Partilhar via

Solucionar problemas de token de atualização principal em dispositivos Windows

  • Artigo

Este artigo descreve como solucionar problemas que envolvem o token de atualização primário (PRT) quando você se autentica em um dispositivo Windows ingressado no Microsoft Entra usando suas credenciais do Microsoft Entra.

Em dispositivos que ingressaram no Microsoft Entra ID ou no Microsoft Entra ID híbrido, o principal componente da autenticação é o PRT. Você obtém esse token entrando no Windows 10 usando as credenciais do Microsoft Entra em um dispositivo associado ao Microsoft Entra pela primeira vez. O PRT é armazenado em cache nesse dispositivo. Para entradas subsequentes, o token armazenado em cache é usado para permitir que você use a área de trabalho.

Como parte do processo de bloqueio e desbloqueio do dispositivo ou entrar novamente no Windows, uma tentativa de autenticação de rede em segundo plano é feita uma vez a cada quatro horas para atualizar o PRT. Se ocorrerem problemas que impeçam a atualização do token, o PRT eventualmente expira. A expiração afeta o logon único (SSO) para recursos do Microsoft Entra. Também faz com que os prompts de entrada sejam exibidos.

Se você suspeitar que existe um problema de PRT, recomendamos que você primeiro colete logs do Microsoft Entra e siga as etapas descritas na lista de verificação de solução de problemas. Faça isso para qualquer problema do cliente Microsoft Entra primeiro, idealmente dentro de uma sessão de reprodução. Conclua este processo antes de apresentar um pedido de suporte.

Lista de verificação de resolução de problemas

Etapa 1: Obter o status do token de atualização primário

  1. Entre no Windows na conta de usuário na qual você enfrenta problemas de PRT.

  2. Selecione Iniciar e, em seguida, procure e selecione Prompt de Comando.

  3. Para executar o comando de registro de dispositivo (dsregcmd), digite dsregcmd /status.

  4. Localize a seção SSO state da saída do comando de registro de dispositivo. O texto a seguir mostra um exemplo dessa seção:

    +----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : YES
      AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
      AzureAdPrtExpiryTime : 2020-07-26 22:58:35.000 UTC
       AzureAdPrtAuthority : https://login.microsoftonline.com/00001111-aaaa-2222-bbbb-3333cccc4444
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
   EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
    EnterprisePrtAuthority : https://msft.sts.microsoft.com:443/adfs

+----------------------------------------------------------------------+

  5. Verifique o valor do AzureAdPrt campo. Se estiver definido como NO, ocorreu um erro quando tentou adquirir o estado PRT a partir do Microsoft Entra ID.

  6. Verifique o valor do AzureAdPrtUpdateTime campo. Se o valor do campo for superior a AzureAdPrtUpdateTime quatro horas, é provável que um problema impeça a atualização do PRT. Bloqueie e desbloqueie o dispositivo para forçar uma atualização PRT e, em seguida, verifique se a hora é atualizada.

Etapa 2: Obter o código de erro

O próximo passo é obter o código de erro que causa o erro PRT. A maneira mais rápida de obter o código de erro PRT é examinar a saída do comando de registro do dispositivo. No entanto, este método requer a atualização do Windows 10 de maio de 2021 (versão 21H1) ou uma versão posterior. O outro método é encontrar o código de erro nos logs analíticos e operacionais do Microsoft Entra.

Método 1: Examinar a saída do comando de registro do dispositivo

Nota

Este método só está disponível se estiver a utilizar a atualização de maio de 2021 do Windows 10 (versão 21H1) ou uma versão posterior do Windows.

Para obter o código de erro PRT, execute o dsregcmd comando e, em seguida, localize a SSO State seção . AzureAdPrt No campo, o Attempt Status campo contém o código de erro. No exemplo a seguir, o código de erro é 0xc000006d.

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaa0000-bb11-2222-33cc-444444dddddd
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-09-18 20:20:09.760 UTC
            Attempt Status : 0xc000006d
             User Identity : user@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaa0000-bb11-2222-33cc-444444dddddd/oauth2/token
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.

Método 2: Usar o Visualizador de Eventos para examinar logs analíticos e operacionais do AAD

  1. Selecione Iniciar e, em seguida, procure e selecione Visualizador de Eventos.

  2. Se a árvore de console não aparecer na janela Visualizador de Eventos, selecione o ícone Mostrar/Ocultar Árvore de Console para tornar a árvore de console visível.

  3. Na árvore de console, selecione Visualizador de Eventos (Local). Se os nós filho não aparecerem abaixo deste item, clique duas vezes na sua seleção para mostrá-los.

  4. Selecione o menu Exibir . Se uma marca de seleção não for exibida ao lado de Mostrar logs analíticos e de depuração, selecione esse item de menu para habilitar esse recurso.

  5. Na árvore de console, expanda >AAD. Os nós filho Operacional e Analítico aparecem.

    Nota

    No plug-in Microsoft Entra Cloud Authentication Provider (CloudAP), os eventos de erro são gravados nos logs de eventos operacionais e os eventos de informações são gravados nos logs de eventos analíticos. Você precisa examinar os logs de eventos operacionais e analíticos para solucionar problemas de PRT.

  6. Na árvore de console, selecione o nó analítico para exibir eventos analíticos relacionados ao AAD.

  7. Na lista de eventos analíticos, procure IDs de evento 1006 e 1007. A ID de Evento 1006 denota o início do fluxo de aquisição de PRT e a ID de Evento 1007 denota o fim do fluxo de aquisição de PRT. Todos os eventos nos logs do AAD (analíticos e operacionais) que ocorreram entre a ID de Evento 1006 e a ID de Evento 1007 são registrados como parte do fluxo de aquisição de PRT. A tabela a seguir mostra um exemplo de listagem de eventos.

    Level Data e Hora Origem ID do Evento Categoria de Tarefa
    Informações 24/06/2020 03:35:35 DAA 1006 Operação AadCloudAPPlugin
    Informação 24/06/2020 03:35:35 AAD 1018 Operação AadCloudAPPlugin
    Informação 24/06/2020 03:35:35 AAD 1144 Operação AadCloudAPPlugin
    Informação 24/06/2020 03:35:35 AAD 1022 Operação AadCloudAPPlugin
    Erro 24/06/2020 03:35:35 AAD 1084 Operação AadCloudAPPlugin
    Erro 24/06/2020 03:35:35 AAD 1086 Operação AadCloudAPPlugin
    Erro 24/06/2020 03:35:35 AAD 1160 Operação AadCloudAPPlugin
    Informações 24/06/2020 03:35:35 DAA 1007 Operação AadCloudAPPlugin
    Informação 24/06/2020 03:35:35 AAD 1157 Operação AadCloudAPPlugin
    Informação 24/06/2020 03:35:35 AAD 1158 Operação AadCloudAPPlugin

  8. Clique duas vezes na linha que contém a ID do Evento 1007. A caixa de diálogo Propriedades do evento para este evento é exibida.

  9. Na caixa de descrição na guia Geral, copie o código de erro. O código de erro é uma cadeia de caracteres de 10 caracteres que começa com 0x, seguida por um número hexadecimal de 8 dígitos.

Etapa 3: Obter instruções de solução de problemas para determinados códigos de erro

Códigos de status (prefixo "STATUS_", códigos que começam com "0xc000")

STATUS_LOGON_FAILURE (-1073741715 / 0xc000006d),
STATUS_WRONG_PASSWORD (-1073741718 / 0xc000006a)
Motivo

  • O dispositivo não pode se conectar ao serviço de autenticação do Microsoft Entra.

  • O dispositivo recebeu uma 400 Bad Request resposta de erro HTTP de uma das seguintes fontes:

    • O serviço de autenticação Microsoft Entra
    • Um ponto de extremidade para o protocolo WS-Trust (necessário para autenticação federada)
Solução

  • Se o ambiente local exigir um proxy de saída, certifique-se de que a conta de computador do dispositivo possa descobrir e autenticar silenciosamente no proxy de saída.

  • Obtenha o código de erro do servidor e a descrição do erro e, em seguida, vá para a seção Códigos de erro comuns do servidor ("prefixo AADSTS") para encontrar a causa desse código de erro do servidor e os detalhes da solução.

    Nos logs operacionais do Microsoft Entra, a ID de Evento 1081 contém o código de erro do servidor e a descrição do erro se o erro ocorrer no serviço de autenticação do Microsoft Entra. Se o erro ocorrer em um ponto de extremidade WS-Trust, o código de erro do servidor e a descrição do erro serão encontrados na ID do Evento 1088. Nos logs analíticos do Microsoft Entra, a primeira instância da ID de Evento 1022 (que precede as IDs de Evento operacionais 1081 e 1088) contém a URL que está sendo acessada.

    Para exibir IDs de eventos nos logs operacionais e analíticos do Microsoft Entra, consulte a seção Método 2: Usar o Visualizador de Eventos para examinar os logs analíticos e operacionais do Microsoft Entra.

STATUS_REQUEST_NOT_ACCEPTED (-1073741616 / 0xc00000d0)
Motivo

O dispositivo recebeu uma 400 Bad Request resposta de erro HTTP de uma das seguintes fontes:

  • O serviço de autenticação Microsoft Entra
  • Um ponto de extremidade para o protocolo WS-Trust (necessário para autenticação federada)
Solução

Obtenha o código de erro do servidor e a descrição do erro e, em seguida, vá para a seção Códigos de erro comuns do servidor ("prefixo AADSTS") para encontrar a causa desse código de erro do servidor e os detalhes da solução.

Nos logs operacionais do Microsoft Entra, a ID de Evento 1081 contém o código de erro do servidor e a descrição do erro se o erro ocorrer no serviço de autenticação do Microsoft Entra. Se o erro ocorrer em um ponto de extremidade WS-Trust, o código de erro do servidor e a descrição do erro serão encontrados na ID do Evento 1088. Nos logs analíticos do Microsoft Entra, a primeira instância da ID de Evento 1022 (que precede as IDs de Evento operacionais 1081 e 1088) contém a URL que está sendo acessada.

Para exibir IDs de eventos nos logs operacionais e analíticos do Microsoft Entra, consulte a seção Método 2: Usar o Visualizador de Eventos para examinar os logs analíticos e operacionais do Microsoft Entra.

STATUS_NETWORK_UNREACHABLE (-1073741252 / 0xc000023c),
STATUS_BAD_NETWORK_PATH (-1073741634 / 0xc00000be),
STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628 / 0xc00000c4)
Motivo

  • O dispositivo recebeu uma 4xx resposta de erro HTTP de uma das seguintes fontes:

    • O serviço de autenticação Microsoft Entra
    • Um ponto de extremidade para o protocolo WS-Trust (necessário para autenticação federada)

  • Existe um problema de conectividade de rede com um ponto de extremidade necessário.

Solução

  • Obtenha o código de erro do servidor e a descrição do erro e, em seguida, vá para a seção Códigos de erro comuns do servidor ("prefixo AADSTS") para encontrar a causa desse código de erro do servidor e os detalhes da solução.

    Nos logs operacionais do Microsoft Entra, a ID de Evento 1081 contém o código de erro do servidor e a descrição do erro se o erro ocorrer no serviço de autenticação do Microsoft Entra. Se o erro ocorrer em um ponto de extremidade WS-Trust, o código de erro do servidor e a descrição do erro serão encontrados na ID do Evento 1088.

  • Para um problema de conectividade de rede, obtenha a URL que está sendo acessada e o código de suberro da pilha de rede. A ID de evento 1022 nos logs analíticos do Microsoft Entra contém a URL que está sendo acessada. A ID de evento 1084 nos logs operacionais do Microsoft Entra contém o código de suberro da pilha de rede.

Para exibir IDs de eventos nos logs operacionais e analíticos do Microsoft Entra, consulte a seção Método 2: Usar o Visualizador de Eventos para examinar os logs analíticos e operacionais do Microsoft Entra.

STATUS_NO_SUCH_LOGON_SESSION (-1073741729 / 0xc000005f)
Motivo

A descoberta do território do usuário falhou porque o serviço de autenticação do Microsoft Entra não consegue localizar o domínio do usuário.

Solução

  • Adicione o domínio do nome principal do usuário (UPN) do usuário como um domínio personalizado no Microsoft Entra ID. Para localizar o UPN fornecido, procure a ID de Evento 1144 nos logs analíticos do Microsoft Entra.

    Para exibir IDs de evento nos logs analíticos do Microsoft Entra, consulte a seção Método 2: Usar o Visualizador de Eventos para examinar os logs analíticos e operacionais do Microsoft Entra.

  • Se o nome de domínio local não puder ser roteado (por exemplo, se o UPN for algo como jdoe@contoso.local), configure o ID de Login Alternativo (AltID). (Para visualizar os pré-requisitos, consulte Planeje sua implementação de associação híbrida do Microsoft Entra.)

Códigos de erro comuns do plug-in CloudAP (prefixo "AAD_CLOUDAP_E_", códigos que começam com "0xc004")

AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812 / 0xc004844c)
Motivo

O UPN para o usuário não está no formato esperado. O valor UPN varia de acordo com o tipo de dispositivo, conforme mostrado na tabela a seguir.

Tipo de associação de dispositivo Valor UPN
Dispositivos associados do Microsoft Entra O texto introduzido quando o utilizador inicia sessão
Dispositivos híbridos associados ao Microsoft Entra O UPN que o controlador de domínio retorna durante o processo de entrada
Solução

  • Defina o UPN do usuário para um nome de entrada no estilo da Internet, com base no padrão da Internet RFC 822. Para localizar o UPN atual, procure o ID de evento 1144 nos logs analíticos do Microsoft Entra.

    Para exibir IDs de evento nos logs analíticos do Microsoft Entra, consulte a seção Método 2: Usar o Visualizador de Eventos para examinar os logs analíticos e operacionais do Microsoft Entra.

  • Para dispositivos associados híbridos do Microsoft Entra, certifique-se de que configurou o controlador de domínio para devolver o UPN no formato correto. Para exibir o UPN configurado no controlador de domínio, execute o seguinte comando whoami :

    whoami /upn

    Se o Ative Directory estiver configurado com o UPN correto, colete rastreamentos de viagem no tempo para o Serviço de Subsistema da Autoridade de Segurança Local (LSASS ou lsass.exe).

  • Se o nome de domínio local não puder ser roteado (por exemplo, se o UPN for algo como jdoe@contoso.local), configure o ID de Login Alternativo (AltID). (Para visualizar os pré-requisitos, consulte Planeje sua implementação de associação híbrida do Microsoft Entra.)

AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822 / 0xc0048442)
Motivo

O identificador de segurança do usuário (SID) está ausente no token de ID que o serviço de autenticação do Microsoft Entra retorna.

Solução

Certifique-se de que o proxy de rede não interfere ou modifica a resposta do servidor.

AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (-1073445695 / 0xc00484c1 / 0x800484c1)
Motivo

Você recebeu um erro do ponto de extremidade do protocolo WS-Trust (necessário para autenticação federada).

Solução

  • Certifique-se de que o proxy de rede não interfere ou modifica a resposta do servidor.

  • Obtenha o código de erro do servidor e a descrição do erro da ID de Evento 1088 nos logs operacionais do Microsoft Entra. Em seguida, vá para a seção Common server error codes ("AADSTS" prefix ) para encontrar a causa desse código de erro do servidor e os detalhes da solução.

    Para exibir IDs de evento nos logs operacionais do Microsoft Entra, consulte a seção Método 2: Usar o Visualizador de Eventos para examinar os logs analíticos e operacionais do Microsoft Entra.

AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749 / 0xc004848b)
Motivo

O ponto de extremidade do Metadata Exchange (MEX) está configurado incorretamente. A resposta MEX não contém URLs para palavras-passe.

Solução

  • Certifique-se de que o proxy de rede não interfere ou modifica a resposta do servidor.

  • Corrija a configuração MEX para retornar URLs válidos na resposta.

AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748 / 0xc004848c)
Motivo

O ponto de extremidade do Metadata Exchange (MEX) está configurado incorretamente. A resposta MEX não contém URLs de ponto final de certificado.

Solução

  • Certifique-se de que o proxy de rede não interfere ou modifica a resposta do servidor.

  • Corrija a configuração MEX no provedor de identidade para retornar URLs de certificado válidas na resposta.

Códigos de erro XML comuns (códigos que começam com "0xc00c")

WC_E_DTDPROHIBITED (-1072894385 / 0xc00cee4f)
Motivo

A resposta XML do ponto de extremidade do protocolo WS-Trust (necessário para autenticação federada) incluiu uma definição de tipo de documento (DTD). O DTD não é esperado na resposta XML e a análise de resposta falhará se o DTD estiver incluído.

Solução

  • Corrija a configuração no provedor de identidade para evitar o envio do DTD na resposta XML.

  • Obtenha a URL que está sendo acessada a partir da ID de Evento 1022 nos logs analíticos do Microsoft Entra.

    Para exibir IDs de evento nos logs analíticos do Microsoft Entra, consulte a seção Método 2: Usar o Visualizador de Eventos para examinar os logs analíticos e operacionais do Microsoft Entra.

Códigos de erro comuns do servidor (prefixo "AADSTS")

Você pode encontrar uma lista completa e uma descrição dos códigos de erro do servidor nos códigos de erro de autenticação e autorização do Microsoft Entra.

AADSTS50155: Falha na autenticação do dispositivo
Motivo
Solução

Registe novamente o dispositivo com base no tipo de associação do dispositivo. Para obter instruções, consulte Desativei ou eliminei o meu dispositivo. Mas o estado local no dispositivo diz que ele ainda está registrado. O que devo fazer?.

AADSTS50034: A conta< de >usuário <não existe no diretório tenant-id>
Motivo

O Microsoft Entra ID não consegue encontrar a conta de utilizador no inquilino.

Solução

  • Certifique-se de que o usuário está inserindo o UPN correto.

  • Verifique se a conta de usuário local está sendo sincronizada com a ID do Microsoft Entra.

  • Obtenha o UPN fornecido procurando a ID de Evento 1144 nos logs analíticos do Microsoft Entra.

    Para exibir IDs de evento nos logs analíticos do Microsoft Entra, consulte a seção Método 2: Usar o Visualizador de Eventos para examinar os logs analíticos e operacionais do Microsoft Entra.

AADSTS50126: Erro ao validar credenciais devido a nome de usuário ou senha inválidos
Motivo

  • O usuário inseriu um nome de usuário ou senha incorretos na interface do usuário de entrada.

  • A senha não foi sincronizada com o Microsoft Entra ID devido ao seguinte cenário:

    • O locatário habilitou a sincronização de hash de senha.
    • O dispositivo é um dispositivo associado híbrido Microsoft Entra.
    • O usuário alterou recentemente a senha.
Solução

Para adquirir um novo PRT com as novas credenciais, aguarde a conclusão da sincronização do Microsoft Entra.

Códigos de erro de rede comuns (prefixo "ERROR_WINHTTP_")

Você pode encontrar uma lista completa e descrição dos códigos de erro de rede em Mensagens de erro (Winhttp.h).

ERROR_WINHTTP_TIMEOUT (12002),
ERROR_WINHTTP_NAME_NOT_RESOLVED (12007),
ERROR_WINHTTP_CANNOT_CONNECT (12029),
ERROR_WINHTTP_CONNECTION_ERROR (12030)
Motivo

Questões gerais comuns relacionadas com a rede.

Solução

  • Obtenha o URL que está a ser acedido. Você pode encontrar a URL na ID de Evento 1084 do log operacional do Microsoft Entra ou na ID de Evento 1022 do log analítico do Microsoft Entra.

    Para exibir IDs de eventos nos logs operacionais e analíticos do Microsoft Entra, consulte a seção Método 2: Usar o Visualizador de Eventos para examinar os logs analíticos e operacionais do Microsoft Entra.

  • Se o ambiente local exigir um proxy de saída, certifique-se de que a conta de computador do dispositivo possa descobrir e autenticar silenciosamente no proxy de saída.

  • Colete rastreamentos de rede seguindo estas etapas:

    Importante

    Não utilize o Fiddler durante este procedimento.

    1. Execute o seguinte comando netsh trace start :

      netsh trace start scenario=InternetClient_dbg capture=yes persistent=yes

    2. Bloqueie o dispositivo.

    3. Se o dispositivo for um dispositivo associado híbrido do Microsoft Entra, aguarde pelo menos 60 segundos para permitir que a tarefa de aquisição PRT seja concluída.

    4. Desbloqueie o dispositivo.

    5. Execute o seguinte comando netsh trace stop :

      netsh trace stop

Passo 4: Recolher os registos e vestígios

Registos regulares

  1. Baixe o arquivo de scripts Auth e extraia os scripts em um diretório local. Se for necessário, revise as instruções de uso em KB 4487175.

  2. Abra uma sessão administrativa do PowerShell e altere o diretório atual para o diretório no qual você salvou os scripts de autenticação.

  3. Para iniciar a sessão de rastreamento de erros, digite o seguinte comando:

    .\Start-auth.ps1 -v -acceptEULA

  4. Mude a conta de utilizador do Windows para ir para a sessão do utilizador problemático.

  5. Bloqueie o dispositivo.

  6. Se o dispositivo for um dispositivo associado híbrido do Microsoft Entra, aguarde pelo menos 60 segundos para permitir que a tarefa de aquisição PRT seja concluída.

  7. Desbloqueie o dispositivo.

  8. Alterne a conta de usuário do Windows de volta para a sessão administrativa que está executando a sessão de rastreamento.

  9. Depois de reproduzir o problema, execute o seguinte comando para encerrar a sessão de rastreamento:

    .\stop-auth.ps1

  10. Aguarde até que todo o rastreamento pare completamente.

Vestígios de viagem no tempo

O procedimento a seguir descreve como capturar rastreamentos usando o recurso TTD (Depuração de Viagem no Tempo).

Aviso

Os vestígios de viagem no tempo contêm dados pessoais. Além disso, os rastreamentos do Serviço de Subsistema da Autoridade de Segurança Local (LSASS ou lsass.exe) contêm informações extremamente confidenciais. Ao lidar com esses rastreamentos, certifique-se de usar as práticas recomendadas para o armazenamento e o compartilhamento desse tipo de informação.

  1. Selecione Iniciar, digite cmd, localize e clique com o botão direito do mouse em Prompt de Comando nos resultados da pesquisa e selecione Executar como administrador.

  2. No prompt de comando, crie um diretório temporário:

    mkdir c:\temp

  3. Execute o seguinte comando de lista de tarefas:

    tasklist /m lsasrv.dll

  4. Na saída do tasklist comando, localize o identificador de processo (PID) de lsass.exe.

  5. Para iniciar uma sessão de rastreamento do processo de lsass.exe , execute o seguinte comando de depuração de viagem no tempo (TTD.exe):

    TTD.exe -attach <lsass-pid> -out c:\temp

  6. Bloqueie o dispositivo com sessão iniciada na conta de domínio.

  7. Desbloqueie o dispositivo.

  8. Para encerrar a sessão de rastreamento de viagem no tempo, execute o seguinte comando TTD:

    TTD.exe -stop all

  9. Obtenha o arquivo lsass##.run mais recente.