事件 1098年:"错误︰ 0xCAA5001C 令牌中介操作失败"

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3196528
症状
Azure 活动目录(AD) 身份验证失败,并在 Microsoft Windows 的 AAD/运营日志中记录以下事件︰

日志名称︰ Microsoft Windows 的 AAD/操作
来源︰ Microsoft Windows AAD
事件 ID: 1098年
任务类别︰ AadTokenBrokerPlugin 操作
级别︰ 错误
用户︰ S-1-5-21-299502267-1950408961-849522115-1818
计算机︰ computer.contoso.com
说明:
错误︰ 0xCAA5001C 标记代理操作失败。
操作名称︰ GetTokenSilently、 错误︰ 为-2147024891 (0x80070005),说明︰ 访问被拒绝


日志名称︰ Microsoft Windows 的 AAD/操作
来源︰ Microsoft Windows AAD
事件 ID: 1104年
任务类别︰ AadCloudAPPlugin 操作
级别︰ 错误
用户: 系统
计算机︰ computer.contoso.com
说明:
AAD 云 AP 插件调用获取令牌返回错误︰ 0xC000005F


这可能会影响服务,如企业状态漫游和 Windows 应用商店的业务。
原因
如果缺少一个或两个以下注册表项的所有权属性或权限,则会出现此问题︰

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\SystemAppData\ Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\PSR

HKEY_USERS\S-1-5-21-299502267-1950408961-849522115-1818\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion \AppModel\SystemAppData\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\PSR

注意事件 ID 1098 HKEY_USERS 下的路径中的用户报告匹配的 SID。在此示例中,它是 S-1-5-21-299502267-1950408961-849522115-1818。
解决方案
若要解决此问题,请执行以下步骤:
  1. 如有必要获得所有权的 (所有者 = 系统)。
  2. 通过启用继承 (修复一应解决,除非多个用户登录到同一台设备上) 修复这些注册表项的权限︰
    HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\SystemAppData\ Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\PSR

    HKEY_USERS\S-1-5-21-299502267-1950408961-849522115-1818\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion \AppModel\SystemAppData\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\PSR
    键入主体访问继承自适用于
    允许S-1-15-2-1910091885-1573563583-1104941280-2418270861-3411158377-2822700936-2990310272查询值仅此项
    允许系统完全控制CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\SystemAppData此项及其子项
    允许域用户帐户 (user@contoso.com)完全控制CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\SystemAppData此项及其子项
    允许管理员 (COMPUTER\Administrators)完全控制CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\SystemAppData此项及其子项
    允许创建者所有者完全控制CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\SystemAppData只有子项
    注意:︰ 如果您查看 HKEY_USERS\ {SID} 下的 ~\PSR 注册表项的权限,继承自字段将显示从 HKEY_USERS\ {SID} 路径继承。

    如果这不能解决此问题,请考虑运行 进程监视器 在执行寻找其他领域可能会导致身份验证失败的注册表或文件系统的访问被拒绝的身份验证方法。如果您发现任何,请将其添加到本文中。

警告:本文已自动翻译

属性

文章 ID:3196528 - 上次审阅时间:10/14/2016 17:20:00 - 修订版本: 1.0

Windows 10, Windows 10 Version 1511, Windows 10 Version 1607

  • kbmt KB3196528 KbMtzh
反馈