A Microsoft Entra hibrid csatlakozású eszközeinek hibaelhárítása
Ez a cikk hibaelhárítási útmutatást nyújt a Windows 10-et vagy újabbat, illetve a Windows Server 2016-ot vagy újabbat futtató eszközökkel kapcsolatos lehetséges problémák megoldásához.
A Microsoft Entra hibrid csatlakoztatása támogatja a Windows 10 2015. november 10-i és újabb frissítését.
A többi Windows-ügyfél hibaelhárításához tekintse meg a Microsoft Entra hibrid csatlakoztatott, alacsonyabb szintű eszközeinek hibaelhárítását.
Ez a cikk feltételezi, hogy a Microsoft Entra hibrid csatlakoztatott eszközökkel rendelkezik a következő forgatókönyvek támogatásához:
- Eszközalapú feltételes hozzáférés
- Nagyvállalati szintű barangolás
- Vállalati Windows Hello
Feljegyzés
Az eszközregisztrációs problémák elhárításához használja az Eszközregisztrációs hibaelhárító eszközt.
Csatlakozási hibák elhárítása
1. lépés: A csatlakozási állapot lekérése
- Nyisson meg egy Parancssor ablakot rendszergazdaként.
- Gépelje be:
dsregcmd /status.
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined: YES
EnterpriseJoined: NO
DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
Thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
KeyProvider: Microsoft Platform Crypto Provider
TpmProtected: YES
KeySignTest: : MUST Run elevated to test.
Idp: login.windows.net
TenantId: aaaabbbb-0000-cccc-1111-dddd2222eeee
TenantName: Contoso
AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl: eyJVc{lots of characters}JdfQ==
JoinSrvVersion: 1.0
JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion: 1.0
KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
DomainJoined: YES
DomainName: CONTOSO
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet: YES
NgcKeyId: {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
WorkplaceJoined: NO
WamDefaultSet: YES
WamDefaultAuthority: organizations
WamDefaultId: https://login.microsoft.com
WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
AzureAdPrt: YES
2. lépés: A csatlakozási állapot kiértékelése
Tekintse át a következő táblázat mezőit, és győződjön meg arról, hogy a mezők a várt értékekkel rendelkeznek:
| Mező | Várt érték | Leírás |
|---|---|---|
| DomainJoined | IGEN | Ez a mező azt jelzi, hogy az eszköz csatlakozik-e egy helyi Active Directory. Ha az érték NEM, az eszköz nem tudja elvégezni a Microsoft Entra hibrid csatlakoztatását. |
| WorkplaceJoined | NEM | Ez a mező azt jelzi, hogy az eszköz regisztrálva van-e a Microsoft Entra-azonosítóval személyes eszközként (munkahelyi csatlakozásként megjelölve). Ennek az értéknek nemnek kell lennie olyan tartományhoz csatlakoztatott számítógépek esetében, amelyekhez a Microsoft Entra hibrid csatlakoztatása is tartozik. Ha az érték IGEN, egy munkahelyi vagy iskolai fiók lett hozzáadva a Microsoft Entra hibrid csatlakozás befejezése előtt. Ebben az esetben a rendszer figyelmen kívül hagyja a fiókot a Windows 10 1607-es vagy újabb verziójának használatakor. |
| AzureAdJoined | IGEN | Ez a mező azt jelzi, hogy az eszköz csatlakoztatva van-e. Az érték IGEN , ha az eszköz Egy Microsoft Entra-hez csatlakoztatott eszköz vagy egy Hibrid Microsoft Entra-eszköz. Ha az érték NEM, a Microsoft Entra-azonosítóhoz való csatlakozás még nem fejeződött be. |
Folytassa a következő lépésekkel a további hibaelhárításhoz.
3. lépés: Annak a fázisnak a megkeresése, amelyben az illesztés meghiúsult, és a hibakód
Windows 10 1803-es vagy újabb verzió esetén
Keresse meg az "Előző regisztráció" alszakaszt az illesztési állapot kimenetének "Diagnosztikai adatok" szakaszában. Ez a szakasz csak akkor jelenik meg, ha az eszköz tartományhoz csatlakozik, és nem tud hibrid Microsoft Entra-csatlakozást végrehajtani.
A "Hibafázis" mező az illesztési hiba fázisát jelöli, a "Client ErrorCode" pedig az illesztési művelet hibakódját.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Korábbi Windows 10-verziók esetén
A Eseménynapló naplók segítségével keresse meg az illesztés hibáinak fázis- és hibakódját.
- A Eseménynapló nyissa meg a felhasználói eszközregisztrációs eseménynaplókat. Az alkalmazások és szolgáltatások naplója>a Microsoft>Windows>felhasználói eszközregisztrációja alatt vannak tárolva.
- Keresse meg a következő eseményazonosítókkal rendelkező eseményeket: 304, 305 és 307.
4. lépés: Ellenőrizze a lehetséges okokat és megoldásokat
Előzetes ellenőrzési fázis
A hiba lehetséges okai:
- Az eszköznek nincs látóvonala a tartományvezérlőhöz.
- Az eszköznek a szervezet belső hálózatán vagy egy olyan virtuális magánhálózaton kell lennie, amely egy helyi Active Directory tartományvezérlőhöz tartozó hálózati látóvonalat használ.
A felderítés fázisa
A hiba lehetséges okai:
- A szolgáltatáskapcsolati pont objektuma helytelenül van konfigurálva, vagy nem olvasható a tartományvezérlőről.
- Érvényes szolgáltatáskapcsolati pont objektumra van szükség az AD-erdőben, amelyhez az eszköz tartozik, és amely a Microsoft Entra ID-ban egy ellenőrzött tartománynévre mutat.
- További információkért lásd az oktatóanyag "Szolgáltatáskapcsolati pont konfigurálása" című szakaszát : A Microsoft Entra hibrid csatlakoztatásának konfigurálása összevont tartományokhoz.
- Nem sikerült csatlakozni a felderítési metaadatokhoz és lekérni a felderítési végpontról.
- Az eszköznek a rendszerkörnyezetben hozzá kell férnie
https://enterpriseregistration.windows.neta regisztrációs és engedélyezési végpontok felderítéséhez. - Ha a helyszíni környezet kimenő proxyt igényel, a rendszergazdának biztosítania kell, hogy az eszköz számítógépfiókja felderítse és csendesen hitelesítse a kimenő proxyt.
- Az eszköznek a rendszerkörnyezetben hozzá kell férnie
- Nem sikerült csatlakozni a felhasználói tartományvégponthoz, és tartományfelderítést végezni (csak a Windows 10 1809-es és újabb verzióiban).
- Az eszköznek a rendszerkörnyezetben hozzá kell tudnia férni
https://login.microsoftonline.comaz ellenőrzött tartomány tartományfelderítéséhez, és meg kell határoznia a tartomány típusát (felügyelt vagy összevont). - Ha a helyszíni környezet kimenő proxyt igényel, a rendszergazdának biztosítania kell, hogy az eszközön lévő rendszerkörnyezet felderítse és csendesen hitelesítse a kimenő proxyt.
- Az eszköznek a rendszerkörnyezetben hozzá kell tudnia férni
Gyakori hibakódok:
| Hibakód | Ok | Resolution (Osztás) |
|---|---|---|
| DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | Nem olvasható be a szolgáltatáskapcsolati pont (SCP) objektum, és nem olvashatók be a Microsoft Entra-bérlő adatai. | Tekintse meg a Szolgáltatáskapcsolati pont konfigurálása szakaszt. |
| DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) | Általános felderítési hiba. Nem sikerült lekérni a felderítési metaadatokat az adatreplikációs szolgáltatásból (DRS). | A további vizsgálathoz keresse meg az alhálózatot a következő szakaszokban. |
| DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) | A művelet időtúllépést hajtott végre a felderítés során. | Győződjön meg arról, hogy https://enterpriseregistration.windows.net az elérhető a rendszerkörnyezetben. További információkért tekintse meg a Hálózati kapcsolat követelményei című szakaszt. |
| DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) | Általános tartományfelderítési hiba. Nem sikerült meghatározni a tartománytípust (felügyelt/összevont) az STS-ből. | A további vizsgálathoz keresse meg az alhálózatot a következő szakaszokban. |
Gyakori alhibakódok:
A felderítési hibakód alhálózati kódjának megkereséséhez használja az alábbi módszerek egyikét.
Windows 10 1803-es vagy újabb verzió
Keresse meg a "DRS Felderítési teszt" kifejezést az illesztési állapot kimenetének "Diagnosztikai adatok" szakaszában. Ez a szakasz csak akkor jelenik meg, ha az eszköz tartományhoz csatlakozik, és nem tud hibrid Microsoft Entra-csatlakozást végrehajtani.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : UN-ELEVATED User
Client Time : 2019-06-05 08:25:29.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
+----------------------------------------------------------------------+
Korábbi Windows 10-verziók
A Eseménynapló naplókkal keresse meg az illesztés hibáinak fázis- és hibakódját.
- A Eseménynapló nyissa meg a felhasználói eszközregisztrációs eseménynaplókat. Az alkalmazások és szolgáltatások naplója>a Microsoft>Windows>felhasználói eszközregisztrációja alatt vannak tárolva.
- Keresse meg a 201-ben használt eseményazonosítót.
Hálózati hibák:
| Hibakód | Ok | Resolution (Osztás) |
|---|---|---|
| WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) | Nem sikerült kapcsolatot létesíteni a kiszolgálóval. | Győződjön meg arról, hogy a szükséges Microsoft-erőforrásokhoz hálózati kapcsolat szükséges. További információért lásd a hálózati kapcsolatra vonatkozó követelményeket. |
| WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Általános hálózati időtúllépés. | Győződjön meg arról, hogy a szükséges Microsoft-erőforrásokhoz hálózati kapcsolat szükséges. További információért lásd a hálózati kapcsolatra vonatkozó követelményeket. |
| WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) | A hálózati verem nem tudta dekódolni a kiszolgáló válaszát. | Győződjön meg arról, hogy a hálózati proxy nem zavarja és nem módosítja a kiszolgáló válaszát. |
HTTP-hibák:
| Hibakód | Ok | Resolution (Osztás) |
|---|---|---|
| DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) | A szolgáltatáskapcsolati pont objektuma helytelen bérlőazonosítóval van konfigurálva, vagy nem található aktív előfizetés a bérlőben. | Győződjön meg arról, hogy a szolgáltatáskapcsolati pont objektuma a megfelelő Microsoft Entra-bérlőazonosítóval és aktív előfizetésekkel van konfigurálva, vagy hogy a szolgáltatás megtalálható-e a bérlőben. |
| DSREG_SERVER_BUSY (0x801c0025/-2145648603) | HTTP 503 a DRS-kiszolgálóról. | A kiszolgáló jelenleg nem érhető el. A későbbi csatlakozási kísérletek valószínűleg sikeresek lesznek, miután a kiszolgáló újra online állapotú lesz. |
Egyéb hibák:
| Hibakód | Ok | Resolution (Osztás) |
|---|---|---|
| E_INVALIDDATA (0x8007000d/-2147024883) | A kiszolgáló válasz JSON-ját nem sikerült elemezni, valószínűleg azért, mert a proxy EGY HTTP 200-et ad vissza HTML-engedélyezési oldallal. | Ha a helyszíni környezet kimenő proxyt igényel, a rendszergazdának biztosítania kell, hogy az eszközön lévő rendszerkörnyezet felderítse és csendesen hitelesítse a kimenő proxyt. |
Hitelesítési fázis
Ez a tartalom csak összevont tartományi fiókokra vonatkozik.
A hiba okai:
- Nem sikerült csendesen lekérni a hozzáférési jogkivonatot a DRS-erőforráshoz.
- A Windows 10 és a Windows 11 rendszerű eszközök a hitelesítési jogkivonatot az összevonási szolgáltatásból szerzik be integrált Windows-hitelesítéssel egy aktív WS-Trust-végpontra. További információ: Összevonási szolgáltatás konfigurációja.
Gyakori hibakódok:
A Eseménynapló naplók segítségével keresse meg a hibakódot, az alkiszolgáló kódját, a kiszolgáló hibakódját és a kiszolgálói hibaüzenetet.
- A Eseménynapló nyissa meg a felhasználói eszközregisztrációs eseménynaplókat. Az alkalmazások és szolgáltatások naplója>a Microsoft>Windows>felhasználói eszközregisztrációja alatt vannak tárolva.
- Keresse meg a 305-ös eseményazonosítót.
Konfigurációs hibák:
| Hibakód | Ok | Resolution (Osztás) |
|---|---|---|
| ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) | Az Azure AD Authentication Library (ADAL) hitelesítési protokoll nem WS-Trust. | A helyszíni identitásszolgáltatónak támogatnia kell a WS-Trust funkciót. |
| ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) | A helyszíni összevonási szolgáltatás nem adott vissza XML-választ. | Győződjön meg arról, hogy a Metaadat Exchange (MEX) végpont érvényes XML-t ad vissza. Győződjön meg arról, hogy a proxy nem zavarja és nem adja vissza a nemxml-válaszokat. |
| ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) | Nem sikerült felderíteni a felhasználónév/jelszó hitelesítésének végpontját. | Ellenőrizze a helyszíni identitásszolgáltató beállításait. Győződjön meg arról, hogy a WS-Trust végpontok engedélyezve vannak, és hogy a MEX-válasz ezeket a megfelelő végpontokat tartalmazza. |
Hálózati hibák:
| Hibakód | Ok | Resolution (Osztás) |
|---|---|---|
| ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) | Általános hálózati időtúllépés. | Győződjön meg arról, hogy https://login.microsoftonline.com az elérhető a rendszerkörnyezetben. Győződjön meg arról, hogy a helyszíni identitásszolgáltató elérhető a rendszerkörnyezetben. További információért lásd a hálózati kapcsolatra vonatkozó követelményeket. |
| ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) | Megszakadt a kapcsolat az engedélyezési végponttal. | Kis idő múlva próbálkozzon újra a csatlakozással, vagy próbáljon egy másik stabil hálózati helyről csatlakozni. |
| ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) | A kiszolgáló által küldött Transport Layer Security (TLS) tanúsítvány (korábbi nevén Secure Sockets Layer [SSL] tanúsítvány) nem érvényesíthető. | Ellenőrizze az ügyfél időeltérését. Kis idő múlva próbálkozzon újra a csatlakozással, vagy próbáljon egy másik stabil hálózati helyről csatlakozni. |
| ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) | A kapcsolódási https://login.microsoftonline.com kísérlet sikertelen volt. |
Ellenőrizze a hálózati kapcsolatot a következőhöz https://login.microsoftonline.com: . |
Egyéb hibák:
| Hibakód | Ok | Resolution (Osztás) |
|---|---|---|
| ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) | A Helyszíni identitásszolgáltató SAML-jogkivonatát a Microsoft Entra ID nem fogadta el. | Ellenőrizze az összevonási kiszolgáló beállításait. Keresse meg a kiszolgáló hibakódját a hitelesítési naplókban. |
| ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) | A kiszolgáló WS-Trust válasza hibakivételt jelentett, és nem sikerült a helyesség lekérése. | Ellenőrizze az összevonási kiszolgáló beállításait. Keresse meg a kiszolgáló hibakódját a hitelesítési naplókban. |
| ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) | Hibaüzenetet kapott, amikor hozzáférési jogkivonatot próbált lekérni a jogkivonat végpontjáról. | Keresse meg a mögöttes hibát az ADAL-naplóban. |
| ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) | Általános ADAL-hiba. | Keresse meg az alkiszolgáló kódját vagy a kiszolgáló hibakódját a hitelesítési naplókból. |
Csatlakozás fázisa
A hiba okai:
Keresse meg a regisztrációs típust és a hibakódot a következő táblákból, a használt Windows 10-verziótól függően.
Windows 10 1803-es vagy újabb verzió
Keresse meg az "Előző regisztráció" alszakaszt az illesztési állapot kimenetének "Diagnosztikai adatok" szakaszában. Ez a szakasz csak akkor jelenik meg, ha az eszköz tartományhoz csatlakozik, és nem tud hibrid Microsoft Entra-csatlakozást létrehozni.
A "Regisztráció típusa" mező az illesztés típusát jelöli.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) is not found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Korábbi Windows 10-verziók
A Eseménynapló naplók segítségével keresse meg az illesztés hibáinak fázis- és hibakódját.
- A Eseménynapló nyissa meg a felhasználói eszközregisztrációs eseménynaplókat. Az alkalmazások és szolgáltatások naplója>a Microsoft>Windows>felhasználói eszközregisztrációja alatt vannak tárolva.
- Keresse meg a 204-ben használt eseményazonosítót.
A DRS-kiszolgálótól visszaadott HTTP-hibák:
| Hibakód | Ok | Resolution (Osztás) |
|---|---|---|
| DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) | Hibaválaszt kapott a DRS a Következő Hibakóddal: "DirectoryError". | A lehetséges okokért és a megoldásért tekintse meg a kiszolgáló hibakódját. |
| DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) | Hibaválaszt kapott a DRS a Következő Hibakóddal: "AuthenticationError" és ErrorSubCode nem "DeviceNotFound". | A lehetséges okokért és a megoldásért tekintse meg a kiszolgáló hibakódját. |
| DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) | Hibaválaszt kapott a DRS a Következő Hibakóddal: "DirectoryError". | A lehetséges okokért és a megoldásért tekintse meg a kiszolgáló hibakódját. |
TPM-hibák:
| Hibakód | Ok | Resolution (Osztás) |
|---|---|---|
| NTE_BAD_KEYSET (0x80090016/-2146893802) | A megbízható platformmodul (TPM) művelet nem sikerült vagy érvénytelen volt. | Ez a hiba azt jelzi, hogy a kulcskészlet nem létezik. Ez a hiba akkor fordul elő, ha a TPM törlődik a rendszereken, vagy ha hibás sysprep rendszerkép van. Kerülje a TPM törlését a BIOS vagy a Windows beállításai között. Ha a TPM nincs engedélyezve, előfordulhat, hogy a felhasználóknak helyre kell állniuk a fiókok eltávolításával és olvasásával a probléma megoldásához, különösen akkor, ha több WAM-fiókkal rendelkeznek. Győződjön meg arról, hogy a sysprep rendszerképet létrehozó gép nem csatlakozik a Microsoft Entra-hoz, nem csatlakozik a Microsoft Entra hibrid csatlakoztatásához vagy a Microsoft Entra regisztrálva van. |
| TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | Általános TPM-hiba. | Tiltsa le a TPM-et az eszközökön ezzel a hibával. A Windows 10 1809-s és újabb verziói automatikusan észlelik a TPM-hibákat, és a TPM használata nélkül befejezik a Microsoft Entra hibrid csatlakoztatását. |
| TPM_E_NOTFIPS (0x80280036/-2144862154) | A TPM FIPS módban jelenleg nem támogatott. | Tiltsa le a TPM-et az eszközökön ezzel a hibával. A Windows 10 1809-es verziója automatikusan észleli a TPM-hibákat, és a TPM használata nélkül befejezi a Microsoft Entra hibrid illesztést. |
| NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | A TPM ki van zárva. | Átmeneti hiba. Várja meg a várakozási idő leteltét. A csatlakozási kísérletnek egy idő után sikerrel kell járnia. További információkért tekintse meg a TPM alapjait. |
Hálózati hibák:
| Hibakód | Ok | Resolution (Osztás) |
|---|---|---|
| WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Az általános hálózati időtúllépés az eszköz drS-ben való regisztrálására való kísérlet. | Ellenőrizze a hálózati kapcsolatot.https://enterpriseregistration.windows.net |
| WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) | A kiszolgáló neve vagy címe nem oldható fel. | Ellenőrizze a hálózati kapcsolatot.https://enterpriseregistration.windows.net |
| WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) | A kiszolgálóval való kapcsolat rendellenesen megszakadt. | Kis idő múlva próbálkozzon újra a csatlakozással, vagy próbáljon egy másik stabil hálózati helyről csatlakozni. |
Egyéb hibák:
| Hibakód | Ok | Resolution (Osztás) |
|---|---|---|
| DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | A 220-ás eseményazonosító megtalálható a felhasználói eszközregisztrációs eseménynaplókban. A Windows nem tudja elérni a számítógép-objektumot az Active Directoryban. Előfordulhat, hogy windowsos hibakód szerepel az eseményben. A ERROR_NO_SUCH_LOGON_SESSION (1312) és ERROR_NO_SUCH_USER (1317) hibakódok a helyi Active Directory replikációs problémáihoz kapcsolódnak. | Az Active Directory replikációs problémáinak elhárítása. Ezek a replikációs problémák átmenetiek lehetnek, és egy idő után eltűnhetnek. |
Összevont illesztőkiszolgáló hibái:
| Kiszolgálói hibakód | Kiszolgálói hibaüzenet | Lehetséges okok | Resolution (Osztás) |
|---|---|---|---|
| DirectoryError | A kérés átmenetileg szabályozva van. Próbálja meg 300 másodperc után. | Ez a hiba valószínűleg azért várható, mert több regisztrációs kérés is történt gyors egymásutánban. | Az illesztés újrapróbálkozása a lehűlési időszak után |
Szinkronizálási illesztési kiszolgáló hibái:
| Kiszolgálói hibakód | Kiszolgálói hibaüzenet | Lehetséges okok | Resolution (Osztás) |
|---|---|---|---|
| DirectoryError | AADSTS90002: A bérlő UUID nem található. Ez a hiba akkor fordulhat elő, ha nincs aktív előfizetés a bérlő számára. Forduljon az előfizetés rendszergazdájához. |
A szolgáltatáskapcsolati pont objektum bérlőazonosítója helytelen. | Győződjön meg arról, hogy a szolgáltatáskapcsolati pont objektuma a megfelelő Microsoft Entra-bérlőazonosítóval és aktív előfizetésekkel van konfigurálva, vagy hogy a szolgáltatás megtalálható-e a bérlőben. |
| DirectoryError | A megadott azonosító szerinti eszközobjektum nem található. | Ez a hiba szinkronizálási illesztés esetén várható. Az eszközobjektum nem szinkronizálódott az AD-ből a Microsoft Entra-azonosítóba | Várja meg, amíg a Microsoft Entra Connect Sync befejeződik, és a szinkronizálás befejezése utáni következő csatlakozási kísérlet megoldja a problémát. |
| AuthenticationError | A célszámítógép SID-jének ellenőrzése | A Microsoft Entra-eszközön lévő tanúsítvány nem egyezik meg a blobba való bejelentkezéshez használt tanúsítvánnyal a szinkronizálási csatlakozás során. Ez a hiba általában azt jelenti, hogy a szinkronizálás még nem fejeződött be. | Várja meg, amíg a Microsoft Entra Connect Sync befejeződik, és a szinkronizálás befejezése utáni következő csatlakozási kísérlet megoldja a problémát. |
5. lépés: Naplók gyűjtése és kapcsolatfelvétel Microsoft ügyfélszolgálata
Bontsa ki a fájlokat egy mappába(például c:\temp), majd lépjen a mappába.
Egy emelt szintű Azure PowerShell-munkamenetből futtassa a következőt
.\start-auth.ps1 -v -accepteula: .Válassza a Fiókváltás lehetőséget, ha másik munkamenetre szeretne váltani a problémás felhasználóval.
Reprodukálja a problémát.
Válassza a Fiókváltás lehetőséget, ha vissza szeretne váltani a nyomkövetést futtató rendszergazdai munkamenetre.
Az emelt szintű PowerShell-munkamenetben futtassa a következőt
.\stop-auth.ps1: .Tömörítse (tömörítse) és küldje el az Authlogs mappát abból a mappából, ahol a szkriptek végrehajtásra kerültek.
Csatlakozás utáni hitelesítési problémák elhárítása
1. lépés: A PRT állapotának lekérése a következő használatával: dsregcmd /status
Nyissa meg a parancssori ablakot.
Feljegyzés
Az elsődleges frissítési jogkivonat (PRT) állapotának lekéréséhez nyissa meg a Parancssor ablakot a bejelentkezett felhasználó környezetében.
Futtassa az
dsregcmd /statusparancsot.Az "SSO state" (Egyszeri bejelentkezés állapota) szakasz az aktuális PRT-állapotot adja meg.
Ha az AzureAdPrt mező nem értékre van állítva, hiba történt a PRT állapotának a Microsoft Entra-azonosítóból való lekérésekor.
Ha az AzureAdPrtUpdateTime több mint négy óra, valószínűleg probléma merül fel a PRT frissítésével kapcsolatban. Zárolja és feloldja az eszközt a PRT-frissítés kényszerítéséhez, majd ellenőrizze, hogy frissül-e az idő.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : YES
AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs
+----------------------------------------------------------------------+
2. lépés: A hibakód megkeresése
dsregcmd A kimenetből
Feljegyzés
A kimenet a Windows 10 2021. májusi frissítéséből (21H1-es verzió) érhető el.
Az "AzureAdPrt" mező "Kísérlet állapota" mezője az előző PRT-kísérlet állapotát, valamint a többi szükséges hibakeresési információt tartalmazza. A korábbi Windows-verziók esetében a Microsoft Entra elemzési és üzemeltetési naplóiból nyerje ki az információkat.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
A Microsoft Entra elemzési és üzemeltetési naplóiból
A Eseménynapló használatával keresse meg a Microsoft Entra CloudAP beépülő modul által a PRT-beszerzés során naplózott naplóbejegyzéseket.
- A Eseménynapló nyissa meg a Microsoft Entra Operational eseménynaplóit. A rendszer a Microsoft>Windows>AAD alkalmazás- és szolgáltatási naplójában>tárolja őket.
Feljegyzés
A CloudAP beépülő modul hibaeseményeket naplóz az operatív naplókban, és naplózza az elemzési naplókban szereplő információs eseményeket. Az elemzési és üzemeltetési naplóesemények egyaránt szükségesek a problémák elhárításához.
Az elemzési naplók 1006-os eseménye a PRT-beszerzési folyamat kezdetét jelöli, az elemzési naplókban pedig az 1007-s esemény a PRT beszerzési folyamat végét jelöli. Az 1006 és 1007 közötti események között naplózott Microsoft Entra-naplók (elemzések és üzemeltetés) összes eseményét a PRT-beszerzési folyamat részeként naplóztuk.
Az 1007-s esemény naplózza a végső hibakódot.
3. lépés: További hibaelhárítás a talált hibakód alapján
| Hibakód | Ok | Resolution (Osztás) |
|---|---|---|
| STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d) STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a) |
Megjegyzés: Az összevont hitelesítéshez WS-Trust szükséges. |
|
| STATUS_REQUEST_NOT_ACCEPTED (-1073741616/ 0xc00000d0) | Hibaválaszt (HTTP 400) kapott a Microsoft Entra hitelesítési szolgáltatástól vagy a WS-Trust végponttól. Megjegyzés: Az összevont hitelesítéshez WS-Trust szükséges. |
Az 1081-es és 1088-es események (a Microsoft Entra működési naplói) a Microsoft Entra hitelesítési szolgáltatásból és a WS-Trust végpontból származó hibák kiszolgálói hibakódját és hibaleírását tartalmazzák. A gyakori kiszolgálói hibakódok és azok megoldásai a következő szakaszban jelennek meg. Az 1022-s esemény első példánya (Microsoft Entra analytics-naplók) az 1081-et vagy az 1088-at megelőző eseményeket tartalmazza a megnyitott URL-címet. |
| STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c) STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be) STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4) |
Megjegyzés: Az összevont hitelesítéshez WS-Trust szükséges. |
|
| STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) | A felhasználói tartomány felderítése meghiúsult, mert a Microsoft Entra hitelesítési szolgáltatás nem tudta megtalálni a felhasználó tartományát. | |
| AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) | A felhasználó UPN-azonosítója nem a várt formátumban van. Megjegyzések: |
whoami /upn meg kell jelenítenie a konfigurált UPN-et. |
| AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) | A felhasználói SID hiányzik a Microsoft Entra hitelesítési szolgáltatás által visszaadott azonosító jogkivonatból. | Győződjön meg arról, hogy a hálózati proxy nem zavarja és nem módosítja a kiszolgáló válaszát. |
| AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (-1073445695/ 0xc00484c1) | Hiba történt a WS-Trust végponttól. Megjegyzés: Az összevont hitelesítéshez WS-Trust szükséges. |
|
| AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) | A MEX-végpont helytelenül van konfigurálva. A MEX-válasz nem tartalmaz jelszóra vonatkozó URL-címeket. | |
| AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) | A MEX-végpont helytelenül van konfigurálva. A MEX-válasz nem tartalmaz tanúsítványvégponti URL-címeket. | |
| WC_E_DTDPROHIBITED (-1072894385/ 0xc00cee4f) | A WS-Trust végpont xml-válasza tartalmazott egy dokumentumtípus-definíciót (DTD). Az XML-válaszok nem várnak DTD-t, és a válasz elemzése meghiúsul, ha egy DTD szerepel benne. Megjegyzés: Az összevont hitelesítéshez WS-Trust szükséges. |
Gyakori kiszolgálói hibakódok
| Hibakód | Ok | Resolution (Osztás) |
|---|---|---|
| AADSTS50155: Az eszközhitelesítés nem sikerült | Kövesse a Microsoft Entra eszközfelügyeleti gyakori kérdéseinek utasításait az eszköz újraregisztrálásához az eszköz csatlakoztatási típusa alapján. | |
AADSTS50034: A felhasználói fiók Account nem létezik a tenant id címtárban |
A Microsoft Entra ID nem találja a felhasználói fiókot a bérlőben. | |
| AADSTS50126: Hiba történt a hitelesítő adatok érvénytelen felhasználónév vagy jelszó miatt történő ellenőrzésekor. | Ha új hitelesítő adatokkal szeretne friss PRT-t beszerezni, várja meg, amíg a Microsoft Entra jelszószinkronizálása befejeződik. |
Gyakori hálózati hibakódok
| Hibakód | Ok | Resolution (Osztás) |
|---|---|---|
| ERROR_WINHTTP_TIMEOUT (12002) ERROR_WINHTTP_NAME_NOT_RESOLVED (12007) ERROR_WINHTTP_CANNOT_CONNECT (12029) ERROR_WINHTTP_CONNECTION_ERROR (12030) |
A hálózattal kapcsolatos gyakori problémák. | További hálózati hibakódok lekérése. |
4. lépés: Naplók gyűjtése
Normál naplók
- Lépjen a https://aka.ms/icesdptool diagnosztikai eszközt tartalmazó .cab fájl automatikus letöltéséhez.
- Futtassa az eszközt, és hajtsa végre újra a forgatókönyvet.
- Fiddler-nyomkövetések esetén fogadja el az előugró tanúsítványkérelmeket.
- A varázsló jelszót kér a nyomkövetési fájlok védelméhez. Adjon meg egy jelszót.
- Végül nyissa meg azt a mappát, amelyben az összes összegyűjtött naplót tárolja, például %LOCALAPPDATA%\Emelt szintűdiagnostics\numbers.
- Lépjen kapcsolatba az ügyfélszolgálattal a legújabb .cab fájl tartalmával.
Hálózati nyomkövetések
Feljegyzés
Hálózati nyomkövetések gyűjtésekor fontos, hogy ne használja a Fiddlert a repro során.
- Futtassa az
netsh trace start scenario=internetClient_dbg capture=yes persistent=yesparancsot. - Zárolja és feloldja az eszközt. Hibrid csatlakoztatott eszközök esetén várjon egy vagy több percet, hogy a PRT-beszerzési feladat befejeződjön.
- Futtassa az
netsh trace stopparancsot. - Ossza meg a nettrace.cab fájlt a támogatási szolgálattal.
Ismert problémák
Ha mobil hotspothoz vagy külső Wi-Fi-hálózathoz csatlakozik, és a Beállítások>fiókok hozzáférése munkahelyi vagy iskolai fiókhoz>csatlakozik, a Microsoft Entra hibrid csatlakoztatott eszközei két különböző fiókot jeleníthetnek meg, egyet a Microsoft Entra-azonosítóhoz, egyet pedig a helyszíni AD-hez. Ez a felhasználói felületi probléma nem befolyásolja a funkciókat.