Risolvere i problemi del token di aggiornamento primario nei dispositivi Windows
Questo articolo illustra come risolvere i problemi che coinvolgono il token di aggiornamento primario (PRT) quando si esegue l'autenticazione in un dispositivo Windows aggiunto a Microsoft Entra usando le credenziali di Microsoft Entra.
Nei dispositivi uniti a Microsoft Entra ID o a Microsoft Entra ID ibrido, il componente principale dell'autenticazione è il PRT. Per ottenere questo token, accedere a Windows 10 usando le credenziali di Microsoft Entra in un dispositivo aggiunto a Microsoft Entra per la prima volta. Il PRT è memorizzato nella cache su quel dispositivo. Per gli accessi successivi, il token memorizzato nella cache viene usato per consentire l'uso del desktop.
Come parte del processo di blocco e sblocco del dispositivo o di nuovo accesso a Windows, viene effettuato un tentativo di autenticazione di rete in background una volta ogni quattro ore per aggiornare il PRT. Se si verificano problemi che impediscono l'aggiornamento del token, il PRT alla fine scade. La scadenza influisce sull'accesso Single Sign-On (SSO) alle risorse di Microsoft Entra. Causa anche la visualizzazione dei prompt di accesso.
Se si sospetta che esista un problema PRT, è consigliabile prima raccogliere i log di Microsoft Entra e seguire i passaggi descritti nell'elenco di controllo per la risoluzione dei problemi. Eseguire questa operazione per qualsiasi problema del client Microsoft Entra, idealmente all'interno di una sessione di riproduzione. Completare questo processo prima di inviare una richiesta di supporto.
Elenco di controllo per la risoluzione dei problemi
Passaggio 1: Ottenere lo stato del token di aggiornamento primario
Accedi a Windows con l'account utente in cui riscontri problemi PRT.
Selezionare Start, e poi cercare e selezionare Prompt dei comandi.
Per eseguire il comando di registrazione del dispositivo (dsregcmd), immettere
dsregcmd /status
.Individua la sezione stato SSO dell'output del comando di registrazione del dispositivo. Il testo seguente illustra un esempio di questa sezione:
+----------------------------------------------------------------------+ | SSO State | +----------------------------------------------------------------------+ AzureAdPrt : YES AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC AzureAdPrtExpiryTime : 2020-07-26 22:58:35.000 UTC AzureAdPrtAuthority : https://login.microsoftonline.com/00001111-aaaa-2222-bbbb-3333cccc4444 EnterprisePrt : YES EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC EnterprisePrtAuthority : https://msft.sts.microsoft.com:443/adfs +----------------------------------------------------------------------+
Controllare il valore del campo
AzureAdPrt
. Se è impostato suNO
, si è verificato un errore quando si è tentato di acquisire lo stato PRT da Microsoft Entra ID.Controllare il valore del campo
AzureAdPrtUpdateTime
. Se il valore del campoAzureAdPrtUpdateTime
è superiore a quattro ore, è probabile che un problema impedisca il PRT dall'aggiornarsi. Bloccare e sbloccare il dispositivo per forzare un aggiornamento PRT e quindi controllare se l'ora viene aggiornata.
Passaggio 2: Ottenere il codice di errore
Il passaggio successivo consiste nel ottenere il codice di errore che causa l'errore PRT. Il modo più rapido per ottenere il codice di errore PRT consiste nell'esaminare l'output del comando di registrazione del dispositivo. Tuttavia, questo metodo richiede l'aggiornamento di Windows 10 di maggio 2021 (versione 21H1) o una versione successiva. L'altro metodo consiste nel trovare il codice di errore nei log analitici e operativi di Microsoft Entra.
Metodo 1: Esaminare l'output del comando di registrazione del dispositivo
Nota
Questo metodo è disponibile solo se si usa l'aggiornamento di Windows 10 maggio 2021 (versione 21H1) o una versione successiva di Windows.
Per ottenere il codice di errore PRT, eseguire il comando dsregcmd
e quindi individuare la sezione SSO State
. Nel campo AzureAdPrt
, il campo Attempt Status
contiene il codice di errore. Nell'esempio seguente il codice di errore è 0xc000006d
.
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaa0000-bb11-2222-33cc-444444dddddd
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-09-18 20:20:09.760 UTC
Attempt Status : 0xc000006d
User Identity : user@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaa0000-bb11-2222-33cc-444444dddddd/oauth2/token
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
Metodo 2: Usare il Visualizzatore eventi per esaminare i log analitici e operativi di AAD
Selezionare Start e quindi cercare e selezionare Visualizzatore eventi.
Se l'albero della console non viene visualizzato nella finestra Visualizzatore eventi, selezionare l'icona Mostra/Nascondi albero della console per rendere visibile l'albero della console.
Nell'albero della console selezionare Visualizzatore eventi (locale). Se i nodi figlio non vengono visualizzati sotto questo elemento, fare doppio clic sulla selezione per visualizzarli.
Selezionare il menu Visualizza. Se un segno di spunta non viene visualizzato accanto a Mostra log analitici e di debug, selezionare tale voce di menu per abilitare tale funzionalità.
Nell'albero della console espandere Registri applicazioni e servizi>Microsoft>Windows>AAD. Vengono visualizzati i nodi figlio Operativo e Analitico.
Nota
Nel plug-in Microsoft Entra Cloud Authentication Provider (CloudAP), gli eventi di errore vengono scritti nei registri eventi operativi e gli eventi informativi vengono scritti nei registri eventi analitici. È necessario esaminare i registri eventi Operativi e Analitici per risolvere i problemi relativi al PRT.
Nell'albero della console selezionare il nodo Analitico per visualizzare gli eventi analitici correlati ad AAD.
Nell'elenco degli eventi analitici cercare ID evento 1006 e 1007. L'ID evento 1006 indica l'inizio del flusso di acquisizione PRT e l'ID evento 1007 indica la fine del flusso di acquisizione PRT. Tutti gli eventi nei log di AAD (sia Analitici che Operativi) che si sono verificati tra l'ID evento 1006 e l'ID evento 1007 vengono registrati come parte del flusso di acquisizione PRT. La tabella seguente mostra un elenco di eventi di esempio.
Level Data e ora Origine ID evento Categoria attività Informazioni 24/6/2020 3:35:35 AM AAD 1006 Operazione AadCloudAPPlugin Informazioni 24/6/2020 3:35:35 AM AAD 1018 Operazione AadCloudAPPlugin Informazioni 24/6/2020 3:35:35 AM AAD 1144 Operazione di Plugin AadCloudAP Informazioni 24/6/2020 3:35:35 AM AAD 1022 AadCloudAPPlugin Operation Errore 24/6/2020 03:35:35 AAD 1084 AadCloudAPPlugin Operation Errore 24/6/2020 3:35:35 AM AAD 1086 AadCloudAPPlugin Operation Errore 24/6/2020 3:35:35 AAD 1160 AadCloudAPPlugin Operation Informazioni 24/6/2020 03:35:35 AM AAD 1007 Operazione AadCloudAPPlugin Informazioni 24/6/2020 3:35:35 AM AAD 1157 AadCloudAPPlugin Operation Informazioni 24/6/2020 03:35:35 AAD 1158 Operazione AadCloudAPPlugin Fare doppio clic sulla riga contenente l'ID evento 1007. Viene visualizzata la finestra di dialogo Proprietà evento per questo evento.
Nella casella descrizione della scheda Generale copiare il codice di errore. Il codice di errore è una stringa di 10 caratteri che inizia con
0x
, seguita da un numero esadecimale a 8 cifre.
Passaggio 3: Ottenere le istruzioni per la risoluzione dei problemi per determinati codici di errore
Codici di stato (prefisso "STATUS_", codici che iniziano con "0xc000")
STATUS_LOGON_FAILURE (-1073741715 / 0xc000006d),
STATUS_WRONG_PASSWORD (-1073741718 / 0xc000006a)
Causa
Il dispositivo non può connettersi al servizio di autenticazione Microsoft Entra.
Il dispositivo ha ricevuto una risposta di errore HTTP
400 Bad Request
da una delle origini seguenti:- Servizio di autenticazione Microsoft Entra
- Endpoint per il protocollo WS-Trust (obbligatorio per l'autenticazione federata)
Soluzione
Se l'ambiente locale richiede un proxy in uscita, assicurarsi che l'account computer del dispositivo sia in grado di individuare e autenticare automaticamente il proxy in uscita.
Ottenere il codice di errore del server e la descrizione dell'errore, quindi passare alla sezione Codici di errore comuni del server ("prefisso AADSTS") per trovare la causa del codice di errore del server e i dettagli della soluzione.
Nei log operativi di Microsoft Entra, l'ID evento 1081 contiene il codice di errore del server e la descrizione dell'errore se si verifica l'errore nel servizio di autenticazione Microsoft Entra. Se l'errore si verifica in un endpoint WS-Trust, il codice di errore del server e la descrizione dell'errore vengono trovati nell'ID evento 1088. Nei log analitici di Microsoft Entra la prima istanza dell'ID evento 1022 (che precede gli ID evento operativi 1081 e 1088) contiene l'URL a cui si accede.
Per visualizzare gli ID evento nei log operativi e analitici di Microsoft Entra, fare riferimento alla sezione Metodo 2: Usare visualizzatore eventi per esaminare i log analitici e operativi di Microsoft Entra.
STATUS_REQUEST_NOT_ACCEPTED (-1073741616 / 0xc00000d0)
Causa
Il dispositivo ha ricevuto una risposta di errore HTTP 400 Bad Request
da una delle origini seguenti:
- Servizio di autenticazione Microsoft Entra
- Endpoint per il protocollo WS-Trust (obbligatorio per l'autenticazione federata)
Soluzione
Ottenere il codice di errore del server e la descrizione dell'errore, quindi passare alla sezione Codici di errore comuni del server ("prefisso AADSTS") per trovare la causa del codice di errore del server e i dettagli della soluzione.
Nei log operativi di Microsoft Entra, l'ID evento 1081 contiene il codice di errore del server e la descrizione dell'errore se si verifica l'errore nel servizio di autenticazione Microsoft Entra. Se l'errore si verifica in un endpoint WS-Trust, il codice di errore del server e la descrizione dell'errore vengono trovati nell'ID evento 1088. Nei log analitici di Microsoft Entra la prima istanza dell'ID evento 1022 (che precede gli ID evento operativi 1081 e 1088) contiene l'URL a cui si accede.
Per visualizzare gli ID evento nei log operativi e analitici di Microsoft Entra, fare riferimento alla sezione Metodo 2: Usare visualizzatore eventi per esaminare i log analitici e operativi di Microsoft Entra.
STATUS_NETWORK_UNREACHABLE (-1073741252 / 0xc000023c),
STATUS_BAD_NETWORK_PATH (-1073741634 / 0xc00000be),
STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628 / 0xc00000c4)
Causa
Il dispositivo ha ricevuto una risposta di errore HTTP
4xx
da una delle origini seguenti:- Servizio di autenticazione Microsoft Entra
- Endpoint per il protocollo WS-Trust (obbligatorio per l'autenticazione federata)
Esiste un problema di connettività di rete a un endpoint obbligatorio.
Soluzione
Ottenere il codice di errore del server e la descrizione dell'errore, quindi passare alla sezione Codici di errore comuni del server ("prefisso AADSTS") per trovare la causa del codice di errore del server e i dettagli della soluzione.
Nei log operativi di Microsoft Entra, l'ID evento 1081 contiene il codice di errore del server e la descrizione dell'errore se si verifica l'errore nel servizio di autenticazione Microsoft Entra. Se l'errore si verifica in un endpoint WS-Trust, il codice di errore del server e la descrizione dell'errore vengono trovati nell'ID evento 1088.
Per un problema di connettività di rete, ottenere l'URL a cui si accede e il codice suberrore dallo stack di rete. L'ID evento 1022 nei log analitici di Microsoft Entra contiene l'URL a cui si accede. L'ID evento 1084 nei log operativi di Microsoft Entra contiene il codice di errore secondario dello stack di rete.
Per visualizzare gli ID evento nei log operativi e analitici di Microsoft Entra, fare riferimento alla sezione Metodo 2: Usare visualizzatore eventi per esaminare i log analitici e operativi di Microsoft Entra.
STATUS_NO_SUCH_LOGON_SESSION (-1073741729 / 0xc000005f)
Causa
L'individuazione dell'area di autenticazione utente non è riuscita perché il servizio di autenticazione Microsoft Entra non riesce a trovare il dominio dell'utente.
Soluzione
Aggiungi il dominio del nome principale utente (UPN) come dominio personalizzato in Microsoft Entra ID. Per trovare l'UPN specificato, cercare l'ID evento 1144 nei log analitici di Microsoft Entra.
Per visualizzare gli ID evento nei log analitici di Microsoft Entra, fare riferimento alla sezione Metodo 2: Usare visualizzatore eventi per esaminare i log analitici e operativi di Microsoft Entra.
Se il nome di dominio locale non può essere indirizzato (ad esempio, se l'UPN è un elemento come
jdoe@contoso.local
), configurare l'ID di accesso alternativo (ALTID). Per visualizzare i prerequisiti, vedere Pianificare l'implementazione dell'aggiunta ibrida a Microsoft Entra.
Codici di errore comuni del plug-in CloudAP ("AAD_CLOUDAP_E_", codici che iniziano con "0xc004")
AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812 / 0xc004844c)
Causa
L'UPN per l'utente non è nel formato previsto. Il valore UPN varia in base al tipo di dispositivo, come illustrato nella tabella seguente.
Tipo di associazione del dispositivo | Valore UPN |
---|---|
Dispositivi collegati a Microsoft Entra | Testo immesso quando l'utente accede |
Dispositivi connessi in modalità ibrida a Microsoft Entra | UPN restituito dal controller di dominio durante il processo di accesso |
Soluzione
Impostare l'UPN dell'utente su un nome di accesso di tipo Internet, in base allo standard Internet RFC 822. Per trovare l'UPN corrente, cercare l'ID evento 1144 nei log analitici di Microsoft Entra.
Per visualizzare gli ID evento nei log analitici di Microsoft Entra, fare riferimento alla sezione Metodo 2: Usare visualizzatore eventi per esaminare i log analitici e operativi di Microsoft Entra.
Per i dispositivi ibridi aggiunti a Microsoft Entra, assicurarsi di aver configurato il controller della directory di dominio per restituire l'UPN nel formato corretto. Per visualizzare l'UPN configurato nel controller di dominio, eseguire il comando seguente whoami:
whoami /upn
Se Active Directory è configurato con l'UPN corretto, raccogliere le tracce temporali di spostamento per il servizio del sottosistema dell'autorità di sicurezza locale (LSASS o lsass.exe).
Se il nome di dominio locale non può essere indirizzato (ad esempio, se l'UPN è un elemento come
jdoe@contoso.local
), configurare l'ID di accesso alternativo (ALTID). Per visualizzare i prerequisiti, vedere Pianificare l'implementazione dell'aggiunta ibrida a Microsoft Entra.
AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822 / 0xc0048442)
Causa
L'identificatore di sicurezza utente (SID) non è presente nel token ID restituito dal servizio di autenticazione Microsoft Entra.
Soluzione
Assicurarsi che il proxy di rete non interferisca con o modifichi la risposta del server.
AAD_CLOUDAP_E_WSTRUST_SAML_TOKEN_SONO_VUOTI (-1073445695 / 0xc00484c1 / 0x800484c1)
Causa
È stato ricevuto un errore dall'endpoint del protocollo WS-Trust (obbligatorio per l'autenticazione federata).
Soluzione
Assicurarsi che il proxy di rete non interferisca con o modifichi la risposta del server.
Ottenere il codice di errore del server e la descrizione dell'errore dall'ID evento 1088 nei log operativi di Microsoft Entra. Passare quindi alla sezione Codici di errore comuni del server ("prefisso AADSTS") per trovare la causa del codice di errore del server e i dettagli della soluzione.
Per visualizzare gli ID evento nei log operativi di Microsoft Entra, vedere la sezione Metodo 2: Usare visualizzatore eventi per esaminare i log analitici e operativi di Microsoft Entra.
AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749 / 0xc004848b)
Causa
L'endpoint MEX (Metadata Exchange) non è configurato correttamente. La risposta MEX non contiene URL di password.
Soluzione
Assicurarsi che il proxy di rete non interferisca con o modifichi la risposta del server.
Correggere la configurazione MEX in modo che restituisca URL validi in risposta.
AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748 / 0xc004848c)
Causa
L'endpoint MEX (Metadata Exchange) non è configurato correttamente. La risposta MEX non contiene URL di endpoint di certificato.
Soluzione
Assicurarsi che il proxy di rete non interferisca con o modifichi la risposta del server.
Correggere la configurazione MEX nel provider di identità per restituire gli URL di certificato validi nella risposta.
Codici di errore XML comuni (codici che iniziano con "0xc00c")
WC_E_DTDPROHIBITED (-1072894385 / 0xc00cee4f)
Causa
La risposta XML dall'endpoint del protocollo WS-Trust (necessaria per l'autenticazione federata) includeva una definizione del tipo di documento (DTD). Il DTD non è previsto nella risposta XML e l'analisi delle risposte ha esito negativo se il DTD è incluso.
Soluzione
Correggere la configurazione nel provider di identità per evitare di inviare il DTD nella risposta XML.
Ottenere l'URL a cui si accede dall'ID evento 1022 nei log analitici di Microsoft Entra.
Per visualizzare gli ID evento nei log analitici di Microsoft Entra, fare riferimento alla sezione Metodo 2: Usare visualizzatore eventi per esaminare i log analitici e operativi di Microsoft Entra.
Codici di errore comuni del server (prefisso "AADSTS")
È possibile trovare un elenco completo e una descrizione dei codici di errore del server in codici di errore di autenticazione e autorizzazione di Microsoft Entra.
AADSTS50155: Autenticazione del dispositivo non riuscita
Causa
Microsoft Entra ID non è in grado di autenticare il dispositivo per emettere un token di aggiornamento primario.
Il dispositivo potrebbe essere stato eliminato o disabilitato. Per altre informazioni, vedere Perché gli utenti visualizzano un messaggio di errore che indica che “L'organizzazione ha eliminato il dispositivo” o "L'organizzazione ha disabilitato il dispositivo" nei dispositivi Windows 10/11?)
Soluzione
Registrare nuovamente il dispositivo in base al tipo di join del dispositivo. Per istruzioni, vedere Ho disabilitato o eliminato il dispositivo. Ma lo stato locale nel dispositivo risulta ancora registrato. Cosa dovrei fare?.
AADSTS50034: l'account utente <Account> non esiste nella directory <id tenant>
Causa
Microsoft Entra ID non riesce a trovare l'account utente nel tenant.
Soluzione
Assicurarsi che l'utente stia immettendo l'UPN corretto.
Assicurarsi che l'account utente locale sia sincronizzato con Microsoft Entra ID.
Ottenere l'UPN fornito cercando l'ID evento 1144 nei log analitici di Microsoft Entra.
Per visualizzare gli ID evento nei log analitici di Microsoft Entra, fare riferimento alla sezione Metodo 2: Usare visualizzatore eventi per esaminare i log analitici e operativi di Microsoft Entra.
AADSTS50126: errore durante la convalida delle credenziali a causa di un nome utente o di una password non validi
Causa
L'utente ha immesso un nome utente o una password non corretti nell'interfaccia utente di accesso.
La password non è stata sincronizzata con Microsoft Entra ID a causa dello scenario seguente:
- Il tenant ha abilitato la sincronizzazione dell'hash delle password.
- Il dispositivo è un dispositivo unito ibridamente a Microsoft Entra.
- L'utente ha recentemente modificato la password.
Soluzione
Per acquisire un nuovo PRT con le nuove credenziali, attendere che la sincronizzazione di Microsoft Entra sia completata.
Codici di errore di rete comuni ("prefisso ERROR_WINHTTP_")
È possibile trovare un elenco completo e una descrizione dei codici di errore di rete nei messaggi di errore (Winhttp.h).
ERROR_WINHTTP_TIMEOUT (12002),
ERROR_WINHTTP_NAME_NOT_RESOLVED (12007)
ERROR_WINHTTP_CANNOT_CONNECT (12029),
ERROR_WINHTTP_CONNECTION_ERROR (12030)
Causa
Problemi comuni relativi alla rete.
Soluzione
Ottenere l'URL a cui si accede. È possibile trovare l'URL nell'ID evento 1084 del log operativo di Microsoft Entra o nell'ID evento 1022 del log analitico di Microsoft Entra.
Per visualizzare gli ID evento nei log operativi e analitici di Microsoft Entra, fare riferimento alla sezione Metodo 2: Usare visualizzatore eventi per esaminare i log analitici e operativi di Microsoft Entra.
Se l'ambiente locale richiede un proxy in uscita, assicurarsi che l'account computer del dispositivo sia in grado di individuare e autenticare automaticamente il proxy in uscita.
Raccogliere tracce di rete seguendo questa procedura:
Importante
Non usare Fiddler durante questa procedura.
Eseguire il comando netsh trace start seguente:
netsh trace start scenario=InternetClient_dbg capture=yes persistent=yes
Bloccare il dispositivo.
Se il dispositivo è un dispositivo aggiunto ibrido a Microsoft Entra, attendere almeno 60 secondi per consentire il completamento dell'attività di acquisizione PRT.
Sbloccare il dispositivo.
Eseguire il comando netsh trace stop seguente:
netsh trace stop
Passaggio 4: Raccogliere i log e le tracce
Log regolari
Scaricare l'archivio script di autenticazione ed estrarre gli script in una directory locale. Se necessario, esaminare le istruzioni di utilizzo in KB 4487175.
Aprire una sessione amministrativa di PowerShell e modificare la directory corrente nella directory in cui sono stati salvati gli script di autenticazione.
Per avviare la sessione di traccia degli errori, immettere il comando seguente:
.\Start-auth.ps1 -v -acceptEULA
Passa all'account utente di Windows dell'utente problematico per accedere alla sua sessione.
Bloccare il dispositivo.
Se il dispositivo è un dispositivo ibrido unito a Microsoft Entra, attendere almeno 60 secondi per consentire il completamento dell'attività di acquisizione del PRT.
Sbloccare il dispositivo.
Passa di nuovo all'account utente di Windows nella tua sessione amministrativa che sta eseguendo la sessione di traccia.
Dopo aver ricreato il problema, eseguire il comando seguente per terminare la sessione di tracciamento.
.\stop-auth.ps1
Attendere che tutti i tracciamenti si arrestino completamente.
Tracce di viaggio temporali
La procedura seguente descrive come acquisire le tracce usando la funzionalità Time Travel Debugging (TTD).
Avviso
Le tracce di viaggio temporali contengono dati personali. Inoltre, le tracce del servizio del sottosistema dell'autorità di sicurezza locale (LSASS o lsass.exe) contengono informazioni estremamente riservate. Quando si gestiscono queste tracce, assicurarsi di usare le procedure consigliate per l'archiviazione e la condivisione di questo tipo di informazioni.
Selezionare Start, immettere cmd, individuare e fare clic con il pulsante destro del mouse prompt dei comandi nei risultati della ricerca e quindi selezionare Esegui come amministratore.
Nel prompt dei comandi, creare una directory temporanea:
mkdir c:\temp
Eseguire il comando tasklist seguente:
tasklist /m lsasrv.dll
Nell'output del comando
tasklist
trovare l'identificatore del processo (PID
) di lsass.exe.Per avviare una sessione di traccia del processo di lsass.exe, eseguire il comando di debug del viaggio temporale seguente (TTD.exe):
TTD.exe -attach <lsass-pid> -out c:\temp
Bloccare il dispositivo connesso con l'account di dominio.
Sbloccare il dispositivo.
Per terminare la sessione di traccia del viaggio temporale, eseguire il comando TTD seguente:
TTD.exe -stop all
Ottenere il file lsass##.run più recente.