Process Explorer v16.32

By Mark Russinovich

Published: April 28, 2020

Download Process Explorer (2.5 MB)
Run now from Sysinternals Live.

Introduction

Ever wondered which program has a particular file or directory open? Now you can find out. Process Explorer shows you information about which handles and DLLs processes have opened or loaded.

The Process Explorer display consists of two sub-windows. The top window always shows a list of the currently active processes, including the names of their owning accounts, whereas the information displayed in the bottom window depends on the mode that Process Explorer is in: if it is in handle mode you’ll see the handles that the process selected in the top window has opened; if Process Explorer is in DLL mode you’ll see the DLLs and memory-mapped files that the process has loaded. Process Explorer also has a powerful search capability that will quickly show you which processes have particular handles opened or DLLs loaded.

The unique capabilities of Process Explorer make it useful for tracking down DLL-version problems or handle leaks, and provide insight into the way Windows and applications work.

Related Links

• Windows Internals Book The official updates and errata page for the definitive book on Windows internals, by Mark Russinovich and David Solomon.
• Windows Sysinternals Administrator’s Reference The official guide to the Sysinternals utilities by Mark Russinovich and Aaron Margosis, including descriptions of all the tools, their features, how to use them for troubleshooting, and example real-world cases of their use.

Download

Download Process Explorer (2.5 MB)
Run now from Sysinternals Live.

Runs on:

• Client: Windows Vista and higher (Including IA64).
• Server: Windows Server 2008 and higher (Including IA64).

Installation

Simply run Process Explorer (procexp.exe).

The help file describes Process Explorer operation and usage. If you have problems or questions please visit the Process Explorer forum on Technet.

Note on use of symbols

When you configure the path to DBGHELP.DLL and the symbol path uses the symbol server, the location of DBGHELP.DLL also has to contain the SYMSRV.DLL supporting the server paths used. See SymSrv documentation or more information on how to use symbol servers.

Learn More

Here are some other handle and DLL viewing tools and information available at Sysinternals:

• The case of the Unexplained. In this video, Mark describes how he has solved seemingly unsolvable system and application problems on Windows.
• Handle — a command-line handle viewer
• ListDLLs — a command-line DLL viewer
• PsList — local/remote command-line process lister
• PsKill — local/remote command-line process killer
• Defrag Tools: #2 — Process Explorer In this episode of Defrag Tools, Andrew Richards and Larry Larsen show how to use Process Explorer to view the details of processes, both at a point in time and historically.
• Windows Sysinternals Primer: Process Explorer, Process Monitor and More Process Explorer gets a lot of attention in the first Sysinternals Primer delivered by Aaron Margosis and Tim Reckmeyer at TechEd 2010.

—>

Восстановление состояния системы в Windows Server Restore System State to Windows Server

В этой статье описано, как восстановить резервные копии состояния системы Windows Server из хранилища служб восстановления Azure. This article explains how to restore Windows Server System State backups from an Azure Recovery Services vault. Чтобы восстановить состояние системы, необходимо создать резервную копию состояния системы (созданную с помощью инструкций в разделе резервное копирование состояния системы) и убедиться, что установлена последняя версия агента службы восстановления Microsoft Azure (MARS). To restore System State, you must have a System State backup (created using the instructions in Back up System State, and make sure you’ve installed the latest version of the Microsoft Azure Recovery Services (MARS) agent. Восстановление данных состояния системы Windows Server из хранилища службы восстановления Azure состоит из двух этапов: Recovering Windows Server System State data from an Azure Recovery Services vault is a two-step process:

Восстановление состояния системы в виде файлов из службы Azure Backup. Restore System State as files from Azure Backup. При восстановлении состояния системы в виде файлов из службы Azure Backup вы можете: When restoring System State as files from Azure Backup, you can either:

• восстановить состояние системы на тот же сервер, где создавались резервные копии; Restore System State to the same server where the backups were taken, or
• восстановить файл состояния системы на другой сервер. Restore System State file to an alternate server.

Примените восстановленные файлы состояния системы к Windows Server с помощью служебной программы cистема архивации данных Windows Server. Apply the restored System State files to a Windows Server using the Windows Server Backup utility.

Восстановление файлов состояния системы на том же сервере Recover System State files to the same server

Здесь описывается, как откатить конфигурацию Windows Server до предыдущего состояния. The following steps explain how to roll back your Windows Server configuration to a previous state. Откат конфигурации сервера к известному ранее стабильному состоянию может быть очень важен. Rolling your server configuration back to a known, stable state, can be extremely valuable. На следующих шагах восстанавливается состояние системы сервера из хранилища служб восстановления. The following steps restore the server’s System State from a Recovery Services vault.

Откройте оснастку Microsoft Azure Backup. Open the Microsoft Azure Backup snap-in. Если вы не знаете, куда была установлена оснастка, найдите на компьютере или сервере службу Microsoft Azure Backup. If you don’t know where the snap-in was installed, search the computer or server for Microsoft Azure Backup.

Классическое приложение должны быть в результатах поиска. The desktop app should appear in the search results.

Выберите Восстановить данные, чтобы запустить мастер. Select Recover Data to start the wizard.

Чтобы восстановить данные на тот же сервер или компьютер, в области Начало работы выберите этот сервер ( ) и нажмите кнопку Далее. On the Getting Started pane, to restore the data to the same server or computer, select This server ( ) and select Next.

На панели Выбор режима восстановления выберите состояние системы , а затем нажмите кнопку Далее. On the Select Recovery Mode pane, choose System State and then select Next.

В календаре в области Выбор тома и даты выберите точку восстановления. On the calendar in Select Volume and Date pane, select a recovery point.

Можно восстановить данные на любой момент времени. You can restore from any recovery point in time. Даты полужирным шрифтом означают доступность по крайней мере одной точки восстановления. Dates in bold indicate the availability of at least one recovery point. Если после выбора даты доступно несколько точек восстановления, выберите конкретную точку восстановления из раскрывающегося меню Время. Once you select a date, if multiple recovery points are available, choose the specific recovery point from the Time drop-down menu.

После выбора точки восстановления для восстановления нажмите кнопку Далее. Once you’ve chosen the recovery point to restore, select Next.

Служба архивации Azure подключит локальную точку восстановления и использует ее в качестве тома для восстановления. Azure Backup mounts the local recovery point, and uses it as a recovery volume.

На следующей панели укажите место назначения для восстановленных файлов состояния системы. On the next pane, specify the destination for the recovered System State files. Затем нажмите кнопку Обзор , чтобы открыть проводник Windows и найти нужные файлы и папки. Then select Browse to open Windows Explorer and find the files and folders you want. Параметр Создавать копии, чтобы иметь обе версии создает копии отдельных файлов в имеющемся архиве файлов состояния системы вместо создания копии всего архива состояния системы. The option, Create copies so that you have both versions, creates copies of individual files in an existing System State file archive instead of creating the copy of the entire System State archive.

Проверьте сведения о восстановлении в области подтверждения и нажмите кнопку восстановить. Verify the details of recovery on the Confirmation pane and select Recover.

Скопируйте каталог WindowsImageBackup в место назначения восстановления на некритический том сервера. Copy the WindowsImageBackup directory in the Recovery destination to a non-critical volume of the server. Обычно том ОС Windows является критическим томом. Usually, the Windows OS volume is the critical volume.

После успешного восстановления выполните действия, описанные в разделе применение восстановленного состояния системы на сервере Windows, чтобы завершить процесс восстановления состояния системы. Once the recovery is successful, follow the steps in the section, Apply restored System State on a Windows Server, to complete the System State recovery process.

Восстановление файлов состояния системы на другой сервер Recover System State files to an alternate server

Если Windows Server поврежден или недоступен и требуется вернуть его в стабильное состояние путем восстановления состояния системы Windows Server, его можно восстановить с другого сервера. If your Windows Server is corrupted or inaccessible, and you want to restore it to a stable state by recovering the Windows Server System State, you can restore the corrupted server’s System State from another server. Выполните следующие действия для восстановления состояния системы на отдельном сервере. Use the following steps to the restore System State on a separate server.

Ниже приведена терминология, используемая в этих действиях: The terminology used in these steps includes:

• Исходный компьютер — исходный компьютер, с которого была создана резервная копия, которая в данный момент недоступна. Source machine – The original machine from which the backup was taken and which is currently unavailable.
• Целевой компьютер — компьютер, на который восстанавливаются данные. Target machine – The machine to which the data is being recovered.
• Пример хранилища — хранилище служб восстановления, в котором зарегистрирован Исходный компьютер и целевой компьютер . Sample vault – The Recovery Services vault to which the Source machine and Target machine are registered.

Резервные копии, созданные с одного компьютера, невозможно восстановить на компьютер под управлением более ранней версии операционной системы. Backups taken from one machine can’t be restored to a machine running an earlier version of the operating system. Например, резервные копии, созданные на компьютере с Windows Server 2016, нельзя восстановить на Windows Server 2012 R2. For example, backups taken from a Windows Server 2016 machine can’t be restored to Windows Server 2012 R2. Однако обратное возможно. However, the inverse is possible. Резервные копии Windows Server 2012 R2 можно использовать для восстановления Windows Server 2016. You can use backups from Windows Server 2012 R2 to restore Windows Server 2016.

Откройте оснастку Microsoft Azure Backup на целевом компьютере. Open the Microsoft Azure Backup snap-in on the Target machine.

Убедитесь, что целевой компьютер и Исходный компьютер зарегистрированы в одном хранилище служб восстановления. Ensure that the Target machine and the Source machine are registered to the same Recovery Services vault.

Выберите восстановить данные , чтобы запустить рабочий процесс. Select Recover Data to initiate the workflow.

Выберите Другой сервер Select Another server

Укажите файл с учетными данными хранилища, который соответствует примеру хранилища. Provide the vault credential file that corresponds to the Sample vault. Если файл учетных данных хранилища является недопустимым (или срок его действия истек), Скачайте новый файл учетных данных хранилища из примера хранилища на портал Azure. If the vault credential file is invalid (or expired), download a new vault credential file from the Sample vault in the Azure portal. После указания файла с учетными данными отобразится связанное хранилище служб восстановления. Once the vault credential file is provided, the Recovery Services vault associated with the vault credential file appears.

В области «Выбор резервного сервера» из списка компьютеров выберите исходный компьютер. On the Select Backup Server pane, select the Source machine from the list of displayed machines.

На панели Выбор режима восстановления выберите состояние системы и нажмите кнопку Далее. On the Select Recovery Mode pane, choose System State and select Next.

В календаре в области Выбор тома и даты выберите точку восстановления. On the Calendar in the Select Volume and Date pane, select a recovery point. Можно восстановить данные на любой момент времени. You can restore from any recovery point in time. Даты полужирным шрифтом означают доступность по крайней мере одной точки восстановления. Dates in bold indicate the availability of at least one recovery point. Если после выбора даты доступно несколько точек восстановления, выберите конкретную точку восстановления из раскрывающегося меню Время. Once you select a date, if multiple recovery points are available, choose the specific recovery point from the Time drop-down menu.

После выбора точки восстановления для восстановления нажмите кнопку Далее. Once you’ve chosen the recovery point to restore, select Next.

В области Выбор режима восстановления состояния системы укажите назначение, в котором должны восстанавливаться файлы состояния системы, а затем нажмите кнопку Далее. On the Select System State Recovery Mode pane, specify the destination where you want System State files to be recovered, then select Next.

Параметр Создавать копии, чтобы иметь обе версии создает копии отдельных файлов в имеющемся архиве файлов состояния системы вместо создания копии всего архива состояния системы. The option, Create copies so that you have both versions, creates copies of individual files in an existing System State file archive instead of creating the copy of the entire System State archive.

Проверьте сведения о восстановлении на панели подтверждения и нажмите кнопку восстановить. Verify the details of recovery on the Confirmation pane, and select Recover.

Скопируйте каталог WindowsImageBackup на некритический том сервера (например, D:). Copy the WindowsImageBackup directory to a non-critical volume of the server (for example D:). Обычно том ОС Windows является критическим томом. Usually the Windows OS volume is the critical volume.

Чтобы завершить процесс восстановления, используйте следующий раздел, чтобы применить восстановленные файлы состояния системы в Windows Server. To complete the recovery process, use the following section to apply the restored System State files on a Windows Server.

Применение восстановленного состояния системы в Windows Server Apply restored System State on a Windows Server

После восстановления состояния системы в виде файлов с помощью агента служб восстановления Azure используйте служебную программу cистема архивации данных Windows Server для применения восстановленного состояния системы к Windows Server. Once you’ve recovered System State as files using Azure Recovery Services Agent, use the Windows Server Backup utility to apply the recovered System State to Windows Server. Служебная программа системы архивации данных Windows Server уже доступна на сервере. The Windows Server Backup utility is already available on the server. На следующих шагах описывается, как применить восстановленное состояние системы. The following steps explain how to apply the recovered System State.

Откройте оснастку cистема архивации данных Windows Server. Open the Windows Server Backup snap-in. Если вы не знаете, куда была установлена оснастка, найдите на компьютере или сервере систему архивации данных Windows Server. If you don’t know where the snap-in was installed, search the computer or server for Windows Server Backup.

Классическое приложение появится в результатах поиска. The desktop app appears in the search results. Если он не отображается или при открытии приложения возникают ошибки, необходимо установить Cистема архивации данных Windows Server компоненты и зависимые компоненты, которые доступны в мастере добавления компонентов в Диспетчер сервера. If it doesn’t appear, or you encounter errors when you open the application, you must install the Windows Server Backup Features, and dependent components below it, that are available in the Add Features Wizard in Server Manager.

В оснастке выберите Локальная архивация. In the snap-in, select Local Backup.

В локальной консоли архивации на панели действия выберите восстановить , чтобы открыть мастер восстановления. On the Local Backup console, in the Actions Pane, select Recover to open the Recovery Wizard.

Выберите параметр резервная копия, сохраненная в другом расположении, и нажмите кнопку Далее. Select the option, A backup stored in another location, and select Next.

При указании типа расположения выберите Удаленная общая папка, если резервная копия состояния системы была восстановлена на другой сервер. When specifying the location type, select Remote shared folder if your System State backup was recovered to another server. Если состояние системы было восстановлено локально, выберите Локальные диски. If your System State was recovered locally, then select Local drives.

Введите путь к каталогу WindowsImageBackup или выберите локальный диск, содержащий этот каталог (например, д:\виндовсимажебаккуп), восстановленный в ходе восстановления файлов состояния системы с помощью агента служб восстановления Azure, и нажмите кнопку Далее. Enter the path to the WindowsImageBackup directory, or choose the local drive containing this directory (for example, D:\WindowsImageBackup), recovered as part of the System State files recovery using Azure Recovery Services Agent and select Next.

Выберите версию состояния системы, которую требуется восстановить, и нажмите кнопку Далее. Select the System State version that you want to restore, and select Next.

На панели Выбор типа восстановления выберите состояние системы и нажмите кнопку Далее. In the Select Recovery Type pane, select System State and select Next.

В качестве расположения восстановления состояния системы выберите исходное расположение и нажмите кнопку Далее. For the location of the System State Recovery, select Original Location, and select Next.

При восстановлении контроллера домена вы увидите следующий дополнительный параметр: If you’re restoring a domain controller, you’ll see the following additional option:

Выберите параметр «выполнить полномочное восстановление файлов Active Directory», если вы явно предполагали принудительное восстановление всех данных Active Directory. Only select “Perform an authoritative restore of Active Directory files” if you explicitly intend to do an authoritative restore of all Active Directory data.

Проверьте сведения о подтверждении, проверьте параметры перезагрузки и нажмите кнопку восстановить , чтобы применить восстановленные файлы состояния системы. Review the confirmation details, verify the reboot settings, select Recover to apply the restored System State files.

Не выбирайте параметр автоматически перезагружать сервер при выполнении восстановления в режиме DSRM. Don’t select the Automatically reboot the server option if you’re performing the restore in DSRM mode.

После успешного завершения восстановления необходимо перезапустить сервер в нормальном режиме. After you’ve successfully completed a restore, you need to restart the server in normal mode. Откройте командную строку и введите следующую команду: bcdedit /deletevalue safeboot Open a command prompt and type the following: bcdedit /deletevalue safeboot

Перезагрузите сервер. Reboot the server.

Особые рекомендации по восстановлению состояния системы на контроллере домена Special considerations for System State recovery on a domain controller

Резервная копия состояния системы включает данные Active Directory. System State backup includes Active Directory data. Выполните следующие действия для восстановления предыдущего состояния доменных служб Active Directory (AD DS). Use the following steps to restore Active Directory Domain Service (AD DS) from its current state to a previous state. Этот тип восстановления может быть выполнен в двух сценариях: This type of restore can be done in two scenarios:

• Восстановление всех данных Active Directory, если в лесу отсутствуют действующие контроллеры домена Restoring all Active Directory data when there are no functioning domain controllers left in the forest
• Восстановление части данных Active Directory, если эти объекты были удалены или повреждены Restoring a portion of the Active Directory data when those objects have been deleted or corrupted

В этой статье рассматривается только первый сценарий, в котором вызывается восстановление нонаусоративе AD DS и полномочное восстановление папки SYSVOL. This article will only be discussing the first scenario, which calls for a nonauthorative restore of AD DS and an authoritative restore of the sysvol folder. Если необходимо выполнить второй сценарий (где контроллеры домена все еще работают, но необходимо восстановить определенные объекты AD), см. эти инструкции. If you need to perform the second scenario (where the domain controllers are still functional but you need to restore particular AD objects), see these instructions.

Используйте следующие команды для перезагрузки сервера в режиме восстановления служб каталогов. Use the following commands to reboot your server in Directory Services Repair Mode. В командной строке с повышенными привилегиями: In an elevated command prompt:

Чтобы восстановить Active Directory в ходе восстановления состояния системы, можно выбрать один из двух методов. To recover Active Directory as part of a system state restore, you can choose one of two methods:

Следуйте приведенным выше инструкциям, чтобы применить восстановленное состояние системы в Windows Server с помощью служебной программы Cистема архивации данных Windows Server. Follow the instructions above to apply restored System State on a Windows Server with the Windows Server Backup utility.

Если вы восстанавливаете все данные Active Directory (и в лесу отсутствуют действующие контроллеры домена), на шаге 9 выше убедитесь в том, что выбран параметр выполнить полномочное восстановление файлов Active Directory. If you’re restoring all Active Directory data (and there are no functioning domain controllers left in the forest), in step 9 above make sure to select Perform an authoritative restore of Active Directory files.

С помощью служебной программы Wbadmin выполните восстановление из командной строки. Use the wbadmin utility to perform the restore from the command line.

Вам потребуется идентификатор версии резервной копии, которую вы хотите использовать. You’ll need the version identifier of the backup you wish to use. Список идентификаторов версий можно получить, выполнив следующую команду: You can get a list of version identifiers by running this command:

Затем используйте этот идентификатор версии для выполнения восстановления. You then use that version identifier to run the restore.

Например, чтобы выполнить Восстановление нонаусоративе AD DS и полномочное восстановление папки SYSVOL с помощью резервной копии с 04/30/2020 в 9:00 AM, которая хранится в общем ресурсе \\servername\share для server01 , введите: For example, to perform a nonauthorative restore of AD DS and an authoritative restore of the sysvol folder using the backup from 04/30/2020 at 9:00 AM, which is stored on the shared resource \\servername\share for server01 , type:

После успешного завершения восстановления необходимо перезапустить сервер в обычном режиме. After you’ve successfully completed a restore, you should restart the server in normal mode. Откройте командную строку и введите следующую команду: bcdedit /deletevalue safeboot Open a command prompt and type the following: bcdedit /deletevalue safeboot

Перезагрузите сервер. Reboot the server.

Устранение неполадок при сбое восстановления состояния системы Troubleshoot failed System State restore

Если предыдущий процесс применения состояния системы не завершается успешно, используйте среду восстановления Windows (Win RE) для восстановления Windows Server. If the previous process of applying System State doesn’t complete successfully, use the Windows Recovery Environment (Win RE) to recover your Windows Server. На следующих шагах описывается, как восстанавливать с помощью Win RE. The following steps explain how to recover using Win RE. Используйте этот параметр, только если Windows Server не загружается нормально после восстановления состояния системы. Use this option only if Windows Server doesn’t boot normally after a System State restore. Будьте осторожны, следующий процесс стирает все несистемные данные. The following process erases non-system data, use caution.

Загрузите Windows Server в среде восстановления Windows (Win RE). Boot your Windows Server into the Windows Recovery Environment (Win RE).

Выберите «Устранение неполадок» из трех доступных вариантов. Select Troubleshoot from the three available options.

На экране Дополнительные параметры выберите Командная строка и укажите имя администратора сервера и пароль. From the Advanced Options screen, select Command Prompt and provide the server administrator username and password.

Укажите имя администратора сервера и пароль. Provide the server administrator username and password.

При открытии командной строки с правами администратора выполните следующую команду, чтобы получить версии резервного копирования состояния системы. When you open the command prompt in administrator mode, run following command to get the System State backup versions.

Выполните следующую команду, чтобы получить все тома, которые доступны в резервной копии. Run the following command to get all volumes available in the backup.

Следующая команда восстанавливает все тома, которые являются частью резервной копии состояния системы. The following command recovers all volumes that are part of the System State Backup. Обратите внимание, что этот шаг восстанавливает только критические тома, которые являются частью состояния системы. Note that this step recovers only the critical volumes that are part of the System State. Все несистемные данные удаляются. All non-System data is erased.