疑難排解 Microsoft Entra 混合式加入裝置
本文提供疑難排解指引,協助您解決執行 Windows 10 或更新版本以及 Windows Server 2016 或更新版本裝置的潛在問題。
Microsoft Entra hybrid join 支援 Windows 10 2015 年 11 月更新及其之後的版本。
本文章假設您已擁有混合加入 Microsoft Entra 的裝置,以支援下列案例:
- 裝置型條件式存取
- 企業狀態漫遊
- Windows Hello 企業版
注意
使用裝置註冊疑難排解員工具,針對常見的裝置註冊問題進行疑難排解。
針對聯結失敗進行疑難排解
步驟 1:擷取加入狀態
- 開啟命令提示字元視窗,以系統管理員身分執行。
- 輸入
dsregcmd /status。
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined: YES
EnterpriseJoined: NO
DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
Thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
KeyProvider: Microsoft Platform Crypto Provider
TpmProtected: YES
KeySignTest: : MUST Run elevated to test.
Idp: login.windows.net
TenantId: aaaabbbb-0000-cccc-1111-dddd2222eeee
TenantName: Contoso
AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl: eyJVc{lots of characters}JdfQ==
JoinSrvVersion: 1.0
JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion: 1.0
KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
DomainJoined: YES
DomainName: CONTOSO
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet: YES
NgcKeyId: {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
WorkplaceJoined: NO
WamDefaultSet: YES
WamDefaultAuthority: organizations
WamDefaultId: https://login.microsoft.com
WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
AzureAdPrt: YES
步驟 2:評估加入狀態
檢閱下表中的欄位,並確定其中包含預期的值:
| 欄位 | 預期值 | 描述 |
|---|---|---|
| DomainJoined | 是 | 此欄位指出裝置是否已加入內部部署 Active Directory。 如果值為 NO,則裝置無法進行 Microsoft Entra 混合加入。 |
| WorkplaceJoined | 否 | 此欄位指出裝置是否已向 Microsoft Entra ID 註冊為個人裝置(顯示為「工作場所已加入」)。 對於已加入網域的電腦並同時加入混合式 Microsoft Entra,此值應為 NO。 如果值為 YES,則在完成混合式 Microsoft Entra 加入之前已新增公司或學校帳戶。 在此情況下,使用 Windows 10 1607 版或更新版本時,會忽略該帳戶。 |
| AzureAdJoined | 是 | 此欄位指出裝置是否已加入。 如果裝置是 Microsoft Entra 加入的裝置或 Microsoft Entra 混合加入的裝置,則值為 YES。 如果值為 NO,則尚未完成加入 Microsoft Entra ID。 |
繼續進行後續步驟,以進行進一步的疑難排解。
步驟 3:尋找聯結失敗的階段,以及錯誤碼
Windows 10 版本 1803 或更新版本
在聯結狀態輸出的 [診斷資料] 區段中,尋找「先前註冊」子區段。 只有當裝置已加入網域且無法執行 Microsoft Entra 混合加入時,才會顯示此區段。
「錯誤階段」欄位表示聯結失敗的階段,「用戶端 ErrorCode」表示聯結作業的錯誤碼。
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
適用於舊版 Windows 10
使用事件檢視器記錄來找出聯結失敗的階段和錯誤碼。
- 在事件檢視器中,開啟 [使用者裝置註冊] 事件記錄檔。 其會儲存在 [應用程式和服務記錄]>[Microsoft]>[Windows]>[使用者裝置註冊] 下。
- 尋找具有下列事件識別碼的事件:304、305 和 307。
步驟 4:檢查可能的原因和解決方式
預先檢查階段
失敗的可能原因:
- 裝置無法看到網域控制站。
- 裝置必須在組織的內部網路上,或在可看到內部部署 Active Directory 網域控制站的虛擬私人網路上。
探索階段
失敗的可能原因:
- 服務連接點物件的設定不正確,或無法從網域控制站讀取。
- 裝置所屬的 AD 樹系中必須有有效的服務連接點物件,指向 Microsoft Entra ID 中已驗證的網域名稱。
- 如需詳細資訊,請參閱教學課程:設定適用於同盟網域的混合式 Microsoft Entra Join 的「設定服務連接點」一節。
- 無法連線到探索端點,並擷取其上的探索元數據。
- 裝置應該要能夠在系統內容中存取
https://enterpriseregistration.windows.net,才能探索註冊和授權端點。 - 如果內部部署環境需要出站代理,則 IT 管理員必須確保裝置的電腦帳戶能夠發現並靜默地驗證到出站代理。
- 裝置應該要能夠在系統內容中存取
- 無法連線到使用者領域端點,也無法進行領域探索 (僅限 Windows 10 1809 版和更新版本)。
- 裝置應該要能夠在系統內容中存取
https://login.microsoftonline.com,才能進行已驗證網域的領域探索,並判斷網域類型 (受控或同盟)。 - 如果內部部署環境需要外部代理,則 IT 管理員必須確保裝置的系統內容能夠發現並無需用戶干預地對外部代理進行驗證。
- 裝置應該要能夠在系統內容中存取
常見的錯誤碼:
| 錯誤碼 | 原因 | 決議 |
|---|---|---|
| DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | 無法讀取服務連接點 (SCP) 物件,並且無法取得 Microsoft Entra 租用戶資訊。 | 請參閱設定服務連接點一節。 |
| DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) | 一般偵測失敗。 無法從資料複寫服務 (DRS) 取得偵測中繼資料。 | 若要進一步調查,請在下一節中找出子錯誤。 |
| DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) | 執行探索時,作業已逾時。 | 確定 https://enterpriseregistration.windows.net 可以在系統內容中存取。 如需詳細資訊,請參閱網路連線需求一節。 |
| DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) | 一般領域探索失敗。 無法從 STS 判斷網域類型 (受控/同盟)。 | 若要進一步調查,請在下一節中找出子錯誤。 |
常見的子錯誤碼:
若要尋找探索錯誤碼的子錯誤碼,請使用下列其中一種方法。
Windows 10 版本 1803 或更新版本
在聯結狀態輸出的 [診斷資料] 區段中,尋找「DRS 探索測試」。 只有當裝置已加入網域但無法進行 Microsoft Entra 混合加入時,才會顯示此區段。
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : UN-ELEVATED User
Client Time : 2019-06-05 08:25:29.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
+----------------------------------------------------------------------+
舊版 Windows 10
使用事件檢視器記錄來尋找聯結失敗的階段和錯誤碼。
- 在事件檢視器中,開啟 [使用者裝置註冊] 事件記錄檔。 其會儲存在 [應用程式和服務記錄]>[Microsoft]>[Windows]>[使用者裝置註冊] 下。
- 尋找事件識別碼 201。
網路錯誤:
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) | 無法建立與伺服器的連線。 | 確定與所需 Microsoft 資源之間的網路連線能力。 如需詳細資訊,請參閱網路連線需求。 |
| WININET_E_TIMEOUT (0x80072ee2/-2147012894) | 一般網路逾時。 | 確定與所需 Microsoft 資源之間的網路連線能力。 如需詳細資訊,請參閱網路連線需求。 |
| WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) | 網路堆疊無法解碼伺服器的回應。 | 確定網路 Proxy 沒有干擾和修改伺服器回應。 |
HTTP 錯誤:
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) | 已使用錯誤的租用戶識別碼設定了服務連接點物件,或在租用戶中找不到作用中的訂用帳戶。 | 確認服務連接點物件是否已使用正確的 Microsoft Entra 租戶識別碼和有效的訂用帳戶進行設定,或確認服務是否在該租戶中存在。 |
| DSREG_SERVER_BUSY (0x801c0025/-2145648603) | DRS 伺服器的 HTTP 503。 | 伺服器目前無法使用。 伺服器重新上線後,未來的加入嘗試可能會成功。 |
其他錯誤:
| 錯誤碼 | 原因 | 決議 |
|---|---|---|
| E_INVALIDDATA (0x8007000d/-2147024883) | 無法剖析伺服器回應 JSON,可能是因為 Proxy 傳回 HTTP 200 與 HTML 授權頁面。 | 如果內部部署環境需要出口代理,則 IT 管理員必須確保裝置的系統環境能夠偵測並無干擾地驗證出口代理。 |
驗證階段
此內容僅適用於同盟網域帳戶。
失敗的原因:
- 無法在無需通知的情況下取得 DRS 資源的存取權杖。
- 使用 Windows 10 和 Windows 11 裝置的使用者,透過整合式 Windows 驗證來連接作用中的 WS-Trust 端點,從同盟服務取得驗證權杖。 如需詳細資訊,請參閱同盟服務設定。
常見的錯誤碼:
使用事件檢視器記錄來找出錯誤碼、子錯誤碼、伺服器錯誤碼和伺服器錯誤訊息。
- 在事件檢視器中,開啟 [使用者裝置註冊] 事件記錄檔。 其會儲存在 [應用程式和服務記錄]>[Microsoft]>[Windows]>[使用者裝置註冊] 下。
- 尋找事件識別碼 305。
組態錯誤:
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) | Azure AD 驗證程式庫 (ADAL) 驗證通訊協定不是 WS-Trust。 | 內部部署識別提供者必須支援 WS-Trust。 |
| 錯誤_ADAL_無法解析_XML (0xcaa9002c/-894894036) | 內部部署同盟服務不會傳回 XML 回應。 | 請確認中繼資料交換 (MEX) 端點傳回有效的 XML。 請確認 Proxy 未干擾並傳回非 xml 回應。 |
| ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT(錯誤碼 0xcaa90023/-894894045:無法找到用戶名密碼端點) | 無法探索到使用者名稱/密碼驗證的端點。 | 檢查內部部署識別提供者設定。 請確認 WS-Trust 端點已啟用,且 MEX 回應包含這些正確的端點。 |
網路錯誤:
| 錯誤碼 | 原因 | 決議 |
|---|---|---|
| ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) | 一般網路逾時。 | 確定 https://login.microsoftonline.com 可以在系統內容中存取。 確保內部部署的身份提供者可以在系統環境中訪問。 如需詳細資訊,請參閱網路連線需求。 |
| ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) | 已中止與授權端點的連線。 | 在一段時間後重試加入,或嘗試從另一個穩定的網路位置加入。 |
| ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) | 無法驗證服務器所傳送的傳輸層安全性 (TLS) 憑證 (先前稱為安全通訊端層 SSL 憑證)。 | 檢查用戶端時間誤差。 在一段時間後重試加入,或嘗試從另一個穩定的網路位置加入。 |
| ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) | 嘗試連線到 https://login.microsoftonline.com 失敗。 |
請檢查 https://login.microsoftonline.com 的網路連線。 |
其他錯誤:
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) | Microsoft Entra ID 不接受來自內部部署識別提供者的 SAML 權杖。 | 檢查同盟伺服器設定。 在驗證記錄中尋找伺服器錯誤碼。 |
| ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) | 伺服器 WS-Trust 回應報告了錯誤例外狀況,因此無法取得判斷提示。 | 檢查同盟伺服器設定。 在驗證記錄中尋找伺服器錯誤碼。 |
| ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) | 嘗試從權杖端點取得存取權杖時收到錯誤。 | 尋找 ADAL 記錄中的基礎錯誤。 |
| ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) | 一般 ADAL 失敗。 | 從驗證記錄中尋找子錯誤碼或伺服器錯誤碼。 |
加入階段
失敗的原因:
根據您所使用的 Windows 10 版本,尋找下表中的註冊類型和錯誤碼。
Windows 10 版本 1803 或更新版本
在聯結狀態輸出的 [診斷資料] 區段中,尋找「先前註冊」子區段。 只有當裝置已加入網域且無法進行 Microsoft Entra 混合式加入時,才會顯示此區段。
[註冊類型] 欄位代表加入類型。
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) is not found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
舊版 Windows 10
使用事件檢視器記錄來找出聯結失敗的階段和錯誤碼。
- 在事件檢視器中,開啟 [使用者裝置註冊] 事件記錄檔。 其會儲存在 [應用程式和服務記錄]>[Microsoft]>[Windows]>[使用者裝置註冊] 下。
- 尋找事件識別碼 204。
從 DRS 伺服器傳回的 HTTP 錯誤:
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) | 收到來自 DRS 的錯誤回應,錯誤碼:"DirectoryError"。 | 請參閱伺服器錯誤碼以取得可能的原因和解決方式。 |
| DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) | 收到來自 DRS 的錯誤回應訊息。錯誤碼:"AuthenticationError",而 ErrorSubCode 不是 "DeviceNotFound"。 | 請參閱伺服器錯誤碼以取得可能的原因和解決方式。 |
| DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) | 收到來自 DRS 的錯誤回應,錯誤碼:"DirectoryError"。 | 請參閱伺服器錯誤碼以取得可能的原因和解決方式。 |
TPM 錯誤:
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| NTE_BAD_KEYSET (0x80090016/-2146893802) | 信賴平台模組 (TPM) 作業失敗或無效。 | 此錯誤表示索引鍵集不存在。 此錯誤會發生在系統上清除 TPM 時,或是 sysprep 映像檔錯誤時。 避免在 BIOS 或 Windows 設定中清除 TPM。 如果清除 TPM,使用者可能需要透過移除和重新新增帳戶來修復問題,特別是當他們有多個 WAM 帳戶時。 請確定建立 sysprep 映像檔的電腦並未加入 Microsoft Entra、Microsoft Entra 混合加入或註冊 Microsoft Entra。 |
| TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | 一般 TPM 錯誤。 | 在發生此錯誤的裝置上停用 TPM。 Windows 10 1809 版及之後的版本會自動偵測 TPM 失效,並在不使用 TPM 的情況下完成 Microsoft Entra 混合加入。 |
| TPM_E_NOTFIPS (0x80280036/-2144862154) | 目前不支援 FIPS 模式中的 TPM。 | 在發生此錯誤的裝置上停用 TPM。 Windows 10 1809 版會自動偵測 TPM 故障,並在不使用 TPM 的情況下完成 Microsoft Entra 混合式加入。 |
| NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | TPM 已鎖定。 | 暫時性錯誤。 等候冷卻期間。 加入嘗試應該會在一段時間後成功。 如需詳細資訊,請參閱 TPM 基本概念。 |
網路錯誤:
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| WININET_E_TIMEOUT (0x80072ee2/-2147012894) | 嘗試在 DRS 註冊裝置時,一般網路連線超時。 | 檢查 https://enterpriseregistration.windows.net 的網路連線能力。 |
| WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) | 無法解析伺服器名稱或位址。 | 檢查 https://enterpriseregistration.windows.net 的網路連線狀態。 |
| WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) | 與伺服器的連線異常終止。 | 在一段時間後重試加入,或嘗試從另一個穩定的網路位置加入。 |
其他錯誤:
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | 事件識別碼 220 存在於使用者裝置註冊事件記錄中。 Windows 無法存取 Active Directory 中的電腦物件。 事件中可能包含 Windows 錯誤碼。 錯誤碼 ERROR_NO_SUCH_LOGON_SESSION (1312) 和 ERROR_NO_SUCH_USER (1317) 與內部部署 Active Directory 中的複寫問題有關。 | 針對 Active Directory 中的複寫問題進行疑難排解。 這些複寫問題可能是暫時性的,而且可能會在一段時間後消失。 |
同盟聯結伺服器錯誤:
| 伺服器錯誤碼 | 伺服器錯誤訊息 | 可能的原因 | 解決方法 |
|---|---|---|---|
| 目錄錯誤 | 您的請求已被暫時限制。 請在 300 秒後再試一次。 | 這是預期的錯誤,可能是因為在短時間內進行了多次註冊請求。 | 在冷卻期間之後重試聯結 |
同步聯結伺服器錯誤:
| 伺服器錯誤碼 | 伺服器錯誤訊息 | 可能的原因 | 解決方法 |
|---|---|---|---|
| DirectoryError | AADSTS90002:找不到租戶 UUID。 如果租用戶沒有任何作用中的訂用帳戶,可能會發生這個錯誤。 請洽詢您的訂用帳戶管理員。 |
服務連接點物件中的租用戶識別碼不正確。 | 確保服務連接點物件已使用正確的 Microsoft Entra 租用戶識別碼和有效的訂閱設定,或者確認服務存在於租用戶中。 |
| 目錄錯誤 | 找不到指定識別碼的裝置物件。 | 這是同步聯結的預期錯誤。 裝置物件尚未從 AD 同步到 Microsoft Entra ID | 等候 Microsoft Entra Connect 同步處理完成,而在同步完成後的下一次聯結嘗試將會解決此問題。 |
| AuthenticationError | 對目標電腦的 SID 進行驗證 | Microsoft Entra 裝置上的憑證與同步加入期間用來登入 blob 的憑證不符。 此錯誤通常表示同步尚未完成。 | 等候 Microsoft Entra Connect 同步處理完成,而在同步完成後的下一次聯結嘗試將會解決此問題。 |
步驟 5:收集記錄並聯絡 Microsoft 支援服務
將檔案擷取到資料夾 (例如 c:\temp),然後移至該資料夾。
從具有提高權限的 Azure PowerShell 工作階段執行
.\start-auth.ps1 -v -accepteula。點選 [切換帳戶],以切換至問題使用者的其他工作階段。
重現問題。
選取 切換帳戶,切換回用於執行追蹤的管理工作階段。
從具有提升權限的 PowerShell 工作階段執行
.\stop-auth.ps1。Zip (壓縮) 然後從執行指令碼的資料夾中傳送 Authlogs 資料夾。
針對後續聯結驗證問題進行疑難排解
步驟 1:使用 dsregcmd /status 來擷取 PRT 狀態
開啟命令提示字元視窗。
注意
若要取得主要重新整理權杖 (PRT) 狀態,請以已登入使用者的身分開啟命令提示字元視窗。
執行
dsregcmd /status。[SSO 狀態] 區段提供目前的 PRT 狀態。
如果 [AzureAdPrt] 欄位設定為 NO,從 Microsoft Entra ID 取得 PRT 狀態時,就會發生錯誤。
如果 AzureAdPrtUpdateTime 超過四小時,可能會出現 PRT 更新的問題。 將裝置鎖定並解除鎖定以強制 PRT 重新整理,然後檢查時間是否已更新。
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : YES
AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs
+----------------------------------------------------------------------+
步驟 2:尋找錯誤碼
從 dsregcmd 輸出
注意
您可以從 Windows 10 2021 年 5 月更新 (版本 21H1) 輸出。
[AzureAdPrt] 欄位下的 [嘗試狀態] 欄位將提供先前 PRT 嘗試的狀態,以及其他必要的偵錯資訊。 針對較早的 Windows 版本,請從 Microsoft Entra 分析和作業記錄中擷取資訊。
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
從 Microsoft Entra 分析和營運日誌
使用事件檢視器尋找 PRT 取得期間由 Microsoft Entra CloudAP 外掛程式記錄的記錄項目。
- 在事件檢視器中,開啟 Microsoft Entra 作業事件記錄檔。 這些應用程式會儲存在 [應用程式和服務記錄]> [Microsoft]>[Windows]>[AAD]。
注意
CloudAP 外掛程式會將錯誤事件記錄在作業記錄中,並將資訊事件記錄在分析記錄中。 分析和操作記錄事件都是針對問題進行疑難排解所需的事件。
分析記錄中的 1006 事件代表 PRT 取得流程開始,而分析記錄中的 1007 事件代表 PRT 取得流程結束。 1006 事件和 1007 事件之間記錄的 Microsoft Entra 記錄中的所有事件(包括分析和作業),已作為 PRT 取得流程的一部分進行記錄。
1007 事件會記錄最後的錯誤碼。
步驟 3:根據找到的錯誤碼進一步進行疑難排解
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
|
STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d) STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a) |
注意:WS-Trust 是同盟驗證所必需的。 |
|
| STATUS_REQUEST_NOT_ACCEPTED (-1073741616/ 0xc00000d0) | 從 Microsoft Entra 驗證服務或 WS-Trust 端點收到錯誤回應 (HTTP 400)。 注意:聯邦身分驗證需要 WS-Trust。 |
1081 和 1088 事件 (Microsoft Entra 作業記錄) 會包含分別源自 Microsoft Entra 驗證服務錯誤以及 WS-Trust 端點的伺服器錯誤碼和錯誤描述。 下一節列出常見的伺服器錯誤碼和其解決方式。 1022 事件 (Microsoft Entra 分析記錄) 的第一個實例早於 1081 或 1088 事件,將包含正在存取的網址。 |
|
STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c) STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be) STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4) |
注意:聯邦身份驗證需要 WS-Trust。 |
|
| STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) | Microsoft Entra 驗證服務找不到使用者的網域,因此使用者領域探索失敗。 | |
| AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) | 使用者的 UPN 不是預期的格式。 注意: |
whoami /upn 應該會顯示已設定的 UPN。 |
| AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) | Microsoft Entra 驗證服務傳回的識別碼權杖中缺少使用者 SID。 | 確定網路 Proxy 沒有干擾和修改伺服器回應。 |
| AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) | 從 WS-Trust 端點收到錯誤。 注意:同盟驗證需要 WS-Trust。 |
|
| AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) | MEX 端點設定不正確。 MEX 回應未包含任何密碼 URL。 | |
| AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) | MEX 端點設定不正確。 MEX 回應未包含任何憑證端點 URL。 | |
| WC_E_DTDPROHIBITED (-1072894385/ 0xc00cee4f) | WS-Trust 端點的 XML 回應包含了檔案類型定義 (DTD)。 XML 回應中不應有 DTD,如果包含 DTD,則剖析回應將會失敗。 注意:聯邦驗證需要 WS-Trust。 |
常見的伺服器錯誤代碼
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
| AADSTS50155:裝置驗證失敗 | 針對此問題,請遵循 Microsoft Entra 裝置管理常見問題集中的指示,根據裝置加入類型重新註冊裝置。 | |
AADSTS50034:使用者帳戶 Account 不存在於 tenant id 目錄中 |
Microsoft Entra ID 在租用戶中找不到使用者帳戶。 | |
| AADSTS50126:驗證認證時因為使用者名稱或密碼無效而發生錯誤。 | 若要使用新的認證取得全新的 PRT,請等候 Microsoft Entra 密碼同步處理完成。 |
常見的網路錯誤代碼
| 錯誤碼 | 原因 | 解決方法 |
|---|---|---|
|
ERROR_WINHTTP_TIMEOUT (12002) ERROR_WINHTTP_NAME_NOT_RESOLVED (12007) ERROR_WINHTTP_CANNOT_CONNECT (12029) ERROR_WINHTTP_CONNECTION_ERROR (12030) |
常見的一般網路相關問題。 | 取得更多網路錯誤代碼。 |
步驟 4:收集記錄
一般記錄
- 移至 https://aka.ms/icesdptool 以自動下載包含診斷工具的 .cab 檔案。
- 執行工具,並重新模擬您的情境。
- 針對 Fiddler 追蹤,接受彈出的憑證要求。
- 精靈會提示您輸入密碼,以保護您的追蹤檔案。 提供密碼。
- 最後,開啟儲存所有收集到記錄的資料夾,例如 %LOCALAPPDATA%\ElevatedDiagnostics\numbers。
- 請將最新 .cab 檔案中的內容聯絡客服中心。
網路追蹤記錄
注意
當您收集網路追蹤時,請務必不要在重現期間使用 Fiddler。
- 執行
netsh trace start scenario=internetClient_dbg capture=yes persistent=yes。 - 將裝置鎖定和解除鎖定。 針對混合加入的裝置,請等待至少一分鐘,讓 PRT 擷取工作完成。
- 執行
netsh trace stop。 - 與支援中心共用 nettrace.cab 檔案。
已知問題
如果您已連線至行動熱點或外部 Wi-Fi 網路,而您移至 [設定]>[帳戶]>[存取公司或學校],已加入混合式 Microsoft Entra 的裝置可能會顯示兩個不同的帳戶,一個用於 Microsoft Entra ID,另一個用於內部部署 AD。 此 UI 問題不會影響功能。