DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 886257 - Geändert am: Freitag, 16. Juni 2006 - Version: 1.0

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
886257  (http://support.microsoft.com/kb/886257/EN-US/ ) How Windows Firewall affects the UPnP framework in Windows XP Service Pack 2
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt, wie sich die Windows-Firewall in Microsoft Windows XP Service Pack 2 (SP2) auf das Microsoft Windows UPnP-Framework auswirkt. Außerdem werden in diesem Artikel die Änderungen beschrieben, die in Windows XP SP2 vorgenommen wurden, um diese Auswirkungen zu minimieren.

Hinweis: Dieser Artikel richtet sich an technisch versierte Benutzer und Gerätehersteller, die mit der UPnP-Architektur und den UPnP-Protokollen vertraut sind.

EINFÜHRUNG

Wenn Sie Windows XP SP2 installieren, ist die Windows-Firewall standardmäßig aktiviert. Die Windows-Firewall hat möglicherweise die folgenden Auswirkungen auf das Windows UPnP-Framework:
  • Das UPnP-Framework ist möglicherweise nicht in der Lage, UPnP-Netzwerkgeräte zu erkennen.
  • Das UPnP-Framework kann UPnP-Netzwerkgeräte möglicherweise nicht steuern bzw. kann keine Ereignisse an diese Geräte senden oder von diesen Geräten empfangen.
  • UPnP-Kontrollpunkte können möglicherweise keine Geräte erkennen, die auf dem Windows XP SP2-Computer gehostet sind.

Weitere Informationen

Weitere Informationen zur Windows-Firewall finden Sie auf folgender Microsoft-Website:
http://www.microsoft.com/germany/msdn/library/security/WindowsFirewall.mspx?mfr=true (http://www.microsoft.com/germany/msdn/library/security/WindowsFirewall.mspx?mfr=true)

Hintergrund

Da die Windows-Firewall bei der Installation von Windows XP SP2 aktiviert wird, müssen Sie die folgenden Standardeinstellungen der Windows-Firewalls kennen:
  • Die Windows-Firewall blockt nur eingehende, unverlangt zugesandte Nachrichten. Ausgehende Nachrichten werden nicht geblockt. Angeforderte eingehende Pakete, wie etwa HTTP über den Port 80 oder über die E-Mail-Ports 110 oder 25, werden ohne Ausnahmen zugelassen.
  • In Windows XP SP2 unterstützt die Windows-Firewall das Konzept der Ausnahmen. Ist eine Ausnahme aktiviert, öffnet sie die von einem Programm oder einer Funktion benötigten Firewall-Ports. Sie müssen die zugeordneten Portnummern nicht kennen. Die Windows-Firewall beinhaltet eine Ausnahme für das UPnP-Framework, die den UDP-Port 1900 und den TCP-Port 2869 öffnet.
  • Bei Computern einer Arbeitsgruppe sind einige Ports für die Datei- und Druckerfreigabe und das UPnP-Framework auf das lokale Subnetz beschränkt. Wenn diese Ports für das lokale Subnetz auf einem ICS-Host (ICS = Internet Connection Sharing, Gemeinsame Nutzung der Internetverbindung) geöffnet sind, bedeutet dies nicht, dass die Ports auch für die öffentliche ICS-Schnittstelle geöffnet sind. Microsoft empfiehlt jedoch, diese Ports nicht global zu öffnen, da sie in diesem Fall auch für die öffentliche ICS-Schnittstelle geöffnet sind. Weitere Informationen finden Sie auf folgender Website von Microsoft:
    http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2netwk.mspx#EEAA (http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2netwk.mspx#EEAA)
    Dies trifft jedoch nur auf Computer zu, die zu einer Arbeitsgruppe gehören. Die Verbindungen für Domänencomputer in einer Active Directory-Verzeichnisdienstumgebung werden durch die Gruppenrichtlinie bestimmt.
  • Wenn der Computer einer Domäne angehört, überschreiben die Gruppenrichtlinieneinstellungen möglicherweise die Port-Einstellungen der Firewall auf dem lokalen Computer oder deaktivieren die Firewall sogar. Daher kann eine Gruppenrichtlinie die Ports des UPnP-Frameworks auch dann öffnen, wenn Windows XP SP2 installiert ist. In diesem Fall wirkt sich die Windows-Firewall nicht auf die Funktion des UPnP-Frameworks aus. Andererseits kann eine Gruppenrichtlinie UPnP-Ports auch dann schließen, wenn die lokale Firewall eine Öffnung der Ports zulässt.
  • Das UPnP-Framework verwendet den UDP-Port 1900 und den TCP-Port 2869. SSDP (Simple Service Discovery Protocol) verwendet Multicast-Suchanforderungen für die Erkennung von UPnP-Geräten. Multicast-Suchanforderungen werden über dynamische ausgehende Ports an den UDP-Port 1900 gesendet. Die Windows-Firewall akzeptiert dementsprechend Multicast-Suchantworten, die innerhalb von drei Sekunden nach einer Multicast-Suchanforderung empfangen werden. Danach blockt die Firewall Multicast-Suchantworten, selbst wenn sie mit den Suchanforderungen übereinstimmen.

Auswirkungen gesperrter UPnP-Ports

Wenn die Windows-Firewall die von der UPnP-Implementation benötigten Ports blockt, kommt es zum folgenden Verhalten:
  • Das UPnP-Framework kann keine UPnP-Netzwerkgeräte erkennen, die sich selbst ankündigen. Die Firewall blockt diese eingehenden Ankündigungen.
  • Ein auf einem anderen Computer ausgeführter Kontrollpunkt kann keine UPnP-Geräte finden oder steuern, die auf dem Windows XP SP2-Computer ausgeführt werden. Die Firewall blockt die bezüglich des UPnP-Gerätes eingehenden Nachrichten.
Wenn die vom Framework benötigten Firewall-Ports blockiert sind, weil die Firewall-Ausnahme für das UPnP-Framework nicht aktiviert ist, versucht das UPnP-Framework nicht, UPnP-bezogene Geräteerkennungsmeldungen an das Netzwerk zu senden oder UPnP-bezogene Geräteerkennungsmeldungen vom Netzwerk zu empfangen.
  • Hierdurch wird ein Problem vermieden, bei dem das Framework eine Multicast-Suchanforderung ausgibt und ein Netzwerkgerät zwar erkennt, aber nach Ablauf der Timeout-Zeitspanne wieder ausblendet, weil die Firewall die Alive-Meldungen von SSDP blockt. Auf dem Windows XP SP2-Computer ausgeführte Kontrollpunkte können nicht nach UPnP-Netzwerkgeräten suchen oder diese erkennen.
  • Auf Windows XP SP2-Computern mit mehreren Netzwerkadaptern können Sie die Windows-Firewall so konfigurieren, dass die UPnP-Ports auf einigen Netzwerkadaptern geöffnet und auf den anderen geblockt sind. Das UPnP-Framework berücksichtigt die individuellen Port-Einstellungen der einzelnen Netzwerkadapter. Wenn auf einem Netzwerkadapter Ports geöffnet sind und die Ausnahme für das UPnP-Framework nicht aktiviert ist, sendet das UPnP-Framework die Multicast-Suchanforderungen und Geräteerkennungsmeldungen daher nur an den Netzwerkadapter mit den geöffneten Ports. Das UPnP-Framework sendet keine Multicast-Suchanforderungen und Geräteerkennungsmeldungen an die Netzwerkadapter mit den geblockten Ports. Wenn die Ausnahme für das UPnP-Framework jedoch aktiv ist, gibt das Framework für alle Netzwerkadapter Multicast-Suchanforderungen und Benachrichtigungen aus.
  • UPnP-Geräte und -Kontrollpunkte , die auf demselben Windows XP SP2-Computer ausgeführt werden, können auch dann miteinander kommunizieren, wenn die von UPnP benötigten Firewall-Ports geblockt sind.

Windows-Firewall-Erweiterungen für das UPnP-Framework

Wenn Sie auf Windows XP SP2 aktualisieren

Wenn Sie vor der Aktualisierung auf Windows XP SP2 UPnP-Geräte verwendet haben, wird durch die Aktualisierung keine Fehlfunktion des Systems verursacht. Das Windows XP SP2-Installationsprogramm aktiviert die Firewall-Ausnahme für das UPnP-Framework automatisch während der Aktualisierung, wenn eine der folgenden Bedingungen erfüllt ist:
  • Ein gehostetes UPnP-Gerät ist auf dem Computer installiert und registriert.
  • Die optionalen UPnP-Benutzeroberflächenkomponenten sind installiert.
Hinweis: Es ist nicht möglich, alle Arten von UPnP-Funktionalität zu erkennen. Gehostete Kontrollpunkte müssen sich beispielsweise nicht beim Framework registrieren. Daher sind diese Kontrollpunkte dem Framework nicht bekannt.

Nach der Aktualisierung auf Windows XP SP2

Das UPnP-Framework beinhaltet optionale Benutzeroberflächenkomponenten, die Sie manuell installieren können. Diese Komponenten zeigen für alle erkannten UPnP-Geräte, die auch eine Präsentationsseite besitzen, Symbole im Ordner "Netzwerkumgebung" an. Sie können auf ein Symbol doppelklicken, um die Präsentationsseite für dieses Gerät anzuzeigen.

Wenn Sie die optionalen Benutzeroberflächenkomponenten auf einem Computer installieren möchten, der bereits auf Windows XP SP2 aktualisiert wurde, aktiviert das Installationsprogramm die Firewall-Ausnahme für das UPnP-Framework. In dem Hilfetext, der angezeigt wird, wenn Sie das Installationselement für die UPnP-Benutzeroberflächenkomponenten auswählen, werden Sie darüber informiert, dass die Ports während der Installation geöffnet sind. Wenn Sie die Benutzeroberflächenkomponenten entfernen, wird die Firewall-Ausnahme für das UPnP-Framework deaktiviert. Wenn jedoch ein gehostetes UPnP-Gerät installiert wird, erfolgt durch das Entfernen der Benutzeroberflächenkomponenten keine Deaktivierung der Ausnahme. Das gehostete Gerät funktioniert weiter wie gewohnt.

Installieren und Entfernen von UPnP-Benutzeroberflächenkomponenten

Hinweis: Sie müssen sich auf dem Computer als Administrator anmelden, um die optionalen UPnP-Benutzeroberflächenkomponenten zu installieren oder den Windows-Firewall-Portstatus zu ändern.

Verwenden Sie eine der nachstehenden Methoden, um die optionalen UPnP-Benutzeroberflächenkomponenten zu installieren und die benötigten Windows-Firewall-Ports zu öffnen.

Hinweis: Wenn Sie die optionalen UPnP-Benutzeroberflächenkomponenten entfernen und keine gehosteten UPnP-Geräte auf dem Computer registriert sind, deaktiviert das Deinstallationsprogramm die Firewall-Ausnahme für das UPnP-Framework. Wenn jedoch ein gehostetes UPnP-Gerät auf dem Computer registriert ist, bleibt die Firewall-Ausnahme für das UPnP-Framework aktiviert, sodass das Gerät weiter arbeiten kann.

Methode 1: Verwenden der Systemsteuerung

Sie können die Systemsteuerung verwenden, um die UPnP-Benutzeroberflächenkomponenten zu installieren und die benötigten Windows-Firewall-Ports zu öffnen. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie anschließend auf Systemsteuerung.
  2. Klicken Sie auf Software.
  3. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen.
  4. Aktivieren Sie in der Liste Komponenten das Kontrollkästchen Netzwerkdienste, und klicken Sie anschließend auf Details.
  5. Aktivieren Sie in der Liste Unterkomponenten von Netzwerkdiensten das Kontrollkästchen UPnP-Benutzerschnittstelle, und klicken Sie anschließend auf OK.

    Hinweis: Um die UPnP-Benutzeroberflächenkomponenten zu entfernen, deaktivieren Sie das Kontrollkästchen UPnP-Benutzerschnittstelle.
  6. Klicken Sie im Assistenten für Windows-Komponenten auf Weiter.

Methode 2: Verwenden der Netzwerkumgebung

Sie können die Netzwerkumgebung verwenden, um die UPnP-Benutzeroberflächenkomponenten zu installieren und die benötigten Windows-Firewall-Ports zu öffnen. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie anschließend auf Systemsteuerung.
  2. Klicken Sie auf Netzwerk- und Internetverbindungen.
  3. Klicken Sie unter Andere Orte auf Netzwerkumgebung.
  4. Klicken Sie unter Netzwerkaufgaben auf Symbole für Netzwerk-UPnP-Geräte einblenden.
  5. Die folgende Meldung wird angezeigt:
    Die Windows-Firewall hat den Empfang von Informationen aus dem Netzwerk für die UPnP-Gerätesoftware geblockt. Diese Informationen sind erforderlich, um Symbole anzuzeigen.

    Möchten Sie die Windows-Firewallporteinstellungen öffnen, so dass die Software UPnP-Geräte finden kann? Wenn Sie auf "Nein" klicken, werden die Symbole nicht angezeigt.
    Wenn Sie auf Nein klicken, werden die Symbole nicht angezeigt, die UPnP-Benutzeroberflächenkomponenten werden nicht installiert, und das Installationsprogramm wird beendet.

    Wenn Sie auf Ja klicken, werden die UPnP-Benutzeroberflächenkomponenten installiert, und die Firewall-Ausnahme für das UPnP-Framework wird aktiviert.
Gehen Sie folgendermaßen vor, um die UPnP-Benutzeroberflächenkomponenten mithilfe der Netzwerkumgebung zu entfernen:
  1. Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie anschließend auf Systemsteuerung.
  2. Klicken Sie auf Netzwerk- und Internetverbindungen.
  3. Klicken Sie unter Andere Orte auf Netzwerkumgebung.
  4. Klicken Sie unter Netzwerkaufgaben auf Symbole für Netzwerk-UPnP-Geräte ausblenden.
  5. Die folgende Meldung wird angezeigt:
    Sie haben sich entschlossen, die UPnP-Gerätesymbole auszublenden. Dadurch werden die Windows-Firewallports geschlossen, sodass die UPnP-Gerätesoftware keine UPnP-Netzwerkgeräte finden kann.

    Möchten Sie den Vorgang fortsetzen?
    Wenn Sie auf Nein klicken, werden die UPnP-Benutzeroberflächenkomponenten nicht entfernt, und das Installationsprogramm wird beendet.

    Wenn Sie auf Ja klicken, werden die UPnP-Benutzeroberflächenkomponenten entfernt. Außerdem wird die Firewall-Ausnahme für das UPnP-Framework deaktiviert, sofern kein gehostetes UPnP-Gerät installiert ist.

Manuelles Aktivieren der Windows-Firewall-Ausnahme für das UPnP-Framework

Um die für das UPnP-Framework benötigten Windows-Firewallports manuell zu öffnen, müssen Sie die Ausnahme für das UPnP-Framework aktivieren. Gehen Sie folgendermaßen vor, um die Ausnahme zu aktivieren und den UDP-Port 1900 sowie den TCP-Port 2869 zu öffnen:
  1. Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie auf Systemsteuerung. Klicken Sie anschließend auf Sicherheitscenter und auf Windows-Firewall.
  2. Prüfen Sie, ob auf der Registerkarte Allgemein die Option Aktiv (empfohlen) aktiviert ist.

    Hinweis: Wenn die Optionen Aktiv (empfohlen) und Keine Ausnahmen zulassen aktiviert sind, bleiben die Ports für das UPnP-Framework auch dann geschlossen, wenn Sie die weiteren Schritte dieser Methode ausführen.
  3. Aktivieren Sie auf der Registerkarte Ausnahmen das Kontrollkästchen UPnP-Framework.

    Hinweis: Hierdurch werden der UDP-Port 1900 und der TCP-Port 2869 aller Netzwerkadapter dafür eingerichtet, nur Meldungen von Ihrem lokalen Subnetz zu akzeptieren. Um die Einstellungen zu ändern, klicken Sie auf UPnP-Framework und anschließend auf Bearbeiten. Wenn Sie die Konfiguration des Firewalls abgeschlossen haben, klicken Sie auf OK, damit die Änderungen wirksam werden. möglicherweise möchten Sie die Einstellung ändern, beispielsweise, um Meldungen von allen IP-Adressen zu erhalten.
Wichtige Hinweise
  • Sie können die Windows-Firewall manuell so konfigurieren, dass nur einer der vom UPnP-Framework benötigten Ports geblockt wird. Diese Vorgehensweise wird von Microsoft jedoch nicht empfohlen.
  • Wenn Sie die Windows-Firewall deaktivieren, oder wenn eine Gruppenrichtlinie die Firewall-Einstellungen des lokalen Computers überschreibt, können Sie die Einstellungen der Ausnahmen möglicherweise nicht mehr ändern. Selbst wenn Sie Änderungen vornehmen können, sind die Einstellungen möglicherweise nicht wirksam, weil sie von einer Gruppenrichtlinie überschrieben werden.
  • Wenn die Funktion der gemeinsamen Nutzung der Internetverbindung (Internet Connection Sharing, ICS) aktiviert ist, werden nur die UPnP-Framework-Ports auf den privaten Schnittstellen automatisch aktiviert.
  • Wenn diese Funktion aktiviert ist, sollten Sie die Ausnahme nicht manuell aktivieren. Hierdurch wird der Firewall-Schutz für die UPnP-Ports auf allen Netzwerkschnittstellen, einschließlich der öffentlichen ICS-Schnittstelle, deaktiviert. Dies könnte den Computer direkten Angriffen aus dem Internet aussetzen.

Anbieter von UPnP-Geräten und -Kontrollpunkten

UPnP-Anbieter sollten den Portstatus der Windows-Firewall bei der Installation von gehosteten UPnP-Geräten oder -Kontrollpunkten eingehend überprüfen. Sie sollten die Installationsprogramme für die Geräte und Kontrollpunkte so schreiben, dass diese den Status der Firewall-Ausnahme für das UPnP-Framework überprüfen. Orientieren Sie sich beim Schreiben des Installationsprogramms an den folgenden Richtlinien:
  • Wenn die Ausnahme aktiviert ist, wird die Installation fortgesetzt.
  • Wenn die Ausnahme nicht aktiviert ist und die Ports geblockt sind, sollte das Installationsprogramm überprüfen, ob der Benutzer die Ports während der Installation öffnen möchte.
    • Wenn der Benutzer einer Öffnung der Ports zustimmt, sollte das Installationsprogramm die Ausnahme aktivieren und die Installation anschließend fortsetzen.
    • Wenn der Benutzer eine Öffnung der Ports ablehnt, sollte das Installationsprogramm die Ausnahme nicht aktivieren und keine Ports öffnen.

      Hinweis: Wenn der Benutzer die Portöffnung ablehnt, muss der Anbieter entscheiden, ob die Installation fortgesetzt werden soll oder nicht. Microsoft empfiehlt jedoch, die Installation abzubrechen.
  • Wie oben erwähnt, sollte die Ausnahme für das UPnP-Framework nicht aktiviert werden, wenn die ICS-Funktion bereits ausgeführt wird. Dies trifft für die Installationsprogramme von UPnP-Geräten und -Kontrollpunkten sowie für Endbenutzer zu.

    Um mithilfe eines Programms festzustellen, ob die ICS-Funktion ausgeführt wird, kann das Installationsprogramm die APIs (Application Programming Interface) "IEnumNetSharingPublicConnection" und "IEnumNetSharingPrivateConnection" verwenden. Wird sowohl eine öffentliche als auch eine private Verbindung ermittelt, dann wird die ICS-Funktion ausgeführt, und das Installationsprogramm sollte die Ausnahme für das UPnP-Framework nicht aktivieren.

Weitere Informationen

Weitere Informationen dazu, wie Sie die Portkonfiguration in der Windows-Firewall überprüfen und festlegen, finden Sie auf folgender Microsoft-Website:
http://www.microsoft.com/germany/msdn/library/windows/windowsxp/ImplikationenFuerDenEntwickler.mspx?mfr=true (http://www.microsoft.com/germany/msdn/library/windows/windowsxp/ImplikationenFuerDenEntwickler.mspx?mfr=true)

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows XP Professional Service Pack 2 (SP2)
Keywords: 
kbhowto kbinfo KB886257
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store
Folgen Sie uns: