Memecahkan masalah perangkat gabungan hibrida Microsoft Entra
Artikel ini memberikan panduan pemecahan masalah untuk membantu Anda mengatasi potensi masalah pada perangkat yang menjalankan Windows 10 atau yang lebih baru dan Windows Server 2016 atau yang lebih baru.
Gabungan hibrid Microsoft Entra mendukung pembaruan Windows 10 November 2015 dan yang lebih baru.
Untuk memecahkan masalah klien Windows lainnya, lihat Memecahkan masalah perangkat tingkat bawah gabungan hibrid Microsoft Entra.
Artikel ini mengasumsikan bahwa Anda memiliki perangkat gabungan hibrid Microsoft Entra untuk mendukung skenario berikut:
- Akses Bersyarat Berbasis Perangkat
- Roaming status perusahaan
- Windows Hello for Business
Catatan
Selesaikan masalah pendaftaran perangkat yang paling umum dengan memanfaatkan Alat Pemecah Masalah Pendaftaran Perangkat yang komprehensif.
Memecahkan masalah kegagalan gabungan
Langkah 1: Mengambil status gabungan
- Buka jendela Wantian Perintah sebagai administrator.
- Ketik
dsregcmd /status
.
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined: YES
EnterpriseJoined: NO
DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
Thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
KeyProvider: Microsoft Platform Crypto Provider
TpmProtected: YES
KeySignTest: : MUST Run elevated to test.
Idp: login.windows.net
TenantId: aaaabbbb-0000-cccc-1111-dddd2222eeee
TenantName: Contoso
AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl: eyJVc{lots of characters}JdfQ==
JoinSrvVersion: 1.0
JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion: 1.0
KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
DomainJoined: YES
DomainName: CONTOSO
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet: YES
NgcKeyId: {C7A9AEDC-780E-4FDA-B200-1AE15561A46B}
WorkplaceJoined: NO
WamDefaultSet: YES
WamDefaultAuthority: organizations
WamDefaultId: https://login.microsoft.com
WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
AzureAdPrt: YES
Langkah 2: Mengevaluasi status gabungan
Tinjau bidang di tabel berikut ini dan pastikan bahwa bidang tersebut memiliki nilai yang diharapkan:
Bidang | Nilai yang diharapkan | Deskripsi |
---|---|---|
DomainJoined | YA | Bidang ini menunjukkan apakah perangkat bergabung ke Active Directory lokal atau tidak. Jika nilainya TIDAK, perangkat tidak dapat melakukan gabungan hibrid Microsoft Entra. |
WorkplaceJoined | TIDAK | Bidang ini menunjukkan apakah perangkat terdaftar dengan MICROSOFT Entra ID sebagai perangkat pribadi (ditandai sebagai Workplace Joined). Nilai ini harus TIDAK untuk komputer yang bergabung dengan domain yang juga bergabung dengan hibrid Microsoft Entra. Jika nilainya YA, akun kerja atau sekolah ditambahkan sebelum penyelesaian gabungan hibrid Microsoft Entra. Dalam hal ini, akun diabaikan saat Anda menggunakan Windows 10 versi 1607 atau lebih baru. |
AzureAdJoined | YA | Bidang ini menunjukkan apakah perangkat bergabung. Nilainya adalah YA jika perangkat adalah perangkat yang bergabung dengan Microsoft Entra atau perangkat gabungan hibrid Microsoft Entra. Jika nilainya TIDAK, gabungan ke ID Microsoft Entra belum selesai. |
Lanjutkan ke langkah berikutnya untuk pemecahan masalah lebih lanjut.
Langkah 3: Temukan fase tempat gabungan gagal dan kode kesalahan
Untuk Windows 10 versi 1803 atau lebih baru
Carilah subbagian "Pendaftaran Sebelumnya" di bagian "Data Diagnostik" dari output status gabungan. Bagian ini ditampilkan hanya jika perangkat bergabung dengan domain dan tidak dapat bergabung dengan hibrid Microsoft Entra.
Bidang "Fase Kesalahan" menunjukkan fase kegagalan bergabung, dan "ErrorCode Klien" menunjukkan kode kesalahan dari operasi gabungan.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Untuk versi Windows 10 sebelumnya
Gunakan log Pemantau Peristiwa untuk menemukan fase dan kode kesalahan untuk kegagalan gabungan.
- Di Pemantau Peristiwa, buka log kejadian Pendaftaran Perangkat Pengguna. Tersimpan di bawah Log Aplikasi dan Layanan>Microsoft>Windows>Pendaftaran Perangkat Pengguna.
- Mencari peristiwa dengan ID peristiwa berikut: 304, 305 dan 307.
Langkah 4: Periksa kemungkinan penyebab dan resolusi
Fase pra-pemeriksaan
Kemungkinan alasan kegagalan:
- Perangkat tidak memiliki garis pandang ke pengendali domain.
- Perangkat harus berada di jaringan internal organisasi atau di jaringan pribadi virtual dengan garis pandang jaringan ke pengontrol domain Direktori Aktif lokal.
Menemukan fase
Kemungkinan alasan kegagalan:
- Objek titik koneksi layanan salah dikonfigurasi atau tidak dapat dibaca dari pengontrol domain.
- Objek titik koneksi layanan yang valid diperlukan di forest AD, tempat perangkat berada, yang menunjuk ke nama domain terverifikasi di ID Microsoft Entra.
- Untuk informasi selengkapnya, lihat bagian "Mengonfigurasi titik koneksi layanan" tutorial : Mengonfigurasi gabungan hibrid Microsoft Entra untuk domain federasi.
- Gagal menyambungkan dan mengambil metadata penemuan dari titik akhir penemuan.
- Perangkat harus dapat mengakses
https://enterpriseregistration.windows.net
, dalam konteks sistem, untuk menemukan titik akhir pendaftaran dan otorisasi. - Jika lingkungan lokal memerlukan proksi keluar, admin TI harus memastikan bahwa akun komputer perangkat dapat menemukan dan secara senyap mengautentikasi ke proksi keluar.
- Perangkat harus dapat mengakses
- Kegagalan untuk terhubung ke titik akhir realm pengguna dan melakukan penemuan realm (Windows 10 versi 1809 dan yang lebih baru saja).
- Perangkat harus dapat mengakses
https://login.microsoftonline.com
, dalam konteks sistem, untuk melakukan penemuan realm bagi domain terverifikasi dan menentukan jenis domain (terkelola/gabungan). - Jika lingkungan lokal memerlukan proksi keluar, admin TI harus memastikan bahwa konteks sistem pada perangkat dapat menemukan dan secara senyap mengautentikasi ke proksi keluar.
- Perangkat harus dapat mengakses
Kode kesalahan umum:
Kode kesalahan | Alasan | Resolusi |
---|---|---|
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | Tidak dapat membaca objek titik koneksi layanan (SCP) dan mendapatkan informasi penyewa Microsoft Entra. | Lihat bagian Mengonfigurasi titik koneksi layanan. |
DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) | Kegagalan penemuan generik. Gagal mendapatkan metadata penemuan dari layanan replikasi data (DRS). | Untuk menyelidiki lebih lanjut, temukan suberror di bagian berikutnya. |
DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) | Operasi kehabisan waktu saat melakukan penemuan. | Pastikan bahwa https://enterpriseregistration.windows.net dapat diakses dalam konteks sistem. Untuk informasi selengkapnya, lihat bagian Persyaratan konektivitas jaringan. |
DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) | Kegagalan penemuan realm generik. Gagal menentukan jenis domain (terkelola/gabungan) dari STS. | Untuk menyelidiki lebih lanjut, temukan suberror di bagian berikutnya. |
Kode sub-kesalahan umum:
Untuk menemukan kode subkesalahan untuk kode kesalahan penemuan, gunakan salah satu metode berikut.
Windows 10 versi 1803 atau yang terbaru
Cari "DRS Discovery Test" di bagian 'Data Diagnostik' dari output status gabungan. Bagian ini ditampilkan hanya jika perangkat bergabung dengan domain dan tidak dapat bergabung dengan hibrid Microsoft Entra.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : UN-ELEVATED User
Client Time : 2019-06-05 08:25:29.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
+----------------------------------------------------------------------+
Untuk versi Windows 10 sebelumnya
Gunakan log Pemantau Peristiwa untuk mencari fase dan kode kesalahan untuk kegagalan gabungan.
- Di Pemantau Peristiwa, buka log kejadian Pendaftaran Perangkat Pengguna. Tersimpan di bawah Log Aplikasi dan Layanan>Microsoft>Windows>Pendaftaran Perangkat Pengguna.
- Carilah ID peristiwa 201.
Kesalahan jaringan:
Kode kesalahan | Alasan | Resolusi |
---|---|---|
WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) | Tidak dapat melakukan sambungan dengan server. | Pastikan konektivitas jaringan ke sumber daya Microsoft yang diperlukan. Untuk informasi selengkapnya, lihat Persyaratan konektivitas jaringan. |
WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Waktu jaringan umum habis. | Pastikan konektivitas jaringan ke sumber daya Microsoft yang diperlukan. Untuk informasi selengkapnya, lihat Persyaratan konektivitas jaringan. |
WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) | Stack jaringan tak bisa mendekode respons dari server. | Pastikan bahwa proksi jaringan tidak mengganggu dan memodifikasi respons server. |
Kesalahan HTTP:
Kode kesalahan | Alasan | Resolusi |
---|---|---|
DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) | Objek titik koneksi layanan dikonfigurasi dengan ID penyewa yang salah, atau tidak ada langganan aktif yang ditemukan di penyewa. | Pastikan bahwa objek titik koneksi layanan dikonfigurasi dengan ID penyewa Microsoft Entra yang benar dan langganan aktif atau bahwa layanan ada di penyewa. |
DSREG_SERVER_BUSY (0x801c0025/-2145648603) | HTTP 503 dari server DRS. | Saat ini server tidak tersedia. Upaya bergabung di masa depan kemungkinan akan berhasil setelah server kembali online. |
Kesalahan lainnya:
Kode kesalahan | Alasan | Resolusi |
---|---|---|
E_INVALIDDATA (0x8007000d/-2147024883) | Respons server JSON tidak dapat diurai, kemungkinan karena proksi mengembalikan HTTP 200 dengan halaman otorisasi HTML. | Jika lingkungan lokal memerlukan proksi keluar, admin TI harus memastikan bahwa konteks sistem pada perangkat dapat menemukan dan secara senyap mengautentikasi ke proksi keluar. |
Fase autentikasi
Konten ini hanya berlaku untuk akun domain gabungan.
Alasan kegagalan:
- Tidak dapat mendapat token akses secara senyap untuk sumber daya DRS.
- Perangkat Windows 10 dan Windows 11 memperoleh token autentikasi dari Layanan Gabungan menggunakan autentikasi Windows terintegrasi ke titik akhir WS-Trust aktif. Untuk informasi selengkapnya, lihat Konfigurasi Layanan Gabungan.
Kode kesalahan umum:
Gunakan log Pemantau Peristiwa untuk menemukan kode kesalahan, kode subkesalahan, kode kesalahan server, dan pesan kesalahan server.
- Di Pemantau Peristiwa, buka log kejadian Pendaftaran Perangkat Pengguna. Tersimpan di bawah Log Aplikasi dan Layanan>Microsoft>Windows>Pendaftaran Perangkat Pengguna.
- Carilah ID peristiwa 305.
Kesalahan konfigurasi:
Kode kesalahan | Alasan | Resolusi |
---|---|---|
ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) | Protokol autentikasi Azure AD Authentication Library (ADAL) bukan WS-Trust. | Penyedia identitas lokal harus mendukung WS-Trust. |
ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) | Layanan Federasi lokal tidak mengembalikan respons XML. | Pastikan titik akhir Metadata Exchange (MEX) mengembalikan XML yang valid. Pastikan bahwa proksi tidak mengganggu dan mengembalikan respons nonxml. |
ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) | Tak bisa menemukan titik akhir untuk autentikasi nama pengguna/kata sandi. | Periksa pengaturan penyedia identitas lokal. Pastikan bahwa titik akhir WS-Trust diaktifkan dan respons MEX berisi titik akhir yang benar ini. |
Kesalahan jaringan:
Kode kesalahan | Alasan | Resolusi |
---|---|---|
ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) | Waktu jaringan umum habis. | Pastikan bahwa https://login.microsoftonline.com dapat diakses dalam konteks sistem. Pastikan bahwa penyedia identitas lokal dapat diakses dalam konteks sistem. Untuk informasi selengkapnya, lihat Persyaratan konektivitas jaringan. |
ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) | Koneksi dengan otorisasi titik akhir dibatalkan. | Coba kembali bergabung setelah beberapa saat, atau coba bergabung dari lokasi jaringan stabil lainnya. |
ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) | Sertifikat Keamanan Lapisan Transportasi (TLS) (sebelumnya dikenal sebagai sertifikat Secure Sockets Layer [SSL]) yang dikirim oleh server tidak dapat divalidasi. | Periksa penyimpangan waktu klien. Coba kembali bergabung setelah beberapa saat, atau coba bergabung dari lokasi jaringan stabil lainnya. |
ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) | Upaya untuk tersambung ke https://login.microsoftonline.com gagal. |
Periksa koneksi jaringan ke https://login.microsoftonline.com . |
Kesalahan lainnya:
Kode kesalahan | Alasan | Resolusi |
---|---|---|
ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) | Token SAML dari IdP lokal tidak diterima oleh ID Microsoft Entra. | Periksa pengaturan Server Federasi. Cari kode kesalahan server di log autentikasi. |
ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) | Respons WS-Trust server melaporkan pengecualian kesalahan dan gagal mendapatkan pernyataan. | Periksa pengaturan Server Federasi. Cari kode kesalahan server di log autentikasi. |
ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) | Menerima kesalahan saat mencoba mendapat token akses dari titik akhir token. | Cari kesalahan yang mendasari di dalam log ADAL. |
ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) | Kegagalan ADAL umum. | Cari kode suberror atau kode kesalahan server dari log autentikasi. |
Fase bergabung
Alasan kegagalan:
Carilah jenis pendaftaran dan kode kesalahan dari tabel berikut, tergantung pada versi Windows 10 yang Anda gunakan.
Windows 10 versi 1803 atau yang terbaru
Carilah subbagian "Pendaftaran Sebelumnya" di bagian "Data Diagnostik" dari output status gabungan. Bagian ini ditampilkan hanya jika perangkat bergabung dengan domain dan tidak dapat bergabung dengan hibrid Microsoft Entra.
Bidang "Jenis Pendaftaran" menunjukkan jenis gabungan.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) is not found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Untuk versi Windows 10 sebelumnya
Gunakan log Pemantau Peristiwa untuk menemukan fase dan kode kesalahan untuk kegagalan gabungan.
- Di Pemantau Peristiwa, buka log kejadian Pendaftaran Perangkat Pengguna. Tersimpan di bawah Log Aplikasi dan Layanan>Microsoft>Windows>Pendaftaran Perangkat Pengguna.
- Carilah ID peristiwa 204.
Kesalahan HTTP yang dikembalikan dari server DRS:
Kode kesalahan | Alasan | Resolusi |
---|---|---|
DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) | Menerima respons kesalahan dari DRS dengan ErrorCode: "DirectoryError". | Lihat kode kesalahan server untuk kemungkinan alasan dan resolusi. |
DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) | Menerima respons kesalahan dari DRS dengan ErrorCode: "AuthenticationError" dan ErrorSubCode bukan "DeviceNotFound". | Lihat kode kesalahan server untuk kemungkinan alasan dan resolusi. |
DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) | Menerima respons kesalahan dari DRS dengan ErrorCode: "DirectoryError". | Lihat kode kesalahan server untuk kemungkinan alasan dan resolusi. |
Kesalahan TPM:
Kode kesalahan | Alasan | Resolusi |
---|---|---|
NTE_BAD_KEYSET (0x80090016/-2146893802) | Operasi Modul Platform Tepercaya (TPM) gagal atau tidak valid. | Kegagalan kemungkinan hasil dari gambar sysprep yang buruk. Pastikan bahwa komputer tempat gambar sysprep dibuat tidak bergabung dengan Microsoft Entra, gabungan hibrid Microsoft Entra, atau Microsoft Entra terdaftar. |
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | Kesalahan TPM generik. | Nonaktifkan TPM pada perangkat dengan kesalahan ini. Windows 10 versi 1809 dan yang lebih baru secara otomatis mendeteksi kegagalan TPM dan menyelesaikan gabungan hibrid Microsoft Entra tanpa menggunakan TPM. |
TPM_E_NOTFIPS (0x80280036/-2144862154) | TPM dalam mode FIPS saat ini tidak didukung. | Nonaktifkan TPM pada perangkat dengan kesalahan ini. Windows 10 versi 1809 secara otomatis mendeteksi kegagalan TPM dan menyelesaikan gabungan hibrid Microsoft Entra tanpa menggunakan TPM. |
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | TMP terkunci | Kesalahan sementara. Tunggu periode pendinginan. Upaya bergabung seharusnya berhasil setelah beberapa saat. Untuk informasi selengkapnya, lihat Dasar-dasar TPM. |
Kesalahan jaringan:
Kode kesalahan | Alasan | Resolusi |
---|---|---|
WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Waktu jaringan umum habis mencoba mendaftarkan perangkat di DRS. | Periksa konektivitas jaringan ke https://enterpriseregistration.windows.net . |
WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) | Nama atau alamat server tidak dapat diselesaikan. | Periksa konektivitas jaringan ke https://enterpriseregistration.windows.net . |
WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) | Koneksi dengan server dihentikan secara tidak normal. | Coba kembali bergabung setelah beberapa saat, atau coba bergabung dari lokasi jaringan stabil lainnya. |
Kesalahan lainnya:
Kode kesalahan | Alasan | Resolusi |
---|---|---|
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | ID peristiwa 220 ada di log peristiwa Pendaftaran Perangkat Pengguna. Windows tidak bisa mengakses obyek komputer di Direktori Aktif. Kode kesalahan Windows mungkin disertakan dalam kejadian tersebut. Kode kesalahan ERROR_NO_SUCH_LOGON_SESSION (1312) dan ERROR_NO_SUCH_USER (1317) terkait dengan masalah replikasi dalam Active Directory lokal. | Memecahkan masalah replikasi di Direktori Aktif. Masalah replikasi ini mungkin bersifat sementara, dan mungkin hilang setelah beberapa saat. |
Kesalahan server gabungan:
Kode kesalahan server | Pesan kesalahan server | Kemungkinan alasan | Resolusi |
---|---|---|---|
DirectoryError | Permintaan Anda dibatasi sementara. Silakan coba setelah 300 detik. | Ini adalah kesalahan yang diperkirakan, mungkin karena beberapa permintaan pendaftaran dibuat secara berurutan. | Coba lagi bergabung setelah periode pendinginan |
Kesalahan server gabungan sinkronisasi:
Kode kesalahan server | Pesan kesalahan server | Kemungkinan alasan | Resolusi |
---|---|---|---|
DirectoryError | AADSTS90002: Penyewa UUID tidak ditemukan. Kesalahan ini dapat terjadi jika tidak ada langganan aktif untuk penyewa. Tanyakan kepada administrator langganan Anda. |
ID penyewa di objek titik koneksi layanan tidak benar. | Pastikan bahwa objek titik koneksi layanan dikonfigurasi dengan ID penyewa Microsoft Entra yang benar dan langganan aktif atau bahwa layanan ada di penyewa. |
DirectoryError | Obyek perangkat sesuai dengan ID yang diberikan tak ditemukan. | Kesalahan ini diperkirakan untuk sinkronisasi gabung. Objek perangkat belum disinkronkan dari AD ke ID Microsoft Entra | Tunggu hingga Sinkronisasi microsoft Entra Koneksi selesai, dan upaya gabungan berikutnya setelah penyelesaian sinkronisasi akan mengatasi masalah tersebut. |
AuthenticationError | Verifikasi SID komputer target | Sertifikat pada perangkat Microsoft Entra tidak cocok dengan sertifikat yang digunakan untuk masuk ke blob selama gabungan sinkronisasi. Kesalahan ini biasanya berarti sinkronisasi belum selesai. | Tunggu hingga Sinkronisasi microsoft Entra Koneksi selesai, dan upaya gabungan berikutnya setelah penyelesaian sinkronisasi akan mengatasi masalah tersebut. |
Langkah 5: Kumpulkan log dan hubungi Microsoft Support
Ekstrak file ke folder, seperti c:\temp lalu buka folder.
Dari sesi Azure PowerShell yang ditinggikan, jalankan
.\start-auth.ps1 -v -accepteula
.Pilih Beralih Akun untuk beralih ke sesi lain dengan pengguna masalah.
Rekonstruksi masalah tersebut.
Pilih Beralih Akun untuk beralih kembali ke sesi admin yang menjalankan pelacakan.
Dari sesi PowerShell yang ditinggikan, jalankan
.\stop-auth.ps1
.Zip (kompres) dan kirim folder Authlogs dari folder tempat skrip dieksekusi.
Memecahkan masalah autentikasi setelah bergabung
Langkah 1: Ambil status PRT dengan menggunakan dsregcmd /status
Buka jendela Prompt Perintah.
Catatan
Untuk mendapatkan status Token Refresh Utama (PRT), buka jendela Wantian Perintah dalam konteks pengguna yang masuk.
Jalankan
dsregcmd /status
.Bagian "Status SSO" memberikan status PRT saat ini.
Jika bidang AzureAdPrt diatur ke TIDAK, ada kesalahan saat memperoleh status PRT dari ID Microsoft Entra.
Jika AzureAdPrtUpdateTime lebih dari empat jam, kemungkinan ada masalah saat me-refresh PRT. Kunci dan buka kunci perangkat untuk memaksa refresh PRT, lalu periksa untuk melihat apakah waktu diperbarui.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : YES
AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs
+----------------------------------------------------------------------+
Langkah 2: Temukan kode galat
Dari output dsregcmd
Catatan
Output tersedia dari pembaruan Windows 10 Mei 2021 (versi 21H1).
Bidang "Status Upaya" di bawah bidang "AzureAdPrt" menyediakan status upaya PRT sebelumnya, bersama dengan informasi debug lain yang diperlukan. Untuk versi Windows sebelumnya, ekstrak informasi dari analitik Microsoft Entra dan log operasional.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
Dari analitik Microsoft Entra dan log operasional
Gunakan Pemantau Peristiwa untuk mencari entri log yang dicatat oleh plug-in Microsoft Entra CloudAP selama akuisisi PRT.
- Di Pemantau Peristiwa, buka log peristiwa Microsoft Entra Operational. Log ini disimpan di Applications and Services Log>Microsoft>Windows>AAD.
Catatan
Peristiwa kesalahan log plug-in CloudAP di log operasional, dan mencatat peristiwa info di log analitik. Analisis dan peristiwa log operasional keduanya diperlukan untuk memecahkan masalah.
Peristiwa 1006 dalam log Analitik menunjukkan awal alur akuisisi PRT dan peristiwa 1007 dalam log analitik menunjukkan akhir dari alur akuisisi PRT. Semua peristiwa dalam log Microsoft Entra (analitik dan operasional) yang dicatat antara peristiwa 1006 dan 1007 dicatat sebagai bagian dari alur akuisisi PRT.
Peristiwa 1007 mencatat kode galat akhir.
Langkah 3: Memecahkan masalah lebih lanjut, berdasarkan kode kesalahan yang ditemukan
Kode kesalahan | Alasan | Resolusi |
---|---|---|
STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d) STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a) |
Catatan: WS-Trust diperlukan untuk autentikasi gabungan. |
|
STATUS_REQUEST_NOT_ACCEPTED (-1073741616/ 0xc00000d0) | Menerima respons kesalahan (HTTP 400) dari layanan autentikasi Microsoft Entra atau titik akhir WS-Trust. Catatan: WS-Trust diperlukan untuk autentikasi gabungan. |
Peristiwa 1081 dan 1088 (log operasional Microsoft Entra) akan berisi kode kesalahan server dan deskripsi kesalahan untuk kesalahan yang berasal dari layanan autentikasi Microsoft Entra dan titik akhir WS-Trust. Kode galat server umum dan resolusinya tercantum di bagian berikutnya. Instans pertama peristiwa 1022 (log analitik Microsoft Entra), peristiwa sebelumnya 1081 atau 1088, berisi URL yang sedang diakses. |
STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c) STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be) STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4) |
Catatan: WS-Trust diperlukan untuk autentikasi gabungan. |
|
STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) | Penemuan realm pengguna gagal karena layanan autentikasi Microsoft Entra tidak dapat menemukan domain pengguna. | |
AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) | UPN pengguna tidak dalam format yang diharapkan. Catatan: |
whoami /upn akan menampilkan UPN yang dikonfigurasi. |
AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) | SID pengguna hilang dalam token ID yang dikembalikan oleh layanan autentikasi Microsoft Entra. | Pastikan bahwa proksi jaringan tidak mengganggu dan memodifikasi respons server. |
AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) | Menerima kesalahan dari titik akhir WS-Trust. Catatan: WS-Trust diperlukan untuk autentikasi gabungan. |
|
AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) | Titik akhir MEX salah dikonfigurasi. Respons MEX tidak berisi URL kata sandi apa pun. | |
AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) | Titik akhir MEX salah dikonfigurasi. Respons MEX tidak berisi URL titik akhir sertifikat apa pun. | |
WC_E_DTDPROHIBITED (-1072894385/ 0xc00cee4f) | Respons XML, dari titik akhir WS-Trust, termasuk Definisi Jenis Dokumen (DTD). DTD tidak diharapkan dalam respons XML, dan penguraian respons gagal jika DTD disertakan. Catatan: WS-Trust diperlukan untuk autentikasi gabungan. |
Kode kesalahan server umum
Kode kesalahan | Alasan | Resolusi |
---|---|---|
AADSTS50155: Autentikasi perangkat gagal | Ikuti instruksi untuk masalah ini di FAQ manajemen perangkat Microsoft Entra untuk mendaftarkan ulang perangkat berdasarkan jenis gabungan perangkat. | |
AADSTS50034: Akun pengguna Account tidak ada di tenant id direktori |
ID Microsoft Entra tidak dapat menemukan akun pengguna di penyewa. | |
AADSTS50126: Kesalahan memvalidasi infomasuk dikarenakan nama pengguna atau kata sandi yang tidak valid. | Untuk memperoleh PRT baru dengan kredensial baru, tunggu hingga sinkronisasi kata sandi Microsoft Entra selesai. |
Kode kesalahan jaringan umum
Kode kesalahan | Alasan | Resolusi |
---|---|---|
ERROR_WINHTTP_TIMEOUT (12002) ERROR_WINHTTP_NAME_NOT_RESOLVED (12007) ERROR_WINHTTP_CANNOT_CONNECT (12029) ERROR_WINHTTP_CONNECTION_ERROR (12030) |
Masalah umum terkait jaringan umum. | Dapatkan lebih banyak kode kesalahan jaringan. |
Langkah 4: Kumpulkan log
Log reguler
- Buka https://aka.ms/icesdptool, yang akan otomatis mengunduh file .cab yang berisi alat Diagnostik.
- Jalankan alat dan lakukan repro skenario Anda.
- Untuk jejak Fiddler, terima permintaan sertifikat yang muncul.
- Wizard meminta kata sandi untuk melindungi file pelacakan Anda. Berikan kata sandi.
- Akhirnya, buka folder tempat semua log yang dikumpulkan disimpan, seperti %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
- Hubungi Dukungan dengan isi file .cab terbaru.
Jejak jaringan
Catatan
Saat Anda mengumpulkan jejak jaringan, penting untuk tidak menggunakan Fiddler selama repro.
- Jalankan
netsh trace start scenario=internetClient_dbg capture=yes persistent=yes
. - Kunci dan buka kunci perangkat. Untuk perangkat gabungan hibrid, tunggu satu menit atau lebih untuk memungkinkan tugas akuisisi PRT selesai.
- Jalankan
netsh trace stop
. - Bagikan file nettrace.cab dengan Dukungan.
Masalah umum
Jika Anda tersambung ke hotspot seluler atau jaringan Wi-Fi eksternal dan Anda masuk ke Pengaturan> Akses>Akun Kantor atau Sekolah, perangkat gabungan hibrid Microsoft Entra mungkin menampilkan dua akun berbeda, satu untuk ID Microsoft Entra dan satu untuk AD lokal. Masalah UI tidak mempengaruhi fungsionalitas.
Konten terkait
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk