通过

诊断和恢复工具包快速入门指南

原文地址:https://technet.microsoft.com/zh-cn/library/bb608290.aspx

出版日期:2007 年 6 月 22 日

本页包含以下内容:

启动管理员工具包
使用管理员工具包
获得管理员工具包的帮助
管理员工具包快速提示

启动管理员工具包

要启动管理员工具包,请将管理员工具包 CD 插入计算机的 CD-ROM 驱动器。安装向导会指导您完成安装过程,并允许选择典型安装或自定义安装。*

访问工具包

管理员工具包安装完成后,可以通过以下两种方式访问它。

A. Start 菜单提供了易于使用的管理员工具包导航器。通过导航器可以查看有助于满足您的系统挑战的产品。

B. 如果知道自己要使用的工具,那么可以从 Start 菜单直接选择 Remote Recover™ (或它的客户端启动媒体向导)、Filemon™、Regmon™、Crash Analyzer Wizard™、FileRestore™、Insight for Active Directory™、AD Explorer™、TCPView Professional™* 和TCPVStat™*。在这里也可以打开 NTFSDOS Professional™ 和ERD Commander 2005™ 的启动媒体向导。

* 典型安装中默认不包括 TCPView Professional 和TCPVStat。要安装这两个组件,请选择自定义安装。

启动系统

将管理员工具包 CD 插入光驱,重新启动系统,就可以将系统启动到 ERD Commander 2005(它包含 Disk Commander™ 和 Crash Analyzer Wizard);这个过程是安全的并且不会修改系统。启动过程会持续到出现 ERD Commander 2005 环境为止,如下图所示。

使用管理员工具包

利用管理员工具包,可以修复不可启动的系统、恢复数据,并以多种方式进行疑难解答。

使用Administrator’s Pak Navigator选择工具

  1. 单击 Start 菜单,单击 Programs,然后单击 **Winternals Administrator’s Pak,**再单击 Administrator’s Pak Navigator
  2. 要启动某个工具,请选择对应的图标或描述。
  3. 要创建 ERD Commander 2005 或远程恢复3.0 的启动媒体,请选择“创建启动媒体”图标或描述。

使用Crash Analyzer Wizard进行系统疑难解答

  1. 选择 Start 菜单,然后单击 (All) Programs,再单击 Winternals Administrator’s Pak,最后单击Crash Analyzer Wizard。在介绍屏幕上单击 Next。
  2. 选择包含 Microsoft Windows 调试工具的目录,如果需要下载,这里提供了一个链接。然后单击 Next。
  3. 选择包含符号文件的目录;除非以前下载过,否则需要使用 Microsoft 符号服务器下载符号文件。然后单击 Next。
  4. 指定要分析的转储文件,然后单击 Next。C:\Windows\Minidump\ 是放置转储文件的默认目录。如果所用的系统上没有转储文件,请指定从其他系统复制的转储文件的位置。
  5. 向导显示的信息会指出造成崩溃的驱动程序。可以使用服务和驱动程序管理器调整驱动程序,然后重新启动系统。

用ERD Commander 2005修改管理员密码

  1. 按照“启动系统”一节的说明,用 CD 启动系统。
  2. 选择 Start 菜单,单击 Administrative Tools,然后单击 Locksmith 图标。
  3. Locksmith™ 向导会提供 Locksmith 的功能信息,并要求选择一个帐户。
  4. 选择帐户之后,输入新密码即可。
  5. 要测试新密码,请重启到 Windows(不是 ERD Commander 2005),输入选中的帐户的新密码。

警告:  请将管理员工具包 CD 存储在安全的位置,并监控它的使用。记录新密码,并通知帐户用户。

用远程恢复启动并装载无效系统的磁盘

  1. 在无效系统中插入启动媒体。(可以使用远程恢复客户端启动 CD 向导生成启动 CD,或者使用客户端软盘向导生成软盘介质或网络启动映像。)
  2. 按照启动过程启动,会显示远程恢复客户端程序。
  3. 在主机系统上,选择 Start 菜单,然后单击 Programs,再单击 **Winternals Administrator’s Pak,最后单击Remote Recover。**在启动时,远程恢复会在网络上广播一个查询。已启动的系统在收到查询时会自动响应。在程序界面中会显示做出响应的客户端列表。
  4. 突出显示选中要访问的系统的 IP 地址,然后从 File 菜单选择 Connect。  
  5. 在左侧窗口中选择磁盘,然后从 File 菜单选择 Mount。磁盘会在右侧窗口出现。加载成功后,就可以从任何 Windows 应用程序访问客户端的磁盘。

注意: 如果要连接的系统要通过路由器,那么主机可能收不到广播,所以可能无法自动查看系统。在这种情况下,请使用 File 菜单的 Add IP... 菜单项,指定要连接的客户端。

使用系统还原向导还原不可启动的Windows XP®系统

  1. 按照“启动系统”一节的说明,用 CD 启动Windows XP 系统。
  2. 选择 Start 菜单,单击 System Tools,然后单击 System Restore Wizard 图标。
  3. 向导将指导您完成选择之前创建的还原点步骤。
  4. 将系统重启到 Windows (不是 ERD Commander 2005),系统会还原到选中还原点时的状态。

用Autoruns审查潜在的恶意软件

  1. 按照“启动系统”一节的说明,用 CD 启动系统。
  2. 选择 Start 菜单,单击 Administrative Tools,再单击 Autoruns 图标。
  3. 显示用户帐户列表。选择任意帐户,可以看到系统启动和选定用户帐户登录时,哪些程序配置为自动启动。
  4. 突出显示任意自动启动项目,右键单击,在上下文菜单中选择相应的操作,可以删除、查看启动项或检索启动项的额外信息。

用FileRestore恢复删除的文件

  1. 按照“启动系统”一节的说明,用 CD 启动系统。
  2. 选择 Start 菜单,单击 System Tools,然后单击 FileRestore 图标。
  3. 输入搜索参数,比如文件名、最后修改日期、大小、类型、位置等,然后单击 Search Now。<0)
  4. 选择合适的标题列,对结果排序。
  5. 找到要恢复的删除文件后,突出显示文件,然后可以在菜单栏上选择 Copy To Folder...,或者选择对应的工具栏按钮,或者在上下文菜单中选择 Copy To Folder...。

使用NTFSDOS Professional访问无效系统上的NTFS驱动器

  1. 启动系统到 DOS,取出 DOS 磁盘,插入使用启动盘向导创建的 NTFSDOS Professional 磁盘。
  2. 在命令行输入 NTFSPRO
  3. 界面上显示许可证和时区信息。程序会扫描 NTFS 驱动器的硬盘分区。每个驱动器加载后都会分配一个 DOS 盘符。现在可以使用正常的 DOS 命令修复或恢复 NTFS 卷。

用Filemon企业版监控文件活动

  1. 选择 Start 菜单的 Winternals Administrator’s Pak,然后选择 Filemon。程序立即显示本地系统上实时文件活动的列表。
  2. 可以使用菜单、热键或工具栏搜索并筛选结果、将数据保存到文件或者清除窗口。
  3. 凡是可以通过 TCP/IP 访问的远程系统均可被监控。如果主机系统和要监控的系统都运行 Windows NT®/2000®/XP®/Server 2003®,而且在同一网络邻居范围内,那么 Filemon 会在客户端上自动安装客户端软件。否则必须手动安装客户端软件。

使用Regmon企业版监控注册表活动

  1. 从 Start 菜单选择 **Winternals Administrator’s Pak,**然后选择 Regmon。Regmon 会立即显示本地系统上实时注册表活动的列表。
  2. 可以使用菜单、热键或工具栏搜索并筛选结果、将数据保存到文件或者清除窗口。
  3. 凡是可以通过 TCP/IP 访问的远程系统均可被监控。如果主机系统和要监控的系统都运行 Windows NT®/2000®/XP®/Server 2003®,而且在同一网络邻居范围内,那么 Regmon 会在客户端上自动安装客户端软件。否则必须手动安装客户端软件。

使用TCPView Professional监控TCP/IP活动

  1. 选择 Start 菜单,然后依次单击 Programs、Winternals Administrator’s Pak、TCPView Pro。程序会立即开始捕获并显示 TCP/IP 网络活动。
  2. TCPView Pro 在两个子窗口中显示网络活动。上面的子窗口显示的静态视图,其中显示系统上现有 TCP/IP 端点的快照。下面的子窗口显示 TCP/IP 活动的动态实时视图。
  3. TCPView Pro 默认每秒刷新一次静态视图。可以更改或禁用刷新频率。
  4. 动态视图默认采用滚动方式,以便总显示最近的事件。可以禁用自动滚动。

使用Insight for Active Directory监控LDAP流量

  1. 选择 Start 菜单,单击 Programs、Winternals Administrator’s Pak、Insight for Active Directory。程序会立即开始捕获并显示 LDAP 流量。
  2. Insight for Active Directory 在两个子窗口中显示活动。上面的子窗口显示本地系统上 LDAP 活动的实时视图。下面的子窗口显示在上面子窗口中选择的 LDAP 操作的详细信息。
  3. 动态视图默认采用滚动方式,以便总显示最近的事件。可以禁用自动滚动。

获得管理员工具包的帮助

要查看联机帮助,请按 F1 键或在管理员工具包的每个产品中选择 Help。请访问 www.winternals.com/support 查看 Winternals 软件支持知识库。

如果在评估期间需要电话支持或其他产品信息,请致电 800-408-8415 联系 Winternals 客户主管。传真号为 512.330.9131。

管理员工具包快速提示

要启动到 ERD Commander 2005 的系统必须用 CD-ROM 驱动器作为启动设备。如果光驱不是启动设备,则需要调整系统的 BIOS 设置。

在使用远程恢复时,或者使用 Regmon 或 Filemon 的远程监控功能时,可能需要配置 Windows 系统的防火墙,允许进行相互连接(连接至 Regmon 和Filemon,或从远程恢复连接)。有关设置防火墙的具体说明,请参阅防火墙厂商的文档。

ERD Commander 2005 的网络服务假设在网络中存在 DHCP 服务器,并会自动获取 IP 地址。如果网络使用静态 IP 地址,则可以在登录之后,使用内置的 TCP/IP 配置工具指定静态 IP 地址。

下载

获得 Winternals AP 快速入门指南