Memecahkan masalah perangkat gabungan hibrida Microsoft Entra

  • Artikel

Artikel ini memberikan panduan pemecahan masalah untuk membantu Anda mengatasi potensi masalah pada perangkat yang menjalankan Windows 10 atau yang lebih baru dan Windows Server 2016 atau yang lebih baru.

Gabungan hibrid Microsoft Entra mendukung pembaruan Windows 10 November 2015 dan yang lebih baru.

Untuk memecahkan masalah klien Windows lainnya, lihat Memecahkan masalah perangkat tingkat bawah gabungan hibrid Microsoft Entra.

Artikel ini mengasumsikan bahwa Anda memiliki perangkat gabungan hibrid Microsoft Entra untuk mendukung skenario berikut:

Catatan

Selesaikan masalah pendaftaran perangkat yang paling umum dengan memanfaatkan Alat Pemecah Masalah Pendaftaran Perangkat yang komprehensif.

Memecahkan masalah kegagalan gabungan

Langkah 1: Mengambil status gabungan

  1. Buka jendela Wantian Perintah sebagai administrator.
  2. Ketik dsregcmd /status.
+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

    AzureAdJoined: YES
 EnterpriseJoined: NO
         DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
       Thumbprint: B753A6679CE720451921302CA873794D94C6204A
   KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
      KeyProvider: Microsoft Platform Crypto Provider
     TpmProtected: YES
     KeySignTest: : MUST Run elevated to test.
              Idp: login.windows.net
         TenantId: 72b988bf-xxxx-xxxx-xxxx-2d7cd011xxxx
       TenantName: Contoso
      AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
   AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
           MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
        MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
  dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
      SettingsUrl: eyJVcmlzIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyJdfQ==
   JoinSrvVersion: 1.0
       JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
        JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
    KeySrvVersion: 1.0
        KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
         KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
     DomainJoined: YES
       DomainName: CONTOSO

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

             NgcSet: YES
           NgcKeyId: {C7A9AEDC-780E-4FDA-B200-1AE15561A46B}
    WorkplaceJoined: NO
      WamDefaultSet: YES
WamDefaultAuthority: organizations
       WamDefaultId: https://login.microsoft.com
     WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
         AzureAdPrt: YES

Langkah 2: Mengevaluasi status gabungan

Tinjau bidang di tabel berikut ini dan pastikan bahwa bidang tersebut memiliki nilai yang diharapkan:

Bidang Nilai yang diharapkan Deskripsi
DomainJoined YA Bidang ini menunjukkan apakah perangkat bergabung ke Active Directory lokal atau tidak.

Jika nilainya TIDAK, perangkat tidak dapat melakukan gabungan hibrid Microsoft Entra.
WorkplaceJoined TIDAK Bidang ini menunjukkan apakah perangkat terdaftar dengan MICROSOFT Entra ID sebagai perangkat pribadi (ditandai sebagai Workplace Joined). Nilai ini harus TIDAK untuk komputer yang bergabung dengan domain yang juga bergabung dengan hibrid Microsoft Entra.

Jika nilainya YA, akun kerja atau sekolah ditambahkan sebelum penyelesaian gabungan hibrid Microsoft Entra. Dalam hal ini, akun diabaikan saat Anda menggunakan Windows 10 versi 1607 atau lebih baru.
AzureAdJoined YA Bidang ini menunjukkan apakah perangkat bergabung. Nilainya adalah YA jika perangkat adalah perangkat yang bergabung dengan Microsoft Entra atau perangkat gabungan hibrid Microsoft Entra.

Jika nilainya TIDAK, gabungan ke ID Microsoft Entra belum selesai.

Lanjutkan ke langkah berikutnya untuk pemecahan masalah lebih lanjut.

Langkah 3: Temukan fase tempat gabungan gagal dan kode kesalahan

Untuk Windows 10 versi 1803 atau lebih baru

Carilah subbagian "Pendaftaran Sebelumnya" di bagian "Data Diagnostik" dari output status gabungan. Bagian ini ditampilkan hanya jika perangkat bergabung dengan domain dan tidak dapat bergabung dengan hibrid Microsoft Entra.

Bidang "Fase Kesalahan" menunjukkan fase kegagalan bergabung, dan "ErrorCode Klien" menunjukkan kode kesalahan dari operasi gabungan.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Untuk versi Windows 10 sebelumnya

Gunakan log Pemantau Peristiwa untuk menemukan fase dan kode kesalahan untuk kegagalan gabungan.

  1. Di Pemantau Peristiwa, buka log kejadian Pendaftaran Perangkat Pengguna. Tersimpan di bawah Log Aplikasi dan Layanan>Microsoft>Windows>Pendaftaran Perangkat Pengguna.
  2. Mencari peristiwa dengan ID peristiwa berikut: 304, 305 dan 307.

Cuplikan layar Pemantau Peristiwa, dengan ID peristiwa 304 dipilih, informasinya ditampilkan, dan kode kesalahan dan fasenya disorot.

Cuplikan layar Pemantau Peristiwa, dengan ID peristiwa 305 dipilih, informasinya ditampilkan, dan kode kesalahan disorot.

Langkah 4: Periksa kemungkinan penyebab dan resolusi

Fase pra-pemeriksaan

Kemungkinan alasan kegagalan:

  • Perangkat tidak memiliki garis pandang ke pengendali domain.
    • Perangkat harus berada di jaringan internal organisasi atau di jaringan pribadi virtual dengan garis pandang jaringan ke pengontrol domain Direktori Aktif lokal.

Menemukan fase

Kemungkinan alasan kegagalan:

  • Objek titik koneksi layanan salah dikonfigurasi atau tidak dapat dibaca dari pengontrol domain.
    • Objek titik koneksi layanan yang valid diperlukan di forest AD, tempat perangkat berada, yang menunjuk ke nama domain terverifikasi di ID Microsoft Entra.
    • Untuk informasi selengkapnya, lihat bagian "Mengonfigurasi titik koneksi layanan" tutorial : Mengonfigurasi gabungan hibrid Microsoft Entra untuk domain federasi.
  • Gagal menyambungkan dan mengambil metadata penemuan dari titik akhir penemuan.
    • Perangkat harus dapat mengakses https://enterpriseregistration.windows.net, dalam konteks sistem, untuk menemukan titik akhir pendaftaran dan otorisasi.
    • Jika lingkungan lokal memerlukan proksi keluar, admin TI harus memastikan bahwa akun komputer perangkat dapat menemukan dan secara senyap mengautentikasi ke proksi keluar.
  • Kegagalan untuk terhubung ke titik akhir realm pengguna dan melakukan penemuan realm (Windows 10 versi 1809 dan yang lebih baru saja).
    • Perangkat harus dapat mengakses https://login.microsoftonline.com, dalam konteks sistem, untuk melakukan penemuan realm bagi domain terverifikasi dan menentukan jenis domain (terkelola/gabungan).
    • Jika lingkungan lokal memerlukan proksi keluar, admin TI harus memastikan bahwa konteks sistem pada perangkat dapat menemukan dan secara senyap mengautentikasi ke proksi keluar.

Kode kesalahan umum:

Kode kesalahan Alasan Resolusi
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) Tidak dapat membaca objek titik koneksi layanan (SCP) dan mendapatkan informasi penyewa Microsoft Entra. Lihat bagian Mengonfigurasi titik koneksi layanan.
DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) Kegagalan penemuan generik. Gagal mendapatkan metadata penemuan dari layanan replikasi data (DRS). Untuk menyelidiki lebih lanjut, temukan suberror di bagian berikutnya.
DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) Operasi kehabisan waktu saat melakukan penemuan. Pastikan bahwa https://enterpriseregistration.windows.net dapat diakses dalam konteks sistem. Untuk informasi selengkapnya, lihat bagian Persyaratan konektivitas jaringan.
DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) Kegagalan penemuan realm generik. Gagal menentukan jenis domain (terkelola/gabungan) dari STS. Untuk menyelidiki lebih lanjut, temukan suberror di bagian berikutnya.

Kode sub-kesalahan umum:

Untuk menemukan kode subkesalahan untuk kode kesalahan penemuan, gunakan salah satu metode berikut.

Windows 10 versi 1803 atau yang terbaru

Cari "DRS Discovery Test" di bagian 'Data Diagnostik' dari output status gabungan. Bagian ini ditampilkan hanya jika perangkat bergabung dengan domain dan tidak dapat bergabung dengan hibrid Microsoft Entra.

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : UN-ELEVATED User
               Client Time : 2019-06-05 08:25:29.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

+----------------------------------------------------------------------+
Untuk versi Windows 10 sebelumnya

Gunakan log Pemantau Peristiwa untuk mencari fase dan kode kesalahan untuk kegagalan gabungan.

  1. Di Pemantau Peristiwa, buka log kejadian Pendaftaran Perangkat Pengguna. Tersimpan di bawah Log Aplikasi dan Layanan>Microsoft>Windows>Pendaftaran Perangkat Pengguna.
  2. Carilah ID peristiwa 201.

Cuplikan layar Pemantau Peristiwa, dengan ID peristiwa 201 dipilih, informasinya ditampilkan, dan kode kesalahan disorot.

Kesalahan jaringan:

Kode kesalahan Alasan Resolusi
WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) Tidak dapat melakukan sambungan dengan server. Pastikan konektivitas jaringan ke sumber daya Microsoft yang diperlukan. Untuk informasi selengkapnya, lihat Persyaratan konektivitas jaringan.
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Waktu jaringan umum habis. Pastikan konektivitas jaringan ke sumber daya Microsoft yang diperlukan. Untuk informasi selengkapnya, lihat Persyaratan konektivitas jaringan.
WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) Stack jaringan tak bisa mendekode respons dari server. Pastikan bahwa proksi jaringan tidak mengganggu dan memodifikasi respons server.

Kesalahan HTTP:

Kode kesalahan Alasan Resolusi
DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) Objek titik koneksi layanan dikonfigurasi dengan ID penyewa yang salah, atau tidak ada langganan aktif yang ditemukan di penyewa. Pastikan bahwa objek titik koneksi layanan dikonfigurasi dengan ID penyewa Microsoft Entra yang benar dan langganan aktif atau bahwa layanan ada di penyewa.
DSREG_SERVER_BUSY (0x801c0025/-2145648603) HTTP 503 dari server DRS. Saat ini server tidak tersedia. Upaya bergabung di masa depan kemungkinan akan berhasil setelah server kembali online.

Kesalahan lainnya:

Kode kesalahan Alasan Resolusi
E_INVALIDDATA (0x8007000d/-2147024883) Respons server JSON tidak dapat diurai, kemungkinan karena proksi mengembalikan HTTP 200 dengan halaman otorisasi HTML. Jika lingkungan lokal memerlukan proksi keluar, admin TI harus memastikan bahwa konteks sistem pada perangkat dapat menemukan dan secara senyap mengautentikasi ke proksi keluar.

Fase autentikasi

Konten ini hanya berlaku untuk akun domain gabungan.

Alasan kegagalan:

  • Tidak dapat mendapat token akses secara senyap untuk sumber daya DRS.
    • Perangkat Windows 10 dan Windows 11 memperoleh token autentikasi dari Layanan Gabungan menggunakan autentikasi Windows terintegrasi ke titik akhir WS-Trust aktif. Untuk informasi selengkapnya, lihat Konfigurasi Layanan Gabungan.

Kode kesalahan umum:

Gunakan log Pemantau Peristiwa untuk menemukan kode kesalahan, kode subkesalahan, kode kesalahan server, dan pesan kesalahan server.

  1. Di Pemantau Peristiwa, buka log kejadian Pendaftaran Perangkat Pengguna. Tersimpan di bawah Log Aplikasi dan Layanan>Microsoft>Windows>Pendaftaran Perangkat Pengguna.
  2. Carilah ID peristiwa 305.

Cuplikan layar Pemantau Peristiwa, dengan ID peristiwa 305 dipilih, informasinya ditampilkan, dan kode kesalahan ADAL dan status disorot.

Kesalahan konfigurasi:

Kode kesalahan Alasan Resolusi
ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) Protokol autentikasi Azure AD Authentication Library (ADAL) bukan WS-Trust. Penyedia identitas lokal harus mendukung WS-Trust.
ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) Layanan Federasi lokal tidak mengembalikan respons XML. Pastikan titik akhir Metadata Exchange (MEX) mengembalikan XML yang valid. Pastikan bahwa proksi tidak mengganggu dan mengembalikan respons nonxml.
ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) Tak bisa menemukan titik akhir untuk autentikasi nama pengguna/kata sandi. Periksa pengaturan penyedia identitas lokal. Pastikan bahwa titik akhir WS-Trust diaktifkan dan respons MEX berisi titik akhir yang benar ini.

Kesalahan jaringan:

Kode kesalahan Alasan Resolusi
ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) Waktu jaringan umum habis. Pastikan bahwa https://login.microsoftonline.com dapat diakses dalam konteks sistem. Pastikan bahwa penyedia identitas lokal dapat diakses dalam konteks sistem. Untuk informasi selengkapnya, lihat Persyaratan konektivitas jaringan.
ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) Koneksi dengan otorisasi titik akhir dibatalkan. Coba kembali bergabung setelah beberapa saat, atau coba bergabung dari lokasi jaringan stabil lainnya.
ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) Sertifikat Keamanan Lapisan Transportasi (TLS) (sebelumnya dikenal sebagai sertifikat Secure Sockets Layer [SSL]) yang dikirim oleh server tidak dapat divalidasi. Periksa penyimpangan waktu klien. Coba kembali bergabung setelah beberapa saat, atau coba bergabung dari lokasi jaringan stabil lainnya.
ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) Upaya untuk tersambung ke https://login.microsoftonline.com gagal. Periksa koneksi jaringan ke https://login.microsoftonline.com.

Kesalahan lainnya:

Kode kesalahan Alasan Resolusi
ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) Token SAML dari IdP lokal tidak diterima oleh ID Microsoft Entra. Periksa pengaturan Server Federasi. Cari kode kesalahan server di log autentikasi.
ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) Respons WS-Trust server melaporkan pengecualian kesalahan dan gagal mendapatkan pernyataan. Periksa pengaturan Server Federasi. Cari kode kesalahan server di log autentikasi.
ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) Menerima kesalahan saat mencoba mendapat token akses dari titik akhir token. Cari kesalahan yang mendasari di dalam log ADAL.
ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) Kegagalan ADAL umum. Cari kode suberror atau kode kesalahan server dari log autentikasi.

Fase bergabung

Alasan kegagalan:

Carilah jenis pendaftaran dan kode kesalahan dari tabel berikut, tergantung pada versi Windows 10 yang Anda gunakan.

Windows 10 versi 1803 atau yang terbaru

Carilah subbagian "Pendaftaran Sebelumnya" di bagian "Data Diagnostik" dari output status gabungan. Bagian ini ditampilkan hanya jika perangkat bergabung dengan domain dan tidak dapat bergabung dengan hibrid Microsoft Entra.

Bidang "Jenis Pendaftaran" menunjukkan jenis gabungan.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) is not found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Untuk versi Windows 10 sebelumnya

Gunakan log Pemantau Peristiwa untuk menemukan fase dan kode kesalahan untuk kegagalan gabungan.

  1. Di Pemantau Peristiwa, buka log kejadian Pendaftaran Perangkat Pengguna. Tersimpan di bawah Log Aplikasi dan Layanan>Microsoft>Windows>Pendaftaran Perangkat Pengguna.
  2. Carilah ID peristiwa 204.

Cuplikan layar Pemantau Peristiwa, dengan ID peristiwa 204 dipilih dan kode kesalahannya, status H T T P, dan pesan disorot.

Kesalahan HTTP yang dikembalikan dari server DRS:

Kode kesalahan Alasan Resolusi
DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) Menerima respons kesalahan dari DRS dengan ErrorCode: "DirectoryError". Lihat kode kesalahan server untuk kemungkinan alasan dan resolusi.
DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) Menerima respons kesalahan dari DRS dengan ErrorCode: "AuthenticationError" dan ErrorSubCode bukan "DeviceNotFound". Lihat kode kesalahan server untuk kemungkinan alasan dan resolusi.
DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) Menerima respons kesalahan dari DRS dengan ErrorCode: "DirectoryError". Lihat kode kesalahan server untuk kemungkinan alasan dan resolusi.

Kesalahan TPM:

Kode kesalahan Alasan Resolusi
NTE_BAD_KEYSET (0x80090016/-2146893802) Operasi Modul Platform Tepercaya (TPM) gagal atau tidak valid. Kegagalan kemungkinan hasil dari gambar sysprep yang buruk. Pastikan bahwa komputer tempat gambar sysprep dibuat tidak bergabung dengan Microsoft Entra, gabungan hibrid Microsoft Entra, atau Microsoft Entra terdaftar.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) Kesalahan TPM generik. Nonaktifkan TPM pada perangkat dengan kesalahan ini. Windows 10 versi 1809 dan yang lebih baru secara otomatis mendeteksi kegagalan TPM dan menyelesaikan gabungan hibrid Microsoft Entra tanpa menggunakan TPM.
TPM_E_NOTFIPS (0x80280036/-2144862154) TPM dalam mode FIPS saat ini tidak didukung. Nonaktifkan TPM pada perangkat dengan kesalahan ini. Windows 10 versi 1809 secara otomatis mendeteksi kegagalan TPM dan menyelesaikan gabungan hibrid Microsoft Entra tanpa menggunakan TPM.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) TMP terkunci Kesalahan sementara. Tunggu periode pendinginan. Upaya bergabung seharusnya berhasil setelah beberapa saat. Untuk informasi selengkapnya, lihat Dasar-dasar TPM.

Kesalahan jaringan:

Kode kesalahan Alasan Resolusi
WININET_E_TIMEOUT (0x80072ee2/-2147012894) Waktu jaringan umum habis mencoba mendaftarkan perangkat di DRS. Periksa konektivitas jaringan ke https://enterpriseregistration.windows.net.
WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) Nama atau alamat server tidak dapat diselesaikan. Periksa konektivitas jaringan ke https://enterpriseregistration.windows.net.
WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) Koneksi dengan server dihentikan secara tidak normal. Coba kembali bergabung setelah beberapa saat, atau coba bergabung dari lokasi jaringan stabil lainnya.

Kesalahan lainnya:

Kode kesalahan Alasan Resolusi
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) ID peristiwa 220 ada di log peristiwa Pendaftaran Perangkat Pengguna. Windows tidak bisa mengakses obyek komputer di Direktori Aktif. Kode kesalahan Windows mungkin disertakan dalam kejadian tersebut. Kode kesalahan ERROR_NO_SUCH_LOGON_SESSION (1312) dan ERROR_NO_SUCH_USER (1317) terkait dengan masalah replikasi dalam Active Directory lokal. Memecahkan masalah replikasi di Direktori Aktif. Masalah replikasi ini mungkin bersifat sementara, dan mungkin hilang setelah beberapa saat.

Kesalahan server gabungan:

Kode kesalahan server Pesan kesalahan server Kemungkinan alasan Resolusi
DirectoryError Permintaan Anda dibatasi sementara. Silakan coba setelah 300 detik. Ini adalah kesalahan yang diperkirakan, mungkin karena beberapa permintaan pendaftaran dibuat secara berurutan. Coba lagi bergabung setelah periode pendinginan

Kesalahan server gabungan sinkronisasi:

Kode kesalahan server Pesan kesalahan server Kemungkinan alasan Resolusi
DirectoryError AADSTS90002: Penyewa UUID tidak ditemukan. Kesalahan ini dapat terjadi jika tidak ada langganan aktif untuk penyewa. Tanyakan kepada administrator langganan Anda. ID penyewa di objek titik koneksi layanan tidak benar. Pastikan bahwa objek titik koneksi layanan dikonfigurasi dengan ID penyewa Microsoft Entra yang benar dan langganan aktif atau bahwa layanan ada di penyewa.
DirectoryError Obyek perangkat sesuai dengan ID yang diberikan tak ditemukan. Kesalahan ini diperkirakan untuk sinkronisasi gabung. Objek perangkat belum disinkronkan dari AD ke ID Microsoft Entra Tunggu hingga Sinkronisasi microsoft Entra Koneksi selesai, dan upaya gabungan berikutnya setelah penyelesaian sinkronisasi akan mengatasi masalah tersebut.
AuthenticationError Verifikasi SID komputer target Sertifikat pada perangkat Microsoft Entra tidak cocok dengan sertifikat yang digunakan untuk masuk ke blob selama gabungan sinkronisasi. Kesalahan ini biasanya berarti sinkronisasi belum selesai. Tunggu hingga Sinkronisasi microsoft Entra Koneksi selesai, dan upaya gabungan berikutnya setelah penyelesaian sinkronisasi akan mengatasi masalah tersebut.

Langkah 5: Kumpulkan log dan hubungi Microsoft Support

  1. Unduh file Auth.zip.

  2. Ekstrak file ke folder, seperti c:\temp lalu buka folder.

  3. Dari sesi Azure PowerShell yang ditinggikan, jalankan .\start-auth.ps1 -v -accepteula.

  4. Pilih Beralih Akun untuk beralih ke sesi lain dengan pengguna masalah.

  5. Rekonstruksi masalah tersebut.

  6. Pilih Beralih Akun untuk beralih kembali ke sesi admin yang menjalankan pelacakan.

  7. Dari sesi PowerShell yang ditinggikan, jalankan .\stop-auth.ps1.

  8. Zip (kompres) dan kirim folder Authlogs dari folder tempat skrip dieksekusi.

Memecahkan masalah autentikasi setelah bergabung

Langkah 1: Ambil status PRT dengan menggunakan dsregcmd /status

  1. Buka jendela Prompt Perintah.

    Catatan

    Untuk mendapatkan status Token Refresh Utama (PRT), buka jendela Wantian Perintah dalam konteks pengguna yang masuk.

  2. Jalankan dsregcmd /status.

    Bagian "Status SSO" memberikan status PRT saat ini.

    Jika bidang AzureAdPrt diatur ke TIDAK, ada kesalahan saat memperoleh status PRT dari ID Microsoft Entra.

  3. Jika AzureAdPrtUpdateTime lebih dari empat jam, kemungkinan ada masalah saat me-refresh PRT. Kunci dan buka kunci perangkat untuk memaksa refresh PRT, lalu periksa untuk melihat apakah waktu diperbarui.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : YES
      AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
      AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
   EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
    EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs

+----------------------------------------------------------------------+

Langkah 2: Temukan kode galat

Dari output dsregcmd

Catatan

Output tersedia dari pembaruan Windows 10 Mei 2021 (versi 21H1).

Bidang "Status Upaya" di bawah bidang "AzureAdPrt" menyediakan status upaya PRT sebelumnya, bersama dengan informasi debug lain yang diperlukan. Untuk versi Windows sebelumnya, ekstrak informasi dari analitik Microsoft Entra dan log operasional.

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : 63648321-fc5c-46eb-996e-ed1f3ba7740f
              Endpoint URI : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.

Dari analitik Microsoft Entra dan log operasional

Gunakan Pemantau Peristiwa untuk mencari entri log yang dicatat oleh plug-in Microsoft Entra CloudAP selama akuisisi PRT.

  1. Di Pemantau Peristiwa, buka log peristiwa Microsoft Entra Operational. Log ini disimpan di Applications and Services Log>Microsoft>Windows>AAD.

Catatan

Peristiwa kesalahan log plug-in CloudAP di log operasional, dan mencatat peristiwa info di log analitik. Analisis dan peristiwa log operasional keduanya diperlukan untuk memecahkan masalah.

  1. Peristiwa 1006 dalam log Analitik menunjukkan awal alur akuisisi PRT dan peristiwa 1007 dalam log analitik menunjukkan akhir dari alur akuisisi PRT. Semua peristiwa dalam log Microsoft Entra (analitik dan operasional) yang dicatat antara peristiwa 1006 dan 1007 dicatat sebagai bagian dari alur akuisisi PRT.

  2. Peristiwa 1007 mencatat kode galat akhir.

Cuplikan layar Pemantau Peristiwa, dengan ID peristiwa 1006 dan 1007 dipilih dan kode kesalahan akhir disorot.

Langkah 3: Memecahkan masalah lebih lanjut, berdasarkan kode kesalahan yang ditemukan

Kode kesalahan Alasan Resolusi
STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d)
STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a)
  • Perangkat tidak dapat tersambung ke layanan autentikasi Microsoft Entra.
  • Menerima respons kesalahan (HTTP 400) dari layanan autentikasi Microsoft Entra atau titik akhir WS-Trust.
    Catatan: WS-Trust diperlukan untuk autentikasi gabungan.
    		•
  • Jika lingkungan lokal memerlukan proksi keluar, admin TI harus memastikan bahwa akun komputer perangkat dapat menemukan dan secara senyap mengautentikasi ke proksi keluar.
  • Peristiwa 1081 dan 1088 (log operasional Microsoft Entra) akan berisi kode kesalahan server untuk kesalahan yang berasal dari layanan autentikasi Microsoft Entra dan deskripsi kesalahan untuk kesalahan yang berasal dari titik akhir WS-Trust. Kode galat server umum dan resolusinya tercantum di bagian berikutnya. Instans pertama peristiwa 1022 (log analitik Microsoft Entra), peristiwa sebelumnya 1081 atau 1088, berisi URL yang sedang diakses.
    		•
    STATUS_REQUEST_NOT_ACCEPTED (-1073741616/ 0xc00000d0) Menerima respons kesalahan (HTTP 400) dari layanan autentikasi Microsoft Entra atau titik akhir WS-Trust.
    Catatan: WS-Trust diperlukan untuk autentikasi gabungan.    		 Peristiwa 1081 dan 1088 (log operasional Microsoft Entra) akan berisi kode kesalahan server dan deskripsi kesalahan untuk kesalahan yang berasal dari layanan autentikasi Microsoft Entra dan titik akhir WS-Trust. Kode galat server umum dan resolusinya tercantum di bagian berikutnya. Instans pertama peristiwa 1022 (log analitik Microsoft Entra), peristiwa sebelumnya 1081 atau 1088, berisi URL yang sedang diakses.
    STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c)
    STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be)
    STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4)
  • Menerima respons kesalahan (HTTP > 400) dari layanan autentikasi Microsoft Entra atau titik akhir WS-Trust.
    Catatan: WS-Trust diperlukan untuk autentikasi gabungan.
  • Masalah konektivitas jaringan ke titik akhir yang diperlukan.
    		•
  • Untuk kesalahan server, peristiwa 1081 dan 1088 (log operasional Microsoft Entra) akan berisi kode kesalahan dari layanan autentikasi Microsoft Entra dan deskripsi kesalahan dari titik akhir WS-Trust. Kode galat server umum dan resolusinya tercantum di bagian berikutnya.
  • Untuk masalah konektivitas, peristiwa 1022 (log analitik Microsoft Entra) berisi URL yang sedang diakses, dan peristiwa 1084 (log operasional Microsoft Entra) berisi kode suberror dari tumpukan jaringan.
    		•
    STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) Penemuan realm pengguna gagal karena layanan autentikasi Microsoft Entra tidak dapat menemukan domain pengguna.
  • Domain UPN pengguna harus ditambahkan sebagai domain kustom di ID Microsoft Entra. Peristiwa 1144 (log analitik Microsoft Entra) akan berisi UPN yang disediakan.
  • Jika nama domain lokal tidak dapat dialihkan (jdoe@contoso.local), konfigurasikan ID Masuk Alternatif (AltID). Referensi: PrasyaratMengonfigurasikan ID Masuk Alternatif.
    		•
    AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) UPN pengguna tidak dalam format yang diharapkan.
    Catatan:
  • Untuk perangkat yang bergabung dengan Microsoft Entra, UPN adalah teks yang dimasukkan oleh pengguna di LoginUI.
  • Untuk perangkat gabungan hibrid Microsoft Entra, UPN dikembalikan dari pengendali domain selama proses masuk.
    		•
  • UPN pengguna harus menggunakan nama login bergaya internet, berdasarkan standar internet RFC 822. Peristiwa 1144 (log analitik Microsoft Entra) berisi UPN yang disediakan.
  • Untuk perangkat gabungan hibrid, pastikan bahwa pengontrol domain dikonfigurasi untuk mengembalikan UPN dalam format yang benar. Di pengendali domain, whoami /upn akan menampilkan UPN yang dikonfigurasi.
  • Jika nama domain lokal tidak dapat dialihkan (jdoe@contoso.local), konfigurasikan ID Masuk Alternatif (AltID). Referensi: PrasyaratMengonfigurasikan ID Masuk Alternatif.
    		•
    AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) SID pengguna hilang dalam token ID yang dikembalikan oleh layanan autentikasi Microsoft Entra. Pastikan bahwa proksi jaringan tidak mengganggu dan memodifikasi respons server.
    AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) Menerima kesalahan dari titik akhir WS-Trust.
    Catatan: WS-Trust diperlukan untuk autentikasi gabungan.
  • Pastikan bahwa proksi jaringan tidak mengganggu dan memodifikasi respons WS-Trust.
  • Peristiwa 1088 (log operasional Microsoft Entra) akan berisi kode kesalahan server dan deskripsi kesalahan dari titik akhir WS-Trust. Kode galat server umum dan resolusinya tercantum di bagian berikutnya.
    		•
    AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) Titik akhir MEX salah dikonfigurasi. Respons MEX tidak berisi URL kata sandi apa pun.
  • Pastikan bahwa proksi jaringan tidak mengganggu dan memodifikasi respons server.
  • Perbaiki konfigurasi MEX untuk mengembalikan URL yang valid sebagai respons.
    		•
    AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) Titik akhir MEX salah dikonfigurasi. Respons MEX tidak berisi URL titik akhir sertifikat apa pun.
  • Pastikan bahwa proksi jaringan tidak mengganggu dan memodifikasi respons server.
  • Perbaiki konfigurasi MEX pada penyedia identitas untuk mengembalikan URL sertifikat yang valid sebagai tanggapan.
    		•
    WC_E_DTDPROHIBITED (-1072894385/ 0xc00cee4f) Respons XML, dari titik akhir WS-Trust, termasuk Definisi Jenis Dokumen (DTD). DTD tidak diharapkan dalam respons XML, dan penguraian respons gagal jika DTD disertakan.
    Catatan: WS-Trust diperlukan untuk autentikasi gabungan.
  • Perbaiki konfigurasi di IdP untuk menghindari pengiriman DTD dalam respons XML.
  • Peristiwa 1022 (log analitik Microsoft Entra) berisi URL yang sedang diakses yang mengembalikan respons XML dengan DTD.
    		•

    Kode kesalahan server umum

    Kode kesalahan Alasan Resolusi
    AADSTS50155: Autentikasi perangkat gagal
  • ID Microsoft Entra tidak dapat mengautentikasi perangkat untuk mengeluarkan PRT.
  • Konfirmasikan bahwa perangkat tidak dihapus atau dinonaktifkan. Untuk informasi selengkapnya tentang masalah ini, lihat Tanya Jawab Umum manajemen perangkat Microsoft Entra.
    		•  Ikuti instruksi untuk masalah ini di FAQ manajemen perangkat Microsoft Entra untuk mendaftarkan ulang perangkat berdasarkan jenis gabungan perangkat.
    AADSTS50034: Akun pengguna Account tidak ada di tenant id direktori ID Microsoft Entra tidak dapat menemukan akun pengguna di penyewa.
  • Pastikan pengguna mengetik UPN yang benar.
  • Pastikan bahwa akun pengguna lokal sedang disinkronkan dengan ID Microsoft Entra.
  • Peristiwa 1144 (log analitik Microsoft Entra) berisi UPN yang disediakan.
    		•
    AADSTS50126: Kesalahan memvalidasi infomasuk dikarenakan nama pengguna atau kata sandi yang tidak valid.
  • Nama pengguna dan kata sandi yang dimasukkan oleh pengguna di LoginUI Windows tidak benar.
  • Jika penyewa mengaktifkan sinkronisasi hash kata sandi, perangkat bergabung dengan hibrid, dan pengguna baru saja mengubah kata sandi, kemungkinan kata sandi baru belum disinkronkan dengan ID Microsoft Entra.
    		•  Untuk memperoleh PRT baru dengan kredensial baru, tunggu hingga sinkronisasi kata sandi Microsoft Entra selesai.

    Kode kesalahan jaringan umum

    Kode kesalahan Alasan Resolusi
    ERROR_WINHTTP_TIMEOUT (12002)
    ERROR_WINHTTP_NAME_NOT_RESOLVED (12007)
    ERROR_WINHTTP_CANNOT_CONNECT (12029)
    ERROR_WINHTTP_CONNECTION_ERROR (12030)    		 Masalah umum terkait jaringan umum.
  • Peristiwa 1022 (log analitik Microsoft Entra) dan 1084 (log operasional Microsoft Entra) berisi URL yang sedang diakses.
  • Jika lingkungan lokal memerlukan proksi keluar, admin TI harus memastikan bahwa akun komputer perangkat dapat menemukan dan secara senyap mengautentikasi ke proksi keluar.

    Dapatkan lebih banyak kode kesalahan jaringan.
    		•

    Langkah 4: Kumpulkan log

    Log reguler

    1. Buka https://aka.ms/icesdptool, yang akan otomatis mengunduh file .cab yang berisi alat Diagnostik.
    2. Jalankan alat dan lakukan repro skenario Anda.
    3. Untuk jejak Fiddler, terima permintaan sertifikat yang muncul.
    4. Wizard meminta kata sandi untuk melindungi file pelacakan Anda. Berikan kata sandi.
    5. Akhirnya, buka folder tempat semua log yang dikumpulkan disimpan, seperti %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
    6. Hubungi Dukungan dengan isi file .cab terbaru.

    Jejak jaringan

    Catatan

    Saat Anda mengumpulkan jejak jaringan, penting untuk tidak menggunakan Fiddler selama repro.

    1. Jalankan netsh trace start scenario=internetClient_dbg capture=yes persistent=yes.
    2. Kunci dan buka kunci perangkat. Untuk perangkat gabungan hibrid, tunggu satu menit atau lebih untuk memungkinkan tugas akuisisi PRT selesai.
    3. Jalankan netsh trace stop.
    4. Bagikan file nettrace.cab dengan Dukungan.

    Masalah umum

    Jika Anda tersambung ke hotspot seluler atau jaringan Wi-Fi eksternal dan Anda masuk ke Pengaturan> Akses>Akun Kantor atau Sekolah, perangkat gabungan hibrid Microsoft Entra mungkin menampilkan dua akun berbeda, satu untuk ID Microsoft Entra dan satu untuk AD lokal. Masalah UI tidak mempengaruhi fungsionalitas.

    Konten terkait