Solucionar problemas de dispositivos híbridos unidos a Microsoft Entra
En este artículo se proporciona una guía de solución de problemas que le ayudarán a resolver posibles problemas con dispositivos que ejecutan Windows 10 o versiones posteriores o Windows Server 2016 o versiones posteriores.
La unión híbrida de Microsoft Entra admite la actualización de noviembre de 2015 de Windows 10 y versiones posteriores.
Para solucionar problemas de otros clientes Windows, vea Solución de problemas de dispositivos híbridos de nivel inferior unidos a Microsoft Entra.
En este artículo se da por supuesto que tiene dispositivos híbridos unidos a Microsoft Entra para admitir los siguientes escenarios:
- Acceso condicional basado en dispositivos
- Enterprise State Roaming
- Windows Hello para empresas
Nota:
Para solucionar los problemas comunes de registro de dispositivos, use la herramienta de solución de problemas de registro de dispositivos.
Solución de errores de unión
Paso 1: Recuperación del estado de unión
- Abra una ventana de símbolo del sistema como administrador.
- Escriba
dsregcmd /status.
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined: YES
EnterpriseJoined: NO
DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
Thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
KeyProvider: Microsoft Platform Crypto Provider
TpmProtected: YES
KeySignTest: : MUST Run elevated to test.
Idp: login.windows.net
TenantId: aaaabbbb-0000-cccc-1111-dddd2222eeee
TenantName: Contoso
AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl: eyJVc{lots of characters}JdfQ==
JoinSrvVersion: 1.0
JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion: 1.0
KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
DomainJoined: YES
DomainName: CONTOSO
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet: YES
NgcKeyId: {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
WorkplaceJoined: NO
WamDefaultSet: YES
WamDefaultAuthority: organizations
WamDefaultId: https://login.microsoft.com
WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
AzureAdPrt: YES
Paso 2: Evaluación del estado de unión
Revise los campos de la tabla siguiente y asegúrese de que tengan los valores esperados:
| Campo | Valor esperado | Descripción |
|---|---|---|
| DomainJoined | SÍ | Este campo indica si el dispositivo está unido a una implementación local de Active Directory. Si el valor es NO, el dispositivo no puede hacer la unión a Microsoft Entra híbrido. |
| WorkplaceJoined | NO | Este campo indica si el dispositivo está registrado con Microsoft Entra ID, pero como dispositivo personal (marcado como Unido al área de trabajo). Este valor debe ser NO para un equipo unido a un dominio que esté también unido a Microsoft Entra híbrido. Si el valor es SÍ, se agrega una cuenta profesional o educativa antes de la finalización de la unión a Microsoft Entra híbrido. En este caso, la cuenta se omite cuando se usa Windows 10, versión 1607 o posterior. |
| AzureAdJoined | SÍ | Este campo indica si el dispositivo está unido. El valor es YES si el dispositivo es un dispositivo unido a Microsoft Entra o un dispositivo unido a Microsoft Entra híbrido. Si el valor es NO, todavía no ha finalizado la unión a Microsoft Entra ID. |
Continúe con los pasos siguientes para solucionar problemas adicionales.
Paso 3: Búsqueda de la fase en la que se ha producido el error de unión y el código de error
Para Windows 10, versión 1803 o posterior
Busque la subsección "Previous Registration" (Registro previo) en la sección "Diagnostic Data" (Datos de diagnóstico) de la salida de estado de la unión. Esta sección solo se muestra si el dispositivo está unido a un dominio y no puede realizar la unión a Microsoft Entra híbrido.
El campo "Error Phase" (Fase del error) denota la fase del error de unión y "Client ErrorCode" (Código de error del cliente), el código de error de la operación de unión.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Para versiones anteriores de Windows 10
Use registros de Visor de eventos para buscar la fase y el código de error para los errores de unión.
- En el Visor de eventos, abra los registros de eventos de User Device Registration (Registro de dispositivos del usuario). Se almacenan en Applications and Services Log>Microsoft>Windows>User Device Registration (Registros de aplicaciones y servicios > Microsoft > Windows > Registro de dispositivos del usuario)
- Busque eventos con los siguientes identificadores de eventos: 304, 305 y 307.
Paso 4: Comprobación de posibles causas y soluciones
Fase de comprobación previa
Posibles motivos del error:
- El dispositivo no tiene línea de visión al controlador de dominio.
- El dispositivo debe encontrarse en la red interna de la organización o en una red privada virtual con línea de visión de red a una implementación local del controlador de dominio de Active Directory.
Fase de detección
Posibles motivos del error:
- El objeto de punto de conexión de servicio está mal configurado o no se puede leer desde el controlador de dominio.
- Se necesita un objeto de punto de conexión de servicio válido en el bosque de AD al que pertenece el dispositivo, que apunte a un nombre de dominio comprobado en Microsoft Entra ID.
- Para obtener más información, vea la sección "Configuración de un punto de conexión de servicio" del Tutorial: Configurar la unión a Microsoft Entra híbrido para dominios federados.
- Error al conectar y capturar los metadatos de detección del punto de conexión de detección.
- El dispositivo debe poder acceder a
https://enterpriseregistration.windows.net, en el contexto del sistema, para detectar los puntos de conexión de autorización y registro. - Si el entorno local requiere un proxy de salida, el administrador de TI debe asegurarse de que la cuenta del equipo del dispositivo pueda detectar el proxy de salida y se autentique en él en modo silencioso.
- El dispositivo debe poder acceder a
- Error al conectarse al punto de conexión del dominio kerberos de usuario y realizar la detección de dominios kerberos (solo Windows 10, versión 1809 y posteriores).
- El dispositivo debe poder acceder a
https://login.microsoftonline.com, en el contexto del sistema, para realizar la detección de dominios para el dominio comprobado y determinar el tipo de dominio (administrado o federado). - Si en el entorno local se necesita un proxy de salida, el administrador de TI debe asegurarse de que el contexto del sistema del dispositivo pueda detectar el proxy de salida y autenticarse en él en modo silencioso.
- El dispositivo debe poder acceder a
Códigos de error comunes:
| Código de error | Motivo | Solución |
|---|---|---|
| DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | No se puede leer el objeto del punto de conexión de servicio (SCP) y obtener la información del inquilino de Microsoft Entra. | Consulte la sección Configuración de un punto de conexión de servicio. |
| DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) | Error de detección genérico. No se han podido obtener los metadatos de detección del servicio de replicación de datos (DRS). | Para investigar más, busque el suberror en las secciones siguientes. |
| DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) | Se ha agotado el tiempo de espera de la operación al realizar la detección. | Asegúrese de que https://enterpriseregistration.windows.net sea accesible en el contexto del sistema. Para obtener más información, vea la sección Requisitos de conectividad de red. |
| DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) | Error de detección de dominio kerberos genérico. No se pudo determinar el tipo de dominio (administrado o federado) desde STS. | Para investigar más, busque el suberror en las secciones siguientes. |
Códigos de suberror comunes:
Para buscar el código de suberror del código de error de detección, use uno de los métodos siguientes.
Windows 10, versión 1803 o posterior
Busque "DRS Discovery Test" (Prueba de detección de DRS) en el apartado "Diagnostic Data" (Datos de diagnóstico) de la salida de estado de la unión. Esta sección solo se muestra si el dispositivo está unido a un dominio y no puede realizar la unión a Microsoft Entra híbrido.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : UN-ELEVATED User
Client Time : 2019-06-05 08:25:29.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
+----------------------------------------------------------------------+
Versiones anteriores de Windows 10
Use los registros del Visor de eventos para buscar la fase y el código de error para los errores de unión.
- En el Visor de eventos, abra los registros de eventos de User Device Registration (Registro de dispositivos del usuario). Se almacenan en Applications and Services Log>Microsoft>Windows>User Device Registration (Registros de aplicaciones y servicios > Microsoft > Windows > Registro de dispositivos del usuario)
- Busque el identificador de evento 201.
Errores de red:
| Código de error | Motivo | Solución |
|---|---|---|
| WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) | No se ha podido establecer la conexión con el servidor. | Garantice la conectividad de red con los recursos de Microsoft necesarios. Para más información, consulte la sección sobre los Requisitos de conectividad de red. |
| WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Tiempo de expiración de red general. | Garantice la conectividad de red con los recursos de Microsoft necesarios. Para más información, consulte la sección sobre los Requisitos de conectividad de red. |
| WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) | La pila de red no pudo descodificar la respuesta del servidor. | Asegúrese de que el proxy no interfiera ni modifique la respuesta del servidor. |
Errores HTTP:
| Código de error | Motivo | Solución |
|---|---|---|
| DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) | El objeto de punto de conexión de servicio está configurado con el identificador de inquilino incorrecto, o bien no se ha encontrado ninguna suscripción activa en el inquilino. | Asegúrese de que el objeto del punto de conexión de servicio esté configurado con el id. de inquilino de Microsoft Entra y las suscripciones activas correctas, o bien, que el servicio está presente en el inquilino. |
| DSREG_SERVER_BUSY (0x801c0025/-2145648603) | HTTP 503 desde el servidor DRS. | El servidor no está disponible actualmente. Los intentos futuros de unión probablemente se realizarán correctamente una vez que el servidor vuelva a estar en línea. |
Otros errores:
| Código de error | Motivo | Solución |
|---|---|---|
| E_INVALIDDATA (0x8007000d/-2147024883) | No se ha podido analizar el código JSON de respuesta del servidor, probablemente porque el proxy devuelve un error HTTP 200 con una página de autorización HTML. | Si en el entorno local se necesita un proxy de salida, el administrador de TI debe asegurarse de que el contexto del sistema del dispositivo pueda detectar el proxy de salida y autenticarse en él en modo silencioso. |
Fase de autenticación
Este contenido solo se aplica a las cuentas de dominio federadas.
Motivos del error:
- No se puede obtener un token de acceso en modo silencioso para el recurso de DRS.
- Los dispositivos Windows 10 y Windows 11 adquieren el token de autenticación del Servicio de federación mediante la autenticación integrada de Windows en un punto de conexión activo de WS-Trust. Para obtener más información, vea Configuración del servicio de federación.
Códigos de error comunes:
Use los registros de Visor de eventos para buscar el código de error, el código de suberror, el código de error del servidor y el mensaje de error del servidor.
- En el Visor de eventos, abra los registros de eventos de User Device Registration (Registro de dispositivos del usuario). Se almacenan en Applications and Services Log>Microsoft>Windows>User Device Registration (Registros de aplicaciones y servicios > Microsoft > Windows > Registro de dispositivos del usuario)
- Busque el identificador de evento 305.
Errores de configuración:
| Código de error | Motivo | Solución |
|---|---|---|
| ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) | El protocolo de autenticación de la Biblioteca de Autenticación de Azure AD (ADAL) no es WS-Trust. | El proveedor de identidades local debe admitir WS-Trust. |
| ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) | El servicio de federación local no ha devuelto una respuesta XML. | Asegúrese de que el punto de conexión MetadataExchange(MEX) devuelve XML válido. Asegúrese de que el proxy no interfiera ni devuelva respuestas que no sean XML. |
| ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) | No se ha podido detectar el punto de conexión para la autenticación de nombre de usuario y contraseña. | Compruebe la configuración del proveedor de identidades local. Asegúrese de que los puntos de conexión de WS-Trust estén habilitados y de que la respuesta MEX contiene estos puntos de conexión correctos. |
Errores de red:
| Código de error | Motivo | Solución |
|---|---|---|
| ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) | Tiempo de expiración de red general. | Asegúrese de que https://login.microsoftonline.com sea accesible en el contexto del sistema. Asegúrese de que el proveedor de identidades local sea accesible en el contexto del sistema. Para más información, consulte la sección sobre los Requisitos de conectividad de red. |
| ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) | Se ha anulado la conexión con el punto de conexión de autorización. | Vuelva a intentar la unión después de un tiempo o intente unirse desde otra ubicación de red estable. |
| ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) | No se ha podido validar el certificado de Seguridad de la capa de transporte (TLS) (anteriormente denominado certificado de Capa de sockets seguros [SSL]) enviado por el servidor. | Compruebe el sesgo de tiempo del cliente. Vuelva a intentar la unión después de un tiempo o intente unirse desde otra ubicación de red estable. |
| ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) | Error al intentar conectarse a https://login.microsoftonline.com. |
Compruebe la conexión de red a https://login.microsoftonline.com. |
Otros errores:
| Código de error | Motivo | Solución |
|---|---|---|
| ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) | Microsoft Entra ID no ha aceptado el token SAML del proveedor de identidades local. | Compruebe la configuración del servidor de federación. Busque el código de error del servidor en los registros de autenticación. |
| ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) | La respuesta de WS-Trust del servidor ha notificado una excepción de error y no se ha podido obtener la aserción. | Compruebe la configuración del servidor de federación. Busque el código de error del servidor en los registros de autenticación. |
| ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) | Se recibió un error al intentar obtener el token de acceso desde el punto de conexión del token. | Busque el error subyacente en el registro de ADAL. |
| ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) | Error general de ADAL. | Busque el código de suberror o de error del servidor en los registros de autenticación. |
Fase de unión
Motivos del error:
Busque el tipo de registro y el código de error en las tablas siguientes, en función de la versión de Windows 10 que use.
Windows 10, versión 1803 o posterior
Busque la subsección "Previous Registration" (Registro previo) en la sección "Diagnostic Data" (Datos de diagnóstico) de la salida de estado de la unión. Esta sección solo se muestra si el dispositivo está unido a un dominio y no puede realizar la unión a Microsoft Entra híbrido.
El campo "Tipo de registro" denota el tipo de combinación.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) is not found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Versiones anteriores de Windows 10
Use registros de Visor de eventos para buscar la fase y el código de error para los errores de unión.
- En el Visor de eventos, abra los registros de eventos de User Device Registration (Registro de dispositivos del usuario). Se almacenan en Applications and Services Log>Microsoft>Windows>User Device Registration (Registros de aplicaciones y servicios > Microsoft > Windows > Registro de dispositivos del usuario)
- Busque el identificador de evento 204.
Errores HTTP devueltos por el servidor DRS:
| Código de error | Motivo | Solución |
|---|---|---|
| DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) | Se ha recibido una respuesta de error de DRS con ErrorCode: "DirectoryError". | Consulte el código de error del servidor para ver posibles causas y soluciones. |
| DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) | Se ha recibido una respuesta de error de DRS con ErrorCode: "AuthenticationError" y ErrorSubCode no es "DeviceNotFound". | Consulte el código de error del servidor para ver posibles causas y soluciones. |
| DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) | Se ha recibido una respuesta de error de DRS con ErrorCode: "DirectoryError". | Consulte el código de error del servidor para ver posibles causas y soluciones. |
Errores de TPM:
| Código de error | Motivo | Solución |
|---|---|---|
| NTE_BAD_KEYSET (0x80090016/-2146893802) | Se ha producido un error en la operación Módulo de plataforma segura (TPM) o no es válida. | Este error indica que el conjunto de claves no existe. Este error se produce cuando el TPM se borra en los sistemas o cuando hay una imagen sysprep incorrecta. Evite borrar el TPM en la configuración de BIOS o Windows. Si se borra el TPM, es posible que los usuarios deban recuperarse quitando y leyendo cuentas para corregir el problema, especialmente cuando tienen varias cuentas WAM. Asegúrese de que la máquina desde la que se creó la imagen sysprep no esté unida a Microsoft Entra, unida a Microsoft Entra híbrido o registrada en Microsoft Entra. |
| TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | Error de TPM genérico. | Deshabilite TPM en los dispositivos con este error. En la versión 1809 y posteriores de Windows 10 se detectan automáticamente los errores de TPM y completan la unión a Microsoft Entra híbrido sin usar TPM. |
| TPM_E_NOTFIPS (0x80280036/-2144862154) | Actualmente no se admite TPM en modo FIPS. | Deshabilite TPM en los dispositivos con este error. En la versión 1809 de Windows 10 se detectan automáticamente los errores de TPM y se completa la unión a Microsoft Entra híbrido sin usar TPM. |
| NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | TPM está bloqueado. | Se trata de un error transitorio. Espere el tiempo de recuperación. El intento de unión debe realizarse correctamente después de un tiempo. Para obtener más información, vea Aspectos básicos de TPM. |
Errores de red:
| Código de error | Motivo | Solución |
|---|---|---|
| WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Tiempo de espera de red general para intentar registrar el dispositivo en DRS. | Compruebe la conectividad de la red a https://enterpriseregistration.windows.net. |
| WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) | no se pudo resolver el nombre o la dirección del servidor. | Compruebe la conectividad de la red a https://enterpriseregistration.windows.net. |
| WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) | La conexión con el servidor terminó de forma anómala. | Vuelva a intentar la unión después de un tiempo o intente unirse desde otra ubicación de red estable. |
Otros errores:
| Código de error | Motivo | Solución |
|---|---|---|
| DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | El id. de evento 220 está presente en los registros de eventos de registro de dispositivos de usuario. Windows no puede acceder al objeto de equipo en Active Directory. Es posible que se incluya un código de error de Windows en el evento. Los códigos de error ERROR_NO_SUCH_LOGON_SESSION (1312) y ERROR_NO_SUCH_USER (1317) están relacionados con problemas de replicación en la instancia local de Active Directory. | Solucione los problemas de replicación en Active Directory. Es posible que estos problemas de replicación sean transitorios y desaparezcan después de un tiempo. |
Errores del servidor de unión federado:
| Código de error del servidor | Mensaje de error del servidor | Razones posibles | Solución |
|---|---|---|---|
| DirectoryError | La solicitud está limitada temporalmente. Vuelva a intentarlo después de 300 segundos. | Se trata de un error esperado, posiblemente porque se han realizado varias solicitudes de registro de forma rápida. | Vuelva a intentar la unión tras el tiempo de recuperación |
Errores del servidor de unión sincronizado:
| Código de error del servidor | Mensaje de error del servidor | Razones posibles | Solución |
|---|---|---|---|
| DirectoryError | AADSTS90002: no se ha encontrado del inquilino UUID. Es posible que se produzca este error si no hay suscripciones activas para el inquilino. Compruébelo con el administrador de la suscripción. |
El identificador de inquilino del objeto de punto de conexión de servicio es incorrecto. | Asegúrese de que el objeto del punto de conexión de servicio esté configurado con el id. de inquilino de Microsoft Entra y las suscripciones activas correctas, o bien, que el servicio está presente en el inquilino. |
| DirectoryError | No se encuentra el objeto de dispositivo por el identificador especificado. | Se trata de un error esperado para sync-join. El objeto de dispositivo no se ha sincronizado de AD a Microsoft Entra ID | Espere a que finalice la sincronización de Microsoft Entra Connect y el siguiente intento de unión después de la finalización de la sincronización resolverá el problema. |
| AuthenticationError | Comprobación del identificador de seguridad del equipo de destino | El certificado del dispositivo Microsoft Entra no coincide con el certificado usado para iniciar sesión en el blob durante la sincronización. Por lo general, este error significa que la sincronización todavía no ha finalizado. | Espere a que se complete la sincronización de Microsoft Entra Connect y el siguiente intento de unión después de la finalización de la sincronización resolverá el problema. |
Paso 5: Recopilación de los registros y contacto con el soporte técnico de Microsoft
Extraiga los archivos en una carpeta como c:\temp y, después, vaya a la carpeta.
Desde una sesión de Azure PowerShell con privilegios elevados, ejecute
.\start-auth.ps1 -v -accepteula.Seleccione Cambiar cuenta para ir a otra sesión con el usuario con el problema.
Reproduzca el problema.
Seleccione Cambiar cuenta para volver a la sesión de administrador que ejecuta el seguimiento.
Desde la sesión de PowerShell con privilegios elevados, ejecute
.\stop-auth.ps1.Comprima y envíe la carpeta Authlogs desde la carpeta en la que se han ejecutado los scripts.
Solución de problemas de autenticación después de la unión
Paso 1: Recuperación del estado de PRT mediante dsregcmd /status
Abra una ventana de símbolo del sistema.
Nota:
Para obtener el estado del Token de actualización principal (PRT), abra la ventana de símbolo del sistema en el contexto del usuario que ha iniciado sesión.
Ejecute
dsregcmd /status.En la sección "Estado de SSO" se proporciona el estado actual del PRT.
Si el campo de AzureAdPrt está establecido en NO, se ha producido un error al adquirir el estado del PRT de Microsoft Entra ID.
Si AzureAdPrtUpdateTime es superior a cuatro horas, es probable que haya un problema con la actualización del PRT. Bloquee y desbloquee el dispositivo para forzar la actualización del PRT y, después, compruebe si la hora se actualiza.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : YES
AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs
+----------------------------------------------------------------------+
Paso 2: buscar el código de error
En la salida de dsregcmd
Nota:
La salida está disponible en la actualización de mayo de 2021 de Windows 10 (versión 21H1).
El campo "Estado del intento" en el campo "AzureAdPrt" proporciona el estado del intento de PRT anterior, junto con otra información de depuración necesaria. Para versiones anteriores de Windows, extraiga la información de los registros operativos y de análisis de Microsoft Entra.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
Desde los registros operativos y análisis de Microsoft Entra
Use el Visor de eventos para buscar las entradas de registro registradas por el complemento de Microsoft Entra CloudAP durante la adquisición del PRT.
- En el Visor de eventos, abra los registros de eventos operativos de Microsoft Entra. Se almacenan en Applications and Services Log>Microsoft>Windows>AAD (Registros de aplicaciones y servicios > Microsoft > Windows > AAD).
Nota:
El complemento CloudAP registra eventos de error en los registros operativos y eventos de información en los registros de análisis. Tanto los eventos de registros de análisis como los operativos son necesarios para solucionar incidencias.
El evento 1006 de los registros de análisis denota el inicio del flujo de adquisición del PRT y, el evento 1007, el final. Todos los eventos en los registros de Microsoft Entra (analíticos y operacionales) que son registrados entre los eventos 1006 y 1007 fueron registrados como parte del flujo de adquisición PRT.
El evento 1007 registra el código de error final.
Paso 3: Solución de problemas adicionales, en función del código de error encontrado
| Código de error | Motivo | Solución |
|---|---|---|
| STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d) STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a) |
Nota: WS-Trust es necesario para la autenticación federada. |
|
| STATUS_REQUEST_NOT_ACCEPTED (-1073741616/ 0xc00000d0) | Se ha recibido una respuesta de error (HTTP 400) del servicio de autenticación de Microsoft Entra o del punto de conexión de WS-Trust. Nota: WS-Trust es necesario para la autenticación federada. |
Los eventos 1081 y 1088 (registros operativos de Microsoft Entra) contendrían el código de error del servidor y la descripción del error para los errores que se originan en el servicio de autenticación de Microsoft Entra y el punto de conexión WS-Trust, respectivamente. Los códigos de error comunes del servidor y sus resoluciones se muestran en la sección siguiente. La primera instancia del evento 1022 (registros de análisis de Microsoft Entra) que precede a los eventos 1081 o 1088, contiene la dirección URL a la que se accede. |
| STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c) STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be) STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4) |
Nota: WS-Trust es necesario para la autenticación federada. |
|
| STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) | Error en la detección del dominio kerberos del usuario porque el servicio de autenticación de Microsoft Entra no ha podido encontrar el dominio del usuario. | |
| AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) | El UPN del usuario no tiene el formato esperado. Notas: |
whoami /upn debe mostrar el UPN configurado. |
| AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) | Falta el SID del usuario en el token de id. devuelto por el servicio de autenticación de Microsoft Entra. | Asegúrese de que el proxy no interfiera ni modifique la respuesta del servidor. |
| AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) | Se ha recibido un error del punto de conexión de WS-Trust. Nota: WS-Trust es necesario para la autenticación federada. |
|
| AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) | El punto de conexión MEX está configurado incorrectamente. La respuesta MEX no contiene direcciones URL de contraseña. | |
| AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) | El punto de conexión MEX está configurado incorrectamente. La respuesta MEX no contiene ninguna dirección URL de punto de conexión de certificado. | |
| WC_E_DTDPROHIBITED (-1072894385/ 0xc00cee4f) | La respuesta XML, del punto de conexión de WS-Trust, incluía una definición de tipo de documento (DTD). No se esperaba una DTD en las respuestas XML y se produce un error al analizar la respuesta si se incluye una DTD. Nota: WS-Trust es necesario para la autenticación federada. |
Códigos de error comunes del servidor
| Código de error | Motivo | Solución |
|---|---|---|
| AADSTS50155: Error de autenticación del dispositivo | Siga las instrucciones para este problema en Preguntas más frecuentes sobre la administración de dispositivos de Microsoft Entra a fin de volver a registrar el dispositivo según su tipo de unión. | |
AADSTS50034: La cuenta de usuario Account no existe en el tenant id directorio |
Microsoft Entra ID no encuentra la cuenta de usuario en el inquilino. | |
| AADSTS50126: se ha producido un error al validar las credenciales debido a un nombre de usuario o contraseña no válidos. | Para adquirir un PRT nuevo con las nuevas credenciales, espere a que finalice la sincronización de contraseñas de Microsoft Entra. |
Códigos de error comunes de red
| Código de error | Motivo | Solución |
|---|---|---|
| ERROR_WINHTTP_TIMEOUT\ (12002) ERROR_WINHTTP_NAME_NOT_RESOLVED (12007) ERROR_WINHTTP_CANNOT_CONNECT (12029) ERROR_WINHTTP_CONNECTION_ERROR (12030) |
Problemas comunes relacionados con la red general. | Obtener más códigos de error de red. |
Paso 4: recopilación de registros
Registros normales
- Vaya a https://aka.ms/icesdptool para descargar automáticamente un archivo .cab que contiene la herramienta de diagnóstico.
- Ejecute la herramienta y reproduzca el escenario.
- En el caso de los seguimientos de Fiddler, acepte las solicitudes de certificado que aparecen.
- El asistente le pide una contraseña para proteger los archivos de seguimiento. Indique una contraseña.
- Por último, abra la carpeta donde se almacenan todos los registros recopilados, como %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
- Póngase en contacto con el servicio de soporte técnico con el contenido del archivo .cab más reciente.
Seguimientos de red
Nota:
Cuando recopile seguimientos de red, es importante no usar Fiddler durante la reproducción.
- Ejecute
netsh trace start scenario=internetClient_dbg capture=yes persistent=yes. - Bloquee y desbloquee el dispositivo. En el caso de los dispositivos de unión híbrida, espere un minuto o más para permitir que se complete la tarea de adquisición del PRT.
- Ejecute
netsh trace stop. - Comparta el archivo nettrace.cab con el servicio de soporte técnico.
Problemas conocidos
Si se conecta a una zona activa para dispositivos móviles o a una red Wi-Fi externa y va a Configuración>Cuentas>Acceder a trabajo o escuela, es posible que los dispositivos unidos a Microsoft Entra híbrido muestren dos cuentas diferentes, una para Microsoft Entra ID y otra para AD en el entorno local. Este problema de la interfaz de usuario no afecta a la funcionalidad.