疑難排解 Microsoft Entra 混合式加入裝置
本文提供疑難排解指引,協助您解決執行 Windows 10 或更新版本以及 Windows Server 2016 或更新版本裝置的潛在問題。
混合式 Microsoft Entra Join 支援 Windows 10 2015 年 11 月更新和更新版本。
若要針對其他 Windows 用戶端進行疑難排解,請參閱針對已加入混合式 Microsoft Entra 的下層裝置進行疑難排解。
本文章假設您設定已加入混合式 Microsoft Entra 的裝置來支援下列案例:
- 裝置型條件式存取
- 企業狀態漫遊
- Windows Hello 企業版
注意
使用裝置註冊疑難排解員工具,針對常見的裝置註冊問題進行疑難排解。
針對聯結失敗進行疑難排解
步驟 1:擷取加入狀態
- 開啟命令提示字元視窗,以系統管理員身分執行。
- 輸入
dsregcmd /status。
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined: YES
EnterpriseJoined: NO
DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
Thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
KeyProvider: Microsoft Platform Crypto Provider
TpmProtected: YES
KeySignTest: : MUST Run elevated to test.
Idp: login.windows.net
TenantId: aaaabbbb-0000-cccc-1111-dddd2222eeee
TenantName: Contoso
AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl: eyJVc{lots of characters}JdfQ==
JoinSrvVersion: 1.0
JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion: 1.0
KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
DomainJoined: YES
DomainName: CONTOSO
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet: YES
NgcKeyId: {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
WorkplaceJoined: NO
WamDefaultSet: YES
WamDefaultAuthority: organizations
WamDefaultId: https://login.microsoft.com
WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
AzureAdPrt: YES
步驟 2:評估加入狀態
檢閱下表中的欄位,並確定其中包含預期的值:
| 欄位 | 預期值 | 描述 |
|---|---|---|
| DomainJoined | 是 | 此欄位指出裝置是否已加入內部部署 Active Directory。 如果值為 NO,則裝置無法執行混合式 Microsoft Entra 加入。 |
| WorkplaceJoined | 否 | 此欄位指出裝置是否已向 Microsoft Entra ID 註冊為個人裝置 (標示為「已加入工作場所」)。 如果已加入網域的電腦同時加入混合式 Microsoft Entra,此值應為 NO。 如果值為 YES,則在完成混合式 Microsoft Entra 加入之前已新增公司或學校帳戶。 在此情況下,使用 Windows 10 1607 版或更新版本時,會忽略該帳戶。 |
| AzureAdJoined | 是 | 此欄位指出裝置是否已加入。 如果裝置是已加入 Microsoft 的裝置或已加入的混合式 Microsoft Entra 裝置,則值為 YES。 如果值為 NO,則尚未完成加入 Microsoft Entra ID。 |
繼續進行後續步驟,以進行進一步的疑難排解。
步驟 3:尋找聯結失敗的階段,以及錯誤碼
Windows 10 版本 1803 或更新版本
在聯結狀態輸出的 [診斷資料] 區段中,尋找「先前註冊」子區段。 只有當裝置已加入網域且無法加入混合式 Microsoft Entra 時,才會顯示此區段。
「錯誤階段」欄位表示聯結失敗的階段,「用戶端 ErrorCode」表示聯結作業的錯誤碼。
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
適用於舊版 Windows 10
使用事件檢視器記錄來找出聯結失敗的階段和錯誤碼。
- 在事件檢視器中,開啟 [使用者裝置註冊] 事件記錄檔。 其會儲存在 [應用程式和服務記錄]>[Microsoft]>[Windows]>[使用者裝置註冊] 下。
- 尋找具有下列事件識別碼的事件:304、305 和 307。
步驟 4:檢查可能的原因和解決方式
預先檢查階段
失敗的可能原因:
- 裝置無法看到網域控制站。
- 裝置必須在組織的內部網路上,或在可看到內部部署 Active Directory 網域控制站的虛擬私人網路上。
探索階段
失敗的可能原因:
- 服務連接點物件的設定不正確,或無法從網域控制站讀取。
- 裝置所屬的 AD 樹系中必須有有效的服務連接點物件,指向 Microsoft Entra ID 中已驗證的網域名稱。
- 如需詳細資訊,請參閱教學課程:設定適用於同盟網域的混合式 Microsoft Entra Join 的「設定服務連接點」一節。
- 無法連線到探索端點的探索中繼資料並從中擷取。
- 裝置應該要能夠在系統內容中存取
https://enterpriseregistration.windows.net,才能探索註冊和授權端點。 - 如果內部部署環境需要輸出 Proxy,則 IT 管理員必須確定裝置的電腦帳戶能夠探索輸出 Proxy,並能夠以無訊息方式對其進行驗證。
- 裝置應該要能夠在系統內容中存取
- 無法連線到使用者領域端點,也無法進行領域探索 (僅限 Windows 10 1809 版和更新版本)。
- 裝置應該要能夠在系統內容中存取
https://login.microsoftonline.com,才能進行已驗證網域的領域探索,並判斷網域類型 (受控或同盟)。 - 如果內部部署環境需要輸出 Proxy,則 IT 管理員必須確定裝置的系統內容能夠探索輸出 Proxy,並能夠以無訊息方式對其進行驗證。
- 裝置應該要能夠在系統內容中存取
常見的錯誤碼:
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | 無法讀取服務連接點 (SCP) 物件及取得 Microsoft Entra 的租用戶資訊。 | 請參閱設定服務連接點一節。 |
| DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) | 一般探索失敗。 無法從資料複寫服務 (DRS) 取得探索中繼資料。 | 若要進一步調查,請在下一節中找出子錯誤。 |
| DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) | 執行探索時,作業已逾時。 | 確定 https://enterpriseregistration.windows.net 可以在系統內容中存取。 如需詳細資訊,請參閱網路連線需求一節。 |
| DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) | 一般領域探索失敗。 無法從 STS 判斷網域類型 (受控/同盟)。 | 若要進一步調查,請在下一節中找出子錯誤。 |
常見的子錯誤碼:
若要尋找探索錯誤碼的子錯誤碼,請使用下列其中一種方法。
Windows 10 版本 1803 或更新版本
在聯結狀態輸出的 [診斷資料] 區段中,尋找「DRS 探索測試」。 只有當裝置已加入網域且無法加入混合式 Microsoft Entra 時,才會顯示此區段。
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : UN-ELEVATED User
Client Time : 2019-06-05 08:25:29.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
+----------------------------------------------------------------------+
舊版 Windows 10
使用事件檢視器記錄來尋找聯結失敗的階段和錯誤碼。
- 在事件檢視器中,開啟 [使用者裝置註冊] 事件記錄檔。 其會儲存在 [應用程式和服務記錄]>[Microsoft]>[Windows]>[使用者裝置註冊] 下。
- 尋找事件識別碼 201。
網路錯誤:
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) | 無法建立與伺服器的連線。 | 確定與所需 Microsoft 資源之間的網路連線能力。 如需詳細資訊,請參閱網路連線需求。 |
| WININET_E_TIMEOUT (0x80072ee2/-2147012894) | 一般網路逾時。 | 確定與所需 Microsoft 資源之間的網路連線能力。 如需詳細資訊,請參閱網路連線需求。 |
| WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) | 網路堆疊無法解碼伺服器的回應。 | 確定網路 Proxy 沒有干擾和修改伺服器回應。 |
HTTP 錯誤:
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) | 已使用錯誤的租用戶識別碼設定了服務連接點物件,或在租用戶中找不到作用中的訂用帳戶。 | 確認是否已使用正確的 Microsoft Entra 租用戶識別碼設定了服務連接點物件和作用中的訂用帳戶,或服務是否存在於租用戶中。 |
| DSREG_SERVER_BUSY (0x801c0025/-2145648603) | DRS 伺服器的 HTTP 503。 | 伺服器目前無法使用。 伺服器重新上線後,未來的加入嘗試可能會成功。 |
其他錯誤:
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| E_INVALIDDATA (0x8007000d/-2147024883) | 無法剖析伺服器回應 JSON,可能是因為 Proxy 傳回 HTTP 200 與 HTML 授權頁面。 | 如果內部部署環境需要輸出 Proxy,則 IT 管理員必須確定裝置的系統內容能夠探索輸出 Proxy,並能夠以無訊息方式對其進行驗證。 |
驗證階段
此內容僅適用於同盟網域帳戶。
失敗的原因:
- 無法以無訊息方式取得 DRS 資源的存取權杖。
- Windows 10 和 Windows 11 裝置會對作用中 WS-Trust 端點使用整合式 Windows 驗證,從同盟服務取得驗證權杖。 如需詳細資訊,請參閱同盟服務設定。
常見的錯誤碼:
使用事件檢視器記錄來找出錯誤碼、子錯誤碼、伺服器錯誤碼和伺服器錯誤訊息。
- 在事件檢視器中,開啟 [使用者裝置註冊] 事件記錄檔。 其會儲存在 [應用程式和服務記錄]>[Microsoft]>[Windows]>[使用者裝置註冊] 下。
- 尋找事件識別碼 305。
組態錯誤:
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) | Azure AD 驗證程式庫 (ADAL) 驗證通訊協定不是 WS-Trust。 | 內部部署識別提供者必須支援 WS-Trust。 |
| ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) | 內部部署同盟服務不會傳回 XML 回應。 | 請確認中繼資料交換 (MEX) 端點傳回有效的 XML。 請確認 Proxy 未干擾並傳回非 xml 回應。 |
| ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) | 無法探索到使用者名稱/密碼驗證的端點。 | 檢查內部部署識別提供者設定。 請確認 WS-Trust 端點已啟用,且 MEX 回應包含這些正確的端點。 |
網路錯誤:
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) | 一般網路逾時。 | 確定 https://login.microsoftonline.com 可以在系統內容中存取。 確定內部部署識別提供者可在系統內容中存取。 如需詳細資訊,請參閱網路連線需求。 |
| ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) | 已中止與授權端點的連線。 | 在一段時間後重試加入,或嘗試從另一個穩定的網路位置加入。 |
| ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) | 無法驗證服務器所傳送的傳輸層安全性 (TLS) 憑證 (先前稱為安全通訊端層 SSL 憑證)。 | 檢查用戶端時間誤差。 在一段時間後重試加入,或嘗試從另一個穩定的網路位置加入。 |
| ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) | 嘗試連線到 https://login.microsoftonline.com 失敗。 |
請檢查 https://login.microsoftonline.com 的網路連線。 |
其他錯誤:
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) | Microsoft Entra ID 不接受來自內部部署識別提供者的 SAML 權杖。 | 檢查同盟伺服器設定。 在驗證記錄中尋找伺服器錯誤碼。 |
| ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) | 伺服器 WS-Trust 回應報告了錯誤例外狀況,因此無法取得判斷提示。 | 檢查同盟伺服器設定。 在驗證記錄中尋找伺服器錯誤碼。 |
| ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) | 嘗試從權杖端點取得存取權杖時收到錯誤。 | 尋找 ADAL 記錄中的基礎錯誤。 |
| ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) | 一般 ADAL 失敗。 | 從驗證記錄中尋找子錯誤碼或伺服器錯誤碼。 |
加入階段
失敗的原因:
根據您所使用的 Windows 10 版本,尋找下表中的註冊類型和錯誤碼。
Windows 10 版本 1803 或更新版本
在聯結狀態輸出的 [診斷資料] 區段中,尋找「先前註冊」子區段。 只有當裝置已加入網域且無法加入混合式 Microsoft Entra 時,才會顯示此區段。
[註冊類型] 欄位代表加入類型。
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) is not found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
舊版 Windows 10
使用事件檢視器記錄來找出聯結失敗的階段和錯誤碼。
- 在事件檢視器中,開啟 [使用者裝置註冊] 事件記錄檔。 其會儲存在 [應用程式和服務記錄]>[Microsoft]>[Windows]>[使用者裝置註冊] 下。
- 尋找事件識別碼 204。
從 DRS 伺服器傳回的 HTTP 錯誤:
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) | 收到來自 DRS 的錯誤回應,錯誤碼:"DirectoryError"。 | 請參閱伺服器錯誤碼以取得可能的原因和解決方式。 |
| DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) | 收到來自 DRS 的錯誤回應,錯誤碼:"AuthenticationError",而 ErrorSubCode 不是 "DeviceNotFound"。 | 請參閱伺服器錯誤碼以取得可能的原因和解決方式。 |
| DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) | 收到來自 DRS 的錯誤回應,錯誤碼:"DirectoryError"。 | 請參閱伺服器錯誤碼以取得可能的原因和解決方式。 |
TPM 錯誤:
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| NTE_BAD_KEYSET (0x80090016/-2146893802) | 信賴平台模組 (TPM) 作業失敗或無效。 | 此錯誤表示索引鍵集不存在。 當系統上清除 TPM,或發生錯誤的 sysprep 映射時,就會發生此錯誤。 避免在 BIOS 或 Windows 設定中清除 TPM。 如果清除 TPM,使用者可能需要藉由移除和讀取帳戶來修復問題,特別是當他們有多個 WAM 帳戶時。 請確定建立 sysprep 映射的電腦不是已加入 Microsoft Entra、已加入混合式 Microsoft Entra 或已註冊 Microsoft Entra。 |
| TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | 一般 TPM 錯誤。 | 在發生此錯誤的裝置上停用 TPM。 Windows 10 1809 版和更新版本會自動偵測 TPM 失敗,並在不使用 TPM 的情況下完成混合式 Microsoft Entra 加入。 |
| TPM_E_NOTFIPS (0x80280036/-2144862154) | 目前不支援 FIPS 模式中的 TPM。 | 在發生此錯誤的裝置上停用 TPM。 Windows 10 1809 版會自動偵測 TPM 失敗,並在不使用 TPM 的情況下完成混合式 Microsoft Entra 加入。 |
| NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | TPM 已鎖定。 | 暫時性錯誤。 等候冷卻期間。 加入嘗試應該會在一段時間後成功。 如需詳細資訊,請參閱 TPM 基本概念。 |
網路錯誤:
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| WININET_E_TIMEOUT (0x80072ee2/-2147012894) | 一般網路逾時嘗試在 DRS 註冊裝置。 | 檢查 https://enterpriseregistration.windows.net 的網路連線能力。 |
| WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) | 無法解析伺服器名稱或位址。 | 檢查 https://enterpriseregistration.windows.net 的網路連線能力。 |
| WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) | 與伺服器的連線異常終止。 | 在一段時間後重試加入,或嘗試從另一個穩定的網路位置加入。 |
其他錯誤:
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | 事件識別碼 220 存在於使用者裝置註冊事件記錄中。 Windows 無法存取 Active Directory 中的電腦物件。 事件中可能包含 Windows 錯誤碼。 錯誤碼 ERROR_NO_SUCH_LOGON_SESSION (1312) 和 ERROR_NO_SUCH_USER (1317) 與內部部署 Active Directory 中的複寫問題有關。 | 針對 Active Directory 中的複寫問題進行疑難排解。 這些複寫問題可能是暫時性的,而且可能會在一段時間後消失。 |
同盟聯結伺服器錯誤:
| 伺服器錯誤碼 | 伺服器錯誤訊息 | 可能的原因 | 解決方法 |
|---|---|---|---|
| DirectoryError | 您的要求會暫時進行節流。 請在 300 秒後再試一次。 | 這是預期的錯誤,可能是因為快速連續進行了多個註冊要求。 | 在冷卻期間之後重試聯結 |
同步聯結伺服器錯誤:
| 伺服器錯誤碼 | 伺服器錯誤訊息 | 可能的原因 | 解決方法 |
|---|---|---|---|
| DirectoryError | AADSTS90002:找不到租用戶 UUID。 如果租用戶沒有任何作用中的訂用帳戶,可能會發生這個錯誤。 請洽詢您的訂用帳戶管理員。 |
服務連接點物件中的租用戶識別碼不正確。 | 確認是否已使用正確的 Microsoft Entra 租用戶識別碼設定了服務連接點物件和作用中的訂用帳戶,或服務是否存在於租用戶中。 |
| DirectoryError | 找不到指定識別碼的裝置物件。 | 這是同步聯結的預期錯誤。 裝置物件尚未從 AD 同步處理至 Microsoft Entra ID | 等候 Microsoft Entra Connect 同步處理完成,而在同步完成後的下一次聯結嘗試將會解決此問題。 |
| AuthenticationError | 目的電腦的 SID 驗證 | Microsoft Entra 裝置上的憑證不符合在同步聯結期間用來登入 blob 的憑證。 此錯誤通常表示同步尚未完成。 | 等候 Microsoft Entra Connect 同步處理完成,而在同步完成後的下一次聯結嘗試將會解決此問題。 |
步驟 5:收集記錄並聯絡 Microsoft 支援服務
將檔案擷取到資料夾 (例如 c:\temp),然後移至該資料夾。
從提高許可權的 Azure PowerShell 工作階段執行
.\start-auth.ps1 -v -accepteula。選取 [切換帳戶],以切換至有問題使用者的另一個工作階段。
重現問題。
選取 [切換帳戶],切換回正在執行追蹤的管理工作階段。
從提高許可權的 PowerShell 工作階段執行
.\stop-auth.ps1。Zip (壓縮) 然後從執行指令碼的資料夾中傳送 Authlogs 資料夾。
針對後續聯結驗證問題進行疑難排解
步驟 1:使用 dsregcmd /status 來擷取 PRT 狀態
開啟命令提示字元視窗。
注意
若要取得主要重新整理權杖 (PRT) 狀態,請在已登入使用者的內容中開啟 [命令提示字元] 視窗。
執行
dsregcmd /status。[SSO 狀態] 區段提供目前的 PRT 狀態。
如果 [AzureAdPrt] 欄位設定為 NO,從 Microsoft Entra ID 取得 PRT 狀態時,就會發生錯誤。
如果 AzureAdPrtUpdateTime 超過四小時,可能會有重新整理 PRT 的問題。 將裝置鎖定並解除鎖定以強制執行 PRT 重新整理,然後查看是否已更新時間。
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : YES
AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs
+----------------------------------------------------------------------+
步驟 2:尋找錯誤碼
從 dsregcmd 輸出
注意
您可以從 Windows 10 2021 年 5 月更新 (版本 21H1) 輸出。
[AzureAdPrt] 欄位下的 [嘗試狀態] 欄位將提供先前 PRT 嘗試的狀態,以及其他必要的偵錯資訊。 針對較早的 Windows 版本,請從 Microsoft Entra 分析和作業記錄中擷取資訊。
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
從 Microsoft Entra 分析和作業記錄
使用事件檢視器尋找 PRT 取得期間由 Microsoft Entra CloudAP 外掛程式記錄的記錄項目。
- 在事件檢視器中,開啟 Microsoft Entra 作業事件記錄檔。 這些應用程式會儲存在 [應用程式和服務記錄]> [Microsoft]>[Windows]>[AAD]。
注意
CloudAP 外掛程式會將錯誤事件記錄在作業記錄中,並將資訊事件記錄在分析記錄中。 分析和操作記錄事件都是針對問題進行疑難排解所需的事件。
分析記錄中的 1006 事件代表 PRT 取得流程開始,而分析記錄中的 1007 事件代表 PRT 取得流程結束。 1006 事件和 1007 事件之間記錄的 Microsoft Entra 記錄 (分析和作業) 中的所有事件,會記錄在 PRT 取得流程中。
1007 事件會記錄最後的錯誤碼。
步驟 3:根據找到的錯誤碼進一步進行疑難排解
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d) STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a) |
注意:同盟驗證需要 WS-Trust。 |
|
| STATUS_REQUEST_NOT_ACCEPTED (-1073741616/ 0xc00000d0) | 從 Microsoft Entra 驗證服務或 WS-Trust 端點收到錯誤回應 (HTTP 400)。 注意:同盟驗證需要 WS-Trust。 |
1081 和 1088 事件 (Microsoft Entra 作業記錄) 會包含分別源自 Microsoft Entra 驗證服務錯誤以及 WS-Trust 端點的伺服器錯誤碼和錯誤描述。 下一節列出常見的伺服器錯誤碼和其解決方式。 1022 事件 (Microsoft Entra 分析記錄) 的第一個執行個體在 1081 或 1088 事件之前,將包含正在存取的 URL。 |
| STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c) STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be) STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4) |
注意:同盟驗證需要 WS-Trust。 |
|
| STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) | Microsoft Entra 驗證服務找不到使用者的網域,因此使用者領域探索失敗。 | |
| AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) | 使用者的 UPN 不是預期的格式。 注意: |
whoami /upn 應該會顯示已設定的 UPN。 |
| AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) | Microsoft Entra 驗證服務傳回的識別碼權杖中缺少使用者 SID。 | 確定網路 Proxy 沒有干擾和修改伺服器回應。 |
| AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) | 從 WS-Trust 端點收到錯誤。 注意:同盟驗證需要 WS-Trust。 |
|
| AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) | MEX 端點設定不正確。 MEX 回應未包含任何密碼 URL。 | |
| AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) | MEX 端點設定不正確。 MEX 回應未包含任何憑證端點 URL。 | |
| WC_E_DTDPROHIBITED (-1072894385/ 0xc00cee4f) | WS-Trust 端點的 XML 回應包含了檔案類型定義 (DTD)。 XML 回應中不應有 DTD,如果包含 DTD,則剖析回應將會失敗。 注意:同盟驗證需要 WS-Trust。 |
常見的伺服器錯誤代碼
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| AADSTS50155:裝置驗證失敗 | 針對此問題,請遵循 Microsoft Entra 裝置管理常見問題集中的指示,根據裝置加入類型重新註冊裝置。 | |
AADSTS50034:使用者帳戶 Account 不存在於 tenant id 目錄中 |
Microsoft Entra ID 在租用戶中找不到使用者帳戶。 | |
| AADSTS50126:驗證認證時因為使用者名稱或密碼無效而發生錯誤。 | 若要使用新的認證取得全新的 PRT,請等候 Microsoft Entra 密碼同步處理完成。 |
常見的網路錯誤代碼
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| ERROR_WINHTTP_TIMEOUT (12002) ERROR_WINHTTP_NAME_NOT_RESOLVED (12007) ERROR_WINHTTP_CANNOT_CONNECT (12029) ERROR_WINHTTP_CONNECTION_ERROR (12030) |
常見的一般網路相關問題。 | 取得更多網路錯誤代碼。 |
步驟 4:收集記錄
一般記錄
- 移至 https://aka.ms/icesdptool 以自動下載包含診斷工具的 .cab 檔案。
- 執行工具,並重現您的案例。
- 針對 Fiddler 追蹤,接受彈出的憑證要求。
- 精靈會提示您輸入密碼,以保護您的追蹤檔案。 提供密碼。
- 最後,開啟儲存所有收集到記錄的資料夾,例如 %LOCALAPPDATA%\ElevatedDiagnostics\numbers。
- 請使用最新 .cab 檔案的內容連絡支援中心。
網路追蹤
注意
當您收集網路追蹤時,請務必不要在重現期間使用 Fiddler。
- 執行
netsh trace start scenario=internetClient_dbg capture=yes persistent=yes。 - 將裝置鎖定和解除鎖定。 針對已加入混合式的裝置,請等候一分鐘以上的時間,讓 PRT 擷取工作完成。
- 執行
netsh trace stop。 - 與支援中心共用 nettrace.cab 檔案。
已知問題
如果您已連線至行動熱點或外部 Wi-Fi 網路,而您移至 [設定]>[帳戶]>[存取公司或學校],已加入混合式 Microsoft Entra 的裝置可能會顯示兩個不同的帳戶,一個用於 Microsoft Entra ID,另一個用於內部部署 AD。 此 UI 問題不會影響功能。