Устранение неполадок с устройствами, присоединенными к гибридным устройствам Microsoft Entra
В этой статье приведены инструкции по устранению потенциальных проблем с устройствами под управлением Windows 10 и более поздних версий или Windows Server 2016 и более поздних версий.
Гибридное присоединение Microsoft Entra поддерживает обновление Windows 10 ноября 2015 г. и более поздние версии.
Сведения об устранении неполадок с другими клиентами Windows см. в статье "Устранение неполадок гибридных устройств Microsoft Entra, присоединенных к нижнему уровню".
В этой статье предполагается, что у вас есть гибридные устройства , присоединенные к Microsoft Entra, для поддержки следующих сценариев:
- Условный доступ на основе информации об устройстве
- Enterprise State Roaming;
- Windows Hello для бизнеса
Примечание.
Для устранения распространенных проблем с регистрацией устройств используйте средство устранения неполадок регистрации устройств.
Устранение сбоев при присоединении
Шаг 1. Получение сведений о состоянии присоединения
- Откройте окно командной строки от имени администратора.
- Введите
dsregcmd /status
.
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined: YES
EnterpriseJoined: NO
DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
Thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
KeyProvider: Microsoft Platform Crypto Provider
TpmProtected: YES
KeySignTest: : MUST Run elevated to test.
Idp: login.windows.net
TenantId: aaaabbbb-0000-cccc-1111-dddd2222eeee
TenantName: Contoso
AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl: eyJVc{lots of characters}JdfQ==
JoinSrvVersion: 1.0
JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion: 1.0
KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
DomainJoined: YES
DomainName: CONTOSO
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet: YES
NgcKeyId: {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
WorkplaceJoined: NO
WamDefaultSet: YES
WamDefaultAuthority: organizations
WamDefaultId: https://login.microsoft.com
WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
AzureAdPrt: YES
Шаг 2. Анализ состояния присоединения
Просмотрите поля в приведенной таблице и убедитесь, что для них заданы ожидаемые значения.
Поле | Ожидаемое значение | Description |
---|---|---|
DomainJoined | Да | Это поле показывает, присоединено ли устройство к локальной службе Active Directory. Если значение равно NO, устройство не может выполнить гибридное соединение Microsoft Entra. |
WorkplaceJoined | Нет | Это поле указывает, зарегистрировано ли устройство с идентификатором Microsoft Entra в качестве личного устройства (помеченное как присоединенное к рабочему месту). Это значение должно быть NO для компьютера, присоединенного к домену, который также присоединен к гибридному присоединению к Microsoft Entra. Если значение равно ДА, до завершения гибридного соединения Microsoft Entra добавлена рабочая или учебная учетная запись. В этом случае при использовании Windows 10 версии 1607 или более поздней учетная запись игнорируется. |
AzureAdJoined | Да | Это поле указывает, присоединено ли устройство. Значение " ДА ", если устройство является устройством, присоединенным к Microsoft Entra, или гибридным устройством, присоединенным к Microsoft Entra. Если значение равно NO, присоединение к идентификатору Microsoft Entra еще не завершено. |
Перейдите к следующим шагам для дальнейшего устранения неполадок.
Шаг 3. Поиск этапа, на котором произошел сбой присоединения, и кода ошибки
Для Windows 10 версии 1803 или более поздней
Найдите в выходных данных состояния присоединения подраздел "Previous Registration" (Предыдущая регистрация) в разделе "Diagnostic Data" (Диагностические данные). Этот раздел отображается только в том случае, если устройство присоединено к домену и не может присоединиться к гибридному соединению Microsoft Entra.
Поле "Error Phase" (Этап ошибки) обозначает этап сбоя присоединения, а поле "Client ErrorCode" (Код ошибки клиента) содержит код ошибки операции присоединения.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Для предыдущих версий Windows 10
Используйте журналы компонента "Просмотр событий", чтобы найти этап и код ошибки для сбоев присоединения.
- Откройте журналы событий регистрации устройств пользователя в средстве "Просмотр событий". Они находятся в папке Applications and Services Log>Microsoft>Windows>User Device Registration.
- Найдите события со следующими идентификаторами: 304, 305 и 307.
Шаг 4. Проверка возможных причин и способы их устранения
Этап предварительной проверки
Возможные причины сбоя:
- Контроллер домена находится вне зоны видимости устройства.
- Устройство должно быть подключено к внутренней сети организации или к виртуальной частной сети в пределах "прямой сетевой видимости" локального контроллера домена Active Directory.
Этап обнаружения
Возможные причины сбоя:
- Объект точки подключения службы неправильно настроен или не может быть считан из контроллера домена.
- Допустимый объект точки подключения службы требуется в лесу AD, к которому принадлежит устройство, которое указывает на проверенное доменное имя в идентификаторе Microsoft Entra.
- Дополнительные сведения см. в разделе "Настройка точки подключения службы" руководства . Настройка гибридного соединения Microsoft Entra для федеративных доменов.
- Не удалось подключиться и получить метаданные обнаружения из конечной точки обнаружения.
- Для обнаружения конечных точек регистрации и авторизации устройство должно иметь доступ к
https://enterpriseregistration.windows.net
в контексте системы. - Если в локальной среде требуется прокси-сервер для исходящего трафика, ИТ-администратор должен убедиться, что учетная запись компьютера для устройства позволяет обнаруживать этот прокси-сервер и автоматически проходить на нем проверку подлинности.
- Для обнаружения конечных точек регистрации и авторизации устройство должно иметь доступ к
- Не удалось подключиться к конечной точке пользователя и выполнить обнаружение области (только для Windows 10 версии 1809 и более поздней).
- Чтобы выполнить обнаружение области для проверенного домена и определить тип домена (управляемый или федеративный), устройство должно иметь доступ к
https://login.microsoftonline.com
в контексте системы. - Если в локальной среде требуется прокси-сервер для исходящего трафика, администратор ИТ должен убедиться, что контекст системы на устройстве позволяет обнаруживать этот прокси-сервер и автоматически проходить на нем проверку подлинности.
- Чтобы выполнить обнаружение области для проверенного домена и определить тип домена (управляемый или федеративный), устройство должно иметь доступ к
Коды распространенных ошибок
Код ошибки | Причина | Разрешение |
---|---|---|
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | Не удается прочитать объект точки подключения службы (SCP) и получить сведения о клиенте Microsoft Entra. | См. раздел Руководство по настройке гибридного присоединения к Azure Active Directory для федеративных доменов. |
DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) | Общий сбой обнаружения. Не удалось получить метаданные обнаружения из службы репликации данных (DRS). | Для дальнейшего изучения найдите вложенный элемент в следующих разделах. |
DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) | Истекло время ожидания операции при выполнении обнаружения. | Убедитесь в доступности https://enterpriseregistration.windows.net в контексте системы. Дополнительные сведения см. в разделе Требования к сетевому подключению. |
DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) | Общий сбой обнаружения области. Не удалось определить тип домена (управляемый или федеративный) из STS. | Для дальнейшего изучения найдите вложенный элемент в следующих разделах. |
Коды распространенных промежуточных ошибок
Чтобы найти код промежуточной ошибки для кода ошибки обнаружения, используйте один из следующих методов.
Windows 10 версии 1803 или более поздней версии.
В выходных данных состояния присоединения в разделе "Diagnostic Data" (Диагностические данные) найдите "DRS Discovery Test" (Тест обнаружения DRS). Этот раздел отображается только в том случае, если устройство присоединено к домену и не может присоединиться к гибридному соединению Microsoft Entra.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : UN-ELEVATED User
Client Time : 2019-06-05 08:25:29.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
+----------------------------------------------------------------------+
Предыдущие версии Windows 10
Используйте журналы средства "Просмотр событий", чтобы найти этап и код ошибки для сбоев присоединения.
- Откройте журналы событий регистрации устройств пользователя в средстве "Просмотр событий". Они находятся в папке Applications and Services Log>Microsoft>Windows>User Device Registration.
- Ищите идентификатор события 201.
Ошибки сети
Код ошибки | Причина | Разрешение |
---|---|---|
WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) | Не удается установить подключение к серверу. | Обеспечьте сетевое подключение к необходимым ресурсам Майкрософт. Дополнительные сведения см. в разделе Требования к сетевому подключению. |
WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Истекло общее время ожидания подключения к сети. | Обеспечьте сетевое подключение к необходимым ресурсам Майкрософт. Дополнительные сведения см. в разделе Требования к сетевому подключению. |
WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) | Сетевому стеку не удалось декодировать ответ сервера. | Убедитесь, что прокси-сервер сети не создает препятствий и не изменяет ответ сервера. |
Ошибки HTTP
Код ошибки | Причина | Разрешение |
---|---|---|
DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) | Для объекта точки подключения службы настроен с неправильный идентификатором арендатора, или в арендаторе не найдены активные подписки. | Убедитесь, что объект точки подключения службы настроен с правильным идентификатором клиента Microsoft Entra и активными подписками или что служба присутствует в клиенте. |
DSREG_SERVER_BUSY (0x801c0025/-2145648603) | Ошибка HTTP 503 на сервере DRS. | Сервер сейчас недоступен. Будущие попытки присоединиться к серверу после восстановления его подключения к сети, скорее всего, будут успешными. |
Другие ошибки
Код ошибки | Причина | Разрешение |
---|---|---|
E_INVALIDDATA (0x8007000d/-2147024883) | Не удалось проанализировать код JSON ответа сервера, вероятно, потому, что прокси-сервер возвращает код HTTP 200 для страницы авторизации HTML. | Если в локальной среде требуется прокси-сервер для исходящего трафика, администратор ИТ должен убедиться, что контекст системы на устройстве позволяет обнаруживать этот прокси-сервер и автоматически проходить на нем проверку подлинности. |
Этап проверки подлинности
Это содержимое относится только к федеративным учетным записям домена.
Причины сбоя:
- Не удалось автоматически получить маркер доступа для ресурса DRS.
- Устройства Windows 10 и Windows 11 получают маркер проверки подлинности из службы федерации, используя встроенную проверку подлинности Windows для активной конечной точки WS-Trust. Дополнительные сведения см. в разделе Настройка выдачи утверждений.
Коды распространенных ошибок
Используйте журналы компонента "Просмотр событий", чтобы узнать код ошибки, код промежуточной ошибки, код ошибки сервера и сообщение об ошибке сервера.
- Откройте журналы событий регистрации устройств пользователя в средстве "Просмотр событий". Они находятся в папке Applications and Services Log>Microsoft>Windows>User Device Registration.
- Ищите идентификатор события 305.
Ошибки конфигурации
Код ошибки | Причина | Разрешение |
---|---|---|
ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) | Протоколом проверки подлинности из библиотеки проверки подлинности Azure AD (ADAL) не является WS-Trust. | Локальный поставщик удостоверений должен поддерживать WS-Trust. |
ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) | Локальная служба федерации не вернула ответ XML. | Убедитесь, что конечная точка Metadata Exchange (MEX) возвращает допустимый код XML. Убедитесь, что прокси-сервер не вмешивается и не возвращает ответы nonxml. |
ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) | Не удалось обнаружить конечную точку для проверки подлинности по имени пользователя и паролю. | Проверьте параметры локального поставщика удостоверений. Убедитесь, что конечные точки WS-Trust включены и что ответ MEX содержит эти правильные конечные точки. |
Ошибки сети
Код ошибки | Причина | Разрешение |
---|---|---|
ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) | Истекло общее время ожидания подключения к сети. | Убедитесь в доступности https://login.microsoftonline.com в контексте системы. Убедитесь, что локальный поставщик удостоверений доступен в контексте системы. Дополнительные сведения см. в разделе Требования к сетевому подключению. |
ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) | Подключение к конечной точке авторизации прервано. | Повторите попытку присоединения через некоторое время или попробуйте присоединиться к другому стабильно работающему расположению в сети. |
ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) | Не удалось проверить отправленный сервером сертификат TLS (ранее известный как сертификат SSL). | Проверьте отклонение времени клиента. Повторите попытку присоединения через некоторое время или попробуйте присоединиться к другому стабильно работающему расположению в сети. |
ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) | Попытка подключиться к https://login.microsoftonline.com завершилась ошибкой. |
Проверьте сетевое подключение к https://login.microsoftonline.com . |
Другие ошибки
Код ошибки | Причина | Разрешение |
---|---|---|
ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) | Токен SAML из локального поставщика удостоверений не был принят идентификатором Microsoft Entra. | Проверьте параметры сервера федерации. Найдите код ошибки сервера в журналах проверки подлинности. |
ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) | В ответе WS-Trust сервера сообщается об исключении, которое привело к сбою. Не удалось получить утверждение. | Проверьте параметры сервера федерации. Найдите код ошибки сервера в журналах проверки подлинности. |
ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) | При попытке получить маркер доступа из конечной точки маркера произошла ошибка. | Найдите основную ошибку в журнале ADAL. |
ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) | Общая ошибка ADAL. | Найдите код подсервера или код ошибки сервера из журналов проверки подлинности. |
Этап присоединения
Причины сбоя:
Найдите в приведенных таблицах тип регистрации и код ошибки в зависимости от используемой версии Windows 10.
Windows 10 версии 1803 или более поздней версии.
Найдите в выходных данных состояния присоединения подраздел "Previous Registration" (Предыдущая регистрация) в разделе "Diagnostic Data" (Диагностические данные). Этот раздел отображается только в том случае, если устройство присоединено к домену и не может присоединиться к гибридному соединению Microsoft Entra.
Поле "Тип регистрации" обозначает тип соединения.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) is not found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Предыдущие версии Windows 10
Используйте журналы компонента "Просмотр событий", чтобы найти этап и код ошибки для сбоев присоединения.
- Откройте журналы событий регистрации устройств пользователя в средстве "Просмотр событий". Они находятся в папке Applications and Services Log>Microsoft>Windows>User Device Registration.
- Ищите идентификатор события 204.
Ошибки HTTP, возвращенные с сервера DRS
Код ошибки | Причина | Разрешение |
---|---|---|
DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) | От DRS получен ответ об ошибке с кодом ошибки DirectoryError. | Возможные причины и способы их устранения см. в описании кода ошибки сервера. |
DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) | Получен ответ об ошибке от DRS с кодом ошибки AuthenticationError, а ErrorSubCode отличен от DeviceNotFound. | Возможные причины и способы их устранения см. в описании кода ошибки сервера. |
DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) | От DRS получен ответ об ошибке с кодом ошибки DirectoryError. | Возможные причины и способы их устранения см. в описании кода ошибки сервера. |
Ошибки доверенного платформенного модуля
Код ошибки | Причина | Разрешение |
---|---|---|
NTE_BAD_KEYSET (0x80090016/-2146893802) | Произошел сбой операции доверенного платформенного модуля (TPM) или она была недопустимой. | Эта ошибка означает, что набор ключей не существует. Эта ошибка возникает при очистке доверенного платформенного модуля в системах или при наличии плохого образа sysprep. Избегайте очистки доверенного платформенного модуля в параметрах BIOS или Windows. Если TPM очищается, пользователям может потребоваться восстановиться, удалив и считывая учетные записи, чтобы устранить проблему, особенно если у них несколько учетных записей WAM. Убедитесь, что компьютер, из которого был создан образ sysprep, не присоединен к Microsoft Entra, гибридный присоединен к Microsoft Entra или Microsoft Entra зарегистрирован. |
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | Общая ошибка доверенного платформенного модуля. | Отключите доверенный платформенный модуль на устройствах с этой ошибкой. Windows 10 версии 1809 и более поздних версий автоматически обнаруживает сбои доверенного платформенного модуля и завершает гибридное присоединение Microsoft Entra без использования доверенного платформенного модуля. |
TPM_E_NOTFIPS (0x80280036/-2144862154) | В настоящее время доверенный платформенный модуль в режиме FIPS не поддерживается. | Отключите доверенный платформенный модуль на устройствах с этой ошибкой. Windows 10 версии 1809 автоматически обнаруживает сбои доверенного платформенного модуля и завершает гибридное соединение Microsoft Entra без использования доверенного платформенного модуля. |
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | Доверенный платформенный модуль заблокирован. | Это временная проблема. Дождитесь завершения периода ожидания. Попытка присоединиться через некоторое время должна завершиться успешно. Дополнительные сведения можно найти в разделе Основы работы с доверенным платформенным модулем. |
Ошибки сети
Код ошибки | Причина | Разрешение |
---|---|---|
WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Общее время ожидания сети, пытающееся зарегистрировать устройство в DRS. | Проверьте сетевое подключение к https://enterpriseregistration.windows.net . |
WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) | Не удается разрешить имя или адрес сервера. | Проверьте сетевое подключение к https://enterpriseregistration.windows.net . |
WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) | Подключение к серверу аварийно завершено. | Повторите попытку присоединения через некоторое время или попробуйте присоединиться к другому стабильно работающему расположению в сети. |
Другие ошибки
Код ошибки | Причина | Разрешение |
---|---|---|
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | В журналах событий регистрации устройств пользователя содержится событие с идентификатором 220. Windows не удается получить доступ к объекту компьютера в Active Directory. Событие может содержать код ошибки Windows. Коды ошибок ERROR_NO_SUCH_LOGON_SESSION (1312) и ERROR_NO_SUCH_USER (1317) связаны с проблемами репликации в локальной службе Active Directory. | Устраните неполадки репликации в Active Directory. Эти проблемы репликации могут быть временными и могут исчезнуть через некоторое время. |
Ошибки федеративных присоединений к серверу
Код ошибки сервера | Сообщение об ошибке сервера | Возможные причины | Разрешение |
---|---|---|---|
DirectoryError | Запрос временно регулируется. Повторите попытку через 300 секунд. | Это ожидаемая ошибка. Возможно, ее причиной является быстрое выполнение сразу нескольких запросов на регистрацию. | Повторите попытку присоединения по истечении периода ожидания. |
Ошибки синхронизации присоединения к серверу
Код ошибки сервера | Сообщение об ошибке сервера | Возможные причины | Разрешение |
---|---|---|---|
DirectoryError | AADSTS90002: клиент UUID не найден. Эта ошибка может произойти, если в арендаторе отсутствуют активные подписки. Обратитесь к администратору подписки. |
Неправильное значение идентификатора арендатора в объекте точки подключения службы. | Убедитесь, что объект точки подключения службы настроен с правильным идентификатором клиента Microsoft Entra и активными подписками или что служба присутствует в клиенте. |
DirectoryError | Объект устройства с указанным идентификатором не найден. | Эта ошибка ожидается при синхронизации присоединения. Объект устройства не синхронизирован с AD с идентификатором Microsoft Entra | Дождитесь завершения синхронизации Microsoft Entra Connect, а следующая попытка присоединения после завершения синхронизации устранит проблему. |
AuthenticationError | Проверка идентификатора безопасности целевого компьютера. | Сертификат на устройстве Microsoft Entra не соответствует сертификату, используемому для входа в большой двоичный объект во время присоединения к синхронизации. Обычно эта ошибка означает, что синхронизация еще не завершена. | Дождитесь завершения синхронизации Microsoft Entra Connect, а следующая попытка присоединения после завершения синхронизации устранит проблему. |
Шаг 5. Получение журналов и обращение в службу поддержки Майкрософт
Извлеките файлы в папку, например c:\temp, и перейдите в эту папку.
В сеансе с повышенными привилегиями Azure PowerShell выполните команду
.\start-auth.ps1 -v -accepteula
.Используйте функцию Переключить учетную запись для переключения на сеанс пользователя, у которого возникла проблема.
Воспроизведите проблему.
Используйте функцию Переключить учетную запись для обратного переключения на сеанс администратора, выполняющий трассировку.
В сеансе с повышенными привилегиями PowerShell выполните команду
.\stop-auth.ps1
.Запакуйте и отправьте папку Authlogs из папки, из которой выполнялись сценарии.
Устранение неполадок, связанных с проверкой подлинности после присоединения
Шаг 1. Получение состояния PRT с помощью dsregcmd /status
Откройте окно командной строки.
Примечание.
Чтобы получить состояние основного маркера обновления (PRT), откройте окно командной строки в контексте вошедшего в систему пользователя.
Запустите
dsregcmd /status
.В разделе "SSO state" (Состояние единого входа) указано текущее состояние PRT.
Если для поля AzureAdPrt задано значение NO, произошла ошибка при получении состояния PRT из идентификатора Microsoft Entra.
Если значение AzureAdPrtUpdateTime превышает 4 часа, скорее всего, возникла ошибка при обновлении PRT. Блокировка и разблокировка устройства для принудительного обновления PRT, а затем проверьте, обновляется ли время.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : YES
AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs
+----------------------------------------------------------------------+
Шаг 2. Поиск кода ошибки
В выходных данных dsregcmd
Примечание.
Эти выходные данные доступны в Windows 10 с обновлением за май 2021 года (версия 21H1).
Поле "Состояние попытки" в поле "AzureAdPrt" предоставляет состояние предыдущей попытки PRT, а также другие необходимые сведения об отладке. Для более ранних версий Windows извлеките сведения из аналитики и операционных журналов Microsoft Entra.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
Из аналитических журналов и операционных журналов Microsoft Entra
Используйте Просмотр событий для поиска записей журнала, зарегистрированных подключаемым модулем Microsoft Entra CloudAP во время приобретения PRT.
- В Просмотр событий откройте журналы событий Microsoft Entra Operations. Они находятся в разделе Applications and Services Log (Журнал приложений и служб)>Microsoft>Windows>AAD.
Примечание.
Подключаемый модуль CloudAP регистрирует события ошибок в журналах операций и информационные события — в журналах аналитики. Для устранения неполадок требуются события из журналов аналитики и операций.
Событие 1006 в журналах аналитики обозначает начало потока получения PRT, а событие 1007 — его завершение. Все события в журналах Microsoft Entra (аналитика и операционные), которые регистрируются между событиями 1006 и 1007, регистрируются в рамках потока приобретения PRT.
Событие 1007 регистрирует в журнале окончательный код ошибки.
Шаг 3. Дальнейшее устранение неполадок в зависимости от найденного кода ошибки
Код ошибки | Причина | Разрешение |
---|---|---|
STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d) STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a) |
Примечание. Для федеративной проверки подлинности требуется WS-Trust. |
|
STATUS_REQUEST_NOT_ACCEPTED (-1073741616/ 0xc00000d0) | Получил ответ об ошибке (HTTP 400) из службы проверки подлинности Microsoft Entra или конечной точки WS-Trust. Примечание. Для федеративной проверки подлинности требуется WS-Trust. |
События 1081 и 1088 (операционные журналы Microsoft Entra) содержат код ошибки сервера и описание ошибок, исходящих из службы проверки подлинности Microsoft Entra и конечной точки WS-Trust соответственно. Общие коды ошибок сервера и методы их устранения перечислены в следующем разделе. Первый экземпляр события 1022 (журналы Microsoft Entra analytics), предшествующие событиям 1081 или 1088, содержит URL-адрес, к которому осуществляется доступ. |
STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c) STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be) STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4) |
Примечание. Для федеративной проверки подлинности требуется WS-Trust. |
|
STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) | Сбой обнаружения области пользователей, так как служба проверки подлинности Microsoft Entra не смогла найти домен пользователя. | |
AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) | Неправильный формат имени субъекта-пользователя. Примечания: |
whoami /upn должен отображать настроенное имя субъекта-пользователя в контроллере домена. |
AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) | Идентификатор безопасности пользователя отсутствует в маркере идентификатора, возвращаемом службой проверки подлинности Microsoft Entra. | Убедитесь, что прокси-сервер сети не создает препятствий и не изменяет ответ сервера. |
AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) | Получено сообщение об ошибке от конечной точки WS-Trust. Примечание. Для федеративной проверки подлинности требуется WS-Trust. |
|
AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) | Неправильная настройка конечной точки MEX. Ответ MEX не содержит URL-адреса паролей. | |
AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) | Неправильная настройка конечной точки MEX. Ответ MEX не содержит URL-адреса конечной точки сертификата. | |
WC_E_DTDPROHIBITED (-1072894385/ 0xc00cee4f) | Ответ XML от конечной точки WS-Trust включал в себя определение типа документа (DTD). DTD не ожидается в XML-ответах, и синтаксический анализ ответа завершается ошибкой, если DTD включен. Примечание. Для федеративной проверки подлинности требуется WS-Trust. |
Коды распространенных ошибок сервера
Код ошибки | Причина | Разрешение |
---|---|---|
AADSTS50155: сбой проверки подлинности устройства | Следуйте инструкциям по этой проблеме в службе управления устройствами Microsoft Entra, чтобы повторно зарегистрировать устройство на основе типа соединения устройства. | |
AADSTS50034: учетная запись пользователя Account не существует в каталоге tenant id |
Идентификатор Microsoft Entra не может найти учетную запись пользователя в клиенте. | |
AADSTS50126: ошибка при проверке учетных данных из-за недействительного имени пользователя или пароля. | Чтобы получить новый PRT с новыми учетными данными, дождитесь завершения синхронизации паролей Microsoft Entra. |
Распространенные коды сетевых ошибок
Код ошибки | Причина | Разрешение |
---|---|---|
ERROR_WINHTTP_TIMEOUT (12002) ERROR_WINHTTP_NAME_NOT_RESOLVED (12007) ERROR_WINHTTP_CANNOT_CONNECT (12029) ERROR_WINHTTP_CONNECTION_ERROR (12030) |
Распространенные общие проблемы в работе. | Больше кодов ошибок сети. |
Шаг 4. Сбор журналов
Обычные журналы
- Перейдите к https://aka.ms/icesdptool, чтобы автоматически скачать CAB-файл, содержащий средство диагностики.
- Запустите это средство и воспроизведите свой сценарий.
- Для трассировок Fiddler примите всплывающие запросы на сертификаты.
- Мастер запрашивает пароль для защиты файлов трассировки. Введите пароль.
- Наконец, откройте папку, в которой хранятся все собранные журналы, например %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
- Обратитесь в службу поддержки и предоставьте содержимое последнего CAB-файла.
Данные трассировки сети
Примечание.
При сборе трассировок сети важно не использовать Fiddler во время воспроизведения.
- Запустите
netsh trace start scenario=internetClient_dbg capture=yes persistent=yes
. - Заблокируйте и разблокируйте устройство. В случае устройств с гибридным присоединением подождите около минуты, чтобы завершилась задача получения PRT.
- Запустите
netsh trace stop
. - Предоставьте файл nettrace.cab службе поддержки.
Известные проблемы
Если вы подключены к мобильной точке доступа или внешней сети Wi-Fi, а затем перейдите в раздел "Параметры>доступа>к рабочей или учебной среде", гибридные устройства Microsoft Entra могут отображать две разные учетные записи, один для идентификатора Microsoft Entra и один для локальной AD. Эта проблема пользовательского интерфейса не влияет на функциональность.