Felsöka WinLogon

WinLogon är processen i användarläge som hanterar uppgiften för interaktiva användare som loggar in och loggar ut och hanterar alla instanser av CTRL+ALT+DELETE.

Kontrollera NTSD från kernelfelsökaren

Det enklaste sättet att felsöka WinLogon är att använda NTSD och styra det från kernelfelsökaren.

Aktivera WinLogon-felsökning

Eftersom du omdirigerar felsökningsutdata i användarläge till kernelfelsökaren måste du konfigurera en anslutning för kernelfelsökning. Se Konfigurera för felsökning.

Om du vill koppla ett felsökningsprogram till WinLogon måste du använda registret så att processen felsöks från ögonblicket då den startas. Konfigurera WinLogon-felsökning genom att ange HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WinLogon.EXE\Debugger till:

ntsd -d -x -g 

Alternativet -d skickar kontrollen till kernelfelsökaren. Alternativet -x gör att felsökaren samlar in åtkomstöverträdelser som andra chansens undantag. Alternativet -g gör att WinLogon-processen körs efter den bifogade filen. Lägg inte till -g om du vill börja felsöka innan Winlogon.exe börjar (till exempel om du vill ange en inledande brytpunkt).

Dessutom bör du ange värdet GlobalFlag under nyckeln winlogon.exe till REG_DWORD "0x000400F0". Detta anger heapkontroll och FLG_ENABLE_KDEBUG_SYMBOL_LOAD. Men eftersom den här andra flaggan endast påverkar kernelfelsökaren måste symboler också kopieras till måldatorn innan felsökningsprogrammet startas.

Registerändringen kräver en omstart för att börja gälla.

Utföra felsökningen

Efter nästa omstart bryter felsökaren automatiskt in i WinLogon.

En förklaring av hur du fortsätter finns i Kontrollera User-Mode-felsökaren från kernelfelsökaren .

Du måste ange symbolsökvägen till en plats på värddatorn eller till någon annan plats i nätverket. När WinLogon debuggas fungerar inte nätverksautentiseringen på måldatorn korrekt.