2008년 3월 30일 일요일

getmac.exe - 이더넷 맥어드레스 조회

Windows 2000 Resource Kit

이더넷 맥어드레스 조회 도구:

http://download.microsoft.com/download/win2000platform/getmac/
1.00.0.1/nt5/en-us/getmac_setup.exe



Transport Address  Transport Name
-----------------  --------------
00-00-00-00-00-00  \Device\NetbiosSmb
00-0C-29-82-DD-41  \Device\NetBT_Tcpip_{D36493D0-4CBD-421C-85DA-9AAE7D49B919}
00-0C-29-82-DD-37  \Device\NetBT_Tcpip_{8A7DC1AF-98F1-411B-9092-80B2D92E83CE}

extract.exe - Extract Cabinet

Windows 2000 Resource Kit

캐비넷 cab 파일 풀기 도구:

http://download.microsoft.com/download/win2000platform/extract/
1.00.0.1/nt5/en-us/extract_setup.exe

exctrlst.exe - Extensible Performance Counter List

Windows 2000 Resource Kit

성능 카운터 라이브러리 등록 도구:

http://download.microsoft.com/download/win2000platform/exctrlst/
1.00.0.1/nt5/en-us/exctrlst_setup.exe


dureg.exe - Registry Size Estimator

Windows 2000 Resource Kit

레지스트리 사용량 측정 도구:

http://download.microsoft.com/download/win2000platform/webpacks/
1.00.0.1/nt5/en-us/dureg.exe


dumpfsmos.cmd - Dump FSMO Roles

Windows 2000 Resource Kit

Active Directory FSMO 정보 조회를 위한 덤프 도구:

http://download.microsoft.com/download/win2000platform/webpacks/
1.00.0.1/nt5/en-us/dumpfsmos.exe


dumpel.exe - 이벤트 로그 덤프 도구

Windows 2000 Resource Kit

이벤트 로그 덤프 도구:

http://download.microsoft.com/download/win2000platform/webpacks/
1.00.0.1/nt5/en-us/dumpel.exe



Windows 2000 Server Resource Kit에는 dumpel.exe라는 도구가 있습니다. dumpel.exe를 %SystemRoot%\System32 또는 path로 설정된 폴더에 복사한 뒤, 다음과 같은 문법을 사용하여 탭 구분 형식으로 이벤트 로그를 저장할 수 있습니다.


DUMPEL 사용 방법:

dumpel -f filename -l log -t

-f 다음에 만들어질 텍스트 파일의 경로와 이름을 씁니다.
-l 다음에는 로그의 종류를 쓰는데, system, security, application 중 하나이어야 합니다.
-t는 항목을 탭(tab)으로 구분한다는 뜻입니다.

예를 들어, 다음 내용과 같이 배치 파일을 만들면 각각의 이벤트 로그를 텍스트로 저장할 수 있습니다.

@echo off
dumpel -f sys.txt -l system -t
dumpel -f sec.txt -l security -t
dumpel -f app.txt -l application -t

http://support.microsoft.com/kb/602023/ko

drmapsrv.exe - Terminal Services Drive Share

Windows 2000 Resource Kit

터미널 서비스에서 공유폴더 및 공유 드라이브 설정 도구:

http://download.microsoft.com/download/win2000platform/drmapsrv/
1.0/nt5/en-us/drmapsrv_hotfix.exe


drivers.exe - List Loaded Drivers

Windows 2000 Resource Kit

로드된 드라이버 리스트 조회 도구:

http://download.microsoft.com/download/win2000platform/drivers/
1.0/nt5/en-us/drivers.exe

2008년 3월 29일 토요일

dmdiag.exe - Disk Manager Diagnostics

Windows 2000 Resource Kit

디스크 점검 도구:

http://download.microsoft.com/download/win2000platform/webpacks/
1.00.0.1/nt5/en-us/dmdiag.exe


dhcpexim.exe - DHCP Database Export Import Tool

Windows 2000 Resource Kit

DHCP 설정 백업 및 복원 도구:

http://www.microsoft.com/downloads/details.aspx?familyid=
3603ae26-81f0-478a-836c-b31ed463af5e


delsrv.exe - Delete Server

Windows 2000 Resource Kit

Windows 서비스 제거 도구:

http://download.microsoft.com/download/win2000platform/webpacks/
1.00.0.1/nt5/en-us/delsrv.exe


delrp.exe - Delete File and Reparse Points

Windows 2000 Resource Kit

파일 및 디렉토리의 파일시스템 연결 지점 삭제 및 재분석 도구:

http://download.microsoft.com/download/win2000platform/webpacks/
1.00.0.1/nt5/en-us/delrp.exe


dcdiag.exe - Domain Controller Diagnostic Tool

Windows 2000 Resource Kit

Active Directory Domain Controller 점검 점검 도구:

http://download.microsoft.com/download/win2000platform/update/
5.0.2195.2103/nt5/en-us/dcdiag_setup.exe


clustsim.exe - Cluster Verification Utility

Windows 2000 Resource Kit

2노드 클러스터 설정 점검 도구:

http://download.microsoft.com/download/win2000platform/webpacks/
1.00.0.1/nt5/en-us/clustsim.exe


apimon.exe - Application Programming Interface monitor

Windows 2000 Resource Kit

API 호출 모니터링 도구:

http://download.microsoft.com/download/win2000platform/apimon/1.0/nt5/en-us/apimon.exe

adsizer.exe - Active Directory Sizer

Windows 2000 Resource Kit

Active Directory 구축을 위한 사전 측정 도구:

http://download.microsoft.com/download/win2000platform/assizer/1.0/nt5/en-us/setup.exe

2008년 3월 28일 금요일

해킹사례 - Http 연결 대량 유입으로 인한 서비스 거부

DDoS 공격은 그 의미 그대로, 분산 서비스 거부 공격인데요. DDoS 에 관련된 자료는 인터넷에 꽤나 많이 공개되어 있으므로 패쓰...

공격 패턴중에 하나인 Distributed Denial of Http Connection 에 관련된 사항입니다. 물론 공격자가 어떤 공격 솔루션을 이용해는 지는 잘 모르겠고..,

- 많기도 많거니와,. 그 방법도 다양하므로... -

일단,. 웹서비스에 대해서 대량 접속을 시도하게 되면 웹서버에서는 허용된 처리량을 초과하게 됩니다. 보통 웹서버에서 처리가능한 큐갯수를 훨씬 상회하거나 특정 페이지 호출로 인해서 그 페이지 처리로 인한 CPU 로드 증가 입니다.


다음 사례는, 오전 8시 30분 경부터 공격을 시작해서 몇일간 지속된 사례 입니다. 공격시점 으로 부터 시간이 계속 지날수록 공격 호스트는 점점 줄어들게 됩니다.


<Http Connection>

분산되어 있는 여러 호스트들에 의해서 접속이 시작되면 위처럼 Http 연결수가 순간 급격 하게 증가하게 됩니다. 또한 웹요청 Queue 도 급격하게 증가하여 웹서버의 제한값을 초과하게 되며, 그와 동시에 그 처리 비용으로 CPU 로드도 함께 상승하는데요.



<패킷통계>



<CPU Usage>

위의 경우는, 타켓 장비는 제온 2.0G 듀얼, 2G RAM 입니다. 특정 페이지 호출로 인해서 임시 조치로 해당 페이지를 삭제 조치하였습니다. 그럼에도 거의 100% 를 지속적으로 유지함을 볼수가 있습니다.




또한, 공격자가 요청하는 내용은 특정 웹사이트의 특정 페이지를 계속해서 요청하는 것으로, 초기 공격시점에 요청페이지를 삭제하였으나, 예기치 않게 그로 인해서 트래픽 또한 평소의 몇배를 초과하는 최대 625Mbps 가 유발 되었습니다.


<Traffic, 녹색-out>

이유는, 웹서버측에서는 클라이언트측의 없는 페이지를 대상으로 지속적인 요청에 따라 404 메시지를 리턴해 주기 때문에 오히려 웹사이트 호스트 프로세스와 inetinfo.exe 에서 유발됩니다.

그러면 왜 삭제후에 더 높게 나왔냐? 하면 공격자가 요청한 페이지는 프레임이 들어가 단순 페이지이며 실제 요청만 하고 웹서버측에서 리턴해 주는 메시지를 받지 않도록 공격하기 때문 입니다.




실제 404 로 리턴되는, C:\WINNT\help\iisHelp\common\404b.htm 페이지 사이즈는 매우 작은 편입니다. 그러나 그 요청수가 매우 많기 때문에 600Mbps 가까이 나온 것입니다.



<html><body><h1> HTTP/1.1 404 Object Not Found</h1></body></html>


위 리턴 되는 패킷의 크기라고 해봐야 몇십 byte 수준입니다. 그것이 합해져 600Mbps 나온다면 그 요청수가 얼마나 많은지 가늠할수 있을것 입니다.


이와 같은 공격의 대응방법은, 역시 IPS 장비를 앞단에 설치후 Http 요청의 패턴을 파악후 그 패턴에 의한 요청 패킷을 Drop 처리해 주면 됩니다.

다만, 이러한 특정 서비스 거부 공격의 효과가 없다고 공격자가 판단하는 경우에는 몇 Gbps 를 상회하는 트래픽 공격을 하게 되어, 그때에는 특정 장비 수준이 아닌 해당 네트워크 전체가 마비되는  더 큰 피해를 입히는 공격 패턴을 시도하게 됩니다.


참고문서:

최근 분산서비스공격(Distributed DOS attack)의 트랜드 : 네트워크 공격
http://www.serverinfo.pe.kr/TipnTech.aspx?Seq=302

DDoS 공격사례, 기법 및 이를 위한 Arp Spoofing 등 기술문서
http://www.serverinfo.pe.kr/TipnTech.aspx?Seq=388


27-svrhitnum-day.gif
27-ddos_http_protocol.gif
27-nt-cpu-day.gif
27-ddos_http_taskmanager.gif
27-traffic.gif
27-ddos_http_404.gif
27-ddos_http_packet.gif

2008년 3월 27일 목요일

Windows Memory Diagnostic Tool - 메모리 테스트 도구



 다운로드 및 설명서 : http://oca.microsoft.com/en/windiag.asp


26-Windows_Memory_Diagnostic.gif

MEMORY.DMP - MEPAGE_FAULT_IN_NONPAGED_AREA (50)

Windows 2000 Kernel Version 2195 (Service Pack 4) MP (4 procs) Free x86 compatible
Product: Server, suite: TerminalServer SingleUserTS
Kernel base = 0x80400000 PsLoadedModuleList = 0x80485b80

BugCheck 50, {fffeffbe, 0, e3282b1b, 0}

*** ERROR: Module load completed but symbols could not be loaded for e1000nt5.sys
Probably caused by : e1000nt5.sys ( e1000nt5+1c3c )


PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced.  This cannot be protected by try-except,
it must be protected by a Probe.  Typically the address is just plain bad or it
is pointing at freed memory.

Arguments:
Arg1: fffeffbe, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: e3282b1b, If non-zero, the instruction address which referenced the bad memory
 address.
Arg4: 00000000, (reserved)


Debugging Details:
------------------


READ_ADDRESS:  fffeffbe Nonpaged pool expansion

FAULTING_IP:
+ffffffffe3282b1b
e3282b1b 1a52aa          sbb     dl,byte ptr [edx-56h]

MM_INTERNAL_CODE:  0

DEFAULT_BUCKET_ID:  INTEL_CPU_MICROCODE_ZERO

BUGCHECK_STR:  0x50

PROCESS_NAME:  inetinfo.exe

TRAP_FRAME:  bdfde664 -- (.trap ffffffffbdfde664)
ErrCode = 00000000
eax=00000045 ebx=dcde25a7 ecx=00000000 edx=ffff0014 esi=dcde25a8 edi=bdf5e81c
eip=e3282b1b esp=bdfde6d8 ebp=bdf5e6f4 iopl=0         nv up ei pl nz ac po cy
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010213
e3282b1b 1a52aa          sbb     dl,byte ptr [edx-56h]      ds:0023:fffeffbe=??
Resetting default scope

LAST_CONTROL_TRANSFER:  from 8046b063 to 8044c790

STACK_TEXT: 
bdfde64c 8046b063 00000000 fffeffbe 00000000 nt!MmAccessFault+0x7dc
bdfde64c e3282b1b 00000000 fffeffbe 00000000 nt!KiTrap0E+0xc7
WARNING: Frame IP not in any known module. Following frames may be wrong.
bdfde6d4 8047c7a0 88bc5788 88b728b0 00040001 0xe3282b1b
bdfde710 bfd2fc3c 88efb008 88beea30 bdfde784 nt!IopSecurityResource
bdfde7f4 bfd2f999 00000000 bfd2faff 88bae2e8 e1000nt5+0x1c3c
bdfde820 bfe0b5e4 88efb008 bdfde84c 00000001 e1000nt5+0x1999
bdfde840 bf307d12 00000000 88beea30 88bae488 NDIS!ndisMSendX+0x11d
bdfde868 bf32300b 88bae488 88beea30 88bf7530 tcpip!ARPSendData+0x1b2
bdfde898 bf303f24 88bae400 bdfde902 00000001 tcpip!ARPTransmit+0x187
bdfde98c bf30a97c 87a32ce8 8798c008 00002bf7 tcpip!IPTransmit+0x5ef
bf30a963 f84d8b08 7b4815ff 558abf33 ffcb8bff tcpip!CloseRCE+0xfc
bf30a96b 558abf33 ffcb8bff 337b4815 8b12ebbf 0xf84d8b08
bf30a96f ffcb8bff 337b4815 8b12ebbf 358bf84d 0x558abf33
bf30a973 337b4815 8b12ebbf 358bf84d bf337b48 0xffcb8bff
bf30a977 8b12ebbf 358bf84d bf337b48 558ad6ff 0x337b4815
bf30a97b 358bf84d bf337b48 558ad6ff ffcb8bff 0x8b12ebbf
bf30a97f bf337b48 558ad6ff ffcb8bff 5b5e5fd6 0x358bf84d
bf30a983 558ad6ff ffcb8bff 5b5e5fd6 0004c2c9 tcpip!_imp_KfReleaseSpinLock
bf337b48 800650df 80064d00 80064ca8 80069e22 0x558ad6ff
bf337b4c 80064cff 80064ca8 80069e22 80065600 hal!HalpPerfInterrupt+0xbf
bf337b50 80064ca7 80069e22 80065600 80065634 hal!KeRaiseIrqlToSynchLevel+0x1b
bf337b54 80069e21 80065600 80065634 00000000 hal!PicNopHandler+0x3f
bf337b58 800655ff 80065634 00000000 bfe1b410 hal!HalCalibratePerformanceCounter+0x15
bf337b5c 80065633 00000000 bfe1b410 bfe25cb6 hal!HalpReleaseHighLevelLock+0x7
bf337b60 00000000 bfe1b410 bfe25cb6 bfe0b927 hal!ExAcquireFastMutex+0x33

STACK_COMMAND:  kb

FOLLOWUP_IP:
e1000nt5+1c3c
bfd2fc3c 80bb600d000000  cmp     byte ptr [ebx+0D60h],0

SYMBOL_STACK_INDEX:  4

SYMBOL_NAME:  e1000nt5+1c3c

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: e1000nt5

IMAGE_NAME:  e1000nt5.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  3e63f579

FAILURE_BUCKET_ID:  0x50_e1000nt5+1c3c

BUCKET_ID:  0x50_e1000nt5+1c3c

Followup: MachineOwner

0: kd> lmvm e1000nt5
start    end        module name
bfd2e000 bfd4b400   e1000nt5   (no symbols)          
    Loaded symbol image file: e1000nt5.sys
    Image path: \SystemRoot\system32\DRIVERS\e1000nt5.sys
    Image name: e1000nt5.sys
    Timestamp:        Tue Mar 04 09:38:17 2003 (3E63F579)
    CheckSum:         00020AE5
    ImageSize:        0001D400
    Translations:     0000.04b0 0000.04e0 0409.04b0 0409.04e0



관련 kb:

http://support.microsoft.com/default.aspx/kb/832336/ko
http://msdn2.microsoft.com/en-gb/library/ms793437.aspx
http://support.microsoft.com/kb/222635/en-us
http://support.microsoft.com/kb/811016/en-us
http://support.microsoft.com/kb/924809/en-us
http://support.microsoft.com/kb/833154/en-us
http://support.microsoft.com/kb/315819/en-us
http://support.microsoft.com/kb/833414/en-us
http://support.microsoft.com/kb/812343/en-us
http://support.microsoft.com/kb/842642/en-us
http://support.microsoft.com/kb/834287/en-us


2008년 3월 25일 화요일

MEMORY.DMP - UNEXPECTED_KERNEL_MODE_TRAP (7f)

BugCheck 7F, {8, 0, 0, 0}

Probably caused by : ntkrnlmp.exe ( nt!IopDecrementDeviceObjectRef+46 )


UNEXPECTED_KERNEL_MODE_TRAP (7f)
This means a trap occurred in kernel mode, and it's a trap of a kind
that the kernel isn't allowed to have/catch (bound trap) or that
is always instant death (double fault).  The first number in the
bugcheck params is the number of the trap (8 = double fault, etc)
Consult an Intel x86 family manual to learn more about what these
traps are. Here is a *portion* of those codes:
If kv shows a taskGate
        use .tss on the part before the colon, then kv.
Else if kv shows a trapframe
        use .trap on that value
Else
        .trap on the appropriate frame will show where the trap was taken
        (on x86, this will be the ebp that goes with the procedure KiTrap)
Endif
kb will then show the corrected stack.
Arguments:
Arg1: 00000008, EXCEPTION_DOUBLE_FAULT
Arg2: 00000000
Arg3: 00000000
Arg4: 00000000


Debugging Details:
------------------

BUGCHECK_STR:  0x7f_8

TSS:  00000028 -- (.tss 28)
eax=00000000 ebx=88b8ee70 ecx=00000000 edx=00000000 esi=00000000 edi=87c0b5d8
eip=8042524a esp=afefcc38 ebp=afe7cc74 iopl=0         nv up ei pl zr na pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010246
nt!IopDecrementDeviceObjectRef+0x46:
8042524a c20800          ret     8
Resetting default scope

DEFAULT_BUCKET_ID:  INTEL_CPU_MICROCODE_ZERO

PROCESS_NAME:  winmgmt.exe

LAST_CONTROL_TRANSFER:  from 00000000 to 8042524a

STACK_TEXT: 
afe7cc74 00000000 87f17200 87f171f0 89033b40 nt!IopDecrementDeviceObjectRef+0x46

STACK_COMMAND:  .tss 0x28 ; kb

FOLLOWUP_IP:
nt!IopDecrementDeviceObjectRef+46
8042524a c20800          ret     8

SYMBOL_STACK_INDEX:  0

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: nt

IMAGE_NAME:  ntkrnlmp.exe

DEBUG_FLR_IMAGE_TIMESTAMP:  45ec3c8f

SYMBOL_NAME:  nt!IopDecrementDeviceObjectRef+46

FAILURE_BUCKET_ID:  0x7f_8_VRF_nt!IopDecrementDeviceObjectRef+46

BUCKET_ID:  0x7f_8_VRF_nt!IopDecrementDeviceObjectRef+46

Followup: MachineOwner


2: kd> .tss 28
eax=00000000 ebx=88b8ee70 ecx=00000000 edx=00000000 esi=00000000 edi=87c0b5d8
eip=8042524a esp=afefcc38 ebp=afe7cc74 iopl=0         nv up ei pl zr na pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010246
nt!IopDecrementDeviceObjectRef+0x46:
8042524a c20800          ret     8

2: kd>  !thread
THREAD 87e63da0  Cid 308.b44  Teb: 7ffdb000  Win32Thread: ba0f7ec0 RUNNING
Impersonation token:  e2b7a030 (Level Impersonation)
Owning Process 88a93d60
Wait Start TickCount    10694982      Elapsed Ticks: 0
Context Switch Count    676                   LargeStack
UserTime                  0:00:00.0015
KernelTime                0:00:00.0031
Start Address KERNEL32!BaseThreadStartThunk (0x77e5b740)
Win32 Start Address wbemcomn!CExecQueue::_ThreadEntry (0x6567b770)
Stack Init afe7d000 Current afe7cca0 Base afe7d000 Limit afe7a000 Call 0
Priority 9 BasePriority 8 PriorityDecrement 0 DecrementCount 0

ChildEBP RetAddr  Args to Child
00000000 8042524a 00000000 00000000 00000000 nt!KiTrap08+0x41
afe7cc74 00000000 87f17200 87f171f0 89033b40 nt!IopDecrementDeviceObjectRef+0x46

2: kd> !pcr
PCR Processor 2 @89046000
 NtTib.ExceptionList: afe7cd48
     NtTib.StackBase: afe7cdf0
    NtTib.StackLimit: afe7a000
  NtTib.SubSystemTib: 00000000
       NtTib.Version: 00000000
   NtTib.UserPointer: 00000000
       NtTib.SelfTib: 7ffdb000

             SelfPcr: 89046000
                Prcb: 89046120
                Irql: 00000000
                 IRR: 00000000
                 IDR: ffffffff
       InterruptMode: 00000000
                 IDT: 8904a008
                 GDT: 89050988
                 TSS: 89050908

       CurrentThread: 87e63da0
          NextThread: 00000000
          IdleThread: 8904ada8

2: kd> !cpuinfo
CP F/M/S Manufacturer  MHz Update Signature Features
 0 15,2,9 GenuineIntel 2389 0000000000000000 00002fff
 1 15,2,9 GenuineIntel 2389 0000000000000000 00002fff
TargetInfo::ReadMsr is not available in the current debug session
 2 15,2,9 GenuineIntel 2389>0000000000000000<00002fff
 3 15,2,9 GenuineIntel 2389 0000000000000000 00002fff


관련 kb
http://support.microsoft.com/default.aspx/kb/842465
http://support.microsoft.com/kb/303268/en-us
http://support.microsoft.com/kb/909665/en-us
http://support.microsoft.com/kb/276069/en-us
http://support.microsoft.com/kb/891722/en-us
http://support.microsoft.com/kb/814789/en-us
http://support.microsoft.com/kb/309065/en-us
http://support.microsoft.com/kb/160671/en-us
http://support.microsoft.com/kb/835281/en-us
http://support.microsoft.com/kb/137539/en-us


2008년 3월 24일 월요일

MRxSmb / ID: 8003

마스터 브라우저가 컴퓨터 SEARCH-20에서 서버 알림을 받았으며 이 컴퓨터는 자신을 전송 NetBT_Tcpip_{B27A1D79-547F-4FE8에 대하여 도메인의 마스터 브라우저인 것으로 간주합니다. 마스터 브라우저가 중지되고 있거나 선택을 요구받고 있습니다.

자세한 정보는 http://go.microsoft.com/fwlink/events.asp에 있는 도움말 및 지원 센터를 참조하십시오.

2008년 3월 22일 토요일

MEMORY.DMP - DRIVER_VERIFIER_DETECTED_VIOLATION (c4)

Loading Dump File [C:\WINNT\MEMORY.DMP]
Kernel Complete Dump File: Full address space is available

Symbol search path is: SRV*c:\websymbols*http://msdl.microsoft.com/download/symbols;C:\WINDDK\pmdnf\objchk\i386
Executable search path is:
Windows 2000 Kernel Version 2195 (Service Pack 4) MP (4 procs) Free x86 compatible
Product: Server, suite: TerminalServer SingleUserTS
Kernel base = 0x80400000 PsLoadedModuleList = 0x80485b80
Debug session time: Sat Mar 22 03:39:46.828 2008 (GMT+9)
System Uptime: 0 days 0:00:39.671

Use !analyze -v to get detailed debugging information.

BugCheck C4, {0, 0, 1, 0}

*** ERROR: Module load completed but symbols could not be loaded for aw_host5.sys
*** ERROR: Module load completed but symbols could not be loaded for ati2drad.DLL
*** ERROR: Module load completed but symbols could not be loaded for awvid5.dll
*** ERROR: Symbol file could not be found.  Defaulted to export symbols for winsrv.dll -
Probably caused by : aw_host5.sys ( aw_host5+1f30 )

Followup: MachineOwner

DRIVER_VERIFIER_DETECTED_VIOLATION (c4)
A device driver attempting to corrupt the system has been caught.  This is
because the driver was specified in the registry as being suspect (by the
administrator) and the kernel has enabled substantial checking of this driver.
If the driver attempts to corrupt the system, bugchecks 0xC4, 0xC1 and 0xA will
be among the most commonly seen crashes.
        Parameter 1 = 0x1000 .. 0x1020 - deadlock verifier error codes.
               Typically the code is 0x1001 (deadlock detected) and you can
               issue a '!deadlock' KD command to get more information.
Arguments:
Arg1: 00000000, caller is trying to allocate zero bytes
Arg2: 00000000, current IRQL
Arg3: 00000001, pool type
Arg4: 00000000, number of bytes

Debugging Details:
------------------


BUGCHECK_STR:  0xc4_0

CURRENT_IRQL:  0

DEFAULT_BUCKET_ID:  INTEL_CPU_MICROCODE_ZERO

PROCESS_NAME:  csrss.exe

LAST_CONTROL_TRANSFER:  from 805329d0 to 8052d1ec

STACK_TEXT: 
f652f2f4 805329d0 00000001 00000000 746e7741 nt!ExAllocatePoolSanityChecks+0x2c
f652f314 8053239a 00000001 00000000 746e7741 nt!VeAllocatePoolWithTagPriority+0x14
f652f338 f6731f30 00000001 00000000 746e7741 nt!VerifierAllocatePoolWithTag+0x44
WARNING: Stack unwind information not available. Following frames may be wrong.
f652f380 8052d926 88ea65f0 baf79f20 00000000 aw_host5+0x1f30
f652f3cc 8052d563 00000000 baf79f38 88e800f0 nt!IovSpecialIrpCompleteRequest+0x18c
f652f3e4 f6447889 88e80038 80064d18 88ea8530 nt!IovCompleteRequest+0x27
f652f428 8052dcd6 88e80038 baf79f20 baf79f20 VIDEOPRT!pVideoPortDispatch+0x53d
f652f474 8052d4cf 88ea66a8 baf79ff4 baf79f20 nt!IovSpecialIrpCallDriver+0xcd
f652f490 f6731bf7 88ea65f0 baf79f20 88ea65f0 nt!IovCallDriver+0x31
f652f4a4 f67306eb 88ea65f0 88ea66a8 88ea65f0 aw_host5+0x1bf7
f652f508 8052d4cf baf79f20 80064d18 00000000 aw_host5+0x6eb
f652f524 a005d6af f652f5ec f652f5c0 00000000 nt!IovCallDriver+0x31
f652f554 a005d712 88ea65f0 00230400 f652f5a4 win32k!GreDeviceIoControl+0xa5
f652f578 a0198527 88ea65f0 00230400 f652f5a4 win32k!EngDeviceIoControl+0x1d
f652f5a8 a01978a9 88ea65f0 f652f5c0 f652f5bc ati2drad+0x3527
f652f5c8 a01924c5 88ea65f0 00000000 00000000 ati2drad+0x28a9
f652f5f0 a0191e6e a0191db8 baebffd0 00000000 awvid5+0x14c5
f652f608 a00c34b4 88ea65f0 00000000 00000000 awvid5+0xe6e
f652f62c a00c56c9 baec5e78 88ea65f0 f652f650 win32k!ldevGetDriverModes+0x33
f652f65c a00c5ef0 00000000 00000000 f652fb44 win32k!DrvBuildDevmodeList+0xa4
f652f6ec a00c898e badf9f88 f652fbf4 f652fbc0 win32k!DrvProbeAndCaptureDevmode+0x3ac
f652fbf8 a00c94e2 00000000 00000000 00000001 win32k!DrvCreateMDEV+0x3bd
f652fcf4 a007cbe5 00000000 00000000 00000000 win32k!DrvChangeDisplaySettings+0x279
f652fd34 a0071d55 00000000 f652fd64 0015fd9c win32k!InitVideo+0x27
f652fd48 a007d12b f652fd64 80468389 889c2008 win32k!UserInitialize+0x9a
f652fd50 80468389 889c2008 00000068 0000006c win32k!NtUserInitialize+0x99
f652fd50 5ffcd789 889c2008 00000068 0000006c nt!KiSystemService+0xc9
0015fdb4 5ff833f3 00163cf0 00162a33 00162a4f winsrv!UserSoundSentry+0x1ed15
0015fe2c 5ff823ff 00162a2c 00162a33 00000003 CSRSRV!CsrLoadServerDll+0x1bf
0015ff78 5ff82035 0000000a 00162800 00000000 CSRSRV!CsrParseServerCommandLine+0x27f
0015ff94 5fff1107 0000000a 001627e8 0016285c CSRSRV!CsrServerInitialization+0x95
0015ffb4 5fff12bd 0000000a 001627e8 00162814 csrss!main+0x4d
0015fff4 00000000 7ffdf000 000000c8 00000100 csrss!NtProcessStartup+0x18d


STACK_COMMAND:  kb

FOLLOWUP_IP:
aw_host5+1f30
f6731f30 894370          mov     dword ptr [ebx+70h],eax

SYMBOL_STACK_INDEX:  3

SYMBOL_NAME:  aw_host5+1f30

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: aw_host5

IMAGE_NAME:  aw_host5.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  3bd478a0

FAILURE_BUCKET_ID:  0xc4_0_VRF_aw_host5+1f30

BUCKET_ID:  0xc4_0_VRF_aw_host5+1f30

Followup: MachineOwner
---------

2: kd> lmvm aw_host5
start    end        module name
f6730000 f6737280   aw_host5   (no symbols)          
    Loaded symbol image file: aw_host5.sys
    Image path: \SystemRoot\system32\drivers\aw_host5.sys
    Image name: aw_host5.sys
    Timestamp:        Tue Oct 23 04:50:56 2001 (3BD478A0)
    CheckSum:         00012985
    ImageSize:        00007280
    File version:     10.5.0.469
    Product version:  5.0.2195.1620
    File flags:       8 (Mask 3F) Private
    File OS:          40004 NT Win32
    File type:        3.7 Driver
    File date:        00000000.00000000
    Translations:     0000.04b0
    CompanyName:      Symantec Corporation
    ProductName:      pcAnywhere
    InternalName:     AW_HOST5.SYS
    OriginalFilename: AW_HOST5.SYS
    ProductVersion:   10.5.0
    FileVersion:      10.5.0
    FileDescription:  pcAnywhere Host Driver for Windows 2000
    LegalCopyright:   Copyright (c) 1991-2000 Symantec Corporation


Driver Verifier (Verifier.exe)를 사용하여 장치 드라이버 문제를 해결하는 방법

해당문서: http://support.microsoft.com/kb/244617/ko



Driver Verifier (Verifier.exe) 는, Windows 2000 부터는 기본적으로 제공되는 드라이버 확인 프로그램입니다. 주로 하드웨어등 드라이버에 의한 시스템오류, 보통 블루스크린이나 메모리 덤프가 발생할때 이용할수 있습니다.



kb 문서에도 나와 있지만, 직접 레지스트리를 수정하거나, 위 GUI 프로그램을 통해서 설정하면 자동으로 레지스트리에 기록해 줍니다.


레지스트리에 기록후에는, 필히 리붓팅을 해야 지정된 드라이버의 로드 시점부터 모니터링을 하게 됩니다.

 

XP 나, Windows Server 2003, 2008 모두 제공하며 GUI 사용 방법상 약간의 변화가 있습니다. 커널 디버거를 이용할때에도 원인을 일으키는 곳을 훨씬 더 쉽게 추적할수 있습니다.

자세한 사용법은 해당 kb 문서 참고를...^^;;


추가 참고 kb

Things to consider before you enable Driver Verifier Manager on production servers:
http://support.microsoft.com/kb/251233/

Partial List of Possible Error Codes with Driver Verifier:
http://support.microsoft.com/kb/229903/


21-Driver_Verifier_1.gif
21-Driver_Verifier_3.gif
21-Driver_Verifier_2.gif
21-Driver_Verifier_4.gif

2008년 3월 21일 금요일

WSUS 3.0 SP1, Windows Update를 통해서 조만간 배포 예정



패치나 업데이트 관리를 할수 있는 무료 제품인 WSUS 3.0 에 대한 SP1 을 Windows Update 를 통해서 조만한 배포 예정이라고 합니다. SP1 인 만큼 그닥 달라진건 없는것 같습니다.

- 다음주 정도에는 Vista SP1 도 WSUS 를 통해서 배포가 가능해 질거라 하네요... -

Windows Server 2008 지원, SQL Server 2008 지원 및 성능 향상, 리포트를 엑셀로 가져갈수 있도록 기능 추가했다고 합니다.






현재 SP1은 직접 다운로드 가능한 상태입니다.

다운로드:
http://www.microsoft.com/downloads/details.aspx?FamilyId=
F87B4C5E-4161-48AF-9FF8-A96993C688DF&displaylang=en

2008년 3월 19일 수요일

Windows Vista Service Pack 1 배포



다운로드:

http://www.microsoft.com/downloads/details.aspx?FamilyId=B0C7136D
-5EBB-413B-89C9-CB3D06D12674&displaylang=en


현재는, 3월 18일자로,

5개 언어만 릴리즈가 되어 있는 상태이며, 한글 버젼도 곧 배포 대상에 포함이 될것 같습니다.

Windows Server 2008 와의 완벽한 궁합을 위해서는

Vista Service Pack 1 이 필요하겠지요..^^;;

TestDisk - MFT(파일 시스템 테이블) 및 Boot Sector(부트 섹터) 복구 유틸



TestDisk 는 오픈소스 프로젝트 중에 하나로, Windows 를 포함하여 대부분의 운영체제에서 사용되는 파일 시스템에 대해서 복구 및 부트 섹터 복구를 지원하는 유틸입니다. ^^;;

프로젝트 웹사이트 : http://www.cgsecurity.org/

다음과 같은 기능을 하며,

 - Fix partition table, recover deleted partition 
 - Recover FAT32 boot sector from its backup 
 - Rebuild FAT12/FAT16/FAT32 boot sector 
 - Fix FAT tables 
 - Rebuild NTFS boot sector 
 - Recover NTFS boot sector from its backup 
 - Fix MFT using MFT mirror 
 - Locate ext2/ext3 Backup SuperBlock

다음과 같은 운영체제를 지원 합니다.

 - DOS (either real or in a Windows 9x DOS-box), 
 - Windows (NT4, 2000, XP, 2003), 
 - Linux, 
 - FreeBSD, NetBSD, OpenBSD, 
 - SunOS and 
 - MacOS


TestDisk 에 대한 자세한 내용은, 프로젝트 웹사이트나 위키 사이트를 참고해 보시고,.
설명서는 다음 링크를 참조하면 될것 같습니다.

http://www.cgsecurity.org/wiki/TestDisk_Step_By_Step 

만약 오류가 발생했거나, 부트 섹터를 새로 만든 경우에는
쓰기를 해야 하고 리붓팅을 해야 적용이 됩니다. ^^;

write_mbr_i386: starting...
write_all_log_i386: starting...
No extended partition
You will have to reboot for the change to take effect.


18-TestDisk_1.gif

2008년 3월 18일 화요일

WinMgmt / ID: 8

손상된 저장소를 복원할 때 사용하기 위한 백업 저장소를 만들지 못했습니다. 디스크 공간이 충분한지 확인하십시오.

EventSystem / ID: 4098

COM+ 이벤트 시스템이 가입 {3CE5891C-0268-4DA9-BFBE-F81CF6EAE7E3}에 대한 Logon 메서드를 시작하지 못했습니다. 가입자가 HRESULT 800706BA을(를) 반환했습니다.

ESENT / ID: 413

wuaueng.dll(944) 로그를 작성할 수 없습니다. 드라이브가 읽기 전용이거나 디스크 공간이 부족하거나 잘못 구성되거나 손상되었을 수 있습니다. -1811 오류

ESENT / ID: 412

wuaueng.dll(944) 로그 헤더를 읽을 수 없습니다. -530 오류

2008년 3월 15일 토요일

MSSQLSERVER / ID: 17891

리소스 모니터(0x4c8) 작업자 0x03D1C0E8이(가) 노드 0에서 생성되지 않은 것 같습니다. 사용 가능한 메모리: 84720KB. 대략적인 CPU 사용량: 커널 78ms, 사용자 62ms, 간격: 60001.

SQLDUMPER 5000
http://www.serverinfo.pe.kr/QnA/EventId.aspx?No=255

오류와 연관이 있는것 같음.

SQLDUMPER / ID: 5000

EventType sql90exception, P1 sqlservr.exe, P2 2005.90.3054.0, P3 46049bfc, P4 sqlservr.exe, P5 2005.90.3054.0, P6 46049bfc, P7 0, P8 011a7bdc, P9 00000091, P10 NIL.

자세한 정보는 http://go.microsoft.com/fwlink/events.asp에 있는 도움말 및 지원 센터를 참조하십시오.
데이터:
0000: 73 00 71 00 6c 00 39 00 s.q.l.9.
0008: 30 00 65 00 78 00 63 00 0.e.x.c.
0010: 65 00 70 00 74 00 69 00 e.p.t.i.
0018: 6f 00 6e 00 2c 00 20 00 o.n.,. .
0020: 73 00 71 00 6c 00 73 00 s.q.l.s.
0028: 65 00 72 00 76 00 72 00 e.r.v.r.
0030: 2e 00 65 00 78 00 65 00 ..e.x.e.
0038: 2c 00 20 00 32 00 30 00 ,. .2.0.
0040: 30 00 35 00 2e 00 39 00 0.5...9.
0048: 30 00 2e 00 33 00 30 00 0...3.0.
0050: 35 00 34 00 2e 00 30 00 5.4...0.
0058: 2c 00 20 00 34 00 36 00 ,. .4.6.
0060: 30 00 34 00 39 00 62 00 0.4.9.b.
0068: 66 00 63 00 2c 00 20 00 f.c.,. .
0070: 73 00 71 00 6c 00 73 00 s.q.l.s.
0078: 65 00 72 00 76 00 72 00 e.r.v.r.
0080: 2e 00 65 00 78 00 65 00 ..e.x.e.
0088: 2c 00 20 00 32 00 30 00 ,. .2.0.
0090: 30 00 35 00 2e 00 39 00 0.5...9.
0098: 30 00 2e 00 33 00 30 00 0...3.0.
00a0: 35 00 34 00 2e 00 30 00 5.4...0.
00a8: 2c 00 20 00 34 00 36 00 ,. .4.6.
00b0: 30 00 34 00 39 00 62 00 0.4.9.b.
00b8: 66 00 63 00 2c 00 20 00 f.c.,. .
00c0: 30 00 2c 00 20 00 30 00 0.,. .0.
00c8: 31 00 31 00 61 00 37 00 1.1.a.7.
00d0: 62 00 64 00 63 00 2c 00 b.d.c.,.
00d8: 20 00 30 00 30 00 30 00 .0.0.0.
00e0: 30 00 30 00 30 00 39 00 0.0.0.9.
00e8: 31 00 20 00 4e 00 49 00 1. .N.I.
00f0: 4c 00 0d 00 0a 00 L.....

HttpWatch - 웹사이트 디버깅 툴



http://www.httpwatch.com/

여러 웹사이트 디버깅 툴들이 있지만, HttpWatch 도 그중에 하나이지만 꾀 훌륭한 툴 입니다. 서버 운영자에게는 그닥 필요가 없을것 같습니다만, 역시 웹개발자나 디자이너에게는 제 역할을 할것 같습니다.^^



웹사이트 디버깅 툴이 대부분 흡사한 기능을 갖추고 있기는 하지만, HttpWatch 는 훨씬더 다양한 기능을 제공하는 것 같습니다. 물론,. 상용버젼에 대한 것이지만..

기능설명 : http://www.httpwatch.com/features.htm

주로 성능에 초점을 맞춘 툴로 보여집니다. 물론 프리웨어 버젼도 위 그림 처럼 쓸만합니다.


이와 비슷한 관련툴 로는,.

Http 웹 디버깅 프락시, Charles 3:
http://www.serverinfo.pe.kr/Tools/UsefulTools.aspx?Seq=45

웹사이트 디버깅 - Internet Explorer Developer Toolbar:
http://www.serverinfo.pe.kr/Tools/UsefulTools.aspx?Seq=8

이외에도 검색해 보면 많습니다. ^^;;


15-HttpWatch_0.png
15-HttpWatch_1.gif

SQL Server 2005 Integration Services (데이터 통합) 포켓북

SQL Server 2005 에서 새롭게 추가된 기능인, SQL Server Integration Services(SSIS) 에 관한 포켓북 시리즈중에 하나입니다.

"SQL Server 2005 Integration Services (데이터 통합) 포켓북" 는 제 웹사이트 즐겨찾기에도 등록되어 있는 http://www.sqlleader.com/ 를 운영하시는 한대성 MVP 님이 작성하는 포켓북 입니다.


다운로드:
http://download.microsoft.com/download/6/8/f/68f15f44-e957-
4a1a-97b8-b7444e4d0379/SSIS2005_Pocket.PDF



감수 역시, 업계에서 유명하신 SQL Server 전문가 이신 하성희 MVP 님이 해주셨는데요.
뭐 같은 회사에 근무하는 사이라....

포켓북 내용에도 잘 정리되어 있지만, http://www.sqlleader.com/ 에도 별도의 카테고리를 통해서 SSIS 강좌를 업데이트 해주고 있습니다.


여러 SQL 을 전문으로 하는 커뮤니티가 있긴 합니다만, http://www.sqlleader.com/ 도 꾀나 훌륭한 사이트 입니다. 이글을 보시는 분들도 즐겨찾기 해보시는게 어떻세요?..^^;;

-- 한대성 MVP님 저 잘했죠?..ㅋㅋ--

2008년 3월 14일 금요일

Sphinx - PHP 로 커스텀 검색 엔진 구현하기

Sphinx를 사용하여 콘텐트를 색인하고, 텍스트를 빠르게 찾으며, 유용한 검색 결과 만들기


http://www.sphinxsearch.com/


무료의 오픈 소스 검색 엔진으로서 텍스트를 매우 빠르게 검색하도록 설계되었다.

예를 들어, 다섯 개의 인덱스 컬럼과 약 30만 개의 행을 가진 활성 데이터베이스에서, 각 컬럼은 15 단어를 포함하고 있다면, Sphinx는 "any of these words" 검색 결과를 100분의 1초 안에 찾아낸다.
(2-GHz AMD Opteron 프로세서, 1 GB RAM, Debian Linux® Sarge).

C++로 작성되어 있고, Windows 기반도 지원 한다고 합니다.
요즘 검색엔진 프로젝트가 꾀 많군요..

자세한 내용은 다음 링크의 문서를 참고 해보세요..^^;;

http://www.ibm.com/developerworks/kr/library/
os-php-sphinxsearch/index.html



14-sphinx.jpg

2008년 3월 11일 화요일

iaStor / ID: 9

제한 시간 내에 \Device\Ide\iaStor0 장치가 응답하지 않았습니다.

-->
INTEL S5000VSA
Intel 631xESB/632xESB SATA AHCI Controller
Windows Server 2003, Non Raid

Disk 교체후에도 동일한 메시지 발생한것으로 봐서는,
iaStor.sys 드라이버 또는 메인보드 ICH 컨트롤러 품질에 문제가 있거나....

2008년 3월 8일 토요일

마이크로소프트의 신규 OS 커널 프로토 타입, Singularity

금일자 Zdnet 기사에 흥미로운게 하나 올라와 있네요.^^;;
새로운 OS 를 개발하고 있다는 얘기는 본적이 있는데 말이지요..



"Singularity는 차기 윈도우와는 상관이 없다"
"OS와 애플리케이션간 정보 교환 방법에 대한 새로운 패러다임을 제시할 것"
"고수준 프로그램 언어인 C#의 확장판으로 기술
"

http://www.zdnet.co.kr/news/enterprise/os/0,39031185,39166615,00.htm


후후,,. 이것에 관해서는, 이미 오래전에도 기사가 한번 나온적이 있기는 하지만 TechFest 같은 공식 행사에서 발표가 되었다는게 의미가 있을것 같습니다.

http://research.microsoft.com/os/singularity/

물론 당분간은, 기억하지 않아도 될것 같다는 생각인데요,. 




커널의 안정성이나 OS 로서의 기반을 갖추는데만 몇년이 더 소요될것이고 거기에 어플리케이션 까지의 작동 까지 고려한다면 현실세계 데뷔는 족히 10년은 넘을것 같아 보입니다.^^

성능도 성능이지만, C# 이용했다는 것은 기존 보다는 커널에 접근할수 있는 방법이 훨씬 쉬워졌다는 것에도 주목할 필요가 있을것 같습니다..

Singularity 에 대한 보다 상세한 내용은, 코드플렉스나 위 Microsoft Research 페이지를 참고해 보면 좋을것 같습니다.^^;;

참고로,  Microsoft Research 는 별 희안한 아이디어 연구로도 잘 알려져 있습니다.
동영상으로 공개된게 많은데요,. 정말 재미있는것도 많습니다.^^;;

2008년 3월 7일 금요일

IIS 7 원격 관리툴 - Internet Information Services (IIS) 7.0 Manager 다운로드

Internet Information Services (IIS) 7.0 Manager 는 Windows Server 2003, XP, Vista 에서 Windows Server 2008 에 설치된 IIS 7 을 원격으로 관리할수 있는 도구 입니다.




다운로드:

http://www.iis.net/downloads/default.aspx?tabid=34&g=6&i=1626




관리툴은, 해당 IIS 서버에 접속하는 방법과, IIS 7 서버에서 원격 접속이 설정된 특정 사이트나 응용프로그램에 접속이 가능합니다.



06-iis7-mgr-1.jpg
06-iis7-mgr-2.gif

Microsoft FTP Publishing Service for IIS 7 다운로드

Windows Server 2008 로 오면서, RTM 까지 내장되어 있는 FTP 는 기존의 6.0 버젼용 입니다. 그래서 IIS 7.0 에 맞는 FTP는 따로 다운 받아서 설치를 해야 합니다.

다운로드:

FTP 7 x86 버전 다운로드 : http://www.iis.net/go/1619  
FTP 7 x64 버전 다운로드 :
http://www.iis.net/go/1620


RTM 에 포함된 FTP 설치시


FTP 7 설치 완료후




06-iis7-ftp-1.gif
06-iis7-ftp-2.gif

Quest PowerGUI - GUI 기반 PowerShell 툴

PowerShell 은, 시스템 관리를 위한 새로운 Shell 프로그램 입니다. 말 그대로 텍스트 커맨드라인 기반의 강력한툴 입니다.

다만,. 커맨드 기반이라서 GUI에 익숙해져 있거나 새로운 기능을 다 익히지 못한 경우에는 다소 불편하 점이 있는게 사실이죠..-_-;;

PowerShell 이 나온뒤로,. 이러한 불편함을 극복하기 위해서 다양한 GUI 기반 툴들이 속속 나오고 있는데 그중에 Quest PowerGUI 는 가장 뛰어난 툴인것 같습니다.



Quest PowerGUI 다운로드:
http://powergui.org/downloads.jspa

PowerShell 1.0 다운로드:
http://www.microsoft.com/windowsserver2003/
technologies/management/powershell/download.mspx


PowerGUI 를 사용하기 위해서는, 사전에 PowerShell 을 다운로드 해서 설치되어 있어야 합니다.



PowerGUI 는 몇가지 쿼리 샘플을 준비해 놓고 있습니다. 물론 템플릿을 수정하거나 추가로 만들거나 또는 기존에 만들어진 템플릿을 가져 올수도 있습니다.





기존 템플릿중 하나를 실행하면,. 위와 같은 그리드 기반 출력 결과를 보여줍니다. 이와 같이 보여줄수 있는 것은 PowerShell 의 데이터 리턴은 텍스트가 아닌 Object 기반이기 때문입니다.^^




출력 결과에 대해서 여러가지 옵션을 줄수 있으며,. XML, CSV, HTML 등의 다양한 결과를 저장이 가능합니다. 물론 위와 같은것은 기존 커맨드라인에서도 가능은 합니다..



앞서 얘기한, 템플릿의 속성에 대해서 출력 컬럼이나 여러가지 파라미터를 줄수가 있는데요,. 역시나 템플릿 작성도 쉽게 할수가 있습니다.

 

또 하나, 내장된 강력한 툴중 하나인 Script Editor 입니다. 최근의 프로그래밍 툴 대부분이 인텔리센스를 지원하는데요. 이 툴 역시 코드작성시 인텔리센스를 지원하므로 보다 쉽게 명령행 작성이 가능해 집니다.

물론, http://www.serverinfo.pe.kr/Tools/UsefulTools.aspx?Seq=40 처럼 PowerShell 2.0 자체의 GUI Script Editor 도 인텔리센스를 지원하기는 하지만 CTP 상태라서 아직은 조금 부족한 부분이 있긴 합니다.^^;;

추가로, GUI 기반 다른 툴
http://www.serverinfo.pe.kr/Tools/UsefulTools.aspx?Seq=47


06-powergui-0.jpg
06-powergui-1.gif
06-powergui-2.gif
06-powergui-3.gif
06-powergui-4.gif
06-powergui-5.gif
06-powergui-6.gif

2008년 3월 6일 목요일

Server Performance Advisor (SPA) - 성능 분석 도구 - 1

Server Performance Advisor 는 Windows Server 2003 에서의 성능 이슈 분석을 위한 툴입니다. 주로 IIS 및 Active Directory 관련된 성능 문제 분석을 위해서 사용하는 도구입니다. 이미 효과적으로 활용하고 있는 관리자들도 많을것 같습니다.



다운로드:
http://www.microsoft.com/downloads/details.aspx?familyid=09115420-8C9D-46B9-
A9A5-9BFFCD237DA2&displaylang=en


성능 분석을 위해서 꼭 Server Performance Advisor 툴이 필요한 것은 아닙니다. 이툴의 로그 데이터 역시 기존의 성능 로그의 추적로그 기반이기 때문입니다.



다만 추적로그의 경우, 생성된 로그파일을 Logman, Log Parser 와 같은 몇가지 유틸을 이용해서 수작업으로 분석을 해야 하지만 Server Performance Advisor 의 경우에는 생성된 추적 로그를 기준으로 매우 다양한 통계 리포트를 제공해 줍니다.

한마디로, 로그 쌓는거야 쉽지만,. 분석이 어렵다는 것이라는 말인데요..^^;;

참고 - IIS Admin 서비스를 추적하는 방법:
http://www.serverinfo.pe.kr/TipnTech.aspx?Seq=279


추적로그에서 제공하는 각 프로바이더는 성능 카운터 로그와 달리 매우 상세하게 추적된 로그를 남겨 줍니다. 대신에 사용량이 많으면 많은 만큼 로그파일 용량이 급격하게 증가합니다.

Server Performance Advisor 는 추적로그의 분석뿐만 아니라 기존의 성능 카운터에서 제공하는 카운터 로그를 추적하는 기능도 제공합니다. 물론 원격 로그 수집 기능도 가능합니다.



데이터 수집 및 리포트는 기본 템플릿으로 제공되는 데이터 수집 그룹을 생성하여 추적을 하거나 또는 사용자 정의 그룹에 필요한 항목의 로그만 추가하여 분석이 가능합니다.

기본 템플릿은 관련 추천값을 넣어 놓기는 했지만 여러가지 데이터가 포함되어 있으므로 분석에 그닥 필요치 않을 경우 사용자 정의가 더 좋을수도 있겠다는 생각입니다. 물론 처음에는 템플릿을 이용하다가 익숙해 지면 사용자 정의로 만들어서 분석하는 방법도 좋을것 같고요..^^;;

위는 추적 로그를 수집이 가능하도록 해주는 프로바이더 입니다. x 표 되어 있는것은 해당 서버에 해당 서비스가 설치되어 있지 않거나 disable 이 되어 있는 거겠고요..



다음은, 추적된 로그를 분석한 리포트의 Overview 입니다. 말 그대로 IIS 에 대해서 분석된 성능에 대한 전체 개괄 인데요.



Report 아이콘을 클릭하면 보다 상세한 로그 개괄 분석 결과를 볼수가 있습니다. 그리고 각 상세 분석항목마다 훨씬더 자세한 분석 결과를 볼수가 있습니다. 간단한 예로,. 해당 웹서버에서 가장 많이 요청된 웹페이지 주소나 실행시 가장 많은 CPU를 소모한 웹주소라든가...^^;;



만약 IIS 기본 템플릿을 이용해서 분석하였다면,. 종종 워커프로세스가 아닌 WWW 서비스가 죽는 경우 이벤트 로그나 IIS 로그를 토대로 원인 추적을 해보아도 별다른 성과가 없다면 위와 같은 추적로그툴을 한번쯤은 이용해 보는 것도 좋을것 같습니다.


05-spa_1.gif
05-spa_2.gif
05-spa_3.gif
05-spa_4.gif
05-spa_5.gif
05-spa_6.gif

2008년 3월 3일 월요일

Windows Server 2008 평가판 및 MUI 언어팩 다운로드




Download :
Windows Server 2008 v6.0 Build 6001 Standard | 64-Bit
Download : Windows Server 2008 v6.0 Build 6001 Enterprise | 64-Bit
Download : Windows Web Server 2008 v6.0 Build 6001 | 64-Bit
Download : Windows Server 2008 Datacenter v6.0 Build 6001 | 64-Bit

Download :
Windows Server 2008 MUI(Multilingual User Interface) 언어 팩

MUI 언어 팩(Windows Server® 언어 팩)을 사용하면 Windows Server® 2008 환경에서 MUI를 사용할 수 있습니다. Windows Server® 2008 이미지에 언어 팩을 하나 이상 추가하면 설치된 Windows Server® 운영 체제에서 하나 이상의 언어를 사용할 수 있기 때문에 기업에서는 지역화된 사용자 인터페이스를 그대로 제공하는 한편 전 세계에 동일한 Windows Server® 2008 이미지를 배포할 수 있습니다.


03-Windows%20Server%202008%20logo_3.png

2008년 3월 2일 일요일

세계 최대의 악성코드(malware), 스파이웨어(spyware) 지원지는 러시아와 중국

http://www.news.com/8301-13860_3-9875663-56.html?tag=bl  포스트를 보면,. 러시아와 중국이 가장 많은 malware 를 만들어 내고 있다고 PC Tools 는 얘기하고 있습니다.




러시아의 경우에는 옛 소련연방 시절 부터 뭐 해킹쪽에 한가닥 해서 지금 까지 그런 실력? 이 남아 있는것 같고 중국의 경우에는, 이런 "짱께" 라는 표현을 써도 될만큼 해킹,악성코드,DDos 공격등 뭐 네트워크 위험 세계최고의 악의축 이죠.. -_-;;

다음은 악성코드, 스파이웨어 생산국 톱 10 순위 입니다.

1. Russia - 27.89 percent

2. China - 26.52 percent


3. United States - 9.98 percent

4. Brazil - 6.77 percent

5. Ukraine - 5.45 percent

6. United Kingdom - 5.34 percent

7. France - 3.81 percent

8. Germany - 2.14 percent

9. Sweden - 1.6 percent

10. Spain - 1.37 percent

Windows 기반에서의 MySQL 운영 비율이 매우 높아..

http://cooolguy.bloter.net/tt/cooolguy/19  글은, Cooolguy 님이 http://dev.mysql.com/tech-resources/articles/mysql_on_windows.html 글을 번역해서 올려 포스트 입니다.

- 본 웹사이트는 아직 트랙백 기능을 만들지 않아서 트랙백을 쏠수가 없어서 걍 씁니다..^^;; -


해당 필자인 "Robin Schmacher" 의 글을 보면 상당 수긍이 가는 내용입니다. 물론 비 Windows 계열에서는 무슨 소리냐? 라는 얘기가 나올수 있겠지만...,




Windows Server 에 대한 선입견 아직도 많습니다. "성능도 낮고 잘 죽으며 보안에도 매우 취약하다" 라며 말이지요.

위 포스트 내용과 관련해서, 주목해 볼만 한 부분이 다음 인것 같습니다.


"2006년 연말 당시의 설문에 의하면 MySQL Community의 52%가 Windows 플랫폼에서 운영 업무를 돌리고 있고 (1위), 42%의 엔터프라이즈 고객이 Windows 플랫폼에서 운영 업무를 구동하고 있으며 (Redhat에 이어 2위), 66%의 OEM/Embedded 데이터베이스 고객들이 운영어플리케이션을 위해 Windows 플랫폼을 사용하고 있었습니다. (1위)"



물론 필자가 지적한 것처럼 100% 동의는 할수 없겠지요.

설치된 환경 하나 일일히 조사할수 없으므로 100% 정확한것은 아니지만 기존에 가지고 있던 생각과 실제는 매우 다르다는 결과는 의심의 여지가 없을것 같습니다.


제 얘길 해 볼까요?

근무하는 곳은 서버호스팅 서비스를 하는 VIDC 입니다. 서버 대수는 약 1,600 여대 이고 그중에 고객이 직접 관리하는 서버는 약 200 여대 내외입니다. 나머지는 저 같은 엔진니어가 직접 설정 부터 운영, 관리까지 하는 서비스를 이용하고 있습니다.

그럼, 위 내용과 관련해서 현재 MySQL 은 일반적으로 알려진 Linux 에 거의 설치 및 운영이 되고 있습니다. Windows 환경에서 MySQL 운영 비율은 약 5% 내외 남짓 입니다.

그러면,. 뭐냐?.. Cooolguy 님이 지적한 것처럼 최선은 Windows + SQL Server 이기 때문이며 거의 대부분의 고객은 SQL Server 를 설치하기에 Windows Server 에서 그처럼 MySQL 설치 비율이 낮은 것입니다.

실제 MySQL 이 설치되어 운영되는 Windows Server 에서의 MySQL은 위 포스트 내용처럼 매우 훌륭하다는 점입니다. 가볍고 빠르며 안정적이고 관리가 쉽습니다.

- 대부분, 제로보드 같은 PHP 기반 툴을 이용하기 위해서 설치되거나 PHP 로 웹사이트 개발을 하는 개발자가 Windows 환경을 선호 한다는 이유도 많습니다. -

SQL Server 가 더 좋은게 아니라,. 현재 데이터베이스 제품 포지션이 약간 다르기 때문이며, 특히 웹기반 서비스에서는 MySQL 도 오라클이나 SQL Server 못지 않거나 더 빠르다는 조사 결과가 나오기도 합니다.^^;;

2019년 11월 MS 취약점 패치 주요 사항

CVE-2019-0712 | Windows Hyper-V 서비스 거부 취약성 https://portal.msrc.microsoft.com/ko-KR/security-guidance/advisory/CVE-2019-0712 CVE-2019-0719...