# Windows Networking: TCP/IP Stack & Konfiguration
TL;DR / Management Summary Ein stabiler Netzwerk-Stack ist das Fundament jedes Clients. Während User die neue Settings-App nutzen, operieren Senior Admins auf der Ebene von PowerShell (NetTCPIP Module) und netsh. Wir optimieren den Stack für High-Speed LANs, verwalten DNS-Sicherheitsfeatures wie DoH (DNS over HTTPS) und nutzen Diagnose-Tools, um Paketverlust und Namensauflösungsfehler im Keim zu ersticken.
# 1. Einführung & Architektur
Die Reise eines Pakets durch Windows.
Windows nutzt den Next Generation TCP/IP Stack (seit Vista/7). Er ist modular aufgebaut und erlaubt tiefgreifende Eingriffe via Software.
# Schlüsselkomponenten
- NDIS (Network Driver Interface Specification): Die Schicht zwischen Treiber und Stack.
- WFP (Windows Filtering Platform): Hier klinken sich Firewall und Antivirus ein.
- AFD.sys: Der Ancillary Function Driver für Sockets (die Schnittstelle zur Applikation).
# Architektur-Diagramm (Mermaid)
graph TD
APP[Application / Socket] -->|WinSock| AFD[AFD.sys]
AFD -->|Transport| TCP_UDP[TCP/UDP Layer]
TCP_UDP -->|Network| IP[IPv4 / IPv6 Layer]
IP -->|Framing| NDIS[NDIS / NIC Driver]
NDIS -->|Physical| NIC[Network Card]
subgraph "Admin Hooks"
IP --- NETSH[netsh interface]
IP --- PS[Get-NetIPAddress]
end# 2. Netzwerkkonfiguration in der Praxis
Weg von der GUI.
# IP-Konfiguration via PowerShell
Die GUI (ncpa.cpl) ist langsam. Nutzen Sie das Modul NetTCPIP.
# Statische IP setzen
New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 192.168.1.50 -PrefixLength 24 -DefaultGateway 192.168.1.1
# DNS Server zuweisen
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses ("1.1.1.1","8.8.8.8")# Stack Reset (Der “Magic” Fix)
Wenn das Netzwerk völlig “spinnt”, hilft oft nur der Reset des Katalogs:
netsh winsock reset
netsh int ip reset# 3. Deep Dive: TCP Stack Tuning
Performance rausholen.
Windows hat Auto-Tuning Features, die manchmal mehr schaden als nützen.
# Receive Window Auto-Tuning
# Status prüfen
netsh int tcp show global
# Tuning (Normal ist meist am besten, 'disabled' bei alten Firewalls)
netsh int tcp set global autotuninglevel=normal# DNS over HTTPS (DoH)
In Windows 11 können Sie DNS-Abfragen verschlüsseln, um ISP-Tracking zu verhindern:
Settings -> Network & Internet -> Ethernet -> DNS Server Assignment- Wählen Sie
Encrypted only (DNS over HTTPS).
# 4. Day-2 Operations: Diagnose & Troubleshooting
Warum ist die Leitung so langsam?
# Der PowerShell “Test-NetConnection” (tnc)
Vergessen Sie telnet zum Port-Check.
tnc 10.0.0.1 -Port 443
# Prüft TCP-Connect, Latenz und liefert Route-Details.# Packet Monitoring (PktMon)
Windows hat einen eingebauten Sniffer (ähnlich wie tcpdump), der keine Drittanbieter-Treiber benötigt:
# Capture auf Interface 1 starten
pktmon start --etw -i 1
# Stoppen und in PCAP konvertieren (für Wireshark)
pktmon stop
pktmon pcapng PktMon.etl -o log.pcapng# 5. Troubleshooting & “War Stories”
Wenn das Paket im Nirvana verschwindet.
# Top 3 Fehlerbilder
-
Symptom: “Identifiziertes Netzwerk - kein Internetzugriff”.
- Ursache: Der NCSI (Network Connectivity Status Indicator) kann den Microsoft-Test-Server nicht erreichen.
- Lösung: Proxy-Einstellungen prüfen oder prüfen, ob DNS den Host
www.msftconnecttest.comauflösen kann.
-
Symptom: IPv6 verursacht Latenzen in IPv4-Only Netzen.
- Lösung: IPv6 nicht deaktivieren (führt zu internen Problemen), sondern IPv4 via Registry (
DisabledComponents) bevorzugen.
- Lösung: IPv6 nicht deaktivieren (führt zu internen Problemen), sondern IPv4 via Registry (
-
Symptom: Hoher Paketverlust nur bei bestimmten Applikationen.
- Analyse: MTU-Check. Wenn Pakete fragmentiert werden müssen, aber das “Don’t Fragment” Bit gesetzt ist, sterben sie.
- Tool:
ping -f -l 1472 <IP>
# “War Story”: Der “Killer” QoS
Ein Kunde klagte über langsame Dateitransfers (SMB). 10G Karte war verbaut, aber nur 100MB/s Durchsatz.
Die Entdeckung: Ein “Gaming-Optimierungs-Tool” hatte via netsh die Receive-Side Scaling (RSS) Funktion deaktiviert, um “Interrupt-Latenzen für Spiele” zu minimieren. Dadurch wurde der gesamte Traffic nur über einen einzigen CPU-Kern abgewickelt, der bei 100MB/s am Limit war.
Lösung: Enable-NetAdapterRss und der Datendurchsatz stieg sofort auf 900MB/s+.
# 6. Monitoring & Alerting
Integrität der Verbindung.
# Wichtige KPIs
- Interface Bandwidth:
node_network_transmit_bytes_total. - Error Rate:
node_network_receive_errs_total. - DNS Resolution Time: Messen via PowerShell-Skript und Export an Prometheus.
# 7. Fazit & Empfehlung
Netzwerk-Konfiguration ist kein “Set and Forget”.
- Empfehlung: Nutzen Sie IPv6, wo immer möglich. Es ist der native Stack von modernem Windows.
- Pro-Tipp: Verwenden Sie für Server-Workloads immer NIC Teaming oder Switch Embedded Teaming (SET) für Redundanz (Artikel 507).
# Anhang: Cheatsheet
| Aufgabe | Befehl |
|---|---|
| Alle IPs anzeigen | ipconfig /all |
| DNS Cache leeren | ipconfig /flushdns |
| ARP Tabelle sehen | arp -a |
| Routing Tabelle | route print |
| TCP Verbindungen live | netstat -ano 1 |