Share via

  • Artykuł

[Archiwum biuletynów ^][< Wolumin 4, Numer 3][Wolumin 5, Liczba 2 >]

System wewnętrzny biuletyn woluminu 5, numer 1

http://www.sysinternals.com
Copyright (C) 2003 Mark Russinovich

19 lutego 2003 r. — W tym problemie:

  1. REDAKCJI

  2. CO NOWEGO W SYSINTERNALS

    • Filemon v5.01
    • DebugView w wersji 4.2
    • NewSID v4.02
    • PsShutdown v2.01
    • Autoruns v2.02
    • ShareEnum v1.3
    • TCPView v2.31
    • Bluescreen v3.0
    • Sysinternals w firmie Microsoft

  3. INFORMACJE WEWNĘTRZNE

    • Nowy plik WIDEO z wewnętrznymi plikami XP/Server 2003
    • Mark i David Solomon Teach Internals i Rozwiązywanie problemów w Seattle
    • Windows 2000 SP3 Common Criteria Certified
    • Visual Studio: umieszczanie zegarka na ostatnim błędzie
    • Objaśniona wartość rejestru LameButtonText
    • Historia programowania w systemie Windows
    • Wprowadzenie do analizy zrzutu awaryjnego

Biuletyn Sysinternals jest sponsorowany przez Winternals Software, w Sieci Web http://www.winternals.com. Winternals Software jest wiodącym deweloperem i dostawcą zaawansowanych narzędzi systemów dla systemu Windows NT/2K/XP. Produkty Winternals Software obejmują ERD Commander 2002, NTFSDOS Professional Edition (sterownik NTFS do odczytu/zapisu dla SYSTEMU DOS) i odzyskiwanie zdalne.

Winternals jest dumny z ogłoszenia Defrag Manager w wersji 2.10, najszybszej, najbardziej dokładnej dostępnej defragmentatora przedsiębiorstwa. Teraz można zarządzać harmonogramami defragmentacji w całym przedsiębiorstwie systemu Windows za pomocą prostej przystawki MMC — nawet bez konieczności instalowania dowolnego oprogramowania klienckiego w systemach NT, Windows 2000 lub Windows XP. Odwiedź stronę http://www.winternals.com/es , aby uzyskać więcej informacji lub poprosić o bezpłatną 30-dniową wersję próbną.

Witam wszystkich,

Witamy w biuletynie Sysinternals. Biuletyn ma obecnie 36 000 subskrybentów.

Z przyjemnością informujem, że David Solomon jest autorem redakcji w tym miesiącu, gdzie opisuje niektóre z jego rzeczywistych doświadczeń rozwiązywania problemów z kilkoma narzędziami Sysinternals.

Przekaż biuletyn do znajomych, którzy mogą cię zainteresować.

Dziękujemy.

-Mark

REDAKCJA - David Solomon

Mam nowe motto: "W razie wątpliwości uruchom Filemon i Regmon (i Eksplorator procesów)".

Zanim wyjaśnię, pozwól mi najpierw powiedzieć dzięki Mark za zaproszenie mnie do pisania tej redakcji gościa (oczywiście, ponieważ ten świecący raport na temat tego, jak przydatne są jego narzędzia, to nie jest tak, że robi mi wielką przysługę lub cokolwiek!).

Jak wielu z was wie, Mark i ja współpracują ze sobą, pomagając edukować ludzi wewnętrznych systemu Windows. Nasz najnowszy projekt był aktualizacją samouczka wideo systemu Windows 2000 internals, który został utworzony w zeszłym roku w celu okrycia zmian jądra w systemach Windows XP i Windows Server 2003, a nasza następna publiczna klasa wewnętrznych systemu Windows to 21-23 kwietnia w Bellevue w Stanie Waszyngton - zobacz szczegóły dotyczące obu tych sekcji tego biuletynu. I, jak wielu nas zapytało, jesteśmy w trakcie naszej książki Inside Windows 2000 for XP & Server 2003 (wstępna data wydania jest późnym latem).

A teraz, dlaczego jestem tak zachwycony narzędziami Sysinternals? Ze względu na to, że w ciągu ostatniego roku pomogli mi rozwiązywać różne problemy z aplikacjami i systemami, które w przeciwnym razie byłyby nierozwiązane. W rzeczywistości nie mogę zacząć opisywać liczby zupełnie różnych, niepowiązanych problemów, które udało mi się rozwiązać za pomocą tych narzędzi. Nawet w przypadkach, gdy nie myślałem, że pomogą, zrobili. Stąd moje nowe motto: "W razie wątpliwości uruchom Filemon i Regmon".

Istnieją dwie podstawowe techniki, które znaleziono, aby zastosować następujące narzędzia:

  1. Spójrz na ostatnią rzecz w śladzie Filemon/Regmon, że aplikacja nie powiodła się. Może to wskazywać na problem.
  2. Porównaj ślad Filemon/Regmon aplikacji, która kończy się niepowodzeniem, ze śladem z działającego systemu.

W pierwszym podejściu uruchom polecenie Filemon i Regmon, a następnie uruchom aplikację. W momencie wystąpienia awarii wróć do pliku Filemon i Regmon i zatrzymaj rejestrowanie (naciśnij klawisze CONTROL+E). Następnie przejdź na koniec dziennika i znajdź ostatnie operacje wykonywane przez aplikację przed jej niepowodzeniem (awaria, zawieszenie lub cokolwiek innego). Począwszy od ostatniego wiersza, należy pracować wstecz, sprawdzając pliki i/lub klucze rejestru, do których się odwołuje, często pomoże to wskazać problem.

Użyj drugiego podejścia, gdy aplikacja kończy się niepowodzeniem w jednym systemie, ale działa na innym. Przechwyć ślad plików Filemon i Regmon aplikacji w działającym i kończącym się niepowodzeniem systemie, a następnie zapisz dane wyjściowe w pliku dziennika. Następnie otwórz dobre i złe pliki dziennika w programie Excel (przyjmij wartości domyślne w kreatorze importu) i usuń pierwsze 3 kolumny (w przeciwnym razie porównanie będzie wyświetlane w każdym wierszu w inny sposób, ponieważ pierwsze 3 kolumny zawierają informacje inne niż uruchamianie, takie jak czas i identyfikator procesu). Na koniec porównaj wynikowe pliki dziennika (na przykład z WinDiff, który w systemie Windows XP jest zawarty w bezpłatnych narzędziach pomocy technicznej, można zainstalować z dysku XP CD lub w systemach Windows NT4 i Windows 2000 można go znaleźć w zestawie Resource Kit).

Teraz kilka rzeczywistych przykładów.

Na stacji roboczej z systemem Windows 2000 z zainstalowanym pakietem Microsoft Office 97 program Word wkrótce po uruchomieniu otrzyma narzędzie Dr. Watson. Możesz wpisać kilka znaków przed wystąpieniem narzędzia Dr Watson, ale niezależnie od tego, czy w ciągu kilku sekund od uruchomienia program Word ulegnie awarii. Oczywiście użytkownik próbował odinstalować i ponownie zainstalować pakiet Office, ale problem pozostał. Tak więc, prowadziłem Filemon i Regmon i spojrzał na ostatnią rzecz zrobić przez Word przed śmiercią. Ślad Filemon pokazał ostatnią rzeczą, jaką program Word zrobił, było otwarcie biblioteki DLL drukarki HP. Okazuje się, że stacja robocza nie miała drukarki, ale najwyraźniej nie była w tym samym czasie. Tak więc usunąłem drukarkę HP z systemu i problem odszedł!

Najwyraźniej program Word wylicza drukarki po uruchomieniu spowodował załadowanie tej biblioteki DLL, co z kolei spowodowało śmierć procesu (dlaczego tak się stało, nie wiem, być może użytkownik zainstalował fikcyjną wersję, ale ponieważ system nie miał już drukarki, to naprawdę nie miało znaczenia).

W innym przykładzie Regmon zapisał użytkownikowi pełną ponowną instalację systemu Windows XP desktop. Objawem było to, że program Internet Explorer (IE) zawiesza się podczas uruchamiania, jeśli użytkownik nie wybrał najpierw ręcznie połączenia internetowego. To połączenie internetowe zostało ustawione jako domyślne połączenie dla systemu, więc uruchomienie programu IE powinno spowodować automatyczne połączenie telefoniczne z Internetem (ponieważ program IE został ustawiony na wyświetlanie domyślnej strony głównej podczas uruchamiania). Po moim nowym motto, prowadziłem Filemon i Regmon i spojrzał wstecz od punktu w dzienniku, gdzie IE wisiał. Filemon nie pokazał nic niezwykłego, ale dziennik Regmon pokazał zapytanie do klucza HKEY_CURRENT_USER\Software\Microsoft\RAS Phonebook\ATT. Użytkownik powiedział mi, że ma zainstalowany jednocześnie program wybierania numerów AT&T, ale odinstalował go i ręcznie utworzył połączenie wybierania numerów. Ponieważ nazwa połączenia wybierania numerów nie była "ATT", podejrzewałem, że zostało to pozostawione na śmieci rejestru od odinstalowania, które powodowało zadławienie programu IE. Tak więc zmieniono nazwę klucza i problem odszedł!

Użycie techniki "porównaj dzienniki" pomogło rozwiązać problem, dlaczego program Access 2000 zawieszał się na stacji roboczej programisty XP próbującej zaimportować plik programu Excel. Importowanie tego samego pliku działało dobrze na stacjach roboczych innych użytkowników, ale nie powiodło się na tej jednej stacji roboczej. W związku z tym przechwycono dostęp do działającego i nieudanego systemu. Po odpowiednim masowaniu plików dziennika, które zostały porównane z Windiff. Pierwsze kilka różnic wynikało z różnic między nazwami plików tymczasowych i dlatego, że niektóre nazwy plików różnią się ze względu na różnice wielkości liter, ale oczywiście nie były to "istotne różnice" między dwoma systemami.

Pierwszą różnicą, która nie była dobra, było to, że biblioteka DLL programu Access była ładowana z \Windows\System32 systemu, który kończy się niepowodzeniem, ale z \Program Files\Microsoft Office\Office folderu w systemie roboczym. Porównanie bibliotek DLL wykazało, że wersja w \Windows\System32 programie pochodzi z poprzedniej wersji programu Access. Dlatego użytkownik zmienił nazwę tej biblioteki DLL na .bad i ponownie uruchomił program Access, a problem został usunięty.

Jedna z klas problemów Filemon jest niezwykle przydatna w przypadku wykrywania problemów z uprawnieniami do plików. Wiele aplikacji wykonuje słabą pracę w zakresie zgłaszania błędów odmowy dostępu. Jednak uruchomienie pliku Filemon ujawnia wyraźnie błędy tego typu, ponieważ w kolumnie wyników jest wyświetlana wartość "ODMOWA DOSTĘPU" w przypadku niepowodzeń otwierania plików z powodu problemów z prawami (a najnowsza wersja pokazuje nawet nazwę użytkownika, która nie mogła uzyskać dostępu do pliku). Dwa konkretne przykłady, w których tak było:

  1. Podczas uruchamiania programu Word użytkownik otrzymuje dziwny błąd makra; program zwraca uprawnienia do pliku . Plik DOT, do których odwołuje się makro, został zmieniony, aby uniemożliwić temu użytkownikowi dostęp. Plikmon wyraźnie pokazał, że program Word otrzymuje błąd odmowy dostępu w pliku . Plik DOT. Po naprawieniu uprawnień problem zniknie.
  2. Aplikacja Outlook wyświetliła pole komunikatu z informacją Application defined or object-defined error-Message ID: [Connect].[LoadGlobalVariables].[LN:?].[EN:287]— kolejny przykład liczby aplikacji generują bezużyteczne komunikaty o błędach w przypadku losowych niepowodzeń we/wy. Ponownie uruchomione polecenie Filemon ujawniło błąd odmowy dostępu (tym razem w folderze wymaganym przez program Outlook do uzyskania dostępu). Uprawnienia zostały skorygowane w folderze i problem został rozwiązany.

To tylko kilka przykładów — mam wiele innych historii sukcesu, w których Filemon i Regmon (i Eksplorator procesów, których tutaj nie omówiłem) zapisało dzień. Nic dziwnego, że pomoc techniczna firmy Microsoft używa tych narzędzi codziennie, aby pomóc w rozwiązywaniu problemów z klientami (w końcu około 40 artykułów z bazy wiedzy wskazuje na listę narzędzi http://www.sysinternals.com/ntw2k/info/mssysinternals.shtml Marka).

Tak więc, w razie wątpliwości, uruchom Filemon i Regmon!

David Solomon David Solomon Expert Seminaria http://www.solsem.com

CO NOWEGO W SYSINTERNALS

FILEMON V5.01

Filemon, jeden z narzędzi David podkreśla w swojej redakcji, przeszedł swoją pierwszą ważną poprawkę od kilku lat. Nowa wersja zapewnia nowy poziom użyteczności narzędzia, które ma już dostępny interfejs użytkownika. Najważniejszym ulepszeniem jest zmiana sposobu prezentowania działania systemu plików w domyślnym ustawieniu Filemon podczas uruchamiania w systemie Windows NT, 2000, XP lub Server 2003, coś, o czym myślałem przez jakiś czas i że w końcu zaimplementowano na podstawie rzeczywistych opinii użytkowników z David.

Poprzednie wersje systemu plików Filemon wyświetlają operacje systemu plików z tekstowymi nazwami wewnętrznych żądań we/wy, które wykonują operacje. Chociaż technicznie dokładnie w prezentacji, wielu użytkowników nie zna wewnętrznego działania podsystemu We/Wy systemu Windows i wyszukuje operacje, takie jak bezsensowne i inne, jak FASTIO_CHECK_IF_POSSIBLE zgłoszone niepowodzenie FASTIO_READ operacji, mylące. Istnieje wiele innych przykładów operacji, które większość klasyfikowałaby jako "szum" i nazwy operacji, które nie są objaśniające.

Domyślny tryb wyświetlania pliku Filemon w wersji 5.01 ma teraz mechanizm filtrowania umożliwiający usunięcie działania, które jest bezużyteczne w większości scenariuszy rozwiązywania problemów i które przedstawia intuicyjne nazwy dla wszystkich operacji we/wy. FASTIO_CHECK_IF_POSSIBLE jest filtrowany, FASTIO_READ błędy nie są wyświetlane i FASTIO_READoznacza to, że powodzenie jest zgłaszane jako READ operacje. Ponadto widok domyślny pomija działanie systemu plików w procesie systemowym, czyli proces, z którego menedżer pamięci i pamięci podręcznej wykonuje działanie w tle, oraz wszystkie działania stronicowania Menedżera pamięci, w tym do pliku stronicowania systemu. Opcje|Zaawansowany element menu będzie spełniać wymagania użytkowników, takich jak deweloperzy sterowników filtru systemu plików, którzy chcą "nieprzetworzonego" widoku działania systemu plików wyświetlanego przez poprzednie wersje filemon.

Kilku użytkowników, w tym pracowników firmy Microsoft, zażądało, aby filemon pokazywał konto, na którym występują błędy "odmowa dostępu", aby ułatwić debugowanie ustawień zabezpieczeń w środowiskach usług terminalowych. W odpowiedzi w wersji 5.01 są wyświetlane te informacje, a także tryb dostępu (odczyt, zapis, usuwanie itp.) proces chce, gdy otwiera plik i jak plik jest otwierany, na przykład czy jest zastępowany, czy otwierany tylko wtedy, gdy istnieje.

Wiele sesji rozwiązywania problemów koncentruje się na identyfikowaniu plików, do których proces uzyskuje dostęp lub próbuje uzyskać dostęp, w tym przypadku operacje takie jak operacje odczytu, zapisy i zamknięcia są tylko szumem. W uznaniu tego faktu, że dodano nową opcję filtrowania "dziennik otwiera" umożliwia izolowanie tylko otwartych operacji.

Kolejną ważną zmianą jest sposób, w jaki filemon v5.01 obsługuje zamapowane udziały sieciowe. W poprzednich wersjach każde mapowanie jest wyświetlane jako litera dysku w menu Dyski. Teraz wszystkie takie mapowania są uwzględniane w obszarze "Sieć" menu Woluminy (czyli menu dyski o zmienionej nazwie). Wybranie pozycji Sieć ma plikmon monitor wszystkich udziałów sieciowych, a także zgłaszać aktywność sieci typu UNC typu, który występuje podczas uzyskiwania dostępu do plików zdalnych przy użyciu konwencji nazewnictwa "\\computer\share\directory". Ta zmiana umożliwia wyświetlanie aktywności plików sieciowych nawet wtedy, gdy nie masz mapowanego udziału sieciowego, co było wymagane przez poprzednie wersje pliku Filemon. Istnieje wiele innych drobnych zmian do najnowszego Filemon, w tym zaktualizowana struktura menu, która odzwierciedla bardziej użyteczne menu wprowadzone w Regmon kilka miesięcy temu.

Pobierz plikmon v5.01 pod adresem
http://www.sysinternals.com/ntw2k/source/filemon.shtml

INFORMACJE O KODZIE ŹRÓDŁOWYM FILEMON I REGMON

Deweloperzy produktów oprogramowania, sprzętu i sieci obsługują oprogramowanie Sysinternals, kupując licencje na redystrybucję naszego kodu. Jednak w ciągu ostatniego roku znaleźliśmy szereg oprogramowania, od trojanów do produktów komercyjnych z niektórych wielomiliardowych korporacji, zawierających nielicencjonowany kod źródłowy Sysinternals. W celu utrzymania rozwoju sysinternals i naszych produktów prawnie licencjonowanych zaprzestaliśmy publikowania kodu źródłowego dla niektórych naszych produktów, w tym najnowszych wydań Filemon i Regmon. Będziemy nadal udostępniać kod źródłowy licencjom komercyjnym. Jeśli odnajdujesz dublowanie kodu źródłowego sysinternals, daj nam znać.

DEBUGVIEW V4.2

DebugView to bardzo popularne narzędzie Sysinternals, którego deweloperzy oprogramowania używają do przechwytywania danych wyjściowych debugowania generowanych przez oprogramowanie. Wersja 4.2 odzwierciedla szereg rozszerzeń i funkcji wymaganych przez użytkownika. Żądana przez firmę Microsoft opcja umożliwia przechwytywanie danych wyjściowych debugowania procesów wykonywanych w sesji konsoli środowiska usług terminalowych podczas uruchamiania widoku DebugView w sesji innej niż konsola. Wersja 4.2 obsługuje rozwinięte opcje wiersza polecenia, które umożliwiają określenie pliku dziennika w celu załadowania, głębokości historii i innych zachowań uruchamiania. Kilku użytkowników zażądało więcej i dłuższych filtrów, filtrowanie identyfikatorów procesów oraz możliwość wstawiania komentarzy do danych wyjściowych, z których wszystkie są możliwe w najnowszej wersji. Nowa wersja jest zaokrąglona z kilkoma poprawkami błędów, lepszą obsługą wyodrębniania danych wyjściowych debugowania jądra z plików zrzutu awaryjnego i lepszymi oknami balonowymi dla tekstu, który przekracza szerokość kolumny wyjściowej, a nawet ekranu.

Pobierz widok DebugView w wersji 4.2 pod adresem
http://www.sysinternals.com/ntw2k/freeware/debugview.shtml

NEWSID V4.02

Problem duplikowania identyfikatora SID (identyfikatora zabezpieczeń) jest taki, który napotkasz, jeśli do wdrożenia więcej niż jednego systemu zostanie użyty preinstalowany obraz systemu Windows. Każdy komputer, który udostępnia obraz, ma ten sam wewnętrzny identyfikator SID systemu Windows, który jest identyfikatorem używanym przez podsystem zabezpieczeń systemu Windows jako podstawa dla identyfikatorów grup lokalnych i kont. Ze względu na problemy z zabezpieczeniami udostępnianie może spowodować, że większość administratorów podejmie kroki po zastosowaniu unikatowego identyfikatora SID na każdym komputerze przy użyciu narzędzia zmieniającego identyfikator SID.

NewSID, Sysinternals SID-changer, jest popularny, ponieważ w przeciwieństwie do innych zmian, które korzystają z systemu DOS lub wymagają, aby system był wolny od oprogramowania dodatków, NewSID jest programem Win32, którego można użyć do przypisania nowego identyfikatora SID do komputerów, na których zainstalowano aplikacje. Wersja 4.02 to główna aktualizacja, która ma nowy interfejs Kreatora, dodaje obsługę systemu Windows XP i umożliwia zmianę nazwy komputera.

Funkcja żądana przez wielu administratorów to możliwość stosowania określonego identyfikatora SID, co może być przydatne w przypadku migrowania ustawień instalacji na inny komputer lub ponownej instalacji. Podczas uruchamiania polecenia NewSID powoduje, że rejestr rośnie, gdy stosuje tymczasowe ustawienia zabezpieczeń do części rejestru w celu udostępnienia ich. To wzdęcie może spowodować przekroczenie limitu przydziału rozmiaru rejestru, dzięki czemu nowa funkcja w wersji 4.02 kompresuje rejestr do minimalnego rozmiaru jako ostatniego kroku operacji.

Pobierz identyfikator NewSID w wersji 4.02 pod adresem
http://www.sysinternals.com/ntw2k/source/newsid.shtml

PSSHUTDOWN V2.01

Zamknięcie to narzędzie, które firma Microsoft od dawna dołącza do zestawu Windows Resource Kit i znajduje się w instalacjach systemu Windows XP. Przed wersją 2.01 PsShutdown, członkiem zestawu narzędzi administracji wiersza polecenia Sysinternals PsTools, był po prostu klon Shutdown, ale ta najnowsza wersja rozszerza swoje możliwości znacznie poza te z shutdown's. Można na przykład zamknąć i wyłączyć, jeśli system obsługuje zarządzanie energią, zablokować pulpit i wylogować użytkownika interakcyjnego, wszystko na komputerze lokalnym lub zdalnym, bez ręcznego instalowania oprogramowania klienckiego.

Pobierz plik PsShutdown v2.01 pod adresem
http://www.sysinternals.com/ntw2k/freeware/psshutdown.shtml
Pobierz cały pakiet PsTools pod adresem
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

AUTORUNS V2.02

Wszyscy byliśmy zirytowani instalacją niechcianych apletów, które działają, gdy logujemy się i jesteśmy sfrustrowani naszym wyszukiwaniem ich polecenia uruchamiania. Nic dziwnego, że system Windows ma blisko 2 tuziny mechanizmów do takiej aktywacji. Narzędzie MsConfig dołączone do systemu Windows Me i XP może czasami pomóc, ale pomija około połowę możliwych lokalizacji uruchamiania.

Autoruns, narzędzie Sysinternals napisane przez Bryce Cogswell i ja, pokazuje cały obraz. Jego ekran przedstawia listę wszystkich możliwych lokalizacji rejestru i plików, w których aplikacja może umożliwić uruchamianie się podczas uruchamiania systemu lub logowania. Najnowsza wersja wyświetla informacje o ikonie i wersji dla każdego obrazu skonfigurowanego do uruchamiania w celu łatwej identyfikacji i dodaje ulepszenia interfejsu użytkownika, takie jak menu kontekstowe. Ponadto nowa wersja identyfikuje więcej lokalizacji uruchamiania, w tym skrypty logowania i wylogowywania, zadania harmonogramu zadań wykonywane podczas logowania i punkty uruchamiania dodatku Explorer.

Pobierz autoruns v2.01 pod adresem
http://www.sysinternals.com/ntw2k/source/misc.shtml

SHAREENUM V1.3

Administratorzy systemów często pomijają krytyczną część zabezpieczeń sieci lokalnej: foldery udostępnione. Użytkownicy w środowisku firmowym często tworzą udziały do folderów zawierających dokumenty w celu zapewnienia łatwego dostępu do współpracowników w swojej grupie. Niestety wielu użytkowników nie może zablokować swoich udziałów za pomocą ustawień, które uniemożliwiają nieautoryzowany dostęp do potencjalnie poufnych informacji przez innych pracowników.

ShareEnum to narzędzie Sysinternals napisane przez Bryce Cogswell, które pomaga zidentyfikować nieautoryzowane udziały i zaostrzyć zabezpieczenia na prawidłowych. Po uruchomieniu programu ShareEnum używa wyliczenia NetBIOS do lokalizowania komputerów w sieci i raportowania udziałów, które eksportują, wraz ze szczegółowymi informacjami na temat ustawień zabezpieczeń zastosowanych do udziałów. W ciągu kilku sekund można wykryć otwarte udziały i kliknąć dwukrotnie udział, aby otworzyć go w Eksploratorze, aby można było zmodyfikować jego ustawienia. Możesz również użyć funkcji eksportu shareEnum, aby zapisać skanowania i porównać bieżące skanowanie z wcześniej zapisanym.

Pobierz aplikację ShareEnum w wersji 1.3 pod adresem
http://www.sysinternals.com/ntw2k/source/shareenum.shtml

TCPVIEW V2.31

TCPView to graficzne narzędzie typu netstat, które wyświetla listę aktywnych punktów końcowych TCP i UDP systemu. W systemach Windows NT, 2000, XP i Server 2003 jest wyświetlany proces, który jest właścicielem każdego punktu końcowego. Wersja 2.31 wyświetla ikonę pliku obrazu procesu w celu łatwiejszej identyfikacji.

Pobierz element TCPView w wersji 2.31 pod adresem
http://www.sysinternals.com/ntw2k/source/tcpview.shtml

BLUESCREEN V3.0

System Sysinternals Bluescreen of Death Screensaver został ulubionym pobieraniem od kilku lat, a wersja 3.0 dodaje zgodność systemu Windows XP. Wygaszacz ekranu wyświetla autentycznie niebieski ekran śmierci, wraz z formatowaniem i losowymi szczegółami odpowiednimi dla systemu operacyjnego, na którym działa (np. Windows NT, 2000 lub XP), a po wstrzymaniu symuluje cykl ponownego uruchamiania i kolejne powtórzenie innego ekranu awarii. To tak przekonujące, że David Solomon oszukał mnie z tym i oszukałem go z tym. Użyj go jako własnego wygaszacza ekranu lub oszukać znajomych i współpracowników, ale upewnij się, że twój szef ma poczucie humoru przed zainstalowaniem go w systemie produkcyjnym.

Pobierz ekran Bluescreen w wersji 3.0 pod adresem
http://www.sysinternals.com/ntw2k/freeware/bluescreensaver.shtml

SYSINTERNALS AT WWW.MICROSOFT.COM

Oto najnowsza wersja odwołań sysinternals w artykułach bazy wiedzy Microsoft Knowledge Base (KB) wydanych od ostatniego biuletynu. Jestem zaszczycony, że spowoduje to 41 całkowita liczba odwołań KB do sysinternals.

  • ACC2000: Komunikat o błędzie: Składnik ActiveX nie może utworzyć obiektu http://support.microsoft.com/default.aspx?scid=KB; EN-US; Q319841&

  • INSTRUKCJE: Rozwiązywanie problemów z platformą ASP w usługach IIS 5.0 http://support.microsoft.com/default.aspx?scid=KB; EN-US; Q309051&

  • OL2002: Jak utworzyć zaufane dodatki http://support.microsoft.com/default.aspx?scid=KBoutlook COM ; en-us; 327657&

  • PRB: błąd 80004005 "Aparat bazy danych Microsoft Jet nie może otworzyć pliku "(nieznany)" http://support.microsoft.com/default.aspx?scid=KB; EN-US; Q306269&

  • Niepowodzenie zwolnienia profilu użytkownika podczas uruchamiania, zamykania lub wylogowywania netMeeting http://support.microsoft.com/default.aspx?scid=KB; EN-US; Q327612

  • XADM: Komunikat o błędzie: Błąd 123: Nazwa pliku, nazwa katalogu lub składnia etykiety woluminu jest niepoprawna http://support.microsoft.com/default.aspx?scid=KB; EN-US; Q318746&

INFORMACJE WEWNĘTRZNE

NOWY FILM WIDEO WEWNĘTRZNY XP/SERVER 2003

Nasza nowa aktualizacja wideo w systemie Windows XP/Server 2003 wewnętrznych zmian jest dostępna do zamawiania wersji wstępnej! Jako dodatek do istniejącego samouczka wideo INSIDE Windows 2000 lub jako autonomiczny produkt we własnym zakresie, ten nowy film wideo zawiera szkolenia dotyczące zmian jądra w systemie Windows XP i nowym produkcie Firmy Microsoft Windows Server 2003, który zostanie uruchomiony w kwietniu. Omówione tematy obejmują wydajność, skalowalność, obsługę 64 bitów, systemy plików, niezawodność i odzyskiwanie.

W tym samym interaktywnym stylu co jego poprzednik, Windows XP/Server 2003 Update stawia Cię przez biurko od David Solomon i Mark Russinovich przez 76 minut wysoce skoncentrowanego, intensywnego szkolenia. Obejmuje ona pytania dotyczące przeglądu, ćwiczeń laboratoryjnych i wydrukowanego skoroszytu oraz jest dostępna w filmach DVD i Windows Media na dyskach CD-ROM.

Ponieważ te filmy wideo zostały opracowane z pełnym dostępem do kodu źródłowego systemu Windows i zespołu deweloperów, wiesz, że otrzymujesz prawdziwą historię. Jako ostateczny komplement firma Microsoft licencjonowała ten film wideo na potrzeby wewnętrznego szkolenia na całym świecie.

SPECJALNE CENY WERSJI WSTĘPNEJ W PRZYPADKU ZAKUPU PRZED 15 MARCA! Kup INSIDE Windows 2000 za $950 i pobierz Windows XP/Server 2003 Update FREE! To prawie 40% od połączonej wartości detalicznej w wysokości 1390 USD. Możesz też kupić autonomiczny film wideo z systemem Windows XP/Server 2003 Update tylko za 169 USD (wartość detaliczna 195 USD). Inne konfiguracje licencji dostępne w witrynie sieci Web. Aby skorzystać z tej oferty ograniczonego czasu, zamów teraz na http://www.solsem.com/vid_purchase.html

MARK I DAVID SOLOMON UCZĄ WEWNĘTRZNYCH I ROZWIĄZYWANIA PROBLEMÓW W BELLEVUE, WA

Posłuchaj mnie i David Solomon prezentują naszą 3-dniową klasę wewnętrzną systemu Windows 2000/XP/.NET Server w Bellevue, WA (w pobliżu Seattle) 21-23 kwietnia. W oparciu o "Inside Windows 2000, 3rd Edition", obejmuje architekturę jądra i interrelationship kluczowych składników systemowych i mechanizmów, takich jak wątki systemowe, wysyłanie wywołań systemowych, obsługa przerwań i uruchamianie i zamykanie. Poznaj zaawansowane techniki rozwiązywania problemów przy użyciu narzędzi Sysinternals i dowiedz się, jak używać narzędzia Windbg do podstawowej analizy zrzutu awaryjnego. Wewnętrzne podsystemy kluczy obejmują procesy i wątki, planowanie wątków, zarządzanie pamięcią, zabezpieczenia, system we/wy i menedżer pamięci podręcznej. Dzięki zrozumieniu działania wewnętrznego systemu operacyjnego można efektywniej i efektywniej debugować i rozwiązywać problemy z platformą.

Aby zarejestrować się lub uzyskać więcej informacji, zobacz http://www.sysinternals.com/seminar.shtml

WINDOWS 2000 SP3 COMMON CRITERIA CERTIFIED

Wielu z was prawdopodobnie zna terminy "Orange Book" i C2, które są związane z przestarzałym standardem oceny zabezpieczeń używanym w 1980 i 90 przez rząd USA, aby ocenić możliwości zabezpieczeń oprogramowania, w tym systemów operacyjnych. Od 1999 r. oceny Orange Book, które były częścią Departamentu Zaufanych Kryteriów Oceny Systemu Komputerowego (TCSEC), zostały subsumowane przez nowszy system Wspólnych Kryteriów (CC). CC został uzgodniony przez wiele krajów jako międzynarodowy standard klasyfikacji bezpieczeństwa, który jest bogatszy niż TSCEC i przestarzałe oceny Bezpieczeństwa Technologii Informatycznych (ITSEC).

Gdy dostawca ma certyfikat oprogramowania zgodnie ze standardem CC, określa "profil ochrony", który jest zestawem funkcji zabezpieczeń, a ocena zgłasza poziom pewności, znany jako poziom kontroli oceny (EAL), że oprogramowanie spełnia wymagania profilu ochrony. Istnieją 7 list EAL z wyższym poziomem zapewniania wskazującym większą pewność niezawodności funkcji zabezpieczeń ocenianego oprogramowania.

Firma Microsoft przesłała ocenę systemu Windows 2000 dla cc w odniesieniu do profilów ochrony dostępu kontrolowanego, który jest w przybliżeniu odpowiednikiem CC oceny TCSEC C2, kilka lat temu i w październiku 2002 r. jego ocena została ukończona. Science Applications International Corporation (SAIC), niezależna firma, która przeprowadziła ocenę, znalazła system Windows 2000 z dodatkiem Service Pack 3, aby spełnić profil kontroli dostępu z poziomem gwarancji oceny (EAL) 4 plus korygowanie błędów. EAL 4 jest uważany za najwyższy poziom osiągalny przez oprogramowanie ogólnego przeznaczenia, a korygowanie błędów odnosi się do mechanizmu Windows Update w celu terminowego stosowania poprawek zabezpieczeń. Ocena ta jest najwyższym poziomem osiągniętym do tej pory w ramach CC przez system operacyjny.

VISUAL STUDIO: UMIEŚĆ ZEGAREK NA LASTERROR

Jeśli tworzysz aplikacje, które opierają się na interfejsie API Win32, prawie na pewno masz napisany kod, który wykonuje funkcję Win32, ale z jakiegokolwiek powodu nie zgłasza określonych błędów. Jeśli tak, znajdziesz tę poradę przydatną. Dodając wyrażenie @ERR,hr do okna zegarka, zobaczysz liczbową i tekstową reprezentację wartości przechowywanej jako zmienna bieżącego wątku LastError , która jest wartością zwracaną przez GetLastError() funkcję Win32.

OBJAŚNIONA WARTOŚĆ REJESTRU LAMEBUTTONTEXT

Jeśli zbadano ślady regmonu w systemie Windows 2000 lub XP uruchamiania aplikacji systemu Windows, prawdopodobnie widziałeś odwołania do wartości HKCU\Control Panel\Desktop\LameButtonTextRejestru , zwykle z błędem NOTFOUND . Ktoś w firmie Microsoft oczywiście ma poczucie humoru, ale jaka jest ta wartość? Okazuje się, że przechowuje tekst widoczny w wersjach beta systemu Windows i wersji release candidate na paskach tytułów okien, które przekierowuje Cię do kliknięcia linku w celu zgłaszania opinii. Byłoby fajnie, gdyby można było włączyć go w wersjach innych niż wersja wstępna systemu Windows, aby umieścić niestandardowy tekst, ale jego funkcjonalność jest niestety wyłączona w wersjach produkcyjnych.

HISTORIA PROGRAMOWANIA SYSTEMU WINDOWS

Paul Thurrott ma ładny 3-częściowy artykuł serii dzieje się w historii procesu programowania Windows NT. Sprawdź to pod adresem http://www.winsupersite.com/reviews/winserver2k3_gold1.asp

SZYBKIE WPROWADZENIE DO ANALIZY ZRZUTU AWARYJNEGO

Gdy system ulegnie awarii natychmiast po zainstalowaniu nowego sprzętu lub oprogramowania, przyczyna jest oczywista. Czasami jednak awarie systemu występują od czasu do czasu i nie ma wyraźnego powodu. W takich przypadkach jedynym sposobem ustalenia przyczyny awarii jest przeanalizowanie zrzutu awaryjnego. W tym samouczku opiszę, jak działa analiza awarii online firmy Microsoft (OCA) i jak może ona dać odpowiedź na zagadkę awarii, a następnie poinformuj cię, jak skonfigurować własne środowisko analizy awarii, aby można było przyjrzeć się awariom, których analiza OCA nie będzie mogła pomyślnie przeanalizować.

Firma Microsoft wprowadziła OCA wraz z wydaniem systemu Windows XP jako usługę zautomatyzowanej analizy opartą na scentralizowanym repozytorium informacji związanych z awariami. Po ponownym uruchomieniu systemu XP z awarii zostanie wyświetlony monit o wysłanie informacji o awarii do lokacji OCA (http://oca.microsoft.com/en/Welcome.asp). Jeśli zgadzasz się, XP przekazuje plik XML opisujący podstawową konfigurację systemu wraz z plikiem awaryjnym 64 KB. Minidump zawiera niewielką ilość danych natychmiast istotnych dla awarii, takich jak kod awarii, stos wątku, który był wykonywany w momencie awarii, lista sterowników załadowanych do systemu oraz struktury danych zarządzające procesem uruchomionym po wystąpieniu awarii.

Gdy analiza OCA otrzyma informacje, które będą analizowane i przechowuje podsumowanie analizy w bazie danych. Jeśli po przekazaniu zostanie wyświetlony monit i odwiedź witrynę OCA, którą masz możliwość śledzenia analizy. Wymaga to zalogowania się przy użyciu konta usługi Passport. Następnie wprowadź nazwę awarii i jakiś tekst opisujący charakter awarii. Jeśli aparat OCA koreluje awarię z innymi osobami w bazie danych, dla której firma Microsoft zidentyfikowała przyczynę, w której witryna powiadomi Cię pocztą e-mail, a po ponownym wyświetleniu witryny i wyszukaniu przesłanej awarii informuje o tym, gdzie uzyskać sterownik lub aktualizację systemu operacyjnego. Niestety, chociaż obsługa OCA jest wbudowana w xp i akceptuje pliki zrzutu awaryjnego systemu Windows 2000, nie obsługuje NT 4 i nie może zidentyfikować przyczyny większości awarii (przynajmniej w moim środowisku).

Aby samodzielnie przeprowadzić analizę awarii, potrzebne będą odpowiednie narzędzia, które firma Microsoft udostępnia w postaci pakietu Debugowanie dla systemu Windows, który można pobrać z witryny http://www.microsoft.com/ddk/Debugging/. Pakiet zawiera między innymi narzędzie do analizy Windbg. Po pobraniu i zainstalowaniu narzędzi uruchom narzędzie Windbg i otwórz plik |Okno dialogowe Ścieżka pliku symboli. W tym miejscu informujesz windbg, gdzie znaleźć pliki symboli dla wersji systemu operacyjnego, z której jest analizowana awaria. Możesz wprowadzić ścieżkę do katalogu, w którym zainstalowano symbole, jednak wymaga to uzyskania plików symboli dla dokładnego systemu operacyjnego, dodatku Service Pack i gorących poprawek zainstalowanych w systemie awaryjnym. Ręczne aktualizowanie plików symboli jest żmudne i jeśli chcesz analizować awarie z różnych systemów, musisz martwić się o różne zestawy plików symboli dla każdej innej instalacji.

Możesz uniknąć problemów z plikiem symboli, wskazując windbg na serwerze symboli firmy Microsoft. Po skonfigurowaniu go do korzystania z serwera symboli Windbg automatycznie pobiera pliki symboli na żądanie na podstawie otwartego zrzutu awaryjnego. Serwer symboli przechowuje symbole dla NT 4 do wersji beta serwera 2003 i kandydatów do wydania, w tym dodatków Service Pack i gorących poprawek. Składnia kierująca windbg do serwera symboli to srv*c:\symbols*http://msdl.microsoft.com/download/symbols. Zastąp element c:\symbols katalogiem, w którym chcesz przechowywać pliki symboli. Aby uzyskać więcej informacji na temat symboli, zobacz http://www.microsoft.com/ddk/debugging/symbols.asp

Przed rozpoczęciem analizowania zrzutów awaryjnych należy wykonać jeszcze jeden krok: skonfiguruj systemy, aby je wygenerować. Zrób to, otwierając aplet System w panelu sterowania i w systemie Win2k i nowszym, klikając przycisk Startup/Shutdown (Uruchamianie/zamykanie) na stronie Zaawansowane. W nt 4 przejdź do karty Uruchamianie/zamykanie apletu. Jedyną opcją zrzutu awaryjnego w systemach NT 4 jest zrzut pełnej pamięci, gdzie cała zawartość pamięci fizycznej w momencie awarii jest zapisywana w określonym pliku. W systemie Win2k i nowszych dostępne są trzy opcje: mini, jądro i pełne. Win2K & XP Professional i Home domyślnie mini; Systemy serwerowe są domyślnie pełne. W przypadku stacji roboczych/komputerów klienckich zmień ustawienie z mini na zrzut jądra, co powoduje zapisanie tylko części pamięci fizycznej należącej do systemu operacyjnego (w przeciwieństwie do aplikacji), ponieważ minimalizuje rozmiar pliku zrzutu awaryjnego i nadal udostępnia pełne informacje o strukturach danych jądra, które windbg musi skutecznie analizować awarię. W przypadku systemów serwerowych pełne zrzuty są w porządku, ale zrzuty jądra są bezpiecznym wyborem (i ewentualnie jedynym wyborem, jeśli masz bardzo duży system pamięci).

Teraz możesz przeanalizować awarię. W przypadku wystąpienia po prostu załaduj wynikowy plik zrzutu do narzędzia Windbg, wybierając plik |Otwórz opcję menu Zrzut awaryjny. Podczas ładowania zrzutu Windbg zaczyna go przetwarzać i zobaczysz komunikaty dotyczące wersji systemu operacyjnego i ładowania symboli. Następnie zostanie wyświetlony komunikat z tekstem "Analiza usterki". Dane wyjściowe następujące po komunikacie zgłaszają parametry kodu awarii i kodu awaryjnego, a także "prawdopodobnie spowodowane przez".

W niektórych przypadkach podstawowa analiza Windbg wykonuje tutaj wystarczy, aby zidentyfikować sterownik błędów lub składnik jądra. Zalecam jednak zawsze wprowadzenie następującego polecenia: !analyze -v. To polecenie powoduje wykonanie tej samej analizy, ale więcej informacji. Na przykład tekst objaśnia znaczenie kodu awaryjnego i informuje o tym, jakie parametry opcjonalne reprezentują, czasami z poradami dotyczącymi tego, co należy spróbować dalej. Zobaczysz również ślad stosu, który jest rekordem wykonywania funkcji prowadzącym do kodu, w którym wystąpiła awaria. Jeśli sterownik przekazuje wadliwe dane do jądra lub sterownika określonego przez analizę, może zostać wyświetlona jego nazwa w śladzie i może zidentyfikować ją jako możliwą główną przyczynę.

Jeśli chcesz dokładniej zapoznać się ze stanem systemu w momencie awarii, istnieje wiele poleceń Windbg, które umożliwiają wyświetlenie listy uruchomionych procesów, sterowników załadowanych, użycia pamięci i innych. Plik pomocy Windbg zawiera również odwołanie do sprawdzania błędów, z którym zalecamy wykonanie kolejnych czynności, aby uzyskać więcej informacji i wskazówek, a jeśli nadal skończysz, zalecam wykonanie wyszukiwania w bazie wiedzy firmy Microsoft dla kodu awarii. Firma Microsoft tworzy artykuły bazy wiedzy dotyczące typowych awarii i przeprowadza Cię do witryn dostawców lub gorących poprawek, które pozwalają rozwiązać określone problemy.

Jeśli chcesz zobaczyć, jak przedstawić te informacje na żywo, z przykładami, zapoznaj się ze mną na dowolnej z następujących konferencji:

  • Wewnętrzne i rozwiązywania problemów seminarium David i I są dostarczane w kwietniu w Bellevue, WA
  • Windows i .NET Magazine Połączenie ions w Scottsdale, AZ w maju:http://www.winconnections.com/win
  • TechEd USA (Dallas) lub TechEd Europe (w Barcelonie) tego lata

Dziękujemy za przeczytanie biuletynu Sysinternals.

Opublikowano środę, 19 lutego 2003 16:47 przez ottoh

[Archiwum biuletynów ^][< Wolumin 4, Numer 3][Wolumin 5, Liczba 2 >]