Rozwiązywanie problemów z urządzeniami za pomocą polecenia dsregcmd
W tym artykule opisano sposób użycia danych wyjściowych polecenia dsregcmd
w celu zrozumienia stanu urządzeń w identyfikatorze Entra firmy Microsoft. Narzędzie dsregcmd /status
musi być uruchamiane jako konto użytkownika domeny.
Stan urządzenia
W tej sekcji wymieniono parametry stanu sprzężenia urządzenia. W poniższej tabeli wymieniono kryteria wymagane dla urządzenia, które mają znajdować się w różnych stanach sprzężenia:
AzureAdJoined | EnterpriseJoined | DomainJoined | Stan urządzenia |
---|---|---|---|
TAK | NIE | NIE | Dołączono do usługi Microsoft Entra |
NIE | NIE | TAK | Przyłączone do domeny |
TAK | NIE | TAK | Przyłączono hybrydową usługę Microsoft Entra |
NIE | TAK | TAK | Przyłączone do lokalnej usługi DRS |
Uwaga
Stan Dołączona do miejsca pracy (zarejestrowana w usłudze Microsoft Entra) jest wyświetlany w sekcji "Stan użytkownika".
- AzureAdJoined: ustaw stan TAK, jeśli urządzenie jest przyłączone do identyfikatora Entra firmy Microsoft. W przeciwnym razie ustaw stan na NIE.
- EnterpriseJoined: ustaw stan TAK , jeśli urządzenie jest przyłączone do lokalnej usługi replikacji danych (DRS). Nie można połączyć urządzenia EnterpriseJoined i AzureAdJoined.
- DomenaJoined: ustaw stan TAK , jeśli urządzenie jest przyłączone do domeny (Active Directory).
- DomainName: ustaw stan na nazwę domeny, jeśli urządzenie jest przyłączone do domeny.
Przykładowe dane wyjściowe stanu urządzenia
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : YES
DomainName : HYBRIDADFS
+----------------------------------------------------------------------+
Szczegóły urządzenia
Stan jest wyświetlany tylko wtedy, gdy urządzenie jest dołączone do firmy Microsoft Entra lub dołączone hybrydo do firmy Microsoft Entra (nie zarejestrowano w usłudze Microsoft Entra). W tej sekcji wymieniono szczegóły identyfikujące urządzenia przechowywane w identyfikatorze Entra firmy Microsoft.
- DeviceId: unikatowy identyfikator urządzenia w dzierżawie firmy Microsoft Entra.
- Odcisk palca: odcisk palca certyfikatu urządzenia.
- DeviceCertificateValidity: stan ważności certyfikatu urządzenia.
- KeyContainerId: identyfikator containerId klucza prywatnego urządzenia skojarzonego z certyfikatem urządzenia.
- KeyProvider: KeyProvider (sprzęt/oprogramowanie) używany do przechowywania klucza prywatnego urządzenia.
- TpmProtected: stan jest ustawiony na TAK , jeśli klucz prywatny urządzenia jest przechowywany w sprzętowym module Trusted Platform Module (TPM).
- DeviceAuthStatus: wykonuje sprawdzanie w celu określenia kondycji urządzenia w identyfikatorze Entra firmy Microsoft. Stan kondycji to:
- POWODZENIE , jeśli urządzenie jest obecne i włączone w identyfikatorze Entra firmy Microsoft.
- NIE POWIODŁO SIĘ. Urządzenie jest wyłączone lub usunięte jeśli urządzenie jest wyłączone lub usunięte. Aby uzyskać więcej informacji na temat tego problemu, zobacz Microsoft Entra device management FAQ (Często zadawane pytania dotyczące zarządzania urządzeniami firmy Microsoft).
- NIE POWIODŁO SIĘ. BŁĄD jeśli test nie może zostać uruchomiony. Ten test wymaga łączności sieciowej z identyfikatorem Entra firmy Microsoft w kontekście systemu.
Uwaga
Pole DeviceAuthStatus zostało dodane w aktualizacji systemu Windows 10 maja 2021 r. (wersja 21H1).
- Virtual Desktop: istnieją trzy przypadki, w których jest to wyświetlane.
- NIE USTAWIONO — metadane urządzenia VDI nie są obecne na urządzeniu.
- TAK — metadane urządzenia VDI są obecne i dane wyjściowe skojarzone z danymi wyjściowymi dsregcmd, w tym:
- Dostawca: nazwa dostawcy VDI.
- Typ: trwałe VDI lub nietrwale VDI.
- Tryb użytkownika: pojedynczy użytkownik lub wielu użytkowników.
- Rozszerzenia: liczba par wartości klucza w opcjonalnych metadanych specyficznych dla dostawcy, a następnie pary wartości klucza.
- INVALID — metadane urządzenia VDI są obecne, ale nie są ustawione poprawnie. W tym przypadku narzędzie dsregcmd generuje nieprawidłowe metadane.
Przykładowe dane wyjściowe szczegółów urządzenia
+----------------------------------------------------------------------+
| Device Details |
+----------------------------------------------------------------------+
DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
KeyProvider : Microsoft Software Key Storage Provider
TpmProtected : NO
DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+
Szczegóły dzierżawy
Szczegóły dzierżawy są wyświetlane tylko wtedy, gdy urządzenie jest dołączone do firmy Microsoft Entra lub dołączone hybrydowe rozwiązanie Microsoft Entra, a nie zarejestrowane przez firmę Microsoft Entra. W tej sekcji wymieniono typowe szczegóły dzierżawy wyświetlane po dołączeniu urządzenia do identyfikatora Entra firmy Microsoft.
Uwaga
Jeśli pola adresu URL zarządzania urządzeniami przenośnymi (MDM) w tej sekcji są puste, oznacza to, że rozwiązanie MDM nie zostało skonfigurowane lub że bieżący użytkownik nie znajduje się w zakresie rejestracji w usłudze MDM. Sprawdź ustawienia mobilności w usłudze Microsoft Entra ID, aby przejrzeć konfigurację rozwiązania MDM.
Nawet jeśli widzisz adresy URL zarządzania urządzeniami przenośnymi, nie oznacza to, że urządzenie jest zarządzane przez rozwiązanie MDM. Informacje są wyświetlane, jeśli dzierżawa ma konfigurację zarządzania urządzeniami przenośnymi na potrzeby automatycznej rejestracji, nawet jeśli samo urządzenie nie jest zarządzane.
Przykładowe dane wyjściowe szczegółów dzierżawy
+----------------------------------------------------------------------+
| Tenant Details |
+----------------------------------------------------------------------+
TenantName : HybridADFS
TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
Idp : login.windows.net
AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl : eyJVx{lots of characters}xxxx==
JoinSrvVersion : 1.0
JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion : 1.0
KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
WebAuthNSrvVersion : 1.0
WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
DeviceManagementSrvVer : 1.0
DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+
Stan użytkownika
W tej sekcji wymieniono stany różnych atrybutów dla użytkowników, którzy są obecnie zalogowani do urządzenia.
Uwaga
Aby pobrać prawidłowy stan, polecenie musi zostać uruchomione w kontekście użytkownika.
- NgcSet: ustaw stan TAK , jeśli dla bieżącego zalogowanego użytkownika ustawiono klucz funkcji Windows Hello.
- NgcKeyId: identyfikator klucza funkcji Windows Hello, jeśli został ustawiony dla bieżącego zalogowanego użytkownika.
- CanReset: określa, czy klucz funkcji Windows Hello może zostać zresetowany przez użytkownika.
- Możliwe wartości: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive lub Unknown if error.
- WorkplaceJoined: ustaw stan TAK , jeśli zarejestrowane konta microsoft Entra zostały dodane do urządzenia w bieżącym kontekście NTUSER.
- WamDefaultSet: ustaw stan TAK , jeśli dla zalogowanego użytkownika zostanie utworzone domyślne konto internetowe Menedżera kont sieci Web (WAM). To pole może wyświetlić błąd, jeśli
dsregcmd /status
jest uruchamiany z wiersza polecenia z podwyższonym poziomem uprawnień. - WamDefaultAuthority: ustaw stan na organizacje dla identyfikatora Entra firmy Microsoft.
- WamDefaultId: zawsze używaj https://login.microsoft.com identyfikatora Entra firmy Microsoft.
- WamDefaultGUID: identyfikator GUID dostawcy WAM (Microsoft Entra ID / Konto Microsoft) dla domyślnego konta WAM WebAccount.
Przykładowe dane wyjściowe stanu użytkownika
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet : YES
NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
CanReset : DestructiveAndNonDestructive
WorkplaceJoined : NO
WamDefaultSet : YES
WamDefaultAuthority : organizations
WamDefaultId : https://login.microsoft.com
WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)
+----------------------------------------------------------------------+
Stan logowania jednokrotnego
Tę sekcję można zignorować dla zarejestrowanych urządzeń firmy Microsoft.
Uwaga
Aby pobrać prawidłowy stan tego użytkownika, polecenie musi zostać uruchomione w kontekście użytkownika.
- AzureAdPrt: ustaw stan TAK , jeśli podstawowy token odświeżania (PRT) jest obecny na urządzeniu dla zalogowanego użytkownika.
- AzureAdPrtUpdateTime: ustaw stan na godzinę w uniwersalnym czasie koordynowanym (UTC), kiedy żądanie PRT zostało ostatnio zaktualizowane.
- AzureAdPrtExpiryTime: ustaw stan na godzinę w formacie UTC, gdy żądanie ściągnięcia wygaśnie, jeśli nie zostanie odnowione.
- AzureAdPrtAuthority: adres URL urzędu entra firmy Microsoft
- EnterprisePrt: ustaw stan TAK, jeśli urządzenie ma prT z usług federacyjnych lokalna usługa Active Directory (AD FS). W przypadku urządzeń dołączonych hybrydowych firmy Microsoft Entra urządzenie może mieć żądanie PRT zarówno z identyfikatora Microsoft Entra ID, jak i lokalna usługa Active Directory jednocześnie. Urządzenia przyłączone do środowiska lokalnego mają tylko żądanie PRT przedsiębiorstwa.
- EnterprisePrtUpdateTime: ustaw stan na godzinę w formacie UTC, kiedy żądanie PRT przedsiębiorstwa zostało ostatnio zaktualizowane.
- EnterprisePrtExpiryTime: ustaw stan na godzinę w formacie UTC, gdy żądanie ściągnięcia wygaśnie, jeśli nie zostanie odnowione.
- EnterprisePrtAuthority: adres URL urzędu usług AD FS
Uwaga
W aktualizacji systemu Windows 10 maja 2021 r. dodano następujące pola diagnostyki PRT (wersja 21H1).
- Informacje diagnostyczne wyświetlane w polu AzureAdPrt są przeznaczone dla pozyskiwania lub odświeżania przez firmę Microsoft Entra PRT, a informacje diagnostyczne wyświetlane w polu EnterprisePrt są przeznaczone do pozyskiwania lub odświeżania przedsiębiorstwa PRT.
- Informacje diagnostyczne są wyświetlane tylko wtedy, gdy po ostatnim pomyślnym czasie aktualizacji PRT wystąpił błąd pozyskiwania lub odświeżania (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
Na urządzeniu udostępnionym te informacje diagnostyczne mogą pochodzić z próby logowania innego użytkownika.
- AcquirePrtDiagnostics: ustaw stan NA PRESENT , jeśli uzyskane informacje diagnostyczne PRT znajdują się w dziennikach.
- To pole jest pomijane, jeśli żadne informacje diagnostyczne nie są dostępne.
- Poprzednia próba ściągnięcia: czas lokalny w formacie UTC, o którym wystąpiła nieudana próba PRT.
- Stan próby: zwrócony kod błędu klienta (HRESULT).
- Tożsamość użytkownika: nazwa UPN użytkownika, dla którego nastąpiła próba prT.
- Typ poświadczeń: poświadczenie użyte do uzyskania lub odświeżenia żądania ściągnięcia. Typowe typy poświadczeń to Hasło i Poświadczenia nowej generacji (NGC) (dla usługi Windows Hello).
- Identyfikator korelacji: identyfikator korelacji wysłany przez serwer dla nieudanej próby PRT.
- Identyfikator URI punktu końcowego: ostatni punkt końcowy uzyskiwany przed awarią.
- Metoda HTTP: metoda HTTP używana do uzyskiwania dostępu do punktu końcowego.
- Błąd HTTP: Kod błędu transportu WinHttp. Pobierz inne kody błędów sieci.
- Stan HTTP: stan HTTP zwrócony przez punkt końcowy.
- Kod błędu serwera: kod błędu z serwera.
- Opis błędu serwera: komunikat o błędzie z serwera.
- RefreshPrtDiagnostics: ustaw stan NA PRESENT , jeśli uzyskane informacje diagnostyczne PRT znajdują się w dziennikach.
- To pole jest pomijane, jeśli żadne informacje diagnostyczne nie są dostępne.
- Pola informacji diagnostycznych są takie same jak AcquirePrtDiagnostics.
Uwaga
Następujące pola diagnostyki protokołu Kerberos w chmurze zostały dodane w oryginalnej wersji systemu Windows 11 (wersja 21H2).
- OnPremTgt: ustaw stan TAK , jeśli bilet Protokołu Kerberos w chmurze w celu uzyskania dostępu do zasobów lokalnych jest obecny na urządzeniu dla zalogowanego użytkownika.
- CloudTgt: ustaw stan TAK , jeśli bilet Protokołu Kerberos w chmurze w celu uzyskania dostępu do zasobów w chmurze jest obecny na urządzeniu dla zalogowanego użytkownika.
- KerbTopLevelNames: lista nazw obszaru protokołu Kerberos najwyższego poziomu dla protokołu Kerberos w chmurze.
Przykładowe dane wyjściowe stanu logowania jednokrotnego
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
OnPremTgt : YES
CloudTgt : YES
KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342
+----------------------------------------------------------------------+
dane diagnostyczne
Diagnostyka przed przyłączeniem
Ta sekcja diagnostyki jest wyświetlana tylko wtedy, gdy urządzenie jest przyłączone do domeny i nie może dołączyć hybrydowo do firmy Microsoft Entra.
W tej sekcji są wykonywane różne testy ułatwiające diagnozowanie błędów sprzężenia. Informacje obejmują: fazę błędu, kod błędu, identyfikator żądania serwera, stan HTTP odpowiedzi serwera i komunikat o błędzie odpowiedzi serwera.
Kontekst użytkownika: kontekst, w którym jest uruchamiana diagnostyka. Możliwe wartości: SYSTEM, UN-ELEVATED User, ELEVATED User.
Uwaga
Ponieważ rzeczywiste sprzężenie jest wykonywane w kontekście SYSTEM, uruchomienie diagnostyki w kontekście SYSTEM jest najbliżej rzeczywistego scenariusza sprzężenia. Aby uruchomić diagnostykę w kontekście SYSTEMU,
dsregcmd /status
należy uruchomić polecenie z wiersza polecenia z podwyższonym poziomem uprawnień.Czas klienta: czas systemowy w formacie UTC.
Test Połączenie ivity usługi AD: ten test wykonuje test łączności z kontrolerem domeny. Błąd w tym teście prawdopodobnie powoduje błędy sprzężenia w fazie wstępnej kontroli.
Test konfiguracji usługi AD: ten test odczytuje i sprawdza, czy obiekt punktu Połączenie ion usługi (SCP) jest prawidłowo skonfigurowany w lesie lokalna usługa Active Directory. Błędy w tym teście prawdopodobnie spowodują błędy sprzężenia w fazie odnajdywania z kodem błędu 0x801c001d.
Test odnajdywania drS: ten test pobiera punkty końcowe usługi DRS z punktu końcowego metadanych odnajdywania i wykonuje żądanie obszaru użytkownika. Błędy w tym teście prawdopodobnie spowodują błędy sprzężenia w fazie odnajdywania.
Test Połączenie ivity DRS: ten test wykonuje podstawowy test łączności z punktem końcowym usługi DRS.
Test pozyskiwania tokenu: ten test próbuje uzyskać token uwierzytelniania entra firmy Microsoft, jeśli dzierżawa użytkownika jest federacyjna. Błędy w tym teście prawdopodobnie spowodują błędy sprzężenia w fazie uwierzytelniania. Jeśli uwierzytelnianie zakończy się niepowodzeniem, próba dołączenia do synchronizacji zostanie podjęta jako powrót rezerwowy, chyba że rezerwowy zostanie jawnie wyłączony z następującymi ustawieniami klucza rejestru:
Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ Value: FallbackToSyncJoin Type: REG_DWORD Value: 0x0 -> Disabled Value: 0x1 -> Enabled Default (No Key): Enabled
Powrót do synchronizacji sprzężenia: ustaw stan włączone, jeśli poprzedni klucz rejestru zapobiegnie powrotu do synchronizacji sprzężenia z błędami uwierzytelniania nie jest obecny. Ta opcja jest dostępna w systemie Windows 10 1803 lub nowszym.
Poprzednia rejestracja: czas, kiedy nastąpiła poprzednia próba sprzężenia. Rejestrowane są tylko nieudane próby przyłączenia.
Faza błędu: etap sprzężenia, w którym został przerwany. Możliwe wartości to wstępne sprawdzanie, odnajdywanie, uwierzytelnianie i dołączanie.
Kod błędu klienta: zwrócony kod błędu klienta (HRESULT).
Server ErrorCode: kod błędu serwera wyświetlany, jeśli żądanie zostało wysłane na serwer, a serwer odpowiedział kodem błędu.
Komunikat serwera: komunikat serwera zwrócony wraz z kodem błędu.
Stan https: stan HTTP zwrócony przez serwer.
Identyfikator żądania: identyfikator żądania klienta wysłany do serwera. Identyfikator żądania jest przydatny do korelowania z dziennikami po stronie serwera.
Przykładowe dane wyjściowe diagnostyki wstępnego sprzężenia
W poniższym przykładzie pokazano, że test diagnostyczny kończy się niepowodzeniem z błędem odnajdywania.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:25:31.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:23:30.000 UTC
Error Phase : discover
Client ErrorCode : 0x801c0021
+----------------------------------------------------------------------+
W poniższym przykładzie pokazano, że testy diagnostyczne przechodzą pomyślnie, ale próba rejestracji nie powiodła się z powodu błędu katalogu, który jest oczekiwany w przypadku przyłączania synchronizacji. Po zakończeniu zadania synchronizacji Połączenie firmy Microsoft urządzenie jest w stanie dołączyć.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:16:50.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : PASS
DRS Connectivity Test : PASS
Token acquisition Test : PASS
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Diagnostyka po dołączeniach
W tej sekcji diagnostyki są wyświetlane dane wyjściowe kontroli kondycji wykonane na urządzeniu przyłączonym do chmury.
- AadRecoveryEnabled: jeśli wartość ma wartość TAK, klucze przechowywane na urządzeniu nie będą używane, a urządzenie zostanie oznaczone do odzyskiwania. Następne logowanie spowoduje wyzwolenie przepływu odzyskiwania i ponowne zarejestrowanie urządzenia.
- KeySignTest: jeśli wartość ma wartość PASSED, klucze urządzenia są w dobrej kondycji. Jeśli narzędzie KeySignTest zakończy się niepowodzeniem, urządzenie jest zwykle oznaczone do odzyskiwania. Następne logowanie spowoduje wyzwolenie przepływu odzyskiwania i ponowne zarejestrowanie urządzenia. W przypadku urządzeń dołączonych hybrydo do firmy Microsoft Entra odzyskiwanie jest dyskretne. Urządzenia są przyłączone do firmy Microsoft lub zarejestrowane przez firmę Microsoft Entra, ale w razie potrzeby monitują o uwierzytelnienie użytkownika w celu odzyskania i ponownego zarejestrowania urządzenia.
Uwaga
Test KeySignTest wymaga podniesionych uprawnień.
Przykładowe dane wyjściowe diagnostyki po sprzężeniach
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
AadRecoveryEnabled: NO
KeySignTest : PASSED
+----------------------------------------------------------------------+
Sprawdzanie wymagań wstępnych NGC
Ta sekcja diagnostyki przeprowadza sprawdzanie wymagań wstępnych dotyczących konfigurowania Windows Hello dla firm (WHFB).
Uwaga
Szczegóły sprawdzania wymagań wstępnych NGC mogą nie być widoczne, dsregcmd /status
jeśli użytkownik skonfigurował już usługę WHFB.
- IsDeviceJoined: ustaw stan TAK, jeśli urządzenie jest przyłączone do identyfikatora Microsoft Entra.
- IsUserAzureAD: ustaw stan TAK , jeśli zalogowany użytkownik jest obecny w identyfikatorze Entra firmy Microsoft.
- PolicyEnabled: ustaw stan TAK , jeśli zasady WHFB są włączone na urządzeniu.
- PostLogonEnabled: ustaw stan TAK , jeśli rejestracja WHFB jest wyzwalana natywnie przez platformę. Jeśli stan ma wartość NIE, oznacza to, że rejestracja Windows Hello dla firm jest wyzwalana przez mechanizm niestandardowy.
- DeviceEligible: ustaw stan TAK , jeśli urządzenie spełnia wymagania sprzętowe dotyczące rejestracji w usłudze WHFB.
- SessionIsNotRemote: ustaw stan TAK , jeśli bieżący użytkownik jest zalogowany bezpośrednio na urządzeniu, a nie zdalnie.
- CertEnrollment: to ustawienie jest specyficzne dla wdrożenia zaufania certyfikatów WHFB wskazującego urząd rejestracji certyfikatów dla WHFB. Ustaw stan na urząd rejestracji, jeśli źródłem zasad WHFB jest zasady grupy lub ustaw go na zarządzanie urządzeniami przenośnymi , jeśli źródłem jest MDM. Jeśli żadne ze źródeł nie ma zastosowania, ustaw stan na brak.
- AdfsRefreshToken: to ustawienie jest specyficzne dla wdrożenia zaufania certyfikatów WHFB i występuje tylko wtedy, gdy stan rejestracji certyfikatu to urząd rejestracji. Ustawienie wskazuje, czy urządzenie ma dla użytkownika żądanie ściągnięcia przedsiębiorstwa.
- AdfsRaIsReady: to ustawienie jest specyficzne dla wdrożenia zaufania certyfikatów WHFB i występuje tylko wtedy, gdy stan rejestracji certyfikatu to urząd rejestracji. Ustaw stan tak, jeśli usługi AD FS wskazują w metadanych odnajdywania, które obsługują WHFB, a szablon certyfikatu logowania jest dostępny.
- LogonCertTemplateReady: to ustawienie jest specyficzne dla wdrożenia zaufania certyfikatów WHFB i występuje tylko wtedy, gdy stan rejestracji certyfikatu to urząd rejestracji. Ustaw stan TAK, jeśli stan szablonu certyfikatu logowania jest prawidłowy i pomaga rozwiązać problemy z urzędem rejestracji usług AD FS (RA).
- PreReqResult: zapewnia wynik oceny wszystkich wymagań wstępnych WHFB. Ustaw stan na Will Provision , jeśli rejestracja WHFB zostanie uruchomiona jako zadanie po zalogowaniu, gdy użytkownik zaloguje się następnym razem.
Uwaga
W aktualizacji systemu Windows 10 maja 2021 r. (wersja 21H1) dodano następujące pola diagnostyczne protokołu Kerberos w chmurze.
Przed systemem Windows 11 w wersji 23H2 ustawienie OnPremTGT miało nazwę CloudTGT.
- OnPremTGT: to ustawienie jest specyficzne dla wdrożenia zaufania protokołu Kerberos w chmurze i występuje tylko wtedy, gdy stan rejestracji certyfikatu nie jest żaden. Ustaw stan tak, jeśli urządzenie ma bilet protokołu Kerberos w chmurze, aby uzyskać dostęp do zasobów lokalnych. Przed systemem Windows 11 w wersji 23H2 to ustawienie miało nazwę CloudTGT.
Przykładowe wymagania wstępne NGC sprawdzają dane wyjściowe
+----------------------------------------------------------------------+
| Ngc Prerequisite Check |
+----------------------------------------------------------------------+
IsDeviceJoined : YES
IsUserAzureAD : YES
PolicyEnabled : YES
PostLogonEnabled : YES
DeviceEligible : YES
SessionIsNotRemote : YES
CertEnrollment : enrollment authority
AdfsRefreshToken : YES
AdfsRaIsReady : YES
LogonCertTemplateReady : YES ( StateReady )
PreReqResult : WillProvision
+----------------------------------------------------------------------+
Następne kroki
Przejdź do narzędzia wyszukiwania błędów firmy Microsoft.