Microsoft Entra hibrite katılmış cihazlarda sorun giderme
Bu makalede, Windows 10 veya daha yeni ve Windows Server 2016 veya daha yeni bir sürümünü çalıştıran cihazlarla ilgili olası sorunları çözmenize yardımcı olacak sorun giderme yönergeleri sağlanır.
Microsoft Entra karma katılımı, Windows 10 Kasım 2015 güncelleştirmesi ve üzerini destekler.
Diğer Windows istemcilerinin sorunlarını gidermek için bkz . Microsoft Entra karmasına katılmış alt düzey cihazlarda sorun giderme.
Bu makalede, aşağıdaki senaryoları desteklemek için Microsoft Entra karma birleştirilmiş cihazlarınız olduğu varsayılır:
- Cihaz tabanlı Koşullu Erişim
- Kurumsal durum dolaşımı
- İş İçin Windows Hello
Not
Yaygın cihaz kaydı sorunlarını gidermek için Cihaz Kaydı Sorun Giderici Aracı'nı kullanın.
Birleştirme hatalarını giderme
1. Adım: Katılma durumunu alma
- Yönetici olarak bir Komut İstemi penceresi açın.
dsregcmd /statusyazın.
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined: YES
EnterpriseJoined: NO
DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
Thumbprint: B753A6679CE720451921302CA873794D94C6204A
KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
KeyProvider: Microsoft Platform Crypto Provider
TpmProtected: YES
KeySignTest: : MUST Run elevated to test.
Idp: login.windows.net
TenantId: 72b988bf-xxxx-xxxx-xxxx-2d7cd011xxxx
TenantName: Contoso
AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl: eyJVcmlzIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyJdfQ==
JoinSrvVersion: 1.0
JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion: 1.0
KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
DomainJoined: YES
DomainName: CONTOSO
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet: YES
NgcKeyId: {C7A9AEDC-780E-4FDA-B200-1AE15561A46B}
WorkplaceJoined: NO
WamDefaultSet: YES
WamDefaultAuthority: organizations
WamDefaultId: https://login.microsoft.com
WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
AzureAdPrt: YES
2. Adım: Katılma durumunu değerlendirme
Aşağıdaki tablodaki alanları gözden geçirin ve beklenen değerlere sahip olduklarından emin olun:
| Alan | Beklenen değer | Açıklama |
|---|---|---|
| DomainJoined | EVET | Bu alan, cihazın bir şirket içi Active Directory katılıp katılmadığını gösterir. Değer HAYIR ise cihaz Microsoft Entra karma katılımını gerçekleştiremez. |
| WorkplaceJoined | HAYIR | Bu alan, cihazın Microsoft Entra Id'ye kişisel cihaz (Workplace Joined olarak işaretlenmiş) olarak kaydedilip kaydedilmediğini gösterir. Bu değer, aynı zamanda Microsoft Entra karmaya katılmış etki alanına katılmış bir bilgisayar için HAYIR olmalıdır. Değer EVET ise, Microsoft Entra karma katılımı tamamlanmadan önce bir iş veya okul hesabı eklenmiştir. Bu durumda, Windows 10 sürüm 1607 veya üzerini kullanırken hesap yoksayılır. |
| AzureAdJoined | EVET | Bu alan cihazın katılıp katılmadığını gösterir. Cihaz Microsoft Entra'ya katılmış bir cihaz veya Microsoft Entra karma katılmış bir cihazsa evet değeridir. Değer HAYIR ise Microsoft Entra Id'ye katılma işlemi henüz tamamlanmamıştır. |
Daha fazla sorun giderme işlemi için sonraki adımlara geçin.
3. Adım: Birleştirmenin başarısız olduğu aşamayı ve hata kodunu bulma
Windows 10 sürüm 1803 veya üzeri için
Birleştirme durumu çıkışının "Tanılama Verileri" bölümünde "Önceki Kayıt" alt bölümünü arayın. Bu bölüm yalnızca cihaz etki alanına katılmışsa ve Microsoft Entra karma katılımını yapamıyorsa görüntülenir.
"Hata Aşaması" alanı birleştirme hatasının aşamasını ve "İstemci Hata Kodu" birleştirme işleminin hata kodunu belirtir.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Önceki Windows 10 sürümleri için
Birleştirme hatalarının aşamasını ve hata kodunu bulmak için Olay Görüntüleyicisi günlüklerini kullanın.
- Olay Görüntüleyicisi'da Kullanıcı Cihaz Kaydı olay günlüklerini açın. Bunlar, Uygulamalar ve Hizmetler Günlüğü>Microsoft>Windows>Kullanıcı Cihaz Kaydı altında depolanır.
- Şu olay kimliklerine sahip olayları arayın: 304, 305 ve 307.
4. Adım: Olası nedenleri ve çözümleri denetleme
Ön denetim aşaması
Başarısızlığın olası nedenleri:
- Cihazın etki alanı denetleyicisini görme alanı yok.
- Cihaz, kuruluşun iç ağında veya bir şirket içi Active Directory etki alanı denetleyicisinin ağ görüş hattına sahip bir sanal özel ağda olmalıdır.
Bulma aşaması
Başarısızlığın olası nedenleri:
- Hizmet bağlantı noktası nesnesi yanlış yapılandırılmış veya etki alanı denetleyicisinden okunamıyor.
- Cihazın ait olduğu AD ormanında, Microsoft Entra Id'de doğrulanmış bir etki alanı adına işaret eden geçerli bir hizmet bağlantı noktası nesnesi gereklidir.
- Daha fazla bilgi için Öğretici: Federasyon etki alanları için Microsoft Entra karma katılımını yapılandırma makalesinin "Hizmet bağlantı noktası yapılandırma" bölümüne bakın.
- Bulma uç noktasına bağlanma ve bulma meta verilerini getirme hatası.
- Cihaz, kayıt ve yetkilendirme uç noktalarını bulmak için sistem bağlamında öğesine erişebilmelidir
https://enterpriseregistration.windows.net. - Şirket içi ortam bir giden ara sunucu gerektiriyorsa, BT yöneticisinin cihazın bilgisayar hesabının giden proxy'yi bulup sessizce kimlik doğrulamasından emin olması gerekir.
- Cihaz, kayıt ve yetkilendirme uç noktalarını bulmak için sistem bağlamında öğesine erişebilmelidir
- Kullanıcı bölgesi uç noktasına bağlanılamıyor ve bölge keşfi yapılamıyor (yalnızca Windows 10 sürüm 1809 ve üzeri).
- Cihaz, doğrulanmış etki alanı için bölge bulma gerçekleştirmek ve etki alanı türünü (yönetilen veya federasyon) belirlemek için sistem bağlamında öğesine erişebilmelidir
https://login.microsoftonline.com. - Şirket içi ortam giden ara sunucu gerektiriyorsa, BT yöneticisinin cihazdaki sistem bağlamını bulup giden proxy'de sessizce kimlik doğrulamasından emin olması gerekir.
- Cihaz, doğrulanmış etki alanı için bölge bulma gerçekleştirmek ve etki alanı türünü (yönetilen veya federasyon) belirlemek için sistem bağlamında öğesine erişebilmelidir
Yaygın hata kodları:
| Hata kodu | Nedeni | Çözüm |
|---|---|---|
| DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | Hizmet bağlantı noktası (SCP) nesnesi okunamıyor ve Microsoft Entra kiracı bilgileri alınamıyor. | Hizmet bağlantı noktası yapılandırma bölümüne bakın. |
| DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) | Genel bulma hatası. Veri çoğaltma hizmetinden (DRS) bulma meta verileri alınamadı. | Daha fazla araştırmak için sonraki bölümlerde alt öğesini bulun. |
| DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) | Bulma işlemi gerçekleştirilirken işlem zaman aşımına uğradı. | https://enterpriseregistration.windows.net Sistem bağlamında erişilebilir olduğundan emin olun. Daha fazla bilgi için Ağ bağlantısı gereksinimleri bölümüne bakın. |
| DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) | Genel bölge bulma hatası. STS'den etki alanı türü (yönetilen/federasyon) belirlenemedi. | Daha fazla araştırmak için sonraki bölümlerde alt öğesini bulun. |
Yaygın alt hata kodları:
Bulma hata kodunun alt kodunu bulmak için aşağıdaki yöntemlerden birini kullanın.
Windows 10 sürüm 1803 veya üzeri
Birleştirme durumu çıkışının "Tanılama Verileri" bölümünde "DRS Bulma Testi"ni arayın. Bu bölüm yalnızca cihaz etki alanına katılmışsa ve Microsoft Entra karma katılımını yapamıyorsa görüntülenir.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : UN-ELEVATED User
Client Time : 2019-06-05 08:25:29.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
+----------------------------------------------------------------------+
Önceki Windows 10 sürümleri
Birleştirme hatalarının aşamasını ve hata kodunu aramak için Olay Görüntüleyicisi günlüklerini kullanın.
- Olay Görüntüleyicisi'da Kullanıcı Cihaz Kaydı olay günlüklerini açın. Bunlar, Uygulamalar ve Hizmetler Günlüğü>Microsoft>Windows>Kullanıcı Cihaz Kaydı altında depolanır.
- Olay kimliği 201'i arayın.
Ağ hataları:
| Hata kodu | Nedeni | Çözüm |
|---|---|---|
| WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) | Sunucuyla Bağlan oluşturulamadı. | Gerekli Microsoft kaynaklarına ağ bağlantısı olduğundan emin olun. Daha fazla bilgi için bkz. Ağ bağlantısı gereksinimleri. |
| WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Genel ağ zaman aşımı. | Gerekli Microsoft kaynaklarına ağ bağlantısı olduğundan emin olun. Daha fazla bilgi için bkz. Ağ bağlantısı gereksinimleri. |
| WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) | Ağ yığını yanıtın kodunu sunucudan çözemedi. | Ağ proxy'sinin sunucu yanıtını engellemediğinden ve değiştirmediğinden emin olun. |
HTTP hataları:
| Hata kodu | Nedeni | Çözüm |
|---|---|---|
| DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) | Hizmet bağlantı noktası nesnesi yanlış kiracı kimliğiyle yapılandırıldı veya kiracıda etkin abonelik bulunamadı. | Hizmet bağlantı noktası nesnesinin doğru Microsoft Entra kiracı kimliği ve etkin aboneliklerle yapılandırıldığından veya hizmetin kiracıda mevcut olduğundan emin olun. |
| DSREG_SERVER_BUSY (0x801c0025/-2145648603) | DRS sunucusundan HTTP 503. | Sunucu şu anda kullanılamıyor. Gelecekteki katılma denemeleri, sunucu yeniden çevrimiçi olduktan sonra olasılıkla başarılı olur. |
Diğer hatalar:
| Hata kodu | Nedeni | Çözüm |
|---|---|---|
| E_INVALIDDATA (0x8007000d/-2147024883) | Sunucu yanıtı JSON ayrıştırılamıyor, çünkü proxy büyük olasılıkla HTML yetkilendirme sayfasına sahip bir HTTP 200 döndürmektedir. | Şirket içi ortam giden ara sunucu gerektiriyorsa, BT yöneticisinin cihazdaki sistem bağlamını bulup giden proxy'de sessizce kimlik doğrulamasından emin olması gerekir. |
Kimlik doğrulama aşaması
Bu içerik yalnızca federasyon etki alanı hesapları için geçerlidir.
Başarısızlığın nedenleri:
- DRS kaynağı için erişim belirteci sessizce alınamıyor.
- Windows 10 ve Windows 11 cihazları, etkin bir WS-Trust uç noktasına tümleşik Windows kimlik doğrulaması kullanarak federasyon hizmetinden kimlik doğrulama belirtecini alır. Daha fazla bilgi için bkz . Federasyon Hizmeti yapılandırması.
Yaygın hata kodları:
Hata kodunu, alt kodu, sunucu hata kodunu ve sunucu hata iletisini bulmak için Olay Görüntüleyicisi günlüklerini kullanın.
- Olay Görüntüleyicisi'da Kullanıcı Cihaz Kaydı olay günlüklerini açın. Bunlar, Uygulamalar ve Hizmetler Günlüğü>Microsoft>Windows>Kullanıcı Cihaz Kaydı altında depolanır.
- Olay kimliği 305'i arayın.
Yapılandırma hataları:
| Hata kodu | Nedeni | Çözüm |
|---|---|---|
| ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) | Azure AD Kimlik Doğrulama Kitaplığı (ADAL) kimlik doğrulama protokolü WS-Trust değildir. | Şirket içi kimlik sağlayıcısının WS-Trust'i desteklemesi gerekir. |
| ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) | Şirket içi Federasyon Hizmeti XML yanıtı döndürmedi. | Meta Veri Değişimi (MEX) uç noktasının geçerli bir XML döndürdüğünü doğrulayın. Proxy'nin müdahale etmediğinden ve nonxml yanıtları döndürmediğinden emin olun. |
| ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) | Kullanıcı adı/parola kimlik doğrulaması için bir uç nokta bulunamadı. | Şirket içi kimlik sağlayıcısı ayarlarını denetleyin. WS-Trust uç noktalarının etkinleştirildiğinden ve MEX yanıtının bu doğru uç noktaları içerdiğinden emin olun. |
Ağ hataları:
| Hata kodu | Nedeni | Çözüm |
|---|---|---|
| ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) | Genel ağ zaman aşımı. | https://login.microsoftonline.com Sistem bağlamında erişilebilir olduğundan emin olun. Şirket içi kimlik sağlayıcısının sistem bağlamında erişilebilir olduğundan emin olun. Daha fazla bilgi için bkz. Ağ bağlantısı gereksinimleri. |
| ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) | Yetkilendirme uç noktasıyla Bağlan durduruldu. | Bir süre sonra katılma işlemini yeniden deneyin veya kararlı başka bir ağ konumundan katılmayı deneyin. |
| ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) | Sunucu tarafından gönderilen Aktarım Katmanı Güvenliği (TLS) sertifikası (eski adıyla Güvenli Yuva Katmanı [SSL] sertifikası) doğrulanamadı. | İstemci zamanı dengesizlik durumunu denetleyin. Bir süre sonra katılma işlemini yeniden deneyin veya kararlı başka bir ağ konumundan katılmayı deneyin. |
| ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) | 'a https://login.microsoftonline.com bağlanma girişimi başarısız oldu. |
ile ağ bağlantısını https://login.microsoftonline.comdenetleyin. |
Diğer hatalar:
| Hata kodu | Nedeni | Çözüm |
|---|---|---|
| ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) | Şirket içi kimlik sağlayıcısının SAML belirteci Microsoft Entra Id tarafından kabul edilemedi. | Federasyon Sunucusu ayarlarını denetleyin. Kimlik doğrulama günlüklerinde sunucu hata kodunu arayın. |
| ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) | Sunucu WS-Trust yanıtı bir hata özel durumu bildirdi ve onay alamadı. | Federasyon Sunucusu ayarlarını denetleyin. Kimlik doğrulama günlüklerinde sunucu hata kodunu arayın. |
| ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) | Belirteç uç noktasından erişim belirteci alınmaya çalışıldığında bir hata alındı. | ADAL günlüğünde temel alınan hatayı arayın. |
| ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) | Genel ADAL hatası. | Kimlik doğrulama günlüklerinden alt kod veya sunucu hata kodunu arayın. |
Birleştirme aşaması
Başarısızlığın nedenleri:
Kullandığınız Windows 10 sürümüne bağlı olarak aşağıdaki tablolardan kayıt türünü ve hata kodunu arayın.
Windows 10 sürüm 1803 veya üzeri
Birleştirme durumu çıkışının "Tanılama Verileri" bölümünde "Önceki Kayıt" alt bölümünü arayın. Bu bölüm yalnızca cihaz etki alanına katılmışsa ve Microsoft Entra karma katılımını yapamıyorsa görüntülenir.
"Kayıt Türü" alanı birleştirme türünü belirtir.
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) is not found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Önceki Windows 10 sürümleri
Birleştirme hatalarının aşamasını ve hata kodunu bulmak için Olay Görüntüleyicisi günlüklerini kullanın.
- Olay Görüntüleyicisi'da Kullanıcı Cihaz Kaydı olay günlüklerini açın. Bunlar, Uygulamalar ve Hizmetler Günlüğü>Microsoft>Windows>Kullanıcı Cihaz Kaydı altında depolanır.
- Olay kimliği 204'e bakın.
DRS sunucusundan döndürülen HTTP hataları:
| Hata kodu | Nedeni | Çözüm |
|---|---|---|
| DSREG_E_DIRECTORY_FAILURE (0x801c03f2/-2145647630) | DRS'den ErrorCode ile bir hata yanıtı alındı: "DirectoryError". | Olası nedenler ve çözümler için sunucu hata koduna bakın. |
| DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) | DRS'den ErrorCode ile bir hata yanıtı alındı: "AuthenticationError" ve ErrorSubCode " DeviceNotFound" değil . | Olası nedenler ve çözümler için sunucu hata koduna bakın. |
| DSREG_E_DEVICE_INTERNALSERVICE_ERROR (0x801c0006/-2145648634) | DRS'den ErrorCode ile bir hata yanıtı alındı: "DirectoryError". | Olası nedenler ve çözümler için sunucu hata koduna bakın. |
TPM hataları:
| Hata kodu | Nedeni | Çözüm |
|---|---|---|
| NTE_BAD_KEYSET (0x80090016/-2146893802) | Güvenilen Platform Modülü (TPM) işlemi başarısız oldu veya geçersizdi. | Hata büyük olasılıkla hatalı bir sysprep görüntüsünden kaynaklanmalı. Sysprep görüntüsünün oluşturulduğu makinenin Microsoft Entra'ya katılmadığından, Microsoft Entra karmaya katılmadığından veya Microsoft Entra'nın kayıtlı olmadığından emin olun. |
| TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | Genel TPM hatası. | Bu hatayla cihazlarda TPM'yi devre dışı bırakın. Windows 10 sürüm 1809 ve üzeri, TPM hatalarını otomatik olarak algılar ve TPM kullanmadan Microsoft Entra karma katılımını tamamlar. |
| TPM_E_NOTFIPS (0x80280036/-2144862154) | FIPS modunda TPM şu anda desteklenmiyor. | Bu hatayla cihazlarda TPM'yi devre dışı bırakın. Windows 10 sürüm 1809, TPM hatalarını otomatik olarak algılar ve TPM kullanmadan Microsoft Entra karma katılımını tamamlar. |
| NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | TPM kilitlendi. | Geçici hata. Yatışma süresince bekleyin. Katılma girişimi bir süre sonra başarılı olur. Daha fazla bilgi için bkz . TPM ile ilgili temel bilgiler. |
Ağ hataları:
| Hata kodu | Nedeni | Çözüm |
|---|---|---|
| WININET_E_TIMEOUT (0x80072ee2/-2147012894) | Cihazı DRS'ye kaydetmeye çalışırken genel ağ zaman aşımı. | ile ağ bağlantısını https://enterpriseregistration.windows.netdenetleyin. |
| WININET_E_NAME_NOT_RESOLVED (0x80072ee7/-2147012889) | Sunucu adı veya adresi çözümlenemedi. | ile ağ bağlantısını https://enterpriseregistration.windows.netdenetleyin. |
| WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) | Sunucuyla bağlantı anormal şekilde sonlandırıldı. | Bir süre sonra katılma işlemini yeniden deneyin veya kararlı başka bir ağ konumundan katılmayı deneyin. |
Diğer hatalar:
| Hata kodu | Nedeni | Çözüm |
|---|---|---|
| DSREG_AUTOJOIN_ADCONFIG_READ_FAILED (0x801c001d/-2145648611) | Olay Kimliği 220, Kullanıcı Cihaz Kaydı olay günlüklerinde bulunur. Windows, Active Directory'deki bilgisayar nesnesine erişemiyor. Olaya bir Windows hata kodu eklenebilir. hata kodları ERROR_NO_SUCH_LOGON_SESSION (1312) ve ERROR_NO_SUCH_USER (1317) şirket içi Active Directory çoğaltma sorunlarıyla ilgilidir. | Active Directory'de çoğaltma sorunlarını giderme. Bu çoğaltma sorunları geçici olabilir ve bir süre sonra ortadan kaldırılabilir. |
Federasyon birleştirme sunucusu hataları:
| Sunucu hata kodu | Sunucu hata iletisi | Olası nedenler | Çözüm |
|---|---|---|---|
| DirectoryError | İsteğiniz geçici olarak kısıtlandı. Lütfen 300 saniye sonra deneyin. | Büyük olasılıkla birden çok kayıt isteği hızlı bir şekilde yapıldığından bu hata beklenir. | Bekleme süresinden sonra birleştirmeyi yeniden deneyin |
Eşitleme-katılma sunucusu hataları:
| Sunucu hata kodu | Sunucu hata iletisi | Olası nedenler | Çözüm |
|---|---|---|---|
| DirectoryError | AADSTS90002: Kiracı UUID bulunamadı. Kiracı için etkin abonelik yoksa bu hata oluşabilir. Abonelik yöneticinize danışın. |
Hizmet bağlantı noktası nesnesindeki kiracı kimliği yanlış. | Hizmet bağlantı noktası nesnesinin doğru Microsoft Entra kiracı kimliği ve etkin aboneliklerle yapılandırıldığından veya hizmetin kiracıda mevcut olduğundan emin olun. |
| DirectoryError | Belirtilen kimlikle cihaz nesnesi bulunamadı. | Eşitleme katılımı için bu hata beklenir. Cihaz nesnesi AD'den Microsoft Entra Id'ye eşitlenmemiş | Microsoft Entra Bağlan Sync'in tamamlanmasını bekleyin ve eşitleme tamamlandıktan sonra bir sonraki birleştirme girişimi sorunu çözecektir. |
| AuthenticationError | Hedef bilgisayarın SID'sinin doğrulanması | Microsoft Entra cihazındaki sertifika, eşitleme birleştirme sırasında blob'ta oturum açmak için kullanılan sertifikayla eşleşmiyor. Bu hata normalde eşitlemenin henüz tamamlanmamış olduğu anlamına gelir. | Microsoft Entra Bağlan Sync'in tamamlanmasını bekleyin. Eşitleme tamamlandıktan sonraki birleştirme girişimi sorunu çözecektir. |
5. Adım: Günlükleri toplama ve Microsoft Desteği ile iletişim kurma
Auth.zip dosyasını indirin.
Dosyaları c:\temp gibi bir klasöre ayıklayın ve klasöre gidin.
Yükseltilmiş bir Azure PowerShell oturumundan komutunu çalıştırın
.\start-auth.ps1 -v -accepteula.Sorunlu kullanıcıyla başka bir oturuma geçmek için Hesap Değiştir'i seçin.
Sorunu yeniden üretin.
İzlemeyi çalıştıran yönetici oturumuna geri dönmek için Hesap Değiştir'i seçin.
Yükseltilmiş PowerShell oturumundan komutunu çalıştırın
.\stop-auth.ps1.Komut dosyalarının yürütüldüğü klasörden Authlogs klasörünü sıkıştırın (sıkıştırın) ve gönderin.
Birleştirme sonrası kimlik doğrulaması sorunlarını giderme
1. Adım: Kullanarak PRT durumunu alma dsregcmd /status
Bir Komut İstemi penceresi açın.
Not
Birincil Yenileme Belirteci (PRT) durumunu almak için oturum açmış kullanıcı bağlamında Komut İstemi penceresini açın.
dsregcmd /status'i çalıştırın."SSO durumu" bölümü geçerli PRT durumunu sağlar.
AzureAdPrt alanı HAYIR olarak ayarlandıysa, Microsoft Entra Id'den PRT durumu alma hatası oluştu.
AzureAdPrtUpdateTime dört saatten uzunsa PRT'nin yenilenmesiyle ilgili bir sorun olabilir. PRT yenilemesini zorlamak için cihazı kilitleyin ve kilidini açın ve ardından saatin güncelleştirilip güncelleştirilmediğini denetleyin.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : YES
AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs
+----------------------------------------------------------------------+
2. Adım: Hata kodunu bulma
Çıkıştan dsregcmd
Not
Çıkış, Windows 10 Mayıs 2021 güncelleştirmesinden (sürüm 21H1) edinilebilir.
"AzureAdPrt" alanının altındaki "Deneme Durumu" alanı, diğer gerekli hata ayıklama bilgileriyle birlikte önceki PRT denemesinin durumunu sağlar. Önceki Windows sürümleri için Microsoft Entra analytics ve işlem günlüklerindeki bilgileri ayıklayın.
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : 63648321-fc5c-46eb-996e-ed1f3ba7740f
Endpoint URI : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
Microsoft Entra analiz ve işlem günlüklerinden
PRT alımı sırasında Microsoft Entra CloudAP eklentisi tarafından günlüğe kaydedilen günlük girdilerini aramak için Olay Görüntüleyicisi kullanın.
- Olay Görüntüleyicisi'da Microsoft Entra Operasyonel olay günlüklerini açın. Uygulamalar ve Hizmetler Günlüğü>Microsoft>Windows>AAD altında depolanır.
Not
CloudAP eklentisi işlem günlüklerinde hata olaylarını günlüğe kaydeder ve bilgi olaylarını analiz günlüklerine kaydeder. Sorunları gidermek için hem analiz hem de işlem günlüğü olayları gereklidir.
Analiz günlüklerindeki Olay 1006, PRT alım akışının başlangıcını, analiz günlüklerindeki olay 1007 ise PRT alma akışının sonunu belirtir. 1006 ve 1007 olayları arasında günlüğe kaydedilen Microsoft Entra günlüklerindeki (analiz ve operasyonel) tüm olaylar PRT alma akışının bir parçası olarak günlüğe kaydedildi.
Olay 1007 son hata kodunu günlüğe kaydeder.
3. Adım: Bulunan hata koduna bağlı olarak daha fazla sorun giderme
| Hata kodu | Nedeni | Çözüm |
|---|---|---|
| STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d) STATUS_WRONG_PASSWORD (-1073741718/ 0xc000006a) |
Not: Federasyon kimlik doğrulaması için WS-Trust gereklidir. |
|
| STATUS_REQUEST_NOT_ACCEPTED (-1073741616/ 0xc00000d0) | Microsoft Entra kimlik doğrulama hizmetinden veya WS-Trust uç noktasından bir hata yanıtı (HTTP 400) alındı. Not: Federasyon kimlik doğrulaması için WS-Trust gereklidir. |
1081 ve 1088 olayları (Microsoft Entra işlem günlükleri), sırasıyla Microsoft Entra kimlik doğrulama hizmetinden ve WS-Trust uç noktasından kaynaklanan hatalara yönelik sunucu hata kodunu ve hata açıklamasını içerir. Ortak sunucu hata kodları ve bunların çözümleri sonraki bölümde listelenmiştir. 1081 veya 1088 olaylarından önceki olay 1022 (Microsoft Entra analytics günlükleri) ilk örneği, erişilmekte olan URL'yi içerir. |
| STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c) STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be) STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4) |
Not: Federasyon kimlik doğrulaması için WS-Trust gereklidir. |
|
| STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) | Microsoft Entra kimlik doğrulama hizmeti kullanıcının etki alanını bulamadığından kullanıcı bölgesi bulunamadı. | |
| AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) | Kullanıcının UPN'i beklenen biçimde değil. Notlar: |
whoami /upn UPN'yi görüntülemelidir. |
| AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY (-1073445822/ 0xc0048442) | Microsoft Entra kimlik doğrulama hizmeti tarafından döndürülen kimlik belirtecinde kullanıcı SID'si eksik. | Ağ proxy'sinin sunucu yanıtını engellemediğinden ve değiştirmediğinden emin olun. |
| AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) | WS-Trust uç noktasından bir hata alındı. Not: Federasyon kimlik doğrulaması için WS-Trust gereklidir. |
|
| AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) | MEX uç noktası yanlış yapılandırılmış. MEX yanıtı herhangi bir parola URL'sini içermez. | |
| AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) | MEX uç noktası yanlış yapılandırılmış. MEX yanıtı, bir sertifika uç noktası URL'si içermiyor. | |
| WC_E_DTDPROHIBITED (-1072894385/ 0xc00cee4f) | WS-Trust uç noktasından gelen XML yanıtı bir Belge Türü Tanımı (DTD) içeriyordu. XML yanıtlarında DTD beklenmez ve DTD dahil edilirse yanıt ayrıştırma başarısız olur. Not: Federasyon kimlik doğrulaması için WS-Trust gereklidir. |
Ortak sunucu hata kodları
| Hata kodu | Nedeni | Çözüm |
|---|---|---|
| AADSTS50155: Cihaz kimlik doğrulaması başarısız oldu | Cihazı birleştirme türüne göre yeniden kaydetmek için Microsoft Entra cihaz yönetimi hakkında SSS'de bu soruna yönelik yönergeleri izleyin. | |
AADSTS50034: Kullanıcı hesabı Account dizinde tenant id yok |
Microsoft Entra Id, kiracıda kullanıcı hesabını bulamıyor. | |
| AADSTS50126: Geçersiz kullanıcı adı veya parola nedeniyle kimlik bilgileri doğrulanırken hata oluştu. | Yeni kimlik bilgileriyle yeni bir PRT almak için Microsoft Entra parola eşitlemesinin tamamlanmasını bekleyin. |
Yaygın ağ hata kodları
| Hata kodu | Nedeni | Çözüm |
|---|---|---|
| ERROR_WINHTTP_TIMEOUT (12002) ERROR_WINHTTP_NAME_NOT_RESOLVED (12007) ERROR_WINHTTP_CANNOT_CONNECT (12029) ERROR_WINHTTP_CONNECTION_ERROR (12030) |
Ağ ile ilgili yaygın sorunlar. | Daha fazla ağ hata kodu alın. |
4. Adım: Günlükleri toplama
Normal günlükler
- https://aka.ms/icesdptool Tanılama aracını içeren bir .cab dosyasını otomatik olarak indirmek için adresine gidin.
- Aracı çalıştırın ve senaryonuzu yeniden üretin.
- Fiddler izlemeleri için açılan sertifika isteklerini kabul edin.
- Sihirbaz, izleme dosyalarınızı korumak için sizden bir parola ister. Bir parola girin.
- Son olarak, toplanan tüm günlüklerin depolandığı klasörü açın( örneğin , %LOCALAPPDATA%\ElevatedDiagnostics\numbers).
- En son .cab dosyasının içeriğiyle destek ekibine başvurun.
Ağ izlemeleri
Not
Ağ izlemelerini toplarken, yeniden oluşturma sırasında Fiddler'ı kullanmamak önemlidir.
netsh trace start scenario=internetClient_dbg capture=yes persistent=yes'i çalıştırın.- Cihazı kilitleyin ve kilidini açın. Karma birleştirilmiş cihazlar için PRT alma görevinin tamamlanmasını sağlamak için bir dakika veya daha fazla bekleyin.
netsh trace stop'i çalıştırın.- nettrace.cab dosyasını Destek ile paylaşın.
Bilinen sorunlar
Bir mobil etkin nokta veya dış Wi-Fi ağına bağlıysanız ve Ayarlar> Accounts>Access Work veya School'a giderseniz, Microsoft Entra karma katılmış cihazlar biri Microsoft Entra ID ve diğeri şirket içi AD için olmak üzere iki farklı hesap gösterebilir. Bu kullanıcı arabirimi sorunu işlevselliği etkilemez.
İlgili içerik
- komutunu kullanarak
dsregcmdcihazlarda sorun giderme. - Microsoft Hata Arama Aracı'na gidin.