Rozwiązywanie podstawowych problemów z tokenem odświeżania na urządzeniach z systemem Windows

W tym artykule omówiono sposób rozwiązywania problemów związanych z podstawowym tokenem odświeżania (PRT) podczas uwierzytelniania na urządzeniu z systemem Windows dołączonym do firmy Microsoft przy użyciu poświadczeń firmy Microsoft Entra.

Na urządzeniach, które są przyłączone do identyfikatora Entra firmy Microsoft lub hybrydowego identyfikatora Microsoft Entra ID, głównym składnikiem uwierzytelniania jest PRT. Ten token można uzyskać, logując się do systemu Windows 10 przy użyciu poświadczeń firmy Microsoft Entra na urządzeniu dołączonym do firmy Microsoft po raz pierwszy. Żądanie ściągnięcia jest buforowane na tym urządzeniu. W przypadku kolejnych logowania buforowany token jest używany do korzystania z pulpitu.

W ramach procesu blokowania i odblokowywania urządzenia lub ponownego logowania się do systemu Windows podejmowana jest jednorazowa próba uwierzytelnienia sieciowego w tle co cztery godziny w celu odświeżenia żądania ściągnięcia. Jeśli wystąpią problemy uniemożliwiające odświeżenie tokenu, żądanie ściągnięcia ostatecznie wygaśnie. Wygaśnięcie wpływa na logowanie jednokrotne (SSO) do zasobów firmy Microsoft Entra. Powoduje to również wyświetlanie monitów logowania.

Jeśli podejrzewasz, że istnieje problem PRT, zalecamy najpierw zebranie dzienników firmy Microsoft Entra i wykonanie kroków opisanych na liście kontrolnej rozwiązywania problemów. Zrób to w przypadku pierwszego problemu klienta firmy Microsoft Entra, najlepiej w ramach sesji odtworzenia. Ukończ ten proces przed złożeniem wniosku o pomoc techniczną.

Lista kontrolna rozwiązywania problemów

Krok 1. Pobieranie stanu podstawowego tokenu odświeżania

1. Zaloguj się do systemu Windows na koncie użytkownika, w którym występują problemy z żądaniem ściągnięcia.

2. Wybierz pozycję Start, a następnie wyszukaj i wybierz pozycję Wiersz polecenia.

3. Aby uruchomić polecenie rejestracji urządzenia (dsregcmd), wprowadź .dsregcmd /status

4. Znajdź sekcję Stan logowania jednokrotnego w danych wyjściowych polecenia rejestracji urządzenia. Poniższy tekst przedstawia przykład tej sekcji:

   +----------------------------------------------------------------------+
   | SSO State                                                            |
   +----------------------------------------------------------------------+
   
                   AzureAdPrt : YES
         AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
         AzureAdPrtExpiryTime : 2020-07-26 22:58:35.000 UTC
          AzureAdPrtAuthority : https://login.microsoftonline.com/00001111-aaaa-2222-bbbb-3333cccc4444
                EnterprisePrt : YES
      EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
      EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
       EnterprisePrtAuthority : https://msft.sts.microsoft.com:443/adfs
   
   +----------------------------------------------------------------------+
   

5. Sprawdź wartość AzureAdPrt pola. Jeśli jest ustawiona wartość NO, wystąpił błąd podczas próby uzyskania stanu PRT z identyfikatora Entra firmy Microsoft.

6. Sprawdź wartość AzureAdPrtUpdateTime pola. Jeśli wartość AzureAdPrtUpdateTime pola jest większa niż cztery godziny, problem prawdopodobnie uniemożliwia odświeżanie żądania PRT. Zablokuj i odblokuj urządzenie, aby wymusić odświeżanie PRT, a następnie sprawdź, czy czas jest aktualizowany.

Krok 2. Pobieranie kodu błędu

Następnym krokiem jest pobranie kodu błędu, który powoduje błąd PRT. Najszybszym sposobem uzyskania kodu błędu PRT jest sprawdzenie danych wyjściowych polecenia rejestracji urządzenia. Jednak ta metoda wymaga aktualizacji systemu Windows 10 z maja 2021 r. (wersja 21H1) lub nowszej. Drugą metodą jest znalezienie kodu błędu w dziennikach analitycznych i operacyjnych firmy Microsoft.

Metoda 1. Badanie danych wyjściowych polecenia rejestracji urządzenia

Uwaga

Ta metoda jest dostępna tylko wtedy, gdy używasz aktualizacji systemu Windows 10 z maja 2021 r. (wersja 21H1) lub nowszej wersji systemu Windows.

Aby uzyskać kod błędu PRT, uruchom dsregcmd polecenie, a następnie znajdź sekcję SSO State . AzureAdPrt W polu Attempt Status pole zawiera kod błędu. W poniższym przykładzie kod błędu to 0xc000006d.

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaa0000-bb11-2222-33cc-444444dddddd
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-09-18 20:20:09.760 UTC
            Attempt Status : 0xc000006d
             User Identity : user@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaa0000-bb11-2222-33cc-444444dddddd/oauth2/token
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.

Metoda 2. Używanie Podgląd zdarzeń do badania dzienników analitycznych i operacyjnych usługi AAD

1. Wybierz pozycję Start, a następnie wyszukaj i wybierz pozycję Podgląd zdarzeń.

2. Jeśli drzewo konsoli nie zostanie wyświetlone w oknie Podgląd zdarzeń, wybierz ikonę Pokaż/Ukryj drzewo konsoli, aby wyświetlić drzewo konsoli.

3. W drzewie konsoli wybierz pozycję Podgląd zdarzeń (lokalnie). Jeśli węzły podrzędne nie są wyświetlane pod tym elementem, kliknij dwukrotnie wybór, aby je wyświetlić.

4. Wybierz menu Widok. Jeśli obok pozycji Pokaż dzienniki analityczne i dzienniki debugowania nie jest wyświetlany znacznik wyboru, wybierz ten element menu, aby włączyć tę funkcję.

5. W drzewie konsoli rozwiń węzeł Dzienniki>aplikacji i usług Microsoft>Windows>AAD. Pojawią się węzły podrzędne operacyjne i analityczne.

   Uwaga

   W wtyczki microsoft Entra Cloud Authentication Provider (CloudAP) zdarzenia błędów są zapisywane w dziennikach zdarzeń operacyjnych , a zdarzenia informacyjne są zapisywane w dziennikach zdarzeń analitycznych . Należy zbadać zarówno dzienniki zdarzeń operacyjnych , jak i analitycznych, aby rozwiązać problemy z żądaniem ściągnięcia .

6. W drzewie konsoli wybierz węzeł analityczny , aby wyświetlić zdarzenia analityczne związane z usługą AAD.

7. Na liście zdarzeń analitycznych wyszukaj identyfikatory zdarzeń 1006 i 1007. Identyfikator zdarzenia 1006 oznacza początek przepływu pozyskiwania PRT, a identyfikator zdarzenia 1007 oznacza koniec przepływu pozyskiwania PRT. Wszystkie zdarzenia w dziennikach usługi AAD (zarówno analityczne, jak i operacyjne), które wystąpiły między identyfikatorem zdarzenia 1006 i identyfikatorem zdarzenia 1007, są rejestrowane w ramach przepływu pozyskiwania PRT. W poniższej tabeli przedstawiono przykładową listę zdarzeń.

   Poziom	Data i godzina	Źródło	Identyfikator zdarzenia	Kategoria zadania
   Informacje	24.06.2020 3:35:35	AAD	1006	Operacja AadCloudAPPlugin
   Informacja	24.06.2020 3:35:35	AAD	1018	Operacja AadCloudAPPlugin
   Informacja	24.06.2020 3:35:35	AAD	1144	Operacja AadCloudAPPlugin
   Informacja	24.06.2020 3:35:35	AAD	1022	Operacja AadCloudAPPlugin
   Błąd	24.06.2020 3:35:35	AAD	1084	Operacja AadCloudAPPlugin
   Błąd	24.06.2020 3:35:35	AAD	1086	Operacja AadCloudAPPlugin
   Błąd	24.06.2020 3:35:35	AAD	1160	Operacja AadCloudAPPlugin
   Informacje	24.06.2020 3:35:35	AAD	1007	Operacja AadCloudAPPlugin
   Informacja	24.06.2020 3:35:35	AAD	1157	Operacja AadCloudAPPlugin
   Informacja	24.06.2020 3:35:35	AAD	1158	Operacja AadCloudAPPlugin

8. Kliknij dwukrotnie wiersz zawierający identyfikator zdarzenia 1007. Zostanie wyświetlone okno dialogowe Właściwości zdarzenia dla tego zdarzenia.

9. W polu opisu na karcie Ogólne skopiuj kod błędu. Kod błędu to 10-znakowy ciąg rozpoczynający się od 0x, po którym następuje 8-cyfrowy numer szesnastkowy.

Krok 3. Uzyskiwanie instrukcji dotyczących rozwiązywania problemów z określonymi kodami błędów

Kody stanu ("prefiks STATUS_", kody rozpoczynające się od "0xc000")

STATUS_LOGON_FAILURE (-1073741715 / 0xc000006d),
STATUS_WRONG_PASSWORD (-1073741718 / 0xc000006a)

Przyczyna

• Urządzenie nie może nawiązać połączenia z usługą uwierzytelniania Entra firmy Microsoft.

• Urządzenie odebrało 400 Bad Request odpowiedź o błędzie HTTP z jednego z następujących źródeł:

  • Usługa uwierzytelniania Entra firmy Microsoft
  • Punkt końcowy protokołu WS-Trust (wymagany do uwierzytelniania federacyjnego)

Rozwiązanie

• Jeśli środowisko lokalne wymaga serwera proxy ruchu wychodzącego, upewnij się, że konto komputera urządzenia może odnajdywać i w trybie dyskretnym uwierzytelniać się na serwerze proxy ruchu wychodzącego.

• Pobierz kod błędu serwera i opis błędu, a następnie przejdź do sekcji Typowe kody błędów serwera ("prefiks AADSTS" ), aby znaleźć przyczynę tego błędu serwera i szczegóły rozwiązania.

  W dziennikach operacyjnych firmy Microsoft Entra identyfikator zdarzenia 1081 zawiera kod błędu serwera i opis błędu, jeśli błąd występuje w usłudze uwierzytelniania Entra firmy Microsoft. Jeśli błąd wystąpi w punkcie końcowym zaufania WS, kod błędu serwera i opis błędu zostaną znalezione w identyfikatorze zdarzenia 1088. W dziennikach analitycznych firmy Microsoft pierwsze wystąpienie zdarzenia o identyfikatorze 1022 (poprzedzającym identyfikatory zdarzeń operacyjnych 1081 i 1088) zawiera adres URL, do którego uzyskuje się dostęp.

  Aby wyświetlić identyfikatory zdarzeń w dziennikach operacyjnych i analitycznych firmy Microsoft, zapoznaj się z sekcją Method 2: Use Podgląd zdarzeń to examine Microsoft Entra analytic and operational logs (Metoda 2: Używanie Podgląd zdarzeń do analizowania dzienników analitycznych i operacyjnych firmy Microsoft).

STATUS_REQUEST_NOT_ACCEPTED (-1073741616 / 0xc00000d0)

Przyczyna

Urządzenie odebrało 400 Bad Request odpowiedź o błędzie HTTP z jednego z następujących źródeł:

• Usługa uwierzytelniania Entra firmy Microsoft
• Punkt końcowy protokołu WS-Trust (wymagany do uwierzytelniania federacyjnego)

Rozwiązanie

Pobierz kod błędu serwera i opis błędu, a następnie przejdź do sekcji Typowe kody błędów serwera ("prefiks AADSTS" ), aby znaleźć przyczynę tego błędu serwera i szczegóły rozwiązania.

W dziennikach operacyjnych firmy Microsoft Entra identyfikator zdarzenia 1081 zawiera kod błędu serwera i opis błędu, jeśli błąd występuje w usłudze uwierzytelniania Entra firmy Microsoft. Jeśli błąd wystąpi w punkcie końcowym zaufania WS, kod błędu serwera i opis błędu zostaną znalezione w identyfikatorze zdarzenia 1088. W dziennikach analitycznych firmy Microsoft pierwsze wystąpienie zdarzenia o identyfikatorze 1022 (poprzedzającym identyfikatory zdarzeń operacyjnych 1081 i 1088) zawiera adres URL, do którego uzyskuje się dostęp.

Aby wyświetlić identyfikatory zdarzeń w dziennikach operacyjnych i analitycznych firmy Microsoft, zapoznaj się z sekcją Method 2: Use Podgląd zdarzeń to examine Microsoft Entra analytic and operational logs (Metoda 2: Używanie Podgląd zdarzeń do analizowania dzienników analitycznych i operacyjnych firmy Microsoft).

STATUS_NETWORK_UNREACHABLE (-1073741252 / 0xc000023c),
STATUS_BAD_NETWORK_PATH (-1073741634 / 0xc00000be),
STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628 / 0xc00000c4)

Przyczyna

• Urządzenie odebrało 4xx odpowiedź o błędzie HTTP z jednego z następujących źródeł:

  • Usługa uwierzytelniania Entra firmy Microsoft
  • Punkt końcowy protokołu WS-Trust (wymagany do uwierzytelniania federacyjnego)

• Istnieje problem z łącznością sieciową z wymaganym punktem końcowym.

Rozwiązanie

• Pobierz kod błędu serwera i opis błędu, a następnie przejdź do sekcji Typowe kody błędów serwera ("prefiks AADSTS" ), aby znaleźć przyczynę tego błędu serwera i szczegóły rozwiązania.

  W dziennikach operacyjnych firmy Microsoft Entra identyfikator zdarzenia 1081 zawiera kod błędu serwera i opis błędu, jeśli błąd występuje w usłudze uwierzytelniania Entra firmy Microsoft. Jeśli błąd wystąpi w punkcie końcowym zaufania WS, kod błędu serwera i opis błędu zostaną znalezione w identyfikatorze zdarzenia 1088.

• W przypadku problemu z łącznością sieciową uzyskaj adres URL, do którego uzyskuje się dostęp, oraz kod podrzędnego błędu ze stosu sieciowego. Identyfikator zdarzenia 1022 w dziennikach analitycznych firmy Microsoft zawiera adres URL, do którego uzyskuje się dostęp. Identyfikator zdarzenia 1084 w dziennikach operacyjnych firmy Microsoft Entra zawiera kod podrzędny błędu ze stosu sieciowego.

Aby wyświetlić identyfikatory zdarzeń w dziennikach operacyjnych i analitycznych firmy Microsoft, zapoznaj się z sekcją Method 2: Use Podgląd zdarzeń to examine Microsoft Entra analytic and operational logs (Metoda 2: Używanie Podgląd zdarzeń do analizowania dzienników analitycznych i operacyjnych firmy Microsoft).

STATUS_NO_SUCH_LOGON_SESSION (-1073741729 / 0xc000005f)

Przyczyna

Odnajdywanie obszaru użytkownika nie powiodło się, ponieważ usługa uwierzytelniania Entra firmy Microsoft nie może odnaleźć domeny użytkownika.

Rozwiązanie

• Dodaj domenę głównej nazwy użytkownika (UPN) użytkownika jako domenę niestandardową w identyfikatorze Entra firmy Microsoft. Aby znaleźć podaną nazwę UPN, poszukaj identyfikatora zdarzenia 1144 w dziennikach analitycznych firmy Microsoft.

  Aby wyświetlić identyfikatory zdarzeń w dziennikach analitycznych firmy Microsoft, zapoznaj się z sekcją Method 2: Use Podgląd zdarzeń to examine Microsoft Entra analytic and operational logs (Metoda 2: używanie Podgląd zdarzeń do analizowania dzienników analitycznych i operacyjnych firmy Microsoft).

• Jeśli nie można kierować lokalnej nazwy domeny (na przykład jeśli nazwa UPN jest czymś takim jak jdoe@contoso.local), skonfiguruj alternatywny identyfikator logowania (AltID). (Aby wyświetlić wymagania wstępne, zobacz Zaplanuj implementację dołączania hybrydowego firmy Microsoft Entra.

Typowe kody błędów wtyczki CloudAP ("AAD_CLOUDAP_E_" prefiks, kody rozpoczynające się od "0xc004")

AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812 / 0xc004844c)

Przyczyna

Nazwa UPN użytkownika nie jest w oczekiwanym formacie. Wartość nazwy UPN różni się w zależności od typu urządzenia, jak pokazano w poniższej tabeli.

Typ sprzężenia urządzenia	Wartość nazwy UPN
Urządzenia dołączone do usługi Microsoft Entra	Tekst wprowadzony podczas logowania użytkownika
Urządzenia przyłączone hybrydowo do usługi Microsoft Entra.	Nazwa UPN zwracana przez kontroler domeny podczas procesu logowania

Rozwiązanie

• Ustaw nazwę UPN użytkownika na nazwę logowania w stylu internetowym na podstawie standardu internetowego RFC 822. Aby znaleźć bieżącą nazwę UPN, poszukaj identyfikatora zdarzenia 1144 w dziennikach analitycznych firmy Microsoft.

  Aby wyświetlić identyfikatory zdarzeń w dziennikach analitycznych firmy Microsoft, zapoznaj się z sekcją Method 2: Use Podgląd zdarzeń to examine Microsoft Entra analytic and operational logs (Metoda 2: używanie Podgląd zdarzeń do analizowania dzienników analitycznych i operacyjnych firmy Microsoft).

• W przypadku urządzeń dołączonych hybrydowych firmy Microsoft Entra upewnij się, że skonfigurowano kontroler domeny tak, aby zwracał nazwę UPN w poprawnym formacie. Aby wyświetlić skonfigurowaną nazwę UPN na kontrolerze domeny, uruchom następujące polecenie whoami :

  whoami /upn
  

  Jeśli usługa Active Directory jest skonfigurowana przy użyciu poprawnej nazwy UPN, zbierz ślady podróży czasu dla usługi podsystemu lokalnego urzędu zabezpieczeń (LSASS lub lsass.exe).

• Jeśli nie można kierować lokalnej nazwy domeny (na przykład jeśli nazwa UPN jest czymś takim jak jdoe@contoso.local), skonfiguruj alternatywny identyfikator logowania (AltID). (Aby wyświetlić wymagania wstępne, zobacz Zaplanuj implementację dołączania hybrydowego firmy Microsoft Entra.

AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822 / 0xc0048442)

Przyczyna

Brak identyfikatora zabezpieczeń użytkownika (SID) w tokenie identyfikatora zwracany przez usługę uwierzytelniania Entra firmy Microsoft.

Rozwiązanie

Upewnij się, że serwer proxy sieci nie zakłóca ani nie modyfikuje odpowiedzi serwera.

AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (-1073445695 / 0xc00484c1 / 0x800484c1)

Przyczyna

Wystąpił błąd z punktu końcowego protokołu WS-Trust (wymagane do uwierzytelniania federacyjnego).

Rozwiązanie

• Upewnij się, że serwer proxy sieci nie zakłóca ani nie modyfikuje odpowiedzi serwera.

• Pobierz kod błędu serwera i opis błędu z identyfikatora zdarzenia 1088 w dziennikach operacyjnych firmy Microsoft Entra. Następnie przejdź do sekcji Typowe kody błędów serwera ("prefiks AADSTS" ), aby znaleźć przyczynę tego kodu błędu serwera i szczegóły rozwiązania.

  Aby wyświetlić identyfikatory zdarzeń w dziennikach operacyjnych firmy Microsoft Entra, zapoznaj się z sekcją Method 2: Use Podgląd zdarzeń to examine Microsoft Entra analytic and operational logs (Metoda 2: używanie Podgląd zdarzeń do analizowania dzienników analitycznych i operacyjnych firmy Microsoft).

AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749 / 0xc004848b)

Przyczyna

Punkt końcowy wymiany metadanych (MEX) jest niepoprawnie skonfigurowany. Odpowiedź MEX nie zawiera żadnych adresów URL haseł.

Rozwiązanie

• Upewnij się, że serwer proxy sieci nie zakłóca ani nie modyfikuje odpowiedzi serwera.

• Napraw konfigurację MEX, aby zwrócić prawidłowe adresy URL w odpowiedzi.

AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748 / 0xc004848c)

Przyczyna

Punkt końcowy wymiany metadanych (MEX) jest niepoprawnie skonfigurowany. Odpowiedź MEX nie zawiera żadnych adresów URL punktów końcowych certyfikatów.

Rozwiązanie

• Upewnij się, że serwer proxy sieci nie zakłóca ani nie modyfikuje odpowiedzi serwera.

• Napraw konfigurację MEX u dostawcy tożsamości, aby zwrócić prawidłowe adresy URL certyfikatów w odpowiedzi.

Typowe kody błędów XML (kody rozpoczynające się od "0xc00c")

WC_E_DTDPROHIBITED (-1072894385 / 0xc00cee4f)

Przyczyna

Odpowiedź XML z punktu końcowego protokołu WS-Trust (wymagane do uwierzytelniania federacyjnego) zawierała definicję typu dokumentu (DTD). DtD nie jest oczekiwana w odpowiedzi XML, a analizowanie odpowiedzi kończy się niepowodzeniem, jeśli zostanie uwzględniona jednostka DTD.

Rozwiązanie

• Napraw konfigurację u dostawcy tożsamości, aby uniknąć wysyłania identyfikatora DTD w odpowiedzi XML.

• Uzyskaj adres URL, do którego uzyskuje się dostęp z identyfikatora zdarzenia 1022 w dziennikach analitycznych firmy Microsoft.

  Aby wyświetlić identyfikatory zdarzeń w dziennikach analitycznych firmy Microsoft, zapoznaj się z sekcją Method 2: Use Podgląd zdarzeń to examine Microsoft Entra analytic and operational logs (Metoda 2: używanie Podgląd zdarzeń do analizowania dzienników analitycznych i operacyjnych firmy Microsoft).

Typowe kody błędów serwera ("prefiks AADSTS")

Pełną listę i opis kodów błędów serwera można znaleźć w temacie Kody błędów uwierzytelniania i autoryzacji firmy Microsoft.

AADSTS50155: Uwierzytelnianie urządzenia nie powiodło się

Przyczyna

• Identyfikator Entra firmy Microsoft nie może uwierzytelnić urządzenia w celu wystawienia żądania ściągnięcia.

• Urządzenie mogło zostać usunięte lub wyłączone. (Aby uzyskać więcej informacji, zobacz Dlaczego moi użytkownicy widzą komunikat o błędzie z informacją "Twoja organizacja usunęła urządzenie" lub "Twoja organizacja wyłączyła urządzenie" na urządzeniach z systemem Windows 10/11?)

Rozwiązanie

Zarejestruj ponownie urządzenie na podstawie typu sprzężenia urządzenia. Aby uzyskać instrukcje, zobacz I disabled or deleted my device (Wyłączone lub usunięte moje urządzenie). Ale stan lokalny na urządzeniu mówi, że jest nadal zarejestrowany. Co należy zrobić?.

AADSTS50034: konto <> użytkownika nie istnieje w <katalogu identyfikatora> dzierżawy

Przyczyna

Identyfikator Entra firmy Microsoft nie może odnaleźć konta użytkownika w dzierżawie.

Rozwiązanie

• Upewnij się, że użytkownik wprowadza poprawną nazwę UPN.

• Upewnij się, że lokalne konto użytkownika jest synchronizowane z identyfikatorem Entra firmy Microsoft.

• Pobierz podaną nazwę UPN, wyszukując identyfikator zdarzenia 1144 w dziennikach analitycznych firmy Microsoft.

  Aby wyświetlić identyfikatory zdarzeń w dziennikach analitycznych firmy Microsoft, zapoznaj się z sekcją Method 2: Use Podgląd zdarzeń to examine Microsoft Entra analytic and operational logs (Metoda 2: używanie Podgląd zdarzeń do analizowania dzienników analitycznych i operacyjnych firmy Microsoft).

AADSTS50126: Błąd podczas sprawdzania poprawności poświadczeń z powodu nieprawidłowej nazwy użytkownika lub hasła

Przyczyna

• Użytkownik wprowadził niepoprawną nazwę użytkownika lub hasło w interfejsie użytkownika logowania.

• Hasło nie zostało zsynchronizowane z identyfikatorem Entra firmy Microsoft z powodu następującego scenariusza:

  • Dzierżawa włączyła synchronizację skrótów haseł.
  • Urządzenie jest urządzeniem dołączonym hybrydowym firmy Microsoft Entra.
  • Użytkownik niedawno zmienił hasło.

Rozwiązanie

Aby uzyskać nowy prT, który ma nowe poświadczenia, poczekaj na zakończenie synchronizacji firmy Microsoft Entra.

Typowe kody błędów sieci ("prefiks ERROR_WINHTTP_")

Pełną listę i opis kodów błędów sieci można znaleźć w temacie Komunikaty o błędach (Winhttp.h).

ERROR_WINHTTP_TIMEOUT (12002),
ERROR_WINHTTP_NAME_NOT_RESOLVED (12007),
ERROR_WINHTTP_CANNOT_CONNECT (12029),
ERROR_WINHTTP_CONNECTION_ERROR (12030)

Przyczyna

Typowe ogólne problemy związane z siecią.

Rozwiązanie

• Pobierz adres URL, do którego uzyskuje się dostęp. Adres URL można znaleźć w identyfikatorze zdarzenia 1084 dziennika operacyjnego microsoft Entra lub identyfikatorze zdarzenia 1022 dziennika analitycznego firmy Microsoft.

  Aby wyświetlić identyfikatory zdarzeń w dziennikach operacyjnych i analitycznych firmy Microsoft, zapoznaj się z sekcją Method 2: Use Podgląd zdarzeń to examine Microsoft Entra analytic and operational logs (Metoda 2: Używanie Podgląd zdarzeń do analizowania dzienników analitycznych i operacyjnych firmy Microsoft).

• Jeśli środowisko lokalne wymaga serwera proxy ruchu wychodzącego, upewnij się, że konto komputera urządzenia może odnajdywać i w trybie dyskretnym uwierzytelniać się na serwerze proxy ruchu wychodzącego.

• Zbierz ślady sieci, wykonując następujące kroki:

  Ważne

  Nie używaj programu Fiddler podczas tej procedury.

  1. Uruchom następujące polecenie uruchamiania śledzenia netsh:

     netsh trace start scenario=InternetClient_dbg capture=yes persistent=yes
     

  2. Zablokuj urządzenie.

  3. Jeśli urządzenie jest urządzeniem dołączonym hybrydowym firmy Microsoft Entra, poczekaj co najmniej 60 sekund, aby umożliwić zakończenie zadania pozyskiwania PRT.

  4. Odblokuj urządzenie.

  5. Uruchom następujące polecenie netsh trace stop :

     netsh trace stop
     

Krok 4. Zbieranie dzienników i śladów

Regularne dzienniki

1. Pobierz archiwum skryptów uwierzytelniania i wyodrębnij skrypty do katalogu lokalnego. Jeśli jest to konieczne, zapoznaj się z instrukcjami użycia w bazie wiedzy 4487175.

2. Otwórz administracyjną sesję programu PowerShell i zmień bieżący katalog na katalog, w którym zapisano skrypty uwierzytelniania.

3. Aby rozpocząć sesję śledzenia błędów, wprowadź następujące polecenie:

   .\Start-auth.ps1 -v -acceptEULA
   

4. Przełącz konto użytkownika systemu Windows, aby przejść do sesji użytkownika problemu.

5. Zablokuj urządzenie.

6. Jeśli urządzenie jest urządzeniem dołączonym hybrydowym firmy Microsoft Entra, poczekaj co najmniej 60 sekund, aby umożliwić zakończenie zadania pozyskiwania PRT.

7. Odblokuj urządzenie.

8. Przełącz konto użytkownika systemu Windows z powrotem do sesji administracyjnej, która uruchamia sesję śledzenia.

9. Po odtworzeniu problemu uruchom następujące polecenie, aby zakończyć sesję śledzenia:

   .\stop-auth.ps1
   

10. Poczekaj, aż wszystkie śledzenie zostanie całkowicie zatrzymane.

Ślady podróży w czasie

W poniższej procedurze opisano sposób przechwytywania śladów przy użyciu funkcji Debugowanie podróży czasowych (TTD).

Ostrzeżenie

Ślady podróży w czasie zawierają dane osobowe. Ponadto ślady usługi podsystemu lokalnego urzędu zabezpieczeń (LSASS lub lsass.exe) zawierają bardzo poufne informacje. Podczas obsługi tych śladów upewnij się, że używasz najlepszych rozwiązań dotyczących magazynu i udostępniania tego typu informacji.

1. Wybierz pozycję Start, wprowadź polecenie cmd, znajdź i kliknij prawym przyciskiem myszy wiersz polecenia w wynikach wyszukiwania, a następnie wybierz polecenie Uruchom jako administrator.

2. W wierszu polecenia utwórz katalog tymczasowy:

   mkdir c:\temp
   

3. Uruchom następujące polecenie tasklist :

   tasklist /m lsasrv.dll
   

4. W danych wyjściowych tasklist polecenia znajdź identyfikator procesu (PID) lsass.exe.

5. Aby rozpocząć sesję śledzenia procesu lsass.exe , uruchom następujące polecenie debugowania podróży w czasie (TTD.exe):

   TTD.exe -attach <lsass-pid> -out c:\temp
   

6. Zablokuj urządzenie, które jest zalogowane na koncie domeny.

7. Odblokuj urządzenie.

8. Aby zakończyć sesję śledzenia podróży w czasie, uruchom następujące polecenie TTD:

   TTD.exe -stop all
   

9. Pobierz najnowszy plik lsass##.run .