Como solucionar problemas de dispositivos adicionados do Azure Ac híbrido

Código do erro Motivo Resolução
STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d)
STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a)
  • O dispositivo não pode se conectar ao serviço de autenticação do Azure Active Directory.
  • Recebeu uma resposta de erro (HTTP 400) do serviço de autenticação do Azure Active Directory ou do ponto de extremidade do WS-Trust.
    Observação: o WS-Trust é necessário para autenticação federada.
  • Se o ambiente local exigir um proxy de saída, o administrador de TI deve garantir que a conta do computador do dispositivo possa descobrir e se autenticar silenciosamente no proxy de saída.
  • Os eventos 1081 e 1088 (logs operacionais do Azure Active Directory) conteriam o código de erro do servidor para erros provenientes do serviço de autenticação do Azure Active Directory e a descrição de erros para erros provenientes do ponto de extremidade WS-Trust. Códigos de erro comuns do servidor e suas resoluções são listados na próxima seção. A primeira instância do evento 1022 (logs de análise do Azure Active Directory), eventos anteriores 1081 ou 1088 conterão a URL que está sendo acessada.
  • STATUS_REQUEST_NOT_ACCEPTED (-1073741616/ 0xc00000d0) Recebeu uma resposta de erro (HTTP 400) do serviço de autenticação do Azure Active Directory ou do ponto de extremidade do WS-Trust.
    Observação: o WS-Trust é necessário para autenticação federada.
    Os eventos 1081 e 1088 (logs operacionais do Azure Active Directory) conteriam o código de erro do servidor e a descrição do erro para erros provenientes do serviço de autenticação do Azure Active Directory e do ponto de extremidade WS-Trust, respectivamente. Códigos de erro comuns do servidor e suas resoluções são listados na próxima seção. A primeira instância do evento 1022 (logs de análise do Azure Active Directory), eventos anteriores 1081 ou 1088 conterão a URL que está sendo acessada.
    STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c)
    STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be)
    STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4)
  • Recebida uma resposta de erro (HTTP > 400) do serviço de autenticação do Azure AD ou do ponto de extremidade WS-Trust.
    Observação: o WS-Trust é necessário para autenticação federada.
  • Problema de conectividade de rede para um ponto de extremidade necessário.
  • Para erros do servidor, os eventos 1081 e 1088 (logs operacionais do Azure Active Directory) contêm o código de erro e a descrição do erro do serviço de autenticação do Azure Active Directory e do ponto de extremidade WS-Trust, respectivamente. Códigos de erro comuns do servidor e suas resoluções são listados na próxima seção.
  • Para problemas de conectividade, o evento 1022 (logs de análise do Azure Active Directory) conterá a URL que está sendo acessada e o evento 1084 (logs operacionais do Azure Active Directory), o código de sub-erro da pilha de rede.
  • STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) Falha na descoberta do realm do usuário, pois o serviço de autenticação do Azure Active Directory não conseguiu encontrar o domínio do usuário.
  • O domínio do UPN do usuário deve ser adicionado como um domínio personalizado no Azure Active Directory. O evento 1144 (logs de análise do Azure Active Directory) conterá o UPN fornecido.
  • Se o nome de domínio local não for roteável (jdoe@contoso.local), configure o AltID (ID de logon alternativo). Referências: pré-requisitos, configurar ID de logon alternativo.
  • AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) O UPN do usuário não está no formato esperado.
    Observações:
  • Para dispositivos ingressados no Azure Active Directory, o UPN é o texto inserido pelo usuário no LoginUI.
  • Para dispositivos ingressados no Azure Active Directory híbrido, o UPN é retornado do controlador de domínio durante o processo de logon.
  • O UPN do usuário deve estar na identificação de logon no estilo da Internet, com base no padrão da Internet RFC 822. O evento 1144 (logs de análise do Azure Active Directory) conterá o UPN fornecido.
  • Para dispositivos ingressados no híbrido, verifique se o controlador de domínio está configurado para retornar o UPN no formato correto. No controlador de domínio, whoami /upn deve exibir o UPN configurado.
  • Se o nome de domínio local não for roteável (jdoe@contoso.local), configure o ID de logon alternativo (AltID). Referências: pré-requisitos, configurar ID de logon alternativo.
  • AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) O SID do usuário está ausente no token de ID retornado pelo serviço de autenticação do Azure Active Directory. Verifique se o proxy da rede não está interferindo e modificando a resposta do servidor.
    AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) Recebeu um erro de ponto de extremidade do WS-Trust.
    Observação: o WS-Trust é necessário para autenticação federada.
  • Verifique se o proxy da rede não está interferindo e modificando a resposta do WS-Trust.
  • O evento 1088 (logs operacionais do Azure Active Directory) conteria o código de erro do servidor e a descrição de erro do ponto de extremidade do WS-Trust. Códigos de erro comuns do servidor e suas resoluções são listados na próxima seção.
  • AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) Ponto de extremidade MEX configurado incorretamente. A resposta MEX não contém URLs de senha.
  • Verifique se o proxy da rede não está interferindo e modificando a resposta do servidor.
  • Corrige a configuração do MEX para retornar URLs válidas em resposta.
  • AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) Ponto de extremidade MEX configurado incorretamente. A resposta MEX não contém nenhum URL de ponto de extremidade de certificado.
  • Verifique se o proxy da rede não está interferindo e modificando a resposta do servidor.
  • Corrija a configuração MEX no provedor de identidade para retornar URLs de certificados válidos em resposta.
  • WC_E_DTDPROHIBITED (-1072894385/ 0xc00cee4f) A resposta XML, do ponto de WS-Trust, incluiu uma definição de tipo de documento (DTD). A DTD não é esperada nas respostas XML e a análise da resposta falhará se a DTD estiver incluída.
    Observação: o WS-Trust é necessário para autenticação federada.
  • Corrige a configuração no provedor de identidade para evitar o envio de DTD na resposta XML.
  • O evento 1022 (logs de análise do Azure Active Directory) conterá a URL acessada que está retornando uma resposta XML com uma DTD.
  • Códigos de erro comuns do servidor:

    Código do erro Motivo Resolução
    AADSTS50155: falha na autenticação do dispositivo
  • O Azure Active Directory não consegue autenticar o dispositivo para emitir um PRT.
  • Confirme se o dispositivo não foi excluído ou desabilitado no portal do Azure. Para mais informações sobre esse problema, consulte Perguntas frequentes sobre gerenciamento de dispositivo do Azure Active Directory.
  • Siga as instruções para esse problema nas perguntas frequentes sobre gerenciamento de dispositivo do Azure Active Directory para registrar o dispositivo de novo com base no tipo de ingresso de dispositivo.
    AADSTS50034: a conta de usuário não existe no diretório tenant id O Azure Active Directory não consegue encontrar a conta de usuário no locatário.
  • Verifique se o usuário está digitando o UPN correto.
  • Verifique se a conta de usuário local está sendo sincronizada com o Azure Active Directory.
  • O evento 1144 (logs de análise do Azure Active Directory) conterá o UPN fornecido.
  • AADSTS50126: erro ao validar credenciais devido a um nome de usuário ou senha inválido.
  • O nome de usuário e a senha inseridos pelo usuário no Windows LoginUI estão incorretos.
  • Se o locatário tiver a Sincronização de Hash de Senha habilitada, o dispositivo será ingressado no híbrido, e se o usuário acabou de mudar a senha, provavelmente a nova senha não foi sincronizada com o Azure Active Directory.
  • Para adquirir um PRT novo com as novas credenciais, aguarde a conclusão da sincronização de senha do Azure Active Directory.

    Códigos comuns de erro de rede:

    Código do erro Motivo Resolução
    ERROR_WINHTTP_TIMEOUT (12002)
    ERROR_WINHTTP_NAME_NOT_RESOLVED (12007)
    ERROR_WINHTTP_CANNOT_CONNECT (12029)
    ERROR_WINHTTP_CONNECTION_ERROR (12030)
    Problemas comuns gerais relacionados à rede.
  • Os eventos 1022 (logs de análise do Azure Active Directory) e 1084 (logs operacionais do Azure Active Directory) conterão a URL que está sendo acessada.
  • Se o ambiente local exigir um proxy de saída, o administrador de TI deve garantir que a conta do computador do dispositivo possa descobrir e se autenticar silenciosamente no proxy de saída.

    Saiba mas sobre códigos de erro de rede.
  • Etapa 4: coletar logs

    Logs regulares

    1. Acesse https://aka.ms/icesdptool, que baixará automaticamente um arquivo https://aka.ms/icesdptool que contém a ferramenta Diagnóstico.
    2. Execute a ferramenta e reproduza seu cenário.
    3. Para rastreamentos do Fiddler, aceite as solicitações de certificado que aparecem em um pop-up.
    4. O assistente solicitará uma senha para proteger seus arquivos de rastreamento. Forneça uma senha.
    5. Por fim, abra a pasta onde todos os logs coletados são armazenados, como %LOCALAPPDATA%\ElevatedDiagnostics\numbers.
    6. Entre em contato com o suporte com o conteúdo do arquivo de .cab mais recente.

    Rastreamentos de rede

    Observação

    Ao coletar rastreamentos de rede, é importante não usar o Fiddler durante a reprodução.

    1. Execute netsh trace start scenario=internetClient_dbg capture=yes persistent=yes.
    2. Bloqueie e desbloqueie o dispositivo. Para dispositivos ingressados no híbrido, aguarde um minuto ou mais para permitir que a tarefa de aquisição do PRT seja concluída.
    3. Execute netsh trace stop.
    4. Compartilhe o arquivo nettrace.cab com o suporte.

    Problemas conhecidos

    • Se você estiver conectado a um ponto de acesso móvel ou a uma rede Wi-Fi externa e acessar ConfiguraçõesContasAcesso de trabalho ou escola, os dispositivos ingressados no Azure Active Directory híbrido poderão mostrar duas contas diferentes, uma para o Azure Active Directory e outra para o Azure Active Directory local. Esse problema de IU não afeta a funcionalidade.

    Próximas etapas

    Este artigo fornece orientação para solução de problemas para ajudar você a resolver possíveis problemas com dispositivos que executam o Windows 10 ou Windows Server 2016.

    A associação híbrida do Azure Active Directory (Azure AD) oferece suporte à atualização do Windows 10 de novembro de 2015 e posterior.

    Para solucionar problemas de outros clientes do Windows, consulte Solução de problemas do Azure Active Directory híbrido ingressado em dispositivos de nível inferior.

    Este artigo pressupõe que você tenha dispositivos configurados e ingressados no Azure Active Directory híbrido para dar suporte aos seguintes cenários:

    Observação

    Para solucionar problemas comuns de registro de dispositivo, use a Ferramenta de Solução de Problemas de Registro do Dispositivo.

    Solucionar problemas de falhas de ingresso

    Etapa 1: Recuperar o status do ingresso

    1. Abra uma janela de Prompt de comando como administrador.
    2. Digite dsregcmd /status.
    +----------------------------------------------------------------------+
    | Device State                                                         |
    +----------------------------------------------------------------------+
    
        AzureAdJoined: YES
     EnterpriseJoined: NO
             DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
           Thumbprint: B753A6679CE720451921302CA873794D94C6204A
       KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
          KeyProvider: Microsoft Platform Crypto Provider
         TpmProtected: YES
         KeySignTest: : MUST Run elevated to test.
                  Idp: login.windows.net
             TenantId: 72b988bf-xxxx-xxxx-xxxx-2d7cd011xxxx
           TenantName: Contoso
          AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
       AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
               MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
            MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
      dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
          SettingsUrl: eyJVcmlzIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyJdfQ==
       JoinSrvVersion: 1.0
           JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
            JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
        KeySrvVersion: 1.0
            KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
             KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
         DomainJoined: YES
           DomainName: CONTOSO
    
    +----------------------------------------------------------------------+
    | User State                                                           |
    +----------------------------------------------------------------------+
    
                 NgcSet: YES
               NgcKeyId: {C7A9AEDC-780E-4FDA-B200-1AE15561A46B}
        WorkplaceJoined: NO
          WamDefaultSet: YES
    WamDefaultAuthority: organizations
           WamDefaultId: https://login.microsoft.com
         WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
             AzureAdPrt: YES
    

    Etapa 2: Avaliar o status do ingresso

    Examine os campos na tabela a seguir e certifique-se que eles tenham os valores esperados:

    Campo Valor esperado Description
    DomainJoined YES Esse campo indica se o dispositivo ingressou ou não em um Active Directory local.

    Se o valor for NO, o dispositivo não pode fazer uma junção híbrida do Azure AD.
    WorkplaceJoined Não Esse campo indica se o dispositivo está registrado no Azure AD como um dispositivo pessoal (marcado como Ingressado no Espaço de Trabalho). Esse valor deve ser NO para um computador ingressado no domínio, que também é ingressado no Azure Active Directory híbrido.

    Se o valor for YES, uma conta de trabalho ou estudante foi adicionada antes da conclusão da associação híbrida do Azure AD. Nesse caso, a conta é ignorada quando você usa o Windows 10 versão 1607 ou posterior
    AzureAdJoined YES Esse campo indica se o dispositivo ingressou. O valor será SIM se o dispositivo for um dispositivo ingressado no Azure Active Directory ou um dispositivo ingressado no Azure Active Directory híbrido.

    Se o valor for NO, a associação ao Azure AD ainda não terminou.

    Continue nas próximas etapas para solucionar o problema.

    Etapa 3: Localizar a fase em que o ingresso falhou e o código de erro

    Para Windows 10 versão 1803 ou posterior

    Procure a subseção 'Registro anterior' na seção 'Dados de diagnóstico' da saída do status de ingresso. Esta seção é exibida apenas se o dispositivo conectado ao domínio e não for capaz de ingressar no Azure Active Directory híbrido.

    O campo “Fase de erro” indica a fase da falha no ingresso, enquanto “Código de erro do cliente” indica o código de erro da operação de ingresso.

    +----------------------------------------------------------------------+
         Previous Registration : 2019-01-31 09:16:43.000 UTC
             Registration Type : sync
                   Error Phase : join
              Client ErrorCode : 0x801c03f2
              Server ErrorCode : DirectoryError
                Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
                  Https Status : 400
                    Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
    +----------------------------------------------------------------------+
    

    Para versões anteriores do Windows 10

    Use logs do Visualizador de Eventos para localizar a fase e o código de erro para as falhas de ingresso.

    1. Abra os logs de eventos de Registro de dispositivo do usuário no Visualizador de Eventos. Eles ficam armazenados em Log de aplicativos e serviçosMicrosoftWindowsRegistro do dispositivo do usuário.
    2. Procure eventos com a seguinte ID de evento: 304, 305 e 307.

    Screenshot of Event Viewer, with event ID 304 selected, its information displayed, and its error code and phase highlighted.

    Screenshot of Event Viewer, with event ID 305 selected, its information displayed, and its error code highlighted.

    Etapa 4: Verificar possíveis causas e resoluções

    Fase de pré-verificação

    Possíveis motivos para a falha:

    • O dispositivo não tem uma linha de visão para o controlador de domínio.
      • O dispositivo deve estar na rede interna da organização ou em uma rede virtual privada com linha de visão da rede para um controlador de domínio Active Directory local.

    Fase de descoberta

    Possíveis motivos para a falha:

    • O objeto do ponto de conexão de serviço está configurado incorretamente ou não pode ser lido no controlador de domínio.
    • Falha ao conectar e buscar os metadados de descoberta a partir do ponto de extremidade de descoberta.
      • O dispositivo deve ser capaz de acessar https://enterpriseregistration.windows.net, no contexto do sistema, para descobrir os pontos de extremidade do registro e da autorização.
      • Se o ambiente local exigir um proxy de saída, o administrador de TI deve garantir que a conta do computador do dispositivo possa descobrir e se autenticar silenciosamente no proxy de saída.
    • Falha ao conectar-se ao ponto de extremidade do realm do usuário e fazer a descoberta do realm (Windows 10 versão 1809 e posterior apenas).
      • O dispositivo deve ser capaz de acessar https://login.microsoftonline.com, no contexto do sistema, fazer descoberta de realm para o domínio verificado e determinar o tipo de domínio (gerenciado ou federado).
      • Se o ambiente local exigir um proxy de saída, o administrador de TI deve garantir que o contexto do sistema no dispositivo possa descobrir e autenticar silenciosamente no proxy de saída.

    Códigos de erro comuns:

    Código do erro Motivo Resolução
    DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) Não é possível ler o objeto do ponto de conexão de serviço (SCP) e obter as informações de locatário do Azure Active Directory. Consulte a seção Configurar um ponto de conexão de serviço.
    DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) Falha de descoberta genérica. Falha ao obter os metadados de descoberta do serviço de replicação de dados (DRS). Para investigar ainda mais, localize o suberro nas próximas seções.
    DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) O tempo limite da operação foi atingido ao executar a descoberta. Verifique se https://enterpriseregistration.windows.net está acessível no contexto do sistema. Para mais informações, consulte a seção Requisitos de conectividade de rede.
    DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) Falha de descoberta de realm genérica. Falha ao determinar o tipo de domínio (gerenciado/federado) a partir do STS. Para investigar ainda mais, localize o suberro nas próximas seções.

    Códigos de suberro comuns:

    Para localizar o código de suberro do código de erro de descoberta, use um dos métodos a seguir.

    Windows 10, versão 1803 ou posterior

    Procure por “Teste de descoberta do DRS” na seção “Dados de diagnóstico” da saída do status de ingresso. Esta seção é exibida apenas se o dispositivo conectado ao domínio e não for capaz de ingressar no Azure Active Directory híbrido.

    +----------------------------------------------------------------------+
    | Diagnostic Data                                                      |
    +----------------------------------------------------------------------+
    
         Diagnostics Reference : www.microsoft.com/aadjerrors
                  User Context : UN-ELEVATED User
                   Client Time : 2019-06-05 08:25:29.000 UTC
          AD Connectivity Test : PASS
         AD Configuration Test : PASS
            DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
         DRS Connectivity Test : SKIPPED
        Token acquisition Test : SKIPPED
         Fallback to Sync-Join : ENABLED
    
    +----------------------------------------------------------------------+
    
    Versões anteriores do Windows 10

    Use os logs do Visualizador de Eventos para localizar a fase e o código de erro para as falhas de ingresso.

    1. Abra os logs de eventos de Registro de dispositivo do usuário no Visualizador de Eventos. Eles ficam armazenados em Log de aplicativos e serviçosMicrosoftWindowsRegistro do dispositivo do usuário.
    2. Procurar pela ID de evento 201.

    Screenshot of Event Viewer, with event ID 201 selected, its information displayed, and its error code highlighted.

    Erros de rede:

    Código do erro Motivo Resolução
    WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) Uma conexão com o servidor não pôde ser estabelecida. Verifique a conectividade da rede aos recursos necessários da Microsoft. Para obter mais informações, consulte Requisitos de conectividade de rede.
    WININET_E_TIMEOUT (0x80072ee2/-2147012894) Tempo limite de rede geral. Verifique a conectividade da rede aos recursos necessários da Microsoft. Para obter mais informações, consulte Requisitos de conectividade de rede.
    WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) A pilha de rede não conseguiu decodificar a resposta do servidor. Verifique se o proxy da rede não está interferindo e modificando a resposta do servidor.

    Erros de HTTP:

    Código do erro Motivo Resolução
    DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) O objeto do ponto de conexão de serviço está configurado com a ID de locatário incorreta ou nenhuma assinatura ativa foi encontrada no locatário. Verifique se o objeto do ponto de conexão de serviço está configurado com a ID de locatário do Azure Active Directory e as assinaturas ativas corretas ou se o serviço está presente no locatário.
    DSREG_SERVER_BUSY (0x801c0025/-2145648603) HTTP 503 do servidor DRS. O servidor está atualmente indisponível. As futuras tentativas de ingresso provavelmente serão bem-sucedidas quando o servidor ficar online novamente.

    Outros erros:

    Código do erro Motivo Resolução
    E_INVALIDDATA (0x8007000d/-2147024883) Não foi possível analisar o JSON de resposta do servidor, provavelmente porque o proxy está retornando um HTTP 200 com uma página de autorização HTML. Se o ambiente local exigir um proxy de saída, o administrador de TI deve garantir que o contexto do sistema no dispositivo possa descobrir e autenticar silenciosamente no proxy de saída.

    Fase de autenticação

    Esse conteúdo se aplica somente a contas de domínio federado.

    Motivos da falha:

    • Não é possível obter um token de acesso silenciosamente para o recurso DRS.
      • Os dispositivos Windows 10 adquirem o token de autenticação do Serviço de Federação usando a autenticação integrada do Windows para um ponto de extremidade WS-Trust ativo. Para obter mais informações, consulte Configuração do serviço de federação.

    Códigos de erro comuns:

    Use os logs do Visualizador de Eventos para localizar o código de erro, o código de suberro, o código de erro do servidor e a mensagem de erro do servidor.

    1. Abra os logs de eventos de Registro de dispositivo do usuário no Visualizador de Eventos. Eles ficam armazenados em Log de aplicativos e serviçosMicrosoftWindowsRegistro do dispositivo do usuário.
    2. Procurar pela ID de evento 305.

    Screenshot of Event Viewer, with event ID 305 selected, its information displayed, and the ADAL error codes and status highlighted.

    Erros de configuração:

    Código do erro Motivo Resolução
    ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) O protocolo de autenticação da ADAL (biblioteca de autenticação do Azure Active Directory) não é WS-Trust. O provedor de identidade local deve dar suporte a WS-Trust.
    ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) O serviço de federação local não retornou uma resposta XML. Verifique se o ponto de extremidade do MetadataExchange (MEX) está retornando um XML válido. Verifique se o proxy não está interferindo e retornando respostas não XML.
    ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) Não foi possível descobrir o ponto de extremidade para a autenticação de nome de usuário/senha. Verifique as configurações do provedor de identidade local. Verifique se os pontos de extremidade de WS-Trust estão habilitados e se a resposta MEX contém esses pontos de extremidade corretos.

    Erros de rede:

    Código do erro Motivo Resolução
    ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) Tempo limite de rede geral. Verifique se https://login.microsoftonline.com está acessível no contexto do sistema. Verifique se o provedor de identidade local está acessível no contexto do sistema. Para obter mais informações, consulte Requisitos de conectividade de rede.
    ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) A conexão com o ponto de extremidade de autenticação foi anulada. Tente o ingresso novamente após um tempo ou tente ingressar em outro local de rede estável.
    ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) O certificado Transport Layer Security (TLS), anteriormente conhecido como Secure Sockets Layer (SSL), enviado pelo servidor não pôde ser validado. Verifique a distorção de tempo do cliente. Tente o ingresso novamente após um tempo ou tente ingressar em outro local de rede estável.
    ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) A tentativa de conexão a https://login.microsoftonline.com falhou. Verifique a conexão de rede a https://login.microsoftonline.com.

    Outros erros:

    Código do erro Motivo Resolução
    ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) O token SAML do provedor de identidade local não foi aceito pelo Azure Active Directory. Verifique as configurações do servidor de federação. Procure o código de erro do servidor nos logs de autenticação.
    ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) A resposta do servidor WS-Trust relatou uma exceção de falha e não conseguiu obter asserção. Verifique as configurações do servidor de federação. Procure o código de erro do servidor nos logs de autenticação.
    ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) Erro recebido ao tentar obter o token de acesso do ponto de extremidade do token. Procure o erro subjacente no log da ADAL.
    ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) Falha geral da ADAL. Procure o código de suberro ou o código de erro do servidor nos logs de autenticação.

    Fase de ingresso

    Motivos da falha:

    Procure o tipo de registro e o código de erro das tabelas a seguir, dependendo da versão do Windows 10 que você está usando.

    Windows 10, versão 1803 ou posterior

    Procure a subseção 'Registro anterior' na seção 'Dados de diagnóstico' da saída do status de ingresso. Esta seção é exibida apenas se o dispositivo for conectado ao domínio e não for capaz de ingressar no Azure Active Directory híbrido.

    O campo "Tipo de registro" exibe o tipo de junção feita.

    +----------------------------------------------------------------------+
         Previous Registration : 2019-01-31 09:16:43.000 UTC
             Registration Type : sync
                   Error Phase : join
              Client ErrorCode : 0x801c03f2
              Server ErrorCode : DirectoryError
                Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) is not found.
                  Https Status : 400
                    Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
    +----------------------------------------------------------------------+
    

    Versões anteriores do Windows 10

    Use logs do Visualizador de Eventos para localizar a fase e o código de erro para as falhas de ingresso.

    1. Abra os logs de eventos de Registro de dispositivo do usuário no Visualizador de Eventos. Eles ficam armazenados em Log de aplicativos e serviçosMicrosoftWindowsRegistro do dispositivo do usuário.
    2. Procurar pela ID de evento 204.

    Screenshot of Event Viewer, with event ID 204 selected and its error code, H T T P status, and message highlighted.

    Erros de HTTP retornados do servidor DRS:

    Código do erro Motivo Resolução
    DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) Recebeu uma resposta de erro do DRS com o ErrorCode "DirectoryError". Consulte o código de erro do servidor para obter possíveis motivos e resoluções.
    DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) Recebeu uma resposta de erro do DRS com o ErrorCode "AuthenticationError", e ErrorSubCode não é "DeviceNotFound". Consulte o código de erro do servidor para obter possíveis motivos e resoluções.
    DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) Recebeu uma resposta de erro do DRS com o ErrorCode "DirectoryError". Consulte o código de erro do servidor para obter possíveis motivos e resoluções.

    Erros do TPM:

    Código do erro Motivo Resolução
    NTE_BAD_KEYSET (0x80090016/-2146893802) A operação Trusted Platform Module (TPM) falhou ou foi inválida. A falha provavelmente resulta de uma imagem sysprep ruim. Verifique se o computador no qual a imagem sysprep foi criada não é ingressado no Azure Active Directory, é ingressado no Azure Active Directory híbrido ou registrado no Azure Active Directory.
    TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) Erro de TPM genérico. Desabilite o TPM em dispositivos com este erro. O Windows 10 versões 1809 e posteriores detectam automaticamente as falhas de TPM e concluem a junção híbrida do Azure AD sem usar o TPM.
    TPM_E_NOTFIPS (0x80280036/-2144862154) O TPM no modo FIPS não tem suporte no momento. Desabilite o TPM em dispositivos com este erro. O Windows 10 versão 1809 e superior detecta automaticamente falhas no TPM e conclui o ingresso no Azure Active Directory híbrido sem usar o TPM.
    NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) TPM está bloqueado. Erro transitório. Aguarde o período de resfriamento. A tentativa de ingresso deve ser bem-sucedida após algum tempo. Para mais informações, confira os Conceitos básicos de TPM.

    Erros de rede:

    Código do erro Motivo Resolução
    WININET_E_TIMEOUT (0x80072ee2/-2147012894) Tempo limite de rede geral ao tentar registrar o dispositivo no DRS. Verifique a conectividade de rede a https://enterpriseregistration.windows.net.
    WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) Não foi possível resolver o endereço nem o nome do servidor. Verifique a conectividade de rede a https://enterpriseregistration.windows.net.
    WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) A conexão com o servidor foi encerrada de forma anormal. Tente o ingresso novamente após um tempo ou tente ingressar em outro local de rede estável.

    Outros erros:

    Código do erro Motivo Resolução
    DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) O ID de evento 220 está presente nos logs de eventos de Registro de Dispositivo do Usuário. O Windows não pode acessar o objeto de computador no Active Directory. Um código de erro do Windows pode ser incluído no evento. Os códigos de erro ERROR_NO_SUCH_LOGON_SESSION (1312) e ERROR_NO_SUCH_USER (1317) estão relacionados a problemas de replicação no Active Directory local. Solucione problemas de replicação no Active Directory. Esses problemas de replicação podem ser transitórios e desaparecer após algum tempo.

    Erros no servidor de ingresso federado:

    Código de erro do servidor Mensagem de erro do servidor Possíveis motivos Resolução
    DirectoryError A solicitação é restringida temporariamente. Tente após 300 segundos. Este erro é esperado, possivelmente porque várias solicitações de registro foram feitas em rápida sucessão. Tente ingressar novamente após o período de resfriamento

    Erros na sincronização do servidor de ingresso:

    Código de erro do servidor Mensagem de erro do servidor Possíveis motivos Resolução
    DirectoryError AADSTS90002: locatário UUID não encontrado. Este erro pode ocorrer se não houver nenhuma assinatura ativa para o locatário. Verifique com o administrador da assinatura. A ID do locatário no objeto de ponto de conexão de serviço está incorreta. Verifique se o objeto do ponto de conexão de serviço está configurado com a ID de locatário do Azure Active Directory e as assinaturas ativas corretas ou se o serviço está presente no locatário.
    DirectoryError O objeto de dispositivo pelo ID fornecido não foi encontrado. Este erro é esperado para sync-join. O objeto de dispositivo não foi sincronizado do AD para o Azure AD Aguardar a conclusão da sincronização do Azure AD Connect e a próxima tentativa de ingresso após a conclusão da sincronização resolverá o problema.
    AuthenticationError A verificação do SID do computador de destino O certificado no dispositivo do Azure Active Directory não corresponde ao certificado usado para assinar o blob durante a sincronização do ingresso. Normalmente, esse erro significa que a sincronização ainda não foi concluída. Aguardar a conclusão da sincronização do Azure AD Connect e a próxima tentativa de ingresso após a conclusão da sincronização resolverá o problema.

    Etapa 5: Coletar logs e entrar em contato com o Suporte da Microsoft

    1. Baixe o arquivo Auth.zip.

    2. Descompacte os arquivos em uma pasta como c:\temp e acesse a pasta.

    3. Em uma sessão com privilégios do Azure PowerShell, execute .\start-auth.ps1 -v -accepteula.

    4. Selecione Alternar conta para alternar para outra sessão com o problema do usuário.

    5. Reproduza o problema.

    6. Selecione Alternar conta para voltar à sessão de administrador que está executando o rastreamento.

    7. Na sessão com privilégios do PowerShell, execute .\stop-auth.ps1.

    8. Compacte e envie a pasta Authlogs da pasta a partir da qual os scripts foram executados.

    Solucionar problemas de autenticação pós-ingresso

    Etapa 1: Recuperar o status do PRT usando dsregcmd /status

    1. Abra uma janela de Prompt de Comando.

      Observação

      Para obter o status do Token de Atualização Primária (PRT), abra a janela Prompt de Comando no contexto do usuário conectado.

    2. Execute dsregcmd /status.

      A seção "estado do SSO" mostra o status de PRT atual.

      Se o campo AzureAdPrt for definido como NÃO, houve um erro ao adquirir o status do PRT do Azure Active Directory.

    3. Se o AzureAdPrtUpdateTime for maior que 4 horas, provavelmente há um problema com a atualização do PRT. Bloqueie e desbloqueie o dispositivo para forçar a atualização do PRT e verifique se a hora foi atualizada.

    +----------------------------------------------------------------------+
    | SSO State                                                            |
    +----------------------------------------------------------------------+
    
                    AzureAdPrt : YES
          AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
          AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
           AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
                 EnterprisePrt : YES
       EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
       EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
        EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs
    
    +----------------------------------------------------------------------+
    

    Etapa 2: encontrar o código de erro

    Da saída

    Observação

    A saída está disponível na atualização do Windows de 10 de maio de 2021 (versão 21H1).

    O campo "Status da Tentativa" no campo “AzureAdPrt” mostrará o status da tentativa do PRT anterior com outras informações de depuração necessárias. Para versões anteriores do Windows, extraia as informações da análise do Azure Active Directory e dos logs operacionais.

    +----------------------------------------------------------------------+
    | SSO State                                                            |
    +----------------------------------------------------------------------+
    
                    AzureAdPrt : NO
           AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
         AcquirePrtDiagnostics : PRESENT
          Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
                Attempt Status : 0xc000006d
                 User Identity : john@contoso.com
               Credential Type : Password
                Correlation ID : 63648321-fc5c-46eb-996e-ed1f3ba7740f
                  Endpoint URI : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token/
                   HTTP Method : POST
                    HTTP Error : 0x0
                   HTTP status : 400
             Server Error Code : invalid_grant
      Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
    

    Da análise do Azure Active Directory e dos logs operacionais

    Use o Visualizador de Eventos para procurar as entradas de log registradas pelo plug-in CloudAP do Azure Active Directory durante a aquisição do PRT.

    1. No Visualizador de Eventos, abra os Logs de eventos operacionais do Azure Active Directory. Eles ficam armazenados em Log de aplicativos e serviçosMicrosoftWindowsMicrosoft Azure Active Directory.

      Observação

      O plug-in CloudAP registra eventos de erro nos logs operacionais e registra os eventos de informações nos logs de análise. Os eventos de logs analíticos e operacionais são necessários para solucionar problemas.

    2. O evento 1006 nos logs analíticos indica o início do fluxo de aquisição do PRT, e o evento 1007 nos logs analíticos indica o fim do fluxo de aquisição do PRT. Todos os eventos nos logs do Azure Active Directory (analíticos e operacionais) registrados entre os eventos 1006 e 1007 foram registrados como parte do fluxo de aquisição do PRT.

    3. O evento 1007 registra o código de erro final.

    Screenshot of Event Viewer, with event IDs 1006 and 1007 selected and the final error code highlighted.

    Etapa 3: Solucionar problemas adicionais com base no código de erro encontrado