Freigeben über

Behandeln von Problemen mit Geräten mithilfe des Befehls "dsregcmd"

In diesem Artikel wird erläutert, wie Sie die Ausgabe des dsregcmd Befehls verwenden, um den Status von Geräten in der Microsoft Entra-ID zu verstehen. Führen Sie das dsregcmd /status Hilfsprogramm als Domänenbenutzerkonto aus.

Gerätestatus

In diesem Abschnitt werden die Gerätebeitrittszustandsparameter aufgeführt. Die Kriterien, die für das Gerät in verschiedenen Verknüpfungszuständen erforderlich sind, sind in der folgenden Tabelle aufgeführt:

AzureAdJoined EnterpriseJoined DomainJoined Gerätestatus
JA NEIN NEIN Microsoft Entra ist beigetreten
NEIN NEIN JA In die Domäne eingebunden
JA NEIN JA Microsoft Entra hybrid beigetreten
NEIN JA JA In lokales DRS eingebunden

Hinweis

Der Zustand „In den Arbeitsplatz eingebunden“ (bei Microsoft Entra registriert) wird im Abschnitt Benutzerstatus angezeigt.

  • AzureAdJoined: Legen Sie den Status auf "JA " fest, wenn das Gerät mit der Microsoft Entra-ID verknüpft ist. Legen Sie andernfalls den Status auf "NEIN" fest.

  • EnterpriseJoined: Legen Sie den Status auf JA fest, wenn das Gerät mit einem lokalen Active Directory (AD) verbunden ist. Ein Gerät kann nicht sowohl EnterpriseJoined als auch AzureAdJoined sein.

  • DomainJoined: Legen Sie den Status auf JA fest, wenn das Gerät einer Domäne (Active Directory) beigetreten ist.

  • DomainName: Legen Sie den Status auf den Namen der Domäne fest, wenn das Gerät einer Domäne beigetreten ist.

Beispielausgabe für den Gerätestatus

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Gerätedetails

Der Status wird nur angezeigt, wenn das Gerät in Microsoft Entra eingebunden oder hybrid in Microsoft Entra eingebunden ist, aber nicht bei Microsoft Entra registriert ist. In diesem Abschnitt werden details zur Geräteidentifikation aufgeführt, die in der Microsoft Entra-ID gespeichert sind.

  • DeviceId: Die eindeutige ID des Geräts im Microsoft Entra Tenant.
  • Fingerabdruck: Der Fingerabdruck des Gerätezertifikats.
  • DeviceCertificateValidity: Der Gültigkeitsstatus des Gerätezertifikats.
  • KeyContainerId: Die containerId des privaten Geräteschlüssels, der dem Gerätezertifikat zugeordnet ist.
  • KeyProvider: Der KeyProvider (Hardware/Software), der zum Speichern des privaten Geräteschlüssels verwendet wird.
  • TpmProtected: Der Status wird auf "JA " festgelegt, wenn der private Geräteschlüssel in einem Hardware trusted Platform Module (TPM) gespeichert ist.
  • DeviceAuthStatus: Führt eine Überprüfung durch, um die Integrität des Geräts in der Microsoft Entra-ID zu ermitteln. Mögliche Integritätsstatus sind:
    • ERFOLG , wenn das Gerät vorhanden und in der Microsoft Entra-ID aktiviert ist.
    • FEHLERHAFT. Das Gerät ist entweder deaktiviert oder gelöscht. wenn das Gerät entweder deaktiviert oder gelöscht wird. Weitere Informationen zu diesem Problem finden Sie in den Häufig gestellten Fragen zur Microsoft Entra-Geräteverwaltung.
    • FEHLERHAFT. FEHLER wenn der Test nicht ausgeführt werden konnte. Für diesen Test ist eine Netzwerkkonnektivität mit der Microsoft Entra-ID im Systemkontext erforderlich.

    Hinweis

    Das DeviceAuthStatus-Feld wurde im Windows 10 Mai 2021-Update (Version 21H1) hinzugefügt.

  • Virtual Desktop: Es gibt drei Fälle, in denen diese Zeile angezeigt wird.
    • NOT SET – VDI-Gerätemetadaten sind auf dem Gerät nicht vorhanden.
    • JA – VDI-Gerätemetadaten sind vorhanden, und dsregcmd gibt die zugeordneten Metadaten aus, einschließlich:
      • Anbieter: Name des VDI-Anbieters.
      • Typ: Persistente VDI oder nicht persistente VDI.
      • Benutzermodus: Einzelner Benutzer oder Mehrere Benutzer.
      • Erweiterungen: Anzahl der Schlüsselwertpaare in optionalen herstellerspezifischen Metadaten, gefolgt von Schlüsselwertpaaren.
    • INVALID – Die VDI-Gerätemetadaten sind vorhanden, aber nicht ordnungsgemäß festgelegt. In diesem Fall gibt dsregcmd die falschen Metadaten aus.

Beispielausgabe für Gerätedetails

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
                Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Mieterdetails

Die Mandantendetails werden nur angezeigt, wenn das Gerät in Microsoft Entra eingebunden oder hybrid in Microsoft Entra eingebunden und nicht bei Microsoft Entra registriert ist. In diesem Abschnitt werden die allgemeinen Mandantendetails aufgeführt, die angezeigt werden, wenn ein Gerät mit der Microsoft Entra-ID verknüpft ist.

Hinweis

Wenn die URL-Felder für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) in diesem Abschnitt leer sind, gibt sie entweder an, dass die MDM nicht konfiguriert wurde oder dass der aktuelle Benutzer nicht im Bereich der MDM-Registrierung enthalten ist. Überprüfen Sie die Mobilitätseinstellungen in der Microsoft Entra-ID, um Ihre MDM-Konfiguration zu überprüfen.

Das Vorhandensein von MDM-URLs garantiert nicht, dass das Gerät von einem MDM verwaltet wird. Die Informationen werden angezeigt, wenn der Mandant über die MDM-Konfiguration für die automatische Registrierung verfügt, auch wenn das Gerät selbst nicht verwaltet wird.

Beispielausgabe für Mandantendetails

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVx{lots of characters}xxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Benutzerstatus

In diesem Abschnitt werden die Status der verschiedenen Attribute für Benutzer aufgelistet, die derzeit am Gerät angemeldet sind.

Hinweis

Der Befehl muss in einem Benutzerkontext ausgeführt werden, um einen gültigen Status abzurufen.

  • NgcSet: Legen Sie den Status auf JA fest, wenn ein Windows Hello-Schlüssel für den aktuellen angemeldeten Benutzer festgelegt ist.
  • NgcKeyId: Die ID des Windows Hello-Schlüssels, wenn eine für den aktuellen angemeldeten Benutzer festgelegt ist.
  • CanReset: Gibt an, ob der Windows Hello-Schlüssel vom Benutzer zurückgesetzt werden kann.
  • Mögliche Werte: „DestructiveOnly“, „NonDestructiveOnly“, „DestructiveAndNonDestructive“ oder „Unknown“ bei einem Fehler.
  • WorkplaceJoined: Legen Sie den Status auf JA fest, wenn registrierte Microsoft Entra-Konten dem Gerät im aktuellen NTUSER-Kontext hinzugefügt wurden.
  • WamDefaultSet: Legen Sie den Status auf "JA " fest, wenn für den angemeldeten Benutzer ein Standardwebaccount (Web Account Manager, WAM) erstellt wird. In diesem Feld könnte ein Fehler angezeigt werden, wenn dsregcmd /status an einer Eingabeaufforderung mit erweiterten Rechten ausgeführt wird.
  • WamDefaultAuthority: Legen Sie den Status auf Organisationen für Microsoft Entra ID fest.
  • WamDefaultId: Verwenden Sie immer https://login.microsoft.com für Microsoft Entra-ID.
  • WamDefaultGUID: Die GUID des WAM-Anbieters (Microsoft Entra ID / Microsoft-Konto) für das standard-WAM-WebAccount.

Beispielausgabe für den Benutzerstatus

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

SSO-Status

Sie können diesen Abschnitt für registrierte Microsoft Entra-Geräte ignorieren.

Hinweis

Der Befehl muss in einem Benutzerkontext ausgeführt werden, um den gültigen Status dieses Benutzers abzurufen.

  • AzureAdPrt: Legen Sie den Status auf JA fest, wenn ein primäres Aktualisierungstoken (PRIMARY Refresh Token, PRT) auf dem Gerät für den angemeldeten Benutzer vorhanden ist.
  • AzureAdPrtUpdateTime: Legen Sie den Status auf die Uhrzeit in koordinierter Weltzeit (UTC) fest, als die PRT zuletzt aktualisiert wurde.
  • AzureAdPrtExpiryTime: Legen Sie den Status auf die Uhrzeit in UTC fest, zu der der PRT abläuft, falls er nicht erneuert wird.
  • AzureAdPrtAuthority: Die URL der autoritativen Microsoft Entra-Stelle
  • EnterprisePrt: Legen Sie den Status auf JA fest, wenn das Gerät über ein PRT von lokalen Active Directory-Verbunddiensten (AD FS) verfügt. Bei hybrid verbundenen Microsoft Entra-Geräten könnte das Gerät gleichzeitig über einen PRT sowohl von der Microsoft Entra-ID als auch vom lokalen Active Directory verfügen. Geräte, die vor Ort verbunden sind, verfügen nur über ein Unternehmens-PRT.
  • EnterprisePrtUpdateTime: Legen Sie den Status auf die Uhrzeit in UTC fest, zu der die Enterprise PRT zuletzt aktualisiert wurde.
  • EnterprisePrtExpiryTime: Der Zustand wird auf den Zeitpunkt in UTC festgelegt, zu dem die PRT abläuft, wenn sie nicht erneuert wird.
  • EnterprisePrtAuthority: Die AD FS-Autoritäts-URL

Hinweis

Die folgenden PRT-Diagnosefelder wurden im Windows 10 Mai 2021-Update (Version 21H1) hinzugefügt.

  • Die Diagnoseinformationen, die im Feld "AzureAdPrt " angezeigt werden, sind für den Erwerb oder die Aktualisierung von Microsoft Entra PRT vorgesehen, und die Diagnoseinformationen, die im Feld "EnterprisePrt " angezeigt werden, sind für den Erwerb oder die Aktualisierung von Enterprise PRT vorgesehen.
  • Die Diagnoseinformationen werden nur angezeigt, wenn der Kauf- oder Aktualisierungsfehler nach der letzten erfolgreichen PRT-Updatezeit (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime) aufgetreten ist.
    Auf einem freigegebenen Gerät können diese Diagnoseinformationen aus dem Anmeldeversuch eines anderen Benutzers stammen.
  • AcquirePrtDiagnostics: Legen Sie den Zustand auf PRESENT fest, wenn die erworbenen PRT-Diagnoseinformationen in den Protokollen vorhanden sind.
    • Dieses Feld wird übersprungen, wenn keine Diagnoseinformationen verfügbar sind.
  • Vorheriger Prt-Versuch: Die Ortszeit in UTC, bei der der fehlgeschlagene PRT-Versuch aufgetreten ist.
  • Versuchsstatus: Der zurückgegebene Clientfehlercode (HRESULT).
  • Benutzeridentität: Der UPN des Benutzers, für den der PRT-Versuch aufgetreten ist.
  • Anmeldeinformationstyp: Die Anmeldeinformationen, die zum Abrufen oder Aktualisieren der PRT verwendet werden. Allgemeine Anmeldeinformationstypen sind Kennwort und Anmeldeinformationen der nächsten Generation (NGC) (für Windows Hello).
  • Korrelations-ID: Die Korrelations-ID, die vom Server für den fehlgeschlagenen PRT-Versuch gesendet wurde.
  • Endpunkt-URI: Der letzte Endpunkt, auf den vor dem Fehler zugegriffen wurde.
  • HTTP-Methode: Die HTTP-Methode, die für den Zugriff auf den Endpunkt verwendet wird.
  • HTTP-Fehler: WinHttp-Transportfehlercode. Erhalten Sie andere Netzwerkfehlercodes.
  • HTTP-Status: Der vom Endpunkt zurückgegebene HTTP-Status.
  • Serverfehlercode: Der Fehlercode vom Server.
  • Serverfehlerbeschreibung: Die Fehlermeldung vom Server.
  • RefreshPrtDiagnostics: Legen Sie den Status AUF PRESENT fest, wenn die erworbenen PRT-Diagnoseinformationen in den Protokollen vorhanden sind.
    • Dieses Feld wird übersprungen, wenn keine Diagnoseinformationen verfügbar sind.
    • Die Diagnoseinformationsfelder sind identisch mit AcquirePrtDiagnostics.

Hinweis

Die folgenden Cloud Kerberos-Diagnosefelder wurden in der ursprünglichen Version von Windows 11 (Version 21H2) hinzugefügt.

  • OnPremTgt: Legen Sie den Status auf "JA " fest, wenn ein Cloud Kerberos-Ticket für den Zugriff auf lokale Ressourcen auf dem Gerät für den angemeldeten Benutzer vorhanden ist.
  • CloudTgt: Legen Sie den Status auf JA fest, wenn ein Cloud Kerberos-Ticket für den Zugriff auf Cloudressourcen auf dem Gerät für den angemeldeten Benutzer vorhanden ist.
  • KerbTopLevelNames: Liste der Kerberos-Bereichsnamen der obersten Ebene für Cloud Kerberos.

Beispielausgabe für den SSO-Status

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Diagnosedaten

Diagnose vor der Einbindung

Dieser Diagnosebereich wird nur angezeigt, wenn das Gerät in eine Domäne eingebunden und seine Microsoft Entra-Hybrideinbindung nicht möglich ist.

Dieser Abschnitt führt verschiedene Tests aus, um Verknüpfungsfehler zu diagnostizieren. Die Informationen umfassen: Fehlerphase, Fehlercode, Serveranforderungs-ID, HTTP-Status der Serverantwort und Serverantwortfehlermeldung.

  • Benutzerkontext: Der Kontext, in dem die Diagnose ausgeführt wird. Mögliche Werte: SYSTEM, UN-ELEVATED User, ELEVATED User.

    Hinweis

    Da die tatsächliche Verknüpfung im SYSTEM-Kontext ausgeführt wird, ist die Ausführung der Diagnose im SYSTEM-Kontext dem tatsächlichen Verknüpfungsszenario am nächsten. Zum Ausführen der Diagnose im SYSTEM-Kontext muss der dsregcmd /status Befehl über eine Eingabeaufforderung mit erhöhten Rechten ausgeführt werden.

  • Clientzeit: Die Systemzeit in UTC.

  • AD-Konnektivitätstest: Dieser Test führt einen Verbindungstest mit dem Domänencontroller aus. Ein Fehler in diesem Test führt wahrscheinlich zu Verknüpfungsfehlern in der Vorprüfungsphase.

  • AD-Konfigurationstest: Dieser Test liest und überprüft, ob das SCP-Objekt (Service Connection Point) in der lokalen Active Directory-Gesamtstruktur ordnungsgemäß konfiguriert ist. Fehler in diesem Test würden wahrscheinlich zu Verknüpfungsfehlern in der Ermittlungsphase mit dem Fehlercode 0x801c001d führen.

  • DRS Discovery Test: Dieser Test ruft die DRS-Endpunkte vom Ermittlungsmetadatenendpunkt ab und führt eine Benutzerbereichsanforderung aus. Fehler in diesem Test würden wahrscheinlich zu Verknüpfungsfehlern in der Ermittlungsphase führen.

  • DRS-Konnektivitätstest: Dieser Test führt einen grundlegenden Verbindungstest mit dem DRS-Endpunkt aus.

  • Tokenerwerbstest: Dieser Test versucht, ein Microsoft Entra-Authentifizierungstoken abzurufen, wenn der Benutzermandant einem Verbund angehört. Fehler in diesem Test würden wahrscheinlich zu Verknüpfungsfehlern in der Authentifizierungsphase führen. Wenn die Authentifizierung fehlschlägt, wird die Synchronisierung als Ausweichlösung versucht, es sei denn, die Ausweichlösung ist mit den folgenden Registrierungsschlüsseln explizit deaktiviert:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
Value: FallbackToSyncJoin
Type:  REG_DWORD
Value: 0x0 -> Disabled
Value: 0x1 -> Enabled
Default (No Key): Enabled

  • Fallback zu Sync-Join: Der Zustand wird auf Aktiviert festgelegt, wenn der vorherige Registrierungsschlüssel zum Vermeiden von Fallbacks auf „Sync-Join“ mit Authentifizierungsfehlernnicht vorhanden ist. Diese Option ist unter Windows 10 1803 und höher verfügbar.

  • Vorherige Registrierung: Der Zeitpunkt, zu dem der vorherige Beitrittsversuch aufgetreten ist. Nur fehlgeschlagene Verknüpfungsversuche werden protokolliert.

  • Fehlerphase: Die Phase der Verknüpfung, in der sie abgebrochen wurde. Mögliche Werte sind vorab überprüfen, ermitteln, authentifizieren und beitreten.

  • Client ErrorCode: Der zurückgegebene Clientfehlercode (HRESULT).

  • Server ErrorCode: Der Serverfehlercode wird angezeigt, wenn eine Anforderung an den Server gesendet wurde und der Server mit einem Fehlercode geantwortet hat.

  • Servernachricht: Die Servernachricht, die zusammen mit dem Fehlercode zurückgegeben wurde.

  • Https-Status: Der vom Server zurückgegebene HTTP-Status.

  • Anforderungs-ID: Die clientanforderungs-ID, die an den Server gesendet wurde. Die Anforderungs-ID ist nützlich, um mit serverseitigen Protokollen zu korrelieren.

Beispielausgabe für Diagnose vor der Verknüpfung

Das folgende Beispiel zeigt einen Diagnosetest, der mit einem Ermittlungsfehler fehlschlägt.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

Das folgende Beispiel zeigt, dass die Diagnosetests erfolgreich sind, der Registrierungsversuch jedoch mit einem Verzeichnisfehler fehlgeschlagen ist, was bei einem Sync-Join erwartet wird. Nach Abschluss des Microsoft Entra Connect-Synchronisierungsauftrags kann das Gerät beitreten.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnose nach der Verknüpfung

In diesem Diagnoseabschnitt wird die Ausgabe der Prüfungen angezeigt, die auf einem Gerät durchgeführt wurden, das der Cloud beigetreten ist.

  • AadRecoveryEnabled: Wenn der Wert JA ist, sind die im Gerät gespeicherten Schlüssel nicht verwendbar, und das Gerät ist für die Wiederherstellung gekennzeichnet. Die nächste Anmeldung löst den Wiederherstellungsfluss aus und registriert das Gerät erneut.
  • KeySignTest: Wenn der Wert PASSED ist, sind die Geräteschlüssel in gutem Zustand. Wenn KeySignTest fehlschlägt, wird das Gerät in der Regel für die Wiederherstellung markiert. Die nächste Anmeldung löst den Wiederherstellungsfluss aus und registriert das Gerät erneut. Für hybrid in Microsoft Entra eingebundene Geräte erfolgt die Wiederherstellung im Hintergrund. Während die Geräte in Microsoft Entra eingebunden oder Microsoft Entra registriert sind, werden sie aufgefordert, die Benutzerauthentifizierung wiederherzustellen und das Gerät bei Bedarf erneut zu registrieren.

    Hinweis

    Für KeySignTest sind erhöhte Berechtigungen erforderlich.

Beispielausgabe für Diagnose nach der Einbindung

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Überprüfung der NGC-Voraussetzungen

In diesem Diagnoseabschnitt werden die Voraussetzungen für die Einrichtung von Windows Hello for Business (WHFB) überprüft.

Hinweis

Wenn Benutzende WHFB bereits erfolgreich konfiguriert haben, werden in dsregcmd /status unter Umständen keine Details zur Überprüfung der NGC-Voraussetzungen angezeigt.

  • IsDeviceJoined: Legen Sie den Status auf "JA " fest, wenn das Gerät mit der Microsoft Entra-ID verbunden ist.
  • IsUserAzureAD: Legen Sie den Status auf JA fest, wenn der angemeldete Benutzer in der Microsoft Entra-ID vorhanden ist.
  • PolicyEnabled: Legen Sie den Status auf JA fest, wenn die WHFB-Richtlinie auf dem Gerät aktiviert ist.
  • PostLogonEnabled: Legen Sie den Status auf "JA " fest, wenn die WHFB-Registrierung nativ von der Plattform ausgelöst wird. Wenn der Status auf "NEIN" festgelegt ist, gibt er an, dass die Windows Hello for Business-Registrierung durch einen benutzerdefinierten Mechanismus ausgelöst wird.
  • DeviceEligible: Legen Sie den Status auf JA fest, wenn das Gerät die Hardwareanforderung für die Registrierung bei WHFB erfüllt.
  • SessionIsNotRemote: Legen Sie den Status auf JA fest, wenn der aktuelle Benutzer direkt am Gerät angemeldet ist und nicht remote.
  • CertEnrollment: Diese Einstellung ist spezifisch für die Bereitstellung der WHFB-Zertifikatvertrauensstellung und gibt die autoritative Stelle für die Zertifikatregistrierung für WHFB an. Legen Sie den Status auf die Registrierungsstelle fest, wenn die Quelle der WHFB-Richtlinie Gruppenrichtlinie ist, oder legen Sie ihn auf die Verwaltung mobiler Geräte fest, wenn die Quelle MDM ist. Wenn keine Quelle angewendet wird, legen Sie den Zustand auf "none" fest.
  • AdfsRefreshToken: Diese Einstellung ist spezifisch für die Bereitstellung der WHFB-Zertifikatvertrauensstellung und nur vorhanden, wenn der CertEnrollment-Zustand auf enrollment authority festgelegt ist. Die Einstellung gibt an, ob das Gerät über ein Unternehmens-PRT für den Benutzer verfügt.
  • AdfsRaIsReady: Diese Einstellung ist spezifisch für die Bereitstellung der WHFB-Zertifikatvertrauensstellung und nur vorhanden, wenn der CertEnrollment-Zustand auf enrollment authority festgelegt ist. Legen Sie den Status auf JA fest, wenn AD FS in den Ermittlungsmetadaten angibt, dass es WHFB unterstützt und die Anmelde-Zertifikatvorlage verfügbar ist.
  • LogonCertTemplateReady: Diese Einstellung ist spezifisch für die Bereitstellung der WHFB-Zertifikatvertrauensstellung und nur vorhanden, wenn der CertEnrollment-Zustand auf enrollment authority festgelegt ist. Der Zustand wird auf YES festgelegt, wenn der Zustand der Anmeldezertifikatvorlage gültig ist und zur Problembehandlung der AD FS-Registrierungsstelle beiträgt.
  • PreReqResult: Gibt das Ergebnis der Auswertung aller WHFB-Voraussetzungen an. Legen Sie den Status auf "Will Provision " fest, wenn die WHFB-Registrierung als Nachanmeldungsaufgabe gestartet wird, wenn sich der Benutzer das nächste Mal anmeldet.

Hinweis

Die folgenden Cloud Kerberos-Diagnosefelder wurden im Windows 10 Mai 2021-Update (Version 21H1) hinzugefügt.

Vor Windows 11, Version 23H2, wurde die Einstellung "OnPremTGT" als "CloudTGT" bezeichnet.

  • OnPremTGT: Diese Einstellung ist spezifisch für die Cloud Kerberos-Vertrauensbereitstellung und nur vorhanden, wenn der CertEnrollment-Zustand keine ist. Legen Sie den Status auf "JA " fest, wenn das Gerät über ein Cloud Kerberos-Ticket für den Zugriff auf lokale Ressourcen verfügt. Vor Windows 11, Version 23H2, wurde diese Einstellung als CloudTGT bezeichnet.

Beispielausgabe für die Überprüfung der NGC-Voraussetzungen

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Nächste Schritte

Wechseln Sie zum Microsoft-Fehlersuchtool.