Problembehandlung bei Geräten über den Befehl „dsregcmd“

In diesem Artikel wird beschrieben, wie Sie die Ausgabe des Befehls dsregcmd verwenden, um den Zustand von Geräten in Microsoft Entra ID zu ermitteln. Das Hilfsprogramm dsregcmd /status muss unter einem Domänenbenutzerkonto ausgeführt werden.

Gerätestatus

In diesem Abschnitt werden die Statusparameter für den Geräte-Join aufgelistet. In der folgenden Tabelle sind die Kriterien aufgeführt, die erforderlich sind, damit sich das Gerät in verschiedenen Einbindungszuständen befindet:

AzureAdJoined EnterpriseJoined DomainJoined Gerätestatus
YES Nein NO In Microsoft Entra eingebunden
NO Nein YES In die Domäne eingebunden
YES Nein YES Hybrid in Microsoft Entra eingebunden
NO YES YES In lokales DRS eingebunden

Hinweis

Der Zustand „In den Arbeitsplatz eingebunden“ (bei Microsoft Entra registriert) wird im Abschnitt Benutzerstatus angezeigt.

  • AzureAdJoined: Der Zustand wird auf YES festgelegt, wenn das Gerät in Microsoft Entra ID eingebunden ist. Andernfalls wird der Zustand auf NO festgelegt.
  • EnterpriseJoined: Der Zustand wird auf YES festgelegt, wenn das Gerät in einen lokalen Datenreplikationsdienst (DRS) eingebunden ist. Für ein Gerät kann nicht gleichzeitig „EnterpriseJoined“ und „AzureAdJoined“ aktiviert sein.
  • DomainJoined: Der Zustand wird auf YES festgelegt, wenn das Gerät in eine Domäne (Active Directory) eingebunden ist.
  • DomainName: Der Zustand wird auf den Namen der Domäne festgelegt, wenn das Gerät in eine Domäne eingebunden ist.

Beispielstatusausgabe für Gerät

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+
             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : HYBRIDADFS
+----------------------------------------------------------------------+

Gerätedetails

Der Status wird nur angezeigt, wenn das Gerät Microsoft Entra eingebunden oder Microsoft Entra hybrid eingebunden ist (nicht Microsoft Entra registriert). In diesem Abschnitt werden die in Microsoft Entra ID gespeicherten Details zur Identifikation von Geräten aufgelistet.

  • DeviceId: Die eindeutige ID des Geräts im Microsoft Entra-Mandanten.
  • Thumbprint: Der Fingerabdruck des Gerätezertifikats.
  • DeviceCertificateValidity: Der Gültigkeitsstatus des Gerätezertifikats.
  • KeyContainerId: Container-ID des privaten Schlüssels des Geräts, der dem Gerätezertifikat zugeordnet ist.
  • KeyProvider: KeyProvider (Hardware/Software), der zum Speichern des privaten Schlüssels des Geräts verwendet wird.
  • TpmProtected: Der Zustand ist auf YES festgelegt, wenn der private Geräteschlüssel in einem Hardware-TPM (Trusted Platform Module) gespeichert ist.
  • DeviceAuthStatus: Eine Überprüfung wird ausgeführt, um die Integrität des Geräts in Microsoft Entra ID zu ermitteln. Mögliche Integritätsstatus:
    • SUCCESS, wenn das Gerät in Microsoft Entra ID vorhanden und aktiviert ist.
    • FAILED. Das Gerät ist entweder deaktiviert oder wurde gelöscht wenn das Gerät entweder deaktiviert ist oder gelöscht wurde. Weitere Informationen zu diesem Problem finden Sie in den Häufig gestellten Fragen zur Microsoft Entra-Geräteverwaltung.
    • FAILED. ERROR wenn der Test nicht ausgeführt werden konnte. Für diesen Test ist eine Netzwerkverbindung zu Microsoft Entra ID im Systemkontext erforderlich.

    Hinweis

    Das Feld DeviceAuthStatus wurde im Windows 10-Update vom 10. Mai 2021 (Version 21H1) hinzugefügt.

  • Virtual Desktop: Es gibt drei Fälle, in denen dieser Status angezeigt wird.
    • NOT SET: Es sind keine VDI-Gerätemetadaten auf dem Gerät vorhanden.
    • YES : VDI-Gerätemetadaten sind vorhanden, und dsregcmd gibt zugeordnete Metadaten aus, darunter die folgenden:
      • Anbieter: Name des VDI-Anbieters.
      • Typ: Persistente VDI oder nicht persistente VDI.
      • Benutzermodus: Einzelbenutzer oder mehrere Benutzer.
      • Erweiterungen: Anzahl der Schlüsselwertpaare in optionalen herstellerspezifischen Metadaten, gefolgt von Schlüsselwertpaaren.
    • INVALID: Die VDI-Gerätemetadaten sind vorhanden, aber nicht ordnungsgemäß festgelegt. In diesem Fall gibt dsregcmd die falschen Metadaten aus.

Beispieldetailausgabe des Geräts

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
                Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
 DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
            KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO
          DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+

Mandantendetails

Die Mandantendetails werden nur angezeigt, wenn das Gerät Microsoft Entra eingebunden oder Microsoft Entra hybrid eingebunden ist, nicht Microsoft Entra registriert. In diesem Abschnitt werden die allgemeinen Mandantendetails aufgeführt, die bei Einbindung eines Geräts in Microsoft Entra ID angezeigt werden.

Hinweis

Wenn die URL-Felder der Verwaltung mobiler Geräte (MDM) in diesem Abschnitt leer sind, weist dies darauf hin, dass die MDM nicht konfiguriert wurde oder dass sich der aktuelle Benutzer nicht im Bereich der MDM-Registrierung befindet. Überprüfen Sie die Mobilitätseinstellungen in Microsoft Entra ID, um Ihre MDM-Konfiguration zu überprüfen.

Auch wenn MDM-URLs angezeigt werden, bedeutet dies nicht, dass das Gerät von einer MDM verwaltet wird. Die Informationen werden angezeigt, wenn der Mandant über eine MDM-Konfiguration für die automatische Registrierung verfügt, auch wenn das Gerät selbst nicht verwaltet wird.

Beispielausgabe für Mandantendetails

+----------------------------------------------------------------------+
| Tenant Details                                                       |
+----------------------------------------------------------------------+

                TenantName : HybridADFS
                  TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
                       Idp : login.windows.net
               AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
            AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
                    MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
                 MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
          MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
               SettingsUrl : eyJVx{lots of characters}xxxx==
            JoinSrvVersion : 1.0
                JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
                 JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
             KeySrvVersion : 1.0
                 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
                  KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
        WebAuthNSrvVersion : 1.0
            WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
             WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
    DeviceManagementSrvVer : 1.0
    DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
     DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+

Benutzerzustand

In diesem Abschnitt werden die Status verschiedener Attribute für Benutzer aufgeführt, die zurzeit beim Gerät angemeldet sind.

Hinweis

Der Befehl muss in einem Benutzerkontext ausgeführt werden, um einen gültigen Status abzurufen.

  • NgcSet: Der Zustand wird auf YES festgelegt, wenn für den derzeit angemeldeten Benutzer ein Windows Hello-Schlüssel festgelegt wurde.
  • NgcKeyId: ID des Windows Hello-Schlüssels, wenn für den derzeit angemeldeten Benutzer ein Schlüssel festgelegt wurde.
  • CanReset: Gibt an, ob der Windows Hello-Schlüssel vom Benutzer zurückgesetzt werden kann.
  • Mögliche Werte: „DestructiveOnly“, „NonDestructiveOnly“, „DestructiveAndNonDestructive“ oder „Unknown“ bei einem Fehler.
  • WorkplaceJoined: Der Zustand wird auf YES festgelegt, wenn dem Gerät bei Microsoft Entra registrierte Konten im aktuellen NTUSER-Kontext hinzugefügt wurden.
  • WamDefaultSet: Der Zustand wird auf YES festgelegt, wenn für den angemeldeten Benutzer ein standardmäßiges WAM-WebAccount (Web Account Manager) erstellt wird. In diesem Feld wird unter Umständen ein Fehler angezeigt, wenn dsregcmd /status an einer Eingabeaufforderung mit erweiterten Rechten ausgeführt wird.
  • WamDefaultAuthority: Der Zustand wird für Microsoft Entra ID auf Organisationen festgelegt.
  • WamDefaultId: Verwenden Sie https://login.microsoft.com immer für Microsoft Entra ID.
  • WamDefaultGUID: Die GUID des WAM-Anbieters (Microsoft Entra ID / Microsoft-Konto) für das standardmäßige WAM-WebAccount.

Beispielausgabe für den Benutzerstatus

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)

+----------------------------------------------------------------------+

SSO-Status

Dieser Abschnitt kann für Geräte, die bei Microsoft Entra registriert sind, ignoriert werden.

Hinweis

Der Befehl muss in einem Benutzerkontext ausgeführt werden, um einen gültigen Status für diesen Benutzer abzurufen.

  • AzureAdPrt: Der Zustand wird auf YES festgelegt, wenn für den angemeldeten Benutzer auf dem Gerät ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) vorhanden ist.
  • AzureAdPrtUpdateTime: Der Zustand wird auf den Zeitpunkt in koordinierter Weltzeit (UTC) festgelegt, zu dem das PRT zuletzt aktualisiert wurde.
  • AzureAdPrtExpiryTime: Der Zustand wird auf den Zeitpunkt in UTC festgelegt, zu dem das PRT abläuft, wenn es nicht erneuert wird.
  • AzureAdPrtAuthority: Die URL der Microsoft Entra Autorität
  • EnterprisePrt: Der Zustand wird auf YES festgelegt, wenn das Gerät über ein PRT der lokalen Active Directory-Verbunddienste (AD FS) verfügt. Hybrid in Microsoft Entra eingebundene Geräte können gleichzeitig ein PRT von Microsoft Entra ID und von der lokalen Active Directory-Instanz aufweisen. Lokal eingebundene Geräte verfügen nur über ein Unternehmens-PRT.
  • EnterprisePrtUpdateTime: Der Zustand wird auf den Zeitpunkt in UTC festgelegt, zu dem das Unternehmens-PRT zuletzt aktualisiert wurde.
  • EnterprisePrtExpiryTime: Der Zustand wird auf den Zeitpunkt in UTC festgelegt, zu dem das PRT abläuft, wenn es nicht erneuert wird.
  • EnterprisePrtAuthority: Die URL der AD FS-Autorität.

Hinweis

Die folgenden Felder der PRT-Diagnose wurden im Windows 10-Update vom 10. Mai 2021 (Version 21H1) hinzugefügt.

  • Die im Feld AzureAdPrt angezeigten Diagnoseinformationen sind für den Abruf oder die Aktualisierung eines Microsoft Entra-PRT vorgesehen, und die im Feld EnterprisePrt angezeigten Diagnoseinformationen sind für den Abruf oder die Aktualisierung eines Unternehmens-PRT bestimmt.
  • Die Diagnoseinformationen werden nur angezeigt, wenn der Abruf- oder Aktualisierungsfehler nach dem Zeitpunkt der letzten erfolgreichen PRT-Aktualisierung (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime) aufgetreten ist.
    Auf einem freigegebenen Gerät können diese Diagnoseinformationen vom Anmeldeversuch eines anderen Benutzers herrühren.
  • AcquirePrtDiagnostics: Der Zustand wird auf PRESENT festgelegt, wenn die abgerufenen PRT-Diagnoseinformationen in den Protokollen enthalten sind.
    • Dieses Feld wird übersprungen, wenn keine Diagnoseinformationen verfügbar sind.
  • Previous Prt Attempt: Die Ortszeit in UTC, zu der der fehlerhafte PRT-Versuch erfolgt ist.
  • Attempt Status: Der zurückgegebene Clientfehlercode (HRESULT).
  • User Identity: Der UPN des Benutzers, für den der PRT-Versuch stattgefunden hat.
  • Credential Type: Die Anmeldeinformationen, die zum Abrufen oder Aktualisieren des PRT verwendet wurden. Gängige Anmeldeinformationstypen: Kennwort und NGC (Next Generation Credential, für Windows Hello).
  • Correlation ID: Korrelations-ID, die vom Server für den fehlgeschlagenen PRT-Versuch gesendet wurde.
  • Endpoint URI: Der vor dem Fehler zuletzt aufgerufene Endpunkt.
  • HTTP Method: HTTP-Methode, die für den Zugriff auf den Endpunkt verwendet wurde.
  • HTTP Error: Der Fehlercode für den WinHttp-Transport. Hier finden Sie weitere Netzwerkfehlercodes.
  • HTTP Status: Der vom Endpunkt zurückgegebene HTTP-Status.
  • Server Error Code: Der vom Server gesendete Fehlercode.
  • Server Error Description: Die vom Server gesendete Fehlermeldung.
  • RefreshPrtDiagnostics: Der Zustand wird auf PRESENT festgelegt, wenn die abgerufenen PRT-Diagnoseinformationen in den Protokollen enthalten sind.
    • Dieses Feld wird übersprungen, wenn keine Diagnoseinformationen verfügbar sind.
    • Die Diagnoseinformationsfelder sind mit denen von AcquirePrtDiagnostics identisch.

Hinweis

Die folgenden Cloud Kerberos-Diagnosefelder wurden in der ursprünglichen Version von Windows 11 (Version 21H2) hinzugefügt.

  • OnPremTgt: Legen Sie den Status auf YES fest, wenn ein Cloud Kerberos-Ticket für den Zugriff auf lokale Ressourcen auf dem Gerät für den angemeldeten Benutzer vorhanden ist.
  • OnPremTgt: Legen Sie den Status auf YES fest, wenn ein Cloud Kerberos-Ticket für den Zugriff auf lokale Ressourcen auf dem Gerät für den angemeldeten Benutzer vorhanden ist.
  • KerbTopLevelNames: Liste der Kerberos-Bereichsnamen der obersten Ebene für Cloud Kerberos.

Beispielausgabe für den SSO-Status

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : NO
       AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
     AcquirePrtDiagnostics : PRESENT
      Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
            Attempt Status : 0xc000006d
             User Identity : john@contoso.com
           Credential Type : Password
            Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
              Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
               HTTP Method : POST
                HTTP Error : 0x0
               HTTP status : 400
         Server Error Code : invalid_grant
  Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
             EnterprisePrt : YES
   EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
   EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
    EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
                 OnPremTgt : YES
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

+----------------------------------------------------------------------+

Diagnosedaten

Diagnose vor dem Join

Dieser Diagnosebereich nur angezeigt, wenn das Gerät in eine Domäne eingebunden und seine Microsoft Entra-Hybrideinbindung nicht möglich ist.

In diesem Abschnitt werden verschiedene Tests durchgeführt, um die Diagnose von Join-Fehlern zu erleichtern. Diese Informationen umfassen Fehlerphase, Fehlercode, Serveranfrage-ID, HTTP-Status der Serverantwort und die Fehlermeldung der Serverantwort.

  • User Context: Der Kontext, in dem die Diagnose durchgeführt wird. Mögliche Werte: SYSTEM, UN-ELEVATED User (Benutzer ohne erhöhte Rechte), ELEVATED User (Benutzer mit erhöhten Rechten).

    Hinweis

    Da die eigentliche Einbindung im SYSTEM-Kontext durchgeführt wird, ist die Ausführung der Diagnose im SYSTEM-Kontext dem tatsächlichen Einbindungsszenario am nächsten. Um die Diagnose im SYSTEM-Kontext auszuführen, muss der Befehl dsregcmd /status über eine Befehlszeile mit erweiterten Rechten ausgeführt werden.

  • Client Time: Die Systemzeit in UTC.

  • AD Connectivity Test: Dieser Test führt einen Konnektivitätstest für den Domänencontroller durch. Ein Fehler bei diesem Test führt wahrscheinlich zu Einbindungsfehlern in der Vorabprüfungsphase.

  • AD-Konfigurationstest: Dieser Test liest und prüft, ob das SCP-Objekt (Service Connection Point) in der lokalen Active Directory-Gesamtstruktur ordnungsgemäß konfiguriert ist. Fehler bei diesem Test führen wahrscheinlich zu Einbindungsfehlern mit dem Fehlercode 0x801c001d in der Ermittlungsphase.

  • DRS Discovery Test: Dieser Test ruft die DRS-Endpunkte vom Endpunkt für Ermittlungsmetadaten ab und führt eine Benutzerbereichsanforderung aus. Fehler bei diesem Test führen wahrscheinlich zu Einbindungsfehlern in der Ermittlungsphase.

  • DRS Connectivity Test: Dieser Test führt einen grundlegenden Konnektivitätstest für den DRS-Endpunkt aus.

  • Token Acquisition Test: Dieser Test versucht, ein Microsoft Entra-Authentifizierungstoken abzurufen, wenn der Benutzermandant einem Verbund angehört. Fehler bei diesem Test führen wahrscheinlich zu Einbindungsfehlern in der Authentifizierungsphase. Bei einem Authentifizierungsfehler wird sync join als Fallback versucht, sofern Fallbacks nicht explizit über die folgenden Registrierungsschlüsseleinstellungen deaktiviert werden:

    Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
    Value: FallbackToSyncJoin
    Type:  REG_DWORD
    Value: 0x0 -> Disabled
    Value: 0x1 -> Enabled
    Default (No Key): Enabled
    
  • Fallback to Sync-Join: Der Zustand wird auf Enabled festgelegt, wenn der obige Registrierungsschlüssel nicht vorhanden ist, um Fallbacks auf „Sync Join“ bei Authentifizierungsfehlern zu vermeiden. Diese Option ist ab Windows 10 1803 verfügbar.

  • Previous Registration: Der Zeitpunkt des vorherigen Einbindungsversuchs. Es werden nur fehlerhafte Einbindungsversuche protokolliert.

  • Error Phase: Die Einbindungsphase, in der der Abbruch erfolgte. Mögliche Werte: pre-check, discover, auth und join.

  • Client-Fehlercode): Der zurückgegebene Client-Fehlercode (HRESULT).

  • Server ErrorCode: Der Serverfehlercode, der angezeigt wird, wenn eine Anforderung an den Server gesendet wurde und der Server mit einem Fehlercode geantwortet hat.

  • Servermeldung: Servermeldung, die zusammen mit dem Fehlercode zurückgegeben wird.

  • Https Status: Der vom Server zurückgegebene HTTP-Status.

  • Request ID (Anforderungs-ID): Die an den Server gesendete Clientanforderungs-ID. Die Anforderungs-ID ist nützlich, um Zusammenhänge mit serverseitigen Protokollen herzustellen.

Beispielausgabe für Diagnose vor dem Join

Das folgende Beispiel zeigt einen Diagnosetest mit einem Ermittlungsfehler.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:25:31.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
     DRS Connectivity Test : SKIPPED
    Token acquisition Test : SKIPPED
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:23:30.000 UTC
               Error Phase : discover
          Client ErrorCode : 0x801c0021

+----------------------------------------------------------------------+

Das folgende Beispiel zeigt, dass Diagnosetests erfolgreich durchgeführt werden, aber beim Registrierungsversuch ein Verzeichnisfehler aufgetreten ist. Dies ist für „sync-join“ ein erwartetes Verhalten. Nachdem der Synchronisierungsauftrag von Microsoft Entra Connect abgeschlossen wurde, kann das Gerät eingebunden werden.

+----------------------------------------------------------------------+
| Diagnostic Data                                                       |
+----------------------------------------------------------------------+

     Diagnostics Reference : www.microsoft.com/aadjerrors
              User Context : SYSTEM
               Client Time : 2019-01-31 09:16:50.000 UTC
      AD Connectivity Test : PASS
     AD Configuration Test : PASS
        DRS Discovery Test : PASS
     DRS Connectivity Test : PASS
    Token acquisition Test : PASS
     Fallback to Sync-Join : ENABLED

     Previous Registration : 2019-01-31 09:16:43.000 UTC
         Registration Type : sync
               Error Phase : join
          Client ErrorCode : 0x801c03f2
          Server ErrorCode : DirectoryError
            Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
              Https Status : 400
                Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e

+----------------------------------------------------------------------+

Diagnose nach dem Join

In diesem Diagnoseabschnitt wird die Ausgabe von Integritätsprüfungen angezeigt, die für ein in die Cloud eingebundenes Gerät durchgeführt werden.

  • AadRecoveryEnabled: Wenn der Wert YES lautet, sind die im Gerät gespeicherten Schlüssel nicht verwendbar, und das Gerät wird für die Wiederherstellung markiert. Die nächste Anmeldung löst den Wiederherstellungsflow aus und führt zu einer erneuten Registrierung des Geräts.
  • KeySignTest: Wenn der Wert PASSED lautet, sind die Geräteschlüssel fehlerfrei. Wenn bei „KeySignTest“ ein Fehler auftritt, wird das Gerät in der Regel für die Wiederherstellung markiert. Die nächste Anmeldung löst den Wiederherstellungsflow aus und führt zu einer erneuten Registrierung des Geräts. Für hybrid in Microsoft Entra eingebundene Geräte erfolgt die Wiederherstellung im Hintergrund. Wenn die Geräte in Microsoft Entra eingebunden oder bei Microsoft Entra registriert sind, fordern sie zur Benutzerauthentifizierung auf, um das Gerät wiederherzustellen und ggf. neu zu registrieren.

    Hinweis

    KeySignTest erfordert erhöhte Berechtigungen.

Beispielausgabe für Diagnose nach dem Join

+----------------------------------------------------------------------+
| Diagnostic Data                                                      |
+----------------------------------------------------------------------+

         AadRecoveryEnabled: NO
               KeySignTest : PASSED
+----------------------------------------------------------------------+

Überprüfung der NGC-Voraussetzungen

In diesem Diagnoseabschnitt werden die Voraussetzungen für die Einrichtung von Windows Hello for Business (WHFB) überprüft.

Hinweis

Wenn der Benutzer WHFB bereits erfolgreich konfiguriert hat, werden in dsregcmd /status unter Umständen keine Details zur Überprüfung der Voraussetzungen angezeigt.

  • IsDeviceJoined: Der Zustand wird auf YES festgelegt, wenn das Gerät in Microsoft Entra ID eingebunden ist.
  • IsUserAzureAD: Der Zustand wird auf YES festgelegt, wenn der angemeldete Benutzer in Microsoft Entra ID enthalten ist.
  • PolicyEnabled: Der Zustand wird auf YES festgelegt, wenn die WHFB-Richtlinie auf dem Gerät aktiviert ist.
  • PostLogonEnabled: Der Zustand wird auf YES festgelegt, wenn die WHFB-Registrierung nativ durch die Plattform ausgelöst wird. Wenn der Zustand auf NO festgelegt ist, weist dies darauf hin, dass die Registrierung für Windows Hello for Business durch einen benutzerdefinierten Mechanismus ausgelöst wird.
  • DeviceEligible: Der Zustand wird auf YES festgelegt, wenn das Gerät die Hardwareanforderungen für die WHFB-Registrierung erfüllt.
  • SessionIsNotRemote: Der Zustand wird auf YES festgelegt, wenn der aktuelle Benutzer nicht remote, sondern direkt beim Gerät angemeldet ist.
  • CertEnrollment: Diese Einstellung ist spezifisch für die Bereitstellung der WHFB-Zertifikatvertrauensstellung und gibt die Zertifikatregistrierungsstelle für WHFB an. Der Zustand wird auf enrollment authority festgelegt, wenn es sich bei der Quelle der WHFB-Richtlinie um eine Gruppenrichtlinie handelt, bzw. auf mobile device management, wenn es sich bei der Quelle um die Verwaltung mobiler Geräte handelt. Wenn keine der beiden Quellen zutrifft, wird der Zustand auf none festgelegt.
  • AdfsRefreshToken: Diese Einstellung ist spezifisch für die Bereitstellung der WHFB-Zertifikatvertrauensstellung und nur vorhanden, wenn der CertEnrollment-Zustand auf enrollment authority festgelegt ist. Die Einstellung gibt an, ob das Gerät über ein Unternehmens-PRT für den Benutzer verfügt.
  • AdfsRaIsReady: Diese Einstellung ist spezifisch für die Bereitstellung der WHFB-Zertifikatvertrauensstellung und nur vorhanden, wenn der CertEnrollment-Zustand auf enrollment authority festgelegt ist. Der Zustand wird auf YES festgelegt, wenn AD FS in Ermittlungsmetadaten angibt, dass WHFB unterstützt wird und die Anmeldezertifikatvorlage verfügbar ist.
  • LogonCertTemplateReady: Diese Einstellung ist spezifisch für die Bereitstellung der WHFB-Zertifikatvertrauensstellung und nur vorhanden, wenn der CertEnrollment-Zustand auf enrollment authority festgelegt ist. Der Zustand wird auf YES festgelegt, wenn der Zustand der Anmeldezertifikatvorlage gültig ist und zur Problembehandlung der AD FS-Registrierungsstelle beiträgt.
  • PreReqResult: Gibt das Gesamtergebnis der Auswertung der WHFB-Voraussetzungen an. Der Zustand wird auf Will Provision festgelegt, wenn die WHFB-Registrierung bei der nächsten Benutzeranmeldung als Aufgabe nach der Anmeldung gestartet wird.

Hinweis

Die folgenden Felder der Cloud Kerberos-Diagnose wurden im Windows 10-Update vom 10. Mai 2021 (Version 21H1) hinzugefügt.

Vor Windows 11 Version 23H2 wurde die Einstellung OnPremTGTcloudTGT genannt.

  • OnPremTGT: Diese Einstellung ist spezifisch für die Bereitstellung der Cloud Kerberos-Vertrauensstellung und nur vorhanden, wenn der CertEnrollment-Status keine ist. Legen Sie den Status auf Yes fest, wenn das Gerät über ein Cloud Kerberos-Ticket für den Zugriff auf lokale Ressourcen verfügt. Vor Windows 11 Version 23H2 wurde diese Einstellung CloudTGT genannt.

Beispielausgabe für die Überprüfung der NGC-Voraussetzungen

+----------------------------------------------------------------------+
| Ngc Prerequisite Check                                               |
+----------------------------------------------------------------------+

            IsDeviceJoined : YES
             IsUserAzureAD : YES
             PolicyEnabled : YES
          PostLogonEnabled : YES
            DeviceEligible : YES
        SessionIsNotRemote : YES
            CertEnrollment : enrollment authority
          AdfsRefreshToken : YES
             AdfsRaIsReady : YES
    LogonCertTemplateReady : YES ( StateReady )
              PreReqResult : WillProvision
+----------------------------------------------------------------------+

Nächste Schritte

Wechseln Sie zum Microsoft-Fehlersuchtool.