Megosztás a következőn keresztül:

Eszközök hibaelhárítása a dsregcmd paranccsal

Ez a cikk bemutatja, hogyan használható a dsregcmd parancs kimenete a Microsoft Entra ID-ban lévő eszközök állapotának megértéséhez. Futtassa a dsregcmd /status segédprogramot tartományi felhasználói fiókként.

Eszköz állapota

Ez a szakasz az eszközcsatlakozás állapotparamétereit sorolja fel. Az eszköz különböző illesztésállapotban való használatához szükséges feltételek a következő táblázatban találhatók:

AzureAdJoined EnterpriseCsatlakozott DomainJoined Eszköz állapota
IGEN NEM NEM Microsoft Entra csatlakozott
NEM NEM IGEN Tartományhoz csatlakoztatva
IGEN NEM IGEN Microsoft Entra hibridként csatlakozva
NEM IGEN IGEN Helyszíni DRS csatlakoztatva

Jegyzet

A "Munkahelyhez csatlakozva" állapot (Microsoft Entra regisztrált) megjelenik a "Felhasználói állapot" szakaszban.

  • AzureAdJoined: Állítsa az állapotot IGEN, ha az eszköz csatlakozik a Microsoft Entra ID-hez. Ellenkező esetben állítsa az állapotot a NO.

  • EnterpriseJoined: Állítsa az állapotot IGEN értékre, ha az eszköz egy helyszíni Active Directoryhoz (AD) csatlakozik. Az eszköz nem lehet EnterpriseJoined és AzureAdJoined is.

  • DomainJoined: Állítsa az állapotot IGEN, ha az eszköz csatlakozik egy tartományhoz (Active Directory).

  • DomainName: Állítsa az állapotot a tartomány nevére, ha az eszköz csatlakozik egy tartományhoz.

Eszközállapot-mintakimenet

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Eszköz részletei

Az állapot csak akkor jelenik meg, ha az eszköz a Microsoft Entra-hoz csatlakoztatva van vagy Microsoft Entra hibrid módon csatlakoztatva van, nem pedig Microsoft Entra regisztrált. Ez a szakasz a Microsoft Entra-azonosítóban tárolt eszközazonosító adatokat sorolja fel.

  • DeviceId: Az eszköz egyedi azonosítója a Microsoft Entra bérlőben.
  • Ujjlenyomat: Az eszköztanúsítvány ujjlenyomata.
  • DeviceCertificateValidity: Az eszköztanúsítvány érvényességi állapota.
  • KeyContainerId: Az eszköz tanúsítványához társított titkos eszközkulcs tárolóazonosítója.
  • KeyProvider: Az eszköz titkos kulcsának tárolására használt KeyProvider (hardver/szoftver).
  • TpmProtected: Az állapot IGEN értékre van állítva, ha az eszköz titkos kulcsa egy hardveres megbízható platformmodulban (TPM) van tárolva.
  • DeviceAuthStatus: Ellenőrzi az eszköz állapotát a Microsoft Entra-azonosítóban. Az állapotok a következők:
    • SUCCESS, ha az eszköz jelen van és engedélyezve van a Microsoft Entra ID-ban.
    • SIKERTELEN. Az eszköz le van tiltva vagy törölve ha az eszköz le van tiltva vagy törölve van. A problémával kapcsolatos további információkért lásd Microsoft Entra eszközfelügyelettel kapcsolatos gyakori kérdéseket.
    • SIKERTELEN. HIBA ha a teszt nem volt képes lefutni. Ez a teszt hálózati kapcsolatot igényel a Microsoft Entra ID-hez a rendszerkörnyezetben.

    Jegyzet

    A DeviceAuthStatus mező a Windows 10 2021. májusi frissítésében (21H1-es verzió) lett hozzáadva.

  • Virtual Desktop: Három esetben jelenik meg ez a sor.
    • NINCS BEÁLLÍTVA – A VDI-eszköz metaadatai nem szerepelnek az eszközön.
    • IGEN – A VDI-eszköz metaadatai jelen vannak, és a dsregcmd a társított metaadatokat megjeleníti, beleértve a következőket:
      • Szolgáltató: A VDI-szállító neve.
      • Típus: Állandó VDI vagy nem állandó VDI.
      • Felhasználói mód: Egyfelhasználós vagy többfelhasználós.
      • Kiterjesztések: Az opcionális szállítóspecifikus metaadatokban található kulcsértékpárok száma, majd a kulcsértékpárok következnek.
    • ÉRVÉNYTELEN – A VDI-eszköz metaadatai jelen vannak, de nem megfelelően vannak beállítva. Ebben az esetben a dsregcmd helytelen metaadatokat ad ki.

Mintaeszköz kimenete részletei

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
                Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Bérlő adatai

A bérlő adatai csak akkor láthatók, ha az eszköz csatlakozott a Microsoft Entra-hoz vagy Microsoft Entra hibrid csatlakozott, és nem pedig Microsoft Entra regisztrált. Ez a szakasz felsorolja azokat a gyakori bérlői adatokat, amelyek akkor jelennek meg, amikor egy eszköz csatlakozik a Microsoft Entra-azonosítóhoz.

Jegyzet

Ha az ebben a szakaszban szereplő mobileszköz-kezelés (MDM) URL-mezői üresek, az azt jelzi, hogy az MDM nincs konfigurálva, vagy hogy az aktuális felhasználó nincs az MDM-regisztráció hatókörében. Az MDM-konfiguráció áttekintéséhez tekintse át a Microsoft Entra ID mobilitási beállításait.

Az MDM URL-címeinek jelenléte nem garantálja, hogy az eszközt MDM felügyeli. Az információk akkor is megjelennek, ha a bérlő MDM-konfigurációval rendelkezik az automatikus regisztrációhoz, még akkor is, ha magát az eszközt nem kezelik.

Minta bérlő adatainak kiírása

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVx{lots of characters}xxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Felhasználói állapot

Ez a szakasz az eszközre jelenleg bejelentkezett felhasználók különböző attribútumainak állapotát sorolja fel.

Jegyzet

A parancsnak egy felhasználói környezetben kell futnia egy érvényes állapot lekéréséhez.

  • NgcSet: Állítsa az állapotot IGEN, ha az aktuális bejelentkezett felhasználóhoz Windows Hello-kulcs van létrehozva.
  • NgcKeyId: A Windows Hello kulcs azonosítója, ha az aktuális bejelentkezett felhasználóhoz van beállítva.
  • CanReset: Azt jelzi, hogy a Felhasználó visszaállíthatja-e a Windows Hello kulcsot.
  • Lehetséges értékek: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive vagy Ismeretlen, ha hiba történt.
  • WorkplaceJoined: Állítsa az állapotot igen, ha a Microsoft Entra regisztrált fiókokat hozzáadtak az eszközhöz az aktuális NTUSER-környezetben.
  • WamDefaultSet: Állítsa az állapotot IGEN, ha a bejelentkezett felhasználó számára létrejön egy alapértelmezett WebAccount webfiók. Ez a mező hibaüzenetet jeleníthet meg, ha dsregcmd /status rendszergazda jogú parancssorból fut.
  • WamDefaultAuthority: Állítsa be az állapotot a Microsoft Entra ID-hez tartozó szervezetek.
  • WamDefaultId: Mindig használja a https://login.microsoft.com a Microsoft Entra-azonosítóhoz.
  • WamDefaultGUID: A WAM-szolgáltató (Microsoft Entra ID/Microsoft-fiók) GUID azonosítója az alapértelmezett WAM WebAccounthoz.

Minta felhasználói állapotkimenet

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

SSO (Egyszeri bejelentkezés) állapota

Ezt a szakaszt figyelmen kívül hagyhatja a Microsoft Entra által regisztrált eszközök esetében.

Jegyzet

A parancsnak felhasználói környezetben kell futnia a felhasználó érvényes állapotának lekéréséhez.

  • AzureAdPrt: Állítsa az állapotot IGEN, ha egy elsődleges frissítési jogkivonat (PRT) van jelen az eszközön a bejelentkezett felhasználó számára.
  • AzureAdPrtUpdateTime: Állítsa be az állapotot az időpontra az egyezményes világidő (UTC) szerint, amikor a PRT utoljára frissült.
  • AzureAdPrtExpiryTime: Állítsa az állapotot arra az időpontra (UTC), amikor a PRT lejár, ha nem újítják meg.
  • AzureAdPrtAuthority: A Microsoft Entra hitelesítő hatóság URL-címe
  • EnterprisePrt: Állítsa az állapotot IGEN, ha az eszköz a helyszíni Active Directory Federation Services (AD FS) által biztosított PRT-t használ. A Hibrid Microsoft Entra csatlakoztatott eszközök esetében az eszköz egyszerre rendelkezhet a Microsoft Entra-azonosítóból és a helyszíni Active Directoryból származó PRT-sel. A helyszíni csatlakoztatott eszközök csak nagyvállalati PRT-sel rendelkeznek.
  • EnterprisePrtUpdateTime: Állítsa az állapotot arra az időpontra( UTC) az Enterprise PRT legutóbbi frissítésének időpontjára.
  • EnterprisePrtExpiryTime: Állítsa az állapotot arra az időpontra( UTC), amikor a PRT lejár, ha nem újítják meg.
  • EnterprisePrtAuthority: Az AD FS hatóság URL-je

Jegyzet

A Windows 10 2021. májusi frissítésében (21H1-es verzió) a következő PRT diagnosztikai mezők lettek hozzáadva.

  • Az AzureAdPrt mezőben megjelenő diagnosztikai információk a Microsoft Entra PRT beszerzésére vagy frissítésére szolgálnak, és a EnterprisePrt mezőben megjelenő diagnosztikai információk a Nagyvállalati PRT beszerzésére vagy frissítésére szolgálnak.
  • A diagnosztikai információk csak akkor jelennek meg, ha a beszerzési vagy frissítési hiba a legutóbbi sikeres PRT-frissítési idő (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime) után történt.
    Egy megosztott eszközön ez a diagnosztikai információ egy másik felhasználó bejelentkezési kísérletéből származhat.
  • AcquirePrtDiagnostics: Állítsa az állapotot a PRESENT értékre, ha a beszerzett PRT diagnosztikai adatok szerepelnek a naplókban.
    • Ez a mező akkor lesz kihagyva, ha nem áll rendelkezésre diagnosztikai információ.
  • Korábbi prt-kísérlet: A sikertelen PRT-kísérlet helyi időpontja (UTC).
  • kísérlet állapota: A visszaadott ügyfél hibakódja (HRESULT).
  • felhasználói identitás: Annak a felhasználónak az UPN-je, akinek a PRT-kísérlet történt.
  • hitelesítő adattípus: A PRT beszerzéséhez vagy frissítéséhez használt hitelesítő adat. A hitelesítő adatok gyakori típusai a Jelszó és a Következő generációs hitelesítő adatok (NGC) (Windows Hello esetén).
  • korrelációs azonosító: A kiszolgáló által a sikertelen PRT-kísérlethez küldött korrelációs azonosító.
  • végpont URI-: A hiba előtt elért utolsó végpont.
  • HTTP-metódus: A végpont eléréséhez használt HTTP-módszer.
  • HTTP-hiba: WinHttp átviteli hibakód. További hálózati hibakódok lekérése.
  • HTTP-állapot: A végpont által visszaadott HTTP-állapot.
  • kiszolgáló hibakódja: A kiszolgáló hibakódja.
  • kiszolgáló hibaleírása: A kiszolgáló hibaüzenete.
  • RefreshPrtDiagnostics: Állítsa az állapotot PRESENT értékre, ha a beszerzett PRT diagnosztikai adatok szerepelnek a naplókban.
    • Ez a mező akkor lesz kihagyva, ha nem áll rendelkezésre diagnosztikai információ.
    • A diagnosztikai adatok mezői megegyeznek AcquirePrtDiagnostics.

Jegyzet

A Windows 11 eredeti kiadásában (21H2-es verzió) a következő Cloud Kerberos diagnosztikai mezők lettek hozzáadva.

  • OnPremTgt: Állítsa az állapotot IGEN, ha a bejelentkezett felhasználó számára jelen van az eszközön egy felhőalapú Kerberos-jegy a helyszíni erőforrások eléréséhez.
  • CloudTgt: Állítsa az állapotot IGEN értékre, ha egy Cloud Kerberos-jegy jelen van az eszközön a bejelentkezett felhasználó számára a felhő erőforrások eléréséhez.
  • KerbTopLevelNames: A felhőbeli Kerberos legfelső szintű Kerberos-tartományneveinek listája.

SSO-állapotkimenet mintája

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Diagnosztikai adatok

Előcsatlakozás diagnosztikái

Ez a diagnosztikai szakasz csak akkor jelenik meg, ha az eszköz tartományhoz van csatlakoztatva, de nem képes a Microsoft Entra hibrid csatlakozáshoz.

Ez a szakasz különböző teszteket végez az illesztés hibáinak diagnosztizálásához. Az információk közé tartozik a következő hibafázis, hibakód, kiszolgálókérés azonosítója, kiszolgálói válasz HTTP-állapota és kiszolgálói válasz hibaüzenete.

  • felhasználói környezet: Az a környezet, amelyben a diagnosztika fut. Lehetséges értékek: SYSTEM, UN-ELEVATED Felhasználó, EMELT SZINTŰ felhasználó.

    Jegyzet

    Mivel a tényleges illesztés a SYSTEM-környezetben történik, a rendszerkörnyezetben futó diagnosztika a legközelebbi a tényleges illesztés forgatókönyvéhez. A diagnosztika SYSTEM környezetben való futtatásához a dsregcmd /status parancsot rendszergazda jogú parancssorból kell futtatni.

  • Client Time: A rendszeridő, UTC-ben.

  • AD-kapcsolati teszt: Ez a teszt a tartományvezérlőhöz való kapcsolódási tesztet hajtja végre. A teszt hibája valószínűleg illesztéshibákat eredményez az előzetes ellenőrzési fázisban.

  • AD konfigurációs teszt: Ez a teszt beolvassa és ellenőrzi, hogy a szolgáltatáskapcsolati pont (SCP) objektum megfelelően van-e konfigurálva a helyszíni Active Directory-erdőben. A teszt hibái valószínűleg csatlakozási hibákat eredményeznek a felderítés fázisában a hibakóddal 0x801c001d.

  • DRS felderítési teszt: Ez a teszt lekéri a DRS-végpontokat a felderítési metaadat-végpontról, és végrehajt egy felhasználói tartományra vonatkozó kérést. A teszt hibái valószínűleg csatlakozási hibákat eredményeznek a felderítés fázisában.

  • DRS kapcsolati teszt: Ez a teszt egy alapszintű kapcsolati tesztet végez a DRS-végponthoz.

  • token-elérési teszt: Ez a teszt Microsoft Entra hitelesítési tokent próbál lekérni, ha a felhasználói bérlő összevont a rendszer. A teszt hibái valószínűleg csatlakozási hibákat eredményeznek a hitelesítési fázisban. Ha a hitelesítés sikertelen, a rendszer tartalékként kísérli meg a szinkronizálást, kivéve, ha a tartalékolás kifejezetten le van tiltva a következő beállításkulcs-beállításokkal:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
Value: FallbackToSyncJoin
Type:  REG_DWORD
Value: 0x0 -> Disabled
Value: 0x1 -> Enabled
Default (No Key): Enabled

  • Visszaállás a Sync-Join funkcióra: Állítsa az állapotot Engedélyezett-re, ha az előző beállításkulcs, amely megakadályozza a hitelesítési hibák miatti visszaállást a Sync-Join funkcióra, nincs jelen. Ez a lehetőség a Windows 10 1803 és újabb verziókban érhető el.

  • Korábbi regisztráció: Az az időpont, amikor az előző csatlakozási kísérlet történt. A rendszer csak a sikertelen csatlakozási kísérleteket naplózza.

  • hibafázis: Annak az illesztésnek a szakasza, amelyben megszakították. A lehetséges értékek a következők: előzetes ellenőrzés, felderítés, hitelesítés, és csatlakozás.

  • Client ErrorCode: A visszaadott ügyfél hibakódja (HRESULT).

  • Server ErrorCode: A kiszolgáló hibakódja akkor jelenik meg, ha egy kérést küldtek a kiszolgálónak, és a kiszolgáló hibakóddal válaszolt.

  • kiszolgálói üzenet: A kiszolgálói üzenet a hibakóddal együtt jelenik meg.

  • Https-állapot: A kiszolgáló által visszaadott HTTP-állapot.

  • kérésazonosító: A kiszolgálónak küldött ügyfél-kérelemazonosító. A kérésazonosító hasznos a kiszolgálóoldali naplókkal való korrelációhoz.

Minta előcsatlakozás előtti diagnosztikai kimenet

Az alábbi példa egy felderítési hibával meghiúsult diagnosztikai tesztet mutat be.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

Az alábbi példa azt mutatja, hogy a diagnosztikai tesztek sikeresek, de a regisztrációs kísérlet könyvtárhiba miatt meghiúsult, ami a szinkronizálási csatlakozáshoz várható. A Microsoft Entra Connect szinkronizálási feladatának befejezése után az eszköz csatlakozni tud.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Csatlakozás utáni diagnosztikák

Ez a diagnosztikai szakasz a felhőhöz csatlakoztatott eszközön végrehajtott ellenőrzések kimenetét jeleníti meg.

  • AadRecoveryEnabled: Ha az érték IGEN, az eszközön tárolt kulcsok nem használhatóak, és az eszköz helyreállításra van megjelölve. A következő bejelentkezés aktiválja a helyreállítási folyamatot, és újra regisztrálja az eszközt.
  • KeySignTest: Ha az érték SIKERES, az eszköz kulcsai jó állapotban vannak. Ha a KeySignTest sikertelen, az eszköz általában helyreállításra van megjelölve. A következő bejelentkezés aktiválja a helyreállítási folyamatot, és újra regisztrálja az eszközt. A Microsoft Entra hibrid csatlakoztatott eszközei esetében a helyreállítás csendes. Bár az eszközök csatlakoznak a Microsoft Entra-hoz vagy regisztrálják a Microsoft Entra-t, szükség esetén felhasználói hitelesítést kérnek az eszköz helyreállításához és újraregisztrálásához.

    Jegyzet

    A KeySignTest emelt szintű jogosultságokat igényel.

Minta az illesztés utáni diagnosztikai kimenetre

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

NGC előfeltételek ellenőrzése

Ez a diagnosztikai szakasz elvégzi a Windows Hello for Business (WHFB) beállításának előfeltételeit.

Jegyzet

Előfordulhat, hogy nem látja az NGC előfeltételeinek ellenőrzési részleteit dsregcmd /status-ban, ha a felhasználó sikeresen konfigurálta a WHFB-t.

  • IsDeviceJoined: Állítsa az állapotot igen, ha az eszköz csatlakozik a Microsoft Entra ID-hez.
  • IsUserAzureAD: Az állapot legyen igen, ha a bejelentkezett felhasználó szerepel a Microsoft Entra ID-ben.
  • PolicyEnabled: Állítsa az állapotot igen, ha a WHFB-szabályzat engedélyezve van az eszközön.
  • PostLogonEnabled: Állítsa az állapotot IGEN, ha a WHFB-regisztrációt natív módon aktiválja a platform. Ha az állapot a NOvan beállítva, az azt jelzi, hogy a Vállalati Windows Hello regisztrációt egy egyéni mechanizmus aktiválja.
  • DeviceEligible: Állítsa az állapotot YES, ha az eszköz megfelel a WHFB-regisztráció hardverkövetelményének.
  • SessionIsNotRemote: Állítsa be az állapotot IGEN, ha az aktuális felhasználó közvetlenül az eszközre van bejelentkezve, nem pedig távolról.
  • Tanúsítványigénylési: Ez a beállítás a WHFB tanúsítványhitelesítési üzembe helyezésére vonatkozik, és jelöli a WHFB tanúsítványkiállítási hatóságát. Állítsa az állapotot a(z) regisztrációs hatósági értékre, ha a WHFB-szabályzat forrása a csoportházirend, vagy állítsa a(z) mobilkészülék-kezelés értékre, ha a forrás az MDM. Ha egyik forrás sem érvényes, állítsa az állapotot úgy, hogy nincs.
  • AdfsRefreshToken: Ez a beállítás a WHFB Tanúsítványhitelesség telepítésére vonatkozik, és csak akkor jelenik meg, ha a Tanúsítványigénylés állapota regisztrációs szolgáltató. A beállítás azt jelzi, hogy az eszköz rendelkezik-e vállalati PRT-sel a felhasználó számára.
  • AdfsRaIsReady: Ez a beállítás a WHFB tanúsítványmegbízhatóság üzembe helyezésére vonatkozik, és csak akkor jelenik meg, ha a Tanúsítványigénylés állapota regisztrációs szolgáltató. Állítsa az állapotot IGEN-re, ha az AD FS a felderítési metaadatokban azt jelzi, hogy támogatja a WHFB -t, és a bejelentkezési tanúsítványsablon elérhető.
  • LogonCertTemplateReady: Ez a beállítás a WHFB Tanúsítványbizalom üzembe helyezésére vonatkozik, és csak akkor jelenik meg, ha a CertEnrollment állapota regisztrációs hatóság. Állítsa az állapotot IGEN-re, ha a bejelentkezési tanúsítványsablon állapota érvényes, és segít elhárítani az AD FS regisztrációs hatóságot (RA).
  • PreReqResult: Az összes WHFB-előfeltétel kiértékelésének eredményét adja meg. Állítsa be az állapotot Kiépít, ha a WHFB-regisztráció bejelentkezés utáni feladatként indulna el, amikor a felhasználó legközelebb bejelentkezik.

Jegyzet

A Windows 10 2021. májusi frissítésében (21H1-es verzió) a következő Cloud Kerberos diagnosztikai mezők lettek hozzáadva.

A Windows 11 23H2-es verziója előtt az OnPremTGT beállítás neve CloudTGTvolt.

  • OnPremTGT: Ez a beállítás a Cloud Kerberos megbízhatósági üzembe helyezésére vonatkozik, és csak akkor jelenik meg, ha a CertEnrollment állapota nincs. Állítsa az állapotot IGEN, ha az eszköz rendelkezik egy felhőalapú Kerberos-jeggyel a helyszíni erőforrások eléréséhez. A Windows 11 23H2-es verziója előtt ezt a beállítást CloudTGTnevezték el.

NGC előfeltételek ellenőrzési mintakimenet

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Következő lépések

Nyissa meg a Microsoft hibakeresési eszközét.