Partekatu honen bidez:


Solucionar problemas de dispositivos híbridos unidos a Microsoft Entra

En este artículo se proporciona una guía de solución de problemas que le ayudarán a resolver posibles problemas con dispositivos que ejecutan Windows 10 o versiones posteriores o Windows Server 2016 o versiones posteriores.

La unión híbrida de Microsoft Entra admite la actualización de noviembre de 2015 de Windows 10 y versiones posteriores.

Para solucionar problemas de otros clientes Windows, vea Solución de problemas de dispositivos híbridos de nivel inferior unidos a Microsoft Entra.

En este artículo se da por supuesto que tiene dispositivos híbridos unidos a Microsoft Entra para admitir los siguientes escenarios:

Nota:

Para solucionar los problemas comunes de registro de dispositivos, use la herramienta de solución de problemas de registro de dispositivos.

Solución de errores de unión

Paso 1: Recuperación del estado de unión

  1. Abra una ventana de símbolo del sistema como administrador.
  2. Escriba dsregcmd /status.
+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

    AzureAdJoined: YES
 EnterpriseJoined: NO
         DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
       Thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
   KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
      KeyProvider: Microsoft Platform Crypto Provider
     TpmProtected: YES
     KeySignTest: : MUST Run elevated to test.
              Idp: login.windows.net
         TenantId: aaaabbbb-0000-cccc-1111-dddd2222eeee
       TenantName: Contoso
      AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
   AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
           MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
        MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
  dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
      SettingsUrl: eyJVc{lots of characters}JdfQ==
   JoinSrvVersion: 1.0
       JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
        JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
    KeySrvVersion: 1.0
        KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
         KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
     DomainJoined: YES
       DomainName: CONTOSO

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

             NgcSet: YES
           NgcKeyId: {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
    WorkplaceJoined: NO
      WamDefaultSet: YES
WamDefaultAuthority: organizations
       WamDefaultId: https://login.microsoft.com
     WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
         AzureAdPrt: YES

Paso 2: Evaluación del estado de unión

Revise los campos de la tabla siguiente y asegúrese de que tengan los valores esperados:

Campo Valor esperado Descripción
DomainJoined Este campo indica si el dispositivo está unido a una implementación local de Active Directory.

Si el valor es NO, el dispositivo no puede hacer la unión a Microsoft Entra híbrido.
WorkplaceJoined NO Este campo indica si el dispositivo está registrado con Microsoft Entra ID, pero como dispositivo personal (marcado como Unido al área de trabajo). Este valor debe ser NO para un equipo unido a un dominio que esté también unido a Microsoft Entra híbrido.

Si el valor es , se agrega una cuenta profesional o educativa antes de la finalización de la unión a Microsoft Entra híbrido. En este caso, la cuenta se omite cuando se usa Windows 10, versión 1607 o posterior.
AzureAdJoined Este campo indica si el dispositivo está unido. El valor es YES si el dispositivo es un dispositivo unido a Microsoft Entra o un dispositivo unido a Microsoft Entra híbrido.

Si el valor es NO, todavía no ha finalizado la unión a Microsoft Entra ID.

Continúe con los pasos siguientes para solucionar problemas adicionales.

Paso 3: Búsqueda de la fase en la que se ha producido el error de unión y el código de error

Para Windows 10, versión 1803 o posterior

Busque la subsección "Previous Registration" (Registro previo) en la sección "Diagnostic Data" (Datos de diagnóstico) de la salida de estado de la unión. Esta sección solo se muestra si el dispositivo está unido a un dominio y no puede realizar la unión a Microsoft Entra híbrido.

El campo "Error Phase" (Fase del error) denota la fase del error de unión y "Client ErrorCode" (Código de error del cliente), el código de error de la operación de unión.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Para versiones anteriores de Windows 10

Use registros de Visor de eventos para buscar la fase y el código de error para los errores de unión.

  1. En el Visor de eventos, abra los registros de eventos de User Device Registration (Registro de dispositivos del usuario). Se almacenan en Applications and Services Log>Microsoft>Windows>User Device Registration (Registros de aplicaciones y servicios > Microsoft > Windows > Registro de dispositivos del usuario)
  2. Busque eventos con los siguientes identificadores de eventos: 304, 305 y 307.

Captura de pantalla del Visor de eventos, con el identificador de evento 304 seleccionado, su información mostrada y su código de error y fase resaltados.

Captura de pantalla del Visor de eventos, con el identificador de evento 305 seleccionado, su información mostrada y su código de error resaltado.

Paso 4: Comprobación de posibles causas y soluciones

Fase de comprobación previa

Posibles motivos del error:

  • El dispositivo no tiene línea de visión al controlador de dominio.
    • El dispositivo debe encontrarse en la red interna de la organización o en una red privada virtual con línea de visión de red a una implementación local del controlador de dominio de Active Directory.

Fase de detección

Posibles motivos del error:

  • El objeto de punto de conexión de servicio está mal configurado o no se puede leer desde el controlador de dominio.
  • Error al conectar y capturar los metadatos de detección del punto de conexión de detección.
    • El dispositivo debe poder acceder a https://enterpriseregistration.windows.net, en el contexto del sistema, para detectar los puntos de conexión de autorización y registro.
    • Si el entorno local requiere un proxy de salida, el administrador de TI debe asegurarse de que la cuenta del equipo del dispositivo pueda detectar el proxy de salida y se autentique en él en modo silencioso.
  • Error al conectarse al punto de conexión del dominio kerberos de usuario y realizar la detección de dominios kerberos (solo Windows 10, versión 1809 y posteriores).
    • El dispositivo debe poder acceder a https://login.microsoftonline.com, en el contexto del sistema, para realizar la detección de dominios para el dominio comprobado y determinar el tipo de dominio (administrado o federado).
    • Si en el entorno local se necesita un proxy de salida, el administrador de TI debe asegurarse de que el contexto del sistema del dispositivo pueda detectar el proxy de salida y autenticarse en él en modo silencioso.

Códigos de error comunes:

Código de error Motivo Solución
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) No se puede leer el objeto del punto de conexión de servicio (SCP) y obtener la información del inquilino de Microsoft Entra. Consulte la sección Configuración de un punto de conexión de servicio.
DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) Error de detección genérico. No se han podido obtener los metadatos de detección del servicio de replicación de datos (DRS). Para investigar más, busque el suberror en las secciones siguientes.
DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) Se ha agotado el tiempo de espera de la operación al realizar la detección. Asegúrese de que https://enterpriseregistration.windows.net sea accesible en el contexto del sistema. Para obtener más información, vea la sección Requisitos de conectividad de red.
DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) Error de detección de dominio kerberos genérico. No se pudo determinar el tipo de dominio (administrado o federado) desde STS. Para investigar más, busque el suberror en las secciones siguientes.

Códigos de suberror comunes:

Para buscar el código de suberror del código de error de detección, use uno de los métodos siguientes.

Windows 10, versión 1803 o posterior

Busque "DRS Discovery Test" (Prueba de detección de DRS) en el apartado "Diagnostic Data" (Datos de diagnóstico) de la salida de estado de la unión. Esta sección solo se muestra si el dispositivo está unido a un dominio y no puede realizar la unión a Microsoft Entra híbrido.

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : UN-ELEVATED User
               Client Time : 2019-06-05 08:25:29.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

+----------------------------------------------------------------------+
Versiones anteriores de Windows 10

Use los registros del Visor de eventos para buscar la fase y el código de error para los errores de unión.

  1. En el Visor de eventos, abra los registros de eventos de User Device Registration (Registro de dispositivos del usuario). Se almacenan en Applications and Services Log>Microsoft>Windows>User Device Registration (Registros de aplicaciones y servicios > Microsoft > Windows > Registro de dispositivos del usuario)
  2. Busque el identificador de evento 201.

Captura de pantalla del Visor de eventos, con el identificador de evento 201 seleccionado, su información mostrada y su código de error resaltado.

Errores de red:

Código de error Motivo Solución
WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) No se ha podido establecer la conexión con el servidor. Garantice la conectividad de red con los recursos de Microsoft necesarios. Para más información, consulte la sección sobre los Requisitos de conectividad de red.
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Tiempo de expiración de red general. Garantice la conectividad de red con los recursos de Microsoft necesarios. Para más información, consulte la sección sobre los Requisitos de conectividad de red.
WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) La pila de red no pudo descodificar la respuesta del servidor. Asegúrese de que el proxy no interfiera ni modifique la respuesta del servidor.

Errores HTTP:

Código de error Motivo Solución
DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) El objeto de punto de conexión de servicio está configurado con el identificador de inquilino incorrecto, o bien no se ha encontrado ninguna suscripción activa en el inquilino. Asegúrese de que el objeto del punto de conexión de servicio esté configurado con el id. de inquilino de Microsoft Entra y las suscripciones activas correctas, o bien, que el servicio está presente en el inquilino.
DSREG_SERVER_BUSY (0x801c0025/-2145648603) HTTP 503 desde el servidor DRS. El servidor no está disponible actualmente. Los intentos futuros de unión probablemente se realizarán correctamente una vez que el servidor vuelva a estar en línea.

Otros errores:

Código de error Motivo Solución
E_INVALIDDATA (0x8007000d/-2147024883) No se ha podido analizar el código JSON de respuesta del servidor, probablemente porque el proxy devuelve un error HTTP 200 con una página de autorización HTML. Si en el entorno local se necesita un proxy de salida, el administrador de TI debe asegurarse de que el contexto del sistema del dispositivo pueda detectar el proxy de salida y autenticarse en él en modo silencioso.

Fase de autenticación

Este contenido solo se aplica a las cuentas de dominio federadas.

Motivos del error:

  • No se puede obtener un token de acceso en modo silencioso para el recurso de DRS.
    • Los dispositivos Windows 10 y Windows 11 adquieren el token de autenticación del Servicio de federación mediante la autenticación integrada de Windows en un punto de conexión activo de WS-Trust. Para obtener más información, vea Configuración del servicio de federación.

Códigos de error comunes:

Use los registros de Visor de eventos para buscar el código de error, el código de suberror, el código de error del servidor y el mensaje de error del servidor.

  1. En el Visor de eventos, abra los registros de eventos de User Device Registration (Registro de dispositivos del usuario). Se almacenan en Applications and Services Log>Microsoft>Windows>User Device Registration (Registros de aplicaciones y servicios > Microsoft > Windows > Registro de dispositivos del usuario)
  2. Busque el identificador de evento 305.

Captura de pantalla del Visor de eventos, con el identificador de evento 305 seleccionado, su información mostrada y los código de error ADAL y el estado resaltados.

Errores de configuración:

Código de error Motivo Solución
ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) El protocolo de autenticación de la Biblioteca de Autenticación de Azure AD (ADAL) no es WS-Trust. El proveedor de identidades local debe admitir WS-Trust.
ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) El servicio de federación local no ha devuelto una respuesta XML. Asegúrese de que el punto de conexión MetadataExchange(MEX) devuelve XML válido. Asegúrese de que el proxy no interfiera ni devuelva respuestas que no sean XML.
ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) No se ha podido detectar el punto de conexión para la autenticación de nombre de usuario y contraseña. Compruebe la configuración del proveedor de identidades local. Asegúrese de que los puntos de conexión de WS-Trust estén habilitados y de que la respuesta MEX contiene estos puntos de conexión correctos.

Errores de red:

Código de error Motivo Solución
ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) Tiempo de expiración de red general. Asegúrese de que https://login.microsoftonline.com sea accesible en el contexto del sistema. Asegúrese de que el proveedor de identidades local sea accesible en el contexto del sistema. Para más información, consulte la sección sobre los Requisitos de conectividad de red.
ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) Se ha anulado la conexión con el punto de conexión de autorización. Vuelva a intentar la unión después de un tiempo o intente unirse desde otra ubicación de red estable.
ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) No se ha podido validar el certificado de Seguridad de la capa de transporte (TLS) (anteriormente denominado certificado de Capa de sockets seguros [SSL]) enviado por el servidor. Compruebe el sesgo de tiempo del cliente. Vuelva a intentar la unión después de un tiempo o intente unirse desde otra ubicación de red estable.
ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) Error al intentar conectarse a https://login.microsoftonline.com. Compruebe la conexión de red a https://login.microsoftonline.com.

Otros errores:

Código de error Motivo Solución
ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) Microsoft Entra ID no ha aceptado el token SAML del proveedor de identidades local. Compruebe la configuración del servidor de federación. Busque el código de error del servidor en los registros de autenticación.
ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) La respuesta de WS-Trust del servidor ha notificado una excepción de error y no se ha podido obtener la aserción. Compruebe la configuración del servidor de federación. Busque el código de error del servidor en los registros de autenticación.
ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) Se recibió un error al intentar obtener el token de acceso desde el punto de conexión del token. Busque el error subyacente en el registro de ADAL.
ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) Error general de ADAL. Busque el código de suberror o de error del servidor en los registros de autenticación.

Fase de unión

Motivos del error:

Busque el tipo de registro y el código de error en las tablas siguientes, en función de la versión de Windows 10 que use.

Windows 10, versión 1803 o posterior

Busque la subsección "Previous Registration" (Registro previo) en la sección "Diagnostic Data" (Datos de diagnóstico) de la salida de estado de la unión. Esta sección solo se muestra si el dispositivo está unido a un dominio y no puede realizar la unión a Microsoft Entra híbrido.

El campo "Tipo de registro" denota el tipo de combinación.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) is not found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Versiones anteriores de Windows 10

Use registros de Visor de eventos para buscar la fase y el código de error para los errores de unión.

  1. En el Visor de eventos, abra los registros de eventos de User Device Registration (Registro de dispositivos del usuario). Se almacenan en Applications and Services Log>Microsoft>Windows>User Device Registration (Registros de aplicaciones y servicios > Microsoft > Windows > Registro de dispositivos del usuario)
  2. Busque el identificador de evento 204.

Captura de pantalla del Visor de eventos, con el identificador de evento 204 seleccionado y su código de error, el estado HTTP y el mensaje resaltados.

Errores HTTP devueltos por el servidor DRS:

Código de error Motivo Solución
DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) Se ha recibido una respuesta de error de DRS con ErrorCode: "DirectoryError". Consulte el código de error del servidor para ver posibles causas y soluciones.
DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) Se ha recibido una respuesta de error de DRS con ErrorCode: "AuthenticationError" y ErrorSubCode no es "DeviceNotFound". Consulte el código de error del servidor para ver posibles causas y soluciones.
DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) Se ha recibido una respuesta de error de DRS con ErrorCode: "DirectoryError". Consulte el código de error del servidor para ver posibles causas y soluciones.

Errores de TPM:

Código de error Motivo Solución
NTE_BAD_KEYSET (0x80090016/-2146893802) Se ha producido un error en la operación Módulo de plataforma segura (TPM) o no es válida. Este error indica que el conjunto de claves no existe. Este error se produce cuando el TPM se borra en los sistemas o cuando hay una imagen sysprep incorrecta.

Evite borrar el TPM en la configuración de BIOS o Windows. Si se borra el TPM, es posible que los usuarios deban recuperarse quitando y leyendo cuentas para corregir el problema, especialmente cuando tienen varias cuentas WAM. Asegúrese de que la máquina desde la que se creó la imagen sysprep no esté unida a Microsoft Entra, unida a Microsoft Entra híbrido o registrada en Microsoft Entra.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) Error de TPM genérico. Deshabilite TPM en los dispositivos con este error. En la versión 1809 y posteriores de Windows 10 se detectan automáticamente los errores de TPM y completan la unión a Microsoft Entra híbrido sin usar TPM.
TPM_E_NOTFIPS (0x80280036/-2144862154) Actualmente no se admite TPM en modo FIPS. Deshabilite TPM en los dispositivos con este error. En la versión 1809 de Windows 10 se detectan automáticamente los errores de TPM y se completa la unión a Microsoft Entra híbrido sin usar TPM.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) TPM está bloqueado. Se trata de un error transitorio. Espere el tiempo de recuperación. El intento de unión debe realizarse correctamente después de un tiempo. Para obtener más información, vea Aspectos básicos de TPM.

Errores de red:

Código de error Motivo Solución
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Tiempo de espera de red general para intentar registrar el dispositivo en DRS. Compruebe la conectividad de la red a https://enterpriseregistration.windows.net.
WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) no se pudo resolver el nombre o la dirección del servidor. Compruebe la conectividad de la red a https://enterpriseregistration.windows.net.
WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) La conexión con el servidor terminó de forma anómala. Vuelva a intentar la unión después de un tiempo o intente unirse desde otra ubicación de red estable.

Otros errores:

Código de error Motivo Solución
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) El id. de evento 220 está presente en los registros de eventos de registro de dispositivos de usuario. Windows no puede acceder al objeto de equipo en Active Directory. Es posible que se incluya un código de error de Windows en el evento. Los códigos de error ERROR_NO_SUCH_LOGON_SESSION (1312) y ERROR_NO_SUCH_USER (1317) están relacionados con problemas de replicación en la instancia local de Active Directory. Solucione los problemas de replicación en Active Directory. Es posible que estos problemas de replicación sean transitorios y desaparezcan después de un tiempo.

Errores del servidor de unión federado:

Código de error del servidor Mensaje de error del servidor Razones posibles Solución
DirectoryError La solicitud está limitada temporalmente. Vuelva a intentarlo después de 300 segundos. Se trata de un error esperado, posiblemente porque se han realizado varias solicitudes de registro de forma rápida. Vuelva a intentar la unión tras el tiempo de recuperación

Errores del servidor de unión sincronizado:

Código de error del servidor Mensaje de error del servidor Razones posibles Solución
DirectoryError AADSTS90002: no se ha encontrado del inquilino UUID. Es posible que se produzca este error si no hay suscripciones activas para el inquilino. Compruébelo con el administrador de la suscripción. El identificador de inquilino del objeto de punto de conexión de servicio es incorrecto. Asegúrese de que el objeto del punto de conexión de servicio esté configurado con el id. de inquilino de Microsoft Entra y las suscripciones activas correctas, o bien, que el servicio está presente en el inquilino.
DirectoryError No se encuentra el objeto de dispositivo por el identificador especificado. Se trata de un error esperado para sync-join. El objeto de dispositivo no se ha sincronizado de AD a Microsoft Entra ID Espere a que finalice la sincronización de Microsoft Entra Connect y el siguiente intento de unión después de la finalización de la sincronización resolverá el problema.
AuthenticationError Comprobación del identificador de seguridad del equipo de destino El certificado del dispositivo Microsoft Entra no coincide con el certificado usado para iniciar sesión en el blob durante la sincronización. Por lo general, este error significa que la sincronización todavía no ha finalizado. Espere a que se complete la sincronización de Microsoft Entra Connect y el siguiente intento de unión después de la finalización de la sincronización resolverá el problema.

Paso 5: Recopilación de los registros y contacto con el soporte técnico de Microsoft

  1. Descargue el archivo Auth.zip.

  2. Extraiga los archivos en una carpeta como c:\temp y, después, vaya a la carpeta.

  3. Desde una sesión de Azure PowerShell con privilegios elevados, ejecute .\start-auth.ps1 -v -accepteula.

  4. Seleccione Cambiar cuenta para ir a otra sesión con el usuario con el problema.

  5. Reproduzca el problema.

  6. Seleccione Cambiar cuenta para volver a la sesión de administrador que ejecuta el seguimiento.

  7. Desde la sesión de PowerShell con privilegios elevados, ejecute .\stop-auth.ps1.

  8. Comprima y envíe la carpeta Authlogs desde la carpeta en la que se han ejecutado los scripts.

Solución de problemas de autenticación después de la unión

Paso 1: Recuperación del estado de PRT mediante dsregcmd /status

  1. Abra una ventana de símbolo del sistema.

    Nota:

    Para obtener el estado del Token de actualización principal (PRT), abra la ventana de símbolo del sistema en el contexto del usuario que ha iniciado sesión.

  2. Ejecute dsregcmd /status.

    En la sección "Estado de SSO" se proporciona el estado actual del PRT.

    Si el campo de AzureAdPrt está establecido en NO, se ha producido un error al adquirir el estado del PRT de Microsoft Entra ID.

  3. Si AzureAdPrtUpdateTime es superior a cuatro horas, es probable que haya un problema con la actualización del PRT. Bloquee y desbloquee el dispositivo para forzar la actualización del PRT y, después, compruebe si la hora se actualiza.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : YES
      AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
      AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
   EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
    EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs

+----------------------------------------------------------------------+

Paso 2: buscar el código de error

En la salida de dsregcmd

Nota:

La salida está disponible en la actualización de mayo de 2021 de Windows 10 (versión 21H1).

El campo "Estado del intento" en el campo "AzureAdPrt" proporciona el estado del intento de PRT anterior, junto con otra información de depuración necesaria. Para versiones anteriores de Windows, extraiga la información de los registros operativos y de análisis de Microsoft Entra.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.

Desde los registros operativos y análisis de Microsoft Entra

Use el Visor de eventos para buscar las entradas de registro registradas por el complemento de Microsoft Entra CloudAP durante la adquisición del PRT.

  1. En el Visor de eventos, abra los registros de eventos operativos de Microsoft Entra. Se almacenan en Applications and Services Log>Microsoft>Windows>AAD (Registros de aplicaciones y servicios > Microsoft > Windows > AAD).

Nota:

El complemento CloudAP registra eventos de error en los registros operativos y eventos de información en los registros de análisis. Tanto los eventos de registros de análisis como los operativos son necesarios para solucionar incidencias.

  1. El evento 1006 de los registros de análisis denota el inicio del flujo de adquisición del PRT y, el evento 1007, el final. Todos los eventos en los registros de Microsoft Entra (analíticos y operacionales) que son registrados entre los eventos 1006 y 1007 fueron registrados como parte del flujo de adquisición PRT.

  2. El evento 1007 registra el código de error final.

Captura de pantalla del Visor de eventos, con los identificadores de evento 1006 y 1007 seleccionados y el código de error final resaltado.

Paso 3: Solución de problemas adicionales, en función del código de error encontrado

Código de error Motivo Solución
STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d)
STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a)
  • El dispositivo no se puede conectar al servicio de autenticación de Microsoft Entra.
  • Se ha recibido una respuesta de error (HTTP 400) del servicio de autenticación de Microsoft Entra o del punto de conexión de WS-Trust.
    Nota: WS-Trust es necesario para la autenticación federada.
  • Si el entorno local requiere un proxy de salida, el administrador de TI debe asegurarse de que la cuenta del equipo del dispositivo pueda detectar el proxy de salida y se autentique en él en modo silencioso.
  • Los eventos 1081 y 1088 (registros operativos de Microsoft Entra) contendrían el código de error del servidor de los errores que se originan en el servicio de autenticación de Microsoft Entra y en la descripción de los errores que se originan en el punto de conexión de WS-Trust. Los códigos de error comunes del servidor y sus resoluciones se muestran en la sección siguiente. La primera instancia del evento 1022 (registros de análisis de Microsoft Entra) que precede a los eventos 1081 o 1088, contiene la dirección URL a la que se accede.
  • STATUS_REQUEST_NOT_ACCEPTED (-1073741616/ 0xc00000d0) Se ha recibido una respuesta de error (HTTP  400) del servicio de autenticación de Microsoft Entra o del punto de conexión de WS-Trust.
    Nota: WS-Trust es necesario para la autenticación federada.
    Los eventos 1081 y 1088 (registros operativos de Microsoft Entra) contendrían el código de error del servidor y la descripción del error para los errores que se originan en el servicio de autenticación de Microsoft Entra y el punto de conexión WS-Trust, respectivamente. Los códigos de error comunes del servidor y sus resoluciones se muestran en la sección siguiente. La primera instancia del evento 1022 (registros de análisis de Microsoft Entra) que precede a los eventos 1081 o 1088, contiene la dirección URL a la que se accede.
    STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c)
    STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be)
    STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4)
  • Se ha recibido una respuesta de error (HTTP > 400) del servicio de autenticación de Microsoft Entra o del punto de conexión de WS-Trust.
    Nota: WS-Trust es necesario para la autenticación federada.
  • Problema de conectividad de red a un punto de conexión necesario.
  • Para los errores de servidor, los eventos 1081 y 1088 (registros operativos de Microsoft Entra) contendrían el código de error del servicio de autenticación de Microsoft Entra y la descripción del error del punto de conexión de WS-Trust. Los códigos de error comunes del servidor y sus resoluciones se muestran en la sección siguiente.
  • En el caso de los problemas de conectividad, el evento 1022 (registros de análisis de Microsoft Entra) contiene la dirección URL a la que se accede y el evento 1084 (registros operativos de Microsoft Entra) contiene el código de suberror de la pila de red.
  • STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) Error en la detección del dominio kerberos del usuario porque el servicio de autenticación de Microsoft Entra no ha podido encontrar el dominio del usuario.
  • El dominio del UPN del usuario debe agregarse como un dominio personalizado en Microsoft Entra ID. El evento 1144 (registros de análisis de Microsoft Entra) contendrá el UPN proporcionado.
  • Si el nombre de dominio local no es enrutable (jdoe@contoso.local), configure un identificador de inicio de sesión alternativo (AltID). Referencias: Requisitos previos; Configuración del identificador de inicio de sesión alternativo.
  • AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) El UPN del usuario no tiene el formato esperado.
    Notas:
  • Para los dispositivos unidos a Microsoft Entra, el UPN es el texto escrito por el usuario en LoginUI.
  • Para dispositivos unidos a Microsoft Entra híbrido, el UPN se devuelve desde el controlador de dominio durante el proceso de inicio de sesión.
  • El UPN del usuario debería estar en el nombre de inicio de sesión del estilo de Internet, según el estándar de Internet RFC 822. El evento 1144 (registros de análisis de Microsoft Entra) contiene el UPN proporcionado.
  • En el caso de los dispositivos unidos híbridos, asegúrese de que el controlador de dominio está configurado para devolver el UPN en el formato correcto. En el controlador de dominio, whoami /upn debe mostrar el UPN configurado.
  • Si el nombre de dominio local no es enrutable (jdoe@contoso.local), configure el identificador de inicio de sesión alternativo (AltID). Referencias: Requisitos previos; Configuración del identificador de inicio de sesión alternativo.
  • AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) Falta el SID del usuario en el token de id. devuelto por el servicio de autenticación de Microsoft Entra. Asegúrese de que el proxy no interfiera ni modifique la respuesta del servidor.
    AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) Se ha recibido un error del punto de conexión de WS-Trust.
    Nota: WS-Trust es necesario para la autenticación federada.
  • Asegúrese de que el proxy no interfiera ni modifique la respuesta de WS-Trust.
  • El evento 1088 (registros operativos de Microsoft Entra) contendría el código de error del servidor y la descripción del error del punto de conexión de WS-Trust. Los códigos de error comunes del servidor y sus resoluciones se muestran en la sección siguiente.
  • AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) El punto de conexión MEX está configurado incorrectamente. La respuesta MEX no contiene direcciones URL de contraseña.
  • Asegúrese de que el proxy no interfiera ni modifique la respuesta del servidor.
  • Corrija la configuración de MEX para devolver direcciones URL válidas en respuesta.
  • AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) El punto de conexión MEX está configurado incorrectamente. La respuesta MEX no contiene ninguna dirección URL de punto de conexión de certificado.
  • Asegúrese de que el proxy no interfiera ni modifique la respuesta del servidor.
  • Corrija la configuración de MEX en el proveedor de identidades para devolver direcciones URL de certificado válidas en la respuesta.
  • WC_E_DTDPROHIBITED (-1072894385/ 0xc00cee4f) La respuesta XML, del punto de conexión de WS-Trust, incluía una definición de tipo de documento (DTD). No se esperaba una DTD en las respuestas XML y se produce un error al analizar la respuesta si se incluye una DTD.
    Nota: WS-Trust es necesario para la autenticación federada.
  • Corrija la configuración en el proveedor de identidades para evitar el envío de una DTD en la respuesta XML.
  • El evento 1022 (registros de análisis de Microsoft Entra) contiene la dirección URL a la que se accede y que devuelve una respuesta XML con una DTD.
  • Códigos de error comunes del servidor

    Código de error Motivo Solución
    AADSTS50155: Error de autenticación del dispositivo
  • Microsoft Entra ID no puede autenticar el dispositivo para emitir un PRT.
  • Confirme que el dispositivo no se ha eliminado o deshabilitado. Para obtener más información sobre este problema, consulte Preguntas frecuentes sobre la administración de dispositivos de Microsoft Entra.
  • Siga las instrucciones para este problema en Preguntas más frecuentes sobre la administración de dispositivos de Microsoft Entra a fin de volver a registrar el dispositivo según su tipo de unión.
    AADSTS50034: La cuenta de usuario Account no existe en el tenant id directorio Microsoft Entra ID no encuentra la cuenta de usuario en el inquilino.
  • Asegúrese de que el usuario escribe el UPN correcto.
  • Asegúrese de que la cuenta de usuario local se sincronice con Microsoft Entra ID.
  • El evento 1144 (registros de análisis de Microsoft Entra) contiene el UPN proporcionado.
  • AADSTS50126: se ha producido un error al validar las credenciales debido a un nombre de usuario o contraseña no válidos.
  • El nombre de usuario y la contraseña escritos por el usuario en LoginUI de Windows son incorrectos.
  • Si el inquilino tiene habilitada la sincronización de hash de contraseñas, el dispositivo es de unión híbrida y el usuario acaba de cambiar la contraseña, es probable que la nueva contraseña no se haya sincronizado con Microsoft Entra ID.
  • Para adquirir un PRT nuevo con las nuevas credenciales, espere a que finalice la sincronización de contraseñas de Microsoft Entra.

    Códigos de error comunes de red

    Código de error Motivo Solución
    ERROR_WINHTTP_TIMEOUT\ (12002)
    ERROR_WINHTTP_NAME_NOT_RESOLVED (12007)
    ERROR_WINHTTP_CANNOT_CONNECT (12029)
    ERROR_WINHTTP_CONNECTION_ERROR (12030)
    Problemas comunes relacionados con la red general.
  • Los eventos 1022 (registros de análisis de Microsoft Entra) y 1084 (registros operativos de Microsoft Entra) contiene la dirección URL a la que se accede.
  • Si el entorno local requiere un proxy de salida, el administrador de TI debe asegurarse de que la cuenta del equipo del dispositivo pueda detectar el proxy de salida y se autentique en él en modo silencioso.

    Obtener más códigos de error de red.
  • Paso 4: recopilación de registros

    Registros normales

    1. Vaya a https://aka.ms/icesdptool para descargar automáticamente un archivo .cab que contiene la herramienta de diagnóstico.
    2. Ejecute la herramienta y reproduzca el escenario.
    3. En el caso de los seguimientos de Fiddler, acepte las solicitudes de certificado que aparecen.
    4. El asistente le pide una contraseña para proteger los archivos de seguimiento. Indique una contraseña.
    5. Por último, abra la carpeta donde se almacenan todos los registros recopilados, como %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
    6. Póngase en contacto con el servicio de soporte técnico con el contenido del archivo .cab más reciente.

    Seguimientos de red

    Nota:

    Cuando recopile seguimientos de red, es importante no usar Fiddler durante la reproducción.

    1. Ejecute netsh trace start scenario=internetClient_dbg capture=yes persistent=yes.
    2. Bloquee y desbloquee el dispositivo. En el caso de los dispositivos de unión híbrida, espere un minuto o más para permitir que se complete la tarea de adquisición del PRT.
    3. Ejecute netsh trace stop.
    4. Comparta el archivo nettrace.cab con el servicio de soporte técnico.

    Problemas conocidos

    Si se conecta a una zona activa para dispositivos móviles o a una red Wi-Fi externa y va a Configuración>Cuentas>Acceder a trabajo o escuela, es posible que los dispositivos unidos a Microsoft Entra híbrido muestren dos cuentas diferentes, una para Microsoft Entra ID y otra para AD en el entorno local. Este problema de la interfaz de usuario no afecta a la funcionalidad.