Устранение неполадок с устройствами с помощью команды dsregcmd
В этой статье описывается, как использовать выходные данные команды dsregcmd
для понимания состояния устройств в идентификаторе Microsoft Entra. Служебную программу dsregcmd /status
следует запускать из учетной записи пользователя домена.
Состояние устройства
В этом разделе перечислены параметры, которые относятся к состоянию присоединения устройства. Условия, необходимые для того, чтобы устройство находилось в том или ином состоянии присоединения, перечислены в следующей таблице.
AzureAdJoined | EnterpriseJoined | DomainJoined | Состояние устройства |
---|---|---|---|
Да | Нет | Нет | присоединены к Microsoft Entra; |
Нет | Нет | Да | Присоединено к домену |
Да | Нет | Да | имеют гибридное присоединение к Microsoft Entra; |
Нет | Да | Да | Присоединено к локальной DRS |
Примечание.
Состояние "Присоединено к рабочему месту" (зарегистрировано в Microsoft Entra) отображается в разделе "Состояние пользователя".
- AzureAdJoined: задайте состояние YES , если устройство присоединено к идентификатору Microsoft Entra. В противном случае задайте для состояния значение NO.
- EnterpriseJoined: задайте значение YES, если устройство присоединено к локальной службе репликации данных (DRS). Устройство не может быть одновременно EnterpriseJoined и AzureAdJoined.
- DomainJoined: задайте значение состояния YES, если устройство присоединено к домену (Active Directory).
- DomainName: укажите состояние имени домена, если устройство присоединено к домену.
Пример выходных данных о состоянии устройства
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : YES
DomainName : HYBRIDADFS
+----------------------------------------------------------------------+
Сведения об устройстве
Состояние отображается только в том случае, если устройство присоединено к Microsoft Entra или гибридное присоединение к Microsoft Entra (не зарегистрировано в Microsoft Entra). В этом разделе перечислены сведения об идентификации устройства, хранящиеся в идентификаторе Microsoft Entra.
- DeviceId: уникальный идентификатор устройства в клиенте Microsoft Entra.
- Thumbprint: отпечаток сертификата устройства.
- DeviceCertificateValidity: состояние действительности сертификата устройства.
- KeyContainerId: контейнер идентификатор закрытого ключа устройства, связанного с сертификатом устройства.
- KeyProvider: KeyProvider (оборудование или программное обеспечение), используемый для хранения закрытого ключа устройства.
- TpmProtected: задано значение состояния YES, если закрытый ключ устройства хранится в аппаратном доверенном платформенном модуле.
- DeviceAuthStatus: выполняет проверка для определения работоспособности устройства в идентификаторе Microsoft Entra. Состояния работоспособности:
- SUCCESS , если устройство присутствует и включено в идентификаторе Microsoft Entra.
- FAILED. Устройство отключено или удалено Значение , если устройство отключено или удалено. Дополнительные сведения об этой проблеме см. в разделе часто задаваемые вопросы об управлении устройствами Microsoft Entra.
- FAILED. ОШИБКА Значение , если тест не удалось выполнить. Для этого теста требуется сетевое подключение к идентификатору Microsoft Entra в контексте системы.
Примечание.
Поле DeviceAuthStatus было добавлено в обновление Windows 10 за май 2021 года (версия 21H1).
- Виртуальный рабочий стол. Существует три случая, когда это отображается.
- NOT SET — метаданные устройства VDI отсутствуют на устройстве.
- ДА. Метаданные устройства VDI присутствуют, а выходные данные dsregcmd, связанные с метаданными, включая:
- Поставщик: имя поставщика VDI.
- Тип: постоянный VDI или непрестойчивый VDI.
- Режим пользователя: один пользователь или несколько пользователей.
- Расширения: количество пар значений ключей в необязательных метаданных конкретного поставщика, а затем пары "значение ключа".
- НЕДОПУСТИМО. Метаданные устройства VDI присутствуют, но не заданы правильно. В этом случае dsregcmd выводит неверные метаданные.
Пример вывода сведений об устройстве
+----------------------------------------------------------------------+
| Device Details |
+----------------------------------------------------------------------+
DeviceId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Thumbprint : AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00
DeviceCertificateValidity : [ 2019-01-11 21:02:50.000 UTC -- 2029-01-11 21:32:50.000 UTC ]
KeyContainerId : 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
KeyProvider : Microsoft Software Key Storage Provider
TpmProtected : NO
DeviceAuthStatus : SUCCESS
+----------------------------------------------------------------------+
Сведения о клиенте
Сведения о клиенте отображаются только в том случае, если устройство присоединено к Microsoft Entra или гибридное присоединение к Microsoft Entra, а не Microsoft Entra зарегистрировано. В этом разделе перечислены общие сведения о клиенте, отображаемые при присоединении устройства к идентификатору Microsoft Entra.
Примечание.
Если URL-адреса управления мобильными устройствами (MDM) в этом разделе пустые, это означает, что либо параметры MDM не настроены, либо текущий пользователь не находится в области регистрации MDM. Проверьте параметры мобильности в идентификаторе Microsoft Entra, чтобы просмотреть конфигурацию MDM.
Даже если URL-адреса MDM видны, это не означает, что устройство управляется MDM. Сведения отображаются, если у клиента есть конфигурация MDM для автоматической регистрации, даже если само устройство не управляется.
Пример вывода сведений о клиенте
+----------------------------------------------------------------------+
| Tenant Details |
+----------------------------------------------------------------------+
TenantName : HybridADFS
TenantId : aaaabbbb-0000-cccc-1111-dddd2222eeee
Idp : login.windows.net
AuthCodeUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/authorize
AccessTokenUrl : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token
MdmUrl : https://enrollment.manage-beta.microsoft.com/EnrollmentServer/Discovery.svc
MdmTouUrl : https://portal.manage-beta.microsoft.com/TermsOfUse.aspx
MdmComplianceUrl : https://portal.manage-beta.microsoft.com/?portalAction=Compliance
SettingsUrl : eyJVx{lots of characters}xxxx==
JoinSrvVersion : 1.0
JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion : 1.0
KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
WebAuthNSrvVersion : 1.0
WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/aaaabbbb-0000-cccc-1111-dddd2222eeee/
WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
DeviceManagementSrvVer : 1.0
DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/aaaabbbb-0000-cccc-1111-dddd2222eeee/
DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
+----------------------------------------------------------------------+
Состояние пользователя
В этом разделе перечислены сведения о состоянии различных атрибутов для пользователей, которые в данный момент вошли в систему на устройстве.
Примечание.
Чтобы получить допустимое состояние, команда должна быть выполнена в контексте пользователя.
- NgcSet: задайте значение состояния YES, если для текущего вошедшего в систему пользователя задан ключ Windows Hello.
- NgcKeyId: идентификатор ключа Windows Hello, если он задан для текущего вошедшего в систему пользователя.
- CanReset: указывает, может ли пользователь сбросить ключ Windows Hello.
- Возможные значения: DestructiveOnly, NonDestructiveOnly, DestructiveAndNonDestructive или Unknown в случае ошибки.
- WorkplaceJoined: задайте состояние YES , если зарегистрированные учетные записи Microsoft Entra были добавлены на устройство в текущем контексте NTUSER.
- WamDefaultSet: задайте значение состояния YES, если для вошедшего в систему пользователя создается WebAccount WAM по умолчанию. В этом поле может отображаться сообщение об ошибке, если
dsregcmd /status
запускается из командной строки с повышенными привилегиями. - WamDefaultAuthority: задайте состояние организациям для идентификатора Microsoft Entra.
- WamDefaultId: всегда используется https://login.microsoft.com для идентификатора Microsoft Entra.
- WamDefaultGUID: GUID поставщика WAM (идентификатор Microsoft Entra ID/ учетная запись Майкрософт) для идентификатора WAM WebAccount по умолчанию.
Пример выходных данных о состоянии пользователя
+----------------------------------------------------------------------+
| User State |
+----------------------------------------------------------------------+
NgcSet : YES
NgcKeyId : {aaaaaaaa-0b0b-1c1c-2d2d-333333333333}
CanReset : DestructiveAndNonDestructive
WorkplaceJoined : NO
WamDefaultSet : YES
WamDefaultAuthority : organizations
WamDefaultId : https://login.microsoft.com
WamDefaultGUID : { B16898C6-A148-4967-9171-64D755DA8520 } (AzureAd)
+----------------------------------------------------------------------+
Состояние единого входа
Этот раздел можно игнорировать для зарегистрированных устройств Microsoft Entra.
Примечание.
Чтобы получить допустимое состояние для этого пользователя, команда должна быть выполнена в контексте пользователя.
- AzureAdPrt: задайте значение состояния YES, если на устройстве есть основной маркер обновления (PRT) для вошедшего в систему пользователя.
- AzureAdPrtUpdateTime: задайте состояние времени в формате UTC при последнем обновлении PRT.
- AzureAdPrtExpiryTime: задайте в формате UTC время истечения срока действия PRT при отсутствии продления.
- AzureAdPrtAuthority: URL-адрес центра Записи Майкрософт
- EnterprisePrt: задайте значение состояния YES, если на устройстве есть PRT из локальных служб федерации Active Directory (AD FS). Для гибридных устройств, присоединенных к Microsoft Entra, устройство может иметь PRT как из идентификатора Microsoft Entra, так и локальная служба Active Directory одновременно. Локальные присоединенные устройства имеют только корпоративный PRT.
- EnterprisePrtUpdateTime: задайте в формате UTC время последнего обновления корпоративного PRT.
- EnterprisePrtExpiryTime: задайте в формате UTC время истечения срока действия PRT при отсутствии продления.
- EnterprisePrtAuthority: URL-адрес центра AD FS.
Примечание.
Следующие поля диагностики PRT были добавлены в обновление Windows 10 за май 2021 года (версия 21H1).
- Диагностика сведения, отображаемые в поле AzureAdPrt, — для приобретения или обновления Microsoft Entra PRT, а диагностика сведения, отображаемые в поле EnterprisePrt, — для приобретения или обновления enterprise PRT.
- Диагностическая информация отображается только в том случае, если произошел сбой получения или обновления после последнего успешного обновления PRT (AzureAdPrtUpdateTime/EnterprisePrtUpdateTime).
На общем устройстве эта диагностическая информация может описывать попытки входа другого пользователя.
- AcquirePrtDiagnostics: задайте значение состояния PRESENT, если получаемая диагностическая информация о PRT находится в журналах.
- Это поле пропускается, если диагностическая информация недоступна.
- Previous Prt Attempt: местное время в формате UTC, когда произошла неудачная попытка получить или обновить PRT.
- Attempt Status: возвращенный код ошибки клиента (HRESULT).
- User Identity: имя субъекта-пользователя, для которого произошла попытка получить или обновить PRT.
- Тип учетных данных: учетные данные, используемые для получения или обновления PRT. Распространенными типами учетных данных являются пароль и учетные данные следующего поколения (NGC) (для Windows Hello).
- Идентификатор корреляции: идентификатор корреляции, отправленный сервером для неудачной попытки PRT.
- Endpoint URI: последняя конечная точка, к которой был осуществлен доступ до сбоя.
- Метод HTTP: метод HTTP, используемый для доступа к конечной точке.
- HTTP Error: код ошибки транспорта WinHttp. Получение других кодов ошибок сети.
- Состояние HTTP: состояние HTTP, возвращаемое конечной точкой.
- Server Error Code: код ошибки с сервера.
- Server Error Description: сообщение об ошибке с сервера.
- RefreshPrtDiagnostics: задайте значение состояния PRESENT, если получаемая диагностическая информация о PRT находится в журналах.
- Это поле пропускается, если диагностическая информация недоступна.
- Поля сведений диагностика совпадают с Полями сведений AcquirePrtDiagnostics.
Примечание.
В исходном выпуске Windows 11 (версия 21H2) добавлены следующие поля диагностика Cloud Kerberos.
- OnPremTgt: задайте состояние YES , если билет Cloud Kerberos для доступа к локальным ресурсам присутствует на устройстве для пользователя, вошедшего в систему.
- CloudTgt: задайте состояние YES , если билет Cloud Kerberos для доступа к облачным ресурсам присутствует на устройстве для пользователя, вошедшего в систему.
- KerbTopLevelNames: список имен областей Kerberos верхнего уровня для Cloud Kerberos.
Пример выходных данных состояния единого входа
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : NO
AzureAdPrtAuthority : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee
AcquirePrtDiagnostics : PRESENT
Previous Prt Attempt : 2020-07-18 20:10:33.789 UTC
Attempt Status : 0xc000006d
User Identity : [email protected]
Credential Type : Password
Correlation ID : aaaa0000-bb11-2222-33cc-444444dddddd
Endpoint URI : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/oauth2/token/
HTTP Method : POST
HTTP Error : 0x0
HTTP status : 400
Server Error Code : invalid_grant
Server Error Description : AADSTS50126: Error validating credentials due to invalid username or password.
EnterprisePrt : YES
EnterprisePrtUpdateTime : 2019-01-24 19:15:33.000 UTC
EnterprisePrtExpiryTime : 2019-02-07 19:15:33.000 UTC
EnterprisePrtAuthority : https://fs.hybridadfs.nttest.microsoft.com:443/adfs
OnPremTgt : YES
CloudTgt : YES
KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342
+----------------------------------------------------------------------+
Диагностические данные
Диагностика перед присоединением
Этот раздел диагностика отображается только в том случае, если устройство присоединено к домену и не может присоединиться к гибридному соединению Microsoft Entra.
В этом разделе выполняются различные тесты, помогающие диагностировать сбои при присоединении. Сведения включают в себя: этап ошибки, код ошибки, идентификатор запроса сервера, состояние HTTP ответа сервера и сообщение об ошибке ответа сервера.
User Context: контекст, в котором выполняется диагностика. Возможные значения: СИСТЕМА, пользователь БЕЗ ПОВЫШЕННЫХ ПРИВИЛЕГИЙ, пользователь С ПОВЫШЕННЫМИ ПРИВИЛЕГИЯМИ.
Примечание.
Так как фактическое присоединение выполняется в контексте SYSTEM, выполнение диагностики в контексте SYSTEM наиболее близко к сценарию фактического присоединения. Чтобы запустить диагностику в контексте SYSTEM, команда
dsregcmd /status
должна быть выполнена в командной строке с повышенными привилегиями.Client Time: системное время в формате UTC.
AD Connectivity Test: в ходе теста проверяется подключение к контроллеру домена. Ошибка в этом тесте, скорее всего, приводит к ошибкам соединения на этапе предварительного проверка.
AD Configuration Test: этот тест считывает и проверяет, правильно ли настроен объект точки подключения службы (SCP) в локальном лесу Active Directory. Ошибки в этом тесте, скорее всего, приведут к ошибкам присоединения на этапе обнаружения с кодом ошибки 0x801c001d.
DRS Discovery Test: тест получает конечные точки DRS из конечной точки метаданных обнаружения и выполняет запрос области пользователя. Ошибки в этом тесте, скорее всего, приведут к ошибкам подсоединения на этапе обнаружения.
DRS Connectivity Test: тест выполняет базовую проверку возможности подключения к конечной точке DRS.
Тест получения маркера. Этот тест пытается получить маркер проверки подлинности Microsoft Entra, если клиент пользователя федеративный. Ошибки в этом тесте, скорее всего, приведут к ошибкам подсоединения на этапе проверки подлинности. Если проверка подлинности завершается ошибкой, при попытке синхронизировать соединение выполняется в качестве резервной копии, если резервное восстановление не отключено со следующими параметрами раздела реестра:
Keyname: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ Value: FallbackToSyncJoin Type: REG_DWORD Value: 0x0 -> Disabled Value: 0x1 -> Enabled Default (No Key): Enabled
Fallback to Sync-Join: задайте значение состояния Enabled, если не задан указанный выше раздел реестра для предотвращения отката к синхронизированному присоединению в случае сбоя проверки подлинности. Этот параметр доступен в Windows 10 версии 1803 и более поздних.
Previous Registration: время предыдущей попытки присоединения. Регистрируются только неудачные попытки присоединения.
Error Phase: этап присоединения, на котором оно было прервано. Возможные значения: pre-check, discover, auth и join.
Client ErrorCode: возвращен код ошибки клиента (HRESULT).
Код ошибки сервера: код ошибки сервера, отображаемый, если запрос был отправлен серверу, а сервер ответил кодом ошибки.
Сообщение сервера: сообщение сервера, возвращенное вместе с кодом ошибки.
Состояние https: состояние HTTP, возвращаемое сервером.
ИД запроса: клиентский идентификатор запроса, отправленный на сервер. Идентификатор запроса удобно использовать для сопоставления с журналами на стороне сервера.
Пример выходных данных диагностики перед присоединением
В следующем примере показан сбой диагностического теста с ошибкой обнаружения.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:25:31.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : FAIL [0x801c0021/0x801c000c]
DRS Connectivity Test : SKIPPED
Token acquisition Test : SKIPPED
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:23:30.000 UTC
Error Phase : discover
Client ErrorCode : 0x801c0021
+----------------------------------------------------------------------+
В следующем примере показаны диагностические тесты, которые были пройдены, но при этом попытка регистрации завершилась ошибкой каталога, ожидаемой для синхронизированного присоединения. После завершения задания синхронизации Microsoft Entra Подключение устройство сможет присоединиться.
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
Diagnostics Reference : www.microsoft.com/aadjerrors
User Context : SYSTEM
Client Time : 2019-01-31 09:16:50.000 UTC
AD Connectivity Test : PASS
AD Configuration Test : PASS
DRS Discovery Test : PASS
DRS Connectivity Test : PASS
Token acquisition Test : PASS
Fallback to Sync-Join : ENABLED
Previous Registration : 2019-01-31 09:16:43.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb) isn't found.
Https Status : 400
Request Id : 6bff0bd9-820b-484b-ab20-2a4f7b76c58e
+----------------------------------------------------------------------+
Диагностика перед присоединением
В этом диагностика разделе отображаются выходные данные проверка, выполненные на устройстве, присоединенном к облаку.
- AadRecoveryEnabled: если значение равно YES, ключи, хранящиеся на устройстве, не будут использоваться и устройство будет отмечено для восстановления. Следующий вход запустит поток восстановления и повторно зарегистрирует устройство.
- KeySignTest: если значение равно PASSED, то ключи устройства находятся в работоспособном состоянии. Если тест KeySignTest не пройден, устройство обычно помечают для восстановления. Следующий вход запустит поток восстановления и повторно зарегистрирует устройство. Для гибридных устройств, присоединенных к Microsoft Entra, восстановление выполняется автоматически. Хотя устройства присоединены к Microsoft Entra или зарегистрированы в Microsoft Entra, они запрашивают проверку подлинности пользователей для восстановления и повторной регистрации устройства при необходимости.
Примечание.
Для KeySignTest требуется более высокий уровень привилегий.
Пример выходных данных диагностики после присоединения
+----------------------------------------------------------------------+
| Diagnostic Data |
+----------------------------------------------------------------------+
AadRecoveryEnabled: NO
KeySignTest : PASSED
+----------------------------------------------------------------------+
Проверка предварительных требований для NGC
В этом разделе диагностики выполняется проверка предварительных требований для настройки Windows Hello для бизнеса (WHFB).
Примечание.
Сведения о предварительных требованиях для NGC могут не отображаться в dsregcmd /status
, если пользователь уже успешно настроил WHFB.
- IsDeviceJoined: задайте состояние YES , если устройство присоединено к идентификатору Microsoft Entra.
- IsUserAzureAD: задайте состояние YES , если пользователь, вошедший в систему, присутствует в идентификаторе Microsoft Entra.
- PolicyEnabled: задайте значение состояния YES, если на устройстве включена политика WHFB.
- PostLogonEnabled: задайте значение состояния YES, если регистрация WHFB активируется самой платформой. Если задано значение NO, это означает, что регистрация Windows Hello для бизнеса активируется настраиваемым механизмом.
- DeviceEligible: задайте значение состояния YES, если устройство соответствует требованиям к оборудованию для регистрации с помощью WHFB.
- SessionIsNotRemote: задайте значение состояния YES, если текущий пользователь выполнил вход непосредственно на устройстве, а не удаленно.
- CertEnrollment: этот параметр относится к развертыванию доверия сертификата WHFB, указывая центр регистрации сертификатов для WHFB. Задайте в качестве значения состояния enrollment authority, если источником политики WHFB является групповая политика, или задайте mobile device management, если источником является MDM. Если ни один из этих источников не применяется, установите для состояния значение none.
- AdfsRefreshToken: этот параметр относится к развертыванию доверия сертификатов WHFB и предоставляется только в том случае, если состояние CertEnrollment — enrollment authority. Данный параметр указывает, имеет ли устройство корпоративный PRT для пользователя.
- AdfsRaIsReady: этот параметр относится к развертыванию доверия сертификатов WHFB и предоставляется только в том случае, если состояние CertEnrollment — enrollment authority. Задайте значение YES, если AD FS указывают в метаданных обнаружения, что поддерживается WHFB, и доступен шаблон сертификата для входа.
- LogonCertTemplateReady: этот параметр относится к развертыванию доверия сертификатов WHFB и предоставляется только в том случае, если состояние CertEnrollment — enrollment authority. Задайте для состояния значение YES, если шаблон сертификата для входа является допустимым и помогает устранить неполадки с центром регистрации AD FS.
- PreReqResult: предоставляет результат всей оценки предварительных требований для WHFB. Задайте значение Will Provision, если регистрация WHFB будет запускаться как задача после входа при следующем входе пользователя в систему.
Примечание.
В обновление Windows 10 мая 2021 г. (версия 21H1) добавлены следующие поля диагностика Cloud Kerberos.
До Windows 11 версии 23H2 параметр OnPremTGT был назван CloudTGT.
- OnPremTGT: этот параметр относится к развертыванию доверия Cloud Kerberos и присутствует только в том случае, если состояние CertEnrollment отсутствует. Задайте состояние YES , если у устройства есть билет Cloud Kerberos для доступа к локальным ресурсам. До Windows 11 версии 23H2 этот параметр был назван CloudTGT.
Пример выходных данных проверки предварительных требований для NGC
+----------------------------------------------------------------------+
| Ngc Prerequisite Check |
+----------------------------------------------------------------------+
IsDeviceJoined : YES
IsUserAzureAD : YES
PolicyEnabled : YES
PostLogonEnabled : YES
DeviceEligible : YES
SessionIsNotRemote : YES
CertEnrollment : enrollment authority
AdfsRefreshToken : YES
AdfsRaIsReady : YES
LogonCertTemplateReady : YES ( StateReady )
PreReqResult : WillProvision
+----------------------------------------------------------------------+
Следующие шаги
Перейдите к средству поиска ошибок (Майкрософт).