Condividi tramite

  • Articolo

[Archivio newsletter ^] [< Volume 4, Numero 3] [Volume 5, Numero 2 >]

Newsletter Systems Internals Volume 5, Numero 1

http://www.sysinternals.com
Copyright (C) 2003 Mark Russinovich

19 febbraio 2003 - In questo numero:

  1. EDITORIALE

  2. NOVITÀ DI SYSINTERNALS

    • Filemon v5.01
    • DebugView v4.2
    • NewSID v4.02
    • PsShutdown v2.01
    • Autoruns v2.02
    • ShareEnum v1.3
    • TCPView v2.31
    • Bluescreen v3.0
    • Sysinternals in Microsoft

  3. INFORMAZIONI SU INTERNALS

    • Nuovo video XP/Server 2003 Internals
    • Mark e David Solomon parlano dei meccanismi interni e della risoluzione dei problemi a Seattle
    • Criteri comuni di Windows 2000 SP3 certificati
    • Visual Studio: Inserire un'espressione di controllo in LastError
    • Spiegazione del valore del Registro di sistema LameButtonText
    • Storia dello sviluppo di Windows
    • Introduzione all'analisi del dump di arresto anomalo del sistema

La newsletter Sysinternals è sponsorizzata da Winternals Software, disponibile sul Web all'indirizzo http://www.winternals.com. Winternals Software è il principale sviluppatore e provider di strumenti avanzati di sistemi per Windows NT/2K/XP. I prodotti Winternals Software includono ERD Commander 2002, NTFSDOS Professional Edition (driver NTFS di lettura/scrittura per DOS) e Remote Recover.

Winternals è orgogliosa di annunciare Defrag Manager versione 2.10, l'utilità di deframmentazione aziendale più veloce e completa disponibile. È ora possibile gestire le pianificazioni della deframmentazione nell'intera azienda Windows da un semplice snapin MMC, senza dover installare alcun software client nei sistemi NT, Windows 2000 o Windows XP. Per altre informazioni o per richiedere una versione di valutazione gratuita di 30 giorni, visitare http://www.winternals.com/es.

Ciao a tutti.

Newsletter di Sysinternals. La newsletter conta attualmente 36.000 abbonati.

È con piacere che vi informo che David Solomon è l'autore ospite dell'editoriale di questo mese, dove descrive alcune delle sue esperienze reali di risoluzione dei problemi con diverse utilità Sysinternals.

Inoltrate la newsletter ai vostri amici che pensate potrebbero essere interessati a questi contenuti.

Grazie.

- Mark

EDITORIALE - di David Solomon

Ho un nuovo motto: "In caso di dubbi, esegui Filemon e Regmon (ed Esplora processi)".

Prima di iniziare, lasciatemi dire grazie a Mark per avermi invitato a scrivere questo editoriale (naturalmente, dato che si tratta di un resoconto entusiasta dell'utilità dei suoi strumenti, non è che mi stia facendo un grande favore o altro!).

Come molti di voi sanno, Mark e io lavoriamo insieme per aiutare le persone a conoscere i meccanismi interni di Windows. Il nostro ultimo progetto è stato un aggiornamento dell'esercitazione video sui meccanismi interni di Windows 2000 che abbiamo creato l'anno scorso per illustrare le modifiche del kernel in Windows XP e Windows Server 2003 e la prossima lezione pubblica sui meccanismi interni di Windows si terrà il 21-23 aprile a Bellevue, Washington. Trovate i dettagli su entrambi gli argomenti nelle sezioni pertinenti di questa newsletter. E, come molti ci hanno chiesto, siamo nel processo del nostro libro Inside Windows 2000 for XP & Server 2003 (la data di rilascio provvisoria è alla fine dell'estate).

E ora: perché sono così entusiasta degli strumenti Sysinternals? Poiché nell'ultimo anno circa mi hanno aiutato a risolvere un'ampia gamma di problemi relativi all'applicazione e al sistema che altrimenti non sarebbero stati risolvibili. Infatti, non posso iniziare a descrivere il numero di problemi totalmente diversi e non correlati che sono stato in grado di risolvere con questi strumenti. Anche nei casi in cui non pensavo che avrebbero aiutato, lo hanno fatto. Di qui il mio nuovo motto: "In caso di dubbi, esegui Filemon e Regmon".

Esistono due tecniche di base che ho trovato per applicare questi strumenti:

  1. esaminare l'ultima cosa nella traccia Filemon/Regmon eseguita dall'applicazione prima che si verificasse il problema. Questo potrebbe indicare il problema.
  2. Confrontare una traccia Filemon/Regmon dell'applicazione non riuscita con una traccia di un sistema funzionante.

Nel primo approccio eseguire Filemon e Regmon, quindi eseguire l'applicazione. Nel momento in cui si verifica l'errore, tornare a Filemon e Regmon e arrestare la registrazione (premere CTRL+E). Passare quindi alla fine del log e trovare le ultime operazioni eseguite dall'applicazione prima che si verificasse il problema (arresto anomalo, blocco o qualsiasi altro). A partire dall'ultima riga, è possibile procedere all'indietro esaminando i file e/o le chiavi del Registro di sistema a cui si fa riferimento spesso in modo da individuare il problema.

Usare il secondo approccio quando l'applicazione ha esito negativo in un sistema, ma funziona su un altro. Acquisire una traccia Filemon e Regmon dell'applicazione nel sistema funzionante e in quello in cui si è verificato l'errore e salvare l'output in un file di log. Quindi, aprire i file di log validi e non validi con Excel (accettare le impostazioni predefinite nell'importazione guidata) ed eliminare le prime 3 colonne (altrimenti il confronto mostrerà ogni riga come diversa perché le prime 3 colonne contengono informazioni che sono diverse da un'esecuzione all'altra, come l'ora e l'ID del processo). Infine, confrontare i file di log risultanti (ad esempio con WinDiff, che in Windows XP è incluso negli strumenti di supporto gratuiti che si possono installare dal CD di XP, e che per Windows NT4 e Windows 2000 si trova nel Resource Kit).

Ora, alcuni esempi reali.

In una workstation Windows 2000 con Microsoft Office 97 installato, Word otterrebbe un Dr. Watson poco dopo l'avvio. In realtà è possibile digitare alcuni caratteri prima che si verifichi il Dr. Watson, ma, che si digiti qualcosa o meno, entro pochi secondi dall'avvio, Word si arresta in modo anomalo. Naturalmente, l'utente ha provato a disinstallare e reinstallare Office, ma il problema è rimasto. Così, ho eseguito Filemon e Regmon e ho guardato l'ultima cosa fatta da Word prima che morisse. La traccia Filemon ha mostrato che l'ultima cosa che Word ha fatto è stata aprire una DLL per stampanti HP. Si è scoperto che la workstation non aveva una stampante, ma a quanto pare un tempo l'aveva. Così, ho eliminato la stampante HP dal sistema e il problema è scomparso!

A quanto pare, l'enumerazione delle stampanti all'avvio ha causato il caricamento di questa DLL, che a sua volta ha causato la scomparsa del processo (non so perché questo sia successo, forse l'utente aveva installato una versione fittizia, ma, dal momento che il sistema non aveva più una stampante, non importava).

In un altro esempio, Regmon ha salvato un utente dall'esecuzione di una reinstallazione completa del sistema desktop di Windows XP. Il sintomo era che Internet Explorer (IE) si bloccava all'avvio se l'utente non stabiliva manualmente la connessione Internet. Questa connessione Internet è stata impostata come predefinita per il sistema, quindi l'avvio di Internet Explorer dovrebbe aver causato una chiamata automatica a Internet (perché Internet Explorer è stato impostato per visualizzare una home page predefinita all'avvio). Seguendo il mio nuovo motto, ho eseguito Filemon e Regmon e ho guardato indietro dal punto del log in cui IE si era bloccato. Filemon non ha mostrato nulla di insolito, ma il log di Regmon ha mostrato una query a una chiave HKEY_CURRENT_USER\Software\Microsoft\RAS Phonebook\ATT. L'utente mi aveva detto che aveva installato il programma AT&T dialer contemporaneamente, ma l'aveva disinstallato e creato manualmente la connessione remota. Poiché il nome della connessione remota non era "ATT", ho sospettato che si trattasse di residui della disinstallazione nel Registro di sistema, che causavano il blocco di IE. Quindi, ho rinominato la chiave e il problema è scomparso!

L'uso della tecnica del "confronto dei log" ha aiutato a risolvere il problema di Access 2000 che si bloccava sulla workstation XP di un programmatore che cercava di importare un file di Excel. L'importazione dello stesso file ha funzionato correttamente nelle workstation di altri utenti, ma non è riuscita in questa workstation. Quindi, è stata creata un'acquisizione di Access nel sistema funzionante e in quello in cui si era verificato l'errore. Dopo aver opportunamente trattato i file di log, li ho confrontati con Windiff. Le prime differenze erano dovute a nomi di file temporanei diversi e ad alcuni nomi di file diversi per differenze di maiuscole e minuscole, ma ovviamente non si trattava di "differenze rilevanti" tra i due sistemi.

La prima differenza che non andava bene era che una DLL di Access veniva caricata da \Windows\System32 sul sistema in errore, ma dalla cartella \Program Files\Microsoft Office\Office sul sistema funzionante. Il confronto tra le DLL ha rivelato che la versione in \Windows\System32 proviene da una versione precedente di Access. L'utente ha quindi rinominato la DLL in .bad, ha riavviato Access e il problema è scomparso!

Una classe di problemi per cui Filemon è incredibilmente utile è la scoperta dei problemi di autorizzazione dei file. Molte applicazioni svolgono un lavoro scadente per segnalare errori di accesso negato. Tuttavia, l'esecuzione di Filemon rivela chiaramente errori di questo tipo poiché la colonna dei risultati mostra "ACCESSO NEGATO" per gli errori di apertura dei file a causa di problemi di diritti (e la versione più recente mostra anche il nome utente che non è riuscito ad accedere al file). Due esempi specifici in cui si è verificato questo caso:

  1. Un utente riceveva uno strano errore Macro all'avvio di Word. Si è scoperto che le autorizzazioni di un file DOT a cui faceva riferimento una macro erano state modificate per impedire l'accesso a questo utente. Filemon mostrava chiaramente che Word riceveva un errore di accesso negato sul file DOT. Una volta risolte le autorizzazioni, il problema è scomparso.
  2. Un'applicazione Outlook generava una finestra con il messaggio Application defined or object-defined error-Message ID: [Connect].[LoadGlobalVariables].[LN:?].[EN:287]: un altro esempio del numero di applicazioni che generano messaggi di errore inutili in caso di errori di I/O casuali. Anche in questo caso, l'esecuzione di Filemon ha rivelato un errore di accesso negato (questa volta a una cartella a cui Outlook doveva accedere). Le autorizzazioni sono state modificate per la cartella e il problema è scomparso.

Questi sono solo alcuni esempi: ho molte altre storie di successo in cui Filemon e Regmon (e Process Explorer, di cui non ho parlato qui) hanno risolto la situazione. Non c'è da stupirsi che il supporto tecnico Microsoft usi questi strumenti su base giornaliera per risolvere i problemi dei clienti (all'ultimo conteggio, circa 40 articoli della Knowledge Base fanno riferimento agli strumenti di Mark. Per un elenco, vedere http://www.sysinternals.com/ntw2k/info/mssysinternals.shtml).

Quindi, in caso di dubbi, eseguite Filemon e Regmon!

Seminari Expert di David Solomon http://www.solsem.com

NOVITÀ DI SYSINTERNALS

FILEMON V5.01

Filemon, una delle utilità che David evidenzia nel suo editoriale, ha subito la sua prima revisione principale in diversi anni. La nuova versione offre un nuovo livello di usabilità a uno strumento che aveva già un'interfaccia utente accessibile. Il miglioramento più significativo è la modifica al modo in cui l'attività del file system viene presentata nell'impostazione predefinita di Filemon quando viene eseguita su Windows NT, 2000, XP o Server 2003, qualcosa a cui stavo pensando da un po' e che finalmente ho implementato in base al feedback reale degli utenti di David.

Le versioni precedenti di Filemon visualizzano le operazioni del file system con i nomi testuali delle richieste di I/O interne che eseguono le operazioni. Sebbene la presentazione sia tecnicamente precisa, molti utenti non hanno familiarità con il funzionamento interno del sottosistema di I/O di Windows e trovano operazioni come FASTIO_CHECK_IF_POSSIBLE prive di significato e altre, come la non riuscita di un'operazione FASTIO_READ, confuse. Esistono numerosi altri esempi di operazioni che molti classificherebbero come "rumore" e di nomi di operazioni che non sono autoesplicativi.

La modalità di visualizzazione predefinita di Filemon versione 5.01 include ora un meccanismo di filtro per rimuovere l'attività inutile nella maggior parte degli scenari di risoluzione dei problemi e che presenta nomi intuitivi per tutte le operazioni di I/O. FASTIO_CHECK_IF_POSSIBLE viene escluso, gli errori FASTIO_READ non vengono mostrati e le operazioni FASTIO_READ eseguite correttamente vengono segnalate come operazioni READ. Inoltre, la visualizzazione predefinita omette l'attività del file system nel processo di sistema, che è il processo da cui i gestori della memoria e della cache eseguono le attività in background, e tutta l'attività di paging del gestore della memoria, inclusa quella verso il file di paging del sistema. La voce di menu Options|Advanced soddisferà gli utenti, ad esempio gli sviluppatori di driver per i filtri per il file system, che vogliono la visione "non elaborata" dell'attività del file system mostrata dalle versioni precedenti di Filemon.

Diversi utenti, inclusi i dipendenti Microsoft, hanno richiesto che Filemon mostri l'account in cui si verificano errori di "accesso negato" per facilitare il debug delle impostazioni di sicurezza negli ambienti di Servizi terminal. In risposta, la versione 5.01 visualizza queste informazioni, nonché la modalità di accesso (lettura, scrittura, eliminazione e così via) che un processo vuole quando apre un file e il modo in cui un file viene aperto, ad esempio se viene sovrascritto o viene aperto solo se esiste.

Molte sessioni di risoluzione dei problemi si concentrano sull'identificazione dei file a cui un processo accede o tenta di accedere, nel qual caso operazioni come lettura, scrittura e chiusura sono solo rumore. In considerazione di ciò, ho aggiunto una nuova opzione di filtro "log opens" che consente di isolare solo le operazioni aperte.

Un'altra modifica importante riguarda il modo in cui Filemon v5.01 gestisce le condivisioni di rete mappata. Nelle versioni precedenti ogni mapping viene visualizzato come lettera di unità nel menu Unità. Ora, tutti questi mapping sono inclusi nella selezione "Rete" del menu Volumi (che è il menu Unità rinominato). Selezionando Rete, Filemon monitora tutte le condivisioni di rete e segnala le attività di rete di tipo UNC, come quelle che si verificano quando si accede a file remoti usando la convenzione di denominazione "\\computer\share\directory". Questa modifica consente di visualizzare l'attività dei file di rete anche quando non si dispone di una condivisione di rete mappata, come richiesto dalle versioni precedenti di Filemon. L'ultima versione di Filemon presenta numerose altre modifiche minori, tra cui una struttura di menu aggiornata che rispecchia i menu più intuitivi che ho introdotto in Regmon alcuni mesi fa.

Filemon v5.01 è disponibile per il download all'indirizzo
http://www.sysinternals.com/ntw2k/source/filemon.shtml

INFORMAZIONI SUL CODICE SORGENTE DI FILEMON E REGMON

Gli sviluppatori di prodotti software, hardware e di rete supportano Sysinternals acquistando le licenze per ridistribuire il codice. Tuttavia, nell'ultimo anno abbiamo trovato una serie di software, dai trojan ai prodotti commerciali di alcune aziende multimiliardarie, contenenti codice sorgente di Sysinternals senza licenza. Nel tentativo di mantenere Sysinternals in crescita e i nostri prodotti con licenza legale, abbiamo interrotto la pubblicazione del codice sorgente di alcuni dei nostri prodotti, comprese le ultime versioni di Filemon e Regmon. Continueremo a rendere disponibile il codice sorgente per le licenze commerciali. Se individuate mirror per il codice sorgente di Sysinternals, fatecelo sapere.

DEBUGVIEW V4.2

DebugView è un'utilità Sysinternals molto popolare usata dagli sviluppatori software per acquisire l'output di debug generato dal software. La versione 4.2 riflette diversi miglioramenti e funzionalità richiesti dagli utenti. Un'opzione richiesta da Microsoft consente di acquisire l'output di debug dei processi in esecuzione all'interno della sessione della console di un ambiente Servizi terminal quando si esegue DebugView in una sessione non della console. La versione 4.2 supporta le opzioni della riga di comando espanse che consentono di specificare un file di log da caricare, la profondità della cronologia e altri comportamenti di avvio. Diversi utenti hanno richiesto filtri più lunghi, filtri sugli ID dei processi e la possibilità di inserire commenti nell'output, tutte cose possibili con l'ultima versione. La nuova versione è completata da numerose correzioni di bug, da un migliore supporto per l'estrazione dell'output del debug del kernel dai file di dump di arresto anomalo e da migliori finestre informative per il testo che supera la larghezza della colonna di output e persino dello schermo.

DebugView v4.2 è disponibile per il download all'indirizzo
http://www.sysinternals.com/ntw2k/freeware/debugview.shtml

NEWSID V4.02

Il problema di duplicazione del SID (ID di sicurezza) è uno che si verifica se si usa un'immagine di preinstallazione di Windows per distribuire più di un sistema. Ogni computer che condivide l'immagine ha lo stesso SID interno di Windows, un identificatore che il sottosistema di sicurezza di Windows usa come base per gli identificatori di gruppi e account locali. A causa dei problemi di sicurezza, la condivisione può spingere la maggior parte degli amministratori ad adottare misure per applicare successivamente un SID univoco a ogni computer usando uno strumento di modifica del SID.

NewSID, l'utilità di modifica dei SID di Sysinternals, è popolare perché, a differenza di altre utilità di modifica che si basano sul DOS o richiedono che il sistema sia privo di software aggiuntivo, NewSID è un programma Win32 che si può usare per assegnare un nuovo SID ai computer che hanno applicazioni installate. La versione 4.02 è un aggiornamento principale con una nuova interfaccia di procedura guidata, aggiunge il supporto per Windows XP e consente di rinominare un computer.

Una funzionalità richiesta da molti amministratori è la capacità di NewSID di applicare un SID specificato dall'utente, cosa che potrebbe essere utile per eseguire la migrazione delle impostazioni di un'installazione a un computer diverso o per la reinstallazione. Man mano che NewSID viene eseguito, le dimensioni del Registro di sistema aumentano quando applica impostazioni di sicurezza temporanee a parti del Registro di sistema per renderle accessibili. L'ingrossamento del Registro di sistema può causare il superamento della quota delle dimensioni, per cui una nuova funzione della versione 4.02 comprime il Registro di sistema alla dimensione minima come ultima operazione.

NewSID v4.02 è disponibile per il download all'indirizzo
http://www.sysinternals.com/ntw2k/source/newsid.shtml

PSSHUTDOWN V2.01

Shutdown è uno strumento che Microsoft ha incluso a lungo nel Resource Kit di Windows e che è incluso nelle installazioni di Windows XP. Prima della versione 2.01 di PsShutdown, membro del toolkit di amministrazione dalla riga di comando PsTools di Sysinternals, era semplicemente un clone di Shutdown, ma quest'ultima versione ne espande le capacità ben oltre quelle di Shutdown. Ad esempio, è possibile arrestare e spegnere il sistema se supporta la gestione dell'alimentazione, bloccare il desktop e disconnettere l'utente interattivo, il tutto sul computer locale o su uno remoto, senza installare manualmente alcun software client.

PsShutdown v2.01 è disponibile per il download all'indirizzo
http://www.sysinternals.com/ntw2k/freeware/psshutdown.shtml
L'intera suite PsTools è disponibile per il download all'indirizzo
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

AUTORUNS V2.02

Tutti noi siamo stati infastiditi dall'installazione di applet indesiderate che vengono eseguite al momento dell'accesso e siamo stati frustrati dalla ricerca del comando di avvio. Non c'è da meravigliarsi che Windows abbia una ventina di meccanismi per tale attivazione. L'utilità MsConfig inclusa in Windows Me e XP può talvolta essere utile, ma perde circa la metà delle possibili posizioni di avvio.

Autoruns, uno strumento di Sysinternals scritto da Bryce Cogswell e da me, mostra l'intera immagine. La visualizzazione mostra un elenco di tutti i possibili percorsi del Registro di sistema e dei file in cui un'applicazione può abilitarsi per l'esecuzione all'avvio o all'accesso del sistema. L'ultima versione visualizza le informazioni sull'icona e sulla versione di ogni immagine configurata all'avvio per facilitarne l'identificazione e aggiunge miglioramenti all'interfaccia utente come il menu contestuale. Inoltre, la nuova versione identifica un maggior numero di posizioni di avvio, compresi gli script di accesso e disconnessione, le attività dell'utilità di pianificazione che vengono eseguite all'accesso e i punti di avvio dei componenti aggiuntivi di Explorer.

Autoruns v2.01 è disponibile per il download all'indirizzo
http://www.sysinternals.com/ntw2k/source/misc.shtml

SHAREENUM V1.3

Gli amministratori di sistema spesso ignorano una parte critica della sicurezza di rete locale: le cartelle condivise. Gli utenti di un ambiente aziendale creano spesso condivisioni di cartelle contenenti documenti per facilitare l'accesso ai colleghi del proprio gruppo. Purtroppo, molti utenti non riescono a bloccare le proprie condivisioni con impostazioni che impediscano l'accesso non autorizzato a informazioni potenzialmente sensibili da parte di altri dipendenti.

ShareEnum è un'utilità di Sysinternals scritta da Bryce Cogswell, che consente di identificare le condivisioni non autorizzate e di rafforzare la sicurezza su quelle valide. All'avvio ShareEnum usa l'enumerazione NetBIOS per individuare i computer della rete e segnala le condivisioni esportate insieme ai dettagli nelle impostazioni di sicurezza applicate alle condivisioni. In pochi secondi è possibile individuare le condivisioni aperte e fare doppio clic su una condivisione per aprirla in Explorer in modo che sia possibile modificarne le impostazioni. È anche possibile usare la funzionalità di esportazione di ShareEnum per salvare le analisi e confrontare un'analisi corrente con quella salvata in precedenza.

ShareEnum v1.3 è disponibile per il download all'indirizzo
http://www.sysinternals.com/ntw2k/source/shareenum.shtml

TCPVIEW V2.31

TCPView è un'utilità grafica di tipo netstat, che visualizza un elenco degli endpoint TCP e UDP attivi di un sistema. Nelle installazioni di Windows NT, 2000, XP e Server 2003 mostra il processo proprietario di ogni endpoint. La versione 2.31 visualizza l'icona del file di immagine di un processo per facilitarne l'identificazione.

TCPView v2.31 è disponibile per il download all'indirizzo
http://www.sysinternals.com/ntw2k/source/tcpview.shtml

BLUESCREEN V3.0

Lo screensaver Bluescreen of Death di Sysinternals è stato uno dei download preferiti per diversi anni e la versione 3.0 aggiunge la compatibilità per Windows XP. Lo screensaver visualizza una schermata blu che sembra autentica, completa di formattazione e dettagli casuali appropriati al sistema operativo su cui viene eseguito (ad esempio, Windows NT, 2000 o XP) e dopo una pausa simula un ciclo di riavvio e la successiva ripetizione di una diversa schermata di arresto anomalo del sistema. È così convincente che David Solomon ha ingannato me e io ho ingannato lui. Usatelo come screen saver personale o per ingannare amici e colleghi, ma assicuratevi che il vostro capo abbia il senso dell'umorismo prima di installarlo in un sistema di produzione.

Bluescreen v3.0 è disponibile per il download all'indirizzo
http://www.sysinternals.com/ntw2k/freeware/bluescreensaver.shtml

SYSINTERNALS AT WWW.MICROSOFT.COM

Ecco la versione più recente dei riferimenti di Sysinternals negli articoli della Microsoft Knowledge Base (KB) rilasciati dopo l'ultima newsletter. Sono onorato di segnalare che questo porta a 41 il numero totale di riferimenti della KB a Sysinternals.

  • ACC2000: Messaggio di errore: Componente ActiveX non può creare l'oggetto http://support.microsoft.com/default.aspx?scid=KB; EN-US; Q319841&

  • PROCEDURA: Risolvere i problemi di ASP in IIS 5.0 http://support.microsoft.com/default.aspx?scid=KB; EN-US; Q309051&

  • OL2002: Come creare componenti aggiuntivi http://support.microsoft.com/default.aspx?scid=KBCOM di Outlook attendibili; en-us; 327657&

  • PRB: errore 80004005 "The Microsoft Jet motore di database Cannot Open the File '(Unknown)'" ( Impossibile aprire il file '(sconosciuto)'" http://support.microsoft.com/default.aspx?scid=KB; EN-US; Q306269&

  • Errore di scaricamento del profilo utente all'avvio, alla chiusura o alla disconnessione di NetMeeting http://support.microsoft.com/default.aspx?scid=KB; EN-US; Q327612&

  • XADM: Messaggio di errore: Errore 123: nome file, nome directory o sintassi dell'etichetta del volume non è corretto http://support.microsoft.com/default.aspx?scid=KB; EN-US; Q318746&

INFORMAZIONI SU INTERNALS

NUOVO VIDEO XP/SERVER 2003 INTERNALS

Il nostro nuovo aggiornamento video sulle modifiche interne di Windows XP/Server 2003 è disponibile per l'ordine come versione non definitiva. Come complemento alla nostra esercitazione video esistente, INSIDE Windows 2000, o come prodotto autonomo, questo nuovo video fornisce formazione sulle modifiche del kernel in Windows XP e sul nuovo prodotto di Microsoft, Windows Server 2003, che sarà lanciato in aprile. Gli argomenti trattati includono prestazioni, scalabilità, supporto a 64 bit, file system, affidabilità e ripristino.

Nello stesso stile interattivo del suo predecessore, Windows XP/Server 2003 Update vi mette di fronte a David Solomon e Mark Russinovich per 76 minuti di formazione intensiva e mirata. Include domande di verifica, esercizi lab e una cartella di lavoro stampata ed è disponibile in video DVD e Windows Media su CD-ROM.

Poiché questi video sono stati sviluppati con accesso completo al codice sorgente e al team di sviluppo di Windows, potete essere certi che è tutto vero. Come ultimo regalo, Microsoft ha concesso in licenza questo video per la formazione interna in tutto il mondo.

PREZZO SPECIALE PER LA VERSIONE NON DEFINITIVA SE ACQUISTATA ENTRO IL 15 MARZO! Acquistate INSIDE Windows 2000 al prezzo di $ 950 e avrete Windows XP/Server 2003 Update GRATIS! Si tratta di uno sconto di quasi il 40% sul valore di vendita combinato di $ 1.390. In alternativa, acquistate il video autonomo Windows XP/Server 2003 Update a soli $ 169 (valore di vendita $ 195). Altre configurazioni di licenza sono disponibili nel sito Web. Per sfruttare questa offerta limitata, ordinate subito all'indirizzo http://www.solsem.com/vid_purchase.html

MARK E DAVID SOLOMON PARLANO DEI MECCANISMI INTERNI E DELLA RISOLUZIONE DEI PROBLEMI A SEATTLE

Ascoltate me e David Solomon mentre presentiamo il nostro corso di 3 giorni sui meccanismi interni di Windows 2000/XP/.NET Server a Bellevue, WA (vicino a Seattle) dal 21 al 23 aprile. In base a "Inside Windows 2000, 3rd Edition", descrive l'architettura del kernel e l'interrelazione dei componenti e dei meccanismi chiave del sistema, ad esempio thread di sistema, invio di chiamate di sistema, gestione degli interrupt, & avvio e arresto. Apprendete tecniche avanzate di risoluzione dei problemi usando gli strumenti di Sysinternals e come usare Windbg per l'analisi di base dei dump di arresto anomalo di base. Gli interni dei sottosistemi chiave trattati includono processi e thread, pianificazione dei thread, gestione della memoria, sicurezza, sistema di I/O e gestione cache. Comprendendo i meccanismi interni del sistema operativo, è possibile sfruttare la piattaforma in modo più efficace ed eseguire il debug e risolvere i problemi in modo più efficace.

Per registrarsi o per altre informazioni, vedere http://www.sysinternals.com/seminar.shtml

CRITERI COMUNI DI WINDOWS 2000 SP3 CERTIFICATI

Molti di voi probabilmente conoscono i termini "Orange Book" e C2, entrambi relativi a uno standard di valutazione della sicurezza ormai obsoleto, usato negli anni '80 e '90 dal governo statunitense per valutare le capacità di sicurezza del software, inclusi i sistemi operativi. Dal 1999 le valutazioni dell'Orange Book, che facevano parte dei criteri TCSEC (Trusted Computer System Evaluation Criteria) del Dipartimento della Difesa, sono state assorbite dal più recente sistema CC (Common Criteria). Il sistema CC è stato concordato da più nazioni come standard internazionale di classificazione della sicurezza, più completo dei criteri TSCEC e delle obsolete classificazioni inglesi ITSEC (Information Technology Security).

Quando un fornitore fa certificare il proprio software in base allo standard CC specifica un "profilo di protezione", ovvero un set di funzionalità di sicurezza, e la valutazione segnala un livello di garanzia, noto come EAL (Evaluation Assurance Level), in base al quale il software soddisfa i requisiti del profilo di protezione. Ci sono 7 EAL con livelli di garanzia più elevati che indicano maggiore attendibilità nell'affidabilità delle funzionalità di sicurezza del software valutato.

Microsoft ha presentato Windows 2000 per la valutazione CC rispetto ai profili di protezione dell'accesso controllato, che è più o meno l'equivalente CC della classificazione TCSEC C2, diversi anni fa e nell'ottobre 2002 ha completato la valutazione. SAIC (Science Applications International Corporation), la società indipendente che ha eseguito la valutazione, ha riscontrato che Windows 2000 con il Service Pack 3 soddisfa il profilo di protezione dell'accesso controllato con un livello EAL pari a 4 più la correzione degli errori. Un EAL pari a 4 è considerato il livello più alto raggiungibile da un software per utilizzo generico, mentre la correzione degli errori si riferisce al meccanismo di Windows Update per l'applicazione tempestiva delle correzioni di sicurezza. Questa valutazione è il livello più alto raggiunto finora da un sistema operativo nell'ambito del CC.

VISUAL STUDIO: INSERIRE UN'ESPRESSIONE DI CONTROLLO IN LASTERROR

Se sviluppate applicazioni che si basano sull'API Win32, quasi sicuramente avete scritto codice che esegue una funzione Win32, ma che per qualche motivo non segnala errori specifici. In tal caso, questo suggerimento è utile. Aggiungendo l'espressione @ERR,hr alla finestra di controllo, si vedrà la rappresentazione numerica e testuale del valore archiviato nella variabile LastError del thread corrente, che è il valore restituito dalla funzione Win32 GetLastError().

SPIEGAZIONE DEL VALORE DEL REGISTRO DI SISTEMA LAMEBUTTONTEXT

Se avete esaminato le tracce di Regmon in un sistema Windows 2000 o XP all'avvio di un'applicazione Windows, avrete probabilmente visto riferimenti al valore HKCU\Control Panel\Desktop\LameButtonText del Registro di sistema, di solito con un errore NOTFOUND. Qualcuno in Microsoft ha ovviamente il senso dell'umorismo, ma a che cosa serve questo valore? Si è scoperto che archivia il testo che si vede nelle versioni beta e release candidate di Windows nella barre del titolo delle finestre e che invita a fare clic su un collegamento per segnalare un feedback. Sarebbe bello poterlo abilitare nelle versioni di Windows definitive per inserire un testo personalizzato, ma la sua funzionalità è purtroppo disabilitata nelle versioni di produzione.

STORIA DELLO SVILUPPO DI WINDOWS

Paul Thurrott ha una bella serie di articoli in 3 parti che illustrano la storia del processo di sviluppo di Windows NT. È disponibile all'indirizzo http://www.winsupersite.com/reviews/winserver2k3_gold1.asp

BREVE INTRODUZIONE ALL'ANALISI DEL DUMP DI ARRESTO ANOMALO DEL SISTEMA

Quando un sistema si arresta in modo anomalo subito dopo aver installato un nuovo hardware o software, la diagnosi della causa è ovvia. A volte, tuttavia, si verificano arresti anomali del sistema senza un motivo apparente. In questi casi l'unico modo per determinare la causa dell'arresto anomalo consiste nell'analizzare un dump di arresto anomalo del sistema. In questa esercitazione descriverò come funziona l'analisi OCA (Online Crash Analysis) di Microsoft e come può fornirvi la risposta a un problema di arresto anomalo del sistema e poi vi spiegherò come configurare il vostro ambiente di analisi degli arresti anomali del sistema per poter dare un'occhiata agli arresti anomali che l'analisi OCA non riesce ad analizzare con successo.

Microsoft ha introdotto OCA con il rilascio di Windows XP come servizio di analisi automatizzata basato su un repository centralizzato di informazioni relative agli arresti anomali del sistema. Dopo il riavvio di un sistema XP da un arresto anomalo, viene richiesto di inviare informazioni sull'arresto anomalo del sistema al sito OCA (http://oca.microsoft.com/en/Welcome.asp). Se si accetta, XP carica un file XML che descrive la configurazione di base del sistema insieme a un file di arresto anomalo di minidump da 64 KB. Un minidump contiene una piccola quantità di dati immediatamente rilevanti per un arresto anomalo del sistema, ad esempio il codice di arresto anomalo, lo stack del thread in esecuzione al momento dell'arresto anomalo del sistema, l'elenco dei driver caricati nel sistema e le strutture di dati che gestivano il processo in esecuzione quando si è verificato l'arresto anomalo.

Dopo che OCA riceve le informazioni, procede all'analisi e archivia il riepilogo dell'analisi in un database. Se si segue la richiesta dopo il caricamento e si visita il sito OCA, si ha la possibilità di tenere traccia dell'analisi. Ciò richiede l'accesso con un account Passport. Immettere quindi un nome per l'arresto anomalo e un testo che descrive la natura dell'arresto anomalo. Se il motore OCA mette in correlazione l'arresto anomalo con altri presenti nel database per i quali Microsoft ha identificato una causa, il sito invia una notifica tramite e-mail e quando si visita nuovamente il sito e si cerca l'arresto anomalo inviato, la risoluzione indica dove ottenere un aggiornamento del driver o del sistema operativo. Purtroppo, mentre il supporto OCA è integrato in XP e accetta file di dump di arresto anomalo di Windows 2000, non supporta NT 4 e non riesce a identificare la causa della maggior parte degli arresti anomali (almeno nella mia esperienza).

Per eseguire manualmente l'analisi degli arresti anomali, sono necessari gli strumenti appropriati, forniti da Microsoft sotto forma di strumenti di debug per Windows che è possibile scaricare da http://www.microsoft.com/ddk/Debugging/. Il pacchetto include, tra le altre cose, lo strumento di analisi Windbg. Dopo aver scaricato e installato gli strumenti, eseguire Windbg e aprire la finestra di dialogo File|Symbol File Path. Qui si indica a Windbg dove trovare i file di simboli per la versione del sistema operativo da cui si sta analizzando un arresto anomalo. È possibile immettere il percorso di una directory in cui sono stati installati i simboli, ma ciò richiede di ottenere i file dei simboli per l'esatto sistema operativo, Service Pack e hot fix installati sul sistema in cui si verifica l'arresto anomalo. Tenere il passo manualmente con i file di simboli è noioso e se si vogliono analizzare gli arresti anomali di sistemi diversi è necessario preoccuparsi di diversi set di file di simboli per ogni installazione.

È possibile evitare la seccatura dei file di simboli puntando Windbg al server dei simboli Microsoft. Quando lo si configura per l'uso del server dei simboli, Windbg scarica automaticamente i file dei simboli su richiesta in base al dump di arresto anomalo del sistema aperto. Il server dei simboli archivia i simboli per le versioni beta e le release candidate da NT 4 a Server 2003, inclusi Service Pack e hot fix. La sintassi per indirizzare Windbg al server dei simboli è srv*c:\symbols*http://msdl.microsoft.com/download/symbols. Sostituire c:\symbols con la directory in cui archiviare i file dei simboli. Per altre informazioni sui simboli, vedere http://www.microsoft.com/ddk/debugging/symbols.asp

È necessario eseguire un altro passaggio prima di essere pronti per analizzare i dump di arresto anomalo del sistema: configurare i sistemi per generarli. A tale scopo, aprire l'applet Sistema nel Pannello di controllo e in Win2k e versioni successive fare clic sul pulsante Avvio/Arresto della pagina Avanzate. In NT 4 passare alla scheda Avvio/Arresto dell'applet. L'unica opzione di dump di arresto anomalo nei sistemi NT 4 è un dump completo della memoria, in cui l'intero contenuto della memoria fisica al momento di un arresto anomalo viene salvato nel file specificato. In Win2k e versioni successive sono disponibili tre opzioni: mini, kernel e completo. Win2K & XP Professional e Home predefinito per mini; Per impostazione predefinita, i sistemi server sono completi. Per i computer workstation/client, cambiare l'impostazione da Mini a Dump del kernel, che salva solo le parti di memoria fisica di proprietà del sistema operativo (al contrario delle applicazioni) perché questo riduce al minimo le dimensioni del file di dump di arresto anomalo e fornisce comunque tutte le informazioni sulle strutture dati del kernel di cui Windbg ha bisogno per analizzare efficacemente un arresto anomalo del sistema. Per i sistemi server, i dump completi sono ottimi, ma i dump del kernel sono una scelta sicura (e probabilmente l'unica scelta se si ha un sistema di memoria molto grande).

Ora siete pronti per analizzare un arresto anomalo. Quando se ne verifica uno, è sufficiente caricare il file di dump risultante in Windbg selezionando l'opzione di menu File|Open Crash Dump. Quando il dump viene caricato, Windbg inizia a elaborarlo e vedrete messaggi relativi alla versione del sistema operativo e al caricamento dei simboli. Vedrete quindi il messaggio "Analisi del controllo errori". L'output che segue il messaggio segnala il codice di arresto anomalo del sistema e i parametri del codice di arresto anomalo, nonché una probabile causa.

In alcuni casi l'analisi di base eseguita qui da Windbg è sufficiente per identificare il driver o il componente kernel in errore. Tuttavia il mio consiglio è di immettere sempre il comando seguente: !analyze -v. Questo comando restituisce la stessa analisi, ma con altre informazioni. Ad esempio, il testo spiegherà il significato del codice dell'arresto anomalo e dirà cosa rappresentano i parametri facoltativi, a volte con consigli su cosa provare successivamente. Vedrete anche un'analisi dello stack, ovvero un record di esecuzione della funzione che porta al codice in cui si è verificato l'arresto anomalo. Se un driver passa dati errati al kernel o un driver individuato dall'analisi, è possibile che il suo nome venga visualizzato nella traccia e che venga identificato come possibile causa radice.

Se volete approfondire lo stato del sistema al momento dell'arresto anomalo, esistono numerosi comandi di Windbg che consentono di visualizzare l'elenco dei processi in esecuzione, i driver caricati, l'utilizzo della memoria e altro ancora. Il file della guida di Windbg contiene anche un riferimento al controllo errori che vi consiglio di seguire per ottenere altre informazioni e indicazioni. Se siete ancora perplessi, vi consiglio di cercare nella Knowledge Base (KB) di Microsoft il codice dell'arresto anomalo. Microsoft crea articoli della Knowledge Base per arresti anomali comuni, che contengono i collegamenti a siti di fornitori o hot fix che risolvono problemi specifici.

Se volete vedermi presentare queste informazioni dal vivo, con esempi, venite a trovarmi a una delle seguenti conferenze:

  • Il seminario sui meccanismi interni e la risoluzione dei problemi che David e io terremo in aprile a Bellevue, WA.
  • Windows and .NET Magazine Connections a Scottsdale, AZ in maggio: http://www.winconnections.com/win
  • TechEd US (Dallas) o TechEd Europe (a Barcellona) quest'estate

Grazie per aver letto la newsletter di Sysinternals.

Data di pubblicazione: mercoledì 19 febbraio 2003 16:47 da ottoh

[Archivio newsletter ^] [< Volume 4, Numero 3] [Volume 5, Numero 2 >]