Fehler 0x0000011b: So lösen Sie das Problem, wenn die Druckerverbindung als Standardbenutzer nicht hergestellt werden kann

Kennen Sie das Gefühl? Sie sitzen an Ihrem Rechner, möchten ein wichtiges Dokument drucken, klicken auf „Drucken” – und nichts passiert. Stattdessen erscheint eine Fehlermeldung: „Fehler 0x0000011b“. Besonders frustrierend wird es, wenn diese Meldung auftritt, obwohl der Drucker einwandfrei funktioniert, wenn ein Administrator angemeldet ist, aber Standardbenutzer keine Verbindung herstellen können. Dieser Artikel beleuchtet die Ursachen dieses weit verbreiteten Problems und bietet Ihnen umfassende, detaillierte Lösungsansätze, damit Sie und Ihre Kollegen wieder reibungslos drucken können.

Was ist der Fehler 0x0000011b und warum tritt er auf?

Der Fehler 0x0000011b ist ein Problem, das typischerweise in Netzwerkumgebungen auftritt, wenn Windows-Clients versuchen, sich mit einem freigegebenen Drucker auf einem Printserver oder einem anderen freigebenden Computer zu verbinden. Die Meldung besagt oft: „Windows konnte keine Verbindung zum Drucker herstellen. Überprüfen Sie den Druckernamen und versuchen Sie es erneut. Wenn Sie eine Verbindung zu einem Netzwerkdrucker herstellen, stellen Sie sicher, dass der Drucker eingeschaltet ist und die Druckeradresse korrekt ist.” Obwohl der Text generisch klingt, liegt die wahre Ursache meist tiefer.

Die Rolle der Windows-Sicherheitsupdates

Dieser Fehler wurde prominent, nachdem Microsoft im Herbst 2021 eine Reihe von Sicherheitsupdates (insbesondere die als „Out-of-Band” oder „C-Update” bekannten Updates wie KB5005565, KB5006670 und Nachfolger) veröffentlichte. Diese Updates sollten die als „PrintNightmare” bekannte kritische Schwachstelle (CVE-2021-34527) im Windows Print Spooler-Dienst beheben. PrintNightmare ermöglichte es Angreifern, Remotecode auszuführen, um Administratorenrechte auf Systemen zu erlangen.

Um diese Lücke zu schließen, hat Microsoft die Sicherheitsanforderungen für die Installation von Druckertreibern auf Clientcomputern durch einen Printserver verschärft. Konkret bedeutet dies, dass Standardbenutzer, die versuchen, sich mit einem freigegebenen Drucker zu verbinden, oft keine Berechtigung mehr haben, die erforderlichen Druckertreiber vom Server zu installieren oder zu aktualisieren. Dies führt zum Fehler 0x0000011b und blockiert die Druckerverbindung.

Wer ist betroffen?

• Unternehmen mit zentralen Printservern.
• Kleinere Netzwerke, in denen ein Computer einen Drucker freigibt.
• Benutzer, die versuchen, auf freigegebene Drucker zuzugreifen, ohne über Administratorrechte auf ihrem eigenen System zu verfügen (Standardbenutzer).

Erste Schritte zur Fehlerbehebung

Bevor wir uns den komplexeren Lösungen zuwenden, stellen Sie sicher, dass die Grundlagen stimmen:

1. Neustart: Starten Sie sowohl den Client-Computer als auch den Printserver (oder den Computer, der den Drucker freigibt) neu.
2. Kabel & Verbindung: Überprüfen Sie, ob der Drucker physisch korrekt angeschlossen und eingeschaltet ist. Stellen Sie sicher, dass der Printserver oder freigebende PC eine stabile Netzwerkverbindung hat.
3. Druckwarteschlange: Überprüfen Sie den Zustand des Druckwarteschlangendienstes auf dem Printserver. Starten Sie ihn gegebenenfalls über services.msc neu.
4. Updates prüfen: Stellen Sie sicher, dass *alle* beteiligten Systeme (Client und Server) die neuesten Windows Updates installiert haben. Manchmal behebt ein neueres Update das Problem auf sicherere Weise.

Lösungsansatz 1: Die temporäre Registry-Anpassung (Vorsicht bei der Anwendung!)

Dies ist die bekannteste, aber auch umstrittenste Lösung, da sie die durch die Updates geschaffene Sicherheitsverbesserung wieder aufhebt. Betrachten Sie dies als temporären Workaround, der das Problem schnell löst, aber die Sicherheit Ihres Netzwerks potenziell gefährdet. Microsoft selbst hat vor der dauerhaften Verwendung dieser Methode gewarnt.

Was wird geändert?

Die Sicherheitsupdates haben einen neuen Registrierungseintrag namens RpcAuthnLevelPrivacyEnabled eingeführt, der die RPC-Authentifizierungsebene für den Print Spooler-Dienst erhöht. Indem wir diesen Wert auf 0 setzen oder den Eintrag löschen, deaktivieren wir diese erhöhte Sicherheitseinstellung, wodurch ältere oder unsignierte Treiber wieder installiert werden können.

Anleitung für den Printserver (oder den freigebenden PC):

1. Öffnen Sie den Registrierungs-Editor (regedit.exe) als Administrator auf dem Printserver (oder dem Computer, der den Drucker freigibt).
2. Navigieren Sie zum folgenden Pfad:
   HKEY_LOCAL_MACHINESystemCurrentControlSetControlPrint
3. Suchen Sie nach einem DWORD-Wert mit dem Namen RpcAuthnLevelPrivacyEnabled.
   • Wenn der Wert existiert: Doppelklicken Sie darauf und ändern Sie den „Wertdaten” auf 0 (Null).
   • Wenn der Wert nicht existiert: Erstellen Sie einen neuen DWORD-Wert (32-Bit) mit dem Namen RpcAuthnLevelPrivacyEnabled und setzen Sie dessen Wert auf 0.

   Hinweis: Das Löschen des Eintrags hat den gleichen Effekt wie das Setzen auf 0, da 0 der Standardwert ist, wenn der Eintrag nicht vorhanden ist.

4. Schließen Sie den Registrierungs-Editor.
5. Starten Sie den Dienst „Druckerwarteschlange” neu. Dies können Sie über services.msc tun (Rechtsklick auf „Druckerwarteschlange” -> „Neu starten”) oder über die Eingabeaufforderung (als Administrator):
   net stop spooler
net start spooler
6. Versuchen Sie nun erneut, sich als Standardbenutzer mit dem Drucker zu verbinden. Es sollte funktionieren.

Wichtige Warnung: Diese Methode macht Ihr System wieder anfällig für die PrintNightmare-Schwachstelle. Verwenden Sie sie nur, wenn Sie keine andere Wahl haben und stellen Sie sicher, dass Ihr System anderweitig ausreichend geschützt ist. Sobald sicherere Alternativen verfügbar sind oder implementiert werden können, sollten Sie diesen Registrierungseintrag wieder auf seinen ursprünglichen Wert setzen (oder löschen, wenn er nicht von Ihnen erstellt wurde) und den Print Spooler-Dienst neu starten, um die Sicherheit wiederherzustellen.

Lösungsansatz 2: Sicherere Ansätze für nachhaltige Druckerverbindungen

Die folgenden Lösungen konzentrieren sich darauf, das Problem zu beheben, ohne die Sicherheit zu beeinträchtigen. Sie sind oft für größere Umgebungen gedacht, können aber auch in kleineren Netzwerken angewendet werden.

2.1 Aktualisieren und Signieren von Druckertreibern

Eine Hauptursache für den Fehler ist, dass Clients unsignierte oder veraltete Druckertreiber nicht installieren dürfen. Die beste Praxis ist, sicherzustellen, dass alle Drucker auf Ihrem Printserver aktuellste, digital signierte Treiber vom Hersteller verwenden.

1. Besuchen Sie die Website des Druckerherstellers und laden Sie die neuesten Treiber für Ihr spezifisches Druckermodell herunter.
2. Installieren Sie diese Treiber auf dem Printserver. Achten Sie darauf, dass es sich um Type 3 oder Type 4 Treiber handelt. Type 4 Treiber werden von Microsoft bevorzugt, da sie eine robustere und sicherere Installation ermöglichen.
3. Entfernen Sie alle alten, nicht benötigten oder unsignierten Treiber vom Printserver über die Druckerverwaltungskonsole (printmanagement.msc).
4. Stellen Sie sicher, dass der Drucker auf dem Server mit dem aktualisierten und signierten Treiber konfiguriert ist.

Nach diesem Update kann es sein, dass Standardbenutzer die Verbindung wieder herstellen können, da Windows signierten Treibern mehr Vertrauen entgegenbringt.

2.2 Gruppenrichtlinienobjekte (GPOs) für verwaltete Umgebungen

Für Unternehmensumgebungen sind Gruppenrichtlinienobjekte (GPOs) der empfohlene Weg, um die Installation von Druckertreibern für Standardbenutzer sicher zu verwalten, ohne die gesamte RPC-Authentifizierungsebene zu senken.

a) Point and Print Restrictions

Diese Richtlinie steuert, welche Printserver Standardbenutzer zur Installation von Druckertreibern verwenden dürfen.

1. Öffnen Sie die Gruppenrichtlinienverwaltung (gpmc.msc) auf Ihrem Domänencontroller.
2. Erstellen Sie eine neue GPO oder bearbeiten Sie eine bestehende, die auf die betroffenen Benutzer angewendet wird.
3. Navigieren Sie zu: BenutzerkonfigurationRichtlinienAdministrative VorlagenSystemsteuerungDrucker
4. Suchen Sie die Richtlinie „Point and Print-Einschränkungen“.
5. Konfigurieren Sie die Richtlinie wie folgt:
   • Setzen Sie sie auf „Aktiviert“.
   • Aktivieren Sie die Option „Benutzer können nur auf diese Server verweisen und drucken“.
   • Geben Sie im Feld „Liste der Server, denen Benutzer vertrauen können“ den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse Ihres Printservers ein (z.B. printserver.ihredomain.local).
   • Wählen Sie für „Beim Installieren von Treibern für eine neue Verbindung“ die Option „Warnung anzeigen und Eingabeaufforderung für die Bestätigung der erhöhten Rechte“ (empfohlen für eine gute Balance zwischen Sicherheit und Benutzerfreundlichkeit). Oder „Warnung anzeigen, aber keine Eingabeaufforderung für die erhöhten Rechte”, wenn die Treiber als vertrauenswürdig gelten.
   • Wählen Sie für „Beim Aktualisieren von Treibern für eine vorhandene Verbindung“ die Option „Nur Warnung anzeigen“.
6. Verknüpfen Sie die GPO mit der Organisationseinheit (OU), die die betroffenen Benutzerkonten enthält, und erzwingen Sie die Richtlinie (gpupdate /force auf den Clients).

Diese Einstellung erlaubt es Standardbenutzern, Treiber von den explizit genannten, vertrauenswürdigen Printservern zu installieren, umgeht aber die Berechtigungsprobleme bei der Verbindung mit freigegebenen Druckern.

b) Package Point and Print – Approved Servers (für Type 4 Treiber)

Wenn Sie moderne Type 4 Druckertreiber verwenden, gibt es eine weitere Richtlinie, die speziell auf diese optimiert ist und in Kombination mit den „Point and Print-Einschränkungen” verwendet werden kann.

1. Öffnen Sie die Gruppenrichtlinienverwaltung (gpmc.msc).
2. Navigieren Sie zu: ComputerkonfigurationRichtlinienAdministrative VorlagenDrucker
3. Suchen Sie die Richtlinie „Package Point and Print – Approved Servers“.
4. Konfigurieren Sie die Richtlinie wie folgt:
   • Setzen Sie sie auf „Aktiviert“.
   • Geben Sie in das Feld „Zeigen und Drucken über zugelassene Server ermöglichen“ den FQDN oder die IP-Adresse Ihres Printservers ein.
5. Wenden Sie die GPO auf die Computer an.

Diese Richtlinie erlaubt es Systemen, verpackte (Type 4) Treiber von angegebenen Servern herunterzuladen und zu installieren, ohne dass dafür Administratorrechte auf dem Client erforderlich sind.

c) Driver Installation Restrictions (optional)

Stellen Sie sicher, dass keine restriktiven Richtlinien die Treiberinstallation blockieren. Die Richtlinie „Installationsbeschränkungen für Gerätetreiber auf Administratoren beschränken” (ComputerkonfigurationRichtlinienAdministrative VorlagenSystemTreiberinstallation) sollte nicht aktiviert sein oder muss sorgfältig konfiguriert werden, wenn Point and Print nicht greift.

2.3 Lokale Druckerinstallation (mit einmaliger Admin-Hilfe)

Als pragmatischer Ansatz für einzelne Clients, bei denen GPOs nicht sofort greifen oder in nicht-domänengebundenen Umgebungen, können Sie den Drucker einmalig mit Administratorrechten installieren und die Verbindung dann für Standardbenutzer verfügbar machen.

1. Melden Sie sich als Administrator am Client-PC an.
2. Gehen Sie zu Einstellungen > Geräte > Drucker & Scanner > Drucker oder Scanner hinzufügen.
3. Wählen Sie „Der gewünschte Drucker ist nicht aufgeführt“.
4. Wählen Sie „Freigegebenen Drucker nach Namen auswählen“ und geben Sie den Netzwerkpfad zum Drucker ein (z.B. \PrintServerDruckername).
5. Folgen Sie den Anweisungen zur Installation des Treibers. Da Sie als Administrator angemeldet sind, sollte dies problemlos funktionieren.
6. Nach erfolgreicher Installation wird der Drucker dem System hinzugefügt.
7. Melden Sie sich als Administrator ab und melden Sie sich als Standardbenutzer an. Der Drucker sollte nun in der Liste der verfügbaren Drucker erscheinen und für den Standardbenutzer nutzbar sein, da die Treiber bereits installiert sind und die Verbindung hergestellt wurde.

2.4 Alternative Verbindungsmethoden (IPP, LPR, WSD)

In manchen Fällen können alternative Protokolle helfen, das Problem zu umgehen, da sie die Treiberaustauschmechanismen von RPC umgehen. Dies hängt jedoch stark von den Fähigkeiten Ihres Druckers und Printservers ab.

• Internet Printing Protocol (IPP): Einige Drucker und Printserver unterstützen IPP. Sie können versuchen, den Drucker über eine URL (z.B. http://PrintServer/printers/Druckername/.printer) hinzuzufügen.
• Line Printer Remote (LPR): Ein älteres Protokoll, das auf vielen Netzwerken immer noch verfügbar ist.
• Web Services for Devices (WSD): Moderne Drucker unterstützen oft WSD und können direkt im Netzwerk gefunden und hinzugefügt werden.

Diese Methoden erfordern in der Regel, dass der Drucker oder Printserver entsprechend konfiguriert ist und sind nicht immer eine praktikable Alternative für alle Szenarien.

Lösungsansatz 3: Überprüfung von Dienst- und Dateiberechtigungen (Erweiterte Fehlerbehebung)

Manchmal können tiefere Berechtigungsprobleme die Ursache sein, obwohl dies seltener direkt mit dem 0x0000011b-Fehler zusammenhängt, der meist durch die RPC-Authentifizierungsänderungen verursacht wird.

• Berechtigungen für den Print Spooler-Dienst: Stellen Sie sicher, dass der Dienst „Druckerwarteschlange” (Print Spooler) auf dem Printserver unter dem lokalen Systemkonto läuft und alle erforderlichen Berechtigungen besitzt.
• Dateiberechtigungen für Treiberverzeichnisse: Prüfen Sie die Berechtigungen für das Verzeichnis C:WindowsSystem32spooldrivers auf dem Printserver. Die Gruppe „Jeder” oder „Authentifizierte Benutzer” benötigt hier oft Lese- und Ausführungsrechte, damit Client-Computer Treiber herunterladen können. (Äußerst vorsichtig vorgehen, da falsche Änderungen die Systemsicherheit gefährden können).

Best Practices zur Vermeidung zukünftiger Probleme

Um zukünftige Druckprobleme dieser Art zu vermeiden, sollten Sie folgende bewährte Methoden anwenden:

• Regelmäßige Updates: Halten Sie alle Ihre Windows-Systeme (Clients und Server) auf dem neuesten Stand. Microsoft veröffentlicht kontinuierlich Patches und Verbesserungen, die auch Druckerprobleme beheben können.
• Ausschließlich signierte Treiber: Verwenden Sie immer digital signierte Druckertreiber von den Geräteherstellern. Unsignierte Treiber sind ein häufiger Grund für Kompatibilitäts- und Sicherheitsprobleme.
• Zentrale Druckerverwaltung: Nutzen Sie GPOs oder andere zentrale Verwaltungstools, um Drucker und Treiber in größeren Umgebungen zu verteilen und zu konfigurieren.
• Dokumentation: Dokumentieren Sie Ihre Druckerkonfiguration, einschließlich der verwendeten Treibernamen und -versionen, sowie der angewendeten GPOs.
• Testen von Änderungen: Testen Sie größere Änderungen an der Druckerkonfiguration oder der Installation von Sicherheitsupdates immer zuerst in einer Testumgebung, bevor Sie sie auf Ihr gesamtes Netzwerk anwenden.

Fazit

Der Fehler 0x0000011b ist ein direktes Ergebnis von Microsofts Bemühungen, die Druckerinfrastruktur sicherer zu machen. Während die temporäre Registry-Anpassung eine schnelle Lösung bietet, birgt sie erhebliche Sicherheitsrisiken. Langfristig ist es entscheidend, auf sicherere Methoden wie die Verwendung von aktuellen, signierten Druckertreibern und die Implementierung von Point and Print-Gruppenrichtlinien zu setzen. Dies gewährleistet nicht nur, dass Ihre Standardbenutzer wieder drucken können, sondern schützt Ihr Netzwerk auch vor potenziellen Sicherheitslücken. Nehmen Sie sich die Zeit, die Ursache genau zu analysieren und die passende, nachhaltige Lösung für Ihre Umgebung zu implementieren.