Rozwiązywanie problemów z urządzeniami za pomocą polecenia dsregcmd

W tym artykule opisano sposób użycia danych wyjściowych polecenia dsregcmd w celu zrozumienia stanu urządzeń w identyfikatorze Entra firmy Microsoft. Narzędzie dsregcmd /status musi być uruchamiane jako konto użytkownika domeny.

Stan urządzenia

W tej sekcji wymieniono parametry stanu sprzężenia urządzenia. W poniższej tabeli wymieniono kryteria wymagane dla urządzenia, które mają znajdować się w różnych stanach sprzężenia:

AzureAdJoined EnterpriseJoined DomainJoined Stan urządzenia
TAK NIE NIE Dołączono do usługi Microsoft Entra
NIE NIE TAK Przyłączone do domeny
TAK NIE TAK Przyłączono hybrydową usługę Microsoft Entra
NIE TAK TAK Przyłączone do lokalnej usługi DRS

Uwaga

Stan Dołączona do miejsca pracy (zarejestrowana w usłudze Microsoft Entra) jest wyświetlany w sekcji "Stan użytkownika".

  • AzureAdJoined: ustaw stan TAK, jeśli urządzenie jest przyłączone do identyfikatora Entra firmy Microsoft. W przeciwnym razie ustaw stan na NIE.
  • EnterpriseJoined: ustaw stan TAK , jeśli urządzenie jest przyłączone do lokalnej usługi replikacji danych (DRS). Nie można połączyć urządzenia EnterpriseJoined i AzureAdJoined.
  • DomenaJoined: ustaw stan TAK , jeśli urządzenie jest przyłączone do domeny (Active Directory).
  • DomainName: ustaw stan na nazwę domeny, jeśli urządzenie jest przyłączone do domeny.

Przykładowe dane wyjściowe stanu urządzenia

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Szczegóły urządzenia

Stan jest wyświetlany tylko wtedy, gdy urządzenie jest dołączone do firmy Microsoft Entra lub dołączone hybrydo do firmy Microsoft Entra (nie zarejestrowano w usłudze Microsoft Entra). W tej sekcji wymieniono szczegóły identyfikujące urządzenia przechowywane w identyfikatorze Entra firmy Microsoft.

  • DeviceId: unikatowy identyfikator urządzenia w dzierżawie firmy Microsoft Entra.
  • Odcisk palca: odcisk palca certyfikatu urządzenia.
  • DeviceCertificateValidity: stan ważności certyfikatu urządzenia.
  • KeyContainerId: identyfikator containerId klucza prywatnego urządzenia skojarzonego z certyfikatem urządzenia.
  • KeyProvider: KeyProvider (sprzęt/oprogramowanie) używany do przechowywania klucza prywatnego urządzenia.
  • TpmProtected: stan jest ustawiony na TAK , jeśli klucz prywatny urządzenia jest przechowywany w sprzętowym module Trusted Platform Module (TPM).
  • DeviceAuthStatus: wykonuje sprawdzanie w celu określenia kondycji urządzenia w identyfikatorze Entra firmy Microsoft. Stan kondycji to:
    • POWODZENIE , jeśli urządzenie jest obecne i włączone w identyfikatorze Entra firmy Microsoft.
    • NIE POWIODŁO SIĘ. Urządzenie jest wyłączone lub usunięte jeśli urządzenie jest wyłączone lub usunięte. Aby uzyskać więcej informacji na temat tego problemu, zobacz Microsoft Entra device management FAQ (Często zadawane pytania dotyczące zarządzania urządzeniami firmy Microsoft).
    • NIE POWIODŁO SIĘ. BŁĄD jeśli test nie może zostać uruchomiony. Ten test wymaga łączności sieciowej z identyfikatorem Entra firmy Microsoft w kontekście systemu.

    Uwaga

    Pole DeviceAuthStatus zostało dodane w aktualizacji systemu Windows 10 maja 2021 r. (wersja 21H1).

  • Virtual Desktop: istnieją trzy przypadki, w których jest to wyświetlane.
    • NIE USTAWIONO — metadane urządzenia VDI nie są obecne na urządzeniu.
    • TAK — metadane urządzenia VDI są obecne i dane wyjściowe skojarzone z danymi wyjściowymi dsregcmd, w tym:
      • Dostawca: nazwa dostawcy VDI.
      • Typ: trwałe VDI lub nietrwale VDI.
      • Tryb użytkownika: pojedynczy użytkownik lub wielu użytkowników.
      • Rozszerzenia: liczba par wartości klucza w opcjonalnych metadanych specyficznych dla dostawcy, a następnie pary wartości klucza.
    • INVALID — metadane urządzenia VDI są obecne, ale nie są ustawione poprawnie. W tym przypadku narzędzie dsregcmd generuje nieprawidłowe metadane.

Przykładowe dane wyjściowe szczegółów urządzenia

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : e92325d0-xxxx-xxxx-xxxx-94ae875dxxxx
                Thumbprint : D293213EF327483560EED8410CAE36BB67208179
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 13e68a58-xxxx-xxxx-xxxx-a20a2411xxxx
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Szczegóły dzierżawy

Szczegóły dzierżawy są wyświetlane tylko wtedy, gdy urządzenie jest dołączone do firmy Microsoft Entra lub dołączone hybrydowe rozwiązanie Microsoft Entra, a nie zarejestrowane przez firmę Microsoft Entra. W tej sekcji wymieniono typowe szczegóły dzierżawy wyświetlane po dołączeniu urządzenia do identyfikatora Entra firmy Microsoft.

Uwaga

Jeśli pola adresu URL zarządzania urządzeniami przenośnymi (MDM) w tej sekcji są puste, oznacza to, że rozwiązanie MDM nie zostało skonfigurowane lub że bieżący użytkownik nie znajduje się w zakresie rejestracji w usłudze MDM. Sprawdź ustawienia mobilności w usłudze Microsoft Entra ID, aby przejrzeć konfigurację rozwiązania MDM.

Nawet jeśli widzisz adresy URL zarządzania urządzeniami przenośnymi, nie oznacza to, że urządzenie jest zarządzane przez rozwiązanie MDM. Informacje są wyświetlane, jeśli dzierżawa ma konfigurację zarządzania urządzeniami przenośnymi na potrzeby automatycznej rejestracji, nawet jeśli samo urządzenie nie jest zarządzane.

Przykładowe dane wyjściowe szczegółów dzierżawy

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : 96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVxxxxIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyxxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Stan użytkownika

W tej sekcji wymieniono stany różnych atrybutów dla użytkowników, którzy są obecnie zalogowani do urządzenia.

Uwaga

Aby pobrać prawidłowy stan, polecenie musi zostać uruchomione w kontekście użytkownika.

  • NgcSet: ustaw stan TAK , jeśli dla bieżącego zalogowanego użytkownika ustawiono klucz funkcji Windows Hello.
  • NgcKeyId: identyfikator klucza funkcji Windows Hello, jeśli został ustawiony dla bieżącego zalogowanego użytkownika.
  • CanReset: określa, czy klucz funkcji Windows Hello może zostać zresetowany przez użytkownika.
  • Możliwe wartości: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive lub Unknown if error.
  • WorkplaceJoined: ustaw stan TAK , jeśli zarejestrowane konta microsoft Entra zostały dodane do urządzenia w bieżącym kontekście NTUSER.
  • WamDefaultSet: ustaw stan TAK , jeśli dla zalogowanego użytkownika zostanie utworzone domyślne konto internetowe Menedżera kont sieci Web (WAM). To pole może wyświetlić błąd, jeśli dsregcmd /status jest uruchamiany z wiersza polecenia z podwyższonym poziomem uprawnień.
  • WamDefaultAuthority: ustaw stan na organizacje dla identyfikatora Entra firmy Microsoft.
  • WamDefaultId: zawsze używaj https://login.microsoft.com identyfikatora Entra firmy Microsoft.
  • WamDefaultGUID: identyfikator GUID dostawcy WAM (Microsoft Entra ID / Konto Microsoft) dla domyślnego konta WAM WebAccount.

Przykładowe dane wyjściowe stanu użytkownika

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Stan logowania jednokrotnego

Tę sekcję można zignorować dla zarejestrowanych urządzeń firmy Microsoft.

Uwaga

Aby pobrać prawidłowy stan tego użytkownika, polecenie musi zostać uruchomione w kontekście użytkownika.

  • AzureAdPrt: ustaw stan TAK , jeśli podstawowy token odświeżania (PRT) jest obecny na urządzeniu dla zalogowanego użytkownika.
  • AzureAdPrtUpdateTime: ustaw stan na godzinę w uniwersalnym czasie koordynowanym (UTC), kiedy żądanie PRT zostało ostatnio zaktualizowane.
  • AzureAdPrtExpiryTime: ustaw stan na godzinę w formacie UTC, gdy żądanie ściągnięcia wygaśnie, jeśli nie zostanie odnowione.
  • AzureAdPrtAuthority: adres URL urzędu entra firmy Microsoft
  • EnterprisePrt: ustaw stan TAK, jeśli urządzenie ma prT z usług federacyjnych lokalna usługa Active Directory (AD FS). W przypadku urządzeń dołączonych hybrydowych firmy Microsoft Entra urządzenie może mieć żądanie PRT zarówno z identyfikatora Microsoft Entra ID, jak i lokalna usługa Active Directory jednocześnie. Urządzenia przyłączone do środowiska lokalnego mają tylko żądanie PRT przedsiębiorstwa.
  • EnterprisePrtUpdateTime: ustaw stan na godzinę w formacie UTC, kiedy żądanie PRT przedsiębiorstwa zostało ostatnio zaktualizowane.
  • EnterprisePrtExpiryTime: ustaw stan na godzinę w formacie UTC, gdy żądanie ściągnięcia wygaśnie, jeśli nie zostanie odnowione.
  • EnterprisePrtAuthority: adres URL urzędu usług AD FS

Uwaga

W aktualizacji systemu Windows 10 maja 2021 r. dodano następujące pola diagnostyki PRT (wersja 21H1).

  • Informacje diagnostyczne wyświetlane w polu AzureAdPrt są przeznaczone dla pozyskiwania lub odświeżania przez firmę Microsoft Entra PRT, a informacje diagnostyczne wyświetlane w polu EnterprisePrt są przeznaczone do pozyskiwania lub odświeżania przedsiębiorstwa PRT.
  • Informacje diagnostyczne są wyświetlane tylko wtedy, gdy po ostatnim pomyślnym czasie aktualizacji PRT wystąpił błąd pozyskiwania lub odświeżania (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    Na urządzeniu udostępnionym te informacje diagnostyczne mogą pochodzić z próby logowania innego użytkownika.
  • AcquirePrtDiagnostics: ustaw stan NA PRESENT , jeśli uzyskane informacje diagnostyczne PRT znajdują się w dziennikach.
    • To pole jest pomijane, jeśli żadne informacje diagnostyczne nie są dostępne.
  • Poprzednia próba ściągnięcia: czas lokalny w formacie UTC, o którym wystąpiła nieudana próba PRT.
  • Stan próby: zwrócony kod błędu klienta (HRESULT).
  • Tożsamość użytkownika: nazwa UPN użytkownika, dla którego nastąpiła próba prT.
  • Typ poświadczeń: poświadczenie użyte do uzyskania lub odświeżenia żądania ściągnięcia. Typowe typy poświadczeń to Hasło i Poświadczenia nowej generacji (NGC) (dla usługi Windows Hello).
  • Identyfikator korelacji: identyfikator korelacji wysłany przez serwer dla nieudanej próby PRT.
  • Identyfikator URI punktu końcowego: ostatni punkt końcowy uzyskiwany przed awarią.
  • Metoda HTTP: metoda HTTP używana do uzyskiwania dostępu do punktu końcowego.
  • Błąd HTTP: Kod błędu transportu WinHttp. Pobierz inne kody błędów sieci.
  • Stan HTTP: stan HTTP zwrócony przez punkt końcowy.
  • Kod błędu serwera: kod błędu z serwera.
  • Opis błędu serwera: komunikat o błędzie z serwera.
  • RefreshPrtDiagnostics: ustaw stan NA PRESENT , jeśli uzyskane informacje diagnostyczne PRT znajdują się w dziennikach.
    • To pole jest pomijane, jeśli żadne informacje diagnostyczne nie są dostępne.
    • Pola informacji diagnostycznych są takie same jak AcquirePrtDiagnostics.

Uwaga

Następujące pola diagnostyki protokołu Kerberos w chmurze zostały dodane w oryginalnej wersji systemu Windows 11 (wersja 21H2).

  • OnPremTgt: ustaw stan TAK , jeśli bilet Protokołu Kerberos w chmurze w celu uzyskania dostępu do zasobów lokalnych jest obecny na urządzeniu dla zalogowanego użytkownika.
  • CloudTgt: ustaw stan TAK , jeśli bilet Protokołu Kerberos w chmurze w celu uzyskania dostępu do zasobów w chmurze jest obecny na urządzeniu dla zalogowanego użytkownika.
  • KerbTopLevelNames: lista nazw obszaru protokołu Kerberos najwyższego poziomu dla protokołu Kerberos w chmurze.

Przykładowe dane wyjściowe stanu logowania jednokrotnego

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : 63648321-fc5c-46eb-996e-ed1f3ba7740f
              Endpoint URI : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

dane diagnostyczne

Diagnostyka przed przyłączeniem

Ta sekcja diagnostyki jest wyświetlana tylko wtedy, gdy urządzenie jest przyłączone do domeny i nie może dołączyć hybrydowo do firmy Microsoft Entra.

W tej sekcji są wykonywane różne testy ułatwiające diagnozowanie błędów sprzężenia. Informacje obejmują: fazę błędu, kod błędu, identyfikator żądania serwera, stan HTTP odpowiedzi serwera i komunikat o błędzie odpowiedzi serwera.

  • Kontekst użytkownika: kontekst, w którym jest uruchamiana diagnostyka. Możliwe wartości: SYSTEM, UN-ELEVATED User, ELEVATED User.

    Uwaga

    Ponieważ rzeczywiste sprzężenie jest wykonywane w kontekście SYSTEM, uruchomienie diagnostyki w kontekście SYSTEM jest najbliżej rzeczywistego scenariusza sprzężenia. Aby uruchomić diagnostykę w kontekście SYSTEMU, dsregcmd /status należy uruchomić polecenie z wiersza polecenia z podwyższonym poziomem uprawnień.

  • Czas klienta: czas systemowy w formacie UTC.

  • Test Połączenie ivity usługi AD: ten test wykonuje test łączności z kontrolerem domeny. Błąd w tym teście prawdopodobnie powoduje błędy sprzężenia w fazie wstępnej kontroli.

  • Test konfiguracji usługi AD: ten test odczytuje i sprawdza, czy obiekt punktu Połączenie ion usługi (SCP) jest prawidłowo skonfigurowany w lesie lokalna usługa Active Directory. Błędy w tym teście prawdopodobnie spowodują błędy sprzężenia w fazie odnajdywania z kodem błędu 0x801c001d.

  • Test odnajdywania drS: ten test pobiera punkty końcowe usługi DRS z punktu końcowego metadanych odnajdywania i wykonuje żądanie obszaru użytkownika. Błędy w tym teście prawdopodobnie spowodują błędy sprzężenia w fazie odnajdywania.

  • Test Połączenie ivity DRS: ten test wykonuje podstawowy test łączności z punktem końcowym usługi DRS.

  • Test pozyskiwania tokenu: ten test próbuje uzyskać token uwierzytelniania entra firmy Microsoft, jeśli dzierżawa użytkownika jest federacyjna. Błędy w tym teście prawdopodobnie spowodują błędy sprzężenia w fazie uwierzytelniania. Jeśli uwierzytelnianie zakończy się niepowodzeniem, próba dołączenia do synchronizacji zostanie podjęta jako powrót rezerwowy, chyba że rezerwowy zostanie jawnie wyłączony z następującymi ustawieniami klucza rejestru:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
    Value: FallbackToSyncJoin
    Type:  REG_DWORD
    Value: 0x0 -> Disabled
    Value: 0x1 -> Enabled
    Default (No Key): Enabled
    
  • Powrót do synchronizacji sprzężenia: ustaw stan włączone, jeśli poprzedni klucz rejestru zapobiegnie powrotu do synchronizacji sprzężenia z błędami uwierzytelniania nie jest obecny. Ta opcja jest dostępna w systemie Windows 10 1803 lub nowszym.

  • Poprzednia rejestracja: czas, kiedy nastąpiła poprzednia próba sprzężenia. Rejestrowane są tylko nieudane próby przyłączenia.

  • Faza błędu: etap sprzężenia, w którym został przerwany. Możliwe wartości to wstępne sprawdzanie, odnajdywanie, uwierzytelnianie i dołączanie.

  • Kod błędu klienta: zwrócony kod błędu klienta (HRESULT).

  • Server ErrorCode: kod błędu serwera wyświetlany, jeśli żądanie zostało wysłane na serwer, a serwer odpowiedział kodem błędu.

  • Komunikat serwera: komunikat serwera zwrócony wraz z kodem błędu.

  • Stan https: stan HTTP zwrócony przez serwer.

  • Identyfikator żądania: identyfikator żądania klienta wysłany do serwera. Identyfikator żądania jest przydatny do korelowania z dziennikami po stronie serwera.

Przykładowe dane wyjściowe diagnostyki wstępnego sprzężenia

W poniższym przykładzie pokazano, że test diagnostyczny kończy się niepowodzeniem z błędem odnajdywania.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

W poniższym przykładzie pokazano, że testy diagnostyczne przechodzą pomyślnie, ale próba rejestracji nie powiodła się z powodu błędu katalogu, który jest oczekiwany w przypadku przyłączania synchronizacji. Po zakończeniu zadania synchronizacji Połączenie firmy Microsoft urządzenie jest w stanie dołączyć.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnostyka po dołączeniach

W tej sekcji diagnostyki są wyświetlane dane wyjściowe kontroli kondycji wykonane na urządzeniu przyłączonym do chmury.

  • AadRecoveryEnabled: jeśli wartość ma wartość TAK, klucze przechowywane na urządzeniu nie będą używane, a urządzenie zostanie oznaczone do odzyskiwania. Następne logowanie spowoduje wyzwolenie przepływu odzyskiwania i ponowne zarejestrowanie urządzenia.
  • KeySignTest: jeśli wartość ma wartość PASSED, klucze urządzenia są w dobrej kondycji. Jeśli narzędzie KeySignTest zakończy się niepowodzeniem, urządzenie jest zwykle oznaczone do odzyskiwania. Następne logowanie spowoduje wyzwolenie przepływu odzyskiwania i ponowne zarejestrowanie urządzenia. W przypadku urządzeń dołączonych hybrydo do firmy Microsoft Entra odzyskiwanie jest dyskretne. Urządzenia są przyłączone do firmy Microsoft lub zarejestrowane przez firmę Microsoft Entra, ale w razie potrzeby monitują o uwierzytelnienie użytkownika w celu odzyskania i ponownego zarejestrowania urządzenia.

    Uwaga

    Test KeySignTest wymaga podniesionych uprawnień.

Przykładowe dane wyjściowe diagnostyki po sprzężeniach

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Sprawdzanie wymagań wstępnych NGC

Ta sekcja diagnostyki przeprowadza sprawdzanie wymagań wstępnych dotyczących konfigurowania Windows Hello dla firm (WHFB).

Uwaga

Szczegóły sprawdzania wymagań wstępnych NGC mogą nie być widoczne, dsregcmd /status jeśli użytkownik skonfigurował już usługę WHFB.

  • IsDeviceJoined: ustaw stan TAK, jeśli urządzenie jest przyłączone do identyfikatora Microsoft Entra.
  • IsUserAzureAD: ustaw stan TAK , jeśli zalogowany użytkownik jest obecny w identyfikatorze Entra firmy Microsoft.
  • PolicyEnabled: ustaw stan TAK , jeśli zasady WHFB są włączone na urządzeniu.
  • PostLogonEnabled: ustaw stan TAK , jeśli rejestracja WHFB jest wyzwalana natywnie przez platformę. Jeśli stan ma wartość NIE, oznacza to, że rejestracja Windows Hello dla firm jest wyzwalana przez mechanizm niestandardowy.
  • DeviceEligible: ustaw stan TAK , jeśli urządzenie spełnia wymagania sprzętowe dotyczące rejestracji w usłudze WHFB.
  • SessionIsNotRemote: ustaw stan TAK , jeśli bieżący użytkownik jest zalogowany bezpośrednio na urządzeniu, a nie zdalnie.
  • CertEnrollment: to ustawienie jest specyficzne dla wdrożenia zaufania certyfikatów WHFB wskazującego urząd rejestracji certyfikatów dla WHFB. Ustaw stan na urząd rejestracji, jeśli źródłem zasad WHFB jest zasady grupy lub ustaw go na zarządzanie urządzeniami przenośnymi , jeśli źródłem jest MDM. Jeśli żadne ze źródeł nie ma zastosowania, ustaw stan na brak.
  • AdfsRefreshToken: to ustawienie jest specyficzne dla wdrożenia zaufania certyfikatów WHFB i występuje tylko wtedy, gdy stan rejestracji certyfikatu to urząd rejestracji. Ustawienie wskazuje, czy urządzenie ma dla użytkownika żądanie ściągnięcia przedsiębiorstwa.
  • AdfsRaIsReady: to ustawienie jest specyficzne dla wdrożenia zaufania certyfikatów WHFB i występuje tylko wtedy, gdy stan rejestracji certyfikatu to urząd rejestracji. Ustaw stan tak, jeśli usługi AD FS wskazują w metadanych odnajdywania, które obsługują WHFB, a szablon certyfikatu logowania jest dostępny.
  • LogonCertTemplateReady: to ustawienie jest specyficzne dla wdrożenia zaufania certyfikatów WHFB i występuje tylko wtedy, gdy stan rejestracji certyfikatu to urząd rejestracji. Ustaw stan TAK, jeśli stan szablonu certyfikatu logowania jest prawidłowy i pomaga rozwiązać problemy z urzędem rejestracji usług AD FS (RA).
  • PreReqResult: zapewnia wynik oceny wszystkich wymagań wstępnych WHFB. Ustaw stan na Will Provision , jeśli rejestracja WHFB zostanie uruchomiona jako zadanie po zalogowaniu, gdy użytkownik zaloguje się następnym razem.

Uwaga

W aktualizacji systemu Windows 10 maja 2021 r. (wersja 21H1) dodano następujące pola diagnostyczne protokołu Kerberos w chmurze.

Przed systemem Windows 11 w wersji 23H2 ustawienie OnPremTGT miało nazwę CloudTGT.

  • OnPremTGT: to ustawienie jest specyficzne dla wdrożenia zaufania protokołu Kerberos w chmurze i występuje tylko wtedy, gdy stan rejestracji certyfikatu nie jest żaden. Ustaw stan tak, jeśli urządzenie ma bilet protokołu Kerberos w chmurze, aby uzyskać dostęp do zasobów lokalnych. Przed systemem Windows 11 w wersji 23H2 to ustawienie miało nazwę CloudTGT.

Przykładowe wymagania wstępne NGC sprawdzają dane wyjściowe

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Następne kroki

Przejdź do narzędzia wyszukiwania błędów firmy Microsoft.