Resolução de problemas de dispositivos associados ao Microsoft Entra híbrido
Este artigo fornece orientações de solução de problemas para ajudá-lo a resolver possíveis problemas com dispositivos que executam o Windows 10 ou mais recente e o Windows Server 2016 ou mais recente.
O Microsoft Entra hybrid join suporta a atualização do Windows 10 de novembro de 2015 e posterior.
Este artigo pressupõe que você tenha dispositivos associados híbridos do Microsoft Entra para oferecer suporte aos seguintes cenários:
- Acesso Condicional com base em dispositivos
- Roaming de estado empresarial
- Windows Hello para empresas
Nota
Para solucionar os problemas comuns de registro de dispositivos, use a Ferramenta de Solução de Problemas de Registro de Dispositivo.
Solucionar problemas de falhas de associação
Passo 1: Recuperar o estado de associação
- Abra uma janela de Linha de Comandos como administrador.
- Escreva
dsregcmd /status.
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined: YES
EnterpriseJoined: NO
DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
Thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
KeyProvider: Microsoft Platform Crypto Provider
TpmProtected: YES
KeySignTest: : MUST Run elevated to test.
Idp: login.windows.net
TenantId: aaaabbbb-0000-cccc-1111-dddd2222eeee
TenantName: Contoso
AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl: eyJVc{lots of characters}JdfQ==
JoinSrvVersion: 1.0
JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion: 1.0
KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
DomainJoined: YES
DomainName: CONTOSO
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet: YES
NgcKeyId: {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
WorkplaceJoined: NO
WamDefaultSet: YES
WamDefaultAuthority: organizations
WamDefaultId: https://login.microsoft.com
WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
AzureAdPrt: YES
Passo 2: Avaliar o estado da associação
Revise os campos na tabela a seguir e verifique se eles têm os valores esperados:
| Campo | Valor esperado | Description |
|---|---|---|
| DomainJoined | SIM | Este campo indica se o dispositivo está associado a um Ative Directory local. Se o valor for NO, o dispositivo não poderá fazer a junção híbrida do Microsoft Entra. |
| WorkplaceJoined | Não | Este campo indica se o dispositivo está registado com o Microsoft Entra ID como um dispositivo pessoal (marcado como Ingressado no Local de Trabalho). Esse valor deve ser NO para um computador associado a um domínio que também seja associado híbrido do Microsoft Entra. Se o valor for SIM, uma conta corporativa ou de estudante foi adicionada antes da conclusão da associação híbrida do Microsoft Entra. Nesse caso, a conta é ignorada quando você estiver usando o Windows 10 versão 1607 ou posterior. |
| AzureAdJoined | SIM | Este campo indica se o dispositivo está associado. O valor é SIM se o dispositivo for um dispositivo associado do Microsoft Entra ou um dispositivo associado híbrido do Microsoft Entra. Se o valor for NO, a associação ao Microsoft Entra ID ainda não terminou. |
Continue para as próximas etapas para solução de problemas adicionais.
Etapa 3: Localizar a fase em que a junção falhou e o código de erro
Para Windows 10 versão 1803 ou posterior
Procure a subseção "Registro anterior" na seção "Dados de diagnóstico" da saída de status de associação. Esta seção será exibida somente se o dispositivo ingressar no domínio e não puder ingressar no Microsoft Entra.
O campo "Fase de erro" indica a fase da falha de junção e "Client ErrorCode" indica o código de erro da operação de junção.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Para versões anteriores do Windows 10
Use os logs do Visualizador de Eventos para localizar a fase e o código de erro para as falhas de junção.
- No Visualizador de Eventos, abra os logs de eventos do Registro de Dispositivo do Usuário. Eles são armazenados em Registro de Aplicativos e Serviços Registro>
- Procure eventos com as seguintes IDs de evento: 304, 305 e 307.
Etapa 4: Verifique possíveis causas e resoluções
Fase de pré-verificação
Possíveis razões para o insucesso:
- O dispositivo não tem linha de visão para o controlador de domínio.
- O dispositivo deve estar na rede interna da organização ou em uma rede virtual privada com uma linha de visão de rede para um controlador de domínio do Ative Directory local.
Fase de descoberta
Possíveis razões para o insucesso:
- O objeto do ponto de conexão de serviço está configurado incorretamente ou não pode ser lido do controlador de domínio.
- É necessário um objeto de ponto de conexão de serviço válido na floresta do AD, à qual o dispositivo pertence, que aponte para um nome de domínio verificado na ID do Microsoft Entra.
- Para obter mais informações, consulte a seção "Configurar um ponto de conexão de serviço" do Tutorial: Configurar a associação híbrida do Microsoft Entra para domínios federados.
- Falha ao se conectar e buscar os metadados de descoberta do ponto de extremidade de descoberta.
- O dispositivo deve ser capaz de aceder
https://enterpriseregistration.windows.net, no contexto do sistema, para descobrir os pontos finais de registo e autorização. - Se o ambiente local exigir um proxy de saída, o administrador de TI deverá garantir que a conta de computador do dispositivo possa descobrir e autenticar silenciosamente o proxy de saída.
- O dispositivo deve ser capaz de aceder
- Falha ao se conectar ao ponto de extremidade de realm do usuário e fazer a descoberta de realm (somente Windows 10 versão 1809 e posterior).
- O dispositivo deve ser capaz de acessar
https://login.microsoftonline.com, no contexto do sistema, para fazer a descoberta de território para o domínio verificado e determinar o tipo de domínio (gerenciado ou federado). - Se o ambiente local exigir um proxy de saída, o administrador de TI deverá garantir que o contexto do sistema no dispositivo possa descobrir e autenticar silenciosamente o proxy de saída.
- O dispositivo deve ser capaz de acessar
Códigos de erro comuns:
| Código de erro | Razão | Resolução |
|---|---|---|
| DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | Não é possível ler o objeto de ponto de conexão de serviço (SCP) e obter as informações de locatário do Microsoft Entra. | Consulte a seção Configurar um ponto de conexão de serviço. |
| DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) | Falha de descoberta genérica. Falha ao obter os metadados de descoberta do serviço de replicação de dados (DRS). | Para investigar mais, encontre o suberro nas próximas seções. |
| DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) | A operação atingiu o tempo limite durante a execução da descoberta. | Certifique-se de que https://enterpriseregistration.windows.net está acessível no contexto do sistema. Para obter mais informações, consulte a seção Requisitos de conectividade de rede. |
| DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) | Falha de descoberta de realm genérico. Falha ao determinar o tipo de domínio (gerenciado/federado) do STS. | Para investigar mais, encontre o suberro nas próximas seções. |
Códigos de suberro comuns:
Para localizar o código de suberro para o código de erro de descoberta, use um dos seguintes métodos.
Windows 10 versão 1803 ou posterior
Procure por "DRS Discovery Test" na seção "Dados de diagnóstico" da saída de status de junção. Esta seção será exibida somente se o dispositivo ingressar no domínio e não puder ingressar no Microsoft Entra.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : UN-ELEVATED User
Client Time : 2019-06-05 08:25:29.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
+----------------------------------------------------------------------+
Versões anteriores do Windows 10
Use os logs do Visualizador de Eventos para procurar o código de fase e de erro para as falhas de junção.
- No Visualizador de Eventos, abra os logs de eventos do Registro de Dispositivo do Usuário. Eles são armazenados em Registro de Aplicativos e Serviços Registro>
- Procure o ID de evento 201.
Erros de rede:
| Código de erro | Razão | Resolução |
|---|---|---|
| WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) | Não foi possível estabelecer conexão com o servidor. | Garanta a conectividade de rede com os recursos necessários da Microsoft. Para obter mais informações, veja Requisitos de conectividade da rede. |
| WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Tempo limite geral da rede. | Garanta a conectividade de rede com os recursos necessários da Microsoft. Para obter mais informações, veja Requisitos de conectividade da rede. |
| WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) | A pilha de rede não pôde decodificar a resposta do servidor. | Verifique se o proxy de rede não está interferindo e modificando a resposta do servidor. |
Erros HTTP:
| Código de erro | Razão | Resolução |
|---|---|---|
| DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) | O objeto de ponto de conexão de serviço é configurado com a ID de locatário errada ou nenhuma assinatura ativa foi encontrada no locatário. | Verifique se o objeto do ponto de conexão de serviço está configurado com a ID de locatário do Microsoft Entra correta e assinaturas ativas ou se o serviço está presente no locatário. |
| DSREG_SERVER_BUSY (0x801c0025/-2145648603) | HTTP 503 do servidor DRS. | O servidor está indisponível no momento. As futuras tentativas de associação serão, provavelmente, bem-sucedidas quando o servidor estiver novamente online. |
Outros erros:
| Código de erro | Razão | Resolução |
|---|---|---|
| E_INVALIDDATA (0x8007000d/-2147024883) | O JSON de resposta do servidor não pôde ser analisado, provavelmente porque o proxy está retornando um HTTP 200 com uma página de autorização HTML. | Se o ambiente local exigir um proxy de saída, o administrador de TI deverá garantir que o contexto do sistema no dispositivo possa descobrir e autenticar silenciosamente o proxy de saída. |
Fase de autenticação
Este conteúdo aplica-se apenas a contas de domínio federado.
Razões para o insucesso:
- Não é possível obter um token de acesso silenciosamente para o recurso DRS.
- Os dispositivos Windows 10 e Windows 11 adquirem o token de autenticação do Serviço de Federação usando a autenticação integrada do Windows para um ponto de extremidade WS-Trust ativo. Para obter mais informações, consulte Configuração do Serviço de Federação.
Códigos de erro comuns:
Use os logs do Visualizador de Eventos para localizar o código de erro, o código de suberro, o código de erro do servidor e a mensagem de erro do servidor.
- No Visualizador de Eventos, abra os logs de eventos do Registro de Dispositivo do Usuário. Eles são armazenados em Registro de Aplicativos e Serviços Registro>
- Procure o ID de evento 305.
Erros de configuração:
| Código de erro | Razão | Resolução |
|---|---|---|
| ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) | O protocolo de autenticação da Biblioteca de Autenticação do Azure AD (ADAL) não é WS-Trust. | O provedor de identidade local deve oferecer suporte ao WS-Trust. |
| ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) | O Serviço de Federação local não retornou uma resposta XML. | Verifique se o ponto de extremidade do Metadata Exchange (MEX) está retornando um XML válido. Certifique-se de que o proxy não está interferindo e retornando respostas não xml. |
| ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) | Não foi possível descobrir um ponto de extremidade para autenticação de nome de usuário/senha. | Verifique as configurações do provedor de identidade local. Verifique se os pontos de extremidade WS-Trust estão habilitados e se a resposta MEX contém esses pontos de extremidade corretos. |
Erros de rede:
| Código de erro | Razão | Resolução |
|---|---|---|
| ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) | Tempo limite geral da rede. | Certifique-se de que https://login.microsoftonline.com está acessível no contexto do sistema. Certifique-se de que o provedor de identidade local esteja acessível no contexto do sistema. Para obter mais informações, veja Requisitos de conectividade da rede. |
| ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) | A conexão com o ponto de extremidade de autorização foi abortada. | Tente associar novamente após algum tempo ou tente associar a partir de outro local de rede estável. |
| ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) | O certificado TLS (Transport Layer Security) (anteriormente conhecido como certificado SSL [Secure Sockets Layer]) enviado pelo servidor não pôde ser validado. | Verifique a distorção de tempo do cliente. Tente associar novamente após algum tempo ou tente associar a partir de outro local de rede estável. |
| ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) | A tentativa de conexão com https://login.microsoftonline.com falhou. |
Verifique a ligação de rede ao https://login.microsoftonline.com. |
Outros erros:
| Código de erro | Razão | Resolução |
|---|---|---|
| ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) | O token SAML do provedor de identidade local não foi aceito pelo Microsoft Entra ID. | Verifique as configurações do Servidor de Federação. Procure o código de erro do servidor nos logs de autenticação. |
| ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) | A resposta do Server WS-Trust relatou uma exceção de falha e não conseguiu obter a asserção. | Verifique as configurações do Servidor de Federação. Procure o código de erro do servidor nos logs de autenticação. |
| ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) | Recebeu um erro ao tentar obter o token de acesso do ponto de extremidade do token. | Procure o erro subjacente no log da ADAL. |
| ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) | Falha geral da ADAL. | Procure o código de suberro ou o código de erro do servidor nos logs de autenticação. |
Fase de adesão
Razões para o insucesso:
Procure o tipo de registo e o código de erro nas tabelas seguintes, dependendo da versão do Windows 10 que está a utilizar.
Windows 10 versão 1803 ou posterior
Procure a subseção "Registro anterior" na seção "Dados de diagnóstico" da saída de status de associação. Esta seção será exibida somente se o dispositivo ingressar no domínio e não puder ingressar no Microsoft Entra.
O campo "Tipo de registo" indica o tipo de adesão.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) is not found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Versões anteriores do Windows 10
Use os logs do Visualizador de Eventos para localizar a fase e o código de erro para as falhas de junção.
- No Visualizador de Eventos, abra os logs de eventos do Registro de Dispositivo do Usuário. Eles são armazenados em Registro de Aplicativos e Serviços Registro>
- Procure o ID de evento 204.
Erros HTTP retornados do servidor DRS:
| Código de erro | Razão | Resolução |
|---|---|---|
| DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) | Recebeu uma resposta de erro do DRS com ErrorCode: "DirectoryError". | Consulte o código de erro do servidor para possíveis motivos e resoluções. |
| DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) | Recebeu uma resposta de erro do DRS com ErrorCode: "AuthenticationError" e ErrorSubCode não é "DeviceNotFound". | Consulte o código de erro do servidor para possíveis motivos e resoluções. |
| DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) | Recebeu uma resposta de erro do DRS com ErrorCode: "DirectoryError". | Consulte o código de erro do servidor para possíveis motivos e resoluções. |
Erros TPM:
| Código de erro | Razão | Resolução |
|---|---|---|
| NTE_BAD_KEYSET (0x80090016/-2146893802) | A operação TPM (Trusted Platform Module) falhou ou foi inválida. | Este erro indica que o conjunto de chaves não existe. Este erro acontece quando o TPM é limpo nos sistemas ou quando há uma imagem sysprep incorreta. Evite limpar o TPM nas configurações do BIOS ou do Windows. Se o TPM for limpo, os usuários talvez precisem se recuperar removendo e readicionando contas para corrigir o problema, especialmente quando tiverem várias contas WAM. Certifique-se de que a máquina a partir da qual a imagem sysprep foi criada não é o Microsoft Entra associado, o Microsoft Entra híbrido ou o Microsoft Entra registrado. |
| TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | Erro TPM genérico. | Desative o TPM em dispositivos com este erro. As versões 1809 e posteriores do Windows 10 detetam automaticamente falhas do TPM e concluem a associação híbrida do Microsoft Entra sem usar o TPM. |
| TPM_E_NOTFIPS (0x80280036/-2144862154) | O TPM no modo FIPS não é suportado atualmente. | Desative o TPM em dispositivos com este erro. O Windows 10 versão 1809 deteta automaticamente falhas do TPM e conclui a associação híbrida do Microsoft Entra sem usar o TPM. |
| NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | O TPM está bloqueado. | Erro transitório. Aguarde o período de arrefecimento. A tentativa de associação deve ter êxito depois de algum tempo. Para obter mais informações, consulte Fundamentos do TPM. |
Erros de rede:
| Código de erro | Razão | Resolução |
|---|---|---|
| WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Tempo limite geral da rede tentando registrar o dispositivo no DRS. | Verifique a conectividade de rede para https://enterpriseregistration.windows.net. |
| WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) | Não foi possível resolver o nome ou endereço do servidor. | Verifique a conectividade de rede para https://enterpriseregistration.windows.net. |
| WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) | A conexão com o servidor foi encerrada anormalmente. | Tente associar novamente após algum tempo ou tente associar a partir de outro local de rede estável. |
Outros erros:
| Código de erro | Razão | Resolução |
|---|---|---|
| DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | A ID de Evento 220 está presente nos logs de eventos do Registro de Dispositivo do Usuário. O Windows não pode acessar o objeto de computador no Ative Directory. Um código de erro do Windows pode ser incluído no evento. Os códigos de erro ERROR_NO_SUCH_LOGON_SESSION (1312) e ERROR_NO_SUCH_USER (1317) estão relacionados a problemas de replicação no Ative Directory local. | Solucione problemas de replicação no Ative Directory. Esses problemas de replicação podem ser transitórios e desaparecer depois de um tempo. |
Erros do servidor de junção federada:
| Código de erro do servidor | Mensagem de erro do servidor | Motivos possíveis | Resolução |
|---|---|---|---|
| DirectoryError | O seu pedido é limitado temporariamente. Por favor, tente após 300 segundos. | Este erro é esperado, possivelmente porque vários pedidos de registo foram feitos em rápida sucessão. | Tente novamente a junção após o período de reflexão |
Erros do servidor de junção de sincronização:
| Código de erro do servidor | Mensagem de erro do servidor | Motivos possíveis | Resolução |
|---|---|---|---|
| DirectoryError | AADSTS90002: Inquilino UUID não encontrado. Esse erro pode acontecer se não houver assinaturas ativas para o locatário. Consulte o administrador da sua subscrição. |
O ID do locatário no objeto do ponto de conexão de serviço está incorreto. | Verifique se o objeto do ponto de conexão de serviço está configurado com a ID de locatário do Microsoft Entra correta e assinaturas ativas ou se o serviço está presente no locatário. |
| DirectoryError | O objeto de dispositivo pela ID fornecida não foi encontrado. | Este erro é esperado para a associação sincronizada. O objeto de dispositivo não foi sincronizado do AD para o ID do Microsoft Entra | Aguarde até que o Microsoft Entra Connect Sync termine e a próxima tentativa de associação após a conclusão da sincronização resolverá o problema. |
| AuthenticationError | A verificação do SID do computador de destino | O certificado no dispositivo Microsoft Entra não corresponde ao certificado usado para entrar no blob durante a associação de sincronização. Este erro normalmente significa que a sincronização ainda não terminou. | Aguarde até que o Microsoft Entra Connect Sync termine e a próxima tentativa de associação após a conclusão da sincronização resolverá o problema. |
Etapa 5: coletar logs e entrar em contato com o Suporte da Microsoft
Extraia os arquivos para uma pasta, como c:\temp e, em seguida, vá para a pasta.
Em uma sessão elevada do Azure PowerShell, execute
.\start-auth.ps1 -v -accepteula.Selecione Mudar de conta para alternar para outra sessão com o utilizador problemático.
Reproduza o problema.
Selecione Mudar de conta para voltar à sessão de administrador que está executando o rastreamento.
Na sessão elevada do PowerShell, execute
.\stop-auth.ps1.Zip (compactar) e enviar a pasta Authlogs da pasta onde os scripts foram executados.
Solucionar problemas de autenticação pós-ingresso
Etapa 1: Recuperar o status PRT usando dsregcmd /status
Abra uma janela da Linha de Comandos.
Nota
Para obter o status PRT (Primary Refresh Token), abra a janela do Prompt de Comando no contexto do usuário conectado.
Execute o
dsregcmd /status.A seção "Estado SSO" fornece o status PRT atual.
Se o campo AzureAdPrt estiver definido como NO, ocorreu um erro ao adquirir o status PRT da ID do Microsoft Entra.
Se o AzureAdPrtUpdateTime tiver mais de quatro horas, provavelmente haverá um problema com a atualização do PRT. Bloqueie e desbloqueie o dispositivo para forçar a atualização do PRT e, em seguida, verifique se a hora atualiza.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : YES
AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs
+----------------------------------------------------------------------+
Etapa 2: Localizar o código de erro
Da dsregcmd saída
Nota
A saída está disponível na atualização do Windows 10 de maio de 2021 (versão 21H1).
O campo "Status da tentativa" no campo "AzureAdPrt" fornece o status da tentativa de PRT anterior, juntamente com outras informações de depuração necessárias. Para versões anteriores do Windows, extraia as informações dos logs operacionais e de análise do Microsoft Entra.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
A partir dos logs operacionais e de análise do Microsoft Entra
Use o Visualizador de Eventos para procurar as entradas de log registradas pelo plug-in do Microsoft Entra CloudAP durante a aquisição do PRT.
- No Visualizador de Eventos, abra os logs de eventos do Microsoft Entra Operacional. Eles são armazenados em Log de Aplicativos>e Serviços do Microsoft>Windows>AAD.
Nota
O plug-in do CloudAP registra eventos de erro nos logs operacionais e registra os eventos de informações nos logs de análise. Os eventos de log operacional e de análise são necessários para solucionar problemas.
O evento 1006 nos logs de análise denota o início do fluxo de aquisição PRT e o evento 1007 nos logs de análise denota o fim do fluxo de aquisição PRT. Todos os eventos nos logs do Microsoft Entra (analíticos e operacionais) que são registrados entre os eventos 1006 e 1007 foram registrados como parte do fluxo de aquisição PRT.
O evento 1007 registra o código de erro final.
Etapa 3: Solucione mais problemas, com base no código de erro encontrado
| Código de erro | Razão | Resolução |
|---|---|---|
|
STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d) STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a) |
Nota: WS-Trust é necessário para autenticação federada. |
|
| STATUS_REQUEST_NOT_ACCEPTED (-1073741616 / 0xc00000d0) | Recebeu uma resposta de erro (HTTP 400) do serviço de autenticação Microsoft Entra ou do ponto de extremidade WS-Trust. Nota: WS-Trust é necessário para autenticação federada. |
Os eventos 1081 e 1088 (logs operacionais do Microsoft Entra) conteriam o código de erro do servidor e a descrição do erro para erros originários do serviço de autenticação Microsoft Entra e do ponto de extremidade WS-Trust, respectivamente. Os códigos de erro comuns do servidor e suas resoluções estão listados na próxima seção. A primeira instância do evento 1022 (logs analíticos do Microsoft Entra), que precede os eventos 1081 ou 1088, contém a URL que está sendo acessada. |
|
STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c) STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be) STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4) |
Nota: WS-Trust é necessário para autenticação federada. |
|
| STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) | A descoberta do território do usuário falhou porque o serviço de autenticação do Microsoft Entra não conseguiu localizar o domínio do usuário. | |
| AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) | O UPN do usuário não está no formato esperado. Notas: |
whoami /upn deve exibir o UPN configurado. |
| AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) | O SID do usuário está ausente no token de ID retornado pelo serviço de autenticação do Microsoft Entra. | Certifique-se de que o proxy de rede não está interferindo e modificando a resposta do servidor. |
| AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) | Recebeu um erro do ponto de extremidade WS-Trust. Nota: WS-Trust é necessário para autenticação federada. |
|
| AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) | O ponto de extremidade MEX está configurado incorretamente. A resposta MEX não contém URLs para palavras-passe. | |
| AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) | O ponto de extremidade MEX está configurado incorretamente. A resposta MEX não contém URLs de ponto final de certificado. | |
| WC_E_DTDPROHIBITED (-1072894385 / 0xc00cee4f) | A resposta XML, do ponto de extremidade WS-Trust, incluiu uma definição de tipo de documento (DTD). Um DTD não é esperado em respostas XML, e a análise da resposta falhará se um DTD for incluído. Nota: WS-Trust é necessário para autenticação federada. |
Códigos de erro comuns do servidor
| Código de erro | Razão | Resolução |
|---|---|---|
| AADSTS50155: Falha na autenticação do dispositivo | Siga as instruções para esse problema nas Perguntas frequentes de gerenciamento de dispositivos do Microsoft Entra para registrar novamente o dispositivo com base no tipo de associação de dispositivo. | |
AADSTS50034: A conta Account de tenant id usuário não existe no diretório |
O Microsoft Entra ID não consegue encontrar a conta de utilizador no inquilino. | |
| AADSTS50126: Erro ao validar credenciais devido a nome de usuário ou senha inválidos. | Para adquirir um novo PRT com as novas credenciais, aguarde até que a sincronização de senha do Microsoft Entra seja concluída. |
Códigos de erro de rede comuns
| Código de erro | Razão | Resolução |
|---|---|---|
|
ERROR_WINHTTP_TIMEOUT (12002) ERROR_WINHTTP_NAME_NOT_RESOLVED (12007) ERROR_WINHTTP_CANNOT_CONNECT (12029) ERROR_WINHTTP_CONNECTION_ERROR (12030) |
Questões gerais comuns relacionadas com a rede. | Obtenha mais códigos de erro de rede. |
Etapa 4: Coletar logs
Registos regulares
- Vá para https://aka.ms/icesdptool baixar automaticamente um arquivo .cab que contém a ferramenta de diagnóstico.
- Execute a ferramenta e reproduza seu cenário.
- Para rastreamentos do Fiddler, aceite as solicitações de certificado exibidas.
- O assistente solicita uma senha para proteger seus arquivos de rastreamento. Forneça uma senha.
- Finalmente, abra a pasta onde todos os logs coletados são armazenados, como %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
- Entre em contato com o suporte com o conteúdo do arquivo .cab mais recente.
Rastreios de rede
Nota
Ao coletar rastreamentos de rede, é importante não usar o Fiddler durante a reprodução.
- Execute o
netsh trace start scenario=internetClient_dbg capture=yes persistent=yes. - Bloqueie e desbloqueie o dispositivo. Para dispositivos híbridos, aguarde um minuto ou mais para permitir que a tarefa de aquisição de PRT seja concluída.
- Execute o
netsh trace stop. - Partilhe o ficheiro nettrace.cab com o Serviço de Apoio.
Problemas conhecidos
Se estiver ligado a um hotspot móvel ou a uma rede Wi-Fi externa e aceder a Definições>>, os dispositivos associados híbridos do Microsoft Entra poderão mostrar duas contas diferentes, uma para o Microsoft Entra ID e outra para o AD local. Esse problema da interface do usuário não afeta a funcionalidade.
Conteúdos relacionados
-
Solucione problemas de dispositivos usando o
dsregcmdcomando. - Vá para a Ferramenta de Pesquisa de Erros da Microsoft.