> Tech > Le morphing perpétuel de Mrxsmb

Le morphing perpétuel de Mrxsmb

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Paula Sharick - Mis en ligne le 26/11/2003

La plupart des plates-formes Microsoft, y compris Windows 2000, utilisent le standard CIFS (Common Internet File System) pour pratiquer le partage de fichier et d'imprimante. Win2K implémente CIFS avec une version améliorée du protocole Server Message Block (SMB). Deux composants en mode kernel initient et gèrent les connexions à  distance, mrxsmb.sys et rdbss.sys...

La plupart des plates-formes Microsoft, y compris Windows 2000, utilisent le standard CIFS (Common Internet File System) pour pratiquer le partage de fichier et d'imprimante. Win2K implémente CIFS avec une version améliorée du protocole Server Message Block (SMB) (qui explique le « smb » de mrxsmb.sys). Deux composants en mode kernel initient et gèrent les connexions à  distance, mrxsmb.sys et rdbss.sys. Ensemble, ces composants créent une session à  distance, effectuent les opérations sur le système de fichiers que vous demandez (par exemple, ouvrir, fermer ou écrire un fichier ou spouler un job d'impression) et terminent la session quand vous n'avez plus besoin de la ressource. Quand un système peine à  se connecter à  une ressource distante ou à  y accéder, vous pouvez voir des avertissements du journal d'événements et des messages d'erreur provenant de mrxsmb.sys. Dans les cas les plus graves, mrxmb.sys s'effondre avec un flot de codes stop.
Mrxsmb écrit des messages du journal d'événements quand un réseau fonctionne normalement et quand un système a des problèmes de connectivité. Par exemple, quand vous initialisez un système qui prétend être un navigateur maître, Mrxsmb écrit l'événement ID 8003 vous informant qu'une nouvelle personne du voisinage a tenté de s'approprier le rôle du navigateur maître et qu'une élection de navigateur s'est produite. Quand vous initialisez un système qui est incapable de contacter un DC (domain controller) ou un serveur DNS, vous voyez de multiples messages provenant de Mrxsmb, y compris l'event ID 3034 « The redirector was unable to initialize security context or query context attributes » et l'Event ID 3019 « The redirector failed to determine the connection type ». Bien que l'event ID 3034 indique le plus souvent un problème grave, l'article Microsoft “Error Message: The Redirector Failed to Determine the Connection Type” affirme que vous pouvez ignorer en toute sécurité le message d'avertissement event ID 3019.
A moins d'être exceptionnellement brillant ou chanceux, vous avez probablement reçu votre part de messages Mrxsmb ou d'écrans bleus. Rassurezvous, votre manque de compétence technique n'est pour rien dans certains de ces défaillances, particulièrement les écrans bleus : elles résultent de défauts dans la manière dont les deux composants de redirection interagissent avec leurs interlocuteurs à  distance. Depuis le mois d'avril 2002, Microsoft a diffusé pas moins de 12 correctifs pour mrxsmb.sys.
Le tableau 1 documente la plupart des problèmes de redirection connus au 23 septembre et vous aidera à  diagnostiquer un problème de redirection. Cette saga sordide corrige six écrans bleus, une perte potentielle de données, un problème d'accès aux shares DFS et un problème de tableau de bord numérique qui se situe probablement tout en bas de la liste des priorités.
La dernière entrée du tableau donne les versions Win2K Service Pack 3 (SP3) de mrxsmb.sys et de rdbss.sys. SP3 a été rendu public le 1 août 2002. Sur mes systèmes SP3, mrxsmb.sys et rdbss.sys ont le numéro de version 5.0.2195.5434, qui est même antérieur à  la mise à  jour du 4 avril (Q318789) immédiatement au-dessus de la dernière ligne. Nous en concluons donc que les systèmes de composants de redirection SP3 sont obsolètes de plus de 12 versions. Nous avons progressé, si l'on peut dire, de la version 5534 en avril à  la version 6067 en quelques mois. Qui veut faire des paris sur le nombre de nouvelles versions en attente ?
Pour compliquer les choses, aucun de ces correctifs n'est disponible pour un téléchargement public. Si Microsoft diffuse six mises à  jour en 3 mois, pour les composants OS qui supportent et gèrent l'accès aux ressources à  distance, la société doit fournir une possibilité de téléchargement public. Il existe une autre possibilité moins souhaitable mais acceptable au minimum : que Microsoft classe les changements de mrxsmb.sys comme critiques et les publie sur le site Windows Update. J

Téléchargez cette ressource

Checklist de protection contre les ransomwares

Checklist de protection contre les ransomwares

Comment évaluer votre niveau de protection contre les ransomwares à la périphérie du réseau, et améliorer vos défenses notamment pour la détection des ransomwares sur les terminaux, la configuration des appareils, les stratégies de sauvegarde, les opérations de délestage... Découvrez la check list complète des facteurs clés pour améliorer immédiatement la sécurité des terminaux.

Tech - Par iTPro.fr - Publié le 24 juin 2010