Sysinternals Tools

Die frühere Webseite www.sysinternals.com war schon immer eine Fundgrube für Administratoren, da die Betreiber sehr viele Tools kostenfrei bereit gestellt haben. Dazu zählen z.B. REGMON und FILEMON, welche in Echtzeit mitschneiden, welche Dateien gerade im Zugriff sind oder welche Registry-Schlüssel angesprochen werden. Damit sind diese beiden Tools zu meinen Favoriten geworden, wenn es Probleme beim Betrieb von Programmen gibt. Man findet wunderbar "verlorene" Registrierungsschlüssel oder falsche Pfadangaben oder fehlende Berechtigungen.

Einige Tools waren aber lange Zeit dem kommerziellen "Adminpack" vorbehalten, welches ziemlich viel Geld für einen einfachen Admin gekostet hat. Wobei gerade die Notfall-CD natürlich im Desasterfall ihr Geld sehr schnell wieder verdient hat. Allerdings haben Tools wie Barts PEBuilder und die Windows 2008 WinPE-CD diesen Vorteil relativiert.

Microsoft hat dann Sysinternals übernommen und während die kostenfreien Tools sehr schnell auf der TechNet Webseite integriert wurden, war es ziemlich still um die kommerziellen Hilfsprogramme.

ADInsight

ADInsight
http://www.microsoft.com/technet/sysinternals/utilities/adinsight.mspx

Seit dem 05. November gibt es nun aber auch "ADInsight" als Freeware. Dieses kleine Tool komplettiert die Debugkette nun auch um LDAP. Über eine DLL, die lokal eingebunden wird, kann ADInsight jeden Zugriff auf das Active Directory mitschneiden. Die "Lightversion" kann allerdings nur lokal arbeiten und nicht remote zugreifen. Aber das hindert mich ja dann nicht, entweder auf dem System mitzuschneiden, auf dem ich die Zugriffe auslöse oder direkt auf dem Domaincontroller die Anfragen anzuschauen.

Hier sehen Sie eine Anfrage von ADSIEDIT beim Start gegen einen Domaincontroller.

ADInsight

Man sieht, dass zuerst ein anonymer Zugriff erfolgt und dann eine Anmeldung mit meinem Benutzer durchgeführt wird. In der Folge sieht man die Abfragen der RootDSE.

Sie können sich sicher vorstellen, wie der Trace aussieht, wenn Sie Ein Exchange Setup mit "PrepareAD" bzw. "Domainprep" durchführen. Es ist eine gute Hilfe, wenn eine Anwendung auf ihrem PC nicht funktionieren will und Sie mit ADInsight einfach mitschneiden, welche LDAP-Abfragen die Anwendung durchführt und was die entsprechende Antwort ist.

Filemon

FileMon
http://www.microsoft.com/technet/sysinternals/Utilities/Filemon.mspx

Das zweite Werkzeug ist der FILEMON, welcher jeden Zugriff auf das Dateisystem (auch Netzwerk) protokolliert

Filemon#

Man sieht hier z.B.: gut, dass das Programm "fpassist" der Freeware "FreepDF" regelmäßig das Verzeichnis abscannt, in welchem der Druckertreiber die Postskriptdatei zur Weiterverarbeitung ablegt."

Regmon

Regmon
http://www.microsoft.com/technet/sysinternals/Utilities/Regmon.mspx

Das dritte Tool im Bunde ist REGMON. Einfach starten und schon werden alle Zugriffe auf die Registrierung mit protokolliert.

RegMin

Man kann einfach auf den Prozess klicken um diesen auszuschließen. Ein Doppelklick auf den Pfad öffnet REGEDIT direkt an der entsprechenden Stelle. Auf der einen Seite ist es erstaunlich, wie viele Zugriffe die Registrierung pro Sekunde abwickelt. Auf der anderen Seite ist es erschreckend, welche Schlüssel von den verschiedenen Programmen gelesen werden.

Für eine effektive Arbeit muss man natürlich die Filter nutzen.

Weitere Tools

 Damit ist der Schatz von Sysinternals bei weitem noch nicht komplett gehoben. Schauen Sie sich doch einfach noch die anderen Tools von Sysinternals an. Interessant könnten sein:

Weitere Links