Bagikan melalui

Memecahkan masalah perangkat dengan menggunakan perintah dsregcmd

Artikel ini menjelaskan cara menggunakan output dari perintah dsregcmd untuk memahami status perangkat di ID Microsoft Entra. Jalankan utilitas dsregcmd /status sebagai akun pengguna domain.

Status perangkat

Bagian ini mencantumkan parameter status penyambungan perangkat. Kriteria yang diperlukan agar perangkat berada di berbagai status gabungan tercantum dalam tabel berikut:

AzureAdJoined Perusahaan Bergabung DomainBergabung Status perangkat
YA TIDAK TIDAK Microsoft Entra bergabung
TIDAK TIDAK YA Domain Bergabung
YA TIDAK YA Microsoft Entra bergabung secara hybrid
TIDAK YA YA DRS Lokal Bergabung

Nota

Status Workplace Joined (terdaftar di Microsoft Entra) ditampilkan di bagian "Status Pengguna".

  • AzureAdJoined: Atur status ke YA jika perangkat bergabung ke ID Microsoft Entra. Jika tidak, atur status ke TIDAK.

  • EnterpriseJoined: Atur status ke YA jika perangkat digabungkan ke Active Directory (AD) lokal. Perangkat tidak dapat menjadi EnterpriseJoined dan AzureAdJoined.

  • DomainJoined: Atur status ke YA jika perangkat bergabung ke domain (Direktori Aktif).

  • DomainName: Atur status ke nama domain jika perangkat digabungkan ke domain.

Contoh output status perangkat

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Detail perangkat

Status ditampilkan hanya ketika perangkat bergabung dengan Microsoft Entra atau bergabung dalam mode hibrid Microsoft Entra, bukan Microsoft Entra diregistrasi. Bagian ini mencantumkan detail identifikasi perangkat yang disimpan di ID Microsoft Entra.

  • DeviceId: ID unik perangkat di tenant Microsoft Entra.
  • Thumbprint: Sidik jari sertifikat perangkat.
  • DeviceCertificateValidity: Status validitas sertifikat perangkat.
  • KeyContainerId: ContainerId kunci privat perangkat yang terkait dengan sertifikat perangkat.
  • KeyProvider: KeyProvider (Perangkat Keras/Perangkat Lunak) yang digunakan untuk menyimpan kunci privat perangkat.
  • TpmProtected: Status diatur ke YA jika kunci privat perangkat disimpan dalam Modul Platform Tepercaya (TPM) perangkat keras.
  • DeviceAuthStatus: Melakukan pemeriksaan untuk menentukan kesehatan perangkat di ID Microsoft Entra. Status kesehatannya adalah:
    • SUCCESS jika perangkat ada dan diaktifkan dalam Microsoft Entra ID.
    • GAGAL. Perangkat dinonaktifkan atau dihapus jika perangkat dinonaktifkan atau dihapus. Untuk informasi selengkapnya tentang masalah ini, lihat tanya jawab umum manajemen perangkat Microsoft Entra .
    • GAGAL. KESALAHAN jika pengujian tidak dapat dijalankan. Pengujian ini memerlukan konektivitas jaringan ke MICROSOFT Entra ID di bawah konteks sistem.

    Nota

    Bidang DeviceAuthStatus ditambahkan dalam pembaruan Windows 10 Mei 2021 (versi 21H1).

  • Virtual Desktop: Ada tiga kasus di mana baris ini muncul.
    • NOT SET - Metadata perangkat VDI tidak ada di perangkat.
    • YA - Metadata perangkat VDI hadir dan dsregcmd menghasilkan metadata terkait termasuk:
      • Penyedia: Nama vendor VDI.
      • Jenis: VDI persisten atau VDI non-persisten.
      • Mode pengguna: Pengguna tunggal atau multi-pengguna.
      • Ekstensi: Jumlah pasangan nilai kunci dalam metadata khusus vendor opsional, diikuti oleh pasangan nilai kunci.
    • INVALID - Metadata perangkat VDI ada tetapi tidak diatur dengan benar. Dalam hal ini, dsregcmd menghasilkan metadata yang salah.

Contoh output detail perangkat

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
                Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Detail penyewa

Detail penyewa hanya ditampilkan ketika perangkat terhubung dengan Microsoft Entra atau Microsoft Entra terhubung hibrid, bukan terdaftar pada Microsoft Entra. Bagian ini mencantumkan detail penyewa yang umum yang ditampilkan saat perangkat terhubung dengan ID Microsoft Entra.

Nota

Jika bidang URL manajemen perangkat seluler (MDM) di bagian ini kosong, itu menunjukkan bahwa MDM tidak dikonfigurasi atau bahwa pengguna saat ini tidak berada dalam cakupan pendaftaran MDM. Periksa pengaturan Mobilitas di ID Microsoft Entra untuk meninjau konfigurasi MDM Anda.

Kehadiran URL MDM tidak menjamin bahwa perangkat dikelola oleh MDM. Informasi ditampilkan jika penyewa memiliki konfigurasi MDM untuk pendaftaran otomatis meskipun perangkat itu sendiri tidak dikelola.

Contoh output detail penyewa

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVx{lots of characters}xxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Status pengguna

Bagian ini mencantumkan status berbagai atribut untuk pengguna yang saat ini masuk ke perangkat.

Nota

Perintah harus berjalan dalam konteks pengguna untuk mengambil status yang valid.

  • NgcSet: Atur status ke YA jika kunci Windows Hello diatur untuk pengguna yang masuk saat ini.
  • NgcKeyId: ID kunci Windows Hello jika diatur untuk pengguna yang sedang masuk saat ini.
  • CanReset: Menunjukkan apakah kunci Windows Hello dapat diatur ulang oleh pengguna.
  • Nilai yang mungkin: "DestructiveOnly", "NonDestructiveOnly", "DestructiveAndNonDestructive", atau "Unknown" jika ada kesalahan.
  • WorkplaceJoined: Atur status ke YA jika akun terdaftar Microsoft Entra telah ditambahkan ke perangkat dalam konteks NTUSER saat ini.
  • WamDefaultSet: Atur status ke YA jika WebAccount default Web Account Manager (WAM) dibuat untuk pengguna yang masuk. Bidang ini dapat menampilkan kesalahan jika dsregcmd /status dijalankan dari prompt perintah yang ditingkatkan.
  • WamDefaultAuthority: Atur status ke organisasi untuk ID Microsoft Entra.
  • WamDefaultId: Selalu gunakan https://login.microsoft.com untuk MICROSOFT Entra ID.
  • WamDefaultGUID: GUID penyedia WAM (Microsoft Entra ID / akun Microsoft) untuk WebAccount WAM bawaan.

Contoh output status pengguna

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Status SSO

Anda dapat mengabaikan bagian ini untuk perangkat terdaftar Microsoft Entra.

Nota

Perintah harus berjalan dalam konteks pengguna untuk mengambil status pengguna yang valid.

  • AzureAdPrt: Atur status ke YA jika Token Refresh Utama (PRT) ada di perangkat untuk pengguna yang masuk.
  • AzureAdPrtUpdateTime: Tetapkan status ke waktu, dalam Waktu Universal Terkoordinasi (UTC), ketika PRT terakhir kali diperbarui.
  • AzureAdPrtExpiryTime: Atur status ke waktu, di UTC, saat PRT akan kedaluwarsa jika tidak diperbarui.
  • AzureAdPrtAuthority: URL wewenang Microsoft Entra
  • EnterprisePrt: Atur status ke YA jika perangkat memiliki PRT dari Layanan Federasi Direktori Aktif (AD FS) lokal. Untuk perangkat gabungan hibrid Microsoft Entra, perangkat dapat memiliki PRT dari ID Microsoft Entra dan Active Directory lokal secara bersamaan. Perangkat yang bergabung secara lokal hanya memiliki Enterprise PRT.
  • EnterprisePrtUpdateTime: Atur status ke waktu, di UTC, saat Enterprise PRT terakhir diperbarui.
  • EnterprisePrtExpiryTime: Atur status ke waktu, di UTC, ketika PRT akan kedaluwarsa jika tidak diperbarui.
  • EnterprisePrtAuthority: URL otoritas AD FS

Nota

Bidang diagnostik PRT berikut ditambahkan dalam pembaruan Windows 10 Mei 2021 (versi 21H1).

  • Informasi diagnostik yang ditampilkan di bidang AzureAdPrt adalah untuk akuisisi atau penyegaran Microsoft Entra PRT, dan informasi diagnostik yang ditampilkan di bidang EnterprisePrt adalah untuk akuisisi atau penyegaran Enterprise PRT.
  • Informasi diagnostik ditampilkan hanya jika kegagalan akuisisi atau refresh terjadi setelah waktu pembaruan PRT terakhir yang berhasil (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    Pada perangkat bersama, informasi diagnostik ini dapat berasal dari upaya masuk pengguna yang berbeda.
  • acquirePrtDiagnostics: Atur status ke PRESENT jika informasi diagnostik PRT yang diperoleh ada di log.
    • Bidang ini dilewati jika tidak ada informasi diagnostik yang tersedia.
  • Upaya Prt Sebelumnya: Waktu lokal, di UTC, di mana upaya PRT yang gagal terjadi.
  • Status Upaya: Kode kesalahan klien yang dikembalikan (HRESULT).
  • Identitas Pengguna: UPN pengguna untuk siapa upaya PRT tersebut terjadi.
  • Jenis Kredensial: Kredensial yang digunakan untuk memperoleh atau memperbarui PRT. Jenis kredensial umum adalah Kata Sandi dan Kredensial Generasi Berikutnya (NGC) (untuk Windows Hello).
  • ID Korelasi: ID korelasi yang dikirim oleh server untuk upaya PRT yang gagal.
  • URI Titik Akhir: Titik akhir terakhir yang diakses sebelum kegagalan.
  • metode HTTP: Metode HTTP yang digunakan untuk mengakses titik akhir.
  • Kesalahan HTTP: Kode kesalahan transport WinHttp. Temukan kode kesalahan jaringan lainnya.
  • Status HTTP: Status HTTP yang dikembalikan oleh endpoint.
  • Kode Kesalahan Server: Kode kesalahan dari server.
  • Deskripsi Kesalahan Server: Pesan kesalahan dari server.
  • RefreshPrtDiagnostics: Atur status ke PRESENT jika informasi diagnostik PRT yang diperoleh ada di log.
    • Bidang ini dilewati jika tidak ada informasi diagnostik yang tersedia.
    • Bidang informasi diagnostik sama dengan AcquirePrtDiagnostics.

Nota

Bidang diagnostik Cloud Kerberos berikut ditambahkan dalam rilis asli Windows 11 (versi 21H2).

  • onPremTgt: Atur status ke YA jika tiket Cloud Kerberos untuk mengakses sumber daya lokal ada di perangkat untuk pengguna yang masuk.
  • CloudTgt: Atur status ke YA jika tiket Cloud Kerberos untuk mengakses sumber daya cloud ada di perangkat untuk pengguna yang masuk.
  • KerbTopLevelNames: Daftar nama realm Kerberos tingkat tertinggi untuk Cloud Kerberos.

Sampel keluaran keadaan SSO

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Data diagnostik

Diagnostik pra-penggabungan

Bagian diagnostik ini ditampilkan hanya jika perangkat terhubung dengan domain dan tidak dapat bergabung ke hibrid Microsoft Entra.

Bagian ini melakukan berbagai pengujian untuk membantu mendiagnosis kegagalan penggabungan. Informasi ini mencakup: fase kesalahan, kode kesalahan, ID permintaan server, status HTTP respons server, dan pesan kesalahan respons server.

  • Konteks Pengguna: Konteks tempat diagnostik dijalankan. Nilai yang mungkin: SYSTEM, UN-ELEVATED User, ELEVATED User.

    Nota

    Karena gabungan aktual dilakukan dalam konteks SYSTEM, menjalankan diagnostik dalam konteks SYSTEM paling dekat dengan skenario gabungan aktual. Untuk menjalankan diagnostik dalam konteks SYSTEM, perintah dsregcmd /status harus dijalankan dari prompt perintah yang ditingkatkan.

  • Waktu Klien: Waktu sistem, dalam UTC.

  • Uji Konektivitas AD: Pengujian ini melakukan pengujian konektivitas ke pengendali domain. Kesalahan dalam pengujian ini kemungkinan menghasilkan kesalahan penggabungan dalam fase pracheck.

  • Pengujian Konfigurasi AD: Pengujian ini membaca dan memverifikasi apakah objek Titik Koneksi Layanan (SCP) dikonfigurasi dengan benar di forest Active Directory lokal. Kesalahan dalam pengujian ini kemungkinan akan mengakibatkan kesalahan penggabungan dalam tahap penemuan dengan kode kesalahan 0x801c001d.

  • DRS Discovery Test: Pengujian ini mendapatkan titik akhir DRS dari titik akhir metadata penemuan dan melakukan permintaan realm pengguna. Kesalahan dalam pengujian ini mungkin mengakibatkan kesalahan penggabungan dalam fase penemuan.

  • DRS Connectivity Test: Pengujian ini melakukan pengujian konektivitas dasar ke titik akhir DRS.

  • Uji Akuisisi Token: Tes ini mencoba untuk memperoleh token autentikasi Microsoft Entra jika penyewa pengguna terfederasi. Kesalahan dalam pengujian ini kemungkinan akan mengakibatkan kesalahan sambungan dalam fase autentikasi. Jika autentikasi gagal, sync-join dicoba sebagai fallback, kecuali fallback secara eksplisit dinonaktifkan dengan pengaturan kunci registri berikut:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
Value: FallbackToSyncJoin
Type:  REG_DWORD
Value: 0x0 -> Disabled
Value: 0x1 -> Enabled
Default (No Key): Enabled

  • Fallback ke Sync-Join: Atur status ke Diaktifkan jika kunci registri sebelumnya untuk mencegah fallback ke sync-join dengan kegagalan autentikasi tidak ada. Opsi ini tersedia dari Windows 10 1803 dan yang lebih baru.

  • Pendaftaran Sebelumnya : Waktu ketika upaya gabungan sebelumnya terjadi. Hanya upaya bergabung yang gagal yang dicatat.

  • Fase Kesalahan: Tahap di mana proses penggabungan dibatalkan. Nilai yang mungkin adalah pra-pemeriksaan, menemukan, autentikasi, dan gabungan.

  • Client ErrorCode: Kode kesalahan klien dikembalikan (HRESULT).

  • Server ErrorCode: Kode kesalahan server ditampilkan jika permintaan dikirim ke server dan server merespons dengan kode kesalahan.

  • Server Message: Pesan server dikembalikan bersama dengan kode kesalahan.

  • Status Https: Status HTTP yang dikembalikan oleh server.

  • ID PERMINTAAN: ID permintaan klien yang dikirim ke server. ID permintaan berguna untuk berkorelasi dengan log sisi server.

Sampel output diagnostik pra-penggabungan

Contoh berikut menunjukkan pengujian diagnostik gagal dengan kesalahan penemuan.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

Contoh berikut menunjukkan bahwa tes diagnostik berhasil, tetapi upaya pendaftaran gagal dengan kesalahan direktori, yang memang diharapkan untuk sinkronisasi gabung. Setelah pekerjaan sinkronisasi Microsoft Entra Connect selesai, perangkat dapat bergabung.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnostik pasca-gabungan

Bagian diagnostik ini menampilkan output pemeriksaan yang dilakukan pada perangkat yang bergabung ke cloud.

  • AadRecoveryEnabled : Jika nilainya YA, kunci yang disimpan di perangkat tidak dapat digunakan, dan perangkat ditandai untuk pemulihan. Masuk berikutnya akan memicu proses pemulihan dan mendaftarkan ulang perangkat.
  • KeySignTest: Jika nilainya PASSED, kunci perangkat dalam kondisi baik. Jika KeySignTest gagal, perangkat biasanya ditandai untuk pemulihan. Masuk berikutnya akan memicu proses pemulihan dan mendaftarkan ulang perangkat. Untuk perangkat gabungan hibrid Microsoft Entra, pemulihan berlangsung tanpa interaksi pengguna. Meskipun perangkat bergabung dengan Microsoft Entra atau Microsoft Entra terdaftar, perangkat meminta autentikasi pengguna untuk memulihkan dan mendaftarkan ulang perangkat, jika perlu.

    Nota

    KeySignTest memerlukan hak istimewa yang ditingkatkan.

Sampel hasil diagnostik pasca-gabungan

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Pemeriksaan prasyarat untuk NGC

Bagian diagnostik ini melakukan pemeriksaan prasyarat untuk menyiapkan Windows Hello for Business (WHFB).

Nota

Anda mungkin tidak melihat detail pemeriksaan prasyarat NGC di dsregcmd /status jika pengguna berhasil mengonfigurasi WHFB.

  • IsDeviceJoined: Atur status ke YA jika perangkat digabungkan ke ID Microsoft Entra.
  • IsUserAzureAD: Atur status ke YA jika pengguna yang masuk ada di ID Microsoft Entra.
  • PolicyEnabled: Atur status ke YA jika kebijakan WHFB diaktifkan pada perangkat.
  • PostLogonEnabled: Atur status ke YA jika pendaftaran WHFB dipicu secara langsung oleh platform. Jika status diatur ke TIDAK, itu menunjukkan bahwa pendaftaran Windows Hello for Business dipicu oleh mekanisme kustom.
  • DeviceEligible: Atur status ke YA jika perangkat memenuhi persyaratan perangkat keras untuk mendaftar dengan WHFB.
  • SessionIsNotRemote: Atur status ke YA jika pengguna saat ini masuk langsung ke perangkat dan tidak dari jarak jauh.
  • CertEnrollment: Pengaturan ini khusus untuk penyebaran WHFB Certificate Trust, yang menandakan otoritas pendaftaran sertifikat untuk WHFB. Atur status ke otoritas pendaftaran jika sumber kebijakan WHFB adalah Kebijakan Grup, atau atur ke manajemen perangkat seluler jika sumbernya adalah MDM. Jika tidak ada sumber yang berlaku, atur status ke none.
  • AdfsRefreshToken : Pengaturan ini khusus untuk WHFB Certificate Trust deployment dan hanya ada jika status CertEnrollment adalah otoritas pendaftaran. Pengaturan menunjukkan apakah perangkat memiliki PRT perusahaan untuk pengguna.
  • AdfsRaIsReady: Pengaturan ini khusus untuk penyebaran WHFB Certificate Trust dan hanya ada jika status CertEnrollment otoritas pendaftaran. Atur status ke YA jika AD FS menunjukkan dalam metadata penemuan bahwa ia mendukung WHFB dan templat sertifikat logon tersedia.
  • LogonCertTemplateReady: Pengaturan ini khusus untuk penyebaran WHFB Certificate Trust dan hanya tersedia jika status CertEnrollment adalah otoritas pendaftaran. Atur status ke YA jika status templat sertifikat login valid dan mendukung pemecahan masalah Otoritas Registrasi (RA) AD FS.
  • PreReqResult: Memberikan hasil dari seluruh evaluasi prasyarat WHFB. Tetapkan status ke Akan Menyediakan jika pendaftaran WHFB akan diluncurkan sebagai tugas setelah login ketika pengguna masuk kembali.

Nota

Bidang diagnostik Cloud Kerberos berikut ditambahkan dalam pembaruan Windows 10 Mei 2021 (versi 21H1).

Sebelum Windows 11 versi 23H2, pengaturan OnPremTGT diberi nama CloudTGT.

  • OnPremTGT: Pengaturan ini khusus untuk penerapan kepercayaan Cloud Kerberos dan hanya tersedia jika status CertEnrollment adalah tidak ada. Atur status ke YA jika perangkat memiliki tiket Cloud Kerberos untuk mengakses sumber daya lokal. Sebelum Windows 11 versi 23H2, pengaturan ini diberi nama CloudTGT.

Contoh output pemeriksaan prasyarat NGC

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Langkah berikutnya

Pergi ke Alat Pencarian Kesalahan Microsoft.