| 智能卡故障排除 | 您所在的位置:網(wǎng)站首頁 › win10 apple mobile device服務(wù)(wù)未啟動(dòng) › 智能卡故障排除 |
|
本文介紹智能卡開發(fā)人員可用于幫助識別智能卡部署的證書問題的工具和服務(wù)。 調(diào)試和跟蹤智能卡問題需要各種工具和方法。 以下部分提供有關(guān)可使用的工具和方法的指導。 Certutil 使用 Windows 軟件跟蹤預處理器 (WPP) 進行調(diào)試和跟蹤 Kerberos 協(xié)議、密鑰分發(fā)中心 (KDC) 以及 NTLM 調(diào)試和跟蹤 智能卡服務(wù) 智能卡閱讀器 CryptoAPI 2.0 診斷 Certutil有關(guān) Certutil 的完整說明,包括演示如何使用它的示例,請參閱 Certutil [W2012]。 列出智能卡上可用的證書若要列出智能卡上可用的證書,請鍵入 certutil.exe -scinfo。 注意 此作不需要輸入 PIN。 如果系統(tǒng)提示輸入 PIN,可以按 ESC。 刪除智能卡上的證書每個證書都包含在容器中。 刪除智能卡上的證書時,會刪除證書的容器。 若要查找容器值,請鍵入 certutil.exe -scinfo。 若要刪除容器,請鍵入 certutil.exe -delkey -csp "Microsoft Base Smart Card Crypto Provider" ""。 使用 WPP 進行調(diào)試和跟蹤WPP 簡化了跟蹤提供程序的作。 它為跟蹤提供程序提供了一種記錄實時二進制消息的機制。 記錄的消息可以轉(zhuǎn)換為作的用戶可讀跟蹤。 有關(guān)詳細信息,請參閱 WPP 診斷 - NDIS 博客。 啟用跟蹤使用 WPP,使用以下命令之一啟用跟蹤: tracelog.exe -kd -rt -start -guid -f ..etl -flags -ft 1 logman.exe start -ets -p {} - -ft 1 -rt -o ..etl -mode 0x00080000可以使用下表中的參數(shù)。 友好名稱 GUID Flags scardsvr 13038e47-ffec-425d-bc69-5707708075fe 0xffff winscard 3fce7c5f-fb3b-4bce-a9d8-55cc0ce1cf01 0xffff basecsp 133a980d-035d-4e2d-b250-94577ad8fced 0x7 scksp 133a980d-035d-4e2d-b250-94577ad8fced 0x7 msclmd fb36caf4-582b-4604-8841-9263574c4f2c 0x7 credprov dba0e0e0-505a-4ab6-aa3f-22f6f743b480 0xffff certprop 30eae751-411f-414c-988b-a8bfa8913f49 0xffff scfilter eed7f3c9-62ba-400e-a001-658869df9a91 0xffff wudfusbccid a3c09ba3-2f62-4be5-a50f-8278a646ac9d 0xffff 示例為 SCardSvr 服務(wù)啟用跟蹤: tracelog.exe -kd -rt -start scardsvr -guid \#13038e47-ffec-425d-bc69-5707708075fe -f .\scardsvr.etl -flags 0xffff -ft 1 logman.exe start scardsvr -ets -p {13038e47-ffec-425d-bc69-5707708075fe} 0xffff -ft 1 -rt -o .\scardsvr.etl -mode 0x00080000為 啟用跟蹤 scfilter.sys: tracelog.exe -kd -rt -start scfilter -guid \#eed7f3c9-62ba-400e-a001-658869df9a91 -f .\scfilter.etl -flags 0xffff -ft 1 停止跟蹤使用 WPP,使用以下命令之一停止跟蹤: tracelog.exe -stop logman.exe -stop -ets例如,若要停止跟蹤,請執(zhí)行: tracelog.exe -stop scardsvr logman.exe -stop scardsvr -ets Kerberos 協(xié)議、KDC 和 NTLM 調(diào)試和跟蹤可以使用這些資源對以下協(xié)議和 KDC 進行故障排除: Kerberos 和 LDAP 故障排除提示 適用于 Windows (WinDbg) 的 Windows 驅(qū)動程序工具包 (WDK) 和調(diào)試工具 。 可以使用此 SDK 中的跟蹤日志工具來調(diào)試 Kerberos 身份驗證失敗。若要開始跟蹤,可以使用 Tracelog。 不同的組件使用不同的控件 GUID,如這些示例中所述。 有關(guān)詳細信息,請參閱 Tracelog NTLM若要為 NTLM 身份驗證啟用跟蹤,請在命令行上運行以下命令: tracelog.exe -kd -rt -start ntlm -guid \#5BBB6C18-AA45-49b1-A15F-085F7ED0AA90 -f .\ntlm.etl -flags 0x15003 -ft 1若要停止跟蹤 NTLM 身份驗證,請運行以下命令: tracelog -stop ntlm Kerberos 身份驗證若要為 Kerberos 身份驗證啟用跟蹤,請運行以下命令: tracelog.exe -kd -rt -start kerb -guid \#6B510852-3583-4e2d-AFFE-A67F9F223438 -f .\kerb.etl -flags 0x43 -ft 1若要停止跟蹤 Kerberos 身份驗證,請運行以下命令: tracelog.exe -stop kerb Kdc若要為 KDC 啟用跟蹤,請在命令行上運行以下命令: tracelog.exe -kd -rt -start kdc -guid \#1BBA8B19-7F31-43c0-9643-6E911F79A06B -f .\kdc.etl -flags 0x803 -ft 1若要停止跟蹤 KDC,請在命令行上運行以下命令: tracelog.exe -stop kdc若要停止從遠程計算機進行跟蹤,請運行以下命令: logman.exe -s注意 logman.exe 的默認位置為 %systemroot%system32。 使用 -s 選項提供計算機名稱。 使用注冊表配置跟蹤還可以通過編輯下表中顯示的 Kerberos 注冊表值來配置跟蹤。 元素 注冊表項設(shè)置 NTLM HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Control\Lsa\MSV1_0值名稱:NtLmInfoLevel值類型:DWORD值數(shù)據(jù):c0015003 Kerberos HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos值名稱:LogToFile值類型:DWORD值數(shù)據(jù):00000001HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters值名稱:KerbDebugLevel值類型:DWORD值數(shù)據(jù):c0000043 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters值名稱:LogToFile值類型:DWORD值數(shù)據(jù):00000001 Kdc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc值名稱:KdcDebugLevel值類型:DWORD值數(shù)據(jù):c0000803如果使用 Tracelog,請在當前目錄中查找以下日志文件: kerb.etl/kdc.etl/ntlm.etl。 如果使用了上表中顯示的注冊表項設(shè)置,請在以下位置查找跟蹤日志文件: Ntlm: %systemroot%\tracing\msv1_0 Kerberos: %systemroot%\tracing\kerberos Kdc: %systemroot%\tracing\kdcsvc若要解碼事件跟蹤文件,可以使用 Tracefmt (tracefmt.exe) 。 Tracefmt 是一個命令行工具,用于格式化和顯示來自事件跟蹤日志文件 (.etl) 或?qū)崟r跟蹤會話的跟蹤消息。 Tracefmt 可以在命令提示符窗口中顯示消息,也可以將它們保存在文本文件中。 它位于 Windows 驅(qū)動程序工具包的 \tools\tracing 子目錄中, (WDK) 。 有關(guān)詳細信息,請參閱 Tracefmt。 智能卡服務(wù)智能卡資源管理器服務(wù)在本地服務(wù)的上下文中運行。 它作為服務(wù)主機 (svchost) 進程的共享服務(wù)實現(xiàn)。 若要檢查智能卡服務(wù)是否正在運行: 按 Ctrl+Alt+DEL,然后選擇“啟動任務(wù)管理器” 在 “Windows 任務(wù)管理器 ”對話框中,選擇“ 服務(wù) ”選項卡 選擇 “名稱” 列以按字母順序?qū)α斜磉M行排序,然后鍵入 s 在 “名稱” 列中,查找 SCardSvr,然后在 “狀態(tài)” 列下查看服務(wù)是否正在運行或已停止重啟智能卡服務(wù): 在命令提示符下以管理員身份運行 如果顯示“用戶帳戶控制”對話框,請確認其顯示的作是所需作,然后選擇“是” 在命令提示符下,鍵入 net stop SCardSvr 在命令提示符下,鍵入 net start SCardSvr可以在命令提示符處使用以下命令來檢查服務(wù)是否正在運行:sc queryex scardsvr。 下面的代碼示例是此命令的示例輸出: SERVICE_NAME: scardsvr TYPE : 20 WIN32_SHARE_PROCESS STATE : 4 RUNNING (STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 PID : 1320 FLAGS : C:\> 智能卡閱讀器與連接到計算機的任何設(shè)備一樣,設(shè)備管理器可用于查看屬性并開始調(diào)試過程。 若要檢查智能卡讀取器是否正常工作: 導航到 “計算機” 右鍵單擊“ 計算機”,然后選擇“ 屬性” 在“任務(wù)”下,選擇“設(shè)備管理器 在“設(shè)備管理器”中,展開“智能卡讀取器”,選擇要檢查的智能卡讀取器的名稱,然后選擇“屬性”注意 如果智能卡閱讀器未在設(shè)備管理器中列出,請在“作”菜單中選擇“掃描硬件更改”。 CryptoAPI 2.0 診斷CryptoAPI 2.0 診斷在支持 CryptoAPI 2.0 的 Windows 版本中可用,可幫助你排查公鑰基礎(chǔ)結(jié)構(gòu) (PKI) 問題。 CryptoAPI 2.0 診斷在 Windows 事件日志中記錄事件。 這些日志包含有關(guān)證書鏈驗證、證書存儲作和簽名驗證的詳細信息。 利用此信息,可以更輕松地識別問題的原因,并減少診斷所需的時間。 有關(guān) CryptoAPI 2.0 診斷的詳細信息,請參閱 企業(yè) PKI 故障排除。 另請參閱智能卡技術(shù)參考 |
| CopyRight 2018-2019 實驗室設(shè)備網(wǎng) 版權(quán)所有 |