Risolvere i problemi relativi ai dispositivi aggiunti a Microsoft Entra ibrido
Questo articolo fornisce indicazioni per la risoluzione dei problemi che consentono di risolvere potenziali problemi con i dispositivi che eseguono Windows 10 o versioni successive e Windows Server 2016 o versioni successive.
Microsoft Entra hybrid join supporta l'aggiornamento di Windows 10 novembre 2015 e versioni successive.
Per risolvere i problemi relativi ad altri client Windows, vedere Risolvere i problemi relativi ai dispositivi di livello inferiore aggiunti a Microsoft Entra ibrido.
Questo articolo presuppone che siano presenti dispositivi aggiunti all'ibrido Microsoft Entra per supportare gli scenari seguenti:
- Accesso condizionale basato sul dispositivo
- Enterprise State Roaming
- Windows Hello for Business (Configurare Windows Hello for Business)
Nota
Per risolvere i problemi comuni di registrazione dei dispositivi, usare lo strumento di risoluzione dei problemi di registrazione dei dispositivi.
Risolvere gli errori di join
Passaggio 1: Recuperare lo stato delle aggiunte
- Aprire una finestra Prompt dei comandi come amministratore.
- Digitare
dsregcmd /status.
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined: YES
EnterpriseJoined: NO
DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
Thumbprint: B753A6679CE720451921302CA873794D94C6204A
KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
KeyProvider: Microsoft Platform Crypto Provider
TpmProtected: YES
KeySignTest: : MUST Run elevated to test.
Idp: login.windows.net
TenantId: 72b988bf-xxxx-xxxx-xxxx-2d7cd011xxxx
TenantName: Contoso
AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl: eyJVcmlzIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyJdfQ==
JoinSrvVersion: 1.0
JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion: 1.0
KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
DomainJoined: YES
DomainName: CONTOSO
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet: YES
NgcKeyId: {C7A9AEDC-780E-4FDA-B200-1AE15561A46B}
WorkplaceJoined: NO
WamDefaultSet: YES
WamDefaultAuthority: organizations
WamDefaultId: https://login.microsoft.com
WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
AzureAdPrt: YES
Passaggio 2: Valutare lo stato delle aggiunte
Esaminare i campi nella tabella seguente e assicurarsi che abbiano i valori previsti:
| Campo | Valore previsto | Descrizione |
|---|---|---|
| DomainJoined | SÌ | Questo campo indica se il dispositivo viene aggiunto a un Active Directory locale. Se il valore è NO, il dispositivo non può eseguire l'aggiunta ibrida a Microsoft Entra. |
| WorkplaceJoined | NO | Questo campo indica se il dispositivo è registrato con Microsoft Entra ID come dispositivo personale (contrassegnato come Aggiunto all'area di lavoro). Questo valore deve essere NO per un computer aggiunto a un dominio aggiunto anche a Microsoft Entra ibrido. Se il valore è YES, è stato aggiunto un account aziendale o dell'istituto di istruzione prima del completamento dell'aggiunta ibrida a Microsoft Entra. In questo caso, l'account viene ignorato quando usi Windows 10 versione 1607 o successiva. |
| AzureAdJoined | SÌ | Questo campo mostra se il dispositivo è stato aggiunto. Il valore è SÌ se il dispositivo è un dispositivo aggiunto a Microsoft Entra o un dispositivo aggiunto a Microsoft Entra ibrido. Se il valore è NO, l'aggiunta a Microsoft Entra ID non è ancora stata completata. |
Continuare con i passaggi successivi per ulteriori operazioni di risoluzione dei problemi.
Passaggio 3: Trovare la fase in cui il join non è riuscito e il codice di errore
Per Windows 10 versione 1803 o successiva
Cercare la sottosezione "Registrazione precedente" nella sezione "Dati di diagnostica" dell'output dello stato di join. Questa sezione viene visualizzata solo se il dispositivo è aggiunto a un dominio e non è possibile accedere all'aggiunta ibrida a Microsoft Entra.
Il campo "Fase errore" indica la fase dell'errore di join e "Client ErrorCode" indica il codice di errore dell'operazione di join.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Per le versioni precedenti di Windows 10
Usare Visualizzatore eventi log per individuare la fase e il codice di errore per gli errori di join.
- In Visualizzatore eventi aprire i registri eventi registrazione dispositivo utente. Vengono archiviati in Applicazioni e servizi Registra registrazione> dispositivo utente Microsoft>Windows.>
- Cercare gli eventi con gli ID evento seguenti: 304, 305 e 307.
Passaggio 4: Verificare le possibili cause e risoluzioni
Fase di controllo preliminare
Possibili motivi di errore:
- Il dispositivo non ha alcuna linea di vista per il controller di dominio.
- Il dispositivo deve trovarsi nella rete interna dell'organizzazione o in una rete privata virtuale con una linea di rete a un controller di dominio Active Directory locale.
Fase di individuazione
Possibili motivi di errore:
- L'oggetto punto di connessione del servizio non è configurato correttamente o non può essere letto dal controller di dominio.
- Un oggetto punto di connessione del servizio valido è necessario nella foresta di Active Directory a cui appartiene il dispositivo, che punta a un nome di dominio verificato in Microsoft Entra ID.
- Per altre informazioni, vedere la sezione "Configurare un punto di connessione del servizio" di Esercitazione: Configurare l'aggiunta ibrida di Microsoft Entra per i domini federati.
- Errore di connessione e recupero dei metadati di individuazione dall'endpoint di individuazione.
- Il dispositivo deve essere in grado di accedere
https://enterpriseregistration.windows.neta , nel contesto di sistema, per individuare gli endpoint di registrazione e autorizzazione. - Se l'ambiente locale richiede un proxy in uscita, l'amministratore IT deve assicurarsi che l'account computer del dispositivo possa individuare e autenticare automaticamente il proxy in uscita.
- Il dispositivo deve essere in grado di accedere
- Impossibile connettersi all'endpoint dell'area di autenticazione utente ed eseguire l'individuazione dell'area di autenticazione (solo Windows 10 versione 1809 e versioni successive).
- Il dispositivo deve essere in grado di accedere
https://login.microsoftonline.coma , nel contesto di sistema, per eseguire l'individuazione dell'area di autenticazione per il dominio verificato e determinare il tipo di dominio (gestito o federato). - Se l'ambiente locale richiede un proxy in uscita, l'amministratore IT deve assicurarsi che il contesto di sistema nel dispositivo possa individuare e autenticarsi automaticamente nel proxy in uscita.
- Il dispositivo deve essere in grado di accedere
Codici di errore comuni:
| Codice errore | Motivo | Risoluzione |
|---|---|---|
| DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | Impossibile leggere l'oggetto punto di connessione del servizio (SCP) e ottenere le informazioni sul tenant di Microsoft Entra. | Fare riferimento alla sezione Configurare un punto di connessione del servizio. |
| DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) | Errore di individuazione generico. Impossibile ottenere i metadati di individuazione dal servizio di replica dei dati. | Per ulteriori indagini, trovare il suberrore nelle sezioni successive. |
| DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) | Timeout dell'operazione durante l'esecuzione dell'individuazione. | Assicurarsi che https://enterpriseregistration.windows.net sia accessibile nel contesto di sistema. Per altre informazioni, vedere la sezione Requisiti di connettività di rete. |
| DSREG_AUTOJOIN_U edizione Standard RREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) | Errore di individuazione dell'area di autenticazione generica. Impossibile determinare il tipo di dominio (gestito/federato) dal servizio token di sicurezza. | Per ulteriori indagini, trovare il suberrore nelle sezioni successive. |
Codici di errore secondari comuni:
Per trovare il codice suberrore per il codice di errore di individuazione, usare uno dei metodi seguenti.
Windows 10 versione 1803 o successive
Cercare "Test individuazione DRS" nella sezione "Dati di diagnostica" dell'output dello stato di join. Questa sezione viene visualizzata solo se il dispositivo è aggiunto a un dominio e non è possibile accedere all'aggiunta ibrida a Microsoft Entra.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : UN-ELEVATED User
Client Time : 2019-06-05 08:25:29.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
+----------------------------------------------------------------------+
Versioni precedenti di Windows 10
Usare Visualizzatore eventi log per cercare la fase e il codice di errore per gli errori di join.
- In Visualizzatore eventi aprire i registri eventi registrazione dispositivo utente. Vengono archiviati in Applicazioni e servizi Registra registrazione> dispositivo utente Microsoft>Windows.>
- Cercare l'ID evento 201.
Errori di rete:
| Codice errore | Motivo | Risoluzione |
|---|---|---|
| WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) | non è stato possibile stabilire Connessione ion con il server. | Verificare la connettività di rete alle risorse Microsoft necessarie. Per altre informazioni, vedere Requisiti per la connettività di rete. |
| WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Timeout di rete generale. | Verificare la connettività di rete alle risorse Microsoft necessarie. Per altre informazioni, vedere Requisiti per la connettività di rete. |
| WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) | Lo stack di rete non è riuscito a decodificare la risposta dal server. | Assicurarsi che il proxy di rete non interferisca e modifichi la risposta del server. |
Errori HTTP:
| Codice errore | Motivo | Risoluzione |
|---|---|---|
| DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) | L'oggetto punto di connessione del servizio è configurato con l'ID tenant errato oppure nel tenant non sono state trovate sottoscrizioni attive. | Assicurarsi che l'oggetto punto di connessione del servizio sia configurato con l'ID tenant microsoft Entra corretto e le sottoscrizioni attive o che il servizio sia presente nel tenant. |
| DSREG_edizione Standard RVER_BUSY (0x801c0025/-2145648603) | HTTP 503 dal server DRS. | Il server non è attualmente disponibile. È probabile che i tentativi di aggiunta futuri riescano dopo che il server è di nuovo online. |
Altri errori:
| Codice errore | Motivo | Risoluzione |
|---|---|---|
| E_INVALIDDATA (0x8007000d/-2147024883) | Non è stato possibile analizzare il codice JSON della risposta del server, probabilmente perché il proxy restituisce un HTTP 200 con una pagina di autorizzazione HTML. | Se l'ambiente locale richiede un proxy in uscita, l'amministratore IT deve assicurarsi che il contesto di sistema nel dispositivo possa individuare e autenticarsi automaticamente nel proxy in uscita. |
Fase di autenticazione
Questo contenuto si applica solo agli account di dominio federati.
Motivi dell'errore:
- Impossibile ottenere automaticamente un token di accesso per la risorsa DRS.
- I dispositivi Windows 10 e Windows 11 acquisiscono il token di autenticazione dal servizio federativo usando i autenticazione di Windows integrati a un endpoint WS-Trust attivo. Per altre informazioni, vedere Configurazione del servizio federativo.
Codici di errore comuni:
Usare Visualizzatore eventi log per individuare il codice di errore, il codice di errore secondario, il codice di errore del server e il messaggio di errore del server.
- In Visualizzatore eventi aprire i registri eventi registrazione dispositivo utente. Vengono archiviati in Applicazioni e servizi Registra registrazione> dispositivo utente Microsoft>Windows.>
- Cercare l'ID evento 305.
Errori di configurazione:
| Codice errore | Motivo | Risoluzione |
|---|---|---|
| ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) | Il protocollo di autenticazione Autenticazione di Azure AD Library (ADAL) non è WS-Trust. | Il provider di identità locale deve supportare WS-Trust. |
| ERROR_ADAL_FAILED_TO_PAR edizione Standard_XML (0xcaa9002c/-894894036) | Il servizio federativo locale non ha restituito una risposta XML. | Verificare che l'endpoint MEX (Metadata Exchange) restituisca un codice XML valido. Assicurarsi che il proxy non interferisca e restituisca risposte nonxml. |
| ERROR_ADAL_COULDNOT_DISCOVER_U edizione Standard RNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) | Non è stato possibile individuare un endpoint per l'autenticazione con nome utente/password. | Controllare le impostazioni del provider di identità locale. Assicurarsi che gli endpoint WS-Trust siano abilitati e che la risposta MEX contenga questi endpoint corretti. |
Errori di rete:
| Codice errore | Motivo | Risoluzione |
|---|---|---|
| ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) | Timeout di rete generale. | Assicurarsi che https://login.microsoftonline.com sia accessibile nel contesto di sistema. Assicurarsi che il provider di identità locale sia accessibile nel contesto di sistema. Per altre informazioni, vedere Requisiti per la connettività di rete. |
| ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) | Connessione ion con l'endpoint di autorizzazione è stato interrotto. | Ripetere l'aggiunta dopo un po' di tempo o provare a eseguirla da un altro percorso di rete stabile. |
| ERROR_ADAL_INTERNET_edizione Standard CURE_FAILURE (0xcaa82f8f/-894947441) | Non è stato possibile convalidare il certificato TLS (Transport Layer Security) (noto in precedenza come certificato SSL [Secure Sockets Layer] inviato dal server. | Controllare l'asimmetria dell'ora del client. Ripetere l'aggiunta dopo un po' di tempo o provare a eseguirla da un altro percorso di rete stabile. |
| ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) | Tentativo di connessione non https://login.microsoftonline.com riuscito. |
Controllare la connessione di rete a https://login.microsoftonline.com. |
Altri errori:
| Codice errore | Motivo | Risoluzione |
|---|---|---|
| ERROR_ADAL_edizione Standard RVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) | Il token SAML del provider di identità locale non è stato accettato da Microsoft Entra ID. | Controllare le impostazioni del server federativo. Cercare il codice di errore del server nei log di autenticazione. |
| ERROR_ADAL_WSTRUST_REQUEST_edizione Standard CURITYTOKEN_FAILED (0xcaa90014/-894894060) | La risposta WS-Trust del server ha segnalato un'eccezione di errore e non è riuscita a ottenere l'asserzione. | Controllare le impostazioni del server federativo. Cercare il codice di errore del server nei log di autenticazione. |
| ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) | È stato ricevuto un errore durante il tentativo di ottenere il token di accesso dall'endpoint del token. | Cercare l'errore sottostante nel log ADAL. |
| ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) | Errore generale di ADAL. | Cercare il codice di errore secondario o il codice di errore del server dai log di autenticazione. |
Fase di join
Motivi dell'errore:
Cercare il tipo di registrazione e il codice di errore delle tabelle seguenti, a seconda della versione di Windows 10 in uso.
Windows 10 versione 1803 o successive
Cercare la sottosezione "Registrazione precedente" nella sezione "Dati di diagnostica" dell'output dello stato di join. Questa sezione viene visualizzata solo se il dispositivo è aggiunto a un dominio e non è in grado di aggiungere microsoft entra ibrido.
Il campo "Tipo di registrazione" indica il tipo di join.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) is not found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Versioni precedenti di Windows 10
Usare Visualizzatore eventi log per individuare la fase e il codice di errore per gli errori di join.
- In Visualizzatore eventi aprire i registri eventi registrazione dispositivo utente. Vengono archiviati in Applicazioni e servizi Registra registrazione> dispositivo utente Microsoft>Windows.>
- Cercare l'ID evento 204.
Errori HTTP restituiti dal server DRS:
| Codice errore | Motivo | Risoluzione |
|---|---|---|
| DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) | È stata ricevuta una risposta di errore da DRS con ErrorCode: "DirectoryError". | Per possibili motivi e risoluzioni, vedere il codice di errore del server. |
| DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) | È stata ricevuta una risposta di errore da DRS con ErrorCode: "AuthenticationError" e ErrorSubCode non è "DeviceNotFound". | Per possibili motivi e risoluzioni, vedere il codice di errore del server. |
| DSREG_E_DEVICE_INTERNAL edizione Standard RVICE_ERROR (0x801c0006/-2145648634) | È stata ricevuta una risposta di errore da DRS con ErrorCode: "DirectoryError". | Per possibili motivi e risoluzioni, vedere il codice di errore del server. |
Errori TPM:
| Codice errore | Motivo | Risoluzione |
|---|---|---|
| NTE_BAD_KEY edizione Standard T (0x80090016/-2146893802) | L'operazione TPM (Trusted Platform Module) non è riuscita o non è valida. | L'errore probabilmente deriva da un'immagine sysprep non valida. Assicurarsi che il computer da cui è stata creata l'immagine sysprep non sia aggiunto a Microsoft Entra, aggiunto a Microsoft Entra ibrido o registrato da Microsoft Entra. |
| TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | Errore TPM generico. | Disabilitare TPM nei dispositivi con questo errore. Windows 10 versioni 1809 e successive rilevano automaticamente gli errori di TPM e completano l'aggiunta ibrida a Microsoft Entra senza usare il TPM. |
| TPM_E_NOTFIPS (0x80280036/-2144862154) | TPM in modalità FIPS non è attualmente supportato. | Disabilitare TPM nei dispositivi con questo errore. Windows 10 versione 1809 rileva automaticamente gli errori di TPM e completa il join ibrido di Microsoft Entra senza usare il TPM. |
| NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | TPM è bloccato. | Errore temporaneo. Attendere il periodo di raffreddamento. Il tentativo di aggiunta dovrebbe avere esito positivo dopo un po' di tempo. Per altre informazioni, vedere Nozioni fondamentali sul TPM. |
Errori di rete:
| Codice errore | Motivo | Risoluzione |
|---|---|---|
| WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Timeout di rete generale durante il tentativo di registrare il dispositivo in DRS. | Controllare la connettività di rete a https://enterpriseregistration.windows.net. |
| WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) | Impossibile risolvere il nome o l'indirizzo del server. | Controllare la connettività di rete a https://enterpriseregistration.windows.net. |
| WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) | La connessione con il server è stata terminata in modo anomalo. | Ripetere l'aggiunta dopo un po' di tempo o provare a eseguirla da un altro percorso di rete stabile. |
Altri errori:
| Codice errore | Motivo | Risoluzione |
|---|---|---|
| DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | L'ID evento 220 è presente nei registri eventi registrazione dispositivo utente. Windows non può accedere all'oggetto computer in Active Directory. Un codice di errore di Windows potrebbe essere incluso nell'evento . I codici di errore ERROR_NO_SUCH_LOGON_edizione Standard SSION (1312) e ERROR_NO_SUCH_U edizione Standard R (1317) sono correlati ai problemi di replica in Active Directory locale. | Risolvere i problemi di replica in Active Directory. Questi problemi di replica potrebbero essere temporanei e potrebbero andare via dopo un po' di tempo. |
Errori del server di aggiunta federati:
| Codice di errore del server | Messaggio di errore del server | Possibili cause | Risoluzione |
|---|---|---|---|
| DirectoryError | La richiesta viene limitata temporaneamente. Provare dopo 300 secondi. | Questo errore è previsto, probabilmente perché sono state effettuate più richieste di registrazione in rapida successione. | Ripetere il join dopo il periodo di raffreddamento |
Errori del server di aggiunta alla sincronizzazione:
| Codice di errore del server | Messaggio di errore del server | Possibili cause | Risoluzione |
|---|---|---|---|
| DirectoryError | AADSTS90002: tenant UUID non trovato. Questo errore può verificarsi se non sono presenti sottoscrizioni attive per il tenant. Rivolgersi all'amministratore della sottoscrizione. |
L'ID tenant nell'oggetto punto di connessione del servizio non è corretto. | Assicurarsi che l'oggetto punto di connessione del servizio sia configurato con l'ID tenant microsoft Entra corretto e le sottoscrizioni attive o che il servizio sia presente nel tenant. |
| DirectoryError | L'oggetto dispositivo in base all'ID specificato non viene trovato. | Questo errore è previsto per sync-join. L'oggetto dispositivo non è stato sincronizzato da AD a Microsoft Entra ID | Attendere il completamento di Microsoft Entra Connessione Sync e il successivo tentativo di join dopo il completamento della sincronizzazione risolverà il problema. |
| AuthenticationError | Verifica del SID del computer di destinazione | Il certificato nel dispositivo Microsoft Entra non corrisponde al certificato usato per accedere al BLOB durante il join di sincronizzazione. Questo errore significa in genere che la sincronizzazione non è ancora stata completata. | Attendere il completamento della sincronizzazione di Microsoft Entra Connessione e il successivo tentativo di join dopo il completamento della sincronizzazione risolverà il problema. |
Passaggio 5: Raccogliere i log e contattare supporto tecnico Microsoft
Scaricare il file Auth.zip.
Estrarre i file in una cartella, ad esempio c:\temp, e quindi passare alla cartella .
Da una sessione di Azure PowerShell con privilegi elevati eseguire
.\start-auth.ps1 -v -accepteula.Selezionare Cambia account per passare a un'altra sessione con l'utente del problema.
Riprodurre il problema.
Selezionare Cambia account per tornare alla sessione di amministrazione che esegue la traccia.
Dalla sessione di PowerShell con privilegi elevati eseguire
.\stop-auth.ps1.Comprimere (comprimere) e inviare i log di autenticazione della cartella dalla cartella in cui sono stati eseguiti gli script.
Risolvere i problemi di autenticazione post-join
Passaggio 1: Recuperare lo stato del token di aggiornamento primario tramite dsregcmd /status
Aprire una finestra del prompt dei comandi.
Nota
Per ottenere lo stato del token di aggiornamento primario (PRT), aprire la finestra del prompt dei comandi nel contesto dell'utente connesso.
Eseguire
dsregcmd /status.La sezione "Stato SSO" fornisce lo stato prt corrente.
Se il campo AzureAdPrt è impostato su NO, si è verificato un errore durante l'acquisizione dello stato prT da Microsoft Entra ID.
Se AzureAdPrtUpdateTime è superiore a quattro ore, è probabile che si verifichi un problema con l'aggiornamento della richiesta pull. Bloccare e sbloccare il dispositivo per forzare l'aggiornamento prt e quindi verificare se l'ora viene aggiornata.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : YES
AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs
+----------------------------------------------------------------------+
Passaggio 2: Trovare il codice di errore
Dall'output dsregcmd
Nota
L'output è disponibile dall'aggiornamento di Windows 10 maggio 2021 (versione 21H1).
Il campo "Stato tentativo" nel campo "AzureAdPrt" fornisce lo stato del tentativo di aggiornamento primario precedente, insieme ad altre informazioni di debug necessarie. Per le versioni precedenti di Windows, estrarre le informazioni dai log operativi e di analisi di Microsoft Entra.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : 63648321-fc5c-46eb-996e-ed1f3ba7740f
Endpoint URI : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
Dai log operativi e di analisi di Microsoft Entra
Usare Visualizzatore eventi per cercare le voci di log registrate dal plug-in Microsoft Entra CloudAP durante l'acquisizione del token di aggiornamento primario.
- In Visualizzatore eventi aprire i registri eventi di Microsoft Entra Operational. Vengono archiviati in Registri applicazioni e servizi>di Microsoft>Windows>AAD.
Nota
Il plug-in CloudAP registra gli eventi di errore nei log operativi e registra gli eventi di informazioni nei log di analisi. Per risolvere i problemi, gli eventi del log operativo e di analisi sono entrambi necessari.
L'evento 1006 nei log di analisi indica l'inizio del flusso di acquisizione della richiesta pull e l'evento 1007 nei log di analisi indica la fine del flusso di acquisizione prT. Tutti gli eventi nei log di Microsoft Entra (analisi e operativi) registrati tra gli eventi 1006 e 1007 sono stati registrati come parte del flusso di acquisizione prT.
L'evento 1007 registra il codice di errore finale.
Passaggio 3: Risolvere altri problemi, in base al codice di errore trovato
| Codice errore | Motivo | Risoluzione |
|---|---|---|
| STATUS_LOGON_FAILURE (-1073741715/0xc000006d) STATUS_WRONG_PASSWORD (-1073741718/0xc000006a) |
Nota: WS-Trust è necessario per l'autenticazione federata. |
|
| STATUS_REQUEST_NOT_ACCEPTED (-1073741616/0xc00000d0) | È stata ricevuta una risposta di errore (HTTP 400) dal servizio di autenticazione Microsoft Entra o dall'endpoint WS-Trust. Nota: WS-Trust è necessario per l'autenticazione federata. |
Gli eventi 1081 e 1088 (log operativi di Microsoft Entra) contengono rispettivamente il codice di errore del server e la descrizione dell'errore per gli errori provenienti dal servizio di autenticazione Microsoft Entra e dall'endpoint WS-Trust. I codici di errore comuni del server e le relative risoluzioni sono elencati nella sezione successiva. La prima istanza dell'evento 1022 (log di analisi di Microsoft Entra), gli eventi precedenti 1081 o 1088, contengono l'URL a cui si accede. |
| STATUS_NETWORK_UNREACHABLE (-1073741252/0xc000023c) STATUS_BAD_NETWORK_PATH (-1073741634/0xc00000be) STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/0xc00000c4) |
Nota: WS-Trust è necessario per l'autenticazione federata. |
|
| STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) | L'individuazione dell'area di autenticazione utente non è riuscita perché il servizio di autenticazione Microsoft Entra non è riuscito a trovare il dominio dell'utente. | |
| AAD_CLOUDAP_E_OAUTH_U edizione Standard RNAME_IS_MALFORMED (-1073445812/0xc004844c) | L'UPN dell'utente non è nel formato previsto. Note: |
whoami /upn di dominio deve essere visualizzato l'UPN configurato. |
| AAD_CLOUDAP_E_OAUTH_U edizione Standard R_SID_IS_EMPTY (-1073445822/0xc0048442) | Il SID utente non è presente nel token ID restituito dal servizio di autenticazione Microsoft Entra. | Assicurarsi che il proxy di rete non interferisca con e modifichi la risposta del server. |
| AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/0xc00484c1) | È stato ricevuto un errore dall'endpoint WS-Trust. Nota: WS-Trust è necessario per l'autenticazione federata. |
|
| AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/0xc004848b) | L'endpoint MEX non è configurato correttamente. La risposta MEX non contiene URL di password. | |
| AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/0xc004848C) | L'endpoint MEX non è configurato correttamente. La risposta MEX non contiene URL di endpoint di certificato. | |
| WC_E_DTDPROHIBITED (-1072894385/0xc00cee4f) | La risposta XML, dall'endpoint WS-Trust, includeva una definizione del tipo di documento (DTD). Un DTD non è previsto nelle risposte XML e l'analisi della risposta ha esito negativo se è incluso un DTD. Nota: WS-Trust è necessario per l'autenticazione federata. |
Codici di errore comuni del server
| Codice errore | Motivo | Risoluzione |
|---|---|---|
| AADSTS50155: Autenticazione del dispositivo non riuscita | Seguire le istruzioni per questo problema in Domande frequenti sulla gestione dei dispositivi Di Microsoft Entra per registrare nuovamente il dispositivo in base al tipo di aggiunta del dispositivo. | |
AADSTS50034: l'account Account utente non esiste nella tenant id directory |
Microsoft Entra ID non riesce a trovare l'account utente nel tenant. | |
| AADSTS50126: errore durante la convalida delle credenziali a causa di nome utente o password non validi. | Per acquisire una nuova richiesta pull con le nuove credenziali, attendere il completamento della sincronizzazione delle password di Microsoft Entra. |
Codici di errore di rete comuni
| Codice errore | Motivo | Risoluzione |
|---|---|---|
| ERROR_WINHTTP_TIMEOUT (12002) ERROR_WINHTTP_NAME_NOT_RESOLVED (12007) ERROR_WINHTTP_CANNOT_CONNECT (12029) ERROR_WINHTTP_CONNECTION_ERROR (12030) |
Problemi comuni relativi alla rete. | Ottenere altri codici di errore di rete. |
Passaggio 4: Raccogliere i log
Log regolari
- Passare a https://aka.ms/icesdptool per scaricare automaticamente un file di .cab contenente lo strumento di diagnostica.
- Eseguire lo strumento e riprovare lo scenario.
- Per le tracce di Fiddler, accettare le richieste di certificato visualizzate.
- La procedura guidata richiede una password per proteggere i file di traccia. Specificare una password.
- Aprire infine la cartella in cui sono archiviati tutti i log raccolti, ad esempio %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
- Contattare il supporto tecnico con il contenuto del file di .cab più recente.
Tracce di rete
Nota
Quando si raccolgono tracce di rete, è importante non usare Fiddler durante la riproduzione.
- Eseguire
netsh trace start scenario=internetClient_dbg capture=yes persistent=yes. - Bloccare e sbloccare il dispositivo. Per i dispositivi aggiunti all'ambiente ibrido, attendere un minuto o più per consentire il completamento dell'attività di acquisizione prt.
- Eseguire
netsh trace stop. - Condividere il file nettrace.cab con il supporto.
Problemi noti
Se sei connesso a un hotspot per dispositivi mobili o a una rete Wi-Fi esterna e vai a Impostazioni> Accounts>Access Work o School, i dispositivi aggiunti a Microsoft Entra ibrido potrebbero mostrare due account diversi, uno per Microsoft Entra ID e uno per AD locale. Questo problema dell'interfaccia utente non influisce sulle funzionalità.
Contenuto correlato
- Risolvere i problemi dei dispositivi usando il
dsregcmdcomando . - Passare allo strumento Di ricerca errori Microsoft.