Solución de problemas de escritura diferida en el autoservicio de restablecimiento de contraseña en Microsoft Entra ID
El autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra ID permite a los usuarios restablecer sus contraseñas en la nube. La escritura diferida de contraseñas es una característica que se habilita con Microsoft Entra Connect o la sincronización en la nube que permite que los cambios de contraseña en la nube se escriban en un directorio local en tiempo real.
Si tiene problemas con la escritura diferida de SSPR, puede que le sean de utilidad los pasos de resolución y los errores comunes que se describen a continuación. Si no encuentra la respuesta a un problema, nuestros equipos de soporte técnico están siempre disponibles para ayudarle.
Solución de problemas de conectividad
Si tiene problemas con la escritura diferida de contraseñas en Microsoft Entra Connect, revise los siguientes pasos, que pueden ayudar a resolverlos. Para recuperar el servicio, se recomienda seguir estos pasos en orden:
- Confirmación de la conectividad de la red
- Comprobación de TLS 1.2
- Actualización de Microsoft .NET 4.8
- Reinicio del servicio de sincronización Microsoft Entra Connect
- Deshabilitar y volver a habilitar la característica de escritura diferida de contraseñas
- Instalación de la versión más reciente de Microsoft Entra Connect
- Solución de problemas con la escritura diferida de contraseñas
Confirmación de la conectividad de la red
El punto de error más común es la configuración incorrecta del servidor de seguridad o los puertos del proxy y los tiempos de inactividad.
A partir de la versión 1.1.443.0 de Microsoft Entra Connect, se requiere acceso HTTPS de salida a las siguientes direcciones:
- *.passwordreset.microsoftonline.com
- *.servicebus.windows.net
Puntos de conexión de Azure para la administración pública de EE. UU:
- *.passwordreset.microsoftonline.us
- *.servicebus.usgovcloudapi.net
Puntos de conexión de Azure China 21Vianet:
- ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
- ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn
Si necesita más granularidad, consulte la lista de intervalos IP de Microsoft Azure y etiquetas de servicio para la nube pública.
Para Azure para la administración pública de EE. UU, consulte la lista de intervalos IP de Microsoft Azure y etiquetas de servicio para Azure para la nube de administración pública de EE. UU.
Estos archivos se actualizan semanalmente.
Para determinar si el acceso a una dirección URL y un puerto están restringidos en un entorno como la nube pública de Azure, siga estos pasos:
En el servidor de conexión de Entra, abra los registros del Visor de eventos (registros de Windows, aplicación) y busque uno de estos id. de evento: 31034 o 31019.
A partir de estos id. de evento, identifique el nombre del cliente de escucha de Service Bus:
Ejecute el siguiente cmdlet:
Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443
También puede ejecutar lo siguiente:
Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -Verbose
Reemplace el <espacio de nombres> por el mismo que extrajo de los id. de evento anteriores. Por ejemplo, en el caso anterior, el comando es el siguiente:
Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443
Para obtener más información, consulte los requisitos previos de conectividad para Microsoft Entra Connect.
Compruebe si TLS 1.2 está habilitado
Un paso de solución de problemas adicional es comprobar que TLS 1.2 está habilitado correctamente en el servidor de sincronización. Ejecute la secuencia de comandos de PowerShell para comprobar TLS 1.2 en Entra Connect Server. Asegúrese de ejecutar la secuencia de comandos en modo de administrador.
La salida de la secuencia de comandos de comprobación debe parecerse a la siguiente imagen (las columnas de ruta, nombre y valor) para que se habilite correctamente. Si no es así, ejecute la secuencia de comandos de PowerShell para habilitar TLS 1.2 en Entra Connect Server/. A continuación, reinicie el servidor y ejecute la secuencia de comandos para comprobar TLS 1.2 de nuevo.
Asegúrese de que Microsoft .NET Framework 4.8 o superior está habilitado (servidor de sincronización)
Asegúrese de que Microsoft .NET Framework 4.8 o superior está habilitado en el servidor de sincronización.
- Cómo comprobar que .NET ya está instalado
- Consultar el registro mediante PowerShell
- Descargar .NET Framework
Reinicio del servicio de sincronización Microsoft Entra Connect
Para resolver problemas de conectividad u otros problemas transitorios del servicio, siga los pasos que se indican a continuación para reiniciar el servicio Microsoft Entra Connect Sync:
Como administrador del servidor que ejecuta Microsoft Entra Connect, seleccione Inicio.
Introduzca services.msc en el campo de búsqueda y seleccione Introducir.
Busque la entrada Sincronización de Azure AD.
Haga clic con el botón derecho en la entrada del servicio, seleccione Reiniciar y espere a que se complete la operación.
Con estos pasos, se restablece la conexión con Microsoft Entra ID y se resuelven los problemas de conectividad.
Si, al reiniciar el servicio de sincronización de Microsoft Entra Connect no se resuelve el problema, pruebe a deshabilitar y volver a habilitar la característica de escritura diferida de contraseñas en la sección siguiente.
Deshabilitar y volver a habilitar la característica de escritura diferida de contraseñas
Para seguir solucionando problemas, realice estos pasos para deshabilitar y volver a habilitar la característica de escritura diferida de contraseñas:
- Como administrador del servidor que ejecuta Microsoft Entra Connect, abra el Asistente para configuración de Microsoft Entra Connect.
- En Conectarse a Microsoft Entra ID, introduzca las credenciales de administrador global de Microsoft Entra.
- En Conectarse a AD DS, introduzca las credenciales de administrador de Active Directory Domain Services en el entorno local.
- En Identificación de forma exclusiva de usuarios, seleccione el botón Siguiente.
- En Características opcionales, desactive la casilla Escritura diferida de contraseñas.
- Seleccione Siguiente en el resto de las páginas del cuadro de diálogo sin cambiar nada hasta llegar a la página Listo para configurar.
- Compruebe que en la página Listo para configurar la opción Escritura diferida de contraseñas aparece como Deshabilitada. Seleccione el botón verde Configurar para confirmar los cambios.
- En Finalizado, desactive la opción Sincronizar ahora y, a continuación, seleccione Finalizar para cerrar el asistente.
- Vuelva a abrir el Asistente para configuración de Microsoft Entra Connect.
- Repita los pasos del 2 al 8, pero, esta vez, seleccione la opción Escritura diferida de contraseñas en la pantalla Características opcionales para volver a habilitar el servicio.
Con estos pasos, se restablece la conexión con Microsoft Entra ID y se resuelven los problemas de conectividad.
Si el problema no se soluciona después de deshabilitar y volver a habilitar la característica de escritura diferida de contraseñas, vuelva a instalar Microsoft Entra Connect en la siguiente sección.
Instalación de la versión más reciente de Microsoft Entra Connect
Con la reinstalación de Microsoft Entra Connect se pueden resolver los problemas de configuración y conectividad entre Microsoft Entra ID y el entorno local de Active Directory Domain Services. Este paso solo se recomienda después de intentar los pasos anteriores para verificar y solucionar los problemas de conectividad.
Advertencia
Si ha personalizado las reglas de sincronización predefinidas, realice una copia de seguridad de ellas antes de continuar con la actualización y, cuando haya terminado, vuelva a implementarlas manualmente.
Descargue la última versión de Microsoft Entra Connect del Centro de descarga de Microsoft.
Puesto que ya ha instalado Microsoft Entra Connect, realice una actualización local para actualizar la instalación de Microsoft Entra Connect a la última versión.
Ejecute el paquete descargado y siga las instrucciones en pantalla para actualizar Microsoft Entra Connect.
Con estos pasos, debería restablecerse la conexión con Microsoft Entra ID y deberían resolverse los problemas de conectividad.
Si con la instalación de la última versión del servidor de Microsoft Entra Connect no se resuelve el problema, pruebe deshabilitando y volviendo a habilitar la escritura diferida de contraseñas como último paso después de instalar la versión más reciente.
Verificación de que Microsoft Entra Connect tiene los permisos necesarios
Microsoft Entra Connect necesita el permiso Restablecer contraseña de AD DS para la escritura diferida de contraseñas. Para comprobar si Microsoft Entra Connect tiene el permiso necesario para una cuenta de usuario de AD DS local determinada, use la característica Permisos efectivos de Windows:
Inicie sesión en el servidor de Microsoft Entra Connect e inicie Synchronization Service Manager seleccionando Inicio>Synchronization Service.
En la pestaña Conectores seleccione el conector Active Directory Domain Services en el entorno local y, a continuación, seleccione Propiedades.
En la ventana emergente, seleccione Connect to Active Directory Forest (Conectar con el bosque de Active Directory) y anote el valor de la propiedad Nombre de usuario. Esta propiedad es la cuenta de AD DS que Microsoft Entra Connect usa para la sincronización de directorios.
Para que Microsoft Entra Connect realice la escritura diferida de contraseñas, la cuenta de AD DS debe tener permiso para restablecer la contraseña. En los pasos siguientes se comprobarán los permisos de esta cuenta de usuario.
Inicie sesión en un controlador de dominio en el entorno local e inicie la aplicación Usuarios y equipos de Active Directory.
Seleccione Vista y asegúrese de que la opción Funciones avanzadas está habilitada.
Busque la cuenta de usuario de AD DS que quiere verificar. Haga clic con el botón derecho en el nombre de cuenta y seleccione Propiedades.
En la ventana emergente, vaya a la pestaña Seguridad y seleccione Avanzada.
En la ventana emergente Advanced Security Settings for Administrator (Configuración de seguridad avanzada para el administrador), vaya a la pestaña Acceso efectivo.
Elija Seleccionar un usuario, la cuenta de AD DS que usa Microsoft Entra Connect y, después, Ver acceso efectivo.
Desplácese hacia abajo y busque Restablecer contraseña. Si la entrada está activada, significa que la cuenta de AD DS tiene permiso para restablecer la contraseña de la cuenta de usuario de Active Directory seleccionada.
Errores comunes en la escritura diferida de contraseñas
Pueden producirse los siguientes problemas más específicos con la escritura diferida de contraseñas. Si experimenta alguno de estos errores, revise la solución propuesta y compruebe si la escritura diferida de contraseñas funciona correctamente.
Error | Solución |
---|---|
El servicio de restablecimiento de contraseña no se inicia en el entorno local. Aparece el error 6800 en el registro de eventos de la aplicación de la máquina de Microsoft Entra Connect. Después de la incorporación, los usuarios federados con autenticación transferida o con sincronización de hash de contraseña no pueden restablecer sus contraseñas. |
Cuando está habilitada la escritura diferida de contraseñas, el motor de sincronización llama a la biblioteca de escritura diferida para realizar la configuración (incorporación) comunicándose con el servicio de incorporación de la nube. Los errores detectados durante la incorporación o al iniciar el punto de conexión de Windows Communication Foundation (WCF) para la escritura diferida de contraseñas producen otros errores en el registro de eventos de la máquina de Microsoft Entra Connect. Durante el reinicio del servicio Sincronización de Azure AD Sync (ADSync), si se configuró la escritura diferida, se inicia el punto de conexión de WCF. Sin embargo, si se produce un error en el inicio del punto de conexión, se registra el evento 6800 y se deja que se inicie el servicio de sincronización. La presencia de este evento significa que el punto de conexión de la escritura diferida de contraseñas no se ha iniciado. Los detalles del registro de eventos para este evento (6800) junto con sus entradas generadas por el componente PasswordResetService indican por qué el punto de conexión no se ha podido iniciar. Revise estos errores del registro de eventos e intente reiniciar Microsoft Entra Connect si la escritura diferida de contraseñas sigue sin funcionar. Si el problema persiste, intente deshabilitar la escritura diferida de contraseñas y vuelva a habilitarla. |
Cuando un usuario intenta restablecer una contraseña o desbloquear una cuenta con la escritura diferida de contraseñas habilitada, se produce un error en la operación. Además, verá un evento en el registro de eventos de Microsoft Entra Connect que contiene: “El motor de sincronización devolvió un error hr=800700CE, message=El nombre de archivo o la extensión es demasiado largo” después de la operación de desbloqueo. |
Busque la cuenta de Active Directory para Microsoft Entra Connect y restablezca la contraseña para que no contenga más de 256 caracteres. Luego, abra el Servicio de sincronización desde el menú Inicio. Vaya a Conectores y busque el Conector Active Directory. Selecciónelo y, a continuación, seleccione Propiedades. Vaya a la página Credenciales y escriba la nueva contraseña. Seleccione Aceptar para cerrar la página. |
En el último paso del proceso de instalación de Microsoft Entra Connect, se genera un error que indica que no se ha podido configurar la escritura diferida de contraseñas. El registro de eventos de la aplicación Microsoft Entra Connect contiene el error 32009 con el texto "Error al obtener el token de autenticación". |
Este error se produce en los dos casos siguientes:
|
El registro de eventos de la máquina de Microsoft Entra Connect contiene el error 32002, que se produce al ejecutar PasswordResetService. El error reza como sigue: "Error Connecting to ServiceBus. The token provider was unable to provide a security token (Error al conectar con ServiceBus: El proveedor de tokens no pudo proporcionar un token de seguridad). |
El entorno local no es capaz de conectarse al punto de conexión de la instancia de Azure Service Bus en la nube. Este error se debe normalmente a una regla de firewall que bloquea una conexión saliente a una dirección de puerto o web determinada. Vea Requisitos previos de conectividad para más información. Una vez que haya actualizado estas reglas, reinicie el servidor de Microsoft Entra Connect y la escritura diferida de contraseñas debería empezar a funcionar de nuevo. |
Después de trabajar un tiempo, los usuarios federados con autenticación transferida o con sincronización de hash de contraseña no pueden restablecer sus contraseñas. | En algunos casos excepcionales, el servicio de escritura diferida de contraseñas puede no volver a iniciarse cuando se reinicia Microsoft Entra Connect. En estos casos, compruebe primero si la escritura diferida de contraseñas está habilitada en el entorno local. Para ello, use el asistente de Microsoft Entra Connect o PowerShell. Si la característica aparece como habilitada, intente habilitarla o deshabilitarla de nuevo. Si este paso de solución de problemas no funciona, pruebe a desinstalar Microsoft Entra Connect por completo y volver a instalarlo. |
Los usuarios federados con autenticación transferida o con sincronización de hash de contraseña que intenten restablecer sus contraseñas verán un error después de intentar enviar su contraseña. El error indica que ha habido un problema del servicio. Además de este problema, durante las operaciones de restablecimiento de contraseña, podría ver un error relacionado con que al agente de administración se le denegó el acceso a los registros de eventos en el entorno local. |
Si ve estos errores en el registro de eventos, confirme que la cuenta del Agente de administración de Active Directory (ADMA) (que se especificó en el asistente en el momento de la configuración) tiene los permisos necesarios para la escritura diferida de contraseñas. Una vez que se concede este permiso, puede tardar hasta una hora en poder usarse a través de la tarea en segundo plano sdprop , en el controlador de dominio (DC). Para que el restablecimiento de contraseña funcione, el permiso debe quedar marcado en el descriptor de seguridad del objeto de usuario cuya contraseña se está restableciendo. Hasta que este permiso se muestra en el objeto de usuario, el restablecimiento de contraseña seguirá generando un mensaje de acceso denegado. |
Los usuarios federados, con autenticación transferida o con sincronización de hash de contraseña que intenten restablecer sus contraseñas verán un error después de enviar su contraseña. El error indica que ha habido un problema del servicio. Además de este problema, durante las operaciones de restablecimiento de contraseña, puede aparecer un error en los registros de eventos del servicio Microsoft Entra Connect con el mensaje “No se encontró el objeto”. |
Este error suele indicar que el motor de sincronización no puede encontrar el objeto de usuario en el espacio del conector de Microsoft Entra, ni en el metaverso (MV) vinculado ni en el objeto del espacio conector de Microsoft Entra. Para solucionar este problema, asegúrese de que el usuario realmente se sincroniza desde el entorno local con Microsoft Entra ID a través de la instancia actual de Microsoft Entra Connect, e inspeccione el estado de los objetos en los espacios del conector y el metaverso. Confirme que el objeto de Servicios de certificados de Active Directory (AD CS) está conectado al objeto de MV mediante la regla "Microsoft.InfromADUserAccountEnabled.xxx". |
Los usuarios federados con autenticación transferida o con sincronización de hash de contraseña que intenten restablecer sus contraseñas verán un error después de enviar su contraseña. El error indica que ha habido un problema del servicio. Además de este problema, durante las operaciones de restablecimiento de contraseña, puede ver un error en los registros de eventos del servicio Microsoft Entra Connect que indique "Se encontraron varias coincidencias". |
Significa que el motor de sincronización ha detectado que el objeto de MV está conectado a más de un objeto de AD CS a través de "Microsoft.InfromADUserAccountEnabled.xxx". Esto significa que el usuario tiene una cuenta habilitada en más de un bosque. Este escenario no se admite para la escritura diferida de contraseñas. |
Las operaciones con contraseñas fallan con un error de configuración. El registro de eventos de la aplicación contiene el error 6329 de Microsoft Entra Connect con el texto: 0x8023061f (Error en la operación porque no está habilitada la sincronización de contraseñas en este agente de administración)". | Este error se produce si se cambia la configuración de Microsoft Entra Connect para agregar un nuevo bosque de Active Directory (o para eliminar y leer un bosque) después de que ya se haya habilitado la escritura diferida de contraseñas. Se producirá un error en las operaciones de contraseñas para los usuarios de estos bosques recién agregados. Para corregir el problema, deshabilite la característica de escritura diferida de contraseñas después de que se hayan completado los cambios de configuración del bosque y vuelva a habilitarla. |
SSPR_0029: no se puede restablecer la contraseña debido a un error en la configuración en el entorno local. Póngase en contacto con el administrador y pídale que lo investigue. | Problema: se ha habilitado la escritura diferida de contraseñas siguiendo todos los pasos necesarios. Sin embargo, al intentar cambiar una contraseña, recibe el mensaje "SSPR_0029: Su organización no ha configurado correctamente la configuración en el entorno local para el restablecimiento de contraseña". Al comprobar los registros de eventos en el sistema Microsoft Entra Connect se muestra que se denegó el acceso a las credenciales del agente de administración. Posible solución: use RSOP en el sistema Microsoft Entra Connect y los controladores de dominio para ver si está habilitada la directiva "Acceso a la red: Restringir clientes que pueden realizar llamadas remotas a SAM" ubicada en Configuración del equipo >Configuración de Windows > Configuración de seguridad > Directivas locales > Opciones de seguridad. Edite la directiva para incluir la cuenta de administración MSOL_XXXXXXX como usuario autorizado. Para obtener más información, consulte Solución de errores SSPR_0029: la organización no ha realizado correctamente la configuración local para el restablecimiento de contraseña. |
Códigos de error del registro de eventos de la escritura diferida de contraseñas
Un procedimiento recomendado para solucionar problemas con la escritura diferida de contraseñas consiste en inspeccionar el registro de eventos de la aplicación en la máquina de Microsoft Entra Connect. Este registro de eventos contiene eventos de dos orígenes para la escritura diferida de contraseñas. El origen PasswordResetService describe las operaciones y los problemas relacionados con el funcionamiento de la escritura diferida de contraseñas. El origen ADSync describe las operaciones y los problemas relacionados con la configuración de contraseñas en el entorno de Active Directory Domain Services.
Si el origen del evento es ADSync
Código | Nombre o mensaje | Descripción |
---|---|---|
6329 | BAIL: MMS(4924) 0x80230619: "A restriction prevents the password from being changed to the current one specified" (Una restricción impide que la contraseña se cambie por la que ha especificado actualmente). | Este evento se produce cuando el servicio de escritura diferida de contraseñas intenta establecer una contraseña en su directorio local que no cumple los requisitos del dominio en cuanto a antigüedad, historial, complejidad o filtrado de la contraseña. Este evento también puede producirse si no se puede cambiar una contraseña para un usuario. Si tiene una antigüedad mínima de la contraseña y ha cambiado recientemente la contraseña dentro de ese margen de tiempo, no puede volver a cambiarla hasta que alcance la duración especificada en el dominio. Para las pruebas, la antigüedad mínima debe establecerse en 0. Si tiene habilitados los requisitos del historial de contraseñas, debe seleccionar una contraseña que no se haya utilizado las últimas N veces, donde N es el valor del historial de contraseñas. Si selecciona una contraseña que se haya usado en las últimas N veces, verá un error en este caso. Para las pruebas, el historial de contraseñas debe establecerse en 0. Si tiene requisitos de complejidad de contraseña, todos ellos se aplican cuando el usuario intenta cambiar o restablecer una contraseña. Si tiene habilitados filtros de contraseña y un usuario selecciona una contraseña que no cumple los criterios de filtrado, se producirá un error en la operación de restablecimiento o cambio. Si el usuario tiene establecida la marca de propiedad PASSWD_CANT_CHANGE, no se puede sincronizar su contraseña. Con fines de prueba, elimine la marca de propiedad PASSWD_CANT_CHANGE. Para obtener más información, vea Descripciones de marcas de propiedad. |
6329 | MMS(3040): admaexport.cpp(2837): The server doesn't contain the LDAP password policy control (El servidor no contiene el control de directiva de contraseñas LDAP). | Este problema se produce si el control LDAP_SERVER_POLICY_HINTS_OID (1.2.840.113556.1.4.2066) no está habilitado en los controladores de dominio. Para utilizar la característica de escritura diferida de contraseña, debe habilitar el control. Para ello, los controladores de dominio deben estar en Windows Server 2016 o una versión posterior. |
HR 8023042 | El motor de sincronización devolvió un error hr=80230402, message=Error al intentar obtener un objeto debido a que hay entradas duplicadas con el mismo delimitador. | Este error se produce cuando se habilita el mismo id. de usuario en varios dominios. Por ejemplo se produciría si se están sincronizando los bosques de cuentas y recursos, y tienen el mismo id. de usuario que está habilitado en cada bosque. Este error también puede ocurrir si usa un atributo delimitador que no sea único, como un alias o UPN, y dos usuarios comparten el mismo. Para resolver este problema, asegúrese de no tener ningún usuario duplicado dentro de los dominios y de estar utilizando un atributo delimitador único para cada usuario. |
El origen del evento es PasswordResetService
Código | Nombre o mensaje | Descripción |
---|---|---|
31001 | PasswordResetStart | Este evento indica que el servicio en el entorno local detectó una solicitud de restablecimiento de contraseña para un usuario federado, con autenticación transferida o con sincronización de hash de contraseñas, que se origina en la nube. Este evento es el primero en cada operación de escritura diferida de contraseñas. |
31002 | PasswordResetSuccess | Este evento indica que un usuario seleccionó una contraseña nueva durante una operación de restablecimiento de contraseña. Determinamos que dicha contraseña cumple los requisitos de las contraseñas corporativas. La escritura diferida de la contraseña se realizó correctamente en el entorno de Active Directory local. |
31003 | PasswordResetFail | Este evento indica que un usuario seleccionó una contraseña y esta llegó correctamente al entorno local. Sin embargo, al intentar establecer la contraseña en el entorno de Active Directory local, se produjo un error. Esto puede ocurrir por varios motivos:
|
31004 | OnboardingEventStart | Este evento se produce si habilita la escritura diferida de contraseñas con Microsoft Entra Connect y se ha iniciado la incorporación de su organización al servicio web de escritura diferida de contraseñas. |
31005 | OnboardingEventSuccess | Este evento indica que el proceso de incorporación se realizó correctamente y que la funcionalidad de escritura diferida de contraseñas está lista para su uso. |
31006 | ChangePasswordStart | Este evento indica que el servicio en el entorno local detectó una solicitud de cambio de contraseña para un usuario federado, con autenticación transferida o con sincronización de hash de contraseña, que se origina en la nube. Este evento es el primero de cada operación de escritura diferida de cambio de contraseña. |
31007 | ChangePasswordSuccess | Este evento indica que un usuario seleccionó una nueva contraseña durante una operación de cambio de contraseña, determinamos que esta contraseña cumple los requisitos corporativos de las contraseñas y que esa contraseña se ha escrito en diferido correctamente en el entorno de Active Directory local. |
31008 | ChangePasswordFail | Este evento indica que un usuario seleccionó una contraseña y que esta ha llegado correctamente al entorno local, pero, al intentar establecer la contraseña en el entorno de Active Directory local, se produjo un error. Esto puede ocurrir por varios motivos:
|
31009 | ResetUserPasswordByAdminStart | El servicio en el entorno local detectó una solicitud de restablecimiento de contraseña para un usuario federado, con autenticación transferida o con sincronización de hash de contraseña, originada en el administrador en nombre de un usuario. Este evento es el primero en una operación de escritura diferida de restablecimiento de contraseña que fue iniciada por el administrador. |
31010 | ResetUserPasswordByAdminSuccess | El administrador seleccionó una contraseña nueva durante una operación de restablecimiento de contraseña iniciada por él. Determinamos que dicha contraseña cumple los requisitos de las contraseñas corporativas. La escritura diferida de la contraseña se realizó correctamente en el entorno de Active Directory local. |
31011 | ResetUserPasswordByAdminFail | El administrador seleccionó una contraseña en nombre del usuario. La contraseña ha llegado correctamente al entorno local. Sin embargo, al intentar establecer la contraseña en el entorno de Active Directory local, se produjo un error. Esto puede ocurrir por varios motivos:
|
31012 | OffboardingEventStart | Este evento se produce si deshabilita la escritura diferida de contraseñas con Microsoft Entra Connect e indica que se ha iniciado la desvinculación de su organización del servicio web de escritura diferida de contraseñas. |
31013 | OffboardingEventSuccess | Este evento indica que el proceso de desvinculación se realizó correctamente y que la funcionalidad de escritura diferida de contraseñas se ha deshabilitado también correctamente. |
31014 | OffboardingEventFail | Este evento indica que el proceso de desvinculación no se realizó correctamente. Puede deberse a un error de permisos en la cuenta de administrador en la nube o en el entorno local especificada durante la configuración. El error también puede producirse si está intentando utilizar un administrador híbrido en la nube federado al deshabilitar la escritura diferida de contraseñas. Para solucionar este problema, compruebe los permisos administrativos y asegúrese de que no se utilice ninguna cuenta federada al configurar la funcionalidad de escritura diferida de contraseñas. |
31015 | WriteBackServiceStarted | Este evento indica que el servicio de escritura diferida de contraseñas se ha iniciado correctamente. Está listo para aceptar las solicitudes de administración de contraseñas de la nube. |
31016 | WriteBackServiceStopped | Este evento indica que el servicio de escritura diferida de contraseñas se ha detenido. Todas las solicitudes de administración de contraseñas de la nube fracasarán. |
31017 | AuthTokenSuccess | Este evento indica que se ha recuperado correctamente un token de autorización para el administrador global especificado durante la configuración de Microsoft Entra Connect a fin de iniciar el proceso de incorporación o desvinculación. |
31018 | KeyPairCreationSuccess | Este evento indica que se creó correctamente la clave de cifrado de contraseña. Esta clave se usa para que las contraseñas cifradas de la nube se envíen al entorno local. |
31019 | ServiceBusHeartBeat | Este evento indica que se ha enviado correctamente una solicitud a la instancia de Service Bus del inquilino. |
31034 | ServiceBusListenerError | Este evento indica que se ha producido un error al conectarse al cliente de escucha de Service Bus del inquilino. Si el mensaje de error incluye "El certificado remoto no es válido", asegúrese de que el servidor de Microsoft Entra Connect tiene todas las CA raíz necesarias, como se describe en Cambios en los certificados TLS de Azure. |
31044 | PasswordResetService | Este evento indica que la escritura diferida de contraseñas no funciona. El Service Bus escucha solicitudes en dos retransmisiones independientes en busca de redundancia. Cada conexión de retransmisión se administra mediante un host de servicios único. El cliente de escritura diferida devuelve un error si alguno de los host de servicios no se está ejecutando. |
32000 | UnknownError | Este evento indica que se produjo un error desconocido durante una operación de administración de contraseñas. Observe el texto de excepción en el evento para obtener más detalles. Si tiene problemas, pruebe a deshabilitar y volver a habilitar la escritura diferida de contraseñas. Si así no se soluciona el problema, incluya una copia del registro de eventos junto con el id. de seguimiento especificado al abrir una solicitud de soporte técnico. |
32001 | ServiceError | Este evento indica que se ha producido un error al conectarse al servicio de restablecimiento de contraseñas de la nube. Este error suele producirse cuando el servicio en el entorno local no pudo conectarse al servicio web de restablecimiento de contraseña. |
32002 | ServiceBusError | Este evento indica que se ha producido un error al conectarse a la instancia de Service Bus del inquilino. Esto puede deberse a que está bloqueando las conexiones salientes en el entorno local. Compruebe el servidor de seguridad para asegurarse de que permite conexiones a través del TCP 443 y a https://ssprdedicatedsbprodncu.servicebus.windows.net, y vuelva a intentarlo. Si sigue teniendo problemas, pruebe a deshabilitar y volver a habilitar la escritura diferida de contraseñas. |
32003 | InPutValidationError | Este evento indica que la entrada transferida a la API del servicio web no era válida. Vuelva a intentarlo. |
32004 | DecryptionError | Este evento indica que se ha producido un error al descifrar la contraseña que ha llegado de la nube. Podría deberse a una falta de coincidencia de la clave de desencriptado entre el servicio en la nube y su entorno local. Para resolver este problema, deshabilite y vuelva a habilitar la escritura diferida de contraseñas en su entorno local. |
32005 | ConfigurationError | Durante la incorporación, guardamos la información específica del inquilino en un archivo de configuración en el entorno local. Este evento indica que se ha producido un error al guardar este archivo o que cuando se inició el servicio hubo un error en la lectura del archivo. Para corregir este problema, pruebe a deshabilitar y volver a habilitar la escritura diferida de contraseñas para forzar la reescritura del archivo de configuración. |
32007 | OnBoardingConfigUpdateError | Durante la incorporación, enviamos datos de la nube al servicio de restablecimiento de contraseñas en el entorno local. Esos datos, a continuación, se escriben en un archivo en memoria antes de enviarse al servicio de sincronización para almacenarse de forma segura en el disco. Este evento indica un problema con la escritura o actualización de los datos en memoria. Para corregir este problema, pruebe a deshabilitar y volver a habilitar la escritura diferida de contraseñas para forzar la reescritura de este archivo de configuración. |
32008 | ValidationError | Este evento indica que hemos recibido una respuesta no válida desde el servicio web de restablecimiento de contraseña. Para solucionar este problema, pruebe a deshabilitar y volver a habilitar la escritura diferida de contraseñas. |
32009 | AuthTokenError | Este evento indica que no se ha podido obtener un token de autorización para la cuenta de administrador híbrida especificada durante la configuración de Microsoft Entra Connect. Este error puede deberse a un nombre de usuario o contraseña especificados para la cuenta de administrador global. También puede producirse si la cuenta de administrador híbrida especificada está federada. Para corregir este problema, vuelva a ejecutar la configuración con el nombre de usuario y la contraseña correctos, y asegúrese de que el administrador es una cuenta administrada (solo en la nube o con la sincronización de contraseñas). |
32010 | CryptoError | Este evento indica que se produjo un error al generar la clave de cifrado de contraseña o al descifrar una contraseña que llega desde el servicio en la nube. Este error probablemente indica un problema con su entorno. Consulte los detalles de su registro de eventos para obtener más información y resolver este problema. También puede intentar deshabilitar y volver a habilitar el servicio de escritura diferida de contraseñas. |
32011 | OnBoardingServiceError | Este evento indica que el servicio en el entorno local no pudo comunicarse correctamente con el servicio web de restablecimiento de contraseña para iniciar el proceso de incorporación. Puede ocurrir como resultado de una regla de firewall o si hay un problema al obtener un token de autenticación para el inquilino. Para corregir este problema, asegúrese de que no esté bloqueando las conexiones salientes a través del TCP 443 y TCP 9350-9354 o hacia https://ssprdedicatedsbprodncu.servicebus.windows.net. Asegúrese también de que la cuenta de administrador de Microsoft Entra que usa para la incorporación no está federada. |
32013 | OffBoardingError | Este evento indica que el servicio en el entorno local no pudo comunicarse correctamente con el servicio web de restablecimiento de contraseña para iniciar el proceso de desvinculación. Puede ocurrir como resultado de una regla de firewall o si hay un problema al obtener un token de autorización para el inquilino. Para solucionar este problema, asegúrese de que no esté bloqueando las conexiones salientes a través del puerto 443 o hacia https://ssprdedicatedsbprodncu.servicebus.windows.net, y de que la cuenta de administrador de Microsoft Entra utilizada para la desvinculación no esté federada. |
32014 | ServiceBusWarning | Este evento indica que tenemos que reintentar la conexión a la instancia de Service Bus del inquilino. En condiciones normales, esto no debe ser un problema, pero si este evento se produce muchas veces, considere la posibilidad de comprobar la conexión de red a Service Bus, especialmente si se trata de una conexión de ancho de banda bajo o de latencia alta. |
32015 | ReportServiceHealthError | Para supervisar el mantenimiento de su servicio de escritura diferida de contraseñas, enviamos datos de latido a nuestro servicio web de restablecimiento de contraseñas cada cinco minutos. Este evento indica que se ha producido un error al enviar esta información de mantenimiento al servicio web en la nube. La información de mantenimiento no incluye datos personales y se trata únicamente de un latido y estadísticas de servicio básicas para que podamos ofrecer información de estado del servicio en la nube. |
33001 | ADUnKnownError | Este evento indica que se produjo un error desconocido que devuelve Active Directory. Compruebe en el registro de eventos del servidor de Microsoft Entra Connect si hay eventos del origen ADSync para obtener más información. |
33002 | ADUserNotFoundError | Este evento indica que el usuario que está intentando restablecer o cambiar una contraseña no se encontró en el directorio local. Esto puede ocurrir cuando el usuario se ha eliminado en el entorno local pero no en la nube. Este error también puede producirse si hay un problema con la sincronización. Compruebe los registros de sincronización, así como los últimos detalles de ejecución de la sincronización para más información. |
33003 | ADMutliMatchError | Si una solicitud de restablecimiento o cambio de contraseña se origina en la nube, usamos el delimitador de la nube especificado durante el proceso de configuración de Microsoft Entra Connect para determinar cómo vincular tal solicitud de nuevo a un usuario en el entorno local. Este evento indica que hemos encontrado dos usuarios en el directorio local con el mismo atributo delimitador de la nube. Compruebe los registros de sincronización, así como los últimos detalles de ejecución de la sincronización para más información. |
33004 | ADPermissionsError | Este evento indica que la cuenta de servicio del Agente de administración de Active Directory (ADMA) no tiene los permisos adecuados en la cuenta en cuestión para establecer una nueva contraseña. Asegúrese de que la cuenta de ADMA en el bosque del usuario tiene los permisos de restablecimiento de contraseña en todos los objetos del bosque. Para más información sobre cómo establecer los permisos, consulte el paso 4: Configure los permisos adecuados de Active Directory. Este error también puede producirse si el atributo AdminCount del usuario está establecido en 1. |
33005 | ADUserAccountDisabled | Este evento indica que hemos intentado restablecer o cambiar una contraseña de una cuenta deshabilitada en el entorno local. Habilite la cuenta y vuelva a intentar la operación. |
33006 | ADUserAccountLockedOut | Este evento indica que hemos intentado restablecer o cambiar una contraseña de una cuenta bloqueada en el entorno local. Los bloqueos se aplican cuando un usuario intenta cambiar o restablecer la contraseña demasiadas veces en poco tiempo. Desbloquee la cuenta y vuelva a intentarlo. |
33007 | ADUserIncorrectPassword | Este evento indica que el usuario ha especificado una contraseña incorrecta actual al realizar una operación de cambio de contraseña. Especifique la contraseña actual correcta e inténtelo de nuevo. |
33008 | ADPasswordPolicyError | Este evento se produce cuando el servicio de escritura diferida de contraseñas intenta establecer una contraseña en su directorio local que no cumple los requisitos del dominio en cuanto a antigüedad, historial, complejidad o filtrado de la contraseña. Si tiene una antigüedad mínima de la contraseña y ha cambiado recientemente la contraseña dentro de ese margen de tiempo, no puede volver a cambiarla hasta que alcance la duración especificada en el dominio. Para las pruebas, la antigüedad mínima debe establecerse en 0. Si tiene habilitados los requisitos del historial de contraseñas, debe seleccionar una contraseña que no se haya utilizado en las últimas N veces, donde N es la configuración del historial de contraseñas. Si selecciona una contraseña que se haya usado en las últimas N veces, verá un error en este caso. Para las pruebas, el historial de contraseñas debe establecerse en 0. Si tiene requisitos de complejidad de contraseña, todos ellos se aplican cuando el usuario intenta cambiar o restablecer una contraseña. Si tiene habilitados filtros de contraseña y un usuario selecciona una contraseña que no cumple los criterios de filtrado, se producirá un error en la operación de restablecimiento o cambio. |
33009 | ADConfigurationError | Este evento indica que se ha producido un problema al escribir la contraseña en diferido en el directorio en el entorno local por un problema de configuración con Active Directory. Para obtener más información sobre qué error se ha producido, compruebe el registro de eventos de la aplicación de la máquina de Microsoft Entra Connect para ver los mensajes del servicio ADSync. |
Caracteres de unidad organizativa reservados a partir de la escritura diferida de contraseñas
En la tabla siguiente, se enumeran los caracteres reservados que impiden la escritura diferida de contraseñas. Si estos caracteres aparecen en la estructura de la unidad organizativa (UO) en el entorno local, la escritura diferida de contraseñas puede producir un error con el id. de evento 33001.
Carácter reservado | Descripción | Valor hexadecimal |
---|---|---|
espacio o carácter # al principio de una cadena | ||
carácter de espacio al final de una cadena | ||
, | coma | 0x2C |
+ | signo más | 0x2B |
" | comillas | 0x22 |
\ | barra diagonal inversa | 0x5C |
< | corchete angular de apertura | 0x3C |
> | corchete angular de cierre | 0x3E |
; | punto y coma | 0x3B |
LF | avance de línea | 0x0A |
CR | retorno de carro | 0x0D |
= | signo igual | 0x3D |
/ | barra diagonal | 0x2F |
Foros de Microsoft Entra
Si tiene alguna pregunta general acerca de Microsoft Entra ID y el autoservicio de restablecimiento de contraseña, puede pedir ayuda a la comunidad en la página de preguntas de Microsoft Q&A para Microsoft Entra ID. La comunidad está formada por ingenieros, jefes de producto, MVP y profesionales de TI.
Contacto con el soporte técnico de Microsoft
Si no encuentra la respuesta a un problema, nuestros equipos de soporte técnico están siempre disponibles para ayudarle.
Para que reciba la ayuda apropiada, le pedimos que proporcione la mayor cantidad de detalles posible al abrir una incidencia. Estos detalles incluyen los siguientes:
- Descripción general del error: ¿cuál es el error? ¿Qué comportamiento observó? ¿Cómo podemos reproducir el error? Proporcione tantos detalles como sea posible.
- Página: ¿en qué página estaba cuando se detectó el error? Incluya la dirección URL, si es posible, y una captura de pantalla de la página.
- Código de soporte técnico: ¿qué código de soporte técnico se generó cuando el usuario vio el error?
Para encontrarlo, reproduzca el error, seleccione el vínculo Código de soporte técnico en la parte inferior de la pantalla y envíe al ingeniero de soporte técnico el GUID resultante.
Si se encuentra en una página sin código de soporte en la parte inferior, seleccione F12, busque el SID y el CID, y envíe estos dos resultados al ingeniero de soporte.
- Fecha, hora y zona horaria: incluya la fecha y la hora precisas (incluida la zona horaria) en que se produjo el error.
- Id. de usuario: ¿quién fue el usuario que vio el error? Un ejemplo es user@contoso.com.
- ¿Es un usuario federado?
- ¿Es un usuario con autenticación transferida?
- ¿Es un usuario con sincronización de hash de contraseña?
- ¿Es un usuario solo de nube?
- Licencias: ¿el usuario tiene asignada una licencia de Microsoft Entra ID?
- Registro de eventos de la aplicación: si usa la escritura diferida de contraseñas y el error se produce en la infraestructura local, incluya una copia comprimida del registro de eventos de la aplicación del servidor de Microsoft Entra Connect.
Pasos siguientes
Para más información sobre SSPR, consulte Funcionamiento: Autoservicio de restablecimiento de contraseña de Microsoft Entra o ¿Cómo funciona la escritura diferida del autoservicio de restablecimiento de contraseña en Microsoft Entra ID?.