Solución de problemas de autenticación transferida de Microsoft Entra
Este artículo le ayuda a encontrar información sobre la solución de problemas comunes relacionados con la autenticación transferida de Microsoft Entra.
Importante
Si se enfrenta a problemas de inicio de sesión de los usuarios con la autenticación de paso a través, no deshabilite la característica ni desinstale los agentes de autenticación de paso a través sin tener una cuenta de administrador de identidad híbrida solo en la nube a la que retroceder.
Problemas generales
Comprobación de estado de la característica y de los agentes de autenticación
Asegúrese de que la característica de autenticación transferida sigue habilitada en su inquilino y de que el estado de los agentes de autenticación es activo y no inactivo. Puede comprobar el estado; para ello, vaya a la hoja Microsoft Entra Connect en el Centro de administración de Microsoft Entra.
Mensajes de error de inicio de sesión para el usuario
Si el usuario no ha podido iniciar sesión con la autenticación transferida, puede ver uno de los siguientes errores para el usuario en la pantalla de inicio de sesión de Microsoft Entra:
Error | Descripción | Solución |
---|---|---|
AADSTS80001 | No es posible conectarse a Active Directory | Asegúrese de que los servidores del agente sean miembros del mismo bosque de AD que los usuarios cuyas contraseñas haya que validar y que pueden conectarse a Active Directory. |
AADSTS80002 | Se ha agotado el tiempo de espera al conectarse a Active Directory | Asegúrese de que Active Directory está disponible y responde a las solicitudes de los agentes. |
AADSTS80004 | El nombre de usuario transferido al agente no era válido | Asegúrese de que el usuario esté intentando iniciar sesión con el nombre de usuario correcto. |
AADSTS80005 | La validación encontró una excepción WebException impredecible | Un error transitorio. Vuelva a intentarlo. Si el error no desaparece, póngase en contacto con el soporte técnico de Microsoft. |
AADSTS80007 | Error al establecer comunicación con Active Directory | Compruebe los registros del agente para más información y verifique que Active Directory está funcionando según lo previsto. |
Los usuarios obtienen un error de nombre de usuario y contraseña no válidos
Esto puede ocurrir cuando el UserPrincipalName (UPN) local de un usuario es diferente del UPN de nube del usuario.
Para confirmar que este es el problema, primero compruebe que el agente de autenticación transferida funciona correctamente:
Cree una cuenta de prueba.
Importe el módulo de PowerShell en el equipo del agente:
Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"
Ejecute el comando Invoke de PowerShell:
Invoke-PassthroughAuthOnPremLogonTroubleshooter
Cuando se le pida que escriba las credenciales, escriba el mismo nombre de usuario y contraseña que usa para iniciar sesión en https://login.microsoftonline.com.
Si recibe el mismo error de nombre de usuario y contraseña, significa que el agente de autenticación transferida funciona correctamente y el problema puede ser que el UPN local no sea enrutable. Para saber más, consulte Configuración del identificador de inicio de sesión alternativo.
Importante
Si el servidor de Microsoft Entra Connect no está unido a un dominio, lo cual es un requisito mencionado en Microsoft Entra Connect: requisitos previos, se produce el problema de nombre de usuario o contraseña no válidos.
Motivos del error de inicio de sesión en el Centro de administración de Microsoft Entra (se necesita una licencia Premium)
Si el inquilino tiene una licencia de Microsoft Entra ID P1 o P2 asociada, también puede buscar el informe actividad de inicio de sesión en el Centro de administración de Microsoft Entra.
Vaya a Microsoft Entra ID ->Inicios de sesión en el [Centro de administración de Microsoft Entra](https://portal.azure.com/) y haga clic en la actividad de inicio de sesión de un usuario específico. Busque el campo CÓDIGO DE ERROR DE INICIO DE SESIÓN. Busque la correspondencia entre el valor de ese campo y un motivo de error y la resolución en la siguiente tabla:
Código de error de inicio de sesión | Motivo del error de inicio de sesión | Solución |
---|---|---|
50144 | Ha expirado la contraseña de Active Directory del usuario. | Restablezca la contraseña del usuario en Active Directory local. |
80001 | No hay ningún agente de autenticación disponible. | Instale y registre un agente de autenticación. |
80002 | El tiempo de espera se agotó para la solicitud de validación de contraseña del agente de autenticación. | Compruebe si Active Directory es accesible desde el agente de autenticación. |
80003 | El agente de autenticación recibió una respuesta no válida. | Si el problema puede reproducirse habitualmente a través de varios usuarios, compruebe la configuración de Active Directory. |
80004 | Se usó un nombre principal de usuario (UPN) incorrecto en una solicitud de inicio de sesión. | Pida al usuario que inicie sesión con el nombre de usuario correcto. |
80005 | Agente de autenticación: Se ha producido un error. | Error transitorio. Vuelva a intentarlo más tarde. |
80007 | El agente de autenticación no puede conectarse a Active Directory. | Compruebe si Active Directory es accesible desde el agente de autenticación. |
80010 | El agente de autenticación no puede descifrar la contraseña. | Si el problema se puede reproducir habitualmente, instale y registre un nuevo agente de autenticación. Después, desinstale el actual. |
80011 | El agente de autenticación no puede recuperar la clave de descifrado. | Si el problema se puede reproducir habitualmente, instale y registre un nuevo agente de autenticación. Después, desinstale el actual. |
80014 | Solicitud de validación respondida después de que se supere el tiempo máximo transcurrido. | El agente de autenticación agotó el tiempo de espera. Abra una incidencia de soporte técnico con el código de error, el identificador de correlación y la marca de tiempo para conocer más detalles sobre este error |
Importante
Para autenticar a los usuarios de Microsoft Entra, los agentes de autenticación transferida validan sus nombres de usuario y contraseñas en Active Directory mediante la llamada a la API LogonUser de Win32. Como resultado, si ha establecido la configuración de inicio de sesión en Active Directory para limitar el acceso de inicio de sesión de la estación de trabajo, tendrá que agregar también los servidores que hospedan los agentes de autenticación transferida a la lista de servidores de inicio de sesión. Si no lo hace, los usuarios no podrán iniciar sesión en Microsoft Entra ID.
Problemas de instalación del agente de autenticación
Se ha producido un error inesperado
Recopile los registros del agente en el servidor y póngase en contacto con el Soporte técnico de Microsoft para que le solucionen el problema.
Problemas de registro del agente de autenticación
No se pudo realizar el registro del agente de autenticación porque había puertos bloqueados
Asegúrese de que el servidor en el que se ha instalado el agente de autenticación puede comunicarse tanto con nuestras direcciones URL de servicio como con los puertos que se enumeran aquí.
No se puede registrar el agente de autenticación debido a errores de autorización de token o de cuenta
Asegúrese de que usa una cuenta de administrador de identidad híbrida solo en la nube para todas las operaciones de instalación y registro del agente de autenticación independiente o de Microsoft Entra Connect. Hay un problema conocido con las cuentas de administrador de identidad híbrida habilitadas para MFA; desactive temporalmente MFA (solo para completar las operaciones) para proporcionar una solución alternativa.
Se ha producido un error inesperado
Recopile los registros del agente en el servidor y póngase en contacto con el Soporte técnico de Microsoft para que le solucionen el problema.
Problemas de desinstalación del agente de autenticación
Mensaje de advertencia al desinstalar Microsoft Entra Connect
Si la característica Autenticación transferida está habilitada en su inquilino e intenta desinstalar Microsoft Entra Connect, aparece el siguiente mensaje de advertencia: “Los usuarios no podrán iniciar sesión en Microsoft Entra ID, a menos que tenga otros agentes de autenticación de paso a través instalados en otros servidores”.
Para no interrumpir el inicio de sesión del usuario, es preciso tener una instalación de alta disponibilidad en vigor antes de desinstalar Microsoft Entra Connect.
Problemas con la habilitación de la característica
La característica no se pudo habilitar porque no había agentes de autenticación disponibles
Necesita tener al menos un agente de autenticación activo para habilitar la autenticación transferida en el inquilino. Puede instalar un agente de autenticación instalando Microsoft Entra Connect o un agente de autenticación independiente.
La característica no se habilitó porque había puertos bloqueados
Asegúrese de que el servidor en el que se ha instalado Microsoft Entra Connect puede comunicarse tanto con nuestras direcciones URL de servicio como con los puertos que se enumeran aquí.
No se puede realizar la habilitación de la característica debido a errores de autorización de cuenta o de token
Asegúrese de que usa una cuenta de administrador de identidad híbrida solo en la nube cuando habilite la característica. Hay un problema conocido con las cuentas de administrador de identidad híbrida habilitadas para Multi-Factor Authentication (MFA); desactive temporalmente MFA (solo para completar la operación) para proporcionar una solución alternativa.
Recopilación de registros del agente de autenticación transferida
En función del tipo de problema, es posible que tenga que buscar estos registros en distintos lugares.
Registros de Microsoft Entra Connect
Para ver los errores relacionados con la instalación, compruebe los registros de Microsoft Entra Connect en %ProgramData%\AADConnect\trace-*.log
.
Registros de eventos del agente de autenticación
Para ver los errores relacionados con el agente de autenticación, abra la aplicación Visor de eventos en el servidor y consulte Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.
Para obtener un análisis detallado, habilite el registro "Sesión" (haga clic con el botón derecho en la aplicación Visor de eventos para encontrar esta opción). No ejecute el agente de autenticación con este registro habilitado durante las operaciones normales; úselo solo para solucionar problemas. Tenga en cuenta que el contenido del registro solo se ve cuando el registro se vuelve a deshabilitar.
Registros de seguimiento detallados
Para solucionar errores de inicio de sesión de los usuarios, busque los registros de seguimiento en %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\. Estos registros incluyen los motivos por los que un usuario concreto no pudo iniciar sesión mediante la característica autenticación transferida. Estos errores también pueden hacerse corresponder con los motivos de errores de inicio de sesión mostrados en la tabla anterior. La siguiente es una entrada del registro de ejemplo:
AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
ThreadId=5
DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ
Para obtener detalles descriptivos del error ("1328" en el ejemplo anterior), abra el símbolo del sistema y ejecute el siguiente comando (Nota: Reemplace '1328' por el número de error real que ve en los registros):
Net helpmsg 1328
Registros de inicio de sesión de autenticación transferida
Si están habilitados los registros de auditoría, se puede encontrar información adicional en los registros de seguridad del servidor de autenticación transferida. Una manera sencilla de consultar las solicitudes de inicio de sesión es filtrar los registros de seguridad mediante la consulta siguiente:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Contadores de Monitor de rendimiento
Otra forma de supervisar a los agentes de autenticación consiste en realizar un seguimiento de los contadores específicos de Monitor de rendimiento en cada servidor en que está instalado el agente de autenticación. Use los siguientes contadores globales ( # PTA authentications, #PTA failed authentications y #PTA successful authentications) y los contadores de errores ( # PTA authentication errors):
Importante
La Autenticación transferida ofrece alta disponibilidad mediante la utilización de varios agentes de autenticación, pero no usa el equilibrio de carga. Según la configuración, no todos los agentes de autenticación reciben aproximadamente el mismo número de solicitudes. Es posible que un agente de autenticación específico no reciba ningún tráfico.