Schritt-für-Schritt-Anleitung zur Aktivierung und Konfiguration der Windows-Fehlerberichterstattung (WER).

Wer täglich mit Windows-Computern arbeitet, wird früher oder später damit konfrontiert werden. Windows-Fehlerberichterstattung (WER)Manchmal ist es ein unverzichtbarer Helfer bei der Diagnose von Abstürzen und seltsamen Fehlern, und manchmal wird es zu einem Speicherplatzfresser oder einer ständigen Fehlerquelle, wenn der Server keine Internetverbindung hat.

In diesem Leitfaden erfahren Sie, wie Aktivieren, Deaktivieren und detaillierte Feinabstimmung WER Wie kann man in verschiedenen Windows-Versionen die Speicherauszüge (HDMP/MDMP), welche Netzwerkadressen es verwendet, wie man es über die Registry überprüft und wie man es mit PowerShell und Batch-Skripten verwaltet. Alles wird auf Spanisch (Spanien) erklärt, mit praktischen Beispielen und ohne offene Fragen.

Was ist die Windows-Fehlerberichterstattung (WER) und wozu dient sie?

WER ist ein Plattform zum Sammeln und Einreichen von Fehlern Diese in Windows integrierte Funktion wird aktiviert, wenn eine Anwendung abstürzt, der Browser nicht mehr reagiert, ein Dienst ausfällt oder schwerwiegende Systemfehler (z. B. Kernel-Abstürze) auftreten. Manchmal hängen diese Fehler mit Folgendem zusammen: Fehler bei ungetesteten Anwendungen die für ihre Diagnose spezifische Schritte erfordern.

Wenn das passiert, kann das System generieren Berichte und Speicherauszüge Diese Berichte enthalten Informationen über den Prozess, geladene Module, Speichernutzung und weitere technische Daten. Diese Informationen können an Microsoft gesendet werden, um bekannte Lösungen zu finden oder damit das Produktteam das betroffene System und die Anwendungen verbessern kann.

Zusätzlich zu Online-Berichten kann WER so konfiguriert werden, dass Speicherabbilder aus dem Benutzermodus lokal speichernDies ist sehr nützlich, wenn Sie Abstürze kritischer Anwendungen, Server ohne Internetzugang oder Umgebungen analysieren müssen, in denen Datenschutz von zentraler Bedeutung ist.

In vielen Organisationen wird darüber entschieden, ob es angemessen ist. WER aktivieren, einschränken oder vollständig deaktivieren aufgrund von Sicherheitsrichtlinien, Internetzugang oder der Anzahl der auf den Servern auftretenden Fehler.

Aktivieren der Windows-Fehlerberichterstattung (WER) mithilfe von Gruppenrichtlinien

In Domänenumgebungen ist die bequemste Lösung die WER über Gruppenrichtlinie steuern um eine einheitliche Konfiguration auf allen Computern zu gewährleisten. Aus dem Gruppenrichtlinienverwaltungs-Editor (gpmc.mscSie können WER aktivieren oder deaktivieren und anpassen, was gesendet wird.

Zunächst müssen Sie sicherstellen, dass keine Richtlinien dies blockieren. Navigieren Sie dazu in den Computereinstellungen zum entsprechenden Pfad und Lesen Sie die entsprechenden Richtlinien. mit der Deaktivierung der Fehlerberichterstattung.

Im Direktivenbaum, Zugriff Computerkonfiguration > Administrative Vorlagen > System > Internetkommunikationsverwaltung > InternetkommunikationskonfigurationIn diesem Abschnitt finden Sie die Richtlinie zur Deaktivierung der Windows-Fehlerberichterstattung.

Öffnen Sie die Direktive mit dem Namen Windows-Fehlerberichterstattung deaktivieren und wählen Sie die Option „Deaktiviert“. Damit geben Sie an, dass Sie möchten nicht, dass WER blockiert wird. auf der Kommunikationsebene. Wenden Sie die Änderungen mit „Anwenden“ und „Akzeptieren“ an.

Gehen Sie als Nächstes im selben Richtlinieneditor zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows-FehlerberichterstattungDort finden Sie die Richtlinien. Windows-Fehlerberichterstattung deaktivieren, das direkt darüber entscheidet, ob der Dienst betriebsbereit ist.

Öffnen Sie diese Richtlinie und wählen Sie die Option „Deaktiviert“ erneut aus, damit WER erhalten bleibt. formell im System aktiviertBestätigen Sie erneut mit „Anwenden“ und „Akzeptieren“, damit die Konfiguration auf die Computer in der Organisationseinheit repliziert wird, mit der das Gruppenrichtlinienobjekt verknüpft ist.

Konfigurieren des Diagnosedatenniveaus in Windows

Das Verhalten von WER ist eng mit dem Konfiguration von Diagnose- und Telemetriedaten von Windows aus. Je nach konfigurierter Ebene können Sie von minimalen Daten bis hin zu zusätzlichen Informationen, einschließlich detaillierterer Speicherabbilder und Protokolle, alles senden.

Um dieses Verhalten anzupassen, werden folgende Maßnahmen erneut angewendet: Datenerfassungszweige und vorläufige Versionen in Gruppenrichtlinien, mit geringfügigen Unterschieden zwischen Windows 11 und Windows 10.

Konfigurieren von Diagnosedaten in Windows 11

Öffnen Sie auf Computern mit Windows 11 den Gruppenrichtlinien-Editor und gehen Sie zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Datenerfassung und Vorschau-BuildsHier finden Sie verschiedene Optionen, um zu steuern, welche Art von Informationen erfasst und gesendet wird.

Suchen Sie die Anweisung Diagnosedaten zulassen und öffnen Sie es. Aktivieren Sie die Option „Aktiviert“ und wählen Sie im Dropdown-Menü „Optionen“ die entsprechende Option aus. Senden optionaler DiagnosedatenDiese Ebene ermöglicht es WER und anderen Komponenten, mehr technische Details zu erfassen, was in erweiterten Support- und Fehlerbehebungsumgebungen sehr nützlich ist.

Bestätigen Sie mit „Anwenden“ und „Akzeptieren“ und suchen Sie dann nach der Police. Konfigurieren Sie die Einstellungen der Benutzeroberfläche für Diagnosedaten.Diese Richtlinie dient dazu, festzulegen, was der Endbenutzer in der Datenschutzschnittstelle sieht.

Aktivieren Sie diese Richtlinie mit „Aktiviert“ und wählen Sie die gewünschte Option aus dem Dropdown-Menü. Einstellungen zur Freigabe von Diagnosedaten deaktivieren. So, Die Benutzer können keine Änderungen selbst vornehmen. Die Diagnosestufe, die Sie auf Unternehmensebene definiert haben. Wenden Sie die Änderungen erneut an und akzeptieren Sie sie, um die Richtlinie abzuschließen.

Konfigurieren von Diagnosedaten in Windows 10

Unter Windows 10 ist der Pfad zu den Einstellungen ähnlich. Sie müssen zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Datenerfassung und Vorschau-BuildsInnerhalb dieses Abschnitts befindet sich eine grundlegende Richtlinie namens Telemetrie zulassen.

Öffnen Sie die Richtlinie „Telemetrie zulassen“ und stellen Sie ihren Status auf „aktiviertIm Optionsfeld wird eine Liste von Stufen angezeigt, die je nach installierter Version von Windows 10 leicht variiert.

Für Systeme mit Windows 10 Version 1903 oder höherDer Wert für die detaillierteste Ebene ist „Optional“. Allerdings gilt dies für Versionen Windows 10 Version 1809 oder älterDie höchste Stufe heißt „Vollständig“. Wählen Sie die passende Option je nach Systemkonfiguration, die Sie verwalten.

Speichern Sie die Änderungen, indem Sie auf „Anwenden“ und „OK“ klicken. Ab hier, insbesondere bei Versionen ab 1803, können Sie Folgendes tun: weiter verfeinern was der Benutzer in der Telemetrie-Oberfläche sieht.

Als nächstes sollte man sich mit Politik beschäftigen. Konfigurieren Sie die Einstellungen der Telemetrie-BenutzeroberflächeAktivieren Sie es und wählen Sie die Option aus. Telemetrie-Teilnahmeeinstellungen deaktivieren im Dropdown-Menü „Optionen“. So geht's Sie verhindern, dass der Benutzer die Telemetriedaten ändert. Über die grafischen Windows-Einstellungen. Klicken Sie erneut auf „Anwenden“ und „Akzeptieren“, um das Richtlinienfenster zu schließen.

Von WER und Diagnosedaten verwendete Netzwerkverbindungspunkte

Wenn WER- und Diagnosekomponenten aktiv sind, kann Windows Verbindung zu einer Reihe von Microsoft-Endpunkten herstellen zum Versenden von Berichten und Datenexporten. In eingeschränkten Netzwerken, hinter Perimeter-Firewalls oder auf Servern ohne Internetzugang ist die Kenntnis dieser Adressen unerlässlich.

Der WER-Verkehr läuft normalerweise durch die TCP-Port 443 Verwenden Sie HTTPS mit SSL/TLS-Verschlüsselung und Zertifikatsverankerung, um sicherzustellen, dass Sie tatsächlich eine Verbindung zu Microsoft-Servern herstellen. Wenn dieser Datenverkehr blockiert wird, werden im Viewer wiederholte Verbindungsversuche und entsprechende Ereignisse angezeigt.

Häufigste Verbindungspunkte auf welche WER zugreifen kann:

• watson.microsoft.com für praktisch alle Windows-Versionen.
• watson.telemetry.microsoft.com Ab Windows 10 Version 1803.
• Verschiedene Azure Blob Storage-Hosts wie z. B. umwatsonc.events.data.microsoft.com oder Adressen der Art ceuswatcab01.blob.core.windows.net, eaus2watcab01.blob.core.windows.net o weus2watcab02.blob.core.windows.netwird in moderneren Versionen wie Windows 10 1809 und späteren Versionen verwendet.

Wenn du musst Nur bestimmte Domänen in der Firewall zulassen Damit WER korrekt funktioniert, müssen Sie diese Liste der Hostnamen angeben. In isolierten Szenarien (z. B. Server ohne Internetzugang) ist es üblich, das Senden zu deaktivieren oder stark einzuschränken, um zu verhindern, dass das System wiederholt Verbindungen zu diesen Endpunkten herstellt.

Beschränken Sie die Art der zusätzlichen Daten, die an Microsoft gesendet werden.

Selbst wenn WER aktiviert ist und Diagnosedaten im optionalen Modus zugelassen sind, sollten Sie möglicherweise steuern, welche Art von Speicherabbildern geteilt werden mit Microsoft aus Gründen der Vertraulichkeit oder der Einhaltung gesetzlicher Bestimmungen.

Die in den vorangegangenen Abschnitten beschriebenen Richtlinien können dazu führen, dass WER sich nur noch auf … bezieht. Kernel-Minidumps und Lightweight-User-Mode-DumpsWenn Sie sich jedoch für die optionale Datenebene entschieden haben, können Sie diese Grenzwerte mithilfe zusätzlicher Anweisungen weiter anpassen.

In Windows 11 und Windows 10 ab Version 1909 gehen Sie zurück zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Datenerfassung und Vorschau-BuildsIn diesem Abschnitt finden Sie spezifische Richtlinien zur Einschränkung der Arten von Dumps.

Öffnen Sie die Richtlinie Speicherabbildsammlung begrenzen und stellen Sie es auf „Aktiviert“. Auf diese Weise Nur gemäß den Richtlinien zulässige Abfallmengen werden abgeholt.Vermeiden Sie übermäßig große Screenshots oder solche mit zu vielen sensiblen Informationen. Übernehmen und bestätigen Sie die Einstellungen.

Suchen Sie als Nächstes nach der Anweisung. Beschränken Sie die Sammlung von DiagnosedatenAktivieren Sie diese Option, um auch den Umfang und die Art der in den zugehörigen Telemetriedaten enthaltenen Protokolle einzuschränken. Klicken Sie nach Auswahl von „Aktiviert“ auf „Anwenden“ und „OK“, um die Änderungen dauerhaft zu speichern.

Überprüfen Sie die korrekte Konfiguration mithilfe der Registrierung.

Sobald die Gruppenrichtlinienobjekte (GPOs) zur Steuerung von WER und Diagnosedaten bereitgestellt wurden, wird Folgendes empfohlen: Überprüfen Sie auf einem Testrechner, ob die Registrierungsschlüssel angewendet wurden. Genau wie erwartet. Dazu können Sie Folgendes verwenden: regedit.exe in einem von der Politik beeinflussten Team.

Zuerst Überprüfen Sie den Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollectionDies sollte die von Ihnen definierten Werte für Telemetrie- und Erfassungsbeschränkungen widerspiegeln.

Einige typische Werte In diesem Schlüssel kommen üblicherweise folgende Elemente vor:

Name des Registrierungsschlüssels	Erwartete Daten
AllowTelemetry	0x00000003 für optionales/vollständiges Niveau
DisableTelemetryOptInSettingsUx	0x00000001 um Benutzeränderungen zu blockieren
LimitDiagnosticLogCollection	0x00000001 wenn Sie nur über begrenzte Diagnoseprotokolle verfügen
LimitDumpCollection	0x00000001 wenn Sie Speicherabbilder einschränken

Überprüfen Sie dann den Schlüssel. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PCHealth\ErrorReportingHier steckt normalerweise ein Wert. DoReport konfiguriert auf 0x00000001Dies bedeutet, dass Fehlermeldungen gemäß den Unternehmensrichtlinien zulässig sind.

Ein weiterer wichtiger Punkt ist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Error ReportingAn diesem Standort werden Sie sich besonders für die Werte interessieren. Deaktiviert y Senden Sie keine zusätzlichen Daten, die festlegen, ob WER deaktiviert ist oder ob zusätzliche Daten gesendet werden können.

Name des Registrierungsschlüssels	Erwartete Daten
Disabled	0x00000000 um WER aktiviert zu halten
DontSendAdditionalData	0x00000001 um das Senden zusätzlicher Daten zu blockieren

Schließlich auf der Route HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\Consent Es gibt einen wichtigen Wert namens StandardzustimmungMit einem Datensatz als 0x00000004Das System passt das Standardverhalten bezüglich der Einwilligung zum Versenden von Berichten an.

WER mithilfe von PowerShell-Befehlen aktivieren und deaktivieren

Zusätzlich zu Gruppenrichtlinienobjekten (GPOs) und der Registrierung enthält Windows Folgendes: Spezielle Cmdlets zur Behandlung von WER von PowerShell, was sehr praktisch ist, wenn man auf isolierten Servern arbeiten oder Aufgaben in Skripten automatisieren möchte.

Das wichtigste Cmdlet zur Aktivierung der Funktionalität ist Windows-Fehlerberichterstattung aktivierenOhne zusätzliche Parameter ist die Syntax sehr einfach:

Enable-WindowsErrorReporting

Wenn Sie diesen Befehl in einer PowerShell-Konsole mit Administratorrechten ausführen, wird das System Aktivieren Sie die Windows-Fehlerberichterstattung auf diesem Computer.Intern passt es die notwendigen Werte so an, dass Fehlerberichte neu generiert und gemäß der definierten Telemetriekonfiguration gesendet werden.

Dieses Cmdlet gibt ein Ergebnis vom Typ zurück BooleanWenn die Operation erfolgreich abgeschlossen wurde, lautet der Rückgabewert: $TrueAndernfalls erhalten Sie $FalseDies ermöglicht es Ihnen, eine einfache Überprüfung in Ihre Bereitstellungs- oder Wartungsskripte zu integrieren.

Beispiel für die direkte Anwendung:

PS C:\> Enable-WindowsErrorReporting

Um den aktuellen Status von WER zu überprüfen, können Sie das Cmdlet verwenden. Get-WindowsErrorReportingDadurch wird Ihnen angezeigt, ob es aktiviert ist oder nicht. Und wenn Sie es später deaktivieren möchten, können Sie das zugehörige Cmdlet verwenden. Windows-Fehlerberichterstattung deaktivierenDadurch wird die Funktion deaktiviert und es werden keine weiteren Absturzberichte von diesem Computer an Microsoft gesendet.

WER mithilfe von Remote-PowerShell- und Batch-Skripten aktivieren oder deaktivieren.

Bei Fernverwaltungslösungen wie bestimmten MDM- oder EMM-Plattformen ist es üblich, Folgendes zu erlauben Benutzerdefinierte Skripte zum Aktivieren oder Deaktivieren von WER in großen Mengen. Sie basieren in der Regel auf der Änderung von Registrierungsschlüsseln oder dem Aufruf der in den vorherigen Abschnitten angegebenen Cmdlets.

Un Skript PowerShell kann beispielsweise den aktuellen Status des Fehlerberichterstattungsdienstes auslesen und nach der Ausführung im Aktionsverlauf vermerken, ob er „Aktiviert“ oder „Deaktiviert“ ist. Bei erfolgreicher Skriptausführung wird in der Verwaltungskonsole üblicherweise Folgendes angezeigt: „Wahr“ als Ergebnis um anzuzeigen, dass die Operation gut verlaufen ist.

Bei Batch-Skripten ist die Logik in der Regel ähnlich, allerdings wird der Schlüssel direkt bearbeitet. HKLM\SOFTWARE\Microsoft\Windows\Windows Error ReportingEin typischer Befehl zum Aktivieren von WER besteht darin, den Wert zu erstellen oder zu ändern. Deaktiviert Datenzuordnung 0Dadurch wird es dem System ermöglicht, Berichte zu sammeln und zu versenden.

Um WER mithilfe einer .bat-Datei zu deaktivieren, wird der Wert entsprechend geändert. Deaktiviert a 1Die Erfassung und Weiterleitung von Fehlern an Microsoft-Server wird blockiert. Im Idealfall wird die Meldung protokolliert. „Der Vorgang wurde erfolgreich abgeschlossen.“ im Verlauf des Remote-Tools.

Event Viewer-Population und Server ohne Internetzugang

In manchen Umgebungen, insbesondere in isolierte Server oder Server ohne externe AnbindungWER kann dazu führen, dass die Ereignisanzeige mit sich wiederholenden Meldungen über fehlgeschlagene Verbindungsversuche oder Berichtseinreichungen überflutet wird.

Dieses Verhalten ist darauf zurückzuführen, dass der Dienst versucht, die oben beschriebenen Microsoft-Endpunkte zu kontaktieren, die ausgehende Verbindung jedoch blockiert ist. Versuchen Sie es regelmäßig erneut.Dies führt zu mehr Ereignissen und manchmal zu Störungen im Ereignisprotokoll.

In diesen Situationen können Sie WER auf Richtlinienebene deaktivieren, Registrierungsschlüssel verwenden, um es als deaktiviert zu kennzeichnen, oder zusätzliche Datenzugriffsversuche durch eine Kombination von Werten einschränken, z. B. Deaktiviert y Senden Sie keine zusätzlichen DatenEine weitere Möglichkeit besteht darin, den Bericht aktiv zu lassen, aber nur lokale Mülldeponien, ohne ausgehende Telemetrie.

HDMP- und MDMP-Dateiverwaltung und Speicherplatznutzung

Was oft unbemerkt bleibt, ist die Speicherplatz, den HDMP- und MDMP-Dateien belegen können wird durch WER generiert, wenn in kurzer Zeit viele Fehler auftreten, beispielsweise auf einem Anwendungsserver wie SharePoint.

Dateien HDMP Sie enthalten üblicherweise einen kompletten Dump mit vielen Informationen über den Prozess, während die MDMP Minidumps sind komprimierte Speicherabbilder, die nur eine Teilmenge der Daten enthalten. Sie werden je nach Windows-Version an unterschiedlichen Orten gespeichert und können die Systemfestplatte stark beschädigen, wenn sie nicht entfernt werden.

In älteren Systemen wie Windows Server 2003 oder Windows XPDie Dumps werden oft im Ordner gespeichert C:\WINDOWS\pchealth\ERRORREP\UserDumpsIn neueren Versionen wie z. B. Windows 7 In Windows Server 2008 werden Berichte typischerweise an Verzeichnisse wie beispielsweise folgende gesendet:

• C:\ProgramData\Microsoft\Windows\WER\ReportArchive
• C:\ProgramData\Microsoft\Windows\WER\ReportQueue
• C:\Users\Benutzername\AppData\Local\Microsoft\Windows\WER\ReportArchive
• C:\Users\Benutzername\AppData\Local\Microsoft\Windows\WER\ReportQueue

In diesen Verzeichnissen finden Sie Dateien mit Namen wie w3wp.exe{date}.mdmp o w3wp.exe{date}.hdmpDiese Speicherabbilder hängen mit dem fehlgeschlagenen Prozess zusammen (z. B. dem IIS-Workerprozess auf SharePoint-Servern). Falls die Speicherabbilder durch Bibliotheksfehler verursacht wurden, können Sie in den Anleitungen zur Fehlerbehebung nachschlagen. DirectX- und DLL-Fehler verbunden.

Wenn Sie feststellen, dass diese Müllhalden unkontrolliert wachsen, können Sie WER vorübergehend deaktivierenRäumen Sie die Ordner auf oder konfigurieren Sie die Dump-Sammlungslimits (DumpCount, DumpType usw.) korrekt, damit sich das System selbst reguliert und die Festplatte nicht ohne freien Speicherplatz zurückbleibt.

WER in älteren Windows-Versionen (XP/2003) deaktivieren

In Systemen wie Windows 2003 oder Windows XPDie Fehlerberichterstattung wurde teilweise über die Systemeigenschaften verwaltet. Es war möglich, die Erfassung global zu deaktivieren oder sie nur für bestimmte Anwendungen zu aktivieren.

Die übliche Vorgehensweise bestand darin, mit der rechten Maustaste auf „Arbeitsplatz“ zu klicken, „Eigenschaften“ auszuwählen, den Reiter „Erweitert“ aufzurufen und die Option „Fehlerberichterstattung“ anzuklicken. Von dort aus war es möglich, Den Bericht vollständig deaktivieren oder konfigurieren Sie, welche Programme Meldungen abgeben sollen und welche nicht.

Obwohl diese Versionen nicht mehr unterstützt werden, sind noch viele ältere Umgebungen vorhanden. Daher ist es wichtig zu wissen, dass WER über diese Schnittstelle und über Ordnerpfade wie beispielsweise verwaltet werden kann. Benutzerdumps Für Reinigungs- und Wartungsarbeiten ist es nach wie vor nützlich.

Konfigurieren von WER über die Registrierung in Windows 7, Windows 8 und Windows Server 2008

In moderneren Versionen wie z. B. Windows 7 und Windows Server 2008Zusätzlich zu den grafischen Optionen können Sie die WER über die RegistierungseditorDer Basisschlüssel ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting.

Um die Fehlerberichterstattung vollständig zu deaktivieren, erstellt oder ändert man üblicherweise den Wert Deaktiviert vom Typ DWORD und setzen Sie es auf 1. So, Der Dienst erstellt und versendet keine Berichte mehr.Wenn Sie es reaktivieren möchten, setzen Sie einfach den Wert auf 0 oder löschen Sie den Eintrag.

Hinsichtlich des grafischen Aspekts ermöglichte das System auch bestimmte Anpassungen unter „Systemeigenschaften“ > „Erweiterte Optionen“ > „Leistung“ > „Einstellungen“, beispielsweise die Überprüfung von Optionen im Zusammenhang mit Datenausführungsverhinderung (DEP)Obwohl es nicht genau dasselbe ist wie WER, bezieht es sich darauf, wie Windows vor bestimmten Fehlern schützt und auf diese reagiert.

Aktivieren Sie die detaillierte Protokollierung von Anwendungsabstürzen (Beispiel mit explorer.exe).

Manchmal ist es ratsam, die Ursache für den Absturz einer bestimmten Anwendung zu diagnostizieren. die Erstellung detaillierter lokaler Mülldeponien erzwingenEin klassisches Beispiel ist der Prozess explorer.exeWenn das Programm sich aufhängt, bleibt der Desktop des Benutzers eingefroren; alternativ können Sie die Auswirkungen abmildern, indem Sie Starten Sie den Datei-Explorer neu. während Sie die Aufnahme vorbereiten.

Dies kann durch Erstellen einer .reg-Datei erreicht werden, die mehrere Schlüssel zur Registrierung hinzufügt. Zum Beispiel unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps\Explorer.exe Es können Parameter wie folgt definiert werden: DumpOrdner (zum Beispiel „C:\WER Dumps“) und DumpTyp mit einem Wert 2 um einen vollständigen Dump anzuzeigen.

Zusätzlich in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe Werte können wie folgt konfiguriert werden: Globalflagge y PageHeapFlags um erweiterte Debugging-Techniken zu aktivieren, die WER dazu zwingen, im Falle eines Absturzes umfassende Informationen zu generieren.

Nach dem Import der .reg-Datei und dem Auftreten des Vorfalls meldete der Fehlerberichtsdienst erstellt Speicherabbilder im konfigurierten Ordnerzum beispiel C:\WER DumpsDiese können später mit Dump-Analyse-Tools wie WinDbg oder einfacheren Hilfsprogrammen überprüft werden.

Konfigurieren Sie vollständige Benutzermodus-Dumps mit WER (LocalDumps)

Ab Windows Server 2008 und Windows Vista SP1 Es wurde die Möglichkeit in Betracht gezogen, dass WER einsparen würde. vollständige lokale Speicherabbilder im Benutzermodus Wenn eine Anwendung abstürzt. Diese Funktion ist nicht standardmäßig aktiviert und erfordert Administratorrechte zur Konfiguration.

Die Konfiguration erfolgt im Schlüssel. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumpsHier können Sie verschiedene Werte definieren, die steuern, wo die Dumps gespeichert werden, wie viele gespeichert werden und welchen Typ sie haben.

Die wichtigsten Registerwerte sind:

Wert	Beschreibung	Typ	Tapferkeit vorherbestimmt
DumpOrdner	Pfad, in dem die Speicherabbilder gespeichert werden. Wenn dieser geändert wird, stellen Sie sicher, dass der Ordner Folgendes enthält: entsprechende Berechtigungen damit der blockierte Prozess dort schreiben kann.	REG_EXPAND_SZ	%LOCALAPPDATA%\CrashDumps
Anzahl der Dumps	Maximale Anzahl der im Ordner gespeicherten Dump-Dateien. Wenn dieses Limit überschritten wird, Der älteste Dump wird überschrieben für ein neues.	REG_DWORD	10
DumpTyp	Gibt den Dump-Typ an: 0 (benutzerdefiniert), 1 (Minidump) oder 2 (vollständig). Der Wert bestimmt wie viele Informationen enthalten sind in der Datei.	REG_DWORD	1
CustomDumpFlags	Es wird nur verwendet, wenn DumpType 0 ist. Es handelt sich um eine bitweise Kombination von Werten von MINIDUMP_TYPE um festzulegen, welche spezifischen Daten im benutzerdefinierten Datenauszug erfasst werden.	REG_DWORD	Normalerweise 0x00000121 (das mehrere Flags wie MiniDumpWithDataSegs, MiniDumpWithUnloadedModules und MiniDumpWithProcessThreadData kombiniert).

Diese Parameter werden als globale KonfigurationWenn Sie das Verhalten für eine bestimmte Anwendung genauer anpassen möchten, können Sie einen Unterschlüssel mit dem genauen Namen der ausführbaren Datei erstellen. LocalDumpszum beispiel LocalDumps\MiAplicacion.exeund definieren Sie Ihre eigenen Werte für DumpFolder, DumpCount usw.

Wenn eine Anwendung abstürzt, prüft das System zunächst die globalen Einstellungen und wendet dann alle notwendigen Konfigurationen an. anwendungsspezifische Anpassung Sofern vorhanden. Sobald der Speicherabbild erstellt ist, kann die Anwendung normal beendet werden oder, falls sie dazu bereit ist, versuchen, sich wiederherzustellen.

Ein interessantes Detail ist das Diese lokalen Mülldeponien werden unabhängig verwaltet. zur übrigen WER-Infrastruktur. Die lokale Datenerfassung kann auch dann aktiv sein, wenn WER auf Ebene des Berichtsversands deaktiviert ist oder der Benutzer den Bericht abgebrochen hat.

Tools und Verbesserungen für die Arbeit mit Speicherabbildern in Windows 11

In den neuesten Versionen wie z.B. Windows 11 Es wurden Verbesserungen vorgenommen, die das Erstellen und Analysieren von Speicherabbildern erleichtern, sowohl über die grafische Benutzeroberfläche als auch mithilfe spezialisierter Tools.

El Task-Manager Es beinhaltet die Option, ein Aktiver Speicherauszug von beliebigen Benutzermodusprozessen oder sogar Kernelprozessen. Gehen Sie einfach auf die Registerkarte „Prozesse“ oder „Details“, klicken Sie mit der rechten Maustaste auf den Prozess und wählen Sie „Speicherabbilddatei erstellen“.

Der Nutzen wurde ebenfalls verbessert. Procdump ProcDump von Sysinternals unterstützt jetzt mehr Auslöser, darunter das Erstellen und Beenden von Threads, bestimmte Leistungsindikatoren und die Erkennung eingefrorener Fenster. Unter Windows 11 ist ProcDump mit allen Auslösertypen kompatibel, die ab Windows 8.1 eingeführt wurden.

Im Bereich des Debuggings gibt es Tools wie beispielsweise WinDbg und CDB Sie ermöglichen die Analyse sowohl von Minidumps als auch von vollständigen Speicherabbildern. Sie wurden aktualisiert, um Benutzermodus-Speicherabbilder besser zu verarbeiten, und können sogar Speicherabbilder direkt aus CAB-Dateien lesen oder mehrere Dump-Dateien gleichzeitig analysieren, was bei wiederkehrenden Vorfällen sehr nützlich ist; Sie können auch Fehlerdiagnose mit Dependency Walker zur Ergänzung der Analyse.

Verwendung von TSS zur Erfassung von Leistungs- und Netzwerkdaten

In fortgeschrittenen Support-Szenarien empfiehlt Microsoft manchmal die Verwendung von Skripten wie beispielsweise TSS.ps1 um detaillierte Informationen über das System zu sammeln, einschließlich Leistungsdaten, Konfiguration und Netzwerkaufzeichnungen im Zusammenhang mit WER und anderen Komponenten.

Der typische Arbeitsablauf beinhaltet das Herunterladen von TSS auf alle betroffenen Knoten und das Extrahieren in einen Standardordner wie z. B. C:\tssÖffnen Sie anschließend an derselben Stelle ein PowerShell-Fenster mit Administratorrechten.

Von dort aus können verschiedene Erfassungsszenarien gestartet werden mit Befehle von der Art:

TSS.ps1 -SDP PERF,SETUP
TSS.ps1 -Scenario NET_WFP

Wenn Sie das Skript ausführen, werden Sie aufgefordert, die Lizenzbedingungen (EULA) zu akzeptieren, und sobald Sie Ihre Zustimmung erteilt haben, beginnt automatisch mit der Erfassung der notwendigen DatenJe nach Datenmenge und Systemauslastung kann dies eine Weile dauern.

Am Ende werden die Ergebnisse üblicherweise in einer ZIP-Datei in einem Ordner wie diesem komprimiert: C:\MS_DATA\SDP_PERFSETUP\Diese können Sie in einen Microsoft-Support-Arbeitsbereich hochladen, damit sie von Technikern analysiert werden können.

Die Beherrschung der Windows-Fehlerberichterstattung erfordert das Verständnis dafür, wie Gruppenrichtlinien, Telemetrie, die Registry, lokale Speicherabbilder und Analysetools hängen alle miteinander zusammen.Durch die richtige Anpassung dieser Elemente können Sie sicherstellen, dass Ihre Systeme nur das Notwendige melden, dass Server aufgrund von HDMP/MDMP nicht an Speicherplatzmangel stoßen, dass eingeschränkte Netzwerke nicht unter ständigen Verbindungsversuchen leiden und dass gleichzeitig die wesentlichen Informationen zur Verfügung stehen, um Abstürze und kritische Fehler zu diagnostizieren und zu beheben, wenn sie auftreten.