Udostępnij za pośrednictwem

Rozwiązywanie problemów z urządzeniami za pomocą polecenia dsregcmd

  • Artykuł

W tym artykule wyjaśniono, jak użyć danych wyjściowych polecenia dsregcmd, aby zrozumieć stan urządzeń w identyfikatorze Entra firmy Microsoft. Uruchom narzędzie dsregcmd /status jako konto użytkownika domeny.

Stan urządzenia

W tej sekcji wymieniono parametry stanu sprzężenia urządzenia. W poniższej tabeli wymieniono kryteria wymagane dla urządzenia, aby było w różnych stanach połączenia:

AzureAdJoined EnterpriseJoined DomenaIned Stan urządzenia
TAK NIE NIE Microsoft Entra dołączyło
NIE NIE TAK Przyłączone do domeny
TAK NIE TAK Urządzenie przyłączone hybrydowo do Microsoft Entra
NIE TAK TAK Przyłączone do lokalnego DRS

Notatka

Stan Połączenia z miejscem pracy (zarejestrowana w usłudze Microsoft Entra) jest wyświetlany w sekcji "Stan użytkownika".

  • AzureAdJoined: ustaw stan na TAK, jeśli urządzenie jest przyłączone do Microsoft Entra ID. W przeciwnym razie ustaw stan na NO.
  • EnterpriseJoined: ustaw stan na TAK, jeśli urządzenie jest przyłączone do lokalnej usługi replikacji danych (DRS). Nie można połączyć urządzenia EnterpriseJoined i AzureAdJoined.
  • domainJoined: ustaw stan na TAK, jeśli urządzenie jest przyłączone do domeny (Active Directory).
  • DomainName: ustaw stan na nazwę domeny, jeśli urządzenie jest przyłączone do domeny.

Przykładowe dane wyjściowe stanu urządzenia

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Szczegóły urządzenia

Stan jest wyświetlany tylko wtedy, gdy urządzenie jest dołączone do firmy Microsoft Entra lub dołączone w trybie hybrydowym do firmy Microsoft Entra, a nie zarejestrowane w firmie Microsoft Entra. W tej sekcji wymieniono szczegóły identyfikujące urządzenia przechowywane w identyfikatorze Entra firmy Microsoft.

  • DeviceId: unikatowy identyfikator urządzenia w dzierżawie Microsoft Entra.
  • Odcisk palca: odcisk palca certyfikatu urządzenia.
  • DeviceCertificateValidity: Stan ważności certyfikatu urządzenia.
  • KeyContainerId: containerId klucza prywatnego urządzenia skojarzonego z certyfikatem urządzenia.
  • KeyProvider: KeyProvider (sprzęt/oprogramowanie) używany do przechowywania klucza prywatnego urządzenia.
  • tpmProtected: stan jest ustawiony na TAK, jeśli klucz prywatny urządzenia jest przechowywany w sprzętowym module TPM (Trusted Platform Module).
  • DeviceAuthStatus: wykonuje sprawdzanie w celu określenia kondycji urządzenia w identyfikatorze Entra firmy Microsoft. Stan kondycji to:
    • powodzenie, jeśli urządzenie jest obecne i włączone w koncie Microsoft Entra.
    • NIE POWIODŁO SIĘ. Urządzenie jest wyłączone lub usunięte jeśli urządzenie jest wyłączone lub usunięte. Aby uzyskać więcej informacji na temat tego problemu, zobacz Microsoft Entra device management FAQ.
    • NIE POWIODŁO SIĘ. BŁĄD jeśli test nie może zostać uruchomiony. Ten test wymaga łączności sieciowej z identyfikatorem Entra firmy Microsoft w kontekście systemu.

    Notatka

    Pole DeviceAuthStatus zostało dodane w aktualizacji systemu Windows 10 maja 2021 r. (wersja 21H1).

  • virtual desktop: istnieją trzy przypadki, w których jest wyświetlany ten wiersz.
    • NIE USTAWIONO — metadane urządzenia VDI nie są obecne na urządzeniu.
    • TAK — metadane urządzenia VDI są obecne, a dane wyjściowe polecenia dsregcmd zawierają powiązane metadane, w tym:
      • Dostawca: nazwa dostawcy VDI.
      • Typ: trwałe VDI lub nietrwałe VDI.
      • Tryb użytkownika: pojedynczy użytkownik lub wielu użytkowników.
      • Rozszerzenia: liczba par wartości klucza w opcjonalnych metadanych specyficznych dla dostawcy, a następnie pary wartości klucza.
    • INVALID — metadane urządzenia VDI są obecne, ale nie są ustawione poprawnie. W tym przypadku narzędzie dsregcmd generuje nieprawidłowe metadane.

Przykładowe dane wyjściowe szczegółów dotyczących urządzenia

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
                Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Szczegóły dzierżawy

Szczegóły najemcy są wyświetlane tylko wtedy, gdy urządzenie jest połączone z Microsoft Entra lub połączone hybrydowo z Microsoft Entra, a nie zarejestrowane w Microsoft Entra. W tej sekcji wymieniono typowe szczegóły najemcy wyświetlane, gdy urządzenie zostanie dołączone do Microsoft Entra ID.

Notatka

Jeśli pola adresu URL zarządzania urządzeniami przenośnymi (MDM) w tej sekcji są puste, oznacza to, że rozwiązanie MDM nie zostało skonfigurowane lub że bieżący użytkownik nie znajduje się w zakresie rejestracji w usłudze MDM. Sprawdź ustawienia mobilności w usłudze Microsoft Entra ID, aby przejrzeć konfigurację rozwiązania MDM.

Obecność adresów URL MDM nie gwarantuje, że urządzenie jest zarządzane przez MDM. Informacje są wyświetlane, jeśli tenant ma konfigurację MDM na potrzeby automatycznej rejestracji, nawet jeśli samo urządzenie nie jest zarządzane.

Przykładowe dane szczegółowe najemcy

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVx{lots of characters}xxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Stan użytkownika

W tej sekcji wymieniono stany różnych atrybutów dla użytkowników, którzy są obecnie zalogowani do urządzenia.

Notatka

Aby pobrać prawidłowy stan, polecenie musi zostać uruchomione w kontekście użytkownika.

  • NgcSet: Ustaw stan na TAK, jeśli klucz Windows Hello jest ustawiony dla bieżącego zalogowanego użytkownika.
  • NgcKeyId: identyfikator klucza funkcji Windows Hello, jeśli został ustawiony dla bieżącego zalogowanego użytkownika.
  • canReset: określa, czy klucz funkcji Windows Hello może zostać zresetowany przez użytkownika.
  • Możliwe wartości: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive lub Unknown jeśli błąd.
  • WorkplaceJoined: ustaw stan na TAK, jeśli zarejestrowane konta microsoft Entra zostały dodane do urządzenia w bieżącym kontekście NTUSER.
  • WamDefaultSet: ustaw stan na TAK, jeśli dla zalogowanego użytkownika zostanie utworzone domyślne konto WAM (WebAccount Manager). To pole może wyświetlić błąd, jeśli dsregcmd /status zostanie uruchomiony z wiersza polecenia ze zwiększonymi uprawnieniami.
  • WamDefaultAuthority: ustaw stan organizacji dla identyfikatora Entra firmy Microsoft.
  • WamDefaultId: zawsze używaj https://login.microsoft.com dla identyfikatora Entra firmy Microsoft.
  • WamDefaultGUID: identyfikator GUID dostawcy WAM (Microsoft Entra ID / Konto Microsoft) dla domyślnego konta WAM WebAccount.

Przykładowe dane wyjściowe stanu użytkownika

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

Stan logowania jednokrotnego

Tę sekcję można zignorować dla zarejestrowanych urządzeń firmy Microsoft.

Notatka

Aby pobrać prawidłowy stan tego użytkownika, polecenie musi zostać uruchomione w kontekście użytkownika.

  • AzureAdPrt: ustaw stan na TAK, jeśli na urządzeniu jest obecny podstawowy token odświeżania (PRT) dla zalogowanego użytkownika.
  • AzureAdPrtUpdateTime: Ustaw stan na godzinę w uniwersalnym czasie koordynowanym (UTC), kiedy PRT było ostatnio zaktualizowane.
  • pl-PL: AzureAdPrtExpiryTime: ustaw stan na godzinę w formacie UTC, gdy PRT wygaśnie, jeśli nie zostanie odnowione.
  • AzureAdPrtAuthority: adres URL autorytetu Microsoft Entra
  • EnterprisePrt: ustaw stan na TAK, jeśli urządzenie ma PRT z lokalnych usług Active Directory Federation Services (AD FS). W przypadku urządzeń dołączonych hybrydowo do Microsoft Entra, urządzenie może mieć jednocześnie PRT zarówno z Microsoft Entra ID, jak i lokalnego Active Directory. Urządzenia połączone z lokalnym środowiskiem mają tylko Enterprise PRT.
  • EnterprisePrtUpdateTime: Ustaw stan na czas w formacie UTC, kiedy Enterprise PRT zostało ostatnio zaktualizowane.
  • EnterprisePrtExpiryTime: Ustaw stan na czas, w formacie UTC, kiedy PRT wygaśnie, jeśli nie zostanie odnowione.
  • EnterprisePrtAuthority: adres URL dostępu AD FS

Notatka

W aktualizacji systemu Windows 10 maja 2021 r. dodano następujące pola diagnostyki PRT (wersja 21H1).

  • Informacje diagnostyczne wyświetlane w polu AzureAdPrt dotyczą pozyskiwania lub odświeżania PRT Microsoft Entra, a informacje diagnostyczne wyświetlane w polu EnterprisePrt dotyczą pozyskiwania lub odświeżania Enterprise PRT.
  • Informacje diagnostyczne są wyświetlane tylko wtedy, gdy błąd pozyskiwania lub odświeżania wystąpi po ostatnim pomyślnym czasie aktualizacji PRT (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
    Na urządzeniu udostępnionym te informacje diagnostyczne mogą pochodzić z próby logowania innego użytkownika.
  • AcquirePrtDiagnostics: ustaw stan PRESENT, jeśli uzyskane informacje diagnostyczne PRT znajdują się w dziennikach.
    • To pole jest pomijane, jeśli żadne informacje diagnostyczne nie są dostępne.
  • Poprzednia próba PRT: czas lokalny w UTC, w którym wystąpiła nieudana próba PRT.
  • Stan próby: zwrócony kod błędu klienta (HRESULT).
  • tożsamości użytkownika: nazwa UPN użytkownika, dla którego nastąpiła próba PRT.
  • Typ Poświadczeń: Poświadczenie użyte do uzyskania lub odświeżenia PRT. Typowe typy poświadczeń to Hasło i Poświadczenia nowej generacji (NGC) (dla usługi Windows Hello).
  • Identyfikator korelacji: przesłany przez serwer w przypadku nieudanej próby PRT.
  • URI końcowego punktu: ostatni uzyskany punkt końcowy przed awarią.
  • metoda HTTP: metoda HTTP używana do uzyskiwania dostępu do punktu końcowego.
  • Błąd HTTP: kod błędu transportu WinHttp. Pobierz inne kody błędów sieci .
  • stan HTTP: stan HTTP zwrócony przez punkt końcowy.
  • kod błędu serwera: kod błędu z serwera.
  • Opis błędu serwera: komunikat o błędzie z serwera.
  • RefreshPrtDiagnostics: Ustaw stan na PRESENT, jeśli uzyskane informacje diagnostyczne PRT są obecne w dziennikach.
    • To pole jest pomijane, jeśli żadne informacje diagnostyczne nie są dostępne.
    • Pola informacji diagnostycznych są takie same jak AcquirePrtDiagnostics.

Notatka

Następujące pola diagnostyki protokołu Kerberos w chmurze zostały dodane w oryginalnej wersji systemu Windows 11 (wersja 21H2).

  • OnPremTgt: Ustaw stan na TAK, jeśli bilet Kerberos w chmurze do uzyskania dostępu do zasobów lokalnych znajduje się na urządzeniu dla zalogowanego użytkownika.
  • CloudTgt: ustaw stan na TAK, jeśli bilet Kerberos na dostęp do zasobów w chmurze jest obecny na urządzeniu dla zalogowanego użytkownika.
  • KerbTopLevelNames: lista nazw domen najwyższego poziomu Kerberos dla chmury Kerberos.

Przykładowe dane wyjściowe stanu jednokrotnego logowania

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Dane diagnostyczne

Diagnostyka przed przyłączeniem

Ta sekcja diagnostyki jest wyświetlana tylko wtedy, gdy urządzenie jest przyłączone do domeny i nie może połączyć się hybrydowo z Microsoft Entra.

W tej sekcji są wykonywane różne testy ułatwiające diagnozowanie błędów sprzężenia. Informacje obejmują: fazę błędu, kod błędu, identyfikator żądania serwera, stan HTTP odpowiedzi serwera i komunikat o błędzie odpowiedzi serwera.

  • kontekst użytkownika: kontekst, w którym jest uruchamiana diagnostyka. Możliwe wartości: SYSTEM, UN-ELEVATED Użytkownik, Podwyższony poziom uprawnień użytkownika.

    Notatka

    Ponieważ faktyczne łączenie jest wykonywane w kontekście SYSTEM, działanie diagnostyki w kontekście SYSTEM jest najbliższe faktycznemu scenariuszowi łączenia. Aby uruchomić diagnostykę w kontekście SYSTEMU, polecenie dsregcmd /status musi zostać uruchomione z wiersza polecenia z poziomem uprawnień administratora.

  • czas klienta: czas systemowy w formacie UTC.

  • test łączności usługi AD: ten test wykonuje test łączności z kontrolerem domeny. Błąd w tym teście prawdopodobnie powoduje błędy sprzężenia w fazie wstępnej kontroli.

  • test konfiguracji usługi AD: ten test odczytuje i sprawdza, czy obiekt punktu połączenia usługi (SCP) jest prawidłowo skonfigurowany w lokalnym lesie usługi Active Directory. Błędy w tym teście prawdopodobnie spowodują błędy sprzężenia w fazie odnajdywania z kodem błędu 0x801c001d.

  • test odnajdywania usługi DRS: ten test pobiera punkty końcowe usługi DRS z punktu końcowego metadanych odnajdywania i wykonuje żądanie obszaru użytkownika. Błędy w tym teście prawdopodobnie spowodują błędy łączenia w fazie wykrywania.

  • Test łączności DRS: Ten test przeprowadza podstawową próbę łączności z punktem końcowym DRS.

  • Test uzyskiwania tokenu: Ten test próbuje uzyskać token uwierzytelniania Microsoft Entra, jeśli dzierżawa użytkownika jest federowana. Błędy w tym teście prawdopodobnie spowodują błędy łączenia w fazie uwierzytelniania. Jeśli uwierzytelnianie zakończy się niepowodzeniem, próba dołączenia do synchronizacji zostanie podjęta jako powrót rezerwowy, chyba że rezerwowy zostanie jawnie wyłączony z następującymi ustawieniami klucza rejestru:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
Value: FallbackToSyncJoin
Type:  REG_DWORD
Value: 0x0 -> Disabled
Value: 0x1 -> Enabled
Default (No Key): Enabled

  • Zabezpieczenie przed synchronizacją-łączeniem: Ustaw stan Włączono, jeśli klucz rejestru zapobiegający zabezpieczenie przed synchronizacją-łączeniem z błędami uwierzytelniania jest nie obecny. Ta opcja jest dostępna w systemie Windows 10 1803 lub nowszym.

  • Poprzednia rejestracja: czas, kiedy nastąpiła poprzednia próba rejestracji. Rejestrowane są tylko nieudane próby przyłączenia.

  • Faza błędu: etap łączenia, na którym został przerwany. Możliwe wartości to wstępne sprawdzanie, odkrywanie, uwierzytelnianiei dołączanie.

  • Client ErrorCode: zwrócony kod błędu klienta (HRESULT).

  • Server ErrorCode: kod błędu serwera wyświetlany, jeśli żądanie zostało wysłane na serwer, a serwer odpowiedział kodem błędu.

  • Komunikat serwera: Zwrócony komunikat serwera wraz z kodem błędu.

  • stan https: stan HTTP zwrócony przez serwer.

  • identyfikator żądania: identyfikator żądania klienta wysłany do serwera. Identyfikator żądania jest przydatny do korelowania z dziennikami po stronie serwera.

Przykładowe dane wyjściowe diagnostyki przed dołączeniem

W poniższym przykładzie pokazano, że test diagnostyczny zakończa się niepowodzeniem z błędem wykrywania.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

W poniższym przykładzie pokazano, że testy diagnostyczne przechodzą pomyślnie, ale próba rejestracji nie powiodła się z powodu błędu katalogu, co jest spodziewane w przypadku sync-join. Po zakończeniu zadania synchronizacji programu Microsoft Entra Connect urządzenie jest w stanie dołączyć.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnostyka po dołączeniach

W tej sekcji diagnostyki są wyświetlane dane wyjściowe testów wykonywanych na urządzeniu przyłączonym do chmury.

  • AadRecoveryEnabled: jeśli wartość jest TAK, klucze przechowywane na urządzeniu nie mogą być używane, a urządzenie jest oznaczone do odzyskiwania. Następne logowanie spowoduje uruchomienie procedury odzyskiwania i ponowne zarejestrowanie urządzenia.
  • KeySignTest: jeśli wartość jest PASSED, klucze urządzenia są w dobrej kondycji. Jeśli narzędzie KeySignTest zakończy się niepowodzeniem, urządzenie jest zwykle przeznaczone do odzyskiwania. Następne logowanie uruchomi proces odzyskiwania i ponownie zarejestruje urządzenie. W przypadku urządzeń hybrydowo dołączonych Microsoft Entra odzyskiwanie jest dyskretne. Urządzenia są przyłączone do Microsoft Entra lub zarejestrowane w Microsoft Entra i w razie potrzeby monitują o uwierzytelnienie użytkownika w celu odzyskania i ponownego zarejestrowania urządzenia.

    Notatka

    Test KeySignTest wymaga podniesionych uprawnień.

Przykładowe dane wyjściowe diagnostyki po połączeniach

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Sprawdzanie wymagań wstępnych NGC

Ta sekcja diagnostyki przeprowadza sprawdzanie wymagań wstępnych dotyczących konfigurowania usługi Windows Hello dla firm (WHFB).

Notatka

Możliwe, że szczegóły kontroli wymagań wstępnych NGC nie będą widoczne w dsregcmd /status, jeśli użytkownik pomyślnie skonfigurował WHFB.

  • IsDeviceJoined: ustaw stan na TAK, jeśli urządzenie jest przyłączone do identyfikatora Microsoft Entra.
  • IsUserAzureAD: ustaw stan na TAK, jeśli zalogowany użytkownik jest obecny w identyfikatorze Entra firmy Microsoft.
  • PolicyEnabled: ustaw stan na TAK, jeśli polityka WHFB jest włączona na urządzeniu.
  • PostLogonEnabled: Ustaw stan na TAK, jeśli rejestracja WHFB jest natywnie wyzwalana przez platformę. Jeśli stan ma ustawioną wartość NO, oznacza to, że rejestracja w usłudze Windows Hello dla firm jest wyzwalana przez mechanizm niestandardowy.
  • DeviceEligible: ustaw stan na TAK, jeśli urządzenie spełnia wymagania sprzętowe dotyczące rejestracji w usłudze WHFB.
  • SessionIsNotRemote: ustaw stan na TAK, jeśli bieżący użytkownik jest zalogowany bezpośrednio na urządzeniu, a nie zdalnie.
  • CertEnrollment: to ustawienie jest specyficzne dla wdrożenia zaufania certyfikatów WHFB, które określa urząd rejestracji certyfikatów dla WHFB. Ustaw stan na urząd rejestracji, jeśli źródłem zasad WHFB są Zasady Grupy, lub ustaw go na zarządzanie urządzeniami przenośnymi, jeśli źródłem jest MDM. Jeśli żadne ze źródeł nie ma zastosowania, ustaw stan na brak.
  • AdfsRefreshToken: to ustawienie jest specyficzne dla wdrożenia zaufania certyfikatów WHFB i występuje tylko wtedy, gdy stan rejestracji certyfikatu jest urzędem rejestracji. Ustawienie wskazuje, czy urządzenie ma główny token odświeżania dla użytkownika.
  • AdfsRaIsReady: to ustawienie jest specyficzne dla wdrożenia zaufania certyfikatów WHFB i występuje tylko wtedy, gdy stan CertEnrollment jest urzędem rejestracji. Ustaw stan na TAK, jeśli usługi AD FS wskazują metadane odnajdywania, które obsługują WHFB i szablon certyfikatu logowania jest dostępny.
  • LogonCertTemplateReady: to ustawienie dotyczy wdrożenia obsługi zaufania certyfikatów WHFB i występuje tylko wtedy, gdy stan rejestracji certyfikatu jest organem rejestracyjnym. Ustaw stan na TAK, jeśli stan szablonu certyfikatu logowania jest prawidłowy i pomaga rozwiązać problemy z urzędem rejestracji usług AD FS (RA).
  • PreReqResult: Daje wynik oceny wszystkich wymagań wstępnych WHFB. Ustaw stan na Will Provision jeśli rejestracja WHFB zostanie uruchomiona jako zadanie po zalogowaniu, gdy użytkownik zaloguje się następnym razem.

Notatka

W aktualizacji systemu Windows 10 maja 2021 r. (wersja 21H1) dodano następujące pola diagnostyczne protokołu Kerberos w chmurze.

Przed systemem Windows 11 w wersji 23H2 ustawienie OnPremTGT nosiło nazwę CloudTGT.

  • OnPremTGT: To ustawienie jest specyficzne dla wdrożenia zaufania Kerberos w chmurze i występuje tylko wtedy, gdy stan CertEnrollment jest none. Ustaw stan na TAK, jeśli urządzenie ma bilet Protokołu Kerberos w chmurze w celu uzyskania dostępu do zasobów lokalnych. Przed systemem Windows 11 w wersji 23H2 to ustawienie miało nazwę CloudTGT.

Przykładowe wyjście z kontroli wymagań wstępnych NGC

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Następne kroki

Przejdź do narzędzia wyszukiwania błędów firmy Microsoft .