Delen via

Problemen met hybride gekoppelde apparaten met Microsoft Entra oplossen

  • Artikel

Dit artikel bevat richtlijnen voor het oplossen van mogelijke problemen met apparaten waarop Windows 10 of nieuwer en Windows Server 2016 of nieuwer worden uitgevoerd.

De hybride koppeling van Microsoft Entra ondersteunt de Windows 10-update van november 2015 en later.

In dit artikel wordt ervan uitgegaan dat u Microsoft Entra hybride verbonden apparaten hebt om de volgende scenario's te ondersteunen:

Notitie

Los veelvoorkomende problemen met apparaatregistratie op door het hulpprogramma voor probleemoplossing voor apparaatregistratie te gebruiken.

Fouten bij het joinen oplossen

Stap 1: haal de toevoegingsstatus op

  1. Open een opdrachtprompt-venster als beheerder.
  2. Typ dsregcmd /status.
+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

    AzureAdJoined: YES
 EnterpriseJoined: NO
         DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
       Thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
   KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
      KeyProvider: Microsoft Platform Crypto Provider
     TpmProtected: YES
     KeySignTest: : MUST Run elevated to test.
              Idp: login.windows.net
         TenantId: aaaabbbb-0000-cccc-1111-dddd2222eeee
       TenantName: Contoso
      AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
   AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
           MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
        MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
  dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
      SettingsUrl: eyJVc{lots of characters}JdfQ==
   JoinSrvVersion: 1.0
       JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
        JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
    KeySrvVersion: 1.0
        KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
         KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
     DomainJoined: YES
       DomainName: CONTOSO

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

             NgcSet: YES
           NgcKeyId: {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
    WorkplaceJoined: NO
      WamDefaultSet: YES
WamDefaultAuthority: organizations
       WamDefaultId: https://login.microsoft.com
     WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
         AzureAdPrt: YES

Stap 2: evalueer de toevoegingsstatus

Controleer de velden in de volgende tabel en ga na of deze de verwachte waarden hebben:

Veld Verwachte waarde Beschrijving
Aangesloten bij het domein JA Dit veld geeft aan of het apparaat is toegevoegd aan een on-premises Active Directory.

Als de waarde NEE is, kan het apparaat hybride join van Microsoft Entra niet uitvoeren.
WorkplaceJoined NEE Dit veld geeft aan of het apparaat is geregistreerd bij Microsoft Entra ID als een persoonlijk apparaat (gemarkeerd als Werkplek toegevoegd). Deze waarde moet NEE zijn voor een computer die lid is van een domein en die ook hybride lid is van Microsoft Entra.

Als de waarde JA is, is er een werk- of schoolaccount toegevoegd voordat de hybride deelname van Microsoft Entra is voltooid. In dit geval wordt het account genegeerd wanneer u Windows 10 versie 1607 of hoger gebruikt.
AzureAdJoined JA Dit veld geeft aan of het apparaat is toegevoegd. De waarde is JA als het apparaat een aan Microsoft Entra gekoppeld apparaat of een hybride apparaat van Microsoft Entra is.

Als de waarde NEE is, is de join met Microsoft Entra ID nog niet voltooid.

Ga door naar de volgende stappen voor verdere probleemoplossing.

Stap 3: De fase zoeken waarin de join is mislukt en de foutcode

Voor Windows 10 versie 1803 of hoger

Zoek naar de subsectie 'Vorige registratie' in de sectie 'Diagnostische gegevens' van de joinstatusuitvoer. Deze sectie wordt alleen weergegeven als het apparaat lid is van een domein en niet in staat is om een Microsoft Entra hybride join uit te voeren.

Het veld Foutfase geeft de fase van de joinfout aan en Client ErrorCode geeft de foutcode van de joinbewerking aan.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Voor eerdere versies van Windows 10

Gebruik Event Viewer-logboeken om de fase en foutcode voor de joinfouten te vinden.

  1. Open in Logboekviewer de gebeurtenislogboeken van Apparaatregistratie gebruiker. Ze worden bewaard onder het Logboek toepassingen en services>Microsoft>Windows>Apparaatregistratie gebruiker.
  2. Zoek naar gebeurtenissen met de volgende gebeurtenis-id's: 304, 305 en 307.

Schermopname van de Gebeurtenissenweergave, met gebeurtenis-ID 304 geselecteerd, waarin de foutinformatie wordt weergegeven. De foutcode en fase zijn gemarkeerd.

Schermopname van Logboekweergave, met gebeurtenis-ID 305 geselecteerd, de informatie weergegeven, en de foutcode gemarkeerd.

Stap 4: Controleren op mogelijke oorzaken en oplossingen

Precheckfase

Mogelijke oorzaken voor het mislukken:

  • Het apparaat heeft geen zichtlijn naar de domeincontroller.
    • Het apparaat moet zich bevinden op het interne netwerk van de organisatie of op een virtueel privénetwerk (VPN) met netwerkzichtlijn naar een on-premises Active Directory domeincontroller.

Fase ontdekken

Mogelijke oorzaken voor het mislukken:

  • Het aansluitpuntobject voor de service is onjuist geconfigureerd of kan niet worden gelezen vanaf de domeincontroller.
  • Kan geen verbinding maken met de detectiemetagegevens en deze ophalen van het detectie-eindpunt.
    • Het apparaat moet toegang hebben tot https://enterpriseregistration.windows.net in de systeemcontext, om de registratie- en autorisatie-eindpunten te detecteren.
    • Als voor de on-premises omgeving een uitgaande proxy is vereist, moet de IT-beheerder controleren of het computeraccount van het apparaat de uitgaande proxy kan vinden en stilletjes ermee kan worden geverifieerd.
  • Kan geen verbinding maken met het eindpunt van het gebruikersdomein en realmdetectie uitvoeren (alleen Windows 10 versie 1809 en hoger).
    • Het apparaat moet in de systeemcontext toegang hebben tot https://login.microsoftonline.com om realmdetectie voor het geverifieerde domein en het domeintype (beheerd of federatief) te kunnen bepalen.
    • Als voor de on-premises omgeving een uitgaande proxy is vereist, moet de IT-beheerder ervoor zorgen dat de systeemcontext op het apparaat de uitgaande proxy kan ontdekken en zonder tussenkomst kan worden geverifieerd.

Veelvoorkomende foutcodes:

Foutcode Reden Resolutie
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) Kan het SCP-object (Service Connection Point) niet lezen en de tenantgegevens van Microsoft Entra ophalen. Raadpleeg de sectie Een serviceverbindingspunt configureren.
DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) Algemene detectiefout. Kan de detectiemetagegevens niet ophalen van de data replication service (DRS). Als u verder wilt onderzoeken, zoekt u de suberror in de volgende secties.
DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) Er is een timeout opgetreden tijdens het uitgevoerde detectieproces. Controleer of https://enterpriseregistration.windows.net toegankelijk is in de systeemcontext. Zie de sectie Vereisten voor netwerkconnectiviteit voor meer informatie.
DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) Algemene domeinontdekkingsfout. Kan het domeintype (beheerd/federatief) niet bepalen vanuit STS. Als u verder wilt onderzoeken, zoekt u de suberror in de volgende secties.

Veelvoorkomende subfoutcodes:

Gebruik een van de volgende methoden om de suberrorcode voor de detectiefoutcode te vinden.

Windows 10 versie 1803 of hoger

Zoek naar "DRS Discovery Test" in de sectie "Diagnostische gegevens" van de joinstatus-uitvoer. Deze sectie wordt alleen weergegeven als het apparaat lid is van een domein en niet in staat is om een Microsoft Entra hybride join uit te voeren.

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : UN-ELEVATED User
               Client Time : 2019-06-05 08:25:29.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

+----------------------------------------------------------------------+
Eerdere versies van Windows 10

Gebruik Logboeken van Gebeurtenissen om de fase en foutcode voor de samenvoegfouten te vinden.

  1. Open in de Logboekviewer de gebeurtenislogboeken Apparaatregistratie gebruiker. Ze worden bewaard onder het Logboek toepassingen en services>Microsoft>Windows>Apparaatregistratie gebruiker.
  2. Zoek naar gebeurtenis-id 201.

Schermopname van de Logboekviewer, met evenement-ID 201 geselecteerd, waarvan de informatie wordt weergegeven en de foutcode gemarkeerd is.

Netwerkfouten:

Foutcode Reden Resolutie
WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) Kan geen verbinding maken met de server. Zorg voor netwerkconnectiviteit met de vereiste Microsoft-resources. Zie Vereisten voor netwerkconnectiviteit voor meer informatie.
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Algemene netwerktime-out. Zorg voor netwerkconnectiviteit met de vereiste Microsoft-resources. Zie Vereisten voor netwerkconnectiviteit voor meer informatie.
WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) De netwerkstack is niet in staat om het antwoord te decoderen van de server. Controleer of de netwerkproxy het antwoord van de server niet verstoort en wijzigt.

HTTP-fouten:

Foutcode Reden Resolutie
DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) Het serviceverbindingspuntobject is geconfigureerd met de verkeerde tenant-id of er zijn geen actieve abonnementen gevonden in de tenant. Zorg ervoor dat het serviceaansluitpuntobject is geconfigureerd met de juiste Microsoft Entra-tenant-id en actieve abonnementen of dat de service aanwezig is in de tenant.
DSREG_SERVER_BUSY (0x801c0025/-2145648603) HTTP 503 van DRS-server. De server is momenteel niet beschikbaar. Toekomstige pogingen voor samenvoeging slagen waarschijnlijk nadat de server weer online is.

Overige fouten:

Foutcode Reden Resolutie
E_INVALIDDATA (0x8007000d/-2147024883) De serverantwoord-JSON kan niet worden geparseerd, waarschijnlijk omdat de proxy een HTTP 200 retourneert met een HTML-autorisatiepagina. Als voor de on-premises omgeving een uitgaande proxy is vereist, moet de IT-beheerder ervoor zorgen dat de systeemcontext op het apparaat de uitgaande proxy kan ontdekken en zonder tussenkomst kan worden geverifieerd.

Authenticatiefase

Deze inhoud is alleen van toepassing op federatieve domeinaccounts.

Redenen voor falen

  • Kan geen toegangstoken stil verkrijgen voor de DRS-resource.
    • Windows 10- en Windows 11-apparaten verkrijgen het verificatietoken van de Federation-service met behulp van geïntegreerde Windows-verificatie naar een actief WS-Trust-eindpunt. Zie voor meer informatie Configuratie federatieservice.

Veelvoorkomende foutcodes:

Gebruik Gebeurtenislogboeken om de foutcode, subfoutcode, serverfoutcode en serverfoutbericht te vinden.

  1. Open in Logboeken de gebeurtenislogboeken van Apparaatregistratie gebruiker. Ze worden bewaard onder het Logboek toepassingen en services>Microsoft>Windows>Apparaatregistratie gebruiker.
  2. Zoek naar gebeurtenis-id 305.

Schermopname van Logboekenweergave, met gebeurtenis-id 305 geselecteerd, en zijn informatie wordt weergegeven en de ADAL-foutcodes en status zijn gemarkeerd.

Configuratiefouten:

Foutcode Reden Resolutie
ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) Het verificatieprotocol Azure AD Authentication Library (ADAL) is geen WS-Trust. De on-premises id-provider moet WS-Trust ondersteunen.
ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) De on-premises Federation Service retourneert geen XML-antwoord. Controleer of het MEX-eindpunt (Metadata Exchange) een geldige XML retourneert. Zorg ervoor dat de proxy niet verstoort en niet-xmlantwoorden retourneert.
ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) Kan geen eindpunt voor verificatie van gebruikersnaam en wachtwoord vinden. Controleer de instellingen van de on-premises id-provider. Controleer of WS-Trust-eindpunten zijn ingeschakeld en of het MEX-antwoord deze juiste eindpunten bevat.

Netwerkfouten:

Foutcode Reden Resolutie
ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) Algemene netwerktime-out. Controleer of https://login.microsoftonline.com toegankelijk is in de systeemcontext. Zorg ervoor dat de on-premises id-provider toegankelijk is in de systeemcontext. Zie Vereisten voor netwerkconnectiviteit voor meer informatie.
ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) De verbinding met het autorisatie-eindpunt is afgebroken. Probeer de koppeling na een tijdje opnieuw uit te voeren, of probeer vanaf een andere stabiele netwerklocatie deel te nemen.
ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) Het TLS-certificaat ((Transport Layer Security), voorheen bekend als het SSL-certificaat (Secure Sockets Layer)), dat door de server is verzonden, is niet gevalideerd. Controleer de tijdafwijking van de client. Probeer de koppeling na een tijdje opnieuw uit te voeren, of probeer vanaf een andere stabiele netwerklocatie deel te nemen.
ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) De poging om verbinding te maken met https://login.microsoftonline.com is mislukt. Controleer de netwerkverbinding met https://login.microsoftonline.com.

Overige fouten:

Foutcode Reden Resolutie
ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) Het SAML-token van de on-premises id-provider is niet geaccepteerd door Microsoft Entra-id. Controleer de instellingen van de federatieserver. Zoek de serverfoutcode in de verificatielogboeken.
ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) De WS-Trust serverresponse heeft een foutuitzondering gerapporteerd en kon geen assertie ophalen. Controleer de instellingen van de federatieserver. Zoek de serverfoutcode in de verificatielogboeken.
ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) Er is een fout opgetreden bij het ophalen van het toegangstoken van het tokeneindpunt. Zoek de onderliggende fout in het ADAL-logboek.
ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) Algemene ADAL-fout. Zoek de subfoutcode of serverfoutcode uit de verificatielogboeken.

Deelnamefase

Redenen voor falen

Zoek het registratietype en de foutcode in de volgende tabellen, afhankelijk van de versie van Windows 10 die u gebruikt.

Windows 10 versie 1803 of hoger

Zoek naar de subsectie 'Vorige registratie' in de sectie 'Diagnostische Gegevens' van de uitvoer van de joinstatus. Deze sectie wordt alleen weergegeven als het apparaat aan een domein is gekoppeld en niet in staat is tot een Microsoft Entra-hybride verbinding.

Het veld "Registratietype" geeft het type verbinding aan.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) is not found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Eerdere versies van Windows 10

Gebruik Event Viewer-logboeken om de fase en foutcode voor de joinfouten te vinden.

  1. Open in het Logboek de gebeurtenislogboeken Gebruikersapparaatregistratie. Ze worden bewaard onder het Logboek toepassingen en services>Microsoft>Windows>Apparaatregistratie gebruiker.
  2. Zoek naar gebeurtenis-id 204.

Schermopname van Gebeurtenisviewer, waarbij gebeurtenis-ID 204 is geselecteerd en de bijbehorende foutcode, HTTP-status en het bericht zijn gemarkeerd.

HTTP-fouten die zijn geretourneerd door de DRS-server:

Foutcode Reden Resolutie
DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) Er is een foutbericht ontvangen van DRS met ErrorCode (foutcode): DirectoryError. Raadpleeg de foutcode van de server voor mogelijke redenen en oplossingen.
DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) Er is een foutbericht ontvangen van DRS met ErrorCode: "AuthenticationError" en ErrorSubCode is niet "DeviceNotFound". Raadpleeg de foutcode van de server voor mogelijke redenen en oplossingen.
DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) Er is een foutbericht ontvangen van DRS met ErrorCode (foutcode): DirectoryError. Raadpleeg de foutcode van de server voor mogelijke redenen en oplossingen.

TPM-fouten:

Foutcode Reden Resolutie
NTE_BAD_KEYSET (0x80090016/-2146893802) De bewerking van de Trusted Platform Module (TPM) is mislukt of ongeldig. Deze fout geeft aan dat de sleutelset niet bestaat. Deze fout treedt op wanneer de TPM is gewist op systemen of wanneer er een ongeldige sysprep-afbeelding is.

Vermijd het wissen van de TPM in BIOS- of Windows-instellingen. Als de TPM is gewist, moeten gebruikers mogelijk problemen oplossen door accounts te verwijderen en opnieuw toe te voegen om het probleem op te lossen, met name wanneer ze meerdere WAM-accounts hebben. Zorg ervoor dat de machine waarvan de sysprep-afbeelding is gemaakt, niet gekoppeld is aan Microsoft Entra, niet hybride gekoppeld is aan Microsoft Entra, of niet geregistreerd is bij Microsoft Entra.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) Algemene TPM-fout. Schakel TPM uit op apparaten met deze fout. Windows 10-versies 1809 en hoger detecteren automatisch TPM-fouten en voltooi hybride koppeling van Microsoft Entra zonder de TPM te gebruiken.
TPM_E_NOTFIPS (0x80280036/-2144862154) TPM in de FIPS-modus wordt momenteel niet ondersteund. Schakel TPM uit op apparaten met deze fout. In Windows 10 versie 1809 worden TPM-fouten automatisch gedetecteerd en wordt de hybride koppeling van Microsoft Entra voltooid zonder de TPM te gebruiken.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) TPM is geblokkeerd. Tijdelijke fout. Wacht tot de afkoelperiode is beëindigd. De poging om te verbinden zou na een tijdje moeten slagen. Zie Basisprincipes TPM voor meer informatie.

Netwerkfouten:

Foutcode Reden Resolutie
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Algemene netwerktime-out bij het registreren van het apparaat bij DRS. Controleer de netwerkverbinding met https://enterpriseregistration.windows.net.
WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) De servernaam of het serveradres kon niet worden opgelost. Controleer de netwerkverbinding met https://enterpriseregistration.windows.net.
WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) De verbinding met de server is abnormaal beëindigd. Probeer de koppeling na een tijdje opnieuw uit te voeren, of probeer vanaf een andere stabiele netwerklocatie deel te nemen.

Overige fouten:

Foutcode Reden Resolutie
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) Gebeurtenis-id 220 is aanwezig in gebeurtenislogboeken voor registratie van gebruikersapparaten. Windows heeft geen toegang tot het computerobject in Active Directory. Er kan een Windows-foutcode worden opgenomen in de gebeurtenis. Foutcodes ERROR_NO_SUCH_LOGON_SESSION (1312) en ERROR_NO_SUCH_USER (1317) zijn gerelateerd aan replicatieproblemen in on-premises Active Directory. Problemen met replicatie in Active Directory oplossen. Deze replicatieproblemen kunnen tijdelijk zijn en kunnen na een tijdje verdwijnen.

Serverfouten bij federatieve koppeling:

Serverfoutcode Serverfoutmelding Mogelijke redenen Resolutie
DirectoryError Uw aanvraag wordt tijdelijk vertraagd. Probeer het na 300 seconden. Deze fout wordt verwacht, mogelijk omdat er meerdere registratieaanvragen achter elkaar zijn ingediend. Probeer opnieuw verbinding te maken na de afkoelperiode

Fouten bij server-synchronisatie-join:

Serverfoutcode Serverfoutmelding Mogelijke redenen Resolutie
DirectoryError AADSTS90002: tenant UUID niet gevonden. Deze fout kan optreden als er geen actieve abonnementen voor de tenant zijn. Controleer dit bij uw abonnementsbeheerder. De tenant-id in het aansluitpuntobject van de service is onjuist. Zorg ervoor dat het serviceaansluitpuntobject is geconfigureerd met de juiste Microsoft Entra-tenant-id en actieve abonnementen of dat de service aanwezig is in de tenant.
DirectoryError Het apparaatobject op basis van de opgegeven id is niet gevonden. Deze fout wordt verwacht bij sync-join. Het apparaatobject is niet gesynchroniseerd van AD naar Microsoft Entra-id Wacht tot de Microsoft Entra Connect Sync is voltooid en de volgende joinpoging nadat de synchronisatie is voltooid, lost het probleem op.
AuthenticationError De verificatie van de SID van de doelcomputer Het certificaat op het Microsoft Entra-apparaat komt niet overeen met het certificaat dat wordt gebruikt om tijdens de synchronisatiekoppeling aan te melden bij de blob. Deze fout betekent normaal gesproken dat de synchronisatie nog niet is voltooid. Wacht tot de Microsoft Entra Connect Sync is voltooid en de volgende joinpoging nadat de synchronisatie is voltooid, lost het probleem op.

Stap 5: Logboeken verzamelen en contact opnemen met Microsoft Ondersteuning

  1. Download het Auth.zip-bestand.

  2. Pak de bestanden uit naar een map, zoals c:\temp en ga vervolgens naar de map.

  3. Voer .\start-auth.ps1 -vAuth -accepteula uit vanuit een Azure PowerShell-sessie met verhoogde bevoegdheden.

  4. Selecteer Account wisselen om in te schakelen naar een andere sessie met de probleemgebruiker.

  5. Reproduceer het probleem.

  6. Kies Account wisselen om terug te schakelen naar de beheersessie die de tracering uitvoert.

  7. Voer .\stop-auth.ps1 uit vanuit de PowerShell-sessie met verhoogde bevoegdheid.

  8. Zip (comprimeer) en verzend de Auth-logboeken uit de map waarin de scripts zijn uitgevoerd.

Problemen met verificatie na het aansluiten bij een netwerk oplossen

Stap 1: Haal de PRT-status op met behulp van dsregcmd /status

  1. Open een opdrachtpromptvenster.

    Notitie

    Als u de status van de PRT (Primary Refresh Token) wilt ophalen, opent u het opdrachtpromptvenster in de context van de aangemelde gebruiker.

  2. Voer dsregcmd /status uit.

    De sectie "SSO-status" geeft de huidige PRT-status weer.

    Als het veld AzureAdPrt is ingesteld op NEE, is er een fout opgetreden bij het verkrijgen van de PRT-status van Microsoft Entra-id.

  3. Als AzureAdPrtUpdateTime meer dan vier uur is, is er waarschijnlijk een probleem met het vernieuwen van de PRT. Vergrendel en ontgrendel het apparaat om de PRT-vernieuwing af te dwingen en controleer vervolgens of de tijd bijwerkt.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : YES
      AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
      AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
   EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
    EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs

+----------------------------------------------------------------------+

Stap 2: De foutcode zoeken

Uit de uitvoer dsregcmd

Notitie

De uitvoer is beschikbaar via de Windows-update van 10 mei 2021 (versie 21H1).

Het veld 'Pogingsstatus' onder het veld 'AzureAdPrt' biedt de status van de vorige PRT-poging, samen met andere vereiste foutopsporingsgegevens. Voor eerdere Windows-versies extraheert u de informatie uit de Microsoft Entra-analyse- en operationele logboeken.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.

Vanuit de Microsoft Entra Analytics- en operationele logboeken

Gebruik de Logboekviewer om te zoeken naar de logboekvermeldingen die zijn geregistreerd door de Microsoft Entra CloudAP-invoegtoepassing tijdens het ophalen van PRT.

  1. Open in Logboeken de gebeurtenislogboeken van Microsoft Entra Operational. Ze zijn opgeslagen onder Toepassingen- en servicelogboek>Microsoft>Windows>AAD.

Notitie

De invoegtoepassing CloudAP registreert foutgebeurtenissen in de operationele logboeken en registreert de informatiegebeurtenissen in de analyselogboeken. De gebeurtenissen in de analyse- en operationele logboeken zijn beide vereist om problemen op te lossen.

  1. Gebeurtenis 1006 in de analyselogboeken geeft het begin van de PRT-overnamestroom aan en gebeurtenis 1007 in de analyselogboeken geeft het einde van de PRT-overnamestroom aan. Alle gebeurtenissen in de Microsoft Entra-logboeken (analyse en operationeel) die worden geregistreerd tussen gebeurtenissen 1006 en 1007, zijn vastgelegd als onderdeel van de PRT-overnamestroom.

  2. Gebeurtenis 1007 registreert de uiteindelijke foutcode.

Schermopname van Gebeurtenisviewer, evenement-ID's 1006 en 1007 geselecteerd en de uiteindelijke foutcode gemarkeerd.

Stap 3: Los verdere problemen op basis van de gevonden foutcode op

Foutcode Reden Resolutie
STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d)
STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a)
  • Het apparaat kan geen verbinding maken met de Microsoft Entra-verificatieservice.
  • Er is een foutbericht (HTTP 400) ontvangen van de Microsoft Entra-verificatieservice of het WS-Trust-eindpunt.
    Opmerking: WS-Trust is vereist voor federatieve verificatie.
    		•
  • Als voor de on-premises omgeving een uitgaande proxy is vereist, moet de IT-beheerder controleren of het computeraccount van het apparaat de uitgaande proxy kan vinden en er op de achtergrond mee kan worden geverifieerd.
  • Gebeurtenissen 1081 en 1088 (operationele logboeken van Microsoft Entra) bevatten de serverfoutcode voor fouten die afkomstig zijn van de Microsoft Entra-verificatieservice en foutbeschrijving voor fouten die afkomstig zijn van het WS-Trust-eindpunt. Veelvoorkomende serverfoutcodes en hun oplossingen worden vermeld in de volgende sectie. Het eerste exemplaar van gebeurtenis 1022 (Microsoft Entra Analytics-logboeken) bevat de URL die wordt opgevraagd voorafgaand aan gebeurtenissen 1081 of 1088.
    		•
    STATUS_REQUEST_NOT_ACCEPTED (-1073741616/ 0xc00000d0) Er is een foutbericht (HTTP 400) ontvangen van de Microsoft Entra-verificatieservice of het WS-Trust-eindpunt.
    Opmerking: WS-Trust is vereist voor federatieve verificatie.    		 Gebeurtenissen 1081 en 1088 (operationele logboeken van Microsoft Entra) bevatten respectievelijk de foutcode en de beschrijving van de server voor fouten die afkomstig zijn van de Microsoft Entra-verificatieservice en het WS-Trust-eindpunt. Veelvoorkomende serverfoutcodes en hun oplossingen worden vermeld in de volgende sectie. Het eerste exemplaar van gebeurtenis 1022 (Microsoft Entra Analytics-logboeken), die voorafgaat aan gebeurtenissen 1081 of 1088, bevat de URL die wordt geopend.
    STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c)
    STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be)
    STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4)
  • Er is een foutbericht (HTTP > 400) ontvangen van de Microsoft Entra-verificatieservice of het WS-Trust-eindpunt.
    Opmerking: WS-Trust is vereist voor federatieve verificatie.
  • Netwerkverbindingsprobleem met een vereist eindpunt.
    		•
  • Voor serverfouten bevatten gebeurtenissen 1081 en 1088 (operationele logboeken van Microsoft Entra) de foutcode van de Microsoft Entra-verificatieservice en de foutbeschrijving van het WS-Trust-eindpunt. Veelvoorkomende serverfoutcodes en hun oplossingen worden vermeld in de volgende sectie.
  • Voor connectiviteitsproblemen bevat gebeurtenis 1022 (Microsoft Entra Analytics-logboeken) de URL die wordt geopend en gebeurtenis 1084 (operationele logboeken van Microsoft Entra) bevat de suberrorcode van de netwerkstack.
    		•
    STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) Identificatie van de gebruikersrealm is mislukt omdat de Microsoft Entra-verificatieservice het domein van de gebruiker niet kon vinden.
  • Het domein van de UPN van de gebruiker moet worden toegevoegd als een aangepast domein in Microsoft Entra ID. Gebeurtenis 1144 (Microsoft Entra Analytics-logboeken) bevat de opgegeven UPN.
  • Als de on-premises domeinnaam nietroutable is (jdoe@contoso.local), configureert u een alternatieve aanmeldings-id (AltID). Verwijzingen: Vereisten; Alternatieve aanmeldings-id configureren.
    		•
    AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) De UPN van de gebruiker heeft niet de verwachte indeling.
    Opmerkingen:
  • Voor apparaten die zijn toegevoegd aan Microsoft Entra, is de UPN de tekst die door de gebruiker in de LoginUI wordt ingevoerd.
  • Voor Microsoft Entra hybride aangesloten apparaten wordt de UPN tijdens het inlogproces door de domeincontroller geretourneerd.
    		•
  • De UPN van de gebruiker moet de aanmeldingsnaam in internetstijl hebben, op basis van de internetstandaard RFC 822. Gebeurtenis 1144 (Microsoft Entra Analytics-logboeken) bevat de opgegeven UPN.
  • Controleer voor hybride-gekoppelde apparaten of de domeincontroller is geconfigureerd om de UPN in de juiste indeling terug te geven. Op de domeincontroller moet whoami /upn de geconfigureerde UPN weergeven.
  • Als de on-premises domeinnaam nietroutable is (jdoe@contoso.local), configureert u alternatieve aanmeldings-id (AltID). Verwijzingen: Vereisten; Alternatieve aanmeldings-id configureren.
    		•
    AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) De gebruikers-SID ontbreekt in het id-token dat wordt geretourneerd door de Microsoft Entra-verificatieservice. Controleer of de netwerkproxy het antwoord van de server niet verstoort en wijzigt.
    AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ZIJN_LEEG (--1073445695/ 0xc00484c1) Er is een foutmelding ontvangen van het WS-Trust-eindpunt.
    Opmerking: WS-Trust is vereist voor federatieve verificatie.
  • Controleer of de netwerkproxy het antwoord van WS-Trust niet verstoort en wijzigt.
  • Gebeurtenis 1088 (operationele logboeken van Microsoft Entra) bevat de serverfoutcode en foutbeschrijving van het WS-Trust-eindpunt. Veelvoorkomende serverfoutcodes en hun oplossingen worden vermeld in de volgende sectie.
    		•
    AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) Het MEX-eindpunt is onjuist geconfigureerd. Het MEX-antwoord bevat geen wachtwoord-URL's.
  • Controleer of de netwerkproxy het antwoord van de server niet verstoort en wijzigt.
  • Herstel de MEX-configuratie om geldige URL's als antwoord te retourneren.
    		•
    AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) Het MEX-eindpunt is onjuist geconfigureerd. Het MEX-antwoord bevat geen certificaateindpunt-URL's.
  • Controleer of de netwerkproxy het antwoord van de server niet verstoort en wijzigt.
  • Corrigeer de MEX-configuratie in de id-provider om geldige certificaat-URL's te retourneren als antwoord.
    		•
    WC_E_DTDPROHIBITED (-1072894385/ 0xc00cee4f) Het XML-antwoord van het WS-Trust-eindpunt bevat een documenttypedefinitie (DTD). Een DTD wordt niet verwacht in XML-antwoorden en het parseren van het antwoord mislukt als er een DTD is opgenomen.
    Opmerking: WS-Trust is vereist voor federatieve verificatie.
  • Corrigeer de configuratie in de id-provider om te voorkomen dat een DTD wordt verzonden in het XML-antwoord.
  • Gebeurtenis 1022 (Microsoft Entra Analytics-logboeken) bevat de URL die wordt geopend die een XML-antwoord retourneert met een DTD.
    		•

    Veelvoorkomende serverfoutcodes

    Foutcode Reden Resolutie
    AADSTS50155: Apparaatverificatie is mislukt
  • Microsoft Entra ID kan het apparaat niet verifiëren om een PRT uit te geven.
  • Controleer of het apparaat niet is verwijderd of uitgeschakeld. Zie De veelgestelde vragen over Microsoft Entra-apparaatbeheer voor meer informatie over dit probleem.
    		•  Volg de instructies voor dit probleem in de veelgestelde vragen over apparaatbeheer van Microsoft Entra om het apparaat opnieuw te registreren op basis van het type apparaatdeelname.
    AADSTS50034: Het gebruikersaccount Account bestaat niet in de tenant iddirectory Microsoft Entra ID kan het gebruikersaccount niet vinden in de tenant.
  • Controleer of de gebruiker de juiste UPN typt.
  • Zorg ervoor dat het on-premises gebruikersaccount wordt gesynchroniseerd met Microsoft Entra-id.
  • Gebeurtenis 1144 (Microsoft Entra Analytics-logboeken) bevat de opgegeven UPN.
    		•
    AADSTS50126: Fout bij het valideren van referenties vanwege ongeldige gebruikersnaam of wachtwoord.
  • De gebruikersnaam en het wachtwoord die door de gebruiker zijn ingevoerd in de Windows LoginUI, zijn onjuist.
  • Als de tenant wachtwoord-hashsynchronisatie heeft ingeschakeld, is het apparaat hybride gekoppeld en heeft de gebruiker het wachtwoord zojuist gewijzigd, is het waarschijnlijk dat het nieuwe wachtwoord niet is gesynchroniseerd met Microsoft Entra-id.
    		•  Om een nieuwe PRT met de nieuwe referenties te verkrijgen, wacht totdat de wachtwoordsynchronisatie van Microsoft Entra is voltooid.

    Algemene netwerkfoutcodes

    Foutcode Reden Resolutie
    ERROR_WINHTTP_TIMEOUT (12002)
    ERROR_WINHTTP_NAME_NOT_RESOLVED (12007)
    ERROR_WINHTTP_CANNOT_CONNECT (12029)
    ERROR_WINHTTP_CONNECTION_ERROR (12030)    		 Veelvoorkomende algemene problemen met betrekking tot het netwerk.
  • Gebeurtenissen 1022 (Microsoft Entra Analytics-logboeken) en 1084 (operationele logboeken van Microsoft Entra) bevatten de URL die wordt geopend.
  • Als voor de on-premises omgeving een uitgaande proxy is vereist, moet de IT-beheerder controleren of het computeraccount van het apparaat de uitgaande proxy kan vinden en er op de achtergrond mee kan worden geverifieerd.

    Verkrijg meer netwerkfoutcodes.
    		•

    Stap 4: Logboeken verzamelen

    Normale logboeken

    1. Ga naar https://aka.ms/icesdptool om automatisch een .cab-bestand te downloaden met het diagnostische hulpprogramma.
    2. Voer het hulpprogramma uit en voer uw scenario opnieuw uit.
    3. Accepteer voor Fiddler-traceringen de certificaataanvragen die omhoog komen.
    4. De wizard vraagt u om een wachtwoord om uw traceringsbestanden te beveiligen. Geef een wachtwoord op.
    5. Open ten slotte de map waarin alle verzamelde logboeken zijn opgeslagen, zoals %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
    6. Neem contact op met Ondersteuning en geef de inhoud van het nieuwste .cab-bestand op.

    Netwerksporen

    Notitie

    Wanneer u netwerktraceringen verzamelt, is het belangrijk dat u Fiddler niet gebruikt tijdens het reproduceren.

    1. Voer netsh trace start scenario=internetClient_dbg capture=yes persistent=yes uit.
    2. Het apparaat vergrendelen en ontgrendelen. Wacht voor hybride-verbonden apparaten een minuut of langer totdat de PRT-overnametaak voltooid is.
    3. Voer netsh trace stop uit.
    4. Deel het bestand nettrace.cab met Ondersteuning.

    Bekende problemen

    Als u bent verbonden met een mobiele hotspot of een extern Wi-Fi-netwerk en u naar Instellingen>Accounts>Toegang Werk of School gaat, kunnen er op hybride apparaten van Microsoft Entra twee verschillende accounts worden weergegeven, één voor Microsoft Entra ID en één voor on-premises AD. Dit probleem met de gebruikersinterface heeft geen invloed op de functionaliteit.

    Gerelateerde inhoud