Memecahkan masalah token refresh utama di perangkat Windows

Artikel ini membahas cara memecahkan masalah yang melibatkan token refresh utama (PRT) saat Anda mengautentikasi pada perangkat Windows yang bergabung dengan Microsoft Entra dengan menggunakan kredensial Microsoft Entra Anda.

Pada perangkat yang bergabung ke ID Microsoft Entra atau ID Microsoft Entra hibrid, komponen utama autentikasi adalah PRT. Anda mendapatkan token ini dengan masuk ke Windows 10 dengan menggunakan kredensial Microsoft Entra pada perangkat yang bergabung dengan Microsoft Entra untuk pertama kalinya. PRT di-cache pada perangkat tersebut. Untuk masuk berikutnya, token yang di-cache digunakan agar Anda dapat menggunakan desktop.

Sebagai bagian dari proses penguncian dan pembukaan kunci perangkat atau masuk lagi ke Windows, upaya autentikasi jaringan latar belakang dilakukan satu kali setiap empat jam untuk me-refresh PRT. Jika masalah terjadi yang mencegah penyegaran token, PRT akhirnya kedaluwarsa. Kedaluwarsa memengaruhi akses menyeluruh (SSO) ke sumber daya Microsoft Entra. Ini juga menyebabkan perintah masuk ditampilkan.

Jika Anda menduga ada masalah PRT, kami sarankan Anda terlebih dahulu mengumpulkan log Microsoft Entra, dan mengikuti langkah-langkah yang diuraikan dalam daftar periksa pemecahan masalah. Lakukan ini untuk masalah klien Microsoft Entra terlebih dahulu, idealnya dalam sesi repro. Selesaikan proses ini sebelum Anda mengajukan permintaan dukungan.

Panduan Pemecahan Masalah

Langkah 1: Dapatkan status token refresh utama

1. Masuk ke Windows dengan akun pengguna di mana Anda mengalami masalah PRT.

2. Pilih Mulai, lalu cari dan pilih Command Prompt.

3. Untuk menjalankan perintah pendaftaran perangkat (dsregcmd), masukkan dsregcmd /status.

4. Temukan bagian status SSO dari output perintah pendaftaran perangkat. Teks berikut ini memperlihatkan contoh bagian ini:

   +----------------------------------------------------------------------+
   | SSO State                                                            |
   +----------------------------------------------------------------------+
   
                   AzureAdPrt : YES
         AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
         AzureAdPrtExpiryTime : 2020-07-26 22:58:35.000 UTC
          AzureAdPrtAuthority : https://login.microsoftonline.com/00001111-aaaa-2222-bbbb-3333cccc4444
                EnterprisePrt : YES
      EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
      EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
       EnterprisePrtAuthority : https://msft.sts.microsoft.com:443/adfs
   
   +----------------------------------------------------------------------+
   

5. Periksa nilai AzureAdPrt bidang . Jika diatur ke NO, terjadi kesalahan saat Anda mencoba memperoleh status PRT dari ID Microsoft Entra.

6. Periksa nilai AzureAdPrtUpdateTime bidang . Jika nilai bidang AzureAdPrtUpdateTime lebih dari empat jam, kemungkinan ada masalah yang mencegah PRT diperbarui. Kunci dan buka kunci perangkat untuk memaksa refresh PRT, lalu periksa apakah waktu diperbarui.

Langkah 2: Dapatkan kode kesalahan

Langkah selanjutnya adalah mendapatkan kode kesalahan yang menyebabkan kesalahan PRT. Cara tercepat untuk mendapatkan kode kesalahan PRT adalah dengan memeriksa output perintah pendaftaran perangkat. Namun, metode ini memerlukan pembaruan Windows 10 Mei 2021 (versi 21H1) atau versi yang lebih baru. Metode lainnya adalah menemukan kode kesalahan di analitik Microsoft Entra dan log operasional.

Metode 1: Periksa output perintah pendaftaran perangkat

Catatan

Metode ini hanya tersedia jika Anda menggunakan pembaruan Windows 10 Mei 2021 (versi 21H1) atau versi Windows yang lebih baru.

Untuk mendapatkan kode kesalahan PRT, jalankan dsregcmd perintah , lalu temukan bagian SSO State . Bidang AzureAdPrt di bidang Attempt Status berisi kode kesalahan. Dalam contoh berikut, kode kesalahannya adalah 0xc000006d.

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaa0000-bb11-2222-33cc-444444dddddd
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-09-18 20:20:09.760 UTC
            Attempt Status : 0xc000006d
             User Identity : user@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaa0000-bb11-2222-33cc-444444dddddd/oauth2/token
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.

Metode 2: Gunakan Pemantau Peristiwa untuk memeriksa analitik AAD dan log operasional

1. Pilih Mulai, lalu cari dan pilih Pemantau Peristiwa.

2. Jika pohon konsol tidak muncul di jendela Pemantau Peristiwa, pilih ikon Tampilkan/Sembunyikan Pohon Konsol untuk membuat pohon konsol terlihat.

3. Di pohon konsol, pilih Pemantau Peristiwa (Lokal). Jika simpul anak tidak muncul di bawah item ini, klik dua kali pada pilihan Anda untuk menampilkannya.

4. Pilih menu Tampilan . Jika tanda centang tidak ditampilkan di samping Tampilkan Log Analitik dan Debug, pilih item menu tersebut untuk mengaktifkan fitur tersebut.

5. Di dalam pohon konsol, perluas Log Aplikasi dan Layanan>Microsoft>Windows>AAD. Simpul Anak Operasional dan Analitik muncul.

   Catatan

   Di plug-in Microsoft Entra Cloud Authentication Provider (CloudAP), Peristiwa kesalahan ditulis ke log Peristiwa operasional , dan peristiwa informasi ditulis ke log peristiwa Analitik . Anda harus memeriksa log peristiwa Operasional dan Analitik untuk memecahkan masalah PRT.

6. Di pohon konsol, pilih simpul Analitik untuk melihat peristiwa analitik terkait AAD.

7. Dalam daftar peristiwa analitik, cari ID Peristiwa 1006 dan 1007. ID Peristiwa 1006 menunjukkan awal alur akuisisi PRT, dan ID Peristiwa 1007 menunjukkan akhir alur akuisisi PRT. Semua peristiwa dalam log AAD ( Analitik dan Operasional) yang terjadi antara ID Peristiwa 1006 dan ID Peristiwa 1007 dicatat sebagai bagian dari alur akuisisi PRT. Tabel berikut ini memperlihatkan contoh daftar peristiwa.

   Tingkat	Tanggal dan Waktu	Sumber	ID Peristiwa	Kategori Tugas
   Informasi	24/6/2020 03:35:35 AM	AAD	1006	Operasi AadCloudAPPlugin
   Informasi	24/6/2020 03:35:35 AM	AAD	1018	Operasi AadCloudAPPlugin
   Informasi	24/6/2020 03:35:35 AM	AAD	1144	Operasi AadCloudAPPlugin
   Informasi	24/6/2020 03:35:35 AM	AAD	1022	Operasi AadCloudAPPlugin
   Kesalahan	24/6/2020 03:35:35 AM	AAD	1084	Operasi AadCloudAPPlugin
   Kesalahan	24/6/2020 03:35:35 AM	AAD	1086	Operasi AadCloudAPPlugin
   Kesalahan	24/6/2020 03:35:35 AM	AAD	1160	Operasi AadCloudAPPlugin
   Informasi	24/6/2020 03:35:35 AM	AAD	1007	Operasi AadCloudAPPlugin
   Informasi	24/6/2020 03:35:35 AM	AAD	1157	Operasi AadCloudAPPlugin
   Informasi	24/6/2020 03:35:35 AM	AAD	1158	Operasi AadCloudAPPlugin

8. Klik dua kali baris yang berisi ID Peristiwa 1007. Kotak dialog Properti Acara untuk acara ini muncul.

9. Dalam kotak deskripsi pada tab Umum , salin kode kesalahan. Kode kesalahan adalah string 10 karakter yang dimulai dengan , diikuti dengan 0xangka heksadesimal 8 digit.

Langkah 3: Dapatkan instruksi pemecahan masalah untuk kode kesalahan tertentu

Awalan kode status ("STATUS_", kode yang dimulai dengan "0xc000")

STATUS_LOGON_FAILURE (-1073741715 / 0xc000006d)
STATUS_WRONG_PASSWORD (-1073741718 / 0xc000006a)

Penyebab

• Perangkat tidak dapat tersambung ke layanan autentikasi Microsoft Entra.

• Perangkat menerima 400 Bad Request respons kesalahan HTTP dari salah satu sumber berikut:

  • Layanan autentikasi Microsoft Entra
  • Titik akhir untuk protokol WS-Trust (diperlukan untuk autentikasi federasi)

Solusi

• Jika lingkungan lokal memerlukan proksi keluar, pastikan bahwa akun komputer perangkat dapat mengakses dan melakukan autentikasi secara otomatis ke proksi keluar.

• Dapatkan kode kesalahan server dan deskripsi kesalahan, lalu buka bagian Kode kesalahan server umum (awalan "AADSTS" untuk menemukan penyebab kode kesalahan server tersebut dan detail solusinya.

  Dalam log operasional Microsoft Entra, ID Peristiwa 1081 berisi kode kesalahan server dan deskripsi kesalahan jika kesalahan terjadi di layanan autentikasi Microsoft Entra. Jika kesalahan terjadi di titik akhir WS-Trust, kode kesalahan server dan deskripsi kesalahan ditemukan di ID Peristiwa 1088. Dalam log analitik Microsoft Entra, instans pertama dari Event ID 1022 (yang muncul sebelum Event ID operasional 1081 dan 1088) berisi URL yang sedang diakses.

  Untuk melihat ID Peristiwa di log operasional dan analitik Microsoft Entra, lihat bagian Metode 2: Gunakan Pemantau Peristiwa untuk memeriksa analitik Microsoft Entra dan log operasional.

STATUS_REQUEST_NOT_ACCEPTED (-1073741616 / 0xc00000d0)

Penyebab

Perangkat menerima 400 Bad Request respons kesalahan HTTP dari salah satu sumber berikut:

• Layanan autentikasi Microsoft Entra
• Titik akhir untuk protokol WS-Trust (diperlukan untuk autentikasi federasi)

Solusi

Dapatkan kode kesalahan server dan deskripsi kesalahan, lalu buka bagian Kode kesalahan server umum (awalan "AADSTS" untuk menemukan penyebab kode kesalahan server tersebut dan detail solusinya.

Dalam log operasional Microsoft Entra, ID Peristiwa 1081 berisi kode kesalahan server dan deskripsi kesalahan jika kesalahan terjadi di layanan autentikasi Microsoft Entra. Jika kesalahan terjadi di titik akhir WS-Trust, kode kesalahan server dan deskripsi kesalahan ditemukan di ID Peristiwa 1088. Dalam log analitik Microsoft Entra, instans pertama dari Event ID 1022 (yang muncul sebelum Event ID operasional 1081 dan 1088) berisi URL yang sedang diakses.

Untuk melihat ID Peristiwa di log operasional dan analitik Microsoft Entra, lihat bagian Metode 2: Gunakan Pemantau Peristiwa untuk memeriksa analitik Microsoft Entra dan log operasional.

STATUS_NETWORK_UNREACHABLE (-1073741252 / 0xc000023c),
STATUS_BAD_NETWORK_PATH (-1073741634 / 0xc00000be),
STATUS_UNEXPECTED_NETWORK_ERROR (Kesalahan Jaringan Tak Terduga) (-1073741628 / 0xc00000c4)

Penyebab

• Perangkat menerima 4xx respons kesalahan HTTP dari salah satu sumber berikut:

  • Layanan autentikasi Microsoft Entra
  • Titik akhir untuk protokol WS-Trust (diperlukan untuk autentikasi federasi)

• Ada masalah konektivitas jaringan ke titik akhir yang diperlukan.

Solusi

• Dapatkan kode kesalahan server dan deskripsi kesalahan, lalu buka bagian Kode kesalahan server umum (awalan "AADSTS" untuk menemukan penyebab kode kesalahan server tersebut dan detail solusinya.

  Dalam log operasional Microsoft Entra, ID Peristiwa 1081 berisi kode kesalahan server dan deskripsi kesalahan jika kesalahan terjadi di layanan autentikasi Microsoft Entra. Jika kesalahan terjadi di titik akhir WS-Trust, kode kesalahan server dan deskripsi kesalahan ditemukan di ID Peristiwa 1088.

• Untuk masalah konektivitas jaringan, dapatkan URL yang sedang diakses dan kode kesalahan tambahan dari stack jaringan. ID Peristiwa 1022 di log analitik Microsoft Entra berisi URL yang sedang diakses. ID Peristiwa 1084 di log operasional Microsoft Entra berisi kode kesalahan tambahan dari lapisan jaringan.

Untuk melihat ID Peristiwa di log operasional dan analitik Microsoft Entra, lihat bagian Metode 2: Gunakan Pemantau Peristiwa untuk memeriksa analitik Microsoft Entra dan log operasional.

STATUS_NO_SUCH_LOGON_SESSION (-1073741729 / 0xc000005f)

Penyebab

Penemuan ruang lingkup pengguna gagal karena layanan autentikasi Microsoft Entra tidak dapat menemukan domain pengguna.

Solusi

• Tambahkan domain nama prinsipal pengguna (UPN) pengguna sebagai domain kustom di ID Microsoft Entra. Untuk menemukan UPN yang disediakan, cari ID Peristiwa 1144 di log analitik Microsoft Entra.

  Untuk melihat ID Peristiwa di log analitik Microsoft Entra, lihat bagian Metode 2: Gunakan Pemantau Peristiwa untuk memeriksa analitik Microsoft Entra dan log operasional.

• Jika nama domain lokal tidak dapat dirutekan (misalnya, jika UPN adalah sesuatu seperti jdoe@contoso.local), konfigurasikan ID Masuk Alternatif (AltID). (Untuk melihat prasyarat, lihat Rencanakan implementasi penyambungan hibrid Microsoft Entra Anda.)

Kode kesalahan umum plug-in CloudAP dengan awalan "AAD_CLOUDAP_E_" (kode yang dimulai dengan "0xc004")

AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812 / 0xc004844c)

Penyebab

UPN untuk pengguna tidak dalam format yang diharapkan. Nilai UPN bervariasi sesuai dengan jenis perangkat, seperti yang diperlihatkan dalam tabel berikut.

Jenis penyambungan perangkat	Nilai UPN
Perangkat terhubung Microsoft Entra	Teks yang dimasukkan saat pengguna masuk
Perangkat gabungan hibrid Microsoft Entra	UPN yang dikembalikan pengendali domain selama proses masuk

Solusi

• Atur UPN pengguna ke nama masuk bergaya internet, berdasarkan RFC 822 standar internet. Untuk menemukan UPN saat ini, cari ID peristiwa 1144 di log analitik Microsoft Entra.

  Untuk melihat ID Peristiwa di log analitik Microsoft Entra, lihat bagian Metode 2: Gunakan Pemantau Peristiwa untuk memeriksa analitik Microsoft Entra dan log operasional.

• Untuk perangkat gabungan hibrid Microsoft Entra, pastikan Anda mengonfigurasi pengontrol domain untuk mengembalikan UPN dalam format yang benar. Untuk menampilkan UPN yang dikonfigurasi di pengendali domain, jalankan perintah whoami berikut:

  whoami /upn
  

  Jika Direktori Aktif dikonfigurasi dengan UPN yang benar, kumpulkan jejak perjalanan waktu untuk Layanan Subsistem Otoritas Keamanan Lokal (LSASS atau lsass.exe).

• Jika nama domain lokal tidak dapat dirutekan (misalnya, jika UPN adalah sesuatu seperti jdoe@contoso.local), konfigurasikan ID Masuk Alternatif (AltID). (Untuk melihat prasyarat, lihat Rencanakan implementasi penyambungan hibrid Microsoft Entra Anda.)

AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822 / 0xc0048442)

Penyebab

Pengidentifikasi keamanan pengguna (SID) hilang dalam token ID yang dikembalikan layanan autentikasi Microsoft Entra.

Solusi

Pastikan bahwa proksi jaringan tidak mengganggu atau mengubah respons server.

AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (-1073445695 / 0xc00484c1 / 0x800484c1)

Penyebab

Anda menerima kesalahan dari titik akhir protokol WS-Trust (diperlukan untuk autentikasi gabungan).

Solusi

• Pastikan bahwa proksi jaringan tidak mengganggu atau mengubah respons server.

• Dapatkan kode kesalahan server dan deskripsi kesalahan dari ID Peristiwa 1088 di log operasional Microsoft Entra. Kemudian, buka bagian Kode kesalahan server umum (awalan "AADSTS") untuk menemukan penyebab kode kesalahan server tersebut dan detail solusinya.

  Untuk melihat ID Peristiwa di log operasional Microsoft Entra, lihat bagian Metode 2: Gunakan Pemantau Peristiwa untuk memeriksa analitik Microsoft Entra dan log operasional.

AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749 / 0xc004848b)

Penyebab

Titik akhir Metadata Exchange (MEX) salah dikonfigurasi. Respons MEX tidak berisi URL kata sandi apa pun.

Solusi

• Pastikan bahwa proksi jaringan tidak mengganggu atau mengubah respons server.

• Perbaiki konfigurasi MEX untuk mengembalikan URL yang valid dalam respons.

AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748 / 0xc004848c)

Penyebab

Titik akhir Metadata Exchange (MEX) salah dikonfigurasi. Respons MEX tidak berisi URL titik akhir sertifikat apa pun.

Solusi

• Pastikan bahwa proksi jaringan tidak mengganggu atau mengubah respons server.

• Perbaiki konfigurasi MEX di idP untuk mengembalikan URL sertifikat yang valid dalam respons.

Kode kesalahan XML umum (kode yang dimulai dengan "0xc00c")

WC_E_DTDPROHIBITED (-1072894385 / 0xc00cee4f)

Penyebab

Respons XML dari titik akhir protokol WS-Trust (diperlukan untuk autentikasi gabungan) menyertakan definisi jenis dokumen (DTD). DTD tidak diharapkan dalam respons XML, dan penguraian respons gagal jika DTD disertakan.

Solusi

• Perbaiki konfigurasi di penyedia identitas untuk menghindari pengiriman DTD dalam respons XML.

• Dapatkan URL yang diakses dari ID Peristiwa 1022 di log analitik Microsoft Entra.

  Untuk melihat ID Peristiwa di log analitik Microsoft Entra, lihat bagian Metode 2: Gunakan Pemantau Peristiwa untuk memeriksa analitik Microsoft Entra dan log operasional.

Kode kesalahan server umum (awalan "AADSTS"))

Anda dapat menemukan daftar lengkap dan deskripsi kode kesalahan server di kode kesalahan autentikasi dan otorisasi Microsoft Entra.

AADSTS50155: Autentikasi perangkat gagal

Penyebab

• ID Microsoft Entra tidak dapat mengautentikasi perangkat untuk mengeluarkan PRT.

• Perangkat mungkin telah dihapus atau dinonaktifkan. (Untuk informasi selengkapnya, lihat Mengapa pengguna saya melihat pesan kesalahan yang mengatakan "Organisasi Anda telah menghapus perangkat" atau "Organisasi Anda telah menonaktifkan perangkat" di perangkat Windows 10/11 mereka?)

Solusi

Daftarkan ulang perangkat berdasarkan jenis gabungan perangkat. Untuk petunjuknya, lihat Saya menonaktifkan atau menghapus perangkat saya. Tetapi status lokal pada perangkat mengatakan masih terdaftar. Apa yang harus saya lakukan?.

AADSTS50034: Akun< pengguna >tidak ada di <direktori id> penyewa

Penyebab

ID Microsoft Entra tidak dapat menemukan akun pengguna di penyewa.

Solusi

• Pastikan pengguna memasukkan UPN yang benar.

• Pastikan bahwa akun pengguna lokal sedang disinkronkan ke ID Microsoft Entra.

• Dapatkan UPN yang disediakan dengan mencari ID Peristiwa 1144 di log analitik Microsoft Entra.

  Untuk melihat ID Peristiwa di log analitik Microsoft Entra, lihat bagian Metode 2: Gunakan Pemantau Peristiwa untuk memeriksa analitik Microsoft Entra dan log operasional.

AADSTS50126: Kesalahan memvalidasi kredensial karena nama pengguna atau kata sandi yang tidak valid

Penyebab

• Pengguna memasukkan nama pengguna atau kata sandi yang salah di antarmuka pengguna masuk.

• Kata sandi belum disinkronkan ke ID Microsoft Entra karena skenario berikut:

  • Penyewa telah mengaktifkan sinkronisasi hash kata sandi.
  • Perangkat ini adalah perangkat gabungan hibrid Microsoft Entra.
  • Pengguna baru-baru ini mengubah kata sandi.

Solusi

Untuk memperoleh PRT baru yang memiliki kredensial baru, tunggu hingga sinkronisasi Microsoft Entra selesai.

Kode kesalahan jaringan umum (awalan "ERROR_WINHTTP_"))

Anda bisa menemukan daftar lengkap dan deskripsi kode kesalahan jaringan dalam Pesan kesalahan (Winhttp.h).

ERROR_WINHTTP_TIMEOUT (12002),
ERROR_WINHTTP_NAME_NOT_RESOLVED (12007),
ERROR_WINHTTP_CANNOT_CONNECT (Gagal menyambung) (12029),
KESALAHAN_WINHTTP_KESALAHAN_KONEKSI (12030)

Penyebab

Masalah umum terkait jaringan umum.

Solusi

• Dapatkan URL yang sedang diakses. Anda dapat menemukan URL di ID Peristiwa 1084 dari log operasional Microsoft Entra atau ID Peristiwa 1022 dari log analitik Microsoft Entra.

  Untuk melihat ID Peristiwa di log operasional dan analitik Microsoft Entra, lihat bagian Metode 2: Gunakan Pemantau Peristiwa untuk memeriksa analitik Microsoft Entra dan log operasional.

• Jika lingkungan lokal memerlukan proksi keluar, pastikan bahwa akun komputer perangkat dapat mengakses dan melakukan autentikasi secara otomatis ke proksi keluar.

• Kumpulkan jejak jaringan dengan mengikuti langkah-langkah berikut:

  Penting

  Jangan gunakan Fiddler selama prosedur ini.

  1. Jalankan perintah netsh trace start berikut:

     netsh trace start scenario=InternetClient_dbg capture=yes persistent=yes
     

  2. Kunci perangkat.

  3. Jika perangkat adalah perangkat gabungan hibrid Microsoft Entra, tunggu setidaknya 60 detik untuk membiarkan tugas akuisisi PRT selesai.

  4. Buka kunci perangkat.

  5. Jalankan perintah netsh trace stop berikut:

     netsh trace stop
     

Langkah 4: Kumpulkan log dan jejak

Catatan reguler

1. Unduh arsip skrip Autentikasi, dan ekstrak skrip ke direktori lokal. Jika perlu, tinjau instruksi penggunaan di KB 4487175.

2. Buka sesi PowerShell administratif, dan ubah direktori saat ini ke direktori tempat Anda menyimpan skrip Auth.

3. Untuk memulai sesi pelacakan kesalahan, masukkan perintah berikut:

   .\Start-auth.ps1 -v -acceptEULA
   

4. Alihkan akun pengguna ke sesi pengguna Windows yang mengalami masalah.

5. Kunci perangkat.

6. Jika perangkat adalah perangkat gabungan hibrid Microsoft Entra, tunggu setidaknya 60 detik untuk membiarkan tugas akuisisi PRT selesai.

7. Buka kunci perangkat.

8. Alihkan akun pengguna Windows kembali ke sesi administratif Anda yang menjalankan sesi pelacakan.

9. Setelah Anda mereprodurasi masalah, jalankan perintah berikut untuk mengakhiri sesi pelacakan:

   .\stop-auth.ps1
   

10. Tunggu segala pelacakan berhenti sepenuhnya.

Jejak perjalanan waktu

Prosedur berikut menjelaskan cara mengambil jejak dengan menggunakan fitur Time Travel Debugging (TTD).

Peringatan

Jejak perjalanan waktu berisi data pribadi. Selain itu, jejak Local Security Authority Subsystem Service (LSASS atau lsass.exe) berisi informasi yang sangat sensitif. Saat Anda menangani jejak ini, pastikan Anda menggunakan praktik terbaik untuk penyimpanan dan berbagi jenis informasi ini.

1. Pilih Mulai, masukkan cmd, temukan dan klik kanan Prompt Perintah di hasil pencarian, lalu pilih Jalankan sebagai administrator.

2. Pada prompt perintah, buat direktori sementara:

   mkdir c:\temp
   

3. Jalankan perintah daftar tugas berikut:

   tasklist /m lsasrv.dll
   

4. Dalam output perintah tasklist, temukan pengidentifikasi proses (PID) dari lsass.exe.

5. Untuk memulai sesi pelacakan proses lsass.exe, jalankan perintah debugging perjalanan waktu berikut (TTD.exe):

   TTD.exe -attach <lsass-pid> -out c:\temp
   

6. Kunci perangkat yang terdaftar di akun di domain.

7. Buka kunci perangkat.

8. Untuk mengakhiri sesi pelacakan perjalanan waktu, jalankan perintah TTD berikut:

   TTD.exe -stop all
   

9. Dapatkan file lsass##.run terbaru.