Rozwiązywanie problemów z urządzeniami przyłączonymi hybrydowo Microsoft Entra

Ten artykuł zawiera wskazówki dotyczące rozwiązywania problemów, które ułatwiają rozwiązywanie potencjalnych problemów z urządzeniami z systemem Windows 10 lub nowszym oraz systemem Windows Server 2016 lub nowszym.

Dołączanie hybrydowe firmy Microsoft Entra obsługuje aktualizację systemu Windows 10 z listopada 2015 r. i nowsze.

Aby rozwiązać problemy z innymi klientami systemu Windows, zobacz Rozwiązywanie problemów z urządzeniami dołączonymi hybrydowo do firmy Microsoft dołączonymi na poziomie podrzędnym.

W tym artykule założono, że masz urządzenia dołączone hybrydową firmę Microsoft Entra do obsługi następujących scenariuszy:

• Dostęp warunkowy oparty na urządzeniach
• Roaming stanu przedsiębiorstwa
• Windows Hello for Business

Uwaga

Aby rozwiązać typowe problemy z rejestracją urządzeń, użyj narzędzia do rozwiązywania problemów z rejestracją urządzeń.

Rozwiązywanie problemów z błędami sprzężenia

Krok 1. Pobieranie stanu przyłączenia

1. Otwórz okno wiersza polecenia jako administrator.
2. Wpisz dsregcmd /status.

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

    AzureAdJoined: YES
 EnterpriseJoined: NO
         DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
       Thumbprint: B753A6679CE720451921302CA873794D94C6204A
   KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
      KeyProvider: Microsoft Platform Crypto Provider
     TpmProtected: YES
     KeySignTest: : MUST Run elevated to test.
              Idp: login.windows.net
         TenantId: 72b988bf-xxxx-xxxx-xxxx-2d7cd011xxxx
       TenantName: Contoso
      AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
   AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
           MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
        MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
  dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
      SettingsUrl: eyJVcmlzIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyJdfQ==
   JoinSrvVersion: 1.0
       JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
        JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
    KeySrvVersion: 1.0
        KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
         KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
     DomainJoined: YES
       DomainName: CONTOSO

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

             NgcSet: YES
           NgcKeyId: {C7A9AEDC-780E-4FDA-B200-1AE15561A46B}
    WorkplaceJoined: NO
      WamDefaultSet: YES
WamDefaultAuthority: organizations
       WamDefaultId: https://login.microsoft.com
     WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
         AzureAdPrt: YES

Krok 2. Ocena stanu przyłączenia

Przejrzyj pola w poniższej tabeli i upewnij się, że mają oczekiwane wartości:

Pole	Oczekiwana wartość	opis
DomainJoined	TAK	To pole wskazuje, czy urządzenie jest przyłączone do lokalna usługa Active Directory. Jeśli wartość to NIE, urządzenie nie może wykonać przyłączenia hybrydowego firmy Microsoft Entra.
WorkplaceJoined	NIE	To pole wskazuje, czy urządzenie jest zarejestrowane w usłudze Microsoft Entra ID jako urządzenie osobiste (oznaczone jako dołączone do miejsca pracy). Ta wartość powinna mieć wartość NIE dla komputera przyłączonego do domeny, który jest również przyłączony hybrydowo do firmy Microsoft Entra. Jeśli wartość ma wartość TAK, konto służbowe zostało dodane przed ukończeniem dołączania hybrydowego firmy Microsoft Entra. W takim przypadku konto jest ignorowane w przypadku korzystania z systemu Windows 10 w wersji 1607 lub nowszej.
AzureAdJoined	TAK	To pole wskazuje, czy urządzenie jest przyłączone. Wartość to TAK , jeśli urządzenie jest urządzeniem dołączonym do firmy Microsoft lub urządzeniem dołączonym hybrydowym firmy Microsoft Entra. Jeśli wartość to NIE, dołączenie do identyfikatora Entra firmy Microsoft nie zostało jeszcze zakończone.

Przejdź do następnych kroków, aby uzyskać dalsze rozwiązywanie problemów.

Krok 3. Znajdowanie fazy, w której sprzężenia nie powiodło się, oraz kod błędu

W przypadku systemu Windows 10 w wersji 1803 lub nowszej

Wyszukaj podsekcję "Poprzednia rejestracja" w sekcji "Dane diagnostyczne" danych wyjściowych stanu sprzężenia. Ta sekcja jest wyświetlana tylko wtedy, gdy urządzenie jest przyłączone do domeny i nie może dołączyć hybrydowo do firmy Microsoft Entra.

Pole "Faza błędu" oznacza fazę niepowodzenia sprzężenia, a "Client ErrorCode" oznacza kod błędu operacji sprzężenia.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

W przypadku starszych wersji systemu Windows 10

Użyj dzienników Podgląd zdarzeń, aby zlokalizować fazę i kod błędu dla błędów sprzężenia.

1. W Podgląd zdarzeń otwórz dzienniki zdarzeń rejestracja urządzenia użytkownika. Są one przechowywane w obszarze Aplikacje i usługi Rejestruj>rejestrację urządzenia użytkownika systemu Microsoft>Windows.>
2. Poszukaj zdarzeń z następującymi identyfikatorami zdarzeń: 304, 305 i 307.

Krok 4. Sprawdzanie możliwych przyczyn i rozwiązań

Faza wstępnego zaznaczenia

Możliwe przyczyny niepowodzenia:

• Urządzenie nie ma dostępu do kontrolera domeny.
  • Urządzenie musi znajdować się w sieci wewnętrznej organizacji lub w wirtualnej sieci prywatnej z widokiem sieciowym na kontrolerze domeny lokalna usługa Active Directory.

Faza odnajdywania

Możliwe przyczyny niepowodzenia:

• Obiekt punktu połączenia usługi jest nieprawidłowo skonfigurowany lub nie można go odczytać z kontrolera domeny.
  • Prawidłowy obiekt punktu połączenia usługi jest wymagany w lesie usługi AD, do którego należy urządzenie, wskazującą zweryfikowaną nazwę domeny w identyfikatorze Entra firmy Microsoft.
  • Aby uzyskać więcej informacji, zobacz sekcję "Konfigurowanie punktu połączenia z usługą" w temacie Samouczek: Konfigurowanie dołączania hybrydowego firmy Microsoft Entra dla domen federacyjnych.
• Nie można nawiązać połączenia z punktem końcowym odnajdywania i pobrać metadane odnajdywania.
  • Urządzenie powinno mieć dostęp do https://enterpriseregistration.windows.netelementu w kontekście systemu w celu odnalezienia punktów końcowych rejestracji i autoryzacji.
  • Jeśli środowisko lokalne wymaga serwera proxy ruchu wychodzącego, administrator IT musi upewnić się, że konto komputera urządzenia może odnajdywać i w trybie dyskretnym uwierzytelniać się na serwerze proxy ruchu wychodzącego.
• Nie można nawiązać połączenia z punktem końcowym obszaru użytkownika i odnajdywania obszaru (tylko system Windows 10 w wersji 1809 lub nowszej).
  • Urządzenie powinno mieć dostęp https://login.microsoftonline.comdo elementu w kontekście systemu, aby wykonać odnajdywanie obszaru dla zweryfikowanej domeny i określić typ domeny (zarządzany lub federacyjny).
  • Jeśli środowisko lokalne wymaga serwera proxy ruchu wychodzącego, administrator IT musi upewnić się, że kontekst systemu na urządzeniu może odnajdywać i w trybie dyskretnym uwierzytelniać się na serwerze proxy ruchu wychodzącego.

Typowe kody błędów:

Kod błędu	Przyczyna	Rozwiązanie
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611)	Nie można odczytać obiektu punktu połączenia usługi (SCP) i uzyskać informacje o dzierżawie firmy Microsoft Entra.	Zapoznaj się z sekcją Konfigurowanie punktu połączenia z usługą.
DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607)	Błąd odnajdywania ogólnego. Nie można pobrać metadanych odnajdywania z usługi replikacji danych (DRS).	Aby dokładniej zbadać problem, znajdź poderror w następnych sekcjach.
DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609)	Upłynął limit czasu operacji podczas odnajdywania.	Upewnij się, że https://enterpriseregistration.windows.net jest dostępny w kontekście systemu. Aby uzyskać więcej informacji, zobacz sekcję Wymagania dotyczące łączności sieciowej.
DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579)	Błąd odnajdywania obszaru ogólnego. Nie można określić typu domeny (zarządzanego/federacyjnego) z usługi STS.	Aby dokładniej zbadać problem, znajdź poderror w następnych sekcjach.

Typowe kody błędów podrzędnych:

Aby znaleźć kod błędu podrzędnego dla kodu błędu odnajdywania, użyj jednej z następujących metod.

Windows 10 w wersji 1803 lub nowszej

Wyszukaj ciąg "TEST odnajdywania DRS" w sekcji "Dane diagnostyczne" danych wyjściowych stanu sprzężenia. Ta sekcja jest wyświetlana tylko wtedy, gdy urządzenie jest przyłączone do domeny i nie może dołączyć hybrydowo do firmy Microsoft Entra.

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : UN-ELEVATED User
               Client Time : 2019-06-05 08:25:29.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

+----------------------------------------------------------------------+

Starsze wersje systemu Windows 10

Użyj dzienników Podgląd zdarzeń, aby wyszukać kod fazy i błędu dla błędów sprzężenia.

1. W Podgląd zdarzeń otwórz dzienniki zdarzeń rejestracja urządzenia użytkownika. Są one przechowywane w obszarze Aplikacje i usługi Rejestruj>rejestrację urządzenia użytkownika systemu Microsoft>Windows.>
2. Poszukaj zdarzenia o identyfikatorze 201.

Błędy sieci:

Kod błędu	Przyczyna	Rozwiązanie
WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867)	nie można ustanowić Połączenie z serwerem.	Upewnij się, że łączność sieciowa z wymaganymi zasobami firmy Microsoft. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące łączności sieciowej.
WININET_E_TIMEOUT (0x80072ee2/-2147012894)	Ogólny limit czasu sieci.	Upewnij się, że łączność sieciowa z wymaganymi zasobami firmy Microsoft. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące łączności sieciowej.
WININET_E_DECODING_FAILED (0x80072f8f/-2147012721)	Stos sieciowy nie może zdekodować odpowiedzi z serwera.	Upewnij się, że serwer proxy sieci nie zakłóca ani nie modyfikuje odpowiedzi serwera.

Błędy HTTP:

Kod błędu	Przyczyna	Rozwiązanie
DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582)	Obiekt punktu połączenia usługi jest skonfigurowany z nieprawidłowym identyfikatorem dzierżawy lub nie znaleziono aktywnych subskrypcji w dzierżawie.	Upewnij się, że obiekt punktu połączenia usługi jest skonfigurowany z prawidłowym identyfikatorem dzierżawy firmy Microsoft i aktywnymi subskrypcjami lub czy usługa jest obecna w dzierżawie.
DSREG_SERVER_BUSY (0x801c0025/-2145648603)	Http 503 z serwera DRS.	Serwer jest obecnie niedostępny. Przyszłe próby przyłączenia prawdopodobnie zakończą się powodzeniem po przywróceniu serwera do trybu online.

Inne błędy:

Kod błędu	Przyczyna	Rozwiązanie
E_INVALIDDATA (0x8007000d/-2147024883)	Nie można przeanalizować kodu JSON odpowiedzi serwera, prawdopodobnie dlatego, że serwer proxy zwraca http 200 ze stroną autoryzacji HTML.	Jeśli środowisko lokalne wymaga serwera proxy ruchu wychodzącego, administrator IT musi upewnić się, że kontekst systemu na urządzeniu może odnajdywać i w trybie dyskretnym uwierzytelniać się na serwerze proxy ruchu wychodzącego.

Faza uwierzytelniania

Ta zawartość ma zastosowanie tylko do kont domeny federacyjnej.

Przyczyny niepowodzenia:

• Nie można uzyskać tokenu dostępu w trybie dyskretnym dla zasobu DRS.
  • Urządzenia z systemami Windows 10 i Windows 11 uzyskują token uwierzytelniania z usługi federacyjnej przy użyciu zintegrowanego uwierzytelniania systemu Windows do aktywnego punktu końcowego zaufania WS. Aby uzyskać więcej informacji, zobacz Konfiguracja usługi federacyjnej.

Typowe kody błędów:

Użyj dzienników Podgląd zdarzeń, aby zlokalizować kod błędu, kod podrzędny błędu, kod błędu serwera i komunikat o błędzie serwera.

1. W Podgląd zdarzeń otwórz dzienniki zdarzeń rejestracja urządzenia użytkownika. Są one przechowywane w obszarze Aplikacje i usługi Rejestruj>rejestrację urządzenia użytkownika systemu Microsoft>Windows.>
2. Poszukaj zdarzenia o identyfikatorze 305.

Błędy konfiguracji:

Kod błędu	Przyczyna	Rozwiązanie
ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057)	Protokół uwierzytelniania biblioteki ADAL (Azure AD Authentication Library) nie jest protokołem WS-Trust.	Lokalny dostawca tożsamości musi obsługiwać usługę WS-Trust.
ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036)	Lokalna usługa federacyjna nie zwróciła odpowiedzi XML.	Upewnij się, że punkt końcowy wymiany metadanych (MEX) zwraca prawidłowy kod XML. Upewnij się, że serwer proxy nie zakłóca i nie zwraca odpowiedzi nonxml.
ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045)	Nie można odnaleźć punktu końcowego na potrzeby uwierzytelniania nazwy użytkownika/hasła.	Sprawdź ustawienia lokalnego dostawcy tożsamości. Upewnij się, że punkty końcowe zaufania WS są włączone i że odpowiedź MEX zawiera te poprawne punkty końcowe.

Błędy sieci:

Kod błędu	Przyczyna	Rozwiązanie
ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614)	Ogólny limit czasu sieci.	Upewnij się, że https://login.microsoftonline.com jest dostępny w kontekście systemu. Upewnij się, że lokalny dostawca tożsamości jest dostępny w kontekście systemu. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące łączności sieciowej.
ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586)	Połączenie ion z punktem końcowym autoryzacji został przerwany.	Spróbuj dołączyć ponownie za jakiś czas lub z innej stabilnej lokalizacji sieciowej.
ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441)	Nie można zweryfikować certyfikatu Transport Layer Security (TLS) (wcześniej znanego jako certyfikat Secure Sockets Layer [SSL] wysłanego przez serwer.	Sprawdź niesymetryczność czasu klienta. Spróbuj dołączyć ponownie za jakiś czas lub z innej stabilnej lokalizacji sieciowej.
ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587)	Próba nawiązania połączenia nie powiodła się https://login.microsoftonline.com .	Sprawdź połączenie sieciowe z usługą https://login.microsoftonline.com.

Inne błędy:

Kod błędu	Przyczyna	Rozwiązanie
ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829)	Token SAML od lokalnego dostawcy tożsamości nie został zaakceptowany przez identyfikator Entra firmy Microsoft.	Sprawdź ustawienia serwera federacyjnego. Poszukaj kodu błędu serwera w dziennikach uwierzytelniania.
ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060)	Odpowiedź serwera WS-Trust zgłosiła wyjątek błędu i nie mogła uzyskać asercji.	Sprawdź ustawienia serwera federacyjnego. Poszukaj kodu błędu serwera w dziennikach uwierzytelniania.
ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074)	Wystąpił błąd podczas próby uzyskania tokenu dostępu z punktu końcowego tokenu.	Poszukaj podstawowego błędu w dzienniku biblioteki ADAL.
ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323)	Ogólny błąd biblioteki ADAL.	Wyszukaj kod błędu podrzędnego lub kod błędu serwera z dzienników uwierzytelniania.

Faza sprzężenia

Przyczyny niepowodzenia:

Poszukaj typu rejestracji i kodu błędu z poniższych tabel, w zależności od używanej wersji systemu Windows 10.

Windows 10 w wersji 1803 lub nowszej

Wyszukaj podsekcję "Poprzednia rejestracja" w sekcji "Dane diagnostyczne" danych wyjściowych stanu sprzężenia. Ta sekcja jest wyświetlana tylko wtedy, gdy urządzenie jest przyłączone do domeny i nie może dołączyć hybrydowo do firmy Microsoft Entra.

Pole "Typ rejestracji" oznacza typ sprzężenia.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) is not found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Starsze wersje systemu Windows 10

Użyj dzienników Podgląd zdarzeń, aby zlokalizować fazę i kod błędu dla błędów sprzężenia.

1. W Podgląd zdarzeń otwórz dzienniki zdarzeń rejestracja urządzenia użytkownika. Są one przechowywane w obszarze Aplikacje i usługi Rejestruj>rejestrację urządzenia użytkownika systemu Microsoft>Windows.>
2. Poszukaj zdarzenia o identyfikatorze 204.

Błędy HTTP zwrócone z serwera DRS:

Kod błędu	Przyczyna	Rozwiązanie
DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630)	Odebrano odpowiedź z usługi DRS z błędem ErrorCode: "DirectoryError".	Zapoznaj się z kodem błędu serwera z możliwych powodów i rozwiązań.
DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638)	Odebrano odpowiedź na błąd z usługi DRS z błędem ErrorCode: "AuthenticationError" i ErrorSubCode nie jest "DeviceNotFound".	Zapoznaj się z kodem błędu serwera z możliwych powodów i rozwiązań.
DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634)	Odebrano odpowiedź z usługi DRS z błędem ErrorCode: "DirectoryError".	Zapoznaj się z kodem błędu serwera z możliwych powodów i rozwiązań.

Błędy modułu TPM:

Kod błędu	Przyczyna	Rozwiązanie
NTE_BAD_KEYSET (0x80090016/-2146893802)	Operacja modułu TPM (Trusted Platform Module) nie powiodła się lub była nieprawidłowa.	Błąd prawdopodobnie wynika z nieprawidłowego obrazu sysprep. Upewnij się, że maszyna, z której utworzono obraz sysprep, nie jest przyłączona do firmy Microsoft, przyłączona hybrydowa microsoft Entra lub zarejestrowana w usłudze Microsoft Entra.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641)	Ogólny błąd modułu TPM.	Wyłącz moduł TPM na urządzeniach z powodu tego błędu. System Windows 10 w wersji 1809 lub nowszej automatycznie wykrywa błędy modułu TPM i kończy dołączanie hybrydowe firmy Microsoft Entra bez korzystania z modułu TPM.
TPM_E_NOTFIPS (0x80280036/-2144862154)	Moduł TPM w trybie FIPS nie jest obecnie obsługiwany.	Wyłącz moduł TPM na urządzeniach z powodu tego błędu. System Windows 10 w wersji 1809 automatycznie wykrywa błędy modułu TPM i kończy dołączanie hybrydowe firmy Microsoft Entra bez korzystania z modułu TPM.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775)	Moduł TPM jest zablokowany.	Błąd przejściowy. Odczekaj okres ochładzania. Próba dołączenia powinna zakończyć się pomyślnie po upływie pewnego czasu. Aby uzyskać więcej informacji, zobacz Podstawy modułu TPM.

Błędy sieci:

Kod błędu	Przyczyna	Rozwiązanie
WININET_E_TIMEOUT (0x80072ee2/-2147012894)	Ogólny limit czasu sieci podczas próby zarejestrowania urządzenia w usłudze DRS.	Sprawdź łączność sieciową z usługą https://enterpriseregistration.windows.net.
WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889)	Nie można rozpoznać nazwy serwera lub adresu.	Sprawdź łączność sieciową z usługą https://enterpriseregistration.windows.net.
WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866)	Połączenie z serwerem zostało przerwane nieprawidłowo.	Spróbuj dołączyć ponownie za jakiś czas lub z innej stabilnej lokalizacji sieciowej.

Inne błędy:

Kod błędu	Przyczyna	Rozwiązanie
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611)	Identyfikator zdarzenia 220 jest obecny w dziennikach zdarzeń rejestracji urządzeń użytkownika. System Windows nie może uzyskać dostępu do obiektu komputera w usłudze Active Directory. Kod błędu systemu Windows może zostać uwzględniony w zdarzeniu. Kody błędów ERROR_NO_SUCH_LOGON_SESSION (1312) i ERROR_NO_SUCH_USER (1317) są związane z problemami z replikacją w lokalna usługa Active Directory.	Rozwiązywanie problemów z replikacją w usłudze Active Directory. Te problemy z replikacją mogą być przejściowe i mogą odejść po pewnym czasie.

Błędy serwera sprzężenia federacyjnego:

Kod błędu serwera	Komunikat o błędzie serwera	Możliwe przyczyny	Rozwiązanie
DirectoryError	Żądanie jest tymczasowo ograniczane. Spróbuj po upływie 300 sekund.	Ten błąd jest oczekiwany, prawdopodobnie dlatego, że wiele żądań rejestracji zostało złożonych w krótkim odstępie czasu.	Ponów próbę sprzężenia po okresie ochładzania

Błędy serwera synchronizacji sprzężenia:

Kod błędu serwera	Komunikat o błędzie serwera	Możliwe przyczyny	Rozwiązanie
DirectoryError	AADSTS90002: Nie znaleziono dzierżawy UUID . Ten błąd może wystąpić, jeśli dzierżawa nie ma aktywnych subskrypcji. Zapoznaj się z administratorem subskrypcji.	Identyfikator dzierżawy w obiekcie punktu połączenia usługi jest niepoprawny.	Upewnij się, że obiekt punktu połączenia usługi jest skonfigurowany z prawidłowym identyfikatorem dzierżawy firmy Microsoft i aktywnymi subskrypcjami lub czy usługa jest obecna w dzierżawie.
DirectoryError	Nie można odnaleźć obiektu urządzenia według podanego identyfikatora.	Ten błąd jest oczekiwany dla funkcji sync-join. Obiekt urządzenia nie został zsynchronizowany z usługi AD do identyfikatora Entra firmy Microsoft	Poczekaj na zakończenie synchronizacji usługi Microsoft Entra Połączenie, a następna próba dołączenia po zakończeniu synchronizacji rozwiąże problem.
AuthenticationError	Weryfikacja identyfikatora SID komputera docelowego	Certyfikat na urządzeniu Microsoft Entra nie jest zgodny z certyfikatem używanym do logowania się do obiektu blob podczas dołączania synchronizacji. Ten błąd zwykle oznacza, że synchronizacja nie została jeszcze zakończona.	Poczekaj na zakończenie synchronizacji usługi Microsoft Entra Połączenie, a następna próba dołączenia po zakończeniu synchronizacji rozwiąże problem.

Krok 5. Zbieranie dzienników i kontaktów pomoc techniczna firmy Microsoft

1. Pobierz plik Auth.zip.

2. Wyodrębnij pliki do folderu, takiego jak c:\temp, a następnie przejdź do folderu.

3. W sesji programu Azure PowerShell z podwyższonym poziomem uprawnień uruchom polecenie .\start-auth.ps1 -v -accepteula.

4. Wybierz pozycję Przełącz konto , aby przełączyć się do innej sesji z użytkownikiem problemu.

5. Odtwórz problem.

6. Wybierz pozycję Przełącz konto , aby przełączyć się z powrotem do sesji administracyjnej, która uruchamia śledzenie.

7. W sesji programu PowerShell z podwyższonym poziomem uprawnień uruchom polecenie .\stop-auth.ps1.

8. Zip (kompresuj) i wyślij dzienniki uwierzytelniania folderu z folderu, w którym zostały wykonane skrypty.

Rozwiązywanie problemów z uwierzytelnianiem po dołączaniu

Krok 1. Pobieranie stanu PRT przy użyciu polecenia dsregcmd /status

1. Otwórz wiersz polecenia.

   Uwaga

   Aby uzyskać stan podstawowy token odświeżania (PRT), otwórz okno wiersza polecenia w kontekście zalogowanego użytkownika.

2. Uruchom program dsregcmd /status.

   Sekcja "Stan logowania jednokrotnego" zawiera bieżący stan PRT.

   Jeśli pole AzureAdPrt ma wartość NIE, wystąpił błąd podczas uzyskiwania stanu PRT z identyfikatora Entra firmy Microsoft.

3. Jeśli parametr AzureAdPrtUpdateTime przekracza cztery godziny, prawdopodobnie wystąpi problem z odświeżaniem żądania PRT. Zablokuj i odblokuj urządzenie, aby wymusić odświeżanie PRT, a następnie sprawdź, czy czas jest aktualizowany.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : YES
      AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
      AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
   EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
    EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs

+----------------------------------------------------------------------+

Krok 2. Znajdowanie kodu błędu

Z danych wyjściowych dsregcmd

Uwaga

Dane wyjściowe są dostępne w aktualizacji systemu Windows 10 z maja 2021 r. (wersja 21H1).

Pole "Stan próby" w polu "AzureAdPrt" zawiera stan poprzedniej próby PRT wraz z innymi wymaganymi informacjami o debugowaniu. W przypadku starszych wersji systemu Windows wyodrębnij informacje z dzienników analitycznych i operacyjnych firmy Microsoft.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : 63648321-fc5c-46eb-996e-ed1f3ba7740f
              Endpoint URI : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.

Z dzienników operacyjnych i analiz firmy Microsoft

Użyj Podgląd zdarzeń, aby wyszukać wpisy dziennika zarejestrowane przez wtyczkę Microsoft Entra CloudAP podczas pozyskiwania PRT.

1. W Podgląd zdarzeń otwórz dzienniki zdarzeń operacyjnych firmy Microsoft Entra. Są one przechowywane w obszarze Aplikacje i usługi Log>Microsoft>Windows>Microsoft Entra ID.

   Uwaga

   Wtyczka CloudAP rejestruje zdarzenia błędów w dziennikach operacyjnych i rejestruje zdarzenia informacji w dziennikach analizy. Do rozwiązywania problemów wymagane są zdarzenia analizy i dziennika operacyjnego.

2. Zdarzenie 1006 w dziennikach analizy oznacza początek przepływu pozyskiwania PRT, a zdarzenie 1007 w dziennikach analizy oznacza koniec przepływu pozyskiwania PRT. Wszystkie zdarzenia w dziennikach firmy Microsoft Entra (analiza i działanie), które są rejestrowane między zdarzeniami 1006 i 1007, zostały zarejestrowane w ramach przepływu pozyskiwania PRT.

3. Zdarzenie 1007 rejestruje końcowy kod błędu.

Krok 3. Dalsze rozwiązywanie problemów na podstawie znalezionego kodu błędu

Kod błędu	Przyczyna	Rozwiązanie
STATUS_LOGON_FAILURE (-1073741715/0xc000006d) STATUS_WRONG_PASSWORD (-1073741718/0xc000006a)	Urządzenie nie może nawiązać połączenia z usługą uwierzytelniania Entra firmy Microsoft. Odebrano odpowiedź o błędzie (HTTP 400) z usługi uwierzytelniania Microsoft Entra lub punktu końcowego WS-Trust. Uwaga: WS-Trust jest wymagany do uwierzytelniania federacyjnego.	Jeśli środowisko lokalne wymaga serwera proxy ruchu wychodzącego, administrator IT musi upewnić się, że konto komputera urządzenia może odnajdywać i w trybie dyskretnym uwierzytelniać się na serwerze proxy ruchu wychodzącego. Zdarzenia 1081 i 1088 (dzienniki operacyjne firmy Microsoft Entra) zawierają kod błędu serwera dla błędów pochodzących z usługi uwierzytelniania Entra firmy Microsoft i opis błędu błędów pochodzących z punktu końcowego zaufania WS. Typowe kody błędów serwera i ich rozwiązania są wymienione w następnej sekcji. Pierwsze wystąpienie zdarzenia 1022 (dzienniki usługi Microsoft Entra Analytics), poprzedzające zdarzenia 1081 lub 1088, zawierają adres URL, do którego uzyskuje się dostęp.
STATUS_REQUEST_NOT_ACCEPTED (-1073741616/0xc00000d0)	Odebrano odpowiedź o błędzie (HTTP 400) z usługi uwierzytelniania Microsoft Entra lub punktu końcowego WS-Trust. Uwaga: WS-Trust jest wymagany do uwierzytelniania federacyjnego.	Zdarzenia 1081 i 1088 (dzienniki operacyjne firmy Microsoft Entra) zawierają odpowiednio kod błędu serwera i opis błędu dla błędów pochodzących z usługi uwierzytelniania Microsoft Entra i punktu końcowego WS-Trust. Typowe kody błędów serwera i ich rozwiązania są wymienione w następnej sekcji. Pierwsze wystąpienie zdarzenia 1022 (dzienniki usługi Microsoft Entra Analytics), poprzedzające zdarzenia 1081 lub 1088, zawierają adres URL, do którego uzyskuje się dostęp.
STATUS_NETWORK_UNREACHABLE (-1073741252/0xc000023c) STATUS_BAD_NETWORK_PATH (-1073741634/0xc00000be) STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/0xc00000c4)	Odebrano odpowiedź o błędzie (HTTP > 400) z usługi uwierzytelniania Microsoft Entra lub punktu końcowego WS-Trust. Uwaga: WS-Trust jest wymagany do uwierzytelniania federacyjnego. Problem z łącznością sieciową z wymaganym punktem końcowym.	W przypadku błędów serwera zdarzenia 1081 i 1088 (dzienniki operacyjne firmy Microsoft Entra) zawierają kod błędu z usługi uwierzytelniania Entra firmy Microsoft oraz opis błędu z punktu końcowego WS-Trust. Typowe kody błędów serwera i ich rozwiązania są wymienione w następnej sekcji. W przypadku problemów z łącznością zdarzenie 1022 (dzienniki usługi Microsoft Entra Analytics) zawiera adres URL, do którego jest uzyskiwany dostęp, a zdarzenie 1084 (dzienniki operacyjne firmy Microsoft Entra) zawiera kod podrzędny błędu ze stosu sieciowego.
STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f)	Odnajdywanie obszaru użytkownika nie powiodło się, ponieważ usługa uwierzytelniania Entra firmy Microsoft nie mogła odnaleźć domeny użytkownika.	Domena nazwy UPN użytkownika musi zostać dodana jako domena niestandardowa w identyfikatorze Entra firmy Microsoft. Zdarzenie 1144 (dzienniki analizy entra firmy Microsoft) będzie zawierać podaną nazwę UPN. Jeśli lokalna nazwa domeny jest niezwiązana (jdoe@contoso.local), skonfiguruj alternatywny identyfikator logowania (AltID). Dokumentacja: Wymagania wstępne; Konfigurowanie alternatywnego identyfikatora logowania.
AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/0xc004844c)	Nazwa UPN użytkownika nie jest w oczekiwanym formacie. Uwagi: W przypadku urządzeń dołączonych do firmy Microsoft nazwa UPN jest tekstem wprowadzonym przez użytkownika w identyfikatorze LoginUI. W przypadku urządzeń dołączonych hybrydo do firmy Microsoft nazwa UPN jest zwracana z kontrolera domeny podczas procesu logowania.	Nazwa UPN użytkownika powinna mieć internetową nazwę logowania opartą na standardzie internetowym RFC 822. Zdarzenie 1144 (dzienniki usługi Microsoft Entra Analytics) zawiera podaną nazwę UPN. W przypadku urządzeń przyłączonych hybrydowo upewnij się, że kontroler domeny jest skonfigurowany do zwracania nazwy UPN w poprawnym formacie. Na kontrolerze whoami /upn domeny powinien być wyświetlany skonfigurowany nazwa UPN. Jeśli lokalna nazwa domeny jest niekonsekwowa (jdoe@contoso.local), skonfiguruj alternatywny identyfikator logowania (AltID). Dokumentacja: Wymagania wstępne; Konfigurowanie alternatywnego identyfikatora logowania.
AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/0xc0048442)	Brak identyfikatora SID użytkownika w tokenie identyfikatora zwróconym przez usługę uwierzytelniania Microsoft Entra.	Upewnij się, że serwer proxy sieci nie zakłóca działania i modyfikuje odpowiedź serwera.
AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/0xc00484c1)	Odebrano błąd z punktu końcowego programu WS-Trust. Uwaga: WS-Trust jest wymagany do uwierzytelniania federacyjnego.	Upewnij się, że serwer proxy sieci nie zakłóca działania i modyfikuje odpowiedź WS-Trust. Zdarzenie 1088 (dzienniki operacyjne firmy Microsoft Entra) zawiera kod błędu serwera i opis błędu z punktu końcowego WS-Trust. Typowe kody błędów serwera i ich rozwiązania są wymienione w następnej sekcji.
AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/0xc004848b)	Punkt końcowy MEX jest niepoprawnie skonfigurowany. Odpowiedź MEX nie zawiera żadnych adresów URL haseł.	Upewnij się, że serwer proxy sieci nie zakłóca działania i modyfikuje odpowiedź serwera. Popraw konfigurację MEX, aby zwracała prawidłowe adresy URL w odpowiedzi.
AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/0xc004848C)	Punkt końcowy MEX jest niepoprawnie skonfigurowany. Odpowiedź MEX nie zawiera żadnych adresów URL punktów końcowych certyfikatów.	Upewnij się, że serwer proxy sieci nie zakłóca działania i modyfikuje odpowiedź serwera. Napraw konfigurację MEX u dostawcy tożsamości, aby zwrócić prawidłowe adresy URL certyfikatów w odpowiedzi.
WC_E_DTDPROHIBITED (-1072894385/0xc00cee4f)	Odpowiedź XML z punktu końcowego WS-Trust zawierała definicję typu dokumentu (DTD). DtD nie jest oczekiwana w odpowiedziach XML i analizowanie odpowiedzi kończy się niepowodzeniem, jeśli zostanie uwzględniona jednostka DTD. Uwaga: WS-Trust jest wymagany do uwierzytelniania federacyjnego.	Napraw konfigurację dostawcy tożsamości, aby uniknąć wysyłania identyfikatora DTD w odpowiedzi XML. Zdarzenie 1022 (dzienniki analizy entra firmy Microsoft) zawiera adres URL, do którego uzyskuje się dostęp, zwracający odpowiedź XML z dtD.

Typowe kody błędów serwera

Kod błędu	Przyczyna	Rozwiązanie
AADSTS50155: Uwierzytelnianie urządzenia nie powiodło się	Identyfikator Entra firmy Microsoft nie może uwierzytelnić urządzenia w celu wystawienia żądania ściągnięcia. Upewnij się, że urządzenie nie zostało usunięte ani wyłączone. Aby uzyskać więcej informacji na temat tego problemu, zobacz Microsoft Entra device management FAQ (Często zadawane pytania dotyczące zarządzania urządzeniami firmy Microsoft).	Postępuj zgodnie z instrukcjami dotyczącymi tego problemu w często zadawanych pytaniach dotyczących zarządzania urządzeniami firmy Microsoft, aby ponownie zarejestrować urządzenie na podstawie typu sprzężenia urządzenia.
AADSTS50034: konto Account użytkownika nie istnieje w tenant id katalogu	Identyfikator Entra firmy Microsoft nie może odnaleźć konta użytkownika w dzierżawie.	Upewnij się, że użytkownik wpisuje poprawną nazwę UPN. Upewnij się, że lokalne konto użytkownika jest synchronizowane z identyfikatorem Entra firmy Microsoft. Zdarzenie 1144 (dzienniki usługi Microsoft Entra Analytics) zawiera podaną nazwę UPN.
AADSTS50126: Błąd podczas sprawdzania poprawności poświadczeń z powodu nieprawidłowej nazwy użytkownika lub hasła.	Nazwa użytkownika i hasło wprowadzone przez użytkownika w interfejsie użytkownika logowania do systemu Windows są nieprawidłowe. Jeśli dzierżawa ma włączoną synchronizację skrótów haseł, urządzenie jest przyłączone hybrydowo, a użytkownik właśnie zmienił hasło, prawdopodobnie nowe hasło nie zostało zsynchronizowane z identyfikatorem Entra firmy Microsoft.	Aby uzyskać nowy prT przy użyciu nowych poświadczeń, poczekaj na zakończenie synchronizacji haseł firmy Microsoft Entra.

Typowe kody błędów sieci

Kod błędu	Przyczyna	Rozwiązanie
ERROR_WINHTTP_TIMEOUT (12002) ERROR_WINHTTP_NAME_NOT_RESOLVED (12007) ERROR_WINHTTP_CANNOT_CONNECT (12029) ERROR_WINHTTP_CONNECTION_ERROR (12030)	Typowe ogólne problemy związane z siecią.	Zdarzenia 1022 (dzienniki usługi Microsoft Entra Analytics) i 1084 (dzienniki operacyjne firmy Microsoft Entra) zawierają adres URL, do którego uzyskuje się dostęp. Jeśli środowisko lokalne wymaga serwera proxy ruchu wychodzącego, administrator IT musi upewnić się, że konto komputera urządzenia może odnajdywać i w trybie dyskretnym uwierzytelniać się na serwerze proxy ruchu wychodzącego. Uzyskaj więcej kodów błędów sieci.

Krok 4. Zbieranie dzienników

Regularne dzienniki

1. Przejdź do strony , https://aka.ms/icesdptool aby automatycznie pobrać plik .cab zawierający narzędzie diagnostyczne.
2. Uruchom narzędzie i wykonaj ponownie scenariusz.
3. W przypadku śladów programu Fiddler zaakceptuj wyskakujące żądania certyfikatów.
4. Kreator wyświetli monit o podanie hasła w celu zabezpieczenia plików śledzenia. Podaj hasło.
5. Na koniec otwórz folder, w którym są przechowywane wszystkie zebrane dzienniki, takie jak %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
6. Skontaktuj się z pomocą techniczną z zawartością najnowszego pliku .cab .

Ślady sieci

Uwaga

Podczas zbierania śladów sieci ważne jest, aby nie używać programu Fiddler podczas ponownego odtworzenia.

1. Uruchom program netsh trace start scenario=internetClient_dbg capture=yes persistent=yes.
2. Zablokuj i odblokuj urządzenie. W przypadku urządzeń przyłączonych hybrydowo poczekaj co najmniej minutę, aby umożliwić ukończenie zadania pozyskiwania PRT.
3. Uruchom program netsh trace stop.
4. Udostępnij plik nettrace.cab pomocy technicznej.

Znane problemy

Jeśli masz połączenie z mobilnym hotspotem lub zewnętrzną siecią Wi-Fi i przejdź do Ustawienia> Konta>Access Work lub School, urządzenia dołączone hybrydowo do firmy Microsoft Entra mogą wyświetlać dwa różne konta, jedno dla identyfikatora Microsoft Entra i jedno dla lokalnej usługi AD. Ten problem z interfejsem użytkownika nie ma wpływu na funkcjonalność.

Powiązana zawartość

• Rozwiązywanie problemów z urządzeniami przy użyciu dsregcmd polecenia .
• Przejdź do narzędzia wyszukiwania błędów firmy Microsoft.