В данной статье описаны модули оперативной коррекции (hotfixes), выпущенные вскоре после появления пакета исправлений Windows 2000 Service Pack 1 (SP1) для Windows 2000. В середине августа был опубликован список из 70 исправлений для Windows 2000 + SP1. Хотя многие из исправлений для Windows 2000 Professional применимы и к Windows 2000 Server, и к Windows 2000 Advanced Server, я не рассматриваю исправления, относящиеся только к серверным версиям Windows 2000.

Чтобы читателям было легче ориентироваться, все исправления организованы по следующим категориям: рабочий стол, служба DNS, утилита Dr.Watson, групповая политика, аппаратное обеспечение, утечки памяти, взаимодействие с Windows NT 4.0, сетевая работа. Об исправлениях в системе безопасности Windows 2000, появившихся уже после выхода SP1, рассказано во врезке «Важные исправления в подсистеме безопасности». Для ссылок на сами исправления даны их URL. И поскольку я имею право на редактирование официальных названий исправлений, во многих случаях я позволила себе изменить эти названия так, чтобы они более точно отражали суть описываемой проблемы.

Общее положение - устанавливать исправления следует только в том случае, когда одна из перечисленных проблем проявилась. В тех случаях, когда необходимое исправление не открыто для общего доступа, следует связаться со службой Microsoft Product Support Services (PSS) и запросить соответствующее обновление. Нужно иметь в виду, что в Microsoft могут попросить представить документальное подтверждение возникшей проблемы и описание поведения системы, не противоречащего проявлению этой ошибки.

Исправления для рабочего стола

Пользователи, не обладающие административными полномочиями, не могут поменять размер системного шрифта. В статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q258/7/02.asp, сообщается, что только администраторы системы могут изменить размер шрифта на дисплее с мелкого до крупного и наоборот как для рабочих станций, так и для серверов Windows 2000. Чтобы увидеть, как проявляется эта ошибка, нужно зарегистрироваться в системе как обычный пользователь, а затем открыть контекстное меню рабочего стола и выбрать команду Properties для отображения диалогового окна Display Properties, последовательно щелкнув на закладке Settings и Advanced. Обратите внимание на то, что поле Font Size (размер шрифта) недоступно. Если требуется предоставить обычным пользователям Windows 2000 возможность изменять размер шрифта дисплея, нужно инсталлировать исправление desk.cpl от 11 апреля 2000 г. Это исправление можно получить, обратившись в службу поддержки Microsoft PSS.

С помощью утилиты Sysprep иногда не удается установить «неродные» подписанные драйверы. Если для клонирования систем Windows 2000 используется утилита Sysprep, то можно столкнуться со следующей ошибкой службы Plug-and-Play (PnP). Когда создается система, в состав которой входит драйвер производства независимой компании или же «неродной» драйвер, а затем происходит обновление образа системы с использованием подписанного (или тестируемого) драйвера с помощью записи OEMPnPDriversPath в информационном файле Sysprep.inf, операционная система отказывается устанавливать новый подписанный драйвер. В соответствии с описанием ошибки, приведенным в статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q260/3/19.asp, утилита Sysprep некорректно возвращает информацию из оригинального .inf-файла драйвера. Если производится обновление сборки (build) системы и при этом используются подписанные драйверы вместо неподписанных, необходимо обратиться в службу PSS и приобрести исправленную библиотеку syssetup.dll, выпущенную 11 мая 2000 г.

Хранитель экрана не работает, если консоль заблокирована. Кому-то, возможно, приходилось сталкиваться с проблемами в работе хранителя экрана в системе Windows 2000, входящей в состав рабочей группы. Если это так, я могу привести одну из возможных причин возникновения этой ошибки, а также два способа ее устранения. Служба Graphical Identifi-cation and Authentication (GINA) операционной системы Windows 2000 отображает хранитель экрана, если пользователь описал его параметры. Но когда Windows 2000 является членом какой-либо рабочей группы (не принадлежит домену), она отключает GINA-функцию отображения диалогового окна Computer Locked, тем самым препятствуя запуску собственно программы - хранителя экрана. Для того чтобы убедиться в наличии в системе этой ошибки, нужно активизировать защищенный паролем хранитель экрана, нажать комбинацию Ctrl+Alt+Del и затем клавишу Enter, блокируя консоль. Если после этого появляется диалоговое окно Unlock Computer, вместо окна Computer Locked, то налицо проблема хранителя экрана. Для получения исправления следует обратиться в PSS и загрузить версию библиотеки msgina.dll от 12 апреля 2000 г.

Описанную проблему можно обойти, вручную активизировав диалоговое окно Computer Locked в разделе Winlogon реестра. В разделе реестра HKEY_LOCAL_ MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon нужно добавить параметр DisableCAD, и описать значение этого параметра следующим образом: тип данных - REG_DWORD, значение - 0х1. Если установить значение параметра в 0 (0х0), а не в 1 (0х1), служба GINA не сможет отображать диалоговое окно Computer Locked. Документальное подтверждение ошибки можно найти в статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q254/5/00.asp.

Исправления в работе службы DNS

После обновления версии Windows с NT 4.0 на Windows 2000 подставляется неправильный суффикс DNS. После перехода на Windows 2000 процедура обновления снимает флажок Change primary DNS suffix when domain membership changes («сменить основной DNS-суффикс при смене членства в домене») в закладке Network Identification (диалоговое окно System Properties). Этот нюанс обновления становится проблемой в тех случаях, когда выполняется переход с системы NT 4.0 на контроллер домена Windows 2000. Дело в том, что нельзя изменить имя компьютера или суффикс DNS после того, как контроллер домена переходит в рабочее состояние. В результате контроллер не может самостоятельно зарегистрироваться в иерархии Active Directory (AD), так как суффикс DNS не соответствует имени домена в AD. Если администратор системы столкнулся с подобной проблемой, в журнале System он увидит сообщение следующего содержания: «Attempt to update DNS Host Name of the computer object in Active Directory failed. The following error occurred: The parameter is incorrect» («Сбой при обновлении атрибута DNS Host Name объекта компьютер в Active Directory. Ошибка: параметр некорректный»). Код сообщения - Event ID - 5789.

Microsoft выпустила исправление этой ошибки в виде новой версии библиотеки netcfgx.dll от 18 мая 2000 г. При желании данное затруднение можно исправить вручную: после того как процесс обновления будет завершен и запустится утилита Dcpromo, нужно выйти из программы Dcpromo, перейти в My Computer и выбрать Properties. Далее следует открыть закладку Network Identification, установить флажок Change primary DNS suffix when domain membership changes и снова запустить программу Dcpromo.

Невозможно очистить кэш на сервере DNS. В реализацию сервера Windows 2000 DNS вкралась ошибка, которая не позволяет администратору системы сбросить кэш имен DNS. При попытке очистить кэш с помощью программы DNS Administrator утилита выдает следующее сообщение об ошибке: «The server cache cannot be cleared. DNS zone already exists in the directory service» («Кэш сервера не может быть очищен. Зона DNS уже существует в Directory Service»). Если попытаться очистить кэш с командной строки с помощью команды dnscmd /clearcache, может возникнуть сообщение об ошибке failed: status = 9718 (0x000025f6).

Необходимо обратиться в службу PSS для получения исправления, которое поможет корректно очистить кэш DNS-сервера. В статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q257/8/28.asp, говорится, что исправление обновляет файл dns.exe и датируется 17 апреля 2000 г.

Неверные DNS-записи не удаляются. Если сайт Windows 2000 был создан без контроллера домена, а позднее добавляется локальный контроллер домена, то может возникнуть следующая проблема. При создании сайта без контроллера домена операционная система Windows 2000 сама назначает контроллеры домена из других сайтов, «покрывая» ими созданный сайт. После установки локального контроллера домена необходимо удалить записи на DNS-сервере, которые ссылаются на использование сторонних контроллеров домена (из других сайтов), гарантируя тем самым, что только локальный контроллер домена имеет право проводить регистрационную аутентификацию. Как поясняется в статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q262/2/89.asp, ошибка в NetLogon приводит к тому, что неверные записи на DNS-сервере после установки локального контроллера домена Windows 2000 остаются в базе данных DNS. Обратившись в службу PSS, можно получить обновление библиотеки netlogon.dll от 6 мая 2000 г.

Обновление DHCP-клиентов и динамической службы DNS. Если в сети для назначения IP-адресов клиентам Windows 2000 используется DHCP-сервер производства независимой компании, то в параметры настройки протокола TCP/IP (раздел реестра HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesTcpipParameters) рекомендуется добавить параметр DisableDynamicUpdate. В результате DHCP-клиенты Windows 2000 смогут посылать запросы на регистрацию в службу DDNS. Однако ошибка в коде программного обеспечения клиента Windows 2000 DHCP приводит к тому, что система игнорирует указанную глобальную установку, так что рекомендация Microsoft не работает, и клиенты продолжают посылать запросы на динамическую регистрацию. Если необходимо в самом деле отключить обновленную версию DDNS для систем Windows 2000, следует позвонить в службу PSS и попросить прислать соответствующее исправление - новую версию библиотеки dhcpcsvc.dll от 18 мая 2000 г.

Проблема описана в статье Microsoft по адресу: http://support.microsoft.com/ support/kb/articles/q263/5/50.asp. Для того чтобы ее обойти, следует отключить функцию динамического обновления для каждого сетевого интерфейса. Открыв окно Properties для сетевого соединения, нужно дважды щелкнуть на пункте Internet Protocol (TCP/IP), затем нажать Advanced и выбрать закладку DNS. В открывшемся диалоговом окне следует снять флажок Register this connection`s address in DNS («зарегистрировать адрес этого соединения в DNS»).

Исправления программы Dr. Watson

Утилита Ipconfig «подвешивает» ser-vices.exe. Утилита Ipconfig имеет два переключателя, которые могут помочь при возникновении проблем, связанных с разрешением имен. Переключатель /displaydns возвращает список всех имен в кэш DNS-сервера, а переключатель /flushdns очищает кэш. Когда кэш содержит очень много имен и запускается команда Ipconfig с любым из указанных переключателей, в процессе перечисления кэш-записей программа services.exe «подвисает».

В статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q262/6/37.asp, сказано, что такое поведение программы services.exe наблюдается при числе записей в кэш DNS-сервера 2000 и более. Причем только тогда, когда проверка содержимого кэша осуществляется с командной строки. В случае «зависания» services.exe чаще всего систему приходится перезагружать. Если Ipconfig - одна из ваших любимых программ поиска и устранения неисправностей в системе, рекомендую обратиться в службу поддержки PSS и получить исправление Ipconfig. Соответствующее исправление обновляет два компонента, dnsapi.dll и dnsrslvr.dll. Дата исправления - 19 мая 2000 г.

Ошибка Inetinfo access violation во время остановки IISAdmin. Наверняка многим приходилось сталкиваться с сообщением Inetinfo access violation в системе Windows 2000, на которой запущен IIS 5.0. В статье Microsoft по адресу: http://support.microsoft.com/ support/kb/articles/q264/6/28.asp, объясняется, что программа Inetinfo может вызвать сбой с ошибкой Access violation или Stop с точкой остановки в отладчике, когда предпринимается попытка выключить службу IISAdmin. Сбой Inetinfo происходит в результате попытки в процессе остановки службы выполнить обращение по несуществующим адресам памяти. Необходимо обратиться в PSS и получить исправление, которое устранит неверную ссылку в область оперативной памяти. Это исправление также обновляет два файла, coadmin.dll и metadata.dll. Дата исправления - 8 июня 2000 г.

Клиент Terminal Services вызывает ошибку Explorer access violation. Когда создается соединение с помощью программы клиента Connection Manager из состава Windows 2000 Server Terminal Services, а затем соответствующая иконка копируется на рабочий стол клиента, в explorer.exe может возникнуть ошибка, связанная с нарушением доступа (access violation). В статье Microsoft по адресу: http://support.microsoft.com/ support/kb/articles/q262/1/37.asp, отмечается, что данную ошибку можно исправить путем установки обновленной версии программы conman.exe, выпущенной 6 мая. Получить исправление можно, обратившись напрямую в службу PSS.

«Экран смерти от Win32k.sys». Некоторая необычная последовательность кода вызывает «экран смерти от Win32k.sys» со стоп-кодом Stop Code of 0x0000001e. Проблема возникает тогда, когда какая-либо программа создает windowstation-дескриптор, копирует данные к Clipboard, а затем завершает работу. В процессе обработки завершения программы подсистема Win32k.sys пытается обратиться к W32Thread после того, как операционная система уже удалила этот поток. Описание проблемы приводится в статье Microsoft по адресу: http://support.microsoft.com/ support/kb/articles/q269/5/93.asp. За исправлением этой ошибки следует обращаться в службу PSS. Обновлению подлежат файлы win32k.sys, winsrv.dll, user32.dll и gdi32.dll. Даты выпуска обновлений находятся в диапазоне от 31 мая до 1 августа 2000 г.

«Зависание» многопроцессорной системы Windows 2000. В статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q266/1/32.asp, описывается ситуация, когда многопроцессорные системы под управлением Windows 2000 «зависают» во время старта операционной системы на фоне окна Preparing Network Connections. Если возникла такая проблема, нужно обратить внимание на значение параметра реестра по адресу: HKEY_LOCAL_MACHINESYSTEM CurrentControlSet ControlLsaAuditBaseObjects (тип REG_DWORD). Оно установлено равным 1. В статье не сказано, почему или когда это значение появляется в реестре, но отмечается, что оно «вынуждает» библиотеку isasrv.dll входить в цикл. Необходимо обратиться в службу PSS и приобрести новую версию isasrv.dll, выпущенную 22 июня 2000 г.

Исправления в работе с групповыми политиками

Невозможно использовать групповую политику для пользователя, входящего более чем в 70 групп. Если в базе данных AD имеются пользователи, которые являются членами более 70 групп, то нужно установить исправление для всех станций - членов домена Windows 2000, причем как можно скорее. Когда пользователь регистрируется, операционная система добавляет в маркер доступа пользователя SID-идентификатор каждой группы, членом которой он является, после чего этот маркер отсылается в пакете Kerberos на проверку (аутентификацию) контроллеру домена. Если пользователь входит в состав более 70 групп, маркер доступа, представляющий все групповые SID-идентификаторы, выходит за пределы максимально допустимой длины пакета Kerberos (8 Кбайт). В тот момент, когда длина маркера превышает максимально допустимую длину пакета, операционная система Windows 2000 не может установить, в каком контексте работает пользователь, а это означает, что ни один сетевой ресурс пользователю доступен не будет.

В статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q263/6/93.asp, администратору системы предлагается обратиться в PSS за исправлением данной ошибки. В исправление входит два файла: kerberos.dll (дата реализации 7 июня 2000 г.) и ksecdd.sys (дата реализации 26 мая).

Групповая политика разрушает слишком длинный список приложений Run Only Allowed Applications. Это еще один «жучок» в реализации групповых политик, который порождает хаос в сети Windows 2000. При добавлении файлов в список Run Only Allowed Applications («запускать только разрешенные приложения») для групповой политики на уровне OU список становится нечитаемым после того, как суммарное число байт в именах файлов превысит 1024. Например, можно столкнуться с этой проблемой, если список состоит из 10 приложений, каждое из которых, с учетом пути к файлу, занимает в описании около 100 байт. В статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q263/1/79.asp, где описана данная проблема, рекомендуется обратиться в службу PSS за исправлением. Исправление обновляет файл gptext.dll (31 мая 2000 г.).

Исправления в аппаратном обеспечении

Применение службы Modem Sharing плохо согласуется с работой модемов. При использовании Windows 2000 Internet Connection Sharing (ICS) для соединения с пулом, модем может не ответить или ответить некорректно независимо от того, в тоновом или импульсном режиме совершается набор. Несовместимость между клиентом службы Modem Sharing и входящим в операционную систему стандартным драйвером Unimodem приводит к тому, что клиент посылает в модем неверную последовательность инициализации. Данная проблема описана в статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q263/6/43.asp. Заинтересованные пользователи могут обратиться в службу поддержки PSS за исправлением (новой версией modem.sys), выпущенным 17 мая.

Контроллер Toshiba PC Card для R2 PC Card настроен на 5 В вместо положенных 3,3. Если пользователь работает с портативным или блокнотным компьютером от Toshiba, значит, драйвер pcmcia.sys для Windows 2000 PC Card использует неправильную настройку вольтажа для карт R2 PC. Ошибка приводит к тому, что Windows 2000 поддерживает питание 5 В для карт R2 PC, в то время как они изначально разрабатывались для 3,3 В. За исправлением проблемы вольтажа необходимо обратиться в службу PSS. Данное исправление обновляет файл pcmcia.sys (реализация 21 июня 2000 г.). Проблема описана в статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q265/2/96.asp.

Поддержка режима ATA-100 (Mode 5) в Windows 2000. Дисковый драйвер Windows 2000 обслуживает все жесткие диски ATA-100 (Mode 5) IDE в режиме ATA-66 (Mode 4). Если нужно использовать IDE-диски ATA-100, необходимо обратиться в Microsoft PSS за новой версией драйвера atapi.sys, в которой поддерживаются операции с жестким диском в режиме Mode 5. В статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q260/2/33.asp, отмечается, что исправление, выпущенное 27 апреля, затрагивает четыре файла - atapi.sys, intelide.sys, pciide.sys и pciidex.sys (дата реализации та же). После установки исправления, в Device Manager в закладке Advanced Settings появляется значение, соответствующее режиму работы PIO. Этот факт вовсе не означает, что данное устройство теперь функционирует в программируемом режиме ввода/вывода. Это просто ошибка отображения в Windows 2000.

После выхода из режима «спячки» пропадают USB-устройства. Когда компьютер возвращается к нормальной работе после режима «спячки», Device Manager может не обнаружить подсоединенных к нему USB-устройств. Для возвращения в нормальный режим операционная система Windows 2000 выдает команду глобального сброса, после чего сбрасывает состояние портов USB-контроллера. Если команда сброса портов выполняется с ошибкой, контроллер USB перестает отвечать на какие-либо запросы. Такая особенность поведения замечена на материнских платах с набором микросхем PIIX4(E). В статье по адресу: http://support.microsoft.com/support/ kb/articles/q26/6/43.asp, отмечается, что разработчики Microsoft расширили функциональность модуля uhcd.sys с учетом особенностей PIIX4(E). Можно обратиться в PSS и обновить данный программный модуль.

Клавиатура PS/2 не распознается, если ее подключить к работающей системе. Чтобы операционная система Windows 2000 самостоятельно определила данный тип клавиатуры, ее обычно нужно подключить до того момента, как начнет загружаться операционная система. В статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q262/7/98.asp, говорится, что можно установить специальное исправление, которое позволит Win-dows 2000 распознавать клавиатуру PS/2 в момент ее подключения к работающей системе, правда, только в том случае, когда BIOS поддерживает функцию hot-plug. Нужно иметь в виду, что некоторые PS/2-контроллеры могут не поддерживать hot-plug-устройства, что может вызвать короткое замыкание. Если без hot-plug-клавиатуры в самом деле никак не обойтись и требуется периодически подключать ее к работающей системе, необходимо обратиться в PSS и запросить новый драйвер i8042prt.sys (дата реализации 18 мая).

Исправления «утечки памяти»

«Утечка памяти» при использовании драйвера OHCI 1394. Если система сконфигурирована в соответствии с требованиями Open Host Controller Interface (OHCI) 1394, некоторый специфический набор условий может вызвать «утечку памяти» из резидентного пула (nonpaged pool) при использовании OHCI-драйвера. OHCI - это реализация стандарта IEEE, который описывает технологию высокопроизводительной последовательной шины (т. е. 100, 200 или 400 Мбайт) для подключения цифровых видеокамер и другой высокоскоростной видеоаппаратуры к персональному компьютеру. OHCI-драйвер не освобождает память во время асинхронных операций записи, когда превышаются некоторые специфические пороговые значения. Чтобы устранить возможность «утечки памяти», нужно обратиться в PSS и заказать обновленную версию драйвера ohci1394.sys от 24 апреля 2000 г. Если нужно узнать, о каких именно параметрах и пороговых значениях идет речь во время операции записи, рекомендую обратиться к исключительно подробному описанию проблемы в статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q260/0/55.asp.

«Утечка квоты» реестра. В ряде случаев некоторая последовательность операций работы с реестром может вызвать ошибку в операционной системе при вычислении размера последнего. Когда текущий размер реестра меньше максимально заданного и, соответственно, возможно адекватное расширение памяти для настроек реестра, эта ошибка не приводит к каким-либо серьезным последствиям. Однако в статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q260/2/41.asp, сказано, что, когда вследствие этой ошибки достигается максимально возможный размер реестра, Windows 2000 больше не в состоянии выделять память для нужд реестра, а это приводит к сбоям в работе операционной системы. В статье сообщается, что служба PSS предоставляет исправление этой ошибки, которое затрагивает следующие системные файлы ядра: ntkrnlmp.exe, ntkrnlpa.exe, ntkrpamp.exe и ntoskrnl .exe. Дата обновлений всех перечисленных файлов - 21 апреля.

Исправления при взаимодействии с сетями NT 4.0

Ограничение времени регистрации в сети NT 4.0 блокирует доступ к ресурсам сети Windows 2000. Представьте себе следующий сценарий: имеется унаследованная сеть NT и в ней основной контроллер домена NT 4.0. Пользователям этой сети требуется доступ к сетевым ресурсам, расположенным на серверах Win-dows 2000. В домене NT 4.0 администратор может наложить ограничение на время регистрации своих пользователей и, кроме того, активизировать функцию Forcibly disconnect remote users from server when logon hours («принудительное отключение удаленных пользователей при установленном ограничении на время регистрации в домене»). Но когда активизированы обе эти возможности, пользователи, не относящиеся к группе администраторов домена NT 4.0, даже в течение установленного времени регистрации не смогут получить доступ к ресурсам общего пользования на системах Windows 2000. В статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q263/0/06.asp, рекомендуется обратиться в службу PSS и получить исправление этой ошибки. Исправление затрагивает файл srv.sys (дата реализации - 18 мая 2000 г.).

Ошибка в редиректоре Windows 2000 блокирует подключение пользователей к серверам NT 4.0 при активизированной функции подписи Server Message Block. Когда клиент Windows 2000 пытается подключиться к серверу NT 4.0 при активизированной функции подписи Server Message Block (SMB), у него могут возникнуть неожиданные трудности. Если клиент на начальном этапе подключения к серверу NT 4.0 введет неверный пароль, редиректор Windows 2000 возвратит неадекватный код ошибки, сопроводив его следующим сообщением: Network name is no longer available («сетевое имя более не доступно»), и впоследствии будет повторять это сообщение даже при правильном вводе пароля.

Данная проблема описана в статье Microsoft по адресу: http://suport.microsoft.com/support/ kb/articles/q259/6/98.asp. За исправлением ошибки редиректора рекомендуется обратиться в службу PSS. Исправление обновляет два файла - mrxsmb.sys и rdbss.sys. Дата реализации обоих - 4 августа 2000 г. Существует временное решение указанной проблемы: можно отключить функцию подписи пакетов NT 4.0 SMB (или предупредить пользователей Windows 2000 о строгой необходимости сразу правильно вводить пароль при подключении к серверу NT 4.0).

Сетевые исправления

Обновление NetWare File and Print Services. В статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q264/5/10.asp, перечислены исправленные ошибки для программного обеспечения службы Microsoft File and Print Services for NetWare (FPNW) 5.0.

  • Когда администратор сервера конфигурирует учетную запись пользователя с активизированным параметром NetWare-compatible logon (NetWare-совместимая регистрация), и при этом в описании пути к домашнему каталогу используется какой-либо символ из двухбайтного набора (Double-Byte Character Set, DBCS), заданный путь хранится в неверном формате.
  • Если сценарий регистрации содержит DBCS-символы, и вы пытаетесь кликнуть OK или APPLY для того, чтобы закрыть окно свойств пользователя (консоль Active Directory Users and Computers), система выдает сообщение об ошибке следующего содержания: Windows cannot update the login scripts file due to error: The data area passed to a system call is too small («Windows не может обновить файл сценария регистрации из-за ошибки: область данных, обрабатываемая системной программой, слишком мала»).
  • Если для создания нового пользователя в режиме FPNW 4.0 применяется консоль Active Directory Users and Computers или консоль Local Users and Groups, операционная система Windows 2000 создает некоторый подкаталог (его название отражает идентификатор UserID) в каталоге SysvolMail. При использовании FPNW 5.0 такой подкаталог не создается до тех пор, пока администратор не отредактирует пользовательский сценарий регистрации.
  • Если в описании учетной записи, для которой изначально не был установлен параметр NetWare-compatible logon, впоследствии активизировать эту возможность и одновременно задать принудительную смену пароля, то учетная запись становится совместимой с NetWare, но установка принудительной смены пароля не сохраняется.
  • Если в окне NetWare Services Properties изменить значение параметра Grace Logins Remaining, установив его равным 0, и щелкнуть OK, операционная система Windows 2000 это значение воспримет. Если же щелкнуть APPLY, то Windows 2000 автоматически изменит введенное значение с 0 на 1.

Для того чтобы исправить все перечисленные ошибки, необходимо обратиться в службу PSS и попросить выслать исправление FPNW 5.0. Данное исправление состоит из двух файлов, dsprop.dll и localsec.dll (от 31 мая 2000 г.).

Использование нескольких команд Net Send вызывает ошибку в службе Messenger. Во всех версиях Windows 2000 присутствует одна и та же ошибка. При использовании команды Net Send для рассылки сообщений по одному и тому же адресу несколько раз и за короткий промежуток времени в ответ можно получить сообщение об ошибке следующего содержания: The message alias could not be found on the network («Альтернативное имя в сети не найдено»). Служба Messenger «глохнет» на 5 с после ответа на запрос пользователя; любые сообщения, заданные в этом пятисекундном интервале, вызывают ошибку и появление соответствующего уведомления. Эта проблема возникает только при отправке нескольких сообщений подряд на один и тот же компьютер и если система адресата имеет правильно зарегистрированное NetBIOS-имя. В статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q259/7/50.asp, наличие проблемы подтверждается и сообщается, что исправление ошибки можно получить, обратившись в службу PSS. Исправление обновляет файл msgsvc.dll (версия от 26 мая 2000 г.).

Исправление AD снимает ограничение максимального числа DHCP-серверов. Служба AD поддерживает максимум 854 DHCP-сервера. Когда добавляется очередной, 855-й, сервер, AD реагирует на это сообщением Administration limit for this request has been exceeded («По данному запросу достигнут административный предел»). И хотя трудно вообразить сеть даже с 500 DHCP-серверами, тем не менее, при желании использовать более 854 серверов, следует позвонить в службу PSS и установить соответствующее исправление, устраняющее это ограничение. В статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q264/6/31.asp, сообщается, что изменению подлежит один файл - dsauth.dll. Дата выпуска этого файла в статье не указана.

Информация к размышлению

К моменту публикации данной статьи Microsoft наверняка выпустит множество дополнительных исправлений для Windows 2000 Profes-sional. Перед тем как поставить точку в определении набора исправлений, подлежащих установке на систему, зайдите на поисковую страничку Microsoft Knowledge Base по адресу: http://search.support.microsoft.com/ kb/c.asp?fr=0&sd=tech. Здесь нужно выбрать Windows 2000 в поле Product и ввести строку поиска Win2000PostSP1fix. Появится список текущих исправлений. Кроме того, можно дополнительно проверить страничку Windows 2000 Download Page по адресу: http://www.microsoft.com/windows2000/ downloads/default.asp . На этой странице содержатся обновления и исправления по проблемам безопасности, их можно загрузить, не обращаясь в службу PSS.

Паула Шерик - редактор Windows 2000 Magazine и консультант по вопросам планирования, реализации и взаимодействия сетей. С ней можно связаться по адресу: paula@win2000mag.com.


Важные исправленияв подсистеме БЕЗОПАСНОСТИ

Данное описание потенциальных проблем в подсистеме безопасности основано на информации, опубликованной в аннотации к вышедшему после появления Windows 2000 пакету исправлений Service Pack 1. Список далеко не полон. В него вошли только те ошибки, которые могут оказать наиболее разрушительное воздействие как на сам компьютер, так и на его работу в сети.

«Дыра» в алгоритме активизации программ реестра

В отличие от многих других изъянов, обнаружить которые в состоянии только опытный пользователь, «дыра» в алгоритме активизации программ реестра делает систему настолько уязвимой, что принимать меры к исправлению этой ошибки нужно незамедлительно и всем пользователям без исключения. В статье Microsoft (http://support.microsoft.com/support/ kb/articles/q269/0/49.asp) утверждается, что злоумышленник, получив доступ к системному диску (предположим, это диск C), может разместить в его корне любую программу и назвать ее, скажем, explorer.exe. В результате вместо стандартной программной оболочки Windows будет вызываться эта непонятная программа. По умолчанию, пользователи имеют полные права на каталог C: (для группы Everyone назначены права Full Access). Любой, кто имеет доступ к данному разделяемому каталогу, локально или по сети, может воспользоваться этой лазейкой в системе безопасности.

Когда пользователь Windows 2000 и Windows NT 4.0 запускает программу, имя которой присутствует в реестре, включается стандартный механизм поиска местоположения программы (если, конечно, в реестре не указан абсолютный путь). Например, в качестве значения параметра Shell по адресу: HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsNTCurrentVersionWinlogon, по умолчанию указывается имя explorer.exe без указания пути к программе. Когда Windows считывает значение этого параметра во время загрузки, она пытается отыскать программу через стандартный механизм поиска по каталогам.

В полном несоответствии с документацией Windows 2000, каталог C: на деле оказывается первым местом, куда «заглядывает» операционная система в поисках программы и, найдя файл с названием explorer.exe, запускает его вместо реальной программы графической оболочки Windows. Для того чтобы закрыть эту «дыру» в системе безопасности Windows 2000, необходимо загрузить соответствующее исправление, обратившись по адресу: http://www.microsoft.com/downloads/ release.asp?releaseid=23359.

Уязвимость NETBIOS

Специалисты Microsoft выпустили программную «заплатку» для противодействия атакам типа «отказ в обслуживании» - Denial of Service (DoS), которым могут подвергаться компьютеры как с NT 4.0, так и с Windows 2000. Изначально реализация протокола NetBIOS поверх TCP/IP (NetBT) не включала механизмов проверки аутентичности, а, следовательно, NetBT принципиально подвержен атаке типа spoofing (получение доступа путем обмана: ситуация, когда пользователь пытается соединиться с сервером Internet, proxy-сервером или брандмауэром, используя ложный IP-адрес). Злоумышленник может намеренно использовать незащищенный протокол для отправки дейтаграммы с конфликтующим именем на тот или иной объект. Компьютер перестанет отвечать по NetBIOS из-за конфликта имен и может вывести сообщение о наличии в сети дубликата имен. Это может привести к проблемам при установлении сетевых соединений, использовании команд Net Send, ошибкам в процедуре доменной аутентификации и при доступе к общим ресурсам сети.

Для того чтобы ограничить последствия уязвимости NetBT, нужно позвонить в службу Microsoft Product Support Services (PSS) и заказать новую версию драйвера netbt.sys от 20 июля 2000 г. Процедура обновления операционных систем Windows 2000, NT 4.0 и Windows 9x приведена в статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q269/2/39.asp.

Уязвимость имперсонализАции NAMED-PIPE

Непривилегированный пользователь может усилить свой контекст безопасности до уровня службы Service Control Manager (SCM). После установления соединения типа named-pipe пользователю ничто не мешает предписать операционной системе Windows 2000 запустить тот или иной процесс в контексте безопасности с более высоким уровнем прав.

Загрузить исправление этой ошибки можно по адресу: http://www.microsoft.com/windows2000/ downloads/critical/q269523. Ее описание приводится в статье Microsoft по адресу: http://support.microsoft.com/support/ kb/articles/q269/5/23.asp.

Уязвимость при остановки браузера

Уязвимость фрейма ResetBrowser протокола в службе просмотра компьютеров (Computer Browser Service) позволяет злоумышленнику остановить работу Computer Browser данной станции в своей подсети или же парализовать работу службы Computer Browser всех станций своего сегмента. Если ни одна служба Computer Browser сегмента не работает, злоумышленник объявляет собственный компьютер новым мастер-браузером со всеми вытекающими отсюда последствиями.

Соответствующее исправление расширяет функциональность фрейма ResetBrowser. Теперь можно вручную сконфигурировать станции таким образом, чтобы пакеты ResetBrowser отвергались. Это сделает протокол Computer Browser менее уязвимым. Брандмауэр, блокирующий UDP порт 138, защищает сеть от внешних атак через использование ненадежного фрейма ResetBrowser. Загрузить данное исправление, содержащее обновленный драйвер mrxsmb.sys, можно по адресу: http://www.microsoft.com/windows2000/ downloads/critical/q262694/default.asp.

Поделитесь материалом с коллегами и друзьями