19 de febrero de 2003: en este problema:

  1. EDITORIAL

  2. NOVEDADES DE SYSINTERNALS

    • Filemon v5.01
    • DebugView v4.2
    • NewSID v4.02
    • PsShutdown v2.01
    • Seruns automáticamente v2.02
    • ShareEnum v1.3
    • TCPView v2.31
    • Bluescreen v3.0
    • Sysinternals en Microsoft
  3. INFORMACIÓN INTERNA

    • Nuevo vídeo xp/server 2003 internals
    • Mark y David Teach Internals and Troubleshooting in Seattle (Mark y David Teach Internals y solución de problemas en Seattle)
    • Windows 2000 SP3 Common Criteria Certified
    • Visual Studio: Put a Watch on LastError
    • El valor del Registro LameButtonText explicado
    • Windows de desarrollo
    • Introducción al análisis de volcado de memoria

El Boletín de Sysinternals está patrocinioado por El software Dennals, en la Web en http://www.winternals.com. Winternals Software es el desarrollador y proveedor líder de herramientas de sistemas avanzados para Windows NT/2K/XP. Los productos de Software Desnales incluyen ERD Commander 2002, NTFSDOS Professional Edition (un controlador NTFS de lectura/escritura para DOS) y Recuperación remota.

Desfragmenta anunciar La versión 2.10 de Defrag Manager, el desfragmentador empresarial más rápido y exhaustivo disponible. Ahora puede administrar programaciones de desfragmentación en toda la empresa de Windows desde un simple complemento MMC, sin tener que instalar ningún software cliente en los sistemas NT, Windows 2000 o Windows XP. Visite para obtener más información o para solicitar una versión de http://www.winternals.com/es evaluación gratuita de 30 días.

Hola a todos:

Le damos la bienvenida al boletín sysinternals. El boletín tiene actualmente 36 000 suscriptores.

Me complace informarle de que David Utilities es el autor invitado del editorial de este mes, donde describe algunas de sus experiencias de solución de problemas reales con varias utilidades de Sysinternals.

Pase el boletín a los amigos que cree que podrían estar interesados en su contenido.

Gracias

-Mark

EDITORIAL: por David Lorba

Tengo un nuevo reanimación: "Cuando tenga dudas, ejecute Filemon y Regmon (y el Explorador de procesos)".

Antes de explicarlo, en primer lugar, quiero dar las gracias a Mark por invitarme a escribir este editorial invitado (por supuesto, puesto que este es un informe sobre lo útiles que son sus herramientas, no es como si me fuera a hacer un gran favor o algo parecido).

Como muchos de los usuarios sabe, Mark y yo trabajamos juntos para ayudar a formar a las personas en el aspecto interno de Windows. Nuestro proyecto más reciente fue una actualización del tutorial de vídeo interno de Windows 2000 que creamos el año pasado para cubrir los cambios del kernel en Windows XP y Windows Server 2003, y nuestra siguiente clase interna de Windows pública es del 21 al 23 de abril en Bellevue, Washington. Consulte los detalles sobre ambos en las secciones pertinentes de este boletín. Y, como muchos nos han pedido, estamos en el proceso de nuestro libro Inside Windows 2000 for XP Server 2003 (la fecha de lanzamiento provisional es final del & verano).

Y ahora, ¿por qué estoy tan interesado en las herramientas de Sysinternals? Dado que en el último año o así, me han ayudado a solucionar una amplia variedad de problemas de aplicaciones y sistemas que, de lo contrario, no se pueden resolver. De hecho, no puedo empezar a describir el número de problemas totalmente diferentes y no relacionados que he podido solucionar con estas herramientas. Incluso en los casos en los que no creo que ayudarían, lo hicieron. Por lo tanto, mi nueva expresión, "Cuando esté en duda, ejecute Filemon y Regmon".

Hay dos técnicas básicas que he encontrado para aplicar estas herramientas:

  1. Mire lo último en el seguimiento de Filemon/Regmon que hizo la aplicación antes de que se realizara el error. Esto puede apuntar al problema.
  2. Compare un seguimiento filemon/regmon de la aplicación con errores con un seguimiento de un sistema de trabajo.

En el primer enfoque, ejecute Filemon y Regmon y, a continuación, ejecute la aplicación. En el momento en que se produce el error, vuelva a Filemon y Regmon y detenga el registro (presione CONTROL+E). A continuación, vaya al final del registro y busque las últimas operaciones realizadas por la aplicación antes de que se produce un error (se bloquea, se bloquea o lo que sea). A partir de la última línea, trabaje hacia atrás examinando los archivos o las claves del Registro a los que se hace referencia con frecuencia, lo que le ayudará a identificar el problema.

Use el segundo enfoque cuando se produce un error en la aplicación en un sistema, pero funciona en otro. Capture un seguimiento de Filemon y Regmon de la aplicación en el sistema en funcionamiento y con errores y guarde la salida en un archivo de registro. A continuación, abra los archivos de registro buenos y no válidos con Excel (tome los valores predeterminados en el asistente para importación) y elimine las tres primeras columnas (de lo contrario, la comparación mostrará cada línea como diferente, ya que las tres primeras columnas contienen información diferente de la ejecución a la ejecución, como la hora y el identificador del proceso). Por último, compare los archivos de registro resultantes (por ejemplo, con WinDiff, que en Windows XP se incluye en las herramientas de soporte técnico gratuitas que puede instalar fuera del CD de XP, o para Windows NT4 y Windows 2000, puede encontrarlo en el Kit de recursos).

Ahora, algunos ejemplos reales.

En una Windows de trabajo 2000 con Microsoft Office 97 instalado, Word recibiría un dr. Watson poco después de iniciarse. En realidad, podría escribir algunos caracteres antes de que se produjese el dr. Watson, pero si escribe algo o no, a los pocos segundos de iniciarse, Word se bloquearía. Por supuesto, el usuario había intentado desinstalar y volver a instalar Office, pero el problema persiste. Por lo tanto, ejecuté Filemon y Regmon y miré lo último que hizo Word antes de que se escapara. El seguimiento de Filemon mostró lo último que Word hizo fue abrir un archivo DLL de impresora HP. Resulta que la estación de trabajo no tenía impresora, pero aparentemente lo hizo al mismo tiempo. Por lo tanto, eliminé la impresora HP del sistema y el problema desaparece.

Aparentemente, el hecho de que Word enumerara las impresoras al iniciarse hizo que se cargara este archivo DLL, lo que, a su vez, provocó que el proceso se produjese (por qué esto se produjo, no sé si el usuario había instalado una versión pésima; pero como el sistema ya no tenía una impresora, realmente no importaba).

En otro ejemplo, regmon ha guardado a un usuario de realizar una reinstalación completa de su Windows de escritorio XP. El síntoma era que Internet Explorer (IE) se desahoraría al iniciarse si el usuario no marcaba primero manualmente la conexión a Internet. Esta conexión a Internet se estableció como la conexión predeterminada para el sistema, por lo que iniciar IE debería haber provocado un acceso telefónico automático a Internet (porque IE se estableció para mostrar una página principal predeterminada al iniciarse). Después de mi nueva experiencia, ejecuté Filemon y Regmon y miré hacia atrás desde el punto del registro donde se colgó IE. Filemon no mostró nada inusual, pero el registro regmon mostró una consulta a una clave HKEY_CURRENT_USER\Software\Microsoft\RAS Phonebook\ATT . El usuario me había dicho que tenía instalado el programa de marcador AT T al mismo tiempo, pero lo había desinstalado y creado manualmente & la conexión de acceso telefónico. Puesto que el nombre de la conexión de acceso telefónico no era "ATT", sospecho que esto se quedó en la chatarra del Registro de la desinstalación que estaba causando que IE se atragante. Por lo tanto, he cambiado el nombre de la clave y el problema se ha ido.

El uso de la técnica "comparar los registros" ayudó a resolver por qué Access 2000 se ahorcaba en la estación de trabajo XP de un programador al intentar importar un archivo Excel programación. La importación del mismo archivo funcionaba bien en las estaciones de trabajo de otros usuarios, pero no en esta estación de trabajo. Por lo tanto, se realizó una captura de Acceso en el sistema en funcionamiento y con errores. Después de masasar correctamente los archivos de registro, se compararon con Windiff. Las primeras diferencias se deben a que los nombres de los archivos temporales son diferentes y a que algunos nombres de archivo son diferentes debido a diferencias entre mayúsculas y minúsculas, pero, por supuesto, no se trata de "diferencias relevantes" entre los dos sistemas.

La primera diferencia que no era correcta era que se estaba cargando un archivo DLL de acceso desde en el sistema con errores, pero desde la \Windows\System32 carpeta del sistema de \Program Files\Microsoft Office\Office trabajo. La comparación de los archivos DLL revela que la versión de \Windows\System32 era de una versión anterior de Access. Por lo tanto, el usuario cambió el nombre de ese archivo DLL a y .bad reejecutó Access y el problema se fue.

Una clase de problemas para los que Filemon es increíblemente útil es descubrir problemas de permisos de archivo. Muchas aplicaciones hacen un trabajo deficiente al notificar errores de acceso denegado. Sin embargo, la ejecución de Filemon revela claramente errores de este tipo, ya que la columna de resultados muestra "ACCESO DENEGADO" en caso de errores al abrir archivos debido a problemas de derechos (y la versión más reciente incluso muestra el nombre de usuario que no pudo acceder al archivo). Dos ejemplos específicos en los que este era el caso:

  1. Un usuario estaba recibiendo un extraño error de macro al iniciar Word. convierte los permisos en un . El archivo DOT al que hace referencia una macro se cambió para no permitir este acceso de usuario. Filemon mostró claramente que Word obtenía un error de acceso denegado en . Archivo DOT. Una vez corregidos los permisos, el problema desaparece.
  2. Una Outlook aplicación emergente un cuadro de mensaje que indica -otro ejemplo de cuántas aplicaciones generan mensajes de error inservibles en errores de Application defined or object-defined error-Message ID: [Connect].[LoadGlobalVariables].[LN:?].[EN:287] E/S aleatorios. De nuevo, al ejecutar Filemon se ha producido un error de acceso denegado (esta vez a una carpeta a la que Outlook tener acceso). Los permisos se ajustaron en la carpeta y el problema desaparece.

Estos son solo algunos ejemplos: tengo muchos otros casos de éxito en los que Filemon y Regmon (y el Explorador de procesos, que no he analizado aquí) han guardado el día. No es de duda que el soporte técnico de Microsoft use estas herramientas diariamente para ayudar a resolver los problemas de los clientes (en el último recuento, unos 40 artículos de Knowledge Base apuntan a las herramientas de Mark para ver una http://www.sysinternals.com/ntw2k/info/mssysinternals.shtml lista).

Por lo tanto, en caso de duda, ejecute Filemon y Regmon.

David David, experto en peritajes http://www.solsem.com

NOVEDADES DE SYSINTERNALS

FILEMON V5.01

Filemon, una de las utilidades que David resalta en su editorial, ha experimentado su primera revisión importante en varios años. La nueva versión aporta un nuevo nivel de facilidad de uso a una herramienta que ya tenía una interfaz de usuario accesible. La mejora más importante es el cambio en la forma en que se presenta la actividad del sistema de archivos en la configuración predeterminada de Filemon cuando se ejecuta en Windows NT, 2000, XP o Server 2003, algo en lo que había estado pensando durante un tiempo y que finalmente he implementado en función de los comentarios de los usuarios reales de David.

Las versiones anteriores de Filemon muestran operaciones del sistema de archivos con los nombres textuales de las solicitudes de E/S internas que ejecutan las operaciones. Aunque son técnicamente precisos en su presentación, muchos usuarios no están familiarizados con el funcionamiento interno del subsistema de E/S de Windows y encuentran operaciones como sin sentido y otras, como un error notificado de una FASTIO_CHECK_IF_POSSIBLEFASTIO_READ operación, confusas. Hay muchos otros ejemplos de operaciones que la mayoría clasificarían como "ruido" y nombres de operación que no se explican por sí solos.

El modo de visualización predeterminado de la versión 5.01 de Filemon ahora tiene un mecanismo de filtrado para quitar la actividad que no sirve en la mayoría de los escenarios de solución de problemas y que presenta nombres intuitivos para todas las operaciones de E/S. FASTIO_CHECK_IF_POSSIBLE se filtra, no se muestran los errores y los que se realizaron correctamente FASTIO_READFASTIO_READ se notifican como READ operaciones. Además, la vista predeterminada omite la actividad del sistema de archivos en el proceso del sistema, que es el proceso desde el que el Administrador de memoria y caché realiza la actividad en segundo plano, y toda la actividad de paginación del Administrador de memoria, incluida la actividad en el archivo de paginación del sistema. Opciones| El elemento de menú Avanzado satisfacerá a los usuarios, como los desarrolladores de controladores de filtro del sistema de archivos, que desean la vista "sin procesar" de la actividad del sistema de archivos mostrada por versiones anteriores de Filemon.

Varios usuarios, incluidos los empleados de Microsoft, solicitaron que Filemon muestre la cuenta en la que se producen errores de "acceso denegado" para ayudar a depurar la configuración de seguridad en entornos de Terminal Services. En la versión de respuesta 5.01 se muestra esa información, así como el modo de acceso (lectura, escritura, eliminación, etc.) que un proceso desea cuando abre un archivo y cómo se abre un archivo, por ejemplo, si se sobrescribe o se abre solo si existe.

Muchas sesiones de solución de problemas se centran en identificar los archivos a los que un proceso accede o intenta acceder, en cuyo caso las operaciones como lecturas, escrituras y cierres son simplemente ruido. Como reconocimiento de este hecho, he agregado una nueva opción de filtrado "se abre el registro" que le permite aislar solo las operaciones abiertas.

Otro cambio importante es la forma en que Filemon v5.01 controla los recursos compartidos asignados a la red. En versiones anteriores, cada asignación se muestra como una letra de unidad en el menú Unidades. Ahora, todas estas asignaciones se incluyen en la selección "Red" del menú Volúmenes (que es el menú Unidades cuyo nombre ha cambiado). Al seleccionar Red, Filemon supervisa todos los recursos compartidos de red, así como la actividad de red de tipo UNC del tipo que se produce al acceder a archivos remotos mediante la convención de nomenclatura \\computer\share\directory "". Este cambio permite ver la actividad de los archivos de red incluso cuando no tiene un recurso compartido de red asignado, como requerían las versiones anteriores de Filemon. Hay muchos otros cambios menores en la versión más reciente de Filemon, incluida una estructura de menús actualizada que refleja los menús más utilizables que introduje en Regmon hace varios meses.

Descargue Filemon v5.01 en
http://www.sysinternals.com/ntw2k/source/filemon.shtml

ACERCA DEL CÓDIGO FUENTE DE FILEMON Y REGMON

Los desarrolladores de productos de software, hardware y redes admiten Sysinternals mediante la compra de licencias para redistribuir el código. Sin embargo, durante el último año hemos encontrado una variedad de software, desde troyanos hasta productos comerciales de varias empresas multimillonario que contienen código fuente sysinternals sin licencia. En un esfuerzo por mantener el crecimiento de Sysinternals y nuestros productos con licencia legal, hemos dejado de publicar el código fuente de algunos de nuestros productos, incluidas las versiones más recientes de Filemon y Regmon. Seguiremos haciendo que el código fuente esté disponible para los licencias comerciales. Si detecta reflejos para el código fuente de Sysinternals, háganoslo saber.

DEBUGVIEW V4.2

DebugView es una utilidad sysinternals muy popular que los desarrolladores de software usan para capturar la salida de depuración generada por su software. La versión 4.2 refleja una serie de mejoras y características solicitadas por el usuario. Una opción solicitada por Microsoft permite capturar la salida de depuración de los procesos que se ejecutan dentro de la sesión de consola de un entorno de Terminal Services al ejecutar DebugView en una sesión que no es de consola. V4.2 admite opciones de línea de comandos expandida que permiten especificar un archivo de registro para cargar, la profundidad del historial y otro comportamiento de inicio. Varios usuarios solicitaron filtros cada vez más largos, el filtrado por los ID de proceso y la capacidad de insertar comentarios en la salida, todos ellos posibles con la versión más reciente. La nueva versión se redondea con varias correcciones de errores, una mejor compatibilidad para extraer la salida de depuración de kernel de archivos de volcado de memoria y mejores ventanas de globo para texto que supere el ancho de su columna de salida e incluso la pantalla.

Descargue DebugView v4.2 en
http://www.sysinternals.com/ntw2k/freeware/debugview.shtml

NEWSID V4.02

El problema de duplicación de SID (id. de seguridad) es uno que encontrará si usa una imagen de Windows preinstalada para implementar más de un sistema. Cada equipo que comparte la imagen tiene el mismo SID de Windows interno, que es un identificador que el subsistema de seguridad de Windows usa como base para los identificadores de cuenta y grupo local. Debido a los problemas de seguridad, el uso compartido puede hacer que la mayoría de los administradores tomen medidas para aplicar posteriormente un SID único a cada equipo mediante una herramienta de cambio de SID.

NewSID, el sid-changer de Sysinternals, es popular porque, a diferencia de otros cambiadores que dependen de DOS o requieren que un sistema esté libre de software de complemento, NewSID es un programa Win32 que puede usar para asignar un nuevo SID a los equipos que tienen aplicaciones instaladas. La versión 4.02 es una actualización principal que tiene una nueva interfaz de asistente, agrega compatibilidad con Windows XP y le permite cambiar el nombre de un equipo.

Una característica solicitada por muchos administradores es la capacidad de nuevosSID para aplicar un SID que especifique, algo que podría ser útil para migrar la configuración de una instalación a otro equipo o para volver a instalarla. A medida que se ejecuta NewSID, hace que el Registro crezca cuando aplica la configuración de seguridad temporal a partes del Registro con el fin de que sea accesible. Este exceso puede hacer que el Registro supere su cuota de tamaño, por lo que una nueva función v4.02 comprime el Registro a su tamaño mínimo como último paso de operación.

Descargue NewSID v4.02 en
http://www.sysinternals.com/ntw2k/source/newsid.shtml

PSSHUTDOWN V2.01

Shutdown es una herramienta que Microsoft ha incluido durante mucho tiempo en Windows Resource Kit y que se incluye en Windows XP. Antes de la versión 2.01 de PsShutdown, un miembro del kit de herramientas de administración de línea de comandos de Sysinternals PsTools era simplemente un apagado clonado, pero esta versión más reciente amplía sus funcionalidades mucho más allá de las de Shutdown. Por ejemplo, puede apagar y apagar si un sistema admite la administración de energía, bloquear el escritorio y cerrar la sesión del usuario interactivo, todo en el equipo local o remoto, sin instalar manualmente ningún software cliente.

Descargue PsShutdown v2.01 en
http://www.sysinternals.com/ntw2k/freeware/psshutdown.shtml
Descargue todo el conjunto de PsTools en
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

AUTORUNS V2.02

Todos nos hemos visto afectados por la instalación de applets no deseados que se ejecutan cuando iniciamos sesión y nos hemos frustrado en la búsqueda de su comando de inicio. No es de duda cuando Windows cerca de 2 docenas de mecanismos para dicha activación. La utilidad MsConfig incluida con Windows Me y XP a veces puede ayudar, pero pierde aproximadamente la mitad de las posibles ubicaciones de inicio.

Autoruns, una herramienta sysinternals escrita por Ahora Cogswell y yo, muestra toda la imagen. En su pantalla se muestra una lista de todas las ubicaciones posibles del Registro y los archivos en las que una aplicación puede habilitarse para ejecutarse en el inicio o inicio del sistema. La versión más reciente muestra información de icono y versión para cada imagen configurada por inicio para facilitar la identificación y agrega mejoras de la interfaz de usuario como un menú contextual. Además, la nueva versión identifica más ubicaciones de inicio, incluidos los scripts de inicio y cierre de sesión, las tareas del programador de tareas que se ejecutan al iniciar sesión y los puntos de inicio del complemento explorador.

Descargue Autoruns v2.01 en
http://www.sysinternals.com/ntw2k/source/misc.shtml

SHAREENUM V1.3

Los administradores de sistemas suelen pasar por alto una parte fundamental de la seguridad de la red local: las carpetas compartidas. Los usuarios de un entorno corporativo suelen crear recursos compartidos en carpetas que contienen documentos con el fin de proporcionar un acceso sencillo a los compañeros de trabajo de su grupo. Desafortunadamente, muchos usuarios no pueden bloquear sus recursos compartidos con configuraciones que impiden el acceso no autorizado a información potencialmente confidencial por parte de otros empleados.

ShareEnum es una utilidad sysinternals escrita por Sysinternals que le ayuda a identificar recursos compartidos no válidos y a reforzar la seguridad en los válidos. Al iniciar ShareEnum, usa la enumeración NetBIOS para buscar equipos en la red e informa de los recursos compartidos que exportan junto con detalles sobre la configuración de seguridad aplicada a los recursos compartidos. En cuestión de segundos, puede detectar recursos compartidos abiertos y hacer doble clic en un recurso compartido para abrirlo en el Explorador de modo que pueda modificar su configuración. También puede usar la característica de exportación de ShareEnum para guardar exámenes y comparar un examen actual con el que ha guardado anteriormente.

Descargue ShareEnum v1.3 en
http://www.sysinternals.com/ntw2k/source/shareenum.shtml

TCPVIEW V2.31

TCPView es una utilidad gráfica netstat-type que muestra una lista de los puntos de conexión TCP y UDP activos de un sistema. En Windows de NT, 2000, XP y Server 2003, se muestra el proceso que posee cada punto de conexión. La versión 2.31 muestra el icono del archivo de imagen de un proceso para facilitar la identificación.

Descargue TCPView v2.31 en
http://www.sysinternals.com/ntw2k/source/tcpview.shtml

BLUESCREEN V3.0

Sysinternals Bluescreen of Death Screensaver ha sido una descarga favorita durante varios años y la versión 3.0 agrega compatibilidad Windows XP. El protector de pantalla muestra una pantalla azul de aspecto auténtico de muerte, con formato y detalles aleatorios adecuados para el sistema operativo en el que se ejecuta (por ejemplo, Windows NT, 2000 o XP) y, después de una pausa, simula un ciclo de reinicio y la repetición posterior de una pantalla de bloqueo diferente. Es tan desacioso que David Noé me ha engañedo con él y lo he engañedo con él. Úselo como su propio protector de pantalla o para engañer a sus amigos y compañeros de trabajo, pero asegúrese de que su jefe tiene una idea de cómo hacerlo antes de instalarlo en un sistema de producción.

Descargue Bluescreen v3.0 en
http://www.sysinternals.com/ntw2k/freeware/bluescreensaver.shtml

SYSINTERNALS AT WWW.MICROSOFT.COM

Esta es la última instalación de referencias de Sysinternals en los artículos Microsoft Knowledge Base (KB) publicados desde el último boletín. Es un honor informar de que esto eleva a 41 el número total de referencias de KB a Sysinternals.

  • ACC2000: Mensaje de error: ActiveX componente no puede crear el objeto http://support.microsoft.com/default.aspx?scid=KB ; EN-US; Q319841&

  • CÓMO: Solucionar problemas de ASP en IIS 5.0 http://support.microsoft.com/default.aspx?scid=KB ; EN-US; Q309051&

  • OL2002: How to Create Trusted Outlook COM Add-ins http://support.microsoft.com/default.aspx?scid=KB ;en-us;327657&

  • PRB: error 80004005 "The Microsoft Jet Motor de base de datos cannot open the file '(Unknown)'" http://support.microsoft.com/default.aspx?scid=KB ; EN-US; Q306269&

  • Error de descarga del perfil de usuario al iniciar, salir o cerrar sesión en NetMeeting http://support.microsoft.com/default.aspx?scid=KB ; EN-US; Q327612&

  • XADM: Mensaje de error: Error 123: La sintaxis de nombre de archivo, nombre de directorio o etiqueta de volumen es http://support.microsoft.com/default.aspx?scid=KB incorrecta; EN-US; Q318746&

INFORMACIÓN INTERNA

NUEVO VÍDEO XP/SERVER 2003 INTERNALS

Nuestra nueva actualización de vídeo Windows cambios internos de XP/Server 2003 está disponible para el orden de versión previa. Como complemento a nuestro tutorial de vídeo existente, INSIDE Windows 2000, o como un producto independiente por derecho propio, este nuevo vídeo proporciona aprendizaje sobre los cambios del kernel en Windows XP y el nuevo producto de Microsoft Windows Server 2003, que se iniciará en abril. Los temas tratados incluyen rendimiento, escalabilidad, compatibilidad de 64 bits, sistemas de archivos, confiabilidad y recuperación.

En el mismo estilo interactivo que su predecesor, la actualización de Windows XP/Server 2003 le coloca en el escritorio de David Ldap y Mark Russinvl durante 76 minutos de entrenamiento intensivo y muy centrado. Incluye preguntas de revisión, ejercicios de laboratorio y un libro impreso, y está disponible en vídeo de DVD y Windows Media en CD-ROM.

Dado que estos vídeos se desarrollaron con acceso completo al código Windows código fuente y al equipo de desarrollo, sabe que está obteniendo la historia real. Como complemento final, Microsoft ha concedido licencia a este vídeo para su entrenamiento interno en todo el mundo.

PRECIOS DE VERSIÓN PREVIA ESPECIALES SI COMPRA ANTES DEL 15 DE MARZO. Compre INSIDE Windows 2000 por 950 USD y obtenga la Windows XP/Server 2003 Update FREE. Esto significa casi un 40 % del valor minorista combinado de 1390 USD. O bien, compre Windows vídeo de actualización de XP/Server 2003 por solo 169 USD (195 USD de valor comercial). Otras configuraciones de licencia disponibles en el sitio web. Para aprovechar las ventajas de esta oferta de tiempo limitado, haga el pedido ahora en http://www.solsem.com/vid_purchase.html

MARK Y DAVID TEACH INTERNALS AND TROUBLESHOOTING IN BELLEVUE, WA

Hear me y David Present our 3-day Windows 2000/XP/.NET Server internals class in Bellevue, WA (near Seattle) April 21-23. En función de "Inside Windows 2000, 3rd Edition", abarca la interrelación de la arquitectura del kernel de los mecanismos clave de componentes del sistema, como subprocesos del sistema, distribución de llamadas del sistema, control de interrupciones y apagado del &&&& inicio. Obtenga información sobre técnicas avanzadas de solución de problemas mediante las herramientas de Sysinternals y cómo usar Windbg para el análisis básico de volcado de memoria. Los aspectos internos de los subsistemas clave tratados incluyen subprocesos de procesos, programación de subprocesos, administración de memoria, seguridad, el sistema de & E/S y el administrador de caché. Al comprender el funcionamiento interno del sistema operativo, puede aprovechar la plataforma de forma más eficaz y eficaz para depurar y solucionar problemas.

Para registrarse o para obtener más información, consulte http://www.sysinternals.com/seminar.shtml

WINDOWS 2000 SP3 COMMON CRITERIA CERTIFIED

Es probable que muchos de los usuarios estén familiarizados con los términos "Orange Book" y C2, ambos relacionados con un estándar de evaluación de seguridad obsoleto usado a lo largo de los años 80 y 90 por el gobierno de EE. UU. para evaluar las funcionalidades de seguridad del software, incluidos los sistemas operativos. Desde 1999, las clasificaciones de Orange Book, que formaban parte de los Criterios de evaluación de sistemas informáticos de confianza (TCSEC) del Departamento de Defensa, se han subsumido mediante el sistema Common Criteria (CC) más reciente. Varias potencias han acordado la CC como un estándar internacional de clasificaciones de seguridad que es más enriquecido que las clasificaciones obsoletas de TSCEC e Irlanda de Seguridad de tecnologías de la información (ITSEC).

Cuando un proveedor tiene su software certificado con el estándar CC, especifica un "perfil de protección", que es un conjunto de características de seguridad, y la evaluación notifica un nivel de garantía, conocido como nivel de control de evaluación (EAL), de que el software cumple los requisitos del perfil de protección. Hay 7 ERL con niveles de control más altos que indican una mayor confianza en la confiabilidad de las características de seguridad del software evaluado.

Microsoft envió Windows 2000 para la clasificación cc en los perfiles de protección de acceso controlado, que es aproximadamente el equivalente cc de la clasificación TCSEC C2, hace varios años y en octubre de 2002 se completó su evaluación. Science Applications International Corporation (SAIC), la empresa independiente que realizó la evaluación, encontró Windows 2000 con Service Pack 3 para cumplir el perfil de protección de acceso de control con un nivel de control de control (EAL) de 4 más corrección de errores. Un EAL de 4 se considera el nivel más alto que puede lograr el software de uso general y corrección de errores hace referencia al mecanismo de actualización de Windows para la aplicación a tiempo de correcciones de seguridad. Esta clasificación es el nivel más alto logrado hasta ahora por un sistema operativo por debajo del CC.

VISUAL STUDIO: PUT A WATCH ON LASTERROR

Si desarrolla aplicaciones que se basan en la API de Win32, casi con seguridad ha escrito código que ejecuta una función Win32, pero por cualquier motivo no informa de errores específicos. Si es así, esta sugerencia le será útil. Al agregar la expresión a la ventana de reloj, verá la representación numérica y textual del valor almacenado como la variable del subproceso actual, que es el valor devuelto por la @ERR,hrLastError función GetLastError() Win32.

SE EXPLICA EL VALOR DEL REGISTRO LAMEBUTTONTEXT

Si ha examinado los seguimientos de Regmon en un sistema Windows 2000 o XP de un inicio de aplicación Windows, probablemente haya visto referencias al valor del Registro , normalmente con HKCU\Control Panel\Desktop\LameButtonText un NOTFOUND error. Obviamente, alguien de Microsoft tiene una idea de qué se trata, pero ¿para qué es este valor? Resulta que almacena el texto que se ve en las versiones beta y candidatas para lanzamiento de Windows en las barras de título de la ventana que le dirige a hacer clic en un vínculo para informar de los comentarios. Sería interesante habilitarlo en versiones no anteriores de Windows para colocar texto personalizado, pero su funcionalidad está deshabilitada desafortunadamente en las versiones de producción.

HISTORIAL DE DESARROLLO DE WINDOWS

Paul Paulorott tiene una serie de artículos de tres partes que trata sobre la historia del proceso de desarrollo Windows NT. Compruébelo en http://www.winsupersite.com/reviews/winserver2k3_gold1.asp.

UNA INTRODUCCIÓN RÁPIDA AL ANÁLISIS DE VOLCADO DE MEMORIA

Cuando un sistema se bloquea inmediatamente después de instalar nuevo hardware o software que diagnostica la causa es obvio. En ocasiones, sin embargo, los bloqueos del sistema se producen en ocasiones y no hay ninguna razón aparente. En tales casos, la única manera de determinar la causa del bloqueo es analizar un volcado de memoria. En este tutorial describiré cómo funciona el análisis de bloqueos en línea (OCA) de Microsoft y cómo puede darle la respuesta a un accidente de bloqueo y, a continuación, le explicaremos cómo configurar su propio entorno de análisis de bloqueos para que pueda echar un vistazo a los bloqueos que OCA no analizará o no podrá analizar correctamente.

Microsoft presentó OCA con el lanzamiento de Windows XP para que sea un servicio de análisis automatizado basado en un repositorio centralizado de información relacionada con los bloqueos. Una vez que un sistema XP se reinicia desde un bloqueo, le pide que envíe información de bloqueo al sitio de OCA (http://oca.microsoft.com/en/Welcome.asp). Si está de acuerdo, XP carga un archivo XML que describe la configuración básica del sistema junto con un archivo de bloqueo de minivolfón de 64 KB. Un minivolumen contiene una pequeña cantidad de datos inmediatamente relevantes para un bloqueo, como el código de bloqueo, la pila del subproceso que se estaba ejecutando en el momento del bloqueo, la lista de controladores cargados en el sistema y las estructuras de datos que administran el proceso que se ejecuta cuando se produjo el bloqueo.

Una vez que OCA recibe la información, continúa con su análisis y almacena el resumen de análisis en una base de datos. Si sigue el aviso después de la carga y visita el sitio de OCA, se le ofrecerá la oportunidad de realizar un seguimiento del análisis. Esto requiere que inicie sesión con una cuenta de Passport. A continuación, escriba un nombre para el bloqueo y algún texto que describa la naturaleza del bloqueo. Si el motor de OCA correlaciona el bloqueo con otros usuarios de la base de datos para los que Microsoft ha identificado una causa, el sitio le notifica por correo electrónico y, al volver a visitar el sitio y buscar el bloqueo que envió la resolución, le indicará dónde obtener una actualización del controlador o del sistema operativo. Desafortunadamente, aunque la compatibilidad con OCA está integrada en XP y acepta Windows archivos de volcado de memoria 2000, no admite NT 4 y no puede identificar la causa de la mayoría de los bloqueos (al menos en mi experiencia).

Para realizar el análisis de bloqueos usted mismo, necesitará las herramientas adecuadas, que Microsoft proporciona en forma del paquete Herramientas de depuración para Windows que puede descargar.http://www.microsoft.com/ddk/Debugging/. El paquete incluye, entre otras cosas, la herramienta de análisis Windbg. Después de descargar e instalar las herramientas, ejecute Windbg y abra el archivo| Cuadro de diálogo Ruta de acceso del archivo de símbolos. Allí se le pide a Windbg dónde encontrar archivos de símbolos para la versión del sistema operativo desde la que se genera un bloqueo que está analizando. Puede escribir una ruta de acceso a un directorio donde haya instalado símbolos, pero eso requiere que obtenga archivos de símbolos para el sistema operativo exacto, service pack y correcciones de accesos temporales instalados en el sistema que se bloquea. Mantenerse al día manualmente con los archivos de símbolos es tedioso y, si desea analizar bloqueos de diferentes sistemas, tendrá que preocuparse por diferentes conjuntos de archivos de símbolos para cada instalación diferente.

Puede evitar problemas con el archivo de símbolos si apunta a Windbg en el servidor de símbolos de Microsoft. Al configurarlo para usar el servidor de símbolos, Windbg descarga automáticamente los archivos de símbolos a petición en función del volcado de memoria que abra. El servidor de símbolos almacena símbolos para las versiones beta de NT 4 a Server 2003 y los candidatos para lanzamiento, incluidos service packs y correcciones de accesos temporales. La sintaxis para dirigir Windbg al servidor de símbolos es srv*c:\symbols*http://msdl.microsoft.com/download/symbols . Reemplace c:\symbols por el directorio donde desea almacenar los archivos de símbolos. Para más información sobre los símbolos, consulte http://www.microsoft.com/ddk/debugging/symbols.asp

Hay un paso más que debe realizar antes de estar listo para analizar volcados de memoria: configurar los sistemas para generarlos. Para ello, abra el applet Sistema en el panel de control y, en Win2k y superiores, haga clic en el botón Inicio/Apagado de la página Avanzadas. En NT 4, vaya a la pestaña Inicio/Apagado del applet. La única opción de volcado de memoria en sistemas NT 4 es un volcado de memoria completo, donde todo el contenido de la memoria física en el momento de un bloqueo se guarda en el archivo especificado. En Win2k y posteriores hay tres opciones: mini, kernel y full. Win2K & XP Professional y Inicio tienen como valor predeterminado mini; Los sistemas de servidor se completan de forma predeterminada. En el caso de las máquinas cliente o de estación de trabajo, cambie la configuración de mini al volcado de kernel, lo que ahorra solo partes de la memoria física propiedad del sistema operativo (en lugar de las aplicaciones), ya que esto minimiza el tamaño del archivo de volcado de memoria y sigue proporcionando información completa sobre las estructuras de datos del kernel que Windbg necesita para analizar de forma eficaz un bloqueo. En el caso de los sistemas de servidor, los volcados completos son buenos, pero los volcados de kernel son una opción segura (y posiblemente la única opción si tiene un sistema de memoria muy grande).

Ahora está listo para analizar un bloqueo. Cuando se produce, simplemente cargue el archivo de volcado resultante en Windbg seleccionando el archivo| Abra la opción de menú Volcado de memoria. A medida que el volcado de memoria carga Windbg comienza a procesarlo y verá mensajes sobre la versión del sistema operativo y la carga de símbolos. A continuación, verá un mensaje con el texto "Análisis de comprobación de errores". La salida siguiente al mensaje informa del código de bloqueo y los parámetros del código de bloqueo, así como un "probablemente causado por".

En algunos casos, el análisis básico que Windbg realiza aquí es suficiente para identificar el controlador o componente de kernel con errores. Sin embargo, se recomienda escribir siempre el siguiente comando: !analyze -v . Este comando da como resultado el mismo análisis, pero con más información. Por ejemplo, el texto explicará el significado del código de bloqueo y le mostrará lo que representan los parámetros opcionales, a veces con consejos sobre lo que debe probar a continuación. También verá un seguimiento de la pila, que es un registro de ejecución de la función que conduce al código en el que se produjo el bloqueo. Si un controlador pasa datos defectuosos al kernel o a un controlador identificado por el análisis, es posible que vea su nombre en el seguimiento y pueda identificarlo como una posible causa principal.

Si desea profundizar más en el estado del sistema en el momento del bloqueo, hay numerosos comandos de Windbg que le permiten ver la lista de procesos en ejecución, controladores cargados, uso de memoria y mucho más. El archivo de ayuda de Windbg también contiene una referencia de comprobación de errores con la que se recomienda realizar un seguimiento para obtener más información e instrucciones, y si sigue teniendo problemas, le recomiendo que realice una búsqueda en el código de bloqueo de Knowledge Base (KB) de Microsoft. Microsoft crea artículos de KB para bloqueos comunes y le lleva a sitios de proveedores o correcciones de acceso frecuente que solucionan problemas concretos.

Si quiere que presente esta información en directo, con ejemplos, puede consultarme en cualquiera de las conferencias siguientes:

  • Los directores internos y de solución de problemas David y yo entregamos en abril en Bellevue, WA
  • Windows y conexiones de .NET Magazine en Scottsdale, AZ en mayo:http://www.winconnections.com/win
  • TechEd US (Dallas) o TechEd Europa (en América) este verano

Gracias por leer el boletín sysinternals.

Publicado el miércoles, 19 de febrero de 2003 a las 4:47 p. m. por

[Archivo de boletines ^][ Volumen 4, Número 3][Volumen 5, Número 2 ]

[Archivo de boletines ^][ Volumen 4, Número 3][Volumen 5, Número 2 ]

Volumen 5, número 1 del boletín de sistemas internos

http://www.sysinternals.com
Copyright (C) 2003 Mark Russinvl