疑難排解 Microsoft Entra 混合式加入裝置
本文提供疑難解答指引,協助您解決執行 Windows 10 或更新版本和 Windows Server 2016 或更新版本之裝置的潛在問題。
Microsoft Entra 混合式聯結支援 Windows 10 2015 年 11 月更新和更新版本。
若要針對其他 Windows 用戶端進行疑難解答,請參閱 針對已加入混合式下層裝置的 Microsoft Entra 進行疑難解答。
本文假設您有 Microsoft Entra 混合式已加入裝置 ,以支援下列案例:
- 裝置型條件式存取
- 企業狀態漫遊
- Windows Hello 企業版
注意
若要針對常見的裝置註冊問題進行疑難解答,請使用 裝置註冊疑難解答員工具。
針對聯結失敗進行疑難解答
步驟 1:擷取聯結狀態
- 開啟命令提示字元視窗,以系統管理員身分執行。
- 輸入
dsregcmd /status
。
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined: YES
EnterpriseJoined: NO
DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
Thumbprint: B753A6679CE720451921302CA873794D94C6204A
KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
KeyProvider: Microsoft Platform Crypto Provider
TpmProtected: YES
KeySignTest: : MUST Run elevated to test.
Idp: login.windows.net
TenantId: 72b988bf-xxxx-xxxx-xxxx-2d7cd011xxxx
TenantName: Contoso
AuthCodeUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/authorize
AccessTokenUrl: https://login.microsoftonline.com/msitsupp.microsoft.com/oauth2/token
MdmUrl: https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl: https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
dmComplianceUrl: https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl: eyJVcmlzIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyJdfQ==
JoinSrvVersion: 1.0
JoinSrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId: urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion: 1.0
KeySrvUrl: https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId: urn:ms-drs:enterpriseregistration.windows.net
DomainJoined: YES
DomainName: CONTOSO
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet: YES
NgcKeyId: {C7A9AEDC-780E-4FDA-B200-1AE15561A46B}
WorkplaceJoined: NO
WamDefaultSet: YES
WamDefaultAuthority: organizations
WamDefaultId: https://login.microsoft.com
WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
AzureAdPrt: YES
步驟 2:評估聯結狀態
檢閱下表中的欄位,並確定其具有預期的值:
欄位 | 預期值 | 描述 |
---|---|---|
DomainJoined | 是 | 此欄位指出裝置是否已加入 內部部署的 Active Directory。 如果值為 NO,裝置就無法執行 Microsoft Entra 混合式聯結。 |
WorkplaceJoined | 否 | 此欄位指出裝置是否已向 Microsoft Entra ID 註冊為個人裝置(標示為 已加入工作場所)。 加入網域的計算機應該為 NO ,這也是已加入 Microsoft Entra 混合式聯結的電腦。 如果值為 YES,則會在完成 Microsoft Entra 混合式聯結之前新增公司或學校帳戶。 在此情況下,當您使用 Windows 10 版本 1607 或更新版本時,會忽略帳戶。 |
AzureAdJoined | 是 | 此欄位指出裝置是否已加入。 如果裝置是已加入 Microsoft Entra 的裝置或已加入 Microsoft Entra 混合式裝置,則值為 YES 。 如果值為 NO,則加入 Microsoft Entra ID 尚未完成。 |
繼續進行後續步驟,以進一步進行疑難解答。
步驟 3:尋找聯結失敗的階段,以及錯誤碼
針對 Windows 10 版本 1803 或更新版本
在聯結狀態輸出的 [診斷數據] 區段中尋找 [先前註冊] 子區段。 只有在裝置已加入網域且無法加入 Microsoft Entra 混合式聯結時,才會顯示本節。
[錯誤階段] 欄位代表聯結失敗的階段,而 “Client ErrorCode” 表示聯結作業的錯誤碼。
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (e92325d0-xxxx-xxxx-xxxx-94ae875d5245) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
適用於舊版 Windows 10
使用 事件檢視器 記錄來找出聯結失敗的階段和錯誤碼。
- 在 事件檢視器 中,開啟 [用戶裝置註冊] 事件記錄檔。 它們會儲存在 [應用程式及服務記錄>檔] [Microsoft>Windows>使用者裝置註冊] 底下。
- 尋找具有下列事件標識碼的事件:304、305 和 307。
步驟 4:檢查可能的原因和解決方法
預先檢查階段
失敗的可能原因:
- 裝置沒有域控制器的視線。
- 裝置必須位於組織的內部網路或虛擬專用網上,且網路可看見 內部部署的 Active Directory 域控制器。
探索階段
失敗的可能原因:
- 服務連接點物件設定錯誤或無法從域控制器讀取。
- 在裝置所屬的 AD 樹系中,需要有效的服務連接點物件,該物件會指向 Microsoft Entra ID 中已驗證的功能變數名稱。
- 如需詳細資訊,請參閱教學課程:設定同盟網域的 Microsoft Entra 混合式聯結的一節。
- 無法連線到探索端點並擷取探索元數據。
- 裝置應該能夠在系統內容中存取
https://enterpriseregistration.windows.net
,以探索註冊和授權端點。 - 如果內部部署環境需要輸出 Proxy,IT 系統管理員必須確定裝置的計算機帳戶可以探索並以無訊息方式向輸出 Proxy 進行驗證。
- 裝置應該能夠在系統內容中存取
- 無法連線到用戶領域端點並執行領域探索 (僅限 Windows 10 1809 版和更新版本)。
- 裝置應該能夠在系統內容中存取
https://login.microsoftonline.com
,以針對已驗證的網域執行領域探索,並判斷網域類型(受控或同盟)。 - 如果內部部署環境需要輸出 Proxy,IT 系統管理員必須確定裝置上的系統內容可以探索並以無訊息方式向輸出 Proxy 進行驗證。
- 裝置應該能夠在系統內容中存取
常見的錯誤碼:
錯誤碼 | 原因 | 解決方法 |
---|---|---|
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED(0x801c001d/-2145648611) | 無法讀取服務連接點 (SCP) 物件,並取得 Microsoft Entra 租使用者資訊。 | 請參閱設定 服務連接點 一節。 |
DSREG_AUTOJOIN_DISC_FAILED (0x801c0021/-2145648607) | 一般探索失敗。 無法從數據復寫服務 (DRS) 取得探索元數據。 | 若要進一步調查,請在下一節中尋找子程式。 |
DSREG_AUTOJOIN_DISC_WAIT_TIMEOUT (0x801c001f/-2145648609) | 作業在執行探索時逾時。 | 確定可在 https://enterpriseregistration.windows.net 系統內容中存取。 如需詳細資訊,請參閱 網路連線需求 一節。 |
DSREG_AUTOJOIN_USERREALM_DISCOVERY_FAILED (0x801c003d/-2145648579) | 一般領域探索失敗。 無法從 STS 判斷網域類型 (Managed/federated)。 | 若要進一步調查,請在下一節中尋找子程式。 |
常見的子錯誤碼:
若要尋找探索錯誤碼的子程序代碼,請使用下列其中一種方法。
Windows 10 版本 1803 或更新版本
在聯結狀態輸出的 [診斷數據] 區段中尋找 「DRS 探索測試」。 只有在裝置已加入網域且無法加入 Microsoft Entra 混合式聯結時,才會顯示本節。
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : UN-ELEVATED User
Client Time : 2019-06-05 08:25:29.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x80072ee2]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
+----------------------------------------------------------------------+
舊版 Windows 10
使用 事件檢視器 記錄來尋找聯結失敗的階段和錯誤碼。
- 在 事件檢視器 中,開啟 [用戶裝置註冊] 事件記錄檔。 它們會儲存在 [應用程式及服務記錄>檔] [Microsoft>Windows>使用者裝置註冊] 底下。
- 尋找事件標識碼 201。
網路錯誤:
錯誤碼 | 原因 | 解決方法 |
---|---|---|
WININET_E_CANNOT_CONNECT (0x80072efd/-2147012867) | 無法建立與伺服器的 連線。 | 確保網路連線到必要的 Microsoft 資源。 如需詳細資訊,請參閱網路連線需求。 |
WININET_E_TIMEOUT(0x80072ee2/-2147012894) | 一般網路逾時。 | 確保網路連線到必要的 Microsoft 資源。 如需詳細資訊,請參閱網路連線需求。 |
WININET_E_DECODING_FAILED (0x80072f8f/-2147012721) | 網路堆疊無法譯碼來自伺服器的回應。 | 請確定網路 Proxy 不會干擾和修改伺服器回應。 |
HTTP 錯誤:
錯誤碼 | 原因 | 解決方法 |
---|---|---|
DSREG_DISCOVERY_TENANT_NOT_FOUND (0x801c003a/-2145648582) | 服務連接點物件是使用錯誤的租使用者標識元設定,或在租使用者中找不到作用中的訂用帳戶。 | 請確定服務連接點對象已設定正確的 Microsoft Entra 租使用者識別碼和作用中訂用帳戶,或服務存在於租使用者中。 |
DSREG_SERVER_BUSY (0x801c0025/-2145648603) | 來自 DRS 伺服器的 HTTP 503。 | 伺服器目前無法使用。 伺服器重新上線之後,未來聯結嘗試可能會成功。 |
其他錯誤:
錯誤碼 | 原因 | 解決方法 |
---|---|---|
E_INVALIDDATA (0x8007000d/-2147024883) | 伺服器回應 JSON 無法剖析,可能是因為 Proxy 傳回具有 HTML 授權頁面的 HTTP 200。 | 如果內部部署環境需要輸出 Proxy,IT 系統管理員必須確定裝置上的系統內容可以探索並以無訊息方式向輸出 Proxy 進行驗證。 |
驗證階段
此內容僅適用於同盟網域帳戶。
失敗的原因:
- 無法以無訊息方式取得 DRS 資源的存取令牌。
- Windows 10 和 Windows 11 裝置會使用整合式 Windows 驗證,從同盟服務取得驗證令牌至作用中的 WS-Trust 端點。 如需詳細資訊,請參閱 同盟服務組態。
常見的錯誤碼:
使用 事件檢視器 記錄來找出錯誤碼、子程式代碼、伺服器錯誤碼和伺服器錯誤訊息。
- 在 事件檢視器 中,開啟 [用戶裝置註冊] 事件記錄檔。 它們會儲存在 [應用程式及服務記錄>檔] [Microsoft>Windows>使用者裝置註冊] 底下。
- 尋找事件標識碼 305。
設定錯誤:
錯誤碼 | 原因 | 解決方法 |
---|---|---|
ERROR_ADAL_PROTOCOL_NOT_SUPPORTED (0xcaa90017/-894894057) | Azure AD 驗證 連結庫 (ADAL) 驗證通訊協定不是 WS-Trust。 | 內部部署識別提供者必須支援 WS-Trust。 |
ERROR_ADAL_FAILED_TO_PARSE_XML (0xcaa9002c/-894894036) | 內部部署同盟服務未傳回 XML 回應。 | 確定元數據交換 (MEX) 端點傳回有效的 XML。 請確定 Proxy 不會干擾並傳回 nonxml 回應。 |
ERROR_ADAL_COULDNOT_DISCOVER_USERNAME_PASSWORD_ENDPOINT (0xcaa90023/-894894045) | 無法探索使用者名稱/密碼驗證的端點。 | 檢查內部部署識別提供者設定。 請確定已啟用 WS-Trust 端點,且 MEX 回應包含這些正確的端點。 |
網路錯誤:
錯誤碼 | 原因 | 解決方法 |
---|---|---|
ERROR_ADAL_INTERNET_TIMEOUT (0xcaa82ee2/-894947614) | 一般網路逾時。 | 確定可在 https://login.microsoftonline.com 系統內容中存取。 確定系統內容可存取內部部署識別提供者。 如需詳細資訊,請參閱網路連線需求。 |
ERROR_ADAL_INTERNET_CONNECTION_ABORTED (0xcaa82efe/-894947586) | 已中止授權端點的 連線。 | 在一段時間後重試加入,或嘗試從另一個穩定的網路位置加入。 |
ERROR_ADAL_INTERNET_SECURE_FAILURE (0xcaa82f8f/-894947441) | 無法驗證伺服器傳送的傳輸層安全性 (TLS) 憑證(先前稱為安全套接字層[SSL] 憑證。 | 檢查客戶端時間扭曲。 在一段時間後重試加入,或嘗試從另一個穩定的網路位置加入。 |
ERROR_ADAL_INTERNET_CANNOT_CONNECT (0xcaa82efd/-894947587) | 嘗試連線失敗 https://login.microsoftonline.com 。 |
檢查與 https://login.microsoftonline.com 的網路連線。 |
其他錯誤:
錯誤碼 | 原因 | 解決方法 |
---|---|---|
ERROR_ADAL_SERVER_ERROR_INVALID_GRANT (0xcaa20003/-895352829) | Microsoft Entra ID 不接受來自內部部署識別提供者的 SAML 令牌。 | 檢查同盟伺服器設定。 在驗證記錄中尋找伺服器錯誤碼。 |
ERROR_ADAL_WSTRUST_REQUEST_SECURITYTOKEN_FAILED (0xcaa90014/-894894060) | 伺服器 WS-Trust 回應回報錯誤例外狀況,且無法取得判斷提示。 | 檢查同盟伺服器設定。 在驗證記錄中尋找伺服器錯誤碼。 |
ERROR_ADAL_WSTRUST_TOKEN_REQUEST_FAIL (0xcaa90006/-894894074) | 嘗試從令牌端點取得存取令牌時收到錯誤。 | 尋找 ADAL 記錄檔中的基礎錯誤。 |
ERROR_ADAL_OPERATION_PENDING (0xcaa1002d/-895418323) | 一般 ADAL 失敗。 | 從驗證記錄尋找子程式代碼或伺服器錯誤碼。 |
聯結階段
失敗的原因:
根據您使用的 Windows 10 版本,尋找下表中的註冊類型和錯誤碼。
Windows 10 版本 1803 或更新版本
在聯結狀態輸出的 [診斷數據] 區段中尋找 [先前註冊] 子區段。 只有在裝置已加入網域且無法加入 Microsoft Entra 混合式加入時,才會顯示本節。
[註冊類型] 欄位代表聯結的類型。
+----------------------------------------------------------------------+
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (e92325d0-7ac4-4714-88a1-94ae875d5245) is not found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
舊版 Windows 10
使用 事件檢視器 記錄來找出聯結失敗的階段和錯誤碼。
- 在 事件檢視器 中,開啟 [用戶裝置註冊] 事件記錄檔。 它們會儲存在 [應用程式及服務記錄>檔] [Microsoft>Windows>使用者裝置註冊] 底下。
- 尋找事件標識碼 204。
從 DRS 伺服器傳回的 HTTP 錯誤:
錯誤碼 | 原因 | 解決方法 |
---|---|---|
DSREG_E_DIRECTORY_FAILURE(0x801c03f2/-2145647630) | 收到來自 DRS 並出現 ErrorCode: “DirectoryError” 的錯誤回應。 | 如需可能的原因和解決方法,請參閱伺服器錯誤碼。 |
DSREG_E_DEVICE_AUTHENTICATION_ERROR (0x801c0002/-2145648638) | 收到來自 DRS 並出現 ErrorCode:“AuthenticationError” 和 ErrorSubCode 不是 “DeviceNotFound” 的錯誤回應。 | 如需可能的原因和解決方法,請參閱伺服器錯誤碼。 |
DSREG_E_DEVICE_INTERNALSERVICE_ERROR(0x801c0006/-2145648634) | 收到來自 DRS 並出現 ErrorCode: “DirectoryError” 的錯誤回應。 | 如需可能的原因和解決方法,請參閱伺服器錯誤碼。 |
TPM 錯誤:
錯誤碼 | 原因 | 解決方法 |
---|---|---|
NTE_BAD_KEYSET(0x80090016/-2146893802) | 信賴平臺模組 (TPM) 作業失敗或無效。 | 失敗可能是來自錯誤的 sysprep 映射。 請確定建立 sysprep 映射的電腦未加入 Microsoft Entra、Microsoft Entra 混合式聯結或已註冊 Microsoft Entra。 |
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | 一般 TPM 錯誤。 | 在裝置上停用 TPM,並出現此錯誤。 Windows 10 1809 版和更新版本會自動偵測 TPM 失敗,並完成 Microsoft Entra 混合式聯結而不使用 TPM。 |
TPM_E_NOTFIPS (0x80280036/-2144862154) | 目前不支援 FIPS 模式中的 TPM。 | 在裝置上停用 TPM,並出現此錯誤。 Windows 10 版本 1809 會自動偵測 TPM 失敗,並在不使用 TPM 的情況下完成 Microsoft Entra 混合式聯結。 |
NTE_AUTHENTICATION_IGNORED(0x80090031/-2146893775) | TPM 已鎖定。 | 暫時性錯誤。 等待冷卻期間。 聯結嘗試應該會在一段時間后成功。 如需詳細資訊,請參閱 TPM 基本概念。 |
網路錯誤:
錯誤碼 | 原因 | 解決方法 |
---|---|---|
WININET_E_TIMEOUT(0x80072ee2/-2147012894) | 嘗試在 DRS 註冊裝置的一般網路逾時。 | 檢查與 https://enterpriseregistration.windows.net 的網路連線能力。 |
WININET_E_NAME_NOT_RESOLVED(0x80072ee7/-2147012889) | 無法解析伺服器名稱或位址。 | 檢查與 https://enterpriseregistration.windows.net 的網路連線能力。 |
WININET_E_CONNECTION_ABORTED (0x80072efe/-2147012866) | 與伺服器的連線異常終止。 | 在一段時間後重試加入,或嘗試從另一個穩定的網路位置加入。 |
其他錯誤:
錯誤碼 | 原因 | 解決方法 |
---|---|---|
DSREG_AUTOJOIN_ADCONFIG_READ_FAILED(0x801c001d/-2145648611) | 事件標識碼 220 會出現在用戶裝置註冊事件記錄檔中。 Windows 無法存取 Active Directory 中的計算機物件。 事件可能包含 Windows 錯誤碼。 錯誤碼ERROR_NO_SUCH_LOGON_SESSION (1312) 和 ERROR_NO_SUCH_USER (1317) 與 內部部署的 Active Directory 中的復寫問題有關。 | 針對 Active Directory 中的複寫問題進行疑難解答。 這些復寫問題可能是暫時性的,而且可能會在一段時間后消失。 |
同盟聯結伺服器錯誤:
伺服器錯誤碼 | 伺服器錯誤訊息 | 可能的原因 | 解決方法 |
---|---|---|---|
DirectoryError | 您的要求會暫時進行節流。 請在 300 秒後嘗試。 | 這是預期的錯誤,可能是因為多個註冊要求是在快速連續進行。 | 在冷卻期間之後重試聯結 |
同步聯結伺服器錯誤:
伺服器錯誤碼 | 伺服器錯誤訊息 | 可能的原因 | 解決方法 |
---|---|---|---|
DirectoryError | AADSTS90002:找不到租使用者 UUID 。 如果租用戶沒有作用中的訂用帳戶,就可能發生此錯誤。 請洽詢您的訂用帳戶管理員。 |
服務連接點物件中的租用戶標識碼不正確。 | 請確定服務連接點對象已設定正確的 Microsoft Entra 租使用者識別碼和作用中訂用帳戶,或服務存在於租使用者中。 |
DirectoryError | 找不到指定標識碼的裝置物件。 | 同步聯結預期會發生此錯誤。 裝置物件尚未從 AD 同步至 Microsoft Entra ID | 等候 Microsoft Entra 連線 Sync 完成,而同步完成之後的下一次聯結嘗試將會解決此問題。 |
AuthenticationError | 目標電腦的 SID 驗證 | Microsoft Entra 裝置上的憑證不符合在同步加入期間用來登入 Blob 的憑證。 此錯誤通常表示同步處理尚未完成。 | 等候 Microsoft Entra 連線 Sync 完成,而同步完成之後的下一次聯結嘗試將會解決此問題。 |
步驟 5:收集記錄和連絡 Microsoft 支援服務
將檔案解壓縮到資料夾,例如 c:\temp,然後移至資料夾。
從提升權限的 Azure PowerShell 工作階段執行
.\start-auth.ps1 -v -accepteula
。選取 [切換帳戶 ] 以切換至問題使用者的另一個會話。
重現問題。
選取 [ 切換帳戶 ] 以切換回執行追蹤的管理員會話。
從提升權限的 PowerShell 工作階段中,執行
.\stop-auth.ps1
。Zip (compress) 並從執行腳本的資料夾傳送 資料夾 Authlogs 。
針對加入后驗證問題進行疑難解答
步驟 1:使用 擷取 PRT 狀態 dsregcmd /status
開啟命令提示字元視窗。
注意
若要取得主要重新整理令牌 (PRT) 狀態,請在登入使用者的內容中開啟 [命令提示字元] 視窗。
執行
dsregcmd /status
。[SSO 狀態] 區段提供目前的 PRT 狀態。
如果 AzureAdPrt 字段設定為 NO,則從 Microsoft Entra ID 取得 PRT 狀態時發生錯誤。
如果 AzureAdPrtUpdateTime 超過四小時,則重新整理 PRT 可能會發生問題。 鎖定並解除鎖定裝置以強制PRT重新整理,然後檢查時間是否更新。
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : YES
AzureAdPrtUpdateTime : 2020-07-12 22:57:53.000 UTC
AzureAdPrtExpiryTime : 2019-07-26 22:58:35.000 UTC
AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2020-07-12 22:57:54.000 UTC
EnterprisePrtExpiryTime : 2020-07-26 22:57:54.000 UTC
EnterprisePrtAuthority : https://corp.hybridadfs.contoso.com:443/adfs
+----------------------------------------------------------------------+
步驟 2:尋找錯誤碼
dsregcmd
從輸出
注意
輸出可從 Windows 10 2021 年 5 月更新 (版本 21H1) 取得。
[AzureAdPrt] 字段下的 [嘗試狀態] 字段會提供先前 PRT 嘗試的狀態,以及其他必要的偵錯資訊。 針對舊版 Windows,請從 Microsoft Entra 分析和作業記錄擷取資訊。
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : john@contoso.com
Credential Type : Password
Correlation ID : 63648321-fc5c-46eb-996e-ed1f3ba7740f
Endpoint URI : https://login.microsoftonline.com/96fa76d0-xxxx-xxxx-xxxx-eb60cc22xxxx/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
從 Microsoft Entra 分析和作業記錄
使用 事件檢視器 尋找 Microsoft Entra CloudAP 外掛程式在 PRT 取得期間記錄的記錄專案。
- 在 事件檢視器 中,開啟 Microsoft Entra Operational 事件記錄檔。 它們儲存在應用程式與服務記錄>Microsoft>Windows>AAD 之下。
注意
CloudAP 外掛程式會在作業記錄中記錄錯誤事件,並在分析記錄中記錄資訊事件。 針對問題進行疑難解答時,都需要分析和操作記錄事件。
分析記錄中的事件 1006 代表 PRT 擷取流程的開始,而分析記錄中的事件 1007 代表 PRT 擷取流程的結尾。 在 PRT 擷取流程中記錄事件 1006 到 1007 之間記錄的所有 Microsoft Entra 記錄事件(分析和作業)。
事件 1007 會記錄最終的錯誤碼。
步驟 3:根據找到的錯誤碼進行進一步疑難解答
錯誤碼 | 原因 | 解決方法 |
---|---|---|
STATUS_LOGON_FAILURE (-1073741715/ 0xc000006d) STATUS_WRONG_PASSWORD (-1073741718/0xc000006a) |
注意:同盟驗證需要 WS-Trust。 |
|
STATUS_REQUEST_NOT_ACCEPTED (-1073741616/ 0xc00000d0) | 收到來自 Microsoft Entra 驗證服務或 WS-Trust 端點的錯誤回應 (HTTP 400)。 注意:同盟驗證需要 WS-Trust。 |
事件 1081 和 1088 (Microsoft Entra 操作記錄)會分別包含源自 Microsoft Entra 驗證服務和 WS-Trust 端點的錯誤伺服器錯誤碼和錯誤描述。 下一節會列出常見的伺服器錯誤碼及其解決方式。 事件 1022 的第一個實例(Microsoft Entra analytics 記錄),先前的事件 1081 或 1088,包含要存取的 URL。 |
STATUS_NETWORK_UNREACHABLE (-1073741252/ 0xc000023c) STATUS_BAD_NETWORK_PATH (-1073741634/ 0xc00000be) STATUS_UNEXPECTED_NETWORK_ERROR (-1073741628/ 0xc00000c4) |
注意:同盟驗證需要 WS-Trust。 |
|
STATUS_NO_SUCH_LOGON_SESSION (-1073741729/ 0xc000005f) | 用戶領域探索失敗,因為 Microsoft Entra 驗證服務找不到使用者的網域。 | |
AAD_CLOUDAP_E_OAUTH_USERNAME_IS_MALFORMED (-1073445812/ 0xc004844c) | 使用者的UPN不是預期的格式。 注意: |
whoami /upn 應該會顯示已設定的UPN。 |
AAD_CLOUDAP_E_OAUTH_USER_SID_IS_EMPTY(-1073445822/0xc0048442) | Microsoft Entra 驗證服務所傳回的標識碼令牌中遺漏使用者 SID。 | 請確定網路 Proxy 不會干擾和修改伺服器回應。 |
AAD_CLOUDAP_E_WSTRUST_SAML_TOKENS_ARE_EMPTY (--1073445695/ 0xc00484c1) | 從 WS-Trust 端點收到錯誤。 注意:同盟驗證需要 WS-Trust。 |
|
AAD_CLOUDAP_E_HTTP_PASSWORD_URI_IS_EMPTY (-1073445749/ 0xc004848b) | MEX 端點設定不正確。 MEX 回應不包含任何密碼 URL。 | |
AAD_CLOUDAP_E_HTTP_CERTIFICATE_URI_IS_EMPTY (-1073445748/ 0xc004848C) | MEX 端點設定不正確。 MEX 回應不包含任何憑證端點 URL。 | |
WC_E_DTDPROHIBITED (-1072894385/ 0xc00cee4f) | 來自 WS-Trust 端點的 XML 回應包含檔案類型定義 (DTD)。 XML 回應中不會預期 DTD,而且如果包含 DTD,剖析回應就會失敗。 注意:同盟驗證需要 WS-Trust。 |
常見的伺服器錯誤碼
錯誤碼 | 原因 | 解決方法 |
---|---|---|
AADSTS50155:裝置驗證失敗 | 請遵循 Microsoft Entra 裝置管理常見問題中此問題的指示,根據裝置加入類型重新註冊裝置。 | |
AADSTS50034:用戶帳戶 Account 不存在於 tenant id 目錄中 |
Microsoft Entra ID 在租使用者中找不到用戶帳戶。 | |
AADSTS50126:由於使用者名稱或密碼無效,驗證認證時發生錯誤。 | 若要取得具有新認證的全新 PRT,請等候 Microsoft Entra 密碼同步處理完成。 |
常見的網路錯誤碼
錯誤碼 | 原因 | 解決方法 |
---|---|---|
ERROR_WINHTTP_TIMEOUT (12002) ERROR_WINHTTP_NAME_NOT_RESOLVED (12007) ERROR_WINHTTP_CANNOT_CONNECT (12029) ERROR_WINHTTP_CONNECTION_ERROR (12030) |
常見的一般網路相關問題。 | 取得更多 網路錯誤碼。 |
步驟 4:收集記錄
一般記錄
- 移至 https://aka.ms/icesdptool 以自動下載包含 診斷工具的 .cab檔案。
- 執行工具並重現您的案例。
- 若為 Fiddler 追蹤,請接受快顯的憑證要求。
- 精靈會提示您輸入密碼來保護追蹤檔案。 提供密碼。
- 最後,開啟儲存所有已收集記錄的資料夾,例如 %LOCALAPPDATA%\ElevatedDiagnostics\numbers。
- 請連絡支持人員,以取得最新 .cab 檔案的內容。
網路追蹤
注意
當您收集網路追蹤時,請務必 不要 在重現期間使用 Fiddler。
- 執行
netsh trace start scenario=internetClient_dbg capture=yes persistent=yes
。 - 鎖定並解除鎖定裝置。 若為混合式聯結裝置,請等候一分鐘以上,以允許PRT擷取工作完成。
- 執行
netsh trace stop
。 - 與 支持人員共用nettrace.cab 檔案。
已知問題
如果您連線到行動熱點或外部Wi-Fi網路,而您前往 設定> Accounts>Access Work 或 School,Microsoft Entra 混合式聯結裝置可能會顯示兩個不同的帳戶,一個用於 Microsoft Entra ID,另一個用於內部部署 AD。 此 UI 問題不會影響功能。
相關內容
- 使用
dsregcmd
命令對裝置進行疑難解答。 - 移至 Microsoft 錯誤查閱工具。