Netzwerkbefehle: ipconfig, ping, tracert, nslookup

Netzwerkprobleme sind FISI-Alltag. „Internet geht nicht", „Drucker nicht erreichbar", „die Anwendung kommt nicht zum Server" – das hörst du in den ersten Berufsjahren tausendfach. Die Werkzeuge um das zu lösen sitzen direkt in der CMD: ipconfig, ping, tracert, nslookup und ein paar mehr. Sie sind seit Windows NT praktisch unverändert – und genau deshalb das Standard-Werkzeug für schnelle Diagnose.

In dieser Lektion lernst du die wichtigsten Befehle und vor allem: in welcher Reihenfolge du sie ansetzt. Denn die Kunst der Netzwerk-Diagnose ist Systematik – nicht alles auf einmal probieren, sondern Schicht für Schicht von unten nach oben durchgehen. Die Konzepte dahinter (TCP/IP, Subnetze, DNS) findest du detailliert in K20, K15 und K16.

1) ipconfig – die eigene Netzwerk-Konfiguration

Der erste Befehl bei jedem Netzwerk-Problem: ipconfig zeigt deine IP-Adresse, Subnetzmaske, Gateway und DNS-Server. Damit weißt du sofort: bist du überhaupt im Netz?

CMD – ipconfig

C:\> ipconfig Windows-IP-Konfiguration Ethernet-Adapter Ethernet: Verbindungsspezifisches DNS-Suffix: firma.local IPv4-Adresse . . . . . . . . . . : 192.168.1.100 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.1.1 Drahtlos-LAN-Adapter WLAN: Medienstatus . . . . . . . . . . : Medium getrennt

Drei Zahlen lesen lernen: IP-Adresse (deine Identität im Netz, z.B. 192.168.1.100), Subnetzmaske (255.255.255.0 = du bist im 192.168.1.x-Netz, alles 1.x ist „lokal"), Gateway (der Router, an den du Pakete für alles außerhalb deines Netzes schickst). Mehr zu IP & Subnetting in K15.

Detailliertere Infos liefert ipconfig /all:

CMD – ipconfig /all

C:\> ipconfig /all Hostname . . . . . . . . . . . . : LAPTOP-ANNA Primäres DNS-Suffix . . . . . . . : firma.local Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein Ethernet-Adapter Ethernet: Verbindungsspezifisches DNS-Suffix: firma.local Beschreibung . . . . . . . . . : Intel(R) Ethernet I219-LM Physische Adresse . . . . . . . : A4-83-E7-12-34-56 (= MAC) DHCP aktiviert. . . . . . . . . : Ja Autokonfiguration aktiviert . . : Ja IPv4-Adresse . . . . . . . . . : 192.168.1.100(Bevorzugt) Subnetzmaske . . . . . . . . . : 255.255.255.0 Lease erhalten. . . . . . . . . : Sonntag, 17. Mai 2026 06:30:42 Lease läuft ab. . . . . . . . . : Sonntag, 24. Mai 2026 06:30:42 Standardgateway . . . . . . . . : 192.168.1.1 DHCP-Server . . . . . . . . . . : 192.168.1.1 DNS-Server . . . . . . . . . . : 192.168.1.10 8.8.8.8 NetBIOS über TCP/IP . . . . . . : Aktiviert

Mit /all bekommst du zusätzlich: MAC-Adresse (die Hardware-Kennung deiner Netzwerkkarte, Layer 2), DHCP-Server (von wem du deine IP bekommen hast, mehr in K17), DNS-Server (für Namens-Auflösung), Lease-Zeiten (wann läuft die IP-Zuweisung ab).

2) ipconfig: Reparatur-Befehle

Aktivste Anwendung: bei Netzwerkproblemen IP-Konfiguration „neu holen". Das ist klassischer First-Level-Support-Trick:

CMD – ipconfig reparieren

REM Aktuelle IP-Zuweisung freigeben C:\> ipconfig /release REM Neue IP vom DHCP-Server anfordern C:\> ipconfig /renew REM DNS-Cache leeren – nach DNS-Änderungen! C:\> ipconfig /flushdns Der DNS-Auflösungscache wurde geleert. REM DNS-Cache anzeigen C:\> ipconfig /displaydns REM Beim Domain Controller neu registrieren C:\> ipconfig /registerdns

Die magische Kombination: ipconfig /release → ipconfig /renew → ipconfig /flushdns löst gefühlt 60% aller „Internet geht nicht"-Probleme. Voraussetzung: DHCP ist im Spiel (statische IPs werden nicht „erneuert"). Für Admin-Befehle brauchst du CMD als Administrator.

3) ping – ist der Host erreichbar?

Der wohl bekannteste Netzwerk-Befehl überhaupt: ping ZIEL schickt kleine ICMP-Echo-Pakete an einen Host und misst wie lange die Antwort braucht. Analogie: wie wenn du in einen Brunnen ruf'st und auf das Echo wartest – das verrät dir, ob jemand da ist und wie weit weg.

Live-Ping ausprobieren

ping -n

Im realen Tool zeigt ping nacheinander Zeile für Zeile – hier simulieren wir das. Im echten Leben kommen die Antworten typischerweise im Sekunden-Takt. Drei Werte sind interessant: Zeit (Round-Trip-Time in ms), TTL (Time-to-Live, je niedriger desto mehr Hops dazwischen), Verlustrate (sollte 0% sein im LAN). Höhere Zeit + niedrigere TTL = Internet-Ziel; niedrige Zeit (1–5 ms) + TTL 64+ = lokaler Server.

Die wichtigsten ping-Optionen:

ping mit Optionen

REM Standard: 4 Pakete C:\> ping 8.8.8.8 REM Anzahl Pakete festlegen C:\> ping -n 10 server.firma.local REM Endlos pingen (Strg+C zum Stoppen) C:\> ping -t server.firma.local REM Größeres Paket (z.B. MTU-Test) C:\> ping -l 1472 -f -n 1 server.firma.local REM -l = Größe, -f = Don't Fragment (Test ob MTU passt) REM IPv4 erzwingen C:\> ping -4 google.com

Was wenn ping nicht antwortet? Das heißt NICHT automatisch „Server ist down". Viele Firewalls blocken ICMP-Pakete aus Sicherheitsgründen (siehe K09 Firewalls). Ein Server kann perfekt laufen und trotzdem nicht „pingbar" sein. Im Zweifel: zusätzlich einen Anwendungs-Port testen (z.B. mit telnet ziel 443 oder Test-NetConnection in PowerShell).

4) tracert – die Route nachvollziehen

Wenn ping Antworten gibt aber langsam ist – wo sitzt das Problem? tracert (Trace Route) zeigt jeden Router der zwischen dir und dem Ziel liegt. Stell dir vor du schickst einen Brief über mehrere Postämter – tracert sagt dir an welchem Postamt der gerade ist.

CMD – tracert

C:\> tracert google.com Routenverfolgung zu google.com [142.251.36.196] über maximal 30 Abschnitte: 1 1 ms 1 ms 1 ms fritz.box [192.168.1.1] 2 8 ms 8 ms 9 ms 10.16.7.1 3 12 ms 11 ms 12 ms bras-1.muc.example-isp.de [62.157.10.1] 4 14 ms 14 ms 13 ms core-rt-1.muc.example-isp.de [62.157.0.5] 5 15 ms 15 ms 14 ms google-peer.de-cix.net [80.81.192.100] 6 16 ms 15 ms 16 ms 142.251.36.196 Ablaufverfolgung beendet.

Lesart von oben nach unten: Hop 1 ist dein Router (Fritzbox = 192.168.1.1), Hop 2-4 sind Provider-Router, Hop 5-6 sind Internet-Knoten und Ziel. Wenn irgendwo plötzlich Sterne (* * *) statt Zeiten stehen – da blockt eine Firewall ICMP oder der Router antwortet nicht. Wenn die Zeiten plötzlich von 15 ms auf 200 ms springen – da sitzt vermutlich ein Engpass.

Wichtige Optionen:

tracert -d ziel: ohne DNS-Auflösung (schneller, IPs statt Namen)
tracert -h 5 ziel: maximal 5 Hops (statt 30 Default)
tracert -4 ziel bzw. -6: IPv4 oder IPv6 erzwingen

Verwandter Befehl: pathping – kombiniert ping und tracert, sammelt über längere Zeit Statistiken pro Hop. Ideal um intermittierende Probleme zu finden („manchmal langsam, manchmal nicht"). Allerdings dauert es 5+ Minuten.

5) nslookup – DNS-Abfragen

Wenn der Browser sagt „DNS-Fehler" oder die Webseite nicht aufrufbar ist obwohl der Server läuft – ist meistens DNS schuld. nslookup fragt direkt einen DNS-Server: „Was ist die IP zu DIESER Domain?"

CMD – nslookup

C:\> nslookup google.com Server: fritz.box Address: 192.168.1.1 Nicht autorisierende Antwort: Name: google.com Addresses: 2a00:1450:4001:81e::200e 142.251.36.196 C:\> nslookup mail.firma.de Server: fritz.box Address: 192.168.1.1 Name: mail.firma.de Address: 10.0.1.42 REM Mit anderem DNS-Server (z.B. Google 8.8.8.8) C:\> nslookup google.com 8.8.8.8 REM Reverse-Lookup: IP zu Name C:\> nslookup 8.8.8.8 Name: dns.google Address: 8.8.8.8

„Nicht autorisierende Antwort" heißt: die Antwort kommt aus einem Cache, nicht direkt vom zuständigen DNS-Server. Für 99% der Fälle völlig ok. Wenn du den definitiven Wert willst, musst du den autoritativen Nameserver fragen (siehe K16 DNS für die Details).

Im interaktiven Modus kannst du Record-Typen abfragen – sehr wichtig für Mail-Probleme:

nslookup – interaktiver Modus

C:\> nslookup Standardserver: fritz.box Address: 192.168.1.1 > set type=MX > firma.de firma.de MX preference = 10, mail exchanger = mx1.firma.de firma.de MX preference = 20, mail exchanger = mx2.firma.de > set type=TXT > firma.de firma.de text = "v=spf1 include:_spf.firma.de ~all" > exit

Record-Typen die du als FISI brauchen wirst: A (IPv4), AAAA (IPv6), MX (Mailserver), NS (autoritative DNS-Server), TXT (Text, oft für SPF/DKIM bei Mail-Authentifizierung), CNAME (Alias). Wenn Mails nicht ankommen → MX-Records prüfen. Wenn Webseite nicht erreichbar → A-Record prüfen. Mehr in K16.

6) Diagnose-Decision-Tree

Jetzt das Wichtigste: wann nimmst du was? Hier ein interaktiver Entscheidungsbaum für den Klassiker „Internet/Netzwerk geht nicht". Klick durch die Fragen:

Netzwerk-Diagnose: was prüfen?

Diese Reihenfolge spiegelt das OSI-Modell wider: von unten (physisch) nach oben (Anwendung). Wenn du auf Layer 7 (Anwendung) ein Problem hast, kann die Ursache auf jeder darunterliegenden Schicht liegen – also unten anfangen. Wer sofort versucht „Webseite aufrufen" zu testen, jagt im Kreis. Mehr Troubleshooting-Strategien in K24 Netzwerk-Troubleshooting.

7) Hostname und arp – wer ist sonst noch da?

Zwei weitere kleine Helfer: hostname zeigt deinen Computer-Namen, arp -a zeigt welche IP-MAC-Paare dein Rechner kennt – also wer in deinem lokalen Netz aktiv ist:

hostname und arp

C:\> hostname LAPTOP-ANNA C:\> arp -a Schnittstelle: 192.168.1.100 --- 0xb Internetadresse Physische Adresse Typ 192.168.1.1 a4-2b-b0-ff-12-34 dynamisch 192.168.1.50 d8-cb-8a-12-34-56 dynamisch 192.168.1.55 78-2b-cb-00-11-22 dynamisch 192.168.1.100 a4-83-e7-12-34-56 dynamisch 192.168.1.255 ff-ff-ff-ff-ff-ff statisch 224.0.0.22 01-00-5e-00-00-16 statisch

Die ARP-Tabelle ist eine Liste aller Geräte in deinem lokalen Subnetz, die dein Computer kennt. Das Address-Resolution-Protokoll übersetzt IP-Adressen (Layer 3) in MAC-Adressen (Layer 2). Bei Netzwerk-Problemen schon mal hilfreich: ist die MAC zur erwarteten IP korrekt? Falls da plötzlich eine fremde MAC steht – möglicher Hinweis auf ARP-Spoofing-Angriff. Mehr zu arp in L8.

8) Die Befehle im Schnellüberblick

Netzwerk-Befehle der CMD

ipconfig

Eigene Netzwerk-Konfiguration. /all für Details, /release + /renew für DHCP-Refresh, /flushdns für DNS-Cache.

ping

Ist Host erreichbar? -n N für Anzahl, -t endlos, -l SIZE für Paketgröße.

tracert

Welche Router liegen dazwischen? -d ohne DNS, -h N max. Hops.

pathping

tracert + Langzeit-Statistik pro Hop. Dauert lange aber findet intermittierende Probleme.

nslookup

DNS-Abfrage. Interaktiv mit set type=MX/TXT/...

hostname

Eigener Computername.

arp -a

IP↔MAC-Tabelle. Wer ist im lokalen Netz?

getmac

Eigene MAC-Adressen aller Adapter.

Diese 8 Befehle decken 80% aller First-Level-Netzwerk-Aufgaben ab. Für tiefer gehende Diagnose (Routing-Tabellen, Sockets, netsh) siehe L8 Erweiterte Netzwerk-Diagnose.

9) Vergleich: CMD vs. PowerShell für Netzwerk

Wer mit PowerShell L8 vertraut ist, kennt die modernen Pendants:

Aufgabe	CMD	PowerShell-Pendant
Eigene IP	`ipconfig`	`Get-NetIPConfiguration`
Erreichbarkeit	`ping`	`Test-NetConnection`
Route	`tracert`	`Test-NetConnection -TraceRoute`
DNS	`nslookup`	`Resolve-DnsName`
DNS-Cache leeren	`ipconfig /flushdns`	`Clear-DnsClientCache`
ARP	`arp -a`	`Get-NetNeighbor`
MAC	`getmac`	`Get-NetAdapter \| Select MacAddress`

CMD-Befehle sind kürzer und schneller zu tippen – für die schnelle Diagnose ideal. PowerShell-Cmdlets liefern Objekte mit denen du in Skripten weiterarbeiten kannst – für Automation der Standard. In der Praxis: für 90-Sekunden-Diagnose nimmst du CMD, für Monitoring-Skripte PowerShell.

10) Praxis-Szenario: schritt-für-schritt

Anrufer: „Mein Outlook lädt keine Mails mehr." Was tust du? So gehst du systematisch vor:

Diagnose-Sequenz

REM 1. Eigene IP-Config prüfen (hat der Rechner Netzwerk?) C:\> ipconfig REM IPv4: 192.168.1.100 - OK, Adresse vorhanden REM 2. Gateway erreichbar? C:\> ping 192.168.1.1 REM Antwortet - lokales Netz OK REM 3. Internet erreichbar? C:\> ping 8.8.8.8 REM Antwortet - Internet steht REM 4. DNS funktioniert? C:\> nslookup mail.firma.de REM Antwort: 10.0.1.42 - DNS löst auf REM 5. Mailserver direkt erreichbar? C:\> ping mail.firma.de REM Zeitüberschreitung der Anforderung! REM Aha! DNS-Auflösung OK, aber Server pingt nicht. REM Mit tracert sehen wo es scheitert: C:\> tracert mail.firma.de REM Diagnose: Mailserver oder Netzwerk-Strecke REM dorthin hat ein Problem. An nächste Stelle eskalieren.

Diese Sequenz dauert keine 2 Minuten und ist diagnostisch vollständig: am Ende weißt du ob das Problem beim Client, im LAN, im Internet, beim DNS oder am Zielserver liegt. Das ist das gold standard FISI-Wissen. Mehr zu strukturierter Fehlersuche in K24 Netzwerk-Troubleshooting und im Praxiskapitel L10.

Zusammenfassung

ipconfig zeigt eigene Netz-Config; /all für Details, /release + /renew für DHCP-Refresh, /flushdns für Cache leeren. ping HOST testet Erreichbarkeit; -n Anzahl, -t endlos, -l Größe. tracert HOST zeigt Route mit jedem Hop. nslookup HOST macht DNS-Abfragen; interaktiv mit set type=MX/TXT/A. arp -a zeigt IP-MAC-Tabelle, hostname eigenen Namen, getmac MAC-Adressen. Diagnose-Reihenfolge: nach OSI-Modell von unten nach oben – Physisch → IP-Adresse → Gateway → Internet → DNS → Anwendung. Klassische Reparatur: ipconfig /release + /renew + /flushdns löst gefühlt 60% aller „Internet geht nicht"-Probleme. Bei nicht-antwortendem ping: nicht zwingend Server tot – kann auch Firewall sein. PowerShell-Pendants: Test-NetConnection, Resolve-DnsName, Get-NetIPConfiguration – siehe K44 L8.