• Artículo

[Archivo de boletines ^][< Volumen 4, Número 3][Volumen 5, Número 2 >]

El volumen 5 del boletín interno de sistemas, número 1

http://www.sysinternals.com
Copyright (C) 2003 Mark Russinovich

19 de febrero de 2003: en este problema:

  1. EDITORIAL

  2. NOVEDADES DE SYSINTERNALS

    • Filemon v5.01
    • DebugView v4.2
    • NewSID v4.02
    • PsShutdown v2.01
    • Autoruns v2.02
    • ShareEnum v1.3
    • TCPView v2.31
    • Bluescreen v3.0
    • Sysinternals en Microsoft

  3. INFORMACIÓN INTERNA

    • Nuevo vídeo interno de XP/Server 2003
    • Mark y David Salomón enseñan a internos y solución de problemas en Seattle
    • Criterios comunes de Windows 2000 SP3 certificados
    • Visual Studio: Colocar un reloj en LastError
    • Se explicó el valor del Registro LameButtonText
    • Historial de desarrollo de Windows
    • Introducción al análisis de volcado de memoria

El Boletín de Sysinternals está patrocinado por Winternals Software, en la Web en http://www.winternals.com. Winternals Software es el desarrollador líder y proveedor de herramientas avanzadas de sistemas para Windows NT/2K/XP. Los productos winternals Software incluyen ERD Commander 2002, NTFSDOS Professional Edition (un controlador NTFS de lectura y escritura para DOS) y Recuperación remota.

Winternals está orgulloso de anunciar la versión 2.10 de Defrag Manager, el desfragmentador más rápido y completo disponible. Ahora puedes administrar programaciones de desfragmentación en toda tu empresa Windows desde un complemento MMC simple, sin tener que instalar ningún software cliente en los sistemas NT, Windows 2000 o Windows XP. Visite http://www.winternals.com/es para obtener más información o para solicitar una versión de prueba gratuita de 30 días.

Hola a todos:

Bienvenido al boletín de Sysinternals. El boletín tiene actualmente 36.000 suscriptores.

Me complace informarle que David Salomón es el autor invitado de la editorial de este mes, donde describe algunas de sus experiencias de solución de problemas reales con varias utilidades de Sysinternals.

Por favor, pase el boletín de noticias a los amigos que cree que podrían estar interesados en su contenido.

Gracias

-Mark

EDITORIAL - por David Solomon

Tengo un nuevo lema: "En caso de duda, ejecute Filemon y Regmon (y Explorador de procesos)".

Antes de explicarme, déjame decir primero gracias a Mark por invitarme a escribir este editorial invitado (por supuesto, ya que este es un informe brillante sobre lo útil que son sus herramientas, ¡no es como él me está haciendo un gran favor o cualquier cosa!).

Como muchos de ustedes saben, Mark y yo trabajamos juntos para ayudar a educar a las personas en los internos de Windows. Nuestro último proyecto fue una actualización del tutorial de vídeo interno de Windows 2000 que creamos el año pasado para cubrir los cambios del kernel en Windows XP y Windows Server 2003, y nuestra siguiente clase interna de Windows pública es el 21-23 de abril de Bellevue, Washington- ver detalles sobre ambos en las secciones pertinentes de este boletín. Y, como muchos nos han pedido, estamos en proceso de nuestro libro Inside Windows 2000 for XP y Server 2003 (la fecha de lanzamiento provisional es a finales de verano).

Y ahora, ¿por qué estoy tan entusiasmado sobre las herramientas de Sysinternals? Dado que en el último año o así, me han ayudado a solucionar una amplia variedad de problemas de aplicación y sistema que, de lo contrario, serían irresolubles. De hecho, no puedo empezar a describir el número de problemas totalmente diferentes y no relacionados que he podido solucionar con estas herramientas. Incluso en los casos en los que no pensé que ayudarían, lo hicieron. Por lo tanto, mi nuevo lema, "Si está en duda, ejecute Filemon y Regmon".

Hay dos técnicas básicas que he encontrado para aplicar estas herramientas:

  1. Observe lo último en el seguimiento de Filemon/Regmon que hizo la aplicación antes de que se produzca un error. Esto puede apuntar al problema.
  2. Compare un seguimiento de Filemon/Regmon de la aplicación con un seguimiento de un sistema en funcionamiento.

En el primer enfoque, ejecute Filemon y Regmon y, a continuación, ejecute la aplicación. En el momento en que se produce el error, vuelva a Filemon y Regmon y detenga el registro (presione CONTROL+E). A continuación, vaya al final del registro y busque las últimas operaciones realizadas por la aplicación antes de que se produzca un error (bloqueado, bloqueado o cualquiera). A partir de la última línea, trabaje hacia atrás examinando los archivos o las claves del Registro a las que se hace referencia a menudo, lo que ayudará a identificar el problema.

Use el segundo enfoque cuando se produce un error en la aplicación en un sistema, pero funciona en otro. Capture un seguimiento de Filemon y Regmon de la aplicación en el sistema en funcionamiento y con errores y guarde la salida en un archivo de registro. A continuación, abra los archivos de registro correctos y incorrectos con Excel (tome los valores predeterminados en el asistente para importación) y elimine las primeras 3 columnas (de lo contrario, la comparación se mostrará cada línea como diferente, ya que las tres primeras columnas contienen información diferente de la ejecución para ejecutarse, como la hora y el identificador de proceso). Por último, compare los archivos de registro resultantes (por ejemplo, con WinDiff, que en Windows XP se incluye en las herramientas de soporte técnico gratuitas que puede instalar fuera del CD XP o para Windows NT4 y Windows 2000, puede encontrarlo en el Kit de recursos).

Ahora, algunos ejemplos de la vida real.

En una estación de trabajo de Windows 2000 con Microsoft Office 97 instalado, Word obtendría un Dr. Watson poco después de comenzar. En realidad, podría escribir algunos caracteres antes de que se produjera el Dr. Watson, pero si escribe algo o no, en unos segundos de inicio, Word se bloquearía. Por supuesto, el usuario había intentado desinstalar y reinstalar Office, pero el problema seguía siendo. Así que, ejecuté Filemon y Regmon y vi lo último hecho por Word antes de que muriera. El seguimiento de Filemon mostró lo último que Word hizo fue abrir un archivo DLL de impresora HP. Resulta que la estación de trabajo no tenía impresora, pero aparentemente lo hizo a la vez. Así que, eliminé la impresora HP del sistema ¡y el problema se fue!

Aparentemente, Word enumerar las impresoras al iniciar hizo que este archivo DLL se cargara, lo que a su vez provocó que el proceso muriera (por qué esto sucedió que quizá no sabía que el usuario había instalado una versión falsa; pero dado que el sistema ya no tenía una impresora, realmente no importaba).

En otro ejemplo, Regmon guardó a un usuario de realizar una reinstalación completa de su sistema de escritorio de Windows XP. El síntoma era que Internet Explorer (IE) se bloqueaba en el inicio si el usuario no marcaba manualmente la conexión a Internet. Esta conexión a Internet se estableció como la conexión predeterminada para el sistema, por lo que el inicio de IE debería haber provocado una marcación automática a Internet (porque IE se estableció para mostrar una página principal predeterminada al iniciarse). Siguiendo mi nuevo lema, ejecuté Filemon y Regmon y miré hacia atrás desde el punto en el registro donde IE colgaba. Filemon no mostró nada inusual, pero el registro de Regmon mostró una consulta a una clave HKEY_CURRENT_USER\Software\Microsoft\RAS Phonebook\ATT. El usuario me había dicho que tenía instalado el programa de marcado AT&T al mismo tiempo, pero lo había desinstalado y creado manualmente la conexión de marcado. Como el nombre de la conexión de marcado no era "ATT", sospecho que esto se dejó en el correo no deseado del registro de la desinstalación que provocaba que IE se atragante. Así que, he cambiado el nombre de la clave ¡y el problema se ha ido!

El uso de la técnica "comparar los registros" ayudó a resolver por qué Access 2000 estaba colgando en una estación de trabajo XP del programador intentando importar un archivo de Excel. La importación del mismo archivo funcionó bien en las estaciones de trabajo de otros usuarios, pero se produjo un error en esta estación de trabajo. Por lo tanto, se realizó una captura de Access en el sistema en funcionamiento y con errores. Después de masar adecuadamente los archivos de registro que se compararon con Windiff. Las primeras diferencias se deben a que los nombres de los archivos temporales son diferentes y debido a que algunos nombres de archivo son diferentes debido a las diferencias entre mayúsculas y minúsculas, pero por supuesto no eran "diferencias relevantes" entre los dos sistemas.

La primera diferencia que no estaba bien era que se estaba cargando una DLL de Access desde \Windows\System32 en el sistema defectuoso, pero desde la carpeta \Program Files\Microsoft Office\Office en el sistema operativo. La comparación de las DLL reveló que la versión en \Windows\System32 era de una versión anterior de Access. Entonces, ¡el usuario cambió el nombre de esa DLL a .bad y re-ran Access ¡y el problema desapareció!

Una clase de problemas Filemon es increíblemente útil para descubrir problemas de permisos de archivos. Muchas aplicaciones realizan un trabajo deficiente de notificar errores de acceso denegado. Sin embargo, al ejecutar Filemon se muestran claramente errores de este tipo, ya que la columna de resultados muestra "ACCESO DENEGADO" para errores al abrir archivos debido a problemas de derechos (y la versión más reciente incluso muestra el nombre de usuario que no pudo acceder al archivo). Dos ejemplos específicos en los que este era el caso:

  1. Un usuario obtenía un error de macro extraño al iniciar Word; resulta que los permisos de un . Se cambió el archivo DOT al que hace referencia una macro para no permitir el acceso de este usuario. Filemon mostró claramente Word obtención de un error de acceso denegado en . Archivo DOT. Una vez corregidos los permisos, el problema desapareció.
  2. Una aplicación de Outlook apareció un cuadro de mensaje que dijo Application defined or object-defined error-Message ID: [Connect].[LoadGlobalVariables].[LN:?].[EN:287]:otro ejemplo de cuántas aplicaciones generan mensajes de error inútiles en errores de E/S aleatorios. De nuevo, al ejecutar Filemon se ha detectado un error de acceso denegado (esta vez en una carpeta a la que Outlook necesitaba acceder). Los permisos se ajustaron en la carpeta y el problema se ha ido.

Estos son solo algunos ejemplos: tengo muchas otras historias de éxito en las que Filemon y Regmon (y el Explorador de procesos, que no discutí aquí) han guardado el día. No es de extrañar que el soporte técnico del producto de Microsoft use estas herramientas diariamente para ayudar a resolver los problemas de los clientes (en el último recuento, algunos 40 artículos de Knowledge Base apuntan a las herramientas de http://www.sysinternals.com/ntw2k/info/mssysinternals.shtml Mark para obtener una lista).

Entonces, cuando sea dudoso, ¡ejecute Filemon y Regmon!

Seminarios expertos de David Solomon David Solomon http://www.solsem.com

NOVEDADES DE SYSINTERNALS

FILEMON V5.01

Filemon, uno de los servicios públicos que David destaca en su editorial, ha experimentado su primera revisión importante en varios años. La nueva versión aporta un nuevo nivel de facilidad de uso a una herramienta que ya tenía una interfaz de usuario accesible. La mejora más importante es el cambio en la forma en que se presenta la actividad del sistema de archivos en la configuración predeterminada de Filemon cuando se ejecuta en Windows NT, 2000, XP o Server 2003, algo que habría estado pensando durante un tiempo y que finalmente implementé en función de los comentarios reales de los usuarios de David.

Las versiones anteriores de Filemon muestran las operaciones del sistema de archivos con los nombres textuales de las solicitudes de E/S internas que ejecutan las operaciones. Si bien es técnicamente necesario en su presentación, muchos usuarios no están familiarizados con el funcionamiento interno del subsistema de E/S de Windows y encuentran operaciones como FASTIO_CHECK_IF_POSSIBLE sin sentido y otras, como un fallo informado de una operación FASTIO_READ, confusa. Hay muchos otros ejemplos de operaciones que la mayoría clasificaría como "ruido" y nombres de operación que no se explican por sí mismos.

El modo de visualización predeterminado de la versión 5.01 de Filemon ahora tiene un mecanismo de filtrado para quitar la actividad que es inútil en la mayoría de los escenarios de solución de problemas y que presenta nombres intuitivos para todas las operaciones de E/S. FASTIO_CHECK_IF_POSSIBLE se filtra, FASTIO_READ no se muestran los fallos y FASTIO_READ que tienen éxito se informan como READ operaciones. Además, la vista predeterminada omite la actividad del sistema de archivos en el proceso del sistema, que es el proceso desde el que el Administrador de memoria y caché realiza la actividad en segundo plano, y toda la actividad de paginación del Administrador de memoria, incluida la del archivo de paginación del sistema. El elemento de Opciones del menú avanzado satisfará a los usuarios, como los desarrolladores de controladores de filtro del sistema de archivos, que desean la vista "sin procesar" de la actividad del sistema de archivos mostrada por versiones anteriores de Filemon.

Varios usuarios, incluidos los empleados de Microsoft, solicitaron que Filemon muestre la cuenta en la que se producen errores de "acceso denegado" para ayudar a la depuración de la configuración de seguridad en entornos de Terminal Services. En la versión de respuesta 5.01 se muestra esa información, así como el modo de acceso (lectura, escritura, eliminación, etc.), un proceso que quiere cuando abre un archivo y cómo se abre un archivo, por ejemplo, si se sobrescribe o se abre solo si existe.

Muchas sesiones de solución de problemas se centran en identificar los archivos a los que un proceso accede o intenta acceder, en cuyo caso las operaciones como lecturas, escrituras y cierres son solo ruido. En reconocimiento de este hecho, he agregado una nueva opción de filtrado "log opens" que le permite aislar solo las operaciones abiertas.

Otro cambio importante es la forma en que Filemon v5.01 controla los recursos compartidos asignados a la red. En versiones anteriores, cada asignación aparece como una letra de unidad en el menú Unidades. Ahora, todas estas asignaciones se incluyen en la selección "Red" del menú Volúmenes (que es el menú Unidades cuyo nombre ha cambiado). Al seleccionar Red, Filemon supervisa todos los recursos compartidos de red, así como también informa la actividad de red de tipo UNC del tipo que ocurre cuando se accede a archivos remotos mediante la convención de nomenclatura "\\computer\share\directory". Este cambio permite ver la actividad de los archivos de red incluso cuando no tiene un recurso compartido de red asignado, tal como lo requerían las versiones anteriores de Filemon. Hay muchos otros cambios menores en la última Filemon, incluida una estructura de menú actualizada que refleja los menús más utilizables que introdujo en Regmon hace varios meses.

Descargar Filemon v5.01 en
http://www.sysinternals.com/ntw2k/source/filemon.shtml

ACERCA DEL CÓDIGO FUENTE DE FILEMON Y REGMON

Los desarrolladores de software, hardware y productos de red apoyan a Sysinternals mediante la compra de licencias para redistribuir nuestro código. Sin embargo, durante el año pasado hemos encontrado una gama de software, desde troyanos hasta productos comerciales de algunas corporaciones multimillonarias, que contienen código fuente de Sysinternals sin licencia. En un esfuerzo por mantener el crecimiento de Sysinternals y nuestros productos con licencia legal, hemos dejado de publicar el código fuente de algunos de nuestros productos, incluidos los últimos lanzamientos de Filemon y Regmon. Continuaremos poniendo el código fuente a disposición de las licencias comerciales. Si descubre réplicas para el código fuente de Sysinternals, háganoslo saber.

DEBUGVIEW V4.2

DebugView es una utilidad de Sysinternals muy popular que los desarrolladores de software utilizan para capturar la salida de depuración generada por su software. La versión v4.2 refleja una serie de mejoras y características solicitadas por el usuario. Una opción solicitada por Microsoft le permite capturar la salida de depuración de los procesos que se ejecutan dentro de la sesión de consola de un entorno de Servicios de Terminal Server cuando ejecuta DebugView en una sesión que no es de consola. V4.2 admite opciones expandidas de línea de comandos que le permiten especificar un archivo de registro para cargar, profundidad de historial y otro comportamiento de inicio. Varios usuarios solicitaron más y más filtros, filtrando los ID de proceso y la capacidad de insertar comentarios en la salida, todo lo cual es posible con la última versión. La nueva versión se completa con varias correcciones de errores, un mejor soporte para extraer la salida del kernel-debug de los archivos de volcado de fallos y mejores ventanas de globo para el texto que excede el ancho de su columna de salida e incluso la pantalla.

Descargar DebugView v4.2 en
http://www.sysinternals.com/ntw2k/freeware/debugview.shtml

NEWSID V4.02

El problema de duplicación de SID (ID de seguridad) es uno que encontrará si usa una imagen de Windows preinstalada para implementar más de un sistema. Cada equipo que comparte la imagen tiene el mismo SID interno de Windows, que es un identificador que el subsistema de seguridad de Windows usa como base para los identificadores de cuenta y grupo local. Debido a los problemas de seguridad, el uso compartido puede hacer que la mayoría de los administradores tomen medidas para aplicar un SID único a cada equipo mediante una herramienta de cambio de SID.

NewSID, SID-changer de Sysinternals, es popular porque, a diferencia de otros modificadores que dependen de DOS o requieren que un sistema esté libre de software de complemento, NewSID es un programa Win32 que puede usar para asignar un nuevo SID a equipos que tienen aplicaciones instaladas. La versión 4.02 es una actualización principal que tiene una nueva interfaz del Asistente, agrega compatibilidad con Windows XP y le permite cambiar el nombre de un equipo.

Una característica solicitada por muchos administradores es la capacidad de NewSID para aplicar un SID que especifique, algo que podría ser útil para migrar la configuración de una instalación a un equipo diferente o para reinstalar. A medida que newSID se ejecuta, hace que el Registro crezca cuando aplica la configuración de seguridad temporal a partes del Registro para que sean accesibles. Este sobredimensionamiento puede hacer que el Registro supere su cuota de tamaño para que una nueva función v4.02 comprima el Registro a su tamaño mínimo como último paso de operación.

Descargue NewSID v4.02 en
http://www.sysinternals.com/ntw2k/source/newsid.shtml

PSSHUTDOWN V2.01

Shutdown es una herramienta que Microsoft ha incluido durante mucho tiempo en el Kit de recursos de Windows y que se incluye en las instalaciones de Windows XP. Antes de la versión 2.01 de PsShutdown, un miembro del kit de herramientas de administración de la línea de comandos de Sysinternals PsTools, era simplemente un clon Shutdown, pero esta versión más reciente amplía sus funcionalidades mucho más allá de las de Shutdown. Por ejemplo, puede apagar y apagar si un sistema admite la administración de energía, bloquear el escritorio y cerrar el inicio de sesión del usuario interactivo, todo en la máquina local o remota, sin instalar manualmente ningún software cliente.

Descargue PsShutdown v2.01 en
http://www.sysinternals.com/ntw2k/freeware/psshutdown.shtml
Descarga de todo el conjunto de herramientas de PsTools en
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

AUTORUNS V2.02

Todos hemos estado molestos por la instalación de applets no deseados que se ejecutan cuando iniciamos sesión y nos frustramos en nuestra búsqueda de su comando de inicio. No es de extrañar que Windows tenga cerca de 2 docenas de mecanismos para dicha activación. La utilidad MsConfig incluida con Windows Me y XP a veces puede ayudar, pero pierde aproximadamente la mitad de las posibles ubicaciones de inicio.

Autoruns, una herramienta Sysinternals escrita por Bryce Cogswell y yo misma, le muestra toda la imagen. Su pantalla muestra una lista de todas las posibles ubicaciones del Registro y de los archivos donde una aplicación puede habilitarse para ejecutarse en el inicio o inicio del sistema. La versión más reciente muestra información de icono y versión de cada imagen configurada por el inicio para facilitar la identificación y agrega mejoras de la interfaz de usuario, como un menú contextual. Además, la nueva versión identifica más ubicaciones de inicio, incluidos scripts de inicio de sesión y de cierre de sesión, tareas del programador de tareas que se ejecutan tras el inicio de sesión y puntos de inicio del complemento Explorer.

Descargue Autoruns v2.01 en
http://www.sysinternals.com/ntw2k/source/misc.shtml

SHAREENUM V1.3

Los administradores de sistemas suelen pasar por alto una parte crítica de la seguridad de red local: carpetas compartidas. Los usuarios de un entorno corporativo suelen crear recursos compartidos en carpetas que contienen documentos con el fin de proporcionar un acceso sencillo a los compañeros de trabajo de su grupo. Desafortunadamente, muchos usuarios no pueden bloquear sus recursos compartidos con la configuración que impiden el acceso no autorizado a información potencialmente confidencial por parte de otros empleados.

ShareEnum es una utilidad Sysinternals escrita por Bryce Cogswell que le ayuda a identificar recursos compartidos no autorizados y a reforzar la seguridad de los válidos. Al iniciar ShareEnum, usa la enumeración NetBIOS para buscar equipos en la red e informa de los recursos compartidos que exportan junto con detalles sobre la configuración de seguridad aplicada a los recursos compartidos. En segundos, puede detectar recursos compartidos abiertos y hacer doble clic en un recurso compartido para abrirlo en el Explorador para que pueda modificar su configuración. También puede usar la característica de exportación de ShareEnum para guardar exámenes y comparar un examen actual con uno que haya guardado anteriormente.

Descargue ShareEnum v1.3 en
http://www.sysinternals.com/ntw2k/source/shareenum.shtml

TCPVIEW V2.31

TCPView es una utilidad gráfica de tipo netstat que muestra una lista de los puntos de conexión TCP y UDP activos de un sistema. En las instalaciones de Windows NT, 2000, XP y Server 2003, se muestra el proceso que posee cada punto de conexión. La versión 2.31 muestra el icono del archivo de imagen de un proceso para facilitar la identificación.

Descargue TCPView v2.31 en
http://www.sysinternals.com/ntw2k/source/tcpview.shtml

BLUESCREEN V3.0

Sysinternals Bluescreen of Death Screensaver ha sido una descarga favorita durante varios años y la versión 3.0 agrega compatibilidad con Windows XP. El protector de pantalla muestra una pantalla azul auténtica de muerte, completa con formato y detalles aleatorios adecuados para el sistema operativo en el que se ejecuta (por ejemplo, Windows NT, 2000 o XP), y después de una pausa simula un ciclo de reinicio y la repetición posterior de una pantalla de bloqueo diferente. Es tan convincente que David Solomon me ha engañado con él y lo he engañado con él. Úselo como protector de pantalla propio o para engañar a sus amigos y compañeros de trabajo, pero asegúrese de que su jefe tiene sentido del humor antes de instalarlo en un sistema de producción.

Descargue Bluescreen v3.0 en
http://www.sysinternals.com/ntw2k/freeware/bluescreensaver.shtml

SYSINTERNALS AT WWW.MICROSOFT.COM

Aquí está la última entrega de referencias de Sysinternals en los artículos de Microsoft Knowledge Base (KB) publicados desde el último boletín de noticias. Me complace informar de que esto lleva a 41 el número total de referencias de KB a Sysinternals.

  • ACC2000: Mensaje de error: El componente ActiveX no puede crear objeto http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q319841&

  • CÓMO: Solucionar problemas de ASP en IIS 5.0 http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q309051&

  • OL2002: Cómo crear complementos COM de Outlook de confianza http://support.microsoft.com/default.aspx?scid=KB;en-us;327657&

  • PRB: Error 80004005 "El motor de base de datos de Microsoft Jet no puede abrir el archivo '(Unknown)'" http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q306269&

  • Error de descarga del perfil de usuario al iniciar, salir o cerrar sesión de NetMeeting http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q327612&

  • XADM: Mensaje de error: Error 123: la sintaxis de nombre de archivo, nombre de directorio o etiqueta de volumen es incorrecta http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q318746&

INFORMACIÓN INTERNA

NUEVO VÍDEO INTERNO DE XP/SERVER 2003

Nuestra nueva actualización de vídeo en los cambios internos de Windows XP/Server 2003 está disponible para la ordenación de versiones preliminares. Como complemento de nuestro tutorial de vídeo existente, INSIDE Windows 2000 o como producto independiente en su propio derecho, este nuevo vídeo proporciona aprendizaje sobre los cambios del kernel en Windows XP y el nuevo producto de Microsoft Windows Server 2003, que se iniciará en abril. Entre los temas tratados se incluyen el rendimiento, la escalabilidad, la compatibilidad de 64 bits, los sistemas de archivos, la confiabilidad y la recuperación.

En el mismo estilo interactivo que su predecesor, Windows XP/Server 2003 Update te pone en el escritorio de David Solomon y Mark Russinovich durante 76 minutos de entrenamiento intensivo y muy centrado. Incluye preguntas de revisión, ejercicios de laboratorio y un libro impreso, y está disponible en vídeo de DVD y Windows Media en CD-ROM.

Dado que estos vídeos se desarrollaron con acceso completo al código fuente y al equipo de desarrollo de Windows, sabes que estás obteniendo la historia real. Como complemento final, Microsoft ha licenciado este vídeo para su formación interna en todo el mundo.

¡PRECIOS ESPECIALES DE PREVENTA SI COMPRA ANTES DEL 15 DE MARZO! Comprar INSIDE Windows 2000 por $950 y obtener la actualización de Windows XP/Server 2003 ¡GRATIS! Eso es casi un 40% de descuento en el valor minorista combinado de $1,390. O bien, compre el vídeo de actualización independiente de Windows XP/Server 2003 por solo $169 (valor comercial de $195). Otras configuraciones de licencia disponibles en el sitio web. Para aprovechar esta oferta de tiempo limitado, solicite ahora en http://www.solsem.com/vid_purchase.html

MARK Y DAVID SOLOMON ENSEÑAN INTERNOS Y SOLUCIÓN DE PROBLEMAS EN BELLEVUE, WA

Óyeme y David Solomon presentan nuestra clase interna de Windows 2000/XP/.NET Server de 3 días en Bellevue, WA (cerca de Seattle) 21-23 de abril. Basado en “Inside Windows 2000, 3rd Edition”, abarca la interrelación de la arquitectura y del kernel de mecanismos clave de componentes del sistema, como subprocesos del sistema, distribución de llamadas del sistema, control de interrupciones, inicio y apagado. Obtenga información sobre técnicas avanzadas de solución de problemas mediante las herramientas de Sysinternals y cómo usar Windbg para el análisis básico del volcado de memoria. Entre los aspectos internos de los subsistemas clave tratados se incluyen los subprocesos y procesos , la programación de subprocesos, la administración de memoria, la seguridad, el sistema de E/S y el administrador de caché. Al comprender los trabajos internos del sistema operativo, puede aprovechar las ventajas de la plataforma de forma más eficaz y eficaz de depurar y solucionar problemas.

Para registrarse o para obtener más información, consulte http://www.sysinternals.com/seminar.shtml

CRITERIOS COMUNES DE WINDOWS 2000 SP3 CERTIFICADOS

Muchos de ustedes probablemente están familiarizados con los términos "Orange Book" y C2, ambos relacionados con un estándar de evaluación de seguridad obsoleto usado a lo largo de los años 1980 y 90 por el gobierno de Estados Unidos para evaluar las capacidades de seguridad del software, incluidos los sistemas operativos. Desde 1999, las clasificaciones del Libro Naranja, que formaban parte del Criterio de Evaluación del Sistema informático de confianza (TCSEC) del Departamento de Defensa, han sido sub sumadas por el sistema de criterios comunes (CC) más reciente. El CC fue acordado por varias naciones como un estándar internacional de clasificaciones de seguridad que es más rico que TSCEC y las clasificaciones obsoletas de Seguridad de la Tecnología de la Información (ITSEC) de Inglaterra.

Cuando un proveedor tiene su software certificado con el estándar CC, especifican un "perfil de protección", que es un conjunto de características de seguridad, y la evaluación notifica un nivel de garantía, conocido como nivel de garantía de evaluación (EAL), que el software cumple los requisitos del perfil de protección. Hay 7 EAL con niveles de garantía más altos que indican una mayor confianza en la confiabilidad de las características de seguridad del software evaluado.

Microsoft envió La clasificación de Windows 2000 para CC contra los perfiles de protección de acceso controlado, que es aproximadamente el equivalente CC de la clasificación TCSEC C2, hace varios años y en octubre de 2002 se completó su evaluación. Science Applications International Corporation (SAIC), la empresa independiente que realizó la evaluación, encontró Windows 2000 con Service Pack 3 para cumplir el perfil de protección de acceso de control con un nivel de garantía de evaluación (EAL) de 4 más corrección de errores. Un EAL de 4 se considera el nivel más alto factible por el software de uso general, y la corrección de errores se refiere al mecanismo de Windows Update para la aplicación oportuna de correcciones de seguridad. Esta clasificación es el nivel más alto alcanzado hasta ahora bajo el CC por un sistema operativo.

VISUAL STUDIO: COLOCAR UN RELOJ EN LASTERROR

Si desarrolla aplicaciones que se basan en la API de Win32, casi seguramente ha escrito código que ejecuta una función Win32, pero por cualquier motivo no notifica errores específicos. Si es así, encontrará esta sugerencia útil. Al añadir la expresión @ERR,hr a la ventana de visualización, verá la representación numérica y textual del valor almacenado como la variable LastError del subproceso actual, que es el valor devuelto por la función GetLastError() Win32.

SE EXPLICA EL VALUE DEL REGISTRO LAMEBUTTONTEXT

Si ha examinado los rastros de Regmon en un sistema Windows 2000 o XP de un inicio de aplicación de Windows, probablemente haya visto referencias al valor del Registro HKCU\Control Panel\Desktop\LameButtonText, generalmente con un NOTFOUND error. Alguien de Microsoft obviamente tiene un sentido del humor, pero ¿para qué es este valor? Resulta que almacena el texto que ves en Windows beta y publica versiones candidatas para lanzamiento en barras de título de ventanas que te dirige a hacer clic en un vínculo para informar de los comentarios. Sería interesante si pudieras habilitarlo en versiones que no sean de versión preliminar de Windows para colocar texto personalizado, pero su funcionalidad está desafortunadamente deshabilitada en las versiones de producción.

HISTORIAL DE DESARROLLO DE WINDOWS

Paul Thurrott tiene una buena serie de artículos de 3 partes en la historia del proceso de desarrollo de Windows NT. Compruébelo en http://www.winsupersite.com/reviews/winserver2k3_gold1.asp.

UNA INTRODUCCIÓN RÁPIDA AL ANÁLISIS DEL VOLCADO DE MEMORIA

Cuando un sistema se bloquea inmediatamente después de instalar el nuevo hardware o software que diagnostica la causa es obvia. A veces, sin embargo, los bloqueos del sistema se producen ocasionalmente y no hay ninguna razón aparente. En tales casos, la única manera de determinar la causa del bloqueo es analizar un volcado de memoria. En este tutorial describiré cómo funciona El análisis de bloqueos en línea (OCA) de Microsoft y cómo puede darle la respuesta a un rompecabezas de bloqueos y, a continuación, le diré cómo configurar su propio entorno de análisis de bloqueos para que pueda echar un vistazo a los bloqueos que OCA no analizará o no se puede analizar correctamente.

Microsoft introdujo OCA con el lanzamiento de Windows XP para ser un servicio de análisis automatizado basado en un repositorio centralizado de información relacionada con bloqueos. Después de reiniciar un sistema XP desde un bloqueo, le pide que envíe información de bloqueo al sitio de OCA (http://oca.microsoft.com/en/Welcome.asp). Si está de acuerdo, XP carga un archivo XML que describe la configuración básica del sistema junto con un archivo de bloqueo de mini volcado de 64 KB. Un mini volcado contiene una pequeña cantidad de datos inmediatamente relevantes para un bloqueo, como el código de bloqueo, la pila del subproceso que se estaba ejecutando en el momento del bloqueo, la lista de controladores cargados en el sistema y las estructuras de datos que administran el proceso en ejecución cuando se produjo el bloqueo.

Una vez que OCA recibe la información que continúa a analizarla y almacena el resumen de análisis en una base de datos. Si sigue el mensaje después de la carga y visita el sitio de OCA, se le ofrece la oportunidad de realizar un seguimiento del análisis. Esto requiere que inicie sesión con una cuenta de Passport. A continuación, escriba un nombre para el bloqueo y algún texto que describa la naturaleza del bloqueo. Si el motor de OCA correlaciona el bloqueo con otros usuarios de la base de datos para la que Microsoft ha identificado una causa, el sitio le notifica por correo electrónico y cuando vuelve a visitar el sitio y busca el bloqueo que envió la resolución le indica dónde obtener un controlador o una actualización del sistema operativo. Desafortunadamente, aunque la compatibilidad con OCA está integrada en XP y acepta archivos de volcado de memoria de Windows 2000, no admite NT 4 y no puede identificar la causa de la mayoría de los bloqueos (al menos en mi experiencia).

Para realizar el análisis de bloqueos usted mismo, necesitará las herramientas adecuadas, que Microsoft proporciona en forma del paquete Herramientas de depuración para Windows que puede descargar desde http://www.microsoft.com/ddk/Debugging/. El paquete incluye, entre otras cosas, la herramienta de análisis Windbg. Después de descargar e instalar las herramientas, ejecute Windbg y abra el archivo |Cuadro de diálogo Ruta de acceso del archivo de símbolos. Allí se indica a Windbg dónde encontrar archivos de símbolos para la versión del sistema operativo desde el que se genera un bloqueo que está analizando. Puede escribir una ruta de acceso a un directorio en el que haya instalado símbolos; sin embargo, es necesario obtener archivos de símbolos para el sistema operativo exacto, Service Pack y correcciones de acceso rápido instaladas en el sistema de bloqueo. Mantenerse al día manualmente con los archivos de símbolos es tedioso y si desea analizar bloqueos de diferentes sistemas, tiene que preocuparse por diferentes conjuntos de archivos de símbolos para cada instalación diferente.

Para evitar problemas con los archivos de símbolos, apunte a Windbg en el servidor de símbolos de Microsoft. Al configurarlo para usar el servidor de símbolos Windbg descarga automáticamente los archivos de símbolos a petición en función del volcado de memoria que abra. El servidor de símbolos almacena símbolos para las versiones beta de NT 4 a Server 2003 y los candidatos de lanzamiento, incluidos service packs y correcciones de acceso rápido. La sintaxis para dirigir Windbg al servidor de símbolos es srv*c:\symbols*http://msdl.microsoft.com/download/symbols. Reemplace c:\symbols con el directorio donde desea almacenar los archivos de símbolos. Para obtener más información sobre los símbolos, consulte http://www.microsoft.com/ddk/debugging/symbols.asp

Hay un paso más que debe realizar antes de que esté listo para analizar los volcados de memoria: configure los sistemas para generarlos. Para ello, abra el applet del sistema en el panel de control y, en Win2k y versiones posteriores, haga clic en el botón Inicio/apagado de la página Avanzadas. En NT 4, vaya a la pestaña Iniciar/Apagar del applet. La única opción de volcado de memoria en sistemas NT 4 es un volcado de memoria completo, donde todo el contenido de la memoria física en el momento de un bloqueo se guarda en el archivo que especifique. En Win2k y versiones posteriores hay tres opciones: mini, kernel y full. Win2K y XP Professional y Inicio predeterminado en mini; el valor predeterminado de los sistemas de servidor es full. En el caso de las máquinas cliente/estación de trabajo, cambie la configuración del volcado de memoria mini al kernel, que solo guarda partes de la memoria física que posee el sistema operativo (en lugar de las aplicaciones), ya que minimiza el tamaño del archivo de volcado de memoria y sigue proporciona información completa sobre las estructuras de datos kernel que Windbg necesita para analizar eficazmente un bloqueo. En el caso de los sistemas Server, los volcados completos están bien, pero los volcados de kernel son una opción segura (y posiblemente su única opción si tiene un sistema de memoria muy grande).

Ahora está listo para analizar un bloqueo. Cuando se produce simplemente cargar el archivo de volcado resultante en Windbg seleccionando el archivo |Abra la opción de menú Volcado de memoria. A medida que el volcado carga Windbg comienza a procesarlo y verá mensajes sobre la versión del sistema operativo y la carga de símbolos. A continuación, verá un mensaje con el texto "Análisis de comprobación de errores". La salida que sigue al mensaje informa los parámetros del código de fallo y del código de fallo, así como un "probablemente causado por".

En algunos casos, el análisis básico de Windbg realiza aquí es suficiente para identificar el controlador o el componente de kernel con errores. Recomiendo, sin embargo, introducir siempre el siguiente comando: !analyze -v. Este comando da como resultado el mismo análisis, pero con más información. Por ejemplo, el texto explicará el significado del código de bloqueo y le indicará lo que representan los parámetros opcionales, a veces con consejos sobre lo que se debe probar a continuación. También verá un seguimiento de la pila, que es un registro de la ejecución de la función que conduce al código en el que se produjo el bloqueo. Si un controlador pasa datos defectuosos al kernel o a un controlador identificado por el análisis, es posible que vea su nombre en el seguimiento y pueda identificarlo como una posible causa principal.

Si quiere profundizar más en el estado del sistema en el momento del bloqueo, hay numerosos comandos de Windbg que le permiten ver la lista de procesos en ejecución, controladores cargados, uso de memoria, etc. El archivo de ayuda de Windbg también contiene una referencia de comprobación de errores con la que recomiendo realizar un seguimiento para obtener más información e instrucciones, y si todavía termina desaprotegido, recomiendo que realice una búsqueda en Knowledge Base (KB) de Microsoft para el código de bloqueo. Microsoft crea artículos de KB para bloqueos comunes y le lleva a sitios de proveedor o correcciones de acceso frecuente que solucionan problemas concretos.

Si quieres verme presentar esta información en directo, con ejemplos, echa un vistazo a cualquiera de las siguientes conferencias:

  • El seminario interno y de solución de problemas que David y yo impartiremos en abril en Bellevue, WA
  • Conexiones de Windows y .NET Magazine en Scottsdale, AZ en mayo: http://www.winconnections.com/win
  • TechEd US (Dallas) o TechEd Europa (en Barcelona) este verano

Gracias por leer el Boletín de Sysinternals.

Publicado miércoles 19 de febrero de 2003 4:47 p. m. por ottoh

[Archivo de boletines ^][< Volumen 4, Número 3][Volumen 5, Número 2 >]