Dela via


Felsöka Microsoft Entra hybridanslutna enheter

Den här artikeln innehåller felsökningsvägledning som hjälper dig att lösa potentiella problem med enheter som kör Windows 10 eller senare och Windows Server 2016 eller senare.

Microsoft Entra-hybridanslutning stöder Windows 10 November 2015-uppdateringen och senare.

Information om hur du felsöker andra Windows-klienter finns i Felsöka Microsoft Entra Hybrid-anslutna enheter på nednivå.

Den här artikeln förutsätter att du har Microsoft Entra Hybrid-anslutna enheter som stöder följande scenarier:

Kommentar

Om du vill felsöka vanliga problem med enhetsregistrering använder du felsökningsverktyget för enhetsregistrering.

Felsöka kopplingsfel

Steg 1: Hämta anslutningsstatusen

  1. Öppna ett kommandotolksfönster som administratör.
  2. Skriv dsregcmd /status.
+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

    AzureAdJoined: YES
 EnterpriseJoined: NO
         DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
       Thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
   KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
      KeyProvider: Microsoft Platform Crypto Provider
     TpmProtected: YES
     KeySignTest: : MUST Run elevated to test.
              Idp: login.windows.net
         TenantId: aaaabbbb-0000-cccc-1111-dddd2222eeee
       TenantName: Contoso
      AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
   AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
           MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
        MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
  dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
      SettingsUrl: eyJVc{lots of characters}JdfQ==
   JoinSrvVersion: 1.0
       JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
        JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
    KeySrvVersion: 1.0
        KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
         KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
     DomainJoined: YES
       DomainName: CONTOSO

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

             NgcSet: YES
           NgcKeyId: {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
    WorkplaceJoined: NO
      WamDefaultSet: YES
WamDefaultAuthority: organizations
       WamDefaultId: https://login.microsoft.com
     WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
         AzureAdPrt: YES

Steg 2: Utvärdera anslutningsstatusen

Granska fälten i följande tabell och kontrollera att de har de förväntade värdena:

Fält Förväntat värde beskrivning
DomainJoined JA Det här fältet anger om enheten är ansluten till en lokal Active Directory.

Om värdet är NEJ kan enheten inte ansluta till Microsoft Entra-hybriden.
WorkplaceJoined NEJ Det här fältet anger om enheten är registrerad med Microsoft Entra-ID som en personlig enhet (markerad som Arbetsplats ansluten). Det här värdet ska vara NEJ för en domänansluten dator som också är Microsoft Entra-hybridansluten.

Om värdet är JA lades ett arbets- eller skolkonto till innan Microsoft Entra-hybridanslutningen slutfördes. I det här fallet ignoreras kontot när du använder Windows 10 version 1607 eller senare.
AzureAdJoined JA Det här fältet anger om enheten är ansluten. Värdet är JA om enheten antingen är en Microsoft Entra-ansluten enhet eller en Hybrid-ansluten Microsoft Entra-enhet.

Om värdet är NEJ har anslutningen till Microsoft Entra-ID:t inte slutförts ännu.

Fortsätt till nästa steg för ytterligare felsökning.

Steg 3: Hitta fasen där kopplingen misslyckades och felkoden

För Windows 10 version 1803 eller senare

Leta efter underavsnittet "Föregående registrering" i avsnittet "Diagnostikdata" i kopplingsstatusutdata. Det här avsnittet visas endast om enheten är domänansluten och inte kan ansluta till Microsoft Entra-hybridanslutningen.

Fältet "Felfas" anger fasen för kopplingsfelet och "Client ErrorCode" anger felkoden för kopplingsåtgärden.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

För tidigare Windows 10-versioner

Använd Loggboken loggar för att hitta fasen och felkoden för kopplingsfelen.

  1. I Loggboken öppnar du händelseloggarna för registrering av användarenheter. De lagras under Program- och tjänstloggen>Microsoft>Windows>Användarenhetsregistrering.
  2. Leta efter händelser med följande händelse-ID: 304, 305 och 307.

Skärmbild av Loggboken, med händelse-ID 304 markerat, dess information visas och dess felkod och fas markerad.

Skärmbild av Loggboken, med händelse-ID 305 markerat, dess information visas och dess felkod markerad.

Steg 4: Sök efter möjliga orsaker och lösningar

Förkontrollera fasen

Möjliga orsaker till fel:

  • Enheten har ingen siktlinje för domänkontrollanten.
    • Enheten måste finnas i organisationens interna nätverk eller i ett virtuellt privat nätverk med en nätverkslinje för en lokal Active Directory domänkontrollant.

Identifiera fas

Möjliga orsaker till fel:

  • Objektet för tjänstanslutningspunkten är felkonfigurerat eller kan inte läsas från domänkontrollanten.
  • Det gick inte att ansluta till och hämta identifieringsmetadata från identifieringsslutpunkten.
    • Enheten bör kunna komma åt https://enterpriseregistration.windows.net, i systemkontexten, för att identifiera registrerings- och auktoriseringsslutpunkterna.
    • Om den lokala miljön kräver en utgående proxy måste IT-administratören se till att enhetens datorkonto kan identifiera och tyst autentisera till den utgående proxyn.
  • Det gick inte att ansluta till användarsfärens slutpunkt och göra sfäridentifiering (endast Windows 10 version 1809 och senare).
    • Enheten ska kunna komma åt https://login.microsoftonline.com, i systemkontexten, att göra sfäridentifiering för den verifierade domänen och fastställa domäntypen (hanterad eller federerad).
    • Om den lokala miljön kräver en utgående proxy måste IT-administratören se till att systemkontexten på enheten kan identifiera och tyst autentisera till den utgående proxyn.

Vanliga felkoder:

Felkod Orsak Åtgärd
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) Det gick inte att läsa scp-objektet (Service Connection Point) och hämta klientinformationen för Microsoft Entra. Se avsnittet Konfigurera en tjänstanslutningsplats.
DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) Allmänt identifieringsfel. Det gick inte att hämta identifieringsmetadata från datareplikeringstjänsten (DRS). Om du vill undersöka vidare hittar du underordnad information i nästa avsnitt.
DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) Tidsgränsen för åtgärden uppstod när identifieringen utfördes. Se till att https://enterpriseregistration.windows.net det är tillgängligt i systemkontexten. Mer information finns i avsnittet Krav för nätverksanslutning.
DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) Fel vid allmän sfäridentifiering. Det gick inte att fastställa domäntypen (hanterad/federerad) från STS. Om du vill undersöka vidare hittar du underordnad information i nästa avsnitt.

Vanliga underfelkoder:

Om du vill hitta underordnad kod för identifieringsfelkoden använder du någon av följande metoder.

Windows 10 version 1803 eller senare

Leta efter "DRS Discovery Test" i avsnittet "Diagnostikdata" i kopplingsstatusutdata. Det här avsnittet visas endast om enheten är domänansluten och inte kan ansluta till Microsoft Entra-hybridanslutningen.

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : UN-ELEVATED User
               Client Time : 2019-06-05 08:25:29.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

+----------------------------------------------------------------------+
Tidigare Windows 10-versioner

Använd Loggboken loggar för att leta efter fasen och felkoden för kopplingsfelen.

  1. I Loggboken öppnar du händelseloggarna för registrering av användarenheter. De lagras under Program- och tjänstloggen>Microsoft>Windows>Användarenhetsregistrering.
  2. Leta efter händelse-ID 201.

Skärmbild av Loggboken, med händelse-ID 201 markerat, dess information visas och dess felkod markerad.

Nätverksfel:

Felkod Orsak Åtgärd
WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) Det gick inte att upprätta anslutningen till servern. Kontrollera nätverksanslutningen till nödvändiga Microsoft-resurser. Mer information finns i Nätverksanslutningskrav.
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Allmän tidsgräns för nätverket. Kontrollera nätverksanslutningen till nödvändiga Microsoft-resurser. Mer information finns i Nätverksanslutningskrav.
WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) Nätverksstacken kunde inte avkoda svaret från servern. Kontrollera att nätverksproxyn inte stör och ändrar serversvaret.

HTTP-fel:

Felkod Orsak Åtgärd
DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) Objektet för tjänstanslutningspunkten har konfigurerats med fel klientorganisations-ID, eller så hittades inga aktiva prenumerationer i klientorganisationen. Kontrollera att objektet för tjänstanslutningspunkten har konfigurerats med rätt Klient-ID för Microsoft Entra och aktiva prenumerationer eller att tjänsten finns i klientorganisationen.
DSREG_SERVER_BUSY (0x801c0025/-2145648603) HTTP 503 från DRS-servern. Servern är för närvarande inte tillgänglig. Framtida kopplingsförsök lyckas troligen när servern är online igen.

Andra fel:

Felkod Orsak Åtgärd
E_INVALIDDATA (0x8007000d/-2147024883) Det gick inte att parsa serversvars-JSON eftersom proxyn returnerar en HTTP 200 med en HTML-auktoriseringssida. Om den lokala miljön kräver en utgående proxy måste IT-administratören se till att systemkontexten på enheten kan identifiera och tyst autentisera till den utgående proxyn.

Autentiseringsfas

Det här innehållet gäller endast federerade domänkonton.

Orsaker till fel:

  • Det går inte att hämta en åtkomsttoken tyst för DRS-resursen.
    • Windows 10- och Windows 11-enheter hämtar autentiseringstoken från federationstjänsten med hjälp av integrerad Windows-autentisering till en aktiv WS-Trust-slutpunkt. Mer information finns i Konfiguration av federationstjänst.

Vanliga felkoder:

Använd Loggboken loggar för att hitta felkoden, underordnad kod, serverfelkoden och serverfelmeddelandet.

  1. I Loggboken öppnar du händelseloggarna för registrering av användarenheter. De lagras under Program- och tjänstloggen>Microsoft>Windows>Användarenhetsregistrering.
  2. Leta efter händelse-ID 305.

Skärmbild av Loggboken, med händelse-ID 305 markerat, dess information visas och ADAL-felkoderna och statusen markerade.

Konfigurationsfel:

Felkod Orsak Åtgärd
ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) ADAL-autentiseringsprotokollet (Azure AD Authentication Library) är inte WS-Trust. Den lokala identitetsprovidern måste ha stöd för WS-Trust.
ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) Den lokala federationstjänsten returnerade inte något XML-svar. Kontrollera att MEX-slutpunkten (Metadata Exchange) returnerar en giltig XML. Kontrollera att proxyn inte stör och returnerar ickexml-svar.
ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) Det gick inte att identifiera en slutpunkt för autentisering med användarnamn/lösenord. Kontrollera inställningarna för den lokala identitetsprovidern. Kontrollera att WS-Trust-slutpunkterna är aktiverade och att MEX-svaret innehåller rätt slutpunkter.

Nätverksfel:

Felkod Orsak Åtgärd
ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) Allmän tidsgräns för nätverket. Se till att https://login.microsoftonline.com det är tillgängligt i systemkontexten. Se till att den lokala identitetsprovidern är tillgänglig i systemkontexten. Mer information finns i Nätverksanslutningskrav.
ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) Anslutningen till auktoriseringsslutpunkten avbröts. Försök att ansluta igen efter en stund eller försök att ansluta från en annan stabil nätverksplats.
ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) Det gick inte att verifiera TLS-certifikatet (som tidigare kallades SSL-certifikatet för Secure Sockets Layer) som skickades av servern. Kontrollera klientens tidsförskjutning. Försök att ansluta igen efter en stund eller försök att ansluta från en annan stabil nätverksplats.
ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) Det gick inte att ansluta till https://login.microsoftonline.com . Kontrollera nätverksanslutningen till https://login.microsoftonline.com.

Andra fel:

Felkod Orsak Åtgärd
ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) SAML-token från den lokala identitetsprovidern accepterades inte av Microsoft Entra-ID. Kontrollera federationsserverinställningarna. Leta efter serverfelkoden i autentiseringsloggarna.
ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) Server WS-Trust-svaret rapporterade ett felfelsfel och det gick inte att hämta försäkran. Kontrollera federationsserverinställningarna. Leta efter serverfelkoden i autentiseringsloggarna.
ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) Ett fel uppstod när åtkomsttoken skulle hämtas från tokenslutpunkten. Leta efter det underliggande felet i ADAL-loggen.
ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) Allmänt ADAL-fel. Leta efter underordnad kod eller serverfelkod från autentiseringsloggarna.

Kopplingsfas

Orsaker till fel:

Leta efter registreringstypen och felkoden från följande tabeller, beroende på vilken Windows 10-version du använder.

Windows 10 version 1803 eller senare

Leta efter underavsnittet "Föregående registrering" i avsnittet "Diagnostikdata" i kopplingsstatusutdata. Det här avsnittet visas endast om enheten är domänansluten och inte kan ansluta till Microsoft Entra-hybriden.

Fältet "Registreringstyp" anger typen av koppling.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) is not found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Tidigare Windows 10-versioner

Använd Loggboken loggar för att hitta fasen och felkoden för kopplingsfelen.

  1. I Loggboken öppnar du händelseloggarna för registrering av användarenheter. De lagras under Program- och tjänstloggen>Microsoft>Windows>Användarenhetsregistrering.
  2. Leta efter händelse-ID 204.

Skärmbild av Loggboken, med händelse-ID 204 valt och dess felkod, H T T P-status och meddelande markerat.

HTTP-fel som returneras från DRS-servern:

Felkod Orsak Åtgärd
DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) Fick ett felsvar från DRS med ErrorCode: "DirectoryError". Se serverfelkoden för möjliga orsaker och lösningar.
DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) Fick ett felsvar från DRS med ErrorCode: "AuthenticationError" och ErrorSubCode är inte "DeviceNotFound". Se serverfelkoden för möjliga orsaker och lösningar.
DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) Fick ett felsvar från DRS med ErrorCode: "DirectoryError". Se serverfelkoden för möjliga orsaker och lösningar.

TPM-fel:

Felkod Orsak Åtgärd
NTE_BAD_KEYSET (0x80090016/-2146893802) TPM-åtgärden (Trusted Platform Module) misslyckades eller var ogiltig. Det här felet anger att nyckeluppsättningen inte finns. Det här felet inträffar när TPM rensas på systemen eller när det finns en felaktig sysprep-avbildning.

Undvik att rensa TPM i BIOS- eller Windows-inställningar. Om TPM rensas kan användarna behöva återställa genom att ta bort och läsa konton för att åtgärda problemet, särskilt när de har flera WAM-konton. Kontrollera att datorn som sysprep-avbildningen skapades från inte är Microsoft Entra-ansluten, Microsoft Entra-hybridanslutning eller Microsoft Entra-registrerad.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) Allmänt TPM-fel. Inaktivera TPM på enheter med det här felet. Windows 10 version 1809 och senare identifierar automatiskt TPM-fel och slutför Microsoft Entra-hybridanslutning utan att använda TPM.
TPM_E_NOTFIPS (0x80280036/-2144862154) TPM i FIPS-läge stöds inte för närvarande. Inaktivera TPM på enheter med det här felet. Windows 10 version 1809 identifierar automatiskt TPM-fel och slutför Microsoft Entra-hybridanslutningen utan att använda TPM.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) TPM är utelåst. Tillfälligt fel. Vänta under nedkylningstiden. Anslutningsförsöket bör lyckas efter en stund. Mer information finns i grunderna för TPM.

Nätverksfel:

Felkod Orsak Åtgärd
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Tidsgränsen för allmänt nätverk är att försöka registrera enheten på DRS. Kontrollera nätverksanslutningen till https://enterpriseregistration.windows.net.
WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) Det gick inte att matcha servernamnet eller adressen. Kontrollera nätverksanslutningen till https://enterpriseregistration.windows.net.
WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) Anslutningen till servern avslutades onormalt. Försök att ansluta igen efter en stund eller försök att ansluta från en annan stabil nätverksplats.

Andra fel:

Felkod Orsak Åtgärd
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) Händelse-ID 220 finns i händelseloggarna för registrering av användarenheter. Windows kan inte komma åt datorobjektet i Active Directory. En Windows-felkod kan ingå i händelsen. Felkoder ERROR_NO_SUCH_LOGON_SESSION (1312) och ERROR_NO_SUCH_USER (1317) är relaterade till replikeringsproblem i lokal Active Directory. Felsöka replikeringsproblem i Active Directory. Dessa replikeringsproblem kan vara tillfälliga och de kan försvinna efter ett tag.

Federerade anslutningsserverfel:

Felkod för server Serverfelmeddelande Möjliga orsaker Åtgärd
DirectoryError Din begäran begränsas tillfälligt. Försök efter 300 sekunder. Det här felet förväntas, möjligen på grund av att flera registreringsbegäranden gjordes i snabb följd. Försök ansluta igen efter nedkylningsperioden

Serverfel för synkroniseringskoppling:

Felkod för server Serverfelmeddelande Möjliga orsaker Åtgärd
DirectoryError AADSTS90002: Klientorganisationen UUID hittades inte. Det här felet kan inträffa om det inte finns några aktiva prenumerationer för klientorganisationen. Kontakta prenumerationsadministratören. Klientorganisations-ID:t i objektet för tjänstanslutningspunkten är felaktigt. Kontrollera att objektet för tjänstanslutningspunkten har konfigurerats med rätt Klient-ID för Microsoft Entra och aktiva prenumerationer eller att tjänsten finns i klientorganisationen.
DirectoryError Enhetsobjektet med det angivna ID:t hittades inte. Det här felet förväntas för synkroniseringskoppling. Enhetsobjektet har inte synkroniserats från AD till Microsoft Entra-ID Vänta tills Microsoft Entra Connect Sync har slutförts och nästa anslutningsförsök efter synkroniseringens slutförande löser problemet.
AuthenticationError Verifieringen av måldatorns SID Certifikatet på Microsoft Entra-enheten matchar inte certifikatet som används för att logga in på bloben under synkroniseringskopplingen. Det här felet innebär vanligtvis att synkroniseringen inte har slutförts än. Vänta tills Microsoft Entra Connect Sync har slutförts och nästa anslutningsförsök efter synkroniseringens slutförande löser problemet.

Steg 5: Samla in loggar och kontakta Microsoft Support

  1. Ladda ned filen Auth.zip.

  2. Extrahera filerna till en mapp, till exempel c:\temp, och gå sedan till mappen.

  3. Från en upphöjd Azure PowerShell-session kör du .\start-auth.ps1 -v -accepteula.

  4. Välj Växla konto för att växla till en annan session med problemanvändaren.

  5. Återskapa problemet.

  6. Välj Växla konto för att växla tillbaka till administratörssessionen som kör spårningen.

  7. Från den upphöjda PowerShell-sessionen kör du .\stop-auth.ps1.

  8. Zip (komprimera) och skicka mappen Authlogs från mappen där skripten kördes.

Felsöka problem med autentisering efter anslutningen

Steg 1: Hämta PRT-statusen med hjälp av dsregcmd /status

  1. Öppna Kommandotolken.

    Kommentar

    Om du vill hämta STATUS för primär uppdateringstoken (PRT) öppnar du kommandotolken i kontexten för den inloggade användaren.

  2. Kör dsregcmd /status.

    Avsnittet "SSO-tillstånd" innehåller aktuell PRT-status.

    Om fältet AzureAdPrt har angetts till NEJ uppstod ett fel vid anskaffning av PRT-status från Microsoft Entra-ID.

  3. Om AzureAdPrtUpdateTime är mer än fyra timmar är det troligtvis ett problem med att uppdatera PRT. Lås och lås upp enheten för att framtvinga PRT-uppdateringen och kontrollera sedan om tiden uppdateras.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : YES
      AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
      AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
   EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
    EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs

+----------------------------------------------------------------------+

Steg 2: Hitta felkoden

Från utdata dsregcmd

Kommentar

Utdata är tillgängliga från Windows 10 Maj 2021-uppdateringen (version 21H1).

Fältet "Försöksstatus" under fältet "AzureAdPrt" ger status för det tidigare PRT-försöket, tillsammans med annan nödvändig felsökningsinformation. För tidigare Windows-versioner extraherar du informationen från Microsoft Entra-analys- och driftloggarna.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.

Från Microsoft Entra-analys och driftloggar

Använd Loggboken för att leta efter loggposterna som loggades av Plugin-programmet Microsoft Entra CloudAP under PRT-förvärvet.

  1. Öppna händelseloggarna för Microsoft Entra Operational i Loggboken. De lagras under Program- och tjänstloggen>Microsoft>Windows>AAD.

Kommentar

CloudAP-plugin-programmet loggar felhändelser i driftloggarna och loggar informationshändelserna i analysloggarna. Både analys- och driftlogghändelserna krävs för att felsöka problem.

  1. Händelse 1006 i analysloggarna anger starten av PRT-anskaffningsflödet och händelse 1007 i analysloggarna anger slutet på PRT-förvärvsflödet. Alla händelser i Microsoft Entra-loggarna (analys och drift) som loggas mellan händelser 1006 och 1007 loggades som en del av PRT-anskaffningsflödet.

  2. Händelse 1007 loggar den slutliga felkoden.

Skärmbild av Loggboken, med händelse-ID:t 1006 och 1007 markerade och den slutliga felkoden markerad.

Steg 3: Felsöka ytterligare baserat på felkoden som hittades

Felkod Orsak Åtgärd
STATUS_LOGON_FAILURE (-1073741715/0xc000006d)
STATUS_WRONG_PASSWORD (-1073741718/0xc000006a)
  • Enheten kan inte ansluta till Microsoft Entra-autentiseringstjänsten.
  • Fick ett felsvar (HTTP 400) från Microsoft Entra-autentiseringstjänsten eller WS-Trust-slutpunkten.
    Obs! WS-Trust krävs för federerad autentisering.
  • Om den lokala miljön kräver en utgående proxy måste IT-administratören se till att enhetens datorkonto kan identifiera och tyst autentisera till den utgående proxyn.
  • Händelser 1081 och 1088 (Microsoft Entra-driftloggar) skulle innehålla serverns felkod för fel som kommer från Microsoft Entra-autentiseringstjänsten och felbeskrivning för fel som kommer från WS-Trust-slutpunkten. Vanliga serverfelkoder och deras lösningar visas i nästa avsnitt. Den första instansen av händelse 1022 (Microsoft Entra-analysloggar), före händelserna 1081 eller 1088, innehåller den URL som används.
  • STATUS_REQUEST_NOT_ACCEPTED (-1073741616/0xc00000d0) Fick ett felsvar (HTTP 400) från Microsoft Entra-autentiseringstjänsten eller WS-Trust-slutpunkten.
    Obs! WS-Trust krävs för federerad autentisering.
    Händelser 1081 och 1088 (Microsoft Entra-driftloggar) skulle innehålla serverns felkod och felbeskrivning för fel som kommer från Microsoft Entra-autentiseringstjänsten respektive WS-Trust-slutpunkten. Vanliga serverfelkoder och deras lösningar visas i nästa avsnitt. Den första instansen av händelse 1022 (Microsoft Entra-analysloggar), före händelserna 1081 eller 1088, innehåller den URL som används.
    STATUS_NETWORK_UNREACHABLE (-1073741252/0xc000023c)
    STATUS_BAD_NETWORK_PATH (-1073741634/0xc00000be)
    STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/0xc00000c4)
  • Fick ett felsvar (HTTP > 400) från Microsoft Entra-autentiseringstjänsten eller WS-Trust-slutpunkten.
    Obs! WS-Trust krävs för federerad autentisering.
  • Problem med nätverksanslutning till en slutpunkt som krävs.
  • För serverfel skulle händelserna 1081 och 1088 (Microsoft Entra-driftloggar) innehålla felkoden från Microsoft Entra-autentiseringstjänsten och felbeskrivningen från WS-Trust-slutpunkten. Vanliga serverfelkoder och deras lösningar visas i nästa avsnitt.
  • För anslutningsproblem innehåller händelse 1022 (Microsoft Entra-analysloggar) den URL som används och händelse 1084 (Microsoft Entra-driftloggar) innehåller underordnad kod från nätverksstacken.
  • STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) Identifieringen av användarsfären misslyckades eftersom Microsoft Entra-autentiseringstjänsten inte kunde hitta användarens domän.
  • Domänen för användarens UPN måste läggas till som en anpassad domän i Microsoft Entra-ID. Händelse 1144 (Microsoft Entra-analysloggar) innehåller upn som tillhandahålls.
  • Om det lokala domännamnet inte går att använda (jdoe@contoso.local) konfigurerar du ett alternativt inloggnings-ID (AltID). Referenser: Förutsättningar, Konfigurera alternativt inloggnings-ID.
  • AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/0xc004844c) Användarens UPN är inte i förväntat format.
    Anteckningar:
  • För Microsoft Entra-anslutna enheter är UPN den text som anges av användaren i inloggningsgränssnittet.
  • För Hybridanslutna Microsoft Entra-enheter returneras UPN från domänkontrollanten under inloggningsprocessen.
  • Användarens UPN ska finnas i inloggningsnamnet i Internet-format, baserat på Internetstandarden RFC 822. Händelse 1144 (Microsoft Entra-analysloggar) innehåller upn som tillhandahålls.
  • För hybridanslutna enheter kontrollerar du att domänkontrollanten är konfigurerad för att returnera UPN i rätt format. I domänkontrollanten whoami /upn ska det konfigurerade UPN visas.
  • Om det lokala domännamnet inte kan nås (jdoe@contoso.local) konfigurerar du alternativt inloggnings-ID (AltID). Referenser: Förutsättningar, Konfigurera alternativt inloggnings-ID.
  • AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) Användar-SID saknas i den ID-token som returneras av Microsoft Entra-autentiseringstjänsten. Kontrollera att nätverksproxyn inte stör och ändrar serversvaret.
    AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) Ett fel har mottagits från WS-Trust-slutpunkten.
    Obs! WS-Trust krävs för federerad autentisering.
  • Kontrollera att nätverksproxyn inte stör och ändrar WS-Trust-svaret.
  • Händelse 1088 (Microsoft Entra-driftloggar) skulle innehålla serverns felkod och felbeskrivning från WS-Trust-slutpunkten. Vanliga serverfelkoder och deras lösningar visas i nästa avsnitt.
  • AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/0xc004848b) MEX-slutpunkten är felaktigt konfigurerad. MEX-svaret innehåller inte några lösenords-URL:er.
  • Kontrollera att nätverksproxyn inte stör och ändrar serversvaret.
  • Korrigera MEX-konfigurationen så att giltiga URL:er returneras som svar.
  • AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/0xc004848C) MEX-slutpunkten är felaktigt konfigurerad. MEX-svaret innehåller inte några URL:er för certifikatslutpunkter.
  • Kontrollera att nätverksproxyn inte stör och ändrar serversvaret.
  • Åtgärda MEX-konfigurationen i identitetsprovidern för att returnera giltiga certifikat-URL:er som svar.
  • WC_E_DTDPROHIBITED (-1072894385/0xc00cee4f) XML-svaret från WS-Trust-slutpunkten innehöll en definition av dokumenttyp (DTD). En DTD förväntas inte i XML-svar och parsning av svaret misslyckas om en DTD inkluderas.
    Obs! WS-Trust krävs för federerad autentisering.
  • Åtgärda konfigurationen i identitetsprovidern för att undvika att skicka en DTD i XML-svaret.
  • Händelse 1022 (Microsoft Entra-analysloggar) innehåller den URL som används för att returnera ett XML-svar med en DTD.
  • Vanliga serverfelkoder

    Felkod Orsak Åtgärd
    AADSTS50155: Enhetsautentiseringen misslyckades
  • Microsoft Entra-ID kan inte autentisera enheten för att utfärda en PRT.
  • Bekräfta att enheten inte har tagits bort eller inaktiverats. Mer information om det här problemet finns i Vanliga frågor och svar om Enhetshantering i Microsoft Entra.
  • Följ anvisningarna för det här problemet i Vanliga frågor och svar om enhetshantering i Microsoft Entra för att registrera enheten på nytt baserat på typ av enhetsanslutning.
    AADSTS50034: Användarkontot Account finns inte i tenant id katalogen Microsoft Entra-ID:t kan inte hitta användarkontot i klientorganisationen.
  • Kontrollera att användaren skriver rätt UPN.
  • Kontrollera att det lokala användarkontot synkroniseras med Microsoft Entra-ID.
  • Händelse 1144 (Microsoft Entra-analysloggar) innehåller upn som tillhandahålls.
  • AADSTS50126: Fel vid validering av autentiseringsuppgifter på grund av ogiltigt användarnamn eller lösenord.
  • Användarnamnet och lösenordet som anges av användaren i Windows LoginUI är felaktiga.
  • Om klientorganisationen har aktiverat synkronisering av lösenordshash är enheten hybridansluten och användaren har precis ändrat lösenordet. Det är troligt att det nya lösenordet inte har synkroniserats med Microsoft Entra-ID.
  • Om du vill hämta en ny PRT med de nya autentiseringsuppgifterna väntar du tills Microsoft Entra-lösenordssynkroniseringen har slutförts.

    Vanliga nätverksfelkoder

    Felkod Orsak Åtgärd
    ERROR_WINHTTP_TIMEOUT (12002)
    ERROR_WINHTTP_NAME_NOT_RESOLVED (12007)
    ERROR_WINHTTP_CANNOT_CONNECT (12029)
    ERROR_WINHTTP_CONNECTION_ERROR (12030)
    Vanliga allmänna nätverksrelaterade problem.
  • Händelser 1022 (Microsoft Entra-analysloggar) och 1084 (Microsoft Entra-driftloggar) innehåller url:en som används.
  • Om den lokala miljön kräver en utgående proxy måste IT-administratören se till att enhetens datorkonto kan identifiera och tyst autentisera till den utgående proxyn.

    Få fler nätverksfelkoder.
  • Steg 4: Samla in loggar

    Vanliga loggar

    1. Gå till för att https://aka.ms/icesdptool automatiskt ladda ned en .cab fil som innehåller diagnostikverktyget.
    2. Kör verktyget och återskapa ditt scenario.
    3. För Fiddler-spårningar godkänner du certifikatbegäranden som dyker upp.
    4. Guiden uppmanar dig att ange ett lösenord för att skydda dina spårningsfiler. Ange ett lösenord.
    5. Öppna slutligen mappen där alla insamlade loggar lagras, till exempel %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
    6. Kontakta supporten med innehållet i den senaste .cab filen.

    Nätverksspårningar

    Kommentar

    När du samlar in nätverksspårningar är det viktigt att inte använda Fiddler under repro.

    1. Kör netsh trace start scenario=internetClient_dbg capture=yes persistent=yes.
    2. Lås och lås upp enheten. För hybrid-anslutna enheter väntar du en minut eller mer så att PRT-förvärvsaktiviteten kan slutföras.
    3. Kör netsh trace stop.
    4. Dela filen nettrace.cab med Support.

    Kända problem

    Om du är ansluten till en mobil hotspot eller ett externt Wi-Fi-nätverk och går till Inställningar>Konton>Åtkomst till arbete eller skola kan Microsoft Entra hybridanslutna enheter visa två olika konton, ett för Microsoft Entra-ID och ett för lokal AD. Det här användargränssnittsproblemet påverkar inte funktionaliteten.