3 votes

Cameron avatar

AADSTS90019 lors de la tentative d'enregistrement automatique dans Azure AD d'un périphérique Windows 10 joint à un domaine

Demandé el 14 de Novembre, 2016
Quand la question a-t-elle été
14090 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie de configurer la jointure automatique de la DAA pour Windows 10 comme décrit ici : https://azure.microsoft.com/en-gb/documentation/articles/active-directory-conditional-access-automatic-device-registration-setup/

Nous avons deux serveurs internes ADFS 3.0 (Server 2012R2). Ils sont configurés en utilisant Azure AD Connect pour la fédération avec Office 365 sur quatre UPNs :

  • ad.dom1.com - c'est le nom de la forêt, nous n'avons qu'une seule forêt.
  • dom1.com - la plupart des utilisateurs existent sous ce domaine
  • dom2.com
  • dom3.com

Les serveurs ADFS sont exposés en utilisant un équilibreur de charge au niveau TCP sur https://adfs.ad.dom1.dom avec un certificat signé par une autorité de certification publique. Les serveurs ADFS n'exécutent pas le DRS, car nous avons l'intention de le faire avec Azure AD.

L'authentification fédérée avec Office 365 est réussie pour les utilisateurs créés avec n'importe lequel de ces suffixes UPN, mais seulement après avoir modifié la troisième règle comme décrit dans https://blogs.technet.microsoft.com/abizerh/2013/02/05/supportmultipledomain-switch-when-managing-sso-to-office-365/

Toutes les étapes préalables de l'article sur Azure ont été effectuées :

  • Définir le point de raccordement au service
  • Exécuté Initialiser-ADSyncDomainJoinedComputerSync
  • Assurez-vous que les trois premières règles de fédération de l'article existent (elles ont été créées automatiquement par Azure AD Connect).
  • a veillé à ce que Méthode d'authentification Règle de réclamation existe et est exécuté Set-AdfsRelyingPartyTrust
  • Création de la politique de groupe

En outre, les domaines :

  • enregistrement d'entreprise.dom1.com
  • enterpriseregistration.ad.dom1.com
  • enregistrement d'entreprise.dom2.com
  • enregistrement d'entreprise.dom3.com

Est-ce que tous les CNAMEs pour enterpriseregistration.Windows.net

Cependant, alors que toutes les autres authentifications semblent fonctionner correctement, le processus automatique AADJ échoue sur toutes les machines clientes existantes jointes au domaine Windows 10 Enterprise. Les erreurs suivantes sont présentes dans le Microsoft/Windows/Enregistrement des appareils des utilisateurs journal des événements :

ID de l'événement 305

Automatic registration failed at authentication phase.  Unable to acquire access token.  Exit code: Unspecified error. Server error: AdalMessage: GetStatus returned failure
AdalError: invalid_request
AdalErrorDesc: AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.
Trace ID: <uuid>
Correlation ID: <uuid>
Timestamp: 2016-11-14 12:30:28Z
AdalErrorCode: 0xcaa90006
AdalCorrelationId: <uuid>
AdalLog:  HRESULT: 0xcaa90006
AdalLog:  HRESULT: 0xcaa20002
AdalLog: Webrequest returns error code:invalid_request and error description:AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.
Trace ID: <uuid>
Correlation ID: <uuid>
Timestamp: 2016-11-14 12:30:28Z ; HRESULT: 0x0
AdalLog: Token response is not successfull. Status:400 ResponseText:{"error":"invalid_request","error_description":"AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.\r\nTrace ID: <uuid>\r\nCorrelation ID: <uuid>\r\nTimestamp: 2016-11-14 12:30:28Z","error_codes":[90019],"timestamp":"2016-11-14 12:30:28Z","trace_id":"<uuid>","correlation_id":<uuid>"} ; HRESULT: 0x0
AdalLog: WebRequest Status:400 ; HRESULT: 0x0
AdalLog: Webrequest has valid state ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: Webrequest opening connection ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth- received realm info ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth w Tenant ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- returns false ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- refresh token is not available ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken get refresh token info ; HRESULT: 0x0
AdalLog: Authority validation is completed ; HRESULT: 0x0
AdalLog: Authority validation is enabled ; HRESULT: 0x0
AdalLog: Token is not available in the cache ; HRESULT: 0x0
. Tenant Type: dom1.com

ID de l'événement 304

Automatic registration failed at join phase.  Exit code: Unknown HResult Error code: 0xcaa1000e. Server error: empty. Debug Output:\r\n joinMode: Join
drsInstance: azure
registrationType: fed
tenantType: fed
tenantId: <uuid>
configLocation: undefined
errorPhase: auth
adalCorrelationId: <uuid>
adalLog: AdalLog:  HRESULT: 0xcaa1000e
AdalLog:  HRESULT: 0xcaa90006
AdalLog:  HRESULT: 0xcaa20002
AdalLog: Webrequest returns error code:invalid_request and error description:AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.
Trace ID: <uuid>
Correlation ID: <uuid>
Timestamp: 2016-11-14 12:30:28Z ; HRESULT: 0x0
AdalLog: Token response is not successfull. Status:400 ResponseText:{"error":"invalid_request","error_description":"AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.\r\nTrace ID: <uuid>\r\nCorrelation ID: <uuid>\r\nTimestamp: 2016-11-14 12:30:28Z","error_codes":[90019],"timestamp":"2016-11-14 12:30:28Z","trace_id":"<uuid>","correlation_id":"<uuid>"} ; HRESULT: 0x0
AdalLog: WebRequest Status:400 ; HRESULT: 0x0
AdalLog: Webrequest has valid state ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: Webrequest opening connection ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth- received realm info ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth w Tenant ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- returns false ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- refresh token is not available ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken get refresh token info ; HRESULT: 0x0
AdalLog: Authority validation is completed ; HRESULT: 0x0
AdalLog: Authority validation is enabled ; HRESULT: 0x0
AdalLog: Token is not available in the cache ; HRESULT: 0x0

adalLog: AdalLog:  HRESULT: 0xcaa1000e
AdalLog:  HRESULT: 0xcaa90006
AdalLog:  HRESULT: 0xcaa20002
AdalLog: Webrequest returns error code:invalid_request and error description:AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.
Trace ID: <uuid>
Correlation ID: <uuid>
Timestamp: 2016-11-14 12:30:28Z ; HRESULT: 0x0
AdalLog: Token response is not successfull. Status:400 ResponseText:{"error":"invalid_request","error_description":"AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.\r\nTrace ID: <uuid>\r\nCorrelation ID: <uuid>\r\nTimestamp: 2016-11-14 12:30:28Z","error_codes":[90019],"timestamp":"2016-11-14 12:30:28Z","trace_id":"<uuid>","correlation_id":"<uuid>"} ; HRESULT: 0x0
AdalLog: WebRequest Status:400 ; HRESULT: 0x0
AdalLog: Webrequest has valid state ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: Webrequest opening connection ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth- received realm info ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth w Tenant ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- returns false ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- refresh token is not available ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken get refresh token info ; HRESULT: 0x0
AdalLog: Authority validation is completed ; HRESULT: 0x0
AdalLog: Authority validation is enabled ; HRESULT: 0x0
AdalLog: Token is not available in the cache ; HRESULT: 0x0

adalResponseCode: 0xcaa1000e
.

dsregcmd.exe

Des erreurs similaires apparaissent si j'essaie d'exécuter C:\windows\system32\dsregcmd.exe /debug à partir d'une invite de commande SYSTEM :

dsregcmd::wmain logging initialized.DsrCmdAccountMgr::IsDomainControllerAvailable DsGetDcName success { domain:ad.dom1.com forest:ad.dom1.com domainController:\\ldndc01.ad.dom1.com isDcAvailable:true }
PreJoinChecks Complete.
preCheckResult: Join
isPrivateKeyFound: undefined
isJoined: undefined
isDcAvailable: YES
isSystem: YES
keyProvider: undefined
keyContainer: undefined
dsrInstance: undefined
elapsedSeconds: 1
resultCode: 0x0
Automatic device join pre-check tasks completed.TenantInfo::Discover: tenant type detection, validating https://adfs.ad.dom1.com/adfs/ls/
TenantInfo::Discover: tenant type detection, checking match against https://login.microsoftonline.com
TenantInfo::Discover: tenant type detection, checking match against https://login.windows-ppe.net
TenantInfo::Discover: Join Info TenantType:Federated  AutoJoinEnabled:1 TenandID:<uuid> TenantName:dom1.com

DsrCmdSettings::GetSetting: The key was not found, so returning FALSE. Key: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
AdalLog: Token is not available in the cache ; HRESULT: 0x0
AdalLog: Authority validation is enabled ; HRESULT: 0x0
AdalLog: Authority validation is completed ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken get refresh token info ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- refresh token is not available ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- returns false ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth w Tenant ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth- received realm info ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: Webrequest opening connection ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: Webrequest has valid state ; HRESULT: 0x0
AdalLog: WebRequest Status:400 ; HRESULT: 0x0
AdalLog: Token response is not successfull. Status:400 ResponseText:{"error":"invalid_request","error_description":"AADSTS90019: No tenant-identifying information found in either the request or implied by any provided
credentials.\r\nTrace ID: <uuid>\r\nCorrelation ID: <uuid>\r\nTimestamp: 2016-11-14 12:30:28Z","error_codes":[90019],"timestamp":"2016-11-14 12:30:28Z","trace
_id":"<uuid>","correlation_id":"<uuid>"} ; HRESULT: 0x0
AdalLog: Webrequest returns error code:invalid_request and error description:AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.
Trace ID: <uuid>
Correlation ID: <uuid>
Timestamp: 2016-11-14 12:30:28Z ; HRESULT: 0x0
AdalLog:  HRESULT: 0xcaa20002
AdalLog:  HRESULT: 0xcaa90006
AdalMessage: GetStatus returned failure
AdalError: invalid_request
AdalErrorDesc: AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.
Trace ID: <uuid>
Correlation ID: <uuid>
Timestamp: 2016-11-14 12:30:28Z
AdalErrorCode: 0xcaa90006
AdalCorrelationId: {39AEBF80-8679-4A5A-86D3-409CB1A8D8EF}
AdalLog:  HRESULT: 0xcaa90006
AdalLog:  HRESULT: 0xcaa20002
AdalLog: Webrequest returns error code:invalid_request and error description:AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.
Trace ID: <uuid>
Correlation ID: <uuid>
Timestamp: 2016-11-14 12:30:28Z ; HRESULT: 0x0
AdalLog: Token response is not successfull. Status:400 ResponseText:{"error":"invalid_request","error_description":"AADSTS90019: No tenant-identifying information found in either the request or implied by any provided
credentials.\r\nTrace ID: <uuid>\r\nCorrelation ID: <uuid>\r\nTimestamp: 2016-11-14 12:30:28Z","error_codes":[90019],"timestamp":"2016-11-14 12:30:28Z","trace
_id":"<uuid>","correlation_id":"<uuid>"} ; HRESULT: 0x0
AdalLog: WebRequest Status:400 ; HRESULT: 0x0
AdalLog: Webrequest has valid state ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: Webrequest opening connection ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth- received realm info ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth w Tenant ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- returns false ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- refresh token is not available ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken get refresh token info ; HRESULT: 0x0
AdalLog: Authority validation is completed ; HRESULT: 0x0
AdalLog: Authority validation is enabled ; HRESULT: 0x0
AdalLog: Token is not available in the cache ; HRESULT: 0x0
AdalLog:  HRESULT: 0xcaa1000e
wmain: Unable to retrieve access token 0x80004005.
DSREGCMD_END_STATUS
        AzureAdJoined : NO
     EnterpriseJoined : NO
Demandé el 14 de Novembre, 2016 par Cameron

0 votes

Avatar de qJake

Ne pas aseptiser les guides d'identification des corrélations. Ils sont nécessaires pour visualiser les logs du backend.

Commenté el 17 de Novembre, 2016 par qJake

Réponses

Trop de publicités?

1voto

LeSnip3R avatar
LeSnip3R Points 1791

Je comprends votre frustration à ce sujet. Je viens de passer une vingtaine d'heures à résoudre les problèmes liés à l'adhésion automatique à l'AAD. J'exécute la dernière version d'AD Connect, et j'exécute une ferme ADFS sur Server 2016. Je n'ai PAS laissé AD Connect configurer mes serveurs ADFS.

J'ai eu exactement la même erreur. Le problème était une réclamation ImmutableID manquante. Ce lien s'est avéré être la meilleure ressource pour configurer la jointure AD d'Azur : https://docs.microsoft.com/en-gb/azure/active-directory/active-directory-conditional-access-automatic-device-registration-setup

Il y a un script listé là pour ajouter automatiquement les règles de réclamation nécessaires. Maintenant que je comprends pratiquement tout ce processus à fond, je peux dire que le script fonctionne réellement et ajoute les règles de réclamation correctes.

Cependant, ce qui est trompeur est la façon de configurer les quelques variables dans le script. J'ai donc pensé clarifier les choses en me basant sur mon apprentissage, en espérant que cela fera gagner du temps à quelqu'un.

  • $MultipleVerifiedDomainNames : La description et le nom sont à la fois FAUX et trompeurs. Définissez cette valeur à $TRUE uniquement si vous avez plusieurs DOMAINES FÉDÉRÉS dans votre locataire Office 365. DOMAINES dans votre locataire Office 365.
  • $immutableIDAlreadyIssuedforUsers : Si l'ID immuable (Ancre source) pour votre synchronisation AD Connect n'utilise PAS objectGUID, alors mettez $TRUE.
  • $oneOfVerifiedDomainNames : Si vous définissez $MultipleVerifiedDomainNames à . $true, définissez ce paramètre sur le nom de domaine vérifié d'Office 365 auquel vous que vous voulez que vos périphériques s'enregistrent.

Ne modifiez aucun autre composant du script, et assurez-vous de ne l'exécuter qu'une seule fois. Si vous devez l'exécuter à nouveau, vous devez supprimer manuellement les règles de délivrance des demandes de remboursement ajoutées au RP trust, sinon elles seront dupliquées.

Une autre chose très utile à savoir lorsqu'il s'agit de dépanner sous Windows 10, utilisez DSREGCMD. Il doit être exécuté en tant que SYSTEM, vous aurez donc besoin de quelque chose comme PSEXEC.

psexec -i -s cmd.exe

dsregcmd /debug

Cela forcera un enregistrement immédiat à Azure, et rapportera des informations détaillées sur l'échec. Au cours de mes tests, Windows 7 a fonctionné sans problème, mais Windows 10 n'a pas pu se joindre à AD. Si l'ImmutableID est le problème, vous verrez que l'erreur est la suivante : AADSTS90019 : Aucune information permettant d'identifier le locataire n'a été trouvée dans la demande ou impliquée par les informations d'identification fournies.

Si vous avez inclus un domaine vérifié alors que vous n'auriez pas dû ou qu'il est erroné, vous verrez : AADSTS50107 : Objet de domaine de fédération demandé your specified domain n'existe pas.

Répondu el 18 de Juillet, 2017 par LeSnip3R (1791 Points )

0voto

Jimmy Sun avatar
Jimmy Sun Points 319

Tout d'abord, veuillez noter que ce processus s'appelle l'inscription automatique au DAA ou l'inscription automatique sur le lieu de travail, et non l'inscription automatique au DAA. L'inscription à l'AAD est différente de l'enregistrement à l'AAD, qui est une fonctionnalité réservée à Win10 (éditions professionnelle ou d'entreprise).

J'ai testé ceci dans mon laboratoire et j'ai réussi l'enregistrement automatique de mes machines Server2012 R2 et Win10 à AAD via le package MSI et GPO. Dans le premier scénario (via le package MSI), la tâche de planification sera déclenchée lors de la connexion via le compte utilisateur qui a été synchronisé avec AAD via AAD connect. Une fois la tâche terminée, vous constaterez que les appareils ont été enregistrés dans le DAA et associés à cet utilisateur.

enter image description here enter image description here enter image description here

Dans le second scénario via GPO, le journal des événements montre que l'enregistrement automatique est terminé et je peux également voir les machines dans le portail Azure AD. enter image description here enter image description here

Pour votre problème, je pense que vous pouvez essayer de ré-additionner les règles de réclamation ($rule1~$rule3) sur votre serveur ADFS bien qu'elles existent déjà. Veuillez également vous assurer que le serveur ADFS dans votre environnement est configuré et fonctionne correctement.

Répondu el 17 de Novembre, 2016 par Jimmy Sun (319 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X