2007년 4월 29일 일요일

VSS / ID: 20

볼륨 섀도 복사본 서비스 오류: 볼륨 섀도 복사본 서비스에 필요한 주요 구성 요소가 등록되어 있지 않습니다. Windows 또는 볼륨 섀도 복사본 공급자를 설치하는 동안 오류가 발생했을 경우 이 문제가 발생할 수 있습니다. 클래스(CLSID: {40700425-0080-11d2-851f-00c04fc21759}, 이름: MSSQL_ClientVirtualDeviceSet)에 있는 CoCreateInstance에서 반환한 오류는 [0x80040154]입니다.

자세한 정보는 http://go.microsoft.com/fwlink/events.asp에 있는 도움말 및 지원 센터를 참조하십시오.
데이터:
0000: 2d 20 43 6f 64 65 3a 20 - Code:
0008: 53 51 4c 56 46 52 5a 43 SQLVFRZC
0010: 30 30 30 30 30 32 31 33 00000213
0018: 2d 20 43 61 6c 6c 3a 20 - Call:
0020: 53 51 4c 56 46 52 5a 43 SQLVFRZC
0028: 30 30 30 30 30 31 37 36 00000176
0030: 2d 20 50 49 44 3a 20 20 - PID:
0038: 30 30 30 30 35 31 31 36 00005116
0040: 2d 20 54 49 44 3a 20 20 - TID:
0048: 30 30 30 30 33 38 37 36 00003876
0050: 2d 20 43 4d 44 3a 20 20 - CMD:
0058: 43 3a 5c 57 49 4e 44 4f C:\WINDO
0060: 57 53 5c 53 79 73 74 65 WS\Syste
0068: 6d 33 32 5c 76 73 73 76 m32\vssv
0070: 63 2e 65 78 65 20 20 20 c.exe
0078: 2d 20 55 73 65 72 3a 20 - User:
0080: 4e 54 20 41 55 54 48 4f NT AUTHO
0088: 52 49 54 59 5c 53 59 53 RITY\SYS
0090: 54 45 4d 20 20 20 20 20 TEM
0098: 2d 20 53 69 64 3a 20 20 - Sid:
00a0: 53 2d 31 2d 35 2d 31 38 S-1-5-18

nLite 1.3 - Windows 통합 무인설치 CD 만들기

http://www.nliteos.com/ 는,
서비스팩, 드라이버, 패치등을 통합하여 무인설치 CD를 만들수 있도록 해주는 유틸입니다.



오픈소스 프로젝트로, 한글 설치도 지원하니, Windows 를 자주설치하는 분에게는 꽤나 도움이 될듯 싶습니다.

물론, 이것은 Windows 에서 제공하는 무인설치 기능을 쉽게 작성하도록 해주는 툴이며, 다음 내용을 참고해서 Windows 무인설치를 이해하는 것도 좋습니다.^^

Sysprep 도구를 사용하여 Windows XP의 성공적인 구축을 자동화하는 방법http://support.microsoft.com/kb/302577/ko

HOWTO: 설치 관리자를 사용하여 응답 파일 만들기
http://support.microsoft.com/kb/308662/ko

GM HDDSCAN V2.0 - 디스크 베드섹터, 상태 검사 유틸

주요기능.

IDE/SATA/SCSI/FLASH/FC/RAID 등. 저장매체에 대한 기록영역 배드검사
* 전체(물리적) 부분(논리적 및 영역설정)검사기능
* USB 연결장치에대한 안전제거기능
* 디스크 정보보기
* S.M.A.R.T 기능출력
* 디스크 상태모니터링기능 (읽기/쓰기) - New!
* 데이터 저장상태 보기 및 윈도우 조각모음 호출
---------------------------------------------------
지원 OS : Windows2000 / XP / 2003 / Vista
라이선스 : 프리웨어 (Freeware)
---------------------------------------------------

다운로드: http://gmdata.co.kr/bbs/view.php?id=gm_pds&page=1&sn1=&divpage=
1&sn=off&ss=on&sc=on&select_arrange=headnum&desc=asc&no=34


Windows 시스템 관리, 트러블슈팅 종합 선물세트 - Windows Sysinternals




http://www.microsoft.com/technet/sysinternals/default.mspx

Sysinternals 는 원래 독자 운영되던 곳인데요,. 2006년에 마이크로소프트에서 인수를 했고,. 현재는 마이크로소프트에 소속되어 지속적인 업그레이드가 이루어 지고 있습니다..^^

Sysinternals 는 IT 전문가나 개발자들에게 매우 유용한 툴로 잘알려져 있는데요,. MS에서 왜 윈도우자체에 이런 툴을 첨부터 내장하지 않은건지 모르겠네요..-_-;

배포하는 리소스킷보다 훨~ 뛰어난,. 가려운 곳을 잘 긁어주는 툴 들인데 말이죠..





28-hero_windows_sysinternals.jpg
28-55x55_file_disk.gif
28-55x55_network.gif
28-55x55_proc_thread.gif
28-55x55_security.gif
28-55x55_system_info.gif
28-55x55_misc.gif

Stopping hot-linking with IIS and ASP.NET - 링크방지 모듈

http://mvolo.com/blogs/serverside/archive/2006/11/10/Stopping-hot_2D00_
linking-with-IIS-and-ASP.NET.aspx


위 블로거가 배포하고 있는 툴은, IIS에서 ASP.NET 에서 HttpModule 을 이용한 것으로 닷넷으로 제작된 것입니다.

<leechGuard enabled="true" allowDirect="true" allowSelf="true" defaultAllow="false"
              extensions="gif,jpg" rejectStatus="403" rejectUrl=""  >

<add name="friendsite" refererUrl="^www.friendsite.com" allow="true" />

파일 확장자와 허용하는 사이트 주소제어가 가능하므로 유용성이 매우 좋기는 하지만,. 소규모 웹사이트가 아닌 대용량 접속 사이트는 어쩔런지 모르겠습니다.~

대용량 접속 사이트에서, 성능 테스트가 되지 않는  것이므로 제가 운영하는 서버중에 대용량 서버에서 테스트 하는 모험을 하고 싶지는 않네요.. -_-;

해당 블로거는 성능상 IIS 7.0 을 권장하고 있네요..^^

아뭏튼 추천해 볼만 한 좋은 모듈임에는 분명하고,. 닷넷을 할줄 아는 사람이라면 MSDN 참고해서 직접 만들수도 있습니다.^^

Kernel Memory Space Analyzer Version 8.1

유저모드 덤프툴과 같이 커널메모리 분석을 할수 있는 툴입니다.

다운로드 및 자세한 사항은 다음 링크 참조.

http://www.microsoft.com/downloads/details.aspx?familyid=E84D3B35-63C3-
445B-810D-9FED3FDEB13F&displaylang=en



참고로, User Mode Process Dumper Version 8.1 툴은 다음에서 다운로드 가능.

http://www.microsoft.com/downloads/details.aspx?familyid=e089ca41-6a87-
40c8-bf69-28ac08570b7e&mg_id=10116&displaylang=en

2007년 4월 28일 토요일

User Mode Process Dumper Version 8.1


툴은, 유저모드 프로세스에 대해서 덤프를 뜰수 있는 도구로 디버거를 붙이거나 해당 프로세스를 종료하지 않으면서 실행중인 메모리 덤프를 뜨게 해줍니다.

자세한 것은,. 다음 링크를 참고해 보시길~~

http://www.microsoft.com/downloads/details.aspx?familyid=e089ca41-6a87-40c8
-bf69-28ac08570b7e&mg_id=10116&displaylang=en

Microsoft TechNet - Security Tools

다음 내용은, Microsoft TechNet 에 있는 내용으로 Microsoft 에서 제공하는 보안툴 목록을 한페이지에 모아 놓은 것입니다..^^

http://www.microsoft.com/technet/security/tools/default.mspx?mg_id=10118


Security Update Management Solutions
? Microsoft Update
? Windows Server Update Services
? Systems Management Server 2003 Inventory Tool for Microsoft Updates


Security Update Detection Solutions
? Microsoft Baseline Security Analyzer (MBSA) 2.0
? Microsoft Office Visio 2007 Connector for the Microsoft Baseline Security Analyzer
? Enterprise Scan Tool


Security Assessment Solutions
? Microsoft Security Assessment Tool


Earlier Versions of Security Update Tools
? Software Update Services (SUS)
? Install Multiple Windows Updates or Hotfixes with Only One Reboot
? Microsoft Baseline Security Analyzer 1.2.1
? Using Microsoft Systems Management Server (SMS) 2.0 to Deploy Security Tool Kit Fixes


Automatic Scan and Update Tools for Windows and Office
? Microsoft Update
? Windows Update
? Microsoft Office Update


Lockdown, Auditing, and Intrusion Detection Tools
? IIS Lockdown Tool
? UrlScan Security Tool
? EventCombMT
? Cipher Security Tool
? Port Reporter
? PortQry


Virus Protection and Cleaner Tools
? Microsoft Windows Defender 
? Malicious Software Removal Tool
? Office 2000 Update: Service Pack 3
? Cleaner for Code Red II Worm
? Resources for Combating the Slammer Worm
 

2007년 4월 27일 금요일

WMSERVER / ID: 323

이벤트 형식: 오류
이벤트 원본: WMServer
이벤트 범주: 플러그 인
이벤트 ID: 323
날짜: 2007-02-26
시간: 오전 11:52:04
사용자: N/A
컴퓨터: VOLVOEC-JMTV8O4
설명:
서버의 'WMS HTTP 서버 제어 프로토콜' 플러그 인이 다음 정보와 함께 실패했습니다. 오류 코드 = 0xc00d158b, 오류 텍스트 = '각 소켓 주소(프로토콜/네트워크 주소/포트)를 한 번 사용할 수 있습니다. IIS 같은 다른 서비스나 응용 프로그램에 동일한 포트를 사용하려고 하지 않는지 확인한 다음 플러그 인을 다시 활성화하십시오.'.

자세한 정보는 http://go.microsoft.com/fwlink/events.asp에 있는 도움말 및 지원 센터를 참조하십시오.
데이터:
0000: 8b 15 0d c0 ?..A

2007년 4월 26일 목요일

mssql / ID: 100

이벤트 형식: 오류
이벤트 원본: MySQL
이벤트 범주: 없음
이벤트 ID: 100
날짜: 2007-04-17
시간: 오전 10:54:21
사용자: N/A
컴퓨터: RNDSV
설명:
Cannot find table pims211/ccustomid from the internal data dictionary
of InnoDB though the .frm file for the table exists. Maybe you
have deleted and recreated InnoDB data files but have forgotten
to delete the corresponding .frm files of InnoDB tables, or you
have moved .frm files to another database?
See http://dev.mysql.com/doc/refman/5.0/en/innodb-troubleshooting.html
how you can resolve the problem.


For more information, see Help and Support Center at http://www.mysql.com.

WMSERVER / ID: 309

이벤트 형식: 경고
이벤트 원본: WMServer
이벤트 범주: 멀티미디어
이벤트 ID: 309
날짜: 2007-02-26
시간: 오전 11:52:04
사용자: N/A
컴퓨터: VOLVOEC-JMTV8O4
설명:
TCP 포트 80에 연결할 수 없습니다. 다른 응용 프로그램에서 포트를 사용하고 있을 수 있습니다.

자세한 정보는 http://go.microsoft.com/fwlink/events.asp에 있는 도움말 및 지원 센터를 참조하십시오.
데이터:
0000: 8b 15 0d c0 ?..À

2007년 4월 18일 수요일

POP3SVC / ID: 1051

예기치 않은 오류 조건: CEncryptCtx::CheckServerCert() 함수를 호출했는데 0x800cc801 오류 코드가 발생했습니다.

2007년 4월 17일 화요일

Distributed Link Tracking Server / ID: 12508

이 도메인에 있는 분산 링크 추적에 대한 이동 테이블 할당량이 초과되었습니다. 어떤 이유로 링크가 끊어지면 분산 링크 추적이 셸 바로 가기 및 OLE 링크와 같은 파일 링크를 자동으로 복구하기 위해 이 테이블을 사용합니다. 할당량이 초과되는 동안 끊어진 링크를 자동으로 복구하는 것이 가능하지 않을 수도 있습니다.

2007년 4월 11일 수요일

2007년 4월 마이크로소프트 보안 공지

================================================
신규 보안 공지
================================================
 
마이크로소프트는 새로 발견된 취약점에 대하여 다음과 같이 보안 공지를 발표합니다.
 
 - MS07-018 (긴급) Content Management Server 2001, 2002 [원격 코드 실행]
 - MS07-019 (긴급) Windows XP [원격 코드 실행]
 - MS07-020 (긴급) Windows 2000, Windows XP, Windows Server 2003 [원격 코드 실행]
 - MS07-021 (긴급) Windows 2000, Windows XP, Windows Server 2003, Windows Vista [원격 코드 실행]
 - MS07-022 (중요) Windows 2000, Windows XP, Windows Server 2003 [권한 상승]
 
위 신규 공지에 대한 요약은 아래 웹 페이지에 있습니다.
 - http://www.microsoft.com/korea/technet/security/bulletin/ms07-Apr.mspx
 
고객께서는 공지 내용을 검토하여, 각자의 환경에 적용할 필요가 있는 업데이트이면 즉시 테스트하고 설치하실 것을 권장합니다.
 
 
================================================
Microsoft Windows 악성 소프트웨어 제거 도구
================================================
 
마이크로소프트는 Microsoft Windows 악성 소프트웨어 제거 도구의 업데이트된 버전을 Windows Server Update Services (WSUS), Windows Update (WU)와 다운로드 센터에서 제공합니다. 이 도구는 Software Update Services (SUS)를 통해서는 배포되지 않음을 주의하여 주십시오. Microsoft Windows 악성 소프트웨어 제거 도구에 대한 정보는 http://go.microsoft.com/fwlink/?LinkId=40573 에서 보실 수 있습니다.
 
 
================================================
보안 문제와 관계없지만 중요도가 높은 업데이트
 - Microsoft Update (MU), Windows Update (WU), Windows Server Update Services (WSUS), Software Update Services (SUS)에서 제공
================================================
 
마이크로소프트는 WU, MU, SUS, WSUS를 통해 보안 문제와 관계없지만 중요도가 높은 업데이트를 발표합니다. 오늘 발표한 전체 업데이트의 목록은 다음 기술 자료에서 볼 수 있습니다.
 
http://support.microsoft.com/kb/894199
 
 
================================================
보안 공지 웹캐스트
================================================
 
TechNet Webcast: Information about Microsoft April 2007 Security Bulletins (영어로 진행됩니다)
2007년 4월 12일 (목) 오전 3시 (한국 시각)
http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en-US&EventID=1032327017
 
24시간 후에는 언제든지 녹화된 화면으로 웹캐스트를 보실 수 있습니다.
http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en-US&EventID=1032327017
 
 
================================================
보안 공지 세부 사항
================================================
 
MS06-018
 
제목: Microsoft Content Management Server의 취약점으로 인한 원격 코드 실행 문제점 (925939)
 
요약: 이 업데이트는 새로 발견되어 비공개적으로 보고된 취약점을 해결합니다. 취약점은 이 공지의 취약점 세부 사항 섹션에 설명되어 있습니다. 가능한 빨리 이 업데이트를 설치할 것을 권장합니다.
 
영향을 받는 소프트웨어:
 - Microsoft Content Management Server 2001 서비스 팩 1
 - Microsoft Content Management Server 2002 서비스 팩 2
 
취약점으로 인한 영향: 원격 코드 실행
 
최대 심각도: 긴급
 
시스템 재시작: 시스템 재시작이 필요할 가능성을 줄이기 위해서, 보안 업데이트를 설치하기 전에 영향을 받는 모든 서비스를 중지하고 영향을 받는 파일을 사용할 만한 모든 응용프로그램을 닫으십시오. 컴퓨터를 재시작하라는 메시지가 나타나는 이유에 대한 자세한 설명은 마이크로소프트 기술 자료 문서 887012를 참고하십시오. (http://support.microsoft.com/kb/887012)
 
업데이트 제거:  업데이트 설치 후 제거할 수 없습니다. 업데이트가 설치되기 이전 상태로 되돌리기 위해서는 프로그램 전체를 제거 후 다시 설치해야 합니다.
 
이 취약점에 대한 추가 정보: http://www.microsoft.com/korea/technet/security/bulletin/MS07-018.mspx
 
******************************************************************
MS06-019
 
제목: 범용 플러그 앤 플레이의 취약점으로 인한 원격 코드 실행 문제점 (931261)
 
요약: 이 업데이트는 새로 발견되어 비공개적으로 보고된 취약점을 해결합니다. 취약점은 이 공지의 취약점 세부 사항 섹션의 해당 항목에 설명되어 있습니다. 즉시 업데이트를 적용할 것을 고객에게 권장합니다.
 
영향을 받는 소프트웨어:
 - Microsoft Windows XP 서비스 팩 2
 - Microsoft Windows XP Professional x64 Edition 및 서비스 팩 2
 
영향을 받지 않는 소프트웨어:
 - Microsoft Windows 2000 서비스 팩 4
 - Microsoft Windows Server 2003 및 서비스 팩 1, 2
 - Microsoft Windows Server 2003 (Itanium 기반 시스템용) 및 서비스 팩 1, 2
 - Microsoft Windows Server 2003 x64 Edition 및 서비스 팩 2
 - Windows Vista
 - Windows Vista x64 Edition
 
취약점으로 인한 영향: 원격 코드 실행
 
최대 심각도: 긴급
 
시스템 재시작: 보안 업데이트 적용 후 시스템을 재시작해야 합니다.  컴퓨터를 재시작하라는 메시지가 나타나는 이유에 대한 자세한 설명은 마이크로소프트 기술 자료 문서 887012를 참고하십시오. (http://support.microsoft.com/kb/887012)
 
업데이트 제거: 제어판의 프로그램 추가/제거를 통해 이 보안 업데이트를 제거할 수 있습니다. 시스템 관리자는 Spuninst.exe 유틸리티를 사용하여 제거할 수도 있습니다.
 
이 취약점에 대한 추가 정보: http://www.microsoft.com/korea/technet/security/bulletin/MS07-019.mspx
 
******************************************************************
MS06-020
 
제목: Microsoft Agent의 취약점으로 인한 원격 코드 실행 문제점 (932168)
 
요약: 이 업데이트는 새로 발견되어 비공개적으로 보고된 취약점을 해결합니다. 취약점은 이 공지의 취약점 세부 사항 섹션의 해당 항목에 설명되어 있습니다. 즉시 업데이트를 적용할 것을 고객에게 권장합니다.
 
영향을 받는 소프트웨어:
 - Microsoft Windows 2000 서비스 팩 4
 - Microsoft Windows XP 서비스 팩 2
 - Microsoft Windows XP Professional x64 Edition 및 서비스 팩 2
 - Microsoft Windows Server 2003 및 서비스 팩 1, 2
 - Microsoft Windows Server 2003 (Itanium 기반 시스템용) 및 서비스 팩 1, 2
 - Microsoft Windows Server 2003 x64 Edition 및 서비스 팩 2
 
영향을 받지 않는 소프트웨어:
 - Windows Vista
 - Windows Vista x64 Edition
 
취약점으로 인한 영향: 원격 코드 실행
 
최대 심각도: 긴급
 
시스템 재시작: 보안 업데이트 적용 후 시스템을 재시작해야 합니다.  컴퓨터를 재시작하라는 메시지가 나타나는 이유에 대한 자세한 설명은 마이크로소프트 기술 자료 문서 887012를 참고하십시오. (http://support.microsoft.com/kb/887012)
 
업데이트 제거: 제어판의 프로그램 추가/제거를 통해 이 보안 업데이트를 제거할 수 있습니다. 시스템 관리자는 Spuninst.exe 유틸리티를 사용하여 제거할 수도 있습니다.
 
이 취약점에 대한 추가 정보: http://www.microsoft.com/korea/technet/security/bulletin/MS07-020.mspx
 
******************************************************************
MS06-021
 
제목: CSRSS의 취약점으로 인한 원격 코드 실행 문제점 (930178)
 
요약: 이 업데이트는 새로 발견되어 공개 및 비공개적으로 보고된 취약점을 해결합니다. 각 취약점은 이 공지의 취약점 세부 사항의 해당 항목에 설명되어 있습니다. 가장 위험한 취약점을 성공적으로 악용한 경우 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 공격자가 프로그램을 설치하거나 데이터를 보고, 변경하거나 삭제하고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다. 즉시 업데이트를 적용할 것을 고객에게 권장합니다.
 
영향을 받는 소프트웨어:
 - Microsoft Windows 2000 서비스 팩 4
 - Microsoft Windows XP 서비스 팩 2
 - Microsoft Windows XP Professional x64 Edition 및 서비스 팩 2
 - Microsoft Windows Server 2003 및 서비스 팩 1, 2
 - Microsoft Windows Server 2003 (Itanium 기반 시스템용) 및 서비스 팩 1, 2
 - Microsoft Windows Server 2003 x64 Edition 및 서비스 팩 2
 - Windows Vista
 - Windows Vista x64 Edition
 
취약점으로 인한 영향: 원격 코드 실행
 
최대 심각도: 긴급
 
시스템 재시작: 보안 업데이트 적용 후 시스템을 재시작해야 합니다.  컴퓨터를 재시작하라는 메시지가 나타나는 이유에 대한 자세한 설명은 마이크로소프트 기술 자료 문서 887012를 참고하십시오. (http://support.microsoft.com/kb/887012)
 
업데이트 제거:
Windows 2000, Windows XP, Windows Server 2003 - 제어판의 프로그램 추가/제거를 통해 이 보안 업데이트를 제거할 수 있습니다. 시스템 관리자는 Spuninst.exe 유틸리티를 사용하여 제거할 수도 있습니다.
Windows Vista - 제어판에서 Windows Update를 열고 왼쪽 맨 아래 설치된 업데이트 보기를 통해 이 업데이트를 제거할 수 있습니다.
 
이 취약점에 대한 추가 정보: http://www.microsoft.com/korea/technet/security/bulletin/MS07-021.mspx
 
******************************************************************
MS06-022
 
제목: Windows 커널의 취약점으로 인한 권한 상승 문제점 (931784)
 
요약: 이 업데이트는 새로 발견되어 비공개적으로 보고된 취약점을 해결합니다. 취약점은 이 공지의 취약점 세부 사항 섹션의 해당 항목에 설명되어 있습니다. 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 가능한 빨리 업데이트를 적용할 것을 고객에게 권장합니다.
 
영향을 받는 소프트웨어:
 - Microsoft Windows 2000 서비스 팩 4
 - Microsoft Windows XP 서비스 팩 2
 - Microsoft Windows Server 2003 및 서비스 팩 1, 2
 
영향을 받지 않는 소프트웨어:
 - Microsoft Windows XP Professional x64 Edition 및 서비스 팩 2
 - Microsoft Windows Server 2003 (Itanium 기반 시스템용) 및 서비스 팩 1, 2
 - Microsoft Windows Server 2003 x64 Edition 및 서비스 팩 2
 - Windows Vista
 - Windows Vista x64 Edition
 
취약점으로 인한 영향: 권한 상승
 
최대 심각도: 중요
 
시스템 재시작: 보안 업데이트 적용 후 시스템을 재시작해야 합니다.  컴퓨터를 재시작하라는 메시지가 나타나는 이유에 대한 자세한 설명은 마이크로소프트 기술 자료 문서 887012를 참고하십시오. (http://support.microsoft.com/kb/887012)
 
업데이트 제거: 제어판의 프로그램 추가/제거를 통해 이 보안 업데이트를 제거할 수 있습니다. 시스템 관리자는 Spuninst.exe 유틸리티를 사용하여 제거할 수도 있습니다.
 
이 취약점에 대한 추가 정보: http://www.microsoft.com/korea/technet/security/bulletin/MS07-022.mspx
 
 
=================================================
정보의 일관성
=================================================
 
본 메일과 웹 페이지를 통하여 가급적 정확한 내용을 제공하기 위하여 노력하고 있습니다. 웹에 게시된 보안 공지는 최신의 정보를 반영하기 위해 수정되는 경우가 있습니다. 이러한 이유로 본 메일의 정보와 웹 기반의 보안 공지 간에 내용이 불일치하는 일이 생긴다면, 웹에 게시된 보안 공지의 정보가 더 신뢰할 수 있는 정보입니다.
 
 
******************************************************************
기술 지원은 지역번호 없이 전화 1577-9700을 통해 Microsoft 고객지원센터에서 받을 수 있습니다. 보안 업데이트와 관련된 기술 지원 통화는 무료입니다.

2007년 4월 9일 월요일

Windows 2000 터미널서비스 로그온 실패 IP 기록 - LogTSFailures

Windows 터미널 서비스 클라이언트의 로그온 시도가 실패하면 이벤트가 보안 로그에 기록됩니다. 이 이벤트는 로그온 실패를 기록하지만 실패한 로그온 시도가 발생한 위치를 나타내는 IP 주소나 컴퓨터 이름을 포함하지 않습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
값 이름: LogTSFailures
값 종류: REG_DWORD
값 데이터: 1




문서 : http://support.microsoft.com/kb/328478/ko


08-LogTSFailures.gif

IIS 6.0에서 교착 상태 덤프 파일 분석 (OrphanWorkerProcess)

IIS 6.0 에서는 재생이나 오류가 발생하는 경우 해당 응용프로그램 풀을 재생하는 기능을 지원합니다.

그럴때 정상적인 종료가 되지 못할경우 오류이벤트가 발생하게 되나, 일반적으로 크게 문제가 되지는 않지만 일부 웹사이트에서는 장애를 일으키는 경우가 있습니다.

특히나, 기본설정값으로 IIS 6.0 에서는 오류가 급증할경우 코어를 보호하기 위해서 해당 응용프로그램풀을 아예 중지를 시켜 버립니다.

이벤트로그를 유심히 살펴봐야 하는데요., 주로 다음과 같은 이벤트가 발생하게 됩니다.



이때 고아프로세스 형태로 재생을 시도하게 되며, 새로운 요청은 별도의 새로운 작업자프로세스에서 처리하게 됩니다. 고아프로세스는 해당 프로세스가 완전 종료하기 전의 상태입니다.

이 프로세스에는 재생전 요청이나 처리가 되지 못한 요청이 저장되어 있는데, 이를 분석하면 원인을 제공하는 요청이나 처리를 어느정도 파악할수 있습니다.

이때, 디버거를 통해서 해당 프로세스의 크래시 덤프를 떠서 분석을 할수 있는데요,. 덤프를 자동으로 뜰수 있게끔 IIS 6.0 에서는 고아프로세스가 종료할 때 특정 작업을 할수 있는 옵션을 제공합니다.


1. 덤프파일 생성을 위한 설정

다음과 같이 메타베이스에 값을 설정하면 됩니다.

adsutil.vbs SET W3SVC/AppPools/DefaultAppPool/OrphanWorkerProcess TRUE
adsutil.vbs SET W3SVC/AppPools/DefaultAppPool/OrphanActionExe "F:\Debug\debug.cmd"
adsutil.vbs SET W3SVC/AppPools/DefaultAppPool/OrphanActionParams "%1%"

debug.cmd 배치파일

@if "%_echo%"=="" echo off
setlocal
    set TIMESTAMP=%DATE:~-9%_%TIME%
set TIMESTAMP=%TIMESTAMP:/=_%
set TIMESTAMP=%TIMESTAMP::=_%
set TIMESTAMP=%TIMESTAMP:.=_%
set TIMESTAMP=%TIMESTAMP: =_%
set FILENAME=F:\Debug\crash_%TIMESTAMP%.dmp
set LOG=F:\Debug\log.txt
set COMMAND="C:\Program Files\Debugging Tools for Windows"\cdb.exe -c ".dump /o /mhf %FILENAME%;q" -p %1

echo %COMMAND% > %LOG%
%COMMAND%

endlocal



물론 덤프를 뜰수 있도록 사전에 디버거를 설치해 놓아야 하겠죠..^^

OrphanActionExe: %SystemRoot%\System32\CScript.exe
OrphanActionParams: C:\debuggers\adplus.vbs -quiet -hang -p %1%


위와 같이 디버거툴에 내장된 Adplus.vbs 스크립트를 이용해서도 덤프파일을 생성할수 있습니다.



2. 덤프파일 분석

생성된 덤프파일 분석은 이미 설치한 디버거툴을 통해서 분석을 할수 있습니다. 최근에 배포되고 있는  Windbg 툴을 이용해도 좋습니다.

다운로드: http://www.microsoft.com/whdc/devtools/debugging/default.mspx

그런데 이툴은 심볼을 자동 다운로드를 지원하지 않하서, 해당 덤프를 분석해도 별 도움이 되지 않는 아주 간단한 로그만 볼수가 있습니다.

이 툴보다는, 최근에 새로이 배포하는 Debug Diagnostic Tool v1.1 를 권장합니다. 이 툴은 특히 IIS 에 관련된 프로세스 덤프 및 분석, 그리고 관련 심볼을 자동다운로드 하여 분석해 줍니다.

다운로드: http://www.microsoft.com/downloads/details.aspx?familyid=28BD5941-C458-46F1-B24D-F60151D875A3&mg_id=10110&displaylang=en

관련 심볼을 통해서 분석하므로, 아주 상세한 분석을 보여줍니다.



요약에는 WinSock 관련된 문제라고 하는데요. 해당 쓰레드의 상세를 보면, 다음과 같습니다.


실제, 1013 이벤트 에서는 덤프에서 분석이 가능한 데이터가 그리 많지 않습니다.

주로 효과적인 덤프분석은 웹서버에서 루프같은 CPU 로드가 100% 이거나, 메모리 누수같은 메모리 급증이 나타날때 재생되거나 또는 해당 시점에서 직접 덤프를 뜨는 것이 아주 좋습니다.

그럴 경우 다음과 같이 실제 문제가 되는 코드까지도 알수 있습니다.

POST request for   /www/body/A.asp
Request alive for   00:32:47
QueryString   PageName=PageUpload&theAct=upload&overWrite=true
Request mapped to   D:\service\serverinfo.pe.kr\www\body\A.asp
ASP Application   /LM/W3SVC/792638948/Root
ASP Template   D:\SERVICE\serverinfo.pe.kr\WWW\BODY\A.ASP

StreamUpload   sA.CopyTo sB, intEnd - intInfoEnd - 4   D:\SERVICE\serverinfo.pe.kr\WWW\BODY\A.ASP   1697
PageUpload   StreamUpload()   D:\SERVICE\serverinfo.pe.kr\WWW\BODY\A.ASP   1577
Global Scope   PageUpload()   D:\SERVICE\serverinfo.pe.kr\WWW\BODY\A.ASP   192



좀더 상세한 분석은, 각자 운영하는 서버별로 상황이 다르므로 디버거툴을 이용해서 분석해 보시기를 바랍니다. 또한  추가로 다음문서를 더 참고해 보시기 바랍니다.

ASP.NET 교착 상태에 있는 이벤트 ID 1003
http://support.microsoft.com/?kbid=325947

ASP.NET 응용 프로그램에서 웹 서비스를 요청하면 경합, 성능 저하 및 교착 상태가 발생한다
http://support.microsoft.com/kb/821268/ko


08-iis-debug-0.png
08-iis-debug-1.png
08-iis-debug-3.gif
08-iis-debug-4.gif

2019년 10월 MS 취약점 패치 주요 사항

CVE-2019-1166 | Windows NTLM 변조 취약성 https://portal.msrc.microsoft.com/ko-KR/security-guidance/advisory/CVE-2019-1166 CVE-2019-1230 | Hype...