Rozwiązywanie problemów z urządzeniami przyłączonymi hybrydowo Microsoft Entra
Ten artykuł zawiera wskazówki dotyczące rozwiązywania problemów, które ułatwiają rozwiązywanie potencjalnych problemów z urządzeniami z systemem Windows 10 lub nowszym oraz systemem Windows Server 2016 lub nowszym.
Dołączanie hybrydowe firmy Microsoft Entra obsługuje aktualizację systemu Windows 10 z listopada 2015 r. i nowsze.
Aby rozwiązać problemy z innymi klientami systemu Windows, zobacz Rozwiązywanie problemów z urządzeniami dołączonymi hybrydowo do firmy Microsoft dołączonymi na poziomie podrzędnym.
W tym artykule założono, że masz urządzenia dołączone hybrydową firmę Microsoft Entra do obsługi następujących scenariuszy:
- Dostęp warunkowy oparty na urządzeniach
- Roaming stanu przedsiębiorstwa
- Windows Hello for Business
Uwaga
Aby rozwiązać typowe problemy z rejestracją urządzeń, użyj narzędzia do rozwiązywania problemów z rejestracją urządzeń.
Rozwiązywanie problemów z błędami sprzężenia
Krok 1. Pobieranie stanu przyłączenia
- Otwórz okno wiersza polecenia jako administrator.
- Wpisz
dsregcmd /status
.
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined: YES
EnterpriseJoined: NO
DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
Thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
KeyProvider: Microsoft Platform Crypto Provider
TpmProtected: YES
KeySignTest: : MUST Run elevated to test.
Idp: login.windows.net
TenantId: aaaabbbb-0000-cccc-1111-dddd2222eeee
TenantName: Contoso
AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl: eyJVc{lots of characters}JdfQ==
JoinSrvVersion: 1.0
JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion: 1.0
KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
DomainJoined: YES
DomainName: CONTOSO
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet: YES
NgcKeyId: {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
WorkplaceJoined: NO
WamDefaultSet: YES
WamDefaultAuthority: organizations
WamDefaultId: https://login.microsoft.com
WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
AzureAdPrt: YES
Krok 2. Ocena stanu przyłączenia
Przejrzyj pola w poniższej tabeli i upewnij się, że mają oczekiwane wartości:
Pole | Oczekiwana wartość | opis |
---|---|---|
DomainJoined | TAK | To pole wskazuje, czy urządzenie jest przyłączone do lokalna usługa Active Directory. Jeśli wartość to NIE, urządzenie nie może wykonać przyłączenia hybrydowego firmy Microsoft Entra. |
WorkplaceJoined | NIE | To pole wskazuje, czy urządzenie jest zarejestrowane w usłudze Microsoft Entra ID jako urządzenie osobiste (oznaczone jako dołączone do miejsca pracy). Ta wartość powinna mieć wartość NIE dla komputera przyłączonego do domeny, który jest również przyłączony hybrydowo do firmy Microsoft Entra. Jeśli wartość ma wartość TAK, konto służbowe zostało dodane przed ukończeniem dołączania hybrydowego firmy Microsoft Entra. W takim przypadku konto jest ignorowane w przypadku korzystania z systemu Windows 10 w wersji 1607 lub nowszej. |
AzureAdJoined | TAK | To pole wskazuje, czy urządzenie jest przyłączone. Wartość to TAK , jeśli urządzenie jest urządzeniem dołączonym do firmy Microsoft lub urządzeniem dołączonym hybrydowym firmy Microsoft Entra. Jeśli wartość to NIE, dołączenie do identyfikatora Entra firmy Microsoft nie zostało jeszcze zakończone. |
Przejdź do następnych kroków, aby uzyskać dalsze rozwiązywanie problemów.
Krok 3. Znajdowanie fazy, w której sprzężenia nie powiodło się, oraz kod błędu
W przypadku systemu Windows 10 w wersji 1803 lub nowszej
Wyszukaj podsekcję "Poprzednia rejestracja" w sekcji "Dane diagnostyczne" danych wyjściowych stanu sprzężenia. Ta sekcja jest wyświetlana tylko wtedy, gdy urządzenie jest przyłączone do domeny i nie może dołączyć hybrydowo do firmy Microsoft Entra.
Pole "Faza błędu" oznacza fazę niepowodzenia sprzężenia, a "Client ErrorCode" oznacza kod błędu operacji sprzężenia.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
W przypadku starszych wersji systemu Windows 10
Użyj dzienników Podgląd zdarzeń, aby zlokalizować fazę i kod błędu dla błędów sprzężenia.
- W Podgląd zdarzeń otwórz dzienniki zdarzeń rejestracja urządzenia użytkownika. Są one przechowywane w obszarze Aplikacje i usługi Rejestruj>rejestrację urządzenia użytkownika systemu Microsoft>Windows.>
- Poszukaj zdarzeń z następującymi identyfikatorami zdarzeń: 304, 305 i 307.
Krok 4. Sprawdzanie możliwych przyczyn i rozwiązań
Faza wstępnego zaznaczenia
Możliwe przyczyny niepowodzenia:
- Urządzenie nie ma dostępu do kontrolera domeny.
- Urządzenie musi znajdować się w sieci wewnętrznej organizacji lub w wirtualnej sieci prywatnej z widokiem sieciowym na kontrolerze domeny lokalna usługa Active Directory.
Faza odnajdywania
Możliwe przyczyny niepowodzenia:
- Obiekt punktu połączenia usługi jest nieprawidłowo skonfigurowany lub nie można go odczytać z kontrolera domeny.
- Prawidłowy obiekt punktu połączenia usługi jest wymagany w lesie usługi AD, do którego należy urządzenie, wskazującą zweryfikowaną nazwę domeny w identyfikatorze Entra firmy Microsoft.
- Aby uzyskać więcej informacji, zobacz sekcję "Konfigurowanie punktu połączenia z usługą" w temacie Samouczek: Konfigurowanie dołączania hybrydowego firmy Microsoft Entra dla domen federacyjnych.
- Nie można nawiązać połączenia z punktem końcowym odnajdywania i pobrać metadane odnajdywania.
- Urządzenie powinno mieć dostęp do
https://enterpriseregistration.windows.net
elementu w kontekście systemu w celu odnalezienia punktów końcowych rejestracji i autoryzacji. - Jeśli środowisko lokalne wymaga serwera proxy ruchu wychodzącego, administrator IT musi upewnić się, że konto komputera urządzenia może odnajdywać i w trybie dyskretnym uwierzytelniać się na serwerze proxy ruchu wychodzącego.
- Urządzenie powinno mieć dostęp do
- Nie można nawiązać połączenia z punktem końcowym obszaru użytkownika i odnajdywania obszaru (tylko system Windows 10 w wersji 1809 lub nowszej).
- Urządzenie powinno mieć dostęp
https://login.microsoftonline.com
do elementu w kontekście systemu, aby wykonać odnajdywanie obszaru dla zweryfikowanej domeny i określić typ domeny (zarządzany lub federacyjny). - Jeśli środowisko lokalne wymaga serwera proxy ruchu wychodzącego, administrator IT musi upewnić się, że kontekst systemu na urządzeniu może odnajdywać i w trybie dyskretnym uwierzytelniać się na serwerze proxy ruchu wychodzącego.
- Urządzenie powinno mieć dostęp
Typowe kody błędów:
Kod błędu | Przyczyna | Rozwiązanie |
---|---|---|
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | Nie można odczytać obiektu punktu połączenia usługi (SCP) i uzyskać informacje o dzierżawie firmy Microsoft Entra. | Zapoznaj się z sekcją Konfigurowanie punktu połączenia z usługą. |
DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) | Błąd odnajdywania ogólnego. Nie można pobrać metadanych odnajdywania z usługi replikacji danych (DRS). | Aby dokładniej zbadać problem, znajdź poderror w następnych sekcjach. |
DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) | Upłynął limit czasu operacji podczas odnajdywania. | Upewnij się, że https://enterpriseregistration.windows.net jest dostępny w kontekście systemu. Aby uzyskać więcej informacji, zobacz sekcję Wymagania dotyczące łączności sieciowej. |
DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) | Błąd odnajdywania obszaru ogólnego. Nie można określić typu domeny (zarządzanego/federacyjnego) z usługi STS. | Aby dokładniej zbadać problem, znajdź poderror w następnych sekcjach. |
Typowe kody błędów podrzędnych:
Aby znaleźć kod błędu podrzędnego dla kodu błędu odnajdywania, użyj jednej z następujących metod.
Windows 10 w wersji 1803 lub nowszej
Wyszukaj ciąg "TEST odnajdywania DRS" w sekcji "Dane diagnostyczne" danych wyjściowych stanu sprzężenia. Ta sekcja jest wyświetlana tylko wtedy, gdy urządzenie jest przyłączone do domeny i nie może dołączyć hybrydowo do firmy Microsoft Entra.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : UN-ELEVATED User
Client Time : 2019-06-05 08:25:29.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
+----------------------------------------------------------------------+
Starsze wersje systemu Windows 10
Użyj dzienników Podgląd zdarzeń, aby wyszukać kod fazy i błędu dla błędów sprzężenia.
- W Podgląd zdarzeń otwórz dzienniki zdarzeń rejestracja urządzenia użytkownika. Są one przechowywane w obszarze Aplikacje i usługi Rejestruj>rejestrację urządzenia użytkownika systemu Microsoft>Windows.>
- Poszukaj zdarzenia o identyfikatorze 201.
Błędy sieci:
Kod błędu | Przyczyna | Rozwiązanie |
---|---|---|
WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) | Nie można ustanowić połączenia z serwerem. | Upewnij się, że łączność sieciowa z wymaganymi zasobami firmy Microsoft. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące łączności sieciowej. |
WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Ogólny limit czasu sieci. | Upewnij się, że łączność sieciowa z wymaganymi zasobami firmy Microsoft. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące łączności sieciowej. |
WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) | Stos sieciowy nie może zdekodować odpowiedzi z serwera. | Upewnij się, że serwer proxy sieci nie zakłóca ani nie modyfikuje odpowiedzi serwera. |
Błędy HTTP:
Kod błędu | Przyczyna | Rozwiązanie |
---|---|---|
DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) | Obiekt punktu połączenia usługi jest skonfigurowany z nieprawidłowym identyfikatorem dzierżawy lub nie znaleziono aktywnych subskrypcji w dzierżawie. | Upewnij się, że obiekt punktu połączenia usługi jest skonfigurowany z prawidłowym identyfikatorem dzierżawy firmy Microsoft i aktywnymi subskrypcjami lub czy usługa jest obecna w dzierżawie. |
DSREG_SERVER_BUSY (0x801c0025/-2145648603) | Http 503 z serwera DRS. | Serwer jest obecnie niedostępny. Przyszłe próby przyłączenia prawdopodobnie zakończą się powodzeniem po przywróceniu serwera do trybu online. |
Inne błędy:
Kod błędu | Przyczyna | Rozwiązanie |
---|---|---|
E_INVALIDDATA (0x8007000d/-2147024883) | Nie można przeanalizować kodu JSON odpowiedzi serwera, prawdopodobnie dlatego, że serwer proxy zwraca http 200 ze stroną autoryzacji HTML. | Jeśli środowisko lokalne wymaga serwera proxy ruchu wychodzącego, administrator IT musi upewnić się, że kontekst systemu na urządzeniu może odnajdywać i w trybie dyskretnym uwierzytelniać się na serwerze proxy ruchu wychodzącego. |
Faza uwierzytelniania
Ta zawartość ma zastosowanie tylko do kont domeny federacyjnej.
Przyczyny niepowodzenia:
- Nie można uzyskać tokenu dostępu w trybie dyskretnym dla zasobu DRS.
- Urządzenia z systemami Windows 10 i Windows 11 uzyskują token uwierzytelniania z usługi federacyjnej przy użyciu zintegrowanego uwierzytelniania systemu Windows do aktywnego punktu końcowego zaufania WS. Aby uzyskać więcej informacji, zobacz Konfiguracja usługi federacyjnej.
Typowe kody błędów:
Użyj dzienników Podgląd zdarzeń, aby zlokalizować kod błędu, kod podrzędny błędu, kod błędu serwera i komunikat o błędzie serwera.
- W Podgląd zdarzeń otwórz dzienniki zdarzeń rejestracja urządzenia użytkownika. Są one przechowywane w obszarze Aplikacje i usługi Rejestruj>rejestrację urządzenia użytkownika systemu Microsoft>Windows.>
- Poszukaj zdarzenia o identyfikatorze 305.
Błędy konfiguracji:
Kod błędu | Przyczyna | Rozwiązanie |
---|---|---|
ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) | Protokół uwierzytelniania biblioteki ADAL (Azure AD Authentication Library) nie jest protokołem WS-Trust. | Lokalny dostawca tożsamości musi obsługiwać usługę WS-Trust. |
ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) | Lokalna usługa federacyjna nie zwróciła odpowiedzi XML. | Upewnij się, że punkt końcowy wymiany metadanych (MEX) zwraca prawidłowy kod XML. Upewnij się, że serwer proxy nie zakłóca i nie zwraca odpowiedzi nonxml. |
ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) | Nie można odnaleźć punktu końcowego na potrzeby uwierzytelniania nazwy użytkownika/hasła. | Sprawdź ustawienia lokalnego dostawcy tożsamości. Upewnij się, że punkty końcowe zaufania WS są włączone i że odpowiedź MEX zawiera te poprawne punkty końcowe. |
Błędy sieci:
Kod błędu | Przyczyna | Rozwiązanie |
---|---|---|
ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) | Ogólny limit czasu sieci. | Upewnij się, że https://login.microsoftonline.com jest dostępny w kontekście systemu. Upewnij się, że lokalny dostawca tożsamości jest dostępny w kontekście systemu. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące łączności sieciowej. |
ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) | Połączenie z punktem końcowym autoryzacji zostało przerwane. | Spróbuj dołączyć ponownie za jakiś czas lub z innej stabilnej lokalizacji sieciowej. |
ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) | Nie można zweryfikować certyfikatu Transport Layer Security (TLS) (wcześniej znanego jako certyfikat Secure Sockets Layer [SSL] wysłanego przez serwer. | Sprawdź niesymetryczność czasu klienta. Spróbuj dołączyć ponownie za jakiś czas lub z innej stabilnej lokalizacji sieciowej. |
ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) | Próba nawiązania połączenia nie powiodła się https://login.microsoftonline.com . |
Sprawdź połączenie sieciowe z usługą https://login.microsoftonline.com . |
Inne błędy:
Kod błędu | Przyczyna | Rozwiązanie |
---|---|---|
ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) | Token SAML od lokalnego dostawcy tożsamości nie został zaakceptowany przez identyfikator Entra firmy Microsoft. | Sprawdź ustawienia serwera federacyjnego. Poszukaj kodu błędu serwera w dziennikach uwierzytelniania. |
ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) | Odpowiedź serwera WS-Trust zgłosiła wyjątek błędu i nie mogła uzyskać asercji. | Sprawdź ustawienia serwera federacyjnego. Poszukaj kodu błędu serwera w dziennikach uwierzytelniania. |
ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) | Wystąpił błąd podczas próby uzyskania tokenu dostępu z punktu końcowego tokenu. | Poszukaj podstawowego błędu w dzienniku biblioteki ADAL. |
ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) | Ogólny błąd biblioteki ADAL. | Wyszukaj kod błędu podrzędnego lub kod błędu serwera z dzienników uwierzytelniania. |
Faza sprzężenia
Przyczyny niepowodzenia:
Poszukaj typu rejestracji i kodu błędu z poniższych tabel, w zależności od używanej wersji systemu Windows 10.
Windows 10 w wersji 1803 lub nowszej
Wyszukaj podsekcję "Poprzednia rejestracja" w sekcji "Dane diagnostyczne" danych wyjściowych stanu sprzężenia. Ta sekcja jest wyświetlana tylko wtedy, gdy urządzenie jest przyłączone do domeny i nie może dołączyć hybrydowo do firmy Microsoft Entra.
Pole "Typ rejestracji" oznacza typ sprzężenia.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) is not found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Starsze wersje systemu Windows 10
Użyj dzienników Podgląd zdarzeń, aby zlokalizować fazę i kod błędu dla błędów sprzężenia.
- W Podgląd zdarzeń otwórz dzienniki zdarzeń rejestracja urządzenia użytkownika. Są one przechowywane w obszarze Aplikacje i usługi Rejestruj>rejestrację urządzenia użytkownika systemu Microsoft>Windows.>
- Poszukaj zdarzenia o identyfikatorze 204.
Błędy HTTP zwrócone z serwera DRS:
Kod błędu | Przyczyna | Rozwiązanie |
---|---|---|
DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) | Odebrano odpowiedź z usługi DRS z błędem ErrorCode: "DirectoryError". | Zapoznaj się z kodem błędu serwera z możliwych powodów i rozwiązań. |
DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) | Odebrano odpowiedź na błąd z usługi DRS z błędem ErrorCode: "AuthenticationError" i ErrorSubCode nie jest "DeviceNotFound". | Zapoznaj się z kodem błędu serwera z możliwych powodów i rozwiązań. |
DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) | Odebrano odpowiedź z usługi DRS z błędem ErrorCode: "DirectoryError". | Zapoznaj się z kodem błędu serwera z możliwych powodów i rozwiązań. |
Błędy modułu TPM:
Kod błędu | Przyczyna | Rozwiązanie |
---|---|---|
NTE_BAD_KEYSET (0x80090016/-2146893802) | Operacja modułu TPM (Trusted Platform Module) nie powiodła się lub była nieprawidłowa. | Ten błąd wskazuje, że zestaw kluczy nie istnieje. Ten błąd występuje, gdy moduł TPM jest czyszczone w systemach lub gdy występuje nieprawidłowy obraz sysprep. Unikaj czyszczenia modułu TPM w ustawieniach systemu BIOS lub Windows. Jeśli moduł TPM zostanie wyczyszczone, użytkownicy mogą potrzebować odzyskania, usuwając i odczytując konta, aby rozwiązać ten problem, zwłaszcza gdy mają wiele kont WAM. Upewnij się, że maszyna, z której utworzono obraz sysprep, nie jest przyłączona do firmy Microsoft, przyłączona hybrydowa microsoft Entra lub zarejestrowana w usłudze Microsoft Entra. |
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | Ogólny błąd modułu TPM. | Wyłącz moduł TPM na urządzeniach z powodu tego błędu. System Windows 10 w wersji 1809 lub nowszej automatycznie wykrywa błędy modułu TPM i kończy dołączanie hybrydowe firmy Microsoft Entra bez korzystania z modułu TPM. |
TPM_E_NOTFIPS (0x80280036/-2144862154) | Moduł TPM w trybie FIPS nie jest obecnie obsługiwany. | Wyłącz moduł TPM na urządzeniach z powodu tego błędu. System Windows 10 w wersji 1809 automatycznie wykrywa błędy modułu TPM i kończy dołączanie hybrydowe firmy Microsoft Entra bez korzystania z modułu TPM. |
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | Moduł TPM jest zablokowany. | Błąd przejściowy. Odczekaj okres ochładzania. Próba dołączenia powinna zakończyć się pomyślnie po upływie pewnego czasu. Aby uzyskać więcej informacji, zobacz Podstawy modułu TPM. |
Błędy sieci:
Kod błędu | Przyczyna | Rozwiązanie |
---|---|---|
WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Ogólny limit czasu sieci podczas próby zarejestrowania urządzenia w usłudze DRS. | Sprawdź łączność sieciową z usługą https://enterpriseregistration.windows.net . |
WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) | Nie można rozpoznać nazwy serwera lub adresu. | Sprawdź łączność sieciową z usługą https://enterpriseregistration.windows.net . |
WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) | Połączenie z serwerem zostało przerwane nieprawidłowo. | Spróbuj dołączyć ponownie za jakiś czas lub z innej stabilnej lokalizacji sieciowej. |
Inne błędy:
Kod błędu | Przyczyna | Rozwiązanie |
---|---|---|
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | Identyfikator zdarzenia 220 jest obecny w dziennikach zdarzeń rejestracji urządzeń użytkownika. System Windows nie może uzyskać dostępu do obiektu komputera w usłudze Active Directory. Kod błędu systemu Windows może zostać uwzględniony w zdarzeniu. Kody błędów ERROR_NO_SUCH_LOGON_SESSION (1312) i ERROR_NO_SUCH_USER (1317) są związane z problemami z replikacją w lokalna usługa Active Directory. | Rozwiązywanie problemów z replikacją w usłudze Active Directory. Te problemy z replikacją mogą być przejściowe i mogą odejść po pewnym czasie. |
Błędy serwera sprzężenia federacyjnego:
Kod błędu serwera | Komunikat o błędzie serwera | Możliwe przyczyny | Rozwiązanie |
---|---|---|---|
DirectoryError | Żądanie jest tymczasowo ograniczane. Spróbuj po upływie 300 sekund. | Ten błąd jest oczekiwany, prawdopodobnie dlatego, że wiele żądań rejestracji zostało złożonych w krótkim odstępie czasu. | Ponów próbę sprzężenia po okresie ochładzania |
Błędy serwera synchronizacji sprzężenia:
Kod błędu serwera | Komunikat o błędzie serwera | Możliwe przyczyny | Rozwiązanie |
---|---|---|---|
DirectoryError | AADSTS90002: Nie znaleziono dzierżawy UUID . Ten błąd może wystąpić, jeśli dzierżawa nie ma aktywnych subskrypcji. Zapoznaj się z administratorem subskrypcji. |
Identyfikator dzierżawy w obiekcie punktu połączenia usługi jest niepoprawny. | Upewnij się, że obiekt punktu połączenia usługi jest skonfigurowany z prawidłowym identyfikatorem dzierżawy firmy Microsoft i aktywnymi subskrypcjami lub czy usługa jest obecna w dzierżawie. |
DirectoryError | Nie można odnaleźć obiektu urządzenia według podanego identyfikatora. | Ten błąd jest oczekiwany dla funkcji sync-join. Obiekt urządzenia nie został zsynchronizowany z usługi AD do identyfikatora Entra firmy Microsoft | Poczekaj na zakończenie synchronizacji programu Microsoft Entra Connect, a następna próba dołączenia po zakończeniu synchronizacji rozwiąże problem. |
AuthenticationError | Weryfikacja identyfikatora SID komputera docelowego | Certyfikat na urządzeniu Microsoft Entra nie jest zgodny z certyfikatem używanym do logowania się do obiektu blob podczas dołączania synchronizacji. Ten błąd zwykle oznacza, że synchronizacja nie została jeszcze zakończona. | Poczekaj na zakończenie synchronizacji programu Microsoft Entra Connect, a następna próba dołączenia po zakończeniu synchronizacji rozwiąże problem. |
Krok 5. Zbieranie dzienników i kontaktów pomoc techniczna firmy Microsoft
Pobierz plik Auth.zip.
Wyodrębnij pliki do folderu, takiego jak c:\temp, a następnie przejdź do folderu.
W sesji programu Azure PowerShell z podwyższonym poziomem uprawnień uruchom polecenie
.\start-auth.ps1 -v -accepteula
.Wybierz pozycję Przełącz konto , aby przełączyć się do innej sesji z użytkownikiem problemu.
Odtwórz problem.
Wybierz pozycję Przełącz konto , aby przełączyć się z powrotem do sesji administracyjnej, która uruchamia śledzenie.
W sesji programu PowerShell z podwyższonym poziomem uprawnień uruchom polecenie
.\stop-auth.ps1
.Zip (kompresuj) i wyślij dzienniki uwierzytelniania folderu z folderu, w którym zostały wykonane skrypty.
Rozwiązywanie problemów z uwierzytelnianiem po dołączaniu
Krok 1. Pobieranie stanu PRT przy użyciu polecenia dsregcmd /status
Otwórz wiersz polecenia.
Uwaga
Aby uzyskać stan podstawowy token odświeżania (PRT), otwórz okno wiersza polecenia w kontekście zalogowanego użytkownika.
Uruchom program
dsregcmd /status
.Sekcja "Stan logowania jednokrotnego" zawiera bieżący stan PRT.
Jeśli pole AzureAdPrt ma wartość NIE, wystąpił błąd podczas uzyskiwania stanu PRT z identyfikatora Entra firmy Microsoft.
Jeśli parametr AzureAdPrtUpdateTime przekracza cztery godziny, prawdopodobnie wystąpi problem z odświeżaniem żądania PRT. Zablokuj i odblokuj urządzenie, aby wymusić odświeżanie PRT, a następnie sprawdź, czy czas jest aktualizowany.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : YES
AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs
+----------------------------------------------------------------------+
Krok 2. Znajdowanie kodu błędu
Z danych wyjściowych dsregcmd
Uwaga
Dane wyjściowe są dostępne w aktualizacji systemu Windows 10 z maja 2021 r. (wersja 21H1).
Pole "Stan próby" w polu "AzureAdPrt" zawiera stan poprzedniej próby PRT wraz z innymi wymaganymi informacjami o debugowaniu. W przypadku starszych wersji systemu Windows wyodrębnij informacje z dzienników analitycznych i operacyjnych firmy Microsoft.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
Z dzienników operacyjnych i analiz firmy Microsoft
Użyj Podgląd zdarzeń, aby wyszukać wpisy dziennika zarejestrowane przez wtyczkę Microsoft Entra CloudAP podczas pozyskiwania PRT.
- W Podgląd zdarzeń otwórz dzienniki zdarzeń operacyjnych firmy Microsoft Entra. Są one przechowywane w obszarze Dziennik aplikacji i usług>Microsoft>Windows>AAD.
Uwaga
Wtyczka CloudAP rejestruje zdarzenia błędów w dziennikach operacyjnych i rejestruje zdarzenia informacji w dziennikach analizy. Do rozwiązywania problemów wymagane są zdarzenia analizy i dziennika operacyjnego.
Zdarzenie 1006 w dziennikach analizy oznacza początek przepływu pozyskiwania PRT, a zdarzenie 1007 w dziennikach analizy oznacza koniec przepływu pozyskiwania PRT. Wszystkie zdarzenia w dziennikach firmy Microsoft Entra (analiza i działanie), które są rejestrowane między zdarzeniami 1006 i 1007, zostały zarejestrowane w ramach przepływu pozyskiwania PRT.
Zdarzenie 1007 rejestruje końcowy kod błędu.
Krok 3. Dalsze rozwiązywanie problemów na podstawie znalezionego kodu błędu
Kod błędu | Przyczyna | Rozwiązanie |
---|---|---|
STATUS_LOGON_FAILURE (-1073741715/0xc000006d) STATUS_WRONG_PASSWORD (-1073741718/0xc000006a) |
Uwaga: WS-Trust jest wymagany do uwierzytelniania federacyjnego. |
|
STATUS_REQUEST_NOT_ACCEPTED (-1073741616/0xc00000d0) | Odebrano odpowiedź o błędzie (HTTP 400) z usługi uwierzytelniania Microsoft Entra lub punktu końcowego WS-Trust. Uwaga: WS-Trust jest wymagany do uwierzytelniania federacyjnego. |
Zdarzenia 1081 i 1088 (dzienniki operacyjne firmy Microsoft Entra) zawierają odpowiednio kod błędu serwera i opis błędu dla błędów pochodzących z usługi uwierzytelniania Microsoft Entra i punktu końcowego WS-Trust. Typowe kody błędów serwera i ich rozwiązania są wymienione w następnej sekcji. Pierwsze wystąpienie zdarzenia 1022 (dzienniki usługi Microsoft Entra Analytics), poprzedzające zdarzenia 1081 lub 1088, zawierają adres URL, do którego uzyskuje się dostęp. |
STATUS_NETWORK_UNREACHABLE (-1073741252/0xc000023c) STATUS_BAD_NETWORK_PATH (-1073741634/0xc00000be) STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/0xc00000c4) |
Uwaga: WS-Trust jest wymagany do uwierzytelniania federacyjnego. |
|
STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) | Odnajdywanie obszaru użytkownika nie powiodło się, ponieważ usługa uwierzytelniania Entra firmy Microsoft nie mogła odnaleźć domeny użytkownika. | |
AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/0xc004844c) | Nazwa UPN użytkownika nie jest w oczekiwanym formacie. Uwagi: |
whoami /upn domeny powinien być wyświetlany skonfigurowany nazwa UPN. |
AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/0xc0048442) | Brak identyfikatora SID użytkownika w tokenie identyfikatora zwróconym przez usługę uwierzytelniania Microsoft Entra. | Upewnij się, że serwer proxy sieci nie zakłóca działania i modyfikuje odpowiedź serwera. |
AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/0xc00484c1) | Odebrano błąd z punktu końcowego programu WS-Trust. Uwaga: WS-Trust jest wymagany do uwierzytelniania federacyjnego. |
|
AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/0xc004848b) | Punkt końcowy MEX jest niepoprawnie skonfigurowany. Odpowiedź MEX nie zawiera żadnych adresów URL haseł. | |
AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/0xc004848C) | Punkt końcowy MEX jest niepoprawnie skonfigurowany. Odpowiedź MEX nie zawiera żadnych adresów URL punktów końcowych certyfikatów. | |
WC_E_DTDPROHIBITED (-1072894385/0xc00cee4f) | Odpowiedź XML z punktu końcowego WS-Trust zawierała definicję typu dokumentu (DTD). DtD nie jest oczekiwana w odpowiedziach XML i analizowanie odpowiedzi kończy się niepowodzeniem, jeśli zostanie uwzględniona jednostka DTD. Uwaga: WS-Trust jest wymagany do uwierzytelniania federacyjnego. |
Typowe kody błędów serwera
Kod błędu | Przyczyna | Rozwiązanie |
---|---|---|
AADSTS50155: Uwierzytelnianie urządzenia nie powiodło się | Postępuj zgodnie z instrukcjami dotyczącymi tego problemu w często zadawanych pytaniach dotyczących zarządzania urządzeniami firmy Microsoft, aby ponownie zarejestrować urządzenie na podstawie typu sprzężenia urządzenia. | |
AADSTS50034: konto Account użytkownika nie istnieje w tenant id katalogu |
Identyfikator Entra firmy Microsoft nie może odnaleźć konta użytkownika w dzierżawie. | |
AADSTS50126: Błąd podczas sprawdzania poprawności poświadczeń z powodu nieprawidłowej nazwy użytkownika lub hasła. | Aby uzyskać nowy prT przy użyciu nowych poświadczeń, poczekaj na zakończenie synchronizacji haseł firmy Microsoft Entra. |
Typowe kody błędów sieci
Kod błędu | Przyczyna | Rozwiązanie |
---|---|---|
ERROR_WINHTTP_TIMEOUT (12002) ERROR_WINHTTP_NAME_NOT_RESOLVED (12007) ERROR_WINHTTP_CANNOT_CONNECT (12029) ERROR_WINHTTP_CONNECTION_ERROR (12030) |
Typowe ogólne problemy związane z siecią. | Uzyskaj więcej kodów błędów sieci. |
Krok 4. Zbieranie dzienników
Regularne dzienniki
- Przejdź do strony , https://aka.ms/icesdptool aby automatycznie pobrać plik .cab zawierający narzędzie diagnostyczne.
- Uruchom narzędzie i wykonaj ponownie scenariusz.
- W przypadku śladów programu Fiddler zaakceptuj wyskakujące żądania certyfikatów.
- Kreator wyświetli monit o podanie hasła w celu zabezpieczenia plików śledzenia. Podaj hasło.
- Na koniec otwórz folder, w którym są przechowywane wszystkie zebrane dzienniki, takie jak %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
- Skontaktuj się z pomocą techniczną z zawartością najnowszego pliku .cab .
Ślady sieci
Uwaga
Podczas zbierania śladów sieci ważne jest, aby nie używać programu Fiddler podczas ponownego odtworzenia.
- Uruchom program
netsh trace start scenario=internetClient_dbg capture=yes persistent=yes
. - Zablokuj i odblokuj urządzenie. W przypadku urządzeń przyłączonych hybrydowo poczekaj co najmniej minutę, aby umożliwić ukończenie zadania pozyskiwania PRT.
- Uruchom program
netsh trace stop
. - Udostępnij plik nettrace.cab pomocy technicznej.
Znane problemy
Jeśli masz połączenie z hotspotem mobilnym lub zewnętrzną siecią Wi-Fi i przejdź do pozycji Ustawienia>Konta>uzyskaj dostęp do miejsca pracy lub szkoły, urządzenia dołączone hybrydowo do firmy Microsoft Entra mogą wyświetlać dwa różne konta, jedno dla identyfikatora Microsoft Entra i jedno dla lokalnej usługi AD. Ten problem z interfejsem użytkownika nie ma wpływu na funkcjonalność.
Powiązana zawartość
- Rozwiązywanie problemów z urządzeniami przy użyciu
dsregcmd
polecenia . - Przejdź do narzędzia wyszukiwania błędów firmy Microsoft.