无法使用设备注册服务执行工作区加入
本文介绍用户无法使用设备注册服务将设备加入工作区的问题。 它提供两种解决方法。
原始产品版本:Windows 8.1 企业版、Windows Server 2012 R2 Datacenter、Windows Server 2012 R2 Standard、Microsoft Entra ID
原始 KB 编号: 3045387
症状
当用户尝试使用设备注册服务执行工作区加入时,用户会收到以下消息之一:
在提供用户的用户名和密码 之前 ,用户会收到以下消息:
确认你使用的是当前登录信息,并且你的工作场所使用此功能。 此外,与工作区的连接现在可能不起作用。 请稍候,然后重试。
用户在提供用户的用户名和密码 后 收到以下消息:
无法连接到服务。
解决方案
若要解决上述任一问题,请使用适合这种情况的方法。
方法 1
若要解决消息 1 的问题,请查看尝试执行工作区加入的客户端计算机上的事件日志,以确定正确的解决方案。
管理员可能会在事件查看器中看到类似于以下示例的详细信息:
| 事件 ID: | (请参阅下表了解事件 ID.) |
|---|---|
| 日志名称: | Windows 7:应用程序和服务日志/Microsoft-Workplace-Join/管理员 Windows 8或Windows 10:应用程序和服务日志/Microsoft-Windows-Workplace-Join/管理员 |
| 源: | Microsoft-Windows-Workplace Join |
| 水平: | 错误 |
| 说明: | (有关事件 ID description,请参阅下表。) |
| 事件 ID | 描述 | 解决方案 |
|---|---|---|
| 103 | 工作区加入发现失败。 服务器返回 http 状态 404。 | KB 3045386 |
| 103 | 工作区加入发现失败。 服务器返回 http 状态 503。 | KB 3045388 |
| 102 | 工作区加入发现失败。 退出代码:0x80072EE7。 无法解析服务器名称或地址。 无法连接到 'https://EnterpriseRegistration.domainTEST.com:443/EnrollmentServer/contract?api-version=1.0'。 |
KB 3045385 |
| 102 | 工作区加入发现失败。 退出代码:0x80072F19。 无法连接到吊销服务器,或者无法获取最终响应。 无法连接到 'https://EnterpriseRegistration.domain.com:443/EnrollmentServer/contract?api-version=1.0'。 |
KB 3045384 |
| 102 | 工作区加入发现失败。 退出代码:0x80072F8A。 提供的证书已被吊销。 无法连接到 'https://EnterpriseRegistration.domain.com:443/EnrollmentServer/contract?api-version=1.0'。 |
KB 3045383 |
| 102 | 工作区加入发现失败。 退出代码:0x80072F0D。 证书颁发机构无效或不正确。 无法连接到 'https://EnterpriseRegistration.domain.com:443/EnrollmentServer/contract?api-version=1.0'。 |
KB 3045382 |
| 102 | 工作区加入发现失败。 退出代码:0x80072EFD。 无法建立与服务器的连接。 无法连接到 'https://EnterpriseRegistration.domain.com:443/EnrollmentServer/contract?api-version=1.0'。 |
KB 3045381 |
| 102 | 工作区加入发现失败。 退出代码:0x80004005。 发生了未知错误。 无法连接到 'https://EnterpriseRegistration.domain.com:443/EnrollmentServer/contract?api-version=1.0'。 |
KB 3045380 |
| 200 | “已达到用户可加入工作区的最大设备数。” | KB 3045379 |
方法 2
若要解决消息 2 的问题,请参阅 尝试注册设备时出现“无法连接到服务”错误。
更多信息
若要快速排查这些问题,请尝试以下一项或多项操作。
验证 DNS
使用 NSlookup验证 DNS 配置,并验证答案是否正确。 为此,请打开命令提示符窗口,然后运行以下命令:
Nslookup enterpriseregistration.domain.com
- 如果使用Microsoft Entra联接:
- 应返回 的
EnterpriseRegistration.windows.netCNAME 结果作为目标。
- 应返回 的
- 如果使用 Windows Server Workplace Join:
- 内部主机应返回内部 ADFS 节点。
- 外部主机应返回外部 ADFS 代理地址。
刷新 DNS 缓存
以管理员身份打开命令提示符窗口,然后运行以下命令:
ipconfig /FlushDNS
验证设备注册是否已启用
如果尝试执行工作区加入以Microsoft Entra ID:
- 登录到 Azure 门户,或以公司管理员身份从 Microsoft 365 管理中心 启动 Microsoft Entra ID 控制台。
- 转到用户尝试执行联接的目录。
- 转到 “配置”。
- 向下滚动到 “设备注册 ”部分。
- 确保标记为 ENABLE WORKPLACE JOIN 的设置已切换为 “是”。 (“是”将为蓝色。)
如果尝试对本地 Active Directory 域执行工作区加入,请执行以下操作:
- 打开Active Directory 联合身份验证服务 (AD FS) 管理控制台。
- 选择“ 信赖方信任” 可确定是否在 AD FS 场的每个节点上启用设备注册服务信任。
验证Active Directory 联合身份验证服务服务和设备注册服务服务是否正在运行
如果尝试对本地 Active Directory 执行工作区加入,则应登录到 AD FS 场的每个节点,然后执行以下步骤:
- 依次转到“控制面板”、“管理工具”和“服务” (Services.msc) 。
- 找到Active Directory 联合身份验证服务服务,并验证其状态。
- 找到设备注册服务服务,并验证其状态。
- 如果任一服务未运行,请启动服务。
验证是否已为 AD FS 场中的每个节点注册主机名绑定
如果尝试对本地 Active Directory 执行工作区加入,请按照以下 Microsoft TechNet 网站上的步骤操作:
确保主机名 (,例如 EnterpriseRegistration。 domain_name。 domain_extension) 绑定到端口 443。
更新根证书
运行Windows 更新,并确保已安装根证书的汇报
验证是否启用流量(如果使用第三方代理或防火墙服务器)
如果尝试对本地 Active Directory 执行工作区加入,请验证是否有规则来启用到 EnterpriseRegistration 的传入 TCP 连接。 domain_name。 domain_extension。 它应允许流量通过 DRS 服务器。
联系我们寻求帮助
如果你有任何疑问或需要帮助,请创建支持请求或联系 Azure 社区支持。 还可以向 Azure 反馈社区提交产品反馈。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈