Résoudre les problèmes liés aux appareils à jonction hybride Microsoft Entra
Cet article fournit des conseils de résolution des problèmes pour vous aider à résoudre les problèmes potentiels liés aux appareils qui exécutent Windows 10 ou version ultérieure et Windows Server 2016 ou version ultérieure.
La jonction hybride Microsoft Entra prend en charge la mise à jour Windows 10 de novembre 2015 et les versions ultérieures.
Pour résoudre les problèmes liés à d’autres clients Windows, consultez Résoudre les problèmes liés aux appareils de bas niveau à jonction hybride Microsoft Entra.
Cet article suppose que vous avez des appareils avec jonction hybride à Microsoft Entra pour prendre en charge les scénarios suivants :
- Accès conditionnel basé sur les appareils
- Enterprise State Roaming
- Windows Hello Entreprise
Notes
Pour résoudre les problèmes d’inscription d’appareils les plus courants, utilisez Outil de résolution des problèmes d’inscription des appareils.
Résoudre les problèmes d’échecs de jointure
Étape 1 : Récupérer l’état de jonction
- Ouvrez une fenêtre d’invite de commandes en tant qu’administrateur.
- Tapez
dsregcmd /status
.
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined: YES
EnterpriseJoined: NO
DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
Thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
KeyProvider: Microsoft Platform Crypto Provider
TpmProtected: YES
KeySignTest: : MUST Run elevated to test.
Idp: login.windows.net
TenantId: aaaabbbb-0000-cccc-1111-dddd2222eeee
TenantName: Contoso
AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl: eyJVc{lots of characters}JdfQ==
JoinSrvVersion: 1.0
JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion: 1.0
KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
DomainJoined: YES
DomainName: CONTOSO
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet: YES
NgcKeyId: {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
WorkplaceJoined: NO
WamDefaultSet: YES
WamDefaultAuthority: organizations
WamDefaultId: https://login.microsoft.com
WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
AzureAdPrt: YES
Étape 2 : Évaluer l’état de jonction
Passez en revue les champs du tableau suivant et assurez-vous qu’ils ont les valeurs attendues :
Champ | Valeur attendue | Description |
---|---|---|
DomainJoined | YES | Ce champ indique si l’appareil est joint à un Répertoire actif local ou non. Si la valeur est NON, l’appareil ne peut pas effectuer de jonction hybride Microsoft Entra. |
WorkplaceJoined | NO | Ce champ indique si l’appareil est inscrit auprès de Microsoft Entra ID en tant qu’appareil personnel (avec la mention Joint à l’espace de travail). Cette valeur doit être NON pour un ordinateur joint à un domaine qui est également à jonction hybride Microsoft Entra. Si la valeur est OUI, un compte professionnel ou scolaire a été ajouté avant l’achèvement d’une jonction hybride Microsoft Entra. Dans ce cas, le compte est ignoré lorsque vous utilisez Windows 10 version 1607 ou ultérieure. |
AzureAdJoined | YES | Ce champ indique si l’appareil est joint. La valeur est OUI si l’appareil est un appareil joint à Microsoft Entra ou un appareil avec jonction hybride à Microsoft Entra. Si la valeur est NON, la jonction à Microsoft Entra ID n’est pas encore terminée. |
Passez aux étapes suivantes pour poursuivre la résolution des problèmes.
Étape 3 : Rechercher la phase à laquelle la jointure a échoué ainsi que le code d’erreur
Pour Windows 10 version 1803 ou ultérieure
Recherchez la sous-section « Inscription précédente » dans la section « Données de diagnostic » de la sortie de l’état de la jointure. Cette section s’affiche uniquement si l’appareil est joint à un domaine et ne parvient pas à établir la jonction hybride Microsoft Entra.
Le champ « Phase d’erreur » indique la phase de l’échec de la jointure, et « Client ErrorCode » désigne le code d’erreur de l’opération de jointure.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Pour les versions antérieures de Windows 10
Servez-vous des journaux de l’Observateur d’événements pour identifier la phase et le code d’erreur des échecs de jointure.
- Dans l’Observateur d’événements, ouvrez les journaux des événements d’Inscription des appareils de l’utilisateur . Ils sont stockés dans le Journal des Applications et des Services>Microsoft>Windows>Inscription des appareils de l’utilisateur.
- Recherchez les événements avec les ID d’événement suivants : 304, 305 et 307.
Étape 4 : Rechercher les causes et les résolutions possibles
Phase de prévérification
Causes possibles de l’échec :
- L’appareil n’a pas de ligne de vue sur le contrôleur de domaine.
- L’appareil doit se trouver sur le réseau interne ou le VPN de l’organisation avec une ligne de vue réseau sur le contrôleur de domaine du Répertoire actif (AD) local.
Phase de découverte
Causes possibles de l’échec :
- L’objet point de connexion de service est mal configuré ou ne peut pas être lu à partir du contrôleur de domaine.
- Un objet point de connexion de service valide est requis dans la forêt AD à laquelle appartient l’appareil, qui pointe vers un nom de domaine vérifié dans Microsoft Entra ID.
- Pour plus d’informations, consultez la section « Configurer un point de connexion de service » du Tutoriel : Configurer la jonction hybride à Microsoft Entra pour les domaines fédérés.
- Échec de la connexion et de l’extraction des métadonnées de détection à partir du point de terminaison de détection.
- L’appareil doit pouvoir accéder à
https://enterpriseregistration.windows.net
, dans le contexte du système, pour détecter les points de terminaison d’inscription et d’autorisation. - Si l’environnement local nécessite un proxy sortant, l’administrateur informatique doit vérifier que le compte d’ordinateur de l’appareil peut découvrir le proxy sortant et s’y authentifier en mode silencieux.
- L’appareil doit pouvoir accéder à
- Échec de connexion au point de terminaison de domaine de l’utilisateur et d’exécution de la détection du domaine (Windows 10 version 1809 et versions ultérieures uniquement).
- L’appareil doit pouvoir accéder à
https://login.microsoftonline.com
, dans le contexte du système, pour effectuer la détection du domaine vérifié et déterminer le type de domaine (managé ou fédéré). - Si l’environnement local nécessite un proxy sortant, l’administrateur informatique doit vérifier que le contexte du système sur l’appareil peut détecter le proxy sortant et s’y authentifier en mode silencieux.
- L’appareil doit pouvoir accéder à
Codes d’erreur courants :
Code d'erreur | Motif | Résolution |
---|---|---|
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | Impossible de lire l’objet point de connexion de service et d’obtenir les informations concernant le locataire Microsoft Entra. | Reportez-vous à la section Configurer un point de connexion de service . |
DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) | Échec de la détection générique. Échec de l’extraction des métadonnées de détection à partir du service de réplication de données (DRS). | Pour approfondir l’investigation, recherchez la sous-erreur dans les sections suivantes. |
DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) | L’opération est arrivée à expiration pendant la détection. | Vérifiez que https://enterpriseregistration.windows.net est accessible dans le contexte du système. Pour plus d’informations, consultez la section Configuration requise pour la connectivité réseau . |
DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) | Échec de la détection de domaine générique Impossible de déterminer le type de domaine (managé/fédéré) à partir de STS. | Pour approfondir l’investigation, recherchez la sous-erreur dans les sections suivantes. |
Codes de sous-erreur courants :
Pour rechercher le code de sous-erreur du code d’erreur de découverte, utilisez l’une des méthodes suivantes.
Windows 10, version 1803 ou ultérieure
Recherchez « test de détection DRS » dans la section « Données de diagnostic » de la sortie d’état de la jointure. Cette section s’affiche uniquement si l’appareil est joint à un domaine et ne parvient pas à établir la jonction hybride Microsoft Entra.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : UN-ELEVATED User
Client Time : 2019-06-05 08:25:29.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
+----------------------------------------------------------------------+
Versions antérieures de Windows 10
Servez-vous des journaux de l’Observateur d’événements pour identifier la phase et le code d’erreur des échecs de jointure.
- Dans l’Observateur d’événements, ouvrez les journaux des événements d’Inscription des appareils de l’utilisateur . Ils sont stockés dans le Journal des Applications et des Services>Microsoft>Windows>Inscription des appareils de l’utilisateur.
- Recherchez l’ID d’événement 201.
Erreurs réseau :
Code d'erreur | Motif | Résolution |
---|---|---|
WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) | La connexion avec le serveur n’a pas pu être établie. | vérifiez la connectivité réseau aux ressources Microsoft nécessaires. Pour plus d’informations, consultez Exigences de connectivité réseau. |
WININET_E_TIMEOUT (0x80072ee2/-2147012894) | dépassement du délai d’attente général du réseau. | vérifiez la connectivité réseau aux ressources Microsoft nécessaires. Pour plus d’informations, consultez Exigences de connectivité réseau. |
WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) | la pile réseau n’a pas pu décoder la réponse du serveur. | Vérifiez que le proxy de réseau n’interfère pas avec la réponse du serveur et ne la modifie pas |
Erreurs HTTP :
Code d'erreur | Motif | Résolution |
---|---|---|
DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) | L’objet point de connexion de service est configuré avec un ID de locataire incorrect, ou aucun abonnement actif n’a été trouvé dans le locataire. | Vérifiez que l’objet point de connexion de service est configuré avec l’ID de locataire et les abonnements actifs appropriés Microsoft Entra, ou que le service est présent dans le locataire. |
DSREG_SERVER_BUSY (0x801c0025/-2145648603) | erreur HTTP 503 du serveur DRS. | Le serveur est actuellement indisponible. Les futures tentatives de jointure aboutiront probablement dès que le serveur sera de nouveau en ligne. |
Autres erreurs :
Code d'erreur | Motif | Résolution |
---|---|---|
E_INVALIDDATA (0x8007000d/-2147024883) | Impossible d’analyser la réponse du serveur JSON, probablement parce que le proxy retourne un HTTP 200 avec une page d’autorisation HTML. | Si l’environnement local nécessite un proxy sortant, l’administrateur informatique doit vérifier que le contexte du système sur l’appareil peut détecter le proxy sortant et s’y authentifier en mode silencieux. |
Phase d’authentification
Ce contenu s’applique uniquement aux comptes de domaine fédérés.
Causes de l’échec :
- Impossible d’obtenir un jeton d’accès en mode silencieux pour la ressource DRS.
- Les appareils Windows 10 et Windows 11 acquièrent le jeton d’authentification à partir du service FS (Federation Service) à l’aide de l’Authentification Windows intégrée à un point de terminaison WS-Trust actif. Pour plus d’informations, consultez Configuration du service FS (Federation Service).
Codes d’erreur courants :
Utilisez les journaux de l’observateur d’événements pour rechercher le code d’erreur, le code de sous-erreur, le code d’erreur du serveur et le message d’erreur du serveur.
- Dans l’Observateur d’événements, ouvrez les journaux des événements d’Inscription des appareils de l’utilisateur . Ils sont stockés dans le Journal des Applications et des Services>Microsoft>Windows>Inscription des appareils de l’utilisateur.
- Recherchez l’ID d’événement 305.
Erreurs de configuration :
Code d'erreur | Motif | Résolution |
---|---|---|
ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) | Le protocole d’authentification de la Bibliothèque d’authentification Azure AD (ADAL) n’est pas WS-Trust. | Le fournisseur d’identité local doit prendre en charge WS-Trust. |
ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) | Le service FS (Federation Service) local n’a pas renvoyé de réponse XML. | Assurez-vous que le point de terminaison de l’Échange de métadonnées (MEX) renvoie un fichier XML valide. Vérifiez que le proxy n’interfère pas et ne renvoie pas de réponses non-XML. |
ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) | Impossible de détecter un point de terminaison pour l’authentification par nom d’utilisateur/mot de passe. | vérifiez les paramètres du fournisseur d’identité local. Vérifiez que les points de terminaison WS-Trust sont activés et que la réponse MEX contient ces points de terminaison appropriés. |
Erreurs réseau :
Code d'erreur | Motif | Résolution |
---|---|---|
ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) | dépassement du délai d’attente général du réseau. | Vérifiez que https://login.microsoftonline.com est accessible dans le contexte du système. Assurez-vous que le fournisseur d’identité local est accessible dans le contexte du système. Pour plus d’informations, consultez Exigences de connectivité réseau. |
ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) | La connexion avec le point de terminaison d’autorisation a été abandonnée. | Réessayez la jointure après un certain temps ou essayez à partir d’un autre emplacement réseau stable. |
ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) | Le certificat TLS (Transport Layer Security) (précédemment appelé certificat SSL (Secure Sockets Layer) [SSL]) envoyé par le serveur n’a pas pu être validé. | vérifiez l’asymétrie temporelle du client. Réessayez la jointure après un certain temps ou essayez à partir d’un autre emplacement réseau stable. |
ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) | la tentative de connexion à https://login.microsoftonline.com a échoué. |
Vérifiez la connexion réseau à https://login.microsoftonline.com . |
Autres erreurs :
Code d'erreur | Motif | Résolution |
---|---|---|
ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) | Le jeton SAML du fournisseur d’identité local n’a pas été accepté par Microsoft Entra ID. | Vérifiez les paramètres du Serveur de fédération. Recherchez le code d’erreur du serveur dans les journaux d’authentification. |
ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) | La réponse WS-Trust du serveur a signalé une exception d’erreur et n’a pas pu obtenir d’assertion. | Vérifiez les paramètres du Serveur de fédération. Recherchez le code d’erreur du serveur dans les journaux d’authentification. |
ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) | une erreur s’est produite lors de la tentative d’obtention du jeton d’accès auprès du point de terminaison de jeton. | recherchez l’erreur sous-jacente dans le journal ADAL. |
ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) | Échec général d’ADAL | recherchez le code de sous-erreur ou le code d’erreur du serveur dans les journaux d’authentification. |
Phase de jointure
Causes de l’échec :
Recherchez le type d’inscription et le code d’erreur dans les tables suivantes, en fonction de la version de Windows 10 que vous utilisez.
Windows 10, version 1803 ou ultérieure
Recherchez la sous-section « Inscription précédente » dans la section « Données de diagnostic » de la sortie de l’état de la jointure. Cette section s’affiche uniquement si l’appareil est joint à un domaine et ne parvient pas à établir la jonction hybride Microsoft Entra.
Le champ « Type d’inscription » indique le type de jonction effectué.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) is not found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Versions antérieures de Windows 10
Servez-vous des journaux de l’Observateur d’événements pour identifier la phase et le code d’erreur des échecs de jointure.
- Dans l’Observateur d’événements, ouvrez les journaux des événements d’Inscription des appareils de l’utilisateur . Ils sont stockés dans le Journal des Applications et des Services>Microsoft>Windows>Inscription des appareils de l’utilisateur.
- Recherchez l’ID d’événement 204.
Erreurs HTTP retournées à partir du serveur DRS :
Code d'erreur | Motif | Résolution |
---|---|---|
DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) | Réponse d’erreur reçue de DRS avec le code d’erreur : « DirectoryError ». | recherchez les causes et les résolutions possibles dans le code d’erreur du serveur. |
DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) | Réception d’une réponse d’erreur de DRS avec le code d’erreur : « AuthenticationError » et ErrorSubCode n’est pas « DeviceNotFound ». | recherchez les causes et les résolutions possibles dans le code d’erreur du serveur. |
DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) | Réponse d’erreur reçue de DRS avec le code d’erreur : « DirectoryError ». | recherchez les causes et les résolutions possibles dans le code d’erreur du serveur. |
Erreurs du module de plateforme sécurisée (TPM) :
Code d'erreur | Motif | Résolution |
---|---|---|
NTE_BAD_KEYSET (0x80090016/-2146893802) | L’opération de Module de plateforme sécurisée (TPM) (TPM) a échoué ou n’est pas valide. | Cette erreur indique que l’ensemble de clés n’existe pas. Cette erreur se produit lorsque le module de plateforme sécurisée est effacé sur les systèmes ou lorsqu’il existe une image sysprep incorrecte. Évitez d’effacer le module TPM dans les paramètres BIOS ou Windows. Si le module de plateforme sécurisée est effacé, les utilisateurs peuvent avoir besoin de récupérer en supprimant et en lisant des comptes pour résoudre le problème, en particulier lorsqu’ils ont plusieurs comptes WAM. Vérifiez que l’ordinateur à partir duquel l’image sysprep a été créée n’est pas joint à Microsoft Entra, à jonction hybride Microsoft Entra, ou inscrit dans Microsoft Entra. |
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | erreur TPM générique. | désactivez le module de plateforme sécurisée (TPM) sur les appareils présentant cette erreur. Windows 10 version 1809 et ultérieures détectent automatiquement les défaillances du TPM, et effectuent la jonction hybride à Microsoft Entra sans utiliser le TPM. |
TPM_E_NOTFIPS (0x80280036/-2144862154) | Le module TPM en mode FIPS n’est actuellement pas pris en charge. | désactivez le module de plateforme sécurisée (TPM) sur les appareils présentant cette erreur. Windows 10 version 1809 détecte automatiquement les échecs du TPM, et effectue la jonction hybride à Microsoft Entra sans utiliser le TPM. |
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | Le module TPM est verrouillé. | Erreur temporaire. Attendez la période de temps de recharge. La tentative de jointure devrait réussir après un certain temps. Pour plus d’informations, consultez les principes de base du module de plateforme sécurisée. |
Erreurs réseau :
Code d'erreur | Motif | Résolution |
---|---|---|
WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Expiration générale du délai d’attente du réseau pendant la tentative d’inscription de l’appareil sur DRS. | vérifiez la connectivité réseau à https://enterpriseregistration.windows.net . |
WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) | Le nom ou l’adresse du serveur n’a pas pu être résolue. | vérifiez la connectivité réseau à https://enterpriseregistration.windows.net . |
WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) | la connexion avec le serveur s’est terminée anormalement. | Réessayez la jointure après un certain temps ou essayez à partir d’un autre emplacement réseau stable. |
Autres erreurs :
Code d'erreur | Motif | Résolution |
---|---|---|
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | EventID 220 est présent dans les journaux des événements d’inscription des appareils de l’utilisateur. Windows ne peut pas accéder à l’objet ordinateur dans le répertoire actif. Un code d’erreur Windows peut être inclus dans l’événement. Les codes d’erreur ERROR_NO_SUCH_LOGON_SESSION (1312) et ERROR_NO_SUCH_USER (1317) ont trait à des problèmes de réplication dans un AD local. | Résoudre les problèmes de réplication dans le répertoire actif. Ces problèmes de réplication peuvent être temporaires et peuvent disparaître après un certain temps. |
Erreurs du serveur – Jointure fédérée :
Code d’erreur du serveur | Message d’erreur du serveur | Causes possibles | Résolution |
---|---|---|---|
DirectoryError | Votre requête est limitée temporairement. Réessayez après 300 secondes. | Il s’agit d’une erreur attendue, peut-être parce que plusieurs demandes d’inscription ont été effectuées en succession rapide. | Tentez à nouveau la jointure après la période de temps de recharge. |
Erreurs du serveur – Jointure de synchronisation :
Code d’erreur du serveur | Message d’erreur du serveur | Causes possibles | Résolution |
---|---|---|---|
DirectoryError | AADSTS90002 : Locataire UUID introuvable. Cette erreur peut se produire s’il n’existe pas d’abonnement actif pour le locataire. Vérifiez avec l’administrateur de votre abonnement. |
L’ID de locataire dans l’objet point de connexion de service est incorrect. | Vérifiez que l’objet point de connexion de service est configuré avec l’ID de locataire et les abonnements actifs appropriés Microsoft Entra, ou que le service est présent dans le locataire. |
DirectoryError | L’objet appareil correspondant à l’ID donné est introuvable. | Cette erreur est attendue pour une jonction de synchronisation. L’objet d’appareil n’a pas été synchronisé d’AD vers Microsoft Entra ID | Attendez la fin de la synchronisation Microsoft Entra Connect, et la prochaine tentative de jonction postérieure à la synchronisation résoudra le problème. |
AuthenticationError | Vérification du SID de l’ordinateur cible | Le certificat sur l’appareil Microsoft Entra ne correspond pas au certificat utilisé pour se connecter au blob pendant la synchronisation-jonction. Cette erreur signifie généralement que la synchronisation n’est pas encore terminée. | Attendez la fin de la synchronisation Microsoft Entra Connect, et la prochaine tentative de jonction postérieure à la synchronisation résoudra le problème. |
Étape 5 : Récupérer les journaux et contacter le Support Microsoft
Extrayez les fichiers dans un dossier, tel que c:\temp, puis accédez au dossier.
À partir d’une session de PowerShell Azure élevée, exécutez
.\start-auth.ps1 -v -accepteula
.Sélectionnez Basculer le compte pour basculer vers une autre session avec l’utilisateur posant problème.
Reproduisez le problème.
Sélectionnez Basculer le compte pour revenir à la session d’administration qui exécute le suivi.
À partir de la session PowerShell élevées, exécutez
.\stop-auth.ps1
.Compressez et envoyez le dossier Authlogs à partir du dossier où les scripts ont été exécutés.
Résoudre les problèmes d’authentification post-jointure
Étape 1 : récupérer l’état PRT à l’aide de dsregcmd /status
Ouvrez une fenêtre d’invite de commandes.
Notes
Pour connaître l’état du jeton d’actualisation principal (PRT), ouvrez la fenêtre d’invite de commandes dans le contexte de l’utilisateur connecté.
Exécutez
dsregcmd /status
.La section « état de la SSO » fournit l’état PRT actuel.
Si le champ AzureAdPrt est défini sur NON, une erreur s’est produite lors de l’acquisition de l’état du jeton d’actualisation principal à partir de Microsoft Entra ID.
Si la valeur AzureAdPrtUpdateTime est supérieure à 4 heures, il y a probablement un problème d’actualisation du PRT. Verrouillez et déverrouillez l’appareil pour forcer l’actualisation du jeton PRT, puis vérifiez si l’heure a été mise à jour.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : YES
AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs
+----------------------------------------------------------------------+
Étape 2 : rechercher le code d’erreur
À partir de la dsregcmd
sortie
Notes
La sortie est disponible à partir de Windows 10, mise à jour de mai 2021 (version 21H1).
Le champ « État de la tentative » sous le champ « AzureAdPrt » fournit l’état de la tentative précédente du jeton PRT, ainsi que d’autres informations de débogage nécessaires. Pour les versions antérieures de Windows, extrayez les informations des journaux d’activités des opérations et d’analyses Microsoft Entra.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
À partir des journaux des opérations et d’analytique Microsoft Entra
Utilisez l’observateur d’événements pour rechercher les entrées de journal qui sont journalisées par le plug-in CloudAP Microsoft Entra pendant l’acquisition du jeton PRT.
- Dans l’observateur d’événements, ouvrez les journaux des événements d’opérations Microsoft Entra. Ils sont stockés sous Journal Applications et services>Microsoft>Windows>AAD.
Notes
Le plug-in CloudAP enregistre les événements d’erreur dans les journaux des opérations et enregistre les événements d’informations dans les journaux d’analyse. Les événements des journaux d’analyse et des opérations sont requis pour résoudre les problèmes.
L’événement 1006 dans les journaux d’analyse indique le début du processus d’acquisition de PRT et l’événement 1007 dans les journaux d’analyse indique la fin du flux d’acquisition PRT. Tous les événements des journaux Microsoft Entra (analytiques et des opérations) entre les événements 1006 et 1007 ont été enregistrés dans le cadre du flux d’acquisition de jeton d’actualisation principal.
L’événement 1007 enregistre le code d’erreur final.
Étape 3 : Résoudre les problèmes en fonction du code d’erreur trouvé
Code d'erreur | Motif | Résolution |
---|---|---|
STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d) STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a) |
Remarque : WS-Trust est requis pour l’authentification fédérée. |
|
STATUS_REQUEST_NOT_ACCEPTED (-1073741616/ 0xc00000d0) | Réception d’une réponse d’erreur (HTTP 400) à partir du service d’authentification Microsoft Entra ou du point de terminaison WS-Trust. Remarque : WS-Trust est requis pour l’authentification fédérée. |
Les événements 1081 et 1088 (journaux opérationnels Microsoft Entra) contiennent le code d’erreur du serveur et la description de l’erreur pour les erreurs provenant respectivement du service d’authentification Microsoft Entra et du point de terminaison WS-Trust. Les codes d’erreur de serveur courants et leurs résolutions sont répertoriés dans la section suivante. La première instance de l’événement 1022 (journaux analytiques Microsoft Entra), précédant les événements 1081 ou 1088, contient l’URL consultée. |
STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c) STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be) STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4) |
Remarque : WS-Trust est requis pour l’authentification fédérée. |
|
STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) | La détection du domaine utilisateur a échoué car le service d’authentification Microsoft Entra n’a pas pu trouver le domaine de l’utilisateur. | |
AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) | L’UPN de l’utilisateur n’est pas au format attendu. Remarques : |
whoami /upn doit afficher l’UPN configuré. |
AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) | Le SID de l’utilisateur est manquant dans le jeton d’ID retourné par le service d’authentification Microsoft Entra. | Vérifiez que le proxy de réseau n’interfère pas avec la réponse du serveur et ne la modifie pas |
AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) | Réception d’une erreur du point de terminaison WS-Trust. Remarque : WS-Trust est requis pour l’authentification fédérée. |
|
AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) | Point de terminaison MEX configuré de façon incorrecte. La réponse MEX ne contient aucune URL de mot de passe. | |
AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) | Point de terminaison MEX configuré de façon incorrecte. La réponse MEX ne contient aucune URL de point de terminaison de certificat. | |
WC_E_DTDPROHIBITED (-1072894385/ 0xc00cee4f) | La réponse XML, du point de terminaison WS-Trust, comprenait une définition de type de document (DTD). La DTD n’est pas attendue dans les réponses XML et l’analyse de la réponse échoue si la DTD est incluse. Remarque : WS-Trust est requis pour l’authentification fédérée. |
Codes d’erreur de serveur courants
Code d'erreur | Motif | Résolution |
---|---|---|
AADSTS50155 : échec de l’authentification de l’appareil | Suivez les instructions pour ce problème dans la FAQ sur la gestion des appareils Microsoft Entra pour réinscrire l’appareil en fonction du type de jonction de l’appareil. | |
AADSTS50034 : le compte d’utilisateur Account n’existe pas dans le répertoire tenant id . |
Microsoft Entra ID ne trouve pas le compte d’utilisateur dans le locataire. | |
AADSTS50126 : erreur de validation des informations d’identification en raison d’un nom d’utilisateur ou d’un mot de passe non valide. | Pour obtenir un jeton d’actualisation principal actualisé avec les nouvelles informations d’identification, attendez la fin de la synchronisation du mot de passe Microsoft Entra. |
Codes d’erreur réseau courants
Code d'erreur | Motif | Résolution |
---|---|---|
ERROR_WINHTTP_TIMEOUT (12002) ERROR_WINHTTP_NAME_NOT_RESOLVED (12007) ERROR_WINHTTP_CANNOT_CONNECT (12029) ERROR_WINHTTP_CONNECTION_ERROR (12030) |
Problèmes courants liés au réseau général. | Obtenez d’autres codes d’erreur réseau. |
Étape 4 : collecter les journaux
Journaux standard
- Accédez à https://aka.ms/icesdptool pour télécharger automatiquement un fichier .cab contenant l’outil de diagnostic.
- Exécutez l’outil et reproduisez votre scenario.
- Pour les traces Fiddler, acceptez les demandes de certificat qui s’affichent.
- L’Assistant vous invite à entrer un mot de passe pour protéger vos fichiers de trace. Fournissez un mot de passe.
- Enfin, ouvrez le dossier dans lequel sont stockés tous les journaux collectés, par exemple %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
- Contactez le support technique avec le contenu du dernier fichier de .cab .
Suivis réseau
Notes
Lorsque vous collectez des suivis réseau, il est important de ne pas utiliser Fiddler pendant la reproduction.
- Exécutez
netsh trace start scenario=internetClient_dbg capture=yes persistent=yes
. - Verrouillez et déverrouillez l’appareil. Pour les appareils joints hybrides, attendez plus d’une minute pour permettre l’exécution de la tâche d’acquisition PRT.
- Exécutez
netsh trace stop
. - Partager le fichier nettrace.cab avec la prise en charge.
Problèmes connus
Si vous êtes connecté à un point d’accès mobile ou à un réseau Wi-Fi externe et que vous accédez à Paramètres>Comptes>Accès professionnel ou scolaire, les appareils à jonction hybride Microsoft Entra peuvent afficher deux comptes différents, l’un pour Microsoft Entra ID et l’autre pour l’annuaire AD local. Ce problème d’interface utilisateur n’affecte pas la fonctionnalité.