Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie die Ausgabe des dsregcmd
Befehls verwenden, um den Status von Geräten in der Microsoft Entra-ID zu verstehen. Führen Sie das dsregcmd /status
Hilfsprogramm als Domänenbenutzerkonto aus.
Gerätestatus
In diesem Abschnitt werden die Gerätebeitrittszustandsparameter aufgeführt. Die Kriterien, die für das Gerät in verschiedenen Verknüpfungszuständen erforderlich sind, sind in der folgenden Tabelle aufgeführt:
AzureAdJoined | EnterpriseJoined | DomainJoined | Gerätestatus |
---|---|---|---|
JA | NEIN | NEIN | Microsoft Entra ist beigetreten |
NEIN | NEIN | JA | In die Domäne eingebunden |
JA | NEIN | JA | Microsoft Entra hybrid beigetreten |
NEIN | JA | JA | In lokales DRS eingebunden |
Hinweis
Der Zustand „In den Arbeitsplatz eingebunden“ (bei Microsoft Entra registriert) wird im Abschnitt Benutzerstatus angezeigt.
AzureAdJoined: Legen Sie den Status auf "JA " fest, wenn das Gerät mit der Microsoft Entra-ID verknüpft ist. Legen Sie andernfalls den Status auf "NEIN" fest.
EnterpriseJoined: Legen Sie den Status auf JA fest, wenn das Gerät mit einem lokalen Active Directory (AD) verbunden ist. Ein Gerät kann nicht sowohl EnterpriseJoined als auch AzureAdJoined sein.
DomainJoined: Legen Sie den Status auf JA fest, wenn das Gerät einer Domäne (Active Directory) beigetreten ist.
DomainName: Legen Sie den Status auf den Namen der Domäne fest, wenn das Gerät einer Domäne beigetreten ist.
Beispielausgabe für den Gerätestatus
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : YES
DomainName : HYBRIDADFS
+----------------------------------------------------------------------+
Gerätedetails
Der Status wird nur angezeigt, wenn das Gerät in Microsoft Entra eingebunden oder hybrid in Microsoft Entra eingebunden ist, aber nicht bei Microsoft Entra registriert ist. In diesem Abschnitt werden details zur Geräteidentifikation aufgeführt, die in der Microsoft Entra-ID gespeichert sind.
- DeviceId: Die eindeutige ID des Geräts im Microsoft Entra Tenant.
- Fingerabdruck: Der Fingerabdruck des Gerätezertifikats.
- DeviceCertificateValidity: Der Gültigkeitsstatus des Gerätezertifikats.
- KeyContainerId: Die containerId des privaten Geräteschlüssels, der dem Gerätezertifikat zugeordnet ist.
- KeyProvider: Der KeyProvider (Hardware/Software), der zum Speichern des privaten Geräteschlüssels verwendet wird.
- TpmProtected: Der Status wird auf "JA " festgelegt, wenn der private Geräteschlüssel in einem Hardware trusted Platform Module (TPM) gespeichert ist.
-
DeviceAuthStatus: Führt eine Überprüfung durch, um die Integrität des Geräts in der Microsoft Entra-ID zu ermitteln. Mögliche Integritätsstatus sind:
- ERFOLG , wenn das Gerät vorhanden und in der Microsoft Entra-ID aktiviert ist.
- FEHLERHAFT. Das Gerät ist entweder deaktiviert oder gelöscht. wenn das Gerät entweder deaktiviert oder gelöscht wird. Weitere Informationen zu diesem Problem finden Sie in den Häufig gestellten Fragen zur Microsoft Entra-Geräteverwaltung.
- FEHLERHAFT. FEHLER wenn der Test nicht ausgeführt werden konnte. Für diesen Test ist eine Netzwerkkonnektivität mit der Microsoft Entra-ID im Systemkontext erforderlich.
Hinweis
Das DeviceAuthStatus-Feld wurde im Windows 10 Mai 2021-Update (Version 21H1) hinzugefügt.
-
Virtual Desktop: Es gibt drei Fälle, in denen diese Zeile angezeigt wird.
- NOT SET – VDI-Gerätemetadaten sind auf dem Gerät nicht vorhanden.
- JA – VDI-Gerätemetadaten sind vorhanden, und dsregcmd gibt die zugeordneten Metadaten aus, einschließlich:
- Anbieter: Name des VDI-Anbieters.
- Typ: Persistente VDI oder nicht persistente VDI.
- Benutzermodus: Einzelner Benutzer oder Mehrere Benutzer.
- Erweiterungen: Anzahl der Schlüsselwertpaare in optionalen herstellerspezifischen Metadaten, gefolgt von Schlüsselwertpaaren.
- INVALID – Die VDI-Gerätemetadaten sind vorhanden, aber nicht ordnungsgemäß festgelegt. In diesem Fall gibt dsregcmd die falschen Metadaten aus.
Beispielausgabe für Gerätedetails
+----------------------------------------------------------------------+
| Device Details |
+----------------------------------------------------------------------+
DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
KeyProvider : Microsoft Software Key Storage Provider
TpmProtected : NO
DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+
Mieterdetails
Die Mandantendetails werden nur angezeigt, wenn das Gerät in Microsoft Entra eingebunden oder hybrid in Microsoft Entra eingebunden und nicht bei Microsoft Entra registriert ist. In diesem Abschnitt werden die allgemeinen Mandantendetails aufgeführt, die angezeigt werden, wenn ein Gerät mit der Microsoft Entra-ID verknüpft ist.
Hinweis
Wenn die URL-Felder für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) in diesem Abschnitt leer sind, gibt sie entweder an, dass die MDM nicht konfiguriert wurde oder dass der aktuelle Benutzer nicht im Bereich der MDM-Registrierung enthalten ist. Überprüfen Sie die Mobilitätseinstellungen in der Microsoft Entra-ID, um Ihre MDM-Konfiguration zu überprüfen.
Das Vorhandensein von MDM-URLs garantiert nicht, dass das Gerät von einem MDM verwaltet wird. Die Informationen werden angezeigt, wenn der Mandant über die MDM-Konfiguration für die automatische Registrierung verfügt, auch wenn das Gerät selbst nicht verwaltet wird.
Beispielausgabe für Mandantendetails
+----------------------------------------------------------------------+
| Tenant Details |
+----------------------------------------------------------------------+
TenantName : HybridADFS
TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
Idp : login.windows.net
AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl : eyJVx{lots of characters}xxxx==
JoinSrvVersion : 1.0
JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion : 1.0
KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
WebAuthNSrvVersion : 1.0
WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
DeviceManagementSrvVer : 1.0
DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+
Benutzerstatus
In diesem Abschnitt werden die Status der verschiedenen Attribute für Benutzer aufgelistet, die derzeit am Gerät angemeldet sind.
Hinweis
Der Befehl muss in einem Benutzerkontext ausgeführt werden, um einen gültigen Status abzurufen.
- NgcSet: Legen Sie den Status auf JA fest, wenn ein Windows Hello-Schlüssel für den aktuellen angemeldeten Benutzer festgelegt ist.
- NgcKeyId: Die ID des Windows Hello-Schlüssels, wenn eine für den aktuellen angemeldeten Benutzer festgelegt ist.
- CanReset: Gibt an, ob der Windows Hello-Schlüssel vom Benutzer zurückgesetzt werden kann.
- Mögliche Werte: „DestructiveOnly“, „NonDestructiveOnly“, „DestructiveAndNonDestructive“ oder „Unknown“ bei einem Fehler.
- WorkplaceJoined: Legen Sie den Status auf JA fest, wenn registrierte Microsoft Entra-Konten dem Gerät im aktuellen NTUSER-Kontext hinzugefügt wurden.
-
WamDefaultSet: Legen Sie den Status auf "JA " fest, wenn für den angemeldeten Benutzer ein Standardwebaccount (Web Account Manager, WAM) erstellt wird. In diesem Feld könnte ein Fehler angezeigt werden, wenn
dsregcmd /status
an einer Eingabeaufforderung mit erweiterten Rechten ausgeführt wird. - WamDefaultAuthority: Legen Sie den Status auf Organisationen für Microsoft Entra ID fest.
- WamDefaultId: Verwenden Sie immer https://login.microsoft.com für Microsoft Entra-ID.
- WamDefaultGUID: Die GUID des WAM-Anbieters (Microsoft Entra ID / Microsoft-Konto) für das standard-WAM-WebAccount.
Beispielausgabe für den Benutzerstatus
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet : YES
NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
CanReset : DestructiveAndNonDestructive
WorkplaceJoined : NO
WamDefaultSet : YES
WamDefaultAuthority : organizations
WamDefaultId : https://login.microsoft.com
WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)
+----------------------------------------------------------------------+
SSO-Status
Sie können diesen Abschnitt für registrierte Microsoft Entra-Geräte ignorieren.
Hinweis
Der Befehl muss in einem Benutzerkontext ausgeführt werden, um den gültigen Status dieses Benutzers abzurufen.
- AzureAdPrt: Legen Sie den Status auf JA fest, wenn ein primäres Aktualisierungstoken (PRIMARY Refresh Token, PRT) auf dem Gerät für den angemeldeten Benutzer vorhanden ist.
- AzureAdPrtUpdateTime: Legen Sie den Status auf die Uhrzeit in koordinierter Weltzeit (UTC) fest, als die PRT zuletzt aktualisiert wurde.
- AzureAdPrtExpiryTime: Legen Sie den Status auf die Uhrzeit in UTC fest, zu der der PRT abläuft, falls er nicht erneuert wird.
- AzureAdPrtAuthority: Die URL der autoritativen Microsoft Entra-Stelle
- EnterprisePrt: Legen Sie den Status auf JA fest, wenn das Gerät über ein PRT von lokalen Active Directory-Verbunddiensten (AD FS) verfügt. Bei hybrid verbundenen Microsoft Entra-Geräten könnte das Gerät gleichzeitig über einen PRT sowohl von der Microsoft Entra-ID als auch vom lokalen Active Directory verfügen. Geräte, die vor Ort verbunden sind, verfügen nur über ein Unternehmens-PRT.
- EnterprisePrtUpdateTime: Legen Sie den Status auf die Uhrzeit in UTC fest, zu der die Enterprise PRT zuletzt aktualisiert wurde.
- EnterprisePrtExpiryTime: Der Zustand wird auf den Zeitpunkt in UTC festgelegt, zu dem die PRT abläuft, wenn sie nicht erneuert wird.
- EnterprisePrtAuthority: Die AD FS-Autoritäts-URL
Hinweis
Die folgenden PRT-Diagnosefelder wurden im Windows 10 Mai 2021-Update (Version 21H1) hinzugefügt.
- Die Diagnoseinformationen, die im Feld "AzureAdPrt " angezeigt werden, sind für den Erwerb oder die Aktualisierung von Microsoft Entra PRT vorgesehen, und die Diagnoseinformationen, die im Feld "EnterprisePrt " angezeigt werden, sind für den Erwerb oder die Aktualisierung von Enterprise PRT vorgesehen.
- Die Diagnoseinformationen werden nur angezeigt, wenn der Kauf- oder Aktualisierungsfehler nach der letzten erfolgreichen PRT-Updatezeit (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime) aufgetreten ist.
Auf einem freigegebenen Gerät können diese Diagnoseinformationen aus dem Anmeldeversuch eines anderen Benutzers stammen.
-
AcquirePrtDiagnostics: Legen Sie den Zustand auf PRESENT fest, wenn die erworbenen PRT-Diagnoseinformationen in den Protokollen vorhanden sind.
- Dieses Feld wird übersprungen, wenn keine Diagnoseinformationen verfügbar sind.
- Vorheriger Prt-Versuch: Die Ortszeit in UTC, bei der der fehlgeschlagene PRT-Versuch aufgetreten ist.
- Versuchsstatus: Der zurückgegebene Clientfehlercode (HRESULT).
- Benutzeridentität: Der UPN des Benutzers, für den der PRT-Versuch aufgetreten ist.
- Anmeldeinformationstyp: Die Anmeldeinformationen, die zum Abrufen oder Aktualisieren der PRT verwendet werden. Allgemeine Anmeldeinformationstypen sind Kennwort und Anmeldeinformationen der nächsten Generation (NGC) (für Windows Hello).
- Korrelations-ID: Die Korrelations-ID, die vom Server für den fehlgeschlagenen PRT-Versuch gesendet wurde.
- Endpunkt-URI: Der letzte Endpunkt, auf den vor dem Fehler zugegriffen wurde.
- HTTP-Methode: Die HTTP-Methode, die für den Zugriff auf den Endpunkt verwendet wird.
- HTTP-Fehler: WinHttp-Transportfehlercode. Erhalten Sie andere Netzwerkfehlercodes.
- HTTP-Status: Der vom Endpunkt zurückgegebene HTTP-Status.
- Serverfehlercode: Der Fehlercode vom Server.
- Serverfehlerbeschreibung: Die Fehlermeldung vom Server.
-
RefreshPrtDiagnostics: Legen Sie den Status AUF PRESENT fest, wenn die erworbenen PRT-Diagnoseinformationen in den Protokollen vorhanden sind.
- Dieses Feld wird übersprungen, wenn keine Diagnoseinformationen verfügbar sind.
- Die Diagnoseinformationsfelder sind identisch mit AcquirePrtDiagnostics.
Hinweis
Die folgenden Cloud Kerberos-Diagnosefelder wurden in der ursprünglichen Version von Windows 11 (Version 21H2) hinzugefügt.
- OnPremTgt: Legen Sie den Status auf "JA " fest, wenn ein Cloud Kerberos-Ticket für den Zugriff auf lokale Ressourcen auf dem Gerät für den angemeldeten Benutzer vorhanden ist.
- CloudTgt: Legen Sie den Status auf JA fest, wenn ein Cloud Kerberos-Ticket für den Zugriff auf Cloudressourcen auf dem Gerät für den angemeldeten Benutzer vorhanden ist.
- KerbTopLevelNames: Liste der Kerberos-Bereichsnamen der obersten Ebene für Cloud Kerberos.
Beispielausgabe für den SSO-Status
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
OnPremTgt : YES
CloudTgt : YES
KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342
+----------------------------------------------------------------------+
Diagnosedaten
Diagnose vor der Einbindung
Dieser Diagnosebereich wird nur angezeigt, wenn das Gerät in eine Domäne eingebunden und seine Microsoft Entra-Hybrideinbindung nicht möglich ist.
Dieser Abschnitt führt verschiedene Tests aus, um Verknüpfungsfehler zu diagnostizieren. Die Informationen umfassen: Fehlerphase, Fehlercode, Serveranforderungs-ID, HTTP-Status der Serverantwort und Serverantwortfehlermeldung.
Benutzerkontext: Der Kontext, in dem die Diagnose ausgeführt wird. Mögliche Werte: SYSTEM, UN-ELEVATED User, ELEVATED User.
Hinweis
Da die tatsächliche Verknüpfung im SYSTEM-Kontext ausgeführt wird, ist die Ausführung der Diagnose im SYSTEM-Kontext dem tatsächlichen Verknüpfungsszenario am nächsten. Zum Ausführen der Diagnose im SYSTEM-Kontext muss der
dsregcmd /status
Befehl über eine Eingabeaufforderung mit erhöhten Rechten ausgeführt werden.Clientzeit: Die Systemzeit in UTC.
AD-Konnektivitätstest: Dieser Test führt einen Verbindungstest mit dem Domänencontroller aus. Ein Fehler in diesem Test führt wahrscheinlich zu Verknüpfungsfehlern in der Vorprüfungsphase.
AD-Konfigurationstest: Dieser Test liest und überprüft, ob das SCP-Objekt (Service Connection Point) in der lokalen Active Directory-Gesamtstruktur ordnungsgemäß konfiguriert ist. Fehler in diesem Test würden wahrscheinlich zu Verknüpfungsfehlern in der Ermittlungsphase mit dem Fehlercode 0x801c001d führen.
DRS Discovery Test: Dieser Test ruft die DRS-Endpunkte vom Ermittlungsmetadatenendpunkt ab und führt eine Benutzerbereichsanforderung aus. Fehler in diesem Test würden wahrscheinlich zu Verknüpfungsfehlern in der Ermittlungsphase führen.
DRS-Konnektivitätstest: Dieser Test führt einen grundlegenden Verbindungstest mit dem DRS-Endpunkt aus.
Tokenerwerbstest: Dieser Test versucht, ein Microsoft Entra-Authentifizierungstoken abzurufen, wenn der Benutzermandant einem Verbund angehört. Fehler in diesem Test würden wahrscheinlich zu Verknüpfungsfehlern in der Authentifizierungsphase führen. Wenn die Authentifizierung fehlschlägt, wird die Synchronisierung als Ausweichlösung versucht, es sei denn, die Ausweichlösung ist mit den folgenden Registrierungsschlüsseln explizit deaktiviert:
Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ Value: FallbackToSyncJoin Type: REG_DWORD Value: 0x0 -> Disabled Value: 0x1 -> Enabled Default (No Key): Enabled
Fallback zu Sync-Join: Der Zustand wird auf Aktiviert festgelegt, wenn der vorherige Registrierungsschlüssel zum Vermeiden von Fallbacks auf „Sync-Join“ mit Authentifizierungsfehlernnicht vorhanden ist. Diese Option ist unter Windows 10 1803 und höher verfügbar.
Vorherige Registrierung: Der Zeitpunkt, zu dem der vorherige Beitrittsversuch aufgetreten ist. Nur fehlgeschlagene Verknüpfungsversuche werden protokolliert.
Fehlerphase: Die Phase der Verknüpfung, in der sie abgebrochen wurde. Mögliche Werte sind vorab überprüfen, ermitteln, authentifizieren und beitreten.
Client ErrorCode: Der zurückgegebene Clientfehlercode (HRESULT).
Server ErrorCode: Der Serverfehlercode wird angezeigt, wenn eine Anforderung an den Server gesendet wurde und der Server mit einem Fehlercode geantwortet hat.
Servernachricht: Die Servernachricht, die zusammen mit dem Fehlercode zurückgegeben wurde.
Https-Status: Der vom Server zurückgegebene HTTP-Status.
Anforderungs-ID: Die clientanforderungs-ID, die an den Server gesendet wurde. Die Anforderungs-ID ist nützlich, um mit serverseitigen Protokollen zu korrelieren.
Beispielausgabe für Diagnose vor der Verknüpfung
Das folgende Beispiel zeigt einen Diagnosetest, der mit einem Ermittlungsfehler fehlschlägt.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:25:31.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:23:30.000 UTC
Error Phase : discover
Client ErrorCode : 0x801c0021
+----------------------------------------------------------------------+
Das folgende Beispiel zeigt, dass die Diagnosetests erfolgreich sind, der Registrierungsversuch jedoch mit einem Verzeichnisfehler fehlgeschlagen ist, was bei einem Sync-Join erwartet wird. Nach Abschluss des Microsoft Entra Connect-Synchronisierungsauftrags kann das Gerät beitreten.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:16:50.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : PASS
DRS Connectivity Test : PASS
Token acquisition Test : PASS
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Diagnose nach der Verknüpfung
In diesem Diagnoseabschnitt wird die Ausgabe der Prüfungen angezeigt, die auf einem Gerät durchgeführt wurden, das der Cloud beigetreten ist.
- AadRecoveryEnabled: Wenn der Wert JA ist, sind die im Gerät gespeicherten Schlüssel nicht verwendbar, und das Gerät ist für die Wiederherstellung gekennzeichnet. Die nächste Anmeldung löst den Wiederherstellungsfluss aus und registriert das Gerät erneut.
-
KeySignTest: Wenn der Wert PASSED ist, sind die Geräteschlüssel in gutem Zustand. Wenn KeySignTest fehlschlägt, wird das Gerät in der Regel für die Wiederherstellung markiert. Die nächste Anmeldung löst den Wiederherstellungsfluss aus und registriert das Gerät erneut. Für hybrid in Microsoft Entra eingebundene Geräte erfolgt die Wiederherstellung im Hintergrund. Während die Geräte in Microsoft Entra eingebunden oder Microsoft Entra registriert sind, werden sie aufgefordert, die Benutzerauthentifizierung wiederherzustellen und das Gerät bei Bedarf erneut zu registrieren.
Hinweis
Für KeySignTest sind erhöhte Berechtigungen erforderlich.
Beispielausgabe für Diagnose nach der Einbindung
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
AadRecoveryEnabled: NO
KeySignTest : PASSED
+----------------------------------------------------------------------+
Überprüfung der NGC-Voraussetzungen
In diesem Diagnoseabschnitt werden die Voraussetzungen für die Einrichtung von Windows Hello for Business (WHFB) überprüft.
Hinweis
Wenn Benutzende WHFB bereits erfolgreich konfiguriert haben, werden in dsregcmd /status
unter Umständen keine Details zur Überprüfung der NGC-Voraussetzungen angezeigt.
- IsDeviceJoined: Legen Sie den Status auf "JA " fest, wenn das Gerät mit der Microsoft Entra-ID verbunden ist.
- IsUserAzureAD: Legen Sie den Status auf JA fest, wenn der angemeldete Benutzer in der Microsoft Entra-ID vorhanden ist.
- PolicyEnabled: Legen Sie den Status auf JA fest, wenn die WHFB-Richtlinie auf dem Gerät aktiviert ist.
- PostLogonEnabled: Legen Sie den Status auf "JA " fest, wenn die WHFB-Registrierung nativ von der Plattform ausgelöst wird. Wenn der Status auf "NEIN" festgelegt ist, gibt er an, dass die Windows Hello for Business-Registrierung durch einen benutzerdefinierten Mechanismus ausgelöst wird.
- DeviceEligible: Legen Sie den Status auf JA fest, wenn das Gerät die Hardwareanforderung für die Registrierung bei WHFB erfüllt.
- SessionIsNotRemote: Legen Sie den Status auf JA fest, wenn der aktuelle Benutzer direkt am Gerät angemeldet ist und nicht remote.
- CertEnrollment: Diese Einstellung ist spezifisch für die Bereitstellung der WHFB-Zertifikatvertrauensstellung und gibt die autoritative Stelle für die Zertifikatregistrierung für WHFB an. Legen Sie den Status auf die Registrierungsstelle fest, wenn die Quelle der WHFB-Richtlinie Gruppenrichtlinie ist, oder legen Sie ihn auf die Verwaltung mobiler Geräte fest, wenn die Quelle MDM ist. Wenn keine Quelle angewendet wird, legen Sie den Zustand auf "none" fest.
- AdfsRefreshToken: Diese Einstellung ist spezifisch für die Bereitstellung der WHFB-Zertifikatvertrauensstellung und nur vorhanden, wenn der CertEnrollment-Zustand auf enrollment authority festgelegt ist. Die Einstellung gibt an, ob das Gerät über ein Unternehmens-PRT für den Benutzer verfügt.
- AdfsRaIsReady: Diese Einstellung ist spezifisch für die Bereitstellung der WHFB-Zertifikatvertrauensstellung und nur vorhanden, wenn der CertEnrollment-Zustand auf enrollment authority festgelegt ist. Legen Sie den Status auf JA fest, wenn AD FS in den Ermittlungsmetadaten angibt, dass es WHFB unterstützt und die Anmelde-Zertifikatvorlage verfügbar ist.
- LogonCertTemplateReady: Diese Einstellung ist spezifisch für die Bereitstellung der WHFB-Zertifikatvertrauensstellung und nur vorhanden, wenn der CertEnrollment-Zustand auf enrollment authority festgelegt ist. Der Zustand wird auf YES festgelegt, wenn der Zustand der Anmeldezertifikatvorlage gültig ist und zur Problembehandlung der AD FS-Registrierungsstelle beiträgt.
- PreReqResult: Gibt das Ergebnis der Auswertung aller WHFB-Voraussetzungen an. Legen Sie den Status auf "Will Provision " fest, wenn die WHFB-Registrierung als Nachanmeldungsaufgabe gestartet wird, wenn sich der Benutzer das nächste Mal anmeldet.
Hinweis
Die folgenden Cloud Kerberos-Diagnosefelder wurden im Windows 10 Mai 2021-Update (Version 21H1) hinzugefügt.
Vor Windows 11, Version 23H2, wurde die Einstellung "OnPremTGT" als "CloudTGT" bezeichnet.
- OnPremTGT: Diese Einstellung ist spezifisch für die Cloud Kerberos-Vertrauensbereitstellung und nur vorhanden, wenn der CertEnrollment-Zustand keine ist. Legen Sie den Status auf "JA " fest, wenn das Gerät über ein Cloud Kerberos-Ticket für den Zugriff auf lokale Ressourcen verfügt. Vor Windows 11, Version 23H2, wurde diese Einstellung als CloudTGT bezeichnet.
Beispielausgabe für die Überprüfung der NGC-Voraussetzungen
+----------------------------------------------------------------------+
| Ngc Prerequisite Check |
+----------------------------------------------------------------------+
IsDeviceJoined : YES
IsUserAzureAD : YES
PolicyEnabled : YES
PostLogonEnabled : YES
DeviceEligible : YES
SessionIsNotRemote : YES
CertEnrollment : enrollment authority
AdfsRefreshToken : YES
AdfsRaIsReady : YES
LogonCertTemplateReady : YES ( StateReady )
PreReqResult : WillProvision
+----------------------------------------------------------------------+
Nächste Schritte
Wechseln Sie zum Microsoft-Fehlersuchtool.