Resolução de problemas de dispositivos associados ao Microsoft Entra híbrido
Este artigo fornece orientações de solução de problemas para ajudá-lo a resolver possíveis problemas com dispositivos que executam o Windows 10 ou mais recente e o Windows Server 2016 ou mais recente.
O Microsoft Entra hybrid join suporta a atualização do Windows 10 de novembro de 2015 e posterior.
Este artigo pressupõe que você tenha dispositivos associados híbridos do Microsoft Entra para oferecer suporte aos seguintes cenários:
- Acesso Condicional com base em dispositivos
- Roaming de Estado da Empresa
- Windows Hello para empresas
Nota
Para solucionar os problemas comuns de registro de dispositivos, use a Ferramenta de Solução de Problemas de Registro de Dispositivo.
Resolver problemas de falhas de ligação
Passo 1: Recuperar o estado de associação
- Abra uma janela de Linha de Comandos como administrador.
- Escreva
dsregcmd /status.
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined: YES
EnterpriseJoined: NO
DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
Thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
KeyProvider: Microsoft Platform Crypto Provider
TpmProtected: YES
KeySignTest: : MUST Run elevated to test.
Idp: login.windows.net
TenantId: aaaabbbb-0000-cccc-1111-dddd2222eeee
TenantName: Contoso
AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl: eyJVc{lots of characters}JdfQ==
JoinSrvVersion: 1.0
JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion: 1.0
KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
DomainJoined: YES
DomainName: CONTOSO
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet: YES
NgcKeyId: {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
WorkplaceJoined: NO
WamDefaultSet: YES
WamDefaultAuthority: organizations
WamDefaultId: https://login.microsoft.com
WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
AzureAdPrt: YES
Passo 2: Avaliar o estado da associação
Revise os campos na tabela a seguir e verifique se eles têm os valores esperados:
| Campo | Valor esperado | Descrição |
|---|---|---|
| DomainJoined | SIM | Este campo indica se o dispositivo está associado a um Ative Directory local. Se o valor for NO, o dispositivo não poderá fazer a junção híbrida do Microsoft Entra. |
| WorkplaceJoined | Não | Este campo indica se o dispositivo está registado com o Microsoft Entra ID como um dispositivo pessoal (marcado como Workplace Joined). Esse valor deve ser NO para um computador associado a um domínio que também esteja associado ao Microsoft Entra híbrido. Se o valor for SIM, uma conta corporativa ou de estudante foi adicionada antes da conclusão da associação híbrida do Microsoft Entra. Nesse caso, a conta é ignorada quando você estiver usando o Windows 10 versão 1607 ou posterior. |
| AzureAdJoined | SIM | Este campo indica se o dispositivo está associado. O valor é SIM se o dispositivo for um dispositivo associado do Microsoft Entra ou um dispositivo associado híbrido do Microsoft Entra. Se o valor for NO, a associação ao Microsoft Entra ID ainda não terminou. |
Continue para as próximas etapas para solução de problemas adicionais.
Etapa 3: Localizar a fase em que a junção falhou e o código de erro
Para Windows 10 versão 1803 ou posterior
Procure a subseção "Registro anterior" na seção "Dados de diagnóstico" da saída de status de associação. Esta seção é exibida somente se o dispositivo estiver associado ao domínio e for incapaz de fazer uma associação híbrida no Microsoft Entra.
O campo "Fase de erro" indica a fase da falha de junção e "Client ErrorCode" indica o código de erro da operação de junção.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Para versões anteriores do Windows 10
Use os logs do Visualizador de Eventos para localizar a fase e o código de erro para as falhas de junção.
- No Visualizador de Eventos, abra os logs de eventos do Registro do Dispositivo do Usuário. Eles são armazenados em Registo de Aplicações e Serviços>Microsoft>Windows>Registo de Dispositivos de Utilizador.
- Procure eventos com as seguintes IDs de evento: 304, 305 e 307.
Etapa 4: Verifique possíveis causas e resoluções
Fase de pré-verificação
Possíveis razões para o insucesso:
- O dispositivo não tem linha de visão para o controlador de domínio.
- O dispositivo deve estar na rede interna da organização ou em uma rede virtual privada com uma linha de visão de rede para um controlador de domínio do Ative Directory local.
Fase de descoberta
Possíveis razões para o insucesso:
- O objeto do ponto de conexão de serviço está configurado incorretamente ou não pode ser lido do controlador de domínio.
- É necessário um objeto de ponto de conexão de serviço válido na floresta do AD à qual pertence o dispositivo. Este deve apontar para um nome de domínio verificado no Microsoft Entra ID.
- Para obter mais informações, consulte a seção "Configurar um ponto de conexão de serviço" do Tutorial: Configurar a associação híbrida do Microsoft Entra para domínios federados.
- Falha ao conectar-se e obter os metadados de descoberta do endpoint de descoberta.
- O dispositivo deve ser capaz de aceder
https://enterpriseregistration.windows.net, no contexto do sistema, para descobrir os pontos finais de registo e autorização. - Se o ambiente local exigir um proxy de saída, o administrador de TI deverá garantir que a conta de computador do dispositivo possa descobrir e autenticar silenciosamente o proxy de saída.
- O dispositivo deve ser capaz de aceder
- Falha ao conectar ao ponto de extremidade do domínio do usuário e fazer a descoberta de domínio (somente Windows 10 versão 1809 e posterior).
- O dispositivo deve ser capaz de acessar
https://login.microsoftonline.com, no contexto do sistema, para fazer a descoberta de território para o domínio verificado e determinar o tipo de domínio (gerenciado ou federado). - Se o ambiente local exigir um proxy de saída, o administrador de TI deverá garantir que o contexto do sistema no dispositivo possa descobrir e autenticar silenciosamente o proxy de saída.
- O dispositivo deve ser capaz de acessar
Códigos de erro comuns:
| Código de erro | Razão | Resolução |
|---|---|---|
| DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | Não é possível ler o objeto de ponto de conexão de serviço (SCP) e obter as informações de locatário do Microsoft Entra. | Consulte a seção Configurar um ponto de conexão de serviço. |
| DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) | Falha de descoberta genérica. Falha ao obter os metadados de descoberta do serviço de replicação de dados (DRS). | Para investigar mais, encontre o suberro nas próximas seções. |
| DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) | A operação atingiu o tempo limite durante a execução da descoberta. | Certifique-se de que https://enterpriseregistration.windows.net está acessível no contexto do sistema. Para obter mais informações, consulte a seção Requisitos de conectividade de rede. |
| DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) | Falha na descoberta de realm genérico. Falha ao determinar o tipo de domínio (gerenciado/federado) do STS. | Para investigar mais, encontre o suberro nas próximas seções. |
Códigos de suberro comuns:
Para encontrar o código de suberro do código de erro de descoberta, use um dos seguintes métodos.
Windows 10 versão 1803 ou posterior
Procure por "DRS Discovery Test" na secção "Dados de diagnóstico" do resultado do estado de junção. Esta seção é exibida somente se o dispositivo estiver ligado a um domínio e não puder aderir ao Microsoft Entra em modo híbrido.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : UN-ELEVATED User
Client Time : 2019-06-05 08:25:29.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
+----------------------------------------------------------------------+
Versões anteriores do Windows 10
Use os logs do Visualizador de Eventos para procurar o código de fase e de erro para as falhas de junção.
- No Visualizador de Eventos, abra os logs de eventos do Registo de Dispositivo de Utilizador. Eles são armazenados em Registro de Aplicações e Serviços>Microsoft>Windows>Registo de Dispositivos de Utilizador.
- Procure o ID de evento 201.
Erros de rede:
| Código de erro | Razão | Resolução |
|---|---|---|
| WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) | Não foi possível estabelecer conexão com o servidor. | Garanta a conectividade de rede com os recursos necessários da Microsoft. Para obter mais informações, veja Requisitos de conectividade da rede. |
| WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Tempo limite geral da rede. | Garanta a conectividade de rede com os recursos necessários da Microsoft. Para obter mais informações, veja Requisitos de conectividade da rede. |
| WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) | A pilha de rede não pôde decodificar a resposta do servidor. | Verifique se o proxy de rede não está interferindo e modificando a resposta do servidor. |
Erros HTTP:
| Código de erro | Razão | Resolução |
|---|---|---|
| DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) | O objeto de ponto de conexão de serviço é configurado com a ID de locatário errada ou nenhuma assinatura ativa foi encontrada no locatário. | Verifique se o objeto do ponto de conexão de serviço está configurado com o ID de inquilino do Microsoft Entra correto e as assinaturas ativas, ou se o serviço está presente no inquilino. |
| DSREG_SERVER_BUSY (0x801c0025/-2145648603) | HTTP 503 do servidor DRS. | O servidor está indisponível no momento. As futuras tentativas de associação serão, provavelmente, bem-sucedidas quando o servidor estiver novamente online. |
Outros erros:
| Código de erro | Razão | Resolução |
|---|---|---|
| E_INVALIDDATA (0x8007000d/-2147024883) | O JSON de resposta do servidor não pôde ser analisado, provavelmente porque o proxy está retornando um HTTP 200 com uma página de autorização HTML. | Se o ambiente local exigir um proxy de saída, o administrador de TI deverá garantir que o contexto do sistema no dispositivo possa descobrir e autenticar silenciosamente o proxy de saída. |
Fase de autenticação
Este conteúdo aplica-se apenas a contas de domínio federado.
Razões para o insucesso:
- Não é possível obter um token de acesso silenciosamente para o recurso DRS.
- Os dispositivos Windows 10 e Windows 11 adquirem o token de autenticação do Serviço de Federação ao usar a autenticação integrada do Windows num ponto de extremidade WS-Trust ativo. Para obter mais informações, consulte Configuração do Serviço de Federação.
Códigos de erro comuns:
Use os logs do Visualizador de Eventos para localizar o código de erro, o código de suberro, o código de erro do servidor e a mensagem de erro do servidor.
- No Visualizador de Eventos, abra os logs de eventos do Registo do Dispositivo do Utilizador. Eles são armazenados em Aplicações e Serviços Log>Microsoft>Windows>Registo de Dispositivo do Utilizador.
- Procure o ID de evento 305.
Erros de configuração:
| Código de erro | Razão | Resolução |
|---|---|---|
| ERRO_ADAL_PROTOCOLO_NÃO_SUPORTADO (0xcaa90017/-894894057) | O protocolo de autenticação da Biblioteca de Autenticação do Azure AD (ADAL) não é WS-Trust. | O provedor de identidade local deve oferecer suporte ao WS-Trust. |
| ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) | O Serviço de Federação local não retornou uma resposta XML. | Verifique se o endpoint de Troca de Metadados (MEX) está retornando um XML válido. Certifique-se de que o proxy não está interferindo e retornando respostas não xml. |
| ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) | Não foi possível descobrir um ponto de extremidade para autenticação de nome de usuário/senha. | Verifique as configurações do provedor de identidade local. Verifique se os pontos de extremidade WS-Trust estão habilitados e se a resposta MEX contém esses pontos de extremidade corretos. |
Erros de rede:
| Código de erro | Razão | Resolução |
|---|---|---|
| ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) | Tempo limite geral da rede. | Certifique-se de que https://login.microsoftonline.com está acessível no contexto do sistema. Certifique-se de que o provedor de identidade local esteja acessível no contexto do sistema. Para obter mais informações, veja Requisitos de conectividade da rede. |
| ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) | A conexão com o ponto final de autorização foi abortada. | Tente juntar-se novamente depois de algum tempo ou tente juntar-se a partir de outro local de rede estável. |
| ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) | O certificado TLS (Transport Layer Security) (anteriormente conhecido como certificado SSL [Secure Sockets Layer]) enviado pelo servidor não pôde ser validado. | Verifique a distorção de tempo do cliente. Tente entrar novamente depois de algum tempo ou tente conectar a partir de outra localização de rede estável. |
| ERRO_ADAL_INTERNET_NÃO_CONECTA (0xcaa82efd/-894947587) | A tentativa de conexão com https://login.microsoftonline.com falhou. |
Verifique a ligação de rede ao https://login.microsoftonline.com. |
Outros erros:
| Código de erro | Razão | Resolução |
|---|---|---|
| ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) | O token SAML do provedor de identidade local não foi aceito pelo Microsoft Entra ID. | Verifique as configurações do Servidor de Federação. Procure o código de erro do servidor nos logs de autenticação. |
| ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) | A resposta do Server WS-Trust relatou uma exceção de falha e não conseguiu obter a asserção. | Verifique as configurações do Servidor de Federação. Procure o código de erro do servidor nos logs de autenticação. |
| ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) | Recebeu um erro ao tentar obter o token de acesso do ponto de extremidade do token. | Procure o erro subjacente no log da ADAL. |
| ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) | Falha geral da ADAL. | Procure o código de suberro ou o código de erro do servidor nos logs de autenticação. |
Fase de adesão
Razões para o insucesso:
Procure o tipo de registo e o código de erro nas tabelas seguintes, dependendo da versão do Windows 10 que está a utilizar.
Windows 10 versão 1803 ou posterior
Procure a subseção "Registo anterior" na secção "Dados de diagnóstico" da saída de status de adesão. Esta seção será exibida apenas se o dispositivo estiver associado ao domínio e não for capaz de realizar a associação híbrida ao Microsoft Entra.
O campo "Tipo de registo" indica o tipo de adesão.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) is not found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Versões anteriores do Windows 10
Use os logs do Visualizador de Eventos para localizar a fase e o código de erro para as falhas de junção.
- No Visualizador de Eventos, abra os logs de eventos do Registo de Dispositivo do Utilizador. Eles são armazenados em Registo de Aplicações e Serviços>Microsoft>Windows>Registo de Dispositivo de Utilizador.
- Procure o ID de evento 204.
Erros HTTP retornados do servidor DRS:
| Código de erro | Razão | Resolução |
|---|---|---|
| DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) | Recebeu uma resposta de erro do DRS com ErrorCode: "DirectoryError". | Consulte o código de erro do servidor para possíveis motivos e resoluções. |
| DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) | Recebeu uma resposta de erro do DRS com ErrorCode: "AuthenticationError" e ErrorSubCode não é "DeviceNotFound". | Consulte o código de erro do servidor para possíveis motivos e resoluções. |
| DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) | Recebeu uma resposta de erro do DRS com ErrorCode: "DirectoryError". | Consulte o código de erro do servidor para possíveis motivos e resoluções. |
Erros TPM:
| Código de erro | Razão | Resolução |
|---|---|---|
| NTE_BAD_KEYSET (0x80090016/-2146893802) | A operação TPM (Trusted Platform Module) falhou ou foi inválida. | Este erro indica que o conjunto de chaves não existe. Este erro acontece quando o TPM é limpo nos sistemas em questão ou quando há uma imagem sysprep defeituosa. Evite limpar o TPM nas configurações do BIOS ou do Windows. Se o TPM for limpo, os usuários talvez precisem se recuperar removendo e readicionando contas para corrigir o problema, especialmente quando tiverem várias contas WAM. Certifique-se de que a máquina de onde a imagem sysprep foi criada não está aderida ao Microsoft Entra, aderida ao Microsoft Entra híbrido, ou registada no Microsoft Entra. |
| TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | Erro TPM genérico. | Desative o TPM em dispositivos com este erro. As versões 1809 e posteriores do Windows 10 detetam automaticamente falhas do TPM e concluem a associação híbrida do Microsoft Entra sem usar o TPM. |
| TPM_E_NOTFIPS (0x80280036/-2144862154) | O TPM no modo FIPS não é suportado atualmente. | Desative o TPM em dispositivos com este erro. A versão 1809 do Windows 10 deteta automaticamente falhas do TPM e conclui a ligação híbrida do Microsoft Entra sem usar o TPM. |
| NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | O TPM está bloqueado. | Erro transitório. Aguarde o período de arrefecimento. A tentativa de associação deve ter êxito depois de algum tempo. Para obter mais informações, consulte Fundamentos do TPM. |
Erros de rede:
| Código de erro | Razão | Resolução |
|---|---|---|
| WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Tempo limite geral de rede ao tentar registar o dispositivo no DRS. | Verifique a conectividade de rede com https://enterpriseregistration.windows.net. |
| WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) | Não foi possível resolver o nome ou endereço do servidor. | Verifique a ligação de rede para https://enterpriseregistration.windows.net. |
| WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) | A conexão com o servidor foi encerrada anormalmente. | Tente entrar novamente depois de algum tempo ou tente conectar a partir de outro local de rede estável. |
Outros erros:
| Código de erro | Razão | Resolução |
|---|---|---|
| DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | A ID de Evento 220 está presente nos logs de eventos do Registro de Dispositivo do Usuário. O Windows não pode acessar o objeto de computador no Ative Directory. Um código de erro do Windows pode ser incluído no evento. Os códigos de erro ERROR_NO_SUCH_LOGON_SESSION (1312) e ERROR_NO_SUCH_USER (1317) estão relacionados a problemas de replicação no Ative Directory local. | Solucione problemas de replicação no Ative Directory. Esses problemas de replicação podem ser transitórios e desaparecer depois de um tempo. |
Erros do servidor de junção federada:
| Código de erro do servidor | Mensagem de erro do servidor | Motivos possíveis | Resolução |
|---|---|---|---|
| Erro de Diretório | O seu pedido está a ser controlado temporariamente. Por favor, tente após 300 segundos. | Este erro é esperado, possivelmente porque vários pedidos de registo foram feitos em rápida sucessão. | Tente novamente a junção após o período de reflexão |
Erros do servidor de sincronização e junção
| Código de erro do servidor | Mensagem de erro do servidor | Motivos possíveis | Resolução |
|---|---|---|---|
| Erro de Diretório | AADSTS90002: Inquilino UUID não encontrado. Esse erro pode acontecer se não houver assinaturas ativas para o locatário. Consulte o administrador da sua subscrição. |
O ID do locatário no objeto do ponto de conexão de serviço está incorreto. | Verifique se o objeto do ponto de conexão de serviço está configurado com o identificador de locatário do Microsoft Entra correto e assinaturas ativas ou confirme que o serviço está presente no locatário. |
| Erro de Diretório | O objeto do dispositivo com a ID fornecida não foi encontrado. | Este erro é esperado para a associação sincronizada. O objeto de dispositivo não foi sincronizado do AD para o ID do Microsoft Entra | Aguarde até que o Microsoft Entra Connect Sync termine e a próxima tentativa de associação após a conclusão da sincronização resolverá o problema. |
| AuthenticationError | A verificação do SID do computador de destino | O certificado no dispositivo Microsoft Entra não corresponde ao certificado utilizado para iniciar sessão no blob durante a sincronização e associação. Este erro normalmente significa que a sincronização ainda não terminou. | Aguarde até que o Microsoft Entra Connect Sync termine e a próxima tentativa de associação após a conclusão da sincronização resolverá o problema. |
Etapa 5: coletar logs e entrar em contato com o Suporte da Microsoft
Extraia os arquivos para uma pasta, como c:\temp e, em seguida, vá para a pasta.
Em uma sessão elevada do Azure PowerShell, execute
.\start-auth.ps1 -v -accepteula.Selecione Mudar de conta para alternar para outra sessão com o utilizador problemático.
Reproduza o problema.
Selecione Mudar de conta para voltar à sessão de administrador que está executando o rastreamento.
Na sessão elevada do PowerShell, execute
.\stop-auth.ps1.Zip (compactar) e enviar a pasta Authlogs da pasta onde os scripts foram executados.
Solucionar problemas de autenticação após a conexão
Etapa 1: Recuperar o status PRT usando dsregcmd /status
Abra uma janela da Linha de Comandos.
Nota
Para obter o status PRT (Primary Refresh Token), abra a janela do Prompt de Comando no contexto do usuário conectado.
Executar
dsregcmd /status.A seção "Estado SSO" fornece o status PRT atual.
Se o campo AzureAdPrt estiver definido como NO, ocorreu um erro ao adquirir o status PRT da ID do Microsoft Entra.
Se o AzureAdPrtUpdateTime tiver mais de quatro horas, provavelmente haverá um problema com a atualização do PRT. Bloqueie e desbloqueie o dispositivo para forçar a atualização do PRT e, em seguida, verifique se a hora atualiza.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : YES
AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs
+----------------------------------------------------------------------+
Etapa 2: Localizar o código de erro
Da dsregcmd saída
Nota
A saída está disponível na atualização do Windows 10 de maio de 2021 (versão 21H1).
O campo "Status da tentativa" no campo "AzureAdPrt" fornece o status da tentativa de PRT anterior, juntamente com outras informações de depuração necessárias. Para versões anteriores do Windows, extraia as informações dos logs operacionais e de análise do Microsoft Entra.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
A partir dos logs operacionais e de análise do Microsoft Entra
Use o Visualizador de Eventos para procurar as entradas de log registradas pelo plug-in do Microsoft Entra CloudAP durante a aquisição do PRT.
- No Visualizador de Eventos, abra os registos de eventos operacionais do Microsoft Entra. Eles são armazenados em Aplicações e Serviços Log>Microsoft>Windows>AAD.
Nota
O plug-in do CloudAP registra eventos de erro nos logs operacionais e registra os eventos de informações nos logs de análise. Os eventos de log operacional e de análise são necessários para solucionar problemas.
O evento 1006 nos logs de análise denota o início do fluxo de aquisição PRT e o evento 1007 nos logs de análise denota o fim do fluxo de aquisição PRT. Todos os eventos nos logs do Microsoft Entra (analíticos e operacionais) que são registrados entre os eventos 1006 e 1007 foram registrados como parte do fluxo de aquisição PRT.
O evento 1007 registra o código de erro final.
Etapa 3: Solucione mais problemas, com base no código de erro encontrado
| Código de erro | Razão | Resolução |
|---|---|---|
|
STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d) STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a) |
Nota: WS-Trust é necessário para autenticação federada. |
|
| STATUS_REQUEST_NOT_ACCEPTED (-1073741616 / 0xc00000d0) | Foi recebida uma resposta de erro (HTTP 400) do serviço de autenticação Microsoft Entra ou do endpoint WS-Trust. Nota: WS-Trust é necessário para autenticação federada. |
Os eventos 1081 e 1088 (logs operacionais do Microsoft Entra) conteriam o código de erro do servidor e a descrição do erro para erros originários do serviço de autenticação Microsoft Entra e do ponto de extremidade WS-Trust, respectivamente. Os códigos de erro comuns do servidor e suas resoluções estão listados na próxima seção. A primeira instância do evento 1022 (logs analíticos do Microsoft Entra), que precede os eventos 1081 ou 1088, contém a URL que está sendo acessada. |
|
STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c) - Estado de rede inalcançável STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be) STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4) |
Nota: WS-Trust é necessário para autenticação federada. |
|
| STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) | A descoberta do território do usuário falhou porque o serviço de autenticação do Microsoft Entra não conseguiu localizar o domínio do usuário. | |
| AAD_CLOUDAP_E_OAUTH_NOME_DE_UTILIZADOR_MALFORMADO (-1073445812/ 0xc004844c) | O UPN do usuário não está no formato esperado. Notas: |
whoami /upn deve exibir o UPN configurado. |
| AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) | O SID do usuário está ausente no token de ID retornado pelo serviço de autenticação do Microsoft Entra. | Certifique-se de que o proxy de rede não está interferindo e modificando a resposta do servidor. |
| AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) | Recebeu um erro do ponto de extremidade WS-Trust. Nota: WS-Trust é necessário para autenticação federada. |
|
| AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) (URI da senha HTTP está vazio) | O ponto de extremidade MEX está configurado incorretamente. A resposta MEX não contém URLs para palavras-passe. | |
| AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) | O ponto de extremidade MEX está configurado incorretamente. A resposta MEX não contém URLs de ponto final de certificado. | |
| WC_E_DTDPROHIBITED (-1072894385 / 0xc00cee4f) | A resposta XML do ponto de extremidade WS-Trust incluiu uma definição de tipo de documento (DTD). Um DTD não é esperado em respostas XML, e a análise da resposta falhará se um DTD for incluído. Nota: WS-Trust é necessário para autenticação federada. |
Códigos de erro comuns do servidor
| Código de erro | Razão | Resolução |
|---|---|---|
| AADSTS50155: Falha na autenticação do dispositivo | Siga as instruções para esse problema nas Perguntas frequentes de gerenciamento de dispositivos do Microsoft Entra para registrar novamente o dispositivo com base no tipo de associação de dispositivo. | |
AADSTS50034: A conta de utilizador Account não existe no diretório tenant id |
O Microsoft Entra ID não consegue encontrar a conta de utilizador no inquilino. | |
| AADSTS50126: Erro ao validar credenciais devido a nome de usuário ou senha inválidos. | Para adquirir um novo PRT com as novas credenciais, aguarde até que a sincronização de senha do Microsoft Entra seja concluída. |
Códigos de erro de rede comuns
| Código de erro | Razão | Resolução |
|---|---|---|
|
ERROR_WINHTTP_TIMEOUT (12002) ERROR_WINHTTP_NAME_NOT_RESOLVED (12007) ERROR_WINHTTP_CANNOT_CONNECT (12029) ERROR_WINHTTP_CONNECTION_ERROR (12030) |
Questões gerais comuns relacionadas com a rede. | Obtenha mais códigos de erro de rede. |
Etapa 4: Coletar logs
Registos regulares
- Vá para https://aka.ms/icesdptool para descarregar automaticamente um ficheiro .cab que contém a ferramenta de diagnóstico.
- Execute a ferramenta e reproduza seu cenário.
- Para rastreamentos do Fiddler, aceite as solicitações de certificado exibidas.
- O assistente solicita uma senha para proteger seus arquivos de rastreamento. Forneça uma senha.
- Finalmente, abra a pasta onde todos os logs coletados são armazenados, como %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
- Entre em contacto com o suporte e forneça o conteúdo do ficheiro mais recente .cab.
Rastreios de rede
Nota
Ao coletar rastreamentos de rede, é importante não usar o Fiddler durante a reprodução.
- Execute
netsh trace start scenario=internetClient_dbg capture=yes persistent=yes. - Bloqueie e desbloqueie o dispositivo. Para dispositivos com configuração híbrida, aguarde um minuto ou mais para que a tarefa de aquisição de PRT seja concluída.
- Execute o
netsh trace stop. - Partilhe o ficheiro nettrace.cab com o Serviço de Apoio.
Problemas conhecidos
Se estiver ligado a um hotspot móvel ou a uma rede Wi-Fi externa e aceder a Definições>Contas>Trabalho ou Escolar, os dispositivos com associação híbrida ao Microsoft Entra poderão mostrar duas contas diferentes, uma para o Microsoft Entra ID e outra para o AD local. Esse problema da interface do usuário não afeta a funcionalidade.
Conteúdos relacionados
-
Solucione problemas de dispositivos usando o
dsregcmdcomando. - Vá para a Ferramenta de Pesquisa de Erros da Microsoft.