Поделиться через

Устранение неполадок с устройствами, присоединенными к гибридным устройствам Microsoft Entra

  • Статья

В этой статье приведены инструкции по устранению потенциальных проблем с устройствами под управлением Windows 10 и более поздних версий или Windows Server 2016 и более поздних версий.

Гибридное присоединение Microsoft Entra поддерживает обновление Windows 10 ноября 2015 г. и более поздние версии.

В этой статье предполагается, что у вас есть гибридные устройства , присоединенные к Microsoft Entra, для поддержки следующих сценариев:

Примечание.

Для устранения распространенных проблем с регистрацией устройств используйте средство устранения неполадок регистрации устройств.

Устранение сбоев при подключении

Шаг 1. Получение сведений о состоянии присоединения

  1. Откройте окно командной строки от имени администратора.
  2. Введите dsregcmd /status.
+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

    AzureAdJoined: YES
 EnterpriseJoined: NO
         DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
       Thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
   KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
      KeyProvider: Microsoft Platform Crypto Provider
     TpmProtected: YES
     KeySignTest: : MUST Run elevated to test.
              Idp: login.windows.net
         TenantId: aaaabbbb-0000-cccc-1111-dddd2222eeee
       TenantName: Contoso
      AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
   AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
           MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
        MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
  dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
      SettingsUrl: eyJVc{lots of characters}JdfQ==
   JoinSrvVersion: 1.0
       JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
        JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
    KeySrvVersion: 1.0
        KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
         KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
     DomainJoined: YES
       DomainName: CONTOSO

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

             NgcSet: YES
           NgcKeyId: {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
    WorkplaceJoined: NO
      WamDefaultSet: YES
WamDefaultAuthority: organizations
       WamDefaultId: https://login.microsoft.com
     WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
         AzureAdPrt: YES

Шаг 2. Анализ состояния присоединения

Просмотрите поля в приведенной таблице и убедитесь, что для них заданы ожидаемые значения.

Поле Ожидаемое значение Описание
DomainJoined Да Это поле показывает, присоединено ли устройство к локальной службе Active Directory.

Если значение равно NO, устройство не может выполнить гибридное соединение Microsoft Entra.
WorkplaceJoined Нет Это поле указывает, зарегистрировано ли устройство с идентификатором Microsoft Entra в качестве личного устройства (помеченное как присоединенное к рабочему месту). Это значение должно быть NO для компьютера, который присоединен к домену и одновременно имеет гибридное подключение к Microsoft Entra.

Если значение равно ДА, до завершения гибридного соединения Microsoft Entra добавлена рабочая или учебная учетная запись. В этом случае при использовании Windows 10 версии 1607 или более поздней учетная запись игнорируется.
AzureAdJoined Да Это поле указывает, присоединено ли устройство. Значение " ДА ", если устройство является устройством, присоединенным к Microsoft Entra, или гибридным устройством, присоединенным к Microsoft Entra.

Если значение равно NO, присоединение к идентификатору Microsoft Entra еще не завершено.

Перейдите к следующим шагам для дальнейшего устранения неполадок.

Шаг 3. Поиск этапа, на котором произошел сбой присоединения, и кода ошибки

Для Windows 10 версии 1803 или более поздней

Найдите в выходных данных состояния присоединения подраздел "Previous Registration" (Предыдущая регистрация) в разделе "Diagnostic Data" (Диагностические данные). Этот раздел отображается только в том случае, если устройство присоединено к домену и не может присоединиться к гибридному соединению Microsoft Entra.

Поле "Error Phase" (Этап ошибки) обозначает этап сбоя присоединения, а поле "Client ErrorCode" (Код ошибки клиента) содержит код ошибки операции присоединения.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Для предыдущих версий Windows 10

Используйте журналы компонента "Просмотр событий", чтобы найти этап и код ошибки для сбоев присоединения.

  1. Откройте журналы событий регистрации устройств пользователя в средстве "Просмотр событий". Они находятся в папке Applications and Services Log>Microsoft>Windows>User Device Registration.
  2. Найдите события со следующими идентификаторами: 304, 305 и 307.

Снимок экрана: средство

Снимок экрана: средство

Шаг 4. Проверка возможных причин и способы их устранения

Этап предварительной проверки

Возможные причины сбоя:

  • Контроллер домена находится вне зоны видимости устройства.
    • Устройство должно быть подключено к внутренней сети организации или к виртуальной частной сети в пределах "прямой сетевой видимости" локального контроллера домена Active Directory.

Этап обнаружения

Возможные причины сбоя:

  • Объект точки подключения службы неправильно сконфигурирован или его невозможно считать с контроллера домена.
  • Не удалось подключиться и получить метаданные обнаружения из конечной точки обнаружения.
    • Для обнаружения конечных точек регистрации и авторизации устройство должно иметь доступ к https://enterpriseregistration.windows.net в контексте системы.
    • Если в локальной среде требуется прокси-сервер для исходящего трафика, ИТ-администратор должен убедиться, что учетная запись компьютера для устройства позволяет обнаруживать этот прокси-сервер и автоматически проходить на нем проверку подлинности.
  • Не удалось подключиться к конечной точке области пользователя и выполнить обнаружение области пользователя (только для Windows 10 версии 1809 и более поздней).
    • Чтобы выполнить обнаружение области для проверенного домена и определить тип домена (управляемый или федеративный), устройство должно иметь доступ к https://login.microsoftonline.com в контексте системы.
    • Если в локальной среде требуется прокси-сервер для исходящего трафика, администратор ИТ должен убедиться, что контекст системы на устройстве позволяет обнаруживать этот прокси-сервер и автоматически проходить на нем проверку подлинности.

Коды распространенных ошибок

Код ошибки Причина Разрешение
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) Не удается прочитать объект точки подключения службы (SCP) и получить сведения о клиенте Microsoft Entra. См. раздел Настройка точки подключения службы.
DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) Общая ошибка обнаружения. Не удалось получить метаданные для обнаружения из службы репликации данных (DRS). Для дальнейшего изучения найдите подошибку в следующих разделах.
DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) Истекло время ожидания операции при проведении обнаружения. Убедитесь в доступности https://enterpriseregistration.windows.net в контексте системы. Дополнительные сведения см. в разделе Требования к сетевому подключению.
DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) Общий сбой обнаружения области. Не удалось определить тип домена (управляемый или федеративный) из STS. Для дальнейшего изучения найдите подошибку в следующих разделах.

Коды распространенных промежуточных ошибок

Чтобы найти код промежуточной ошибки для кода ошибки обнаружения, используйте один из следующих методов.

Windows 10 версии 1803 или более поздней версии.

В разделе "Diagnostic Data" (Диагностические данные) выходных данных состояния присоединения найдите "DRS Discovery Test" (Тест обнаружения DRS). Этот раздел отображается только в том случае, если устройство присоединено к домену и не может присоединиться к гибридному соединению Microsoft Entra.

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : UN-ELEVATED User
               Client Time : 2019-06-05 08:25:29.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

+----------------------------------------------------------------------+
Предыдущие версии Windows 10

Используйте журналы средства "Просмотр событий", чтобы найти этап и код ошибки для сбоев присоединения.

  1. Откройте журналы событий регистрации устройств пользователя в средстве "Просмотр событий". Они находятся в папке Applications and Services Log>Microsoft>Windows>User Device Registration.
  2. Ищите идентификатор события 201.

Снимок экрана: средство

Ошибки сети

Код ошибки Причина Решение
WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) Не удается установить подключение к серверу. Обеспечьте сетевое подключение к необходимым ресурсам Майкрософт. Дополнительные сведения см. в разделе Требования к сетевому подключению.
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Общий сетевой таймаут. Обеспечьте сетевое подключение к необходимым ресурсам Майкрософт. Дополнительные сведения см. в разделе Требования к сетевому подключению.
WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) Сетевому стеку не удалось декодировать ответ сервера. Убедитесь, что прокси-сервер сети не создает препятствий и не изменяет ответ сервера.

Ошибки HTTP

Код ошибки Причина Решение
DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) Объект точки подключения службы настроен с неверным идентификатором арендатора, или в арендаторе не найдены активные подписки. Убедитесь, что объект точки подключения службы настроен с правильным идентификатором клиента Microsoft Entra и активными подписками или что служба присутствует в клиенте.
DSREG_SERVER_BUSY (0x801c0025/-2145648603) Ошибка HTTP 503 на сервере DRS. Сервер сейчас недоступен. Будущие попытки присоединиться к серверу после восстановления его подключения к сети, скорее всего, будут успешными.

Другие ошибки

Код ошибки Причина Решение
E_INVALIDDATA (0x8007000d/-2147024883) Не удалось проанализировать код JSON ответа сервера, вероятно, потому, что прокси-сервер возвращает код HTTP 200 для страницы авторизации HTML. Если в локальной среде требуется прокси-сервер для исходящего трафика, администратор ИТ должен убедиться, что контекст системы на устройстве позволяет обнаруживать этот прокси-сервер и автоматически проходить на нем проверку подлинности.

Этап проверки подлинности

Это содержимое относится только к федеративным учетным записям домена.

Причины сбоя:

  • Не удалось автоматически получить токен доступа для ресурса DRS.
    • Устройства Windows 10 и Windows 11 получают токен аутентификации из Службы федерации, используя интегрированную аутентификацию Windows для активной конечной точки WS-Trust. Дополнительные сведения см. в разделе Конфигурация службы федерации.

Коды распространенных ошибок

Используйте журналы компонента "Просмотр событий", чтобы узнать код ошибки, код промежуточной ошибки, код ошибки сервера и сообщение об ошибке сервера.

  1. Откройте журналы событий регистрации устройств пользователя в средстве "Просмотр событий". Они находятся в папке Applications and Services Log>Microsoft>Windows>User Device Registration.
  2. Ищите идентификатор события 305.

Снимок экрана: средство

Ошибки конфигурации

Код ошибки Причина Решение
ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) Протоколом проверки подлинности из библиотеки проверки подлинности Azure AD (ADAL) не является WS-Trust. Локальный поставщик удостоверений должен поддерживать WS-Trust.
ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) Локальная служба федерации не вернула XML-ответ. Убедитесь, что конечная точка Metadata Exchange (MEX) возвращает допустимый код XML. Убедитесь, что прокси-сервер не вмешивается и не возвращает ответы nonxml.
ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) Не удалось обнаружить конечную точку для проверки подлинности по имени пользователя и паролю. Проверьте параметры локального поставщика удостоверений. Убедитесь, что конечные точки WS-Trust включены и что ответ MEX содержит эти правильные конечные точки.

Ошибки сети

Код ошибки Причина Разрешение
ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) Общий сетевой таймаут. Убедитесь в доступности https://login.microsoftonline.com в контексте системы. Убедитесь, что локальный поставщик удостоверений доступен в системном контексте. Дополнительные сведения см. в разделе Требования к сетевому подключению.
ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) Подключение к конечной точке авторизации прервано. Повторите попытку присоединения через некоторое время или попробуйте присоединиться к другому стабильно работающему расположению в сети.
ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) Не удалось проверить отправленный сервером сертификат TLS (ранее известный как сертификат SSL). Проверьте отклонение времени клиента. Повторите попытку присоединения через некоторое время или попробуйте присоединиться к другому стабильно работающему расположению в сети.
ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) Попытка подключиться к https://login.microsoftonline.com завершилась ошибкой. Проверьте сетевое подключение к https://login.microsoftonline.com.

Другие ошибки

Код ошибки Причина Решение
ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) Токен SAML от локального поставщика удостоверений не был принят Microsoft Entra ID. Проверьте параметры сервера федерации. Найдите код ошибки сервера в журналах проверки подлинности.
ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) В ответе WS-Trust сервера сообщается об исключении неисправности, из-за которого не удалось получить утверждение. Проверьте параметры сервера федерации. Найдите код ошибки сервера в журналах проверки подлинности.
ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) При попытке получить токен доступа из конечной точки токена произошла ошибка. Найдите основную ошибку в журнале ADAL.
ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) Общая ошибка ADAL. Найдите код подошибки или код ошибки сервера в журналах проверки подлинности.

Этап присоединения

Причины сбоя:

Найдите в приведенных таблицах тип регистрации и код ошибки в зависимости от используемой версии Windows 10.

Windows 10 версии 1803 или более поздней версии.

Найдите в выходных данных состояния присоединения подраздел "Previous Registration" (Предыдущая регистрация) в разделе "Diagnostic Data" (Диагностические данные). Этот раздел отображается только в том случае, если устройство присоединено к домену и не может присоединиться к гибридному соединению Microsoft Entra.

Поле "Тип регистрации" обозначает тип соединения.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) is not found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Предыдущие версии Windows 10

Используйте журналы компонента "Просмотр событий", чтобы найти этап и код ошибки для сбоев присоединения.

  1. Откройте журналы событий регистрации устройств пользователя в средстве "Просмотр событий". Они находятся в папке Applications and Services Log>Microsoft>Windows>User Device Registration.
  2. Ищите идентификатор события 204.

Снимок экрана: средство

Ошибки HTTP, возвращенные с сервера DRS

Код ошибки Причина Резолюция
DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) От DRS получен ответ об ошибке с кодом ошибки DirectoryError. Возможные причины и способы их устранения см. в описании кода ошибки сервера.
DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) Получен ответ от DRS с ошибкой, кодом ошибки «AuthenticationError», а ErrorSubCode не является DeviceNotFound. Возможные причины и способы их устранения см. в описании кода ошибки сервера.
DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) От DRS получен ответ об ошибке с кодом ошибки DirectoryError. Возможные причины и способы их устранения см. в описании кода ошибки сервера.

Ошибки доверенного платформенного модуля

Код ошибки Причина Разрешение
NTE_BAD_KEYSET (0x80090016/-2146893802) Произошел сбой операции доверенного платформенного модуля (TPM) или она была недопустимой. Эта ошибка означает, что набор ключей не существует. Эта ошибка возникает при очистке доверенного платформенного модуля на системах или при наличии некачественного образа sysprep.

Избегайте очистки TPM в настройках BIOS или Windows. Если TPM очищается, пользователям может потребоваться восстановиться, удалив и считывая учетные записи, чтобы устранить проблему, особенно если у них несколько учетных записей WAM. Убедитесь, что компьютер, из которого был создан образ sysprep, не присоединен к Microsoft Entra, не присоединен к Microsoft Entra в гибридном режиме и не зарегистрирован в Microsoft Entra.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) Общая ошибка доверенного платформенного модуля. Отключите доверенный платформенный модуль (TPM) на устройствах с этой ошибкой. Windows 10 версии 1809 и более поздние автоматически обнаруживают сбои TPM и завершают гибридное присоединение Microsoft Entra без его использования.
TPM_E_NOTFIPS (0x80280036/-2144862154) В настоящее время режим FIPS для TPM не поддерживается. Отключите доверенный платформенный модуль на устройствах с этой ошибкой. Windows 10 версии 1809 автоматически обнаруживает сбои доверенного платформенного модуля и завершает гибридное соединение Microsoft Entra без использования доверенного платформенного модуля.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) Доверенный платформенный модуль заблокирован. Это временная проблема. Дождитесь завершения периода охлаждения. Попытка присоединиться через некоторое время должна завершиться успешно. Дополнительную информацию можно найти в разделе Основы работы с доверенным платформенным модулем.

Ошибки сети

Код ошибки Причина Решение
WININET_E_TIMEOUT (0x80072ee2/-2147012894) При общем сетевом тайм-ауте при попытке зарегистрировать устройство в DRS. Проверьте сетевое подключение к https://enterpriseregistration.windows.net.
WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) Не удается разрешить имя или адрес сервера. Проверьте сетевое подключение к https://enterpriseregistration.windows.net.
WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) Подключение к серверу аварийно завершено. Повторите попытку присоединения через некоторое время или попробуйте присоединиться к другому стабильно работающему расположению в сети.

Другие ошибки

Код ошибки Причина Резолюция
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) В журналах событий регистрации устройств пользователя содержится событие с идентификатором 220. Windows не удается получить доступ к объекту компьютера в Active Directory. Событие может содержать код ошибки Windows. Коды ошибок ERROR_NO_SUCH_LOGON_SESSION (1312) и ERROR_NO_SUCH_USER (1317) связаны с проблемами репликации в локальной службе Active Directory. Устраните неполадки репликации в Active Directory. Эти проблемы репликации могут быть временными и могут исчезнуть через некоторое время.

Ошибки федеративного сервера объединений

Код ошибки сервера Сообщение об ошибке сервера Возможные причины Решение
Ошибка каталога Ваш запрос временно ограничен. Повторите попытку через 300 секунд. Это ожидаемая ошибка. Возможно, ее причиной является быстрое выполнение сразу нескольких запросов на регистрацию. Повторите попытку присоединения по истечении периода ожидания.

Ошибки синхронизации при подключении к серверу

Код ошибки сервера Сообщение об ошибке сервера Возможные причины Разрешение
Ошибка каталога AADSTS90002: клиент UUID не найден. Эта ошибка может произойти, если у арендатора отсутствуют активные подписки. Обратитесь к администратору подписки. Идентификатор арендатора в объекте точки подключения службы неправильный. Убедитесь, что объект точки подключения службы настроен с правильным идентификатором клиента Microsoft Entra и активными подписками или что служба присутствует в клиенте.
Ошибка каталога Объект устройства с указанным идентификатором не найден. Эта ошибка ожидается для синхронного объединения. Объект устройства не синхронизирован из AD в Microsoft Entra ID. Дождитесь завершения синхронизации Microsoft Entra Connect, а следующая попытка присоединения после завершения синхронизации устранит проблему.
AuthenticationError Проверка идентификатора безопасности (SID) целевого компьютера. Сертификат на устройстве Microsoft Entra не соответствует сертификату, используемому для авторизации в BLOB во время операций синхронизации. Обычно эта ошибка означает, что синхронизация еще не завершена. Дождитесь завершения синхронизации Microsoft Entra Connect, а следующая попытка присоединения после завершения синхронизации устранит проблему.

Шаг 5. Получение журналов и обращение в службу поддержки Майкрософт

  1. Скачайте файл Auth.zip.

  2. Извлеките файлы в папку, например c:\temp, и перейдите в эту папку.

  3. В сеансе с повышенными привилегиями Azure PowerShell выполните команду .\start-auth.ps1 -v -accepteula.

  4. Выберите Переключить учетную запись, чтобы перейти к другой сессии пользователя с проблемой.

  5. Воспроизведите проблему.

  6. Используйте функцию Переключить учетную запись для обратного переключения на сеанс администратора, выполняющий трассировку.

  7. В сеансе PowerShell с повышенными привилегиями выполните команду .\stop-auth.ps1.

  8. Запакуйте и отправьте папку Authlogs из папки, из которой выполнялись сценарии.

Устранение неполадок, связанных с проверкой подлинности после присоединения

Шаг 1. Получение состояния PRT с помощью dsregcmd /status

  1. Откройте окно командной строки.

    Примечание.

    Чтобы получить состояние основного маркера обновления (PRT), откройте окно командной строки в контексте вошедшего в систему пользователя.

  2. Запустите dsregcmd /status.

    В разделе "SSO state" (Состояние единого входа) указано текущее состояние PRT.

    Если для поля AzureAdPrt задано значение NO, произошла ошибка при получении состояния PRT из идентификатора Microsoft Entra.

  3. Если значение AzureAdPrtUpdateTime превышает 4 часа, скорее всего, возникла ошибка при обновлении PRT. Заблокируйте и разблокируйте устройство, чтобы принудительно обновить PRT, а затем проверьте, обновляется ли время.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : YES
      AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
      AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
   EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
    EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs

+----------------------------------------------------------------------+

Шаг 2. Поиск кода ошибки

В выходных данных dsregcmd

Примечание.

Эти выходные данные доступны в Windows 10 с обновлением за май 2021 года (версия 21H1).

Поле "Состояние попытки" в поле "AzureAdPrt" предоставляет состояние предыдущей попытки PRT, а также другие необходимые сведения об отладке. Для более ранних версий Windows извлеките сведения из аналитики и операционных журналов Microsoft Entra.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.

Из аналитических журналов и операционных журналов Microsoft Entra

Используйте Просмотр событий для поиска записей журнала, зарегистрированных подключаемым модулем Microsoft Entra CloudAP во время приобретения PRT.

  1. В Просмотре событий откройте журналы событий Microsoft Entra Operational. Они находятся в разделе Applications and Services Log (Журнал приложений и служб)>Microsoft>Windows>AAD.

Примечание.

Подключаемый модуль CloudAP регистрирует события ошибок в журналах операций и информационные события — в журналах аналитики. Для устранения неполадок требуются события из журналов аналитики и операций.

  1. Событие 1006 в журналах аналитики обозначает начало потока получения PRT, а событие 1007 — его завершение. Все события в журналах Microsoft Entra (аналитика и операционные), которые регистрируются между событиями 1006 и 1007, регистрируются в рамках потока приобретения PRT.

  2. Событие 1007 регистрирует в журнале окончательный код ошибки.

Снимок экрана: средство

Шаг 3. Дальнейшее устранение неполадок в зависимости от найденного кода ошибки

Код ошибки Причина Решение
STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d)
STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a)
  • Устройство не может подключиться к службе проверки подлинности Microsoft Entra.
  • Получил ответ об ошибке (HTTP 400) из службы проверки подлинности Microsoft Entra или конечной точки WS-Trust.
    Примечание. Для федеративной проверки подлинности требуется WS-Trust.
    		•
  • Если в локальной среде требуется прокси-сервер для исходящего трафика, ИТ-администратор должен убедиться, что учетная запись компьютера для устройства позволяет обнаруживать этот прокси-сервер и автоматически проходить на нем проверку подлинности.
  • События 1081 и 1088 (операционные журналы Microsoft Entra) содержат код ошибки сервера для ошибок, исходящих из службы проверки подлинности Microsoft Entra и описания ошибок, возникающих из конечной точки WS-Trust. Общие коды ошибок сервера и методы их устранения перечислены в следующем разделе. Первый экземпляр события 1022 (журналы Microsoft Entra analytics), предшествующие событиям 1081 или 1088, содержит URL-адрес, к которому осуществляется доступ.
    		•
    STATUS_REQUEST_NOT_ACCEPTED (-1073741616/ 0xc00000d0) Получил ответ об ошибке (HTTP 400) из службы проверки подлинности Microsoft Entra или конечной точки WS-Trust.
    Примечание. Для федеративной проверки подлинности требуется WS-Trust.    		 События 1081 и 1088 (операционные журналы Microsoft Entra) содержат код ошибки сервера и описание ошибок, исходящих из службы проверки подлинности Microsoft Entra и конечной точки WS-Trust соответственно. Общие коды ошибок сервера и методы их устранения перечислены в следующем разделе. Первый экземпляр события 1022 (журналы Microsoft Entra analytics), предшествующие событиям 1081 или 1088, содержит URL-адрес, к которому осуществляется доступ.
    STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c)
    STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be)
    STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4)
  • Получил ответ об ошибке (HTTP > 400) из службы проверки подлинности Microsoft Entra или конечной точки WS-Trust.
    Примечание. Для федеративной проверки подлинности требуется WS-Trust.
  • Неполадки сетевого подключения к требуемой конечной точке
    		•
  • Для ошибок сервера события 1081 и 1088 (операционные журналы Microsoft Entra) содержат код ошибки из службы проверки подлинности Microsoft Entra и описание ошибки из конечной точки WS-Trust. Общие коды ошибок сервера и методы их устранения перечислены в следующем разделе.
  • При возникновении проблем с подключением событие 1022 (журналы Microsoft Entra analytics) содержит URL-адрес, к которому осуществляется доступ, а событие 1084 (операционные журналы Microsoft Entra) содержит подкод ошибки из сетевого стека.
    		•
    STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) Сбой обнаружения области пользователей, так как служба проверки подлинности Microsoft Entra не смогла найти домен пользователя.
  • Домен UPN пользователя должен быть добавлен в качестве пользовательского домена в Microsoft Entra ID. Событие 1144 (журналы аналитики Microsoft Entra) будет содержать предоставленный UPN.
  • Если локальное доменное имя нераутируемое (jdoe@contoso.local), настройте альтернативный идентификатор входа (AltID). Справочные материалы: предварительные требования, настройка альтернативного идентификатора для входа.
    		•
    AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) Формат UPN пользователя не соответствует ожиданиям.
    Примечания:
  • Для устройств, присоединенных к Microsoft Entra, UPN (имя пользователя) — это текст, введенный пользователем в интерфейсе входа (LoginUI).
  • Для гибридных устройств, присоединенных к Microsoft Entra, UPN возвращается из контроллера домена во время процесса входа.
    		•
  • UPN пользователя должно быть в формате имени входа в интернет, основанном на интернет-стандарте RFC 822. Событие 1144 (журналы Microsoft Entra Analytics) содержит предоставленное имя пользователя.
  • Для устройств с гибридным присоединением убедитесь, что контроллер домена настроен на возврат UPN в правильном формате. В контроллере домена whoami /upn должен отображать настроенный UPN.
  • Если локальное доменное имя не является маршрутизируемым (jdoe@contoso.local), настройте альтернативный идентификатор входа (AltID). Справочные материалы: предварительные требования, настройка альтернативного идентификатора для входа.
    		•
    AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) Идентификатор SID пользователя отсутствует в токене идентификатора, возвращаемом службой аутентификации Microsoft Entra. Убедитесь, что прокси-сервер сети не создает препятствий и не изменяет ответ сервера.
    AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) Получено сообщение об ошибке от конечной точки WS-Trust.
    Примечание. Для федеративной проверки подлинности требуется WS-Trust.
  • Убедитесь, что прокси-сервер сети не создает препятствий и не изменяет ответ WS-Trust.
  • Событие 1088 (операционные журналы Microsoft Entra) содержит код ошибки сервера и описание ошибки из конечной точки WS-Trust. Общие коды ошибок сервера и методы их устранения перечислены в следующем разделе.
    		•
    AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) Неправильная настройка конечной точки MEX. Ответ MEX не содержит URL-адреса паролей.
  • Убедитесь, что прокси-сервер сети не создает препятствий и не изменяет ответ сервера.
  • Исправьте конфигурацию MEX, чтобы возвращать в ответе допустимые URL-адреса.
    		•
    AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) Неправильная настройка конечной точки MEX. Ответ MEX не содержит URL-адреса конечной точки сертификата.
  • Убедитесь, что прокси-сервер сети не создает препятствий и не изменяет ответ сервера.
  • Исправьте конфигурацию MEX в поставщике удостоверений, чтобы в ответе возвращались действительные URL-адреса сертификатов.
    		•
    WC_E_DTDPROHIBITED (-1072894385/ 0xc00cee4f) Ответ XML от конечной точки WS-Trust включал в себя определение типа документа (DTD). DTD не ожидается в XML-ответах, и синтаксический анализ ответа завершается ошибкой, если DTD включен.
    Примечание. Для федеративной проверки подлинности требуется WS-Trust.
  • Исправьте конфигурацию поставщика удостоверений, чтобы избежать отправки DTD в XML-ответе.
  • Событие 1022 (журналы Microsoft Entra Analytics) содержит URL-адрес, к которому осуществляется доступ, который возвращает XML-ответ с DTD.
    		•

    Коды распространенных ошибок сервера

    Код ошибки Причина Разрешение
    AADSTS50155: сбой проверки подлинности устройства
  • Идентификатор Microsoft Entra не может пройти проверку подлинности устройства для выдачи PRT.
  • Убедитесь, что устройство не удалено или отключено. Дополнительные сведения об этой проблеме см. в разделе часто задаваемые вопросы об управлении устройствами Microsoft Entra.
    		•  Следуйте инструкциям для решения этой проблемы в FAQ по управлению устройствами Microsoft Entra, чтобы повторно зарегистрировать устройство в зависимости от типа подключения устройства.
    AADSTS50034: учетная запись пользователя Account не существует в каталоге tenant id Идентификатор Microsoft Entra не может найти учетную запись пользователя в клиенте.
  • Убедитесь, что пользователь вводит правильное UPN.
  • Убедитесь, что локальная учетная запись пользователя синхронизируется с идентификатором Microsoft Entra.
  • Событие 1144 (журналы Microsoft Entra Analytics) содержит предоставленный UPN.
    		•
    AADSTS50126: ошибка при проверке учетных данных из-за недействительного имени пользователя или пароля.
  • Имя пользователя и пароль, введенные пользователем в Windows LoginUI, неправильные.
  • Если у клиента включена синхронизация хэша паролей, устройство присоединено к гибридному соединению, и пользователь только что изменил пароль, скорее всего, новый пароль не синхронизирован с идентификатором Microsoft Entra.
    		•  Чтобы получить новый PRT с новыми учетными данными, дождитесь завершения синхронизации паролей Microsoft Entra.

    Распространенные коды сетевых ошибок

    Код ошибки Причина Разрешение
    ERROR_WINHTTP_TIMEOUT (12002)
    ERROR_WINHTTP_NAME_NOT_RESOLVED (12007)
    ERROR_WINHTTP_CANNOT_CONNECT (12029)
    ERROR_WINHTTP_CONNECTION_ERROR (12030)    		 Распространенные общие сетевые проблемы.
  • События 1022 (журналы Microsoft Entra Analytics) и 1084 (операционные журналы Microsoft Entra) содержат URL-адрес, к которому осуществляется доступ.
  • Если в локальной среде требуется прокси-сервер для исходящего трафика, ИТ-администратор должен убедиться, что учетная запись компьютера для устройства позволяет обнаруживать этот прокси-сервер и автоматически проходить на нем проверку подлинности.

    Больше кодов ошибок сети.
    		•

    Шаг 4. Сбор журналов

    Стандартные логи

    1. Перейдите к https://aka.ms/icesdptool, чтобы автоматически скачать CAB-файл, содержащий средство диагностики.
    2. Запустите это средство и воспроизведите свой сценарий.
    3. Для трассировок Fiddler примите всплывающие запросы на сертификаты.
    4. Мастер запрашивает у вас пароль для защиты ваших файлов трассировки. Введите пароль.
    5. Наконец, откройте папку, в которой хранятся все собранные журналы, например %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
    6. Обратитесь в службу поддержки и предоставьте содержимое последнего CAB-файла.

    Данные трассировки сети

    Примечание.

    При сборе трассировок сети важно не использовать Fiddler во время воспроизведения.

    1. Запустите netsh trace start scenario=internetClient_dbg capture=yes persistent=yes.
    2. Заблокируйте и разблокируйте устройство. В случае устройств с гибридным присоединением подождите около минуты, чтобы завершилась задача получения PRT.
    3. Запустите netsh trace stop.
    4. Предоставьте файл nettrace.cab службе поддержки.

    Известные проблемы

    Если вы подключены к мобильной точке доступа или внешней сети Wi-Fi и вы перейдете в Параметры>Учетные записи>Рабочий или учебный доступ, гибридные устройства Microsoft Entra могут отображать две разные учетные записи: одна для идентификатора Microsoft Entra ID и одна для локальной AD. Эта проблема пользовательского интерфейса не влияет на функциональность.

    Связанный контент