Rozwiązywanie podstawowych problemów z tokenem odświeżania na urządzeniach z systemem Windows

W tym artykule omówiono sposób rozwiązywania problemów związanych z głównym tokenem odświeżania (PRT) podczas uwierzytelniania na urządzeniu z systemem Windows zarejestrowanym w Microsoft Entra przy użyciu poświadczeń Microsoft Entra.

Na urządzeniach, które są przyłączone do identyfikatora Entra firmy Microsoft lub hybrydowego identyfikatora Microsoft Entra ID, głównym składnikiem uwierzytelniania jest PRT. Ten token można uzyskać, logując się do systemu Windows 10 przy użyciu poświadczeń Microsoft Entra na urządzeniu połączonym z Microsoft Entra po raz pierwszy. PRT jest buforowane na tym urządzeniu. W przypadku kolejnych logowań, buforowany token jest używany do korzystania z pulpitu.

W ramach procesu blokowania i odblokowywania urządzenia lub ponownego logowania się do systemu Windows, co cztery godziny podejmowana jest próba uwierzytelnienia sieciowego w tle w celu odświeżenia PRT. Jeśli wystąpią problemy uniemożliwiające odświeżenie tokenu, PRT ostatecznie wygaśnie. Upłynięcie czasu ważności wpływa na logowanie jednokrotne (SSO) do zasobów Microsoft Entra. Powoduje to również wyświetlanie monitów logowania.

Jeśli podejrzewasz, że istnieje problem PRT, zalecamy najpierw zebranie dzienników firmy Microsoft Entra i wykonanie kroków opisanych na liście kontrolnej rozwiązywania problemów. Zrób to w przypadku jakiegokolwiek problemu związanego z klientem Microsoft Entra, najlepiej w ramach sesji odtworzeniowej. Ukończ ten proces przed złożeniem wniosku o pomoc techniczną.

Lista kontrolna rozwiązywania problemów

Krok 1. Pobieranie stanu podstawowego tokenu odświeżania

1. Zaloguj się do systemu Windows na koncie użytkownika, w którym występują problemy z PRT.

2. Wybierz Start, a następnie wyszukaj i wybierz Wiersz polecenia.

3. Aby uruchomić polecenie rejestracji urządzenia (dsregcmd), wprowadź .dsregcmd /status

4. Znajdź sekcję stan SSO w danych wyjściowych polecenia rejestracji urządzenia. Poniższy tekst przedstawia przykład tej sekcji:

   +----------------------------------------------------------------------+
   | SSO State                                                            |
   +----------------------------------------------------------------------+
   
                   AzureAdPrt : YES
         AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
         AzureAdPrtExpiryTime : 2020-07-26 22:58:35.000 UTC
          AzureAdPrtAuthority : https://login.microsoftonline.com/00001111-aaaa-2222-bbbb-3333cccc4444
                EnterprisePrt : YES
      EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
      EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
       EnterprisePrtAuthority : https://msft.sts.microsoft.com:443/adfs
   
   +----------------------------------------------------------------------+
   

5. Sprawdź wartość AzureAdPrt pola. Jeśli jest ustawiona wartość NO, wystąpił błąd podczas próby uzyskania stanu PRT z identyfikatora Entra firmy Microsoft.

6. Sprawdź wartość AzureAdPrtUpdateTime pola. Jeśli wartość pola AzureAdPrtUpdateTime jest większa niż cztery godziny, problem prawdopodobnie uniemożliwia odświeżenie PRT. Zablokuj i odblokuj urządzenie, aby wymusić odświeżanie PRT, a następnie sprawdź, czy czas jest aktualizowany.

Krok 2. Pobieranie kodu błędu

Następnym krokiem jest pobranie kodu błędu, który powoduje błąd PRT. Najszybszym sposobem uzyskania kodu błędu PRT jest sprawdzenie danych wyjściowych polecenia rejestracji urządzenia. Jednak ta metoda wymaga aktualizacji systemu Windows 10 z maja 2021 r. (wersja 21H1) lub nowszej. Drugą metodą jest znalezienie kodu błędu w dziennikach analitycznych i operacyjnych firmy Microsoft.

Metoda 1: Sprawdzenie danych wyjściowych polecenia rejestracji urządzenia

Uwaga

Ta metoda jest dostępna tylko wtedy, gdy używasz aktualizacji systemu Windows 10 z maja 2021 r. (wersja 21H1) lub nowszej wersji systemu Windows.

Aby uzyskać kod błędu PRT, uruchom dsregcmd polecenie, a następnie znajdź sekcję SSO State . AzureAdPrt W polu Attempt Status pole zawiera kod błędu. W poniższym przykładzie kod błędu to 0xc000006d.

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaa0000-bb11-2222-33cc-444444dddddd
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-09-18 20:20:09.760 UTC
            Attempt Status : 0xc000006d
             User Identity : user@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaa0000-bb11-2222-33cc-444444dddddd/oauth2/token
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.

Metoda 2: Użyj Podglądu zdarzeń do badania dzienników usługi AAD o charakterze analitycznym i operacyjnym

1. Wybierz Start, a następnie wyszukaj i wybierz Podgląd zdarzeń.

2. Jeśli drzewo konsoli nie zostanie wyświetlone w oknie Podgląd zdarzeń, wybierz ikonę Pokaż/Ukryj drzewo konsoli, aby wyświetlić drzewo konsoli.

3. W drzewie konsoli wybierz pozycję Podgląd zdarzeń (lokalnie). Jeśli węzły podrzędne nie są wyświetlane pod tym elementem, kliknij dwukrotnie wybór, aby je wyświetlić.

4. Wybierz menu Widok. Jeśli obok pozycji Pokaż dzienniki analityczne i dzienniki debugowania nie jest wyświetlany znacznik wyboru, wybierz ten element menu, aby włączyć tę funkcję.

5. W drzewie konsoli rozwiń Aplikacje i Usługi>Microsoft>Windows>AAD. Pojawią się węzły podrzędne operacyjne i analityczne.

   Uwaga

   W wtyczce Microsoft Entra Cloud Authentication Provider (CloudAP) zdarzenia błędów są zapisywane w dziennikach zdarzeń operacyjnych, a zdarzenia informacyjne są zapisywane w dziennikach zdarzeń analitycznych. Należy zbadać zarówno dzienniki operacyjne, jak i analityczne, aby rozwiązać problemy z PRT.

6. W drzewie konsoli wybierz węzeł analityczny , aby wyświetlić zdarzenia analityczne związane z usługą AAD.

7. Na liście zdarzeń analitycznych wyszukaj identyfikatory zdarzeń 1006 i 1007. Identyfikator zdarzenia 1006 oznacza początek przepływu pozyskiwania PRT, a identyfikator zdarzenia 1007 oznacza koniec przepływu pozyskiwania PRT. Wszystkie zdarzenia w dziennikach usługi AAD (zarówno analityczne, jak i operacyjne), które wystąpiły między identyfikatorem zdarzenia 1006 i identyfikatorem zdarzenia 1007, są rejestrowane w ramach przepływu pozyskiwania PRT. W poniższej tabeli przedstawiono przykładową listę zdarzeń.

   Poziom	Data i godzina	Źródło	Identyfikator zdarzenia	Kategoria zadania
   Informacje	24.06.2020 03:35:35	AAD	1006	Operacja AadCloudAPPlugin
   Informacja	24.06.2020 03:35:35	AAD	1018	Operacja AadCloudAPPlugin
   Informacja	24.06.2020 03:35:35 AM	AAD	1144	Operacja AadCloudAPPlugin
   Informacja	24.06.2020 3:35:35 AM	AAD	1022	Działanie AadCloudAPPlugin
   Błąd	24.06.2020 3:35:35 w godzinach porannych	AAD	1084	Operacja AadCloudAPPlugin
   Błąd	24.06.2020 03:35:35	AAD	1086	Operacja AadCloudAPPlugin
   Błąd	24.06.2020 03:35:35 UTC	AAD	1160	Operacja związana z AadCloudAPPlugin
   Informacje	24.06.2020 03:35:35	AAD	1007	Operacja AadCloudAPPlugin
   Informacja	24.06.2020 3:35:35	AAD	1157	Operacja AadCloudAPPlugin
   Informacja	24.06.2020 03:35:35	AAD	1158	Operacja AadCloudAPPlugin

8. Kliknij dwukrotnie wiersz zawierający identyfikator zdarzenia 1007. Zostanie wyświetlone okno dialogowe Właściwości zdarzenia dla tego zdarzenia.

9. W polu opisu na karcie Ogólne skopiuj kod błędu. Kod błędu to 10-znakowy ciąg rozpoczynający się od 0x, po którym następuje 8-cyfrowy numer szesnastkowy.

Krok 3. Uzyskiwanie instrukcji dotyczących rozwiązywania problemów z określonymi kodami błędów

Kody stanu ("prefiks STATUS_", kody rozpoczynające się od "0xc000")

STATUS_LOGON_FAILURE (-1073741715 / 0xc000006d),
STATUS_WRONG_PASSWORD (-1073741718 / 0xc000006a)

Przyczyna

• Urządzenie nie może nawiązać połączenia z usługą uwierzytelniania Entra firmy Microsoft.

• Urządzenie odebrało 400 Bad Request odpowiedź o błędzie HTTP z jednego z następujących źródeł:

  • Usługa uwierzytelniania Entra firmy Microsoft
  • Punkt końcowy protokołu WS-Trust (wymagany do uwierzytelniania federacyjnego)

Rozwiązanie

• Jeśli środowisko lokalne wymaga serwera proxy ruchu wychodzącego, upewnij się, że konto komputera urządzenia może wyszukać i automatycznie uwierzytelniać się na serwerze proxy ruchu wychodzącego.

• Pobierz kod błędu serwera i opis błędu, a następnie przejdź do sekcji Typowe kody błędów serwera ("prefiks AADSTS" ), aby znaleźć przyczynę tego błędu serwera i szczegóły rozwiązania.

  W dziennikach operacyjnych firmy Microsoft Entra identyfikator zdarzenia 1081 zawiera kod błędu serwera i opis błędu, jeśli błąd występuje w usłudze uwierzytelniania Entra firmy Microsoft. Jeśli błąd wystąpi w punkcie końcowym zaufania WS, kod błędu serwera i opis błędu zostaną znalezione w identyfikatorze zdarzenia 1088. W dziennikach analitycznych firmy Microsoft pierwsze wystąpienie zdarzenia o identyfikatorze 1022 (poprzedzającym identyfikatory zdarzeń operacyjnych 1081 i 1088) zawiera adres URL, do którego uzyskuje się dostęp.

  Aby wyświetlić identyfikatory zdarzeń w dziennikach operacyjnych i analitycznych Microsoft Entra, zapoznaj się z sekcją: "Metoda 2: Użyj Podglądu zdarzeń do analizowania dzienników analitycznych i operacyjnych".

STATUS_REQUEST_NOT_ACCEPTED (-1073741616 / 0xc00000d0)

Przyczyna

Urządzenie odebrało 400 Bad Request odpowiedź o błędzie HTTP z jednego z następujących źródeł:

• Usługa uwierzytelniania Entra firmy Microsoft
• Punkt końcowy protokołu WS-Trust (wymagany do uwierzytelniania federacyjnego)

Rozwiązanie

Pobierz kod błędu serwera i opis błędu, a następnie przejdź do sekcji Typowe kody błędów serwera ("prefiks AADSTS" ), aby znaleźć przyczynę tego błędu serwera i szczegóły rozwiązania.

W dziennikach operacyjnych firmy Microsoft Entra identyfikator zdarzenia 1081 zawiera kod błędu serwera i opis błędu, jeśli błąd występuje w usłudze uwierzytelniania Entra firmy Microsoft. Jeśli błąd wystąpi w punkcie końcowym zaufania WS, kod błędu serwera i opis błędu zostaną znalezione w identyfikatorze zdarzenia 1088. W dziennikach analitycznych firmy Microsoft pierwsze wystąpienie zdarzenia o identyfikatorze 1022 (poprzedzającym identyfikatory zdarzeń operacyjnych 1081 i 1088) zawiera adres URL, do którego uzyskuje się dostęp.

Aby wyświetlić identyfikatory zdarzeń w dziennikach operacyjnych i analitycznych Microsoft Entra, zapoznaj się z sekcją "Metoda 2: Użyj Podglądu zdarzeń, aby sprawdzić dzienniki analityczne i operacyjne Microsoft Entra".

STATUS_NETWORK_UNREACHABLE (-1073741252 / 0xc000023c),
STATUS_BAD_NETWORK_PATH (-1073741634 / 0xc00000be),
STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628 / 0xc00000c4)

Przyczyna

• Urządzenie odebrało 4xx odpowiedź o błędzie HTTP z jednego z następujących źródeł:

  • Usługa uwierzytelniania Entra firmy Microsoft
  • Punkt końcowy protokołu WS-Trust (wymagany do uwierzytelniania federacyjnego)

• Istnieje problem z łącznością sieciową z wymaganym punktem końcowym.

Rozwiązanie

• Pobierz kod błędu serwera i opis błędu, a następnie przejdź do sekcji Typowe kody błędów serwera ("prefiks AADSTS" ), aby znaleźć przyczynę tego błędu serwera i szczegóły rozwiązania.

  W dziennikach operacyjnych firmy Microsoft Entra identyfikator zdarzenia 1081 zawiera kod błędu serwera i opis błędu, jeśli błąd występuje w usłudze uwierzytelniania Entra firmy Microsoft. Jeśli błąd wystąpi w punkcie końcowym zaufania WS, kod błędu serwera i opis błędu zostaną znalezione w identyfikatorze zdarzenia 1088.

• W przypadku problemu z łącznością sieciową uzyskaj adres URL, do którego uzyskuje się dostęp, oraz kod podrzędnego błędu ze stosu sieciowego. Identyfikator zdarzenia 1022 w dziennikach analitycznych firmy Microsoft zawiera adres URL, do którego uzyskuje się dostęp. Identyfikator zdarzenia 1084 w dziennikach operacyjnych firmy Microsoft Entra zawiera kod podrzędny błędu ze stosu sieciowego.

Aby wyświetlić identyfikatory zdarzeń w dziennikach operacyjnych i analitycznych Microsoft Entra, zapoznaj się z sekcją „Method 2: Użyj Podglądu zdarzeń, aby przeanalizować dzienniki operacyjne i analityczne Microsoft Entra”.

STATUS_NO_SUCH_LOGON_SESSION (-1073741729 / 0xc000005f)

Przyczyna

Odnajdywanie obszaru użytkownika nie powiodło się, ponieważ usługa uwierzytelniania Entra firmy Microsoft nie może odnaleźć domeny użytkownika.

Rozwiązanie

• Dodaj domenę głównej nazwy użytkownika (UPN) użytkownika jako domenę niestandardową w identyfikatorze Entra firmy Microsoft. Aby znaleźć podaną nazwę UPN, poszukaj identyfikatora zdarzenia 1144 w dziennikach analitycznych Microsoft Entra.

  Aby wyświetlić identyfikatory zdarzeń w dziennikach analitycznych Microsoft Entra, zapoznaj się z sekcją „Metoda 2: użyj Podglądu zdarzeń do analizy dzienników analitycznych i operacyjnych Microsoft Entra”.

• Jeśli nie można kierować lokalnej nazwy domeny (na przykład jeśli nazwa UPN jest czymś takim jak jdoe@contoso.local), skonfiguruj alternatywny identyfikator logowania (AltID). (Aby wyświetlić wymagania wstępne, zobacz Zaplanuj implementację dołączania hybrydowego Microsoft Entra.)

Typowe kody błędów wtyczki CloudAP ("AAD_CLOUDAP_E_" prefiks, kody rozpoczynające się od "0xc004")

AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812 / 0xc004844c)

Przyczyna

UPN użytkownika nie jest w oczekiwanym formacie. Wartość nazwy UPN różni się w zależności od typu urządzenia, jak pokazano w poniższej tabeli.

Typ połączenia urządzenia	Wartość UPN
Urządzenia dołączone do usługi Microsoft Entra	Tekst wprowadzony podczas logowania użytkownika
Urządzenia hybrydowo przyłączone do usługi Microsoft Entra.	Nazwa UPN zwracana przez kontroler domeny podczas procesu logowania

Rozwiązanie

• Ustaw nazwę UPN użytkownika na nazwę logowania w stylu internetowym na podstawie standardu internetowego RFC 822. Aby znaleźć bieżący UPN, poszukaj identyfikatora zdarzenia 1144 w dziennikach analitycznych Microsoft Entra.

  Aby wyświetlić identyfikatory zdarzeń w dziennikach analitycznych Microsoft Entra, zapoznaj się z sekcją Method 2: Użyj programu Podgląd zdarzeń do przeglądania dzienników analitycznych i operacyjnych Microsoft Entra.

• W przypadku urządzeń połączonych hybrydowo z usługą Microsoft Entra upewnij się, że skonfigurowano kontroler domeny, aby zwracał UPN w poprawnym formacie. Aby wyświetlić skonfigurowaną nazwę UPN na kontrolerze domeny, uruchom następujące polecenie whoami :

  whoami /upn
  

  Jeśli usługa Active Directory jest skonfigurowana przy użyciu poprawnej nazwy UPN, zbierz ślady podróży czasu dla usługi podsystemu lokalnego urzędu zabezpieczeń (LSASS lub lsass.exe).

• Jeśli nie można kierować lokalną nazwą domeny (na przykład, jeśli nazwa UPN jest czymś takim jak jdoe@contoso.local), skonfiguruj identyfikator logowania alternatywny (AltID). (Aby wyświetlić wymagania wstępne, zobacz Zaplanuj implementację hybrydowego dołączania Microsoft Entra.)

AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822 / 0xc0048442)

Przyczyna

Brak identyfikatora zabezpieczeń użytkownika (SID) w tokenie identyfikacyjnym, który zwraca usługa uwierzytelniania Microsoft Entra.

Rozwiązanie

Upewnij się, że serwer proxy sieci nie zakłóca ani nie modyfikuje odpowiedzi serwera.

AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (-1073445695 / 0xc00484c1 / 0x800484c1)

Przyczyna

Otrzymałeś błąd z punktu końcowego protokołu WS-Trust (wymagany do uwierzytelniania federacyjnego).

Rozwiązanie

• Upewnij się, że serwer proxy sieci nie zakłóca ani nie modyfikuje odpowiedzi serwera.

• Pobierz kod błędu serwera i opis błędu z identyfikatora zdarzenia 1088 w dziennikach operacyjnych firmy Microsoft Entra. Następnie przejdź do sekcji Typowe kody błędów serwera ("prefiks AADSTS" ), aby znaleźć przyczynę tego kodu błędu serwera i szczegóły rozwiązania.

  Aby wyświetlić identyfikatory zdarzeń w dziennikach operacyjnych Microsoft Entra, zapoznaj się z sekcją Metoda 2: użyj Podglądu zdarzeń, aby przeanalizować dzienniki analityczne i operacyjne Microsoft Entra.

AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749 / 0xc004848b)

Przyczyna

Punkt końcowy wymiany metadanych (MEX) jest niepoprawnie skonfigurowany. Odpowiedź MEX nie zawiera żadnych adresów URL haseł.

Rozwiązanie

• Upewnij się, że serwer proxy sieci nie zakłóca ani nie modyfikuje odpowiedzi serwera.

• Napraw konfigurację MEX, aby zwrócić prawidłowe adresy URL w odpowiedzi.

AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748 / 0xc004848c)

Przyczyna

Punkt końcowy wymiany metadanych (MEX) jest niepoprawnie skonfigurowany. Odpowiedź MEX nie zawiera żadnych adresów URL punktów końcowych certyfikatów.

Rozwiązanie

• Upewnij się, że serwer proxy sieci nie zakłóca ani nie modyfikuje odpowiedzi serwera.

• Popraw konfigurację MEX w dostawcy tożsamości, aby w odpowiedzi zwrócić prawidłowe adresy URL certyfikatów.

Typowe kody błędów XML (kody rozpoczynające się od "0xc00c")

WC_E_DTDPROHIBITED (-1072894385 / 0xc00cee4f)

Przyczyna

Odpowiedź XML z punktu końcowego protokołu WS-Trust (wymagane do uwierzytelniania federacyjnego) zawierała definicję typu dokumentu (DTD). DTD nie jest spodziewany w odpowiedzi XML, a analiza odpowiedzi kończy się niepowodzeniem, jeśli DTD zostanie uwzględniony.

Rozwiązanie

• Napraw konfigurację u dostawcy tożsamości, aby uchronić przed wysyłaniem DTD w odpowiedzi XML.

• Uzyskaj adres URL, który jest uzyskiwany z identyfikatora zdarzenia 1022 w dziennikach analitycznych Microsoft Entra.

  Aby wyświetlić identyfikatory zdarzeń w dziennikach analitycznych Microsoft Entra, zapoznaj się z sekcją Metoda 2: Użycie Podglądu zdarzeń do analizowania dzienników analitycznych i operacyjnych Microsoft Entra.

Typowe kody błędów serwera ("prefiks AADSTS")

Pełną listę i opis kodów błędów serwera można znaleźć w Kodach błędów uwierzytelniania i autoryzacji Microsoft Entra.

AADSTS50155: Uwierzytelnianie urządzenia nie powiodło się

Przyczyna

• Identyfikator Entra firmy Microsoft nie może uwierzytelnić urządzenia, aby wystawić PRT.

• Urządzenie mogło zostać usunięte lub wyłączone. (Aby uzyskać więcej informacji, zobacz Dlaczego moi użytkownicy widzą komunikat o błędzie z informacją "Twoja organizacja usunęła urządzenie" lub "Twoja organizacja wyłączyła urządzenie" na urządzeniach z systemem Windows 10/11?)

Rozwiązanie

Zarejestruj ponownie urządzenie na podstawie typu sprzężenia urządzenia. Aby uzyskać instrukcje, zobacz I disabled or deleted my device (Wyłączone lub usunięte moje urządzenie). Ale stan lokalny na urządzeniu mówi, że jest nadal zarejestrowany. Co należy zrobić?.

AADSTS50034: konto użytkownika <Account> nie istnieje w katalogu dzierżawy <tenant-id>

Przyczyna

Identyfikator Entra ID Microsoft nie może odnaleźć konta użytkownika w dzierżawcy.

Rozwiązanie

• Upewnij się, że użytkownik wprowadza poprawną nazwę UPN.

• Upewnij się, że lokalne konto użytkownika jest synchronizowane z identyfikatorem Entra firmy Microsoft.

• Pobierz podaną nazwę UPN, wyszukując identyfikator zdarzenia 1144 w dziennikach analitycznych Microsoft Entra.

  Aby wyświetlić identyfikatory zdarzeń w dziennikach analitycznych Microsoft Entra, zapoznaj się z sekcją Metoda 2: użyj Podglądu zdarzeń, aby analizować dzienniki analityczne i operacyjne Microsoft Entra.

AADSTS50126: Błąd podczas sprawdzania poprawności poświadczeń z powodu nieprawidłowej nazwy użytkownika lub hasła

Przyczyna

• Użytkownik wprowadził niepoprawną nazwę użytkownika lub hasło w interfejsie użytkownika logowania.

• Hasło nie zostało zsynchronizowane z identyfikatorem Entra firmy Microsoft z powodu następującego scenariusza:

  • Najemca włączył synchronizację skrótów haseł.
  • Urządzenie jest urządzeniem dołączonym hybrydowym firmy Microsoft Entra.
  • Użytkownik niedawno zmienił hasło.

Rozwiązanie

** Aby uzyskać nowy PRT z nowymi poświadczeniami, poczekaj na zakończenie synchronizacji Microsoft Entra.

Typowe kody błędów sieci ("prefiks ERROR_WINHTTP_")

Pełną listę i opis kodów błędów sieci można znaleźć w temacie Komunikaty o błędach (Winhttp.h).

ERROR_WINHTTP_TIMEOUT (12002), przekroczenie limitu czasu
ERROR_WINHTTP_NAME_NOT_RESOLVED (12007),
ERROR_WINHTTP_CANNOT_CONNECT (12029),
ERROR_WINHTTP_CONNECTION_ERROR (12030)

Błąd połączenia WINHTTP

Przyczyna

Typowe ogólne problemy związane z siecią.

Rozwiązanie

• Pobierz adres URL, do którego uzyskuje się dostęp. Adres URL można znaleźć w identyfikatorze zdarzenia 1084 dziennika operacyjnego microsoft Entra lub identyfikatorze zdarzenia 1022 dziennika analitycznego firmy Microsoft.

  Aby wyświetlić identyfikatory zdarzeń w dziennikach operacyjnych i analitycznych Microsoft Entra, zapoznaj się z sekcją zatytułowaną "Metoda 2: użyj Podglądu zdarzeń do przeglądania dzienników analitycznych i operacyjnych Microsoft Entra".

• Jeśli środowisko lokalne wymaga serwera proxy ruchu wychodzącego, upewnij się, że konto komputera urządzenia może odnajdywać i w trybie dyskretnym uwierzytelniać się na serwerze proxy ruchu wychodzącego.

• Zbierz ślady sieci, wykonując następujące kroki:

  Ważne

  Nie używaj programu Fiddler podczas tej procedury.

  1. Uruchom następujące polecenie netsh trace start:

     netsh trace start scenario=InternetClient_dbg capture=yes persistent=yes
     

  2. Zablokuj urządzenie.

  3. Jeśli urządzenie jest hybrydowo dołączone do Microsoft Entra, poczekaj co najmniej 60 sekund, aby umożliwić zakończenie zadania pozyskiwania PRT.

  4. Odblokuj urządzenie.

  5. Uruchom następujące polecenie netsh trace stop :

     netsh trace stop
     

Krok 4. Zbieranie dzienników i śladów

Regularne dzienniki

1. Pobierz archiwum skryptów uwierzytelniania i wyodrębnij skrypty do katalogu lokalnego. Jeśli jest to konieczne, zapoznaj się z instrukcjami użycia w bazie wiedzy 4487175.

2. Otwórz administracyjną sesję programu PowerShell i zmień bieżący katalog na katalog, w którym zapisano skrypty uwierzytelniania.

3. Aby rozpocząć sesję śledzenia błędów, wprowadź następujące polecenie:

   .\Start-auth.ps1 -v -acceptEULA
   

4. Przełącz konto użytkownika systemu Windows, aby przejść do sesji użytkownika, który ma problem.

5. Zablokuj urządzenie.

6. Jeśli urządzenie jest urządzeniem Microsoft Entra dołączonym w trybie hybrydowym, poczekaj co najmniej 60 sekund, aby umożliwić zakończenie zadania pozyskiwania PRT.

7. Odblokuj urządzenie.

8. Przełącz konto użytkownika Windows z powrotem na swoją sesję administracyjną, w której uruchomiona jest sesja śledzenia.

9. Po odtworzeniu problemu uruchom następujące polecenie, aby zakończyć sesję śledzenia.

   .\stop-auth.ps1
   

10. Poczekaj, aż wszystkie śledzenie zostanie całkowicie zatrzymane.

Ślady podróży w czasie

W poniższej procedurze opisano sposób przechwytywania śladów przy użyciu funkcji Time Travel Debugging (TTD).

Ostrzeżenie

Ślady podróży w czasie zawierają dane osobowe. Ponadto ślady usługi podsystemu lokalnego urzędu zabezpieczeń (LSASS lub lsass.exe) zawierają bardzo poufne informacje. Podczas obsługi tych śladów upewnij się, że używasz najlepszych rozwiązań dotyczących magazynu i udostępniania tego typu informacji.

1. Wybierz Start, wprowadź cmd, znajdź i kliknij prawym przyciskiem myszy Wiersz polecenia w wynikach wyszukiwania, a następnie wybierz Uruchom jako administrator.

2. W wierszu polecenia utwórz katalog tymczasowy:

   mkdir c:\temp
   

3. Uruchom następujące polecenie tasklist :

   tasklist /m lsasrv.dll
   

4. W danych wyjściowych tasklist polecenia znajdź identyfikator procesu (PID) lsass.exe.

5. Aby rozpocząć sesję śledzenia procesu lsass.exe, uruchom następujące polecenie debugowania przy użyciu technologii cofania w czasie (TTD.exe):

   TTD.exe -attach <lsass-pid> -out c:\temp
   

6. Zablokuj urządzenie, które jest zalogowane na koncie domeny.

7. Odblokuj urządzenie.

8. Aby zakończyć sesję śledzenia podróży w czasie, uruchom następujące polecenie TTD:

   TTD.exe -stop all
   

9. Pobierz najnowszy plik lsass##.run .