Delen via

  • Artikel

[Nieuwsbrievenarchief ^] [< Volume 4, Getal 3] [Volume 5, Getal 2 >]

The Systems Internals Newsletter Volume 5, Number 1

http://www.sysinternals.com
Copyright (C) 2003 Mark Russinovich

19 februari 2003 - In dit probleem:

  1. HOOFDARTIKEL

  2. WAT IS ER NIEUW IN SYSINTERNALS

    • Filemon v5.01
    • DebugView v4.2
    • NewSID v4.02
    • PsShutdown v2.01
    • Autoruns v2.02
    • ShareEnum v1.3
    • TCPView v2.31
    • Blauwbeeld v3.0
    • Sysinternals bij Microsoft

  3. INFORMATIE OVER INTERNE GEGEVENS

    • Nieuwe XP/Server 2003 Interne video
    • Mark en David Salomon leren internen en probleemoplossing in Seattle
    • Algemene criteria voor Windows 2000 SP3 gecertificeerd
    • Visual Studio: Een horloge op LastError plaatsen
    • De waarde van het LameButtonText-register uitgelegd
    • Windows-ontwikkelingsgeschiedenis
    • Inleiding tot crashdumpanalyse

De Sysinternals Newsletter wordt gesponsord door Winternals Software, op het web op http://www.winternals.com. Winternals Software is de toonaangevende ontwikkelaar en provider van geavanceerde systeemhulpprogramma's voor Windows NT/2K/XP. Winternals Software-producten omvatten ERD Commander 2002, NTFSDOS Professional Edition (een read/write NTFS-stuurprogramma voor DOS) en Remote Recover.

Winternals is trots om Defrag Manager versie 2.10 aan te kondigen, de snelste, meest grondige enterprise-defragmenter beschikbaar. U kunt nu defragmentatieschema's in uw hele Windows-onderneming beheren vanuit een eenvoudige MMC-module, zonder dat u zelfs clientsoftware hoeft te installeren op uw NT-, Windows 2000- of Windows XP-systemen. Ga naar http://www.winternals.com/es voor meer informatie of om een gratis proefversie van 30 dagen aan te vragen.

Hallo allemaal,

Welkom bij de Sysinternals nieuwsbrief. De nieuwsbrief heeft momenteel 36.000 abonnees.

Ik ben blij u te informeren dat David Salomon de gastauteur is van de redactionele tekst van deze maand, waar hij enkele van zijn echte probleemoplossingservaringen beschrijft met verschillende hulpprogramma's van Sysinternals.

Geef de nieuwsbrief door aan vrienden die u denkt geïnteresseerd te zijn in de inhoud.

Hartelijk dank!

-Merken

REDACTIONEEL - door David Salomon

Ik heb een nieuw motto: "Bij twijfel, voer Filemon en Regmon (en Process Explorer)" uit.

Voordat ik uitleg, laat me eerst zeggen dankzij Mark voor het uitnodigen van mij om dit gastartikel te schrijven (natuurlijk, omdat dit een gloeiend rapport over hoe nuttig zijn hulpmiddelen zijn, het is niet alsof hij mij een grote gunst of iets doet!).

Zoals velen van u weten, werken Mark en ik samen om mensen te helpen onderwijzen over de interne functies van Windows. Ons meest recente project was een update van de interne windows 2000-videozelfstudie die we vorig jaar hebben gemaakt om de kernelwijzigingen in Windows XP en Windows Server 2003 te behandelen. Onze volgende openbare interne windows-klasse is 21-23 april in Bellevue, Washington- zie details over beide in de relevante secties van deze nieuwsbrief. En zoals velen ons hebben gevraagd, zijn we bezig met ons boek Inside Windows 2000 voor XP & Server 2003 (voorlopige releasedatum is late zomer).

En nu, waarom ben ik zo enthousiast over de Sysinternals tools? Omdat ze in het afgelopen jaar of zo hebben geholpen bij het oplossen van een groot aantal toepassings- en systeemproblemen die anders onherstelbaar zouden zijn. Ik kan zelfs niet beginnen met het beschrijven van het aantal totaal verschillende, niet-gerelateerde problemen die ik met deze hulpprogramma's heb kunnen oplossen. Zelfs in gevallen waar ik niet dacht dat ze zouden helpen, deden ze dat. Vandaar mijn nieuwe motto, "Wanneer twijfelt, run Filemon en Regmon".

Er zijn twee basistechnieken die ik heb gevonden om deze hulpprogramma's toe te passen:

  1. Bekijk het laatste in de Filemon/Regmon-tracering dat de toepassing deed voordat deze is mislukt. Dit kan wijzen op het probleem.
  2. Vergelijk een Filemon/Regmon-trace van de mislukte toepassing met een tracering van een werksysteem.

Voer in de eerste benadering Filemon en Regmon uit en voer vervolgens de toepassing uit. Op het punt dat de fout optreedt, gaat u terug naar Filemon en Regmon en stopt u de logboekregistratie (druk op CONTROL+E). Ga vervolgens naar het einde van het logboek en zoek de laatste bewerkingen die door de toepassing zijn uitgevoerd voordat deze is mislukt (vastgelopen, vastgelopen of wat dan ook). Vanaf de laatste regel kunt u teruggaan naar de bestanden en/of registersleutels waarnaar wordt verwezen, zodat u het probleem kunt vaststellen.

Gebruik de tweede benadering wanneer de toepassing op het ene systeem mislukt, maar op een ander systeem werkt. Leg een Filemon- en Regmon-tracering vast van de toepassing op het werkende en mislukte systeem en sla de uitvoer op in een logboekbestand. Open vervolgens de goede en slechte logboekbestanden met Excel (gebruik de standaardinstellingen in de wizard Importeren) en verwijder de eerste drie kolommen (anders wordt elke regel als verschillend weergegeven, omdat de eerste drie kolommen informatie bevatten die verschilt van uitvoering tot uitvoering, zoals de tijd en de proces-id). Vergelijk ten slotte de resulterende logboekbestanden (bijvoorbeeld met WinDiff, die in Windows XP is opgenomen in de gratis ondersteuningshulpprogramma's die u kunt installeren op de XP CD, of voor Windows NT4 en Windows 2000 kunt u deze vinden in de Resource Kit).

Nu, een paar echte voorbeelden.

Op een Windows 2000-werkstation waarop Microsoft Office 97 is geïnstalleerd, krijgt Word kort na het starten een Dr. Watson. U kunt eigenlijk een paar tekens typen voordat dr Watson optrad, maar of u nu iets hebt getypt of niet, binnen een paar seconden na het starten, Word zou vastlopen. De gebruiker had natuurlijk geprobeerd Office te verwijderen en opnieuw te installeren, maar het probleem bleef bestaan. Ik heb Filemon en Regmon uitgevoerd en het laatste gedaan door Word voordat het stierf. De Filemon-trace liet zien dat het laatste wat Word deed, een HP-printer-DLL heeft geopend. Het blijkt dat het werkstation geen printer had, maar blijkbaar in één keer. Dus ik heb de HP-printer van het systeem verwijderd en het probleem is weggegaan.

Blijkbaar heeft Het inventariseren van de printers bij het opstarten van Word ertoe geleid dat dit DLL-bestand werd geladen, wat op zijn beurt het proces veroorzaakte om te sterven (waarom dit gebeurde, ik weet niet of de gebruiker een valse versie had geïnstalleerd, maar omdat het systeem geen printer meer had, maakte het echt niet uit).

In een ander voorbeeld heeft de Regmon een gebruiker opgeslagen van het uitvoeren van een volledig opnieuw installeren van zijn Windows XP-desktopsysteem. Het symptoom was dat Internet Explorer (IE) vastliep bij het opstarten als de gebruiker niet eerst handmatig de internetverbinding belde. Deze internetverbinding is ingesteld als de standaardverbinding voor het systeem, dus het starten van IE had een automatische inbelverbinding naar internet moeten hebben veroorzaakt (omdat IE is ingesteld om een standaardstartpagina weer te geven bij het opstarten). Na mijn nieuwe motto heb ik Filemon en Regmon uitgevoerd en achteruit gekeken vanaf het punt in het logboek waar IE vastliep. Filemon heeft niets ongewoons weergegeven, maar in het Regmon-logboek werd een query naar een sleutel HKEY_CURRENT_USER\Software\Microsoft\RAS Phonebook\ATTweergegeven. De gebruiker had me verteld dat het AT&T-kiezerprogramma tegelijk was geïnstalleerd, maar deze had verwijderd en de inbelverbinding handmatig gemaakt. Omdat de naam van de inbelverbinding niet 'ATT' was, vermoedde ik dat dit register-ongewenste e-mail werd overgelaten van het verwijderen waardoor IE wordt verstikt. Dus, ik hernoemde de sleutel en het probleem ging weg.

Door de techniek 'de logboeken vergelijken' te gebruiken, kon worden opgelost waarom Access 2000 vastliep op het XP-werkstation van een programmeur die een Excel-bestand probeerde te importeren. Het importeren van hetzelfde bestand werkt prima op werkstations van andere gebruikers, maar is mislukt op dit ene werkstation. Er is dus een opname gemaakt van Access op het werkende en mislukte systeem. Nadat ze de logboekbestanden correct hebben gemaskeert, werden ze vergeleken met Windiff. De eerste verschillende verschillen waren het gevolg van namen van tijdelijke bestanden die verschillend zijn en omdat sommige bestandsnamen verschillen vanwege verschillen in hoofdletters, maar natuurlijk waren dit geen "relevante verschillen" tussen de twee systemen.

Het eerste verschil dat niet in orde was, was dat een Access-DLL werd geladen vanuit \Windows\System32 het mislukte systeem, maar uit de \Program Files\Microsoft Office\Office map op het werksysteem. Het vergelijken van de DLL's heeft aangetoond dat de versie \Windows\System32 afkomstig was van een eerdere versie van Access. De gebruiker heeft dus de naam van dat DLL-bestand gewijzigd in .bad Access en opnieuw uitgevoerd en het probleem is weggegaan.

Een klasse problemen met Filemon is ongelooflijk handig voor het opsporen van problemen met bestandsmachtigingen. Veel toepassingen doen een slechte taak bij het rapporteren van fouten met geweigerde toegang. Het uitvoeren van Filemon toont echter duidelijk fouten van dit type omdat in de kolom met resultaten 'TOEGANG GEWEIGERD' wordt weergegeven voor fouten bij het openen van bestanden vanwege rechtenproblemen (en in de meest recente versie wordt zelfs de gebruikersnaam weergegeven die geen toegang heeft tot het bestand). Twee specifieke voorbeelden waarbij dit het geval was:

  1. Een gebruiker kreeg een vreemde macrofout bij het starten van Word; blijkt dat de machtigingen op een . DOT-bestand waarnaar wordt verwezen door een macro, is gewijzigd om deze gebruikerstoegang niet toe te laten. Filemon liet duidelijk zien dat word een fout krijgt dat toegang is geweigerd op de . DOT-bestand. Zodra de machtigingen zijn opgelost, is het probleem weggegaan.
  2. Een Outlook-toepassing heeft een berichtvenster geopend met de tekst Application defined or object-defined error-Message ID: [Connect].[LoadGlobalVariables].[LN:?].[EN:287]:een ander voorbeeld van het aantal toepassingen dat nutteloze foutberichten genereert bij willekeurige I/O-fouten. Nogmaals, het uitvoeren van Filemon heeft een fout met toegang geweigerd (deze keer in een map waartoe Outlook toegang nodig had). De machtigingen zijn aangepast aan de map en het probleem is weggegaan.

Dit zijn slechts enkele voorbeelden. Ik heb veel andere succesverhalen waarin Filemon en Regmon (en Process Explorer, die ik hier niet heb besproken) de dag hebben opgeslagen. Het is geen wonder dat Microsoft-productondersteuning deze hulpprogramma's dagelijks gebruikt om klantproblemen op te lossen (tot slot verwijzen zo'n 40 Knowledge Base-artikelen naar mark's tools-see http://www.sysinternals.com/ntw2k/info/mssysinternals.shtml voor een lijst).

Als u twijfelt, voert u Filemon en Regmon uit.

David Salomon David Salomon Expert Seminars http://www.solsem.com

WAT IS ER NIEUW IN SYSINTERNALS

FILEMON V5.01

Filemon, een van de nutsbedrijven David, heeft in zijn redactionele versie de eerste grote revisie in enkele jaren ondergaan. De nieuwe release brengt een nieuw niveau van bruikbaarheid naar een hulpprogramma dat al een toegankelijke gebruikersinterface had. De belangrijkste verbetering is de wijziging in de manier waarop de activiteit van het bestandssysteem wordt weergegeven in de standaardinstelling van Filemon wanneer deze wordt uitgevoerd op Windows NT, 2000, XP of Server 2003, iets waar ik al een tijdje over nadenkt en waar ik eindelijk over nadenkt op basis van echte gebruikersfeedback van David.

In eerdere versies van Filemon worden bestandssysteembewerkingen weergegeven met de tekstnamen van de interne I/O-aanvragen die de bewerkingen uitvoeren. Hoewel technisch nauwkeurig in de presentatie, zijn veel gebruikers niet bekend met de interne werking van het Windows I/O-subsysteem en vinden bewerkingen zoals FASTIO_CHECK_IF_POSSIBLE betekenisloos en anderen, zoals een gerapporteerde fout van een FASTIO_READ bewerking, verwarrend. Er zijn talloze andere voorbeelden van bewerkingen die de meeste zouden worden geclassificeerd als 'ruis' en bewerkingsnamen die niet zelf verklarend zijn.

De standaardweergavemodus van Filemon versie 5.01 heeft nu een filtermechanisme om de activiteit te verwijderen die nutteloos is in de meeste scenario's voor probleemoplossing en die intuïtieve namen weergeeft voor alle I/O-bewerkingen. FASTIO_CHECK_IF_POSSIBLE wordt uitgefilterd, FASTIO_READ fouten worden niet weergegeven en FASTIO_READ's die slagen, worden gerapporteerd als READ bewerkingen. Bovendien wordt in de standaardweergave de bestandssysteemactiviteit weggelaten in het systeemproces. Dit is het proces van waaruit de achtergrondactiviteit van geheugen- en cachebeheer wordt uitgevoerd, en alle paggineringsactiviteit van Memory Manager, inclusief die naar het wisselbestand van het systeem. De opties |Het menu-item Geavanceerd voldoet aan gebruikers, zoals ontwikkelaars van stuurprogramma's voor bestandssysteemfilters, die de onbewerkte weergave van de activiteit van het bestandssysteem willen weergeven in eerdere Filemon-versies.

Verschillende gebruikers, waaronder Microsoft-werknemers, hebben aangevraagd dat Filemon het account weergeeft waarin 'toegang geweigerd' fouten optreedt om foutopsporing van beveiligingsinstellingen in Terminal Services-omgevingen te helpen. In antwoordversie 5.01 wordt die informatie weergegeven, evenals de toegangsmodus (lezen, schrijven, verwijderen, enzovoort) die een proces wil wanneer een bestand wordt geopend en hoe een bestand wordt geopend, bijvoorbeeld of het wordt overschreven of alleen wordt geopend als het bestaat.

Veel sessies voor probleemoplossing richten zich op het identificeren van de bestanden die een proces opent of probeert te openen. In dat geval zijn bewerkingen zoals leesbewerkingen, schrijfbewerkingen en sluitingen gewoon ruis. Gezien dit feit dat ik een nieuwe filteroptie 'logboek openen' heb toegevoegd, kunt u alleen geopende bewerkingen isoleren.

Een andere belangrijke wijziging is de manier waarop Filemon v5.01 netwerk-toegewezen shares verwerkt. In eerdere versies wordt elke toewijzing weergegeven als stationsletter in het menu Stations. Nu zijn al deze toewijzingen opgenomen in de selectie Netwerk van het menu Volumes (het menu Stations met de naam). Als u Netwerk selecteert, worden alle netwerkshares bewaakt door Filemon, evenals de unc-type netwerkactiviteit van het type dat optreedt wanneer u externe bestanden opent met behulp van de\\computer\share\directory '' naamconventie. Door deze wijziging kunt u de activiteit van het netwerkbestand bekijken, zelfs wanneer u geen toegewezen netwerkshare hebt, zoals is vereist voor eerdere Filemon-versies. Er zijn talloze andere kleine wijzigingen in de nieuwste Filemon, waaronder een bijgewerkte menustructuur die de meer bruikbare menu's weerspiegelt die ik enkele maanden geleden in Regmon heb geïntroduceerd.

Filemon v5.01 downloaden op
http://www.sysinternals.com/ntw2k/source/filemon.shtml

OVER FILEMON EN REGMON BRONCODE

Ontwikkelaars van software-, hardware- en netwerkproducten ondersteunen Sysinternals door licenties aan te schaffen om onze code opnieuw te distribueren. Het afgelopen jaar hebben we echter een reeks software gevonden, van Trojaanse paarden tot commerciële producten van enkele bedrijven met een licentie voor Sysinternals. In een poging om Sysinternals te laten groeien en onze producten die wettelijk zijn gelicentieerd, hebben we de broncode voor sommige van onze producten stopgezet, waaronder de nieuwste Filemon- en Regmon-releases. We blijven broncode beschikbaar maken voor commerciële licentienemers. Als u spiegels voor de broncode van Sysinternals ontdekt, laat het ons dan weten.

DEBUGVIEW V4.2

DebugView is een zeer populair sysinternals-hulpprogramma dat softwareontwikkelaars gebruiken om foutopsporingsuitvoer vast te leggen die door hun software wordt gegenereerd. Versie v4.2 weerspiegelt een aantal door de gebruiker aangevraagde verbeteringen en functies. Met een door Microsoft aangevraagde optie kunt u foutopsporingsuitvoer vastleggen van processen die worden uitgevoerd in de consolesessie van een Terminal Services-omgeving wanneer u DebugView uitvoert in een niet-consolesessie. V4.2 ondersteunt uitgebreide opdrachtregelopties waarmee u een logboekbestand kunt opgeven voor het laden, de geschiedenisdiepte en ander opstartgedrag. Verschillende gebruikers hebben meer en langer filters aangevraagd, filteren op proces-id's en de mogelijkheid om opmerkingen in de uitvoer in te voegen, die allemaal mogelijk zijn met de nieuwste versie. De nieuwe release wordt afgerond met verschillende bugfixes, betere ondersteuning voor het extraheren van kernelfoutopsporingsuitvoer van crashdumpbestanden en betere ballonvensters voor tekst die de breedte van de uitvoerkolom en zelfs het scherm overschrijdt.

DebugView v4.2 downloaden op
http://www.sysinternals.com/ntw2k/freeware/debugview.shtml

NEWSID V4.02

Het probleem met duplicatie van SID (Security ID) is een probleem dat u tegenkomt als u een vooraf geïnstalleerde Windows-installatiekopieën gebruikt om meer dan één systeem te implementeren. Elke computer die de installatiekopieën deelt, heeft dezelfde interne Windows-SID. Dit is een id die het Windows-beveiligingssubsysteem gebruikt als basis voor lokale groep- en account-id's. Vanwege de beveiligingsproblemen kan het delen ertoe leiden dat de meeste beheerders stappen ondernemen om een unieke SID op elke computer toe te passen met behulp van een hulpprogramma voor het wijzigen van sid's.

De SID-changer van NewSID, de SID-changer van Sysinternals, is populair omdat in tegenstelling tot andere changers die afhankelijk zijn van DOS of vereisen dat een systeem vrij is van invoegtoepassingssoftware, NewSID een Win32-programma is dat u kunt gebruiken om een nieuwe SID toe te wijzen aan computers waarop toepassingen zijn geïnstalleerd. Versie 4.02 is een belangrijke update met een nieuwe wizardinterface, voegt ondersteuning toe voor Windows XP en kunt u de naam van een computer wijzigen.

Een functie die door veel beheerders wordt aangevraagd, is de mogelijkheid van Nieuwe SSID's om een SID toe te passen die u opgeeft, iets wat nuttig kan zijn voor het migreren van de instellingen van een installatie naar een andere computer of voor het opnieuw installeren. Wanneer NewSID wordt uitgevoerd, wordt het register groter wanneer tijdelijke beveiligingsinstellingen worden toegepast op delen van het register om ze toegankelijk te maken. Deze bloating kan ertoe leiden dat het register het groottequotum overschrijdt, zodat een nieuwe v4.02-functie het register comprimeert tot de minimale grootte als de laatste stap van de bewerking.

NewSID v4.02 downloaden op
http://www.sysinternals.com/ntw2k/source/newsid.shtml

PSSHUTDOWN V2.01

Afsluiten is een hulpprogramma dat Microsoft lang heeft opgenomen in de Windows Resource Kit en dat is opgenomen in Windows XP-installaties. Vóór v2.01 PsShutdown, lid van de opdrachtregelbeheertoolkit Sysinternals PsTools, was gewoon een kloon Afsluiten, maar deze nieuwste release breidt de mogelijkheden verder uit dan die van Shutdown. U kunt bijvoorbeeld afsluiten en uitschakelen als een systeem energiebeheer ondersteunt, het bureaublad vergrendelt en de interactieve gebruiker afmeldt, allemaal op de lokale of externe computer, zonder handmatig clientsoftware te installeren.

PsShutdown v2.01 downloaden op
http://www.sysinternals.com/ntw2k/freeware/psshutdown.shtml
Download de volledige PsTools-suite op
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

AUTORUNS V2.02

We zijn allemaal geïrriteerd door de installatie van ongewenste applets die worden uitgevoerd wanneer we ons aanmelden en gefrustreerd zijn tijdens onze zoekopdracht naar hun opstartopdracht. Het is geen wonder wanneer Windows bijna 2-dozijn mechanismen voor dergelijke activering heeft. Het hulpprogramma MsConfig dat deel uitmaakt van Windows Me en XP kan soms helpen, maar het mist ongeveer de helft van de mogelijke opstartlocaties.

Autoruns, een Sysinternals tool geschreven door Bryce Cogswell en mezelf, toont u het hele beeld. De weergave toont een lijst met alle mogelijke register- en bestandslocaties waar een toepassing kan worden uitgevoerd bij het opstarten of aanmelden van het systeem. In de nieuwste versie worden pictogram- en versiegegevens weergegeven voor elke installatiekopieën die zijn geconfigureerd voor eenvoudige identificatie en voegt verbeteringen aan de gebruikersinterface toe, zoals een contextmenu. Bovendien identificeert de nieuwe versie meer opstartlocaties, waaronder aanmeldings- en afmeldingsscripts, taakplannertaken die worden uitgevoerd bij aanmelding en Explorer-invoegtoepassingslanceringspunten.

Autoruns v2.01 downloaden op
http://www.sysinternals.com/ntw2k/source/misc.shtml

SHAREENUM V1.3

Systeembeheerders zien vaak een belangrijk onderdeel van de lokale netwerkbeveiliging over het hoofd: gedeelde mappen. Gebruikers in een bedrijfsomgeving maken vaak shares naar mappen met documenten om collega's in hun groep eenvoudig toegang te bieden. Helaas kunnen veel gebruikers hun shares niet vergrendelen met instellingen die onbevoegde toegang tot mogelijk gevoelige informatie door andere werknemers voorkomen.

ShareEnum is een Sysinternals-hulpprogramma dat is geschreven door Bryce Cogswell waarmee u malafide shares kunt identificeren en de beveiliging op geldige shares kunt verbeteren. Wanneer u ShareEnum start, wordt NetBIOS-inventarisatie gebruikt om computers in uw netwerk te zoeken en rapporteert de shares die ze exporteren, samen met details over de beveiligingsinstellingen die op de shares zijn toegepast. Binnen enkele seconden kunt u geopende shares herkennen en dubbelklikken op een share om deze te openen in Explorer, zodat u de instellingen ervan kunt wijzigen. U kunt ook de exportfunctie van ShareEnum gebruiken om scans op te slaan en een huidige scan te vergelijken met een scan die u eerder hebt opgeslagen.

ShareEnum v1.3 downloaden op
http://www.sysinternals.com/ntw2k/source/shareenum.shtml

TCPVIEW V2.31

TCPView is een grafisch netstat-type hulpprogramma dat een lijst met actieve TCP- en UDP-eindpunten van een systeem weergeeft. In Windows NT-, 2000-, XP- en Server 2003-installaties ziet u het proces dat eigenaar is van elk eindpunt. Versie 2.31 geeft het pictogram van het afbeeldingsbestand van een proces weer voor een eenvoudigere identificatie.

TCPView v2.31 downloaden op
http://www.sysinternals.com/ntw2k/source/tcpview.shtml

BLUESCREEN V3.0

De Sysinternals Bluescreen of Death Screen of Death Screen is al enkele jaren een favoriet download en versie 3.0 voegt Windows XP-compatibiliteit toe. De schermbeveiliging geeft een authentiek blauw scherm van dood weer, compleet met opmaak en willekeurige details die geschikt zijn voor het besturingssysteem waarop de uitvoering (bijvoorbeeld Windows NT, 2000 of XP) en na een pauze simuleert een herstartcyclus en daaropvolgende herhaling van een ander crashscherm. Het is zo overtuigend dat David Salomon me voor de gek heeft gehouden. Gebruik het als uw eigen schermbeveiliging of om uw vrienden en collega's voor de gek te houden, maar zorg ervoor dat uw baas een gevoel van humor heeft voordat u het op een productiesysteem installeert.

Download Bluescreen v3.0 op
http://www.sysinternals.com/ntw2k/freeware/bluescreensaver.shtml

SYSINTERNALS AT WWW.MICROSOFT.COM

Hier volgt de nieuwste installatie van Sysinternals-verwijzingen in Microsoft Knowledge Base-artikelen (KB) die zijn uitgebracht sinds de laatste nieuwsbrief. Ik ben vereerd dat dit leidt tot 41 KB-verwijzingen naar Sysinternals.

  • ACC2000: Foutbericht: ActiveX-onderdeel kan geen object http://support.microsoft.com/default.aspx?scid=KBmaken; EN-US; Q319841&

  • PROCEDURE: Problemen met ASP in IIS 5.0 http://support.microsoft.com/default.aspx?scid=KBoplossen; EN-US; Q309051&

  • OL2002: Vertrouwde Outlook COM-invoegtoepassingen http://support.microsoft.com/default.aspx?scid=KBmaken; en-us; 327657&

  • PRB: Fout 80004005 "De Microsoft Jet Database Engine kan het bestand '(onbekend)' http://support.microsoft.com/default.aspx?scid=KBniet openen; EN-US; Q306269&

  • Fout bij het verwijderen van gebruikersprofielen wanneer u NetMeeting start, afsluit of afmeldt http://support.microsoft.com/default.aspx?scid=KB; EN-US; Q327612&

  • XADM: Foutbericht: fout 123: de syntaxis van de bestandsnaam, mapnaam of volumelabel is onjuist http://support.microsoft.com/default.aspx?scid=KB; EN-US; Q318746&

INFORMATIE OVER INTERNE GEGEVENS

NIEUWE XP/SERVER 2003 INTERNE VIDEO

Onze nieuwe video-update op Windows XP/Server 2003 interne wijzigingen zijn beschikbaar voor het bestellen van voorlopige versies! Als assistent van onze bestaande videozelfstudie, INSIDE Windows 2000 of als zelfstandig product op zichzelf, biedt deze nieuwe video training over de kernelwijzigingen in Windows XP en het nieuwe product van Microsoft, dat in april zal worden gestart. Onderwerpen die worden behandeld, zijn onder andere prestaties, schaalbaarheid, 64-bits ondersteuning, bestandssystemen, betrouwbaarheid en herstel.

In dezelfde interactieve stijl als zijn voorganger, de Windows XP/Server 2003 Update brengt u over het bureau van David Salomon en Mark Russinovich gedurende 76 minuten van zeer gerichte, intensieve training. Het omvat beoordelingsvragen, laboefeningen en een afgedrukte werkmap en is beschikbaar in dvd-video en Windows Media op cd-rom.

Omdat deze video's zijn ontwikkeld met volledige toegang tot de Windows-broncode en het ontwikkelteam, weet u dat u het echte verhaal krijgt. Als ultiem compliment heeft Microsoft deze video in licentie gegeven voor hun interne training wereldwijd.

SPECIALE PRE-RELEASE PRIJZEN ALS U KOOPT VÓÓR 15 MAART! Koop INSIDE Windows 2000 voor $ 950 en ontvang de Windows XP/Server 2003 Update GRATIS! Dat is bijna 40% korting op de gecombineerde handelswaarde van $ 1.390. Of koop de zelfstandige Windows XP/Server 2003 Update-video voor slechts $ 169 ($ 195 handelswaarde). Andere licentieconfiguraties die beschikbaar zijn vanaf de website. Als u wilt profiteren van deze beperkte tijdaanbieding, bestelt u nu op http://www.solsem.com/vid_purchase.html

MARK EN DAVID SALOMON LEREN INTERNEN EN PROBLEEMOPLOSSING IN BELLEVUE, WA

Hoor me en David Salomon presenteren onze 3-daagse Windows 2000/XP/.NET Server interne klasse in Bellevue, WA (in de buurt van Seattle) 21-23. Op basis van 'Inside Windows 2000, 3rd Edition', wordt de kernelarchitectuur en de onderlinge relatie van belangrijke systeemonderdelen en mechanismen behandeld, zoals systeemthreads, systeemoproepverzending, interruptafhandeling en opstarten en afsluiten. Leer geavanceerde technieken voor probleemoplossing met behulp van de Sysinternals-hulpprogramma's en hoe u Windbg gebruikt voor eenvoudige crashdumpanalyse. De interne onderdelen van belangrijke subsystemen omvatten processen en threads, threadplanning, geheugenbeheer, beveiliging, het I/O-systeem en de cachebeheer. Door inzicht te krijgen in de interne werking van het besturingssysteem, kunt u profiteren van het platform effectiever en effectiever fouten opsporen en problemen oplossen.

Zie Voor meer informatie http://www.sysinternals.com/seminar.shtml

ALGEMENE CRITERIA VOOR WINDOWS 2000 SP3

Velen van u zijn waarschijnlijk bekend met de termen 'Orange Book' en C2, beide zijn gerelateerd aan een verouderde beveiligingsevaluatiestandaard die in de jaren 1980 en 90 door de Amerikaanse overheid wordt gebruikt om de beveiligingsmogelijkheden van software, waaronder besturingssystemen, te beoordelen. Sinds 1999 zijn de Orange Book-classificaties, die deel uitmaakten van het Department of Defense Trusted Computer System Evaluation Criteria (TCSEC), samengevoegd door het nieuwere Common Criteria -systeem (CC). De CC is overeengekomen door meerdere landen als een internationale beveiligingsclassificatiestandaard die rijker is dan TSCEC en de verouderde ITSEC-classificaties (Information Technology Security) van Engeland.

Wanneer een leverancier de software heeft gecertificeerd volgens de CC-standaard, geven ze een 'beveiligingsprofiel' op. Dit is een set beveiligingsfuncties en de evaluatie rapporteert een zekerheidsniveau, ook wel een EAL (Evaluation Assurance Level) genoemd, dat de software voldoet aan de vereisten van het beveiligingsprofiel. Er zijn 7 EAL's met hogere zekerheidsniveaus die meer vertrouwen geven in de betrouwbaarheid van de beveiligingsfuncties van de geëvalueerde software.

Microsoft heeft Windows 2000 voor CC-classificatie ingediend op basis van de gecontroleerde toegangsbeveiligingsprofielen. Dit is ongeveer het CC-equivalent van de TCSEC C2-classificatie, enkele jaren geleden en in oktober 2002 is de evaluatie voltooid. Science Applications International Corporation (SAIC), het onafhankelijke bedrijf dat de evaluatie heeft uitgevoerd, heeft Windows 2000 gevonden met Service Pack 3 om te voldoen aan het Profiel voor toegangsbeveiliging beheren met een EAL (Evaluation Assurance Level) van 4 plus Foutherstel. Een EAL van 4 wordt beschouwd als het hoogste niveau dat kan worden uitgevoerd door software voor algemeen gebruik, en Foutherstel verwijst naar het Windows Update-mechanisme voor tijdige toepassing van beveiligingsoplossingen. Deze classificatie is het hoogste niveau dat tot nu toe onder de CC is bereikt door een besturingssysteem.

VISUAL STUDIO: EEN HORLOGE OP LASTERROR PLAATSEN

Als u toepassingen ontwikkelt die afhankelijk zijn van de Win32-API, hebt u bijna zeker code geschreven die een Win32-functie uitvoert, maar om welke reden dan ook geen specifieke fouten rapporteert. Zo ja, dan vindt u deze tip nuttig. Door de expressie @ERR,hr toe te voegen aan het controlevenster ziet u de numerieke en tekstuele weergave van de waarde die is opgeslagen als de variabele van LastError de huidige thread. Dit is de waarde die wordt geretourneerd door de GetLastError() Win32-functie.

DE REGISTERWAARDE LAMEBUTTONTEXT UITGELEGD

Als u de Regmon-traceringen hebt onderzocht op een Windows 2000- of XP-systeem van het opstarten van een Windows-toepassing, hebt u waarschijnlijk verwijzingen naar de registerwaarde HKCU\Control Panel\Desktop\LameButtonTextgezien, meestal met een NOTFOUND fout. Iemand bij Microsoft heeft duidelijk een gevoel van humor, maar waar is deze waarde voor? Het blijkt dat de tekst wordt opgeslagen die u ziet in de bètaversie van Windows en de release van kandidaat-releases op venstertitelbalken waarmee u op een koppeling kunt klikken om feedback te rapporteren. Het zou cool zijn als u het zou kunnen inschakelen in niet-voorlopige versies van Windows om aangepaste tekst te plaatsen, maar de functionaliteit ervan is helaas uitgeschakeld voor productiereleases.

WINDOWS DEVELOPMENT HISTORY

Paul Thurrott heeft een mooie 3-delige reeks artikelen die de geschiedenis van het Windows NT-ontwikkelingsproces doorlopen. Bekijk het op http://www.winsupersite.com/reviews/winserver2k3_gold1.asp

EEN KORTE INLEIDING TOT CRASHDUMPANALYSE

Wanneer een systeem direct vastloopt nadat u nieuwe hardware of software hebt geïnstalleerd, is de oorzaak duidelijk. Soms treden systeemcrashes echter af en toe op en is er geen duidelijke reden. In dergelijke gevallen is de enige manier om de oorzaak van de crash te bepalen een crashdump te analyseren. In deze zelfstudie zal ik beschrijven hoe Microsoft's Online Crash Analysis (OCA) werkt en hoe het u het antwoord kan geven op een crashpuzzels en hoe u vervolgens uw eigen crashanalyseomgeving kunt instellen, zodat u kunt kijken naar crashes die OCA niet of niet kan analyseren.

Microsoft heeft OCA geïntroduceerd met de release van Windows XP als een geautomatiseerde analyseservice op basis van een gecentraliseerde opslagplaats met crashgerelateerde informatie. Nadat een XP-systeem opnieuw is opgestart na een crash, wordt u gevraagd om crashgegevens naar de OCA-site te verzenden (http://oca.microsoft.com/en/Welcome.asp). Als u akkoord gaat, uploadt XP een XML-bestand dat uw basissysteemconfiguratie beschrijft, samen met een crashbestand van 64 kB minidump. Een minidump bevat een kleine hoeveelheid gegevens die onmiddellijk relevant is voor een crash, zoals de crashcode, de stack van de thread die werd uitgevoerd op het moment van de crash, een lijst met stuurprogramma's die op het systeem zijn geladen en de gegevensstructuren die het proces beheren dat wordt uitgevoerd wanneer de crash plaatsvond.

Zodra OCA de informatie ontvangt die wordt geanalyseerd en de analysesamenvatting opslaat in een database. Als u de prompt na het uploaden volgt en de OCA-site bezoekt, krijgt u de mogelijkheid om de analyse bij te houden. Hiervoor moet u zich aanmelden met een Passport-account. Vervolgens voert u een naam in voor de crash en een tekst met een beschrijving van de aard van de crash. Als de OCA-engine de crash correleert met anderen in de database waarvoor Microsoft een oorzaak heeft geïdentificeerd, informeert de site u per e-mail en wanneer u de site opnieuw bekijkt en de crash opzoekt die u hebt ingediend, geeft u aan waar u een stuurprogramma- of besturingssysteemupdate moet ophalen. Hoewel OCA-ondersteuning is ingebouwd in XP en windows 2000-crashdumpbestanden accepteert, biedt het geen ondersteuning voor NT 4 en kan de oorzaak van de meeste crashes niet worden geïdentificeerd (in ieder geval in mijn ervaring).

Als u zelf crashanalyse wilt uitvoeren, hebt u de juiste hulpprogramma's nodig, die Microsoft biedt in de vorm van het hulpprogramma voor foutopsporing voor Windows dat u kunt downloaden van http://www.microsoft.com/ddk/Debugging/. Het pakket bevat onder andere het analysehulpprogramma Windbg. Nadat u de hulpprogramma's hebt gedownload en geïnstalleerd, voert u Windbg uit en opent u het bestand|Dialoogvenster Bestandspad symbool. Daar vertelt u Windbg waar u symboolbestanden kunt vinden voor de versie van het besturingssysteem van waaruit een crash die u analyseert, gegenereerd. U kunt een pad invoeren naar een map waarin u symbolen hebt geïnstalleerd, maar hiervoor moet u symboolbestanden verkrijgen voor het exacte besturingssysteem, servicepack en hot fixes die op het crashsysteem zijn geïnstalleerd. Het handmatig bijhouden van symboolbestanden is tijdrovend en als u crashes van verschillende systemen wilt analyseren, moet u zich zorgen maken over verschillende sets symboolbestanden voor elke verschillende installatie.

U kunt problemen met symboolbestanden voorkomen door de Windbg op de symboolserver van Microsoft aan te wijzen. Wanneer u deze configureert voor het gebruik van de symboolserver Windbg downloadt automatisch symboolbestanden op aanvraag op basis van de crashdump die u opent. De symboolserver slaat symbolen op voor NT 4 tot en met Server 2003 beta's en releasekandidaten, waaronder servicepacks en hot fixes. De syntaxis voor het doorsturen van Windbg naar de symboolserver is srv*c:\symbols*http://msdl.microsoft.com/download/symbols. Vervang c:\symbols door de map waarin u symboolbestanden wilt opslaan. Zie voor meer informatie over symbolen http://www.microsoft.com/ddk/debugging/symbols.asp

Er is nog een stap die u moet uitvoeren voordat u klaar bent om crashdumps te analyseren: configureer uw systemen om ze te genereren. Doe dit door het systeem-applet te openen in het configuratiescherm en op Win2k en hoger te klikken op de knop Opstarten/afsluiten van de pagina Geavanceerd. Ga op NT 4 naar het tabblad Opstarten/Afsluiten van de applet. De enige crashdumpoptie op NT 4-systemen is een volledige geheugendump, waarbij de volledige inhoud van het fysieke geheugen op het moment van een crash wordt opgeslagen in het bestand dat u opgeeft. Op Win2k en hoger zijn er drie opties: mini, kernel en volledig. Win2K & XP Professional en Home zijn standaard ingesteld op mini; Serversystemen zijn standaard vol. Voor werkstation-/clientcomputers wijzigt u de instelling van mini-naar kerneldump, waardoor alleen delen van fysiek geheugen die eigendom zijn van het besturingssysteem (in tegenstelling tot toepassingen) worden opgeslagen, omdat dit de grootte van het crashdumpbestand minimaliseert en nog steeds volledige informatie biedt over kernelgegevensstructuren die Windbg nodig heeft om een crash effectief te analyseren. Voor Server-systemen zijn volledige dumps prima, maar kerneldumps zijn een veilige keuze (en mogelijk uw enige keuze als u een zeer groot geheugensysteem hebt).

Nu bent u klaar om een crash te analyseren. Wanneer er een probleem optreedt, laadt u het resulterende dumpbestand in Windbg door het bestand te selecteren|Open de menuoptie CrashDump. Wanneer de dump wordt geladen, begint Windbg deze te verwerken en ziet u berichten over de versie van het besturingssysteem en het laden van symbolen. Vervolgens ziet u een bericht met de tekst 'Bugcheck Analysis'. De uitvoer na het bericht rapporteert de parameters van de crashcode en crashcode, evenals een 'waarschijnlijk veroorzaakt door'.

In sommige gevallen is de basisanalyse die Windbg hier uitvoert voldoende om het defecte stuurprogramma of kernelonderdeel te identificeren. Ik adviseer echter altijd de volgende opdracht in te voeren: !analyze -v Deze opdracht resulteert in dezelfde analyse, maar met meer informatie. Tekst legt bijvoorbeeld de betekenis van de crashcode uit en vertelt u wat de optionele parameters vertegenwoordigen, soms met advies over wat u moet proberen. U ziet ook een stacktracering. Dit is een record van de uitvoering van de functie die leidt tot de code waarin de crash is opgetreden. Als een stuurprogramma foutieve gegevens doorgeeft aan de kernel of een stuurprogramma dat is vastgesteld door de analyse, ziet u mogelijk de naam in de trace en kan deze identificeren als een mogelijke hoofdoorzaak.

Als u dieper wilt ingaan op de status van het systeem op het moment van de crash, zijn er talloze Windbg-opdrachten waarmee u de lijst met processen kunt zien die worden uitgevoerd, stuurprogramma's geladen, geheugengebruik en meer. Het Help-bestand windbg bevat ook een bugcheckverwijzing waarmee ik u aanbeveel om op te volgen voor meer informatie en richtlijnen. Als u nog steeds gestompt bent, raad ik u aan een zoekopdracht uit te voeren in de Knowledge Base (KB) van Microsoft voor de crashcode. Microsoft maakt KB-artikelen voor veelvoorkomende crashes en leidt u naar sites van leveranciers of hot fixes waarmee bepaalde problemen worden opgelost.

Als u wilt dat ik deze informatie live presenteer, met voorbeelden, bekijk me dan op een van de volgende conferenties:

  • De interne en probleemoplossingsbijeenkomst David en ik leveren in april in Bellevue, WA
  • Windows en .NET Magazine Connections in Scottsdale, AZ in mei: http://www.winconnections.com/win
  • TechEd US (Dallas) of TechEd Europe (in Barcelona) deze zomer

Bedankt voor het lezen van de Sysinternals Nieuwsbrief.

Gepubliceerd woensdag 19 februari 2003 16:47 door ottoh

[Nieuwsbrievenarchief ^] [< Volume 4, Getal 3] [Volume 5, Getal 2 >]