Compartir a través de


Solución de problemas de sincronización en la nube

La sincronización en la nube tiene muchas dependencias e interacciones diferentes, lo que puede dar lugar a varios problemas. Este artículo le ayuda a solucionar estos problemas. Presenta las áreas típicas en las que centrarse, cómo recopilar información adicional y las diversas técnicas que puede usar para realizar un seguimiento de los problemas.

Problemas del agente

Al solucionar problemas del agente, compruebe que el agente se instaló correctamente y que se comunica con el identificador de Microsoft Entra. En concreto, algunas de las primeras cosas que desea comprobar con el agente son:

  • ¿Está instalado?
  • ¿Se ejecuta localmente?
  • ¿Está en el portal?
  • ¿Está marcado como correcto?

Puede comprobar estos elementos en el portal y en el servidor local que ejecuta el agente.

Verificación del agente del Centro de administración de Microsoft Entra

Para comprobar que Azure detecta el agente y que el agente está en buen estado, siga estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos Administrador híbrido.
  2. Vaya a Identidad>Administración híbrida>Microsoft Entra Connect>Cloud Sync. Captura de pantalla de la página principal de sincronización en la nube.
  1. Seleccione sincronización en la nube.
  2. Debería ver los agentes que ha instalado. Compruebe que el agente en cuestión está ahí. Si todo está bien, verá el estado activo (verde) del agente.

Comprobación de los puertos abiertos necesarios

Compruebe que el agente de aprovisionamiento de Microsoft Entra puede comunicarse correctamente con los centros de datos de Azure. Si hay un firewall en la ruta de acceso, asegúrese de que los puertos siguientes para el tráfico saliente están abiertos:

Número de puerto Cómo se usa
80 Descargar listas de revocación de certificados (CRL) al validar el certificado TLS/SSL.
443 Control de todas las comunicaciones salientes con el servicio Application Proxy.

Si el firewall aplica el tráfico según los usuarios de origen, abra también los puertos 80 y 443 para el tráfico de los servicios de Windows que se ejecutan como un servicio de red.

Permitir el acceso a direcciones URL

Permitir el acceso a las siguientes direcciones URL:

URL Puerto Cómo se usa
*.msappproxy.net
*.servicebus.windows.net
443/HTTPS Comunicación entre el conector y el servicio en la nube de Application Proxy.
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
80/HTTP El conector usa estas direcciones URL para comprobar los certificados.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops
443/HTTPS El conector usa estas direcciones URL durante el proceso de registro.
ctldl.windowsupdate.com 80/HTTP El conector usa esta dirección URL durante el proceso de registro.

Puede permitir conexiones a *.msappproxy.net, *.servicebus.windows.nety otras direcciones URL anteriores, si el firewall o el proxy le permiten configurar reglas de acceso basadas en sufijos de dominio. Si no es así, debe permitir el acceso a intervalos IP y etiquetas de servicio de Azure en la nube pública. Los intervalos IP se actualizan cada semana.

Importante

Evite todas las formas de inspección y terminación insertadas en las comunicaciones TLS salientes entre los conectores de red privada de Microsoft Entra y los servicios en la nube del proxy de aplicación de Microsoft Entra.

Resolución de nombres DNS para los puntos de conexión del proxy de aplicación de Microsoft Entra

Los registros DNS públicos para los puntos de conexión del proxy de aplicaciones de Microsoft Entra son registros CNAME encadenados que apuntan a un registro A. Esto garantiza la tolerancia a errores y la flexibilidad. Se garantiza que el conector de red privada de Microsoft Entra siempre accede a los nombres de host con los sufijos de dominio *.msappproxy.net o *.servicebus.windows.net.

Sin embargo, durante la resolución de nombres, los registros CNAME pueden contener registros DNS con nombres de host y sufijos diferentes. Debido a esto, debe asegurarse de que el dispositivo puede resolver todos los registros de la cadena y permitir la conexión a las direcciones IP resueltas. Dado que los registros DNS en la cadena pueden cambiar de vez en cuando, no podemos proporcionarle ninguna lista de registros DNS.

En el servidor local

Para comprobar que el agente se ejecuta, siga estos pasos:

  1. En el servidor con el agente instalado, abra Services. Para ello, vaya a Inicio>Ejecutar>Services.msc.

  2. En Servicios, asegúrese de que estén allí Agente de actualización de Microsoft Entra Connect y Agente de aprovisionamiento de Microsoft Entra. Confirme también que su estado es En ejecución.

    Captura de pantalla de los servicios locales y su estado.

Problemas comunes de instalación del agente

En las secciones siguientes se describen algunos problemas comunes de instalación del agente y las soluciones típicas de esos problemas.

El agente no se pudo iniciar

Es posible que reciba un mensaje de error que indique lo siguiente:

No se pudo iniciar el servicio "Microsoft Entra Provisioning Agent". Compruebe que tiene privilegios suficientes para iniciar los servicios del sistema.

Este problema suele deberse a una directiva de grupo. La directiva impedía que se aplicaran permisos a la cuenta de inicio de sesión del servicio NT local creada por el instalador (NT SERVICE\AADConnectProvisioningAgent). Estos permisos son necesarios para iniciar el servicio.

Para resolver este problema, siga estos pasos:

  1. Inicie sesión en el servidor con una cuenta de administrador.

  2. Abra Servicios desde Inicio>Ejecutar>Services.msc.

  3. En Servicios, haga doble clic en el Agente de aprovisionamiento de Microsoft Entra.

  4. En la pestaña iniciar sesión, cambie Esta cuenta a un administrador de dominio. A continuación, reinicie el servicio.

    Captura de pantalla que muestra las opciones disponibles en la pestaña Iniciar sesión.

El agente agota el tiempo de espera o el certificado no es válido

Es posible que reciba el siguiente mensaje de error al intentar registrar el agente.

Captura de pantalla que muestra un mensaje de error de tiempo de espera.

Este problema suele deberse a que el agente no puede conectarse al servicio de identidad híbrida. Para resolver este problema, configure un proxy de salida.

El agente de aprovisionamiento admite el uso de un proxy de salida. Puede configurarlo editando el siguiente archivo de .config del agente: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

Agregue las siguientes líneas en él, hacia el final del archivo, justo antes de la etiqueta de cierre </configuration>. Reemplace las variables [proxy-server] y [proxy-port] por el nombre del servidor proxy y los valores de puerto.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

Se produce un error de seguridad en el registro del agente

Es posible que reciba un mensaje de error al instalar el agente de aprovisionamiento en la nube. Este problema suele deberse a que el agente no puede ejecutar los scripts de registro de PowerShell debido a las directivas de ejecución locales de PowerShell.

Para resolver este problema, cambie las directivas de ejecución de PowerShell en el servidor. Debe establecer las directivas de máquina y de usuario en Undefined o RemoteSigned. Si se establecen como Unrestricted, verá este error. Para obtener más información, consulte directivas de ejecución de PowerShell.

Archivos de registro

De manera predeterminada, el agente emite mensajes de error mínimos e información de seguimiento de la pila. Puede encontrar estos registros de seguimiento en la siguiente carpeta: C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace.

Para recopilar detalles adicionales para solucionar problemas relacionados con el agente, siga estos pasos.

  1. Instale el módulo de PowerShell AADCloudSyncTools.
  2. Use el cmdlet de PowerShell Export-AADCloudSyncToolsLogs para capturar la información. Puede usar las siguientes opciones para ajustar la recopilación de datos.
    • SkipVerboseTrace para exportar solo los registros actuales sin capturar registros detallados (valor predeterminado = false).
    • TracingDurationMins especificar una duración de captura diferente (valor predeterminado = 3 minutos).
    • OutputPath especificar una ruta de acceso de salida diferente (valor predeterminado = carpeta Documentos del usuario).

Problemas de sincronización de objetos

En el portal, puede usar registros de aprovisionamiento para ayudar a realizar un seguimiento y solucionar problemas de sincronización de objetos. Para ver los logs, seleccione Logs.

Captura de pantalla que muestra el botón de registros.

Los registros de aprovisionamiento proporcionan una gran cantidad de información sobre el estado de los objetos que se sincronizan entre el entorno local de Active Directory y Azure.

Captura de pantalla que muestra información sobre los registros de aprovisionamiento.

Puede filtrar la vista para centrarse en problemas específicos, como fechas. También puede buscar en los registros las actividades relacionadas con un objeto de Active Directory utilizando su Active Directory ObjectGuid. Haga doble clic en un evento individual para ver información adicional.

Captura de pantalla que muestra la información de la lista desplegable de registros de aprovisionamiento.

Esta información proporciona pasos detallados y dónde se está produciendo el problema de sincronización. De esta manera, puede identificar el punto exacto del problema.

Objetos omitidos

Si ha sincronizado usuarios y grupos desde Active Directory, es posible que no pueda encontrar uno o varios grupos en el identificador de Microsoft Entra. Esto podría deberse a que la sincronización aún no se ha completado o aún no se ha detectado la creación del objeto en Active Directory, un error de sincronización que bloquea el objeto que se crea en el identificador de Entra de Microsoft o una regla de ámbito de regla de sincronización podría aplicarse que excluye el objeto.

Si reinicia la sincronización, a continuación, cuando se completa el ciclo de aprovisionamiento, busque en el registro de aprovisionamiento actividades relacionadas con un objeto mediante Active Directory ObjectGuid de ese objeto. Si un evento con una identidad que contiene solo un identificador de origen y un estado de Skipped está presente en el registro, esto puede indicar que el agente filtre el objeto de Active Directory porque estaba fuera del ámbito.

De forma predeterminada, las reglas de ámbito excluyen que los objetos siguientes se sincronicen con el identificador de Microsoft Entra:

  • usuarios, grupos y contactos con IsCriticalSystemObject establecido en TRUE, incluidos muchos de los usuarios y grupos integrados en Active Directory
  • objetos víctimas de replicación

Las restricciones adicionales pueden estar presentes en el esquema de sincronización de .

Umbral de eliminación de objetos de Microsoft Entra

Si tiene una topología de implementación con Microsoft Entra Connect y Microsoft Entra Cloud Sync, tanto exportando al mismo inquilino de Microsoft Entra como si se ha movido completamente del uso de Microsoft Entra Connect a Microsoft Entra Cloud Sync, es posible que reciba el siguiente mensaje de error de exportación al eliminar o mover varios objetos fuera del ámbito definido:

Captura de pantalla que muestra el error de exportación.

Este error no está relacionado con la característica de prevención de eliminaciones accidentales de sincronización en la nube de Microsoft Entra Connect. Se desencadena mediante la característica de prevención de eliminaciones accidentales establecida en el directorio de Microsoft Entra de Microsoft Entra Connect. Si no tiene instalado un servidor de Microsoft Entra Connect desde el que pueda activar o desactivar la funcionalidad, puede usar el módulo de PowerShell "AADCloudSyncTools" instalado con el agente de sincronización en la nube de Microsoft Entra Connect para deshabilitar la configuración en la entidad y permitir que las eliminaciones bloqueadas se exporten después de confirmar que son esperadas y deben permitirse. Use el siguiente comando:

Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee"

Durante el siguiente ciclo de aprovisionamiento, los objetos marcados para su eliminación deben eliminarse correctamente del directorio De Microsoft Entra.

Problemas de aprovisionamiento en cuarentena

La sincronización en la nube supervisa el estado de la configuración y coloca objetos incorrectos en un estado de cuarentena. Si la mayoría o todas las llamadas realizadas contra el sistema de destino fallan constantemente debido a un error (por ejemplo, credenciales de administrador no válidas), el trabajo de sincronización se marca como en cuarentena.

Captura de pantalla que muestra el estado de cuarentena.

Al seleccionar el estado, puede ver información adicional sobre la cuarentena. También puede obtener el código de error y el mensaje.

Captura de pantalla que muestra información adicional sobre la cuarentena.

Al hacer clic con el botón derecho en el estado, aparecerán opciones adicionales para:

  • Vea los registros de aprovisionamiento.
  • Ver los agentes.
  • Quitar la cuarentena.

Captura de pantalla que muestra las opciones del menú contextual.

Resolución de una cuarentena

Hay dos maneras diferentes de resolver una cuarentena. Puede borrar la cuarentena o reiniciar el trabajo de aprovisionamiento.

Borrar la cuarentena

Para quitar la marca de agua y ejecutar una sincronización diferencial en el trabajo de aprovisionamiento una vez comprobado, solo tiene que hacer clic con el botón derecho en el estado y seleccionar Clear quarantine (Quitar cuarentena).

Debería ver un aviso de que la cuarentena se está levantando.

Captura de pantalla que muestra el aviso de que la cuarentena se está levantando.

A continuación, debería ver el estado en el agente como correcto.

Captura de pantalla que muestra que el estado del agente es correcto.

Reinicio del trabajo de aprovisionamiento

Use el portal para reiniciar el trabajo de aprovisionamiento. En la página de configuración del agente, seleccione Reiniciar sincronización.

Captura de pantalla que muestra las opciones de la página de configuración del agente.

Como alternativa, puede usar Microsoft Graph para reiniciar el trabajo de aprovisionamiento. Tienes control total sobre lo que reinicias. Puede elegir borrar:

  • Custodias, para reiniciar el contador de custodias que se acumula hacia el estado de cuarentena.
  • Cuarentena, para quitar la aplicación de la cuarentena.
  • Marcas de agua.

Use la solicitud siguiente:

POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

Reparación de la cuenta de servicio de sincronización en la nube

Si necesita reparar la cuenta de servicio de sincronización en la nube, puede usar el comando Repair-AADCloudSyncToolsAccount.

  1. Instale el módulo de PowerShell AADCloudSyncTools.

  2. En una sesión de PowerShell con privilegios administrativos, escriba o copie y pegue lo siguiente:

    Connect-AADCloudSyncTools
    
  3. Escriba sus credenciales de administrador global de Microsoft Entra.

  4. Escriba o copie y pegue lo siguiente:

    Repair-AADCloudSyncToolsAccount
    
  5. Una vez completado esto, debe decir que la cuenta se ha reparado correctamente.

Reescritura de contraseñas

Para habilitar y usar la escritura diferida de contraseñas con la sincronización en la nube, tenga en cuenta lo siguiente:

  • Si necesita actualizar los permisos de gMSA, estos permisos pueden tardar una hora o más en replicarse en todos los objetos del directorio. Si no asigna estos permisos, la escritura diferida puede parecer configurada correctamente, pero es posible que los usuarios encuentren errores al actualizar sus contraseñas locales desde la nube. Los permisos se deben aplicar a Este objeto y todos los objetos descendientes para que la opción Desactivar expiración de contraseña aparezca.
  • Si las contraseñas de algunas cuentas de usuario no se escriben en diferido en el directorio local, asegúrese de que la herencia no esté deshabilitada para la cuenta en el entorno local de Active Directory Domain Services (AD DS). Los permisos de escritura para las contraseñas deben aplicarse a los objetos descendientes para que la característica funcione correctamente.
  • Las directivas de contraseña en el entorno de AD DS local podrían impedir que los restablecimientos de contraseña se procesen correctamente. Si va a probar esta característica y desea restablecer las contraseñas de los usuarios más de una vez al día, la directiva de grupo para la antigüedad mínima de la contraseña debe establecerse en 0. Puede encontrar esta configuración en la siguiente ubicación: Configuración del equipo>Directivas>Configuración de Windows>Configuración de seguridad>Directivas de cuenta, en gpmc.msc.
    • Si actualiza la directiva de grupo, espere a que se replique la directiva actualizada o use el comando gpupdate /force.
    • Para que las contraseñas se cambien inmediatamente, la antigüedad mínima de la contraseña debe establecerse en 0. Sin embargo, si los usuarios cumplen las directivas locales y la antigüedad mínima de la contraseña se establece en un valor mayor que 0, la escritura de contraseñas no funcionará una vez evaluadas las directivas locales.

Pasos siguientes