Поделиться через


Устранение неполадок с устройствами, присоединенными к гибридным устройствам Microsoft Entra

В этой статье приведены инструкции по устранению потенциальных проблем с устройствами под управлением Windows 10 и более поздних версий или Windows Server 2016 и более поздних версий.

Гибридное присоединение Microsoft Entra поддерживает обновление Windows 10 ноября 2015 г. и более поздние версии.

Сведения об устранении неполадок с другими клиентами Windows см. в статье "Устранение неполадок гибридных устройств Microsoft Entra, присоединенных к нижнему уровню".

В этой статье предполагается, что у вас есть гибридные устройства , присоединенные к Microsoft Entra, для поддержки следующих сценариев:

Примечание.

Для устранения распространенных проблем с регистрацией устройств используйте средство устранения неполадок регистрации устройств.

Устранение сбоев при присоединении

Шаг 1. Получение сведений о состоянии присоединения

  1. Откройте окно командной строки от имени администратора.
  2. Введите dsregcmd /status.
+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

    AzureAdJoined: YES
 EnterpriseJoined: NO
         DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
       Thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
   KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
      KeyProvider: Microsoft Platform Crypto Provider
     TpmProtected: YES
     KeySignTest: : MUST Run elevated to test.
              Idp: login.windows.net
         TenantId: aaaabbbb-0000-cccc-1111-dddd2222eeee
       TenantName: Contoso
      AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
   AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
           MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
        MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
  dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
      SettingsUrl: eyJVc{lots of characters}JdfQ==
   JoinSrvVersion: 1.0
       JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
        JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
    KeySrvVersion: 1.0
        KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
         KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
     DomainJoined: YES
       DomainName: CONTOSO

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

             NgcSet: YES
           NgcKeyId: {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
    WorkplaceJoined: NO
      WamDefaultSet: YES
WamDefaultAuthority: organizations
       WamDefaultId: https://login.microsoft.com
     WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
         AzureAdPrt: YES

Шаг 2. Анализ состояния присоединения

Просмотрите поля в приведенной таблице и убедитесь, что для них заданы ожидаемые значения.

Поле Ожидаемое значение Description
DomainJoined Да Это поле показывает, присоединено ли устройство к локальной службе Active Directory.

Если значение равно NO, устройство не может выполнить гибридное соединение Microsoft Entra.
WorkplaceJoined Нет Это поле указывает, зарегистрировано ли устройство с идентификатором Microsoft Entra в качестве личного устройства (помеченное как присоединенное к рабочему месту). Это значение должно быть NO для компьютера, присоединенного к домену, который также присоединен к гибридному присоединению к Microsoft Entra.

Если значение равно ДА, до завершения гибридного соединения Microsoft Entra добавлена рабочая или учебная учетная запись. В этом случае при использовании Windows 10 версии 1607 или более поздней учетная запись игнорируется.
AzureAdJoined Да Это поле указывает, присоединено ли устройство. Значение " ДА ", если устройство является устройством, присоединенным к Microsoft Entra, или гибридным устройством, присоединенным к Microsoft Entra.

Если значение равно NO, присоединение к идентификатору Microsoft Entra еще не завершено.

Перейдите к следующим шагам для дальнейшего устранения неполадок.

Шаг 3. Поиск этапа, на котором произошел сбой присоединения, и кода ошибки

Для Windows 10 версии 1803 или более поздней

Найдите в выходных данных состояния присоединения подраздел "Previous Registration" (Предыдущая регистрация) в разделе "Diagnostic Data" (Диагностические данные). Этот раздел отображается только в том случае, если устройство присоединено к домену и не может присоединиться к гибридному соединению Microsoft Entra.

Поле "Error Phase" (Этап ошибки) обозначает этап сбоя присоединения, а поле "Client ErrorCode" (Код ошибки клиента) содержит код ошибки операции присоединения.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Для предыдущих версий Windows 10

Используйте журналы компонента "Просмотр событий", чтобы найти этап и код ошибки для сбоев присоединения.

  1. Откройте журналы событий регистрации устройств пользователя в средстве "Просмотр событий". Они находятся в папке Applications and Services Log>Microsoft>Windows>User Device Registration.
  2. Найдите события со следующими идентификаторами: 304, 305 и 307.

Снимок экрана: средство

Снимок экрана: средство

Шаг 4. Проверка возможных причин и способы их устранения

Этап предварительной проверки

Возможные причины сбоя:

  • Контроллер домена находится вне зоны видимости устройства.
    • Устройство должно быть подключено к внутренней сети организации или к виртуальной частной сети в пределах "прямой сетевой видимости" локального контроллера домена Active Directory.

Этап обнаружения

Возможные причины сбоя:

  • Объект точки подключения службы неправильно настроен или не может быть считан из контроллера домена.
  • Не удалось подключиться и получить метаданные обнаружения из конечной точки обнаружения.
    • Для обнаружения конечных точек регистрации и авторизации устройство должно иметь доступ к https://enterpriseregistration.windows.net в контексте системы.
    • Если в локальной среде требуется прокси-сервер для исходящего трафика, ИТ-администратор должен убедиться, что учетная запись компьютера для устройства позволяет обнаруживать этот прокси-сервер и автоматически проходить на нем проверку подлинности.
  • Не удалось подключиться к конечной точке пользователя и выполнить обнаружение области (только для Windows 10 версии 1809 и более поздней).
    • Чтобы выполнить обнаружение области для проверенного домена и определить тип домена (управляемый или федеративный), устройство должно иметь доступ к https://login.microsoftonline.com в контексте системы.
    • Если в локальной среде требуется прокси-сервер для исходящего трафика, администратор ИТ должен убедиться, что контекст системы на устройстве позволяет обнаруживать этот прокси-сервер и автоматически проходить на нем проверку подлинности.

Коды распространенных ошибок

Код ошибки Причина Разрешение
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) Не удается прочитать объект точки подключения службы (SCP) и получить сведения о клиенте Microsoft Entra. См. раздел Руководство по настройке гибридного присоединения к Azure Active Directory для федеративных доменов.
DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) Общий сбой обнаружения. Не удалось получить метаданные обнаружения из службы репликации данных (DRS). Для дальнейшего изучения найдите вложенный элемент в следующих разделах.
DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) Истекло время ожидания операции при выполнении обнаружения. Убедитесь в доступности https://enterpriseregistration.windows.net в контексте системы. Дополнительные сведения см. в разделе Требования к сетевому подключению.
DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) Общий сбой обнаружения области. Не удалось определить тип домена (управляемый или федеративный) из STS. Для дальнейшего изучения найдите вложенный элемент в следующих разделах.

Коды распространенных промежуточных ошибок

Чтобы найти код промежуточной ошибки для кода ошибки обнаружения, используйте один из следующих методов.

Windows 10 версии 1803 или более поздней версии.

В выходных данных состояния присоединения в разделе "Diagnostic Data" (Диагностические данные) найдите "DRS Discovery Test" (Тест обнаружения DRS). Этот раздел отображается только в том случае, если устройство присоединено к домену и не может присоединиться к гибридному соединению Microsoft Entra.

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : UN-ELEVATED User
               Client Time : 2019-06-05 08:25:29.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

+----------------------------------------------------------------------+
Предыдущие версии Windows 10

Используйте журналы средства "Просмотр событий", чтобы найти этап и код ошибки для сбоев присоединения.

  1. Откройте журналы событий регистрации устройств пользователя в средстве "Просмотр событий". Они находятся в папке Applications and Services Log>Microsoft>Windows>User Device Registration.
  2. Ищите идентификатор события 201.

Снимок экрана: средство

Ошибки сети

Код ошибки Причина Разрешение
WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) Не удается установить подключение к серверу. Обеспечьте сетевое подключение к необходимым ресурсам Майкрософт. Дополнительные сведения см. в разделе Требования к сетевому подключению.
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Истекло общее время ожидания подключения к сети. Обеспечьте сетевое подключение к необходимым ресурсам Майкрософт. Дополнительные сведения см. в разделе Требования к сетевому подключению.
WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) Сетевому стеку не удалось декодировать ответ сервера. Убедитесь, что прокси-сервер сети не создает препятствий и не изменяет ответ сервера.

Ошибки HTTP

Код ошибки Причина Разрешение
DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) Для объекта точки подключения службы настроен с неправильный идентификатором арендатора, или в арендаторе не найдены активные подписки. Убедитесь, что объект точки подключения службы настроен с правильным идентификатором клиента Microsoft Entra и активными подписками или что служба присутствует в клиенте.
DSREG_SERVER_BUSY (0x801c0025/-2145648603) Ошибка HTTP 503 на сервере DRS. Сервер сейчас недоступен. Будущие попытки присоединиться к серверу после восстановления его подключения к сети, скорее всего, будут успешными.

Другие ошибки

Код ошибки Причина Разрешение
E_INVALIDDATA (0x8007000d/-2147024883) Не удалось проанализировать код JSON ответа сервера, вероятно, потому, что прокси-сервер возвращает код HTTP 200 для страницы авторизации HTML. Если в локальной среде требуется прокси-сервер для исходящего трафика, администратор ИТ должен убедиться, что контекст системы на устройстве позволяет обнаруживать этот прокси-сервер и автоматически проходить на нем проверку подлинности.

Этап проверки подлинности

Это содержимое относится только к федеративным учетным записям домена.

Причины сбоя:

  • Не удалось автоматически получить маркер доступа для ресурса DRS.
    • Устройства Windows 10 и Windows 11 получают маркер проверки подлинности из службы федерации, используя встроенную проверку подлинности Windows для активной конечной точки WS-Trust. Дополнительные сведения см. в разделе Настройка выдачи утверждений.

Коды распространенных ошибок

Используйте журналы компонента "Просмотр событий", чтобы узнать код ошибки, код промежуточной ошибки, код ошибки сервера и сообщение об ошибке сервера.

  1. Откройте журналы событий регистрации устройств пользователя в средстве "Просмотр событий". Они находятся в папке Applications and Services Log>Microsoft>Windows>User Device Registration.
  2. Ищите идентификатор события 305.

Снимок экрана: средство

Ошибки конфигурации

Код ошибки Причина Разрешение
ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) Протоколом проверки подлинности из библиотеки проверки подлинности Azure AD (ADAL) не является WS-Trust. Локальный поставщик удостоверений должен поддерживать WS-Trust.
ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) Локальная служба федерации не вернула ответ XML. Убедитесь, что конечная точка Metadata Exchange (MEX) возвращает допустимый код XML. Убедитесь, что прокси-сервер не вмешивается и не возвращает ответы nonxml.
ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) Не удалось обнаружить конечную точку для проверки подлинности по имени пользователя и паролю. Проверьте параметры локального поставщика удостоверений. Убедитесь, что конечные точки WS-Trust включены и что ответ MEX содержит эти правильные конечные точки.

Ошибки сети

Код ошибки Причина Разрешение
ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) Истекло общее время ожидания подключения к сети. Убедитесь в доступности https://login.microsoftonline.com в контексте системы. Убедитесь, что локальный поставщик удостоверений доступен в контексте системы. Дополнительные сведения см. в разделе Требования к сетевому подключению.
ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) Подключение к конечной точке авторизации прервано. Повторите попытку присоединения через некоторое время или попробуйте присоединиться к другому стабильно работающему расположению в сети.
ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) Не удалось проверить отправленный сервером сертификат TLS (ранее известный как сертификат SSL). Проверьте отклонение времени клиента. Повторите попытку присоединения через некоторое время или попробуйте присоединиться к другому стабильно работающему расположению в сети.
ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) Попытка подключиться к https://login.microsoftonline.com завершилась ошибкой. Проверьте сетевое подключение к https://login.microsoftonline.com.

Другие ошибки

Код ошибки Причина Разрешение
ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) Токен SAML из локального поставщика удостоверений не был принят идентификатором Microsoft Entra. Проверьте параметры сервера федерации. Найдите код ошибки сервера в журналах проверки подлинности.
ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) В ответе WS-Trust сервера сообщается об исключении, которое привело к сбою. Не удалось получить утверждение. Проверьте параметры сервера федерации. Найдите код ошибки сервера в журналах проверки подлинности.
ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) При попытке получить маркер доступа из конечной точки маркера произошла ошибка. Найдите основную ошибку в журнале ADAL.
ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) Общая ошибка ADAL. Найдите код подсервера или код ошибки сервера из журналов проверки подлинности.

Этап присоединения

Причины сбоя:

Найдите в приведенных таблицах тип регистрации и код ошибки в зависимости от используемой версии Windows 10.

Windows 10 версии 1803 или более поздней версии.

Найдите в выходных данных состояния присоединения подраздел "Previous Registration" (Предыдущая регистрация) в разделе "Diagnostic Data" (Диагностические данные). Этот раздел отображается только в том случае, если устройство присоединено к домену и не может присоединиться к гибридному соединению Microsoft Entra.

Поле "Тип регистрации" обозначает тип соединения.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) is not found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Предыдущие версии Windows 10

Используйте журналы компонента "Просмотр событий", чтобы найти этап и код ошибки для сбоев присоединения.

  1. Откройте журналы событий регистрации устройств пользователя в средстве "Просмотр событий". Они находятся в папке Applications and Services Log>Microsoft>Windows>User Device Registration.
  2. Ищите идентификатор события 204.

Снимок экрана: средство

Ошибки HTTP, возвращенные с сервера DRS

Код ошибки Причина Разрешение
DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) От DRS получен ответ об ошибке с кодом ошибки DirectoryError. Возможные причины и способы их устранения см. в описании кода ошибки сервера.
DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) Получен ответ об ошибке от DRS с кодом ошибки AuthenticationError, а ErrorSubCode отличен от DeviceNotFound. Возможные причины и способы их устранения см. в описании кода ошибки сервера.
DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) От DRS получен ответ об ошибке с кодом ошибки DirectoryError. Возможные причины и способы их устранения см. в описании кода ошибки сервера.

Ошибки доверенного платформенного модуля

Код ошибки Причина Разрешение
NTE_BAD_KEYSET (0x80090016/-2146893802) Произошел сбой операции доверенного платформенного модуля (TPM) или она была недопустимой. Эта ошибка означает, что набор ключей не существует. Эта ошибка возникает при очистке доверенного платформенного модуля в системах или при наличии плохого образа sysprep.

Избегайте очистки доверенного платформенного модуля в параметрах BIOS или Windows. Если TPM очищается, пользователям может потребоваться восстановиться, удалив и считывая учетные записи, чтобы устранить проблему, особенно если у них несколько учетных записей WAM. Убедитесь, что компьютер, из которого был создан образ sysprep, не присоединен к Microsoft Entra, гибридный присоединен к Microsoft Entra или Microsoft Entra зарегистрирован.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) Общая ошибка доверенного платформенного модуля. Отключите доверенный платформенный модуль на устройствах с этой ошибкой. Windows 10 версии 1809 и более поздних версий автоматически обнаруживает сбои доверенного платформенного модуля и завершает гибридное присоединение Microsoft Entra без использования доверенного платформенного модуля.
TPM_E_NOTFIPS (0x80280036/-2144862154) В настоящее время доверенный платформенный модуль в режиме FIPS не поддерживается. Отключите доверенный платформенный модуль на устройствах с этой ошибкой. Windows 10 версии 1809 автоматически обнаруживает сбои доверенного платформенного модуля и завершает гибридное соединение Microsoft Entra без использования доверенного платформенного модуля.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) Доверенный платформенный модуль заблокирован. Это временная проблема. Дождитесь завершения периода ожидания. Попытка присоединиться через некоторое время должна завершиться успешно. Дополнительные сведения можно найти в разделе Основы работы с доверенным платформенным модулем.

Ошибки сети

Код ошибки Причина Разрешение
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Общее время ожидания сети, пытающееся зарегистрировать устройство в DRS. Проверьте сетевое подключение к https://enterpriseregistration.windows.net.
WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) Не удается разрешить имя или адрес сервера. Проверьте сетевое подключение к https://enterpriseregistration.windows.net.
WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) Подключение к серверу аварийно завершено. Повторите попытку присоединения через некоторое время или попробуйте присоединиться к другому стабильно работающему расположению в сети.

Другие ошибки

Код ошибки Причина Разрешение
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) В журналах событий регистрации устройств пользователя содержится событие с идентификатором 220. Windows не удается получить доступ к объекту компьютера в Active Directory. Событие может содержать код ошибки Windows. Коды ошибок ERROR_NO_SUCH_LOGON_SESSION (1312) и ERROR_NO_SUCH_USER (1317) связаны с проблемами репликации в локальной службе Active Directory. Устраните неполадки репликации в Active Directory. Эти проблемы репликации могут быть временными и могут исчезнуть через некоторое время.

Ошибки федеративных присоединений к серверу

Код ошибки сервера Сообщение об ошибке сервера Возможные причины Разрешение
DirectoryError Запрос временно регулируется. Повторите попытку через 300 секунд. Это ожидаемая ошибка. Возможно, ее причиной является быстрое выполнение сразу нескольких запросов на регистрацию. Повторите попытку присоединения по истечении периода ожидания.

Ошибки синхронизации присоединения к серверу

Код ошибки сервера Сообщение об ошибке сервера Возможные причины Разрешение
DirectoryError AADSTS90002: клиент UUID не найден. Эта ошибка может произойти, если в арендаторе отсутствуют активные подписки. Обратитесь к администратору подписки. Неправильное значение идентификатора арендатора в объекте точки подключения службы. Убедитесь, что объект точки подключения службы настроен с правильным идентификатором клиента Microsoft Entra и активными подписками или что служба присутствует в клиенте.
DirectoryError Объект устройства с указанным идентификатором не найден. Эта ошибка ожидается при синхронизации присоединения. Объект устройства не синхронизирован с AD с идентификатором Microsoft Entra Дождитесь завершения синхронизации Microsoft Entra Connect, а следующая попытка присоединения после завершения синхронизации устранит проблему.
AuthenticationError Проверка идентификатора безопасности целевого компьютера. Сертификат на устройстве Microsoft Entra не соответствует сертификату, используемому для входа в большой двоичный объект во время присоединения к синхронизации. Обычно эта ошибка означает, что синхронизация еще не завершена. Дождитесь завершения синхронизации Microsoft Entra Connect, а следующая попытка присоединения после завершения синхронизации устранит проблему.

Шаг 5. Получение журналов и обращение в службу поддержки Майкрософт

  1. Скачайте файл Auth.zip.

  2. Извлеките файлы в папку, например c:\temp, и перейдите в эту папку.

  3. В сеансе с повышенными привилегиями Azure PowerShell выполните команду .\start-auth.ps1 -v -accepteula.

  4. Используйте функцию Переключить учетную запись для переключения на сеанс пользователя, у которого возникла проблема.

  5. Воспроизведите проблему.

  6. Используйте функцию Переключить учетную запись для обратного переключения на сеанс администратора, выполняющий трассировку.

  7. В сеансе с повышенными привилегиями PowerShell выполните команду .\stop-auth.ps1.

  8. Запакуйте и отправьте папку Authlogs из папки, из которой выполнялись сценарии.

Устранение неполадок, связанных с проверкой подлинности после присоединения

Шаг 1. Получение состояния PRT с помощью dsregcmd /status

  1. Откройте окно командной строки.

    Примечание.

    Чтобы получить состояние основного маркера обновления (PRT), откройте окно командной строки в контексте вошедшего в систему пользователя.

  2. Запустите dsregcmd /status.

    В разделе "SSO state" (Состояние единого входа) указано текущее состояние PRT.

    Если для поля AzureAdPrt задано значение NO, произошла ошибка при получении состояния PRT из идентификатора Microsoft Entra.

  3. Если значение AzureAdPrtUpdateTime превышает 4 часа, скорее всего, возникла ошибка при обновлении PRT. Блокировка и разблокировка устройства для принудительного обновления PRT, а затем проверьте, обновляется ли время.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : YES
      AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
      AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
   EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
    EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs

+----------------------------------------------------------------------+

Шаг 2. Поиск кода ошибки

В выходных данных dsregcmd

Примечание.

Эти выходные данные доступны в Windows 10 с обновлением за май 2021 года (версия 21H1).

Поле "Состояние попытки" в поле "AzureAdPrt" предоставляет состояние предыдущей попытки PRT, а также другие необходимые сведения об отладке. Для более ранних версий Windows извлеките сведения из аналитики и операционных журналов Microsoft Entra.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.

Из аналитических журналов и операционных журналов Microsoft Entra

Используйте Просмотр событий для поиска записей журнала, зарегистрированных подключаемым модулем Microsoft Entra CloudAP во время приобретения PRT.

  1. В Просмотр событий откройте журналы событий Microsoft Entra Operations. Они находятся в разделе Applications and Services Log (Журнал приложений и служб)>Microsoft>Windows>AAD.

Примечание.

Подключаемый модуль CloudAP регистрирует события ошибок в журналах операций и информационные события — в журналах аналитики. Для устранения неполадок требуются события из журналов аналитики и операций.

  1. Событие 1006 в журналах аналитики обозначает начало потока получения PRT, а событие 1007 — его завершение. Все события в журналах Microsoft Entra (аналитика и операционные), которые регистрируются между событиями 1006 и 1007, регистрируются в рамках потока приобретения PRT.

  2. Событие 1007 регистрирует в журнале окончательный код ошибки.

Снимок экрана: средство

Шаг 3. Дальнейшее устранение неполадок в зависимости от найденного кода ошибки

Код ошибки Причина Разрешение
STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d)
STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a)
  • Устройство не может подключиться к службе проверки подлинности Microsoft Entra.
  • Получил ответ об ошибке (HTTP 400) из службы проверки подлинности Microsoft Entra или конечной точки WS-Trust.
    Примечание. Для федеративной проверки подлинности требуется WS-Trust.
  • Если в локальной среде требуется прокси-сервер для исходящего трафика, ИТ-администратор должен убедиться, что учетная запись компьютера для устройства позволяет обнаруживать этот прокси-сервер и автоматически проходить на нем проверку подлинности.
  • События 1081 и 1088 (операционные журналы Microsoft Entra) содержат код ошибки сервера для ошибок, исходящих из службы проверки подлинности Microsoft Entra и описания ошибок, возникающих из конечной точки WS-Trust. Общие коды ошибок сервера и методы их устранения перечислены в следующем разделе. Первый экземпляр события 1022 (журналы Microsoft Entra analytics), предшествующие событиям 1081 или 1088, содержит URL-адрес, к которому осуществляется доступ.
  • STATUS_REQUEST_NOT_ACCEPTED (-1073741616/ 0xc00000d0) Получил ответ об ошибке (HTTP 400) из службы проверки подлинности Microsoft Entra или конечной точки WS-Trust.
    Примечание. Для федеративной проверки подлинности требуется WS-Trust.
    События 1081 и 1088 (операционные журналы Microsoft Entra) содержат код ошибки сервера и описание ошибок, исходящих из службы проверки подлинности Microsoft Entra и конечной точки WS-Trust соответственно. Общие коды ошибок сервера и методы их устранения перечислены в следующем разделе. Первый экземпляр события 1022 (журналы Microsoft Entra analytics), предшествующие событиям 1081 или 1088, содержит URL-адрес, к которому осуществляется доступ.
    STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c)
    STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be)
    STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4)
  • Получил ответ об ошибке (HTTP > 400) из службы проверки подлинности Microsoft Entra или конечной точки WS-Trust.
    Примечание. Для федеративной проверки подлинности требуется WS-Trust.
  • Неполадки сетевого подключения к требуемой конечной точке
  • Для ошибок сервера события 1081 и 1088 (операционные журналы Microsoft Entra) содержат код ошибки из службы проверки подлинности Microsoft Entra и описание ошибки из конечной точки WS-Trust. Общие коды ошибок сервера и методы их устранения перечислены в следующем разделе.
  • Для проблем с подключением событие 1022 (журналы Microsoft Entra analytics) содержит URL-адрес, к которому осуществляется доступ, и событие 1084 (операционные журналы Microsoft Entra) содержит код подсервера из сетевого стека.
  • STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) Сбой обнаружения области пользователей, так как служба проверки подлинности Microsoft Entra не смогла найти домен пользователя.
  • Домен имени участника-пользователя должен быть добавлен в качестве личного домена в идентификаторе Microsoft Entra. Событие 1144 (журналы Microsoft Entra Analytics) будет содержать предоставленную имя участника-службы.
  • Если локальное доменное имя не выдается (jdoe@contoso.local), настройте альтернативный идентификатор входа (ALTID). Справочные материалы: предварительные требования, настройка альтернативного идентификатора для входа.
  • AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) Неправильный формат имени субъекта-пользователя.
    Примечания:
  • Для устройств, присоединенных к Microsoft Entra, имя участника-пользователя — это текст, введенный пользователем в LoginUI.
  • Для гибридных устройств, присоединенных к Microsoft Entra, имя участника-пользователя возвращается из контроллера домена во время процесса входа.
  • Имя субъекта-пользователя должно быть именем для входа через Интернет на основе стандарта RFC 822. Событие 1144 (журналы Microsoft Entra Analytics) содержит предоставленную имя участника-службы.
  • В случае устройств с гибридным при соединением убедитесь, что контроллер домена настроен на возврат имени субъекта-пользователя в правильном формате. whoami /upn должен отображать настроенное имя субъекта-пользователя в контроллере домена.
  • Если локальное доменное имя не являетсяroutable (jdoe@contoso.local), настройте альтернативный идентификатор входа (ALTID). Справочные материалы: предварительные требования, настройка альтернативного идентификатора для входа.
  • AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) Идентификатор безопасности пользователя отсутствует в маркере идентификатора, возвращаемом службой проверки подлинности Microsoft Entra. Убедитесь, что прокси-сервер сети не создает препятствий и не изменяет ответ сервера.
    AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) Получено сообщение об ошибке от конечной точки WS-Trust.
    Примечание. Для федеративной проверки подлинности требуется WS-Trust.
  • Убедитесь, что прокси-сервер сети не создает препятствий и не изменяет ответ WS-Trust.
  • Событие 1088 (операционные журналы Microsoft Entra) содержит код ошибки сервера и описание ошибки из конечной точки WS-Trust. Общие коды ошибок сервера и методы их устранения перечислены в следующем разделе.
  • AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) Неправильная настройка конечной точки MEX. Ответ MEX не содержит URL-адреса паролей.
  • Убедитесь, что прокси-сервер сети не создает препятствий и не изменяет ответ сервера.
  • Исправьте конфигурацию MEX, чтобы возвращать в ответе допустимые URL-адреса.
  • AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) Неправильная настройка конечной точки MEX. Ответ MEX не содержит URL-адреса конечной точки сертификата.
  • Убедитесь, что прокси-сервер сети не создает препятствий и не изменяет ответ сервера.
  • Исправьте конфигурацию MEX в поставщике удостоверений, чтобы в ответе возвращались действительные URL-адреса сертификатов.
  • WC_E_DTDPROHIBITED (-1072894385/ 0xc00cee4f) Ответ XML от конечной точки WS-Trust включал в себя определение типа документа (DTD). DTD не ожидается в XML-ответах, и синтаксический анализ ответа завершается ошибкой, если DTD включен.
    Примечание. Для федеративной проверки подлинности требуется WS-Trust.
  • Исправьте конфигурацию в поставщике удостоверений, чтобы запретить отправку DTD в ответе XML.
  • Событие 1022 (журналы Microsoft Entra Analytics) содержит URL-адрес, к которому осуществляется доступ, который возвращает XML-ответ с DTD.
  • Коды распространенных ошибок сервера

    Код ошибки Причина Разрешение
    AADSTS50155: сбой проверки подлинности устройства
  • Идентификатор Microsoft Entra не может пройти проверку подлинности устройства для выдачи PRT.
  • Убедитесь, что устройство не удалено или отключено. Дополнительные сведения об этой проблеме см. в разделе часто задаваемые вопросы об управлении устройствами Microsoft Entra.
  • Следуйте инструкциям по этой проблеме в службе управления устройствами Microsoft Entra, чтобы повторно зарегистрировать устройство на основе типа соединения устройства.
    AADSTS50034: учетная запись пользователя Account не существует в каталоге tenant id Идентификатор Microsoft Entra не может найти учетную запись пользователя в клиенте.
  • Убедитесь, что пользователь вводит правильное имя субъекта-пользователя.
  • Убедитесь, что локальная учетная запись пользователя синхронизируется с идентификатором Microsoft Entra.
  • Событие 1144 (журналы Microsoft Entra Analytics) содержит предоставленную имя участника-службы.
  • AADSTS50126: ошибка при проверке учетных данных из-за недействительного имени пользователя или пароля.
  • Имя пользователя и пароль, введенные пользователем в Windows LoginUI, неправильные.
  • Если у клиента включена синхронизация хэша паролей, устройство присоединено к гибридному соединению, и пользователь только что изменил пароль, скорее всего, новый пароль не синхронизирован с идентификатором Microsoft Entra.
  • Чтобы получить новый PRT с новыми учетными данными, дождитесь завершения синхронизации паролей Microsoft Entra.

    Распространенные коды сетевых ошибок

    Код ошибки Причина Разрешение
    ERROR_WINHTTP_TIMEOUT (12002)
    ERROR_WINHTTP_NAME_NOT_RESOLVED (12007)
    ERROR_WINHTTP_CANNOT_CONNECT (12029)
    ERROR_WINHTTP_CONNECTION_ERROR (12030)
    Распространенные общие проблемы в работе.
  • События 1022 (журналы Microsoft Entra Analytics) и 1084 (операционные журналы Microsoft Entra) содержат URL-адрес, к которому осуществляется доступ.
  • Если в локальной среде требуется прокси-сервер для исходящего трафика, ИТ-администратор должен убедиться, что учетная запись компьютера для устройства позволяет обнаруживать этот прокси-сервер и автоматически проходить на нем проверку подлинности.

    Больше кодов ошибок сети.
  • Шаг 4. Сбор журналов

    Обычные журналы

    1. Перейдите к https://aka.ms/icesdptool, чтобы автоматически скачать CAB-файл, содержащий средство диагностики.
    2. Запустите это средство и воспроизведите свой сценарий.
    3. Для трассировок Fiddler примите всплывающие запросы на сертификаты.
    4. Мастер запрашивает пароль для защиты файлов трассировки. Введите пароль.
    5. Наконец, откройте папку, в которой хранятся все собранные журналы, например %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
    6. Обратитесь в службу поддержки и предоставьте содержимое последнего CAB-файла.

    Данные трассировки сети

    Примечание.

    При сборе трассировок сети важно не использовать Fiddler во время воспроизведения.

    1. Запустите netsh trace start scenario=internetClient_dbg capture=yes persistent=yes.
    2. Заблокируйте и разблокируйте устройство. В случае устройств с гибридным присоединением подождите около минуты, чтобы завершилась задача получения PRT.
    3. Запустите netsh trace stop.
    4. Предоставьте файл nettrace.cab службе поддержки.

    Известные проблемы

    Если вы подключены к мобильной точке доступа или внешней сети Wi-Fi, а затем перейдите в раздел "Параметры>доступа>к рабочей или учебной среде", гибридные устройства Microsoft Entra могут отображать две разные учетные записи, один для идентификатора Microsoft Entra и один для локальной AD. Эта проблема пользовательского интерфейса не влияет на функциональность.