Назад | Перейти на главную страницу

WHfB - Доверие гибридного сертификата - Неудачная подготовка

После настройки Windows Hello для бизнеса в гибридном сценарии развертывания доверия сертификатов с присоединением к Azure AD у меня возникли следующие события на моем тестовом клиентском компьютере после неудачной подготовки.

Я просмотрел свою настройку, но должно быть что-то упустил. Любая помощь будет высоко ценится.

    ##############################

Microsoft-Windows-AAD/Operational


TimeCreated : 13/05/2020 11:57:04 
Id          : 1082
Message     : Key error: DecodingProtectedCredentialKeyFatalFailure
              Error description: AADSTS9002313: Invalid request. Request is malformed or invalid.
              Trace ID: 834deec1-21d8-48c2-bae5-7f795e312f00
              Correlation ID: 88bc2dda-ba2a-42dc-a9da-7b9f362f7d7a
              Timestamp: 2020-05-13 22:57:04Z
              CorrelationID: 88bc2dda-ba2a-42dc-a9da-7b9f362f7d7a


TimeCreated : 13/05/2020 11:57:03 
Id          : 1118
Message     : Enterprise STS Logon failure. Status: 0xC000006D Correlation ID: FE6DBC4F-69BB-426B-933B-0BADB38A1361

TimeCreated : 13/05/2020 11:57:03 
Id          : 1081
Message     : OAuth response error: invalid_grant
              Error description: MSIS9683: Received invalid OAuth JWT Bearer request. Transport key for the device is invalid. It must be a RSA public key blob or TPM storage key blob.
              CorrelationID: 


TimeCreated : 13/05/2020 11:57:03 
Id          : 1025
Message     : Http request status: 400. Method: POST Endpoint Uri: https://adfs.domain.com/adfs/oauth2/token/ Correlation ID: FE6DBC4F-69BB-426B-933B-0BADB38A1361

TimeCreated : 13/05/2020 11:56:01 
Id          : 1082
Message     : Key error: DecodingProtectedCredentialKeyFatalFailure
              Error description: AADSTS9002313: Invalid request. Request is malformed or invalid.
              Trace ID: 4a2197fa-c85f-4ea0-af79-1a830e1d2d00
              Correlation ID: f6141ebb-116c-4701-9118-80124017b6d1
              Timestamp: 2020-05-13 22:56:02Z
              CorrelationID: f6141ebb-116c-4701-9118-80124017b6d1


TimeCreated : 13/05/2020 11:56:01 
Id          : 1118
Message     : Enterprise STS Logon failure. Status: 0xC000006D Correlation ID: E5C246DD-9FFF-4E07-92A5-61389B08C64A

TimeCreated : 13/05/2020 11:56:01 
Id          : 1081
Message     : OAuth response error: invalid_grant
              Error description: MSIS9683: Received invalid OAuth JWT Bearer request. Transport key for the device is invalid. It must be a RSA public key blob or TPM storage key blob.
              CorrelationID: 


TimeCreated : 13/05/2020 11:56:01 
Id          : 1025
Message     : Http request status: 400. Method: POST Endpoint Uri: https://adfs.domain.com/adfs/oauth2/token/ Correlation ID: E5C246DD-9FFF-4E07-92A5-61389B08C64A



#######################################
Microsoft-Windows-HelloForBusiness/Operational


TimeCreated : 13/05/2020 11:57:00 
Id          : 5520
Message     : Device unlock policy is not configured on this device.

TimeCreated : 13/05/2020 11:56:03 
Id          : 7054
Message     : Windows Hello for Business prerequisites check failed.

              Error: 0x1

TimeCreated : 13/05/2020 11:56:03 
Id          : 8205
Message     : Windows Hello for Business successfully located a usable sign-on certificate template.

TimeCreated : 13/05/2020 11:56:03 
Id          : 8206
Message     : Windows Hello for Business successfully located a certificate registration authority.

TimeCreated : 13/05/2020 11:56:03 
Id          : 7211
Message     : The Secondary Account Primary Refresh Token prerequisite check failed.

TimeCreated : 13/05/2020 11:56:03 
Id          : 8202
Message     : The device meets Windows Hello for Business hardware requirements.

TimeCreated : 13/05/2020 11:56:03 
Id          : 8204
Message     : Windows Hello for Business post-logon provisioning is enabled.

TimeCreated : 13/05/2020 11:56:03 
Id          : 8203
Message     : Windows Hello for Business is enabled.

TimeCreated : 13/05/2020 11:56:03 
Id          : 5204
Message     : Windows Hello for Business certificate enrollment configurations: 

              Certificate Enrollment Method: RA
              Certificate Required for On-Premise Auth: true

TimeCreated : 13/05/2020 11:56:03 
Id          : 8200
Message     : The device registration prerequisite check completed successfully.

TimeCreated : 13/05/2020 11:56:03 
Id          : 8201
Message     : The Primary Account Primary Refresh Token prerequisite check completed successfully.

TimeCreated : 13/05/2020 11:56:03 
Id          : 8210
Message     : Windows Hello for Business successfully completed the remote desktop prerequisite check.

TimeCreated : 13/05/2020 11:56:03 
Id          : 3054
Message     : Windows Hello for Business prerequisites check started.

TimeCreated : 13/05/2020 11:56:00 
Id          : 8025
Message     : The Microsoft Passport Container service started successfully.

TimeCreated : 13/05/2020 11:56:00 
Id          : 8025
Message     : The Microsoft Passport service started successfully.

TimeCreated : 13/05/2020 11:55:07 
Id          : 5520
Message     : Device unlock policy is not configured on this device.



#######################################
Microsoft-Windows-User Device Registration/Admin


TimeCreated : 13/05/2020 11:56:59 
Id          : 331
Message     : Automatic device join pre-check tasks completed. Debug output:\r\n preCheckResult: DoNotJoin
              deviceKeysHealthy: YES
              isJoined: YES
              isDcAvailable: YES
              isSystem: YES
              keyProvider: Microsoft Platform Crypto Provider
              keyContainer: c9bc09fb-e9bd-4de7-b06a-f8798e6f377c
              dsrInstance: AzureDrs
              elapsedSeconds: 0
              resultCode: 0x1


TimeCreated : 13/05/2020 11:56:59 
Id          : 335
Message     : Automatic device join pre-check tasks completed. The device is already joined.

TimeCreated : 13/05/2020 11:56:03 
Id          : 360
Message     : Windows Hello for Business provisioning will not be launched. 
              Device is AAD joined ( AADJ or DJ++ ): Yes 
              User has logged on with AAD credentials: Yes 
              Windows Hello for Business policy is enabled: Yes 
              Windows Hello for Business post-logon provisioning is enabled: Yes 
              Local computer meets Windows hello for business hardware requirements: Yes 
              User is not connected to the machine via Remote Desktop: Yes 
              User certificate for on premise auth policy is enabled: Yes 
              Machine is governed by enrollment authority policy. 
              See https://go.microsoft.com/fwlink/?linkid=832647 for more details.

TimeCreated : 13/05/2020 11:56:03 
Id          : 362
Message     : Windows Hello for Business provisioning will not be launched. 
              Device is AAD joined ( AADJ or DJ++ ): Yes 
              User has logged on with AAD credentials: Yes 
              Windows Hello for Business policy is enabled: Yes 
              Windows Hello for Business post-logon provisioning is enabled: Yes 
              Local computer meets Windows hello for business hardware requirements: Yes 
              User is not connected to the machine via Remote Desktop: Yes 
              User certificate for on premise auth policy is enabled: Yes 
              Enterprise user logon certificate enrollment endpoint is ready: Yes 
              Enterprise user logon certificate template is : Yes 
              User has successfully authenticated to the enterprise STS: No 
              Certificate enrollment method: enrollment authority 
              See https://go.microsoft.com/fwlink/?linkid=832647 for more details.

TimeCreated : 13/05/2020 11:55:09 
Id          : 331
Message     : Automatic device join pre-check tasks completed. Debug output:\r\n preCheckResult: DoNotJoin
              deviceKeysHealthy: YES
              isJoined: YES
              isDcAvailable: YES
              isSystem: YES
              keyProvider: Microsoft Platform Crypto Provider
              keyContainer: c9bc09fb-e9bd-4de7-b06a-f8798e6f377c
              dsrInstance: AzureDrs
              elapsedSeconds: 1
              resultCode: 0x1


TimeCreated : 13/05/2020 11:55:09 
Id          : 335
Message     : Automatic device join pre-check tasks completed. The device is already joined.

TimeCreated : 13/05/2020 11:55:05 
Id          : 369
Message     : The Workstation Service logged a device registration message. 
              Message: AutoJoinSvc/WJComputeWorkplaceJoinTaskState: Machine is already joined to Azure AD.


TimeCreated : 13/05/2020 11:55:05 
Id          : 369
Message     : The Workstation Service logged a device registration message. 
              Message: AutoJoinSvc/WJSetScheduledTaskState: Running task "\Microsoft\Windows\Workplace Join\Automatic-Device-Join". 

TimeCreated : 13/05/2020 11:55:05 
Id          : 369
Message     : The Workstation Service logged a device registration message. 
              Message: AutoJoinSvc/WJComputeWorkplaceJoinTaskState: Global policy found with value 1.

Я столкнулся с похожей ситуацией несколько дней назад. Я никак не мог получить Enterprise Primary Refresh Token и начать подготовку.

Я получал ту же ошибку, что и вы на моем узле ADFS:

Error description: MSIS9683: Received invalid OAuth JWT Bearer request. Transport key for the device is invalid. It must be a RSA public key blob or TPM storage key blob.

Я запустил программу wirehark и обнаружил, что когда вы входите в компьютер, который собираетесь подготовить, и он пытается пройти аутентификацию в ADFS для получения Enterprise PRT, ADFS, скорее всего, обращается к AD для получения транспортного ключа, о котором упоминается в ошибке.

Предполагается, что этот транспортный ключ будет храниться под атрибутом msDS-KeyCredentialLink в CN = RegisteredDevices, DC = contoso, DC = com. Этот контейнер заполняется Azure AD Connect через обратную запись устройства. Проблема заключалась в том, что в моем случае атрибут не был заполнен, поэтому ADFS становился пустым. Я проверил все разрешения для контейнера, но вроде все в порядке. В конечном итоге помогло принудительное обновление схемы домена через Azure AD Connect. Но поскольку все разрешения были правильными с самого начала, я думаю, что это был полный цикл синхронизации, который AAD Connect инициировал после этого, который фактически решил мою проблему и заполнил атрибут.

TL; DR: по какой-то причине AAD Connect может не синхронизировать большие двоичные объекты с открытым ключом для ваших устройств, зарегистрированных в Azure AD, обратно в локальную AD, заставьте его сделать это:

Import-Module ADSync
Start-ADSyncSyncCycle -PolicyType Initial

Надеюсь это поможет.

Ура