Řešení potíží se zařízeními připojenými k hybridnímu prostředí Microsoft Entra

  • Článek

Tento článek obsahuje pokyny k řešení potíží, které vám pomůžou vyřešit potenciální problémy se zařízeními se systémem Windows 10 nebo novějším a Windows Serverem 2016 nebo novějším.

Hybridní připojení Microsoft Entra podporuje aktualizaci Windows 10 z listopadu 2015 a novější.

Pokud chcete řešit potíže s dalšími klienty Windows, přečtěte si téma Řešení potíží s hybridními zařízeními připojenými k Microsoft Entra na nižší úrovni.

Tento článek předpokládá, že máte zařízení připojená k hybridnímu připojení Microsoft Entra, která podporují následující scénáře:

Poznámka:

Při řešení běžných problémů s registrací zařízení použijte nástroj pro řešení potíží s registrací zařízení.

Řešení potíží se selháními připojení

Krok 1: Načtení stavu připojení

  1. Otevřete okno příkazového řádku jako správce.
  2. Zadejte dsregcmd /status.
+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

    AzureAdJoined: YES
 EnterpriseJoined: NO
         DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
       Thumbprint: B753A6679CE720451921302CA873794D94C6204A
   KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
      KeyProvider: Microsoft Platform Crypto Provider
     TpmProtected: YES
     KeySignTest: : MUST Run elevated to test.
              Idp: login.windows.net
         TenantId: 72b988bf-xxxx-xxxx-xxxx-2d7cd011xxxx
       TenantName: Contoso
      AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
   AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
           MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
        MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
  dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
      SettingsUrl: eyJVcmlzIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyJdfQ==
   JoinSrvVersion: 1.0
       JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
        JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
    KeySrvVersion: 1.0
        KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
         KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
     DomainJoined: YES
       DomainName: CONTOSO

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

             NgcSet: YES
           NgcKeyId: {C7A9AEDC-780E-4FDA-B200-1AE15561A46B}
    WorkplaceJoined: NO
      WamDefaultSet: YES
WamDefaultAuthority: organizations
       WamDefaultId: https://login.microsoft.com
     WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
         AzureAdPrt: YES

Krok 2: Posouzení stavu připojení

Zkontrolujte pole v následující tabulce a ujistěte se, že mají očekávané hodnoty:

Pole Očekávaná hodnota Popis
DomainJoined ANO Toto pole označuje, jestli je zařízení připojené k místní Active Directory.

Pokud je hodnota NE, zařízení nemůže provést hybridní připojení Microsoft Entra.
WorkplaceJoined NE Toto pole označuje, jestli je zařízení zaregistrované v Microsoft Entra ID jako osobní zařízení (označené jako připojené k pracovišti). Tato hodnota by měla být NE pro počítač připojený k doméně, který je také připojený k hybridnímu připojení Microsoft Entra.

Pokud je hodnota ANO, byl před dokončením hybridního připojení Microsoft Entra přidán pracovní nebo školní účet. V takovém případě se účet ignoruje, když používáte Windows 10 verze 1607 nebo novější.
AzureAdJoined ANO Toto pole značí, jestli je zařízení připojené. Hodnota JE ANO , pokud je zařízení buď zařízením připojeným k Microsoft Entra, nebo hybridním zařízením připojeným k Microsoft Entra.

Pokud je hodnota NE, spojení s ID Microsoft Entra ještě nebylo dokončeno.

Pokračujte k dalším krokům pro další řešení potíží.

Krok 3: Vyhledání fáze, ve které se spojení nezdařilo, a kód chyby

Pro Windows 10 verze 1803 nebo novější

Ve výstupu stavu spojení vyhledejte pododdíl Předchozí registrace v části Diagnostická data. Tato část se zobrazí jenom v případě, že je zařízení připojené k doméně a nemůže se připojit k hybridnímu připojení Microsoft Entra.

Pole "Fáze chyby" označuje fázi selhání spojení a "Client ErrorCode" označuje kód chyby operace spojení.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Pro starší verze Windows 10

Pomocí protokolů Prohlížeč událostí vyhledejte fázi a kód chyby selhání připojení.

  1. V Prohlížeč událostí otevřete protokoly událostí registrace zařízení uživatele. Ukládají se v části Aplikace a služby Protokol>registrace uživatelských zařízení systému Microsoft>Windows.>
  2. Vyhledejte události s následujícími ID událostí: 304, 305 a 307.

Snímek obrazovky Prohlížeč událostí s vybranou událostí s ID 304, zobrazenými informacemi a zvýrazněným kódem chyby a fází

Snímek obrazovky Prohlížeč událostí s vybranou událostí s ID 305, zobrazenými informacemi a zvýrazněným kódem chyby

Krok 4: Kontrola možných příčin a řešení

Fáze předběžné kontroly

Možné důvody selhání:

  • Zařízení nemá žádný pohled na řadič domény.
    • Zařízení musí být v interní síti organizace nebo ve virtuální privátní síti s dohledem síťové čáry na řadič domény místní Active Directory.

Fáze zjišťování

Možné důvody selhání:

  • Objekt spojovacího bodu služby je chybně nakonfigurovaný nebo se nedá číst z řadiče domény.
    • Platný objekt spojovacího bodu služby je vyžadován v doménové struktuře AD, do které zařízení patří, který odkazuje na ověřený název domény v Microsoft Entra ID.
    • Další informace najdete v části Konfigurace spojovacího bodu služby v kurzu: Konfigurace hybridního připojení Microsoft Entra pro federované domény.
  • Nepovedlo se připojit ke koncovému bodu zjišťování a načíst metadata zjišťování.
    • Zařízení by mělo mít přístup k https://enterpriseregistration.windows.netkoncovému bodu registrace a autorizace v kontextu systému.
    • Pokud místní prostředí vyžaduje odchozí proxy server, musí správce IT zajistit, aby účet počítače zařízení mohl zjišťovat a bezobslužně ověřovat u odchozího proxy serveru.
  • Nepovedlo se připojit ke koncovému bodu sféry uživatele a provést zjišťování sféry (pouze Windows 10 verze 1809 a novější).
    • Zařízení by mělo mít v kontextu systému přístup https://login.microsoftonline.comke zjišťování sféry pro ověřenou doménu a určit typ domény (spravovaný nebo federovaný).
    • Pokud místní prostředí vyžaduje odchozí proxy server, musí správce IT zajistit, aby systémový kontext na zařízení mohl zjišťovat a bezobslužně ověřovat u odchozího proxy serveru.

Běžné kódy chyb:

Kód chyby Důvod Rozlišení
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) Nelze přečíst objekt spojovacího bodu služby (SCP) a získat informace o tenantovi Microsoft Entra. Přečtěte si část Konfigurace spojovacího bodu služby.
DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) Obecná chyba zjišťování Nepodařilo se získat metadata zjišťování ze služby replikace dat (DRS). Pokud chcete provést další šetření, vyhledejte podchybí v dalších částech.
DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) Při zjišťování vypršel časový limit operace. Ujistěte se, že https://enterpriseregistration.windows.net je přístupná v kontextu systému. Další informace najdete v části Požadavky na připojení k síti.
DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) Obecná chyba zjišťování sféry Nepodařilo se určit typ domény (spravovaný nebo federovaný) ze služby STS. Pokud chcete provést další šetření, vyhledejte podchybí v dalších částech.

Běžné kódy dílčích chyb:

K vyhledání kódu chyby zjišťování použijte jednu z následujících metod.

Windows 10 verze 1803 nebo novější

V části Diagnostická data výstupu stavu spojení vyhledejte test zjišťování DRS. Tato část se zobrazí jenom v případě, že je zařízení připojené k doméně a nemůže se připojit k hybridnímu připojení Microsoft Entra.

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : UN-ELEVATED User
               Client Time : 2019-06-05 08:25:29.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

+----------------------------------------------------------------------+
Starší verze Windows 10

Pomocí protokolů Prohlížeč událostí vyhledejte fázi a kód chyby selhání připojení.

  1. V Prohlížeč událostí otevřete protokoly událostí registrace zařízení uživatele. Ukládají se v části Aplikace a služby Protokol>registrace uživatelských zařízení systému Microsoft>Windows.>
  2. Vyhledejte ID události 201.

Snímek obrazovky Prohlížeč událostí s vybraným ID události 201, zobrazenými informacemi a zvýrazněným kódem chyby

Chyby sítě:

Kód chyby Důvod Rozlišení
WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) Připojení se serverem nebylo možné navázat. Zajistěte síťové připojení k požadovaným prostředkům Microsoftu. Další informace najdete v tématu Požadavky na síťové připojení.
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Obecný časový limit sítě Zajistěte síťové připojení k požadovaným prostředkům Microsoftu. Další informace najdete v tématu Požadavky na síťové připojení.
WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) Zásobník sítě nemohl dekódovat odpověď ze serveru. Ujistěte se, že síťový proxy server nepřekáží a nemění odpověď serveru.

Chyby HTTP:

Kód chyby Důvod Rozlišení
DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) Objekt spojovacího bodu služby je nakonfigurovaný s nesprávným ID tenanta nebo se v tenantovi nenašla žádná aktivní předplatná. Ujistěte se, že je objekt spojovacího bodu služby nakonfigurovaný se správným ID tenanta Microsoft Entra a aktivními předplatnými nebo že je služba v tenantovi.
DSREG_SERVER_BUSY (0x801c0025/-2145648603) HTTP 503 ze serveru DRS. Server je momentálně nedostupný. Budoucí pokusy o připojení budou pravděpodobně úspěšné, až bude server opět online.

Další chyby:

Kód chyby Důvod Rozlišení
E_INVALIDDATA (0x8007000d/-2147024883) Kód JSON odpovědi serveru se nedá analyzovat, pravděpodobně proto, že proxy server vrací HTTP 200 se stránkou autorizace HTML. Pokud místní prostředí vyžaduje odchozí proxy server, musí správce IT zajistit, aby systémový kontext na zařízení mohl zjišťovat a bezobslužně ověřovat u odchozího proxy serveru.

Fáze ověřování

Tento obsah platí jenom pro účty federované domény.

Důvody selhání:

  • Nelze získat přístupový token bezobslužně pro prostředek DRS.
    • Zařízení s Windows 10 a Windows 11 získávají ověřovací token z federační služby pomocí integrovaného ověřování Systému Windows k aktivnímu koncovému bodu WS-Trust. Další informace najdete v tématu Konfigurace služby FS (Federation Service).

Běžné kódy chyb:

Pomocí protokolů Prohlížeč událostí vyhledejte kód chyby, kód dílčí chyby, kód chyby serveru a chybovou zprávu serveru.

  1. V Prohlížeč událostí otevřete protokoly událostí registrace zařízení uživatele. Ukládají se v části Aplikace a služby Protokol>registrace uživatelských zařízení systému Microsoft>Windows.>
  2. Vyhledejte ID události 305.

Snímek obrazovky Prohlížeč událostí s vybranou událostí ID 305, zobrazenými informacemi a zvýrazněnými kódy chyb ADAL a stavem

Chyby konfigurace:

Kód chyby Důvod Rozlišení
ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) Ověřovací protokol Azure AD Authentication Library (ADAL) není důvěryhodný pro WS. Místní zprostředkovatel identity musí podporovat WS-Trust.
ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) Místní federační služba nevrátila odpověď XML. Ujistěte se, že koncový bod MeX (Metadata Exchange) vrací platný kód XML. Ujistěte se, že proxy server nenarušuje a nevrací odpovědi nonxml.
ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) Nepodařilo se zjistit koncový bod pro ověřování pomocí uživatelského jména a hesla. Zkontrolujte nastavení místního zprostředkovatele identity. Ujistěte se, že jsou povolené koncové body WS-Trust a že odpověď MEX obsahuje tyto správné koncové body.

Chyby sítě:

Kód chyby Důvod Rozlišení
ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) Obecný časový limit sítě Ujistěte se, že https://login.microsoftonline.com je přístupná v kontextu systému. Ujistěte se, že je místní zprostředkovatel identity přístupný v kontextu systému. Další informace najdete v tématu Požadavky na síťové připojení.
ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) Připojení došlo k přerušení autorizačního koncového bodu. Zkuste připojení po chvíli zopakovat, nebo se zkuste připojit z jiného stabilního umístění v síti.
ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) Certifikát TLS (Transport Layer Security) (dříve označovaný jako certifikát SSL (Secure Sockets Layer) odeslaný serverem se nepovedlo ověřit. Zkontrolujte nerovnoměrnou distribuci času klienta. Zkuste připojení po chvíli zopakovat, nebo se zkuste připojit z jiného stabilního umístění v síti.
ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) Pokus o připojení se https://login.microsoftonline.com nezdařil. Zkontrolujte síťové připojení k https://login.microsoftonline.com.

Další chyby:

Kód chyby Důvod Rozlišení
ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) Token SAML z místního zprostředkovatele identity nebyl přijat id Microsoft Entra. Zkontrolujte nastavení federačního serveru. V protokolech ověřování vyhledejte kód chyby serveru.
ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) Odpověď WS-Trust serveru hlásila výjimku chyby a nepodařilo se získat kontrolní výraz. Zkontrolujte nastavení federačního serveru. V protokolech ověřování vyhledejte kód chyby serveru.
ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) Při pokusu o získání přístupového tokenu z koncového bodu tokenu došlo k chybě. Vyhledejte základní chybu v protokolu ADAL.
ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) Obecná chyba knihovny ADAL V protokolech ověřování vyhledejte kód chyby dílčí chyby nebo kód chyby serveru.

Fáze spojení

Důvody selhání:

V následujících tabulkách vyhledejte typ registrace a kód chyby v závislosti na používané verzi Windows 10.

Windows 10 verze 1803 nebo novější

Ve výstupu stavu spojení vyhledejte pododdíl Předchozí registrace v části Diagnostická data. Tato část se zobrazí jenom v případě, že je zařízení připojené k doméně a nemůže se připojit k hybridnímu připojení Microsoft Entra.

Pole Typ registrace označuje typ spojení.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) is not found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Starší verze Windows 10

Pomocí protokolů Prohlížeč událostí vyhledejte fázi a kód chyby selhání připojení.

  1. V Prohlížeč událostí otevřete protokoly událostí registrace zařízení uživatele. Ukládají se v části Aplikace a služby Protokol>registrace uživatelských zařízení systému Microsoft>Windows.>
  2. Vyhledejte ID události 204.

Snímek obrazovky Prohlížeč událostí s vybranou událostí s ID 204 a zvýrazněným kódem chyby, stavem T T T T P a zvýrazněnou zprávou

Chyby HTTP vrácené ze serveru DRS:

Kód chyby Důvod Rozlišení
DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) Obdrželi jsme chybovou odpověď z DRS s kódem ErrorCode: "DirectoryError". Kód chyby serveru najdete z možných důvodů a jejich řešení.
DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) Obdrželi jsme chybovou odpověď z DRS s kódem ErrorCode: AuthenticationError a ErrorSubCode není DeviceNotFound. Kód chyby serveru najdete z možných důvodů a jejich řešení.
DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) Obdrželi jsme chybovou odpověď z DRS s kódem ErrorCode: "DirectoryError". Kód chyby serveru najdete z možných důvodů a jejich řešení.

Chyby TPM:

Kód chyby Důvod Rozlišení
NTE_BAD_KEYSET (0x80090016/-2146893802) Operace TPM (Trusted Platform Module) selhala nebo byla neplatná. Příčinou selhání je pravděpodobně chybná image nástroje Sysprep. Ujistěte se, že počítač, ze kterého byla vytvořená image nástroje Sysprep, není připojený k microsoftu Entra, hybridní připojení Microsoft Entra nebo Microsoft Entra zaregistrovaný.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) Obecná chyba TPM Zakažte čip TPM na zařízeních s touto chybou. Windows 10 verze 1809 a novější automaticky rozpozná selhání čipu TPM a dokončí hybridní připojení Microsoft Entra bez použití čipu TPM.
TPM_E_NOTFIPS (0x80280036/-2144862154) TPM v režimu FIPS se v současné době nepodporuje. Zakažte čip TPM na zařízeních s touto chybou. Windows 10 verze 1809 automaticky detekuje selhání čipu TPM a dokončí hybridní připojení Microsoft Entra bez použití čipu TPM.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) Čip TPM je uzamčený. Přechodná chyba. Chvíli počkejte. Pokus o připojení by měl být po chvíli úspěšný. Další informace najdete v tématu Základy čipu TPM.

Chyby sítě:

Kód chyby Důvod Rozlišení
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Při pokusu o registraci zařízení v DRS vypršel obecný časový limit sítě. Zkontrolujte síťové připojení k https://enterpriseregistration.windows.net.
WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) Název serveru nebo adresa nelze přeložit. Zkontrolujte síťové připojení k https://enterpriseregistration.windows.net.
WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) Připojení k serveru bylo ukončeno neobvykle. Zkuste připojení po chvíli zopakovat, nebo se zkuste připojit z jiného stabilního umístění v síti.

Další chyby:

Kód chyby Důvod Rozlišení
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) ID události 220 se nachází v protokolech událostí registrace zařízení uživatele. Systém Windows nemá přístup k objektu počítače ve službě Active Directory. Kód chyby Windows může být součástí události. Kódy chyb ERROR_NO_SUCH_LOGON_SESSION (1312) a ERROR_NO_SUCH_USER (1317) souvisejí s problémy s replikací v místní Active Directory. Řešení potíží s replikací ve službě Active Directory Tyto problémy s replikací můžou být přechodné a můžou se po chvíli odejít.

Chyby serveru federovaného připojení:

Kód chyby serveru Chybová zpráva serveru Možné příčiny Rozlišení
Chyba adresáře Váš požadavek je dočasně omezený. Zkuste to prosím po 300 sekundách. Tato chyba se očekává, pravděpodobně proto, že se v rychlém sledu provedlo více žádostí o registraci. Zkuste spojení zopakovat po období chlazení.

Chyby serveru připojení k synchronizaci:

Kód chyby serveru Chybová zpráva serveru Možné příčiny Rozlišení
Chyba adresáře AADSTS90002: Tenant UUID nebyl nalezen. K této chybě může dojít v případě, že pro tenanta neexistují žádná aktivní předplatná. Obraťte se na správce předplatného. ID tenanta v objektu spojovacího bodu služby je nesprávné. Ujistěte se, že je objekt spojovacího bodu služby nakonfigurovaný se správným ID tenanta Microsoft Entra a aktivními předplatnými nebo že je služba v tenantovi.
Chyba adresáře Objekt zařízení podle daného ID nebyl nalezen. U připojení k synchronizaci se očekává tato chyba. Objekt zařízení se nesynchronizuje z AD do Microsoft Entra ID. Počkejte na dokončení synchronizace Microsoft Entra Připojení Sync a po dokončení synchronizace se problém vyřeší dalším pokusem o připojení.
Chyba ověřování Ověření identifikátoru SID cílového počítače Certifikát na zařízení Microsoft Entra neodpovídá certifikátu použitému k přihlášení k objektu blob během synchronizace. Tato chyba obvykle znamená, že synchronizace ještě nedokončila. Počkejte na dokončení synchronizace Microsoft Entra Připojení Sync a po dokončení synchronizace se problém vyřeší dalším pokusem o připojení.

Krok 5: Shromažďování protokolů a kontaktů podpora Microsoftu

  1. Stáhněte soubor Auth.zip.

  2. Extrahujte soubory do složky, například c:\temp, a pak přejděte do složky.

  3. Z relace Azure PowerShellu se zvýšenými oprávněními spusťte .\start-auth.ps1 -v -accepteulapříkaz .

  4. Vyberte Přepnout účet a přepněte na jinou relaci s uživatelem problému.

  5. Reprodukujte problém.

  6. Výběrem možnosti Přepnout účet přepněte zpět do relace správce, která spouští trasování.

  7. Z relace PowerShellu se zvýšenými oprávněními spusťte .\stop-auth.ps1příkaz .

  8. Zazipujte (komprimujte) a odešlete protokoly Authlogs složky ze složky, ve které byly spuštěny skripty.

Řešení potíží s ověřováním po připojení

Krok 1: Načtení stavu žádosti o přijetí změn pomocí dsregcmd /status

  1. Otevřete okno příkazového řádku.

    Poznámka:

    Pokud chcete získat stav primárního obnovovacího tokenu (PRT), otevřete okno příkazového řádku v kontextu přihlášeného uživatele.

  2. Spusťte dsregcmd /status.

    Část Stav jednotného přihlašování poskytuje aktuální stav žádosti o přijetí změn.

    Pokud je pole AzureAdPrt nastavené na NE, došlo k chybě při získávání stavu ŽÁDOSTI o přijetí změn z ID Microsoft Entra.

  3. Pokud je AzureAdPrtUpdateTime delší než čtyři hodiny, pravděpodobně dojde k problému s aktualizací žádosti o přijetí změn. Zamknutím a odemknutím zařízení vynutíte aktualizaci PRT a zkontrolujte, jestli se čas aktualizuje.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : YES
      AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
      AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
   EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
    EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs

+----------------------------------------------------------------------+

Krok 2: Vyhledání kódu chyby

Z výstupu dsregcmd

Poznámka:

Výstup je k dispozici z aktualizace Windows 10 z května 2021 (verze 21H1).

Pole Stav pokusu v poli AzureAdPrt poskytuje stav předchozího pokusu o přijetí změn spolu s dalšími požadovanými informacemi o ladění. V případě starších verzí Windows extrahujte informace z analytických a provozních protokolů Microsoft Entra.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : 63648321-fc5c-46eb-996e-ed1f3ba7740f
              Endpoint URI : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.

Z analytických a provozních protokolů Microsoft Entra

Pomocí Prohlížeč událostí vyhledejte položky protokolu protokolované modulem plug-in Microsoft Entra CloudAP během získávání PRT.

  1. V Prohlížeč událostí otevřete protokoly provozních událostí Microsoft Entra. Ukládají se v části Aplikace a služby protokol>microsoft>Windows>AAD.

Poznámka:

Modul plug-in CloudAP protokoluje události chyb v provozních protokolech a protokoluje události informací v analytických protokolech. K řešení problémů se vyžadují události analýzy i provozního protokolu.

  1. Událost 1006 v analytických protokolech označuje začátek toku získání PRT a událost 1007 v analytických protokolech označuje konec toku získání PRT. Všechny události v protokolech Microsoft Entra (analýza a provoz), které se protokolují mezi událostmi 1006 a 1007, byly protokolovány jako součást toku získání PRT.

  2. Událost 1007 zaznamená konečný kód chyby.

Snímek obrazovky Prohlížeč událostí s vybranými ID událostí 1006 a 1007 a zvýrazněným konečným kódem chyby

Krok 3: Další řešení potíží na základě zjištěného kódu chyby

Kód chyby Důvod Rozlišení
STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d)
STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a)
  • Zařízení se nemůže připojit k ověřovací službě Microsoft Entra.
  • Z ověřovací služby Microsoft Entra nebo koncového bodu WS-Trust se zobrazila chybová odpověď (HTTP 400).
    Poznámka: Pro federované ověřování je vyžadována služba WS-Trust.
    		•
  • Pokud místní prostředí vyžaduje odchozí proxy server, musí správce IT zajistit, aby účet počítače zařízení mohl zjišťovat a bezobslužně ověřovat u odchozího proxy serveru.
  • Události 1081 a 1088 (provozní protokoly Microsoft Entra) by obsahovaly kód chyby serveru pocházející z ověřovací služby Microsoft Entra a popis chyb pocházejících z koncového bodu WS-Trust. Běžné kódy chyb serveru a jejich řešení jsou uvedeny v další části. První instance události 1022 (protokoly Microsoft Entra Analytics), předcházející události 1081 nebo 1088, obsahují adresu URL, ke které se přistupuje.
    		•
    STATUS_REQUEST_NOT_ACCEPTED (-1073741616/ 0xc00000d0) Z ověřovací služby Microsoft Entra nebo koncového bodu WS-Trust se zobrazila chybová odpověď (HTTP 400).
    Poznámka: Pro federované ověřování je vyžadována služba WS-Trust.    		 Události 1081 a 1088 (provozní protokoly Microsoft Entra) by obsahovaly kód chyby serveru a popis chyby pocházející z ověřovací služby Microsoft Entra a koncového bodu WS-Trust. Běžné kódy chyb serveru a jejich řešení jsou uvedeny v další části. První instance události 1022 (protokoly Microsoft Entra Analytics), předcházející události 1081 nebo 1088, obsahují adresu URL, ke které se přistupuje.
    STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c)
    STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be)
    STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4)
  • Z ověřovací služby Microsoft Entra nebo koncového bodu WS-Trust se zobrazila chybová odpověď (HTTP > 400).
    Poznámka: Pro federované ověřování je vyžadována služba WS-Trust.
  • Problém s připojením k síti k požadovanému koncovému bodu
    		•
  • V případě chyb serveru by události 1081 a 1088 (provozní protokoly Microsoft Entra) obsahovaly kód chyby ze služby ověřování Microsoft Entra a popis chyby z koncového bodu WS-Trust. Běžné kódy chyb serveru a jejich řešení jsou uvedeny v další části.
  • V případě problémů s připojením obsahuje událost 1022 (protokoly Microsoft Entra Analytics) adresu URL, ke které se přistupuje, a událost 1084 (provozní protokoly Microsoft Entra) obsahuje kód dílčí chyby ze zásobníku sítě.
    		•
    STATUS_NO_SUCH_LOGON_SESSION (-1073741729/0xc000005f) Zjišťování sféry uživatele se nezdařilo, protože ověřovací služba Microsoft Entra nemohla najít doménu uživatele.
  • Doména hlavního názvu uživatele (UPN) musí být přidána jako vlastní doména v MICROSOFT Entra ID. Událost 1144 (protokoly Microsoft Entra Analytics) bude obsahovat zadaný hlavní název uživatele (UPN).
  • Pokud místní název domény není směrovatelný (jdoe@contoso.local), nakonfigurujte alternativní přihlašovací ID (AltID). Referenční informace: Požadavky, Konfigurace alternativního přihlašovacího ID
    		•
    AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) Hlavní název uživatele (UPN) není v očekávaném formátu.
    Poznámky:
  • U zařízení připojených k Microsoft Entra je hlavní název uživatele (UPN) text zadaný uživatelem v loginUI.
  • U zařízení připojených k hybridní službě Microsoft Entra se hlavní název uživatele vrátí z řadiče domény během procesu přihlášení.
    		•
  • Hlavní název uživatele (UPN) by se měl podobat internetovému přihlašovacímu jménu podle internetového standardu RFC 822. Událost 1144 (protokoly Microsoft Entra Analytics) obsahuje zadaný hlavní název uživatele (UPN).
  • U zařízení připojených k hybridnímu připojení se ujistěte, že je řadič domény nakonfigurovaný tak, aby vracel hlavní název uživatele (UPN) ve správném formátu. V řadiči whoami /upn domény by se měl zobrazit nakonfigurovaný hlavní název uživatele (UPN).
  • Pokud místní název domény není směrovatelný (jdoe@contoso.local), nakonfigurujte alternativní přihlašovací ID (AltID). Referenční informace: Požadavky, Konfigurace alternativního přihlašovacího ID
    		•
    AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) V tokenu ID vráceného ověřovací službou Microsoft Entra chybí identifikátor SID uživatele. Ujistěte se, že síťový proxy server nenarušuje a nemění odpověď serveru.
    AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) Došlo k chybě z koncového bodu WS-Trust.
    Poznámka: Pro federované ověřování je vyžadována služba WS-Trust.
  • Ujistěte se, že síťový proxy server nenarušuje a nemění odpověď WS-Trust.
  • Událost 1088 (provozní protokoly Microsoft Entra) by obsahovala kód chyby serveru a popis chyby z koncového bodu WS-Trust. Běžné kódy chyb serveru a jejich řešení jsou uvedeny v další části.
    		•
    AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) Koncový bod MEX je nesprávně nakonfigurovaný. Odpověď MEX neobsahuje žádné adresy URL hesel.
  • Ujistěte se, že síťový proxy server nenarušuje a nemění odpověď serveru.
  • Opravte konfiguraci MEX tak, aby v odpovědi vracela platné adresy URL.
    		•
    AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) Koncový bod MEX je nesprávně nakonfigurovaný. Odpověď MEX neobsahuje žádné adresy URL koncového bodu certifikátu.
  • Ujistěte se, že síťový proxy server nenarušuje a nemění odpověď serveru.
  • Opravte konfiguraci MEX ve zprostředkovateli identity, aby se v odpovědi vrátily platné adresy URL certifikátů.
    		•
    WC_E_DTDPROHIBITED (-1072894385/ 0xc00cee4f) Odpověď XML z koncového bodu WS-Trust obsahovala definici typu dokumentu (DTD). V odpovědích XML se neočekává DTD a analýza odpovědi selže, pokud je součástí DTD.
    Poznámka: Pro federované ověřování je vyžadována služba WS-Trust.
  • Opravte konfiguraci zprostředkovatele identity, aby se zabránilo odeslání DTD v odpovědi XML.
  • Událost 1022 (protokoly Microsoft Entra Analytics) obsahuje adresu URL, která vrací odpověď XML s DTD.
    		•

    Běžné kódy chyb serveru

    Kód chyby Důvod Rozlišení
    AADSTS50155: Ověřování zařízení se nezdařilo
  • Microsoft Entra ID nemůže ověřit zařízení k vydání žádosti o přijetí změn.
  • Ověřte, že zařízení není odstraněné nebo zakázané. Další informace o tomto problému najdete v nejčastějších dotazech ke správě zařízení Microsoft Entra.
    		•  Pokud chcete zařízení znovu zaregistrovat na základě typu připojení zařízení, postupujte podle pokynů k tomuto problému v nejčastějších dotazech ke správě zařízení Microsoft Entra.
    AADSTS50034: Uživatelský účet Account v adresáři tenant id neexistuje. ID Microsoft Entra nemůže najít uživatelský účet v tenantovi.
  • Ujistěte se, že uživatel zadává správný hlavní název uživatele (UPN).
  • Ujistěte se, že se místní uživatelský účet synchronizuje s ID Microsoft Entra.
  • Událost 1144 (protokoly Microsoft Entra Analytics) obsahuje zadaný hlavní název uživatele (UPN).
    		•
    AADSTS50126: Při ověřování přihlašovacích údajů kvůli neplatnému uživatelskému jménu nebo heslu došlo k chybě.
  • Uživatelské jméno a heslo zadané uživatelem ve Windows LoginUI jsou nesprávné.
  • Pokud má tenant povolenou synchronizaci hodnot hash hesel, zařízení je hybridní a uživatel právě změnil heslo, je pravděpodobné, že se nové heslo nesynchronizuje s Microsoft Entra ID.
    		•  Pokud chcete získat nové žádosti o přijetí změn s novými přihlašovacími údaji, počkejte na dokončení synchronizace hesel Microsoft Entra.

    Běžné kódy chyb sítě

    Kód chyby Důvod Rozlišení
    ERROR_WINHTTP_TIMEOUT (12002)
    ERROR_WINHTTP_NAME_NOT_RESOLVED (12007)
    ERROR_WINHTTP_CANNOT_CONNECT (12029)
    ERROR_WINHTTP_CONNECTION_ERROR (12030)    		 Běžné obecné problémy související se sítí
  • Události 1022 (protokoly Microsoft Entra Analytics) a 1084 (provozní protokoly Microsoft Entra) obsahují adresu URL, ke které se přistupuje.
  • Pokud místní prostředí vyžaduje odchozí proxy server, musí správce IT zajistit, aby účet počítače zařízení mohl zjišťovat a bezobslužně ověřovat u odchozího proxy serveru.

    Získejte další kódy chyb sítě.
    		•

    Krok 4: Shromažďování protokolů

    Běžné protokoly

    1. Přejděte k https://aka.ms/icesdptool automatickému stažení souboru .cab obsahujícího diagnostický nástroj.
    2. Spusťte nástroj a proveďte reprodukci vašeho scénáře.
    3. U trasování Fiddleru přijměte žádosti o certifikát, které se zobrazí.
    4. Průvodce vás vyzve k zadání hesla k ochraně trasovacích souborů. Zadejte heslo.
    5. Nakonec otevřete složku, ve které jsou uložené všechny shromážděné protokoly, například %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
    6. Obraťte se na podporu s obsahem nejnovějšího souboru .cab .

    Trasování sítě

    Poznámka:

    Když shromažďujete trasování sítě, je důležité fiddler během reproce nepoužívat .

    1. Spusťte netsh trace start scenario=internetClient_dbg capture=yes persistent=yes.
    2. Uzamkněte a odemkněte zařízení. U zařízení připojených k hybridnímu připojení počkejte minutu nebo více, aby se úloha získání žádosti o přijetí změn dokončila.
    3. Spusťte netsh trace stop.
    4. Nasdílejte soubor nettrace.cab s podporou.

    Známé problémy

    Pokud jste připojení k mobilnímu hotspotu nebo externí síti Wi-Fi a přejdete na Nastavení> Accounts>Access Work nebo School, můžou hybridní zařízení Microsoft Entra zobrazovat dva různé účty, jeden pro MICROSOFT Entra ID a druhý pro místní AD. Tento problém s uživatelským rozhraním nemá vliv na funkčnost.

    Související obsah