Compartir a través de

Solución de errores SSPR_0029: la organización no ha realizado correctamente la configuración local para el restablecimiento de contraseña

  • Artículo

Este artículo le ayuda a solucionar el error de autoservicio de restablecimiento de contraseña (SSPR) "SSPR_0029: Su organización no ha configurado correctamente la configuración local para el restablecimiento de contraseña" que se produce después de que el usuario o el administrador escriba y confirme una nueva contraseña en la página SSPR.

Síntomas

Un usuario o administrador realiza los pasos siguientes y, a continuación, recibe un SSPR_0029 error:

  1. En una página de inicio de sesión de la cuenta Microsoft o en la página de inicio de sesión de Microsoft Azure en el https://login.microsoftonline.com dominio, un usuario o administrador selecciona ¿No puede acceder a su cuenta?, Olvidó mi contraseña o restablece ahora.

  2. El usuario o el administrador selecciona el tipo de cuenta profesional o educativa. A continuación, se le redirigirá a la página de SSPR al https://passwordreset.microsoftonline.com iniciar el flujo De vuelta a la cuenta .

  3. En la pantalla ¿Quién es usted? , el usuario o el administrador escribe su identificador de usuario, completa un desafío de seguridad que no distingue mayúsculas de minúsculas y, a continuación, selecciona Siguiente.

  4. En la pantalla ¿Por qué tiene problemas para iniciar sesión? , el usuario o el administrador selecciona Olvidé mi contraseña>Siguiente.

  5. En la pantalla elegir una nueva contraseña , el usuario o el administrador escribe y confirma una nueva cadena de contraseña y, a continuación, selecciona Finalizar. A continuación, aparece una pantalla Que sentimos y presenta el siguiente mensaje:

    SSPR_0029: la organización no ha configurado correctamente la configuración local para el restablecimiento de contraseña.

    Si es administrador, puede obtener más información en el artículo Solución de problemas de escritura diferida de contraseñas. Si no es administrador, puede proporcionar esta información cuando se ponga en contacto con el administrador.

Causa 1: No se puede usar la escritura diferida de contraseñas para restablecer la contraseña de un administrador de Windows Active Directory sincronizado

Es un administrador de Windows Active Directory sincronizado que pertenece (o se usa para pertenecer) a un grupo protegido Active Directory local, y no puede usar SSPR y escritura diferida de contraseñas para restablecer la contraseña local.

Solución: Ninguno (el comportamiento es por diseño)

Para la seguridad, las cuentas de administrador que existen dentro de un grupo protegido local de Active Directory no se pueden usar junto con la escritura diferida de contraseñas. Los administradores pueden cambiar su contraseña en la nube, pero no pueden restablecer una contraseña olvidada. Para obtener más información, consulte ¿Cómo funciona la escritura diferida de restablecimiento de contraseña de autoservicio en microsoft Entra ID?

Causa 2: La cuenta del conector de AD DS no tiene los permisos adecuados de Active Directory

El usuario sincronizado no tiene los permisos correctos en Active Directory.

Solución: Resolución de problemas de permisos de Active Directory

Para resolver problemas que afectan a los permisos de Active Directory, consulte Permisos y derechos de acceso de escritura diferida de contraseñas.

Solución alternativa: Destino de un controlador de dominio de Active Directory diferente

Nota:

La escritura diferida de contraseñas depende de la API heredada NetUserGetInfo. La NetUserGetInfo API requiere un conjunto complejo de permisos permitidos en Active Directory que puede ser difícil de identificar, especialmente cuando un servidor de Microsoft Entra Connect se ejecuta en un controlador de dominio. Para obtener más información, consulte Aplicaciones que usan NetUserGetInfo y API similares que dependen del acceso de lectura a determinados objetos de Active Directory.

¿Tiene un escenario en el que un servidor de Microsoft Entra Connect se ejecuta en un controlador de dominio y no es posible resolver los permisos de Active Directory? En este caso, se recomienda implementar el servidor Microsoft Entra Connect en un servidor miembro en lugar de un controlador de dominio. O bien, configure el conector de Active Directory para usar solo controladores de dominio preferidos mediante los pasos siguientes:

  1. En el menú Inicio , busque y seleccione Synchronization Service Manager.

  2. En la ventana Synchronization Service Manager , seleccione la pestaña Conectores .

  3. Haga clic con el botón derecho en el conector de Active Directory en la lista de conectores y seleccione Propiedades.

  4. En el panel Diseñador de conectores del cuadro de diálogo Propiedades , seleccione Configurar particiones de directorio.

  5. En el panel Configurar particiones de directorio, seleccione la opción Solo usar controladores de dominio preferidos y, a continuación, seleccione Configurar.

  6. En el cuadro de diálogo Configurar controladores de dominio preferidos, agregue uno o varios nombres de servidor que apunten a un controlador de dominio diferente (o controladores de dominio) que el host local.

  7. Para guardar los cambios y volver a la ventana principal, seleccione Aceptar tres veces, incluido en el cuadro de diálogo Advertencia que muestra una declinación de responsabilidades de configuración avanzada.

Causa 3: Los servidores no pueden realizar llamadas remotas al Administrador de cuentas de seguridad (SAM)

En este caso, se registran dos eventos de error de aplicación similares: id. de evento 33004 y 6329. El identificador de evento 6329 difiere de 33004 porque contiene un ERROR_ACCESS_DENIED código de error en el seguimiento de la pila cuando el servidor intenta realizar una llamada remota a SAM:

ERR_: MMS(####): admaexport.cpp(2944): no se pudo adquirir información de usuario: Contoso\MSOL_############. Código de error: ERROR_ACCESS_DENIED

Esta situación puede producirse si el servidor de Microsoft Entra Connect o el controlador de dominio tiene o tiene aplicada una configuración de seguridad de protección con un objeto de directiva de grupo de dominio (GPO) o en la directiva de seguridad local del servidor. Para comprobar si este es el caso, siga estos pasos:

  1. Abra una ventana del símbolo del sistema administrativo y ejecute los comandos siguientes:

    md C:\Temp
gpresult /h C:\Temp\GPreport.htm
start C:\Temp\GPreport.htm

  2. Abra el archivo C:\Temp\gpresult.htm en el explorador web y expanda Configuración de detalles>del equipo Directivas>configuración de>Windows Configuración de>>seguridad Directivas de seguridad Directivas locales/Opciones>de seguridad Acceso a la red. A continuación, compruebe si tiene una configuración denominada Acceso a la red: restringir los clientes que pueden realizar llamadas remotas a SAM.

  3. Para abrir el complemento Directiva de seguridad local, seleccione Iniciar, escriba secpol.msc, presione Entrar y, a continuación, expanda Directivas>locales Expanda Opciones de seguridad.

  4. En la lista de directivas, seleccione Acceso a la red: Restringir clientes permitidos para realizar llamadas remotas a SAM. La columna Configuración de seguridad mostrará No definido si la configuración no está habilitada o muestra un O:BAG:... valor de descriptor de seguridad si la configuración está habilitada. Si la configuración está habilitada, también puede seleccionar el icono Propiedades para ver la lista de control de acceso (ACL) que se aplica actualmente.

    Nota:

    De forma predeterminada, esta configuración de directiva está desactivada. Cuando esta configuración se aplica en un dispositivo a través de un GPO o una configuración de directiva local, se crea un valor del Registro denominado RestrictRemoteSam en la ruta de acceso del registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ . Sin embargo, esta configuración del Registro puede ser difícil de borrar después de definirla y aplicarla al servidor. Deshabilitar la configuración de directiva de grupo o desactivar la opción Definir esta configuración de directiva en la Consola de administración de directivas de grupo (GPMC) no quita la entrada del Registro. Por lo tanto, el servidor todavía restringe qué clientes pueden realizar llamadas remotas a SAM.

    ¿Cómo se comprueba con precisión que el servidor de Microsoft Entra Connect o el controlador de dominio todavía restringen las llamadas remotas a SAM? Compruebe si la entrada del Registro permanece presente mediante la ejecución del cmdlet Get-ItemProperty en PowerShell:

    Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam

¿La salida de PowerShell muestra que todavía existe una entrada del Registro RestrictRemoteSam ? Si es así, tiene dos soluciones posibles.

Solución 1: Agregar la cuenta del conector de AD DS a la lista de usuarios permitidos

Mantener el acceso a la red: restrinja los clientes permitidos para realizar llamadas remotas a la configuración de directiva SAM habilitada y aplicada en el servidor de Microsoft Entra Connect, pero agregue la cuenta del conector de Servicios de dominio de Active Directory (AD DS) (MSOL_ cuenta) a la lista de usuarios permitidos. Para obtener instrucciones, consulte los pasos siguientes:

  1. Si no conoce el nombre de la cuenta del conector de AD DS, consulte Identificación de la cuenta del conector de AD DS.

  2. En el complemento GPMC o Directiva de seguridad local, vuelva al cuadro de diálogo de propiedades de esa configuración de directiva.

  3. Seleccione Editar seguridad para mostrar el cuadro de diálogo Configuración de seguridad para el acceso remoto a SAM .

  4. En la lista Grupos o nombres de usuario, seleccione Agregar para mostrar el cuadro de diálogo Seleccionar usuarios o grupos . En el cuadro Escriba los nombres de objeto que se van a seleccionar , escriba el nombre de la cuenta del conector de AD DS (MSOL_ cuenta) y, a continuación, seleccione Aceptar para salir de ese cuadro de diálogo.

  5. Seleccione la cuenta del conector de AD DS en la lista. En Permisos para el <nombre> de la cuenta, en la fila Acceso remoto, seleccione Permitir.

  6. Seleccione Aceptar dos veces para aceptar los cambios de configuración de directiva y volver a la lista de opciones de configuración de directiva.

  7. Abra una ventana del símbolo del sistema administrativo y ejecute el comando gpupdate para forzar una actualización de directiva de grupo:

    gpupdate /force

Solución 2: Quite el acceso a la red: restrinja los clientes permitidos para realizar llamadas remotas a la configuración de directiva SAM y, a continuación, elimine manualmente la entrada del Registro RestrictRemoteSam.

  1. Si la configuración de seguridad se aplica desde la directiva de seguridad local, vaya al paso 4.

  2. Abra el complemento GPMC desde un controlador de dominio y edite el GPO de dominio correspondiente.

  3. Expanda Directivas de configuración del>>equipo Opciones de seguridad Configuración>del>equipo Configuración del equipo>Opciones de seguridad Directivas locales.>

  4. En la lista de opciones de seguridad, seleccione Acceso a la red: Restringir los clientes permitidos para realizar llamadas remotas a SAM, abra Propiedades y, a continuación, deshabilite Definir esta configuración de directiva.

  5. Abra una ventana del símbolo del sistema administrativo y ejecute el comando gpupdate para forzar una actualización de directiva de grupo:

    gpupdate /force

  6. Para generar un nuevo informe de resultados de directiva de grupo (GPreport.htm), ejecute el comando gpresult y, a continuación, abra el nuevo informe en un explorador web:

    md C:\Temp
gpresult /h C:\Temp\GPreport.htm
start C:\Temp\GPreport.htm

  7. Compruebe el informe para asegurarse de que la configuración de directiva para el acceso a la red: restringir los clientes que pueden realizar llamadas remotas a SAM no está definida.

  8. Abra una consola de PowerShell administrativa.

  9. Para quitar la entrada del Registro RestrictRemoteSam , ejecute el cmdlet Remove-ItemProperty :

    Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam

    Nota:

    Si elimina la entrada del Registro RestrictRemoteSam sin quitar la configuración de GPO de dominio, esta entrada del Registro se volverá a crear en el siguiente ciclo de actualización de la directiva de grupo y se volverá a repetir el SSPR_0029 error.

Ponte en contacto con nosotros para obtener ayuda

Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.