Устранение неполадок с устройствами, присоединенными к гибридным устройствам Microsoft Entra
В этой статье приведены инструкции по устранению потенциальных проблем с устройствами под управлением Windows 10 и более поздних версий или Windows Server 2016 и более поздних версий.
Гибридное присоединение Microsoft Entra поддерживает обновление Windows 10 ноября 2015 г. и более поздние версии.
В этой статье предполагается, что у вас есть гибридные устройства , присоединенные к Microsoft Entra, для поддержки следующих сценариев:
- Условный доступ на основе информации об устройстве
- Корпоративное государственное роуминг
- Windows Hello для бизнеса
Примечание.
Для устранения распространенных проблем с регистрацией устройств используйте средство устранения неполадок регистрации устройств.
Устранение сбоев при подключении
Шаг 1. Получение сведений о состоянии присоединения
- Откройте окно командной строки от имени администратора.
- Введите
dsregcmd /status
.
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined: YES
EnterpriseJoined: NO
DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
Thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
KeyProvider: Microsoft Platform Crypto Provider
TpmProtected: YES
KeySignTest: : MUST Run elevated to test.
Idp: login.windows.net
TenantId: aaaabbbb-0000-cccc-1111-dddd2222eeee
TenantName: Contoso
AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl: eyJVc{lots of characters}JdfQ==
JoinSrvVersion: 1.0
JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion: 1.0
KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
DomainJoined: YES
DomainName: CONTOSO
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet: YES
NgcKeyId: {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
WorkplaceJoined: NO
WamDefaultSet: YES
WamDefaultAuthority: organizations
WamDefaultId: https://login.microsoft.com
WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
AzureAdPrt: YES
Шаг 2. Анализ состояния присоединения
Просмотрите поля в приведенной таблице и убедитесь, что для них заданы ожидаемые значения.
Поле | Ожидаемое значение | Описание |
---|---|---|
DomainJoined | Да | Это поле показывает, присоединено ли устройство к локальной службе Active Directory. Если значение равно NO, устройство не может выполнить гибридное соединение Microsoft Entra. |
WorkplaceJoined | Нет | Это поле указывает, зарегистрировано ли устройство с идентификатором Microsoft Entra в качестве личного устройства (помеченное как присоединенное к рабочему месту). Это значение должно быть NO для компьютера, который присоединен к домену и одновременно имеет гибридное подключение к Microsoft Entra. Если значение равно ДА, до завершения гибридного соединения Microsoft Entra добавлена рабочая или учебная учетная запись. В этом случае при использовании Windows 10 версии 1607 или более поздней учетная запись игнорируется. |
AzureAdJoined | Да | Это поле указывает, присоединено ли устройство. Значение " ДА ", если устройство является устройством, присоединенным к Microsoft Entra, или гибридным устройством, присоединенным к Microsoft Entra. Если значение равно NO, присоединение к идентификатору Microsoft Entra еще не завершено. |
Перейдите к следующим шагам для дальнейшего устранения неполадок.
Шаг 3. Поиск этапа, на котором произошел сбой присоединения, и кода ошибки
Для Windows 10 версии 1803 или более поздней
Найдите в выходных данных состояния присоединения подраздел "Previous Registration" (Предыдущая регистрация) в разделе "Diagnostic Data" (Диагностические данные). Этот раздел отображается только в том случае, если устройство присоединено к домену и не может присоединиться к гибридному соединению Microsoft Entra.
Поле "Error Phase" (Этап ошибки) обозначает этап сбоя присоединения, а поле "Client ErrorCode" (Код ошибки клиента) содержит код ошибки операции присоединения.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Для предыдущих версий Windows 10
Используйте журналы компонента "Просмотр событий", чтобы найти этап и код ошибки для сбоев присоединения.
- Откройте журналы событий регистрации устройств пользователя в средстве "Просмотр событий". Они находятся в папке Applications and Services Log>Microsoft>Windows>User Device Registration.
- Найдите события со следующими идентификаторами: 304, 305 и 307.
Шаг 4. Проверка возможных причин и способы их устранения
Этап предварительной проверки
Возможные причины сбоя:
- Контроллер домена находится вне зоны видимости устройства.
- Устройство должно быть подключено к внутренней сети организации или к виртуальной частной сети в пределах "прямой сетевой видимости" локального контроллера домена Active Directory.
Этап обнаружения
Возможные причины сбоя:
- Объект точки подключения службы неправильно сконфигурирован или его невозможно считать с контроллера домена.
- Допустимый объект точки подключения службы требуется в лесу AD, к которому принадлежит устройство, которое указывает на проверенное доменное имя в идентификаторе Microsoft Entra.
- Дополнительные сведения см. в разделе "Настройка точки подключения службы" руководства . Настройка гибридного соединения Microsoft Entra для федеративных доменов.
- Не удалось подключиться и получить метаданные обнаружения из конечной точки обнаружения.
- Для обнаружения конечных точек регистрации и авторизации устройство должно иметь доступ к
https://enterpriseregistration.windows.net
в контексте системы. - Если в локальной среде требуется прокси-сервер для исходящего трафика, ИТ-администратор должен убедиться, что учетная запись компьютера для устройства позволяет обнаруживать этот прокси-сервер и автоматически проходить на нем проверку подлинности.
- Для обнаружения конечных точек регистрации и авторизации устройство должно иметь доступ к
- Не удалось подключиться к конечной точке области пользователя и выполнить обнаружение области пользователя (только для Windows 10 версии 1809 и более поздней).
- Чтобы выполнить обнаружение области для проверенного домена и определить тип домена (управляемый или федеративный), устройство должно иметь доступ к
https://login.microsoftonline.com
в контексте системы. - Если в локальной среде требуется прокси-сервер для исходящего трафика, администратор ИТ должен убедиться, что контекст системы на устройстве позволяет обнаруживать этот прокси-сервер и автоматически проходить на нем проверку подлинности.
- Чтобы выполнить обнаружение области для проверенного домена и определить тип домена (управляемый или федеративный), устройство должно иметь доступ к
Коды распространенных ошибок
Код ошибки | Причина | Разрешение |
---|---|---|
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | Не удается прочитать объект точки подключения службы (SCP) и получить сведения о клиенте Microsoft Entra. | См. раздел Настройка точки подключения службы. |
DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) | Общая ошибка обнаружения. Не удалось получить метаданные для обнаружения из службы репликации данных (DRS). | Для дальнейшего изучения найдите подошибку в следующих разделах. |
DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) | Истекло время ожидания операции при проведении обнаружения. | Убедитесь в доступности https://enterpriseregistration.windows.net в контексте системы. Дополнительные сведения см. в разделе Требования к сетевому подключению. |
DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) | Общий сбой обнаружения области. Не удалось определить тип домена (управляемый или федеративный) из STS. | Для дальнейшего изучения найдите подошибку в следующих разделах. |
Коды распространенных промежуточных ошибок
Чтобы найти код промежуточной ошибки для кода ошибки обнаружения, используйте один из следующих методов.
Windows 10 версии 1803 или более поздней версии.
В разделе "Diagnostic Data" (Диагностические данные) выходных данных состояния присоединения найдите "DRS Discovery Test" (Тест обнаружения DRS). Этот раздел отображается только в том случае, если устройство присоединено к домену и не может присоединиться к гибридному соединению Microsoft Entra.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : UN-ELEVATED User
Client Time : 2019-06-05 08:25:29.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
+----------------------------------------------------------------------+
Предыдущие версии Windows 10
Используйте журналы средства "Просмотр событий", чтобы найти этап и код ошибки для сбоев присоединения.
- Откройте журналы событий регистрации устройств пользователя в средстве "Просмотр событий". Они находятся в папке Applications and Services Log>Microsoft>Windows>User Device Registration.
- Ищите идентификатор события 201.
Ошибки сети
Код ошибки | Причина | Решение |
---|---|---|
WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) | Не удается установить подключение к серверу. | Обеспечьте сетевое подключение к необходимым ресурсам Майкрософт. Дополнительные сведения см. в разделе Требования к сетевому подключению. |
WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Общий сетевой таймаут. | Обеспечьте сетевое подключение к необходимым ресурсам Майкрософт. Дополнительные сведения см. в разделе Требования к сетевому подключению. |
WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) | Сетевому стеку не удалось декодировать ответ сервера. | Убедитесь, что прокси-сервер сети не создает препятствий и не изменяет ответ сервера. |
Ошибки HTTP
Код ошибки | Причина | Решение |
---|---|---|
DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) | Объект точки подключения службы настроен с неверным идентификатором арендатора, или в арендаторе не найдены активные подписки. | Убедитесь, что объект точки подключения службы настроен с правильным идентификатором клиента Microsoft Entra и активными подписками или что служба присутствует в клиенте. |
DSREG_SERVER_BUSY (0x801c0025/-2145648603) | Ошибка HTTP 503 на сервере DRS. | Сервер сейчас недоступен. Будущие попытки присоединиться к серверу после восстановления его подключения к сети, скорее всего, будут успешными. |
Другие ошибки
Код ошибки | Причина | Решение |
---|---|---|
E_INVALIDDATA (0x8007000d/-2147024883) | Не удалось проанализировать код JSON ответа сервера, вероятно, потому, что прокси-сервер возвращает код HTTP 200 для страницы авторизации HTML. | Если в локальной среде требуется прокси-сервер для исходящего трафика, администратор ИТ должен убедиться, что контекст системы на устройстве позволяет обнаруживать этот прокси-сервер и автоматически проходить на нем проверку подлинности. |
Этап проверки подлинности
Это содержимое относится только к федеративным учетным записям домена.
Причины сбоя:
- Не удалось автоматически получить токен доступа для ресурса DRS.
- Устройства Windows 10 и Windows 11 получают токен аутентификации из Службы федерации, используя интегрированную аутентификацию Windows для активной конечной точки WS-Trust. Дополнительные сведения см. в разделе Конфигурация службы федерации.
Коды распространенных ошибок
Используйте журналы компонента "Просмотр событий", чтобы узнать код ошибки, код промежуточной ошибки, код ошибки сервера и сообщение об ошибке сервера.
- Откройте журналы событий регистрации устройств пользователя в средстве "Просмотр событий". Они находятся в папке Applications and Services Log>Microsoft>Windows>User Device Registration.
- Ищите идентификатор события 305.
Ошибки конфигурации
Код ошибки | Причина | Решение |
---|---|---|
ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) | Протоколом проверки подлинности из библиотеки проверки подлинности Azure AD (ADAL) не является WS-Trust. | Локальный поставщик удостоверений должен поддерживать WS-Trust. |
ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) | Локальная служба федерации не вернула XML-ответ. | Убедитесь, что конечная точка Metadata Exchange (MEX) возвращает допустимый код XML. Убедитесь, что прокси-сервер не вмешивается и не возвращает ответы nonxml. |
ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) | Не удалось обнаружить конечную точку для проверки подлинности по имени пользователя и паролю. | Проверьте параметры локального поставщика удостоверений. Убедитесь, что конечные точки WS-Trust включены и что ответ MEX содержит эти правильные конечные точки. |
Ошибки сети
Код ошибки | Причина | Разрешение |
---|---|---|
ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) | Общий сетевой таймаут. | Убедитесь в доступности https://login.microsoftonline.com в контексте системы. Убедитесь, что локальный поставщик удостоверений доступен в системном контексте. Дополнительные сведения см. в разделе Требования к сетевому подключению. |
ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) | Подключение к конечной точке авторизации прервано. | Повторите попытку присоединения через некоторое время или попробуйте присоединиться к другому стабильно работающему расположению в сети. |
ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) | Не удалось проверить отправленный сервером сертификат TLS (ранее известный как сертификат SSL). | Проверьте отклонение времени клиента. Повторите попытку присоединения через некоторое время или попробуйте присоединиться к другому стабильно работающему расположению в сети. |
ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) | Попытка подключиться к https://login.microsoftonline.com завершилась ошибкой. |
Проверьте сетевое подключение к https://login.microsoftonline.com . |
Другие ошибки
Код ошибки | Причина | Решение |
---|---|---|
ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) | Токен SAML от локального поставщика удостоверений не был принят Microsoft Entra ID. | Проверьте параметры сервера федерации. Найдите код ошибки сервера в журналах проверки подлинности. |
ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) | В ответе WS-Trust сервера сообщается об исключении неисправности, из-за которого не удалось получить утверждение. | Проверьте параметры сервера федерации. Найдите код ошибки сервера в журналах проверки подлинности. |
ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) | При попытке получить токен доступа из конечной точки токена произошла ошибка. | Найдите основную ошибку в журнале ADAL. |
ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) | Общая ошибка ADAL. | Найдите код подошибки или код ошибки сервера в журналах проверки подлинности. |
Этап присоединения
Причины сбоя:
Найдите в приведенных таблицах тип регистрации и код ошибки в зависимости от используемой версии Windows 10.
Windows 10 версии 1803 или более поздней версии.
Найдите в выходных данных состояния присоединения подраздел "Previous Registration" (Предыдущая регистрация) в разделе "Diagnostic Data" (Диагностические данные). Этот раздел отображается только в том случае, если устройство присоединено к домену и не может присоединиться к гибридному соединению Microsoft Entra.
Поле "Тип регистрации" обозначает тип соединения.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) is not found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Предыдущие версии Windows 10
Используйте журналы компонента "Просмотр событий", чтобы найти этап и код ошибки для сбоев присоединения.
- Откройте журналы событий регистрации устройств пользователя в средстве "Просмотр событий". Они находятся в папке Applications and Services Log>Microsoft>Windows>User Device Registration.
- Ищите идентификатор события 204.
Ошибки HTTP, возвращенные с сервера DRS
Код ошибки | Причина | Резолюция |
---|---|---|
DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) | От DRS получен ответ об ошибке с кодом ошибки DirectoryError. | Возможные причины и способы их устранения см. в описании кода ошибки сервера. |
DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) | Получен ответ от DRS с ошибкой, кодом ошибки «AuthenticationError», а ErrorSubCode не является DeviceNotFound. | Возможные причины и способы их устранения см. в описании кода ошибки сервера. |
DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) | От DRS получен ответ об ошибке с кодом ошибки DirectoryError. | Возможные причины и способы их устранения см. в описании кода ошибки сервера. |
Ошибки доверенного платформенного модуля
Код ошибки | Причина | Разрешение |
---|---|---|
NTE_BAD_KEYSET (0x80090016/-2146893802) | Произошел сбой операции доверенного платформенного модуля (TPM) или она была недопустимой. | Эта ошибка означает, что набор ключей не существует. Эта ошибка возникает при очистке доверенного платформенного модуля на системах или при наличии некачественного образа sysprep. Избегайте очистки TPM в настройках BIOS или Windows. Если TPM очищается, пользователям может потребоваться восстановиться, удалив и считывая учетные записи, чтобы устранить проблему, особенно если у них несколько учетных записей WAM. Убедитесь, что компьютер, из которого был создан образ sysprep, не присоединен к Microsoft Entra, не присоединен к Microsoft Entra в гибридном режиме и не зарегистрирован в Microsoft Entra. |
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | Общая ошибка доверенного платформенного модуля. | Отключите доверенный платформенный модуль (TPM) на устройствах с этой ошибкой. Windows 10 версии 1809 и более поздние автоматически обнаруживают сбои TPM и завершают гибридное присоединение Microsoft Entra без его использования. |
TPM_E_NOTFIPS (0x80280036/-2144862154) | В настоящее время режим FIPS для TPM не поддерживается. | Отключите доверенный платформенный модуль на устройствах с этой ошибкой. Windows 10 версии 1809 автоматически обнаруживает сбои доверенного платформенного модуля и завершает гибридное соединение Microsoft Entra без использования доверенного платформенного модуля. |
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | Доверенный платформенный модуль заблокирован. | Это временная проблема. Дождитесь завершения периода охлаждения. Попытка присоединиться через некоторое время должна завершиться успешно. Дополнительную информацию можно найти в разделе Основы работы с доверенным платформенным модулем. |
Ошибки сети
Код ошибки | Причина | Решение |
---|---|---|
WININET_E_TIMEOUT (0x80072ee2/-2147012894) | При общем сетевом тайм-ауте при попытке зарегистрировать устройство в DRS. | Проверьте сетевое подключение к https://enterpriseregistration.windows.net . |
WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) | Не удается разрешить имя или адрес сервера. | Проверьте сетевое подключение к https://enterpriseregistration.windows.net . |
WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) | Подключение к серверу аварийно завершено. | Повторите попытку присоединения через некоторое время или попробуйте присоединиться к другому стабильно работающему расположению в сети. |
Другие ошибки
Код ошибки | Причина | Резолюция |
---|---|---|
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | В журналах событий регистрации устройств пользователя содержится событие с идентификатором 220. Windows не удается получить доступ к объекту компьютера в Active Directory. Событие может содержать код ошибки Windows. Коды ошибок ERROR_NO_SUCH_LOGON_SESSION (1312) и ERROR_NO_SUCH_USER (1317) связаны с проблемами репликации в локальной службе Active Directory. | Устраните неполадки репликации в Active Directory. Эти проблемы репликации могут быть временными и могут исчезнуть через некоторое время. |
Ошибки федеративного сервера объединений
Код ошибки сервера | Сообщение об ошибке сервера | Возможные причины | Решение |
---|---|---|---|
Ошибка каталога | Ваш запрос временно ограничен. Повторите попытку через 300 секунд. | Это ожидаемая ошибка. Возможно, ее причиной является быстрое выполнение сразу нескольких запросов на регистрацию. | Повторите попытку присоединения по истечении периода ожидания. |
Ошибки синхронизации при подключении к серверу
Код ошибки сервера | Сообщение об ошибке сервера | Возможные причины | Разрешение |
---|---|---|---|
Ошибка каталога | AADSTS90002: клиент UUID не найден. Эта ошибка может произойти, если у арендатора отсутствуют активные подписки. Обратитесь к администратору подписки. |
Идентификатор арендатора в объекте точки подключения службы неправильный. | Убедитесь, что объект точки подключения службы настроен с правильным идентификатором клиента Microsoft Entra и активными подписками или что служба присутствует в клиенте. |
Ошибка каталога | Объект устройства с указанным идентификатором не найден. | Эта ошибка ожидается для синхронного объединения. Объект устройства не синхронизирован из AD в Microsoft Entra ID. | Дождитесь завершения синхронизации Microsoft Entra Connect, а следующая попытка присоединения после завершения синхронизации устранит проблему. |
AuthenticationError | Проверка идентификатора безопасности (SID) целевого компьютера. | Сертификат на устройстве Microsoft Entra не соответствует сертификату, используемому для авторизации в BLOB во время операций синхронизации. Обычно эта ошибка означает, что синхронизация еще не завершена. | Дождитесь завершения синхронизации Microsoft Entra Connect, а следующая попытка присоединения после завершения синхронизации устранит проблему. |
Шаг 5. Получение журналов и обращение в службу поддержки Майкрософт
Извлеките файлы в папку, например c:\temp, и перейдите в эту папку.
В сеансе с повышенными привилегиями Azure PowerShell выполните команду
.\start-auth.ps1 -v -accepteula
.Выберите Переключить учетную запись, чтобы перейти к другой сессии пользователя с проблемой.
Воспроизведите проблему.
Используйте функцию Переключить учетную запись для обратного переключения на сеанс администратора, выполняющий трассировку.
В сеансе PowerShell с повышенными привилегиями выполните команду
.\stop-auth.ps1
.Запакуйте и отправьте папку Authlogs из папки, из которой выполнялись сценарии.
Устранение неполадок, связанных с проверкой подлинности после присоединения
Шаг 1. Получение состояния PRT с помощью dsregcmd /status
Откройте окно командной строки.
Примечание.
Чтобы получить состояние основного маркера обновления (PRT), откройте окно командной строки в контексте вошедшего в систему пользователя.
Запустите
dsregcmd /status
.В разделе "SSO state" (Состояние единого входа) указано текущее состояние PRT.
Если для поля AzureAdPrt задано значение NO, произошла ошибка при получении состояния PRT из идентификатора Microsoft Entra.
Если значение AzureAdPrtUpdateTime превышает 4 часа, скорее всего, возникла ошибка при обновлении PRT. Заблокируйте и разблокируйте устройство, чтобы принудительно обновить PRT, а затем проверьте, обновляется ли время.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : YES
AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs
+----------------------------------------------------------------------+
Шаг 2. Поиск кода ошибки
В выходных данных dsregcmd
Примечание.
Эти выходные данные доступны в Windows 10 с обновлением за май 2021 года (версия 21H1).
Поле "Состояние попытки" в поле "AzureAdPrt" предоставляет состояние предыдущей попытки PRT, а также другие необходимые сведения об отладке. Для более ранних версий Windows извлеките сведения из аналитики и операционных журналов Microsoft Entra.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
Из аналитических журналов и операционных журналов Microsoft Entra
Используйте Просмотр событий для поиска записей журнала, зарегистрированных подключаемым модулем Microsoft Entra CloudAP во время приобретения PRT.
- В Просмотре событий откройте журналы событий Microsoft Entra Operational. Они находятся в разделе Applications and Services Log (Журнал приложений и служб)>Microsoft>Windows>AAD.
Примечание.
Подключаемый модуль CloudAP регистрирует события ошибок в журналах операций и информационные события — в журналах аналитики. Для устранения неполадок требуются события из журналов аналитики и операций.
Событие 1006 в журналах аналитики обозначает начало потока получения PRT, а событие 1007 — его завершение. Все события в журналах Microsoft Entra (аналитика и операционные), которые регистрируются между событиями 1006 и 1007, регистрируются в рамках потока приобретения PRT.
Событие 1007 регистрирует в журнале окончательный код ошибки.
Шаг 3. Дальнейшее устранение неполадок в зависимости от найденного кода ошибки
Код ошибки | Причина | Решение |
---|---|---|
STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d) STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a) |
Примечание. Для федеративной проверки подлинности требуется WS-Trust. |
|
STATUS_REQUEST_NOT_ACCEPTED (-1073741616/ 0xc00000d0) | Получил ответ об ошибке (HTTP 400) из службы проверки подлинности Microsoft Entra или конечной точки WS-Trust. Примечание. Для федеративной проверки подлинности требуется WS-Trust. |
События 1081 и 1088 (операционные журналы Microsoft Entra) содержат код ошибки сервера и описание ошибок, исходящих из службы проверки подлинности Microsoft Entra и конечной точки WS-Trust соответственно. Общие коды ошибок сервера и методы их устранения перечислены в следующем разделе. Первый экземпляр события 1022 (журналы Microsoft Entra analytics), предшествующие событиям 1081 или 1088, содержит URL-адрес, к которому осуществляется доступ. |
STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c) STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be) STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4) |
Примечание. Для федеративной проверки подлинности требуется WS-Trust. |
|
STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) | Сбой обнаружения области пользователей, так как служба проверки подлинности Microsoft Entra не смогла найти домен пользователя. | |
AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) | Формат UPN пользователя не соответствует ожиданиям. Примечания: |
whoami /upn должен отображать настроенный UPN. |
AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) | Идентификатор SID пользователя отсутствует в токене идентификатора, возвращаемом службой аутентификации Microsoft Entra. | Убедитесь, что прокси-сервер сети не создает препятствий и не изменяет ответ сервера. |
AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) | Получено сообщение об ошибке от конечной точки WS-Trust. Примечание. Для федеративной проверки подлинности требуется WS-Trust. |
|
AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) | Неправильная настройка конечной точки MEX. Ответ MEX не содержит URL-адреса паролей. | |
AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) | Неправильная настройка конечной точки MEX. Ответ MEX не содержит URL-адреса конечной точки сертификата. | |
WC_E_DTDPROHIBITED (-1072894385/ 0xc00cee4f) | Ответ XML от конечной точки WS-Trust включал в себя определение типа документа (DTD). DTD не ожидается в XML-ответах, и синтаксический анализ ответа завершается ошибкой, если DTD включен. Примечание. Для федеративной проверки подлинности требуется WS-Trust. |
Коды распространенных ошибок сервера
Код ошибки | Причина | Разрешение |
---|---|---|
AADSTS50155: сбой проверки подлинности устройства | Следуйте инструкциям для решения этой проблемы в FAQ по управлению устройствами Microsoft Entra, чтобы повторно зарегистрировать устройство в зависимости от типа подключения устройства. | |
AADSTS50034: учетная запись пользователя Account не существует в каталоге tenant id |
Идентификатор Microsoft Entra не может найти учетную запись пользователя в клиенте. | |
AADSTS50126: ошибка при проверке учетных данных из-за недействительного имени пользователя или пароля. | Чтобы получить новый PRT с новыми учетными данными, дождитесь завершения синхронизации паролей Microsoft Entra. |
Распространенные коды сетевых ошибок
Код ошибки | Причина | Разрешение |
---|---|---|
ERROR_WINHTTP_TIMEOUT (12002) ERROR_WINHTTP_NAME_NOT_RESOLVED (12007) ERROR_WINHTTP_CANNOT_CONNECT (12029) ERROR_WINHTTP_CONNECTION_ERROR (12030) |
Распространенные общие сетевые проблемы. | Больше кодов ошибок сети. |
Шаг 4. Сбор журналов
Стандартные логи
- Перейдите к https://aka.ms/icesdptool, чтобы автоматически скачать CAB-файл, содержащий средство диагностики.
- Запустите это средство и воспроизведите свой сценарий.
- Для трассировок Fiddler примите всплывающие запросы на сертификаты.
- Мастер запрашивает у вас пароль для защиты ваших файлов трассировки. Введите пароль.
- Наконец, откройте папку, в которой хранятся все собранные журналы, например %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
- Обратитесь в службу поддержки и предоставьте содержимое последнего CAB-файла.
Данные трассировки сети
Примечание.
При сборе трассировок сети важно не использовать Fiddler во время воспроизведения.
- Запустите
netsh trace start scenario=internetClient_dbg capture=yes persistent=yes
. - Заблокируйте и разблокируйте устройство. В случае устройств с гибридным присоединением подождите около минуты, чтобы завершилась задача получения PRT.
- Запустите
netsh trace stop
. - Предоставьте файл nettrace.cab службе поддержки.
Известные проблемы
Если вы подключены к мобильной точке доступа или внешней сети Wi-Fi и вы перейдете в Параметры>Учетные записи>Рабочий или учебный доступ, гибридные устройства Microsoft Entra могут отображать две разные учетные записи: одна для идентификатора Microsoft Entra ID и одна для локальной AD. Эта проблема пользовательского интерфейса не влияет на функциональность.