Eszközök hibaelhárítása a dsregcmd paranccsal

  • Cikk

Ez a cikk bemutatja, hogyan használható a parancs kimenete a dsregcmd Microsoft Entra-azonosítóban lévő eszközök állapotának megértéséhez. A dsregcmd /status segédprogramot tartományi felhasználói fiókként kell futtatni.

Eszköz állapota

Ez a szakasz az eszközcsatlakozás állapotparamétereit sorolja fel. Az eszköz különböző illesztésállapotban való használatához szükséges feltételek a következő táblázatban találhatók:

AzureAdJoined EnterpriseJoined DomainJoined Eszköz állapota
IGEN NEM NEM Csatlakoztatott Microsoft Entra
NEM NEM IGEN Tartományhoz csatlakoztatva
IGEN NEM IGEN Csatlakoztatott Microsoft Entra hibrid
NEM IGEN IGEN Helyszíni DRS-hez csatlakoztatva

Megjegyzés:

A Munkahelyhez csatlakoztatott (Regisztrált Microsoft Entra) állapot a "Felhasználó állapota" szakaszban jelenik meg.

  • AzureAdJoined: Állítsa az állapotot IGEN értékre, ha az eszköz csatlakozik a Microsoft Entra-azonosítóhoz. Ellenkező esetben állítsa az állapotot NEM értékre.
  • EnterpriseJoined: Állítsa az állapotot IGEN értékre, ha az eszköz egy helyszíni adatreplikációs szolgáltatáshoz (DRS) csatlakozik. Az eszköz nem lehet EnterpriseJoined és AzureAdJoined is.
  • DomainJoined: Állítsa az állapotot IGEN értékre, ha az eszköz csatlakozik egy tartományhoz (Active Directory).
  • DomainName: Állítsa az állapotot a tartomány nevére, ha az eszköz csatlakozik egy tartományhoz.

Eszközállapot-mintakimenet

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Eszközadatok

Az állapot csak akkor jelenik meg, ha az eszköz csatlakozik a Microsoft Entra-hoz vagy a Microsoft Entra hibrid csatlakozik (a Microsoft Entra nem regisztrált). Ez a szakasz a Microsoft Entra-azonosítóban tárolt eszközazonosító adatokat sorolja fel.

  • DeviceId: Az eszköz egyedi azonosítója a Microsoft Entra-bérlőben.
  • Ujjlenyomat: Az eszköztanúsítvány ujjlenyomata.
  • DeviceCertificateValidity: Az eszköztanúsítvány érvényességi állapota.
  • KeyContainerId: Az eszköztanúsítványhoz társított eszköz titkos kulcsának tárolóazonosítója.
  • KeyProvider: Az eszköz titkos kulcsának tárolására használt KeyProvider (hardver/szoftver).
  • TpmProtected: Az állapot IGEN értékre van állítva, ha az eszköz titkos kulcsa egy hardveres megbízható platformmodulban (TPM) van tárolva.
  • DeviceAuthStatus: Ellenőrzést végez az eszköz állapotának meghatározásához a Microsoft Entra-azonosítóban. Az állapotok a következők:
    • SIKER, ha az eszköz jelen van és engedélyezve van a Microsoft Entra-azonosítóban.
    • NEM SIKERÜLT. Az eszköz le van tiltva vagy törölve ha az eszköz le van tiltva vagy törölve van. A problémával kapcsolatos további információkért tekintse meg a Microsoft Entra eszközfelügyeletével kapcsolatos gyakori kérdéseket.
    • NEM SIKERÜLT. HIBA ha a teszt nem tudott futni. Ez a teszt hálózati kapcsolatot igényel a Microsoft Entra ID-hez a rendszerkörnyezetben.

    Megjegyzés:

    A DeviceAuthStatus mező a Windows 10 2021. májusi frissítésében (21H1-es verzió) lett hozzáadva.

  • Virtual Desktop: Ez három esetben jelenik meg.
    • NOT Standard kiadás T – A VDI-eszköz metaadatai nem szerepelnek az eszközön.
    • IGEN – A VDI-eszköz metaadatai jelen vannak, és dsregcmd kimenetek társított metaadatok, beleértve a következőket:
      • Szolgáltató: A VDI-szállító neve.
      • Típus: Állandó VDI vagy nem állandó VDI.
      • Felhasználói mód: Egyfelhasználós vagy többfelhasználós.
      • Bővítmények: A kulcsértékpárok száma az opcionális szállítóspecifikus metaadatokban, majd a kulcsértékpárok.
    • ÉRVÉNYTELEN – A VDI-eszköz metaadatai jelen vannak, de nem megfelelően vannak beállítva. Ebben az esetben a dsregcmd helytelen metaadatokat ad ki.

Mintaeszköz részleteinek kimenete

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : e92325d0-xxxx-xxxx-xxxx-94ae875dxxxx
                Thumbprint : D293213EF327483560EED8410CAE36BB67208179
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 13e68a58-xxxx-xxxx-xxxx-a20a2411xxxx
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Bérlő adatai

A bérlő adatai csak akkor jelennek meg, ha az eszköz csatlakozik a Microsoft Entra-hoz, vagy a Microsoft Entra hibrid csatlakozik, nem pedig a Microsoft Entra regisztrálva. Ez a szakasz felsorolja azokat a gyakori bérlői adatokat, amelyek akkor jelennek meg, amikor egy eszköz csatlakozik a Microsoft Entra-azonosítóhoz.

Megjegyzés:

Ha az ebben a szakaszban szereplő mobileszköz-kezelés (MDM) URL-mezői üresek, az azt jelzi, hogy az MDM nincs konfigurálva, vagy hogy az aktuális felhasználó nincs az MDM-regisztráció hatókörében. Az MDM-konfiguráció áttekintéséhez tekintse át a Microsoft Entra ID mobilitási beállításait.

Még ha MDM URL-címeket is lát, ez nem jelenti azt, hogy az eszközt egy MDM felügyeli. Az információk akkor is megjelennek, ha a bérlő MDM-konfigurációval rendelkezik az automatikus regisztrációhoz, még akkor is, ha maga az eszköz nincs felügyelve.

Minta bérlő részleteinek kimenete

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : 96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVxxxxIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyxxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Felhasználói állapot

Ez a szakasz az eszközre jelenleg bejelentkezett felhasználók különböző attribútumainak állapotát sorolja fel.

Megjegyzés:

A parancsnak egy felhasználói környezetben kell futnia egy érvényes állapot lekéréséhez.

  • NgcSet: Állítsa az állapotot IGEN értékre, ha egy Windows Hello-kulcs van beállítva az aktuális bejelentkezett felhasználóhoz.
  • NgcKeyId: A Windows Hello kulcs azonosítója, ha az aktuális bejelentkezett felhasználóhoz van beállítva.
  • CanReset: Azt jelzi, hogy a Felhasználó visszaállíthatja-e a Windows Hello kulcsot.
  • Lehetséges értékek: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive vagy Unknown if error.
  • WorkplaceJoined: Állítsa az állapotot IGEN értékre, ha a Microsoft Entra regisztrált fiókjai hozzáadva lettek az eszközhöz az aktuális NTU Standard kiadás R környezetben.
  • WamDefaultSet: Állítsa az állapotot IGEN értékre, ha egy webfiókkezelő (WAM) alapértelmezett WebAccount jön létre a bejelentkezett felhasználó számára. Ez a mező hibaüzenetet jeleníthet meg, ha dsregcmd /status rendszergazda jogú parancssorból fut.
  • WamDefaultAuthority: Állítsa be az állapotot szervezeteknek a Microsoft Entra-azonosítóhoz.
  • WamDefaultId: Mindig a Microsoft Entra-azonosítóhoz használható https://login.microsoft.com .
  • WamDefaultGUID: A WAM-szolgáltató (Microsoft Entra ID/Microsoft-fiók) GUID azonosítója az alapértelmezett WAM WebAccounthoz.

Minta felhasználói állapotkimenet

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Egyszeri bejelentkezés állapota

Ezt a szakaszt figyelmen kívül hagyhatja a Microsoft Entra által regisztrált eszközök esetében.

Megjegyzés:

A parancsnak felhasználói környezetben kell futnia a felhasználó érvényes állapotának lekéréséhez.

  • AzureAdPrt: Állítsa az állapotot IGEN értékre, ha egy elsődleges frissítési jogkivonat (PRT) van jelen az eszközön a bejelentkezett felhasználó számára.
  • AzureAdPrtUpdateTime: Állítsa az állapotot az időpontra a koordináta egyetemes idő (UTC) szerint, amikor a PRT utoljára frissült.
  • AzureAdPrtExpiryTime: Állítsa az állapotot utc-ben megadott időpontra, amikor a PRT lejár, ha nem újítják meg.
  • AzureAdPrtAuthority: A Microsoft Entra-szolgáltató URL-címe
  • EnterprisePrt: Állítsa az állapotot IGEN értékre, ha az eszköz helyi Active Directory összevonási szolgáltatásokból (AD FS) származó PRT-t használ. A Hibrid Microsoft Entra-eszközök esetén az eszköz egyszerre rendelkezhet a Microsoft Entra id és helyi Active Directory PRT-jával is. A helyszíni csatlakoztatott eszközök csak nagyvállalati PRT-sel rendelkeznek.
  • EnterprisePrtUpdateTime: Állítsa az állapotot utc-ben arra az időpontra, amikor a vállalati PRT utoljára frissült.
  • EnterprisePrtExpiryTime: Állítsa az állapotot utc-ben megadott időpontra, amikor a PRT lejár, ha nem újítják meg.
  • EnterprisePrtAuthority: Az AD FS-szolgáltató URL-címe

Megjegyzés:

A Windows 10 2021. májusi frissítésében (21H1-es verzió) a következő PRT diagnosztikai mezők lettek hozzáadva.

  • Az AzureAdPrt mezőben megjelenő diagnosztikai információk a Microsoft Entra PRT beszerzésére vagy frissítésére szolgálnak, az EnterprisePrt mezőben megjelenő diagnosztikai információk pedig a Nagyvállalati PRT beszerzésére vagy frissítésére szolgálnak.
  • A diagnosztikai információk csak akkor jelennek meg, ha a beszerzési vagy frissítési hiba a legutóbbi sikeres PRT-frissítési idő (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime) után történt.
    Egy megosztott eszközön ez a diagnosztikai információ egy másik felhasználó bejelentkezési kísérletéből származhat.
  • AcquirePrtDiagnostics: Állítsa az állapotot PRE Standard kiadás NT értékre, ha a beszerzett PRT diagnosztikai adatok szerepelnek a naplókban.
    • Ez a mező akkor lesz kihagyva, ha nem áll rendelkezésre diagnosztikai információ.
  • Korábbi lekéréses kísérlet: A sikertelen PRT-kísérlet helyi időpontja UTC-ben.
  • Kísérlet állapota: A visszaadott ügyfél hibakódja (HRESULT).
  • Felhasználói identitás: Annak a felhasználónak az UPN-je, akinek a PRT-kísérlet történt.
  • Hitelesítő adat típusa: A PRT beszerzéséhez vagy frissítéséhez használt hitelesítő adat. A hitelesítő adatok gyakori típusai a Jelszó és a Következő generációs hitelesítő adatok (NGC) (Windows Hello esetén).
  • Korrelációs azonosító: A kiszolgáló által a sikertelen PRT-kísérlethez küldött korrelációs azonosító.
  • Végpont URI-ja: A hiba előtt elért utolsó végpont.
  • HTTP-metódus: A végpont eléréséhez használt HTTP-metódus.
  • HTTP-hiba: WinHttp átviteli hibakód. Egyéb hálózati hibakódok lekérése.
  • HTTP-állapot: A végpont által visszaadott HTTP-állapot.
  • Kiszolgálói hibakód: A kiszolgáló hibakódja.
  • Kiszolgálói hiba leírása: A kiszolgáló hibaüzenete.
  • RefreshPrtDiagnostics: Állítsa az állapotot PRE Standard kiadás NT értékre, ha a beszerzett PRT diagnosztikai adatok szerepelnek a naplókban.
    • Ez a mező akkor lesz kihagyva, ha nem áll rendelkezésre diagnosztikai információ.
    • A diagnosztikai információmezők megegyeznek az AcquirePrtDiagnostics mezőivel.

Megjegyzés:

A Windows 11 eredeti kiadásában (21H2-es verzió) a következő Cloud Kerberos diagnosztikai mezők lettek hozzáadva.

  • OnPremTgt: Állítsa az állapotot IGEN értékre, ha egy felhőalapú Kerberos-jegy a helyszíni erőforrások eléréséhez jelen van az eszközön a bejelentkezett felhasználó számára.
  • CloudTgt: Állítsa az állapotot IGEN értékre, ha egy felhőbeli Kerberos-jegy jelenik meg az eszközön a bejelentkezett felhasználó számára.
  • KerbTopLevelNames: A felhőbeli Kerberos legfelső szintű Kerberos-tartományneveinek listája.

SSO-állapotkimenet mintája

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : 63648321-fc5c-46eb-996e-ed1f3ba7740f
              Endpoint URI : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Diagnosztikai adatok

Előcsatlakozás diagnosztikái

Ez a diagnosztikai szakasz csak akkor jelenik meg, ha az eszköz tartományhoz csatlakozik, és nem képes a Microsoft Entra hibrid csatlakoztatására.

Ez a szakasz különböző teszteket végez az illesztés hibáinak diagnosztizálásához. Az információk közé tartozik a következő hibafázis, hibakód, kiszolgálókérés azonosítója, kiszolgálói válasz HTTP-állapota és kiszolgálói válasz hibaüzenete.

  • Felhasználói környezet: Az a környezet, amelyben a diagnosztika fut. Lehetséges értékek: SYSTEM, UN-EMELT szintű felhasználó, EMELT SZINTŰ felhasználó.

    Megjegyzés:

    Mivel a tényleges illesztés a SYSTEM-környezetben történik, a rendszerkörnyezetben futó diagnosztika a legközelebbi a tényleges illesztés forgatókönyvéhez. A diagnosztika SYSTEM környezetben való futtatásához a dsregcmd /status parancsot rendszergazda jogú parancssorból kell futtatni.

  • Ügyfélidő: A rendszeridő UTC-ben.

  • AD Csatlakozás ivity Test: Ez a teszt a tartományvezérlőhöz való kapcsolódási tesztet hajtja végre. A teszt hibája valószínűleg illesztéshibákat eredményez az előzetes ellenőrzési fázisban.

  • AD konfigurációs teszt: Ez a teszt beolvassa és ellenőrzi, hogy a Service Csatlakozás ion Point (SCP) objektum megfelelően van-e konfigurálva az helyi Active Directory erdőben. A teszt hibái valószínűleg csatlakozási hibákat eredményeznek a felderítés fázisában a hibakóddal 0x801c001d.

  • DRS felderítési teszt: Ez a teszt lekéri a DRS-végpontokat a felderítési metaadat-végpontról, és végrehajt egy felhasználói tartományra vonatkozó kérést. A teszt hibái valószínűleg csatlakozási hibákat eredményeznek a felderítés fázisában.

  • DRS Csatlakozás ivity Test: Ez a teszt egy alapszintű kapcsolati tesztet végez a DRS-végponthoz.

  • Jogkivonat-beszerzési teszt: Ez a teszt egy Microsoft Entra hitelesítési jogkivonatot próbál lekérni, ha a felhasználói bérlő összevont. A teszt hibái valószínűleg csatlakozási hibákat eredményeznek a hitelesítési fázisban. Ha a hitelesítés sikertelen, a rendszer tartalékként kísérli meg a szinkronizálást, kivéve, ha a tartalékolás kifejezetten le van tiltva a következő beállításkulcs-beállításokkal:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
Value: FallbackToSyncJoin
Type:  REG_DWORD
Value: 0x0 -> Disabled
Value: 0x1 -> Enabled
Default (No Key): Enabled

  • Visszalépés a szinkronizálási csatlakozásra: Állítsa az állapotot engedélyezve, ha az előző beállításkulcs megakadályozza, hogy a visszaállítás a hitelesítési hibákkal való szinkronizáláshoz ne legyen jelen. Ez a lehetőség a Windows 10 1803 és újabb verziókban érhető el.

  • Előző regisztráció: Az az időpont, amikor az előző csatlakozási kísérlet történt. A rendszer csak a sikertelen csatlakozási kísérleteket naplózza.

  • Hibafázis: Az illesztés azon szakasza, amelyben megszakították. A lehetséges értékek az előzetes ellenőrzés, a felfedezés, a hitelesítés és az illesztés.

  • Client ErrorCode: A visszaadott ügyfél hibakódja (HRESULT).

  • Kiszolgálói hibakód: A kiszolgáló hibakódja jelenik meg, ha egy kérést küldtek a kiszolgálónak, és a kiszolgáló hibakóddal válaszolt.

  • Kiszolgálói üzenet: A visszaadott kiszolgálói üzenet a hibakóddal együtt.

  • Https állapota: A kiszolgáló által visszaadott HTTP-állapot.

  • Kérelem azonosítója: A kiszolgálónak küldött ügyfél-kérelemazonosító. A kérésazonosító hasznos a kiszolgálóoldali naplókkal való korrelációhoz.

Minta előcsatlakozás előtti diagnosztikai kimenet

Az alábbi példa egy felderítési hibával meghiúsult diagnosztikai tesztet mutat be.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

Az alábbi példa azt mutatja, hogy a diagnosztikai tesztek sikeresek, de a regisztrációs kísérlet könyvtárhiba miatt meghiúsult, ami a szinkronizálási csatlakozáshoz várható. A Microsoft Entra Csatlakozás szinkronizálási feladat befejezése után az eszköz csatlakozni tud.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Csatlakozás utáni diagnosztikák

Ez a diagnosztikai szakasz a felhőhöz csatlakoztatott eszközön végzett higiénés ellenőrzések kimenetét jeleníti meg.

  • AadRecoveryEnabled: Ha az érték IGEN, az eszközön tárolt kulcsok nem használhatóak, és az eszköz helyreállításra van megjelölve. A következő bejelentkezés aktiválja a helyreállítási folyamatot, és újra regisztrálja az eszközt.
  • KeySignTest: Ha az érték PAS Standard kiadás D, az eszközkulcsok jó állapotban vannak. Ha a KeySignTest sikertelen, az eszköz általában helyreállításra van megjelölve. A következő bejelentkezés aktiválja a helyreállítási folyamatot, és újra regisztrálja az eszközt. A Microsoft Entra hibrid csatlakoztatott eszközei esetében a helyreállítás csendes. Bár az eszközök csatlakoznak a Microsoft Entra-hoz vagy regisztrálják a Microsoft Entra-t, szükség esetén felhasználói hitelesítést kérnek az eszköz helyreállításához és újraregisztrálásához.

    Megjegyzés:

    A KeySignTest emelt szintű jogosultságokat igényel.

Minta az illesztés utáni diagnosztikai kimenetre

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

NGC előfeltételek ellenőrzése

Ez a diagnosztikai szakasz elvégzi a Vállalati Windows Hello (WHFB) beállításának előfeltételeit.

Megjegyzés:

Előfordulhat, hogy nem látja az NGC előfeltételeinek dsregcmd /status részleteit, ha a felhasználó már sikeresen konfigurálta a WHFB-t.

  • IsDeviceJoined: Állítsa az állapotot IGEN értékre, ha az eszköz csatlakozik a Microsoft Entra-azonosítóhoz.
  • IsUserAzureAD: Állítsa az állapotot IGEN értékre, ha a bejelentkezett felhasználó jelen van a Microsoft Entra-azonosítóban.
  • PolicyEnabled: Állítsa az állapotot IGEN értékre, ha a WHFB-szabályzat engedélyezve van az eszközön.
  • PostLogonEnabled: Állítsa az állapotot IGEN értékre, ha a WHFB-regisztrációt natív módon aktiválja a platform. Ha az állapot NEM értékre van állítva, az azt jelzi, hogy Vállalati Windows Hello regisztrációt egy egyéni mechanizmus aktiválja.
  • DeviceEligible: Állítsa az állapotot IGEN értékre, ha az eszköz megfelel a WHFB-regisztrációhoz szükséges hardverkövetelményeknek.
  • SessionIsNotRemote: Állítsa az állapotot IGEN értékre, ha az aktuális felhasználó közvetlenül az eszközre van bejelentkezve, és nem távolról.
  • Tanúsítványigénylés: Ez a beállítás a WHFB tanúsítványmegbízhatósági üzemelő példányára vonatkozik, amely a WHFB tanúsítványregisztrációs szolgáltatóját jelöli. Állítsa be az állapotot regisztrációs szolgáltatóra, ha a WHFB-szabályzat forrása csoportházirend, vagy állítsa mobileszköz-felügyeletre, ha a forrás MDM. Ha egyik forrás sem érvényes, állítsa az állapotot egyikre sem.
  • AdfsRefreshToken: Ez a beállítás a WHFB tanúsítványmegbízhatósági üzembe helyezésére vonatkozik, és csak akkor jelenik meg, ha a CertEnrollment állapota regisztrációs szolgáltató. A beállítás azt jelzi, hogy az eszköz rendelkezik-e vállalati PRT-sel a felhasználó számára.
  • AdfsRaIsReady: Ez a beállítás a WHFB tanúsítványmegbízhatósági üzembe helyezésére vonatkozik, és csak akkor jelenik meg, ha a CertEnrollment állapota regisztrációs szolgáltató. Állítsa az állapotot IGEN értékre, ha az AD FS a felderítési metaadatokban azt jelzi, hogy támogatja a WHFB-t, és elérhető a bejelentkezési tanúsítványsablon.
  • LogonCertTemplateReady: Ez a beállítás a WHFB tanúsítványmegbízhatósági üzembe helyezésére vonatkozik, és csak akkor jelenik meg, ha a CertEnrollment állapota regisztrációs szolgáltató. Állítsa az állapotot IGEN értékre, ha a bejelentkezési tanúsítványsablon állapota érvényes, és segít az AD FS regisztrációs szolgáltató (RA) hibaelhárításában.
  • PreReqResult: Az összes WHFB-előfeltétel kiértékelésének eredményét adja meg. Állítsa az állapotot Will Provision értékre, ha a WHFB-regisztráció bejelentkezés utáni feladatként indulna el, amikor a felhasználó legközelebb bejelentkezik.

Megjegyzés:

A Windows 10 2021. májusi frissítésében (21H1-es verzió) a következő Cloud Kerberos diagnosztikai mezők lettek hozzáadva.

A Windows 11 23H2-es verziója előtt az OnPremTGT beállítást CloudTGT-nek hívták.

  • OnPremTGT: Ez a beállítás a Cloud Kerberos megbízhatósági üzembe helyezésére vonatkozik, és csak akkor jelenik meg, ha a CertEnrollment állapota nincs. Állítsa az állapotot IGEN értékre, ha az eszköz rendelkezik felhőalapú Kerberos-jeggyel a helyszíni erőforrások eléréséhez. A Windows 11 23H2-es verziója előtt ezt a beállítást CloudTGT-nek hívták.

NGC-minta előfeltételek ellenőrzése kimenet

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

További lépések

Nyissa meg a Microsoft hibakeresési eszközét.