ハイブリッド Azure Active Directory 参加済みデバイスのトラブルシューティングTroubleshooting hybrid Azure Active Directory joined devices

この記事の内容は、Windows 10 または Windows Server 2016 を実行しているデバイスに適用されます。The content of this article is applicable to devices running Windows 10 or Windows Server 2016.

その他の Windows クライアントについては、「ハイブリッド Azure Active Directory 参加済みダウンレベル デバイスのトラブルシューティング」の記事を参照してください。For other Windows clients, see the article Troubleshooting hybrid Azure Active Directory joined down-level devices.

この記事は、ハイブリッド Azure Active Directory 参加済みデバイスの構成が済んでいて、次のシナリオに対応していることが前提となります。This article assumes that you have configured hybrid Azure Active Directory joined devices to support the following scenarios:

このドキュメントでは、潜在的な問題を解決するためのトラブルシューティング ガイダンスを示します。This document provides troubleshooting guidance to resolve potential issues.

Windows 10 および Windows Server 2016 でハイブリッド Azure Active Directory 参加がサポートされるのは、Windows 10 November 2015 Update 以降となります。For Windows 10 and Windows Server 2016, hybrid Azure Active Directory join supports the Windows 10 November 2015 Update and above.

参加エラーのトラブルシューティングTroubleshoot join failures

手順 1:参加状態を取得するStep 1: Retrieve the join status

参加状態を取得するには:To retrieve the join status:

  1. 管理者としてコマンド プロンプトを開きます。Open a command prompt as an administrator
  2. dsregcmd /status」と入力します。Type dsregcmd /status
+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

    AzureAdJoined: YES
 EnterpriseJoined: NO
         DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
       Thumbprint: B753A6679CE720451921302CA873794D94C6204A
   KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
      KeyProvider: Microsoft Platform Crypto Provider
     TpmProtected: YES
     KeySignTest: : MUST Run elevated to test.
              Idp: login.windows.net
         TenantId: 72b988bf-xxxx-xxxx-xxxx-2d7cd011xxxx
       TenantName: Contoso
      AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
   AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
           MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
        MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
  dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
      SettingsUrl: eyJVcmlzIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyJdfQ==
   JoinSrvVersion: 1.0
       JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
        JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
    KeySrvVersion: 1.0
        KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
         KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
     DomainJoined: YES
       DomainName: CONTOSO

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

             NgcSet: YES
           NgcKeyId: {C7A9AEDC-780E-4FDA-B200-1AE15561A46B}
    WorkplaceJoined: NO
      WamDefaultSet: YES
WamDefaultAuthority: organizations
       WamDefaultId: https://login.microsoft.com
     WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
         AzureAdPrt: YES

手順 2:参加状態を評価するStep 2: Evaluate the join status

以下のフィールドを確認し、必要な値が設定されていることを確認します。Review the following fields and make sure that they have the expected values:

DomainJoined :はいDomainJoined : YES

このフィールドは、デバイスがオンプレミス Active Directory に参加しているかどうかを示します。This field indicates whether the device is joined to an on-premises Active Directory or not. この値が NO である場合、デバイスはハイブリッド Azure AD 参加を実行できません。If the value is NO, the device cannot perform a hybrid Azure AD join.

WorkplaceJoined :NOWorkplaceJoined : NO

このフィールドは、デバイスが ("ワークプレースに参加済み" としてマークされた) 個人所有のデバイスとして Azure AD に登録されているかどうかを示します。This field indicates whether the device is registered with Azure AD as a personal device (marked as Workplace Joined). ドメインに参加していて、なおかつハイブリッド Azure AD 参加済みのコンピューターでは、この値は NO になります。This value should be NO for a domain-joined computer that is also hybrid Azure AD joined. この値が YES である場合、ハイブリッド Azure AD 参加が完了する前に、職場または学校アカウントが追加されています。If the value is YES, a work or school account was added prior to the completion of the hybrid Azure AD join. このケースで Anniversary Update バージョンの Windows 10 (1607) を使用すると、そのアカウントは無視されます。In this case, the account is ignored when using the Anniversary Update version of Windows 10 (1607).

AzureAdJoined :はいAzureAdJoined : YES

このフィールドは、デバイスが Azure AD に参加しているかどうかを示します。This field indicates whether the device is joined with Azure AD. この値が NO である場合、Azure AD への参加は済んでいません。If the value is NO, the join to Azure AD has not completed yet.

詳細なトラブルシューティングを行うには、次の手順に進みます。Proceed to next steps for further troubleshooting.

手順 3:参加がエラーとなったフェーズとエラー コードを確認するStep 3: Find the phase in which join failed and the errorcode

Windows 10 1803 以降Windows 10 1803 and above

参加状態の出力の [Diagnostic Data] セクションで [Previous Registration] サブセクションを探します。Look for 'Previous Registration' subsection in the 'Diagnostic Data' section of the join status output. このセクションは、デバイスがドメイン参加済みで、ハイブリッド Azure AD 参加ができない場合にのみ表示されます。This section is displayed only if the device is domain joined and is unable to hybrid Azure AD join. [Error Phase] フィールドは参加エラーのフェーズを表し、[Client ErrorCode] は参加操作のエラー コードを表します。The 'Error Phase' field denotes the phase of the join failure while 'Client ErrorCode' denotes the error code of the Join operation.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) is not found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Windows 10 の古いバージョンOlder Windows 10 versions

イベント ビューアーのログで、参加エラーのフェーズとエラー コードを確認します。Use Event Viewer logs to locate the phase and error code for the join failures.

  1. イベント ビューアーで [User Device Registration](ユーザー デバイス登録) イベントのログを開きます。Open the User Device Registration event logs in event viewer. [Applications and Services Log](アプリケーションとサービスのログ) > [Microsoft] > [Windows] > [User Device Registration](ユーザー デバイス登録) の下にあります。Located under Applications and Services Log > Microsoft > Windows > User Device Registration
  2. イベント ID が 304、305、307 のイベントを探します。Look for events with the following eventIDs 304, 305, 307.

エラー ログ イベント

エラー ログ イベント

手順 4:以下の一覧から考えられる原因と解決策を確認するStep 4: Check for possible causes and resolutions from the lists below

事前チェック フェーズPre-check phase

考えられるエラーの原因:Possible reasons for failure:

  • デバイスがドメイン コントローラーを認識していない。Device has no line of sight to the Domain controller.
    • デバイスは、組織の内部ネットワークに配置するか、オンプレミスの Active Directory (AD) ドメイン コントローラーをネットワークで認識する VPN に配置する必要があります。The device must be on the organization’s internal network or on VPN with network line of sight to an on-premises Active Directory (AD) domain controller.

検出フェーズDiscover phase

考えられるエラーの原因:Possible reasons for failure:

  • サービス接続ポイント (SCP) オブジェクトが正しく構成されていない、または DC から SCP オブジェクトを読み取ることができません。Service Connection Point (SCP) object misconfigured/unable to read SCP object from DC.
    • デバイスが属している AD フォレストに、Azure AD 内の検証済みドメイン名を指す有効な SCP オブジェクトが必要です。A valid SCP object is required in the AD forest, to which the device belongs, that points to a verified domain name in Azure AD.
    • 詳細については、サービス接続ポイントの構成に関するセクションを参照してください。Details can be found in the section Configure a Service Connection Point.
  • 検出エンドポイントから検出メタデータに接続してフェッチできません。Failure to connect and fetch the discovery metadata from the discovery endpoint.
    • 登録と承認のエンドポイントを検出するには、デバイスがシステム コンテキストで https://enterpriseregistration.windows.net にアクセスできる必要があります。The device should be able to access https://enterpriseregistration.windows.net, in the SYSTEM context, to discover the registration and authorization endpoints.
    • オンプレミス環境に送信プロキシが必要である場合は、デバイスのコンピューター アカウントが送信プロキシに対する検出とサイレント認証を実行できることを IT 管理者が確認する必要があります。If the on-premises environment requires an outbound proxy, the IT admin must ensure that the computer account of the device is able to discover and silently authenticate to the outbound proxy.
  • ユーザー領域エンドポイントに接続して領域の検出を実行できません。Failure to connect to user realm endpoint and perform realm discovery. (Windows 10 バージョン 1809 以降のみ)(Windows 10 version 1809 and later only)
    • 検証済みドメインの領域検出を実行してドメインの種類 (管理対象/フェデレーション) を判別するには、デバイスがシステム コンテキストで https://login.microsoftonline.com にアクセスできる必要があります。The device should be able to access https://login.microsoftonline.com, in the SYSTEM context, to perform realm discovery for the verified domain and determine the domain type (managed/federated).
    • オンプレミス環境に送信プロキシが必要である場合は、デバイスのシステム コンテキストで送信プロキシに対する検出とサイレント認証を実行できることを IT 管理者が確認する必要があります。If the on-premises environment requires an outbound proxy, the IT admin must ensure that the SYSTEM context on the device is able to discover and silently authenticate to the outbound proxy.

一般的なエラー コード:Common error codes:

  • DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611)DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611)
  • DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607)DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607)
    • 理由:一般的な検出エラー。Reason: Generic Discovery failure. DRS から検出メタデータを取得できませんでした。Failed to get the discovery metadata from DRS.
    • 解決策:この後のサブエラーを確認して詳細を調べます。Resolution: Find the suberror below to investigate further.
  • DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609)DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609)
    • 理由:検出の実行中に操作がタイムアウトになりました。Reason: Operation timed out while performing Discovery.
    • 解決策:システム コンテキストで https://enterpriseregistration.windows.net にアクセスできることを確認します。Resolution: Ensure that https://enterpriseregistration.windows.net is accessible in the SYSTEM context. 詳細については、ネットワーク接続の要件に関するセクションを参照してください。For more information, see the section Network connectivity requirements.
  • DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c0021/-2145648611)DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c0021/-2145648611)
    • 理由:一般的な領域検出エラー。Reason: Generic Realm Discovery failure. STS からドメインの種類 (管理対象/フェデレーション) を判別できませんでした。Failed to determine domain type (managed/federated) from STS.
    • 解決策:この後のサブエラーを確認して詳細を調べます。Resolution: Find the suberror below to investigate further.

一般的なサブエラー コード:Common suberror codes:

検出エラー コードのサブエラー コードを確認するには、次のいずれかの方法を使用します。To find the suberror code for the discovery error code, use one of the following methods.

Windows 10 1803 以降Windows 10 1803 and above

参加状態の出力の [Diagnostic Data] セクションで [DRS Discovery Test] を探します。Look for 'DRS Discovery Test' in the 'Diagnostic Data' section of the join status output. このセクションは、デバイスがドメイン参加済みで、ハイブリッド Azure AD 参加ができない場合にのみ表示されます。This section is displayed only if the device is domain joined and is unable to hybrid Azure AD join.

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : UN-ELEVATED User
               Client Time : 2019-06-05 08:25:29.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

+----------------------------------------------------------------------+
Windows 10 の古いバージョンOlder Windows 10 versions

イベント ビューアーのログで、参加エラーのフェーズとエラー コードを確認します。Use Event Viewer logs to locate the phase and errorcode for the join failures.

  1. イベント ビューアーで [User Device Registration](ユーザー デバイス登録) イベントのログを開きます。Open the User Device Registration event logs in event viewer. [Applications and Services Log](アプリケーションとサービスのログ) > [Microsoft] > [Windows] > [User Device Registration](ユーザー デバイス登録) の下にあります。Located under Applications and Services Log > Microsoft > Windows > User Device Registration
  2. イベント ID が 201 のイベントを探します。Look for events with the following eventIDs 201

エラー ログ イベント

ネットワーク エラーNetwork errors
  • WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867)WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867)
    • 理由:サーバーとの接続を確立できませんでした。Reason: Connection with the server could not be established
    • 解決策:必要な Microsoft リソースとのネットワーク接続を確認します。Resolution: Ensure network connectivity to the required Microsoft resources. 詳細については、ネットワーク接続の要件に関するページを参照してください。For more information, see Network connectivity requirements.
  • WININET_E_TIMEOUT (0x80072ee2/-2147012894)WININET_E_TIMEOUT (0x80072ee2/-2147012894)
    • 理由:一般的なネットワーク タイムアウト。Reason: General network timeout.
    • 解決策:必要な Microsoft リソースとのネットワーク接続を確認します。Resolution: Ensure network connectivity to the required Microsoft resources. 詳細については、ネットワーク接続の要件に関するページを参照してください。For more information, see Network connectivity requirements.
  • WININET_E_DECODING_FAILED (0x80072f8f/-2147012721)WININET_E_DECODING_FAILED (0x80072f8f/-2147012721)
    • 理由:ネットワーク スタックがサーバーからの応答をデコードできませんでした。Reason: Network stack was unable to decode the response from the server.
    • 解決策:ネットワーク プロキシがサーバーの応答を妨害したり変更したりしていないことを確認します。Resolution: Ensure that network proxy is not interfering and modifying the server response.
HTTP エラーHTTP errors
  • DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582)DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582)
    • 理由:SCP オブジェクトが間違ったテナント ID で構成されています。Reason: SCP object configured with wrong tenant ID. あるいは、テナントにアクティブなサブスクリプションが見つかりませんでした。Or no active subscriptions were found in the tenant.
    • 解決策:SCP オブジェクトが正しい Azure AD テナント ID で構成されていることと、アクティブなサブスクリプションがテナントに存在することを確認します。Resolution: Ensure SCP object is configured with the correct Azure AD tenant ID and active subscriptions or present in the tenant.
  • DSREG_SERVER_BUSY (0x801c0025/-2145648603)DSREG_SERVER_BUSY (0x801c0025/-2145648603)
    • 理由:DRS サーバーからの HTTP 503。Reason: HTTP 503 from DRS server.
    • 解決策:サーバーを現在使用できません。Resolution: Server is currently unavailable. サーバーがオンラインに戻れば、今後の参加試行が成功する可能性があります。future join attempts will likely succeed once server is back online.
その他のエラーOther errors
  • E_INVALIDDATA (0x8007000d/-2147024883)E_INVALIDDATA (0x8007000d/-2147024883)
    • 理由:サーバー応答 JSON を解析できませんでした。Reason: Server response JSON couldn't be parsed. HTML 認証ページでプロキシが HTTP 200 を返したことが原因と考えられます。Likely due to proxy returning HTTP 200 with an HTML auth page.
    • 解決策:オンプレミス環境に送信プロキシが必要である場合は、デバイスのシステム コンテキストで送信プロキシに対する検出とサイレント認証を実行できることを IT 管理者が確認する必要があります。Resolution: If the on-premises environment requires an outbound proxy, the IT admin must ensure that the SYSTEM context on the device is able to discover and silently authenticate to the outbound proxy.

認証フェーズAuthentication phase

フェデレーション ドメイン アカウントにのみ適用されます。Applicable only for federated domain accounts.

エラーの原因:Reasons for failure:

  • DRS リソースのアクセス トークンをサイレントに取得できません。Unable to get an Access token silently for DRS resource.
    • Windows 10 デバイスは、アクティブな WS-Trust エンドポイントに対する統合 Windows 認証を使用して、フェデレーション サービスから認証トークンを取得します。Windows 10 devices acquire auth token from the federation service using Integrated Windows Authentication to an active WS-Trust endpoint. 詳細:フェデレーション サービスの構成Details: Federation Service Configuration

一般的なエラー コード:Common error codes:

イベント ビューアーのログで、エラー コード、サブエラー コード、サーバー エラー コード、およびサーバー エラー メッセージを確認します。Use Event Viewer logs to locate the error code, suberror code, server error code, and server error message.

  1. イベント ビューアーで [User Device Registration](ユーザー デバイス登録) イベントのログを開きます。Open the User Device Registration event logs in event viewer. [Applications and Services Log](アプリケーションとサービスのログ) > [Microsoft] > [Windows] > [User Device Registration](ユーザー デバイス登録) の下にあります。Located under Applications and Services Log > Microsoft > Windows > User Device Registration
  2. イベント ID が 305 のイベントを探します。Look for events with the following eventID 305

エラー ログ イベント

構成エラーConfiguration errors
  • ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057)ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057)
    • 理由:認証プロトコルが WS-Trust ではありません。Reason: Authentication protocol is not WS-Trust.
    • 解決策:オンプレミスの ID プロバイダーが WS-Trust をサポートしている必要があります。Resolution: The on-premises identity provider must support WS-Trust
  • ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036)ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036)
    • 理由:オンプレミスのフェデレーション サービスから XML 応答が返されませんでした。Reason: On-premises federation service did not return an XML response.
    • 解決策:MEX エンドポイントから有効な XML が返されることを確認します。Resolution: Ensure MEX endpoint is returning a valid XML. プロキシが妨害を行ったり XML 以外の応答を返したりしていないことを確認します。Ensure proxy is not interfering and returning non-xml responses.
  • ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045)ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045)
    • 理由:ユーザー名/パスワード認証のエンドポイントを検出できませんでした。Reason: Could not discover endpoint for username/password authentication.
    • 解決策:オンプレミスの ID プロバイダーの設定を確認します。Resolution: Check the on-premises identity provider settings. WS-Trust エンドポイントが有効になっていることを確認し、MEX 応答にこれらの正しいエンドポイントが含まれていることを確認します。Ensure that the WS-Trust endpoints are enabled and ensure the MEX response contains these correct endpoints.
ネットワーク エラーNetwork errors
  • ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614)ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614)
    • 理由:一般的なネットワーク タイムアウト。Reason: General network timeout.
    • 解決策:システム コンテキストで https://login.microsoftonline.com にアクセスできることを確認します。Resolution: Ensure that https://login.microsoftonline.com is accessible in the SYSTEM context. システム コンテキストでオンプレミスの ID プロバイダーにアクセスできることを確認します。Ensure the on-premises identity provider is accessible in the SYSTEM context. 詳細については、ネットワーク接続の要件に関するページを参照してください。For more information, see Network connectivity requirements.
  • ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586)ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586)
    • 理由:認証エンドポイントとの接続が中止されました。Reason: Connection with the auth endpoint was aborted.
    • 解決策:しばらくしてからやり直すか、または別の安定したネットワークの場所から参加を試みます。Resolution: Retry after sometime or try joining from an alternate stable network location.
  • ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441)ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441)
    • 理由:サーバーから送信された Secure Sockets Layer (SSL) 証明書を検証できませんでした。Reason: The Secure Sockets Layer (SSL) certificate sent by the server could not be validated.
    • 解決策:クライアント時間のずれを確認します。Resolution: Check the client time skew. しばらくしてからやり直すか、または別の安定したネットワークの場所から参加を試みます。Retry after sometime or try joining from an alternate stable network location.
  • ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587)ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587)
    • 理由:https://login.microsoftonline.com への接続に失敗しました。Reason: The attempt to connect to https://login.microsoftonline.com failed.
    • 解決策:https://login.microsoftonline.com とのネットワーク接続を確認します。Resolution: Check network connection to https://login.microsoftonline.com.
その他のエラーOther errors
  • ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829)ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829)
    • 理由:オンプレミスの ID プロバイダーからの SAML トークンが Azure AD で受け付けられませんでした。Reason: SAML token from the on-premises identity provider was not accepted by Azure AD.
    • 解決策:フェデレーション サーバーの設定を確認します。Resolution: Check the federation server settings. 認証ログでサーバー エラー コードを探します。Look for the server error code in the authentication logs.
  • ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060)ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060)
    • 理由:サーバーの WS-Trust 応答でエラー例外が報告され、アサーションの取得に失敗しました。Reason: Server WS-Trust response reported fault exception and it failed to get assertion
    • 解決策:フェデレーション サーバーの設定を確認します。Resolution: Check the federation server settings. 認証ログでサーバー エラー コードを探します。Look for the server error code in the authentication logs.
  • ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074)ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074)
    • 理由:トークン エンドポイントからアクセス トークンを取得するときにエラーが発生しました。Reason: Received an error when trying to get access token from the token endpoint.
    • 解決策:ADAL ログで根本的なエラーを探します。Resolution: Look for the underlying error in the ADAL log.
  • ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323)ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323)
    • 理由:一般的な ADAL エラーReason: General ADAL failure
    • 解決策:認証ログで、サブエラー コードまたはサーバー エラー コードを探します。Resolution: Look for the suberror code or server error code from the authentication logs.

参加フェーズJoin Phase

エラーの原因:Reasons for failure:

登録の種類を確認し、以下の一覧でエラー コードを探します。Find the registration type and look for the error code from the list below.

Windows 10 1803 以降Windows 10 1803 and above

参加状態の出力の [Diagnostic Data] セクションで [Previous Registration] サブセクションを探します。Look for 'Previous Registration' subsection in the 'Diagnostic Data' section of the join status output. このセクションは、デバイスがドメイン参加済みで、ハイブリッド Azure AD 参加ができない場合にのみ表示されます。This section is displayed only if the device is domain joined and is unable to hybrid Azure AD join. [Registration Type] フィールドは、実行された参加の種類を表します。'Registration Type' field denotes the type of join performed.

+----------------------------------------------------------------------+
     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) is not found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+

Windows 10 の古いバージョンOlder Windows 10 versions

イベント ビューアーのログで、参加エラーのフェーズとエラー コードを確認します。Use Event Viewer logs to locate the phase and errorcode for the join failures.

  1. イベント ビューアーで [User Device Registration](ユーザー デバイス登録) イベントのログを開きます。Open the User Device Registration event logs in event viewer. [Applications and Services Log](アプリケーションとサービスのログ) > [Microsoft] > [Windows] > [User Device Registration](ユーザー デバイス登録) の下にあります。Located under Applications and Services Log > Microsoft > Windows > User Device Registration
  2. イベント ID が 204 のイベントを探します。Look for events with the following eventIDs 204

エラー ログ イベント

DRS サーバーから返される HTTP エラーHTTP errors returned from DRS server
  • DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630)DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630)
    • 理由:DRS から次のエラー コードのエラー応答を受け取りました。"DirectoryError"Reason: Received an error response from DRS with ErrorCode: "DirectoryError"
    • 解決策:考えられる原因と解決策については、サーバー エラー コードを参照してください。Resolution: Refer to the server error code for possible reasons and resolutions.
  • DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638)DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638)
    • 理由:DRS から次のエラー コードのエラー応答を受け取りました。"AuthenticationError" (エラー サブコードは "DeviceNotFound" 以外)Reason: Received an error response from DRS with ErrorCode: "AuthenticationError" and ErrorSubCode is NOT "DeviceNotFound".
    • 解決策:考えられる原因と解決策については、サーバー エラー コードを参照してください。Resolution: Refer to the server error code for possible reasons and resolutions.
  • DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634)DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634)
    • 理由:DRS から次のエラー コードのエラー応答を受け取りました。"DirectoryError"Reason: Received an error response from DRS with ErrorCode: "DirectoryError"
    • 解決策:考えられる原因と解決策については、サーバー エラー コードを参照してください。Resolution: Refer to the server error code for possible reasons and resolutions.
TPM エラーTPM errors
  • NTE_BAD_KEYSET (0x80090016/-2146893802)NTE_BAD_KEYSET (0x80090016/-2146893802)
    • 理由:TPM 操作が失敗したか、または無効でした。Reason: TPM operation failed or was invalid
    • 解決策:無効な sysprep イメージが原因と考えられます。Resolution: Likely due to a bad sysprep image. sysprep イメージの作成元であるマシンが、Azure AD に参加していない、ハイブリッド Azure AD に参加していない、あるいは Azure AD に登録されていないことを確認します。Ensure the machine from which the sysprep image was created is not Azure AD joined, hybrid Azure AD joined, or Azure AD registered.
  • TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641)TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641)
    • 理由:一般的な TPM エラー。Reason: Generic TPM error.
    • 解決策:このエラーが発生したデバイスで TPM を無効にします。Resolution: Disable TPM on devices with this error. Windows 10 バージョン1809 以降では、TPM エラーが自動的に検知され、TPM を使用することなくハイブリッド Azure AD への参加が完了します。Windows 10 version 1809 and higher automatically detects TPM failures and completes hybrid Azure AD join without using the TPM.
  • TPM_E_NOTFIPS (0x80280036/-2144862154)TPM_E_NOTFIPS (0x80280036/-2144862154)
    • 理由:FIPS モードの TPM は現在サポートされていません。Reason: TPM in FIPS mode not currently supported.
    • 解決策:このエラーが発生したデバイスで TPM を無効にします。Resolution: Disable TPM on devices with this error. Windows 1809 では、TPM エラーが自動的に検知され、TPM を使用することなくハイブリッド Azure AD への参加が完了します。Windows 1809 automatically detects TPM failures and completes hybrid Azure AD join without using the TPM.
  • NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775)NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775)
    • 理由:TPM がロックアウトされました。Reason: TPM locked out.
    • 解決策:一時的なエラーです。Resolution: Transient error. クールダウン時間が終わるまで待ちます。Wait for the cooldown period. しばらくしてから参加を試みると成功します。Join attempt after some time should succeed. 詳細については、TPM の基礎に関する記事を参照してください。More Information can be found in the article TPM fundamentals
ネットワーク エラーNetwork Errors
  • WININET_E_TIMEOUT (0x80072ee2/-2147012894)WININET_E_TIMEOUT (0x80072ee2/-2147012894)
    • 理由:DRS でデバイスを登録するときの一般的なネットワーク タイムアウトです。Reason: General network time out trying to register the device at DRS
    • 解決策:https://enterpriseregistration.windows.net とのネットワーク接続を確認します。Resolution: Check network connectivity to https://enterpriseregistration.windows.net.
  • WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889)WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889)
    • 理由:サーバーの名前またはアドレスを解決できませんでした。Reason: The server name or address could not be resolved.
    • 解決策:https://enterpriseregistration.windows.net とのネットワーク接続を確認します。Resolution: Check network connectivity to https://enterpriseregistration.windows.net. ネットワーク内およびデバイスでのホスト名の DNS 解決が正確であることを確認します。Ensure DNS resolution for the hostname is accurate in the n/w and on the device.
  • WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866)WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866)
    • 理由:サーバーとの接続が異常終了しました。Reason: The connection with the server was terminated abnormally.
    • 解決策:しばらくしてからやり直すか、または別の安定したネットワークの場所から参加を試みます。Resolution: Retry after sometime or try joining from an alternate stable network location.
サーバーのフェデレーション参加エラーFederated join server Errors
サーバー エラー コードServer error code サーバー エラー メッセージServer error message 考えられる原因Possible reasons 解決策Resolution
DirectoryErrorDirectoryError Your request is throttled temporarily.(要求は一時的に調整されました。)Your request is throttled temporarily. Please try after 300 seconds.(300 秒後にもう一度お試しください。)Please try after 300 seconds. 予期されるエラーです。Expected error. 複数の登録要求が立て続けに行われたことが原因と考えられます。Possibly due to making multiple registration requests in quick succession. クールダウン時間が終わったら参加を再試行してください。Retry join after the cooldown period
サーバーの同期参加エラーSync join server Errors
サーバー エラー コードServer error code サーバー エラー メッセージServer error message 考えられる原因Possible reasons 解決策Resolution
DirectoryErrorDirectoryError AADSTS90002:Tenant not found.(テナントが見つかりません)。AADSTS90002: Tenant not found. This error may happen if there are no active subscriptions for the tenant.(このエラーは、テナントにアクティブなサブスクリプションがない場合に発生することがあります。)This error may happen if there are no active subscriptions for the tenant. Check with your subscription administrator.(サブスクリプション管理者にご確認ください。)Check with your subscription administrator. SCP オブジェクト内のテナント ID が正しくありません。Tenant ID in SCP object is incorrect SCP オブジェクトが正しい Azure AD テナント ID で構成されていることと、アクティブなサブスクリプションがテナントに存在することを確認します。Ensure SCP object is configured with the correct Azure AD tenant ID and active subscriptions and present in the tenant.
DirectoryErrorDirectoryError The device object by the given ID is not found.(指定された ID のデバイス オブジェクトが見つかりませんでした。)The device object by the given ID is not found. 同期参加で予期されるエラーです。Expected error for sync join. デバイス オブジェクトが AD から Azure AD に同期されていません。The device object has not synced from AD to Azure AD Azure AD Connect の同期が完了するのを待ち、同期完了後に次の参加を試みると問題が解決します。Wait for the Azure AD Connect sync to complete and the next join attempt after sync completion will resolve the issue
AuthenticationErrorAuthenticationError The verification of the target computer's SID(ターゲット コンピューターの SID の検証)The verification of the target computer's SID Azure AD デバイスの証明書が、同期参加時に BLOB に署名するために使用された証明書と一致しません。The certificate on the Azure AD device doesn't match the certificate used to sign the blob during the sync join. 通常このエラーは、同期がまだ完了していないことを示します。This error typically means sync hasn’t completed yet. Azure AD Connect の同期が完了するのを待ち、同期完了後に次の参加を試みると問題が解決します。Wait for the Azure AD Connect sync to complete and the next join attempt after sync completion will resolve the issue

手順 5:ログを収集して Microsoft サポートに問い合わせるStep 5: Collect logs and contact Microsoft Support

次の場所で公開スクリプトを取得します: https://1drv.ms/u/s!AkyTjQ17vtfagYkZ6VJzPg78e3o7PQGet public scripts here: https://1drv.ms/u/s!AkyTjQ17vtfagYkZ6VJzPg78e3o7PQ

  1. 管理者のコマンド プロンプトを開き、start_ngc_tracing_public.cmd を実行します。Open an admin command prompt and run start_ngc_tracing_public.cmd.
  2. 問題を再現する手順を実行します。Perform the steps to reproduce the issue.
  3. stop_ngc_tracing_public.cmd を実行して、ログ スクリプトの実行を停止します。Stop running the logging script by executing stop_ngc_tracing_public.cmd.
  4. 分析のために %SYSTEMDRIVE%\TraceDJPP\* の下のログを圧縮して送信します。Zip and send the logs under %SYSTEMDRIVE%\TraceDJPP\* for analysis.

参加後の問題のトラブルシューティングTroubleshoot Post-Join issues

参加状態を取得するRetrieve the join status

WamDefaultSet:YES および AzureADPrt:はいWamDefaultSet: YES and AzureADPrt: YES

これらのフィールドは、ユーザーがデバイスへのサインイン時に Azure AD に対して正常に認証されたことを示します。These fields indicate whether the user has successfully authenticated to Azure AD when signing in to the device. これらの値が NO である場合、次のことが原因として考えられます。If the values are NO, it could be due:

  • 登録時にデバイスに関連する TPM のストレージ キーに問題がある (管理者特権での実行時に KeySignTest を確認)Bad storage key in the TPM associated with the device upon registration (check the KeySignTest while running elevated).
  • 代替ログイン IDAlternate Login ID
  • HTTP プロキシが見つからないHTTP Proxy not found

既知の問題Known issues

  • [設定] -> [アカウント] -> [職場または学校にアクセスする] で、Hybrid Azure AD 参加済みデバイスには、モバイル ホットスポットまたは外部 WiFi ネットワークに接続されているときに、Azure AD 用に 1 つとオンプレミス AD 用に 1 つという 2 つの異なるアカウントが表示される場合があります。Under Settings -> Accounts -> Access Work or School, Hybrid Azure AD joined devices may show two different accounts, one for Azure AD and one for on-premises AD, when connected to mobile hotspots or external WiFi networks. これは UI のみの問題であり、機能には影響しません。This is only a UI issue and does not have any impact on functionality.

次の手順Next steps

dsregcmd コマンドを使用したデバイスのトラブルシューティングに進みます。Continue troubleshooting devices using the dsregcmd command

ご不明な点がある場合は、デバイス管理の FAQ をご覧ください。For questions, see the device management FAQ