dsregcmd komutunu kullanarak cihazlarda sorun giderme

  • Makale

Bu makalede, Microsoft Entra Id'deki cihazların durumunu anlamak için komutun dsregcmd çıktısının nasıl kullanılacağı anlatlanmaktadır. Yardımcı dsregcmd /status program bir etki alanı kullanıcı hesabı olarak çalıştırılmalıdır.

Cihaz durumu

Bu bölümde cihaz birleştirme durumu parametreleri listelenir. Cihazın çeşitli birleşim durumlarında olması için gereken ölçütler aşağıdaki tabloda listelenmiştir:

AzureAdJoined EnterpriseJoined DomainJoined Cihaz durumu
EVET HAYIR HAYIR Microsoft Entra ortamına katılan
HAYIR HAYIR EVET Etki Alanına Katıldı
EVET HAYIR EVET Microsoft Entra ortamına katılan hibrit
HAYIR EVET EVET Şirket içi DRS'ye Katıldı

Dekont

Çalışma Alanına Katılmış (Microsoft Entra kayıtlı) durumu "Kullanıcı durumu" bölümünde görüntülenir.

  • AzureAdJoined: Cihaz Microsoft Entra ID'ye katılmışsa durumu EVET olarak ayarlayın. Aksi takdirde, durumu HAYIR olarak ayarlayın.
  • EnterpriseJoined: Cihaz bir şirket içi veri çoğaltma hizmetine (DRS) katılmışsa durumu EVET olarak ayarlayın. Bir cihaz hem EnterpriseJoined hem de AzureAdJoined olamaz.
  • Etki Alanına Katıldı: Cihaz bir etki alanına (Active Directory) katılmışsa durumu EVET olarak ayarlayın.
  • DomainName: Cihaz bir etki alanına katılmışsa, durumu etki alanının adı olarak ayarlayın.

Örnek cihaz durumu çıkışı

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Cihaz ayrıntıları

Durum yalnızca cihaz Microsoft Entra'ya katılmış veya Microsoft Entra karma katılmışsa (Microsoft Entra kayıtlı değil) görüntülenir. Bu bölümde, Microsoft Entra Id'de depolanan cihaz tanımlama ayrıntıları listelenir.

  • DeviceId: Microsoft Entra kiracısında cihazın benzersiz kimliği.
  • Parmak izi: Cihaz sertifikasının parmak izi.
  • DeviceCertificateValidity: Cihaz sertifikasının geçerlilik durumu.
  • KeyContainerId: Cihaz sertifikasıyla ilişkili cihaz özel anahtarının containerId değeri.
  • KeyProvider: Cihaz özel anahtarını depolamak için kullanılan KeyProvider (Donanım/Yazılım).
  • TpmProtected: Cihaz özel anahtarı bir donanım Güvenilen Platform Modülü'nde (TPM) depolanıyorsa durum EVET olarak ayarlanır.
  • DeviceAuthStatus: Microsoft Entra Id'de cihazın durumunu belirlemek için bir denetim gerçekleştirir. Sistem durumu:
    • Cihaz mevcutsa ve Microsoft Entra Id'de etkinleştirildiyse BAŞARI .
    • BAŞARISIZ. Cihaz devre dışı bırakıldı veya silindi cihaz devre dışı bırakıldıysa veya silindiyse. Bu sorun hakkında daha fazla bilgi için bkz . Microsoft Entra cihaz yönetimi hakkında SSS.
    • BAŞARISIZ. HATA test çalıştırılamadıysa. Bu test, sistem bağlamı altında Microsoft Entra Id'ye ağ bağlantısı gerektirir.

    Dekont

    DeviceAuthStatus alanı Windows 10 Mayıs 2021 güncelleştirmesine (sürüm 21H1) eklendi.

  • Sanal Masaüstü: Bunun göründüğü üç durum vardır.
    • AYARLANMADI - VDI cihaz meta verileri cihazda yok.
    • EVET - VDI cihaz meta verileri mevcut ve aşağıdakiler dahil olmak üzere dsregcmd ile ilişkili meta veriler çıktıları:
      • Sağlayıcı: VDI satıcısının adı.
      • Tür: Kalıcı VDI veya kalıcı olmayan VDI.
      • Kullanıcı modu: Tek kullanıcı veya çok kullanıcılı.
      • Uzantılar: İsteğe bağlı satıcıya özgü meta verilerdeki anahtar değer çiftlerinin sayısı ve ardından anahtar değer çiftleri.
    • INVALID - VDI cihaz meta verileri var ancak doğru ayarlanmadı. Bu durumda, dsregcmd yanlış meta verileri çıkışlar.

Örnek cihaz ayrıntıları çıkışı

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : e92325d0-xxxx-xxxx-xxxx-94ae875dxxxx
                Thumbprint : D293213EF327483560EED8410CAE36BB67208179
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 13e68a58-xxxx-xxxx-xxxx-a20a2411xxxx
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Kiracı ayrıntıları

Kiracı ayrıntıları yalnızca cihaz Microsoft Entra'ya katılmış veya Microsoft Entra karmaya katılmış olduğunda görüntülenir; Microsoft Entra kayıtlı değildir. Bu bölümde, bir cihaz Microsoft Entra Id'ye katıldığında görüntülenen yaygın kiracı ayrıntıları listelenir.

Dekont

Bu bölümdeki mobil cihaz yönetimi (MDM) URL alanları boşsa, MDM'nin yapılandırılmadığını veya geçerli kullanıcının MDM kaydı kapsamında olmadığını gösterir. MDM yapılandırmanızı gözden geçirmek için Microsoft Entra Id'deki Mobility ayarlarını denetleyin.

MDM URL'lerini görüyor olsanız bile bu, cihazın bir MDM tarafından yönetildiğini göstermez. Cihaz yönetilmiyor olsa bile kiracıda otomatik kayıt için MDM yapılandırması varsa bilgiler görüntülenir.

Örnek kiracı ayrıntıları çıktısı

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : 96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVxxxxIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyxxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Kullanıcı durumu

Bu bölümde, cihazda oturum açmış olan kullanıcılar için çeşitli özniteliklerin durumları listelenir.

Dekont

Geçerli bir durum almak için komutun kullanıcı bağlamında çalışması gerekir.

  • NgcSet: Geçerli oturum açmış kullanıcı için bir Windows Hello anahtarı ayarlandıysa durumu EVET olarak ayarlayın.
  • NgcKeyId: Geçerli oturum açmış kullanıcı için ayarlanmışsa Windows Hello anahtarının kimliği.
  • CanReset: Windows Hello anahtarının kullanıcı tarafından sıfırlanıp sıfırlanamadığını belirtir.
  • Olası değerler: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive veya Unknown if error.
  • WorkplaceJoined: Microsoft Entra kayıtlı hesapları geçerli NTUSER bağlamında cihaza eklendiyse durumu EVET olarak ayarlayın.
  • WamDefaultSet: Oturum açan kullanıcı için bir Web Hesabı Yöneticisi (WAM) varsayılan WebAccount oluşturulduysa durumu EVET olarak ayarlayın. Bu alan, yükseltilmiş bir komut isteminden çalıştırılırsa dsregcmd /status bir hata görüntüleyebilir.
  • WamDefaultAuthority: Microsoft Entra Id için durumu kuruluşlar olarak ayarlayın.
  • WamDefaultId: Her zaman Microsoft Entra Id için kullanın https://login.microsoft.com .
  • WamDefaultGUID: Varsayılan WAM WebAccount için WAM sağlayıcısının (Microsoft Entra Kimliği / Microsoft hesabı) GUID'si.

Örnek kullanıcı durumu çıkışı

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {FA0DB076-A5D7-4844-82D8-50A2FB42EC7B}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

SSO durumu

Microsoft Entra kayıtlı cihazlar için bu bölümü yoksayabilirsiniz.

Dekont

Bu kullanıcının geçerli durumunu almak için komutun bir kullanıcı bağlamında çalışması gerekir.

  • AzureAdPrt: Oturum açmış kullanıcının cihazında Birincil Yenileme Belirteci (PRT) varsa durumu EVET olarak ayarlayın.
  • AzureAdPrtUpdateTime: PrT'nin en son güncelleştirildiği zamanı Eşgüdümlü Evrensel Saat (UTC) cinsinden saat olarak ayarlayın.
  • AzureAdPrtExpiryTime: Yenilenmediği takdirde PRT'nin süresinin dolacağını utc olarak ayarlayın.
  • AzureAdPrtAuthority: Microsoft Entra yetkilisi URL'si
  • EnterprisePrt: Cihazın şirket içi Active Directory Federasyon Hizmetleri'nden (AD FS) bir PRT'si varsa durumu EVET olarak ayarlayın. Microsoft Entra hibrite katılmış cihazlar için cihazda hem Microsoft Entra Id hem de şirket içi Active Directory aynı anda bir PRT olabilir. Şirket içi katılmış cihazların yalnızca Kurumsal PRT'leri vardır.
  • EnterprisePrtUpdateTime: Durumu, Kurumsal PRT'nin en son güncelleştirildiği UTC olarak ayarlayın.
  • EnterprisePrtExpiryTime: Yenilenmediği takdirde PRT'nin süresinin dolacağını utc olarak ayarlayın.
  • EnterprisePrtAuthority: AD FS yetkilisi URL'si

Dekont

Aşağıdaki PRT tanılama alanları Windows 10 Mayıs 2021 güncelleştirmesine (sürüm 21H1) eklenmiştir.

  • AzureAdPrt alanında görüntülenen tanılama bilgileri Microsoft Entra PRT alma veya yenileme, EnterprisePrt alanında görüntülenen tanılama bilgileri ise Kurumsal PRT alma veya yenileme içindir.
  • Tanılama bilgileri yalnızca alma veya yenileme hatasının son başarılı PRT güncelleştirme zamanından (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime) sonra olması durumunda görüntülenir.
    Paylaşılan bir cihazda, bu tanılama bilgileri farklı bir kullanıcının oturum açma girişiminden kaynaklanıyor olabilir.
  • AcquirePrtDiagnostics: Alınan PRT tanılama bilgileri günlüklerde mevcutsa durumu PRESENT olarak ayarlayın.
    • Kullanılabilir tanılama bilgisi yoksa bu alan atlanır.
  • Önceki Çekme İsteği Denemesi: Başarısız PRT girişiminin gerçekleştiği UTC'deki yerel saat.
  • Deneme Durumu: Döndürülen istemci hata kodu (HRESULT).
  • Kullanıcı Kimliği: PRT girişiminin gerçekleştiği kullanıcının UPN'si.
  • Kimlik Bilgisi Türü: PRT'yi almak veya yenilemek için kullanılan kimlik bilgisi. Parola ve Yeni Nesil Kimlik Bilgileri (NGC) (Windows Hello için) yaygın kimlik bilgileri türleridir.
  • Bağıntı Kimliği: Başarısız PRT girişimi için sunucu tarafından gönderilen bağıntı kimliği.
  • Uç nokta URI'si: Hatadan önce erişilen son uç nokta.
  • HTTP Yöntemi: Uç noktaya erişmek için kullanılan HTTP yöntemi.
  • HTTP Hatası: WinHttp aktarım hata kodu. Diğer ağ hata kodlarını alın.
  • HTTP Durumu: Uç nokta tarafından döndürülen HTTP durumu.
  • Sunucu Hata Kodu: Sunucudan gelen hata kodu.
  • Sunucu Hata Açıklaması: Sunucudan gelen hata iletisi.
  • RefreshPrtDiagnostics: Alınan PRT tanılama bilgileri günlüklerde mevcutsa durumu PRESENT olarak ayarlayın.
    • Kullanılabilir tanılama bilgisi yoksa bu alan atlanır.
    • Tanılama bilgileri alanları AcquirePrtDiagnostics ile aynıdır.

Dekont

Windows 11'in özgün sürümünde (sürüm 21H2) aşağıdaki Bulut Kerberos tanılama alanları eklenmiştir.

  • OnPremTgt: Oturum açmış kullanıcının cihazda şirket içi kaynaklara erişmek için bir Bulut Kerberos bileti varsa durumu EVET olarak ayarlayın.
  • CloudTgt: Oturum açmış kullanıcının cihazda bulut kaynaklarına erişmek için bir Bulut Kerberos bileti varsa durumu EVET olarak ayarlayın.
  • KerbTopLevelNames: Cloud Kerberos için en üst düzey Kerberos bölge adlarının listesi.

Örnek SSO durum çıkışı

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : 63648321-fc5c-46eb-996e-ed1f3ba7740f
              Endpoint URI : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Tanılama verileri

Birleştirme öncesi tanılama

Bu tanılama bölümü yalnızca cihaz etki alanına katılmışsa ve Microsoft Entra karma katılımına katılamıyorsa görüntülenir.

Bu bölüm, birleştirme hatalarını tanılamaya yardımcı olmak için çeşitli testler gerçekleştirir. Bilgiler şunlardır: hata aşaması, hata kodu, sunucu isteği kimliği, sunucu yanıtı HTTP durumu ve sunucu yanıtı hata iletisi.

  • Kullanıcı Bağlamı: Tanılamaların çalıştırıldığı bağlam. Olası değerler: SYSTEM, UN-ELEVATED User, ELEVATED User.

    Dekont

    Gerçek birleştirme SİSTEM bağlamında gerçekleştirildiğinden, tanılamayı SİSTEM bağlamında çalıştırmak gerçek birleştirme senaryosuna en yakın olandır. Tanılamayı SİSTEM bağlamında çalıştırmak için komutun dsregcmd /status yükseltilmiş bir komut isteminden çalıştırılması gerekir.

  • İstemci Saati: UTC olarak sistem saati.

  • AD Bağlan ivity Test: Bu test, etki alanı denetleyicisine bir bağlantı testi gerçekleştirir. Bu testteki bir hata büyük olasılıkla ön denetim aşamasında birleştirme hatalarıyla sonuçlanır.

  • AD Yapılandırma Testi: Bu test, Service Bağlan ion Point (SCP) nesnesinin şirket içi Active Directory ormanında düzgün yapılandırılıp yapılandırılmadığını okur ve doğrular. Bu testteki hatalar büyük olasılıkla bulma aşamasında birleştirme hatalarıyla sonuçlanır ve hata kodu 0x801c001d.

  • DRS Bulma Testi: Bu test, bulma meta verileri uç noktasından DRS uç noktalarını alır ve bir kullanıcı bölgesi isteği gerçekleştirir. Bu testteki hatalar büyük olasılıkla bulma aşamasında birleştirme hatalarıyla sonuçlanır.

  • DRS Bağlan Ivity Test: Bu test, DRS uç noktasına yönelik temel bir bağlantı testi gerçekleştirir.

  • Belirteç Alma Testi: Bu test, kullanıcı kiracısı federasyon durumunda bir Microsoft Entra kimlik doğrulama belirteci almaya çalışır. Bu testteki hatalar büyük olasılıkla kimlik doğrulama aşamasında birleştirme hatalarıyla sonuçlanır. Kimlik doğrulaması başarısız olursa, geri dönüş aşağıdaki kayıt defteri anahtarı ayarlarıyla açıkça devre dışı bırakılmadığı sürece eşitleme-birleştirme geri dönüş olarak denenirse:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
Value: FallbackToSyncJoin
Type:  REG_DWORD
Value: 0x0 -> Disabled
Value: 0x1 -> Enabled
Default (No Key): Enabled

  • Eşitleme-Birleştirmeye Geri Dönüş: Kimlik doğrulama hatalarıyla eşitlemeye geri dönüşü önlemek için önceki kayıt defteri anahtarı mevcut değilse durumu Etkin olarak ayarlayın. Bu seçenek Windows 10 1803 ve sonraki sürümlerde kullanılabilir.

  • Önceki Kayıt: Önceki birleştirme girişiminin gerçekleştiği saat. Yalnızca başarısız birleştirme girişimleri günlüğe kaydedilir.

  • Hata Aşaması: Birleştirmenin durdurulma aşaması. Olası değerler ön denetim, bulma, kimlik doğrulaması ve birleştirmedir.

  • İstemci ErrorCode: İstemci hata kodu döndürüldü (HRESULT).

  • Sunucu Hata Kodu: Sunucuya bir istek gönderildiyse ve sunucu bir hata koduyla yanıt verdiyse, sunucu hata kodu görüntülenir.

  • Sunucu İletisi: Hata koduyla birlikte döndürülen sunucu iletisi.

  • Https Durumu: Sunucu tarafından döndürülen HTTP durumu.

  • İstek Kimliği: Sunucuya gönderilen istemci istek kimliği. İstek kimliği, sunucu tarafı günlükleriyle ilişkilendirmek için kullanışlıdır.

Örnek birleştirme öncesi tanılama çıktısı

Aşağıdaki örnekte bulma hatasıyla başarısız olan bir tanılama testi gösterilmektedir.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

Aşağıdaki örnek, tanılama testlerinin geçtiğini ancak kayıt girişiminin eşitleme-birleştirme için beklenen bir dizin hatasıyla başarısız olduğunu gösterir. Microsoft Entra Bağlan eşitleme işi tamamlandıktan sonra cihaz katılabilir.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Birleştirme sonrası tanılama

Bu tanılama bölümü, buluta katılmış bir cihazda gerçekleştirilen gizlilik denetimlerinin çıkışını görüntüler.

  • AadRecoveryEnabled: Değer EVET ise, cihazda depolanan anahtarlar kullanılamaz ve cihaz kurtarma için işaretlenir. Sonraki oturum açma işlemi kurtarma akışını tetikler ve cihazı yeniden kaydeder.
  • KeySignTest: Değer GEÇİDİyse cihaz anahtarları iyi durumdadır. KeySignTest başarısız olursa, cihaz genellikle kurtarma için işaretlenir. Sonraki oturum açma işlemi kurtarma akışını tetikler ve cihazı yeniden kaydeder. Microsoft Entra hibrite katılmış cihazlar için kurtarma sessizdir. Cihazlar Microsoft Entra'ya katılmış veya Microsoft Entra kayıtlı olsa da, gerekirse cihazı kurtarmak ve yeniden kaydetmek için kullanıcı kimlik doğrulaması ister.

    Dekont

    KeySignTest yükseltilmiş ayrıcalıklar gerektirir.

Örnek birleştirme sonrası tanılama çıkışı

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

NGC önkoşul denetimi

Bu tanılama bölümü, İş İçin Windows Hello (WHFB) ayarlama önkoşulları denetimini gerçekleştirir.

Dekont

Kullanıcı WHFB'yi zaten başarıyla yapılandırdıysa NGC önkoşullarının dsregcmd /status ayrıntıları denetlemesini göremeyebilirsiniz.

  • IsDeviceJoined: Cihaz Microsoft Entra Id'ye katılmışsa durumu EVET olarak ayarlayın.
  • IsUserAzureAD: Oturum açmış kullanıcı Microsoft Entra Id'de mevcutsa durumu EVET olarak ayarlayın.
  • policyEnabled: Cihazda WHFB ilkesi etkinleştirildiyse durumu EVET olarak ayarlayın.
  • PostLogonEnabled: WHFB kaydı platform tarafından yerel olarak tetikleniyorsa durumu EVET olarak ayarlayın. Durum HAYIR olarak ayarlanırsa, İş İçin Windows Hello kaydının özel bir mekanizma tarafından tetiklendiğini gösterir.
  • DeviceEligible: Cihaz WHFB'ye kaydolmak için donanım gereksinimini karşılıyorsa durumu EVET olarak ayarlayın.
  • SessionIsNotRemote: Geçerli kullanıcı uzaktan değil doğrudan cihazda oturum açmışsa durumu EVET olarak ayarlayın.
  • CertEnrollment: Bu ayar WHFB Sertifika Güveni dağıtımına özgüdür ve WHFB için sertifika kayıt yetkilisini belirtir. WHFB ilkesinin kaynağı Grup İlkesi ise durumu kayıt yetkilisi olarak ayarlayın veya kaynak MDM ise mobil cihaz yönetimi olarak ayarlayın. Hiçbir kaynak geçerli değilse, durumu yok olarak ayarlayın.
  • AdfsRefreshToken: Bu ayar WHFB Sertifika Güveni dağıtımına özgüdür ve yalnızca CertEnrollment durumu kayıt yetkilisiyse sunulur. Ayarı, cihazın kullanıcı için kurumsal PRT'ye sahip olup olmadığını gösterir.
  • AdfsRaIsReady: Bu ayar WHFB Sertifika Güveni dağıtımına özgüdür ve yalnızca CertEnrollment durumu kayıt yetkilisiyse sunulur. AD FS bulma meta verilerinde WHFB'yi desteklediğini belirtiyorsa ve oturum açma sertifikası şablonu kullanılabiliyorsa durumu EVET olarak ayarlayın.
  • LogonCertTemplateReady: Bu ayar WHFB Sertifika Güveni dağıtımına özgüdür ve yalnızca CertEnrollment durumu kayıt yetkilisiyse sunulur. Oturum açma sertifikası şablonunun durumu geçerliyse ve AD FS Kayıt Yetkilisi (RA) sorunlarını gidermeye yardımcı olursa durumu EVET olarak ayarlayın.
  • PreReqResult: Tüm WHFB önkoşulları değerlendirmesinin sonucunu sağlar. Kullanıcı bir dahaki sefere oturum açtığında WHFB kaydı oturum açma sonrası görev olarak başlatılacaksa durumu Will Provision olarak ayarlayın.

Dekont

Aşağıdaki Bulut Kerberos tanılama alanları Windows 10 Mayıs 2021 güncelleştirmesine (sürüm 21H1) eklenmiştir.

Windows 11 sürüm 23H2'den önce OnPremTGT ayarı CloudTGT olarak adlandırıldı.

  • OnPremTGT: Bu ayar Bulut Kerberos güven dağıtımına özgüdür ve yalnızca CertEnrollment durumu yok olduğunda sunulur. Cihazın şirket içi kaynaklara erişmek için bir Cloud Kerberos bileti varsa durumu EVET olarak ayarlayın. Windows 11 sürüm 23H2'den önce bu ayar CloudTGT olarak adlandırıldı.

Örnek NGC önkoşulları denetimi çıktısı

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Sonraki adımlar

Microsoft Hata Arama Aracı'na gidin.