Řešení potíží se zařízeními pomocí příkazu dsregcmd
Článek
Tento článek popisuje, jak pomocí výstupu dsregcmd příkazu porozumět stavu zařízení v Microsoft Entra ID. Nástroj dsregcmd /status musí být spuštěný jako uživatelský účet domény.
Stav zařízení
Tato část obsahuje seznam parametrů stavu spojení zařízení. Kritéria potřebná k tomu, aby zařízení bylo v různých stavech spojení, jsou uvedená v následující tabulce:
AzureAdJoined
EnterpriseJoined
DomainJoined
Stav zařízení
ANO
NE
NE
Připojení k Microsoft Entra
NE
NE
ANO
Připojená k doméně
ANO
NE
ANO
Hybridní připojení k Microsoft Entra
NE
ANO
ANO
Připojení k místní službě DRS
Poznámka
Stav Připojení k pracovišti (zaregistrovaný Microsoft Entra) se zobrazí v části Stav uživatele.
AzureAdJoined: Pokud je zařízení připojené k ID Microsoft Entra, nastavte stav NA ANO . V opačném případě nastavte stav na NE.
EnterpriseJoined: Pokud je zařízení připojené ke službě replikace místních dat (DRS), nastavte stav NA ANO . Zařízení nemůže být enterpriseJoined i AzureAdJoined.
DomainJoined: Pokud je zařízení připojené k doméně (Active Directory), nastavte stav NA ANO .
DomainName: Nastavte stav na název domény, pokud je zařízení připojené k doméně.
Ukázkový výstup stavu zařízení
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : YES
DomainName : HYBRIDADFS
+----------------------------------------------------------------------+
Podrobnosti zařízení
Stav se zobrazí pouze v případě, že zařízení je připojeno k Microsoft Entra nebo Microsoft Entra hybrid join (nikoli Microsoft Entra zaregistrované). V této části jsou uvedeny podrobnosti o identifikaci zařízení, které jsou uloženy v Microsoft Entra ID.
DeviceId: Jedinečné ID zařízení v tenantovi Microsoft Entra.
DeviceCertificateValidity: Stav platnosti certifikátu zařízení.
KeyContainerId: Id kontejneru privátního klíče zařízení přidruženého k certifikátu zařízení.
KeyProvider: KeyProvider (hardware/software) použitý k uložení privátního klíče zařízení.
TpmProtected: Stav je nastavený na ANO , pokud je privátní klíč zařízení uložený v hardwarovém čipu TPM (Trusted Platform Module).
DeviceAuthStatus: Provede kontrolu a určí stav zařízení v ID Microsoft Entra. Stavy jsou:
SUCCESS if the device is present and enabled in Microsoft Entra ID.
SE NEZDAŘILO. Zařízení je zakázané nebo odstraněné. pokud je zařízení zakázané nebo odstraněné. Další informace o tomto problému najdete v nejčastějších dotazech ke správě zařízení Microsoft Entra.
SE NEZDAŘILO. CHYBA pokud se test nepodařilo spustit. Tento test vyžaduje síťové připojení k ID Microsoft Entra v kontextu systému.
Poznámka
Pole DeviceAuthStatus bylo přidáno do aktualizace Windows 10 z května 2021 (verze 21H1).
Virtual Desktop: Existují tři případy, kdy se zobrazí.
NENÍ NASTAVENO – Metadata zařízení VDI na zařízení nejsou k dispozici.
ANO – metadata zařízení VDI jsou přítomna a výstupy s přidruženými k datům, včetně:
Zprostředkovatel: Název dodavatele VDI.
Typ: Trvalé VDI nebo non-persistent VDI.
Uživatelský režim: Jeden uživatel nebo více uživatelů.
Rozšíření: Počet párů klíč-hodnota v volitelných metadatech specifických pro dodavatele, za kterými následují páry klíč-hodnota.
NEPLATNÉ – Metadata zařízení VDI jsou přítomna, ale nejsou správně nastavena. V tomto případě dsregcmd vypíše nesprávná metadata.
Výstup s ukázkovými podrobnostmi o zařízení
+----------------------------------------------------------------------+
| Device Details |
+----------------------------------------------------------------------+
DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
KeyProvider : Microsoft Software Key Storage Provider
TpmProtected : NO
DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+
Podrobnosti o tenantovi
Podrobnosti o tenantovi se zobrazí jenom v případě, že je zařízení připojené k Microsoft Entra nebo hybridní připojení Microsoft Entra, ne zaregistrované v Microsoft Entra. Tato část obsahuje seznam běžných podrobností o tenantovi, které se zobrazí, když je zařízení připojené k MICROSOFT Entra ID.
Poznámka
Pokud jsou pole adresy URL pro správu mobilních zařízení (MDM) v této části prázdná, znamená to, že MDM není nakonfigurované nebo že aktuální uživatel není v oboru registrace MDM. Zkontrolujte nastavení mobility v Microsoft Entra ID a zkontrolujte konfiguraci MDM.
I když se zobrazí adresy URL MDM, neznamená to, že zařízení je spravované pomocí MDM. Informace se zobrazí, pokud má tenant konfiguraci MDM pro automatickou registraci, i když samotné zařízení není spravované.
Tato část obsahuje seznam stavů různých atributů pro uživatele, kteří jsou aktuálně přihlášení k zařízení.
Poznámka
Příkaz se musí spustit v kontextu uživatele, aby se načetl platný stav.
Automatickyset: Pokud je pro aktuálního přihlášeného uživatele nastaven klíč Windows Hello, nastavte stav na ANO .
IdentityKeyId: ID klíče Windows Hello, pokud je nastavena pro aktuální přihlášeného uživatele.
CanReset: Označuje, jestli může uživatel resetovat klíč Windows Hello.
Možné hodnoty: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive nebo Unknown if error.
WorkplaceJoined: Nastavte stav NA ANO , pokud byly do zařízení přidány registrované účty Microsoft Entra v aktuálním kontextu NTUSER.
WamDefaultSet: Pokud se pro přihlášeného uživatele vytvoří výchozí webový účet WebAccount (WAM), nastaví se stav ANO. Toto pole může zobrazit chybu, pokud dsregcmd /status je spuštěna z příkazového řádku se zvýšenými oprávněními.
WamDefaultAuthority: Nastavte stav na organizace pro Microsoft Entra ID.
AzureAdPrtExpiryTime: Nastavte stav na čas ve standardu UTC, kdy platnost žádosti o přijetí změn vyprší, pokud se neprodlouží.
AzureAdPrtAuthority: Adresa URL autority Microsoft Entra
EnterprisePrt: Nastavte stav na ANO, pokud má zařízení PRT ze služby místní Active Directory Federation Services (AD FS). U zařízení připojených k hybridnímu připojení Microsoft Entra může mít zařízení PRT jak z MICROSOFT Entra ID, tak místní Active Directory současně. Místní zařízení připojená k síti mají jenom enterprise PRT.
EnterprisePrtUpdateTime: Nastavte stav na čas v UTC, kdy došlo k poslední aktualizaci žádosti o přijetí změn organizace.
EnterprisePrtExpiryTime: Nastavte stav na čas ve standardu UTC, kdy platnost žádosti o přijetí změn vyprší, pokud se neprodlouží.
EnterprisePrtAuthority: Adresa URL autority SLUŽBY AD FS
Poznámka
V aktualizaci Windows 10 z května 2021 (verze 21H1) byly přidána následující pole diagnostiky PRT.
Diagnostické informace, které se zobrazují v poli AzureAdPrt , jsou určené pro získání nebo aktualizaci Microsoft Entra PRT a diagnostické informace zobrazené v poli EnterprisePrt slouží k získání nebo aktualizaci enterprise PRT.
Diagnostické informace se zobrazí jenom v případě, že došlo k selhání získání nebo aktualizace po poslední úspěšné době aktualizace PRT (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
Na sdíleném zařízení můžou být tyto diagnostické informace z pokusu o přihlášení jiného uživatele.
AcquirePrtDiagnostics: Nastavte stav NA PRESENT , pokud se v protokolech nacházejí získané diagnostické informace PRT.
Pokud nejsou k dispozici žádné diagnostické informace, toto pole se přeskočí.
Předchozí pokus o přijetí změn: Místní čas ve standardu UTC, ve kterém došlo k neúspěšném pokusu o přijetí změn.
Stav pokusu: Vrácený kód chyby klienta (HRESULT).
Identita uživatele: Hlavní název uživatele (UPN) uživatele, pro kterého došlo k pokusu o přijetí změn.
Typ přihlašovacích údajů: Přihlašovací údaje použité k získání nebo aktualizaci žádosti o přijetí změn. Mezi běžné typy přihlašovacích údajů patří heslo a přihlašovací údaje příští generace (PREVIEW) (pro Windows Hello).
ID korelace: ID korelace odeslané serverem pro neúspěšný pokus o přijetí změn.
Identifikátor URI koncového bodu: Poslední koncový bod, ke kterému se přistupuje před selháním.
Metoda HTTP: Metoda HTTP použitá pro přístup ke koncovému bodu.
Chyba HTTP: Kód chyby přenosu WinHttp Získejte další kódy chyb sítě.
Stav HTTP: Stav HTTP vrácený koncovým bodem.
Kód chyby serveru: Kód chyby ze serveru.
Popis chyby serveru: Chybová zpráva ze serveru.
RefreshPrtDiagnostics: Nastavte stav NA PRESENT , pokud se v protokolech nacházejí informace o získané diagnostice PRT.
Pokud nejsou k dispozici žádné diagnostické informace, toto pole se přeskočí.
Pole s diagnostickými informacemi jsou stejná jako pole AcquirePrtDiagnostics.
Poznámka
V původní verzi Windows 11 (verze 21H2) byly přidána následující diagnostická pole Cloud Kerberos.
OnPremTgt: Nastavte stav na ANO , pokud je v zařízení pro přihlášeného uživatele přítomen lístek Cloud Kerberos pro přístup k místním prostředkům.
CloudTgt: Pokud je v zařízení pro přihlášeného uživatele k dispozici lístek Cloud Kerberos pro přístup ke cloudovým prostředkům, nastavte stav ANO.
KerbTopLevelNames: Seznam názvů sfér Kerberos nejvyšší úrovně pro Cloud Kerberos.
Ukázkový výstup stavu jednotného přihlašování
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
OnPremTgt : YES
CloudTgt : YES
KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342
+----------------------------------------------------------------------+
Diagnostická data
Diagnostika před spojením
Tato část diagnostiky se zobrazí jenom v případě, že je zařízení připojené k doméně a nemůže se připojit k hybridnímu připojení Microsoft Entra.
Tato část provádí různé testy, které pomáhají diagnostikovat selhání spojení. Mezi tyto informace patří: fáze chyby, kód chyby, ID požadavku serveru, stav HTTP odpovědi serveru a chybová zpráva odpovědi serveru.
Kontext uživatele: Kontext, ve kterém se diagnostika spouští. Možné hodnoty: SYSTEM, UN-ELEVATED User, ELEVATED User.
Poznámka
Vzhledem k tomu, že skutečné spojení se provádí v kontextu SYSTEM, je spuštění diagnostiky v kontextu SYSTEM nejblíže skutečnému scénáři spojení. Pokud chcete spustit diagnostiku v kontextu SYSTÉMU, dsregcmd /status musí být příkaz spuštěný z příkazového řádku se zvýšenými oprávněními.
Čas klienta: Systémový čas v UTC.
Test Připojení ivity služby AD: Tento test provede test připojení k řadiči domény. Chyba v tomto testu pravděpodobně vede k chybám spojení ve fázi předběžné kontroly.
Test konfigurace služby AD: Tento test čte a ověřuje, jestli je objekt SCP (Service Připojení ion Point) správně nakonfigurovaný v doménové struktuře místní Active Directory. Chyby v tomto testu pravděpodobně způsobí chyby spojení ve fázi zjišťování s kódem chyby 0x801c001d.
Test zjišťování DRS: Tento test získá koncové body DRS z koncového bodu metadat zjišťování a provede požadavek na sféru uživatele. Chyby v tomto testu pravděpodobně způsobí chyby spojení ve fázi zjišťování.
Test drs Připojení ivity: Tento test provede základní test připojení ke koncovému bodu DRS.
Test získání tokenu: Tento test se pokusí získat ověřovací token Microsoft Entra, pokud je tenant uživatele federovaný. Chyby v tomto testu pravděpodobně způsobí chyby spojení ve fázi ověřování. Pokud se ověření nezdaří, pokusí se o připojení k synchronizaci jako záložní, pokud není s následujícím nastavením klíče registru explicitně zakázáno náhradní připojení:
Náhradní připojení k synchronizaci: Pokud předchozí klíč registru nastavíte na povolenou, aby se zabránilo záložnímu připojení k synchronizaci s chybami ověřování, neník dispozici. Tato možnost je dostupná ve Windows 10 1803 a novějších verzích.
Předchozí registrace: Čas, kdy došlo k předchozímu pokusu o připojení. Protokolují se pouze neúspěšné pokusy o připojení.
Fáze chyby: Fáze spojení, ve které byla přerušena. Možné hodnoty jsou předběžné kontroly, zjišťování, ověřování a spojení.
Kód chyby klienta: Vrácený kód chyby klienta (HRESULT).
Kód chyby serveru: Kód chyby serveru se zobrazil, pokud se na server odeslal požadavek a server odpověděl kódem chyby.
Zpráva serveru: Zpráva serveru vrácená spolu s kódem chyby.
Stav https: Stav HTTP vrácený serverem.
ID požadavku: ID požadavku klienta odeslané na server. ID požadavku je užitečné ke korelaci s protokoly na straně serveru.
Ukázkový výstup diagnostiky před spojením
Následující příklad ukazuje selhání diagnostického testu s chybou zjišťování.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:25:31.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:23:30.000 UTC
Error Phase : discover
Client ErrorCode : 0x801c0021
+----------------------------------------------------------------------+
Následující příklad ukazuje, že diagnostické testy se předávají, ale pokus o registraci selhal s chybou adresáře, která se očekává pro připojení k synchronizaci. Po dokončení úlohy synchronizace Microsoft Entra Připojení se zařízení může připojit.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:16:50.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : PASS
DRS Connectivity Test : PASS
Token acquisition Test : PASS
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Diagnostika po připojení
Tato část diagnostiky zobrazuje výstup kontrol sanity provedených na zařízení připojeném ke cloudu.
AadRecoveryEnabled: Pokud je hodnota ANO, klíče uložené v zařízení nejsou použitelné a zařízení je označené k obnovení. Další přihlášení aktivuje tok obnovení a znovu zaregistruje zařízení.
KeySignTest: Pokud je hodnota PŘEDÁNa, klíče zařízení jsou v dobrém stavu. Pokud keySignTest selže, zařízení se obvykle označí k obnovení. Další přihlášení aktivuje tok obnovení a znovu zaregistruje zařízení. U zařízení připojených k hybridnímu připojení Microsoft Entra je obnovení tiché. Zařízení jsou připojena k Microsoft Entra nebo Microsoft Entra zaregistrovaná, ale v případě potřeby vyzve k ověření uživatele, aby zařízení obnovilo a znovu zaregistrovalo.
Poznámka
KeySignTest vyžaduje zvýšená oprávnění.
Ukázkový výstup diagnostiky po připojení
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
AadRecoveryEnabled: NO
KeySignTest : PASSED
+----------------------------------------------------------------------+
Kontrola předpokladů PRO KONTROLU POŽADOVANÝCH SOUČÁSTÍ
Tato část diagnostiky provádí kontrolu požadavků pro nastavení Windows Hello pro firmy (WHFB).
Poznámka
Pokud už uživatel úspěšně nakonfiguroval WHFB, nemusí se zobrazit podrobnosti o dsregcmd /status požadavcích NA SERVERU.
IsDeviceJoined: Nastavte stav na ANO , pokud je zařízení připojené k Microsoft Entra ID.
IsUserAzureAD: Pokud je přihlášený uživatel v Microsoft Entra ID, nastavte stav NA ANO .
PolicyEnabled: Pokud je na zařízení povolená zásada WHFB, nastavte stav na ano .
PostLogonEnabled: Nastavte stav na ANO , pokud je registrace WHFB aktivovaná nativně platformou. Pokud je stav nastavený na NE, znamená to, že Windows Hello pro firmy registraci aktivuje vlastní mechanismus.
Nárok na zařízení: Pokud zařízení splňuje požadavky na hardware pro registraci do WHFB, nastavte stav NA ANO .
SessionIsNotRemote: Nastavte stav na ANO , pokud je aktuální uživatel přihlášený přímo k zařízení, a ne vzdáleně.
CertEnrollment: Toto nastavení je specifické pro nasazení důvěryhodnosti certifikátu WHFB, které označuje certifikační autoritu pro WHFB. Nastavte stav na autoritu registrace, pokud zdrojem zásad WHFB jsou zásady skupiny, nebo ho nastavte na správu mobilních zařízení, pokud je zdrojem MDM. Pokud žádný zdroj neplatí, nastavte stav na žádný.
AdfsRefreshToken: Toto nastavení je specifické pro nasazení důvěryhodnosti certifikátu WHFB a je k dispozici pouze v případě, že stav CertEnrollment je autorita registrace. Nastavení určuje, jestli má zařízení podnikový PRT pro uživatele.
AdfsRaIsReady: Toto nastavení je specifické pro nasazení důvěryhodnosti certifikátů WHFB a je k dispozici pouze v případě, že stav CertEnrollmentu je autorita registrace. Pokud služba AD FS indikuje v metadatech zjišťování, že podporuje WHFB a je k dispozici šablona přihlašovacího certifikátu, nastavte stav ANO.
LogonCertTemplateReady: Toto nastavení je specifické pro nasazení důvěryhodnosti certifikátů WHFB a je k dispozici pouze v případě, že stav CertEnrollmentu je autorita registrace. Pokud je stav šablony přihlašovacího certifikátu platný a pomáhá řešit potíže s registrační autoritou služby AD FS (RA), nastavte stav ANO .
PreReqResult: Poskytuje výsledek vyhodnocení všech požadavků WHFB. Pokud by se registrace WHFB spustila jako úloha po přihlášení, nastavte ji na hodnotu Will Provision (Bude se zřizovat ), když se uživatel příště přihlásí.
Poznámka
V aktualizaci Windows 10 z května 2021 (verze 21H1) byly přidána následující diagnostická pole cloudového protokolu Kerberos.
Před Windows 11 verze 23H2 se nastavení OnPremTGT jmenovalo CloudTGT.
OnPremTGT: Toto nastavení je specifické pro nasazení důvěryhodnosti Cloud Kerberos a existuje pouze v případě, že stav CertEnrollment není žádný. Pokud má zařízení lístek Cloud Kerberos pro přístup k místním prostředkům, nastavte stav na ANO . Před Windows 11 verze 23H2 se toto nastavení jmenovalo CloudTGT.
Plan and execute an endpoint deployment strategy, using essential elements of modern management, co-management approaches, and Microsoft Intune integration.