Einfanghilfe
Eigentlich ist das Vernetzen von (Windows-)PCs ganz einfach. Dennoch hat Microsoft in Windows 7 weitere Hilfestellungen eingebaut und trotzdem hakt es noch, besonders wenn auch ältere Windows-Versionen im Spiel sind. Mit etwas Geschick gelingt das Einfangen der PCs im Netz.
- Peter Siering
Die in Windows eingebauten Netzwerkfunktionen bestehen aus einer Vielzahl von Zahnrädern, die ineinandergreifen müssen. Klemmt nur eines, misslingt das Austauschen von Dateien, der Zugriff auf den Drucker oder der Rückgriff auf die MP3-Dateien. Die Krux: Je älter eine Windows-Installation ist, desto wahrscheinlicher hat schon mal jemand wohlmeinend in die Innereien gegriffen, zur Optimierung Dienste abgeschaltet, eine persönliche Firewall installiert oder wegen anhaltender Probleme an Einträgen in der Registry geschraubt.
Deshalb gibt es für Probleme, die bei Vernetzungsversuchen auftreten, keinen sicheren Ausgangspunkt – kein Normal-Null. Entsprechend bietet es sich an, spätestens nach einem gescheiterten Schnellversuch die Sache systematisch anzugehen, um nicht zu viele Baustellen gleichzeitig zu eröffnen. Ewiges Herumgeklicke und ungeduldiges Beobachten der Netzwerkumgebung bringen nur Frust.
Grundordnung
Ein paar Überlegungen sind im Vorfeld sinnvoll, damit sich die Dateien nicht über mehrere Rechner verteilen und am Ende in der denkbar unglücklichsten Ecke liegen, nämlich dem langsam, nur per WLAN angebundenen PC. In einem dauerhaft genutzten Netz guckt man im Zweifelsfall ein System, das am ehesten verfügbar ist, als Server aus.
Nicht alles, was bequem scheint, ist auch praktisch: Windows selbst sieht für den Datenaustausch von Benutzern untereinander und auch im Netz einen gemeinsamen Ordner vor. An den darf jeder ran, also auch der Mieter im Hotelzimmer nebenan, wenn man das Netbook mit Windows XP Home auf Reisen als Begleiter mitnimmt.
Vorsichtige Zeitgenossen richten für den Datenaustausch im Netz einen eigenen Ordner ein, kopieren die auszutauschenden Dateien dorthin und löschen sie anschließend wieder. Diese Methode hat viele Vorteile. Potenzielle Nachbarn finden in den Freigaben keine Daten. Und, viel wichtiger: Wohl überlegt gesetzte Zugriffsrechte für die Dateien werden dank des Kopierens für die Freigabe nicht angerührt, was die Windows-Assistenten bei direkter Freigabe durchaus täten.
Das systematische Konfigurieren des Netzes ist unabhängig von der jeweiligen Windows-Version. Die beteiligten Rechner müssen für das gemeinsame Netz konfiguriert sein und einander erreichen. Im Idealfall gibt es einen Router, der gleichzeitig die Verbindung zum Internet herstellt und die an (s)einen Switch angeschlossenen oder per WLAN verbundenen Rechner mit einer IP-Adresse versorgt (DHCP).
Mehr Aufwand entsteht in einem nur mal eben zusammengestöpselten Netzwerk. Sind die PCs per Kabel direkt miteinander oder, etwa auf einer LAN-Party, über einen nur temporär in Betrieb genommenen Switch vernetzt, muss man sich womöglich von Hand darum kümmern, dass sie überhaupt miteinander reden.
Besonders für die Ad-hoc-Vernetzung ist es eine zünftige Idee, in einen 8-Euro-Router aus dem Versandhandel zu investieren. Der ist zwar eigentlich dazu gedacht, ein Netz mit dem Internet zu verbinden, leistet aber auch so gute Dienste. Der enthaltene DHCP-Server verteilt IP-Adressen und der oftmals vorhandene Switch genügt auch für kleine Netze.
IP-TÜV
Sowohl beim Betrieb mit Router/DHCP-Server als auch bei der manuellen Konfiguration sollten alle zu vernetzenden PCs eine IP-Adresse aus demselben Netz erhalten, also Adressen nach dem Muster 192.168.1.1, 192.168.1.2, 192.168.1.3 und so weiter nutzen – hier unterscheidet sich in der Regel nur die letzte Stelle. Alternativ, nämlich ohne DHCP-Server und ohne die Vergabe fester Adressen, können die PCs sich auch selbst Adressen suchen (APIPA). Die lauten dann 169.254.x.y – die letzten beiden Stellen variieren dabei.
Ob grundlegende Einigkeit der zu vernetzenden Rechner über die IP-Konfiguration besteht, lässt sich zunächst mit dem ping-Befehl prüfen. Auf einem System mit der IP-Adresse eines anderen aufgerufen, sollte er keine Fehlermeldungen, sondern Antwortpakete ausgeben. Gekürzt sieht die Ausgabe eines erfolgreichen ping-Aufrufs in der Eingabeaufforderung so aus:
C:\Users\peter>ping 192.168.1.11
Ping wird ausgeführt für 192.168.1.11:
Antwort von 192.168.1.11: Bytes=32 Zeit
Ping-Statistik für 192.168.1.11:
Pakete: Gesendet = 4, Empfangen = 4
Kommen keine Antworten, ist die Wahrscheinlichkeit groß, dass auch alles Weitere scheitern wird, bis man die Ursache gefunden hat. Die in Windows eingebaute Firewall ist so konfiguriert, dass sie die von ping verschickten ICMP-Pakete aus dem lokalen Netz passieren lässt, solche aus anderen Netzen aber verwirft.
Bei alternativer Firewall muss man selbst prüfen, ob die nicht vielleicht mehr tut als das Windows-Bordexemplar. Das gilt insbesondere für die in gängigen Security-Suiten enthaltenen Firewalls – die richteten in unserem letzten Test [1] mehr Schaden an, als sie wettmachen können. Nicht nur bei den Versuchen der Vernetzung sollte man sie aus dem Weg räumen.
Antwortet Windows nicht auf die eingehenden Pakete, die ping schickt, herrscht wahrscheinlich keine Einigkeit über das gemeinsame IP-Netz. Hier sollten Sie auf jeden Fall noch mal die vorhandene Konfiguration kritisch beäugen: Hat vielleicht ein Freund des Sohns mal eben von Hand IP-Adressen eingetragen, damit es auf der letzten LAN-Party „schneller“ ging?
Der Dialog zum Einstellen der IP-Adresse öffnet sich in allen Windows-Versionen, wenn Sie in den Eigenschaften der Netzwerk-Verbindung auf dem Reiter „Netzwerk“ den Punkt „Internetprotokoll“ doppelklicken. Sofern ein Router per DHCP die richtigen Einstellungen verteilt, sollte hier alles auf „automatisch“ stehen. Um Windows zum erneuten Abruf der Einstellungen zu bewegen, ist ein Ausflug zur Eingabeaufforderung mit Administrator-Rechten erforderlich. Der Befehl ipconfig /release gibt die aktuell eingestellte Adresse frei, das anschließende ipconfig /renew fordert eine neue vom Router an.
Kommen die Antworten, kann man sich der nächsten Ebene widmen. Dazu ist es von Vorteil, wenn der Name der PCs sinnvoll gewählt ist, unter dem sie im Netz aufscheinen sollen. Den können Sie überprüfen und ändern, indem Sie die Windows- und Pause-Taste betätigen oder über das Kontextmenü des Computer-Eintrags im Startmenü die Systemeinstellungen und dort wiederum die erweiterten Systemeinstellungen aufrufen.
Auf der Seite „Computername“ legen Sie nicht nur den Namen fest, sondern können alle Computer auch gleich in eine gemeinsame Arbeitsgruppe verfrachten. Nehmen Sie sprechende Namen, wie „buero“, meiden Sie Umlaute, Sonder- und Leerzeichen. Das Gleiche gilt für den Arbeitsgruppennamen. Soll eine realistische Chance bestehen, dass sich die Rechner in der Netzwerkumgebung im Explorer finden, dann muss die Arbeitsgruppe auf allen PCs einheitlich sein. Nach Änderung der Bezeichnung genehmigt sich Windows einen Neustart.
Im nächsten Schritt prüfen Sie, ob die Namensauflösung klappt: Ein ping kinderpc sollte ebenfalls Antwortpakete zur Folge haben; „kinderpc“ ist dabei durch den Namen eines anderen Windows-PC zu ersetzen, den man übers Netz erreichen möchte. In einem kleinen Netz ruft Windows dazu per Rundruf die Frage heraus, wem die IP-Adresse „kinderpc“ gehört. Der Eigentümer antwortet mit seiner Adresse.
Klappt das, dann kann man davon ausgehen, dass sich auch die Netzwerkumgebung in absehbarer Zeit mit sinnvollen Daten füllt. Auf jeden Fall ist sichergestellt, dass man auf Freigaben eines derart erreichbaren Rechners grundsätzlich wird zugreifen können. Dieser Test klappt auch gegen Mac OS X und Linux, wenn diese Dienste für Windows-Clients freigeben. Umgekehrt ergibt der Test keinen Sinn, also ein ping auf einen Namen von diesen Betriebssystemen ausgehend – sie können an dieser Stelle mit den Windows-Netzwerknamen nichts anfangen.
Standortfragen
Seit Windows Vista versucht Windows das Netzwerk zu erkennen, in dem es aktiv ist (Network Location Awareness, kurz NLA). Das äußert sich in Nachfragen, wenn ein System das erste Mal an ein bestimmtes Netzwerk angeschlossen wird. Wer hier womöglich mal falsch geantwortet hat, ein minimales Netzwerk ohne Verbindung zur Außenwelt betreibt oder einen PC mit mehreren Netzwerkkarten hat, landet schnell in einer Sackgasse: Wenn Vista oder Windows 7 in einem öffentlichen Netzwerk sind, geben sie sich zugeknöpft.
Details zur NLA finden Sie auf Seite 96 in c't 9/2010 . Für den Austausch von Dateien und das Drucken ist wichtig zu wissen, dass das in der Ausgangskonfiguration von Windows 7 und Vista nur klappt, wenn diese sich in einem als sicher angesehen privaten Netzwerk befinden. Es ist bis auf eine einzige Ausnahme egal, ob Sie es als Heimnetz oder Arbeitsplatz-Netzwerk deklariert haben: Die Heimnetzgruppen unter Windows 7 setzen ein Heimnetzwerk voraus; Details dazu liefert der Artikel auf Seite 92 in c't 9/2010 .
In welcher Art Netzwerk Vista oder Windows 7 wähnt und ob es überhaupt geeignet für den Austausch mit anderen im Netz konfiguriert ist, finden Sie im „Netzwerk- und Freigabecenter“ heraus (einfach in das Suchfeld des Startmenüs eingeben). Dieses Frontend für die Netzwerkkonfiguration liefert unter Vista tatsächlich den besseren Überblick: Man sieht dort nicht nur die Art des Netzes, sondern auch gleich, welche Funktionen aktiv sind.
Windows 7 zeigt die aktuelle Konfiguration gar nicht an, sondern gewährt erst auf einen Klick auf „Erweiterte Freigabeeinstellungen ändern“ im linken Rand einen Blick in die „Freigabeoptionen für unterschiedliche Netzwerkoptionen“. Darin hat Microsoft das Standardverhalten für die verschiedenen Netzarten festgelegt. Um sicherzustellen, dass in einem fremden Netzwerk, etwa im Bahnhof oder Hotel, Freigaben des eigenen Notebooks nicht sichtbar sind, sollten im öffentlichen Profil die meisten Funktionen in diesem Dialog abgeschaltet sein; unter Windows 7 ist lediglich der öffentliche Ordner aktiviert.
Ältere Windows-Varianten kennen derlei Funktionen noch nicht, aber werfen angehenden Netzwerkern dennoch Knüppel zwischen die Beine: Wenn man auf einem PC mit Windows XP das erste Mal eine Freigabe einrichten will, weist es hartnäckig auf seinen Netzwerkinstallationsassistenten hin. Der setzt nicht nur den Namen des PC im Netz und den der Arbeitsgruppe, sondern erlaubt auch das Aktivieren der Datei- und Druckfreigabe – letztlich öffnet das die Firewall fürs lokale Netz (Subnetz genannt).
Freigang jetzt
Hat man all diese Hürden gemeistert, genügt bei allen Windows-Versionen ein Rechtsklick auf einen Ordner oder ein Laufwerk, um die darin enthaltenen Dateien für andere im Netzwerk zugänglich zu machen – sprich eine Freigabe einzurichten. Im Kontextmenü findet sich dann die Funktion „Freigeben“. Unter Windows 7 tummeln sich dort zusätzliche Optionen, um Heimnetzgruppen einzurichten – mehr auf Seite 92 in c't 9/2010 .
Die letzte, oft übersehene Hürde beim Vernetzen stellen passende Benutzerkonten dar: Wer auf die Freigabe eines PC zugreifen will, muss dort bekannt sein – sprich er braucht in aller Regel auf dem PC, auf dessen Freigabe er zugreifen will, ein Benutzerkonto. Das kann ein dort ohnehin vorhandenes oder eigens dafür eingerichtetes Konto sein. Ausnahme: Die Home Edition von Windows XP lässt an freigegebene Ordner jeden ran, es ist kein lokales Konto nötig.
Ein Benutzerkonto für den Zugriff übers Netz muss keine besondere Rechte haben, insbesondere keinen Administratorstatus. Eher gilt hier: Weniger Rechte bringen mehr Sicherheit. Wenn ein Benutzer sich mal lokal an das System anmeldet und mal übers Netz zugreifen soll, dann empfiehlt es sich, dafür das gleiche Konto zu nehmen – so ist sichergestellt, dass er seine Dateien in jedem Fall lesen kann. Bei Homegroups gelten hier unter Umständen andere Regeln, siehe Seite 92 in c't 9/2010 .
Wenn Windows auf eine Freigabe zugreift, übermittelt es normalerweise den Namen des aktuell angemeldeten Benutzers. Das kann im Zusammenspiel mit älteren Installationen tückisch sein, die automatisch bis an den Desktop starten, ohne dass man sich überhaupt bewusst ist, unter welcher Identität man dort angemeldet ist. Gewissheit liefert die Ausgabe der Variable „username“ von set username in einer Eingabeaufforderung.
Handelt es sich um das Konto „Administrator“, scheitert der Zugriff auf Freigaben von Vista oder Windows 7. Die deaktivieren dieses Konto nämlich. Es empfiehlt sich auch keinesfalls, das Konto dort wieder anzuschalten. Stattdessen müssen Sie (dem alten) Windows verklickern, dass es die Zugriffe unter anderer Identität auszuführen hat. Eine dauerhafte Methode, dies zu tun, finden Sie auf Seite 99 der c't 9/2010 in „Netzhilfe“.
Für einmalige Aktionen genügt auch die Funktion „Netzlaufwerk verbinden“, die Sie in jedem Explorer-Fenster finden und die auf Wunsch Benutzernamen und Passwort abfragt. Alternativ geht es auch mit der Eingabeaufforderung: net use \\server\freigabe. Entspricht das lokale Passwort des angemeldeten Benutzers nicht dem auf dem entfernten System, fragt Windows es ab.
Beide Methoden erlauben auch explizites Angeben eines Benutzernamens für den Zugriff. An der Eingabeaufforderung hängt man an den Befehl dazu den Namen folgendermaßen an: net use \\server\freigabe /user:icke. Sofern das Passwort des angemeldeten Benutzers und das des übergebenen Kontos identisch sind, fragt Windows nicht einmal danach.
Viele Wege
Wie man letztlich auf eine Freigabe gelangt, ist nicht nur eine Geschmackssache, sondern auch eine Geduldsfrage: Über die vorgesehene Netzwerkumgebung (als Netzwerk zu erreichen in der rechten Spalte jedes Explorer-Fensters) kann es durchaus mehrere Minuten dauern, bis ein PC nebst Freigaben dort auftaucht (brauchbare Namen vorausgesetzt). Mit Vista und Windows 7 geht es womöglich schneller, weil die außer den Browser-Diensten aus der Windows-Netzwerksteinzeit [2] auch weitere Erkennungstechniken nutzen wie UPnP und LLTD (Link Layer Topology Discovery).
Wer nicht die Geduld aufbringt, den gruppendynamischen Prozessen im Netz zuzusehen, kann abkürzen: Ein Weg führt direkt über die Adresszeile des Explorer. Dort lässt sich der Name des entfernten PC eintragen, etwa „\\buero“, schon sieht man, was er freigibt. Wer es ganz eilig hat, hängt gleich den Namen der Freigabe an „\\buero\briefe“. Eine andere Alternative ist der bereits erwähnte net use-Befehl in der Eingabeaufforderung, net use \\buero\briefe.
Welche Freigaben auf einem PC bereits eingerichtet sind, findet man in der Computerverwaltung über einen Rechtsklick auf „Computer“ beziehungsweise „Arbeitsplatz“ im Startmenü und den Menüpunkt „Verwalten“ heraus. Alternativ liefert auch die Eingabeaufforderung per net share eine Liste.
Wundern Sie sich nicht: Windows richtet eine Reihe von Freigaben von sich aus ein, nämlich eine pro Laufwerk (C$, D$ usw.). Diese Freigaben sind verborgen (durch das angehängte Dollarzeichen) und tauchen entsprechend in der Netzwerkumgebung nicht auf. Zugreifen können nur Benutzer, die administrative Rechte haben. Entsprechend heißen diese Freigabe auch „Admin-Shares“.
Außer denen für die lokalen Laufwerke gibt es eine weitere Freigabe namens „IPC$“. Dabei handelt es sich um eine spezielle Freigabe, die Windows für die Anmeldung nutzt. Wenn Sie über die Netzwerkumgebung auf die Freigabe eines entfernten Rechners mit dem Explorer zugreifen, können Sie per net use in der Eingabeaufforderung beobachten, dass Ihr PC auf die IPC$-Freigabe des entfernten Systems zugreift.
Das Wissen ob der Verbindung an IPC$ ist übrigens noch in anderer Hinsicht nützlich: Windows verbindet sich mit einem entfernten System immer nur unter einer Identität, sprich unter einem Benutzernamen. Wenn Sie die Freigabe \\buero\briefe als „peter“ besucht haben, dann gelingt es nicht ohne Weiteres als „heiner“ auf \\buero\musik zuzugreifen. Sie können sich aber per net use in der Eingabeaufforderung einen Überblick über die Verbindungen zu \\buero verschaffen und mit net use \\buero\ipc$ /del die Verbindung zur Anmeldefreigabe als „peter“ abräumen und sich dann als „heiner“ verbinden.
Noch mehr Fehlerquellen
Wer, obwohl er alle Details beachtet hat, trotzdem nicht auf die Freigaben eines PC zugreifen kann, sollte überprüfen, ob die Netzwerkkomponenten auch richtig verdrahtet sind: Windows bindet die Protokolle und Netzwerkdienst aneinander. Womöglich hat jemand unwissend diese Verbindungen gekappt oder durch das Hinzufügen weiterer Netzwerkprotokolle funkt das System womöglich in der falschen Sprache ins Netz.
Zu erreichen sind die Bindungen, wenn Sie sich die Netzwerkverbindungen anzeigen lassen: In der Menüzeile findet sich dann ein weiterer Punkt „Erweitert“, der auf „Erweiterte Einstellungen“ führt. Heutzutage genügt als Protokoll TCP/IP für die Kommunikation. Sowohl die „Datei- und Druckerfreigabe für Microsoft-Netzwerke“ als auch der „Client für Microsoft-Netzwerke“ sollten an dieses Protokoll gebunden sein.
Wollen Netzwerkzugriffe weiterhin nicht gelingen, bleibt noch ein kritischer Blick auf die laufenden Dienste: Damit sich Windows überhaupt im Netzwerk bewegen, andere PCs dort wahrnehmen und selbst Dienste anbieten kann, sollten zumindest die folgenden Dienste laufen: Arbeitsstationsdienst, Computerbrowser und Server.
Eine gesunde Portion Pragmatismus hilft übrigens oft auch aus Netzwerkproblemen heraus: Entweder man wechselt das Protokoll, wie ab Seite 100 in c't 9/2010 vorgeschlagen, oder vielleicht auch nur die Richtung – will ein PC partout nicht seine Dateien freigeben, mag er womöglich auf die Freigaben anderer zugreifen …
Literatur
[1] Axel Kossel, Jürgen Schmidt, Gerald Himmelein, Mehr ist manchmal weniger, Internet-Security-Suiten, c’t 5/10, S. 120
[2] Johannes Endres, Umgebungspflege, Fehlern in der Windows-Netzwerkumgebung auf der Spur, c’t 19/09, S. 178
[3] Dušan Živadinović, Axel Vahldiek, Erzwungene Zwiesprache, Handreichungen für die Einrichtung von Windows-Netzwerken, c’t 12/07, S. 128
(ps)
