Rozwiązywanie problemów z urządzeniami przy użyciu polecenia dsregcmd

  • Artykuł

W tym artykule opisano sposób używania danych wyjściowych polecenia dsregcmd w celu zrozumienia stanu urządzeń w usłudze Azure Active Directory (Azure AD). Narzędzie dsregcmd /status musi być uruchamiane jako konto użytkownika domeny.

Stan urządzenia

W tej sekcji wymieniono parametry stanu przyłączania urządzenia. Kryteria wymagane do bycia urządzenia w różnych stanach sprzężenia są wymienione w poniższej tabeli:

AzureAdJoined EnterpriseJoined DomainJoined Stan urządzenia
TAK NO NO Przyłączone do usługi Azure AD
NO NO TAK Przyłączone do domeny
TAK NO TAK Przyłączone do hybrydowej usługi AD
NO TAK TAK Przyłączone do lokalnej usługi DRS

Uwaga

Stan Przyłączone do miejsca pracy (Azure AD zarejestrowane) jest wyświetlany w sekcji "Stan użytkownika".

  • AzureAdJoined: ustaw stan TAK, jeśli urządzenie jest przyłączone do Azure AD. W przeciwnym razie ustaw stan na NIE.
  • EnterpriseJoined: ustaw stan TAK , jeśli urządzenie jest przyłączone do lokalnej usługi replikacji danych (DRS). Nie można połączyć urządzenia EnterpriseJoined i AzureAdJoined.
  • DomainJoined: ustaw stan TAK , jeśli urządzenie jest przyłączone do domeny (Active Directory).
  • DomainName: ustaw stan na nazwę domeny, jeśli urządzenie jest przyłączone do domeny.

Przykładowe dane wyjściowe stanu urządzenia

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Szczegóły urządzenia

Stan jest wyświetlany tylko wtedy, gdy urządzenie jest przyłączone Azure AD lub przyłączone hybrydowo Azure AD (nie Azure AD zarejestrowane). W tej sekcji wymieniono szczegóły identyfikujące urządzenia przechowywane w Azure AD.

  • DeviceId: unikatowy identyfikator urządzenia w dzierżawie Azure AD.
  • Odcisk palca: odcisk palca certyfikatu urządzenia.
  • DeviceCertificateValidity: stan ważności certyfikatu urządzenia.
  • KeyContainerId: containerId klucza prywatnego urządzenia skojarzonego z certyfikatem urządzenia.
  • KeyProvider: KeyProvider (sprzęt/oprogramowanie), który jest używany do przechowywania klucza prywatnego urządzenia.
  • TpmProtected: stan jest ustawiony na WARTOŚĆ TAK , jeśli klucz prywatny urządzenia jest przechowywany w sprzętowym module Trusted Platform Module (TPM).
  • DeviceAuthStatus: sprawdza kondycję urządzenia w Azure AD. Stan kondycji to:
    • POWODZENIE, jeśli urządzenie jest obecne i włączone w Azure AD.
    • NIE POWIODŁO SIĘ. Urządzenie jest wyłączone lub usunięte jeśli urządzenie jest wyłączone lub usunięte. Aby uzyskać więcej informacji na temat tego problemu, zobacz Zarządzanie urządzeniami w usłudze Azure Active Directory — często zadawane pytania.
    • NIE POWIODŁO SIĘ. BŁĄD jeśli test nie był w stanie uruchomić. Ten test wymaga łączności sieciowej z Azure AD.

      Uwaga

      Pole DeviceAuthStatus zostało dodane w aktualizacji Windows 10 maja 2021 r. (wersja 21H1).

Przykładowe dane wyjściowe szczegółów urządzenia

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : e92325d0-xxxx-xxxx-xxxx-94ae875dxxxx
                Thumbprint : D293213EF327483560EED8410CAE36BB67208179
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 13e68a58-xxxx-xxxx-xxxx-a20a2411xxxx
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Szczegóły dzierżawy

Szczegóły dzierżawy są wyświetlane tylko wtedy, gdy urządzenie jest przyłączone Azure AD lub przyłączone hybrydowo Azure AD, a nie Azure AD zarejestrowane. W tej sekcji wymieniono typowe szczegóły dzierżawy wyświetlane po dołączeniu urządzenia do Azure AD.

Uwaga

Jeśli pola adresu URL zarządzania urządzeniami przenośnymi (MDM) w tej sekcji są puste, oznacza to, że rozwiązanie MDM nie zostało skonfigurowane lub że bieżący użytkownik nie jest w zakresie rejestracji w rozwiązaniu MDM. Sprawdź ustawienia mobilności w Azure AD, aby przejrzeć konfigurację rozwiązania MDM.

Uwaga

Nawet jeśli widzisz adresy URL zarządzania urządzeniami przenośnymi, nie oznacza to, że urządzenie jest zarządzane przez rozwiązanie MDM. Informacje są wyświetlane, jeśli dzierżawa ma konfigurację MDM na potrzeby automatycznej rejestracji, nawet jeśli samo urządzenie nie jest zarządzane.

Przykładowe dane wyjściowe szczegółów dzierżawy

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : 96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVxxxxIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyxxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Stan użytkownika

W tej sekcji wymieniono stany różnych atrybutów dla użytkowników, którzy są obecnie zalogowani do urządzenia.

Uwaga

Aby pobrać prawidłowy stan, polecenie musi zostać uruchomione w kontekście użytkownika.

  • NgcSet: ustaw stan TAK, jeśli dla bieżącego zalogowanego użytkownika ustawiono klucz Windows Hello.
  • NgcKeyId: identyfikator klucza Windows Hello, jeśli jest ustawiony dla bieżącego zalogowanego użytkownika.
  • CanReset: określa, czy klucz Windows Hello może zostać zresetowany przez użytkownika.
  • Możliwe wartości: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive lub Unknown if error.
  • WorkplaceJoined: ustaw stan TAK, jeśli Azure AD zarejestrowane konta zostały dodane do urządzenia w bieżącym kontekście NTUSER.
  • WamDefaultSet: ustaw stan TAK , jeśli dla zalogowanego użytkownika zostanie utworzony domyślny webaccount (Web Account Manager) (WamDefaultSet). To pole może wyświetlić błąd, jeśli dsregcmd /status zostanie uruchomiony z wiersza polecenia z podwyższonym poziomem uprawnień.
  • WamDefaultAuthority: ustaw stan na organizacje dla Azure AD.
  • WamDefaultId: zawsze używaj go https://login.microsoft.com do Azure AD.
  • WamDefaultGUID: identyfikator GUID dostawcy WAM (Azure AD/konto Microsoft) dla domyślnego konta WAM WebAccount.

Przykładowe dane wyjściowe stanu użytkownika

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Stan logowania jednokrotnego

Tę sekcję można zignorować dla urządzeń zarejestrowanych Azure AD.

Uwaga

Polecenie musi zostać uruchomione w kontekście użytkownika, aby pobrać prawidłowy stan tego użytkownika.

  • AzureAdPrt: ustaw stan TAK , jeśli podstawowy token odświeżania (PRT) jest obecny na urządzeniu dla zalogowanego użytkownika.
  • AzureAdPrtUpdateTime: ustaw stan na godzinę w uniwersalnym czasie koordynowanym (UTC), kiedy żądanie PRT zostało ostatnio zaktualizowane.
  • AzureAdPrtExpiryTime: ustaw stan na godzinę w formacie UTC, gdy żądanie PRT wygaśnie, jeśli nie zostanie odnowione.
  • AzureAdPrtAuthority: adres URL urzędu Azure AD
  • EnterprisePrt: ustaw stan TAK, jeśli urządzenie ma prT z usług federacyjnych lokalna usługa Active Directory (AD FS). W przypadku urządzeń przyłączonych do Azure AD hybrydowych urządzenie może mieć prT zarówno z Azure AD, jak i lokalna usługa Active Directory jednocześnie. Urządzenia przyłączone do środowiska lokalnego będą miały tylko żądanie ściągnięcia przedsiębiorstwa.
  • EnterprisePrtUpdateTime: ustaw stan na godzinę w formacie UTC, kiedy żądanie ściągnięcia przedsiębiorstwa zostało ostatnio zaktualizowane.
  • EnterprisePrtExpiryTime: ustaw stan na godzinę w formacie UTC, gdy żądanie ściągnięcia wygaśnie, jeśli nie zostanie odnowione.
  • EnterprisePrtAuthority: adres URL urzędu usług AD FS

Uwaga

Następujące pola diagnostyki PRT zostały dodane w aktualizacji Windows 10 maja 2021 r. (wersja 21H1).

Uwaga

  • Informacje diagnostyczne wyświetlane w polu AzureAdPrt są przeznaczone do Azure AD pozyskiwania lub odświeżania prT, a informacje diagnostyczne wyświetlane w polu EnterprisePrt są przeznaczone do pozyskiwania lub odświeżania przedsiębiorstwa PRT.
  • Informacje diagnostyczne są wyświetlane tylko wtedy, gdy po ostatnim pomyślnym czasie aktualizacji PRT wystąpił błąd pozyskiwania lub odświeżania (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    Na udostępnionym urządzeniu te informacje diagnostyczne mogą pochodzić z próby logowania innego użytkownika.
  • AcquirePrtDiagnostics: ustaw stan NA PRESENT , jeśli pozyskane informacje diagnostyczne PRT znajdują się w dziennikach.
    To pole jest pomijane, jeśli żadne informacje diagnostyczne nie są dostępne.
  • Poprzednia próba prt: godzina lokalna o godzinie UTC, o której wystąpiła nieudana próba PRT.
  • Stan próby: zwrócony kod błędu klienta (HRESULT).
  • Tożsamość użytkownika: nazwa UPN użytkownika, dla którego podjęto próbę prT.
  • Typ poświadczeń: poświadczenia używane do uzyskiwania lub odświeżania żądania ściągnięcia. Typowe typy poświadczeń to Password i Next Generation Credential (NGC) (dla Windows Hello).
  • Identyfikator korelacji: identyfikator korelacji, który jest wysyłany przez serwer dla nieudanej próby PRT.
  • Identyfikator URI punktu końcowego: ostatni punkt końcowy dostępny przed awarią.
  • Metoda HTTP: metoda HTTP używana do uzyskiwania dostępu do punktu końcowego.
  • Błąd HTTP: Kod błędu transportu WinHttp. Uzyskaj dodatkowe kody błędów sieci.
  • Stan HTTP: stan HTTP zwrócony przez punkt końcowy.
  • Kod błędu serwera: kod błędu z serwera.
  • Opis błędu serwera: komunikat o błędzie z serwera.
  • RefreshPrtDiagnostics: ustaw stan NA PRESENT , jeśli pozyskane informacje diagnostyczne PRT znajdują się w dziennikach.
    To pole jest pomijane, jeśli żadne informacje diagnostyczne nie są dostępne. Pola informacji diagnostycznych są takie same jak w polach AcquirePrtDiagnostics

Uwaga

Następujące pola diagnostyki Protokołu Kerberos w chmurze zostały dodane w oryginalnej wersji Windows 11 (wersja 21H2).

  • OnPremTgt: ustaw stan TAK , jeśli bilet Protokołu Kerberos w chmurze w celu uzyskania dostępu do zasobów lokalnych jest obecny na urządzeniu dla zalogowanego użytkownika.
  • CloudTgt: ustaw stan TAK , jeśli bilet Protokołu Kerberos w chmurze w celu uzyskania dostępu do zasobów w chmurze jest obecny na urządzeniu dla zalogowanego użytkownika.
  • KerbTopLevelNames: lista nazw obszaru protokołu Kerberos najwyższego poziomu dla protokołu Kerberos w chmurze.

Przykładowe dane wyjściowe stanu logowania jednokrotnego

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : 63648321-fc5c-46eb-996e-ed1f3ba7740f
              Endpoint URI : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Dane diagnostyczne

Diagnostyka wstępnego sprzężenia

Ta sekcja diagnostyki jest wyświetlana tylko wtedy, gdy urządzenie jest przyłączone do domeny i nie może dołączyć hybrydowo Azure AD-join.

W tej sekcji są wykonywane różne testy ułatwiające diagnozowanie błędów sprzężenia. Informacje obejmują fazę błędu, kod błędu, identyfikator żądania serwera, stan http odpowiedzi serwera i komunikat o błędzie odpowiedzi serwera.

  • Kontekst użytkownika: kontekst, w którym jest uruchamiana diagnostyka. Możliwe wartości: SYSTEM, UŻYTKOWNIK Z PODWYŻSZONYM POZIOMEM UPRAWNIEŃ, UŻYTKOWNIK Z PODWYŻSZONYM POZIOMEM UPRAWNIEŃ.

    Uwaga

    Ponieważ rzeczywiste sprzężenie jest wykonywane w kontekście SYSTEMU, uruchomienie diagnostyki w kontekście SYSTEMU jest najbliższe rzeczywistemu scenariuszowi sprzężenia. Aby uruchomić diagnostykę w kontekście SYSTEMU, dsregcmd /status polecenie musi zostać uruchomione z poziomu wiersza polecenia z podwyższonym poziomem uprawnień.

  • Czas klienta: czas systemowy w formacie UTC.

  • Test łączności usługi AD: ten test przeprowadza test łączności z kontrolerem domeny. Błąd w tym teście prawdopodobnie spowoduje błędy sprzężenia w fazie wstępnej sprawdzania.

  • Test konfiguracji usługi AD: ten test odczytuje i sprawdza, czy obiekt punktu połączenia usługi (SCP) jest poprawnie skonfigurowany w lesie lokalna usługa Active Directory. Błędy w tym teście prawdopodobnie spowodują błędy sprzężenia w fazie odnajdywania z kodem błędu 0x801c001d.

  • Test odnajdywania drS: ten test pobiera punkty końcowe drS z punktu końcowego metadanych odnajdywania i wykonuje żądanie obszaru użytkownika. Błędy w tym teście prawdopodobnie spowodują błędy sprzężenia w fazie odnajdywania.

  • Test łączności z usługą DRS: ten test przeprowadza podstawowy test łączności z punktem końcowym odzyskiwania po awarii.

  • Test pozyskiwania tokenu: ten test próbuje uzyskać token uwierzytelniania Azure AD, jeśli dzierżawa użytkownika jest federacyjna. Błędy w tym teście prawdopodobnie spowodują błędy sprzężenia w fazie uwierzytelniania. Jeśli uwierzytelnianie zakończy się niepowodzeniem, próba sprzężenia synchronizacji zostanie podjęta jako rezerwowa, chyba że rezerwa zostanie jawnie wyłączona z następującymi ustawieniami klucza rejestru:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
Value: FallbackToSyncJoin
Type:  REG_DWORD
Value: 0x0 -> Disabled
Value: 0x1 -> Enabled
Default (No Key): Enabled

  • Powrót do synchronizacji sprzężenia: ustaw stan włączone , jeśli poprzedni klucz rejestru nie może uniemożliwić powrotu do synchronizacji z błędami uwierzytelniania. Ta opcja jest dostępna w wersji Windows 10 1803 lub nowszej.

  • Poprzednia rejestracja: czas, kiedy miała miejsce poprzednia próba dołączenia. Rejestrowane są tylko nieudane próby przyłączenia.

  • Faza błędu: etap sprzężenia, w którym został przerwany. Możliwe wartości są wstępnie sprawdzane, odnajdywanie, uwierzytelnianie i dołączanie.

  • Kod błędu klienta: zwrócony kod błędu klienta (HRESULT).

  • Server ErrorCode: kod błędu serwera, który jest wyświetlany, jeśli żądanie zostało wysłane do serwera, a serwer odpowiedział kodem błędu.

  • Komunikat serwera: komunikat serwera zwrócony wraz z kodem błędu.

  • Stan https: stan HTTP zwrócony przez serwer.

  • Identyfikator żądania: identyfikator żądania klienta, który jest wysyłany do serwera. Identyfikator żądania jest przydatny do korelowania z dziennikami po stronie serwera.

Przykładowe dane wyjściowe diagnostyki wstępnego sprzężenia

W poniższym przykładzie pokazano, że test diagnostyczny kończy się niepowodzeniem z powodu błędu odnajdywania.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

Poniższy przykład pokazuje, że testy diagnostyczne przechodzą, ale próba rejestracji nie powiodła się z powodu błędu katalogu, który jest oczekiwany dla sprzężenia synchronizacji. Po zakończeniu zadania synchronizacji Azure AD Connect urządzenie będzie mogło dołączyć.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnostyka po dołączeniach

W tej sekcji diagnostyki zostaną wyświetlone dane wyjściowe testów sanity wykonanych na urządzeniu dołączonym do chmury.

  • AadRecoveryEnabled: jeśli wartość to TAK, klucze przechowywane na urządzeniu nie będą używane, a urządzenie jest oznaczone do odzyskiwania. Następne logowanie spowoduje wyzwolenie przepływu odzyskiwania i ponowne zarejestrowanie urządzenia.
  • KeySignTest: jeśli wartość ma wartość PASSED, klucze urządzeń są w dobrej kondycji. Jeśli usługa KeySignTest zakończy się niepowodzeniem, urządzenie jest zwykle oznaczone do odzyskiwania. Następne logowanie spowoduje wyzwolenie przepływu odzyskiwania i ponowne zarejestrowanie urządzenia. W przypadku urządzeń przyłączonych do Azure AD hybrydowych odzyskiwanie jest dyskretne. Podczas gdy urządzenia są Azure AD przyłączone lub zarejestrowane Azure AD, w razie potrzeby monitują o odzyskanie i ponowne zarejestrowanie urządzenia przez użytkownika.

    Uwaga

    Test KeySignTest wymaga podwyższonych uprawnień.

Przykładowe dane wyjściowe diagnostyki po sprzężeniach

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Sprawdzanie wymagań wstępnych NGC

Ta sekcja diagnostyki sprawdza wymagania wstępne dotyczące konfigurowania Windows Hello dla firm (WHFB).

Uwaga

Szczegóły wymagań wstępnych NGC mogą nie być widoczne, dsregcmd /status jeśli użytkownik pomyślnie skonfigurował usługę WHFB.

  • IsDeviceJoined: ustaw stan TAK, jeśli urządzenie jest przyłączone do Azure AD.
  • IsUserAzureAD: ustaw stan TAK, jeśli zalogowany użytkownik jest obecny w Azure AD.
  • PolicyEnabled: ustaw stan TAK , jeśli zasady WHFB są włączone na urządzeniu.
  • PostLogonEnabled: ustaw stan TAK , jeśli rejestracja WHFB jest wyzwalana natywnie przez platformę. Jeśli stan ma wartość NIE, oznacza to, że rejestracja Windows Hello dla firm jest wyzwalana przez mechanizm niestandardowy.
  • DeviceEligible: ustaw stan TAK , jeśli urządzenie spełnia wymagania sprzętowe dotyczące rejestrowania w usłudze WHFB.
  • SessionIsNotRemote: ustaw stan TAK , jeśli bieżący użytkownik jest zalogowany bezpośrednio na urządzeniu, a nie zdalnie.
  • CertEnrollment: to ustawienie jest specyficzne dla wdrożenia zaufania certyfikatów WHFB, wskazując urząd rejestracji certyfikatów dla WHFB. Ustaw stan na urząd rejestracji, jeśli źródło zasad WHFB jest zasady grupy lub ustaw go na zarządzanie urządzeniami przenośnymi, jeśli źródłem jest MDM. Jeśli żadne ze źródeł nie ma zastosowania, ustaw stan na brak.
  • AdfsRefreshToken: to ustawienie jest specyficzne dla wdrożenia zaufania certyfikatów WHFB i występuje tylko wtedy, gdy stan rejestracji certyfikatu jest urzędem rejestracji. Ustawienie wskazuje, czy urządzenie ma żądanie ściągnięcia przedsiębiorstwa dla użytkownika.
  • AdfsRaIsReady: to ustawienie jest specyficzne dla wdrożenia zaufania certyfikatów WHFB i obecne tylko wtedy, gdy stan rejestracji certyfikatu jest urzędem rejestracji. Ustaw stan tak , jeśli usługi AD FS wskazują metadane odnajdywania, które obsługują usługę WHFB , a szablon certyfikatu logowania jest dostępny.
  • LogonCertTemplateReady: to ustawienie jest specyficzne dla wdrożenia zaufania certyfikatów WHFB i występuje tylko wtedy, gdy stan rejestracji certyfikatu jest urzędem rejestracji. Ustaw stan NA TAK , jeśli stan szablonu certyfikatu logowania jest prawidłowy i pomaga w rozwiązywaniu problemów z urzędem rejestracji usług AD FS (RA).
  • PreReqResult: zapewnia wynik oceny wszystkich wymagań wstępnych WHFB. Ustaw stan na Will Provision , jeśli rejestracja WHFB zostanie uruchomiona jako zadanie po zalogowaniu, gdy użytkownik zaloguje się przy następnym uruchomieniu.

Uwaga

Następujące pola diagnostyki Protokołu Kerberos w chmurze zostały dodane w aktualizacji Windows 10 maja 2021 r. (wersja 21H1).

Uwaga

Przed Windows 11 w wersji 23H2 ustawienie OnPremTGT miało nazwę CloudTGT.

  • OnPremTGT: to ustawienie jest specyficzne dla wdrożenia zaufania protokołu Kerberos w chmurze i obecne tylko wtedy, gdy stan rejestracji certyfikatu nie jest żaden. Ustaw stan tak , jeśli urządzenie ma bilet Protokołu Kerberos w chmurze, aby uzyskać dostęp do zasobów lokalnych. Przed Windows 11 w wersji 23H2 to ustawienie miało nazwę CloudTGT.

Przykładowe wymagania wstępne NGC sprawdzają dane wyjściowe

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Następne kroki

Przejdź do narzędzia wyszukiwania błędów firmy Microsoft.