Устранение неполадок с устройствами с помощью команды dsregcmd

  • Статья

В этой статье описывается, как использовать выходные данные команды dsregcmd для понимания состояния устройств в идентификаторе Microsoft Entra. Служебную программу dsregcmd /status следует запускать из учетной записи пользователя домена.

Состояние устройства

В этом разделе перечислены параметры, которые относятся к состоянию присоединения устройства. Условия, необходимые для того, чтобы устройство находилось в том или ином состоянии присоединения, перечислены в следующей таблице.

AzureAdJoined EnterpriseJoined DomainJoined Состояние устройства
Да Нет Нет присоединены к Microsoft Entra;
Нет Нет Да Присоединено к домену
Да Нет Да имеют гибридное присоединение к Microsoft Entra;
Нет Да Да Присоединено к локальной DRS

Примечание.

Состояние "Присоединено к рабочему месту" (зарегистрировано в Microsoft Entra) отображается в разделе "Состояние пользователя".

  • AzureAdJoined: задайте состояние YES , если устройство присоединено к идентификатору Microsoft Entra. В противном случае задайте для состояния значение NO.
  • EnterpriseJoined: задайте значение YES, если устройство присоединено к локальной службе репликации данных (DRS). Устройство не может быть одновременно EnterpriseJoined и AzureAdJoined.
  • DomainJoined: задайте значение состояния YES, если устройство присоединено к домену (Active Directory).
  • DomainName: укажите состояние имени домена, если устройство присоединено к домену.

Пример выходных данных о состоянии устройства

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Сведения об устройстве

Состояние отображается только в том случае, если устройство присоединено к Microsoft Entra или гибридное присоединение к Microsoft Entra (не зарегистрировано в Microsoft Entra). В этом разделе перечислены сведения об идентификации устройства, хранящиеся в идентификаторе Microsoft Entra.

  • DeviceId: уникальный идентификатор устройства в клиенте Microsoft Entra.
  • Thumbprint: отпечаток сертификата устройства.
  • DeviceCertificateValidity: состояние действительности сертификата устройства.
  • KeyContainerId: контейнер идентификатор закрытого ключа устройства, связанного с сертификатом устройства.
  • KeyProvider: KeyProvider (оборудование или программное обеспечение), используемый для хранения закрытого ключа устройства.
  • TpmProtected: задано значение состояния YES, если закрытый ключ устройства хранится в аппаратном доверенном платформенном модуле.
  • DeviceAuthStatus: выполняет проверка для определения работоспособности устройства в идентификаторе Microsoft Entra. Состояния работоспособности:
    • SUCCESS , если устройство присутствует и включено в идентификаторе Microsoft Entra.
    • FAILED. Устройство отключено или удалено Значение , если устройство отключено или удалено. Дополнительные сведения об этой проблеме см. в разделе часто задаваемые вопросы об управлении устройствами Microsoft Entra.
    • FAILED. ОШИБКА Значение , если тест не удалось выполнить. Для этого теста требуется сетевое подключение к идентификатору Microsoft Entra в контексте системы.

    Примечание.

    Поле DeviceAuthStatus было добавлено в обновление Windows 10 за май 2021 года (версия 21H1).

  • Виртуальный рабочий стол. Существует три случая, когда это отображается.
    • NOT SET — метаданные устройства VDI отсутствуют на устройстве.
    • ДА. Метаданные устройства VDI присутствуют, а выходные данные dsregcmd, связанные с метаданными, включая:
      • Поставщик: имя поставщика VDI.
      • Тип: постоянный VDI или непрестойчивый VDI.
      • Режим пользователя: один пользователь или несколько пользователей.
      • Расширения: количество пар значений ключей в необязательных метаданных конкретного поставщика, а затем пары "значение ключа".
    • НЕДОПУСТИМО. Метаданные устройства VDI присутствуют, но не заданы правильно. В этом случае dsregcmd выводит неверные метаданные.

Пример вывода сведений об устройстве

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : e92325d0-xxxx-xxxx-xxxx-94ae875dxxxx
                Thumbprint : D293213EF327483560EED8410CAE36BB67208179
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 13e68a58-xxxx-xxxx-xxxx-a20a2411xxxx
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Сведения о клиенте

Сведения о клиенте отображаются только в том случае, если устройство присоединено к Microsoft Entra или гибридное присоединение к Microsoft Entra, а не Microsoft Entra зарегистрировано. В этом разделе перечислены общие сведения о клиенте, отображаемые при присоединении устройства к идентификатору Microsoft Entra.

Примечание.

Если URL-адреса управления мобильными устройствами (MDM) в этом разделе пустые, это означает, что либо параметры MDM не настроены, либо текущий пользователь не находится в области регистрации MDM. Проверьте параметры мобильности в идентификаторе Microsoft Entra, чтобы просмотреть конфигурацию MDM.

Даже если URL-адреса MDM видны, это не означает, что устройство управляется MDM. Сведения отображаются, если у клиента есть конфигурация MDM для автоматической регистрации, даже если само устройство не управляется.

Пример вывода сведений о клиенте

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : 96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVxxxxIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyxxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Состояние пользователя

В этом разделе перечислены сведения о состоянии различных атрибутов для пользователей, которые в данный момент вошли в систему на устройстве.

Примечание.

Чтобы получить допустимое состояние, команда должна быть выполнена в контексте пользователя.

  • NgcSet: задайте значение состояния YES, если для текущего вошедшего в систему пользователя задан ключ Windows Hello.
  • NgcKeyId: идентификатор ключа Windows Hello, если он задан для текущего вошедшего в систему пользователя.
  • CanReset: указывает, может ли пользователь сбросить ключ Windows Hello.
  • Возможные значения: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive или Unknown в случае ошибки.
  • WorkplaceJoined: задайте состояние YES , если зарегистрированные учетные записи Microsoft Entra были добавлены на устройство в текущем контексте NTUSER.
  • WamDefaultSet: задайте значение состояния YES, если для вошедшего в систему пользователя создается WebAccount WAM по умолчанию. В этом поле может отображаться сообщение об ошибке, если dsregcmd /status запускается из командной строки с повышенными привилегиями.
  • WamDefaultAuthority: задайте состояние организациям для идентификатора Microsoft Entra.
  • WamDefaultId: всегда используется https://login.microsoft.com для идентификатора Microsoft Entra.
  • WamDefaultGUID: GUID поставщика WAM (идентификатор Microsoft Entra ID/ учетная запись Майкрософт) для идентификатора WAM WebAccount по умолчанию.

Пример выходных данных о состоянии пользователя

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Состояние единого входа

Этот раздел можно игнорировать для зарегистрированных устройств Microsoft Entra.

Примечание.

Чтобы получить допустимое состояние для этого пользователя, команда должна быть выполнена в контексте пользователя.

  • AzureAdPrt: задайте значение состояния YES, если на устройстве есть основной маркер обновления (PRT) для вошедшего в систему пользователя.
  • AzureAdPrtUpdateTime: задайте состояние времени в формате UTC при последнем обновлении PRT.
  • AzureAdPrtExpiryTime: задайте в формате UTC время истечения срока действия PRT при отсутствии продления.
  • AzureAdPrtAuthority: URL-адрес центра Записи Майкрософт
  • EnterprisePrt: задайте значение состояния YES, если на устройстве есть PRT из локальных служб федерации Active Directory (AD FS). Для гибридных устройств, присоединенных к Microsoft Entra, устройство может иметь PRT как из идентификатора Microsoft Entra, так и локальная служба Active Directory одновременно. Локальные присоединенные устройства имеют только корпоративный PRT.
  • EnterprisePrtUpdateTime: задайте в формате UTC время последнего обновления корпоративного PRT.
  • EnterprisePrtExpiryTime: задайте в формате UTC время истечения срока действия PRT при отсутствии продления.
  • EnterprisePrtAuthority: URL-адрес центра AD FS.

Примечание.

Следующие поля диагностики PRT были добавлены в обновление Windows 10 за май 2021 года (версия 21H1).

  • Диагностика сведения, отображаемые в поле AzureAdPrt, — для приобретения или обновления Microsoft Entra PRT, а диагностика сведения, отображаемые в поле EnterprisePrt, — для приобретения или обновления enterprise PRT.
  • Диагностическая информация отображается только в том случае, если произошел сбой получения или обновления после последнего успешного обновления PRT (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    На общем устройстве эта диагностическая информация может описывать попытки входа другого пользователя.
  • AcquirePrtDiagnostics: задайте значение состояния PRESENT, если получаемая диагностическая информация о PRT находится в журналах.
    • Это поле пропускается, если диагностическая информация недоступна.
  • Previous Prt Attempt: местное время в формате UTC, когда произошла неудачная попытка получить или обновить PRT.
  • Attempt Status: возвращенный код ошибки клиента (HRESULT).
  • User Identity: имя субъекта-пользователя, для которого произошла попытка получить или обновить PRT.
  • Тип учетных данных: учетные данные, используемые для получения или обновления PRT. Распространенными типами учетных данных являются пароль и учетные данные следующего поколения (NGC) (для Windows Hello).
  • Идентификатор корреляции: идентификатор корреляции, отправленный сервером для неудачной попытки PRT.
  • Endpoint URI: последняя конечная точка, к которой был осуществлен доступ до сбоя.
  • Метод HTTP: метод HTTP, используемый для доступа к конечной точке.
  • HTTP Error: код ошибки транспорта WinHttp. Получение других кодов ошибок сети.
  • Состояние HTTP: состояние HTTP, возвращаемое конечной точкой.
  • Server Error Code: код ошибки с сервера.
  • Server Error Description: сообщение об ошибке с сервера.
  • RefreshPrtDiagnostics: задайте значение состояния PRESENT, если получаемая диагностическая информация о PRT находится в журналах.
    • Это поле пропускается, если диагностическая информация недоступна.
    • Поля сведений диагностика совпадают с Полями сведений AcquirePrtDiagnostics.

Примечание.

В исходном выпуске Windows 11 (версия 21H2) добавлены следующие поля диагностика Cloud Kerberos.

  • OnPremTgt: задайте состояние YES , если билет Cloud Kerberos для доступа к локальным ресурсам присутствует на устройстве для пользователя, вошедшего в систему.
  • CloudTgt: задайте состояние YES , если билет Cloud Kerberos для доступа к облачным ресурсам присутствует на устройстве для пользователя, вошедшего в систему.
  • KerbTopLevelNames: список имен областей Kerberos верхнего уровня для Cloud Kerberos.

Пример выходных данных состояния единого входа

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : 63648321-fc5c-46eb-996e-ed1f3ba7740f
              Endpoint URI : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Диагностические данные

Диагностика перед присоединением

Этот раздел диагностика отображается только в том случае, если устройство присоединено к домену и не может присоединиться к гибридному соединению Microsoft Entra.

В этом разделе выполняются различные тесты, помогающие диагностировать сбои при присоединении. Сведения включают в себя: этап ошибки, код ошибки, идентификатор запроса сервера, состояние HTTP ответа сервера и сообщение об ошибке ответа сервера.

  • User Context: контекст, в котором выполняется диагностика. Возможные значения: СИСТЕМА, пользователь БЕЗ ПОВЫШЕННЫХ ПРИВИЛЕГИЙ, пользователь С ПОВЫШЕННЫМИ ПРИВИЛЕГИЯМИ.

    Примечание.

    Так как фактическое присоединение выполняется в контексте SYSTEM, выполнение диагностики в контексте SYSTEM наиболее близко к сценарию фактического присоединения. Чтобы запустить диагностику в контексте SYSTEM, команда dsregcmd /status должна быть выполнена в командной строке с повышенными привилегиями.

  • Client Time: системное время в формате UTC.

  • AD Connectivity Test: в ходе теста проверяется подключение к контроллеру домена. Ошибка в этом тесте, скорее всего, приводит к ошибкам соединения на этапе предварительного проверка.

  • AD Configuration Test: этот тест считывает и проверяет, правильно ли настроен объект точки подключения службы (SCP) в локальном лесу Active Directory. Ошибки в этом тесте, скорее всего, приведут к ошибкам присоединения на этапе обнаружения с кодом ошибки 0x801c001d.

  • DRS Discovery Test: тест получает конечные точки DRS из конечной точки метаданных обнаружения и выполняет запрос области пользователя. Ошибки в этом тесте, скорее всего, приведут к ошибкам подсоединения на этапе обнаружения.

  • DRS Connectivity Test: тест выполняет базовую проверку возможности подключения к конечной точке DRS.

  • Тест получения маркера. Этот тест пытается получить маркер проверки подлинности Microsoft Entra, если клиент пользователя федеративный. Ошибки в этом тесте, скорее всего, приведут к ошибкам подсоединения на этапе проверки подлинности. Если проверка подлинности завершается ошибкой, при попытке синхронизировать соединение выполняется в качестве резервной копии, если резервное восстановление не отключено со следующими параметрами раздела реестра:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
Value: FallbackToSyncJoin
Type:  REG_DWORD
Value: 0x0 -> Disabled
Value: 0x1 -> Enabled
Default (No Key): Enabled

  • Fallback to Sync-Join: задайте значение состояния Enabled, если не задан указанный выше раздел реестра для предотвращения отката к синхронизированному присоединению в случае сбоя проверки подлинности. Этот параметр доступен в Windows 10 версии 1803 и более поздних.

  • Previous Registration: время предыдущей попытки присоединения. Регистрируются только неудачные попытки присоединения.

  • Error Phase: этап присоединения, на котором оно было прервано. Возможные значения: pre-check, discover, auth и join.

  • Client ErrorCode: возвращен код ошибки клиента (HRESULT).

  • Код ошибки сервера: код ошибки сервера, отображаемый, если запрос был отправлен серверу, а сервер ответил кодом ошибки.

  • Сообщение сервера: сообщение сервера, возвращенное вместе с кодом ошибки.

  • Состояние https: состояние HTTP, возвращаемое сервером.

  • ИД запроса: клиентский идентификатор запроса, отправленный на сервер. Идентификатор запроса удобно использовать для сопоставления с журналами на стороне сервера.

Пример выходных данных диагностики перед присоединением

В следующем примере показан сбой диагностического теста с ошибкой обнаружения.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

В следующем примере показаны диагностические тесты, которые были пройдены, но при этом попытка регистрации завершилась ошибкой каталога, ожидаемой для синхронизированного присоединения. После завершения задания синхронизации Microsoft Entra Подключение устройство сможет присоединиться.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Диагностика перед присоединением

В этом диагностика разделе отображаются выходные данные проверка, выполненные на устройстве, присоединенном к облаку.

  • AadRecoveryEnabled: если значение равно YES, ключи, хранящиеся на устройстве, не будут использоваться и устройство будет отмечено для восстановления. Следующий вход запустит поток восстановления и повторно зарегистрирует устройство.
  • KeySignTest: если значение равно PASSED, то ключи устройства находятся в работоспособном состоянии. Если тест KeySignTest не пройден, устройство обычно помечают для восстановления. Следующий вход запустит поток восстановления и повторно зарегистрирует устройство. Для гибридных устройств, присоединенных к Microsoft Entra, восстановление выполняется автоматически. Хотя устройства присоединены к Microsoft Entra или зарегистрированы в Microsoft Entra, они запрашивают проверку подлинности пользователей для восстановления и повторной регистрации устройства при необходимости.

    Примечание.

    Для KeySignTest требуется более высокий уровень привилегий.

Пример выходных данных диагностики после присоединения

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Проверка предварительных требований для NGC

В этом разделе диагностики выполняется проверка предварительных требований для настройки Windows Hello для бизнеса (WHFB).

Примечание.

Сведения о предварительных требованиях для NGC могут не отображаться в dsregcmd /status, если пользователь уже успешно настроил WHFB.

  • IsDeviceJoined: задайте состояние YES , если устройство присоединено к идентификатору Microsoft Entra.
  • IsUserAzureAD: задайте состояние YES , если пользователь, вошедший в систему, присутствует в идентификаторе Microsoft Entra.
  • PolicyEnabled: задайте значение состояния YES, если на устройстве включена политика WHFB.
  • PostLogonEnabled: задайте значение состояния YES, если регистрация WHFB активируется самой платформой. Если задано значение NO, это означает, что регистрация Windows Hello для бизнеса активируется настраиваемым механизмом.
  • DeviceEligible: задайте значение состояния YES, если устройство соответствует требованиям к оборудованию для регистрации с помощью WHFB.
  • SessionIsNotRemote: задайте значение состояния YES, если текущий пользователь выполнил вход непосредственно на устройстве, а не удаленно.
  • CertEnrollment: этот параметр относится к развертыванию доверия сертификата WHFB, указывая центр регистрации сертификатов для WHFB. Задайте в качестве значения состояния enrollment authority, если источником политики WHFB является групповая политика, или задайте mobile device management, если источником является MDM. Если ни один из этих источников не применяется, установите для состояния значение none.
  • AdfsRefreshToken: этот параметр относится к развертыванию доверия сертификатов WHFB и предоставляется только в том случае, если состояние CertEnrollment — enrollment authority. Данный параметр указывает, имеет ли устройство корпоративный PRT для пользователя.
  • AdfsRaIsReady: этот параметр относится к развертыванию доверия сертификатов WHFB и предоставляется только в том случае, если состояние CertEnrollment — enrollment authority. Задайте значение YES, если AD FS указывают в метаданных обнаружения, что поддерживается WHFB, и доступен шаблон сертификата для входа.
  • LogonCertTemplateReady: этот параметр относится к развертыванию доверия сертификатов WHFB и предоставляется только в том случае, если состояние CertEnrollment — enrollment authority. Задайте для состояния значение YES, если шаблон сертификата для входа является допустимым и помогает устранить неполадки с центром регистрации AD FS.
  • PreReqResult: предоставляет результат всей оценки предварительных требований для WHFB. Задайте значение Will Provision, если регистрация WHFB будет запускаться как задача после входа при следующем входе пользователя в систему.

Примечание.

В обновление Windows 10 мая 2021 г. (версия 21H1) добавлены следующие поля диагностика Cloud Kerberos.

До Windows 11 версии 23H2 параметр OnPremTGT был назван CloudTGT.

  • OnPremTGT: этот параметр относится к развертыванию доверия Cloud Kerberos и присутствует только в том случае, если состояние CertEnrollment отсутствует. Задайте состояние YES , если у устройства есть билет Cloud Kerberos для доступа к локальным ресурсам. До Windows 11 версии 23H2 этот параметр был назван CloudTGT.

Пример выходных данных проверки предварительных требований для NGC

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Следующие шаги

Перейдите к средству поиска ошибок (Майкрософт).