Řešení potíží s hybridními zařízeními připojenými k Azure AD

Tento článek obsahuje pokyny pro řešení potíží, které vám pomůžou vyřešit potenciální problémy se zařízeními, na kterých běží Windows 10 nebo novější a Windows Server 2016 nebo novější.

Připojení k hybridní službě Azure Active Directory (Azure AD) podporuje aktualizaci Windows 10 listopad 2015 a novější.

Pokud chcete řešit potíže s jinými klienty Windows, přečtěte si téma Řešení potíží s hybridními Azure AD připojenými k zařízením nižší úrovně.

Tento článek předpokládá, že jste nakonfigurovali zařízení připojená k hybridním Azure AD tak, aby podporovala následující scénáře:

Poznámka

Pokud chcete vyřešit běžné problémy s registrací zařízení, použijte nástroj pro řešení potíží s registrací zařízení.

Řešení potíží s chybami připojení

Krok 1: Načtení stavu připojení

  1. Otevřete okno příkazového řádku jako správce.
  2. Zadejte dsregcmd /status.
+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

    AzureAdJoined: YES
 EnterpriseJoined: NO
         DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
       Thumbprint: B753A6679CE720451921302CA873794D94C6204A
   KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
      KeyProvider: Microsoft Platform Crypto Provider
     TpmProtected: YES
     KeySignTest: : MUST Run elevated to test.
              Idp: login.windows.net
         TenantId: 72b988bf-xxxx-xxxx-xxxx-2d7cd011xxxx
       TenantName: Contoso
      AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
   AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
           MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
        MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
  dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
      SettingsUrl: eyJVcmlzIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyJdfQ==
   JoinSrvVersion: 1.0
       JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
        JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
    KeySrvVersion: 1.0
        KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
         KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
     DomainJoined: YES
       DomainName: CONTOSO

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

             NgcSet: YES
           NgcKeyId: {C7A9AEDC-780E-4FDA-B200-1AE15561A46B}
    WorkplaceJoined: NO
      WamDefaultSet: YES
WamDefaultAuthority: organizations
       WamDefaultId: https://login.microsoft.com
     WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
         AzureAdPrt: YES

Krok 2: Posouzení stavu připojení

Zkontrolujte pole v následující tabulce a ujistěte se, že mají očekávané hodnoty:

Pole Očekávaná hodnota Description
DomainJoined ANO Toto pole označuje, jestli je zařízení připojené k místní Active Directory.

Pokud je hodnota NE, zařízení nemůže provádět hybridní připojení Azure AD.
WorkplaceJoined NO Toto pole označuje, jestli je zařízení zaregistrované v Azure AD jako osobní zařízení (označené jako připojené k pracovišti). Tato hodnota by neměla být pro počítač připojený k doméně, který je také hybridní Azure AD připojený.

Pokud je hodnota ANO, před dokončením hybridního připojení Azure AD se přidal pracovní nebo školní účet. V takovém případě se účet ignoruje, když používáte Windows 10 verze 1607 nebo novější.
AzureAdJoined ANO Toto pole značí, jestli je zařízení připojené. Hodnota bude ANO, pokud je zařízení připojené k Azure AD nebo hybridní zařízení připojené k Azure AD.

Pokud je hodnota NE, spojení k Azure AD ještě nedokončilo.

Pokračujte k dalším krokům pro další řešení potíží.

Krok 3: Vyhledejte fázi, ve které se připojení nezdařilo, a kód chyby

Pro Windows 10 verze 1803 nebo novější

V části Diagnostická data ve výstupu stavu spojení vyhledejte pododdíl Předchozí registrace. Tato část se zobrazí jenom v případě, že je zařízení připojené k doméně a nemůže se připojit k hybridnímu Azure AD.

Pole "Fáze chyby" označuje fázi selhání spojení a "Client ErrorCode" označuje kód chyby operace spojení.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Pro starší verze Windows 10

Pomocí protokolů Prohlížeč událostí vyhledejte fázi a kód chyby selhání spojení.

  1. V Prohlížeč událostí otevřete protokoly událostí registrace zařízení uživatele. Jsou uloženy v části Aplikace a služby protokolovat>registraci uživatelských zařízenísystému Microsoft>Windows>.
  2. Vyhledejte události s následujícími ID událostí: 304, 305 a 307.

Screenshot of Event Viewer, with event ID 304 selected, its information displayed, and its error code and phase highlighted.

Screenshot of Event Viewer, with event ID 305 selected, its information displayed, and its error code highlighted.

Krok 4: Kontrola možných příčin a řešení

Fáze předběžné kontroly

Možné důvody selhání:

  • Zařízení nemá žádný pohled na řadič domény.
    • Zařízení musí být v interní síti organizace nebo ve virtuální privátní síti s dohledem sítě na řadič domény místní Active Directory.

Fáze zjišťování

Možné důvody selhání:

  • Objekt spojovacího bodu služby je nesprávně nakonfigurovaný nebo nelze číst z řadiče domény.
  • Nepodařilo se připojit ke koncovému bodu zjišťování a načíst metadata zjišťování.
    • Zařízení by mělo mít přístup k https://enterpriseregistration.windows.netkoncovým bodům registrace a autorizace v kontextu systému.
    • Pokud místní prostředí vyžaduje odchozí proxy server, musí správce IT zajistit, aby účet počítače zařízení mohl zjišťovat a bezobslužně ověřovat odchozí proxy server.
  • Nepodařilo se připojit ke koncovému bodu sféry uživatele a provést zjišťování sféry (pouze Windows 10 verze 1809 a novější).
    • Zařízení by mělo mít přístup v https://login.microsoftonline.comkontextu systému k zjišťování sféry pro ověřenou doménu a určit typ domény (spravovaný nebo federovaný).
    • Pokud místní prostředí vyžaduje odchozí proxy server, musí správce IT zajistit, aby systémový kontext na zařízení mohl zjišťovat a bezobslužně ověřovat odchozí proxy server.

Běžné kódy chyb:

Kód chyby Důvod Řešení
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) Nelze přečíst objekt spojovacího bodu služby (SCP) a získat informace o Azure AD tenantovi. Přečtěte si část Konfigurace spojovacího bodu služby .
DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) Obecná chyba zjišťování Nepodařilo se získat metadata zjišťování ze služby replikace dat (DRS). Pokud chcete provést další šetření, vyhledejte dílčí chybu v dalších částech.
DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) Při zjišťování vypršel časový limit operace. Ujistěte se, že https://enterpriseregistration.windows.net je přístupná v kontextu systému. Další informace najdete v části Požadavky na připojení k síti .
DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) Obecná chyba zjišťování sféry Nepodařilo se určit typ domény (spravovaný nebo federovaný) ze služby STS. Pokud chcete provést další šetření, vyhledejte dílčí chybu v dalších částech.

Běžné kódy dílčích chyb:

Pokud chcete najít kód dílčí chyby pro kód chyby zjišťování, použijte jednu z následujících metod.

Windows 10 verze 1803 nebo novější

V části Diagnostická data výstupu stavu spojení vyhledejte test zjišťování DRS. Tato část se zobrazí jenom v případě, že je zařízení připojené k doméně a nemůže se připojit k hybridnímu Azure AD.

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : UN-ELEVATED User
               Client Time : 2019-06-05 08:25:29.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

+----------------------------------------------------------------------+
Starší verze Windows 10

Pomocí protokolů Prohlížeč událostí vyhledejte fázi a kód chyby selhání spojení.

  1. V Prohlížeč událostí otevřete protokoly událostí registrace zařízení uživatele. Jsou uloženy v části Aplikace a služby protokolovat>registraci uživatelských zařízenísystému Microsoft>Windows>.
  2. Vyhledejte ID události 201.

Screenshot of Event Viewer, with event ID 201 selected, its information displayed, and its error code highlighted.

Chyby sítě:

Kód chyby Důvod Řešení
WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) Připojení k serveru nebylo možné navázat. Zajistěte síťové připojení k požadovaným prostředkům Microsoftu. Další informace najdete v tématu Požadavky na síťové připojení.
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Obecný časový limit sítě Zajistěte síťové připojení k požadovaným prostředkům Microsoftu. Další informace najdete v tématu Požadavky na síťové připojení.
WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) Síťový zásobník nemohl dekódovat odpověď ze serveru. Ujistěte se, že síťový proxy server nepřekáží a upravuje odpověď serveru.

Chyby HTTP:

Kód chyby Důvod Řešení
DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) Objekt spojovacího bodu služby je nakonfigurovaný s nesprávným ID tenanta nebo se v tenantovi nenašla žádná aktivní předplatná. Ujistěte se, že je objekt spojovacího bodu služby nakonfigurovaný se správným Azure AD ID tenanta a aktivním předplatným nebo že služba je v tenantovi.
DSREG_SERVER_BUSY (0x801c0025/-2145648603) HTTP 503 ze serveru DRS Server je momentálně nedostupný. Budoucí pokusy o připojení budou pravděpodobně úspěšné, až bude server opět online.

Další chyby:

Kód chyby Důvod Řešení
E_INVALIDDATA (0x8007000d/-2147024883) Kód JSON odpovědi serveru nelze analyzovat, pravděpodobně proto, že proxy server vrací http 200 se stránkou autorizace HTML. Pokud místní prostředí vyžaduje odchozí proxy server, musí správce IT zajistit, aby systémový kontext na zařízení mohl zjišťovat a bezobslužně ověřovat u odchozího proxy serveru.

Fáze ověřování

Tento obsah se vztahuje pouze na účty federované domény.

Důvody selhání:

  • Nejde získat přístupový token bezobslužně pro prostředek DRS.
    • Windows 10 a Windows 11 zařízení získávají ověřovací token ze služby Federation Service pomocí integrovaného ověřování systému Windows k aktivnímu koncovému bodu WS-Trust. Další informace najdete v tématu Konfigurace služby Federation Service.

Běžné kódy chyb:

Pomocí protokolů Prohlížeč událostí vyhledejte kód chyby, dílčí kód chyby, kód chyby serveru a chybovou zprávu serveru.

  1. V Prohlížeč událostí otevřete protokoly událostí registrace zařízení uživatele. Ukládají se v části Aplikace a služby Protokol>registrace uživatelských zařízenísystému Microsoft>Windows>.
  2. Vyhledejte ID události 305.

Screenshot of Event Viewer, with event ID 305 selected, its information displayed, and the ADAL error codes and status highlighted.

Chyby konfigurace:

Kód chyby Důvod Řešení
ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) Ověřovací protokol knihovny ADAL (Azure AD Authentication Library) není ws-Trust. Místní zprostředkovatel identity musí podporovat WS-Trust.
ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) Místní federační služba nevrátila odpověď XML. Ujistěte se, že koncový bod Exchange metadat (MEX) vrací platný XML. Ujistěte se, že proxy server nepřekáží a nevrací odpovědi bez xml.
ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) Nepodařilo se zjistit koncový bod pro ověřování uživatelským jménem nebo heslem. Zkontrolujte nastavení místního zprostředkovatele identity. Ujistěte se, že jsou povolené koncové body WS-Trust a že odpověď MEX obsahuje tyto správné koncové body.

Chyby sítě:

Kód chyby Důvod Řešení
ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) Obecný časový limit sítě Ujistěte se, že https://login.microsoftonline.com je přístupná v kontextu systému. Ujistěte se, že je místní zprostředkovatel identity přístupný v kontextu systému. Další informace najdete v tématu Požadavky na síťové připojení.
ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) Připojení ke koncovému bodu autorizace bylo přerušeno. Zkuste připojení po chvíli zopakovat, nebo se zkuste připojit z jiného stabilního umístění v síti.
ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) Certifikát TLS (Transport Layer Security) (dříve označovaný jako certifikát SSL (Secure Sockets Layer) odeslaný serverem se nepodařilo ověřit. Zkontrolujte nerovnoměrnou distribuci času klienta. Zkuste připojení po chvíli zopakovat, nebo se zkuste připojit z jiného stabilního umístění v síti.
ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) Pokus o připojení se https://login.microsoftonline.com nezdařil. Zkontrolujte síťové připojení k https://login.microsoftonline.com.

Další chyby:

Kód chyby Důvod Řešení
ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) Token SAML z místního zprostředkovatele identity nebyl přijat Azure AD. Zkontrolujte nastavení federačního serveru. V protokolech ověřování vyhledejte kód chyby serveru.
ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) Odpověď serveru WS-Trust hlásila výjimku chyby a nepodařilo se získat kontrolní výraz. Zkontrolujte nastavení federačního serveru. V protokolech ověřování vyhledejte kód chyby serveru.
ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) Při pokusu o získání přístupového tokenu z koncového bodu tokenu došlo k chybě. Vyhledejte základní chybu v protokolu ADAL.
ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) Obecná chyba ADAL. V protokolech ověřování vyhledejte kód chyby dílčí chyby nebo kód chyby serveru.

Fáze spojení

Důvody selhání:

V následujících tabulkách vyhledejte typ registrace a kód chyby v závislosti na používané verzi Windows 10.

Windows 10 verze 1803 nebo novější

V části Diagnostická data výstupu stavu spojení vyhledejte dílčí část Předchozí registrace. Tato část se zobrazí jenom v případě, že je zařízení připojené k doméně a nemůže se připojit k hybridnímu Azure AD.

Pole Typ registrace označuje typ spojení, které se provádí.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) is not found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Starší verze Windows 10

Pomocí protokolů Prohlížeč událostí vyhledejte fázi a kód chyby selhání spojení.

  1. V Prohlížeč událostí otevřete protokoly událostí registrace zařízení uživatele. Ukládají se v části Aplikace a služby Protokol>registrace uživatelských zařízenísystému Microsoft>Windows>.
  2. Vyhledejte ID události 204.

Screenshot of Event Viewer, with event ID 204 selected and its error code, H T T P status, and message highlighted.

Chyby HTTP vrácené ze serveru DRS:

Kód chyby Důvod Řešení
DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) Obdržel(a) chybovou odpověď z DRS s kódem ErrorCode: "DirectoryError". Informace o chybách serveru najdete z možných důvodů a jejich řešení.
DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) Obdržel(a) chybovou odpověď z DRS s chybovým kódem: AuthenticationError a ErrorSubCode není DeviceNotFound. Informace o chybách serveru najdete z možných důvodů a jejich řešení.
DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) Obdržel(a) chybovou odpověď z DRS s kódem ErrorCode: "DirectoryError". Informace o chybách serveru najdete z možných důvodů a jejich řešení.

Chyby TPM:

Kód chyby Důvod Řešení
NTE_BAD_KEYSET (0x80090016/-2146893802) Operace TPM (Trusted Platform Module) selhala nebo byla neplatná. Příčinou selhání je pravděpodobně chybná image nástroje Sysprep. Ujistěte se, že počítač, ze kterého byla vytvořená image nástroje Sysprep, není Azure AD připojená, hybridní Azure AD připojená nebo Azure AD zaregistrovaná.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) Obecná chyba TPM Zakažte čip TPM na zařízeních s touto chybou. Windows 10 verze 1809 nebo novější automaticky detekuje selhání čipu TPM a dokončí připojení službou Hybrid Azure AD Join bez použití čipu TPM.
TPM_E_NOTFIPS (0x80280036/-2144862154) Čip TPM v režimu FIPS se v současné době nepodporuje. Zakažte čip TPM na zařízeních s touto chybou. Windows 10 verze 1809 automaticky detekuje selhání čipu TPM a dokončí připojení službou Hybrid Azure AD Join bez použití čipu TPM.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) Čip TPM je uzamčený. Přechodná chyba. Chvíli počkejte. Pokus o připojení by měl být po chvíli úspěšný. Další informace najdete v tématu Základy čipu TPM.

Chyby sítě:

Kód chyby Důvod Řešení
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Obecný časový limit sítě při pokusu o registraci zařízení ve službě DRS Zkontrolujte síťové připojení k https://enterpriseregistration.windows.net.
WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) Název serveru nebo adresa se nepodařilo přeložit. Zkontrolujte síťové připojení k https://enterpriseregistration.windows.net.
WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) Připojení k serveru se neobvykle ukončilo. Zkuste připojení po chvíli zopakovat, nebo se zkuste připojit z jiného stabilního umístění v síti.

Další chyby:

Kód chyby Důvod Řešení
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) ID události 220 se nachází v protokolech událostí registrace zařízení uživatele. Systém Windows nemůže získat přístup k objektu počítače ve službě Active Directory. Kód chyby Systému Windows může být součástí události. Kódy chyb ERROR_NO_SUCH_LOGON_SESSION (1312) a ERROR_NO_SUCH_USER (1317) souvisejí s problémy s replikací v místní Active Directory. Řešení potíží s replikací ve službě Active Directory Tyto problémy s replikací můžou být přechodné a po chvíli můžou odejít.

Chyby federovaného serveru připojení:

Kód chyby serveru Chybová zpráva serveru Možné důvody Řešení
Chyba adresáře Váš požadavek je dočasně omezený. Zkuste to prosím po 300 sekundách. Tato chyba se očekává, pravděpodobně proto, že se v rychlém sledu provedlo více žádostí o registraci. Zopakujte spojení po období chlazení.

Chyby serveru připojení k synchronizaci:

Kód chyby serveru Chybová zpráva serveru Možné důvody Řešení
Chyba adresáře AADSTS90002: Tenant UUID nebyl nalezen. K této chybě může dojít v případě, že pro tenanta neexistují žádná aktivní předplatná. Obraťte se na správce předplatného. ID tenanta v objektu spojovacího bodu služby je nesprávné. Ujistěte se, že je objekt spojovacího bodu služby nakonfigurovaný se správným id tenanta Azure AD a aktivním předplatným nebo že je služba v tenantovi.
Chyba adresáře Objekt zařízení podle daného ID se nenašel. U připojení k synchronizaci se očekává tato chyba. Objekt zařízení se nesynchronizuje z AD do Azure AD Počkejte, až se synchronizace Azure AD Connect dokončí, a další pokus o připojení po dokončení synchronizace problém vyřeší.
AuthenticationError Ověření identifikátoru SID cílového počítače Certifikát na zařízení Azure AD neodpovídá certifikátu použitému k přihlášení k objektu blob během připojení k synchronizaci. Tato chyba obvykle znamená, že synchronizace ještě nedokončila. Počkejte, až se synchronizace Azure AD Connect dokončí, a další pokus o připojení po dokončení synchronizace problém vyřeší.

Krok 5: Shromažďování protokolů a kontaktů podpora Microsoftu

  1. Stáhněte souborAuth.zip.

  2. Extrahujte soubory do složky, například c:\temp, a pak přejděte do složky.

  3. Z relace se zvýšenými oprávněními Azure PowerShell spusťte .\start-auth.ps1 -v -accepteula.

  4. Pokud chcete přepnout na jinou relaci s uživatelem problému, vyberte Přepnout účet .

  5. Reprodukujte problém.

  6. Pokud chcete přepnout zpět do relace správce, která spouští trasování, vyberte Přepnout účet .

  7. V relaci PowerShellu se zvýšenými oprávněními spusťte .\stop-auth.ps1.

  8. Zip (komprimace) a odeslání složek Authlogs ze složky, ve které byly skripty spuštěny.

Řešení potíží s ověřováním po připojení

Krok 1: Načtení stavu PRT pomocí dsregcmd /status

  1. Otevřete okno příkazového řádku.

    Poznámka

    Pokud chcete získat stav primárního obnovovacího tokenu (PRT), otevřete okno příkazového řádku v kontextu přihlášeného uživatele.

  2. Spusťte dsregcmd /status.

    V části Stav jednotného přihlašování najdete aktuální stav ŽÁDOSTI o přijetí změn.

    Pokud je pole AzureAdPrt nastavené na NE, došlo k chybě při získávání stavu ŽÁDOSTI o přijetí změn ze Azure AD.

  3. Pokud je AzureAdPrtUpdateTime více než čtyři hodiny, pravděpodobně dojde k problému s aktualizací PRT. Zamknutím a odemknutím zařízení vynutíte aktualizaci PRT a zkontrolujte, jestli byl čas aktualizován.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : YES
      AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
      AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
   EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
    EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs

+----------------------------------------------------------------------+

Krok 2: Vyhledání kódu chyby

Z výstupu dsregcmd

Poznámka

Výstup je k dispozici z aktualizace Windows 10 květen 2021 (verze 21H1).

Pole "Stav pokusu" v poli AzureAdPrt poskytne stav předchozího pokusu o přijetí změn spolu s dalšími požadovanými informacemi o ladění. Pro starší verze Windows extrahujte informace z Azure AD analytických a provozních protokolů.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : 63648321-fc5c-46eb-996e-ed1f3ba7740f
              Endpoint URI : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.

Z Azure AD analytických a provozních protokolů

Pomocí Prohlížeč událostí vyhledejte položky protokolu, které protokolují modul plug-in Azure AD CloudAP během získávání PRT.

  1. V Prohlížeč událostí otevřete protokoly operačních událostí Azure AD. Ukládají se v části Aplikace a služby protokolu>Microsoft>Windows>AAD.

    Poznámka

    Modul plug-in CloudAP protokoluje události chyb v provozních protokolech a protokoluje události informací v analytických protokolech. K řešení problémů se vyžadují analýzy i události provozního protokolu.

  2. Událost 1006 v analytických protokolech označuje začátek toku pořízení PRT a událost 1007 v analytických protokolech označuje konec toku pořízení PRT. Všechny události v protokolech Azure AD (analýzy a provozu), které se protokolují mezi událostmi 1006 a 1007, byly zaznamenány jako součást toku pořízení PRT.

  3. Událost 1007 zaznamená konečný kód chyby.

Screenshot of Event Viewer, with event IDs 1006 and 1007 selected and the final error code highlighted.

Krok 3: Další řešení potíží na základě nalezeného kódu chyby

Kód chyby Důvod Řešení
STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d)
STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a)
  • Zařízení se nemůže připojit ke službě ověřování Azure AD.
  • Z ověřovací služby Azure AD nebo koncového bodu WS-Trust došlo k chybě (HTTP 400).
    Poznámka: WS-Trust se vyžaduje pro federované ověřování.
  • Pokud místní prostředí vyžaduje odchozí proxy server, musí správce IT zajistit, aby účet počítače zařízení mohl zjišťovat a bezobslužně ověřovat u odchozího proxy serveru.
  • Události 1081 a 1088 (Azure AD provozní protokoly) by obsahovaly kód chyby serveru pocházející z ověřovací služby Azure AD a popis chyb pocházejících z koncového bodu WS-Trust. Běžné kódy chyb serveru a jejich řešení jsou uvedeny v další části. První instance události 1022 (Azure AD analytických protokolů), která předchází událostem 1081 nebo 1088, bude obsahovat adresu URL, ke které se přistupuje.
  • STATUS_REQUEST_NOT_ACCEPTED (-1073741616/ 0xc00000d0) Z ověřovací služby Azure AD nebo koncového bodu WS-Trust došlo k chybě (HTTP 400).
    Poznámka: WS-Trust se vyžaduje pro federované ověřování.
    Události 1081 a 1088 (Azure AD operační protokoly) by obsahovaly kód chyby serveru a popis chyb pro chyby pocházející z ověřovací služby Azure AD a koncového bodu WS-Trust. Běžné kódy chyb serveru a jejich řešení jsou uvedeny v další části. První instance události 1022 (Azure AD analytických protokolů), která předchází událostem 1081 nebo 1088, bude obsahovat adresu URL, ke které se přistupuje.
    STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c)
    STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be)
    STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4)
  • Došlo k chybě (HTTP > 400) ze služby ověřování Azure AD nebo koncového bodu WS-Trust.
    Poznámka: WS-Trust se vyžaduje pro federované ověřování.
  • Problém s připojením k síti k požadovanému koncovému bodu
  • V případě chyb serveru by události 1081 a 1088 (Azure AD operační protokoly) obsahovaly kód chyby ze služby ověřování Azure AD a popis chyby z koncového bodu WS-Trust. Běžné kódy chyb serveru a jejich řešení jsou uvedeny v další části.
  • V případě problémů s připojením bude událost 1022 (Azure AD analytických protokolů) obsahovat adresu URL, ke které se přistupuje, a událost 1084 (Azure AD provozních protokolů) bude obsahovat kód dílčí chyby ze zásobníku sítě.
  • STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) Zjišťování sféry uživatele selhalo, protože služba ověřování Azure AD nemohla najít doménu uživatele.
  • Doména hlavního názvu uživatele (UPN) musí být přidána jako vlastní doména v Azure AD. Událost 1144 (Azure AD analytických protokolů) bude obsahovat zadaný hlavní název uživatele (UPN).
  • Pokud místní název domény není směrovatelný (jdoe@contoso.local), nakonfigurujte alternativní přihlašovací ID (AltID). Referenční informace: Požadavky, Konfigurace alternativního přihlašovacího ID
  • AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) Hlavní název uživatele (UPN) není v očekávaném formátu.
    Poznámky:
  • U zařízení připojených k Azure AD je hlavní název uživatele (UPN) text zadaný uživatelem v loginUI.
  • V případě zařízení připojených službou Hybrid Azure AD Join se hlavní název uživatele (UPN) vrátí z řadiče domény během procesu přihlášení.
  • Hlavní název uživatele (UPN) by se měl podobat internetovému přihlašovacímu jménu podle internetového standardu RFC 822. Událost 1144 (Azure AD analytických protokolů) bude obsahovat zadaný hlavní název uživatele (UPN).
  • U zařízení připojených k hybridnímu připojení se ujistěte, že je řadič domény nakonfigurovaný tak, aby vrátil hlavní název uživatele (UPN) ve správném formátu. V řadiči whoami /upn domény by se měl zobrazit nakonfigurovaný hlavní název uživatele (UPN).
  • Pokud místní název domény není směrovatelný (jdoe@contoso.local), nakonfigurujte alternativní přihlašovací ID (AltID). Referenční informace: Požadavky, Konfigurace alternativního přihlašovacího ID
  • AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) Identifikátor SID uživatele chybí v tokenu ID, který vrací služba ověřování Azure AD. Ujistěte se, že síťový proxy server nepřekáží a upravuje odpověď serveru.
    AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (-1073445695/ 0xc00484c1) Došlo k chybě z koncového bodu WS-Trust.
    Poznámka: WS-Trust se vyžaduje pro federované ověřování.
  • Ujistěte se, že síťový proxy server nenarušuje a upravuje odpověď WS-Trust.
  • Událost 1088 (Azure AD provozní protokoly) by obsahovala kód chyby serveru a popis chyby z koncového bodu WS-Trust. Běžné kódy chyb serveru a jejich řešení jsou uvedeny v další části.
  • AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) Koncový bod MEX je nesprávně nakonfigurovaný. Odpověď MEX neobsahuje žádné adresy URL hesel.
  • Ujistěte se, že síťový proxy server nepřekáží a upravuje odpověď serveru.
  • Opravte konfiguraci MEX tak, aby v odpovědi vracela platné adresy URL.
  • AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) Koncový bod MEX je nesprávně nakonfigurovaný. Odpověď MEX neobsahuje žádné adresy URL koncového bodu certifikátu.
  • Ujistěte se, že síťový proxy server nepřekáží a upravuje odpověď serveru.
  • Opravte konfiguraci MEX ve zprostředkovateli identity, abyste v odpovědi vrátili platné adresy URL certifikátů.
  • WC_E_DTDPROHIBITED (-1072894385/ 0xc00cee4f) Odpověď XML z koncového bodu WS-Trust obsahovala definici typu dokumentu (DTD). DTD se v odpovědích XML neočekává a analýza odpovědí selže, pokud je DTD obsaženo.
    Poznámka: WS-Trust se vyžaduje pro federované ověřování.
  • Opravte konfiguraci v zprostředkovateli identity, abyste se vyhnuli odesílání DTD v odpovědi XML.
  • Událost 1022 (Azure AD analytické protokoly) bude obsahovat adresu URL, která vrací odpověď XML s DTD.
  • Běžné kódy chyb serveru:

    Kód chyby Důvod Řešení
    AADSTS50155: Ověřování zařízení selhalo
  • Azure AD nemůže ověřit zařízení za účelem vystavení primárního obnovovacího tokenu.
  • Ověřte, že se zařízení neodstranilo nebo nezakázalo na webu Azure Portal. Další informace o tomto problému najdete v nejčastějších dotazech ke správě zařízení v Azure Active Directory.
  • Pokud chcete zařízení znovu zaregistrovat na základě typu připojení zařízení, postupujte podle pokynů k tomuto problému v nejčastějších dotazech ke správě zařízení Azure Active Directory .
    AADSTS50034: Uživatelský účet Account v adresáři neexistuje tenant id Azure AD nemůže najít uživatelský účet v tenantovi.
  • Ujistěte se, že uživatel zadává správný hlavní název uživatele (UPN).
  • Ujistěte se, že se místní uživatelský účet synchronizuje s Azure AD.
  • Událost 1144 (Azure AD analytické protokoly) bude obsahovat zadaný hlavní název uživatele (UPN).
  • AADSTS50126: Chyba při ověřování přihlašovacích údajů kvůli neplatnému uživatelskému jménu nebo heslu
  • Uživatelské jméno a heslo zadané uživatelem ve Windows LoginUI jsou nesprávné.
  • Pokud je pro tenanta povolená synchronizace hodnot hash hesel, zařízení je hybridně připojené a uživatel si právě změnil heslo, je pravděpodobné, že se nové heslo ještě nesynchronizovalo s Azure AD.
  • Pokud chcete získat novou žádost o přijetí změn s novými přihlašovacími údaji, počkejte, až se synchronizace hesla Azure AD dokončí.

    Běžné kódy chyb sítě:

    Kód chyby Důvod Řešení
    ERROR_WINHTTP_TIMEOUT (12002)
    ERROR_WINHTTP_NAME_NOT_RESOLVED (12007)
    ERROR_WINHTTP_CANNOT_CONNECT (12029)
    ERROR_WINHTTP_CONNECTION_ERROR (12030)
    Běžné obecné problémy související se sítí
  • Události 1022 (Azure AD analytické protokoly) a 1084 (Azure AD provozních protokolů) budou obsahovat adresu URL, ke které se přistupuje.
  • Pokud místní prostředí vyžaduje odchozí proxy server, musí správce IT zajistit, aby účet počítače zařízení mohl zjišťovat a bezobslužně ověřovat odchozí proxy server.

    Získejte další kódy chyb sítě.
  • Krok 4: Shromažďování protokolů

    Běžné protokoly

    1. Přejděte k https://aka.ms/icesdptool automatickému stažení souboru.cab obsahujícího diagnostický nástroj.
    2. Spusťte nástroj a repro vaši situaci.
    3. U trasování Fiddleru přijměte žádosti o certifikát, které se zobrazí.
    4. Průvodce vás vyzve k zadání hesla k ochraně trasovacích souborů. Zadejte heslo.
    5. Nakonec otevřete složku, ve které jsou uložené všechny shromážděné protokoly, například %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
    6. Kontaktujte podporu s obsahem nejnovějšího souboru.cab .

    Trasování sítě

    Poznámka

    Při shromažďování trasování sítě je důležité při reproproování nepoužívat Fiddler.

    1. Spusťte netsh trace start scenario=internetClient_dbg capture=yes persistent=yes.
    2. Uzamkněte a odemkněte zařízení. U zařízení připojených k hybridnímu připojení počkejte minutu nebo více, abyste umožnili dokončení úlohy získání PRT.
    3. Spusťte netsh trace stop.
    4. Nasdílejte soubornettrace.cab s podporou.

    Známé problémy

    • Pokud jste připojení k mobilnímu hotspotu nebo externí síti Wi-Fi a přejdete naÚčty>nastavení>pro přístup do práce nebo do školy, hybridní Azure AD připojená zařízení můžou zobrazovat dva různé účty, jeden pro Azure AD a druhý pro místní službu AD. Tento problém s uživatelským rozhraním nemá vliv na funkčnost.

    Další kroky