Compartir a través de


Solución de problemas de escritura diferida en el autoservicio de restablecimiento de contraseña en Microsoft Entra ID

El autoservicio de restablecimiento de contraseña (SSPR) de Microsoft Entra ID permite a los usuarios restablecer sus contraseñas en la nube. La escritura diferida de contraseñas es una característica que se habilita con Microsoft Entra Connect o la sincronización en la nube que permite que los cambios de contraseña en la nube se escriban en un directorio local en tiempo real.

Si tiene problemas con la escritura diferida de SSPR, puede que le sean de utilidad los pasos de resolución y los errores comunes que se describen a continuación. Si no encuentra la respuesta a un problema, nuestros equipos de soporte técnico están siempre disponibles para ayudarle.

Solución de problemas de conectividad

Si tiene problemas con la escritura diferida de contraseñas en Microsoft Entra Connect, revise los siguientes pasos, que pueden ayudar a resolverlos. Para recuperar el servicio, se recomienda seguir estos pasos en orden:

Confirmación de la conectividad de la red

El punto de error más común es la configuración incorrecta del firewall o los puertos del proxy y los tiempos de inactividad.

A partir de la versión 1.1.443.0 de Microsoft Entra Connect, se requiere acceso HTTPS de salida a las siguientes direcciones:

  • *.passwordreset.microsoftonline.com
  • *.servicebus.windows.net

Puntos de conexión de Azure para la administración pública de EE. UU:

  • *.passwordreset.microsoftonline.us
  • *.servicebus.usgovcloudapi.net

Puntos de conexión de Azure China 21Vianet:

  • ssprdedicatedsbmcprodcne.servicebus.chinacloudapi.cn
  • ssprdedicatedsbmcprodcnn.servicebus.chinacloudapi.cn

Si necesita más granularidad, consulte la lista de intervalos IP de Microsoft Azure y etiquetas de servicio para la nube pública.

Para Azure para la administración pública de EE. UU, consulte la lista de intervalos IP de Microsoft Azure y etiquetas de servicio para Azure para la nube de administración pública de EE. UU.

Estos archivos se actualizan semanalmente.

Para determinar si el acceso a una dirección URL y un puerto están restringidos en un entorno como la nube pública de Azure, siga estos pasos:

  1. En el servidor de Entra Connect, abra los registros del Visor de eventos (registros de Windows, aplicación) y busque uno de estos id. de evento: 31034 o 31019.

  2. A partir de estos id. de evento, identifique el nombre del cliente de escucha de Service Bus:

    Captura de pantalla del id. de evento 31019 en el registro de aplicaciones del Visor de eventos.

  3. Ejecute el siguiente cmdlet:

    Test-NetConnection -ComputerName <namespace>.servicebus.windows.net -Port 443
    

    También puede ejecutar lo siguiente:

    Invoke-WebRequest -Uri https://<namespace>.servicebus.windows.net -Verbose
    

    Reemplace el <espacio de nombres> por el mismo que extrajo de los id. de evento anteriores. Por ejemplo, en el caso anterior, el comando es el siguiente:

    Test-NetConnection -ComputerName ssprdedicatedsbprodfra-1.servicebus.windows.net -Port 443
    

Para obtener más información, consulte los requisitos previos de conectividad para Microsoft Entra Connect.

Compruebe si TLS 1.2 está habilitado

Un paso de solución de problemas adicional es comprobar que TLS 1.2 está habilitado correctamente en el servidor de sincronización. Ejecute script de PowerShell para comprobar TLS 1.2 en Entra Connect Server. Asegúrese de ejecutar el script en modo de administrador.

Salida del script de comprobación que debe parecerse a la siguiente imagen (las columnas de ruta, nombre y valor) para que se habilite correctamente. Si no es así, ejecute el script de PowerShell para habilitar TLS 1.2 en Entra Connect Server/ Luego reinicie el servidor y ejecute el script para comprobar TLS 1.2 de nuevo.

Asegúrese de que Microsoft .NET Framework 4.8 o superior está habilitado (servidor de sincronización)

Asegúrese de que Microsoft .NET Framework 4.8 o superior está habilitado en el servidor de sincronización.

Reinicio del servicio de sincronización Microsoft Entra Connect

Para resolver problemas de conectividad u otros problemas transitorios del servicio, siga los pasos que se indican a continuación para reiniciar el servicio Microsoft Entra Connect Sync:

  1. Como administrador del servidor que ejecuta Microsoft Entra Connect, seleccione Inicio.

  2. Escriba services.msc en el campo de búsqueda y seleccione Entrar.

  3. Busque la entrada Servicios de sincronización de Microsoft Azure Active Directory.

  4. Haga clic con el botón derecho en la entrada del servicio, seleccione Reiniciar y espere a que se complete la operación.

    Reinicio del servicio de sincronización de Azure AD mediante la GUI

Con estos pasos, se restablece la conexión con Microsoft Entra ID y se resuelven los problemas de conectividad.

Si al reiniciar el servicio Microsoft Entra Connect Sync no se resuelve el problema, pruebe a deshabilitar y volver a habilitar la característica de escritura diferida de contraseñas en la sección siguiente.

Deshabilitar y volver a habilitar la característica de escritura diferida de contraseñas

Para seguir solucionando problemas, realice estos pasos para deshabilitar y volver a habilitar la característica de escritura diferida de contraseñas:

  1. Como administrador del servidor que ejecuta Microsoft Entra Connect, abra el Asistente para configuración de Microsoft Entra Connect.
  2. En Conectarse a Microsoft Entra ID, introduzca las credenciales de administrador global de Microsoft Entra.
  3. En Conectarse a AD DS, introduzca las credenciales de administrador de Active Directory Domain Services en el entorno local.
  4. En Identificación de forma exclusiva de usuarios, seleccione el botón Siguiente.
  5. En Características opcionales, desactive la casilla Escritura diferida de contraseñas.
  6. Seleccione Siguiente en el resto de las páginas del cuadro de diálogo sin cambiar nada hasta llegar a la página Listo para configurar.
  7. Compruebe que en la página Listo para configurar la opción Escritura diferida de contraseñas aparece como Deshabilitada. Seleccione el botón verde Configurar para confirmar los cambios.
  8. En Finalizado, desactive la opción Sincronizar ahora y, a continuación, seleccione Finalizar para cerrar el asistente.
  9. Vuelva a abrir el Asistente para configuración de Microsoft Entra Connect.
  10. Repita los pasos del 2 al 8, pero, esta vez, seleccione la opción Escritura diferida de contraseñas en la pantalla Características opcionales para volver a habilitar el servicio.

Con estos pasos, se restablece la conexión con Microsoft Entra ID y se resuelven los problemas de conectividad.

Si el problema no se soluciona después de deshabilitar y volver a habilitar la característica de escritura diferida de contraseñas, vuelva a instalar Microsoft Entra Connect en la siguiente sección.

Instalación de la versión más reciente de Microsoft Entra Connect

Con la reinstalación de Microsoft Entra Connect se pueden resolver los problemas de configuración y conectividad entre Microsoft Entra ID y el entorno local de Active Directory Domain Services. Este paso solo se recomienda después de intentar los pasos anteriores para comprobar y solucionar los problemas de conectividad.

Advertencia

Si ha personalizado las reglas de sincronización predefinidas, realice una copia de seguridad de ellas antes de continuar con la actualización y, cuando haya terminado, vuelva a implementarlas manualmente.

  1. Descargue la versión más reciente de Microsoft Entra Connect del Centro de descarga de Microsoft.

  2. Puesto que ya ha instalado Microsoft Entra Connect, realice una actualización local para actualizar la instalación de Microsoft Entra Connect a la versión más reciente.

    Ejecute el paquete descargado y siga las instrucciones en pantalla para actualizar Microsoft Entra Connect.

Con estos pasos, debería restablecerse la conexión con Microsoft Entra ID y deberían resolverse los problemas de conectividad.

Si con la instalación de la versión más reciente del servidor de Microsoft Entra Connect no se resuelve el problema, pruebe deshabilitando y volviendo a habilitar la escritura diferida de contraseñas como último paso después de instalar la versión más reciente.

Comprobación de que Microsoft Entra Connect tiene los permisos necesarios

Microsoft Entra Connect necesita el permiso Restablecer contraseña de AD DS para la escritura diferida de contraseñas. Para comprobar si Microsoft Entra Connect tiene el permiso necesario para una cuenta de usuario de AD DS local determinada, use la característica Permisos efectivos de Windows:

  1. Inicie sesión en el servidor de Microsoft Entra Connect e inicie Synchronization Service Manager seleccionando Inicio >Synchronization Service.

  2. En la pestaña Conectores seleccione el conector Active Directory Domain Services local y, a continuación, seleccione Propiedades.

    Synchronization Service Manager que muestra cómo editar propiedades

  3. En la ventana emergente, seleccione Connect to Active Directory Forest (Conectar con el bosque de Active Directory) y anote el valor de la propiedad Nombre de usuario. Esta propiedad es la cuenta de AD DS que Microsoft Entra Connect usa para la sincronización de directorios.

    Para que Microsoft Entra Connect realice la escritura diferida de contraseñas, la cuenta de AD DS debe tener permiso para restablecer la contraseña. En los pasos siguientes se comprobarán los permisos de esta cuenta de usuario.

    Buscar la cuenta de usuario de Active Directory del servicio de sincronización

  4. Inicie sesión en un controlador de dominio local e inicie la aplicación Usuarios y equipos de Active Directory.

  5. Seleccione Vista y asegúrese de que la opción Características avanzadas está habilitada.

    Los usuarios y equipos de Active Directory muestran las características avanzadas

  6. Busque la cuenta de usuario de AD DS que quiere comprobar. Haga clic con el botón derecho en el nombre de la cuenta y seleccione Propiedades.

  7. En la ventana emergente, vaya a la pestaña Seguridad y seleccione Avanzada.

  8. En la ventana emergente Advanced Security Settings for Administrator (Configuración de seguridad avanzada para el administrador), vaya a la pestaña Acceso efectivo.

  9. Elija Seleccionar un usuario, la cuenta de AD DS que usa Microsoft Entra Connect (consulte el paso 3) y, después, Ver acceso efectivo.

    Pestaña Acceso efectivo que muestra la cuenta de sincronización

  10. Desplácese hacia abajo y busque Restablecer contraseña. Si la entrada está activada, significa que la cuenta de AD DS tiene permiso para restablecer la contraseña de la cuenta de usuario de Active Directory seleccionada.

    Validación que la cuenta de sincronización tiene el permiso de restablecimiento de contraseña

Errores comunes de la escritura diferida de contraseñas

Pueden producirse los siguientes problemas más específicos con la escritura diferida de contraseñas. Si experimenta alguno de estos errores, revise la solución propuesta y compruebe si la escritura diferida de contraseñas funciona correctamente.

Error Solución
El servicio de restablecimiento de contraseña no se inicia de forma local. Aparece el error 6800 en el registro de eventos de la aplicación de la máquina de Microsoft Entra Connect.

Después de la incorporación, los usuarios federados, con autenticación de paso a través o con sincronización de hash de contraseña no pueden restablecer sus contraseñas.
Cuando está habilitada la escritura diferida de contraseñas, el motor de sincronización llama a la biblioteca de escritura diferida para realizar la configuración (incorporación) comunicándose con el servicio de incorporación de la nube. Los errores detectados durante la incorporación o al iniciar el punto de conexión de Windows Communication Foundation (WCF) para la escritura diferida de contraseñas producen otros errores en el registro de eventos de la máquina de Microsoft Entra Connect.

Durante el reinicio del servicio Azure AD Sync (ADSync), si se configuró la escritura diferida, se inicia el punto de conexión de WCF. Sin embargo, si se produce un error en el inicio del punto de conexión, se registra el evento 6800 y se deja que se inicie el servicio de sincronización. La presencia de este evento significa que el punto de conexión de la escritura diferida de contraseñas no se ha iniciado. Los detalles del registro de eventos para este evento (6800) junto con sus entradas generadas por el componente PasswordResetService indican por qué el punto de conexión no se ha podido iniciar. Revise estos errores del registro de eventos e intente volver a iniciar Microsoft Entra Connect si la escritura diferida de contraseñas sigue sin funcionar. Si el problema persiste, intente deshabilitar la escritura diferida de contraseñas y vuelva a habilitarla.
Cuando un usuario intenta restablecer una contraseña o desbloquear una cuenta con la escritura diferida de contraseñas habilitada, se produce un error en la operación.

Además, verá un evento en el registro de eventos de Microsoft Entra Connect que contiene: “El motor de sincronización devolvió un error hr=800700CE. Mensaje=El nombre de archivo o la extensión es demasiado largo” después de la operación de desbloqueo.
Busque la cuenta de Active Directory para Microsoft Entra Connect y restablezca la contraseña para que no contenga más de 256 caracteres. Luego, abra el Servicio de sincronización desde el menú Inicio. Vaya a Conectores y busque el Conector Active Directory. Selecciónelo y, a continuación, seleccione Propiedades. Vaya a la página Credenciales y escriba la nueva contraseña. Seleccione Aceptar para cerrar la página.
En el último paso del proceso de instalación de Microsoft Entra Connect, se genera un error que indica que no se ha podido configurar la escritura diferida de contraseñas.

El registro de eventos de la aplicación Microsoft Entra Connect contiene el error 32009 con el texto "Error al obtener el token de autenticación".
Este error se produce en los dos casos siguientes:
  • Ha especificado una contraseña incorrecta para la cuenta de administrador global proporcionada al principio del proceso de instalación de Microsoft Entra Connect.
  • Intentó usar un usuario federado para la cuenta de administrador global especificada al principio del proceso de instalación de Microsoft Entra Connect.
Para corregir este error, asegúrese de que no esté usando una cuenta federada para el administrador híbrido que especificó al principio del proceso de instalación y que la contraseña especificada sea correcta.
El registro de eventos de la máquina de Microsoft Entra Connect contiene el error 32002, que se produce al ejecutar PasswordResetService.

El error reza como sigue: "Error Connecting to ServiceBus. The token provider was unable to provide a security token (Error al conectar con ServiceBus: El proveedor de tokens no pudo proporcionar un token de seguridad).
El entorno local no es capaz de conectarse al punto de conexión de la instancia de Azure Service Bus en la nube. Este error se debe normalmente a una regla de firewall que bloquea una conexión saliente a una dirección de puerto o web determinada. Vea Requisitos previos de conectividad para más información. Una vez que haya actualizado estas reglas, reinicie el servidor de Microsoft Entra Connect y la escritura diferida de contraseñas debería empezar a funcionar de nuevo.
Después de trabajar un tiempo, los usuarios federados, con autenticación de paso a través o con sincronización de hash de contraseña no pueden restablecer sus contraseñas. En algunos casos excepcionales, el servicio de escritura diferida de contraseñas puede no volver a iniciarse cuando se reinicia Microsoft Entra Connect. En estos casos, compruebe primero si la escritura diferida de contraseñas está habilitada en el entorno local. Para ello, use el asistente de Microsoft Entra Connect o PowerShell. Si la característica aparece como habilitada, intente habilitarla o deshabilitarla de nuevo. Si este paso de solución de problemas no funciona, pruebe a desinstalar Microsoft Entra Connect por completo y volver a instalarlo.
Los usuarios federados, con autenticación de paso a través o con sincronización de hash de contraseña que intenten restablecer sus contraseñas verán un error después de intentar enviar su contraseña. El error indica que ha habido un problema del servicio.

Además, durante las operaciones de restablecimiento de contraseña, podría ver un error relacionado con que al agente de administración se le denegó el acceso a los registros de eventos locales.
Si ve estos errores en el registro de eventos, confirme que la cuenta del Agente de administración de Active Directory (ADMA) (que se especificó en el asistente en el momento de la configuración) tiene los permisos necesarios para la escritura diferida de contraseñas.

Una vez que se concede este permiso, puede tardar hasta una hora en poder usarse a través de la tarea en segundo plano sdprop, en el controlador de dominio (DC).

Para que el restablecimiento de contraseña funcione, el permiso debe quedar marcado en el descriptor de seguridad del objeto de usuario cuya contraseña se está restableciendo. Hasta que este permiso se muestra en el objeto de usuario, el restablecimiento de la contraseña seguirá generando un mensaje de acceso denegado.
Los usuarios federados, con autenticación de paso a través o con sincronización de hash de contraseña que intenten restablecer sus contraseñas verán un error después de enviar su contraseña. El error indica que ha habido un problema del servicio.

Además de este problema, durante las operaciones de restablecimiento de contraseña, puede aparecer un error en los registros de eventos del servicio Microsoft Entra Connect con el mensaje “No se encontró el objeto”.
Este error suele indicar que el motor de sincronización no puede encontrar el objeto de usuario en el espacio del conector de Microsoft Entra, ni en el metaverso (MV) vinculado ni en el objeto del espacio del conector de Microsoft Entra.

Para solucionar este problema, asegúrese de que el usuario realmente se sincroniza desde el entorno local con Microsoft Entra ID a través de la instancia actual de Microsoft Entra Connect, e inspeccione el estado de los objetos en los espacios del conector y el metaverso. Confirme que el objeto de Servicios de certificados de Active Directory (AD CS) está conectado al objeto de MV mediante la regla "Microsoft.InfromADUserAccountEnabled.xxx".
Los usuarios federados, con autenticación de paso a través o con sincronización de hash de contraseña que intenten restablecer sus contraseñas verán un error después de enviar su contraseña. El error indica que ha habido un problema del servicio.

Además de este problema, durante las operaciones de restablecimiento de contraseña, puede ver un error en los registros de eventos del servicio Microsoft Entra Connect que indique "Se encontraron varias coincidencias".
Significa que el motor de sincronización ha detectado que el objeto de MV está conectado a más de un objeto de AD CS a través de "Microsoft.InfromADUserAccountEnabled.xxx". Esto significa que el usuario tiene una cuenta habilitada en más de un bosque. Este escenario no se admite para la escritura diferida de contraseñas.
Error de configuración en las operaciones con contraseñas. El registro de eventos de la aplicación contiene el error 6329 de Microsoft Entra Connect con el texto: 0x8023061f (Error en la operación porque no está habilitada la sincronización de contraseñas en este agente de administración)". Este error se produce si se cambia la configuración de Microsoft Entra Connect para agregar un nuevo bosque de Active Directory (o para quitar y volver a agregar un bosque) después de que ya se haya habilitado la escritura diferida de contraseñas. Se producirá un error en las operaciones de contraseñas para los usuarios de estos bosques recién agregados. Para corregir el problema, deshabilite la característica de escritura diferida de contraseñas después de que se hayan completado los cambios de configuración del bosque y vuelva a habilitarla entonces.
SSPR_0029: no se puede restablecer la contraseña debido a un error en la configuración local. Póngase en contacto con el administrador y pídale que lo investigue. Problema: se ha habilitado la escritura diferida de contraseñas siguiendo todos los pasos necesarios. Sin embargo, al intentar cambiar una contraseña, recibe el mensaje "SSPR_0029: Su organización no ha configurado correctamente la configuración local para el restablecimiento de contraseña". Al comprobar los registros de eventos en el sistema Microsoft Entra Connect se muestra que se denegó el acceso a las credenciales del agente de administración. Posible solución: use RSOP en el sistema Microsoft Entra Connect y los controladores de dominio para ver si la directiva "Acceso a la red: Restringir a los clientes permitidos para realizar llamadas remotas a SAM" se encuentra en Configuración del equipo >Configuración de Windows > Configuración de seguridad > Directivas locales > Opciones de seguridad está habilitada. Edite la directiva para incluir la cuenta de administración MSOL_XXXXXXX como usuario autorizado. Para obtener más información, consulte Solución de errores SSPR_0029: la organización no ha realizado correctamente la configuración local para el restablecimiento de contraseña.

Códigos de error de registro de eventos de escritura diferida de contraseñas

Un procedimiento recomendado para solucionar problemas con la escritura diferida de contraseñas consiste en inspeccionar el registro de eventos de la aplicación en la máquina de Microsoft Entra Connect. Este registro de eventos contiene eventos de dos orígenes para la escritura diferida de contraseñas. El origen PasswordResetService describe las operaciones y los problemas relacionados con el funcionamiento de la escritura diferida de contraseñas. El origen ADSync describe las operaciones y los problemas relacionados con la configuración de contraseñas en el entorno de Active Directory Domain Services.

Si el origen del evento es ADSync

Código Nombre o mensaje Descripción
6329 BAIL: MMS(4924) 0x80230619: "A restriction prevents the password from being changed to the current one specified" (Una restricción impide que la contraseña se modifique por la que ha especificado actualmente). Este evento se produce cuando el servicio de escritura diferida de contraseñas intenta establecer una contraseña en su directorio local que no cumple los requisitos del dominio en cuanto a antigüedad, historial, complejidad o filtrado de la contraseña. Este evento también puede producirse si no se puede cambiar una contraseña para un usuario.

Si tiene una vigencia mínima de la contraseña y ha cambiado recientemente la contraseña dentro de ese margen de tiempo, no puede volver a cambiarla hasta que alcance la duración especificada en el dominio. Para las pruebas, la vigencia mínima debe establecerse en 0.

Si tiene habilitados los requisitos del historial de contraseñas, debe seleccionar una contraseña que no se haya utilizado las últimas N veces, donde N es el valor del historial de contraseñas. Si selecciona una contraseña que se haya usado en las últimas N veces, verá un error en este caso. Para las pruebas, el historial mínimo debe establecerse en 0.

Si tiene requisitos de complejidad de contraseña, todos ellos se aplican cuando el usuario intenta cambiar o restablecer una contraseña.

Si tiene habilitados filtros de contraseña y un usuario selecciona una contraseña que no cumple los criterios de filtrado, se producirá un error en la operación de restablecimiento o modificación.

Si el usuario tiene establecida la marca de propiedad PASSWD_CANT_CHANGE, no se puede sincronizar su contraseña. Con fines de prueba, quite la marca de propiedad PASSWD_CANT_CHANGE. Para obtener más información, vea Descripciones de marcas de propiedad.
6329 MMS(3040): admaexport.cpp(2837): The server doesn't contain the LDAP password policy control (El servidor no contiene el control de directiva de contraseñas LDAP). Este problema se produce si el control LDAP_SERVER_POLICY_HINTS_OID (1.2.840.113556.1.4.2066) no está habilitado en los controladores de dominio. Para usar la característica de escritura diferida de contraseña, debe habilitar el control. Para ello, los controladores de dominio deben estar en Windows Server 2016 o una versión posterior.
HR 8023042 El motor de sincronización devolvió un error hr=80230402, mensaje=Error al intentar obtener un objeto debido a que hay entradas duplicadas con el mismo delimitador. Este error se produce cuando se habilita el mismo identificador de usuario en varios dominios. Por ejemplo se produciría si se están sincronizando los bosques de cuentas y recursos, y tienen el mismo identificador de usuario que está habilitado en cada bosque.

Este error también puede ocurrir si usa un atributo delimitador que no sea único, como un alias o UPN, y dos usuarios comparten el mismo.

Para resolver este problema, asegúrese de no tener ningún usuario duplicado dentro de los dominios y de estar utilizando un atributo delimitador único para cada usuario.

El origen del evento es PasswordResetService

Código Nombre o mensaje Descripción
31001 PasswordResetStart Este evento indica que el servicio local detectó una solicitud de restablecimiento de contraseña para un usuario federado, con autenticación de paso a través o con sincronización de hash de contraseñas, que se origina en la nube. Este evento es el primero en cada operación de escritura diferida de contraseñas.
31002 PasswordResetSuccess Este evento indica que un usuario seleccionó una contraseña nueva durante una operación de restablecimiento de contraseña. Determinamos que dicha contraseña cumple los requisitos de las contraseñas corporativas. La escritura diferida de la contraseña se realizó correctamente en el entorno de Active Directory local.
31003 PasswordResetFail Este evento indica que un usuario seleccionó una contraseña y esta llegó correctamente al entorno local. Pero, al intentar establecer la contraseña en el entorno de Active Directory local, se produjo un error. Esto puede ocurrir por varios motivos:
  • La contraseña del usuario no cumple los requisitos de antigüedad, historial, complejidad o filtro del dominio. Para resolver este problema, cree una contraseña nueva.
  • La cuenta de servicio de ADMA no tiene los permisos adecuados para establecer la nueva contraseña en la cuenta de usuario en cuestión.
  • La cuenta de usuario está en un grupo protegido, como el de administradores de empresa o dominio, lo que impide la ejecución de operaciones de establecimiento de contraseñas.
31004 OnboardingEventStart Este evento se produce si habilita la escritura diferida de contraseñas con Microsoft Entra Connect y se ha iniciado la incorporación de su organización al servicio web de escritura diferida de contraseñas.
31005 OnboardingEventSuccess Este evento indica que el proceso de incorporación se realizó correctamente y que la funcionalidad de escritura diferida de contraseñas está lista para usarse.
31006 ChangePasswordStart Este evento indica que el servicio local detectó una solicitud de cambio de contraseña para un usuario federado, con autenticación de paso a través o con sincronización de hash de contraseña, que se origina en la nube. Este evento es el primero de cada operación de escritura diferida de cambio de contraseña.
31007 ChangePasswordSuccess Indica que un usuario seleccionó una nueva contraseña durante una operación de cambio de contraseña, determinamos que esta contraseña cumple los requisitos corporativos de las contraseñas y que esa contraseña se ha escrito en diferido correctamente en el entorno de Active Directory local.
31008 ChangePasswordFail Este evento indica que un usuario seleccionó una contraseña y que esta ha llegado correctamente al entorno local, pero, al intentar establecer la contraseña en el entorno de Active Directory local, se produjo un error. Esto puede ocurrir por varios motivos:
  • La contraseña del usuario no cumple los requisitos de antigüedad, historial, complejidad o filtro del dominio. Para resolver este problema, cree una contraseña nueva.
  • La cuenta de servicio de ADMA no tiene los permisos adecuados para establecer la nueva contraseña en la cuenta de usuario en cuestión.
  • La cuenta de usuario está en un grupo protegido, como administradores del dominio o de empresa, lo que impide la ejecución de operaciones de conjunto de contraseñas.
31009 ResetUserPasswordByAdminStart El servicio local detectó una solicitud de restablecimiento de contraseña para un usuario federado, con autenticación de paso a través o con sincronización de hash de contraseña, originada en el administrador en nombre de un usuario. Este evento es el primero en una operación de escritura diferida de restablecimiento de contraseña que fue iniciada por el administrador.
31010 ResetUserPasswordByAdminSuccess El administrador seleccionó una contraseña nueva durante una operación de restablecimiento de contraseña iniciada por él. Determinamos que dicha contraseña cumple los requisitos de las contraseñas corporativas. La escritura diferida de la contraseña se realizó correctamente en el entorno de Active Directory local.
31011 ResetUserPasswordByAdminFail El administrador seleccionó una contraseña en nombre del usuario. La contraseña ha llegado correctamente al entorno local. Pero, al intentar establecer la contraseña en el entorno de Active Directory local, se produjo un error. Esto puede ocurrir por varios motivos:
  • La contraseña del usuario no cumple los requisitos de antigüedad, historial, complejidad o filtro del dominio. Para resolver este problema, pruebe con una contraseña nueva.
  • La cuenta de servicio de ADMA no tiene los permisos adecuados para establecer la nueva contraseña en la cuenta de usuario en cuestión.
  • La cuenta de usuario está en un grupo protegido, como administradores del dominio o de empresa, lo que impide la ejecución de operaciones de conjunto de contraseñas.
31012 OffboardingEventStart Este evento se produce si habilita la escritura diferida de contraseñas con Microsoft Entra Connect e indica que se ha iniciado la retirada de su organización del servicio web de escritura diferida de contraseñas.
31013 OffboardingEventSuccess Este evento indica que el proceso de externalización se realizó correctamente y que la funcionalidad de escritura diferida de contraseñas se ha deshabilitado también correctamente.
31014 OffboardingEventFail Este evento indica que el proceso de retirada no se realizó correctamente. Puede deberse a un error de permisos en la cuenta de administrador en la nube o en el entorno local especificada durante la configuración. El error también puede producirse si está intentando utilizar un administrador híbrido en la nube federado al deshabilitar la escritura diferida de contraseñas. Para solucionar este problema, compruebe los permisos administrativos y asegúrese de que no se utilice ninguna cuenta federada al configurar la funcionalidad de escritura diferida de contraseñas.
31015 WriteBackServiceStarted Este evento indica que el servicio de escritura diferida de contraseñas se ha iniciado correctamente. Está listo para aceptar las solicitudes de administración de contraseñas de la nube.
31016 WriteBackServiceStopped Este evento indica que el servicio de escritura diferida de contraseñas se ha detenido. Todas las solicitudes de administración de contraseñas de la nube fracasarán.
31017 AuthTokenSuccess Este evento indica que se ha recuperado correctamente un token de autorización para el administrador global especificado durante la configuración de Microsoft Entra Connect a fin de iniciar el proceso de incorporación o desvinculación.
31018 KeyPairCreationSuccess Este evento indica que se creó correctamente la clave de cifrado de contraseña. Esta clave se usa para que las contraseñas cifradas de la nube se envíen al entorno local.
31019 ServiceBusHeartBeat Este evento indica que se ha enviado correctamente una solicitud a la instancia de Service Bus del inquilino.
31034 ServiceBusListenerError Este evento indica que se ha producido un error al conectarse al cliente de escucha de Service Bus del inquilino. Si el mensaje de error incluye "El certificado remoto no es válido", asegúrese de que el servidor de Microsoft Entra Connect tiene todas las CA raíz necesarias, como se describe en Cambios en los certificados TLS de Azure.
31044 PasswordResetService Este evento indica que la escritura diferida de contraseñas no funciona. El Service Bus escucha solicitudes en dos retransmisiones independientes en busca de redundancia. Cada conexión de retransmisión se administra mediante un host de servicios único. El cliente de escritura diferida devuelve un error si alguno de los host de servicios no se está ejecutando.
32000 UnknownError Este evento indica que se produjo un error desconocido durante una operación de administración de contraseñas. Observe el texto de excepción en el evento para obtener más detalles. Si tiene problemas, pruebe a deshabilitar y volver a habilitar la escritura diferida de contraseñas. Si así no se soluciona el problema, incluya una copia del registro de eventos junto con el identificador de seguimiento especificado al abrir una solicitud de soporte técnico.
32001 ServiceError Este evento indica que se ha producido un error al conectarse a la instancia de restablecimiento de contraseñas de la nube. Este error suele producirse cuando el servicio local no pudo conectarse al servicio web de restablecimiento de contraseña.
32002 ServiceBusError Este evento indica que se ha producido un error al conectarse a la instancia de Service Bus del inquilino. Esto puede deberse a que está bloqueando las conexiones salientes en el entorno local. Compruebe el firewall para asegurarse de que permite conexiones a través del TCP 443 y a https://ssprdedicatedsbprodncu.servicebus.windows.net, y vuelva a intentarlo. Si sigue teniendo problemas, pruebe a deshabilitar y volver a habilitar la escritura diferida de contraseñas.
32003 InPutValidationError Este evento indica que la entrada transferida a la API del servicio web no era válida. Vuelva a intentarlo.
32004 DecryptionError Este evento indica que se ha producido un error al descifrar la contraseña que ha llegado de la nube. Podría deberse a una falta de coincidencia de la clave de descifrado entre el servicio en la nube y su entorno local. Para resolver este problema, deshabilite y vuelva a habilitar la escritura diferida de contraseñas en su entorno local.
32005 ConfigurationError Durante la incorporación, guardamos la información específica del inquilino en un archivo de configuración en su entorno local. Este evento indica que se ha producido un error al guardar este archivo o que cuando se inició el servicio hubo un error en la lectura del archivo. Para corregir este problema, pruebe a deshabilitar y volver a habilitar la escritura diferida de contraseñas para forzar la reescritura del archivo de configuración.
32007 OnBoardingConfigUpdateError Durante la incorporación, enviamos datos de la nube al servicio de restablecimiento de contraseñas local. Esos datos, a continuación, se escriben en un archivo en memoria antes de enviarse al servicio de sincronización para almacenarse de forma segura en el disco. Este evento indica un problema con la escritura o actualización de los datos en memoria. Para corregir este problema, pruebe a deshabilitar y volver a habilitar la escritura diferida de contraseñas para forzar la reescritura de este archivo de configuración.
32008 ValidationError Este evento indica que hemos recibido una respuesta no válida desde el servicio web de restablecimiento de contraseña. Para solucionar este problema, pruebe a deshabilitar y volver a habilitar la escritura diferida de contraseñas.
32009 AuthTokenError Este evento indica que no se ha podido obtener un token de autorización para la cuenta de administrador híbrida especificada durante la configuración de Microsoft Entra Connect. Este error puede deberse a un nombre de usuario o contraseña especificados para la cuenta de administrador global. También puede producirse si la cuenta de administrador híbrida especificada está federada. Para corregir este problema, vuelva a ejecutar la configuración con el nombre de usuario y la contraseña correctos, y asegúrese de que el administrador es una cuenta administrada (solo en la nube o con la sincronización de contraseñas).
32010 CryptoError Este evento indica que se produjo un error al generar la clave de cifrado de contraseña o al descifrar una contraseña que llega desde el servicio en la nube. Este error probablemente indica un problema con su entorno. Consulte los detalles de su registro de eventos para obtener más información y resolver este problema. También puede intentar deshabilitar y volver a habilitar el servicio de escritura diferida de contraseñas.
32011 OnBoardingServiceError Este evento indica que el servicio local no pudo comunicarse correctamente con el servicio web de restablecimiento de contraseña para iniciar el proceso de incorporación. Puede ocurrir como resultado de una regla de firewall o si hay un problema al obtener un token de autenticación para el inquilino. Para corregir este problema, asegúrese de que no esté bloqueando las conexiones salientes a través del TCP 443 y TCP 9350-9354 o a https://ssprdedicatedsbprodncu.servicebus.windows.net. Asegúrese también de que la cuenta de administrador de Microsoft Entra que usa para la incorporación no está federada.
32013 OffBoardingError Este evento indica que el servicio local no pudo comunicarse correctamente con el servicio web de restablecimiento de contraseña para iniciar el proceso de externalización. Puede ocurrir como resultado de una regla de firewall o si hay un problema al obtener un token de autorización para el inquilino. Para solucionar este problema, asegúrese de que no esté bloqueando las conexiones salientes a través del puerto 443 o hacia https://ssprdedicatedsbprodncu.servicebus.windows.net, y de que la cuenta de administrador de Microsoft Entra utilizada para la retirada no esté federada.
32014 ServiceBusWarning Este evento indica que tenemos que tratar de volver a establecer la conexión a la instancia de Service Bus del inquilino. En condiciones normales, esto no debe ser un problema, pero si este evento se produce muchas veces, considere la posibilidad de comprobar la conexión de red a Service Bus, especialmente si se trata de una conexión de ancho de banda bajo o de latencia alta.
32015 ReportServiceHealthError Para supervisar el estado de su servicio de escritura diferida de contraseñas, enviamos datos de latido a nuestro servicio web de restablecimiento de contraseñas cada cinco minutos. Este evento indica que se ha producido un error al enviar esta información de latido al servicio web en la nube. Esta información de estado no incluye datos personales y se trata únicamente de un latido y estadísticas de servicio básicas para que podamos ofrecer información de estado del servicio en la nube.
33001 ADUnKnownError Este evento indica que se produjo un error desconocido que devuelve Active Directory. Compruebe en el registro de eventos del servidor de Microsoft Entra Connect si hay eventos del origen ADSync para obtener más información.
33002 ADUserNotFoundError Este evento indica que el usuario que está intentando restablecer o cambiar una contraseña no se encontró en el directorio local. Esto puede ocurrir cuando el usuario se ha eliminado en el entorno local pero no en la nube. Este error también puede producirse si hay un problema con la sincronización. Compruebe los registros de sincronización, así como los últimos detalles de ejecución de la sincronización para más información.
33003 ADMutliMatchError Si una solicitud de restablecimiento o cambio de contraseña se origina en la nube, usamos el delimitador de la nube especificado durante el proceso de configuración de Microsoft Entra Connect para determinar cómo vincular tal solicitud de nuevo a un usuario en el entorno local. Este evento indica que hemos encontrado dos usuarios en el directorio local con el mismo atributo delimitador de la nube. Compruebe los registros de sincronización, así como los últimos detalles de ejecución de la sincronización para más información.
33004 ADPermissionsError Este evento indica que la cuenta de servicio del Agente de administración de Active Directory (ADMS) no tiene los permisos adecuados en la cuenta en cuestión para establecer una nueva contraseña. Asegúrese de que la cuenta de ADMA en el bosque del usuario tiene los permisos de restablecimiento de contraseña en todos los objetos del bosque. Para más información sobre cómo establecer los permisos, consulte el paso 4: Configure los permisos adecuados de Active Directory. Este error también puede producirse si el atributo AdminCount del usuario está establecido en 1.
33005 ADUserAccountDisabled Este evento indica que hemos intentado restablecer o cambiar una contraseña de una cuenta deshabilitada en el entorno local. Habilite la cuenta y vuelva a intentarlo.
33006 ADUserAccountLockedOut Este evento indica que hemos intentado restablecer o cambiar una contraseña de una cuenta bloqueada en el entorno local. Los bloqueos se aplican cuando un usuario intenta modificar o restablecer la contraseña demasiadas veces en poco tiempo. Desbloquee la cuenta y vuelva a intentarlo.
33007 ADUserIncorrectPassword Este evento indica que el usuario ha especificado una contraseña incorrecta actual al realizar una operación de cambio de contraseña. Especifique la contraseña actual correcta e inténtelo de nuevo.
33008 ADPasswordPolicyError Este evento se produce cuando el servicio de escritura diferida de contraseñas intenta establecer una contraseña en su directorio local que no cumple los requisitos del dominio en cuanto a antigüedad, historial, complejidad o filtrado de la contraseña.

Si tiene una vigencia mínima de la contraseña y ha cambiado recientemente la contraseña dentro de ese margen de tiempo, no puede volver a cambiarla hasta que alcance la duración especificada en el dominio. Para las pruebas, la vigencia mínima debe establecerse en 0.

Si tiene habilitados los requisitos del historial de contraseñas, debe seleccionar una contraseña que no se haya utilizado en las últimas N veces, donde N es la configuración del historial de contraseñas. Si selecciona una contraseña que se haya usado en las últimas N veces, verá un error en este caso. Para las pruebas, el historial mínimo debe establecerse en 0.

Si tiene requisitos de complejidad de contraseña, todos ellos se aplican cuando el usuario intenta cambiar o restablecer una contraseña.

Si tiene habilitados filtros de contraseña y un usuario selecciona una contraseña que no cumple los criterios de filtrado, se producirá un error en la operación de restablecimiento o modificación.
33009 ADConfigurationError Este evento indica que se ha producido un problema al escribir la contraseña en diferido en el directorio local por un problema de configuración con Active Directory. Para obtener más información sobre qué error se ha producido, compruebe el registro de eventos de la aplicación de la máquina de Microsoft Entra Connect para ver los mensajes del servicio ADSync.

Caracteres de unidad organizativa reservados a partir de la escritura diferida de contraseñas

En la tabla siguiente, se enumeran los caracteres reservados que impiden la escritura diferida de contraseñas. Si estos caracteres aparecen en la estructura de la unidad organizativa (UO) local, la escritura diferida de contraseñas puede producir un error con el id. de evento 33001.

Carácter reservado Descripción Valor hexadecimal
espacio o carácter # al principio de una cadena
carácter de espacio al final de una cadena
, coma 0x2C
+ signo más 0x2B
" comillas 0x22
\ barra diagonal inversa 0x5C
< corchete angular izquierdo 0x3C
> corchete angular derecho 0x3E
; punto y coma 0x3B
LF avance de línea 0x0A
CR retorno de carro 0x0D
= signo igual 0x3D
/ barra diagonal 0x2F

Foros de Microsoft Entra

Si tiene alguna pregunta general sobre Microsoft Entra ID y el autoservicio de restablecimiento de contraseña, puede pedir ayuda a la comunidad en la página de preguntas de Microsoft Q&A para Microsoft Entra ID. La comunidad está formada por ingenieros, jefes de producto, MVP y profesionales de TI.

Consultar al soporte técnico de Microsoft

Si no encuentra la respuesta a un problema, nuestros equipos de soporte técnico están siempre disponibles para ayudarle.

Para que reciba la ayuda apropiada, le pedimos que proporcione la mayor cantidad de detalles posible al abrir una incidencia. Estos detalles incluyen los siguientes:

  • Descripción general del error: ¿Cuál es el error? ¿Qué comportamiento observó? ¿Cómo podemos reproducir el error? Proporcione tantos detalles como sea posible.
  • Página: ¿en qué página estaba cuando se detectó el error? Incluya la dirección URL, si es posible, y una captura de pantalla de la página.
  • Código de soporte técnico: ¿qué código de soporte técnico se generó cuando el usuario vio el error?
    • Para encontrarlo, reproduzca el error, seleccione el vínculo Código de soporte técnico en la parte inferior de la pantalla y envíe al ingeniero de soporte técnico el GUID resultante.

      El código de soporte técnico se encuentra en la parte inferior derecha de la ventana del explorador web.

    • Si se encuentra en una página sin código de soporte en la parte inferior, seleccione F12, busque el SID y el CID, y envíe estos dos resultados al ingeniero de soporte.

  • Fecha, hora y zona horaria: incluya la fecha y la hora precisas (incluida la zona horaria) en que se produjo el error.
  • Id. de usuario: ¿quién fue el usuario que vio el error? Un ejemplo es user@contoso.com.
    • ¿Es un usuario federado?
    • ¿Es un usuario de autenticación de paso a través?
    • ¿Es un usuario con sincronización de hash de contraseña?
    • ¿Es un usuario solo de nube?
  • Licencias: ¿El usuario tiene asignada una licencia de Microsoft Entra ID?
  • Registro de eventos de la aplicación: si usa la escritura diferida de contraseñas y el error se produce en la infraestructura local, incluya una copia comprimida del registro de eventos de la aplicación del servidor de Microsoft Entra Connect.

Pasos siguientes

Para más información sobre SSPR, consulte Funcionamiento: Autoservicio de restablecimiento de contraseña de Microsoft Entra o ¿Cómo funciona la escritura diferida del autoservicio de restablecimiento de contraseña en Microsoft Entra ID?.