19.04.2023

Windows FAQs LAN

Zugriff auf Samba Freigeben
WLAN Verbindung
Netzwerkdiagnostic mit WinXP
TCP/IP Verbindung managen
W2k Ports über 5000 nutzen
Offline Dateien
VPN Zugriff
Windows Firewall
Teredo Tunnel
Windows NetzwerkProfile
Verbindungsdauer zwischen zugeordnetem Laufwerk und Netzwerkfreigabe
Opportunistic locking deaktivieren
NTLM-Authentifizierung beschränken
Links auf Netzwerkordner
Netzwerkumgebung PC Übersicht
sonstiges

Seitenanfang

Zugriff auf Samba Freigeben

für Vista und Windows 7

Vista verwendet NTLMv2 das zu Samba nicht kompatibel ist, es wird nur LM oder NTML unterstützt. Auf das ältere Verfahren kann man mittels des Registy Eintrags wechseln.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"lmcompatibilitylevel"=dword:00000001

ansonsten unter Verwaltung | Lokale Sicherheitsrichtlinien dann weiter Lokale Richtlinien/Sicherheitsoptionen | Netzwerksicherheit:LAN Manager-Authentifizierungsebene auf "LM und NTLM-Antwort senden".

Client in eine Domain aufnehmen

LOG Datei auf dem Client %SystemRoot%\debug\NetSetup.log

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"lmcompatibilitylevel"=dword:00000001

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters]
"DomainCompatibilityMode"=dword:00000001
"DNSNameResolutionRequired"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\parameters]
"EnableSecuritySignature"=dword:00000000
"RequireSecuritySignature"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
"DefaultEncryptionType"=dword:00000017

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"enablesecuritysignature"=dword:00000000
"requiresecuritysignature"=dword:00000000

---- nicht empfohlen, da es die Interoperabilität mit anderen Windows und Samba Versionen stört ----

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"RequireStrongKey"=dword:00000000
"RequireSignOrSeal"=dword:00000000

ab W2kSP4 ist das SMB-Signing hinzugekommen, was zu Problemen mit neuen Clients (Win7, Vista) und alten Servern führen kann. Die aktuellen Clients können dabei nicht auf die Freigaben der alten Server (Samba, W2k bis SP3) zugreifen.

SMB-Signing

Seitenanfang

WLAN Verbindung

- WLAN Profile anzeigen

netsh wlan show profiles * | findstr "SSID-Name"

- WLAN Schlüssel anzeigen

netsh wlan show profile name="<SSID-Name>" key=clear | findstr Schlüssel

WLAN Verbindungen unter Windows Netzwerk- und Freigabecenter nicht sichtbar

Der Windows Dienst Automatische WLAN-Konfiguration ist nicht gestartet oder deaktiviert worden.

net start WlanSvc

 

Seitenanfang

Netzwerkdiagnostic mit WinXP

unter Start|Ausführen

hcp://system/netdiag/dglogs.htm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\Connections\StatMon]
"ShowLanErrors"=dword:00000001

Seitenanfang

TCP/IP Verbindung managen

KB Artikel

- für Windows 2000, WinXP in der Eingabeaufforderung eingeben

netsh interface ip reset tcpreset.txt

- ab Vista

netsh interface ipv4 reset
netsh interface ipv6 reset

- WLAN Verbindung Einstellungen anzeigen

netsh wlan show all

- Schnittstelle mit dem Namen "Intel PRO-1000MT" auf DHCP setzen

netsh int ipv4 set address "Intel PRO-1000MT" dhcp

- IPv6 Einstellungen anzeigen

netsh int ipv6 show interface

Windows Server 2019 und Win10 ab 1703 erhält besseren TCP-Stack und HTTP/2

Get-NetTCPSetting -Setting Internet
...
CongestionProvider              : CUBIC
...

 

Seitenanfang

W2k Ports über 5000 nutzen

Fehlermeldung:WSAENOBUFS - no buffer space available (10055)

Lösung: mit dem Parameter wird W2k die Portadressen von 5000-65534 zugänglich gemacht.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"MaxUserPort"=dword:0000fffe

KB Q196271

Seitenanfang

Offline Dateien

%windir%\csc - Offline Datei Cache Ordner

Windows XP

Explorer | Extras | Ordneroptionen | Offlinedateien
mit gedrückter SHIFT + STRG Taste auf Dateien löschen klicken, neue Initialisierung wird eingeleitet
alte Verbindungen zu Servern werden entfernt.

Explorer | Extras | Ordneroptionen | Offlinedateien | Dateien löschen
beide Varianten wählen

Vista und Win7

REG ADD "HKLM\System\CurrentControlSet\Services\CSC\Parameters" /v FormatDatabase /t REG_DWORD /d 1 /f

KB 942974-Artikel

Offlinedateien für eine Freigabe deaktivieren

Freigegebene Ordner | Freigaben | Freigabe wählen Eigenschaften
Offlineeinstellungen
Keine Dateien oder Programme aus dem freigegebenen Ordner offline verfügbar machen: aktivieren

 

Seitenanfang

VPN Zugriff

Windows Client VPN mit IPSec

KEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
"ProhibitIpSec"=dword:00000001 - Windows versucht die Authentifizierung mittels Zertifikat
"ProhibitIpSec"=dword:00000000 - Windows Authentifizierung über PreShareKey

!!! nach dem ändern des Wertes ist ein Neustart nötig.

Seitenanfang

Windows Firewall

Windows Firewall Protokollierung

Systemsteuerung | Windows-Firewall | Erweiterte Einstellungen

Einstellungen festlegen
Windows-Firewall mit erweiterter Sicherheit markieren (obersten Eintrag) | Eigenschaften
Profil wählen | Protokollierung

Einstellungen anzeigen
Überwachung markieren

Seitenanfang

Teredo Tunnel

Technet Artikel

Teredo stellt einen IPv6 Tunnel über IPv4 zu einem Microsoft Server her, so das der Client über eine IPv6 Adresse erreichbar ist. Als Ziel-Port wird UDP 3544 benutzt. Wenn man in der Firewall UDP 3544 als Zielport blockiert, wird ein Teredo Tunnelaufbau verhindert.

- Status prüfen

netsh interface ipv6 show teredo

Status

dormant - Teredo wird zur Zeit nicht verwendet
qualified - in Verwendung, Aushandlung mit dem Teredo-Server abgeschlossen
probe - Aushandlung mit dem Teredo-Server abgeschlossen
offline - Teredo-Schnittstelle ist nicht aktiv

Typ

client - Standard Einstellung, Teredo aktiviert
enterpriseclient - Standard wenn Client Mitglied einer Domain ist
disabled - Teredo wurde deaktiviert

- Teredo deaktivieren

netsh interface ipv6 set teredo disable

- Teredo aktivieren

netsh interface ipv6 set teredo client
Seitenanfang

Windows NetzwerkProfile

Profilliste in der Registry

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles]
"Category"=dword:0000000x

Öffentliches Netzwerk = 0
Privates Netzwerk = 1
Domänennetzwerk = 2

mit der Powershell, NetzwerkProfilEinstellungen anzeigen / ändern

Get-NetConnectionProfile
...
InterfaceIndex   : 8
NetworkCategory  : Public
...
Set-NetConnectionProfile -InterfaceIndex 8 -NetworkCategory Private

Parameter für NetworkCategory
Domain
Private
Public

- das Netzwerk wird als öffentliches Netzwerk erkannt, folgende Dienste einstellen/neustarten.

Netzwerklistendienst - Automatisch
NLA - Automatisch (Verzögerter Start)

 

Seitenanfang

Verbindungsdauer zwischen zugeordnetem Laufwerk und Netzwerkfreigabe

MS Artikel

- Einstellung auf dem Netzwerk Server, automatisches Trennen der Netzwerk-Freigabe auf 120 Min setzen.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"autodisconnect"=dword:ffffffff

oder an der Eingabeaufforderung am Server net config server /autodisconnect:-1 ausführen, empfohlen wird die Registry Methode, da der net Befehl Seiteneffecte haben soll, laut MS.

- Einstellung auf dem Client, automatisches Trennen der Netzwerk-Freigabe auf zwei Stunden (120 Min x 60) setzen.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]
"KeepConn"=dword:0000ffff

 

Seitenanfang

Opportunistic locking deaktivieren

Opportunistic locking, sperrt Dateien beim bearbeiten im Netzwerk, so das Änderungen durch einen zweiten Bearbeiter nicht möglich ist.

MS Artikel, SMB Protokoll Übersicht, SMB1/2/3 de|aktivieren, Erkennen, Aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3

Die Sperren sind per Default aktiv. Das kann zu Problemen führen, wenn ein Programm Datenbanken zum bearbeiten auf einem Netzwerkshare bereitstellt. z.B. bei SFirm, div. Buchhaltungsprogramme mit Access MDB oder BDE Paradox Datenbanken.

Opportunistic locking lässt sich nur für SMB1 deaktivieren, deshalb muss man auch den Zugriff über SMB2 und höher deaktivieren.

- auf dem Client bis Win7

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb\Parameters]
"OplocksDisabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]
"KeepConn"=dword:0000ffff
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"AutoDisconnect"=dword:ffffffff
"SMB2"=dword:00000000
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled

- auf dem Server bis Win7 / 2008, Oplocks deaktivieren und SMB2 ausschalten.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"EnableOplocks"=dword:00000000
"AutoDisconnect"=dword:ffffffff
"SMB2"=dword:00000000

- Gruppenrichtlinien Einstellungen setzen
Default-Domain Policy oder eine neue Richtlinie auf im AD erstellen
Computerkonfiguration | Richtlinien | Windows-Einstellungen | Sicherheitseinstellungen | Kontorichtlinien | Kerberos-Richtlinien
Max. Gültigkeitsdauer des Benutzertickets in Stunden Standard (10) Ändern zu (24)
Max. Gültigkeitsdauer des Diensttickets in Minuten Standard (600) Ändern zu (1440)

Freigaben Policy für Clients oder auf dem Client unter Verwaltung | Lokale Sicherheitsrichtlinie
Computerkonfiguration | Richtlinien | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen
Microsoft-Netzwerk (Server): Leerlaufzeitspanne bis zum Anhalten der Sitzung: 99999 (Standard 15 Min)

- Freigaben Einstellungen anpassen
Computerverwaltung | Freigegebene Ordner | Freigaben | <Name der Freigebe> | Eigenschaften
Allgemein | Offlineeinstellunge
n
Keine Dateien oder Programme aus dem freigegebenen Ordner offline verfügbar machen: aktivieren

ab Windows 2012, mit der Powershell

- auf dem Server ab 2012

Get-SmbServerConfiguration | fl EnableOplocks, OplockBreakWait
Set-SmbServerConfiguration -EnableOplocks $false

Wenn SMBv2 aktiviert/deaktiviert wird, wird gleichzeitig auch SMBv3 aktiviert/deaktiviert. KB2696547

Oplocks (Default Einstellung), OplockBreakWait 10 - 180 Sek., bei einem kleineren Wert als 35 werden getrennteVerbindungen eher erkannt.

Set-SmbServerConfiguration -EnableOplocks $true
Set-SmbServerConfiguration -OplockBreakWait 35

SMBv2/SMBv3 und SMBv1 Status anzeigen

Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

SMBv2 und SMBv3 deaktivieren und SMBv1 auf dem Fileserver aktivieren.

Set-SmbServerConfiguration -EnableSMB2Protocol $false
Set-SmbServerConfiguration -EnableSMB1Protocol $true

bei der Ausführung der Befehle in der Powershell, werden folgende Registry Einträge gesetzt.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"EnableOplocks"=dword:00000000
"SMB2"=dword:00000000
"SMB1"=dword:00000001

- auf dem Client ab 2012

Oplocks auf dem Client deaktivieren

Set-SmbClientConfiguration -OplocksDisabled $true
Set-SmbClientConfiguration -UseOpportunisticLocking $false

bei der Ausführung der Befehle in der Powershell, werden folgende Registry Einträge gesetzt.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SmbMRx\Parameters]
"OplocksDisabled"=dword:00000001

aktuelle Einstellung anzeigen

Get-SmbClientConfiguration | fl OplocksDisabled, UseOpportunisticLocking

Oplocks (Default Client Einstellung)

Set-SmbClientConfiguration -OplocksDisabled $false
Set-SmbClientConfiguration -UseOpportunisticLocking $true

SMB Einstellungen auf dem Client Win7 Win8/8.1 ändern, dabei wird SMBv2 und SMBv3 deaktiviert.

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled

SMBv2 und SMBv3 aktivieren (Default Client Einstellung)

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto

SMBv1 aktivieren (Default Client Einstellung)

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto

SMB Connection prüfen

- auf dem Server

Get-SmbConnection

- auf dem Client

ab Win 8

dir \\<Server>\<Freigabe>
Get-SmbConnection -ServerName <Server>
ServerName          ShareName           UserName            Credential          Dialect             NumOpens
----------          ---------           --------            ----------          -------             --------
<Server>            <Freigabe>          DOM\<User>          DOM\<User>          3.02                11

unter Windows 7 / Server 2008 R2

sc.exe qc lanmanworkstation
[SC] QueryServiceConfig ERFOLG
SERVICE_NAME: lanmanworkstation TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\Windows\System32\svchost.exe -k NetworkService LOAD_ORDER_GROUP : NetworkProvider TAG : 0 DISPLAY_NAME : Arbeitsstationsdienst DEPENDENCIES : bowser : mrxsmb10 : mrxsmb20 : nsi SERVICE_START_NAME : NT AUTHORITY\NetworkService

 

Seitenanfang

NTLM-Authentifizierung beschränken

NTLM-Authentifizierung in dieser Domäne

- Überwachung aktivieren
Computerkonfiguration | Richtlinien | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen
Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen

- NTLMv1 deaktivieren
Compututerkonfiguration | Richlinien | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen
Netzwerksicherheit: LAN Manager-Authentifizierungsebene
nur NTLMv2-Antowrten senden. LM & NTLM verweigern

- LOG der NTLM Anfragen
Ereignisanzeige unter Anwendungs- und Dienstprotokolle | Microsoft | Windows | NTLM | Operational

Seitenanfang

Links auf Netzwerkordner

Link auf Netzwerkziel erstellen

mklink /D Verknüpfung \\Server\Ziel

- Fehlermeldung beim Zugriff mit dem Client

"Der symbolische Link kann nicht verfolgt werden, da der Linktyp deaktiviert ist"

Abhilfe schaft das Ausführen dieses Befehls auf dem Client (symbolischen Links für remote zu remote aktivieren)

fsutil behavior set symlinkevaluation R2R:1

- Status der Linktypen anzeigen

fsutil behavior query SymlinkEvaluation
(Defaulteinstellung)
Die symbolischen Links für lokal zu lokal sind aktiviert.
Die symbolischen Links für lokal zu remote sind aktiviert.
Die symbolischen Links für remote zu lokal sind deaktiviert.
Die symbolischen Links für remote zu remote sind deaktiviert.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem]
"SymlinkLocalToLocalEvaluation"=dword:00000001
"SymlinkLocalToRemoteEvaluation"=dword:00000001
"SymlinkRemoteToLocalEvaluation"=dword:00000000
"SymlinkRemoteToRemoteEvaluation"=dword:00000000
Seitenanfang

Netzwerkumgebung PC Übersicht

ab Windows 10 / Server 2016 werden PCs nicht mehr in der Netzwerkumgebung angezeigt. Da der Computersuchdienst auf SMBv1basiert und dieses Protokoll aus Sicherheits gründen deaktiviert/deinstalliert wurde, sind die Computer nicht mehr sichtbar.

Jetzt wird die Suche durch das WS-DISCOVERY Protokoll realisiert, dazu müssen die Dienste Funktionssuchanbieter-Host (FDPHost) und Funktionssuche-Ressourcenveröffentlichung (FDResPub) gestartet und am besten auf Automatisch (Verzögerter Start) gesetzt werden.

FDPHost - Netzwerkerkennungsanbieter für die Function Discovery (FD), Simple Services Discovery (SSDP), Web Services Discovery (WS-D) Protokoll.

FDResPub - Veröffentlicht Resourcen im Netzwerk

 

Seitenanfang

sonstiges

Seitenanfang

Fehlermeldung "nicht genügend Serverspeicher verfügbar"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
IRPStackSize = 50 (11 bis 50 decimal)
MaxMpxCt = 512 (50 bis 65535 decimal)
MaxWorkItems = 8192 
Size = 3
Seitenanfang

EventID 2017

Fehlermeldung
Protokollname: System
Quelle: srv
Ereignis-ID: 2017
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:Klassisch
Beschreibung:
Der Server konnte keinen nicht-ausgelagerten Poolspeicher reservieren, da die konfigurierte Grenze für die Reservierung von nicht-ausgelagertem Poolspeicher erreicht wurde.

WinXP

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"PagedPoolSize"=dword:ffffffff
"PoolUsageMaximum"=dword:0000003c
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters]
"SMB2"=dword:00000000

ab Vista, Win7, Win8

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters]
"Size"=dword:00000003

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"LargeSystemCache"=dword:00000001

Standardeinstellungen

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"LargeSystemCache"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"LargeSystemCache"=dword:00000001
Seitenanfang

Zugriff auf Netzlaufwerke trotz UAC Administrator Modus ermöglichen

- Der Benutzer hat Verbindungen zu Netzlaufwerken eingerichtet, die sind im UAC Administrator Modus nicht vorhanden. Das die Laufwerke auch im Administrator-Modus erhalten bleiben, den folgenden RegistryKey setzen.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]´
"EnableLinkedConnections"=dword:00000001
Seitenanfang

Netzwerkzugriff von Vista auf XP

der Zugriff auf Netzwerkfreigaben kann scheitern, wenn die Uhrzeit des Vista-PCs und die des XPs sich zu sehr unterscheiden. Möglichst nicht mehr wie 2Tage, nach erfolgreicher Anpassung gelingt auch der Zugriff wieder.

Seitenanfang

Netzwerk Verbindungs Status

Netzwerkverbindungs-Statusanzeige - Network Connection Status Indicator (NCSI)

http://www.msftncsi.com/ncsi.txt - wenn die TXT Datei auf dem Server nicht erreicht wird, wird im Browser beim Anmelden probiert, ob die MSN Seite erreichbar ist.

Die Datei ncsi.txt liefert nur den folgenden Inhalt zurück.

Microsoft NCSI

Network Connectivity Status Indicator and Resulting Internet Communication

- per Registry kann das Verhalten deaktiviert werden

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet]
"EnableActiveProbing"=dword:00000000

- Server für Benutzererfahrung und Telemetrie Daten

v10.vortex-win.data.microsoft.com
settings-win.data.microsoft.com