Problemen met hybride gekoppelde apparaten met Microsoft Entra oplossen
Dit artikel bevat richtlijnen voor het oplossen van mogelijke problemen met apparaten waarop Windows 10 of nieuwer en Windows Server 2016 of nieuwer worden uitgevoerd.
Hybride deelname van Microsoft Entra ondersteunt de Windows 10 November 2015-update en hoger.
Als u problemen met andere Windows-clients wilt oplossen, raadpleegt u Problemen met hybride apparaten die zijn toegevoegd aan Microsoft Entra, op lager niveau.
In dit artikel wordt ervan uitgegaan dat u hybride apparaten van Microsoft Entra hebt om de volgende scenario's te ondersteunen:
- Voorwaardelijke toegang op basis van het apparaat
- Enterprise State Roaming
- Windows Hello voor Bedrijven
Notitie
Los veelvoorkomende problemen met apparaatregistratie op door het hulpprogramma voor probleemoplossing voor apparaatregistratie te gebruiken.
Mislukte deelnames oplossen
Stap 1: haal de toevoegingsstatus op
- Open een opdrachtprompt-venster als beheerder.
- Typ
dsregcmd /status.
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined: YES
EnterpriseJoined: NO
DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
Thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
KeyProvider: Microsoft Platform Crypto Provider
TpmProtected: YES
KeySignTest: : MUST Run elevated to test.
Idp: login.windows.net
TenantId: aaaabbbb-0000-cccc-1111-dddd2222eeee
TenantName: Contoso
AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl: eyJVc{lots of characters}JdfQ==
JoinSrvVersion: 1.0
JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion: 1.0
KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
DomainJoined: YES
DomainName: CONTOSO
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet: YES
NgcKeyId: {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
WorkplaceJoined: NO
WamDefaultSet: YES
WamDefaultAuthority: organizations
WamDefaultId: https://login.microsoft.com
WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
AzureAdPrt: YES
Stap 2: evalueer de toevoegingsstatus
Controleer de velden in de volgende tabel en ga na of deze de verwachte waarden hebben:
| Veld | Verwachte waarde | Beschrijving |
|---|---|---|
| DomainJoined | JA | Dit veld geeft aan of het apparaat is toegevoegd aan een on-premises Active Directory. Als de waarde NEE is, kan het apparaat hybride join van Microsoft Entra niet uitvoeren. |
| WorkplaceJoined | NO | Dit veld geeft aan of het apparaat is geregistreerd bij Microsoft Entra ID als een persoonlijk apparaat (gemarkeerd als Werkplek toegevoegd). Deze waarde moet NEE zijn voor een computer die lid is van een domein en die ook hybride lid is van Microsoft Entra. Als de waarde JA is, is er een werk- of schoolaccount toegevoegd voordat de hybride deelname van Microsoft Entra is voltooid. In dit geval wordt het account genegeerd wanneer u Windows 10 versie 1607 of hoger gebruikt. |
| AzureAdJoined | JA | Dit veld geeft aan of het apparaat is toegevoegd. De waarde is JA als het apparaat een aan Microsoft Entra gekoppeld apparaat of een hybride apparaat van Microsoft Entra is. Als de waarde NEE is, is de join met Microsoft Entra ID nog niet voltooid. |
Ga door naar de volgende stappen voor verdere probleemoplossing.
Stap 3: De fase zoeken waarin de join is mislukt en de foutcode
Voor Windows 10 versie 1803 of hoger
Zoek naar de subsectie 'Vorige registratie' in de sectie Diagnostische gegevens van de uitvoer van de joinstatus. Deze sectie wordt alleen weergegeven als het apparaat lid is van een domein en geen hybride deelname van Microsoft Entra kan uitvoeren.
Het veld Foutfase geeft de fase van de joinfout aan en Client ErrorCode geeft de foutcode van de joinbewerking aan.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Voor eerdere versies van Windows 10
Gebruik Logboeken om de fase en foutcode voor de joinfouten te vinden.
- Open in Logboeken de gebeurtenislogboeken Apparaatregistratie gebruiker. Ze worden bewaard onder het Logboek toepassingen en services>Microsoft>Windows>Apparaatregistratie gebruiker.
- Zoek naar gebeurtenissen met de volgende gebeurtenis-id's: 304, 305 en 307.
Stap 4: Controleren op mogelijke oorzaken en oplossingen
Fase Vooraf controleren
Mogelijke oorzaken voor het mislukken:
- De domeincontroller is niet zichtbaar voor het apparaat.
- Het apparaat moet zich bevinden in het interne netwerk van de organisatie of in een VPN, waarbij een on-premises AD-domeincontroller (Active Directory) zichtbaar is voor het netwerk.
Fase ontdekken
Mogelijke oorzaken voor het mislukken:
- Het aansluitpuntobject voor de service is onjuist geconfigureerd of kan niet worden gelezen vanaf de domeincontroller.
- Een geldig serviceaansluitpuntobject is vereist in het AD-forest, waartoe het apparaat behoort, die verwijst naar een geverifieerde domeinnaam in Microsoft Entra-id.
- Zie de sectie Een serviceverbindingspunt configureren in de zelfstudie: Hybride join van Microsoft Entra configureren voor federatieve domeinen voor meer informatie.
- Kan geen verbinding maken met de detectiemetagegevens en deze ophalen van het detectie-eindpunt.
- Het apparaat moet toegang hebben tot
https://enterpriseregistration.windows.netin de systeemcontext, om de registratie- en autorisatie-eindpunten te detecteren. - Als voor de on-premises omgeving een uitgaande proxy is vereist, moet de IT-beheerder controleren of het computeraccount van het apparaat de uitgaande proxy kan vinden en er op de achtergrond mee kan worden geverifieerd.
- Het apparaat moet toegang hebben tot
- Kan geen verbinding maken met het eindpunt van het gebruikersdomein en realmdetectie uitvoeren (alleen Windows 10 versie 1809 en hoger).
- Het apparaat moet in de systeemcontext toegang hebben tot
https://login.microsoftonline.comom realmdetectie voor het geverifieerde domein en het domeintype (beheerd of federatief) te kunnen bepalen. - Als voor de on-premises omgeving een uitgaande proxy is vereist, moet de IT-beheerder ervoor zorgen dat de systeemcontext op het apparaat de uitgaande proxy kan vinden en deze op de achtergrond kan worden geverifieerd.
- Het apparaat moet in de systeemcontext toegang hebben tot
Veelvoorkomende foutcodes:
| Foutcode | Reden | Oplossing |
|---|---|---|
| DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | Kan het SCP-object (Service Connection Point) niet lezen en de tenantgegevens van Microsoft Entra ophalen. | Raadpleeg de sectie Een serviceverbindingspunt configureren. |
| DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) | Algemene detectiefout. Kan de detectiemetagegevens niet ophalen van de data replication service (DRS). | Als u verder wilt onderzoeken, zoekt u de suberror in de volgende secties. |
| DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) | Er is een time-out opgetreden tijdens het uitvoeren van detectie. | Controleer of https://enterpriseregistration.windows.net toegankelijk is in de systeemcontext. Zie de sectie Vereisten voor netwerkconnectiviteit voor meer informatie. |
| DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) | Algemene realmdetectiefout. Kan het domeintype (beheerd/federatief) niet bepalen vanuit STS. | Als u verder wilt onderzoeken, zoekt u de suberror in de volgende secties. |
Veelvoorkomende subfoutcodes:
Gebruik een van de volgende methoden om de suberrorcode voor de detectiefoutcode te vinden.
Windows 10 versie 1803 of hoger
Zoek naar DRS Discovery Test in de sectie Diagnostische gegevens van de joinstatus-uitvoer. Deze sectie wordt alleen weergegeven als het apparaat lid is van een domein en geen hybride deelname van Microsoft Entra kan uitvoeren.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : UN-ELEVATED User
Client Time : 2019-06-05 08:25:29.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
+----------------------------------------------------------------------+
Eerdere versies van Windows 10
Gebruik Logboeken om de fase en foutcode voor de joinfouten te vinden.
- Open in Logboeken de gebeurtenislogboeken Apparaatregistratie gebruiker. Ze worden bewaard onder het Logboek toepassingen en services>Microsoft>Windows>Apparaatregistratie gebruiker.
- Zoek naar gebeurtenis-id 201.
Netwerkfouten:
| Foutcode | Reden | Oplossing |
|---|---|---|
| WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) | Kan geen verbinding maken met de server. | Zorg voor netwerkconnectiviteit met de vereiste Microsoft-resources. Zie Vereisten voor netwerkconnectiviteit voor meer informatie. |
| WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Algemene netwerktime-out. | Zorg voor netwerkconnectiviteit met de vereiste Microsoft-resources. Zie Vereisten voor netwerkconnectiviteit voor meer informatie. |
| WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) | De netwerkstack is niet in staat om het antwoord te decoderen van de server. | Controleer of de netwerkproxy het antwoord van de server niet verstoort en wijzigt. |
HTTP-fouten:
| Foutcode | Reden | Oplossing |
|---|---|---|
| DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) | Het serviceverbindingspuntobject is geconfigureerd met de verkeerde tenant-id of er zijn geen actieve abonnementen gevonden in de tenant. | Zorg ervoor dat het serviceaansluitpuntobject is geconfigureerd met de juiste Microsoft Entra-tenant-id en actieve abonnementen of dat de service aanwezig is in de tenant. |
| DSREG_SERVER_BUSY (0x801c0025/-2145648603) | HTTP 503 van DRS-server. | De server is momenteel niet beschikbaar. Toekomstige pogingen voor samenvoeging slagen waarschijnlijk nadat de server weer online is. |
Overige fouten:
| Foutcode | Reden | Oplossing |
|---|---|---|
| E_INVALIDDATA (0x8007000d/-2147024883) | De serverantwoord-JSON kan niet worden geparseerd, waarschijnlijk omdat de proxy een HTTP 200 retourneert met een HTML-autorisatiepagina. | Als voor de on-premises omgeving een uitgaande proxy is vereist, moet de IT-beheerder ervoor zorgen dat de systeemcontext op het apparaat de uitgaande proxy kan vinden en deze op de achtergrond kan worden geverifieerd. |
Verificatiefase
Deze inhoud is alleen van toepassing op federatieve domeinaccounts.
Redenen voor een fout:
- Kan geen toegangstoken op de achtergrond ophalen voor de DRS-resource.
- Windows 10- en Windows 11-apparaten verkrijgen het verificatietoken van de Federation-service met behulp van geïntegreerde Windows-verificatie naar een actief WS-Trust-eindpunt. Zie voor meer informatie Configuratie federatieservice.
Veelvoorkomende foutcodes:
Gebruik Logboeken logboeken om de foutcode, subfoutcode, serverfoutcode en serverfoutbericht te vinden.
- Open in Logboeken de gebeurtenislogboeken Apparaatregistratie gebruiker. Ze worden bewaard onder het Logboek toepassingen en services>Microsoft>Windows>Apparaatregistratie gebruiker.
- Zoek naar gebeurtenis-id 305.
Configuratiefouten:
| Foutcode | Reden | Oplossing |
|---|---|---|
| ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) | Het verificatieprotocol Azure AD Authentication Library (ADAL) is geen WS-Trust. | De on-premises id-provider moet WS-Trust ondersteunen. |
| ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) | De on-premises Federation Service retourneert geen XML-antwoord. | Controleer of het MEX-eindpunt (Metadata Exchange) een geldige XML retourneert. Zorg ervoor dat de proxy niet verstoort en niet-xmlantwoorden retourneert. |
| ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) | Kan geen eindpunt voor verificatie van gebruikersnaam en wachtwoord vinden. | Controleer de instellingen van de on-premises id-provider. Controleer of WS-Trust-eindpunten zijn ingeschakeld en of het MEX-antwoord deze juiste eindpunten bevat. |
Netwerkfouten:
| Foutcode | Reden | Oplossing |
|---|---|---|
| ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) | Algemene netwerktime-out. | Controleer of https://login.microsoftonline.com toegankelijk is in de systeemcontext. Zorg ervoor dat de on-premises id-provider toegankelijk is in de systeemcontext. Zie Vereisten voor netwerkconnectiviteit voor meer informatie. |
| ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) | De verbinding met het autorisatie-eindpunt is afgebroken. | Probeer de koppeling na een tijdje opnieuw uit te voeren, of probeer vanaf een andere stabiele netwerklocatie deel te nemen. |
| ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) | Het TLS-certificaat ((Transport Layer Security), voorheen bekend als het SSL-certificaat (Secure Sockets Layer)), dat door de server is verzonden, is niet gevalideerd. | Controleer het tijdsverschil met de client. Probeer de koppeling na een tijdje opnieuw uit te voeren, of probeer vanaf een andere stabiele netwerklocatie deel te nemen. |
| ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) | De poging om verbinding te maken met https://login.microsoftonline.com is mislukt. |
Controleer de netwerkverbinding met https://login.microsoftonline.com. |
Overige fouten:
| Foutcode | Reden | Oplossing |
|---|---|---|
| ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) | Het SAML-token van de on-premises id-provider is niet geaccepteerd door Microsoft Entra-id. | Controleer de instellingen van de federatieserver. Zoek de serverfoutcode in de verificatielogboeken. |
| ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) | Het antwoord van de server WS-Trust heeft een foutuitzondering gerapporteerd en kan geen assertie ophalen. | Controleer de instellingen van de federatieserver. Zoek de serverfoutcode in de verificatielogboeken. |
| ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) | Er is een fout opgetreden bij het ophalen van het toegangstoken van het tokeneindpunt. | Zoek de onderliggende fout in het ADAL-logboek. |
| ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) | Algemene ADAL-fout. | Zoek de subfoutcode of serverfoutcode uit de verificatielogboeken. |
Joinfase
Redenen voor een fout:
Zoek het registratietype en de foutcode in de volgende tabellen, afhankelijk van de versie van Windows 10 die u gebruikt.
Windows 10 versie 1803 of hoger
Zoek naar de subsectie 'Vorige registratie' in de sectie Diagnostische gegevens van de uitvoer van de joinstatus. Deze sectie wordt alleen weergegeven als het apparaat lid is van een domein en geen hybride deelname van Microsoft Entra kan uitvoeren.
Het veld Registratietype geeft het type join aan.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) is not found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Eerdere versies van Windows 10
Gebruik Logboeken om de fase en foutcode voor de joinfouten te vinden.
- Open in Logboeken de gebeurtenislogboeken Apparaatregistratie gebruiker. Ze worden bewaard onder het Logboek toepassingen en services>Microsoft>Windows>Apparaatregistratie gebruiker.
- Zoek naar gebeurtenis-id 204.
HTTP-fouten die zijn geretourneerd door de DRS-server:
| Foutcode | Reden | Oplossing |
|---|---|---|
| DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) | Er is een foutbericht ontvangen van DRS met ErrorCode (foutcode): DirectoryError. | Raadpleeg de foutcode van de server voor mogelijke redenen en oplossingen. |
| DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) | Er is een foutbericht ontvangen van DRS met ErrorCode (foutcode): AuthenticationError en ErrorSubCode (sub-foutcode) is niet DeviceNotFound. | Raadpleeg de foutcode van de server voor mogelijke redenen en oplossingen. |
| DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) | Er is een foutbericht ontvangen van DRS met ErrorCode (foutcode): DirectoryError. | Raadpleeg de foutcode van de server voor mogelijke redenen en oplossingen. |
TPM-fouten:
| Foutcode | Reden | Oplossing |
|---|---|---|
| NTE_BAD_KEYSET (0x80090016/-2146893802) | De TPM-bewerking (Trusted Platform Module) is mislukt of ongeldig. | Deze fout geeft aan dat de sleutelset niet bestaat. Deze fout treedt op wanneer de TPM is gewist op de systemen of wanneer er een ongeldige sysprep-installatiekopieën zijn. Vermijd het wissen van de TPM in BIOS- of Windows-instellingen. Als de TPM is gewist, moeten gebruikers mogelijk herstellen door accounts te verwijderen en te lezen om het probleem op te lossen, met name wanneer ze meerdere WAM-accounts hebben. Zorg ervoor dat de computer van waaruit de sysprep-installatiekopieën zijn gemaakt, niet is toegevoegd aan Microsoft Entra, dat Microsoft Entra hybrid is toegevoegd of dat Microsoft Entra is geregistreerd. |
| TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | Algemene TPM-fout. | Schakel TPM uit op apparaten met deze fout. Windows 10-versies 1809 en hoger detecteren automatisch TPM-fouten en voltooi hybride koppeling van Microsoft Entra zonder de TPM te gebruiken. |
| TPM_E_NOTFIPS (0x80280036/-2144862154) | TPM in de FIPS-modus wordt momenteel niet ondersteund. | Schakel TPM uit op apparaten met deze fout. In Windows 10 versie 1809 worden TPM-fouten automatisch gedetecteerd en wordt de hybride koppeling van Microsoft Entra voltooid zonder de TPM te gebruiken. |
| NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | TPM is geblokkeerd. | Tijdelijke fout. Wacht tot de afkoelperiode is beëindigd. De joinpoging zou na een tijdje moeten slagen. Zie Basisprincipes TPM voor meer informatie. |
Netwerkfouten:
| Foutcode | Reden | Oplossing |
|---|---|---|
| WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Algemene netwerktime-out bij het registreren van het apparaat bij DRS. | Controleer de netwerkverbinding met https://enterpriseregistration.windows.net. |
| WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) | De servernaam of het serveradres is niet omgezet. | Controleer de netwerkverbinding met https://enterpriseregistration.windows.net. |
| WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) | De verbinding met de server is niet correct beëindigd. | Probeer de koppeling na een tijdje opnieuw uit te voeren, of probeer vanaf een andere stabiele netwerklocatie deel te nemen. |
Overige fouten:
| Foutcode | Reden | Oplossing |
|---|---|---|
| DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | Gebeurtenis-id 220 is aanwezig in gebeurtenislogboeken voor apparaatregistratie gebruiker. Windows heeft geen toegang tot het computerobject in Active Directory. Er kan een Windows-foutcode worden opgenomen in de gebeurtenis. Foutcodes ERROR_NO_SUCH_LOGON_SESSION (1312) en ERROR_NO_SUCH_USER (1317) zijn gerelateerd aan replicatieproblemen in on-premises Active Directory. | Problemen met replicatie in Active Directory oplossen. Deze replicatieproblemen kunnen tijdelijk zijn en kunnen na een tijdje verdwijnen. |
Serverfouten bij federatieve join:
| Foutcode server | Foutbericht server | Mogelijke redenen | Oplossing |
|---|---|---|---|
| DirectoryError | Uw aanvraag wordt tijdelijk beperkt. Probeer het na 300 seconden. | Deze fout wordt verwacht, mogelijk omdat er meerdere registratieaanvragen achter elkaar zijn ingediend. | Probeer de join opnieuw na de afkoelperiode |
Serverfouten synchronisatie-join:
| Foutcode server | Foutbericht server | Mogelijke redenen | Oplossing |
|---|---|---|---|
| DirectoryError | AADSTS90002: tenant UUID niet gevonden. Deze fout kan optreden als er geen actieve abonnementen voor de tenant zijn. Controleer dit bij uw abonnementsbeheerder. |
De tenant-id in het aansluitpuntobject van de service is onjuist. | Zorg ervoor dat het serviceaansluitpuntobject is geconfigureerd met de juiste Microsoft Entra-tenant-id en actieve abonnementen of dat de service aanwezig is in de tenant. |
| DirectoryError | Het apparaatobject op basis van de opgegeven id is niet gevonden. | Deze fout wordt verwacht voor sync-join. Het apparaatobject is niet gesynchroniseerd van AD naar Microsoft Entra-id | Wacht tot de Microsoft Entra Connect Sync is voltooid en de volgende joinpoging nadat de synchronisatie is voltooid, lost het probleem op. |
| AuthenticationError | De verificatie van de SID van de doelcomputer | Het certificaat op het Microsoft Entra-apparaat komt niet overeen met het certificaat dat wordt gebruikt om u tijdens de synchronisatie-join aan te melden bij de blob. Deze fout betekent normaal gesproken dat de synchronisatie nog niet is voltooid. | Wacht tot de Microsoft Entra Connect Sync is voltooid en de volgende joinpoging nadat de synchronisatie is voltooid, lost het probleem op. |
Stap 5: Logboeken verzamelen en contact opnemen met Microsoft Ondersteuning
Pak de bestanden uit naar een map, zoals c:\temp en ga vervolgens naar de map.
Voer
.\start-auth.ps1 -v -accepteulauit vanuit een Azure PowerShell-sessie met verhoogde bevoegdheden.Selecteer Account wisselen om in te schakelen naar een andere sessie met de probleemgebruiker.
Reproduceer het probleem.
Selecteer Account wisselen om terug te schakelen naar de beheersessie waarop de tracering wordt uitgevoerd.
Voer
.\stop-auth.ps1uit vanuit de PowerShell-sessie met verhoogde bevoegdheid.Zip (comprimeer) en verzend de Auth-logboeken uit de map waarin de scripts zijn uitgevoerd.
Problemen met verificatie na join oplossen
Stap 1: Haal de PRT-status op met behulp van dsregcmd /status
Open een opdrachtpromptvenster.
Notitie
Als u de status van de PRT (Primary Refresh Token) wilt ophalen, opent u het opdrachtpromptvenster in de context van de aangemelde gebruiker.
Voer
dsregcmd /statusuit.De sectie Status eenmalige aanmelding toont de huidige PRT-status.
Als het veld AzureAdPrt is ingesteld op NEE, is er een fout opgetreden bij het verkrijgen van de PRT-status van Microsoft Entra-id.
Als AzureAdPrtUpdateTime meer dan vier uur is, is er waarschijnlijk een probleem met het vernieuwen van de PRT. Vergrendel en ontgrendel het apparaat om de PRT-vernieuwing af te dwingen en controleer vervolgens of de tijdupdates zijn.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : YES
AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs
+----------------------------------------------------------------------+
Stap 2: De foutcode zoeken
Uit de uitvoer dsregcmd
Notitie
De uitvoer is beschikbaar via de Windows-update van 10 mei 2021 (versie 21H1).
Het veld 'Pogingsstatus' onder het veld 'AzureAdPrt' biedt de status van de vorige PRT-poging, samen met andere vereiste foutopsporingsgegevens. Voor eerdere Windows-versies extraheert u de informatie uit de Microsoft Entra-analyse- en operationele logboeken.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
Vanuit de Microsoft Entra Analytics- en operationele logboeken
Gebruik Logboeken om te zoeken naar de logboekvermeldingen die zijn geregistreerd door de Microsoft Entra CloudAP-invoegtoepassing tijdens het ophalen van PRT.
- Open in Logboeken de gebeurtenislogboeken van Microsoft Entra Operational. Ze zijn opgeslagen onder Logboek toepassingen en services>Microsoft>Windows>AAD.
Notitie
De invoegtoepassing CloudAP registreert foutgebeurtenissen in de operationele logboeken en registreert de informatiegebeurtenissen in de analyselogboeken. De gebeurtenissen in de analyse- en operationele logboeken zijn beide vereist om problemen op te lossen.
Gebeurtenis 1006 in de analyselogboeken geeft het begin van de PRT-overnamestroom aan en gebeurtenis 1007 in de analyselogboeken geeft het einde van de PRT-overnamestroom aan. Alle gebeurtenissen in de Microsoft Entra-logboeken (analyse en operationeel) die worden geregistreerd tussen gebeurtenissen 1006 en 1007, zijn vastgelegd als onderdeel van de PRT-overnamestroom.
Gebeurtenis 1007 registreert de uiteindelijke foutcode.
Stap 3: Los verdere problemen op basis van de gevonden foutcode op
| Foutcode | Reden | Oplossing |
|---|---|---|
| STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d) STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a) |
Opmerking: WS-Trust is vereist voor federatieve verificatie. |
|
| STATUS_REQUEST_NOT_ACCEPTED (-1073741616/ 0xc00000d0) | Er is een foutbericht (HTTP 400) ontvangen van de Microsoft Entra-verificatieservice of het WS-Trust-eindpunt. Opmerking: WS-Trust is vereist voor federatieve verificatie. |
Gebeurtenissen 1081 en 1088 (operationele logboeken van Microsoft Entra) bevatten respectievelijk de foutcode en de beschrijving van de server voor fouten die afkomstig zijn van de Microsoft Entra-verificatieservice en het WS-Trust-eindpunt. Veelvoorkomende serverfoutcodes en hun oplossingen worden vermeld in de volgende sectie. Het eerste exemplaar van gebeurtenis 1022 (Microsoft Entra Analytics-logboeken), voorafgaande gebeurtenissen 1081 of 1088, bevat de URL die wordt geopend. |
| STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c) STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be) STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4) |
Opmerking: WS-Trust is vereist voor federatieve verificatie. |
|
| STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) | Detectie van gebruikersrealm is mislukt omdat de Microsoft Entra-verificatieservice het domein van de gebruiker niet kan vinden. | |
| AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) | De UPN van de gebruiker heeft niet de verwachte indeling. Opmerkingen: |
whoami /upn de geconfigureerde UPN weergeven. |
| AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) | De gebruikers-SID ontbreekt in het id-token dat wordt geretourneerd door de Microsoft Entra-verificatieservice. | Controleer of de netwerkproxy het antwoord van de server niet verstoort en wijzigt. |
| AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) | Er is een fout ontvangen van het WS-Trust-eindpunt. Opmerking: WS-Trust is vereist voor federatieve verificatie. |
|
| AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) | Het MEX-eindpunt is onjuist geconfigureerd. Het MEX-antwoord bevat geen wachtwoord-URL's. | |
| AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) | Het MEX-eindpunt is onjuist geconfigureerd. Het MEX-antwoord bevat geen certificaateindpunt-URL's. | |
| WC_E_DTDPROHIBITED (-1072894385/ 0xc00cee4f) | Het XML-antwoord van het WS-Trust-eindpunt bevat een documenttypedefinitie (DTD). Een DTD wordt niet verwacht in XML-antwoorden en het parseren van het antwoord mislukt als er een DTD is opgenomen. Opmerking: WS-Trust is vereist voor federatieve verificatie. |
Veelvoorkomende serverfoutcodes
| Foutcode | Reden | Oplossing |
|---|---|---|
| AADSTS50155: Apparaatverificatie is mislukt | Volg de instructies voor dit probleem in de veelgestelde vragen over apparaatbeheer van Microsoft Entra om het apparaat opnieuw te registreren op basis van het type apparaatdeelname. | |
AADSTS50034: Het gebruikersaccount Account bestaat niet in de tenant iddirectory |
Microsoft Entra ID kan het gebruikersaccount niet vinden in de tenant. | |
| AADSTS50126: Fout bij het valideren van referenties vanwege ongeldige gebruikersnaam of wachtwoord. | Als u een nieuwe PULLT met de nieuwe referenties wilt verkrijgen, wacht u totdat de wachtwoordsynchronisatie van Microsoft Entra is voltooid. |
Algemene netwerkfoutcodes
| Foutcode | Reden | Oplossing |
|---|---|---|
| ERROR_WINHTTP_TIMEOUT (12002) ERROR_WINHTTP_NAME_NOT_RESOLVED (12007) ERROR_WINHTTP_CANNOT_CONNECT (12029) ERROR_WINHTTP_CONNECTION_ERROR (12030) |
Veelvoorkomende algemene problemen met betrekking tot het netwerk. | Meer netwerkfoutcodes ophalen. |
Stap 4: Logboeken verzamelen
Normale logboeken
- Ga naar https://aka.ms/icesdptool om automatisch een .cab-bestand te downloaden met het diagnostische hulpprogramma.
- Voer het hulpprogramma uit en voer uw scenario opnieuw uit.
- Accepteer voor Fiddler-traceringen de certificaataanvragen die worden weergegeven.
- De wizard vraagt u om een wachtwoord om uw traceringsbestanden te beveiligen. Geef een wachtwoord op.
- Open ten slotte de map waarin alle verzamelde logboeken zijn opgeslagen, zoals %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
- Neem contact op met Ondersteuning en geef de inhoud van het nieuwste .cab-bestand op.
Netwerktraceringen
Notitie
Wanneer u netwerktraceringen verzamelt, is het belangrijk dat u Fiddler niet gebruikt tijdens het reproduceren.
- Voer
netsh trace start scenario=internetClient_dbg capture=yes persistent=yesuit. - Het apparaat vergrendelen en ontgrendelen. Wacht voor hybride-joined apparaten een minuut of langer totdat de PRT-overnametaak kan worden voltooid.
- Voer
netsh trace stopuit. - Deel het bestand nettrace.cab met Ondersteuning.
Bekende problemen
Als u bent verbonden met een mobiele hotspot of een extern Wi-Fi-netwerk en u naar Instellingenaccounts>>toegang tot werk of school gaat, kunnen op hybride apparaten van Microsoft Entra twee verschillende accounts worden weergegeven, één voor Microsoft Entra ID en één voor on-premises AD. Dit probleem met de gebruikersinterface heeft geen invloed op de functionaliteit.