Sdílet prostřednictvím


Řešení potíží se zařízeními pomocí příkazu dsregcmd

Tento článek vysvětluje, jak pomocí výstupu příkazu dsregcmd porozumět stavu zařízení v Microsoft Entra ID. Spusťte nástroj dsregcmd /status jako uživatelský účet domény.

Stav zařízení

Tato část obsahuje seznam parametrů stavu spojení zařízení. Kritéria potřebná k tomu, aby zařízení bylo v různých stavech spojení, jsou uvedená v následující tabulce:

AzureAdJoined EnterpriseJoined DomainJoined Stav zařízení
ANO NE NE Microsoft Entra se připojila
NE NE ANO Připojení k doméně
ANO NE ANO Hybridně připojeno do Microsoft Entra
NE ANO ANO Připojení k místní službě DRS

Poznámka

Stav Připojení k pracovišti (registrovaný v Microsoft Entra) se zobrazí v části Stav uživatele.

  • azureAdJoined: Nastavte stav na ANO, pokud je zařízení připojené k Microsoft Entra ID. V opačném případě nastavte stav na NO.
  • EnterpriseJoined: Nastavte stav na ANO, pokud je zařízení připojené ke službě replikace místních dat (DRS). Zařízení nemůže být EnterpriseJoined i AzureAdJoined.
  • DomainJoined: Nastavte stav na ANO, pokud je zařízení připojené k doméně (Active Directory).
  • DomainName: Nastavte stav na název domény, pokud je zařízení připojené k doméně.

Ukázkový výstup stavu zařízení

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Podrobnosti o zařízení

Stav se zobrazí pouze v případě, že zařízení je připojené k Microsoft Entra nebo hybridně připojené k Microsoft Entra, nikoli zaregistrované k Microsoft Entra. V této části jsou uvedeny podrobnosti o identifikaci zařízení, které jsou uloženy v Microsoft Entra ID.

  • DeviceId: Jedinečné ID zařízení v tenantovi Microsoft Entra.
  • Otisk prstu: Otisk prstu certifikátu zařízení.
  • DeviceCertificateValidity: Stav platnosti certifikátu zařízení.
  • KeyContainerId: ContainerId privátního klíče zařízení přidruženého k certifikátu zařízení.
  • KeyProvider: KeyProvider (hardware/software) používaný k ukládání privátního klíče zařízení.
  • tpmProtected: Stav je nastavený na ANO, pokud je privátní klíč zařízení uložený v čipu TPM (Hardware Trusted Platform Module).
  • DeviceAuthStatus: Zkontroluje stav zařízení v Microsoft Entra ID. Zdravotní stavy jsou:
    • ÚSPĚCH, pokud je zařízení k dispozici a aktivováno v Microsoft Entra ID.
    • NEÚSPĚŠNÝ. Zařízení je zakázané nebo odstraněné. pokud je zařízení zakázané nebo odstraněné. Další informace o tomto problému najdete v tématu Nejčastější dotazy ke správě zařízení Microsoft Entra.
    • NEÚSPĚŠNÝ. CHYBA pokud se test nepodařilo spustit. Tento test vyžaduje síťové připojení k ID Microsoft Entra v kontextu systému.

    Poznámka

    Do aktualizace Windows 10. května 2021 (verze 21H1) bylo přidáno pole DeviceAuthStatus.

  • Virtuální Desktop: Tento řádek se vyskytuje ve třech případech.
    • NENÍ NASTAVENO – Metadata zařízení VDI na zařízení nejsou k dispozici.
    • ANO – metadata zařízení VDI je přítomno a výstupy zahrnují přidružená metadata, včetně:
      • Zprostředkovatel: Název dodavatele VDI.
      • Typ: Trvalé VDI nebo neperzistentní VDI.
      • Uživatelský režim: Jeden uživatel nebo více uživatelů.
      • Rozšíření: Počet párů klíč-hodnota v volitelných metadatech specifických pro dodavatele, za kterými následují páry klíč-hodnota.
    • NEPLATNÉ – Metadata zařízení VDI jsou přítomna, ale nejsou správně nastavená. V tomto případě dsregcmd vypíše nesprávná metadata.

Výstup s ukázkovými podrobnostmi o zařízení

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
                Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Podrobnosti o tenantovi

Podrobnosti o tenantovi se zobrazí jenom v případě, že je zařízení připojené k Microsoft Entra nebo je hybridně připojené k Microsoft Entra, nikoli když je zaregistrované v Microsoft Entra. Tato část obsahuje seznam běžných podrobností o tenantovi, které se zobrazí, když je zařízení připojené k MICROSOFT Entra ID.

Poznámka

Pokud jsou pole adresy URL pro správu mobilních zařízení (MDM) v této části prázdná, znamená to, že MDM nebylo nakonfigurované nebo že aktuální uživatel není v rozsahu registrace MDM. Zkontrolujte nastavení mobility v Microsoft Entra ID a zkontrolujte konfiguraci MDM.

Přítomnost adres URL MDM nezaručuje, že je zařízení spravované pomocí MDM. Informace se zobrazí, pokud má tenant konfiguraci MDM pro automatickou registraci i v případě, že samotné zařízení není spravované.

Ukázkový výstup podrobností nájemce

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVx{lots of characters}xxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Stav uživatele

Tato část obsahuje seznam stavů různých atributů pro uživatele, kteří jsou aktuálně přihlášení k zařízení.

Poznámka

Příkaz se musí spustit v kontextu uživatele, aby byl načten platný stav.

  • NgcSet: Nastavte stav na ANO, pokud je pro aktuálně přihlášeného uživatele nastaven klíč Windows Hello.
  • NgcKeyId: ID klíče Windows Hello, pokud je nastavený pro aktuálního přihlášeného uživatele.
  • CanReset: Označuje, jestli může uživatel resetovat klíč Windows Hello.
  • možné hodnoty: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive nebo Unknown, pokud chyba.
  • WorkplaceJoined: Nastavte stav na ANO, pokud byly do zařízení přidány registrované účty Microsoft Entra v aktuálním kontextu NTUSER.
  • WamDefaultSet: Nastavte stav na ANO, pokud je pro přihlášeného uživatele vytvořen výchozí webový účet Správce webových účtů (WAM). Toto pole může zobrazit chybu, pokud se dsregcmd /status spustí z příkazového řádku se zvýšenými oprávněními.
  • WamDefaultAuthority: Nastavte stav na organizace pro Microsoft Entra ID.
  • WamDefaultId: Vždy používejte https://login.microsoft.com pro Microsoft Entra ID.
  • WamDefaultGUID: GUID zprostředkovatele WAM (Microsoft Entra ID / Microsoft účet) pro výchozí WAM webový účet.

Ukázkový výstup stavu uživatele

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Stav SSO

Tuto část můžete ignorovat u registrovaných zařízení Microsoft Entra.

Poznámka

Příkaz se musí spustit v kontextu uživatele, aby bylo možné zjistit platný stav daného uživatele.

  • azureAdPrt: Nastavte stav na ANO, pokud je v zařízení pro přihlášeného uživatele k dispozici primární obnovovací token (PRT).
  • AzureAdPrtUpdateTime: Nastavte stav na čas v UTC (Coordinated Universal Time), kdy byl PRT naposledy aktualizován.
  • AzureAdPrtExpiryTime: Nastavte stav na čas v UTC, kdy platnost žádosti o přijetí změn vyprší, pokud se neprodlouží.
  • AzureAdPrtAuthority: Adresa URL autority Microsoft Entra
  • EnterprisePrt: Nastavte stav na ANO, pokud má zařízení PRT z místní služby AD FS (Active Directory Federation Services). U zařízení připojených k hybridní službě Microsoft Entra může mít zařízení současně PRT z ID Microsoft Entra i z místní služby Active Directory. Zařízení připojená v rámci firemní sítě mají pouze firemní PRT.
  • EnterprisePrtUpdateTime: Nastavte stav na čas v UTC, kdy byl Enterprise PRT naposledy aktualizován.
  • EnterprisePrtExpiryTime: Nastavte stav na čas v UTC, kdy má platnost Primárního obnovovacího tokenu (PRT) vypršet, pokud nebude obnovena.
  • EnterprisePrtAuthority: Adresa URL autority služby AD FS

Poznámka

V aktualizaci Windows 10 z května 2021 (verze 21H1) byly přidána následující pole diagnostiky PRT.

  • Diagnostické informace zobrazené v poli azureAdPrt jsou určené pro získání nebo aktualizaci Microsoft Entra PRT a diagnostické informace zobrazené v poli EnterprisePrt slouží k získání nebo aktualizaci Enterprise PRT.
  • Diagnostické informace se zobrazí jenom v případě, že došlo k selhání při získávání nebo aktualizaci po posledním úspěšném čase aktualizace PRT (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    Na sdíleném zařízení můžou být tyto diagnostické informace z pokusu o přihlášení jiného uživatele.
  • AcquirePrtDiagnostics: Nastavte stav na PRESENT, pokud se v protokolech nacházejí získané diagnostické informace PRT.
    • Pokud nejsou k dispozici žádné diagnostické informace, toto pole se přeskočí.
  • předchozí pokus o PRT: Místní čas v UTC, ve kterém došlo k neúspěšnému pokusu o PRT.
  • stav pokusu: Vrácený kód chyby klienta (HRESULT).
  • identita uživatele: UPN uživatele, pro kterého došlo k pokusu o PRT.
  • typ přihlašovacích údajů: Přihlašovací údaje použité k získání nebo obnovení PRT. Mezi běžné typy přihlašovacích údajů patří heslo a přihlašovací údaje příští generace (NGC) (pro Windows Hello).
  • ID korelace: ID korelace odeslané serverem pro neúspěšný pokus o PRT.
  • identifikátor URI koncového bodu: Poslední koncový bod, ke kterému se přistoupilo před selháním.
  • metoda HTTP: Metoda HTTP použitá pro přístup ke koncovému bodu.
  • chyba HTTP: Kód chyby přenosu WinHttp. Získejte další kódy chyb sítě.
  • stav HTTP: Stav HTTP vrácený koncovým bodem.
  • kód chyby serveru: Kód chyby ze serveru.
  • Popis chyby serveru: Chybová zpráva ze serveru.
  • RefreshPrtDiagnostics: Nastavte stav na PRESENT, pokud se v protokolech nacházejí získané diagnostické informace PRT.
    • Pokud nejsou k dispozici žádné diagnostické informace, toto pole se přeskočí.
    • Pole s diagnostickými informacemi jsou stejná jako AcquirePrtDiagnostics.

Poznámka

V původní verzi Windows 11 (verze 21H2) byly přidána následující diagnostická pole Cloud Kerberos.

  • onPremTgt: Nastavte stav na ANO, pokud je na zařízení pro přihlášeného uživatele k dispozici lístek Cloud Kerberos pro přístup k místním prostředkům.
  • CloudTgt: Nastavte stav na ANO, pokud je v zařízení pro přihlášeného uživatele k dispozici lístek Cloud Kerberos pro přístup ke cloudovým prostředkům.
  • KerbTopLevelNames: Seznam názvů sfér Kerberos nejvyšší úrovně pro Cloud Kerberos.

Ukázkový výstup stavu jednotného přihlašování

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Diagnostická data

Diagnostika před spojením

Tato část diagnostiky se zobrazí jenom v případě, že je zařízení připojené k doméně a nemůže se připojit k hybridnímu připojení Microsoft Entra.

Tato část provádí různé testy, které pomáhají diagnostikovat selhání spojení. Mezi tyto informace patří: fáze chyby, kód chyby, ID požadavku serveru, stav HTTP odpovědi serveru a chybová zpráva odpovědi serveru.

  • kontext uživatele: Kontext, ve kterém se diagnostika spouští. Možné hodnoty: SYSTEM, UN-ELEVATED User, ELEVATED User.

    Poznámka

    Vzhledem k tomu, že skutečné spojení se provádí v kontextu SYSTEM, je spuštění diagnostiky v kontextu SYSTEM nejblíže skutečnému scénáři spojení. Chcete-li spustit diagnostiku v kontextu SYSTÉMU, musí být příkaz dsregcmd /status spuštěn z příkazového řádku se zvýšenými oprávněními.

  • čas klienta: Systémový čas v UTC.

  • Test připojení AD: Tento test ověří připojení k řadiči domény. Chyba v tomto testu pravděpodobně vede k chybám spojení ve fázi předběžné kontroly.

  • Konfigurační test služby Active Directory: Tento test načte a ověří, zda je objekt spojovacího bodu služby (SCP) správně nakonfigurovaný v místní doménové struktuře služby Active Directory. Chyby v tomto testu pravděpodobně způsobí chyby spojení ve fázi zjišťování s kódem chyby 0x801c001d.

  • test zjišťování DRS: Tento test získá koncové body DRS z koncového bodu metadat zjišťování a provede požadavek na sféru uživatele. Chyby v tomto testu pravděpodobně povedou ke chybám při spojování ve fázi objevení.

  • test připojení DRS: Tento test provede základní test připojení ke koncovému bodu DRS.

  • Test získání tokenu: Tento test se pokusí získat ověřovací token Microsoft Entra, pokud je tenant uživatele federovaný. Chyby v tomto testu pravděpodobně způsobí chyby spojení ve fázi ověřování. Pokud se ověření nezdaří, pokusí se o připojení k synchronizaci jako záložní, pokud není s následujícím nastavením klíče registru explicitně zakázáno náhradní připojení:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
    Value: FallbackToSyncJoin
    Type:  REG_DWORD
    Value: 0x0 -> Disabled
    Value: 0x1 -> Enabled
    Default (No Key): Enabled
    
  • Přechod nasync-join: Nastavte stav na Povoleno, pokud není přítomen předchozí klíč registru bránící přechodu na sync-join při chybách ověřování . Tato možnost je dostupná ve Windows 10 1803 a novějších verzích.

  • Předchozí registrace: Čas, kdy došlo k předchozímu pokusu o registraci. Protokolují se pouze neúspěšné pokusy o připojení.

  • chybová fáze: Fáze spojení, ve které byla přerušena. Možné hodnoty jsou předběžná kontrola, zjištění, ověřenía spojení.

  • kód chyby klienta: Vrácený kód chyby klienta (HRESULT).

  • Server ErrorCode: Kód chyby serveru se zobrazí, pokud se na server odeslal požadavek a server odpověděl kódem chyby.

  • zpráva serveru: Zpráva serveru vrácená spolu s kódem chyby.

  • stav https: Stav HTTP vrácený serverem.

  • ID požadavku: ID požadavku klienta odeslané na server. ID požadavku je užitečné ke korelaci s protokoly na straně serveru.

Ukázkový výstup diagnostiky před spojením

Následující příklad ukazuje selhání diagnostického testu s chybou zjišťování.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

Následující příklad ukazuje, že diagnostické testy probíhají úspěšně, ale pokus o registraci selhal s chybou adresáře, což se očekává pro (sync-join). Po dokončení úlohy synchronizace Microsoft Entra Connect se zařízení může připojit.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnostika po připojení

Tato část diagnostiky zobrazuje výstup kontrol provedených na zařízení připojeném ke cloudu.

  • AadRecoveryEnabled: Pokud je hodnota ANO, klíče uložené v zařízení nejsou použitelné a zařízení je označené k obnovení. Další přihlášení aktivuje tok obnovení a znovu zaregistruje zařízení.
  • KeySignTest: Pokud je hodnota PASSED, klíče zařízení jsou v dobrém stavu. Pokud KeySignTest selže, zařízení se obvykle označí k obnově. Další přihlášení aktivuje tok obnovení a znovu zaregistruje zařízení. U zařízení připojených k hybridnímu připojení Microsoft Entra je obnovení tiché. I když jsou zařízení připojena k Microsoft Entra nebo zaregistrována v Microsoft Entra, v případě potřeby vyzvou k ověření uživatele, aby zařízení obnovilo a znovu zaregistrovalo.

    Poznámka

    KeySignTest vyžaduje zvýšená oprávnění.

Ukázkový výstup diagnostiky po připojení

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Kontrola předpokladů NGC

Tato část diagnostiky provádí kontrolu požadavků pro nastavení Windows Hello pro firmy (WHFB).

Poznámka

Pokud uživatel úspěšně nakonfiguroval WHFB, možná se v dsregcmd /status nezobrazí podrobnosti o kontrole předpokladů NGC.

  • IsDeviceJoined: Nastavte stav na ANO, pokud je zařízení připojené k Microsoft Entra ID.
  • IsUserAzureAD: Nastavte stav na ANO, pokud je přihlášený uživatel v Microsoft Entra ID.
  • PolicyEnabled: Stav nastavte na ANO, pokud je politika WHFB na zařízení povolená.
  • PostLogonEnabled: Nastavte stav na ANO, pokud platforma nativně aktivuje registraci WHFB. Pokud je stav nastavený na NE, znamená to, že registrace Windows Hello pro firmy se aktivuje vlastním mechanismem.
  • zařízení: Nastavte stav na ANO, pokud zařízení splňuje požadavky na hardware pro registraci do WHFB.
  • SessionIsNotRemote: Nastavte stav na ANO, pokud je aktuální uživatel přihlášený přímo k zařízení, a ne vzdáleně.
  • CertEnrollment: Toto nastavení je specifické pro nasazení důvěryhodnosti certifikátů WHFB a označuje autoritu pro vydávání certifikátů WHFB. Nastavte stav na autoritu registrace, pokud je zdrojem zásad skupiny WHFB, nebo ho nastavte na správu mobilních zařízení, pokud je zdrojem MDM. Pokud žádný zdroj neplatí, nastavte stav na žádný.
  • AdfsRefreshToken: Toto nastavení je specifické pro nasazení důvěryhodnosti certifikátu WHFB a je k dispozici pouze tehdy, pokud je stav CertEnrollment autorita registrace. Nastavení určuje, jestli má zařízení podnikový PRT pro uživatele.
  • AdfsRaIsReady: Toto nastavení je specifické pro nasazení důvěryhodnosti certifikátu WHFB a je k dispozici pouze v případě, že je stav CertEnrollment autorita registrace. Nastavte stav na ANO pokud služba AD FS indikuje v metadatech zjišťování, že podporuje WHFB a je k dispozici šablona přihlašovacího certifikátu.
  • LogonCertTemplateReady: Toto nastavení je specifické pro nasazení důvěry certifikátu WHFB a je k dispozici pouze v případě, že je stav CertEnrollment autorita registrace. Nastavte stav na ANO, pokud je stav šablony přihlašovacího certifikátu platný a pomáhá řešit potíže s registrační autoritou služby AD FS (RA).
  • PreReqResult: Poskytuje výsledek vyhodnocení všech požadavků WHFB. Nastavte stav na Zřídí, pokud by se registrace WHFB spustila jako úloha po přihlášení, když se uživatel příště přihlásí.

Poznámka

V aktualizaci Windows 10 z května 2021 (verze 21H1) byly přidána následující diagnostická pole cloudového protokolu Kerberos.

Před Windows 11 verze 23H2 bylo nastavení OnPremTGT pojmenováno CloudTGT.

  • OnPremTGT: Toto nastavení je specifické pro nasazení důvěryhodnosti Cloud Kerberos a je k dispozici pouze v případě, že je stav CertEnrollment žádné. Pokud má zařízení lístek Cloud Kerberos pro přístup k místním prostředkům, nastavte stav na ANO. Před Windows 11 verze 23H2 se toto nastavení jmenovalo CloudTGT.

Ukázka výstupu kontroly předpokladů NGC

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Další kroky

Přejděte na nástroj pro vyhledávání chyb Microsoft.