Behandeln von Problemen mit primären Aktualisierungstoken auf Windows-Geräten

In diesem Artikel wird erläutert, wie Sie Probleme behandeln, die primäre Aktualisierungstoken (Primary Refresh Token, PRT) betreffen, wenn Sie sich mit Ihren Microsoft Entra-Anmeldeinformationen auf einem in Microsoft Entra eingebundenen Windows-Gerät authentifizieren.

Auf Geräten, die in Microsoft Entra ID oder hybrid, in Microsoft Entra ID eingebunden sind, ist die Hauptkomponente der Authentifizierung das PRT. Sie erhalten dieses Token, wenn Sie sich zum ersten Mal mit Microsoft Entra-Anmeldeinformationen auf einem in Microsoft Entra eingebundenen Gerät bei Windows 10 anmelden. Das PRT wird auf diesem Gerät zwischengespeichert. Bei nachfolgenden Anmeldungen wird das zwischengespeicherte Token verwendet, damit Sie den Desktop verwenden können.

Im Rahmen des Vorgangs zum Sperren und Entsperren des Geräts oder zur erneuten Anmeldung bei Windows wird einmal alle vier Stunden ein Netzwerkauthentifizierungsversuch im Hintergrund unternommen, um das PRT zu aktualisieren. Wenn Probleme auftreten, die das Aktualisieren des Tokens verhindern, läuft das PRT schließlich ab. Dieses Ablaufen wirkt sich auf das einmalige Anmelden (SSO) bei Microsoft Entra-Ressourcen aus. Außerdem werden Anmeldeaufforderungen angezeigt.

Wenn Sie vermuten, dass ein Problem mit dem PRT besteht, empfehlen wir, dass Sie zuerst Microsoft Entra-Protokolle sammeln und die in der Prüfliste zur Problembehandlung beschriebenen Schritte auszuführen. Führen Sie dies bei jedem Microsoft Entra-Clientproblem zuerst aus, idealerweise im Rahmen einer Sitzung zu Reproduktion. Führen Sie diesen Prozess aus, bevor Sie eine Supportanfrage stellen.

Checkliste zur Problembehandlung

Schritt 1: Abrufen des Status des primären Aktualisierungstokens

1. Melden Sie sich bei Windows mit dem Benutzerkonto an, in dem PRT-Probleme auftreten.

2. Wählen Sie Start aus, suchen Sie nach Eingabeaufforderung, und wählen Sie diese aus.

3. Geben Sie zum Ausführen des Befehls für die Geräteregistrierung (dsregcmd) den Befehl dsregcmd /status ein.

4. Suchen Sie in der Ausgabe des Geräteregistrierungsbefehls nach dem Abschnitt SSO-Status. Der folgende Text steht beispielhaft für diesen Abschnitt:

   +----------------------------------------------------------------------+
   | SSO State                                                            |
   +----------------------------------------------------------------------+
   
                   AzureAdPrt : YES
         AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
         AzureAdPrtExpiryTime : 2020-07-26 22:58:35.000 UTC
          AzureAdPrtAuthority : https://login.microsoftonline.com/00001111-aaaa-2222-bbbb-3333cccc4444
                EnterprisePrt : YES
      EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
      EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
       EnterprisePrtAuthority : https://msft.sts.microsoft.com:443/adfs
   
   +----------------------------------------------------------------------+
   

5. Überprüfen Sie den Wert des Felds AzureAdPrt. Wenn es auf NO festgelegt ist, ist bei dem Versuch, den PRT-Status von Microsoft Entra ID abzurufen, ein Fehler aufgetreten.

6. Überprüfen Sie den Wert des Felds AzureAdPrtUpdateTime. Wenn der Wert des Felds AzureAdPrtUpdateTime mehr als vier Stunden beträgt, verhindert ein Problem wahrscheinlich die Aktualisierung des PRT. Sperren und entsperren Sie das Gerät, um eine PRT-Aktualisierung zu erzwingen, und überprüfen Sie danach, ob die Zeit aktualisiert wurde.

Schritt 2: Abrufen des Fehlercodes

Im nächsten Schritt rufen Sie den Fehlercode ab, der den PRT-Fehler verursacht. Die schnellste Möglichkeit zum Abrufen des PRT-Fehlercodes besteht darin, die Ausgabe des Befehls zur Geräteregistrierung zu untersuchen. Für diese Methode ist jedoch das Windows 10-Update von Mai 2021 (Version 21H1) oder höher erforderlich. Die andere Methode besteht darin, den Fehlercode in Microsoft Entra-Analyse- und Betriebsprotokollen zu suchen.

Methode 1: Untersuchen der Ausgabe des Geräteregistrierungsbefehls

Hinweis

Diese Methode ist nur verfügbar, wenn Sie das Windows 10-Update von Mai 2021 (Version 21H1) oder eine höhere Version von Windows verwenden.

Um den PRT-Fehlercode abzurufen, führen Sie den Befehl dsregcmd aus, und suchen Sie dann den Abschnitt SSO State. Im Feld AzureAdPrt enthält das Feld Attempt Status den Fehlercode. Im folgenden Beispiel lautet der Fehlercode 0xc000006d.

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaa0000-bb11-2222-33cc-444444dddddd
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-09-18 20:20:09.760 UTC
            Attempt Status : 0xc000006d
             User Identity : user@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaa0000-bb11-2222-33cc-444444dddddd/oauth2/token
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.

Methode 2: Verwenden der Ereignisanzeige zum Untersuchen der AAD-Analyse- und Betriebsprotokolle

1. Wählen Sie Start aus, suchen Sie nach Ereignisanzeige, und wählen Sie diese aus.

2. Wenn im Fenster Ereignisanzeige die Konsolenstruktur nicht angezeigt wird, wählen Sie das Symbol Konsolenstruktur anzeigen/ausblenden aus, um die Konsolenstruktur sichtbar zu machen.

3. Wählen Sie in der Konsolenstruktur Ereignisanzeige (lokal) aus. Wenn unter diesem Element keine untergeordneten Knoten angezeigt werden, doppelklicken Sie auf Ihre Auswahl, um diese anzuzeigen.

4. Wählen Sie das Menü Ansicht aus. Wenn neben Analyse- und Debugprotokolle anzeigen kein Häkchen angezeigt wird, markieren Sie dieses Menüelement, um dieses Feature zu aktivieren.

5. Erweitern Sie in der Konsolenstruktur den Eintrag Anwendungs- und Dienstprotokolle>Microsoft>Windows>AAD. Die untergeordneten Knoten Betrieb und Analyse werden angezeigt.

   Hinweis

   Im Cloud-Authentifizierungsanbieter (CloudAP)-Plug-In von Microsoft Entra werden Fehlerereignisse in die Betriebs-Ereignisprotokolle und Informationsereignisse in die Analyse-Ereignisprotokolle geschrieben. Sie müssen beide Ereignisprotokolle Betrieb und Analyse untersuchen, um PRT-Probleme zu beheben.

6. Wählen Sie in der Konsolenstruktur den Knoten Analyse aus, um Azure AD-bezogene Analyseereignisse anzuzeigen.

7. Suchen Sie in der Liste der Analyseereignisse nach den Ereignis-IDs 1006 und 1007. In Analyseprotokollen gibt Ereignis 1006 den Beginn und Ereignis 1007 das Ende des PRT-Beschaffungsflows an. Alle Ereignisse in den AAD-Protokollen (Analyse und Betrieb), die zwischen Ereignis-ID 1006 und Ereignis-ID 1007 aufgetreten sind, werden als Teil des PRT-Beschaffungsflows protokolliert. In der folgenden Tabelle ist eine Beispielauflistung enthalten.

   Ebene	Datum und Uhrzeit	`Source`	Ereignis-ID	Aufgabenkategorie
   Information	6/24/2020 3:35:35 AM	AAD	1006	AadCloudAPPlugin Operation
   Information	6/24/2020 3:35:35 AM	AAD	1018	AadCloudAPPlugin Operation
   Information	6/24/2020 3:35:35 AM	AAD	1144	AadCloudAPPlugin Operation
   Information	6/24/2020 3:35:35 AM	AAD	1022	AadCloudAPPlugin Operation
   Fehler	6/24/2020 3:35:35 AM	AAD	1084	AadCloudAPPlugin Operation
   Fehler	6/24/2020 3:35:35 AM	AAD	1086	AadCloudAPPlugin Operation
   Fehler	6/24/2020 3:35:35 AM	AAD	1160	AadCloudAPPlugin Operation
   Information	6/24/2020 3:35:35 AM	AAD	1007	AadCloudAPPlugin Operation
   Information	6/24/2020 3:35:35 AM	AAD	1157	AadCloudAPPlugin Operation
   Information	6/24/2020 3:35:35 AM	AAD	1158	AadCloudAPPlugin Operation

8. Doppelklicken Sie auf die Zeile, die die Ereignis-ID 1007 enthält. Das Dialogfeld Ereigniseigenschaften für dieses Ereignis wird angezeigt.

9. Kopieren Sie im Feld „Beschreibung“ auf der Registerkarte Allgemein den Fehlercode. Der Fehlercode ist eine 10-stellige Zeichenfolge, die mit 0x beginnt, gefolgt von einer 8-stelligen Hexadezimalzahl.

Schritt 3: Abrufen von Anweisungen zur Problembehandlung für bestimmte Fehlercodes

Statuscodes (Präfix „STATUS_“, Codes, die mit „0xc000“ beginnen)

STATUS_LOGON_FAILURE (-1073741715 / 0xc000006d),
STATUS_WRONG_PASSWORD (-1073741718 / 0xc000006a)

Ursache

• Das Gerät kann keine Verbindung mit dem Microsoft Entra-Authentifizierungsdienst herstellen.

• Das Gerät hat eine HTTP-Fehlerantwort 400 Bad Request von einer der folgenden Quellen erhalten:

  • Der Microsoft Entra-Authentifizierungsdienst
  • Endpunkt für das WS-Trust-Protokoll (erforderlich für die Verbundauthentifizierung)

Lösung

• Wenn die lokale Umgebung einen Proxy für den ausgehenden Datenverkehr erfordert, müssen Sie sicherstellen, dass das Computerkonto des Geräts in der Lage ist, den Proxy zu erkennen und sich automatisch zu authentifizieren.

• Rufen Sie den Serverfehlercode und die Fehlerbeschreibung ab, und navigieren Sie dann zum Abschnitt Allgemeine Serverfehlercodes (Präfix „AADSTS“), um die Ursache für diesen Serverfehlercode und die Lösungsdetails zu finden.

  In den Microsoft Entra-Betriebsprotokollen enthält Ereignis-ID 1081 den Serverfehlercode und die Fehlerbeschreibung, wenn der Fehler im Microsoft Entra-Authentifizierungsdienst auftritt. Wenn der Fehler in einem WS-Trust-Endpunkt auftritt, finden Sie den Serverfehlercode und die Fehlerbeschreibung in Ereignis-ID 1088. In den Microsoft Entra-Analyseprotokollen enthält die erste Instanz von Ereignis-ID 1022 (die den betrieblichen Ereignis-IDs 1081 und 1088 vorangestellt ist) die URL, auf die zugegriffen wird.

  Informationen zum Anzeigen von Ereignis-IDs in den Betriebs- und Analyseprotokollen von Microsoft Entra finden Sie im Abschnitt Methode 2: Verwenden der Ereignisanzeige zum Untersuchen von Microsoft Entra-Analyse- und Betriebsprotokollen.

STATUS_REQUEST_NOT_ACCEPTED (-1073741616 / 0xc00000d0)

Ursache

Das Gerät hat eine HTTP-Fehlerantwort 400 Bad Request von einer der folgenden Quellen erhalten:

• Der Microsoft Entra-Authentifizierungsdienst
• Endpunkt für das WS-Trust-Protokoll (erforderlich für die Verbundauthentifizierung)

Lösung

Rufen Sie den Serverfehlercode und die Fehlerbeschreibung ab, und navigieren Sie dann zum Abschnitt Allgemeine Serverfehlercodes (Präfix „AADSTS“), um die Ursache für diesen Serverfehlercode und die Lösungsdetails zu finden.

In den Microsoft Entra-Betriebsprotokollen enthält Ereignis-ID 1081 den Serverfehlercode und die Fehlerbeschreibung, wenn der Fehler im Microsoft Entra-Authentifizierungsdienst auftritt. Wenn der Fehler in einem WS-Trust-Endpunkt auftritt, finden Sie den Serverfehlercode und die Fehlerbeschreibung in Ereignis-ID 1088. In den Microsoft Entra-Analyseprotokollen enthält die erste Instanz von Ereignis-ID 1022 (die den betrieblichen Ereignis-IDs 1081 und 1088 vorangestellt ist) die URL, auf die zugegriffen wird.

Informationen zum Anzeigen von Ereignis-IDs in den Betriebs- und Analyseprotokollen von Microsoft Entra finden Sie im Abschnitt Methode 2: Verwenden der Ereignisanzeige zum Untersuchen von Microsoft Entra-Analyse- und Betriebsprotokollen.

STATUS_NETWORK_UNREACHABLE (-1073741252 / 0xc000023c),
STATUS_BAD_NETWORK_PATH (-1073741634 / 0xc00000be),
STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628 / 0xc00000c4)

Ursache

• Das Gerät hat eine HTTP-Fehlerantwort 4xx von einer der folgenden Quellen erhalten:

  • Der Microsoft Entra-Authentifizierungsdienst
  • Endpunkt für das WS-Trust-Protokoll (erforderlich für die Verbundauthentifizierung)

• Es ist ein Problem mit der Netzwerkkonnektivität bei einem erforderlichen Endpunkt aufgetreten.

Lösung

• Rufen Sie den Serverfehlercode und die Fehlerbeschreibung ab, und navigieren Sie dann zum Abschnitt Allgemeine Serverfehlercodes (Präfix „AADSTS“), um die Ursache für diesen Serverfehlercode und die Lösungsdetails zu finden.

  In den Microsoft Entra-Betriebsprotokollen enthält Ereignis-ID 1081 den Serverfehlercode und die Fehlerbeschreibung, wenn der Fehler im Microsoft Entra-Authentifizierungsdienst auftritt. Wenn der Fehler in einem WS-Trust-Endpunkt auftritt, finden Sie den Serverfehlercode und die Fehlerbeschreibung in Ereignis-ID 1088.

• Rufen Sie bei einem Netzwerkkonnektivitätsproblem die URL ab, auf die zugegriffen wird, und den Unterfehlercode aus dem Netzwerkstapel. Die Ereignis-ID 1022 in den Microsoft Entra-Analyseprotokollen enthält die URL, auf die zugegriffen wird. Die Ereignis-ID 1084 in den Microsoft Entra-Betriebsprotokollen enthält den Unterfehlercode aus dem Netzwerkstapel.

Informationen zum Anzeigen von Ereignis-IDs in den Betriebs- und Analyseprotokollen von Microsoft Entra finden Sie im Abschnitt Methode 2: Verwenden der Ereignisanzeige zum Untersuchen von Microsoft Entra-Analyse- und Betriebsprotokollen.

STATUS_NO_SUCH_LOGON_SESSION (-1073741729 / 0xc000005f)

Ursache

Die Benutzerbereichsermittlung ist fehlgeschlagen, weil der Microsoft Entra-Authentifizierungsdienst die Domäne des Benutzers nicht finden konnte.

Lösung

• Fügen Sie die Domäne des Benutzerprinzipalnamens (User Principal Name, UPN) des Benutzers als benutzerdefinierte Domäne in Microsoft Entra ID hinzu. Um den bereitgestellten UPN zu finden, suchen Sie in den Microsoft Entra-Analyseprotokollen nach Ereignis-ID 1144.

  Informationen zum Anzeigen von Ereignis-IDs in den Analyseprotokollen von Microsoft Entra finden Sie im Abschnitt Methode 2: Verwenden der Ereignisanzeige zum Untersuchen von Microsoft Entra-Analyse- und Betriebsprotokollen.

• Wenn der lokale Domänenname nicht weitergeleitet werden kann (z. B. wenn der UPN jdoe@contoso.local oder ähnlich lautet), konfigurieren Sie die Alternative Anmelde-ID (AltID). (Die Voraussetzungen finden Sie unter Planen der Implementierung einer Microsoft Entra-Hybrideinbindung.)

Allgemeine CloudAP-Plug-In-Fehlercodes (Präfix „AAD_CLOUDAP_E_“, Codes, die mit "0xc004" beginnen)

AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812 / 0xc004844c)

Ursache

Der UPN für den Benutzer hat nicht das erwartete Format. Der UPN-Wert variiert je nach Gerätetyp, wie in der folgenden Tabelle dargestellt.

Typ der Geräteeinbindung	UPN-Wert
In Microsoft Entra eingebundene Geräte	Der Text, der eingegeben wird, wenn sich der Benutzer anmeldet
In Microsoft Entra eingebundene Hybridgeräte	Der UPN, den der Domänencontroller beim Anmeldevorgang zurückgibt

Lösung

• Richten Sie den UPN des Benutzers auf einen Anmeldenamen im Internetstil ein, der auf dem Internetstandard RFC 822 basiert. Um den aktuellen UPN zu finden, suchen Sie in den Microsoft Entra-Analyseprotokollen nach Ereignis-ID 1144.

  Informationen zum Anzeigen von Ereignis-IDs in den Analyseprotokollen von Microsoft Entra finden Sie im Abschnitt Methode 2: Verwenden der Ereignisanzeige zum Untersuchen von Microsoft Entra-Analyse- und Betriebsprotokollen.

• Stellen Sie bei hybrid, in Microsoft Entra eingebundenen Geräten sicher, dass Sie den Domänencontroller so konfiguriert haben, dass der UPN im richtigen Format zurückgegeben wird. Führen Sie den folgenden Befehl whoami aus, um den konfigurierten UPN im Domänencontroller anzuzeigen:

  whoami /upn
  

  Wenn Active Directory mit dem richtigen UPN konfiguriert ist, erfassen Sie Zeitreiseablaufverfolgungen für den Local Security Authority Subsystem Service (LSASS oder lsass.exe).

• Wenn der lokale Domänenname nicht weitergeleitet werden kann (z. B. wenn der UPN jdoe@contoso.local oder ähnlich lautet), konfigurieren Sie die Alternative Anmelde-ID (AltID). (Die Voraussetzungen finden Sie unter Planen der Implementierung einer Microsoft Entra-Hybrideinbindung.)

AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822 / 0xc0048442)

Ursache

Die Sicherheits-ID (SID) des Benutzers fehlt im ID-Token, das der Microsoft Entra-Authentifizierungsdienst zurückgibt.

Lösung

Stellen Sie sicher, dass der Netzwerkproxy die Serverantwort nicht beeinträchtigt oder ändert.

AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (-1073445695 / 0xc00484c1 / 0x800484c1)

Ursache

Sie haben eine Fehlermeldung vom WS-Trust-Protokollendpunkt erhalten (erforderlich für die Verbundauthentifizierung).

Lösung

• Stellen Sie sicher, dass der Netzwerkproxy die Serverantwort nicht beeinträchtigt oder ändert.

• Rufen Sie den Serverfehlercode und die Fehlerbeschreibung aus der Ereignis-ID 1088 in den Microsoft Entra-Betriebsprotokollen ab. Wechseln Sie dann zum Abschnitt Allgemeine Serverfehlercodes (Präfix „AADSTS“), um die Ursache dieses Serverfehlercodes und die Lösungsdetails zu finden.

  Informationen zum Anzeigen von Ereignis-IDs in den Betriebsprotokollen von Microsoft Entra finden Sie im Abschnitt Methode 2: Verwenden der Ereignisanzeige zum Untersuchen von Microsoft Entra-Analyse- und Betriebsprotokollen.

AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749 / 0xc004848b)

Ursache

Der Metadata Exchange-Endpunkt (MEX) ist falsch konfiguriert. Die MEX-Antwort enthält keine Kennwort-URLs.

Lösung

• Stellen Sie sicher, dass der Netzwerkproxy die Serverantwort nicht beeinträchtigt oder ändert.

• Korrigieren Sie die MEX-Konfiguration, um gültige URLs in der Antwort zurückzugeben.

AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748 / 0xc004848c)

Ursache

Der Metadata Exchange-Endpunkt (MEX) ist falsch konfiguriert. Die MEX-Antwort enthält keine Zertifikatsendpunkt-URLs.

Lösung

• Stellen Sie sicher, dass der Netzwerkproxy die Serverantwort nicht beeinträchtigt oder ändert.

• Korrigieren Sie die MEX-Konfiguration im Identitätsanbieter, damit gültige Zertifikat-URLs in der Antwort zurückgegeben werden.

Allgemeine XML-Fehlercodes (Codes, die mit „0xc00c“ beginnen)

WC_E_DTDPROHIBITED (-1072894385 / 0xc00cee4f)

Ursache

Die XML-Antwort vom WS-Trust-Protokollendpunkt (erforderlich für die Verbundauthentifizierung) enthielt eine Dokumenttypdefinition (DTD). Die DTD wird in der XML-Antwort nicht erwartet, und die Antwortanalyse schlägt fehl, wenn die DTD enthalten ist.

Lösung

• Korrigieren Sie die Konfiguration im Identitätsanbieter, um das Senden einer DTD in der XML-Antwort zu vermeiden.

• Rufen Sie aus der Ereignis-ID 1022 in den Microsoft Entra-Analyseprotokollen die URL ab, auf die zugegriffen wird.

  Informationen zum Anzeigen von Ereignis-IDs in den Analyseprotokollen von Microsoft Entra finden Sie im Abschnitt Methode 2: Verwenden der Ereignisanzeige zum Untersuchen von Microsoft Entra-Analyse- und Betriebsprotokollen.

Allgemeine Serverfehlercodes (Präfix „AADSTS“)

Eine vollständige Liste und die Beschreibung der Serverfehlercodes finden Sie unter Microsoft Entra-Authentifizierungs- und Autorisierungsfehlercodes.

AADSTS50155: Fehler bei Geräteauthentifizierung

Ursache

• Microsoft Entra ID kann das Gerät nicht authentifizieren, um ein PRT auszugeben.

• Das Gerät wurde möglicherweise gelöscht oder deaktiviert. (Weitere Informationen finden Sie unter Warum wird Benutzern auf ihren Windows 10/11-Geräten die Fehlermeldung „Ihre Organisation hat das Gerät gelöscht“ oder „Ihre Organisation hat das Gerät deaktiviert“ angezeigt?)

Lösung

Registrieren Sie das Gerät auf Basis des Typs der Geräteeinbindung erneut. Anweisungen hierzu finden Sie unter Ich habe mein Gerät deaktiviert oder gelöscht. Der lokale Status auf dem Gerät besagt jedoch, dass es weiterhin registriert ist. Wie soll ich vorgehen?.

AADSTS50034: Das Benutzerkonto <Konto> ist nicht im <Mandanten-ID>-Verzeichnis

vorhanden

Ursache

Microsoft Entra ID kann das Benutzerkonto im Mandanten nicht finden.

Lösung

• Stellen Sie sicher, dass der Benutzer den richtigen UPN eingibt.

• Stellen Sie sicher, dass das lokale Benutzerkonto mit Microsoft Entra ID synchronisiert wird.

• Rufen Sie den bereitgestellten UPN ab, indem Sie in den Microsoft Entra-Analyseprotokollen nach Ereignis-ID 1144 suchen.

  Informationen zum Anzeigen von Ereignis-IDs in den Analyseprotokollen von Microsoft Entra finden Sie im Abschnitt Methode 2: Verwenden der Ereignisanzeige zum Untersuchen von Microsoft Entra-Analyse- und Betriebsprotokollen.

AADSTS50126: Fehler beim Überprüfen der Anmeldeinformationen aufgrund eines ungültigen Benutzernamens oder Kennworts

Ursache

• Der Benutzer hat auf der Anmeldebenutzeroberfläche einen falschen Benutzernamen oder ein falsches Kennwort eingegeben.

• Das Kennwort wurde aufgrund des folgenden Szenarios nicht mit Microsoft Entra synchronisiert:

  • Der Mandant hat die Kennworthashsynchronisierung aktiviert.
  • Das Gerät ist ein hybrid, in Microsoft Entra eingebundenes Gerät.
  • Der Benutzer hat kürzlich das Kennwort geändert.

Lösung

Um ein neues PRT mit neuen Anmeldeinformationen zu erhalten, warten Sie, bis die Microsoft Entra-Synchronisierung abgeschlossen ist.

Allgemeine Netzwerkfehlercodes (Präfix „ERROR_WINHTTP_“)

Eine vollständige Liste und Beschreibung der Netzwerkfehlercodes finden Sie unter Fehlermeldungen (Winhttp.h).

ERROR_WINHTTP_TIMEOUT (12002),
ERROR_WINHTTP_NAME_NOT_RESOLVED (12007),
ERROR_WINHTTP_CANNOT_CONNECT (12029),
ERROR_WINHTTP_CONNECTION_ERROR (12030)

Ursache

Häufige allgemeine Probleme im Zusammenhang mit dem Netzwerk.

Lösung

• Rufen Sie die URL ab, auf die zugegriffen wird. Sie können die URL in der Ereignis-ID 1084 im Microsoft Entra-Betriebsprotokoll oder in der Ereignis-ID 1022 im Microsoft Entra-Analyseprotokoll finden.

  Informationen zum Anzeigen von Ereignis-IDs in den Betriebs- und Analyseprotokollen von Microsoft Entra finden Sie im Abschnitt Methode 2: Verwenden der Ereignisanzeige zum Untersuchen von Microsoft Entra-Analyse- und Betriebsprotokollen.

• Wenn die lokale Umgebung einen Proxy für den ausgehenden Datenverkehr erfordert, müssen Sie sicherstellen, dass das Computerkonto des Geräts in der Lage ist, den Proxy zu erkennen und sich automatisch zu authentifizieren.

• Sammeln Sie Netzwerkablaufverfolgungen, indem Sie die folgenden Schritte ausführen:

  Wichtig

  Verwenden Sie Fiddler während dieses Verfahrens nicht.

  1. Führen Sie den folgenden Befehl netsh trace start aus:

     netsh trace start scenario=InternetClient_dbg capture=yes persistent=yes
     

  2. Sperren Sie das Gerät.

  3. Wenn es sich bei dem Gerät um ein hybrid, in Microsoft Entra eingebundenes Gerät handelt, warten Sie mindestens 60 Sekunden, bis die PRT-Beschaffungsaufgabe abgeschlossen ist.

  4. Entsperren Sie das Gerät.

  5. Führen Sie den folgenden Befehl netsh trace stop aus:

     netsh trace stop
     

Schritt 4: Sammeln der Protokolle und Ablaufverfolgungen

Reguläre Protokolle

1. Laden Sie das Authentifizierungsskriptarchiv herunter, und extrahieren Sie die Skripts in ein lokales Verzeichnis. Lesen Sie die Nutzungsanweisungen in KB-4487175 (falls erforderlich).

2. Öffnen Sie eine administrative PowerShell-Sitzung, und ändern Sie das aktuelle Verzeichnis in das Verzeichnis, in dem Sie die Authentifizierungsskripts gespeichert haben.

3. Geben Sie den folgenden Befehl ein, um die Fehlerablaufverfolgungssitzung zu starten:

   .\Start-auth.ps1 -v -acceptEULA
   

4. Wechseln Sie das Windows-Benutzerkonto, um zur Sitzung Ihres Problembenutzers zu wechseln.

5. Sperren Sie das Gerät.

6. Wenn es sich bei dem Gerät um ein hybrid, in Microsoft Entra eingebundenes Gerät handelt, warten Sie mindestens 60 Sekunden, bis die PRT-Beschaffungsaufgabe abgeschlossen ist.

7. Entsperren Sie das Gerät.

8. Wechseln Sie wieder das Windows-Benutzerkonto, und kehren Sie zu Ihrer Verwaltungssitzung zurück, in der die Ablaufverfolgungssitzung ausgeführt wird.

9. Nachdem Sie das Problem reproduziert haben, führen Sie den folgenden Befehl aus, um die Ablaufverfolgungssitzung zu beenden:

   .\stop-auth.ps1
   

10. Warten Sie, bis die gesamte Ablaufverfolgung vollständig beendet ist.

Zeitreiseablaufverfolgungen

Im folgenden Verfahren wird beschrieben, wie Ablaufverfolgungen mithilfe der Funktion Time Travel Debugging (TTD) erfasst werden.

Warnung

Zeitreiseablaufverfolgungen enthalten personenbezogene Daten. Darüber hinaus enthalten Ablaufverfolgungen des Local Security Authority Subsystem Service (LSASS oder lsass.exe) äußerst vertrauliche Informationen. Stellen Sie beim Bearbeiten dieser Ablaufverfolgungen sicher, dass Sie bewährte Methoden für die Speicherung und Freigabe dieser Art von Informationen verwenden.

1. Wählen Sie Start aus, geben Sie cmd ein, suchen Sie die Eingabeaufforderung, und klicken Sie in den Suchergebnissen mit der rechten Maustaste darauf. Wählen Sie dann Als Administrator ausführen aus.

2. Erstellen Sie an der Eingabeaufforderung ein temporäres Verzeichnis:

   mkdir c:\temp
   

3. Führen Sie den folgenden Befehl tasklist aus:

   tasklist /m lsasrv.dll
   

4. Suchen Sie in der tasklist-Befehlsausgabe nach dem Prozessbezeichner (PID) von lsass.exe.

5. Um eine Ablaufverfolgungssitzung des Prozesses lsass.exe zu starten, führen Sie den folgenden Time Travel Debugging-Befehl (TTD.exe) aus:

   TTD.exe -attach <lsass-pid> -out c:\temp
   

6. Sperren Sie das Gerät, das unter dem Domänenkonto angemeldet ist.

7. Entsperren Sie das Gerät.

8. Führen Sie den folgenden TTD-Befehl aus, um die Zeitreiseablaufverfolgungssitzung zu beenden:

   TTD.exe -stop all
   

9. Rufen Sie die aktuelle Datei lsass##.run ab.