Microsoft gliedert seine kostenlosen Sysinternals-Tools in verschiedene Kategorien, wir widmen jeder Kategorie einen eigenen Beitrag und stellen exemplarisch einige Programme praxisnah vor. Passt die eine oder andere Lösung aus einem anderen Bereich thematisch dazu, wird dies gesondert erwähnt. Mit den Sysinternals-Tools richtet sich Microsoft an IT-Professionals im Allgemeinen und Administratoren im Besonderen.
Die Werkzeuge sollen Admins die Verwaltung, Problembehebung und Diagnose von Windows-Systemen und -Anwendungen erleichtern. Diesmal geht es um ausgewählte Dienstprogramme, die Netzwerkadministratoren bei Aufgaben wie der Verbindungs- und Freigabeüberwachung unterstützen können.
Foto: adimas, Fotolia.com
AdExplorer (Active Directory-Explorer) - im AD navigieren
Der Active Directory-Explorer bietet eine Verwaltungsoberfläche für die Active-Directory-Datenbank, ähnlich ADSI-Edit. Beim Verbindungsaufbau legen Sie den Domänencontroller fest und bestimmen die Benutzer, mit denen Sie sich verbinden wollen. Sie können die eingegebenen Daten auch abspeichern, sodass Sie nicht jedes Mal eine Authentifizierung durchführen müssen, um sich mit dem AD zu verbinden.
Das Tool hat eine Explorer-ähnliche Oberfläche und erlaubt die Navigation im Active Directory. Sie können zur Analyse auch Schnappschüsse des produktiven AD erstellen. Die Schnappschüsse lassen sich nachträglich bearbeiten. Über das Menü File/Create Snapshot erstellen Sie einen solchen Schnappschuss. Im Fenster können Sie einstellen, bis zu welcher CPU-Last der Schnappschuss den Server belasten soll. Haben Sie einen Schnappschuss erstellt, können Sie diesen parallel zur Verbindung mit dem aktuellen Active Directory oder einem anderen Schnappschuss über das Menü File laden. Anschließend steht der Menüpunkt Compare zur Verfügung, mit dem Sie einen Vergleich zwischen den Schnappschüssen oder dem produktiven AD durchführen können.
Zwar kann Windows Server 2008 R2 solche Snapshots auch über das Befehlszeilen-Tool ntdsutil.exe erstellen, aber nicht so einfach und leicht bedienbar wie AD-Explorer. Sie können das Tool auf jedem Computer starten, der Mitglied einer Domäne ist, und müssen nicht den Domänencontroller verwenden. Sie haben die Möglichkeit, mehrere Schnappschüsse zu unterschiedlichen Zeitpunkten zu erstellen. Diese können Sie nachträglich vergleichen, um so Änderungen nachzuverfolgen. Der Active-Directory-Explorer erlaubt das Anpassen von Einstellungen im Active Directory, direkt auf der Ebene der Datenbank. Sie können Attribute ändern, Einstellungen anpassen und Objekte löschen oder erstellen.
Die Navigation erfolgt ähnlich wie beim Windows Explorer. Sie haben über den Menüpunkt Favorites auch die Möglichkeit, verschiedene Bereiche im AD direkt wieder anzuwählen, wenn Sie diese häufiger benötigen, zum Beispiel bestimmte Organisationseinheiten. Über Search können Sie sehr detaillierte Suchabfragen im Active Directory durchführen. Komplexe Suchabfragen lassen sich im Suchfenster abspeichern und auf diesem Weg jederzeit wieder aufrufen. Im Suchfenster können Sie nach Attributen und nach Kombinationen von Attributen suchen. Zusätzlich lassen sich die Sicherheitseinstellungen und Berechtigungen anpassen; dies geschieht über Properties im Kontextmenü von Objekten.
Die Bedienung des Tools ist auch für ungeübte Administratoren intuitiv möglich. Sie müssen das Tool nicht installieren, sondern können die *.exe-Datei direkt starten und auf diesem Weg das Werkzeug via USB-Stick verwenden.
AdInsight (Insight for Active Directory) - Verbindungsanalyse
Mit AdInsight analysieren Sie die LDAP-Verbindungen eines Servers in Echtzeit. Das Tool verwendet dazu die Datei wldap32.dll, die den Zugriff auf das Active Directory steuert. Es zeigt, ähnlich dem Netzwerkmonitor für den Netzwerkverkehr, alle Anfragen von Clients an den Domänencontroller an, auch Daten, die der Domänencontroller blockiert. AdInsight hilft also, Authentifizierungsprobleme von Anwendungen und Computern zum Active Directory zu finden und zu beheben.
Sie können die Daten, die das Tool ausliest, auch als Textdatei speichern und so nachträglich analysieren. Wenn Sie mit der rechten Maustaste auf einen Eintrag klicken, erhalten Sie weitere Informationen über die einzelnen Einträge. AdExplorer zeigt Verbindungsdaten an, sobald ein Programm oder ein Server Daten aus dem Active Directory abrufen will. Nach dem Start sehen Sie daher nicht gleich einen Eintrag, sondern erst wenn ein Programm über das Netzwerk auf das Active Directory über die Datei wldap32.dll zugreifen will.
Über den Menüpunkt File können Sie den aktuellen Scanvorgang abspeichern und nachträglich über AdInsight öffnen. Über File\Export to Text File exportieren Sie die Ausgabe als Textdatei. Da sich beim Verbindungsaufbau mit dem AD viele Daten ansammeln, haben Sie die Möglichkeit, über Edit\Find die Anzeige auch zu filtern.
Weitere Filteroptionen stehen über den Menüpunkt View zur Verfügung. Die verschiedenen Anzeigen lassen sich farblich hervorheben, um einen besseren Überblick zu erhalten. Diese Informationen finden Sie über den Menüpunkt Highlight. In den verschiedenen Spalten zeigt ADInsight genauere Daten an. Die Spalte User enthält, falls verfügbar, den Benutzernamen, mit dem die Anwendung versucht, auf das AD zuzugreifen. Sie müssen für die Messung das Tool nicht installieren, aber direkt auf dem Server starten. Das Tool ist vor allem sehr hilfreich, wenn ein AD-abhängiger Dienst wie Exchange nicht funktioniert. Durch die umfangreichen Filtermöglichkeiten erkennen Sie schnell, worin der Fehler besteht.
Geöffnete Ports überwachen mit TCPView
Zur Analyse der Netzwerkverbindungen auf einem Server ist es unerlässlich, sich die geöffneten Ports anzuzeigen. Mit TCPView können Sie sich in einer grafischen Oberfläche alle TCP- und UDP-Endpunkte eines Computers anzeigen lassen. Zusätzlich sehen Sie, welche Prozesse auf die Endpunkte und Ports zugreifen.
Sie sehen also nicht nur geöffnete Ports wie bei anderen Programmen, sondern detaillierte Informationen über den Prozess, dessen ID, das Protokoll, die Remote-Adresse und den Port. Das Tool enthält noch das Programm tcpvcon.exe, das die gleichen Informationen wie TCPView in der Befehlszeile anzeigt, zum Beispiel zur Verwendung in Skripts. Lässt sich der Name des zugreifenden Computers aufrufen, zeigt TCPView auch diesen an. Neben der reinen Anzeige können Sie im Tool auch direkt Verbindungen trennen. Klicken Sie diese dazu mit der rechten Maustaste an.
Weitere Möglichkeiten des Kontextmenüs sind ausführlichere Informationen sowie das Beenden des Prozesses, der die Verbindung aufbaut. Sie können Informationen in die Zwischenablage kopieren und Spezialisten zusenden, die die Verbindung analysieren können. Das Tool baut auf Informationen auf, die das Windows-Tool Netstat liefert, bietet aber mehr Informationen und ist leichter zu bedienen.
TCPView aktualisiert die Verbindungen jede Sekunde; Sie können über Options\Refresh Rate die Abtastrate ändern. Verbindungen, die den Status innerhalb der Abtastrate ändern, sind gelb markiert. Gelöschte Endpunkte zeigt das Tool rot an, neue Endpunkte in Grün. Den aktuellen Verbindungsstatus können Sie über das Menü abspeichern. Wollen Sie die Ausgabe über ein Skript steuern, verwenden Sie am besten das Befehlszeilen-Tool tcpvcon.exe. Die Ausgabe ähnelt netstat, enthält aber mehr Informationen. Die Syntax des Tools lautet:
tcpvcon [-a] [-c] [-n] [Prozessname oder PID]
•-a - Zeigt die Endpunkte an
•-c -Ausgabe als CSV
•-n - Keine Namensauflösung
PSFile - über das Netzwerk geöffnete Dateien anzeigen
Öffnen Anwender eine Datei auf einem Computer über das Netzwerk, lässt sich das ebenfalls anzeigen. Dazu verwenden Sie das Tool psfile.exe.
Sie können zwar ebenso mit dem Befehl net file eine Liste der über das Netzwerk geöffneten Dateien anzeigen. Allerdings schneidet dieser Befehl lange Pfadnamen ab. Außerdem kann net file keine Daten auf Remote-Computern abfragen, sondern nur für das lokale System.
Geben Sie nur psfile an, zeigt das Tool geöffnete Dateien an, inklusive des genauen Dateipfads. Wollen Sie die geöffneten Dateien auf einem Computer im Netzwerk abfragen, können Sie dazu ebenfalls psfile verwenden. Die Syntax dazu ist:
psfile [\\<Computer> [-u <Benutzername> [-p <Kennwort>]]] [[Id | <Pfad>] [-c]]
•-u - Mit dieser Option können Sie den Benutzernamen zum Anmelden am Remote-Computer angeben.
•-p - Mit dieser Option geben Sie das Kennwort für den Benutzernamen an. Wenn Sie kein Kennwort angeben, müssen Sie dieses bei der Ausführung des Befehls angeben.
•-Id - Hier können Sie die ID der Datei angeben, von der Sie ausführlichere Informationen anzeigen lassen wollen oder die geschlossen werden soll.
• Pfad - Pfad der Dateien, die angezeigt werden sollen.
•-c - Schließt die Dateien, deren ID Sie angegeben haben.
Über das Netzwerk mit Shutdown.exe und PsShutdown.exe herunterfahren
Sie haben die Möglichkeit, über die Befehlszeile den Computer herunterfahren oder neu zu starten. Hierfür benötigen Sie nur genügend Rechte. Dazu können Sie das Befehlszeilen-Tool shutdown.exe von Windows benutzen. Dies zählt natürlich nicht zu den Windows-Sysinternals, sei aber aufgrund der Funktion und des Bezugs zum darauffolgenden Tool an dieser Stelle angeführt.
Verwenden Sie den Befehl shutdown /r /f /t 0, fährt der Computer sofort herunter (/t 0), startet neu (/r) und schließt vorher alle geöffneten Programme (/f). Die Option /f zwingt den Computer zum Beenden der laufenden Anwendungen, auch wenn nicht gespeichert wurde. Der Befehl shutdown /s /f fährt den Computer herunter und startet ihn nicht neu. Mit dem Befehl shutdown /a brechen Sie den aktuellen Vorgang ab. Die wichtigsten Optionen des Shutdown-Befehls sind:
• /g - Startet den Computer neu und fährt registrierte Anwendungen automatisch nach dem Neustart hoch.
• /i - Zeigt eine grafische Benutzeroberfläche an. Dies muss die erste Option sein.
• /l - Meldet den aktuellen Benutzer ab. Diese Option kann nicht zusammen mit den Optionen /m oder /d verwendet werden.
• /s - Fährt den Computer herunter.
• /r - Fährt den Computer herunter und startet ihn neu.
• /a - Bricht das Herunterfahren des Systems ab.
• /p - Schaltet den lokalen Computer ohne Zeitlimitwarnung aus. Kann mit den Optionen /d und /f verwendet werden.
• /h - Versetzt den lokalen Computer in den Ruhezustand.
• /m \\<Computer> - Legt den Zielcomputer fest.
• /t xxx - Stellt die Zeit vor dem Herunterfahren auf xxx Sekunden ein. Der gültige Bereich reicht von 0 bis 600, der Standardwert ist 30. Die Verwendung von /t setzt voraus, dass die Option /f verwendet wird.
• /c "Kommentar" - Kommentar zum Neustart beziehungsweise Herunterfahren. Es sind maximal 512 Zeichen zulässig.
• /f - Erzwingt das Schließen ausgeführter Anwendungen ohne Vorwarnung der Benutzer. /f wird automatisch angegeben, wenn die Option /t verwendet wird.
• /d [p|u:]xx:yy - Gibt die Ursache für den Neustart oder das Herunterfahren an. p zeigt, dass der Neustart oder das Herunterfahren geplant ist, u sagt, dass die Ursache vom Benutzer definiert ist. Wenn weder p noch u angegeben ist, ist das Neustarten oder Herunterfahren nicht geplant.
PsShutdown.exe mit mehr Optionen
Wem die Optionen von shutdown.exe nicht ausreichen, die Windows standardmäßig bietet, der verwendet das Sysinternal-Tool PsShutdown. Die Optionen des Tools sind ähnlich. Mit der Option -t können Sie einen Sekundenwert angeben oder den Zeitpunkt festzulegen, zu dem ein Shutdown ausgeführt werden soll. Den Zeitpunkt legen Sie durch die Verwendung der 24-Stunden-Schreibweise fest:
psshutdown -m "Dieses System wird aus Wartungsgründen neu gestartet" -t 23:00 -r
Mit -c geben Sie dem Anwender auf dem Computer die Möglichkeit, den Vorgang abzubrechen. Sie können auch gleichzeitig mehrere Systeme neu starten:
psshutdown -r \computer1,computer2,computer3
Alternativ können Sie die Rechnernamen in eine Textdatei schreiben und diese verwenden:
psshutdown -r @rechnerliste.txt
In dieser Datei darf in jeder Zeile nur ein Computername aufgelistet sein. Sie müssen bei der Verwendung im Netzwerk das Tool nicht auf jedem Rechner installieren, es genügt der Start von einem einzelnen Computer aus. Im Vergleich zu shutdown.exe bietet das Tool zusätzliche Optionen, beispielsweise auch die Möglichkeit, das System zu sperren. Das Tool hat folgende Optionen:
psshutdown [[\\computer[,computer[,..] | @file [-u user [-p psswd]]] -s|-r|-h|-d|-k|-a|-l|-o [-f] [-c] [-t nn|h:m] [-n s] [-v nn] [-e [u|p]:xx:yy] [-m "Nachricht"
• computer - Gibt an, welchen Computer Sie herunterfahren wollen. Mit der Option * fahren Sie alle Computer der Domäne herunter.
• @file - Verwendet die Datei als Rechnerliste der Computer, die Sie herunterfahren wollen.
• -u - Benutzername, mit dem Sie das Herunterfahren durchführen wollen.
• -p - Kennwort für das Benutzerkonto.
• -a - Bricht einen Vorgang ab.
• -c - Angemeldeter Benutzer kann den Vorgang abbrechen.
• -d - Verordnet dem Computer eine Pause (Suspend).
• -e - Grund für das Herunterfahren (u für Benutzer, p für geplant).
• -f - Geöffnete Anwendungen werden beendet, auch ohne Speichern.
• -h - Ruhezustand aktivieren.
• -k - Computer ausschalten.
• -l - Computer sperren.
• -m - Nachricht zum Herunterfahren.
• -o - Abmelden des Benutzers Logoff the console user.
• -r - Neustart.
• -s - Shutdown ohne Ausschalten.
• -t - Shutdown.
ShareEnum - Freigaben im Netzwerk anzeigen
Mit ShareEnum lassen Sie sich alle Freigaben in einem IP-Bereich oder einer Domäne anzeigen. Verfügen Sie über genügend Rechte, können Sie die gefundenen Freigaben per Doppelklick öffnen. Das Tool kann entweder einen IP-Bereich oder alle PCs und Server einer Domäne (oder aller Domänen) auf Freigaben scannen.
ShareEnum zeigt nicht nur die Freigaben an, sondern auch den lokalen Pfad der Freigabe auf dem Server. Über die Schaltfläche Refresh starten Sie einen neuen Scanvorgang. Wollen Sie nur einen Server scannen, geben Sie als IP-Bereich als Start- und Endadresse die gleiche IP-Adresse an.
In Domänen funktioniert das Tool nicht auf den Domänencontrollern, sondern nur auf Arbeitsstationen. Sie müssen ShareEnum mit Administratorrechten starten. Neben Freigaben sehen Sie auch die freigegebenen Drucker im Netzwerk. Wenn Sie die Eigenschaften aufrufen, werden zudem die Sicherheitseinstellungen der Freigaben im Netzwerk sichtbar. Das Tool ist nicht vollständig kompatibel zu Windows Server 2003/2008/2008 R2 und auch Windows 7. Ausprobieren lohnt sich aber, da der Umgang sehr einfach ist und Sie umfangreiche Informationen über die Freigaben im Netzwerk erhalten.
Whois
Mit Whois können Sie Informationen über einzelne Server im Internet abrufen und prüfen, welchem Registrierungsdatensatz diese zugeordnet sind. In erster Linie wird dieses Befehlszeilenprogramm eingesetzt, um festzustellen, zu welcher Domäne eine IP-Adresse (zum Beispiel: 66.193.254.46) oder ein Domänenname (zum Beispiel: www.sysinternals.com) im Internet gehört. Wenn Sie in der Befehlszeile den Befehl
whois <IP-Adresse> oder whois <Domänenname>
eingeben, erhalten Sie als Informationen den Domäneninhaber der IP-Adresse beziehungsweise des Domänennamens. Die Abfrage ist allerdings nicht immer erfolgreich.