Netzwerkbefehle: Test-NetConnection, Resolve-DnsName

Als FISI hast du fast täglich mit Netzwerk-Problemen zu tun: „Drucker erreichbar?", „Warum kann der Server nicht ins Internet?", „DNS funktioniert nicht". Statt zur grafischen cmd.exe zu greifen mit ping, nslookup, tracert, hat PowerShell eigene Cmdlets für all das – mit dem gewohnten Objekt-Output aus L3. Du kannst Ergebnisse filtern, sortieren, in Reports verarbeiten.

In dieser Lektion behandeln wir die wichtigsten Netzwerk-Cmdlets: Test-NetConnection (ping + Portscan in einem), Resolve-DnsName (DNS-Abfragen), die NetTCPIP-Cmdlets (IP-Konfiguration), und HTTP-Requests mit Invoke-WebRequest. Die Netzwerk-Konzepte selbst (TCP/IP, DNS, Subnetze) findest du in K20, K16 und K15.

1) Netzwerk-Diagnose nach OSI-Schichten

Bei Netzwerk-Problemen gehst du systematisch vor – von unten nach oben durch die OSI-Schichten. Klick die Schichten an:

Netzwerk-Diagnose nach Schichten

L1/L2

Physisch und Datalink – Kabel, NIC, MAC

Get-NetAdapter

Network – IP-Adressen, Routing, ICMP/ping

Test-NetConnection

Transport – TCP/UDP, Ports

Test-NetConnection -Port

Application – HTTP, DNS, FTP

Invoke-WebRequest, Resolve-DnsName

Bei Netzwerk-Problemen von unten nach oben prüfen: Erst Kabel/NIC, dann IP-Verbindung, dann Port, dann Anwendung. So findest du den genauen Punkt wo es klemmt. Anders herum (von oben nach unten zu suchen) ist Zeitverschwendung: wenn der Anwendungs-Test fehlschlägt, kann die Ursache auf jeder darunterliegenden Schicht sein.

2) Test-NetConnection: das Schweizer Messer

Wenn du nur EIN Cmdlet aus dieser Lektion lernst, dann dieses. Test-NetConnection (Alias: tnc) ist Ping, Portscan, Traceroute und DNS-Test in einem. Mit Objekten als Output statt nur Text. Schau mal:

Test-NetConnection Output

Test-NetConnection -Port

Drei wichtige Kombinationen: Test-NetConnection HOST = Ping. Test-NetConnection HOST -Port N = TCP-Port-Test. Test-NetConnection HOST -TraceRoute = vollständige Route. -Quiet liefert nur True/False zurück – perfekt für Skripte. InformationLevel Detailed zeigt zusätzlich Latenz, MTU, etc.

Die Spezial-Modi für verschiedene Aufgaben:

# Klassischer Ping-Ersatz Test-NetConnection 8.8.8.8 # Nur True/False zurückgeben – ideal für Skripte Test-NetConnection 8.8.8.8 -Quiet # → True # Mit TCP-Port-Test Test-NetConnection mail.firma.de -Port 25 # Detaillierte Info (Latenz, MTU, Routing-Hops) Test-NetConnection www.example.com -InformationLevel Detailed # Traceroute (welche Router liegen dazwischen?) Test-NetConnection www.example.com -TraceRoute # Verkürzte Form mit tnc tnc google.com -Port 443 -InformationLevel Quiet # Mehrere Ports testen mit Pipeline $ports = @(22, 80, 443, 3389) $ports | ForEach-Object { $ok = Test-NetConnection srv01 -Port $_ -InformationLevel Quiet [PSCustomObject]@{ Port = $_ IsOpen = $ok } }

Vergleich zu Linux/Bash: dort brauchst du ping + nc -zv + traceroute separat. In PowerShell ist alles ein Cmdlet, mit Objekt-Output, das du in Pipeline-Operationen einbauen kannst.

3) Resolve-DnsName: DNS-Abfragen

Der nslookup-Ersatz, aber objektorientiert. Wenn ein Webdienst nicht funktioniert, ist DNS sehr oft die Ursache. Hier prüfst du es:

# Standard: DNS-Auflösung Resolve-DnsName www.google.com # Bestimmten Record-Typ Resolve-DnsName google.com -Type MX # Mail-Server Resolve-DnsName google.com -Type TXT # TXT-Records (SPF, DKIM, ...) Resolve-DnsName www.google.com -Type CNAME # Reverse-Lookup (IP → Name) Resolve-DnsName 8.8.8.8 # Mit anderem DNS-Server (z.B. um eigenen Cache zu umgehen) Resolve-DnsName www.example.com -Server 8.8.8.8 # Nur die IP rausextrahieren (Resolve-DnsName www.google.com).IPAddress # DNS-Cache auf dem lokalen Rechner Get-DnsClientCache # anzeigen Clear-DnsClientCache # leeren (wie ipconfig /flushdns)

Die wichtigsten DNS-Record-Typen die du als FISI kennen solltest:

DNS-Record-Typen

IPv4-Adresse zu Name

142.251.36.196

AAAA

IPv6-Adresse zu Name

2a00:1450:...

CNAME

Alias auf anderen Namen

www → google.com

Mail-Server für Domain

mail.firma.de (Prio 10)

TXT

Textinfo (SPF, DKIM, ...)

"v=spf1 ..."

Autoritative DNS-Server

ns1.firma.de

SRV

Service-Locator (z.B. AD)

_ldap._tcp...

PTR

Reverse (IP→Name)

dns.google

Bei AD-Problemen besonders wichtig: SRV-Records – Domain Controller registrieren sich darin. Resolve-DnsName _ldap._tcp.firma.local -Type SRV zeigt alle DCs. Wenn die fehlen, finden Clients keinen DC und das Login schlägt fehl. Mehr DNS-Konzepte in K16.

4) IP-Konfiguration einsehen und ändern

Die NetTCPIP-Cmdlets ersetzen ipconfig, aber mit viel mehr Möglichkeiten:

# Ipconfig-Ersatz: aktuelle Konfiguration aller Adapter Get-NetIPConfiguration # Nur die IPs (alle) Get-NetIPAddress # Nur IPv4 Get-NetIPAddress -AddressFamily IPv4 # Nur die Adapter Get-NetAdapter # Standard-Gateway anzeigen (Get-NetIPConfiguration).IPv4DefaultGateway # DNS-Server der Adapter Get-DnsClientServerAddress # Statische IP setzen (vorher prüfen welcher Adapter!) New-NetIPAddress -InterfaceAlias "Ethernet" ` -IPAddress 192.168.1.50 ` -PrefixLength 24 ` -DefaultGateway 192.168.1.1 # DNS-Server ändern Set-DnsClientServerAddress -InterfaceAlias "Ethernet" ` -ServerAddresses 8.8.8.8, 1.1.1.1 # Zurück auf DHCP Set-NetIPInterface -InterfaceAlias "Ethernet" -Dhcp Enabled Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ResetServerAddresses # Routing-Tabelle (wie route print) Get-NetRoute -AddressFamily IPv4

Für Server-Konfiguration sehr wertvoll: du kannst die ganze Netzwerk-Einrichtung scripten. Server provisionieren? Ein Skript setzt IP, Gateway, DNS, Hostname – fertig. Manuell durch die GUI dauert das Minuten und ist fehleranfällig, mit PowerShell ein paar Zeilen.

5) Offene Ports und Verbindungen

Welche Programme „lauschen" auf dem Server? Wer ist gerade verbunden? Das ist Routine bei Security-Audits oder wenn ein Port belegt ist:

# Alle TCP-Verbindungen (wie netstat) Get-NetTCPConnection # Nur lauschende Sockets (Server-Prozesse) Get-NetTCPConnection -State Listen # Wer hört auf Port 80? Get-NetTCPConnection -LocalPort 80 # Mit Prozess-Info zusammen führen Get-NetTCPConnection -State Listen | ForEach-Object { [PSCustomObject]@{ LocalPort = $_.LocalPort PID = $_.OwningProcess Process = (Get-Process -Id $_.OwningProcess -ErrorAction SilentlyContinue).Name } } | Sort-Object LocalPort # UDP-Endpoints Get-NetUDPEndpoint # Aktive externe Verbindungen Get-NetTCPConnection -State Established | Where-Object { $_.RemoteAddress -ne "127.0.0.1" -and $_.RemoteAddress -notlike "::*" }

Klassische Use-Cases: ein Webserver startet nicht, weil „Port 80 schon belegt" – mit dem zweiten Cmdlet siehst du sofort welcher Prozess (oft alte Skype-Version, IIS Service-Reste, etc.). Bei Security-Checks: welche unerwarteten Ports sind offen? Mehr zu Ports und Firewalls in K09.

6) Windows-Firewall steuern

Die Windows-Firewall lässt sich komplett per PowerShell konfigurieren. Wichtige Cmdlets:

# Aktuelle Firewall-Profile (Domain, Private, Public) Get-NetFirewallProfile # Alle Regeln anzeigen Get-NetFirewallRule # Nur aktive eingehende Regeln Get-NetFirewallRule | Where-Object { $_.Direction -eq "Inbound" -and $_.Enabled -eq "True" } # Neue Regel: Port 8080 von extern erlauben New-NetFirewallRule -DisplayName "Webapp 8080" ` -Direction Inbound ` -LocalPort 8080 ` -Protocol TCP ` -Action Allow # Regel löschen Remove-NetFirewallRule -DisplayName "Webapp 8080" # Profil deaktivieren (VORSICHT, im Lab okay) Set-NetFirewallProfile -Profile Public -Enabled False

Sicherheit beachten: Firewall ohne Not nicht abschalten! Lieber gezielt Regeln für die nötigen Ports anlegen. Mehr zu Firewall-Konzepten in K09.

7) HTTP-Requests mit Invoke-WebRequest

Der curl-Ersatz in PowerShell: Invoke-WebRequest (Alias: iwr). Für API-Aufrufe noch praktischer: Invoke-RestMethod, das JSON automatisch parsed:

# Einfacher GET-Request $response = Invoke-WebRequest -Uri https://api.github.com/users/microsoft $response.StatusCode # 200 $response.Content # JSON als String # Datei runterladen Invoke-WebRequest -Uri https://server/file.zip -OutFile C:\temp\file.zip # JSON-API – mit Invoke-RestMethod direkt als Objekte $user = Invoke-RestMethod -Uri https://api.github.com/users/microsoft $user.name $user.public_repos # direkt auf Properties zugreifen! # POST mit JSON-Body $body = @{ title = "Mein Issue" body = "Beschreibung..." } | ConvertTo-Json $headers = @{ Authorization = "Bearer eyJhbGciOi..." } $result = Invoke-RestMethod -Uri https://api.example.com/issues ` -Method POST ` -Body $body ` -Headers $headers ` -ContentType "application/json" # Health-Check eines internen Webdienstes try { $r = Invoke-WebRequest https://intranet.firma.de/health -UseBasicParsing -TimeoutSec 5 if ($r.StatusCode -eq 200) { Write-Host "OK" -ForegroundColor Green } } catch { Write-Warning "Intranet nicht erreichbar: $_" }

Invoke-RestMethod ist für JSON-APIs eine Wucht: kein jq nötig wie in Bash – das JSON wird automatisch in PowerShell-Objekte konvertiert und du kannst direkt mit .-Notation auf Properties zugreifen. Das ist einer der Punkte wo PowerShell wirklich glänzt im Vergleich zu Bash.

8) Remote-Befehle: Invoke-Command

Bisher haben wir lokal gearbeitet. Aber als FISI willst du oft Befehle auf anderen Servern ausführen, ohne dich überall einzuloggen. Invoke-Command macht das – ähnlich zu SSH bei Linux:

# Einen Befehl auf entferntem Server ausführen Invoke-Command -ComputerName srv01 -ScriptBlock { Get-Service Spooler } # Auf MEHREREN Servern parallel! Invoke-Command -ComputerName srv01, srv02, srv03 -ScriptBlock { Get-Service Spooler } # Aus Liste lesen $server = Get-Content C:\servers.txt Invoke-Command -ComputerName $server -ScriptBlock { Get-Process | Sort-Object CPU -Descending | Select-Object -First 3 } # Mit Anmeldedaten $cred = Get-Credential # fragt nach User+Passwort Invoke-Command -ComputerName srv01 -Credential $cred -ScriptBlock { Get-EventLog -LogName System -Newest 10 } # Interaktive Remote-Sitzung (wie ssh) Enter-PSSession -ComputerName srv01 # [srv01]: PS C:\> ... (Befehle direkt auf srv01) Exit-PSSession

Voraussetzung: auf dem Ziel-Server muss PowerShell Remoting aktiv sein. Auf Server-Versionen standardmäßig an, bei Client-Versionen einmalig aktivieren mit Enable-PSRemoting -Force (als Admin). In Active-Directory-Umgebungen funktioniert das ohne weitere Authentifizierung; in Workgroups brauchst du HTTPS oder TrustedHosts.

9) Praxis: Multi-Server-Healthcheck

Alle Konzepte zusammen in einem realistischen Skript:

# multi-healthcheck.ps1 $server = Get-Content C:\monitoring\servers.txt $report = @() foreach ($srv in $server) { Write-Host "Prüfe $srv..." $entry = [PSCustomObject]@{ Server = $srv Ping = $null Web = $null RDP = $null DNS = $null } # Ping $entry.Ping = Test-NetConnection $srv -InformationLevel Quiet # RDP (Port 3389) $entry.RDP = Test-NetConnection $srv -Port 3389 -InformationLevel Quiet # DNS-Auflösung $entry.DNS = [bool](Resolve-DnsName $srv -ErrorAction SilentlyContinue) # Web (wenn HTTPS Service) try { $r = Invoke-WebRequest "https://$srv/health" -TimeoutSec 3 -UseBasicParsing -ErrorAction Stop $entry.Web = ($r.StatusCode -eq 200) } catch { $entry.Web = $false } $report += $entry } $report | Format-Table -AutoSize $report | Export-Csv -Path C:\monitoring\status.csv -NoTypeInformation -Encoding UTF8

Solche Skripte landen im Task Scheduler (L9) und laufen alle 5 Minuten. Bei Fehlern: Mail an Admin oder Webhook an Slack. Ein FISI-Klassiker.

10) Cmdlet-Übersicht

Die wichtigsten Netzwerk-Cmdlets noch einmal kompakt:

PowerShell-Netzwerk-Cmdlets

Test-NetConnection

Ping + Portscan + Tracert in einem. -Port, -Quiet, -TraceRoute

Resolve-DnsName

DNS-Abfrage. -Type A/AAAA/MX/TXT/CNAME/SRV/PTR

Get-NetIPConfiguration

ipconfig-Ersatz, mit Objekten

Get-NetIPAddress

Alle IP-Adressen

Get-NetAdapter

Netzwerk-Karten

Get-NetTCPConnection

netstat-Ersatz

Get-NetRoute

Routing-Tabelle

Get-NetFirewallRule

Firewall-Regeln

Invoke-WebRequest

curl-Ersatz, HTTP-Requests

Invoke-RestMethod

REST-API mit JSON-Auto-Parsing

Invoke-Command

Befehl auf entferntem Server

Enter-PSSession

Interaktive Remote-Sitzung

Zusammenfassung

Test-NetConnection (Alias tnc) ist DAS Netzwerk-Cmdlet: Ping, TCP-Port-Test, Traceroute kombiniert. Mit -Quiet für True/False, -Port für TCP-Test, -TraceRoute für Route. Resolve-DnsName für DNS-Abfragen mit -Type (A, AAAA, MX, CNAME, SRV, PTR, TXT). Get-NetIPConfiguration/Address/Adapter für IP-Konfiguration. Get-NetTCPConnection als netstat-Ersatz. Get-NetFirewallRule + New-NetFirewallRule für Windows-Firewall. Invoke-WebRequest (curl-Ersatz) und Invoke-RestMethod (JSON-API mit Auto-Parsing). Invoke-Command -ComputerName für Remote-Befehle auf Servern (parallel auf mehreren möglich). Enter-PSSession für interaktive Remote-Sitzung. Voraussetzung Remoting: Enable-PSRemoting auf Ziel. Diagnose immer nach OSI-Schichten von unten nach oben.