19 de fevereiro de 2003 - Nesta edição:

  1. EDITORIAL

  2. O QUE HÁ DE NOVO NA SYSINTERNALS

    • Filemon v5.01
    • DebugView v4.2
    • NewSID v4.02
    • PsShutdown v2.01
    • Autoruns v2.02
    • ShareEnum v1.3
    • TCPView v2.31
    • Bluescreen v3.0
    • Sysinternals na Microsoft
  3. INFORMAÇÃO INTERNA

    • Novo vídeo interno XP/Servidor 2003
    • Mark e David Solomon ensinam interiores e resolução de problemas em Seattle
    • Windows 2000 SP3 Critérios Comuns Certificados
    • Visual Studio: Ponha um relógio no LastError
    • O valor do registo de LameButtonText explicado
    • História do Desenvolvimento Windows
    • Introdução à Análise de Despejo de Acidentes

A Newsletter Sysinternals é patrocinada pela Winternals Software, na Web http://www.winternals.com. Winternals Software é o principal desenvolvedor e fornecedor de ferramentas avançadas de sistemas para Windows NT/2K/XP. Os produtos de Software Winternals incluem ERD Commander 2002, NTFSDOS Professional Edition (um controlador NTFS de leitura/escrita para DOS) e Recuperação Remota.

Winternals orgulha-se de anunciar a versão 2.10 do Defrag Manager, o mais rápido e minucioso defragmentr disponíveis. Agora você pode gerir horários de desfragmentação em toda a sua empresa Windows a partir de um simples snapin MMC - sem sequer ter que instalar qualquer software cliente no seu sistema NT, Windows 2000 ou Windows XP. Visite http://www.winternals.com/es para mais informações ou para solicitar uma versão gratuita de 30 dias de teste.

Olá a todos,

Bem-vindos ao boletim dos Sysinternals. O boletim tem atualmente 36.000 subscritores.

Tenho o prazer de informá-lo que David Solomon é o autor convidado do editorial deste mês, onde ele descreve algumas das suas experiências de resolução de problemas no mundo real com vários utilitários Sysinternals.

Por favor, passe a newsletter a amigos que acha que podem estar interessados no seu conteúdo.

Obrigado!

- Marca

EDITORIAL - por David Solomon

Tenho um novo lema: "Em caso de dúvida, corra Filemon e Regmon (e Process Explorer)".

Antes de explicar, deixe-me primeiro agradecer ao Mark por me convidar a escrever este editorial convidado (claro, uma vez que este um relatório brilhante sobre como as suas ferramentas são úteis, não é como se ele estivesse me fazendo um grande favor ou qualquer coisa!).

Como muitos de vós sabem, o Mark e eu trabalhamos juntos para ajudar a educar as pessoas sobre os internos da Windows. O nosso mais recente projeto foi uma atualização do tutorial de vídeo Windows 2000 internos que criámos no ano passado para cobrir as mudanças de kernel no Windows XP e Windows Server 2003, e a nossa próxima aula de Windows interna é 21 a 23 de abril em Bellevue, Washington- veja detalhes sobre ambas as secções relevantes desta newsletter. E, como muitos nos pediram, estamos no processo do nosso livro Inside Windows 2000 para xp & Server 2003 (a data de lançamento provisória é final do verão).

E agora, por que estou tão entusiasmado com as ferramentas Sysinternals? Porque no último ano ou assim, ajudaram-me a resolver problemas e a resolver uma grande variedade de aplicações e problemas de sistema que de outra forma seriam insolúveis. Na verdade, não consigo descrever o número de problemas totalmente diferentes e não relacionados que consegui resolver problemas com estas ferramentas. Mesmo nos casos em que não pensei que ajudassem, ajudaram. Daí o meu novo lema: "Em caso de dúvida, gere o Filemon e o Regmon".

Há duas técnicas básicas que encontrei para aplicar estas ferramentas:

  1. Veja a última coisa no filemon/Regmon que a aplicação fez antes de falhar. Isto pode apontar para o problema.
  2. Compare um traço Filemon/Regmon da aplicação falhada com um traço de um sistema de trabalho.

Na primeira abordagem, executar Filemon e Regmon, em seguida, executar a aplicação. No momento em que ocorre a falha, volte ao Filemon e ao Regmon e pare a exploração (prima CONTROL+E). Em seguida, vá até ao fim do log e encontre as últimas operações realizadas pela aplicação antes de falhar (despenhou-se, pendurou ou seja o que for). Começando com a última linha, trabalhe para trás examinando os ficheiros e/ou chaves de registo referenciadas -muitas vezes isto ajudará a identificar o problema.

Utilize a segunda abordagem quando a aplicação falha num sistema, mas funciona noutro. Capture um traço filemon e regmon da aplicação no sistema de funcionamento e falha e guarde a saída para um ficheiro de registo. Em seguida, abra os ficheiros de registo bom e mau com Excel (tome os predefinidos no assistente de importação) e elimine as primeiras 3 colunas (caso contrário, a comparação aparecerá todas as linhas como diferentes, uma vez que as primeiras 3 colunas contêm informações diferentes de correr para correr, como o tempo e o id do processo). Por fim, compare os ficheiros de registo resultantes (por exemplo, com o WinDiff, que no Windows XP está incluído nas Ferramentas de Suporte gratuitas que pode instalar no CD XP, ou por Windows NT4 e Windows 2000 pode encontrá-lo no Kit de Recursos).

Agora, alguns exemplos da vida real.

Numa Windows estação de trabalho de 2000 com Microsoft Office 97 instalado, o Word receberia um Dr. Watson pouco depois de começar. Podias escrever alguns caracteres antes do Dr. Watson ocorrer, mas se escrevesses alguma coisa ou não, dentro de alguns segundos de partida, o Word ia cair. É claro que o utilizador tinha tentado desinstalar e reinstalar Office, mas o problema manteve-se. Então, investiguei o Filemon e o Regmon e olhei para a última coisa feita pelo Word antes de morrer. Os vestígios de Filemon mostraram que a última coisa que o Word fez foi abrir uma impressora HP DLL. Acontece que a estação de trabalho não tinha impressora, mas aparentemente tinha uma vez. Então, apaguei a impressora HP do sistema e o problema desapareceu!

Aparentemente, o Word está a enumerar as impressoras no arranque fez com que este DLL carregasse, o que, por sua vez, fez com que o processo morresse (porque é que isto aconteceu, talvez o utilizador tenha instalado uma versão falsa; mas como o sistema já não tinha uma impressora, não importava).

Noutro exemplo, o Regmon salvou um utilizador de fazer uma reinstalação completa do seu sistema de ambiente de trabalho Windows XP. O sintoma era que o Internet Explorer (IE) se manteria no arranque se o utilizador não ligasse manualmente a ligação à Internet. Esta ligação à Internet foi definida como a ligação padrão para o sistema, pelo que iniciar o IE deveria ter causado um acesso automático à internet (porque o IE estava programado para apresentar uma página inicial predefinida no arranque). Seguindo o meu novo lema, corri filemon e Regmon e olhei para trás do ponto no log onde iE pendia. Filemon não mostrou nada de anormal, mas o registo Regmon mostrou uma consulta a uma HKEY_CURRENT_USER\Software\Microsoft\RAS Phonebook\ATT chave. O utilizador tinha-me dito que tinha o programa de marcação AT & T instalado uma vez, mas tinha-o desinstalado e criado manualmente a ligação de acesso. Como o nome da ligação de acesso não era "ATT", suspeitei que este fosse deixado sobre o lixo do registo da desinstalação que estava a causar o engasgo do IE. Rebatizei a chave e o problema desapareceu!

A utilização da técnica de "comparar os registos" ajudou a resolver o porquê do Access 2000 estar pendurado na estação de trabalho de um programador, tentando importar um ficheiro Excel. Importar o mesmo ficheiro funcionou bem nos postos de trabalho de outros utilizadores, mas falhou neste posto de trabalho. Então, foi feita uma captura do Access no sistema de funcionamento e falha. Depois de massajar adequadamente os ficheiros de registo, foram comparados com o Windiff. As primeiras diferenças foram devido ao facto de os nomes de ficheiros temporários serem diferentes e de alguns nomes de ficheiros serem diferentes devido a diferenças de casos, mas é claro que estas não eram "diferenças relevantes" entre os dois sistemas.

A primeira diferença que não estava bem foi que um DLL de acesso estava a ser carregado a partir do \Windows\System32 sistema de falha, mas a partir da \Program Files\Microsoft Office\Office pasta no sistema de trabalho. Comparando os DLLs revelou que a versão era \Windows\System32 de uma versão anterior do Access. Assim, o utilizador renomeou o DLL para .bad e re-correu Access e o problema desapareceu!

Uma classe de problemas filemon é incrivelmente útil para é descobrir problemas de permissão de ficheiros. Muitas aplicações fazem um mau trabalho de reportar erros negados. No entanto, a execução do Filemon revela claramente falhas deste tipo, uma vez que a coluna de resultados mostra "ACCESS DENIED" por falhas na abertura de ficheiros devido a problemas de direitos (e a versão mais recente mostra mesmo o nome de utilizador que não acedeu ao ficheiro). Dois exemplos específicos em que foi o caso:

  1. Um utilizador estava a receber um estranho erro macro ao iniciar o Word; verifica-se as permissões em um . O ficheiro DOT referenciado por uma macro foi alterado para não permitir o acesso deste utilizador. Filemon mostrou claramente que o Word teve um erro negado de acesso no . Ficheiro DOT. Uma vez que as permissões foram corrigidas, o problema foi-se.
  2. Uma aplicação Outlook apareceu uma caixa de mensagens que dizia Application defined or object-defined error-Message ID: [Connect].[LoadGlobalVariables].[LN:?].[EN:287] - outro exemplo de quantas aplicações geram mensagens de erro inúteis em falhas de I/S aleatórias. Mais uma vez, a execução do Filemon revelou um erro negado de acesso (desta vez a uma pasta que Outlook necessária para aceder). As permissões foram ajustadas na pasta e o problema desapareceu.

Estes são apenas alguns exemplos - tenho muitas outras histórias de sucesso onde Filemon e Regmon (e Process Explorer, que eu não discuti aqui) salvaram o dia. Não admira que o Microsoft Product Support utilize estas ferramentas diariamente para ajudar a resolver problemas de clientes (na última contagem, cerca de 40 artigos da Base de Conhecimento apontam para as ferramentas de Mark http://www.sysinternals.com/ntw2k/info/mssysinternals.shtml para ver uma lista).

Então, em caso de dúvida, corra Filemon e Regmon!

Seminários de David Solomon David Solomon http://www.solsem.com

O QUE HÁ DE NOVO NA SYSINTERNALS

FILEMON V5.01

Filemon, um dos utilitários que David destaca no seu editorial, sofreu a sua primeira grande revisão em vários anos. O novo lançamento traz um novo nível de usabilidade a uma ferramenta que já tinha uma interface de utilizador acessível. A melhoria mais significativa é a alteração da forma como a atividade do sistema de ficheiros é apresentada na definição padrão do Filemon quando executada em Windows NT, 2000, XP ou Server 2003, algo em que estive a pensar há algum tempo e que finalmente implementei com base no feedback real do utilizador do David.

Versões anteriores do sistema de ficheiros de exibição de Filemon com os nomes texucionais dos pedidos internos de E/S que executam as operações. Embora tecnicamente preciso na sua apresentação, muitos utilizadores não estão familiarizados com o funcionamento interno do subsistema de I/O Windows e encontram operações como FASTIO_CHECK_IF_POSSIBLE insignificantes e outras, como uma falha reportada de uma FASTIO_READ operação, confusa. Existem muitos outros exemplos de operações que a maioria classificaria como "ruído" e nomes de operação que não são autoexplicativos.

O modo de visualização padrão da versão 5.01 do Filemon tem agora um mecanismo de filtragem para remover a atividade que é inútil na maioria dos cenários de resolução de problemas e que apresenta nomes intuitivos para todas as operações de E/S. FASTIO_CHECK_IF_POSSIBLE é filtrado, FASTIO_READ falhas não são mostradas, e FASTIO_READ 's que sucesso são reportados como READ operações. Além disso, a visão padrão omite a atividade do sistema de ficheiros no processo do Sistema, que é o processo a partir do qual o Gestor de Memória e Cache realiza atividade de fundo, e toda a atividade de paging do Gestor de Memória, incluindo a do ficheiro de paging do sistema. As opções| O item avançado do menu irá satisfazer os utilizadores, como os desenvolvedores de filtros de sistema de ficheiros, que querem a visão "crua" da atividade do sistema de ficheiros mostrada pelas versões anteriores do Filemon.

Vários utilizadores, incluindo funcionários da Microsoft, solicitaram que o Filemon mostrasse a conta na qual ocorrem erros de "acesso negados" para ajudar as definições de segurança a depurar em ambientes de Terminal Services. Na versão de resposta 5.01 mostra essa informação, bem como o modo de acesso (ler, escrever, excluir, etc), um processo quer quando abre um ficheiro e como um ficheiro está a ser aberto, por exemplo, se está a ser substituído ou aberto apenas se existir.

Muitas sessões de resolução de problemas focam-se em identificar os ficheiros que um processo acede ou tenta aceder, caso em que operações como leituras, escritas e encerramentos são apenas ruído. Em reconhecimento a este facto, adicionei uma nova opção de filtragem "log opens" que lhe permite isolar apenas operações abertas.

Outra grande mudança está na forma como o Filemon v5.01 lida com ações mapeadas pela rede. Em versões anteriores, cada mapeamento aparece como uma letra de unidade no menu Drives. Agora, todos esses mapeamentos são incluídos na seleção "Rede" do menu Volumes (que é o menu Drives renomeado). A seleção da Rede tem monitor de filemon todas as partilhas de rede, bem como reportar a atividade de rede do tipo UNC do tipo que ocorre quando acede a ficheiros remotos usando a \\computer\share\directory convenção de nomeação " " Esta alteração permite visualizar a atividade de ficheiros de rede mesmo quando não tem uma partilha de rede mapeada, como era exigido pelas versões anteriores do Filemon. Existem inúmeras outras pequenas alterações ao mais recente Filemon, incluindo uma estrutura de menus atualizada que espelha os menus mais utilizáveis que introduzi em Regmon há vários meses.

Baixar Filemon v5.01 em
http://www.sysinternals.com/ntw2k/source/filemon.shtml

SOBRE FILEMON E CÓDIGO FONTE REGMON

Os desenvolvedores de software, hardware e produtos de rede suportam sysinternals comprando licenças para redistribuir o nosso código. No entanto, durante o ano passado, encontramos uma gama de software, desde cavalos de Troia a produtos comerciais de algumas empresas multimilionárias, contendo código fonte Sysinternals não licenciado. Num esforço para manter a Sysinternals a crescer e os nossos produtos legalmente licenciados, suspendemos a publicação do código fonte para alguns dos nossos produtos, incluindo os mais recentes lançamentos de Filemon e Regmon. Continuaremos a disponibilizar código fonte aos licenciados comerciais. Se descobrir espelhos para o código fonte Sysinternals, por favor, avise-nos.

DEBUGVIEW V4.2

DebugView é um utilitário Sysinternals muito popular que os desenvolvedores de software usam para capturar a produção de depurg gerada pelo seu software. A versão v4.2 reflete uma série de melhorias e funcionalidades solicitadas pelo utilizador. Uma opção solicitada pela Microsoft permite-lhe capturar a saída de depuração de processos executados na sessão de consola de um ambiente de Terminal Services quando executa o DebugView numa sessão sem consola. O V4.2 suporta opções de linha de comando expandidas que lhe permitem especificar um ficheiro de registo para carregar, profundidade de histórico e outros comportamentos de arranque. Vários utilizadores solicitaram filtros cada vez mais longos, filtrando os IDs do processo e a capacidade de inserir comentários na saída, todos os quais são possíveis com a versão mais recente. O novo lançamento é completado com várias correções de bugs, melhor suporte para extrair saída de kernel-depurg de ficheiros de despejo de falhas, e melhores janelas de balão para texto que exceda a largura da sua coluna de saída e até mesmo o ecrã.

Baixar DebugView v4.2 em
http://www.sysinternals.com/ntw2k/freeware/debugview.shtml

NEWSID V4.02

O problema de duplicação SID (Security ID) é um problema que irá encontrar se utilizar uma imagem de pré-instalação Windows para implantar mais do que um sistema. Cada computador que partilha a imagem tem o mesmo Windows SID interno, que é um identificador que o subsistema de segurança Windows usa como base para o grupo local e identificadores de contas. Devido aos problemas de segurança, a partilha pode fazer com que a maioria dos administradores tome medidas para aplicar um SID único em cada computador usando uma ferramenta de mudança de SID.

NewSID, o SID-changer sid da Sysinternals, é popular porque, ao contrário de outros alteradores que dependem do DOS ou exigem que um sistema seja livre de software add-on, o NewSID é um programa Win32 que podes usar para atribuir um novo SID a computadores que tenham instalado aplicações. A versão 4.02 é uma grande atualização que tem uma nova interface wizard, adiciona suporte para Windows XP, e permite-lhe mudar o nome de um computador.

Uma funcionalidade solicitada por muitos administradores é a capacidade de Aplicação de um SID que especifique, algo que pode ser útil para migrar as definições de uma instalação para um computador diferente ou para reinstalar. À medida que o NewSID executa, faz com que o Registo cresça quando aplica definições temporárias de segurança a partes do Registo, de modo a torná-los acessíveis. Este inchaço pode fazer com que o Registo exceda a sua quota de tamanho, pelo que uma nova função v4.02 comprime o Registo ao seu tamanho mínimo como último passo de funcionamento.

Baixar NewSID v4.02 em
http://www.sysinternals.com/ntw2k/source/newsid.shtml

PSSHUTDOWN V2.01

O encerramento é uma ferramenta que a Microsoft há muito está incluída no Windows Resource Kit e que está incluída nas instalações Windows XP. Antes de v2.01 PsShutdown, um membro da Sysinternals PsTools comando-line administration toolkit, era simplesmente um clone Shutdown, mas este último lançamento expande as suas capacidades muito para além das de Shutdown. Por exemplo, pode desligar e desligar se um sistema suportar a gestão de energia, bloquear o ambiente de trabalho e colocar o utilizador interativo, tudo no local ou numa máquina remota, sem instalar manualmente qualquer software do cliente.

Baixar PsShutdown v2.01 em
http://www.sysinternals.com/ntw2k/freeware/psshutdown.shtml
Descarregue toda a suite PsTools em
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

AUTORUNS V2.02

Todos nós ficamos irritados com a instalação de maçãs indesejadas que funcionam quando entramos e ficamos frustrados na nossa busca pelo comando de arranque. Não admira que quando Windows tenha perto de 2 dúzias de mecanismos para tal ativação. O utilitário MsConfig incluído com Windows Me e XP pode por vezes ajudar, mas perde cerca de metade das possíveis localizações de arranque.

Autoruns, uma ferramenta Sysinternals escrita por Bryce Cogswell e por mim, mostra-lhe toda a imagem. O seu ecrã mostra uma lista de todos os locais possíveis de Registo e arquivo onde uma aplicação pode permitir-se executar no arranque ou início do sistema. A versão mais recente apresenta informações de ícones e versão para cada imagem configurada por arranque para uma identificação fácil e adiciona melhorias na interface de utilizador como um menu de contexto. Além disso, a nova versão identifica mais localizações de startups, incluindo scripts de logon e logoff, tarefas de agendamento de tarefas que executam após a entrada e pontos de lançamento adicionais do Explorer.

Baixar Autoruns v2.01 em
http://www.sysinternals.com/ntw2k/source/misc.shtml

SHAREENUM V1.3

Os administradores de sistemas muitas vezes ignoram uma parte crítica da segurança da rede local: pastas partilhadas. Os utilizadores dentro de um ambiente corporativo criam frequentemente partilhas a pastas que contêm documentos de forma a facilitar o acesso aos colegas de trabalho do seu grupo. Infelizmente, muitos utilizadores não conseguem bloquear as suas ações com configurações que impedem o acesso não autorizado a informações potencialmente sensíveis por parte de outros funcionários.

ShareEnum é um utilitário Sysinternals escrito por Bryce Cogswell que o ajuda a identificar ações fraudulentas e reforçar a segurança em partes válidas. Quando inicia o ShareEnum, utiliza a enumeração do NetBIOS para localizar computadores na sua rede e reporta as ações que exportam juntamente com detalhes sobre as definições de segurança aplicadas às ações. Em poucos segundos pode detetar ações abertas e clicar duas vezes numa partilha para abri-la no Explorer para que possa modificar as suas definições. Também pode utilizar a funcionalidade de exportação do ShareEnum para guardar as sondagens e comparar uma verificação de corrente com a que já guardou anteriormente.

Baixar ShareEnum v1.3 em
http://www.sysinternals.com/ntw2k/source/shareenum.shtml

TCPVIEW V2.31

TCPView é um utilitário gráfico do tipo netstat que apresenta uma lista dos pontos finais ativos de TCP e UDP de um sistema. Nas instalações Windows NT, 2000, XP e Server 2003 mostra-lhe o processo que detém cada ponto final. A versão 2.31 exibe o ícone de um ficheiro de imagem de processo para uma identificação mais fácil.

Baixar TCPView v2.31 em
http://www.sysinternals.com/ntw2k/source/tcpview.shtml

BLUESCREEN V3.0

O Sysinternals Bluescreen of Death Screensaver tem sido um download favorito há vários anos e a versão 3.0 adiciona Windows compatibilidade XP. O screensaver exibe um ecrã azul autêntico da morte, completo com formatação e detalhes aleatórios apropriados ao sistema operativo em que funciona (por exemplo, Windows NT, 2000 ou XP), e após uma pausa simula um ciclo de reinicialização e subsequente repetição de um ecrã de colisão diferente. É tão convincente que o David Solomon me enganou e eu enganei-o com isso. Use-o como seu próprio protetor de ecrã ou para enganar os seus amigos e colegas de trabalho, mas certifique-se de que o seu chefe tem sentido de humor antes de instalá-lo num sistema de produção.

Baixar Bluescreen v3.0 em
http://www.sysinternals.com/ntw2k/freeware/bluescreensaver.shtml

SYSINTERNALS NA WWW.MICROSOFT.COM

Aqui está a mais recente versão das referências Sysinternals em artigos da Microsoft Knowledge Base (KB) lançados desde a última newsletter. É uma honra informar que isto eleva para 41 o número total de referências de KB a Sysinternals.

  • ACC2000: Error Message: ActiveX Component Can't Create Object http://support.microsoft.com/default.aspx?scid=KB ; EN-US; Q319841&

  • COMO: Resolução de problemas ASP no IIS 5.0; http://support.microsoft.com/default.aspx?scid=KB EN-US; Q309051&

  • OL2002: Como criar Add-ins com com Outlook fidedignos http://support.microsoft.com/default.aspx?scid=KB ;en-us;327657&

  • PRB: Error 80004005 "The Microsoft Jet Database Engine Can Can Open the File '(Unknown)"; http://support.microsoft.com/default.aspx?scid=KB EN-US; Q306269&

  • Falha de descarregamento do perfil do utilizador quando inicia, desiste ou regista netMeeting http://support.microsoft.com/default.aspx?scid=KB ; EN-US; Q327612&

  • XADM: Error Message: Error 123: The Filename, Directory Name ou Volume Label Syntax Is Incorrect http://support.microsoft.com/default.aspx?scid=KB ; EN-US; Q318746&

INFORMAÇÃO INTERNA

NOVO VÍDEO INTERNOS XP/SERVER 2003

A nossa nova atualização de vídeo sobre Windows alterações internas do XP/Server 2003 está disponível para encomenda prévia! Como adjunto do nosso tutorial de vídeo existente, INSIDE Windows 2000, ou como um produto autónomo por si só, este novo vídeo fornece formação sobre as mudanças no kernel no Windows XP e o novo produto da Microsoft Windows Server 2003, que será lançado em abril. Os tópicos abordados incluem desempenho, escalabilidade, suporte de 64 bits, sistemas de ficheiros, fiabilidade e recuperação.

No mesmo estilo interativo que o seu antecessor, a atualização Windows XP/Server 2003 coloca-o em cima da mesa de David Solomon e Mark Russinovich durante 76 minutos de treino intensivo e altamente focado. Inclui perguntas de revisão, exercícios laboratoriais e um livro impresso, e está disponível em vídeo em DVD e Windows Media em CD-ROM.

Como estes vídeos foram desenvolvidos com acesso total à equipa de código e desenvolvimento Windows, sabes que estás a receber a verdadeira história. Como o último elogio, a Microsoft licenciou este vídeo para a sua formação interna em todo o mundo.

PREÇO ESPECIAL PRÉ-LANÇAMENTO SE COMPRAR ANTES DE 15 DE MARÇO! Compre INSIDE Windows 2000 por $950 e obtenha o Windows XP/Server 2003 Update FREE! É quase 40% de desconto no valor combinado de venda a retalho de $1.390. Ou, compre o vídeo autónomo Windows XP/Server 2003 Update por apenas $169 (valor de varejo de $195). Outras configurações de licença disponíveis no site. Para tirar partido desta oferta de tempo limitado, encomende agora em http://www.solsem.com/vid_purchase.html

MARK E DAVID SOLOMON ENSINAM INTERNA E RESOLUÇÃO DE PROBLEMAS EM BELLEVUE, WA

Ouçam-me a mim e ao David Solomon apresentam a nossa aula de 3 dias Windows 2000/XP/.NET Server internos em Bellevue, WA (perto de Seattle) de 21 a 23 de abril. Baseado em "Inside Windows 2000, 3rd Edition", abrange a inter-ligação de arquitetura kernel & de mecanismos de componentes do sistema chave, tais como fios de & sistema, despacho de chamadas de sistema, interrupção do manuseamento, && paragem de arranque. Aprenda técnicas avançadas de resolução de problemas utilizando as ferramentas Sysinternals e como usar o Windbg para análise básica do despejo de acidentes. Os internos dos principais subsistemas abrangidos incluem fios de & processos, agendamento de fios, gestão de memória, segurança, o sistema de E/S e o gestor de cache. Ao compreender o funcionamento interno do SO, pode aproveitar a plataforma de forma mais eficaz e mais eficaz e resolver problemas.

Para se registar ou para mais informações ver http://www.sysinternals.com/seminar.shtml

CRITÉRIOS COMUNS DO WINDOWS 2000 SP3 CERTIFICADOS

Muitos de vós estão provavelmente familiarizados com os termos "Orange Book" e C2, ambos relacionados com um padrão de avaliação de segurança desatualizado usado ao longo dos anos 80 e 90 pelo governo dos EUA para avaliar as capacidades de segurança do software, incluindo sistemas operativos. Desde 1999, as classificações do Orange Book, que faziam parte dos Critérios de Avaliação do Sistema Informático Fidedignos do Departamento de Defesa (TCSEC), foram subsumidas pelo mais recente sistema de Critérios Comuns (CC). O CC foi acordado por várias nações como um padrão de classificação de segurança internacional mais rico do que as classificações obsoletas de Segurança das Tecnologias de Informação (ITSEC) da Inglaterra.

Quando um fornecedor tem o seu software certificado contra a norma CC, especificam um "perfil de proteção", que é um conjunto de funcionalidades de segurança, e a avaliação reporta um nível de garantia, conhecido como Nível de Garantia de Avaliação (EAL), de que o software cumpre os requisitos do perfil de proteção. Existem 7 EALs com níveis de garantia mais elevados que indicam uma maior confiança na fiabilidade das funcionalidades de segurança do software avaliado.

A Microsoft apresentou Windows 2000 para a classificação CC contra os Perfis de Proteção de Acesso Controlado, que é aproximadamente o equivalente CC da classificação C2 do TCSEC, há vários anos e em outubro de 2002 a sua avaliação concluída. A Science Applications International Corporation (SAIC), a empresa independente que realizou a avaliação, encontrou Windows 2000 com o Service Pack 3 para cumprir o Perfil de Proteção de Acesso ao Controlo com um Nível de Garantia de Avaliação (EAL) de 4 mais Remediação de Falhas. Um EAL de 4 é considerado o nível mais alto alcançável por software de finalidade geral, e a Correção de Falhas refere-se ao mecanismo de Atualização Windows para aplicação atemea de correções de segurança. Esta classificação é o nível mais elevado alcançado até agora no âmbito do CC por um sistema operativo.

ESTÚDIO VISUAL: PONHA UM RELÓGIO EM LASTERROR

Se desenvolver aplicações que dependem da API Win32, então quase de certeza que escreveu código que executa uma função Win32, mas por qualquer razão não reporta erros específicos. Em caso afirmativo, encontrará esta dica útil. Ao adicionar a expressão @ERR,hr à janela do relógio, verá a representação numérica e textual do valor armazenado como variável do fio LastError atual, que é o valor devolvido pela GetLastError() função Win32.

O VALOR DO REGISTO DE LAMEBUTTONTEXT EXPLICADO

Se examinou os vestígios do Regmon num sistema de Windows de 2000 ou XP de uma startup de aplicações Windows provavelmente já viu referências ao valor do Registo HKCU\Control Panel\Desktop\LameButtonText , normalmente com um NOTFOUND erro. Alguém na Microsoft obviamente tem senso de humor, mas para que é este valor? Acontece que armazena o texto que vê na Windows versão beta e lança lançamentos de candidatos em barras de título de janela que o direcionam a clicar num link para relatar feedback. Seria fixe se pudesse permitir que em versões não pré-lançamento de Windows colocasse texto personalizado, mas infelizmente a sua funcionalidade é desativada nas versões de produção.

HISTÓRIA DO DESENVOLVIMENTO DO WINDOWS

Paul Thurrott tem uma série de artigos em 3 partes que está na história do processo de desenvolvimento do NT Windows. Confira em http://www.winsupersite.com/reviews/winserver2k3_gold1.asp

UMA RÁPIDA INTRODUÇÃO À ANÁLISE DO DESPEJO DE CRASH

Quando um sistema falha imediatamente após ter instalado um novo hardware ou software que diagnostica a causa é óbvio. Às vezes, no entanto, falhas no sistema ocorrem ocasionalmente e não há razão aparente. Nesses casos, a única maneira de determinar a causa do acidente é analisar um depósito de colisão. Neste tutorial vou descrever como funciona a Análise de Acidentes Online (OCA) da Microsoft e como pode dar-lhe a resposta a um puzzle de falhas e, em seguida, dizer-lhe como configurar o seu próprio ambiente de análise de acidentes para que possa dar uma olhada em falhas que o OCA não irá ou não pode analisar com sucesso.

A Microsoft introduziu o OCA com o lançamento de Windows XP para ser um serviço de análise automatizado baseado num repositório centralizado de informações relacionadas com acidentes. Depois de um sistema XP reiniciar de uma falha, pede-lhe que envie informações de acidente para o site da OCA (http://oca.microsoft.com/en/Welcome.asp). Se estiver de acordo, o XP carrega um ficheiro XML que descreve a configuração básica do sistema juntamente com um ficheiro de falha de minidump de 64 KB. Uma minidump contém uma pequena quantidade de dados imediatamente relevantes para uma falha como o código de colisão, a pilha do fio que estava a ser executada no momento do acidente, a lista de condutores carregados no sistema, e as estruturas de dados que gerem o processo em execução quando o acidente aconteceu.

Assim que o OCA recebe a informação, procede à sua análise e armazena o resumo da análise numa base de dados. Se seguir o pedido após o upload e visitar o site da OCA, é-lhe oferecida a oportunidade de acompanhar a análise. Isto requer que faça s-00 com uma conta passport. Em seguida, introduz um nome para o acidente e algum texto descrevendo a natureza do acidente. Se o motor OCA correlacionar o acidente com outros na base de dados para o qual a Microsoft identificou uma causa, o site notifica-o por e-mail e quando revisita o site e procura o acidente, a resolução diz-lhe onde deve obter um controlador ou atualização do sistema operativo. Infelizmente, enquanto o suporte do OCA é incorporado em XP e aceita Windows ficheiros de despejo de acidentes de 2000, não suporta o NT 4 e não consegue identificar a causa da maioria dos acidentes (pelo menos na minha experiência).

Para realizar a análise de crash si mesmo, você precisará das ferramentas apropriadas, que a Microsoft fornece sob a forma de Ferramentas de Depuragem para Windows pacote que você pode baixar a partir dehttp://www.microsoft.com/ddk/Debugging/. O pacote inclui, entre outras coisas, a ferramenta de análise Windbg. Depois de ter descarregado e instalado as ferramentas, corra o Windbg e abra o Ficheiro| Diálogo de trajetória de arquivo de símbolo. Aí diz ao Windbg onde encontrar ficheiros de símbolos para a versão do sistema operativo a partir do qual se gerou uma falha que está a analisar. Pode introduzir um caminho para um diretório onde instalou símbolos, no entanto, isso requer que obtenha ficheiros de símbolos para o sistema operativo exato, o pacote de serviços e as correções quentes instaladas no sistema de colisão. Acompanhar manualmente os ficheiros de símbolos é aborrecido e se quiser analisar falhas de diferentes sistemas, tem de se preocupar com diferentes conjuntos de ficheiros de símbolos para cada instalação diferente.

Pode evitar o incómodo do ficheiro do símbolo apontando o Windbg para o servidor de símbolos da Microsoft. Quando o configurar para utilizar o servidor de símbolos, o Windbg descarrega automaticamente ficheiros de símbolos a pedido com base no despejo de falhas que abre. O servidor de símbolos armazena símbolos para NT 4 através de betas do Servidor 2003 e lança candidatos, incluindo pacotes de serviços e correções quentes. A sintaxe para direcionar o Windbg para o servidor de símbolos é srv*c:\symbols*http://msdl.microsoft.com/download/symbols . c:\symbolsSubstitua-o pelo diretório onde pretende guardar ficheiros de símbolos. Para obter mais informações sobre símbolos, consulte http://www.microsoft.com/ddk/debugging/symbols.asp

Há mais um passo que tens de fazer antes de estares pronto para analisar falhas: configurar os teus sistemas para os gerares. Faça isto abrindo o Applet System no painel de controlo e, no Win2k e mais alto, clicando no botão Iniciar/Paragem da página Advanced. No NT 4, aceda ao separador Startup/Shutdown do applet. A única opção de despejo de falhas nos sistemas NT 4 é um depósito de memória completo, onde todo o conteúdo da memória física no momento de uma falha é guardado no ficheiro que especifica. No Win2k e mais alto há três opções: mini, kernel e cheio. Win2K & XP Professional e Home default to mini; Sistemas de servidor por defeito a cheio. Para máquinas de estação de trabalho/cliente, altere a definição de mini para dump de kernel, que salva apenas partes da memória física propriedade do sistema operativo (em oposição às aplicações), uma vez que minimiza o tamanho do ficheiro de despejo de colisão e ainda fornece informações completas sobre estruturas de dados de kernel que o Windbg precisa para analisar eficazmente uma falha. Para os sistemas do Servidor, as descargas completas são boas, mas os depósitos de kernel são uma escolha segura (e possivelmente a sua única escolha se tiver um sistema de memória muito grande).

Agora estás pronto para analisar um acidente. Quando ocorrer basta carregar o ficheiro de despejo resultante no Windbg selecionando o Ficheiro| Opção de menu Open Crash Dump. À medida que as cargas de despejo o Windbg começa a processá-lo e verá mensagens sobre a versão do sistema operativo e carregamento de símbolos. Em seguida, verá uma mensagem com o texto "Análise de Bugcheck". A saída que segue a mensagem relata os parâmetros do código de acidente e do código de colisão, bem como um "provavelmente causado por".

Em alguns casos, a análise básica que o Windbg realiza aqui é suficiente para identificar o controlador ou componente do núcleo defeituoso. Recomendo, no entanto, que entre sempre no seguinte comando: !analyze -v . Este comando resulta na mesma análise, mas com mais informação. Por exemplo, o texto irá explicar o significado do código de colisão e dizer-lhe o que os parâmetros opcionais representam, às vezes com conselhos sobre o que tentar a seguir. Você também vai ver um traço de pilha, que é um registo de execução de função que conduz ao código em que ocorreu o acidente. Se um condutor passar dados defeituosos para o núcleo ou um condutor identificado pela análise, poderá ver o seu nome no vestígio e identificá-lo como uma possível causa de raiz.

Se quiser aprofundar o estado do sistema no momento do acidente, existem inúmeros comandos Windbg que lhe permitem ver a lista de processos em execução, condutores carregados, uso da memória e muito mais. O ficheiro de ajuda windbg também contém uma referência de verificação de bugs que recomendo que acompanhe para obter mais informações e orientação, e se ainda ficar perplexo recomendo que efetue uma pesquisa na Base de Conhecimento da Microsoft (KB) para o código de falha. A Microsoft cria artigos KB para falhas comuns e conduz-o a sites de fornecedores ou correções quentes que resolvam problemas específicos.

Se quiser me ver apresentar esta informação ao vivo, com exemplos, então verifique-me em qualquer uma das seguintes conferências:

  • Os internos e o seminário de resolução de problemas david e eu vamos entregar em abril em Bellevue, WA
  • Windows e .NET Magazine Connections em Scottsdale, AZ em maio:http://www.winconnections.com/win
  • TechEd US (Dallas) ou TechEd Europe (em Barcelona) este verão

Obrigado por ler o Boletim Sysinternals.

Publicado quarta-feira, 19 de fevereiro de 2003 16:47 por ottoh

[Newsletters Archive ^][ Volume 4, Número 3][Volume 5, Número 2 ]

[Newsletters Archive ^][ Volume 4, Número 3][Volume 5, Número 2 ]

A Newsletter Sistemas Internas Volume 5, Número 1

http://www.sysinternals.com
Copyright (C) 2003 Mark Russinovich