Tutorial:
Windows XP Service Pack 2 und ActiveSync

Eines der großen Vorteile des Service Packs 2 für Windows XP ist das Sicherheitscenter, das vor allem der Sicherung des Systems gegen unerwünschte Eindringlinge dient. Die Windows-Firewall, Ersatz für die alte Internet-Verbindungsfirewall, ist nach Installation automatisch aktiviert und sollte bei Applikationen, die ein potentielles Sicherheitsrisiko mit sich bringen, nach deren Freigabe oder Blockierung fragen. Nicht selten aber erledigt ein unbedachter Klick weit mehr als das: Eigentlich zulässige Anwendungen werden blockiert, und so funktionieren dann "unerklärlich" Anwendungen nicht mehr, die vor dem Update auf das SP2 klaglos ihren Dienst taten. Besonders Benutzer eines Pocket PCs klagen in letzter Zeit vermehrt darüber, dass die Synchronisation mit dem Outlook auf dem PC nicht mehr klappt und machen das SP2 dafür verantwortlich. In den allermeisten Fällen allerdings lässt sich das Problem schnell lösen. Und noch mehr: Richtig konfiguriert kann die Sicherheit sogar noch deutlich erhöht werden

Einrichten von ActiveSync für Windows XP SP2
Auch wenn der Pocket PC noch so neu ist: Es empfiehlt sich immer, die aktuellste Version von ActiveSync zu installieren. Auch wenn schon die aktuelle Version 3.7.1 installiert ist, kleinere Veränderungen und Bugfixes werden immer wieder vorgenommen, und bei gleicher Versionsnummer unterscheidet man noch zwischen unterschiedlichen Builds. Unter http://www.pocketpc.com findet sich im Downloadbereich immer die aktuellste Version.


Ist diese installiert, dann sollte direkt nach der Installation eine Sicherheitswarnung erscheinen, die fragt, ob der "ActiveSync Connection Manager" zugelassen oder weiter blockiert werden soll. Für den Standardfall genügt ein Klick auf "Nicht mehr Blocken", um eine Regel einzurichten, die ActiveSync ab diesem Zeitpunkt für die Firewall als zugelassene Anwendung identifiziert. Über "Weiterhin Blocken" wird ActiveSync in der Firewall abgefangen und blockiert, die Entscheidung vertagt wird durch Anklicken von "Erneut fragen".

Spannend wird das Ganze, wenn ActiveSync entweder nicht funktionieren will oder die oben beschriebene Abfrage gar nicht erst erscheint.

Fehlerbehebung
Der erste Schritt zur Analyse der Ursache führ direkt über die Windows-Firewall. Durch Start/Einstellungen/ Systemsteuerung/Sicherheitscenter werden die relevanten Einstellungen aufgerufen. Neben den Internet-Einstellungen und den Einstellungen für die automatischen Updates findet sich unter "Windows-Firewall" alles an Einstellungen für den Schutz des PCs vor eingehenden Verbindungen. Im Reiter "Ausnahmen" finden sich alle explizit erlaubten oder blockierten Anwendungen. Bei richtiger Konfiguration ist der ActiveSync Connection Manager dort aufgeführt. Ein Haken neben dem Namen zeigt an, dass eine Regel eingerichtet wurde und der Zugriff erlaubt ist. Fehlerquelle 1: Statt die Verbindung zuzulassen, wurde sie versehentlich blockiert. Dies lässt sich leicht lösen, indem der Haken manuell eingefügt wird. Alternativ kann der Eintrag markiert und die Regel durch Anklicken von "Löschen" entfernt werden. Beim nächsten Start von ActiveSync kommt dann wieder die oben beschriebene Abfrage und die Regel kann neu eingerichtet werden.


Die unangenehmere Situation besteht dann, wenn weder die Abfrage der Firewall kommt, ob ActiveSync erlaubt werden soll, noch ein Eintrag ein den Firewall-Regeln vorhanden ist. Da jede sicherheitskritische Anwendung erst einmal blockiert wird, bedeutet dies das Aus für die Synchronisation.
Um dies zu beheben, muss man die Funktionsweise von ActiveSync verstehen: Ausser der für den Anwender sichtbaren Komponente ist der Connection Manager ein Agent, der im Hintergrund läuft (und die Kommunikation selbst erledigt, in sofern auch der kritischere Teil für die Firewall ist). Beide Anwendungen müssen manuell zugelassen werden. Dazu dient in den Sicherheitseinstellungen der Button "Programm". Klickt man ihn an, dann werden im folgenden Dialog alle registrierten Programme in einer Liste angezeigt.


Über "Durchsuchen" müssen nun zwei Programme hinzugefügt werden. Beide befinden sich in C:\Programme\Microsoft ActiveSync auf der lokalen Festplatte. ActiveSync findet sich unter WCESMGR.EXE,, der Connection Manager als WCESCOMM.EXE.


Damit ist die sonst vom System automatisch durchgeführte Einrichtung von ActiveSync in der Firewall manuell durchgeführt und die Applikation sollte ohne Probleme starten und synchronisieren. Warum die automatische Erkennung manchmal nicht funktioniert, ist nicht eindeutig zu klären, da es unter verschiedensten Umgebungsbedingungen geschehen kann.


Absicherung von ActiveSync
Jede Freigabe eines Programmes und damit einer Verbindung von Außen stellt ein potentielles Sicherheitsrisiko für das System dar. Es kann also nicht schaden, soweit wie möglich Einschränkungen vorzunehmen, welche Rechner tatsächlich zugelassen sind, eine Synchronisation durchzuführen. Um dies vorzunehmen, muss in der Liste der zugelassenen Programme der ActiveSync Connection Manager markiert werden und durch Klick auf "Bearbeiten" die Einstellungen für die Regel aufgerufen werden.


Der folgende Dialog erlaubt es, den Bereich der Subnetze und IP-Adressen festzulegen, die eine ActiveSync-Verbindung aufbauen können. Im Standard wird dieses nicht eingeschränkt. Eine der einfachsten Änderungen ist die Einschränkung auf das eigene Netzwerk (damit sind nur Rechner im eigenen Subnetz zugelassen). Deutlich dedizierter kann man direkt einzelne IP-Adressen angeben, die zugelassen sind, indem man die "Benutzerdefinierte Liste" aktiviert. Einzelne IP-Adressen können dort eingegeben werden, was vor allem für die Synchronisation im Netzwerk von Interesse ist. Einen kleinen Kniff kann man auch für die Synchronisation mit einem lokalen Rechner per USB, einem seriellen Kabel oder einer Infrarotverbindung anwenden: Gibt man 192.168.55.100/255.255.255.0 ein, dann wird der Zugriff von ActiveSync auf das Internet und das lokale Netzwerk unterbunden, die lokalen Verbindungen aber zugelassen.


Weitere Problem-Ursachen bei WLAN und Bluetooth
Manchmal denkt man aber auch deutlich zu kompliziert. Es ist in vielen Fällen nicht mal die Firewall-Regel für ActiveSync, die die Probleme bereitet.

Einige Benutzer berichten darüber, dass eine Synchronisation trotz korrekt eingerichtetem ActiveSync in der Firewall erst dann möglich ist, wenn die Datei- und Druckerfreigabe nicht aktiviert ist. Dies macht sowieso Sinn, weil dadurch UDP Port 137 und NetBIOS freigegeben warden und damit die Möglichkeit für den PDA, den PC mit seinem Namen im Netz zu finden.
Komplett unabhängig von der Firewall sind oft Probleme bei der kabellosen Synchronisation per Bluetooth zu hören. In den allermeisten Fällen liegt dies an einem Konflikt zwischen den Treibern der weit verbreiteten Bluetooth-USB-Sticks, die meist den WIDCOMM-Stack nutzen, und den von Microsoft im SP2 hinzugefügten Windows-eigenen Bluetooth-Funktionalität. Empfehlung dazu: Erst die Treiber des USB-Sticks entfernen, dann das SP2 installieren. Steckt man nach der abgeschlossenen Installation dann den Stick wieder in die USB-Schnittstelle, dann wird er erkannt, die Treiber werden installiert und Windows erlaubt den Betrieb mit dem eigenen Stack. Schon sind die Probleme gelöst.



ZURÜCK

(c) 2004 by Andreas Erle - May not be reproduced without permission. All opinions are subjective!