Condividi tramite

Risolvere i problemi dei dispositivi usando il comando dsregcmd

  • Articolo

Questo articolo illustra come usare l'output del comando dsregcmd per comprendere lo stato dei dispositivi in Microsoft Entra ID. L'utilità dsregcmd /status deve essere eseguita come account utente di dominio.

Stato del dispositivo

Questa sezione elenca i parametri dello stato di join del dispositivo. I criteri richiesti per il dispositivo in vari stati di join sono elencati nella tabella seguente:

AzureAdJoined EnterpriseJoined DomainJoined Stato del dispositivo
NO NO Aggiunto a Microsoft Entra
NO NO Aggiunti a un dominio
NO Microsoft Entra aggiunto ibrido
NO Aggiunto al ripristino di emergenza locale

Nota

Lo stato Aggiunto all'area di lavoro (Microsoft Entra registrato) viene visualizzato nella sezione "Stato utente".

  • AzureAdJoined: impostare lo stato su se il dispositivo viene aggiunto a Microsoft Entra ID. In caso contrario, impostare lo stato su NO.
  • EnterpriseJoined: impostare lo stato su se il dispositivo viene aggiunto a un servizio di replica dati locale. Un dispositivo non può essere sia EnterpriseJoined che AzureAdJoined.
  • DomainJoined: impostare lo stato su se il dispositivo viene aggiunto a un dominio (Active Directory).
  • DomainName: impostare lo stato sul nome del dominio se il dispositivo viene aggiunto a un dominio.

Output dello stato del dispositivo di esempio

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Dettagli dispositivo

Lo stato viene visualizzato solo quando il dispositivo è aggiunto a Microsoft Entra o aggiunto a Microsoft Entra ibrido (non Registrato da Microsoft Entra). Questa sezione elenca i dettagli di identificazione dei dispositivi archiviati in Microsoft Entra ID.

  • DeviceId: ID univoco del dispositivo nel tenant di Microsoft Entra.
  • Identificazione personale: identificazione personale del certificato del dispositivo.
  • DeviceCertificate Validità: stato di validità del certificato del dispositivo.
  • KeyContainerId: valore containerId della chiave privata del dispositivo associato al certificato del dispositivo.
  • KeyProvider: KeyProvider(Hardware/Software) usato per archiviare la chiave privata del dispositivo.
  • TpmProtected: lo stato è impostato su se la chiave privata del dispositivo viene archiviata in un modulo TPM (Trusted Platform Module) hardware.
  • DeviceAuthStatus: esegue un controllo per determinare l'integrità del dispositivo in Microsoft Entra ID. Gli stati di integrità sono:
    • RIUSCITO se il dispositivo è presente e abilitato in Microsoft Entra ID.
    • NON RIUSCITO. Il dispositivo è disabilitato o eliminato se il dispositivo è disabilitato o eliminato. Per altre informazioni su questo problema, vedere Domande frequenti sulla gestione dei dispositivi di Microsoft Entra.
    • NON RIUSCITO. ERROR se il test non è stato in grado di eseguire. Questo test richiede la connettività di rete all'ID Microsoft Entra nel contesto di sistema.

    Nota

    Il campo DeviceAuthStatus è stato aggiunto nell'aggiornamento di Windows 10 maggio 2021 (versione 21H1).

  • Desktop virtuale: in questo caso vengono visualizzati tre casi.
    • NON IMPOSTATO: i metadati del dispositivo VDI non sono presenti nel dispositivo.
    • Sì - I metadati del dispositivo VDI sono presenti e gli output dsregcmd associati ai metadati, tra cui:
      • Provider: nome del fornitore VDI.
      • Tipo: VDI persistente o VDI non persistente.
      • Modalità utente: utente singolo o multiutente.
      • Estensioni: numero di coppie chiave-valore nei metadati specifici del fornitore facoltativi, seguite da coppie chiave-valore.
    • NON VALIDO: i metadati del dispositivo VDI sono presenti ma non sono impostati correttamente. In questo caso, dsregcmd restituisce i metadati non corretti.

Output dei dettagli del dispositivo di esempio

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
                Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Dettagli del tenant

I dettagli del tenant vengono visualizzati solo quando il dispositivo è aggiunto a Microsoft Entra o aggiunto a Microsoft Entra ibrido, non a Microsoft Entra registrato. Questa sezione elenca i dettagli comuni del tenant visualizzati quando un dispositivo viene aggiunto a Microsoft Entra ID.

Nota

Se i campi URL di gestione dei dispositivi mobili (MDM) in questa sezione sono vuoti, indica che MDM non è stato configurato o che l'utente corrente non è nell'ambito della registrazione MDM. Controllare le impostazioni di mobilità in Microsoft Entra ID per esaminare la configurazione MDM.

Anche se vengono visualizzati gli URL MDM, questo non significa che il dispositivo sia gestito da un MDM. Le informazioni vengono visualizzate se il tenant ha la configurazione MDM per la registrazione automatica anche se il dispositivo stesso non è gestito.

Output dei dettagli del tenant di esempio

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVx{lots of characters}xxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Stato utente

In questa sezione vengono elencati gli stati dei vari attributi per gli utenti attualmente connessi al dispositivo.

Nota

Il comando deve essere eseguito in un contesto utente per recuperare uno stato valido.

  • NgcSet: impostare lo stato su se è impostata una chiave di Windows Hello per l'utente connesso corrente.
  • NgcKeyId: ID della chiave di Windows Hello se ne è impostata una per l'utente connesso corrente.
  • CanReset: indica se la chiave di Windows Hello può essere reimpostata dall'utente.
  • Valori possibili: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive, o Unknown in caso di errore.
  • WorkplaceJoined: impostare lo stato su se gli account registrati di Microsoft Entra sono stati aggiunti al dispositivo nel contesto NTUSER corrente.
  • WamDefaultSet: impostare lo stato su se viene creato un WebAccount Web Manager (WAM) predefinito per l'utente connesso. Questo campo potrebbe visualizzare un errore se dsregcmd /status viene eseguito da un prompt dei comandi con privilegi elevati.
  • WamDefaultAuthority: impostare lo stato sulle organizzazioni per Microsoft Entra ID.
  • WamDefaultId: usare https://login.microsoft.com sempre per Microsoft Entra ID.
  • WamDefaultGUID: GUID del provider WAM (Microsoft Entra ID/account Microsoft) per l'account Web WAM predefinito.

Output dello stato utente di esempio

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Stato SSO

È possibile ignorare questa sezione per i dispositivi registrati da Microsoft Entra.

Nota

Il comando deve essere eseguito in un contesto utente per recuperare lo stato valido dell'utente.

  • AzureAdPrt: impostare lo stato su se nel dispositivo è presente un token di aggiornamento primario per l'utente connesso.
  • AzureAdPrtUpdateTime: impostare lo stato sull'ora, nell'ora UTC (Coordinated Universal Time), quando il token di aggiornamento primario è stato aggiornato per l’ultima volta.
  • AzureAdPrtExpiryTime: impostare lo stato sull'ora, in formato UTC, quando il token di aggiornamento primario scadrà se non viene rinnovato.
  • AzureAdPrtAuthority: URL dell'autorità di Microsoft Entra
  • EnterprisePrt: impostare lo stato su se il dispositivo dispone di un token di aggiornamento primario da Active Directory Federation Services (AD FS) locale. Per i dispositivi aggiunti a Microsoft Entra ibrido, il dispositivo potrebbe avere un token di aggiornamento primario sia da Microsoft Entra ID che da Active Directory locale contemporaneamente. I dispositivi aggiunti in locale hanno solo un token di aggiornamento primario aziendale.
  • EnterprisePrtUpdateTime: impostare lo stato sull'ora, in formato UTC, dell'ultimo aggiornamento di Enterprise PRT.
  • EnterprisePrtExpiryTime: impostare lo stato sull'ora, in formato UTC, quando il token di aggiornamento primario scadrà se non viene rinnovato.
  • EnterprisePrtAuthority: URL dell'autorità AD FS

Nota

I campi di diagnostica PRT seguenti sono stati aggiunti nell'aggiornamento di Windows 10 maggio 2021 (versione 21H1).

  • Le informazioni di diagnostica visualizzate nel campo AzureAdPrt sono relative all'acquisizione o all'aggiornamento di Microsoft Entra PRT e le informazioni di diagnostica visualizzate nel campo EnterprisePrt sono relative all'acquisizione o all'aggiornamento di Enterprise PRT.
  • Le informazioni di diagnostica vengono visualizzate solo se l'acquisizione o l'errore di aggiornamento si è verificato dopo l'ora dell'ultimo aggiornamento PRT riuscito (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    In un dispositivo condiviso queste informazioni di diagnostica potrebbero derivare da un tentativo di accesso di un utente diverso.
  • AcquirePrtDiagnostics: impostare lo stato su PRESENTE se le informazioni di diagnostica PRT acquisite sono presenti nei log.
    • Questo campo viene ignorato se non sono disponibili informazioni di diagnostica.
  • Tentativo di Prt precedente: ora locale, in formato UTC, in cui si è verificato il tentativo di token di aggiornamento primario non riuscito.
  • Stato tentativo: codice di errore del client restituito (HRESULT).
  • Identità utente: UPN dell'utente per cui si è verificato il tentativo di aggiornamento primario.
  • Tipo di credenziale: le credenziali usate per acquisire o aggiornare il token di aggiornamento primario. I tipi di credenziali comuni sono Password e NGC (Next Generation Credential) (per Windows Hello).
  • ID di correlazione: ID di correlazione inviato dal server per il tentativo PRT non riuscito.
  • URI dell'endpoint: ultimo endpoint a cui si accede prima dell'errore.
  • Metodo HTTP: metodo HTTP usato per accedere all'endpoint.
  • Errore HTTP: codice di errore del trasporto WinHttp. Ottenere altri codici di errore di rete.
  • Stato HTTP: stato HTTP restituito dall'endpoint.
  • Codice di errore del server: codice di errore del server.
  • Descrizione dell'errore del server: messaggio di errore del server.
  • RefreshPrtDiagnostics: impostare lo stato su PRESENTE se le informazioni di diagnostica PRT acquisite sono presenti nei log.
    • Questo campo viene ignorato se non sono disponibili informazioni di diagnostica.
    • I campi di informazioni di diagnostica sono uguali a AcquirePrtDiagnostics.

Nota

I campi di diagnostica Kerberos cloud seguenti sono stati aggiunti nella versione originale di Windows 11 (versione 21H2).

  • OnPremTgt: impostare lo stato su se un ticket Kerberos cloud per accedere alle risorse locali è presente nel dispositivo per l'utente connesso.
  • CloudTgt: impostare lo stato su se un ticket Kerberos cloud per accedere alle risorse cloud è presente nel dispositivo per l'utente connesso.
  • KerbTopLevelNames: elenco dei nomi dell'area di autenticazione Kerberos di primo livello per Cloud Kerberos.

Output dello stato SSO di esempio

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

dati di diagnostica

Diagnostica di pre-join

Questa sezione di diagnostica viene visualizzata solo se il dispositivo è aggiunto a un dominio e non è possibile accedere all'aggiunta ibrida a Microsoft Entra.

In questa sezione vengono eseguiti vari test per diagnosticare gli errori di join. Le informazioni includono la fase di errore, il codice di errore, l'ID richiesta del server, lo stato HTTP della risposta del server e il messaggio di errore di risposta del server.

  • contesto utente: contesto in cui vengono eseguiti i dati di diagnostica. Valori possibili: SISTEMA, Utente NON ELEVATO, Utente ELEVATO.

    Nota

    Poiché il join effettivo viene eseguito nel contesto SYSTEM, l'esecuzione della diagnostica nel contesto SYSTEM è più vicina allo scenario di join effettivo. Per eseguire la diagnostica nel contesto SYSTEM, è necessario eseguire il comando dsregcmd /status da un prompt dei comandi con privilegi elevati.

  • Ora client: ora di sistema, in formato UTC.

  • Test di connettività di Active Directory: questo test esegue un test di connettività al controller di dominio. Un errore in questo test genera probabilmente errori di join nella fase di pre-controllo.

  • Test di configurazione di ACTIVE Directory: questo test legge e verifica se l'oggetto Punto di connessione del servizio (SCP) è configurato correttamente nella foresta Active Directory locale. Gli errori in questo test potrebbero causare errori di join nella fase di individuazione con il codice di errore 0x801c001d.

  • Test di individuazione DRS: questo test ottiene gli endpoint DRS dall'endpoint dei metadati di individuazione ed esegue una richiesta dell'area di autenticazione dell'utente. Gli errori in questo test potrebbero causare errori di join nella fase di individuazione.

  • Test di connettività DRS: questo test esegue un test di connettività di base all'endpoint DRS.

  • Test di acquisizione token: questo test prova a ottenere un token di autenticazione Di Microsoft Entra se il tenant utente è federato. Gli errori in questo test potrebbero causare errori di join nella fase di autenticazione. Se l'autenticazione non riesce, il join di sincronizzazione viene tentato come fallback, a meno che il fallback non venga disabilitato in modo esplicito con le impostazioni della chiave del Registro di sistema seguenti:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
Value: FallbackToSyncJoin
Type:  REG_DWORD
Value: 0x0 -> Disabled
Value: 0x1 -> Enabled
Default (No Key): Enabled

  • Fallback all'aggiunta alla sincronizzazione: impostare lo stato su Abilitato se la chiave del Registro di sistema precedente per impedire il fallback all'aggiunta alla sincronizzazione con errori di autenticazione non è presente. Questa opzione è disponibile in Windows 10 1803 e versioni successive.

  • Registrazione precedente: ora in cui si è verificato il tentativo di join precedente. Vengono registrati solo i tentativi di join non riusciti.

  • Fase di errore: fase del join in cui è stata interrotta. I valori possibili sono controllo preliminare, individuare, autenticazione e join.

  • Client ErrorCode: codice di errore client restituito (HRESULT).

  • Server ErrorCode: codice di errore del server visualizzato se una richiesta è stata inviata al server e il server ha risposto con un codice di errore.

  • Messaggio del server: il messaggio del server restituito insieme al codice di errore.

  • Stato HTTPS: stato HTTP restituito dal server.

  • ID richiesta: l’id richiesta client inviato al server. L'ID richiesta è utile per la correlazione con i log lato server.

Output di diagnostica di pre-join di esempio

L'esempio seguente mostra un test di diagnostica che ha esito negativo con un errore di individuazione.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

L'esempio seguente mostra che i test di diagnostica stanno riuscendo ma il tentativo di registrazione non è riuscito con un errore di directory, previsto per il join di sincronizzazione. Al termine del processo di sincronizzazione di Microsoft Entra Connect, il dispositivo è in grado di partecipare.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnostica post-join

Questa sezione di diagnostica visualizza l'output dei controlli di integrità eseguiti in un dispositivo aggiunto al cloud.

  • AadRecoveryEnabled: se il valore è , le chiavi archiviate nel dispositivo non sono utilizzabili e il dispositivo viene contrassegnato per il ripristino. L'accesso successivo attiverà il flusso di ripristino e registrerà nuovamente il dispositivo.
  • KeySignTest: se il valore è SUPERATO, le chiavi del dispositivo sono integre. Se KeySignTest ha esito negativo, il dispositivo viene in genere contrassegnato per il ripristino. L'accesso successivo attiverà il flusso di ripristino e registrerà nuovamente il dispositivo. Per i dispositivi aggiunti a Microsoft Entra ibrido, il ripristino è invisibile all'utente. Mentre i dispositivi sono aggiunti a Microsoft Entra o Microsoft Entra registrati, richiedono l'autenticazione dell'utente per ripristinare e registrare nuovamente il dispositivo, se necessario.

    Nota

    KeySignTest richiede privilegi elevati.

Output di diagnostica post-join di esempio

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Controllo dei prerequisiti NGC

Questa sezione di diagnostica esegue il controllo dei prerequisiti per la configurazione di Windows Hello for Business (WHFB).

Nota

È possibile che non vengano visualizzati i dettagli dei prerequisiti NGC in dsregcmd /status se l'utente ha già configurato WHFB correttamente.

  • IsDeviceJoined: impostare lo stato su se il dispositivo viene aggiunto a Microsoft Entra ID.
  • IsUserAzureAD: impostare lo stato su se l'utente connesso è presente in Microsoft Entra ID.
  • PolicyEnabled: impostare lo stato su se il criterio WHFB è abilitato nel dispositivo.
  • PostLogonEnabled: impostare lo stato su se la registrazione WHFB viene attivata in modo nativo dalla piattaforma. Se lo stato è impostato su NO, indica che la registrazione di Windows Hello for Business viene attivata da un meccanismo personalizzato.
  • DeviceEligible: impostare lo stato su se il dispositivo soddisfa il requisito hardware per la registrazione con WHFB.
  • SessionIsNotRemote: impostare lo stato su se l'utente corrente è connesso direttamente al dispositivo e non in remoto.
  • CertEnrollment: questa impostazione è specifica per la distribuzione dell'attendibilità del certificato WHFB, che indica l'autorità di registrazione certificati per WHFB. Impostare lo stato su autorità di registrazione se l'origine dei criteri WHFB è Criteri di gruppo, o impostarla su gestione dei dispositivi mobili se l'origine è MDM. Se nessuna delle due origini si applica, impostare lo stato su nessuno.
  • AdfsRefreshToken: questa impostazione è specifica per la distribuzione dell'attendibilità del certificato WHFB e presente solo se lo stato CertEnrollment è l'autorità di registrazione. L'impostazione indica se il dispositivo ha un token di aggiornamento primario aziendale per l'utente.
  • AdfsRaIsReady: questa impostazione è specifica per la distribuzione dell'attendibilità del certificato WHFB e presente solo se lo stato CertEnrollment è l'autorità di registrazione. Impostare lo stato su se AD FS indica nei metadati di individuazione che supporta WHFB e il modello di certificato di accesso è disponibile.
  • LogonCertTemplateReady: questa impostazione è specifica per la distribuzione dell'attendibilità del certificato WHFB e presente solo se lo stato CertEnrollment è l'autorità di registrazione. Impostare lo stato su se lo stato del modello di certificato di accesso è valido e consente di risolvere i problemi dell'autorità di registrazione di AD FS.
  • PreReqResult: fornisce il risultato di tutta la valutazione dei prerequisiti WHFB. Impostare lo stato su Eseguirà il provisioning se la registrazione WHFB verrà avviata come attività di post-accesso quando l'utente esegue l'accesso successivo.

Nota

I campi di diagnostica Kerberos cloud seguenti sono stati aggiunti nell'aggiornamento di Windows 10 maggio 2021 (versione 21H1).

Prima di Windows 11 versione 23H2, l'impostazione OnPremTGT era denominata CloudTGT.

  • OnPremTGT: questa impostazione è specifica per la distribuzione trust Kerberos cloud e presente solo se lo stato CertEnrollment è nessuno. Impostare lo stato su se il dispositivo dispone di un ticket Kerberos cloud per accedere alle risorse locali. Prima di Windows 11 versione 23H2, questa impostazione era denominata CloudTGT.

Esempio di output di controllo dei prerequisiti NGC

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Passaggi successivi

Passare allo strumento di ricerca degli errori Microsoft.