den ausgewählten Leistungs<strong>in</strong>dikator<br />
hervorzuheben. Sehen Sie sich die verfügbaren Indikatoren durch und untersuchen Sie<br />
ihre Werte während der e<strong>in</strong>m<strong>in</strong>ütigen Aufzeichnung.<br />
7. Ziehen Sie Ihre Maus mit gedrückter Maustaste horizontal über den Mittelbereich des<br />
Diagramms und wählen Sie etwa 30 Sekunden des Diagramms aus. Klicken Sie nun mit<br />
der rechten Maustaste <strong>in</strong> das Diagramm und wählen Sie den Befehl Zoommodus. Das<br />
Diagramm zeigt nun e<strong>in</strong>en kürzeren Zeitraum an.<br />
8. Bewegen Sie den Schieberegler unter dem Diagramm, um die gesamte Zeitdauer des<br />
Diagramms durchzusehen. Klicken Sie mit der rechten Maustaste <strong>in</strong> das Diagramm und<br />
wählen Sie wieder den Befehl Zoommodus.
Lektion 2: Behandeln von Leistungsproblemen 337<br />
Übung 3 E<strong>in</strong>en Dienst mit dem Systemkonfigurationsprogramm kurzzeitig deaktivieren<br />
In dieser Übung deaktivieren Sie e<strong>in</strong>en Dienst zeitweise mit dem Systemkonfigurationsprogramm.<br />
1. Geben Sie im Suchfeld des Startmenüs den Befehl msconfig e<strong>in</strong> und drücken Sie die<br />
EINGABETASTE.<br />
2. Deaktivieren Sie im Dialogfeld Systemkonfiguration auf der Registerkarte Dienste das<br />
Kontrollkästchen Computerbrowser.<br />
3. Klicken Sie auf OK.<br />
4. Klicken Sie im Dialogfeld Systemkonfiguration auf Neu starten. <strong>W<strong>in</strong>dows</strong> wird neu<br />
gestartet.<br />
5. Melden Sie sich wieder an <strong>W<strong>in</strong>dows</strong> an. Geben Sie im Suchfeld des Startmenüs den<br />
Befehl msconfig e<strong>in</strong> und drücken Sie die EINGABETASTE.<br />
6. Prüfen Sie auf der Registerkarte Dienste, ob der Dienst Computerbrowser ausgeführt<br />
wird oder beendet ist.<br />
Beendet<br />
7. Aktivieren Sie das Kontrollkästchen Computerbrowser und klicken Sie auf OK.<br />
8. Klicken Sie im Dialogfeld Systemkonfiguration auf Neu starten.<br />
Zusammenfassung der Lektion<br />
Der Task-Manager bietet e<strong>in</strong>e schnelle Möglichkeit, die Leistung e<strong>in</strong>es Computers zu<br />
untersuchen und e<strong>in</strong>ige Leistungsprobleme zu beseitigen. Im Task-Manager können Sie<br />
herausf<strong>in</strong>den, welche Prozesse am meisten Ressourcen verbrauchen, woraufh<strong>in</strong> Sie entweder<br />
die Priorität dieser Prozesse verr<strong>in</strong>gern oder sie beenden können.<br />
Mit der Leistungsüberwachung können Sie Systemstatistiken <strong>in</strong> Echtzeit analysieren<br />
oder Daten analysieren, die mit e<strong>in</strong>em Sammlungssatz aufgezeichnet wurden.<br />
Sammlungssätze und Berichte sammeln Leistungs- und Konfigurationsdaten über e<strong>in</strong>en<br />
Computer und ermöglichen Ihnen, die Informationen mithilfe von Berichten oder der<br />
Leistungsüberwachung ganz e<strong>in</strong>fach zu analysieren.<br />
Leistungsprobleme bei den Datenträgern werden meist durch knappen Festplattenplatz<br />
und Fragmentierung verursacht. <strong>W<strong>in</strong>dows</strong> 7 defragmentiert Datenträger automatisch,<br />
wenn das nötig ist. Aber wenn nicht genug Festplattenplatz frei ist, ist e<strong>in</strong>e Fragmentierung<br />
unvermeidlich. Um verschwendeten Festplattenplatz freizumachen, können Sie das<br />
Tool Datenträgerbere<strong>in</strong>igung verwenden.<br />
Falls e<strong>in</strong> Autostartprogramm Leistungsprobleme verursacht, können Sie mit dem Tool<br />
Systemkonfiguration (Msconfig.exe) verh<strong>in</strong>dern, dass e<strong>in</strong> solches Programm gestartet<br />
wird. Das Tool Systemkonfiguration bietet e<strong>in</strong>e bequeme Möglichkeit, Anwendungen<br />
wieder zu aktivieren, falls Sie später feststellen, dass sie nicht für das Problem verantwortlich<br />
s<strong>in</strong>d.
338 Kapitel 8: Leistung<br />
Lernzielkontrolle<br />
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 2,<br />
»Behandeln von Leistungsproblemen«, überprüfen. Die Fragen f<strong>in</strong>den Sie (<strong>in</strong> englischer<br />
Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im Rahmen<br />
e<strong>in</strong>es Übungstests beantworten.<br />
H<strong>in</strong>weis Die Antworten<br />
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglichkeiten<br />
richtig oder falsch s<strong>in</strong>d, f<strong>in</strong>den Sie im Abschnitt »Antworten« am Ende dieses Buchs.<br />
1. Sie arbeiten als Systemadm<strong>in</strong>istrator für e<strong>in</strong> Großunternehmen. E<strong>in</strong> Benutzer ruft an,<br />
weil se<strong>in</strong> Computer sehr langsam reagiert und er <strong>in</strong> Microsoft Office Word ke<strong>in</strong>e E<strong>in</strong>gaben<br />
mehr machen kann. Er hat versucht, Word zu schließen, aber es bleibt auf dem<br />
Bildschirm. Was können Sie tun?<br />
A. Drücken Sie die Tastenkomb<strong>in</strong>ation STRG+ALT+ENTF und klicken Sie auf Task-<br />
Manager starten. Wählen Sie auf der Registerkarte Anwendungen den E<strong>in</strong>trag von<br />
Word aus und klicken Sie auf Task beenden.<br />
B. Drücken Sie die Tastenkomb<strong>in</strong>ation STRG+ALT+ENTF und klicken Sie auf Systemkonfiguration<br />
starten. Klicken Sie auf der Registerkarte Systemstart auf Microsoft<br />
Word und dann auf OK.<br />
C. Drücken Sie die Tastenkomb<strong>in</strong>ation ALT+TABULATOR und klicken Sie auf Task-<br />
Manager starten. Wählen Sie auf der Registerkarte Anwendungen den E<strong>in</strong>trag von<br />
Word aus und klicken Sie auf Task beenden.<br />
D. Drücken Sie die Tastenkomb<strong>in</strong>ation ALT+TABULATOR und klicken Sie auf Systemkonfiguration<br />
starten. Klicken Sie auf der Registerkarte Systemstart auf Microsoft<br />
Word und dann auf OK.<br />
2. Welcher der folgenden Faktoren erhöht die Fragmentierung e<strong>in</strong>er Festplatte am stärksten?<br />
A. Akkubetrieb<br />
B. Große Auslagerungsdatei<br />
C. Wenig freier Festplattenplatz<br />
D. Benutzung e<strong>in</strong>es Flashlaufwerks<br />
3. Welche der folgenden Leistungsprobleme können auf e<strong>in</strong>em mobilen Computer auftreten,<br />
der im Akkubetrieb läuft? (Wählen Sie alle zutreffenden Antworten aus.)<br />
A. Höherer Verbrauch von virtuellem Arbeitsspeicher<br />
B. Langsamerer Speicherzugriff<br />
C. Langsamere Drahtlosverb<strong>in</strong>dungen<br />
D. Schlechtere Videoqualität
Rückblick auf dieses Kapitel<br />
Rückblick auf dieses Kapitel 339<br />
Sie können die <strong>in</strong> diesem Kapitel erworbenen Fähigkeiten folgendermaßen e<strong>in</strong>üben und<br />
vertiefen:<br />
Lesen Sie die Zusammenfassung des Kapitels sorgfältig durch.<br />
Lesen Sie die Liste der Schlüsselbegriffe durch, die <strong>in</strong> diesem Kapitel e<strong>in</strong>geführt wurden.<br />
Arbeiten Sie die Übungen mit Fallbeispielen durch. Diese Szenarien beschreiben Fälle<br />
aus der Praxis, <strong>in</strong> denen die Themen dieses Kapitels zur Anwendung kommen. Sie werden<br />
aufgefordert, e<strong>in</strong>e Lösung zu entwickeln.<br />
Führen Sie die vorgeschlagenen Übungen durch.<br />
Machen Sie e<strong>in</strong>en Übungstest.<br />
Zusammenfassung des Kapitels<br />
Das <strong>W<strong>in</strong>dows</strong> 7-Ereignisprotokoll enthält e<strong>in</strong>e Vielzahl wertvoller Informationen, darunter<br />
Ereignisse, die Probleme beschreiben, die bereits aufgetreten s<strong>in</strong>d oder bald auftreten<br />
könnten. Indem Sie diese Ereignisse mithilfe der Ereignisweiterleitung überwachen,<br />
können Sie schneller auf Probleme reagieren oder verh<strong>in</strong>dern, dass sie ernst werden.<br />
Mit Task-Manager, Leistungsüberwachung und Sammlungssätzen kreisen Sie die Ursachen<br />
von Leistungsproblemen schnell e<strong>in</strong>. Der Task-Manager kann manche Leistungsprobleme<br />
sogar beseitigen, <strong>in</strong>dem Sie die Priorität e<strong>in</strong>es laufenden Prozesses ändern oder<br />
e<strong>in</strong>e Anwendung schließen. Wenn Sie den Verdacht haben, dass e<strong>in</strong> Leistungsproblem<br />
durch e<strong>in</strong>en automatisch gestarteten Dienst oder e<strong>in</strong>e Autostartanwendung verursacht<br />
wird, können Sie im Rahmen der Problembehandlung unterschiedliche Programme mit<br />
dem Tool Systemkonfiguration zeitweise deaktivieren.<br />
Schlüsselbegriffe<br />
Wissen Sie, was die folgenden Schlüsselbegriffe bedeuten? Sie können Ihre Antworten überprüfen,<br />
<strong>in</strong>dem Sie die Begriffe im Glossar am Ende dieses Buchs nachschlagen.<br />
Sammelcomputer<br />
Ereignisweiterleitung<br />
Weiterleitungscomputer<br />
Ruhezustand<br />
Listener<br />
Pull-Modus<br />
Push-Modus<br />
Standby
340 Kapitel 8: Leistung<br />
Übungen mit Fallbeispiel<br />
In den folgenden Übungen mit Fallbeispiel wenden Sie an, was Sie über die <strong>in</strong> diesem<br />
Kapitel behandelten Themen gelernt haben. Die Lösungen zu den Fragen f<strong>in</strong>den Sie im<br />
Abschnitt »Antworten« h<strong>in</strong>ten <strong>in</strong> diesem Buch.<br />
Übung mit Fallbeispiel 1: Überwachen von Kioskcomputern<br />
Sie s<strong>in</strong>d Systemadm<strong>in</strong>istrator beim Baldw<strong>in</strong> Museum of Science. Sie verwalten die Computer<br />
für die <strong>in</strong>ternen Mitarbeiter, s<strong>in</strong>d aber auch für mehrere <strong>W<strong>in</strong>dows</strong>-Vista Computer<br />
verantwortlich, die <strong>in</strong> der E<strong>in</strong>gangshalle des Museums als Kioskgeräte konfiguriert s<strong>in</strong>d.<br />
Besucher des Museums können an diesen Computern e<strong>in</strong>e begrenzte Zahl von Websites mit<br />
wissenschaftlichem Inhalt aufrufen. Desktopsicherheitse<strong>in</strong>schränkungen begrenzen die<br />
Anwendungen, die von den Benutzern ausgeführt werden können, und die Websites, die sie<br />
besuchen können.<br />
Das Museum ist Anziehungspunkt für viele <strong>in</strong>telligente Besucher, die über Fachkenntnisse<br />
im Computerbereich verfügen. Leider sehen es e<strong>in</strong>ige als Herausforderung an, <strong>in</strong> die Kioskcomputer<br />
e<strong>in</strong>zubrechen. Zum Beispiel hatten Sie es vor Kurzem mit e<strong>in</strong>em Angreifer zu tun,<br />
der über e<strong>in</strong>e <strong>in</strong>terne Drahtlosverb<strong>in</strong>dung versucht hat, über das Netzwerk <strong>in</strong> e<strong>in</strong>en Kioskcomputer<br />
e<strong>in</strong>zudr<strong>in</strong>gen. Sie haben den Angriff bemerkt, weil Sie e<strong>in</strong>en E<strong>in</strong>trag im Ereignisprotokoll<br />
gefunden haben. Den entsprechenden E<strong>in</strong>trag sehen Sie <strong>in</strong> Abbildung 8.12.<br />
Abbildung 8.12 E<strong>in</strong> Ereignis, das auf e<strong>in</strong>en aktiven Angriff<br />
<strong>in</strong> Ihrer Organisation h<strong>in</strong>weist<br />
Fragen<br />
Beantworten Sie Ihrem Manager folgende Fragen:<br />
1. Sie verwalten mehrere Kioskcomputer. Wie können Sie ohne großen Aufwand alle<br />
Ereignisprotokolle dieser Computer auf e<strong>in</strong> bestimmtes Ereignis überwachen?<br />
2. Welche Bandbreitenoptimierungstechnik sollten Sie für die Ereignisweiterleitung<br />
wählen?
Übungen mit Fallbeispiel 341<br />
3. Falls dieses Ereignis auftaucht, müssen Sie sofort darüber Bescheid wissen. Wie können<br />
Sie sich aktiv über e<strong>in</strong>en Angriff <strong>in</strong>formieren lassen?<br />
Übung mit Fallbeispiel 2: Behandeln e<strong>in</strong>es Leistungsproblems<br />
Sie s<strong>in</strong>d leitender Systemadm<strong>in</strong>istrator bei der Woodgrove Bank. Mehrmals pro Tag werden<br />
die IT-<strong>Support</strong>mitarbeiter von Benutzern um Hilfe gebeten, deren Computer zu langsam<br />
arbeiten. Das <strong>Support</strong>personal war aber nicht <strong>in</strong> der Lage, die Ursache des Leistungsproblems<br />
zu ermitteln. Das Problem wird dadurch umgangen, dass die Benutzer angewiesen<br />
werden, ihre Computer neu zu starten.<br />
Recherche<br />
Hier die Aussagen der <strong>Unternehmen</strong>smitarbeiter, die Sie befragt haben:<br />
Stuart Railson, Desktopsupporttechniker »Es ist wirklich schwierig, diesen Benutzern<br />
zu helfen. Dieser e<strong>in</strong>e Kerl beschwert sich, dass se<strong>in</strong> Computer zu langsam ist, und<br />
führt sich auf, als wäre das me<strong>in</strong>e Schuld. Ich vermute, es liegt daran, dass der Computer<br />
e<strong>in</strong>fach zu alt ist. Wir sollten den Prozessor oder Arbeitsspeicher oder so etwas aufrüsten.<br />
Ich sage den Benutzern, sie sollten ihre Computer neu starten. Ich vermute, dass<br />
nicht alle Benutzer, die Probleme mit der Geschw<strong>in</strong>digkeit haben, uns anrufen, weil sie<br />
selbst die Erfahrung gemacht haben, dass sich das Problem behebt, wenn sie ihren Computer<br />
neu starten.«<br />
Angela Barbariol, IT-Manager<strong>in</strong> »Wie Sie wissen, laufen alle unsere Computer unter<br />
<strong>W<strong>in</strong>dows</strong> 7 und haben moderne Dual-Core-Prozessoren und m<strong>in</strong>destens 3 GByte RAM.<br />
Für die Anwendungen, die diese Benutzer e<strong>in</strong>setzen, sollte das mehr als ausreichend<br />
se<strong>in</strong>. Das ist offensichtlich, weil die Leistung der Computer e<strong>in</strong>wandfrei ist, nachdem sie<br />
neu gestartet wurden. Offen gesagt ist es mir pe<strong>in</strong>lich, dass wir das Problem umgehen,<br />
<strong>in</strong>dem wir die Computer neu starten. Schließlich verr<strong>in</strong>gert das die Produktivität der<br />
Benutzer. Wir sollten die Ursache der Leistungsprobleme f<strong>in</strong>den, damit wir sie beseitigen<br />
können.«<br />
Fragen<br />
Beantworten Sie Ihrem Manager folgende Fragen:<br />
1. Welche Tools setzen Sie e<strong>in</strong>, um die Ursache des Problems ausf<strong>in</strong>dig zu machen? Wie<br />
verwenden Sie diese Tools?<br />
2. Wo vermuten Sie das Problem? Warum wird es zeitweise beseitigt, wenn die Computer<br />
neu gestartet werden?
342 Kapitel 8: Leistung<br />
Vorgeschlagene Übungen<br />
Sie sollten die folgenden Aufgaben durcharbeiten, wenn Sie die <strong>in</strong> diesem Kapitel behandelten<br />
Prüfungsziele meistern wollen.<br />
Untersuchen und Beseitigen von Leistungsproblemen<br />
Im Rahmen dieser Aufgabe sollten Sie m<strong>in</strong>destens die Übungen 1 und 2 durcharbeiten, um<br />
Erfahrung mit der Ereignisweiterleitung zu sammeln. Wenn Sie genauer verstehen wollen,<br />
wie die Ereignisweiterleitung <strong>in</strong> e<strong>in</strong>em Großunternehmen konfiguriert wird, sollten Sie auch<br />
Übung 3 ganz durcharbeiten. Wenn Sie diese Konfigurationsaufgaben durchführen, verbessern<br />
Sie auch Ihre Problembehandlungsfähigkeiten, weil Probleme meist auftreten, wenn<br />
e<strong>in</strong>e von den Standarde<strong>in</strong>stellungen abweichende Ereignisweiterleitung konfiguriert wird.<br />
Arbeiten Sie danach die Übungen 4 bis 7 durch, um mehr Erfahrung mit dem Überwachen<br />
der Computerleistung zu sammeln. Führen Sie zuletzt Übung 8 durch, um sich damit vertraut<br />
zu machen, wie viel Festplattenplatz <strong>in</strong> der Praxis verschwendet wird.<br />
Übung 1 Konfigurieren Sie e<strong>in</strong>en Arbeitsgruppencomputer so, dass er Ereignisse an<br />
e<strong>in</strong>en anderen Arbeitsgruppencomputer weiterleitet.<br />
Übung 2 Konfigurieren Sie e<strong>in</strong>en Weiterleitungscomputer so, dass er Ereignisse mit<br />
jeder der drei Standardbandbreitenoptimierungstechniken an e<strong>in</strong>en Sammelcomputer<br />
sendet. Passen Sie dann die Konfiguration der Ereignisweiterleitung an, <strong>in</strong>dem Sie das<br />
Zeit<strong>in</strong>tervall für die Ereignisweiterleitung halbieren.<br />
Übung 3 Konfigurieren Sie mehrere Clientcomputer mithilfe von Gruppenrichtl<strong>in</strong>ien<br />
so, dass sie Ereignisse an e<strong>in</strong>en Sammelcomputer weiterleiten. Verwenden Sie Anmeldeskripts,<br />
um die Weiterleitungscomputer zu konfigurieren. Dies dient der Skalierbarkeit,<br />
es wäre <strong>in</strong> e<strong>in</strong>em Großunternehmen zu zeitaufwendig, die Weiterleitungscomputer von<br />
Hand zu konfigurieren.<br />
Übung 4 Führen Sie auf mehreren Produktivcomputern beide Standardsammlungssätze<br />
aus. Analysieren Sie die dabei generierten Berichte.<br />
Übung 5 Halten Sie die Registerkarte Leistung des Task-Managers offen, während Sie<br />
andere Arbeiten an Ihrem Computer erledigen. Sehen Sie, sobald der Ressourcenverbrauch<br />
deutlich ansteigt, auf der Registerkarte Prozesse nach, welcher Prozess dafür<br />
verantwortlich ist. Wiederholen Sie diese Übung mit der Registerkarte Netzwerk.<br />
Übung 6 Starten Sie e<strong>in</strong>e Anwendung, beispielsweise den Editor, und beenden Sie<br />
dann den Prozess auf der Registerkarte Prozesse des Task-Managers.<br />
Übung 7 Fügen Sie <strong>in</strong> der Leistungsüberwachung den Leistungs<strong>in</strong>dikator Netzwerkschnittstelle\Gesamtanzahl<br />
Bytes/s für Ihre primäre Netzwerkschnittstelle h<strong>in</strong>zu. Kopieren<br />
Sie dann e<strong>in</strong>e Datei über das Netzwerk. Notieren Sie sich den Höchstwert für die<br />
Bytes pro Sekunde. Multiplizieren Sie diesen Wert mit 8, um die maximale Bandbreite<br />
<strong>in</strong> der E<strong>in</strong>heit Bit/s zu ermitteln. Welchen Prozentsatz der theoretischen Netzwerkbandbreite<br />
nutzt die Dateiübertragung aus?<br />
Übung 8 Führen Sie das Tool Datenträgerbere<strong>in</strong>igung auf mehreren Produktivcomputern<br />
aus. Wie viel Platz wird durchschnittlich frei?
Machen Sie e<strong>in</strong>en Übungstest<br />
Machen Sie e<strong>in</strong>en Übungstest 343<br />
Die Übungstests (<strong>in</strong> englischer Sprache) auf der Begleit-CD zu diesem Buch bieten zahlreiche<br />
Möglichkeiten. Zum Beispiel können Sie e<strong>in</strong>en Test machen, der ausschließlich die<br />
Themen aus e<strong>in</strong>em Prüfungslernziel behandelt, oder Sie können sich selbst mit dem gesamten<br />
Inhalt der Prüfung <strong>70</strong>-<strong>685</strong> testen. Sie können den Test so konfigurieren, dass er dem<br />
Ablauf e<strong>in</strong>er echten Prüfung entspricht, oder Sie können e<strong>in</strong>en Lernmodus verwenden, <strong>in</strong><br />
dem Sie sich nach dem Beantworten e<strong>in</strong>er Frage jeweils sofort die richtige Antwort und<br />
Erklärungen ansehen können.<br />
Weitere Informationen Übungstests<br />
E<strong>in</strong>zelheiten zu allen Optionen, die bei den Übungstests zur Verfügung stehen, f<strong>in</strong>den Sie im<br />
Abschnitt »So benutzen Sie die Übungstests« <strong>in</strong> der E<strong>in</strong>führung am Anfang dieses Buchs.
K A P I T E L 9<br />
Beseitigen von Softwareproblemen<br />
Softwarefehler können während des Installationsvorgangs auftreten, sofort nach der Installation<br />
oder erst viel später. Fehler während der Installation werden oft durch E<strong>in</strong>schränkungen<br />
aufgrund von Richtl<strong>in</strong>ien oder Berechtigungen, fehlender Verfügbarkeit oder falschen Installationse<strong>in</strong>stellungen<br />
verursacht. Fehler, die sofort nach der Installation auftreten, haben<br />
oft mit E<strong>in</strong>schränkungen aufgrund von Richtl<strong>in</strong>ien oder Kompatibilitätsproblemen zu tun.<br />
Und Fehler, die sich erst lange nach der Installation zeigen, werden oft von Konfigurationsänderungen<br />
verursacht.<br />
Dieses Kapitel stellt die verschiedenen Ursachen von Softwarefehlern vor und beschreibt<br />
Strategien, wie sie sich beseitigen lassen.<br />
In diesem Kapitel abgedeckte Prüfungsziele:<br />
Untersuchen und Beseitigen von Problemen bei der Installation neuer Software<br />
Untersuchen und Beseitigen von Softwarekonfigurationsproblemen<br />
Untersuchen und Beseitigen von Softwarefehlern<br />
Lektionen <strong>in</strong> diesem Kapitel:<br />
Lektion 1: Beseitigen von Installationsfehlern ............................ 346<br />
Lektion 2: Beseitigen von Softwarekonfigurations- und Kompatibilitätsproblemen 361<br />
Bevor Sie beg<strong>in</strong>nen<br />
Um die Übungen <strong>in</strong> diesem Kapitel durcharbeiten zu können, brauchen Sie:<br />
E<strong>in</strong>en Domänencontroller, der unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2 läuft<br />
E<strong>in</strong>en Client mit <strong>W<strong>in</strong>dows</strong> 7 Enterprise, der Mitglied der Domäne ist<br />
345
346 Kapitel 9: Beseitigen von Softwareproblemen<br />
Lektion 1: Beseitigen von Installationsfehlern<br />
Bei e<strong>in</strong>er Problembehandlung für Installationsfehler müssen Sie wissen, welche Voraussetzungen<br />
für den erfolgreichen Ablauf der Installation gefordert werden. Zu diesen Voraussetzungen<br />
gehören unter anderem Adm<strong>in</strong>istratorprivilegien, Kompatibilität zu <strong>W<strong>in</strong>dows</strong> 7, Verfügbarkeit<br />
von Installationscode und -daten sowie der Status von anderen Komponenten, die<br />
für die Software benötigt werden. Sie müssen außerdem wissen, wie adm<strong>in</strong>istrative Features,<br />
beispielsweise Richtl<strong>in</strong>ien für Softwaree<strong>in</strong>schränkung (Software Restriction Policies, SRP)<br />
und AppLocker, e<strong>in</strong>e Installation blockieren können, obwohl alle anderen Voraussetzungen<br />
erfüllt s<strong>in</strong>d. Diese Lektion bietet e<strong>in</strong>en Überblick über derartige Probleme, die sowohl für<br />
erfolgreiche als auch fehlgeschlagene Installationen von Bedeutung s<strong>in</strong>d.<br />
Am Ende dieser Lektion werden Sie <strong>in</strong> der Lage se<strong>in</strong>, die folgenden Aufgaben auszuführen:<br />
Durchführen e<strong>in</strong>er Problembehandlung für Software<strong>in</strong>stallationsfehler, <strong>in</strong>dem mehrere<br />
bekannte Installationsvoraussetzungen geprüft werden<br />
Beschreiben, wie AppLocker Software<strong>in</strong>stallationen verh<strong>in</strong>dern kann<br />
Beschreiben, welche Features <strong>in</strong> AppLocker im Vergleich zu den Richtl<strong>in</strong>ien für Softwaree<strong>in</strong>schränkung<br />
verbessert wurden<br />
Blockieren der Ausführung e<strong>in</strong>es <strong>W<strong>in</strong>dows</strong> Installer-Programms mit AppLocker<br />
Veranschlagte Zeit für diese Lektion: 30 M<strong>in</strong>uten<br />
Überprüfen der Voraussetzungen für e<strong>in</strong>e Software<strong>in</strong>stallation<br />
Es gibt zwei grundlegende Methoden, neue Software auf <strong>W<strong>in</strong>dows</strong> 7-Clients zu <strong>in</strong>stallieren.<br />
Erstens können Sie die Anwendungen mithilfe e<strong>in</strong>er Softwarebereitstellungstechnologie wie<br />
Gruppenrichtl<strong>in</strong>ien, Microsoft System Center Configuration Manager oder der Lösung e<strong>in</strong>es<br />
anderen Herstellers auf die Clients übertragen; dies ist die sogenannte Push-Methode. Die<br />
zweite Möglichkeit besteht dar<strong>in</strong>, e<strong>in</strong> Programm von Hand zu <strong>in</strong>stallieren.<br />
Manche Voraussetzungen für e<strong>in</strong>e erfolgreiche Software<strong>in</strong>stallation gelten ausschließlich für<br />
e<strong>in</strong>e spezielle Methode, die Software bereitzustellen, aber die meisten Voraussetzungen müssen<br />
bei allen Software<strong>in</strong>stallationsmethoden erfüllt se<strong>in</strong>. Um die Problembehandlung für<br />
e<strong>in</strong>e fehlgeschlagene Installation e<strong>in</strong>zuleiten, sollten Sie daher erst e<strong>in</strong>mal die allgeme<strong>in</strong>en<br />
Voraussetzungen überprüfen, die im nächsten Abschnitt beschrieben werden.<br />
Überprüfen der Adm<strong>in</strong>istratorprivilegien<br />
E<strong>in</strong>e der wichtigsten Voraussetzungen für e<strong>in</strong>e erfolgreiche Software<strong>in</strong>stallation ist, dass das<br />
Benutzerkonto, unter dem das Installationsprogramm ausgeführt wird, über die Privilegien<br />
e<strong>in</strong>es lokalen Adm<strong>in</strong>istrators verfügen muss. Damit diese lokalen Adm<strong>in</strong>istratorprivilegien<br />
auf e<strong>in</strong>em bestimmten Computer zur Verfügung stehen, muss das Konto Mitglied der Adm<strong>in</strong>istratorengruppe<br />
auf diesem Computer se<strong>in</strong>.<br />
Wenn Sie an der E<strong>in</strong>gabeaufforderung der Benutzerkontensteuerung scheitern, während Sie<br />
versuchen, e<strong>in</strong> Programm zu <strong>in</strong>stallieren, sollten Sie deshalb überprüfen, ob das Konto, das<br />
Sie für die Installation verwenden, lokale Adm<strong>in</strong>istratorprivilegien auf dem Computer<br />
besitzt. Üblicherweise reicht es aus, die Privilegien e<strong>in</strong>es Domänenadm<strong>in</strong>istrators zu haben,<br />
weil die Mitglieder der Gruppe Domänen-Adm<strong>in</strong>s <strong>in</strong> der Standarde<strong>in</strong>stellung auch Mitglieder
Lektion 1: Beseitigen von Installationsfehlern 347<br />
der lokalen Gruppe Adm<strong>in</strong>istratoren auf jedem Computer s<strong>in</strong>d, der Mitglied derselben Domäne<br />
ist. Sie sollten diesen Punkt aber sogar dann überprüfen, wenn Sie bereits Domänenadm<strong>in</strong>istrator<br />
s<strong>in</strong>d, weil es se<strong>in</strong> kann, dass die Gruppe Domänen-Adm<strong>in</strong>s aus der lokalen<br />
Gruppe Adm<strong>in</strong>istratoren entfernt wurde.<br />
Ob Sie e<strong>in</strong> Mitglied der lokalen Gruppe Adm<strong>in</strong>istratoren auf e<strong>in</strong>em bestimmten Computer<br />
s<strong>in</strong>d, f<strong>in</strong>den Sie <strong>in</strong> der Konsole Lokale Benutzer und Gruppen heraus. Sie öffnen diese Konsole<br />
<strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7, <strong>in</strong>dem Sie im Startmenü Lokale Benutzer und Gruppen bearbeiten<br />
e<strong>in</strong>tippen und die EINGABETASTE drücken. (Diesen Schritt können Sie auch dann durchführen,<br />
wenn Sie noch ke<strong>in</strong> lokaler Adm<strong>in</strong>istrator s<strong>in</strong>d.) Wählen Sie dann <strong>in</strong> der Konsolenstruktur<br />
von Lokale Benutzer und Gruppen den Knoten Gruppen aus und klicken Sie <strong>in</strong> der<br />
Detailansicht doppelt auf die Gruppe Adm<strong>in</strong>istratoren. Daraufh<strong>in</strong> öffnet sich das Dialogfeld<br />
Eigenschaften von Adm<strong>in</strong>istratoren (Abbildung 9.1). Dieses Dialogfeld listet alle lokalen<br />
Adm<strong>in</strong>istratoren des Computers auf.<br />
Abbildung 9.1 Anzeigen der lokalen Adm<strong>in</strong>istratoren<br />
Sofern Sie e<strong>in</strong> lokaler Adm<strong>in</strong>istrator s<strong>in</strong>d, können Sie im Dialogfeld Eigenschaften von<br />
Adm<strong>in</strong>istratoren auf die Schaltfläche H<strong>in</strong>zufügen klicken, um bei Bedarf weitere lokale<br />
Adm<strong>in</strong>istratoren h<strong>in</strong>zuzufügen. Beachten Sie aber, dass es <strong>in</strong> e<strong>in</strong>em großen <strong>Unternehmen</strong>snetzwerk<br />
s<strong>in</strong>nvoller ist, die Mitgliedschaft <strong>in</strong> lokalen Gruppen mithilfe der e<strong>in</strong>geschränkten<br />
Gruppen <strong>in</strong> den Gruppenrichtl<strong>in</strong>ien zu steuern.<br />
Ausführen e<strong>in</strong>es Installationsprogramms als Adm<strong>in</strong>istrator<br />
Wenn Sie festgestellt haben, dass Sie e<strong>in</strong> lokaler Adm<strong>in</strong>istrator s<strong>in</strong>d, aber trotzdem die<br />
Meldung bekommen, dass Adm<strong>in</strong>istratorprivilegien erforderlich s<strong>in</strong>d, um die Installation<br />
auszuführen, sollten Sie die Möglichkeit nutzen, das Installationsprogramm als Adm<strong>in</strong>istrator<br />
auszuführen. Klicken Sie dazu mit der rechten Maustaste auf das Installationssymbol des<br />
Programms und wählen Sie den Befehl Als Adm<strong>in</strong>istrator ausführen (Abbildung 9.2). Wenn<br />
daraufh<strong>in</strong> e<strong>in</strong>e E<strong>in</strong>gabeaufforderung der Benutzerkontensteuerung ersche<strong>in</strong>t, können Sie den
348 Kapitel 9: Beseitigen von Softwareproblemen<br />
Vorgang bestätigen beziehungsweise die geforderten Adm<strong>in</strong>istratoranmelde<strong>in</strong>formationen<br />
e<strong>in</strong>geben.<br />
Abbildung 9.2 Ausführen e<strong>in</strong>er Installation mit Adm<strong>in</strong>istratorprivilegien<br />
Überprüfen der <strong>W<strong>in</strong>dows</strong> 7-Kompatibilität<br />
Ist von e<strong>in</strong>er Anwendung bekannt, dass sie zu <strong>W<strong>in</strong>dows</strong> 7 <strong>in</strong>kompatibel ist, erhalten Sie unter<br />
Umständen e<strong>in</strong>e entsprechende Meldung, sobald Sie versuchen, das Programm zu <strong>in</strong>stallieren.<br />
Steht ke<strong>in</strong>e aktualisierte Version der Software zur Verfügung, können Sie versuchen, die<br />
Kompatibilitätse<strong>in</strong>stellungen für das Installationsprogramm anzupassen oder die Anwendung<br />
<strong>in</strong> e<strong>in</strong>er virtuellen Umgebung auszuführen. Wie Sie solche Softwarekompatibilitätsprobleme<br />
beseitigen, wird <strong>in</strong> Lektion 2, »Beseitigen von Softwarekonfigurations- und<br />
Kompatibilitätsproblemen«, dieses Kapitels genauer beschrieben.<br />
Überprüfen, ob der Herausgeber vertrauenswürdig ist<br />
Wenn Sie e<strong>in</strong> neues Programm <strong>in</strong>stallieren, prüft <strong>W<strong>in</strong>dows</strong> 7 das Zertifikat und e<strong>in</strong>e digitale<br />
Signatur, um den Herausgeber des Programms zu authentifizieren. Damit diese Überprüfung<br />
der digitalen Signatur gel<strong>in</strong>gt, muss der lokale Computer der Stammzertifizierungsstelle<br />
vertrauen, die das Zertifikat des Softwareherausgebers ausgestellt hat. Anders ausgedrückt:<br />
Im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen des lokalen Computers<br />
muss das Stammzertifikat für die Zertifikatkette des Herausgeberzertifikats <strong>in</strong>stalliert se<strong>in</strong>.<br />
E<strong>in</strong> Adm<strong>in</strong>istrator kann dieses Stammzertifikat von Hand auf e<strong>in</strong>em lokalen Computer <strong>in</strong>stallieren,<br />
es kann aber auch mithilfe von Gruppenrichtl<strong>in</strong>ien im Zertifikatspeicher Vertrauenswürdige<br />
Stammzertifizierungsstellen auf vielen Clients <strong>in</strong>stalliert werden.<br />
Wurde bestätigt, dass das Zertifikat im Installationsprogramm von e<strong>in</strong>em vertrauenswürdigen<br />
Herausgeber stammt und die digitale Signatur echt ist, wird die Installation normal ausgeführt.<br />
Wenn dagegen ke<strong>in</strong>e digitale Signatur vorhanden ist oder der lokale Computer nicht<br />
so konfiguriert ist, dass der dem Herausgeber vertraut, bekommen Sie e<strong>in</strong>e Warnmeldung,<br />
die ähnlich aussieht wie <strong>in</strong> Abbildung 9.3.
Abbildung 9.3 Vermeiden Sie es, Programme von<br />
nichtvertrauenswürdigen Herausgebern zu <strong>in</strong>stallieren<br />
Lektion 1: Beseitigen von Installationsfehlern 349<br />
Im Allgeme<strong>in</strong>en sollten Sie es <strong>in</strong> e<strong>in</strong>er <strong>Unternehmen</strong>sumgebung vermeiden, Programme von<br />
nichtvertrauenswürdigen Herausgebern zu <strong>in</strong>stallieren. Solche Programme verursachen unter<br />
Umständen Fehler während der Installation, und selbst wenn die Installation gel<strong>in</strong>gt,<br />
könnten sie Stabilitätsprobleme verursachen oder Malware <strong>in</strong> Ihr Netzwerk e<strong>in</strong>schleusen.<br />
Überprüfen, ob Software die Tests für das <strong>W<strong>in</strong>dows</strong> 7-Logo bestanden hat<br />
Gelegentlich erhalten Sie beim Versuch, e<strong>in</strong>e Anwendung zu <strong>in</strong>stallieren, e<strong>in</strong>e Meldung, dass<br />
die Anwendung nicht die Tests für das <strong>W<strong>in</strong>dows</strong> 7-Logo bestanden hat. In diesem Fall sollten<br />
Sie die Software nicht <strong>in</strong>stallieren.<br />
Damit e<strong>in</strong>e Anwendung die Tests für das <strong>W<strong>in</strong>dows</strong> 7-Logo besteht, muss sie e<strong>in</strong>e Reihe von<br />
Anforderungen erfüllen, darunter die E<strong>in</strong>haltung bestimmter Antispywarerichtl<strong>in</strong>ien, die<br />
Isolierung geschützter Ressourcen <strong>in</strong> <strong>W<strong>in</strong>dows</strong>, e<strong>in</strong>e Möglichkeit zur vollständigen De<strong>in</strong>stallation<br />
und e<strong>in</strong>e digitale Signatur für alle Dateien.<br />
Überprüfen des Speicherorts für das Installationsmedium<br />
Bevor Sie versuchen, e<strong>in</strong>e Anwendung zu <strong>in</strong>stallieren, sollten Sie sicherstellen, dass alle<br />
Dateien, die für die Installation gebraucht werden, an den vorgesehenen Speicherorten zur<br />
Verfügung stehen. Haben Sie beispielsweise e<strong>in</strong> Installationsprogramm aus e<strong>in</strong>er Netzwerkquelle<br />
auf den lokalen Computer kopiert, sollten Sie überprüfen, ob auch alle Unterstützungsdateien<br />
mitkopiert wurden, die das Installationsprogramm bei se<strong>in</strong>er Ausführung aufruft.<br />
(Solche Unterstützungsdateien s<strong>in</strong>d unter anderem .cab- oder .<strong>in</strong>i-Dateien.) Wenn Sie e<strong>in</strong>e<br />
Anwendung über das Netzwerk <strong>in</strong>stallieren, müssen Sie sicherstellen, dass auch alle Unterstützungsdateien<br />
vom lokalen Computer aus erreichbar s<strong>in</strong>d und Sie Lese- und Ausführungsberechtigungen<br />
für diese Dateien haben.<br />
Überprüfen der Installationse<strong>in</strong>stellungen<br />
Wenn Sie versuchen, e<strong>in</strong>e Anwendung zu <strong>in</strong>stallieren, sollten Sie sicherstellen, dass die E<strong>in</strong>stellungen,<br />
die Sie für die Installation ausgewählt haben, richtig konfiguriert s<strong>in</strong>d. Andernfalls<br />
könnte die Installation fehlschlagen. Wenn Sie beispielsweise versuchen, e<strong>in</strong> Programm<br />
auf e<strong>in</strong>em schreibgeschützten Datenträger zu <strong>in</strong>stallieren, schlägt die Installation fehl.
350 Kapitel 9: Beseitigen von Softwareproblemen<br />
Überprüfen der externen Verb<strong>in</strong>dungen<br />
Bestimmte Anwendungen benötigen Verb<strong>in</strong>dungen zu externen Datenquellen. So könnte es<br />
se<strong>in</strong>, dass e<strong>in</strong>e Anwendung e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>er Datenbank, e<strong>in</strong>em Ma<strong>in</strong>frame, e<strong>in</strong>er<br />
Website, e<strong>in</strong>em Lizenzserver oder e<strong>in</strong>em anderen Anwendungsserver benötigt. Prüfen Sie <strong>in</strong><br />
e<strong>in</strong>em solchen Fall, ob das Installationsprogramm Verb<strong>in</strong>dung zu diesen externen Zielen hat.<br />
Überprüfen von Lizenz- und anderen Anwendungse<strong>in</strong>schränkungen<br />
Für e<strong>in</strong>e Anwendung gelten unter Umständen E<strong>in</strong>schränkungen, die e<strong>in</strong>e erfolgreiche Installation<br />
verh<strong>in</strong>dern. Beispielsweise wird oft e<strong>in</strong>e Lizenz oder e<strong>in</strong> Product Key gebraucht, um<br />
die Anwendung zu <strong>in</strong>stallieren, vielleicht muss die Anwendung auch mit e<strong>in</strong>em bestimmten<br />
Benutzerkonto <strong>in</strong>stalliert werden. Überprüfen Sie auch, ob die Anwendungsarchitektur zum<br />
lokalen Prozessor kompatibel ist. Zum Beispiel können Sie e<strong>in</strong>e 64-Bit-Anwendung nicht<br />
auf e<strong>in</strong>em Computer mit e<strong>in</strong>er 32-Bit-CPU <strong>in</strong>stallieren.<br />
Überprüfen von Anwendungsabhängigkeiten<br />
Manche Anwendungen lassen sich erst <strong>in</strong>stallieren, wenn Sie vorher andere Updates, Features,<br />
Service Packs oder Anwendungen <strong>in</strong>stalliert haben. Stellen Sie sicher, dass der <strong>W<strong>in</strong>dows</strong><br />
7-Client für die Anwendungs<strong>in</strong>stallation vorbereitet ist, <strong>in</strong>dem Sie erst alle erforderlichen<br />
Softwareabhängigkeiten <strong>in</strong>stallieren.<br />
Weitere Informationen Bereitstellen von Anwendungen<br />
Die folgenden Websites enthalten hilfreiche Informationen und Tools zur automatisierten<br />
Installation von Anwendungen sowie zu anderen Themen im Bereich der Bereitstellung:<br />
AppDeploy.com unter http://www.appdeploy.com Diese Website enthält Informationen<br />
über das Bereitstellen von Anwendungen, die mit ganz unterschiedlichen Techniken<br />
verpackt s<strong>in</strong>d.<br />
SourceForge unter http://unattended.sourceforge.net Diese Website beschreibt, wie<br />
Sie die Installation vieler älteren Installationsprogramme automatisieren.<br />
Grundlagen von Installationse<strong>in</strong>schränkungen durch AppLocker<br />
Gelegentlich erhalten Sie beim Versuch, e<strong>in</strong>e Anwendung zu <strong>in</strong>stallieren, Fehlermeldungen<br />
wie die <strong>in</strong> den Abbildungen 9.4 oder 9.5.<br />
Abbildung 9.4 E<strong>in</strong>e Installation wird durch AppLocker verh<strong>in</strong>dert
Abbildung 9.5 E<strong>in</strong>e Installation wird durch SRP verh<strong>in</strong>dert<br />
Lektion 1: Beseitigen von Installationsfehlern 351<br />
Wenn Sie e<strong>in</strong>e solche Meldung erhalten, verh<strong>in</strong>dert das Feature AppLocker oder Richtl<strong>in</strong>ien<br />
für Softwaree<strong>in</strong>schränkung (Software Restriction Policies, SRP), dass die Anwendung <strong>in</strong>stalliert<br />
wird. Beide Technologien stehen <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 und <strong>W<strong>in</strong>dows</strong> Server 2008 R2 zur Verfügung.<br />
AppLocker ist im Grunde e<strong>in</strong>e neue und verbesserte Version von SRP, aber SRP ist<br />
<strong>in</strong> diesen neueren Betriebssystemen nach wie vor enthalten, um die Kompatibilität zu Netzwerken<br />
sicherzustellen, <strong>in</strong> denen ältere <strong>W<strong>in</strong>dows</strong>-Versionen laufen.<br />
Wie SRP konfigurieren Sie AppLocker mithilfe von Gruppenrichtl<strong>in</strong>ien. Sie f<strong>in</strong>den die E<strong>in</strong>stellungen<br />
für AppLocker <strong>in</strong> e<strong>in</strong>em Gruppenrichtl<strong>in</strong>ienobjekt (Group Policy Object, GPO)<br />
im Knoten Computerkonfiguration\Richtl<strong>in</strong>ien\<strong>W<strong>in</strong>dows</strong>-E<strong>in</strong>stellungen\Sicherheitse<strong>in</strong>stellungen\Anwendungssteuerungsrichtl<strong>in</strong>ien\AppLocker<br />
(Abbildung 9.6). In der lokalen Sicherheitsrichtl<strong>in</strong>ie<br />
lautet der Pfad Sicherheitse<strong>in</strong>stellungen\Anwendungssteuerungsrichtl<strong>in</strong>ien.<br />
Abbildung 9.6 AppLocker wird <strong>in</strong> e<strong>in</strong>em Gruppenrichtl<strong>in</strong>ienobjekt konfiguriert<br />
Wie Sie sehen, liegt der Conta<strong>in</strong>er für AppLocker (Anwendungssteuerungsrichtl<strong>in</strong>ien) direkt<br />
unter dem für SRP (Richtl<strong>in</strong>ien für Softwaree<strong>in</strong>schränkung).<br />
Der nächste Abschnitt stellt AppLocker vor und beschreibt die Unterschiede zwischen App-<br />
Locker und SRP.
352 Kapitel 9: Beseitigen von Softwareproblemen<br />
Überblick über AppLocker<br />
AppLocker ist e<strong>in</strong> neues Feature <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 und <strong>W<strong>in</strong>dows</strong> Server 2008 R2. Adm<strong>in</strong>istratoren<br />
können damit e<strong>in</strong>schränken, welche Programme die Benutzer <strong>in</strong> der Organisation ausführen<br />
oder <strong>in</strong>stallieren dürfen.<br />
AppLocker weist zahlreiche Ähnlichkeiten mit SRP auf. Erstens konfigurieren Sie sowohl<br />
AppLocker als auch SRP <strong>in</strong> e<strong>in</strong>em Gruppenrichtl<strong>in</strong>ienobjekt. Und wie <strong>in</strong> SRP erstellen Sie<br />
auch <strong>in</strong> AppLocker Regeln, die festlegen, auf welche Anwendung Sie den Zugriff erlauben<br />
oder verbieten wollen. Und schließlich können Sie <strong>in</strong> AppLocker wie <strong>in</strong> SRP e<strong>in</strong> Programm<br />
identifizieren, <strong>in</strong>dem Sie unter anderem e<strong>in</strong>en Hashwert oder den Pfad zu se<strong>in</strong>er Datei<br />
angeben.<br />
AppLocker bietet gegenüber SRP folgende wichtige Verbesserungen:<br />
Herausgeberregeln<br />
In AppLocker können Sie e<strong>in</strong> Programm identifizieren, <strong>in</strong>dem Sie Informationen aus<br />
se<strong>in</strong>er digitalen Signatur extrahieren (Abbildung 9.7). Anhand ausgewählter Teile dieser<br />
Herausgeber<strong>in</strong>formationen def<strong>in</strong>ieren Sie dann, welche Programme Sie zulassen oder<br />
verbieten. Diese Herausgeberbed<strong>in</strong>gung ersetzt praktisch die Zertifikatregeln <strong>in</strong> SRP.<br />
Abbildung 9.7 Mit AppLocker können Sie e<strong>in</strong>e Anwendung anhand der digitalen Signatur<br />
identifizieren<br />
Die Herausgeberdaten aus e<strong>in</strong>er digitalen Signatur zu verwenden, ist die weitaus beste<br />
Methode, um e<strong>in</strong>e Anwendung <strong>in</strong> AppLocker zu identifizieren. Erstens können Sie auf<br />
Basis dieser Herausgeberdaten unterschiedlich konkrete Regeln entwickeln: Sie können<br />
festlegen, dass die Regel für den Herausgeber generell gilt, für alle Versionen e<strong>in</strong>er bestimmten<br />
Anwendung oder für ausgewählte Versionen der Anwendung (<strong>in</strong>klusive aller<br />
älteren oder künftigen Versionen). Zweitens löst die Herausgeberbed<strong>in</strong>gung e<strong>in</strong> zentrales
Lektion 1: Beseitigen von Installationsfehlern 353<br />
Problem von SRP: In SRP gibt es ke<strong>in</strong>en vergleichbaren Weg, den Zugriff auf e<strong>in</strong>e Anwendung<br />
e<strong>in</strong>zuschränken, wenn mehrere Updates angewendet wurden. Wenn Sie e<strong>in</strong>en<br />
Pfad zu e<strong>in</strong>er Anwendung angeben, die Sie e<strong>in</strong>schränken wollen, können die Benutzer<br />
das Programm e<strong>in</strong>fach <strong>in</strong> e<strong>in</strong>en anderen Pfad verschieben, um die E<strong>in</strong>schränkung zu<br />
umgehen. Und wenn Sie e<strong>in</strong>en Hashwert für die Anwendung angeben, müssen Sie jedes<br />
Mal, wenn die Anwendung aktualisiert wird, e<strong>in</strong>e neue Regel h<strong>in</strong>zufügen.<br />
AppLocker blockiert alle Programme, die nicht explizit erlaubt s<strong>in</strong>d<br />
In SRP werden Regeln standardmäßig benutzt, um den Zugriff auf die angegebenen<br />
Anwendungen zu blockieren. In e<strong>in</strong>em <strong>Unternehmen</strong>snetzwerk übersteigt die Zahl der<br />
Anwendungen, die Sie sperren wollen, bei Weitem die Zahl derjenigen, die Sie erlauben.<br />
AppLocker beseitigt dieses Problem, <strong>in</strong>dem es alle Anwendungen sperrt, die nicht ausdrücklich<br />
erlaubt s<strong>in</strong>d. Genauer gesagt: Es werden AppLocker-Regeln für e<strong>in</strong>en von vier<br />
Dateitypen (ausführbare Dateien, <strong>W<strong>in</strong>dows</strong> Installer-Programme, Skripts oder DLL-<br />
Dateien) aktiviert, wenn Sie zum ersten Mal e<strong>in</strong>e Regel für den jeweiligen Dateityp<br />
erstellen. Wird dann AppLocker aktiviert, werden alle Anwendungen dieses Dateityps<br />
gesperrt, sofern sie nicht durch e<strong>in</strong>e Regel zugelassen werden. Um zu verh<strong>in</strong>dern, dass<br />
das System völlig gesperrt wird, stellt AppLocker die Befehle Standardregeln erstellen<br />
und Regeln automatisch generieren zur Verfügung. Sie erstellen Zulassen-Regeln für die<br />
meisten Anwendungen. Anschließend können Sie dann zusätzliche Regeln erstellen, um<br />
diese Standardkonfiguration anzupassen.<br />
Zuweisen von Regeln an bestimmte Benutzer und Gruppen<br />
In AppLocker können Sie Regeln erstellen, die entweder für alle gelten oder nur für<br />
bestimmte Benutzer und Gruppen. In SRP gelten die Regeln dagegen immer für alle<br />
Benutzer.<br />
Ausnahmen<br />
AppLocker bietet die Möglichkeit, e<strong>in</strong>e Regel mit e<strong>in</strong>er Ausnahme zu erstellen. Beispielsweise<br />
können Sie e<strong>in</strong>e Regel erstellen, die die Ausführung aller Anwendungen<br />
erlaubt außer e<strong>in</strong>er bestimmten .exe-Datei. Dieses Feature steht <strong>in</strong> SRP nicht zur Verfügung.<br />
Re<strong>in</strong>er Überwachungsmodus<br />
Im Unterschied zu SRP stellt AppLocker e<strong>in</strong>en re<strong>in</strong>en Überwachungsmodus zur Verfügung.<br />
In diesem Modus können Sie Ihre Konfiguration testen, ohne die AppLocker-<br />
Regeln durchzusetzen. Wenn Sie AppLocker so konfigurieren, dass die Regeln für e<strong>in</strong>en<br />
bestimmten Dateityp (etwa <strong>W<strong>in</strong>dows</strong> Installer-Programme) überwacht werden, werden<br />
Ereignisse im Ereignisprotokoll aufgezeichnet, wenn AppLocker im Standardmodus den<br />
Zugriff auf diese Anwendung blockieren würde.<br />
Der Überwachungsmodus wird <strong>in</strong> den Eigenschaften des Knotens AppLocker <strong>in</strong> e<strong>in</strong>em<br />
Gruppenrichtl<strong>in</strong>ienobjekt konfiguriert (Abbildung 9.8). Abbildung 9.9 zeigt, wie die<br />
entsprechenden Überwachungsereignisse <strong>in</strong> der Ereignisanzeige aufgelistet werden.
354 Kapitel 9: Beseitigen von Softwareproblemen<br />
Abbildung 9.8 Konfigurieren von AppLocker-Regeln<br />
für den re<strong>in</strong>en Überwachungsmodus<br />
Abbildung 9.9 Ereignisse des AppLocker-Überwachungsmodus<br />
Importieren und Exportieren von Regeln<br />
In AppLocker können Sie Regeln auf anderen Computern exportieren und importieren,<br />
sodass Adm<strong>in</strong>istratoren Regeln problemlos kopieren und anpassen können.
Praxistipp<br />
J.C. Mack<strong>in</strong><br />
Lektion 1: Beseitigen von Installationsfehlern 355<br />
AppLocker ist zweifellos e<strong>in</strong> tolles Feature, aber ich f<strong>in</strong>de, es warnt Adm<strong>in</strong>istratoren<br />
nicht ausreichend vor den Gefahren e<strong>in</strong>er Fehlkonfiguration. Wenn Sie beispielsweise<br />
e<strong>in</strong>e neue Regel erstellen, ohne dabei Standardregeln generieren zu lassen, kann es leicht<br />
passieren, dass Sie sich selbst und alle anderen von Ihrem Computer ausschließen.<br />
Mit ist das selbst passiert, als ich AppLocker zum ersten Mal <strong>in</strong> e<strong>in</strong>er Betaversion von<br />
<strong>W<strong>in</strong>dows</strong> 7 <strong>in</strong> die F<strong>in</strong>ger bekam. Ich erstellte e<strong>in</strong>fach e<strong>in</strong>e Regel <strong>in</strong> der lokalen Sicherheitsrichtl<strong>in</strong>ie,<br />
die den Zugriff auf Editor.exe verbot, und ignorierte die Meldungen, die<br />
mich aufforderten, die Standardregeln zu generieren. Unmittelbar danach musste ich<br />
pe<strong>in</strong>lich berührt feststellen, dass <strong>W<strong>in</strong>dows</strong> nicht mehr startete. Damals wusste ich noch<br />
nicht, dass AppLocker aktiviert wird, sobald die erste Regel erstellt wird. Anschließend<br />
werden alle Programme desselben Typs, <strong>in</strong> diesem Fall ausführbare Dateien, blockiert,<br />
sofern sie nicht explizit erlaubt wurden.<br />
Ich hatte <strong>in</strong>sofern Glück, als das nur <strong>in</strong> e<strong>in</strong>er virtuellen Umgebung passierte und ich e<strong>in</strong>en<br />
Snapshot des Computers angelegt hatte, bevor ich die Änderungen vornahm. Somit war<br />
es ganz e<strong>in</strong>fach, den Computer <strong>in</strong> den vorherigen Zustand zurückzusetzen. Aber ich<br />
dachte: Was ist, wenn so etwas <strong>in</strong> e<strong>in</strong>er echten Umgebung passiert? Es ist doch nicht ungewöhnlich,<br />
dass Adm<strong>in</strong>istratoren neue Features auf ihren eigenen Computern ausprobieren.<br />
Wenige Leute halten es für möglich, dass sie als Strafe für die falsche Konfiguration<br />
e<strong>in</strong>es solchen Features unwiderruflich von ihrem Computer ausgesperrt werden. Und<br />
noch schlimmer: Was passiert, wenn jemand e<strong>in</strong>e solche Richtl<strong>in</strong>ie tatsächlich auf die<br />
gesamte Domäne anwendet und die Domänencontroller selbst unbenutzbar werden? Das<br />
wäre e<strong>in</strong>e Katastrophe.<br />
Denken Sie also immer daran, <strong>in</strong> AppLocker zuerst Standardregeln zu generieren und<br />
dann zusätzliche Regeln zu erstellen, um das Verhalten dieser Standardregeln anzupassen.<br />
Wenn Sie neue Regeln erstellen, sollten Sie sie immer zuerst im re<strong>in</strong>en Überwachungsmodus<br />
oder <strong>in</strong> e<strong>in</strong>er Umgebung mit virtuellen Computern testen, damit sie bei Bedarf<br />
problemlos rückgängig gemacht werden können.<br />
Schnelltest<br />
Wo f<strong>in</strong>den Sie Nachrichten zu AppLocker <strong>in</strong> der Ereignisanzeige?<br />
Antwort zum Schnelltest<br />
Wählen Sie <strong>in</strong> der Konsolenstruktur der Ereignisanzeige den Knoten Ereignisanzeige<br />
(Lokal)\Anwendungs- und Dienstprotokolle\Microsoft\<strong>W<strong>in</strong>dows</strong>\AppLocker aus.<br />
Verfügbarkeit und Kompatibilität von AppLocker<br />
AppLocker-Regeln werden nur auf Computern durchgesetzt, die unter <strong>W<strong>in</strong>dows</strong> Server<br />
2008 R2, <strong>W<strong>in</strong>dows</strong> 7 Ultimate oder <strong>W<strong>in</strong>dows</strong> 7 Enterprise laufen. Auf Computern, die unter<br />
anderen <strong>W<strong>in</strong>dows</strong>-Versionen laufen, treten sie nicht <strong>in</strong> Kraft; das betrifft unter anderem<br />
<strong>W<strong>in</strong>dows</strong> Server 2008, <strong>W<strong>in</strong>dows</strong> 7 Professional und <strong>W<strong>in</strong>dows</strong> Vista.
356 Kapitel 9: Beseitigen von Softwareproblemen<br />
In e<strong>in</strong>em Gruppenrichtl<strong>in</strong>ienobjekt, das nur SRP-Regeln enthält, werden die Regeln auf allen<br />
<strong>W<strong>in</strong>dows</strong>-Computern erzwungen, auch auf solchen, die unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2,<br />
<strong>W<strong>in</strong>dows</strong> 7 Ultimate und <strong>W<strong>in</strong>dows</strong> 7 Professional laufen. Enthält e<strong>in</strong> Gruppenrichtl<strong>in</strong>ienobjekt<br />
dagegen sowohl SRP- als auch AppLocker-Regeln, lesen diese drei Betriebssysteme<br />
nur die AppLocker-Regeln. Die SRP-Regeln werden <strong>in</strong> diesem Fall auf Computer angewendet,<br />
die unter anderen <strong>W<strong>in</strong>dows</strong>-Betriebssystemen laufen.<br />
AppLocker benötigt den Dienst Anwendungsidentität<br />
AppLocker-Regeln werden auf den Clients nur durchgesetzt, wenn auf diesen Clients der<br />
Dienst Anwendungsidentität läuft. In der Standarde<strong>in</strong>stellung ist dieser Dienst auf <strong>W<strong>in</strong>dows</strong><br />
7-Computern nicht so konfiguriert, dass er automatisch startet. Wenn Sie daher die<br />
AppLocker-Regeln erzw<strong>in</strong>gen wollen, sollten Sie mithilfe von Gruppenrichtl<strong>in</strong>ien den<br />
Starttyp des Dienstes Anwendungsidentität auf die E<strong>in</strong>stellung Automatisch setzen.<br />
Übung Verh<strong>in</strong>dern der Software<strong>in</strong>stallation mit AppLocker<br />
In dieser Übung laden Sie e<strong>in</strong>e .msi-Datei von der Microsoft-Website herunter und verh<strong>in</strong>dern<br />
dann die Installation dieser Datei mithilfe von AppLocker.<br />
Übung 1 Herunterladen e<strong>in</strong>er .msi-Datei<br />
In dieser Übung laden Sie die Datei SharedView.msi aus dem Microsoft Download Center<br />
herunter. Dann leiten Sie e<strong>in</strong>e Installation e<strong>in</strong>, um zu prüfen, ob sie funktioniert.<br />
1. Melden Sie sich auf dem <strong>W<strong>in</strong>dows</strong> 7-Computer CLIENT1 als Domänenadm<strong>in</strong>istrator an<br />
der Domäne an.<br />
2. Besuchen Sie im <strong>W<strong>in</strong>dows</strong> Internet Explorer das Microsoft Download Center unter<br />
http://download.microsoft.com. Suchen Sie nach der Datei SharedView.msi und speichern<br />
Sie sie im Downloads-Ordner auf CLIENT1. (Falls Sie auf CLIENT1 ke<strong>in</strong>en Internetzugriff<br />
haben, können Sie die Datei auch auf e<strong>in</strong>em anderen Computer herunterladen<br />
und dann auf CLIENT1 kopieren.)<br />
H<strong>in</strong>weis Sie können e<strong>in</strong>e beliebige .msi-Datei verwenden<br />
In dieser Übung verwenden wir zwar SharedView.msi, aber Sie können diese Datei auch<br />
durch e<strong>in</strong>e andere ersetzen. Kopieren Sie die Datei dazu e<strong>in</strong>fach <strong>in</strong> den Ordner Downloads<br />
auf CLIENT1.<br />
3. Geben Sie den Ordner Downloads frei, <strong>in</strong>dem Sie allen Benutzern Lesezugriff gewähren.<br />
Klicken Sie dazu mit der rechten Maustaste auf den Ordner Downloads, wählen Sie im<br />
Kontextmenü das Untermenü Freigeben für und klicken Sie auf Bestimmte Personen.<br />
Geben Sie im Fenster Dateifreigabe den Gruppennamen Jeder e<strong>in</strong>, klicken Sie auf H<strong>in</strong>zufügen,<br />
dann auf Freigabe und schließlich auf Fertig.<br />
4. Öffnen Sie den Ordner Downloads und klicken Sie doppelt auf SharedView.msi, um die<br />
Installation e<strong>in</strong>zuleiten.<br />
5. Klicken Sie auf Ausführen, wenn das Meldungsfeld Datei öffnen – Sicherheitswarnung<br />
ersche<strong>in</strong>t und Sie gefragt werden, ob Sie die Datei ausführen wollen.
Lektion 1: Beseitigen von Installationsfehlern 357<br />
6. Die erste Seite des Assistenten Microsoft SharedView Setup wird geöffnet. Die Tatsache,<br />
dass der Assistent gestartet wird, beweist, dass die .msi-Datei nicht blockiert wird.<br />
7. Klicken Sie auf Cancel und dann auf Yes, um den Microsoft SharedView Setup-Assistenten<br />
zu schließen.<br />
Übung 2 AppLocker so konfigurieren, dass es e<strong>in</strong>e .msi-Datei blockiert<br />
In dieser Übung erstellen Sie e<strong>in</strong> Gruppenrichtl<strong>in</strong>ienobjekt und def<strong>in</strong>ieren dar<strong>in</strong> die Standardregeln<br />
für AppLocker im Zweig <strong>W<strong>in</strong>dows</strong> Installer-Regeln. Zuletzt legen Sie e<strong>in</strong>e neue<br />
<strong>W<strong>in</strong>dows</strong> Installer-Regel an, die SharedView.msi blockiert.<br />
1. Wechseln Sie auf den Domänencontroller DC1 und melden Sie sich als Domänenadm<strong>in</strong>istrator<br />
an.<br />
2. Öffnen Sie im Ordner Verwaltung des Startmenüs die Konsole Gruppenrichtl<strong>in</strong>ienverwaltung.<br />
3. Erweitern Sie <strong>in</strong> der Konsolenstruktur von Gruppenrichtl<strong>in</strong>ienverwaltung den Conta<strong>in</strong>er<br />
Domänen und wählen Sie den Knoten der Domäne nwtraders.msft aus.<br />
4. Klicken Sie mit der rechten Maustaste auf den Knoten nwtraders.msft und wählen Sie im<br />
Kontextmenü den Befehl Gruppenrichtl<strong>in</strong>ienobjekt hier erstellen und verknüpfen.<br />
5. Geben Sie im Dialogfeld Neues Gruppenrichtl<strong>in</strong>ienobjekt den Namen AppLocker –<br />
SharedView.msi blockieren e<strong>in</strong> und klicken Sie auf OK.<br />
6. Klicken Sie <strong>in</strong> der Detailansicht der Konsole Gruppenrichtl<strong>in</strong>ienverwaltung mit der<br />
rechten Maustaste auf das Gruppenrichtl<strong>in</strong>ienobjekt AppLocker – SharedView.msi<br />
blockieren und wählen Sie den Befehl Bearbeiten. Der Gruppenrichtl<strong>in</strong>ienverwaltungs-<br />
Editor wird geöffnet.<br />
7. Wählen Sie <strong>in</strong> der Konsolenstruktur von Gruppenrichtl<strong>in</strong>ienverwaltungs-Editor den<br />
Knoten Computerkonfiguration\Richtl<strong>in</strong>ien\<strong>W<strong>in</strong>dows</strong>-E<strong>in</strong>stellungen\Sicherheitse<strong>in</strong>stellungen\Anwendungssteuerungsrichtl<strong>in</strong>ien\AppLocker\<strong>W<strong>in</strong>dows</strong><br />
Installer-Regeln aus.<br />
8. Klicken Sie mit der rechten Maustaste auf den Knoten <strong>W<strong>in</strong>dows</strong> Installer-Regeln und<br />
wählen Sie im Kontextmenü den Befehl Standardregeln erstellen.<br />
In der Detailansicht ersche<strong>in</strong>en drei neue Regeln. Diese Regeln erlauben allen Benutzern,<br />
alle digital signierten <strong>W<strong>in</strong>dows</strong> Installer-Dateien auszuführen, allen Benutzern, alle<br />
<strong>W<strong>in</strong>dows</strong> Installer-Dateien (signiert oder nicht) aus dem Verzeichnis %SystemDrive%\<br />
<strong>W<strong>in</strong>dows</strong>\Installer auszuführen, und Adm<strong>in</strong>istratoren, ausnahmslos alle <strong>W<strong>in</strong>dows</strong> Installer-Dateien<br />
auszuführen.<br />
9. Klicken Sie mit der rechten Maustaste auf den Knoten <strong>W<strong>in</strong>dows</strong> Installer-Regeln und<br />
wählen Sie im Kontextmenü den Befehl Neue Regel erstellen. Die Seite Vorbereitung<br />
des Assistenten <strong>W<strong>in</strong>dows</strong> Installer-Regeln erstellen wird geöffnet.<br />
10. Lesen Sie sich den Text durch, der auf dieser Seite angezeigt wird, und klicken Sie auf<br />
Weiter.<br />
11. Wählen Sie auf der Seite Berechtigungen die Option Verweigern aus und klicken Sie auf<br />
Weiter.<br />
12. Lassen Sie auf der Seite Bed<strong>in</strong>gungen die Standardoption Herausgeber ausgewählt und<br />
klicken Sie auf Weiter.
358 Kapitel 9: Beseitigen von Softwareproblemen<br />
13. Klicken Sie auf der Seite Herausgeber auf Durchsuchen.<br />
14. Geben Sie im Fenster Öffnen im Textfeld Date<strong>in</strong>ame den Pfad \\CLIENT1\Users\<br />
\Downloads\SharedView.msi e<strong>in</strong> und klicken Sie auf Öffnen. Tragen<br />
Sie dabei für die Variable den Namen des Kontos e<strong>in</strong>, das Sie <strong>in</strong> Übung 1<br />
verwendet haben, um SharedView.msi <strong>in</strong> den Ordner Downloads zu kopieren. Auf der<br />
Seite Herausgeber wurden nun die Informationen aus der digitalen Signatur der .msi-<br />
Datei <strong>in</strong> die Felder neben dem Schieberegler e<strong>in</strong>getragen.<br />
15. Bewegen Sie den Schieberegler zwei Positionen nach oben, sodass er neben dem Feld<br />
Produktname steht. Im zugehörigen Feld ist »MICROSOFT SHAREDVIEW« e<strong>in</strong>getragen,<br />
aber die beiden Felder darunter enthalten nur e<strong>in</strong>en Stern (»*«).<br />
16. Klicken Sie auf Weiter.<br />
17. Klicken Sie auf der Seite Ausnahmen auf Weiter.<br />
18. Tippen Sie auf der Seite Name und Beschreibung die Bezeichnung SharedView.msi<br />
blockieren <strong>in</strong> das Textfeld Name e<strong>in</strong> und klicken Sie auf Erstellen. Die neue Verweigern-Regel<br />
ist nun <strong>in</strong> der Detailansicht aufgelistet.<br />
19. Wählen Sie <strong>in</strong> der Konsolenstruktur von Gruppenrichtl<strong>in</strong>ienverwaltungs-Editor den<br />
Knoten Computerkonfiguration\Richtl<strong>in</strong>ien\<strong>W<strong>in</strong>dows</strong>-E<strong>in</strong>stellungen\Sicherheitse<strong>in</strong>stellungen\Systemdienste<br />
aus.<br />
20. Klicken Sie <strong>in</strong> der Detailansicht doppelt auf den Dienst Anwendungsidentität. Das Dialogfeld<br />
Eigenschaften von Anwendungsidentität wird geöffnet.<br />
21. Aktivieren Sie im Dialogfeld Eigenschaften von Anwendungsidentität das Kontrollkästchen<br />
Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung def<strong>in</strong>ieren, wählen Sie die Option Automatisch aus<br />
und klicken Sie auf OK. Clients müssen diesen Dienst ausführen, damit AppLocker<br />
funktioniert.<br />
22. Schließen Sie die Konsolen Gruppenrichtl<strong>in</strong>ienverwaltungs-Editor und Gruppenrichtl<strong>in</strong>ienverwaltung.<br />
23. Wechseln Sie auf CLIENT1 und starten Sie den Computer neu.<br />
Übung 3 Testen der Konfiguration<br />
In dieser Übung testen Sie die Auswirkungen des neuen Gruppenrichtl<strong>in</strong>ienobjekts, das Sie<br />
<strong>in</strong> der letzten Übung erstellt haben.<br />
1. Warten Sie, bis CLIENT1 neu gestartet wurde, und melden Sie sich dann als Domänenadm<strong>in</strong>istrator<br />
an der Domäne nwtraders.msft an.<br />
2. Öffnen Sie den Ordner Downloads und klicken Sie doppelt auf SharedView.msi.<br />
3. Klicken Sie auf Ausführen, wenn das Meldungsfeld Datei öffnen – Sicherheitswarnung<br />
ersche<strong>in</strong>t und Sie gefragt werden, ob Sie die Datei ausführen wollen.<br />
4. Es ersche<strong>in</strong>t e<strong>in</strong>e <strong>W<strong>in</strong>dows</strong> Installer-Warnmeldung, dass der Systemadm<strong>in</strong>istrator Richtl<strong>in</strong>ien<br />
erlassen hat, die diese Installation verh<strong>in</strong>dern.<br />
5. Klicken Sie auf OK, um die Meldung zu schließen.<br />
6. Wechseln Sie wieder auf DC1. Wählen Sie <strong>in</strong> der Konsolenstruktur von Gruppenrichtl<strong>in</strong>ienverwaltung<br />
das Gruppenrichtl<strong>in</strong>ienobjekt AppLocker – SharedView.msi blockieren<br />
aus.
Lektion 1: Beseitigen von Installationsfehlern 359<br />
7. Klicken Sie mit der rechten Maustaste auf AppLocker – SharedView.msi blockieren und<br />
wählen Sie im Kontextmenü den Befehl Verknüpfung aktiviert. Damit wird die Richtl<strong>in</strong>ie<br />
deaktiviert.<br />
8. Melden Sie sich von beiden Computern ab.<br />
Zusammenfassung der Lektion<br />
Damit die Installation von Software funktioniert, müssen viele Voraussetzungen erfüllt<br />
se<strong>in</strong>. Zu diesen Voraussetzungen gehören Privilegien e<strong>in</strong>es lokalen Adm<strong>in</strong>istrators, <strong>W<strong>in</strong>dows</strong><br />
7-Kompatibilität, richtige Installationse<strong>in</strong>stellungen und andere Faktoren. Bei e<strong>in</strong>er<br />
Problembehandlung für e<strong>in</strong>e Installation sollten Sie prüfen, ob alle diese Voraussetzungen<br />
erfüllt s<strong>in</strong>d.<br />
E<strong>in</strong> <strong>W<strong>in</strong>dows</strong> Installer-Programm kann auch durch Richtl<strong>in</strong>ien für Softwaree<strong>in</strong>schränkung<br />
oder AppLocker blockiert werden.<br />
AppLocker ist e<strong>in</strong>e verbesserte Version der Richtl<strong>in</strong>ien für Softwaree<strong>in</strong>schränkung. Es<br />
ist e<strong>in</strong> neues Feature <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 und <strong>W<strong>in</strong>dows</strong> Server 2008 R2. Zu den Verbesserungen<br />
<strong>in</strong> AppLocker gehören die Herausgeberregeln, die Möglichkeit, Regeln bestimmten<br />
Benutzern und Gruppen zuzuweisen, und e<strong>in</strong> re<strong>in</strong>er Überwachungsmodus.<br />
Lernzielkontrolle<br />
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 1, »Beseitigen<br />
von Installationsfehlern«, überprüfen. Die Fragen f<strong>in</strong>den Sie (<strong>in</strong> englischer Sprache)<br />
auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im Rahmen e<strong>in</strong>es<br />
Übungstests beantworten.<br />
H<strong>in</strong>weis Die Antworten<br />
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglichkeiten<br />
richtig oder falsch s<strong>in</strong>d, f<strong>in</strong>den Sie im Abschnitt »Antworten« am Ende dieses Buchs.<br />
1. Sie arbeiten für Fabrikam, e<strong>in</strong> <strong>Unternehmen</strong>, dessen Netzwerk aus e<strong>in</strong>er e<strong>in</strong>zelnen<br />
AD DS-Domäne besteht.<br />
Das Entwicklungsteam von Fabrikam testet regelmäßig neue Softwaretools für verschiedene<br />
Abteilungen. Vor Kurzem hat das Team e<strong>in</strong> Tool getestet, das von e<strong>in</strong>em anderen<br />
<strong>Unternehmen</strong> namens Contoso.com entwickelt wurde. Aber jedes Mal, wenn autorisierte<br />
Benutzer versuchen, dieses Programm zu <strong>in</strong>stallieren, erhalten sie e<strong>in</strong>e Warnmeldung,<br />
dass das Programm von e<strong>in</strong>em unbekannten Herausgeber stammt.<br />
Sie möchten autorisierten Benutzern erlauben, Anwendungen von Contoso zu <strong>in</strong>stallieren,<br />
ohne dass dabei e<strong>in</strong>e Warnmeldung angezeigt wird. Was sollten Sie tun?<br />
A. Stellen Sie sicher, dass alle autorisierten Benutzer Adm<strong>in</strong>istratoren des Computers<br />
s<strong>in</strong>d, auf dem sie die Software <strong>in</strong>stallieren.<br />
B. Stellen Sie den autorisierten Benutzern Anmelde<strong>in</strong>formationen e<strong>in</strong>es Domänenadm<strong>in</strong>istrators<br />
zur Verfügung und erklären Sie ihnen, wie sie diese Anmelde<strong>in</strong>formationen<br />
<strong>in</strong> der E<strong>in</strong>gabeaufforderung der Benutzerkontensteuerung e<strong>in</strong>geben, wenn sie<br />
versuchen, die Software zu <strong>in</strong>stallieren.
360 Kapitel 9: Beseitigen von Softwareproblemen<br />
C. Speichern Sie auf allen betroffenen Computern mithilfe von Gruppenrichtl<strong>in</strong>ien das<br />
öffentliche Zertifikat, das <strong>in</strong> der Software enthalten ist, im Zertifikatspeicher Vertrauenswürdige<br />
Herausgeber.<br />
D. Speichern Sie auf allen betroffenen Computern mithilfe von Gruppenrichtl<strong>in</strong>ien das<br />
Stammzertifikat von Contoso.com im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen.<br />
2. Sie wollen mit AppLocker verh<strong>in</strong>dern, dass Benutzer e<strong>in</strong>e Datei namens NewApp.msi <strong>in</strong><br />
der Version 7.0 oder älter ausführen. Sie haben bereits Standardregeln generiert. Wie<br />
erreichen Sie dieses Ziel?<br />
A. Erstellen Sie e<strong>in</strong>e neue ausführbare Regel mit der Bed<strong>in</strong>gung Herausgeber.<br />
B. Erstellen Sie e<strong>in</strong>e neue ausführbare Regel mit der Bed<strong>in</strong>gung Dateihash.<br />
C. Erstellen Sie e<strong>in</strong>e neue <strong>W<strong>in</strong>dows</strong> Installer-Regel mit der Bed<strong>in</strong>gung Herausgeber.<br />
D. Erstellen Sie e<strong>in</strong>e neue <strong>W<strong>in</strong>dows</strong> Installer-Regel mit der Bed<strong>in</strong>gung Dateihash.
Lektion 2: Beseitigen von Softwarekonfigurations- und Kompatibilitätsproblemen 361<br />
Lektion 2: Beseitigen von Softwarekonfigurations- und<br />
Kompatibilitätsproblemen<br />
Sofern von e<strong>in</strong>em Programm, das nicht richtig läuft, bekannt ist, dass es zu <strong>W<strong>in</strong>dows</strong> 7<br />
kompatibel ist, liegt die Ursache des Problems meist bei e<strong>in</strong>er fehlerhaften Konfiguration. In<br />
diesem Fall beseitigen Sie das Problem, <strong>in</strong>dem Sie sich die Programme<strong>in</strong>stellungen ansehen<br />
und den Konfigurationsfehler aufspüren, der den Fehler auslöst. Ist das Programm dagegen<br />
nicht vollständig kompatibel zu <strong>W<strong>in</strong>dows</strong> 7, können Sie das Problem oft dadurch beseitigen,<br />
dass Sie die Kompatibilitätse<strong>in</strong>stellungen anpassen oder e<strong>in</strong>en anderen Host für die<br />
Anwendung suchen.<br />
Am Ende dieser Lektion werden Sie <strong>in</strong> der Lage se<strong>in</strong>, die folgenden Aufgaben auszuführen:<br />
Beschreiben von Strategien und Features, mit denen sich Softwarekonfigurationsfehler<br />
beseitigen lassen<br />
Beschreiben der Features <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7, die oft Anwendungskompatibilitätsprobleme<br />
verursachen<br />
Konfigurieren e<strong>in</strong>er Anwendung, damit sie mit E<strong>in</strong>stellungen läuft, die zu e<strong>in</strong>er älteren<br />
<strong>W<strong>in</strong>dows</strong>-Version kompatibel s<strong>in</strong>d<br />
Beschreiben der Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen, die Auswirkungen auf Kompatibilität<br />
und Berichterstattung haben<br />
Veranschlagte Zeit für diese Lektion: 30 M<strong>in</strong>uten<br />
Beseitigen von Softwarekonfigurationsproblemen<br />
Es kommt vor, dass <strong>in</strong>stallierte Anwendungen e<strong>in</strong>ige Zeit e<strong>in</strong>wandfrei funktionieren, dann<br />
aber plötzlich Fehler verursachen, ohne dass unmittelbar e<strong>in</strong> Grund erkennbar ist. Solche<br />
Anwendungsfehler werden oft durch Änderungen an den Konfigurationse<strong>in</strong>stellungen verursacht,<br />
die speziell für diese Anwendung gelten. Es gibt aber auch e<strong>in</strong>ige allgeme<strong>in</strong>e Leitl<strong>in</strong>ien,<br />
die Ihnen helfen, solche Probleme zu beseitigen.<br />
Die folgende Liste enthält allgeme<strong>in</strong>e Strategien und Features, die Sie bei der Behandlung<br />
von Softwarekonfigurationsproblemen e<strong>in</strong>setzen können.<br />
Überprüfen der Anwendungse<strong>in</strong>stellungen Verursacht e<strong>in</strong>e Anwendung plötzlich<br />
e<strong>in</strong>en Fehler, ist das oft die Folge e<strong>in</strong>er Konfigurationsänderung. Sofern die Anwendung<br />
noch startet, sollten Sie systematisch alle verfügbaren Menüs und Konfigurationsbereiche<br />
der Benutzeroberfläche durchgehen und prüfen, ob irgendwelche E<strong>in</strong>stellungen falsch<br />
konfiguriert s<strong>in</strong>d. Greift e<strong>in</strong>e Anwendung auf e<strong>in</strong>e Datenbank oder e<strong>in</strong>en bestimmten<br />
Dateityp zurück (zum Beispiel Microsoft Outlook, das .pst-Dateien verwendet), müssen<br />
Sie sicherstellen, dass die Datenbank oder Datei verfügbar und unbeschädigt ist. Greift<br />
die Anwendung auf e<strong>in</strong>e Netzwerkressource zu, sollten Sie die Netzwerke<strong>in</strong>stellungen<br />
prüfen und sicherstellen, dass die Netzwerkressource erreichbar und verfügbar ist.<br />
In dieser Phase der Problembehandlung sollten Sie auch im Web nach Informationen<br />
über das Problem suchen und bei Bedarf Kontakt mit dem Anwendungshersteller aufnehmen.
362 Kapitel 9: Beseitigen von Softwareproblemen<br />
Arbeiten mit der Ereignisanzeige Suchen Sie im Rahmen der Problembehandlung <strong>in</strong><br />
der Ereignisanzeige nach Fehlermeldungen der Anwendung, bei der die Fehler auftreten.<br />
Mithilfe der Ereignisanzeige können Sie eventuell herausf<strong>in</strong>den, seit wann die Anwendungsfehler<br />
auftreten. Das hilft Ihnen, die Ursache ausf<strong>in</strong>dig zu machen. Konzentrieren<br />
Sie sich auf das Anwendungsprotokoll und alle Protokolle, <strong>in</strong> denen Ereignisse der betroffenen<br />
Anwendung aufgezeichnet werden. Verwenden Sie die Funktion Aktuelles Protokoll<br />
filtern, um gezielt nach kritischen Fehlern, Warnungen und Fehlermeldungen zu<br />
suchen. Wenn Sie E<strong>in</strong>träge f<strong>in</strong>den, die mit dem Problem zusammenzuhängen sche<strong>in</strong>en,<br />
sollten Sie im Web nach Informationen über diese Ereignisse suchen und sich bei Bedarf<br />
genauer mit den Details beschäftigen.<br />
Nutzen der Ereignisweiterleitung Bei der Problembehandlung e<strong>in</strong>es netzwerkweiten<br />
Anwendungsproblems müssen Sie unter Umständen Protokolle auf mehreren Computern<br />
auswerten. Um diese Aufgabe e<strong>in</strong>facher zu machen, können Sie die Ereignisweiterleitung<br />
nutzen, e<strong>in</strong> Feature, bei dem mehrere Computer so konfiguriert werden, dass sie<br />
bestimmte Ereignisse an e<strong>in</strong>en Sammelcomputer weiterleiten. Um die Ereignisweiterleitung<br />
nutzen zu können, müssen Sie sowohl die Weiterleitungscomputer (auch als Quellcomputer<br />
bezeichnet) als auch den Sammelcomputer konfigurieren.<br />
Gehen Sie folgendermaßen vor, um die Ereignisweiterleitung zu konfigurieren:<br />
1. Führen Sie auf jedem Quellcomputer <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung mit erhöhten<br />
Rechten den folgenden Befehl aus:<br />
w<strong>in</strong>rm quickconfig<br />
2. Führen Sie auf dem Sammelcomputer <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung mit erhöhten<br />
Rechten den folgenden Befehl aus:<br />
wecutil qc<br />
3. Fügen Sie das Computerkonto des Sammelcomputers auf jedem Quellcomputer zur<br />
lokalen Gruppe Adm<strong>in</strong>istratoren h<strong>in</strong>zu (siehe dazu auch Kapitel 8, Lektion 1).<br />
4. Wählen Sie <strong>in</strong> der Ereignisanzeige auf dem Sammelcomputer den Befehl Abonnement<br />
erstellen und folgen Sie den Anweisungen, um festzulegen, welche Ereignisse<br />
Sie untersuchen wollen und von welchen Quellcomputern sie übertragen werden<br />
sollen.<br />
H<strong>in</strong>weis Die Ereignisweiterleitung setzt voraus, dass bestimmte Dienste laufen<br />
Die Ereignisweiterleitung benötigt die Dienste <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung (WS-Verwaltung)<br />
und <strong>W<strong>in</strong>dows</strong>-Ereignissammlung. Diese beiden Dienste müssen auf den Quell- und<br />
Sammelcomputern laufen.<br />
Systemwiederherstellung Fehler <strong>in</strong> e<strong>in</strong>er Anwendung können durch Änderungen am<br />
Betriebssystem verursacht werden. Falls e<strong>in</strong>e Anwendung nicht mehr funktioniert, nachdem<br />
Sie e<strong>in</strong> Update <strong>in</strong>stalliert oder e<strong>in</strong>e Systemänderung vorgenommen haben, könnte<br />
es s<strong>in</strong>nvoll se<strong>in</strong>, mithilfe e<strong>in</strong>er Systemwiederherstellung die Konfiguration des Computers<br />
zu dem Zeitpunkt wiederherzustellen, an dem die Anwendung noch e<strong>in</strong>wandfrei lief.<br />
Die Systemwiederherstellung löscht oder ändert zwar ke<strong>in</strong>e Benutzerdateien wie Dokumente<br />
oder E-Mail, entfernt aber alle Anwendungen, Updates oder Systemänderungen,
Lektion 2: Beseitigen von Softwarekonfigurations- und Kompatibilitätsproblemen 363<br />
die seit dem Zeitpunkt <strong>in</strong>stalliert wurden, an dem der Systemwiederherstellungspunkt<br />
angefertigt wurde.<br />
H<strong>in</strong>weis Starten der Systemwiederherstellung<br />
Sie starten den Systemwiederherstellungs-Assistenten, <strong>in</strong>dem Sie im Startmenü Systemwiederherstellung<br />
e<strong>in</strong>geben und die EINGABETASTE drücken.<br />
Software reparieren oder erneut <strong>in</strong>stallieren Wenn Software nicht mehr funktioniert<br />
und es Ihnen nicht gel<strong>in</strong>gt, sie von Hand oder automatisch auf e<strong>in</strong>en früheren Zustand<br />
zurückzusetzen, sollten Sie versuchen, die Software zu reparieren. Mit der Reparaturfunktion<br />
(sofern sie zur Verfügung steht) wird die Anwendung praktisch erneut <strong>in</strong>stalliert,<br />
während Benutzerdateien und E<strong>in</strong>stellungen der Anwendung erhalten bleiben. Bietet die<br />
Anwendung ke<strong>in</strong>e solche Reparaturfunktion an, können Sie die Benutzerdateien sichern<br />
und die Software e<strong>in</strong>fach neu <strong>in</strong>stallieren. Damit e<strong>in</strong>e solche Neu<strong>in</strong>stallation möglich ist,<br />
müssen Sie die Software unter Umständen erst de<strong>in</strong>stallieren.<br />
Wiederherstellen aus Datensicherung Wenn e<strong>in</strong>e kritische Anwendung ausfällt und<br />
es Ihnen nicht gel<strong>in</strong>gt, sie mit den bisher beschriebenen Methoden zu reparieren, sollten<br />
Sie das gesamte System aus e<strong>in</strong>er Datensicherung wiederherstellen, die die letzte funktionierende<br />
Version des Computers enthält. Führen Sie vorher aber unbed<strong>in</strong>gt e<strong>in</strong>e Datensicherung<br />
aller persönlichen Dateien und Ordner des Benutzers aus.<br />
Grundlagen der Anwendungskompatibilität<br />
Jede Ausgabe von <strong>W<strong>in</strong>dows</strong> enthält neue Features und Fähigkeiten, die Auswirkungen darauf<br />
haben, wie Anwendungen ausgeführt werden. Bevor Sie Anpassungen zum Verbessern der<br />
Anwendungskompatibilität vornehmen, sollten Sie sich mit bestimmten Features von <strong>W<strong>in</strong>dows</strong><br />
7 vertraut machen, die wahrsche<strong>in</strong>lich für Anwendungskompatibilitätsprobleme verantwortlich<br />
s<strong>in</strong>d. Diese Features lassen sich allgeme<strong>in</strong> <strong>in</strong> Sicherheitsverbesserungen und<br />
Betriebssystemänderungen untergliedern.<br />
Sicherheitsverbesserungen, die Auswirkungen<br />
auf die Anwendungskompatibilität haben<br />
Viele Organisationen, die <strong>W<strong>in</strong>dows</strong> 7 bereitstellen, ersetzen auf ihren Clients <strong>W<strong>in</strong>dows</strong> XP,<br />
nicht <strong>W<strong>in</strong>dows</strong> Vista. Im Vergleich zu <strong>W<strong>in</strong>dows</strong> XP bietet die Umgebung von <strong>W<strong>in</strong>dows</strong> 7<br />
e<strong>in</strong>e Reihe wichtiger Verbesserungen im Bereich der Sicherheit. Unter den Sicherheitsfeatures<br />
<strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 können die folgenden am ehesten Kompatibilitätsprobleme mit Anwendungen<br />
anderer Hersteller verursachen:<br />
Benutzerkontensteuerung Die Benutzerkontensteuerung (User Account Control,<br />
UAC) wurde <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Vista e<strong>in</strong>geführt. Sie trennt Standardbenutzerprivilegien von<br />
Adm<strong>in</strong>istratorprivilegien. So werden die Auswirkungen von Malware, nichtautorisierten<br />
Software<strong>in</strong>stallationen und ungenehmigten Systemänderungen verr<strong>in</strong>gert. Wenn Sie als<br />
Adm<strong>in</strong>istrator angemeldet s<strong>in</strong>d, fragt die UAC standardmäßig bei e<strong>in</strong>igen Aufgaben, die<br />
Adm<strong>in</strong>istratorprivilegien erfordern, nach, ob Sie die Durchführung dieser Aufgabe genehmigen.<br />
Wenn Sie als Standardbenutzer angemeldet s<strong>in</strong>d und versuchen, e<strong>in</strong>e Aufgabe<br />
durchzuführen, für die Adm<strong>in</strong>istratorprivilegien erforderlich s<strong>in</strong>d, gibt Ihnen die UAC
364 Kapitel 9: Beseitigen von Softwareproblemen<br />
die Möglichkeit, Adm<strong>in</strong>istratoranmelde<strong>in</strong>formationen e<strong>in</strong>zugeben. Das Durchführen der<br />
Aufgabe wird also nicht e<strong>in</strong>fach verweigert.<br />
Die UAC kann Probleme mit Anwendungen verursachen, die nicht zu dieser technologischen<br />
Verbesserung kompatibel s<strong>in</strong>d. Aus diesem Grund ist es wichtig, Anwendungen<br />
mit aktivierter UAC zu testen, bevor Sie sie bereitstellen.<br />
<strong>W<strong>in</strong>dows</strong>-Ressourcenschutz (auch als Datei- und Registrierungsvirtualisierung bezeichnet)<br />
<strong>W<strong>in</strong>dows</strong>-Ressourcenschutz ist e<strong>in</strong> Feature von <strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong><br />
7, das alle Anforderungen abfängt, mit denen Anwendungen versuchen, <strong>in</strong> geschützte<br />
Systemdateien oder Registrierungspositionen zu schreiben. Es leitet diese<br />
Anforderungen dann <strong>in</strong> sichere, temporäre Speicherorte um. Die meisten Anwendungen<br />
haben mit dieser Umleitung ke<strong>in</strong>erlei Probleme, aber manche Anwendungen benötigen<br />
vollständigen Zugriff auf die geschützten Bereiche und werden durch den Umleitungsprozess<br />
lahmgelegt.<br />
Geschützter Modus im Internet Explorer Der geschützte Modus (protected mode)<br />
ist e<strong>in</strong> Feature von <strong>W<strong>in</strong>dows</strong> Internet Explorers 8. Es schützt Computer vor Malware,<br />
<strong>in</strong>dem es den Zugriff des Browsers <strong>in</strong>nerhalb der Registrierung und des Dateisystems<br />
e<strong>in</strong>schränkt. Der geschützte Modus hilft zwar dabei, die Integrität des Clientcomputers<br />
zu gewährleisten, er kann aber die Lauffähigkeit älterer Anwendungen, ActiveX-Steuerelemente<br />
und Skriptcodes e<strong>in</strong>schränken.<br />
Versionsnummer von Betriebssystem und Internet Explorer Viele Anwendungen<br />
prüfen die Version des Betriebssystems und ändern ihr Verhalten oder verweigern ganz<br />
die Ausführung, wenn sie e<strong>in</strong>e unerwartete Versionsnummer f<strong>in</strong>den. Sie können solche<br />
Probleme dadurch beseitigen, dass Sie geeignete Kompatibilitätsmodi e<strong>in</strong>stellen oder<br />
sogenannte Versions-Shims (Korrekturmechanismen für die Anwendungskompatibilität)<br />
konfigurieren.<br />
Betriebssystemänderungen, die Auswirkungen<br />
auf die Anwendungskompatibilität haben<br />
Von den vielen Betriebssystemänderungen, die <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>geführt wurden, können die<br />
folgenden Features am ehesten Anwendungskompatibilitätsprobleme verursachen:<br />
Neue Systemprogrammierschnittstellen Programmierschnittstellen (Application<br />
Programm<strong>in</strong>g Interface, API) stellen e<strong>in</strong>en etwas anderen Zugriff auf bestimmte Schichten<br />
des Betriebssystems <strong>W<strong>in</strong>dows</strong> 7 zur Verfügung als <strong>in</strong> älteren <strong>W<strong>in</strong>dows</strong>-Versionen.<br />
Antiviren- und Firewallsoftware s<strong>in</strong>d Beispiele für Anwendungen, die auf diese neuen<br />
APIs zugreifen, um <strong>W<strong>in</strong>dows</strong> 7 zu überwachen und zu schützen.<br />
Anwendungen, die auf veraltete APIs zugreifen, müssen aktualisiert oder ersetzt werden,<br />
wenn sie <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>gesetzt werden sollen.<br />
64-Bit-Version von <strong>W<strong>in</strong>dows</strong> 7 Weder 16-Bit-Anwendungen noch 32-Bit-Treiber<br />
werden <strong>in</strong> der 64-Bit-Version von <strong>W<strong>in</strong>dows</strong> 7 unterstützt. Die automatische Registrierungs-<br />
und Systemdateiumleitung, die das Ausführen e<strong>in</strong>iger alter Anwendungen <strong>in</strong> der<br />
32-Bit-Version von <strong>W<strong>in</strong>dows</strong> 7 ermöglichen, stehen <strong>in</strong> der 64-Bit-Umgebung nicht zur<br />
Verfügung. Aus diesem Grund müssen neue 64-Bit-Anwendungen vollständig zu den<br />
<strong>W<strong>in</strong>dows</strong> 7-Anwendungsstandards kompatibel se<strong>in</strong>.<br />
Betriebssystemversion Viele ältere Anwendungen prüfen, ob e<strong>in</strong>e bestimmte Version<br />
von <strong>W<strong>in</strong>dows</strong> vorhanden ist, und brechen ab, falls sie feststellen, dass sie nicht unter
Lektion 2: Beseitigen von Softwarekonfigurations- und Kompatibilitätsproblemen 365<br />
dieser Version laufen. Die <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>gebauten Features, beispielsweise der Programmkompatibilitäts-Assistent<br />
(siehe nächster Abschnitt), können solche Probleme<br />
normalerweise automatisch beseitigen.<br />
Neue Ordnerhierarchie Gegenüber <strong>W<strong>in</strong>dows</strong> XP wurde der Speicherort der Ordner<br />
Benutzer und Dokumente sowie der Mechanismus zum Lokalisieren der Ordnernamen<br />
geändert. Anwendungen, <strong>in</strong> denen solche Pfade fest e<strong>in</strong>programmiert s<strong>in</strong>d, verursachen<br />
unter Umständen Fehler.<br />
Arbeiten mit den e<strong>in</strong>gebauten Kompatibilitätstools von <strong>W<strong>in</strong>dows</strong> 7<br />
Sie sollten die Anwendungskompatibilität zwar bereits umfassend testen, bevor Sie <strong>W<strong>in</strong>dows</strong><br />
7 bereitstellen, aber es kann passieren, dass Kompatibilitätsprobleme nach der Bereitstellung<br />
überraschend auftreten oder sich entgegen den Erwartungen nicht beseitigen lassen.<br />
Damit Sie die Kompatibilität älterer Programme nach der Bereitstellung verbessern können,<br />
stellt Ihnen <strong>W<strong>in</strong>dows</strong> 7 drei Tools zur Verfügung: den Programmkompatibilitäts-Assistenten<br />
(Program Compatibility Assistant, PCA), das Problembehandlungsmodul Programmkompatibilität<br />
und die Registerkarte Kompatibilität im Eigenschaftendialogfeld e<strong>in</strong>es Programms.<br />
Programmkompatibilitäts-Assistent Der Programmkompatibilitäts-Assistent ist e<strong>in</strong><br />
Tool, das automatisch ersche<strong>in</strong>t, wenn <strong>W<strong>in</strong>dows</strong> 7 bekannte Kompatibilitätsprobleme <strong>in</strong><br />
älteren Programmen feststellt. Der Programmkompatibilitäts-Assistent kann anbieten,<br />
das Problem zu beseitigen. Zum Beispiel kann der Programmkompatibilitäts-Assistent<br />
Konflikte mit der UAC beseitigen oder das Programm <strong>in</strong> e<strong>in</strong>em Modus ausführen, der<br />
ältere <strong>W<strong>in</strong>dows</strong>-Versionen simuliert. Sofern Sie den vom Programmkompatibilitäts-<br />
Assistenten vorgeschlagenen Änderungen zustimmen, werden diese Änderungen automatisch<br />
durchgeführt. Falls das erkannte Kompatibilitätsproblem ernst ist, kann der<br />
Programmkompatibilitäts-Assistent Sie stattdessen auch warnen oder verh<strong>in</strong>dern, dass<br />
das Programm ausgeführt wird.<br />
Wenn der Programmkompatibilitäts-Assistent e<strong>in</strong> Problem erkennt, aber ke<strong>in</strong>en Lösungsvorschlag<br />
hat, erhalten Sie die Möglichkeit, onl<strong>in</strong>e nach möglichen Lösungen zu suchen<br />
(Abbildung 9.10).<br />
Abbildung 9.10 Der Programmkompatibilitäts-Assistent meldet,<br />
wenn e<strong>in</strong>e Programm<strong>in</strong>kompatibilität gefunden wird<br />
Problembehandlungsmodul Programmkompatibilität Das Problembehandlungsmodul<br />
Programmkompatibilität ist e<strong>in</strong> Systemsteuerungsprogramm, mit dem Sie die<br />
Kompatibilitätse<strong>in</strong>stellungen für e<strong>in</strong> älteres Programm konfigurieren können, wenn Sie
366 Kapitel 9: Beseitigen von Softwareproblemen<br />
feststellen, dass das Programm nicht e<strong>in</strong>wandfrei läuft. Zum Beispiel können Sie e<strong>in</strong>stellen,<br />
dass das Programm <strong>in</strong> der simulierten Umgebung e<strong>in</strong>er älteren <strong>W<strong>in</strong>dows</strong>-Version<br />
mit bestimmten Anzeigee<strong>in</strong>stellungen oder mit Adm<strong>in</strong>istratorprivilegien läuft.<br />
Sie starten das Problembehandlungsmodul <strong>in</strong> der Systemsteuerung, <strong>in</strong>dem Sie auf Programme<br />
und dann <strong>in</strong> der Kategorie Programme und Funktionen auf Programme ausführen,<br />
die für vorherige Versionen von <strong>W<strong>in</strong>dows</strong> entwickelt wurden klicken. Außerdem<br />
können Sie das Problembehandlungsmodul Programmkompatibilität starten, <strong>in</strong>dem Sie<br />
mit der rechten Maustaste auf e<strong>in</strong>e Anwendung klicken und im Kontextmenü den Befehl<br />
Behandeln von Kompatibilitätsproblemen wählen (Abbildung 9.11).<br />
Abbildung 9.11 Starten des Problembehandlungsmoduls Programmkompatibilität<br />
Abbildung 9.12 zeigt e<strong>in</strong>e Seite im Problembehandlungsmodul Programmkompatibilität.<br />
Registerkarte Kompatibilität Statt das Problembehandlungsmodul Programmkompatibilität<br />
auszuführen, können Sie auch e<strong>in</strong>fach die Kompatibilitätse<strong>in</strong>stellungen auf der<br />
Registerkarte Kompatibilität <strong>in</strong> den Eigenschaftenseiten e<strong>in</strong>es Programms konfigurieren.<br />
Auf dieser Registerkarte stehen Ihnen dieselben Optionen zur Verfügung wie im Problembehandlungsmodul<br />
Programmkompatibilität. Abbildung 9.13 zeigt die Registerkarte<br />
Kompatibilität.<br />
Beachten Sie, dass die Probleme sich nicht immer dadurch beseitigen lassen, dass Sie<br />
die Kompatibilitätse<strong>in</strong>stellungen e<strong>in</strong>es Programms ändern. Wenn die Probleme weiterh<strong>in</strong><br />
bestehen, sollten Sie versuchen, e<strong>in</strong>en anderen Host zu f<strong>in</strong>den oder e<strong>in</strong>e aktualisierte<br />
Version des Programms zu bekommen.
Lektion 2: Beseitigen von Softwarekonfigurations- und Kompatibilitätsproblemen 367<br />
Abbildung 9.12 Das Problembehandlungsmodul Programmkompatibilität<br />
Abbildung 9.13 Die Registerkarte Kompatibilität e<strong>in</strong>er Anwendung<br />
Alternative Ausführungsumgebungen für Anwendungen<br />
In manchen Fällen kann es vorkommen, dass Ihre Organisation unbed<strong>in</strong>gt e<strong>in</strong>e Anwendung<br />
benötigt, deren Kompatibilitätsprobleme mit <strong>W<strong>in</strong>dows</strong> 7 sich nicht unmittelbar lösen lassen.<br />
Wenn Sie zum Beispiel e<strong>in</strong>e 64-Bit-Version von <strong>W<strong>in</strong>dows</strong> 7 verwenden, können Sie 16-Bit-<br />
Anwendungen nicht zum Laufen bekommen, <strong>in</strong>dem Sie e<strong>in</strong>fach die Kompatibilitätse<strong>in</strong>stellungen<br />
des Programms verändern. Bis e<strong>in</strong>e neuere, kompatible Version der Anwendung ersche<strong>in</strong>t<br />
(oder bis Ihre Organisation e<strong>in</strong>en Ersatz für die Anwendung f<strong>in</strong>det), müssen Sie e<strong>in</strong>e<br />
temporäre Lösung für das Anwendungskompatibilitätsproblem f<strong>in</strong>den.<br />
Hartnäckige Anwendungskompatibilitätsprobleme werden am häufigsten dadurch gelöst,<br />
dass die Anwendung unter dem alten Betriebssystem ausgeführt wird, und zwar <strong>in</strong> e<strong>in</strong>em
368 Kapitel 9: Beseitigen von Softwareproblemen<br />
virtuellen Computer oder auf e<strong>in</strong>em Remoteserver, auf den über den Remotedesktop zugegriffen<br />
wird.<br />
Die folgende Liste beschreibt, welche Möglichkeiten zur Verfügung stehen, um e<strong>in</strong>e ältere<br />
Anwendung auf e<strong>in</strong>em alten Betriebssystem auszuführen:<br />
Microsoft Virtual PC 2007 Mit Virtual PC können Sie unter <strong>W<strong>in</strong>dows</strong> 7 Anwendungen<br />
ausführen, die nur unter älteren <strong>W<strong>in</strong>dows</strong>-Versionen laufen. Wenn Ihre Organisation<br />
beispielsweise e<strong>in</strong>e 16-Bit-Anwendung benötigt, aber die 64-Bit-Version <strong>W<strong>in</strong>dows</strong> 7<br />
verwendet, können Sie das Programm mithilfe von Virtual PC 2007 <strong>in</strong>nerhalb e<strong>in</strong>es virtuellen<br />
Computers ausführen, <strong>in</strong> dem e<strong>in</strong>e ältere <strong>W<strong>in</strong>dows</strong>-Version läuft. Es wird zwar<br />
Software für virtuelle Computer (zum Beispiel Virtual PC) benötigt, um 16-Bit-Anwendungen<br />
<strong>in</strong> den 64-Bit-Versionen von <strong>W<strong>in</strong>dows</strong> 7 auszuführen, aber die E<strong>in</strong>satzmöglichkeiten<br />
von Virtual PC beschränken sich nicht auf diese Aufgabe. Mit Virtual PC können<br />
die Benutzer e<strong>in</strong>e ältere <strong>W<strong>in</strong>dows</strong>-Version behalten, bis aktualisierte Versionen aller<br />
älteren Anwendungen zur Verfügung stehen. Wenn Sie e<strong>in</strong>e ältere Anwendung benötigen,<br />
die <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 nicht e<strong>in</strong>wandfrei läuft und für die ke<strong>in</strong> Update zur Verfügung steht,<br />
sollten Sie untersuchen, ob Sie diese Anwendung <strong>in</strong> e<strong>in</strong>em virtuellen Computer ausführen<br />
können.<br />
<strong>W<strong>in</strong>dows</strong> XP Mode Der <strong>W<strong>in</strong>dows</strong> XP Mode ist im Grunde e<strong>in</strong>e Zusatzkomponente zu<br />
Virtual PC, die heruntergeladen und <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 Professional, Enterprise und Ultimate<br />
e<strong>in</strong>gesetzt werden kann. Der <strong>W<strong>in</strong>dows</strong> XP Mode setzt spezielle Virtualisierungstechnologie<br />
voraus. Das ist vor allem e<strong>in</strong>e CPU mit Intel-VT- oder AMD-V-Technologie. Außerdem<br />
müssen diese Technologien im BIOS aktiviert se<strong>in</strong>.<br />
Auf geeigneten Computern haben Sie über den <strong>W<strong>in</strong>dows</strong> XP Mode im Startmenü von<br />
<strong>W<strong>in</strong>dows</strong> 7 Zugriff auf alle Anwendungen, die <strong>in</strong> e<strong>in</strong>em virtuellen <strong>W<strong>in</strong>dows</strong> XP-Gastcomputer<br />
<strong>in</strong>stalliert s<strong>in</strong>d. Diese Anwendungen bedienen Sie genauso wie nativ <strong>in</strong> <strong>W<strong>in</strong>dows</strong><br />
7 <strong>in</strong>stallierte Software. Der <strong>W<strong>in</strong>dows</strong> XP Mode bietet auch hohe Leistung: Das<br />
<strong>W<strong>in</strong>dows</strong> XP-Gastbetriebssystem erhält direkten Zugriff auf die Systemhardware, daher<br />
ist die Leistung viel besser als <strong>in</strong> e<strong>in</strong>er normalen Instanz von Virtual PC.<br />
Es ist ganz e<strong>in</strong>fach, den <strong>W<strong>in</strong>dows</strong> XP Mode zu <strong>in</strong>stallieren: Laden Sie erst Virtual PC<br />
herunter und <strong>in</strong>stallieren Sie es. Laden Sie dann den <strong>W<strong>in</strong>dows</strong> XP Mode herunter und<br />
<strong>in</strong>stallieren Sie ihn. Sie können beide Schritte auf der Virtual PC-Website unter http://<br />
www.microsoft.com/w<strong>in</strong>dows/virtual-pc/download.aspx erledigen. (Sowohl Virtual PC<br />
als auch der <strong>W<strong>in</strong>dows</strong> XP Mode s<strong>in</strong>d kostenlos.)<br />
Weitere Informationen <strong>W<strong>in</strong>dows</strong> XP Mode<br />
Schritt-für-Schritt-Anleitungen, wie Sie den <strong>W<strong>in</strong>dows</strong> XP Mode verwenden, <strong>in</strong>klusive<br />
Informationen zur Installation und zur Benutzung von Anwendungen, f<strong>in</strong>den Sie unter<br />
http://www.microsoft.com/w<strong>in</strong>dows/virtual-pc/support/default.aspx. E<strong>in</strong>e fünfm<strong>in</strong>ütige<br />
E<strong>in</strong>führung <strong>in</strong> den <strong>W<strong>in</strong>dows</strong> XP Mode können Sie sich unter http://w<strong>in</strong>dows.microsoft.<br />
com/en-us/w<strong>in</strong>dows7/help/videos/us<strong>in</strong>g-w<strong>in</strong>dows-xp-mode ansehen.<br />
Hyper-V auf <strong>W<strong>in</strong>dows</strong> Server 2008 Hyper-V ist e<strong>in</strong>e Hochleistungs-Virtualisierungsumgebung,<br />
die <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Server 2008 zur Verfügung steht. Sie können damit virtuelle<br />
Gastcomputer anlegen, die direkten Zugriff auf die Hardware erhalten. Auf dem virtuellen<br />
Computer können Sie beliebige <strong>W<strong>in</strong>dows</strong>-Versionen <strong>in</strong>stallieren.
Lektion 2: Beseitigen von Softwarekonfigurations- und Kompatibilitätsproblemen 369<br />
Wenn Sie e<strong>in</strong>e Anwendung <strong>in</strong> e<strong>in</strong>em virtuellen Computer ausführen, der unter Hyper-V<br />
läuft, können Clients, die unter <strong>W<strong>in</strong>dows</strong> 7 oder anderen Betriebssystemen laufen, über<br />
das Netzwerk im Remotezugriff auf diese Anwendung zugreifen.<br />
Hyper-V setzt e<strong>in</strong>en 64-Bit-Prozessor mit Virtualisierungstechnologie (Intel-VT oder<br />
AMD-V) voraus.<br />
Remotedesktopdienste zum Hosten von Anwendungen Indem Sie ältere Anwendungen<br />
<strong>in</strong> den Remotedesktopdiensten ausführen, können Sie <strong>W<strong>in</strong>dows</strong>-Anwendungen<br />
oder den <strong>W<strong>in</strong>dows</strong>-Desktop selbst auf praktisch jedem Computergerät <strong>in</strong> Ihrem Netzwerk<br />
zur Verfügung stellen. <strong>W<strong>in</strong>dows</strong> 7-Clients können über den Remotedesktop e<strong>in</strong>e<br />
Verb<strong>in</strong>dung zu diesen Anwendungshost<strong>in</strong>g-Umgebungen herstellen.<br />
Schnelltest<br />
Welche CPU-Technologie muss vorhanden se<strong>in</strong>, damit der <strong>W<strong>in</strong>dows</strong> XP Mode auf e<strong>in</strong>em<br />
<strong>W<strong>in</strong>dows</strong> 7-Client zur Verfügung steht?<br />
Antwort zum Schnelltest<br />
Intel-VT oder AMD-V<br />
Grundlagen des Application Compatibility Toolkit<br />
Das Application Compatibility Toolkit (ACT) ist e<strong>in</strong> Tool, mit dem Sie Anwendungskompatibilitätsprobleme<br />
vor der <strong>W<strong>in</strong>dows</strong> 7-Bereitstellung aufspüren können.<br />
Zum ACT gehören unter anderem die folgenden wichtigen Komponenten:<br />
Application Compatibility Manager E<strong>in</strong> Tool, mit dem Sie Programmdaten erfassen<br />
und analysieren, um potenzielle Probleme noch vor der Bereitstellung e<strong>in</strong>es neuen Betriebssystems<br />
oder e<strong>in</strong>es <strong>W<strong>in</strong>dows</strong>-Updates <strong>in</strong> Ihrer Organisation aufzudecken. In der<br />
Anfangsphase e<strong>in</strong>es Anwendungsmigrationsprojekts werden Sie dieses Programm häufig<br />
verwenden. Dieses Tool sollten Sie als die primäre Benutzeroberfläche für das ACT<br />
betrachten.<br />
Application Compatibility Toolkit Data Collector Der Application Compatibility<br />
Toolkit Data Collector wird auf jedem Computer <strong>in</strong>stalliert und führt e<strong>in</strong>e Kompatibilitätsprüfung<br />
durch. Die Daten werden gesammelt und <strong>in</strong> der zentralen Kompatibilitätsdatenbank<br />
gespeichert.<br />
Setup Analysis Tool (SAT) Automatisiert die Installation von Anwendungen, wobei es<br />
die Aktionen der Installationsprogramme der Anwendungen überwacht.<br />
Standard User Analyzer (SUA) Ermittelt die potenziellen Probleme, die beim Betrieb<br />
e<strong>in</strong>er Anwendung als Standardbenutzer unter <strong>W<strong>in</strong>dows</strong> 7 auftreten können.<br />
Das ACT ist e<strong>in</strong> wichtiges Tool, wenn Sie Anwendungen auf e<strong>in</strong>er Vielzahl von Computern<br />
und Betriebssystemen <strong>in</strong>nerhalb Ihrer Organisation testen müssen.
3<strong>70</strong> Kapitel 9: Beseitigen von Softwareproblemen<br />
Konfigurieren der Anwendungskompatibilitätsdiagnose<br />
mithilfe von Gruppenrichtl<strong>in</strong>ien<br />
<strong>W<strong>in</strong>dows</strong> Server 2008 enthält e<strong>in</strong>en Satz Richtl<strong>in</strong>ien aus dem Bereich der Anwendungskompatibilitätsdiagnose.<br />
Sie f<strong>in</strong>den diese E<strong>in</strong>stellungen <strong>in</strong> e<strong>in</strong>em Gruppenrichtl<strong>in</strong>ienobjekt im<br />
Knoten Computerkonfiguration\Richtl<strong>in</strong>ien\Adm<strong>in</strong>istrative Vorlagen\System\Problembehandlung<br />
und Diagnose\Anwendungskompatibilitätsdiagnose.<br />
Der Conta<strong>in</strong>er Anwendungskompatibilitätsdiagnose enthält die folgenden sechs Richtl<strong>in</strong>ien:<br />
Über blockierte Treiber benachrichtigen Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung legt fest, ob<br />
der Programmkompatibilitäts-Assistent den Benutzer benachrichtigt, falls Treiber aufgrund<br />
von Kompatibilitätsproblemen blockiert werden. Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung<br />
aktivieren, zeigt der Programmkompatibilitäts-Assistent dem Benutzer e<strong>in</strong>e<br />
Benachrichtigung über Probleme mit blockierten Treibern an und der Benutzer kann auf<br />
der Microsoft-Website nach Lösungen suchen. (Dies ist auch das Standardverhalten <strong>in</strong><br />
<strong>W<strong>in</strong>dows</strong> 7.) Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung deaktivieren, benachrichtigt der<br />
Programmkompatibilitäts-Assistent den Benutzer nicht über Probleme mit blockierten<br />
Treibern. Falls diese Richtl<strong>in</strong>iene<strong>in</strong>stellung deaktiviert wird, bekommt der Benutzer<br />
ke<strong>in</strong>e H<strong>in</strong>weise zu Lösungen für blockierte Treiber.<br />
Durch veraltete COM-Objekte verursachte Anwendungsfehler erkennen Diese<br />
Richtl<strong>in</strong>iene<strong>in</strong>stellung legt fest, ob der Programmkompatibilitäts-Assistent den Benutzer<br />
benachrichtigt, wenn das Anlegen e<strong>in</strong>es COM-Objekts <strong>in</strong> e<strong>in</strong>er Anwendung fehlschlägt.<br />
Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung aktivieren, erkennt der Programmkompatibilitäts-<br />
Assistent Programme, die versuchen, alte COM-Objekte zu erstellen, die <strong>in</strong> dieser <strong>W<strong>in</strong>dows</strong>-Version<br />
entfernt wurden. (Dies ist auch das Standardverhalten <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7.)<br />
Wenn e<strong>in</strong> solcher Fehler erkannt wird, benachrichtigt der Programmkompatibilitäts-<br />
Assistent den Benutzer nach dem Beenden des Programms über das Problem und bietet<br />
an, auf der Microsoft-Website nach Lösungen zu suchen. Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung<br />
deaktivieren, erkennt der Programmkompatibilitäts-Assistent nicht, wenn Programme<br />
versuchen, alte COM-Objekte anzulegen.<br />
Durch veraltete <strong>W<strong>in</strong>dows</strong>-DLLs verursachte Anwendungsfehler erkennen Diese<br />
Richtl<strong>in</strong>iene<strong>in</strong>stellung legt fest, ob der Programmkompatibilitäts-Assistent den Benutzer<br />
benachrichtigt, wenn das Laden e<strong>in</strong>er DLL <strong>in</strong> e<strong>in</strong>er Anwendung fehlschlägt. Wenn Sie<br />
diese Richtl<strong>in</strong>iene<strong>in</strong>stellung aktivieren, erkennt der Programmkompatibilitäts-Assistent<br />
Programme, die versuchen, alte Microsoft <strong>W<strong>in</strong>dows</strong>-DLLs zu laden, die <strong>in</strong> dieser <strong>W<strong>in</strong>dows</strong>-Version<br />
entfernt wurden. (Dies ist auch das Standardverhalten <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7.)<br />
Wenn e<strong>in</strong> solcher Fehler erkannt wird, benachrichtigt der PCA den Benutzer nach dem<br />
Beenden des Programms über das Problem und bietet an, auf der Microsoft-Website<br />
nach Lösungen zu suchen. Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung deaktivieren, erkennt<br />
der Programmkompatibilitäts-Assistent nicht, wenn Programme versuchen, alte <strong>W<strong>in</strong>dows</strong>-DLLs<br />
zu laden.<br />
Anwendungs<strong>in</strong>stallationsfehler erkennen Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung konfiguriert<br />
den Programmkompatibilitäts-Assistenten so, dass der Benutzer benachrichtigt wird,<br />
wenn e<strong>in</strong>e Anwendungs<strong>in</strong>stallation fehlschlägt. Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung<br />
aktivieren, erkennt der Programmkompatibilitäts-Assistent Fehler bei der Anwendungs<strong>in</strong>stallation<br />
und gibt dem Benutzer die Möglichkeit, den Installer im <strong>W<strong>in</strong>dows</strong> XP-Kompatibilitätsmodus<br />
erneut zu starten. (Dies ist auch das Standardverhalten <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7.)
Lektion 2: Beseitigen von Softwarekonfigurations- und Kompatibilitätsproblemen 371<br />
Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung deaktivieren, erkennt der Programmkompatibilitäts-Assistent<br />
ke<strong>in</strong>e Fehler bei der Programm<strong>in</strong>stallation.<br />
Anwendungs<strong>in</strong>stallationsprogramme erkennen, die als Adm<strong>in</strong>istrator ausgeführt<br />
werden müssen Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung legt fest, ob der Programmkompatibilitäts-Assistent<br />
den Benutzer benachrichtigt, wenn Anwendungs<strong>in</strong>stallationen fehlschlagen,<br />
weil sie als Adm<strong>in</strong>istrator ausgeführt werden müssen. Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung<br />
aktivieren, erkennt der Programmkompatibilitäts-Assistent solche Installationsfehler<br />
und bietet dem Benutzer an, das Installationsprogramm als Adm<strong>in</strong>istrator<br />
erneut zu starten. (Dies ist auch das Standardverhalten <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7.) Falls Sie diese<br />
Richtl<strong>in</strong>iene<strong>in</strong>stellung deaktivieren, benachrichtigt der Programmkompatibilitäts-Assistent<br />
den Benutzer nicht, wenn Installationsprogramme aus diesem Grund fehlschlagen.<br />
Anwendungen erkennen, die unter der Benutzerkontensteuerung ke<strong>in</strong>e Installationsprogramme<br />
starten können Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung konfiguriert den<br />
Programmkompatibilitäts-Assistenten so, dass der Benutzer benachrichtigt wird, wenn<br />
die UAC verh<strong>in</strong>dert, dass e<strong>in</strong>e Anwendung e<strong>in</strong>en Installer startet (normalerweise e<strong>in</strong><br />
Updateprogramm). Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung aktivieren, erkennt der Programmkompatibilitäts-Assistent<br />
Programme, die e<strong>in</strong>en Installer nicht starten können,<br />
und gewährt beim nächsten Start des Programms Adm<strong>in</strong>istratorprivilegien, die es ermöglichen,<br />
diese Aufgabe auszuführen. (Dies ist auch das Standardverhalten <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7.)<br />
Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung deaktivieren, erkennt der Programmkompatibilitäts-Assistent<br />
nicht, wenn Anwendungen wegen der UAC e<strong>in</strong>en Installer nicht starten<br />
können.<br />
Prüfungstipp<br />
Für die Prüfung <strong>70</strong>-<strong>685</strong> müssen Sie diese Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen für die Anwendungskompatibilitätsdiagnose<br />
kennen.<br />
Übung Konfigurieren der Anwendungskompatibilitätsdiagnose<br />
In dieser Übung konfigurieren Sie E<strong>in</strong>stellungen für die Anwendungskompatibilität mithilfe<br />
von Gruppenrichtl<strong>in</strong>ien.<br />
Übung Erstellen e<strong>in</strong>er Richtl<strong>in</strong>ie für Anwendungskompatibilitätse<strong>in</strong>stellungen<br />
In dieser Übung erstellen Sie e<strong>in</strong> neues Gruppenrichtl<strong>in</strong>ienobjekt namens Anwendungskompatibilitätsdiagnoserichtl<strong>in</strong>ie.<br />
In diesem Gruppenrichtl<strong>in</strong>ienobjekt aktivieren Sie zwei E<strong>in</strong>stellungen,<br />
die bestimmte Verhaltensweisen für den Programmkompatibilitäts-Assistenten<br />
aktivieren.<br />
1. Melden Sie sich als Domänenadm<strong>in</strong>istrator am Domänencontroller DC1 an.<br />
2. Geben Sie im Suchfeld des Startmenüs den Befehl Gruppenrichtl<strong>in</strong>ienverwaltung e<strong>in</strong><br />
und drücken Sie die EINGABETASTE. Die Konsole Gruppenrichtl<strong>in</strong>ienverwaltung wird<br />
geöffnet.<br />
3. Erweitern Sie <strong>in</strong> der Konsole Gruppenrichtl<strong>in</strong>ienverwaltung <strong>in</strong> der Konsolenstruktur die<br />
Conta<strong>in</strong>er Gesamtstruktur: nwtraders.msft und dann Domänen.
372 Kapitel 9: Beseitigen von Softwareproblemen<br />
4. Klicken Sie unter dem Conta<strong>in</strong>er Domänen mit der rechten Maustaste auf Nwtraders.msft<br />
und wählen Sie den Befehl Gruppenrichtl<strong>in</strong>ienobjekt hier erstellen und verknüpfen. Das<br />
Dialogfeld Neues Gruppenrichtl<strong>in</strong>ienobjekt wird geöffnet.<br />
5. Geben Sie im Dialogfeld Neues Gruppenrichtl<strong>in</strong>ienobjekt den Namen Anwendungskompatibilitätsdiagnoserichtl<strong>in</strong>ie<br />
e<strong>in</strong> und klicken Sie auf OK.<br />
6. Stellen Sie <strong>in</strong> der Detailansicht der Konsole Gruppenrichtl<strong>in</strong>ienverwaltung sicher, dass<br />
die Registerkarte Verknüpfte Gruppenrichtl<strong>in</strong>ienobjekte ausgewählt ist. Klicken Sie dann<br />
<strong>in</strong> der Liste der Gruppenrichtl<strong>in</strong>ienobjekte mit der rechten Maustaste auf Anwendungskompatibilitätsdiagnoserichtl<strong>in</strong>ie<br />
und wählen Sie den Befehl Bearbeiten. Die Konsole<br />
Gruppenrichtl<strong>in</strong>ienverwaltungs-Editor wird geöffnet.<br />
7. Wählen Sie <strong>in</strong> der Konsolenstruktur von Gruppenrichtl<strong>in</strong>ienverwaltungs-Editor den<br />
Knoten Computerkonfiguration\Richtl<strong>in</strong>ien\Adm<strong>in</strong>istrative Vorlagen\System\Problembehandlung<br />
und Diagnose\Anwendungskompatibilitätsdiagnose aus.<br />
8. Klicken Sie <strong>in</strong> der Detailansicht des Gruppenrichtl<strong>in</strong>ienverwaltungs-Editors doppelt auf<br />
die Richtl<strong>in</strong>ie Durch veraltete <strong>W<strong>in</strong>dows</strong>-DLLs verursachte Anwendungsfehler erkennen.<br />
Das zugehörige Eigenschaftendialogfeld wird geöffnet.<br />
9. Lesen Sie die Beschreibung der Richtl<strong>in</strong>iene<strong>in</strong>stellung durch. Beachten Sie, dass unter<br />
<strong>W<strong>in</strong>dows</strong> 7 die Dienste Diagnoserichtl<strong>in</strong>iendienst und Programmkompatibilitäts-<br />
Assistent-Dienst laufen müssen, damit der Programmkompatibilitäts-Assistent funktioniert.<br />
Diese Dienste werden auf <strong>W<strong>in</strong>dows</strong> 7-Computern, die zu e<strong>in</strong>er Domäne gehören,<br />
automatisch gestartet.<br />
10. Wählen Sie die Option Aktiviert aus.<br />
11. Stellen Sie <strong>in</strong> der Dropdownliste Szenarioausführungsebene sicher, dass der E<strong>in</strong>trag<br />
Erkennung, Problembehandlung und Konfliktlösung ausgewählt ist.<br />
12. Klicken Sie auf OK. In der Detailansicht des Gruppenrichtl<strong>in</strong>ienverwaltungs-Editors<br />
müsste die Richtl<strong>in</strong>iene<strong>in</strong>stellung nun als Aktiviert aufgelistet se<strong>in</strong>.<br />
13. Klicken Sie <strong>in</strong> der Detailansicht des Gruppenrichtl<strong>in</strong>ienverwaltungs-Editors doppelt auf<br />
die Richtl<strong>in</strong>iene<strong>in</strong>stellung Anwendungs<strong>in</strong>stallationsfehler erkennen. Das zugehörige<br />
Eigenschaftendialogfeld wird geöffnet.<br />
14. Lesen Sie die Beschreibung der Richtl<strong>in</strong>iene<strong>in</strong>stellung und wählen Sie die Option<br />
Aktiviert aus.<br />
15. Klicken Sie auf OK. In der Detailansicht des Gruppenrichtl<strong>in</strong>ienverwaltungs-Editors<br />
müsste die Richtl<strong>in</strong>iene<strong>in</strong>stellung nun als Aktiviert aufgelistet se<strong>in</strong>.<br />
16. Schließen Sie alle offenen Fenster.<br />
Zusammenfassung der Lektion<br />
Wenn e<strong>in</strong>e Anwendung, die bisher e<strong>in</strong>wandfrei funktioniert hat, auf e<strong>in</strong>mal Fehler verursacht,<br />
ist die Ursache für das Problem normalerweise e<strong>in</strong> Konfigurationsfehler oder e<strong>in</strong>e<br />
Änderung am System. Um den Fehler e<strong>in</strong>zukreisen und zu beseitigen, sollten Sie mehrere<br />
Strategien nutzen, <strong>in</strong>dem Sie unter anderem Anwendungse<strong>in</strong>stellungen prüfen, Ereignisprotokolle<br />
auswerten, e<strong>in</strong>e Systemwiederherstellung durchführen, die Anwendung<br />
reparieren oder erneut <strong>in</strong>stallieren und das System aus e<strong>in</strong>er Datensicherung wiederherstellen.
Lektion 2: Beseitigen von Softwarekonfigurations- und Kompatibilitätsproblemen 373<br />
Jede neue Version von <strong>W<strong>in</strong>dows</strong> führt Features e<strong>in</strong>, die Auswirkungen auf die Funktionsfähigkeit<br />
von Programmen haben, die für ältere Betriebssysteme geschrieben wurden. In<br />
<strong>W<strong>in</strong>dows</strong> 7 werden Probleme im Bereich der Anwendungskompatibilität wahrsche<strong>in</strong>lich<br />
durch Features wie die Benutzerkontensteuerung, den <strong>W<strong>in</strong>dows</strong>-Ressourcenschutz und<br />
neue System-APIs verursacht.<br />
<strong>W<strong>in</strong>dows</strong> 7 enthält Tools, die Ihnen helfen, Kompatibilitätsprobleme für ältere Anwendungen<br />
zu erkennen und zu beseitigen. Der Programmkompatibilitäts-Assistent ersche<strong>in</strong>t<br />
automatisch, wenn <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong> bekanntes Kompatibilitätsproblem erkennt. Das Problembehandlungsmodul<br />
Programmkompatibilität ist e<strong>in</strong> Assistent, <strong>in</strong> dem Sie e<strong>in</strong> älteres<br />
Programm mit E<strong>in</strong>stellungen konfigurieren, die für e<strong>in</strong>e ältere <strong>W<strong>in</strong>dows</strong>-Version gelten.<br />
Dieselben Kompatibilitätse<strong>in</strong>stellungen können Sie auch auf der Registerkarte Kompatibilität<br />
im Eigenschaftendialogfeld e<strong>in</strong>es Programms konfigurieren.<br />
Wenn Sie e<strong>in</strong>e Anwendung benötigen, die nicht zu <strong>W<strong>in</strong>dows</strong> 7 kompatibel ist, können<br />
Sie das Programm <strong>in</strong>nerhalb e<strong>in</strong>es virtuellen Computers unter e<strong>in</strong>em kompatiblen Betriebssystem<br />
ausführen. Stattdessen können Sie auch e<strong>in</strong>e Remotedesktopverb<strong>in</strong>dung zu<br />
e<strong>in</strong>em Computer verwenden, auf dem die Anwendung unter e<strong>in</strong>em kompatiblen Betriebssystem<br />
läuft.<br />
<strong>W<strong>in</strong>dows</strong> 7 enthält e<strong>in</strong>ige Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen, mit denen Sie festlegen können,<br />
wie der Programmkompatibilitäts-Assistent se<strong>in</strong>e Diagnose und Problembehandlung<br />
für Anwendungskompatibilitätsprobleme durchführt.<br />
Lernzielkontrolle<br />
Mit den folgenden Fragen können Sie Ihr Wissen zu den Informationen aus Lektion 2,<br />
»Beseitigen von Softwarekonfigurations- und Kompatibilitätsproblemen«, überprüfen. Die<br />
Fragen f<strong>in</strong>den Sie (<strong>in</strong> englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch<br />
auf dem Computer im Rahmen e<strong>in</strong>es Übungstests beantworten.<br />
H<strong>in</strong>weis Die Antworten<br />
Die Antworten auf diese Fragen mit Erklärungen, warum die jeweiligen Auswahlmöglichkeiten<br />
richtig oder falsch s<strong>in</strong>d, f<strong>in</strong>den Sie im Abschnitt »Antworten« am Ende dieses Buchs.<br />
1. Sie bekommen e<strong>in</strong>en Anruf vom Helpdesk, weil e<strong>in</strong> Benutzer Probleme mit e<strong>in</strong>er Anwendung<br />
auf e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Computer hat. Die Anwendung funktionierte e<strong>in</strong>wandfrei,<br />
bis der Benutzer e<strong>in</strong> optionales Update für <strong>W<strong>in</strong>dows</strong> <strong>in</strong>stalliert hat. Andere Änderungen<br />
am System hat er seitdem nicht durchgeführt. Jetzt gel<strong>in</strong>gt es ihm aber nicht<br />
mehr, die Anwendung zu starten. Leider haben es weder der Benutzer noch der Helpdeskmitarbeiter<br />
geschafft, die Anwendung wieder zum Laufen zu bekommen.<br />
Wie sollten Sie das Problem beseitigen?<br />
A. Versetzen Sie den Computer mit der Systemwiederherstellung <strong>in</strong> den Zustand zurück,<br />
den er hatte, bevor der Benutzer das optionale Update für <strong>W<strong>in</strong>dows</strong> <strong>in</strong>stalliert hat.<br />
B. Stellen Sie die Benutzerdateien aus der neuesten Datensicherung wieder her.<br />
C. Konfigurieren Sie die Ereignisweiterleitung so, dass sie Nachrichten aus dem Anwendungsprotokoll<br />
an Ihren Computer weiterleitet.<br />
D. De<strong>in</strong>stallieren Sie die Anwendung und <strong>in</strong>stallieren Sie sie dann neu.
374 Kapitel 9: Beseitigen von Softwareproblemen<br />
2. Nachdem bei den Clientcomputern <strong>in</strong> Ihrer Organisation e<strong>in</strong> Upgrade von <strong>W<strong>in</strong>dows</strong> XP<br />
auf <strong>W<strong>in</strong>dows</strong> 7 vorgenommen wurde, stellen Sie fest, dass e<strong>in</strong>e bestimmte Anwendung<br />
zwar fehlerfrei <strong>in</strong>stalliert werden konnte, aber unter dem neuen Betriebssystem nicht<br />
mehr läuft. Wie können Sie sicherstellen, dass Benutzer Benachrichtigungen erhalten,<br />
die erklären, warum diese Anwendung nicht läuft?<br />
A. Aktivieren Sie <strong>in</strong> den Gruppenrichtl<strong>in</strong>ien die Richtl<strong>in</strong>ien Durch veraltete COM-Objekte<br />
verursachte Anwendungsfehler erkennen und Durch veraltete <strong>W<strong>in</strong>dows</strong>-DLLs<br />
verursachte Anwendungsfehler erkennen.<br />
B. Aktivieren Sie <strong>in</strong> den Gruppenrichtl<strong>in</strong>ien die Richtl<strong>in</strong>ie Über blockierte Treiber<br />
benachrichtigen.<br />
C. Aktivieren Sie <strong>in</strong> den Gruppenrichtl<strong>in</strong>ien die Richtl<strong>in</strong>ie Anwendungs<strong>in</strong>stallationsfehler<br />
erkennen.<br />
D. Aktivieren Sie <strong>in</strong> den Gruppenrichtl<strong>in</strong>ien die Richtl<strong>in</strong>ie Anwendungs<strong>in</strong>stallationsprogramme<br />
erkennen, die als Adm<strong>in</strong>istrator ausgeführt werden müssen.<br />
3. Bei welcher der folgenden Anwendungen ist es am unwahrsche<strong>in</strong>lichsten, dass sie ohne<br />
Softwareupdate unter der 32-Bit-Version von <strong>W<strong>in</strong>dows</strong> 7 läuft?<br />
A. E<strong>in</strong>e 16-Bit-Anwendung, die für Microsoft <strong>W<strong>in</strong>dows</strong> 2000 geschrieben wurde<br />
B. E<strong>in</strong>e 32-Bit-Anwendung, die für <strong>W<strong>in</strong>dows</strong> XP geschrieben wurde und adm<strong>in</strong>istrative<br />
Privilegien zum Ausführen benötigt<br />
C. E<strong>in</strong>e Anwendung, die für <strong>W<strong>in</strong>dows</strong> 2000 geschrieben wurde und <strong>in</strong> e<strong>in</strong>en geschützten<br />
Bereich der Registrierung schreibt<br />
D. E<strong>in</strong>e Anwendung, die für <strong>W<strong>in</strong>dows</strong> XP geschrieben wurde und <strong>in</strong> geschützte Systemdateien<br />
schreibt
Rückblick auf dieses Kapitel<br />
Rückblick auf dieses Kapitel 375<br />
Sie können die <strong>in</strong> diesem Kapitel erworbenen Fähigkeiten folgendermaßen e<strong>in</strong>üben und<br />
vertiefen:<br />
Lesen Sie die Zusammenfassung des Kapitels sorgfältig durch.<br />
Lesen Sie die Liste der Schlüsselbegriffe durch, die <strong>in</strong> diesem Kapitel e<strong>in</strong>geführt wurden.<br />
Arbeiten Sie die Übungen mit Fallbeispielen durch. Diese Szenarien beschreiben Fälle<br />
aus der Praxis, <strong>in</strong> denen die Themen dieses Kapitels zur Anwendung kommen. Sie werden<br />
aufgefordert, e<strong>in</strong>e Lösung zu entwickeln.<br />
Führen Sie die vorgeschlagenen Übungen durch.<br />
Machen Sie e<strong>in</strong>en Übungstest.<br />
Zusammenfassung des Kapitels<br />
Wenn Probleme bei der Installation auftreten, sollten Sie Adm<strong>in</strong>istratorprivilegien, <strong>W<strong>in</strong>dows</strong><br />
7-Kompatibilität, Installationse<strong>in</strong>stellungen, Anwendungse<strong>in</strong>schränkungen und<br />
-abhängigkeiten, Ressourcenverfügbarkeit und eventuelle Richtl<strong>in</strong>iene<strong>in</strong>schränkungen<br />
prüfen, die mit SRP oder AppLocker def<strong>in</strong>iert werden.<br />
Anwendungen können aufgrund falscher Konfiguration oder grundlegender Kompatibilitätsprobleme<br />
zu <strong>W<strong>in</strong>dows</strong> 7 Fehler verursachen. Wenn es sich um Konfigurationsprobleme<br />
handelt, sollten Sie zuerst versuchen, das Problem von Hand zu identifizieren<br />
und zu reparieren. Sofern nötig, können Sie das Problem aber auch mit Systemwiederherstellung,<br />
Softwarereparatur oder Systemdatensicherungen beseitigen. Um Kompatibilitätsprobleme<br />
zu beseitigen, können Sie die Kompatibilitätse<strong>in</strong>stellungen des Programms<br />
anpassen, e<strong>in</strong>en Remote- oder virtuellen älteren Host für die Anwendung suchen<br />
oder die Software e<strong>in</strong>fach auf e<strong>in</strong>e neuere Version aktualisieren, die zu <strong>W<strong>in</strong>dows</strong> 7<br />
kompatibel ist.<br />
Schlüsselbegriffe<br />
Wissen Sie, was die folgenden Schlüsselbegriffe bedeuten? Sie können Ihre Antworten überprüfen,<br />
<strong>in</strong>dem Sie die Begriffe im Glossar am Ende dieses Buchs nachschlagen.<br />
Ereignisweiterleitung<br />
<strong>W<strong>in</strong>dows</strong>-Ressourcenschutz<br />
<strong>W<strong>in</strong>dows</strong> XP Mode
376 Kapitel 9: Beseitigen von Softwareproblemen<br />
Übungen mit Fallbeispiel<br />
In den folgenden Übungen mit Fallbeispiel wenden Sie an, was Sie über das Beseitigen von<br />
Softwareproblemen gelernt haben. Die Lösungen zu den Fragen f<strong>in</strong>den Sie im Abschnitt<br />
»Antworten« h<strong>in</strong>ten <strong>in</strong> diesem Buch.<br />
Übung mit Fallbeispiel 1: E<strong>in</strong>schränken von Software mit AppLocker<br />
Sie arbeiten als <strong>Support</strong>techniker <strong>in</strong> e<strong>in</strong>em großen <strong>Unternehmen</strong>, dessen Netzwerk aus e<strong>in</strong>er<br />
e<strong>in</strong>zelnen AD DS-Domäne besteht. Alle Clients laufen unter <strong>W<strong>in</strong>dows</strong> 7, alle Domänencontroller<br />
unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2.<br />
Sie möchten mithilfe von AppLocker allen Benutzern erlauben, <strong>W<strong>in</strong>dows</strong> Installer-Programme<br />
von Microsoft auszuführen. Außerdem wollen Sie ihnen verbieten, <strong>W<strong>in</strong>dows</strong> Installer-<br />
Programme anderer Firmen zu starten. Sie legen dazu e<strong>in</strong> neues Gruppenrichtl<strong>in</strong>ienobjekt an<br />
und verknüpfen es mit der Domäne.<br />
Beantworten Sie vor diesem H<strong>in</strong>tergrund folgende Fragen:<br />
1. Sie erstellen e<strong>in</strong>e <strong>W<strong>in</strong>dows</strong> Installer-Regel im neuen Gruppenrichtl<strong>in</strong>ienobjekt. Welche<br />
Art von Bed<strong>in</strong>gung sollten Sie def<strong>in</strong>ieren, damit <strong>W<strong>in</strong>dows</strong> Installer-Programme von<br />
Microsoft ausgeführt werden dürfen?<br />
2. Sie haben e<strong>in</strong>e funktionierende <strong>W<strong>in</strong>dows</strong> Installer-Regel erstellt, die es allen Benutzern<br />
erlaubt, .msi-Dateien von Microsoft auszuführen. Sie haben noch überhaupt ke<strong>in</strong>e Standardregeln<br />
generiert. Wenn das Gruppenrichtl<strong>in</strong>ienobjekt nun ohne weitere Änderungen<br />
angewendet wird, können die Benutzer dann <strong>W<strong>in</strong>dows</strong> Installer-Programme starten, die<br />
von anderen Firmen erstellt wurden? Begründen Sie Ihre Antwort.<br />
Übung mit Fallbeispiel 2: Konfigurieren von<br />
Anwendungskompatibilitätse<strong>in</strong>stellungen<br />
Sie arbeiten als <strong>Support</strong>techniker für Contoso. Das Netzwerk des <strong>Unternehmen</strong>s besteht aus<br />
20 Computern, die unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2 laufen, 150 Clientcomputern mit <strong>W<strong>in</strong>dows</strong><br />
XP Professional und 100 Clientcomputern, auf denen vor Kurzem <strong>W<strong>in</strong>dows</strong> 7 Professional<br />
<strong>in</strong>stalliert wurde.<br />
Sie kümmern sich gerade um Probleme, die mit der Anwendungskompatibilität auf den<br />
<strong>W<strong>in</strong>dows</strong> 7-Clients zu tun haben.<br />
Beantworten Sie vor diesem H<strong>in</strong>tergrund folgende Fragen:<br />
1. E<strong>in</strong>e bestimmte Anwendung, die gelegentlich <strong>in</strong> der Werbeabteilung benutzt wird, wurde<br />
für <strong>W<strong>in</strong>dows</strong> XP entwickelt. Die Benutzer melden, dass sie unter <strong>W<strong>in</strong>dows</strong> 7 <strong>in</strong>stabil ist.<br />
Es stehen noch ke<strong>in</strong>e Updates für die Anwendung zur Verfügung. Welche Möglichkeit<br />
sollten Sie zuerst untersuchen, um das Problem zu beseitigen?<br />
2. Benutzer beklagen sich, dass Anwendungen manchmal nicht <strong>in</strong>stalliert werden, sie aber<br />
ke<strong>in</strong>e Benachrichtigung erhalten, dass e<strong>in</strong> Fehler aufgetreten ist. Wie können Sie sicherstellen,<br />
dass Benutzer Benachrichtigung erhalten, wenn die Installation e<strong>in</strong>er Anwendung<br />
fehlschlägt?
Vorgeschlagene Übungen<br />
Vorgeschlagene Übungen 377<br />
Sie sollten die folgenden Aufgaben durcharbeiten, wenn Sie die <strong>in</strong> diesem Kapitel behandelten<br />
Prüfungsziele meistern wollen.<br />
Untersuchen und Beseitigen von Problemen bei der Installation neuer<br />
Software<br />
Arbeiten Sie folgende Übungen durch, um zu lernen, wie Sie häufige Installationsprobleme<br />
beseitigen:<br />
Übung 1 Versuchen Sie, auf <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong> älteres Programm zu <strong>in</strong>stallieren, das für<br />
<strong>W<strong>in</strong>dows</strong> XP oder <strong>W<strong>in</strong>dows</strong> 2000 geschrieben wurde. Probieren Sie, sofern die Installation<br />
fehlschlägt, die Installation als Adm<strong>in</strong>istrator auszuführen und stellen Sie fest, ob sie<br />
diesmal gel<strong>in</strong>gt.<br />
Übung 2 Besorgen Sie sich <strong>in</strong> e<strong>in</strong>er Testdomäne das Zertifikat e<strong>in</strong>es anderen Softwareherstellers.<br />
Stellen Sie dieses Zertifikat mithilfe von Gruppenrichtl<strong>in</strong>ien auf allen Clients<br />
der Domäne im Zertifikatspeicher Vertrauenswürdige Herausgeber bereit.<br />
Untersuchen und Beseitigen von Softwarekonfigurationsproblemen<br />
Arbeiten Sie die folgende Übung durch, um zu lernen, wie Sie e<strong>in</strong>e Problembehandlung <strong>in</strong><br />
e<strong>in</strong>em Netzwerk durchführen, <strong>in</strong> dem auf vielen Computern Fehler auftreten:<br />
Übung 1 Aktivieren Sie <strong>in</strong> e<strong>in</strong>er Testdomäne die Ereignisweiterleitung auf mehreren<br />
Quellcomputern. Aktivieren Sie die Ereignisweiterleitung auf dem Sammelcomputer und<br />
wählen Sie e<strong>in</strong>en häufigen Fehler aus, der gesammelt werden soll. Sehen Sie sich die<br />
Ergebnisse an.<br />
Untersuchen und Beseitigen von Softwarefehlern<br />
Arbeiten Sie die folgende Übung durch, um sich mit e<strong>in</strong>er Möglichkeit vertraut zu machen,<br />
e<strong>in</strong> Problem mit der Anwendungskompatibilität zu beseitigen:<br />
Übung 1 Aktivieren Sie auf e<strong>in</strong>em Computer, dessen CPU Intel-VT oder AMD-V<br />
unterstützt, das Virtualisierungsfeature im BIOS. Laden Sie dann Virtual PC herunter<br />
und <strong>in</strong>stallieren Sie ihn. Laden Sie den <strong>W<strong>in</strong>dows</strong> XP Mode herunter und <strong>in</strong>stallieren Sie<br />
ihn. Greifen Sie mit dem <strong>W<strong>in</strong>dows</strong> XP Mode über das Startmenü von <strong>W<strong>in</strong>dows</strong> 7 auf<br />
Anwendungen zu, die <strong>in</strong> e<strong>in</strong>em virtuellen Computer <strong>in</strong>stalliert s<strong>in</strong>d.
378 Kapitel 9: Beseitigen von Softwareproblemen<br />
Machen Sie e<strong>in</strong>en Übungstest<br />
Die Übungstests (<strong>in</strong> englischer Sprache) auf der Begleit-CD zu diesem Buch bieten zahlreiche<br />
Möglichkeiten. Zum Beispiel können Sie e<strong>in</strong>en Test machen, der ausschließlich die<br />
Themen aus e<strong>in</strong>em Prüfungslernziel behandelt, oder Sie können sich selbst mit dem gesamten<br />
Inhalt der Prüfung <strong>70</strong>-<strong>685</strong> testen. Sie können den Test so konfigurieren, dass er dem<br />
Ablauf e<strong>in</strong>er echten Prüfung entspricht, oder Sie können e<strong>in</strong>en Lernmodus verwenden, <strong>in</strong><br />
dem Sie sich nach dem Beantworten e<strong>in</strong>er Frage jeweils sofort die richtige Antwort und<br />
Erklärungen ansehen können.<br />
Weitere Informationen Übungstests<br />
E<strong>in</strong>zelheiten zu allen Optionen, die bei den Übungstests zur Verfügung stehen, f<strong>in</strong>den Sie im<br />
Abschnitt »So benutzen Sie die Übungstests« <strong>in</strong> der E<strong>in</strong>führung am Anfang dieses Buchs.
A N H A N G A<br />
Konfigurieren der <strong>W<strong>in</strong>dows</strong>-Firewall<br />
Jedes Netzwerk braucht e<strong>in</strong>e Firewall, um externe Bedrohungen abzuwehren. In den letzten<br />
Jahren s<strong>in</strong>d aber nicht nur die Anforderungen an die Netzwerksicherheit immer höher geworden,<br />
es ist genauso wichtig, jeden e<strong>in</strong>zelnen Computer mit se<strong>in</strong>er eigenen Firewall (der<br />
»Hostfirewall«) zu schützen. <strong>W<strong>in</strong>dows</strong> 7 stellt e<strong>in</strong> solches Feature <strong>in</strong> Form der <strong>W<strong>in</strong>dows</strong>-<br />
Firewall bereit. Die <strong>W<strong>in</strong>dows</strong>-Firewall kann und soll zwar die Netzwerkfirewall nicht ersetzen,<br />
aber sie ist e<strong>in</strong>e wichtige Verteidigungsl<strong>in</strong>ie für jeden Clientcomputer.<br />
Als <strong>Support</strong>techniker <strong>in</strong> e<strong>in</strong>em Großunternehmen müssen Sie wissen, wie Sie die <strong>W<strong>in</strong>dows</strong>-<br />
Firewall so konfigurieren, dass sie e<strong>in</strong>erseits Ihre Clients schützt, ihnen aber andererseits die<br />
Kommunikation mit anderen vertrauenswürdigen Computern im Netzwerk erlaubt.<br />
Grundlagen der <strong>W<strong>in</strong>dows</strong>-Firewall<br />
Die <strong>W<strong>in</strong>dows</strong>-Firewall ist e<strong>in</strong>e Hostfirewall, die <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 <strong>in</strong>tegriert ist. Im Unterschied<br />
zu Firewallgeräten, die Verkehr zwischen Netzwerken kontrollieren, def<strong>in</strong>ieren Hostfirewalls,<br />
welche Verkehrsarten zwischen dem lokalen Computer und dem übrigen Netzwerk<br />
ausgetauscht werden dürfen.<br />
Abbildung A.1 Öffnen der <strong>W<strong>in</strong>dows</strong>-Firewalle<strong>in</strong>stellungen <strong>in</strong> der Systemsteuerung<br />
379
380 Anhang A: Konfigurieren der <strong>W<strong>in</strong>dows</strong>-Firewall<br />
Sie konfigurieren die <strong>W<strong>in</strong>dows</strong>-Firewall mithilfe von zwei getrennten Tools. Wenn Sie e<strong>in</strong>gehenden<br />
Verkehr anhand der zugehörigen Anwendung steuern wollen, können Sie die Seite<br />
<strong>W<strong>in</strong>dows</strong>-Firewall der Systemsteuerung verwenden. Sie öffnen dieses Tool, <strong>in</strong>dem Sie die<br />
Systemsteuerung starten, auf System und Sicherheit und dann auf <strong>W<strong>in</strong>dows</strong>-Firewall klicken<br />
(Abbildung A.1).<br />
Abbildung A.2 zeigt die Seite <strong>W<strong>in</strong>dows</strong>-Firewall.<br />
Abbildung A.2 Die Seite <strong>W<strong>in</strong>dows</strong>-Firewall <strong>in</strong> der Systemsteuerung<br />
Abbildung A.3 Öffnen der Konsole <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit<br />
Wenn Sie dagegen ausgehenden Verkehr steuern oder e<strong>in</strong>gehenden Verkehr anhand zusätzlicher<br />
Kriterien wie Quelladresse oder Zielport e<strong>in</strong>schränken wollen, müssen Sie die
Grundlagen der <strong>W<strong>in</strong>dows</strong>-Firewall 381<br />
Konsole <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit (<strong>W<strong>in</strong>dows</strong> Firewall with Advanced<br />
Security, WFAS) verwenden. Diese Konsole öffnen Sie, <strong>in</strong>dem Sie auf der Seite <strong>W<strong>in</strong>dows</strong>-<br />
Firewall der Systemsteuerung auf Erweiterte E<strong>in</strong>stellungen klicken (Abbildung A.3).<br />
Abbildung A.4 zeigt die Konsole <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit.<br />
Abbildung A.4 Die Konsole <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit<br />
E<strong>in</strong>gehenden Verkehr zulassen<br />
In der Standarde<strong>in</strong>stellung blockiert die <strong>W<strong>in</strong>dows</strong>-Firewall alle e<strong>in</strong>gehenden Verb<strong>in</strong>dungen<br />
zum lokalen Computer, die von e<strong>in</strong>er externen Quelle stammen. Anschließend werden Ausnahmen<br />
(auch als Zulassen-Regeln bezeichnet) erstellt, um erwünschte e<strong>in</strong>gehende Verb<strong>in</strong>dungen<br />
zum lokalen Computer zuzulassen, zum Beispiel Verkehr zu lokalen Netzwerkfreigaben<br />
oder Verkehr für genehmigte Netzwerkanwendungen wie <strong>W<strong>in</strong>dows</strong> Live Messenger.<br />
Wenn Ausnahmen def<strong>in</strong>iert s<strong>in</strong>d, untersucht die <strong>W<strong>in</strong>dows</strong>-Firewall alle e<strong>in</strong>gehenden Pakete<br />
und vergleicht sie mit dieser Liste des zugelassenen Verkehrs. Stimmt e<strong>in</strong> Paket mit e<strong>in</strong>em<br />
E<strong>in</strong>trag <strong>in</strong> der Ausnahmenliste übere<strong>in</strong>, leitet die <strong>W<strong>in</strong>dows</strong>-Firewall das Paket zur weiteren<br />
Verarbeitung an den TCP/IP-Protokollstapel weiter. Wenn das Paket ke<strong>in</strong>em E<strong>in</strong>trag <strong>in</strong> der<br />
Liste entspricht, verwirft die <strong>W<strong>in</strong>dows</strong>-Firewall das Paket. Falls die Protokollierung aktiviert<br />
ist, schreibt sie dabei e<strong>in</strong>en E<strong>in</strong>trag <strong>in</strong> die <strong>W<strong>in</strong>dows</strong>-Firewall-Protokolldatei.<br />
Dieser Ablauf ist <strong>in</strong> Abbildung A.5 dargestellt, wobei nur Ausnahmen für <strong>W<strong>in</strong>dows</strong> Live<br />
Messenger und die <strong>W<strong>in</strong>dows</strong>-Dateifreigabe def<strong>in</strong>iert s<strong>in</strong>d. Diese beiden Programme können<br />
also Verb<strong>in</strong>dungen aufbauen, die durch die <strong>W<strong>in</strong>dows</strong>-Firewall gelassen werden. Dagegen<br />
blockiert die Firewall alle Verb<strong>in</strong>dungsversuche, die von e<strong>in</strong>em anderen Netzwerkprogramm<br />
stammen.
382 Anhang A: Konfigurieren der <strong>W<strong>in</strong>dows</strong>-Firewall<br />
Abbildung A.5 Die <strong>W<strong>in</strong>dows</strong>-Firewall blockiert alle e<strong>in</strong>gehenden<br />
Verb<strong>in</strong>dungen, die nicht explizit zugelassen s<strong>in</strong>d<br />
Ausgehenden Verkehr sperren<br />
In der Standarde<strong>in</strong>stellung erlaubt die <strong>W<strong>in</strong>dows</strong>-Firewall alle ausgehenden Verb<strong>in</strong>dungen<br />
vom lokalen Computer. Sie können die <strong>W<strong>in</strong>dows</strong>-Firewall allerd<strong>in</strong>gs auch so konfigurieren,<br />
dass sie alle ausgehenden Verb<strong>in</strong>dungen blockiert, die Sie def<strong>in</strong>ieren. Nehmen wir an, Sie<br />
wollen e<strong>in</strong>e Regel erstellen, die ausgehenden Verkehr an e<strong>in</strong>e bestimmte Adresse verbietet,<br />
die Sie der bekannten Malwareanwendung »Z« zuordnen. E<strong>in</strong>e solche Firewallregel hat<br />
ke<strong>in</strong>e Auswirkungen auf Verkehr zu anderen Netzwerkadressen. Abbildung A.6 zeigt diesen<br />
Fall.
Abbildung A.6 Die <strong>W<strong>in</strong>dows</strong>-Firewall erlaubt alle ausgehenden<br />
Verb<strong>in</strong>dungen, die nicht explizit verboten s<strong>in</strong>d<br />
Def<strong>in</strong>ieren komplexer Verkehrstypen<br />
Grundlagen von Netzwerkstandorten 383<br />
In den bisherigen Beispielen erlauben oder verweigern Firewallregeln Verkehr, der anhand<br />
e<strong>in</strong>er e<strong>in</strong>zigen Eigenschaft def<strong>in</strong>iert ist: e<strong>in</strong>em bestimmten Netzwerkprogramm oder e<strong>in</strong>er<br />
IP-Adresse. In der Konsole <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit können Sie aber<br />
Verkehr anhand e<strong>in</strong>er beliebigen Komb<strong>in</strong>ation von Kriterien erlauben oder verweigern.<br />
Solche Kriterien s<strong>in</strong>d unter anderem Quell- oder Ziel-IP-Adresse, Quell- oder Zielport und<br />
IPSec-Verschlüsselungsstatus (Internet Protocol Security). Mit e<strong>in</strong>er solchen Regel können<br />
Sie beispielsweise e<strong>in</strong>gehende Verb<strong>in</strong>dungen von e<strong>in</strong>er bestimmten Netzwerkanwendung<br />
erlauben, aber nur, wenn sie von e<strong>in</strong>er bestimmten Adresse oder e<strong>in</strong>em bestimmten Adressbereich<br />
stammen.<br />
Grundlagen von Netzwerkstandorten<br />
Netzwerkstandorte (network location) s<strong>in</strong>d Sicherheitskategorien, die auf Netzwerkverb<strong>in</strong>dungen<br />
angewendet werden. Es stehen vier Netzwerkstandorte zur Verfügung: Privat, Arbeitsplatz,<br />
Öffentlich und Domäne. Jede Verb<strong>in</strong>dung wird genau e<strong>in</strong>em dieser vier Netzwerkstandorte<br />
zugewiesen.
384 Anhang A: Konfigurieren der <strong>W<strong>in</strong>dows</strong>-Firewall<br />
Netzwerkstandorte schränken manche Netzwerkfeatures für Umgebungen e<strong>in</strong>, die hohe<br />
Sicherheit erfordern. Zum Beispiel ist die Netzwerkerkennung e<strong>in</strong> Multicastprotokoll, mit<br />
dem e<strong>in</strong> Computer benachbarte Computer und Geräte <strong>in</strong> e<strong>in</strong>em LAN (Local Area Network)<br />
erkennt. Weil dieses Feature <strong>in</strong> Umgebungen, <strong>in</strong> denen hohe Sicherheitsanforderungen gelten,<br />
normalerweise nicht erwünscht ist, ist die Netzwerkerkennung <strong>in</strong> den Netzwerkstandorten<br />
Öffentlich und Domäne standardmäßig deaktiviert. Dagegen ist die Heimnetzgruppe<br />
e<strong>in</strong> neues Feature von <strong>W<strong>in</strong>dows</strong> 7, das Ihnen hilft, e<strong>in</strong>e kennwortgeschützte Freigabe Ihrer<br />
lokalen Bibliotheken zu erstellen. Dieses Feature steht nur im Netzwerkstandort Privat zur<br />
Verfügung; <strong>in</strong> allen anderen Netzwerkstandorten kann es nicht aktiviert werden.<br />
Netzwerkstandorte können automatisch oder von Hand festgelegt werden. Ist e<strong>in</strong> Client Mitglied<br />
e<strong>in</strong>er Domäne, bekommen alle se<strong>in</strong>e Verb<strong>in</strong>dungen automatisch den Netzwerkstandort<br />
Domäne zugewiesen, wenn der Computer startet, und dieser Netzwerkstandort kann nicht<br />
geändert werden. Bei Verb<strong>in</strong>dungen außerhalb von Domänennetzwerken stellen Sie den<br />
Netzwerkstandort von Hand e<strong>in</strong>.<br />
Tabelle A-1 Features unterschiedlicher Netzwerkstandorte<br />
Privat Arbeitsplatz Öffentlich Domäne<br />
Netzwerkerkennung Standardmäßig Standardmäßig Standardmäßig Standardmäßig<br />
aktiviert aktiviert deaktiviert deaktiviert<br />
Datei- und Druckerfreigabe Standardmäßig Standardmäßig Standardmäßig Standardmäßig<br />
deaktiviert deaktiviert deaktiviert deaktiviert<br />
Freigabe des öffentlichen Standardmäßig Standardmäßig Standardmäßig Standardmäßig<br />
Ordners<br />
deaktiviert deaktiviert deaktiviert deaktiviert<br />
Medienstream<strong>in</strong>g Standardmäßig Standardmäßig Standardmäßig Standardmäßig<br />
deaktiviert deaktiviert deaktiviert deaktiviert<br />
Dateifreigabeverb<strong>in</strong>dungen Verwendet Verwendet Verwendet Verwendet<br />
standardmäßig standardmäßig standardmäßig standardmäßig<br />
128-Bit- 128-Bit- 128-Bit- 128-Bit-<br />
Verb<strong>in</strong>dungen Verb<strong>in</strong>dungen Verb<strong>in</strong>dungen Verb<strong>in</strong>dungen<br />
Heimnetzgruppen Verfügbar Nicht verfügbar Nicht verfügbar Nicht verfügbar<br />
Prüfungstipp<br />
In allen Microsoft-Zertifizierungsprüfungen, die wie <strong>70</strong>-<strong>685</strong> das Thema <strong>W<strong>in</strong>dows</strong> 7 behandeln,<br />
müssen Sie ausschließlich beweisen, dass Sie mit dem <strong>Support</strong> dieses Betriebssystems<br />
<strong>in</strong> e<strong>in</strong>er <strong>Unternehmen</strong>sumgebung vertraut s<strong>in</strong>d. In solchen Umgebungen wird praktisch allen<br />
Verb<strong>in</strong>dungen <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 der Netzwerkstandort Domäne zugewiesen. Denken Sie daran,<br />
dass der Netzwerkstandort bei jedem Computer, der wie beispielsweise e<strong>in</strong> Notebook Mitglied<br />
der Domäne ist, auf Domäne bleibt, selbst wenn Sie diesen Computer vom <strong>Unternehmen</strong>snetzwerk<br />
trennen und auf Dienstreise mitnehmen.<br />
Tabelle A-1 fasst die Standardsicherheitse<strong>in</strong>stellungen <strong>in</strong> den vier Netzwerkstandorten zusammen.<br />
Mit Ausnahme des Features Heimnetzgruppen können Sie die Standarde<strong>in</strong>stellung<br />
für jedes Feature <strong>in</strong> allen Netzwerkstandorten ändern. Sie f<strong>in</strong>den diese Konfigurationse<strong>in</strong>stellungen,<br />
<strong>in</strong>dem Sie im Startmenü den Begriff Erweiterte Freigabee<strong>in</strong>stellungen ver-
Grundlagen von Firewallprofilen 385<br />
walten e<strong>in</strong>geben oder die Seite Systemsteuerung\Netzwerk und Internet\Netzwerk- und Freigabecenter\Erweiterte<br />
Freigabee<strong>in</strong>stellungen ändern öffnen.<br />
Weitere Informationen<br />
Das Feature Netzwerkübersicht, das e<strong>in</strong>e Art Karte des LAN erstellt, ist standardmäßig nur<br />
<strong>in</strong> den Netzwerkstandorten Privat und Arbeitsplatz aktiviert. Wollen Sie das Feature auch im<br />
Netzwerkstandort Domäne verwenden, müssen Sie es mit Gruppenrichtl<strong>in</strong>ien aktivieren.<br />
Suchen Sie dazu <strong>in</strong> e<strong>in</strong>em Gruppenrichtl<strong>in</strong>ienobjekt den Knoten Computerkonfiguration\<br />
Richtl<strong>in</strong>ien\Adm<strong>in</strong>istrative Vorlagen\Netzwerk\Verb<strong>in</strong>dungsschicht-Topologieerkennung und<br />
konfigurieren Sie die Richtl<strong>in</strong>ien Treiber für die Zuordnungs-E/A (LLTDIO) aktivieren und<br />
Treiber für den Beantworter (RSPNDR) aktivieren so, dass der Betrieb <strong>in</strong> e<strong>in</strong>er Domäne<br />
möglich ist.<br />
Grundlagen von Firewallprofilen<br />
Netzwerkstandorte bilden die Basis für Firewallprofile, e<strong>in</strong>fache Sammlungen mit Firewallregeln.<br />
Die Firewallprofile werden den Netzwerkstandorten folgendermaßen zugeordnet:<br />
Domänenprofil Def<strong>in</strong>iert die Firewallregeln für Verb<strong>in</strong>dungen, die dem Netzwerkstandort<br />
Domäne zugewiesen s<strong>in</strong>d.<br />
Privates Profil Def<strong>in</strong>iert die Firewallregeln für Verb<strong>in</strong>dungen, die dem Netzwerkstandort<br />
Privat oder Arbeitsplatz zugewiesen s<strong>in</strong>d.<br />
Öffentliches Profil Def<strong>in</strong>iert die Firewallregeln für Verb<strong>in</strong>dungen, die dem Netzwerkstandort<br />
Öffentlich zugewiesen s<strong>in</strong>d.<br />
H<strong>in</strong>weis Nicht identifizierte Netzwerke<br />
Kann e<strong>in</strong>e Netzwerkverb<strong>in</strong>dung nicht identifiziert werden, sei es wegen e<strong>in</strong>es Netzwerkproblems<br />
oder weil brauchbare Merkmale fehlen, wird der Netzwerkstandorttyp auf Nicht<br />
identifiziert gesetzt. Als Firewallprofil wird <strong>in</strong> der Standarde<strong>in</strong>stellung Öffentliches Profil<br />
verwendet.<br />
Werden Computer nicht <strong>in</strong> e<strong>in</strong>er Domänenumgebung betrieben, können Sie mithilfe der<br />
Firewallprofile unterschiedliche Sicherheitsstufen für die unterschiedlichen Netzwerke e<strong>in</strong>stellen,<br />
mit denen Ihr Computer Verb<strong>in</strong>dungen herstellt. Beispielsweise kann e<strong>in</strong> Notebookbenutzer<br />
<strong>in</strong> e<strong>in</strong>em kle<strong>in</strong>en <strong>Unternehmen</strong> anderen Benutzern erlauben, Instant Messag<strong>in</strong>g-<br />
Kommunikation <strong>in</strong> den Netzwerkstandorten Privat und Arbeitsplatz e<strong>in</strong>zuleiten, aber nicht<br />
im Netzwerkstandort Öffentlich. Dazu erstellen Sie <strong>in</strong> der Konsole <strong>W<strong>in</strong>dows</strong>-Firewall mit<br />
erweiterter Sicherheit e<strong>in</strong>e e<strong>in</strong>gehende Zulassen-Regel für das Programm, die nur für das<br />
Firewallprofil Privates Profil gilt.<br />
Bei Computern, die Mitglieder e<strong>in</strong>er Domäne s<strong>in</strong>d, werden das Firewallprofil Domänenprofil<br />
und die zugehörigen Firewallregeln auf alle Netzwerkverb<strong>in</strong>dungen angewendet, sobald<br />
der Computer startet. Verwenden Angestellte <strong>in</strong> Ihrem <strong>Unternehmen</strong> tragbare Computer,<br />
werden die Firewalle<strong>in</strong>stellungen, die im Domänenprofil def<strong>in</strong>iert s<strong>in</strong>d, nach dem Start dieser<br />
Computer auf die Netzwerkverb<strong>in</strong>dungen angewendet, selbst wenn die Benutzer mit ihren<br />
Notebooks außerhalb des <strong>Unternehmen</strong>s unterwegs s<strong>in</strong>d.
386 Anhang A: Konfigurieren der <strong>W<strong>in</strong>dows</strong>-Firewall<br />
Erstellen e<strong>in</strong>gehender Ausnahmen<br />
Clientcomputer müssen zwar im Allgeme<strong>in</strong>en vor unerwünschten e<strong>in</strong>gehenden Verb<strong>in</strong>dungen<br />
geschützt werden, aber <strong>in</strong> e<strong>in</strong>er <strong>Unternehmen</strong>sumgebung müssen Clientcomputer auch<br />
oft e<strong>in</strong>gehenden Zugriff auf bestimmte Netzwerkprogramme oder Features erlauben. Zum<br />
Beispiel führen viele Büronetzwerke e<strong>in</strong>e Datensicherungssoftware aus, die zentral verwaltet<br />
wird. Damit die Netzwerkdatensicherungssoftware e<strong>in</strong>e Verb<strong>in</strong>dung zum Clientcomputer<br />
herstellen und se<strong>in</strong>e Daten auslesen kann, muss der Client den Zugriff auf diese Datensicherungsanwendung<br />
erlauben. Dasselbe gilt für Netzwerkverwaltungssoftware: Clients müssen<br />
oft e<strong>in</strong>em Remoteserver den Zugriff gestatten, damit e<strong>in</strong>e Anwendung, die auf dem Server<br />
läuft, Protokolldateien lesen und Fehler an die Adm<strong>in</strong>istratoren melden kann.<br />
Firewallausnahmen werden <strong>in</strong> der <strong>W<strong>in</strong>dows</strong>-Firewall meist automatisch erstellt, wenn Sie<br />
e<strong>in</strong> Clientfeature für e<strong>in</strong>e Anwendung <strong>in</strong>stallieren. Es gibt aber durchaus Gründe, Firewallausnahmen<br />
von Hand zu erstellen. Erstens haben manche Netzwerkanwendungen gar ke<strong>in</strong>e<br />
<strong>in</strong>stallierbaren Clientfeatures, daher müssen Sie e<strong>in</strong>e Ausnahme von Hand erstellen, um<br />
dieser Anwendung den Zugriff zu erlauben. Außerdem müssen Sie e<strong>in</strong>e Firewallausnahme<br />
von Hand erstellen, wenn die ursprüngliche Firewallausnahme für e<strong>in</strong> Netzwerkprogramm<br />
gelöscht wurde. Und schließlich können Sie e<strong>in</strong>e vorhandene Ausnahme von Hand ändern,<br />
um die Sicherheit zu verbessern. Wurde beispielsweise e<strong>in</strong>e Firewallausnahme für e<strong>in</strong>e<br />
Netzwerkdatensicherungsanwendung erstellt, kann es s<strong>in</strong>nvoll se<strong>in</strong>, diese Ausnahme so zu<br />
ändern, dass die Datensicherungsanwendung nur Zugriff erhält, wenn die Verb<strong>in</strong>dung vom<br />
Datensicherungsserver stammt.<br />
Abbildung A.7 Erstellen e<strong>in</strong>er e<strong>in</strong>fachen Firewallausnahme für e<strong>in</strong> Netzwerkprogramm<br />
oder -feature <strong>in</strong> der Systemsteuerung
Erstellen e<strong>in</strong>gehender Ausnahmen 387<br />
Gehen Sie folgendermaßen vor, um e<strong>in</strong>e e<strong>in</strong>fache Firewallausnahme für alle e<strong>in</strong>gehenden<br />
Verb<strong>in</strong>dungen e<strong>in</strong>es Netzwerkprogramms oder -features zu erstellen:<br />
1. Klicken Sie <strong>in</strong> der Systemsteuerung auf System und Sicherheit, dann auf <strong>W<strong>in</strong>dows</strong>-Firewall<br />
und schließlich auf E<strong>in</strong> Programm oder Feature durch die <strong>W<strong>in</strong>dows</strong>-Firewall zulassen<br />
(Abbildung A.7).<br />
Daraufh<strong>in</strong> öffnet sich die Seite Zugelassene Programme (Abbildung A.8).<br />
Abbildung A.8 E<strong>in</strong>gehenden Zugriff für Programme <strong>in</strong> der <strong>W<strong>in</strong>dows</strong>-Firewall zulassen<br />
Abbildung A.9 H<strong>in</strong>zufügen e<strong>in</strong>er Programmausnahme<br />
2. Klicken Sie auf E<strong>in</strong>stellungen ändern.
388 Anhang A: Konfigurieren der <strong>W<strong>in</strong>dows</strong>-Firewall<br />
3. Wenn das Programm, dem Sie e<strong>in</strong>gehenden Zugriff erlauben wollen, <strong>in</strong> der Liste Zugelassene<br />
Programme und Features aufgelistet ist, brauchen Sie nur das Kontrollkästchen<br />
für dieses Programm zu aktivieren. Stellen Sie sicher, dass Sie nur die Kontrollkästchen<br />
für die benötigten Profile aktivieren. Klicken Sie auf OK.<br />
4. Ist das Programm nicht aufgelistet, müssen Sie auf Anderes Programm zulassen klicken.<br />
Daraufh<strong>in</strong> wird das Dialogfeld Programm h<strong>in</strong>zufügen geöffnet (Abbildung A.9).<br />
5. Wählen Sie das gewünschte Programm aus der Liste aus, klicken Sie auf H<strong>in</strong>zufügen<br />
und dann auf OK.<br />
Auf diese Weise können Sie e<strong>in</strong>e e<strong>in</strong>fache e<strong>in</strong>gehende Ausnahme für e<strong>in</strong> Programm <strong>in</strong> der<br />
<strong>W<strong>in</strong>dows</strong>-Firewall erstellen. Wollen Sie irgende<strong>in</strong>en anderen Typ Firewallregel konfigurieren,<br />
etwa für e<strong>in</strong>e Ausnahme auf Basis der Quelladresse, müssen Sie <strong>in</strong> der Konsole <strong>W<strong>in</strong>dows</strong>-Firewall<br />
mit erweiterter Sicherheit arbeiten.<br />
Gehen Sie folgendermaßen vor, um e<strong>in</strong>e erweiterte Firewallregel zu def<strong>in</strong>ieren.<br />
1. Klicken Sie <strong>in</strong> der Systemsteuerung auf System und Sicherheit, dann auf <strong>W<strong>in</strong>dows</strong>-Firewall<br />
und schließlich auf Erweiterte E<strong>in</strong>stellungen. Die Konsole <strong>W<strong>in</strong>dows</strong>-Firewall mit<br />
erweiterter Sicherheit wird geöffnet.<br />
2. Klicken Sie <strong>in</strong> der Konsolenstruktur mit der rechten Maustaste auf E<strong>in</strong>gehende Regeln<br />
und wählen Sie den Befehl Neue Regel. Der Assistent für neue e<strong>in</strong>gehende Regel wird<br />
gestartet.<br />
3. Wählen Sie auf der Seite Regeltyp die Option Benutzerdef<strong>in</strong>iert aus und klicken Sie auf<br />
Weiter.<br />
4. Legen Sie auf der Seite Programm fest, für welches Programm oder welchen Dienst die<br />
Regel gelten soll, und klicken Sie auf Weiter.<br />
5. Def<strong>in</strong>ieren Sie auf der Seite Protokoll und Ports die Komb<strong>in</strong>ation aus Protokolltyp,<br />
Protokollnummer, lokalen Ports, Remoteports und ICMP-Typ (Internet Control Message<br />
Protocol), für die Ihre Regel gelten soll. Klicken Sie auf Weiter.<br />
6. Tragen Sie auf der Seite Bereich die lokalen und Remote-IP-Adressen e<strong>in</strong>, für die Ihre<br />
Regel gelten soll, und klicken Sie auf Weiter.<br />
7. Wählen Sie auf der Seite Aktion aus, ob die Regel die angegebene Verb<strong>in</strong>dung zulassen,<br />
die angegebene Verb<strong>in</strong>dung blockieren oder die Verb<strong>in</strong>dung nur zulassen soll, wenn sie<br />
mit IPSec geschützt ist. Klicken Sie auf Weiter.<br />
8. Wählen Sie auf der Seite Profil aus, für welche Firewallprofile die Regel gelten soll, und<br />
klicken Sie auf Weiter.<br />
9. Tragen Sie auf der Seite Name e<strong>in</strong>en Namen für die Firewallregel e<strong>in</strong> und klicken Sie<br />
auf Fertig stellen.<br />
Erstellen e<strong>in</strong>gehender Ausnahmen <strong>in</strong> Gruppenrichtl<strong>in</strong>ien<br />
Sie können e<strong>in</strong>e e<strong>in</strong>gehende Zulassen-Regel <strong>in</strong> e<strong>in</strong>em Gruppenrichtl<strong>in</strong>ienobjekt erstellen, die<br />
für alle Computer gilt, auf die das Gruppenrichtl<strong>in</strong>ienobjekt angewendet wird. E<strong>in</strong>e solche<br />
Zulassen-Regel wird erzwungen. Sie kann nicht mithilfe lokaler E<strong>in</strong>stellungen gelöscht oder<br />
deaktiviert werden. Öffnen Sie dazu e<strong>in</strong> Gruppenrichtl<strong>in</strong>ienobjekt auf e<strong>in</strong>em Server, der<br />
unter <strong>W<strong>in</strong>dows</strong> Server 2008 läuft, und öffnen Sie den Knoten Computerkonfiguration\Richt-
Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewall 389<br />
l<strong>in</strong>ien\<strong>W<strong>in</strong>dows</strong>-E<strong>in</strong>stellungen\Sicherheitse<strong>in</strong>stellungen\<strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter<br />
Sicherheit\<strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit\E<strong>in</strong>gehende Regeln. Klicken Sie mit<br />
der rechten Maustaste auf den Knoten E<strong>in</strong>gehende Regeln und wählen Sie im Kontextmenü<br />
den Befehl Neue Regel (Abbildung A.10). Daraufh<strong>in</strong> öffnet sich derselbe Assistent für neue<br />
e<strong>in</strong>gehende Regel, der <strong>in</strong> der letzten Anleitung beschrieben wurde. Beachten Sie, dass Sie<br />
diese Konfiguration auch <strong>in</strong> der lokalen Sicherheitsrichtl<strong>in</strong>ie vornehmen können; auf diese<br />
Weise können Sie e<strong>in</strong>e Firewallregel auf e<strong>in</strong>em e<strong>in</strong>zelnen Clientcomputer erzw<strong>in</strong>gen.<br />
Abbildung A.10 Erstellen e<strong>in</strong>er e<strong>in</strong>gehenden Firewallregel <strong>in</strong> e<strong>in</strong>em Gruppenrichtl<strong>in</strong>ienobjekt<br />
Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewall<br />
Verhält sich die <strong>W<strong>in</strong>dows</strong>-Firewall nicht wie erwartet, sollten Sie die Konfigurationse<strong>in</strong>stellungen<br />
<strong>in</strong> der Systemsteuerung, <strong>in</strong> der Konsole <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit<br />
und <strong>in</strong> den Gruppenrichtl<strong>in</strong>ien überprüfen. Außerdem sollten Sie die <strong>W<strong>in</strong>dows</strong>-Firewall-Protokolle<br />
(die erst aktiviert werden müssen) und die <strong>W<strong>in</strong>dows</strong>-Ereignisprotokolle untersuchen.<br />
Die folgenden Abschnitte beschreiben diese grundlegenden Problembehandlungsschritte.<br />
Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewalle<strong>in</strong>stellungen<br />
<strong>in</strong> der Systemsteuerung<br />
Bei e<strong>in</strong>er Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewall sollten Sie erst e<strong>in</strong>mal <strong>in</strong> der Systemsteuerung<br />
prüfen, ob die Firewall e<strong>in</strong>geschaltet ist. Stellen Sie dann fest, ob die Firewall<br />
so konfiguriert ist, dass sie Ausnahmen erlaubt.<br />
Falls die Firewall ausgeschaltet ist, zeigt die Seite <strong>W<strong>in</strong>dows</strong>-Firewall <strong>in</strong> der Systemsteuerung<br />
e<strong>in</strong> rotes Schildsymbol an, und der Status der <strong>W<strong>in</strong>dows</strong>-Firewall wird als Aus angezeigt<br />
(Abbildung A.11).
390 Anhang A: Konfigurieren der <strong>W<strong>in</strong>dows</strong>-Firewall<br />
Abbildung A.11 Ist die <strong>W<strong>in</strong>dows</strong>-Firewall ausgeschaltet, wird e<strong>in</strong><br />
rotes Schildsymbol angezeigt<br />
Wenn die <strong>W<strong>in</strong>dows</strong>-Firewall e<strong>in</strong>geschaltet und so konfiguriert ist, dass sie ke<strong>in</strong>e Ausnahmen<br />
erlaubt, zeigt die Seite <strong>W<strong>in</strong>dows</strong>-Firewall e<strong>in</strong> »Verboten«-Symbol an (e<strong>in</strong> roter Kreis mit<br />
Schrägstrich), wie <strong>in</strong> Abbildung A.12 zu sehen.<br />
Abbildung A.12 Wenn Ausnahmen nicht funktionieren, s<strong>in</strong>d sie<br />
möglicherweise deaktiviert
Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewall 391<br />
Klicken Sie auf <strong>W<strong>in</strong>dows</strong>-Firewall e<strong>in</strong>- oder ausschalten, um entweder Firewallausnahmen<br />
oder die Firewall selbst zu aktivieren oder zu deaktivieren. Daraufh<strong>in</strong> öffnet sich die Seite<br />
E<strong>in</strong>stellungen für die e<strong>in</strong>zelnen Netzwerktypen anpassen (Abbildung A.13).<br />
Abbildung A.13 Prüfen Sie bei e<strong>in</strong>er Problembehandlung<br />
die <strong>W<strong>in</strong>dows</strong>-Firewalle<strong>in</strong>stellungen<br />
Auf dieser Seite konfigurieren Sie für jeden Netzwerkstandort jeweils drei E<strong>in</strong>stellungen:<br />
<strong>W<strong>in</strong>dows</strong>-Firewall e<strong>in</strong>- oder ausschalten<br />
Alle e<strong>in</strong>gehenden Verb<strong>in</strong>dungen blockieren, e<strong>in</strong>schließlich der <strong>in</strong> der Liste der zugelassenen<br />
Programme<br />
Aktivieren oder Deaktivieren der Benachrichtigungsmeldungen, die angezeigt werden,<br />
wenn e<strong>in</strong> e<strong>in</strong>gehendes Programm blockiert wird<br />
H<strong>in</strong>weis Problembehandlung für die Benachrichtigungsmeldungen der <strong>W<strong>in</strong>dows</strong>-Firewall<br />
Beg<strong>in</strong>nen Sie auf der Seite E<strong>in</strong>stellungen für die e<strong>in</strong>zelnen Netzwerktypen anpassen der Systemsteuerung,<br />
wenn Sie Probleme mit den Benachrichtigungsmeldungen für die <strong>W<strong>in</strong>dows</strong>-<br />
Firewall behandeln.<br />
Problembehandlung für zugelassene Programme<br />
Wenn das untersuchte Problem nicht beseitigt wird, nachdem Sie diese Konfigurationse<strong>in</strong>stellungen<br />
für die <strong>W<strong>in</strong>dows</strong>-Firewall überprüft haben, sollten Sie sich <strong>in</strong> der Systemsteuerung<br />
die Liste der zugelassenen Programme (Ausnahmen) ansehen, die Sie def<strong>in</strong>iert haben.<br />
Stellen Sie sicher, dass die richtigen (und nur diese) vorhanden und aktiviert s<strong>in</strong>d.<br />
E<strong>in</strong>es der häufigsten Probleme, mit denen Adm<strong>in</strong>istratoren bei neuen Installationen von<br />
<strong>W<strong>in</strong>dows</strong> zu kämpfen haben, besteht dar<strong>in</strong>, dass <strong>W<strong>in</strong>dows</strong>-Clients <strong>in</strong> der Standarde<strong>in</strong>stellung<br />
nicht auf P<strong>in</strong>g-Nachrichten (ICMP Echo Request) antworten. Sie können dieses Problem
392 Anhang A: Konfigurieren der <strong>W<strong>in</strong>dows</strong>-Firewall<br />
zwar dadurch beseitigen, dass Sie e<strong>in</strong>e Zulassen-Regel für ICMP-Echo-Requests <strong>in</strong> der<br />
Konsole <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit erstellen, aber Sie können auch veranlassen,<br />
dass e<strong>in</strong> Client auf P<strong>in</strong>g-Anforderungen reagiert, <strong>in</strong>dem Sie e<strong>in</strong>fach e<strong>in</strong>e Ausnahme<br />
für die Datei- und Druckerfreigabe <strong>in</strong> der Systemsteuerung aktivieren.<br />
Problembehandlung <strong>in</strong> der Konsole <strong>W<strong>in</strong>dows</strong>-Firewall<br />
mit erweiterter Sicherheit<br />
Weil die Konsole <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit das zentrale Konfigurationstool<br />
für die <strong>W<strong>in</strong>dows</strong>-Firewall ist, nimmt sie auch e<strong>in</strong>e wichtige Rolle bei der Problembehandlung<br />
e<strong>in</strong>. Sie können <strong>in</strong> der Konsole <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit verschiedene<br />
Problembehandlungsaufgaben ausführen, zum Beispiel die Firewallkonfiguration<br />
im Knoten Überwachung überprüfen, die <strong>in</strong> den Firewalleigenschaften konfigurierten E<strong>in</strong>stellungen<br />
ansehen, alle lokal def<strong>in</strong>ierten Firewallregeln prüfen und Verb<strong>in</strong>dungssicherheitsregeln<br />
testen.<br />
H<strong>in</strong>weis Verb<strong>in</strong>dungssicherheitsregeln<br />
Verb<strong>in</strong>dungssicherheitsregeln werden benutzt, um IPSec-Sicherheitsanforderungen auf<br />
e<strong>in</strong>gehende und ausgehende Verb<strong>in</strong>dungen anzuwenden.<br />
Prüfen der Firewallkonfiguration im Knoten Überwachung<br />
Im Knoten Überwachung <strong>in</strong> der Konsole <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit<br />
(Abbildung A.14) können Sie die Firewallkonfiguration überprüfen. Vor allem haben Sie im<br />
Knoten Überwachung auf folgende Informationen Zugriff:<br />
Aktives Profil<br />
Firewallstatus<br />
Allgeme<strong>in</strong>e E<strong>in</strong>stellungen (darunter Benachrichtigungse<strong>in</strong>stellungen)<br />
Protokollierungse<strong>in</strong>stellungen<br />
Aktive (aktivierte) Firewallregeln auf dem Computer<br />
Aktive Verb<strong>in</strong>dungssicherheitsregeln auf dem Computer und detaillierte Informationen<br />
zu ihren E<strong>in</strong>stellungen<br />
Aktive Sicherheitszuordnungen für IPSec-Verb<strong>in</strong>dungen<br />
Weitere Informationen Arbeiten mit der Konsole <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit<br />
Ausführliche Informationen, wie Sie die Konsole <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit<br />
für die Überwachung nutzen, f<strong>in</strong>den Sie unter http://technet.microsoft.com/en-us/<br />
library/dd421717(WS.10).aspx.
Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewall 393<br />
Abbildung A.14 Der Knoten Überwachung <strong>in</strong> der Konsole <strong>W<strong>in</strong>dows</strong>-Firewall<br />
mit erweiterter Sicherheit<br />
Abbildung A.15 Öffnen der <strong>W<strong>in</strong>dows</strong>-Firewalleigenschaften
394 Anhang A: Konfigurieren der <strong>W<strong>in</strong>dows</strong>-Firewall<br />
Überprüfen der <strong>W<strong>in</strong>dows</strong>-Firewalleigenschaften<br />
Die <strong>W<strong>in</strong>dows</strong>-Firewalleigenschaften s<strong>in</strong>d die E<strong>in</strong>stellungen, die <strong>in</strong> den Eigenschaften des<br />
Stammknotens <strong>in</strong> der Konsolenstruktur von <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit<br />
(also dem Knoten namens <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit) konfiguriert s<strong>in</strong>d.<br />
Sie können die <strong>W<strong>in</strong>dows</strong>-Firewalleigenschaften auch öffnen, <strong>in</strong>dem Sie den Stammknoten<br />
auswählen und dann im mittleren Fensterabschnitt auf <strong>W<strong>in</strong>dows</strong>-Firewalleigenschaften<br />
klicken (Abbildung A.15).<br />
Diese E<strong>in</strong>stellungen steuern folgende Verhaltensweisen für die Profile Domänenprofil,<br />
Privates Profil und Öffentliches Profil:<br />
Ob e<strong>in</strong>gehende oder ausgehende Verb<strong>in</strong>dungen generell blockiert werden<br />
Ob e<strong>in</strong>e Benachrichtigung angezeigt wird, wenn e<strong>in</strong> e<strong>in</strong>gehendes Netzwerkprogramm<br />
blockiert wird<br />
Ob der lokale Computer Unicast-Antworten auf Broadcast- oder Multicast-Nachrichten<br />
erlaubt, die er im Netzwerk sendet<br />
Ob erfolgreiche Verb<strong>in</strong>dungen protokolliert werden<br />
Ob verworfene Pakete protokolliert werden<br />
Prüfen Sie diese E<strong>in</strong>stellungen, wenn Sie e<strong>in</strong>e Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewall<br />
durchführen.<br />
Überprüfen von Firewallregeln<br />
Wenn Sie e<strong>in</strong> Problem mit der <strong>W<strong>in</strong>dows</strong>-Firewall untersuchen, müssen Sie <strong>in</strong> der Konsole<br />
<strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit oft alle konfigurierten Firewallregeln prüfen,<br />
sowohl aktive als auch <strong>in</strong>aktive. Verwenden Sie dazu die Knoten E<strong>in</strong>gehende Regeln und<br />
Ausgehende Regeln. In diesen Knoten werden alle Regeln aufgelistet, die auf dem System<br />
erstellt wurden. Dazu gehören sogar die Regeln, die Sie als zugelassene Programme (Ausnahmen)<br />
<strong>in</strong> der Systemsteuerung konfiguriert haben.<br />
Wenn Sie beispielsweise herausf<strong>in</strong>den, dass e<strong>in</strong> Netzwerkprogramm nicht mit dem lokalen<br />
Computer kommunizieren kann, sollten Sie folgende Punkte überprüfen, <strong>in</strong>dem Sie die Firewallregeln<br />
untersuchen:<br />
Überprüfen Sie, ob e<strong>in</strong>e e<strong>in</strong>gehende Zulassen-Regel für dieses Programm im aktiven<br />
Firewallprofil konfiguriert ist.<br />
Prüfen Sie, sofern e<strong>in</strong>e solche Regel vorhanden ist, ob die Regel selbst aktiv ist. (Aktive<br />
Regeln s<strong>in</strong>d mit e<strong>in</strong>em grünen Häkchen markiert, <strong>in</strong>aktive Regeln mit e<strong>in</strong>em grauen<br />
Symbol.)<br />
Ist die Regel <strong>in</strong>aktiv, obwohl sie Ihrer Me<strong>in</strong>ung nach aktiv se<strong>in</strong> sollte, müssen Sie die<br />
Eigenschaften der Regel prüfen und sicherstellen, dass Sie den Verkehr für die Regel<br />
richtig def<strong>in</strong>iert haben.<br />
Wenn die gewünschte e<strong>in</strong>gehende Zulassen-Regel aktiv ist, sollten Sie prüfen, ob<br />
ke<strong>in</strong>e anderen Regeln, zum Beispiel e<strong>in</strong>gehende Verweigern-Regeln, die erwartete<br />
Funktion verh<strong>in</strong>dern. Verweigern-Regeln haben Vorrang vor Zulassen-Regeln.<br />
Wenn noch ke<strong>in</strong>e Zulassen-Regel für das Programm vorhanden ist, müssen Sie e<strong>in</strong>e neue<br />
Regel für das Programm erstellen.
Überprüfen von Verb<strong>in</strong>dungssicherheitsregeln<br />
Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewall 395<br />
Verb<strong>in</strong>dungssicherheitsregeln erzw<strong>in</strong>gen die IPSec-Authentifizierung bei den angegebenen<br />
Verb<strong>in</strong>dungen. Wenn e<strong>in</strong>e Verb<strong>in</strong>dungssicherheitsregel Sicherheit fordert, kann sie Verkehr<br />
von e<strong>in</strong>em Programm blockieren, sogar wenn Firewallregeln diesen Verkehr zulassen. Beispielsweise<br />
könnte e<strong>in</strong>e aktive Verb<strong>in</strong>dungssicherheitsregel erzw<strong>in</strong>gen, dass jeglicher e<strong>in</strong>gehender<br />
Verkehr authentifiziert wird. In diesem Fall wird Verkehr von e<strong>in</strong>er Netzwerkquelle,<br />
die nicht authentifiziert werden kann, e<strong>in</strong>fach verworfen. Das ist sogar dann der Fall,<br />
wenn Sie e<strong>in</strong>e Zulassen-Regel für genau diesen Verkehr erstellt haben.<br />
Aus diesem Grund müssen Sie Verb<strong>in</strong>dungssicherheitsregeln prüfen, wenn Sie e<strong>in</strong>e Problembehandlung<br />
für die <strong>W<strong>in</strong>dows</strong>-Firewall durchführen. Wenn Sie Verkehr von e<strong>in</strong>er Remotequelle<br />
zulassen wollen, die nicht authentifiziert werden kann, müssen Sie e<strong>in</strong>e Ausnahme für<br />
diese Remotequelle konfigurieren. Stattdessen können Sie auch die Verb<strong>in</strong>dungssicherheitsregeln<br />
so anpassen, dass sie e<strong>in</strong>e Authentifizierung nur anfordern, aber nicht erzw<strong>in</strong>gen.<br />
Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewall mit Gruppenrichtl<strong>in</strong>ien<br />
Wenn Sie e<strong>in</strong>e Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewall durchführen, sollten Sie die<br />
Gruppenrichtl<strong>in</strong>ien und Richtl<strong>in</strong>ien für den lokalen Computer (<strong>in</strong>klusive denen <strong>in</strong> der lokalen<br />
Sicherheitsrichtl<strong>in</strong>ie) prüfen, weil diese E<strong>in</strong>stellungen Auswirkungen auf die <strong>W<strong>in</strong>dows</strong>-Firewallkonfiguration<br />
haben können.<br />
In den Gruppenrichtl<strong>in</strong>ien jedes Gruppenrichtl<strong>in</strong>ienobjekts gibt es zwei Stellen, an denen Sie<br />
die <strong>W<strong>in</strong>dows</strong>-Firewall konfigurieren. Wie bereits weiter oben <strong>in</strong> diesem Anhang erwähnt,<br />
enthält jedes Gruppenrichtl<strong>in</strong>ienobjekt den Knoten <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit<br />
unter Computerkonfiguration\Richtl<strong>in</strong>ien\<strong>W<strong>in</strong>dows</strong>-E<strong>in</strong>stellungen\Sicherheitse<strong>in</strong>stellungen.<br />
In diesem Knoten e<strong>in</strong>es Gruppenrichtl<strong>in</strong>ienobjekts def<strong>in</strong>ieren Sie Firewallregeln, die<br />
automatisch auf allen Computern erstellt werden, die unter <strong>W<strong>in</strong>dows</strong> Vista oder neuer laufen<br />
und auf die diese Richtl<strong>in</strong>ie angewendet wird. Die zweite Stelle <strong>in</strong> e<strong>in</strong>em Gruppenrichtl<strong>in</strong>ienobjekt,<br />
an der Sie <strong>W<strong>in</strong>dows</strong>-Firewalle<strong>in</strong>stellungen konfigurieren, ist Computerkonfiguration\<br />
Richtl<strong>in</strong>ien\Adm<strong>in</strong>istrative Vorlagen\Netzwerk\Netzwerkverb<strong>in</strong>dungen\<strong>W<strong>in</strong>dows</strong>-Firewall.<br />
Abbildung A.16 zeigt diesen Knoten.<br />
Abbildung A.16 <strong>W<strong>in</strong>dows</strong>-Firewalle<strong>in</strong>stellungen <strong>in</strong> Gruppenrichtl<strong>in</strong>ien
396 Anhang A: Konfigurieren der <strong>W<strong>in</strong>dows</strong>-Firewall<br />
Über den Zweig Adm<strong>in</strong>istrative Vorlagen e<strong>in</strong>es Gruppenrichtl<strong>in</strong>ienobjekts können Sie<br />
folgende <strong>W<strong>in</strong>dows</strong>-Firewall-Richtl<strong>in</strong>iene<strong>in</strong>stellungen konfigurieren:<br />
<strong>W<strong>in</strong>dows</strong>-Firewall: Authentifizierte IPSec-Umgehung zulassen Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung<br />
liegt im Unterschied zu den anderen E<strong>in</strong>stellungen <strong>in</strong> dieser Liste direkt im<br />
Ordner <strong>W<strong>in</strong>dows</strong>-Firewall unterhalb von Adm<strong>in</strong>istrative Vorlagen. Mit dieser Richtl<strong>in</strong>iene<strong>in</strong>stellung<br />
können die ausgewählten Computer die lokale <strong>W<strong>in</strong>dows</strong>-Firewall umgehen,<br />
sofern sie sich mit IPSec authentifizieren.<br />
<strong>W<strong>in</strong>dows</strong>-Firewall: Ausnahmen für lokale Programme zulassen Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung<br />
erlaubt Adm<strong>in</strong>istratoren, über die Systemsteuerung e<strong>in</strong>e lokale Programmausnahmenliste<br />
zu def<strong>in</strong>ieren. Ist diese Richtl<strong>in</strong>iene<strong>in</strong>stellung deaktiviert, verh<strong>in</strong>dert sie,<br />
dass Adm<strong>in</strong>istratoren <strong>W<strong>in</strong>dows</strong>-Firewallausnahmen <strong>in</strong> der Systemsteuerung erstellen.<br />
Wenn es e<strong>in</strong>em Adm<strong>in</strong>istrator nicht möglich ist, Programmausnahmen zu erstellen, sollten<br />
Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung überprüfen.<br />
<strong>W<strong>in</strong>dows</strong>-Firewall: E<strong>in</strong>gehende Programmausnahmen festlegen Erlaubt Ihnen,<br />
Firewallausnahmen für e<strong>in</strong>e festgelegte Liste von Programmen zu def<strong>in</strong>ieren. Diese Programme<br />
werden dann auf allen Computern, auf die diese Richtl<strong>in</strong>ie angewendet wird, als<br />
zugelassene Programme <strong>in</strong> der <strong>W<strong>in</strong>dows</strong>-Firewall def<strong>in</strong>iert. Wenn Sie diese Richtl<strong>in</strong>ie<br />
deaktivieren, wird die Programmausnahmenliste gelöscht, die Sie <strong>in</strong> dieser Richtl<strong>in</strong>iene<strong>in</strong>stellung<br />
def<strong>in</strong>iert haben.<br />
<strong>W<strong>in</strong>dows</strong>-Firewall: Alle Netzwerkverb<strong>in</strong>dungen schützen Diese E<strong>in</strong>stellung erlaubt<br />
Ihnen, die <strong>W<strong>in</strong>dows</strong>-Firewall e<strong>in</strong>- oder auszuschalten.<br />
<strong>W<strong>in</strong>dows</strong>-Firewall: Ke<strong>in</strong>e Ausnahmen zulassen Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung<br />
aktivieren, werden alle Ausnahmen ignoriert, die Sie <strong>in</strong> der Systemsteuerung def<strong>in</strong>ieren.<br />
<strong>W<strong>in</strong>dows</strong>-Firewall: E<strong>in</strong>gehende Ausnahme für Datei- und Druckerfreigabe zulassen<br />
Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung aktivieren, öffnet die <strong>W<strong>in</strong>dows</strong>-Firewall<br />
diese Ports, sodass der Computer Druckaufträge und Anforderungen für den Zugriff auf<br />
freigegebene Dateien empfangen kann. Beachten Sie, dass Clients auch P<strong>in</strong>g-Nachrichten<br />
(ICMP Echo Request) empfangen und beantworten, wenn die Datei- und Druckerfreigabe<br />
aktiviert ist.<br />
<strong>W<strong>in</strong>dows</strong>-Firewall: ICMP-Ausnahmen zulassen Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung erlaubt<br />
Ihnen zu def<strong>in</strong>ieren, welche ICMP-Nachrichtentypen die <strong>W<strong>in</strong>dows</strong>-Firewall erlaubt.<br />
<strong>W<strong>in</strong>dows</strong>-Firewall: Protokollierung zulassen Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung erlaubt es<br />
der <strong>W<strong>in</strong>dows</strong>-Firewall, Informationen über unverlangt e<strong>in</strong>gehende Nachrichten aufzuzeichnen,<br />
sobald sie empfangen wurden. Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung aktivieren,<br />
schreibt die <strong>W<strong>in</strong>dows</strong>-Firewall Informationen <strong>in</strong> e<strong>in</strong>e Protokolldatei.<br />
<strong>W<strong>in</strong>dows</strong>-Firewall: Benachrichtigungen nicht zulassen Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung<br />
verh<strong>in</strong>dert, dass die <strong>W<strong>in</strong>dows</strong>-Firewall dem Benutzer Benachrichtigungen anzeigt, wenn<br />
e<strong>in</strong> Programm anfordert, dass die <strong>W<strong>in</strong>dows</strong>-Firewall das Programm <strong>in</strong> die Programmausnahmenliste<br />
aufnimmt.<br />
<strong>W<strong>in</strong>dows</strong>-Firewall: Ausnahmen für lokale Ports zulassen Erlaubt Adm<strong>in</strong>istratoren,<br />
die Portausnahmenliste zu aktivieren oder zu deaktivieren. Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung<br />
deaktivieren, werden Portausnahmen ignoriert.
Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewall 397<br />
<strong>W<strong>in</strong>dows</strong>-Firewall: E<strong>in</strong>gehende Remoteverwaltungsausnahme zulassen Diese<br />
Richtl<strong>in</strong>iene<strong>in</strong>stellung erlaubt die Remoteadm<strong>in</strong>istration des lokalen Computers mithilfe<br />
von Verwaltungstools wie der Microsoft Management Console (MMC) und der <strong>W<strong>in</strong>dows</strong><br />
Management Instrumentation (WMI).<br />
<strong>W<strong>in</strong>dows</strong>-Firewall: E<strong>in</strong>gehende Remotedesktopausnahmen zulassen Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung<br />
erlaubt dem Computer, e<strong>in</strong>gehende Remotedesktopanforderungen (über<br />
TCP-Port 3389) zu empfangen. Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung deaktivieren, blockiert<br />
die <strong>W<strong>in</strong>dows</strong>-Firewall diesen Port. Das verh<strong>in</strong>dert, dass der Computer Remotedesktopanforderungen<br />
empfängt.<br />
<strong>W<strong>in</strong>dows</strong>-Firewall: Unicastantwort auf Multicast- oder Broadcastanforderungen<br />
nicht zulassen Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung verh<strong>in</strong>dert, dass der lokale Computer Unicastantworten<br />
auf se<strong>in</strong>e ausgehenden Multicast- oder Broadcastnachrichten empfängt.<br />
(Diese Richtl<strong>in</strong>ie hat ke<strong>in</strong>e Auswirkungen auf DHCP.)<br />
<strong>W<strong>in</strong>dows</strong>-Firewall: E<strong>in</strong>gehende UPnP-Framework-Ausnahmen zulassen Diese<br />
Richtl<strong>in</strong>iene<strong>in</strong>stellung erlaubt dem lokalen Computer, unangeforderte e<strong>in</strong>gehende UPnP-<br />
Nachrichten (Universal Plug & Play) zu empfangen, die von Netzwerkgeräten, beispielsweise<br />
Routern mit e<strong>in</strong>gebauter Firewall, gesendet werden.<br />
Schnelltest<br />
Welche Richtl<strong>in</strong>iene<strong>in</strong>stellung müssen Sie aktivieren, damit Remoteadm<strong>in</strong>istratoren<br />
Clientcomputer über e<strong>in</strong>e MMC verwalten können?<br />
Antwort zum Schnelltest<br />
<strong>W<strong>in</strong>dows</strong>-Firewall: E<strong>in</strong>gehende Remoteverwaltungsausnahme zulassen<br />
Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewall mithilfe der Firewallprotokolle<br />
Die Protokollierung der <strong>W<strong>in</strong>dows</strong>-Firewall ist <strong>in</strong> der Standarde<strong>in</strong>stellung nicht aktiviert.<br />
Wenn Sie e<strong>in</strong> Firewallproblem untersuchen, das Sie nicht beseitigen können, oder sich <strong>in</strong><br />
Zukunft die Möglichkeit e<strong>in</strong>er Problembehandlung mithilfe der Firewallprotokolle offen<br />
halten wollen, sollten Sie die Protokollierung aktivieren.<br />
Um die Protokollierung für die <strong>W<strong>in</strong>dows</strong>-Firewall auf Clientcomputer im Netzwerk zu<br />
aktivieren, sollten Sie e<strong>in</strong> Gruppenrichtl<strong>in</strong>ienobjekt benutzen, das die Richtl<strong>in</strong>iene<strong>in</strong>stellung<br />
Protokollierung zulassen aktiviert, wie im letzten Abschnitt beschrieben. Wenn Sie die <strong>W<strong>in</strong>dows</strong>-Firewallprotokollierung<br />
auf e<strong>in</strong>em e<strong>in</strong>zelnen Computer aktivieren wollen, können Sie<br />
die <strong>W<strong>in</strong>dows</strong>-Firewalleigenschaften öffnen und dann im Abschnitt Protokollierung auf Anpassen<br />
klicken (Abbildung A.17).<br />
Darauf öffnet sich das Dialogfeld Protokollierungse<strong>in</strong>stellungen anpassen (Abbildung A.18).<br />
Hier stellen Sie folgende Eigenschaften e<strong>in</strong>:<br />
Wo die Protokolldatei erstellt wird und wie groß sie werden darf<br />
Ob die Protokolldatei Informationen über verworfene Pakete, erfolgreiche Verb<strong>in</strong>dungen<br />
oder beides aufzeichnet
398 Anhang A: Konfigurieren der <strong>W<strong>in</strong>dows</strong>-Firewall<br />
Abbildung A.17 Sie aktivieren die <strong>W<strong>in</strong>dows</strong>-Firewallprotokollierung<br />
im Eigenschaftendialogfeld des Stammknotens der Konsole <strong>W<strong>in</strong>dows</strong>-<br />
Firewall mit erweiterter Sicherheit<br />
Abbildung A.18 Aktivieren der Protokollierung für<br />
verworfene Pakete und erfolgreiche Verb<strong>in</strong>dungen<br />
Wenn Sie erfolgreiche Verb<strong>in</strong>dungen protokollieren, müssen Sie sicherstellen, dass Sie<br />
reichlich Speicherplatz frei haben. Sofern Sie den Standardspeicherort des Protokolls verschieben<br />
müssen, damit genug freier Speicherplatz zur Verfügung steht, müssen Sie dem<br />
Dienstkonto der <strong>W<strong>in</strong>dows</strong>-Firewall Schreibberechtigungen für den Ordner gewähren, <strong>in</strong> dem<br />
sich die Datei bef<strong>in</strong>det.<br />
Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewall mithilfe von Ereignisprotokollen<br />
Sie können auch die <strong>W<strong>in</strong>dows</strong>-Ereignisprotokolle benutzen, um die <strong>W<strong>in</strong>dows</strong>-Firewall und<br />
die IPsec-Aktivitäten zu überwachen und eventuelle Probleme zu beseitigen. Die Ereignisprotokolle<br />
für die <strong>W<strong>in</strong>dows</strong>-Firewall bef<strong>in</strong>den sich im folgenden Zweig der Ereignisanzeige:<br />
Anwendungs- und Dienstprotokolle\Microsoft\<strong>W<strong>in</strong>dows</strong>\<strong>W<strong>in</strong>dows</strong> Firewall With Advanced<br />
Security
Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewall 399<br />
Wie <strong>in</strong> Abbildung A.19 zu sehen, gibt es vier Ereignisprotokolle, die Sie für die Überwachung<br />
und Problembehandlung der <strong>W<strong>in</strong>dows</strong>-Firewall auswerten können:<br />
ConnectionSecurity<br />
ConnectionSecurityVerbose<br />
Firewall<br />
FirewallVerbose<br />
Die zwei »Verbose«-Protokolle s<strong>in</strong>d <strong>in</strong> der Standarde<strong>in</strong>stellung deaktiviert, weil dar<strong>in</strong> sehr<br />
umfangreiche Daten aufgezeichnet werden. Sie können diese Protokolle bei Bedarf aktivieren,<br />
<strong>in</strong>dem Sie sie mit der rechten Maustaste anklicken und den Befehl Protokoll aktivieren<br />
wählen.<br />
Abbildung A.19 Anzeigen der Ereignisprotokolle für die <strong>W<strong>in</strong>dows</strong>-Firewall<br />
Übung Erstellen von Ausnahmen für die <strong>W<strong>in</strong>dows</strong>-Firewall<br />
In dieser Übung vergleichen Sie zwei Methoden, um <strong>W<strong>in</strong>dows</strong>-Firewallausnahmen zu<br />
erstellen: mit der Systemsteuerung und <strong>in</strong> der lokalen Sicherheitsrichtl<strong>in</strong>ie. Für diese Übung<br />
brauchen Sie e<strong>in</strong>e Domäne mit zwei Computern, dem Domänencontroller DC1, der unter<br />
<strong>W<strong>in</strong>dows</strong> Server 2008 R2 läuft, und dem <strong>W<strong>in</strong>dows</strong> 7-Client CLIENT1.<br />
Übung 1 Erstellen e<strong>in</strong>er Programmausnahme für die Datei- und Druckerfreigabe<br />
In dieser Übung versuchen Sie, den Clientcomputer vom Server aus mit P<strong>in</strong>g zu erreichen.<br />
Anschließend erstellen Sie e<strong>in</strong>e Firewallausnahme für die Datei- und Druckerfreigabe,<br />
wiederholen den P<strong>in</strong>g-Test und stellen schließlich die Standardkonfiguration wieder her.
400 Anhang A: Konfigurieren der <strong>W<strong>in</strong>dows</strong>-Firewall<br />
H<strong>in</strong>weis Erstellen Sie die Ausnahme nur, wenn e<strong>in</strong> Client die Datei- und Druckerfreigabe<br />
braucht<br />
Es ist nützlich zu wissen, dass mit dem Erstellen e<strong>in</strong>er Ausnahme für die Datei- und<br />
Druckerfreigabe auch e<strong>in</strong>e Ausnahme für P<strong>in</strong>g e<strong>in</strong>gerichtet wird. Sie sollten diese Methode<br />
aber nicht nutzen, nur um P<strong>in</strong>g zu aktivieren, wenn der Client nicht wirklich die Datei- und<br />
Druckerfreigabe braucht. Das würde die Sicherheit des Clientsystems unnötig gefährden.<br />
Wenn Sie lediglich möchten, dass e<strong>in</strong> Client, der ke<strong>in</strong>e Datei- und Druckerfreigabe braucht,<br />
auf P<strong>in</strong>g-Anforderungen antwortet, sollten Sie <strong>in</strong> der Konsole <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter<br />
Sicherheit e<strong>in</strong>e e<strong>in</strong>gehende Zulassen-Regel für ICMP-Echo-Requests e<strong>in</strong>richten,<br />
wie <strong>in</strong> Übung 2 beschrieben.<br />
1. Melden Sie auf dem Computer CLIENT1 mit e<strong>in</strong>em Domänenadm<strong>in</strong>istratorkonto an der<br />
Domäne an.<br />
2. Öffnen Sie die Systemsteuerung, klicken Sie auf System und Sicherheit und dann unter<br />
<strong>W<strong>in</strong>dows</strong>-Firewall auf Programm durch die <strong>W<strong>in</strong>dows</strong>-Firewall kommunizieren lassen.<br />
3. Stellen Sie sicher, dass auf der Seite Zugelassene Programme das Kontrollkästchen<br />
Datei- und Druckerfreigabe nicht aktiviert ist. Sollte es aktiviert se<strong>in</strong>, müssen Sie auf<br />
E<strong>in</strong>stellungen ändern klicken, die Kontrollkästchen für Domäne, Heim/Arbeit (Privat)<br />
und Öffentlich <strong>in</strong> der Zeile Datei- und Druckerfreigabe deaktivieren und auf OK klicken.<br />
Lassen Sie die Systemsteuerung offen.<br />
4. Melden Sie sich am Domänencontroller DC1 an. Öffnen Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung<br />
und versuchen Sie, CLIENT1 mit P<strong>in</strong>g zu erreichen.<br />
Der P<strong>in</strong>g-Test schlägt fehl.<br />
5. Wechseln Sie auf CLIENT1. Klicken Sie wieder auf Programm durch die <strong>W<strong>in</strong>dows</strong>-Firewall<br />
kommunizieren lassen.<br />
6. Klicken Sie auf der Seite Zugelassene Programme auf E<strong>in</strong>stellungen ändern und aktivieren<br />
Sie das Kontrollkästchen l<strong>in</strong>ks neben Datei- und Druckerfreigabe.<br />
7. Stellen Sie sicher, dass das zugehörige Kontrollkästchen Domäne aktiviert ist, und klicken<br />
Sie auf OK.<br />
8. Kehren Sie zum Domänencontroller DC1 zurück. Versuchen Sie erneut, CLIENT1 mit<br />
P<strong>in</strong>g zu erreichen.<br />
Diesmal gel<strong>in</strong>gt der P<strong>in</strong>g-Test. Die Ausnahme für die Datei- und Druckerfreigabe erstellt<br />
nicht nur e<strong>in</strong>e Ausnahme für die Dateifreigabe, sondern auch für P<strong>in</strong>g.<br />
9. Kehren Sie auf CLIENT1 zurück und öffnen Sie die Systemsteuerung. Entfernen Sie die<br />
Ausnahme für die Datei- und Druckerfreigabe, die Sie gerade erstellt haben, und klicken<br />
Sie auf OK.<br />
Übung 2 Erzw<strong>in</strong>gen e<strong>in</strong>er Zulassen-Regel mithilfe der lokalen Sicherheitsrichtl<strong>in</strong>ie<br />
Übung 1 demonstriert zwar e<strong>in</strong>en ganz e<strong>in</strong>fachen Weg, P<strong>in</strong>g-Anforderungen durch die<br />
<strong>W<strong>in</strong>dows</strong>-Firewall zu lassen, diese Methode hat aber zwei Nachteile. Erstens erstellt sie e<strong>in</strong>e<br />
Firewallausnahme für die Datei- und Druckerfreigabe, die unnötig ist, wenn Sie lediglich<br />
P<strong>in</strong>g-Anforderungen durch die Firewall zulassen wollen. Wenn der Computer ke<strong>in</strong>e freigegebenen<br />
Ordner oder Drucker enthält, ist es nicht s<strong>in</strong>nvoll, diese Art des Netzwerkzugriffs
Problembehandlung für die <strong>W<strong>in</strong>dows</strong>-Firewall 401<br />
auf den Computer zu erlauben. Zweitens wird bei der Methode mit der Systemsteuerung die<br />
Zulassen-Regel, die Sie erstellt haben, nicht erzwungen. Die Regel kann von e<strong>in</strong>em Adm<strong>in</strong>istrator<br />
ganz e<strong>in</strong>fach gelöscht oder deaktiviert werden.<br />
In dieser Übung öffnen Sie die lokale Sicherheitsrichtl<strong>in</strong>ie und erstellen e<strong>in</strong>e dauerhafte<br />
Zulassen-Regel, um ICMP-Echo-Anforderungen durch die <strong>W<strong>in</strong>dows</strong>-Firewall zu erlauben.<br />
Dann testen Sie die Auswirkungen dieser neuen Regel.<br />
1. Melden Sie am Domänencontroller DC1 an, sofern noch nicht geschehen, und stellen Sie<br />
sicher, dass es nicht möglich ist, den Clientcomputer CLIENT1 mit P<strong>in</strong>g zu erreichen.<br />
Gel<strong>in</strong>gt der P<strong>in</strong>g-Test zu CLIENT1, müssen Sie alle Firewallausnahmen entfernen, die<br />
Sie erstellt haben, um P<strong>in</strong>g-Anforderungen zu erlauben.<br />
2. Melden Sie sich auf dem Computer CLIENT1 als Domänenadm<strong>in</strong>istrator an der Domäne<br />
an, sofern noch nicht geschehen.<br />
3. Geben Sie auf CLIENT1 im Suchfeld des Startmenüs Lokale Sicherheitsrichtl<strong>in</strong>ie e<strong>in</strong><br />
und klicken Sie auf Lokale Sicherheitsrichtl<strong>in</strong>ie.<br />
4. Wählen Sie <strong>in</strong> der Konsole Lokale Sicherheitsrichtl<strong>in</strong>ie den Knoten Sicherheitse<strong>in</strong>stellungen\<strong>W<strong>in</strong>dows</strong>-Firewall<br />
mit erweiterter Sicherheit\<strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter<br />
Sicherheit – Lokales Gruppenrichtl<strong>in</strong>ienobjekt\E<strong>in</strong>gehende Regeln aus.<br />
5. Klicken Sie mit der rechten Maustaste auf den Knoten E<strong>in</strong>gehende Regeln und wählen<br />
Sie im Kontextmenü den Befehl Neue Regel. Der Assistent für neue e<strong>in</strong>gehende Regel<br />
wird geöffnet.<br />
6. Wählen Sie auf der Seite Regeltyp die Option Benutzerdef<strong>in</strong>iert aus und klicken Sie auf<br />
Weiter.<br />
7. Klicken Sie auf der Seite Programm auf Weiter.<br />
8. Wählen Sie auf der Seite Protokoll und Ports <strong>in</strong> der Dropdownliste Protokolltyp den<br />
E<strong>in</strong>trag ICMPv4 aus. Klicken Sie auf die Schaltfläche Anpassen.<br />
9. Wählen Sie im Dialogfeld ICMP-E<strong>in</strong>stellungen anpassen die Option Bestimmte ICMP-<br />
Typen aus, aktivieren Sie das Kontrollkästchen Echoanforderung und klicken Sie auf<br />
OK.<br />
10. Klicken Sie auf der Seite Protokoll und Ports auf Weiter.<br />
11. Klicken Sie auf der Seite Bereich auf Weiter.<br />
12. Stellen Sie auf der Seite Aktion sicher, dass die Option Verb<strong>in</strong>dung zulassen ausgewählt<br />
ist, und klicken Sie auf Weiter.<br />
13. Klicken Sie auf der Seite Profil auf Weiter.<br />
14. Geben Sie auf der Seite Name für die Regel den Namen P<strong>in</strong>g zulassen e<strong>in</strong> und klicken<br />
Sie auf Fertig stellen.<br />
Die Regel P<strong>in</strong>g zulassen wird nun <strong>in</strong> der Konsole Lokale Sicherheitsrichtl<strong>in</strong>ie aufgeführt.<br />
15. Starten Sie CLIENT1 neu.<br />
16. Warten Sie, bis CLIENT1 den Neustart abgeschlossen hat, und versuchen Sie dann, den<br />
Clientcomputer von DC1 aus mit P<strong>in</strong>g zu erreichen.<br />
Der P<strong>in</strong>g-Test verläuft erfolgreich.
402 Anhang A: Konfigurieren der <strong>W<strong>in</strong>dows</strong>-Firewall<br />
17. Melden Sie sich von CLIENT1 aus unter Ihrem Domänenadm<strong>in</strong>istratorkonto an der<br />
Domäne an.<br />
18. Öffnen Sie die Konsole <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit, <strong>in</strong>dem Sie im<br />
Startmenü auf Alle Programme, Verwaltung und <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter<br />
Sicherheit klicken.<br />
19. Wählen Sie <strong>in</strong> der Konsolenstruktur von <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit<br />
den Knoten E<strong>in</strong>gehende Regeln aus und warten Sie, bis die Liste der Regeln vollständig<br />
ist.<br />
Die Regel P<strong>in</strong>g zulassen steht ganz oben <strong>in</strong> der Liste.<br />
20. Klicken Sie mit der rechten Maustaste auf die Regel und sehen Sie sich an, welche<br />
Befehle im Kontextmenü angeboten werden.<br />
Es stehen ke<strong>in</strong>e Befehle zum Löschen oder Deaktivieren der Regel zur Verfügung. Im<br />
Unterschied zu den anderen Regeln, die <strong>in</strong> der Konsole <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter<br />
Sicherheit angezeigt werden, kann diese Regel nicht deaktiviert oder gelöscht werden,<br />
weil sie über die lokale Sicherheitsrichtl<strong>in</strong>ie erzwungen wird. Auf ähnliche Weise können<br />
Sie die Regel auch mithilfe von Gruppenrichtl<strong>in</strong>ien im gesamten Netzwerk erzw<strong>in</strong>gen.<br />
21. Schließen Sie alle offenen Fenster.<br />
Zusammenfassung<br />
Die <strong>W<strong>in</strong>dows</strong>-Firewall blockiert alle e<strong>in</strong>gehenden Verb<strong>in</strong>dungsanforderungen, sofern sie<br />
nicht explizit zugelassen werden. Ausgehende Verb<strong>in</strong>dungsanforderungen werden erlaubt,<br />
sofern sie nicht explizit blockiert werden.<br />
Sie können <strong>in</strong> der Systemsteuerung bestimmte Programme durch die <strong>W<strong>in</strong>dows</strong>-Firewall<br />
zulassen. Diese E<strong>in</strong>stellungen werden als Programmausnahmen bezeichnet. Ausnahmen<br />
werden unter anderem oft für Programme wie Remotedesktop, <strong>W<strong>in</strong>dows</strong> Live Messenger<br />
und Datei- und Druckerfreigabe erstellt.<br />
Sie können <strong>in</strong> der Konsole <strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit ganz detailliert<br />
def<strong>in</strong>ieren, welche Verkehrstypen durch die <strong>W<strong>in</strong>dows</strong>-Firewall zugelassen oder verboten<br />
werden. Zum Beispiel können Sie e<strong>in</strong>e Zulassen-Regel erstellen, die alle e<strong>in</strong>gehenden<br />
Verb<strong>in</strong>dungsanforderungen erlaubt, die von e<strong>in</strong>em ganz bestimmten Adressbereich ausgehen<br />
und nur an e<strong>in</strong>en bestimmten TCP-Port gerichtet s<strong>in</strong>d.<br />
Sie können <strong>W<strong>in</strong>dows</strong>-Firewalle<strong>in</strong>stellungen mithilfe von Richtl<strong>in</strong>ien für den lokalen<br />
Computer oder Gruppenrichtl<strong>in</strong>ien erzw<strong>in</strong>gen. Wenn Sie e<strong>in</strong>e Problembehandlung für<br />
die <strong>W<strong>in</strong>dows</strong>-Firewall durchführen, sollten Sie auf jeden Fall die Richtl<strong>in</strong>iene<strong>in</strong>stellungen<br />
überprüfen, die auf diese Weise erzwungen wurden.
A N H A N G B<br />
Verwalten von Benutzerdateien<br />
und -e<strong>in</strong>stellungen<br />
Als <strong>Support</strong>techniker <strong>in</strong> e<strong>in</strong>em Großunternehmen ist es e<strong>in</strong>er Ihrer zentralen Verantwortungsbereiche,<br />
Benutzern dabei zu helfen, jederzeit auf alle benötigten Ressourcen zuzugreifen.<br />
Bei dieser Aufgabe werden Sie von mehreren Features <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 unterstützt. So ermöglichen<br />
es Offl<strong>in</strong>edateien den Benutzern, auch nach der Trennung vom Netzwerk mit Dateien<br />
weiterzuarbeiten, die <strong>in</strong> e<strong>in</strong>er Netzwerkfreigabe gespeichert s<strong>in</strong>d. Sobald die Benutzer später<br />
wieder Verb<strong>in</strong>dung zum Netzwerk haben, werden diese Dateien synchronisiert. Servergespeicherte<br />
Benutzerprofile bieten Benutzern Zugriff auf ihre zentral gespeicherten Dateien<br />
und E<strong>in</strong>stellungen, unabhängig davon, an welchem Netzwerkcomputer sie gerade arbeiten.<br />
E<strong>in</strong> weiteres Feature, die Ordnerumleitung, ermöglicht es Adm<strong>in</strong>istratoren, das Ziel wichtiger<br />
Ordner transparent auf e<strong>in</strong> Ziel <strong>in</strong> e<strong>in</strong>em Dateiserver umzuleiten.<br />
Dieser Anhang stellt diese und andere Features e<strong>in</strong>, die Ihnen helfen, Benutzerdateien und<br />
-e<strong>in</strong>stellungen <strong>in</strong> e<strong>in</strong>er <strong>Unternehmen</strong>sumgebung zu verwalten.<br />
Verwalten von Offl<strong>in</strong>edateien<br />
Benutzer <strong>in</strong> <strong>Unternehmen</strong>sumgebungen speichern persönliche Dateien üblicherweise auf<br />
e<strong>in</strong>em Dateiserver, weil das zahlreiche Vorteile bietet, etwa leichtere Zusammenarbeit mit<br />
anderen Benutzern, e<strong>in</strong>fachere Suche nach wichtigen Dateien und (solange die Benutzer<br />
ke<strong>in</strong>e lokalen Kopien speichern) weniger Versionskonflikte. Die Speicherung im Netzwerk<br />
hat aber auch e<strong>in</strong>ige gewichtige Nachteile. Wenn e<strong>in</strong> Benutzer e<strong>in</strong>e Datei <strong>in</strong> e<strong>in</strong>er Netzwerkfreigabe<br />
speichert, kann er normalerweise auf diese Datei nur zugreifen, während er mit dem<br />
Netzwerk verbunden ist. Außerdem ist die Leistung deutlich schlechter, wenn der Benutzer<br />
mit Dateien arbeitet, die auf e<strong>in</strong>em Remotelaufwerk gespeichert s<strong>in</strong>d, als bei der Arbeit mit<br />
Dateien auf e<strong>in</strong>em lokal angeschlossenen Datenträger. Und wenn die Benutzer kurzzeitig<br />
lokale Kopien der Dateien speichern, um die Leistung zu verbessern, treten Probleme mit<br />
der Versionsverwaltung auf, vor allem bei Dateien, die von mehreren Benutzern bearbeitet<br />
werden.<br />
Offl<strong>in</strong>edateien s<strong>in</strong>d e<strong>in</strong> Feature, das es Benutzern erlaubt, die Vorteile e<strong>in</strong>er zentralen Dateispeicherung<br />
zu nutzen, aber dabei die größten Nachteile dieser Technik zu umgehen. In<br />
<strong>W<strong>in</strong>dows</strong> 7 s<strong>in</strong>d sie standardmäßig aktiviert.<br />
Grundlagen von Offl<strong>in</strong>edateien<br />
Offl<strong>in</strong>edateien s<strong>in</strong>d e<strong>in</strong> <strong>W<strong>in</strong>dows</strong>-Feature, das es Ihnen ermöglicht, lokale Kopien von Dateien<br />
aufzubewahren, die <strong>in</strong> e<strong>in</strong>er Netzwerkfreigabe gespeichert s<strong>in</strong>d. Wenn Sie die Verb<strong>in</strong>dung<br />
zur Netzwerkfreigabe trennen, können Sie auf die lokalen Dateien zugreifen, die Sie offl<strong>in</strong>e<br />
verfügbar gemacht haben. Diese lokalen Kopien sehen aus, als befänden sie sich im selben<br />
403
404 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
Netzwerkspeicherort wie vor dem Trennen der Verb<strong>in</strong>dung: Sie greifen offl<strong>in</strong>e auf die Dateien<br />
zu, <strong>in</strong>dem Sie denselben Netzwerkpfad angeben, über den Sie normalerweise auf die Dateien<br />
zugreifen, während die Verb<strong>in</strong>dung besteht. Wenn Sie später wieder mit der Netzwerkfreigabe<br />
verbunden s<strong>in</strong>d, werden die lokalen Kopien automatisch mit den ursprünglichen Quelldateien<br />
synchronisiert, und Sie greifen wieder direkt auf den ursprünglichen Netzwerkspeicherort<br />
zu.<br />
Nehmen wir an, Sie haben e<strong>in</strong> Notebook an Ihr <strong>Unternehmen</strong>s-LAN angeschlossen und arbeiten<br />
mit e<strong>in</strong>er Datei namens DateiA, die im Netzwerk unter dem Pfad \\ServerA\FreigabeA\<br />
DateiA gespeichert ist (Abbildung B.1). Vielleicht greifen Sie auf diese Datei zu, <strong>in</strong>dem Sie<br />
e<strong>in</strong>e Verknüpfung auf Ihrem Desktop anklicken, oder Sie geben den Pfad direkt im <strong>W<strong>in</strong>dows</strong>-<br />
Explorer oder im Suchfeld des Startmenüs e<strong>in</strong>.<br />
Abbildung B.1 Zugreifen auf e<strong>in</strong>e Datei, die <strong>in</strong> e<strong>in</strong>er Remotefreigabe liegt<br />
Sofern Sie e<strong>in</strong>gestellt haben, dass DateiA offl<strong>in</strong>e verfügbar se<strong>in</strong> soll, können Sie an der Datei<br />
sogar weiterarbeiten, während Ihr Notebook ke<strong>in</strong>e Verb<strong>in</strong>dung zum <strong>Unternehmen</strong>s-LAN hat.<br />
Sie öffnen dabei DateiA, <strong>in</strong>dem Sie wie vorher die Adresse \\ServerA\FreigabeA\DateiA mit<br />
derselben Desktopverknüpfung im <strong>W<strong>in</strong>dows</strong>-Explorer oder im Suchfeld des Startmenüs<br />
e<strong>in</strong>geben. Das Feature Offl<strong>in</strong>edateien erkennt den Netzwerkspeicherort und leitet die Netzwerkanforderung<br />
automatisch an die lokal zwischengespeicherte Kopie der Datei um (Abbildung<br />
B.2).<br />
Wenn Sie später e<strong>in</strong>e Verb<strong>in</strong>dung zum Netzwerk herstellen und den Netzwerkpfad zur freigegebenen<br />
Datei aufrufen, wird die Anforderung wieder an die ursprüngliche Quelldatei im<br />
Netzwerk geleitet. Zu diesem Zeitpunkt wird die lokale Kopie der Datei automatisch mit der<br />
Version synchronisiert, die <strong>in</strong> der Netzwerkfreigabe gespeichert ist (Abbildung B.3).<br />
H<strong>in</strong>weis Wo s<strong>in</strong>d Offl<strong>in</strong>edateien tatsächlich gespeichert?<br />
Dateien, die Sie offl<strong>in</strong>e verfügbar gemacht haben, s<strong>in</strong>d im Offl<strong>in</strong>edateicache gespeichert<br />
(auch als clientseitiger Cache bezeichnet), der sich <strong>in</strong> %SystemRoot%\CSC bef<strong>in</strong>det.
Abbildung B.2 Wenn Sie offl<strong>in</strong>e arbeiten, werden<br />
Anforderungen an e<strong>in</strong>e lokale Kopie umgeleitet<br />
Abbildung B.3 Die beiden Versionen werden synchronisiert,<br />
sobald die Verb<strong>in</strong>dung zur Netzwerkfreigabe wiederhergestellt ist<br />
Verwalten von Offl<strong>in</strong>edateien 405
406 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
Warum sollten Sie Offl<strong>in</strong>edateien benutzen?<br />
Das Offl<strong>in</strong>edateifeature erhöht Verfügbarkeit, Zuverlässigkeit und Leistung von Netzwerkfreigaben.<br />
Für Benutzer, die oft auf Reisen s<strong>in</strong>d, verbessert sich die Verfügbarkeit freigegebener<br />
Dateien, wenn diese Dateien offl<strong>in</strong>e bearbeitet werden können. Während die Benutzer<br />
vom Netzwerk getrennt s<strong>in</strong>d, können sie die lokalen Kopien der Dateien bearbeiten, und<br />
sobald sie wieder im Büro s<strong>in</strong>d, werden die Dateien automatisch synchronisiert. Offl<strong>in</strong>edateien<br />
erhöhen auch die Zuverlässigkeit von Netzwerkfreigaben, weil e<strong>in</strong>e Kopie des<br />
Netzwerkordners zur Verfügung steht, falls das Netzwerk ausfällt. Wird die Verb<strong>in</strong>dung<br />
e<strong>in</strong>es Benutzers zu e<strong>in</strong>er Remotefreigabe aus irgende<strong>in</strong>em Grund getrennt, kann er dank der<br />
Offl<strong>in</strong>edateien ohne Unterbrechung weiterarbeiten. Und schließlich steigern Offl<strong>in</strong>edateien<br />
die Effizienz über e<strong>in</strong>e langsame Verb<strong>in</strong>dung. Wenn die Leistung beim Anzeigen und Bearbeiten<br />
e<strong>in</strong>er Remotedatei zu schlecht ist, können Benutzer stattdessen offl<strong>in</strong>e mit der lokalen<br />
Kopie der Datei arbeiten und sie dann mit dem Exemplar <strong>in</strong> der Netzwerkfreigabe synchronisieren,<br />
sobald sie mit dem Bearbeiten fertig s<strong>in</strong>d.<br />
Arbeiten mit Offl<strong>in</strong>edateien<br />
Sie machen e<strong>in</strong>e Datei offl<strong>in</strong>e verfügbar, <strong>in</strong>dem Sie die Netzwerkfreigabe auswählen, <strong>in</strong> der<br />
die Datei gespeichert ist, mit der rechten Maustaste auf die Datei klicken und im Kontextmenü<br />
den Befehl Immer offl<strong>in</strong>e verfügbar wählen (Abbildung B.4).<br />
Abbildung B.4 E<strong>in</strong>e Datei offl<strong>in</strong>e verfügbar machen<br />
H<strong>in</strong>weis Aktivieren von Offl<strong>in</strong>edateien<br />
Wenn im Kontextmenü e<strong>in</strong>er Datei, die <strong>in</strong> e<strong>in</strong>er Netzwerkfreigabe gespeichert ist, nicht der<br />
Befehl Immer offl<strong>in</strong>e verfügbar angeboten wird, wurde möglicherweise der Dienst Offl<strong>in</strong>edateien<br />
beendet oder deaktiviert. Geben Sie <strong>in</strong> diesem Fall im Startmenü Offl<strong>in</strong>edateien<br />
verwalten e<strong>in</strong> und drücken Sie die EINGABETASTE. Klicken Sie dann im Dialogfeld Offl<strong>in</strong>edateien<br />
auf Offl<strong>in</strong>edateien aktivieren. Denken Sie auch daran, dass der Befehl Immer
Verwalten von Offl<strong>in</strong>edateien 407<br />
offl<strong>in</strong>e verfügbar nur ersche<strong>in</strong>t, wenn Sie erst den Netzwerkordner oder die Datei auswählen,<br />
bevor Sie die Datei mit der rechten Maustaste anklicken.<br />
Nach dieser Vorbereitung wird die Datei, die Sie offl<strong>in</strong>e verfügbar gemacht haben, mit<br />
e<strong>in</strong>em Symbol gekennzeichnet, das e<strong>in</strong>en grünen Kreis mit Pfeilen zeigt (Abbildung B.5).<br />
Abbildung B.5 E<strong>in</strong> grüner Kreis markiert Dateien,<br />
die offl<strong>in</strong>e verfügbar s<strong>in</strong>d<br />
Sie machen alle Dateien <strong>in</strong> e<strong>in</strong>em Netzwerkordner oder e<strong>in</strong>er Freigabe offl<strong>in</strong>e verfügbar,<br />
<strong>in</strong>dem Sie e<strong>in</strong>fach im <strong>W<strong>in</strong>dows</strong>-Explorer mit der rechten Maustaste auf die Freigabe klicken<br />
und den Befehl Immer offl<strong>in</strong>e verfügbar wählen (Abbildung B.6).<br />
Abbildung B.6 E<strong>in</strong>e Freigabe vollständig offl<strong>in</strong>e verfügbar machen<br />
Wenn Sie e<strong>in</strong>e Freigabe vollständig offl<strong>in</strong>e verfügbar machen, wird die Freigabe selbst mit<br />
dem Symbol für Offl<strong>in</strong>edateien markiert (Abbildung B.7).
408 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
Abbildung B.7 E<strong>in</strong>e Freigabe, die offl<strong>in</strong>e verfügbar ist<br />
Entfernen von Offl<strong>in</strong>edateien<br />
Wenn Sie e<strong>in</strong>e Datei oder e<strong>in</strong>en Ordner offl<strong>in</strong>e verfügbar gemacht haben, ist der E<strong>in</strong>trag<br />
Immer offl<strong>in</strong>e verfügbar im Kontextmenü mit e<strong>in</strong>em Häkchen markiert. Wollen Sie nicht<br />
mehr, dass die Netzwerkdatei oder der Ordner offl<strong>in</strong>e verfügbar ist, können Sie mit der<br />
rechten Maustaste auf die Datei beziehungsweise den Ordner klicken und dann das Häkchen<br />
im E<strong>in</strong>trag Immer offl<strong>in</strong>e verfügbar deaktivieren (Abbildung B.8).<br />
Abbildung B.8 Entfernen der Offl<strong>in</strong>ekopie e<strong>in</strong>er Datei<br />
Wann f<strong>in</strong>det die automatische Synchronisierung statt?<br />
Wenn Sie e<strong>in</strong>e freigegebene Datei oder e<strong>in</strong>en Ordner offl<strong>in</strong>e verfügbar machen, legt <strong>W<strong>in</strong>dows</strong><br />
automatisch e<strong>in</strong>e Kopie dieser Datei beziehungsweise dieses Ordners auf Ihrem Computer<br />
an. <strong>W<strong>in</strong>dows</strong> 7 synchronisiert die beiden Versionen der Datei oder des Ordners automatisch,<br />
sobald e<strong>in</strong>er der folgenden Fälle e<strong>in</strong>tritt:<br />
Sie arbeiten onl<strong>in</strong>e und speichern Änderungen an der Datei.<br />
Sie arbeiten onl<strong>in</strong>e und öffnen die Datei.
Verwalten von Offl<strong>in</strong>edateien 409<br />
Sie starten den Computer, während Sie ke<strong>in</strong>e Verb<strong>in</strong>dung zum Netzwerk haben, bearbeiten<br />
die Dateien und stellen später e<strong>in</strong>e Verb<strong>in</strong>dung zu dem Netzwerkordner her, <strong>in</strong> dem<br />
diese Dateien liegen.<br />
Während Sie Verb<strong>in</strong>dung zum Netzwerk haben, wählen Sie die Möglichkeit, offl<strong>in</strong>e zu<br />
arbeiten. Später wählen Sie dann wieder die Möglichkeit, onl<strong>in</strong>e zu arbeiten. (Beachten<br />
Sie, dass die Synchronisierung <strong>in</strong> diesem Fall nicht sofort ausgeführt wird.)<br />
Die Verb<strong>in</strong>dung zur Netzwerkfreigabe mit den Offl<strong>in</strong>edateien wird plötzlich unterbrochen<br />
und dann wiederhergestellt.<br />
Die Verb<strong>in</strong>dung zu den Offl<strong>in</strong>edateien kann unterbrochen werden, wenn unerwartet die<br />
Verb<strong>in</strong>dung zu Ihrem Netzwerk verloren geht und Sie versuchen, e<strong>in</strong>e Verb<strong>in</strong>dung zu<br />
e<strong>in</strong>er Netzwerkfreigabe aufzubauen. In diesem Fall verwendet <strong>W<strong>in</strong>dows</strong> nach e<strong>in</strong>er gewissen<br />
Wartezeit automatisch e<strong>in</strong>e lokal gespeicherte Kopie, sofern e<strong>in</strong>e zur Verfügung<br />
steht. Sobald die Netzwerkverb<strong>in</strong>dung wiederhergestellt ist, wird das Offl<strong>in</strong>edateifeature<br />
zurückgesetzt, woraufh<strong>in</strong> die Dateien nach e<strong>in</strong>igen M<strong>in</strong>uten synchronisiert werden. (Sie<br />
können die Offl<strong>in</strong>edateiverb<strong>in</strong>dung auch zurücksetzen, <strong>in</strong>dem Sie den Computer neu<br />
starten und sich wieder am Netzwerk anmelden.)<br />
H<strong>in</strong>weis Verarbeiten von Dateikonflikten<br />
Haben sowohl Sie als auch jemand anders Änderungen an e<strong>in</strong>er Datei vorgenommen,<br />
seit Sie zuletzt mit dem Quellnetzwerkordner Verb<strong>in</strong>dung hatten, tritt beim Versuch, die<br />
Datei zu synchronisieren, e<strong>in</strong> Konflikt auf. <strong>W<strong>in</strong>dows</strong> fragt Sie <strong>in</strong> diesem Fall, welche<br />
Version Sie behalten wollen.<br />
Offl<strong>in</strong>edateien von Hand synchronisieren<br />
Wenn andere Benutzer Änderungen an e<strong>in</strong>er Datei speichern, die Sie offl<strong>in</strong>e verfügbar gemacht<br />
haben, werden diese Änderungen nicht automatisch mit Ihrer lokalen Kopie der Datei<br />
synchronisiert. Es wird aber die Versionsnummer der Datei aktualisiert und an alle Clients<br />
gemeldet, auf denen diese Datei offl<strong>in</strong>e verfügbar gemacht wurde. Auf diese Weise erkennen<br />
Offl<strong>in</strong>edateien, wenn die lokal gespeicherte Kopie der Datei nicht die neueste verfügbare<br />
Version ist.<br />
Wenn Sie onl<strong>in</strong>e arbeiten, wird Ihre lokale Kopie der Datei automatisch mit der neuesten<br />
Version synchronisiert, sobald Sie die Datei öffnen. Trennen Sie aber die Verb<strong>in</strong>dung, bevor<br />
e<strong>in</strong>e Datei synchronisiert wurde, von der bekannt ist, dass sie veraltet ist, können Sie die<br />
Datei nicht offl<strong>in</strong>e öffnen. Stattdessen bekommen Sie die Fehlermeldung aus Abbildung B.9<br />
angezeigt.<br />
Abbildung B.9 Sie können e<strong>in</strong>e Datei nicht<br />
öffnen, wenn bekannt ist, dass sie veraltet ist
410 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
Um diesen Fehler zu verh<strong>in</strong>dern, sollten Sie, bevor Sie die Verb<strong>in</strong>dung trennen, alle Dateien<br />
von Hand synchronisieren, bei denen die Gefahr besteht, dass andere Benutzer sie verändert<br />
haben. Sie können alle Dateien, die Sie offl<strong>in</strong>e verfügbar gemacht haben, im Infobereich der<br />
Taskleiste von Hand synchronisieren. Klicken Sie im Infobereich auf das Symbol mit dem<br />
nach oben zeigenden Pfeil, dann mit der rechten Maustaste auf das Offl<strong>in</strong>edateiensymbol,<br />
und wählen Sie den Befehl Alle synchronisieren (Abbildung B.10).<br />
H<strong>in</strong>weis Anpassen des Synchronisierungsverhaltens im Synchronisierungscenter<br />
Um zu verh<strong>in</strong>dern, dass Benutzer die Fehlermeldung aus Abbildung B.9 erhalten, können<br />
Sie im Synchronisierungscenter konfigurieren, dass zu bestimmten Zeiten automatische Synchronisierungen<br />
ausgeführt werden. Diese Möglichkeit wird im Abschnitt »Verwalten der<br />
Synchronisierung im Synchronisierungscenter« weiter unten <strong>in</strong> diesem Anhang beschrieben.<br />
Abbildung B.10 Offl<strong>in</strong>edateien von Hand synchronisieren<br />
Abbildung B.11 Auswählen des Offl<strong>in</strong>ebetriebs<br />
Offl<strong>in</strong>ebetrieb<br />
Wenn Sie offl<strong>in</strong>e mit e<strong>in</strong>er Datei arbeiten wollen, können Sie Ihren Computer e<strong>in</strong>fach herunterfahren<br />
und dann erneut starten, nachdem Sie die Verb<strong>in</strong>dung zum Netzwerk getrennt haben.<br />
Wollen Sie allerd<strong>in</strong>gs offl<strong>in</strong>e mit e<strong>in</strong>er Datei arbeiten, ohne Ihren Computer neu zu starten,<br />
können Sie die Option Offl<strong>in</strong>ebetrieb von Hand aktivieren. Das verbessert Stabilität und<br />
Leistung der Anwendung, weil Sie sofort mit der Arbeit an der Offl<strong>in</strong>edatei beg<strong>in</strong>nen können,<br />
statt abzuwarten, bis das Zeitlimit für e<strong>in</strong>e nicht verfügbare Netzwerkfreigabe überschritten<br />
ist. Wenn Sie die Option Offl<strong>in</strong>ebetrieb auswählen, verschaffen Sie sich auch die Möglichkeit,<br />
die Verb<strong>in</strong>dung zum Quellnetzwerkordner herzustellen und Ihre Offl<strong>in</strong>edateien zu<br />
synchronisieren, sobald Sie fertig s<strong>in</strong>d.
Verwalten von Offl<strong>in</strong>edateien 411<br />
Sie arbeiten offl<strong>in</strong>e, <strong>in</strong>dem Sie im <strong>W<strong>in</strong>dows</strong>-Explorer die Freigabe aufrufen und dann <strong>in</strong> der<br />
Symbolleiste auf Offl<strong>in</strong>ebetrieb klicken (Abbildung B.11).<br />
Sobald Sie wieder die Verb<strong>in</strong>dung zum Netzwerkordner herstellen wollen, klicken Sie auf<br />
Onl<strong>in</strong>ebetrieb (Abbildung B.12). Daraufh<strong>in</strong> wird Ihre lokale Kopie mit der Version <strong>in</strong> der<br />
Netzwerkfreigabe synchronisiert.<br />
Abbildung B.12 Zurückschalten <strong>in</strong> den Onl<strong>in</strong>ebetrieb<br />
Anzeigen Ihrer Offl<strong>in</strong>edateien<br />
Wenn Sie mit Offl<strong>in</strong>edateien <strong>in</strong> unterschiedlichen Ordnern arbeiten, können Sie sich bei<br />
Bedarf alle zusammen ansehen, ohne jeden Ordner e<strong>in</strong>zeln öffnen zu müssen. Gehen Sie<br />
dazu folgendermaßen vor:<br />
1. Geben Sie im Suchfeld des Startmenüs Offl<strong>in</strong>edateien verwalten e<strong>in</strong> und drücken Sie<br />
die EINGABETASTE.<br />
Das Dialogfeld Offl<strong>in</strong>edateien wird geöffnet.<br />
2. Klicken Sie auf der Registerkarte Allgeme<strong>in</strong> auf Offl<strong>in</strong>edateien anzeigen (Abbildung<br />
B.13).<br />
Abbildung B.13 Anzeigen aller eigenen Offl<strong>in</strong>edateien
412 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
Verwalten der Synchronisierung im Synchronisierungscenter<br />
Das Synchronisierungscenter ist e<strong>in</strong> Tool <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7, <strong>in</strong> dem Sie Synchronisierungen<br />
e<strong>in</strong>richten und verwalten. Sie öffnen das Synchronisierungscenter, <strong>in</strong>dem Sie im Startmenü<br />
Synchronisierungscenter e<strong>in</strong>geben und die EINGABETASTE drücken. Abbildung B.14<br />
zeigt das Synchronisierungscenter.<br />
Abbildung B.14 Das Synchronisierungscenter <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
Gehen Sie folgendermaßen vor, um e<strong>in</strong>en automatischen Synchronisierungszeitplan für<br />
Offl<strong>in</strong>edateien e<strong>in</strong>zurichten:<br />
1. Wählen Sie im Synchronisierungscenter den E<strong>in</strong>trag Offl<strong>in</strong>edateien aus und klicken Sie<br />
auf Zeitplan (Abbildung B.15).<br />
Abbildung B.15 Erstellen e<strong>in</strong>es Synchronisierungszeitplans<br />
Daraufh<strong>in</strong> öffnet sich der Assistent Offl<strong>in</strong>edateien-Synchronisierungszeitplan<br />
(Abbildung B.16).<br />
2. Wählen Sie <strong>in</strong> der Liste das Element aus, für das Sie e<strong>in</strong>en Synchronisierungszeitplan<br />
e<strong>in</strong>richten wollen, und klicken Sie auf Weiter.<br />
Daraufh<strong>in</strong> öffnet sich die Seite Geben Sie an, wann die Synchronisierung anfangen soll<br />
(Abbildung B.17).
Abbildung B.16 Erstellen e<strong>in</strong>es Synchronisierungszeitplans<br />
Abbildung B.17 Auswählen, wann die Synchronisierung beg<strong>in</strong>nt<br />
3. Wählen Sie e<strong>in</strong>e der folgenden Optionen aus:<br />
Verwalten von Offl<strong>in</strong>edateien 413<br />
Nach Zeitplan Hierbei beg<strong>in</strong>nt der Synchronisierungsvorgang zu festgelegten<br />
Zeiten, wobei Sie angeben, <strong>in</strong> welchen Intervallen der Vorgang wiederholt wird.<br />
Beim E<strong>in</strong>treten e<strong>in</strong>es Ereignisses Bei dieser Methode wird e<strong>in</strong>e Synchronisierung<br />
ausgelöst, sobald e<strong>in</strong>e der folgenden vier Bed<strong>in</strong>gungen e<strong>in</strong>tritt: Sie melden sich an<br />
Ihrem Computer an, der Computer ist e<strong>in</strong>e bestimmte Zeit lang im Leerlauf, Sie<br />
sperren <strong>W<strong>in</strong>dows</strong> oder Sie entsperren <strong>W<strong>in</strong>dows</strong>.<br />
Wenn Sie Nach Zeitplan oder Beim E<strong>in</strong>treten e<strong>in</strong>es Ereignisses wählen, f<strong>in</strong>den Sie<br />
auf der nächsten Assistentenseite die Schaltfläche Weitere Optionen, die das Dialogfeld<br />
Weitere Zeitplanoptionen öffnet (Abbildung B.18). In diesem Dialogfeld können<br />
Sie weiter e<strong>in</strong>schränken, wann e<strong>in</strong>e Synchronisierung beg<strong>in</strong>nt, und festlegen, unter<br />
welchen Bed<strong>in</strong>gungen e<strong>in</strong>e Synchronisierung abgebrochen wird.
414 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
Abbildung B.18 Verfe<strong>in</strong>ern des Synchronisierungszeitplans<br />
Schnelltest<br />
1. Können Sie Offl<strong>in</strong>edateien <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 so konfigurieren, dass sie automatisch synchronisiert<br />
werden, sobald sich der Benutzer anmeldet?<br />
2. Können Sie Offl<strong>in</strong>edateien <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 so konfigurieren, dass sie automatisch synchronisiert<br />
werden, sobald sich der Benutzer abmeldet?<br />
Antworten zum Schnelltest<br />
1. Ja<br />
2. Ne<strong>in</strong><br />
Anzeigen der Synchronisierungsergebnisse <strong>in</strong> Synchronisierungscenter<br />
Die Ergebnisse der letzten Synchronisierungsvorgänge können Sie sich im Synchronisierungscenter<br />
ansehen. Geben Sie dazu im Startmenü Synchronisierungsergebnisse anzeigen<br />
e<strong>in</strong> und drücken Sie die EINGABETASTE. Daraufh<strong>in</strong> öffnet sich das Fenster aus Abbildung<br />
B.19.<br />
Abbildung B.19 Anzeigen der Synchronisierungsergebnisse im Synchronisierungscenter<br />
Diese Seite listet die letzten Synchronisierungsvorgänge auf und zeigt die Ergebnisse an.
Verwalten der Datenträgerverwendung für Offl<strong>in</strong>edateien<br />
Verwalten von Offl<strong>in</strong>edateien 415<br />
Anhand der Größe Ihrer Festplatte und der Menge freien Platzes berechnet das Offl<strong>in</strong>edateifeature,<br />
welchen Prozentsatz Ihrer Festplatte es für den Offl<strong>in</strong>edateicache reserviert. Dieser<br />
Prozentsatz legt somit die Obergrenze für den Speicherplatz fest, der für Offl<strong>in</strong>edateien zur<br />
Verfügung steht. Sie können diese Limits auf der Registerkarte Datenträgerverwendung des<br />
Eigenschaftendialogfelds Offl<strong>in</strong>edateien ansehen und ändern.<br />
Diese Registerkarte öffnen Sie, <strong>in</strong>dem Sie im Startmenü Von Offl<strong>in</strong>edateien verwendeten<br />
Festplattenplatz verwalten e<strong>in</strong>tippen und die EINGABETASTE drücken. Abbildung B.20<br />
zeigt die Registerkarte Datenträgerverwendung des Eigenschaftendialogfelds Offl<strong>in</strong>edateien.<br />
Diese Registerkarte zeigt an, wie viel Platz für Offl<strong>in</strong>edateien zugewiesen und wie viel<br />
momentan belegt ist. Klicken Sie auf Limits ändern, um die Limits für Offl<strong>in</strong>edateien zu<br />
ändern. Daraufh<strong>in</strong> öffnet sich das Dialogfeld Datenträgernutzungslimits für Offl<strong>in</strong>edateien<br />
(Abbildung B.21).<br />
Abbildung B.20 Anzeigen der Limits für die Datenträgerverwendung durch Offl<strong>in</strong>edateien<br />
Abbildung B.21 Ändern der Limits für die Datenträgerverwendung von Offl<strong>in</strong>edateien<br />
Sowohl im Dialogfeld Datenträgernutzungslimits für Offl<strong>in</strong>edateien als auch auf der Registerkarte<br />
Datenträgerverwendung des Eigenschaftendialogfelds Offl<strong>in</strong>edateien werden zwei<br />
Werte angezeigt. Der obere Wert gibt an, wie viel Platz den Offl<strong>in</strong>edateien <strong>in</strong>sgesamt zugewiesen<br />
ist. Der untere Wert legt fest, wie viel von diesem Platz ausschließlich für die temporären<br />
Dateien zur Verfügung steht, die für die Offl<strong>in</strong>edateien verwendet werden.
416 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
Mit dem Schieberegler im Dialogfeld Datenträgernutzungslimits für Offl<strong>in</strong>edateien können<br />
Sie die Werte anpassen. Üblicherweise sollten Sie die Standardwerte unverändert lassen.<br />
Ausnahmen s<strong>in</strong>d, wenn Sie Platz auf der Festplatte sparen müssen oder wenn Sie ungewöhnlich<br />
viele oder große Dateien offl<strong>in</strong>e verfügbar machen. Als Faustregel sollten Sie mehr als<br />
10 Prozent (besser mehr als 15 Prozent) Ihrer Festplatte frei halten. Sie sollten die Limits für<br />
die Offl<strong>in</strong>edateien heruntersetzen, falls auf Ihrer Festplatte nur noch rund 10 Prozent Platz<br />
frei s<strong>in</strong>d.<br />
Praxistipp<br />
J.C. Mack<strong>in</strong><br />
In manchen Fällen ist es s<strong>in</strong>nvoll, die Offl<strong>in</strong>edateicaches von ihrem Standardspeicherort<br />
<strong>in</strong> %SystemDrive%\CSC zu verschieben. Nehmen wir an, Sie haben <strong>W<strong>in</strong>dows</strong> 7 auf dem<br />
Laufwerk C:\ <strong>in</strong>stalliert, e<strong>in</strong>em relativ kle<strong>in</strong>en Volume mit 30 GByte Kapazität, während<br />
auf dem Laufwerk E:\ 250 GByte Platz für Arbeitsdateien frei s<strong>in</strong>d. Leider bietet <strong>W<strong>in</strong>dows</strong><br />
7 ke<strong>in</strong>e e<strong>in</strong>fache E<strong>in</strong>stellmöglichkeit oder e<strong>in</strong> Dialogfeld, <strong>in</strong> dem Sie den Speicherort<br />
für Offl<strong>in</strong>edateicache ändern können.<br />
Um den Offl<strong>in</strong>edateicache zu verschieben, müssen Sie daher direkt die Registrierung<br />
bearbeiten. Aber das ist nicht weiter schwierig. Gehen Sie folgendermaßen vor, um den<br />
Offl<strong>in</strong>edateicache auf e<strong>in</strong>em Computer zu verschieben:<br />
1. Synchronisieren Sie alle Ihre Offl<strong>in</strong>edateien. Der Inhalt Ihrer aktuellen Offl<strong>in</strong>edateicaches<br />
wird bei diesem Vorgang gelöscht, daher sollten Sie die Quelldateien auf dem<br />
Server mit allen Änderungen aktualisieren, die Sie lokal vorgenommen haben.<br />
2. Erstellen Sie e<strong>in</strong>e Batchdatei namens ResetCache.bat und führen Sie sie aus. Diese<br />
Batchdatei enthält lediglich e<strong>in</strong>e Zeile:<br />
REG ADD "HKLM\System\CurrentControlSet\Services\CSC\Parameters"/v FormatDatabase /t<br />
REG_DWORD /d 1 /f<br />
Diese Batchdatei können Sie auch künftig aufrufen, wenn Sie den Inhalt Ihres Offl<strong>in</strong>edateicaches<br />
löschen wollen.<br />
3. Starten Sie Ihren Computer neu.<br />
4. Öffnen Sie Regedit. Fügen Sie den folgenden E<strong>in</strong>trag im Schlüssel HKEY_LOCAL_<br />
MACHINE\System\CurrentControlSet\Services\CSC\Parameters e<strong>in</strong>:<br />
Typ: Zeichenfolge (REG_SZ)<br />
Name: CacheLocation<br />
Wert: \??\<br />
(Die Zeichenfolge muss die angegebenen Fragezeichen enthalten. Wenn Sie den<br />
Cache beispielsweise <strong>in</strong> E:\CSC verschieben wollen, lautet der Wert \??\E:\CSC.)<br />
5. Erstellen Sie unter dem Pfad, den Sie im letzten Schritt verwendet haben, den neuen<br />
Ordner, den Sie für Offl<strong>in</strong>edateicache verwenden.<br />
6. Starten Sie Ihren Computer neu.<br />
7. Synchronisieren Sie Ihre Offl<strong>in</strong>edateien. Bei diesem Schritt wird Ihr neuer Cache mit<br />
den Dateien gefüllt, die Sie offl<strong>in</strong>e verfügbar gemacht haben.
Konfigurieren von Offl<strong>in</strong>edateien mithilfe von Gruppenrichtl<strong>in</strong>ien<br />
Verwalten von Offl<strong>in</strong>edateien 417<br />
Sie können Gruppenrichtl<strong>in</strong>ien verwenden, um das Verhalten von Offl<strong>in</strong>edateien anzupassen<br />
und dieses Verhalten <strong>in</strong> der gesamten Organisation zu erzw<strong>in</strong>gen. Die Richtl<strong>in</strong>iene<strong>in</strong>stellungen<br />
für Offl<strong>in</strong>edateien f<strong>in</strong>den Sie bei e<strong>in</strong>em Gruppenrichtl<strong>in</strong>ienobjekt im Knoten Computerkonfiguration\Richtl<strong>in</strong>ien\Adm<strong>in</strong>istrative<br />
Vorlagen\Netzwerk\Offl<strong>in</strong>edateien (Abbildung<br />
B.22). Dieser Bereich der Computerkonfiguration e<strong>in</strong>es Gruppenrichtl<strong>in</strong>ienobjekts enthält<br />
28 E<strong>in</strong>stellungen für Offl<strong>in</strong>edateien. E<strong>in</strong>e Teilmenge mit 15 dieser E<strong>in</strong>stellungen enthält<br />
auch der Zweig Benutzerkonfiguration e<strong>in</strong>es Gruppenrichtl<strong>in</strong>ienobjekts unter Benutzerkonfiguration\Richtl<strong>in</strong>ien\Adm<strong>in</strong>istrative<br />
Vorlagen\Netzwerk\Offl<strong>in</strong>edateien. Die meisten Richtl<strong>in</strong>iene<strong>in</strong>stellungen,<br />
die sowohl unter Computerkonfiguration als auch Benutzerkonfiguration<br />
vorhanden s<strong>in</strong>d, s<strong>in</strong>d allerd<strong>in</strong>gs für <strong>W<strong>in</strong>dows</strong>-Versionen vor <strong>W<strong>in</strong>dows</strong> Vista reserviert.<br />
Abbildung B.22 E<strong>in</strong>stellungen für Offl<strong>in</strong>edateien <strong>in</strong> e<strong>in</strong>em Gruppenrichtl<strong>in</strong>ienobjekt<br />
Die folgende Liste beschreibt die 10 Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen, die das Verhalten von<br />
Offl<strong>in</strong>edateien <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 steuern:<br />
Vom Adm<strong>in</strong>istrator zugewiesene Offl<strong>in</strong>edateien Mit dieser Richtl<strong>in</strong>iene<strong>in</strong>stellung<br />
erzw<strong>in</strong>gen Sie, dass bestimmte Netzwerkfreigaben oder freigegebene Dateien offl<strong>in</strong>e<br />
verfügbar s<strong>in</strong>d.<br />
H<strong>in</strong>tergrundsynchronisierung konfigurieren Dies ist e<strong>in</strong>e neue Richtl<strong>in</strong>iene<strong>in</strong>stellung<br />
<strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 und <strong>W<strong>in</strong>dows</strong> Server 2008 R2. Sie passen damit das Synchronisierungsverhalten<br />
für Netzwerkordner über langsame Verb<strong>in</strong>dungen an.<br />
In der Standarde<strong>in</strong>stellung werden Netzwerkordner, die über langsame Verb<strong>in</strong>dungen<br />
angebunden s<strong>in</strong>d, alle 360 M<strong>in</strong>uten mit dem Server synchronisiert, wobei zwischen 0<br />
und 60 M<strong>in</strong>uten zusätzlich gewartet wird, bis die Synchronisierung beg<strong>in</strong>nt. Ist diese<br />
Richtl<strong>in</strong>iene<strong>in</strong>stellung aktiviert, wird die Synchronisierung für Netzwerkordner, die über<br />
e<strong>in</strong>e langsame Verb<strong>in</strong>dung angebunden s<strong>in</strong>d, stattdessen <strong>in</strong> den Intervallen durchgeführt,<br />
die <strong>in</strong> dieser Richtl<strong>in</strong>ie festgelegt ist.<br />
Abbildung B.23 zeigt die Richtl<strong>in</strong>iene<strong>in</strong>stellung H<strong>in</strong>tergrundsynchronisierung konfigurieren.
418 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
Abbildung B.23 Die Richtl<strong>in</strong>iene<strong>in</strong>stellung H<strong>in</strong>tergrundsynchronisierung<br />
konfigurieren <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
Von Offl<strong>in</strong>edateien verwendeten Speicherplatz begrenzen Erzw<strong>in</strong>gt, dass e<strong>in</strong><br />
Speicherplatzlimit (<strong>in</strong> der E<strong>in</strong>heit MByte) für die Verwendung durch Offl<strong>in</strong>edateien<br />
festgelegt wird.<br />
Die Funktion "Offl<strong>in</strong>edateien" zulassen bzw. nicht zulassen Erzw<strong>in</strong>gt, ob das<br />
Offl<strong>in</strong>edateifeature aktiviert oder deaktiviert bleibt.<br />
Offl<strong>in</strong>edateicache verschlüsseln Erzw<strong>in</strong>gt, dass die Offl<strong>in</strong>edateien im clientseitigen<br />
Cache verschlüsselt werden. Diese Feature wird <strong>in</strong> e<strong>in</strong>igen Umgebungen benötigt, die<br />
sehr hohe Sicherheitsanforderungen stellen.<br />
Dateien aus der Zwischenspeicherung ausschließen Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung ist<br />
neu <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 und <strong>W<strong>in</strong>dows</strong> Server 2008 R2. Sie legen damit fest, welche Dateitypen<br />
(anhand der Dateierweiterung def<strong>in</strong>iert) die Benutzer nicht offl<strong>in</strong>e verfügbar<br />
machen dürfen.<br />
Abbildung B.24 zeigt die E<strong>in</strong>stellung Dateien aus der Zwischenspeicherung ausschließen.
Verwalten von Offl<strong>in</strong>edateien 419<br />
Abbildung B.24 Die Richtl<strong>in</strong>iene<strong>in</strong>stellung Dateien aus der Zwischenspeicherung<br />
ausschließen <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
"Offl<strong>in</strong>e verfügbar machen" entfernen Löscht den Befehl Offl<strong>in</strong>e verfügbar machen<br />
aus dem Kontextmenü von Ordnern und Dateien. Diese E<strong>in</strong>stellung verh<strong>in</strong>dert aber nicht,<br />
dass das System lokale Kopien von Dateien speichert, die für automatisches Zwischenspeichern<br />
ausgewählt wurden.<br />
Transparentes Zwischenspeichern aktivieren Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung ist neu <strong>in</strong><br />
<strong>W<strong>in</strong>dows</strong> 7 und <strong>W<strong>in</strong>dows</strong> Server 2008 R2. Sie zw<strong>in</strong>gt Clients, kurzzeitig alle Netzwerkdateien<br />
zwischenzuspeichern, die über e<strong>in</strong>e langsame Verb<strong>in</strong>dung geöffnet werden. Nachfolgende<br />
Leseoperationen <strong>in</strong> derselben Datei werden dann aus dem lokalen Cache bedient,<br />
nachdem die Integrität der zwischengespeicherten Kopie überprüft wurde. Diese Richtl<strong>in</strong>ie<br />
verbessert die Reaktionsgeschw<strong>in</strong>digkeit der Benutzeroberfläche und verr<strong>in</strong>gert den<br />
Bandbreitenverbrauch über WAN-Verb<strong>in</strong>dungen (Wide Area Network) zum Server. Beachten<br />
Sie, dass die zwischengespeicherten Dateien re<strong>in</strong> temporäre Kopien s<strong>in</strong>d, die dem<br />
Benutzer nicht im Offl<strong>in</strong>ebetrieb zur Verfügung stehen. Die zwischengespeicherten Dateien<br />
werden auch nicht mit der Version auf dem Server synchronisiert. Bei nachfolgenden<br />
Lesevorgängen wird immer die neueste Version vom Server verwendet.<br />
In dieser Richtl<strong>in</strong>ie def<strong>in</strong>ieren Sie, wann e<strong>in</strong>e Verb<strong>in</strong>dung als langsam e<strong>in</strong>gestuft wird.<br />
Dazu geben Sie an, wie viele Millisekunden der Round-Trip (Netzwerklatenz) zwischen<br />
Client und Server dauert. Wenn Sie beispielsweise e<strong>in</strong>e Netzwerklatenz von 60 e<strong>in</strong>stellen,<br />
verwendet der Client lokal zwischengespeicherte Kopien von Offl<strong>in</strong>edateien, sobald<br />
die Latenz größer ist als 60 Millisekunden.
420 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
Abbildung B.25 zeigt die Richtl<strong>in</strong>iene<strong>in</strong>stellung Transparentes Zwischenspeichern<br />
aktivieren.<br />
Abbildung B.25 Die Richtl<strong>in</strong>iene<strong>in</strong>stellung Transparentes Zwischenspeichern<br />
aktivieren <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
Wirtschaftliche Verwendung der vom Adm<strong>in</strong>istrator zugewiesenen Offl<strong>in</strong>edateien<br />
aktivieren Erzw<strong>in</strong>gt, dass nur vom Adm<strong>in</strong>istrator zugewiesene Offl<strong>in</strong>eordner bei der<br />
Anmeldung synchronisiert werden.<br />
Modus für langsame Verb<strong>in</strong>dungen konfigurieren Mit dieser Richtl<strong>in</strong>ie legen Sie<br />
fest, wann Clients den Modus für langsame Verb<strong>in</strong>dungen verwenden. (Auf Computern<br />
mit <strong>W<strong>in</strong>dows</strong> 7 oder <strong>W<strong>in</strong>dows</strong> Server 2008 R2 wird der Modus für langsame Verb<strong>in</strong>dungen<br />
standardmäßig aktiviert, wenn die Latenz 80 Millisekunden übersteigt.) Im<br />
Modus für langsame Verb<strong>in</strong>dungen werden alle Anforderungen nach Netzwerkdateien<br />
aus dem Offl<strong>in</strong>edateicache bedient. Manuelle Synchronisierungen werden trotzdem<br />
onl<strong>in</strong>e ausgeführt.<br />
Wiederherstellen der Vorgängerversionen von Dateien oder Ordnern<br />
Vorgängerversionen ist e<strong>in</strong> weiteres Feature von <strong>W<strong>in</strong>dows</strong> 7, das die Arbeit mit Benutzerdateien<br />
erleichtert. Mithilfe der Vorgängerversionen können Sie <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 ganz e<strong>in</strong>fach<br />
Versionen von Dateien oder Ordnern wiederherstellen, die automatisch <strong>in</strong> Systemwiederherstellungspunkten<br />
oder Datensicherungen aufgezeichnet wurden. Sie stellen die<br />
Vorgängerversion e<strong>in</strong>er Datei oder e<strong>in</strong>es Ordners wieder her, <strong>in</strong>dem Sie mit der rechten<br />
Maustaste auf die Datei oder den Ordner klicken und den Befehl Vorgängerversionen<br />
wiederherstellen wählen (Abbildung B.26).
Abbildung B.26 Wiederherstellen der Vorgängerversion e<strong>in</strong>er Datei<br />
Verwalten von Offl<strong>in</strong>edateien 421<br />
Daraufh<strong>in</strong> wird die Registerkarte Vorgängerversionen im Eigenschaftendialogfeld der<br />
Datei geöffnet (Abbildung B.27). Hier werden die Vorgängerversionen der Datei aufgelistet,<br />
die <strong>in</strong> Datensicherungen und Wiederherstellungspunkten gespeichert wurden.<br />
Abbildung B.27 Auswählen der Version,<br />
die wiederhergestellt werden soll
422 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
Um e<strong>in</strong>e Vorgängerversion wiederherzustellen, wählen Sie die Version aus, die Sie verwenden<br />
wollen, und klicken auf Wiederherstellen. Wenn Sie dabei e<strong>in</strong>e Vorgängerversion<br />
gewählt haben, die <strong>in</strong> e<strong>in</strong>em Wiederherstellungspunkt gespeichert wurde, öffnet sich das<br />
Dialogfeld aus Abbildung B.28.<br />
Abbildung B.28 Wiederherstellen e<strong>in</strong>er Vorgängerversion,<br />
die <strong>in</strong> e<strong>in</strong>em Wiederherstellungspunkt gespeichert wurde<br />
Stellen Sie dagegen e<strong>in</strong>e Vorgängerversion wieder her, die im Rahmen e<strong>in</strong>er Datensicherung<br />
gespeichert wurde, behandelt <strong>W<strong>in</strong>dows</strong> diesen Vorgang als Dateikopie. Sie bekommen<br />
daher das Dialogfeld aus Abbildung B.29 angezeigt.<br />
Abbildung B.29 Wiederherstellen e<strong>in</strong>er Vorgängerversion<br />
aus e<strong>in</strong>er Datensicherung<br />
Beachten Sie folgende Punkte, wenn Sie Vorgängerversionen von Dateien und Ordnern<br />
wiederherstellen:<br />
Nicht alle Vorgängerversionen von Dateien und Ordnern können wiederhergestellt<br />
werden. <strong>W<strong>in</strong>dows</strong> macht nur Dateien und Ordner verfügbar, die <strong>in</strong> Wiederherstellungspunkten<br />
und Datensicherungen gespeichert wurden.
Verwalten von Offl<strong>in</strong>edateien 423<br />
Wenn Sie den Namen e<strong>in</strong>er Datei ändern, müssen Sie den gesamten Ordner wiederherstellen,<br />
damit Sie Zugriff auf e<strong>in</strong>e alte Version der Datei bekommen.<br />
Wiederherstellungspunkte werden vom Computerschutzfeature erstellt, das <strong>in</strong> der<br />
Standarde<strong>in</strong>stellung nur für das Systemvolume aktiviert ist. Sie aktivieren den<br />
Computerschutz für e<strong>in</strong> anderes Volume, <strong>in</strong>dem Sie das Systemsteuerungselement<br />
System öffnen, auf Computerschutz und dann auf Konfigurieren klicken. Wählen Sie<br />
dann im Dialogfeld Systemschutz (Abbildung B.30) entweder die Option Systeme<strong>in</strong>stellungen<br />
und vorherige Dateiversionen wiederherstellen oder Nur vorherige Dateiversionen<br />
wiederherstellen aus. Passen Sie schließlich den Schieberegler an, um die<br />
maximale Belegung festzulegen, und klicken Sie auf OK.<br />
Abbildung B.30 Aktivieren des Computerschutzes auf e<strong>in</strong>er Festplatte<br />
Bevor Sie e<strong>in</strong>e Vorgängerversion e<strong>in</strong>er Datei wiederherstellen, können Sie die Vorgängerversionen<br />
von Dateien öffnen, die <strong>in</strong> Wiederherstellungspunkten gespeichert<br />
wurden. Auf diese Weise können Sie feststellen, welche Version der Datei sich am<br />
besten für die Wiederherstellung eignet. Beachten Sie aber, dass Sie ke<strong>in</strong>e Vorgängerversionen<br />
von Dateien öffnen können, die <strong>in</strong> Datensicherungen gespeichert wurden.<br />
Wenn Sie die Vorgängerversion e<strong>in</strong>er Datei oder e<strong>in</strong>es Ordners wiederherstellen,<br />
können Sie diesen Vorgang nicht rückgängig machen.<br />
Wenn die Schaltfläche Wiederherstellen nicht verfügbar ist, können Sie die Vorgängerversion<br />
der Datei oder des Ordners nicht am ursprünglichen Speicherort wiederherstellen.<br />
Unter Umständen ist es aber möglich, die Datei oder den Ordner zu öffnen<br />
und an e<strong>in</strong>em anderen Ort zu speichern.<br />
Wenn Sie möchten, dass die aktuelle Version e<strong>in</strong>er Datei oder e<strong>in</strong>es Ordners künftig<br />
als Vorgängerversion zur Verfügung steht, können Sie von Hand e<strong>in</strong>en Wiederherstellungspunkt<br />
erstellen. Öffnen Sie dazu das Systemsteuerungselement System, klicken<br />
Sie auf Computerschutz und dann auf Erstellen (Abbildung B.31).
424 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
Abbildung B.31 E<strong>in</strong>en Wiederherstellungspunkt von Hand erstellen<br />
Übung Arbeiten mit Offl<strong>in</strong>edateien<br />
In dieser Übung machen Sie sich mit der Funktion von Offl<strong>in</strong>edateien vertraut.<br />
Übung 1 Arbeiten mit Offl<strong>in</strong>edateien<br />
In dieser Übung legen Sie e<strong>in</strong>e Netzwerkfreigabe an und konfigurieren e<strong>in</strong>e Datei <strong>in</strong> dieser<br />
Freigabe so, dass sie immer offl<strong>in</strong>e verfügbar ist. Dann nehmen Sie Änderungen an der Datei<br />
vor, während Sie im Onl<strong>in</strong>e- und dann im Offl<strong>in</strong>ebetrieb arbeiten, und sehen sich das Ergebnis<br />
an. Um diese Übung durchzuarbeiten, brauchen Sie:<br />
E<strong>in</strong>en Domänencontroller, der unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2 läuft. Hierfür können Sie<br />
den Server DC1 aus den früheren Übungen verwenden.<br />
E<strong>in</strong>en <strong>W<strong>in</strong>dows</strong> 7-Clientcomputer, der Mitglied derselben Domäne ist. Hierfür können<br />
Sie den Computer CLIENT1 aus den früheren Übungen verwenden.<br />
1. Melden Sie sich beim Domänencontroller DC1 mit e<strong>in</strong>em Domänenadm<strong>in</strong>istratorkonto<br />
an.<br />
2. Legen Sie im Stammverzeichnis des Laufwerks C:\ e<strong>in</strong>en Ordner namens Freigabe1 an.<br />
3. Klicken Sie mit der rechten Maustaste auf den Ordner Freigabe1, wählen Sie im Kontextmenü<br />
den Befehl Freigeben für und klicken Sie auf Bestimmte Personen.<br />
4. Geben Sie auf der Seite Wählen Sie Benutzer im Netzwerk aus, mit denen Sie Elemente<br />
geme<strong>in</strong>sam verwenden möchten des Dateifreigabe-Assistenten den Gruppennamen<br />
Domänen-Benutzer e<strong>in</strong> und klicken Sie auf H<strong>in</strong>zufügen.<br />
5. Weisen Sie der Gruppe Domänen-Benutzer die Berechtigungsebene Lesen/Schreiben zu<br />
und klicken Sie auf Freigabe.<br />
6. Klicken Sie auf der Seite Der Ordner wurde freigegeben des Dateifreigabe-Assistenten<br />
auf Fertig.
Verwalten von Offl<strong>in</strong>edateien 425<br />
7. Melden Sie sich unter e<strong>in</strong>em Domänenbenutzerkonto am <strong>W<strong>in</strong>dows</strong> 7-Computer CLIENT1<br />
an.<br />
8. Geben Sie im Suchfeld des Startmenüs den Pfad \\DC1\Freigabe1 e<strong>in</strong> und drücken Sie<br />
die EINGABETASTE.<br />
9. Legen Sie <strong>in</strong> Freigabe1 e<strong>in</strong>e neue Textdatei namens Test1.txt an.<br />
10. Wählen Sie Test1.txt aus, klicken Sie die Datei mit der rechten Maustaste an und wählen<br />
Sie im Kontextmenü den Befehl Immer offl<strong>in</strong>e verfügbar.<br />
11. Öffnen Sie Test1.txt und fügen Sie den Text Version 1 e<strong>in</strong>. Speichern und schließen Sie<br />
die Datei.<br />
12. Wählen Sie die Datei Test1.txt aus. Klicken Sie <strong>in</strong> der Symbolleiste des <strong>W<strong>in</strong>dows</strong>-<br />
Explorers auf Offl<strong>in</strong>ebetrieb.<br />
13. Öffnen Sie Test1.txt und fügen Sie den Text Version 2 e<strong>in</strong>. Speichern und schließen Sie<br />
die Datei.<br />
14. Wechseln Sie auf den Server DC1. Suchen Sie die Datei Test1.txt <strong>in</strong> Freigabe1 und<br />
öffnen Sie die Datei.<br />
Test1.txt enthält noch den Text »Version 1«.<br />
15. Schließen Sie Test1.txt.<br />
16. Wechseln Sie auf CLIENT1. Klicken Sie <strong>in</strong> der Symbolleiste des <strong>W<strong>in</strong>dows</strong>-Explorers auf<br />
Onl<strong>in</strong>ebetrieb.<br />
17. Klicken Sie mit der rechten Maustaste auf Test1.txt, wählen Sie im Kontextmenü Synchronisierung<br />
und dann Ausgewählte Offl<strong>in</strong>edateien synchronisieren.<br />
18. Wechseln Sie auf den Server DC1 und öffnen Sie Test1.txt.<br />
Test1.txt enthält nun den Text »Version 2«.<br />
19. Wechseln Sie auf CLIENT1 und schalten Sie wieder <strong>in</strong> den Offl<strong>in</strong>ebetrieb.<br />
20. Öffnen Sie Test1.txt und fügen Sie den Text Version 3 e<strong>in</strong>. Speichern und schließen Sie<br />
die Datei.<br />
21. Wechseln Sie auf den Server DC1, öffnen Sie Test1.txt und tippen Sie Version 3.1 e<strong>in</strong>.<br />
Speichern und schließen Sie die Datei.<br />
22. Wechseln Sie auf CLIENT1, schalten Sie <strong>in</strong> den Onl<strong>in</strong>ebetrieb und versuchen Sie, die<br />
Datei zu synchronisieren.<br />
Das Dialogfeld Konflikt auflösen wird geöffnet und fragt nach, ob Sie e<strong>in</strong>e der beiden<br />
Dateien oder beide behalten wollen.<br />
23. Klicken Sie auf Beide Versionen behalten.<br />
Nun taucht e<strong>in</strong>e zweite Version der Datei <strong>in</strong> Freigabe1 auf.<br />
24. Melden Sie sich von beiden Computern ab.
426 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
Verwalten von Benutzerdaten im Netzwerk<br />
In e<strong>in</strong>em großen Netzwerk ist wichtig, dass die Dateien und E<strong>in</strong>stellungen Ihrer Benutzer<br />
ständig verfügbar s<strong>in</strong>d. Um dieses Ziel zu erreichen, müssen Dateien sowohl onl<strong>in</strong>e als auch<br />
offl<strong>in</strong>e zur Verfügung stehen, wie weiter oben <strong>in</strong> diesem Anhang beschrieben. Es ist aber<br />
auch wichtig, dass die Benutzer auf jedem Computer im Netzwerk Zugriff auf ihre Dateien<br />
und E<strong>in</strong>stellungen haben.<br />
Dieser Abschnitt stellt zwei Methoden vor, die sich gegenseitig ergänzen: servergespeicherte<br />
Benutzerprofile und Ordnerumleitung. Beide dienen dazu, die Daten e<strong>in</strong>es Benutzers im<br />
gesamten Netzwerk verfügbar zu machen.<br />
Grundlagen der Benutzerprofile <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
Allgeme<strong>in</strong> ausgedrückt, umfasst e<strong>in</strong> Benutzerprofil alle Daten, aus denen sich die <strong>in</strong>dividuelle<br />
Umgebung e<strong>in</strong>es Benutzers zusammensetzt: die e<strong>in</strong>zelnen Dateien des Benutzers, se<strong>in</strong>e<br />
Anwendungse<strong>in</strong>stellungen und die Desktopkonfiguration. Etwas genauer betrachtet, ist e<strong>in</strong><br />
Benutzerprofil der Inhalt des persönlichen Ordners. Dieser Ordner wird von <strong>W<strong>in</strong>dows</strong> automatisch<br />
erstellt und trägt den Namen des jeweiligen Benutzers. In der Standarde<strong>in</strong>stellung<br />
wird dieser persönliche Ordner im Ordner C:\Users (im <strong>W<strong>in</strong>dows</strong>-Explorer der deutschen<br />
Version als Benutzer angezeigt) angelegt, sobald sich e<strong>in</strong> Benutzer zum ersten Mal an e<strong>in</strong>em<br />
<strong>W<strong>in</strong>dows</strong> 7-Computer anmeldet. Er enthält Unterordner wie Documents, Desktop und<br />
Downloads sowie e<strong>in</strong>e persönliche Datendatei namens Ntuser.dat. Wenn der Name e<strong>in</strong>es<br />
Benutzers zum Beispiel StefanH lautet, werden die Daten, die se<strong>in</strong>e persönliche Umgebung<br />
bilden, standardmäßig <strong>in</strong> e<strong>in</strong>em Ordner namens C:\Users\StefanH gespeichert. E<strong>in</strong>en Ausschnitt<br />
dieses Ordners sehen Sie <strong>in</strong> Abbildung B.32.<br />
Abbildung B.32 E<strong>in</strong> Benutzerprofil
Verwalten von Benutzerdaten im Netzwerk 427<br />
Zwar wird jedes Benutzerprofil standardmäßig <strong>in</strong> C:\Users gespeichert, aber dieser Standardspeicherort<br />
ist für <strong>Unternehmen</strong>sumgebungen oft ungeeignet, <strong>in</strong>sbesondere wenn<br />
Benutzer oft den Computer wechseln. Im Idealfall begleiten Dokumente und E<strong>in</strong>stellungen<br />
den Benutzer von Computer zu Computer, sodass sie nicht auf e<strong>in</strong>en e<strong>in</strong>zelnen Computer<br />
beschränkt bleiben, sondern sich über mehrere Computer verteilen. Damit die Dokumente<br />
und E<strong>in</strong>stellungen dem Benutzer <strong>in</strong> e<strong>in</strong>er Organisation auf diese Weise überall zur Verfügung<br />
stehen, haben Netzwerkadm<strong>in</strong>istratoren <strong>in</strong> e<strong>in</strong>er Domänenumgebung bisher immer<br />
servergespeicherte Benutzerprofile konfiguriert. E<strong>in</strong> servergespeichertes Benutzerprofil<br />
(roam<strong>in</strong>g user profile) ist e<strong>in</strong> Profil, das <strong>in</strong> e<strong>in</strong>er Netzwerkfreigabe gespeichert ist und auf<br />
das e<strong>in</strong> Benutzer Zugriff hat, sobald er sich an irgende<strong>in</strong>em Computer im Netzwerk anmeldet.<br />
Um Domänenbenutzerkonten mit servergespeicherten Benutzerprofilen zu konfigurieren,<br />
brauchen Sie lediglich die Eigenschaften dieser Konten so zu ändern, dass die Profile<br />
statt auf dem lokalen Computer <strong>in</strong> e<strong>in</strong>er zentralen Netzwerkfreigabe gespeichert s<strong>in</strong>d. Dann<br />
wird der persönliche Ordner, der die Dokumente und E<strong>in</strong>stellungen e<strong>in</strong>es Benutzers enthält,<br />
jedes Mal von der Netzwerkfreigabe auf den lokalen Computer heruntergeladen, wenn sich<br />
der Benutzer irgendwo anmeldet. Es ist also ganz egal, auf welchem Domänencomputer sich<br />
der Benutzer anmeldet. Alle Änderungen, die am Benutzerprofil vorgenommen wurden,<br />
werden anschließend wieder <strong>in</strong> die zentrale Netzwerkfreigabe zurückkopiert, wenn sich der<br />
Benutzer abmeldet.<br />
In allen <strong>W<strong>in</strong>dows</strong>-Versionen vor <strong>W<strong>in</strong>dows</strong> 7 wurden Änderungen, die am Benutzerprofil<br />
vorgenommen wurden, erst dann <strong>in</strong> die zentrale Netzwerkfreigabe kopiert, wenn sich der<br />
Benutzer abmeldete. In e<strong>in</strong>em Netzwerk, das Clients mit <strong>W<strong>in</strong>dows</strong> 7 und Server mit <strong>W<strong>in</strong>dows</strong><br />
Server 2008 R2 enthält, können die Änderungen an den Benutzere<strong>in</strong>stellungen dagegen<br />
auch regelmäßig mit e<strong>in</strong>er Remotenetzwerkfreigabe synchronisiert werden. Dieses Feature<br />
wird im Abschnitt »H<strong>in</strong>tergrundsynchronisierung servergespeicherter Benutzerprofile <strong>in</strong><br />
<strong>W<strong>in</strong>dows</strong> 7« weiter unten <strong>in</strong> diesem Anhang beschrieben.<br />
Abbildung B.33 E<strong>in</strong> servergespeichertes Benutzerprofil<br />
wird <strong>in</strong> den Eigenschaften des Benutzerkontos konfiguriert
428 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
Abbildung B.33 zeigt e<strong>in</strong> Benutzerkonto, das mit e<strong>in</strong>em servergespeicherten Benutzerprofil<br />
konfiguriert ist.<br />
Änderungen an Benutzerprofilen seit <strong>W<strong>in</strong>dows</strong> Vista<br />
In <strong>W<strong>in</strong>dows</strong> Vista wurden umfassende Änderungen an Speicherort, Aufbau und Inhalt der<br />
Benutzerprofile e<strong>in</strong>geführt. Gegenüber diesen Änderungen <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Vista s<strong>in</strong>d Änderungen<br />
an Benutzerprofilen, die <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 vorgenommen wurden, vergleichsweise ger<strong>in</strong>g.<br />
Aber viele Firmen, die <strong>W<strong>in</strong>dows</strong> 7 bereitstellen, verwenden bisher nur ältere Betriebssysteme<br />
als <strong>W<strong>in</strong>dows</strong> Vista, also beispielsweise <strong>W<strong>in</strong>dows</strong> XP und <strong>W<strong>in</strong>dows</strong> Server 2003. Aus<br />
diesem Grund müssen Sie wissen, welche Unterschiede im Bereich der Benutzerprofile<br />
zwischen älteren Betriebssystemen als <strong>W<strong>in</strong>dows</strong> Vista und Betriebssystemen ab <strong>W<strong>in</strong>dows</strong><br />
Vista bestehen. Ab <strong>W<strong>in</strong>dows</strong> Vista wurden die Benutzerprofildaten neu organisiert und an<br />
anderen Stellen <strong>in</strong>nerhalb der <strong>W<strong>in</strong>dows</strong>-Dateistruktur gespeichert.<br />
Die folgende Liste fasst zusammen, welche Änderungen <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7<br />
im Bereich der <strong>W<strong>in</strong>dows</strong>-Benutzerprofile e<strong>in</strong>geführt wurden:<br />
Der Stamm des Benutzerprofilnamespace wurde von %SystemDrive%\Dokumente und<br />
E<strong>in</strong>stellungen nach %SystemDrive%\Users verlegt. Das bedeutet zum Beispiel, dass der<br />
Profilordner des Benutzers Michael Allen (mallen@contoso.com) nun unter %System-<br />
Drive%\Users\mallen zu f<strong>in</strong>den ist und nicht mehr unter %SystemDrive%\Dokumente<br />
und E<strong>in</strong>stellungen\mallen.<br />
Das Präfix Eigene (oder My) mancher Ordner wurde weggelassen, um die Oberfläche<br />
übersichtlicher zu gestalten. Dokumente werden nun zum Beispiel im Ordner Dokumente<br />
gespeichert und nicht mehr <strong>in</strong> Eigene Dateien. Beachten Sie, dass diese Ordner<br />
unter <strong>W<strong>in</strong>dows</strong> Vista nicht nur im <strong>W<strong>in</strong>dows</strong>-Explorer ohne das Präfix Eigene (oder My)<br />
angezeigt werden, sondern auch <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung. Beg<strong>in</strong>nend mit <strong>W<strong>in</strong>dows</strong> 7<br />
weisen diese Ordner aber e<strong>in</strong> Eigene-Präfix auf, wenn sie im <strong>W<strong>in</strong>dows</strong>-Explorer angezeigt<br />
werden. Bei der Anzeige <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung ist dies nicht der Fall.<br />
Anders gesagt: Der <strong>W<strong>in</strong>dows</strong>-Explorer von <strong>W<strong>in</strong>dows</strong> 7 stellt den Namen dieser Ordner<br />
bei der Darstellung e<strong>in</strong> Eigene-Präfix voran, während die Ordner im zugrundeliegenden<br />
Dateisystem dieses Namenspräfix nicht tragen.<br />
Die neuen Versionen der Ordner Eigene Musik, Eigene Bilder und Eigene Videos s<strong>in</strong>d<br />
unter <strong>W<strong>in</strong>dows</strong> Vista und höher nicht mehr Unterordner von Eigene Dateien. Stattdessen<br />
werden diese und andere vom Benutzer verwaltete Datenordner nun im Stammordner<br />
des Benutzerprofils gespeichert und bef<strong>in</strong>den sich auf derselben Stufe wie der Ordner<br />
Dokumente. Der Benutzerprofilnamespace wurde auf diese Weise flacher gemacht, um<br />
e<strong>in</strong>e bessere Trennung zwischen vom Benutzer verwalteten Daten und Anwendungse<strong>in</strong>stellungen<br />
zu erreichen und die Ordnerumleitung zu vere<strong>in</strong>fachen.<br />
Unter dem Stammordner des Benutzerprofils wurden neue Unterordner angelegt, um die<br />
Organisation der vom Benutzer verwalteten Daten und E<strong>in</strong>stellungen übersichtlicher zu<br />
gestalten und nach Möglichkeit zu verh<strong>in</strong>dern, dass Benutzer oder Anwendungen Daten<br />
im falschen Ordner des Benutzerprofils speichern. Die folgenden Unterordner wurden<br />
seit <strong>W<strong>in</strong>dows</strong> Vista neu <strong>in</strong>s Profil aufgenommen:<br />
Kontakte Standardspeicherort für Kontakt<strong>in</strong>formationen des Benutzers<br />
Downloads Standardspeicherort für alles, was heruntergeladen wird<br />
Suchvorgänge Standardspeicherort für gespeicherte Suchvorgänge
L<strong>in</strong>ks Standardspeicherort für Explorerfavoriten<br />
Verwalten von Benutzerdaten im Netzwerk 429<br />
Gespeicherte Spiele Standardspeicherort für gespeicherte Spiele<br />
E<strong>in</strong> neuer verborgener Ordner namens AppData unter dem Profilstamm dient als zentraler<br />
Speicherort für alle benutzerspezifischen Anwendungse<strong>in</strong>stellungen und B<strong>in</strong>ärdateien.<br />
Außerdem gibt es unter AppData folgende drei Unterordner, um e<strong>in</strong>e bessere Trennung<br />
der Zustandsdaten zu erreichen und die Übernahme der Anwendungsdaten auf andere<br />
Computer zu erleichtern:<br />
Local Dieser Ordner speichert computerspezifische Anwendungsdaten und -e<strong>in</strong>stellungen,<br />
die dem Benutzer nicht folgen können (oder sollen), sowie vom Benutzer<br />
verwaltete Daten oder E<strong>in</strong>stellungen, die zu umfangreich s<strong>in</strong>d, um auf andere Computer<br />
übernommen zu werden. Der Ordner AppData\Local <strong>in</strong> e<strong>in</strong>em Benutzerprofil<br />
unter <strong>W<strong>in</strong>dows</strong> Vista oder höher lässt sich mit dem Ordner Lokale E<strong>in</strong>stellungen\<br />
Anwendungsdaten unter dem Stammordner e<strong>in</strong>es <strong>W<strong>in</strong>dows</strong> XP-Benutzerprofils<br />
vergleichen.<br />
Roam<strong>in</strong>g Dieser Ordner speichert benutzerspezifische Anwendungsdaten und -e<strong>in</strong>stellungen,<br />
die dem Benutzer folgen sollen (oder müssen), wenn servergespeicherte<br />
Benutzerprofile verwendet werden. Der Ordner AppData\Roam<strong>in</strong>g e<strong>in</strong>es Benutzerprofils<br />
unter <strong>W<strong>in</strong>dows</strong> Vista oder höher gleicht dem Ordner Anwendungsdaten unter<br />
dem Stammordner e<strong>in</strong>es <strong>W<strong>in</strong>dows</strong> XP-Benutzerprofils.<br />
LocalLow Dieser Ordner ermöglicht Prozessen mit niedriger Integritätse<strong>in</strong>stufung<br />
Schreibzugriff. Prozesse mit niedriger Integritätse<strong>in</strong>stufung führen Aufgaben durch,<br />
die für das Betriebssystem potenziell gefährlich s<strong>in</strong>d. Beispielsweise müssen Anwendungen,<br />
die im geschützten Modus des Internet Explorers gestartet werden, zur Speicherung<br />
von Anwendungsdaten und -e<strong>in</strong>stellungen diesen Profilordner verwenden.<br />
Für den Profilordner LocalLow gibt es <strong>in</strong> <strong>W<strong>in</strong>dows</strong> XP ke<strong>in</strong>e Entsprechung.<br />
Das Profil Alle Benutzer wurde <strong>in</strong> Public umbenannt. Das Profil Public bietet die Möglichkeit,<br />
Daten zu allen Benutzerprofilen h<strong>in</strong>zuzufügen, ohne jedes Benutzerprofil e<strong>in</strong>zeln<br />
bearbeiten zu müssen. Wenn Sie also e<strong>in</strong>e Verknüpfung zum Desktop des Profils Public<br />
h<strong>in</strong>zufügen, bekommen alle Benutzer diese Verknüpfung auf ihrem Desktop angezeigt,<br />
sobald sie sich anmelden.<br />
Benutzer können nun auf e<strong>in</strong>fache und sichere Weise e<strong>in</strong>zelne Dateien aus ihren Profilordnern<br />
und Unterordnern freigeben.<br />
Das Profil Default User wurde <strong>in</strong> Default umbenannt. Wie das Profil Default User von<br />
<strong>W<strong>in</strong>dows</strong> XP wird das Profil Default von <strong>W<strong>in</strong>dows</strong> Vista und höher nie geladen, sondern<br />
bei der Erstellung e<strong>in</strong>es neuen Profils kopiert. Das Profil Default dient als Vorlage, wenn<br />
sich e<strong>in</strong> Benutzer das erste Mal am Computer anmeldet und se<strong>in</strong> Benutzerprofil erstellt<br />
wird.<br />
Tabelle B.1 fasst die vielen Unterschiede zwischen Benutzerprofilen <strong>in</strong> <strong>W<strong>in</strong>dows</strong>-Versionen<br />
vor <strong>W<strong>in</strong>dows</strong> Vista und ab <strong>W<strong>in</strong>dows</strong> Vista zusammen. (Beachten Sie, dass e<strong>in</strong>ige der <strong>in</strong> Tabelle<br />
B.1 aufgeführten Ordner <strong>in</strong> der Standarde<strong>in</strong>stellung nicht angezeigt werden.)
430 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
Tabelle B.1 Änderungen am Benutzerprofil <strong>in</strong> <strong>W<strong>in</strong>dows</strong><br />
Position im Benutzerprofilordner<br />
von <strong>W<strong>in</strong>dows</strong> Vista,<br />
<strong>W<strong>in</strong>dows</strong> Server 2008 und<br />
<strong>W<strong>in</strong>dows</strong> 7 (unter \Users\<br />
Benutzername)<br />
Position im Benutzerprofilordner<br />
von <strong>W<strong>in</strong>dows</strong> 2000,<br />
<strong>W<strong>in</strong>dows</strong> XP und <strong>W<strong>in</strong>dows</strong><br />
Server 2003 (deutsche Version,<br />
unter \Dokumente und<br />
E<strong>in</strong>stellungen\Benutzername\)<br />
Position im Benutzerprofilordner<br />
von <strong>W<strong>in</strong>dows</strong> 2000,<br />
<strong>W<strong>in</strong>dows</strong> XP und <strong>W<strong>in</strong>dows</strong><br />
Server 2003 (englische Version,<br />
unter \Documents and Sett<strong>in</strong>gs\<br />
Benutzername\)<br />
. . .\AppData\Roam<strong>in</strong>g ...\Anwendungsdaten . . .\Application Data<br />
. . .\AppData\Local . . .\Lokale E<strong>in</strong>stellungen\<br />
Anwendungsdaten<br />
. . .\AppData\Local\Microsoft\<br />
<strong>W<strong>in</strong>dows</strong>\History<br />
. . .\Local Sett<strong>in</strong>gs\Application<br />
Data<br />
. . .\Lokale E<strong>in</strong>stellungen\Verlauf . . .\Local Sett<strong>in</strong>gs\History<br />
. . .\AppData\Local\Temp . . .\Lokale E<strong>in</strong>stellungen\Temp . . .\Local Sett<strong>in</strong>gs\Temp<br />
. . .\AppData\Local\Microsoft\<br />
<strong>W<strong>in</strong>dows</strong>\Temporary Internet<br />
Files<br />
. . .\AppData\Roam<strong>in</strong>g\Microsoft<br />
\<strong>W<strong>in</strong>dows</strong>\Cookies<br />
. . .\AppData\Roam<strong>in</strong>g\Microsoft<br />
\<strong>W<strong>in</strong>dows</strong>\Libraries (nur<br />
<strong>W<strong>in</strong>dows</strong> 7 und <strong>W<strong>in</strong>dows</strong><br />
Server 2008 R2)<br />
. . .\AppData\Roam<strong>in</strong>g\<br />
Microsoft\<strong>W<strong>in</strong>dows</strong>\Network<br />
Shortcuts<br />
. . .\AppData\Roam<strong>in</strong>g\<br />
Microsoft\<strong>W<strong>in</strong>dows</strong>\Pr<strong>in</strong>ter<br />
Shortcuts<br />
. . .\AppData\Roam<strong>in</strong>g\<br />
Microsoft\<strong>W<strong>in</strong>dows</strong>\Recent<br />
Items<br />
. . .\Lokale E<strong>in</strong>stellungen\<br />
Temporary Internet Files<br />
. . .\Cookies . . .\Cookies<br />
. . .\Local Sett<strong>in</strong>gs\Temporary<br />
Internet Files<br />
Nicht vorhanden Nicht vorhanden<br />
. . .\Netzwerkumgebung . . .\Nethood<br />
. . .\Druckumgebung . . .\Pr<strong>in</strong>tHood<br />
. . .\Zuletzt verwendete Dokumente<br />
. . .\Recent<br />
. . .\AppData\Roam<strong>in</strong>g\<br />
Microsoft\<strong>W<strong>in</strong>dows</strong>\Send To<br />
. . .\SendTo . . .\SendTo<br />
. . .\AppData\Roam<strong>in</strong>g\<br />
Microsoft\<strong>W<strong>in</strong>dows</strong>\Start Menu<br />
. . .\Startmenü . . .\Start Menu<br />
. . .\AppData\Roam<strong>in</strong>g\<br />
Microsoft\<strong>W<strong>in</strong>dows</strong>\Templates<br />
. . .\Vorlagen . . .\Templates<br />
. . .\Contacts Nicht vorhanden Nicht vorhanden<br />
. . .\Desktop . . .\Desktop . . .\Desktop<br />
. . .\My Documents (nur<br />
Documents <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Vista<br />
und <strong>W<strong>in</strong>dows</strong> Server 2008 R1)<br />
. . .\Eigene Dateien . . .\My Documents<br />
. . .\Downloads Nicht vorhanden Nicht vorhanden<br />
. . .\Favorites . . .\Favoriten . . .\Favorites
Position im Benutzerprofilordner<br />
von <strong>W<strong>in</strong>dows</strong> Vista,<br />
<strong>W<strong>in</strong>dows</strong> Server 2008 und<br />
<strong>W<strong>in</strong>dows</strong> 7 (unter \Users\<br />
Benutzername)<br />
. . .\My Music (nur Music <strong>in</strong><br />
<strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong><br />
Server 2008 R1)<br />
. . .\My Videos (nur Videos <strong>in</strong><br />
<strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong><br />
Server 2008 R1)<br />
. . .\My Pictures (nur Pictures <strong>in</strong><br />
<strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong><br />
Server 2008 R1)<br />
Position im Benutzerprofilordner<br />
von <strong>W<strong>in</strong>dows</strong> 2000,<br />
<strong>W<strong>in</strong>dows</strong> XP und <strong>W<strong>in</strong>dows</strong><br />
Server 2003 (deutsche Version,<br />
unter \Dokumente und<br />
E<strong>in</strong>stellungen\Benutzername\)<br />
Verwalten von Benutzerdaten im Netzwerk 431<br />
. . .\Eigene Musik . . .\My Music<br />
. . .\Eigene Videos . . .\My Videos<br />
. . .\Eigene Bilder . . .\My Pictures<br />
Position im Benutzerprofilordner<br />
von <strong>W<strong>in</strong>dows</strong> 2000,<br />
<strong>W<strong>in</strong>dows</strong> XP und <strong>W<strong>in</strong>dows</strong><br />
Server 2003 (englische Version,<br />
unter \Documents and Sett<strong>in</strong>gs\<br />
Benutzername\)<br />
. . .\Searches Nicht vorhanden Nicht vorhanden<br />
. . .\L<strong>in</strong>ks Nicht vorhanden Nicht vorhanden<br />
. . .\Saved Games Nicht vorhanden Nicht vorhanden<br />
H<strong>in</strong>tergrundsynchronisierung servergespeicherter Benutzerprofile <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
E<strong>in</strong>e andere wichtige Änderung bei den Benutzerprofilen betrifft direkt die servergespeicherten<br />
Benutzerprofile. Ab <strong>W<strong>in</strong>dows</strong> 7 ist es möglich, die aktuellen Benutzere<strong>in</strong>stellungen<br />
(die <strong>in</strong> der Datei Ntuser.dat gespeichert s<strong>in</strong>d) von Benutzern, die servergespeicherte Benutzerprofile<br />
haben, regelmäßig mit dem Server zu synchronisieren, während diese Benutzer<br />
auf ihrem Computer angemeldet s<strong>in</strong>d. Das ist e<strong>in</strong>e Änderung gegenüber den servergespeicherten<br />
Benutzerprofilen <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Vista und älteren Versionen, wo servergespeicherte<br />
Benutzerprofile erst beim Abmelden mit dem Server synchronisiert wurden.<br />
Die H<strong>in</strong>tergrundsynchronisierung servergespeicherter Benutzerprofile ist <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
standardmäßig deaktiviert. Sie kann auf den Zielcomputern mithilfe von Gruppenrichtl<strong>in</strong>ien<br />
aktiviert werden. Die folgende Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellung steuert dieses Verhalten:<br />
Computerkonfiguration\Richtl<strong>in</strong>ien\Adm<strong>in</strong>istrative Vorlagen\System\Benutzerprofile\<br />
Registrierungsdatei für servergespeichertes Benutzerprofil im H<strong>in</strong>tergrund hochladen,<br />
während Benutzer angemeldet ist<br />
Wenn Sie diese Richtl<strong>in</strong>iene<strong>in</strong>stellung aktivieren, können Sie die H<strong>in</strong>tergrundsynchronisierung<br />
servergespeicherter Benutzerprofile so konfigurieren, dass die Synchronisierung nach<br />
e<strong>in</strong>em der folgenden Zeitpläne erfolgt:<br />
Fester Zeitabstand (Standarde<strong>in</strong>stellung 12 Stunden, möglich s<strong>in</strong>d Intervalle von 1 bis<br />
720 Stunden)<br />
Bestimmte Uhrzeit (Standarde<strong>in</strong>stellung 3:00 Uhr nachts)<br />
Bibliotheken <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
E<strong>in</strong>e der wichtigsten Neuerungen <strong>in</strong> den <strong>W<strong>in</strong>dows</strong> 7-Profilen s<strong>in</strong>d die Bibliotheken. Dieses<br />
Feature bietet e<strong>in</strong>fachen Zugriff auf wichtige Dateien und Ordner auf der lokalen Festplatte<br />
und <strong>in</strong> Netzwerkfreigaben. In <strong>W<strong>in</strong>dows</strong> 7 enthält das Startmenü <strong>in</strong> der Standarde<strong>in</strong>stellung
432 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
Verknüpfungen zu den Bibliotheken Dokumente, Musik und Bilder. Alle vier Bibliotheken<br />
werden außerdem immer aufgelistet, wenn Sie den <strong>W<strong>in</strong>dows</strong>-Explorer öffnen (Abbildung<br />
B.34).<br />
Abbildung B.34 Die vier Standardbibliotheken <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
Beachten Sie, dass diese Bibliotheken nicht e<strong>in</strong>fach Verknüpfungen zu Ordnern des jeweiligen<br />
Namens s<strong>in</strong>d. So ist die Bibliothek Dokumente ke<strong>in</strong>e simple Verknüpfung mit dem Ordner<br />
Documents, sondern sie enthält alle Dateien und Ordner, die (<strong>in</strong> der Standarde<strong>in</strong>stellung)<br />
an zwei Stellen gespeichert s<strong>in</strong>d:<br />
Dokumente Der Ordner C:\Users\\Documents im Profil des Benutzers<br />
Öffentliche Dokumente Auf den Ordner C:\Users\Public\Documents kann jeder<br />
Benutzer zugreifen, der <strong>in</strong>teraktiv am Computer angemeldet ist<br />
Anders ausgedrückt: Wenn Sie die Bibliothek Dokumente öffnen, bekommen Sie standardmäßig<br />
den komb<strong>in</strong>ierten Inhalt der Ordner Dokumente und Öffentliche Dokumente angezeigt.<br />
Die anderen Standardbibliotheken funktionieren ähnlich: Die Bibliothek Bilder umfasst <strong>in</strong><br />
der Standarde<strong>in</strong>stellung die Inhalte der Ordner Eigene Bilder und Öffentliche Bilder, die<br />
Bibliothek Videos standardmäßig die Inhalte der Ordner Eigene Videos und Öffentliche Videos<br />
und so weiter.<br />
Sie können neue Bibliotheken erstellen oder den Inhalt e<strong>in</strong>er vorhandenen Bibliothek ändern,<br />
<strong>in</strong>dem Sie Ordner zur Bibliothek h<strong>in</strong>zufügen. Danach wird der Inhalt dieses Ordners <strong>in</strong>nerhalb<br />
der Bibliothek angezeigt und er kann <strong>in</strong> der Bibliothek durchsucht werden.<br />
Inkompatibilitäten beim servergespeicherten Benutzerprofil<br />
Dass sich die Benutzerprofile so deutlich geändert haben, ist e<strong>in</strong> ganz wichtiger Punkt bei<br />
der <strong>W<strong>in</strong>dows</strong> 7-Bereitstellung, weil <strong>W<strong>in</strong>dows</strong> 7 (ebenso wie <strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong><br />
Server 2008) nicht dieselben servergespeicherten Profile für Benutzer verwenden können<br />
wie <strong>W<strong>in</strong>dows</strong>-Versionen, die älter s<strong>in</strong>d als <strong>W<strong>in</strong>dows</strong> Vista. Diese Inkompatibilität kann Probleme<br />
verursachen, wenn Sie <strong>W<strong>in</strong>dows</strong> 7 gerade <strong>in</strong> e<strong>in</strong>em Netzwerk bereitgestellt haben, das<br />
vorher nur Microsoft <strong>W<strong>in</strong>dows</strong> 2000, <strong>W<strong>in</strong>dows</strong> XP und <strong>W<strong>in</strong>dows</strong> Server 2003 enthielt. Immer<br />
wenn sich e<strong>in</strong> Benutzer, für den Sie e<strong>in</strong> servergespeichertes Benutzerprofil konfiguriert haben,<br />
<strong>in</strong> diesem Fall an e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Computer anmeldet, wird e<strong>in</strong> zweiter Benutzerprofil-
Verwalten von Benutzerdaten im Netzwerk 433<br />
ordner namens .V2 <strong>in</strong> der zentralen Netzwerkfreigabe erstellt. Dieser<br />
Benutzerprofilordner wird ausschließlich für <strong>W<strong>in</strong>dows</strong> 7 verwendet. Auf die Daten, die <strong>in</strong><br />
diesem neuen Ordner gespeichert s<strong>in</strong>d, kann der Benutzer nicht zugreifen, während er an<br />
e<strong>in</strong>em Computer angemeldet ist, der unter <strong>W<strong>in</strong>dows</strong> 2000, <strong>W<strong>in</strong>dows</strong> XP oder <strong>W<strong>in</strong>dows</strong><br />
Server 2003 läuft.<br />
Nehmen wir an, dass für den Benutzer CLee vor der <strong>W<strong>in</strong>dows</strong> 7-Bereitstellung e<strong>in</strong> servergespeichertes<br />
Benutzerprofil konfiguriert war. Er kann sich also an jedem beliebigen <strong>W<strong>in</strong>dows</strong><br />
2000-, <strong>W<strong>in</strong>dows</strong> XP- oder <strong>W<strong>in</strong>dows</strong> Server 2003-Computer im <strong>Unternehmen</strong> anmelden und<br />
bekommt unter anderem immer denselben Desktop und denselben Dokumenteordner angezeigt.<br />
In e<strong>in</strong>er zentralen Netzwerkfreigabe s<strong>in</strong>d alle Dokumente und E<strong>in</strong>stellungen von CLee<br />
<strong>in</strong> e<strong>in</strong>em Profil namens CLee gespeichert. Nachdem Sie nun <strong>W<strong>in</strong>dows</strong> 7 <strong>in</strong> der Organisation<br />
bereitgestellt haben, bekommt CLee standardmäßig überhaupt ke<strong>in</strong>e Elemente se<strong>in</strong>er vertrauten<br />
Umgebung angezeigt, wenn er sich an e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Computer anmeldet: Se<strong>in</strong><br />
Desktop hat sich geändert und er f<strong>in</strong>det ke<strong>in</strong>es se<strong>in</strong>er Dokumente. In der zentralen Netzwerkfreigabe<br />
gibt es nun neben dem Ordner CLee e<strong>in</strong>en neuen Ordner namens CLee.V2. Alle<br />
Änderungen, die CLee an se<strong>in</strong>er neuen <strong>W<strong>in</strong>dows</strong> 7-Umgebung vornimmt, begleiten ihn auch<br />
auf andere <strong>W<strong>in</strong>dows</strong> 7-Computer, aber diese Dokumente und E<strong>in</strong>stellungen werden getrennt<br />
von denen verwaltet, die ihm <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 2000, <strong>W<strong>in</strong>dows</strong> XP und <strong>W<strong>in</strong>dows</strong> Server 2003 zur<br />
Verfügung stehen.<br />
Abbildung B.35 zeigt, wie die Ordner für servergespeicherte Benutzerprofile <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
und <strong>W<strong>in</strong>dows</strong> XP parallel verwaltet werden.<br />
Abbildung B.35 Ordner des servergespeicherten<br />
Benutzerprofils für <strong>W<strong>in</strong>dows</strong> XP und <strong>W<strong>in</strong>dows</strong> 7<br />
Weitere E<strong>in</strong>schränkungen von servergespeicherten Benutzerprofilen<br />
Neben der fehlenden Kompatibilität zwischen den servergespeicherten Benutzerprofilen <strong>in</strong><br />
<strong>W<strong>in</strong>dows</strong> 7 und älteren <strong>W<strong>in</strong>dows</strong>-Versionen als <strong>W<strong>in</strong>dows</strong> Vista gibt es weitere wichtige E<strong>in</strong>schränkungen<br />
im Zusammenhang mit herkömmlichen servergespeicherten Benutzerprofilen,<br />
die bei allen <strong>W<strong>in</strong>dows</strong>-Versionen auftreten:<br />
Langsame An- und Abmeldung Wenn e<strong>in</strong> Benutzer, für den e<strong>in</strong> servergespeichertes<br />
Benutzerprofil konfiguriert ist, sich an e<strong>in</strong>er Domäne anmeldet, werden alle Daten, die
434 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
im Benutzerprofil enthalten s<strong>in</strong>d, von der Netzwerkfreigabe auf den lokalen Computer<br />
kopiert. Dieser Vorgang kann zur Folge haben, dass die Anmeldung langsam ist, <strong>in</strong>sbesondere<br />
wenn das Benutzerprofil über 20 MByte groß wird. Wenn sich e<strong>in</strong> Benutzer vom<br />
System abmeldet, muss das Profil wieder <strong>in</strong> die Netzwerkfreigabe zurückkopiert werden.<br />
Dieser Vorgang kann die Abmeldung verzögern.<br />
Echtzeitdatensynchronisierung mit älteren <strong>W<strong>in</strong>dows</strong>-Versionen Bei allen <strong>W<strong>in</strong>dows</strong>-<br />
Versionen vor <strong>W<strong>in</strong>dows</strong> 7 und <strong>W<strong>in</strong>dows</strong> Server 2008 R2 werden bei der Verwendung<br />
von servergespeicherten Benutzerprofilen alle Änderungen, die der Benutzer an se<strong>in</strong>en<br />
Dokumenten und E<strong>in</strong>stellungen vornimmt, erst dann <strong>in</strong> die zentrale Netzwerkfreigabe<br />
zurückgeschrieben, wenn sich der Benutzer wieder abmeldet. Diese fehlende Echtzeitdatensynchronisierung<br />
kann Probleme für Benutzer verursachen, die im Rahmen ihrer<br />
Arbeit häufig von e<strong>in</strong>em Computer zum anderen wechseln.<br />
Netzwerkprobleme können den Zugriff auf Profildaten verh<strong>in</strong>dern Falls Netzwerkprobleme<br />
auftreten, während sich e<strong>in</strong> Benutzer, für den e<strong>in</strong> servergespeichertes Benutzerprofil<br />
konfiguriert ist, an e<strong>in</strong>em Computer anmeldet, wird das servergespeicherte Benutzerprofil<br />
nicht geladen. Stattdessen wird für diesen Benutzer unter Umständen automatisch<br />
e<strong>in</strong> neues Profil auf dem lokalen System angelegt. Wenn bei künftigen Sitzungen<br />
der Zugriff auf die Netzwerkfreigabe wieder möglich ist, kann der Benutzer dann nicht<br />
mehr auf die Daten zugreifen, die er während dieser Anmeldesitzung abgespeichert hat.<br />
Fehlende Automatisierung für servergespeicherte Benutzerprofile Sie können<br />
zwar servergespeicherte Benutzerprofile für viele vorhandene Konten gleichzeitig konfigurieren,<br />
aber <strong>W<strong>in</strong>dows</strong> bietet ke<strong>in</strong>e e<strong>in</strong>gebaute Methode, für neu erstellte Benutzer<br />
standardmäßig e<strong>in</strong> servergespeichertes Benutzerprofil e<strong>in</strong>zurichten. Diese fehlende<br />
Automatisierungsmöglichkeit verursacht höheren Verwaltungsaufwand und steigert die<br />
Gefahr e<strong>in</strong>er Fehlkonfiguration.<br />
Um diese E<strong>in</strong>schränkungen von servergespeicherten Benutzerprofilen zu umgehen, können<br />
Sie e<strong>in</strong> Feature namens Ordnerumleitung nutzen. Es kann servergespeicherte Benutzerprofile<br />
entweder ersetzen oder ergänzen.<br />
Grundlagen der Ordnerumleitung <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
Die Ordnerumleitung (folder redirection) ist e<strong>in</strong> <strong>W<strong>in</strong>dows</strong>-Feature, das Ihnen erlaubt, die<br />
Zielposition von Benutzerprofilordnern so zu verändern, dass dies für den Benutzer transparent<br />
abläuft. Hat e<strong>in</strong> Adm<strong>in</strong>istrator zum Beispiel Ihren Ordner C:\Users\\<br />
My Documents auf e<strong>in</strong>e zentrale Netzwerkfreigabe umgeleitet, bekommen Sie den Ordner<br />
My Documents trotzdem <strong>in</strong> derselben Position auf Ihrem lokalen Computer angezeigt. Aber<br />
jedes Mal, wenn Sie diesen Ordner öffnen, zeigt das Fenster den Inhalt an, der auf der umgeleiteten<br />
Position <strong>in</strong> der zentralen Netzwerkfreigabe gespeichert ist. Die Ordnerumleitung<br />
verwandelt die ausgewählten Benutzerprofilordner damit praktisch <strong>in</strong> Verknüpfungen, die<br />
auf Netzwerkfreigaben verweisen. Wenn sich der Benutzer anmeldet, wird nur die Verknüpfung<br />
geladen, nicht der Inhalt der Remotefreigabe.<br />
Sie können die Ordnerumleitung für Domänenbenutzer über Gruppenrichtl<strong>in</strong>ien konfigurieren<br />
und erzw<strong>in</strong>gen. Abbildung B.36 zeigt, welche Ordner Sie mithilfe von Gruppenrichtl<strong>in</strong>ien<br />
umleiten können.
Abbildung B.36 Ordnerumleitung <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
Verwalten von Benutzerdaten im Netzwerk 435<br />
Wenn die Ordnerumleitung konfiguriert ist, bietet sie gegenüber herkömmlichen servergespeicherten<br />
Benutzerprofilen e<strong>in</strong>e Reihe wichtiger Vorteile:<br />
Kompatibilität zwischen <strong>W<strong>in</strong>dows</strong> 7 und älteren <strong>W<strong>in</strong>dows</strong>-Versionen In <strong>W<strong>in</strong>dows</strong> 7<br />
können Sie die Ordnerumleitung so konfigurieren, dass die meisten wichtigen Elemente<br />
e<strong>in</strong>es Benutzerprofils von allen Versionen ab <strong>W<strong>in</strong>dows</strong> 2000 aus verfügbar s<strong>in</strong>d. Zum<br />
Beispiel können Sie konfigurieren, dass Ihre Ordner für Anwendungsdaten, Desktop,<br />
Startmenü und Dokumente auf e<strong>in</strong>en bestimmten Satz Ordner <strong>in</strong> e<strong>in</strong>em Netzwerkserver<br />
umgeleitet werden, und zwar ganz unabhängig davon, ob Sie sich an e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> XPoder<br />
e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Computer anmelden. Die Ordnerumleitung ist daher e<strong>in</strong>e unverzichtbare<br />
Methode, Datenkonsistenz für Benutzer zu gewährleisten, die abwechselnd mit<br />
<strong>W<strong>in</strong>dows</strong> 7-Computern und <strong>W<strong>in</strong>dows</strong> 2000-, XP- oder Server 2003-Computern arbeiten.<br />
Schnellere Anmeldung Wenn Sie Ordner wie My Documents umleiten, werden diese<br />
Daten getrennt vom Benutzerprofil verwaltet. Diese umgeleiteten Daten werden niemals<br />
bei der Anmeldung am lokalen Computer heruntergeladen, selbst wenn Sie zusätzlich<br />
servergespeicherte Benutzerprofile konfigurieren. Stattdessen wird nur bei Bedarf auf<br />
die Daten zugegriffen. Das ähnelt dem Zugriff auf e<strong>in</strong>e Netzwerkfreigabe über e<strong>in</strong>e<br />
Desktopverknüpfung: Die Desktopverknüpfung selbst ist Teil des Benutzerprofils, aber<br />
nicht die Daten h<strong>in</strong>ter dieser Verknüpfung.<br />
Dieselben Faktoren, die für e<strong>in</strong>e schnellere Anmeldung verantwortlich s<strong>in</strong>d, beschleunigen<br />
auch die Abmeldung.<br />
Echtzeitdatensynchronisierung Die Ordnerumleitung aktiviert Offl<strong>in</strong>edateien, sofern<br />
sie noch nicht aktiviert s<strong>in</strong>d. Die Komb<strong>in</strong>ation aus Ordnerumleitung und Offl<strong>in</strong>edateien<br />
erlaubt es Benutzern, alle Änderungen, die sie an den umgeleiteten Daten vornehmen,<br />
direkt auf anderen Computern zu verfolgen, auf denen sie gleichzeitig angemeldet s<strong>in</strong>d.<br />
Bei Netzwerkproblemen gehen ke<strong>in</strong>e Daten verloren Falls Netzwerkprobleme verh<strong>in</strong>dern,<br />
dass e<strong>in</strong> Benutzer e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em umgeleiteten Ordner herstellt, kann<br />
der Benutzer auf lokale Kopien der Daten zugreifen, die über Offl<strong>in</strong>edateien zur Verfügung<br />
gestellt werden. Diese Daten werden später automatisch synchronisiert, sobald<br />
die Netzwerkverb<strong>in</strong>dung wiederhergestellt ist. Wenn Sie das Feature der Offl<strong>in</strong>edateien<br />
ausschalten oder die Daten niemals synchronisiert wurden, bekommt der Benutzer e<strong>in</strong>fach<br />
e<strong>in</strong>e Fehlermeldung, dass er ke<strong>in</strong>e Verb<strong>in</strong>dung zu den Quelldaten herstellen kann. In
436 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
beiden Fällen führt der Ausfall e<strong>in</strong>er Netzwerkverb<strong>in</strong>dung nicht dazu, dass Daten der<br />
umgeleiteten Ordner über verschiedene Benutzerprofile verteilt werden.<br />
Ordnerumleitung kann über Gruppenrichtl<strong>in</strong>ien automatisiert werden Indem Sie<br />
die Ordnerumleitung <strong>in</strong> e<strong>in</strong>er Domänenumgebung mithilfe von Gruppenrichtl<strong>in</strong>ien konfigurieren,<br />
können Sie sicherstellen, dass das Feature sowohl für die aktuellen Benutzer<br />
als auch für neue Benutzer e<strong>in</strong>gesetzt wird, auf die die jeweilige Richtl<strong>in</strong>ie angewendet<br />
wird.<br />
Verbesserungen an der Ordnerumleitung <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
Die Ordnerumleitung wies unter <strong>W<strong>in</strong>dows</strong> Vista und älteren <strong>W<strong>in</strong>dows</strong>-Versionen e<strong>in</strong>en<br />
großen Nachteil auf, nämlich die potenziell schlechte Leistung bei der ersten Anmeldung<br />
e<strong>in</strong>es Benutzers nach der Aktivierung der Ordnerumleitung. Das liegt daran, dass sich der<br />
Benutzer unter <strong>W<strong>in</strong>dows</strong> Vista und älteren Versionen so lange nicht anmelden kann, bis alle<br />
se<strong>in</strong>e umgeleiteten Daten zum Server übertragen wurden. Für Benutzer mit großen Datenmengen<br />
können sich durchaus lange Wartezeiten ergeben, <strong>in</strong> denen sie nicht mit ihren Computern<br />
arbeiten können. Besonders frustrierend ist dies natürlich für Benutzer, die sich über<br />
e<strong>in</strong>e langsame Verb<strong>in</strong>dung anmelden. Wenn der Benutzer über e<strong>in</strong>e große Datenmenge verfügt,<br />
die umgeleitet werden muss, kann es bei der ersten Anmeldung nach der Aktivierung<br />
der Ordnerumleitung 1 Stunde oder länger dauern, bis der Desktop des Benutzers ersche<strong>in</strong>t.<br />
Beg<strong>in</strong>nend mit <strong>W<strong>in</strong>dows</strong> 7 erfolgt die erste Anmeldung nach der Aktivierung der Ordnerumleitung<br />
deutlich schneller. Die umgeleiteten Daten werden nun zuerst auf dem Computer des<br />
Benutzers <strong>in</strong> e<strong>in</strong>en lokalen Zwischenspeicher für Offl<strong>in</strong>edateien kopiert. Dieser Vorgang ist<br />
wesentlich schneller als das Kopieren der Daten über das Netzwerk auf den Server. Anschließend<br />
ersche<strong>in</strong>t der Desktop des Benutzers und der Zwischenspeicher für Offl<strong>in</strong>edateien lädt<br />
die umgeleiteten Daten des Benutzers im Rahmen der Synchronisation von Offl<strong>in</strong>edateien<br />
zum Server hoch, bis alle Daten kopiert s<strong>in</strong>d.<br />
Zu den Erweiterungen von <strong>W<strong>in</strong>dows</strong> 7, mit denen die erste Anmeldung nach der Aktivierung<br />
der Ordnerumleitung verbessert werden soll, gehören auch folgende:<br />
Bevor <strong>W<strong>in</strong>dows</strong> versucht, die umgeleiteten Daten des Benutzers <strong>in</strong> den lokalen Zwischenspeicher<br />
für Offl<strong>in</strong>edateien zu kopieren, überprüft es, ob der Zwischenspeicher<br />
groß genug ist, um diese Daten aufzunehmen. Wenn die Daten nicht <strong>in</strong> den Zwischenspeicher<br />
passen, werden sie während der Anmeldung zum Server hochgeladen. Das<br />
entspricht dem Verhalten, das auch <strong>W<strong>in</strong>dows</strong> Vista aufweist. Daraus ergibt sich unter<br />
Umständen wieder e<strong>in</strong>e längere Verzögerung, bis der Desktop des Benutzers ersche<strong>in</strong>t.<br />
Wenn der lokale Zwischenspeicher für Offl<strong>in</strong>edateien auf dem Computer des Benutzers<br />
deaktiviert wurde, überprüft <strong>W<strong>in</strong>dows</strong> nun, ob es auf dem Server genügend Platz für die<br />
Benutzerdaten gibt, bevor es versucht, die Daten zum Server hochzuladen. Verfügt der<br />
Server nicht über genügend Speicherplatz, werden die Daten nicht hochgeladen und der<br />
Desktop des Benutzers wird schnell sichtbar. Im Ereignisprotokoll wird e<strong>in</strong>e entsprechende<br />
Ereignismeldung protokolliert, die besagt, dass die Anmeldung ohne Umleitung<br />
von Daten erfolgte.<br />
Da Offl<strong>in</strong>edateien auf <strong>W<strong>in</strong>dows</strong> 7-Computern <strong>in</strong> der Standarde<strong>in</strong>stellung aktiviert s<strong>in</strong>d, zeigt<br />
sich auch diese verbesserte Leistung bei der ersten Anmeldung nach der Aktivierung der Ordnerumleitung<br />
standardmäßig.
Schnelltest<br />
Verwalten von Benutzerdaten im Netzwerk 437<br />
1. Warum wird der Anmeldevorgang für Benutzer, bei denen servergespeicherte Benutzerprofile<br />
konfiguriert s<strong>in</strong>d, durch die Verwendung der Ordnerumleitung beschleunigt?<br />
2. Richtig oder Falsch? Die Ordnerumleitung kann mit oder ohne servergespeicherte<br />
Benutzerprofile e<strong>in</strong>gesetzt werden.<br />
Antworten zum Schnelltest<br />
1. Die Ordnerumleitung trennt Daten vom servergespeicherten Benutzerprofil, sodass<br />
weniger Daten auf den lokalen Desktopcomputer heruntergeladen werden müssen.<br />
2. Richtig.<br />
Konfigurieren der Ordnerumleitung<br />
<strong>W<strong>in</strong>dows</strong> Server 2008 enthält <strong>in</strong> der Gruppenrichtl<strong>in</strong>ien-Verwaltungskonsole e<strong>in</strong>en neuen<br />
Knoten für die Ordnerumleitung. Hier können Sie die Ordnerumleitung für Clients konfigurieren,<br />
die unter allen Versionen ab <strong>W<strong>in</strong>dows</strong> 2000 laufen. Es stehen für jeden Ordner, der<br />
im Knoten Ordnerumleitung aufgeführt ist, folgende E<strong>in</strong>stellungen zur Auswahl:<br />
Nicht konfiguriert Die E<strong>in</strong>stellung Nicht konfiguriert steht für die Ordnerumleitung<br />
bei allen Ordnern zur Verfügung, die im Snap-In aufgeführt s<strong>in</strong>d. Wenn Sie diese Option<br />
auswählen, setzen Sie die Ordnerumleitungsrichtl<strong>in</strong>ie für den Ordner auf ihre Standarde<strong>in</strong>stellung<br />
zurück. Bei Ordnern, die über diese Richtl<strong>in</strong>ie vorher umgeleitet wurden,<br />
bleibt die Umleitung erhalten. Benutzerordner auf Clients, denen die Ordnerumleitungsrichtl<strong>in</strong>ie<br />
bisher nicht bekannt war, bleiben lokal, sofern nicht e<strong>in</strong>e andere Richtl<strong>in</strong>ie zum<br />
E<strong>in</strong>satz kommt.<br />
Standard Mit dieser E<strong>in</strong>stellung können Sie den ausgewählten Ordner für alle Benutzer<br />
auf dieselbe Freigabe umleiten.<br />
Abbildung B.37 Erweiterte Umleitung
438 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
Erweitert E<strong>in</strong>e erweiterte Umleitung verwenden Sie, wenn Sie den ausgewählten<br />
Ordner für unterschiedliche Sicherheitsgruppen an e<strong>in</strong>e jeweils andere Position umleiten<br />
wollen. Zum Beispiel können Sie mithilfe der erweiterten Ordnerumleitung die Ordner<br />
der Buchhaltungsabteilung auf den Server F<strong>in</strong>ance und die Ordner der Vertriebsabteilung<br />
auf den Server Market<strong>in</strong>g umleiten.<br />
Abbildung B.37 zeigt e<strong>in</strong> Beispiel für e<strong>in</strong>en Ordner, bei dem die erweiterte Umleitung<br />
konfiguriert ist. Dabei ist %UserName% e<strong>in</strong>e Umgebungsvariable, die e<strong>in</strong>en e<strong>in</strong>deutigen<br />
Pfad anhand des Benutzernamens zurückgibt.<br />
Dem Ordner Dokumente folgen Die Ordner Musik, Bilder und Videos unterstützen<br />
e<strong>in</strong>e weitere Ordnerumleitungse<strong>in</strong>stellung, nämlich Dem Ordner Dokumente folgen.<br />
Diese E<strong>in</strong>stellung leitet die Ordner Musik, Bilder und Videos als Unterordner des Ordners<br />
Eigene Dokumente um. Diese Ordnerumleitung bewirkt, dass der ausgewählte<br />
Ordner die Ordnerumleitungsoptionen vom Ordner Eigene Dokumente erbt. Die Ordnerumleitungsoptionen<br />
für den ausgewählten Ordner selbst werden deaktiviert.<br />
Abbildung B.38 zeigt, wie die E<strong>in</strong>stellung Dem Ordner Dokumente folgen ausgewählt<br />
wird.<br />
Abbildung B.38 Die E<strong>in</strong>stellung Dem Ordner Dokumente folgen<br />
Konfigurieren e<strong>in</strong>es Zielordners<br />
Sofern Sie für e<strong>in</strong>en Ordner nicht die E<strong>in</strong>stellung Dem Ordner Dokumente folgen gewählt<br />
haben, müssen Sie für diesen Ordner e<strong>in</strong>e Zielposition konfigurieren. <strong>W<strong>in</strong>dows</strong> 7 stellt vier<br />
Möglichkeiten zur Auswahl, wenn Sie die Zielposition für e<strong>in</strong>en Ordner angeben:<br />
E<strong>in</strong>en Ordner für jeden Benutzer im Stammpfad erstellen Bei dieser Option wird<br />
der ausgewählte Ordner an die Position umgeleitet, die Sie im Textfeld Stammverzeichnis<br />
angeben. Außerdem wird e<strong>in</strong> Ordner angelegt, der dieselbe Bezeichnung trägt wie<br />
der Benutzeranmeldename. Wenn Sie beispielsweise den Ordner Eigene Dokumente <strong>in</strong><br />
den Stammpfad von \\Server\Freigabe umleiten, legt die Ordnerumleitung den Eigene<br />
Dokumente-Ordner unter dem Pfad \\Server\Freigabe\ an.
Verwalten von Benutzerdaten im Netzwerk 439<br />
An folgenden Pfad umleiten Der angegebene Ordner wird <strong>in</strong> genau den Pfad umgeleitet,<br />
der im Feld Stammverzeichnis angegeben ist. Auf diese Weise erhalten Sie die<br />
Möglichkeit, den Ordner bei mehreren Benutzern auf denselben Freigabepfad umzuleiten.<br />
Zum Beispiel können Sie mit dieser Option steuern, dass mehrere Benutzer denselben<br />
Desktop oder dasselbe Startmenü erhalten.<br />
An lokalen Benutzerprofilpfad umleiten Leitet den angegebenen Ordner <strong>in</strong> das<br />
lokale Benutzerprofil um. Das lokale Benutzerprofil liegt <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Vista, <strong>W<strong>in</strong>dows</strong><br />
Server 2008 und <strong>W<strong>in</strong>dows</strong> 7 im Pfad Users\, <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 2000,<br />
<strong>W<strong>in</strong>dows</strong> XP und <strong>W<strong>in</strong>dows</strong> Server 2003 im Pfad Dokumente und E<strong>in</strong>stellungen\<br />
.<br />
In das Basisverzeichnis des Benutzers kopieren Diese Option steht nur für den<br />
Ordner Eigene Dokumente zur Verfügung. Sie leitet den Ordner Eigene Dokumente <strong>in</strong><br />
den Basisordnerpfad um, der <strong>in</strong> den Eigenschaften des Benutzerobjekts konfiguriert ist.<br />
(E<strong>in</strong> Basisordner ist der Pfad, <strong>in</strong> dem e<strong>in</strong>ige Programme standardmäßig ihre Dateien<br />
speichern.)<br />
Diese vier E<strong>in</strong>stellungen für den Zielordner sehen Sie <strong>in</strong> Abbildung B.39.<br />
Abbildung B.39 E<strong>in</strong>stellungen für den Zielordner<br />
Konfigurieren der Optionen auf der Registerkarte E<strong>in</strong>stellungen<br />
der Ordnerumleitung<br />
Auf der Registerkarte E<strong>in</strong>stellungen der Ordnerumleitung können Sie E<strong>in</strong>stellungen zur Umleitung<br />
und zum Entfernen der Richtl<strong>in</strong>ie vornehmen. Abbildung B.40 zeigt diese Registerkarte<br />
für den Ordner Dokumente.<br />
Auf der Registerkarte E<strong>in</strong>stellungen e<strong>in</strong>es umgeleiteten Ordners stehen folgende Umleitungse<strong>in</strong>stellungen<br />
zur Verfügung:<br />
Dem Benutzer exklusive Zugriffsrechte für erteilen Dieses Kontrollkästchen<br />
steuert die NTFS-Berechtigungen für den neu erstellten Ordner %UserName%. Der<br />
Benutzer und das Konto Lokales System erhalten dabei Vollzugriff auf den neu erstellten<br />
Ordner. Dies ist das Standardverhalten.
440 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
Den Inhalt von an den neuen Ort verschieben Verschiebt alle Benutzerdaten<br />
aus dem angegebenen Ordner <strong>in</strong> den umgeleiteten Ordner. In der Standarde<strong>in</strong>stellung<br />
ist dieses Kontrollkästchen aktiviert.<br />
Umleitungsrichtl<strong>in</strong>ie auch auf die Betriebssysteme <strong>W<strong>in</strong>dows</strong> 2000, <strong>W<strong>in</strong>dows</strong> 2000<br />
Server, <strong>W<strong>in</strong>dows</strong> XP und <strong>W<strong>in</strong>dows</strong> Server 2003 anwenden Weist das Verwaltungstool<br />
der Ordnerumleitung an, die Umleitungsrichtl<strong>in</strong>ie <strong>in</strong> e<strong>in</strong>em Format zu schreiben, das<br />
von den genannten älteren Betriebssystemen erkannt wird. Wenn dieses Kontrollkästchen<br />
deaktiviert ist, schreibt <strong>W<strong>in</strong>dows</strong> die Umleitungsrichtl<strong>in</strong>ie <strong>in</strong> e<strong>in</strong>em Format, das nur<br />
<strong>W<strong>in</strong>dows</strong> Vista, <strong>W<strong>in</strong>dows</strong> Server 2008 und <strong>W<strong>in</strong>dows</strong> 7 erkennen.<br />
Abbildung B.40 Registerkarte E<strong>in</strong>stellungen<br />
der Ordnerumleitung<br />
Außerdem können Sie auf der Registerkarte E<strong>in</strong>stellungen Optionen für das Entfernen der<br />
Richtl<strong>in</strong>ie konfigurieren. Mithilfe dieser E<strong>in</strong>stellungen können Sie festlegen, was mit umgeleiteten<br />
Ordnern und ihrem Inhalt passiert, wenn die entsprechende Ordnerumleitungsrichtl<strong>in</strong>ie<br />
für e<strong>in</strong>en bestimmten Benutzer nicht mehr gilt. E<strong>in</strong>e Ordnerumleitungsrichtl<strong>in</strong>ie wird<br />
zum Beispiel nicht mehr auf e<strong>in</strong>en Benutzer angewendet, wenn e<strong>in</strong> Adm<strong>in</strong>istrator die Richtl<strong>in</strong>ie<br />
trennt oder löscht oder wenn der Benutzer Mitglied e<strong>in</strong>er Sicherheitsgruppe wird, für<br />
die die entsprechende Richtl<strong>in</strong>ie blockiert ist.<br />
Folgende E<strong>in</strong>stellungen für das Entfernen der Richtl<strong>in</strong>ie stehen zur Verfügung:<br />
Ordner nach Entfernen der Richtl<strong>in</strong>ie am neuen Ort belassen Wenn Sie diese<br />
Option aktivieren, verbleiben die Benutzerdaten, die an der umgeleiteten Position<br />
gespeichert s<strong>in</strong>d, <strong>in</strong> dieser Position, wenn die Richtl<strong>in</strong>ie nicht mehr auf den Benutzer<br />
angewendet wird.<br />
Ordner nach Entfernen der Richtl<strong>in</strong>ie zurück an den Ort des lokalen Benutzerprofils<br />
umleiten Wenn Sie diese Option aktivieren, werden die Daten, die der Benutzer <strong>in</strong><br />
der umgeleiteten Position gespeichert hat, <strong>in</strong> das lokale Benutzerprofil kopiert, sobald<br />
die Richtl<strong>in</strong>ie nicht mehr auf den Benutzer angewendet wird.
Verwalten von Benutzerdaten im Netzwerk 441<br />
Übung Konfigurieren von servergespeicherten Benutzerprofilen und<br />
Ordnerumleitung<br />
In dieser Übung legen Sie e<strong>in</strong> neues Domänenbenutzerkonto an und konfigurieren e<strong>in</strong> servergespeichertes<br />
Benutzerprofil für den neuen Benutzer. Dann sehen Sie sich an, was passiert,<br />
wenn sich der Benutzer an Computern anmeldet, die unter <strong>W<strong>in</strong>dows</strong> XP, <strong>W<strong>in</strong>dows</strong> 7 und<br />
<strong>W<strong>in</strong>dows</strong> Server 2008 laufen. Zuletzt konfigurieren Sie die Ordnerumleitung und untersuchen<br />
den Unterschied im Verhalten zwischen der Ordnerumleitung und herkömmlichen servergespeicherten<br />
Benutzerprofilen.<br />
Um diese Übungen durchzuarbeiten, brauchen Sie:<br />
E<strong>in</strong>en Domänencontroller, der unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2 läuft. Hierfür können Sie<br />
den Server DC1 aus den früheren Übungen verwenden.<br />
E<strong>in</strong>en <strong>W<strong>in</strong>dows</strong> 7-Clientcomputer, der Mitglied derselben Domäne ist. Hierfür können<br />
Sie den Computer CLIENT1 aus den früheren Übungen verwenden.<br />
E<strong>in</strong>en <strong>W<strong>in</strong>dows</strong> XP-Clientcomputer, der Mitglied derselben Domäne ist.<br />
Wichtig Konfigurieren der Clients für DHCP und DNS<br />
Diese Übung setzt voraus, dass e<strong>in</strong> DHCP-Server (Dynamic Host Configuration Protocol)<br />
auf dem Domänencontroller läuft und alle Clients so konfiguriert s<strong>in</strong>d, dass sie automatisch<br />
e<strong>in</strong>e IP-Adresse abrufen. Sofern ke<strong>in</strong> DHCP-Server konfiguriert ist, müssen alle Clients den<br />
Domänencontroller als bevorzugten DNS-Server e<strong>in</strong>getragen haben.<br />
Übung 1 Konfigurieren e<strong>in</strong>es neuen Benutzers mit e<strong>in</strong>em servergespeicherten Benutzerprofil<br />
In dieser Übung legen Sie e<strong>in</strong>e Freigabe namens Profiles auf dem Domänencontroller DC1<br />
an, der unter <strong>W<strong>in</strong>dows</strong> Server 2008 R2 läuft. Dann legen Sie e<strong>in</strong> neues Konto namens Roam<strong>in</strong>gUser<br />
<strong>in</strong> der Domäne an und konfigurieren den neuen Benutzer mit e<strong>in</strong>em servergespeicherten<br />
Benutzerprofil.<br />
1. Melden Sie sich als Adm<strong>in</strong>istrator am Domänencontroller DC1 an.<br />
2. Legen Sie auf Laufwerk C: des Domänencontrollers e<strong>in</strong>en neuen Ordner mit dem Namen<br />
Profiles an.<br />
3. Klicken Sie mit der rechten Maustaste auf den Ordner Profiles, wählen Sie Freigeben für<br />
und klicken Sie auf Bestimmte Personen.<br />
4. Geben Sie auf der Seite Wählen Sie Benutzer im Netzwerk aus, mit denen Sie Elemente<br />
geme<strong>in</strong>sam verwenden möchten des Dateifreigabe-Assistenten den Gruppennamen Jeder<br />
e<strong>in</strong> und drücken Sie die EINGABETASTE.<br />
5. Stellen Sie für die Gruppe Jeder die Berechtigungsstufe Lesen/Schreiben e<strong>in</strong>.<br />
6. Klicken Sie auf Freigabe, um die Änderungen zu bestätigen, und dann auf Fertig, um<br />
den Dateifreigabe-Assistenten zu schließen.<br />
7. Öffnen Sie die Konsole Active Directory-Benutzer und -Computer.<br />
8. Klicken Sie <strong>in</strong> der Konsolenstruktur mit der rechten Maustaste auf den Conta<strong>in</strong>er Users,<br />
wählen Sie Neu und dann Benutzer.
442 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
9. Geben Sie im Dialogfeld Neues Objekt – Benutzer folgende Daten e<strong>in</strong>:<br />
Vorname: Roam<strong>in</strong>g<br />
Nachname: User<br />
Benutzeranmeldename: Roam<strong>in</strong>gUser<br />
10. Klicken Sie auf Weiter.<br />
11. Geben Sie im Dialogfeld Neues Objekt – Benutzer e<strong>in</strong> Kennwort <strong>in</strong> den Feldern Kennwort<br />
und Kennwort bestätigen e<strong>in</strong>.<br />
12. Deaktivieren Sie das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung<br />
ändern.<br />
13. Klicken Sie im Dialogfeld Neues Objekt – Benutzer auf Weiter und dann auf Fertig<br />
stellen.<br />
14. Suchen Sie <strong>in</strong> der Detailansicht von Active Directory-Benutzer und -Computer das neue<br />
Domänenbenutzerkonto Roam<strong>in</strong>g User, das Sie gerade erstellt haben, und öffnen Sie<br />
se<strong>in</strong> Eigenschaftendialogfeld.<br />
Sie müssen das Benutzerkonto Roam<strong>in</strong>gUser zur Gruppe Server-Operatoren h<strong>in</strong>zufügen,<br />
damit Sie sich unter diesem neuen Konto am Domänencontroller anmelden können.<br />
15. Klicken Sie mit der rechten Maustaste auf das Benutzerkonto Roam<strong>in</strong>g User und wählen<br />
Sie im Kontextmenü den Befehl E<strong>in</strong>er Gruppe h<strong>in</strong>zufügen.<br />
16. Geben Sie im Dialogfeld Gruppen auswählen den Namen Server-Operatoren e<strong>in</strong> und<br />
drücken Sie die EINGABETASTE.<br />
Das Meldungsfeld Active Directory-Domänendienste <strong>in</strong>formiert Sie, dass das Konto zur<br />
Gruppe h<strong>in</strong>zugefügt wurde.<br />
17. Klicken Sie auf OK, um das Meldungsfeld zu schließen.<br />
18. Öffnen Sie das Eigenschaftendialogfeld für das Benutzerkonto Roam<strong>in</strong>gUser.<br />
19. Klicken Sie im Dialogfeld Eigenschaften von Roam<strong>in</strong>g User auf die Registerkarte Profil.<br />
20. Geben Sie im Textfeld Profilpfad den Pfad \\dc1\profiles\%UserName% e<strong>in</strong>.<br />
21. Klicken Sie im Dialogfeld Eigenschaften von Roam<strong>in</strong>g User auf OK.<br />
Übung 2 Testen des servergespeicherten Benutzerprofils auf <strong>W<strong>in</strong>dows</strong> 7-Computern<br />
In dieser Übung melden Sie sich von e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Computer aus an der Domäne an.<br />
Dann nehmen Sie e<strong>in</strong>e Änderung auf Ihrem Desktop vor, melden sich ab und untersuchen,<br />
was passiert, wenn Sie sich am Domänencontroller anmelden. Schließlich melden Sie sich<br />
an e<strong>in</strong>em Computer an, der unter <strong>W<strong>in</strong>dows</strong> XP läuft, und sehen sich an, ob sich etwas geändert<br />
hat.<br />
1. Melden Sie sich am <strong>W<strong>in</strong>dows</strong> 7-Computer CLIENT1 unter dem Benutzerkonto Roam<strong>in</strong>g-<br />
User an der Domäne an.<br />
2. Erstellen Sie auf dem Desktop e<strong>in</strong>e Textdatei namens Test1 und melden Sie sich wieder<br />
von CLIENT1 ab.<br />
3. Melden Sie sich am Domänencontroller DC1 mit dem Benutzerkonto Roam<strong>in</strong>gUser an<br />
der Domäne an.
Verwalten von Benutzerdaten im Netzwerk 443<br />
4. Überprüfen Sie, ob auf dem Domänencontroller DC1 die Datei Test1 auf dem Desktop<br />
von Roam<strong>in</strong>gUser angezeigt wird.<br />
5. Beantworten Sie die folgende Frage: Wurde die Datei von e<strong>in</strong>em Computer auf den<br />
anderen verschoben?<br />
Antwort: Ne<strong>in</strong>, sie ist zentral auf dem Server gespeichert.<br />
6. Öffnen Sie auf dem Domänencontroller DC1 das Laufwerk C: und dar<strong>in</strong> den Ordner<br />
Profiles.<br />
7. Beantworten Sie die folgende Frage: Wie lautet der Name des Ordners, <strong>in</strong> dem die Daten<br />
von Roam<strong>in</strong>gUser gespeichert s<strong>in</strong>d?<br />
Antwort: Roam<strong>in</strong>gUser.V2<br />
8. Beantworten Sie die folgende Frage: Für welche Betriebssysteme enthält dieser Ordner<br />
Daten des servergespeicherten Benutzerprofils?<br />
Antwort: <strong>W<strong>in</strong>dows</strong> Vista, <strong>W<strong>in</strong>dows</strong> Server 2008 und <strong>W<strong>in</strong>dows</strong> 7<br />
9. Melden Sie sich auf dem Client, der unter <strong>W<strong>in</strong>dows</strong> XP läuft, mit dem Benutzerkonto<br />
Roam<strong>in</strong>gUser an der Domäne an.<br />
10. Beantworten Sie die folgende Frage: Warum ersche<strong>in</strong>t die Datei Test1 nicht auf dem<br />
Desktop des <strong>W<strong>in</strong>dows</strong> XP-Clients?<br />
Antwort: Weil servergespeicherte Benutzerprofile nicht zwischen <strong>W<strong>in</strong>dows</strong> XP und<br />
<strong>W<strong>in</strong>dows</strong> 7 kompatibel s<strong>in</strong>d.<br />
11. Melden Sie sich vom <strong>W<strong>in</strong>dows</strong> XP-Client ab oder fahren Sie ihn herunter.<br />
12. Wechseln Sie auf den Server DC1 und öffnen Sie wieder den Ordner C:\Profiles.<br />
13. Beantworten Sie die folgende Frage: Welcher neue Ordner ist <strong>in</strong> Profiles aufgetaucht,<br />
seit Sie sich über den <strong>W<strong>in</strong>dows</strong> XP-Client an der Domäne angemeldet haben?<br />
Antwort: E<strong>in</strong> Ordner namens Roam<strong>in</strong>gUser<br />
14. Beantworten Sie die folgende Frage: Für welche Betriebssysteme speichert dieser zweite<br />
Ordner Daten zum servergespeicherten Benutzerprofil?<br />
Antwort: Für Computer mit <strong>W<strong>in</strong>dows</strong> 2000, <strong>W<strong>in</strong>dows</strong> XP und <strong>W<strong>in</strong>dows</strong> Server 2003<br />
Übung 3 Konfigurieren der Ordnerumleitung für <strong>W<strong>in</strong>dows</strong> XP und <strong>W<strong>in</strong>dows</strong> 7<br />
In dieser Übung legen Sie e<strong>in</strong> Gruppenrichtl<strong>in</strong>ienobjekt an, das wichtige Ordner an e<strong>in</strong>en<br />
zentralen Speicherort umleitet.<br />
1. Melden Sie sich beim Domänencontroller DC1 mit e<strong>in</strong>em Domänenadm<strong>in</strong>istratorkonto<br />
an.<br />
2. Geben Sie im Suchfeld des Startmenüs gpmc.msc e<strong>in</strong> und drücken Sie die EINGABE-<br />
TASTE.<br />
3. Die Konsole Gruppenrichtl<strong>in</strong>ienverwaltung wird geöffnet.<br />
4. Erweitern Sie <strong>in</strong> der Konsolenstruktur die Conta<strong>in</strong>er Gesamtstruktur und Domänen.<br />
5. Klicken Sie unter dem Conta<strong>in</strong>er Domänen mit der rechten Maustaste auf den Namen<br />
nwtraders.msft und wählen Sie den Befehl Gruppenrichtl<strong>in</strong>ienobjekt hier erstellen und<br />
verknüpfen.
444 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
6. Geben Sie im Dialogfeld Neues Gruppenrichtl<strong>in</strong>ienobjekt den Namen Ordnerumleitung<br />
für alle <strong>W<strong>in</strong>dows</strong>-Betriebssysteme e<strong>in</strong> und drücken Sie die EINGABETASTE.<br />
7. Suchen Sie <strong>in</strong> der Detailansicht der Konsole Gruppenrichtl<strong>in</strong>ienverwaltung das neue<br />
Gruppenrichtl<strong>in</strong>ienobjekt, klicken Sie es mit der rechten Maustaste an und wählen Sie<br />
den Befehl Bearbeiten.<br />
Der Gruppenrichtl<strong>in</strong>ienverwaltungs-Editor wird geöffnet.<br />
8. Erweitern Sie <strong>in</strong> der Konsolenstruktur die Knoten Benutzerkonfiguration, Richtl<strong>in</strong>ien,<br />
<strong>W<strong>in</strong>dows</strong>-E<strong>in</strong>stellungen und dann Ordnerumleitung.<br />
9. Sehen Sie sich an, welche Ordner im Conta<strong>in</strong>er Ordnerumleitung aufgelistet s<strong>in</strong>d. Dies<br />
s<strong>in</strong>d die Ordner, die Sie an e<strong>in</strong>e beliebige Position umleiten können, zum Beispiel auf<br />
e<strong>in</strong>en zentralen Server.<br />
10. Öffnen Sie das Eigenschaftendialogfeld des Ordners AppData(Roam<strong>in</strong>g).<br />
11. Wählen Sie auf der Registerkarte Ziel die E<strong>in</strong>stellung Standard – Leitet alle Ordner auf<br />
den gleichen Pfad um aus.<br />
12. Geben Sie im Textfeld Stammverzeichnis den Pfad \\DC1\Profiles e<strong>in</strong>.<br />
13. Aktivieren Sie auf der Registerkarte E<strong>in</strong>stellungen das Kontrollkästchen Umleitungsrichtl<strong>in</strong>ie<br />
auch auf die Betriebssysteme <strong>W<strong>in</strong>dows</strong> 2000, <strong>W<strong>in</strong>dows</strong> 2000 Server, <strong>W<strong>in</strong>dows</strong><br />
XP und <strong>W<strong>in</strong>dows</strong> Server 2003 anwenden.<br />
Diese E<strong>in</strong>stellung macht die Ordnerumleitung kompatibel zu allen <strong>W<strong>in</strong>dows</strong>-Versionen<br />
ab <strong>W<strong>in</strong>dows</strong> 2000.<br />
14. Klicken Sie auf OK.<br />
15. Unter Umständen öffnet sich e<strong>in</strong>e Warnmeldung. Lesen Sie den Text und klicken Sie<br />
dann auf Ja.<br />
16. Wiederholen Sie die Schritte 10 bis 15 für die Ordner Desktop, Startmenü und Dokumente.<br />
17. Melden Sie sich von den <strong>W<strong>in</strong>dows</strong> XP- und <strong>W<strong>in</strong>dows</strong> 7-Clients ab.<br />
Übung 4 Testen der Ordnerumleitung<br />
In dieser Übung melden Sie sich unter e<strong>in</strong>em Domänenbenutzerkonto an den beiden Clients<br />
an, die unter <strong>W<strong>in</strong>dows</strong> XP beziehungsweise <strong>W<strong>in</strong>dows</strong> 7 laufen. Dann nehmen Sie e<strong>in</strong>ige<br />
Änderungen an der Benutzerumgebung vor und sehen sich die Ergebnisse an.<br />
1. Melden Sie sich auf dem <strong>W<strong>in</strong>dows</strong> XP-Client unter dem Benutzerkonto Roam<strong>in</strong>gUser<br />
an der Domäne an.<br />
2. Erstellen Sie auf dem Desktop e<strong>in</strong>e Textdatei namens Test2.<br />
3. Melden Sie sich auf dem <strong>W<strong>in</strong>dows</strong> 7-Computer CLIENT1 unter dem Benutzerkonto<br />
Roam<strong>in</strong>gUser an der Domäne an.<br />
4. Prüfen Sie, ob die Textdatei Test2 auf dem Desktop angezeigt wird. Falls diese Datei<br />
nicht zu sehen ist, müssen Sie sich ab- und dann wieder anmelden.<br />
5. Warten Sie, bis die Datei Test2 auf dem Desktop von CLIENT1 angezeigt wird, und<br />
legen Sie dann auf dem Desktop von CLIENT1 e<strong>in</strong>e neue Textdatei namens Test3 an.<br />
6. Wechseln Sie auf den <strong>W<strong>in</strong>dows</strong> XP-Client.<br />
Sie müssten jetzt Test3 auf dem Desktop des <strong>W<strong>in</strong>dows</strong> XP-Clients sehen.
Verwalten von Benutzerdaten im Netzwerk 445<br />
7. Öffnen Sie auf dem <strong>W<strong>in</strong>dows</strong> 7-Computer CLIENT1 den Ordner Eigene Dokumente und<br />
erstellen Sie <strong>in</strong> diesem Ordner e<strong>in</strong>e neue Textdatei namens Test4.<br />
8. Wechseln Sie auf den <strong>W<strong>in</strong>dows</strong> XP-Client und beantworten Sie die folgende Frage: Wo<br />
wird Test4 auf dem <strong>W<strong>in</strong>dows</strong> XP-Client angezeigt?<br />
Antwort: Im Ordner Eigene Dateien<br />
9. Melden Sie sich von allen Computern ab.<br />
Zusammenfassung<br />
Mithilfe von Offl<strong>in</strong>edateien können Sie e<strong>in</strong>e lokale, automatisch synchronisierte Kopie<br />
von Dateien bereithalten, die <strong>in</strong> Netzwerkfreigaben gespeichert s<strong>in</strong>d. Sie machen e<strong>in</strong>e<br />
Datei oder e<strong>in</strong>en Ordner offl<strong>in</strong>e verfügbar, <strong>in</strong>dem Sie die Datei beziehungsweise den<br />
Ordner mit der rechten Maustaste anklicken und den Befehl Immer offl<strong>in</strong>e verfügbar<br />
wählen.<br />
Dateien können zwar automatisch synchronisiert werden, manchmal ist es aber nötig, sie<br />
von Hand zu synchronisieren, um sicherzustellen, dass sie auf dem neuesten Stand s<strong>in</strong>d.<br />
Das ist beispielsweise der Fall, bevor Sie e<strong>in</strong>ige Zeit offl<strong>in</strong>e arbeiten. Sie können auch<br />
e<strong>in</strong>en Zeitplan für Synchronisierungen festlegen, um sicherzustellen, dass Ihre Dateien<br />
mit der neuesten Version aktualisiert werden.<br />
Sie können e<strong>in</strong>stellen, wie viel Platz für Offl<strong>in</strong>edateien verwendet wird.<br />
Die Gruppenrichtl<strong>in</strong>ien enthalten drei neue E<strong>in</strong>stellungen für Offl<strong>in</strong>edateien <strong>in</strong> <strong>W<strong>in</strong>dows</strong><br />
7: H<strong>in</strong>tergrundsynchronisierung konfigurieren, Dateien aus der Zwischenspeicherung<br />
ausschließen und Transparentes Zwischenspeichern aktivieren.<br />
Auf der Registerkarte Vorgängerversionen können Sie ganz e<strong>in</strong>fach ältere Versionen von<br />
Dateien oder Ordnern wiederherstellen, die <strong>in</strong> e<strong>in</strong>em Wiederherstellungspunkt oder e<strong>in</strong>er<br />
<strong>W<strong>in</strong>dows</strong>-Datensicherung gespeichert wurden.<br />
E<strong>in</strong> Benutzerprofil ist e<strong>in</strong>e Sammlung persönlicher Dateien und E<strong>in</strong>stellungen, die <strong>in</strong><br />
e<strong>in</strong>em Ordner mit dem Namen des Benutzers gespeichert s<strong>in</strong>d.<br />
Benutzerprofile haben sich <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Vista deutlich geändert. Das ist wichtig, wenn<br />
Sie <strong>W<strong>in</strong>dows</strong> 7 <strong>in</strong> e<strong>in</strong>em Netzwerk bereitstellen, dessen Clients unter älteren Betriebssystemen<br />
als <strong>W<strong>in</strong>dows</strong> Vista laufen, etwa unter <strong>W<strong>in</strong>dows</strong> XP.<br />
E<strong>in</strong> servergespeichertes Benutzerprofil ist e<strong>in</strong> Profil, das zentral <strong>in</strong> e<strong>in</strong>er Netzwerkfreigabe<br />
gespeichert ist. Es wird <strong>in</strong> den Eigenschaften des Benutzerkontos <strong>in</strong> der Konsole<br />
Active Directory-Benutzer und -Computer konfiguriert.<br />
In der Standarde<strong>in</strong>stellung s<strong>in</strong>d servergespeicherte Benutzerprofile für ältere Betriebssysteme<br />
als <strong>W<strong>in</strong>dows</strong> Vista (etwa <strong>W<strong>in</strong>dows</strong> XP) nicht zu servergespeicherten Benutzerprofilen<br />
für Betriebssysteme ab der Version <strong>W<strong>in</strong>dows</strong> Vista kompatibel, also beispielsweise<br />
<strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7.<br />
Die Ordnerumleitung ist e<strong>in</strong> <strong>W<strong>in</strong>dows</strong>-Feature, mit dem Sie Benutzerordner wie Dokumente<br />
und Desktop auf Netzwerkfreigaben umleiten können. Indem Sie die Ordnerumleitung<br />
implementieren, ermöglichen Sie den Benutzern jederzeit Zugriff auf ihre Daten,<br />
unabhängig davon, auf welchem Computer und unter welcher <strong>W<strong>in</strong>dows</strong>-Version sie sich<br />
anmelden.
446 Anhang B: Verwalten von Benutzerdateien und -e<strong>in</strong>stellungen<br />
Schlüsselbegriffe<br />
Wissen Sie, was die folgenden Schlüsselbegriffe bedeuten? Sie können Ihre Antworten überprüfen,<br />
<strong>in</strong>dem Sie die Begriffe im Glossar am Ende dieses Buchs nachschlagen.<br />
Ordnerumleitung<br />
Offl<strong>in</strong>edateien<br />
Vorgängerversionen<br />
Servergespeichertes Benutzerprofil<br />
Benutzerprofil
A N H A N G C<br />
Konfiguration und Problembehandlung<br />
des Startvorgangs<br />
H<strong>in</strong>weis Dieser Anhang wurde <strong>in</strong> ähnlicher Form ursprünglich <strong>in</strong> Microsoft <strong>W<strong>in</strong>dows</strong> 7 –<br />
Die technische Referenz von Mitch Tulloch, Tony Northrup, Jerry Honeycutt, Ed Wilson und<br />
dem Microsoft <strong>W<strong>in</strong>dows</strong> 7-Team (Microsoft Press, 2010) veröffentlicht.<br />
Für die Diagnose und Beseitigung von Hardware- und Softwareproblemen, die sich auf den<br />
Startvorgang auswirken, werden andere Tools und Techniken benötigt als für die Behandlung<br />
von Problemen, die auftreten, nachdem das System gestartet wurde. Die Person, die die<br />
Startproblembehandlung durchführt, hat nämlich ke<strong>in</strong>en Zugriff auf die vollständige Palette<br />
der <strong>W<strong>in</strong>dows</strong> 7-Problembehandlungswerkzeuge. Um Startprobleme beseitigen zu können,<br />
müssen Sie den Ablauf des Startvorgangs genau kennen, wie auch die Kernbetriebssystemfeatures<br />
und die Tools, mit denen Probleme isoliert und beseitigt werden.<br />
Dieser Anhang beschreibt Änderungen beim Startvorgang von <strong>W<strong>in</strong>dows</strong> 7, erklärt, wie Sie<br />
Starte<strong>in</strong>stellungen konfigurieren und wie Sie e<strong>in</strong>e Problembehandlung für Probleme vornehmen,<br />
die verh<strong>in</strong>dern, dass <strong>W<strong>in</strong>dows</strong> 7 startet und der Benutzer sich erfolgreich anmelden<br />
kann.<br />
Was ist neu beim Start von <strong>W<strong>in</strong>dows</strong> 7?<br />
<strong>W<strong>in</strong>dows</strong> 7 führt mehrere Verbesserungen am Startvorgang e<strong>in</strong>. Die wichtigste ist, dass das<br />
Setup nun automatisch die <strong>W<strong>in</strong>dows</strong>-Wiederherstellungsumgebung (<strong>W<strong>in</strong>dows</strong> Recovery<br />
Environment, W<strong>in</strong>RE) <strong>in</strong>stalliert. W<strong>in</strong>RE, das auch das Systemstartreparaturtool umfasst,<br />
stand bereits <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Vista zur Verfügung, wurde dort aber nicht automatisch <strong>in</strong>stalliert.<br />
IT-Experten konnten zwar die benötigte Partition e<strong>in</strong>richten und die Tools so auf der Festplatte<br />
des Computers <strong>in</strong>stallieren, aber das geschah nicht standardmäßig. Daher starteten die<br />
meisten Benutzer W<strong>in</strong>RE von der <strong>W<strong>in</strong>dows</strong> Vista-Setup-DVD. Bei <strong>W<strong>in</strong>dows</strong> 7 können die<br />
Benutzer W<strong>in</strong>RE dagegen direkt von der Festplatte ausführen, wenn der <strong>W<strong>in</strong>dows</strong>-Start<br />
fehlschlägt. Beim Start von <strong>W<strong>in</strong>dows</strong> wird W<strong>in</strong>RE außerdem automatisch geöffnet, falls der<br />
<strong>W<strong>in</strong>dows</strong>-Startvorgang fehlschlägt. Ist die Festplatte beschädigt, haben die Benutzer nach<br />
wie vor die Möglichkeit, W<strong>in</strong>RE von der <strong>W<strong>in</strong>dows</strong> 7-DVD zu starten.<br />
Neben der automatischen Installation von W<strong>in</strong>RE beschleunigt <strong>W<strong>in</strong>dows</strong> 7 auch den Start,<br />
das Herunterfahren und das Wiederaufwachen aus dem Ruhezustand. Weil es <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
nur ger<strong>in</strong>ge Änderungen im Bereich des Systemstarts gibt, konzentriert sich dieser Anhang<br />
vor allem auf Änderungen, die seit <strong>W<strong>in</strong>dows</strong> XP vorgenommen wurden. Alle diese Neuerungen<br />
stehen sowohl <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 als auch <strong>W<strong>in</strong>dows</strong> Vista zur Verfügung.<br />
Gegenüber <strong>W<strong>in</strong>dows</strong> XP haben sich verschiedene Aspekte beim Startvorgang von <strong>W<strong>in</strong>dows</strong><br />
Vista und <strong>W<strong>in</strong>dows</strong> 7 verändert. Am offensichtlichsten ist, dass Ntldr (das <strong>W<strong>in</strong>dows</strong> XP-<br />
447
448 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
Feature, das das Startauswahlmenü anzeigt und den <strong>W<strong>in</strong>dows</strong> XP-Kernel lädt) durch den<br />
<strong>W<strong>in</strong>dows</strong>-Start-Manager und das <strong>W<strong>in</strong>dows</strong>-Startladeprogramm ersetzt wurde. Die Datei<br />
Boot.<strong>in</strong>i (e<strong>in</strong>e Datei mit E<strong>in</strong>trägen, die die verfügbaren Startoptionen beschreiben) wurde<br />
durch die Startkonfigurationsdaten-Registrierungsdatei (Boot Configuration Data, BCD)<br />
ersetzt. Die Funktionalität von Ntdetect.com wurde <strong>in</strong> den Kernel <strong>in</strong>tegriert, und <strong>W<strong>in</strong>dows</strong> 7<br />
unterstützt ke<strong>in</strong>e Hardwareprofile mehr. Hardwareprofile s<strong>in</strong>d auch gar nicht mehr erforderlich:<br />
<strong>W<strong>in</strong>dows</strong> 7 erkennt unterschiedliche Hardwarekonfigurationen automatisch, ohne dass<br />
Adm<strong>in</strong>istratoren explizit Profile konfigurieren müssen. Schließlich wurde die Befehlszeilen-<br />
Wiederherstellungskonsole durch die grafische <strong>W<strong>in</strong>dows</strong>-Wiederherstellungsumgebung<br />
ersetzt, die die Problembehandlung vere<strong>in</strong>facht. Dieser Anhang beschreibt diese Änderungen<br />
genauer.<br />
Startkonfigurationsdaten<br />
Die BCD-Registrierungsdatei ersetzt die Datei Boot.<strong>in</strong>i, mit der <strong>in</strong> <strong>W<strong>in</strong>dows</strong> XP und älteren<br />
<strong>W<strong>in</strong>dows</strong>-Versionen die Speicherorte des Betriebssystems angegeben wurden. Sie ermöglicht<br />
e<strong>in</strong>e Vielzahl neuer Features <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7, zum Beispiel das Tool Systemstartreparatur<br />
und die Mehrbenutzer<strong>in</strong>stallationsverknüpfungen. Die BCD ist <strong>in</strong> e<strong>in</strong>er<br />
Datendatei gespeichert, die dasselbe Format wie die Registrierung verwendet und entweder<br />
<strong>in</strong> der EFI-Systempartition (Extensible Firmware Interface) liegt (bei Computern, die EFI<br />
unterstützen) oder auf dem Systemvolume. Auf BIOS-basierten Betriebssystemen liegt die<br />
BCD-Registrierungsdatei unter \Boot\Bcd auf der aktiven Partition. Auf EFI-basierten Betriebssystemen<br />
liegt die BCD-Registrierungsdatei im Ordner \EFI\Microsoft\Boot\ auf der<br />
EFI-Systempartition.<br />
Die BCD-Registrierungsdatei kann folgende Informationstypen enthalten:<br />
E<strong>in</strong>träge, die E<strong>in</strong>stellungen für den <strong>W<strong>in</strong>dows</strong>-Start-Manager (\Bootmgr) beschreiben<br />
E<strong>in</strong>träge, die das <strong>W<strong>in</strong>dows</strong>-Startladeprogramm (\<strong>W<strong>in</strong>dows</strong>\System32\W<strong>in</strong>Load.exe)<br />
starten, das dann <strong>W<strong>in</strong>dows</strong> 7 lädt<br />
E<strong>in</strong>träge, die das <strong>W<strong>in</strong>dows</strong>-Fortsetzungsladeprogramm (\<strong>W<strong>in</strong>dows</strong>\System32\<br />
W<strong>in</strong>Resume.exe) starten, das dann <strong>W<strong>in</strong>dows</strong> 7 aus dem Ruhezustand wiederherstellt<br />
E<strong>in</strong>träge, die die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose (\Boot\MemTest.exe) starten<br />
E<strong>in</strong>träge, die Ntldr starten, um ältere <strong>W<strong>in</strong>dows</strong>-Versionen zu laden<br />
E<strong>in</strong>träge, die e<strong>in</strong>en Volumestartdatensatz laden und ausführen, mit dem normalerweise<br />
e<strong>in</strong> Nicht-Microsoft-Startladeprogramm ausgeführt wird<br />
Außerdem können Sie weitere E<strong>in</strong>träge h<strong>in</strong>zufügen, um benutzerdef<strong>in</strong>ierte Anwendungen zu<br />
laden, zum Beispiel Wiederherstellungstools.<br />
Sie haben mehrere Möglichkeiten, die BCD-Registrierungsdatei zu verändern:<br />
Starten und Wiederherstellen Im Dialogfeld Starten und Wiederherstellen (erreichbar<br />
über die Registerkarte Erweitert des Dialogfelds Systemeigenschaften) können Sie<br />
das Standardbetriebssystem auswählen, das gestartet wird, falls Sie mehrere Betriebssysteme<br />
auf Ihrem Computer <strong>in</strong>stalliert haben. Sie können auch e<strong>in</strong>stellen, wie lange das<br />
Startauswahlmenü angezeigt wird. Dieses Dialogfeld hat sich seit <strong>W<strong>in</strong>dows</strong> XP kaum<br />
verändert. Allerd<strong>in</strong>gs ändert es jetzt die BCD-Registrierungsdatei statt der Datei Boot.<strong>in</strong>i.
Was ist neu beim Start von <strong>W<strong>in</strong>dows</strong> 7? 449<br />
Systemkonfigurationsprogramm (Msconfig.exe) Msconfig.exe ist e<strong>in</strong> Problembehandlungstool,<br />
mit dem Sie Startoptionen konfigurieren können. Die Registerkarte<br />
Start bietet <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>e ähnliche Funktionalität wie die Registerkarte Boot.<strong>in</strong>i <strong>in</strong><br />
<strong>W<strong>in</strong>dows</strong> XP, zum Beispiel können Sie im abgesicherten Modus starten, e<strong>in</strong> Startprotokoll<br />
aufzeichnen oder die grafische Benutzeroberfläche deaktivieren.<br />
BCD-WMI-Anbieter Der BCD-WMI-Anbieter (<strong>W<strong>in</strong>dows</strong> Management Instrumentation)<br />
ist e<strong>in</strong>e Verwaltungsschnittstelle, über die Sie skriptgesteuert Dienstprogramme<br />
ausführen können, die die BCD verändern. Dies ist die e<strong>in</strong>zige Programmierschnittstelle,<br />
die Zugriff auf die BCD bietet. Sie sollten immer diese Schnittstelle verwenden, statt zu<br />
versuchen, direkt auf die BCD-Registrierungsdatei zuzugreifen. Weitere Informationen<br />
f<strong>in</strong>den Sie <strong>in</strong> »BCD WMI Provider Classes« unter http://msdn2.microsoft.com/en-us/<br />
library/aa362675.aspx.<br />
BCDEdit.exe BCDEdit.exe ist e<strong>in</strong> Befehlszeilenprogramm, das Bootcfg.exe aus <strong>W<strong>in</strong>dows</strong><br />
XP ersetzt. BCDEdit kann <strong>in</strong>nerhalb von <strong>W<strong>in</strong>dows</strong> 7 <strong>in</strong> e<strong>in</strong>er adm<strong>in</strong>istrativen E<strong>in</strong>gabeaufforderung<br />
gestartet werden, aus <strong>W<strong>in</strong>dows</strong> RE oder sogar aus älteren <strong>W<strong>in</strong>dows</strong>-<br />
Versionen (sofern die Datei BCDEdit.exe dort zur Verfügung steht). BCDEdit bietet<br />
mehr Konfigurationsoptionen als das Dialogfeld Starten und Wiederherstellen.<br />
Nicht-Microsoft-Tools Fremdhersteller haben Softwaretools veröffentlicht, die es<br />
e<strong>in</strong>facher machen, die BCD-Registrierungsdatei zu editieren. Zwei Beispiele s<strong>in</strong>d:<br />
BootPRO, verfügbar unter http://www.vistabootpro.org<br />
EasyBCD, verfügbar unter http://neosmart.net<br />
Sie können mit Bootcfg.exe nicht die BCD verändern. Aber Bootcfg.exe ist weiterh<strong>in</strong> im<br />
Betriebssystem, um Unterstützung für die Konfiguration älterer Betriebssysteme zu bieten,<br />
die unter Umständen auf demselben Computer <strong>in</strong>stalliert s<strong>in</strong>d.<br />
Bei EFI-Computern ersetzt BCDEdit auch NvrBoot. In älteren <strong>W<strong>in</strong>dows</strong>-Versionen konnten<br />
Sie mit NvrBoot die Menüelemente des EFI-Start-Managers bearbeiten.<br />
BCD-Speicher<br />
E<strong>in</strong> BCD-Speicher (BCD store) ist e<strong>in</strong>e B<strong>in</strong>ärdatei im Format e<strong>in</strong>er Registrierungsstruktur.<br />
E<strong>in</strong> Computer hat e<strong>in</strong>en System-BCD-Speicher, der alle <strong>in</strong>stallierten <strong>W<strong>in</strong>dows</strong> Vista- und<br />
<strong>W<strong>in</strong>dows</strong> 7-Betriebssysteme und <strong>in</strong>stallierten <strong>W<strong>in</strong>dows</strong>-Startanwendungen beschreibt.<br />
E<strong>in</strong> Computer kann optional viele Nicht-System-BCD-Speicher haben. Abbildung C.1<br />
zeigt e<strong>in</strong> Beispiel, wie die BCD-Hierarchie <strong>in</strong> e<strong>in</strong>em typischen BCD-Speicher implementiert<br />
ist.<br />
E<strong>in</strong> BCD-Speicher hat normalerweise m<strong>in</strong>destens zwei (und optional viele) BCD-Objekte:<br />
E<strong>in</strong> <strong>W<strong>in</strong>dows</strong>-Start-Manager-Objekt Dieses Objekt enthält BCD-Elemente, die<br />
zum <strong>W<strong>in</strong>dows</strong>-Start-Manager gehören, zum Beispiel die E<strong>in</strong>träge, die im Betriebssystemauswahlmenü<br />
angezeigt werden, Auswahlmenüs für Starttools und Anzeigedauer<br />
für die Auswahlmenüs. Das <strong>W<strong>in</strong>dows</strong>-Start-Manager-Objekt und se<strong>in</strong>e zugehörigen<br />
Elemente haben praktisch dieselbe Aufgabe wie der [boot loader]-Abschnitt <strong>in</strong> der<br />
Datei Boot.<strong>in</strong>i. E<strong>in</strong> Speicher kann optional mehrere Instanzen des <strong>W<strong>in</strong>dows</strong>-Start-<br />
Managers enthalten. Allerd<strong>in</strong>gs kann nur e<strong>in</strong>e davon durch die vordef<strong>in</strong>ierte GUID<br />
(Globally Unique Identifier) des <strong>W<strong>in</strong>dows</strong>-Start-Managers repräsentiert werden.
450 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
Sie können die Aliasbezeichnung der GUID, {bootmgr}, verwenden, um e<strong>in</strong>en<br />
Speicher mit BCDEdit zu bearbeiten.<br />
M<strong>in</strong>destens e<strong>in</strong>, optional mehrere <strong>W<strong>in</strong>dows</strong>-Startladeprogramm-Objekte Speicher<br />
enthalten e<strong>in</strong>e Instanz dieses Objekts für jede Version oder Konfiguration von<br />
<strong>W<strong>in</strong>dows</strong> Vista, <strong>W<strong>in</strong>dows</strong> Server 2008 oder <strong>W<strong>in</strong>dows</strong> 7, die auf dem System <strong>in</strong>stalliert<br />
s<strong>in</strong>d. Diese Objekte enthalten BCD-Ele-mente, die benutzt werden, wenn <strong>W<strong>in</strong>dows</strong><br />
geladen wird oder während der <strong>W<strong>in</strong>dows</strong>-Initialisierung. Das können zum Beispiel<br />
NX-Seitenschutzrichtl<strong>in</strong>ien (no-execute), PAE- Richtl<strong>in</strong>ien (Physical Address Extensions)<br />
und Kerneldebuggere<strong>in</strong>stellungen se<strong>in</strong>. Jedes Objekt und se<strong>in</strong>e zugehörigen<br />
Elemente haben im Pr<strong>in</strong>zip dieselbe Aufgabe wie e<strong>in</strong>e der Zeilen im [operat<strong>in</strong>g<br />
systems]-Abschnitt von Boot.<strong>in</strong>i. Wenn e<strong>in</strong> Computer mit <strong>W<strong>in</strong>dows</strong> 7 gestartet wird,<br />
repräsentiert der Aliasname {current} das zugehörige Startladeprogramm-Objekt.<br />
Wenn Sie e<strong>in</strong>en Speicher mit BCDEdit bearbeiten, hat das Standard-Startladeprogramm-Objekt<br />
die Aliasbezeichnung {default}.<br />
E<strong>in</strong> optionales <strong>W<strong>in</strong>dows</strong>-{ntldr}-Objekt Das {ntldr}-Objekt beschreibt die Position<br />
von Ntldr, die Sie ausführen können, um <strong>W<strong>in</strong>dows</strong> XP oder ältere <strong>W<strong>in</strong>dows</strong>-Versionen<br />
zu starten. Dieses Objekt ist nur erforderlich, falls das System ältere <strong>W<strong>in</strong>dows</strong>-<br />
Versionen als <strong>W<strong>in</strong>dows</strong> Vista enthält. Es ist möglich, mehrere Instanzen von Objekten<br />
zu haben, die Ntldr beschreiben. Wie beim <strong>W<strong>in</strong>dows</strong>-Start-Manager kann aber nur<br />
e<strong>in</strong>e Instanz durch das vordef<strong>in</strong>ierte GUID-Alias {ntldr} repräsentiert werden. Sie<br />
können die Aliasbezeichnung der GUID, {ntldr}, verwenden, um e<strong>in</strong>en Speicher mit<br />
BCDEdit zu bearbeiten.<br />
Optionale Startanwendungen Speicher können optional BCD-Objekte enthalten,<br />
die andere Startoperationen ausführen. E<strong>in</strong> Beispiel ist das <strong>W<strong>in</strong>dows</strong>-Speichertestprogramm,<br />
das die Speicherdiagnose startet.<br />
Abbildung C.1 Die BCD-Hierarchie ermöglicht mehrere Startoptionen
Was ist neu beim Start von <strong>W<strong>in</strong>dows</strong> 7? 451<br />
Ausführliche Informationen über BCD f<strong>in</strong>den Sie <strong>in</strong> »Boot Configuration Data <strong>in</strong> <strong>W<strong>in</strong>dows</strong><br />
Vista« unter http://www.microsoft.com/whdc/system/platform/firmware/bcd.mspx<br />
und <strong>in</strong> »Häufig gestellte Fragen zum Startkonfigurationsdaten-Editor« unter http://technet.<br />
microsoft.com/de-de/library/cc721886.aspx.<br />
Systemwiederherstellung<br />
<strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7 ersetzen das Problembehandlungstool Wiederherstellungskonsole<br />
durch das neue Systemwiederherstellungstool (e<strong>in</strong> Teil von W<strong>in</strong>RE). Normalerweise<br />
starten Sie dieses Tool, <strong>in</strong>dem Sie die Taste F8 drücken, bevor <strong>W<strong>in</strong>dows</strong> startet, und dann im<br />
Bildschirm Erweiterte Startoptionen den E<strong>in</strong>trag Computer reparieren auswählen. Wird<br />
dieser Menüe<strong>in</strong>trag nicht angeboten, weil die Festplatte beschädigt ist, können Sie das Tool<br />
auch ausführen, <strong>in</strong>dem Sie es von der <strong>W<strong>in</strong>dows</strong> 7-DVD starten und dann auf Computer<br />
reparieren klicken (nachdem Sie die Sprachoptionen konfiguriert haben). Daraufh<strong>in</strong> wird<br />
e<strong>in</strong>e spezielle <strong>W<strong>in</strong>dows</strong>-Version geladen, die sogenannte Vor<strong>in</strong>stallationsumgebung (Pre-<br />
Installation, kurz <strong>W<strong>in</strong>dows</strong> PE), die dann das Systemwiederherstellungstool anzeigt. Schrittfür-Schritt-Anleitungen,<br />
wie Sie die Systemwiederherstellungstools laden, f<strong>in</strong>den Sie im Abschnitt<br />
»So starten Sie die Systemwiederherstellungstools« weiter unten <strong>in</strong> diesem Anhang.<br />
Die Systemwiederherstellungstools bieten Zugriff auf die folgenden Tools:<br />
Systemstartreparatur Das Tool Systemstartreparatur (Startup Repair) kann viele<br />
häufiger vorkommende Startprobleme automatisch beseitigen. Die Systemstartreparatur<br />
führt e<strong>in</strong>e ausführliche Analyse aus, um Ihre Startprobleme zu diagnostizieren. Es analysiert<br />
unter anderem Bootsektoren, Start-Manager, Laufwerkskonfiguration, Laufwerks<strong>in</strong>tegrität,<br />
Integrität der BCD-Registrierungsdatei, Systemdatei<strong>in</strong>tegrität, Registrierungs<strong>in</strong>tegrität,<br />
Start- und Ereignisprotokolle. Dann versucht sie, das Problem zu beseitigen.<br />
Dazu kann es erforderlich se<strong>in</strong>, Konfigurationsdateien zu reparieren, e<strong>in</strong>fache Laufwerksprobleme<br />
zu beseitigen, fehlende Systemdateien zu ersetzen oder die Systemwiederherstellung<br />
auszuführen, um den Computer <strong>in</strong> e<strong>in</strong>en früheren Zustand zurückzuversetzen.<br />
Weil die Systemstartreparatur diese Aufgaben automatisch ausführt, können Sie Startprobleme<br />
viel schneller lösen, als wenn Sie die Analyse und Reparatur von Hand vornehmen<br />
müssten.<br />
Systemwiederherstellung <strong>W<strong>in</strong>dows</strong> 7 zeichnet automatisch den Systemstatus auf,<br />
bevor es neue Anwendungen oder Treiber <strong>in</strong>stalliert. Sie können später mit dem Tool<br />
Systemwiederherstellung (System Restore) zu diesem System zurückschalten, falls Probleme<br />
auftreten. Weil die Systemwiederherstellung <strong>in</strong>nerhalb der Systemwiederherstellungstools<br />
zur Verfügung gestellt wird, können Sie mit der Systemwiederherstellung<br />
Probleme reparieren, die verh<strong>in</strong>dern, dass <strong>W<strong>in</strong>dows</strong> 7 startet. Die Systemstartreparatur<br />
kann Sie auffordern, e<strong>in</strong>e Systemwiederherstellung durchzuführen, daher brauchen Sie<br />
unter Umständen niemals direkt auf dieses Tool zuzugreifen.<br />
Systemabbildwiederherstellung Mit diesem Tool können Sie e<strong>in</strong>e vollständige Wiederherstellung<br />
der Systemfestplatte e<strong>in</strong>leiten. Weil dabei allerd<strong>in</strong>gs alle Dateien verloren<br />
gehen, die seit der letzten Datensicherung verändert wurden, sollten Sie diese Maßnahme<br />
nur als allerletzte Möglichkeit <strong>in</strong> Betracht ziehen.
452 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
<strong>W<strong>in</strong>dows</strong>-Speicherdiagnose Das Tool <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose (<strong>W<strong>in</strong>dows</strong> Memory<br />
Diagnostics) führt e<strong>in</strong>en automatisierten Test für die Zuverlässigkeit des Arbeitsspeichers<br />
<strong>in</strong> Ihrem Computer durch. Weitere Informationen f<strong>in</strong>den Sie <strong>in</strong> Anhang D, »Problembehandlung<br />
für Hardware, Treiber und Laufwerke«.<br />
E<strong>in</strong>gabeaufforderung Aus dem Tool E<strong>in</strong>gabeaufforderung (Command Prompt)<br />
heraus haben Sie Zugriff auf viele Standardbefehlszeilentools. Es kann allerd<strong>in</strong>gs se<strong>in</strong>,<br />
dass e<strong>in</strong>ige Tools nicht richtig funktionieren, weil <strong>W<strong>in</strong>dows</strong> noch nicht läuft. Weil zum<br />
Beispiel die <strong>W<strong>in</strong>dows</strong>-Wiederherstellungsumgebung ke<strong>in</strong>e Netzwerkfähigkeiten bietet,<br />
funktionieren Netzwerktools nicht richtig. Die folgenden Tools <strong>in</strong> der <strong>W<strong>in</strong>dows</strong>-Wiederherstellungsumgebung<br />
s<strong>in</strong>d aber oft nützlich:<br />
BCDEdit.exe, um Änderungen an der BCD-Registrierungsdatei vorzunehmen.<br />
Diskpart.exe, um die Festplattenpartitionierung anzuzeigen und zu ändern.<br />
Format.exe, um Partitionen zu formatieren.<br />
Chkdsk.exe, um bestimmte Laufwerksprobleme zu f<strong>in</strong>den und zu korrigieren. Beachten<br />
Sie, dass Chkdsk ke<strong>in</strong>e Ereignisse <strong>in</strong> das Ereignisprotokoll e<strong>in</strong>tragen kann, wenn<br />
es aus den Systemwiederherstellungstools gestartet wird.<br />
Editor.exe, um Protokolldateien anzuzeigen oder Konfigurationsdateien zu editieren.<br />
Bootsect.exe (auf der <strong>W<strong>in</strong>dows</strong> 7-DVD im Ordner \Boot), um den Master-Boot-Code<br />
von Festplattenpartitionen zu aktualisieren, sodass zwischen dem <strong>W<strong>in</strong>dows</strong> 7-Start-<br />
Manager und Ntldr (<strong>in</strong> <strong>W<strong>in</strong>dows</strong> XP und älteren <strong>W<strong>in</strong>dows</strong>-Versionen benutzt) umgeschaltet<br />
werden kann.<br />
Bootrec.exe, um Laufwerksprobleme von Hand zu reparieren, falls die Systemstartreparatur<br />
sie nicht korrigieren kann.<br />
<strong>W<strong>in</strong>dows</strong>-Startleistungsdiagnose<br />
Es kommt manchmal vor, dass <strong>W<strong>in</strong>dows</strong> zwar korrekt startet, dies aber ungewöhnlich lange<br />
dauert. E<strong>in</strong> solches Problem kann schwierig zu beheben se<strong>in</strong>, weil es ke<strong>in</strong>e direkte Möglichkeit<br />
gibt, die Abläufe beim Start von <strong>W<strong>in</strong>dows</strong> zu überwachen. Um Adm<strong>in</strong>istratoren zu helfen,<br />
die Ursache von Startleistungsproblemen zu identifizieren und e<strong>in</strong>ige Probleme automatisch<br />
zu beseitigen, stellt <strong>W<strong>in</strong>dows</strong> 7 die <strong>W<strong>in</strong>dows</strong>-Startleistungsdiagnose (<strong>W<strong>in</strong>dows</strong> Boot Performance<br />
Diagnostics) zur Verfügung.<br />
Sie können die <strong>W<strong>in</strong>dows</strong>-Startleistungsdiagnose <strong>in</strong> e<strong>in</strong>er Active Directory-Umgebung<br />
(Active Directory Doma<strong>in</strong> Services, AD DS) mit Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen verwalten.<br />
Bearbeiten Sie dazu im Knoten Computerkonfiguration\Richtl<strong>in</strong>ien\Adm<strong>in</strong>istrative Vorlagen\<br />
System\Problembehandlung und Diagnose\<strong>W<strong>in</strong>dows</strong>-Startleistungsdiagnose die Richtl<strong>in</strong>ie<br />
Szenarioausführungsebene konfigurieren. Wenn diese Richtl<strong>in</strong>ie aktiviert ist, können Sie<br />
zwischen zwei E<strong>in</strong>stellungen wählen:<br />
Nur Erkennung und Problembehandlung Die <strong>W<strong>in</strong>dows</strong>-Startleistungsdiagnose<br />
identifiziert Startleistungsprobleme und trägt e<strong>in</strong> Ereignis <strong>in</strong> das Ereignisprotokoll e<strong>in</strong>,<br />
sodass Adm<strong>in</strong>istratoren die Probleme erkennen und von Hand beseitigen können. Die<br />
<strong>W<strong>in</strong>dows</strong>-Startleistungsdiagnose versucht aber nicht, das Problem selbst zu beseitigen.<br />
Erkennung, Problembehandlung und Konfliktlösung Die <strong>W<strong>in</strong>dows</strong>-Startleistungsdiagnose<br />
identifiziert Startleistungsprobleme und leitet automatisch Schritte e<strong>in</strong>, um sie<br />
zu beseitigen.
Ablauf des Startvorgangs 453<br />
Falls Sie diese E<strong>in</strong>stellung deaktivieren, identifiziert die <strong>W<strong>in</strong>dows</strong>-Startleistungsdiagnose<br />
ke<strong>in</strong>e Startleistungsprobleme und versucht auch nicht, sie zu beseitigen. Damit die <strong>W<strong>in</strong>dows</strong>-<br />
Startleistungsdiagnose funktioniert, muss der Diagnoserichtl<strong>in</strong>iendienst laufen.<br />
E<strong>in</strong>stellungen für die <strong>W<strong>in</strong>dows</strong>-Herunterfahr-Leistungsdiagnose, die ganz ähnlich arbeitet<br />
wie die <strong>W<strong>in</strong>dows</strong>-Startleistungsdiagnose, f<strong>in</strong>den Sie im Knoten Computerkonfiguration\<br />
Richtl<strong>in</strong>ien\Adm<strong>in</strong>istrative Vorlagen\System\Problembehandlung und Diagnose\<strong>W<strong>in</strong>dows</strong>-<br />
Herunterfahr-Leistungsdiagnose.<br />
Ablauf des Startvorgangs<br />
Um e<strong>in</strong> Startproblem diagnostizieren und korrigieren zu können, müssen Sie wissen, welche<br />
Vorgänge während des Starts ablaufen. Abbildung C.2 bietet e<strong>in</strong>en allgeme<strong>in</strong>en Überblick<br />
über die unterschiedlichen Pfade, die beim Start e<strong>in</strong>geschlagen werden können.<br />
Abbildung C.2 Der <strong>W<strong>in</strong>dows</strong>-Start-Manager stellt mehrere<br />
unterschiedliche Startpfade zur Verfügung<br />
Der normale Startablauf für <strong>W<strong>in</strong>dows</strong> 7 sieht folgendermaßen aus:<br />
1. POST-Phase (Power-On Self Test)<br />
2. Anfangsstartphase<br />
3. <strong>W<strong>in</strong>dows</strong>-Start-Manager-Phase<br />
4. <strong>W<strong>in</strong>dows</strong>-Startladeprogramm-Phase<br />
5. Kernel-Ladephase<br />
6. Anmeldephase
454 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
POST-Phase<br />
Dieser Ablauf kann variieren, falls der Computer aus dem Ruhezustand wiederhergestellt<br />
wird oder falls während der <strong>W<strong>in</strong>dows</strong>-Start-Manager-Phase e<strong>in</strong>e Nicht-<strong>W<strong>in</strong>dows</strong> 7-Option<br />
ausgewählt wird. Die folgenden Abschnitte beschreiben die Phasen e<strong>in</strong>es normalen Startvorgangs<br />
genauer.<br />
Sobald Sie e<strong>in</strong>en Computer e<strong>in</strong>schalten, beg<strong>in</strong>nt se<strong>in</strong> Prozessor, die Programmbefehle auszuführen,<br />
die im BIOS (Basic Input/Output System) oder EFI (Extensible Firmware Interface)<br />
stehen. BIOS oder EFI, beides bestimmte Firmwaretypen, enthalten den prozessorabhängigen<br />
Code, der den Computer startet. Dieser Code ist völlig unabhängig vom <strong>in</strong>stallierten<br />
Betriebssystem. Die erste Gruppe der Startbefehle ist der Power-On Self Test (POST). Der<br />
POST hat die Aufgabe, folgende System- und Diagnosefunktionen auszuführen:<br />
Durchführen erster Hardwareprüfungen, um zum Beispiel zu ermitteln, wie viel Arbeitsspeicher<br />
vorhanden ist<br />
Überprüfen, ob alle Geräte vorhanden s<strong>in</strong>d, die gebraucht werden, um e<strong>in</strong> Betriebssystem<br />
zu starten (zum Beispiel e<strong>in</strong>e Festplatte)<br />
Abrufen von Systemkonfigurationse<strong>in</strong>stellungen aus dem permanenten Speicher des<br />
Motherboards<br />
Der Inhalt des permanenten Speichers bleibt auch erhalten, wenn Sie das System ausgeschaltet<br />
haben. Im permanenten Speicher s<strong>in</strong>d Hardwaree<strong>in</strong>stellungen gespeichert, zum Beispiel<br />
die Startreihenfolge und Plug & Play-Informationen.<br />
Sobald der Motherboard-POST abgeschlossen ist, führen Add-On-Adapter, die eigene Firmware<br />
haben (zum Beispiel Grafikkarten oder Festplattencontroller), <strong>in</strong>terne Diagnosetests<br />
aus.<br />
Falls der Start vor oder während des POST fehlschlägt, handelt es sich um e<strong>in</strong>en Hardwarefehler.<br />
Im Allgeme<strong>in</strong>en zeigt BIOS oder EFI dann e<strong>in</strong>e Fehlermeldung an, die auf das Problem<br />
h<strong>in</strong>weist. Falls die Grafikkarte nicht funktioniert, gibt BIOS oder EFI die Ursache<br />
normalerweise mithilfe e<strong>in</strong>er Reihe von Piepstönen aus.<br />
Wie Sie die Firmwaree<strong>in</strong>stellungen für System und Erweiterungsgeräte anzeigen und ändern<br />
können, müssen Sie <strong>in</strong> der Systemdokumentation des Herstellers nachschlagen. Weitere<br />
Informationen f<strong>in</strong>den Sie <strong>in</strong> der Dokumentation Ihres Computers und im Abschnitt »So<br />
diagnostizieren Sie Hardwareprobleme« weiter unten <strong>in</strong> diesem Anhang.<br />
Anfangsstartphase<br />
Nach dem POST muss der Computer den <strong>W<strong>in</strong>dows</strong>-Start-Manager f<strong>in</strong>den und laden. Ältere<br />
BIOS-Computer und neuere EFI-Computer gehen dabei leicht unterschiedlich vor, wie <strong>in</strong><br />
den folgenden Abschnitten beschrieben.<br />
Anfangsstartphase für BIOS-Computer<br />
Nach dem POST legen die E<strong>in</strong>stellungen, die im permanenten Speicher abgelegt s<strong>in</strong>d (zum<br />
Beispiel Startreihenfolge), fest, welche Geräte der Computer verwenden kann, um e<strong>in</strong> Betriebssystem<br />
zu starten. Neben Disketten- oder Festplattenlaufwerken, die an ATA- (Advanced<br />
Technology Attachment), Serial ATA- und SCSI-Controller (Small Computer System
Ablauf des Startvorgangs 455<br />
Interface) angeschlossen s<strong>in</strong>d, können Computer e<strong>in</strong> Betriebssystem normalerweise auch<br />
von anderen Geräten starten. Das s<strong>in</strong>d zum Beispiel:<br />
CDs oder DVDs<br />
Netzwerkkarten<br />
USB-Flashlaufwerke<br />
Wechseldatenträger<br />
Sekundäre Speichergeräte, die <strong>in</strong> Dock<strong>in</strong>gstations für tragbare Computer <strong>in</strong>stalliert s<strong>in</strong>d<br />
Es ist möglich, e<strong>in</strong>e beliebige Startreihenfolge e<strong>in</strong>zustellen, zum Beispiel »CD-ROM, Diskette,<br />
Festplatte«. Wenn Sie die Startreihenfolge »CD-ROM, Diskette, Festplatte« e<strong>in</strong>stellen,<br />
laufen beim Start folgende Vorgänge ab:<br />
1. Der Computer sucht im CD-ROM-Laufwerk nach e<strong>in</strong>em startfähigen Medium. Falls<br />
e<strong>in</strong>e startfähige CD oder DVD vorhanden ist, verwendet der Computer sie als Startgerät.<br />
Andernfalls durchsucht der Computer das nächste Gerät <strong>in</strong> der Startreihenfolge. Sie<br />
können Ihr System nicht mit e<strong>in</strong>er CD oder DVD starten, die nicht startfähig ist. Wenn<br />
e<strong>in</strong>e nicht startfähige CD oder DVD im CD-ROM-Laufwerk e<strong>in</strong>gelegt ist, kann dies den<br />
Systemstart verlängern. Falls Sie nicht vorhaben, den Computer von CD zu starten,<br />
sollten Sie alle CDs aus dem CD-ROM-Laufwerk entfernen, bevor Sie neu starten.<br />
2. Der Computer sucht im Diskettenlaufwerk nach e<strong>in</strong>em startfähigen Medium. Falls e<strong>in</strong>e<br />
startfähige Diskette vorhanden ist, verwendet der Computer diese Diskette als Startgerät<br />
und lädt den ersten Sektor (Sektor 0, Diskettenstartsektor) <strong>in</strong> den Arbeitsspeicher. Andernfalls<br />
sucht der Computer nach dem nächsten Gerät <strong>in</strong> der Startreihenfolge oder zeigt<br />
e<strong>in</strong>e Fehlermeldung an.<br />
3. Der Computer verwendet die Festplatte als Startgerät. Der Computer nimmt die Festplatte<br />
normalerweise nur dann als Startgerät her, wenn CD-ROM-Laufwerk und Diskettenlaufwerk<br />
leer s<strong>in</strong>d.<br />
Es gibt Ausnahmen, <strong>in</strong> denen Code auf startfähigen Medien die Steuerung an die Festplatte<br />
übergibt. Wenn Sie zum Beispiel Ihr System mithilfe der startfähigen <strong>W<strong>in</strong>dows</strong>-DVD starten,<br />
durchsucht Setup die Festplatte nach <strong>W<strong>in</strong>dows</strong>-Installationen. Falls e<strong>in</strong>e gefunden wird,<br />
haben Sie die Möglichkeit, den Start von DVD zu umgehen, <strong>in</strong>dem Sie e<strong>in</strong>fach ke<strong>in</strong>e Taste<br />
drücken, wenn die E<strong>in</strong>gabeaufforderung »Drücken Sie e<strong>in</strong>e beliebige Taste, um von CD oder<br />
DVD zu starten« angezeigt wird. Diese E<strong>in</strong>gabeaufforderung wird tatsächlich vom Startprogramm<br />
auf der <strong>W<strong>in</strong>dows</strong>-DVD angezeigt, nicht von der Hardware Ihres Computers.<br />
Falls der Start während der Anfangsstartphase fehlschlägt, handelt es sich um e<strong>in</strong> Problem<br />
mit der BIOS-Konfiguration, dem Laufwerkssubsystem oder dem Dateisystem. Die folgende<br />
Fehlermeldung kommt während dieser Phase häufiger vor (»Ke<strong>in</strong>e Systemdiskette oder<br />
Laufwerksfehler. Legen Sie e<strong>in</strong> startfähiges Medium e<strong>in</strong> und drücken Sie anschließend<br />
irgende<strong>in</strong>e Taste«). Sie bedeutet, dass ke<strong>in</strong>es der konfigurierten startfähigen Medien zur<br />
Verfügung stand.<br />
Non-system disk or disk error<br />
Replace and press any key when ready<br />
Falls Sie die Laufwerkskonfiguration vor Kurzem geändert haben, sollten Sie sicherstellen,<br />
dass alle Kabel richtig angeschlossen und die Jumper richtig konfiguriert s<strong>in</strong>d. Falls Sie von<br />
Festplatte starten, sollten Sie überprüfen, ob alle Wechselmedien entfernt wurden. Falls Sie
456 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
von e<strong>in</strong>er CD oder DVD starten, sollten Sie sicherstellen, dass das BIOS so konfiguriert ist,<br />
dass von der CD oder DVD gestartet wird und dass das <strong>W<strong>in</strong>dows</strong> 7-Medium e<strong>in</strong>gelegt ist.<br />
Falls das Laufwerkssubsystem und das BIOS richtig konfiguriert s<strong>in</strong>d, kann das Problem mit<br />
dem Dateisystem zu tun haben. Anleitungen zum Reparieren des Master Boot Record und<br />
des Startsektors f<strong>in</strong>den Sie im Abschnitt »So führen Sie die Systemstartreparatur aus« weiter<br />
unten <strong>in</strong> diesem Anhang. Weitere Informationen über das Konfigurieren der Startreihenfolge<br />
f<strong>in</strong>den Sie <strong>in</strong> der Dokumentation Ihres Computers.<br />
Falls Sie von der Festplatte starten, liest der Computer die Startcodebefehle aus dem Master<br />
Boot Record (MBR). Der MBR ist der erste Sektor mit Daten auf der Startfestplatte. Der<br />
MBR enthält Befehle (den sogenannten Startcode) und e<strong>in</strong>e Tabelle (die Partitionstabelle),<br />
die primäre und erweiterte Partitionen beschreibt. Das BIOS liest den MBR <strong>in</strong> den Arbeitsspeicher<br />
und übergibt die Steuerung an den MBR-Code.<br />
Dann sucht der Computer <strong>in</strong> der Partitionstabelle nach der aktiven Partition, die auch als<br />
startfähige Partition bezeichnet wird. Der erste Sektor der aktiven Partition enthält Startcode,<br />
der dem Computer folgende Fähigkeiten verleiht:<br />
Lesen des Inhalts des verwendeten Dateisystems.<br />
Suchen und Starten e<strong>in</strong>es 16-Bit-Stub-Programms (Bootmgr) im Stammverzeichnis des<br />
Startvolumes. Dieses Stub-Programm schaltet den Prozessor <strong>in</strong> den 32- oder 64-Bit-<br />
Protected-Mode und lädt den 32- oder 64-Bit-<strong>W<strong>in</strong>dows</strong>-Start-Manager, der ebenfalls <strong>in</strong><br />
der Datei Bootmgr gespeichert ist. Sobald der <strong>W<strong>in</strong>dows</strong>-Start-Manager geladen wurde,<br />
verläuft der Start auf BIOS- und EFI-Computern identisch.<br />
H<strong>in</strong>weis Das Stub-Programm ist nötig, weil 32-Bit- und 64-Bit-Computer erst e<strong>in</strong>mal im<br />
Real-Mode starten. Im Real-Mode deaktiviert der Prozessor bestimmte Features, um Kompatibilität<br />
zu Software zu ermöglichen, die für die Ausführung auf 8-Bit- und 16-Bit-Prozessoren<br />
geschrieben wurde. Der <strong>W<strong>in</strong>dows</strong>-Start-Manager hat aber e<strong>in</strong>e 32-Bit- oder 64-Bit-<br />
Architektur, daher richtet das Stub-Programm den BIOS-Computer so e<strong>in</strong>, dass er die 32-<br />
Bit- oder 64-Bit-Software richtig ausführen kann.<br />
Falls ke<strong>in</strong>e aktive Partition vorhanden ist oder die Startsektordaten fehlen oder beschädigt<br />
s<strong>in</strong>d, wird e<strong>in</strong>e Meldung angezeigt, die beispielsweise folgendermaßen aussehen kann:<br />
»Invalid partition table« (Ungültige Partitionstabelle)<br />
»Error load<strong>in</strong>g operat<strong>in</strong>g system« (Fehler beim Laden des Betriebssystems)<br />
»Miss<strong>in</strong>g operat<strong>in</strong>g system« (Fehlendes Betriebssystem)<br />
Falls e<strong>in</strong>e aktive Partition gefunden wird, sucht und startet der Code im Startsektor das <strong>W<strong>in</strong>dows</strong>-Startladeprogramm<br />
(W<strong>in</strong>Load) und das BIOS übergibt die Steuerung an dieses Programm.<br />
Anfangsstartphase für EFI-Computer<br />
Der Start unterscheidet sich bei EFI-Computern <strong>in</strong> dieser Phase von den Abläufen <strong>in</strong> BIOS-<br />
Computern. EFI-Computer haben e<strong>in</strong>en e<strong>in</strong>gebauten Start-Manager, der es der Hardware des<br />
Computers erlaubt, anhand von Benutzere<strong>in</strong>gaben zwischen mehreren Betriebssystemen zu<br />
wählen. Wenn Sie <strong>W<strong>in</strong>dows</strong> 7 auf e<strong>in</strong>em EFI-Computer <strong>in</strong>stallieren, fügt es e<strong>in</strong>en e<strong>in</strong>zelnen<br />
E<strong>in</strong>trag für den <strong>W<strong>in</strong>dows</strong>-Start-Manager zum EFI-Start-Manager h<strong>in</strong>zu. Dieser E<strong>in</strong>trag ver-
Ablauf des Startvorgangs 457<br />
weist auf die ausführbare 32-Bit- oder 64-Bit-EFI-Datei \Efi\Microsoft\Boot\Bootmgfw.efi,<br />
den <strong>W<strong>in</strong>dows</strong>-Start-Manager. Dies ist derselbe <strong>W<strong>in</strong>dows</strong>-Start-Manager, der letztlich auch<br />
auf BIOS-basierten Computern geladen wird. <strong>W<strong>in</strong>dows</strong> 7 konfiguriert den EFI-Start-Manager<br />
so, dass er das EFI-Startmenü nur 2 Sekunden lang anzeigt und dann standardmäßig den<br />
<strong>W<strong>in</strong>dows</strong>-Start-Manager lädt, um die Komplexität und die Startdauer zu verr<strong>in</strong>gern.<br />
Falls Sie e<strong>in</strong> anderes Betriebssystem <strong>in</strong>stallieren oder die E<strong>in</strong>stellungen des EFI-Start-<br />
Managers von Hand ändern, kann EFI unter Umständen den <strong>W<strong>in</strong>dows</strong>-Start-Manager nicht<br />
mehr laden. Sie können dieses Problem mit dem Tool Systemstartreparatur beseitigen, wie<br />
im Abschnitt »Der Ablauf bei der Behandlung von Startproblemen« weiter unten <strong>in</strong> diesem<br />
Anhang beschrieben. Stattdessen können Sie vielleicht auch die E<strong>in</strong>stellungen des EFI-Start-<br />
Managers von Hand aktualisieren, <strong>in</strong>dem Sie die <strong>in</strong> Ihren Computer e<strong>in</strong>gebauten EFI-Tools<br />
verwenden. Weitere Informationen über das Konfigurieren von EFI f<strong>in</strong>den Sie <strong>in</strong> der Dokumentation<br />
Ihres Computers.<br />
<strong>W<strong>in</strong>dows</strong>-Start-Manager-Phase<br />
Der <strong>W<strong>in</strong>dows</strong>-Start-Manager kann unterstützte Dateisysteme direkt lesen und nutzt dies, um<br />
die BCD-Registrierungsdatei e<strong>in</strong>zulesen, ohne das Dateisystem vollständig zu laden.<br />
Abbildung C.3 Der <strong>W<strong>in</strong>dows</strong>-Start-Manager erlaubt Ihnen, zwischen mehreren<br />
Betriebssystemen auszuwählen oder die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose zu starten<br />
Bei Computern, die nur e<strong>in</strong> e<strong>in</strong>ziges Betriebssystem haben, zeigt der <strong>W<strong>in</strong>dows</strong>-Start-Manager<br />
niemals e<strong>in</strong>e Benutzeroberfläche an. Er wartet allerd<strong>in</strong>gs e<strong>in</strong>en Moment, damit der Benutzer<br />
die Möglichkeit hat, e<strong>in</strong>e Taste zu drücken, die das Standardstartmenü anzeigt (Abbildung<br />
C.3), oder um F8 zu drücken, damit die erweiterten Startoptionen angezeigt werden<br />
(Abbildung C.4). Falls der Benutzer <strong>in</strong>nerhalb weniger Sekunden nach dem Abschluss von<br />
POST ke<strong>in</strong>e Taste drückt, startet der <strong>W<strong>in</strong>dows</strong>-Start-Manager das <strong>W<strong>in</strong>dows</strong>-Startladeprogramm,<br />
das se<strong>in</strong>erseits dann <strong>W<strong>in</strong>dows</strong> 7 startet.
458 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
Abbildung C.4 Während des Starts können Sie das Standardverhalten des <strong>W<strong>in</strong>dows</strong>-<br />
Start-Managers unterbrechen, um die erweiterten Startoptionen anzuzeigen<br />
Bei Computern, auf denen mehrere Betriebssysteme <strong>in</strong>stalliert s<strong>in</strong>d (zum Beispiel <strong>W<strong>in</strong>dows</strong> 7<br />
und <strong>W<strong>in</strong>dows</strong> XP), zeigt der <strong>W<strong>in</strong>dows</strong>-Start-Manager beim Start e<strong>in</strong> Menü der verfügbaren<br />
Betriebssysteme an. Abhängig davon, welche Option Sie auswählen, startet der <strong>W<strong>in</strong>dows</strong>-<br />
Start-Manager jeweils e<strong>in</strong>en anderen Prozess:<br />
Falls Sie <strong>W<strong>in</strong>dows</strong> Vista oder <strong>W<strong>in</strong>dows</strong> 7 wählen, startet der <strong>W<strong>in</strong>dows</strong>-Start-Manager<br />
das <strong>W<strong>in</strong>dows</strong>-Startladeprogramm, um <strong>W<strong>in</strong>dows</strong> zu starten.<br />
Falls Sie e<strong>in</strong>e ältere <strong>W<strong>in</strong>dows</strong>-Version oder e<strong>in</strong>en anderen E<strong>in</strong>trag für <strong>W<strong>in</strong>dows</strong> Server<br />
2003, <strong>W<strong>in</strong>dows</strong> XP Professional, Microsoft <strong>W<strong>in</strong>dows</strong> 2000 oder Microsoft <strong>W<strong>in</strong>dows</strong> NT<br />
4 auswählen, startet der <strong>W<strong>in</strong>dows</strong>-Start-Manager Ntldr, der dann <strong>in</strong> die Hardwareerkennungsphase<br />
wechselt.<br />
Falls Sie e<strong>in</strong> anderes Betriebssystem auswählen, wird die Steuerung an den Startsektor<br />
für dieses andere Betriebssystem übergeben.<br />
Falls Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose ausgeben, <strong>in</strong>dem Sie die TAB-Taste drücken,<br />
startet der <strong>W<strong>in</strong>dows</strong>-Start-Manager dieses Diagnosetool, ohne erst <strong>W<strong>in</strong>dows</strong> zu starten.<br />
<strong>W<strong>in</strong>dows</strong>-Startladeprogramm-Phase<br />
Der <strong>W<strong>in</strong>dows</strong>-Start-Manager leitet die <strong>W<strong>in</strong>dows</strong>-Startladeprogramm-Phase e<strong>in</strong>, wenn der<br />
Benutzer entscheidet, <strong>W<strong>in</strong>dows</strong> Vista oder <strong>W<strong>in</strong>dows</strong> 7 zu laden. Das <strong>W<strong>in</strong>dows</strong>-Startladeprogramm<br />
führt folgende Aktionen aus:<br />
1. Es lädt den Betriebssystemkernel, Ntoskrnl.exe, führt ihn aber noch nicht aus.<br />
2. Es lädt den Hardware Abstraction Layer (HAL), Hal.dll. Der HAL wird erst benutzt,<br />
wenn der Kernel ausgeführt wird.
Ablauf des Startvorgangs 459<br />
3. Es lädt die Systemregistrierungsstruktur (System32\Config\System) <strong>in</strong> den Arbeitsspeicher.<br />
4. Es sucht im Schlüssel HKEY_LOCAL_MACHINE\System\Services nach Gerätetreibern<br />
und lädt alle Treiber, die für die Klasse »boot« konfiguriert s<strong>in</strong>d, <strong>in</strong> den Arbeitsspeicher.<br />
Das Startladeprogramm <strong>in</strong>itialisiert die Treiber allerd<strong>in</strong>gs noch nicht. Das geschieht erst<br />
<strong>in</strong> der Kernel-Ladephase.<br />
5. Es aktiviert die Seitenauslagerung.<br />
6. Es übergibt die Steuerung an den Betriebssystemkernel, was die nächste Phase e<strong>in</strong>leitet.<br />
Kernel-Ladephase<br />
Das <strong>W<strong>in</strong>dows</strong>-Startladeprogramm hat die Aufgabe, den <strong>W<strong>in</strong>dows</strong>-Kernel (Ntoskrnl.exe) und<br />
den Hardware Abstraction Layer (HAL) <strong>in</strong> den Arbeitsspeicher zu laden. Kernel und HAL<br />
<strong>in</strong>itialisieren zusammen e<strong>in</strong>e Gruppe von Softwarekomponenten, die als »<strong>W<strong>in</strong>dows</strong>-Exekutive«<br />
(<strong>W<strong>in</strong>dows</strong> executive) bezeichnet wird. Die <strong>W<strong>in</strong>dows</strong>-Exekutive verarbeitet die Konfigurations<strong>in</strong>formationen,<br />
die <strong>in</strong> der Registrierung unter HKLM\System\CurrentControlSet<br />
gespeichert s<strong>in</strong>d, und startet Dienste und Treiber. Die folgenden Abschnitte enthalten mehr<br />
E<strong>in</strong>zelheiten zur Kernel-Ladephase.<br />
Control Sets<br />
Das <strong>W<strong>in</strong>dows</strong>-Startladeprogramm liest Control Set-Informationen aus dem Registrierungsschlüssel<br />
HKEY_LOCAL_MACHINE\System, der <strong>in</strong> der Datei %SystemRoot%\System32\<br />
Config\System gespeichert ist. Auf diese Weise kann der Kernel feststellen, welche Gerätetreiber<br />
während des Starts geladen werden müssen. Normalerweise gibt es mehrere Control<br />
Sets, wie viele es tatsächlich s<strong>in</strong>d, hängt davon ab, wie oft die Systemkonfigurationse<strong>in</strong>stellungen<br />
geändert wurden.<br />
Während des Starts werden folgende Unterschlüssel von HKEY_LOCAL_MACHINE\System<br />
benutzt:<br />
\CurrentControlSet E<strong>in</strong> Zeiger auf e<strong>in</strong>en ControlSetxxx-Unterschlüssel (wobei xxx für<br />
die Nummer e<strong>in</strong>es Control Sets steht, zum Beispiel 001), der im Wert \Select\Current<br />
e<strong>in</strong>getragen ist.<br />
\Select Enthält die folgenden E<strong>in</strong>träge:<br />
Default Verweist auf die Control Set-Nummer (zum Beispiel 001 = ControlSet001),<br />
die das System beim nächsten Start verwenden soll. Falls ke<strong>in</strong> Fehler auftritt und<br />
ke<strong>in</strong> Benutzere<strong>in</strong>griff für die Startoption LastKnownGood vorgenommen wird, ist für<br />
die Nummer dieses Control Sets der Wert der E<strong>in</strong>träge Default, Current und Last-<br />
KnownGood gespeichert (sofern e<strong>in</strong> Benutzer sich erfolgreich anmelden kann).<br />
Current Verweist auf das letzte Control Set, das benutzt wurde, um das System zu<br />
starten.<br />
Failed Verweist auf e<strong>in</strong> Control Set, das <strong>W<strong>in</strong>dows</strong> 7 nicht erfolgreich starten konnte.<br />
Dieser Wert wird aktualisiert, wenn die Option LastKnownGood verwendet wird, um<br />
das System zu starten.
460 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
LastKnownGood Verweist auf das Control Set, das während der letzten Benutzersitzung<br />
verwendet wurde. Wenn sich e<strong>in</strong> Benutzer anmeldet, wird das Control Set<br />
LastKnownGood mit Konfigurations<strong>in</strong>formationen aus der vorherigen Benutzersitzung<br />
aktualisiert.<br />
Das <strong>W<strong>in</strong>dows</strong>-Startladeprogramm verwendet das Control Set, das durch \Select\Default<br />
identifiziert wird, sofern Sie nicht im Menü Erweiterte Startoptionen den E<strong>in</strong>trag Letzte als<br />
funktionierend bekannte Konfiguration auswählen.<br />
Der Kernel erstellt den Registrierungsschlüssel HKEY_LOCAL_MACHINE\HARDWARE. Er<br />
enthält die Hardware<strong>in</strong>formationen, die beim Systemstart gesammelt wurden. <strong>W<strong>in</strong>dows</strong> 7<br />
unterstützt e<strong>in</strong>e große Bandbreite an Geräten, und von Hardwareherstellern werden zusätzliche<br />
Treiber zur Verfügung gestellt, die sich nicht auf der <strong>W<strong>in</strong>dows</strong> 7-Betriebssystem-DVD<br />
bef<strong>in</strong>den. Treiber s<strong>in</strong>d Kernmoduskomponenten, die erforderlich s<strong>in</strong>d, damit Geräte <strong>in</strong>nerhalb<br />
e<strong>in</strong>es Betriebssystems funktionieren. Dienste s<strong>in</strong>d Komponenten, die Betriebssystemund<br />
Anwendungsfunktionen unterstützen und als Netzwerkserver agieren. Dienste können <strong>in</strong><br />
e<strong>in</strong>em anderen Kontext als Benutzeranwendungen laufen, und normalerweise stellen sie<br />
kaum Optionen zur Verfügung, die der Benutzer konfigurieren kann.<br />
Zum Beispiel erfordert der Dienst Druckwarteschlange nicht, dass e<strong>in</strong> Benutzer angemeldet<br />
ist, er funktioniert ganz unabhängig davon, dass e<strong>in</strong> Benutzer am System angemeldet ist.<br />
Treiber kommunizieren im Allgeme<strong>in</strong>en direkt mit Hardwaregeräten, während Dienste normalerweise<br />
über Treiber mit der Hardware kommunizieren. Treiber- und -Dienstdateien s<strong>in</strong>d<br />
normalerweise <strong>in</strong> den Ordnern %SystemRoot%\System32 und %SystemRoot%\System32\<br />
Drivers gespeichert und haben die Date<strong>in</strong>amenerweiterungen .exe, .sys oder .dll.<br />
Treiber s<strong>in</strong>d ebenfalls Dienste. Daher verwenden das <strong>W<strong>in</strong>dows</strong>-Startladeprogramm und<br />
Ntoskrnl während der Kernel-Initialisierung die Informationen, die <strong>in</strong> den HKEY_LOCAL_<br />
MACHINE\System\CurrentControlSet\Services\-Registrierungsunterschlüsseln<br />
gespeichert s<strong>in</strong>d, um festzustellen, welche Treiber und Dienste geladen werden sollen.<br />
In den -Unterschlüsseln gibt der E<strong>in</strong>trag Start an, wann der Dienst gestartet<br />
werden soll. Zum Beispiel lädt das <strong>W<strong>in</strong>dows</strong>-Startladeprogramm alle Treiber, bei denen<br />
Start den Wert 0 hat, das s<strong>in</strong>d zum Beispiel Gerätetreiber für Festplattencontroller. Sobald<br />
die Ausführung an den Kernel übergeben wurde, lädt der Kernel Treiber und Dienste, bei<br />
denen Start den Wert 1 hat.<br />
Tabelle C.1 listet die Werte (dezimal) für den Registrierungse<strong>in</strong>trag Start auf. Starttreiber<br />
(bei denen Start den Wert 0 hat) und Dateisystemtreiber werden immer geladen, unabhängig<br />
davon, welchen Wert Start hat, weil sie erforderlich s<strong>in</strong>d, um <strong>W<strong>in</strong>dows</strong> 7 zu starten.
Tabelle C.1 Werte für den Registrierungse<strong>in</strong>trag Start<br />
Wert Starttyp Beschreibung<br />
Ablauf des Startvorgangs 461<br />
0 Start E<strong>in</strong> Treiber, der vom Startladeprogramm geladen, aber nicht gestartet wird. Falls<br />
ke<strong>in</strong>e Fehler auftreten, wird der Treiber während der Kernel-Initialisierung gestartet,<br />
bevor irgendwelche Nicht-Starttreiber geladen werden.<br />
1 System E<strong>in</strong> Treiber, der während der Kernel-Initialisierung geladen und gestartet wird,<br />
nachdem Treiber mit dem Start-Wert 0 gestartet wurden.<br />
2 Autoladen E<strong>in</strong> Treiber oder Dienst, der beim Systemstart vom Sitzungs-Manager (Smss.exe)<br />
oder dem Dienststeuerungsprogramm (Services.exe) <strong>in</strong>itialisiert wird.<br />
3 Laden bei<br />
Bedarf<br />
E<strong>in</strong> Treiber oder Dienst, den der SCM (Service Control Manager) nur bei Bedarf<br />
startet. Diese Treiber müssen gestartet werden, <strong>in</strong>dem e<strong>in</strong>e W<strong>in</strong>32-SCM-API<br />
(Application Programm<strong>in</strong>g Interface) aufgerufen wird, zum Beispiel im Snap-In<br />
Dienste.<br />
4 Deaktiviert E<strong>in</strong> deaktivierter (nicht gestarteter) Treiber oder Dienst.<br />
5 Verzögerter<br />
Start<br />
Führt weniger kritische Dienste erst kurz nach dem Start aus, damit das Betriebssystem<br />
früher auf Benutzere<strong>in</strong>gaben reagieren kann. Dieser Starttyp wurde <strong>in</strong><br />
<strong>W<strong>in</strong>dows</strong> Vista neu e<strong>in</strong>geführt.<br />
Tabelle C.2 listet e<strong>in</strong>ige der Werte (dezimal) für den Registrierungse<strong>in</strong>trag Type auf.<br />
Tabelle C.2 Werte für den Registrierungse<strong>in</strong>trag Type<br />
Wert Beschreibung<br />
1 E<strong>in</strong> Kernel-Gerätetreiber<br />
2 E<strong>in</strong> Kernmodus-Dateisystemtreiber (ebenfalls e<strong>in</strong> Kernel-Gerätetreiber)<br />
4 Argumente, die an e<strong>in</strong>en Adapter übergeben werden<br />
8 E<strong>in</strong> Dateisystemtreiber, zum Beispiel e<strong>in</strong> Dateisystemerkennungstreiber<br />
16 E<strong>in</strong> Dienst, der vom Dienststeuerungsprotokoll gesteuert wird, <strong>in</strong>nerhalb e<strong>in</strong>es Prozesses läuft,<br />
der nur e<strong>in</strong>en Dienst hostet, und über das Dienststeuerungsprogramm gestartet werden kann<br />
32 E<strong>in</strong> Dienst, der <strong>in</strong> e<strong>in</strong>em Prozess läuft, der mehrere Dienste hostet<br />
256 E<strong>in</strong> Dienst, der Fenster <strong>in</strong> der Konsole anzeigen und Benutzere<strong>in</strong>gaben entgegennehmen darf<br />
Manche Treiber und Dienste setzen voraus, dass bestimmte Bed<strong>in</strong>gungen, die sogenannten<br />
Abhängigkeiten, erfüllt s<strong>in</strong>d. Diese Abhängigkeiten s<strong>in</strong>d <strong>in</strong> den E<strong>in</strong>trägen DependOnGroup<br />
und DependOnService des Unterschlüssels HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\<br />
für den jeweiligen Dienst oder Treiber aufgelistet. Weitere<br />
Informationen darüber, wie Sie mit Abhängigkeiten verh<strong>in</strong>dern oder aufschieben, dass e<strong>in</strong><br />
Treiber oder Dienst gestartet wird, f<strong>in</strong>den Sie im Abschnitt »So können Sie e<strong>in</strong>en Dienst<br />
zeitweise deaktivieren« weiter unten <strong>in</strong> diesem Anhang. Der Unterschlüssel Services enthält<br />
auch Informationen, die sich darauf auswirken, wie Treiber und Dienste geladen werden.<br />
Tabelle C.3 listet e<strong>in</strong>ige dieser anderen E<strong>in</strong>träge auf.
462 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
Tabelle C.3 Andere Registrierungse<strong>in</strong>träge <strong>in</strong> den -Unterschlüsseln<br />
E<strong>in</strong>trag Beschreibung<br />
DependOnGroup M<strong>in</strong>destens e<strong>in</strong> Element dieser Gruppe muss gestartet se<strong>in</strong>, bevor dieser Dienst<br />
geladen wird.<br />
DependOnService Die spezifischen Dienste, die geladen se<strong>in</strong> müssen, bevor dieser Dienst geladen<br />
wird.<br />
DisplayName Beschreibt die Komponente.<br />
ErrorControl Steuert, ob das System bei e<strong>in</strong>em Treiberfehler mit dem Control Set LastKnown-<br />
Good gestartet werden muss oder e<strong>in</strong>e Abbruchmeldung anzeigt.<br />
Falls der Wert 0x0 ist (Ignorieren, ke<strong>in</strong> Fehler wird gemeldet), wird ke<strong>in</strong>e Warnung<br />
angezeigt und der Start wird e<strong>in</strong>fach fortgesetzt.<br />
Falls der Wert 0x1 ist (Normal, Fehler melden), wird das Ereignis im Systemereignisprotokoll<br />
aufgezeichnet und es wird e<strong>in</strong>e Warnmeldung angezeigt, aber<br />
der Start wird fortgesetzt.<br />
Falls der Wert 0x2 ist (Ernst), wird das Ereignis im Systemereignisprotokoll aufgezeichnet,<br />
es werden die LastKnownGood-E<strong>in</strong>stellungen verwendet, das System<br />
wird neu gestartet und der Start wird dann fortgesetzt.<br />
Falls der Wert 0x3 ist (Kritisch), wird das Ereignis im Systemereignisprotokoll<br />
aufgezeichnet, es werden die LastKnownGood-E<strong>in</strong>stellungen verwendet, und das<br />
System wird neu gestartet. Falls bereits die LastKnownGood-E<strong>in</strong>stellungen verwendet<br />
werden, wird e<strong>in</strong>e Abbruchmeldung angezeigt.<br />
Group Gibt an, zu welcher Gruppe dieser Treiber oder Dienst gehört. So können zusammengehörige<br />
Treiber oder Dienste geme<strong>in</strong>sam gestartet werden (zum Beispiel<br />
Dateisystemtreiber). Der Registrierungse<strong>in</strong>trag List im Unterschlüssel HKEY_<br />
LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceGroupOrder gibt<br />
an, <strong>in</strong> welcher Reihenfolge die Gruppe gestartet wird.<br />
ImagePath Gibt den Pfad und den Date<strong>in</strong>amen des Treibers oder Dienstes an (dieser E<strong>in</strong>trag<br />
ist nicht immer vorhanden).<br />
ObjectName Gibt e<strong>in</strong>en Objektnamen an. Falls der E<strong>in</strong>trag Type e<strong>in</strong>en Dienst angibt, ist der<br />
Objektname der Kontoname, unter dem der Dienst angemeldet wird, wenn er<br />
ausgeführt wird.<br />
Tag Die Reihenfolge, <strong>in</strong> der e<strong>in</strong> Treiber <strong>in</strong>nerhalb e<strong>in</strong>er Treibergruppe gestartet wird.<br />
Sitzungs-Manager<br />
Sobald alle E<strong>in</strong>träge mit den Starttypen »Start« (0) und »System« (1) verarbeitet worden<br />
s<strong>in</strong>d, startet der Kernel den Sitzungs-Manager (Smss.exe), e<strong>in</strong>en Benutzerprozess, der weiterläuft,<br />
bis das Betriebssystem heruntergefahren wird. Der Sitzungs-Manager führt wichtige<br />
Initialisierungsfunktionen aus, zum Beispiel:<br />
Erstellen von Systemumgebungsvariablen<br />
Starten des Kernmodusabschnitts des W<strong>in</strong>32-Subsystems (implementiert durch %System-<br />
Root%\System32\W<strong>in</strong>32k.sys), das dafür sorgt, dass <strong>W<strong>in</strong>dows</strong> 7 vom Textmodus (<strong>in</strong> dem<br />
das Menü des <strong>W<strong>in</strong>dows</strong>-Start-Managers angezeigt wird) <strong>in</strong> den Grafikmodus schaltet (<strong>in</strong><br />
dem das <strong>W<strong>in</strong>dows</strong>-Logo angezeigt wird). <strong>W<strong>in</strong>dows</strong>-Anwendungen laufen im <strong>W<strong>in</strong>dows</strong>-<br />
Subsystem. Diese Umgebung erlaubt es Anwendungen, auf Betriebssystemfunktionen<br />
zuzugreifen, um zum Beispiel Informationen auf dem Bildschirm anzuzeigen.
Ablauf des Startvorgangs 463<br />
Starten des Benutzermodusabschnitts des W<strong>in</strong>32-Subsystems (implementiert durch<br />
%SystemRoot%\System32\Csrss.exe). Die Anwendungen, die dieses <strong>W<strong>in</strong>dows</strong>-Subsystem<br />
verwenden, s<strong>in</strong>d Benutzermodusprozesse. Sie haben ke<strong>in</strong>en direkten Zugriff auf<br />
Hardware oder Gerätetreiber. Stattdessen müssen sie auf <strong>W<strong>in</strong>dows</strong>-APIs zugreifen, um<br />
sich <strong>in</strong>direkt Zugriff auf Hardware zu verschaffen. Das erlaubt es <strong>W<strong>in</strong>dows</strong>, direkte<br />
Hardwarezugriffe zu steuern, sodass Sicherheit und Zuverlässigkeit verbessert werden.<br />
Benutzermodusprozesse laufen mit ger<strong>in</strong>gerer Priorität als Kernmodusprozesse. Wenn<br />
das Betriebssystem mehr Arbeitsspeicher braucht, kann es Speicherseiten, die von<br />
Benutzermodusprozessen verwendet werden, auf die Festplatte auslagern.<br />
Starten des Anmelde-Managers (%SystemRoot%\System32\W<strong>in</strong>logon.exe)<br />
Erstellen zusätzlicher Auslagerungsdateien für virtuellen Arbeitsspeicher<br />
Durchführen verzögerter Umbenennungsoperationen für Dateien, die im Registrierungse<strong>in</strong>trag<br />
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Pend<strong>in</strong>gFileRenameOperations<br />
e<strong>in</strong>getragen s<strong>in</strong>d. Zum Beispiel werden Sie manchmal<br />
aufgefordert, den Computer neu zu starten, nachdem e<strong>in</strong> neuer Treiber oder e<strong>in</strong>e<br />
Anwendung <strong>in</strong>stalliert wurde, damit <strong>W<strong>in</strong>dows</strong> 7 Dateien ersetzen kann, die momentan<br />
benutzt werden.<br />
Der Sitzungs-Manager sucht <strong>in</strong> der Registrierung nach Dienst<strong>in</strong>formationen, die <strong>in</strong> den<br />
folgenden Unterschlüsseln e<strong>in</strong>getragen s<strong>in</strong>d:<br />
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager enthält<br />
e<strong>in</strong>e Liste der Befehle, die ausgeführt werden, bevor die Dienste geladen werden. Das<br />
Tool Autochk.exe wird durch den Wert des Registrierungse<strong>in</strong>trags BootExecute angegeben,<br />
und die E<strong>in</strong>stellungen für virtuellen Arbeitsspeicher (Auslagerungsdatei) s<strong>in</strong>d im<br />
Unterschlüssel Memory Management gespeichert. Autochk, e<strong>in</strong>e spezielle Version des<br />
Tools Chkdsk, wird beim Start ausgeführt, falls das Betriebssystem e<strong>in</strong> Dateisystemproblem<br />
entdeckt, das repariert werden muss, bevor der Startvorgang abgeschlossen ist.<br />
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Sub-<br />
Systems enthält e<strong>in</strong>e Liste der verfügbaren Subsysteme. Zum Beispiel enthält Csrss.exe<br />
den Benutzermodusabschnitt des <strong>W<strong>in</strong>dows</strong>-Subsystems.<br />
Falls der Start während der Kernel-Ladephase fehlschlägt, nachdem e<strong>in</strong> anderes Betriebssystem<br />
auf dem Computer <strong>in</strong>stalliert wurde, ist die Ursache für das Problem wahrsche<strong>in</strong>lich e<strong>in</strong><br />
<strong>in</strong>kompatibles Startladeprogramm. Startladeprogramme, die von <strong>W<strong>in</strong>dows</strong>-Versionen vor<br />
<strong>W<strong>in</strong>dows</strong> Vista <strong>in</strong>stalliert werden, können nicht benutzt werden, um <strong>W<strong>in</strong>dows</strong> Vista oder<br />
<strong>W<strong>in</strong>dows</strong> 7 zu starten. Verwenden Sie <strong>in</strong> e<strong>in</strong>em solchen Fall die Systemwiederherstellung,<br />
um die Startdateien durch <strong>W<strong>in</strong>dows</strong>-Startdateien zu ersetzen.<br />
Falls der Start während der Kernel-Ladephase fehlschlägt, obwohl Sie ke<strong>in</strong> neues Betriebssystem<br />
<strong>in</strong>stalliert haben, sollten Sie versuchen, die problematische Komponente <strong>in</strong> der Startprotokollierung<br />
zu isolieren. Verwenden Sie dann den abgesicherten Modus, um die problematischen<br />
Komponenten zu deaktivieren (sofern möglich), oder die Systemwiederherstellung,<br />
um problematische Dateien zu ersetzen. Weitere Informationen f<strong>in</strong>den Sie im Abschnitt<br />
»Problembehandlung für den Startvorgang, bevor das <strong>W<strong>in</strong>dows</strong>-Logo ersche<strong>in</strong>t« weiter unten<br />
<strong>in</strong> diesem Anhang. Falls Sie während dieser Phase e<strong>in</strong>en Abbruchfehler bekommen, sollten<br />
Sie die <strong>in</strong> der Abbruchmeldung angegebenen Informationen analysieren, um die schuldige<br />
Komponente zu isolieren. Weitere Informationen über die Problembehandlung von Abbruchfehlern<br />
f<strong>in</strong>den Sie <strong>in</strong> Anhang F, »Problembehandlung für Abbruchfehler«.
464 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
Anmeldephase<br />
Das <strong>W<strong>in</strong>dows</strong>-Subsystem startet W<strong>in</strong>logon.exe, e<strong>in</strong>en Systemdienst, der die An- und Abmeldung<br />
ermöglicht. W<strong>in</strong>logon.exe führt dann folgende Aktionen aus:<br />
Starten des Dienstsubsystems (Services.exe), auch als Dienstesteuerungs-Manager<br />
(Service Control Manager, SCM) bezeichnet. Der Dienstesteuerungs-Manager <strong>in</strong>itialisiert<br />
Dienste, bei denen der Registrierungse<strong>in</strong>trag Start im Registrierungsunterschlüssel<br />
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ den<br />
Wert 2 (Autoladen) hat.<br />
Starten des LSA-Prozesses (Local Security Authority, Datei Lsass.exe)<br />
Warten auf die Tastenkomb<strong>in</strong>ation STRG+ALT+ENTF bei der Anmelden-E<strong>in</strong>gabeaufforderung<br />
(falls der Computer zu e<strong>in</strong>er Active Directory-Domäne gehört)<br />
Die Benutzeroberfläche der Anmeldekomponente (LogonUI) und der Anmelde<strong>in</strong>formationsanbieter<br />
(dies kann der Standardanmelde<strong>in</strong>formationsanbieter oder der e<strong>in</strong>es Fremdherstellers<br />
se<strong>in</strong>) nimmt Benutzernamen und Kennwort (oder andere Anmelde<strong>in</strong>formationen) entgegen<br />
und übergibt diese Daten geschützt an den LSA, um sie authentifizieren zu lassen. Falls der<br />
Benutzer gültige Anmelde<strong>in</strong>formationen e<strong>in</strong>gegeben hat, wird der Zugriff gewährt, entweder<br />
mit dem standardmäßigen Kerberos V5-Authentifizierungsprotokoll oder mit NTLM<br />
(<strong>W<strong>in</strong>dows</strong> NT LAN Manager).<br />
W<strong>in</strong>logon <strong>in</strong>itialisiert die Sicherheits- und Authentifizierungskomponenten, während Plug &<br />
Play automatisch ladende Dienste und Treiber <strong>in</strong>itialisiert. Sobald der Benutzer angemeldet<br />
ist, wird das Control Set, auf das der Registrierungse<strong>in</strong>trag LastKnownGood verweist (<strong>in</strong><br />
HKLM\System\Select), mit dem Inhalt im Unterschlüssel CurrentControlSet aktualisiert. In<br />
der Standarde<strong>in</strong>stellung startet W<strong>in</strong>logon anschließend User<strong>in</strong>it.exe und die <strong>W<strong>in</strong>dows</strong>-Explorer-Shell.<br />
User<strong>in</strong>it kann dann weitere Abläufe starten, zum Beispiel:<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen werden angewendet Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen,<br />
die auf den Benutzer und Computer angewendet werden, treten <strong>in</strong> Kraft.<br />
Startprogramme werden ausgeführt Wenn dies nicht durch Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen<br />
verh<strong>in</strong>dert wird, startet <strong>W<strong>in</strong>dows</strong> 7 Anmeldeskripts, Startprogramme und<br />
Dienste, die <strong>in</strong> den folgenden Registrierungsunterschlüsseln und Dateisystemordnern<br />
e<strong>in</strong>getragen s<strong>in</strong>d:<br />
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\<strong>W<strong>in</strong>dows</strong>\CurrentVersion\<br />
Runonce<br />
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\<strong>W<strong>in</strong>dows</strong>\CurrentVersion\<br />
Policies\Explorer\Run<br />
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\<strong>W<strong>in</strong>dows</strong>\CurrentVersion\Run<br />
HKEY_CURRENT_USER\Software\Microsoft\<strong>W<strong>in</strong>dows</strong> NT\CurrentVersion\<br />
<strong>W<strong>in</strong>dows</strong>\Run<br />
HKEY_CURRENT_USER\Software\Microsoft\<strong>W<strong>in</strong>dows</strong>\CurrentVersion\Run<br />
HKEY_CURRENT_USER\Software\Microsoft\<strong>W<strong>in</strong>dows</strong>\CurrentVersion\RunOnce<br />
%SystemDrive%\Documents and Sett<strong>in</strong>gs\All Users\Start Menu\Programs\Startup<br />
%SystemDrive%\Documents and Sett<strong>in</strong>gs\\Start Menu\Programs\<br />
Startup
Wichtige Startdateien 465<br />
Manche Anwendungen werden so konfiguriert, dass sie beim Start automatisch ausgeführt<br />
werden, zum Beispiel <strong>W<strong>in</strong>dows</strong> Defender. Computerhersteller oder IT-Abteilungen<br />
konfigurieren unter Umständen noch weitere Anwendungen, die automatisch gestartet<br />
werden.<br />
Der Start von <strong>W<strong>in</strong>dows</strong> ist erst abgeschlossen, wenn sich e<strong>in</strong> Benutzer erfolgreich am<br />
Computer anmeldet hat.<br />
Falls der Start während der Anmeldephase fehlschlägt, liegt e<strong>in</strong> Problem mit e<strong>in</strong>em Dienst<br />
oder e<strong>in</strong>er Anwendung vor, die für den automatischen Start konfiguriert ist. Informationen<br />
zur Problembehandlung f<strong>in</strong>den Sie im Abschnitt »So können Sie Autostartanwendungen und<br />
-prozesse zeitweise deaktivieren« weiter unten <strong>in</strong> diesem Anhang. Falls während dieser<br />
Phase e<strong>in</strong> Abbruchfehler auftritt, können Sie mithilfe der Informationen, die <strong>in</strong> der Abbruchmeldung<br />
angegeben s<strong>in</strong>d, die fehlerhafte Komponente isolieren. Weitere Informationen über<br />
die Problembehandlung von Abbruchfehlern f<strong>in</strong>den Sie <strong>in</strong> Anhang F, »Problembehandlung<br />
für Abbruchfehler«.<br />
Wichtige Startdateien<br />
Damit <strong>W<strong>in</strong>dows</strong> 7 starten kann, müssen die System- und Startpartitionen die <strong>in</strong> Tabelle C.4<br />
aufgeführten Dateien enthalten.<br />
Tabelle C.4 <strong>W<strong>in</strong>dows</strong> 7-Startdateien<br />
Date<strong>in</strong>ame Position Beschreibung<br />
BootMgr Stamm der<br />
Systempartition<br />
Der <strong>W<strong>in</strong>dows</strong>-Start-Manager<br />
W<strong>in</strong>Load %SystemRoot%\<br />
System32<br />
Das <strong>W<strong>in</strong>dows</strong>-Startladeprogramm<br />
BCD \Boot E<strong>in</strong>e Datei, die die Pfade zu Betriebssystem<strong>in</strong>stallationen<br />
und anderen Informationen angibt, die für den<br />
Start von <strong>W<strong>in</strong>dows</strong> erforderlich s<strong>in</strong>d<br />
Ntoskrnl.exe %SystemRoot%\<br />
System32<br />
Hal.dll %SystemRoot%\<br />
System32<br />
Smss.exe %SystemRoot%\<br />
System32<br />
Csrss.exe %SystemRoot%\<br />
System32<br />
Der Kern (Core oder Kernel) des Betriebssystems<br />
<strong>W<strong>in</strong>dows</strong> 7. Code, der als Teil des Kernels läuft, wird<br />
im privilegierten Prozessormodus ausgeführt und hat<br />
direkten Zugriff auf Systemdaten und Hardware.<br />
Die HAL-DLL (Dynamic-L<strong>in</strong>k Library). Die HAL<br />
stellt dem Betriebssystem e<strong>in</strong>e Abstraktion für Low-<br />
Level-Hardwaredetails bereit und bietet e<strong>in</strong>e e<strong>in</strong>heitliche<br />
Programmierschnittstelle für Geräte desselben<br />
Typs (zum Beispiel Grafikkarten).<br />
Die Datei des Sitzungs-Managers. Der Sitzungs-Manager<br />
ist e<strong>in</strong> Benutzermodusprozess, der vom Kernel<br />
während des Starts angelegt wird. Er verarbeitet<br />
kritische Startaufgaben, zum Beispiel das Erstellen der<br />
Auslagerungsdateien und das Durchführen verzögerter<br />
Dateiumbenennungs- und -löschoperationen.<br />
Die Datei des W<strong>in</strong>32-Subsystems. Das W<strong>in</strong>32-Subsystem<br />
wird vom Sitzungs-Manager gestartet. Es ist<br />
erforderlich, damit <strong>W<strong>in</strong>dows</strong> 7 funktioniert.
466 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
Date<strong>in</strong>ame Position Beschreibung<br />
W<strong>in</strong>logon.exe %SystemRoot%\<br />
System32<br />
Services.exe %SystemRoot%\<br />
System32<br />
Lsass.exe %SystemRoot%\<br />
System32<br />
Systemregistrierungsdatei %SystemRoot%\<br />
System32\Config\<br />
System<br />
Gerätetreiber %SystemRoot%\<br />
System32\Drivers<br />
Die Datei für den Anmeldeprozess, der Anmeldeanforderungen<br />
des Benutzers verarbeitet und die Tastenkomb<strong>in</strong>ation<br />
STRG+ALT+ENTF abfängt. Der Anmeldeprozess<br />
wird vom Sitzungs-Manager gestartet.<br />
Dies ist e<strong>in</strong>e erforderliche Komponente.<br />
Der Dienstesteuerungs-Manager hat die Aufgabe,<br />
Dienste zu starten und zu beenden. Er ist e<strong>in</strong>e erforderliche<br />
Komponente von <strong>W<strong>in</strong>dows</strong> 7.<br />
Der LSA-Serverprozess (Local Security Authentication)<br />
wird vom Anmeldeprozess aufgerufen, um<br />
Benutzer zu authentifizieren. Er ist e<strong>in</strong>e erforderliche<br />
Komponente.<br />
Die Datei mit den Daten, aus denen der Registrierungsschlüssel<br />
HKEY_LOCAL_MACHINE\System<br />
generiert wird. Dieser Schlüssel enthält Informationen,<br />
die das Betriebssystem benötigt, um Geräte und Systemdienste<br />
zu starten.<br />
Treiberdateien <strong>in</strong> diesem Ordner werden für Hardwaregeräte<br />
verwendet, zum Beispiel Tastatur, Maus und<br />
Grafikkarte.<br />
In Tabelle C.4 ist %SystemRoot% e<strong>in</strong>e der vielen Umgebungsvariablen (environment<br />
variable), mit denen Zeichenfolgen, zum Beispiel Ordner- oder Dateipfade, mit Variablen<br />
verknüpft werden, die von <strong>W<strong>in</strong>dows</strong> 7-Anwendungen und -Diensten benutzt werden. Zum<br />
Beispiel können Skripts mithilfe von Umgebungsvariablen ohne Anpassung auf Computern<br />
ausgeführt werden, die e<strong>in</strong>e andere Konfiguration aufweisen. Sie können sich e<strong>in</strong>e Liste der<br />
Umgebungsvariablen anzeigen lassen, die Sie im Rahmen der Problembehandlung verwenden<br />
können, <strong>in</strong>dem Sie an der <strong>W<strong>in</strong>dows</strong>-E<strong>in</strong>gabeaufforderung den Befehl set e<strong>in</strong>geben.<br />
So konfigurieren Sie Starte<strong>in</strong>stellungen<br />
<strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7 ermöglichen es Adm<strong>in</strong>istratoren, Starte<strong>in</strong>stellungen weitgehend<br />
<strong>in</strong> denselben grafischen Tools zu konfigurieren, die auch <strong>W<strong>in</strong>dows</strong> XP bereitstellt.<br />
Die Befehlszeilentools zum Konfigurieren der Starttools wurden allerd<strong>in</strong>gs durch neue Tools<br />
ersetzt, und Sie können die Startkonfigurationsdatei (früher die Datei Boot.<strong>in</strong>i) nicht mehr<br />
direkt bearbeiten. Die folgenden Abschnitte beschreiben verschiedene Techniken, um Starte<strong>in</strong>stellungen<br />
zu konfigurieren.<br />
So verwenden Sie das Dialogfeld Starten und Wiederherstellen<br />
Am e<strong>in</strong>fachsten können Sie die BCD-Registrierungsdatei bearbeiten, <strong>in</strong>dem Sie das Dialogfeld<br />
Starten und Wiederherstellen verwenden. Gehen Sie folgendermaßen vor, um im Dialogfeld<br />
Starten und Wiederherstellen das Standardbetriebssystem zu ändern:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den<br />
Befehl Eigenschaften.<br />
2. Klicken Sie auf Erweiterte Systeme<strong>in</strong>stellungen.<br />
3. Klicken Sie im Feld Starten und Wiederherstellen auf die Schaltfläche E<strong>in</strong>stellungen.
So konfigurieren Sie Starte<strong>in</strong>stellungen 467<br />
4. Klicken Sie auf die Dropdownliste Standardbetriebssystem und wählen Sie das Betriebssystem<br />
aus, das <strong>in</strong> der Standarde<strong>in</strong>stellung geladen werden soll.<br />
5. Klicken Sie zweimal auf OK.<br />
Das Standardbetriebssystem wird automatisch geladen, wenn Sie den Computer das nächste<br />
Mal neu starten.<br />
So verwenden Sie das Tool Systemkonfiguration<br />
Das Tool Systemkonfiguration erlaubt e<strong>in</strong>e genauere Kontrolle der Starte<strong>in</strong>stellungen. Unter<br />
anderem können Sie damit die BCD-Registrierungsdatei konfigurieren. Dieses Tool wurde<br />
speziell für die Problembehandlung entworfen. Sie können damit ganz e<strong>in</strong>fach Änderungen<br />
rückgängig machen, die Sie an der Konfiguration des Computers vorgenommen haben (sogar<br />
nach e<strong>in</strong>em Neustart des Computers). Falls Sie Änderungen mit dem Tool Systemkonfiguration<br />
vornehmen, er<strong>in</strong>nert es Benutzer bei der Anmeldung daran, dass bestimmte E<strong>in</strong>stellungen<br />
zeitweise geändert wurden. So verr<strong>in</strong>gert sich die Wahrsche<strong>in</strong>lichkeit, dass E<strong>in</strong>stellungen<br />
nicht zurückgesetzt werden, nachdem der Problembehandlungsvorgang abgeschlossen<br />
ist.<br />
Unter anderem können Sie mit dem Tool Systemkonfiguration folgende Aufgaben durchführen:<br />
Autostartanwendungen zeitweise deaktivieren, um die Ursache e<strong>in</strong>es Problems zu isolieren,<br />
das nach der Anmeldung auftritt<br />
Automatisch startende Dienste zeitweise deaktivieren, um die Ursache e<strong>in</strong>es Problems<br />
zu isolieren, das vor oder nach der Anmeldung auftritt<br />
Die BCD-Registrierungsdatei zeitweise oder dauerhaft konfigurieren<br />
Konfigurieren e<strong>in</strong>es normalen, Diagnose- oder benutzerdef<strong>in</strong>ierten Systemstarts für<br />
<strong>W<strong>in</strong>dows</strong><br />
Sie können das Tool Systemkonfiguration öffnen, <strong>in</strong>dem Sie im Suchfeld des Startmenüs<br />
den Befehl msconfig e<strong>in</strong>geben und die EINGABETASTE drücken. Das Tool Systemkonfiguration<br />
hat fünf Registerkarten:<br />
Allgeme<strong>in</strong> Auf dieser Registerkarte können Sie den Modus für den nächsten Start<br />
ändern. Beim normalen Systemstart werden alle Gerätetreiber und Dienste geladen. Der<br />
Diagnosesystemstart ist nützlich für die Behandlung von Startproblemen, dabei werden<br />
nur die grundlegenden Geräte und Dienste geladen. Wenn Sie die Option Benutzerdef<strong>in</strong>ierter<br />
Systemstart auswählen, können Sie festlegen, ob Sie Systemdienste oder Startelemente<br />
laden wollen.<br />
Start Auf dieser Registerkarte können Sie die BCD-Registrierungsdatei und Starte<strong>in</strong>stellungen<br />
konfigurieren. Sie können Optionen für den Start von Betriebssystemen entfernen,<br />
das Standardbetriebssystem auswählen, erweiterte E<strong>in</strong>stellungen für e<strong>in</strong> Betriebssystem<br />
konfigurieren (zum Beispiel Zahl der Prozessoren, maximaler Arbeitsspeicher<br />
und Debuge<strong>in</strong>stellungen) und <strong>W<strong>in</strong>dows</strong> 7 für den abgesicherten Start oder e<strong>in</strong>en Start<br />
ohne grafische Benutzeroberfläche konfigurieren.<br />
Dienste Auf dieser Registerkarte können Sie zeitweise die Starte<strong>in</strong>stellungen für e<strong>in</strong>en<br />
Dienst ändern. Das ist e<strong>in</strong>e hervorragende Methode, um festzustellen, ob e<strong>in</strong> automatisch<br />
startender Dienst Startprobleme verursacht. Starten Sie Ihren Computer neu, nachdem
468 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
Sie e<strong>in</strong>en Dienst deaktiviert haben, und überprüfen Sie, ob das Problem noch besteht.<br />
Falls das Problem noch vorhanden ist, haben Sie e<strong>in</strong>e mögliche Ursache für das Problem<br />
beseitigt. Sie können den Dienst dann auf dieser Registerkarte wieder aktivieren, e<strong>in</strong>en<br />
anderen Dienst deaktivieren und den Prozess wiederholen. Wenn Sie Dienste dauerhaft<br />
deaktivieren wollen, sollten Sie die Konsole Dienste verwenden.<br />
Systemstart Listet Anwendungen auf, die so konfiguriert s<strong>in</strong>d, dass sie automatisch<br />
gestartet werden. Dies ist die beste Methode, um Anwendungen während e<strong>in</strong>er Problembehandlung<br />
zeitweise zu deaktivieren, weil Sie die Anwendungen später wieder problemlos<br />
im selben Tool aktivieren können. Sie sollten das Tool Systemkonfiguration allerd<strong>in</strong>gs<br />
nicht verwenden, um Startanwendungen dauerhaft zu deaktivieren, weil das Tool<br />
Systemkonfiguration mit dem Ziel entwickelt wurde, solche Änderungen leicht rückgängig<br />
machen zu können. Stattdessen sollten Sie die Anwendung von Hand entfernen oder<br />
<strong>W<strong>in</strong>dows</strong> Defender verwenden.<br />
Tools Stellt L<strong>in</strong>ks auf andere Tools bereit, die Sie starten können.<br />
H<strong>in</strong>weis Die Registerkarten W<strong>in</strong>.<strong>in</strong>i, System.<strong>in</strong>i und Boot.<strong>in</strong>i wurden aus dem Tool Systemkonfiguration<br />
entfernt, weil diese Dateien seit <strong>W<strong>in</strong>dows</strong> XP nicht mehr benutzt werden.<br />
Weil das Tool Systemkonfiguration e<strong>in</strong>e grafische Benutzeroberfläche hat, ist es <strong>in</strong> erster<br />
L<strong>in</strong>ie nützlich, wenn <strong>W<strong>in</strong>dows</strong> 7 erfolgreich starten konnte.<br />
So verwenden Sie BCDEdit<br />
Das Befehlszeilentool BCDEdit bietet Ihnen fast unbegrenzte Steuerungsmöglichkeiten über<br />
die BCD-Registrierungsdatei und die Konfigurationse<strong>in</strong>stellungen.<br />
H<strong>in</strong>weis Falls Sie e<strong>in</strong>en Computer haben, auf dem sowohl <strong>W<strong>in</strong>dows</strong> XP als auch <strong>W<strong>in</strong>dows</strong> 7<br />
<strong>in</strong>stalliert ist, und Sie die BCD-Registrierungsdatei von <strong>W<strong>in</strong>dows</strong> XP aus bearbeiten möchten,<br />
können Sie BCDEdit unter <strong>W<strong>in</strong>dows</strong> XP ausführen, <strong>in</strong>dem Sie es direkt aus dem Ordner<br />
<strong>W<strong>in</strong>dows</strong>\System32 Ihrer <strong>W<strong>in</strong>dows</strong> 7-Installation starten. Das mag zwar <strong>in</strong> e<strong>in</strong>igen Konfigurationen<br />
mit mehreren Betriebssystemen nützlich se<strong>in</strong>, aber normalerweise sollten Sie<br />
BCDEdit aus der E<strong>in</strong>gabeaufforderung der Systemwiederherstellung heraus starten, falls Sie<br />
<strong>W<strong>in</strong>dows</strong> 7 nicht laden können.<br />
Sie müssen adm<strong>in</strong>istrative Anmelde<strong>in</strong>formationen verwenden, um BCDEdit <strong>in</strong>nerhalb von<br />
<strong>W<strong>in</strong>dows</strong> 7 auszuführen. Gehen Sie dazu folgendermaßen vor:<br />
1. Klicken Sie im Startmenü auf Alle Programme und dann auf Zubehör.<br />
2. Klicken Sie mit der rechten Maustaste auf E<strong>in</strong>gabeaufforderung und dann auf Als Adm<strong>in</strong>istrator<br />
ausführen.<br />
Sie können sich ausführliche Informationen über die Verwendung von BCDEdit anzeigen<br />
lassen, <strong>in</strong>dem Sie <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung den Befehl BCDEdit /? ausführen. Die<br />
folgenden Abschnitte beschreiben, wie Sie bestimmte Aufgaben mit BCDEdit ausführen.
So <strong>in</strong>terpretieren Sie die Ausgaben von BCDEdit<br />
So konfigurieren Sie Starte<strong>in</strong>stellungen 469<br />
Mit dem Befehl bcdedit /enum können Sie sich ansehen, welche E<strong>in</strong>stellungen momentan <strong>in</strong><br />
Ihrer BCD-Registrierungsdatei def<strong>in</strong>iert s<strong>in</strong>d. Optional können Sie an diesen Befehl e<strong>in</strong>en<br />
der folgenden Parameter anhängen, um auszuwählen, welche E<strong>in</strong>träge angezeigt werden<br />
sollen:<br />
Active Die Standarde<strong>in</strong>stellung, die auch angezeigt wird, falls Sie bcdedit /enum ohne<br />
weitere Parameter aufrufen. Zeigt alle E<strong>in</strong>träge <strong>in</strong> der Reihenfolge an, <strong>in</strong> der Sie auch<br />
vom Start-Manager aufgelistet werden.<br />
Firmware Zeigt alle Firmwareanwendungen an.<br />
Bootapp Zeigt alle Startumgebungsanwendungen an.<br />
Osloader Zeigt alle Betriebssysteme<strong>in</strong>träge an.<br />
Resume Zeigt alle E<strong>in</strong>träge für die Wiederherstellung aus dem Ruhezustand an.<br />
Inherit Zeigt alle <strong>in</strong>herit-E<strong>in</strong>träge an.<br />
All Zeigt alle E<strong>in</strong>träge an.<br />
Zum Beispiel können Sie sich den Starte<strong>in</strong>trag für die Wiederherstellung aus dem Ruhezustand<br />
ansehen, <strong>in</strong>dem Sie den folgenden Befehl mit Adm<strong>in</strong>istratorrechten an der E<strong>in</strong>gabeaufforderung<br />
e<strong>in</strong>geben:<br />
bcdedit /enum resume<br />
Und mit dem folgenden Befehl können Sie sich alle Starte<strong>in</strong>träge ansehen:<br />
bcdedit /enum all<br />
So können Sie E<strong>in</strong>stellungen sichern und wiederherstellen<br />
Wenn Sie Änderungen an Ihrer BCD-Registrierungsdatei vornehmen, kann das dazu führen,<br />
dass Ihr Computer nicht mehr gestartet werden kann. Bevor Sie Änderungen an Ihrer BCD-<br />
Registrierungsdatei vornehmen, sollten Sie daher e<strong>in</strong>e Sicherungskopie anlegen, e<strong>in</strong>e startfähige<br />
<strong>W<strong>in</strong>dows</strong> 7-DVD bereitlegen und darauf vorbereitet se<strong>in</strong>, die ursprüngliche BCD-<br />
Registrierungsdatei wiederherzustellen.<br />
Sie können Ihre aktuelle BCD-Registrierung sichern, <strong>in</strong>dem Sie den Befehl bcdedit /export<br />
aufrufen, wie hier gezeigt:<br />
bcdedit /export backupbcd.bcd<br />
Später können Sie Ihre ursprüngliche BCD-Registrierungsdatei wiederherstellen, <strong>in</strong>dem Sie<br />
den Befehl bcdedit /import aufrufen:<br />
bcdedit /import backupbcd.bcd<br />
H<strong>in</strong>weis Date<strong>in</strong>ame und Erweiterung können Sie nach Belieben wählen.<br />
Falls <strong>W<strong>in</strong>dows</strong> 7 nicht mehr gestartet werden kann, sollten Sie die Anleitung im Abschnitt<br />
»Der Ablauf bei der Behandlung von Startproblemen« weiter unten <strong>in</strong> diesem Anhang durcharbeiten.
4<strong>70</strong> Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
So ändern Sie den E<strong>in</strong>trag für das Standardbetriebssystem<br />
Sie können sich den aktuellen E<strong>in</strong>trag für das Standardbetriebssystem ansehen, <strong>in</strong>dem Sie<br />
den folgenden Befehl ausführen und nach der Zeile mit dem Begriff »default« suchen:<br />
bcdedit /enum {bootmgr}<br />
<strong>W<strong>in</strong>dows</strong>-Start-Manager<br />
--------------------<br />
identifier {bootmgr}<br />
device partition=\Device\HarddiskVolume1<br />
description <strong>W<strong>in</strong>dows</strong> Boot Manager<br />
locale de-DE<br />
<strong>in</strong>herit {globalsett<strong>in</strong>gs}<br />
default {current}<br />
resumeobject {24a500f3-12ea-11db-a536-b7db<strong>70</strong>c06ac2}<br />
displayorder {current}<br />
toolsdisplayorder {memdiag}<br />
timeout 30<br />
Wenn Sie den E<strong>in</strong>trag für das Standardbetriebssystem ändern wollen, sollten Sie erst den<br />
folgenden Befehl ausführen, um sich die vorhandenen E<strong>in</strong>träge anzusehen. Notieren Sie sich<br />
den Bezeichner für den E<strong>in</strong>trag, den Sie als Standard verwenden wollen:<br />
bcdedit /enum<br />
Führen Sie dann den folgenden Befehl aus, um e<strong>in</strong>en neuen Standarde<strong>in</strong>trag festzulegen<br />
(dabei ist der Bezeichner für den neuen E<strong>in</strong>trag:<br />
bcdedit /default <br />
Zum Beispiel können Sie mit dem folgenden Befehl den <strong>W<strong>in</strong>dows</strong>-Start-Manager so konfigurieren,<br />
dass er als Standarde<strong>in</strong>stellung die ältere Installation von <strong>W<strong>in</strong>dows</strong> XP (die hier<br />
durch den Bezeichner {ntldr} identifiziert wird) startet:<br />
bcdedit /default {ntldr}<br />
Führen Sie den folgenden Befehl aus, damit die momentan laufende Instanz von <strong>W<strong>in</strong>dows</strong> 7<br />
standardmäßig gestartet wird:<br />
bcdedit /default {current}<br />
So ändern Sie die Anzeigedauer des Startauswahlmenüs<br />
Das Startauswahlmenü wird standardmäßig 30 Sekunden lang angezeigt, falls mehr als e<strong>in</strong><br />
Startauswahlmenüe<strong>in</strong>trag vorhanden ist. Falls es nur e<strong>in</strong>en E<strong>in</strong>trag gibt, wird das Menü<br />
überhaupt nicht angezeigt (der Start-Manager wartet allerd<strong>in</strong>gs e<strong>in</strong>ige Sekunden, damit Sie<br />
e<strong>in</strong>e Taste drücken können, um das Menü zu öffnen).<br />
Mit dem Befehl bcdedit /timeout Sekunden können Sie e<strong>in</strong>stellen, wie lange das Startauswahlmenü<br />
standardmäßig angezeigt wird:<br />
bcdedit /timeout 15
So konfigurieren Sie Starte<strong>in</strong>stellungen 471<br />
So ändern Sie die Reihenfolge der E<strong>in</strong>träge im Start-Manager-Menü<br />
Sie können die Reihenfolge der Elemente im Start-Manager-Menü ändern, <strong>in</strong>dem Sie den<br />
Befehl bcdedit /display ausführen und dann die Bezeichner der Menüelemente <strong>in</strong> der gewünschten<br />
Reihenfolge angeben, wie im folgenden Beispiel gezeigt:<br />
bcdedit /display {current} {ntldr} {cbd971bf-b7b8-4885-951a-fa0344f5d71}<br />
So erstellen Sie e<strong>in</strong>en E<strong>in</strong>trag für e<strong>in</strong> anderes Betriebssystem<br />
Sie können mit BCDEdit e<strong>in</strong>en E<strong>in</strong>trag für e<strong>in</strong> anderes Betriebssystem als <strong>W<strong>in</strong>dows</strong> 7 erstellen.<br />
Sie können zum Beispiel Starte<strong>in</strong>träge zur BCD-Registrierungsdatei h<strong>in</strong>zufügen, falls<br />
Sie die Möglichkeit bieten wollen, unterschiedliche Betriebssysteme auf demselben Computer<br />
zu laden. <strong>W<strong>in</strong>dows</strong> 7 erstellt zwar automatisch Starte<strong>in</strong>träge für vorhandene Betriebssysteme,<br />
die bereits <strong>in</strong>stalliert s<strong>in</strong>d, aber Sie müssen unter Umständen von Hand e<strong>in</strong>en Starte<strong>in</strong>trag<br />
h<strong>in</strong>zufügen, falls Sie nach <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong> anderes Betriebssystem <strong>in</strong>stallieren oder<br />
e<strong>in</strong> Betriebssystem von e<strong>in</strong>er neu angeschlossenen Festplatte starten wollen.<br />
In der Standarde<strong>in</strong>stellung enthält die BCD-Registrierungsdatei e<strong>in</strong>en E<strong>in</strong>trag mit der Bezeichnung<br />
{ntldr}. Dieser E<strong>in</strong>trag startet e<strong>in</strong>e ältere <strong>W<strong>in</strong>dows</strong>-Version von Ihrer C:\Partition.<br />
Falls Sie nur e<strong>in</strong> älteres Betriebssystem haben und die Option Frühere <strong>W<strong>in</strong>dows</strong>-Version<br />
momentan nicht im Startauswahlmenü des Computers angezeigt wird, können Sie diesen<br />
vorhandenen E<strong>in</strong>trag verwenden, um das ältere Betriebssystem zu starten. Rufen Sie dazu<br />
bcdedit /set auf, um das Startvolume zu konfigurieren. Fügen Sie dann e<strong>in</strong>en E<strong>in</strong>trag zum<br />
Betriebssystemmenü des <strong>W<strong>in</strong>dows</strong>-Start-Managers h<strong>in</strong>zu, <strong>in</strong>dem Sie den Befehl bcdedit /<br />
displayorder aufrufen. Das folgende Codebeispiel demonstriert, wie Sie vorgehen sollten:<br />
REM Passen Sie die folgende Zeile so an, dass sie auf die Partition des anderen<br />
REM Betriebssystemsverweist. Die folgende Zeile könnte auch lauten:<br />
REM bcdedit /set {ntldr} device boot<br />
bcdedit /set {ntldr} device partition=C:<br />
REM Die folgende Zeile macht den E<strong>in</strong>trag startfähig, <strong>in</strong>dem sie ihn zum Menü h<strong>in</strong>zufügt<br />
bcdedit /displayorder {ntldr} /addlast<br />
Sie können überprüfen, ob der neue E<strong>in</strong>trag im Startauswahlmenü angezeigt wird, <strong>in</strong>dem Sie<br />
den Befehl bcdedit /enum active ausführen und nachsehen, ob der E<strong>in</strong>trag für das <strong>W<strong>in</strong>dows</strong>-Legacybetriebssystem-Ladeprogramm<br />
aufgeführt wird.<br />
Falls Sie zwischen mehreren älteren <strong>W<strong>in</strong>dows</strong>-Betriebssystemen auswählen müssen, sollten<br />
Sie den E<strong>in</strong>trag {ntldr} aus dem Startauswahlmenü verwenden. Der <strong>W<strong>in</strong>dows</strong>-Start-Manager<br />
übergibt dann die Steuerung an NLTDR, das se<strong>in</strong>erseits auf Basis der Datei Boot.<strong>in</strong>i e<strong>in</strong><br />
Menü anzeigt, <strong>in</strong> dem Sie zwischen allen <strong>W<strong>in</strong>dows</strong>-Betriebssystemen auswählen können.<br />
Falls Sie e<strong>in</strong>en E<strong>in</strong>trag für e<strong>in</strong> Nicht-Microsoft-Betriebssystem erstellen wollen, können<br />
Sie entweder mit dem Befehl bcdedit /create e<strong>in</strong>en E<strong>in</strong>trag anlegen oder den vorhandenen<br />
{ntldr}-E<strong>in</strong>trag kopieren und für das Betriebssystem anpassen. Sie können e<strong>in</strong>en neuen E<strong>in</strong>trag<br />
von {ntldr} ableiten, <strong>in</strong>dem Sie den E<strong>in</strong>trag kopieren, den Pfad für das Startladeprogramm<br />
ändern und den E<strong>in</strong>trag dann mit den folgenden Befehlen zum Startauswahlmenü<br />
h<strong>in</strong>zufügen:
472 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
bcdedit /copy {ntldr} /d "Anderes Betriebssystem (oder andere Beschreibung)"<br />
REM Der vorherige Befehl zeigt e<strong>in</strong>e neue GUID an, die die Kopie identifiziert. Verwenden<br />
REM Sie diese GUID im folg. Befehl und passen Sie den Partitionsbezeichner bei Bedarf an.<br />
bcdedit /set {NEUE-GUID} device partition=C:<br />
H<strong>in</strong>weis Versuchen Sie nicht, die GUID abzutippen. Die Gefahr, dass Sie e<strong>in</strong>en Fehler<br />
machen, ist zu groß. Kopieren Sie sie stattdessen <strong>in</strong> die Zwischenablage. Klicken Sie auf das<br />
Befehlsmenü <strong>in</strong> der l<strong>in</strong>ken oberen Ecke des E<strong>in</strong>gabeaufforderungsfensters und wählen Sie<br />
den Befehl Bearbeiten/Markieren. Wählen Sie den GUID-Text aus (<strong>in</strong>klusive der Klammern)<br />
und drücken Sie die EINGABETASTE. Fügen Sie dann die GUID <strong>in</strong> die E<strong>in</strong>gabeaufforderung<br />
e<strong>in</strong>, <strong>in</strong>dem Sie im Befehlsmenü den Befehl Bearbeiten/E<strong>in</strong>fügen wählen.<br />
Führen Sie jetzt den folgenden Befehl aus, um das Startladeprogramm des Betriebssystems<br />
anzugeben:<br />
REM Ersetzen Sie den letzten Parameter durch den Date<strong>in</strong>amen des Startladeprogramms<br />
bcdedit /set {NEUE-GUID} path \Startladeprogramm<br />
Falls {ntldr} nicht im Startauswahlmenü e<strong>in</strong>getragen war, als sie es kopiert haben, müssen<br />
Sie außerdem den folgenden Befehl ausführen, um den kopierten E<strong>in</strong>trag zum Startauswahlmenü<br />
h<strong>in</strong>zuzufügen:<br />
bcdedit /displayorder {NEUE-GUID} /addlast<br />
Außerdem müssen Sie unter Umständen das eigene Startladeprogramm des anderen Betriebssystems<br />
konfigurieren.<br />
So entfernen Sie e<strong>in</strong>en E<strong>in</strong>trag aus dem Startauswahlmenü<br />
Normalerweise brauchen Sie ke<strong>in</strong>e E<strong>in</strong>träge aus der BCD-Registrierungsdatei zu entfernen.<br />
Stattdessen sollten Sie e<strong>in</strong>fach E<strong>in</strong>träge aus dem Menü des <strong>W<strong>in</strong>dows</strong>-Start-Managers löschen.<br />
Führen Sie dazu erst den Befehl bcdedit /enum aus und notieren Sie sich den Bezeichner<br />
des Starte<strong>in</strong>trags. Führen Sie dann den folgenden Befehl aus, wobei Sie den Bezeichner<br />
e<strong>in</strong>setzen:<br />
bcdedit /displayorder {GUID} /remove<br />
Zum Beispiel entfernt der folgende Befehl e<strong>in</strong>en E<strong>in</strong>trag, der die ältere <strong>W<strong>in</strong>dows</strong>-Version<br />
lädt, aus dem Startauswahlmenü:<br />
bcdedit /displayorder {ntldr} /remove<br />
Später können Sie den E<strong>in</strong>trag wieder zum Startauswahlmenü h<strong>in</strong>zufügen, <strong>in</strong>dem Sie den<br />
folgenden Befehl ausführen:<br />
bcdedit /displayorder {GUID} /addlast<br />
Mit dem folgenden Befehl können Sie e<strong>in</strong>en E<strong>in</strong>trag dauerhaft aus der BCD-Registrierung<br />
löschen:<br />
bcdedit /delete {GUID} /remove<br />
Sie sollten e<strong>in</strong>en E<strong>in</strong>trag aber nur dauerhaft entfernen, falls Sie die entsprechenden Betriebssystemdateien<br />
vom Computer gelöscht haben.
So konfigurieren Sie Starte<strong>in</strong>stellungen 473<br />
So können Sie globale Debuggere<strong>in</strong>stellungen anzeigen und ändern<br />
Sie können sich die Debuggere<strong>in</strong>stellungen für Starte<strong>in</strong>träge ansehen, <strong>in</strong>dem Sie den folgenden<br />
Befehl ausführen:<br />
bcdedit /enum<br />
Weitere Informationen über das Anzeigen von E<strong>in</strong>trägen f<strong>in</strong>den Sie im Abschnitt »So <strong>in</strong>terpretieren<br />
Sie die Ausgaben von BCDEdit« weiter oben <strong>in</strong> diesem Anhang. Mit dem folgenden<br />
Befehl können Sie die Debuggere<strong>in</strong>stellungen für e<strong>in</strong>en Starte<strong>in</strong>trag ändern:<br />
bcdedit /dbgsett<strong>in</strong>gs Debugtyp [debugport:Port] [baudrate:Baud] [channel:Kanal]<br />
[targetname:Zielname]<br />
Ersetzen Sie die Parameter durch Ihre eigenen E<strong>in</strong>stellungen, wie <strong>in</strong> der folgenden Liste<br />
beschrieben:<br />
Debugtyp Gibt den Typ des Debuggers an. Debugtyp kann SERIAL, 1394 oder USB se<strong>in</strong>.<br />
Die übrigen Optionen hängen davon ab, welchen Debugtyp Sie ausgewählt haben.<br />
Port Gibt beim Debugtyp SERIAL die serielle Schnittstelle an, die als Debuganschluss<br />
verwendet wird.<br />
Baud Gibt beim Debugtyp SERIAL die Baudrate an, die für den Debuganschluss verwendet<br />
wird.<br />
Kanal Gibt beim Debugtyp 1394 an, welcher 1394-Kanal für das Debuggen verwendet<br />
wird.<br />
Zielname Gibt beim Debugtyp USB den USB-Zielnamen an, der für das Debuggen<br />
verwendet wird.<br />
Zum Beispiel konfiguriert der folgende Befehl die globalen Debuggere<strong>in</strong>stellungen für<br />
serielles Debuggen über COM1 mit 115.200 Baud:<br />
bcdedit /dbgsett<strong>in</strong>gs serial debugport:1 baudrate:115200<br />
Der folgende Befehl konfiguriert die globalen Debuggere<strong>in</strong>stellungen für 1394-Debuggen<br />
über Kanal 23:<br />
bcdedit /dbgsett<strong>in</strong>gs 1394 CHANNEL:32<br />
Der folgende Befehl konfiguriert die globalen Debuggere<strong>in</strong>stellungen für USB-Debuggen<br />
über den Zielnamen »debugg<strong>in</strong>g«:<br />
bcdedit /dbgsett<strong>in</strong>gs USB targetname:debugg<strong>in</strong>g<br />
So entfernen Sie das <strong>W<strong>in</strong>dows</strong> 7-Startladeprogramm<br />
Wenn Sie <strong>W<strong>in</strong>dows</strong> 7 aus e<strong>in</strong>er Startumgebung mit mehreren Betriebssystemen entfernen<br />
wollen, <strong>in</strong> der <strong>W<strong>in</strong>dows</strong> XP oder e<strong>in</strong>e ältere <strong>W<strong>in</strong>dows</strong>-Version vorhanden ist, können Sie<br />
folgendermaßen vorgehen:<br />
1. Stellen Sie mit Bootsect.exe das Programm Ntldr.exe wieder her. Geben Sie dazu den folgenden<br />
Befehl e<strong>in</strong>, wobei D:\ das Laufwerk mit dem <strong>W<strong>in</strong>dows</strong> 7-Installationsmedium ist:<br />
D:\Boot\Bootsect.exe –NT52 All<br />
Wenn der Computer neu startet, lädt er nicht mehr den <strong>W<strong>in</strong>dows</strong>-Start-Manager. Stattdessen<br />
wird Ntldr.exe geladen, das die Datei Boot.<strong>in</strong>i verarbeitet und e<strong>in</strong>e ältere <strong>W<strong>in</strong>dows</strong>-<br />
Version startet.
474 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
2. Falls <strong>W<strong>in</strong>dows</strong> 7 nicht auf der aktiven Partition <strong>in</strong>stalliert ist, können Sie jetzt die Partition<br />
löschen oder entfernen, auf der <strong>W<strong>in</strong>dows</strong> 7 <strong>in</strong>stalliert ist.<br />
H<strong>in</strong>weis Sie können diese Schritte <strong>in</strong> allen <strong>W<strong>in</strong>dows</strong>-Versionen durchführen. Falls Sie<br />
diese Schritte <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Vista oder <strong>W<strong>in</strong>dows</strong> 7 durchführen, müssen Sie die Befehle <strong>in</strong><br />
e<strong>in</strong>er E<strong>in</strong>gabeaufforderung ausführen, die erhöhte Benutzerrechte hat. Klicken Sie dazu im<br />
Startmenü auf Alle Programme, Zubehör, dann mit der rechten Maustaste auf E<strong>in</strong>gabeaufforderung<br />
und schließlich auf Als Adm<strong>in</strong>istrator ausführen.<br />
So konfigurieren Sie e<strong>in</strong> Benutzerkonto für die automatische Anmeldung<br />
Dass Benutzer nach dem Start des Computers ihre Anmelde<strong>in</strong>formationen e<strong>in</strong>geben müssen,<br />
ist e<strong>in</strong> wichtiges Element der <strong>W<strong>in</strong>dows</strong>-Sicherheit. Wird e<strong>in</strong> Benutzerkonto automatisch<br />
angemeldet, kann jeder, der physischen Zugriff auf den Computer hat, ihn neu starten und<br />
dann auf die Dateien des betreffenden Benutzers zugreifen. In Fällen, wo die physische<br />
Sicherheit e<strong>in</strong>es Computers gewährleistet ist, wird e<strong>in</strong>e automatische Anmeldung allerd<strong>in</strong>gs<br />
oft als nützlich empfunden. Gehen Sie folgendermaßen vor, um e<strong>in</strong>en Arbeitsgruppencomputer<br />
so zu konfigurieren, dass e<strong>in</strong> Benutzerkonto automatisch angemeldet wird (diese<br />
Schritte können Sie nicht auf e<strong>in</strong>em Computer ausführen, der e<strong>in</strong> Domänenmitglied ist):<br />
1. Geben Sie im Suchfeld des Startmenüs den Befehl netplwiz e<strong>in</strong> und drücken Sie die<br />
EINGABETASTE.<br />
2. Klicken Sie im Dialogfeld Benutzerkonten auf das Konto, das automatisch angemeldet<br />
werden soll. Deaktivieren Sie das Kontrollkästchen Benutzer müssen Benutzernamen<br />
und Kennwort e<strong>in</strong>geben, sofern es angezeigt wird.<br />
3. Klicken Sie auf OK.<br />
4. Geben Sie im Dialogfeld Automatische Anmeldung zweimal das Kennwort des Benutzers<br />
e<strong>in</strong>. Klicken Sie auf OK.<br />
Wenn Sie den Computer das nächste Mal starten, wird automatisch das lokale Benutzerkonto<br />
angemeldet, das Sie ausgewählt haben. Wenn Sie die automatische Anmeldung konfigurieren,<br />
wird das Kennwort des Benutzers unverschlüsselt <strong>in</strong> der Registrierung gespeichert,<br />
wo die Gefahr besteht, dass jemand es ausliest.<br />
So deaktivieren Sie den <strong>W<strong>in</strong>dows</strong>-Startsound<br />
In der Standarde<strong>in</strong>stellung spielt <strong>W<strong>in</strong>dows</strong> im Rahmen des Startvorgangs e<strong>in</strong>en Sound ab.<br />
Dieser Sound ist manchmal für die Analyse von Startproblemen nützlich, weil er verrät, ob<br />
Sie e<strong>in</strong>e bestimmte Startphase erreicht haben. Wenn es Ihnen lieber ist, können Sie den<br />
Startsound aber auch folgendermaßen deaktivieren:<br />
1. Klicken Sie im Startmenü auf Systemsteuerung.<br />
2. Klicken Sie <strong>in</strong> der Systemsteuerung auf Hardware und Sound.<br />
3. Klicken Sie auf Systemsounds ändern.<br />
4. Deaktivieren Sie auf der Registerkarte Sounds das Kontrollkästchen <strong>W<strong>in</strong>dows</strong>-Startsound<br />
wiedergeben und klicken Sie auf OK.
So beschleunigen Sie den Startvorgang<br />
Der Ablauf bei der Behandlung von Startproblemen 475<br />
Der Systemstart ist e<strong>in</strong> komplexer Vorgang, und er dauert auf jedem Computer unterschiedlich<br />
lang. Aber oft ist es möglich, den Startvorgang zu beschleunigen. Gehen Sie folgendermaßen<br />
vor, um die E<strong>in</strong>stellungen zu optimieren, die E<strong>in</strong>fluss auf die Geschw<strong>in</strong>digkeit des<br />
Startvorgangs haben:<br />
1. Stellen Sie den Computer <strong>in</strong> den BIOS-E<strong>in</strong>stellungen so e<strong>in</strong>, dass er zuerst vom <strong>W<strong>in</strong>dows</strong>-<br />
Startlaufwerk startet. Wollen Sie später ausnahmsweise von e<strong>in</strong>em Wechseldatenträger<br />
starten, müssen Sie diese E<strong>in</strong>stellung vorher ändern.<br />
2. Aktivieren Sie <strong>in</strong> den BIOS-E<strong>in</strong>stellungen des Computers die E<strong>in</strong>stellung Fast Boot<br />
(sofern vorhanden), um zeitaufwendige und oft unnötige Hardwareprüfungen zu überspr<strong>in</strong>gen.<br />
3. Wenn Sie mehrere Startmenüelemente haben, können Sie die Wartezeit auf der Registerkarte<br />
Start des Programms Msconfig verr<strong>in</strong>gern. Stattdessen können Sie den Timeoutwert<br />
auch mit BCDEdit e<strong>in</strong>stellen, wie im Abschnitt »So ändern Sie die Anzeigedauer<br />
des Startauswahlmenüs« weiter oben <strong>in</strong> diesem Anhang beschrieben.<br />
4. Machen Sie Platz auf der Festplatte frei, falls weniger als 15 Prozent frei s<strong>in</strong>d, und defragmentieren<br />
Sie anschließend die Festplatte. Die Defragmentierung wird zwar standardmäßig<br />
automatisch durchgeführt, aber sie ist nicht besonders effektiv, wenn nur wenig<br />
Festplattenplatz frei ist.<br />
5. Deaktivieren Sie unnötige Hardware im Geräte-Manager von <strong>W<strong>in</strong>dows</strong>.<br />
6. Verwenden Sie <strong>W<strong>in</strong>dows</strong>-ReadyBoost, um bestimmte Dateien, die für den Startvorgang<br />
benutzt werden, auf e<strong>in</strong>em USB-Flashlaufwerk zwischenzuspeichern.<br />
7. Entfernen Sie nicht benötigte Autostartanwendungen.<br />
8. Suchen Sie nach Diensten, die automatisch starten sollen, aber nicht sofort beim Start<br />
des Betriebssystems laufen müssen (dies betrifft nur Dienste, die nicht zu <strong>W<strong>in</strong>dows</strong> gehören).<br />
Ändern Sie den Starttyp dieser Dienste <strong>in</strong> der Konsole Dienste auf Automatisch<br />
(Verzögerter Start). S<strong>in</strong>d Dienste so e<strong>in</strong>gestellt, dass sie automatisch starten, obwohl dies<br />
gar nicht notwendig ist, sollten Sie ihren Starttyp auf Manuell ändern.<br />
Wollen Sie Probleme im Bereich der Systemstartleistung genauer analysieren, sollten Sie<br />
das Ereignisprotokoll Anwendungs- und Dienstprotokolle\Microsoft\<strong>W<strong>in</strong>dows</strong>\Diagnostics-<br />
Performance\Betriebsbereit untersuchen. Ereignisse mit IDs von 100 bis 199 liefern Details<br />
zur Systemstartleistung, die nützlich s<strong>in</strong>d, wenn sich der Startvorgang zu lange h<strong>in</strong>zieht.<br />
Insbesondere liefert die Ereignis-ID 100 die Dauer des Startvorgangs <strong>in</strong> der E<strong>in</strong>heit Millisekunden.<br />
Andere Ereignisse identifizieren Anwendungen oder Dienste, die den Startvorgang<br />
verzögern.<br />
Der Ablauf bei der Behandlung von Startproblemen<br />
Startprobleme lassen sich <strong>in</strong> drei Kategorien untergliedern:<br />
Probleme, die auftreten, bevor das <strong>W<strong>in</strong>dows</strong>-Logo ersche<strong>in</strong>t Diese Probleme werden<br />
normalerweise durch fehlende Startdateien (oft weil e<strong>in</strong> anderes Betriebssystem über<br />
<strong>W<strong>in</strong>dows</strong> 7 <strong>in</strong>stalliert wurde), beschädigte Dateien oder Hardwareprobleme verursacht.<br />
Informationen über die Behandlung von Problemen, die auftreten, bevor das <strong>W<strong>in</strong>dows</strong>-
476 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
Logo ersche<strong>in</strong>t, f<strong>in</strong>den Sie im nächsten Abschnitt, »Problembehandlung für den Startvorgang,<br />
bevor das <strong>W<strong>in</strong>dows</strong>-Logo ersche<strong>in</strong>t«.<br />
Probleme, die auftreten, nachdem das <strong>W<strong>in</strong>dows</strong>-Logo ersche<strong>in</strong>t, aber bevor die<br />
Anmeldee<strong>in</strong>gabeaufforderung angezeigt wird Diese Probleme werden meist durch<br />
fehlerhafte oder falsch konfigurierte Treiber und Dienste verursacht. Auch Hardwareprobleme<br />
können Fehler <strong>in</strong> dieser Phase des Startvorgangs auslösen. Informationen über<br />
die Behandlung von Problemen, die auftreten, nachdem das <strong>W<strong>in</strong>dows</strong>-Logo ersche<strong>in</strong>t,<br />
aber bevor die Anmeldee<strong>in</strong>gabeaufforderung angezeigt wird, f<strong>in</strong>den Sie im Abschnitt<br />
»Problembehandlung für den Startvorgang, nachdem das <strong>W<strong>in</strong>dows</strong>-Logo ersche<strong>in</strong>t«<br />
weiter unten <strong>in</strong> diesem Anhang.<br />
Probleme, die nach der Anmeldung auftreten Diese Probleme werden normalerweise<br />
durch Autostartanwendungen ausgelöst. Informationen über die Behandlung von<br />
Problemen, die nach der Anmeldung auftreten, f<strong>in</strong>den Sie im Abschnitt »Problembehandlung<br />
für Startprobleme nach der Anmeldung« weiter unten <strong>in</strong> diesem Anhang.<br />
Problembehandlung für den Startvorgang, bevor das <strong>W<strong>in</strong>dows</strong>-Logo ersche<strong>in</strong>t<br />
Die Behandlung von Startproblemen ist schwieriger als die Behandlung von Problemen, die<br />
auftreten, während <strong>W<strong>in</strong>dows</strong> läuft, weil Sie nicht die ganze Bandbreite der Problembehandlungswerkzeuge<br />
zur Verfügung haben, die <strong>in</strong> <strong>W<strong>in</strong>dows</strong> enthalten s<strong>in</strong>d. <strong>W<strong>in</strong>dows</strong> 7 stellt<br />
allerd<strong>in</strong>gs verschiedene Tools bereit, mit denen Sie die Ursache ermitteln und das Problem<br />
beseitigen können, falls es nicht gel<strong>in</strong>gt, das Betriebssystem zu starten. In erster L<strong>in</strong>ie<br />
können Sie W<strong>in</strong>RE ausführen, <strong>in</strong>dem Sie es von der <strong>W<strong>in</strong>dows</strong>-DVD oder direkt von der<br />
Festplatte starten. W<strong>in</strong>RE kann auch automatisch ausgeführt werden, falls der Start von<br />
<strong>W<strong>in</strong>dows</strong> fehlschlägt. Die W<strong>in</strong>RE-Tools umfassen das Tool Systemstartreparatur, das viele<br />
häufiger vorkommende Startprobleme automatisch beseitigen kann.<br />
Gehen Sie nach dem Schema vor, das <strong>in</strong> Abbildung C.5 beschrieben ist, um Startprobleme<br />
zu beseitigen, die auftreten, bevor das <strong>W<strong>in</strong>dows</strong>-Logo ersche<strong>in</strong>t. Nach jedem Problembehandlungsschritt<br />
sollten Sie versuchen, den Computer zu starten. Falls der Computer erfolgreich<br />
startet oder der Startvorgang so weit fortschreitet, dass das <strong>W<strong>in</strong>dows</strong>-Logo ersche<strong>in</strong>t,<br />
können Sie die Problembehandlung beenden.<br />
Die folgenden Abschnitte beschreiben diese Problembehandlungsschritte genauer.<br />
H<strong>in</strong>weis Wenn Sie <strong>W<strong>in</strong>dows</strong> BitLocker aktiviert haben, kann e<strong>in</strong> verlorener Verschlüsselungsschlüssel<br />
dazu führen, dass der Computer nicht mehr gestartet werden kann.<br />
So führen Sie die Systemstartreparatur aus<br />
Sie können die Systemstartreparatur ausführen, <strong>in</strong>dem Sie die Systemwiederherstellungstools<br />
öffnen und dann die Systemstartreparatur ausführen, wie <strong>in</strong> den folgenden Abschnitten<br />
beschrieben.<br />
So starten Sie die Systemwiederherstellungstools<br />
<strong>W<strong>in</strong>dows</strong> 7 <strong>in</strong>stalliert automatisch die Systemwiederherstellungstools, die <strong>in</strong> der Lage s<strong>in</strong>d,<br />
praktisch jedes Startproblem im Zusammenhang mit Bootsektoren, MBR oder BCD-Registrierungsdatei<br />
zu reparieren. Das Tool Systemstartreparatur kann die meisten Startprobleme<br />
automatisch korrigieren, ohne dass Sie genau wissen müssen, was beim Startvorgang des
Der Ablauf bei der Behandlung von Startproblemen 477<br />
Betriebssystems passiert. Das Tool ist so simpel, dass Sie im Rahmen der Problembehandlung<br />
sogar problemlos Endbenutzer durch die Bedienung dieses Tools leiten können.<br />
Abbildung C.5 Folgen Sie diesem Ablauf, um e<strong>in</strong>e Problembehandlung für<br />
Startprobleme durchzuführen, die auftreten, bevor das <strong>W<strong>in</strong>dows</strong>-Logo ersche<strong>in</strong>t<br />
Gehen Sie folgendermaßen vor, um die Systemwiederherstellungstools zu starten:<br />
1. Starten Sie den Computer neu. Falls die Systemwiederherstellungstools nicht automatisch<br />
gestartet werden, müssen Sie den Computer noch e<strong>in</strong>mal neu starten und diesmal<br />
F8 drücken, bevor das <strong>W<strong>in</strong>dows</strong>-Startlogo ersche<strong>in</strong>t. Wählen Sie dann im Bildschirm<br />
Erweiterte Startoptionen den E<strong>in</strong>trag Computer reparieren aus.<br />
2. Wählen Sie Ihre Sprache und die gewünschte Tastature<strong>in</strong>gabemethode aus und klicken<br />
Sie auf Weiter.<br />
3. Wählen Sie Ihren Benutzernamen aus und geben Sie Ihr Kennwort e<strong>in</strong>. Klicken Sie auf<br />
OK.
478 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
H<strong>in</strong>weis Auf den meisten <strong>W<strong>in</strong>dows</strong> 7-Computern wurden die Systemwiederherstellungstools<br />
bereits vom Computerhersteller <strong>in</strong>stalliert. Auf diesen Computern können Sie die Systemwiederherstellungstools<br />
schneller starten, <strong>in</strong>dem Sie F8 drücken, bevor das <strong>W<strong>in</strong>dows</strong>-<br />
Logo ersche<strong>in</strong>t, und dann auf dem Bildschirm Erweiterte Startoptionen den E<strong>in</strong>trag Computer<br />
reparieren wählen. Diese Computer können Startfehler auch automatisch erkennen<br />
(<strong>in</strong>dem sie feststellen, ob der letzte Start fehlgeschlagen ist) und die Systemstartreparatur<br />
ausführen.<br />
Gel<strong>in</strong>gt es nicht, die Systemwiederherstellungstools von der Festplatte zu starten, müssen<br />
Sie die <strong>W<strong>in</strong>dows</strong>-DVD e<strong>in</strong>legen und den Computer so konfigurieren, dass er von dieser<br />
DVD startet. Gehen Sie dabei folgendermaßen vor:<br />
1. Legen Sie die <strong>W<strong>in</strong>dows</strong>-DVD <strong>in</strong> Ihren Computer e<strong>in</strong>.<br />
2. Starten Sie Ihren Computer neu. Drücken Sie irgende<strong>in</strong>e Taste, wenn Sie gefragt werden,<br />
ob Sie von der DVD starten wollen. Falls ke<strong>in</strong>e solche Meldung ersche<strong>in</strong>t, müssen Sie<br />
unter Umständen die Startreihenfolge Ihres Computers verändern. Weitere Informationen<br />
f<strong>in</strong>den Sie im Abschnitt »Anfangsstartphase« weiter oben <strong>in</strong> diesem Anhang.<br />
3. Warten Sie, bis das <strong>W<strong>in</strong>dows</strong> 7-Setup ausgeführt wird.<br />
4. Wählen Sie Ihre Regionse<strong>in</strong>stellungen und das Tastaturlayout und klicken Sie dann auf<br />
Weiter.<br />
5. Klicken Sie auf Computer reparieren, um RecEnv.exe zu starten.<br />
6. Nach dem Start der Systemwiederherstellungstools sucht die Systemwiederherstellung<br />
auf Ihren Festplatten nach <strong>W<strong>in</strong>dows</strong>-Installationen.<br />
7. Falls die <strong>W<strong>in</strong>dows</strong>-Standardtreiber ke<strong>in</strong>e Festplatte erkennen, weil dafür Treiber benötigt<br />
werden, die nicht <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 enthalten s<strong>in</strong>d, können Sie auf die Schaltfläche Treiber<br />
laden klicken, um den Treiber zu laden. Wählen Sie anschließend e<strong>in</strong> Betriebssystem<br />
aus, das repariert werden soll, und klicken Sie auf Weiter.<br />
Abbildung C.6 Die Systemwiederherstellung stellt e<strong>in</strong>e Reihe<br />
unterschiedlicher Problembehandlungswerkzeuge zur Verfügung<br />
Der weitere Ablauf ist derselbe, egal ob Sie die Systemwiederherstellungstools von Festplatte<br />
oder von DVD geladen haben. Falls <strong>W<strong>in</strong>dows</strong> beim letzten Versuch nicht starten konnte,
Der Ablauf bei der Behandlung von Startproblemen 479<br />
wird automatisch das Tool Systemstartreparatur ausgeführt. Andernfalls wird die Seite Wählen<br />
Sie e<strong>in</strong> Wiederherstellungstool aus geöffnet (Abbildung C.6).<br />
So führen Sie die Systemstartreparatur aus<br />
Am e<strong>in</strong>fachsten können Sie Startprobleme beseitigen, <strong>in</strong>dem Sie die Systemwiederherstellungstools<br />
laden (wie im letzten Abschnitt beschrieben), dann auf Systemstartreparatur<br />
klicken und den angezeigten Anweisungen folgen. Gehen Sie folgendermaßen vor, um die<br />
Systemstartreparatur auszuführen:<br />
1. Klicken Sie auf Systemstartreparatur und befolgen Sie die angezeigten Anweisungen.<br />
Welche Anweisungen angezeigt werden, hängt davon ab, welches Problem die Systemstartreparatur<br />
erkennt. Unter Umständen werden Sie aufgefordert, Ihren Computer mit<br />
der Systemwiederherstellung zurückzusetzen oder den Computer neu zu starten und die<br />
Problembehandlung fortzusetzen.<br />
2. Warten Sie, bis das Tool Systemstartreparatur die Diagnose und Reparatur abgeschlossen<br />
hat, und klicken Sie dann auf Klicken Sie hier, um Diagnose- und Reparaturdetails anzuzeigen.<br />
Am Ende des Berichts führt die Systemstartreparatur e<strong>in</strong>e Fehlerursache auf,<br />
sofern sie e<strong>in</strong>e gefunden hat, und zeigt an, welche Schritte erforderlich s<strong>in</strong>d, um das<br />
Problem zu reparieren. Protokolldateien s<strong>in</strong>d unter %W<strong>in</strong>Dir%\System32\LogFiles\SRT\<br />
SRTTrail.txt gespeichert.<br />
3. Starten Sie den Computer neu und lassen Sie <strong>W<strong>in</strong>dows</strong> 7 diesmal normal starten.<br />
So verwenden Sie BootRec<br />
Die Systemstartreparatur kann die meisten BCD-Probleme automatisch beseitigen. Falls Sie<br />
Probleme lieber von Hand analysieren und reparieren, können Sie das Befehlszeilentool<br />
BootRec.exe verwenden, <strong>in</strong>dem Sie die Systemwiederherstellungstools starten und dann im<br />
Dialogfeld Systemwiederherstellungsoptionen auf E<strong>in</strong>gabeaufforderung klicken.<br />
BootRec.exe unterstützt die folgenden Befehlszeilenparameter:<br />
/FIXMBR Der Parameter /FIXMBR schreibt e<strong>in</strong>en Master Boot Record auf die Systempartition.<br />
/FIXBOOT Der Parameter /FIXBOOT schreibt e<strong>in</strong>en neuen Startsektor auf die Systempartition.<br />
/SCANOS Der Parameter /SCANOS durchsucht alle Datenträger nach <strong>W<strong>in</strong>dows</strong>-Installationen<br />
und zeigt E<strong>in</strong>träge an, die sich momentan nicht im BCD-Speicher bef<strong>in</strong>den.<br />
/REBUILDBCD Der Parameter /REBUILDBCD durchsucht alle Datenträger nach <strong>W<strong>in</strong>dows</strong>-Installationen<br />
und lässt Sie auswählen, welche E<strong>in</strong>träge zum BCD-Speicher<br />
h<strong>in</strong>zugefügt werden sollen.
480 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
Ersatz für die Befehle der <strong>W<strong>in</strong>dows</strong> XP-Wiederherstellungskonsole<br />
Parveen Patel, Developer, <strong>W<strong>in</strong>dows</strong> Reliability<br />
Die Wiederherstellungskonsole wurde <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7 aufgegeben. Was<br />
ist also mit all den wunderbaren Befehlen passiert, die <strong>in</strong> der Wiederherstellungskonsole<br />
zur Verfügung standen? Nun ja, wir hatten gehofft, dass Sie sie nicht mehr benötigen.<br />
Falls Sie sie aber doch haben wollen, s<strong>in</strong>d Sie sicher glücklich darüber, dass die meisten<br />
davon über die E<strong>in</strong>gabeaufforderung <strong>in</strong> der <strong>W<strong>in</strong>dows</strong>-Wiederherstellungsumgebung<br />
(<strong>W<strong>in</strong>dows</strong> Recovery Environment, W<strong>in</strong>RE) verfügbar s<strong>in</strong>d. Hier e<strong>in</strong>e Liste der Wiederherstellungskonsolenbefehle,<br />
die <strong>in</strong> W<strong>in</strong>RE anders oder nicht verfügbar s<strong>in</strong>d:<br />
Wiederherstellungskonsolenbefehl<br />
W<strong>in</strong>RE-Äquivalent(e)<br />
BootCfg BootRec /ScanOS, BootRec /RebuildBcd, bcdedit<br />
FixBoot BootRec /FixBoot<br />
FixMBR BootRec /FixMbr<br />
Map DiskPart<br />
Logon Nicht erforderlich<br />
LISTSVC Nicht verfügbar<br />
ENABLE Nicht verfügbar<br />
DISABLE Nicht verfügbar<br />
SYSTEMROOT Nicht verfügbar<br />
Alle übrigen Befehle haben <strong>in</strong> W<strong>in</strong>RE denselben Namen. Die Befehle im Zusammenhang<br />
mit Diensten (LISTSVC, ENABLE und DISABLE), die nicht zur Verfügung stehen, können dadurch<br />
ersetzt werden, dass Sie mit Regedit von Hand die Registrierungsstruktur bearbeiten.<br />
So diagnostizieren Sie Hardwareprobleme<br />
Falls die Systemstartreparatur das Problem nicht beseitigen kann oder Sie <strong>W<strong>in</strong>dows</strong> Setup<br />
nicht starten können, handelt es sich möglicherweise um e<strong>in</strong> Hardwareproblem. Die meisten<br />
durch Hardware verursachten Probleme verh<strong>in</strong>dern zwar nicht, dass <strong>W<strong>in</strong>dows</strong> 7 startet, aber<br />
solche Probleme machen sich unter Umständen früh im Startvorgang bemerkbar. Symptome<br />
s<strong>in</strong>d zum Beispiel Warnmeldungen, Startfehler und Abbruchmeldungen. Die Ursachen s<strong>in</strong>d<br />
meist e<strong>in</strong>e falsche Gerätekonfiguration, falsche Treibere<strong>in</strong>stellungen oder Hardwaredefekte<br />
oder -totalausfälle.<br />
Ausführliche Informationen über die Behandlung von Hardwareproblemen f<strong>in</strong>den Sie <strong>in</strong><br />
Anhang D, »Problembehandlung für Hardware, Treiber und Laufwerke«.<br />
So verwenden Sie die Systemwiederherstellung<br />
<strong>W<strong>in</strong>dows</strong> 7 zeichnet automatisch den Systemzustand auf, bevor es neue Anwendungen oder<br />
Treiber <strong>in</strong>stalliert. Sie können mit den Systemwiederherstellungstools später diesen Systemzustand<br />
wiederherstellen, falls Probleme auftreten.<br />
Sie können die Systemwiederherstellung <strong>in</strong>nerhalb von <strong>W<strong>in</strong>dows</strong> (auch im abgesicherten<br />
Modus) starten, <strong>in</strong>dem Sie im Startmenü auf Alle Programme, dann auf Zubehör, Systemprogramme<br />
und schließlich Systemwiederherstellung klicken.
Der Ablauf bei der Behandlung von Startproblemen 481<br />
Gehen Sie folgendermaßen vor, um die Systemwiederherstellung auszuführen, wenn Sie<br />
<strong>W<strong>in</strong>dows</strong> nicht starten können:<br />
1. Starten Sie die Systemwiederherstellungstools, wie im Abschnitt »So starten Sie die<br />
Systemwiederherstellungstools« weiter oben <strong>in</strong> diesem Anhang beschrieben.<br />
2. Klicken Sie auf Systemwiederherstellung.<br />
Daraufh<strong>in</strong> wird der Systemwiederherstellungs-Assistent geöffnet. Nun können Sie folgendermaßen<br />
e<strong>in</strong>en früheren Zustand von <strong>W<strong>in</strong>dows</strong> wiederherstellen:<br />
1. Klicken Sie auf der Seite Systemdateien und -e<strong>in</strong>stellungen wiederherstellen des Systemwiederherstellungs-Assistenten<br />
auf Weiter.<br />
2. Klicken Sie auf der Seite E<strong>in</strong>en Wiederherstellungspunkt auswählen auf e<strong>in</strong>en Wiederherstellungspunkt.<br />
Normalerweise sollten Sie den Wiederherstellungspunkt des letzten<br />
Zeitpunkts wählen, an dem der Computer noch e<strong>in</strong>wandfrei lief. Falls der Computer<br />
schon länger als 5 Tage nicht mehr richtig funktioniert, müssen Sie das Kontrollkästchen<br />
Weitere Wiederherstellungspunkte anzeigen aktivieren (Abbildung C.7) und dann den<br />
gewünschten Wiederherstellungspunkt auswählen. Klicken Sie auf Weiter.<br />
Abbildung C.7 E<strong>in</strong>ige Startprobleme können Sie mithilfe<br />
der Systemwiederherstellung beseitigen<br />
3. Klicken Sie auf der Seite Wiederherzustellende Datenträger bestätigen auf Weiter.<br />
4. Klicken Sie auf der Seite Wiederherstellungspunkt bestätigen auf Fertig stellen.<br />
5. Klicken Sie auf Ja, um zu bestätigen, dass die Systemwiederherstellung durchgeführt<br />
werden soll. Das Tool Systemwiederherstellung ändert die Systemdateien und E<strong>in</strong>stellungen,<br />
sodass <strong>W<strong>in</strong>dows</strong> 7 <strong>in</strong> den Zustand zurückversetzt wird, den es zu dem Zeitpunkt<br />
hatte, als der Wiederherstellungspunkt aufgezeichnet wurde.<br />
6. Warten Sie, bis die Systemwiederherstellung abgeschlossen ist, und klicken Sie dann auf<br />
Neu starten. Sie sollten jetzt versuchen, den Computer zu starten und festzustellen, ob<br />
das Problem beseitigt wurde.
482 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
7. Wenn der Computer neu startet, zeigt <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>e Meldung an, dass e<strong>in</strong>e Systemwiederherstellung<br />
vorgenommen wurde. Klicken Sie auf Schließen.<br />
So reparieren Sie den Startsektor von Hand<br />
Die Systemstartreparatur ist bei Weitem der schnellste und e<strong>in</strong>fachste Weg, die meisten<br />
Startprobleme zu beseitigen. Falls Sie allerd<strong>in</strong>gs mit der Behandlung von Startproblemen<br />
vertraut s<strong>in</strong>d und lediglich e<strong>in</strong> Startsektorproblem beseitigen müssen, nachdem e<strong>in</strong> anderes<br />
Betriebssystem <strong>in</strong>stalliert wurde, können Sie <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung (etwa mit dem<br />
Tool E<strong>in</strong>gabeaufforderung aus den Systemwiederherstellungstools) den folgenden Befehl<br />
e<strong>in</strong>geben:<br />
bootsect /NT60 ALL<br />
Bootsect.exe liegt im Ordner \Boot\ der <strong>W<strong>in</strong>dows</strong> 7-DVD und kann aus W<strong>in</strong>RE oder<br />
<strong>W<strong>in</strong>dows</strong> 7 gestartet werden.<br />
Sobald Bootsect ausgeführt wurde, müsste es möglich se<strong>in</strong>, <strong>W<strong>in</strong>dows</strong> zu laden, aber unter<br />
Umständen können Sie ältere <strong>W<strong>in</strong>dows</strong>-Versionen nicht mehr starten, die auf demselben<br />
Computer <strong>in</strong>stalliert s<strong>in</strong>d. Um andere Betriebssysteme zu laden, müssen Sie E<strong>in</strong>träge zur<br />
BCD-Registrierungsdatei h<strong>in</strong>zufügen, wie im Abschnitt »So erstellen Sie e<strong>in</strong>en E<strong>in</strong>trag für<br />
e<strong>in</strong> anderes Betriebssystem« weiter oben <strong>in</strong> diesem Anhang beschrieben.<br />
Abbildung C.8 <strong>W<strong>in</strong>dows</strong> kann die Namen von fehlenden Startdateien anzeigen;<br />
Sie können diese Dateien dann von Hand ersetzen
So aktualisieren Sie von Hand die BCD-Registrierungsdatei<br />
Der Ablauf bei der Behandlung von Startproblemen 483<br />
Die e<strong>in</strong>fachste Methode, Probleme mit der BCD-Registrierungsdatei zu beseitigen, besteht<br />
dar<strong>in</strong>, die Systemstartreparatur auszuführen, wie weiter oben <strong>in</strong> diesem Anhang beschrieben.<br />
Sie können mit den Systemwiederherstellungstools aber auch von Hand die BCD-Registrierungsdatei<br />
aktualisieren. Gehen Sie dazu folgendermaßen vor:<br />
1. Laden Sie die Systemwiederherstellungstools, wie weiter oben beschrieben.<br />
2. Klicken Sie auf E<strong>in</strong>gabeaufforderung.<br />
3. Verwenden Sie jetzt BCDEdit, um die BCD-Registrierungsdatei zu aktualisieren.<br />
Ausführliche Informationen f<strong>in</strong>den Sie im Abschnitt »So verwenden Sie BCDEdit« weiter<br />
oben <strong>in</strong> diesem Anhang.<br />
So können Sie Dateien von Hand ersetzen<br />
Falls Startdateien fehlen oder beschädigt s<strong>in</strong>d, kann <strong>W<strong>in</strong>dows</strong> 7 unter Umständen nicht<br />
starten. Oft zeigt <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>e Fehlermeldung an, <strong>in</strong> der die fehlende Datei genannt ist.<br />
E<strong>in</strong> Beispiel von e<strong>in</strong>er englischen <strong>W<strong>in</strong>dows</strong> 7-Version sehen Sie <strong>in</strong> Abbildung C.8.<br />
Die Systemstartreparatur kann fehlende Systemdateien automatisch ersetzen, aber unter<br />
Umständen erkennt sie nicht, dass Dateien beschädigt s<strong>in</strong>d. Sie können Dateien auch mit der<br />
E<strong>in</strong>gabeaufforderung der Systemwiederherstellungstools ersetzen.<br />
Gehen Sie folgendermaßen vor, um Dateien zu ersetzen:<br />
1. Kopieren Sie die benötigten Dateien auf e<strong>in</strong>em anderen Computer auf e<strong>in</strong>en Wechseldatenträger,<br />
zum Beispiel e<strong>in</strong>e CD oder e<strong>in</strong> USB-Flashlaufwerk. Sie können nicht auf<br />
die <strong>W<strong>in</strong>dows</strong> 7-Systemdateien der <strong>W<strong>in</strong>dows</strong> 7-DVD zugreifen, weil sie <strong>in</strong>nerhalb e<strong>in</strong>er<br />
WIM-Datei gespeichert s<strong>in</strong>d, auf die Sie aus der Systemwiederherstellungsumgebung<br />
heraus ke<strong>in</strong>en Zugriff haben.<br />
2. Starten Sie die Systemwiederherstellungstools, wie im Abschnitt »So starten Sie die<br />
Systemwiederherstellungstools« weiter oben <strong>in</strong> diesem Anhang beschrieben.<br />
3. Warten Sie, bis die Systemwiederherstellungstools gestartet wurden, und klicken Sie<br />
dann auf E<strong>in</strong>gabeaufforderung.<br />
4. Ihr Wechseldatenträger hat e<strong>in</strong>en Laufwerkbuchstaben, genau wie e<strong>in</strong>e Festplatte. Die<br />
Systemwiederherstellungstools weisen Festplatten Buchstaben ab C: zu, danach folgen<br />
die Wechseldatenträger. Führen Sie den folgenden Befehl aus, um den Laufwerkbuchstaben<br />
Ihres Wechseldatenträgers zu ermitteln:<br />
C:\>diskpart<br />
DISKPART> list volume<br />
Volume ### Bst Bezeichnung DS Typ Größe Status Info<br />
---------- --- ----------- ----- ---------- ------- --------- --------<br />
Volume 0 C W<strong>in</strong>7 NTFS Partition 63 GB Fehlerfre<br />
Volume 1 E <strong>W<strong>in</strong>dows</strong> XP NTFS Partition 91 GB Fehlerfre<br />
Volume 2 D NTFS Partition 69 GB Fehlerfre<br />
Volume 3 I Wechselm. 0 B Ke<strong>in</strong> Medi<br />
Volume 4 H Wechselm. 0 B Ke<strong>in</strong> Medi<br />
Volume 5 F LR1CFRE_EN_ UDF Partition 2584 MB Fehlerfre<br />
Volume 6 G USBDRIVE FAT32 Partition 991 MB Fehlerfre
484 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
5. Übertragen Sie die Dateien mit dem Befehl Copy von Ihrem Wechseldatenträger auf die<br />
Festplatte des Computers.<br />
So <strong>in</strong>stallieren Sie <strong>W<strong>in</strong>dows</strong> neu<br />
Gelegentlich kann es vorkommen, dass Startdateien und kritische Bereiche der Festplatte<br />
beschädigt werden. Falls Sie <strong>in</strong> erster L<strong>in</strong>ie noch lesbare Datendateien retten und sie im Tool<br />
Sichern und Wiederherstellen auf Sicherungsmedien oder <strong>in</strong> e<strong>in</strong>en Netzwerkordner kopieren<br />
wollen, können Sie e<strong>in</strong>e Parallel<strong>in</strong>stallation von <strong>W<strong>in</strong>dows</strong> durchführen. Das mag Ihnen zwar<br />
Zugriff auf das Dateisystem verschaffen, beschädigt aber Ihr vorhandenes Betriebssystem<br />
und die Anwendungen.<br />
Falls Sie <strong>W<strong>in</strong>dows</strong> nicht starten können, obwohl Sie die Problembehandlungsschritte <strong>in</strong><br />
dieser Anleitung befolgt haben, können Sie <strong>W<strong>in</strong>dows</strong> neu <strong>in</strong>stallieren, um die Daten wiederherstellen<br />
zu können. Gehen Sie dazu folgendermaßen vor:<br />
1. Legen Sie die <strong>W<strong>in</strong>dows</strong>-DVD <strong>in</strong> Ihren Computer e<strong>in</strong>.<br />
2. Starten Sie Ihren Computer neu. Drücken Sie irgende<strong>in</strong>e Taste, wenn Sie gefragt werden,<br />
ob Sie von der DVD starten wollen.<br />
3. Das <strong>W<strong>in</strong>dows</strong>-Setup wird ausgeführt. Wählen Sie Ihre Regionse<strong>in</strong>stellungen und das<br />
Tastaturlayout und klicken Sie dann auf Weiter.<br />
4. Klicken Sie auf Jetzt <strong>in</strong>stallieren.<br />
5. Geben Sie Ihren Product Key e<strong>in</strong>, wenn Sie dazu aufgefordert werden.<br />
6. Aktivieren Sie das Kontrollkästchen Ich akzeptiere die Lizenzbed<strong>in</strong>gungen und klicken<br />
Sie auf Weiter.<br />
7. Klicken Sie auf Benutzerdef<strong>in</strong>iert.<br />
8. Wählen Sie auf der Seite Wo möchten Sie <strong>W<strong>in</strong>dows</strong> <strong>in</strong>stallieren die Partition mit Ihrer<br />
<strong>W<strong>in</strong>dows</strong>-Installation aus und klicken Sie auf Weiter.<br />
9. Klicken Sie auf OK.<br />
Setup <strong>in</strong>stalliert nun e<strong>in</strong>e neue Instanz von <strong>W<strong>in</strong>dows</strong> und verschiebt alle Dateien aus Ihrer<br />
vorherigen Installation <strong>in</strong> den Ordner \<strong>W<strong>in</strong>dows</strong>.Old (darunter die Ordner \Program Files,<br />
\<strong>W<strong>in</strong>dows</strong> und \Users). Sie haben jetzt zwei Möglichkeiten, um den Computer <strong>in</strong> se<strong>in</strong>en<br />
ursprünglichen Zustand zurückzuversetzen:<br />
Formatieren Sie die Systempartition neu Falls Sie e<strong>in</strong>e automatisierte Bereitstellungslösung<br />
zur Verfügung haben (wie <strong>in</strong> Teil II dieses Buchs, »Bereitstellung«, beschrieben),<br />
besteht die schnellste Lösung dar<strong>in</strong>, wichtige Dateien zu sichern und dann<br />
<strong>W<strong>in</strong>dows</strong> neu bereitzustellen. Falls Sie <strong>W<strong>in</strong>dows</strong> von Hand neu <strong>in</strong>stallieren müssen,<br />
können Sie folgendermaßen vorgehen:<br />
1. Sichern Sie alle wichtigen Dateien, <strong>in</strong>dem Sie sie auf Wechseldatenträger schreiben,<br />
auf e<strong>in</strong>e externe Festplatte kopieren oder <strong>in</strong> e<strong>in</strong>en freigegebenen Netzwerkordner<br />
kopieren.<br />
2. Installieren Sie <strong>W<strong>in</strong>dows</strong> neu. Wählen Sie diesmal aus, dass die Systempartition neu<br />
formatiert werden soll.<br />
3. Installieren Sie alle Anwendungen neu und konfigurieren Sie alle benutzerdef<strong>in</strong>ierten<br />
E<strong>in</strong>stellungen.<br />
4. Stellen Sie wichtige Dateien wieder her.
Der Ablauf bei der Behandlung von Startproblemen 485<br />
Arbeiten Sie mit der aktuellen Systempartition weiter Sie können wichtige Dateien<br />
an die entsprechenden Stellen <strong>in</strong>nerhalb der neuen <strong>W<strong>in</strong>dows</strong>-Instanz verschieben. Installieren<br />
Sie dann alle Anwendungen neu und konfigurieren Sie alle benutzerdef<strong>in</strong>ierten<br />
E<strong>in</strong>stellungen. Zuletzt können Sie die ursprüngliche <strong>W<strong>in</strong>dows</strong>-Instanz mit der Datenträgerbere<strong>in</strong>igung<br />
entfernen, <strong>in</strong>dem Sie den Ordner \<strong>W<strong>in</strong>dows</strong>.Old löschen.<br />
Problembehandlung für den Startvorgang,<br />
nachdem das <strong>W<strong>in</strong>dows</strong>-Logo ersche<strong>in</strong>t<br />
Falls Ihr Computer das <strong>W<strong>in</strong>dows</strong>-Logo (Abbildung C.9) anzeigt, bevor der Fehler auftritt,<br />
wurde der <strong>W<strong>in</strong>dows</strong>-Kernel erfolgreich geladen. Wahrsche<strong>in</strong>lich wird der Startfehler durch<br />
e<strong>in</strong>en defekten Treiber oder Dienst verursacht.<br />
Abbildung C.9 Wenn das <strong>W<strong>in</strong>dows</strong>-Logo angezeigt wird,<br />
bedeutet das, dass <strong>W<strong>in</strong>dows</strong> 7 den Kernel geladen hat<br />
Gehen Sie nach dem <strong>in</strong> Abbildung C.10 gezeigten Ablauf vor, um die fehlerhafte Softwarekomponente<br />
zu identifizieren und zu deaktivieren, damit <strong>W<strong>in</strong>dows</strong> erfolgreich starten kann.<br />
Wenn <strong>W<strong>in</strong>dows</strong> erst e<strong>in</strong>mal gestartet ist, können Sie die Problembehandlung bei Bedarf fortsetzen,<br />
um das Problem mit der Komponente zu beseitigen. Falls das Startproblem sofort<br />
nach dem Aktualisieren oder Installieren e<strong>in</strong>er Autostartanwendung auftritt, sollten Sie e<strong>in</strong>e<br />
Problembehandlung für die Autostartanwendung durchführen. Informationen über die Problembehandlung<br />
von Autostartanwendungen f<strong>in</strong>den Sie im Abschnitt »So können Sie Autostartanwendungen<br />
und -prozesse zeitweise deaktivieren« weiter unten <strong>in</strong> diesem Anhang.<br />
Die folgenden Abschnitte beschreiben diese Schritte genauer.<br />
So führen Sie die Systemstartreparatur aus<br />
Die Systemstartreparatur kann viele häufiger vorkommende Startprobleme automatisch<br />
beseitigen, auch falls das Problem auftaucht, nachdem das <strong>W<strong>in</strong>dows</strong>-Logo angezeigt wird.<br />
Weil die Systemstartreparatur e<strong>in</strong>fach zu bedienen ist und e<strong>in</strong>e sehr ger<strong>in</strong>ge Gefahr besteht,<br />
dass zusätzliche Probleme entstehen, sollte dies Ihr erster Problembehandlungsschritt se<strong>in</strong>.<br />
E<strong>in</strong>e ausführliche Anleitung f<strong>in</strong>den Sie im Abschnitt »So führen Sie die Systemstartreparatur<br />
aus« weiter oben <strong>in</strong> diesem Anhang.<br />
Sobald Sie die Systemstartreparatur ausgeführt haben, sollten Sie versuchen, Ihren Computer<br />
normal zu starten. Setzen Sie die Problembehandlung nur fort, falls <strong>W<strong>in</strong>dows</strong> dann<br />
immer noch nicht startet.
486 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
Abbildung C.10 Gehen Sie nach diesem Schema vor, um e<strong>in</strong>e Behandlung<br />
von Startproblemen durchzuführen, die auftreten, nachdem das <strong>W<strong>in</strong>dows</strong>-Logo<br />
ersche<strong>in</strong>t, aber bevor der Anmeldebildschirm sichtbar ist
Der Ablauf bei der Behandlung von Startproblemen 487<br />
So stellen Sie die letzte als funktionierend bekannte Konfiguration wieder her<br />
Die letzte als funktionierend bekannte Konfiguration wird normalerweise verwendet, damit<br />
das Betriebssystem wieder startet, falls e<strong>in</strong> Fehler auftritt, nachdem das <strong>W<strong>in</strong>dows</strong>-Logo<br />
angezeigt wird. Indem Sie die letzte als funktionierend bekannte Konfiguration verwenden,<br />
können Sie Instabilität oder Startprobleme beheben, <strong>in</strong>dem Sie die letzten Änderungen an<br />
System, Treiber und Registrierung rückgängig machen. Wenn Sie dieses Feature verwenden,<br />
gehen alle Konfigurationsänderungen verloren, die Sie vorgenommen haben, seit Sie Ihren<br />
Computer zum letzten Mal erfolgreich gestartet haben.<br />
Wenn Sie die letzte als funktionierend bekannte Konfiguration verwenden, werden vorherige<br />
Treiber und auch Registrierungse<strong>in</strong>stellungen für die Unterschlüssel HKEY_LOCAL_MA-<br />
CHINE\System\CurrentControlSet wiederhergestellt. <strong>W<strong>in</strong>dows</strong> 7 aktualisiert das Control Set<br />
LastKnownGood erst, wenn Sie das Betriebssystem im normalen Modus erfolgreich starten<br />
und sich anmelden konnten.<br />
Wenn Sie e<strong>in</strong>e Problembehandlung durchführen, wird empfohlen, dass Sie die letzte als<br />
funktionierend bekannte Konfiguration verwenden, bevor Sie andere Startoptionen probieren,<br />
zum Beispiel den abgesicherten Modus. Falls Sie allerd<strong>in</strong>gs erst den abgesicherten<br />
Modus verwenden, wird das Control Set für die letzte als funktionierend bekannte Konfiguration<br />
nicht aktualisiert, auch wenn es Ihnen gel<strong>in</strong>gt, sich im abgesicherten Modus am<br />
Computer anzumelden. Daher bleibt die letzte als funktionierend bekannte Konfiguration<br />
auch dann noch e<strong>in</strong>e Option, falls Sie Ihr Problem nicht mithilfe des abgesicherten Modus<br />
beseitigen konnten.<br />
Abbildung C.11 Mit der letzten als funktionierend bekannten Konfiguration<br />
können Sie e<strong>in</strong>ige E<strong>in</strong>stellungen <strong>in</strong> den Zustand zurückversetzen, den das System<br />
hatte, als sich zum letzten Mal e<strong>in</strong> Benutzer erfolgreich angemeldet hat
488 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
Gehen Sie folgendermaßen vor, um die letzte als funktionierend bekannte Konfiguration zu<br />
starten:<br />
1. Entfernen Sie alle Disketten, CDs, DVDs und anderen startfähigen Medien aus Ihrem<br />
Computer und starten Sie den Computer neu.<br />
2. Drücken Sie im Betriebssystemmenü die Taste F8. Falls das Betriebssystemmenü nicht<br />
angezeigt wird, müssen Sie wiederholt F8 drücken, sobald der Firmware-POST-Prozess<br />
abgeschlossen ist, aber noch bevor das <strong>W<strong>in</strong>dows</strong>-Startlogo ersche<strong>in</strong>t. Das Menü Erweiterte<br />
Startoptionen wird angezeigt.<br />
3. Wählen Sie im Menü Erweiterte Startoptionen den E<strong>in</strong>trag Letzte als funktionierend<br />
bekannte Konfiguration (erweitert) aus (Abbildung C.11).<br />
Wenn <strong>W<strong>in</strong>dows</strong> startet, liest es Status<strong>in</strong>formationen aus der Datei %W<strong>in</strong>Dir%\Bootstat.dat.<br />
Falls <strong>W<strong>in</strong>dows</strong> feststellt, dass der letzte Startversuch fehlgeschlagen ist, zeigt es automatisch<br />
das Startwiederherstellungsmenü an, das ähnliche Startoptionen anbietet wie das Menü Erweiterte<br />
Startoptionen, aber ohne dass Sie F8 zu drücken brauchen.<br />
H<strong>in</strong>weis Falls Sie vermuten, dass Änderungen, die Sie vorgenommen haben, seit Sie den<br />
Computer zum letzten Mal erfolgreich starten konnten, Probleme verursachen, sollten Sie<br />
<strong>W<strong>in</strong>dows</strong> nicht normal starten und sich anmelden. Bei der Anmeldung wird das Control Set<br />
für die letzte als funktionierend bekannte Konfiguration überschrieben. Starten Sie stattdessen<br />
den Computer neu und verwenden Sie die letzte als funktionierend bekannte Konfiguration.<br />
Sie können sich auch im abgesicherten Modus anmelden, ohne dass die letzte als<br />
funktionierend bekannte Konfiguration überschrieben wird. Weitere Informationen über<br />
Control Sets f<strong>in</strong>den Sie im Abschnitt »Kernel-Ladephase« weiter oben <strong>in</strong> diesem Anhang.<br />
So verwenden Sie die Systemwiederherstellung<br />
Falls die letzte als funktionierend bekannte Konfiguration das Problem nicht beseitigt, können<br />
Sie von Hand e<strong>in</strong>e Systemwiederherstellung durchführen, falls die Systemstartreparatur<br />
dies nicht automatisch erledigt hat. Die Systemstartreparatur hätte diesen Schritt aber normalerweise<br />
durchgeführt, falls sie das Problem hätte beseitigen können. Informationen zur<br />
Verwendung der Systemwiederherstellung f<strong>in</strong>den Sie im Abschnitt »So verwenden Sie die<br />
Systemwiederherstellung«, e<strong>in</strong>em Unterabschnitt von »Problembehandlung für den Startvorgang,<br />
bevor das <strong>W<strong>in</strong>dows</strong>-Logo ersche<strong>in</strong>t«, weiter oben <strong>in</strong> diesem Anhang.<br />
So aktivieren Sie die Startprotokollierung<br />
Die Startprotokollierung ist nützlich, um die Ursache e<strong>in</strong>es Startproblems zu protokollieren,<br />
das auftritt, nachdem das Betriebssystemmenü angezeigt wird. Gehen Sie folgendermaßen<br />
vor, um die Startprotokollierung zu aktivieren:<br />
1. Entfernen Sie alle Disketten, CDs, DVDs und anderen startfähigen Medien aus Ihrem<br />
Computer und starten Sie den Computer neu.<br />
2. Drücken Sie im Betriebssystemmenü die Taste F8. Falls das Betriebssystemmenü nicht<br />
angezeigt wird, müssen Sie wiederholt F8 drücken, sobald der Firmware-POST-Prozess<br />
abgeschlossen ist, aber noch bevor das <strong>W<strong>in</strong>dows</strong>-Startlogo ersche<strong>in</strong>t. Das Menü Erweiterte<br />
Startoptionen wird angezeigt.
Der Ablauf bei der Behandlung von Startproblemen 489<br />
3. Wählen Sie im Menü Erweiterte Startoptionen den E<strong>in</strong>trag Startprotokollierung aktivieren<br />
(Abbildung C.12).<br />
Abbildung C.12 Die Startprotokollierung kann Ihnen helfen, die Ursache<br />
von Startproblemen zu identifizieren<br />
<strong>W<strong>in</strong>dows</strong> startet und legt e<strong>in</strong>e Protokolldatei unter %W<strong>in</strong>Dir%\Ntbtlog.txt an. Die Protokolldatei<br />
beg<strong>in</strong>nt mit Zeit- und Versions<strong>in</strong>formationen und listet dann alle Dateien auf, die erfolgreich<br />
geladen werden. Die E<strong>in</strong>träge sehen zum Beispiel so aus:<br />
Microsoft (R) <strong>W<strong>in</strong>dows</strong> (R) Version 6.1 (Build 7100)<br />
5 27 2009 17:57:37.500<br />
Loaded driver \SystemRoot\system32\ntoskrnl.exe<br />
Loaded driver \SystemRoot\system32\hal.dll<br />
Loaded driver \SystemRoot\system32\kdcom.dll<br />
Loaded driver \SystemRoot\system32\mcupdate_Genu<strong>in</strong>eIntel.dll<br />
Loaded driver \SystemRoot\system32\PSHED.dll<br />
Loaded driver \SystemRoot\system32\BOOTVID.dll<br />
Loaded driver \SystemRoot\system32\CLFS.SYS<br />
Loaded driver \SystemRoot\system32\CI.dll<br />
Loaded driver \SystemRoot\system32\drivers\wdf0100.sys<br />
Loaded driver \SystemRoot\system32\drivers\WDFLDR.SYS<br />
Did not load driver \SystemRoot\system32\drivers\serial.sys<br />
Loaded driver \SystemRoot\system32\drivers\acpi.sys<br />
Die folgenden Abschnitte enthalten weitere Informationen darüber, wie Sie die Startprotokolldatei<br />
anzeigen und analysieren.
490 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
So starten Sie im abgesicherten Modus<br />
Der abgesicherte Modus ist e<strong>in</strong>e Diagnoseumgebung, die nur e<strong>in</strong>en Teil der Treiber und<br />
Dienste lädt, die beim Start im normalen Modus ausgeführt werden. Der abgesicherte Modus<br />
ist nützlich, wenn Sie Software oder e<strong>in</strong>en Gerätetreiber <strong>in</strong>stallieren, der beim Start im normalen<br />
Modus Instabilität oder Probleme verursacht. <strong>W<strong>in</strong>dows</strong> kann oft noch im abgesicherten<br />
Modus starten, selbst wenn Hardwarefehler verh<strong>in</strong>dern, dass es im normalen Modus<br />
startet. In den meisten Fällen ermöglicht Ihnen der abgesicherte Modus, <strong>W<strong>in</strong>dows</strong> zu starten<br />
und dann e<strong>in</strong>e Behandlung der Probleme durchzuführen, die den Start verh<strong>in</strong>dern.<br />
Wenn Sie sich im abgesicherten Modus am Computer anmelden, wird dabei nicht das Control<br />
Set LastKnownGood überschrieben. Falls Sie sich daher im abgesicherten Modus an<br />
Ihrem Computer anmelden und dann entscheiden, dass Sie die letzte als funktionierend<br />
bekannte Konfiguration probieren möchten, steht Ihnen diese Möglichkeit noch offen.<br />
Im abgesicherten Modus verwendet <strong>W<strong>in</strong>dows</strong> 7 nur die Komponenten, die unbed<strong>in</strong>gt erforderlich<br />
s<strong>in</strong>d, um die grafische Benutzeroberfläche (Graphical User Interface, GUI) zu starten.<br />
Die folgenden Registrierungsunterschlüssel listen die Treiber und Dienste auf, die im abgesicherten<br />
Modus gestartet werden:<br />
Abgesicherter Modus HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\<br />
Control\SafeBoot\M<strong>in</strong>imal<br />
Abgesicherter Modus mit Netzwerktreibern HKEY_LOCAL_MACHINE\SYSTEM\<br />
CurrentControlSet\Control\SafeBoot\Network<br />
Gehen Sie folgendermaßen vor, um auf den abgesicherten Modus zuzugreifen:<br />
1. Entfernen Sie alle Disketten und DVDs aus Ihrem Computer und starten Sie den Computer<br />
neu.<br />
2. Drücken Sie im Betriebssystemmenü die Taste F8. Falls das Betriebssystemmenü nicht<br />
angezeigt wird, müssen Sie wiederholt F8 drücken, sobald der Firmware-POST-Prozess<br />
abgeschlossen ist, aber noch bevor das <strong>W<strong>in</strong>dows</strong>-Startlogo ersche<strong>in</strong>t. Das Menü Erweiterte<br />
Startoptionen wird angezeigt.<br />
3. Wählen Sie im Menü Erweiterte Startoptionen die E<strong>in</strong>träge Abgesicherter Modus, Abgesicherter<br />
Modus mit Netzwerktreibern oder Abgesicherter Modus mit E<strong>in</strong>gabeaufforderung.<br />
Wählen Sie Abgesicherter Modus, falls Sie ke<strong>in</strong>e Netzwerkunterstützung benötigen.<br />
Wählen Sie Abgesicherter Modus mit Netzwerktreibern, falls Sie für Ihre Problembehandlung<br />
Zugriff auf das Netzwerk brauchen, weil Sie zum Beispiel e<strong>in</strong> Treiberupdate<br />
herunterladen müssen. Wählen Sie Abgesicherter Modus mit E<strong>in</strong>gabeaufforderung,<br />
wenn Sie <strong>in</strong> der E<strong>in</strong>gabeaufforderung arbeiten wollen.<br />
Wenn <strong>W<strong>in</strong>dows</strong> startet, liest es Status<strong>in</strong>formationen aus der Datei %SystemRoot%\Bootstat.dat.<br />
Falls <strong>W<strong>in</strong>dows</strong> erkennt, dass der letzte Startversuch fehlgeschlagen ist, zeigt es<br />
automatisch das Startwiederherstellungsmenü, das ähnliche Startoptionen anbietet wie das<br />
Menü Erweiterte Startoptionen, aber ohne dass Sie F8 starten müssen.<br />
So identifizieren Sie fehlerhafte Treiber und Dienste<br />
Wenn Sie e<strong>in</strong>e Problembehandlung durchführen, variieren je nach Computer die Methoden,<br />
mit denen Sie feststellen, welche Dienste und Prozesse zeitweise deaktiviert werden müssen.<br />
Am zuverlässigsten können Sie feststellen, was Sie deaktivieren sollten, <strong>in</strong>dem Sie mehr<br />
Informationen über die Dienste und Prozesse sammeln, die <strong>in</strong> Ihrem Computer aktiviert s<strong>in</strong>d.
Der Ablauf bei der Behandlung von Startproblemen 491<br />
Die folgenden <strong>W<strong>in</strong>dows</strong>-Tools und -Features generieren e<strong>in</strong>e Vielzahl von Protokollen, die<br />
Ihnen wertvolle Informationen für die Problembehandlung liefern:<br />
Ereignisanzeige<br />
Sc.exe<br />
System<strong>in</strong>formationen<br />
Fehlerberichterstattungsdienst<br />
Startprotokolle<br />
Von diesen Tools stehen nur die Startprotokolle zur Verfügung, wenn Sie die Systemwiederherstellungstools<br />
verwenden. Allerd<strong>in</strong>gs stehen alle Tools zur Verfügung, wenn Sie im abgesicherten<br />
Modus arbeiten.<br />
So analysieren Sie Startprobleme im abgesicherten Modus<br />
Der abgesicherte Modus gibt Ihnen Zugriff auf alle üblichen grafischen Problembehandlungswerkzeuge,<br />
darunter auch alle, die <strong>in</strong> den folgenden Abschnitten beschrieben werden.<br />
Ereignisanzeige (Eventvwr.msc)<br />
Wenn Sie das System im abgesicherten oder normalen Modus starten können, können Sie<br />
mit der Ereignisanzeige (Eventvwr.msc) Protokolle ansehen, die Ihnen helfen, Systemprobleme<br />
zu identifizieren. Wenn Sie e<strong>in</strong>e Problembehandlung durchführen, können Sie anhand<br />
dieser Protokolle Probleme isolieren, die durch Anwendungen, Treiber oder Dienste verursacht<br />
werden, und häufiger auftretende Probleme identifizieren. Sie können diese Protokolle<br />
<strong>in</strong> e<strong>in</strong>er Datei speichern und Filterkriterien angeben.<br />
Die Ereignisanzeige stellt m<strong>in</strong>destens drei Protokolle zur Verfügung:<br />
Anwendungsprotokolle Das Anwendungsprotokoll enthält Ereignisse, die von Anwendungen<br />
oder Programmen aufgezeichnet werden. Zum Beispiel kann es se<strong>in</strong>, dass<br />
e<strong>in</strong> Datenbankprogramm hier Lese- und Schreibfehler e<strong>in</strong>trägt.<br />
Sicherheitsprotokolle Das Sicherheitsprotokoll speichert Sicherheitsereignise<strong>in</strong>träge,<br />
zum Beispiel Anmeldeversuche und Aktionen im Zusammenhang mit dem Erstellen,<br />
Öffnen oder Löschen von Dateien. E<strong>in</strong> Adm<strong>in</strong>istrator kann e<strong>in</strong>stellen, welche Ereignisse<br />
im Sicherheitsprotokoll aufgezeichnet werden.<br />
Systemprotokolle Das Systemprotokoll enthält Informationen über Systemkomponenten.<br />
Die Ereignisanzeige zeichnet e<strong>in</strong>en E<strong>in</strong>trag auf, wenn e<strong>in</strong> Treiber oder e<strong>in</strong>e andere<br />
Systemkomponente während des Starts nicht geladen wird. Daher können Sie <strong>in</strong> der<br />
Ereignisanzeige nach Informationen über Treiber oder Dienste suchen, die nicht geladen<br />
wurden.<br />
Gehen Sie folgendermaßen vor, um <strong>in</strong> der Ereignisanzeige Informationen über Treiber- und<br />
Dienstfehler aus dem Systemprotokoll zu ermitteln:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und dann auf Verwalten.<br />
2. Erweitern Sie System, dann Ereignisanzeige, <strong>W<strong>in</strong>dows</strong>-Protokolle und klicken Sie auf<br />
System.<br />
3. Wählen Sie den Menübefehl Aktion/Aktuelles Protokoll filtern.<br />
4. Aktivieren Sie im Feld Ereignisebene die Kontrollkästchen Kritisch und Fehler.
492 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
5. Aktivieren Sie <strong>in</strong> der Liste Quellen das Kontrollkästchen Ereignisprotokollanbieter für<br />
Dienststeuerungs-Manager und klicken Sie auf OK.<br />
6. Klicken Sie doppelt auf e<strong>in</strong>en Ereignise<strong>in</strong>trag, um sich die Details anzusehen.<br />
Nicht alle Startprobleme führen dazu, dass e<strong>in</strong> E<strong>in</strong>trag <strong>in</strong> das Ereignisprotokoll geschrieben<br />
wird. Daher kann es se<strong>in</strong>, dass Sie ke<strong>in</strong>e Informationen zu Ihrem Problem f<strong>in</strong>den.<br />
System<strong>in</strong>formationen<br />
Falls e<strong>in</strong> Startproblem nur sporadisch auftritt und Sie <strong>W<strong>in</strong>dows</strong> im abgesicherten oder normalen<br />
Modus starten können, können Sie mit dem Tool System<strong>in</strong>formationen Daten über<br />
Treiber- und Dienstnamen, Status und Start<strong>in</strong>formationen abrufen.<br />
Mit dem Tool System<strong>in</strong>formationen können Sie Listen der Treiber anlegen, die während des<br />
Starts im abgesicherten und normalen Modus verarbeitet wurden. Wenn Sie die Unterschiede<br />
zwischen den beiden Listen vergleichen, können Sie feststellen, welche Komponenten nicht<br />
unbed<strong>in</strong>gt benötigt werden, um <strong>W<strong>in</strong>dows</strong> zu starten. Zu Diagnosezwecken können Sie diesen<br />
Listenvergleich zurate ziehen, um zu entscheiden, welche Dienste Sie deaktivieren. Deaktivieren<br />
Sie im abgesicherten Modus e<strong>in</strong>en Dienst und versuchen Sie dann, das Betriebssystem<br />
im normalen Modus neu zu starten. Wiederholen Sie diesen Prozess für jeden Dienst,<br />
bis Sie im normalen Modus starten können.<br />
Gehen Sie folgendermaßen vor, um Dienst- oder Treiber<strong>in</strong>formationen anzuzeigen:<br />
1. Geben Sie im Suchfeld des Startmenüs den Befehl ms<strong>in</strong>fo32 und drücken Sie die<br />
EINGABETASTE.<br />
2. Abhängig davon, welche Informationen Sie brauchen, haben Sie jetzt folgende Möglichkeiten:<br />
Sie können sich Informationen zu Diensten ansehen, <strong>in</strong>dem Sie Softwareumgebung<br />
erweitern und dann auf Dienste klicken.<br />
Sie können sich den Status e<strong>in</strong>es Treibers ansehen, <strong>in</strong>dem Sie Softwareumgebung<br />
erweitern und dann auf Systemtreiber klicken. Die Informationen zu allen Treibern<br />
werden im rechten Fensterabschnitt angezeigt.<br />
Sie können sich Informationen zu Treibern nach der Kategorie aufschlüsseln lassen,<br />
<strong>in</strong>dem Sie den Knoten Komponenten erweitern und dann e<strong>in</strong>e Kategorie auswählen,<br />
zum Beispiel Anzeige.<br />
Sie können sich problematische Geräte ansehen, <strong>in</strong>dem Sie den Knoten Komponenten<br />
erweitern und dann auf Problemgeräte klicken. Sehen Sie sich die Spalte Fehlercode<br />
an und suchen Sie nach Informationen, die H<strong>in</strong>weise auf die Ursache des Problems<br />
geben.<br />
Sie können sich ansehen, welche Ressourcen mehrfach benutzt werden oder Konflikte<br />
verursachen (das bedeutet allerd<strong>in</strong>gs nicht immer, dass e<strong>in</strong> kritisches Problem<br />
vorliegt), <strong>in</strong>dem Sie den Knoten Hardwareressourcen erweitern und dann auf Konflikte/Geme<strong>in</strong>same<br />
Nutzung klicken. Sehen Sie sich die Spalten Ressource und Gerät<br />
an und suchen Sie nach Geräten, denen fälschlicherweise dieselben Ressourcen zugewiesen<br />
wurden. Entfernen oder deaktivieren Sie e<strong>in</strong>es der Geräte oder verwenden<br />
Sie den Geräte-Manager, um den Geräten andere Ressourcen zuzuweisen.
Fehlerberichterstattungsdienst<br />
Der Ablauf bei der Behandlung von Startproblemen 493<br />
Der <strong>W<strong>in</strong>dows</strong>-Fehlerberichterstattungsdienst überwacht Ihren Computer auf Probleme, die<br />
sich auf Dienste und Anwendungen auswirken. Wenn e<strong>in</strong> Problem auftritt, können Sie e<strong>in</strong>en<br />
Problembericht an Microsoft senden, worauf Sie e<strong>in</strong>e automatisierte Antwort mit weiteren<br />
Informationen erhalten, zum Beispiel Neuigkeiten über e<strong>in</strong> Update für e<strong>in</strong>e Anwendung oder<br />
e<strong>in</strong>en Gerätetreiber.<br />
Anzeigen und Ändern von Ressourcen im Geräte-Manager<br />
Bei der Installation neuer Hardware oder beim Update von Treibern können Konflikte entstehen,<br />
sodass auf bestimmte Geräte nicht mehr zugegriffen werden kann. Sie können im<br />
Geräte-Manager überprüfen, welche Ressourcen diese Geräte verwenden. Auf diese Weise<br />
können Sie von Hand Konflikte identifizieren.<br />
Gehen Sie folgendermaßen vor, um im Geräte-Manager (Devmgmt.msc) Informationen über<br />
die Nutzung von Systemressourcen anzuzeigen und zu ändern:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und dann auf Verwalten.<br />
2. Klicken Sie auf Geräte-Manager und dann doppelt auf e<strong>in</strong> Gerät.<br />
3. Wählen Sie die Registerkarte Ressourcen, um sich anzusehen, welche Ressourcen dieses<br />
Gerät verwendet.<br />
4. Deaktivieren Sie das Kontrollkästchen Automatisch konfigurieren.<br />
5. Klicken Sie auf E<strong>in</strong>stellung ändern und stellen Sie e<strong>in</strong>, welche Ressourcen dem Gerät<br />
zugewiesen werden sollen.<br />
So analysieren Sie Startprotokolle<br />
Die Startprotokollierung listet auf, welche Dateien während des Starts erfolgreich und welche<br />
ohne Erfolg verarbeitet wurden. Mit der Startprotokollierung können Sie aufzeichnen, welche<br />
<strong>W<strong>in</strong>dows</strong>-Features verarbeitet werden, wenn Sie Ihren Computer im abgesicherten<br />
Modus oder auch im normalen Modus starten. Indem Sie die Unterschiede zwischen den<br />
beiden Protokollen untersuchen, können Sie feststellen, welche Features nicht unbed<strong>in</strong>gt<br />
benötigt werden, um den Computer zu starten.<br />
<strong>W<strong>in</strong>dows</strong> zeichnet Namen und Pfad aller Dateien, die während des Starts ausgeführt werden,<br />
<strong>in</strong> der Protokolldatei %W<strong>in</strong>Dir%\Ntbtlog.txt auf. Das Protokoll markiert jede Datei als erfolgreich<br />
(»Loaded driver ...«) oder nicht erfolgreich (»Did not load driver ...«). Die Startprotokollierung<br />
hängt neue E<strong>in</strong>träge ans Ende von Ntbtlog.txt an, wenn Sie <strong>W<strong>in</strong>dows</strong> im abgesicherten<br />
Modus starten. Wenn Sie die E<strong>in</strong>träge für den normalen Modus mit denen aus dem<br />
abgesicherten Modus vergleichen, können Sie feststellen, welche Dienste nur im normalen<br />
Modus laufen. E<strong>in</strong>er davon muss die Ursache für das Startproblem se<strong>in</strong>, falls <strong>W<strong>in</strong>dows</strong> im<br />
abgesicherten Modus erfolgreich startet. Die folgenden Zeilen s<strong>in</strong>d Beispiele für E<strong>in</strong>träge <strong>in</strong><br />
der Datei Ntbtlog.txt:<br />
Loaded driver \SystemRoot\System32\DRIVERS\flpydisk.sys<br />
Did not load driver \SystemRoot\System32\DRIVERS\sflpydisk.SYS<br />
Beachten Sie, dass nicht jede »Did not load driver«-Meldung unbed<strong>in</strong>gt auf e<strong>in</strong>en Fehler<br />
h<strong>in</strong>weist, der verh<strong>in</strong>dert, dass <strong>W<strong>in</strong>dows</strong> starten kann. Viele Treiber s<strong>in</strong>d gar nicht erforderlich,<br />
um <strong>W<strong>in</strong>dows</strong> zu starten. Gehen Sie folgendermaßen vor, um Probleme zu reparieren,
494 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
die durch problematische Treiber verursacht werden, falls Sie im abgesicherten Modus<br />
starten können:<br />
1. Starten Sie den Computer neu und aktivieren Sie die Startprotokollierung.<br />
2. Starten Sie den Computer neu, nachdem der Start fehlgeschlagen ist, und starten Sie ihn<br />
dann im abgesicherten Modus.<br />
3. Geben Sie im Suchfeld des Startmenüs den Befehl %W<strong>in</strong>Dir%\ntbtlog.txt e<strong>in</strong>. Die<br />
Startprotokolldatei wird im Editor geöffnet.<br />
4. Vergleichen Sie die Liste der Treiber, die im normalen Modus geladen werden, mit der<br />
Liste der Treiber, die im abgesicherten Modus geladen werden. Der Treiber, der den Start<br />
des Systems verh<strong>in</strong>dert, ist e<strong>in</strong>er der Treiber, die im Startprotokoll für den normalen<br />
Modus mit »Loaded driver ...« markiert s<strong>in</strong>d, aber im Startprotokoll für den abgesicherten<br />
Modus mit »Did not load driver ...«.<br />
5. Öffnen Sie im abgesicherten Modus den Geräte-Manager, um potenziell problematische<br />
Treiber zu ersetzen oder wiederherzustellen, wie im nächsten Abschnitt, »So stellen Sie<br />
<strong>in</strong>stallierte Treiber wieder her«, beschrieben. Beg<strong>in</strong>nen Sie damit, dass Sie Treiber ersetzen,<br />
die erst vor Kurzem <strong>in</strong>stalliert oder aktualisiert wurden. Ersetzen Sie jeweils e<strong>in</strong>en<br />
Treiber und wiederholen Sie diesen Prozess, bis das System erfolgreich im normalen<br />
Modus startet.<br />
Bei Diensten, die nur im normalen Modus ausgeführt werden, sollten Sie jeweils e<strong>in</strong>en dieser<br />
Dienste deaktivieren und versuchen, Ihren Computer dann im normalen Modus neu zu starten,<br />
nachdem Sie e<strong>in</strong>en Dienst deaktiviert haben. Fahren Sie damit fort, e<strong>in</strong>en Dienst nach<br />
dem anderen zu deaktivieren, bis Ihr Computer im normalen Modus startet.<br />
Gehen Sie folgendermaßen vor, um Probleme zu reparieren, die durch problematische Treiber<br />
verursacht werden, wenn der Computer nicht im abgesicherten Modus startet:<br />
1. Starten Sie den Computer neu und laden Sie die Systemwiederherstellungstools.<br />
2. Klicken Sie auf E<strong>in</strong>gabeaufforderung. Geben Sie <strong>in</strong> der E<strong>in</strong>gabeaufforderung den Befehl<br />
notepad %W<strong>in</strong>Dir%\ntbtlog.txt e<strong>in</strong>. Der Editor wird geöffnet und zeigt das Startprotokoll<br />
an.<br />
3. Vergleichen Sie das Startprotokoll, das erstellt wurde, als das System nicht im abgesicherten<br />
Modus gestartet werden konnte, mit e<strong>in</strong>em Startprotokoll, das erstellt wurde, als das<br />
System erfolgreich im abgesicherten Modus starten konnte. Falls Sie ke<strong>in</strong> Startprotokoll<br />
haben, das erstellt wurde, als das System erfolgreich im abgesicherten Modus starten<br />
konnte, sollten Sie e<strong>in</strong> Startprotokoll auf e<strong>in</strong>em ähnlich konfigurierten Computer erstellen,<br />
<strong>in</strong>dem Sie ihn im abgesicherten Modus starten. Der Treiber, der dafür verantwortlich<br />
ist, dass der Start im abgesicherten Modus fehlschlägt, ist e<strong>in</strong>er der Treiber, die <strong>in</strong> dem<br />
Startprotokoll, das während des fehlgeschlagenen Startversuchs aufgezeichnet wurde,<br />
nicht aufgelistet s<strong>in</strong>d, die aber mit der Meldung »Loaded driver ...« <strong>in</strong> dem Startprotokoll<br />
aufgelistet s<strong>in</strong>d, das erstellt wurde, als der abgesicherte Modus erfolgreich gestartet<br />
wurde.<br />
4. Ersetzen Sie die Treiberdatei durch e<strong>in</strong>e funktionierende Version. Dafür können Sie <strong>in</strong><br />
der E<strong>in</strong>gabeaufforderung den Befehl copy e<strong>in</strong>geben. Beg<strong>in</strong>nen Sie damit, dass Sie Treiber<br />
ersetzen, die erst vor Kurzem <strong>in</strong>stalliert oder aktualisiert wurden. Ersetzen Sie jeweils<br />
e<strong>in</strong>en Treiber und wiederholen Sie diesen Prozess, bis das System erfolgreich im normalen<br />
Modus startet.
So stellen Sie <strong>in</strong>stallierte Treiber wieder her<br />
Der Ablauf bei der Behandlung von Startproblemen 495<br />
Wenn Sie e<strong>in</strong>en Gerätetreiber aktualisieren, kann es passieren, dass auf Ihrem Computer<br />
anschließend Probleme auftreten, die es mit der Vorversion nicht gab. Zum Beispiel kann die<br />
Installation e<strong>in</strong>es unsignierten Gerätetreibers dazu führen, dass das Gerät nicht funktioniert<br />
oder Ressourcenkonflikte mit anderer <strong>in</strong>stallierter Hardware verursacht. Wenn fehlerhafte<br />
Treiber <strong>in</strong>stalliert werden, kann das unter Umständen sogar Abbruchfehler auslösen, die<br />
verh<strong>in</strong>dern, dass das Betriebssystem im normalen Modus startet. Normalerweise enthält die<br />
Abbruchmeldung den Date<strong>in</strong>amen des Treibers, der den Fehler verursacht hat.<br />
<strong>W<strong>in</strong>dows</strong> bietet Ihnen die Möglichkeit, die Systemstabilität wiederherzustellen, <strong>in</strong>dem Sie<br />
e<strong>in</strong> Treiberupdate rückgängig machen.<br />
H<strong>in</strong>weis Sie können mit den Tools System<strong>in</strong>formationen oder Sigverif feststellen, ob e<strong>in</strong><br />
Treiber <strong>in</strong> Ihrem Computer signiert ist, und andere Informationen über den Treiber abrufen,<br />
zum Beispiel Version, Datum, Zeit und Hersteller. Zusammen mit Informationen von der<br />
Website des Herstellers können Ihnen diese Daten bei der Entscheidung helfen, ob Sie e<strong>in</strong>en<br />
Gerätetreiber wiederherstellen oder aktualisieren.<br />
Gehen Sie folgendermaßen vor, um e<strong>in</strong>en Treiber wiederherzustellen:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und dann auf Verwalten.<br />
2. Klicken Sie unter System auf Geräte-Manager.<br />
3. Erweitern Sie e<strong>in</strong>e Kategorie (zum Beispiel Netzwerkadapter) und klicken Sie doppelt<br />
auf e<strong>in</strong> Gerät.<br />
4. Klicken Sie auf die Registerkarte Treiber und dann auf die Schaltfläche Vorheriger Treiber.<br />
Sie werden gefragt, ob Sie den aktuellen Treiber überschreiben wollen. Klicken Sie<br />
auf Ja, um den Treiber wiederherzustellen. Daraufh<strong>in</strong> wird entweder der Wiederherstellungsprozess<br />
durchgeführt oder Sie werden benachrichtigt, dass ke<strong>in</strong> alter Treiber zur<br />
Verfügung steht.<br />
So können Sie e<strong>in</strong>en Dienst zeitweise deaktivieren<br />
Viele Dienste werden beim Start automatisch ausgeführt, andere werden nur durch Benutzer<br />
oder von anderen Prozessen gestartet. Wenn Sie e<strong>in</strong>e Behandlung von Startproblemen durchführen,<br />
die mit Systemdiensten zu tun haben, besteht e<strong>in</strong>e nützliche Technik dar<strong>in</strong>, Ihre<br />
Computerkonfiguration zu vere<strong>in</strong>fachen, um die Systemkomplexität zu verr<strong>in</strong>gern und<br />
Betriebssystemdienste isolieren zu können. Sie können die Zahl der Variablen verr<strong>in</strong>gern,<br />
<strong>in</strong>dem Sie Autostartanwendungen oder -dienste zeitweise deaktivieren und dann jeweils<br />
e<strong>in</strong>zeln wieder aktivieren, bis Sie das Problem reproduziert haben. Deaktivieren Sie immer<br />
erst Anwendungen, bevor Sie versuchen, Systemdienste zu deaktivieren.<br />
Mit dem Systemkonfigurationsprogramm können Sie Systemdienste e<strong>in</strong>zeln oder <strong>in</strong> Gruppen<br />
deaktivieren. Gehen Sie folgendermaßen vor, um e<strong>in</strong>en Dienst mithilfe des Systemkonfigurationsprogramms<br />
zu deaktivieren:<br />
1. Geben Sie im Suchfeld des Startmenüs den Befehl msconfig e<strong>in</strong> und drücken Sie die<br />
EINGABETASTE.
496 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
2. Sie haben jetzt folgende Möglichkeiten:<br />
Sie können alle Dienste deaktivieren, <strong>in</strong>dem Sie auf der Registerkarte Allgeme<strong>in</strong> die<br />
Option Benutzerdef<strong>in</strong>ierter Systemstart auswählen und dann das Kontrollkästchen<br />
Systemdienste laden deaktivieren.<br />
Sie können bestimmte Dienste deaktivieren, <strong>in</strong>dem Sie auf der Registerkarte Dienste<br />
die Kontrollkästchen der Elemente deaktivieren, die Sie deaktivieren wollen. Sie<br />
können auch auf die Schaltfläche Alle deaktivieren klicken, um alle Elemente zu<br />
deaktivieren.<br />
Falls Sie irgendwelche Starte<strong>in</strong>stellungen mit dem Systemkonfigurationsprogramm verändern,<br />
fragt <strong>W<strong>in</strong>dows</strong> nach, ob zum normalen Betrieb zurückgekehrt werden soll, wenn Sie<br />
sich das nächste Mal anmelden. Die E<strong>in</strong>gabeaufforderung des Systemkonfigurationsprogramms<br />
ersche<strong>in</strong>t jedes Mal, wenn Sie sich anmelden, bis Sie die ursprünglichen Starte<strong>in</strong>stellungen<br />
wiederherstellen, <strong>in</strong>dem Sie auf der Registerkarte Allgeme<strong>in</strong> im Feld Systemstartauswahl<br />
die Option Normaler Systemstart auswählen. Sie können e<strong>in</strong>e Starte<strong>in</strong>stellung dauerhaft<br />
ändern, <strong>in</strong>dem Sie die Konsole Dienste verwenden, e<strong>in</strong>e Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellung<br />
ändern oder die Software de<strong>in</strong>stallieren, die den Dienst h<strong>in</strong>zugefügt hat.<br />
Behandlung von Startproblemen nach der Anmeldung<br />
Falls Ihr Computer e<strong>in</strong>en Fehler verursacht, unmittelbar nachdem sich e<strong>in</strong> Benutzer angemeldet<br />
hat, sollten Sie nach dem <strong>in</strong> Abbildung C.13 gezeigten Ablauf vorgehen, um die fehlerhafte<br />
Autostartanwendung zu identifizieren und zu deaktivieren, damit sich der Benutzer<br />
erfolgreich anmelden kann. Falls das Problem auftritt, unmittelbar nachdem Sie e<strong>in</strong>e Anwendung<br />
aktualisiert oder <strong>in</strong>stalliert haben, sollten Sie diese Anwendung versuchsweise<br />
de<strong>in</strong>stallieren.<br />
Abbildung C.13 Folgen Sie diesem Ablauf, um e<strong>in</strong>e Behandlung<br />
von Startproblemen durchzuführen, die nach der Anmeldung auftreten
Der Ablauf bei der Behandlung von Startproblemen 497<br />
So können Sie Autostartanwendungen und -prozesse zeitweise deaktivieren<br />
Falls e<strong>in</strong> Problem auftritt, nachdem Sie neue Software <strong>in</strong>stalliert haben, können Sie die<br />
Anwendung zeitweise deaktivieren oder de<strong>in</strong>stallieren, um zu überprüfen, ob sie tatsächlich<br />
die Ursache für das Problem ist.<br />
Probleme mit Anwendungen, die beim Start automatisch ausgeführt werden, können Verzögerungen<br />
bei der Anmeldung verursachen oder sogar verh<strong>in</strong>dern, dass Sie <strong>W<strong>in</strong>dows</strong> 7 im<br />
normalen Modus starten können. Die folgenden Abschnitte beschreiben Techniken, mit denen<br />
Sie Autostartanwendungen zeitweise deaktivieren können.<br />
So deaktivieren Sie Autostartanwendungen durch Drücken der UMSCHALTTASTE<br />
Sie können Ihre Konfiguration dadurch vere<strong>in</strong>fachen, dass Sie Autostartanwendungen deaktivieren.<br />
Wenn Sie während des Anmeldeprozesses die UMSCHALTTASTE gedrückt halten,<br />
verh<strong>in</strong>dern Sie, dass das Betriebssystem Autostartprogramme oder -verknüpfungen aus den<br />
folgenden Ordnern ausführt:<br />
%SystemDrive%\Users\\AppData\Roam<strong>in</strong>g\Microsoft\<strong>W<strong>in</strong>dows</strong>\Start<br />
Menu\Programs\Startup<br />
%SystemDrive%\ProgramData\Microsoft\<strong>W<strong>in</strong>dows</strong>\Start Menu\Programs\Startup<br />
Sie können die Anwendungen oder Verknüpfungen <strong>in</strong> diesen Ordnern deaktivieren, <strong>in</strong>dem<br />
Sie die UMSCHALTTASTE gedrückt halten, bis die Desktopsymbole ersche<strong>in</strong>en. Es ist s<strong>in</strong>nvoller,<br />
die UMSCHALTTASTE zu drücken, als Programme und Verknüpfungen zeitweise zu<br />
löschen oder zu verschieben, weil sich das Verfahren mit der UMSCHALTTASTE nur auf<br />
die aktuelle Benutzersitzung auswirkt.<br />
Sie können mit der UMSCHALTTASTE die Anwendungen und Verknüpfungen <strong>in</strong> Autostartordnern<br />
deaktivieren, <strong>in</strong>dem Sie sich vom Computer abmelden und dann wieder neu anmelden.<br />
Drücken Sie jetzt sofort die UMSCHALTTASTE und halten Sie sie gedrückt, bis die<br />
Desktopsymbole angezeigt werden. Falls Sie sich anmelden können, haben Sie die Ursache<br />
für das Problem isoliert: Es handelt sich um Ihre Autostartanwendungen. Anschließend sollten<br />
Sie Anwendungen e<strong>in</strong>zeln mit dem Systemkonfigurationsprogramm zeitweise deaktivieren,<br />
bis Sie die Ursache für das Problem identifiziert haben. Wenn Sie den Auslöser kennen,<br />
können Sie die Anwendung reparieren oder dauerhaft aus Ihren Autostartprogrammen entfernen.<br />
So deaktivieren Sie Autostartanwendungen mit dem Systemkonfigurationsprogramm<br />
Mit dem Systemkonfigurationsprogramm können Sie Autostartanwendungen e<strong>in</strong>zeln oder<br />
<strong>in</strong>sgesamt deaktivieren. Gehen Sie folgendermaßen vor, um e<strong>in</strong> Autostartprogramm mithilfe<br />
des Systemkonfigurationsprogramms zu deaktivieren:<br />
1. Geben Sie im Suchfeld des Startmenüs den Befehl msconfig e<strong>in</strong> und drücken Sie die<br />
EINGABETASTE.<br />
2. Sie können alle oder nur ausgewählte Autostartanwendungen deaktivieren:<br />
Sie können alle Autostartanwendungen deaktivieren, <strong>in</strong>dem Sie auf der Registerkarte<br />
Allgeme<strong>in</strong> die Option Benutzerdef<strong>in</strong>ierter Systemstart auswählen und dann das Kontrollkästchen<br />
Systemstartelemente laden deaktivieren.<br />
Sie können bestimmte Autostartanwendungen deaktivieren, <strong>in</strong>dem Sie auf der Registerkarte<br />
Systemstart die Kontrollkästchen der Elemente deaktivieren, die Sie zeit-
498 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
weise deaktivieren wollen. Sie können auch auf die Schaltfläche Alle deaktivieren<br />
klicken, um alle Elemente zu deaktivieren.<br />
Sie können e<strong>in</strong>e Starte<strong>in</strong>stellung dauerhaft ändern, <strong>in</strong>dem Sie die Autostartverknüpfung verschieben<br />
oder löschen, e<strong>in</strong>e Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellung ändern oder die Software de<strong>in</strong>stallieren,<br />
die die Autostartanwendung h<strong>in</strong>zugefügt hat.<br />
So deaktivieren Sie Autostartanwendungen, die mit Gruppenrichtl<strong>in</strong>ien oder Anmeldeskripts<br />
konfiguriert wurden<br />
Sie können im Gruppenrichtl<strong>in</strong>ien-Snap-In Anwendungen deaktivieren, die beim Start ausgeführt<br />
werden. Lokale Gruppenrichtl<strong>in</strong>ien können auf Computer angewendet werden; <strong>in</strong><br />
diesem Fall müssen Sie die Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen des Computers bearbeiten, auf<br />
dem Sie die Problembehandlung durchführen. Gruppenrichtl<strong>in</strong>ienobjekte (Group Policy<br />
Object, GPO) werden oft <strong>in</strong>nerhalb von AD DS-Domänen angewendet; dann müssen Sie<br />
e<strong>in</strong>e Verb<strong>in</strong>dung zur Domäne herstellen und die entsprechende Richtl<strong>in</strong>ie bearbeiten. Bevor<br />
Sie Domänengruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen verändern, sollten Sie erst e<strong>in</strong>mal die Schritte<br />
durcharbeiten, die weiter unten <strong>in</strong> diesem Abschnitt beschrieben werden, um den Computer,<br />
auf dem Sie e<strong>in</strong>e Problembehandlung vornehmen, vom Netzwerk zu trennen. Auf diese<br />
Weise können Sie feststellen, ob das Problem mit Domänengruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen<br />
zu tun hat.<br />
Gehen Sie folgendermaßen vor, um Autostartanwendungen mithilfe des Snap-Ins Gruppenrichtl<strong>in</strong>ienverwaltungs-Editor<br />
zu deaktivieren:<br />
1. Geben Sie im Suchfeld des Startmenüs den Befehl gpedit.msc e<strong>in</strong> und klicken Sie dann<br />
auf OK.<br />
2. Erweitern Sie im Knoten Computerkonfiguration (bei computerweit gültigen Autostartanwendungen)<br />
oder Benutzerkonfiguration (bei benutzerspezifischen Autostartanwendungen)<br />
die Unterknoten Richtl<strong>in</strong>ien, Adm<strong>in</strong>istrative Vorlagen und System und klicken<br />
Sie dann auf Anmelden.<br />
3. Klicken Sie doppelt auf die Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellung Diese Programme bei der<br />
Benutzeranmeldung ausführen. Sie haben nun folgende Möglichkeiten:<br />
Sie können alle Autostartanwendungen deaktivieren, die durch diese Richtl<strong>in</strong>ie konfiguriert<br />
werden, <strong>in</strong>dem Sie auf Deaktiviert klicken.<br />
Sie können e<strong>in</strong>zelne Programme deaktivieren, die <strong>in</strong> der computerweit gültigen oder<br />
benutzerspezifischen Richtl<strong>in</strong>ie aufgeführt s<strong>in</strong>d, <strong>in</strong>dem Sie auf Anzeigen klicken, im<br />
Dialogfeld Inhalt anzeigen e<strong>in</strong> Programm auswählen, das Sie deaktivieren wollen,<br />
und dann auf Entfernen klicken.<br />
Sie können weitere Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen ändern, die Ihnen dabei helfen können,<br />
Ihre Computerkonfiguration für die Behandlung von Startproblemen zu vere<strong>in</strong>fachen. Aktivieren<br />
Sie dazu die Richtl<strong>in</strong>ie E<strong>in</strong>malige Ausführungsliste nicht verarbeiten. Falls Sie diese<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellung aktivieren, ignoriert der Computer die Programme, die <strong>in</strong> den<br />
folgenden RunOnce-Unterschlüsseln e<strong>in</strong>getragen s<strong>in</strong>d, wenn sich das nächste Mal e<strong>in</strong> Benutzer<br />
am Computer anmeldet:<br />
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\<strong>W<strong>in</strong>dows</strong>\CurrentVersion\RunOnce<br />
HKEY_CURRENT_USER\Software\Microsoft\<strong>W<strong>in</strong>dows</strong>\CurrentVersion\RunOnce
Der Ablauf bei der Behandlung von Startproblemen 499<br />
Außerdem können Sie die Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellung Herkömmliche Ausführungsliste<br />
nicht verarbeiten aktivieren, um die Autostartanwendungen zu deaktivieren, die im ebenfalls<br />
verwendeten Unterschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\<strong>W<strong>in</strong>dows</strong>\<br />
CurrentVersion\Run e<strong>in</strong>getragen s<strong>in</strong>d. Die <strong>in</strong> diesem Unterschlüssel aufgeführten Programme<br />
stammen aus e<strong>in</strong>er Liste, die mit dem Systemrichtl<strong>in</strong>ien-Editor für <strong>W<strong>in</strong>dows</strong> NT 4 oder ältere<br />
Versionen konfiguriert wurde. Falls Sie diese Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellung aktivieren, ignoriert<br />
<strong>W<strong>in</strong>dows</strong> die Programme, die <strong>in</strong> diesem Unterschlüssel aufgeführt s<strong>in</strong>d, wenn Sie Ihren<br />
Computer starten. Falls Sie diese Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellung deaktivieren oder nicht konfigurieren,<br />
verarbeitet <strong>W<strong>in</strong>dows</strong> die angepasste Ausführungsliste <strong>in</strong> diesem Registrierungsunterschlüssel,<br />
wenn Sie den Computer starten.<br />
Änderungen an Gruppenrichtl<strong>in</strong>ien werden nicht immer sofort wirksam. Sie können das Tool<br />
Gpupdate (Gpupdate.exe) verwenden, um die Änderungen an den lokalen Gruppenrichtl<strong>in</strong>ien<br />
für Computer- und Benutzerrichtl<strong>in</strong>ien sofort zu aktualisieren. Sobald Sie die Richtl<strong>in</strong>ie aktualisiert<br />
haben, können Sie mit dem Gruppenrichtl<strong>in</strong>ienergebnis-Tool (Gpresult.exe) überprüfen,<br />
ob die aktualisierten E<strong>in</strong>stellungen angewendet werden.<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen können auf den lokalen Computer oder e<strong>in</strong>e gesamte Domäne<br />
angewendet werden. Um festzustellen, wie E<strong>in</strong>stellungen auf e<strong>in</strong>en bestimmten Computer<br />
angewendet werden, können Sie das Tool Richtl<strong>in</strong>ienergebnissatz (Rsop.msc) verwenden.<br />
Bearbeiten Sie dann diese Gruppenrichtl<strong>in</strong>ienobjekte, um e<strong>in</strong>e Änderung anzuwenden.<br />
Um die Ursache des Problems zu isolieren, können Sie verh<strong>in</strong>dern, dass Gruppenrichtl<strong>in</strong>ien,<br />
Anmeldeskripts, servergespeicherte Benutzerprofile, geplante Aufgaben und Netzwerkprobleme<br />
Ihre Problembehandlung stören, <strong>in</strong>dem Sie die Netzwerkkarte zeitweise deaktivieren<br />
und sich dann über e<strong>in</strong> lokales Computerkonto anmelden.<br />
Falls lokale und Domänengruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen die Ursache des Startproblems<br />
nicht aufdecken, wird die Anwendung möglicherweise durch e<strong>in</strong> Anmeldeskript gestartet.<br />
Anmeldeskripts werden <strong>in</strong> den Eigenschaften von lokalen oder Domänenbenutzern konfiguriert.<br />
Sie können sich das Anmeldeskript ansehen, <strong>in</strong>dem Sie die Computerverwaltung öffnen<br />
und die Eigenschaften des Benutzers anzeigen. Klicken Sie auf die Registerkarte Profil.<br />
Notieren Sie sich den Pfad des Anmeldeskripts und öffnen Sie es <strong>in</strong> e<strong>in</strong>em Tool wie dem<br />
<strong>W<strong>in</strong>dows</strong>-Editor, um festzustellen, ob irgendwelche Autostartanwendungen konfiguriert<br />
s<strong>in</strong>d.<br />
So können Sie Autostartanwendungen und -prozesse dauerhaft deaktivieren<br />
Sie haben mehrere Möglichkeiten, e<strong>in</strong>e Autostartanwendung dauerhaft zu deaktivieren.<br />
Diese Möglichkeiten werden <strong>in</strong> den folgenden Abschnitten beschrieben.<br />
De<strong>in</strong>stallieren der Anwendung<br />
Falls Sie feststellen, dass e<strong>in</strong>e vor Kurzem <strong>in</strong>stallierte Software System<strong>in</strong>stabilität auslöst<br />
oder Fehlermeldungen ständig auf e<strong>in</strong>e bestimmte Anwendung verweisen, können Sie die<br />
Software <strong>in</strong> der Systemsteuerung mit der Schaltfläche De<strong>in</strong>stallieren des Moduls Programme<br />
und Funktionen de<strong>in</strong>stallieren. Falls die Anwendung benötigt wird, können Sie sie <strong>in</strong> e<strong>in</strong>er<br />
Testumgebung <strong>in</strong>stallieren und zusätzliche Tests ausführen, bevor Sie sie erneut auf Produktivcomputern<br />
<strong>in</strong>stallieren.
500 Anhang C: Konfiguration und Problembehandlung des Startvorgangs<br />
Den E<strong>in</strong>trag von Hand entfernen<br />
Sie können Verknüpfungen manuell aus dem Ordner Startup löschen, Starte<strong>in</strong>träge aus der<br />
Registrierung entfernen, E<strong>in</strong>träge aus Gruppenrichtl<strong>in</strong>ien oder Anmeldeskripts löschen oder<br />
e<strong>in</strong>en Dienst deaktivieren. E<strong>in</strong>e Liste der Registrierungsunterschlüssel, die E<strong>in</strong>träge für<br />
Dienst- und Autostartprogramme enthalten, f<strong>in</strong>den Sie im Abschnitt »Anmeldephase« weiter<br />
oben <strong>in</strong> diesem Anhang.<br />
Zusammenfassung<br />
<strong>W<strong>in</strong>dows</strong> 7 <strong>in</strong>stalliert automatisch W<strong>in</strong>RE und beschleunigt den Systemstart, das Herunterfahren<br />
und das Aufwecken des Computers aus dem Ruhezustand. Gegenüber <strong>W<strong>in</strong>dows</strong> Vista<br />
wurden zwar nur wenige Verbesserungen am Startvorgang vorgenommen, aber <strong>W<strong>in</strong>dows</strong><br />
Vista führte viele Verbesserungen gegenüber <strong>W<strong>in</strong>dows</strong> XP e<strong>in</strong>, die <strong>W<strong>in</strong>dows</strong> 7 weiterh<strong>in</strong><br />
unterstützt. E<strong>in</strong>ige dieser Features s<strong>in</strong>d:<br />
<strong>W<strong>in</strong>dows</strong>-Start-Manager<br />
<strong>W<strong>in</strong>dows</strong>-Startladeprogramm<br />
Die BCD-Registrierungsdatei und das Befehlszeilentool BCDEdit<br />
Systemwiederherstellungstools<br />
Systemstartreparatur<br />
Wenn Sie mit älteren <strong>W<strong>in</strong>dows</strong>-Versionen vertraut s<strong>in</strong>d, dürften Sie auch mit der Behandlung<br />
der meisten Probleme, die <strong>in</strong> der Kernel-Ladephase des Systemstarts oder danach auftreten,<br />
ke<strong>in</strong>e Schwierigkeiten haben. Glücklicherweise können Sie (oder e<strong>in</strong> Benutzer) viele<br />
häufiger vorkommende Startprobleme dadurch beseitigen, dass Sie e<strong>in</strong>fach das Tool Systemstartreparatur<br />
von der <strong>W<strong>in</strong>dows</strong>-DVD ausführen.
A N H A N G D<br />
Problembehandlung für Hardware,<br />
Treiber und Laufwerke<br />
H<strong>in</strong>weis Dieser Anhang wurde <strong>in</strong> ähnlicher Form ursprünglich <strong>in</strong> Microsoft <strong>W<strong>in</strong>dows</strong> 7 –<br />
Die technische Referenz von Mitch Tulloch, Tony Northrup, Jerry Honeycutt, Ed Wilson und<br />
dem Microsoft <strong>W<strong>in</strong>dows</strong> 7-Team (Microsoft Press, 2010) veröffentlicht.<br />
Dieser Anhang beschreibt, wie Sie beim E<strong>in</strong>satz des Betriebssystems <strong>W<strong>in</strong>dows</strong> 7 häufiger<br />
vorkommende Hardwareprobleme beseitigen. Dieser Anhang ist nicht als umfassende Anleitung<br />
zur Problembehandlung für Hardware gedacht. Vielmehr konzentriert es sich darauf,<br />
wie sich Hardwareprobleme mit den <strong>W<strong>in</strong>dows</strong> 7-Diagnose- und Problembehandlungswerkzeugen<br />
beseitigen lassen. Zuerst beschreibt dieser Anhang die Verbesserungen <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7,<br />
die den Problembehandlungsvorgang für Hardwareprobleme erleichtern. Anschließend beschreibt<br />
der Anhang, wie Sie die <strong>W<strong>in</strong>dows</strong> 7-Tools für die Behandlung von Hardwareproblemen<br />
e<strong>in</strong>setzen.<br />
Informationen über Hardwareprobleme, die verh<strong>in</strong>dern, dass <strong>W<strong>in</strong>dows</strong> 7 startet, f<strong>in</strong>den Sie<br />
<strong>in</strong> Anhang C, »Konfiguration und Problembehandlung des Startvorgangs«. Informationen<br />
über Netzwerkprobleme f<strong>in</strong>den Sie <strong>in</strong> Anhang E, »Behandlung von Problemen mit Netzwerken«.<br />
Informationen über Probleme, die Abbruchfehler auslösen (die sogenannten Bluescreens),<br />
f<strong>in</strong>den Sie <strong>in</strong> Anhang F, »Problembehandlung für Abbruchfehler«.<br />
Verbesserungen für die Problembehandlung für Hardware und<br />
Treiber <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7<br />
<strong>W<strong>in</strong>dows</strong> 7 enthält mehrere Verbesserungen und neue Features, die es Ihnen e<strong>in</strong>facher<br />
machen, e<strong>in</strong>e Behandlung von Hardwareproblemen durchzuführen, sodass Sie die Ausfallzeit<br />
für Clientcomputer verr<strong>in</strong>gern können. Die folgenden Abschnitte beschreiben diese<br />
Verbesserungen.<br />
<strong>W<strong>in</strong>dows</strong> 7 br<strong>in</strong>gt die Zuverlässigkeitsüberwachung und den Ressourcenmonitor mit, die es<br />
Ihnen e<strong>in</strong>facher machen, die Ursache von Hardwareproblemen aufzuspüren und auf diese<br />
Weise die Ausfallzeit e<strong>in</strong>es Clientcomputers zu verkürzen. Außerdem enthält <strong>W<strong>in</strong>dows</strong> 7<br />
mehrere Problembehandlungsfeatures, die erstmals <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Vista e<strong>in</strong>geführt wurden.<br />
Die folgenden Abschnitte beschreiben diese Verbesserungen.<br />
501
502 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
Die <strong>W<strong>in</strong>dows</strong>-Problembehandlungsplattform<br />
Die <strong>W<strong>in</strong>dows</strong>-Problembehandlungsplattform (<strong>W<strong>in</strong>dows</strong> troubleshoot<strong>in</strong>g platform) ist neu <strong>in</strong><br />
<strong>W<strong>in</strong>dows</strong> 7. Dabei handelt es sich um e<strong>in</strong>e erweiterbare Infrastruktur für die automatisierte<br />
Diagnose von Software- und Hardwareproblemen. Wenn Sie bereits die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose<br />
<strong>in</strong> <strong>W<strong>in</strong>dows</strong> Vista verwendet haben, s<strong>in</strong>d Sie damit vertraut, wie die <strong>W<strong>in</strong>dows</strong>-<br />
Problembehandlungsplattform funktioniert.<br />
Für den Benutzer, der die Problembehandlung durchführt, ist die <strong>W<strong>in</strong>dows</strong>-Problembehandlungsplattform<br />
e<strong>in</strong> Assistent, der versucht, die Ursache des Problems aufzuspüren und nach<br />
Möglichkeit e<strong>in</strong>e Anleitung zu liefern, wie der Benutzer das Problem beseitigen kann. In<br />
manchen Fällen repariert die <strong>W<strong>in</strong>dows</strong>-Problembehandlungsplattform das Problem auch<br />
selbst. Die Benutzer haben mehrere Möglichkeiten, e<strong>in</strong> Problembehandlungspaket zu starten.<br />
Gel<strong>in</strong>gt es beispielsweise dem <strong>W<strong>in</strong>dows</strong> Internet Explorer nicht, e<strong>in</strong>e Website zu öffnen,<br />
kann der Benutzer auf die Schaltfläche Diagnose von Verb<strong>in</strong>dungsproblemen klicken, um<br />
die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose zu starten (die mithilfe der <strong>W<strong>in</strong>dows</strong>-Problembehandlungsplattform<br />
implementiert ist). E<strong>in</strong> Benutzer kann Problembehandlungspakete auch <strong>in</strong> der Systemsteuerung<br />
(unter Systemsteuerung\Alle Systemsteuerungselemente\Problembehandlung)<br />
oder über Hilfe und <strong>Support</strong> starten.<br />
Integrierte Problembehandlungspakete<br />
<strong>W<strong>in</strong>dows</strong> 7 enthält <strong>in</strong>tegrierte Problembehandlungspakete für die Kategorien, zu denen die<br />
meisten <strong>Support</strong>anfragen bei Microsoft e<strong>in</strong>gehen, darunter Energiespare<strong>in</strong>stellungen, Anwendungskompatibilität,<br />
Netzwerk und Sound. Tabelle D.1 beschreibt alle Problembehandlungspakete,<br />
die <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 <strong>in</strong>tegriert s<strong>in</strong>d oder die über den <strong>W<strong>in</strong>dows</strong>-Onl<strong>in</strong>edienst für<br />
Problembehandlung (<strong>W<strong>in</strong>dows</strong> Onl<strong>in</strong>e Troubleshoot<strong>in</strong>g Service, WOTS) zur Verfügung gestellt<br />
werden. WOTS ist e<strong>in</strong> kostenloser Onl<strong>in</strong>edienst, über den <strong>W<strong>in</strong>dows</strong> 7 neue oder aktualisierte<br />
Problembehandlungspakete herunterlädt.<br />
Tabelle D.1 <strong>W<strong>in</strong>dows</strong> 7-Problembehandlungspakete<br />
Problembehandlungspaket Beschreibung<br />
Aero Analysiert Probleme, die verh<strong>in</strong>dern, dass Ihr Computer<br />
Aero-Animationen und -Effekte anzeigt.<br />
Aufzeichnen von Audiodateien Analysiert Probleme, die verh<strong>in</strong>dern, dass Ihr Computer<br />
Sound aufzeichnet.<br />
Drucker Analysiert Probleme, die verh<strong>in</strong>dern, dass Sie e<strong>in</strong>en Drucker<br />
benutzen können.<br />
E<strong>in</strong>gehende Verb<strong>in</strong>dungen Lässt zu, dass andere Computer e<strong>in</strong>e Verb<strong>in</strong>dung zu Ihrem<br />
Computer herstellen.<br />
Energiespare<strong>in</strong>stellungen Passt die Energiee<strong>in</strong>stellungen an, um die Akkulaufzeit zu<br />
verlängern und den Stromverbrauch zu senken.<br />
Freigegebene Ordner Ermöglicht den Zugriff auf freigegebene Dateien und Ordner,<br />
die auf anderen Computern liegen.<br />
Hardware und Geräte Analysiert Probleme mit Hardware und Geräten.<br />
Heimnetzgruppe Analysiert Probleme, die verh<strong>in</strong>dern, dass Sie Computer oder<br />
freigegebene Dateien <strong>in</strong> e<strong>in</strong>er Heimnetzgruppe angezeigt<br />
bekommen.
Verbesserungen für die Problembehandlung für Hardware und Treiber <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 503<br />
Problembehandlungspaket Beschreibung<br />
Internet Explorer-Sicherheit Passt E<strong>in</strong>stellungen an, die die Browsersicherheit <strong>in</strong> Internet<br />
Explorer erhöhen.<br />
Internetverb<strong>in</strong>dungen Stellt e<strong>in</strong>e Verb<strong>in</strong>dung mit dem Internet oder zu e<strong>in</strong>er bestimmten<br />
Website her.<br />
Leistung Passt E<strong>in</strong>stellungen <strong>in</strong> <strong>W<strong>in</strong>dows</strong> an, die die Gesamtgeschw<strong>in</strong>digkeit<br />
und -leistung verbessern.<br />
Leistung von Internet Explorer Analysiert Probleme, die verh<strong>in</strong>dern, dass Sie mit dem Internet<br />
Explorer im Web surfen.<br />
Netzwerkadapter Analysiert Probleme mit Ethernet-, Drahtlos- oder anderen<br />
Netzwerkkarten.<br />
Programmkompatibilität Analysiert Probleme, die verh<strong>in</strong>dern, dass e<strong>in</strong> Programm<br />
nicht <strong>in</strong> dieser <strong>W<strong>in</strong>dows</strong>-Version funktioniert.<br />
Suche und Indizierung Analysiert Probleme bei der Suche nach Elementen mit<br />
<strong>W<strong>in</strong>dows</strong> Search.<br />
Systemwartung Löscht unbenutzte Dateien und Verknüpfungen und führt<br />
andere Wartungsaufgaben durch.<br />
Verb<strong>in</strong>den mit e<strong>in</strong>em Arbeitsplatz über<br />
DirectAccess<br />
Stellt über das Internet e<strong>in</strong>e Verb<strong>in</strong>dung zu Ihrem Arbeitsplatznetzwerk<br />
her.<br />
Wiedergeben von Audiodateien Analysiert Probleme, die verh<strong>in</strong>dern, dass Ihr Computer<br />
Sounds abspielt.<br />
<strong>W<strong>in</strong>dows</strong> Media Player-Bibliothek Analysiert Probleme, die verh<strong>in</strong>dern, dass Musik und Filme<br />
aus der <strong>W<strong>in</strong>dows</strong> Media Player-Bibliothek angezeigt werden.<br />
<strong>W<strong>in</strong>dows</strong> Media Player-E<strong>in</strong>stellungen Setzt den <strong>W<strong>in</strong>dows</strong> Media Player auf die Standarde<strong>in</strong>stellungen<br />
zurück.<br />
<strong>W<strong>in</strong>dows</strong> Media Player-DVD Analysiert Probleme, die verh<strong>in</strong>dern, dass e<strong>in</strong>e DVD im<br />
<strong>W<strong>in</strong>dows</strong> Media Player abgespielt werden kann.<br />
<strong>W<strong>in</strong>dows</strong> Update Analysiert Probleme, die verh<strong>in</strong>dern, dass <strong>W<strong>in</strong>dows</strong> Update<br />
richtig funktioniert.<br />
Ausführen von Problembehandlungspaketen im Remotezugriff<br />
Sie können e<strong>in</strong> Problembehandlungspaket auch über das Netzwerk auf e<strong>in</strong>em Remotecomputer<br />
ausführen. Das ermöglicht Ihnen, häufiger vorkommende Probleme schnell zu diagnostizieren<br />
und unter Umständen sogar ganz zu beseitigen, ohne dass Sie den Benutzer<br />
durch den Problembehandlungsprozess leiten müssen. Wenn Sie die folgenden <strong>W<strong>in</strong>dows</strong><br />
PowerShell-Befehle auf e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Computer ausführen (entweder lokal oder im<br />
Remotezugriff mit Invoke-Command oder den *-PSession-Cmdlets), wird das <strong>in</strong>tegrierte <strong>W<strong>in</strong>dows</strong><br />
Aero-Problembehandlungspaket ausgeführt, das versucht, alle Probleme automatisch<br />
zu beseitigen. Die Ergebnisse werden im Ordner C:\DiagResult gespeichert.<br />
Import-Module Troubleshoot<strong>in</strong>gPack<br />
$aero = Get-Troubleshoot<strong>in</strong>gPack $env:SystemRoot\Diagnostics\System\Aero<br />
Invoke-Troubleshoot<strong>in</strong>gPack -Pack $aero -Result C:\DiagResult -unattend<br />
Diese Technik können Sie auch <strong>in</strong> e<strong>in</strong>em Skript nutzen, um e<strong>in</strong> Problembehandlungspaket<br />
auf mehreren Computern über das Netzwerk auszuführen. In Komb<strong>in</strong>ation mit e<strong>in</strong>em benutzerdef<strong>in</strong>ierten<br />
Problembehandlungspaket können Sie auf diese Weise schnell feststellen, auf
504 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
welchen Computern bestimmte Probleme auftreten oder welche falsch konfiguriert s<strong>in</strong>d.<br />
Weil Problembehandlungspakete unter Umständen Konfigurationsänderungen vornehmen,<br />
um Probleme zu beseitigen, eignet sich dieser Ansatz, um häufiger vorkommende Probleme<br />
zu erkennen und zu beseitigen, ohne dass Sie Kontakt mit den jeweiligen Benutzern aufnehmen<br />
oder von Hand e<strong>in</strong>e Verb<strong>in</strong>dung zu ihren Computern herstellen müssen.<br />
Ressourcenmonitor<br />
IT-Experten müssen sich die Vorgänge im Innern e<strong>in</strong>es Computers genau ansehen, um<br />
Probleme effizient beseitigen zu können. Je komplexer das Problem ist, desto detailliertere<br />
Informationen werden gebraucht. E<strong>in</strong> Beispiel: Der Task-Manager reicht zwar aus, um<br />
festzustellen, welcher Prozess am meisten Prozessorzeit verbraucht, aber IT-Experten<br />
brauchen e<strong>in</strong> leistungsfähigeres Tool, um herauszuf<strong>in</strong>den, welcher Prozess am meisten<br />
Datenträger- oder Netzwerk-E/A (E<strong>in</strong>-/Ausgabe) verursacht.<br />
Damit IT-Experten detaillierte Informationen über die Ressourcenauslastung zu jedem e<strong>in</strong>zelnen<br />
Prozess erhalten, enthält <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>e verbesserte Version des Ressourcenmonitors.<br />
Wie <strong>in</strong> Abbildung D.1 zu sehen, zeigt der Ressourcenmonitor diese Daten <strong>in</strong> e<strong>in</strong>em<br />
Format an, das auf e<strong>in</strong>en Blick viele Informationen liefert, sodass Sie prozessspezifische<br />
Details ganz e<strong>in</strong>fach analysieren können.<br />
Abbildung D.1 Der Ressourcenmonitor zeigt detaillierte Echtzeitleistungsdaten an<br />
B<strong>in</strong>nen weniger Sekunden br<strong>in</strong>gen Sie mit dem Ressourcenmonitor folgende Daten <strong>in</strong><br />
Erfahrung:<br />
Welche Prozesse am meisten Prozessorzeit und Arbeitsspeicher verbrauchen<br />
Welche Prozesse am meisten Daten auf Datenträger lesen und schreiben<br />
Wie viele Netzwerkdaten jeder Prozess sendet und empfängt
Verbesserungen für die Problembehandlung für Hardware und Treiber <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 505<br />
Wie viel Arbeitsspeicher jeder Prozess belegt<br />
Warum e<strong>in</strong> Prozess nicht reagiert<br />
Welche Dienste <strong>in</strong> e<strong>in</strong>em SvcHost.exe-Prozess gehostet werden<br />
Auf welche Handles e<strong>in</strong> Prozess zugreift, also auf welche Geräte, Registrierungsschlüssel<br />
und Dateien<br />
Auf welche Module, also DLLs und andere Bibliotheken, e<strong>in</strong> Prozess zugreift<br />
Welche Prozesse e<strong>in</strong>gehende Netzwerkverb<strong>in</strong>dungen entgegennehmen oder Netzwerkverb<strong>in</strong>dungen<br />
offen haben<br />
Außerdem können Sie Prozesse beenden und onl<strong>in</strong>e nach Informationen über e<strong>in</strong>en Prozess<br />
suchen. Mit dem Ressourcenmonitor können IT-Experten schnell die Ursache für Leistungsund<br />
Ressourcenauslastungsprobleme identifizieren, wodurch sich der Zeitaufwand für die<br />
Beseitigung komplexer Probleme verr<strong>in</strong>gert.<br />
<strong>W<strong>in</strong>dows</strong>-Speicherdiagnose<br />
Anwendungs-, Betriebssystem- und Abbruchfehler werden oft durch defekten Arbeitsspeicher<br />
verursacht. Defekte Arbeitsspeicherchips geben andere Daten zurück, als das Betriebssystem<br />
ursprünglich gespeichert hat. Defekter Arbeitsspeicher kann schwierig zu identifizieren<br />
se<strong>in</strong>: Möglicherweise treten die Probleme nur gelegentlich auf, <strong>in</strong> bestimmten Fällen<br />
auch nur unter sehr speziellen Bed<strong>in</strong>gungen. Zum Beispiel kann es se<strong>in</strong>, dass e<strong>in</strong> Arbeitsspeicherchip<br />
e<strong>in</strong>wandfrei funktioniert, wenn er <strong>in</strong> e<strong>in</strong>er kontrollierten Umgebung getestet<br />
wird, aber Defekte zeigt, wenn die Temperatur im Computergehäuse zu hoch wird. Defekter<br />
Arbeitsspeicher kann auch Folgeprobleme verursachen, zum Beispiel beschädigte Dateien.<br />
Oft unternehmen Adm<strong>in</strong>istratoren drastische Schritte, um das Problem zu beseitigen. Zum<br />
Beispiel <strong>in</strong>stallieren sie Anwendungen oder das Betriebssystem neu, nur um dann feststellen<br />
zu müssen, dass die Fehler bestehen bleiben.<br />
<strong>W<strong>in</strong>dows</strong> 7 stellt das Tool <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose zur Verfügung, um Adm<strong>in</strong>istratoren<br />
dabei zu helfen, Probleme mit unzuverlässigem Arbeitsspeicher aufzuspüren. Falls <strong>in</strong> <strong>W<strong>in</strong>dows</strong><br />
7 die <strong>W<strong>in</strong>dows</strong>-Fehlerberichterstattung (<strong>W<strong>in</strong>dows</strong> Error Report<strong>in</strong>g, WER) oder der<br />
Microsoft Onl<strong>in</strong>e Crash Analyzer (MOCA) feststellt, dass defekter Arbeitsspeicher e<strong>in</strong>e<br />
Ursache für e<strong>in</strong>en Fehler se<strong>in</strong> könnte, kann die Software den Benutzer auffordern, e<strong>in</strong>e<br />
Speicherdiagnose durchzuführen, ohne dass er dafür zusätzliche Downloads herunterladen<br />
oder e<strong>in</strong>e eigene Startdisk erstellen muss. Außerdem können Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose<br />
mit e<strong>in</strong>er speziellen Startmenüoption ausführen, oder <strong>in</strong>dem Sie W<strong>in</strong>RE von der<br />
<strong>W<strong>in</strong>dows</strong> 7-DVD laden.<br />
Falls die Speicherdiagnose e<strong>in</strong> Problem mit dem Arbeitsspeicher aufdeckt, kann <strong>W<strong>in</strong>dows</strong> 7<br />
versuchen, den betroffenen Abschnitt des Hardwarespeichers zu meiden, sodass das Betriebssystem<br />
erfolgreich starten und Anwendungsabstürze vermeiden kann. Beim Start liefert<br />
<strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>en e<strong>in</strong>fach verständlichen Bericht, der das Problem meldet und dem Benutzer<br />
erklärt, wie er den Arbeitsspeicher austauschen kann. Ausführliche Informationen f<strong>in</strong>den Sie<br />
im Abschnitt »So verwenden Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose« weiter unten <strong>in</strong> diesem<br />
Anhang.
506 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
Datenträgerfehlerdiagnose<br />
Probleme mit der Zuverlässigkeit von Laufwerken können unterschiedlich ernst se<strong>in</strong>.<br />
Kle<strong>in</strong>ere Probleme können aussehen wie sche<strong>in</strong>bar zufällige Anwendungsfehler. Falls zum<br />
Beispiel e<strong>in</strong> Benutzer e<strong>in</strong>e neue Kamera anschließt und das Betriebssystem den Treiber nicht<br />
laden kann, ist unter Umständen e<strong>in</strong> Laufwerksfehler die Ursache des Problems. Schwerwiegendere<br />
Probleme können dazu führen, dass alle auf der Festplatte gespeicherten Daten<br />
verloren gehen.<br />
<strong>W<strong>in</strong>dows</strong> kann die Folgen von Datenträgerfehlern deutlich verr<strong>in</strong>gern, weil es Laufwerksprobleme<br />
schon im Vorfeld entdeckt, bevor e<strong>in</strong> Totalausfall droht. Festplatten zeigen vor dem<br />
Ausfall oft Warnsignale, aber ältere <strong>W<strong>in</strong>dows</strong>-Betriebssysteme nehmen diese Warnsignale<br />
nicht zur Kenntnis. <strong>W<strong>in</strong>dows</strong> überwacht e<strong>in</strong>e Festplatte auf Anzeichen für e<strong>in</strong> Problem und<br />
warnt den Benutzer oder das <strong>Support</strong>center davor. Die IT-Abteilung kann dann die Daten<br />
sichern und die Festplatte ersetzen, bevor das Problem zu e<strong>in</strong>em echten Notfall wird. <strong>W<strong>in</strong>dows</strong><br />
7 leitet Adm<strong>in</strong>istratoren durch den Prozess zum Sichern ihrer Daten, sodass sie das<br />
Laufwerk ohne Datenverlust austauschen können.<br />
Die meisten neuen Festplatten beherrschen SMART (Self-Monitor<strong>in</strong>g Analysis and Report<strong>in</strong>g<br />
Technology) und DSTs (Disk Self Test). SMART überwacht den Zustand der Festplatte<br />
anhand e<strong>in</strong>es Satzes variabler Attribute, zum Beispiel des Abstands des Lesekopfs von der<br />
Oberfläche und der Zahl der wegen Fehlern verlegten Blöcke. DSTs suchen aktiv nach Fehlern,<br />
<strong>in</strong>dem sie Lese-, Schreib- und Servotests ausführen.<br />
<strong>W<strong>in</strong>dows</strong> fragt den SMART-Status e<strong>in</strong>mal pro Stunde ab und führt regelmäßig DSTs durch.<br />
Falls <strong>W<strong>in</strong>dows</strong> drohende Datenträgerfehler entdeckt, kann es die Datenträgerdiagnose starten,<br />
um den Benutzer oder den IT-Mitarbeiter durch den Prozess zum Sichern der Daten und<br />
Ersetzen der Festplatte zu leiten, bevor der Totalausfall e<strong>in</strong>tritt. <strong>W<strong>in</strong>dows</strong> kann auch Probleme<br />
im Zusammenhang mit schmutzigen oder verkratzten CDs oder DVDs erkennen und den<br />
Benutzer auffordern, das Medium zu re<strong>in</strong>igen.<br />
Sie können die Datenträgerdiagnose mithilfe von zwei Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen<br />
konfigurieren. Beide liegen im Knoten Computerkonfiguration\Richtl<strong>in</strong>ien\Adm<strong>in</strong>istrative<br />
Vorlagen\System\Problembehandlung und Diagnose\Datenträgerdiagnose.<br />
Datenträgerdiagnose: Ausführungsebene konfigurieren Mit dieser Richtl<strong>in</strong>ie können<br />
Sie die Warnungen der Datenträgerdiagnose aktivieren oder deaktivieren. Wenn Sie diese<br />
Richtl<strong>in</strong>ie deaktivieren, wird dadurch nicht die Datenträgerdiagnose deaktiviert, sondern<br />
es wird lediglich verh<strong>in</strong>dert, dass die Datenträgerdiagnose dem Benutzer e<strong>in</strong>e Meldung<br />
anzeigt und Reparaturmaßnahmen e<strong>in</strong>leitet. Falls Sie e<strong>in</strong>e Überwachungs<strong>in</strong>frastruktur<br />
konfiguriert haben, um Datenträgerdiagnoseereignisse zu sammeln, die im Ereignisprotokoll<br />
aufgezeichnet werden, und lieber von Hand auf die Ereignisse reagieren, können<br />
Sie diese Richtl<strong>in</strong>ie deaktivieren.<br />
Datenträgerdiagnose: Benutzerdef<strong>in</strong>ierten Warnungstext festlegen Sie können diese<br />
Eigenschaft aktivieren, um e<strong>in</strong>en eigenen Warnungstext (maximal 512 Zeichen) für die<br />
Meldung festzulegen, die von der Datenträgerdiagnose angezeigt wird, wenn e<strong>in</strong> Datenträger<br />
e<strong>in</strong>en SMART-Fehler meldet.<br />
Damit die Datenträgerdiagnose funktionieren kann, muss der Diagnoserichtl<strong>in</strong>iendienst<br />
laufen. Beachten Sie, dass die Datenträgerdiagnose nicht alle drohenden Fehler entdecken<br />
kann. Und weil die SMART-Attributdef<strong>in</strong>itionen herstellerspezifisch s<strong>in</strong>d, können sich die<br />
Implementierungen von Hersteller zu Hersteller unterscheiden. SMART funktioniert nicht,
Verbesserungen für die Problembehandlung für Hardware und Treiber <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 507<br />
falls die Festplatten an e<strong>in</strong>en Hardware-RAID-Controller (Redundant Array of Independent<br />
Disks) angeschlossen s<strong>in</strong>d.<br />
H<strong>in</strong>weis Viele Hardwareanbieter akzeptieren SMART-Fehler als Grund für e<strong>in</strong>en Austausch<br />
im Rahmen der Garantie.<br />
Selbstheilendes NTFS<br />
<strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7 bieten e<strong>in</strong> selbstheilendes NTFS (NT File System), das<br />
Dateisystemfehler erkennen und reparieren kann, während das Betriebssystem läuft. In den<br />
meisten Fällen repariert <strong>W<strong>in</strong>dows</strong> 7 beschädigte Dateien, ohne den Benutzer zu unterbrechen.<br />
Das selbstheilende NTFS arbeitet im Pr<strong>in</strong>zip ähnlich wie Chkdsk (weiter unten <strong>in</strong><br />
diesem Anhang im Abschnitt »So verwenden Sie Chkdsk« beschrieben), erledigt se<strong>in</strong>e Arbeit<br />
aber im H<strong>in</strong>tergrund, ohne e<strong>in</strong> ganzes Volume zu sperren. Falls <strong>W<strong>in</strong>dows</strong> beschädigte Metadaten<br />
im Dateisystem erkennt, startet es die Selbstheilungsfunktionen von NTFS, um die<br />
Metadaten neu zu erstellen. E<strong>in</strong>ige Daten können zwar verloren gehen, aber <strong>W<strong>in</strong>dows</strong> kann<br />
den Schaden begrenzen und das Problem reparieren, ohne das gesamte System für e<strong>in</strong>en<br />
langwierigen Prüf- und Reparaturzyklus offl<strong>in</strong>e nehmen zu müssen.<br />
Das selbstheilende NTFS ist <strong>in</strong> der Standarde<strong>in</strong>stellung aktiviert und benötigt ke<strong>in</strong>e Verwaltung.<br />
Es hilft, die Zahl von Laufwerksproblemen zu verr<strong>in</strong>gern, die adm<strong>in</strong>istrative Aktivitäten<br />
erforderlich machen. Falls die Selbstheilung fehlschlägt, wird das Volume entsprechend<br />
markiert und <strong>W<strong>in</strong>dows</strong> führt beim nächsten Start Chkdsk aus.<br />
Höhere Zuverlässigkeit von Treibern<br />
Treiber sollten <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7 zuverlässiger se<strong>in</strong> als <strong>in</strong> älteren <strong>W<strong>in</strong>dows</strong>-<br />
Versionen. Verbesserte Unterstützung für E/A-Abbruch (E<strong>in</strong>-/Ausgabe) wurde <strong>in</strong> <strong>W<strong>in</strong>dows</strong><br />
Vista und <strong>W<strong>in</strong>dows</strong> 7 <strong>in</strong>tegriert, damit Treiber, die andernfalls beim Versuch e<strong>in</strong>er E/A<br />
blockieren könnten, wieder <strong>in</strong> e<strong>in</strong>en konsistenten Zustand zurückgeführt werden können.<br />
<strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7 br<strong>in</strong>gen auch neue Anwendungsprogrammierschnittstellen<br />
(Application Programm<strong>in</strong>g Interface, API) mit, die es Anwendungen erlauben, E/A-Operationen<br />
(zum Beispiel das Öffnen e<strong>in</strong>er Datei) abzubrechen.<br />
Damit Entwickler stabilere Treiber erstellen können, stellt Microsoft die Treiberüberprüfung<br />
zur Verfügung. Entwickler können mithilfe der Treiberüberprüfung sicherstellen, dass ihre<br />
Treiber Anforderungen verzögerungsfrei annehmen und e<strong>in</strong>en E/A-Abbruch e<strong>in</strong>wandfrei<br />
unterstützten. Weil sich hängengebliebene Treiber oft auf mehrere Anwendungen oder das<br />
gesamte Betriebssystem auswirken, können diese Verbesserungen die Stabilität von <strong>W<strong>in</strong>dows</strong><br />
deutlich steigern. Diese Verbesserung bedeutet ke<strong>in</strong>en Aufwand für die Adm<strong>in</strong>istratoren, sie<br />
profitieren vielmehr von e<strong>in</strong>em zuverlässigeren Betriebssystem.<br />
Verbesserte Fehlerberichterstattung<br />
<strong>W<strong>in</strong>dows</strong> 7 bietet mehr Anwendungszuverlässigkeit, und die neuen Fähigkeiten der Fehlerberichterstattung<br />
ermöglichen es, die Zuverlässigkeit der Anwendungen im Lauf der Zeit<br />
sogar noch weiter zu steigern. In älteren <strong>W<strong>in</strong>dows</strong>-Versionen war es für Entwickler oft sehr<br />
schwierig, hängengebliebene Anwendungen zu untersuchen, weil die Fehlerberichterstattung<br />
nur wenige oder gar ke<strong>in</strong>e Informationen über sie lieferte. <strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7<br />
verbessern die Fehlerberichterstattung, sodass Entwickler die Informationen bekommen, die
508 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
sie brauchen, um die eigentliche Ursache für die Probleme dauerhaft zu beseitigen und so<br />
die Zuverlässigkeit ihrer Anwendungen kont<strong>in</strong>uierlich zu verbessern.<br />
Der Ablauf bei der Behandlung von Hardwareproblemen<br />
Hardwareprobleme können unterschiedliche Formen annehmen:<br />
Hardwareprobleme, die verh<strong>in</strong>dern, dass <strong>W<strong>in</strong>dows</strong> starten kann<br />
E<strong>in</strong> neu <strong>in</strong>stalliertes Hardwaregerät, das nicht wie erwartet funktioniert<br />
E<strong>in</strong> Hardwaregerät, das vorher richtig funktioniert hat, aber jetzt ausgefallen ist<br />
Nicht e<strong>in</strong>deutig zuordenbare Symptome, zum Beispiel ausfallende Anwendungen und<br />
Dienste, Abbruchfehler, Zurücksetzen des Systems und Geräte, die unzuverlässig<br />
arbeiten<br />
Jede dieser Problemkategorien sollten Sie mit e<strong>in</strong>er anderen Problembehandlungsstrategie<br />
angehen. Die folgenden Abschnitte beschreiben Vorschläge für diese Prozesse.<br />
So führen Sie e<strong>in</strong>e Behandlung von Problemen durch,<br />
die verh<strong>in</strong>dern, dass <strong>W<strong>in</strong>dows</strong> startet<br />
Manche Hardwareprobleme (<strong>in</strong>sbesondere im Zusammenhang mit Festplatten oder Kernkomponenten<br />
wie Motherboard oder Prozessor) können verh<strong>in</strong>dern, dass <strong>W<strong>in</strong>dows</strong> startet.<br />
Informationen über die Behandlung von Startproblemen f<strong>in</strong>den Sie <strong>in</strong> Anhang C, »Konfiguration<br />
und Problembehandlung des Startvorgangs«.<br />
So führen Sie e<strong>in</strong>e Behandlung von Problemen bei der Installation<br />
neuer Hardware durch<br />
Es kann immer wieder passieren, dass Sie auf Schwierigkeiten stoßen, wenn Sie e<strong>in</strong>e neue<br />
Hardwarekomponente <strong>in</strong>stallieren, oder dass e<strong>in</strong>e vorhandene Hardwarekomponente plötzlich<br />
ausfällt. Gehen Sie folgendermaßen vor, falls Sie bei der Installation e<strong>in</strong>er neuen Hardwarekomponente<br />
auf Probleme stoßen:<br />
1. Falls <strong>W<strong>in</strong>dows</strong> nicht startet, sollten Sie <strong>in</strong> Anhang C, »Konfiguration und Problembehandlung<br />
des Startvorgangs«, weiterlesen.<br />
2. Installieren Sie alle Updates, die <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Update verfügbar s<strong>in</strong>d.<br />
3. Laden Sie aktualisierte Software und Treiber für Ihre Hardware herunter und <strong>in</strong>stallieren<br />
Sie sie. Hardwarehersteller geben oft aktualisierte Software für Hardwarekomponenten<br />
heraus, wenn die Hardware bereits auf dem Markt ist. Normalerweise können Sie Softwareupdates<br />
von der Website des Herstellers herunterladen.<br />
4. Entfernen Sie die neu <strong>in</strong>stallierte Hardware und bauen Sie sie dann wieder e<strong>in</strong>, wobei<br />
Sie sich genau an die Anleitungen des Herstellers halten. Oft müssen Sie die Software<br />
<strong>in</strong>stallieren, bevor Sie die Hardware anschließen. Weitere Informationen f<strong>in</strong>den Sie <strong>in</strong><br />
den Abschnitten »So diagnostizieren Sie Hardwareprobleme« und »So führen Sie e<strong>in</strong>e<br />
Problembehandlung für Treiberprobleme durch« weiter unten <strong>in</strong> diesem Anhang. Ausführliche<br />
Informationen über die Problembehandlung von USB-Geräten f<strong>in</strong>den Sie im<br />
Abschnitt »So führen Sie e<strong>in</strong>e Behandlung von USB-Problemen durch«, Informationen<br />
über die Problembehandlung bei Geräten, die e<strong>in</strong>e Verb<strong>in</strong>dung über Bluetooth herstellen,
Der Ablauf bei der Behandlung von Hardwareproblemen 509<br />
im Abschnitt »So führen Sie e<strong>in</strong>e Behandlung von Bluetooth-Problemen durch« weiter<br />
unten <strong>in</strong> diesem Anhang.<br />
5. Suchen Sie <strong>in</strong> der Ereignisanzeige nach Ereignissen, die nützliche Informationen für die<br />
Diagnose des Problems liefern könnten. Normalerweise schreiben Treiber Ereignisse <strong>in</strong><br />
das Systemereignisprotokoll. Treiber können aber auch Ereignisse <strong>in</strong> beliebige andere<br />
Protokolle e<strong>in</strong>tragen.<br />
6. Installieren Sie aktualisierte Treiber für andere Hardwarekomponenten wie das BIOS<br />
(Basic Input/Output System) und Firmwareupdates für alle Hardwaregeräte <strong>in</strong> Ihrem<br />
Computer. Treiberupdates für andere Hardwarekomponenten können manchmal Inkompatibilitätsprobleme<br />
mit neuer Hardware beseitigen.<br />
7. Schließen Sie die Hardware, sofern möglich, an andere Anschlüsse Ihres Computers an.<br />
Verlegen Sie zum Beispiel E<strong>in</strong>steckkarten <strong>in</strong> andere Steckplätze und schließen Sie USB-<br />
Geräte an andere USB-Anschlüsse an. Falls das Problem dadurch beseitigt wird, ist der<br />
ursprüngliche Anschluss <strong>in</strong> Ihrem Computer defekt oder das Gerät war nicht richtig<br />
angeschlossen.<br />
8. Ersetzen Sie alle Kabel, mit denen die neue Hardware an Ihren Computer angeschlossen<br />
ist. Falls das Problem dadurch beseitigt wird, war das Kabel defekt.<br />
9. Schließen Sie die neue Hardware an e<strong>in</strong>en anderen Computer an. Falls die Hardware auf<br />
mehreren Computern nicht funktioniert, ist sie möglicherweise defekt.<br />
10. Wenden Sie sich an den Hardwarehersteller. Es kann sich um e<strong>in</strong>en Hardware- oder<br />
Softwarefehler handeln. Der Hardwarehersteller kann Ihnen bei der weiteren Problembehandlung<br />
helfen.<br />
So führen Sie e<strong>in</strong>e Behandlung von Problemen mit vorhandener Hardware<br />
durch<br />
Falls e<strong>in</strong>e Hardwarekomponente, die vorher funktioniert hat, plötzlich ausfällt, sollten Sie<br />
folgendermaßen vorgehen:<br />
1. Falls <strong>W<strong>in</strong>dows</strong> nicht startet, sollten Sie <strong>in</strong> Anhang C, »Konfiguration und Problembehandlung<br />
des Startvorgangs«, weiterlesen.<br />
2. Stellen Sie <strong>in</strong> der Zuverlässigkeitsüberwachung fest, wie lange das Problem bereits<br />
besteht und welche damit eventuell zusammenhängenden Symptome auftreten. Weitere<br />
Informationen f<strong>in</strong>den Sie im Abschnitt »So verwenden Sie die Zuverlässigkeitsüberwachung«<br />
weiter unten <strong>in</strong> diesem Anhang. Suchen Sie dann <strong>in</strong> der Ereignisanzeige nach<br />
eventuellen verwandten Ereignissen, die nützliche Informationen für die Diagnose des<br />
Problems liefern.<br />
3. Installieren Sie alle Updates, die <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Update verfügbar s<strong>in</strong>d.<br />
4. Stellen Sie alle vor Kurzem aktualisierten Treiber wieder her, selbst wenn sie für andere<br />
Geräte s<strong>in</strong>d. Treiberprobleme können Inkompatibilitäten zu anderen Geräten verursachen.<br />
5. Laden Sie aktualisierte Software und Treiber für Ihre Hardware herunter und <strong>in</strong>stallieren<br />
Sie sie. Hardwarehersteller geben oft aktualisierte Software für Hardwarekomponenten<br />
heraus, wenn die Hardware bereits auf dem Markt ist. Normalerweise können Sie Softwareupdates<br />
von der Website des Herstellers herunterladen.
510 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
6. Entfernen Sie die neu <strong>in</strong>stallierte Hardware und bauen Sie sie wieder neu e<strong>in</strong>. Weitere<br />
Informationen f<strong>in</strong>den Sie <strong>in</strong> den Abschnitten »So diagnostizieren Sie Hardwareprobleme«<br />
und »So führen Sie e<strong>in</strong>e Behandlung von Treiberproblemen durch« <strong>in</strong> diesem<br />
Anhang. Ausführliche Informationen über die Problembehandlung von USB-Geräten<br />
f<strong>in</strong>den Sie im Abschnitt »So führen Sie e<strong>in</strong>e Behandlung von USB-Problemen durch«<br />
weiter unten <strong>in</strong> diesem Anhang.<br />
7. Installieren Sie aktualisierte Treiber für andere Hardwarekomponenten wie BIOS und<br />
Firmwareupdates für alle Hardwaregeräte <strong>in</strong> Ihrem Computer. Treiberupdates für andere<br />
Hardwarekomponenten können manchmal Inkompatibilitätsprobleme mit neuer Hardware<br />
beseitigen.<br />
8. Führen Sie e<strong>in</strong>e Behandlung von Laufwerksproblemen mithilfe von Chkdsk durch, um<br />
durch Laufwerke verursachte Probleme zu identifizieren und nach Möglichkeit zu beseitigen.<br />
Laufwerksprobleme können Treiber beschädigen, was wiederum dazu führt, dass<br />
die Hardware nicht mehr funktioniert. Weitere Informationen f<strong>in</strong>den Sie im Abschnitt<br />
»So führen Sie e<strong>in</strong>e Behandlung von Laufwerksproblemen durch« weiter unten <strong>in</strong><br />
diesem Anhang.<br />
9. Schließen Sie die Hardware, sofern möglich, an andere Anschlüsse Ihres Computer an.<br />
Verlegen Sie zum Beispiel E<strong>in</strong>steckkarten <strong>in</strong> andere Steckplätze und schließen Sie USB-<br />
Geräte an andere USB-Anschlüsse an. Falls das Problem dadurch beseitigt wird, ist der<br />
ursprüngliche Anschluss <strong>in</strong> Ihrem Computer defekt oder das Gerät war nicht richtig<br />
angeschlossen.<br />
10. Ersetzen Sie alle Kabel, mit denen die neue Hardware an Ihren Computer angeschlossen<br />
ist. Falls das Problem dadurch beseitigt wird, war das Kabel defekt.<br />
11. Schließen Sie die Hardware, die die Probleme verursacht, an e<strong>in</strong>en anderen Computer<br />
an. Falls die Hardware auf mehreren Computern nicht funktioniert, ist sie möglicherweise<br />
defekt. Wenden Sie sich an den Hardwarehersteller und bitten Sie um technischen<br />
<strong>Support</strong>.<br />
12. Führen Sie e<strong>in</strong>e Systemwiederherstellung durch, um zu versuchen, den Computer wieder<br />
<strong>in</strong> e<strong>in</strong>en funktionsfähigen Zustand zurückzusetzen. E<strong>in</strong>e Anleitung zur Verwendung der<br />
Systemwiederherstellung f<strong>in</strong>den Sie im Abschnitt »So verwenden Sie die Systemwiederherstellung«<br />
weiter unten <strong>in</strong> diesem Anhang.<br />
13. Wenden Sie sich an die <strong>Support</strong>abteilung Ihres Hardwareherstellers. Unter Umständen<br />
handelt es sich um e<strong>in</strong>en Hardware- oder Softwarefehler, und der Hardwarehersteller<br />
kann Ihnen bei der weiteren Problembehandlung behilflich se<strong>in</strong>.<br />
So führen Sie e<strong>in</strong>e Behandlung von nicht e<strong>in</strong>deutig zuordenbaren Symptomen<br />
durch<br />
Hardware-, Treiber- und Laufwerksprobleme können zu nicht e<strong>in</strong>deutig zuordenbaren Symptomen<br />
führen, während <strong>W<strong>in</strong>dows</strong> läuft. Zum Beispiel s<strong>in</strong>d folgende Symptome möglich:<br />
Fehler <strong>in</strong> Anwendungen und Diensten<br />
Abbruchfehler<br />
Zurücksetzen des Systems<br />
Unzuverlässig arbeitendes Zubehör
Der Ablauf bei der Behandlung von Hardwareproblemen 511<br />
Viele unterschiedliche Probleme können solche Symptome verursachen. Gehen Sie folgendermaßen<br />
vor, um die Ursache dieser Probleme zu identifizieren und möglicherweise zu<br />
beseitigen. Überprüfen Sie nach jedem Schritt, ob das Problem noch besteht.<br />
1. Falls <strong>W<strong>in</strong>dows</strong> nicht startet, sollten Sie <strong>in</strong> Anhang C, »Konfiguration und Problembehandlung<br />
des Startvorgangs«, weiterlesen.<br />
2. Stellen Sie <strong>in</strong> der Zuverlässigkeitsüberwachung fest, wie lange das Problem bereits besteht<br />
und welche eventuell damit zusammenhängenden Symptome auftauchen. Weitere<br />
Informationen f<strong>in</strong>den Sie im Abschnitt »So verwenden Sie die Zuverlässigkeitsüberwachung«<br />
weiter unten <strong>in</strong> diesem Anhang. Suchen Sie dann <strong>in</strong> der Ereignisanzeige nach<br />
eventuell damit zusammenhängenden Ereignissen, die nützliche Informationen für die<br />
Diagnose des Problems liefern könnten. Normalerweise schreiben Treiber Ereignisse <strong>in</strong><br />
das Systemereignisprotokoll. Allerd<strong>in</strong>gs können Treiber Ereignisse <strong>in</strong> jedes beliebige<br />
Protokoll schreiben.<br />
3. Installieren Sie alle Updates, die <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Update verfügbar s<strong>in</strong>d.<br />
4. Installieren Sie aktualisierte Treiber (direkt von den Herstellern) für andere Hardwarekomponenten<br />
wie das BIOS und Firmwareupdates für alle Hardwaregeräte <strong>in</strong> Ihrem<br />
Computer.<br />
5. Stellen Sie alle vor Kurzem aktualisierten Treiber wieder her.<br />
6. Führen Sie e<strong>in</strong>e Behandlung von Laufwerksproblemen mithilfe von Chkdsk durch, um<br />
durch Laufwerke verursachte Probleme zu identifizieren und nach Möglichkeit zu beseitigen.<br />
Starten Sie den Datenträgerbere<strong>in</strong>igungs-Assistenten, um Probleme im Zusammenhang<br />
mit knappem Festplattenplatz zu beseitigen. Weitere Informationen f<strong>in</strong>den Sie<br />
weiter unten <strong>in</strong> diesem Anhang im Abschnitt »So führen Sie e<strong>in</strong>e Behandlung von Laufwerksproblemen<br />
durch«.<br />
7. Testen Sie Ihren Arbeitsspeicher mithilfe der <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose. Weitere<br />
Informationen f<strong>in</strong>den Sie weiter unten <strong>in</strong> diesem Anhang im Abschnitt »So verwenden<br />
Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose«.<br />
8. Entfernen Sie nache<strong>in</strong>ander alle nicht unbed<strong>in</strong>gt benötigten Hardwarekomponenten.<br />
Falls das Problem verschw<strong>in</strong>det, nachdem Sie e<strong>in</strong>e Hardwarekomponente entfernt haben,<br />
haben Sie die Hardwarekomponente gefunden, die das Problem verursacht. Führen Sie<br />
die Problembehandlung für diese spezifische Komponente fort, <strong>in</strong>dem Sie die Anleitung<br />
weiter oben <strong>in</strong> diesem Anhang im Abschnitt »So führen Sie e<strong>in</strong>e Behandlung von Problemen<br />
mit vorhandener Hardware durch« durchgehen.<br />
9. Führen Sie e<strong>in</strong>e Systemwiederherstellung durch, um zu versuchen, den Computer wieder<br />
<strong>in</strong> e<strong>in</strong>en funktionsfähigen Zustand zurückzusetzen. E<strong>in</strong>e Anleitung zur Verwendung der<br />
Systemwiederherstellung f<strong>in</strong>den Sie weiter unten <strong>in</strong> diesem Anhang im Abschnitt »So<br />
verwenden Sie die Systemwiederherstellung«.<br />
10. Wenden Sie sich an die <strong>Support</strong>abteilung Ihres Computerherstellers. Unter Umständen<br />
handelt es sich um e<strong>in</strong>en Hardware- oder Softwarefehler, und der Computerhersteller<br />
kann Ihnen bei der weiteren Problembehandlung behilflich se<strong>in</strong>.
512 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
So diagnostizieren Sie Hardwareprobleme<br />
Denken Sie immer daran, zuerst die grundlegenden Punkte zu überprüfen, bevor Sie Teile<br />
ausbauen und ersetzen. Bevor Sie neue Peripheriegeräte e<strong>in</strong>bauen, sollten Sie im Handbuch<br />
zu Ihrem Motherboard oder Computer nach nützlichen Informationen suchen, zum Beispiel<br />
zu Sicherheitsh<strong>in</strong>weisen, Firmwarekonfiguration und der Position von Erweiterungs- oder<br />
Arbeitsspeichersteckplätzen. E<strong>in</strong>ige Hersteller von Peripheriegeräten empfehlen, dass Sie<br />
e<strong>in</strong>en Bus-Master-PCI-Slot verwenden, und weisen darauf h<strong>in</strong>, dass die Funktion des Geräts<br />
unter Umständen nicht sichergestellt ist, wenn der Adapter <strong>in</strong> e<strong>in</strong>em sekundären Slot <strong>in</strong>stalliert<br />
wird.<br />
So identifizieren Sie ausgefallene Geräte mit dem Geräte-Manager<br />
<strong>W<strong>in</strong>dows</strong> 7 kann feststellen, wenn Hardware nicht richtig funktioniert. Gehen Sie folgendermaßen<br />
vor, um im Geräte-Manager nichtfunktionierende Hardware anzeigen zu lassen:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und dann auf Verwalten.<br />
2. Klicken Sie unter System auf Geräte-Manager.<br />
3. Der Geräte-Manager zeigt alle Geräte an. Problematische Geräte (darunter alle Geräte,<br />
mit denen <strong>W<strong>in</strong>dows</strong> 7 nicht erfolgreich kommunizieren kann) s<strong>in</strong>d mit e<strong>in</strong>em Warnungssymbol<br />
markiert. Falls ke<strong>in</strong>e Kategorien aufgeklappt und ke<strong>in</strong>e Geräte sichtbar s<strong>in</strong>d, hat<br />
<strong>W<strong>in</strong>dows</strong> 7 ke<strong>in</strong>e Probleme mit irgendwelchen Geräten festgestellt.<br />
So überprüfen Sie den Hardwarezustand Ihres Computers<br />
Falls Sie vor Kurzem das Computergehäuse geöffnet haben oder der Computer verschoben<br />
oder befördert wurde, haben sich möglicherweise Anschlüsse gelöst. Sie sollten folgendermaßen<br />
sicherstellen, dass ke<strong>in</strong>e Verb<strong>in</strong>dungen lose s<strong>in</strong>d:<br />
Überprüfen Sie, ob die Stromkabel für alle Geräte fest e<strong>in</strong>gesteckt s<strong>in</strong>d und ob das<br />
Netzteil des Computers die Hardwarespezifikationen erfüllt Die Netzteile von<br />
Computern s<strong>in</strong>d <strong>in</strong> unterschiedlichen Stärken verfügbar, normalerweise s<strong>in</strong>d sie für 200<br />
bis 400 Watt ausgelegt. Wenn zu viele Geräte <strong>in</strong> e<strong>in</strong>em Computer mit e<strong>in</strong>em zu schwachen<br />
Netzteil <strong>in</strong>stalliert werden, kann das Probleme mit der Zuverlässigkeit verursachen<br />
oder sogar das Netzteil beschädigen. Überprüfen Sie den Leistungsverbrauch <strong>in</strong> den<br />
Spezifikationen des Herstellers, bevor Sie neue Geräte <strong>in</strong>stallieren, und stellen Sie sicher,<br />
dass Ihr Computer den höheren Stromverbrauch verkraftet.<br />
Entfernen Sie externe Geräte Externe Geräte (die zum Beispiel über USB oder IEEE<br />
1394 verbunden s<strong>in</strong>d, oder PC Cards und ExpressCards) können defekt se<strong>in</strong> und den<br />
Startvorgang beh<strong>in</strong>dern. Sie können Geräte entweder e<strong>in</strong>es nach dem anderen entfernen<br />
und jedes Mal versuchen, den Computer zu starten, um die Ursache für das Problem zu<br />
f<strong>in</strong>den, oder Sie können alle Geräte entfernen, dann den Computer starten und die Geräte<br />
nache<strong>in</strong>ander wieder anschließen.<br />
Überprüfen Sie, dass alle <strong>in</strong>ternen Adapter richtig <strong>in</strong>stalliert s<strong>in</strong>d und fest sitzen<br />
Oft müssen Peripheriegeräte wie Tastaturen und Grafikkarten <strong>in</strong>stalliert und funktionsfähig<br />
se<strong>in</strong>, damit die Startphase ohne Fehlermeldungen durchläuft. Adapter können sich<br />
lösen, wenn der Computer bewegt oder angestoßen wird, aber auch durch Vibrationen<br />
des Computers selbst, die durch bewegliche Teile wie Festplatten verursacht werden.
So diagnostizieren Sie Hardwareprobleme 513<br />
Überprüfen Sie, dass alle Kabel richtig angeschlossen s<strong>in</strong>d Stellen Sie sicher, dass<br />
alle Kabelanschlüsse richtig sitzen, <strong>in</strong>dem Sie die Kabel abziehen und wieder anstecken.<br />
Suchen Sie nach beschädigten oder abgenutzten Kabeln und ersetzen Sie sie bei Bedarf.<br />
Sie können schmutzige Stecker mit e<strong>in</strong>em Radiergummi re<strong>in</strong>igen, um sicherzustellen,<br />
dass die Kontakte e<strong>in</strong>wandfrei leiten.<br />
Überprüfen Sie die Systemtemperatur Hohe Temperaturen <strong>in</strong> e<strong>in</strong>em Computer können<br />
nicht e<strong>in</strong>deutig zuordenbare Fehler verursachen. Viele Computer zeigen die <strong>in</strong>ternen<br />
Temperaturen für Prozessor, Festplatte, Grafikkarte oder andere Komponenten an, wenn<br />
Sie das Firmwaremenü starten. Grafische Tools von Fremdherstellern können auch <strong>in</strong>nerhalb<br />
von <strong>W<strong>in</strong>dows</strong> Informationen zur Temperaturdiagnose anzeigen. Falls die Temperatur<br />
sehr hoch ist, sollten Sie überprüfen, ob alle Ventilatoren richtig funktionieren und<br />
die Luftauslässe frei s<strong>in</strong>d. Überprüfen Sie, ob das Computergehäuse vollständig zusammengebaut<br />
ist: Falls Seitenteile offen bleiben, mag das aussehen, als käme e<strong>in</strong> besserer<br />
Luftaustausch zustande, aber <strong>in</strong> Wirklichkeit kann es dazu führen, dass der vorgesehene<br />
Luftfluss, der heiße Komponenten kühlen soll, umgeleitet wird. Überprüfen Sie, ob die<br />
Luft außen am Computer frei fließen kann. Achten Sie <strong>in</strong>sbesondere bei mobilen PCs<br />
darauf, dass der Computer nicht auf e<strong>in</strong>er weichen Oberfläche wie e<strong>in</strong>er Couch oder<br />
e<strong>in</strong>em Teppich steht, weil das die Wärmeableitung beh<strong>in</strong>dern kann. Setzen Sie schließlich<br />
die Taktraten von Prozessor und Arbeitsspeicher auf ihre Standarde<strong>in</strong>stellungen<br />
zurück, um sicherzustellen, dass der Computer nicht übertaktet wird.<br />
So prüfen Sie die Konfiguration Ihrer Hardware<br />
Falls Sie vor Kurzem die Hardwarekonfiguration Ihres Computers verändert oder e<strong>in</strong>en neuen<br />
Computer konfiguriert haben, sollten Sie die Konfiguration überprüfen, um die Ursache für<br />
e<strong>in</strong> Startproblem zu identifizieren.<br />
Überprüfen Sie, ob Sie alle Jumper oder DIP-Schalter richtig konfiguriert haben<br />
Jumper und DIP-Schalter (Dual In-l<strong>in</strong>e Package) schließen oder öffnen elektrische Kontakte<br />
auf Schaltungen. Bei Festplatten s<strong>in</strong>d Jumpere<strong>in</strong>stellungen besonders wichtig, weil<br />
sie den Startvorgang beh<strong>in</strong>dern können, falls sie nicht richtig s<strong>in</strong>d. Wenn Sie zum Beispiel<br />
zwei Master-ATA-Laufwerke (Advanced Technology Attachment) konfigurieren,<br />
die am selben Kanal angeschlossen s<strong>in</strong>d, oder mehreren Geräten am selben SCSI-Anschluss<br />
(Small Computer System Interface) dieselbe ID zuweisen, kann das e<strong>in</strong>en Abbruchfehler<br />
oder Fehlermeldungen über Festplattenfehler auslösen.<br />
Konfigurieren Sie BCD-Verweise richtig, wenn e<strong>in</strong>e Festplatte h<strong>in</strong>zugefügt wird<br />
Wenn e<strong>in</strong>e zusätzliche Festplatte <strong>in</strong>stalliert oder die Laufwerkskonfiguration <strong>in</strong> e<strong>in</strong>em<br />
Computer geändert wird, kann das dazu führen, dass <strong>W<strong>in</strong>dows</strong> nicht startet. Verwenden<br />
Sie <strong>in</strong> e<strong>in</strong>em solchen Fall das Starthilfe-Tool aus den Systemstartreparaturtools, um das<br />
Problem automatisch beseitigen zu lassen. Weitere Informationen f<strong>in</strong>den Sie <strong>in</strong> Anhang C,<br />
»Konfiguration und Problembehandlung des Startvorgangs«.<br />
Überprüfen Sie die SCSI-Konfiguration Falls Ihr Computer SCSI-Geräte verwendet<br />
und davon startet, und Sie den Verdacht haben, dass diese Geräte Startprobleme verursachen,<br />
sollten Sie die Punkte aus Tabelle D.2 überprüfen.
514 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
Tabelle D.2 Checkliste für die Problembehandlung von SCSI-Geräten<br />
Punkt Beschreibung<br />
Alle Geräte s<strong>in</strong>d richtig<br />
term<strong>in</strong>iert.<br />
Alle Geräte verwenden<br />
e<strong>in</strong>deutige SCSI-IDs.<br />
Das BIOS im SCSI-<br />
Startcontroller ist<br />
aktiviert.<br />
Sie verwenden die<br />
richtigen Kabel.<br />
Die Firmwaree<strong>in</strong>stellungen<br />
für den SCSI-<br />
Hostadapter entsprechen<br />
den Gerätefähigkeiten.<br />
SCSI-Adapter s<strong>in</strong>d <strong>in</strong><br />
e<strong>in</strong>em Master-PCI-Slot<br />
<strong>in</strong>stalliert.<br />
Überprüfen Sie, ob die SCSI-Geräte richtig term<strong>in</strong>iert s<strong>in</strong>d. Sie müssen<br />
bestimmte Regeln für die Term<strong>in</strong>ierung e<strong>in</strong>halten, damit ke<strong>in</strong>e Probleme<br />
bei der Erkennung e<strong>in</strong>es SCSI-Geräts im Computer auftreten. Diese Regeln<br />
können sich zwar von Adapter zu Adapter leicht unterscheiden, aber das<br />
grundlegende Pr<strong>in</strong>zip lautet immer, dass Sie e<strong>in</strong>e SCSI-Kette an beiden<br />
Enden term<strong>in</strong>ieren müssen.<br />
Überprüfen Sie, ob jedes Gerät <strong>in</strong>nerhalb e<strong>in</strong>er bestimmten SCSI-Kette e<strong>in</strong>e<br />
e<strong>in</strong>deutige ID hat. Doppelt verwendete IDs können sporadische Fehler oder<br />
sogar Beschädigung von Daten verursachen. Bei neueren Geräten können<br />
Sie den SCAM-Standard (SCSI Configured AutoMagically) nutzen. Der<br />
Hostadapter und alle Geräte müssen den SCAM-Standard unterstützen.<br />
Andernfalls müssen Sie die IDs von Hand e<strong>in</strong>stellen.<br />
Überprüfen Sie, ob das SCSI-BIOS beim primären SCSI-Controller aktiviert<br />
und bei allen sekundären Controllern deaktiviert ist. SCSI-Firmware<br />
enthält Anweisungen, die es dem Computer erlauben, mit SCSI-Laufwerken<br />
zu kommunizieren, bevor <strong>W<strong>in</strong>dows</strong> 7 startet. Wenn Sie dieses Feature auf<br />
allen Hostadaptern deaktivieren, schlägt der Start fehl. Informationen darüber,<br />
wie Sie das BIOS aktivieren oder deaktivieren, f<strong>in</strong>den Sie <strong>in</strong> der<br />
Dokumentation zu Ihrem SCSI-Controller.<br />
Überprüfen Sie, dass die Verb<strong>in</strong>dungskabel den richtigen Typ und die<br />
richtige Länge haben und den SCSI-Spezifikationen entsprechen. Es gibt<br />
unterschiedliche SCSI-Standards, von denen jeder spezifische Anforderungen<br />
an die Verkabelung stellt. Weitere Informationen f<strong>in</strong>den Sie <strong>in</strong> der<br />
Produktdokumentation.<br />
Überprüfen Sie, ob die Hostadapter-BIOS-E<strong>in</strong>stellungen für jedes SCSI-<br />
Gerät richtig s<strong>in</strong>d. (Das BIOS des SCSI-Adapters ist von der Motherboardfirmware<br />
des Computers getrennt.) Zu jedem SCSI-Gerät können Sie<br />
E<strong>in</strong>stellungen wie Sync-Aushandlung, maximale Übertragungsrate und<br />
Send-Start-Befehl angeben, die E<strong>in</strong>fluss auf Leistung und Kompatibilität<br />
haben können. Bestimmte SCSI-Geräte funktionieren unter Umständen<br />
nicht richtig, falls die E<strong>in</strong>stellungen für die Fähigkeiten der Hardware zu<br />
hoch gewählt s<strong>in</strong>d. Prüfen Sie die Dokumentation Ihres SCSI-Adapters und<br />
des Geräts, bevor Sie die Standarde<strong>in</strong>stellungen verändern.<br />
Überprüfen Sie, ob der Hostadapter im richtigen Motherboardslot <strong>in</strong>stalliert<br />
ist. Die Dokumentation zu e<strong>in</strong>igen PCI-SCSI-Adaptern empfiehlt, nur Busmaster-PCI-Slots<br />
zu verwenden, um Probleme auf 32-Bit-Computern zu<br />
vermeiden. Sehen Sie <strong>in</strong> der Dokumentation Ihres Motherboard- oder<br />
Computerherstellers nach, wo diese Busmaster-PCI-Slots liegen. Falls Ihr<br />
SCSI-Adapter <strong>in</strong> e<strong>in</strong>em Nicht-Busmaster-PCI-Slot <strong>in</strong>stalliert ist, sollten Sie<br />
ihn <strong>in</strong> e<strong>in</strong>en Master-Slot verlegen, um zu prüfen, ob das etwas an Funktion<br />
und Stabilität ändert.<br />
Warnung Schalten Sie zur Vorsicht immer den Computer aus und ziehen Sie das Stromkabel<br />
ab, bevor Sie e<strong>in</strong>e Problembehandlung für Hardware durchführen. Versuchen Sie<br />
niemals, <strong>in</strong>terne Geräte zu <strong>in</strong>stallieren oder zu entfernen, wenn Sie sich mit Hardware nicht<br />
auskennen.
So diagnostizieren Sie Hardwareprobleme 515<br />
Weitere Informationen Genauere Informationen zur SCSI-Term<strong>in</strong>ierung f<strong>in</strong>den Sie im<br />
Microsoft Knowledge Base-Artikel 92765, »Term<strong>in</strong>ieren e<strong>in</strong>es SCSI-Geräts«, unter http://<br />
support.microsoft.com/?kbid=92765 und im Microsoft Knowledge Base-Artikel 154690,<br />
»So behandeln Sie Fehlermeldungen mit der Ereignis-ID 9, 11 oder 15«, unter http://<br />
support.microsoft.com/?kbid=154690.<br />
So überprüfen Sie, ob die Firmware von System und Peripheriegeräten auf<br />
dem neusten Stand ist<br />
Gelegentlich lassen sich Stabilitäts- und Kompatibilitätsprobleme auf veraltete Firmware<br />
zurückführen. Verwenden Sie nach Möglichkeit immer die neuste Firmwareversion. Falls<br />
Setup nicht reagiert, wenn Sie das Betriebssystem <strong>in</strong>stallieren, kann das durch die Firmware<br />
Ihrer DVD-Laufwerke verursacht werden. Versuchen Sie, die DVD-Firmware auf die neuste<br />
Version zu aktualisieren.<br />
So testen Sie Ihre Hardware mit den Diagnosetools<br />
Falls das Problem auftritt, nachdem die POST-Rout<strong>in</strong>e (Power-On Self Test) abgeschlossen<br />
ist, aber noch bevor <strong>W<strong>in</strong>dows</strong> vollständig geladen wurde, sollten Sie die Diagnosesoftware<br />
ausführen, die der Hersteller des Hardwareadapters zur Verfügung stellt. Diese Software umfasst<br />
normalerweise e<strong>in</strong>en Selbsttest, mit dem Sie schnell überprüfen können, ob e<strong>in</strong> Gerät<br />
richtig funktioniert. Damit können Sie unter Umständen auch zusätzliche Informationen<br />
über das Gerät ermitteln, zum Beispiel Modellnummer, Hardware- und Firmwareversion.<br />
Außerdem können Sie mit <strong>W<strong>in</strong>dows</strong> e<strong>in</strong>en Arbeitsspeichertest auf Ihrem Computer ausführen.<br />
E<strong>in</strong>e ausführliche Anleitung f<strong>in</strong>den Sie im Abschnitt »So verwenden Sie die <strong>W<strong>in</strong>dows</strong>-<br />
Speicherdiagnose« weiter unten <strong>in</strong> diesem Anhang.<br />
So vere<strong>in</strong>fachen Sie Ihre Hardwarekonfiguration<br />
Hardwareprobleme können entstehen, wenn Sie sowohl neuere als auch ältere Geräte im<br />
selben Computer <strong>in</strong>stalliert haben. Falls Sie die Probleme nicht mit dem abgesicherten<br />
Modus und anderen Optionen (zum Beispiel durch Wiederherstellen <strong>in</strong>stallierter Treiber)<br />
beseitigen können, sollten Sie zeitweise alle ISA-Geräte deaktivieren oder entfernen, die<br />
Plug & Play nicht unterstützen. Falls Sie <strong>W<strong>in</strong>dows</strong> starten können, sobald diese älteren<br />
Geräte entfernt s<strong>in</strong>d, verursachen diese Geräte Ressourcenkonflikte und Sie müssen die<br />
ihnen zugewiesenen Ressourcen von Hand neu konfigurieren.<br />
Wenn Sie Startprobleme diagnostizieren, die auf Hardware zurückzuführen s<strong>in</strong>d, wird empfohlen,<br />
dass Sie Ihre Konfiguration vere<strong>in</strong>fachen. Falls Sie Ihre Computerkonfiguration e<strong>in</strong>facher<br />
machen, können Sie <strong>W<strong>in</strong>dows</strong> möglicherweise starten. Dann können Sie nach und<br />
nach die Hardwarekonfiguration des Computers komplexer machen, bis sich das Problem<br />
wieder e<strong>in</strong>stellt. So können Sie das Problem diagnostizieren und beseitigen.<br />
Schieben Sie die Problembehandlung auf, wenn Sie noch mehr Adapter und externe Peripheriegeräte<br />
<strong>in</strong>stalliert haben. Deaktivieren oder entfernen Sie nache<strong>in</strong>ander alle Hardwaregeräte<br />
(wobei Sie mit externen und ISA-Geräten beg<strong>in</strong>nen), bis Sie Ihren Computer starten<br />
können. Installieren Sie die Geräte dann neu, wobei Sie die Anleitungen der Hersteller befolgen,<br />
und stellen Sie sicher, dass e<strong>in</strong> Gerät e<strong>in</strong>wandfrei funktioniert, bevor Sie das nächste<br />
Gerät <strong>in</strong> Angriff nehmen. Wenn Sie zum Beispiel e<strong>in</strong>e PCI-Netzwerkkarte und e<strong>in</strong>en SCSI-
516 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
Adapter gleichzeitig <strong>in</strong>stallieren, kann die Problembehandlung komplizierter werden, weil<br />
nicht klar ist, welcher der Adapter e<strong>in</strong> Problem verursacht.<br />
ISA-Geräte s<strong>in</strong>d für e<strong>in</strong>en großen Teil der Startprobleme verantwortlich, die durch Hardware<br />
verursacht werden. Der PCI-Bus hat ke<strong>in</strong>e zuverlässige Methode, um die ISA-Ressourcene<strong>in</strong>stellungen<br />
zu ermitteln. Gerätekonflikte können auftreten, weil die Kommunikation zwischen<br />
den beiden Bustypen nicht optimal ist. Um ISA- und PCI-Konflikte zu vermeiden,<br />
sollten Sie ISA-Geräte zeitweise entfernen. Nachdem Sie e<strong>in</strong> neues PCI-Gerät <strong>in</strong>stalliert<br />
haben, können Sie im Geräte-Manager feststellen, welche Systemressourcen für ISA-Geräte<br />
verfügbar s<strong>in</strong>d. Konfigurieren Sie dann die ISA-Geräte, die ke<strong>in</strong>e Plug & Play-Unterstützung<br />
bieten, so um, dass ke<strong>in</strong>e Konflikte auftreten. Falls die Probleme weiterh<strong>in</strong> bestehen,<br />
nachdem Sie die ISA-Geräte erneut <strong>in</strong>stalliert haben, und Sie die Probleme auch mithilfe des<br />
technischen <strong>Support</strong>s nicht beseitigen können, können Sie <strong>in</strong> Erwägung ziehen, e<strong>in</strong>e Aufrüstung<br />
auf neuere Hardware vorzunehmen.<br />
Das Vere<strong>in</strong>fachen Ihrer Computerkonfiguration kann auch nützlich se<strong>in</strong>, wenn Probleme<br />
verh<strong>in</strong>dern, dass Sie <strong>W<strong>in</strong>dows</strong> <strong>in</strong>stallieren können. Weitere Informationen darüber, wie Sie<br />
Ihre Hardwarekonfiguration vere<strong>in</strong>fachen können, um Setupprobleme zu beseitigen, f<strong>in</strong>den<br />
Sie im Microsoft Knowledge Base-Artikel 224826, »Fehlerbehebung bei Textmodus-Setup-<br />
Problemen auf ACPI-Computern«, unter http://support.microsoft.com/?kbid=224826.<br />
So diagnostizieren Sie Probleme im Zusammenhang mit Laufwerken<br />
Probleme im Zusammenhang mit Laufwerken zeigen sich normalerweise, bevor <strong>W<strong>in</strong>dows</strong> 7<br />
startet oder kurz danach. Tabelle D.3 listet die Symptome, mögliche Ursachen und Informationsquellen<br />
zu solchen Startproblemen auf.<br />
Gelegentlich können Probleme im Zusammenhang mit Laufwerken, zum Beispiel beschädigte<br />
Dateien, Dateisystemprobleme oder zu ger<strong>in</strong>ger freier Speicherplatz, dazu führen, dass<br />
Abbruchfehler auftreten.<br />
Tabelle D.3 Startprobleme im Zusammenhang mit Laufwerken<br />
Symptom, Meldung oder<br />
Problem<br />
Die POST-Rout<strong>in</strong>e zeigt<br />
e<strong>in</strong>e Meldung an, die etwa<br />
so aussieht:<br />
Hard disk error.<br />
Hard disk absent/failed.<br />
Das System zeigt Meldungen<br />
zum MBR oder Startsektor<br />
an, die etwa folgendermaßen<br />
lauten:<br />
Miss<strong>in</strong>g operat<strong>in</strong>g system.<br />
Insert a system diskette<br />
and restart the system.<br />
Mögliche Ursache Weitere Informationen<br />
Die Selbsttestrout<strong>in</strong>en des<br />
Systems halten an, weil<br />
Geräte falsch <strong>in</strong>stalliert s<strong>in</strong>d.<br />
Der MBR oder der Partitionsstartsektor<br />
ist beschädigt,<br />
möglicherweise durch<br />
Hardwareprobleme oder<br />
Viren.<br />
Überprüfen Sie, ob die Hardware richtig<br />
angeschlossen ist, wie weiter oben <strong>in</strong><br />
diesem Abschnitt beschrieben.<br />
Führen Sie die Starthilfe aus, wie <strong>in</strong><br />
Anhang C, »Konfiguration und Problembehandlung<br />
des Startvorgangs«, beschrieben.
Symptom, Meldung oder<br />
Problem<br />
Das System zeigt Meldungen<br />
über die Partitionstabelle<br />
an, die etwa folgendermaßen<br />
lauten:<br />
Invalid partition table.<br />
A disk-read error<br />
occurred.<br />
Sie können nicht auf <strong>W<strong>in</strong>dows</strong><br />
7 zugreifen, nachdem<br />
Sie e<strong>in</strong> anderes Betriebssystem<br />
<strong>in</strong>stalliert<br />
haben.<br />
So verwenden Sie die e<strong>in</strong>gebaute Diagnose 517<br />
Mögliche Ursache Weitere Informationen<br />
Die Partitionstabelle ist aufgrund<br />
e<strong>in</strong>er falschen Konfiguration<br />
von neu h<strong>in</strong>zugefügten<br />
Laufwerken ungültig.<br />
Der <strong>W<strong>in</strong>dows</strong> 7-Startsektor<br />
wurde durch das Setupprogramm<br />
e<strong>in</strong>es anderen Betriebssystems<br />
überschrieben.<br />
Systemdateien fehlen. Erforderliche Startdateien<br />
fehlen oder s<strong>in</strong>d beschädigt,<br />
oder E<strong>in</strong>träge <strong>in</strong> der BCD-<br />
Registrierungsdatei verweisen<br />
auf die falsche Partition.<br />
Der EFI-Start-Manager<br />
oder der <strong>W<strong>in</strong>dows</strong>-Start-<br />
Manager zeigen Meldungen<br />
an, die etwa folgendermaßen<br />
lauten:<br />
Couldn't f<strong>in</strong>d loader.<br />
Please <strong>in</strong>sert another<br />
disk.<br />
CMOS- oder NVRAM-<br />
Laufwerkskonfigurationse<strong>in</strong>stellungen<br />
werden nicht<br />
dauerhaft gespeichert.<br />
Führen Sie die Starthilfe aus, wie <strong>in</strong><br />
Anhang C, »Konfiguration und Problembehandlung<br />
des Startvorgangs«, beschrieben.<br />
Falls <strong>W<strong>in</strong>dows</strong> 7 dann immer<br />
noch nicht startet, sollten Sie Ihre Datenträger<br />
über die E<strong>in</strong>gabeaufforderung der<br />
Systemwiederherstellung konfigurieren.<br />
Führen Sie die Starthilfe aus, wie <strong>in</strong> Anhang<br />
C, »Konfiguration und Problembehandlung<br />
des Startvorgangs«, beschrieben.<br />
Führen Sie die Starthilfe aus, wie <strong>in</strong> Anhang<br />
C, »Konfiguration und Problembehandlung<br />
des Startvorgangs«, beschrieben.<br />
Systemdateien fehlen. Führen Sie die Starthilfe aus, wie <strong>in</strong> Anhang<br />
C, »Konfiguration und Problembehandlung<br />
des Startvorgangs«, beschrieben.<br />
Der CMOS-Speicher oder<br />
das NVRAM ist defekt,<br />
Daten wurden beschädigt,<br />
oder die Batterie, die diesen<br />
Speicherbereich puffert,<br />
muss ersetzt werden.<br />
So verwenden Sie die e<strong>in</strong>gebaute Diagnose<br />
Befolgen Sie die Anleitungen des Herstellers,<br />
um die Systembatterie auszutauschen<br />
oder aufzuladen.<br />
<strong>W<strong>in</strong>dows</strong> 7 stellt mehrere Tools zur Verfügung, die Ihnen dabei helfen, die Ursache von<br />
Hardwareproblemen zu diagnostizieren. Die folgenden Abschnitte beschreiben die wichtigsten<br />
Tools.<br />
So verwenden Sie die Zuverlässigkeitsüberwachung<br />
Sie öffnen die Zuverlässigkeitsüberwachung, <strong>in</strong>dem Sie im Suchfeld des Startmenüs Zuverlässigkeit<br />
e<strong>in</strong>geben und dann auf Zuverlässigkeitsverlauf anzeigen klicken. Das Systemstabilitätsdiagramm<br />
enthält e<strong>in</strong>en nach Tagen aufgeschlüsselten Bericht über alle Probleme<br />
oder größere Änderungen. Sie können sich ansehen, welche Ereignisse an e<strong>in</strong>em bestimmten<br />
Tag aufgetreten s<strong>in</strong>d, <strong>in</strong>dem Sie den Tag im Diagramm anklicken und sich dann die detaillierten<br />
Informationen durchlesen. Sie können auch auf die Dropdownliste <strong>in</strong> der rechten
518 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
oberen Ecke klicken und Alles markieren auswählen, um e<strong>in</strong>en Bericht anzeigen zu lassen,<br />
der alle Ereignisse enthält, die <strong>W<strong>in</strong>dows</strong> 7 bisher aufgezeichnet hat.<br />
In der Zuverlässigkeitsüberwachung haben Sie außerdem Zugriff auf Werkzeuge, die unter<br />
<strong>W<strong>in</strong>dows</strong> Vista im Tool Problemberichte und -lösungen enthalten waren. Klicken Sie dazu<br />
am unteren Rand der Seite auf Alle Problemberichte anzeigen oder auf Nach Lösungen für<br />
alle Probleme suchen.<br />
So verwenden Sie Sammlungssätze<br />
Das Snap-In Leistungsüberwachung stellt Sammlungssätze und entsprechende Berichte zur<br />
Verfügung, die e<strong>in</strong>e detaillierte Analyse unterschiedlicher Aspekte für die Konfiguration und<br />
Leistung e<strong>in</strong>es Computers durchführen.<br />
Gehen Sie folgendermaßen vor, um Sammlungssätze und Berichte zu verwenden:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und dann auf Verwalten.<br />
2. Erweitern Sie Leistung, dann Sammlungssätze und klicken Sie auf System.<br />
3. Klicken Sie im mittleren Fensterabschnitt mit der rechten Maustaste auf den Sammlungssatz,<br />
den Sie analysieren wollen, und wählen Sie den Befehl Starten. Wenn Sie zum<br />
Beispiel die Hardware des Computers analysieren wollen, müssen Sie mit der rechten<br />
Maustaste auf System Diagnostics (Systemdiagnose) klicken und den Befehl Starten<br />
wählen. <strong>W<strong>in</strong>dows</strong> 7 beg<strong>in</strong>nt daraufh<strong>in</strong>, die Daten zu sammeln.<br />
Abbildung D.2 Der Systemdiagnosebericht enthält detaillierte Informationen<br />
über den Computer, <strong>in</strong>klusive möglicher Ursachen für Hardwareprobleme<br />
4. Klicken Sie mit der rechten Maustaste auf den Sammlungssatz und wählen Sie den<br />
Befehl Aktuellster Bericht. <strong>W<strong>in</strong>dows</strong> zeigt den Berichtsstatus an, während die Daten<br />
gesammelt werden (das kann mehrere M<strong>in</strong>uten dauern). Sobald genügend Daten gesam-
So verwenden Sie die e<strong>in</strong>gebaute Diagnose 519<br />
melt worden s<strong>in</strong>d, wird der Bericht angezeigt. Abbildung D.2 zeigt e<strong>in</strong>en Systemdiagnosebericht.<br />
Sehen Sie sich den Bericht an und stellen Sie fest, ob e<strong>in</strong>er der aufgeführten Punkte mit dem<br />
Problem zu tun hat, das Sie beseitigen wollen.<br />
So verwenden Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose<br />
Speicherprobleme s<strong>in</strong>d e<strong>in</strong>e der häufigsten Ursachen für Hardwareprobleme. Speicherprobleme<br />
können verh<strong>in</strong>dern, dass <strong>W<strong>in</strong>dows</strong> startet, und nicht e<strong>in</strong>deutig zuordenbare<br />
Abbruchfehler verursachen, sobald <strong>W<strong>in</strong>dows</strong> läuft. Weil Probleme im Zusammenhang mit<br />
dem Arbeitsspeicher sporadisch auftreten können, s<strong>in</strong>d sie oft schwierig zu identifizieren.<br />
Glücklicherweise enthält <strong>W<strong>in</strong>dows</strong> 7 die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose (<strong>W<strong>in</strong>dows</strong> Memory<br />
Diagnostics), e<strong>in</strong> Offl<strong>in</strong>ediagnosetool, das den Arbeitsspeicher Ihres Computers automatisch<br />
testet. Die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose testet Ihren Arbeitsspeicher, <strong>in</strong>dem sie wiederholt<br />
Werte h<strong>in</strong>e<strong>in</strong>schreibt und diese Werte dann wieder ausliest, um zu überprüfen, ob sie sich<br />
verändert haben. Um möglichst viele Arten von Speicherfehlern identifizieren zu können,<br />
enthält die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose drei unterschiedliche Teststufen:<br />
M<strong>in</strong>imal Hier s<strong>in</strong>d folgende Tests enthalten:<br />
MATS+<br />
INVC<br />
SCHCKR (aktiviert den Cache)<br />
Standard Alle Tests aus der Stufe »M<strong>in</strong>imal« und zusätzlich:<br />
LRAND<br />
Stride6 (aktiviert den Cache)<br />
CHCKR3<br />
WMATS+<br />
WINVC<br />
Erweitert Alle Tests aus der Stufe »Standard« und zusätzlich:<br />
MATS+ (deaktiviert den Cache)<br />
Stride38<br />
WSCHCKR<br />
WStride-6<br />
CHKCKR4<br />
WCHCKR3<br />
ERAND<br />
Stride6 (deaktiviert den Cache)<br />
CHCKR8<br />
Es ist zwar nicht erforderlich, dass e<strong>in</strong> Adm<strong>in</strong>istrator die Details dieser Tests im E<strong>in</strong>zelnen<br />
kennt, aber es ist wichtig zu wissen, dass e<strong>in</strong> Speichertest niemals vollkommen ist. Fehler<br />
treten oft sporadisch auf, möglicherweise im normalen Betrieb nur alle paar Tage oder
520 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
Wochen. Automatisierte Tests, wie sie zum Beispiel die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose durchführt,<br />
vergrößern die Wahrsche<strong>in</strong>lichkeit, dass der Fehler entdeckt wird. Aber es kann se<strong>in</strong>,<br />
dass Ihr Arbeitsspeicher defekt ist, obwohl die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose meldet, dass sie<br />
ke<strong>in</strong>e Probleme gefunden hat. Um diese Gefahr zu verr<strong>in</strong>gern, sollten Sie erweiterte Tests<br />
ausführen und die Zahl der Wiederholungen erhöhen. Je mehr Tests Sie durchführen, desto<br />
zuverlässiger ist das Ergebnis. Selbst wenn nur e<strong>in</strong> e<strong>in</strong>ziger Fehler auftritt, müssen Sie den<br />
Arbeitsspeicher als defekt betrachten.<br />
Sobald die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose ihre Tests abgeschlossen hat, wird der Computer<br />
automatisch neu gestartet. <strong>W<strong>in</strong>dows</strong> 7 zeigt e<strong>in</strong>e Benachrichtigung mit den Testergebnissen<br />
an (Abbildung D.3). Die zugehörigen Ereignisse können Sie sich im Systemereignisprotokoll<br />
ansehen, sie haben die Quelle »MemoryDiagnosticsResults« (Ereignis-ID 1201).<br />
Abbildung D.3 Die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose zeigt<br />
nach dem Anmelden e<strong>in</strong>e Benachrichtigung an<br />
Falls Sie e<strong>in</strong>en Speicherfehler f<strong>in</strong>den, ist es normalerweise nicht s<strong>in</strong>nvoll, e<strong>in</strong>e Reparatur des<br />
Arbeitsspeichers zu versuchen. Stattdessen sollten Sie unzuverlässigen Arbeitsspeicher austauschen.<br />
Falls der Computer mehrere Speichermodule hat und Sie nicht sicher s<strong>in</strong>d, welches<br />
Modul das Problem verursacht, können Sie e<strong>in</strong> Modul nach dem anderen ersetzen und<br />
dann jeweils die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose starten, bis der Computer zuverlässig arbeitet.<br />
Falls das Problem weiter bestehen bleibt, obwohl Sie den Arbeitsspeicher ausgetauscht<br />
haben, wird es durch e<strong>in</strong>e externe Ursache ausgelöst. Zum Beispiel können hohe Temperaturen<br />
(oft <strong>in</strong> mobilen PCs) dazu führen, dass Arbeitsspeicher unzuverlässig wird. Computerhersteller<br />
wählen den Arbeitsspeicher zwar meist so aus, dass er auch hohe Temperaturen<br />
aushält, aber wenn Sie Arbeitsspeicher von anderen Herstellern e<strong>in</strong>bauen, kann es se<strong>in</strong>, dass<br />
er nicht dieselben Spezifikationen erfüllt und Fehler verursacht. Neben Wärme können auch<br />
andere Geräte <strong>in</strong>nerhalb des Computers elektrische Störungen verursachen. Und schließlich<br />
können auch Probleme im Motherboard oder Prozessor gelegentlich dazu führen, dass<br />
Kommunikationsfehler mit dem Speicher auftreten, die aussehen wie fehlerhafter Arbeitsspeicher.<br />
So stellt <strong>W<strong>in</strong>dows</strong> Speicherprobleme automatisch fest<br />
Wenn <strong>W<strong>in</strong>dows</strong> Problemberichte analysiert, kann es feststellen, ob Speicherprobleme als<br />
Ursache für das Problem <strong>in</strong>frage kommen. In e<strong>in</strong>em solchen Fall fordert das Wartungscenter<br />
den Benutzer auf, die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose auszuführen. Der Benutzer kann dann<br />
e<strong>in</strong>en L<strong>in</strong>k anklicken, um <strong>W<strong>in</strong>dows</strong> 7 sofort neu zu starten und den Arbeitsspeicher auf<br />
Fehler zu überprüfen, oder zu warten, bis der Computer das nächste Mal neu gestartet wird.
So planen Sie e<strong>in</strong>e <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose e<strong>in</strong><br />
So verwenden Sie die e<strong>in</strong>gebaute Diagnose 521<br />
Falls <strong>W<strong>in</strong>dows</strong> 7 läuft, können Sie die Ausführung der <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose beim<br />
nächsten Start e<strong>in</strong>planen. Gehen Sie dazu folgendermaßen vor:<br />
1. Geben Sie im Suchfeld des Startmenüs den Befehl mdsched.exe e<strong>in</strong> und drücken Sie die<br />
EINGABETASTE.<br />
2. Wählen Sie, ob Sie den Computer jetzt neu starten und das Tool ausführen oder das Tool<br />
beim nächsten Start des Computers ausführen lassen wollen (Abbildung D.4).<br />
Abbildung D.4 Sie können die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose<br />
beim nächsten Start Ihres Computers ausführen lassen<br />
Die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose wird automatisch ausgeführt, sobald der Computer neu<br />
startet.<br />
So starten Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose, wenn <strong>W<strong>in</strong>dows</strong> <strong>in</strong>stalliert ist<br />
Falls <strong>W<strong>in</strong>dows</strong> bereits <strong>in</strong>stalliert ist, können Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose aus dem<br />
Menü des <strong>W<strong>in</strong>dows</strong>-Start-Managers ausführen. Gehen Sie dazu folgendermaßen vor:<br />
1. Entfernen Sie alle Disketten und CDs aus den Laufwerken und starten Sie den Computer<br />
dann neu.<br />
2. Falls das Menü des <strong>W<strong>in</strong>dows</strong>-Start-Managers nicht automatisch ersche<strong>in</strong>t, müssen Sie<br />
wiederholt die LEERTASTE drücken, während der Computer startet. Daraufh<strong>in</strong> öffnet<br />
sich das Menü des <strong>W<strong>in</strong>dows</strong>-Start-Managers. Falls stattdessen das <strong>W<strong>in</strong>dows</strong>-Startlogo<br />
ersche<strong>in</strong>t, müssen Sie Ihren Computer wieder neu starten und versuchen, den Startvorgang<br />
durch Drücken der LEERTASTE zu unterbrechen.<br />
3. Drücken Sie im Menü des <strong>W<strong>in</strong>dows</strong>-Start-Managers die TAB-Taste auf Ihrer Tastatur,<br />
um den E<strong>in</strong>trag <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose auszuwählen (Abbildung D.5), und dann die<br />
EINGABETASTE.<br />
Die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose startet und beg<strong>in</strong>nt, den Arbeitsspeicher Ihres Computers<br />
automatisch zu testen. Informationen darüber, wie Sie die automatisierten Tests konfigurieren,<br />
f<strong>in</strong>den Sie im Abschnitt »So konfigurieren Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose« weiter<br />
unten <strong>in</strong> diesem Anhang.
522 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
Abbildung D.5 Sie können die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose aus dem Menü<br />
des <strong>W<strong>in</strong>dows</strong>-Start-Managers ausführen<br />
So starten Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose von der <strong>W<strong>in</strong>dows</strong>-DVD<br />
Falls <strong>W<strong>in</strong>dows</strong> nicht <strong>in</strong>stalliert ist, können Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose folgendermaßen<br />
von der <strong>W<strong>in</strong>dows</strong>-DVD starten:<br />
H<strong>in</strong>weis Wenn <strong>W<strong>in</strong>dows</strong> 7 bereits <strong>in</strong>stalliert ist, aber nicht startet, können Sie die Systemstartreparaturtools<br />
schneller starten, <strong>in</strong>dem Sie F8 drücken, bevor das <strong>W<strong>in</strong>dows</strong>-Logo ersche<strong>in</strong>t,<br />
und dann auf dem Bildschirm Erweiterte Startoptionen den E<strong>in</strong>trag Computer<br />
reparieren wählen.<br />
1. Legen Sie die <strong>W<strong>in</strong>dows</strong>-DVD <strong>in</strong> Ihren Computer e<strong>in</strong>.<br />
2. Starten Sie Ihren Computer neu. Drücken Sie irgende<strong>in</strong>e Taste, wenn gefragt wird,<br />
ob von der DVD gestartet werden soll. Falls ke<strong>in</strong>e Frage ersche<strong>in</strong>t, ob von der DVD<br />
gestartet werden soll, müssen Sie unter Umständen die Startabfolge Ihres Computers<br />
konfigurieren. Weitere Informationen f<strong>in</strong>den Sie im Abschnitt »Anfangsstartphase« <strong>in</strong><br />
Anhang C, »Konfiguration und Problembehandlung des Startvorgangs«.<br />
3. <strong>W<strong>in</strong>dows</strong>-Setup wird geladen. Wählen Sie Ihre Regionse<strong>in</strong>stellungen aus, sobald Sie<br />
danach gefragt werden, und klicken Sie dann auf Weiter.<br />
4. Klicken Sie auf Computer reparieren.<br />
5. Wählen Sie Ihr Tastaturlayout aus und klicken Sie auf Weiter.<br />
6. Die Systemwiederherstellung durchsucht Ihre Festplatten nach <strong>W<strong>in</strong>dows</strong>-Installationen.<br />
Falls die Standardtreiber ke<strong>in</strong>e Festplatte erkennen, weil die Treiber nicht <strong>in</strong> <strong>W<strong>in</strong>dows</strong><br />
enthalten s<strong>in</strong>d, müssen Sie auf die Schaltfläche Treiber laden klicken, um die Treiber zu
So verwenden Sie die e<strong>in</strong>gebaute Diagnose 523<br />
laden. Wählen Sie e<strong>in</strong> Betriebssystem aus, das repariert werden soll, und klicken Sie<br />
dann auf Weiter.<br />
7. Die Seite Wählen Sie e<strong>in</strong> Wiederherstellungstool aus wird angezeigt. Klicken Sie auf das<br />
Tool <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose.<br />
Die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose startet und beg<strong>in</strong>nt, den Arbeitsspeicher Ihres Computers<br />
automatisch zu testen. Informationen darüber, wie Sie die automatisierten Tests konfigurieren,<br />
f<strong>in</strong>den Sie im nächsten Abschnitt. Weitere Informationen über Systemstartreparaturtools<br />
f<strong>in</strong>den Sie <strong>in</strong> Anhang C.<br />
So konfigurieren Sie die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose<br />
Wie <strong>in</strong> Abbildung D.6 zu sehen ist, können Sie unterschiedliche Optionen für die <strong>W<strong>in</strong>dows</strong>-<br />
Speicherdiagnose konfigurieren. Sie können mit diesen Optionen wählen, ob e<strong>in</strong>e gründlichere<br />
(und zeitaufwendigere) Diagnose durchgeführt werden soll.<br />
Abbildung D.6 Sie können die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose so konfigurieren,<br />
dass sie gründlichere Testverfahren nutzt<br />
Sie können sich die Optionen der <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose ansehen, <strong>in</strong>dem Sie sie starten<br />
und dann F1 drücken. Sie können drei unterschiedliche E<strong>in</strong>stellungen wählen, <strong>in</strong>dem Sie sie<br />
mit der TAB-Taste auswählen:<br />
Testzusammenstellung Der Standardtestsatz, Standard, bietet e<strong>in</strong>en effizienten Test,<br />
der die meisten häufiger vorkommenden Arten von Speicherfehlern aufdeckt. Sie können<br />
die Testdauer verr<strong>in</strong>gern (damit werden aber auch weniger Fehlertypen erkannt), <strong>in</strong>dem<br />
Sie die E<strong>in</strong>stellung M<strong>in</strong>imal wählen. Mehr Fehlerarten werden erkannt (der Test dauert<br />
dann auch länger), wenn Sie Erweitert wählen.<br />
Cache Manche Tests verwenden den Cache, andere deaktivieren den Cache. Tests s<strong>in</strong>d<br />
so entworfen, dass sie den Cache verwenden oder deaktivieren, um Probleme mit unter-
524 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
schiedlichen Arbeitsspeicherkomponenten identifizieren zu können. Daher sollten Sie<br />
hier normalerweise die Standarde<strong>in</strong>stellung beibehalten.<br />
Durchlaufanzahl Dies ist die Zahl der Durchgänge. Sie können diesen Wert vergrößern,<br />
um e<strong>in</strong>en gründlicheren Test durchzuführen, bei dem sich die Wahrsche<strong>in</strong>lichkeit<br />
vergrößert, alle vorhandenen Probleme zu f<strong>in</strong>den. Je höher die Durchlaufanzahl, desto<br />
wahrsche<strong>in</strong>licher werden Sie Probleme f<strong>in</strong>den.<br />
Drücken Sie F10, wenn Sie die gewünschten E<strong>in</strong>stellungen konfiguriert haben, um Ihre<br />
Änderungen anzuwenden. Die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose startet daraufh<strong>in</strong> die Tests neu.<br />
So führen Sie e<strong>in</strong>e Behandlung von Laufwerksproblemen durch<br />
Laufwerksprobleme können unvorhersehbares Verhalten <strong>in</strong> <strong>W<strong>in</strong>dows</strong> hervorrufen. Erstens<br />
können Laufwerksprobleme beschädigte Dateien zur Folge haben, weil wichtige Systemdateien<br />
und Treiber auf Ihrer Festplatte gespeichert s<strong>in</strong>d. Zweitens können die Auslagerungsdatei<br />
oder temporäre Dateien durch Laufwerksprobleme beschädigt werden. Drittens<br />
kann zu ger<strong>in</strong>ger freier Festplattenplatz dazu führen, dass ke<strong>in</strong> Festplattenplatz für temporäre<br />
Dateien reserviert werden kann. All diese Problemarten können unvorhersehbares<br />
Verhalten auslösen. Daher sollte e<strong>in</strong> Schritt bei der Behandlung von Hardwareproblemen<br />
dar<strong>in</strong> bestehen, nach Laufwerksproblemen zu suchen und den verfügbaren Festplattenplatz<br />
zu vergrößern. Falls Sie e<strong>in</strong>e Festplatte mit nichtflüchtigem Cache haben, können Sie außerdem<br />
den Cache deaktivieren, um festzustellen, ob er die Probleme verursacht.<br />
Die folgenden Abschnitte enthalten Informationen über die Problembehandlung im Zusammenhang<br />
mit Laufwerken.<br />
So treffen Sie Vorbereitungen für den Fall, dass Datenträgerfehler auftreten<br />
Sie können mehrere Maßnahmen treffen, um sich selbst (und Ihre Computer) auf e<strong>in</strong>e Behandlung<br />
von Laufwerksproblemen vorzubereiten, bevor die Probleme tatsächlich auftreten.<br />
Machen Sie sich zuerst mit den Wiederherstellungs- und Problembehandlungswerkzeugen<br />
vertraut. Die Nutzung von Laufwerksredundanz verr<strong>in</strong>gert die Folgen von Hardwarefehlern.<br />
Datensicherung sorgt dafür, dass der Datenverlust ger<strong>in</strong>g bleibt, falls e<strong>in</strong> Fehler auftritt.<br />
Schützen Sie sich mit Antivirensoftware gegen böswillige Angriffe. Führen Sie e<strong>in</strong>e regelmäßige<br />
Wartung Ihrer Speichergeräte durch.<br />
Sie sollten sich selbst mit den Systemstartreparaturtools vertraut machen und e<strong>in</strong>e <strong>W<strong>in</strong>dows</strong><br />
7-DVD zur Hand haben, damit Sie die Tools auch dann starten können, wenn die Festplatten<br />
nicht verfügbar s<strong>in</strong>d. Weitere Informationen f<strong>in</strong>den Sie <strong>in</strong> Anhang C, »Konfiguration<br />
und Problembehandlung des Startvorgangs«.<br />
Führen Sie regelmäßig chkdsk /f /r aus, um Dateisystemprobleme, die wegen fehlerhafter<br />
Hardware, Stromausfällen oder Softwarefehlern gelegentlich auftauchen, gleich zu beseitigen.<br />
Planen Sie Zeiten e<strong>in</strong>, <strong>in</strong> denen Sie den Computer aus dem Produktivbetrieb nehmen,<br />
neu starten und Autochk ausführen können, um Probleme beim Start und mit den Systemvolumes<br />
zu beseitigen. Sehen Sie sich regelmäßig die Ausgaben von Chkdsk und das Ereignisprotokoll<br />
an, um Probleme zu erkennen, die Chkdsk nicht korrigieren kann.<br />
Speichern Sie bei Desktopcomputern wichtige, ständig aktualisierte Daten. Nutzen Sie<br />
Hardwarelaufwerksredundanz (RAID), damit die Computer auch weiterlaufen, falls e<strong>in</strong>e<br />
Festplatte ausfällt. Sorgen Sie dafür, dass Ersatzlaufwerke bereitliegen.
So führen Sie e<strong>in</strong>e Behandlung von Laufwerksproblemen durch 525<br />
Sichern Sie wichtige Dateien m<strong>in</strong>destens jede Nacht. Redundanz bedeutet nicht, dass Sie auf<br />
Datensicherung verzichten können. Selbst redundante Dateisysteme können Fehler aufweisen,<br />
und Laufwerksredundanz kann nicht verh<strong>in</strong>dern, dass Dateien von e<strong>in</strong>er Anwendung<br />
beschädigt werden. Sie müssen beschädigte Dateien aus e<strong>in</strong>er archivierten Datensicherung<br />
wiederherstellen, die angelegt wurde, bevor die Beschädigung e<strong>in</strong>trat.<br />
Viren, Spyware und andere Malware s<strong>in</strong>d e<strong>in</strong>e häufige Ursache für Laufwerks- und Dateisystemprobleme.<br />
Halten Sie sich an die folgenden Richtl<strong>in</strong>ien, um e<strong>in</strong>e Infektion der Computer<br />
durch Viren zu vermeiden:<br />
Installieren Sie e<strong>in</strong> Antivirenprogramm. Konfigurieren Sie es so, dass es automatisch<br />
aktualisierte Virensignaturen herunterlädt.<br />
Stellen Sie mit <strong>W<strong>in</strong>dows</strong> Update sicher, dass die Betriebssystemdateien auf dem neusten<br />
Stand bleiben.<br />
Halten Sie alle Anwendungen auf dem neusten Stand. Das gilt besonders für Webbrowser,<br />
die von Malware oft missbraucht werden, um unerwünschte Software zu <strong>in</strong>stallieren.<br />
<strong>W<strong>in</strong>dows</strong> Update verteilt Updates für Internet Explorer.<br />
Führen Sie niemals Skripts oder Anwendungen aus, die nicht vertrauenswürdig s<strong>in</strong>d.<br />
Verwenden Sie <strong>W<strong>in</strong>dows</strong> AppLocker, um zu verh<strong>in</strong>dern, dass Benutzer ungenehmigte<br />
Software ausführen.<br />
Fragmentierung führt zwar nicht zum Festplattenausfall, verursacht aber Leistungsprobleme.<br />
Um solche Leistungsprobleme zu vermeiden, sollten Sie e<strong>in</strong>e Aufgabe planen, die das Befehlszeilentool<br />
Defrag regelmäßig außerhalb der Arbeitszeiten ausführt. Speichern Sie die<br />
Ausgabe des Tools Defrag <strong>in</strong> e<strong>in</strong>er Textdatei und sehen Sie sich diese Textdatei regelmäßig<br />
an, um sicherzustellen, dass die Defragmentierung wie vorgesehen durchgeführt wird. Sie<br />
können die durch Fragmentierung verursachten Probleme noch weiter verr<strong>in</strong>gern, <strong>in</strong>dem Sie<br />
sicherstellen, dass auf allen Volumes m<strong>in</strong>destens 15 Prozent des Platzes frei s<strong>in</strong>d.<br />
So verwenden Sie Chkdsk<br />
Chkdsk (Chkdsk.exe) ist e<strong>in</strong> Befehlszeilentool, das Laufwerksvolumes auf Probleme untersucht<br />
und versucht, gefundene Fehler zu reparieren. Zum Beispiel kann Chkdsk Probleme<br />
reparieren, die durch fehlerhafte Sektoren, verlorene Cluster, querverbundene Dateien und<br />
Verzeichnisfehler verursacht werden. Laufwerksfehler s<strong>in</strong>d e<strong>in</strong>e häufige Ursache für schwierig<br />
zu isolierende Probleme, und Chkdsk sollte e<strong>in</strong>es der ersten Tools se<strong>in</strong>, das Sie bei der<br />
Problembehandlung e<strong>in</strong>setzen, die offenbar nicht durch kürzliche Systemänderungen verursacht<br />
werden. Sie müssen als Adm<strong>in</strong>istrator oder Mitglied der Adm<strong>in</strong>istratorengruppe angemeldet<br />
se<strong>in</strong>, um Chkdsk zu starten.<br />
Beachten Sie folgende Punkte, bevor Sie Chkdsk ausführen:<br />
Chkdsk benötigt exklusiven Zugriff auf e<strong>in</strong> Volume, während es läuft. Chkdsk zeigt<br />
unter Umständen e<strong>in</strong> Dialogfeld an, <strong>in</strong> dem Sie gefragt werden, ob Sie die Festplatte<br />
prüfen wollen, wenn Sie Ihren Computer das nächste Mal starten.<br />
Chkdsk braucht unter Umständen viel Zeit für se<strong>in</strong>e Prüfungen. Das hängt ab von der<br />
Zahl der Dateien und Ordner, der Größe des Volumes, der Festplattengeschw<strong>in</strong>digkeit<br />
und den verfügbaren Systemressourcen (zum Beispiel Prozessor und Arbeitsspeicher).
526 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
Wenn Chkdsk im schreibgeschützten Modus ausgeführt wird, kann es nicht immer<br />
präzise Informationen liefern.<br />
Beispiele für den Aufruf von Chkdsk<br />
Sie korrigieren Laufwerksfehler, <strong>in</strong>dem Sie e<strong>in</strong>e adm<strong>in</strong>istrative E<strong>in</strong>gabeaufforderung öffnen<br />
und den folgenden Befehl e<strong>in</strong>geben:<br />
chkdsk Laufwerksbuchstabe: /f /r<br />
Zum Beispiel prüft der folgende Befehl das Laufwerk C auf Fehler:<br />
chkdsk C: /f /r<br />
Falls Sie Chkdsk für e<strong>in</strong> großes Volume D ausführen und Chkdsk so schnell wie möglich<br />
fertig werden soll, können Sie diesen Befehl verwenden:<br />
chkdsk D: /f /c /i<br />
Syntax von Chkdsk<br />
Die Befehlszeilensyntax für Chkdsk ist folgendermaßen def<strong>in</strong>iert:<br />
chkdsk [Volume[[Pfad] Date<strong>in</strong>ame]] [/f] [/v] [/r] [/x] [/i] [/c] [/b] [/l[:Größe]]<br />
Tabelle D.4 listet alle Befehlszeilenparameter von Chkdsk auf.<br />
Tabelle D.4 Parameter von Chkdsk<br />
Parameter Beschreibung<br />
Volume Gibt das Volume an, das Chkdsk prüfen soll. Sie können das Volume <strong>in</strong> verschiedenen<br />
Formaten angeben, die <strong>in</strong> den folgenden Beispielen gezeigt werden:<br />
Verwenden Sie diese Schreibweise, damit Chkdsk das Volume C prüft:<br />
c:<br />
Verwenden Sie diese Schreibweise, damit Chkdsk e<strong>in</strong> bereitgestelltes Volume namens<br />
Daten prüft, das auf dem Volume C bereitgestellt wird:<br />
c:\Daten<br />
Verwenden Sie diese Schreibweise, damit Chkdsk e<strong>in</strong> Volume prüft, das durch den<br />
symbolischen L<strong>in</strong>k angegeben wird:<br />
\\?\Volume{109d05a2-6914-11d7-a037-806e6f6e6963}\<br />
Sie können den symbolischen L<strong>in</strong>k für e<strong>in</strong> Volume mit dem Befehl Mountvol ermitteln.<br />
Pfad Nur für FAT/FAT32. Gibt die Position e<strong>in</strong>er Datei oder e<strong>in</strong>er Gruppe von Dateien<br />
<strong>in</strong>nerhalb der Ordnerstruktur des Volumes an.<br />
Date<strong>in</strong>ame Nur für FAT/FAT32. Gibt die Datei oder e<strong>in</strong>e Gruppe von Dateien an, die auf Fragmentierung<br />
geprüft werden sollen. Platzhalterzeichen (* und ?) s<strong>in</strong>d erlaubt.<br />
/f Korrigiert Fehler auf dem Laufwerk. Das Volume muss gesperrt se<strong>in</strong>. Falls Chkdsk das<br />
Volume nicht sperren kann, bietet es an, die Prüfung durchzuführen, wenn der Computer<br />
das nächste Mal gestartet wird.<br />
/v Für FAT/FAT32: Zeigt den vollständigen Pfad und Namen für jede Datei auf dem Laufwerk<br />
an. Für NTFS: Zeigt zusätzliche Informationen oder Meldungen über Korrekturen<br />
an (sofern vorgenommen).
Parameter Beschreibung<br />
So führen Sie e<strong>in</strong>e Behandlung von Laufwerksproblemen durch 527<br />
/r Sucht nach fehlerhaften Sektoren und stellt noch lesbare Daten wieder her (impliziert /f).<br />
Falls Chkdsk das Volume nicht sperren kann, bietet es an, die Prüfung durchzuführen,<br />
wenn der Computer das nächste Mal gestartet wird.<br />
Weil NTFS fehlerhafte Sektoren während des normalen Betriebs identifiziert und neu<br />
zuordnet, ist es normalerweise nicht nötig, den Parameter /r zu verwenden, außer Sie<br />
vermuten, dass e<strong>in</strong> Laufwerk fehlerhafte Sektoren hat.<br />
/x Erzw<strong>in</strong>gt es, die Bereitstellung des Volumes aufzuheben (sofern nötig). Alle offenen<br />
Handles für das Volume s<strong>in</strong>d dann ungültig (impliziert /f). Dieser Parameter funktioniert<br />
nicht auf dem Startvolume. Sie müssen den Computer neu starten, um die Bereitstellung<br />
des Startvolumes aufzuheben (unmount).<br />
/i Nur für NTFS. Führt e<strong>in</strong>e oberflächlichere Prüfung der Indexe<strong>in</strong>träge durch, sodass<br />
Chkdsk schneller fertig ist.<br />
/c Nur für NTFS. Überspr<strong>in</strong>gt die Prüfung nach R<strong>in</strong>gabhängigkeiten <strong>in</strong>nerhalb der<br />
Ordnerstruktur, sodass Chkdsk schneller fertig ist.<br />
/l:Größe Nur für NTFS. Ändert die Größe der Protokolldatei auf den angegebenen Wert (<strong>in</strong> der<br />
E<strong>in</strong>heit KByte). Zeigt die aktuelle Größe an, falls Sie ke<strong>in</strong>e neue Größe angeben.<br />
Falls das System durch Stromausfall abgeschaltet wird, nicht mehr reagiert oder unerwartet<br />
neu gestartet wird, führt NTFS e<strong>in</strong>en Wiederherstellungsprozess durch, wenn<br />
<strong>W<strong>in</strong>dows</strong> 7 neu gestartet wird. Dabei wird auf die Informationen zugegriffen, die <strong>in</strong><br />
dieser Protokolldatei gespeichert s<strong>in</strong>d. Die Größe der Protokolldatei hängt von der Größe<br />
des Volumes ab. In den meisten Fällen brauchen Sie die Größe der Protokolldatei nicht<br />
zu ändern. Falls allerd<strong>in</strong>gs die Zahl der Änderungen am Volume so groß ist, dass NTFS<br />
das Protokoll füllt, bevor alle Metadaten auf das Laufwerk geschrieben wurden, muss<br />
NTFS die Metadaten sofort auf das Laufwerk schreiben, damit wieder Platz im Protokoll<br />
frei wird. Wenn diese Bed<strong>in</strong>gung auftritt, bemerken Sie unter Umständen, dass <strong>W<strong>in</strong>dows</strong><br />
7 für 5 Sekunden oder länger nicht reagiert. Indem Sie die Protokolldatei vergrößern,<br />
können Sie diese Verzögerung verh<strong>in</strong>dern, die auftritt, weil die Metadaten auf die<br />
Festplatte geschrieben werden.<br />
/b Nur für NTFS. Prüft die als fehlerhaft markierten Cluster auf dem Volume erneut. Das ist<br />
normalerweise nicht nötig, Sie können damit aber unter Umständen verlorene Kapazität<br />
auf e<strong>in</strong>er Festplatte zurückgew<strong>in</strong>nen, die viele fehlerhafte Cluster hat. Diese Cluster<br />
könnten allerd<strong>in</strong>gs <strong>in</strong> Zukunft erneut Probleme verursachen, sodass sich die Zuverlässigkeit<br />
verschlechtert.<br />
/? Zeigt e<strong>in</strong>e Liste mit den Parametern von Chkdsk an.<br />
So verwenden Sie die grafische Benutzeroberfläche von Chkdsk<br />
Neben der Befehlszeilenversion von Chkdsk können Sie Chkdsk auch aus dem Fenster<br />
Arbeitsplatz oder dem <strong>W<strong>in</strong>dows</strong>-Explorer heraus starten.<br />
1. Klicken Sie im Startmenü auf Computer.<br />
2. Klicken Sie mit der rechten Maustaste auf das Volume, das Sie prüfen wollen, und<br />
wählen Sie den Befehl Eigenschaften.<br />
3. Klicken Sie auf die Registerkarte Tools und dann auf die Schaltfläche Jetzt prüfen.<br />
4. Sie haben folgende Möglichkeiten:<br />
a. Sie können Chkdsk im schreibgeschützten Modus starten, <strong>in</strong>dem Sie alle Kontrollkästchen<br />
deaktivieren und dann auf Starten klicken.
528 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
b. Sie können Fehler reparieren, ohne das Volume auf fehlerhafte Sektoren zu untersuchen,<br />
<strong>in</strong>dem Sie das Kontrollkästchen Dateisystemfehler automatisch korrigieren<br />
aktivieren und dann auf Starten klicken.<br />
c. Sie können Fehler reparieren, nach fehlerhaften Sektoren suchen und lesbare Informationen<br />
wiederherstellen, <strong>in</strong>dem Sie die Kontrollkästchen Dateisystemfehler automatisch<br />
korrigieren und Fehlerhafte Sektoren suchen/wiederherstellen aktivieren<br />
und dann auf Starten klicken.<br />
Chkdsk wird sofort ausgeführt, falls das Volume gerade nicht benutzt wird. Anschließend<br />
zeigt es die Ergebnisse <strong>in</strong> e<strong>in</strong>em Dialogfeld an. Falls das Volume benutzt wird, bietet Chkdsk<br />
an, die Prüfung vorzunehmen, wenn der Computer das nächste Mal gestartet wird.<br />
So stellen Sie fest, ob die Ausführung von Chkdsk geplant ist<br />
Falls <strong>W<strong>in</strong>dows</strong> Probleme mit e<strong>in</strong>em Volume feststellt, kann es Chkdsk auch so konfigurieren,<br />
dass es beim Start automatisch ausgeführt wird. Wenn <strong>W<strong>in</strong>dows</strong> entscheidet, dass e<strong>in</strong> Volume<br />
überprüft werden muss, wird es als »dirty« (schmutzig) markiert. Sie können feststellen, ob<br />
e<strong>in</strong> Volume als dirty markiert ist, <strong>in</strong>dem Sie <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung folgenden Befehl<br />
ausführen:<br />
chkntfs volume:<br />
Zum Beispiel können Sie mit dem folgenden Befehl prüfen, ob das Laufwerk C als dirty<br />
markiert ist:<br />
chkntfs C:<br />
Sie können mit dem Tool Chkntfs auch verh<strong>in</strong>dern, dass e<strong>in</strong> als dirty markiertes Volume<br />
beim Start geprüft wird. Das ist nützlich, falls Sie die zeitaufwendige Ausführung von<br />
Chkdsk vermeiden wollen und beim Start des Computers nicht anwesend s<strong>in</strong>d, um Chkdsk<br />
zu überspr<strong>in</strong>gen. Weitere Informationen erhalten Sie, <strong>in</strong>dem Sie folgenden Befehl <strong>in</strong> e<strong>in</strong>er<br />
E<strong>in</strong>gabeaufforderung ausführen:<br />
chkntfs /?<br />
Der Ablauf von Chkdsk auf NTFS-Volumes<br />
Wenn Sie Chkdsk für NTFS-Volumes ausführen, besteht der Ablauf aus drei Hauptphasen<br />
und zwei optionalen Phasen. Chkdsk zeigt se<strong>in</strong>en Fortschritt <strong>in</strong> jeder Phase mit folgenden<br />
Meldungen an:<br />
CHKDSK überprüft Dateien (Phase 1 von 5)...<br />
Dateiüberprüfung beendet.<br />
CHKDSK überprüft Indizes (Phase 2 von 5)...<br />
Indexüberprüfung beendet.<br />
CHKDSK überprüft Sicherheitsbeschreibungen (Phase 3 von 5)...<br />
Überprüfung der Sicherheitsbeschreibungen beendet.<br />
CHKDSK überprüft Dateidaten (Phase 4 von 5)...<br />
Dateidatenüberprüfung beendet.<br />
CHKDSK überprüft freien Speicherplatz (Phase 5 von 5)...<br />
Verifizierung freien Speicherplatzes ist beendet.<br />
Die folgende Liste beschreibt diese Chkdsk-Phasen genauer.
So führen Sie e<strong>in</strong>e Behandlung von Laufwerksproblemen durch 529<br />
Phase 1: Chkdsk überprüft jedes Datensatzsegment <strong>in</strong> der Masterdateitabelle<br />
In Phase 1 untersucht Chkdsk jedes Datensatzsegment (file record segment) <strong>in</strong> der Masterdateitabelle<br />
(Master File Table, MFT) des Volumes. Auf e<strong>in</strong>em NTFS-Volume werden jede<br />
Datei und jedes Verzeichnis e<strong>in</strong>deutig durch e<strong>in</strong> bestimmtes Datensatzsegment <strong>in</strong> der MFT<br />
identifiziert. Die Meldung »XX Prozent abgeschlossen«, die Chkdsk während dieser Phase<br />
anzeigt, ist der Prozentsatz der MFT, der überprüft wurde.<br />
Die Prozentzahl wächst <strong>in</strong> dieser Phase relativ kont<strong>in</strong>uierlich an, es können allerd<strong>in</strong>gs auch<br />
e<strong>in</strong>ige Sprünge auftreten. Zum Beispiel wird für Datensatzsegmente, die nicht benutzt werden,<br />
weniger Zeit benötigt als für benutzte. Und die Verarbeitung größerer Sicherheitsbeschreibungen<br />
erfordert mehr Zeit als die von kle<strong>in</strong>eren. Insgesamt ist der Wert <strong>in</strong> der<br />
Meldung »XX Prozent abgeschlossen« e<strong>in</strong> recht präziser Anhaltspunkt für die tatsächlich<br />
benötigte Zeit während dieser Phase.<br />
Phase 2: Chkdsk prüft die Verzeichnisse auf dem Volume<br />
In Phase 2 untersucht Chkdsk alle Indizes (Verzeichnisse) auf dem Volume auf <strong>in</strong>terne Konsistenz<br />
und überprüft, ob auf alle Dateien und Verzeichnisse, für die e<strong>in</strong> Datensatzsegment <strong>in</strong><br />
der MFT e<strong>in</strong>getragen ist, <strong>in</strong> m<strong>in</strong>destens e<strong>in</strong>em Verzeichnis verwiesen wird. Chkdsk überprüft<br />
auch, ob jede Datei oder jedes Unterverzeichnis, auf das <strong>in</strong> e<strong>in</strong>em Verzeichnis verwiesen<br />
wird, wirklich als gültiges Datensatzsegment <strong>in</strong> der MFT e<strong>in</strong>getragen ist. Und es prüft auf<br />
R<strong>in</strong>gverweise bei Verzeichnissen. Chkdsk prüft dann, ob die Daten zu Zeitstempel und<br />
Dateigröße für die Dateien <strong>in</strong> der Verzeichnisauflistung für diese Dateien auf dem neusten<br />
Stand s<strong>in</strong>d.<br />
Die Meldung »XX Prozent abgeschlossen«, die Chkdsk während dieser Phase anzeigt, gibt<br />
an, wie viel Prozent der Gesamtzahl der Dateien auf dem Volume bereits geprüft wurden.<br />
Bei Volumes mit vielen Tausenden Dateien und Ordnern kann es e<strong>in</strong>ige Zeit dauern, bis<br />
diese Phase abgeschlossen ist.<br />
Die Dauer von Phase 2 variiert, weil unterschiedlich viel Zeit erforderlich ist, um e<strong>in</strong> Verzeichnis<br />
zu verarbeiten. Das hängt davon ab, wie viele Dateien oder Unterverzeichnisse das<br />
jeweilige Verzeichnis enthält. Wegen dieser Abhängigkeit kann es se<strong>in</strong>, dass sich der Wert <strong>in</strong><br />
der Meldung »XX Prozent abgeschlossen« während Phase 2 nicht laufend verändert. Aber<br />
selbst bei großen Verzeichnissen steigt der Wert langsam an. Daher ist der Wert <strong>in</strong> »XX<br />
Prozent abgeschlossen« ke<strong>in</strong> zuverlässiger Anhaltspunkt dafür, wie lange diese Phase noch<br />
dauert.<br />
Phase 3: Chkdsk überprüft die Sicherheitsbeschreibungen für jedes Volume<br />
In Phase 3 untersucht Chkdsk alle Sicherheitsbeschreibungen, die mit den Dateien und Verzeichnissen<br />
auf dem Volume verknüpft s<strong>in</strong>d. Dabei prüft es, ob jede Sicherheitsbeschreibungsstruktur<br />
unbeschädigt und <strong>in</strong>tern konsistent ist. Der Wert <strong>in</strong> »XX Prozent abgeschlossen«,<br />
den Chkdsk während dieser Phase anzeigt, gibt an, welcher Prozentsatz der Dateien<br />
und Verzeichnisse auf dem Volume geprüft wurde.<br />
Die Werte <strong>in</strong> der Meldung »XX Prozent abgeschlossen« wachsen <strong>in</strong> dieser Phase relativ<br />
kont<strong>in</strong>uierlich an, es können allerd<strong>in</strong>gs auch e<strong>in</strong>ige Sprünge auftreten.<br />
Phase 4: Chkdsk überprüft Dateidaten<br />
In Phase 4 (die optional ist) überprüft Chkdsk alle benutzten Cluster. Chkdsk führt die<br />
Phasen 4 und 5 durch, falls Sie beim Aufruf den Parameter /r angeben. Wenn der Parameter
530 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
/r angegeben ist, wird geprüft, ob die Sektoren <strong>in</strong> jedem Cluster benutzbar s<strong>in</strong>d. Normalerweise<br />
ist es nicht erforderlich, den Parameter /r anzugeben, weil NTFS fehlerhafte Sektoren<br />
bereits im normalen Betrieb identifiziert und neu zuordnet, aber Sie können den Parameter<br />
/r angeben, falls Sie vermuten, dass das Laufwerk fehlerhafte Sektoren enthält.<br />
Der Wert <strong>in</strong> der Meldung »XX Prozent abgeschlossen«, den Chkdsk <strong>in</strong> Phase 4 anzeigt, gibt<br />
an, wie viel Prozent der Cluster geprüft wurden. Die Prüfung benutzter Cluster erfordert im<br />
Allgeme<strong>in</strong>en mehr Zeit als die unbenutzter Cluster, daher dauert Phase 4 länger als Phase 5,<br />
wenn auf e<strong>in</strong>em Volume etwa die Hälfte der Cluster benutzt wird. Bei e<strong>in</strong>em Volume, auf<br />
dem die meisten Cluster unbenutzt s<strong>in</strong>d, dauert Phase 5 länger als Phase 4.<br />
Phase 5: Chkdsk überprüft den freien Speicherplatz<br />
In Phase 5 (die optional ist) prüft Chkdsk die unbenutzten Cluster. Chkdsk führt Phase 5 nur<br />
aus, falls Sie beim Aufruf den Parameter /r angeben. Der Wert <strong>in</strong> der Meldung »XX Prozent<br />
abgeschlossen«, den Chkdsk <strong>in</strong> Phase 5 anzeigt, gibt an, wie viel Prozent der unbenutzten<br />
Cluster geprüft wurden.<br />
So verwenden Sie den Datenträgerbere<strong>in</strong>igungs-Assistenten<br />
Mit der Datenträgerbere<strong>in</strong>igung (Cleanmgr.exe) können Sie unbenötigte Dateien löschen<br />
und selten benötigte Dateien komprimieren. Dieses Tool ist <strong>in</strong> erster L<strong>in</strong>ie nützlich, wenn<br />
Sie Probleme beseitigen wollen, die auf e<strong>in</strong>e Knappheit an freiem Festplattenplatz zurückzuführen<br />
s<strong>in</strong>d. Knapper Festplattenplatz kann viele Probleme verursachen, von Abbruchfehlern<br />
bis Dateibeschädigungen. Sie haben folgende Möglichkeiten, um den freien Speicherplatz<br />
zu vergrößern:<br />
Verschieben Sie Dateien auf e<strong>in</strong> anderes Volume oder archivieren Sie sie auf Sicherungsmedien.<br />
Komprimieren Sie Dateien oder Datenträger, damit weniger Platz zum Speichern der<br />
Daten benötigt wird.<br />
Löschen Sie nicht mehr benötigte Dateien.<br />
Gehen Sie folgendermaßen vor, um die Datenträgerbere<strong>in</strong>igung auszuführen:<br />
1. Klicken Sie im Startmenü auf Computer.<br />
2. Klicken Sie mit der rechten Maustaste auf das Laufwerk, das Sie bere<strong>in</strong>igen wollen, und<br />
wählen Sie den Befehl Eigenschaften. Klicken Sie auf der Registerkarte Allgeme<strong>in</strong> im<br />
Eigenschaftendialogfeld auf Bere<strong>in</strong>igen.<br />
3. Klicken Sie entweder auf Nur eigene Dateien oder auf Dateien von allen Benutzern des<br />
Computers.<br />
4. Wählen Sie auf der Registerkarte Datenträgerbere<strong>in</strong>igung aus, welche Dateien gelöscht<br />
werden sollen, und klicken Sie dann auf OK.<br />
So deaktivieren Sie den permanenten Cache<br />
<strong>W<strong>in</strong>dows</strong> Vista war das erste <strong>W<strong>in</strong>dows</strong>-Betriebssystem, das die Zwischenspeicherung von<br />
Festplattendaten auf permanentem (non-volatile) Cache auf Festplatten unterstützt, die den<br />
dafür erforderlichen Cache e<strong>in</strong>gebaut haben. <strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7 können den<br />
Cache e<strong>in</strong>setzen, um den Start zu beschleunigen, die Leistung von häufig geänderten Systemdaten<br />
zu verbessern und die Auslastung zu verr<strong>in</strong>gern. In seltenen Fällen kann e<strong>in</strong> Defekt im
So führen Sie e<strong>in</strong>e Behandlung von Treiberproblemen durch 531<br />
permanenten Cache Probleme verursachen. Um die Möglichkeit auszuschalten, dass permanenter<br />
Cache Probleme verursacht, können Sie unterschiedliche Cachefunktionen deaktivieren.<br />
Verwenden Sie dazu die folgenden Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen (im Knoten Computerkonfiguration\Adm<strong>in</strong>istrative<br />
Vorlagen\System\Permanenter Festplattencache):<br />
Start- und Fortsetzungsoptimierung deaktivieren Aktivieren Sie diese Richtl<strong>in</strong>ie,<br />
wenn Sie verh<strong>in</strong>dern wollen, dass <strong>W<strong>in</strong>dows</strong> den permanenten Cache nutzt, um den Start<br />
zu beschleunigen.<br />
Cache-Energiesparmodus deaktivieren Aktivieren Sie diese Richtl<strong>in</strong>ie, wenn Sie<br />
verh<strong>in</strong>dern wollen, dass <strong>W<strong>in</strong>dows</strong> Festplatten <strong>in</strong> e<strong>in</strong>en Cache-Energiesparmodus schaltet,<br />
bei dem die Festplatte angehalten wird, während der permanente Cache benutzt wird.<br />
Permanenten Cache deaktivieren Aktivieren Sie diese Richtl<strong>in</strong>ie, wenn Sie die<br />
Nutzung des permanenten Cache völlig unterb<strong>in</strong>den wollen.<br />
Solid-State-Modus deaktivieren Aktivieren Sie diese Richtl<strong>in</strong>ie, wenn Sie verh<strong>in</strong>dern<br />
wollen, dass häufig geschriebene Dateien, zum Beispiel die Systemmetadaten und die<br />
Registrierung, im permanenten Cache gespeichert werden.<br />
So führen Sie e<strong>in</strong>e Behandlung von Treiberproblemen durch<br />
Treiber s<strong>in</strong>d Softwarekomponenten, die <strong>W<strong>in</strong>dows</strong> benutzt, um mit Hardwaregeräten zu<br />
kommunizieren. <strong>W<strong>in</strong>dows</strong> hat normalerweise Dutzende von Treibern gleichzeitig aktiv, um<br />
mit Grafikkarte, Festplatten, Soundkarte, USB-Geräten und anderen Geräten zu kommunizieren.<br />
Ohne e<strong>in</strong>en Treiber kann Hardware nicht richtig funktionieren. Es kann aber auch zu<br />
Problemen mit der Hardware führen, falls e<strong>in</strong> Treiber veraltet oder unzuverlässig ist.<br />
Die folgenden Abschnitte beschreiben, wie Sie mit Treibern arbeiten, um Hardwareprobleme<br />
zu beseitigen.<br />
So f<strong>in</strong>den Sie Treiberupdates<br />
Microsoft oder Hardwareanbieter veröffentlichen gelegentlich aktualisierte Treiber, um die<br />
Hardwareleistung und die Zuverlässigkeit zu verbessern. Viele Updates stehen direkt <strong>in</strong><br />
<strong>W<strong>in</strong>dows</strong> Update zur Verfügung. Gehen Sie folgendermaßen vor, um alle verfügbaren<br />
Updates für e<strong>in</strong>en Computer zu f<strong>in</strong>den:<br />
1. Klicken Sie im Startmenü auf Alle Programme und dann auf <strong>W<strong>in</strong>dows</strong> Update.<br />
2. Klicken Sie auf Nach Updates suchen, falls der L<strong>in</strong>k verfügbar ist.<br />
3. Falls <strong>W<strong>in</strong>dows</strong> Update irgendwelche optionalen Updates anzeigt, können Sie auf Verfügbare<br />
Updates anzeigen klicken.<br />
4. Sofern Treiberupdates verfügbar s<strong>in</strong>d, zeigt <strong>W<strong>in</strong>dows</strong> sie an. Aktivieren Sie das entsprechende<br />
Kontrollkästchen und klicken Sie dann auf Installieren.<br />
5. <strong>W<strong>in</strong>dows</strong> Update lädt alle ausgewählten Updates herunter, legt e<strong>in</strong>en Systemwiederherstellungspunkt<br />
an und <strong>in</strong>stalliert dann die Updates.<br />
Viele Hardwarehersteller stellen Benutzern aktualisierte Treiber direkt zur Verfügung, bevor<br />
sie <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Update zur Verfügung stehen. Prüfen Sie auf den Websites der Hersteller, ob<br />
aktualisierte Treiber zur Verfügung stehen.
532 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
So verwenden Sie die Treiberüberprüfung<br />
<strong>W<strong>in</strong>dows</strong> 7 (und alle <strong>W<strong>in</strong>dows</strong>-Versionen seit Microsoft <strong>W<strong>in</strong>dows</strong> 2000) enthalten die Treiberüberprüfung<br />
(Verifier.exe). Sie können die Treiberüberprüfung entweder mit e<strong>in</strong>er grafischen<br />
Oberfläche oder über die Befehlszeile ausführen. Sie können die Befehlszeilenversion<br />
starten, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den Befehl verifier.exe ausführen.<br />
Wenn Sie die grafische Version ausführen wollen, können Sie im Startmenü den Befehl<br />
Verifier.exe e<strong>in</strong>geben und dann die EINGABETASTE drücken.<br />
Die Treiberüberprüfung ist nützlich, um problematische Treiber zu isolieren, die dafür verantwortlich<br />
s<strong>in</strong>d, dass <strong>W<strong>in</strong>dows</strong>-Computer gelegentlich abstürzen. Sie können <strong>W<strong>in</strong>dows</strong> mit<br />
diesem Tool so konfigurieren, dass es potenziell problematische Treiber aktiv testet. Sobald<br />
die Treiberüberprüfung für e<strong>in</strong>en Treiber konfiguriert worden ist, belastet <strong>W<strong>in</strong>dows</strong> diesen<br />
Treiber während des normalen Betriebs besonders stark, <strong>in</strong>dem es Bed<strong>in</strong>gungen simuliert,<br />
die durch knappen Arbeitsspeicher und die Verifizierung der E<strong>in</strong>-/Ausgabe (E/A) entstehen.<br />
Wenn Sie die Treiberüberprüfung für e<strong>in</strong>en problematischen Treiber aktivieren, ist die Wahrsche<strong>in</strong>lichkeit<br />
recht hoch, dass dadurch e<strong>in</strong> Abbruchfehler ausgelöst wird, der den Treiber<br />
identifiziert.<br />
Sie können mit dem Treiberüberprüfungs-Manager e<strong>in</strong>e Problembehandlung im Zusammenhang<br />
mit e<strong>in</strong>em Treiber durchführen, <strong>in</strong>dem Sie die Treiberüberprüfung für alle Treiber aktivieren,<br />
die eventuell für die Probleme verantwortlich se<strong>in</strong> könnten. Starten Sie dann das<br />
System neu und warten Sie. Die Treiberüberprüfung erfolgt im H<strong>in</strong>tergrund, während das<br />
System se<strong>in</strong>e normalen Aufgaben erledigt. Daher produziert sie nicht unbed<strong>in</strong>gt sofort Ergebnisse.<br />
Falls e<strong>in</strong> überprüfter Treiber e<strong>in</strong>e falsche Antwort zurückgibt, löst die Treiberüberprüfung<br />
e<strong>in</strong>en Abbruchfehler aus. Falls nach mehreren Tagen ke<strong>in</strong> Abbruchfehler aufgetreten<br />
ist, s<strong>in</strong>d die überprüften Treiber möglicherweise nicht die Ursache für das Problem, das Sie<br />
beseitigen wollen. Wenn Sie den Problembehandlungsprozess abgeschlossen haben, sollten<br />
Sie im Treiberüberprüfungs-Manager die E<strong>in</strong>stellungen löschen und die Treiberüberprüfung<br />
deaktivieren.<br />
H<strong>in</strong>weis Setzen Sie die Treiberüberprüfung nur auf Nicht-Produktivsystemen e<strong>in</strong>, um e<strong>in</strong>en<br />
problematischen Treiber zu identifizieren. Wenn Sie die Treiberüberprüfung verwenden,<br />
steigt die Wahrsche<strong>in</strong>lichkeit, dass e<strong>in</strong> Abbruchfehler auftritt und die Systemleistung langsamer<br />
wird, stark an.<br />
Gehen Sie folgendermaßen vor, um nichtsignierte Treiber zu überprüfen:<br />
1. Geben Sie im Suchfeld des Startmenüs den Befehl verifier e<strong>in</strong> und drücken Sie die<br />
EINGABETASTE.<br />
2. Klicken Sie auf Standarde<strong>in</strong>stellungen erstellen und dann auf Weiter.<br />
3. Klicken Sie auf Nicht signierte Treiber automatisch wählen und dann auf Weiter.<br />
Wie <strong>in</strong> Abbildung D.7 gezeigt, f<strong>in</strong>det der Treiberüberprüfungs-Manager nichtsignierte<br />
Treiber, aktiviert die Überprüfung dieser Treiber und zeigt dann die Liste der nichtsignierten<br />
Treiber an.<br />
4. Klicken Sie auf Fertig stellen.<br />
5. Klicken Sie auf OK und starten Sie den Computer neu.
So führen Sie e<strong>in</strong>e Behandlung von Treiberproblemen durch 533<br />
Abbildung D.7 Der Treiberüberprüfungs-Manager kann Ihnen helfen,<br />
problematische Treiber zu identifizieren<br />
Gehen Sie folgendermaßen vor, um alle Treiber zu überprüfen:<br />
1. Geben Sie im Suchfeld des Startmenüs den Befehl verifier e<strong>in</strong> und drücken Sie die<br />
EINGABETASTE.<br />
2. Klicken Sie auf Standarde<strong>in</strong>stellungen erstellen und dann auf Weiter.<br />
3. Klicken Sie auf Alle auf diesem Computer <strong>in</strong>stallierten Treiber automatisch wählen und<br />
dann auf Fertig stellen.<br />
4. Klicken Sie auf OK und starten Sie den Computer neu.<br />
Gehen Sie folgendermaßen vor, um die Treiberüberprüfung zu deaktivieren:<br />
1. Geben Sie im Suchfeld des Startmenüs den Befehl verifier e<strong>in</strong> und drücken Sie die<br />
EINGABETASTE.<br />
2. Klicken Sie auf Vorhandene E<strong>in</strong>stellungen löschen und dann auf Fertig stellen.<br />
3. Klicken Sie auf Ja.<br />
4. Klicken Sie auf OK und starten Sie den Computer neu.<br />
So verwenden Sie die Dateisignaturverifizierung<br />
Die Dateisignaturverifizierung (Sigverif.exe) erkennt signierte Dateien. Sie haben damit<br />
folgende Möglichkeiten:<br />
Anzeigen der Zertifikate für signierte Dateien, um sicherzustellen, dass die Datei nicht<br />
manipuliert wurde, nachdem sie zertifiziert wurde.<br />
Suchen nach signierten Dateien.<br />
Suchen nach unsignierten Dateien.
534 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
H<strong>in</strong>weis Unsignierte oder veränderte Treiber können auf x64-basierten <strong>W<strong>in</strong>dows</strong>-Versionen<br />
nicht <strong>in</strong>stalliert werden.<br />
Die Treibersignierung ist e<strong>in</strong> mehrphasiger Prozess, bei dem Gerätetreiber verifiziert werden.<br />
Damit e<strong>in</strong> Treiber diese Zertifizierung erhalten kann, muss er e<strong>in</strong>e Reihe von Kompatibilitätstests<br />
bestehen, die <strong>in</strong> den <strong>W<strong>in</strong>dows</strong> Hardware Quality Labs (WHQL) durchgeführt werden.<br />
Wegen der strengen WHQL-Standards führt die Verwendung signierter Treiber normalerweise<br />
zu e<strong>in</strong>em stabileren System. Wenn Sie e<strong>in</strong>e Fehlerbehebung für e<strong>in</strong> Problem durchführen,<br />
das unter Umständen durch e<strong>in</strong>en Treiber verursacht wird, können Sie versuchen,<br />
unsignierte Treiber zu entfernen, um die Möglichkeit auszuschließen, dass der unsignierte<br />
Treiber das Problem verursacht. Die meisten unsignierten Treiber verursachen zwar ke<strong>in</strong>e<br />
Probleme, aber sie wurden nicht von Microsoft überprüft und bergen daher e<strong>in</strong> höheres<br />
Risiko, dass damit Probleme auftreten, als bei signierten Treibern. Microsoft versieht Treiber,<br />
die die WHQL-Tests bestehen, mit e<strong>in</strong>er digitalen Signatur, und <strong>W<strong>in</strong>dows</strong> überprüft die<br />
Signatur, zum Beispiel für folgende Gerätekategorien:<br />
Tastaturen<br />
Festplattencontroller<br />
Modems<br />
Mausgeräte<br />
Multimediageräte<br />
Netzwerkkarten<br />
Drucker<br />
SCSI-Adapter<br />
Smartcardlesegeräte<br />
Grafikkarten<br />
E<strong>in</strong>e digitale Signatur von Microsoft zeigt an, dass e<strong>in</strong>e Treiberdatei e<strong>in</strong>e unveränderte<br />
Orig<strong>in</strong>alsystemdatei ist, die Microsoft für die Benutzung <strong>in</strong> <strong>W<strong>in</strong>dows</strong> freigegeben hat.<br />
<strong>W<strong>in</strong>dows</strong> kann Benutzer warnen oder daran h<strong>in</strong>dern, unsignierte Treiber zu <strong>in</strong>stallieren.<br />
Falls e<strong>in</strong> Treiber nicht digital signiert ist, bekommt der Benutzer e<strong>in</strong>e Meldung, die er<br />
bestätigen muss, um fortfahren zu können. Microsoft signiert alle Treiber, die <strong>in</strong> <strong>W<strong>in</strong>dows</strong><br />
enthalten s<strong>in</strong>d oder mit <strong>W<strong>in</strong>dows</strong> Update verteilt werden. Wenn Sie aktualisierte Treiber von<br />
der Webseite e<strong>in</strong>es Herstellers herunterladen, sollten Sie immer Treiber wählen, die von<br />
Microsoft signiert wurden.<br />
Die folgenden Tools s<strong>in</strong>d nützlich für die Behebung von Problemen, die durch unsignierte<br />
Dateien verursacht werden:<br />
Dateisignaturverifizierung<br />
Geräte-Manager<br />
Treiberüberprüfungs-Manager<br />
Gehen Sie folgendermaßen vor, um unsignierte Treiber zu identifizieren:<br />
1. Geben Sie im Suchfeld des Startmenüs den Befehl sigverif e<strong>in</strong> und drücken Sie die<br />
EINGABETASTE.
So verwenden Sie die Systemwiederherstellung 535<br />
2. Klicken Sie im Fenster Dateisignaturverifizierung auf Starten.<br />
3. Nach e<strong>in</strong>igen M<strong>in</strong>uten listet die Seite Resultate der Signaturverifizierung die unsignierten<br />
Treiber auf. Unsignierte Treiber können durchaus zuverlässig se<strong>in</strong>, aber sie wurden<br />
nicht denselben Testprozeduren ausgesetzt wie signierte Treiber. Falls Sie Zuverlässigkeitsprobleme<br />
haben, sollten Sie die unsignierten Treiber durch signierte Versionen von<br />
Microsoft ersetzen.<br />
4. Klicken Sie auf Schließen, um zum Fenster Dateisignaturverifizierung zurückzukehren.<br />
5. Klicken Sie erneut auf Schließen.<br />
So können Sie mit dem Geräte-Manager die Ressourcennutzung anzeigen<br />
und ändern<br />
Bei der Installation neuer Hardware oder bei Treiberupdates können Konflikte entstehen, die<br />
dazu führen, dass auf Geräte nicht mehr zugegriffen werden kann. Sie können mit dem Geräte-Manager<br />
überprüfen, welche Ressourcen diese Geräte benutzen, um Konflikte von Hand<br />
zu identifizieren. Normalerweise sollten Sie allerd<strong>in</strong>gs <strong>W<strong>in</strong>dows</strong> die Ressourcen automatisch<br />
zuweisen lassen. Bei moderner Hardware gibt es praktisch nie e<strong>in</strong>en Grund, die Ressourcennutzung<br />
von Hand zu ändern. Letztlich verursacht das wahrsche<strong>in</strong>lich mehr Probleme,<br />
als es löst.<br />
Gehen Sie folgendermaßen vor, um im Geräte-Manager (Devmgmt.msc) Informationen zur<br />
Nutzung von Systemressourcen anzusehen und zu ändern:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und dann auf Verwalten.<br />
2. Klicken Sie auf Geräte-Manager und dann doppelt auf e<strong>in</strong> Gerät.<br />
3. Klicken Sie auf die Registerkarte Ressourcen, um sich anzusehen, welche Ressourcen<br />
dieses Gerät benutzt.<br />
4. Klicken Sie auf e<strong>in</strong>e Ressource und deaktivieren Sie das Kontrollkästchen Automatisch<br />
konfigurieren.<br />
5. Klicken Sie auf E<strong>in</strong>stellung ändern und geben Sie an, welche Ressourcen dem Gerät<br />
zugewiesen s<strong>in</strong>d.<br />
So verwenden Sie die Systemwiederherstellung<br />
Die Systemwiederherstellung zeichnet regelmäßig Systeme<strong>in</strong>stellungen auf, sodass Sie sie<br />
später wiederherstellen können, falls e<strong>in</strong> Problem auftritt. Den Computer mithilfe der<br />
Systemwiederherstellung <strong>in</strong> e<strong>in</strong>en früheren Zustand zurückzusetzen, sollte allerd<strong>in</strong>gs e<strong>in</strong>er<br />
der letzten Problembehandlungsschritte se<strong>in</strong>, weil das Probleme mit vor Kurzem <strong>in</strong>stallierten<br />
Anwendungen und Hardwaregeräten verursachen kann.<br />
Sie können die Systemwiederherstellung entweder aus den Systemstartreparaturtools oder<br />
direkt <strong>in</strong> <strong>W<strong>in</strong>dows</strong> starten. Wie Sie die Systemwiederherstellung aus den Systemstartreparaturtools<br />
heraus verwenden (das ist nur nötig, falls <strong>W<strong>in</strong>dows</strong> nicht startet), erfahren Sie <strong>in</strong><br />
Anhang C, »Konfiguration und Problembehandlung des Startvorgangs«. Gehen Sie folgendermaßen<br />
vor, um die Systemwiederherstellung <strong>in</strong> <strong>W<strong>in</strong>dows</strong> auszuführen:
536 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
1. Klicken Sie im Startmenü auf Alle Programme, dann Zubehör, Systemprogramme und<br />
schließlich auf Systemwiederherstellung. Der Systemwiederherstellungs-Assistent wird<br />
geöffnet.<br />
2. Falls Sie den Systemwiederherstellungs-Assistenten zum ersten Mal ausführen, können<br />
Sie auf Weiter klicken, um den Standardwiederherstellungspunkt zu übernehmen. Spr<strong>in</strong>gen<br />
Sie dann zu Schritt 4.<br />
3. Falls Sie die Systemwiederherstellung schon vorher e<strong>in</strong>mal ausgeführt haben, das Problem<br />
dadurch aber nicht beseitigt wurde, können Sie Anderen Wiederherstellungspunkt<br />
auswählen anklicken und dann auf Weiter klicken.<br />
4. Wählen Sie auf der Seite Wiederherstellung des Computerzustands zum angegebenen<br />
Zeitpunkt den letzten Wiederherstellungspunkt aus, bei dem der Computer noch e<strong>in</strong>wandfrei<br />
funktioniert hat. Klicken Sie auf Weiter.<br />
5. Klicken Sie auf der Seite Wiederherstellungspunkt bestätigen auf Fertig stellen. Klicken<br />
Sie auf Ja, wenn e<strong>in</strong>e Sicherheitsabfrage ersche<strong>in</strong>t.<br />
6. Die Systemwiederherstellung startet Ihren Computer neu. Sobald der Neustart abgeschlossen<br />
ist, zeigt die Systemwiederherstellung e<strong>in</strong>en Dialog an, um zu bestätigen, dass<br />
die Wiederherstellung erfolgreich war. Klicken Sie auf Schließen.<br />
Falls die Systemwiederherstellung Ihr Problem nicht beseitigt, haben Sie zwei Möglichkeiten:<br />
Machen Sie die Systemwiederherstellung rückgängig Das Problem wird unter<br />
Umständen gar nicht durch Änderungen an Ihrem Computer verursacht, sondern durch<br />
e<strong>in</strong>en Hardwarefehler. Daher beseitigt die Systemwiederherstellung Ihr Problem unter<br />
Umständen nicht. Weil Sie beim Wiederherstellen e<strong>in</strong>es früheren Zustands des Computers<br />
möglicherweise wichtige Änderungen an Ihrer Systemkonfiguration löschen,<br />
sollten Sie alle Wiederherstellungen rückgängig machen, die Ihr Problem nicht beseitigen.<br />
Sie können e<strong>in</strong>e Systemwiederherstellung rückgängig machen, <strong>in</strong>dem Sie e<strong>in</strong>fach<br />
die Systemwiederherstellung erneut starten (wie <strong>in</strong> diesem Abschnitt beschrieben) und<br />
die Standarde<strong>in</strong>stellungen wählen.<br />
Wiederherstellen e<strong>in</strong>es älteren Wiederherstellungspunkts Ihr Problem wird unter<br />
Umständen durch kürzliche Änderungen an Ihrem Computer verursacht, aber die verantwortlichen<br />
Änderungen fanden vor dem letzten Systemwiederherstellungspunkt statt.<br />
Daher könnte es se<strong>in</strong>, dass das Problem dadurch beseitigt wird, dass Sie e<strong>in</strong>en älteren<br />
Wiederherstellungspunkt wählen. Wiederholen Sie die <strong>in</strong> diesem Abschnitt beschriebenen<br />
Schritte, um e<strong>in</strong>en älteren Wiederherstellungspunkt wiederherzustellen.<br />
So führen Sie e<strong>in</strong>e Behandlung von USB-Problemen durch<br />
Externe Geräte werden heutzutage meist über USB an den Computer angeschlossen. USB<br />
bietet Erweiterbarkeit ohne die Komplexität, die beim Anschluss <strong>in</strong>terner Geräte wie PCI-<br />
Karten auftritt. Das Anschließen von USB-Geräten ist so e<strong>in</strong>fach, dass die meisten Endbenutzer<br />
USB-Geräte ohne Hilfe des <strong>Support</strong>centers anschließen und konfigurieren können<br />
(sofern sie ausreichende Privilegien haben). Allerd<strong>in</strong>gs kommt es vor, dass Benutzer gelegentlich<br />
Probleme mit USB-Geräten haben. Die folgenden Abschnitte bieten e<strong>in</strong>en Leitfaden<br />
für die Behandlung von USB-Problemen.
So führen Sie e<strong>in</strong>e Behandlung von USB-Problemen durch 537<br />
So beseitigen Sie Probleme mit USB-Treibern und -Hardware<br />
Gehen Sie folgendermaßen vor, um aufgetretene Probleme zu beseitigen:<br />
1. Starten Sie den Computer neu. Manchmal erfordert Software, dass der Computer neu<br />
gestartet wird, bevor sie richtig funktioniert. Bei e<strong>in</strong>em Neustart des Computers wird<br />
<strong>W<strong>in</strong>dows</strong> 7 außerdem auch gezwungen, die USB-Hardware erneut zu erkennen.<br />
2. Installieren Sie aktualisierte Treibersoftware, sofern sie zur Verfügung steht. Prüfen Sie<br />
<strong>in</strong> <strong>W<strong>in</strong>dows</strong> Update und auf der Website des Hardwareherstellers, ob Updates verfügbar<br />
s<strong>in</strong>d.<br />
3. De<strong>in</strong>stallieren Sie Treiber und Software des Geräts, trennen Sie das USB-Gerät vom<br />
Computer, starten Sie den Computer neu und folgen Sie dann den Anleitungen des Herstellers,<br />
um die Software neu zu <strong>in</strong>stallieren. Viele USB-Geräte erfordern e<strong>in</strong>en Treiber.<br />
Normalerweise sollte der Treiber <strong>in</strong>stalliert se<strong>in</strong>, bevor das USB-Gerät angeschlossen<br />
wird. Falls Probleme mit e<strong>in</strong>em USB-Gerät auftreten, ist die Ursache wahrsche<strong>in</strong>lich e<strong>in</strong><br />
Treiberproblem. Informationen darüber, wie Sie e<strong>in</strong>e Behandlung des Treiberproblems<br />
durchführen, f<strong>in</strong>den Sie im Abschnitt »So führen Sie e<strong>in</strong>e Behandlung von Treiberproblemen<br />
durch« weiter oben <strong>in</strong> diesem Anhang. Externe Speichergeräte, zum Beispiel<br />
USB-Flashlaufwerke und externe Festplattenlaufwerke, benötigen normalerweise ke<strong>in</strong>e<br />
Treiber, weil die erforderliche Software direkt <strong>in</strong> <strong>W<strong>in</strong>dows</strong> e<strong>in</strong>gebaut ist.<br />
4. Trennen Sie die Verb<strong>in</strong>dung zum USB-Gerät und schließen Sie es an e<strong>in</strong>em anderen<br />
USB-Anschluss an. Das kann dazu führen, dass <strong>W<strong>in</strong>dows</strong> das Gerät als neu erkennt und<br />
die erforderlichen Treiber <strong>in</strong>stalliert. Außerdem werden dadurch Probleme mit e<strong>in</strong>em<br />
bestimmten USB-Anschluss beseitigt, zum Beispiel e<strong>in</strong> defekter Anschluss oder zu hohe<br />
Leistungsanforderungen.<br />
5. Ersetzen Sie das USB-Kabel durch e<strong>in</strong> neues Kabel oder e<strong>in</strong> anderes, von dem Sie<br />
wissen, dass es <strong>in</strong> Ordnung ist.<br />
Beschränkungen bei USB<br />
Auch wenn Sie die Software des USB-Geräts richtig <strong>in</strong>stalliert haben und die aktuellste<br />
Treiberversion verwenden, können noch Probleme auftreten. Sie werden unter Umständen<br />
durch die Hardwarebeschränkungen von USB verursacht. Unter anderem können folgende<br />
Beschränkungen Probleme verursachen:<br />
Zu schwache Stromversorgung Viele USB-Geräte beziehen ihren Strom über den<br />
USB-Anschluss. Wenn zu viele Geräte, die ke<strong>in</strong> eigenes Netzteil haben, an e<strong>in</strong>en USB-<br />
Hub angeschlossen werden, kann das zu e<strong>in</strong>er Überlastung führen, die bewirkt, dass e<strong>in</strong><br />
USB-Gerät nicht mehr richtig reagiert. Das passiert häufig, wenn e<strong>in</strong> externer USB-Hub<br />
ohne eigenes Netzteil verwendet wird. Sie können schnell feststellen, ob e<strong>in</strong> Problem mit<br />
der Stromversorgung zu tun hat, <strong>in</strong>dem Sie die anderen USB-Geräte abziehen und nache<strong>in</strong>ander<br />
jedes USB-Gerät direkt an den Computer anschließen. Falls Geräte funktionieren,<br />
während sie e<strong>in</strong>zeln angeschlossen s<strong>in</strong>d, aber nicht mehr, wenn sie gleichzeitig angeschlossen<br />
s<strong>in</strong>d, ist das Problem wahrsche<strong>in</strong>lich bei der Stromversorgung zu suchen.<br />
Verr<strong>in</strong>gern Sie die Zahl der Geräte oder fügen Sie e<strong>in</strong>en USB-Hub mit eigener Stromversorgung<br />
h<strong>in</strong>zu.<br />
Zu lange Kabel USB-Geräte dürfen maximal 5 Meter von dem USB-Hub entfernt<br />
se<strong>in</strong>, an den sie angeschlossen s<strong>in</strong>d. USB-Geräte werden zwar nie mit Kabeln geliefert,
538 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
die länger als 5 Meter s<strong>in</strong>d, aber manche Benutzer verketten USB-Verlängerungen, sodass<br />
längere Leitungen entstehen können. Abhängig von der Qualität des Kabels und<br />
von möglichen Störquellen können auch schon bei kürzeren Strecken Probleme auftreten.<br />
Sie können feststellen, ob die Länge die Ursache der Probleme ist, <strong>in</strong>dem Sie alle USB-<br />
Verlängerungen entfernen und das USB-Gerät direkt an den Computer anschließen.<br />
Zu viele Geräte USB kann maximal 127 Geräte unterstützen, die an e<strong>in</strong>en e<strong>in</strong>zigen<br />
USB-Hostcontroller angeschlossen se<strong>in</strong> dürfen. Das ist <strong>in</strong> den allermeisten Fällen für<br />
Clientcomputer mehr als ausreichend. Sie können maximal sieben Ebenen mit USB-Hubs<br />
an den USB-Hostcontroller des Computers anschließen, und es s<strong>in</strong>d maximal fünf externe<br />
Hubs erlaubt.<br />
Ungenügende Bandbreite Die meisten USB-Geräte wurden so entworfen, dass sie<br />
<strong>in</strong>nerhalb der Bandbreitenbeschränkungen arbeiten, die USB setzt. Insbesondere bei<br />
Videokameras kann es aber se<strong>in</strong>, dass sie mehr Bandbreite benötigen, als USB zur Verfügung<br />
stellen kann. Falls Sie die Meldung »Bandbreite überschritten« erhalten, sollten<br />
Sie erst versuchen, andere USB-Geräte zu entfernen. Falls die Meldung weiterh<strong>in</strong> ersche<strong>in</strong>t,<br />
können Sie versuchen, die vom Gerät benötigte Bandbreite zu verr<strong>in</strong>gern, <strong>in</strong>dem<br />
Sie die Auflösung der Kamera verr<strong>in</strong>gern. Bei e<strong>in</strong>er Videokamera erzielen Sie die besten<br />
Ergebnisse, wenn Sie sie an e<strong>in</strong>en IEEE 1394-Anschluss (auch als Firewire oder iL<strong>in</strong>k<br />
bezeichnet) anschließen.<br />
H<strong>in</strong>weis Falls Sie die Meldung »Hochgeschw<strong>in</strong>digkeits-USB-Gerät ist an Nicht-Hochgeschw<strong>in</strong>digkeits-USB-Hub<br />
angeschlossen« erhalten, unterstützt das USB-Gerät den Standard<br />
USB 2.0, aber der USB-Anschluss ist e<strong>in</strong>e ältere Version. Das Gerät funktioniert wahrsche<strong>in</strong>lich,<br />
ist aber langsam. Sie können die Leistung verbessern, <strong>in</strong>dem Sie e<strong>in</strong>en USB 2.0-Port <strong>in</strong><br />
den Computer e<strong>in</strong>bauen.<br />
So identifizieren Sie USB-Probleme <strong>in</strong> der Leistungsüberwachung<br />
Falls Sie vermuten, dass e<strong>in</strong> Problem mit USB-Bandbreite oder -Leistung besteht, können<br />
Sie das Problem mithilfe der Leistungsüberwachung identifizieren:<br />
1. Falls das Problem, das Sie identifizieren wollen, dann auftritt, wenn e<strong>in</strong> USB-Gerät aktiv<br />
benutzt wird, müssen Sie das USB-Gerät, für das Sie e<strong>in</strong>e Problembehandlung durchführen<br />
wollen, anschließen und e<strong>in</strong>schalten. Falls das Problem auftritt, wenn Sie das<br />
USB-Gerät neu anstecken, dürfen Sie das Gerät nicht anschließen, bevor Sie die Protokollierung<br />
gestartet haben.<br />
2. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und dann auf Verwalten.<br />
3. Erweitern Sie System, Zuverlässigkeit und Leistung, Überwachungstools und klicken Sie<br />
dann auf Leistungsüberwachung.<br />
4. Klicken Sie <strong>in</strong> der Symbolleiste der Leistungsüberwachung auf die grüne Schaltfläche<br />
H<strong>in</strong>zufügen.<br />
5. Erweitern Sie im Dialog Leistungs<strong>in</strong>dikatoren h<strong>in</strong>zufügen im Feld Verfügbare Leistungs<strong>in</strong>dikatoren<br />
den Knoten USB. Falls Sie e<strong>in</strong>e Problembehandlung wegen e<strong>in</strong>es nicht funktionierenden<br />
USB-Geräts durchführen, sollten Sie die folgenden Indikatoren für die<br />
Instanz h<strong>in</strong>zufügen:
ISO-Paket Fehler/s<br />
So führen Sie e<strong>in</strong>e Behandlung von USB-Problemen durch 539<br />
Übertragung Fehler/s<br />
Falls Sie e<strong>in</strong>e Problembehandlung wegen e<strong>in</strong>es USB-Leistungsproblems durchführen,<br />
sollten Sie die folgenden Indikatoren für die Instanz h<strong>in</strong>zufügen:<br />
Massenvorgang Bytes/s<br />
Durchschnitt Bytes/Übertragung<br />
6. Klicken Sie auf OK, um die Indikatoren zur Leistungsüberwachung h<strong>in</strong>zuzufügen.<br />
Die Leistungsüberwachung beg<strong>in</strong>nt jetzt, Daten über Ihre USB-Geräte und -Verb<strong>in</strong>dungen<br />
zu sammeln. Versuchen Sie, das Problem zu reproduzieren (kopieren Sie zum Beispiel e<strong>in</strong>e<br />
Datei auf e<strong>in</strong>e USB-Festplatte oder schließen Sie e<strong>in</strong>e Videokamera an). Falls Sie e<strong>in</strong>e Behandlung<br />
wegen Leistungsproblemen durchführen, können Sie sofort mit der rechten Maustaste<br />
<strong>in</strong> die Leistungsüberwachungsanzeige klicken und den Befehl Löschen wählen, sobald<br />
Sie beg<strong>in</strong>nen, das Gerät zu benutzen. So stellen Sie sicher, dass die Indikatoren nur Daten<br />
enthalten, die während Ihres Tests aufgezeichnet wurden. Je länger Sie den Test laufen<br />
lassen, desto präzisere Ergebnisse liefert er. Sie sollten die Leistungsüberwachung anhalten,<br />
sobald Ihr Test beendet ist.<br />
Sobald Sie das Problem reproduziert haben, können Sie die Leistungsüberwachung anhalten,<br />
<strong>in</strong>dem Sie die Schaltfläche Anzeige fixieren <strong>in</strong> der Symbolleiste anklicken oder die Tastenkomb<strong>in</strong>ation<br />
STRG+F drücken. Weil Sie Leistungs<strong>in</strong>dikatoren für alle Instanzen h<strong>in</strong>zugefügt<br />
haben, bekommen Sie wahrsche<strong>in</strong>lich e<strong>in</strong>e große Zahl von Indikatoren. Sie können die e<strong>in</strong>zelnen<br />
Indikatoren durchsuchen, um die Ursache für Ihre Probleme zu identifizieren, <strong>in</strong>dem<br />
Sie STRG+H drücken, um den Markierungsmodus zu aktivieren.<br />
Klicken Sie jetzt auf den ersten Leistungs<strong>in</strong>dikator <strong>in</strong> der Liste. Sobald Sie e<strong>in</strong>en Leistungs<strong>in</strong>dikator<br />
ausgewählt haben, wird die Kurve, die zu diesem Leistungs<strong>in</strong>dikator gehört, fett<br />
hervorgehoben. Sehen Sie sich die Werte für diesen Leistungs<strong>in</strong>dikator an. Falls der Leistungs<strong>in</strong>dikator<br />
e<strong>in</strong>en Fehler zeigt, können Sie sich notieren, welcher USB-Controller und<br />
welches USB-Gerät das Problem verursachen. Drücken Sie die NACH UNTEN-Taste auf<br />
Ihrer Tastatur, um den nächsten Leistungs<strong>in</strong>dikator auszuwählen, und setzen Sie die Analyse<br />
der USB-Leistungswerte fort.<br />
Unter normalen Bed<strong>in</strong>gungen sollten eigentlich ke<strong>in</strong>e USB-Fehler auftreten. <strong>W<strong>in</strong>dows</strong> 7<br />
kann aber nach vielen USB-Fehlern e<strong>in</strong>en konsistenten Zustand wiederherstellen, ohne dass<br />
der Benutzer das überhaupt bemerkt. Sobald Sie die Ursache der USB-Probleme identifiziert<br />
haben, sollten Sie weiter vorgehen, wie im Abschnitt »So beseitigen Sie Probleme mit USB-<br />
Treibern und -Hardware« weiter oben <strong>in</strong> diesem Anhang beschrieben.<br />
Falls Sie e<strong>in</strong>e Behandlung von USB-Leistungsproblemen durchführen, sollten Sie die Indikatoren<br />
»Massenvorgang Bytes/s« untersuchen, um festzustellen, welche Instanz zu dem Gerät<br />
gehört, das Sie benutzen. Wählen Sie dann den entsprechenden Leistungs<strong>in</strong>dikator aus und<br />
notieren Sie sich den Durchschnittswert. Theoretisch kann USB 2.0 maximal 60.000.000<br />
Byte/s übertragen. Dieses theoretische Maximum wird allerd<strong>in</strong>gs niemals erreicht. In der<br />
Praxis können Sie davon ausgehen, dass Sie die Hälfte davon erreichen. USB-Speichergeräte<br />
s<strong>in</strong>d oft viel langsamer, und die Leistung hängt von der Geschw<strong>in</strong>digkeit des Geräts selbst<br />
ab. USB-Festplatten erreichen normalerweise Durchschnittswerte unter 10.000.000 Byte/s,<br />
können aber Spitzenwerte von über 20.000.000 Byte/s erreichen. Auch variiert die Leistung<br />
von Festplatten abhängig davon, welcher Abschnitt der Festplatte beschrieben oder gelesen
540 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
wird, wie groß die Dateien s<strong>in</strong>d, auf die zugegriffen wird, und wie stark die Festplatte fragmentiert<br />
ist.<br />
So untersuchen Sie USB-Hubs<br />
Wenn Sie e<strong>in</strong> USB-Gerät an e<strong>in</strong>en Computer anschließen, s<strong>in</strong>d daran mehrere Ebenen<br />
beteiligt:<br />
E<strong>in</strong> USB-Hostcontroller, der direkt mit Ihrem Computer verbunden ist USB-<br />
Hostcontroller s<strong>in</strong>d oft <strong>in</strong> das Motherboard des Computers <strong>in</strong>tegriert, Sie können sie aber<br />
auch mit e<strong>in</strong>em <strong>in</strong>ternen Adapter oder e<strong>in</strong>er PC Card nachrüsten. Falls der Name des<br />
Controllers das Wort »Enhanced« enthält, unterstützt er USB 2.0.<br />
E<strong>in</strong> USB-Root-Hub, der direkt an den USB-Hostcontroller angeschlossen ist<br />
Normalerweise s<strong>in</strong>d USB-Root-Hubs <strong>in</strong> das Gerät e<strong>in</strong>gebaut, das auch den USB-Hostcontroller<br />
enthält, also das Motherboard Ihres Computers oder e<strong>in</strong>e Adapterkarte.<br />
Optional können weitere USB-Hubs an den USB-Root-Hub angeschlossen se<strong>in</strong>, um<br />
zusätzliche USB-Anschlüsse bereitzustellen USB-Hubs können externe Geräte se<strong>in</strong>,<br />
die Sie e<strong>in</strong>stecken, <strong>in</strong>terne Geräte <strong>in</strong>nerhalb e<strong>in</strong>es Computers oder <strong>in</strong> e<strong>in</strong>e Dock<strong>in</strong>gstation<br />
e<strong>in</strong>gebaute Geräte.<br />
Sie können die USB-Controller und -Hubs <strong>in</strong> e<strong>in</strong>em Computer mit dem Gerätemanager<br />
untersuchen, um festzustellen, wie viel Strom sie zur Verfügung stellen und wie viel Strom<br />
die angeschlossenen Geräte beanspruchen. Das kann Ihnen helfen, die Ursache e<strong>in</strong>es USB-<br />
Problems zu identifizieren. Gehen Sie folgendermaßen vor, um USB-Geräte zu untersuchen:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und dann auf Verwalten.<br />
2. Klicken Sie <strong>in</strong> der Computerverwaltungskonsole auf Geräte-Manager (unter System).<br />
3. Erweitern Sie im rechten Fensterabschnitt den Knoten USB-Controller.<br />
Abbildung D.8 Die Eigenschaften e<strong>in</strong>es USB-Root-Hubs zeigen an,<br />
wie viel Strom verfügbar ist und verbraucht wird
So führen Sie e<strong>in</strong>e Behandlung von Bluetooth-Problemen durch 541<br />
4. Klicken Sie mit der rechten Maustaste auf e<strong>in</strong>en USB-Root-Hub (es kann mehrere geben)<br />
und wählen Sie den Befehl Eigenschaften.<br />
5. Klicken Sie auf die Registerkarte Stromversorgung (Abbildung D.8). Diese Registerkarte<br />
zeigt an, wie viel Strom der Hub liefern kann und wie viel Strom die e<strong>in</strong>zelnen Geräte<br />
verbrauchen. Sie können die Anforderungen e<strong>in</strong>es bestimmten Geräts ermitteln, <strong>in</strong>dem<br />
Sie alle Geräte entfernen und dann die Geräte e<strong>in</strong>zeln wieder anschließen.<br />
So führen Sie e<strong>in</strong>e Behandlung von Bluetooth-Problemen durch<br />
Bluetooth ist e<strong>in</strong> Drahtlosprotokoll zum Anschließen von Zubehörgeräten an Computer.<br />
Bluetooth wird häufig benutzt, um Tastaturen, Mäuse, Organizergeräte, Mobiltelefone und<br />
GPS-Empfänger (Global Position<strong>in</strong>g System) anzuschließen.<br />
Bluetooth ist so e<strong>in</strong>fach zu konfigurieren, dass die meisten Benutzer Bluetooth-Geräte ohne<br />
die Hilfe des <strong>Support</strong>centers anschließen können. Gelegentlich treten allerd<strong>in</strong>gs Probleme<br />
auf, wenn Benutzer versuchen, e<strong>in</strong>e Bluetooth-Verb<strong>in</strong>dung herzustellen. Es kann auch passieren,<br />
dass e<strong>in</strong>e Verb<strong>in</strong>dung, die vorher funktioniert hat, ohne sichtbaren Grund nicht mehr<br />
funktioniert.<br />
Falls Sie e<strong>in</strong> Bluetooth-Gerät nicht erfolgreich anschließen können, sollten Sie folgendermaßen<br />
vorgehen:<br />
1. Überprüfen Sie, ob das Gerät angeschaltet ist und die Batterien voll s<strong>in</strong>d.<br />
2. Br<strong>in</strong>gen Sie das Gerät ca. 1 Meter an Ihren Computer heran (aber nicht zu nah an Ihren<br />
Bluetooth-Adapter). Stellen Sie außerdem sicher, dass ke<strong>in</strong>e anderen Geräte <strong>in</strong> der Nähe<br />
dieselben Funkfrequenzen verwenden, zum Beispiel Mikrowellenherde, Funktelefone,<br />
Fernbedienungen oder 802.11-Drahtlosnetzwerke.<br />
3. Überprüfen Sie, ob bei dem Gerät Bluetooth aktiviert ist und es als erkennbar (discoverable)<br />
konfiguriert ist. Aus Sicherheitsgründen s<strong>in</strong>d viele Geräte <strong>in</strong> der Standarde<strong>in</strong>stellung<br />
nicht erkennbar. Weitere Informationen f<strong>in</strong>den Sie <strong>in</strong> der Anleitung zum jeweiligen Gerät.<br />
4. Installieren Sie alle Updates, die <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Update verfügbar s<strong>in</strong>d.<br />
5. Laden Sie aktualisierte Software und Treiber für Ihre Hardware herunter und <strong>in</strong>stallieren<br />
Sie sie. Hardwarehersteller geben oft aktualisierte Software für Hardwarekomponenten<br />
heraus, wenn die Hardware bereits auf dem Markt ist. Normalerweise können Sie Softwareupdates<br />
von der Website des Herstellers herunterladen.<br />
6. Überprüfen Sie, ob <strong>W<strong>in</strong>dows</strong> so konfiguriert ist, dass es e<strong>in</strong>gehende Bluetooth-Verb<strong>in</strong>dungen<br />
annimmt.<br />
7. Überprüfen Sie, ob die Sicherheit richtig konfiguriert ist. Unter Umständen haben Sie<br />
e<strong>in</strong>en nicht standardmäßigen Kenncode für das Gerät konfiguriert. In der Standarde<strong>in</strong>stellung<br />
verwenden viele Geräte den Kenncode 0000 oder 0001.<br />
8. Entfernen Sie das Bluetooth-Gerät und <strong>in</strong>stallieren Sie es neu.
542 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
Tools für die Problembehandlung<br />
DiskView<br />
Handle<br />
Die folgenden Abschnitte beschreiben kostenlose Microsoft-Tools, die für die erweiterte<br />
Problembehandlung nützlich s<strong>in</strong>d.<br />
DiskView zeigt, wie Dateien auf Ihrer Festplatte angeordnet s<strong>in</strong>d, sodass Sie feststellen<br />
können, wo e<strong>in</strong>e bestimmte Datei gespeichert ist. Speichern Sie die ausführbare Datei von<br />
DiskView <strong>in</strong> e<strong>in</strong>em Ordner, aus dem Dateien gestartet werden dürfen, etwa <strong>in</strong> C:\Program<br />
Files\. E<strong>in</strong> Ordner für temporäre Dateien eignet sich ausdrücklich nicht für diesen Zweck.<br />
Klicken Sie mit der rechten Maustaste auf DiskView.exe und wählen Sie im Kontextmenü<br />
den Befehl Als Adm<strong>in</strong>istrator ausführen. Wählen Sie <strong>in</strong> der Liste der Volumes das Volume<br />
aus, das Sie analysieren wollen, und klicken Sie auf Refresh, um die Anzeige zu aktualisieren.<br />
DiskView ist nun mehrere M<strong>in</strong>uten damit beschäftigt, den Inhalt des Datenträgers zu<br />
analysieren.<br />
Wie <strong>in</strong> Abbildung D.9 zu sehen, zeigt das Hauptfenster an, wie die Dateien über e<strong>in</strong>en Abschnitt<br />
Ihres Datenträgers verteilt s<strong>in</strong>d. Unter dem Hauptfenster wird die Verteilung für den<br />
gesamten Datenträger angezeigt. Die schwarze Markierung zeigt, welcher Ausschnitt des<br />
Datenträgers im Hauptfenster dargestellt wird.<br />
Abbildung D.9 DiskView zeigt die Anordnung der Dateien auf Ihrem Datenträger<br />
Wenn Sie im Hauptfenster auf e<strong>in</strong>e Datei klicken, wird der Name dieser Datei im Feld Highlight<br />
angezeigt. E<strong>in</strong>e bestimmte Datei können Sie sich ansehen, <strong>in</strong>dem Sie auf die Schaltfläche<br />
mit den drei Punkten klicken und die gewünschte Datei auswählen. Sie können Disk-<br />
View unter http://technet.microsoft.com/sys<strong>in</strong>ternals/bb896650.aspx herunterladen.<br />
Mit Handle stellen Sie fest, welcher Prozess e<strong>in</strong>e Datei oder e<strong>in</strong>en Ordner geöffnet hat.<br />
Handle ist immer dann nützlich, wenn Sie e<strong>in</strong>e Datei oder e<strong>in</strong>en Ordner aktualisieren oder<br />
löschen wollen, aber der Zugriff darauf verweigert wird, weil das Objekt benutzt wird.
Tools für die Problembehandlung 543<br />
Speichern Sie die ausführbare Datei von Handle <strong>in</strong> e<strong>in</strong>em Ordner, aus dem Dateien gestartet<br />
werden dürfen, etwa <strong>in</strong> C:\Program Files\. E<strong>in</strong> Ordner für temporäre Dateien eignet sich<br />
ausdrücklich nicht für diesen Zweck. Öffnen Sie nun e<strong>in</strong>e adm<strong>in</strong>istrative E<strong>in</strong>gabeaufforderung<br />
und wechseln Sie <strong>in</strong> den Ordner, <strong>in</strong> dem Sie die ausführbare Datei von Handle abgelegt<br />
haben.<br />
Wenn Sie Handle ohne Argumente aufrufen, werden alle offenen Handles angezeigt. Welcher<br />
Prozess e<strong>in</strong>e bestimmte Datei oder e<strong>in</strong>en Ordner geöffnet hat, f<strong>in</strong>den Sie heraus, <strong>in</strong>dem Sie<br />
Handle e<strong>in</strong>en Teil des Date<strong>in</strong>amens übergeben. Ist beispielsweise die Musikdatei Amanda.<br />
wma gesperrt, stellen Sie fest, welcher Prozess diese Datei geöffnet hat, <strong>in</strong>dem Sie den folgenden<br />
Befehl ausführen:<br />
handle amanda<br />
Die folgende Ausgabe zeigt, dass der <strong>W<strong>in</strong>dows</strong> Media Player (Wmplayer.exe) diese Datei<br />
gesperrt hat.<br />
Handle v3.3<br />
Copyright (C) 1997-2007 Mark Russ<strong>in</strong>ovich<br />
Sys<strong>in</strong>ternals - www.sys<strong>in</strong>ternals.com<br />
wmplayer.exe pid: 3236 2C0: C:\Users\Public\Music\Sample Music\Amanda.wma<br />
Weil die Ausgabe den Namen und die ID des Prozesses (Process Identifier, PID) enthält,<br />
können Sie nun im Task-Manager den Prozess beenden, sodass der Zugriff auf die gesperrte<br />
Datei möglich wird. Sie können Handle unter http://technet.microsoft.com/de-de/sys<strong>in</strong>ternals/<br />
bb896655.aspx herunterladen.<br />
Process Monitor<br />
Process Monitor (Prozessmonitor) ist e<strong>in</strong> äußerst leistungsfähiges Problembehandlungstool,<br />
das die Datei- und Registrierungszugriffe durch e<strong>in</strong>e Anwendung überwacht. Mit Process<br />
Monitor können Sie genau verfolgen, was e<strong>in</strong>e Anwendung tut. Auf diese Weise ist es möglich<br />
zu ermitteln, auf welche Ressourcen e<strong>in</strong>e Anwendung Zugriff braucht. Tritt <strong>in</strong> e<strong>in</strong>er Anwendung<br />
e<strong>in</strong> Fehler auf, weil e<strong>in</strong>e Ressource nicht verfügbar ist oder der Zugriff verweigert<br />
wird, können Sie mit Process Monitor feststellen, um welche Ressource es sich handelt. Anhand<br />
dieser Informationen gel<strong>in</strong>gt es dann oft, das Problem zu beseitigen.<br />
Speichern Sie die ausführbare Datei von Process Monitor <strong>in</strong> e<strong>in</strong>em Ordner, aus dem Dateien<br />
gestartet werden dürfen, etwa <strong>in</strong> C:\Program Files\. E<strong>in</strong> Ordner für temporäre Dateien eignet<br />
sich ausdrücklich nicht für diesen Zweck. Klicken Sie mit der rechten Maustaste auf Proc-<br />
Mon.exe und wählen Sie im Kontextmenü den Befehl Als Adm<strong>in</strong>istrator ausführen.<br />
Nach dem Start beg<strong>in</strong>nt Process Monitor sofort damit, Ereignisse aufzuzeichnen. Sie beenden<br />
die Aufzeichnung von Ereignissen oder starten sie neu, <strong>in</strong>dem Sie die Tastenkomb<strong>in</strong>ation<br />
STRG+E drücken oder im Menü File den Befehl Capture Events wählen.<br />
Sie verwenden Process Monitor für die Problembehandlung, <strong>in</strong>dem Sie die Ereignisaufzeichnung<br />
aktivieren und dann die Anwendung ausführen, die Sie untersuchen möchten. Führen<br />
Sie die Aktionen durch, die Sie analysieren wollen, und beenden Sie die Ereignisaufzeichnung<br />
wieder.<br />
Process Monitor zeigt alle Datenträger- und Dateizugriffe an, die durchgeführt wurden, während<br />
die Aufzeichnung lief (Abbildung D.10). Die Ereignisse für e<strong>in</strong>en bestimmten Prozess
544 Anhang D: Problembehandlung für Hardware, Treiber und Laufwerke<br />
bekommen Sie angezeigt, <strong>in</strong>dem Sie mit der rechten Maustaste auf irgende<strong>in</strong> Ereignis klicken,<br />
das dieser Prozess generiert hat, und den Befehl Include wählen. Process Monitor filtert nun<br />
das angezeigte Ereignis, sodass nur Ereignisse sichtbar s<strong>in</strong>d, die vom ausgewählten Prozess<br />
generiert wurden. Komplexere Filter können Sie über das Menü Filter zusammenstellen.<br />
Abbildung D.10 Process Monitor zeigt alle Datei- und Registrierungszugriffe<br />
durch e<strong>in</strong>e Anwendung an<br />
Wenn Sie die aufgezeichneten Ereignisse untersuchen, sollten Sie besonders auf Ereignisse<br />
achten, die nicht mit Success (Erfolg) markiert s<strong>in</strong>d. Solche Ereignisse kommen zwar häufig<br />
vor und s<strong>in</strong>d völlig normal, aber aus ihnen lassen sich oft Schlüsse auf die Ursache e<strong>in</strong>es<br />
Fehlers ziehen.<br />
Sie können Process Monitor von http://technet.microsoft.com/de-de/sys<strong>in</strong>ternals/bb896645.<br />
aspx herunterladen. Beispiele, wie Sie mit Process Monitor arbeiten, f<strong>in</strong>den Sie <strong>in</strong> »The<br />
Case of the Failed File Copy« unter http://blogs.technet.com/markruss<strong>in</strong>ovich/archive/2007/<br />
10/01/2087460.aspx und <strong>in</strong> »The Case of the Miss<strong>in</strong>g AutoPlay« unter http://blogs.technet.<br />
com/markruss<strong>in</strong>ovich/archive/2008/01/02/2696753.aspx.<br />
Zusammenfassung<br />
Wenn Sie Hardware an e<strong>in</strong>en Computer anschließen, können Probleme auftreten. Glücklicherweise<br />
stellt <strong>W<strong>in</strong>dows</strong> 7 viele unterschiedliche Tools zur Verfügung, mit denen Sie die<br />
Ursache des Problems ermitteln können. In vielen Fällen stellt <strong>W<strong>in</strong>dows</strong> 7 auch die Tools<br />
bereit, mit denen Sie das Problem beseitigen können, <strong>in</strong>dem Sie Software aktualisieren oder<br />
die Hardware neu konfigurieren. Falls die Ursache für das Problem fehlerhafte Hardware ist,<br />
muss das Gerät repariert oder ausgetauscht werden, bevor es mit <strong>W<strong>in</strong>dows</strong> 7 benutzt wird.
A N H A N G E<br />
Behandlung von Problemen mit Netzwerken<br />
H<strong>in</strong>weis Dieser Anhang wurde <strong>in</strong> ähnlicher Form ursprünglich <strong>in</strong> Microsoft <strong>W<strong>in</strong>dows</strong> 7 –<br />
Die technische Referenz von Mitch Tulloch, Tony Northrup, Jerry Honeycutt, Ed Wilson und<br />
dem Microsoft <strong>W<strong>in</strong>dows</strong> 7-Team (Microsoft Press, 2010) veröffentlicht.<br />
Benutzer brauchen oft Netzwerkkonnektivität, um ihre Arbeit zu erledigen, und Netzwerkausfälle<br />
können die Produktivität e<strong>in</strong>er Organisation gewaltig bremsen. Wenn Fehler vorkommen,<br />
müssen Sie das Problem schnell diagnostizieren. Oft müssen Sie die Problembehandlung<br />
an e<strong>in</strong>en Netzwerkspezialisten weiterleiten. Aber von e<strong>in</strong>em Computer aus, der<br />
unter dem Betriebssystem <strong>W<strong>in</strong>dows</strong> 7 läuft, können Sie viele häufiger vorkommende Netzwerkprobleme<br />
diagnostizieren und beseitigen.<br />
Dieser Anhang beschreibt, wie Sie wichtige Netzwerkproblembehandlungswerkzeuge e<strong>in</strong>setzen,<br />
und liefert Schritt-für-Schritt-Anleitungen für die Beseitigung häufiger vorkommender<br />
Netzwerkprobleme.<br />
Tools für die Problembehandlung<br />
Zu den folgenden häufiger vorkommenden Netzwerkproblemen s<strong>in</strong>d die Tools aufgelistet,<br />
die wahrsche<strong>in</strong>lich nützlich s<strong>in</strong>d, um sie zu isolieren, zu diagnostizieren und zu beseitigen.<br />
Diese Tools s<strong>in</strong>d <strong>in</strong> den entsprechenden Abschnitten dieses Anhangs beschrieben, sofern<br />
nicht anders vermerkt.<br />
E<strong>in</strong>ige Clients können ke<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Server herstellen Arp, Ipconfig,<br />
Nbtstat, Netstat, Network Monitor, Nslookup, PathP<strong>in</strong>g, Portqry, Telnet-Client, <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose<br />
Ke<strong>in</strong> Client kann e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Server herstellen Ipconfig, Network<br />
Monitor, Portqry, Telnet-Client, <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose<br />
Clients können ke<strong>in</strong>e Verb<strong>in</strong>dung zu freigegebenen Ressourcen herstellen Ipconfig,<br />
Nbtstat, Net, Nslookup, Network Monitor, Portqry, Telnet-Client, <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose<br />
Clients können ke<strong>in</strong>e Verb<strong>in</strong>dung zum Netzwerk herstellen Ipconfig, <strong>W<strong>in</strong>dows</strong>-<br />
Netzwerkdiagnose<br />
Die Netzwerkleistung ist schlecht oder unregelmäßig Network Monitor, Leistungsüberwachung,<br />
PathP<strong>in</strong>g, Ressourcenmonitor und Task-Manager<br />
Viele Faktoren haben E<strong>in</strong>fluss auf die Leistung und Zuverlässigkeit des Netzwerks, zum<br />
Beispiel Remoteverb<strong>in</strong>dungen, Hardwarekonfiguration (Netzwerkkarten oder die physische<br />
Netzwerkverb<strong>in</strong>dung) und Gerätetreiber. Recht oft haben Netzwerkprobleme mit Fehlern <strong>in</strong><br />
der Protokollkonfiguration zu tun. Wenn z.B. falsche E<strong>in</strong>stellungen <strong>in</strong> TCP/IP-basierten Netzwerken<br />
gewählt werden, können IP-Adressierung, Rout<strong>in</strong>g und IP-Sicherheit gestört se<strong>in</strong>.<br />
545
546 Anhang E: Behandlung von Problemen mit Netzwerken<br />
<strong>W<strong>in</strong>dows</strong> 7 stellt e<strong>in</strong>e Sammlung nützlicher Problembehandlungswerkzeuge zur Verfügung,<br />
mit denen Sie die Netzwerkleistung überwachen und testen können. Tabelle E.1 listet die<br />
wichtigsten Tools für die Beseitigung von Netzwerkproblemen auf.<br />
Tabelle E.1 Tools für die Problembehandlung <strong>in</strong> Netzwerken<br />
Tool Zweck Erforderliche Gruppenmitgliedschaften<br />
Arp Zeigt den ARP-Cache (Address Resolution<br />
Protocol) an und löscht ihn. Der<br />
ARP-Cache kann die Kommunikation<br />
mit Hosts im lokalen Netzwerk bee<strong>in</strong>flussen.<br />
Ipconfig Zeigt Netzwerkkonfigurations<strong>in</strong>formationen<br />
über den lokalen Computer an,<br />
fordert neue dynamisch zugewiesene IP-<br />
Adressen an, verwaltet den Auflösungscache<br />
des DNS-Clients und registriert<br />
neue DNS-Datensätze.<br />
Nblookup Testet die WINS-Namensauflösung<br />
(<strong>W<strong>in</strong>dows</strong> Internet Nam<strong>in</strong>g Service).<br />
Nbtstat Zeigt NetBIOS-Namen (Network Basic<br />
Input/Output System) an und löscht sie.<br />
Net Zeigt Informationen über freigegebene<br />
Ressourcen an und stellt e<strong>in</strong>e Verb<strong>in</strong>dung<br />
zu ihnen her.<br />
Netsh Zeigt und ändert Netzwerkkonfigurationse<strong>in</strong>stellungen.<br />
Netstat Zeigt detaillierte Informationen über<br />
offene Verb<strong>in</strong>dungen an.<br />
Network<br />
Monitor<br />
Zeichnet Netzwerkverkehr auf, der zum<br />
und vom lokalen Computer gesendet<br />
wird, und zeigt ihn an.<br />
Nslookup Diagnostiziert Probleme bei der DNS-<br />
Namensauflösung.<br />
PathP<strong>in</strong>g Diagnostiziert Probleme bei Netzwerkkonnektivität,<br />
Rout<strong>in</strong>g und Leistung.<br />
Leistungsüberwachung<br />
Zeigt detaillierte Informationen über<br />
Hunderte von Netzwerkleistungs<strong>in</strong>dikatoren<br />
an.<br />
Portqry Überprüft die Verfügbarkeit von Netzwerkdiensten<br />
von e<strong>in</strong>em Client aus, auf<br />
dem das Tool <strong>in</strong>stalliert ist.<br />
Ressourcenmonitor<br />
Zeigt Informationen über die Netzwerkauslastung<br />
an.<br />
Benutzer oder Adm<strong>in</strong>istratoren,<br />
abhängig<br />
von den verwendeten<br />
Befehlen<br />
Benutzer oder Adm<strong>in</strong>istratoren,<br />
abhängig<br />
von den verwendeten<br />
Befehlen<br />
Beschreibung<br />
Betriebssystem,<br />
Befehlszeile<br />
Betriebssystem,<br />
Befehlszeile<br />
Benutzer Kostenloser<br />
Download,<br />
Befehlszeile<br />
Benutzer Betriebssystem,<br />
Befehlszeile<br />
Benutzer Betriebssystem,<br />
Befehlszeile<br />
Benutzer oder Adm<strong>in</strong>istratoren,<br />
je nach<br />
Befehl<br />
Betriebssystem,<br />
Befehlszeile<br />
Benutzer Betriebssystem,<br />
Befehlszeile<br />
Adm<strong>in</strong>istratoren Kostenloser<br />
Download, GUI<br />
Benutzer Betriebssystem,<br />
Befehlszeile<br />
Benutzer Betriebssystem,<br />
Befehlszeile<br />
Adm<strong>in</strong>istratoren Betriebssystem,<br />
GUI<br />
Benutzer Kostenloser<br />
Download,<br />
Befehlszeile<br />
Adm<strong>in</strong>istratoren Betriebssystem,<br />
GUI
Arp<br />
Tool Zweck Erforderliche Gruppenmitgliedschaften<br />
Route Zeigt und ändert die IP-Rout<strong>in</strong>gtabellen<br />
des lokalen Computers. Das ist <strong>in</strong> erster<br />
L<strong>in</strong>ie nützlich, wenn sich mehrere Gateways<br />
im lokalen Netzwerk bef<strong>in</strong>den.<br />
Task-<br />
Manager<br />
Stellt schnell die aktuelle Netzwerkauslastung<br />
fest. Identifiziert Prozesse, die<br />
das Netzwerk nutzen, und Prozesse, die<br />
Prozessorzeit verbrauchen.<br />
Telnet-Client Überprüft die Verfügbarkeit von Netzwerkdiensten<br />
von e<strong>in</strong>em Client aus, auf<br />
dem PortQry nicht <strong>in</strong>stalliert ist. Dieses<br />
Tool ist e<strong>in</strong>e optionale Komponente und<br />
<strong>in</strong> der Standarde<strong>in</strong>stellung nicht <strong>in</strong>stalliert.<br />
Test TCP Testet die TCP-Konnektivität zwischen<br />
zwei Computern.<br />
<strong>W<strong>in</strong>dows</strong>-<br />
Netzwerkdiagnose<br />
Diagnostiziert automatisch e<strong>in</strong>ige Netzwerkprobleme<br />
und stellt e<strong>in</strong>e benutzerfreundliche<br />
Schnittstelle zur Verfügung,<br />
um solche Probleme zu beseitigen.<br />
Tools für die Problembehandlung 547<br />
Benutzer oder Adm<strong>in</strong>istratoren,<br />
abhängig<br />
von den verwendeten<br />
Befehlen<br />
Benutzer oder Adm<strong>in</strong>istratoren,<br />
abhängig<br />
von den verwendeten<br />
Befehlen<br />
Beschreibung<br />
Betriebssystem,<br />
Befehlszeile<br />
Betriebssystem,<br />
GUI<br />
Benutzer Betriebssystem,<br />
Befehlszeile<br />
Benutzer Betriebssystem,<br />
Befehlszeile<br />
Benutzer Betriebssystem,<br />
GUI<br />
H<strong>in</strong>weis In <strong>W<strong>in</strong>dows</strong> 7 verläuft die Problembehandlung für IPv6 genauso wie die für IPv4.<br />
Die meisten Tools funktionieren auch mit IPv6, zum Beispiel P<strong>in</strong>g, PathP<strong>in</strong>g, Nslookup,<br />
Ipconfig, Route, Netstat, Tracert und Netsh. Sie können sie verwenden, <strong>in</strong>dem Sie e<strong>in</strong>fach<br />
IPv6-Adressen statt IPv4-Adressen angeben. Leider bietet Portqry momentan ke<strong>in</strong>e Unterstützung<br />
für IPv6. Sie können stattdessen aber Telnet verwenden. Außerdem können Sie mit<br />
dem Tool Route ke<strong>in</strong>e IPv6-Adressen h<strong>in</strong>zufügen oder löschen. Stattdessen sollten Sie die<br />
Befehle netsh <strong>in</strong>terface ipv6 add route und netsh <strong>in</strong>terface ipv6 delete route verwenden.<br />
Arp (Arp.exe) ist e<strong>in</strong> nützliches Befehlszeilentool, wenn Sie Probleme bei der Verb<strong>in</strong>dung<br />
von Systemen <strong>in</strong> e<strong>in</strong>em LAN (Local Area Network) diagnostizieren wollen, wo die Kommunikation<br />
zwischen den Computern nicht über e<strong>in</strong>en Router läuft. Arp ist auch nützlich,<br />
um Probleme zu diagnostizieren, die bei der Kommunikation e<strong>in</strong>es Clients mit dem Standardgateway<br />
auftreten. Wenn e<strong>in</strong> Client Verb<strong>in</strong>dung mit e<strong>in</strong>em Server im selben Subnetz aufnimmt,<br />
muss er den Frame sowohl mit der MAC-Adresse (Media Access Control) als auch<br />
der IPv4-Adresse versehen. Die MAC-Adresse ist e<strong>in</strong>e 48-Bit-Zahl, die e<strong>in</strong>e Netzwerkkarte<br />
e<strong>in</strong>deutig identifiziert.<br />
Arp ist der Name e<strong>in</strong>es Tools, aber auch das Akronym für Address Resolution Protocol (ARP),<br />
das benutzt wird, um die MAC-Adresse zu ermitteln, die zu e<strong>in</strong>er IPv4-Adresse gehört. Wenn<br />
e<strong>in</strong> Client mit e<strong>in</strong>em System im selben LAN kommuniziert, sendet ARP e<strong>in</strong>e Broadcastnachricht<br />
an alle Systeme im LAN und wartet dann auf e<strong>in</strong>e Antwort von dem System, das<br />
die angeforderte IPv4-Adresse hat. Dieses System antwortet auf den Broadcast, <strong>in</strong>dem es<br />
se<strong>in</strong>e MAC-Adresse sendet. ARP speichert daraufh<strong>in</strong> die MAC-Adresse im ARP-Cache.
548 Anhang E: Behandlung von Problemen mit Netzwerken<br />
H<strong>in</strong>weis IPv4-Adressen werden benutzt, um Computer <strong>in</strong> unterschiedlichen Netzwerken zu<br />
identifizieren. Computer, die über e<strong>in</strong> LAN mite<strong>in</strong>ander kommunizieren, identifizieren sich<br />
gegenseitig allerd<strong>in</strong>gs über ihre MAC-Adressen. ARP ermöglicht es e<strong>in</strong>em Computer, e<strong>in</strong>e<br />
MAC-Adresse für e<strong>in</strong>e IPv4-Adresse zu ermitteln, sodass zwei Computer im selben LAN<br />
kommunizieren können.<br />
Probleme mit ARP treten nur gelegentlich auf. Falls zum Beispiel bei e<strong>in</strong>em System die<br />
Netzwerkkarte ausgewechselt wird, haben Clients unter Umständen noch die falsche MAC-<br />
Adresse <strong>in</strong> ihrem ARP-Cache. Sie können MAC-Adressen auch von Hand <strong>in</strong> den ARP-Cache<br />
e<strong>in</strong>tragen, aber falls e<strong>in</strong>e solche manuell h<strong>in</strong>zugefügte MAC-Adresse falsch ist, ist ke<strong>in</strong>e<br />
Kommunikation mit der entsprechenden IPv4-Adresse möglich.<br />
So identifizieren Sie e<strong>in</strong> Problem mit dem ARP-Cache<br />
Um e<strong>in</strong>en falschen E<strong>in</strong>trag im ARP-Cache zu identifizieren, sollten Sie erst die MAC-<br />
Adressen und IPv4-Adressen der Hosts oder Gateways im LAN ermitteln, mit denen der<br />
Computer nicht kommunizieren kann (wie <strong>in</strong> diesem Abschnitt im Beispiel mit dem Befehl<br />
ipconfig /all gezeigt). Sehen Sie sich dann den ARP-Cache auf dem Computer an, auf dem<br />
das Problem auftritt. Vergleichen Sie die Ausgabe mit den richtigen Komb<strong>in</strong>ationen aus<br />
IPv4-Adresse und MAC-Adresse. Falls e<strong>in</strong> E<strong>in</strong>trag falsch ist, können Sie den ARP-Cache<br />
löschen, um das Problem zu beseitigen.<br />
Sie können die MAC-Adresse e<strong>in</strong>es Computers ermitteln, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung<br />
öffnen und den folgenden Befehl e<strong>in</strong>geben. Suchen Sie dann die Zeile mit der Beschriftung<br />
»Physikalische Adresse« <strong>in</strong> der Ausgabe für Ihre Netzwerkkarte (hier durch Fettschrift<br />
hervorgehoben):<br />
ipconfig /all<br />
Ethernet-Adapter LAN-Verb<strong>in</strong>dung:<br />
Verb<strong>in</strong>dungsspezifisches DNS-Suffix: contoso.com<br />
Beschreibung . . . . . . . . . . : NVIDIA nForce Network<strong>in</strong>g Controller<br />
Physikalische Adresse . . . . . . : 00-13-D3-3B-50-8F<br />
DHCP aktiviert . . . . . . . . . : Ja<br />
Sobald Sie mit Ipconfig die richtige MAC-Adresse ermittelt haben, können Sie sich den<br />
ARP-Cache auf dem Computer ansehen, auf dem das Problem auftritt. So können Sie feststellen,<br />
ob die zwischengespeicherte Adresse falsch ist. Sie können den ARP-Cache anzeigen,<br />
<strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den folgenden Befehl ausführen:<br />
arp –a<br />
Schnittstelle: 192.168.1.132 --- 0xa<br />
Internetadresse Physikal. Adresse Typ<br />
192.168.1.1 00-11-95-bb-e2-c7 dynamisch<br />
192.168.1.210 00-03-ff-cf-38-2f dynamisch<br />
192.168.1.241 00-13-02-1e-e6-59 dynamisch<br />
192.168.1.255 ff-ff-ff-ff-ff-ff statisch<br />
224.0.0.22 01-00-5e-00-00-16 statisch
So löschen Sie den ARP-Cache<br />
Tools für die Problembehandlung 549<br />
Falls Sie feststellen, dass e<strong>in</strong>er der E<strong>in</strong>träge im ARP-Cache falsch ist, können Sie das Problem<br />
beseitigen, <strong>in</strong>dem Sie den ARP-Cache löschen. Es schadet nichts, den ARP-Cache zu<br />
löschen, selbst falls alle E<strong>in</strong>träge <strong>in</strong> Ordnung zu se<strong>in</strong> sche<strong>in</strong>en. Daher ist es e<strong>in</strong> s<strong>in</strong>nvoller<br />
Schritt während der Problembehandlung.<br />
Sie können den ARP-Cache löschen, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den<br />
folgenden Befehl ausführen:<br />
arp –d<br />
Stattdessen können Sie den ARP-Cache auch löschen, <strong>in</strong>dem Sie e<strong>in</strong>e Netzwerkkarte deaktivieren<br />
und danach wieder aktivieren, oder mit der automatischen Reparaturoption. Weitere<br />
Informationen über das Tool Arp erhalten Sie, <strong>in</strong>dem Sie <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung den<br />
Befehl arp -? e<strong>in</strong>geben.<br />
Ereignisanzeige<br />
Die <strong>W<strong>in</strong>dows</strong>-Problembehandlungsplattform zeichnet sehr detaillierte Informationen im<br />
Systemereignisprotokoll auf, nicht nur beim Auftreten von Problemen, sondern auch wenn<br />
Netzwerkverb<strong>in</strong>dungen erfolgreich hergestellt werden. Außerdem können Adm<strong>in</strong>istratoren<br />
mit der Ablaufverfolgung der Drahtlos-Diagnose Diagnose<strong>in</strong>formationen mithilfe von grafischen<br />
Tools aufzeichnen und analysieren.<br />
Sie f<strong>in</strong>den die Netzwerkdiagnose<strong>in</strong>formationen an zwei Stellen <strong>in</strong> der Ereignisanzeige:<br />
<strong>W<strong>in</strong>dows</strong>-Protokolle\System Suchen Sie nach Ereignissen, deren Quelle »Diagnostics-<br />
Network<strong>in</strong>g« ist. Diese Ereignisse enthalten Problembehandlungsoptionen, die dem<br />
Benutzer angezeigt wurden (Ereignis-ID 4000), die vom Benutzer ausgewählte Option<br />
(Ereignis-ID 5000) und detaillierte Informationen, die während des Diagnosevorgangs<br />
gesammelt wurden (Ereignis-ID 6100). Bei der Problembehandlung <strong>in</strong> Drahtlosnetzwerken<br />
enthalten Ereignisse auch den Namen der Drahtlosnetzwerkkarte, Informationen<br />
zum Treiber (nativer <strong>W<strong>in</strong>dows</strong> 7- oder e<strong>in</strong> älterer Treiber), e<strong>in</strong>e Liste der sichtbaren<br />
Drahtlosnetzwerke mit ihrer Signalstärke, Kanal und Protokoll (zum Beispiel 802.11b<br />
oder 802.11g) für jedes Netzwerk, die Liste der bevorzugten Drahtlosnetzwerke und die<br />
Konfigurationse<strong>in</strong>stellungen für jedes Netzwerk. Ereignisbeschreibungen sehen zum<br />
Beispiel so aus:<br />
Die Reparaturphase des Vorgangs wurde abgeschlossen.<br />
Die folgende Reparaturoption bzw. der folgende Workaround wurde ausgeführt:<br />
Hilfsklassenname: AddressAcquisition<br />
Reparaturoption: Den Netzwerkadapter "LAN-Verb<strong>in</strong>dung" zurücksetzen.<br />
Manchmal können dadurch Unterbrechungen repariert werden.<br />
Reparatur-GUID: {07D37F7B-FA5E-4443-BDA7-AB107B29AFB9}<br />
Das diagnostizierte Problem sche<strong>in</strong>t durch die Reparaturoption behoben worden zu se<strong>in</strong>.<br />
Anwendungs- und Dienstprotokolle\Microsoft\<strong>W<strong>in</strong>dows</strong>\Diagnostics-Network<strong>in</strong>g\<br />
Betriebsbereit Dieses Ereignisprotokoll zeichnet die <strong>in</strong>ternen Vorgänge der <strong>W<strong>in</strong>dows</strong>-<br />
Problembehandlungsplattform auf. Es ist <strong>in</strong> erster L<strong>in</strong>ie nützlich, wenn Probleme an den<br />
Microsoft-<strong>Support</strong> weitergeleitet werden.
550 Anhang E: Behandlung von Problemen mit Netzwerken<br />
Ipconfig<br />
Ipconfig (Ipconfig.exe) ist e<strong>in</strong> nützliches Befehlszeilentool für die Behandlung von Problemen<br />
mit der automatischen Konfiguration, zum Beispiel DHCP (Dynamic Host Configuration<br />
Protocol). Sie können mit Ipconfig die aktuelle IP-Konfiguration anzeigen, feststellen,<br />
ob DHCP oder APIPA (Automatic Private IP Address<strong>in</strong>g) verwendet wird, und e<strong>in</strong>e automatische<br />
IP-Konfiguration freigeben und erneuern.<br />
Sie können sich detaillierte IP-Konfigurations<strong>in</strong>formationen ansehen, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung<br />
öffnen und den folgenden Befehl ausführen:<br />
ipconfig /all<br />
Dieser Befehl zeigt die aktuelle IP-Konfiguration an. Die Ausgabe sieht zum Beispiel so<br />
aus:<br />
<strong>W<strong>in</strong>dows</strong>-IP-Konfiguration<br />
Hostname . . . . . . . . . . . . : W<strong>in</strong>7<br />
Primäres DNS-Suffix . . . . . . . : hq.contoso.com<br />
Knotentyp . . . . . . . . . . . . : Hybrid<br />
IP-Rout<strong>in</strong>g aktiviert. . . . . . . : Ne<strong>in</strong><br />
WINS-Proxy aktiviert. . . . . . . : Ne<strong>in</strong><br />
DNS-Suffixsuchliste . . . . . . . : hq.contoso.com<br />
contoso.com<br />
Ethernet-Adapter LAN-Verb<strong>in</strong>dung:<br />
Verb<strong>in</strong>dungsspezifisches DNS-Suffix: contoso.com<br />
Beschreibung . . . . . . . . . . : NVIDIA nForce Network<strong>in</strong>g Controller<br />
Physikalische Adresse . . . . . . : 00-13-D3-3B-50-8F<br />
DHCP aktiviert . . . . . . . . . : Ja<br />
Autokonfiguration aktiviert . . . : Ja<br />
Verb<strong>in</strong>dungslokale IPv6-Adresse . : fe80::a54b:d9d7:1a10:c1eb%10(Bevorzugt)<br />
IPv4-Adresse. . . . . . . . . . . : 192.168.1.132(Bevorzugt)<br />
Subnetzmaske . . . . . . . . . . : 255.255.255.0<br />
Lease erhalten. . . . . . . . . . : Dienstag, 1. Mai 2009 11:47:38<br />
Lease läuft ab. . . . . . . . . . : Mittwoch, 9. Mai 2009 11:47:38<br />
Standardgateway . . . . . . . . . : 192.168.1.1<br />
DHCP-Server . . . . . . . . . . . : 192.168.1.1<br />
DHCPv6-IAID . . . . . . . . . . . : 234886099<br />
DNS-Server . . . . . . . . . . . : 192.168.1.210<br />
NetBIOS über TCP/IP . . . . . . . : Aktiviert<br />
Sie können feststellen, ob die DHCP-Adressierung erfolgreich war, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung<br />
öffnen und den folgenden Befehl ausführen:<br />
ipconfig
Nblookup<br />
Die Ausgabe dieses Befehls sieht ähnlich aus wie die folgende:<br />
<strong>W<strong>in</strong>dows</strong>-IP-Konfiguration<br />
Ethernet-Adapter LAN-Verb<strong>in</strong>dung:<br />
Verb<strong>in</strong>dungsspezifisches DNS-Suffix:<br />
Autoconfiguration IP Address. . . : 169.254.187.237<br />
Subnetzmaske . . . . . . . . . . : 255.255.0.0<br />
Standardgateway . . . . . . . . . :<br />
Tools für die Problembehandlung 551<br />
Falls die angezeigte IP-Adresse aus dem Bereich 169.254.0.0 bis 169.254.255.255 stammt,<br />
verwendet <strong>W<strong>in</strong>dows</strong> APIPA, weil das Betriebssystem beim Start ke<strong>in</strong>e IP-Konfiguration von<br />
e<strong>in</strong>em DHCP-Server abrufen konnte und es ke<strong>in</strong>e alternative Konfiguration gab. Sie können<br />
das überprüfen, <strong>in</strong>dem Sie sich die E<strong>in</strong>stellung »DHCP aktiviert« <strong>in</strong> der Ausgabe von Ipconfig<br />
ansehen. Falls ke<strong>in</strong>e DHCP-Serveradresse e<strong>in</strong>getragen ist, war ke<strong>in</strong> entsprechender Server<br />
erreichbar.<br />
Sie können e<strong>in</strong>e über DHCP zugewiesene IPv4-Adresse freigeben und erneuern, <strong>in</strong>dem Sie<br />
e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und die folgenden Befehle ausführen:<br />
ipconfig /release<br />
ipconfig /renew<br />
<strong>W<strong>in</strong>dows</strong> 7 beendet daraufh<strong>in</strong> die Verwendung der aktuellen IPv4-Adresse und versucht, mit<br />
e<strong>in</strong>em DHCP-Server Kontakt aufzunehmen und e<strong>in</strong>e neue IPv4-Adresse abzurufen. Falls<br />
ke<strong>in</strong> DHCP-Server verfügbar ist, verwendet <strong>W<strong>in</strong>dows</strong> 7 entweder die alternative Konfiguration<br />
oder weist automatisch e<strong>in</strong>e APIPA-Adresse im Bereich von 169.254.0.0 bis<br />
169.254.255.255 zu.<br />
Sie können e<strong>in</strong>e automatisch zugewiesene IPv6-Adresse freigeben und erneuern, <strong>in</strong>dem Sie<br />
e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und die folgenden Befehle ausführen:<br />
ipconfig /release6<br />
ipconfig /renew6<br />
WINS (<strong>W<strong>in</strong>dows</strong> Internet Nam<strong>in</strong>g Service) ist e<strong>in</strong> NetBIOS-Namensauflösungsprotokoll.<br />
WINS erfüllt für NetBIOS-Namen e<strong>in</strong>e ähnliche Funktion wie DNS für Hostnamen. Viele<br />
Jahre lang war die WINS-Namensauflösung die übliche Methode für <strong>W<strong>in</strong>dows</strong>-Computer,<br />
sich gegenseitig im Netzwerk zu identifizieren. In AD DS-Domänenumgebungen (Active<br />
Directory Doma<strong>in</strong> Services) wird allerd<strong>in</strong>gs standardmäßig DNS benutzt, und WINS dient <strong>in</strong><br />
erster L<strong>in</strong>ie dazu, ältere Clients und Anwendungen zu unterstützen.<br />
In Umgebungen, die noch WINS-Server verwenden, ist Nblookup e<strong>in</strong> wertvolles Tool, um<br />
Probleme mit der WINS-Namensauflösung zu diagnostizieren. Nblookup ist nicht <strong>in</strong> <strong>W<strong>in</strong>dows</strong><br />
7 enthalten, steht aber als kostenloser Download über http://support.microsoft.com/kb/<br />
830578 zur Verfügung. Nachdem Sie Nblookup.exe auf e<strong>in</strong>em Computer gespeichert haben,<br />
können Sie doppelt auf die Datei klicken, um sie im <strong>in</strong>teraktiven Modus <strong>in</strong>nerhalb e<strong>in</strong>er<br />
E<strong>in</strong>gabeaufforderung auszuführen. Stattdessen können Sie auch den Befehlszeilenmodus<br />
verwenden, bei dem Sie das Programm von e<strong>in</strong>er beliebigen E<strong>in</strong>gabeaufforderung aus starten.<br />
Die folgenden Beispiele demonstrieren den Befehlszeilenmodus.
552 Anhang E: Behandlung von Problemen mit Netzwerken<br />
Nbtstat<br />
Mit dem folgenden Befehl können Sie e<strong>in</strong>en NetBIOS-Namen über den WINS-Server abfragen,<br />
der für den Computer konfiguriert ist:<br />
nblookup Computername<br />
Wenn Sie e<strong>in</strong>en NetBIOS-Namen über e<strong>in</strong>en bestimmten WINS-Server auflösen lassen<br />
möchten, können Sie den Parameter /s Server_IP verwenden:<br />
nblookup /s Server_IP Computername<br />
Zum Beispiel können Sie mit dem folgenden Befehl den Namen COMPUTER1 über den<br />
WINS-Server an der Adresse 192.168.1.222 auflösen lassen:<br />
nblookup /s 192.168.1.222 COMPUTER1<br />
NetBIOS-Namen identifizieren eigentlich Dienste, ke<strong>in</strong>e Computer. Falls Sie versuchen,<br />
e<strong>in</strong>en NetBIOS-Namen für e<strong>in</strong>en bestimmten Dienst aufzulösen, können Sie den Parameter /x<br />
verwenden und das NetBIOS-Suffix des Dienstes angeben. Zum Beispiel sucht der folgende<br />
Befehl Domänencontroller (das entsprechende NetBIOS-Suffix lautet 1C) <strong>in</strong> e<strong>in</strong>er Domäne<br />
namens DOMAIN:<br />
nblookup /x 1C DOMAIN<br />
Weil WINS normalerweise nicht für die Namensauflösung durch <strong>W<strong>in</strong>dows</strong> 7 <strong>in</strong> AD DS-<br />
Umgebungen erforderlich ist, wird die Problembehandlung der WINS-Namensauflösung <strong>in</strong><br />
diesem Anhang nicht weiter vertieft. Weitere Informationen f<strong>in</strong>den Sie <strong>in</strong> Kapitel 8 des Buchs<br />
<strong>W<strong>in</strong>dows</strong> Server 2008 Network<strong>in</strong>g und Netzwerkzugriffsschutz von Joseph Davies und Tony<br />
Northrup (Microsoft Press, 2008).<br />
Nbtstat (Nbtstat.exe) ist e<strong>in</strong> Befehlszeilentool für die Problembehandlung bei der NetBIOS-<br />
Namensauflösung. NetBIOS ist e<strong>in</strong> Protokoll der Sitzungsschicht, das seit vielen Jahren die<br />
Grundlage von Microsoft-Netzwerkanwendungen bildet. NetBIOS-Anwendungen identifizieren<br />
Dienste im Netzwerk mithilfe e<strong>in</strong>es 16 Zeichen langen NetBIOS-Namens. Jeder<br />
Computer <strong>in</strong> e<strong>in</strong>em Netzwerk kann mehrere unterschiedliche NetBIOS-Namen haben, um<br />
die NetBIOS-Dienste auf diesem System zu identifizieren.<br />
Heutzutage wird NetBIOS <strong>in</strong> TCP/IP-Netzwerken mithilfe von NetBIOS über TCP/IP<br />
(NetBT) implementiert. NetBT enthält e<strong>in</strong>e eigene Form der Namensauflösung, um Net-<br />
BIOS-Namen <strong>in</strong> IP-Adressen aufzulösen. Namen können durch Broadcastabfragen im<br />
lokalen Netzwerksegment oder durch Abfragen an e<strong>in</strong>en WINS-Server aufgelöst werden.<br />
Leider ist die NetBIOS-Namensauflösung oft e<strong>in</strong>e Problemquelle. Sie können mit Nbtstat<br />
anzeigen lassen, welche NetBIOS-Namen auf dem lokalen Computer oder Remotecomputern<br />
zur Verfügung stehen. Bei e<strong>in</strong>er Problembehandlung hilft Ihnen das zu überprüfen, ob<br />
e<strong>in</strong> NetBIOS-Dienst zur Verfügung steht und ob se<strong>in</strong> Name richtig aufgelöst wird.<br />
Sie können sich den NetBIOS-Namenscache ansehen, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung<br />
öffnen und den folgenden Befehl ausführen:<br />
nbtstat -c
Die Ausgabe dieses Befehls sieht ähnlich aus wie die folgende:<br />
LAN-Verb<strong>in</strong>dung:<br />
Knoten-IP-Adresse: [192.168.1.132] Bereichskennung: []<br />
NetBIOS-Remotecache-Namentabelle<br />
Name Typ Hostadresse Dauer [Sek.]<br />
------------------------------------------------------------<br />
WIN71 EINDEUTIG 192.168.1.196 602<br />
WIN72 EINDEUTIG 192.168.1.200 585<br />
Tools für die Problembehandlung 553<br />
Die lokalen NetBIOS-Dienstnamen können Sie sich anzeigen lassen, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung<br />
öffnen und den folgenden Befehl ausführen:<br />
nbtstat -n<br />
Die Ausgabe dieses Befehls sieht ähnlich aus wie die folgende:<br />
LAN-Verb<strong>in</strong>dung:<br />
Knoten-IP-Adresse: [192.168.1.132] Bereichskennung: []<br />
Lokale NetBIOS-Namentabelle<br />
Name Typ Status<br />
---------------------------------------------<br />
WIN71 EINDEUTIG Registriert<br />
HQ GRUPPE Registriert<br />
HQ GRUPPE Registriert<br />
HQ EINDEUTIG Registriert<br />
..__MSBROWSE__. GRUPPE Registriert<br />
Die NetBIOS-Namen auf e<strong>in</strong>em Remotesystem, das über se<strong>in</strong>en Computernamen angegeben<br />
wird, können Sie anzeigen, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den folgenden<br />
Befehl ausführen: nbtstat –a Computername<br />
Zum Beispiel:<br />
nbtstat –a w<strong>in</strong>71<br />
Die Ausgabe dieses Befehls sieht ähnlich aus wie die folgende:<br />
LAN-Verb<strong>in</strong>dung:<br />
Knoten-IP-Adresse: [192.168.1.132] Bereichskennung: []<br />
NetBIOS-Namentabelle des Remotecomputers<br />
Name Typ Status<br />
---------------------------------------------<br />
WIN71 EINDEUTIG Registriert<br />
WIN72 EINDEUTIG Registriert<br />
MSHOME GRUPPE Registriert<br />
MSHOME GRUPPE Registriert<br />
MAC Adresse = 00-15-C5-08-82-F3
554 Anhang E: Behandlung von Problemen mit Netzwerken<br />
Net<br />
Beachten Sie, dass die Ausgaben ähnlich aussehen, wenn Sie nbtstat –n lokal ausführen.<br />
Diese Ausgabe zeigt aber auch die MAC-Adresse des Remotecomputers an. Sie können sich<br />
die NetBIOS-Namen auf e<strong>in</strong>em Remotesystem, das über se<strong>in</strong>e IP-Adresse angegeben wird,<br />
ansehen, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den folgenden Befehl ausführen:<br />
nbtstat –A IP-Adresse<br />
<strong>W<strong>in</strong>dows</strong> 7 bevorzugt (wie alle neueren Versionen von <strong>W<strong>in</strong>dows</strong>) die Verwendung von DNS-<br />
Hostnamen gegenüber NetBIOS-Namen. Falls Sie daher e<strong>in</strong>e AD DS-Domäne mit e<strong>in</strong>em<br />
DNS-Server konfiguriert haben, werden Sie kaum vor das Problem gestellt, e<strong>in</strong>e Problembehandlung<br />
für die Auflösung von NetBIOS-Namen durchzuführen. <strong>W<strong>in</strong>dows</strong> verwendet<br />
aber unter Umständen noch NetBIOS-Namen, um mit Computern im lokalen Netzwerk zu<br />
kommunizieren. Daher verwendet es NetBIOS-Namen, falls e<strong>in</strong> Hostname nicht mit DNS<br />
aufgelöst werden kann und Sie e<strong>in</strong>en WINS-Server konfiguriert haben. Für die Problembehandlung<br />
bei der NetBIOS-Namensauflösung mit WINS-Servern können Sie Nblookup<br />
verwenden, wie weiter oben <strong>in</strong> diesem Anhang beschrieben.<br />
Net (Net.exe) ist e<strong>in</strong> Befehlszeilentool, das nützlich ist, um Netzwerkkonfigurationse<strong>in</strong>stellungen<br />
zu ändern, Dienste zu starten und zu beenden und freigegebene Ressourcen anzuzeigen.<br />
Andere Tools bieten zwar e<strong>in</strong>e benutzerfreundlichere Oberfläche für e<strong>in</strong>en Großteil der<br />
Funktionalität, die Net zur Verfügung stellt, aber Net ist sehr nützlich, wenn Sie schnell<br />
ermitteln wollen, welche Ressourcen auf lokalen oder Remotecomputern freigegeben s<strong>in</strong>d.<br />
Wenn Sie e<strong>in</strong>e Problembehandlung für Verb<strong>in</strong>dungen zu Ressourcen durchführen, ist dieses<br />
Tool nützlich, um zu überprüfen, ob freigegebene Ressourcen zur Verfügung stehen, und um<br />
die Namen dieser freigegebenen Ressourcen zu überprüfen.<br />
So zeigen Sie die Ordner an, die auf dem lokalen Computer freigegeben s<strong>in</strong>d<br />
Mit dem Befehl net share können Sie freigegebene Ressourcen anzeigen, die auf dem lokalen<br />
Computer liegen. Falls der Serverdienst gestartet wurde, gibt Net e<strong>in</strong>e Liste mit den Namen<br />
und Speicherorten der freigegebenen Ressourcen aus. Sie können freigegebene Ressourcen<br />
anzeigen, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den folgenden Befehl ausführen:<br />
net share<br />
Die Ausgabe dieses Befehls sieht ähnlich aus wie die folgende:<br />
Name Ressource Beschreibung<br />
-------------------------------------------------------------------------------<br />
C$ C:\ Standardfreigabe<br />
D$ D:\ Standardfreigabe<br />
E$ E:\ Standardfreigabe<br />
pr<strong>in</strong>t$ C:\<strong>W<strong>in</strong>dows</strong>\system32\spool\drivers Druckertreiber<br />
IPC$ Remote-IPC<br />
ADMIN$ C:\<strong>W<strong>in</strong>dows</strong> Remoteverwaltung<br />
MyShare C:\PortQryUI<br />
HP DeskJet 930C932C935C<br />
LPT1: Spooler HP DeskJet 930C/932C/935C<br />
Der Befehl wurde erfolgreich ausgeführt.
Netstat<br />
Tools für die Problembehandlung 555<br />
So zeigen Sie die Ordner an, die auf e<strong>in</strong>em anderen Computer freigegeben s<strong>in</strong>d<br />
Mit dem Befehl net view können Sie die freigegebenen Ressourcen anzeigen, die auf e<strong>in</strong>em<br />
anderen Computer liegen. Sie können die freigegebenen Ordner auf anderen Computern<br />
anzeigen, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den folgenden Befehl ausführen:<br />
net view Computer<br />
Zum Beispiel:<br />
net view d820<br />
Die Ausgabe dieses Befehls sieht ähnlich aus wie die folgende.<br />
Freigegebene Ressourcen auf d820<br />
Freigabename Typ Verwendet als Kommentar<br />
-------------------------------------------------------------------------------<br />
In Progress Platte<br />
Pr<strong>in</strong>ter Drucker Microsoft Office Document Image Writer<br />
publish Platte<br />
SharedDocs Platte<br />
Software Platte<br />
Der Befehl wurde erfolgreich ausgeführt.<br />
Sie können den Computer als Computername, Hostname oder IP-Adresse angeben. Falls Sie<br />
die Fehlermeldung »Zugriff verweigert« erhalten, wenn Sie versuchen, sich die Freigaben<br />
auf e<strong>in</strong>em Remotecomputer anzusehen, müssen Sie erst e<strong>in</strong>e NetBIOS-Verb<strong>in</strong>dung zum<br />
Remotecomputer aufbauen. Zum Beispiel können Sie mit net use e<strong>in</strong>e Verb<strong>in</strong>dung herstellen<br />
und dann net view e<strong>in</strong>geben, wie im folgenden Beispiel gezeigt:<br />
net use \\w<strong>in</strong>7 /user:Benutzername<br />
net view w<strong>in</strong>7<br />
Damit e<strong>in</strong> Netzwerkdienst e<strong>in</strong>gehende Kommunikation empfangen kann, muss er e<strong>in</strong>en bestimmten<br />
TCP- oder UDP-Port überwachen. Wenn Sie e<strong>in</strong>e Behandlung von Netzwerkproblemen<br />
durchführen, ist es oft s<strong>in</strong>nvoll, sich anzusehen, welche Ports Ihr Computer auf<br />
e<strong>in</strong>gehende Verb<strong>in</strong>dungen überwacht. So können Sie sicherstellen, dass der Dienst richtig<br />
konfiguriert ist und dass die Portnummer nicht geändert wurde.<br />
Netstat (Netstat.exe) ist e<strong>in</strong> nützliches Befehlszeilentool, mit dem Sie Netzwerkdienste und<br />
die Ports, die sie überwachen, identifizieren können. Die Auflistung der Ports, die e<strong>in</strong> Computer<br />
überwacht, ist nützlich, um zu überprüfen, ob e<strong>in</strong> Netzwerkdienst den erwarteten Port<br />
benutzt. Es ist üblich, die Portnummern zu ändern, die Dienste überwachen, und Netstat<br />
kann schnell aufdecken, wenn Ports überwacht werden, die nicht der Standarde<strong>in</strong>stellung<br />
entsprechen.<br />
Sie können sich die offenen Ports und die aktiven e<strong>in</strong>gehenden Verb<strong>in</strong>dungen ansehen,<br />
<strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den folgenden Befehl ausführen:<br />
netstat –a –n –o
556 Anhang E: Behandlung von Problemen mit Netzwerken<br />
Netstat zeigt e<strong>in</strong>e Liste der überwachten Ports sowie der ausgehenden Verb<strong>in</strong>dungen an und<br />
führt zu jedem Listener oder jeder Verb<strong>in</strong>dung die Prozess-IDs (PIDs) auf. Die folgende<br />
gekürzte Ausgabe von Netstat zeigt die überwachten Ports auf e<strong>in</strong>em Computer, bei dem<br />
Remotedesktop aktiviert ist:<br />
Aktive Verb<strong>in</strong>dungen<br />
Proto Lokale Adresse Remoteadresse Status PID<br />
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN 884<br />
TCP 0.0.0.0:3389 0.0.0.0:0 ABHÖREN 1512<br />
TCP 0.0.0.0:49152 0.0.0.0:0 ABHÖREN 592<br />
TCP 192.168.1.132:139 0.0.0.0:0 ABHÖREN 4<br />
TCP 192.168.1.132:3389 192.168.1.196:1732 HERGESTELLT 1512<br />
TCP [::]:135 [::]:0 ABHÖREN 884<br />
TCP [::]:445 [::]:0 ABHÖREN 4<br />
TCP [::]:2869 [::]:0 ABHÖREN 4<br />
TCP [::]:3389 [::]:0 ABHÖREN 1512<br />
UDP [fe80::28db:d21:3f57:fe7b%11]:1900 *:* 1360<br />
UDP [fe80::28db:d21:3f57:fe7b%11]:49643 *:* 1360<br />
UDP [fe80::a54b:d9d7:1a10:c1eb%10]:1900 *:* 1360<br />
UDP [fe80::a54b:d9d7:1a10:c1eb%10]:49641 *:* 1360<br />
Die durch Fettschrift hervorgehobene Zeile wartet auf e<strong>in</strong>gehende Verb<strong>in</strong>dungen auf TCP-<br />
Port 3389, der vom Remotedesktop benutzt wird. Weil die Spalte »Remoteadresse« e<strong>in</strong>e<br />
IPv4-Adresse anzeigt, können Sie erkennen, dass e<strong>in</strong> Benutzer vom Computer mit der IP-<br />
Adresse 192.168.1.196 aus e<strong>in</strong>e Remotedesktopverb<strong>in</strong>dung mit dem Computer aufgebaut<br />
hat. Falls Sie feststellen, dass e<strong>in</strong> Computer unerwartete Ports auf e<strong>in</strong>gehende Verb<strong>in</strong>dungen<br />
überwacht, können Sie den Prozess mit dem Wert aus der Spalte »PID« identifizieren. Tools<br />
wie die Registerkarte Prozesse im Task-Manager verraten, welcher Prozess mit e<strong>in</strong>er PID<br />
verknüpft ist.<br />
H<strong>in</strong>weis Sie können Prozesse anhand e<strong>in</strong>er PID im Task-Manager identifizieren, <strong>in</strong>dem Sie<br />
die Registerkarte Prozesse aktivieren, den Menübefehl Ansicht/Spalten auswählen anklicken,<br />
das Kontrollkästchen PID (Prozess-ID) aktivieren und dann auf OK klicken.<br />
Falls Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung mit erhöhten Privilegien geöffnet haben, können Sie<br />
stattdessen auch den Parameter –b verwenden, um zu ermitteln, welche Anwendungen mit<br />
aktiven Verb<strong>in</strong>dungen verknüpft s<strong>in</strong>d. Das folgende Beispiel demonstriert, wie Sie Netstat<br />
mit dem Parameter –b aufrufen, sodass vor jeder Verb<strong>in</strong>dung der zugehörige Prozess <strong>in</strong><br />
Klammern angezeigt wird:<br />
netstat –a –n –o -b<br />
Aktive Verb<strong>in</strong>dungen<br />
Proto Lokale Adresse Remoteadresse Status PID<br />
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN 828<br />
RpcSs
Tools für die Problembehandlung 557<br />
[svchost.exe]<br />
TCP 0.0.0.0:3389 0.0.0.0:0 ABHÖREN 1444<br />
Dnscache<br />
[svchost.exe]<br />
TCP 0.0.0.0:49152 0.0.0.0:0 ABHÖREN 508<br />
[w<strong>in</strong><strong>in</strong>it.exe]<br />
TCP 0.0.0.0:49153 0.0.0.0:0 ABHÖREN 972<br />
Eventlog<br />
[svchost.exe]<br />
TCP 0.0.0.0:49154 0.0.0.0:0 ABHÖREN 1236<br />
nsi<br />
[svchost.exe]<br />
TCP 0.0.0.0:49155 0.0.0.0:0 ABHÖREN 1076<br />
Schedule<br />
[svchost.exe]<br />
TCP 0.0.0.0:49156 0.0.0.0:0 ABHÖREN 564<br />
[lsass.exe]<br />
TCP 0.0.0.0:49157 0.0.0.0:0 ABHÖREN 552<br />
[services.exe]<br />
TCP 169.254.166.248:139 0.0.0.0:0 ABHÖREN 4<br />
TCPView, als kostenloser Download von Microsoft erhältlich, bietet ähnliche Funktionen <strong>in</strong><br />
e<strong>in</strong>er grafischen Benutzeroberfläche. TCPView wird weiter unten <strong>in</strong> diesem Anhang beschrieben.<br />
Network Monitor<br />
Der Network Monitor 3.3, den Sie kostenlos von http://www.microsoft.com/downloads/<br />
herunterladen können, ist das leistungsfähigste – und komplizierteste – Tool zum Analysieren<br />
der Netzwerkkommunikation. Der Network Monitor ist e<strong>in</strong> Protokoll-Analyzer (auch<br />
als Sniffer bezeichnet), der jedes Byte aufzeichnen kann, das zu oder von e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-<br />
Computer übertragen wird. E<strong>in</strong> erfahrener Systemadm<strong>in</strong>istrator kann mit dem Network<br />
Monitor e<strong>in</strong>e Vielzahl von Problemen beseitigen, zum Beispiel:<br />
Probleme mit der Netzwerkleistung<br />
Probleme mit TCP-Verb<strong>in</strong>dungen<br />
Probleme mit der Konfiguration des IP-Protokollstapels<br />
Probleme, die durch Netzwerkfilterung verursacht werden<br />
Probleme der Anwendungsschicht bei textbasierten Protokollen, zum Beispiel HTTP<br />
(Hypertext Transfer Protocol), POP (Post Office Protocol) und SMTP (Simple Mail<br />
Transfer Protocol)<br />
Der Network Monitor nimmt e<strong>in</strong>e umfangreiche Interpretation der aufgezeichneten Informationen<br />
vor, <strong>in</strong>dem er die unterschiedlichen Protokolle, die an der Netzwerkkommunikation<br />
beteiligt s<strong>in</strong>d, zerlegt. Der Network Monitor kann sogar die meisten gebräuchlichen Protokolle<br />
der Anwendungsschicht <strong>in</strong>terpretieren. Wenn der Network Monitor zum Beispiel HTTP-<br />
Verkehr analysiert, identifiziert er automatisch das Paket mit der HTTP-Anforderung und<br />
listet Anforderungsmethode, URL (Uniform Resource Locator), Referrer, Benutzeragenten
558 Anhang E: Behandlung von Problemen mit Netzwerken<br />
und andere Parameter auf, die <strong>in</strong> der Anforderung enthalten s<strong>in</strong>d. Diese Informationen s<strong>in</strong>d<br />
sehr nützlich für e<strong>in</strong>e Behandlung von Kompatibilitätsproblemen mit e<strong>in</strong>em bestimmten<br />
Browser.<br />
Gehen Sie folgendermaßen vor, um Netzwerkverkehr mithilfe des Network Monitors zu<br />
analysieren:<br />
1. Laden Sie den Network Monitor 3.3 herunter, <strong>in</strong>stallieren Sie ihn und starten Sie dann<br />
den Computer neu, um den Network Monitor-Treiber für Ihre Netzwerkkarten zu aktivieren.<br />
2. Klicken Sie im Startmenü auf Alle Programme, Microsoft Network Monitor3 und zuletzt<br />
auf Microsoft Network Monitor 3.3.<br />
3. Klicken Sie auf New Capture.<br />
4. Nun ist die Hauptregisterkarte New Capture ausgewählt. Klicken Sie auf die Registerkarte<br />
Select Networks und wählen Sie e<strong>in</strong>e oder mehrere Netzwerkkarten aus.<br />
5. Klicken Sie auf die Schaltfläche Start, um die Kommunikation aufzuzeichnen.<br />
6. Wechseln Sie zu der Anwendung, deren Netzwerkverkehr Sie analysieren möchten, und<br />
führen Sie dann die Schritte durch, die erforderlich s<strong>in</strong>d, um den gewünschten Verkehr<br />
zu generieren. Falls Sie zum Beispiel e<strong>in</strong>e Anforderung an e<strong>in</strong>en Webserver aufzeichnen<br />
möchten, müssen Sie zum <strong>W<strong>in</strong>dows</strong> Internet Explorer wechseln und die Webadresse<br />
e<strong>in</strong>geben. Wechseln Sie zum Network Monitor zurück, nachdem Sie den Verkehr generiert<br />
haben, an dem Sie <strong>in</strong>teressiert s<strong>in</strong>d.<br />
7. Klicken Sie auf der Seite Network Conversations auf die Anwendung, die Sie überwachen<br />
wollen.<br />
8. Blättern Sie im Abschnitt Frame Summary die aufgezeichneten Frames durch. Klicken<br />
Sie e<strong>in</strong>en Frame an, um sich se<strong>in</strong>en Inhalt anzusehen.<br />
Abbildung E.1 zeigt e<strong>in</strong>e Aufzeichnung e<strong>in</strong>er TCP-Verb<strong>in</strong>dung und e<strong>in</strong>er HTTP-Anforderung,<br />
die erstellt wurde, <strong>in</strong>dem e<strong>in</strong>e Website im Browser aufgerufen wird. Weil im Fensterabschnitt<br />
Network Conversations das Programm Iexplore.exe ausgewählt ist, werden nur<br />
Frames angezeigt, die an oder vom Internet Explorer gesendet wurden. Der Fensterabschnitt<br />
Frame Summary listet die aufgezeichneten Pakete auf. Die ersten drei Frames zeigen den<br />
Drei-Wege-TCP-Handshake. Wie Sie im Abschnitt Frame Details sehen, zeigt der ausgewählte<br />
Frame, dass der Internet Explorer e<strong>in</strong>e Anforderung an den Webserver sendet. Der<br />
nächste Frame ist die Antwort, <strong>in</strong> diesem Fall e<strong>in</strong>e HTTP-302-Umleitung auf e<strong>in</strong>e andere<br />
Seite. In Frame 35 fordert der Internet Explorer die Seite /en/us/default.aspx an, zu der er<br />
umgeleitet wurde.<br />
Weitere Informationen Im Blog des Network Monitor-Teams unter http://blogs.technet.com/<br />
netmon/ f<strong>in</strong>den Sie weitere Informationen über den Network Monitor und H<strong>in</strong>weise auf die<br />
neusten Verbesserungen.
Nslookup<br />
Tools für die Problembehandlung 559<br />
Abbildung E.1 Mit dem Network Monitor können Sie Verkehr aufzeichnen und analysieren<br />
Nslookup (Nslookup.exe) ist das Hauptwerkzeug, um Probleme mit der DNS-Namensauflösung<br />
zu isolieren. Sie müssen dazu mit dem Client verbunden se<strong>in</strong>, auf dem die Probleme<br />
auftreten. Nslookup ist e<strong>in</strong> Befehlszeilentool, das DNS-Lookups ausführen und die Ergebnisse<br />
melden kann. Andere Tools, zum Beispiel PathP<strong>in</strong>g, können ebenfalls Hostnamen <strong>in</strong><br />
IP-Adressen auflösen und die Ergebnisse anzeigen, aber nur Nslookup zeigt an, welcher<br />
DNS-Server benutzt wird, um die Anforderung aufzulösen. Außerdem zeigt Nslookup alle<br />
Ergebnisse an, die vom DNS-Server zurückgegeben werden, und erlaubt Ihnen, e<strong>in</strong>en bestimmten<br />
DNS-Server auszuwählen, statt den Server zu verwenden, der automatisch von<br />
<strong>W<strong>in</strong>dows</strong> gewählt wird. Nslookup ist das richtige Tool für e<strong>in</strong>e Problembehandlung, wenn<br />
folgende Arten von Problemen auftreten:<br />
Clients benötigen mehrere Sekunden, um e<strong>in</strong>e neue Verb<strong>in</strong>dung aufzubauen.<br />
E<strong>in</strong>ige Clients können e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Server herstellen, andere Clients haben<br />
dagegen Probleme.<br />
Der DNS-Server ist richtig konfiguriert, aber Clients lösen Hostnamen falsch auf.<br />
H<strong>in</strong>weis Die Datei Hosts im Ordner %W<strong>in</strong>Dir%\System32\Drivers\Etc kann statische E<strong>in</strong>träge<br />
enthalten, die DNS-Lookups für die meisten Anwendungen überschreiben. Nslookup<br />
ignoriert diese Datei allerd<strong>in</strong>gs. Falls Anwendungen e<strong>in</strong>en Hostnamen anders auflösen als
560 Anhang E: Behandlung von Problemen mit Netzwerken<br />
Nslookup, sollten Sie überprüfen, ob die Datei Hosts e<strong>in</strong>en E<strong>in</strong>trag für den Hostnamen enthält.<br />
Überprüfen, ob der Standard-DNS-Server richtig auflöst<br />
Sie können überprüfen, ob e<strong>in</strong> Client e<strong>in</strong>en Hostnamen <strong>in</strong> die richtige IP-Adresse auflösen<br />
kann, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den Befehl nslookup Hostname ausführen.<br />
Nslookup meldet, welcher Server benutzt wird, um die Anforderung aufzulösen, und<br />
welche Antwort der DNS-Server liefert. Falls der Client so konfiguriert wurde, dass er mehrere<br />
DNS-Server benutzt, kann diese Aktion verraten, dass der Client ke<strong>in</strong>e Anforderungen<br />
an den primären DNS-Server sendet.<br />
Sie können e<strong>in</strong>en DNS-Hostnamen <strong>in</strong> e<strong>in</strong>e IP-Adresse auflösen, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung<br />
öffnen und den folgenden Befehl ausführen:<br />
nslookup Hostname<br />
Sie können e<strong>in</strong>e IP-Adresse <strong>in</strong> e<strong>in</strong>en DNS-Hostnamen auflösen, <strong>in</strong>dem Sie e<strong>in</strong>en Reverse-<br />
DNS-Lookup durchführen. Öffnen Sie dazu e<strong>in</strong>e E<strong>in</strong>gabeaufforderung und führen Sie den<br />
folgenden Befehl aus:<br />
nslookup IP-Adresse<br />
Falls der DNS-Server mehrere IP-Adressen zurückgibt, zeigt Nslookup alle diese Adressen<br />
an. Im Allgeme<strong>in</strong>en verwenden Anwendungen die erste IP-Adresse, die der DNS-Server<br />
zurückgegeben hat. Manche Anwendungen, zum Beispiel der Internet Explorer, versuchen,<br />
alle IP-Adressen zu erreichen, die vom DNS-Server zurückgegeben wurden, bis e<strong>in</strong>e Antwort<br />
empfangen wird.<br />
Überprüfen, ob e<strong>in</strong> bestimmter DNS-Server richtig auflöst<br />
E<strong>in</strong>e der häufigsten Ursachen für Probleme mit der DNS-Auflösung ist die Zwischenspeicherung<br />
von veralteten DNS-Adressen. Insbesondere im Internet kommt es vor, dass DNS-<br />
Server noch mehrere Stunden, nachdem die Änderung an dem DNS-Server, der den Datensatz<br />
enthält, durchgeführt wurde, e<strong>in</strong>e veraltete IP-Adresse zurückgeben. Falls e<strong>in</strong>ige Clients<br />
e<strong>in</strong>e IP-Adresse nicht richtig auflösen können, aber andere Systeme ke<strong>in</strong>e Probleme damit<br />
haben, haben wahrsche<strong>in</strong>lich e<strong>in</strong> oder mehrere DNS-Server die falsche Adresse zwischengespeichert.<br />
Sie können diese DNS-Server identifizieren, <strong>in</strong>dem Sie mit Nslookup von Hand<br />
jeden Server abfragen.<br />
Sie können überprüfen, ob e<strong>in</strong> bestimmter DNS-Server e<strong>in</strong>en Hostnamen <strong>in</strong> die richtige IP-<br />
Adresse auflösen kann, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den folgenden Befehl<br />
ausführen:<br />
nslookup Hostname Servername_oder_Adresse<br />
Nslookup fragt nur den angegebenen Server ab, unabhängig davon, welche DNS-Server auf<br />
dem Client konfiguriert s<strong>in</strong>d. Falls e<strong>in</strong> bestimmter Server e<strong>in</strong>e falsche IP-Adresse zurückgibt,<br />
ist dieser Server die Quelle des Problems. Im Allgeme<strong>in</strong>en löst sich dieses Problem von selbst,<br />
sobald die Lebensdauer des falschen E<strong>in</strong>trags im Cache des DNS-Servers abgelaufen ist. Sie<br />
können das Problem aber auch von Hand lösen, <strong>in</strong>dem Sie den Cache des DNS-Servers<br />
löschen.
Listen mit DNS-Datensätzen prüfen<br />
Tim Ra<strong>in</strong>s, Program Manager, <strong>W<strong>in</strong>dows</strong> Network<strong>in</strong>g<br />
Tools für die Problembehandlung 561<br />
Falls Sie häufig prüfen müssen, ob zahlreiche DNS-Datensätze auf zahlreichen DNS-<br />
Servern richtig aufgelöst werden, können Sie statt Nslookup das Tool DNSL<strong>in</strong>t mit dem<br />
Parameter -ql aufrufen. Dieser Befehl kann die Namensauflösung für bestimmte DNS-<br />
Datensätze über viele DNS-Server sehr schnell testen. DNSL<strong>in</strong>t kann auch bei der Behandlung<br />
e<strong>in</strong>iger DNS-Probleme im Zusammenhang mit AD DS helfen. DNSL<strong>in</strong>t steht<br />
als kostenloser Download von http://support.microsoft.com/kb/321045/ zur Verfügung.<br />
Überprüfen bestimmter Adresstypen<br />
Sie können mit Nslookup auch bestimmte Adresstypen überprüfen, zum Beispiel MX-<br />
Adressen (Mail eXchange), die Mailserver für e<strong>in</strong>e Domäne identifizieren.<br />
Sie können den Mailserver für e<strong>in</strong>e Domäne identifizieren, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung<br />
öffnen und den folgenden Befehl ausführen:<br />
nslookup "-set type=mx" Domänenname<br />
Wenn Sie zum Beispiel mit Nslookup über die Standard-DNS-Server des Clients alle MX-<br />
Server ermitteln wollen, die für die Domäne microsoft.com registriert s<strong>in</strong>d, können Sie folgenden<br />
Befehl e<strong>in</strong>geben:<br />
nslookup "-set type=mx" microsoft.com<br />
Außerdem können Sie e<strong>in</strong>en bestimmten DNS-Server abfragen, <strong>in</strong>dem Sie den Servernamen<br />
oder die IP-Adresse h<strong>in</strong>ter dem Domänennamen angeben:<br />
nslookup "-set type=type" Hostname Servername_oder_adresse<br />
Verwenden von TCP für DNS-Lookups<br />
Tim Ra<strong>in</strong>s, Program Manager, <strong>W<strong>in</strong>dows</strong> Network<strong>in</strong>g<br />
Wenn e<strong>in</strong> DNS-Server e<strong>in</strong>e Antwort auf e<strong>in</strong>e DNS-Abfrage zurückgibt, aber die Antwort<br />
mehr DNS-Datensätze enthält, als <strong>in</strong> e<strong>in</strong> e<strong>in</strong>ziges UDP-Paket passen, kann der Client entscheiden,<br />
die Abfrage erneut zu senden, und zwar mit TCP statt UDP. Bei TCP können<br />
mehrere Pakete sämtliche DNS-Datensätze aus der Antwort liefern. Sie können mit Nslookup<br />
prüfen, ob e<strong>in</strong> DNS-Server auf UDP- oder TCP-Abfragen antwortet. Mit dem<br />
folgenden Befehl schicken Sie e<strong>in</strong>e UDP-Abfrage an den DNS-Server:<br />
nslookup microsoft.com<br />
Der folgende Befehl verwendet TCP, um den DNS-Server abzufragen:<br />
nslookup "-set vc" microsoft.com<br />
Der Parameter -set vc konfiguriert Nslookup so, dass es e<strong>in</strong>en virtuellen Circuit verwendet.<br />
Dieser Test kann <strong>in</strong>sbesondere nützlich se<strong>in</strong>, wenn Sie erwarten, dass die Antwort auf<br />
e<strong>in</strong>e Abfrage sehr viele DNS-Datensätze enthält.
562 Anhang E: Behandlung von Problemen mit Netzwerken<br />
PathP<strong>in</strong>g<br />
Das wahrsche<strong>in</strong>lich nützlichste Tool, um Verb<strong>in</strong>dungsprobleme vom Client zu isolieren, ist<br />
PathP<strong>in</strong>g. Das Tool PathP<strong>in</strong>g (PathP<strong>in</strong>g.exe) kann helfen, Probleme mit Namensauflösung,<br />
Netzwerkkonnektivität, Rout<strong>in</strong>g und Netzwerkleistung zu diagnostizieren. Aus diesem Grund<br />
sollte PathP<strong>in</strong>g e<strong>in</strong>es der ersten Tools se<strong>in</strong>, mit dem Sie bei der Behandlung von Netzwerkproblemen<br />
arbeiten. PathP<strong>in</strong>g ist e<strong>in</strong> Befehlszeilentool, se<strong>in</strong>e Syntax ähnelt der von Tracert<br />
und P<strong>in</strong>g.<br />
H<strong>in</strong>weis Der Nutzen von P<strong>in</strong>g hat sich <strong>in</strong> den letzten Jahren stark verr<strong>in</strong>gert, <strong>in</strong>zwischen ist<br />
es ke<strong>in</strong> effektives Tool mehr, um den Status von Netzwerkdiensten zu ermitteln. P<strong>in</strong>g meldet<br />
oft, dass es e<strong>in</strong>en verfügbaren Server nicht erreichen kann, weil e<strong>in</strong>e Firewall, zum Beispiel<br />
die <strong>W<strong>in</strong>dows</strong>-Firewall, so konfiguriert wurde, dass sie ICMP-Anforderungen (Internet Control<br />
Message Protocol) verwirft. Falls e<strong>in</strong> Host trotzdem auf ICMP-Anforderungen antworten<br />
kann, meldet P<strong>in</strong>g unter Umständen, dass der Remotehost verfügbar ist, selbst falls<br />
wichtige Dienste auf dem Remotehost ausgefallen s<strong>in</strong>d. Um festzustellen, ob e<strong>in</strong> Remotehost<br />
antwortet, sollten Sie statt P<strong>in</strong>g das Tool Portqry verwenden.<br />
Sie können die Konnektivität zu e<strong>in</strong>em Endpunkt testen, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung<br />
öffnen und den folgenden Befehl ausführen:<br />
pathp<strong>in</strong>g Ziel<br />
Das Ziel kann e<strong>in</strong> Hostname, Computername oder e<strong>in</strong>e IP-Adresse se<strong>in</strong>.<br />
Ausgaben von PathP<strong>in</strong>g<br />
PathP<strong>in</strong>g zeigt se<strong>in</strong>e Ausgaben <strong>in</strong> zwei Abschnitten an. Der erste Abschnitt wird sofort angezeigt<br />
und enthält e<strong>in</strong>e nummerierte Liste aller Geräte zwischen Quelle und Ziel, die auf die<br />
Abfrage antworten. Das erste Gerät (es hat die Nummer 0) ist der Host, auf dem PathP<strong>in</strong>g<br />
läuft. PathP<strong>in</strong>g versucht, den Namen jedes Geräts zu ermitteln, wie hier gezeigt:<br />
Routenverfolgung zu support.go.microsoft.contoso.com [10.46.196.103]<br />
über maximal 30 Abschnitte:<br />
0 contoso-test [192.168.1.207]<br />
1 10.211.240.1<br />
2 10.128.191.245<br />
3 10.128.191.73<br />
4 10.125.39.213<br />
5 gbr1-p<strong>70</strong>.cb1ma.ip.contoso.com [10.123.40.98]<br />
6 tbr2-p013501.cb1ma.ip.contoso.com [10.122.11.201]<br />
7 tbr2-p012101.cgcil.ip.contoso.com [10.122.10.106]<br />
8 gbr4-p50.st6wa.ip.contoso.com [10.122.2.54]<br />
9 gar1-p3<strong>70</strong>.stwwa.ip.contoso.com [10.123.203.177]<br />
10 10.127.<strong>70</strong>.6<br />
11 10.46.33.225<br />
12 10.46.36.210<br />
13 10.46.155.17<br />
14 10.46.129.51<br />
15 10.46.196.103
Tools für die Problembehandlung 563<br />
Sie können die Ausgabe von PathP<strong>in</strong>g beschleunigen, <strong>in</strong>dem Sie die Option –d angeben,<br />
damit PathP<strong>in</strong>g nicht versucht, die Namen jeder dazwischen liegenden Routeradresse aufzulösen.<br />
Der zweite Abschnitt <strong>in</strong> der Ausgabe von PathP<strong>in</strong>g beg<strong>in</strong>nt mit der Meldung »Berechnung<br />
der Statistiken dauert ca. Sekunden«. Die Zeit, die PathP<strong>in</strong>g für die Berechnung der<br />
Statistiken benötigt, kann sich von wenigen Sekunden bis zu e<strong>in</strong>igen M<strong>in</strong>uten erstrecken,<br />
abhängig von der Zahl der gefundenen Geräte. Während dieser Zeit fragt PathP<strong>in</strong>g jedes<br />
dieser Geräte ab und berechnet Leistungsstatistiken, die angeben, ob und wie schnell jedes<br />
Gerät antwortet. Dieser Abschnitt sieht zum Beispiel so aus:<br />
Berechnung der Statistiken dauert ca. 375 Sekunden...<br />
Quelle zum Abs. Knoten/Verb<strong>in</strong>dung<br />
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse<br />
0 contoso-test [192.168.1.207]<br />
0/ 100 = 0% |<br />
1 50ms 1/ 100 = 1% 1/ 100 = 1% 10.211.24.1<br />
0/ 100 = 0% |<br />
2 50ms 0/ 100 = 0% 0/ 100 = 0% 10.128.19.245<br />
0/ 100 = 0% |<br />
3 50ms 2/ 100 = 2% 2/ 100 = 2% 10.128.19.73<br />
0/ 100 = 0% |<br />
4 44ms 0/ 100 = 0% 0/ 100 = 0% 10.12.39.213<br />
0/ 100 = 0% |<br />
5 46ms 0/ 100 = 0% 0/ 100 = 0% gbr1-p<strong>70</strong>.cb1ma.ip.contoso.com [10.12.40.98]<br />
0/ 100 = 0% |<br />
6 40ms 2/ 100 = 2% 2/ 100 = 2% tbr2-p013501.cb1ma.ip.contoso.com [10.12.11.201]<br />
0/ 100 = 0% |<br />
7 62ms 1/ 100 = 1% 1/ 100 = 1% tbr2-p012101.cgcil.ip.contoso.com [10.12.10.106]<br />
0/ 100 = 0% |<br />
8 107ms 2/ 100 = 2% 2/ 100 = 2% gbr4-p50.st6wa.ip.contoso.com [10.12.2.54]<br />
0/ 100 = 0% |<br />
9 111ms 0/ 100 = 0% 0/ 100 = 0% gar1-p3<strong>70</strong>.stwwa.ip.contoso.com [10.12.203.177]<br />
0/ 100 = 0% |<br />
10 118ms 0/ 100 = 0% 0/ 100 = 0% 10.12.<strong>70</strong>.6<br />
0/ 100 = 0% |<br />
11 --- 100/ 100 =100% 100/ 100 =100% 10.46.33.225<br />
0/ 100 = 0% |<br />
12 --- 100/ 100 =100% 100/ 100 =100% 10.46.36.210<br />
0/ 100 = 0% |<br />
13 123ms 0/ 100 = 0% 0/ 100 = 0% 10.46.155.17<br />
0/ 100 = 0% |<br />
14 127ms 0/ 100 = 0% 0/ 100 = 0% 10.46.129.51<br />
1/ 100 = 1% |<br />
15 125ms 1/ 100 = 1% 0/ 100 = 0% 10.46.196.103<br />
Ablaufverfolgung beendet.
564 Anhang E: Behandlung von Problemen mit Netzwerken<br />
In der Ausgabe von PathP<strong>in</strong>g können Sie oft schnell die Quelle Ihrer Verb<strong>in</strong>dungsprobleme<br />
identifizieren. Vielleicht ist es e<strong>in</strong> Namensauflösungs-, e<strong>in</strong> Rout<strong>in</strong>g-, e<strong>in</strong> Leistungs- oder e<strong>in</strong><br />
Konnektivitätsproblem. Mithilfe von PathP<strong>in</strong>g können Sie auch Konnektivitätsprobleme auf<br />
der Netzwerkschicht oder darunter als Ursache ausschließen.<br />
Rout<strong>in</strong>gschleifen<br />
Sie können mit PathP<strong>in</strong>g Rout<strong>in</strong>gschleifen aufdecken. Solche Rout<strong>in</strong>gschleifen treten auf,<br />
wenn Verkehr zu e<strong>in</strong>em Router zurückgeleitet wird, der e<strong>in</strong> bestimmtes Paket bereits weitergeleitet<br />
hat. Sie lassen sich daran erkennen, dass <strong>in</strong> der Ausgabe von PathP<strong>in</strong>g e<strong>in</strong> Satz von<br />
Routern mehrmals wiederholt wird. Zum Beispiel weist die folgende Ausgabe auf e<strong>in</strong>e Rout<strong>in</strong>gschleife<br />
zwischen den Routern mit den Adressen 10.128.191.245, 10.128.191.73 und<br />
10.125.39.213 h<strong>in</strong>:<br />
Routenverfolgung zu support.go.microsoft.contoso.com [10.46.196.103]<br />
über maximal 30 Abschnitte:<br />
0 contoso-test [192.168.1.207]<br />
1 10.211.240.1<br />
2 10.128.191.245<br />
3 10.128.191.73<br />
4 10.125.39.213<br />
5 10.128.191.245<br />
6 10.128.191.73<br />
7 10.125.39.213<br />
8 10.128.191.245<br />
9 10.128.191.73<br />
10 10.125.39.213 (... Rest gekürzt ...)<br />
Rout<strong>in</strong>gschleifen werden im Allgeme<strong>in</strong>en durch falsche Konfiguration von Routern oder<br />
Rout<strong>in</strong>gprotokollen verursacht. In e<strong>in</strong>em solchen Fall muss e<strong>in</strong>e Problembehandlung für die<br />
Netzwerkrout<strong>in</strong>gausrüstung durchgeführt werden.<br />
Leistungsprobleme<br />
Die Spalte »Zeit« im Leistungsabschnitt <strong>in</strong>nerhalb der Ausgabe von PathP<strong>in</strong>g kann e<strong>in</strong> Leistungsproblem<br />
identifizieren. Diese Spalte zeigt die bidirektionale Latenz der Kommunikation<br />
mit dem jeweiligen Gerät <strong>in</strong> der E<strong>in</strong>heit Millisekunden, dies ist die sogenannte RTT (Round-<br />
Trip Time). Zwar zeigen alle Netzwerke allmählich zunehmende Latenz, wenn sich die Zahl<br />
der Abschnitte (hop) vergrößert, aber e<strong>in</strong> großer Latenzsprung von e<strong>in</strong>em Abschnitt zum<br />
nächsten deutet auf Leistungsprobleme h<strong>in</strong>.<br />
Leistungsprobleme zeigen sich auch an e<strong>in</strong>em hohen Prozentwert <strong>in</strong> der Spalte »Verl./Ges.=<br />
%«. Diese Spalte misst die Paketverluste. Paketverluste im e<strong>in</strong>stelligen Bereich deuten im<br />
Allgeme<strong>in</strong>en noch nicht auf e<strong>in</strong> Problem h<strong>in</strong>, das Leistungs- oder Verb<strong>in</strong>dungsprobleme<br />
verursacht, aber e<strong>in</strong> Paketverlust von über 30 Prozent bedeutet im Allgeme<strong>in</strong>en, dass der<br />
Netzwerkknoten Probleme verursacht.
Tools für die Problembehandlung 565<br />
H<strong>in</strong>weis Falls für e<strong>in</strong> Netzwerkgerät e<strong>in</strong> Paketverlust von 100 Prozent angegeben wird,<br />
aber die Pakete <strong>in</strong> nachfolgenden Abschnitten verarbeitet werden, wurde das Netzwerkgerät<br />
so konfiguriert, dass es nicht auf PathP<strong>in</strong>g-Abfragen antwortet. Das deutet nicht zwangsläufig<br />
auf e<strong>in</strong> Problem h<strong>in</strong>.<br />
Mögliche Konnektivitätsprobleme<br />
Falls das letzte Element im ersten Abschnitt der PathP<strong>in</strong>g-Ausgabe ähnlich aussieht wie im<br />
folgenden Beispiel, konnte PathP<strong>in</strong>g nicht direkt mit dem Ziel kommunizieren:<br />
14 * * *<br />
Das kann, muss aber nicht durch e<strong>in</strong> Verb<strong>in</strong>dungsproblem verursacht se<strong>in</strong>. Das Gerät ist<br />
zwar unter Umständen offl<strong>in</strong>e oder nicht erreichbar, es ist aber auch denkbar, dass das Ziel<br />
(oder e<strong>in</strong> Netzwerkknoten auf dem Weg zum Ziel) so konfiguriert wurde, dass es die ICMP-<br />
Pakete verwirft, mit denen PathP<strong>in</strong>g Geräte abfragt. ICMP ist bei vielen modernen Betriebssystemen<br />
<strong>in</strong> der Standarde<strong>in</strong>stellung deaktiviert. Außerdem deaktivieren viele Adm<strong>in</strong>istratoren<br />
ICMP auch auf anderen Betriebssystemen von Hand. Das dient als Sicherheitsmaßnahme,<br />
die es böswilligen Angreifern schwerer machen soll, Knoten im Netzwerk zu identifizieren.<br />
Auch die Auswirkungen bestimmter Denial-of-Service-Angriffe können so verr<strong>in</strong>gert<br />
werden.<br />
H<strong>in</strong>weis Die <strong>W<strong>in</strong>dows</strong>-Firewall verwirft ICMP-Pakete auf öffentlichen Netzwerken standardmäßig.<br />
Sofern Sie daher ke<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Domänencontroller herstellen oder<br />
das Netzwerk als privat konfigurieren, antwortet <strong>W<strong>in</strong>dows</strong> <strong>in</strong> der Standarde<strong>in</strong>stellung nicht<br />
auf ICMP-Anforderungen.<br />
Falls PathP<strong>in</strong>g das Ziel nicht erreichen kann, sollten Sie versuchen, über Telnet direkt mit<br />
der Anwendung zu kommunizieren, wie im Abschnitt »Telnet-Client« weiter unten <strong>in</strong><br />
diesem Anhang beschrieben.<br />
Ke<strong>in</strong>e Konnektivitätsprobleme<br />
Falls die Ausgabe von PathP<strong>in</strong>g angibt, dass PathP<strong>in</strong>g erfolgreich mit dem Ziel kommunizieren<br />
konnte und die Zeit dafür unter 1000 Millisekunden liegt, bestehen wahrsche<strong>in</strong>lich<br />
ke<strong>in</strong>e Namensauflösungs- oder IP-Verb<strong>in</strong>dungsprobleme zwischen Quelle und Ziel. Daher<br />
kann PathP<strong>in</strong>g ke<strong>in</strong>e Probleme mit e<strong>in</strong>em bestimmten Dienst oder e<strong>in</strong>er bestimmten Anwendung<br />
aufklären. Zum Beispiel kann es se<strong>in</strong>, dass PathP<strong>in</strong>g erfolgreich mit e<strong>in</strong>em Webserver<br />
kommunizieren kann, obwohl die Webserverdienste beendet wurden. Weitere Informationen<br />
über die Behandlung von Anwendungsproblemen f<strong>in</strong>den Sie im Abschnitt »So führen Sie<br />
e<strong>in</strong>e Behandlung von Anwendungsverb<strong>in</strong>dungsproblemen durch« weiter unten <strong>in</strong> diesem<br />
Anhang.<br />
Leistungsüberwachung<br />
Mit der Leistungsüberwachung (Abbildung E.2) können Sie Tausende von Echtzeit<strong>in</strong>dikatoren<br />
mit Informationen über Ihren Computer oder e<strong>in</strong>en Remotecomputer anzeigen. Bei<br />
e<strong>in</strong>er Behandlung von Netzwerkleistungsproblemen können Sie sich mit der Leistungsüberwachung<br />
die aktuelle Bandbreitennutzung detaillierter aufgeschlüsselt ansehen, als das im
566 Anhang E: Behandlung von Problemen mit Netzwerken<br />
Task-Manager oder Ressourcenmonitor möglich ist. Außerdem bietet die Leistungsüberwachung<br />
Zugriff auf Indikatoren, die Wiederholungsversuche, Fehler und viele weitere<br />
Daten sammeln.<br />
Abbildung E.2 Die Leistungsüberwachung liefert detaillierte Netzwerkstatistiken <strong>in</strong> Echtzeit<br />
Die Leistungsüberwachung bietet Zugriff auf folgende Kategorien, deren Indikatoren für die<br />
Behandlung von Netzwerkproblemen nützlich se<strong>in</strong> können:<br />
.NET CLR-Netzwerk Zur Untersuchung der Netzwerkstatistiken für bestimmte .NET<br />
Framework-Anwendungen. Verwenden Sie diese Indikatoren, falls Sie anwendungsspezifische<br />
Netzwerkprobleme haben und die Anwendung auf dem .NET Framework basiert.<br />
BITS, Netzwerknutzung Liefert Statistiken zum <strong>in</strong>telligenten H<strong>in</strong>tergrundübertragungsdienst,<br />
mit dem Dateien im H<strong>in</strong>tergrund übertragen werden. Unter anderem verwendet<br />
<strong>W<strong>in</strong>dows</strong> Update BITS, um Dateien zu übertragen. Verwenden Sie diese Indikatoren,<br />
falls Sie denken, dass e<strong>in</strong> Netzwerkleistungsproblem mit BITS-Übertragungen<br />
zu tun hat, oder falls BITS-Übertragungen nicht wie erwartet funktionieren.<br />
Suchdienst Liefert Statistiken über den Computerbrowserdienst, mit dem nach Netzwerkressourcen<br />
gesucht wird. Verwenden Sie diese Indikatoren nur, falls Sie e<strong>in</strong>e Behandlung<br />
von Problemen beim Durchsuchen lokaler Netzwerke durchführen, <strong>in</strong>sbesondere<br />
bei der Suche nach Ressourcen <strong>in</strong> <strong>W<strong>in</strong>dows</strong> XP oder älteren <strong>W<strong>in</strong>dows</strong>-Versionen.<br />
ICMP und ICMPv6 Stellt Statistiken über ICMP bereit. ICMP wird von Tools wie<br />
P<strong>in</strong>g, Tracert und PathP<strong>in</strong>g verwendet. Verwenden Sie diese Indikatoren nur, falls Sie<br />
ICMP gezielt e<strong>in</strong>setzen, um die Netzwerkkonnektivität zu testen.<br />
IPsec-AuthIPv4, IPsec-AuthIPv6, IPsec-Treiber, IPsec-IKEv4 und IPsec-IKEv6<br />
Stellt IPsec-Statistiken (Internet Protocol Security) zur Verfügung. Verwenden Sie diese<br />
Indikatoren, falls Netzwerkprobleme auftreten und IPsec <strong>in</strong> Ihrer Umgebung aktiviert ist.
Tools für die Problembehandlung 567<br />
IPv4 und IPv6 Diese Kategorie liefert Informationen zur Schicht 3 des Netzwerks,<br />
zum Beispiel Fragmentierungsstatistiken. Falls Sie die Gesamtauslastung des Netzwerks<br />
überwachen wollen, sollten Sie stattdessen die Indikatoren aus der Kategorie »Netzwerkschnittstelle«<br />
verwenden.<br />
NBT-Verb<strong>in</strong>dung Liefert Informationen über die Bytes, die im Rahmen von NetBIOS<br />
gesendet und empfangen wurden, zum Beispiel für Datei- und Druckerfreigabe.<br />
Netzwerkschnittstelle Die nützlichste Kategorie für die Problembehandlung. Sie enthält<br />
Indikatoren für den gesamten Netzwerkverkehr, der von e<strong>in</strong>er bestimmten Netzwerkkarte<br />
gesendet oder empfangen wird. Diese Indikatoren s<strong>in</strong>d die zuverlässigste Möglichkeit,<br />
die Gesamtauslastung des Netzwerks zu ermitteln. Indikatoren der Kategorie »Netzwerkschnittstelle«<br />
liefern auch Informationen über Fehler.<br />
Redirectordienst Liefert Statistiken, die vom <strong>W<strong>in</strong>dows</strong> 7-Redirectordienst gesammelt<br />
werden, der Verkehr zu und von unterschiedlichen Netzwerkkomponenten weiterleitet.<br />
Die meisten dieser Indikatoren können Sie nur richtig <strong>in</strong>terpretieren, wenn Sie detailliertes<br />
Wissen über den Netzwerkstack von <strong>W<strong>in</strong>dows</strong> 7 besitzen. Der Leistungs<strong>in</strong>dikator<br />
»Netzwerkfehler/s« kann aber bei der Diagnose von Netzwerkproblemen sehr nützlich<br />
se<strong>in</strong>.<br />
Server Liefert Statistiken zur Freigabe von Dateien und Druckern, zum Beispiel die<br />
verbrauchte Bandbreite und die Zahl der Fehler. Verwenden Sie diese Indikatoren, wenn<br />
Sie e<strong>in</strong>e Behandlung von Problemen mit der Datei- und Druckerfreigabe auf e<strong>in</strong>em<br />
Server vornehmen.<br />
TCPv4 und TCPv6 Liefern Informationen über TCP-Verb<strong>in</strong>dungen. Für die Problembehandlung<br />
besonders <strong>in</strong>teressant s<strong>in</strong>d die Leistungs<strong>in</strong>dikatoren »Verb<strong>in</strong>dungsfehler«,<br />
»Aktive Verb<strong>in</strong>dungen« und »Hergestellte Verb<strong>in</strong>dungen«.<br />
UDPv4 und UDPv6 Liefern Informationen über die UDP-Kommunikation. Verwenden<br />
Sie diese Indikatoren, um festzustellen, ob e<strong>in</strong> Computer UDP-Daten, zum Beispiel<br />
DNS-Anforderungen, sendet oder empfängt. Überwachen Sie die Leistungs<strong>in</strong>dikatoren<br />
»Erhaltene Datagramme, ke<strong>in</strong> Port/s« und »Erhaltene Datagramme, Fehler«, um festzustellen,<br />
ob e<strong>in</strong> Computer unangeforderten UDP-Verkehr erhält.<br />
Gehen Sie folgendermaßen vor, um die Leistungsüberwachung zu öffnen:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und dann auf Verwalten.<br />
2. Erweitern Sie den Knoten System, dann Leistung und schließlich Überwachungstools.<br />
Klicken Sie auf Leistungsüberwachung.<br />
3. Fügen Sie Leistungs<strong>in</strong>dikatoren zum Echtzeitdiagramm h<strong>in</strong>zu, <strong>in</strong>dem Sie die grüne Plus-<br />
Schaltfläche auf der Symbolleiste anklicken.<br />
Sammlungssätze<br />
Mit der Leistungsüberwachung können Sie zwar e<strong>in</strong>en selbstdef<strong>in</strong>ierten Satz Daten aufzeichnen,<br />
aber im Allgeme<strong>in</strong>en ist es schneller, e<strong>in</strong>en der vordef<strong>in</strong>ierten Sammlungssätze als Ausgangsbasis<br />
zu nehmen. Die Sammlungssätze System Diagnostics (Systemdiagnose) wie auch<br />
System Performance (Systemleistung) messen Netzwerkleistungs<strong>in</strong>dikatoren, die möglicherweise<br />
über die Ursache von Netzwerkproblemen Auskunft geben.
568 Anhang E: Behandlung von Problemen mit Netzwerken<br />
Gehen Sie folgendermaßen vor, um e<strong>in</strong>en Sammlungssatz zu verwenden:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den<br />
Befehl Verwalten.<br />
2. Erweitern Sie die Knoten Leistung, Sammlungssätze und dann System.<br />
3. Klicken Sie unter System mit der rechten Maustaste auf System Diagnostics (Systemdiagnose)<br />
und wählen Sie den Befehl Starten.<br />
4. Sobald Sie die Diagnoseablaufverfolgung aktiviert haben, sammelt <strong>W<strong>in</strong>dows</strong> detaillierte<br />
Informationen über Netzwerkkarten und die Gesamtleistung des Betriebssystems.<br />
5. Versuchen Sie jetzt, bei laufender Ablaufverfolgung das Netzwerkproblem zu reproduzieren.<br />
Der Sammlungssatz zeichnet 60 Sekunden lang Daten auf.<br />
6. <strong>W<strong>in</strong>dows</strong> benötigt e<strong>in</strong>ige Sekunden, um den Bericht zu generieren, nachdem Sie die<br />
Ablaufverfolgung beendet haben. Anschließend können Sie die gesammelten Informationen<br />
<strong>in</strong> Berichtsform ansehen (Abbildung E.3). Erweitern Sie dazu unter Leistung den<br />
Knoten Berichte. Erweitern Sie anschließend den Knoten System Diagnostics (Systemdiagnose)<br />
und klicken Sie auf den neusten Bericht.<br />
Abbildung E.3 Ablaufverfolgungsberichte zeigen detaillierte Informationen<br />
Abhängig vom Typ des Berichts f<strong>in</strong>den Sie dar<strong>in</strong> folgende Informationen:<br />
Computerhersteller und -modell<br />
Betriebssystemversion<br />
Liste aller Dienste mit ihrem aktuellen Status und ihrer Prozess-ID<br />
Informationen zu Netzwerkkartentreibern und Netzwerksystemdateien mit Versionsangaben<br />
Auslastung von Prozessor, Datenträgern, Netzwerk und Arbeitsspeicher
Gesamte Bandbreite jeder Netzwerkkarte<br />
Gesendete und empfangene Pakete<br />
Aktive TCPv4- und TCPv6-Verb<strong>in</strong>dungen<br />
Ressourcenmonitor<br />
Tools für die Problembehandlung 569<br />
<strong>W<strong>in</strong>dows</strong> 7 stellt den Ressourcenmonitor zur Verfügung, damit Sie Prozessor-, Datenträger-,<br />
Netzwerk- und Arbeitsspeicherauslastung verfolgen können. Es gibt zwei Möglichkeiten,<br />
den Ressourcenmonitor zu öffnen:<br />
Klicken Sie im Startmenü auf Alle Programme, Zubehör, Systemprogramme und schließlich<br />
auf Ressourcenmonitor.<br />
Öffnen Sie den Task-Manager. Klicken Sie auf die Registerkarte Leistung und dann auf<br />
Ressourcenmonitor.<br />
Bei der Behandlung von Netzwerkproblemen ist der Abschnitt Netzwerk <strong>in</strong>nerhalb des Ressourcenmonitors<br />
am <strong>in</strong>teressantesten. Der Abschnitt Netzwerk zeigt an, wie viele Bytes pro<br />
M<strong>in</strong>ute jeder Prozess auf Ihrem Computer verbraucht. Anhand dieser Informationen können<br />
Sie e<strong>in</strong>en Prozess identifizieren, der große Datenmengen überträgt, und ihn beenden, falls er<br />
nicht über das Netzwerk kommunizieren soll. Gehen Sie folgendermaßen vor, um e<strong>in</strong>en<br />
Prozess, der Netzwerkauslastung verursacht, zu identifizieren und zu beenden:<br />
1. Öffnen Sie den Ressourcenmonitor.<br />
2. Erweitern Sie den Abschnitt Netzwerk. Klicken Sie auf den Spaltenkopf Total, um die<br />
Prozessliste nach dem Bandbreitenverbrauch zu sortieren.<br />
3. Der oberste Prozess sendet und empfängt die meisten Daten. Notieren Sie sich den Prozessnamen<br />
(<strong>in</strong> der Spalte Abbild), die Prozess-ID (Spalte PID) und den Remotecomputer<br />
(Spalte Adresse). Falls diese Informationen ausreichen, um den Prozess zu identifizieren,<br />
können Sie die Anwendung jetzt schließen.<br />
4. Falls es sich bei dem Prozess um Svchost.exe handelt, können Sie unter Umständen nicht<br />
erkennen, welche konkrete Anwendung den Netzwerkverkehr verursacht, weil es e<strong>in</strong><br />
<strong>W<strong>in</strong>dows</strong>-Feature ist (beziehungsweise e<strong>in</strong> <strong>W<strong>in</strong>dows</strong>-Feature für die Kommunikation<br />
genutzt wird). Falls es e<strong>in</strong> anderer Prozess ist, können Sie den Task-Manager öffnen.<br />
5. Klicken Sie im Task-Manager auf die Registerkarte Prozesse und dann im Menü Ansicht<br />
auf Spalten auswählen.<br />
6. Aktivieren Sie im Dialogfeld Spalten für die Prozessseite auswählen das Kontrollkästchen<br />
für PID (Prozess-ID). Klicken Sie auf OK.<br />
7. Klicken Sie auf die Spalte PID, um die Liste nach der Prozess-ID zu sortieren. Klicken<br />
Sie auf den Prozess mit der PID, die Sie im Ressourcenmonitor als Verursacher des<br />
Netzwerkverkehrs identifiziert haben. Wird die PID nicht aufgeführt, müssen Sie auf<br />
Prozesse aller Benutzer anzeigen klicken.<br />
8. Identifizieren Sie den Dienst, <strong>in</strong>dem Sie ihn mit der rechten Maustaste anklicken und<br />
den Befehl Zu Dienst(en) wechseln wählen. Beenden Sie den Prozess, <strong>in</strong>dem Sie auf die<br />
Schaltfläche Prozess beenden klicken.
5<strong>70</strong> Anhang E: Behandlung von Problemen mit Netzwerken<br />
P<strong>in</strong>g<br />
In den meisten Fällen hat e<strong>in</strong>e Anwendung, die große Datenmengen sendet oder empfängt,<br />
dafür e<strong>in</strong>en konkreten Anlass, und Sie sollten sie nicht beenden. In bestimmten Fällen kann<br />
es aber se<strong>in</strong>, dass dieser Prozess mit Malware zu tun hat. Überprüfen Sie, ob auf dem Computer<br />
<strong>W<strong>in</strong>dows</strong> Defender aktiviert ist und ob auf dem aktuellsten Stand ist.<br />
Der Nutzen von P<strong>in</strong>g ist heutzutage beschränkt, weil die meisten neuen Computer P<strong>in</strong>g-<br />
Anforderungen (die ICMP benutzen) verwerfen. Daher kann es passieren, dass Sie e<strong>in</strong>en<br />
Computer, der an e<strong>in</strong> Netzwerk angeschlossen ist, mit P<strong>in</strong>g überprüfen, aber ke<strong>in</strong>e Antwort<br />
erhalten. Andererseits kann es auch se<strong>in</strong>, dass e<strong>in</strong> Computer auf P<strong>in</strong>g-Anforderungen antwortet,<br />
e<strong>in</strong>e Firewall aber allen anderen Verkehr verwirft, sodass Sie irrtümlich glauben, die<br />
Konnektivität wäre vorhanden.<br />
P<strong>in</strong>g ist aber nach wie vor das beste Tool, um mit e<strong>in</strong>fachen Mitteln die Netzwerkkonnektivität<br />
regelmäßig zu testen. Nachdem Sie mit PathP<strong>in</strong>g Netzwerkhosts identifiziert haben, die<br />
auf ICMP-Anforderungen reagieren, können Sie mit P<strong>in</strong>g regelmäßig P<strong>in</strong>g-Anforderungen<br />
schicken und somit ganz e<strong>in</strong>fach feststellen, ob Sie momentan Konnektivität zu diesem Host<br />
haben. Falls Sie gelegentliche Verb<strong>in</strong>dungsprobleme haben, verrät e<strong>in</strong>e P<strong>in</strong>g-Schleife jederzeit,<br />
ob Ihre Verb<strong>in</strong>dung aktiv ist.<br />
Führen Sie den folgenden Befehl aus, um e<strong>in</strong>e P<strong>in</strong>g-Schleife zu starten:<br />
p<strong>in</strong>g –t Hostname<br />
Zeilen mit der Meldung »Antwort von« zeigen, dass das Paket erfolgreich gesendet wurde,<br />
die Meldung »Zeitüberschreitung der Anforderung« dagegen, dass der Computer ke<strong>in</strong>e<br />
Antwort vom Remotehost erhalten hat. Das folgende Beispiel zeigt, wie Sie die Verb<strong>in</strong>dung<br />
zu e<strong>in</strong>em Host an der IP-Adresse 192.168.1.1 überwachen können:<br />
p<strong>in</strong>g –t 192.168.1.1<br />
P<strong>in</strong>g wird ausgeführt für 192.168.1.1 mit 32 Bytes Daten:<br />
Antwort von 192.168.1.1: Bytes=32 Zeit=1ms TTL=64<br />
Antwort von 192.168.1.1: Bytes=32 Zeit
Portqry<br />
Suchen von Blackhole-Routern<br />
Tim Ra<strong>in</strong>s, Program Manager, <strong>W<strong>in</strong>dows</strong> Network<strong>in</strong>g<br />
Tools für die Problembehandlung 571<br />
P<strong>in</strong>g kann nützlich se<strong>in</strong>, um festzustellen, ob Router auf dem Pfad Blackhole-Router s<strong>in</strong>d,<br />
die alle Datagramme verwerfen, die e<strong>in</strong>e bestimmte Größe überschreiten. Weitere Informationen<br />
f<strong>in</strong>den Sie unter http://support.microsoft.com/kb/314825.<br />
Wenn Sie P<strong>in</strong>g aus e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> PowerShell-Skript heraus aufrufen wollen, können Sie<br />
das Cmdlet Test-Connection verwenden. Es bietet praktisch dieselbe Funktion wie P<strong>in</strong>g, hat<br />
aber den Vorteil, dass Sie mit dem Parameter –Source festlegen können, dass die ICMP-<br />
Anforderung von e<strong>in</strong>em Remotecomputer aus gesendet wird.<br />
Fragen Sie wichtige Dienste auf e<strong>in</strong>em Remotehost ab, um festzustellen, ob dieser Remotehost<br />
verfügbar und der Zugriff möglich ist. Sie können zwei Problembehandlungswerkzeuge<br />
verwenden, um Dienste auf e<strong>in</strong>em Remotehost abzufragen: Portqry (Portqry.exe) und den<br />
Telnet-Client. Portqry ist flexibler und e<strong>in</strong>facher zu bedienen als der Telnet-Client. Da es<br />
allerd<strong>in</strong>gs nicht <strong>in</strong> <strong>W<strong>in</strong>dows</strong> enthalten ist, ist es möglicherweise nicht auf allen Systemen<br />
<strong>in</strong>stalliert (es kann aber von der Microsoft-Website heruntergeladen werden). Den Telnet-<br />
Client sollten Sie nur verwenden, um Remotedienste abzufragen, falls Portqry nicht zur<br />
Verfügung steht.<br />
PortQry Version 1.22 ist e<strong>in</strong> Dienstprogramm zum Testen der TCP/IP-Konnektivität, das <strong>in</strong><br />
den <strong>Support</strong>tools für <strong>W<strong>in</strong>dows</strong> Server 2003 enthalten ist. H<strong>in</strong>weise zum Download dieser<br />
Tools f<strong>in</strong>den Sie unter http://support.microsoft.com/kb/892777. PortqryV2.exe ist e<strong>in</strong>e neue<br />
Version von PortQry, die alle Features und Funktionen der Vorgängerversion bietet und sie<br />
durch neue Features und Funktionen erweitert. Informationen über PortqryV2.exe sowie<br />
e<strong>in</strong>e Downloadmöglichkeit f<strong>in</strong>den Sie unter http://support.microsoft.com/kb/832919. Die<br />
folgenden Beispiele können Sie mit beiden Versionen ausführen.<br />
H<strong>in</strong>weis Informationen über PortQryUI, e<strong>in</strong>e Benutzeroberfläche für den ursprünglichen<br />
Befehlszeilen-Portscanner Portqry.exe, f<strong>in</strong>den Sie unter http://support.microsoft.com/kb/<br />
310099; der Artikel enthält auch e<strong>in</strong>en Downloadl<strong>in</strong>k für dieses Tool.<br />
Identifizieren des TCP-Ports für e<strong>in</strong>en Dienst<br />
E<strong>in</strong> e<strong>in</strong>ziger Computer kann viele Netzwerkdienste hosten. Diese Dienste trennen ihren jeweiligen<br />
Verkehr mithilfe von Portnummern. Wenn Sie die Konnektivität zu e<strong>in</strong>er Anwendung<br />
mithilfe von Portqry testen, müssen Sie dabei angeben, welche Portnummer die<br />
Zielanwendung verwendet.<br />
H<strong>in</strong>weis Die meisten Dienste erlauben dem Adm<strong>in</strong>istrator, e<strong>in</strong>e andere Portnummer als <strong>in</strong><br />
der Standarde<strong>in</strong>stellung festzulegen. Falls der Dienst nicht auf der Standardportnummer<br />
antwortet, sollten Sie überprüfen, ob er vielleicht nicht so konfiguriert ist, dass er e<strong>in</strong>e andere<br />
Portnummer verwendet. Sie können Netstat auf dem Server starten, um die überwachten<br />
Ports aufzulisten. Weitere Informationen f<strong>in</strong>den Sie im Abschnitt »Netstat« weiter oben <strong>in</strong><br />
diesem Anhang.
572 Anhang E: Behandlung von Problemen mit Netzwerken<br />
E<strong>in</strong>e Liste gebräuchlicher Portnummern f<strong>in</strong>den Sie im Abschnitt »So führen Sie e<strong>in</strong>e<br />
Behandlung von Netzwerkverb<strong>in</strong>dungsproblemen durch« weiter unten <strong>in</strong> diesem Anhang.<br />
Testen der Dienstkonnektivität<br />
Sobald Sie die Portnummer für den Dienst identifiziert haben, können Sie mit Portqry die<br />
Konnektivität zu diesem Dienst testen. Sie können die Konnektivität zu e<strong>in</strong>em Dienst testen,<br />
<strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den folgenden Befehl ausführen:<br />
portqry –n Ziel –e Portnummer<br />
Zum Beispiel können Sie die HTTP-Konnektivität zu www.microsoft.com testen, <strong>in</strong>dem Sie<br />
den folgenden Befehl e<strong>in</strong>geben:<br />
portqry -n www.microsoft.com –e 80<br />
Dieser Befehl liefert e<strong>in</strong>e Ausgabe, die zum Beispiel so aussieht:<br />
Query<strong>in</strong>g target system called:<br />
www.microsoft.com<br />
Attempt<strong>in</strong>g to resolve name to IP address...<br />
Name resolved to 10.209.68.190<br />
TCP port 80 (http service): LISTENING<br />
Das Ziel kann als Hostname, Computername oder IP-Adresse angegeben werden. Falls die<br />
Antwort das Wort »LISTENING« enthält, hat der Host auf der angegebenen Portnummer<br />
geantwortet. Falls die Antwort »NOT LISTENING« oder »FILTERED« enthält, steht der<br />
Dienst, den Sie testen, nicht zur Verfügung.<br />
H<strong>in</strong>weis Netcat ist e<strong>in</strong> hervorragendes Tool, das nicht von Microsoft stammt. Sie können<br />
damit die Verb<strong>in</strong>dung zu bestimmten Ports testen oder prüfen, welche Ports e<strong>in</strong> Computer<br />
auf Verb<strong>in</strong>dungen überwacht. Netcat ist e<strong>in</strong> Open-Source-Tool, das kostenlos unter http://<br />
netcat.sourceforge.net/ zur Verfügung steht.<br />
Bestimmen der verfügbaren Remoteverwaltungsprotokolle<br />
Wenn Sie e<strong>in</strong>e Problembehandlung für e<strong>in</strong>en Computer im Remotezugriff durchführen,<br />
müssen Sie oft feststellen, welche Remoteverwaltungsprotokolle verfügbar s<strong>in</strong>d. Portqry<br />
kann die Standardportnummern für wichtige Remoteverwaltungsprotokolle testen und<br />
herausf<strong>in</strong>den, welche Protokolle zur Verfügung stehen.<br />
Sie können feststellen, welche Verwaltungsprotokolle auf e<strong>in</strong>em Remotehost verfügbar s<strong>in</strong>d,<br />
<strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den folgenden Befehl ausführen:<br />
portqry –n Ziel –o 32,139,445,3389<br />
Dieser Befehl überprüft beim Remotehost, ob Telnet-Server, NetBIOS, CIFS (Common<br />
Internet File System) und der Remotedesktop zur Verfügung stehen.
Route<br />
Angeben des Quellports<br />
Tim Ra<strong>in</strong>s, Program Manager, <strong>W<strong>in</strong>dows</strong> Network<strong>in</strong>g<br />
Tools für die Problembehandlung 573<br />
Mit der Portqry-Option -sp können Sie angeben, welchen Quellport Sie verwenden wollen,<br />
um die Konnektivität zu testen. Verwenden Sie diesen Parameter, um den ursprünglichen<br />
Quellport anzugeben, wenn Sie die Verb<strong>in</strong>dung zu den angegebenen TCP- und UDP-Ports<br />
auf dem Zielcomputer herstellen. Diese Funktionalität ist nützlich, wenn Sie Firewall-<br />
oder Routerregeln testen, die Ports anhand der Quellports filtern.<br />
Die folgende Portqry-Ausgabe verrät, dass das Remotesystem auf NetBIOS-, CIFS- und<br />
Remotedesktopanforderungen antwortet, aber nicht auf Telnet-Anforderungen:<br />
Query<strong>in</strong>g target system called:<br />
192.168.1.200<br />
Attempt<strong>in</strong>g to resolve IP address to a name...<br />
IP address resolved to CONTOSO-SERVER<br />
TCP port 32 (unknown service): NOT LISTENING<br />
TCP port 139 (netbios-ssn service): LISTENING<br />
TCP port 445 (microsoft-ds service): LISTENING<br />
TCP port 3389 (unknown service): LISTENING<br />
Warum Portqry großartig ist<br />
Tim Ra<strong>in</strong>s, Program Manager, <strong>W<strong>in</strong>dows</strong> Network<strong>in</strong>g<br />
Der wichtigste Vorteil, den Portqry gegenüber dem Telnet-Client und ähnlichen Tools<br />
bietet, ist die Unterstützung für UDP-basierte Dienste. Der Telnet-Client kann nur<br />
Konnektivität mit TCP-Ports testen. Mit Portqry können Sie neben TCP-Ports auch UDP-<br />
Ports testen. Unter anderem kann Portqry die UDP-Ports für LDAP (Lightweight Directory<br />
Access Protocol), RPC (Remote Procedure Calls), DNS, NetBIOS-Namendienst,<br />
SNMP (Simple Network Management Protocol), Microsoft Internet Security and Acceleration<br />
(ISA), SQL Server 2000 Named Instances, TFTP (Trivial File Transfer Protocol)<br />
und L2TP (Layer Two Tunnel<strong>in</strong>g Protocol) testen.<br />
Alle IP-basierten, vernetzten Geräte, dazu zählen auch Computer, haben Rout<strong>in</strong>gtabellen.<br />
Rout<strong>in</strong>gtabellen beschreiben das lokale Netzwerk, Remotenetzwerke und Gateways, über<br />
die Sie Verkehr zwischen Netzwerken weiterleiten können. In Netzwerken mit e<strong>in</strong>em e<strong>in</strong>zigen<br />
Gateway ist die Rout<strong>in</strong>gtabelle ganz simpel. Sie gibt an, dass lokaler Verkehr direkt an<br />
das LAN gesendet werden soll, Verkehr an irgende<strong>in</strong> anderes Netzwerk dagegen an das<br />
Gateway.<br />
Manche Netzwerke haben aber mehrere Gateways. Zum Beispiel kann es se<strong>in</strong>, dass Sie <strong>in</strong><br />
e<strong>in</strong>em LAN zwei Gateways haben: e<strong>in</strong>es, das <strong>in</strong>s Internet führt, und e<strong>in</strong> anderes, das zu<br />
e<strong>in</strong>em privaten Netzwerk führt. In diesem Fall muss die Rout<strong>in</strong>gtabelle des lokalen Computers<br />
beschreiben, dass bestimmte Netzwerke durch das <strong>in</strong>terne Gateway verfügbar s<strong>in</strong>d<br />
und alle anderen Netzwerke durch das Internetgateway.
574 Anhang E: Behandlung von Problemen mit Netzwerken<br />
H<strong>in</strong>weis E<strong>in</strong> Clientcomputer wird <strong>in</strong> Remotezugriffsszenarien meist mit mehreren Routen<br />
konfiguriert. Insbesondere wenn e<strong>in</strong> Client e<strong>in</strong>e VPN-Verb<strong>in</strong>dung (Virtual Private Network)<br />
verwendet, kann es getrennte Routen für die Netzwerke geben, die durch die VPN-Verb<strong>in</strong>dung<br />
verfügbar s<strong>in</strong>d, woh<strong>in</strong>gegen jeglicher anderer Verkehr direkt <strong>in</strong>s Internet gesendet wird.<br />
Normalerweise werden <strong>W<strong>in</strong>dows</strong>-Computer automatisch mit der richtigen Rout<strong>in</strong>gtabelle<br />
konfiguriert. Zum Beispiel konfigurieren Netzwerkadm<strong>in</strong>istratoren den DHCP-Server, um<br />
e<strong>in</strong> Standardgateway zuzuweisen. Wenn e<strong>in</strong>e VPN-Verb<strong>in</strong>dung hergestellt wird, liefert der<br />
VPN-Server Rout<strong>in</strong>g<strong>in</strong>formationen, die <strong>W<strong>in</strong>dows</strong> 7 verwendet, um die Rout<strong>in</strong>gtabellen zu<br />
aktualisieren. Daher brauchen Sie den Befehl Route nur selten zu verwenden, um die Rout<strong>in</strong>gtabelle<br />
anzusehen oder zu aktualisieren.<br />
Falls Sie allerd<strong>in</strong>gs Verb<strong>in</strong>dungsprobleme haben und mit e<strong>in</strong>em Remotenetzwerk verbunden<br />
s<strong>in</strong>d oder Ihr lokales Netzwerk mehrere Gateways hat, können Sie mit dem Befehl Route<br />
Rout<strong>in</strong>gprobleme diagnostizieren und sogar unterschiedliche Rout<strong>in</strong>gkonfigurationen testen.<br />
Sie können sich die IPv4- und IPv6-Rout<strong>in</strong>gtabellen des lokalen Computers ansehen, <strong>in</strong>dem<br />
Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den folgenden Befehl ausführen:<br />
route pr<strong>in</strong>t<br />
Die Ausgabe dieses Befehls sieht ähnlich aus wie die folgende:<br />
===========================================================================<br />
Schnittstellenliste<br />
11 ...00 80 c8 ac 0d 9e ...... D-L<strong>in</strong>k AirPlus DWL-520+ Wireless PCI Adapter<br />
8 ...00 13 d3 3b 50 8f ...... NVIDIA nForce Network<strong>in</strong>g Controller<br />
1 ........................... Software Loopback Interface 1<br />
9 ...02 00 54 55 4e 01 ...... Teredo Tunnel<strong>in</strong>g Pseudo-Interface<br />
12 ...00 00 00 00 00 00 00 e0 isatap.{B1A1A1DE-A1E5-4ED6-B597-7667C85F8999}<br />
13 ...00 00 00 00 00 00 00 e0 isatap.hsd1.nh.comcast.net.<br />
===========================================================================<br />
IPv4-Routentabelle<br />
===========================================================================<br />
Aktive Routen:<br />
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik<br />
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.132 20<br />
127.0.0.0 255.0.0.0 Auf Verb<strong>in</strong>dung 127.0.0.1 306<br />
127.0.0.1 255.255.255.255 Auf Verb<strong>in</strong>dung 127.0.0.1 306<br />
127.255.255.255 255.255.255.255 Auf Verb<strong>in</strong>dung 127.0.0.1 306<br />
169.254.0.0 255.255.0.0 Auf Verb<strong>in</strong>dung 169.254.166.248 286<br />
169.254.166.248 255.255.255.255 Auf Verb<strong>in</strong>dung 169.254.166.248 286<br />
169.254.255.255 255.255.255.255 Auf Verb<strong>in</strong>dung 169.254.166.248 286<br />
192.168.1.0 255.255.255.0 Auf Verb<strong>in</strong>dung 192.168.1.132 276<br />
192.168.1.132 255.255.255.255 Auf Verb<strong>in</strong>dung 192.168.1.132 276<br />
192.168.1.255 255.255.255.255 Auf Verb<strong>in</strong>dung 192.168.1.132 276<br />
224.0.0.0 240.0.0.0 Auf Verb<strong>in</strong>dung 127.0.0.1 306<br />
224.0.0.0 240.0.0.0 Auf Verb<strong>in</strong>dung 192.168.1.132 276<br />
224.0.0.0 240.0.0.0 Auf Verb<strong>in</strong>dung 169.254.166.248 286
Tools für die Problembehandlung 575<br />
255.255.255.255 255.255.255.255 Auf Verb<strong>in</strong>dung 127.0.0.1 306<br />
255.255.255.255 255.255.255.255 Auf Verb<strong>in</strong>dung 192.168.1.132 276<br />
255.255.255.255 255.255.255.255 Auf Verb<strong>in</strong>dung 169.254.166.248 286<br />
===========================================================================<br />
Ständige Routen:<br />
Ke<strong>in</strong>e<br />
IPv6-Routentabelle<br />
===========================================================================<br />
Aktive Routen:<br />
If Metrik Netzwerkziel Gateway<br />
9 18 ::/0 Auf Verb<strong>in</strong>dung<br />
1 306 ::1/128 Auf Verb<strong>in</strong>dung<br />
9 18 2001::/32 Auf Verb<strong>in</strong>dung<br />
9 266 2001:0:4136:e37a:14fc:39dc:3f57:fe7b/128<br />
Auf Verb<strong>in</strong>dung<br />
8 276 fe80::/64 Auf Verb<strong>in</strong>dung<br />
11 286 fe80::/64 Auf Verb<strong>in</strong>dung<br />
9 266 fe80::/64 Auf Verb<strong>in</strong>dung<br />
12 296 fe80::5efe:169.254.166.248/128<br />
Auf Verb<strong>in</strong>dung<br />
13 281 fe80::5efe:192.168.1.132/128<br />
Auf Verb<strong>in</strong>dung<br />
9 266 fe80::14fc:39dc:3f57:fe7b/128<br />
Auf Verb<strong>in</strong>dung<br />
8 276 fe80::41e9:c80b:416d:717c/128<br />
Auf Verb<strong>in</strong>dung<br />
11 286 fe80::c038:ad1f:3cc6:a6f8/128<br />
Auf Verb<strong>in</strong>dung<br />
1 306 ff00::/8 Auf Verb<strong>in</strong>dung<br />
9 266 ff00::/8 Auf Verb<strong>in</strong>dung<br />
8 276 ff00::/8 Auf Verb<strong>in</strong>dung<br />
11 286 ff00::/8 Auf Verb<strong>in</strong>dung<br />
===========================================================================<br />
Ständige Routen:<br />
Ke<strong>in</strong>e<br />
Um die Rout<strong>in</strong>gkonfiguration richtig <strong>in</strong>terpretieren zu können, benötigen Sie Fachwissen zur<br />
Funktionsweise von IP-Netzwerken. Sie können allerd<strong>in</strong>gs schnell Standardrouten für Verkehr<br />
identifizieren, der an Ihr Standardgateway gesendet wird: Suchen Sie dazu die aktive<br />
Route mit dem Netzwerkziel und der Netzwerkmaske 0.0.0.0 für IPv4-Routen und e<strong>in</strong>e aktive<br />
Route mit dem Präfix ::/0 für IPv6-Routen. Andere aktive Routen, denen e<strong>in</strong> Gateway zugewiesen<br />
ist, sorgen dafür, dass Verkehr an das jeweilige Netzwerkziel und die angegebene<br />
Netzwerkmaske durch dieses Gateway gesendet wird. Dabei wird die Route bevorzugt, die<br />
den kle<strong>in</strong>sten Metrikwert hat.<br />
Falls Sie die IPv4-Rout<strong>in</strong>gtabelle von Hand aktualisieren müssen (normalerweise sollten Sie<br />
stattdessen Änderungen an der Netzwerk<strong>in</strong>frastruktur vornehmen, die dem Client die Routen<br />
zugewiesen hat), können Sie die Befehle route add, route change und route delete verwenden.
576 Anhang E: Behandlung von Problemen mit Netzwerken<br />
Weitere Informationen erhalten Sie, <strong>in</strong>dem Sie <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung den Befehl<br />
route -? e<strong>in</strong>geben.<br />
Wenn Sie die IPv6-Rout<strong>in</strong>gtabelle aktualisieren wollen, müssen Sie die Befehle netsh<br />
<strong>in</strong>terface ipv6 add|set|delete route verwenden.<br />
Task-Manager<br />
Der Task-Manager (Taskmgr.exe) ist e<strong>in</strong> GUI-Tool, mit dem Sie e<strong>in</strong>en Prozess oder e<strong>in</strong>e<br />
Anwendung, die nicht mehr reagiert, anzeigen und beenden können. Sie können mit dem<br />
Task-Manager auch andere Informationen sammeln, zum Beispiel CPU-Statistiken.<br />
Sie können den Task-Manager starten, <strong>in</strong>dem Sie im Startmenü den Befehl Taskmgr e<strong>in</strong>geben<br />
und dann die EINGABETASTE drücken. Stattdessen können Sie mit der rechten Maustaste<br />
auf die Taskleiste klicken und den Befehl Task-Manager wählen.<br />
Das Fenster <strong>W<strong>in</strong>dows</strong> Task-Manager enthält sechs Registerkarten: Anwendungen, Prozesse,<br />
Dienste, Leistung, Netzwerk und Benutzer.<br />
Die Registerkarten Anwendungen und Prozesse listen die Anwendungen beziehungsweise<br />
Prozesse auf, die momentan auf Ihrem System aktiv s<strong>in</strong>d. Diese Listen s<strong>in</strong>d nützlich,<br />
weil aktive Aufgaben nicht immer e<strong>in</strong>e Benutzeroberfläche anzeigen, sodass es<br />
schwierig se<strong>in</strong> kann, Aktivitäten zu erkennen. Der Task-Manager zeigt aktive Prozesse<br />
an und erlaubt Ihnen, die meisten Elemente zu beenden, <strong>in</strong>dem Sie auf die Schaltfläche<br />
Prozess beenden klicken. E<strong>in</strong>ige Prozesse können Sie nicht sofort beenden. In solchen<br />
Fällen können Sie das Snap-In Dienste oder Taskkill verwenden, um sie zu beenden. Sie<br />
können den Task-Manager auch anpassen, um mehr oder weniger Details auf der Registerkarte<br />
Prozesse anzuzeigen.<br />
Abbildung E.4 Auf der Registerkarte Dienste können Sie<br />
Dienste anhand ihrer PID identifizieren und beenden<br />
Die Registerkarte Dienste zeigt laufende Dienste und ihre PID an. Falls Sie feststellen,<br />
dass e<strong>in</strong>e bestimmte PID Netzwerkressourcen verbraucht und Sie die PID auf dieser<br />
Registerkarte f<strong>in</strong>den, wissen Sie, dass e<strong>in</strong> Dienst die Netzwerkbelastung verursacht. Sie
Tools für die Problembehandlung 577<br />
können e<strong>in</strong>en Dienst beenden, <strong>in</strong>dem Sie ihn mit der rechten Maustaste anklicken und<br />
den Befehl Dienst beenden wählen (Abbildung E.4).<br />
Die Registerkarte Leistung stellt die Prozessor- und Arbeitsspeicherauslastung grafisch<br />
dar. E<strong>in</strong> Blick auf diese Registerkarte verrät schnell die Gesamtbelastung durch alle Programme<br />
und Dienste auf dem Computer. Die Registerkarte Leistung zeigt auch zentrale<br />
Leistungs<strong>in</strong>dikatoren, darunter die Zahl der Prozesse, die Zahl der Threads und der <strong>in</strong>sgesamt<br />
im System <strong>in</strong>stallierten Hardwarespeicher.<br />
Die Registerkarte Netzwerk zeigt die Belastung aller Netzwerkschnittstellen.<br />
Auf der Registerkarte Benutzer können Sie aktive Benutzer trennen und abmelden.<br />
Gehen Sie folgendermaßen vor, um sich detaillierte Informationen über Prozesse anzusehen:<br />
1. Starten Sie den Task-Manager und klicken Sie auf die Registerkarte Prozesse.<br />
2. Klicken Sie optional auf Prozesse aller Benutzer anzeigen.<br />
3. Wählen Sie den Menübefehl Ansicht/Spalten auswählen.<br />
4. Aktivieren oder deaktivieren Sie die Spalten, die Sie zur Registerkarte Prozesse h<strong>in</strong>zufügen<br />
oder daraus entfernen wollen.<br />
5. Klicken Sie auf OK, um zum Task-Manager zurückzukehren.<br />
Gehen Sie folgendermaßen vor, um die Ursache für e<strong>in</strong>e hohe Prozessorauslastung zu<br />
ermitteln:<br />
1. Starten Sie den Task-Manager und klicken Sie auf die Registerkarte Leistung.<br />
2. Wählen Sie im Menü Ansicht den Befehl Kernel-Zeiten anzeigen (sofern noch nicht<br />
aktiviert).<br />
3. Sehen Sie sich das Diagramm Verlauf der CPU-Auslastung an. Falls das Diagramm Werte<br />
anzeigt, die nahe 100 Prozent liegen, verbrauchen e<strong>in</strong> oder mehrere Prozesse den Großteil<br />
der Rechenkapazität des Computers. Die rote L<strong>in</strong>ie zeigt an, wie viel Prozent des<br />
Prozessors durch den Kernel ausgelastet werden; dazu gehören auch Treiber. Wird der<br />
Großteil der CPU-Zeit vom Kernel verbraucht, sollten Sie überprüfen, ob Sie signierte<br />
Treiber verwenden und die neusten Versionen aller Treiber <strong>in</strong>stalliert haben. Ist dagegen<br />
nicht der Kernel für den Großteil der Prozessorauslastung verantwortlich, sollten Sie mit<br />
dem nächsten Schritt fortfahren, um herauszuf<strong>in</strong>den, um welchen Prozess es sich handelt.<br />
4. Klicken Sie auf die Registerkarte Prozesse.<br />
5. Klicken Sie zweimal auf den Spaltenkopf CPU, um die Prozesse nach der Prozessorbelastung<br />
zu sortieren, sodass der Prozess, der die höchste Belastung verursacht, am<br />
Anfang der Liste steht.<br />
Der Prozess oder die Prozesse, die die Prozessorbelastung verursachen, zeigen hohe Werte<br />
<strong>in</strong> der Spalte CPU. Wenn der Prozessor nicht stark belastet wird, zeigt der Systemleerlaufprozess<br />
die höchste CPU-Auslastung.<br />
Gehen Sie folgendermaßen vor, um die PID e<strong>in</strong>er Anwendung zu f<strong>in</strong>den:<br />
1. Starten Sie den Task-Manager und stellen Sie sicher, dass die Spalte PID auf der Registerkarte<br />
Prozesse angezeigt wird. Ist das nicht der Fall, können Sie den Menübefehl<br />
Ansicht/Spalten auswählen wählen und dann das Kontrollkästchen PID (Prozess-ID)<br />
aktivieren. Klicken Sie auf OK.
578 Anhang E: Behandlung von Problemen mit Netzwerken<br />
TCPView<br />
2. Klicken Sie auf die Registerkarte Anwendungen.<br />
3. Klicken Sie mit der rechten Maustaste auf die Anwendung und dann auf Zu Prozess<br />
wechseln.<br />
Der Task-Manager zeigt daraufh<strong>in</strong> die Registerkarte Prozesse an. Der mit der Anwendung<br />
verknüpfte Prozess wird markiert. Die Prozess-ID wird <strong>in</strong> der Spalte PID angezeigt.<br />
Gehen Sie folgendermaßen vor, um e<strong>in</strong>en Prozess zu beenden:<br />
1. Starten Sie den Task-Manager und klicken Sie auf die Registerkarte Prozesse.<br />
2. Klicken Sie mit der rechten Maustaste auf den Prozess, den Sie beenden wollen, und<br />
wählen Sie im Kontextmenü den Befehl Prozess beenden.<br />
Der Task-Manager versucht nun, den Prozess zu beenden. Falls das im Task-Manager nicht<br />
gel<strong>in</strong>gt, können Sie Taskkill verwenden.<br />
Sie können die Netzwerkauslastung ermitteln, <strong>in</strong>dem Sie den Task-Manager starten und<br />
dann auf die Registerkarte Netzwerk klicken. Der Task-Manager zeigt die Auslastung für<br />
jede Netzwerkkarte an. Der Prozentsatz für die Auslastung wird als Verhältnis zur gemeldeten<br />
Geschw<strong>in</strong>digkeit des Adapters berechnet. In den meisten Fällen s<strong>in</strong>d Netzwerkkarten<br />
nicht <strong>in</strong> der Lage, 100 Prozent Auslastung zu erreichen, der Maximalwert liegt gewöhnlich<br />
bei 60 bis <strong>70</strong> Prozent.<br />
TCPView (Abbildung E.5) überwacht <strong>in</strong> Echtzeit sowohl e<strong>in</strong>gehende als auch ausgehende<br />
Verb<strong>in</strong>dungen und Anwendungen, die Verb<strong>in</strong>dungen entgegennehmen. Mit TCPView können<br />
Sie genau ermitteln, zu welchen Servern und welchen Portnummern e<strong>in</strong> Client Verb<strong>in</strong>dungen<br />
herstellt oder welche Clients Verb<strong>in</strong>dungen zu e<strong>in</strong>em bestimmten Server aufnehmen.<br />
Abbildung E.5 Mit TCPView können Sie Netzwerkverb<strong>in</strong>dungen<br />
<strong>in</strong> Echtzeit überwachen
Telnet-Client<br />
Tools für die Problembehandlung 579<br />
Sie können TCPView unter http://technet.microsoft.com/de-de/sys<strong>in</strong>ternals/bb897437.aspx<br />
herunterladen. TCPView brauchen Sie nicht zu <strong>in</strong>stallieren. Kopieren Sie e<strong>in</strong>fach die ausführbare<br />
Datei <strong>in</strong> e<strong>in</strong>en Ordner, aus dem Anwendungen gestartet werden dürfen (zum Beispiel<br />
C:\Program Files\), und klicken Sie dann doppelt auf Tcpview.exe. TCPView br<strong>in</strong>gt außerdem<br />
Tcpvcon.exe mit, e<strong>in</strong> Befehlszeilentool, das e<strong>in</strong>en ähnlichen Funktionsumfang bietet.<br />
Der Telnet-Client ist zwar nicht <strong>in</strong> erster L<strong>in</strong>ie e<strong>in</strong> Problembehandlungstool, er ist aber sehr<br />
nützlich, um festzustellen, ob TCP-basierte Netzwerkdienste von e<strong>in</strong>em Client aus erreichbar<br />
s<strong>in</strong>d. Die am häufigsten benutzten Netzwerkdienste arbeiten TCP-basiert, zum Beispiel<br />
Webdienste, Maildienste und Dateiübertragungsdienste. Der Telnet-Client ist nicht nützlich<br />
für die Problembehandlung UDP-basierter Netzwerkdienste, zum Beispiel von DNS und<br />
vielen Mediastream<strong>in</strong>g-Protokollen.<br />
Der Telnet-Client wird <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 nicht standardmäßig <strong>in</strong>stalliert. Sie können ihn <strong>in</strong>stallieren,<br />
<strong>in</strong>dem Sie <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung mit adm<strong>in</strong>istrativen Privilegien folgenden<br />
Befehl ausführen:<br />
start /w pkgmgr /iu:"TelnetClient"<br />
Stattdessen können Sie ihn auch folgendermaßen <strong>in</strong>stallieren:<br />
1. Klicken Sie im Startmenü auf Systemsteuerung.<br />
2. Klicken Sie auf Programme.<br />
3. Klicken Sie auf <strong>W<strong>in</strong>dows</strong>-Funktionen e<strong>in</strong>- oder ausschalten.<br />
4. Aktivieren Sie im Dialogfeld <strong>W<strong>in</strong>dows</strong>-Funktionen das Kontrollkästchen Telnet-Client.<br />
Klicken Sie auf OK.<br />
Der Telnet-Client ist nur nützlich, um festzustellen, ob e<strong>in</strong> Dienst erreichbar ist. Er liefert<br />
ke<strong>in</strong>e Informationen, die Sie für die Problembehandlung bei Namensauflösung, Netzwerkleistung<br />
oder Netzwerkverb<strong>in</strong>dung nutzen können. Verwenden Sie den Telnet-Client erst,<br />
nachdem Sie mit P<strong>in</strong>g ausgeschlossen haben, dass das Problem durch Fehler <strong>in</strong> der Namensauflösung<br />
verursacht wird. Weitere Informationen über P<strong>in</strong>g f<strong>in</strong>den Sie im Abschnitt »P<strong>in</strong>g«<br />
weiter oben <strong>in</strong> diesem Anhang.<br />
Testen der Dienstkonnektivität<br />
Sobald Sie die Portnummer für den Dienst identifiziert haben, können Sie mit dem Telnet-<br />
Client die Konnektivität zu diesem Dienst testen. Sie können die Konnektivität zu e<strong>in</strong>em<br />
Dienst testen, <strong>in</strong>dem Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den folgenden Befehl ausführen:<br />
telnet Ziel Portnummer<br />
Wenn Sie zum Beispiel die HTTP-Konnektivität zu www.microsoft.com testen wollen,<br />
können Sie den folgenden Befehl e<strong>in</strong>geben:<br />
telnet www.microsoft.com 80<br />
Das Ziel können Sie als Hostname, Computername oder IP-Adresse angeben. Die Antwort,<br />
die Sie erhalten, zeigt, ob e<strong>in</strong>e Verb<strong>in</strong>dung e<strong>in</strong>gerichtet wurde. Falls Sie die Meldung »Es<br />
konnte ke<strong>in</strong>e Verb<strong>in</strong>dung mit dem Host hergestellt werden« erhalten, hat der Host über die
580 Anhang E: Behandlung von Problemen mit Netzwerken<br />
Test TCP<br />
angegebene Portnummer nicht auf die Anforderung nach e<strong>in</strong>er Verb<strong>in</strong>dung geantwortet. Der<br />
Dienst, den Sie testen, ist somit nicht erreichbar.<br />
Falls Sie irgende<strong>in</strong>e andere Antwort erhalten (es kann auch se<strong>in</strong>, dass der gesamte Text im<br />
E<strong>in</strong>gabeaufforderungsfenster gelöscht wird), wurde die Verb<strong>in</strong>dung erfolgreich hergestellt.<br />
Damit können Sie ausschließen, dass das Problem durch e<strong>in</strong> Konnektivitätsproblem zwischen<br />
dem Client und dem Server verursacht wird. Abhängig vom Dienst, den Sie testen,<br />
trennt der Telnet-Client die Verb<strong>in</strong>dung automatisch oder die Sitzung bleibt offen. Beide<br />
Fälle bedeuten, dass erfolgreich e<strong>in</strong>e Verb<strong>in</strong>dung aufgebaut wurde. Falls die Telnet-Clientsitzung<br />
offen bleibt, sollten Sie die Verb<strong>in</strong>dung im Telnet-Client trennen und schließen.<br />
Gehen Sie folgendermaßen vor, um die Verb<strong>in</strong>dung im Telnet-Client zu trennen:<br />
1. Drücken Sie die Tastenkomb<strong>in</strong>ation STRG+].<br />
2. Warten Sie, bis die E<strong>in</strong>gabeaufforderung »Microsoft Telnet>« ersche<strong>in</strong>t, und geben Sie<br />
dann e<strong>in</strong>:<br />
quit<br />
Mit dem Tool Test TCP können Sie TCP-Verb<strong>in</strong>dungen e<strong>in</strong>leiten und auf TCP-Verb<strong>in</strong>dungen<br />
warten. Sie können Test TCP auch für UDP-Verkehr verwenden. Mit Test TCP können Sie<br />
e<strong>in</strong>en Computer so konfigurieren, dass er e<strong>in</strong>en bestimmten TCP- oder UDP-Port überwacht,<br />
ohne die entsprechende Anwendung oder den Dienst auf dem Computer <strong>in</strong>stallieren zu<br />
müssen. So können Sie die Netzwerkkonnektivität für bestimmte Verkehrsarten testen, bevor<br />
die Dienste tatsächlich bereitgestellt werden.<br />
Test TCP (Ttcp.exe) ist e<strong>in</strong> Tool, mit dem Sie TCP-Segmentdaten oder UDP-Nachrichten<br />
zwischen zwei Knoten entgegennehmen oder senden können. Ttcp.exe wird im Ordner<br />
Valueadd\Msft\Net\Tools der Produkt-CD-ROM von <strong>W<strong>in</strong>dows</strong> Server 2003 oder <strong>W<strong>in</strong>dows</strong><br />
XP Service Pack 2 geliefert.<br />
Test TCP unterscheiden sich von Portqry <strong>in</strong> folgenden Punkten:<br />
Mit Test TCP können Sie e<strong>in</strong>en Computer so konfigurieren, dass er e<strong>in</strong>en bestimmten<br />
TCP- oder UDP-Port überwacht, ohne die Anwendung oder den Dienst auf dem Computer<br />
<strong>in</strong>stallieren zu müssen. So können Sie die Netzwerkkonnektivität für bestimmte<br />
Verkehrsarten testen, bevor die Dienste tatsächlich bereitgestellt werden. Zum Beispiel<br />
können Sie mit Test TCP den Domänenreplikationsverkehr zu e<strong>in</strong>em Computer austesten,<br />
bevor Sie den Computer zu e<strong>in</strong>em Domänencontroller machen.<br />
Test TCP unterstützt auch IPv6-Verkehr.<br />
Wenn Sie e<strong>in</strong>en TCP-Port benutzen, lautet die grundlegende Syntax für Ttcp.exe am überwachenden<br />
Knoten (Empfängerseite):<br />
ttcp -r -pPort<br />
Die Syntax zum Überwachen e<strong>in</strong>es UDP-Ports lautet:<br />
ttcp -r –pPort -u<br />
Nachdem Sie Test TCP im Empfangsmodus gestartet haben, wartet das Tool unbegrenzt<br />
lange auf e<strong>in</strong>e Übertragung, sodass Sie nicht direkt zur E<strong>in</strong>gabeaufforderung zurückkommen.<br />
Wenn Sie zum ersten Mal mit Test TCP auf e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Computer Verb<strong>in</strong>dungen ent-
Tools für die Problembehandlung 581<br />
gegennehmen wollen, bekommen Sie unter Umständen e<strong>in</strong>e Meldung, dass Sie e<strong>in</strong>e <strong>W<strong>in</strong>dows</strong>-Firewall-Ausnahme<br />
erstellen müssen. Sie müssen diese Ausnahme anlegen, ansonsten<br />
funktioniert Test TCP nicht. Falls Sie sich entscheiden, die Anwendung nicht mehr zu blockieren,<br />
erlaubt die <strong>W<strong>in</strong>dows</strong>-Firewall <strong>in</strong> Zukunft jeglichen Verkehr an diesen Computer<br />
über den angegebenen Port. Daher brauchen Sie künftig ke<strong>in</strong>e neue Ausnahme für diesen<br />
Netzwerktyp mehr zu erstellen, selbst falls Sie e<strong>in</strong>en anderen Port überwachen.<br />
Wenn Sie e<strong>in</strong>en TCP-Port benutzen, lautet die grundlegende Syntax für Ttcp.exe am sendenden<br />
Knoten:<br />
ttcp -t -pPort Hostname<br />
Und die Syntax für e<strong>in</strong>en UDP-Port lautet:<br />
ttcp -t –pPort -u Hostname<br />
Falls die beiden Computer mite<strong>in</strong>ander kommunizieren können, gibt der sendende Computer<br />
Meldungen aus, die zum Beispiel so aussehen:<br />
ttcp-t: W<strong>in</strong>7 -> 192.168.1.132<br />
ttcp-t: local 192.168.1.196 -> remote 192.168.1.132<br />
ttcp-t: buflen=8192, nbuf=2048, align=16384/+0, port=81 tcp -> W<strong>in</strong>7<br />
ttcp-t: done send<strong>in</strong>g, nbuf = -1<br />
ttcp-t: 16777216 bytes <strong>in</strong> 1423 real milliseconds = 11513 KB/sec<br />
ttcp-t: 2048 I/O calls, msec/call = 0, calls/sec = 1439, bytes/call = 8192<br />
Gleichzeitig ersche<strong>in</strong>en auf dem empfangenden Computer folgende Ausgaben:<br />
ttcp-r: local 192.168.1.132 remote 10.46.20.60<br />
ttcp-t: buflen=8192, nbuf=2048, align=16384/+0, port=80 tcp -> www.microsoft.com<br />
send(to) failed: 10053<br />
ttcp-t: done send<strong>in</strong>g, nbuf = 2037<br />
ttcp-t: 81920 bytes <strong>in</strong> 16488 real milliseconds = 4 KB/sec<br />
ttcp-t: 11 I/O calls, msec/call = 1498, calls/sec = 0, bytes/call = 7447<br />
In diesem Beispiel war die TCP-Verb<strong>in</strong>dung erfolgreich, obwohl die Ausgaben die Meldung<br />
»send(to) failed« (Senden fehlgeschlagen) enthalten. Falls die Verb<strong>in</strong>dung nicht erfolgreich<br />
war, enthalten die Ausgaben die Meldung »connection refused« (Verb<strong>in</strong>dung verweigert).<br />
Manche Server antworten auch e<strong>in</strong>fach nicht auf ungültige Kommunikation, dann bleibt der
582 Anhang E: Behandlung von Problemen mit Netzwerken<br />
Test TCP-Sender e<strong>in</strong>fach hängen, während er auf e<strong>in</strong>e Antwort vom Server wartet. Sie<br />
können Test TCP mit der Tastenkomb<strong>in</strong>ation STRG+C abbrechen.<br />
Jede Instanz von Test TCP kann nur e<strong>in</strong>en e<strong>in</strong>zigen Port überwachen oder an e<strong>in</strong>en Port<br />
senden. Sie können das Tool allerd<strong>in</strong>gs <strong>in</strong> mehreren E<strong>in</strong>gabeaufforderungen starten, um an<br />
mehrere Ports zu senden oder mehrere Ports zu überwachen. Weitere Informationen zu<br />
Befehlszeilenoptionen erhalten Sie, <strong>in</strong>dem Sie <strong>in</strong> der E<strong>in</strong>gabeaufforderung ttcp e<strong>in</strong>geben.<br />
<strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose<br />
Die Behandlung von Netzwerkproblemen ist kompliziert, <strong>in</strong>sbesondere für Endbenutzer.<br />
Viele Benutzer entdecken Netzwerkprobleme, wenn sie versuchen, e<strong>in</strong>e Webseite mit dem<br />
Internet Explorer zu besuchen. Falls die Webseite nicht verfügbar ist, gibt der Internet Explorer<br />
die Meldung »Die Webseite kann nicht angezeigt werden« aus. Das Problem kann<br />
aber viele Ursachen haben:<br />
Der Benutzer hat die Adresse der Webseite falsch e<strong>in</strong>getippt.<br />
Der Webserver ist nicht verfügbar.<br />
Die Internetverb<strong>in</strong>dung des Benutzers steht nicht zur Verfügung.<br />
Das LAN des Benutzers steht nicht zur Verfügung.<br />
Die Netzwerkkarte des Benutzers ist falsch konfiguriert.<br />
Die Netzwerkkarte des Benutzers ist ausgefallen.<br />
Es ist wichtig, dass der Benutzer die Ursache des Problems kennt. Falls zum Beispiel der<br />
Webserver nicht verfügbar ist, braucht der Benutzer nichts zu unternehmen. Er muss e<strong>in</strong>fach<br />
warten, bis der Webserver wieder <strong>in</strong> Betrieb ist. Falls die Internetverb<strong>in</strong>dung ausgefallen ist,<br />
muss der Benutzer möglicherweise se<strong>in</strong>en Internetprovider anrufen, um das Problem beseitigen<br />
zu lassen. Falls die Netzwerkkarte des Benutzers ausgefallen ist, sollte er versuchen,<br />
sie zurückzusetzen, und sich wegen weiterer Hilfe an den technischen <strong>Support</strong> se<strong>in</strong>es Computerherstellers<br />
wenden.<br />
Die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose und die zugrundeliegende <strong>W<strong>in</strong>dows</strong>-Problembehandlungsplattform<br />
helfen dem Benutzer dabei, Netzwerkkonnektivitätsprobleme zu diagnostizieren<br />
und <strong>in</strong> e<strong>in</strong>igen Fällen auch zu beseitigen. Wenn <strong>W<strong>in</strong>dows</strong> 7 Netzwerkprobleme feststellt,<br />
fragt es beim Benutzer nach, ob er sie diagnostizieren will. Zum Beispiel zeigt der Internet<br />
Explorer e<strong>in</strong>en L<strong>in</strong>k an, mit dem die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose gestartet wird, falls e<strong>in</strong><br />
Webserver nicht verfügbar ist, und das Netzwerk- und Freigabecenter zeigt e<strong>in</strong>en Diagnosel<strong>in</strong>k<br />
an, falls e<strong>in</strong> Netzwerk nicht zur Verfügung steht.<br />
Anwendungen können dem Benutzer anbieten, die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose zu öffnen,<br />
falls Verb<strong>in</strong>dungsprobleme auftreten. Sie starten die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose von Hand,<br />
<strong>in</strong>dem Sie das Netzwerk- und Freigabecenter öffnen, auf Probleme beheben klicken und den<br />
angezeigten Anweisungen folgen. Im Unterschied zu vielen anderen Tools, die <strong>in</strong> diesem<br />
Anhang beschrieben werden, wurde die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose mit dem Ziel entwickelt,<br />
auch für Personen nützlich zu se<strong>in</strong>, die ke<strong>in</strong>e Experten für Netzwerktechnologien s<strong>in</strong>d.
Der Ablauf bei der Behandlung von Netzwerkproblemen 583<br />
Der Ablauf bei der Behandlung von Netzwerkproblemen<br />
Die meisten Benutzer fassen unter dem Begriff Verb<strong>in</strong>dungsprobleme e<strong>in</strong>e Vielzahl von Problemen<br />
zusammen, zum Beispiel e<strong>in</strong>e ausgefallene Netzwerkverb<strong>in</strong>dung, e<strong>in</strong>e Anwendung,<br />
die aufgrund von Firewallfilterung ke<strong>in</strong>e Verb<strong>in</strong>dung herstellen kann, und bedenkliche Leistungsprobleme.<br />
Daher besteht der erste Schritt bei der Behandlung von Verb<strong>in</strong>dungsproblemen<br />
dar<strong>in</strong>, die näheren Umstände des Verb<strong>in</strong>dungsproblems zu identifizieren.<br />
Gehen Sie folgendermaßen vor, um die Ursache e<strong>in</strong>es Verb<strong>in</strong>dungsproblems zu ermitteln.<br />
Beantworten Sie dabei die Fragen, bis Sie auf e<strong>in</strong>en anderen Abschnitt verwiesen werden:<br />
1. Öffnen Sie das Netzwerk- und Freigabecenter, <strong>in</strong>dem Sie <strong>in</strong> der Taskleiste auf das Netzwerksymbol<br />
klicken und den Befehl Netzwerk- und Freigabecenter öffnen wählen. Klicken<br />
Sie unten auf der Seite auf Probleme beheben und folgen Sie dann den angezeigten<br />
Anweisungen. Falls die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose das Problem nicht identifizieren<br />
oder beseitigen kann, sollten Sie die Informationen an Microsoft senden, um mitzuhelfen,<br />
die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose weiter zu verbessern. Folgen Sie dann den weiteren<br />
Schritten <strong>in</strong> dieser Anleitung.<br />
2. Sie versuchen, e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk herzustellen, aber Ihr Verb<strong>in</strong>dungsversuch<br />
wird zurückgewiesen? Lesen Sie <strong>in</strong> diesem Fall im Abschnitt »So führen<br />
Sie e<strong>in</strong>e Behandlung von Problemen <strong>in</strong> Drahtlosnetzwerken durch« weiter unten <strong>in</strong> diesem<br />
Anhang weiter.<br />
3. Versuchen Sie, e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Remotenetzwerk über e<strong>in</strong>e VPN-Verb<strong>in</strong>dung<br />
herzustellen, aber Ihr Verb<strong>in</strong>dungsversuch wird zurückgewiesen? Lesen Sie <strong>in</strong> diesem<br />
Fall »Troubleshoot<strong>in</strong>g Common VPN Related Errors« unter http://blogs.technet.com/<br />
rrasblog/archive/2009/08/12/troubleshoot<strong>in</strong>g-common-vpn-related-errors.aspx.<br />
4. Können Sie gelegentlich auf die Netzwerkressource zugreifen, aber sie ist unzuverlässig<br />
oder langsam? Lesen Sie <strong>in</strong> diesem Fall den Abschnitt »So führen Sie e<strong>in</strong>e Behandlung<br />
von Leistungsproblemen und sporadischen Konnektivitätsproblemen durch« <strong>in</strong> diesem<br />
Anhang.<br />
5. Können Sie auf andere Netzwerkressourcen zugreifen, wenn Sie andere Anwendungen<br />
benutzen, zum Beispiel E-Mail oder andere Websites? Falls nicht, haben Sie e<strong>in</strong> Netzwerkverb<strong>in</strong>dungsproblem<br />
oder e<strong>in</strong> Namensauflösungsproblem. Falls Sie Server über die<br />
IP-Adresse, aber nicht über den Hostnamen erreichen können, sollten Sie den Abschnitt<br />
»So führen Sie e<strong>in</strong>e Behandlung von Namensauflösungsproblemen durch« weiter unten<br />
<strong>in</strong> diesem Anhang lesen. Falls Server auch dann nicht verfügbar s<strong>in</strong>d, wenn Sie e<strong>in</strong>e IP-<br />
Adresse angeben, oder Sie die IP-Adresse nicht kennen, sollten Sie den Abschnitt »So<br />
führen Sie e<strong>in</strong>e Behandlung von Netzwerkverb<strong>in</strong>dungsproblemen durch« weiter unten <strong>in</strong><br />
diesem Anhang lesen.<br />
6. Versuchen Sie, e<strong>in</strong>er Domäne beizutreten oder sich mit e<strong>in</strong>em Domänenkonto an Ihrem<br />
Computer anzumelden, erhalten aber e<strong>in</strong>e Fehlermeldung, dass der Domänencontroller<br />
nicht verfügbar ist? Lesen Sie <strong>in</strong> diesem Fall den Abschnitt »So führen Sie e<strong>in</strong>e Behandlung<br />
von Beitritts- oder Anmeldeproblemen <strong>in</strong> e<strong>in</strong>er Domäne durch« weiter unten <strong>in</strong><br />
diesem Anhang.<br />
7. Öffnen Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung und führen Sie den Befehl Nslookup Servername aus.<br />
Falls Nslookup ke<strong>in</strong>e Meldung wie die folgende anzeigt, haben Sie e<strong>in</strong> Namensauflö-
584 Anhang E: Behandlung von Problemen mit Netzwerken<br />
sungsproblem. Lesen Sie <strong>in</strong> diesem Fall den Abschnitt »So führen Sie e<strong>in</strong>e Behandlung<br />
von Namensauflösungsproblemen durch« weiter unten <strong>in</strong> diesem Anhang.<br />
C:\>nslookup contoso.com<br />
Nicht-autorisierende Antwort:<br />
Name: contoso.com<br />
Addresses: 10.46.232.182, 10.46.130.117<br />
8. Versuchen Sie, e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em freigegebenen Ordner herzustellen? Lesen Sie<br />
<strong>in</strong> diesem Fall den Abschnitt »So führen Sie e<strong>in</strong>e Behandlung von Problemen mit der<br />
Datei- und Druckerfreigabe durch« weiter unten <strong>in</strong> diesem Anhang.<br />
9. Falls andere Netzwerkanwendungen funktionieren und die Namensauflösung erfolgreich<br />
ist, haben Sie unter Umständen e<strong>in</strong> Firewallproblem. Lesen Sie <strong>in</strong> diesem Fall den Abschnitt<br />
»So führen Sie e<strong>in</strong>e Behandlung von Anwendungsverb<strong>in</strong>dungsproblemen durch«<br />
weiter unten <strong>in</strong> diesem Anhang.<br />
So führen Sie e<strong>in</strong>e Behandlung von Netzwerkverb<strong>in</strong>dungsproblemen durch<br />
Falls Sie e<strong>in</strong> Netzwerkverb<strong>in</strong>dungsproblem haben, können Sie überhaupt ke<strong>in</strong>e Netzwerkressourcen<br />
erreichen, die normalerweise über das ausgefallene Netzwerk verfügbar s<strong>in</strong>d.<br />
Falls zum Beispiel Ihre Internetverb<strong>in</strong>dung ausgefallen ist, können Sie nicht auf Internetressourcen<br />
zugreifen, aber immer noch auf Ressourcen <strong>in</strong> Ihrem LAN. Falls dagegen Ihr LAN<br />
ausfällt, können Sie auf gar nichts mehr zugreifen. Die meisten Netzwerkverb<strong>in</strong>dungsprobleme<br />
haben e<strong>in</strong>e der folgenden Ursachen:<br />
Ausgefallene Netzwerkkarte<br />
Ausgefallene Netzwerkhardware<br />
Ausgefallene Netzwerkverb<strong>in</strong>dung<br />
Beschädigte Netzwerkkabel<br />
Falsch konfigurierte Netzwerkhardware<br />
Falsch konfigurierte Netzwerkkarte<br />
H<strong>in</strong>weis Wenn nur e<strong>in</strong>e e<strong>in</strong>zige Netzwerkressource ausgefallen ist, nehmen viele Benutzer<br />
fälschlicherweise an, dass gleich das gesamte Netzwerk ausgefallen ist. Zum Beispiel verh<strong>in</strong>dert<br />
e<strong>in</strong> ausgefallener DNS-Server, dass Ihr Computer Hostnamen auflösen kann. Das<br />
führt dazu, dass der Computer ke<strong>in</strong>e Ressourcen mehr im Netzwerk anhand ihrer Namen<br />
f<strong>in</strong>den kann. Und falls e<strong>in</strong> Benutzer immer nur auf se<strong>in</strong>en E-Mail-Server als e<strong>in</strong>zige Netzwerkressource<br />
zugreift und dieser Server ausgefallen ist, sieht es für den Benutzer vielleicht<br />
so aus, als wäre se<strong>in</strong>e Konnektivität völlig ausgefallen. Um zu vermeiden, dass Sie Zeit mit<br />
dem Versuch verschwenden, das falsche Problem zu beheben, beg<strong>in</strong>nen die Anleitungen <strong>in</strong><br />
diesem Anhang immer damit, die Ursache für das Problem zu isolieren.<br />
Wenn Sie die ausgefallene Komponente isoliert haben, können Sie sich daran machen, das<br />
konkrete Problem zu beseitigen oder an das entsprechende <strong>Support</strong>team weiterzuleiten. Falls<br />
Sie zum Beispiel feststellen, dass die Netzwerkkarte ausgefallen ist, müssen Sie beim Hardwarehersteller<br />
Ersatz anfordern. Falls Sie feststellen, dass die Internetverb<strong>in</strong>dung ausgefal-
Der Ablauf bei der Behandlung von Netzwerkproblemen 585<br />
len ist, müssen Sie mit Ihrem Internetprovider Kontakt aufnehmen. Gehen Sie folgendermaßen<br />
vor, um die Ursache für e<strong>in</strong> Netzwerkverb<strong>in</strong>dungsproblem zu isolieren:<br />
1. Öffnen Sie das Netzwerk- und Freigabecenter, <strong>in</strong>dem Sie <strong>in</strong> der Taskleiste auf das Netzwerksymbol<br />
klicken und den Befehl Netzwerk- und Freigabecenter öffnen wählen. Klicken<br />
Sie unten auf der Seite auf Probleme beheben und folgen Sie dann den angezeigten<br />
Anweisungen. Falls die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose das Problem nicht identifiziert oder<br />
beseitigt, müssen Sie die nächsten Schritte durchgehen.<br />
2. Öffnen Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung auf dem Computer, auf dem die Probleme auftreten.<br />
Führen Sie den Befehl ipconfig /all aus. Sehen Sie sich die Ausgabe an:<br />
Falls ke<strong>in</strong>e Netzwerkkarten aufgelistet werden, ist auf dem Computer entweder gar<br />
ke<strong>in</strong>e Netzwerkkarte <strong>in</strong>stalliert oder (wahrsche<strong>in</strong>licher) es ist ke<strong>in</strong> gültiger Treiber<br />
dafür <strong>in</strong>stalliert. Lesen Sie <strong>in</strong> diesem Fall Anhang D, »Problembehandlung für Hardware,<br />
Treiber und Laufwerke«.<br />
Falls alle Netzwerkkarten unter »Medienstatus« die Meldung »Medium getrennt«<br />
anzeigen, ist der Computer nicht mit e<strong>in</strong>em Netzwerk verbunden. Falls Sie e<strong>in</strong> Drahtlosnetzwerk<br />
verwenden, sollten Sie im Abschnitt »So führen Sie e<strong>in</strong>e Behandlung<br />
von Problemen <strong>in</strong> Drahtlosnetzwerken durch« weiter unten <strong>in</strong> diesem Anhang weiterlesen.<br />
Falls Sie e<strong>in</strong> Kabelnetzwerk verwenden, sollten Sie die beiden Enden des<br />
Netzwerkskabels abziehen und wieder e<strong>in</strong>stecken. Falls das Problem weiterh<strong>in</strong><br />
besteht, sollten Sie das Netzwerkkabel austauschen. Versuchen Sie, mit demselben<br />
Netzwerkkabel e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em anderen Computer herzustellen. Falls der<br />
andere Computer erfolgreich e<strong>in</strong>e Verb<strong>in</strong>dung herstellt, ist beim ersten Computer die<br />
Netzwerkkarte ausgefallen. Falls ke<strong>in</strong>er der Computer e<strong>in</strong>e erfolgreiche Verb<strong>in</strong>dung<br />
herstellen kann, hat das Problem mit der Netzwerkverkabelung, dem Netzwerkswitch<br />
oder dem Netzwerkhub zu tun. Ersetzen Sie die Netzwerkhardware, sofern<br />
erforderlich.<br />
Falls die Netzwerkkarte e<strong>in</strong>e IPv4-Adresse im Bereich von 169.254.0.1 bis<br />
169.254.255.254 hat, hat der Computer e<strong>in</strong>e APIPA-Adresse. Das bedeutet, dass der<br />
Computer so konfiguriert ist, dass er e<strong>in</strong>en DHCP-Server verwendet, dass aber ke<strong>in</strong>er<br />
zur Verfügung stand. Führen Sie mit adm<strong>in</strong>istrativen Anmelde<strong>in</strong>formationen die folgenden<br />
Befehle <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung aus:<br />
ipconfig /release<br />
ipconfig /renew<br />
ipconfig /all<br />
Falls die Netzwerkkarte nun immer noch e<strong>in</strong>e APIPA-Adresse hat, ist der DHCP-<br />
Server offl<strong>in</strong>e. Aktivieren Sie e<strong>in</strong>en DHCP-Server und starten Sie den Computer<br />
dann neu. Falls das Netzwerk ke<strong>in</strong>en DHCP-Server verwendet, müssen Sie e<strong>in</strong>e<br />
statische oder alternative IPv4-Adresse konfigurieren, die Ihnen das Netzwerkadm<strong>in</strong>istrationsteam<br />
oder Ihr Internetprovider nennt. Weitere Informationen über<br />
Ipconfig f<strong>in</strong>den Sie im Abschnitt »Ipconfig« weiter oben <strong>in</strong> diesem Anhang.<br />
Falls alle Netzwerkkarten <strong>in</strong> der Ausgabe des Befehls ipconfig /all die Meldung<br />
»DHCP aktiviert: Ne<strong>in</strong>« anzeigen, ist die Netzwerkkarte unter Umständen falsch<br />
konfiguriert. Falls DHCP deaktiviert ist, hat der Computer e<strong>in</strong>e statische IPv4-<br />
Adresse, was für Clientcomputer e<strong>in</strong>e ungewöhnliche Konfiguration ist. Aktualisieren<br />
Sie die IPv4-Konfiguration der Netzwerkkarte, sodass die Optionen IP-Adresse
586 Anhang E: Behandlung von Problemen mit Netzwerken<br />
automatisch beziehen und DNS-Serveradresse automatisch beziehen aktiviert<br />
s<strong>in</strong>d (Abbildung E.6).<br />
Abbildung E.6 In den meisten Netzwerken sollte<br />
der Client die IP-Adresse automatisch beziehen<br />
Konfigurieren Sie dann die Registerkarte Alternative Konfiguration im IP-Eigenschaftendialogfeld<br />
mit Ihrer aktuellen, statischen IP-Konfiguration.<br />
3. Wenn Sie bei diesem Schritt angekommen s<strong>in</strong>d, wissen Sie, dass Ihr Computer e<strong>in</strong>e<br />
gültige, über DHCP zugewiesene IPv4-Adresse hat und im LAN kommunizieren kann.<br />
Daher beruhen alle Verb<strong>in</strong>dungsprobleme auf ausgefallener oder falsch konfigurierter<br />
Netzwerkhardware. Sie können zwar nicht viel tun, um das Problem von e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong>-Client<br />
aus zu beseitigen, aber Sie können es immerh<strong>in</strong> diagnostizieren. Sehen Sie<br />
sich die Ausgabe des Befehls Ipconfig an und identifizieren Sie die IPv4-Adresse Ihres<br />
Standardgateways. Überprüfen Sie, ob sich die IPv4-Adresse des Standardgateways im<br />
selben Subnetz bef<strong>in</strong>det wie die IP-Adresse der Netzwerkkarte. Falls sie nicht im selben<br />
Subnetz liegt, ist die Adresse des Standardgateways falsch: Das Standardgateway muss<br />
im selben Subnetz se<strong>in</strong> wie die IPv4-Adresse des Clientcomputers.<br />
H<strong>in</strong>weis Um festzustellen, ob e<strong>in</strong>e IPv4-Adresse im selben Subnetz liegt wie die IPv4-<br />
Adresse Ihres Computers, müssen Sie sich erst Ihre Subnetzmaske ansehen. Falls Ihre<br />
Subnetzmaske 255.255.255.0 ist, müssen Sie die ersten drei Zahlengruppen (die sogenannten<br />
Oktette) <strong>in</strong> den IPv4-Adressen vergleichen (zum Beispiel 192.168.1 oder<br />
10.25.2). Falls sie genau übere<strong>in</strong>stimmen, bef<strong>in</strong>den sich die beiden IPv4-Adressen im<br />
selben Subnetz. Falls Ihre Subnetzmaske 255.255.0.0 ist, müssen Sie die beiden ersten<br />
Oktette vergleichen. Falls Ihre Subnetzmaske 255.0.0.0 ist, müssen Sie nur das erste<br />
Oktett vergleichen (die erste Zahlengruppe vor dem Punkt <strong>in</strong> der IP-Adresse). Falls<br />
irgende<strong>in</strong>e Zahl <strong>in</strong> der Subnetzmaske zwischen 0 und 255 liegt, brauchen Sie e<strong>in</strong>e b<strong>in</strong>äre<br />
Berechnung und den AND-Operator, um festzustellen, ob die beiden Adressen sich im<br />
selben Subnetz bef<strong>in</strong>den.
Der Ablauf bei der Behandlung von Netzwerkproblemen 587<br />
4. Versuchen Sie, mit folgendem Befehl e<strong>in</strong>en P<strong>in</strong>g-Test an das Standardgateway zu<br />
schicken:<br />
p<strong>in</strong>g Standardgateway_IP_Adresse<br />
Nehmen wir als Beispiel die folgende Ausgabe des Befehls Ipconfig:<br />
Ethernet-Adapter LAN-Verb<strong>in</strong>dung:<br />
Verb<strong>in</strong>dungsspezifisches DNS-Suffix: hsd1.nh.contoso.com.<br />
Verb<strong>in</strong>dungslokale IPv6-Adresse . : fe80::1ccc:d0f4:3959:7d74%10<br />
IPv4-Adresse. . . . . . . . . . . : 192.168.1.132<br />
Subnetzmaske . . . . . . . . . . : 255.255.255.0<br />
Standardgateway . . . . . . . . . : 192.168.1.1<br />
Sie führen <strong>in</strong> diesem Beispiel den folgenden Befehl aus:<br />
p<strong>in</strong>g 192.168.1.1<br />
Falls die Ergebnisse von P<strong>in</strong>g die Meldung »Zeitüberschreitung der Anforderung« enthalten,<br />
ist bei Ihrem Computer entweder die falsche IP-Adresse für Ihr Standardgateway<br />
konfiguriert oder Ihr Standardgateway ist offl<strong>in</strong>e oder blockiert ICMP-Anforderungen.<br />
Falls die Ergebnisse von P<strong>in</strong>g die Meldung »Antwort von ...« enthalten, ist Ihr Standardgateway<br />
richtig konfiguriert und das Problem tritt an anderer Stelle im Netzwerk auf.<br />
H<strong>in</strong>weis P<strong>in</strong>g ist ke<strong>in</strong> zuverlässiges Tool, um festzustellen, ob Computer oder Netzwerkgeräte<br />
im Netzwerk verfügbar s<strong>in</strong>d. Heutzutage konfigurieren viele Adm<strong>in</strong>istratoren<br />
aus Sicherheitsgründen ihre Geräte so, dass sie nicht auf P<strong>in</strong>g-Anforderungen reagieren.<br />
P<strong>in</strong>g ist aber nach wie vor das zuverlässigste Tool, um Router zu testen. Die meisten<br />
Adm<strong>in</strong>istratoren konfigurieren Router so, dass sie auf P<strong>in</strong>g-Anforderungen aus dem<br />
lokalen Netzwerk antworten. Es ist s<strong>in</strong>nvoll, e<strong>in</strong>en P<strong>in</strong>g-Test an Ihr Netzwerkgerät zu<br />
schicken, während alles e<strong>in</strong>wandfrei funktioniert. Auf diese Weise stellen Sie fest, ob es<br />
unter normalen Bed<strong>in</strong>gungen antwortet.<br />
5. Testen Sie mit dem Befehl Tracert, ob Sie mit Geräten außerhalb Ihres LANs kommunizieren<br />
können. Sie können dafür irgende<strong>in</strong>en Server <strong>in</strong> e<strong>in</strong>em Remotenetzwerk ansprechen.<br />
Dieses Beispiel verwendet den Host www.microsoft.com:<br />
tracert www.microsoft.com<br />
Routenverfolgung zu www.microsoft.com [10.46.19.30]<br />
über maximal 30 Abschnitte:<br />
0 w<strong>in</strong>7.hsd1.nh.contoso.com. [192.168.1.132]<br />
1 192.168.1.1<br />
2 c-3-0-ubr01.w<strong>in</strong>chendon.ma.boston.contoso.com [10.165.8.1]<br />
3 ge-3-37-ur01.w<strong>in</strong>chendon.ma.boston.contoso.com [10.87.148.129]<br />
4 ge-1-1-ur01.gardner.ma.boston.contoso.com [10.87.144.225]<br />
5 10g-9-1-ur01.sterl<strong>in</strong>g.ma.boston.contoso.com [10.87.144.217]<br />
Die Zeile mit dem Index 0 steht für Ihren Clientcomputer. Die Zeile 1 ist das Standardgateway.<br />
Die Zeilen ab 2 s<strong>in</strong>d Router außerhalb Ihres LANs.
588 Anhang E: Behandlung von Problemen mit Netzwerken<br />
Falls Sie die Meldung »Der Zielname konnte nicht aufgelöst werden« erhalten, ist<br />
Ihr DNS-Server nicht erreichbar, weil der DNS-Server offl<strong>in</strong>e ist, Ihr Clientcomputer<br />
falsch konfiguriert ist oder das Netzwerk ausgefallen ist. Falls Ihr DNS-Server sich<br />
im LAN bef<strong>in</strong>det (zu erkennen <strong>in</strong> den Ausgaben des Befehls ipconfig /all) und Sie<br />
Ihren Router nach wie vor mit P<strong>in</strong>g erreichen können, ist der DNS-Server ausgefallen<br />
oder falsch konfiguriert. Lesen Sie <strong>in</strong> diesem Fall im Abschnitt »So führen Sie<br />
e<strong>in</strong>e Behandlung von Namensauflösungsproblemen durch« <strong>in</strong> diesem Anhang weiter.<br />
Falls Ihr DNS-Server sich <strong>in</strong> e<strong>in</strong>em anderen Netzwerk bef<strong>in</strong>det, kann das Problem<br />
entweder e<strong>in</strong> Netzwerk<strong>in</strong>frastrukturproblem oder e<strong>in</strong> Namensauflösungsproblem<br />
se<strong>in</strong>. Wiederholen Sie diesen Schritt, testen Sie diesmal aber die IP-Adresse Ihres<br />
DNS-Servers mit P<strong>in</strong>g (die Adresse können Sie der Ausgabe des Befehls ipconfig /<br />
all entnehmen). Folgen Sie dann der Anleitung im Abschnitt »So führen Sie e<strong>in</strong>e<br />
Behandlung von Namensauflösungsproblemen durch«, um das Problem weiter zu<br />
isolieren.<br />
Falls nach Zeile 1 ke<strong>in</strong>e weiteren Antworten aufgelistet s<strong>in</strong>d, kann Ihr Standardgateway<br />
nicht mit externen Netzwerken kommunizieren. Versuchen Sie, das Standardgateway<br />
neu zu starten. Falls das Standardgateway direkt mit dem Internet verbunden<br />
ist, ist unter Umständen die Internetverb<strong>in</strong>dung oder das Gerät ausgefallen, das<br />
die Verb<strong>in</strong>dung zum Internet herstellt (zum Beispiel e<strong>in</strong> Kabel- oder DSL-Modem).<br />
Wenden Sie sich <strong>in</strong> diesem Fall an Ihren Internetprovider, um das Problem zu beseitigen.<br />
Falls dasselbe Gateway mehrmals <strong>in</strong> der Ausgabe von Tracert auftaucht, tritt im Netzwerk<br />
e<strong>in</strong>e Rout<strong>in</strong>gschleife auf. Rout<strong>in</strong>gschleifen können Leistungsprobleme verursachen<br />
oder die Kommunikation völlig zum Erliegen br<strong>in</strong>gen. Netzwerke beseitigen<br />
Rout<strong>in</strong>gschleifen normalerweise automatisch. Sie sollten aber Kontakt mit Ihrem<br />
Netzwerksupportteam aufnehmen, um sicherzustellen, dass sie über das Problem<br />
Bescheid wissen. Die folgende Ausgabe von Tracert zeigt e<strong>in</strong>e Rout<strong>in</strong>gschleife, weil<br />
sich die Knoten 5, 6 und 7 wiederholen:<br />
tracert www.contoso.com<br />
Routenverfolgung zu www.contoso.com [10.73.186.238]<br />
über maximal 30 Abschnitte:<br />
0 d820.hsd1.nh.contoso.com. [192.168.1.196]<br />
1 192.168.1.1<br />
2 c-3-0-ubr01.w<strong>in</strong>chendon.ma.boston.contoso.com [10.165.8.1]<br />
3 ge-3-37-ur01.w<strong>in</strong>chendon.ma.boston.contoso.com [10.87.148.129]<br />
4 ge-1-1-ur01.gardner.ma.boston.contoso.com [10.87.144.225]<br />
5 10g-9-1-ur01.sterl<strong>in</strong>g.ma.boston.contoso.com [10.87.144.217]<br />
6 te-9-2-ur01.marlboro.ma.boston.contoso.com [10.87.144.77]<br />
7 10g-8-1-ur01.natick.ma.boston.contoso.com [10.87.144.197]<br />
8 10g-9-1-ur01.sterl<strong>in</strong>g.ma.boston.contoso.com [10.87.144.217]<br />
9 te-9-2-ur01.marlboro.ma.boston.contoso.com [10.87.144.77]<br />
10 10g-8-1-ur01.natick.ma.boston.contoso.com [10.87.144.197]<br />
11 10g-9-1-ur01.sterl<strong>in</strong>g.ma.boston.contoso.com [10.87.144.217]<br />
12 te-9-2-ur01.marlboro.ma.boston.contoso.com [10.87.144.77]<br />
13 10g-8-1-ur01.natick.ma.boston.contoso.com [10.87.144.197]
Der Ablauf bei der Behandlung von Netzwerkproblemen 589<br />
Falls irgendwelche Router ab Zeile 2 antworten (egal, ob der endgültige Zielhost<br />
antwortet oder nicht), s<strong>in</strong>d der Clientcomputer und das Standardgateway richtig konfiguriert.<br />
Das Problem liegt <strong>in</strong> der Netzwerk<strong>in</strong>frastruktur oder Ihre Internetverb<strong>in</strong>dung<br />
ist ausgefallen. Folgen Sie den Problembehandlungsschritten im Abschnitt »So<br />
führen Sie e<strong>in</strong>e Behandlung von Anwendungsverb<strong>in</strong>dungsproblemen durch« oder<br />
wenden Sie sich an den Netzwerksupport, um das Problem beseitigen zu lassen.<br />
Um Ihre Ergebnisse zu bestätigen, sollten Sie diese Schritte auf e<strong>in</strong>em anderen Clientcomputer<br />
im selben Netzwerk wiederholen. Falls der zweite Clientcomputer dieselben Symptome<br />
zeigt, können Sie relativ sicher se<strong>in</strong>, dass e<strong>in</strong> Teil der Netzwerks<strong>in</strong>frastruktur ausgefallen ist.<br />
Falls der zweite Client erfolgreich im Netzwerk kommunizieren kann, sollten Sie die Ausgaben<br />
von ipconfig /all der beiden Computer vergleichen. Falls sich die Adressen von Standardgateway<br />
oder DNS-Server unterscheiden, können Sie den Computer, auf dem die Probleme<br />
auftreten, versuchsweise mit den E<strong>in</strong>stellungen des anderen Computers konfigurieren.<br />
Falls das Problem dadurch nicht beseitigt wird, handelt es sich um e<strong>in</strong> spezielles Problem<br />
des ersten Computers, das möglicherweise auf e<strong>in</strong> Hardware- oder Treiberproblem zurückzuführen<br />
ist (siehe Anhang D, »Problembehandlung für Hardware, Treiber und Laufwerke«).<br />
So führen Sie e<strong>in</strong>e Behandlung von Anwendungsverb<strong>in</strong>dungsproblemen<br />
durch<br />
Manchmal können Sie mit e<strong>in</strong>igen Anwendungen auf das Netzwerk zugreifen, aber mit anderen<br />
nicht. Zum Beispiel könnte es se<strong>in</strong>, dass Sie Ihre E-Mails herunterladen können, aber<br />
der Zugriff auf Webserver fehlschlägt. Oder Sie können sich Seiten auf e<strong>in</strong>em Remotewebserver<br />
ansehen, aber mit Remotedesktop ke<strong>in</strong>e Verb<strong>in</strong>dung mit dem Computer aufnehmen.<br />
Diese Symptome können durch verschiedene Probleme verursacht werden (wahrsche<strong>in</strong>lichere<br />
s<strong>in</strong>d zuerst genannt):<br />
Der Remotedienst läuft nicht. Zum Beispiel kann es se<strong>in</strong>, dass Remotedesktop auf dem<br />
Remotecomputer nicht aktiviert ist.<br />
Auf dem Remoteserver ist e<strong>in</strong>e Firewall konfiguriert, die die Kommunikation dieser<br />
Anwendung von Ihrem Clientcomputer blockiert.<br />
E<strong>in</strong>e Firewall zwischen dem Client- und dem Servercomputer blockiert die Kommunikation<br />
der Anwendung.<br />
Die <strong>W<strong>in</strong>dows</strong>-Firewall auf dem lokalen Computer kann so konfiguriert se<strong>in</strong>, dass sie den<br />
Verkehr der Anwendung blockiert.<br />
Der Remotedienst wurde so konfiguriert, dass er e<strong>in</strong>e nicht standardmäßige Portnummer<br />
verwendet. Zum Beispiel benutzen Webserver normalerweise TCP-Port 80, aber manche<br />
Adm<strong>in</strong>istratoren konfigurieren TCP-Port 81 oder e<strong>in</strong>en anderen Port.<br />
Gehen Sie folgendermaßen vor, um die Behandlung e<strong>in</strong>es Anwendungsverb<strong>in</strong>dungsproblems<br />
durchzuführen:<br />
1. Bevor Sie beg<strong>in</strong>nen, e<strong>in</strong>e Problembehandlung im Bereich der Anwendungskonnektivität<br />
durchzuführen, sollten Sie erst sicherstellen, dass es sich nicht um e<strong>in</strong> Namensauflösungsproblem<br />
handelt. Öffnen Sie dazu e<strong>in</strong>e E<strong>in</strong>gabeaufforderung und führen Sie den<br />
Befehl nslookup servername aus. Falls Nslookup ke<strong>in</strong>e Antwort wie im folgenden Beispiel<br />
anzeigt, haben Sie e<strong>in</strong> Namensauflösungsproblem. Lesen Sie <strong>in</strong> diesem Fall im Abschnitt
590 Anhang E: Behandlung von Problemen mit Netzwerken<br />
»So führen Sie e<strong>in</strong>e Behandlung von Namensauflösungsproblemen durch« <strong>in</strong> diesem<br />
Anhang weiter.<br />
nslookup contoso.com<br />
Nicht-autorisierende Antwort:<br />
Name: contoso.com<br />
Addresses: 10.46.232.182, 10.46.130.117<br />
Tabelle E.2 Standardportzuweisungen für wichtige Dienste und Aufgaben<br />
Dienstname oder Aufgabe UDP TCP<br />
Webserver, HTTP und IIS (Internet Information Services) 80<br />
HTTP-SSL (Secure Sockets Layer) 443<br />
DNS-Client-an-Server-Lookup (unterschiedlich) 53 53<br />
DHCP-Client 67<br />
Datei- und Druckerfreigabe 137 139, 445<br />
FTP-Steuerung 21<br />
FTP-Daten 20<br />
IRC (Internet Relay Chat)<br />
Microsoft Office Outlook (Ports siehe POP3, IMAP und SMTP)<br />
6667<br />
IMAP (Internet Mail Access Protocol) 143<br />
IMAP (SSL) 993<br />
LDAP 389<br />
LDAP (SSL) 636<br />
MTA (Message Transfer Agent) – X.400 über TCP/IP 102<br />
POP3 110<br />
POP3 (SSL) 995<br />
RPC-Endpunktzuordnung (Remote Procedure Calls) 135<br />
SMTP 25<br />
NNTP 119<br />
NNTP (SSL) 563<br />
POP3 110<br />
POP3 (SSL) 995<br />
SNMP 161<br />
SNMP-Trap 162<br />
SQL Server 1433<br />
Telnet 23<br />
Term<strong>in</strong>alserver und Remotedesktop 3389<br />
PPTP (Po<strong>in</strong>t-to-Po<strong>in</strong>t Tunnel<strong>in</strong>g Protocol)<br />
Beitreten zu e<strong>in</strong>er AD DS-Domäne (siehe »So führen Sie e<strong>in</strong>e Behandlung von<br />
Beitritts- oder Anmeldeproblemen <strong>in</strong> e<strong>in</strong>er Domäne durch« <strong>in</strong> diesem Anhang)<br />
1723
Der Ablauf bei der Behandlung von Netzwerkproblemen 591<br />
2. Ermitteln Sie, welche Portnummer von der Anwendung benutzt wird. Tabelle E.2 listet<br />
Portnummern für wichtige Anwendungen auf. Falls Sie sich nicht sicher s<strong>in</strong>d, welche<br />
Portnummern Ihre Anwendung verwendet, können Sie im Handbuch der Anwendung<br />
nachschlagen oder beim technischen <strong>Support</strong> nachfragen. Stattdessen können Sie auch<br />
e<strong>in</strong>en Protokoll-Analyzer wie den Network Monitor starten und damit den Netzwerkverkehr<br />
analysieren, um die verwendeten Portnummern zu ermitteln.<br />
Sobald Sie die Portnummer ermittelt haben, besteht der erste Schritt bei der Behandlung des<br />
Anwendungsverb<strong>in</strong>dungsproblems dar<strong>in</strong> festzustellen, ob die Kommunikation über diesen<br />
Port erfolgreich ist. Falls es sich um e<strong>in</strong>en TCP-Port handelt, können Sie Portqry, Test Tcp<br />
oder Telnet verwenden. Unter diesen drei Tools ist Telnet das unflexibelste, aber es ist auch<br />
das e<strong>in</strong>zige Tool, das <strong>in</strong> <strong>W<strong>in</strong>dows</strong> enthalten ist (wenn auch nicht <strong>in</strong> der Standarde<strong>in</strong>stellung<br />
<strong>in</strong>stalliert). Weitere Informationen über Telnet, <strong>in</strong>klusive e<strong>in</strong>er Installationsanleitung, f<strong>in</strong>den<br />
Sie im Abschnitt »Telnet-Client« weiter oben <strong>in</strong> diesem Anhang.<br />
Geben Sie den folgenden Befehl e<strong>in</strong>, um e<strong>in</strong>en TCP-Port mit Telnet zu testen:<br />
Telnet Hostname_oder_Adresse TCP_Port<br />
Um zum Beispiel festzustellen, ob Sie e<strong>in</strong>e Verb<strong>in</strong>dung zum Webserver unter www.microsoft.<br />
com (der Port 80 verwendet) herstellen können, geben Sie den folgenden Befehl e<strong>in</strong>:<br />
Telnet www.microsoft.com 80<br />
Falls der Text <strong>in</strong> der E<strong>in</strong>gabeaufforderung gelöscht wird oder Sie Text vom Remotedienst<br />
angezeigt bekommen, haben Sie erfolgreich e<strong>in</strong>e Verb<strong>in</strong>dung hergestellt. Schließen Sie die<br />
E<strong>in</strong>gabeaufforderung, um Telnet abzubrechen. Das bedeutet, dass Sie e<strong>in</strong>e Verb<strong>in</strong>dung zum<br />
Server herstellen können. Somit nimmt die Serveranwendung e<strong>in</strong>gehende Verb<strong>in</strong>dungen<br />
entgegen, und ke<strong>in</strong>e Firewall blockiert Ihren Verkehr. Statt das Problem als Konnektivitätsproblem<br />
zu behandeln, sollten Sie sich auf Probleme auf Anwendungsebene konzentrieren,<br />
zum Beispiel folgende:<br />
Authentifizierungsprobleme Sehen Sie sich das Sicherheitsereignisprotokoll des Servers<br />
oder das Protokoll der Anwendung an, um festzustellen, ob Ihre Clientverb<strong>in</strong>dungen<br />
wegen ungültiger Anmelde<strong>in</strong>formationen zurückgewiesen werden.<br />
Ausgefallener Dienst Starten Sie den Server neu. Testen Sie, ob andere Clientcomputer<br />
e<strong>in</strong>e Verb<strong>in</strong>dung zum Server herstellen können.<br />
Ungültige Clientsoftware Überprüfen Sie, ob die Clientsoftware, die auf Ihrem Computer<br />
läuft, die richtige Version ist und ob sie richtig konfiguriert ist.<br />
Falls Telnet die Meldung »Es konnte ke<strong>in</strong>e Verb<strong>in</strong>dung mit dem Host hergestellt werden«<br />
anzeigt, weist das auf e<strong>in</strong> Anwendungskonnektivitätsproblem h<strong>in</strong>, zum Beispiel e<strong>in</strong>e falsch<br />
konfigurierte Firewall. Gehen Sie folgendermaßen vor, um die Problembehandlung fortzusetzen:<br />
1. Überprüfen Sie, ob der Server onl<strong>in</strong>e ist (falls möglich). Falls der Server onl<strong>in</strong>e ist,<br />
können Sie versuchen, e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em anderen Dienst herzustellen, der auf<br />
demselben Server läuft. Falls Sie zum Beispiel versuchen, e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em<br />
Webserver herzustellen, und Sie wissen, dass auf dem Server e<strong>in</strong>e Dateifreigabe aktiviert<br />
ist, können Sie versuchen, e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em freigegebenen Ordner herzustellen.<br />
Falls Sie e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em anderen Dienst herstellen können, handelt es sich<br />
fast sicher um e<strong>in</strong> Firewallkonfigurationsproblem auf dem Server.
592 Anhang E: Behandlung von Problemen mit Netzwerken<br />
2. Versuchen Sie, von anderen Clientcomputern im selben sowie <strong>in</strong> anderen Subnetzen aus<br />
e<strong>in</strong>e Verb<strong>in</strong>dung herzustellen. Falls Sie von e<strong>in</strong>em Clientcomputer im selben Subnetz<br />
aus e<strong>in</strong>e Verb<strong>in</strong>dung herstellen können, haben Sie möglicherweise e<strong>in</strong> Anwendungskonfigurationsproblem<br />
auf dem Clientcomputer. Falls Sie e<strong>in</strong>e Verb<strong>in</strong>dung von e<strong>in</strong>em<br />
Clientcomputer <strong>in</strong> e<strong>in</strong>em anderen Subnetz aus herstellen können, aber nicht aus demselben<br />
Subnetz, filtert unter Umständen e<strong>in</strong>e Firewall im Netzwerk oder auf dem Server<br />
Verkehr, der aus dem Netzwerk Ihres Clients stammt.<br />
3. Schließen Sie e<strong>in</strong>en Clientcomputer an dasselbe Subnetz an wie den Server (sofern möglich).<br />
Falls Sie e<strong>in</strong>e Verb<strong>in</strong>dung vom selben Subnetz aus herstellen können, aber nicht<br />
aus anderen Subnetzen, blockiert e<strong>in</strong>e routerbasierte Firewall den Verkehr. Falls Sie vom<br />
selben Subnetz aus ke<strong>in</strong>e Verb<strong>in</strong>dung herstellen können, läuft auf dem Server e<strong>in</strong>e Firewall,<br />
die den Verkehr blockiert. Es kann aber auch se<strong>in</strong>, dass die Serveranwendung nicht<br />
läuft oder so konfiguriert ist, dass sie e<strong>in</strong>en anderen Port verwendet.<br />
4. Melden Sie sich am Server an und versuchen Sie, mit Telnet e<strong>in</strong>e Verb<strong>in</strong>dung zum Port<br />
der Serveranwendung herzustellen. Falls Sie vom Server aus e<strong>in</strong>e Verb<strong>in</strong>dung herstellen<br />
können, aber nicht von anderen Computern, ist auf dem Server def<strong>in</strong>itiv Firewallsoftware<br />
konfiguriert. Fügen Sie <strong>in</strong> der Firewallsoftware e<strong>in</strong>e Ausnahme für die Anwendung<br />
h<strong>in</strong>zu. Falls Sie vom Server selbst aus ke<strong>in</strong>e Verb<strong>in</strong>dung mit der Serveranwendung herstellen<br />
können, nimmt die Anwendung ke<strong>in</strong>e Verb<strong>in</strong>dungen entgegen oder ist so konfiguriert,<br />
dass sie e<strong>in</strong>gehende Verb<strong>in</strong>dungen auf e<strong>in</strong>em anderen Port annimmt. Schlagen Sie<br />
<strong>in</strong> der Anwendungsdokumentation nach, wie Sie die Anwendung starten und konfigurieren<br />
können. Falls der Server unter <strong>W<strong>in</strong>dows</strong> läuft, können Sie mit Netstat feststellen, auf<br />
welchen Ports der Server e<strong>in</strong>gehende Verb<strong>in</strong>dungen entgegennimmt. Weitere Informationen<br />
f<strong>in</strong>den Sie im Abschnitt »Netstat« weiter oben <strong>in</strong> diesem Anhang.<br />
So führen Sie e<strong>in</strong>e Behandlung von Namensauflösungsproblemen durch<br />
Computer verwenden numerische IP-Adressen (zum Beispiel 192.168.10.233 oder<br />
2001:db8::1), um sich <strong>in</strong> Netzwerken gegenseitig zu identifizieren. Menschen können<br />
sich IP-Adressen aber kaum merken, daher verwenden wir Hostnamen (zum Beispiel<br />
www.contoso.com). Die Namensauflösung (name resolution) ist der Vorgang, bei dem<br />
e<strong>in</strong> Hostname <strong>in</strong> e<strong>in</strong>e IP-Adresse konvertiert wird. DNS ist bei Weitem die am häufigsten<br />
e<strong>in</strong>gesetzte Namensauflösungstechnik.<br />
Viele sche<strong>in</strong>bare Verb<strong>in</strong>dungsprobleme s<strong>in</strong>d <strong>in</strong> Wirklichkeit Namensauflösungsprobleme.<br />
Falls irgende<strong>in</strong>es der folgenden Probleme auftritt, ist der Client nicht <strong>in</strong> der Lage, anhand<br />
des Hostnamens Kontakt mit e<strong>in</strong>em Server aufzunehmen:<br />
DNS-Server s<strong>in</strong>d ausgefallen.<br />
Das Netzwerk, über das der Client mit dem DNS-Server verbunden wird, ist ausgefallen.<br />
E<strong>in</strong> Hostname fehlt <strong>in</strong> der DNS-Datenbank.<br />
E<strong>in</strong> Hostname wird e<strong>in</strong>er falschen IP-Adresse zugeordnet. Das passiert oft, weil e<strong>in</strong> Host<br />
vor Kurzem se<strong>in</strong>e IP-Adressen geändert hat und die DNS-Datenbank noch nicht aktualisiert<br />
wurde.<br />
Auf dem Client s<strong>in</strong>d ke<strong>in</strong>e DNS-Server konfiguriert, oder es s<strong>in</strong>d die falschen DNS-<br />
Server-IP-Adressen konfiguriert.<br />
Gehen Sie folgendermaßen vor, um e<strong>in</strong> Namensauflösungsproblem zu diagnostizieren:
Der Ablauf bei der Behandlung von Netzwerkproblemen 593<br />
1. Öffnen Sie das Netzwerk- und Freigabecenter, <strong>in</strong>dem Sie im Startmenü auf Netzwerk<br />
und dann auf Netzwerk- und Freigabecenter klicken. Falls e<strong>in</strong> rotes X über e<strong>in</strong>er Netzwerkverb<strong>in</strong>dung<br />
angezeigt wird, können Sie den L<strong>in</strong>k anklicken, um die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose<br />
zu starten. Folgen Sie dann den angezeigten Anweisungen. Die <strong>W<strong>in</strong>dows</strong>-<br />
Netzwerkdiagnose kann viele häufiger auftretende Netzwerkprobleme lösen. Falls die<br />
<strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose das Problem nicht identifizieren oder beseitigen kann,<br />
müssen Sie die nächsten Schritte <strong>in</strong> dieser Anleitung durchgehen.<br />
2. Überprüfen Sie, ob Sie unter Angabe der IP-Adressen e<strong>in</strong>e Verb<strong>in</strong>dung zu anderen Computern<br />
herstellen können. Falls Sie ke<strong>in</strong>e Verb<strong>in</strong>dung zu Servern herstellen können,<br />
<strong>in</strong>dem Sie ihre IP-Adresse direkt angeben, ist die Ursache für Ihr Problem <strong>in</strong> der Netzwerkkonnektivität<br />
zu suchen, nicht bei der Namensauflösung. Lesen Sie <strong>in</strong> diesem Fall<br />
im Abschnitt »So führen Sie e<strong>in</strong>e Behandlung von Netzwerkverb<strong>in</strong>dungsproblemen<br />
durch« weiter oben <strong>in</strong> diesem Anhang weiter. Falls Sie e<strong>in</strong>e Verb<strong>in</strong>dung zu den Servern<br />
über ihre IP-Adresse herstellen können, aber nicht über ihre Hostnamen, müssen Sie den<br />
nächsten Schritten <strong>in</strong> dieser Anleitung folgen.<br />
H<strong>in</strong>weis Während Ihr Netzwerk e<strong>in</strong>wandfrei funktioniert, sollten Sie die IP-Adressen<br />
verschiedener Computer notieren, darunter Computer <strong>in</strong> Ihrem Subnetz, <strong>in</strong> anderen Subnetzen<br />
<strong>in</strong>nerhalb Ihres Intranets und Computer im Internet. Testen Sie die IP-Adressen,<br />
um sicherzustellen, dass sie auf P<strong>in</strong>g-Anforderungen antworten. Halten Sie diese Liste<br />
bereit, damit Sie anhand der IP-Adressen die Netzwerkkonnektivität prüfen können,<br />
ohne e<strong>in</strong>e Namensauflösung zu benötigen.<br />
3. Öffnen Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung und fragen Sie mit Nslookup den Hostnamen ab,<br />
zu dem Sie e<strong>in</strong>e Verb<strong>in</strong>dung herstellen wollen. Hier e<strong>in</strong> Beispiel:<br />
nslookup www.microsoft.com<br />
Sehen Sie sich die Ausgaben an:<br />
Falls Nslookup Adressen oder Aliasnamen für den Hostnamen anzeigt, war die<br />
Namensauflösung erfolgreich. Wahrsche<strong>in</strong>lich ist der Server, den Sie zu erreichen<br />
versuchen, offl<strong>in</strong>e. Oder Sie haben e<strong>in</strong> Verb<strong>in</strong>dungsproblem, das verh<strong>in</strong>dert, dass Sie<br />
den Server erreichen können. Vielleicht ist auch die Anwendung, die Sie verwenden,<br />
falsch konfiguriert oder die DNS-Serverdatenbank ist falsch. Lesen Sie <strong>in</strong> diesem<br />
Fall <strong>in</strong> den Abschnitten »So führen Sie e<strong>in</strong>e Behandlung von Netzwerkverb<strong>in</strong>dungsproblemen<br />
durch« und »So führen Sie e<strong>in</strong>e Behandlung von Anwendungsverb<strong>in</strong>dungsproblemen<br />
durch« <strong>in</strong> diesem Anhang weiter. Falls Sie den Verdacht haben,<br />
dass die DNS-Serverdatenbank falsch ist, sollten Sie sich an den Adm<strong>in</strong>istrator Ihres<br />
DNS-Servers wenden.<br />
Falls Nslookup nur die Meldung »DNS request timed out« anzeigt, antwortet der<br />
DNS-Server nicht. Wiederholen Sie den Test mehrere Male, um sicherzustellen, dass<br />
es sich nicht um e<strong>in</strong> temporäres Problem handelt. Überprüfen Sie dann mit dem Befehl<br />
Ipconfig, ob auf dem Clientcomputer der richtige DNS-Server konfiguriert ist.<br />
Falls nötig, müssen Sie die DNS-Serverkonfiguration des Clientcomputers aktualisieren.<br />
Falls die IP-Adressen der DNS-Server richtig s<strong>in</strong>d, s<strong>in</strong>d die DNS-Server oder<br />
das Netzwerk, an das sie angeschlossen s<strong>in</strong>d, ausgefallen. Wenden Sie sich an den<br />
Server- oder Netzwerkadm<strong>in</strong>istrator.
594 Anhang E: Behandlung von Problemen mit Netzwerken<br />
Falls Nslookup die Meldung »Die Standardserver s<strong>in</strong>d nicht verfügbar« anzeigt, ist<br />
auf dem Computer ke<strong>in</strong> DNS-Server konfiguriert. Aktualisieren Sie die Netzwerkkonfiguration<br />
auf dem Client mit den IP-Adressen der DNS-Server oder konfigurieren<br />
Sie den Computer so, dass er automatisch e<strong>in</strong>e Adresse bezieht.<br />
4. Falls Sie von e<strong>in</strong>em anderen Clientcomputer aus e<strong>in</strong>e Verb<strong>in</strong>dung zum Server herstellen<br />
können, sollten Sie <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung ipconfig /all ausführen, um festzustellen,<br />
welche DNS-Server der Clientcomputer konfiguriert hat. Falls sich die IP-Adressen<br />
unterscheiden, können Sie die Konfiguration auf dem Clientcomputer, der das Problem<br />
aufweist, so ändern, dass er die funktionierenden IP-Adressen verwendet.<br />
So überprüfen Sie die Konnektivität zu e<strong>in</strong>em DNS-Server<br />
Während DNS-Verkehr entweder TCP-Port 53 oder UDP-Port 53 verwenden kann, wird fast<br />
immer UDP benutzt, weil es für kurze Kommunikation effizienter ist. Weil Telnet immer<br />
TCP verwendet, eignet es sich nicht, um UDP-DNS-Konnektivität zu testen. Stattdessen<br />
können Sie das Tool PortQry <strong>in</strong>stallieren und verwenden, wie weiter oben <strong>in</strong> diesem Anhang<br />
beschrieben.<br />
Sie können die Konnektivität für DNS-Verkehr testen, <strong>in</strong>dem Sie PortQry <strong>in</strong>stallieren und<br />
dann den folgenden Befehl ausführen:<br />
portqry -n DNS_Servername_oder_IP_Adresse -p UDP -e 53<br />
Abbildung E.7 PortQryUI stellt e<strong>in</strong>e grafische Benutzeroberfläche<br />
zur Verfügung, <strong>in</strong> der Sie die DNS-Konnektivität testen können<br />
Falls PortQry die Verb<strong>in</strong>dung zum angegebenen DNS-Server herstellen kann, zeigt es die<br />
Meldung »LISTENING« an. Falls PortQry ke<strong>in</strong>e Verb<strong>in</strong>dung herstellen kann, zeigt es
Der Ablauf bei der Behandlung von Netzwerkproblemen 595<br />
»LISTENING OR FILTERED« an. Sobald PortQry die Meldung »LISTENING OR<br />
FILTERED« angezeigt hat, versucht es, e<strong>in</strong>e DNS-Anforderung an den Remotecomputer<br />
zu schicken, und zeigt dann an, ob der Server auf die Anforderung geantwortet hat.<br />
Falls Sie grafische Tools bevorzugen, können Sie das Tool PortQryUI (Abbildung E.7)<br />
verwenden, um UDP-Port 53 abzufragen.<br />
So verwenden Sie die Datei Hosts<br />
Sie können die Datei Hosts als alternative Namensauflösungsmethode nutzen. Das kann<br />
s<strong>in</strong>nvoll se<strong>in</strong>, falls Ihr DNS-Server nicht verfügbar oder se<strong>in</strong>e Datenbank nicht auf dem<br />
aktuellen Stand ist und Sie auf e<strong>in</strong>en Server zugreifen müssen und die IP-Adresse dieses<br />
Servers kennen. Sie ist auch nützlich, wenn Sie vor Kurzem e<strong>in</strong>en neuen Server <strong>in</strong>stalliert<br />
haben und unter Angabe e<strong>in</strong>es Hostnamens Verb<strong>in</strong>dung mit ihm aufnehmen wollen, noch<br />
bevor die DNS-Datenbank aktualisiert wurde. Zwar können Sie normalerweise die Verb<strong>in</strong>dung<br />
mit Servern über ihre IP-Adressen herstellen, aber Websites müssen oft unter dem<br />
richtigen Hostnamen erreichbar se<strong>in</strong>, und IP-Adressen funktionieren <strong>in</strong> solchen Fällen nicht<br />
immer.<br />
Ihre Hosts-Datei liegt <strong>in</strong> %W<strong>in</strong>Dir%\System32\Drivers\Etc\Hosts. Es ist e<strong>in</strong>e Textdatei, die<br />
Sie mit dem <strong>W<strong>in</strong>dows</strong>-Editor bearbeiten können. Wenn Sie die Datei Hosts bearbeiten wollen,<br />
müssen Sie den Editor mit adm<strong>in</strong>istrativen Berechtigungen starten. Öffnen Sie dann im<br />
Editor die Datei %W<strong>in</strong>Dir%\System32\Drivers\Etc\Hosts (sie hat ke<strong>in</strong>e Dateierweiterung).<br />
Sie können e<strong>in</strong>en E<strong>in</strong>trag zur Datei Hosts h<strong>in</strong>zufügen, um die Namensauflösung ohne DNS<br />
zu ermöglichen. Fügen Sie dazu Zeilen am Ende der Datei Hosts h<strong>in</strong>zu, wie hier für IPv4und<br />
IPv6-Adressen demonstriert:<br />
192.168.1.10 www.microsoft.com<br />
10.15.33.25 www.contoso.com<br />
2001:db8::1 www.microsoft.com<br />
Sobald Sie die Datei Hosts aktualisiert haben, können Sie Verb<strong>in</strong>dungen zu Servern mithilfe<br />
ihrer Hostnamen herstellen. Wenn e<strong>in</strong> E<strong>in</strong>trag <strong>in</strong> der Datei Hosts vorhanden ist, verwendet<br />
<strong>W<strong>in</strong>dows</strong> 7 die zugehörige IP-Adresse, ohne e<strong>in</strong>en DNS-Server abzufragen. Die e<strong>in</strong>zige Anwendung,<br />
die die Datei Hosts umgeht, ist Nslookup. Sie fragt immer direkt die DNS-Server<br />
ab. Vergessen Sie nicht, die E<strong>in</strong>träge wieder aus der Datei Hosts zu löschen, sobald Sie sie<br />
nicht mehr brauchen. Andernfalls bekommen Sie später unter Umständen Namensauflösungsprobleme,<br />
falls sich die IP-Adresse des Servers ändert.<br />
So führen Sie e<strong>in</strong>e Behandlung von Leistungsproblemen und sporadischen<br />
Konnektivitätsproblemen durch<br />
Netzwerkprobleme haben oft gar nicht zur Folge, dass die Konnektivität völlig verloren<br />
geht. Netzwerkprobleme können bedeuten, dass Dateiübertragungen länger brauchen, als<br />
Ihre Netzwerkbandbreite rechtfertigt, Audio- und Videostreams Lücken haben oder Netzwerkanwendungen<br />
sehr langsam reagieren.<br />
Um e<strong>in</strong>e Behandlung von Netzwerkleistungsproblemen durchzuführen, müssen Sie erst die<br />
Ursache des Problems identifizieren. Verschiedene Komponenten können Leistungsprobleme<br />
verursachen:<br />
Der lokale Computer Auf Ihrem lokalen Computer läuft möglicherweise e<strong>in</strong>e Anwendung,<br />
die die gesamte Prozessorkapazität beansprucht, sodass alles andere auf Ihrem
596 Anhang E: Behandlung von Problemen mit Netzwerken<br />
Computer gebremst wird, <strong>in</strong>klusive des Netzwerks. Auch Hardwarefehler oder problematische<br />
Treiber können Leistungsprobleme oder sporadische Ausfälle verursachen.<br />
Diese Probleme können Sie lösen, <strong>in</strong>dem Sie die problematischen Anwendungen beenden<br />
oder drosseln, Hardware ersetzen oder Treiber aktualisieren.<br />
Die Netzwerk<strong>in</strong>frastruktur Überlastete Router verursachen Latenz und Paketverlust,<br />
was beides Leistungsprobleme und sporadische Ausfälle verursachen kann. Rout<strong>in</strong>gprobleme,<br />
zum Beispiel Rout<strong>in</strong>gschleifen, können dazu führen, dass Verkehr über e<strong>in</strong>en<br />
unnötig langen Pfad weitergeleitet wird, was die Netzwerklatenz vergrößert. Manchmal,<br />
zum Beispiel bei der Nutzung von Satellitenverb<strong>in</strong>dungen, s<strong>in</strong>d die durch die Latenz<br />
verursachten Leistungsprobleme unvermeidlich. Das Beseitigen von Netzwerk<strong>in</strong>frastrukturproblemen<br />
würde das Thema dieses Buchs zwar sprengen, aber Sie können<br />
immerh<strong>in</strong> die Quelle des Problems identifizieren und es an das zuständige <strong>Support</strong>team<br />
weiterleiten.<br />
Der Server Falls der Server überlastet ist, bekommt die gesamte Netzwerkkommunikation<br />
mit diesem Server Leistungsprobleme. Das Beseitigen von Serverleistungsproblemen<br />
würde das Thema dieses Buchs sprengen. Wenn Sie aber die Quelle des Problems<br />
e<strong>in</strong>mal identifiziert haben, können Sie es an das zuständige <strong>Support</strong>team weiterleiten.<br />
Gehen Sie folgendermaßen vor, um die Quelle e<strong>in</strong>es Netzwerkleistungsproblems zu identifizieren.<br />
Testen Sie nach jedem Schritt Ihre Netzwerkleistung, um festzustellen, ob das Problem<br />
noch besteht.<br />
1. Starten Sie den Task-Manager, <strong>in</strong>dem Sie mit der rechten Maustaste auf die Taskleiste<br />
klicken und den Befehl Task-Manager wählen. Klicken Sie auf die Registerkarte Leistung.<br />
Falls die Prozessorauslastung nahe bei 100 Prozent liegt, wird das sche<strong>in</strong>bare Netzwerkleistungsproblem<br />
möglicherweise dadurch verursacht. Klicken Sie auf die Registerkarte<br />
Prozesse, suchen Sie den Prozess, der die Prozessorbelastung verursacht, und<br />
schließen Sie ihn.<br />
2. Klicken Sie im Task-Manager auf die Registerkarte Netzwerk. Diese Registerkarte zeigt<br />
e<strong>in</strong> Diagramm für jede Netzwerkkarte, die im Computer <strong>in</strong>stalliert ist. Falls sich die<br />
Netzwerkauslastung nahe der Kapazität der Netzwerkverb<strong>in</strong>dung bef<strong>in</strong>det, ist dies die<br />
Ursache für Ihr Leistungsproblem. Bei Ethernet-Kabelnetzwerken (zum Beispiel Verb<strong>in</strong>dungen<br />
mit 10 MBit/s, 100 MBit/s oder 1000 MBit/s) kann die Auslastung normalerweise<br />
60 bis <strong>70</strong> Prozent der Verb<strong>in</strong>dungsgeschw<strong>in</strong>digkeit nicht überschreiten. Bei<br />
Drahtlosnetzwerken kann die Auslastung kaum 50 Prozent der Verb<strong>in</strong>dungsgeschw<strong>in</strong>digkeit<br />
überschreiten. Allerd<strong>in</strong>gs stoßen Drahtlosverb<strong>in</strong>dungen oft sogar schon bei weit<br />
unter 50 Prozent der Verb<strong>in</strong>dungsgeschw<strong>in</strong>digkeit an ihre Grenze, sodass selbst 15 oder<br />
20 Prozent Auslastung bedeuten können, dass Ihre Leistungsprobleme durch zu ger<strong>in</strong>ge<br />
Bandbreite im Drahtlosnetzwerk verursacht werden. Sie können die Ursache der Bandbreitenauslastung<br />
identifizieren, <strong>in</strong>dem Sie im Task-Manager auf die Registerkarte Leistung<br />
klicken und dann auf die Schaltfläche Ressourcenmonitor. Erweitern Sie im Ressourcenmonitor<br />
den Abschnitt Netzwerk (Abbildung E.8). Stellen Sie fest, welcher Prozess<br />
am meisten Bandbreite verbraucht, und notieren Sie se<strong>in</strong>e Prozess-ID (PID) und<br />
den Zielserver. Wechseln Sie dann zum Task-Manager zurück, um zu ermitteln, welcher<br />
Prozess die Netzwerkbandbreite verbraucht. Beenden Sie den Prozess, um festzustellen,<br />
ob dies die Ursache für Ihre Leistungsprobleme war.
Abbildung E.8 Im Ressourcenmonitor können Sie feststellen,<br />
wodurch die Netzwerkbandbreite verbraucht wird<br />
Der Ablauf bei der Behandlung von Netzwerkproblemen 597<br />
H<strong>in</strong>weis Die im Task-Manager und im Ressourcenmonitor angezeigte Netzwerkauslastung<br />
gibt nur Verkehr an, der zu oder von Ihrem Computer gesendet wird. Falls e<strong>in</strong><br />
anderer Computer <strong>in</strong> Ihrem Netzwerk Bandbreite verbraucht, steht Ihnen diese Bandbreite<br />
nicht zur Verfügung, aber weder der Task-Manager noch der Ressourcenmonitor<br />
kann Ihnen zeigen, wie viel Bandbreite andere Hosts verbrauchen.<br />
3. Verwenden Sie (sofern möglich) dieselbe Anwendung, um Verb<strong>in</strong>dungen zu anderen<br />
Servern herzustellen. Falls das Leistungsproblem bestehen bleibt, wenn Sie Verb<strong>in</strong>dungen<br />
zu anderen Servern herstellen, liegt das Problem wahrsche<strong>in</strong>lich beim lokalen Host<br />
oder dem Netzwerk. Die folgenden Schritte helfen Ihnen, das Problem weiter zu isolieren.<br />
Falls das Problem nur auftritt, wenn Sie e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em bestimmten<br />
Server herstellen, kann es durch die Leistung dieses Servers oder Leistungsprobleme im<br />
Netzwerk verursacht werden, an das der Server angeschlossen ist. Wenden Sie sich <strong>in</strong><br />
diesem Fall an den Adm<strong>in</strong>istrator des Servers.<br />
4. Führen Sie (sofern möglich) dieselbe Anwendung von e<strong>in</strong>em anderen Computer im<br />
selben Netzwerk aus. Falls beide Computer dasselbe Problem zeigen, hat das Problem<br />
wahrsche<strong>in</strong>lich mit der Netzwerkleistung zu tun. Die folgenden Schritte helfen Ihnen,<br />
dieses Problem weiter zu isolieren. Falls andere Computer im selben Netzwerk nicht<br />
dieses Problem haben, ist die Ursache wahrsche<strong>in</strong>lich auf Ihrem lokalen Computer zu<br />
suchen. Spielen Sie zuerst alle verfügbaren Updates e<strong>in</strong> und starten Sie den Computer<br />
neu. Installieren Sie dann eventuell verfügbare Updates für Netzwerkkartentreiber. Falls<br />
die Probleme weiterh<strong>in</strong> bestehen, sollten Sie die Netzwerkkabel austauschen und danach<br />
die Netzwerkkarte. Weitere Informationen f<strong>in</strong>den Sie <strong>in</strong> Anhang D, »Problembehandlung<br />
für Hardware, Treiber und Laufwerke«.<br />
An diesem Punkt im Problembehandlungsprozess haben Sie die Netzwerk<strong>in</strong>frastruktur als<br />
wahrsche<strong>in</strong>liche Ursache Ihres Problems identifiziert. Öffnen Sie e<strong>in</strong>e E<strong>in</strong>gabeaufforderung<br />
und rufen Sie das Tool PathP<strong>in</strong>g mit dem Hostnamen Ihres Servers auf. PathP<strong>in</strong>g zeigt die<br />
Route zwischen Ihrem Computer und dem Server an und verbr<strong>in</strong>gt dann mehrere M<strong>in</strong>uten<br />
damit, die Latenz aller Router und aller Netzwerkverb<strong>in</strong>dungen im Pfad zu ermitteln.
598 Anhang E: Behandlung von Problemen mit Netzwerken<br />
Im Idealfall kommen bei jedem Netzwerkverb<strong>in</strong>dungsabschnitt nur wenige Millisekunden<br />
Latenz zu (angezeigt <strong>in</strong> der Spalte »Zeit«) der Zeit aus dem vorherigen Verb<strong>in</strong>dungsabschnitt<br />
h<strong>in</strong>zu. Falls sich die Latenz bei e<strong>in</strong>em e<strong>in</strong>zigen Verb<strong>in</strong>dungsabschnitt um mehr als 100 Millisekunden<br />
vergrößert und bei den nachfolgenden Abschnitten auf diesem Niveau bleibt, ist<br />
dieser Verb<strong>in</strong>dungsabschnitt möglicherweise die Ursache für Ihre Leistungsprobleme. Falls<br />
die Verb<strong>in</strong>dung über e<strong>in</strong>en Satelliten oder e<strong>in</strong> Interkont<strong>in</strong>entalkabel läuft, ist diese Latenz zu<br />
erwarten, und wahrsche<strong>in</strong>lich lässt sich daran nichts ändern.<br />
Falls die Verb<strong>in</strong>dung allerd<strong>in</strong>gs Ihre Internetverb<strong>in</strong>dung oder e<strong>in</strong> anderes Netzwerk ist, das<br />
Teil Ihres Intranets ist, werden Ihre Leistungsprobleme unter Umständen durch e<strong>in</strong>e überlastete<br />
Netzwerk<strong>in</strong>frastruktur verursacht. Falls zum Beispiel mehrere Computer ihre Laufwerke<br />
im Rahmen e<strong>in</strong>er Datensicherung <strong>in</strong> e<strong>in</strong>en Ordner im Netzwerk schreiben, kann e<strong>in</strong>e<br />
Verb<strong>in</strong>dung überlastet se<strong>in</strong>, was dann Leistungsprobleme verursacht. Und falls mehrere<br />
Benutzer große Dateien über Ihre Internetverb<strong>in</strong>dung übertragen, können andere Anwendungen<br />
dadurch <strong>in</strong> Mitleidenschaft gezogen werden (<strong>in</strong>sbesondere Echtzeitvideo- oder<br />
-audiostream<strong>in</strong>g, zum Beispiel Voice over IP [VoIP]). Wenden Sie sich <strong>in</strong> solchen Fällen an<br />
den Netzwerksupport. Unter Umständen können Sie Quality of Service (QoS) e<strong>in</strong>setzen, um<br />
zeitkritischem Verkehr e<strong>in</strong>e höhere Priorität gegenüber Dateiübertragungen e<strong>in</strong>zuräumen.<br />
H<strong>in</strong>weis Falls Sie e<strong>in</strong> Adm<strong>in</strong>istrator <strong>in</strong> e<strong>in</strong>em kle<strong>in</strong>en oder Heimnetzwerk s<strong>in</strong>d, können Sie<br />
schnell feststellen, ob andere Computer im Netzwerk die Internetleistungsprobleme verursachen.<br />
Schließen Sie dazu Ihren Computer direkt an Ihre Internetverb<strong>in</strong>dung an und trennen<br />
Sie alle anderen Computer. Falls die Probleme verschwunden s<strong>in</strong>d, verursacht e<strong>in</strong> anderer<br />
Computer <strong>in</strong> Ihrem Netzwerk das Problem.<br />
Falls dasselbe Gateway mehrmals <strong>in</strong> der PathP<strong>in</strong>g-Route auftaucht, tritt im Netzwerk e<strong>in</strong>e<br />
Rout<strong>in</strong>gschleife auf. Rout<strong>in</strong>gschleifen können Leistungsprobleme verursachen oder die<br />
Kommunikation ganz zum Erliegen br<strong>in</strong>gen. Netzwerke, die mit Rout<strong>in</strong>gprotokollen<br />
arbeiten, korrigieren Rout<strong>in</strong>gschleifen normalerweise automatisch. Sie sollten aber Ihrem<br />
Netzwerksupportteam Bescheid geben, um sicherzustellen, dass es von dem Problem erfährt.<br />
Die folgende PathP<strong>in</strong>g-Ausgabe demonstriert e<strong>in</strong>e Rout<strong>in</strong>gschleife, weil sich die Knoten 5, 6<br />
und 7 wiederholen:<br />
pathp<strong>in</strong>g www.contoso.com<br />
Routenverfolgung zu www.contoso.com [10.73.186.238]<br />
über maximal 30 Abschnitte:<br />
0 d820.hsd1.nh.contoso.com. [192.168.1.196]<br />
1 192.168.1.1<br />
2 c-3-0-ubr01.w<strong>in</strong>chendon.ma.boston.contoso.com [10.165.8.1]<br />
3 ge-3-37-ur01.w<strong>in</strong>chendon.ma.boston.contoso.com [10.87.148.129]<br />
4 ge-1-1-ur01.gardner.ma.boston.contoso.com [10.87.144.225]<br />
5 10g-9-1-ur01.sterl<strong>in</strong>g.ma.boston.contoso.com [10.87.144.217]<br />
6 te-9-2-ur01.marlboro.ma.boston.contoso.com [10.87.144.77]<br />
7 10g-8-1-ur01.natick.ma.boston.contoso.com [10.87.144.197]<br />
8 10g-9-1-ur01.sterl<strong>in</strong>g.ma.boston.contoso.com [10.87.144.217]<br />
9 te-9-2-ur01.marlboro.ma.boston.contoso.com [10.87.144.77]<br />
10 10g-8-1-ur01.natick.ma.boston.contoso.com [10.87.144.197]
Der Ablauf bei der Behandlung von Netzwerkproblemen 599<br />
11 10g-9-1-ur01.sterl<strong>in</strong>g.ma.boston.contoso.com [10.87.144.217]<br />
12 te-9-2-ur01.marlboro.ma.boston.contoso.com [10.87.144.77]<br />
13 10g-8-1-ur01.natick.ma.boston.contoso.com [10.87.144.197]<br />
So führen Sie e<strong>in</strong>e Behandlung von Beitritts- oder Anmeldeproblemen <strong>in</strong> e<strong>in</strong>er<br />
Domäne durch<br />
Adm<strong>in</strong>istratoren bekommen oft Probleme, wenn sie versuchen, e<strong>in</strong>en <strong>W<strong>in</strong>dows</strong>-Computer<br />
zu e<strong>in</strong>er AD DS-Domäne h<strong>in</strong>zuzufügen. Auch Benutzer bekommen unter Umständen die<br />
Fehlermeldung, dass Domänencontroller nicht verfügbar s<strong>in</strong>d, wenn sie versuchen, sich mit<br />
e<strong>in</strong>em Domänenkonto an ihrem Computer anzumelden.<br />
Der erste Schritt bei der Behandlung von Domänenbeitrittsproblemen besteht dar<strong>in</strong>, die<br />
Schaltfläche Details auf dem Dialogfeld Computernamen- bzw. -domänenänderungen anzuklicken,<br />
um sich die Fehler<strong>in</strong>formationen anzeigen zu lassen. Zum Beispiel bedeutet die<br />
Fehlermeldung <strong>in</strong> Abbildung E.9, dass der DNS-Server ke<strong>in</strong>en DNS-E<strong>in</strong>trag für den Domänencontroller<br />
hat. Falls Sie diese Fehler<strong>in</strong>formationen sehen wollen, nachdem Sie das Dialogfeld<br />
Computernamen- bzw. -domänenänderungen geschlossen haben, können Sie die<br />
Protokolldatei %W<strong>in</strong>Dir%\Debug\Dcdiag.txt öffnen.<br />
Abbildung E.9 Meistens gibt <strong>W<strong>in</strong>dows</strong> die Ursache<br />
des Problems <strong>in</strong> der detaillierten Fehlermeldung an<br />
So analysieren Sie die Datei NetSetup.log<br />
Falls das Dialogfeld Computernamen- bzw. -domänenänderungen die Ursache des Problems<br />
nicht verrät, können Sie sich die Datei %W<strong>in</strong>Dir%\Debug\Netsetup.log ansehen. Dieses Protokoll<br />
zeichnet die Vorgänge beim Beitritt zu e<strong>in</strong>er Domäne auf, ebenso die Details eventueller<br />
Probleme, die dabei auftreten. Am besten vergleichen Sie e<strong>in</strong>e Protokolldatei, die auf<br />
e<strong>in</strong>em Computer generiert wurde, der erfolgreich Ihrer Domäne beigetreten ist, mit der des<br />
Computers, der der Domäne nicht beitreten konnte. Zum Beispiel zeigt der folgende E<strong>in</strong>trag,<br />
dass der Computer den Domänencontroller hq.contoso.com erfolgreich f<strong>in</strong>den konnte (der<br />
Rückgabewert ist 0x0):
600 Anhang E: Behandlung von Problemen mit Netzwerken<br />
-----------------------------------------------------------------<br />
NetpValidateName: check<strong>in</strong>g to see if 'HQ.CONTOSO.COM' is valid as type 3 name<br />
NetpCheckDoma<strong>in</strong>NameIsValid [ Exists ] for 'HQ.CONTOSO.COM' returned 0x0<br />
NetpValidateName: name 'HQ.CONTOSO.COM' is valid for type 3<br />
-----------------------------------------------------------------<br />
Der folgende E<strong>in</strong>trag zeigt dagegen, dass der Computer den Domänencontroller hq.fabrikam.<br />
com nicht f<strong>in</strong>den konnte (Rückgabewert 0x54b):<br />
-----------------------------------------------------------------<br />
NetpValidateName: check<strong>in</strong>g to see if 'hq.fabrikam.com' is valid as type 3 name<br />
NetpCheckDoma<strong>in</strong>NameIsValid for hq.fabrikam.com returned 0x54b, last error is 0x3e5<br />
NetpCheckDoma<strong>in</strong>NameIsValid [ Exists ] for 'hq.fabrikam.com' returned 0x54b<br />
-----------------------------------------------------------------<br />
Falls Sie diese Art von Namensauflösungsfehler während e<strong>in</strong>es unbeaufsichtigten Setups<br />
bekommen, aber von Hand e<strong>in</strong>er Domäne beitreten können, sollten Sie überprüfen, ob die<br />
Clients e<strong>in</strong>e gültige DHCP-Konfiguration empfangen. Stellen Sie vor allem sicher, dass die<br />
DNS-Serveradressen richtig s<strong>in</strong>d und dass die identifizierten DNS-Server SRV-Ressourcene<strong>in</strong>träge<br />
für Ihre Domänencontroller im Format _ldap._tcp.dc._msdcs.<br />
enthalten.<br />
Falls Sie e<strong>in</strong>en Fehler sehen, der ähnlich aussieht wie im folgenden Beispiel, ist der Computer<br />
vorher e<strong>in</strong>er Domäne beigetreten und hat dabei denselben Computernamen, aber e<strong>in</strong><br />
anderes Konto benutzt. Das kann fehlschlagen, weil das adm<strong>in</strong>istrative Benutzerkonto nicht<br />
die Berechtigung hat, das vorhandene Konto zu ändern. Sie können das Problem umgehen,<br />
<strong>in</strong>dem Sie den Computernamen ändern, das Computerkonto aus der Domäne löschen lassen<br />
oder das ursprüngliche Benutzerkonto verwenden, um den Computer zur Domäne h<strong>in</strong>zuzufügen.<br />
NetpManageMach<strong>in</strong>eAccountWithSid: NetUserAdd on '\\hq.contoso.com' for '43L2251A2-<br />
55$' failed: 0x8b0<br />
04/06 06:36:20 SamOpenUser on 3386585 failed with 0xc0000022<br />
Falls Sie e<strong>in</strong>en Fehler sehen, der ähnlich aussieht wie im folgenden Beispiel, konnte der<br />
Client ke<strong>in</strong>e SMB-Sitzung (Server Message Block) mit dem Domänencontroller e<strong>in</strong>richten,<br />
um das Clientcomputerkonto zu verwalten. E<strong>in</strong>e denkbare Ursache für dieses Problem ist,<br />
dass WINS-Registrierungen für e<strong>in</strong>en Domänencontroller fehlen.<br />
NetUseAdd to \\ntdev-dc-02.ntdev.corp.microsoft.com\IPC$ returned 53<br />
Sie können dieses Problem reproduzieren (und testen, ob Sie es beseitigt haben), <strong>in</strong>dem Sie<br />
e<strong>in</strong>e E<strong>in</strong>gabeaufforderung öffnen und den folgenden Befehl ausführen:<br />
net use \\Server_von_oben\ipc$ /u:Konto_für_Beitritt Kennwort<br />
Sie können feststellen, ob die <strong>W<strong>in</strong>dows</strong> 7-Edition den Beitritt zu e<strong>in</strong>er Domäne unterstützt,<br />
<strong>in</strong>dem Sie nach dem Schlüsselwort »NetpDoma<strong>in</strong>Jo<strong>in</strong>Licens<strong>in</strong>gCheck« suchen (die neusten<br />
E<strong>in</strong>träge bef<strong>in</strong>den sich am Ende der Protokolldatei). Falls »ulLicenseValue« e<strong>in</strong>en anderen<br />
Wert als 1 hat, kann diese Edition von <strong>W<strong>in</strong>dows</strong> nicht e<strong>in</strong>er Domäne beitreten. Um e<strong>in</strong>er<br />
Domäne beitreten zu können, muss e<strong>in</strong> Computer unter den Betriebssystemen <strong>W<strong>in</strong>dows</strong> 7<br />
Professional, <strong>W<strong>in</strong>dows</strong> 7 Enterprise oder <strong>W<strong>in</strong>dows</strong> 7 Ultimate laufen. Das folgende Beispiel<br />
zeigt e<strong>in</strong>en Protokolldateie<strong>in</strong>trag für e<strong>in</strong>en Computer, der unter e<strong>in</strong>er unterstützten <strong>W<strong>in</strong>dows</strong>-<br />
Version läuft (erkennbar an »ulLicenseValue=1«):<br />
NetpDoma<strong>in</strong>Jo<strong>in</strong>Licens<strong>in</strong>gCheck: ulLicenseValue=1, Status: 0x0
Der Ablauf bei der Behandlung von Netzwerkproblemen 601<br />
So überprüfen Sie die Anforderungen für den Beitritt zu e<strong>in</strong>er Domäne<br />
Damit Sie e<strong>in</strong>er Domäne erfolgreich beitreten oder sich an e<strong>in</strong>er Domäne anmelden können,<br />
müssen Sie mehrere Anforderungen erfüllen. Wenn Sie e<strong>in</strong>e Problembehandlung beim Beitritt<br />
zu e<strong>in</strong>er Domäne durchführen, sollten Sie alle diese Anforderungen überprüfen:<br />
Der Clientcomputer muss <strong>in</strong> der Lage se<strong>in</strong>, die IP-Adresse e<strong>in</strong>es Domänencontrollers<br />
aufzulösen In den meisten <strong>Unternehmen</strong>snetzwerken erhalten Clientcomputer<br />
e<strong>in</strong>e IP-Adresszuweisung von e<strong>in</strong>em DHCP-Server, und der DHCP-Server stellt die<br />
Adressen von AD DS-fähigen DNS-Servern zur Verfügung, die die IP-Adresse des<br />
Domänencontrollers auflösen können. Falls e<strong>in</strong> anderer DNS-Server konfiguriert ist,<br />
sollten Sie die IP-Konfiguration des Clientcomputers so aktualisieren, dass er e<strong>in</strong>en AD<br />
DS-fähigen DNS-Server verwendet. Ist das nicht möglich, können Sie zwei Datensätze<br />
zu Ihrem vorhandenen DNS-Server h<strong>in</strong>zufügen, die die IP-Adresse e<strong>in</strong>es Domänencontrollers<br />
auflösen:<br />
E<strong>in</strong>en _ldap._tcp.dc._msdcs.-SRV-Ressourcene<strong>in</strong>trag, der<br />
den Namen des Domänencontrollers angibt, der die AD DS-Domäne hostet. Dabei<br />
ist der DNS-Name der AD DS-Domäne, der Ihr Computer<br />
beizutreten versucht.<br />
E<strong>in</strong>en entsprechenden Adresse-(A)-Ressourcene<strong>in</strong>trag, der die IP-Adresse des<br />
Domänencontrollers angibt, der im _ldap._tcp.dc._msdcs.-<br />
SRV-Ressourcene<strong>in</strong>trag e<strong>in</strong>getragen ist.<br />
Der Clientcomputer muss <strong>in</strong> der Lage se<strong>in</strong>, Verkehr mit dem Domänencontroller<br />
über mehrere TCP- und UDP-Ports auszutauschen Diese Ports s<strong>in</strong>d:<br />
TCP-Port 135 für RPC-Verkehr<br />
TCP-Port 389 und UDP-Port 389 für LDAP-Verkehr<br />
TCP-Port 636 für LDAP over SSL-Verkehr<br />
TCP-Port 3268 für LDAP-GC-Verkehr (Global Catalog)<br />
TCP-Port 3269 für LDAP-GC-SSL-Verkehr<br />
TCP-Port 53 und UDP-Port 53 für DNS-Verkehr<br />
TCP-Port 88 und UDP-Port 88 für Kerberos-Verkehr<br />
TCP-Port 445 für SMB-Verkehr (auch als CIFS-Verkehr bezeichnet)<br />
H<strong>in</strong>weis Informationen darüber, wie Sie feststellen, ob bestimmte Ports verfügbar s<strong>in</strong>d,<br />
f<strong>in</strong>den Sie im Abschnitt »So führen Sie e<strong>in</strong>e Behandlung von Anwendungsverb<strong>in</strong>dungsproblemen<br />
durch« weiter oben <strong>in</strong> diesem Anhang. Am e<strong>in</strong>fachsten können Sie alle diese<br />
Ports nache<strong>in</strong>ander testen, <strong>in</strong>dem Sie Portqueryui.exe und den vordef<strong>in</strong>ierten Dienst<br />
»Doma<strong>in</strong>s and Trusts« verwenden.<br />
Der Adm<strong>in</strong>istrator muss die Privilegien haben, e<strong>in</strong>en Computer zu e<strong>in</strong>er Domäne<br />
h<strong>in</strong>zuzufügen Adm<strong>in</strong>istratoren, die e<strong>in</strong>en Computer zu e<strong>in</strong>er Domäne h<strong>in</strong>zufügen,<br />
müssen das Benutzerrecht H<strong>in</strong>zufügen von Arbeitsstationen zur Domäne haben.
602 Anhang E: Behandlung von Problemen mit Netzwerken<br />
Der Computer muss unter <strong>W<strong>in</strong>dows</strong> 7 Professional, <strong>W<strong>in</strong>dows</strong> 7 Enterprise oder<br />
<strong>W<strong>in</strong>dows</strong> 7 Ultimate laufen Die Betriebssysteme <strong>W<strong>in</strong>dows</strong> 7 Starter, <strong>W<strong>in</strong>dows</strong> 7<br />
Home Basic und <strong>W<strong>in</strong>dows</strong> 7 Home Premium s<strong>in</strong>d nicht <strong>in</strong> der Lage, e<strong>in</strong>er Domäne<br />
beizutreten.<br />
So führen Sie e<strong>in</strong>e Behandlung von Problemen bei der Netzwerkerkennung<br />
durch<br />
Die Netzwerkerkennung macht es möglich, dass die Benutzer freigegebene Netzwerkressourcen<br />
im Fenster Netzwerk angezeigt bekommen. In privaten Netzwerken ist das bequem,<br />
weil die Benutzer Verb<strong>in</strong>dungen zu Ressourcen herstellen können, ohne die Namen der<br />
anderen Computer im Netzwerk kennen zu müssen. In öffentlichen Netzwerken ist die Netzwerkerkennung<br />
dagegen e<strong>in</strong> Sicherheitsproblem, weil sie die Anwesenheit der Computer im<br />
öffentlichen Netzwerk bekannt macht und Benutzer unter Umständen Verb<strong>in</strong>dungen zu<br />
e<strong>in</strong>em potenziell gefährlichen Computer herstellen.<br />
Aus diesen Gründen ist die Netzwerkerkennung <strong>in</strong> privaten Netzwerken aktiviert, aber <strong>in</strong><br />
öffentlichen Netzwerken standardmäßig deaktiviert. Bei der Verb<strong>in</strong>dung mit e<strong>in</strong>er AD DS-<br />
Domäne wird die Netzwerkerkennung durch Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen gesteuert, ist<br />
aber standardmäßig deaktiviert. Falls das Fenster Netzwerk daher ke<strong>in</strong>e freigegebenen Ressourcen<br />
im lokalen Netzwerk anzeigt, hat das fast mit Sicherheit den Grund, dass die Netzwerkerkennung<br />
deaktiviert ist. Das können Sie folgendermaßen ändern (alle Schritte erfordern<br />
Adm<strong>in</strong>istratorprivilegien und können Ihren Computer angreifbar machen):<br />
1. Überprüfen Sie, ob der Dienst Funktionssuchanbieter-Host läuft.<br />
2. Stellen Sie sicher, dass <strong>in</strong> der <strong>W<strong>in</strong>dows</strong>-Firewall Ausnahmen für die Netzwerkerkennung<br />
aktiviert s<strong>in</strong>d.<br />
3. Ändern Sie den Typ des Netzwerks von »Öffentlich« auf »Privat«. Stattdessen können<br />
Sie auch von Hand die Netzwerkerkennung aktivieren, <strong>in</strong>dem Sie das Fenster Netzwerkund<br />
Freigabecenter öffnen und die Netzwerkerkennung aktivieren.<br />
So führen Sie e<strong>in</strong>e Behandlung von Problemen mit der Datei-<br />
und Druckerfreigabe durch<br />
Verschiedene unterschiedliche Faktoren können Probleme bei der Verb<strong>in</strong>dung zu freigegebenen<br />
Dateien und Druckern verursachen (die dieselben Kommunikationsprotokolle nutzen):<br />
Die <strong>W<strong>in</strong>dows</strong>-Firewall oder e<strong>in</strong>e andere Softwarefirewall blockiert den Verkehr auf dem<br />
Client oder dem Server.<br />
E<strong>in</strong>e Netzwerkfirewall zwischen Client und Server blockiert den Verkehr.<br />
Der Client liefert ungültige Anmelde<strong>in</strong>formationen und der Server weist den Verb<strong>in</strong>dungsversuch<br />
des Clients zurück.<br />
Namensauflösungsprobleme verh<strong>in</strong>dern, dass der Client die IP-Adresse des Servers<br />
ermitteln kann.<br />
Beg<strong>in</strong>nen Sie mit der Problembehandlung auf dem Clientcomputer. Falls der Server e<strong>in</strong><br />
<strong>W<strong>in</strong>dows</strong> 7-Computer ist und Sie Adm<strong>in</strong>istratorzugriff darauf haben, können Sie die Problembehandlung<br />
auch vom Server aus durchführen. Die beiden nächsten Abschnitte setzen<br />
voraus, dass Client und Server zur selben Domäne gehören.
Der Ablauf bei der Behandlung von Netzwerkproblemen 603<br />
So führen Sie e<strong>in</strong>e Behandlung von Problemen mit der Datei- und Druckerfreigabe<br />
vom Clientcomputer aus durch<br />
Gehen Sie folgendermaßen vor, um Probleme bei der Verb<strong>in</strong>dung zu freigegebenen Dateien<br />
und Druckern zu beseitigen:<br />
1. Falls Sie e<strong>in</strong>e Verb<strong>in</strong>dung zum freigegebenen Ordner herstellen können, aber die Meldung<br />
»Zugriff verweigert« erhalten, wenn Sie versuchen, den Ordner zu öffnen, hat Ihr Benutzerkonto<br />
die Berechtigung, auf die Freigabe zuzugreifen, verfügt aber nicht über<br />
NTFS-Berechtigungen für den Ordner. Wenden Sie sich an den Serveradm<strong>in</strong>istrator,<br />
damit Sie die erforderlichen NTFS-Dateiberechtigungen gewährt bekommen. Falls der<br />
Server e<strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7-Computer ist, können Sie im Abschnitt »So führen Sie e<strong>in</strong>e Behandlung<br />
von Problemen mit der Datei- und Druckerfreigabe vom Servercomputer aus<br />
durch« weiter unten <strong>in</strong> diesem Anhang weiterlesen.<br />
2. Überprüfen Sie, ob Sie den Namen des Servers richtig auflösen können. Geben Sie <strong>in</strong><br />
e<strong>in</strong>er E<strong>in</strong>gabeaufforderung den Befehl p<strong>in</strong>g Hostname e<strong>in</strong>. Falls P<strong>in</strong>g e<strong>in</strong>e IP-Adresse<br />
anzeigt, wie im folgenden Beispiel, können Sie den Namen des Servers richtig auflösen.<br />
Es ist dabei unerheblich, ob der Server auf die P<strong>in</strong>g-Anfragen antwortet. Falls dieser<br />
Schritt fehlschlägt, haben Sie es mit e<strong>in</strong>em Namensauflösungsproblem zu tun. Wenden<br />
Sie sich an Ihren AD DS- oder DNS-Adm<strong>in</strong>istrator.<br />
p<strong>in</strong>g server<br />
P<strong>in</strong>g wird ausgeführt für server [10.1.42.22] mit 32 Bytes Daten:<br />
3. Versuchen Sie, statt zum Hostnamen des Servers e<strong>in</strong>e Verb<strong>in</strong>dung zur IP-Adresse des<br />
Servers herzustellen, die Sie im letzten Schritt ermittelt haben. Zum Beispiel können Sie<br />
statt \\Server\Drucker den Pfad \\10.1.42.22\Drucker angeben.<br />
4. Versuchen Sie, <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung mit dem Befehl net use \\IP_Adresse e<strong>in</strong>e<br />
Verb<strong>in</strong>dung zu e<strong>in</strong>em Server herzustellen. Falls das gel<strong>in</strong>gt, ist die Netzwerkkonnektivität<br />
vorhanden, aber Ihr Benutzerkonto verfügt nicht über die Privilegien, die Verb<strong>in</strong>dung<br />
mit der Ordner- oder Druckerfreigabe herzustellen. Wenden Sie sich an den Serveradm<strong>in</strong>istrator,<br />
damit Ihr Konto die erforderlichen Freigabeberechtigungen erhält. Freigabeberechtigungen<br />
werden getrennt von den NTFS-Dateiberechtigungen verwaltet.<br />
5. Testen Sie mit Telnet oder PortQry, ob Ihr Computer e<strong>in</strong>e Verb<strong>in</strong>dung zu TCP-Port 445<br />
auf dem Remotecomputer herstellen kann. Falls Sie ke<strong>in</strong>e Verb<strong>in</strong>dung zu TCP-Port 445<br />
herstellen können, sollten Sie als Nächstes TCP-Port 139 testen. E<strong>in</strong>e Anleitung, wie Sie<br />
die Konnektivität zu e<strong>in</strong>em bestimmten Port überprüfen können, f<strong>in</strong>den Sie im Abschnitt<br />
»So führen Sie e<strong>in</strong>e Behandlung von Anwendungsverb<strong>in</strong>dungsproblemen durch« weiter<br />
oben <strong>in</strong> diesem Anhang. Falls Sie weder über TCP-Port 139 noch TCP-Port 445 e<strong>in</strong>e<br />
Verb<strong>in</strong>dung herstellen können, sollten Sie überprüfen, ob Datei- und Druckerfreigabe auf<br />
dem Server aktiviert s<strong>in</strong>d. Stellen Sie dann sicher, dass der Server e<strong>in</strong>e Firewallausnahme<br />
für die TCP-Ports 139 und 445 konfiguriert hat oder <strong>in</strong> der <strong>W<strong>in</strong>dows</strong>-Firewall e<strong>in</strong>e Ausnahme<br />
für Datei- und Druckerfreigabe aktiviert ist.<br />
6. Versuchen Sie, e<strong>in</strong>e Verb<strong>in</strong>dung zum Server über e<strong>in</strong> Konto mit adm<strong>in</strong>istrativen Anmelde<strong>in</strong>formationen<br />
auf dem Server herzustellen. Falls Sie mit e<strong>in</strong>em anderen Konto e<strong>in</strong>e<br />
Verb<strong>in</strong>dung herstellen können, verfügt Ihr normales Konto nicht über die erforderlichen<br />
Rechte. Wenden Sie sich an den Serveradm<strong>in</strong>istrator, damit er Ihrem Konto die erforder-
604 Anhang E: Behandlung von Problemen mit Netzwerken<br />
lichen Privilegien gewährt. Abhängig von der Serverkonfiguration können Sie Authentifizierungsprobleme<br />
manchmal auch daran erkennen, dass Sie sich das Sicherheitsereignisprotokoll<br />
ansehen. Allerd<strong>in</strong>gs muss die Überwachung für fehlgeschlagene Anmeldeversuche<br />
auf dem Server aktiviert se<strong>in</strong>, damit die entsprechenden Ereignisse zur Verfügung<br />
stehen.<br />
Falls Sie immer noch ke<strong>in</strong>e Verb<strong>in</strong>dung herstellen können, müssen Sie die Problembehandlung<br />
auf dem Server fortsetzen. Falls Sie ke<strong>in</strong>en Zugriff auf den Server haben, müssen Sie<br />
sich an den Serveradm<strong>in</strong>istrator wenden.<br />
So führen Sie e<strong>in</strong>e Behandlung von Problemen mit der Datei- und Druckerfreigabe<br />
vom Servercomputer aus durch<br />
Gehen Sie folgendermaßen vor, um e<strong>in</strong>e Behandlung von Problemen mit der Datei- und<br />
Druckerfreigabe von e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Server aus durchzuführen, der den Ordner oder<br />
Drucker freigibt:<br />
1. Überprüfen Sie, ob der Ordner oder Drucker freigegeben ist. Klicken Sie mit der rechten<br />
Maustaste auf das Objekt und wählen Sie den Befehl Freigabe. Falls nicht angegeben<br />
ist, dass das Objekt bereits freigegeben wurde, können Sie es jetzt freigeben und dann<br />
erneut versuchen, vom Client aus e<strong>in</strong>e Verb<strong>in</strong>dung herzustellen.<br />
2. Falls Sie e<strong>in</strong>en Ordner freigeben wollen, der noch nicht freigegeben wurde, können Sie<br />
mit der rechten Maustaste auf den Ordner klicken und den Befehl Freigabe wählen.<br />
Klicken Sie im Assistenten Dateifreigabe auf Zugriffsberechtigungen ändern. Falls der<br />
Assistent Dateifreigabe nicht ersche<strong>in</strong>t, läuft der Serverdienst nicht. Fahren Sie dann mit<br />
dem nächsten Schritt fort. Überprüfen Sie andernfalls, ob das Benutzerkonto, mit dem<br />
versucht wird, auf die Freigabe zuzugreifen, <strong>in</strong> der Liste aufgeführt ist oder ob das Benutzerkonto<br />
Mitglied e<strong>in</strong>er Gruppe ist, die <strong>in</strong> der Liste aufgeführt ist. Falls sich das<br />
Konto nicht <strong>in</strong> der Liste bef<strong>in</strong>det, können Sie es h<strong>in</strong>zufügen. Klicken Sie auf Freigabe<br />
und dann auf Fertig.<br />
3. Überprüfen Sie, ob der Serverdienst läuft. Damit die Datei- und Druckerfreigabe funktioniert,<br />
sollte der Serverdienst laufen und so e<strong>in</strong>gerichtet se<strong>in</strong>, dass er automatisch gestartet<br />
wird.<br />
4. Überprüfen Sie, ob die Benutzer die nötigen Berechtigungen haben, um auf die Ressourcen<br />
zuzugreifen. Klicken Sie mit der rechten Maustaste auf das Objekt und wählen Sie<br />
den Befehl Eigenschaften. Klicken Sie im Eigenschaftendialogfeld auf die Registerkarte<br />
Sicherheit. Überprüfen Sie, ob das Benutzerkonto, mit dem versucht wird, die Verb<strong>in</strong>dung<br />
herzustellen, <strong>in</strong> der Liste aufgeführt ist oder ob das Benutzerkonto Mitglied e<strong>in</strong>er<br />
Gruppe ist, die <strong>in</strong> der Liste aufgeführt ist. Falls das Konto nicht <strong>in</strong> der Liste steht, können<br />
Sie es h<strong>in</strong>zufügen.<br />
5. Überprüfen Sie die <strong>W<strong>in</strong>dows</strong>-Firewallausnahmen, um sicherzustellen, dass die Firewall<br />
richtig konfiguriert ist. Gehen Sie dazu folgendermaßen vor:<br />
a. Klicken Sie im Startmenü auf Systemsteuerung.<br />
b. Klicken Sie auf Sicherheit und dann auf <strong>W<strong>in</strong>dows</strong>-Firewall.<br />
c. Sehen Sie sich im Dialogfeld <strong>W<strong>in</strong>dows</strong>-Firewall den Netzwerkstandort an. Klicken<br />
Sie auf E<strong>in</strong>stellungen ändern.
Der Ablauf bei der Behandlung von Netzwerkproblemen 605<br />
d. Klicken Sie im Dialogfeld <strong>W<strong>in</strong>dows</strong>-Firewalle<strong>in</strong>stellungen auf die Registerkarte<br />
Ausnahmen. Überprüfen Sie, ob das Kontrollkästchen Datei- und Druckerfreigabe<br />
aktiviert ist.<br />
e. Wenn die Ausnahme Datei- und Druckerfreigabe aktiviert ist, gilt sie nur für das<br />
aktuelle Netzwerkprofil. Falls zum Beispiel die <strong>W<strong>in</strong>dows</strong>-Firewall Ihren Netzwerkstandort<br />
als Domänennetzwerk angibt, ist die Ausnahme für Datei- und Druckerfreigabe<br />
unter Umständen nicht aktiviert, wenn Sie mit privaten oder öffentlichen Netzwerken<br />
verbunden s<strong>in</strong>d. Außerdem erlaubt die <strong>W<strong>in</strong>dows</strong>-Firewall <strong>in</strong> der Standarde<strong>in</strong>stellung<br />
nur Datei- und Druckerfreigabeverkehr aus dem lokalen Netzwerk, wenn<br />
Sie mit e<strong>in</strong>em privaten oder öffentlichen Netzwerk verbunden s<strong>in</strong>d.<br />
So führen Sie e<strong>in</strong>e Behandlung von Problemen <strong>in</strong> Drahtlosnetzwerken durch<br />
Drahtlosnetzwerke s<strong>in</strong>d <strong>in</strong>zwischen sehr verbreitet. Benutzer haben allerd<strong>in</strong>gs oft Probleme,<br />
e<strong>in</strong>e Verb<strong>in</strong>dung zu Drahtlosnetzwerken herzustellen, weil diese Netzwerke komplizierter<br />
s<strong>in</strong>d als Kabelnetzwerke. Gehen Sie folgendermaßen vor, um e<strong>in</strong>e Fehlerbehebung für Probleme<br />
bei der Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk durchzuführen.<br />
1. Überprüfen Sie, ob die Drahtlosnetzwerkkarte <strong>in</strong>stalliert und ihr Treiber aktiviert ist.<br />
Klicken Sie im Netzwerk- und Freigabecenter auf Adaptere<strong>in</strong>stellungen ändern. Falls<br />
Ihre Drahtlosnetzwerkverb<strong>in</strong>dung nicht wie <strong>in</strong> Abbildung E.10 aufgeführt ist, ist Ihre<br />
Netzwerkkarte oder der Treiber nicht <strong>in</strong>stalliert. Weitere Informationen f<strong>in</strong>den Sie <strong>in</strong><br />
Anhang D, »Problembehandlung für Hardware, Treiber und Laufwerke«.<br />
Abbildung E.10 Im Fenster Netzwerkverb<strong>in</strong>dungen wird der Adapter angezeigt,<br />
falls Ihre Drahtlosnetzwerkkarte und der Treiber richtig <strong>in</strong>stalliert s<strong>in</strong>d<br />
2. Falls e<strong>in</strong>e Drahtlosnetzwerkkarte <strong>in</strong>stalliert ist, können Sie im Fenster Netzwerkverb<strong>in</strong>dungen<br />
mit der rechten Maustaste darauf klicken und den Befehl Diagnose wählen. Folgen<br />
Sie den angezeigten Anweisungen. <strong>W<strong>in</strong>dows</strong> 7 kann das Problem unter Umständen<br />
diagnostizieren.<br />
3. Öffnen Sie die Ereignisanzeige und sehen Sie sich das Systemereignisprotokoll an. Filtern<br />
Sie die Ereignisse, sodass nur Ereignisse angezeigt werden, deren Quelle »Diagnostics-Network<strong>in</strong>g«<br />
lautet. Sehen Sie sich die jüngsten Ereignisse an und analysieren Sie<br />
die Informationen, die von der <strong>W<strong>in</strong>dows</strong>-Problembehandlungsplattform als mögliche<br />
Ursachen des Problems angegeben werden.
606 Anhang E: Behandlung von Problemen mit Netzwerken<br />
Netzwerkdiagnose<br />
Tim Ra<strong>in</strong>s, Program Manager, <strong>W<strong>in</strong>dows</strong> Network<strong>in</strong>g<br />
Die Netzwerkdiagnose kann über 180 unterschiedliche Probleme im Zusammenhang<br />
mit Drahtlosnetzwerken diagnostizieren. Um die Netzwerkdiagnose für Drahtlosnetzwerke<br />
optimal zu nutzen, sollten Sie sicherstellen, dass Sie native WiFi-Treiber verwenden,<br />
ke<strong>in</strong>e Legacy-WiFi-Treiber. Welche Arten von Treibern auf e<strong>in</strong>em System<br />
<strong>in</strong>stalliert s<strong>in</strong>d, können Sie feststellen, <strong>in</strong>dem Sie <strong>in</strong> e<strong>in</strong>er E<strong>in</strong>gabeaufforderung den<br />
folgenden Befehl ausführen:<br />
netsh wlan show drivers<br />
Suchen Sie <strong>in</strong> der Ausgabe nach der Zeile mit dem Inhalt »Typ«. Er sollte entweder<br />
»WiFi-Treiber (Vorgängerversion)« (für die Legacy-Treiber) oder »WiFi-Treiber<br />
(Ursprungsversion)« (für Native-Treiber) lauten. Falls e<strong>in</strong> Legacy-Treiber <strong>in</strong>stalliert<br />
ist, sollten Sie beim Hersteller der Drahtlosnetzwerkkarte nachfragen, ob e<strong>in</strong> Native-<br />
WiFi-Treiber für den Adapter verfügbar ist.<br />
4. Überprüfen Sie, ob Drahtlosnetzwerke auf Ihrem Computer aktiviert s<strong>in</strong>d. Um Strom zu<br />
sparen, haben die meisten tragbaren Computer die Fähigkeit, den Sender für das Drahtlosnetzwerk<br />
zu deaktivieren. Oft wird das durch e<strong>in</strong>en Hardwareschalter auf dem Computer<br />
gesteuert. In anderen Fällen müssen Sie e<strong>in</strong>e spezielle, computerspezifische Tastenkomb<strong>in</strong>ation<br />
drücken (zum Beispiel FN+F2), um den Sender zu aktivieren oder zu deaktivieren.<br />
Falls der Drahtlossender deaktiviert ist, wird die Netzwerkkarte zwar unter<br />
den Netzwerkverb<strong>in</strong>dungen aufgeführt, kann aber ke<strong>in</strong>e Drahtlosnetzwerke anzeigen.<br />
5. Falls für die Drahtlosnetzwerkkarte die Meldung »Verb<strong>in</strong>dung getrennt« angezeigt wird,<br />
sollten Sie versuchen, Verb<strong>in</strong>dung mit e<strong>in</strong>em Drahtlosnetzwerk herzustellen. Klicken Sie<br />
im Fenster Netzwerkverb<strong>in</strong>dungen mit der rechten Maustaste auf den Netzwerkadapter<br />
und dann auf Verb<strong>in</strong>den. Klicken Sie im Dialogfeld Verb<strong>in</strong>dung mit e<strong>in</strong>em Netzwerk<br />
herstellen auf e<strong>in</strong> Drahtlosnetzwerk und dann auf Verb<strong>in</strong>dung herstellen.<br />
6. Falls die Sicherheit beim Drahtlosnetzwerk aktiviert ist und Sie aufgefordert werden,<br />
den Kenncode e<strong>in</strong>zugeben, aber ke<strong>in</strong>e Verb<strong>in</strong>dung herstellen können (oder der Drahtlosadapter<br />
immer nur die Statusmeldung »Netzwerkidentifizierung« oder »Mit e<strong>in</strong>geschränktem<br />
Zugriff verbunden« anzeigt), sollten Sie überprüfen, ob Sie den Kenncode<br />
richtig e<strong>in</strong>getippt haben. Trennen Sie die Verb<strong>in</strong>dung zum Netzwerk und stellen Sie sie<br />
unter Verwendung des richtigen Kenncodes wieder her.<br />
7. Falls Sie immer noch ke<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk herstellen können,<br />
sollten Sie e<strong>in</strong>e Ablaufverfolgung für das Drahtlosnetzwerk durchführen und die E<strong>in</strong>zelheiten<br />
des Berichts nach e<strong>in</strong>er möglichen Ursache des Problems durchsuchen, wie im<br />
Abschnitt »So führen Sie e<strong>in</strong>e Behandlung von Leistungsproblemen und sporadischen<br />
Konnektivitätsproblemen durch« weiter oben <strong>in</strong> diesem Anhang beschrieben.<br />
Falls die Drahtlosnetzwerkkarte den Namen e<strong>in</strong>es Drahtlosnetzwerks anzeigt (statt »Nicht<br />
verbunden«), haben Sie momentan Verb<strong>in</strong>dung zu e<strong>in</strong>em Drahtlosnetzwerk. Das bedeutet<br />
allerd<strong>in</strong>gs nicht zwangsläufig, dass Sie auch e<strong>in</strong>e IP-Adressenkonfiguration zugewiesen<br />
bekommen, Zugriff auf andere Computer im Netzwerk erhalten oder Zugriff auf das Internet<br />
haben. Deaktivieren Sie erst die Netzwerkkarte und aktivieren Sie sie dann wieder, <strong>in</strong>dem<br />
Sie mit der rechten Maustaste darauf klicken, den Befehl Deaktivieren wählen, dann erneut
Der Ablauf bei der Behandlung von Netzwerkproblemen 607<br />
mit der rechten Maustaste darauf klicken und den Befehl Aktivieren wählen. Stellen Sie dann<br />
erneut die Verb<strong>in</strong>dung zu Ihrem Drahtlosnetzwerk her. Falls die Probleme bestehen bleiben,<br />
sollten Sie den Computer näher zum Drahtloszugriffspunkt br<strong>in</strong>gen, um festzustellen, ob das<br />
Problem mit der Signalstärke zu tun hat. Drahtlosnetzwerke haben e<strong>in</strong>e beschränkte Reichweite,<br />
und unterschiedliche Computer können unterschiedliche Antennentypen und somit<br />
unterschiedliche Reichweiten haben. Falls das Problem nicht mit der Drahtlosverb<strong>in</strong>dung<br />
selbst zu tun hat, sollten Sie im Abschnitt »So führen Sie e<strong>in</strong>e Behandlung von Netzwerkverb<strong>in</strong>dungsproblemen<br />
durch« <strong>in</strong> diesem Anhang weiterlesen.<br />
H<strong>in</strong>weis Dieser Abschnitt konzentriert sich lediglich auf die Konfiguration e<strong>in</strong>es Drahtlosclients,<br />
der unter <strong>W<strong>in</strong>dows</strong> 7 läuft, er beschreibt nicht, wie Sie e<strong>in</strong>e Drahtlosnetzwerk<strong>in</strong>frastruktur<br />
konfigurieren. Weitere Informationen f<strong>in</strong>den Sie <strong>in</strong> Kapitel 10 des Buchs <strong>W<strong>in</strong>dows</strong><br />
Server 2008 Network<strong>in</strong>g und Netzwerkzugriffsschutz von Joseph Davies und Tony Northrup<br />
(Microsoft Press, 2008).<br />
So führen Sie e<strong>in</strong>e Behandlung von Firewallproblemen durch<br />
Viele Angriffe werden über Netzwerkverb<strong>in</strong>dungen e<strong>in</strong>geleitet. Um die Folgen solcher Angriffe<br />
zu verr<strong>in</strong>gern, blockiert die <strong>W<strong>in</strong>dows</strong>-Firewall <strong>in</strong> der Standarde<strong>in</strong>stellung unangeforderten,<br />
ungenehmigten e<strong>in</strong>gehenden Verkehr sowie ungenehmigten ausgehenden Verkehr.<br />
Die <strong>W<strong>in</strong>dows</strong>-Firewall verursacht zwar normalerweise ke<strong>in</strong>e Anwendungsprobleme, es<br />
besteht aber die Möglichkeit, dass sie eigentlich erlaubten Verkehr blockiert, falls sie nicht<br />
richtig konfiguriert ist. Wenn Sie e<strong>in</strong>e Behandlung von Anwendungskonnektivitätsproblemen<br />
durchführen, müssen Sie oft die <strong>W<strong>in</strong>dows</strong>-Firewallkonfiguration auf Client oder Server<br />
untersuchen und möglicherweise ändern.<br />
E<strong>in</strong>e falsche Konfiguration der <strong>W<strong>in</strong>dows</strong>-Firewall kann ganz unterschiedliche Arten von<br />
Verb<strong>in</strong>dungsproblemen verursachen. Auf e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Computer, der als Client agiert,<br />
kann die <strong>W<strong>in</strong>dows</strong>-Firewall ausgehende Kommunikation für die Anwendung blockieren<br />
(obwohl das Blockieren ausgehender Kommunikation nicht standardmäßig aktiviert ist). Auf<br />
e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Computer, der als Server agiert (zum Beispiel e<strong>in</strong> Computer, der e<strong>in</strong>en<br />
Ordner freigibt), kann e<strong>in</strong>e falsche Konfiguration der <strong>W<strong>in</strong>dows</strong>-Firewall zu folgenden Problemen<br />
führen:<br />
Die <strong>W<strong>in</strong>dows</strong>-Firewall blockiert den gesamten e<strong>in</strong>gehenden Verkehr für die Anwendung.<br />
Die <strong>W<strong>in</strong>dows</strong>-Firewall erlaubt e<strong>in</strong>gehenden Verkehr für das LAN, blockiert aber e<strong>in</strong>gehenden<br />
Verkehr für andere Netzwerke.<br />
Die <strong>W<strong>in</strong>dows</strong>-Firewall erlaubt e<strong>in</strong>gehenden Verkehr, wenn der Computer mit e<strong>in</strong>em<br />
Domänennetzwerk verbunden ist, blockiert aber e<strong>in</strong>gehenden Verkehr, wenn der Computer<br />
mit e<strong>in</strong>em öffentlichen oder privaten Netzwerk verbunden ist.<br />
Die Symptome e<strong>in</strong>er falschen Firewallkonfiguration auf Client- oder Serverseite s<strong>in</strong>d dieselben:<br />
Die Anwendungskommunikation schlägt fehl. Damit die Problembehandlung nicht zu<br />
e<strong>in</strong>fach wird, können auch Netzwerkfirewalls dieselben Symptome verursachen. Beantworten<br />
Sie die folgenden Fragen, um die Ursache des Problems zu identifizieren:<br />
1. Können Sie von anderen Clients im selben Netzwerk aus e<strong>in</strong>e Verb<strong>in</strong>dung zum Server<br />
herstellen? Falls ja, haben Sie e<strong>in</strong> Problem bei der Konfiguration der serverseitigen Firewall,<br />
das wahrsche<strong>in</strong>lich mit dem konfigurierten Bereich e<strong>in</strong>er Firewallausnahme zu tun
608 Anhang E: Behandlung von Problemen mit Netzwerken<br />
hat. Falls das Problem nicht dadurch beseitigt wird, dass Sie den Bereich der Firewallausnahme<br />
verändern, wird es wahrsche<strong>in</strong>lich durch e<strong>in</strong>e Netzwerkfirewall verursacht.<br />
Wenden Sie sich <strong>in</strong> diesem Fall an Ihre Netzwerkadm<strong>in</strong>istratoren.<br />
2. Können Sie e<strong>in</strong>en Verb<strong>in</strong>dung zum Server herstellen, wenn der Client mit e<strong>in</strong>em Netzwerkstandorttyp<br />
verbunden ist (zum Beispiel e<strong>in</strong>em Heim- oder Domänennetzwerk),<br />
aber nicht, wenn er mit e<strong>in</strong>em anderen Netzwerkstandorttyp verbunden ist? Falls ja, liegt<br />
e<strong>in</strong> Problem bei der Konfiguration der clientseitigen Firewall vor, das wahrsche<strong>in</strong>lich<br />
dadurch verursacht wird, dass e<strong>in</strong>e Ausnahme nur für e<strong>in</strong>en Netzwerkstandorttyp konfiguriert<br />
ist.<br />
3. Können andere Clients im selben Netzwerk mit derselben Anwendung e<strong>in</strong>e Verb<strong>in</strong>dung<br />
zum Server herstellen? Falls ja, handelt es sich um e<strong>in</strong> Problem mit der Konfiguration<br />
der clientseitigen Firewall, das wahrsche<strong>in</strong>lich dadurch verursacht wird, dass e<strong>in</strong>e Regel<br />
ausgehenden Verkehr für die Anwendung blockiert.<br />
4. Kann der Client e<strong>in</strong>e Verb<strong>in</strong>dung zu anderen Servern herstellen, die dieselbe Anwendung<br />
verwenden? Falls ja, handelt es sich um e<strong>in</strong> Problem mit der Konfiguration der serverseitigen<br />
Firewall und Sie müssen e<strong>in</strong>e Firewallausnahme zum Server h<strong>in</strong>zufügen. Falls<br />
das Problem nicht dadurch beseitigt wird, dass Sie e<strong>in</strong>e Ausnahme h<strong>in</strong>zufügen, wird es<br />
wahrsche<strong>in</strong>lich durch e<strong>in</strong>e Netzwerkfirewall verursacht. Wenden Sie sich <strong>in</strong> diesem Fall<br />
an Ihre Netzwerkadm<strong>in</strong>istratoren.<br />
Zusammenfassung<br />
<strong>W<strong>in</strong>dows</strong> 7 kann viele häufiger vorkommende Netzwerkprobleme automatisch diagnostizieren.<br />
Andere Probleme s<strong>in</strong>d komplizierter und erfordern, dass Sie als Adm<strong>in</strong>istrator e<strong>in</strong>e Problembehandlung<br />
durchführen, um die Ursache des Problems zu f<strong>in</strong>den. Sobald Sie die Ursache<br />
des Problems isoliert haben, können Sie es unter Umständen selbst beseitigen. Falls<br />
das Problem auf e<strong>in</strong>en ausgefallenen Netzwerkabschnitt oder andere Faktoren zurückzuführen<br />
ist, die außerhalb Ihres E<strong>in</strong>flussbereichs liegen, können Sie es immerh<strong>in</strong> an das richtige<br />
<strong>Support</strong>team weiterleiten, um es so schnell wie möglich beseitigen zu lassen.
A N H A N G F<br />
Problembehandlung für Abbruchfehler<br />
H<strong>in</strong>weis Dieser Anhang wurde <strong>in</strong> ähnlicher Form ursprünglich <strong>in</strong> Microsoft <strong>W<strong>in</strong>dows</strong> 7 –<br />
Die technische Referenz von Mitch Tulloch, Tony Northrup, Jerry Honeycutt, Ed Wilson und<br />
dem Microsoft <strong>W<strong>in</strong>dows</strong> 7-Team (Microsoft Press, 2010) veröffentlicht.<br />
Wenn <strong>W<strong>in</strong>dows</strong> e<strong>in</strong> unerwartetes Problem entdeckt, das es nicht mehr beheben kann, tritt e<strong>in</strong><br />
Abbruchfehler (stop error) auf. E<strong>in</strong> Abbruchfehler soll die Integrität des Systems schützen,<br />
<strong>in</strong>dem sofort jegliche Verarbeitung beendet wird. Es ist zwar theoretisch möglich, dass <strong>W<strong>in</strong>dows</strong><br />
weiter funktioniert, falls es feststellt, dass <strong>in</strong> e<strong>in</strong>er Kernkomponente e<strong>in</strong> schweres Problem<br />
aufgetreten ist, aber die Integrität des Systems wäre dann zweifelhaft. Das könnte zu<br />
Sicherheitsverletzungen, Systembeschädigung und ungültiger Transaktionsverarbeitung<br />
führen.<br />
Wenn e<strong>in</strong> Abbruchfehler auftritt, zeigt <strong>W<strong>in</strong>dows</strong> e<strong>in</strong>e Abbruchmeldung (stop message) an,<br />
manchmal auch als Bluescreen bezeichnet. Dies ist e<strong>in</strong>e Textmodus-Fehlermeldung, die<br />
Informationen über die Bed<strong>in</strong>gung anzeigt. Wenn Sie grundlegende Kenntnisse über Abbruchfehler<br />
und ihre möglichen Ursachen haben, s<strong>in</strong>d Sie besser <strong>in</strong> der Lage, technische<br />
Informationen zu f<strong>in</strong>den und zu verstehen oder Diagnoseprozeduren durchzuführen, um die<br />
Sie von Mitarbeitern des technischen <strong>Support</strong>s gebeten werden.<br />
Überblick über Abbruchmeldungen<br />
Abbruchfehler treten nur auf, wenn e<strong>in</strong> Problem nicht mithilfe der übergeordneten Fehlerbehandlungsmechanismen<br />
<strong>in</strong> <strong>W<strong>in</strong>dows</strong> verarbeitet werden kann. Wenn e<strong>in</strong> Fehler <strong>in</strong> e<strong>in</strong>er<br />
Anwendung auftritt, <strong>in</strong>terpretiert normalerweise die Anwendung die Fehlermeldung und<br />
liefert dem Systemadm<strong>in</strong>istrator detaillierte Informationen. Abbruchfehler werden dagegen<br />
vom Kernel behandelt, und <strong>W<strong>in</strong>dows</strong> kann nur grundlegende Informationen über den Fehler<br />
anzeigen, den Inhalt des Arbeitsspeichers auf die Festplatte schreiben (sofern Speicherabbilder<br />
aktiviert s<strong>in</strong>d) und das System anhalten. Diese grundlegenden Informationen, die<br />
sogenannte Abbruchmeldung, s<strong>in</strong>d im Abschnitt »Abbruchmeldungen« weiter unten <strong>in</strong><br />
diesem Anhang ausführlich beschrieben.<br />
Weil <strong>in</strong> e<strong>in</strong>er Abbruchmeldung nur so knappe Informationen stehen und das Betriebssystem<br />
jegliche Verarbeitung anhält, kann es schwierig se<strong>in</strong>, e<strong>in</strong>e Problembehandlung für Abbruchfehler<br />
durchzuführen. Glücklicherweise treten sie im Allgeme<strong>in</strong>en nur sehr selten auf. Wenn<br />
sie doch auftreten, werden sie fast immer durch Treiberprobleme, Hardwareprobleme oder<br />
Datei<strong>in</strong>konsistenzen verursacht.<br />
609
610 Anhang F: Problembehandlung für Abbruchfehler<br />
Identifizieren des Abbruchfehlers<br />
Es gibt viele unterschiedliche Typen von Abbruchfehlern. Für jeden gibt es bestimmte Ursachen,<br />
und für jeden ist e<strong>in</strong> eigener Problembehandlungsprozess erforderlich. Daher besteht<br />
der erste Schritt bei der Problembehandlung e<strong>in</strong>es Abbruchfehlers dar<strong>in</strong>, den Abbruchfehler<br />
zu identifizieren. Sie brauchen folgende Informationen über den Abbruchfehler, um die Problembehandlung<br />
e<strong>in</strong>leiten zu können:<br />
Nummer des Abbruchfehlers Diese Zahl identifiziert den Abbruchfehler e<strong>in</strong>deutig.<br />
Parameter des Abbruchfehlers Diese Parameter liefern zusätzliche Informationen<br />
über den Abbruchfehler. Ihre Bedeutung hängt von der Abbruchfehlernummer ab.<br />
Treiber<strong>in</strong>formationen Sofern vorhanden, identifizieren Treiber<strong>in</strong>formationen die<br />
wahrsche<strong>in</strong>lichste Ursache für das Problem. Allerd<strong>in</strong>gs werden nicht alle Abbruchfehler<br />
durch Treiber verursacht.<br />
Diese Informationen werden oft als Teil der Abbruchmeldung angezeigt. Notieren Sie sich<br />
diese Angaben nach Möglichkeit, damit Sie während des Problembehandlungsprozesses<br />
darauf zurückgreifen können. Falls das Betriebssystem neu startet, bevor Sie die Informationen<br />
abschreiben konnten, können Sie die Daten auch oft <strong>in</strong> der Ereignisanzeige aus dem<br />
Systemprotokoll auslesen.<br />
Falls Sie die Abbruchfehlernummer weder der Abbruchmeldung noch dem Systemprotokoll<br />
entnehmen können, können Sie sie aus e<strong>in</strong>er Speicherabbilddatei (memory dump file) auslesen.<br />
In der Standarde<strong>in</strong>stellung ist <strong>W<strong>in</strong>dows</strong> so konfiguriert, dass es jedes Mal e<strong>in</strong> Speicherabbild<br />
anlegt, wenn e<strong>in</strong> Abbruchfehler auftritt. Falls ke<strong>in</strong>e Speicherabbilddatei erstellt wurde,<br />
sollten Sie das System so konfigurieren, dass es künftig e<strong>in</strong>e Speicherabbilddatei generiert.<br />
Sollte sich der Abbruchfehler dann wiederholen, können Sie die erforderlichen Informationen<br />
aus der Speicherabbilddatei auslesen.<br />
Informationen für die Problembehandlung recherchieren<br />
Jeder Abbruchfehler erfordert se<strong>in</strong>e eigene Problembehandlungstechnik. Sobald Sie den<br />
Abbruchfehler identifiziert und die zugehörigen Informationen zusammengestellt haben,<br />
sollten Sie daher die folgenden Quellen nach Problembehandlungs<strong>in</strong>formationen durchsuchen,<br />
die für diesen Abbruchfehler relevant s<strong>in</strong>d:<br />
Hilfe zu den Microsoft Debugg<strong>in</strong>g Tools for <strong>W<strong>in</strong>dows</strong> Installieren Sie die Microsoft<br />
Debugg<strong>in</strong>g Tools for <strong>W<strong>in</strong>dows</strong> und lesen Sie die Hilfe zu diesem Tool. Diese Hilfetexte<br />
enthalten die Referenzliste der Abbruchmeldungen und erklären, wie Sie e<strong>in</strong>e Problembehandlung<br />
für e<strong>in</strong>e Vielzahl von Abbruchfehlern durchführen. Wie Sie die Debugg<strong>in</strong>g<br />
Tools for <strong>W<strong>in</strong>dows</strong> herunterladen und <strong>in</strong>stallieren, erfahren Sie unter http://www.<br />
microsoft.com/whdc/devtools/debugg<strong>in</strong>g/.<br />
Microsoft Knowledge Base Die Microsoft Knowledge Base enthält aktuelle Artikel<br />
über e<strong>in</strong>e kle<strong>in</strong>ere Auswahl von Abbruchfehlern. Informationen über Abbruchfehler <strong>in</strong><br />
der Microsoft Knowledge Base betreffen oft e<strong>in</strong>en bestimmten Treiber oder e<strong>in</strong>e Hardwarekomponente,<br />
im Allgeme<strong>in</strong>en enthalten sie auch Schritt-für-Schritt-Anleitungen,<br />
wie Sie das Problem beseitigen können.<br />
Microsoft Hilfe und <strong>Support</strong> Informationen f<strong>in</strong>den Sie <strong>in</strong> Microsoft Hilfe und<br />
<strong>Support</strong> unter http://support.microsoft.com.
Überblick über Abbruchmeldungen 611<br />
Microsoft Product <strong>Support</strong> Services Falls Sie die Ursache des Abbruchfehlers nicht<br />
genau bestimmen können, können Sie auf die fachkundigen Mitarbeiter der Microsoft<br />
Product <strong>Support</strong> Services zurückgreifen. Dabei müssen Sie unter Umständen bestimmte<br />
Informationen recherchieren und bestimmte Operationen durchführen, um dem technischen<br />
<strong>Support</strong> dabei zu helfen, Ihr Problem zu untersuchen. Weitere Informationen über<br />
Microsoft Product <strong>Support</strong> Services f<strong>in</strong>den Sie unter http://www.microsoft.com/services/<br />
microsoftservices/srv_support.mspx.<br />
Abbruchmeldungen<br />
Abbruchmeldungen liefern Informationen über Abbruchfehler. Sie sollen dem Systemadm<strong>in</strong>istrator<br />
dabei helfen, das Problem, das den Abbruchfehler ausgelöst hat, genau zu bestimmen<br />
und letztlich zu beseitigen. Abbruchmeldungen liefern e<strong>in</strong>e Menge nützlicher Informationen<br />
für Adm<strong>in</strong>istratoren, die wissen, wie sie die Informationen <strong>in</strong> der Abbruchmeldung zu <strong>in</strong>terpretieren<br />
haben. Neben anderen Informationen enthält die Abbruchmeldung die Abbruchfehlernummer<br />
(auch bugcheck code), anhand derer Sie nach Problembehandlungs<strong>in</strong>formationen<br />
über den konkreten Abbruchfehler unter http://technet.microsoft.com suchen können.<br />
Wenn Sie e<strong>in</strong>e Abbruchmeldung untersuchen, brauchen Sie e<strong>in</strong> bestimmtes Grundwissen<br />
über das Problem, damit Sie die weiteren Maßnahmen planen können. Sehen Sie sich immer<br />
die Abbruchmeldung an und notieren Sie so viele Informationen über das Problem wie möglich,<br />
bevor Sie die technischen Quellen durchsuchen. Abbruchmeldungen werden <strong>in</strong> e<strong>in</strong>em<br />
Textmodus-Vollbildformat ausgegeben (Abbildung F.1). Die Texte von Abbruchmeldungen<br />
s<strong>in</strong>d immer englisch, auch wenn Sie e<strong>in</strong>e deutsche <strong>W<strong>in</strong>dows</strong>-Version benutzen.<br />
Abbildung F.1 Abbruchmeldungen zeigen Informationen an, die Ihnen<br />
bei der Problembehandlung von Abbruchfehlern helfen
612 Anhang F: Problembehandlung für Abbruchfehler<br />
Wie <strong>in</strong> Abbildung F.1 gezeigt, umfasst e<strong>in</strong> Abbruchmeldungsbildschirm vier Hauptabschnitte,<br />
die folgende Informationen anzeigen:<br />
Fehlercode<br />
Empfohlene Maßnahmen<br />
Technische Informationen<br />
Treiber<strong>in</strong>formationen (sofern verfügbar)<br />
Debugport und Speicherabbildstatus<br />
H<strong>in</strong>weis Falls die Grafikkartentreiber nicht mehr funktionieren, kann der Kernel unter Umständen<br />
nicht mehr die gesamte Abbruchmeldung anzeigen. In e<strong>in</strong>em solchen Fall ist manchmal<br />
nur die erste Zeile sichtbar oder der Bildschirm ist völlig schwarz. Warten Sie e<strong>in</strong>ige<br />
M<strong>in</strong>uten, damit die Speicherabbilddatei erstellt werden kann, und wenden Sie dann die üblichen<br />
Problembehandlungstechniken an, wie sie <strong>in</strong> diesem Anhang beschrieben s<strong>in</strong>d.<br />
Fehlercode<br />
Der Fehlercodeabschnitt führt den Abbruchfehler mit e<strong>in</strong>em aussagekräftigen Namen auf.<br />
Diese Namen s<strong>in</strong>d direkt den Abbruchfehlernummern zugeordnet, die im Abschnitt »Technische<br />
Informationen« aufgelistet s<strong>in</strong>d.<br />
Empfohlene Maßnahmen<br />
Der Abschnitt »Empfohlene Maßnahmen« <strong>in</strong>formiert den Benutzer, dass e<strong>in</strong> Problem aufgetreten<br />
ist und dass <strong>W<strong>in</strong>dows</strong> angehalten wird. Er nennt auch den symbolischen Namen für<br />
den Abbruchfehler. In Abbildung F.1 lautet der symbolische Name BUGCODE_USB_DRI-<br />
VER. Der Abschnitt beschreibt nach Möglichkeit das Problem und führt Empfehlungen auf,<br />
wie sich e<strong>in</strong>e Wiederherstellung durchführen lässt. In manchen Fällen kann es ausreichen,<br />
den Computer neu zu starten, weil es unwahrsche<strong>in</strong>lich ist, dass das Problem erneut auftritt.<br />
Falls der Abbruchfehler allerd<strong>in</strong>gs nach dem Neustart des Betriebssystems wieder auftritt,<br />
müssen Sie die eigentliche Ursache ermitteln, damit das Betriebssystem wieder benutzbar<br />
wird. Dazu ist es unter Umständen erforderlich, kürzliche Änderungen rückgängig zu<br />
machen, Hardware auszutauschen oder Treiber zu aktualisieren, um die Ursache des Problems<br />
zu beseitigen.<br />
Technische Informationen<br />
Der Abschnitt »Technische Informationen« (unter der Überschrift »Technical <strong>in</strong>formation«)<br />
listet die Abbruchfehlernummer auf (den sogenannten Abbruchfehlercode oder bugcheck<br />
code), gefolgt von maximal vier abbruchfehlerspezifischen Codes (angezeigt als Hexadezimalzahlen,<br />
die <strong>in</strong> Klammern e<strong>in</strong>geschlossen s<strong>in</strong>d), die zugehörige Parameter angeben.<br />
Abbruchfehlercodes haben das Präfix »0x«, um anzuzeigen, dass es sich um e<strong>in</strong>e Zahl im<br />
Hexadezimalformat handelt. Zum Beispiel hat der Abbruchfehler <strong>in</strong> Abbildung F.1 den<br />
Hexadezimalcode 0x000000FE (oft als 0xFE geschrieben).<br />
Treiber<strong>in</strong>formationen<br />
Der Abschnitt »Treiber<strong>in</strong>formationen« identifiziert den Treiber, der mit dem Abbruchfehler<br />
<strong>in</strong> Verb<strong>in</strong>dung steht. Falls e<strong>in</strong> Date<strong>in</strong>ame angegeben ist, können Sie im abgesicherten Modus
Überblick über Abbruchmeldungen 613<br />
überprüfen, ob der Treiber signiert ist oder denselben Zeitstempel hat wie die anderen Treiber.<br />
Falls nötig, können Sie die Datei von Hand ersetzen (<strong>in</strong> der Systemstartreparatur oder im<br />
abgesicherten Modus) oder die vorherige Version des Treibers wiederherstellen. Weitere<br />
Informationen über das Tool Systemstartreparatur und den abgesicherten Modus f<strong>in</strong>den Sie<br />
<strong>in</strong> Anhang C, »Konfiguration und Problembehandlung des Startvorgangs«. Weitere Informationen<br />
über die Problembehandlung bei Treibern f<strong>in</strong>den Sie <strong>in</strong> Anhang D, »Problembehandlung<br />
für Hardware, Treiber und Laufwerke«. Die Abbruchmeldung aus Abbildung F.1<br />
zeigt ke<strong>in</strong>en Treibernamen an.<br />
Debugport und Speicherabbildstatus<br />
Der Abschnitt »Debugport und Speicherabbildstatus« listet die Parameter für die serielle<br />
Schnittstelle auf, die e<strong>in</strong> Kerneldebugger benutzt (sofern e<strong>in</strong>er aktiviert ist). Falls Sie Speicherabbilddateien<br />
aktiviert haben, gibt dieser Abschnitt auch an, ob diese Datei erfolgreich<br />
geschrieben wurde. Während e<strong>in</strong>e Speicherabbilddatei auf die Festplatte geschrieben wird,<br />
wird der Prozentsatz <strong>in</strong> der Zeile »Dump<strong>in</strong>g physical memory to disk« bis auf den Wert 100<br />
hochgezählt. Der Wert 100 bedeutet, dass das Speicherabbild erfolgreich gespeichert wurde.<br />
Weitere Informationen über das Installieren und Verwenden von Kerneldebuggern f<strong>in</strong>den Sie<br />
im Abschnitt »Arbeiten mit Symboldateien und Debuggern« weiter unten <strong>in</strong> diesem Anhang.<br />
Arten von Abbruchfehlern<br />
E<strong>in</strong> Hardware- oder Softwareproblem kann e<strong>in</strong>en Abbruchfehler auslösen, der bewirkt, dass<br />
e<strong>in</strong>e Abbruchmeldung ersche<strong>in</strong>t. Abbruchmeldungen lassen sich normalerweise <strong>in</strong> e<strong>in</strong>e der<br />
folgenden Kategorien e<strong>in</strong>ordnen:<br />
Abbruchfehler durch fehlerhafte Software E<strong>in</strong> Abbruchfehler kann auftreten, wenn<br />
e<strong>in</strong> Treiber, e<strong>in</strong> Dienst oder e<strong>in</strong>e Systemkomponente, die im Kernmodus laufen, e<strong>in</strong>e<br />
Ausnahme auslöst. Zum Beispiel kann es se<strong>in</strong>, dass e<strong>in</strong> Treiber versucht, e<strong>in</strong>e Operation<br />
auszuführen, die se<strong>in</strong>e zugewiesene Interruptanforderungsebene (Interrupt ReQuest<br />
Level, IRQL) übersteigt, oder <strong>in</strong> e<strong>in</strong>e ungültige Speicheradresse zu schreiben. Es mag so<br />
aussehen, als ob e<strong>in</strong>e Abbruchmeldung zufällig auftaucht, aber durch sorgfältige Beobachtung<br />
schaffen Sie es vielleicht, das Problem mit e<strong>in</strong>er bestimmten Aktivität zu verknüpfen.<br />
Überprüfen Sie, ob die gesamte <strong>in</strong> Frage kommende Software (<strong>in</strong>sbesondere<br />
Treiber) vollständig <strong>W<strong>in</strong>dows</strong> 7-kompatibel ist und Sie die neusten Versionen verwenden.<br />
<strong>W<strong>in</strong>dows</strong> 7-Kompatibilität ist <strong>in</strong>sbesondere für Anwendungen wichtig, die Treiber <strong>in</strong>stallieren.<br />
Abbruchfehler durch Hardwareprobleme Dieses Problem tritt als unvorhergesehenes<br />
Ereignis aufgrund defekter, fehlerhafter oder falsch konfigurierter Hardware auf.<br />
Falls Sie vermuten, dass e<strong>in</strong> Abbruchfehler durch Hardware verursacht wird, sollten Sie<br />
erst die neusten Treiber für diese Hardware <strong>in</strong>stallieren. Fehlerhafte Hardware kann aber<br />
Abbruchfehler auslösen, auch wenn die Stabilität der Treiber e<strong>in</strong>wandfrei ist. Weitere<br />
Informationen über die Problembehandlung bei Hardwareproblemen f<strong>in</strong>den Sie <strong>in</strong> Anhang<br />
D, »Problembehandlung für Hardware, Treiber und Laufwerke«.<br />
Abbruchfehler der <strong>W<strong>in</strong>dows</strong>-Exekutive-Initialisierung Abbruchfehler der <strong>W<strong>in</strong>dows</strong>-Exekutive-Initialisierung<br />
treten nur während des relativ kurzen Zeitraums auf, <strong>in</strong><br />
dem die Initialisierung der <strong>W<strong>in</strong>dows</strong>-Exekutive abläuft. Meist werden diese Abbruchfehler<br />
durch beschädigte Systemdateien oder fehlerhafte Hardware verursacht. Sie sollten<br />
sie beheben, <strong>in</strong>dem Sie das Tool Systemstartreparatur ausführen, wie <strong>in</strong> Anhang C,
614 Anhang F: Problembehandlung für Abbruchfehler<br />
»Konfiguration und Problembehandlung des Startvorgangs«, beschrieben. Falls die Probleme<br />
weiterh<strong>in</strong> bestehen, sollten Sie sicherstellen, dass alle Hardwarekomponenten mit<br />
der neusten Firmware versehen s<strong>in</strong>d, und dann die Problembehandlung wie <strong>in</strong> Anhang D,<br />
»Problembehandlung für Hardware, Treiber und Laufwerke«, beschrieben fortsetzen.<br />
Installationsabbruchfehler während des Setups Bei Neu<strong>in</strong>stallationen treten Installationsabbruchfehler<br />
meist wegen <strong>in</strong>kompatibler Hardware, defekter Hardware oder veralteter<br />
Firmware auf. Während e<strong>in</strong>es Betriebssystemupdates können Abbruchfehler auftreten,<br />
wenn <strong>in</strong>kompatible Anwendungen und Treiber auf dem System vorhanden s<strong>in</strong>d.<br />
Aktualisieren Sie die Firmware des Computers auf die Version, die vom Computerhersteller<br />
empfohlen wird, bevor Sie <strong>W<strong>in</strong>dows</strong> <strong>in</strong>stallieren. In der Dokumentation zu Ihrem<br />
System ist normalerweise beschrieben, wie Sie die Firmware Ihres Computers prüfen<br />
und aktualisieren.<br />
Speicherabbilddateien<br />
Wenn e<strong>in</strong> Abbruchfehler auftritt, zeigt <strong>W<strong>in</strong>dows</strong> Informationen an, die Ihnen helfen können,<br />
die eigentliche Ursache für das Problem zu identifizieren. <strong>W<strong>in</strong>dows</strong> schreibt die Informationen<br />
standardmäßig <strong>in</strong> die Auslagerungsdatei (Pagefile.sys) im Stammverzeichnis des<br />
Systemdatenträgers. Wenn Sie den Computer im normalen oder abgesicherten Modus neu<br />
starten, nachdem e<strong>in</strong> Abbruchfehler aufgetreten ist, erstellt <strong>W<strong>in</strong>dows</strong> anhand der Auslagerungsdatei<strong>in</strong>formationen<br />
e<strong>in</strong>e Speicherabbilddatei im Ordner %SystemRoot%. E<strong>in</strong>e Analyse<br />
der Speicherabbilddatei kann weitere Informationen über die eigentliche Ursache e<strong>in</strong>es Problems<br />
liefern, und Sie können e<strong>in</strong>e Offl<strong>in</strong>eanalyse ausführen, <strong>in</strong>dem Sie Analysetools auf<br />
e<strong>in</strong>em anderen Computer verwenden.<br />
Sie können Ihr System so konfigurieren, dass es drei unterschiedliche Arten von Speicherabbilddateien<br />
generiert:<br />
Kle<strong>in</strong>e Speicherabbilddateien Manchmal auch als »M<strong>in</strong>i-Speicherabbilddateien«<br />
bezeichnet. Diese Speicherabbilddateien enthalten am wenigsten Informationen, s<strong>in</strong>d<br />
aber sehr kompakt. Kle<strong>in</strong>e Speicherabbilddateien können schnell auf die Festplatte geschrieben<br />
werden, sodass die Ausfallzeit verkürzt wird und das Betriebssystem schneller<br />
wieder starten kann. <strong>W<strong>in</strong>dows</strong> speichert kle<strong>in</strong>e Speicherabbilddateien (im Unterschied<br />
zu Kernel- und vollständigen Speicherabbilddateien) im Ordner %SystemRoot%\M<strong>in</strong>idump,<br />
statt den Date<strong>in</strong>amen %SystemRoot%\Memory.dmp zu verwenden.<br />
Kernelspeicherabbilddateien Zeichnet den Inhalt des Kernelspeichers auf. Kernelspeicherabbilddateien<br />
erfordern e<strong>in</strong>e größere Auslagerungsdatei auf dem Startgerät als<br />
kle<strong>in</strong>e Speicherabbilddateien, und es dauert länger, sie zu generieren, wenn e<strong>in</strong> Fehler<br />
aufgetreten ist. Sie zeichnen allerd<strong>in</strong>gs deutlich mehr Informationen auf und s<strong>in</strong>d nützlicher,<br />
wenn Sie e<strong>in</strong>e tiefgehende Analyse durchführen müssen. Wenn Sie Ihren Computer<br />
so konfigurieren, dass er e<strong>in</strong>e Kernelspeicherabbilddatei anlegt, generiert <strong>W<strong>in</strong>dows</strong><br />
zusätzlich auch e<strong>in</strong>e kle<strong>in</strong>e Speicherabbilddatei.<br />
Vollständige Speicherabbilddateien Zeichnet den gesamten Inhalt des Hardwarearbeitsspeichers<br />
auf, wenn e<strong>in</strong> Abbruchfehler auftritt. E<strong>in</strong>e vollständige Speicherabbilddatei<br />
ist etwas größer als die Menge des Hardwarespeichers, der beim Auftreten des<br />
Fehlers <strong>in</strong>stalliert ist. Wenn Sie Ihren Computer so konfigurieren, dass er e<strong>in</strong>e vollständige<br />
Speicherabbilddatei anlegt, generiert <strong>W<strong>in</strong>dows</strong> zusätzlich auch e<strong>in</strong>e kle<strong>in</strong>e Speicherabbilddatei.
Speicherabbilddateien 615<br />
In der Standarde<strong>in</strong>stellung ist <strong>W<strong>in</strong>dows</strong> so konfiguriert, dass es Kernelspeicherabbilddateien<br />
generiert. Kle<strong>in</strong>e Speicherabbilddateien werden <strong>in</strong> der Standarde<strong>in</strong>stellung im Ordner<br />
%SystemRoot%\M<strong>in</strong>idump gespeichert, Kernel- und vollständige Speicherabbilddateien <strong>in</strong><br />
e<strong>in</strong>er Datei namens %SystemRoot%\Memory.dmp. Gehen Sie folgendermaßen vor, um den<br />
Typ der von <strong>W<strong>in</strong>dows</strong> generierten Speicherabbilddatei oder ihren Speicherort zu ändern:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den<br />
Befehl Eigenschaften.<br />
2. Klicken Sie auf Erweiterte Systeme<strong>in</strong>stellungen.<br />
3. Klicken Sie im Dialogfeld Systemeigenschaften auf die Registerkarte Erweitert. Klicken<br />
Sie im Feld Starten und Wiederherstellen auf die Schaltfläche E<strong>in</strong>stellungen.<br />
4. Klicken Sie auf die Dropdownliste Debug<strong>in</strong>formationen speichern und wählen Sie den<br />
gewünschten Typ für die Speicherabbilddatei aus.<br />
5. Ändern Sie bei Bedarf den Pfad im Feld Sicherungsdatei. Abbildung F.2 zeigt das<br />
Dialogfeld Starten und Wiederherstellen.<br />
Abbildung F.2 Im Dialogfeld Starten und Wiederherstellen können<br />
Sie den Typ und den Speicherort der Speicherabbilddatei ändern<br />
6. Klicken Sie zweimal auf OK und starten Sie dann das Betriebssystem neu, wenn Sie<br />
dazu aufgefordert werden.<br />
Die folgenden Abschnitte beschreiben die unterschiedlichen Speicherabbilddateitypen<br />
genauer.<br />
Konfigurieren von kle<strong>in</strong>en Speicherabbilddateien<br />
Kle<strong>in</strong>e Speicherabbilddateien enthalten am wenigsten Informationen, verbrauchen aber auch<br />
am wenigsten Festplattenplatz. In der Standarde<strong>in</strong>stellung speichert <strong>W<strong>in</strong>dows</strong> kle<strong>in</strong>e Speicherabbilddateien<br />
im Ordner %SystemRoot%\M<strong>in</strong>idump.<br />
<strong>W<strong>in</strong>dows</strong> erstellt immer e<strong>in</strong>e kle<strong>in</strong>e Speicherabbilddatei, wenn e<strong>in</strong> Abbruchfehler auftritt,<br />
auch dann, wenn Sie die Optionen für e<strong>in</strong>e Kernelspeicherabbilddatei oder e<strong>in</strong>e vollständige
616 Anhang F: Problembehandlung für Abbruchfehler<br />
Speicherabbilddatei gewählt haben. Kle<strong>in</strong>e Speicherabbilddateien können von der <strong>W<strong>in</strong>dows</strong>-<br />
Fehlerberichterstattung (<strong>W<strong>in</strong>dows</strong> Error Report<strong>in</strong>g, WER) sowie von Debuggern ausgewertet<br />
werden. Diese Tools lesen den Inhalt e<strong>in</strong>er kle<strong>in</strong>en Speicherabbilddatei, um Probleme zu<br />
diagnostizieren, die Abbruchfehler auslösen. Weitere Informationen f<strong>in</strong>den Sie <strong>in</strong> den Abschnitten<br />
»Analysieren von Abbruchfehlern mithilfe von Speicherabbilddateien« und »Arbeiten<br />
mit der <strong>W<strong>in</strong>dows</strong>-Fehlerberichterstattung« weiter unten <strong>in</strong> diesem Anhang.<br />
E<strong>in</strong>e kle<strong>in</strong>e Speicherabbilddatei zeichnet gerade so viele Informationen auf, wie wahrsche<strong>in</strong>lich<br />
nötig s<strong>in</strong>d, um zu ermitteln, warum das System unerwartet angehalten wurde. Zum Beispiel<br />
enthält das kle<strong>in</strong>e Speicherabbild folgende Informationen:<br />
Abbruchfehler<strong>in</strong>formationen Enthält die Fehlernummer und zusätzliche Parameter,<br />
die den Abbruchfehler beschreiben.<br />
E<strong>in</strong>e Liste der Treiber, die auf dem System laufen Gibt an, welche Module <strong>in</strong> den<br />
Arbeitsspeicher geladen waren, als der Abbruchfehler auftrat. Diese Gerätetreiber<strong>in</strong>formationen<br />
umfassen Date<strong>in</strong>amen, Datum, Version, Größe und Hersteller.<br />
Prozessorkontext<strong>in</strong>formationen für den Prozess, der angehalten wurde Enthält<br />
Prozessor- und Hardwarestatus, Leistungs<strong>in</strong>dikatoren, Multiprozessorpaket<strong>in</strong>formationen,<br />
Informationen zu verzögerten Prozeduraufrufen und Interrupts.<br />
Kernelkontext<strong>in</strong>formationen für den Prozess, der angehalten wurde Enthält den<br />
Offset der Verzeichnistabelle und die Speicherseitennummer-Datenbank, die den Status<br />
jeder Hardwareseite im Arbeitsspeicher beschreibt.<br />
Kernelkontext<strong>in</strong>formationen für den Thread, der angehalten wurde Enthält Register<br />
und Interruptanforderungsebenen sowie Zeiger auf Datenstrukturen des Betriebssystems.<br />
Informationen zum Kernmodus-Aufrufstapel für den Thread, der angehalten<br />
wurde Besteht aus e<strong>in</strong>er Reihe von Arbeitsspeicheradressen und e<strong>in</strong>em Zeiger auf die<br />
Stelle, von der aus der Aufruf erfolgte. Entwickler können anhand dieser Informationen<br />
möglicherweise die Ursache des Fehlers ermitteln. Falls diese Informationen größer s<strong>in</strong>d<br />
als 16 KByte, werden nur die obersten 16 KByte aufgezeichnet.<br />
E<strong>in</strong>e kle<strong>in</strong>e Speicherabbilddatei setzt e<strong>in</strong>e Auslagerungsdatei mit m<strong>in</strong>destens 2 MByte Platz<br />
auf dem Startvolume voraus. Das Betriebssystem speichert jedes Mal bei e<strong>in</strong>em Abbruchfehler<br />
die entsprechende Speicherabbilddatei unter e<strong>in</strong>em e<strong>in</strong>deutigen Date<strong>in</strong>amen. Der Date<strong>in</strong>ame<br />
enthält das Datum, an dem der Abbruchfehler auftrat. Zum Beispiel ist M<strong>in</strong>i011009-<br />
02.dmp die zweite kle<strong>in</strong>e Speicherabbilddatei, die am 10. Januar 2009 generiert wurde.<br />
Kle<strong>in</strong>e Speicherabbilddateien s<strong>in</strong>d nützlich, wenn der Platz begrenzt ist oder wenn Sie e<strong>in</strong>e<br />
langsame Verb<strong>in</strong>dung benutzen, um Informationen an den technischen <strong>Support</strong> zu senden.<br />
Weil diese Speicherabbilddateien nur e<strong>in</strong>e begrenzte Menge an Informationen aufzeichnen,<br />
enthalten sie ke<strong>in</strong>e Fehler, die nicht direkt durch den Thread ausgelöst wurden, der lief, als<br />
das Problem auftrat.<br />
Konfigurieren von Kernelspeicherabbilddateien<br />
In der Standarde<strong>in</strong>stellung erstellen <strong>W<strong>in</strong>dows</strong>-Systeme Kernelspeicherabbilddateien. Die<br />
Kernelspeicherabbilddatei ist e<strong>in</strong>e Speicherabbilddatei mittlerer Größe, die nur Kernelspeicher<br />
aufzeichnet. Sie kann mehrere MByte Festplattenplatz benötigen. Es dauert länger, e<strong>in</strong>e<br />
Kernelspeicherabbilddatei zu erstellen als e<strong>in</strong>e kle<strong>in</strong>e Speicherabbilddatei. Daher verlängert
Speicherabbilddateien 617<br />
sich die Ausfallzeit, die wegen des Systemfehlers auftritt. Auf den meisten Systemen ist der<br />
Anstieg der Ausfallzeit aber m<strong>in</strong>imal.<br />
Kernelspeicherabbilder enthalten zusätzliche Informationen, die bei der Problembehandlung<br />
helfen können. Wenn e<strong>in</strong> Abbruchfehler auftritt, speichert <strong>W<strong>in</strong>dows</strong> e<strong>in</strong>e Kernelspeicherabbilddatei<br />
<strong>in</strong> e<strong>in</strong>er Datei namens %SystemRoot%\Memory.dmp und legt e<strong>in</strong>e kle<strong>in</strong>e Speicherabbilddatei<br />
im Ordner %SystemRoot%\M<strong>in</strong>idump ab.<br />
E<strong>in</strong>e Kernelspeicherabbilddatei zeichnet nur Kernelspeicherdaten auf, weshalb die Speicherabbilddatei<br />
schneller generiert werden kann. Die Kernelspeicherabbilddatei enthält ke<strong>in</strong>en<br />
unbenutzten Arbeitsspeicher oder irgendwelchen Arbeitsspeicher, der Benutzermodusprogrammen<br />
zugewiesen ist. Sie enthält ausschließlich Arbeitsspeicher, der der <strong>W<strong>in</strong>dows</strong>-Exekutive,<br />
dem Kernel, dem Hardware Abstraction Layer (HAL) und dem Dateisystemcache<br />
zugewiesen s<strong>in</strong>d, außerdem nichtausgelagerten Pool-Arbeitsspeicher, der Kernmodustreibern<br />
und anderen Kernmodusrout<strong>in</strong>en zugewiesen ist.<br />
Die Größe der Kernelspeicherabbilddatei variiert, sie ist aber immer kle<strong>in</strong>er als der Systemarbeitsspeicher.<br />
Wenn <strong>W<strong>in</strong>dows</strong> die Speicherabbilddatei erstellt, schreibt es erst die Informationen<br />
<strong>in</strong> die Auslagerungsdatei. Daher kann es se<strong>in</strong>, dass die Auslagerungsdatei so groß<br />
wird wie der Hardwarearbeitsspeicher. Später werden die Speicherabbilddatei<strong>in</strong>formationen<br />
aus der Auslagerungsdatei <strong>in</strong> die eigentliche Speicherabbilddatei extrahiert. Um sicherzustellen,<br />
dass Sie genügend Platz frei haben, sollten Sie überprüfen, ob der freie Speicherplatz<br />
auf dem Systemlaufwerk größer ist als der Hardwarearbeitsspeicher, für den Fall, dass die<br />
Auslagerungsdatei auf die Größe des Hardwarearbeitsspeichers anwächst. Sie können die<br />
Größe e<strong>in</strong>er Kernelspeicherabbilddatei zwar nicht genau vorhersagen, e<strong>in</strong>e brauchbare<br />
Daumenregel lautet aber, dass zwischen 50 MByte und 800 MByte (oder e<strong>in</strong> Drittel der<br />
Hardwarearbeitsspeichergröße) auf dem Startvolume für die Auslagerungsdatei zur Verfügung<br />
stehen muss.<br />
In den meisten Fällen reicht e<strong>in</strong>e Kernelspeicherabbilddatei für die Problembehandlung von<br />
Abbruchfehlern aus. Sie enthält mehr Informationen als e<strong>in</strong>e kle<strong>in</strong>e Speicherabbilddatei und<br />
ist kle<strong>in</strong>er als e<strong>in</strong>e vollständige Speicherabbilddatei. Sie ignoriert Abschnitte des Arbeitsspeichers,<br />
bei denen es unwahrsche<strong>in</strong>lich ist, dass sie mit dem Problem zu tun haben. Manche Probleme<br />
erfordern allerd<strong>in</strong>gs e<strong>in</strong>e vollständige Speicherabbilddatei für die Problembehandlung.<br />
H<strong>in</strong>weis In der Standarde<strong>in</strong>stellung überschreibt e<strong>in</strong>e neue Kernelspeicherabbilddatei e<strong>in</strong>e<br />
bereits vorhandene Datei. Sie können diese Standarde<strong>in</strong>stellung ändern, <strong>in</strong>dem Sie das Kontrollkästchen<br />
Vorhandene Dateien überschreiben deaktivieren. Sie können e<strong>in</strong>e vorhandene<br />
Speicherabbilddatei auch vor der Problembehandlung umbenennen oder verschieben.<br />
Konfigurieren von vollständigen Speicherabbilddateien<br />
E<strong>in</strong>e vollständige Speicherabbilddatei (complete memory dump file oder auch full memory<br />
dump file) enthält den gesamten Inhalt des Hardwarearbeitsspeichers zu dem Zeitpunkt, als<br />
der Abbruchfehler auftrat. Dazu gehören alle Informationen, die schon <strong>in</strong> e<strong>in</strong>er Kernelspeicherabbilddatei<br />
enthalten s<strong>in</strong>d, und zusätzlich der Benutzermodusarbeitsspeicher. Daher<br />
können Sie vollständige Speicherabbilddateien analysieren, um sich den Inhalt von Arbeitsspeicher<br />
anzusehen, der <strong>in</strong>nerhalb von Anwendungen verwendet wird. Das ist allerd<strong>in</strong>gs nur<br />
selten erforderlich oder s<strong>in</strong>nvoll, wenn e<strong>in</strong>e Behandlung von Anwendungsproblemen durchgeführt<br />
wird.
618 Anhang F: Problembehandlung für Abbruchfehler<br />
Falls Sie vollständige Speicherabbilddateien verwenden wollen, müssen Sie genug Platz auf<br />
der Partition %SystemDrive% frei haben, dass er für den Inhalt des Hardware-RAM ausreicht.<br />
Außerdem brauchen Sie e<strong>in</strong>e Auslagerungsdatei, die m<strong>in</strong>destens so groß ist wie Ihr Hardware-RAM.<br />
Wenn e<strong>in</strong> Abbruchfehler auftritt, speichert das Betriebssystem e<strong>in</strong>e vollständige Speicherabbilddatei<br />
<strong>in</strong> e<strong>in</strong>er Datei namens %SystemRoot%\Memory.dmp und erstellt e<strong>in</strong>e kle<strong>in</strong>e<br />
Speicherabbilddatei im Ordner %SystemRoot%\M<strong>in</strong>idump. E<strong>in</strong> Mitarbeiter des technischen<br />
<strong>Support</strong>s bei Microsoft bittet Sie unter Umständen, diese E<strong>in</strong>stellung zu ändern, um Datenuploads<br />
über langsame Verb<strong>in</strong>dungen zu beschleunigen. Abhängig von der Geschw<strong>in</strong>digkeit<br />
Ihrer Internetverb<strong>in</strong>dung ist es unter Umständen nicht praktikabel, die Daten hochzuladen.<br />
Sie werden dann möglicherweise gebeten, die Speicherabbilddatei auf e<strong>in</strong>em Wechseldatenträger<br />
zur Verfügung zu stellen.<br />
H<strong>in</strong>weis In der Standarde<strong>in</strong>stellung überschreibt e<strong>in</strong>e neue vollständige Speicherabbilddatei<br />
e<strong>in</strong>e bereits vorhandene Datei. Sie können diese Standarde<strong>in</strong>stellung ändern, <strong>in</strong>dem Sie das<br />
Kontrollkästchen Vorhandene Dateien überschreiben deaktivieren. Sie können e<strong>in</strong>e vorhandene<br />
Speicherabbilddatei auch vor der Problembehandlung umbenennen oder verschieben.<br />
So können Sie von Hand e<strong>in</strong>en Abbruchfehler auslösen<br />
und e<strong>in</strong>e Speicherabbilddatei erstellen<br />
Um absolut sicher se<strong>in</strong> zu können, dass e<strong>in</strong>e Speicherabbilddatei erstellt wird, falls e<strong>in</strong> Abbruchfehler<br />
auftritt, können Sie e<strong>in</strong>en Abbruchfehler von Hand auslösen, <strong>in</strong>dem Sie e<strong>in</strong>en<br />
Registrierungswert verändern und e<strong>in</strong>e spezielle Tastenkomb<strong>in</strong>ation drücken. Sobald <strong>W<strong>in</strong>dows</strong><br />
neu gestartet ist, können Sie nachprüfen, ob die Speicherabbilddatei richtig erstellt<br />
wurde.<br />
Gehen Sie folgendermaßen vor, um von Hand e<strong>in</strong> Absturzabbild generieren zu lassen:<br />
1. Geben Sie im Suchfeld des Startmenüs den Befehl regedit e<strong>in</strong>. Klicken Sie im Startmenü<br />
mit der rechten Maustaste auf Regedit und wählen Sie den Befehl Als Adm<strong>in</strong>istrator<br />
ausführen. Bestätigen Sie die UAC-E<strong>in</strong>gabeaufforderung (User Account Control,<br />
Benutzerkontensteuerung), die daraufh<strong>in</strong> angezeigt wird.<br />
2. Wechseln Sie im Registrierungs-Editor zum Pfad HKEY_LOCAL_MACHINE\System\<br />
CurrentControlSet\Services\i8042prt\Parameters.<br />
3. Wählen Sie den Menübefehl Bearbeiten/Neu/DWORD-Wert (32-Bit) und fügen Sie den<br />
folgenden Registrierungswert h<strong>in</strong>zu:<br />
Wertname: CrashOnCtrlScroll<br />
Wert: 1<br />
4. Schließen Sie den Registrierungs-Editor und starten Sie den Computer neu.<br />
5. Melden Sie sich an <strong>W<strong>in</strong>dows</strong> an. Halten Sie die rechte STRG-Taste gedrückt und drücken<br />
Sie dann zweimal die ROLLEN-Taste, um e<strong>in</strong>en Abbruchfehler zu provozieren.<br />
In e<strong>in</strong>em virtuellen Computer, auf dem die Virtual Mach<strong>in</strong>e Additions <strong>in</strong>stalliert s<strong>in</strong>d, ist es<br />
nicht möglich, e<strong>in</strong>en Abbruchfehler von Hand zu provozieren.
Analysieren von Abbruchfehlern mithilfe von Speicherabbilddateien<br />
Speicherabbilddateien 619<br />
Speicherabbilddateien zeichnen detaillierte Informationen über den Zustand Ihres Betriebssystems<br />
zu dem Zeitpunkt auf, als der Abbruchfehler auftrat. Sie können Speicherabbilddateien<br />
von Hand mithilfe von Debugtools analysieren oder über automatisierte Prozesse,<br />
die von Microsoft zur Verfügung gestellt werden. Die Informationen, die Sie bekommen,<br />
können Ihnen helfen, die eigentliche Ursache für das Problem besser zu verstehen.<br />
Sie können Ihre Speicherabbilddatei<strong>in</strong>formationen mit der <strong>W<strong>in</strong>dows</strong>-Fehlerberichterstattung<br />
an Microsoft hochladen. Sie können auch die folgenden Debugtools verwenden, um Ihre<br />
Speicherabbilddateien von Hand zu analysieren:<br />
Microsoft Kernel Debugger (Kd.exe)<br />
Microsoft W<strong>in</strong>Dbg Debugger (W<strong>in</strong>Dbg.exe)<br />
Informationen über den Abbruchfehler f<strong>in</strong>den Sie auch im Systemprotokoll, nachdem e<strong>in</strong><br />
Abbruchfehler aufgetreten ist. Zum Beispiel zeigt das folgende Informationsereignis (die<br />
Quelle lautet »BugCheck« und die Ereignis-ID 1001) an, dass e<strong>in</strong> 0xFE-Abbruchfehler aufgetreten<br />
ist:<br />
Der Computer ist nach e<strong>in</strong>em schwerwiegenden Fehler neu gestartet.<br />
Der Fehlercode war: 0x000000fe (0x00000008, 0x00000006, 0x00000001, 0x87b1e000).<br />
E<strong>in</strong> volles Abbild wurde gespeichert <strong>in</strong>: C:\<strong>W<strong>in</strong>dows</strong>\MEMORY.DMP.<br />
Arbeiten mit der <strong>W<strong>in</strong>dows</strong>-Fehlerberichterstattung<br />
Wenn der <strong>W<strong>in</strong>dows</strong>-Fehlerberichterstattungsdienst aktiviert ist, überwacht er Ihr Betriebssystem<br />
auf Fehler, die mit Betriebssystemkomponenten und Anwendungen zu tun haben.<br />
Wenn Sie den <strong>W<strong>in</strong>dows</strong>-Fehlerberichterstattungsdienst verwenden, können Sie weitere<br />
Informationen über das Problem oder die Bed<strong>in</strong>gungen ermitteln, die den Abbruchfehler<br />
ausgelöst haben.<br />
Wenn e<strong>in</strong> Abbruchfehler auftritt, zeigt <strong>W<strong>in</strong>dows</strong> e<strong>in</strong>e Abbruchmeldung an und schreibt<br />
Diagnose<strong>in</strong>formationen <strong>in</strong> die Speicherabbilddatei. Zu Berichterstattungszwecken speichert<br />
das Betriebssystem außerdem e<strong>in</strong>e kle<strong>in</strong>e Speicherabbilddatei. Wenn Sie Ihr System das<br />
nächste Mal starten und sich als Adm<strong>in</strong>istrator bei <strong>W<strong>in</strong>dows</strong> anmelden, sammelt die <strong>W<strong>in</strong>dows</strong>-Fehlerberichterstattung<br />
Informationen über das Problem und führt folgende Aktionen<br />
durch:<br />
1. <strong>W<strong>in</strong>dows</strong> zeigt das Dialogfeld <strong>W<strong>in</strong>dows</strong> wird nach unerwartetem Herunterfahren wieder<br />
ausgeführt an (Abbildung F.3). Sie können sich Abbruchfehlercode, Betriebssystem<strong>in</strong>formationen<br />
und Speicherort der Speicherabbilddatei anzeigen lassen, <strong>in</strong>dem Sie auf<br />
Problemdetails anzeigen klicken. Klicken Sie auf Problembehandlung, um die Informationen<br />
aus der M<strong>in</strong>i-Speicherabbilddatei und unter Umständen andere temporäre Dateien<br />
an Microsoft zu senden.<br />
2. Unter Umständen werden Sie aufgefordert, zusätzliche Informationen über künftige<br />
Fehler zu sammeln. Klicken Sie auf Sammlung aktivieren (Abbildung F.4).<br />
3. Es kann auch se<strong>in</strong>, dass Sie aufgefordert werden, die Diagnose zu aktivieren (Abbildung<br />
F.5). Klicken Sie <strong>in</strong> diesem Fall auf Diagnose aktivieren.
620 Anhang F: Problembehandlung für Abbruchfehler<br />
Abbildung F.3 <strong>W<strong>in</strong>dows</strong> bietet Ihnen an, nach e<strong>in</strong>er Lösung zu suchen,<br />
sobald das System nach e<strong>in</strong>em Abbruchfehler wiederhergestellt wurde<br />
Abbildung F.4 <strong>W<strong>in</strong>dows</strong> fordert Sie unter Umständen auf,<br />
weitere Informationen für künftige Fehlerberichte zu sammeln<br />
Abbildung F.5 <strong>W<strong>in</strong>dows</strong> fordert Sie unter Umständen<br />
auf, die Diagnose zu aktivieren, damit mehr Problem-<br />
behandlungs<strong>in</strong>formationen gesammelt werden können<br />
4. Falls Sie aufgefordert werden, weitere Details zu senden, sollten Sie auf Details anzeigen<br />
klicken, um zu prüfen, welche zusätzlichen Informationen gesendet werden. Klicken<br />
Sie dann auf Informationen senden.<br />
5. Falls Sie aufgefordert werden, auch künftig automatisch Informationen über Probleme<br />
zu senden, können Sie Ja oder Ne<strong>in</strong> wählen.<br />
6. Wenn e<strong>in</strong>e mögliche Lösung verfügbar ist, zeigt das Wartungscenter <strong>in</strong> der Taskleiste e<strong>in</strong><br />
Symbol mit e<strong>in</strong>er Benachrichtigungsmeldung an.<br />
7. Öffnen Sie das Wartungscenter und sehen Sie sich die Lösung an. Stattdessen können<br />
Sie auch <strong>in</strong> der Systemsteuerung auf Alle Problemberichte anzeigen klicken.<br />
Falls die <strong>W<strong>in</strong>dows</strong>-Fehlerberichterstattung die Ursache e<strong>in</strong>es Fehlers nicht identifiziert,<br />
können Sie möglicherweise mithilfe e<strong>in</strong>es Debuggers feststellen, ob e<strong>in</strong> bestimmter Treiber<br />
die Ursache ist. Dies ist im nächsten Abschnitt beschrieben.
Arbeiten mit Symboldateien und Debuggern<br />
Speicherabbilddateien 621<br />
Sie können Speicherabbilddateien auch mithilfe e<strong>in</strong>es Kerneldebuggers analysieren. Kerneldebugger<br />
s<strong>in</strong>d <strong>in</strong> erster L<strong>in</strong>ie für Entwickler gedacht, die e<strong>in</strong>e tiefgehende Analyse des Anwendungsverhaltens<br />
durchführen müssen. Kerneldebugger s<strong>in</strong>d aber auch nützliche Tools<br />
für Adm<strong>in</strong>istratoren, die e<strong>in</strong>e Problembehandlung für Abbruchfehler durchführen. Insbesondere<br />
können Kerneldebugger benutzt werden, um Speicherabbilddateien zu analysieren,<br />
nachdem e<strong>in</strong> Abbruchfehler aufgetreten ist.<br />
E<strong>in</strong> Debugger ist e<strong>in</strong> Programm, mit dem Benutzer, die über das Benutzerrecht Debuggen<br />
von Programmen verfügen (standardmäßig nur die Adm<strong>in</strong>istratorengruppe), schrittweise die<br />
Softwarebefehle durchgehen, Daten untersuchen und nach bestimmten Bed<strong>in</strong>gungen suchen<br />
können. Die beiden folgenden Kerneldebugger werden zum Beispiel mit den Debugg<strong>in</strong>g<br />
Tools for <strong>W<strong>in</strong>dows</strong> <strong>in</strong>stalliert:<br />
Kernel Debugger Kernel Debugger (Kd.exe) ist e<strong>in</strong> Befehlszeilendebugger, mit dem<br />
Sie e<strong>in</strong>e Speicherabbilddatei analysieren können, die auf die Festplatte geschrieben<br />
wurde, als e<strong>in</strong>e Abbruchmeldung auftrat. Der Kernel Debugger setzt voraus, dass Sie<br />
Symboldateien auf Ihrem System <strong>in</strong>stallieren.<br />
W<strong>in</strong>Dbg Debugger W<strong>in</strong>Dbg Debugger (W<strong>in</strong>Dbg.exe) bietet e<strong>in</strong>e ähnliche Funktionalität<br />
wie Kernel Debugger, verwendet aber e<strong>in</strong>e grafische Benutzeroberfläche (Graphical<br />
User Interface, GUI).<br />
Beide Tools erlauben es Benutzern mit dem Benutzerrecht Debuggen von Programmen, den<br />
Inhalt e<strong>in</strong>er Speicherabbilddatei zu analysieren und Kernmodus- und Benutzermodusprogramme<br />
sowie Treiber zu debuggen. Kernel Debugger und W<strong>in</strong>Dbg Debugger s<strong>in</strong>d nur zwei<br />
der vielen Tools, die <strong>in</strong> den Debugg<strong>in</strong>g Tools for <strong>W<strong>in</strong>dows</strong> enthalten s<strong>in</strong>d. Weitere Informationen<br />
über diese und andere Debugtools, die <strong>in</strong> den Debugg<strong>in</strong>g Tools for <strong>W<strong>in</strong>dows</strong> enthalten<br />
s<strong>in</strong>d, f<strong>in</strong>den Sie <strong>in</strong> der Hilfe zu Debugg<strong>in</strong>g Tools for <strong>W<strong>in</strong>dows</strong>.<br />
Wenn Sie mit W<strong>in</strong>Dbg e<strong>in</strong> Absturzabbild analysieren wollen, müssen Sie erst die Debugg<strong>in</strong>g<br />
Tools for <strong>W<strong>in</strong>dows</strong> <strong>in</strong>stallieren, die unter http://www.microsoft.com/whdc/devtools/debugg<strong>in</strong>g/<br />
zur Verfügung stehen.<br />
Um möglichst viele Informationen aus e<strong>in</strong>er Speicherabbilddatei zu gew<strong>in</strong>nen, müssen Sie<br />
dem Debugger Zugriff auf Symboldateien verschaffen. Der Debugger verwendet Symboldateien,<br />
um den Arbeitsspeicheradressen besser verständliche Modul- und Funktionsnamen<br />
zuzuordnen. Am e<strong>in</strong>fachsten können Sie dem Debugger Zugriff auf Symboldateien verschaffen,<br />
<strong>in</strong>dem Sie ihn so konfigurieren, dass er auf den Microsoft-Symbolserver zugreift, der im<br />
Internet zur Verfügung steht.<br />
Gehen Sie folgendermaßen vor, um den Debugger so zu konfigurieren, dass er den Microsoft-Symbolserver<br />
verwendet:<br />
1. Klicken Sie im Startmenü auf Alle Programme, dann auf Debugg<strong>in</strong>g Tools for <strong>W<strong>in</strong>dows</strong>,<br />
klicken Sie mit der rechten Maustaste auf W<strong>in</strong>Dbg und wählen Sie den Befehl Als Adm<strong>in</strong>istrator<br />
ausführen.<br />
2. Wählen Sie den Menübefehl File/Symbol File Path.<br />
3. Geben Sie im Feld Symbol path den folgenden Pfad e<strong>in</strong>:<br />
SRV**http://msdl.microsoft.com/download/symbols
622 Anhang F: Problembehandlung für Abbruchfehler<br />
Dabei steht für e<strong>in</strong>en Pfad auf der Festplatte, <strong>in</strong> dem der Debugger die<br />
heruntergeladenen Symboldateien speichert. Der Debugger erstellt automatisch,<br />
wenn Sie e<strong>in</strong>e Speicherabbilddatei analysieren.<br />
Wenn Sie die Symboldateien zum Beispiel <strong>in</strong> C:\Websymbols speichern wollen, müssen<br />
Sie als Symboldateipfad SRV*c:\websymbols*http://msdl.microsoft.com/download/<br />
symbols e<strong>in</strong>tragen<br />
4. Klicken Sie auf OK.<br />
Debugger benötigen ke<strong>in</strong>en Zugriff auf Symboldateien, um die Abbruchfehlernummer<br />
und die Parameter aus e<strong>in</strong>er Speicherabbilddatei abzurufen. Debugger können die Ursache<br />
e<strong>in</strong>es Abbruchfehlers oft auch ohne Zugriff auf Symbole identifizieren.<br />
H<strong>in</strong>weis Sie können Symboldateien auch für die Offl<strong>in</strong>everwendung von http://www.<br />
microsoft.com/whdc/devtools/debugg<strong>in</strong>g/ herunterladen.<br />
Gehen Sie folgendermaßen vor, um e<strong>in</strong>e Speicherabbilddatei zu analysieren:<br />
1. Klicken Sie im Startmenü auf Alle Programme, dann auf Debugg<strong>in</strong>g Tools for <strong>W<strong>in</strong>dows</strong>,<br />
klicken Sie mit der rechten Maustaste auf W<strong>in</strong>Dbg und wählen Sie den Befehl Als Adm<strong>in</strong>istrator<br />
ausführen.<br />
2. Wählen Sie den Menübefehl File/Open Crash Dump.<br />
3. Geben Sie den Speicherort der Speicherabbilddatei e<strong>in</strong> und klicken Sie dann auf Open.<br />
In der Standarde<strong>in</strong>stellung ist der Speicherort %SystemRoot%\Memory.dmp.<br />
4. Klicken Sie im Dialogfeld Save Information for Workspace auf No.<br />
5. Wählen Sie das Fenster Command aus.<br />
Wie <strong>in</strong> Abbildung F.6 gezeigt, verrät die Zeile, die mit »Bugcheck« beg<strong>in</strong>nt, wie die Abbruchfehlernummer<br />
lautet. Die Zeile »Probably Caused By« gibt an, welche Datei gerade<br />
verarbeitet wurde, als der Abbruchfehler auftrat.<br />
Das Fenster Command zeigt Meldungen des Debuggers an und erlaubt Ihnen, zusätzliche<br />
Befehle e<strong>in</strong>zugeben. Wenn e<strong>in</strong> Absturzabbild geöffnet ist, zeigt das Fenster Command automatisch<br />
die Ausgabe des Befehls !analyze an. In vielen Fällen reichen diese Standard<strong>in</strong>formationen<br />
aus, um die Ursache e<strong>in</strong>es Abbruchfehlers zu ermitteln.<br />
Falls die Standardanalyse nicht alle Informationen liefert, die Sie für die Problembehandlung<br />
benötigen, können Sie im Fenster Command den folgenden Befehl ausführen:<br />
!analyze –v<br />
Dieser Befehl zeigt den Stapel (stack) an, der e<strong>in</strong>e Liste der Methodenaufrufe enthält, die<br />
unmittelbar vor dem Abbruchfehler ausgeführt wurden. Das kann H<strong>in</strong>weise auf die Ursache<br />
e<strong>in</strong>es Abbruchfehlers liefern. Zum Beispiel wurde die folgende Stapelablaufverfolgungsausgabe<br />
mit dem Befehl !analyze –v erstellt. Der durch Fettschrift hervorgehobene Abschnitt<br />
zeigt ganz richtig an, dass der Abbruchfehler durch das Entfernen e<strong>in</strong>es USB-Geräts (Universal<br />
Serial Bus) verursacht wurde:
Vorbereitungen für das Auftreten von Abbruchfehlern treffen 623<br />
Abbildung F.6 W<strong>in</strong>Dbg zeigt den Abbruchfehlercode und den Treiber an,<br />
der den Abbruchfehler verursacht hat<br />
STACK_TEXT:<br />
WARNING: Frame IP not <strong>in</strong> any known module. Follow<strong>in</strong>g frames may be wrong.<br />
ba4ffb2c ba26c6ff 89467df0 68627375 <strong>70</strong>646f52 0x8924ed33<br />
ba4ffb5c ba273661 88ffade8 8924eae0 89394e48 usbhub!USBH_PdoRemoveDevice+0x41<br />
ba4ffb7c ba26c952 88ffaea0 89394e48 00000002 usbhub!USBH_PdoPnP+0x5b<br />
ba4ffba0 ba26a1d8 01ffaea0 89394e48 ba4ffbd4 usbhub!USBH_PdoDispatch+0x5a<br />
ba4ffbb0 804eef95 88ffade8 89394e48 88eac2e0 usbhub!USBH_HubDispatch+0x48<br />
ba4ffbc0 ba3f2db4 88eac228 88eac2e0 00000000 nt!IopfCallDriver+0x31<br />
ba4ffbd4 ba3f4980 88eac228 89394e48 89394e48 USBSTOR!USBSTOR_FdoRemoveDevice+0xac<br />
ba4ffbec b9eed58c 88eac228 89394e48 89394f48 USBSTOR!USBSTOR_Pnp+0x4e<br />
Vorbereitungen für das Auftreten von Abbruchfehlern treffen<br />
E<strong>in</strong>ige nützliche Software- und Hardwaretechniken können Ihnen helfen, sich auf den Fall<br />
vorzubereiten, dass Abbruchfehler auftreten. Abbruchmeldungen verweisen nicht immer<br />
direkt auf die Ursache des Problems, liefern aber wichtige H<strong>in</strong>weise, die Sie oder e<strong>in</strong> geschulter<br />
<strong>Support</strong>mitarbeiter nutzen können, um die Ursache zu identifizieren und zu beseitigen.<br />
Verh<strong>in</strong>dern, dass das System nach e<strong>in</strong>em Abbruchfehler neu startet<br />
Wenn e<strong>in</strong> Abbruchfehler auftritt, zeigt <strong>W<strong>in</strong>dows</strong> e<strong>in</strong>e Abbruchmeldung an, die auf das<br />
Problem h<strong>in</strong>weist. In der Standarde<strong>in</strong>stellung startet <strong>W<strong>in</strong>dows</strong> automatisch neu, wenn e<strong>in</strong><br />
Abbruchfehler aufgetreten ist. Das funktioniert allerd<strong>in</strong>gs nicht, wenn das System nicht<br />
mehr reagiert. Falls <strong>W<strong>in</strong>dows</strong> Ihr System sofort nach dem Auftreten e<strong>in</strong>es Abbruchfehlers
624 Anhang F: Problembehandlung für Abbruchfehler<br />
neu startet, bleibt Ihnen unter Umständen nicht genug Zeit, um die Informationen aus der<br />
Abbruchmeldung zu notieren, die Ihnen helfen, die Ursache des Problems zu analysieren.<br />
Außerdem kann es se<strong>in</strong>, dass Sie die Möglichkeit verpassen, Startoptionen zu ändern oder<br />
das Betriebssystem im abgesicherten Modus zu starten.<br />
Indem Sie das Standardverhalten für den Neustart verändern, verschaffen Sie sich die Möglichkeit,<br />
den Text der Abbruchmeldung <strong>in</strong> Ruhe abzuschreiben. Diese Informationen können<br />
Ihnen helfen, die eigentliche Ursache des Problems zu analysieren, falls die Speicherabbilddateien<br />
nicht verfügbar s<strong>in</strong>d. Gehen Sie folgendermaßen vor, um den automatischen Neustart<br />
zu deaktivieren:<br />
1. Klicken Sie im Startmenü mit der rechten Maustaste auf Computer und wählen Sie den<br />
Befehl Eigenschaften.<br />
2. Klicken Sie auf Erweiterte Systeme<strong>in</strong>stellungen.<br />
3. Klicken Sie im Dialogfeld Systemeigenschaften auf die Registerkarte Erweitert. Klicken<br />
Sie im Feld Starten und Wiederherstellen auf die Schaltfläche E<strong>in</strong>stellungen.<br />
4. Deaktivieren Sie im Feld Systemfehler das Kontrollkästchen Automatisch Neustart<br />
durchführen.<br />
Falls Sie Ihren Computer nicht im normalen Modus neu starten können, können Sie die<br />
geschilderten Schritte im abgesicherten Modus ausführen.<br />
Aufzeichnen und Speichern der Abbruchmeldungen<br />
Wenn Sie den automatischen Neustart deaktiviert haben, müssen Sie Ihren Computer von<br />
Hand neu starten, falls e<strong>in</strong>e Abbruchmeldung ersche<strong>in</strong>t. Abbruchmeldungen liefern Diagnose<strong>in</strong>formationen,<br />
zum Beispiel Abbruchfehlernummern und Treibernamen, die Ihnen<br />
helfen, das Problem zu beseitigen. Diese Informationen verschw<strong>in</strong>den allerd<strong>in</strong>gs vom Bildschirm,<br />
sobald Sie Ihren Computer neu starten. Im Allgeme<strong>in</strong>en können Sie diese Informationen<br />
abrufen, nachdem das System neu gestartet wurde, <strong>in</strong>dem Sie sich die Speicherabbilddatei<br />
ansehen, wie im Abschnitt »Analysieren von Abbruchfehlern mithilfe von Speicherabbilddateien«<br />
weiter oben <strong>in</strong> diesem Anhang beschrieben. In bestimmten Fällen werden die<br />
Abbruchfehler<strong>in</strong>formationen nicht erfolgreich protokolliert. Daher ist es wichtig, die Informationen,<br />
die <strong>in</strong> der Abbruchmeldung angezeigt werden, zu notieren. Bevor Sie das System<br />
neu starten, sollten Sie daher mit den folgenden Aktionen sicherstellen, dass Sie alle wichtigen<br />
Informationen zur Hand haben. Diese Informationen können Sie dann verwenden, um <strong>in</strong><br />
den Ressourcen zu recherchieren, die <strong>in</strong> diesem Anhang aufgeführt s<strong>in</strong>d.<br />
Gehen Sie folgendermaßen vor, um Abbruchmeldungs<strong>in</strong>formationen aufzuzeichnen und zu<br />
speichern:<br />
1. Notieren Sie die Daten, die <strong>in</strong> den Abschnitten »Technical Information« und »Driver<br />
Information« der Abbruchmeldung stehen. Diese Abschnitte s<strong>in</strong>d <strong>in</strong> »Abbruchmeldungen«<br />
weiter oben <strong>in</strong> diesem Anhang beschrieben.<br />
2. Notieren Sie sich die Vorschläge im Abschnitt mit den empfohlenen Maßnahmen. Abbruchmeldungen<br />
enthalten meist Problembehandlungstipps, die für den jeweiligen Fehler<br />
s<strong>in</strong>nvoll s<strong>in</strong>d.<br />
3. Überprüfen Sie den Abschnitt mit Informationen zu Debugport und Speicherabbildstatus,<br />
um sicherzustellen, dass <strong>W<strong>in</strong>dows</strong> erfolgreich e<strong>in</strong>e Speicherabbilddatei erstellt.
Meldungen über Hardwarefehler 625<br />
4. Falls e<strong>in</strong>e Speicherabbilddatei vorhanden ist, sollten Sie diese Datei auf e<strong>in</strong>en Wechseldatenträger,<br />
e<strong>in</strong> anderes Festplattenvolume oder an e<strong>in</strong>en Netzwerkstandort kopieren,<br />
damit ihr nichts passieren kann. Sie können die Speicherabbilddatei mit der Systemstartreparatur<br />
kopieren, falls es nicht möglich ist, <strong>W<strong>in</strong>dows</strong> im normalen oder abgesicherten<br />
Modus zu starten.<br />
E<strong>in</strong>e Analyse der Speicherabbilddateien kann Ihnen helfen, die eigentliche Ursache zu ermitteln,<br />
weil sie detaillierte Informationen über den Zustand des Systems zu dem Zeitpunkt<br />
liefern, an dem der Abbruchfehler auftrat. Mit den eben beschriebenen Schritten können Sie<br />
wichtige Informationen sichern, die Sie später nachschlagen können, wenn Sie die Problembehandlung<br />
mit den Ressourcen durchführen, die im Abschnitt »Abbruchmeldungen« weiter<br />
oben <strong>in</strong> diesem Anhang beschrieben s<strong>in</strong>d. Weitere Informationen über das Erstellen und<br />
Analysieren von Speicherabbilddateien f<strong>in</strong>den Sie im Abschnitt »Speicherabbilddateien«<br />
weiter oben <strong>in</strong> diesem Anhang.<br />
Überprüfen Sie die Anforderungen an den Festplattenplatz<br />
Überprüfen Sie, ob auf den Datenträgervolumes genug Platz für Auslagerungsdateien des<br />
virtuellen Arbeitsspeichers und Anwendungsdatendateien frei ist. Wenn nicht genug Platz<br />
frei ist, kann das Abbruchfehler und andere Symptome auslösen, zum Beispiel die Beschädigung<br />
von Daten. Im Abschnitt »Speicherabbilddateien« weiter oben <strong>in</strong> diesem Anhang ist<br />
beschrieben, wie viel Platz für Auslagerungsdateien benötigt wird.<br />
Sie können unbenötigte Dateien von Hand oder mithilfe des Tools Datenträgerbere<strong>in</strong>igung<br />
verschieben, löschen oder komprimieren, um den freien Platz auf Datenträgervolumes zu<br />
vergrößern.<br />
Sie können die Datenträgerbere<strong>in</strong>igung ausführen, <strong>in</strong>dem Sie im Suchfeld des Startmenüs<br />
den Befehl cleanmgr e<strong>in</strong>geben und die EINGABETASTE drücken. Folgen Sie den Anweisungen,<br />
um den freien Festplattenplatz auf Ihrem Systemlaufwerk zu vergrößern. Beachten<br />
Sie, dass die Datenträgerbere<strong>in</strong>igung Ihnen die Möglichkeit anbietet, Speicherabbilddateien<br />
zu löschen.<br />
Installieren von Kerneldebuggern und Symboldateien<br />
Mit e<strong>in</strong>em Kerneldebugger können Sie weitere Informationen über das Problem sammeln.<br />
Weitere Informationen über das Installieren und Verwenden von Debugtools f<strong>in</strong>den Sie im<br />
Abschnitt »Analysieren von Abbruchfehlern mithilfe von Speicherabbilddateien« weiter<br />
oben <strong>in</strong> diesem Anhang.<br />
Meldungen über Hardwarefehler<br />
Abbruchmeldungen können auch die Form von Hardwarefehlermeldungen haben. Wie alle<br />
Abbruchmeldungen werden sie im Textmodus angezeigt. Diese Abbruchmeldungen treten<br />
auf, wenn der Prozessor e<strong>in</strong>en Hardwaredefekt erkennt. Die ersten e<strong>in</strong> oder zwei Zeilen der<br />
Meldung enthalten e<strong>in</strong>e Beschreibung. Die Fehlerbeschreibung verweist normalerweise auf<br />
e<strong>in</strong> Hardwareproblem, wie <strong>in</strong> diesem Beispiel.<br />
Hardware malfunction.<br />
Call your hardware vendor for support.
626 Anhang F: Problembehandlung für Abbruchfehler<br />
Bevor Sie die Empfehlungen befolgen, die <strong>in</strong> dieser Meldung angezeigt werden, sollten Sie<br />
beim Hersteller um technischen <strong>Support</strong> bitten. Notieren Sie die Informationen aus den<br />
ersten beiden Zeilen der Meldung, sie können für den <strong>Support</strong>mitarbeiter nützlich se<strong>in</strong>.<br />
Unter bestimmten Umständen können Treiberprobleme Abbruchmeldungen auslösen, die<br />
den E<strong>in</strong>druck erwecken, die Ursache wäre e<strong>in</strong> Hardwarefehler. Falls zum Beispiel e<strong>in</strong> Treiber<br />
<strong>in</strong> den falschen E/A-Port schreibt, könnte das Gerät am Zielport darauf reagieren, <strong>in</strong>dem es<br />
e<strong>in</strong>e Hardwarefehlermeldung generiert. Fehler dieser Art werden normalerweise erkannt und<br />
beseitigt, bevor die endgültige Version ersche<strong>in</strong>t. Das zeigt aber, wie wichtig es ist, regelmäßig<br />
nach aktualisierten Treibern zu suchen.<br />
Checkliste für Abbruchmeldungen<br />
Abbruchmeldungen liefern Diagnose<strong>in</strong>formationen, zum Beispiel Abbruchcodes und Treibernamen,<br />
die Ihnen helfen können, das Problem zu beseitigen. Diese Informationen verschw<strong>in</strong>den<br />
aber, sobald Sie Ihren Computer neu starten. Daher ist es wichtig, die angezeigten Informationen<br />
sorgfältig zu notieren. Wenn e<strong>in</strong>e Abbruchmeldung ersche<strong>in</strong>t, sollten Sie folgendermaßen<br />
vorgehen, bevor Sie das System neu starten:<br />
1. Notieren Sie den Fehlercode und alle Daten aus dem Abschnitt »Driver Information«.<br />
2. Notieren Sie sich die Vorschläge im Abschnitt mit den empfohlenen Maßnahmen. Abbruchmeldungen<br />
enthalten meist Problembehandlungstipps, die für den jeweiligen Fehler<br />
s<strong>in</strong>nvoll s<strong>in</strong>d.<br />
3. Überprüfen Sie den Abschnitt mit Informationen zu Debugport und Speicherabbildstatus,<br />
um sicherzustellen, dass <strong>W<strong>in</strong>dows</strong> den Speicher<strong>in</strong>halt erfolgreich <strong>in</strong> die Auslagerungsdatei<br />
geschrieben hat, und fahren Sie dann mit der Problembehandlung fort.<br />
4. Wenn Sie das Problem beseitigt haben oder den Computer zum<strong>in</strong>dest starten konnten,<br />
sollten Sie die Speicherabbilddatei auf e<strong>in</strong>en Wechseldatenträger, e<strong>in</strong> anderes Festplattenvolume<br />
oder e<strong>in</strong>en Netzwerkstandort kopieren, um sie später untersuchen zu können.<br />
Die Analyse der Speicherabbilddateien kann Ihnen helfen, die eigentlichen Ursachen zu<br />
erkennen. Diese Dateien liefern detaillierte Informationen über den Systemzustand zu<br />
dem Zeitpunkt, als die Abbruchmeldung auftrat. Weitere Informationen über das Erstellen<br />
und Analysieren von Speicherabbilddateien f<strong>in</strong>den Sie im Abschnitt »Speicherabbilddateien«<br />
weiter oben <strong>in</strong> diesem Anhang.<br />
Mit den eben beschriebenen Schritten können Sie wichtige Informationen sichern, die Sie<br />
später nachschlagen können, wenn Sie die Problembehandlung mit den Ressourcen durchführen,<br />
die im Abschnitt »Abbruchmeldungen« weiter oben <strong>in</strong> diesem Anhang beschrieben<br />
s<strong>in</strong>d. Abbruchmeldungen verweisen nicht immer direkt auf die Ursache des Problem, liefern<br />
aber wichtige H<strong>in</strong>weise, die Sie oder e<strong>in</strong> geschulter <strong>Support</strong>mitarbeiter nutzen können, um<br />
die Ursache zu identifizieren und zu beseitigen.
Überprüfen Sie Ihre Software<br />
Checkliste für Abbruchmeldungen 627<br />
Die folgenden Maßnahmen s<strong>in</strong>d nützliche Techniken im Zusammenhang mit Software, die<br />
Sie nutzen können, um Probleme zu beseitigen, die Abbruchmeldungen auslösen.<br />
Überprüfen Sie die Anforderungen der Software an den Festplattenplatz<br />
Überprüfen Sie, ob auf Ihren Festplattenvolumes genug Platz für Auslagerungsdateien des<br />
virtuellen Arbeitsspeichers und Anwendungsdatendateien frei ist. Wenn nicht mehr genug<br />
Platz frei ist, kann das Abbruchmeldungen und andere Symptome auslösen, darunter e<strong>in</strong>e<br />
Beschädigung der Festplattendaten. Prüfen Sie immer die M<strong>in</strong>destsystemvoraussetzungen,<br />
die der Softwarehersteller empfiehlt, bevor Sie e<strong>in</strong>e Anwendung <strong>in</strong>stallieren. Wie Sie herausf<strong>in</strong>den,<br />
wie viel Platz den Auslagerungsdateien zugewiesen ist, erfahren Sie im Abschnitt<br />
»Speicherabbilddateien« weiter oben <strong>in</strong> diesem Anhang. Sie können unbenötigte Dateien<br />
von Hand oder mithilfe des Tools Datenträgerbere<strong>in</strong>igung (Cleanmgr.exe) verschieben,<br />
löschen oder komprimieren, um den freien Platz auf Festplattenvolumes zu vergrößern.<br />
Verwenden Sie die letzte als funktionierend bekannte Konfiguration<br />
Falls e<strong>in</strong>e Abbruchmeldung auftritt, unmittelbar nachdem Sie neue Software oder Treiber<br />
<strong>in</strong>stalliert haben, können Sie die Startoption Letzte als funktionierend bekannte Konfiguration<br />
verwenden, um die Änderungen an Registrierung und Treibern rückgängig zu machen.<br />
Sie können diese Option verwenden, <strong>in</strong>dem Sie Ihren Computer neu starten und dann F8<br />
drücken, wenn Sie dazu aufgefordert werden, um das Menü Erweiterte Startoptionen zu<br />
aktivieren. Die letzte als funktionierend bekannte Konfiguration ist e<strong>in</strong>e der verfügbaren<br />
Optionen. Weitere Informationen über die Start- und Wiederherstellungsoptionen von <strong>W<strong>in</strong>dows</strong><br />
7 f<strong>in</strong>den Sie <strong>in</strong> Anhang C, »Konfiguration und Problembehandlung des Startvorgangs«.<br />
Verwenden Sie die Notfallwiederherstellungsfeatures<br />
Notfallwiederherstellungsfeatures wie die Systemwiederherstellung und das Wiederherstellen<br />
der letzten Treiberversion machen kürzlich vorgenommene Änderungen rückgängig.<br />
Weitere Informationen über Wiederherstellungsoptionen f<strong>in</strong>den Sie <strong>in</strong> Anhang C, »Konfiguration<br />
und Problembehandlung des Startvorgangs«.<br />
Starten Sie das System im abgesicherten Modus<br />
Der abgesicherte Modus ist e<strong>in</strong>e Diagnoseumgebung, die nur die unbed<strong>in</strong>gt nötigen Treiber<br />
und Systemdienste lädt, sodass die Chancen größer s<strong>in</strong>d, dass das Betriebssystem erfolgreich<br />
gestartet wird. Sobald <strong>W<strong>in</strong>dows</strong> gestartet ist, können Sie Treiber aktivieren oder deaktivieren<br />
und die erforderlichen Änderungen vornehmen, um die Stabilität wiederherzustellen. Sie<br />
können den abgesicherten Modus verwenden, <strong>in</strong>dem Sie Ihren Computer neu starten und<br />
dann F8 drücken, wenn Sie dazu aufgefordert werden, um das Menü Erweiterte Startoptionen<br />
zu aktivieren. Der abgesicherte Modus ist e<strong>in</strong>e der verfügbaren Optionen. Weitere Informationen<br />
über die Start- und Wiederherstellungsoptionen f<strong>in</strong>den Sie <strong>in</strong> Anhang C, »Konfiguration<br />
und Problembehandlung des Startvorgangs«.<br />
Verwenden Sie die Systemstartreparatur<br />
Sie können mit dem Tool Systemstartreparatur erweiterte Operationen ausführen, zum Beispiel<br />
beschädigte Dateien ersetzen. Sie können auch e<strong>in</strong>en Dienst deaktivieren, <strong>in</strong>dem Sie<br />
die <strong>in</strong> e<strong>in</strong>er Abbruchmeldung genannte Datei umbenennen. Weitere Informationen darüber,
628 Anhang F: Problembehandlung für Abbruchfehler<br />
wie Sie mit der Systemstartreparatur Startprobleme beseitigen, f<strong>in</strong>den Sie <strong>in</strong> Anhang C,<br />
»Konfiguration und Problembehandlung des Startvorgangs«.<br />
Überprüfen Sie die Protokolle der Ereignisanzeige<br />
Suchen Sie <strong>in</strong> den System- und Anwendungsprotokollen der Ereignisanzeige nach Warnungen<br />
oder Fehlermeldungen, die auf e<strong>in</strong>e Anwendung oder e<strong>in</strong>en Dienst verweisen. Notieren<br />
Sie diese Informationen und greifen Sie darauf zurück, wenn Sie nach weiteren Informationen<br />
suchen oder den technischen <strong>Support</strong> kontaktieren.<br />
Überprüfen Sie die Anwendungs- und Treiberkompatibilität<br />
Es gibt e<strong>in</strong>ige Softwarekategorien, von denen bekannt ist, dass sie Abbruchmeldungen auslösen<br />
können, falls sie nicht vollständig kompatibel zu <strong>W<strong>in</strong>dows</strong> 7 s<strong>in</strong>d (weil sie zum Beispiel<br />
für ältere <strong>W<strong>in</strong>dows</strong>-Versionen entwickelt wurden): Datensicherung, Remotesteuerung,<br />
Multimedia, CD-Master<strong>in</strong>g, Internetfirewall und Antivirustools. Falls das Problem beseitigt<br />
wird, wenn Sie e<strong>in</strong>en Treiber zeitweise deaktivieren oder Software de<strong>in</strong>stallieren, sollten Sie<br />
beim Hersteller nachfragen, ob e<strong>in</strong> Update oder e<strong>in</strong> Workaround verfügbar s<strong>in</strong>d. Sie müssen<br />
e<strong>in</strong>en Dienst deaktivieren, wenn er Abbruchfehler oder andere Probleme verursacht. Es<br />
reicht nicht, ihn zu beenden oder anzuhalten. E<strong>in</strong> beendeter oder angehaltener Dienst läuft<br />
wieder, sobald Sie den Computer neu starten. Weitere Informationen über das Deaktivieren<br />
von Diensten im Rahmen e<strong>in</strong>er Diagnose oder Problembehandlung f<strong>in</strong>den Sie <strong>in</strong> Anhang C,<br />
»Konfiguration und Problembehandlung des Startvorgangs«.<br />
Installieren Sie kompatible Antivirentools<br />
E<strong>in</strong>e Virus<strong>in</strong>fektion kann Probleme wie Abbruchfehler (zum Beispiel Stop 0x7B) und<br />
Datenverluste verursachen. Bevor Sie e<strong>in</strong>e Antivirensoftware ausführen, sollten Sie sicherstellen,<br />
dass Sie aktualisierte Virensignaturdateien verwenden. Signaturdateien liefern<br />
Informationen, die es dem Antivirenprogramm ermöglichen, Viren zu identifizieren. Wenn<br />
Sie aktuelle Signaturdateien verwenden, erhöhen Sie Ihre Chancen, auch neuere Viren zu<br />
erkennen. Überprüfen Sie, ob Ihr Virenscanner den Master Boot Record (MBR) und den<br />
Startsektor untersucht. Weitere Informationen über MBR- und Bootsektorviren f<strong>in</strong>den Sie <strong>in</strong><br />
Anhang D, »Problembehandlung für Hardware, Treiber und Laufwerke«.<br />
Suchen Sie nach Service Pack-Updates und <strong>in</strong>stallieren Sie sie<br />
Microsoft stellt regelmäßig Service Packs zur Verfügung, die aktualisierte Systemdateien,<br />
Sicherheitsverbesserungen und andere Verbesserungen enthalten, die Probleme beseitigen<br />
können. Sie können mit <strong>W<strong>in</strong>dows</strong> Update nach den neusten Versionen suchen und sie <strong>in</strong>stallieren,<br />
sobald sie verfügbar s<strong>in</strong>d. Sie können ermitteln, welche Service Pack-Version auf<br />
Ihrem System <strong>in</strong>stalliert ist, <strong>in</strong>dem Sie im Startmenü mit der rechten Maustaste auf Computer<br />
klicken und den Befehl Eigenschaften wählen.<br />
Berichten Sie Ihre Fehler<br />
Sie können mehr darüber herausf<strong>in</strong>den, welche Bed<strong>in</strong>gungen die Abbruchmeldung auslösen,<br />
wenn Sie die <strong>W<strong>in</strong>dows</strong>-Fehlerberichterstattung verwenden. Weitere Informationen über die<br />
Optionen zum Analysieren von Speicherabbilddateien f<strong>in</strong>den Sie im Abschnitt »Analysieren<br />
von Abbruchfehlern mithilfe von Speicherabbilddateien« weiter oben <strong>in</strong> diesem Anhang.
Installieren Sie Betriebssystem- und Treiberupdates<br />
Checkliste für Abbruchmeldungen 629<br />
Gelegentlich geben Microsoft und andere Hersteller Softwareupdates heraus, die bekannte<br />
Probleme korrigieren.<br />
Recherchieren Sie Informationsquellen<br />
Informationen über Workarounds oder Lösungen für e<strong>in</strong> Problem lassen sich oft f<strong>in</strong>den. Gute<br />
Informationsquellen s<strong>in</strong>d unter anderem die Microsoft Knowledge Base und die Webseiten<br />
des technischen <strong>Support</strong>s e<strong>in</strong>es Herstellers.<br />
Installieren und verwenden Sie e<strong>in</strong>en Kerneldebugger<br />
Sie können mit e<strong>in</strong>em Kerneldebugger umfangreiche Informationen über das Problem sammeln.<br />
Die Hilfedatei der Debugtools enthält Anleitungen und Beispiele, die Ihnen helfen<br />
können, zusätzliche Informationen über aufgetretene Abbruchfehler zu f<strong>in</strong>den. Weitere Informationen<br />
darüber, wie Sie die Debugtools <strong>in</strong>stallieren und verwenden, f<strong>in</strong>den Sie <strong>in</strong> den<br />
Abschnitten »Abbruchmeldungen« und »Analysieren von Abbruchfehlern mithilfe von<br />
Speicherabbilddateien« weiter oben <strong>in</strong> diesem Anhang.<br />
Überprüfen Sie Ihre Hardware<br />
Die folgenden Maßnahmen s<strong>in</strong>d nützliche Techniken im Zusammenhang mit Hardware, die<br />
Sie nutzen können, um Probleme zu beseitigen, die Abbruchmeldungen auslösen.<br />
Stellen Sie die vorherige Konfiguration wieder her<br />
Falls e<strong>in</strong>e Abbruchmeldung ersche<strong>in</strong>t, unmittelbar nachdem Sie neue Hardware h<strong>in</strong>zugefügt<br />
haben, sollten Sie probieren, ob das Problem beseitigt wird, wenn Sie das Teil wieder entfernen<br />
und die vorherige Konfiguration wiederherstellen. Sie können die Wiederherstellungsfeatures<br />
wie die Option Letzte als funktionierend bekannte Konfiguration, das Wiederherstellen<br />
der vorherigen Treiberversion oder die Systemwiederherstellung nutzen, um das<br />
System auf die vorherige Konfiguration zurückzusetzen oder e<strong>in</strong>en bestimmten Treiber zu<br />
entfernen. Weitere Informationen über die Start- und Wiederherstellungsoptionen f<strong>in</strong>den Sie<br />
<strong>in</strong> Anhang C, »Konfiguration und Problembehandlung des Startvorgangs«.<br />
Prüfen Sie, ob Firmwaree<strong>in</strong>stellungen von den Standardwerten abweichen<br />
Manche Computer haben e<strong>in</strong>e Firmware, <strong>in</strong> der Sie Hardwaree<strong>in</strong>stellungen ändern können,<br />
zum Beispiel Energieverwaltungsparameter, Grafikkartenkonfiguration, Arbeitsspeichergeschw<strong>in</strong>digkeit<br />
und Arbeitsspeicherpufferung (Shadow<strong>in</strong>g). Verändern Sie diese E<strong>in</strong>stellungen<br />
nicht, sofern es dafür ke<strong>in</strong>en triftigen Grund gibt. Falls bei Ihnen Hardwareprobleme<br />
auftreten, sollten Sie sicherstellen, dass die Firmwarewerte ihre Standarde<strong>in</strong>stellungen haben.<br />
Wie Sie die Standardfirmwaree<strong>in</strong>stellungen wiederherstellen können, erfahren Sie <strong>in</strong> den<br />
Anleitungen des Computer- oder Motherboardherstellers.<br />
Überprüfen Sie, ob erhöhte Hardwaretaktraten e<strong>in</strong>gestellt s<strong>in</strong>d<br />
Überprüfen Sie, ob die Hardware mit der richtigen Geschw<strong>in</strong>digkeit läuft. Erhöhen Sie die<br />
Taktraten von Komponenten wie Prozessor, Grafikkarte oder Arbeitsspeicher nicht über die<br />
angegebene Spezifikation (Overclock<strong>in</strong>g). Dies kann sporadische Fehler verursachen, die<br />
schwierig zu diagnostizieren s<strong>in</strong>d. Falls bei Ihnen Probleme mit übertakteter Hardware auf-
630 Anhang F: Problembehandlung für Abbruchfehler<br />
treten, sollten Sie die Standarde<strong>in</strong>stellungen für Geschw<strong>in</strong>digkeit und Spannungsversorgung<br />
wiederherstellen, wie durch die Spezifikation des Hardwareherstellers vorgegeben.<br />
Prüfen Sie, ob Updates für die Hardware verfügbar s<strong>in</strong>d<br />
Suchen Sie auf der Website des Herstellers nach aktualisierter Firmware für Ihr System oder<br />
e<strong>in</strong>zelne Peripheriegeräte.<br />
Führen Sie Tests mit Hardwarediagnosetools durch<br />
Durch das Ausführen von Hardwarediagnosesoftware können Sie überprüfen, ob Ihre Hardware<br />
fehlerfrei ist. Diese Tools s<strong>in</strong>d normalerweise <strong>in</strong> die Hardware e<strong>in</strong>gebaut oder werden<br />
mitgeliefert.<br />
Überprüfen Sie ATA-Laufwerks- und -Controllere<strong>in</strong>stellungen<br />
Falls Ihr System ATA-Geräte wie zum Beispiel Festplatten verwendet, sollten Sie feststellen,<br />
ob die Firmwaree<strong>in</strong>stellung »Primary IDE Only« verfügbar ist. Falls diese E<strong>in</strong>stellung angeboten<br />
wird, sollten Sie sie aktivieren, falls der zweite ATA-Kanal nicht benutzt wird. Überprüfen<br />
Sie, ob die Jumpere<strong>in</strong>stellungen bei primären und sekundären Geräten richtig s<strong>in</strong>d.<br />
Speichergeräte (auch CD- und DVD-Laufwerke) haben eigene Firmware, prüfen Sie also<br />
regelmäßig auf der Website des Herstellers, ob Updates verfügbar s<strong>in</strong>d. Stellen Sie sicher,<br />
dass Sie e<strong>in</strong> Kabel verwenden, das zu Ihrem Gerät kompatibel ist. Bestimmte ATA-Standards<br />
erfordern, dass Sie e<strong>in</strong>en anderen Kabeltyp verwenden.<br />
Überprüfen Sie die E<strong>in</strong>stellungen von SCSI-Laufwerken und -Controllern<br />
Falls Ihr System e<strong>in</strong>en SCSI-Adapter benutzt, sollten Sie nach Updates für Gerätetreiber und<br />
Adapterfirmware suchen. Deaktivieren Sie versuchsweise erweiterte SCSI-Firmwareoptionen,<br />
zum Beispiel Sync-Aushandlung für Geräte mit ger<strong>in</strong>ger Bandbreite (Bandlaufwerke<br />
und CD-Laufwerke). Stellen Sie sicher, dass Sie Kabel verwenden, die die Anforderungen<br />
des SCSI-Adapters an Term<strong>in</strong>ierung und maximale Kabellänge erfüllen. Überprüfen Sie die<br />
SCSI-ID-E<strong>in</strong>stellungen und die Term<strong>in</strong>ierung, um sicherzustellen, dass sie für alle Geräte<br />
korrekt s<strong>in</strong>d. Weitere Informationen f<strong>in</strong>den Sie <strong>in</strong> Anhang D, »Problembehandlung für Hardware,<br />
Treiber und Laufwerke«.<br />
Prüfen Sie, ob die Hardware richtig <strong>in</strong>stalliert und angeschlossen ist<br />
Überprüfen Sie, ob die <strong>in</strong>ternen Erweiterungskarten und externen Geräte fest sitzen, richtig<br />
<strong>in</strong>stalliert und die Verb<strong>in</strong>dungskabel fest e<strong>in</strong>gesteckt s<strong>in</strong>d. Bei Bedarf können Sie die elektrischen<br />
Kontakte e<strong>in</strong>er Adapterkarte re<strong>in</strong>igen, die entsprechenden Mittel erhalten Sie im<br />
Fachhandel. Weitere Informationen über die Problembehandlung von Hardware f<strong>in</strong>den Sie<br />
<strong>in</strong> Anhang D, »Problembehandlung für Hardware, Treiber und Laufwerke«.<br />
Überprüfen Sie die Arbeitsspeicherkompatibilität<br />
Falls e<strong>in</strong>e Abbruchmeldung ersche<strong>in</strong>t, unmittelbar nachdem Sie neuen Arbeitsspeicher e<strong>in</strong>gebaut<br />
haben, sollten Sie überprüfen, ob das neue Modul zu Ihrem System kompatibel ist.<br />
Verlassen Sie sich nicht alle<strong>in</strong> auf Merkmale wie Anzahl der Chips oder Abmessungen,<br />
wenn Sie neuen oder Austauschspeicher kaufen. Beachten Sie immer die Spezifikationen<br />
des Herstellers, wenn Sie Arbeitsspeichermodule kaufen. Zum Beispiel können Sie e<strong>in</strong> Arbeitsspeichermodul,<br />
das für 667-MHz- oder 800-MHz-Betrieb (DDR2-667- beziehungs-
Zusammenfassung 631<br />
weise DDR2-800-RAM) vorgesehen ist, <strong>in</strong> e<strong>in</strong> System e<strong>in</strong>bauen, das e<strong>in</strong>e 1066-MHz-<br />
Speicherbusgeschw<strong>in</strong>digkeit verwendet, und das kann anfangs auch durchaus funktionieren.<br />
Aber der langsamere Arbeitsspeicher führt dazu, dass das System <strong>in</strong>stabil wird. Mit der<br />
<strong>W<strong>in</strong>dows</strong>-Speicherdiagnose (beschrieben <strong>in</strong> Anhang D, »Problembehandlung für Hardware,<br />
Treiber und Laufwerke«) können Sie den Arbeitsspeicher testen.<br />
Entfernen Sie zeitweise bestimmte Geräte<br />
Wenn Sie e<strong>in</strong> neues Gerät <strong>in</strong>stallieren, kann das manchmal Ressourcenkonflikte mit vorhandenen<br />
Geräten verursachen. Sie können dieses Problem unter Umständen beseitigen, <strong>in</strong>dem<br />
Sie alle Geräte, die für den Start des Betriebssystems nicht benötigt werden, zeitweise entfernen.<br />
Zum Beispiel können Sie <strong>W<strong>in</strong>dows</strong> wahrsche<strong>in</strong>lich auch starten, wenn Sie e<strong>in</strong> CD-<br />
Laufwerk oder e<strong>in</strong>en Audioadapter zeitweise entfernen. Dann können Sie die Geräte- und<br />
Betriebssysteme<strong>in</strong>stellungen e<strong>in</strong>zeln untersuchen und feststellen, welche Änderungen Sie<br />
vornehmen müssen. Weitere Informationen darüber, wie Sie Ihre Hardwarekonfiguration für<br />
die Problembehandlung vere<strong>in</strong>fachen können, f<strong>in</strong>den Sie <strong>in</strong> Anhang C, »Konfiguration und<br />
Problembehandlung des Startvorgangs«.<br />
Ersetzen Sie e<strong>in</strong> Gerät<br />
Falls Sie ke<strong>in</strong>e Diagnosesoftware für das problematische Gerät f<strong>in</strong>den können, sollten Sie<br />
e<strong>in</strong> Austauschgerät <strong>in</strong>stallieren, um zu überprüfen, ob das Problem dadurch beseitigt wird.<br />
Falls das Problem verschw<strong>in</strong>det, ist die ursprüngliche Hardware möglicherweise defekt oder<br />
falsch konfiguriert.<br />
Recherchieren Sie Informationsquellen<br />
Informationen über Workarounds oder Lösungen für e<strong>in</strong> Problem lassen sich oft f<strong>in</strong>den.<br />
Gute Informationsquellen s<strong>in</strong>d unter anderem die Microsoft Knowledge Base und die Webseiten<br />
des technischen <strong>Support</strong>s e<strong>in</strong>es Herstellers.<br />
Wenden Sie sich an den technischen <strong>Support</strong><br />
Als letztes Mittel kann Ihnen der technische <strong>Support</strong> von Microsoft bei der Problembehandlung<br />
helfen. Weitere Informationen darüber, welche Optionen Microsoft für technischen<br />
<strong>Support</strong> anbietet, erfahren Sie über den <strong>Support</strong>l<strong>in</strong>k auf der Microsoft-Webseite unter<br />
http://www.microsoft.com.<br />
Zusammenfassung<br />
Die Problembehandlung für Abbruchfehler kann frustrierend se<strong>in</strong>. Wenn Sie allerd<strong>in</strong>gs die<br />
Anleitung aus diesem Anhang befolgen, können Sie die Ursachen von Abbruchfehlern identifizieren<br />
und sich daran machen, sie zu beseitigen. Meistens werden Abbruchfehler durch<br />
Treiber oder defekte Hardware verursacht. Wenn Abbruchfehler durch Treiber verursacht<br />
werden, müssen Sie beim Hardwarehersteller veranlassen, dass e<strong>in</strong> verbesserter Treiber entwickelt<br />
wird. Falls e<strong>in</strong> Abbruchfehler durch defekte Hardware verursacht wird, sollten Sie<br />
die Hardware reparieren oder austauschen.
Antworten<br />
Kapitel 1: Lernzielkontrolle<br />
Lektion 1<br />
1. Richtige Antwort: A<br />
A. Richtig: Chkdsk kann defekte Sektoren auf e<strong>in</strong>er Festplatte erkennen. Defekte Sektoren<br />
können bewirken, dass e<strong>in</strong> System e<strong>in</strong>friert.<br />
B. Falsch: Die Defragmentierung verr<strong>in</strong>gert die Datenfragmentierung auf Festplatten.<br />
Fragmentierung drückt die Leistung, es ist aber unwahrsche<strong>in</strong>lich, dass e<strong>in</strong> System<br />
deswegen e<strong>in</strong>friert.<br />
C. Falsch: Die Systemstartreparatur dient dazu, Startprobleme bei e<strong>in</strong>em Computer zu<br />
beseitigen. Es ist unwahrsche<strong>in</strong>lich, dass sie e<strong>in</strong> System repariert, das gelegentlich<br />
e<strong>in</strong>friert.<br />
D. Falsch: Der Geräte-Manager wird wohl kaum e<strong>in</strong> Problem mit dem System aufdecken.<br />
Er kann zwar Treiberprobleme aufspüren, die bewirken, dass e<strong>in</strong> System<br />
e<strong>in</strong>friert. Aber im geschilderten Fall wurden neben e<strong>in</strong>em kritischen <strong>W<strong>in</strong>dows</strong>-<br />
Update ke<strong>in</strong>e Softwareänderungen vorgenommen. Das beschriebene Problem wird<br />
daher wohl von e<strong>in</strong>em Hardwaredefekt ausgelöst.<br />
2. Richtige Antwort: D<br />
A. Falsch: Chkdsk ist zwar <strong>in</strong> der Lage, Festplattenfehler zu erkennen, die e<strong>in</strong>e Ursache<br />
für das Problem se<strong>in</strong> könnten, aber die Systemstartreparatur prüft mehr Fehlerarten<br />
und ist daher eher <strong>in</strong> der Lage, das Problem zu beseitigen.<br />
B. Falsch: Mit der Zuverlässigkeitsüberwachung können Sie die Stabilität e<strong>in</strong>es Systems<br />
während der letzten Wochen überprüfen. Weil das System aber gar nicht startet,<br />
können Sie nicht auf die Zuverlässigkeitsüberwachung zugreifen. Außerdem beseitigt<br />
die Zuverlässigkeitsüberwachung, im Unterschied zur Systemstartreparatur, Probleme<br />
nicht automatisch.<br />
C. Falsch: Die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose hilft Ihnen <strong>in</strong> diesem Fall nicht weiter. Die<br />
Fehlermeldung gibt an, dass die Partitionstabelle ungültig ist. Das Problem liegt<br />
daher im Bereich der Festplatte, nicht des Arbeitsspeichers.<br />
D. Richtig: Die Systemstartreparatur hilft dabei, Systeme zu reparieren, die nicht<br />
starten können. Sie führt e<strong>in</strong>e Reihe unterschiedlicher Prüfungen für die Festplatten<br />
aus und versucht herauszuf<strong>in</strong>den, warum der Computer nicht startet. Dann versucht<br />
sie, alle gefundenen Probleme automatisch zu reparieren. Die Systemstartreparatur<br />
ist das beste Tool für den geschilderten Fall, weil es speziell für diese Art Fehler<br />
entwickelt wurde.<br />
633
634 Antworten<br />
Lektion 2<br />
1. Richtige Antwort: D<br />
A. Falsch: Mithilfe der Energiesparpläne <strong>in</strong> der Systemsteuerung legen Sie fest, wann<br />
bestimmte Geräte, etwa der Monitor, ausgeschaltet werden. Energiesparpläne haben<br />
ke<strong>in</strong>en E<strong>in</strong>fluss auf die Funktionsfähigkeit externer Festplattengehäuse.<br />
B. Falsch: Chkdsk überprüft Datenträger und versucht, gefundene Fehler zu reparieren.<br />
Die Ausführung von Chkdsk hat ke<strong>in</strong>en E<strong>in</strong>fluss auf die Funktionsfähigkeit externer<br />
Festplattengehäuse.<br />
C. Falsch: Mithilfe von Jumpern weisen Sie IDE-Laufwerken die Master- oder Slave-<br />
Funktion zu. Diese Jumper haben ke<strong>in</strong>en E<strong>in</strong>fluss auf die Funktionsfähigkeit externer<br />
Festplattengehäuse für SATA-Laufwerke.<br />
D. Richtig: Selbst wenn Ihre Hardware das Austauschen von Festplatten im laufenden<br />
Betrieb unterstützt, können Sie diese Möglichkeit nur nutzen, wenn auch das BIOS<br />
sie unterstützt. Aus diesem Grund müssen Sie das BIOS mit e<strong>in</strong>er Version aktualisieren,<br />
die diese Funktion unterstützt. Prüfen Sie anschließend, ob der Austausch von<br />
Festplatten im laufenden Betrieb auch im BIOS-Setupprogramm aktiviert ist.<br />
2. Richtige Antwort: B<br />
A. Falsch: Chkdsk analysiert Festplatten auf Fehler, beispielsweise beschädigte Cluster.<br />
Solche Fehler bewirken nicht, dass der Computer träge reagiert; sie lösen Datenbeschädigung,<br />
e<strong>in</strong>frierende Bildschirmanzeige und Abbruchfehler aus.<br />
B. Richtig: Die Fragmentierung von Festplatten führt dazu, dass der Computer träge<br />
reagiert. In der Aufgabenplanung ist zwar konfiguriert, dass die Defragmentierung<br />
e<strong>in</strong>mal pro Woche nachts ausgeführt wird, aber diese Standarde<strong>in</strong>stellung könnte<br />
geändert oder deaktiviert worden se<strong>in</strong>. Analysieren Sie den Grad der Fragmentierung<br />
bei der Festplatte, um festzustellen, ob dies die Ursache für die Leistungsprobleme<br />
ist.<br />
C. Falsch: Die Systemstartreparatur hilft nicht, wenn der Computer träge reagiert. Sie<br />
besteigt Fehler beim Systemstart.<br />
D. Falsch: Die <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose prüft, ob das Hardware-RAM defekt ist. Es<br />
ist äußerst unwahrsche<strong>in</strong>lich, dass solche Defekte e<strong>in</strong>e träge Leistung bewirken. Die<br />
<strong>W<strong>in</strong>dows</strong>-Speicherdiagnose wird üblicherweise e<strong>in</strong>gesetzt, um Abbruchfehler zu<br />
diagnostizieren.<br />
Kapitel 1: Übung mit Fallbeispiel<br />
Übung mit Fallbeispiel 1: Problembehandlung für Abbruchfehler<br />
1. Zuverlässigkeitsüberwachung<br />
2. <strong>W<strong>in</strong>dows</strong>-Speicherdiagnose<br />
3. Tauschen Sie das defekte RAM-Modul aus.
Übung mit Fallbeispiel 2: Problembehandlung für Systemabstürze<br />
Antworten 635<br />
1. Das Problem ist aufgetreten, während der Benutzer ganz unterschiedliche Software verwendet<br />
hat. Daher ist unwahrsche<strong>in</strong>lich, dass es von e<strong>in</strong>er bestimmten Software verursacht<br />
wird. Außerdem gibt es ke<strong>in</strong>en Abbruchfehler, wenn der Computer neu startet.<br />
2. Sie sollten prüfen, ob der CPU-Lüfter funktioniert.<br />
Kapitel 2: Lernzielkontrolle<br />
Lektion 1<br />
1. Richtige Antworten: B und C<br />
A. Falsch: Sie können mit P<strong>in</strong>g feststellen, ob der Mailserver mit dem Netzwerk verbunden<br />
ist. Aber P<strong>in</strong>g verrät Ihnen nicht, ob der Mailserver auf e<strong>in</strong>gehende E-Mail-<br />
Anforderungen antwortet. Es ist denkbar, dass der Mailserver onl<strong>in</strong>e ist, aber der<br />
Maildienst nicht läuft.<br />
B. Richtig: Sie können mit Telnet e<strong>in</strong>e Verb<strong>in</strong>dung zu dem TCP-Port herstellen, über<br />
den Sie e<strong>in</strong>gehende E-Mails herunterladen. Wenn der Mailserver auf die Telnet-<br />
Anforderung antwortet, wissen Sie, dass der Mailserver richtig antwortet und dass<br />
ke<strong>in</strong>e Firewall den Verb<strong>in</strong>dungsversuch blockiert.<br />
C. Richtig: Wie mit Telnet können Sie auch mit PortQry feststellen, ob der Maildienst<br />
auf dem Mailserver antwortet. PortQry ist allerd<strong>in</strong>gs nicht <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7 enthalten.<br />
D. Falsch: PathP<strong>in</strong>g ermittelt, ob der Host und alle Router zwischen Ihrem Computer<br />
und dem Remotehost antworten. Es hat dieselben Nachteile wie P<strong>in</strong>g. Und es kann<br />
nicht feststellen, ob der Maildienst selbst antwortet.<br />
2. Richtige Antwort: D<br />
A. Falsch: Dies ist e<strong>in</strong>e private IP-Adresse. APIPA – die Technik, mit der <strong>W<strong>in</strong>dows</strong><br />
e<strong>in</strong>e IP-Adresse zuweist, wenn ke<strong>in</strong> DHCP-Server zur Verfügung steht – benutzt<br />
diesen Bereich nicht.<br />
B. Falsch: Die spezielle IP-Adresse 127.0.0.1 verweist immer auf den lokalen Host,<br />
unabhängig davon, ob die DHCP-Konfiguration erfolgreich war oder nicht.<br />
C. Falsch: Dies ist e<strong>in</strong>e private IP-Adresse. APIPA – die Technik, mit der <strong>W<strong>in</strong>dows</strong><br />
e<strong>in</strong>e IP-Adresse zuweist, wenn ke<strong>in</strong> DHCP-Server zur Verfügung steht – benutzt<br />
diesen Bereich nicht.<br />
D. Richtig: Alle IP-Adressen, die mit 169.254 beg<strong>in</strong>nen, s<strong>in</strong>d APIPA-Adressen.<br />
<strong>W<strong>in</strong>dows</strong> weist e<strong>in</strong>e APIPA-Adresse zu, wenn ke<strong>in</strong> DHCP-Server verfügbar ist.<br />
3. Richtige Antworten: B und D<br />
A. Falsch: Nslookup ist nützlich, um Namensauflösungsprobleme zu analysieren. Sie<br />
können damit aber ke<strong>in</strong>e Router <strong>in</strong> Ihrem Netzwerk überprüfen.<br />
B. Richtig: Tracert sendet ICMP-Pakete an alle Hosts, die zwischen Ihrem Computer<br />
und dem Ziel liegen. Dabei erstellt es e<strong>in</strong>e simple Netzwerkübersicht. Ist e<strong>in</strong>er der<br />
Router ausgefallen, endet die Liste der Router, bevor das Zielnetzwerk erreicht ist.<br />
Ist der lokale Router ausgefallen, werden überhaupt ke<strong>in</strong>e Router angezeigt.
636 Antworten<br />
Lektion 2<br />
C. Falsch: Sie können Ipconfig verwenden, um sich Ihre aktuelle IP-Konfiguration<br />
anzusehen. Damit können Sie aber ke<strong>in</strong>e Remoterouter abfragen.<br />
D. Richtig: PathP<strong>in</strong>g bietet e<strong>in</strong>en ähnlichen Funktionsumfang wie Tracert, liefert aber<br />
detailliertere Leistungsdaten.<br />
1. Richtige Antwort: A<br />
A. Richtig: Nslookup sendet e<strong>in</strong>e Abfrage an e<strong>in</strong>en DNS-Server (Doma<strong>in</strong> Name System)<br />
und meldet, ob der DNS-Server verfügbar ist und ob er den Namen auflösen<br />
konnte.<br />
B. Falsch: Ipconfig gibt die aktuelle IP-Konfiguration aus. Außerdem können Sie mit<br />
den Argumenten /release und /renew e<strong>in</strong>e neue IP-Adresse vom DHCP-Server anfordern.<br />
Sie können so zwar die IP-Adresse Ihres DNS-Servers feststellen, aber den<br />
DNS-Server nicht testen.<br />
C. Falsch: P<strong>in</strong>g testet die Verb<strong>in</strong>dung mit e<strong>in</strong>em Remotehost. Sie können zwar versuchen,<br />
Ihren DNS-Server (Doma<strong>in</strong> Name System) mit P<strong>in</strong>g zu erreichen, das verrät<br />
Ihnen aber nicht, ob er erfolgreich Hostnamen auflösen kann.<br />
D. Falsch: Netstat zeigt die aktuellen Verb<strong>in</strong>dungen an. Sie können damit ke<strong>in</strong>e<br />
Namensauflösungsprobleme identifizieren.<br />
2. Richtige Antworten: A und C<br />
A. Richtig: Wenn der DNS-Server ausgefallen ist, schlägt die Namensauflösung immer<br />
fehl. Netzwerkanforderungen, die ke<strong>in</strong>en DNS-Server benötigen, gel<strong>in</strong>gen dagegen.<br />
Falls daher der DNS-Server offl<strong>in</strong>e ist, können Sie nicht über den Hostnamen auf<br />
den Webserver zugreifen, der Aufruf funktioniert aber, wenn Sie se<strong>in</strong>e IP-Adresse<br />
angeben.<br />
B. Falsch: Die Datei Hosts speichert manuell konfigurierte Hostnamen und IP-Adressen.<br />
Sie wird aber so gut wie nie benutzt und wird nie als primäre Methode für die<br />
Namensauflösung e<strong>in</strong>gesetzt.<br />
C. Richtig: Hat der Client e<strong>in</strong>e falsche IP-Adresse für den DNS-Server konfiguriert,<br />
bleiben Anforderungen unbeantwortet. Um dieses Problem zu beseitigen, müssen Sie<br />
die Netzwerkkonfiguration des Clients so ändern, dass er die richtige IP-Adresse des<br />
DNS-Servers verwendet.<br />
D. Falsch: Hätte der Client e<strong>in</strong>e APIPA-Adresse, könnte er nicht auf Computer <strong>in</strong><br />
e<strong>in</strong>em externen Netzwerk zugreifen. Der Zugriff auf den Internetwebserver hat aber<br />
funktioniert.<br />
3. Richtige Antwort: C<br />
A. Falsch: Es ist durchaus s<strong>in</strong>nvoll, den Hostnamen des Servers mit Nslookup aufzulösen.<br />
Auf diese Weise stellen Sie fest, dass der DNS-E<strong>in</strong>trag aktualisiert wurde.<br />
Andere Clients s<strong>in</strong>d aber <strong>in</strong> der Lage, e<strong>in</strong>e Verb<strong>in</strong>dung zum neuen Datenbankserver<br />
herzustellen. Daher wissen Sie bereits, dass der E<strong>in</strong>trag aktualisiert wurde. Um das<br />
Problem zu beseitigen, müssen Sie den DNS-Cache löschen.<br />
B. Falsch: Diese Befehle rufen e<strong>in</strong>e neue IP-Konfiguration vom DHCP-Server ab. Sie<br />
löschen nicht den DNS-Cache.
Lektion 3<br />
Antworten 637<br />
C. Richtig: Der DNS-Client von <strong>W<strong>in</strong>dows</strong> 7 speichert aufgelöste Hostnamen <strong>in</strong> e<strong>in</strong>em<br />
Cache. Wird, wie im beschriebenen Fall, e<strong>in</strong> DNS-E<strong>in</strong>trag aktualisiert, verwendet der<br />
DNS-Client unter Umständen weiterh<strong>in</strong> die veraltete IP-Adresse für den Hostnamen.<br />
Um das Problem zu beseitigen, müssen Sie den DNS-Cache löschen.<br />
D. Falsch: Dieser Befehl zeigt die aktuelle IP-Konfiguration an. Er löscht nicht den<br />
DNS-Cache.<br />
1. Richtige Antwort: D<br />
A. Falsch: Das Protokoll Diagnostics-Network<strong>in</strong>g enthält nützliche Informationen, die<br />
von der <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose aufgezeichnet wurden. Diese Informationen<br />
s<strong>in</strong>d aber nicht so detailliert wie die im Protokoll WLAN-AutoConfig.<br />
B. Falsch: Das Systemprotokoll enthält Informationen, die von der <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose<br />
aufgezeichnet wurden. Diese Informationen s<strong>in</strong>d aber nicht so detailliert<br />
wie die im Protokoll WLAN-AutoConfig.<br />
C. Falsch: Das Protokoll Wired-AutoConfig enthält Informationen über Verb<strong>in</strong>dungen<br />
zu Kabelnetzwerken, nicht zu Drahtlosnetzwerken.<br />
D. Richtig: Das Protokoll WLAN-AutoConfig enthält die Details aller Drahtlosverb<strong>in</strong>dungsversuche,<br />
erfolgreiche wie auch fehlgeschlagene. Diesem Protokoll können Sie<br />
entnehmen, zu welchem Drahtlosnetzwerk der Benutzer e<strong>in</strong>e Verb<strong>in</strong>dung herstellen<br />
wollte und warum der Versuch fehlgeschlagen ist.<br />
2. Richtige Antworten: B und C<br />
A. Falsch: Hätten Sie ke<strong>in</strong>en Drahtlosadapter <strong>in</strong>stalliert, würde der Geräte-Manager ihn<br />
nicht im Knoten Netzwerkadapter auflisten.<br />
B. Richtig: Falls der WLAN-Sender ausgeschaltet ist, wird er weiterh<strong>in</strong> im Geräte-<br />
Manager angezeigt. Sie bekommen aber ke<strong>in</strong>e Drahtlosnetzwerke angezeigt. Das<br />
s<strong>in</strong>d genau die beschriebenen Symptome.<br />
C. Richtig: Falls das Drahtlosnetzwerk ke<strong>in</strong>e SSID aussendet, müssen Sie von Hand<br />
e<strong>in</strong> Drahtlosprofil erstellen, bevor Sie e<strong>in</strong>e Verb<strong>in</strong>dung zu diesem Netzwerk herstellen<br />
können. Die meisten Drahtlosnetzwerke senden aber e<strong>in</strong>e SSID aus. Daher ist<br />
dies zwar e<strong>in</strong>e richtige Antwort, aber es ist wahrsche<strong>in</strong>licher, dass der WLAN-<br />
Sender ausgeschaltet ist.<br />
D. Falsch: Authentifizierungsfehler treten erst auf, nachdem Sie versucht haben, e<strong>in</strong>e<br />
Verb<strong>in</strong>dung mit e<strong>in</strong>em Drahtlosnetzwerk herzustellen.<br />
3. Richtige Antwort: C<br />
A. Falsch: WEP verwendet e<strong>in</strong>en statischen Schlüssel und benötigt daher ke<strong>in</strong>en<br />
zusätzlichen Infrastrukturserver.<br />
B. Falsch: Wie WEP arbeitet auch WPA-PSK mit e<strong>in</strong>em statischen Schlüssel.<br />
C. Richtig: WPA-EAP authentifiziert Benutzer über e<strong>in</strong>en RADIUS-Server. Das erleichtert<br />
die Verwaltung vieler Benutzer, erfordert aber m<strong>in</strong>destens e<strong>in</strong>en Infrastrukturserver.<br />
D. Falsch: Wie WEP und WPA-PSK arbeitet WPA2-PSK mit e<strong>in</strong>em statischen<br />
Schlüssel.
638 Antworten<br />
Kapitel 2: Übung mit Fallbeispiel<br />
Übung mit Fallbeispiel 1: Behandeln e<strong>in</strong>es Netzwerkproblems<br />
1. Bitten Sie Gordon als Erstes, die <strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose zu starten. Dieses Tool<br />
kann die häufigsten Netzwerkprobleme diagnostizieren und e<strong>in</strong>ige Probleme automatisch<br />
beseitigen.<br />
2. Sie können feststellen, ob das Problem beim lokalen Netzwerk liegt, <strong>in</strong>dem Sie Gordon<br />
bitten, e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>er Netzwerkressource <strong>in</strong> se<strong>in</strong>em lokalen Netzwerk herzustellen.<br />
Zum Beispiel sollten Sie Gordon bitten, mit P<strong>in</strong>g die Verb<strong>in</strong>dung zu se<strong>in</strong>em<br />
Standardgateway zu testen oder mit PathP<strong>in</strong>g die Verb<strong>in</strong>dung zu e<strong>in</strong>er Ressource im<br />
WAN. Falls er das Standardgateway erreicht, aber ke<strong>in</strong>e Ressourcen im WAN, handelt es<br />
sich um e<strong>in</strong> WAN-Problem.<br />
3. Bitten Sie Gordon zu versuchen, e<strong>in</strong>e Verb<strong>in</strong>dung zu e<strong>in</strong>er Netzwerkressource über die<br />
IP-Adresse herzustellen statt über den Hostnamen. Falls Gordon zum Beispiel www.<br />
microsoft.com aufrufen kann, wenn er e<strong>in</strong>e der IP-Adressen dieser Website verwendet,<br />
aber die Site nicht über ihren Hostnamen aufrufen kann, liegt das Problem def<strong>in</strong>itiv bei<br />
der Namensauflösung.<br />
Übung mit Fallbeispiel 2: Problembehandlung beim Verb<strong>in</strong>dungsaufbau zu<br />
e<strong>in</strong>em Drahtlosnetzwerk<br />
1. Parry hat wahrsche<strong>in</strong>lich e<strong>in</strong>e schwache Funkverb<strong>in</strong>dung. Das kann sie korrigieren,<br />
<strong>in</strong>dem sie näher beim Drahtloszugriffspunkt bleibt. Sofern Sie das Drahtlosnetzwerk<br />
selbst e<strong>in</strong>gerichtet haben, können Sie die Verb<strong>in</strong>dung unter Umständen verbessern,<br />
<strong>in</strong>dem Sie den Drahtloszugriffspunkt verlegen, die Sendeleistung anpassen oder die<br />
Antenne austauschen. An e<strong>in</strong>em öffentlichen Drahtloszugriffspunkt haben Sie aber ke<strong>in</strong>e<br />
Kontrolle über diese Faktoren.<br />
2. Kompatibilitätsprobleme können ebenfalls zu unzuverlässigen Drahtlosverb<strong>in</strong>dungen<br />
führen. Benutzt der Drahtloszugriffspunkt beispielsweise e<strong>in</strong>e schlechte oder veraltete<br />
Implementierung des WLAN-Standards, können bei der Drahtlosverb<strong>in</strong>dung diese<br />
Symptome auftreten.<br />
Kapitel 3: Lernzielkontrolle<br />
Lektion 1<br />
1. Richtige Antwort: C<br />
A. Falsch: Der Dienst Server wird auf dem Server benötigt, aber nicht auf dem Client.<br />
B. Falsch: Der Dienst Arbeitsstationsdienst wird auf dem Client benötigt, aber nicht<br />
auf dem Server.<br />
C. Richtig: Die Firewallausnahme Datei- und Druckerfreigabe muss auf dem Server<br />
aktiviert se<strong>in</strong>. Wenn diese Ausnahme nicht aktiviert ist oder e<strong>in</strong>e andere Firewallregel<br />
den Verkehr blockiert, kann der Server ke<strong>in</strong>e e<strong>in</strong>gehenden Verb<strong>in</strong>dungen zum<br />
freigegebenen Drucker entgegennehmen.
Antworten 639<br />
D. Falsch: In der Standarde<strong>in</strong>stellung können Clientcomputer ausgehende Verb<strong>in</strong>dungen<br />
zu allen Servern aufbauen. Daher braucht die Firewallausnahme Datei- und<br />
Druckerfreigabe beim Clientcomputer nicht aktiviert zu se<strong>in</strong>.<br />
2. Richtige Antworten: B und C<br />
A. Falsch: Der Dienst Arbeitsstationsdienst ermöglicht Datei- und Druckerfreigabeverb<strong>in</strong>dungen<br />
vom Clientcomputer zum Server. Er wird nur auf dem Clientcomputer<br />
gebraucht.<br />
B. Richtig: Der Dienst Druckwarteschlange verwaltet Druckaufträge, er wird sowohl<br />
auf dem Client als auch dem Server gebraucht.<br />
C. Richtig: Der Dienst Server nimmt e<strong>in</strong>gehende Datei- und Druckerfreigabeverb<strong>in</strong>dungen<br />
von Clientcomputern entgegen. Er wird nur auf dem Server gebraucht.<br />
D. Falsch: Der Dienst Peer Name Resolution-Protokoll wird von e<strong>in</strong>igen Netzwerkanwendungen<br />
gebraucht, beispielsweise der Remoteunterstützung. Für die Druckerfreigabe<br />
braucht er nicht zu laufen.<br />
3. Richtige Antwort: D<br />
A. Falsch: In der Konsole Dienste starten und beenden Sie Dienste, etwa die Dienste<br />
Arbeitsstationsdienst, Server und Druckwarteschlange. Sie können damit aber ke<strong>in</strong>e<br />
Treiber verwalten.<br />
B. Falsch: Im Geräte-Manager können Sie Treiber für die meisten Hardwarekomponenten<br />
ändern, aber nicht für Drucker.<br />
C. Falsch: Die Konsole Ereignisanzeige zeigt Ereignisse an, die von Anwendungen und<br />
anderen Komponenten des Betriebssystems aufgezeichnet wurden. Sie können damit<br />
ke<strong>in</strong>e Treiber verwalten.<br />
D. Richtig: Auf der Registerkarte Erweitert des Dialogfelds Druckereigenschaften<br />
können Sie den Treiber für e<strong>in</strong>en Drucker ändern.<br />
Kapitel 3: Übung mit Fallbeispiel<br />
Übung mit Fallbeispiel 1: Probleme aufgrund ungenügender Privilegien<br />
1. Ihr Benutzerkonto verfügt nicht über die Berechtigung, diesen Drucker zu benutzen.<br />
2. Sie müssen die Berechtigungen des Druckers so ändern, dass Ihre Chef<strong>in</strong> die Berechtigung<br />
Drucken erhält.<br />
Übung mit Fallbeispiel 2: Behandeln e<strong>in</strong>es Druckerproblems<br />
1. Stellen Sie dem Benutzer Fragen, um die Ursache des Problems e<strong>in</strong>zukreisen, sodass Sie<br />
die Diagnose des Problems beschleunigen können. Zum Beispiel können Sie abschätzen,<br />
ob das Problem auf den Treiber zurückzuführen ist, <strong>in</strong>dem Sie den Benutzer fragen, ob<br />
er den Treiber aktualisiert hat, irgendwelche Updates <strong>in</strong>stalliert hat oder Software e<strong>in</strong>gespielt<br />
hat, die mit dem Drucker zu tun hat. Sie können den Benutzer auch fragen, wann<br />
er zum letzten Mal etwas ausgedruckt hat, damit Sie anhand der Zuverlässigkeitsüberwachung<br />
prüfen können, ob irgendwelche Updates <strong>in</strong>stalliert wurden, unmittelbar bevor<br />
das Problem auftrat.
640 Antworten<br />
2. Weil der Drucker über das Netzwerk freigegeben wird, sollten Sie prüfen, ob Sie e<strong>in</strong>e<br />
Verb<strong>in</strong>dung zum Drucker herstellen können. Beenden Sie den Dienst Offl<strong>in</strong>edateien und<br />
führen Sie den Befehl net view \\ aus. Gel<strong>in</strong>gt die Verb<strong>in</strong>dung, wissen Sie, dass<br />
der Client e<strong>in</strong>e Verb<strong>in</strong>dung zum Server bekommt. In diesem Fall können Sie sich auf<br />
Probleme mit dem Treiber, den Druckere<strong>in</strong>stellungen und der Hardware konzentrieren.<br />
Schlägt der Verb<strong>in</strong>dungsversuch fehl, wissen Sie, dass die Ursache für das Problem bei<br />
der Druckerfreigabe, der Netzwerkkonnektivität, e<strong>in</strong>er Firewall oder e<strong>in</strong>em Dienst liegt.<br />
Sofern Sie feststellen, dass es sich um e<strong>in</strong> Netzwerkproblem handelt, können Sie mit<br />
dem Tool P<strong>in</strong>g prüfen, ob der Client den Hostnamen des Servers auflöst und die Netzwerkverb<strong>in</strong>dung<br />
zwischen Client und Server funktioniert. Verläuft der P<strong>in</strong>g-Test vom<br />
Client zum Server erfolgreich, sollten Sie mit dem Tool PortQry sicherstellen, dass ke<strong>in</strong>e<br />
Firewall die Kommunikation für die Druckerfreigabe blockiert.<br />
3. Viele Probleme können bewirken, dass e<strong>in</strong> Benutzer nicht drucken kann. Glücklicherweise<br />
haben Sie bereits Probleme im Bereich von Berechtigungen und Hardware ausgeschlossen.<br />
Andere mögliche Probleme s<strong>in</strong>d ausgefallene Netzwerkkonnektivität, e<strong>in</strong> fehlender<br />
Dienst auf Client oder Server, e<strong>in</strong> Treiberproblem auf dem Client und Druckere<strong>in</strong>stellungen<br />
auf dem Client.<br />
Kapitel 4: Lernzielkontrolle<br />
Lektion 1<br />
1. Richtige Antworten: A, B und D<br />
A. Richtig: Sie können sich bei e<strong>in</strong>em freigegebenen Ordner unter Verwendung der<br />
Anmelde<strong>in</strong>formationen aus der Anmelde<strong>in</strong>formationsverwaltung authentifizieren.<br />
B. Richtig: Sie können sich bei e<strong>in</strong>em freigegebenen Drucker unter Verwendung der<br />
Anmelde<strong>in</strong>formationen aus der Anmelde<strong>in</strong>formationsverwaltung authentifizieren.<br />
C. Falsch: Die Anmelde<strong>in</strong>formationsverwaltung kann die Felder für Benutzername und<br />
Kennwort <strong>in</strong> e<strong>in</strong>em HTML-Formular nicht automatisch ausfüllen.<br />
D. Richtig: Wenn die Website mit HTTP-Authentifizierung arbeitet, kann die Anmelde<strong>in</strong>formationsverwaltung<br />
automatisch Benutzername und Kennwort liefern. Sie erkennen<br />
e<strong>in</strong>e solche Website daran, dass der Webbrowser e<strong>in</strong>e E<strong>in</strong>gabeaufforderung<br />
anzeigt, <strong>in</strong> der der Benutzer Anmelde<strong>in</strong>formationen e<strong>in</strong>geben soll. E<strong>in</strong>e solche Website<br />
verwendet also ke<strong>in</strong> HTML-Formular.<br />
2. Richtige Antwort: B<br />
A. Falsch: Die Überwachungsrichtl<strong>in</strong>ie Anmeldeereignisse überwachen zeichnet lokale<br />
Authentifizierungsversuche auf sowie Authentifizierungsversuche am lokalen Computer,<br />
die von Domänenbenutzerkonten ausgeführt werden. Aber wenn Sie die Erfolgsüberwachung<br />
aktivieren, werden erfolgreiche Authentifizierungsversuche aufgezeichnet,<br />
bei denen die Anmelde<strong>in</strong>formationen des Benutzers als richtig bestätigt<br />
wurden. Dabei werden ke<strong>in</strong>e fehlgeschlagenen Versuche aufgezeichnet.<br />
B. Richtig: Die Überwachungsrichtl<strong>in</strong>ie Anmeldeereignisse überwachen zeichnet lokale<br />
Authentifizierungsversuche auf sowie Authentifizierungsversuche am lokalen Computer,<br />
die von Domänenbenutzerkonten ausgeführt werden. Wenn Sie die Fehlerüberwachung<br />
aktivieren, wird e<strong>in</strong> Ereignis aufgezeichnet, wenn der Benutzer sich
Lektion 2<br />
Antworten 641<br />
aus irgende<strong>in</strong>em Grund nicht authentifizieren kann, zum Beispiel weil er ungültige<br />
Anmelde<strong>in</strong>formationen e<strong>in</strong>gegeben hat.<br />
C. Falsch: Die Überwachungsrichtl<strong>in</strong>ie Anmeldeversuche überwachen überwacht nur<br />
Authentifizierungsanforderungen, die von Domänencontrollern empfangen wurden.<br />
Sie hat daher ke<strong>in</strong>e Auswirkung auf e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Mitgliedscomputer.<br />
D. Falsch: Die Überwachungsrichtl<strong>in</strong>ie Anmeldeversuche überwachen überwacht nur<br />
Authentifizierungsanforderungen, die von Domänencontrollern empfangen wurden.<br />
Sie hat daher ke<strong>in</strong>e Auswirkung auf e<strong>in</strong>em <strong>W<strong>in</strong>dows</strong> 7-Mitgliedscomputer.<br />
3. Richtige Antworten: A und D<br />
A. Richtig: Wenn Sie die Überwachung für Anmeldeversuche aktivieren, werden alle<br />
Authentifizierungsversuche auf dem lokalen Computer protokolliert, auch die lokale<br />
Anmeldung.<br />
B. Falsch: Wenn Sie die Überwachung für Anmeldeversuche aktivieren, werden alle<br />
Authentifizierungsversuche auf dem lokalen Computer protokolliert, aber nicht auf<br />
Remotecomputern. Es kann aber se<strong>in</strong>, dass der Remotewebserver e<strong>in</strong> Überwachungsereignis<br />
<strong>in</strong> se<strong>in</strong> eigenes Ereignisprotokoll e<strong>in</strong>trägt, falls die Überwachung aktiviert<br />
ist.<br />
C. Falsch: Wenn Sie die Überwachung für Anmeldeversuche aktivieren, werden alle<br />
Authentifizierungsversuche auf dem lokalen Computer protokolliert, aber nicht auf<br />
Remotecomputern. Es kann aber se<strong>in</strong>, dass der Remotedateiserver e<strong>in</strong> Überwachungsereignis<br />
<strong>in</strong> se<strong>in</strong> eigenes Ereignisprotokoll e<strong>in</strong>trägt, falls die Überwachung aktiviert<br />
ist.<br />
D. Richtig: Wenn Sie die Überwachung für Anmeldeversuche aktivieren, werden alle<br />
Authentifizierungsversuche auf dem lokalen Computer protokolliert, auch die<br />
Authentifizierung an e<strong>in</strong>er UAC-E<strong>in</strong>gabeaufforderung. Darunter fallen auch UAC-<br />
E<strong>in</strong>gabeaufforderungen, bei denen der Adm<strong>in</strong>istrator lediglich die Schaltfläche<br />
Fortsetzen anklicken muss.<br />
1. Richtige Antworten: B und D<br />
A. Falsch: Wenn e<strong>in</strong> Zertifikat abgelaufen ist, zeigt der Internet Explorer e<strong>in</strong>e andere<br />
Meldung an.<br />
B. Richtig: Falls e<strong>in</strong> Angreifer den Verkehr auf e<strong>in</strong>en böswilligen Server mit e<strong>in</strong>em<br />
SSL-Zertifikat umleitet, wurde das SSL-Zertifikat des böswilligen Servers wahrsche<strong>in</strong>lich<br />
nicht von e<strong>in</strong>er vertrauenswürdigen Zertifizierungsstelle für denselben<br />
Namen ausgestellt. Daher warnt der Internet Explorer den Benutzer, dass der geme<strong>in</strong>same<br />
Name, der im Zertifikat aufgeführt ist, nicht dem Namen im L<strong>in</strong>k entspricht.<br />
C. Falsch: Bei e<strong>in</strong>er nichtvertrauenswürdigen Zertifizierungsstelle zeigt der Internet<br />
Explorer e<strong>in</strong>e andere Meldung an.<br />
D. Richtig: Die wahrsche<strong>in</strong>lichste Ursache für diesen Fehler ist, dass der Benutzer zwar<br />
e<strong>in</strong>en gültigen Hostnamen für e<strong>in</strong>en seriösen Server e<strong>in</strong>gegeben hat, aber das Zertifikat<br />
des Servers diesen Hostnamen nicht als allgeme<strong>in</strong>en Namen e<strong>in</strong>getragen hat
642 Antworten<br />
und der Hostname auch nicht <strong>in</strong> der SAN-Liste steht. Alle Namen, die nicht als allgeme<strong>in</strong>er<br />
Name oder <strong>in</strong> der SAN-Liste des Zertifikats e<strong>in</strong>getragen s<strong>in</strong>d, veranlassen<br />
den Internet Explorer, diese Fehlermeldung anzuzeigen.<br />
2. Richtige Antworten: B und C<br />
A. Falsch: Der Internet Explorer kann animierte GIFs sowie beliebige andere Bilder<br />
anzeigen, ohne den geschützten Modus verlassen zu müssen.<br />
B. Richtig: E<strong>in</strong>gebettetes Audio erfordert e<strong>in</strong> Plug-In, sogar wenn der <strong>W<strong>in</strong>dows</strong> Media<br />
Player benutzt wird. Bevor das Plug-In aktiviert wird, muss der Benutzer <strong>in</strong> die Informationsleiste<br />
klicken.<br />
C. Richtig: E<strong>in</strong>gebettetes Video erfordert e<strong>in</strong> Plug-In, sogar wenn der <strong>W<strong>in</strong>dows</strong> Media<br />
Player benutzt wird. Bevor das Plug-In aktiviert wird, muss der Benutzer <strong>in</strong> die Informationsleiste<br />
klicken.<br />
D. Falsch: Um den Quelltext e<strong>in</strong>er Webseite anzeigen zu können, muss der Internet<br />
Explorer den <strong>W<strong>in</strong>dows</strong>-Editor öffnen. Im Internet Explorer 7.0 erforderte das erhöhte<br />
Privilegien, weshalb der Internet Explorer e<strong>in</strong>e E<strong>in</strong>gabeaufforderung für den geschützten<br />
Modus anzeigte. <strong>W<strong>in</strong>dows</strong> Internet Explorer 8.0 braucht dagegen ke<strong>in</strong>e<br />
erhöhten Privilegien, um den Quellcode anzuzeigen.<br />
3. Richtige Antwort: B<br />
A. Falsch: Die Kompatibilitätsschicht des geschützten Modus braucht nichts zu virtualisieren,<br />
um e<strong>in</strong> Cookie zu speichern.<br />
B. Richtig: Versucht e<strong>in</strong> Add-On, e<strong>in</strong>e Datei im Ordner Dokumente zu speichern, leitet<br />
die Kompatibilitätsschicht des geschützten Modus die Datei <strong>in</strong> \%UserProfile%\<br />
AppData\Local\Microsoft\<strong>W<strong>in</strong>dows</strong>\Temporary Internet Files\Virtualized um, damit<br />
der Benutzer geschützt wird.<br />
C. Falsch: Webanwendungen können den Benutzer auffordern, e<strong>in</strong>e Datei hochzuladen,<br />
ohne dass diese Anforderung umgeleitet werden muss.<br />
D. Falsch: Add-Ons können Dateien im Ordner Temporary Internet Files speichern,<br />
ohne dass die Kompatibilitätsschicht des geschützten Modus diese Anforderung<br />
virtualisieren muss.<br />
4. Richtige Antworten: B und C<br />
A. Falsch: Um e<strong>in</strong> ActiveX-Steuerelement auszuführen, muss der Benutzer <strong>in</strong> die<br />
Informationsleiste klicken. Wenn er mit der rechten Maustaste <strong>in</strong> die Webseite klickt,<br />
wird dieser Befehl nicht angeboten.<br />
B. Richtig: Am e<strong>in</strong>fachsten können Sie e<strong>in</strong> ActiveX-Steuerelement aktivieren, <strong>in</strong>dem<br />
Sie <strong>in</strong> die Informationsleiste klicken.<br />
C. Richtig: Sites <strong>in</strong> der Zone Vertrauenswürdige Sites führen die meisten ActiveX-<br />
Steuerelemente automatisch aus.<br />
D. Falsch: Wenn Sie den geschützten Modus deaktivieren, werden ActiveX-Steuerelemente<br />
nicht automatisch ausgeführt.
Lektion 3<br />
Antworten 643<br />
1. Richtige Antwort: C<br />
A. Falsch: Die BitLocker-Laufwerkverschlüsselung hat nichts mit EFS zu tun.<br />
B. Falsch: Die Konsole Computerverwaltung enthält viele Snap-Ins, aber nicht das<br />
Snap-In Zertifikate.<br />
C. Richtig: In der Konsole Zertifikate können Sie EFS-Zertifikate sichern und wiederherstellen.<br />
So können Sie wieder auf EFS-verschlüsselte Dateien zugreifen, wenn<br />
Sie diese Dateien auf e<strong>in</strong>en anderen Computer verschoben haben.<br />
D. Falsch: Im Snap-In Dienste können Sie Dienste verwalten, aber ke<strong>in</strong>e Zertifikate.<br />
2. Richtige Antwort: A<br />
A. Richtig: Zertifikate für das verschlüsselnde Dateisystem liegen im Knoten Zertifikate<br />
– Aktueller Benutzer\Eigene Zertifikate\Zertifikate.<br />
B. Falsch: Zertifikate für das verschlüsselnde Dateisystem s<strong>in</strong>d nicht <strong>in</strong> diesem Knoten<br />
gespeichert.<br />
C. Falsch: Zertifikate für das verschlüsselnde Dateisystem s<strong>in</strong>d benutzerspezifisch, sie<br />
gehören nicht zum Computer.<br />
D. Falsch: Zertifikate für das verschlüsselnde Dateisystem s<strong>in</strong>d benutzerspezifisch, sie<br />
gehören nicht zum Computer.<br />
3. Richtige Antworten: A, B und D<br />
A. Richtig: Wenn e<strong>in</strong> Computer e<strong>in</strong> TPM hat, können Sie BitLocker aktivieren, ohne<br />
dass der Benutzer e<strong>in</strong>en Schlüssel e<strong>in</strong>geben oder e<strong>in</strong> USB-Flashlaufwerk anschließen<br />
muss.<br />
B. Richtig: Wenn e<strong>in</strong> Computer e<strong>in</strong> TPM hat, können Sie <strong>W<strong>in</strong>dows</strong> 7 so konfigurieren,<br />
dass der Benutzer e<strong>in</strong>e PIN e<strong>in</strong>geben muss, bevor das Betriebssystem geladen wird.<br />
C. Falsch: Wenn e<strong>in</strong> Computer ke<strong>in</strong> TPM hat, haben Sie nur die Möglichkeit, vom<br />
Benutzer beim Systemstart e<strong>in</strong> USB-Flashlaufwerk e<strong>in</strong>stecken zu lassen. Sie brauchen<br />
e<strong>in</strong> TPM, wenn Sie PIN-Sicherheit beim Systemstart verwenden wollen.<br />
D. Richtig: Mit oder ohne TPM können Sie BitLocker so konfigurieren, dass der Benutzer<br />
bei jedem Systemstart e<strong>in</strong>en USB-Stick anschließen muss.<br />
Kapitel 4: Übung mit Fallbeispiel<br />
Übung mit Fallbeispiel 1: Empfehlen von Datensicherheitstechnologien<br />
1. Ne<strong>in</strong>. Dateiberechtigungen schützen Daten nur, während das Betriebssystem läuft. Hat<br />
e<strong>in</strong> Angreifer physischen Zugriff auf e<strong>in</strong>en Computer, kann er problemlos e<strong>in</strong> anderes<br />
Betriebssystem laden, das die NTFS-Dateiberechtigungen ignoriert.<br />
2. Ja. Verschlüsselung schützt Daten selbst dann, wenn e<strong>in</strong> Angreifer physischen Zugriff<br />
auf e<strong>in</strong>en Computer hat. <strong>W<strong>in</strong>dows</strong> 7 bietet zwei Arten von Verschlüsselung: EFS und<br />
BitLocker. EFS verschlüsselt e<strong>in</strong>zelne Dateien, BitLocker die gesamte Systempartition.
644 Antworten<br />
3. Sowohl EFS als auch BitLocker erlauben es, Dateien über e<strong>in</strong> Netzwerk freizugeben. Es<br />
ist sogar so, dass ke<strong>in</strong>er dieser beiden Verschlüsselungstypen irgende<strong>in</strong>en Schutz über<br />
das Netzwerk bietet.<br />
Übung mit Fallbeispiel 2: Unerwünschte Internet Explorer-Add-Ons<br />
1. Sie können e<strong>in</strong> Add-On im Dialogfeld Add-Ons verwalten entfernen. Starten Sie dazu<br />
den Internet Explorer, klicken Sie <strong>in</strong> der Symbolleiste auf die Schaltfläche Extras, dann<br />
auf Add-Ons verwalten und auf Add-Ons aktivieren bzw. deaktivieren.<br />
2. Ja. Der Internet Explorer <strong>in</strong>stalliert Add-Ons von den meisten Websites nicht automatisch.<br />
Stattdessen zeigt er e<strong>in</strong>e Informationsleiste an, und die Benutzer müssen <strong>in</strong> diese<br />
Informationsleiste klicken, um das Add-On zu <strong>in</strong>stallieren. Außerdem fordert der geschützte<br />
Modus adm<strong>in</strong>istrative Privilegien an, bevor irgendwelche Add-Ons <strong>in</strong>stalliert<br />
werden können. (Der geschützte Modus zeigt aber nur e<strong>in</strong>e E<strong>in</strong>gabeaufforderung für den<br />
Benutzer an, wenn das Add-On erhöhte Privilegien benötigt.)<br />
3. Über Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen <strong>in</strong> Benutzerkonfiguration\Adm<strong>in</strong>istrative Vorlagen\<strong>W<strong>in</strong>dows</strong>-Komponenten\InternetExplorer\Sicherheitsfunktionen\Add-On-Verwaltung<br />
können Sie bestimmte Add-Ons <strong>in</strong> Ihrer gesamten Organisation aktivieren oder<br />
deaktivieren. Zum Beispiel könnten Sie <strong>in</strong> der E<strong>in</strong>stellung Add-On-Liste alle Add-Ons<br />
e<strong>in</strong>tragen, die von Ihrem <strong>in</strong>ternen Entwicklungsteam erstellt wurden, und dann die E<strong>in</strong>stellung<br />
Alle Add-Ons sperren, soweit diese nicht explizit <strong>in</strong> der Add-On-Liste aufgeführt<br />
s<strong>in</strong>d aktivieren, um alle anderen Add-Ons zu blockieren.<br />
Kapitel 5: Lernzielkontrolle<br />
Lektion 1<br />
1. Richtige Antwort: B<br />
A. Falsch: Das ist die richtige Richtl<strong>in</strong>iene<strong>in</strong>stellung, aber Sie müssen Gruppenrichtl<strong>in</strong>ien<br />
verwenden, nicht die lokale Sicherheitsrichtl<strong>in</strong>ie. Wenn Sie die lokale Sicherheitsrichtl<strong>in</strong>ie<br />
verwenden, müssen Sie die Konfigurationsänderung auf jedem Computer<br />
<strong>in</strong> der Domäne vornehmen.<br />
B. Richtig: Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung aktiviert UAC-E<strong>in</strong>gabeaufforderungen für das<br />
<strong>in</strong>tegrierte Adm<strong>in</strong>istratorkonto. Sie sollten Gruppenrichtl<strong>in</strong>ien verwenden, damit die<br />
Änderung <strong>in</strong> der gesamten Domäne erzwungen wird.<br />
C. Falsch: Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung aktiviert UAC-E<strong>in</strong>gabeaufforderungen für alle<br />
Domänenadm<strong>in</strong>istratoren, aber mit Ausnahme des <strong>in</strong>tegrierten Adm<strong>in</strong>istratorkontos.<br />
Außerdem sollten Sie Gruppenrichtl<strong>in</strong>ien verwenden, damit die Änderung <strong>in</strong> der<br />
gesamten Domäne erzwungen wird.<br />
D. Falsch: Sie sollten zwar Gruppenrichtl<strong>in</strong>ien verwenden, das ist aber die falsche<br />
Richtl<strong>in</strong>iene<strong>in</strong>stellung. Diese Richtl<strong>in</strong>iene<strong>in</strong>stellung aktiviert UAC-E<strong>in</strong>gabeaufforderungen<br />
für alle Domänenadm<strong>in</strong>istratoren, aber mit Ausnahme des <strong>in</strong>tegrierten<br />
Adm<strong>in</strong>istratorkontos.
Antworten 645<br />
2. Richtige Antwort: C<br />
A. Falsch: Sie müssen den Benutzern zeigen, wie sie die automatische Überprüfung<br />
anpassen. Diese Lösung löst nur e<strong>in</strong>e zusätzliche Überprüfung aus und beseitigt<br />
nicht die Ursache des Problems.<br />
B. Falsch: Diese Lösung könnte immer noch bewirken, dass der Akku geleert wird,<br />
wenn die Überprüfung startet, während sich der Computer e<strong>in</strong>ige M<strong>in</strong>uten im Leerlauf<br />
bef<strong>in</strong>det und mit Akkustrom arbeitet. Sie sollten die Überprüfung nur während<br />
geeigneter Zeiten ausführen, beispielsweise wenn der Benutzer weiß, dass der Computer<br />
mit Netzstrom betrieben wird.<br />
C. Richtig: Sie müssen den Zeitplan für die automatische Überprüfung von den Benutzern<br />
selbst e<strong>in</strong>stellen lassen. So können sie Zeiten wählen, <strong>in</strong> denen der Computer<br />
am Stromnetz betrieben wird.<br />
D. Falsch: Ihr Ziel besteht dar<strong>in</strong>, die Verschwendung von Akkustrom zu verh<strong>in</strong>dern,<br />
ohne den Schutz zu verschenken, den <strong>W<strong>in</strong>dows</strong>-Defender bietet. Wenn Sie die automatische<br />
Überprüfung deaktivieren, verschlechtert sich der Schutz, den <strong>W<strong>in</strong>dows</strong>-<br />
Defender bietet. Daher erfüllt diese Lösung nicht die Anforderungen.<br />
Kapitel 5: Übung mit Fallbeispiel<br />
Übung mit Fallbeispiel 1: Beseitigen von Malware<strong>in</strong>fektionen<br />
1. Öffnen Sie den Task-Manager und beenden Sie alle Prozesse und Dienste, die verdächtig<br />
aussehen. Deaktivieren Sie dann die zugehörigen Dienste <strong>in</strong> der Konsole Dienste.<br />
2. Erstens können Sie versuchen, die Clientsoftware der Antimalwarelösung erneut zu <strong>in</strong>stallieren.<br />
Läuft der Computer zu langsam, um diese Software zu <strong>in</strong>stallieren, können<br />
Sie zweitens e<strong>in</strong>e Offl<strong>in</strong>eüberprüfung der Antimalwaresoftware von e<strong>in</strong>er startfähigen<br />
CD durchführen, sofern Sie e<strong>in</strong>e zur Hand haben. Und schließlich können Sie e<strong>in</strong>e Antimalwareüberprüfung<br />
über das Netzwerk starten, beispielsweise von e<strong>in</strong>er Onl<strong>in</strong>equelle<br />
oder von e<strong>in</strong>em lokalen Server, der Ihre Antimalwaresoftware hostet.<br />
Kapitel 6: Lernzielkontrolle<br />
Lektion 1<br />
1. Richtige Antwort: D<br />
A. Falsch: Das Problem wird nicht beseitigt, wenn Sie den VPN-Client so konfigurieren,<br />
dass er e<strong>in</strong> SSTP-VPN aufbaut. SSTP-VPNs erlauben dem Benutzer nicht, die<br />
VPN-Verb<strong>in</strong>dung aufrechtzuerhalten, wenn sie von e<strong>in</strong>em Drahtloszugriffspunkt<br />
zum anderen wechseln. Dieses Feature bieten nur IKEv2-VPNs.<br />
B. Falsch: Die Verschlüsselungsstärke e<strong>in</strong>er VPN-Verb<strong>in</strong>dung hat ke<strong>in</strong>e Auswirkung<br />
darauf, ob die Verb<strong>in</strong>dung das Feature Mobility unterstützt. Mobility ist e<strong>in</strong> Feature<br />
von IKEv2-VPNs.<br />
C. Falsch: Die Authentifizierung für e<strong>in</strong>e VPN-Verb<strong>in</strong>dung hat ke<strong>in</strong>e Auswirkung<br />
darauf, ob die Verb<strong>in</strong>dung das Feature Mobility unterstützt. Dieses Feature bieten<br />
nur IKEv2-VPNs.
646 Antworten<br />
Lektion 2<br />
D. Richtig: Mobility (auch als VPN-Reconnect bezeichnet) ist e<strong>in</strong> Feature von IKEv2-<br />
VPNs. Wenn VPN-Clients, die unter <strong>W<strong>in</strong>dows</strong> 7 laufen, e<strong>in</strong>e Verb<strong>in</strong>dung aufbauen,<br />
fordern sie <strong>in</strong> der Standarde<strong>in</strong>stellung zuerst e<strong>in</strong>e IKEv2-VPN-Verb<strong>in</strong>dung vom<br />
VPN-Server an. Der VPN-Server, der RRAS ausführt, kann diese Anforderung nach<br />
e<strong>in</strong>em IKEv2-VPN aber nur positiv beantworten, wenn er unter <strong>W<strong>in</strong>dows</strong> Server<br />
2008 R2 läuft.<br />
2. Richtige Antwort: B<br />
A. Falsch: Sie müssen zwar e<strong>in</strong> Serverzertifikat für den VPN-Server beantragen und es<br />
auf dem Server <strong>in</strong>stallieren, dieses Zertifikat brauchen Sie aber nicht auf dem Client<br />
zu <strong>in</strong>stallieren. Das Serverzertifikat wird dem Client vorgelegt, sobald er e<strong>in</strong>e Verb<strong>in</strong>dung<br />
aufbaut.<br />
B. Richtig: Damit der Client das Serverzertifikat überprüfen kann, das der VPN-Server<br />
ihm vorlegt, muss der Client der Zertifizierungsstelle vertrauen, die das Zertifikat<br />
des VPN-Servers ausgestellt hat. Dazu muss das Stammzertifikat dieser Zertifizierungsstelle<br />
im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen des<br />
Clients <strong>in</strong>stalliert se<strong>in</strong>.<br />
C. Falsch: In der Standarde<strong>in</strong>stellung ist als VPN-Typ die E<strong>in</strong>stellung Automatisch<br />
konfiguriert. Das reicht aus und braucht nicht geändert zu werden. Wenn der VPN-<br />
Typ als Automatisch konfiguriert ist, versucht <strong>W<strong>in</strong>dows</strong> 7, zuerst e<strong>in</strong>e VPN-Verb<strong>in</strong>dung<br />
mit IKEv2 herzustellen.<br />
D. Falsch: IKEv2-VPNs brauchen ke<strong>in</strong> Computerzertifikat auf dem VPN-Client.<br />
1. Richtige Antwort: B<br />
A. Falsch: DirectAccess-Clients können unter <strong>W<strong>in</strong>dows</strong> 7 Enterprise, <strong>W<strong>in</strong>dows</strong> 7<br />
Ultimate und <strong>W<strong>in</strong>dows</strong> Server 2008 R2 laufen.<br />
B. Richtig: DirectAccess-Clients können unter <strong>W<strong>in</strong>dows</strong> 7 Enterprise, <strong>W<strong>in</strong>dows</strong> 7<br />
Ultimate und <strong>W<strong>in</strong>dows</strong> Server 2008 R2 laufen.<br />
C. Falsch: DirectAccess-Clients können unter <strong>W<strong>in</strong>dows</strong> 7 Enterprise, <strong>W<strong>in</strong>dows</strong> 7<br />
Ultimate und <strong>W<strong>in</strong>dows</strong> Server 2008 R2 laufen.<br />
D. Falsch: DirectAccess-Clients können unter <strong>W<strong>in</strong>dows</strong> 7 Enterprise, <strong>W<strong>in</strong>dows</strong> 7<br />
Ultimate und <strong>W<strong>in</strong>dows</strong> Server 2008 R2 laufen.<br />
2. Richtige Antwort: D<br />
A. Falsch: In DirectAccess müssen sich sowohl der Client als auch der Server gegenseitig<br />
mit e<strong>in</strong>em Zertifikat authentifizieren.<br />
B. Falsch: In DirectAccess müssen sich sowohl der Client als auch der Server gegenseitig<br />
mit e<strong>in</strong>em Zertifikat authentifizieren.<br />
C. Falsch: DirectAccess basiert auf IPv6. Der DirectAccess-Client muss e<strong>in</strong>e IPv6-<br />
Adresse von e<strong>in</strong>em nativen IPv6-Router erhalten oder e<strong>in</strong>e IPv6-Übergangstechnologie<br />
wie 6to4, Teredo oder IP-HTTPS nutzen.
Antworten 647<br />
D. Richtig: DirectAccess erfordert IPv6, nicht IPv4. Steht ke<strong>in</strong> IPv6-Netzwerk zur Verfügung,<br />
stellt DirectAccess e<strong>in</strong>e IPv6-Verb<strong>in</strong>dung über IPv4 her, wobei es e<strong>in</strong>e IPv6-<br />
Übergangstechnologie wie 6to4, Teredo oder IP-HTTPS e<strong>in</strong>setzt.<br />
Kapitel 6: Übung mit Fallbeispiel<br />
Übung mit Fallbeispiel 1: Problembehandlung für e<strong>in</strong> Remotezugriff-VPN<br />
1. Um die Probleme mit der VPN-Leistung zu beseitigen, müssen Sie den VPN-Client so<br />
konfigurieren, dass er erfolgreich e<strong>in</strong> IKEv2-VPN aushandelt. Diesen VPN-Typ versucht<br />
e<strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7-Client als Erstes aufzubauen, wenn als VPN-Typ die Option Automatisch<br />
e<strong>in</strong>gestellt ist. Dazu müssen Sie von e<strong>in</strong>er Zertifizierungsstelle e<strong>in</strong> Serverzertifikat für<br />
den VPN-Server ausstellen lassen und dieses Serverzertifikat auf dem VPN-Server <strong>in</strong>stallieren.<br />
Dann müssen Sie sicherstellen, dass das Zertifikat der Stammzertifizierungsstelle,<br />
die dieses Zertifikat ausgestellt hat, auf allen VPN-Clients im Zertifikatspeicher<br />
Vertrauenswürdige Stammzertifizierungsstellen <strong>in</strong>stalliert ist.<br />
2. Damit <strong>W<strong>in</strong>dows</strong> 7-Clients e<strong>in</strong>e VPN-Verb<strong>in</strong>dung aufbauen können, wenn sie sich h<strong>in</strong>ter<br />
Remotefirewalls und NAT-Geräten bef<strong>in</strong>den, müssen Sie sicherstellen, dass die VPN-<br />
Clients e<strong>in</strong> SSTP-VPN aushandeln können. Die Voraussetzungen für diesen VPN-Typ<br />
gleichen denen e<strong>in</strong>es IKEv2-VPNs, daher reichen die Vorbereitungen aus, die <strong>in</strong> der Antwort<br />
zu Frage 1 beschrieben wurden. Falls die Netzwerk<strong>in</strong>frastruktur zwischen dem<br />
VPN-Client und dem Server verh<strong>in</strong>dert, dass e<strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7-Client e<strong>in</strong> IKEv2-VPN<br />
aufbaut, versuchen <strong>W<strong>in</strong>dows</strong> 7-Clients <strong>in</strong> der Standarde<strong>in</strong>stellung, automatisch e<strong>in</strong><br />
SSTP-VPN auszuhandeln.<br />
Übung mit Fallbeispiel 2: Problembehandlung für DirectAccess<br />
1. Sie sollten zuerst versuchen, die Teredo-Schnittstelle zu konfigurieren, weil dem Client<br />
e<strong>in</strong>e private IPv4-Adresse zugewiesen ist. Verwenden Sie den Befehl netsh <strong>in</strong>terface<br />
teredo set state type=enterpriseclient servername=.<br />
2. Sie sollten zuerst versuchen, die 6to4-Schnittstelle zu konfigurieren, weil dem Client<br />
e<strong>in</strong>e öffentliche IPv4-Adresse zugewiesen ist. Verwenden Sie den Befehl netsh <strong>in</strong>terface<br />
6to4 set relay name=.<br />
Kapitel 7: Lernzielkontrolle<br />
Lektion 1<br />
1. Richtige Antwort: B<br />
A. Falsch: Wenn Sie sich darauf verlassen, dass die Angestellten <strong>W<strong>in</strong>dows</strong> Update von<br />
Hand starten, ist unvermeidlich, dass es früher oder später jemand vergisst. Die<br />
Sicherheit der Computer wird dann langfristig schlechter, weil wichtige Updates<br />
nicht <strong>in</strong>stalliert werden.<br />
B. Richtig: In kle<strong>in</strong>en Organisationen lohnt es sich normalerweise nicht, e<strong>in</strong>en WSUS-<br />
Server zu konfigurieren. Daher reicht die Standardkonfiguration aus, <strong>in</strong> der Updates<br />
direkt von Microsoft heruntergeladen werden.
648 Antworten<br />
C. Falsch: Bei kle<strong>in</strong>en Organisationen, <strong>in</strong> denen Updates nicht genehmigt zu werden<br />
brauchen, ist WSUS unnötig.<br />
D. Falsch: SMS wurde für Großunternehmen entwickelt, die komplexe Anforderungen<br />
an die Softwareverwaltung stellen. Es wäre zeitaufwendig und unnötig, SMS für e<strong>in</strong>e<br />
kle<strong>in</strong>e Organisation bereitzustellen.<br />
2. Richtige Antwort: C<br />
A. Falsch: Wenn Sie sich darauf verlassen, dass die Angestellten <strong>W<strong>in</strong>dows</strong> Update von<br />
Hand starten, ist unvermeidlich, dass es früher oder später jemand vergisst. Die<br />
Sicherheit der Computer wird dann langfristig schlechter, weil wichtige Updates<br />
nicht <strong>in</strong>stalliert werden.<br />
B. Falsch: Wenn Sie <strong>W<strong>in</strong>dows</strong> Update so konfigurieren, dass es Updates direkt von<br />
Microsoft herunterlädt, bekommt die IT-Abteilung nicht die Gelegenheit, diese<br />
Updates vor der Bereitstellung zu testen und zu genehmigen.<br />
C. Richtig: WSUS gibt der IT-Abteilung die Möglichkeit, Updates vor der Bereitstellung<br />
zu testen und zu genehmigen.<br />
D. Falsch: SMS wurde für Großunternehmen entwickelt, die komplexe Anforderungen<br />
an die Softwareverwaltung haben. Für Organisationen mit lediglich 100 Computern<br />
ist es meist zeitaufwendig und unnötig, SMS bereitzustellen.<br />
3. Richtige Antwort: D<br />
A. Falsch: Ältere <strong>W<strong>in</strong>dows</strong>-Versionen verwenden das Tool Update.exe, um Updates zu<br />
<strong>in</strong>stallieren. <strong>W<strong>in</strong>dows</strong> 7 benutzt stattdessen das e<strong>in</strong>gebaute Tool Wusa.exe.<br />
B. Falsch: Über Msiexec.exe können Sie <strong>W<strong>in</strong>dows</strong> Installer-Dateien mit der Erweiterung<br />
.msi <strong>in</strong>stallieren. Sie können Msiexec.exe aber nicht benutzen, um <strong>W<strong>in</strong>dows</strong> 7-<br />
Updates von Microsoft zu <strong>in</strong>stallieren.<br />
C. Falsch: Updates für ältere <strong>W<strong>in</strong>dows</strong>-Versionen wurden zwar <strong>in</strong> Form von .exe-<br />
Dateien veröffentlicht, aber Updates für <strong>W<strong>in</strong>dows</strong> 7 s<strong>in</strong>d ke<strong>in</strong>e ausführbaren Dateien.<br />
D. Richtig: <strong>W<strong>in</strong>dows</strong> 7-Updates werden als .msu-Dateien verteilt. <strong>W<strong>in</strong>dows</strong> 7 enthält<br />
das Befehlszeilentool Wusa.exe, mit dem Sie Updates aus e<strong>in</strong>er Batchdatei oder über<br />
die Befehlszeile <strong>in</strong>stallieren können.<br />
Kapitel 7: Übung mit Fallbeispiel<br />
Übung mit Fallbeispiel 1: Verteilen von Updates<br />
1. In so kle<strong>in</strong>en Büros ist es zwar nicht immer erforderlich, aber WSUS bietet die Möglichkeit,<br />
Updates zu testen und zu genehmigen, bevor sie bereitgestellt werden. Auch Configuration<br />
Manager 2007 bietet diese Möglichkeit, aber die nötige Infrastruktur und die<br />
Kosten s<strong>in</strong>d für e<strong>in</strong> so kle<strong>in</strong>es Netzwerk nicht zu rechtfertigen.<br />
2. Ja, auf e<strong>in</strong>em Server muss WSUS <strong>in</strong>stalliert werden. In diesem Fall können Sie dafür<br />
den <strong>W<strong>in</strong>dows</strong> Server 2008 R2-Computer verwenden.<br />
3. Ja, WSUS funktioniert mit <strong>W<strong>in</strong>dows</strong> XP- und <strong>W<strong>in</strong>dows</strong> 7-Clients.<br />
4. Sie können die Clientcomputer mit AD DS-Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen konfigurieren.
Übung mit Fallbeispiel 2: Überwachen von Updates<br />
Antworten 649<br />
1. WSUS listet auf, auf welchen Computern das Update nicht <strong>in</strong>stalliert ist.<br />
2. Ja, Sie können dafür das Tool MBSA verwenden, das als kostenloser Download von<br />
Microsoft zur Verfügung steht. Es durchsucht das Netzwerk und f<strong>in</strong>det alle Computer,<br />
auf denen das Update nicht <strong>in</strong>stalliert ist.<br />
3. Die Benutzer sollen <strong>in</strong> der Systemsteuerung auf Programme und dann unter Programme<br />
und Funktionen auf Installierte Updates anzeigen klicken. Nun können Sie <strong>in</strong> der angezeigten<br />
Liste nach der KB-Nummer des Updates suchen.<br />
Kapitel 8: Lernzielkontrolle<br />
Lektion 1<br />
1. Richtige Antworten: A, B und D<br />
A. Richtig: Auf dem Weiterleitungscomputer muss der Dienst <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung<br />
laufen, damit Ereignisse weitergeleitet werden.<br />
B. Richtig: Auf dem Sammelcomputer muss der Dienst <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung<br />
laufen, damit Ereignisse empfangen werden können.<br />
C. Falsch: Die Internet<strong>in</strong>formationsdienste s<strong>in</strong>d nicht erforderlich für den Dienst <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung,<br />
auch wenn die <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung <strong>in</strong> der Standarde<strong>in</strong>stellung<br />
HTTP für die Kommunikation e<strong>in</strong>setzt.<br />
D. Richtig: Der Weiterleitungscomputer muss e<strong>in</strong>gehende <strong>W<strong>in</strong>dows</strong>-Remoteverwaltungsverb<strong>in</strong>dungen<br />
annehmen. Daher muss e<strong>in</strong>e <strong>W<strong>in</strong>dows</strong>-Firewallausnahme aktiviert<br />
se<strong>in</strong>. Der Befehl w<strong>in</strong>rm quickconfig erledigt das automatisch.<br />
E. Falsch: Die Ereignisweiterleitung ist <strong>in</strong> der Standarde<strong>in</strong>stellung nicht aktiviert.<br />
2. Richtige Antwort: C<br />
A. Falsch: Sie können im Snap-In Ereignisanzeige Abonnements erstellen und verwalten.<br />
Aber die Ereignisanzeige ermöglicht es Ihnen nicht, e<strong>in</strong> benutzerdef<strong>in</strong>iertes<br />
Intervall e<strong>in</strong>zustellen. Dafür müssen Sie das Befehlszeilentool Wecutil verwenden.<br />
B. Falsch: Das <strong>W<strong>in</strong>dows</strong>-Remoteverwaltungs-Befehlszeilentool (W<strong>in</strong>rm) dient dazu,<br />
den Dienst <strong>W<strong>in</strong>dows</strong>-Remoteverwaltung zu konfigurieren. Sie können damit ke<strong>in</strong>e<br />
Abonnements verwalten.<br />
C. Richtig: Das <strong>W<strong>in</strong>dows</strong>-Ereignissammlungs-Dienstprogramm (Wecutil) ist das richtige<br />
Tool, um Abonnemente<strong>in</strong>stellungen zu ändern, die nicht im Snap-In Ereignisanzeige<br />
zur Verfügung stehen.<br />
D. Falsch: Das <strong>W<strong>in</strong>dows</strong>-Ereignisse-Befehlszeilendienstprogramm (Wevutil) dient<br />
dazu, Ereignisse und Ereignisprotokolle zu verwalten. Sie können damit ke<strong>in</strong>e<br />
Abonnements verwalten.<br />
3. Richtige Antwort: A<br />
A. Richtig: Bei der Option Wartezeit m<strong>in</strong>imieren beträgt das Intervall 30 Sekunden. Es<br />
kann aber länger dauern, bis Ereignisse synchronisiert werden. Das hängt von mehreren<br />
Faktoren ab, zum Beispiel muss unter Umständen erst der Dienst <strong>W<strong>in</strong>dows</strong>-<br />
Remoteverwaltung gestartet werden.
650 Antworten<br />
Lektion 2<br />
B. Falsch: Die Standarde<strong>in</strong>stellung Normal für Abonnements hat e<strong>in</strong> Zeitlimit von<br />
15 M<strong>in</strong>uten.<br />
C. Falsch: Bei der Option Wartezeit m<strong>in</strong>imieren beträgt das Intervall 30 Sekunden,<br />
nicht 30 M<strong>in</strong>uten.<br />
D. Falsch: Falls Sie die Option Bandbreite m<strong>in</strong>imieren wählen, beträgt die Standarde<strong>in</strong>stellung<br />
für das Intervall 6 Stunden.<br />
4. Richtige Antwort: D<br />
A. Falsch: Dieser Befehl wird nur <strong>in</strong> Arbeitsgruppenumgebungen benötigt. In e<strong>in</strong>er<br />
AD DS-Umgebung brauchen Sie den Befehl nicht auszuführen.<br />
B. Falsch: Dieser Befehl wird nur <strong>in</strong> Arbeitsgruppenumgebungen benötigt. Außerdem<br />
müssen Sie diesen Befehl auf dem Sammelcomputer ausführen, nicht auf dem<br />
Weiterleitungscomputer.<br />
C. Falsch: In e<strong>in</strong>er AD DS-Umgebung brauchen Sie die Gruppenmitgliedschaft auf<br />
dem Sammelcomputer nicht zu ändern.<br />
D. Richtig: Damit e<strong>in</strong> Abonnement mit der Standardauthentifizierungse<strong>in</strong>stellung des<br />
Computerkontos arbeiten kann, müssen Sie das Computerkonto des Sammelcomputers<br />
auf dem Weiterleitungscomputer zur lokalen Gruppe Ereignisprotokollleser<br />
h<strong>in</strong>zufügen.<br />
1. Richtige Antwort: A<br />
A. Richtig: Wenn e<strong>in</strong> Computer langsam läuft, sollten Sie den Task-Manager mit der<br />
Tastenkomb<strong>in</strong>ation STRG+ALT+ENTF starten. Sie können e<strong>in</strong>en Prozess entweder<br />
<strong>in</strong> der Registerkarte Anwendungen oder Prozesse beenden.<br />
B. Falsch: Sie können mit dem Systemkonfigurationsprogramm verh<strong>in</strong>dern, dass Programme<br />
oder Dienste automatisch gestartet werden. Sie können damit aber ke<strong>in</strong>e<br />
Programme beenden, die bereits laufen.<br />
C. Falsch: Sie können den Task-Manager nicht mit der Tastenkomb<strong>in</strong>ation ALT+TABU-<br />
LATOR öffnen. Diese Tastenkomb<strong>in</strong>ation dient dazu, zu e<strong>in</strong>er anderen Anwendung<br />
umzuschalten, die bereits läuft. Stattdessen müssen Sie die Tastenkomb<strong>in</strong>ation<br />
STRG+ALT+ENTF drücken.<br />
D. Falsch: Sie können mit dem Systemkonfigurationsprogramm ke<strong>in</strong>e Programme beenden,<br />
die bereits laufen.<br />
2. Richtige Antwort: C<br />
A. Falsch: Der Akkubetrieb hat ke<strong>in</strong>e Auswirkung auf die Fragmentierung der Festplatte.<br />
Er hat normalerweise überhaupt ke<strong>in</strong>en E<strong>in</strong>fluss auf die Festplattenleistung.<br />
B. Falsch: Solange genug Festplattenplatz frei ist, hat e<strong>in</strong>e große Auslagerungsdatei<br />
ke<strong>in</strong>e Auswirkung auf die Fragmentierung der Festplatte.<br />
C. Richtig: Wird auf e<strong>in</strong>er Festplatte der Platz knapp, muss <strong>W<strong>in</strong>dows</strong> neue Daten auf<br />
die noch verfügbaren Stellen verteilen, selbst wenn die gespeicherte Datei so groß<br />
ist, dass sie nicht vollständig an e<strong>in</strong>e e<strong>in</strong>zige freie Stelle passt. Die übrigen Teile werden<br />
an andere Stellen geschrieben, was die Fragmentierung bewirkt. Das Lesen und
Antworten 651<br />
Schreiben fragmentierter Dateien dauert länger als der Zugriff auf fortlaufend gespeicherte<br />
Dateien, weil der Schreib-/Lesekopf zwischen den Dateifragmenten h<strong>in</strong><br />
und her bewegt werden muss.<br />
D. Falsch: Flashlaufwerke können genauso wie herkömmliche, magnetische Festplatten<br />
fragmentiert werden. Diese Fragmentierung hat aber ke<strong>in</strong>en E<strong>in</strong>fluss auf die Leistung<br />
von Flashlaufwerken.<br />
3. Richtige Antworten: C und D<br />
A. Falsch: Die Algorithmen, mit denen <strong>W<strong>in</strong>dows</strong> 7 auf virtuellen Arbeitsspeicher zugreift,<br />
ändern sich nicht, während der Computer im Akkubetrieb läuft.<br />
B. Falsch: Der Arbeitsspeicherzugriff ist derselbe, unabhängig davon, ob e<strong>in</strong> Computer<br />
im Netz- oder Akkubetrieb läuft.<br />
C. Richtig: Drahtlosschnittstellen unterstützen oft e<strong>in</strong>en Energiesparmodus, der die<br />
Reichweite und Leistung verr<strong>in</strong>gert, während der Computer im Akkubetrieb läuft.<br />
Falls der Leistungse<strong>in</strong>bruch zu groß ist, können Sie die Leistungse<strong>in</strong>stellung anpassen.<br />
D. Richtig: In der Standarde<strong>in</strong>stellung verwendet <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>en Energiesparmodus,<br />
wenn es Video anzeigt, während der Computer im Akkubetrieb läuft. Sie können<br />
dieses Energiesparfeature <strong>in</strong> den erweiterten Energiee<strong>in</strong>stellungen deaktivieren.<br />
Kapitel 8: Übung mit Fallbeispiel<br />
Übung mit Fallbeispiel 1: Überwachen von Kioskcomputern<br />
1. Sie können die Ereignisweiterleitung von den Kioskcomputern auf Ihren Computer konfigurieren<br />
und lediglich das Ereignis weiterleiten, für das Sie sich <strong>in</strong>teressieren.<br />
2. Sie sollten die Bandbreitenoptimierungstechnik Wartezeit m<strong>in</strong>imieren wählen, weil es<br />
wichtig ist, dass Sie Benachrichtigungen über neue Ereignisse so schnell wie möglich<br />
erhalten. Die Zahl der Computer ist so kle<strong>in</strong>, dass der Bandbreitenverbrauch ke<strong>in</strong> Problem<br />
se<strong>in</strong> dürfte.<br />
3. Sie können e<strong>in</strong>e geplante Aufgabe mit e<strong>in</strong>em Trigger für die Ereignis-ID 4226 e<strong>in</strong>richten.<br />
Dann können Sie e<strong>in</strong>e Aktion für die geplante Aufgabe konfigurieren, die e<strong>in</strong>e<br />
E-Mail an Ihren Computer oder Ihr Mobiltelefon sendet.<br />
Übung mit Fallbeispiel 2: Behandeln e<strong>in</strong>es Leistungsproblems<br />
1. Die besten Tools, um die Ursache e<strong>in</strong>es Leistungsproblems zu ermitteln, s<strong>in</strong>d Task-<br />
Manager und Leistungsüberwachung. Mit jedem dieser Tools können Sie herausf<strong>in</strong>den,<br />
welcher Prozess am meisten Prozessorzeit und Arbeitsspeicher verbraucht. Dann können<br />
Sie diese Anwendung untersuchen und herausf<strong>in</strong>den, warum sie so viele Ressourcen<br />
benötigt.<br />
2. Leistungsprobleme, die sich erst nach e<strong>in</strong>iger Zeit zeigen, werden oft durch Speicherlecks<br />
verursacht. Bei e<strong>in</strong>em Speicherleck verbraucht e<strong>in</strong>e Anwendung immer mehr Ressourcen,<br />
je länger die Anwendung läuft. Theoretisch sollten ke<strong>in</strong>e Speicherlecks entstehen,<br />
weil e<strong>in</strong>e Anwendung alle Ressourcen freigeben muss, sobald sie nicht mehr<br />
benötigt werden. Aber manche Anwendungen, besonders selbstentwickelte Anwendungen,<br />
halten sich nicht an die Empfehlungen für saubere Programmierung; daher kann es<br />
vorkommen, dass diese Art Fehler auftritt.
652 Antworten<br />
Kapitel 9: Lernzielkontrolle<br />
Lektion 1<br />
Lektion 2<br />
1. Richtige Antwort: D<br />
A. Falsch: Diese Warnmeldung erhalten die Benutzer unabhängig davon, ob sie lokale<br />
Adm<strong>in</strong>istratoren s<strong>in</strong>d oder nicht. Damit die Meldung nicht mehr ersche<strong>in</strong>t, müssen<br />
Sie das Herausgeberzertifikat im Zertifikatspeicher Vertrauenswürdige Herausgeber<br />
bereitstellen.<br />
B. Falsch: Diese Warnmeldung erhalten die Benutzer unabhängig davon, ob sie Domänenadm<strong>in</strong>istratoren<br />
s<strong>in</strong>d oder nicht. Damit die Meldung nicht mehr ersche<strong>in</strong>t, müssen<br />
Sie das Herausgeberzertifikat im Zertifikatspeicher Vertrauenswürdige Herausgeber<br />
bereitstellen.<br />
C. Falsch: Sie brauchen das Herausgeberzertifikat nicht im Zertifikatspeicher Vertrauenswürdige<br />
Herausgeber zu <strong>in</strong>stallieren. Sie müssen vielmehr das Stammzertifikat<br />
für Contoso.com im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen<br />
<strong>in</strong>stallieren.<br />
D. Richtig: Die Warnmeldung ersche<strong>in</strong>t, weil die Clients nicht so konfiguriert s<strong>in</strong>d,<br />
dass sie Zertifikaten von Contoso.com vertrauen. Damit diese Meldung nicht mehr<br />
angezeigt wird, muss das Stammzertifikat für die Zertifizierungsstelle von Contoso.<br />
com auf allen Clientcomputern im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen<br />
<strong>in</strong>stalliert se<strong>in</strong>. Das erledigen Sie am besten mit Gruppenrichtl<strong>in</strong>ien.<br />
2. Richtige Antwort: C<br />
A. Falsch: Weil die Datei, die Sie blockieren wollen, e<strong>in</strong>e .msi-Datei ist, müssen Sie<br />
e<strong>in</strong>e <strong>W<strong>in</strong>dows</strong> Installer-Regel erstellen.<br />
B. Falsch: Weil Sie mehrere Versionen derselben Datei blockieren wollen, müssen Sie<br />
die Bed<strong>in</strong>gung Herausgeber verwenden. Die Bed<strong>in</strong>gung Dateihash identifiziert nur<br />
e<strong>in</strong>e e<strong>in</strong>zige Version der Datei.<br />
C. Richtig: Sie müssen e<strong>in</strong>e <strong>W<strong>in</strong>dows</strong> Installer-Regel erstellen, weil Sie e<strong>in</strong>e .msi-Datei<br />
blockieren wollen. Sie müssen die Bed<strong>in</strong>gung Herausgeber auswählen und konfigurieren,<br />
weil Sie mehrere Versionen derselben Datei blockieren wollen.<br />
D. Falsch: Weil Sie mehrere Versionen derselben Datei blockieren wollen, müssen Sie<br />
die Bed<strong>in</strong>gung Herausgeber verwenden. Die Bed<strong>in</strong>gung Dateihash identifiziert nur<br />
e<strong>in</strong>e e<strong>in</strong>zige Version der Datei.<br />
1. Richtige Antwort: A<br />
A. Richtig: In dieser Situation ist e<strong>in</strong>e Systemwiederherstellung s<strong>in</strong>nvoll. Sie macht das<br />
Update für <strong>W<strong>in</strong>dows</strong> rückgängig, nimmt aber ke<strong>in</strong>e anderen Änderungen am System<br />
vor.<br />
B. Falsch: Wenn Sie alte Benutzerdateien wiederherstellen, hat das ke<strong>in</strong>e Auswirkungen<br />
darauf, ob die Anwendung funktioniert. Sie müssen die Änderung rückgängig<br />
machen, die den Fehler der Anwendung verursacht hat.
Antworten 653<br />
C. Falsch: Die Ereignisweiterleitung ist nützlich, wenn Sie viele Computer auf e<strong>in</strong><br />
bestimmtes Ereignis oder e<strong>in</strong>en Satz Ereignisse überwachen wollen. In diesem Fall<br />
brauchen Sie nur e<strong>in</strong>e bestimmte Änderung am System rückgängig zu machen, aber<br />
ke<strong>in</strong> Ereignis überwachen.<br />
D. Falsch: Das Problem könnte behoben werden, wenn Sie die Anwendung neu <strong>in</strong>stallieren,<br />
vielleicht aber auch nicht. Da das <strong>W<strong>in</strong>dows</strong>-Update aber optional war, ist es<br />
am s<strong>in</strong>nvollsten, es e<strong>in</strong>fach zu entfernen. Die Installation des optionalen Updates war<br />
dafür verantwortlich, dass die Anwendung nicht mehr funktioniert.<br />
2. Richtige Antwort: A<br />
A. Richtig: Durch veraltete COM-Objekte verursachte Anwendungsfehler erkennen<br />
und Durch veraltete <strong>W<strong>in</strong>dows</strong>-DLLs verursachte Anwendungsfehler erkennen s<strong>in</strong>d<br />
die e<strong>in</strong>zigen Richtl<strong>in</strong>ien, die tatsächlich Informationen liefern, warum e<strong>in</strong>e Anwendung<br />
nicht läuft.<br />
B. Falsch: Wenn die Richtl<strong>in</strong>ie Über blockierte Treiber benachrichtigen aktiviert ist,<br />
wird der Benutzer benachrichtigt, wenn Treiber aufgrund von Kompatibilitätsproblemen<br />
blockiert werden. Die Richtl<strong>in</strong>ie hilft Ihnen nicht dabei herauszuf<strong>in</strong>den,<br />
warum e<strong>in</strong>e Anwendung nicht läuft.<br />
C. Falsch: Die Richtl<strong>in</strong>ie Anwendungs<strong>in</strong>stallationsfehler erkennen hilft herauszuf<strong>in</strong>den,<br />
warum e<strong>in</strong>e Anwendungs<strong>in</strong>stallation fehlschlägt. Im geschilderten Fall wurde die<br />
Anwendung aber bereits erfolgreich <strong>in</strong>stalliert.<br />
D. Falsch: Die Richtl<strong>in</strong>ie Anwendungs<strong>in</strong>stallationsprogramme erkennen, die als Adm<strong>in</strong>istrator<br />
ausgeführt werden müssen hilft herauszuf<strong>in</strong>den, warum e<strong>in</strong>e Anwendungs<strong>in</strong>stallation<br />
fehlschlägt. Im geschilderten Fall wurde die Anwendung aber<br />
bereits erfolgreich <strong>in</strong>stalliert.<br />
3. Richtige Antwort: B<br />
A. Falsch: 16-Bit-Anwendungen können <strong>in</strong> der 32-Bit-Version von <strong>W<strong>in</strong>dows</strong> 7 ausgeführt<br />
werden. Sie laufen allerd<strong>in</strong>gs nicht unter der 64-Bit-Version.<br />
B. Richtig: Wegen der neuen Benutzerkontensteuerung von <strong>W<strong>in</strong>dows</strong> 7 müssen Programme,<br />
die Adm<strong>in</strong>istratorprivilegien erfordern, so umgeschrieben werden, dass sie<br />
die Meldungen verarbeiten, die beim Ausführen adm<strong>in</strong>istrativer Aufgaben angezeigt<br />
werden.<br />
C. Falsch: Wegen des <strong>W<strong>in</strong>dows</strong>-Ressourcenschutzes von <strong>W<strong>in</strong>dows</strong> 7 fängt das Betriebssystem<br />
Anwendungsanforderungen ab, die <strong>in</strong> geschützte Bereiche der Registrierung<br />
schreiben wollen, und leitet die Schreiboperation stattdessen <strong>in</strong> e<strong>in</strong>en sicheren Bereich<br />
um. Weil <strong>W<strong>in</strong>dows</strong> 7 so entworfen wurde, dass es diese Umleitung automatisch<br />
vornimmt, s<strong>in</strong>d für solche Anwendungen wahrsche<strong>in</strong>lich ke<strong>in</strong>e Updates erforderlich,<br />
um unter <strong>W<strong>in</strong>dows</strong> 7 zu laufen.<br />
D. Falsch: Wegen des <strong>W<strong>in</strong>dows</strong>-Ressourcenschutzes von <strong>W<strong>in</strong>dows</strong> 7 fängt das Betriebssystem<br />
Anwendungsanforderungen ab, die <strong>in</strong> Systemdateien schreiben wollen,<br />
und leitet die Schreiboperation stattdessen <strong>in</strong> e<strong>in</strong>en sicheren Bereich um. Weil <strong>W<strong>in</strong>dows</strong><br />
7 so entworfen wurde, dass es diese Umleitung automatisch vornimmt, s<strong>in</strong>d für<br />
solche Anwendungen wahrsche<strong>in</strong>lich ke<strong>in</strong>e Updates erforderlich, damit sie unter<br />
<strong>W<strong>in</strong>dows</strong> 7 laufen.
654 Antworten<br />
Kapitel 9: Übung mit Fallbeispiel<br />
Übung mit Fallbeispiel 1: E<strong>in</strong>schränken von Software mit AppLocker<br />
1. Sie sollten die Bed<strong>in</strong>gung Herausgeber verwenden.<br />
2. Ne<strong>in</strong>, Sie können ke<strong>in</strong>e anderen <strong>W<strong>in</strong>dows</strong> Installer-Programme ausführen. Sobald Sie<br />
e<strong>in</strong>e Regel <strong>in</strong> AppLocker erstellt haben, werden alle Programme, für die der Regeltyp<br />
gilt (hier also <strong>W<strong>in</strong>dows</strong> Installer-Programme), blockiert, sofern sie nicht explizit erlaubt<br />
s<strong>in</strong>d.<br />
Übung mit Fallbeispiel 2: Konfigurieren von Anwendungskompatibilitätse<strong>in</strong>stellungen<br />
1. Sie sollten die Anwendungskompatibilitätse<strong>in</strong>stellungen des Programms so ändern, dass<br />
es im <strong>W<strong>in</strong>dows</strong> XP-Kompatibilitätsmodus läuft.<br />
2. Aktivieren Sie die Richtl<strong>in</strong>iene<strong>in</strong>stellung Anwendungs<strong>in</strong>stallationsfehler erkennen <strong>in</strong> den<br />
Gruppenrichtl<strong>in</strong>ien.
Glossar<br />
ActiveX E<strong>in</strong>e Technologie, die leistungsfähige<br />
Anwendungen mit komfortabler Benutzeroberfläche<br />
<strong>in</strong>nerhalb e<strong>in</strong>es Webbrowsers ausführen<br />
kann.<br />
Ausnahme E<strong>in</strong>e e<strong>in</strong>gehende Verb<strong>in</strong>dung, die<br />
durch e<strong>in</strong>e Firewall zugelassen wird. E<strong>in</strong>e typische<br />
Ausnahme ist mit e<strong>in</strong>em Port oder e<strong>in</strong>er<br />
Netzwerkanwendung verknüpft. Auch als Zulassen-Regel<br />
bezeichnet.<br />
Automatic Private IP Address (APIPA) E<strong>in</strong>e IP-<br />
Adressierungstechnik, die e<strong>in</strong>e Adresse im Bereich<br />
169.254.0.0 bis 169.254.255.255 zuweist.<br />
APIPA ermöglicht es Computern, die ke<strong>in</strong>e IP-<br />
Adresse<strong>in</strong>stellungen haben, über e<strong>in</strong> LAN zu<br />
kommunizieren.<br />
Basic Input/Output System (BIOS) Die Firmware<br />
im Computer, die mit der Ausführung beg<strong>in</strong>nt,<br />
sobald der Computer e<strong>in</strong>geschaltet wird. E<strong>in</strong><br />
BIOS umfasst e<strong>in</strong> Setupprogramm, das e<strong>in</strong>e Startreihenfolge<br />
festlegt. Damit wird gesteuert, <strong>in</strong> welcher<br />
Reihenfolge das BIOS die Geräte nach e<strong>in</strong>em<br />
Betriebssystem durchsucht. Das BIOS e<strong>in</strong>es Computers<br />
hat außerdem die Aufgabe, dem Betriebssystem<br />
bestimmte Hardwarefunktionen zugänglich<br />
zu machen, beispielsweise die Energieverwaltung<br />
(ACPI), das Starten aus dem Netzwerk<br />
oder von e<strong>in</strong>em USB-Gerät sowie das Hot-Swapp<strong>in</strong>g<br />
von Festplatten.<br />
Benutzerprofil Die Sammlung der Daten, aus<br />
denen die <strong>in</strong>dividuelle Umgebung des Benutzers<br />
besteht. Dazu gehören unter anderem die Dateien<br />
des Benutzers, Anwendungse<strong>in</strong>stellungen und<br />
Desktopkonfiguration.<br />
BitLocker-Laufwerkverschlüsselung E<strong>in</strong> <strong>W<strong>in</strong>dows</strong><br />
7-Feature, das das gesamte Systemvolume<br />
verschlüsseln kann. Es schützt so den Computer<br />
für den Fall, dass e<strong>in</strong> Angreifer die Betriebssystemsicherheit<br />
umgeht.<br />
Chkdsk E<strong>in</strong> Tool, mit dem Sie auf Festplatten<br />
nach Fehlern wie defekten Sektoren suchen und<br />
sie bei Bedarf reparieren können.<br />
Defragmentierung E<strong>in</strong> Tool, das die Dateifragmentierung<br />
verr<strong>in</strong>gert und die Leistung steigert.<br />
In <strong>W<strong>in</strong>dows</strong> 7 wird die Defragmentierung <strong>in</strong> der<br />
Standarde<strong>in</strong>stellung jeden Mittwochmorgen um<br />
1:00 ausgeführt.<br />
Druckerwarteschlange E<strong>in</strong>e Sammlung der<br />
Dokumente, die auf das Ausdrucken warten.<br />
655<br />
Ereignisweiterleitung Der Prozess, bei dem bestimmte<br />
Ereignisse von e<strong>in</strong>em Weiterleitungscomputer<br />
zu e<strong>in</strong>em Sammelcomputer weitergeleitet<br />
werden, wo e<strong>in</strong> Adm<strong>in</strong>istrator sie e<strong>in</strong>facher<br />
überwachen kann.<br />
Geschützter Modus E<strong>in</strong> Feature <strong>in</strong> Internet Explorers<br />
7.0 und <strong>W<strong>in</strong>dows</strong> Internet Explorer 8.0,<br />
das bewirkt, dass der Browser mit stark e<strong>in</strong>geschränkten<br />
Privilegien läuft. Das bietet Schutz<br />
sogar für den Fall, dass böswilliger Code auf<br />
e<strong>in</strong>er Website erfolgreich den Internet Explorer<br />
übernimmt.<br />
Hotspot E<strong>in</strong> Drahtlosnetzwerk für öffentliche<br />
Benutzung. Die meisten Hotspots haben ke<strong>in</strong>erlei<br />
Sicherheit. Bei manchen Hotspots müssen die<br />
Benutzer dafür zahlen, dass sie auf das Internet<br />
zugreifen können.<br />
Kompatibilitätsschicht des geschützten Modus<br />
E<strong>in</strong> Feature von Internet Explorer 7.0 und Internet<br />
Explorer 8.0, das <strong>in</strong> <strong>W<strong>in</strong>dows</strong> Vista oder<br />
<strong>W<strong>in</strong>dows</strong> 7 Anforderungen nach geschützten<br />
Ressourcen an sichere Speicherorte umleitet.<br />
Zum Beispiel werden alle Anforderungen nach<br />
dem Ordner Dokumente automatisch an \%User-<br />
Profile%\AppData\Local\Microsoft\<strong>W<strong>in</strong>dows</strong>\<br />
Temporary Internet Files\Virtualized umgeleitet.
656 Glossar<br />
Kritisches Update E<strong>in</strong> kle<strong>in</strong>es Update, das e<strong>in</strong><br />
e<strong>in</strong>zelnes Problem mit <strong>W<strong>in</strong>dows</strong> oder anderer<br />
Microsoft-Software beseitigt.<br />
Latenz In der Netzwerkkommunikation die<br />
Zeit, die e<strong>in</strong> Paket für den Weg zwischen Hosts<br />
braucht. Verb<strong>in</strong>dungen mit hoher Latenz haben<br />
nicht zwangsläufig zur Folge, dass Bandbreite<br />
oder Durchsatz s<strong>in</strong>ken. Aber die Latenz verursacht<br />
Probleme bei der Echtzeitkommunikation,<br />
zum Beispiel bei Voice over IP (VoIP).<br />
Listener E<strong>in</strong>e Konfigurationse<strong>in</strong>stellung, die<br />
bestimmte e<strong>in</strong>gehende Netzwerkkommunikation<br />
an e<strong>in</strong>e Anwendung weiterleitet.<br />
Malware E<strong>in</strong> Sammelbegriff für e<strong>in</strong>e Vielzahl<br />
unerwünschter Software, zum Beispiel Viren,<br />
Würmer, Spyware und Trojanische Pferde.<br />
Mandatory Integrity Control (MIC) E<strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7-<br />
Feature, das Prozesse, Ordner, Dateien und<br />
Registrierungsschlüssel mit e<strong>in</strong>er von vier Integritätszugriffsebenen<br />
kennzeichnet: System,<br />
Hoch, Mittel und Niedrig.<br />
Mehr-Faktoren-Authentifizierung Es werden zwei<br />
oder mehrere Authentifizierungstechniken gefordert,<br />
um die Anmelde<strong>in</strong>formationen e<strong>in</strong>es Benutzers<br />
zu überprüfen. Zum Beispiel müssen Benutzer<br />
e<strong>in</strong>e Smartcard e<strong>in</strong>legen und e<strong>in</strong> Kennwort<br />
e<strong>in</strong>tippen.<br />
Microsoft Systems Center Configuration Manager 2007<br />
(Configuration Manager 2007) Die bevorzugte Methode,<br />
um Software und Updates <strong>in</strong> großen <strong>Unternehmen</strong>snetzwerken<br />
zu verteilen. Configuration<br />
Manager 2007 bietet sehr flexible, zentralisierte<br />
Kontrolle über die Updatebereitstellung, mit der<br />
Möglichkeit, Clientsysteme zu überwachen und<br />
zu <strong>in</strong>ventarisieren.<br />
Namensauflösung Der Prozess, bei dem e<strong>in</strong><br />
Hostname <strong>in</strong> e<strong>in</strong>e IP-Adresse konvertiert wird.<br />
DNS (Doma<strong>in</strong> Name System) ist die bei Weitem<br />
gebräuchlichste Namensauflösungstechnik.<br />
Netzwerkstandort E<strong>in</strong>e von vier Sicherheitskategorien<br />
(Privat, Arbeitsplatz, Öffentlich oder Domäne),<br />
die jeder Netzwerkverb<strong>in</strong>dung zugewiesen<br />
wird.<br />
Neustart-Manager E<strong>in</strong> Feature von <strong>W<strong>in</strong>dows</strong><br />
Vista und <strong>W<strong>in</strong>dows</strong> 7, das es Programmen ermöglicht,<br />
sich mit <strong>W<strong>in</strong>dows</strong> abzustimmen, um<br />
Ressourcen freizugeben, die aktualisiert werden<br />
müssen. So bleibt die Zahl der Neustarts, die<br />
durch Updates ausgelöst werden, möglichst<br />
ger<strong>in</strong>g.<br />
Offl<strong>in</strong>edateien E<strong>in</strong> Feature von <strong>W<strong>in</strong>dows</strong>, mit<br />
dem Sie lokale Kopien von Dateien bereithalten,<br />
deren Orig<strong>in</strong>ale <strong>in</strong> e<strong>in</strong>er Netzwerkfreigabe gespeichert<br />
s<strong>in</strong>d. Wird die Verb<strong>in</strong>dung zum Netzwerk<br />
getrennt, können Sie diese lokalen Kopien<br />
öffnen und bearbeiten. Die lokale Kopie wird<br />
automatisch mit der Quelldatei <strong>in</strong> der Netzwerkfreigabe<br />
synchronisiert, sobald Sie später wieder<br />
die Verb<strong>in</strong>dung herstellen.<br />
Ordnerumleitung E<strong>in</strong> Feature <strong>in</strong> <strong>W<strong>in</strong>dows</strong>, das<br />
die üblichen Ordner e<strong>in</strong>es Benutzers transparent<br />
auf e<strong>in</strong> anderes Ziel umleitet. Beispielsweise<br />
können Sie mithilfe der Ordnerumleitung den<br />
lokalen Ordner Dokumente e<strong>in</strong>es Benutzers auf<br />
e<strong>in</strong>en persönlichen Ordner <strong>in</strong> e<strong>in</strong>er Netzwerkfreigabe<br />
umleiten.<br />
Pilotgruppe E<strong>in</strong>e kle<strong>in</strong>e Teilmenge der Computer<br />
<strong>in</strong> e<strong>in</strong>er Organisation, auf denen e<strong>in</strong> Update schon<br />
vor der allgeme<strong>in</strong>en Bereitstellung <strong>in</strong>stalliert wird.<br />
Verursacht e<strong>in</strong> Update e<strong>in</strong> Anwendungskompatibilitätsproblem,<br />
ist es wahrsche<strong>in</strong>lich, dass die<br />
Pilotgruppe die Inkompatibilität bemerkt, bevor<br />
mehr Benutzer betroffen s<strong>in</strong>d.<br />
Po<strong>in</strong>t-and-Pr<strong>in</strong>t Die Fähigkeit, Druckertreiber<br />
automatisch zu <strong>in</strong>stallieren.<br />
Problembehandlungspaket E<strong>in</strong> Satz Skripts, die<br />
über die <strong>W<strong>in</strong>dows</strong>-Problembehandlungsplattform<br />
Funktionen für <strong>W<strong>in</strong>dows</strong>-Ratgeber zur Verfügung<br />
stellen.<br />
Pull-Modus Bedeutet im Kontext der Ereignisweiterleitung,<br />
dass der Sammelcomputer e<strong>in</strong>e<br />
Verb<strong>in</strong>dung zum Weiterleitungscomputer e<strong>in</strong>leitet,<br />
um Ereignisse abzurufen.<br />
Push-Modus Bedeutet im Kontext der Ereignisweiterleitung,<br />
dass der Weiterleitungscomputer
e<strong>in</strong>e Verb<strong>in</strong>dung zum Sammelcomputer e<strong>in</strong>leitet,<br />
um Ereignisse zu senden.<br />
Qualitätssicherung (Quality Assurance, QA) E<strong>in</strong>e<br />
Abteilung <strong>in</strong>nerhalb e<strong>in</strong>er Organisation, die e<strong>in</strong>e<br />
Testumgebung mit Computern betreibt, die <strong>in</strong> den<br />
Standardkonfigurationen e<strong>in</strong>gerichtet s<strong>in</strong>d und die<br />
im <strong>Unternehmen</strong> e<strong>in</strong>gesetzten Anwendungen ausführen.<br />
Die Qualitätssicherung kann helfen, Probleme<br />
mit Updates vor der Bereitstellung aufzudecken.<br />
Rootkit E<strong>in</strong>e Form von Malware, die auf e<strong>in</strong>er<br />
niedrigeren Ebene läuft als das Betriebssystem.<br />
Rootkits s<strong>in</strong>d oft sehr schwierig oder sogar unmöglich<br />
zu erkennen.<br />
Ruhezustand E<strong>in</strong> Zustand, <strong>in</strong> dem ke<strong>in</strong> Strom<br />
verbraucht wird. Der Arbeitsspeicher<strong>in</strong>halt des<br />
Computers wird dabei auf Festplatte gespeichert,<br />
aber es dauert länger, den Computer wieder aufzuwecken.<br />
Sammelcomputer Der Computer, der <strong>in</strong> e<strong>in</strong>er<br />
Ereignisweiterleitung so konfiguriert ist, dass er<br />
Ereignisse entgegennimmt.<br />
Servergespeichertes Benutzerprofil E<strong>in</strong> persönliches<br />
Benutzerprofil, das <strong>in</strong> e<strong>in</strong>er Netzwerkfreigabe<br />
gespeichert ist und dem Benutzer unabhängig<br />
davon zur Verfügung steht, auf welchem<br />
Computer im Netzwerk er sich anmeldet.<br />
Service Pack E<strong>in</strong> umfangreiches Update, das<br />
viele Probleme mit <strong>W<strong>in</strong>dows</strong> oder anderer Microsoft-Software<br />
beseitigt. Service Packs enthalten<br />
meist Dutzende kritischer Updates und erweitern<br />
das Betriebssystem manchmal um neue Features.<br />
Service Set Identifier (SSID) Der Name e<strong>in</strong>es<br />
Drahtlosnetzwerks.<br />
Spyware Software, die heimlich auf e<strong>in</strong>em Computer<br />
<strong>in</strong>stalliert wird und Informationen über das<br />
Verhalten des Benutzers sammelt, normalerweise<br />
für Marktforschungszwecke.<br />
Standby E<strong>in</strong> Zustand mit ger<strong>in</strong>gem Stromverbrauch,<br />
aus dem der Computer <strong>in</strong>nerhalb weniger<br />
Sekunden aufwacht.<br />
Glossar 657<br />
Systemstartreparatur E<strong>in</strong> Tool, mit dem Sie viele<br />
häufige Fehler, die e<strong>in</strong>en Start von <strong>W<strong>in</strong>dows</strong> 7<br />
verh<strong>in</strong>dern, automatisch beseitigen können. Steht<br />
als E<strong>in</strong>trag <strong>in</strong> den Systemwiederherstellungsoptionen<br />
zur Verfügung.<br />
Systemwiederherstellungsoptionen E<strong>in</strong> Satz<br />
Wiederherstellungstools, die <strong>in</strong> der <strong>W<strong>in</strong>dows</strong>-<br />
Wiederherstellungsumgebung angeboten werden.<br />
Verschlüsselndes Dateisystem (Encrypt<strong>in</strong>g File System,<br />
EFS) E<strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7-Feature, das bestimmte<br />
Dateien und Ordner verschlüsselt. Es schützt so<br />
die Daten für den Fall, dass e<strong>in</strong> Angreifer die Betriebssystemsicherheit<br />
umgeht.<br />
Virus E<strong>in</strong> verstecktes Programm, das sich selbst<br />
vermehrt und <strong>in</strong>stalliert. Viren enthalten Code,<br />
der e<strong>in</strong>en Computer üblicherweise beschädigt<br />
oder kompromittiert. Viren benötigen e<strong>in</strong>en externen<br />
Mechanismus, um sich durch e<strong>in</strong> Netzwerk<br />
zu bewegen; das geschieht zum Beispiel oft über<br />
E-Mails.<br />
Vorgängerversionen E<strong>in</strong> Feature von <strong>W<strong>in</strong>dows</strong>,<br />
mit dem Sie ganz e<strong>in</strong>fach Vorgängerversionen<br />
von Dateien oder Ordnern wiederherstellen können,<br />
die <strong>in</strong> e<strong>in</strong>em Wiederherstellungspunkt oder<br />
e<strong>in</strong>er <strong>W<strong>in</strong>dows</strong>-Datensicherung gespeichert wurden.<br />
Wartungscenter E<strong>in</strong> Tool <strong>in</strong> <strong>W<strong>in</strong>dows</strong> 7, das als<br />
Ausgangspunkt für die Problembehandlung dient.<br />
Das Wartungscenter benachrichtigt den Benutzer<br />
über alle wichtigen Aktionen, die er ausführen<br />
soll, um die Funktionsfähigkeit und Integrität des<br />
Systems zu gewährleisten. Außerdem stellt es<br />
L<strong>in</strong>ks zu anderen Tools bereit, etwa Problembehandlungsmodule,<br />
die Zuverlässigkeitsüberwachung<br />
und die Systemwiederherstellung.<br />
Weiterleitungscomputer In e<strong>in</strong>er Ereignisweiterleitung<br />
der Computer, der Ereignisse auslöst.<br />
Wi-Fi Protected Access (WPA) E<strong>in</strong> Sicherheitsstandard<br />
für Drahtlosnetzwerke, der e<strong>in</strong>e Verbesserung<br />
gegenüber WEP darstellt, weil er die Daten<br />
viel besser schützt. WPA steht entweder als Wi-Fi<br />
Protected Access zur Verfügung, als WPA mit vor<strong>in</strong>stalliertem<br />
Schlüssel (WPA-PSK, auch als WPA-
658 Glossar<br />
Personal bezeichnet), bei dem e<strong>in</strong>e Passphrase für<br />
die Authentifizierung benutzt wird, oder als Wi-Fi<br />
Protected Access-Extensible Authentication Protocol<br />
(WPA-EAP, auch als WPA-Enterprise bezeichnet),<br />
bei dem Domänenanmelde<strong>in</strong>formationen<br />
oder e<strong>in</strong> Zertifikat für die Authentifizierung<br />
benutzt werden. WPA2 bietet gegenüber WPA<br />
bessere Sicherheit bei ähnlicher Funktionalität.<br />
<strong>W<strong>in</strong>dows</strong> Server Update Services (WSUS) E<strong>in</strong>e<br />
Version des Microsoft Update-Dienstes, den Sie<br />
<strong>in</strong> Ihrem privaten Netzwerk betreiben können.<br />
WSUS stellt e<strong>in</strong>e Verb<strong>in</strong>dung zur <strong>W<strong>in</strong>dows</strong> Update-Site<br />
her, lädt Informationen über verfügbare<br />
Updates herunter und fügt sie <strong>in</strong> e<strong>in</strong>e Liste der<br />
Updates e<strong>in</strong>, die von Adm<strong>in</strong>istratoren genehmigt<br />
werden müssen.<br />
<strong>W<strong>in</strong>dows</strong> XP Mode In <strong>W<strong>in</strong>dows</strong> 7 e<strong>in</strong>e herunterladbare<br />
Erweiterung für Virtual PC, mit der Sie<br />
transparent auf Programme zugreifen, die <strong>in</strong><br />
e<strong>in</strong>em virtuellen <strong>W<strong>in</strong>dows</strong> XP-Gastcomputer<br />
laufen. <strong>W<strong>in</strong>dows</strong> XP Mode setzt e<strong>in</strong>e CPU mit<br />
Intel-VT- oder AMD-V-Technologie voraus.<br />
<strong>W<strong>in</strong>dows</strong>-Ressourcenschutz E<strong>in</strong> Feature von<br />
<strong>W<strong>in</strong>dows</strong> Vista und <strong>W<strong>in</strong>dows</strong> 7, das Anforderungen<br />
durch Programme, die <strong>in</strong> geschützte<br />
Bereiche des Betriebssystems schreiben wollen,<br />
abfängt und <strong>in</strong> sichere Bereiche umleitet.<br />
<strong>W<strong>in</strong>dows</strong>-Speicherdiagnose E<strong>in</strong> Tool, mit dem<br />
das Hardware-RAM im System auf Defekte<br />
geprüft wird.<br />
<strong>W<strong>in</strong>dows</strong>-Start-Manager E<strong>in</strong> Menü, <strong>in</strong> dem Sie<br />
auswählen, welches Betriebssystem gestartet<br />
wird, sofern mehrere zur Verfügung stehen. Ist<br />
nur e<strong>in</strong> Betriebssystem verfügbar, können Sie den<br />
<strong>W<strong>in</strong>dows</strong>-Start-Manager anzeigen, <strong>in</strong>dem Sie<br />
während des Systemstarts wiederholt die LEER-<br />
TASTE drücken.<br />
<strong>W<strong>in</strong>dows</strong>-Wiederherstellungsumgebung E<strong>in</strong> <strong>W<strong>in</strong>dows</strong>-ähnliches<br />
Betriebssystem, das Sie e<strong>in</strong>setzen<br />
können, um <strong>W<strong>in</strong>dows</strong>-Probleme offl<strong>in</strong>e zu reparieren.<br />
In <strong>W<strong>in</strong>dows</strong> 7 erreichen Sie die <strong>W<strong>in</strong>dows</strong>-<br />
Wiederherstellungsumgebung über die Option<br />
Computer reparieren im erweiterten Startmenü.<br />
Außerdem können Sie die <strong>W<strong>in</strong>dows</strong>-Wiederherstellungsumgebung<br />
ausführen, <strong>in</strong>dem Sie von der<br />
<strong>W<strong>in</strong>dows</strong> 7-DVD starten.<br />
Wired Equivalent Protection (WEP) E<strong>in</strong> älterer<br />
Sicherheitsstandard für Drahtlosnetzwerke, der<br />
von e<strong>in</strong>em geschickten Angreifer schnell zu<br />
knacken ist.<br />
Wurm E<strong>in</strong> verstecktes Programm, das sich selbst<br />
vermehrt, <strong>in</strong>stalliert und verbreitet. Würmer nutzen<br />
Sicherheitslücken <strong>in</strong> Software aus, um e<strong>in</strong><br />
System zu kompromittieren.<br />
Zuverlässigkeitsüberwachung E<strong>in</strong> Tool <strong>in</strong> <strong>W<strong>in</strong>dows</strong><br />
7, mit dem Sie die Stabilität des lokalen<br />
Systems <strong>in</strong> der letzten Zeit analysieren können.
Stichwortverzeichnis<br />
6to4 256, 260<br />
802.1X-Authentifizierung 85, 140<br />
A<br />
Abbruchmeldungen 609<br />
Checkliste 626<br />
Hardware 625, 629<br />
Software 627<br />
Speicherabbilddateien 614<br />
Analysieren 619<br />
Erstellen, manuell 618<br />
Kernel 616<br />
Kle<strong>in</strong>e 615<br />
Typen 615<br />
Vollständige 617<br />
Überblick 609<br />
Vorbereitungen 623<br />
Abgesicherter Modus 490<br />
Ablaufverfolgung für Netzwerke, Problembehandlung 567<br />
Abstürze 18<br />
ACT (Application Compatibility Toolkit) 315f.<br />
ActiveX-Add-Ons 149–152<br />
ActiveX-Installerdienst 152f.<br />
ActiveX-Opt-In-Konfiguration 149f.<br />
ActiveX-Steuerelemente ausführen, die für Skripts sicher s<strong>in</strong>d<br />
151<br />
ActiveX-Steuerelemente <strong>in</strong>itialisieren und ausführen, die nicht als<br />
sicher für Skripts markiert s<strong>in</strong>d 151<br />
ActiveX-Steuerelemente und Plug<strong>in</strong>s ausführen 151<br />
AD DS-Domänen 302<br />
Add-Ons 148f.<br />
Ereignisabonnement 305–308<br />
HTTPS 308<br />
Weiterleitungscomputer 302ff.<br />
AD DS-Suche 109<br />
Add-Ons 146, 148<br />
ActiveX-Add-Ons 149–152<br />
ActiveX-Installerdienst 152f.<br />
AD DS-Domänen 148f.<br />
Aktivieren und Deaktivieren 147<br />
Ohne Add-Ons ausführen 148<br />
Adm<strong>in</strong>istratorbestätigungsmodus 204ff.<br />
Adm<strong>in</strong>istratoren, UAC-Benachrichtigungen 199f.<br />
Adm<strong>in</strong>istratorprivilegien 199<br />
Überprüfung 346f.<br />
Adware 198<br />
Aktivierung bzw. Deaktivierung von Add-Ons für Benutzer nicht<br />
zulassen 149<br />
Alle Add-Ons sperren, soweit diese nicht explizit <strong>in</strong> der Add-On-<br />
Liste aufgeführt s<strong>in</strong>d 148<br />
Alle Benutzer (Benutzerprofil) 428<br />
Alternativer Antragstellername 158f.<br />
Alternatives Host<strong>in</strong>g 314f.<br />
Änderungen am Betriebssystem, Anwendungskompatibilität 313<br />
659<br />
Anhebung 199, 205f.<br />
Anmeldee<strong>in</strong>schränkungen 133–137<br />
Anmeldeereignisse überwachen 137<br />
Anmelde<strong>in</strong>formationsverwaltung 131ff.<br />
Anmeldeversuche überwachen 137<br />
Anmeldung, automatisch 474<br />
Anmeldungszeiten 135<br />
Annahme von Clientverb<strong>in</strong>dungen zum Druckspooler erlauben<br />
109<br />
Antivirensoftware<br />
Mythen 196<br />
<strong>W<strong>in</strong>dows</strong>-Defender 213<br />
Anwendungen, Verb<strong>in</strong>dungsprobleme 589<br />
Anwendungsabhängigkeiten, Überprüfung 350<br />
Anwendungse<strong>in</strong>schränkungen, Überprüfung 350<br />
Anwendungsidentitätsdienst 356<br />
Anwendungs<strong>in</strong>stallation 371<br />
Fehler 3<strong>70</strong><br />
Anwendungskompatibilität 311, 313<br />
ACT (Application Compatibility Toolkit) 315f.<br />
Alternatives Host<strong>in</strong>g 314f.<br />
Änderungen am Betriebssystem 313<br />
Anwendungskompatibilitätsdiagnose und Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen<br />
316f.<br />
Sicherheitsverbesserungen 313<br />
<strong>W<strong>in</strong>dows</strong> 7, <strong>in</strong>tegrierte Kompatibilitätstools 313f.<br />
Anwendungskompatibilitätsdiagnose 316f.<br />
Anwendungskompatibilitätsmanager 369<br />
Anwendungsschichtprotokolle 267<br />
Anwendungsverb<strong>in</strong>dungsprobleme 62ff.<br />
API (Application Programm<strong>in</strong>g Interface) 364<br />
APIPA (Automatic Private IP Address) 58f.<br />
AppData (Benutzerprofil) 429<br />
Application Compatibility Toolkit Siehe ACT<br />
Application Compatibility Toolkit-Sammlung 369<br />
Application Programm<strong>in</strong>g Interface Siehe API<br />
AppLocker 302–305<br />
Arbeitsgruppenumgebungen, Ereignisweiterleitung 309<br />
Ausgehender Verkehr 382<br />
Ausnahmen 381, 386ff.<br />
Authentifizierung 130, 231<br />
Anmeldee<strong>in</strong>schränkungen 133–137<br />
Anmelde<strong>in</strong>formationsverwaltung 131ff.<br />
Def<strong>in</strong>ition 130f.<br />
Lernzielkontrolle 144f.<br />
Netzwerkprobleme 140<br />
Nicht vertrauenswürdige Computerkonten 142<br />
Nicht vertrauenswürdige Zertifizierungsstelle 140f.<br />
UAC-Kompatibilitätsprobleme 133<br />
Überwachung 137–140<br />
Automatic Private IP Address Siehe APIPA<br />
Automatisch (Verzögerter Start) 303<br />
Automatische Anmeldung 474<br />
Automatische Software<strong>in</strong>stallation 281ff.
660 Stichwortverzeichnis<br />
Automatische Synchronisierung 408f.<br />
Automatisierte Diagnose 502<br />
Autorisierung 231<br />
B<br />
Backdoor 198<br />
Basel<strong>in</strong>e 326<br />
Basic Input/Output System (BIOS) 35, 38<br />
Benachrichtigungen, aktivieren 3f.<br />
Benutzerdef<strong>in</strong>ierte Sammlungssätze 327f.<br />
Benutzerkonfiguration 283<br />
Benutzerkontensteuerung Siehe UAC (Benutzerkontensteuerung)<br />
Benutzerprofile 426ff.<br />
Änderungen 428–432<br />
Def<strong>in</strong>ition 426ff.<br />
Inkompatibilität, servergespeicherte Benutzerprofile 432ff.<br />
Berichte, Leistungsdaten 328f.<br />
Betriebssystemversion 364<br />
Bibliotheken 431f.<br />
Bidirektionaler Zugriff, DirectAccess 255<br />
Biometrische Verfahren 130f.<br />
BIOS Siehe Basic Input/Output System<br />
BitLocker-Laufwerkverschlüsselung 128, 176<br />
Aktivieren 179ff.<br />
Datenwiederherstellung 182f.<br />
Deaktivieren oder De<strong>in</strong>stallieren 184<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen 178<br />
Probleme 184f.<br />
Schlüsselverwaltung auf lokalen Computern 181f.<br />
TPM-Hardware (Trusted Platform Module) 176ff.<br />
USB-Flashlaufwerke 178<br />
Blockierte Dateien 543<br />
Blockierte Treiber 3<strong>70</strong><br />
Bluetooth 541<br />
BootRec.exe 479<br />
Browsen, Leistungsüberwachung 566<br />
C<br />
CDPs 261<br />
Chkdsk, Tool 525<br />
Def<strong>in</strong>ition 28<br />
Problembehandlung 28ff.<br />
Clientauthentifizierung 158<br />
Cliente<strong>in</strong>stellungen, IPv6 262<br />
Clientsoftware 228ff.<br />
Clientsysteme schützen (Malwareprobleme) 195ff.<br />
Erkannte Spyware 210f.<br />
Kapitelübungen 221<br />
Kapitelübungstest 222<br />
Lektionsübungen 216ff.<br />
Lernzielkontrolle 219f.<br />
Probleme beseitigen 214ff.<br />
Schlüsselbegriffe 220<br />
System<strong>in</strong>fektion 213f.<br />
Typen 197f.<br />
UAC 199<br />
Adm<strong>in</strong>istratorprivilegien 199<br />
Benachrichtigungen für Adm<strong>in</strong>istratoren 199f.<br />
Benachrichtigungen für Standardbenutzer 201<br />
Deaktivieren 207<br />
Clientsysteme schützen , UAC (Fortsetzung)<br />
Empfehlungen 207f.<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen konfigurieren 204–207<br />
Systemsteuerung, Konfiguration 202ff.<br />
Übung mit Fallbeispiel 220f.<br />
<strong>W<strong>in</strong>dows</strong>-Defender<br />
Empfehlungen 213<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen 211ff.<br />
Spyware 208ff.<br />
CMAK (Connection Manager Adm<strong>in</strong>istration Toolkit) 230<br />
Code Red, Wurm 274<br />
COM-Objekte 3<strong>70</strong><br />
Computerkonfiguration 282f.<br />
Computerkonten 142<br />
Configuration Manager 2007 275, 277<br />
Connection Manager Adm<strong>in</strong>istration Toolkit Siehe CMAK<br />
D<br />
Data Recovery Agent Siehe Datenwiederherstellungs-Agent<br />
Datei- und Druckerfreigabe 118<br />
Datei wiederherstellen 420–423<br />
Dateien, blockierte 543<br />
Dateien und E<strong>in</strong>stellungen verwalten 403<br />
Offl<strong>in</strong>edateien 403<br />
Anzeigen 411<br />
Automatische Synchronisierung 408f.<br />
Benutzen 406f.<br />
De<strong>in</strong>stallieren 408<br />
Festplattenplatz verwalten 415f.<br />
Gründe 406<br />
Grundlagen 403ff.<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen 417–423<br />
Manuelle Synchronisierung 409f.<br />
Offl<strong>in</strong>ebetrieb 410f.<br />
Synchronisierung verwalten 412ff.<br />
Übung 424f.<br />
Schlüsselbegriffe 446<br />
Servergespeicherte Benutzerprofile 426<br />
Benutzerprofile 426ff.<br />
E<strong>in</strong>stellungsoptionen für Ordnerumleitung 439f.<br />
Inkompatibilität 432ff.<br />
Ordnerumleitung 434ff.<br />
Ordnerumleitung konfigurieren 437f.<br />
Übung 441–445<br />
Verbesserungen bei Ordnerumleitung 436f.<br />
<strong>W<strong>in</strong>dows</strong> Vista 428–432<br />
Zielordner 438f.<br />
Dateifreigabe, net share, Befehl 554<br />
Dateisignaturverifizierung 533<br />
Datenauthentifizierung 228, 269<br />
Datensicherung, wiederherstellen 363<br />
Datenträger, DiskView 542<br />
Datenträger und Dateisysteme<br />
Datenträgerfehlerdiagnose 506<br />
Problembehandlung 524<br />
Datenträgerbere<strong>in</strong>igung 530<br />
Datenwiederherstellung 182f.<br />
Datenwiederherstellungs-Agent (DRA) 173–176<br />
Dauerhafte Verb<strong>in</strong>dung, DirectAccess 255<br />
Deaktiviertes Konto 136
Debugger 621, 625<br />
Defragmentierung 330f.<br />
Def<strong>in</strong>ition 30<br />
Problembehandlung 30f.<br />
DHCP-Server 233<br />
Diagnose, automatisiert 502<br />
Diagnose, e<strong>in</strong>gebaut 517<br />
Sammlungssätze 518<br />
Speicherdiagnose 519<br />
Zuverlässigkeitsüberwachung 517<br />
Dienste, Problembehandlung 490<br />
DirectAccess 223f., 254<br />
Cliente<strong>in</strong>stellungen, IPv6 262<br />
Infrastrukturfeatures 258–262<br />
IPv6-Internetfeatures konfigurieren 262<br />
Lernzielkontrolle 268<br />
Problembehandlung 264–267<br />
Überblick 254f.<br />
Übergangstechnologien 255–258<br />
Übung 267<br />
Verb<strong>in</strong>dungsprozess 263f.<br />
Vorteile 255<br />
DirectAccess-Clients 259f.<br />
DirectAccess-Server 258f., 265<br />
DiskView 542<br />
DLLs 3<strong>70</strong><br />
DNS-Cache<br />
Anzeigen <strong>70</strong><br />
Deaktivieren 71<br />
Löschen 71<br />
Verwalten <strong>70</strong><br />
DNS-Server (Doma<strong>in</strong> Name System) 232, 560, 594<br />
DirectAccess-Clients 266f.<br />
Dokumente 428<br />
Domäne-Firewallprofil 266, 385<br />
Domänencontroller 232f., 260<br />
Domänenumgebungen 599<br />
Downloads, Ordner (Benutzerprofil) 428<br />
DRA Siehe Datenwiederherstellungs-Agent<br />
Drahtloskonnektivitätsprobleme<br />
Drahtlosnetzwerkprofil 77f.<br />
Ereignisanzeige 93ff.<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen 78ff.<br />
Häufige Probleme 90–93<br />
Konfigurationsänderung 82f.<br />
Lernzielkontrolle 97f.<br />
Manuelle Verb<strong>in</strong>dung 76f.<br />
Priorität ändern 83<br />
Profiltypen konfigurieren 89f.<br />
Sicherheit 84ff.<br />
Skripts 80f.<br />
Übungen 95f., 101<br />
WPA-EAP-Sicherheit 86–89<br />
Drahtlosnetzwerkprofil<br />
Konfigurieren 89f.<br />
Manuell erstellen 77f.<br />
Drucker 103ff.<br />
Drucker-Problembehandlungsmodul 105f.<br />
Ereignisse überwachen 107f.<br />
Fallbeispiele 124f.<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen 108f.<br />
Stichwortverzeichnis 661<br />
Drucker (Fortsetzung)<br />
Kapitelübungen 125f.<br />
Kapitelübungstest 126<br />
Lektionsübungen 119ff.<br />
Netzwerkprobleme 115–118<br />
Schlüsselbegriffe 124<br />
Serverprobleme 109ff.<br />
Treiberprobleme 111–115<br />
Drucker verwalten 110<br />
Druckerereignisse, überwachen 107f.<br />
Druckerfreigabe<br />
Client, Freigabe 115f.<br />
Schritte 110<br />
Server, Freigabe 116–119<br />
Treiber h<strong>in</strong>zufügen 112ff.<br />
Übungen 119f.<br />
Druckertreiber<br />
Automatische Installation 109<br />
Druckerfreigabeclients 112ff.<br />
Druckserver 111f.<br />
Druckertreiber <strong>in</strong> isolierten Prozessen ausführen 108<br />
Druckerwarteschlange 110f.<br />
Druckserver 109<br />
Anforderungen 109f.<br />
Treiberupdates 111f.<br />
Druckwarteschlange 109f.<br />
E<br />
E/A, Ressourcenmonitor 504<br />
Editor 69<br />
EFS Siehe Verschlüsselndes Dateisystem<br />
Eigene Bilder 428<br />
Eigene Musik 428<br />
Eigene Videos 428<br />
E<strong>in</strong>gehende Ausnahmen 386ff.<br />
E<strong>in</strong>gehender Verkehr 381<br />
E<strong>in</strong>malanmeldung 131<br />
E<strong>in</strong>stellungen konfigurieren, Problembehandlungsmodule 13ff.<br />
Encrypt<strong>in</strong>g File System Siehe Verschlüsselndes Dateisystem<br />
Energiee<strong>in</strong>stellungen 332f.<br />
Ereignis überwachen, Drucker 107f.<br />
Ereignisablaufverfolgungssammlung 327<br />
Ereignisabonnement 305–308<br />
Def<strong>in</strong>ition 302<br />
Erstellen 305–308<br />
Sammelcomputerkonfiguration 304f.<br />
Ereignisanzeige 362<br />
Drahtlosverb<strong>in</strong>dungsprobleme 93ff.<br />
Problembehandlung 19f.<br />
Ereignisprotokoll 19, 398f.<br />
Ereignisprotokollleser 304<br />
Ereignisse<br />
Diagnose 518<br />
Netzwerkproblembehandlung 549<br />
Ereignisweiterleitung 301, 362, 375<br />
AD DS-Domänen 302<br />
Ereignisabonnement 305–308<br />
HTTPS 308<br />
Weiterleitungscomputer 302ff.<br />
Arbeitsgruppenumgebungen 309<br />
Lernzielkontrolle 316f.
662 Stichwortverzeichnis<br />
Ereignisweiterleitung (Fortsetzung)<br />
Problembehandlung 309–312<br />
Prozess 301f.<br />
Sammelcomputer <strong>in</strong> AD DS-Domänen 304f.<br />
Übungen 313–316<br />
Erkannte Spyware 210f.<br />
Erneut <strong>in</strong>stallieren, Software 363<br />
Externe Verb<strong>in</strong>dungen, Überprüfung 350<br />
F<br />
Fehlerhafte Treiber 16f.<br />
Fehlersuche, Problembehandlungsmodule 12f.<br />
Festplatte<br />
DiskView 542<br />
Problembehandlung 40f.<br />
Festplattenplatz verwalten 415f.<br />
Firewalls<br />
DirectAccess-Clients 266<br />
Konfiguration 117ff.<br />
Problembehandlung 607<br />
Flashlaufwerke 178, 330<br />
Forefront 213<br />
FQDN (Fully Qualified Doma<strong>in</strong> Name) 266f.<br />
Fragmentierung 330f.<br />
Freier Platz 330f.<br />
Fully Qualified Doma<strong>in</strong> Name Siehe FQDN<br />
G<br />
Geräte<br />
Geräte-Manager 512, 535<br />
SCSI 513<br />
Geräte und Drucker, Problembehandlungsmodul 9ff.<br />
Geräte-Manager, Problembehandlung 15ff.<br />
Geschützter Modus 154–157<br />
Gespeicherte Spiele, Ordner (Benutzerprofil) 429<br />
Globales IPv6 264ff.<br />
Grafische Tools, <strong>W<strong>in</strong>dows</strong> Update-Konfiguration 281<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>schränkungen, Internet Explorer 159f.<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen 78ff.<br />
Anwendungskompatibilitätsdiagnose 316f.<br />
BitLocker 178<br />
Drucker 108f.<br />
Offl<strong>in</strong>edateien 417–423<br />
Ordnerumleitung 436<br />
UAC deaktivieren 207<br />
UAC-Konfiguration 204–207<br />
<strong>W<strong>in</strong>dows</strong> Update-Konfiguration 281ff.<br />
<strong>W<strong>in</strong>dows</strong>-Defender 211ff.<br />
<strong>W<strong>in</strong>dows</strong>-Firewall 395ff.<br />
Gruppenrichtl<strong>in</strong>ienverwaltung, Konsole 437<br />
H<br />
Handle 542<br />
Hardware<br />
Abbruchmeldungen 625, 629<br />
Problembehandlung 501<br />
Diagnose, Probleme 510<br />
Prozess 508<br />
Verbesserungen <strong>in</strong> 7 501<br />
Hardware und Geräte, Problembehandlungsmodule 12<br />
Hardware und Sound, Problembehandlungsmodule 8<br />
Hardwarefehler<br />
Softwarefehler, Vergleich 34<br />
Zuverlässigkeitsüberwachungsdiagnose 18f.<br />
Hardware-Ratgeber 12f.<br />
Herausgeber, vertrauenswürdige 348f.<br />
H<strong>in</strong>tergrundsynchronisierung servergespeicherter Benutzerprofile<br />
431<br />
Host<strong>in</strong>g, alternatives 314f.<br />
Hotspots 47<br />
HTTP 301<br />
HTTPS 301, 308<br />
Hyper-V 368f.<br />
I<br />
IANA (Internet Assigned Numbers Authority) 224<br />
IKEv2 (Internet Key Exchange Version 2) 234f.<br />
Infektion (Malware) 213f.<br />
Infrastrukturfeatures, DirectAccess 258–262<br />
Inkompatibilität, servergespeicherte Benutzerprofile 432ff.<br />
Integrierte Kompatibilitätstools 313f.<br />
Integrierte Sammlungssätze 325f.<br />
Internet Assigned Numbers Authority Siehe IANA<br />
Internet Explorer 146<br />
ActiveX-Installerdienst, Übung 160f.<br />
Add-Ons 146<br />
ActiveX-Add-Ons 149–152<br />
ActiveX-Installerdienst 152f.<br />
AD DS-Domänen 148f.<br />
Aktivieren und Deaktivieren 147<br />
Ohne Add-Ons ausführen 148<br />
Geschützter Modus 154–157, 364<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>schränkungen 159f.<br />
Lernzielkontrolle 165f.<br />
Version 364<br />
Vertrauenswürdige Sites, Liste 154<br />
<strong>W<strong>in</strong>dows</strong> 7 (64-Bit-Versionen) 153<br />
Zertifikatprobleme 157ff.<br />
Zertifikatprobleme, Übungen 161–164<br />
Internet Key Exchange Version 2 (IKEv2) 234f.<br />
Internet Pr<strong>in</strong>t<strong>in</strong>g Protocol Siehe IPP<br />
Intranetserver, DirectAccess-Clients 266f.<br />
Intra-Site Automatic Tunnel<strong>in</strong>g Address<strong>in</strong>g Protocol<br />
Siehe ISATAP<br />
IpConfig 52f.<br />
Ipconfig, Tool für Netzwerkproblembehandlung 550<br />
IP-HTTPS 258, 260<br />
IPP (Internet Pr<strong>in</strong>t<strong>in</strong>g Protocol) 118<br />
IPSec 261<br />
IPv4 224<br />
IPv4-NAT 258<br />
IPv6 224, 260<br />
DirectAccess 264ff.<br />
E<strong>in</strong>stellungen 262<br />
Internetfeatures konfigurieren 262<br />
Problembehandlung 547<br />
IPv6-fähiges Netzwerk 260f.<br />
IPv6-NAT 258<br />
IPv6-Übergangstechnologien 255–258<br />
ISATAP (Intra-Site Automatic Tunnel<strong>in</strong>g Address<strong>in</strong>g Protocol)<br />
256
K<br />
Kennwortablauf 136<br />
Keylogger 198<br />
Kompatibilität, Softwareupdates 277f.<br />
Kompatibilität, Registerkarte 365ff.<br />
Kompatibilitätsprotokollierung 156<br />
Kompatibilitätsschicht, geschützter Modus 156<br />
Komplexe Verkehrstypen 383<br />
Konfiguration<br />
Hardware 513<br />
Speicherabbilddateien 615<br />
Speicherdiagnose 523<br />
Konfigurationsänderung, Drahtlosnetzwerke 82f.<br />
Konfigurationssammlung 328<br />
Konnektivitätsprobleme behandeln<br />
DirectAccess 264–267<br />
VPN-Clientverb<strong>in</strong>dungen 241<br />
Kontakte, Ordner (Benutzerprofil) 428<br />
Konten, nicht vertrauenswürdige 142<br />
Kontoablauf 137<br />
Kontosperrung 134f.<br />
Kritische Updates 277<br />
L<br />
L2TP (Layer 2 Tunnel<strong>in</strong>g Protocol) 236f.<br />
Latenz 53, 56<br />
Laufwerksprobleme, Leistung 329–332<br />
Layer 2 Tunnel<strong>in</strong>g Protocol (L2TP) 236f.<br />
Leistung 299f.<br />
Ablaufverfolgung 567<br />
Ereignisweiterleitung 301<br />
AD DS-Domänen, 302<br />
AD DS-Domänen, Ereignisabonnement 305–308<br />
AD DS-Domänen, HTTPS 308<br />
Arbeitsgruppenumgebungen 309<br />
Problembehandlung 309–312<br />
Prozess 301f.<br />
Sammelcomputer <strong>in</strong> AD DS-Domänen 304f.<br />
Übungen 313–316<br />
Weiterleitungscomputer <strong>in</strong> AD DS-Domänen 302ff.<br />
Fallbeispiele 340f.<br />
Problembehandlung 318, 595<br />
Datenträgerleistungsprobleme 329–332<br />
Energiee<strong>in</strong>stellungen 332f.<br />
Lernzielkontrolle 338<br />
Sammlungssätze und Berichte 325–329<br />
Systemkonfiguration 333f.<br />
Systemmonitor 322ff.<br />
Task-Manager 318–322<br />
Übungen 334–337<br />
Schlüsselbegriffe 339<br />
Übungen 342<br />
Übungstest 343<br />
Leistungs<strong>in</strong>dikatorensammlung 327<br />
Leistungs<strong>in</strong>dikatorenwarnung 328<br />
Leistungsüberwachung<br />
Netzwerke, Problembehandlung 565<br />
USB-Probleme 538<br />
L<strong>in</strong>ks, Ordner (Benutzerprofil) 429<br />
Listener 303<br />
Lizenz, Überprüfung 350<br />
Stichwortverzeichnis 663<br />
Local, Ordner (Benutzerprofil) 429<br />
LocalLow, Ordner (Benutzerprofil) 429<br />
Logotests 349<br />
Lokale Computer, Schlüsselverwaltung 181f.<br />
Lokale Sicherheitsrichtl<strong>in</strong>ie, Deaktivieren der UAC 207<br />
Lokaler Drucker, Übungen 121<br />
M<br />
Malwareprobleme 195ff.<br />
Erkannte Spyware 210f.<br />
Kapitelübungen 221<br />
Kapitelübungstest 222<br />
Lektionsübungen 216ff.<br />
Lernzielkontrolle 219f.<br />
Mythen 195f.<br />
Probleme beseitigen 214ff.<br />
Schlüsselbegriffe 220<br />
Softwareupdates 274<br />
System<strong>in</strong>fektion 213f.<br />
Typen 197f.<br />
UAC 199<br />
Adm<strong>in</strong>istratorprivilegien 199<br />
Benachrichtigungen für Adm<strong>in</strong>istratoren 199f.<br />
Benachrichtigungen für Standardbenutzer 201<br />
Deaktivieren 207<br />
Empfehlungen 207f.<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen konfigurieren 204–207<br />
Systemsteuerung, Konfiguration 202ff.<br />
Übung mit Fallbeispiel 220f.<br />
<strong>W<strong>in</strong>dows</strong>-Defender<br />
Empfehlungen 213<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen 211ff.<br />
Spyware 208ff.<br />
Mandatory Integrity Control Siehe MIC<br />
Manuelle Drahtlosverb<strong>in</strong>dungen 76f.<br />
Manuelle Problembehandlung, Netzwerkverb<strong>in</strong>dungen 60ff.<br />
Manuelle Software<strong>in</strong>stallation 280f.<br />
Manuelle Synchronisierung 409f.<br />
Mauseigenschaften 11<br />
Mause<strong>in</strong>stellungen 11<br />
Mausgeräte, Problembehandlung 15<br />
MBSA Siehe Microsoft Basel<strong>in</strong>e Security Analyzer<br />
Mehr-Faktoren-Authentifizierung 130<br />
MIC (Mandatory Integrity Control) 155<br />
Microsoft Basel<strong>in</strong>e Security Analyzer (MBSA) 284f.<br />
Microsoft Deployment Toolkit 279<br />
Microsoft Kerberos-SSP 301<br />
Microsoft Malware Protection Center 212<br />
Microsoft Onl<strong>in</strong>e Crash Analyzer (MOCA) 505<br />
Microsoft Outlook Web Access (OWA) 254<br />
Microsoft System Center Configuration Manager 2007 275, 277<br />
Microsoft Virtual PC 2007 368<br />
Microsoft Virtual Server 146<br />
Motherboard, Problembehandlung 37ff.<br />
N<br />
Nahtlose Konnektivität, DirectAccess 255<br />
Name Resolution Policy Table Siehe NRPT<br />
Namensauflösungsprobleme 68<br />
DNS-Cache anzeigen <strong>70</strong><br />
DNS-Cache deaktivieren 71
664 Stichwortverzeichnis<br />
Namensauflösungsprobleme (Fortsetzung)<br />
DNS-Cache löschen 71<br />
DNS-Cache verwalten <strong>70</strong><br />
Lernzielkontrolle 73f.<br />
Probleme 68ff.<br />
Übungen 71f., 101<br />
NAT (Network Address Translation) 258<br />
Natives IPv6 260<br />
Nblookup, Tool für Netzwerkproblembehandlung 551<br />
Nbtstat, Tool für Netzwerkproblembehandlung 552<br />
Net, Tool für Netzwerkproblembehandlung 554<br />
Netdom 142<br />
NetSetup.log-Datei 599<br />
netsh wlan connect, Befehl 81<br />
Netstat, Tool für Netzwerkproblembehandlung 555<br />
Network Address Translation Siehe NAT<br />
Network Monitor 557<br />
Netzteil, Problembehandlung 36f.<br />
Netzwerkadressenserver 260<br />
Netzwerkauthentifizierungsprobleme 140<br />
Netzwerkdrucker 103ff.<br />
Drucker-Problembehandlungsmodul 105f.<br />
Ereignisse überwachen 107f.<br />
Fallbeispiele 124f.<br />
Freigeben 110<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen 108f.<br />
Kapitelübungen 125f.<br />
Kapitelübungstest 126<br />
Lektionsübungen 119ff.<br />
Lernzielkontrolle 122f.<br />
Netzwerkprobleme 115–118<br />
Schlüsselbegriffe 124<br />
Serverprobleme 109ff.<br />
Treiberprobleme 111–115<br />
Netzwerke 47f.<br />
Drahtloskonnektivitätsprobleme 75<br />
Drahtlosnetzwerkprofil 77f.<br />
Ereignisanzeige 93ff.<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen 78ff.<br />
Häufige Probleme 90–93<br />
Konfigurationsänderung 82f.<br />
Lernzielkontrolle 97f.<br />
Manuelle Verb<strong>in</strong>dung 76f.<br />
Priorität ändern 83<br />
Profiltypen konfigurieren 89f.<br />
Sicherheit 84ff.<br />
Skripts 80f.<br />
Überblick 75f.<br />
Übungen 95f., 101<br />
WPA-EAP-Sicherheit 86–89<br />
Druckerprobleme 115–118<br />
Fallbeispiele 99<br />
Namensauflösungsprobleme 68<br />
DNS-Cache <strong>70</strong>f.<br />
Lernzielkontrolle 73f.<br />
Probleme 68ff.<br />
Übungen 71f., 101<br />
Netzwerkkonnektivitätsprobleme 49<br />
Anwendung 62ff.<br />
APIPA-Adresse 58f.<br />
Ipconfig 52f.<br />
Netzwerke, Netzwerkkonnektivitätsprobleme (Fortsetzung)<br />
Lernzielkontrolle 66f.<br />
Manuelle Problembehandlung 60ff.<br />
Netzwerkproblembehandlungswerkzeuge 52<br />
Nslookup 57f.<br />
PathP<strong>in</strong>g 54ff.<br />
P<strong>in</strong>g 53f.<br />
PortQry 56f.<br />
Probleme 60<br />
Übung 64ff.<br />
Übungen 100<br />
<strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose 49–52<br />
Problembehandlung<br />
Ablaufverfolgung 567<br />
Anwendungsverb<strong>in</strong>dungsprobleme 589<br />
ARP, Tool 547<br />
Ereignisanzeige 549<br />
Firewallprobleme 607<br />
Ipconfig, Tool 550<br />
Leistungsprobleme 595<br />
Leistungsüberwachung 565<br />
Namensauflösungsprobleme 592<br />
Nblookup, Tool 551<br />
Nbtstat, Tool 552<br />
Net, Tool 554<br />
Netstat, Tool 555<br />
Network Monitor, Tool 557<br />
Netzwerkerkennung 602<br />
Netzwerkverb<strong>in</strong>dungsprobleme 582<br />
Nslookup, Tool 559<br />
PathP<strong>in</strong>g, Tool 562<br />
P<strong>in</strong>g, Tool 5<strong>70</strong><br />
Portqry, Tool 571<br />
Ressourcenmonitor 569<br />
Route, Tool 573<br />
Task-Manager 576<br />
Telnet-Client 579<br />
Test TCP 580<br />
Tools 546<br />
<strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose 582<br />
Schlüsselbegriffe 99<br />
Netzwerkerkennung 602<br />
Netzwerkkarte, Problembehandlungsmodul 8<br />
Netzwerkkonnektivitätsprobleme 49<br />
APIPA-Adresse 58f.<br />
Lernzielkontrolle 66f.<br />
Netzwerkproblembehandlungswerkzeuge 52<br />
Ipconfig 52f.<br />
Nslookup 57f.<br />
PathP<strong>in</strong>g 54ff.<br />
P<strong>in</strong>g 53f.<br />
PortQry 56f.<br />
Probleme 60<br />
Anwendung 62ff.<br />
Manuelle Problembehandlung 60ff.<br />
Übung 64ff.<br />
Übungen 100<br />
<strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose 49–52<br />
Netzwerkproblembehandlungswerkzeuge 52<br />
Ipconfig 52f.<br />
Nslookup 57f.
Netzwerkproblembehandlungswerkzeuge (Fortsetzung)<br />
PathP<strong>in</strong>g 54ff.<br />
P<strong>in</strong>g 53f.<br />
PortQry 56f.<br />
Netzwerkrichtl<strong>in</strong>ienserver (NPS) 228, 233f.<br />
Netzwerkstandorte 383ff.<br />
Neue Computer, Software<strong>in</strong>stallation 279f.<br />
Neustart-Manager 287f.<br />
Nicht vertrauenswürdige Computerkonten 142<br />
Nicht vertrauenswürdige Zertifizierungsstelle 140f.<br />
NPS Siehe Netzwerkrichtl<strong>in</strong>ienserver<br />
NRPT (Name Resolution Policy Table) 259f.<br />
Nslookup 57f.<br />
Nslookup, Tool für Netzwerkproblembehandlung 559<br />
NTFS<br />
Chkdsk, Tool 528<br />
Selbstheilung 507<br />
F<br />
Öffentlich, Netzwerkfirewallprofil 385<br />
Öffentlicher Schlüssel 233<br />
Öffentliches Profil 429<br />
Offl<strong>in</strong>ebetrieb 410f.<br />
Offl<strong>in</strong>edateien 403<br />
Anzeigen 411<br />
Automatische Synchronisierung 408f.<br />
Benutzen 406f.<br />
Def<strong>in</strong>ition 403<br />
De<strong>in</strong>stallieren 408<br />
Festplattenplatz verwalten 415f.<br />
Gründe 406<br />
Grundlagen 403ff.<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen 417–423<br />
Manuelle Synchronisierung 409f.<br />
Offl<strong>in</strong>ebetrieb 410f.<br />
Synchronisierung verwalten 412ff.<br />
Übung 424f.<br />
Optionen, Registerkarte, Ordnerumleitung 439f.<br />
Ordner wiederherstellen 420–423<br />
Ordnerpfade 365<br />
Ordnerumleitung 434ff.<br />
Def<strong>in</strong>ition 434<br />
E<strong>in</strong>stellungen, Registerkarte Optionen 439f.<br />
Konfigurieren 437f.<br />
Verbesserungen 436f.<br />
Ordnerverschlüsselung 168<br />
Outlook Web Access 254<br />
OWA (Outlook Web Access) 254<br />
P<br />
PathP<strong>in</strong>g, Tool für Netzwerkproblembehandlung 54ff., 562<br />
Persönliches Zertifikat importieren 172f.<br />
Pilotbereitstellungsgruppe 278<br />
P<strong>in</strong>g, Tool für Netzwerkproblembehandlung 53f., 5<strong>70</strong><br />
PKI (Public Key Infrastructure) 233, 261<br />
Po<strong>in</strong>t-and-Pr<strong>in</strong>t 114f.<br />
Portqry, Tool für Netzwerkproblembehandlung 571<br />
PortQry, Tool für Netzwerkproblembehandlung 56f.<br />
PowerShell, Problembehandlungspaket 503<br />
PPTP (Po<strong>in</strong>t-to-Po<strong>in</strong>t Tunnel<strong>in</strong>g Protocol) 237<br />
Priorität ändern, Drahtlosnetzwerke 83<br />
Stichwortverzeichnis 665<br />
Privat und Arbeitsplatz, Netzwerkfirewallprofil 385<br />
Problembehandlung<br />
Bluetooth-Probleme 541<br />
DiskView 542<br />
Domänenbeitritt und -anmeldung 599<br />
e<strong>in</strong>gebaute Diagnose 517<br />
Sammlungssätze 518<br />
Speicherdiagnose 519<br />
Zuverlässigkeitsüberwachung 517<br />
Handle 542<br />
Hardware<br />
Diagnose, Probleme 510<br />
Prozess 508<br />
Laufwerksprobleme 524<br />
Process Monitor 543<br />
Systemwiederherstellung 535<br />
Tools 542<br />
Treiber<br />
Dateisignaturverifizierung 533<br />
Geräte-Manager 535<br />
Überprüfung 532<br />
Updates 531<br />
USB-Probleme 536<br />
Problembehandlungse<strong>in</strong>stellungen ändern 13f.<br />
Problembehandlungsmodule, Drucker 105f.<br />
Problembehandlungspakete, Def<strong>in</strong>ition 5<br />
Problembehandlungsplattform 502<br />
Process Monitor 543<br />
Profile<br />
Domäne, Firewall 266<br />
<strong>W<strong>in</strong>dows</strong>-Firewall 385<br />
Programmabbruch 322<br />
Programmkompatibilität, Problembehandlungsmodul 365f.<br />
Programmkompatibilitäts-Assistent 364f., 3<strong>70</strong>f.<br />
Prozesse, Ressourcenmonitor 504<br />
Prozessorzeit 320ff.<br />
Public Key Infrastructure Siehe PKI<br />
Pull-Modus 306<br />
Push-Modus 306<br />
Q<br />
Qualitätssicherung (QA) 277<br />
Quellcomputer 362<br />
Quellcomputer<strong>in</strong>itiierte Abonnements 304<br />
R<br />
Ra<strong>in</strong>s, Tim 573, 606<br />
RAM<br />
Problembehandlung 39f.<br />
<strong>W<strong>in</strong>dows</strong>-Speicherdiagnose 24–28<br />
Registrierung, Systemstart 461<br />
Remotedesktopdienste 369<br />
Remotezugriffsauthentifizierung 231<br />
Remotezugriffsverb<strong>in</strong>dungen 223f.<br />
DirectAccess 254<br />
Cliente<strong>in</strong>stellungen, IPv6 262<br />
Infrastrukturfeatures 258–262<br />
IPv6-Internetfeatures konfigurieren 262<br />
Lernzielkontrolle 268<br />
Problembehandlung 264–267<br />
Überblick 254f.
666 Stichwortverzeichnis<br />
Remotezugriffsverb<strong>in</strong>dungen, DirectAccess (Fortsetzung)<br />
Übergangstechnologien 255–258<br />
Übung 267<br />
Verb<strong>in</strong>dungsprozess 263f.<br />
Fallbeispiele 2<strong>70</strong>f.<br />
Schlüsselbegriffe 269<br />
Übungen 271<br />
Übungstest 271<br />
VPN-Clientverb<strong>in</strong>dungen 225<br />
Grundlagen 225–234<br />
Konnektivitätsprobleme behandeln 241<br />
Lernzielkontrolle 252f.<br />
Tunnelprotokolle 234–237<br />
Übungen 241–252<br />
Verb<strong>in</strong>dungsaufbau 238–241<br />
Remotezugriff-VPN-Infrastruktur 228–234<br />
Reparieren, Software 363<br />
Ressourcenmonitor 504, 569<br />
Richtl<strong>in</strong>ien für Softwaree<strong>in</strong>schränkung (SRP) 346, 351ff.<br />
Rootkit 176, 196, 198, 216<br />
Route, Tool für Netzwerkproblembehandlung 573<br />
Rout<strong>in</strong>eprüfungen 14<br />
Rout<strong>in</strong>g- und RAS-Dienste (RRAS) 228, 230f.<br />
RRAS Siehe Rout<strong>in</strong>g- und RAS-Dienste<br />
Ruhezustand 333<br />
RunSynchronous-Befehle 279<br />
S<br />
Sammelcomputer 362<br />
Def<strong>in</strong>ition 301<br />
Konfiguration 304f.<br />
Sammelcomputer <strong>in</strong> AD DS-Domänen 304f.<br />
Sammlungs<strong>in</strong>itiierte Abonnements 304<br />
Sammlungssätze 518, 567<br />
Leistung 325–329<br />
SAN-Liste 158f.<br />
SAT (Setup Analyses Tool) 369<br />
Schlüsselpaar 233<br />
Schlüsselverwaltung, auf lokalen Computern 181f.<br />
SCSI-Geräte 513<br />
Secure Socket Tunnel<strong>in</strong>g Protocol Siehe SSTP<br />
Secure Sockets Layer Siehe SSL<br />
Security <strong>Support</strong> Provider Siehe SSP<br />
Serverauthentifizierung 157<br />
Servergespeicherte Benutzerprofile 426f.<br />
Benutzerprofile 426ff.<br />
Inkompatibilität, servergespeicherte Benutzerprofile 432ff.<br />
<strong>W<strong>in</strong>dows</strong> Vista 428–432<br />
E<strong>in</strong>stellungsoptionen für Ordnerumleitung 439f.<br />
Inkompatibilität 432f.<br />
Ordner 429<br />
Ordnerumleitung 434ff.<br />
Konfigurieren 437f.<br />
Verbesserungen 436f.<br />
Übung 441–445<br />
Zielordner 438f.<br />
Serverprobleme, Drucker 109ff.<br />
Serverzertifikatrichtl<strong>in</strong>ie 153<br />
Service Pack 277<br />
Service Set Identifier Siehe SSID<br />
Setup Analyses Tool (SAT) 369<br />
Shockwave Flash 146<br />
Sicherer Desktop 205f.<br />
Sicherheit 127ff.<br />
Authentifizierung 130<br />
Anmeldee<strong>in</strong>schränkungen 133–137<br />
Anmelde<strong>in</strong>formationsverwaltung 131ff.<br />
Def<strong>in</strong>ition 130f.<br />
Lernzielkontrolle 144f.<br />
Netzwerkprobleme 140<br />
Nicht vertrauenswürdige Computerkonten 142<br />
Nicht vertrauenswürdige Zertifizierungsstelle 140f.<br />
UAC-Kompatibilitätsprobleme 133<br />
Überwachung 137–140<br />
Übungen 143f.<br />
BitLocker-Laufwerkverschlüsselung 176<br />
Aktivieren 179ff.<br />
Datenwiederherstellung 182f.<br />
Deaktivieren oder De<strong>in</strong>stallieren 184<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen 178<br />
Probleme 184f.<br />
Schlüsselverwaltung auf lokalen Computern 181f.<br />
TPM-Hardware (Trusted Platform Module) 176ff.<br />
USB-Flashlaufwerke 178<br />
DirectAccess 255<br />
Drahtlosnetzwerke 84ff.<br />
Drucker 109<br />
Fallbeispiele 190f.<br />
Internet Explorer 146<br />
ActiveX-Add-Ons 149–152<br />
ActiveX-Installerdienst 152f.<br />
ActiveX-Installerdienst, Übung 160f.<br />
Add-Ons 146<br />
Add-Ons aktivieren und deaktivieren 147<br />
Add-Ons <strong>in</strong> AD DS-Domänen 148f.<br />
Geschützter Modus 154–157<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>schränkungen 159f.<br />
Lernzielkontrolle 165f.<br />
Ohne Add-Ons ausführen 148<br />
Vertrauenswürdige Sites, Liste 154<br />
Zertifikatprobleme 157ff.<br />
Zertifikatprobleme, Übungen 161–164<br />
Schlüsselbegriffe 190<br />
Übungen 191f.<br />
Übungstest 193<br />
Verschlüsselndes Dateisystem (EFS)<br />
Datenwiederherstellungs-Agent (DRA) 173–176<br />
Eigene Zertifikat imports 172f.<br />
Weitere Benutzer 171f.<br />
Zertifikat erstellen und sichern 169ff.<br />
Verschlüsselung 167<br />
Lektionsübungen 185ff.<br />
Lernzielkontrolle 188<br />
Verschlüsselndes Dateisystem (EFS) 167f.<br />
WPA-EAP 86–89<br />
Sicherheitsverbesserungen<br />
Anwendungskompatibilität 313<br />
DirectAccess 255<br />
Signierte ActiveX-Steuerelemente 151, 153<br />
Skripts 80f.<br />
Softwareupdates 283f.<br />
Smartcards 130
Software erneut <strong>in</strong>stallieren 363<br />
Software reparieren 363<br />
Software Restriction Policies Siehe Richtl<strong>in</strong>ien für Softwaree<strong>in</strong>schränkung<br />
Software, Abbruchmeldungen 627<br />
Softwarefehler 34<br />
Software<strong>in</strong>stallation 278f.<br />
Automatische 281ff.<br />
E<strong>in</strong>stellungen 349<br />
Manuelle 280f.<br />
Neue Computer 279f.<br />
Problembehandlung 286ff.<br />
Skripts für Updates 283f.<br />
Speicherort 349<br />
Überprüfung 284ff.<br />
Update de<strong>in</strong>stallieren 288<br />
Software<strong>in</strong>stallationse<strong>in</strong>schränkungen 302–305<br />
Software<strong>in</strong>stallationsfehler 346<br />
AppLocker- und Installationse<strong>in</strong>schränkungen 302–305<br />
Installationsvoraussetzungen 300ff.<br />
Software<strong>in</strong>stallationsvoraussetzungen 300ff.<br />
Softwarelogo, Tests 349<br />
Softwareproblembehandlung 345<br />
Anwendungskompatibilität 311, 313<br />
ACT (Application Compatibility Toolkit) 315f.<br />
Alternatives Host<strong>in</strong>g 314f.<br />
Änderungen am Betriebssystem 313<br />
Anwendungskompatibilitätsdiagnose und Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen<br />
316f.<br />
Lernzielkontrolle 318ff.<br />
Sicherheitsverbesserungen 313<br />
Übung 317<br />
<strong>W<strong>in</strong>dows</strong> 7, <strong>in</strong>tegrierte Kompatibilitätstools 313f.<br />
Fallbeispiele 321ff.<br />
Installationsfehler 346<br />
AppLocker- und Installationse<strong>in</strong>schränkungen 302–305<br />
Installationsvoraussetzungen 300ff.<br />
Lernzielkontrolle 309ff.<br />
Übungen 305–309<br />
Konfigurationsprobleme 311ff.<br />
Schlüsselbegriffe 321<br />
Übungen 322f.<br />
Übungstests 323<br />
Softwareupdates 273ff.<br />
Anwendungsmethoden 275ff.<br />
De<strong>in</strong>stallieren 288<br />
Fallbeispiele 296f.<br />
Installation 278f.<br />
Automatische 281ff.<br />
Manuelle 280f.<br />
Neue Computer 279f.<br />
Problembehandlung 286ff.<br />
Skripts für Updates 283f.<br />
Überprüfung 284ff.<br />
Update de<strong>in</strong>stallieren 288<br />
Kapitelübungen 297<br />
Kapitelübungstest 297<br />
Kompatibilität 277f.<br />
Lektionsübungen 289–293<br />
Lernzielkontrolle 294<br />
Schlüsselbegriffe 295f.<br />
Stichwortverzeichnis 667<br />
Sounds, Startsound 474<br />
Speicherabbilddateien 614<br />
Analysieren 619<br />
Erstellen, manuell 618<br />
Kernel 616<br />
Kle<strong>in</strong>e 615<br />
Typen 615<br />
Vollständige 617<br />
Speicherdiagnose 505, 519<br />
Aufgabenplanung 521<br />
automatische Erkennung 520<br />
Konfigurieren 523<br />
Starten 521<br />
Tests 519<br />
SpyNet 212f.<br />
Spyware<br />
Def<strong>in</strong>ition 198<br />
Erkannte 210f.<br />
<strong>W<strong>in</strong>dows</strong>-Defender 208ff.<br />
SRP Siehe Richtl<strong>in</strong>ien für Softwaree<strong>in</strong>schränkung<br />
SSID (Service Set Identifier) 77f.<br />
SSL (Secure Sockets Layer) 301<br />
SSL-Zertifikate 158<br />
SSP (Security <strong>Support</strong> Provider) 301f.<br />
SSTP (Secure Socket Tunnel<strong>in</strong>g Protocol) 234ff.<br />
Standard User Analyzer (SUA) 369<br />
Standardbenutzer, UAC-Benachrichtigungen 201<br />
Standardprofil 429<br />
Standby 333<br />
Startkonfigurationsdaten (BCD) 448, 466, 468<br />
Startladeprogramm entfernen 473<br />
Startprotokollierung 488<br />
Startsound 474<br />
SUA (Standard User Analyzer) 369<br />
Suchvorgänge, Ordner (Benutzerprofil) 428<br />
Synchronisierung<br />
Automatische 408f.<br />
Manuelle 409f.<br />
Ordnerumleitung 435<br />
Synchronisierungscenter 412ff.<br />
Synchronisierungscenter 412ff.<br />
Systemabsturzermittlung deaktivieren 148<br />
System<strong>in</strong>fektion (Malware) 213f.<br />
Systemkonfiguration 333f.<br />
Systemkonfigurationsprogramm 334<br />
Systemmonitor, Problembehandlung 322ff.<br />
Systemstart 447<br />
Ablauf 34ff.<br />
Automatische Anmeldung 474<br />
Beschleunigen 475<br />
Dateien 465<br />
Debuggere<strong>in</strong>stellungen 473<br />
Fehler 20f.<br />
Geschw<strong>in</strong>digkeit 475<br />
Konfigurationse<strong>in</strong>stellungen 466<br />
neue Features 447<br />
Problembehandlung 473<br />
abgesicherter Modus 490<br />
Ablaufdiagramm 475, 485<br />
BootRec.exe 479<br />
Dateien manuell ersetzen 483
668 Stichwortverzeichnis<br />
Systemstart, Problembehandlung (Fortsetzung)<br />
fehlerhafte Treiber und Dienste 490<br />
letzte als funktionierend bekannte Konfiguration 487<br />
nach der Anmeldung 496<br />
Startprotokollierung 488<br />
Systemstartreparatur 475, 485<br />
Systemwiederherstellung 479, 488<br />
<strong>W<strong>in</strong>dows</strong> neu <strong>in</strong>stallieren 484<br />
Prozess 453<br />
Anfangsphase 454<br />
Anmeldephase 464<br />
Kernel-Ladephase 459<br />
Power-On Self Test-Phase 454<br />
<strong>W<strong>in</strong>dows</strong>-Startladeprogramm-Phase 458<br />
<strong>W<strong>in</strong>dows</strong>-Start-Manager-Phase 457<br />
Startladeprogramm entfernen 473<br />
Startsound 474<br />
Systemstartreparatur<br />
Def<strong>in</strong>ition 21<br />
Starten 21–24<br />
Systemstart, Problembehandlung 20f.<br />
Systemsteuerung<br />
Problembehandlungse<strong>in</strong>stellungen ändern 13f.<br />
UAC-Konfiguration 202ff.<br />
<strong>W<strong>in</strong>dows</strong>-Firewall 389ff.<br />
Systemsteuerung, Problembehandlungsmodule 7ff.<br />
Systemwartung, Problembehandlungsmodul 14<br />
Systemwiederherstellung 362f., 479, 488, 535<br />
Systemwiederherstellungsoptionen 21ff., 26<br />
Systemwiederherstellungstool 451<br />
T<br />
Task-Manager 318–322, 576<br />
TCPView 578<br />
Telnet-Client für Netzwerke, Problembehandlung 579<br />
Teredo 256f., 260<br />
Test TCP für Netzwerke, Problembehandlung 580<br />
TPM-Hardware (Trusted Platform Module) 176ff.<br />
Treiber<br />
Blockierte 3<strong>70</strong><br />
Problembehandlung<br />
Dateisignaturverifizierung 533<br />
Geräte-Manager 535<br />
Systemstart 490<br />
Überprüfung 532<br />
Updates 531<br />
Treiberprobleme, Drucker 111–115<br />
Trojanisches Pferd 197<br />
Trusted Platform Module Siehe TPM-Hardware<br />
Tunnel<br />
Def<strong>in</strong>ition 227, 269<br />
Protokolle 234–237<br />
VPN-Kapselung 226ff.<br />
U<br />
UAC 199<br />
Adm<strong>in</strong>istratorprivilegien 199<br />
Deaktivieren 207<br />
Empfehlungen 207f.<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen konfigurieren 204–207<br />
Systemsteuerung, Konfiguration 202ff.<br />
UAC (Benutzerkontensteuerung) 363f.<br />
Anwendungskompatibilität 371<br />
UAC-Benachrichtigungen<br />
Adm<strong>in</strong>istratoren 199f.<br />
Standardbenutzer 201<br />
UAC-Kompatibilitätsprobleme 133<br />
Übergangstechnologien 255–258<br />
Überprüfung<br />
Softwareupdates 284ff.<br />
<strong>W<strong>in</strong>dows</strong>-Defender 209f.<br />
Überwachung<br />
Authentifizierungsprobleme 137–140<br />
Druckerereignisse 107f.<br />
Überwachung, Knoten 392<br />
UIAccess 205f.<br />
Universal Resource Locator Siehe URL<br />
Unsignierte ActiveX-Steuerelemente 151, 153<br />
<strong>Unternehmen</strong>sverwaltungstools 109<br />
Updates, Mythen 196<br />
URL (Universal Resource Locator) 118<br />
USB-Laufwerke 178<br />
Problembehandlung 536<br />
User Account Control Siehe UAC (Benutzerkontensteuerung)<br />
V<br />
Verb<strong>in</strong>dungsaufbau<br />
DirectAccess 263f.<br />
VPN-Clientverb<strong>in</strong>dungen 238–241<br />
Verb<strong>in</strong>dungs-Manager 228, 230<br />
Verb<strong>in</strong>dungssicherheitsregeln 395<br />
Verkehrsverschlüsselung 157<br />
Verschlüsselndes Dateisystem (EFS) 167f.<br />
Datenwiederherstellungs-Agent (DRA) 173–176<br />
Persönliches Zertifikat importieren 172f.<br />
Schritte 168<br />
Weitere Benutzer 171f.<br />
Zertifikat erstellen und sichern 169ff.<br />
Verschlüsselung 167<br />
BitLocker 176<br />
Aktivieren 179ff.<br />
Datenwiederherstellung 182f.<br />
Deaktivieren oder De<strong>in</strong>stallieren 184<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen 178<br />
Probleme 184f.<br />
Schlüsselverwaltung auf lokalen Computern 181f.<br />
TPM-Hardware (Trusted Platform Module) 176ff.<br />
USB-Flashlaufwerke 178<br />
Lektionsübungen 185ff.<br />
Lernzielkontrolle 188<br />
Verschlüsselndes Dateisystem (EFS) 167f.<br />
Datenwiederherstellungs-Agent (DRA) 173–176<br />
Persönliches Zertifikat importieren 172f.<br />
Schritte 168<br />
Weitere Benutzer 171f.<br />
Zertifikat erstellen und sichern 169ff.<br />
Vertrauenswürdige ActiveX-Steuerelemente 152<br />
Vertrauenswürdige Herausgeber, Überprüfung 348f.<br />
Vertrauenswürdige Sites, Liste 154<br />
Virtual PC 2007 368<br />
Virtueller Arbeitsspeicher 331f.<br />
Virtuelles Privates Netzwerk Siehe VPN
Virus 197<br />
Vorgängerversionen 420–423<br />
VPN (Virtuelles Privates Netzwerk) 223<br />
VPN-Client 228ff.<br />
VPN-Clientverb<strong>in</strong>dungen 225<br />
E<strong>in</strong>schränkungen 254<br />
Grundlagen 225–234<br />
Konnektivitätsprobleme behandeln 241<br />
Lernzielkontrolle 252f.<br />
Tunnelprotokolle 234–237<br />
Übungen 241–252<br />
Verb<strong>in</strong>dungsaufbau 238–241<br />
VPN-Kapselung 226ff.<br />
VPN-Reconnect 234, 269<br />
VPN-Server 230f.<br />
W<br />
WAIK (<strong>W<strong>in</strong>dows</strong> Automated Installation Kit) 113<br />
Wartungscenter<br />
Def<strong>in</strong>ition 2<br />
Problembehandlung 2f.<br />
Warnungen 3f.<br />
Weiterleitungscomputer<br />
Def<strong>in</strong>ition 301<br />
Konfiguration 302ff.<br />
WEP (Wired Equivalent Protection) 84<br />
Wiedergeben von Audiodateien, Problembehandlungsmodul 7<br />
Wi-Fi Protected Access Siehe WPA<br />
<strong>W<strong>in</strong>dows</strong> 7, 64-Bit-Version 153, 364<br />
<strong>W<strong>in</strong>dows</strong> 7-Datenträgerbere<strong>in</strong>igung 330<br />
<strong>W<strong>in</strong>dows</strong> 7, <strong>in</strong>tegrierte Kompatibilitätstools 313f.<br />
<strong>W<strong>in</strong>dows</strong> 7-Hardwareproblembehandlungskomponenten 34–43<br />
Fallbeispiele 44f.<br />
Festplatte 40f.<br />
Hardwarefehler und Softwarefehler 34<br />
Lernzielkontrolle 43<br />
Motherboard 37ff.<br />
Netzteil 36f.<br />
RAM 39f.<br />
Schlüsselbegriffe 44<br />
Startprozess 34ff.<br />
Testen 41f.<br />
Übungen 46<br />
Übungstest 46<br />
<strong>W<strong>in</strong>dows</strong> 7-Hardwareproblembehandlungstools 2–33<br />
Chkdsk, Tool 28ff.<br />
Defragmentierung 30f.<br />
Ereignisanzeige 19f.<br />
Fallbeispiele 44f.<br />
Geräte-Manager 15ff.<br />
Kapitelübungen 46<br />
Kapitelübungstest 46<br />
Lektionsübungen 31f.<br />
Lernzielkontrolle 33<br />
Schlüsselbegriffe 44<br />
Systemstartreparatur<br />
Starten 21–24<br />
Systemstartfehler, Problembehandlung 20f.<br />
Wartungscenter 2f.<br />
Warnungen 3f.<br />
Stichwortverzeichnis 669<br />
<strong>W<strong>in</strong>dows</strong> 7-Hardwareproblembehandlungstools (Fortsetzung)<br />
<strong>W<strong>in</strong>dows</strong> 7-Problembehandlungsmodule 4f.<br />
E<strong>in</strong>stellungen konfigurieren 13ff.<br />
Geräte und Drucker, Problembehandlungsmodul 9ff.<br />
Hardware-Ratgeber 12f.<br />
Systemsteuerung, Problembehandlungsmodul 7ff.<br />
<strong>W<strong>in</strong>dows</strong>-Speicherdiagnose 24–28<br />
Zuverlässigkeitsüberwachung 17ff.<br />
<strong>W<strong>in</strong>dows</strong> 7-Kompatibilität, Überprüfung 348<br />
<strong>W<strong>in</strong>dows</strong> 7-Logo, Tests 349<br />
<strong>W<strong>in</strong>dows</strong> 7-Problembehandlungsmodule 4f.<br />
E<strong>in</strong>stellungen konfigurieren 13ff.<br />
Geräte und Drucker, Problembehandlungsmodul 9ff.<br />
Hardware-Ratgeber 12f.<br />
Systemsteuerung, Problembehandlungsmodul 7ff.<br />
<strong>W<strong>in</strong>dows</strong> Automated Installation Kit Siehe WAIK<br />
<strong>W<strong>in</strong>dows</strong> Media Player 146<br />
<strong>W<strong>in</strong>dows</strong> Server 2008 R2 107f.<br />
<strong>W<strong>in</strong>dows</strong> Server Update Services Siehe WSUS<br />
<strong>W<strong>in</strong>dows</strong> System Image Manager 279<br />
<strong>W<strong>in</strong>dows</strong> Update 196, 211, 286f.<br />
<strong>W<strong>in</strong>dows</strong> Update-Client 275f.<br />
<strong>W<strong>in</strong>dows</strong> XP, Wiederherstellungskonsole, Tools 476<br />
<strong>W<strong>in</strong>dows</strong> XP Mode 368, 375<br />
<strong>W<strong>in</strong>dows</strong>-Defender<br />
Empfehlungen 213<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen 211ff.<br />
Spyware 208ff.<br />
<strong>W<strong>in</strong>dows</strong>-Ereignissammlung 302, 362<br />
<strong>W<strong>in</strong>dows</strong>-Fehler 18<br />
<strong>W<strong>in</strong>dows</strong>-Fehlerberichterstattung (WER)<br />
Abbruchmeldungen 619<br />
Problembehandlung für Hardware und Treiber 501, 508<br />
<strong>W<strong>in</strong>dows</strong>-Fehlerberichterstattung, Systemsteuerung 619<br />
<strong>W<strong>in</strong>dows</strong>-Firewall 379<br />
Ausgehender Verkehr 382<br />
E<strong>in</strong>gehende Ausnahmen 386ff.<br />
E<strong>in</strong>gehender Verkehr 381<br />
Grundlagen 379–383<br />
Komplexe Verkehrstypen 383<br />
Konfigurieren 117ff.<br />
Netzwerkstandorte 383ff.<br />
Problembehandlung 389<br />
Ereignisprotokolle 398f.<br />
Gruppenrichtl<strong>in</strong>iene<strong>in</strong>stellungen 395ff.<br />
Protokolle 397f.<br />
Systemsteuerung 389ff.<br />
<strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit, Konsole<br />
392–395<br />
Zugelassene Programme (Ausnahmen) 391<br />
Profile 385<br />
Übungen 399–402<br />
Updates 302f.<br />
<strong>W<strong>in</strong>dows</strong>-Firewall mit erweiterter Sicherheit, Konsole 392–395<br />
<strong>W<strong>in</strong>dows</strong>-Netzwerkdiagnose 49–52, 582<br />
<strong>W<strong>in</strong>dows</strong>-Onl<strong>in</strong>edienst für Problembehandlung 502<br />
<strong>W<strong>in</strong>dows</strong>-Problembehandlungsplattform 4f., 502<br />
<strong>W<strong>in</strong>dows</strong>-Remoteverwaltung 302f., 362<br />
<strong>W<strong>in</strong>dows</strong>-Ressourcenschutz 364, 375<br />
<strong>W<strong>in</strong>dows</strong>-Sicherheit, Drucker 109
6<strong>70</strong> Stichwortverzeichnis<br />
<strong>W<strong>in</strong>dows</strong>-Speicherdiagnose 24<br />
Problembehandlung 24–28<br />
<strong>W<strong>in</strong>dows</strong>-Start-Manager 25<br />
<strong>W<strong>in</strong>dows</strong>-Speicherdiagnose 25f.<br />
<strong>W<strong>in</strong>dows</strong>-Wiederherstellungsumgebung (W<strong>in</strong>RE) 21f.<br />
W<strong>in</strong>RE Siehe <strong>W<strong>in</strong>dows</strong>-Wiederherstellungsumgebung<br />
Wired Equivalent Protection Siehe WEP<br />
WOTS 502<br />
WPA (Wi-Fi Protected Access) 85<br />
WPA2 85<br />
WPA-EAP-Sicherheit 85–89<br />
WPA-PSK 85<br />
WSUS (<strong>W<strong>in</strong>dows</strong> Server Update Services) 211f., 275ff.<br />
Wurm 196f., 274<br />
Wusa.exe 283f.<br />
Z<br />
Zertifikate 169– 173<br />
Zertifikatprobleme, Internet Explorer 157ff.<br />
Zertifikatserver 233<br />
Zertifikatsperrliste 234, 261<br />
Zertifizierungsstelle, nicht vertrauenswürdige 140f.<br />
Zielordner 438f.<br />
Zugelassene Programme (Ausnahmen) 391<br />
Zulassen-Regeln 381<br />
Zuverlässigkeit<br />
Ablaufverfolgung 567<br />
Treiber 507<br />
Zuverlässigkeitsüberwachung, Diagnose, Tool 517<br />
Zuverlässigkeitsüberwachung 17ff.<br />
Zwischenspeicher, permanente 530
Die Autoren<br />
Tony Northrup, MVP, MCSE, MCTS und CISSP, arbeitet als Consultant und<br />
Autor zum Thema Microsoft <strong>W<strong>in</strong>dows</strong>. Er wohnt <strong>in</strong> New London, Connecticut.<br />
Tony Northrup begann mit dem Programmieren, noch bevor <strong>W<strong>in</strong>dows</strong> 1.0<br />
erschien, hat sich aber <strong>in</strong> den letzten 15 Jahren auf die Adm<strong>in</strong>istration von und<br />
Entwicklung für <strong>W<strong>in</strong>dows</strong> konzentriert. Er hat rund 25 Bücher zu <strong>W<strong>in</strong>dows</strong>-<br />
Entwicklung, -Netzwerken und -Sicherheit geschrieben. Unter anderem ist Tony<br />
Northrup Koautor von <strong>W<strong>in</strong>dows</strong> 7 – Die technische Referenz, <strong>W<strong>in</strong>dows</strong> Vista –<br />
Die technische Referenz und <strong>W<strong>in</strong>dows</strong> Server 2008 – Network<strong>in</strong>g und Netzwerkzugriffsschutz.<br />
Wenn Tony Northrup gerade nicht arbeitet, fotografiert er gerne und ist auf Reisen. Er lebt<br />
mit se<strong>in</strong>er Freund<strong>in</strong> Chelsea, ihrer Tochter Madelyn und drei Hunden zusammen. Mehr über<br />
Tony Northrup erfahren Sie auf se<strong>in</strong>er privaten Website unter http://www.northrup.org und<br />
<strong>in</strong> se<strong>in</strong>em technischen Blog unter http://www.vistaclues.com.<br />
J.C. Mack<strong>in</strong>, MCITP, MCTS, MCSE, MCDST und MCT, arbeitet als Consultant,<br />
Schulungsleiter und Autor. Mit Microsoft-Netzwerken beschäftigt er sich<br />
seit Microsoft <strong>W<strong>in</strong>dows</strong> NT 4.0. Er ist Autor oder Koautor vieler Tra<strong>in</strong><strong>in</strong>gs von<br />
Microsoft Press (darunter für die Prüfungen <strong>70</strong>-291, <strong>70</strong>-642 und <strong>70</strong>-643) und<br />
des Buchs <strong>W<strong>in</strong>dows</strong> Essential Bus<strong>in</strong>ess Server 2008 Adm<strong>in</strong>istrator’s Companion.<br />
Wenn er nicht mit Computern arbeitet, wandert J.C. Mack<strong>in</strong> oft mit e<strong>in</strong>er<br />
Kamera bewaffnet durch geschichtsträchtige Städtchen <strong>in</strong> Europa.<br />
671