Delen via

  • Artikel

[Nieuwsbrievenarchief ^] [< Volume 6, Getal 1] [Volume 7, Getal 1 >]

The Systems Internals Newsletter Volume 6, Number 2

http://www.sysinternals.com
Copyright (C) 2004 Mark Russinovich

30 juli 2004 - in dit probleem:

  1. HOOFDARTIKEL

    • Dave Salomon Gast artikel over graven in thread details met Process Explorer

  2. WAT IS ER NIEUW IN SYSINTERNALS

    • Hulpprogramma's bijwerken
    • Sysinternals is een Microsoft Windows XP-communitysite

  3. OPROEP VOOR SUCCESVERHALEN VAN SYSINTERNALS

    • Stuur ons uw succesverhalen en win een Sysinternals T-shirt!

  4. TIJDSCHRIFTARTIKELEN

    • PsExec
    • De Hoax voor geheugenoptimalisatie

  5. HANDS-ON WINDOWS INTERNALS & ADVANCED TROUBLESHOOTING CLASS

    • San Francisco - 27 september-1 oktober

  6. SPREEKSCHEMA VAN MARK

    • TechMentor
    • Windows-verbindingen
    • Microsoft IT-forum

De Sysinternals Newsletter wordt gesponsord door Winternals Software, op het web op http://www.winternals.com. Winternals biedt Intelligent Recovery voor Microsoft Enterprise.

Het binnenkort uitgebrachte Windows XP Service Pack 2 biedt talloze voordelen, maar kan leiden tot ongewenst of onvoorzien gedrag binnen het besturingssysteem en binnen toepassingen. Met Winternals Recovery Manager kunt u veilig en snel systemen terugdraaien die nadelig worden beïnvloed door patches en servicepacks, zelfs als de systemen niet kunnen worden opgestart. Als u meer wilt weten over Recovery Manager en een evaluatie-CD wilt aanvragen, gaat u naar: http://www.winternals.com/es/solutions/recoverymanager.asp

HOOFDARTIKEL

Dave Salomon en ik zijn nog steeds hard bezig met de volgende editie van "Inside Windows 2000" (te worden genoemd "Windows Internals", 4e editie) en verwachten dat het manuscript de komende weken is voltooid. Het boek, dat betrekking heeft op Windows 2000, Windows XP en Windows Server 2003, toont de groei van ongeveer 20% ten opzichte van de derde editie. We denken dat u het boek nog waardevoller vindt dan de vorige editie, omdat naast het uitbreiden van het bestaande materiaal en het toevoegen van nieuwe tekst aan XP- en 2003-wijzigingen, we probleemoplossingsmateriaal hebben toegevoegd voor onderwerpen zoals crashdumpanalyse, systeem opstarten, geheugen, CPU, bestandssysteem en het register.

Omdat ik mijn tijd richt op het afronden van het boek is deze nieuwsbrief kort, maar ik ga door met regelmatige nieuwsbrieven zodra het boek is voltooid. Ondertussen neem ik een gastartikel van Dave Salomon op over meer geavanceerd gebruik van Process Explorer dan wat ik in de laatste nieuwsbrief heb behandeld.

Geniet en geef de nieuwsbrief door aan mensen die je denkt dat het interessant zal zijn!

  • Mark Russinovich

Graven in threadactiviteit met Process Explorer

Door Dave Salomon (daves@..., http://www.solsem.com)

Process Explorer biedt eenvoudige toegang tot threadactiviteit binnen een proces. Dit is vooral belangrijk als u probeert te bepalen waarom een proces wordt uitgevoerd dat meerdere services host (zoals Svchost.exe, Dllhost.exe, Inetinfo.exe of het systeemproces) of waarom een proces wordt vastgelopen.

Als u de threads in een proces wilt weergeven, selecteert u een proces en opent u de proceseigenschappen (dubbelklik op het proces of klikt u op het menu-item Proceseigenschappen>) en klikt u op het tabblad Threads. Hier ziet u een lijst met de threads in het proces, het percentage verbruikte CPU (op basis van het geconfigureerde vernieuwingsinterval), het aantal contextoverschakelingen naar de thread en het beginadres van de thread. U kunt sorteren op een van deze drie kolommen. Terwijl u elke thread in de lijst selecteert, geeft Process Explorer de thread-id, begintijd, status, CPU-tijdtellers, het aantal contextswitches en de basis- en huidige prioriteit weer. Er is een Kill-knop die een afzonderlijke thread beëindigt, maar dit moet met extreme zorg worden gebruikt.

Nieuwe threads die worden gemaakt, worden gemarkeerd in groen en threads die in rood worden gemarkeerd (de duur van de markering kan worden geconfigureerd met het menu-item> Markeren configureren). Dit kan handig zijn om te ontdekken dat er onnodige threads worden gemaakt in een proces (in het algemeen moeten threads worden gemaakt bij het opstarten van het proces en niet telkens wanneer een aanvraag in een proces wordt verwerkt).

De delta van de contextwissel vertegenwoordigt het aantal keren dat de thread werd uitgevoerd tussen de vernieuwingen die zijn geconfigureerd voor Process Explorer en is een andere manier om de threadactiviteit te bepalen dan het percentage van de verbruikte CPU, omdat veel threads gedurende zo'n korte tijd worden uitgevoerd dat ze zelden (indien ooit) de momenteel actieve thread zijn wanneer de intervalklok-timeronderbreking plaatsvindt en daarom niet in rekening worden gebracht voor hun CPU-tijd.

Het beginadres van de thread wordt weergegeven in het formulier 'module!function', waarbij de module de naam is van de .EXE of .DLL. De functienaam is afhankelijk van de toegang tot symboolbestanden voor de module, die u krijgt als u Process Explorer configureert voor gebruik van de Microsoft Symbol Server (zie de help met Microsoft Debugging Tools voor Windows, die u kunt downloaden van de website van Microsoft op http://www.microsoft.com/whdc/devtools/debugging/default.mspx). Als u niet zeker weet wat de module is, drukt u op de moduleknop. Hiermee opent u een venster met bestandseigenschappen van Explorer voor de module met het beginadres van de thread (bijvoorbeeld de .EXE of .DLL). Voor threads die door de Windows-functie CreateThread zijn gemaakt, geeft Process Explorer de doorgegeven CreateThreadfunctie weer, niet de werkelijke threadstartfunctie. Dat komt doordat alle Windows-threads beginnen bij een algemene opstartwikkelfunctie voor processen of threads (BaseProcessStart of BaseThreadStart in Kernel32.dll). Als in Process Explorer het werkelijke beginadres werd weergegeven, lijken de meeste threads in processen op hetzelfde adres te zijn gestart. Dit zou niet handig zijn om te begrijpen welke code de thread uitvoerde.

Het weergegeven beginadres van de thread kan echter niet voldoende informatie zijn om aan te geven wat de thread doet en welk onderdeel binnen het proces verantwoordelijk is voor de CPU die door de thread wordt gebruikt. Dit geldt met name als het beginadres van de thread een algemene opstartfunctie is (bijvoorbeeld als de functienaam niet aangeeft wat de thread daadwerkelijk doet). In dit geval kan het onderzoeken van de threadstack de vraag beantwoorden. Als u de stack voor een thread wilt weergeven, dubbelklikt u op de gewenste thread (of selecteert u deze en drukt u op de knop Stapelen). Process Explorer geeft de stack van de thread weer (zowel gebruiker als kernel, als de thread zich in de kernelmodus bevindt). Hoewel u met de foutopsporingsprogramma's in de gebruikersmodus (Windbg, Ntsd en Cdb) verbinding kunt maken met een proces en de gebruikersstack voor een thread kunt weergeven, toont Process Explorer zowel de gebruikers- als kernelstack in één klik op een knop. U kunt ook gebruikers- en kernelthreadstacks onderzoeken met Behulp van Livekd uit Sysinternals, maar het is moeilijker te gebruiken; Houd er rekening mee dat het uitvoeren van Windbg in de lokale kernelfoutopsporingsmodus, die alleen wordt ondersteund in Windows XP of Windows Server 2003, geen threadstacks weergeeft.

[Persoonlijke opmerking van Mark- dit heeft me geholpen om op te lossen waarom Powerpoint één minuut vastliep telkens wanneer ik het begon. Ik heb Process Explorer gebruikt om de stapel van de ene thread in het Powerpoint-proces te bekijken; het wachtte op een oproep om verbinding te maken met een netwerkprinter; blijkt dat ik een verbinding had met een netwerkprinter die niet reageerde, en omdat de Microsoft-Office-app lications verbinding maken met alle geconfigureerde printers bij het opstarten van het proces, was Powerpoint 'vastgelopen' totdat er een time-out optreedt bij de poging om verbinding te maken met de printer. Nadat ik de verbinding met de printer heb verwijderd, is het probleem weggegaan.]

WAT IS ER NIEUW IN SYSINTERNALS

UPDATES VOOR HULPPROGRAMMA'S

Sinds de laatste nieuwsbrief in april zijn een aantal hulpprogramma's bijgewerkt. Hier volgt een overzicht van verbeteringen:

Procesverkenner

Process Explorer is een vervanging voor Taakbeheer (u kunt Taakbeheer zelfs helemaal vervangen door een selectie in het menu Opties van Process Explorer).

  • Het tabblad TCP/IP in proceseigenschappen geeft TCP- en UDP-verbindingen weer; wijzigingen zijn gemarkeerd in kleur, waardoor nieuwe en gesloten verbindingen gemakkelijk te zien zijn
  • 64-bits versie voor AMD64-systemen
  • Ondersteuning voor het instellen van procesaffiniteitmaskers op SMT-systemen (hyperthreaded) en SMP-systemen
  • Prestatieverbeteringen voor updates weergeven

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

Foutopsporingsweergave

DebugView is een hulpprogramma voor ontwikkelaars waarmee u foutopsporingsuitvoer in de gebruikersmodus en kernelmodus kunt vastleggen zonder lokaal of via het netwerk een foutopsporingsprogramma te gebruiken.

  • Grotere kernelmodus en gebruikersbuffers
  • Meer markeringsfilters
  • Logboekbestandterugloop
  • Ondersteuning voor windows XP SP2-kernelfoutopsporingsuitvoer
  • De uitvoer wordt gewist wanneer er een speciale foutopsporingsreeks voor 'uitvoer wissen' wordt weergegeven

http://www.sysinternals.com/ntw2k/freeware/debugview.shtml

Pendmoves

Pendmoves is een nieuw sysinternals-hulpprogramma dat opdrachten voor het verplaatsen en verwijderen van bestanden weergeeft die zijn gepland op een systeem om de volgende opstartbewerking uit te voeren.

http://www.sysinternals.com/ntw2k/source/misc.shtml#pendmoves

Adrestore

Adrestore is een opdrachtregelprogramma dat gebruikmaakt van Windows Server 2003 Active Directory (AD) "tombstoning" om een beperkte onherstelbare mogelijkheid voor AD-objecten te bieden.

http://www.sysinternals.com/ntw2k/source/misc.shtml#adrestore

Schermbeveiliging met blauw scherm

Deze schermbeveiliging, die het blauwe scherm van de dood nabootst, ondersteunt nu systemen met meerdere beeldschermen en Windows Server 2003.

http://www.sysinternals.com/ntw2k/freeware/bluescreensaver.shtml

AanmeldingenSessions

Dit nieuwe opdrachtregelprogramma toont de lijst met aanmeldingssessies op een systeem, waaronder netwerk, interactief en batch, en toont ook de processen die in elke sessie worden uitgevoerd.

http://www.sysinternals.com/ntw2k/source/misc.shtml#logonsessions

Pstools

De Pstools suite bestaat uit 11 beheer opdrachtregelprogramma's die lokaal en op afstand werken. Veel daarvan zijn de afgelopen maanden bijgewerkt met ondersteuning voor meerdere computersystemen die u op de opdrachtregel of in een tekstbestand kunt opgeven.

http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

Autoruns

Autoruns toont de meest uitgebreide lijst met Windows-register- en bestandssysteemlocaties die toepassingen kunnen gebruiken om zichzelf te configureren om automatisch te starten tijdens het opstartproces.

  • Bestandssysteem- en registerlocaties omvatten nu meerdere kolommen voor eenvoudiger lezen
  • Optie om alleen niet-Microsoft-vermeldingen weer te geven, zodat u gemakkelijk kunt zien welke niet-MS-software is geconfigureerd om te starten wanneer u zich aanmeldt
  • Kan nu een vermelding uitschakelen zonder deze uit het register te verwijderen (maakt Autoruns nu een superset van Msconfig)
  • Optie voor het weergeven van services die zijn geconfigureerd om te starten tijdens het opstarten

http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

Naast hulpprogramma-updates is er een update voor een technisch artikel:

Boot.ini optiereferentie

Deze verwijzing bevat nu boot.ini switches die zijn toegevoegd in Windows XP en Windows Server 2003.

http://www.sysinternals.com/ntw2k/info/bootini.shtml

SYSINTERNALS IS EEN MICROSOFT WINDOWS XP-COMMUNITYSITE

Sysinternals is al enkele jaren een communitysite voor Windows XP Embedded op Microsoft.com en nu ben ik trots om aan te kondigen dat Microsoft ook Sysinternals een communitysite heeft gemaakt op de pagina Windows XP Expert Zone:

http://www.microsoft.com/windowsxp/expertzone/default.mspx

OP ZOEK NAAR SUCCESVERHALEN VAN SYSINTERNALS!

Doelgroepen in mijn seminars en conferentiepresentaties horen graag verhalen over succesverhalen van echt woord, dus als u één probleemoplossing hebt met de Sysinternals-hulpprogramma's, zou ik er graag over willen horen. Wanneer je er een naar mij stuurt op mark@... Ik zal je in een maandelijkse tekening invoeren om een beperkte editie out-of-print Sysinternals t-shirt te winnen. Wees zo gedetailleerd mogelijk over hoe u het hulpprogramma Sysinternals hebt gebruikt om het probleem op te lossen. Indien mogelijk en van toepassing verzenden van schermopnamen en/of logboekbestanden (Filemon en Regmon kunnen beide hun uitvoer opslaan in een tekstbestand).

TIJDSCHRIFTARTIKELEN

Psexec

Dit artikel dat ik heb geschreven voor het probleem juli, is momenteel alleen beschikbaar voor abonnees van Windows en .NET Magazine. Het behandelt geavanceerd psexec-gebruik en beschrijft hoe het werkt en communiceert met Windows-beveiliging.

http://www.winnetmag.com/Windows/Issues/IssueID/714/Index.html

De Hoax voor geheugenoptimalisatie

In dit Windows- en .NET Magazine, dat beschikbaar is voor niet-abonnees, beschrijf ik het bedrieglijke gedrag van zogenaamde "RAM-optimalisaties".

http://www.winnetmag.com/Windows/Article/ArticleID/41095/41095.html

HANDS-ON WINDOWS INTERNALS EN GEAVANCEERDE PROBLEEMOPLOSSINGSKLASSE

27 sep- 1 oktober 2004 - San Francisco

David Salomon en ik presenteren voor het eerst de 5-daagse hands-on versie van onze Windows 2000/XP/2003 internen en geavanceerde probleemoplossingsklasse in San Francisco, 27-oktober 2004. (Deelnemers moeten hun eigen laptop meenemen; configuratiegegevens worden vooraf verstrekt; er is geen aankoop van extra software vereist).

Dit is dezelfde klasse die we aan Microsoft-werknemers over de hele wereld leren. Het behandelt de interne functies van processen en threads, threadplanning, geheugenbeheer, beveiliging, het register en het I/O-systeem. Duik in mechanismen zoals systeemthreads, systeemoproepverzending, interruptafhandeling, & opstarten en afsluiten. Leer geavanceerde technieken voor probleemoplossing met behulp van de Sysinternals-hulpprogramma's en hoe u crashdumpanalyses uitvoert.

Waarom neem je deze les? Als u IT-professionals bent die Windows-servers en -werkstations implementeren en ondersteunen, moet u onder het oppervlak kunnen graven wanneer er iets misgaat. Als u inzicht hebt in de interne functies van het Windows-besturingssysteem en weet hoe u geavanceerde hulpprogramma's voor probleemoplossing kunt gebruiken, kunt u dergelijke problemen oplossen en beter inzicht krijgen in systeemprestaties. Inzicht in de interne functies kan programmeurs helpen om beter te profiteren van het Windows-platform, en geavanceerde technieken voor foutopsporing te bieden. En omdat de cursus is ontwikkeld met volledige toegang tot de broncode en ontwikkelaars van de Windows-kernel, weet u dat u het echte verhaal krijgt.

Voor meer informatie en registratie gaat u naar

http://www.sysinternals.com/troubleshoot.shtml

SPREEKSCHEMA VAN MARK

Na het spreken op Microsoft TechEd VS en TechEd Europe in mei en juni, geniet ik van de zomer thuis in zonnige Texas. Hier volgen mijn volgende drie vergaderafspraken:

TECHMENTOR

27 september 1 oktober 2004 San Jose, CA

Ik geef vier sessies op deze conferentie, allemaal op 29 september, inclusief "Windows en Linux: A Tale of Two Kernels" als keynote. De andere sessies die ik presenteer, zijn 'Windows Vastlopen en crashdumpanalyse', 'Windows XP- en Windows Server 2003-kernelwijzigingen' en 'Problemen met Opstarten en opstarten van Windows oplossen'.

U kunt mijn abstracten lezen en een koppeling vinden naar de pagina voor vergaderingsregistratie op

http://www.sysinternals.com/ntw2k/info/talk.shtml

WINDOWS-VERBINDINGEN

24-27 oktober 2004 Orlando, FL

Op deze conferentie geef ik mijn gesprek 'Probleemoplossing voor Windows Opstarten en opstarten' als een algemene sessie en presenteer ik ook 'Probleemoplossing voor Windows met de Sysinternals Tools', beide op de 24e (ik ben trots om te zeggen dat Microsoft Network - MSN - mij heeft uitgenodigd om te presenteren als het belangrijkste notitieadres een dagelijkse Windows-probleemoplossingssessie op hun jaarlijkse MSN Engineering Excellence Conference die week in Seattle).

Lees de abstracts en ga naar de conferentiesite van

http://www.sysinternals.com/ntw2k/info/talk.shtml

MICROSOFT IT-FORUM

Kopenhagen, Denemarken

Ik lever een dagelijkse pre-conferentie zelfstudiesessie met Dave Salomon over interne beveiliging van Windows, evenals verschillende aparte sessies op mezelf die nog moeten worden bepaald. U vindt hier de samenvattings- en registratiegegevens van de zelfstudie vóór de conferentie: http://www.microsoft.com/europe/msitforum/

Bedankt voor het lezen van de Sysinternals Nieuwsbrief.

Gepubliceerd vrijdag 30 juli 2004 16:39 door ottoh

[Nieuwsbrievenarchief ^] [< Volume 6, Getal 1] [Volume 7, Getal 1 >]