Risolvere i problemi dei dispositivi aggiunti ad Azure AD ibrido

Questo articolo fornisce indicazioni per la risoluzione dei problemi che consentono di risolvere potenziali problemi con i dispositivi che eseguono Windows 10 o versioni successive e Windows Server 2016 o versioni successive.

L'aggiunta ad Azure Active Directory ibrido (Azure AD) supporta l'aggiornamento di Windows 10 novembre 2015 e versioni successive.

Per risolvere i problemi relativi ad altri client Windows, vedere Risolvere i problemi relativi ai dispositivi di livello inferiore aggiunti ad Azure AD ibrido.

Questo articolo presuppone che siano stati configurati dispositivi aggiunti ad Azure AD ibrido per supportare gli scenari seguenti:

Nota

Per risolvere i problemi comuni di registrazione dei dispositivi, usare lo strumento di risoluzione dei problemi di registrazione del dispositivo.

Risolvere gli errori di join

Passaggio 1: Recuperare lo stato delle aggiunte

  1. Aprire una finestra del Prompt dei comandi come amministratore.
  2. Digitare dsregcmd /status.
+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

    AzureAdJoined: YES
 EnterpriseJoined: NO
         DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
       Thumbprint: B753A6679CE720451921302CA873794D94C6204A
   KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
      KeyProvider: Microsoft Platform Crypto Provider
     TpmProtected: YES
     KeySignTest: : MUST Run elevated to test.
              Idp: login.windows.net
         TenantId: 72b988bf-xxxx-xxxx-xxxx-2d7cd011xxxx
       TenantName: Contoso
      AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
   AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
           MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
        MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
  dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
      SettingsUrl: eyJVcmlzIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyJdfQ==
   JoinSrvVersion: 1.0
       JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
        JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
    KeySrvVersion: 1.0
        KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
         KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
     DomainJoined: YES
       DomainName: CONTOSO

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

             NgcSet: YES
           NgcKeyId: {C7A9AEDC-780E-4FDA-B200-1AE15561A46B}
    WorkplaceJoined: NO
      WamDefaultSet: YES
WamDefaultAuthority: organizations
       WamDefaultId: https://login.microsoft.com
     WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
         AzureAdPrt: YES

Passaggio 2: Valutare lo stato delle aggiunte

Esaminare i campi nella tabella seguente e verificare che abbiano i valori previsti:

Campo Valore previsto Descrizione
DomainJoined YES Questo campo indica se il dispositivo viene aggiunto a un Active Directory locale.

Se il valore è NO, il dispositivo non può eseguire l'aggiunta ad Azure AD ibrido.
WorkplaceJoined NO Questo campo mostra se il dispositivo è registrato con Azure AD come dispositivo personale, contrassegnato come aggiunto correttamente all'area di lavoro. Questo valore deve essere NO per un computer aggiunto a un dominio aggiunto anche ad Azure AD ibrido.

Se il valore è YES, è stato aggiunto un account aziendale o dell'istituto di istruzione prima del completamento dell'aggiunta ad Azure AD ibrido. In questo caso, l'account viene ignorato quando si usa Windows 10 versione 1607 o successiva.
AzureAdJoined YES Questo campo mostra se il dispositivo è stato aggiunto. Il valore sarà se il dispositivo è un dispositivo aggiunto ad Azure AD o un dispositivo aggiunto ad Azure AD ibrido.

Se il valore è NO, l'aggiunta ad Azure AD non è ancora stata completata.

Continuare con i passaggi successivi per altre operazioni di risoluzione dei problemi.

Passaggio 3: Trovare la fase in cui il join non è riuscito e il codice di errore

Per Windows 10 versione 1803 o successiva

Cercare la sottosezione "Registrazione precedente" nella sezione "Dati di diagnostica" dell'output dello stato di join. Questa sezione viene visualizzata solo se il dispositivo è aggiunto a un dominio e non è in grado di aggiungere Azure AD ibrido.

Il campo "Fase errore" indica la fase dell'errore di join e "Client ErrorCode" indica il codice di errore dell'operazione di join.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Per le versioni precedenti di Windows 10

Usare Visualizzatore eventi log per individuare la fase e il codice di errore per gli errori di join.

  1. In Visualizzatore eventi aprire i registri eventi Registrazione dispositivo utente. Vengono archiviati in Registri applicazioni e servizi Registrazione>del dispositivo utentedi Microsoft>Windows>.
  2. Cercare gli eventi con gli ID evento seguenti: 304, 305 e 307.

Screenshot of Event Viewer, with event ID 304 selected, its information displayed, and its error code and phase highlighted.

Screenshot of Event Viewer, with event ID 305 selected, its information displayed, and its error code highlighted.

Passaggio 4: Verificare le possibili cause e risoluzioni

Fase di pre-controllo

Possibili motivi di errore:

  • Il dispositivo non ha alcuna linea di vista per il controller di dominio.
    • Il dispositivo deve trovarsi nella rete interna dell'organizzazione o in una rete privata virtuale con una linea di rete per un controller di dominio Active Directory locale.

Fase di individuazione

Possibili motivi di errore:

  • L'oggetto punto di connessione del servizio non è configurato correttamente o non può essere letto dal controller di dominio.
  • Errore di connessione e recupero dei metadati di individuazione dall'endpoint di individuazione.
    • Il dispositivo deve essere in grado di accedere https://enterpriseregistration.windows.neta , nel contesto di sistema, per individuare gli endpoint di registrazione e autorizzazione.
    • Se l'ambiente locale richiede un proxy in uscita, l'amministratore IT deve assicurarsi che l'account computer del dispositivo possa individuare e autenticarsi automaticamente nel proxy in uscita.
  • Impossibile connettersi all'endpoint dell'area di autenticazione utente ed eseguire l'individuazione dell'area di autenticazione (solo Windows 10 versione 1809 e successive).
    • Il dispositivo deve essere in grado di accedere https://login.microsoftonline.coma , nel contesto di sistema, per eseguire l'individuazione dell'area di autenticazione per il dominio verificato e determinare il tipo di dominio (gestito o federato).
    • Se l'ambiente locale richiede un proxy in uscita, l'amministratore IT deve assicurarsi che il contesto di sistema nel dispositivo possa individuare e autenticarsi automaticamente nel proxy in uscita.

Codici di errore comuni:

Codice di errore Motivo Risoluzione
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/2145648611) Impossibile leggere l'oggetto del punto di connessione del servizio (SCP) e ottenere le informazioni sul tenant di Azure AD. Fare riferimento alla sezione Configurare un punto di connessione del servizio .
DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) Errore di individuazione generico. Impossibile ottenere i metadati di individuazione dal servizio di replica dei dati. Per ulteriori indagini, trovare il sotto-errore nelle sezioni successive.
DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) Timeout dell'operazione durante l'esecuzione dell'individuazione. Assicurarsi che https://enterpriseregistration.windows.net sia accessibile nel contesto di sistema. Per altre informazioni, vedere la sezione Requisiti di connettività di rete .
DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) Errore di individuazione dell'area di autenticazione generica. Impossibile determinare il tipo di dominio (gestito/federato) dal servizio token di sicurezza. Per ulteriori indagini, trovare il sotto-errore nelle sezioni successive.

Codici di errore secondari comuni:

Per trovare il codice di errore secondario per il codice di errore di individuazione, usare uno dei metodi seguenti.

Windows 10 versione 1803 o successive

Cercare "Test di individuazione DRS" nella sezione "Dati di diagnostica" dell'output dello stato di join. Questa sezione viene visualizzata solo se il dispositivo è aggiunto a un dominio e non è in grado di aggiungere Azure AD ibrido.

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : UN-ELEVATED User
               Client Time : 2019-06-05 08:25:29.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

+----------------------------------------------------------------------+
Versioni precedenti Windows 10

Usare Visualizzatore eventi log per cercare la fase e il codice di errore per gli errori di join.

  1. In Visualizzatore eventi aprire i registri eventi Registrazione dispositivo utente. Vengono archiviati in Registri applicazioni e servizi Registrazione>del dispositivo utentedi Microsoft>Windows>.
  2. Cercare l'ID evento 201.

Screenshot of Event Viewer, with event ID 201 selected, its information displayed, and its error code highlighted.

Errori di rete:

Codice di errore Motivo Risoluzione
WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) Impossibile stabilire la connessione al server. Verificare la connettività di rete alle risorse Microsoft necessarie. Per altre informazioni, vedere Requisiti per la connettività di rete.
WININET_E_TIMEOUT (0x80072ee2 /2147012894) Timeout di rete generale. Verificare la connettività di rete alle risorse Microsoft necessarie. Per altre informazioni, vedere Requisiti per la connettività di rete.
WININET_E_DECODING_FAILED (0x80072f8f /2147012721) Lo stack di rete non è riuscito a decodificare la risposta dal server. Assicurarsi che il proxy di rete non interferisca e modifica la risposta del server.

Errori HTTP:

Codice di errore Motivo Risoluzione
DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a /2145648582) L'oggetto punto di connessione del servizio è configurato con l'ID tenant errato o non sono state trovate sottoscrizioni attive nel tenant. Assicurarsi che l'oggetto punto di connessione del servizio sia configurato con l'ID tenant di Azure AD corretto e le sottoscrizioni attive o che il servizio sia presente nel tenant.
DSREG_SERVER_BUSY (0x801c0025 /2145648603) HTTP 503 dal server di ripristino di emergenza. Il server non è attualmente disponibile. È probabile che i tentativi di aggiunta futuri riescano dopo che il server è di nuovo online.

Altri errori:

Codice di errore Motivo Risoluzione
E_INVALIDDATA (0x8007000d /-2147024883) Impossibile analizzare il codice JSON della risposta del server, probabilmente perché il proxy restituisce una pagina di autorizzazione HTTP 200 con una pagina di autorizzazione HTML. Se l'ambiente locale richiede un proxy in uscita, l'amministratore IT deve assicurarsi che il contesto di sistema nel dispositivo possa individuare e eseguire l'autenticazione in modo invisibile al proxy in uscita.

Fase di autenticazione

Questo contenuto si applica solo agli account di dominio federati.

Motivi di errore:

  • Impossibile ottenere un token di accesso in modo invisibile all'utente per la risorsa ripristino di emergenza.
    • Windows 10 e Windows 11 dispositivi acquisiscono il token di autenticazione dal servizio federativo usando autenticazione di Windows integrato a un endpoint WS-Trust attivo. Per altre informazioni, vedere Configurazione del servizio federativo.

Codici di errore comuni:

Usare Visualizzatore eventi log per individuare il codice di errore, il codice di errore secondario, il codice di errore del server e il messaggio di errore del server.

  1. In Visualizzatore eventi aprire i log eventi Registrazione dispositivo utente. Vengono archiviati in Applicazioni e servizi registrano>la registrazione del dispositivo utentedi Microsoft>Windows>.
  2. Cercare l'ID evento 305.

Screenshot of Event Viewer, with event ID 305 selected, its information displayed, and the ADAL error codes and status highlighted.

Errori di configurazione:

Codice di errore Motivo Risoluzione
ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017 /-894894057) Il protocollo di autenticazione Autenticazione di Azure AD Library (ADAL) non è WS-Trust. Il provider di identità locale deve supportare WS-Trust.
ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/894894036 ) Il servizio federativo locale non ha restituito una risposta XML. Assicurarsi che l'endpoint MEX (Metadata Exchange) restituisca un XML valido. Assicurarsi che il proxy non interferi e restituisca risposte non xml.
ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023 /894894045) Impossibile individuare un endpoint per l'autenticazione nome utente/password. Controllare le impostazioni del provider di identità locale. Assicurarsi che gli endpoint di WS-Trust siano abilitati e che la risposta MEX contenga questi endpoint corretti.

Errori di rete:

Codice di errore Motivo Risoluzione
ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2 /894947614) Timeout di rete generale. Assicurarsi che https://login.microsoftonline.com sia accessibile nel contesto di sistema. Assicurarsi che il provider di identità locale sia accessibile nel contesto di sistema. Per altre informazioni, vedere Requisiti per la connettività di rete.
ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe /894947586) La connessione all'endpoint di autorizzazione è stata interrotta. Ripetere l'aggiunta dopo un po' di tempo o provare a eseguirla da un altro percorso di rete stabile.
ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f /-894947441) Il certificato Transport Layer Security (TLS) (noto in precedenza come certificato Secure Sockets Layer [SSL] inviato dal server non è stato convalidato. Controllare l'intervallo di tempo client. Ripetere l'aggiunta dopo un po' di tempo o provare a eseguirla da un altro percorso di rete stabile.
ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd /-894947587) Tentativo di connessione non https://login.microsoftonline.com riuscito. Controllare la connessione di rete a https://login.microsoftonline.com.

Altri errori:

Codice di errore Motivo Risoluzione
ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003 /895352829) Il token SAML dal provider di identità locale non è stato accettato da Azure AD. Controllare le impostazioni del server federativo. Cercare il codice di errore del server nei log di autenticazione.
ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014 /894894060) La risposta server WS-Trust ha segnalato un'eccezione di errore e non è riuscita a ottenere l'asserzione. Controllare le impostazioni del server federativo. Cercare il codice di errore del server nei log di autenticazione.
ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006 /-894894074) Ricevuto un errore durante il tentativo di ottenere il token di accesso dall'endpoint del token. Cercare l'errore sottostante nel log ADAL.
ERROR_ADAL_OPERATION_PENDING (0xcaa1002d /895418323) Errore generale di ADAL. Cercare il codice di errore secondario o il codice di errore del server dai log di autenticazione.

Fase di join

Motivi di errore:

Cercare il tipo di registrazione e il codice di errore delle tabelle seguenti, a seconda della versione Windows 10 in uso.

Windows 10 versione 1803 o successive

Cercare la sottosezione "Registrazione precedente" nella sezione "Dati di diagnostica" dell'output dello stato di join. Questa sezione viene visualizzata solo se il dispositivo è aggiunto al dominio e non è in grado di aggiungere Azure AD ibrido.

Il campo "Tipo di registrazione" indica il tipo di join completato.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) is not found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Versioni precedenti Windows 10

Usare Visualizzatore eventi log per individuare la fase e il codice di errore per gli errori di join.

  1. In Visualizzatore eventi aprire i log eventi Registrazione dispositivo utente. Vengono archiviati in Applicazioni e servizi registrano>la registrazione del dispositivo utentedi Microsoft>Windows>.
  2. Cercare l'ID evento 204.

Screenshot of Event Viewer, with event ID 204 selected and its error code, H T T P status, and message highlighted.

Errori HTTP restituiti dal server DRS:

Codice di errore Motivo Risoluzione
DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) È stata ricevuta una risposta di errore da DRS con ErrorCode: "DirectoryError". Per possibili motivi e risoluzioni, fare riferimento al codice di errore del server.
DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) È stata ricevuta una risposta di errore da DRS con ErrorCode: "AuthenticationError" e ErrorSubCode non è "DeviceNotFound". Per possibili motivi e risoluzioni, fare riferimento al codice di errore del server.
DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) È stata ricevuta una risposta di errore da DRS con ErrorCode: "DirectoryError". Per possibili motivi e risoluzioni, fare riferimento al codice di errore del server.

Errori TPM:

Codice di errore Motivo Risoluzione
NTE_BAD_KEYSET (0x80090016/-2146893802) L'operazione TPM (Trusted Platform Module) non è riuscita o non è valida. È probabile che l'errore restituisca un'immagine sysprep non valida. Assicurarsi che il computer da cui è stata creata l'immagine sysprep non sia aggiunto ad Azure AD, aggiunto ad Azure AD ibrido o registrato in Azure AD.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) Errore TPM generico. Disabilitare TPM nei dispositivi con questo errore. Windows 10, versioni 1809 e versioni successive, rileva automaticamente gli errori TPM e completa l'aggiunta ad Azure AD ibrido senza usare TPM.
TPM_E_NOTFIPS (0x80280036/-2144862154) TPM in modalità FIPS non è attualmente supportato. Disabilitare TPM nei dispositivi con questo errore. Windows 10, versione 1809, rileva automaticamente gli errori TPM e completa l'aggiunta ad Azure AD ibrido senza usare TPM.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) TPM è bloccato. Errore temporaneo. Attendere il periodo di raffreddamento. Il tentativo di aggiunta dovrebbe avere esito positivo dopo un po' di tempo. Per altre informazioni, vedere Nozioni fondamentali sul TPM.

Errori di rete:

Codice di errore Motivo Risoluzione
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Timeout di rete generale durante il tentativo di registrare il dispositivo in DRS. Controllare la connettività di rete a https://enterpriseregistration.windows.net.
WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) Impossibile risolvere il nome o l'indirizzo del server. Controllare la connettività di rete a https://enterpriseregistration.windows.net.
WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) La connessione al server è stata terminata in modo anomalo. Ripetere l'aggiunta dopo un po' di tempo o provare a eseguirla da un altro percorso di rete stabile.

Altri errori:

Codice di errore Motivo Risoluzione
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/2145648611) L'ID evento 220 è presente nei registri eventi registrazione dispositivo utente. Windows non può accedere all'oggetto computer in Active Directory. È possibile includere un codice di errore di Windows nell'evento . I codici di errore ERROR_NO_SUCH_LOGON_SESSION (1312) e ERROR_NO_SUCH_USER (1317) sono correlati ai problemi di replica in Active Directory locale. Risolvere i problemi di replica in Active Directory. Questi problemi di replica potrebbero essere temporanei e potrebbero andare via dopo un po'.

Errori del server di aggiunta federata:

Codice di errore del server Messaggio di errore del server Motivi possibili Risoluzione
DirectoryError La richiesta è limitata temporaneamente. Provare dopo 300 secondi. Questo errore è previsto, probabilmente perché sono state effettuate più richieste di registrazione in rapida successione. Ripetere il join dopo il periodo di raffreddamento

Errori del server di aggiunta alla sincronizzazione:

Codice di errore del server Messaggio di errore del server Motivi possibili Risoluzione
DirectoryError AADSTS90002: tenant UUID non trovato. Questo errore può verificarsi se non sono presenti sottoscrizioni attive per il tenant. Rivolgersi all'amministratore della sottoscrizione. L'ID tenant nell'oggetto punto di connessione del servizio non è corretto. Assicurarsi che l'oggetto punto di connessione del servizio sia configurato con l'ID tenant di Azure AD corretto e le sottoscrizioni attive o che il servizio sia presente nel tenant.
DirectoryError L'oggetto dispositivo in base all'ID specificato non viene trovato. Questo errore è previsto per l'aggiunta alla sincronizzazione. L'oggetto dispositivo non è stato sincronizzato da AD ad Azure AD Attendere il completamento della sincronizzazione di Azure AD Connect e il successivo tentativo di join dopo il completamento della sincronizzazione risolverà il problema.
AuthenticationError Verifica del SID del computer di destinazione Il certificato nel dispositivo Azure AD non corrisponde al certificato usato per accedere al BLOB durante l'aggiunta alla sincronizzazione. Questo errore indica in genere che la sincronizzazione non è ancora stata completata. Attendere il completamento della sincronizzazione di Azure AD Connect e il successivo tentativo di join dopo il completamento della sincronizzazione risolverà il problema.

Passaggio 5: Raccogliere i log e contattare supporto tecnico Microsoft

  1. Scaricare il file Auth.zip.

  2. Estrarre i file in una cartella, ad esempio c:\temp, e quindi passare alla cartella .

  3. Da una sessione di Azure PowerShell con privilegi elevati eseguire .\start-auth.ps1 -v -accepteula.

  4. Selezionare Cambia account per passare a un'altra sessione con l'utente del problema.

  5. Riprodurre il problema.

  6. Selezionare Cambia account per tornare alla sessione di amministrazione che esegue la traccia.

  7. Dalla sessione di PowerShell con privilegi elevati eseguire .\stop-auth.ps1.

  8. Zip (compress) e inviare i log di autenticazione della cartella dalla cartella in cui sono stati eseguiti gli script.

Risolvere i problemi di autenticazione post-join

Passaggio 1: Recuperare lo stato del token di aggiornamento primario usando dsregcmd /status

  1. Aprire una finestra del prompt dei comandi.

    Nota

    Per ottenere lo stato del token di aggiornamento primario (PRT), aprire la finestra del prompt dei comandi nel contesto dell'utente connesso.

  2. Eseguire dsregcmd /status.

    La sezione "Stato SSO" fornisce lo stato corrente del token di aggiornamento primario.

    Se il campo AzureAdPrt è impostato su NO, si è verificato un errore durante l'acquisizione dello stato del token di aggiornamento primario da Azure AD.

  3. Se AzureAdPrtUpdateTime è superiore a quattro ore, è probabile che si verifichi un problema con l'aggiornamento del token di aggiornamento primario. Bloccare e sbloccare il dispositivo per forzare l'aggiornamento del token di aggiornamento primario e quindi verificare se l'ora è stata aggiornata.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : YES
      AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
      AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
   EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
    EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs

+----------------------------------------------------------------------+

Passaggio 2: Trovare il codice di errore

Dall'output dsregcmd

Nota

L'output è disponibile dall'aggiornamento di Windows 10 maggio 2021 (versione 21H1).

Il campo "Stato tentativo" nel campo "AzureAdPrt" fornirà lo stato del tentativo prT precedente, insieme ad altre informazioni di debug necessarie. Per le versioni precedenti di Windows, estrarre le informazioni dai log operativi e di analisi di Azure AD.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : 63648321-fc5c-46eb-996e-ed1f3ba7740f
              Endpoint URI : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.

Dai log operativi e di analisi di Azure AD

Usare Visualizzatore eventi per cercare le voci di log registrate dal plug-in CloudAP di Azure AD durante l'acquisizione del token di aggiornamento primario.

  1. In Visualizzatore eventi aprire i registri eventi operativi di Azure AD. Vengono archiviati in Registri applicazioni e servizi di>Microsoft>Windows>AAD.

    Nota

    Il plug-in CloudAP registra gli eventi di errore nei log operativi e registra gli eventi delle informazioni nei log di analisi. Gli eventi di analisi e log operativo sono entrambi necessari per risolvere i problemi.

  2. L'evento 1006 nei log di analisi indica l'inizio del flusso di acquisizione del token di aggiornamento primario e l'evento 1007 nei log di analisi indica la fine del flusso di acquisizione del token di aggiornamento primario. Tutti gli eventi nei log di Azure AD (analisi e operativi) registrati tra gli eventi 1006 e 1007 sono stati registrati come parte del flusso di acquisizione del token di aggiornamento primario.

  3. L'evento 1007 registra il codice di errore finale.

Screenshot of Event Viewer, with event IDs 1006 and 1007 selected and the final error code highlighted.

Passaggio 3: Risolvere ulteriori problemi, in base al codice di errore trovato

Codice di errore Motivo Risoluzione
STATUS_LOGON_FAILURE (-1073741715/0xc000006d)
STATUS_WRONG_PASSWORD (-1073741718/0xc000006a)
  • Il dispositivo non è in grado di connettersi al servizio di autenticazione di Azure AD.
  • È stata ricevuta una risposta di errore (HTTP 400) dal servizio di autenticazione di Azure AD o dall'endpoint di WS-Trust.
    Nota: WS-Trust è necessario per l'autenticazione federata.
  • Se l'ambiente locale richiede un proxy in uscita, l'amministratore IT deve assicurarsi che l'account computer del dispositivo possa individuare e autenticarsi automaticamente nel proxy in uscita.
  • Gli eventi 1081 e 1088 (log operativi di Azure AD) contengono il codice di errore del server per gli errori provenienti dal servizio di autenticazione di Azure AD e la descrizione degli errori provenienti dall'endpoint di WS-Trust. I codici di errore comuni del server e le relative risoluzioni sono elencati nella sezione successiva. La prima istanza dell'evento 1022 (log di analisi di Azure AD), gli eventi precedenti 1081 o 1088, conterrà l'URL a cui si accede.
  • STATUS_REQUEST_NOT_ACCEPTED (-1073741616/0xc00000d0) È stata ricevuta una risposta di errore (HTTP 400) dal servizio di autenticazione di Azure AD o dall'endpoint di WS-Trust.
    Nota: WS-Trust è necessario per l'autenticazione federata.
    Gli eventi 1081 e 1088 (log operativi di Azure AD) contengono rispettivamente il codice di errore del server e la descrizione degli errori generati dal servizio di autenticazione di Azure AD e dall'endpoint WS-Trust. I codici di errore comuni del server e le relative risoluzioni sono elencati nella sezione successiva. La prima istanza dell'evento 1022 (log di analisi di Azure AD), gli eventi precedenti 1081 o 1088, conterrà l'URL a cui si accede.
    STATUS_NETWORK_UNREACHABLE (-1073741252/0xc000023c)
    STATUS_BAD_NETWORK_PATH (-1073741634/0xc00000be)
    STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/0xc00000c4)
  • È stata ricevuta una risposta di errore (HTTP > 400) dal servizio di autenticazione di Azure AD o dall'endpoint WS-Trust.
    Nota: WS-Trust è necessario per l'autenticazione federata.
  • Problema di connettività di rete a un endpoint necessario.
  • Per gli errori del server, gli eventi 1081 e 1088 (log operativi di Azure AD) contengono il codice di errore del servizio di autenticazione di Azure AD e la descrizione dell'errore dall'endpoint WS-Trust. I codici di errore comuni del server e le relative risoluzioni sono elencati nella sezione successiva.
  • Per i problemi di connettività, l'evento 1022 (log di analisi di Azure AD) conterrà l'URL a cui si accede e l'evento 1084 (log operativi di Azure AD) conterrà il codice di errore secondario dallo stack di rete.
  • STATUS_NO_SUCH_LOGON_SESSION (-1073741729/0xc000005f) L'individuazione dell'area di autenticazione utente non è riuscita perché il servizio di autenticazione di Azure AD non è riuscito a trovare il dominio dell'utente.
  • Il dominio dell'UPN dell'utente deve essere aggiunto come dominio personalizzato in Azure AD. L'evento 1144 (log di analisi di Azure AD) conterrà l'UPN fornito.
  • Se il nome di dominio locale non è instradabile (jdoe@contoso.local), configurare un ID di accesso alternativo (ALTID). Riferimenti: Prerequisiti; Configurare l'ID di accesso alternativo.
  • AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/0xc004844c) L'UPN dell'utente non è nel formato previsto.
    Note:
  • Per i dispositivi aggiunti ad Azure AD, l'UPN è il testo immesso dall'utente in LoginUI.
  • Per i dispositivi aggiunti ad Azure AD ibrido, l'UPN viene restituito dal controller di dominio durante il processo di accesso.
  • L'UPN dell'utente deve essere nel formato del nome di accesso di tipo Internet, in base allo standard Internet RFC 822. L'evento 1144 (log di analisi di Azure AD) conterrà l'UPN fornito.
  • Per i dispositivi aggiunti all'ambiente ibrido, assicurarsi che il controller di dominio sia configurato per restituire l'UPN nel formato corretto. Nel controller whoami /upn di dominio deve essere visualizzato l'UPN configurato.
  • Se il nome di dominio locale non è instradabile (jdoe@contoso.local), configurare l'ID di accesso alternativo (AltID). Riferimenti: Prerequisiti; Configurare l'ID di accesso alternativo.
  • AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/0xc0048442) Il SID utente non è presente nel token ID restituito dal servizio di autenticazione di Azure AD. Assicurarsi che il proxy di rete non interferisca con e modificando la risposta del server.
    AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) È stato ricevuto un errore dall'endpoint WS-Trust.
    Nota: WS-Trust è necessario per l'autenticazione federata.
  • Assicurarsi che il proxy di rete non interferisca con e la modifica della risposta WS-Trust.
  • L'evento 1088 (log operativi di Azure AD) conterrà il codice di errore del server e la descrizione dell'errore dall'endpoint WS-Trust. I codici di errore comuni del server e le relative risoluzioni sono elencati nella sezione successiva.
  • AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/0xc004848b) L'endpoint MEX non è configurato correttamente. La risposta MEX non contiene URL di password.
  • Assicurarsi che il proxy di rete non interferisca con e modificando la risposta del server.
  • Correggere la configurazione MEX in modo che restituisca URL validi in risposta.
  • AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/0xc004848C) L'endpoint MEX non è configurato correttamente. La risposta MEX non contiene URL di endpoint di certificato.
  • Assicurarsi che il proxy di rete non interferisca con e modificando la risposta del server.
  • Correggere la configurazione MEX nel provider di identità per restituire gli URL di certificato validi in risposta.
  • WC_E_DTDPROHIBITED (-1072894385/0xc00cee4f) La risposta XML, dall'endpoint WS-Trust, includeva una definizione del tipo di documento (DTD). Una definizione DTD non è prevista nelle risposte XML e l'analisi della risposta avrà esito negativo se è inclusa una definizione DTD.
    Nota: WS-Trust è necessario per l'autenticazione federata.
  • Correggere la configurazione nel provider di identità per evitare di inviare un DTD nella risposta XML.
  • L'evento 1022 (log di analisi di Azure AD) conterrà l'URL a cui si accede che restituisce una risposta XML con un DTD.
  • Codici di errore comuni del server:

    Codice di errore Motivo Risoluzione
    AADSTS50155: Autenticazione del dispositivo non riuscita
  • Azure AD non è in grado di autenticare il dispositivo per rilasciare un token di aggiornamento primario.
  • Verificare che il dispositivo non sia stato eliminato o disabilitato nel portale di Azure. Per altre informazioni su questo problema, vedere Domande frequenti sulla gestione dei dispositivi in Azure Active Directory.
  • Seguire le istruzioni per questo problema nella domande frequenti sulla gestione dei dispositivi di Azure Active Directory per registrare nuovamente il dispositivo in base al tipo di join del dispositivo.
    AADSTS50034: l'account Account utente non esiste nella tenant id directory Azure AD non è in grado di trovare l'account utente nel tenant.
  • Assicurarsi che l'utente digita l'UPN corretto.
  • Assicurarsi che l'account utente locale venga sincronizzato con Azure AD.
  • Evento 1144 (log di analisi di Azure AD) conterrà l'UPN fornito.
  • AADSTS50126: errore durante la convalida delle credenziali a causa di nome utente o password non validi.
  • il nome utente e la password immessi dall'utente nell'interfaccia utente di accesso a Windows non sono corretti.
  • Se nel tenant è abilitata la sincronizzazione dell'hash delle password, il dispositivo è stato aggiunto ad Azure AD ibrido e l'utente ha appena cambiato la password, è probabile che la nuova password non sia stata sincronizzata con Azure AD.
  • Per acquisire una nuova prT con le nuove credenziali, attendere il completamento della sincronizzazione della password di Azure AD.

    Codici di errore di rete comuni:

    Codice di errore Motivo Risoluzione
    ERROR_WINHTTP_TIMEOUT (12002)
    ERROR_WINHTTP_NAME_NOT_RESOLVED (12007)
    ERROR_WINHTTP_CANNOT_CONNECT (12029)
    ERROR_WINHTTP_CONNECTION_ERROR (12030)
    Problemi comuni relativi alla rete.
  • Gli eventi 1022 (log di analisi di Azure AD) e 1084 (log operativi di Azure AD) conterranno l'URL a cui si accede.
  • Se l'ambiente locale richiede un proxy in uscita, l'amministratore IT deve assicurarsi che l'account computer del dispositivo possa individuare e eseguire l'autenticazione in modo invisibile al proxy in uscita.

    Ottenere altri codici di errore di rete.
  • Passaggio 4: Raccogliere i log

    Log regolari

    1. Passare a https://aka.ms/icesdptool per scaricare automaticamente un file .cab contenente lo strumento di diagnostica.
    2. Eseguire lo strumento e riprovare lo scenario.
    3. Per le tracce di Fiddler, accettare le richieste di certificato visualizzate.
    4. La procedura guidata richiederà di proteggere una password per proteggere i file di traccia. Specificare una password.
    5. Aprire infine la cartella in cui vengono archiviati tutti i log raccolti, ad esempio %LOCALAPPDATA%\ElevatedDiagnostics\number.
    6. Contattare il supporto tecnico con il contenuto del file di .cab più recente.

    Tracce di rete

    Nota

    Quando si raccolgono tracce di rete, è importante non usare Fiddler durante la riprova.

    1. Eseguire netsh trace start scenario=internetClient_dbg capture=yes persistent=yes.
    2. Bloccare e sbloccare il dispositivo. Per i dispositivi aggiunti all'ibrido, attendere un minuto o più per consentire il completamento dell'attività di acquisizione PRT.
    3. Eseguire netsh trace stop.
    4. Condividere il file dinettrace.cab con il supporto.

    Problemi noti

    • Se si è connessi a un hotspot per dispositivi mobili o a una rete esterna Wi-Fi e si passa a Impostazioni>account>di accesso aziendale o dell'istituto di istruzione, i dispositivi aggiunti ad Azure AD ibrido potrebbero visualizzare due account diversi, uno per Azure AD e uno per AD locale. Questo problema dell'interfaccia utente non influisce sulla funzionalità.

    Passaggi successivi