Dieser Beitrag hilft Ihnen als Reseller praxisnah beim Umgang mit Systemabstürzen mit denen Sie immer wieder konfrontiert werden. Zugegeben, Windows 7 zeigt sich deutlich unempfindlicher als seine Vorgänger, Anwender bekommen die "Bluescreens" deutlich seltener zu sehen als noch unter Vista oder XP. Dennoch kennt so gut wie jeder Anwender den blauen Bildschirm mit den kryptischen Fehlermeldungen.
Was für den Anwender ein Ärgernis ist, soll das System eigentlich schützen. Denn ein Bluescreen wird in fast allen Fällen nicht durch Windows oder eine Anwendung verursacht. Häufige Ursache ist ein fehlerhafter Treiber oder auch defekte Hardware. Arbeitspeicher, Prozessor, Festplatten oder Hauptplatinen - die Schuldigen können nahezu beliebig komplex sein. Bei einem Bluescreen läuft Windows noch stabil genug, um den Fehler zu protokollieren und sich selbst sofort zu beenden.
Vielfältige Ursachen
Meistens erscheinen bei einem Bluescreen eine achtstellige Hexadezimalzahl und eine kurze Beschreibung des Fehlers, etwa "IRQ_NOT_LESS_OR_EQUAL" oder "INACCESSIBLE_BOOT_DEVICE". Manchmal zeigt Windows auch die Datei an, die den Fehler verursacht hat - meistens eine *.sys-Datei, also ein Treiber.
Schreibt ein Treiber durch Programmierfehler in einen Arbeitsspeicherbereich, in dem sich bereits Daten eines anderen Treibers oder sogar des Systems befinden, stellt Windows sofort seinen Betrieb ein und meldet den Fehler als Bluescreen. Würde das System nicht so vorgehen, könnten durch die ungültigen Bereiche im Arbeitsspeicher beispielsweise Daten zerstört werden.
Solche Kernelzugriffe von Treibern hat Microsoft ab Windows 2000 und XP verringert und mit Windows Vista/7 nahezu abgeschafft, sodass Bluescreens in diesem Bereich eher selten auftreten. Verliert ein Teil des Arbeitsspeichers durch einen physikalischen Defekt jedoch Daten, kann auch unter Windows Vista/7 ein Bluescreen erscheinen. Die blauen Freudenbringer gibt es auch unter Unix oder Linux, sie werden hier aber als "Kernel panic" bezeichnet.
Prozessor und Arbeitsspeicher
Eine häufige Ursache von Bluescreens sind überhitzte CPUs. Wenn die Abstürze regelmäßig auftreten, hilft ein Blick auf die Temperatur der CPU, etwa mit dem praktischen Tool Speedfan (siehe auch SpeedFan - Hardware überwachen) oder vergleichbarer Software.
Viele Hauptplatinen lösen in solchen Fällen Bluescreens in Windows aus. Treten solche oft auf Ihrem Computer auf, obwohl Sie nur aktuelle und offizielle Treiber einsetzen, liegt es eventuell am Arbeitsspeicher. In diesem Fall können Sie den Arbeitsspeicher mit Testprogrammen überprüfen.
Unter Windows Vista/7 gibt es dazu das Windows-Speicherdiagnose-Tool, das Sie über den Befehl
mdsched.exe
im Suchfeld des Startmenüs aufrufen. Für andere Windows-Versionen oder ausführlichere Tests hilft Windows Memory Diagnostic. Das Tool erstellt eine Boot-Diskette oder eine boot-fähige CD, von der Sie starten und dann den Arbeitsspeicher ausführlich testen lassen.
Microsoft Diagnostic and Recovery Toolset (DaRT)
Microsoft bietet für Kunden mit speziellen Verträgen das Microsoft Desktop Optimization Package (MDOP) an, eine Sammlung verschiedener Tools, die bei Problemen mit Windows 7 helfen sollen. Ein Tool zur Analyse von Abstürzen ist das DaRT. TechNet und MSDN-Kunden können das Tool-Set testen.
Die Installation von DaRT führen Sie über die Installationsoberfläche des MDOP durch. Nach der Installation starten Sie die Tools über eine eigene Programmgruppe. Bestandteil von DaRT ist der Assistent für die Absturzanalyse. Einfach gesagt lassen sich mit dem Tool die Dump-Dateien von Bluescreens analysieren. Dazu greift es auf die Freeware Microsoft Debugging-Tools zurück und analysiert mit deren Hilfe die von Windows erzeugten Dump-Dateien eines Absturzes oder Bluescreens.
Die Debugging-Tools müssen Sie getrennt zu DaRT herunterladen und installieren. Die Tools stehen kostenlos zur Verfügung, Sie benötigen dazu nicht das MDOP. Für Windows 7 und Windows Server 2008 R2 installieren Sie die Debugging-Tools über das Windows 7 SDK.
Bluescreens lassen sich auch ohne den Assistenten für die Absturzanalyse mit den Debugging-Tools untersuchen. Wie das geht, zeigen wir Ihnen im Folgenden. Mit dem Assistenten für die Absturzanalyse ist die Untersuchung aber wesentlich einfacher.
Startverhalten und Protokollinformationen
Windows Server 2008 R2 und Windows 7 sind standardmäßig so eingestellt, dass nach einem Bluescreen automatisch der Rechner neu startet. Das hat auf der einen Seite den Vorteil, dass der Server oder Client dann recht schnell wieder zur Verfügung steht. Auf der anderen Seite können Administratoren in diesem Fall die entsprechende Fehlermeldung nicht lesen. Im schlimmsten Fall verfängt sich das System in einer Schleife, wenn nach jedem Start erneut ein Bluescreen erscheint.
Die möglichen Einstellungen, wie sich Windows nach einem Bluescreen verhalten soll, finden Sie unter Start/Systemsteuerung/System und Sicherheit/System/Erweiterte Systemeinstellungen. Klicken Sie im Bereich Starten und Wiederherstellen auf die Schaltfläche Einstellungen. Über den Bereich Systemfehler lassen sich die Einstellungen vornehmen.
Zunächst sollten Sie das Häkchen Automatisch Neustart durchführen deaktivieren, wenn Sie wollen, dass ein Server oder ein Computer im Bluescreen stehen bleiben soll. Im Bereich Debuginformationen wählen Sie über das Dropdown-Menü aus, welche Art von Informationen das Betriebssystem protokollieren soll. Am besten ist die Variante Kleines Speicherabbild geeignet, da andere Informationen ohnehin meist eher verwirrend sind.
Die hier protokollierten Informationen können Sie mit den Microsoft-Debugging-Tools oder dem Assistenten für die Absturzanalyse auslesen. Hier legen Sie auch fest, in welchem Verzeichnis das Speicherabbild mit dem Fehler abgelegt werden soll. Um eine *.dmp-Datei mit den Tools zu analysieren, laden Sie diese ganz normal in das Programm ein.
Bluescreen-Analyse mit Assistentenunterstützung
Die Microsoft-Debugging-Tools analysieren zusammen mit dem Assistenten für die Absturzanalyse die Protokolldatei, die Windows beim Auftreten des Bluescreens erzeugt hat.
Deren Inhalt lässt Rückschlüsse auf den Ursprung des Fehlers zu. Wenn Sie den Assistenten für die Fehleranalyse einsetzen, müssen Sie nicht die Debugging-Tools starten, sondern den Assistenten. Zunächst wählen Sie das Verzeichnis aus, in dem die Debugging-Tools installiert sind. Auf der nächsten Seite können Sie das (lokale) Verzeichnis festlegen, in das der Assistent Daten ablegen kann.
Laden Sie jetzt die *.dmp-Datei des Bluescreens. Standardmäßig legt Windows die Dateien im Verzeichnis C:\Windows als memory.dmp ab. Sie können den Pfad aber über den bereits beschriebenen Weg anpassen. Als Nächstes analysiert der Assistent für die Absturzanalyse die *.dmp-Datei und zeigt die Ursache des Bluescreens an. Wenn Sie auf Details klicken, erhalten Sie mehr Informationen zum Bluescreen auf Basis der Debugging-Tools. Die Analyse via Assistent ist wesentlich einfacher als der direkte Weg über die Microsoft-Debugging-Tools.
Rettungs-CD mit Tools
Nach der Installation des DaRT steht auch der ERD-Command auf dem Computer zur Verfügung. Mit diesem Tool können Sie eine Rettungs-CD erstellen. Hierfür starten Sie den ERD-Commander. Zunächst benötigen Sie eine Installations-DVD von Windows 7 oder Windows Server 2008 R2. Zum Erstellen der CD müssen das gleiche Betriebssystem verwenden, das auch auf dem System läuft, auf dem Sie den ERD-Commander ausführen.
Von dieser DVD lädt der Assistent die zum Erstellen der CD erforderlichen Daten. Im nächsten Schritt kopiert der Assistent die notwendigen Dateien auf den Computer. Auf der nächsten Seite können Sie auswählen, welche Tools Sie aus dem DaRT auf der Start-CD integrieren wollen. Generell ist zu empfehlen, möglichst alle Tools zu verwenden, da sie nicht viel Speicherplatz benötigen.
Damit Sie den Assistenten für die Absturzanalyse über die Rettungs-CD verwenden können, müssen auf der CD auch die Microsoft-Debugging-Tools verfügbar sein. Am besten installieren Sie sie auf dem Computer. Wenn Sie bei dem Erstellen der Rettungs-CD mit dem ERD-Commander den Assistenten für die Absturzanalyse als mit zu installierendes Tool auswählen, werden Sie in einem weiteren Fenster gefragt, wo sich die Microsoft-Debugging-Tools befinden. Auf diesem Weg lassen sich diese Tools dann leicht auf der Rettungs-CD integrieren.
Bluescreen-Analyse ohne den Assistenten für die Absturzanalyse
Sie können auch ohne das MDOP und den Assistenten für die Absturzanalyse Bluescreens mit den Microsoft-Debugging-Tools untersuchen.
Nach der Installation starten Sie die Debugging-Tools zur Analyse über Start/Programme/Debugging Tools für Windows/WinDbg. Über das Menü File/Symbol File Path tragen Sie am besten noch den Befehl SRV*c:\websymbols*http://msdl.microsoft.com/download/symbols ein. Dieser bewirkt, dass das Programm automatisch notwendige Ressourcen aus dem Internet in den Ordner C:\Websymbols herunterlädt, wenn diese für die Analyse benötigt werden. Eine ausführliche Anleitung zur Bluescreen-Analyse finden Sie bei Microsoft.
Wenn Sie eine Dump-Datei öffnen, also das Protokoll des Bluescreens, sehen Sie ein Fenster mit zwei Bereichen: Command und Disassembly. Den meisten Anwendern dürften die Informationen unter Command genügen. Die Daten unter Disassembly sind hauptsächlich für Programmierer gedacht, die Fehler in eigenen Anwendungen oder Treibern suchen. Interessant ist der Bereich Bugcheck Analysis. Hier sehen Sie den Fehlercode, der auch sehr gut für die Recherche im Internet geeignet ist. Durch Eingabe des Befehls
!analyze -v
im Command-Fenster zeigen die Tools weitere Informationen an, die ebenfalls der Recherche dienen. In der Zeile Probably caused by sehen Sie die Datei, die vermutlich den Fehler verursacht hat. Über den Befehl
lm v m<Dateiname>
erhalten Sie weitere Informationen. Geben Sie den Dateinamen ohne Endung und direkt hinter m an, ohne Leerzeichen. Meldet das System eine bestimmte Datei, weist diese auf den entsprechenden Treiber hin.
Nirsoft BlueScreenView
Eine gute Möglichkeit, Bluescreen-Ursachen auf die Spur zu kommen, ist die Software BlueScreenView.
Diese liefert Ihnen Informationen zu den Bluescreens, womit Sie Fehler schneller finden. Der Vorteil des Tools ist, dass Sie den Viewer nicht installieren müssen; er lässt sich daher von einem USB-Stick aufrufen.
Das Tool analysiert die Datei memory.dmp, die Windows mit dem Bluescreens erzeugt. Liegt diese Datei im Verzeichnis C:\Windows\minidump, liest das Tool die Datei automatisch ein. Findet es sie nicht, kopieren Sie memory.dmp von c:\windows in das Verzeichnis c:\windows\minidump. Ist das Verzeichnis nicht vorhanden, legen Sie es an.
Nach dem Einlesen der Datei liefert der Fehler in der Spalte Bug Check String einen ersten Hinweis, den Sie für die Internetrecherche nutzen. Zusätzlich verwenden Sie noch den Code in der Spalte Bug Check Code. Klicken Sie doppelt auf memory.dmp, öffnet sich ein Detailfenster des Absturzes. Hat ein Treiber den Bluescreen verursacht, sehen Sie diesen in der Spalte Caused by Driver. Auch diese Information sollten Sie in die Recherche mit einbeziehen.
Bluescreen-Fehler beheben - vorherigen Treiber verwenden
Können Sie die Ursache für den Bluescreen eingrenzen und erhalten über eine Suchmaschine nähere Informationen, zum Beispiel das Ändern bestimmter Registrykeys, sind Sie schon ein Stück weiter.
Ist ein Treiber schuld am Fehler, installieren Sie die aktualisierte Version. Tritt ein Fehler bei Ihnen erst nach der Installation eines neuen Treibers auf, können Sie in Windows den vorherigen Treiber aktivieren, mit dem das System noch stabil läuft. Das geht natürlich nur dann, wenn Windows noch hochfährt und Sie den Gerätemanager starten können. Um eine vorherige Version eines Treibers wiederherzustellen, gehen Sie folgendermaßen vor:
1. Starten Sie Windows.
2. Starten Sie den Gerätemanager, zum Beispiel über devmgmt.msc.
3. Klicken Sie mit der rechten Maustaste auf das Gerät, dessen Treiber Sie aktualisiert haben.
4. Wählen Sie Eigenschaften.
5. Klicken Sie auf die Registerkarte Treiber.
6. Wählen Sie die Option Vorheriger Treiber, um den Treiber zu ersetzen.
Systemwiederherstellung und Systemdateien
Haben Sie den Treiber über ein Installationsprogramm installiert oder kommt der Absturz nicht von einem Treiber, sondern von einer Anwendung, die Sie installiert haben, können Sie in Windows auch den Systemzustand wiederherstellen. Damit kehrt Windows zu dem Zustand vor der Installation der Anwendung zurück.
Um den Zustand zurückzusetzen, müssen Sie Windows starten oder über die Windows-DVD oder einen Rettungsdatenträger booten und die Computerreparaturoptionen starten. In Windows können Sie den Zustand folgendermaßen wiederherstellen:
1. Starten Sie die Systemsteuerung.
2. Klicken Sie auf System und Sicherheit.
3. Klicken Sie auf Sichern und Wiederherstellen.
4. Klicken Sie auf Systemeinstellungen auf dem Computer wiederherstellen.
5. Klicken Sie auf Systemwiederherstellung öffnen.
6. Wählen Sie im Assistenten einen Zeitpunkt aus, an dem der Computer noch gestartet ist. Dieses Fenster erhalten Sie auch über die Computerreparaturoptionen, wenn Sie den Computer mit der Windows-DVD oder mit einem Rettungsdatenträger starten.
In manchen Fällen werden Systemdateien von Windows so zerstört, dass Windows zwar noch startet, aber dennoch Fehler erscheinen oder einige Funktionen nicht mehr richtig hochgefahren werden können. In diesem Fall sind eventuell defekte Systemdateien daran schuld, doch die können Sie leicht wiederherstellen:
1. Öffnen Sie über das Kontextmenü einer Eingabeaufforderung eine Befehlszeile mit Administratorrechten.
2. Geben Sie den Befehl sfc /scannow ein.
3. Windows scannt sämtliche Systemdateien und stellt diese im Bedarfsfall wieder her. Der Scanvorgang dauert einige Minuten.
Was ebenfalls oft bei Fehlern hilft, ist die (erneute) Installation des aktuellsten Service Packs für das Betriebssystem.
Systemrettung für Windows 7 im Vorfeld anpassen
Wenn Windows 7 nicht mehr ordnungsgemäß funktioniert und auch die Bordmittel nicht mehr automatisch für Hilfe sorgen können, haben Sie eine Chance, mit einem Windows-7-Rettungsdatenträger das System wiederherzustellen.
Damit das funktioniert, benötigen Sie aber nicht nur einen entsprechenden Rettungsdatenträger, sondern müssen in Windows 7 bereits vor dem Absturz bereits einige Sicherheitsmechanismen aktivieren respektive aktiviert haben. Die dazu notwendigen Einstellungen finden Sie zunächst in der Systemsteuerung über System und Sicherheit\System durch Klicken auf den Menüpunkt Computerschutz.
Auf dieser Seite stehen Ihnen die drei Schaltflächen Systemwiederherstellung, Konfigurieren und Erstellen zur Verfügung. Mit Systemwiederherstellung können Sie Windows 7 zu einem Zeitpunkt zurücksetzen, an dem Sie Änderungen vorgenommen, zum Beispiel eine Anwendung oder einen Patch installiert haben. Bei der Installation von Programmen oder Patches führt Windows 7 teilweise automatisch eine Sicherung der Systemdateien an, die Sie über dieses Menü zurücksetzen können, zum Beispiel wenn es Probleme mit installierten Anwendungen gibt. Den gleichen Menüpunkt erreichen Sie, wenn Sie mit der Windows-7-Rettungs-CD booten.
Wiederherstellungspunkt oder Abbild erstellen
Damit Sie einen Systemwiederherstellungspunkt verwenden können, muss natürlich auch einer vorhanden sein. Sie können daher auch manuell einen solchen Wiederherstellungspunkt erstellen, indem Sie auf die Schaltfläche Erstellen klicken. Außerdem müssen Sie über Konfigurieren festlegen, welche Festplatten im System durch diese Technik geschützt sind. Bei der Systemwiederherstellung löscht oder überschreibt Windows keinerlei Benutzerdaten, sondern lediglich Systemdateien. Über diesen Bereich können Sie sehr viele Probleme in Windows 7 lösen, da die meisten Ursachen für Abstürze oft neu installierte Treiber, Patches oder Anwendungen sind.
Eine weitere wichtige Funktion zur Systemwiederherstellung finden Sie in der Systemsteuerung über System und Sicherheit\Sichern und Wiederherstellen. Hier können Sie über den Menüpunkt Systemabbild erstellen ein Image Ihres PCs auf einer externen Festplatte erstellen. Windows legt das Image als VHD-Datei an. Sie können über die Windows-7-Rettungs-CD ein solches Image wieder einspielen, sodass Sie auf diesem Weg auch ein Windows-System wiederherstellen können, das nicht mehr funktioniert.
Achten Sie aber darauf, dass bei der Wiederherstellung eines Systemabbildes, im Gegensatz zur Systemwiederherstellung, auch die Benutzerdaten überschrieben werden. Das Systemabbild stellt Windows exakt mit den Daten wieder her, die auf dem Computer waren, als Sie das Abbild erstellt haben.
System wiederherstellen
Um die Systemwiederherstellung oder die Systemabbild-Wiederherstellung zu starten, wählen Sie als Boot-System die erstellte Windows-7-Rettungs-CD aus oder die Installationsroutine von Windows 7.
Beim Starten überprüft die CD bereits, ob Fehler im Boot-Manager der Windows-7-Installation vorliegen, die behoben werden können. Lassen Sie in diesem Fall die Reparatur durchführen und starten Sie den Rechner neu, wenn der Assistent das fordert. Haben Sie erneut mit der Windows-7-Rettungs-CD gebootet, findet die Rettungs-CD die installierte Windows-7-Edition auf dem Computer, und Sie können auf die Daten der Systemwiederherstellung beziehungsweise auf die erstellten Windows-Abbilder zugreifen.
Allerdings funktioniert das nur innerhalb der gleichen Bit-Version, also 32-Bit oder 64-Bit. Im Zweifelsfall müssen Sie eine Rettungs-CD für beide Varianten auf dem Stick ablegen. Über Assistenten können Sie die Daten wiederherstellen; diese greifen dabei auf die Konfiguration des installierten Betriebssystems zurück.
In den Reparaturoptionen haben Sie weitere Möglichkeiten zur Systemwiederherstellung. Auch eine Diagnose des Arbeitsspeichers können Sie an dieser Stelle durchführen. Alle Funktionen sind mit entsprechenden Assistenten ausgestattet.
Windows-7-Startoptionen
Wenn Windows nicht mehr ordnungsgemäß startet, können Sie beim Starten des Computers mit der Taste F8 die Windows-7-Startoptionen aufrufen, die manchmal bei Startproblemen helfen können.
Nach Aufrufen der erweiterten Startoptionen stehen Ihnen verschiedene Funktionen zur Verfügung. Bei manchen Optionen, zum Beispiel dem abgesicherten Modus, wird Windows in einem eingeschränkten Zustand gestartet, bei dem lediglich die absolut notwendigen Funktionen verfügbar sind. Falls ein Problem nach dem Starten im abgesicherten Modus nicht mehr auftritt, können die Standardeinstellungen und die Basisgerätetreiber als mögliche Ursache ausgeschlossen werden.
• Abgesicherter Modus - startet Windows mit den mindestens erforderlichen Treibern und Diensten.
• Abgesicherter Modus mit Netzwerktreibern - startet Windows im abgesicherten Modus zusammen mit den für den Zugriff auf das Internet oder auf andere Computer im Netzwerk erforderlichen Netzwerktreibern und -diensten.
• Abgesicherter Modus mit Eingabeaufforderung - startet Windows im abgesicherten Modus mit einem Eingabeaufforderungsfenster anstelle der normalen Windows-Benutzeroberfläche. Diese Option sollte nur von IT-Fachleuten und Administratoren verwendet werden.
• Startprotokollierung aktivieren - erstellt die Datei Ntbtlog.txt, in der alle Treiber aufgelistet werden, die beim Starten installiert werden und für die erweiterte Problembehandlung nützlich sein können.
• Anzeige mit niedriger Auflösung aktivieren - startet Windows mithilfe des aktuellen Videotreibers und mit niedrigen Einstellungen für Auflösung und Aktualisierungsrate. Mithilfe dieses Modus können Sie die Anzeigeeinstellungen zurücksetzen.
• Letzte als funktionierend bekannte Konfiguration - Startet Windows mit der letzten funktionsfähigen Registrierungs- und Treiberkonfiguration.
• Debugmodus - startet Windows in einem erweiterten Problembehandlungsmodus.
• Automatischen Neustart bei Systemfehler deaktivieren - verhindert, dass Windows nach einem durch einen eigenen Fehler verursachten Absturz automatisch neu gestartet wird. Wählen Sie diese Option nur aus, wenn Windows in einer Schleife festgefahren ist, die aus Absturz, Neustart und erneutem Absturz besteht.
• Erzwingen der Treibersignatur deaktivieren - ermöglicht, dass Treiber mit ungültigen Signaturen installiert werden.
• Windows normal starten - fährt Windows im normalen Modus hoch.
LastKnownGood - Windows reparieren
Normalerweise benötigen Sie die erwähnten Startoptionen nur selten. Wenn Sie möglichst immer nur aktuelle und kompatible Software installieren, nur signierte Treiber verwenden und nur dann Änderungen am System durchführen, wenn Sie genau wissen, was Sie da tun, läuft Windows 7 deutlich stabiler als seine Vorgänger.
Der abgesicherte Modus und die ergänzenden Startoptionen sind der einfachste Ansatz, um Windows 7 im Fehlerfall neu zu starten. Die beiden Registry-Unterschlüssel ControlSet001 und ControlSet002 sind Sicherungen der Dienste und Einstellungen. Mit diesen können Sie im Falle eines Fehlers über die Boot-Option Letzte als funktionierend bekannte Konfiguration Windows reparieren.
Unter HKEY_LOCAL_MACHINE\SYSTEM\Select sehen Sie, welchen Eintrag Windows aktuell verwendet. Ist der Unterschlüssel ControlSet001 als CurrentControlSet gespiegelt, trägt Windows diesen beim Herunterfahren in ControlSet002 und als LastKnownGood ein. Diesen nutzt Windows, wenn Sie Letzte als funktionierend bekannte Konfiguration laden. ControlSet001 löscht Windows nicht, sondern verwendet ControlSet003 als Sicherung. (mje)
Der Artikel stammt von der CW-Schwesterpublikation TecChannel. (sh)