AADSTS90019 ao tentar o registro automático do Azure AD do dispositivo Windows 10 associado ao domínio

3

Estou tentando configurar a associação automática do AAD para o Windows 10, conforme descrito aqui:

Temos dois servidores internos do ADFS 3.0 (Server 2012R2). Eles são configurados usando o Azure AD Connect para federação com o Office 365 em quatro UPNs:

  • ad.dom1.com - este é o nome da floresta, só temos uma floresta
  • dom1.com - a maioria dos usuários existe sob este domínio
  • dom2.com
  • dom3.com

Os servidores do ADFS são expostos usando um balanceador de carga no nível do TCP no link , com um certificado assinado por uma autoridade de certificação pública. Os servidores do ADFS não estão executando o DRS, já que pretendemos fazer isso com o Azure AD.

A autenticação federada com o Office 365 é bem-sucedida para usuários criados com qualquer um desses sufixos UPN, mas somente depois de ter alterado a terceira regra, conforme descrito em link

Todas as etapas de pré-requisito no artigo do Azure foram executadas:

  • Defina o ponto de conexão de serviço
  • Executado Initialize-ADSyncDomainJoinedComputerSync
  • Assegure-se de que as três primeiras regras de federação existentes no artigo existam (elas foram criadas automaticamente pelo Azure AD Connect)
  • Assegure-se de que Regra de reivindicação de método de autenticação exista e execute Set-AdfsRelyingPartyTrust
  • criou a política de grupo

Além disso, os domínios:

  • enterpriseregistration.dom1.com
  • enterpriseregistration.ad.dom1.com
  • enterpriseregistration.dom2.com
  • enterpriseregistration.dom3.com

São todos os CNAMEs para enterpriseregistration.windows.net

No entanto, embora todas as outras autenticações pareçam funcionar bem, o processo automático do AADJ falha em todas as máquinas cliente associadas ao domínio do Windows 10 Enterprise existentes. Os seguintes erros estão presentes no registro de eventos Registro de dispositivos do usuário / Microsoft / Windows :

ID do evento 305

Automatic registration failed at authentication phase.  Unable to acquire access token.  Exit code: Unspecified error. Server error: AdalMessage: GetStatus returned failure
AdalError: invalid_request
AdalErrorDesc: AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.
Trace ID: <uuid>
Correlation ID: <uuid>
Timestamp: 2016-11-14 12:30:28Z
AdalErrorCode: 0xcaa90006
AdalCorrelationId: <uuid>
AdalLog:  HRESULT: 0xcaa90006
AdalLog:  HRESULT: 0xcaa20002
AdalLog: Webrequest returns error code:invalid_request and error description:AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.
Trace ID: <uuid>
Correlation ID: <uuid>
Timestamp: 2016-11-14 12:30:28Z ; HRESULT: 0x0
AdalLog: Token response is not successfull. Status:400 ResponseText:{"error":"invalid_request","error_description":"AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.\r\nTrace ID: <uuid>\r\nCorrelation ID: <uuid>\r\nTimestamp: 2016-11-14 12:30:28Z","error_codes":[90019],"timestamp":"2016-11-14 12:30:28Z","trace_id":"<uuid>","correlation_id":<uuid>"} ; HRESULT: 0x0
AdalLog: WebRequest Status:400 ; HRESULT: 0x0
AdalLog: Webrequest has valid state ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: Webrequest opening connection ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth- received realm info ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth w Tenant ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- returns false ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- refresh token is not available ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken get refresh token info ; HRESULT: 0x0
AdalLog: Authority validation is completed ; HRESULT: 0x0
AdalLog: Authority validation is enabled ; HRESULT: 0x0
AdalLog: Token is not available in the cache ; HRESULT: 0x0
. Tenant Type: dom1.com

ID do evento 304

Automatic registration failed at join phase.  Exit code: Unknown HResult Error code: 0xcaa1000e. Server error: empty. Debug Output:\r\n joinMode: Join
drsInstance: azure
registrationType: fed
tenantType: fed
tenantId: <uuid>
configLocation: undefined
errorPhase: auth
adalCorrelationId: <uuid>
adalLog: AdalLog:  HRESULT: 0xcaa1000e
AdalLog:  HRESULT: 0xcaa90006
AdalLog:  HRESULT: 0xcaa20002
AdalLog: Webrequest returns error code:invalid_request and error description:AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.
Trace ID: <uuid>
Correlation ID: <uuid>
Timestamp: 2016-11-14 12:30:28Z ; HRESULT: 0x0
AdalLog: Token response is not successfull. Status:400 ResponseText:{"error":"invalid_request","error_description":"AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.\r\nTrace ID: <uuid>\r\nCorrelation ID: <uuid>\r\nTimestamp: 2016-11-14 12:30:28Z","error_codes":[90019],"timestamp":"2016-11-14 12:30:28Z","trace_id":"<uuid>","correlation_id":"<uuid>"} ; HRESULT: 0x0
AdalLog: WebRequest Status:400 ; HRESULT: 0x0
AdalLog: Webrequest has valid state ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: Webrequest opening connection ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth- received realm info ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth w Tenant ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- returns false ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- refresh token is not available ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken get refresh token info ; HRESULT: 0x0
AdalLog: Authority validation is completed ; HRESULT: 0x0
AdalLog: Authority validation is enabled ; HRESULT: 0x0
AdalLog: Token is not available in the cache ; HRESULT: 0x0

adalLog: AdalLog:  HRESULT: 0xcaa1000e
AdalLog:  HRESULT: 0xcaa90006
AdalLog:  HRESULT: 0xcaa20002
AdalLog: Webrequest returns error code:invalid_request and error description:AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.
Trace ID: <uuid>
Correlation ID: <uuid>
Timestamp: 2016-11-14 12:30:28Z ; HRESULT: 0x0
AdalLog: Token response is not successfull. Status:400 ResponseText:{"error":"invalid_request","error_description":"AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.\r\nTrace ID: <uuid>\r\nCorrelation ID: <uuid>\r\nTimestamp: 2016-11-14 12:30:28Z","error_codes":[90019],"timestamp":"2016-11-14 12:30:28Z","trace_id":"<uuid>","correlation_id":"<uuid>"} ; HRESULT: 0x0
AdalLog: WebRequest Status:400 ; HRESULT: 0x0
AdalLog: Webrequest has valid state ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: Webrequest opening connection ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth- received realm info ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth w Tenant ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- returns false ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- refresh token is not available ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken get refresh token info ; HRESULT: 0x0
AdalLog: Authority validation is completed ; HRESULT: 0x0
AdalLog: Authority validation is enabled ; HRESULT: 0x0
AdalLog: Token is not available in the cache ; HRESULT: 0x0

adalResponseCode: 0xcaa1000e
.

dsregcmd.exe

Erros semelhantes aparecem se eu tentar executar C: \ windows \ system32 \ dsregcmd.exe / debug a partir de um prompt de comando SYSTEM:

dsregcmd::wmain logging initialized.DsrCmdAccountMgr::IsDomainControllerAvailable DsGetDcName success { domain:ad.dom1.com forest:ad.dom1.com domainController:\ldndc01.ad.dom1.com isDcAvailable:true }
PreJoinChecks Complete.
preCheckResult: Join
isPrivateKeyFound: undefined
isJoined: undefined
isDcAvailable: YES
isSystem: YES
keyProvider: undefined
keyContainer: undefined
dsrInstance: undefined
elapsedSeconds: 1
resultCode: 0x0
Automatic device join pre-check tasks completed.TenantInfo::Discover: tenant type detection, validating https://adfs.ad.dom1.com/adfs/ls/
TenantInfo::Discover: tenant type detection, checking match against https://login.microsoftonline.com
TenantInfo::Discover: tenant type detection, checking match against https://login.windows-ppe.net
TenantInfo::Discover: Join Info TenantType:Federated  AutoJoinEnabled:1 TenandID:<uuid> TenantName:dom1.com

DsrCmdSettings::GetSetting: The key was not found, so returning FALSE. Key: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ
AdalLog: Token is not available in the cache ; HRESULT: 0x0
AdalLog: Authority validation is enabled ; HRESULT: 0x0
AdalLog: Authority validation is completed ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken get refresh token info ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- refresh token is not available ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- returns false ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth w Tenant ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth- received realm info ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: Webrequest opening connection ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: Webrequest has valid state ; HRESULT: 0x0
AdalLog: WebRequest Status:400 ; HRESULT: 0x0
AdalLog: Token response is not successfull. Status:400 ResponseText:{"error":"invalid_request","error_description":"AADSTS90019: No tenant-identifying information found in either the request or implied by any provided
credentials.\r\nTrace ID: <uuid>\r\nCorrelation ID: <uuid>\r\nTimestamp: 2016-11-14 12:30:28Z","error_codes":[90019],"timestamp":"2016-11-14 12:30:28Z","trace
_id":"<uuid>","correlation_id":"<uuid>"} ; HRESULT: 0x0
AdalLog: Webrequest returns error code:invalid_request and error description:AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.
Trace ID: <uuid>
Correlation ID: <uuid>
Timestamp: 2016-11-14 12:30:28Z ; HRESULT: 0x0
AdalLog:  HRESULT: 0xcaa20002
AdalLog:  HRESULT: 0xcaa90006
AdalMessage: GetStatus returned failure
AdalError: invalid_request
AdalErrorDesc: AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.
Trace ID: <uuid>
Correlation ID: <uuid>
Timestamp: 2016-11-14 12:30:28Z
AdalErrorCode: 0xcaa90006
AdalCorrelationId: {39AEBF80-8679-4A5A-86D3-409CB1A8D8EF}
AdalLog:  HRESULT: 0xcaa90006
AdalLog:  HRESULT: 0xcaa20002
AdalLog: Webrequest returns error code:invalid_request and error description:AADSTS90019: No tenant-identifying information found in either the request or implied by any provided credentials.
Trace ID: <uuid>
Correlation ID: <uuid>
Timestamp: 2016-11-14 12:30:28Z ; HRESULT: 0x0
AdalLog: Token response is not successfull. Status:400 ResponseText:{"error":"invalid_request","error_description":"AADSTS90019: No tenant-identifying information found in either the request or implied by any provided
credentials.\r\nTrace ID: <uuid>\r\nCorrelation ID: <uuid>\r\nTimestamp: 2016-11-14 12:30:28Z","error_codes":[90019],"timestamp":"2016-11-14 12:30:28Z","trace
_id":"<uuid>","correlation_id":"<uuid>"} ; HRESULT: 0x0
AdalLog: WebRequest Status:400 ; HRESULT: 0x0
AdalLog: Webrequest has valid state ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: Webrequest opening connection ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth- received realm info ; HRESULT: 0x0
AdalLog:  HRESULT: 0x4aa90010
AdalLog: AggregatedTokenRequest::UseWindowsIntegratedAuth w Tenant ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- returns false ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken- refresh token is not available ; HRESULT: 0x0
AdalLog: AggregatedTokenRequest::AcquireToken get refresh token info ; HRESULT: 0x0
AdalLog: Authority validation is completed ; HRESULT: 0x0
AdalLog: Authority validation is enabled ; HRESULT: 0x0
AdalLog: Token is not available in the cache ; HRESULT: 0x0
AdalLog:  HRESULT: 0xcaa1000e
wmain: Unable to retrieve access token 0x80004005.
DSREGCMD_END_STATUS
        AzureAdJoined : NO
     EnterpriseJoined : NO
    
por Cameron 14.11.2016 / 16:32

2 respostas

1

Eu entendo sua frustração com isso. Eu passei cerca de 20 horas solucionando problemas com a união automática do AAD. Estou executando a versão mais recente do AD Connect e estou executando um farm do ADFS no Server 2016. NÃO deixei o AD Connect configurar meus servidores ADFS.

Eu tive exatamente o mesmo erro. A questão era uma reivindicação ausente do ImmutableID. Esse link provou ser o melhor recurso para configurar a associação do azure AD: link

Existe um script listado para adicionar automaticamente as regras de reivindicação necessárias. Agora que eu praticamente entendo todo esse processo por dentro e por fora, posso dizer que o script realmente funciona e adiciona as regras de declarações corretas.

No entanto, o que é enganoso é como configurar o par de variáveis no script. Então, eu pensei que iria esclarecer com base no meu aprendizado, espero que ele vai salvar alguém algum tempo.

  • $MultipleVerifiedDomainNames : a descrição e o nome são WRONG e MISLEADING. Defina isso como $ TRUE somente se você tiver MÚLTIPLOS FEDERADOS DOMAINS no seu locatário do Office 365.
  • %código%: Se a ID Imutável (Âncora de Origem) para o seu AD Connect a sincronização NÃO usa objectGUID, em seguida, define isso para $ TRUE.
  • $immutableIDAlreadyIssuedforUsers : Se você definir $ MultipleVerifiedDomainNames para $ true, defina isso para o nome de domínio verificado do Office 365 que você deseja que seus dispositivos se registrem.

Não altere nenhum outro componente do script e verifique se você o executa apenas uma vez. Se você precisar executá-lo novamente, será necessário remover manualmente as regras de emissão de declarações adicionadas do RP trust ou elas serão duplicadas.

Outra coisa muito útil para saber quando se trata de solucionar problemas no Windows 10, use o DSREGCMD. Ele tem que ser executado como SYSTEM, então você precisará de algo como PSEXEC.

$oneOfVerifiedDomainNames

psexec -i -s cmd.exe

Isso forçará um registro imediato no Azure e relatará informações detalhadas sobre a falha. Durante meus testes, o Windows 7 funcionou bem, mas o Windows 10 não iria aderir ao AD. Se o ImmutableID for o problema, você verá que o erro é: AADSTS90019: Nenhuma informação de identificação de inquilino encontrada na solicitação ou implícita por qualquer credencial fornecida.

Se você incluiu um domínio verificado quando não deveria estar ou está errado, verá: AADSTS50107: O objeto de região de federação solicitado dsregcmd /debug não existe.

    
por 18.07.2017 / 20:41
0

Em primeiro lugar, observe que esse processo é chamado de registro Automático de AAD ou Associação automática de local de trabalho, não associação automática de AAD. O AAD Join é diferente com o registro do AAD, que é um recurso exclusivo do Win10 (edições profissionais ou corporativas).

Eu testei isso em meu laboratório e completei com êxito o registro automático para minhas máquinas Server2012 R2 e Win10 no AAD por meio do pacote MSI & GPO. No primeiro cenário (via pacote MSI), a tarefa de agendamento será acionada quando o login for feito através da conta de usuário que foi sincronizada com o AAD por conexão do AAD. Após a conclusão da tarefa, você verá que os dispositivos foram registrados no AAD e associados a esse usuário.

NosegundocenárioviaGPO,ologdeeventosmostrouqueoRegistroautomáticofoiconcluídoetambémpossoverasmáquinasnoportaldoAzureAD.

Para o seu problema, acho que você pode tentar adicionar novamente as regras de declaração ($ rule1 ~ $ rule3) em seu servidor ADFS, embora elas já existam. Além disso, certifique-se de que o servidor ADFS em seu ambiente esteja configurado e funcionando corretamente.

    
por 17.11.2016 / 09:26