Compartir vía


Solución de problemas de dispositivos con el comando dsregcmd

En este artículo se explica cómo usar la salida del comando dsregcmd para comprender el estado de los dispositivos en Microsoft Entra ID. La utilidad dsregcmd /status debe ejecutarse como una cuenta de usuario de dominio.

Estado del dispositivo

En esta sección se enumeran los parámetros de estado de la combinación de dispositivos. En la siguiente tabla se enumeran los criterios necesarios para que el dispositivo esté en varios estados de unión:

AzureAdJoined EnterpriseJoined DomainJoined Estado del dispositivo
No NO Unido a Microsoft Entra
NO No Unido a dominio
No Unido a Microsoft Entra
NO Unido a DRS en el entorno local

Nota:

El estado Unido al área de trabajo (registrado en Microsoft Entra) se muestra en la sección "Estado del usuario".

  • AzureAdJoined: establézcalo en si el dispositivo está unido a Microsoft Entra ID. De lo contrario, establezca el estado en NO.
  • EnterpriseJoined: establézcalo en YES (Sí) si el dispositivo está unido a un servicio de replicación de datos (DRS) en el entorno local. Un dispositivo no puede tener tanto el estado EnterpriseJoined como AzureAdJoined.
  • DomainJoined: establézcalo en YES (Sí) si el dispositivo está unido a un dominio (Active Directory).
  • DomainName: establezca el estado en el nombre del dominio si el dispositivo está unido a un dominio.

Salida del estado del dispositivo de muestra

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Detalles del dispositivo

El estado solo se muestra cuando el dispositivo está unido a Microsoft Entra o Microsoft Entra híbrido (no Microsoft Entra registrado). En esta sección se enumeran los detalles de identificación de los dispositivos que están almacenados en Microsoft Entra ID.

  • DeviceId: el identificador único del dispositivo en el inquilino de Microsoft Entra.
  • Thumbprint: la huella digital del certificado de dispositivo.
  • DeviceCertificateValidity: el estado de validez del certificado de dispositivo.
  • KeyContainerId: ContainerId de la clave privada del dispositivo asociada con el certificado de dispositivo.
  • KeyProvider: Proveedor de claves (hardware/software) usado para almacenar la clave privada del dispositivo.
  • TpmProtected:el estado se establece en YES (Sí) si la clave privada del dispositivo está almacenada en un Módulo de plataforma segura (TPM) de hardware.
  • DeviceAuthStatus: realiza una comprobación para determinar el mantenimiento del dispositivo en Microsoft Entra ID. Los estados de mantenimiento incluidos son:
    • SUCCESS si el dispositivo está presente y habilitado en Microsoft Entra ID.
    • FAILED. El dispositivo se ha deshabilitado o eliminado si el dispositivo se ha deshabilitado o eliminado. Para obtener más información sobre este problema, consulte Preguntas frecuentes sobre la administración de dispositivos de Microsoft Entra.
    • FAILED. ERROR si la prueba no se pudo ejecutar. Esta prueba requiere conectividad de red a Microsoft Entra ID bajo el contexto del sistema.

    Nota:

    El campo DeviceAuthStatus se agregó en la actualización de mayo de 2021 de Windows 10 (versión 21H1).

  • Virtual Desktop: hay tres casos en los que aparece esto.
    • NO ESTABLECIDO: los metadatos del dispositivo VDI no están presentes en el dispositivo.
    • SÍ: los metadatos del dispositivo VDI están presentes y dsregcmd genera metadatos asociados, entre los que se incluyen:
      • Proveedor: nombre del proveedor de VDI.
      • Tipo: VDI persistente o VDI no persistente.
      • Modo de usuario: usuario único o multiusuario.
      • Extensiones: número de pares clave-valor en metadatos específicos del proveedor opcional, seguido de pares clave-valor.
    • NO VÁLIDO: los metadatos del dispositivo VDI están presentes pero no están configurados correctamente. En este caso, dsregcmd genera los metadatos incorrectos.

Salida de los detalles del dispositivo de muestra

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
                Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Detalles de inquilino

Los detalles del inquilino solo se muestran cuando el dispositivo está unido a Microsoft Entra o Microsoft Entra híbrido, no a Microsoft Entra registrado. En esta sección se enumeran los detalles comunes del inquilino que se muestran cuando un dispositivo está unido a Microsoft Entra ID.

Nota:

Si los campos de direcciones URL de la administración de dispositivos móviles (MDM) de esta sección están vacíos, indica que la MDM no se configuró o que el usuario actual no está en el ámbito de la inscripción de MDM. Compruebe la configuración de movilidad en Microsoft Entra ID para revisar la configuración de MDM.

Aunque vea las direcciones URL de MDM, esto no significa que el dispositivo esté administrado por MDM. La información se muestra si el inquilino tiene la configuración de MDM para la inscripción automática incluso si el dispositivo no se administra.

Salida de los detalles del inquilino de muestra

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVx{lots of characters}xxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Estado de usuario

En esta sección se muestran los estados de varios atributos para los usuarios que han iniciado sesión actualmente en el dispositivo.

Nota:

El comando debe ejecutarse en un contexto de usuario para recuperar un estado válido.

  • NgcSet: establezca el estado en YES (Sí) si se establece una clave de Windows Hello para el usuario que ha iniciado sesión.
  • NgcKeyId: el identificador de la clave de Windows Hello si se ha establecido una para el usuario que ha iniciado sesión.
  • CanReset: indica si el usuario puede restablecer la clave de Windows Hello.
  • Valores posibles: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive o Unknown, si se ha producido un error.
  • WorkplaceJoined: establezca el estado en si se han agregado cuentas registradas de Microsoft Entra al dispositivo en el contexto de NTUSER actual.
  • WamDefaultSet: establezca el estado en YES (Sí) si se creó una cuenta WebAccount predeterminada del Administrador de cuentas web (WAM) para el usuario que ha iniciado sesión. Este campo podría mostrar un error si se ejecuta dsregcmd /status desde un símbolo del sistema con privilegios elevados.
  • WamDefaultAuthority: establezca el estado en organizaciones para Microsoft Entra ID.
  • WamDefaultId: use https://login.microsoft.com siempre para Microsoft Entra ID.
  • WamDefaultGUID: GUID del proveedor de WAM (cuenta de Microsoft Entra ID o Microsoft) para la cuenta web predeterminada de WAM.

Salida del estado del usuario de muestra

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Estado de SSO

Puede pasar por alto esta sección para los dispositivos registrados de Microsoft Entra.

Nota:

El comando debe ejecutarse en un contexto de usuario para recuperar el estado válido de dicho usuario.

  • AzureAdPrt: establezca el estado en YES (Sí) si hay un token de actualización principal (PRT) en el dispositivo para el usuario que ha iniciado sesión.
  • AzureAdPrtUpdateTime: establezca el estado en la hora, en hora universal coordinada (UTC), en que el PRT se actualizó por última vez.
  • AzureAdPrtExpiryTime: establezca el estado en la hora en formato UTC en que el PRT va a expirar si no se renueva.
  • AzureAdPrtAuthority: la dirección URL de la autoridad de Microsoft Entra
  • EnterprisePrt: establezca el estado en YES (Sí) si el dispositivo tiene un PRT de Servicios de federación de Active Directory (AD FS) en el entorno local. En el caso de los dispositivos unidos a Microsoft Entra híbrido, el dispositivo podría tener un PRT tanto de Microsoft Entra ID como de Active Directory local simultáneamente. Los dispositivos unidos a un entorno local solo tendrán un PRT empresarial.
  • EnterprisePrtUpdateTime: establezca el estado en la hora, en formato UTC, cuando se actualizó por última vez el PRT empresarial.
  • EnterprisePrtExpiryTime: establezca el estado en la hora en formato UTC en que el PRT va a expirar si no se renueva.
  • EnterprisePrtAuthority: la dirección URL de la autoridad AD FS

Nota:

Los siguientes campos de diagnóstico de PRT se agregaron en la actualización de mayo de 2021 de Windows 10 (versión 21H1).

  • La información de diagnóstico que se muestra en el campo AzureAdP es para la adquisición o actualización de PRT de Microsoft Entra, y la información de diagnóstico que se muestra en el campo EnterprisePrt es para la adquisición o actualización de PRT Enterprise.
  • La información de diagnóstico solo se muestra si el error de adquisición o actualización se produjo después de la última hora de actualización del PRT correcta (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    En un dispositivo compartido, esta información de diagnóstico podría ser del intento de inicio de sesión de un usuario diferente.
  • AcquirePrtDiagnostics: establezca el estado en PRESENT (Presente) si la información de diagnóstico de PRT adquirida está presente en los registros.
    • Este campo se omite si no hay información de diagnóstico disponible.
  • Intento de PRT anterior: hora local, en UTC, a la que se produjo el intento de PRT con errores.
  • Estado del intento: el código de error de cliente que se devuelve (HRESULT).
  • Identidad del usuario: el nombre principal del usuario para el que se produjo el intento de PRT.
  • Tipo de credencial: la credencial que se usa para adquirir o actualizar el PRT. Los tipos de credenciales comunes son la contraseña y las credenciales de nueva generación (NGC) (para Windows Hello).
  • Id. de correlación: Id. de correlación enviado por el servidor para el intento de PRT con errores.
  • URI de punto de conexión: el último punto de conexión al que se tiene acceso antes del error.
  • Método HTTP: Método HTTP usado para acceder al punto de conexión.
  • Error HTTP: código de error de transporte de WinHttp. Obtener otros códigos de error de red.
  • Estado HTTP: Estado HTTP devuelto por el punto de conexión.
  • Código de error del servidor: el código de error del servidor.
  • Descripción del error del servidor: el mensaje de error del servidor.
  • RefreshPrtDiagnostics:establezca el estado en PRESENT (Presente) si la información de diagnóstico de PRT adquirida está presente en los registros.
    • Este campo se omite si no hay información de diagnóstico disponible.
    • Los campos de información de diagnóstico son los mismos que AcquirePrtDiagnostics.

Nota:

Los siguientes campos de diagnóstico de Kerberos en la nube se agregaron en la versión original de Windows 11 (versión 21H2).

  • OnPremTgt: establezca el estado en si hay un vale de Kerberos en la nube para acceder a los recursos locales en el dispositivo para el usuario que ha iniciado sesión.
  • CloudTgt: establezca el estado en si hay un vale de Kerberos en la nube para acceder a los recursos en la nube en el dispositivo para el usuario que ha iniciado sesión.
  • KerbTopLevelNames: lista de nombres de dominio Kerberos de nivel superior para Kerberos en la nube.

Salida del estado SSO de muestra

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Datos de diagnóstico

Diagnóstico previo a la unión

Esta sección de diagnóstico solo se muestra si el dispositivo está unido a un dominio y no puede realizar una unión a Microsoft Entra híbrido.

En esta sección se realizan una serie de pruebas para ayudar a diagnosticar errores de la unión. Esta información incluye la fase de error, el código de error, el identificador de la solicitud de servidor, el estado HTTP de respuesta del servidor y el mensaje de error de la respuesta del servidor.

  • User Context: contexto en el que se ejecutan los diagnósticos. Valores posibles: SYSTEM, usuario UN-ELEVATED (sin privilegios), usuario ELEVATED (con privilegios).

    Nota:

    Ya que la unión real se realiza en el contexto de SYSTEM, la ejecución del diagnóstico en el contexto de SYSTEM está más cercana al escenario de unión real. Para ejecutar diagnósticos en el contexto de SYSTEM, el comando dsregcmd /status se debe ejecutar desde un símbolo del sistema con privilegios elevados.

  • Client Time: hora del sistema, en UTC.

  • AD Connectivity Test: se realiza una prueba de conectividad con el controlador de dominio. Si se produce un error en esta prueba, es probable que se produzcan errores de unión en la fase previa a la comprobación.

  • Prueba de configuración de AD: esta prueba lee y comprueba si el objeto Punto de conexión de servicio (SCP) está configurado correctamente en el bosque Active Directory local. Los errores de esta prueba podrían producir errores de unión en la fase de detección con el código 0x801c001d.

  • Prueba de detección de DRS: esta prueba obtiene los puntos de conexión de DRS del punto de conexión de los metadatos de detección y realiza una solicitud del dominio Kerberos del usuario. Los errores de esta prueba podrían producir errores de unión en la fase de detección.

  • Prueba de conectividad de DRS: se realiza una prueba de conectividad básica del punto de conexión DRS.

  • Token acquisition Test: esta prueba intenta obtener un token de autenticación de Microsoft Entra si el inquilino del usuario está federado. Los errores de esta prueba podrían producir errores de unión en la fase de autenticación. Si la autenticación no puede realizarse, se intentará la unión de sincronización como reserva, a menos que la reserva se deshabilite explícitamente con la siguiente configuración de clave del Registro:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
    Value: FallbackToSyncJoin
    Type:  REG_DWORD
    Value: 0x0 -> Disabled
    Value: 0x1 -> Enabled
    Default (No Key): Enabled
    
  • Fallback to Sync-Join: establezca el estado en Habilitado si la anterior clave del Registro, a fin de evitar que la reserva realice la unión de sincronización con errores de autenticación, no está presente. Esta opción está disponible en Windows 10 1803 y versiones posteriores.

  • Registro anterior: la hora a la que se produjo el intento de unión anterior. Solo se registran los intentos de unión erróneos.

  • Fase de error: fase de la unión en la que se anuló. Los valores posibles son pre-check (comprobación previa), discover (detección), auth (autenticación) y join (unión).

  • Client ErrorCode: Se devolvió el código de error del cliente (HRESULT).

  • Server ErrorCode: el código de error del servidor que se muestra si se envió una solicitud al servidor y este respondió con un código de error.

  • Server Message: Mensaje del servidor devuelto junto con el código de error.

  • HTTPS Status: Estado HTTP devuelto por el servidor.

  • Request ID: Identificador de solicitud del cliente enviado al servidor. El identificador de solicitud es útil para correlacionar con los registros del lado servidor.

Muestra de la salida de diagnóstico previo a la unión

En el siguiente ejemplo se muestra un error de detección en una prueba de diagnóstico.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

En el ejemplo siguiente se muestra que las pruebas de diagnóstico se están superando, pero el intento de registro produjo un error de directorio, lo que se espera para la unión de sincronización. Después de que finalice el trabajo de sincronización de Microsoft Entra Connect, el dispositivo puede combinarse.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnóstico posterior a la unión

En esta sección de diagnóstico se muestra el resultado de las comprobaciones de validez realizadas en un dispositivo unido a la nube.

  • AadRecoveryEnabled: si el valor es YES (Sí), las claves almacenadas en el dispositivo no se pueden usar y el dispositivo está marcado para recuperación. El siguiente inicio de sesión desencadenará el flujo de recuperación y se volverá a registrar el dispositivo.
  • KeySignTest: si el valor es PASSED (Superado), las claves del dispositivo están en buen estado. Si se produce un error en KeySignTest, normalmente el dispositivo se marca para la recuperación. El siguiente inicio de sesión desencadenará el flujo de recuperación y se volverá a registrar el dispositivo. En el caso de los dispositivos unidos a Microsoft Entra híbrido, la recuperación es silenciosa. Aunque los dispositivos se unan a Microsoft Entra o Microsoft Entra registrado, solicitarán la autenticación del usuario para recuperar y volver a registrar el dispositivo, si es necesario.

    Nota:

    KeySignTest requiere privilegios elevados.

Muestra de la salida de diagnóstico posterior a la unión

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Comprobación de los requisitos previos de NGC

Esta sección de diagnóstico realiza la comprobación de requisitos previos para configurar Windows Hello para empresas (WHFB).

Nota:

Es posible que no vea los detalles de comprobación de los requisitos previos de NGC en dsregcmd /status si el usuario ya ha configurado WHFB correctamente.

  • IsDeviceJoined: establézcalo en si el dispositivo está unido a Microsoft Entra ID.
  • IsUserAzureAD: establezca el estado en YES (Sí) si el usuario que ha iniciado sesión está presente en Microsoft Entra ID.
  • PolicyEnabled: establezca el estado en YES (Sí) si la directiva de WHFB está habilitada en el dispositivo.
  • PostLogonEnabled: establezca el estado en YES (Sí) si la plataforma desencadena la inscripción de WHFB de forma nativa. Si el estado se establece en NO, indica que la inscripción de Windows Hello para empresas se desencadena mediante un mecanismo personalizado.
  • DeviceEligible: establezca el estado en YES (Sí) si el dispositivo cumple los requisitos de hardware para inscribirse en WHFB.
  • SessionIsNotRemote: establezca el estado en YES si el usuario actual ha iniciado sesión directamente en el dispositivo y no de forma remota.
  • CertEnrollment: esta configuración es específica de la implementación de certificados de confianza de WHFB que indica la entidad de inscripción de certificados de WHFB. Establezca el estado en enrollment authority (entidad de inscripción) si el origen de la directiva de WHFB es una directiva de grupo o en mobile device management (administración de dispositivos móviles) si el origen es MDM. Si ninguno de los orígenes es aplicable, establezca el estado en none (ninguno).
  • AdfsRefreshToken: esta configuración es específica de la implementación de confianza de certificados WHFB y solo está presente si el estado certEnrollment es enrollment authority. La configuración indica si el dispositivo tiene un PRT empresarial para el usuario.
  • AdfsRaIsReady: esta configuración es específica de la implementación de confianza de certificados WHFB y solo está presente si el estado certEnrollment es enrollment authority. Establezca el estado en YES (Sí) si AD FS indica en los metadatos de detección que admite WHFB y si la plantilla de certificado de inicio de sesión está disponible.
  • LogonCertTemplateReady: esta configuración es específica de la implementación de confianza de certificados WHFB y solo está presente si el estado certEnrollment es enrollment authority. Establezca el estado enYES (Sí) si el estado de la plantilla de certificado de inicio de sesión es válido y ayuda a solucionar problemas de la autoridad de registro (RA) de AD FS.
  • PreReqResult: proporciona el resultado de toda la evaluación de requisitos previos de WHFB. Establezca el estado en Will Provision (Aprovisionará) si la inscripción de WHFB se iniciará como una tarea posterior al inicio de sesión cuando el usuario inicie sesión la próxima vez.

Nota

Los siguientes campos de diagnóstico de Kerberos en la nube se agregaron en la actualización de mayo de 2021 de Windows 10 (versión 21H1).

Antes de Windows 11 versión 23H2, el valor OnPremTGT se denominaba CloudTGT.

  • OnPremTGT: esta configuración es específica de la implementación de confianza de Kerberos en la nube y solo está presente si el estado CertEnrollment no es ninguno. Establezca el estado en si el dispositivo tiene un vale de Kerberos en la nube para acceder a los recursos locales. Antes de Windows 11 versión 23H2, esta configuración se denominaba CloudTGT.

Salida de comprobación de requisitos previos de NGC de muestra

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Pasos siguientes

Vaya a la Herramienta de búsqueda de errores de Microsoft.