Problemen met apparaten oplossen met behulp van de opdracht dsregcmd
In dit artikel wordt uitgelegd hoe u de uitvoer van de opdracht dsregcmd
gebruikt om inzicht te verkrijgen in de status van apparaten in Microsoft Entra ID. Voer het hulpprogramma dsregcmd /status
uit als een domeingebruikersaccount.
Apparaatstatus
In deze sectie vindt u de parameters voor de joinstatus van het apparaat. De criteria die vereist zijn voor het apparaat om in verschillende verbindingsstatussen te zijn, worden vermeld in de volgende tabel.
AzureAdJoined | EnterpriseJoined | DomainJoined | Apparaatstatus |
---|---|---|---|
JA | NEE | NEE | Microsoft Entra toegevoegd |
NEE | NEE | JA | Verbonden met domein |
JA | NEE | JA | Microsoft Entra hybrid verbonden |
NEE | JA | JA | On-premises DRS toegevoegd |
Notitie
De status Workplace Joined (Microsoft Entra registered) wordt weergegeven in de sectie 'Gebruikersstatus'.
- AzureAdJoined-: stel de status in op JA als het apparaat is gekoppeld aan Microsoft Entra-id. Anders stelt u de status in op GEEN.
- EnterpriseJoined-: stel de status in op JA- als het apparaat is gekoppeld aan een on-premises gegevensreplicatieservice (DRS). Een apparaat kan niet zowel EnterpriseJoined als AzureAdJoined zijn.
- DomainJoined-: stel de status in op JA- als het apparaat lid is van een domein (Active Directory).
- DomainName: stel de status in op de naam van het domein als het apparaat lid is van een domein.
Voorbeeld van uitvoer van apparaatstatus
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : YES
DomainName : HYBRIDADFS
+----------------------------------------------------------------------+
Apparaatdetails
De status wordt alleen weergegeven wanneer het apparaat is toegevoegd aan Microsoft Entra of als microsoft Entra hybrid lid is, niet als Microsoft Entra geregistreerd. In deze sectie vindt u informatie over het identificeren van apparaten die zijn opgeslagen in Microsoft Entra-id.
- DeviceId: de unieke id van het apparaat in de Microsoft Entra-tenant.
- Vingerafdrukis de vingerafdruk van het apparaatcertificaat.
- DeviceCertificateValidity: de geldigheidsstatus van het apparaatcertificaat.
- KeyContainerId: de containerId van de persoonlijke sleutel van het apparaat die is gekoppeld aan het apparaatcertificaat.
- KeyProvider: De KeyProvider (Hardware/Software) die wordt gebruikt om de persoonlijke sleutel van het apparaat op te slaan.
- TpmProtected-: de status is ingesteld op JA als de persoonlijke sleutel van het apparaat is opgeslagen in een TPM (Trusted Platform Module).
-
DeviceAuthStatus: voert een controle uit om de status van het apparaat in Microsoft Entra-id te bepalen. De gezondheidsstatussen zijn:
- SUCCESS als het apparaat aanwezig is en is ingeschakeld in Microsoft Entra ID.
- MISLUKT. Apparaat is uitgeschakeld of verwijderd als het apparaat is uitgeschakeld of verwijderd. Zie Veelgestelde vragen over Microsoft Entra-apparaatbeheervoor meer informatie over dit probleem.
- MISLUKT. FOUT als de test niet kan worden uitgevoerd. Voor deze test is netwerkconnectiviteit met Microsoft Entra-id vereist in de systeemcontext.
Notitie
Het veld DeviceAuthStatus is toegevoegd in de Windows 10-update van mei 2021 (versie 21H1).
-
Virtual Desktop: Er zijn drie gevallen waarin deze regel wordt weergegeven.
- NOT SET : metagegevens van VDI-apparaten zijn niet aanwezig op het apparaat.
- JA - Metagegevens van VDI-apparaten zijn aanwezig en de dsregcmd-opdracht geeft gekoppelde metagegevens weer, waaronder:
- Provider: naam van de VDI-leverancier.
- Type: Permanente VDI of niet-permanente VDI.
- Gebruikersmodus: één gebruiker of meerdere gebruikers.
- Extensies: aantal sleutel-waardeparen in optionele metagegevens van leveranciers, gevolgd door sleutel-waardeparen.
- ONGELDIG: de metagegevens van het VDI-apparaat zijn aanwezig, maar zijn niet juist ingesteld. In dit geval voert dsregcmd de onjuiste metagegevens uit.
Voorbeeld van uitvoer van apparaatdetails
+----------------------------------------------------------------------+
| Device Details |
+----------------------------------------------------------------------+
DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
KeyProvider : Microsoft Software Key Storage Provider
TpmProtected : NO
DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+
Huurdergegevens
De tenantgegevens worden alleen weergegeven wanneer het apparaat is toegevoegd aan Microsoft Entra of als Microsoft Entra hybride gekoppeld is, niet als het geregistreerd is bij Microsoft Entra. In deze sectie vindt u de algemene tenantgegevens die worden weergegeven wanneer een apparaat lid is van Microsoft Entra-id.
Notitie
Als de URL-velden voor MOBILE Device Management (MDM) in deze sectie leeg zijn, geeft dit aan dat de MDM niet is geconfigureerd of dat de huidige gebruiker niet binnen het bereik van MDM-inschrijving valt. Controleer de Mobility-instellingen in Microsoft Entra-id om uw MDM-configuratie te controleren.
De aanwezigheid van MDM-URL's garandeert niet dat het apparaat wordt beheerd door een MDM. De informatie wordt weergegeven als de tenant MDM-configuratie heeft voor automatische inschrijving, zelfs als het apparaat zelf niet wordt beheerd.
De voorbeelduitvoer van tenantdetails
+----------------------------------------------------------------------+
| Tenant Details |
+----------------------------------------------------------------------+
TenantName : HybridADFS
TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
Idp : login.windows.net
AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl : eyJVx{lots of characters}xxxx==
JoinSrvVersion : 1.0
JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion : 1.0
KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
WebAuthNSrvVersion : 1.0
WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
DeviceManagementSrvVer : 1.0
DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+
Gebruikersstatus
Deze sectie bevat de statussen van verschillende kenmerken voor gebruikers die momenteel zijn aangemeld bij het apparaat.
Notitie
De opdracht moet worden uitgevoerd in een gebruikerscontext om een geldige status op te halen.
- NgcSet-: stel de status in op JA- als een Windows Hello-sleutel is ingesteld voor de huidige aangemelde gebruiker.
- NgcKeyId: de id van de Windows Hello-sleutel als deze is ingesteld voor de huidige aangemelde gebruiker.
- CanReset-: Geeft aan of de Windows Hello-sleutel door de gebruiker opnieuw kan worden ingesteld.
- Mogelijke waarden: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive, of Onbekend indien fout.
- WorkplaceJoined-: stel de status in op JA- als geregistreerde Microsoft Entra-accounts zijn toegevoegd aan het apparaat in de huidige NTUSER-context.
-
WamDefaultSet: Stel de status in op JA als er een standaard webaccount in de Web Account Manager (WAM) wordt aangemaakt voor de ingelogde gebruiker. Dit veld kan een fout weergeven als
dsregcmd /status
wordt uitgevoerd vanaf een opdrachtprompt met verhoogde bevoegdheid. - WamDefaultAuthority-: stel de status in op organisaties voor Microsoft Entra-id.
- WamDefaultId: gebruik altijd https://login.microsoft.com voor Microsoft Entra-id.
- WamDefaultGUID: de GUID van de WAM-provider (Microsoft Entra ID/Microsoft-account) voor het standaard WAM-webaccount.
Voorbeeld van uitvoer van gebruikersstatus
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet : YES
NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
CanReset : DestructiveAndNonDestructive
WorkplaceJoined : NO
WamDefaultSet : YES
WamDefaultAuthority : organizations
WamDefaultId : https://login.microsoft.com
WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)
+----------------------------------------------------------------------+
SSO-status
U kunt deze sectie negeren voor geregistreerde Microsoft Entra-apparaten.
Notitie
De opdracht moet worden uitgevoerd in een gebruikerscontext om de geldige status van die gebruiker op te halen.
- AzureAdPrt-: stel de status in op JA- als er een primair vernieuwingstoken (PRT) aanwezig is op het apparaat voor de aangemelde gebruiker.
- AzureAdPrtUpdateTime: stel de status in op de tijd, in Coordinated Universal Time (UTC), wanneer de PRT voor het laatst is bijgewerkt.
- AzureAdPrtExpiryTime: stel de status in op de tijd, in UTC, wanneer de PRT verloopt als deze niet wordt vernieuwd.
- AzureAdPrtAuthority-: de URL van de Microsoft Entra-instantie
- EnterprisePrt-: stel de status in op JA- als het apparaat een PRT heeft van on-premises Active Directory Federation Services (AD FS). Voor hybride verbonden apparaten van Microsoft Entra kan het apparaat tegelijkertijd een PRT hebben van zowel Microsoft Entra ID als on-premises Active Directory. On-premises gekoppelde apparaten hebben alleen een Enterprise PRT.
- EnterprisePrtUpdateTime-: Stel de status in op het tijdstip, in UTC, waarop de Enterprise PRT voor het laatst is bijgewerkt.
- EnterprisePrtExpiryTime: Stel de status in op de tijdstip, in UTC, wanneer de PRT verloopt als deze niet wordt vernieuwd.
- EnterprisePrtAuthority-: de AD FS-autoriteits-URL
Notitie
De volgende diagnostische prT-velden zijn toegevoegd in de Windows 10-update van mei 2021 (versie 21H1).
- De diagnostische gegevens die worden weergegeven in het veld AzureAdPrt-, zijn bedoeld voor het verkrijgen of verversen van Microsoft Entra PRT, en de diagnostische gegevens die worden weergegeven in het veld EnterprisePrt-, zijn bedoeld voor het verkrijgen of verversen van Enterprise PRT.
- De diagnostische gegevens worden alleen weergegeven als de overname- of vernieuwingsfout is opgetreden na de laatste geslaagde PRT-updatetijd (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
Op een gedeeld apparaat kunnen deze diagnostische gegevens afkomstig zijn van de aanmeldingspoging van een andere gebruiker.
-
AcquirePrtDiagnostics: stel de status in op PRESENT- als de verkregen diagnostische gegevens van PRT aanwezig zijn in de logboeken.
- Dit veld wordt overgeslagen als er geen diagnostische gegevens beschikbaar zijn.
- vorige prt-poging: de lokale tijd, in UTC, waarop de mislukte PRT-poging heeft plaatsgevonden.
- pogingsstatus: de foutcode van de client die wordt geretourneerd (HRESULT).
- gebruikersidentiteit: de UPN van de gebruiker waarvoor de PRT-poging is uitgevoerd.
- Referentietype: De referentie die wordt gebruikt om de PRT te verkrijgen of te vernieuwen. Algemene referentietypen zijn Wachtwoord en NGC (Next Generation Credential) (voor Windows Hello).
- Correlatie-id: Deze door de server verzonden correlatie-id is gekoppeld aan de mislukte PRT-poging.
- eindpunt-URI: het laatste eindpunt dat is geopend vóór de fout.
- HTTP-methode: de HTTP-methode die wordt gebruikt voor toegang tot het eindpunt.
- HTTP-fout: WinHttp-transportfoutcode. Andere netwerkfoutcodesverkrijgen.
- HTTP-status: de HTTP-status die door het eindpunt wordt geretourneerd.
- serverfoutcode: de foutcode van de server.
- serverfoutbeschrijving: het foutbericht van de server.
-
RefreshPrtDiagnostics: stel de status in op PRESENT- als de verkregen diagnostische gegevens van PRT aanwezig zijn in de logboeken.
- Dit veld wordt overgeslagen als er geen diagnostische gegevens beschikbaar zijn.
- De velden met diagnostische gegevens zijn hetzelfde als AcquirePrtDiagnostics.
Notitie
De volgende diagnostische velden voor Cloud Kerberos zijn toegevoegd in de oorspronkelijke versie van Windows 11 (versie 21H2).
- OnPremTgt-: stel de status in op JA- als een Cloud Kerberos-ticket voor toegang tot on-premises resources aanwezig is op het apparaat voor de aangemelde gebruiker.
- CloudTgt-: stel de status in op JA- als er een Cloud Kerberos-ticket voor toegang tot cloudresources aanwezig is op het apparaat voor de aangemelde gebruiker.
- KerbTopLevelNames: Lijst met kerberos-realmnamen op het hoogste niveau voor Cloud Kerberos.
Voorbeeld van SSO (eenmalige aanmelding) uitvoer
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
OnPremTgt : YES
CloudTgt : YES
KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342
+----------------------------------------------------------------------+
Diagnostische gegevens
Diagnostische gegevens vooraf koppelen
Deze sectie met diagnostische gegevens wordt alleen weergegeven als het apparaat lid is van een domein en geen hybride deelname van Microsoft Entra kan uitvoeren.
In deze sectie worden verschillende tests uitgevoerd om joinfouten te diagnosticeren. De informatie bevat de volgende foutfase, foutcode, serveraanvraag-id, HTTP-status van serverrespons en foutbericht van de serverreactie.
Gebruikerscontext: de context waarin de diagnostische gegevens worden uitgevoerd. Mogelijke waarden: SYSTEEM, UN-ELEVATED Gebruiker, VERHOOGDE Gebruiker.
Notitie
Omdat de werkelijke join wordt uitgevoerd in de SYSTEM-context, is het uitvoeren van diagnostiek in SYSTEM-context het dichtst bij de werkelijke joinscenario. Als u diagnostische gegevens wilt uitvoeren in SYSTEM-context, moet de opdracht
dsregcmd /status
worden uitgevoerd vanaf een opdrachtprompt met verhoogde bevoegdheid.Clienttijd: De systeemtijd, in UTC.
AD-connectiviteitstest: deze test voert een connectiviteitstest uit met de domeincontroller. Een fout in deze test resulteert waarschijnlijk in join-fouten in de voorcontrolefase.
AD-configuratietest: met deze test wordt gelezen en gecontroleerd of het SCP-object (Service Connection Point) correct is geconfigureerd in het on-premises Active Directory-forest. Fouten in deze test leiden waarschijnlijk tot joinfouten in de discover-fase met de foutcode 0x801c001d.
DRS Discovery Test: met deze test worden de DRS-eindpunten opgehaald uit het eindpunt voor detectiemetagegevens en wordt een verzoek voor de gebruikersrealm uitgevoerd. Fouten in deze test leiden waarschijnlijk tot joinfouten in de discover-fase.
DRS-connectiviteitstest: met deze test wordt een eenvoudige connectiviteitstest uitgevoerd naar het DRS-eindpunt.
Token Acquisition Test: met deze test wordt geprobeerd een Microsoft Entra-verificatietoken op te halen als de gebruikerstenant federatief is. Fouten in deze test leiden waarschijnlijk tot verbindingsfouten in de authenticatiefase. Als authenticatie mislukt, wordt sync-join uitgevoerd als terugval, tenzij terugval expliciet is uitgeschakeld met de volgende registersleutelsinstellingen:
Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ Value: FallbackToSyncJoin Type: REG_DWORD Value: 0x0 -> Disabled Value: 0x1 -> Enabled Default (No Key): Enabled
Terugvallen naar Sync-Join: stel de status in op Ingeschakeld als de voorgaande registersleutel om terugvallen naar Sync-Join met verificatiefouten te voorkomen niet aanwezig is. Deze optie is beschikbaar via Windows 10 1803 en hoger.
Vorige registratie: het tijdstip waarop de vorige joinpoging heeft plaatsgevonden. Alleen mislukte joinpogingen worden vastgelegd.
Foutfase: de fase van de join waarin deze is afgebroken. Mogelijke waarden zijn vooraf controle, ontdekken, authenticatie, en deelnemen.
Client ErrorCode: de terugggegeven clientfoutcode (HRESULT).
Server ErrorCode: de serverfoutcode wordt weergegeven als een aanvraag naar de server is verzonden en de server met een foutcode heeft gereageerd.
serverbericht: het serverbericht dat samen met de foutcode wordt geretourneerd.
https-status: de HTTP-status die door de server wordt geretourneerd.
aanvraag-ID: Dit is het klantaanvraag-ID dat naar de server is verzonden. De aanvraag-id is handig om te correleren met logboeken aan de serverzijde.
Voorbeeld van diagnostische uitvoer van vooraf samenvoegen
In het volgende voorbeeld ziet u een diagnostische test die mislukt met een detectiefout.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:25:31.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:23:30.000 UTC
Error Phase : discover
Client ErrorCode : 0x801c0021
+----------------------------------------------------------------------+
In het volgende voorbeeld ziet u dat diagnostische tests succesvol worden doorstaan, maar dat de registratiepoging is mislukt vanwege een mapfout, wat te verwachten is voor sync-join. Nadat de Synchronisatietaak voor Microsoft Entra Connect is voltooid, kan het apparaat deelnemen.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:16:50.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : PASS
DRS Connectivity Test : PASS
Token acquisition Test : PASS
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Diagnostische gegevens na deelname
In deze sectie diagnostische gegevens wordt de uitvoer weergegeven van controles die zijn uitgevoerd op een apparaat dat is gekoppeld aan de cloud.
- AadRecoveryEnabled: als de waarde is JA, zijn de sleutels die zijn opgeslagen op het apparaat niet bruikbaar en wordt het apparaat gemarkeerd voor herstel. De volgende aanmelding activeert de herstelstroom en registreert het apparaat opnieuw.
-
KeySignTest: als de waarde is DOORGEGEVEN, hebben de apparaatsleutels een goede status. Als KeySignTest mislukt, wordt het apparaat meestal gemarkeerd voor herstel. De volgende aanmelding activeert de herstelstroom en registreert het apparaat opnieuw. Voor hybride apparaten van Microsoft Entra verloopt het herstel onmerkbaar. Terwijl de apparaten zijn toegevoegd aan Microsoft Entra of Microsoft Entra zijn geregistreerd, vragen ze gebruikersverificatie om het apparaat te herstellen en opnieuw te registreren, indien nodig.
Notitie
KeySignTest vereist verhoogde bevoegdheden.
Voorbeeld van diagnostische gegevens na samenvoeging
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
AadRecoveryEnabled: NO
KeySignTest : PASSED
+----------------------------------------------------------------------+
Controle van NGC-vereisten
Deze sectie met diagnostische gegevens voert de controle van vereisten uit voor het instellen van Windows Hello voor Bedrijven (WHFB).
Notitie
Mogelijk ziet u in dsregcmd /status
geen details van de controle op NGC-vereisten als de gebruiker WHFB succesvol heeft geconfigureerd.
- IsDeviceJoined-: stel de status in op JA- als het apparaat lid is van Microsoft Entra-id.
- IsUserAzureAD-: stel de status in op JA- als de aangemelde gebruiker aanwezig is in Microsoft Entra-id.
- PolicyEnabled: stel de status in op JA- als het WHFB-beleid is ingeschakeld op het apparaat.
- PostLogonEnabled: stel de status in op JA- als WHFB-inschrijving systeemeigen wordt geactiveerd door het platform. Als de status is ingesteld op GEEN, geeft dit aan dat windows Hello voor Bedrijven-inschrijving wordt geactiveerd door een aangepast mechanisme.
- DeviceEligible: stel de status in op JA- als het apparaat voldoet aan de hardwarevereiste voor registratie bij WHFB.
- SessionIsNotRemote-: stel de status in op JA- als de huidige gebruiker rechtstreeks op het apparaat is aangemeld en niet op afstand.
- CertEnrollment: deze instelling is specifiek voor de implementatie van WHFB Certificate Trust, waarmee de certificeringsinstantie voor WHFB wordt aangegeven. Stel de status in op inschrijvingsinstantie als de bron van het WHFB-beleid groepsbeleid is of stel deze in op mobile device management als de bron MDM is. Als geen van beide bronnen van toepassing is, stelt u de status in op geen.
- AdfsRefreshToken: deze instelling is specifiek voor de implementatie van WHFB Certificate Trust en is alleen aanwezig als de CertEnrollment-status registratie-autoriteit is. De instelling geeft aan of het apparaat een ondernemings-PRT voor de gebruiker heeft.
- AdfsRaIsReady-: deze instelling is specifiek voor WHFB Certificate Trust-implementatie en is alleen aanwezig als de CertEnrollment-status inschrijvingsinstantie is. Stel de status in op JA- als AD FS in detectiemetagegevens aangeeft dat het WHFB-ondersteunt en de aanmeldingscertificaatsjabloon beschikbaar is.
- LogonCertTemplateReady: Deze instelling is specifiek voor de implementatie van WHFB Certificate Trust en is alleen aanwezig als de CertEnrollment-status inschrijvingsinstantie is. Stel de status in op JA- als de status van de aanmeldingscertificaatsjabloon geldig is en helpt bij het oplossen van problemen met de AD FS-registratie-instantie (RA).
- PreReqResult-: biedt het resultaat van de evaluatie van alle WHFB-vereisten. Stel de status in op Zal worden ingericht als WHFB-aanmelding wordt gestart als een taak na het inloggen wanneer de gebruiker zich de volgende keer aanmeldt.
Notitie
De volgende diagnostische velden voor Cloud Kerberos zijn toegevoegd in de Windows 10-update van mei 2021 (versie 21H1).
Vóór Windows 11 versie 23H2 werd de instelling OnPremTGT-CloudTGTgenoemd.
- OnPremTGT-: Deze instelling is specifiek voor de cloud-Kerberos-vertrouwensimplementatie en is alleen aanwezig als de CertEnrollment-status geenis. Stel de status in op JA als het apparaat een Cloud Kerberos-ticket heeft voor toegang tot on-premises resources. Vóór Windows 11 versie 23H2 werd deze instelling CloudTGTgenoemd.
Voorbeeld van uitvoer van controle van NGC-vereisten
+----------------------------------------------------------------------+
| Ngc Prerequisite Check |
+----------------------------------------------------------------------+
IsDeviceJoined : YES
IsUserAzureAD : YES
PolicyEnabled : YES
PostLogonEnabled : YES
DeviceEligible : YES
SessionIsNotRemote : YES
CertEnrollment : enrollment authority
AdfsRefreshToken : YES
AdfsRaIsReady : YES
LogonCertTemplateReady : YES ( StateReady )
PreReqResult : WillProvision
+----------------------------------------------------------------------+
Volgende stappen
Ga naar de Microsoft-foutopsporingstool.