Compartir vía


Solución de problemas de conectividad de Microsoft Entra Connect

Este artículo explica cómo funciona la conectividad entre Microsoft Entra Connect y Microsoft Entra ID y cómo solucionar problemas de conectividad. Estas incidencias suelen aparecer en un entorno que usa un servidor proxy.

Incidencias de conectividad en el Asistente para instalación

Microsoft Entra Connect usa la Biblioteca de autenticación de Microsoft (MSAL) para la autenticación. El Asistente para instalación y el motor de sincronización requieren machine.config para configurarse correctamente ya que se trata de dos aplicaciones. NET.

Nota

Azure AD Connect v1.6.xx.x usa la Biblioteca de autenticación de Active Directory (ADAL). ADAL está entrando en desuso y el soporte técnico finalizará en junio de 2022. Se recomienda actualizar a la versión más reciente de Microsoft Entra Connect v2.

En este artículo se explica cómo Fabrikam se conecta a Microsoft Entra ID a través de su servidor proxy. El servidor proxy recibe el nombre fabrikamproxy y usa el puerto 8080.

En primer lugar, asegúrese de que machine.config está configurado correctamente y de que el servicio de sincronización de Microsoft Entra ID se ha reiniciado después de la actualización del archivo machine.config.

Captura de pantalla que muestra parte del archivo machine punto config.

Nota

Algunos blogs que no son de Microsoft indican que debe realizar cambios en miiserver.exe.config en lugar de en el archivo machine.config. Sin embargo, el archivo miiserver.exe.config se sobrescribe en cada actualización. Incluso si el archivo funciona durante la instalación inicial, el sistema deja de funcionar durante la primera actualización. Por ese motivo, se recomienda actualizar machine.config como se describe en este artículo.

El servidor proxy también debe tener abiertas las direcciones URL necesarias. La lista oficial está documentada en direcciones URL de Office 365 e intervalos de direcciones IP.

De estas direcciones URL, las que aparecen en la siguiente tabla son el mínimo necesario para poder conectarse a Microsoft Entra ID. Esta lista no incluye características opcionales, como la escritura diferida de contraseñas ni Microsoft Entra Connect Health. La información se proporciona aquí para ayudar con la solución de problemas de la configuración inicial.

URL Port Descripción
mscrl.microsoft.com HTTP/80 Se usa para descargar listas de lista de revocación de certificados (CRL).
*.verisign.com HTTP/80 Se usa para descargar listas CRL.
*.entrust.net HTTP/80 Se usa para descargar listas CRL para la autenticación multifactor (MFA).
*.management.core.windows.net (Azure Storage)
*.graph.windows.net (Azure AD Graph)
HTTPS/443 Se usa para los distintos servicios de Azure.
secure.aadcdn.microsoftonline-p.com HTTPS/443 Se utiliza para MFA.
*.microsoftonline.com HTTPS/443 Se utiliza para configurar el directorio de Microsoft Entra, y para importar y exportar datos.
*.crl3.digicert.com HTTP/80 Se usa para comprobar los certificados.
*.crl4.digicert.com HTTP/80 Se usa para comprobar los certificados.
*.digicert.cn HTTP/80 Se usa para comprobar los certificados.
*.ocsp.digicert.com HTTP/80 Se usa para comprobar los certificados.
*.www.d-trust.net HTTP/80 Se usa para comprobar los certificados.
*.root-c3-ca2-2009.ocsp.d-trust.net HTTP/80 Se usa para comprobar los certificados.
*.crl.microsoft.com HTTP/80 Se usa para comprobar los certificados.
*.oneocsp.microsoft.com HTTP/80 Se usa para comprobar los certificados.
*.ocsp.msocsp.com HTTP/80 Se usa para comprobar los certificados.

Errores en el asistente

El Asistente para instalación usa dos contextos de seguridad diferentes. En la página Conectar a Microsoft Entra ID , utiliza el usuario que ha iniciado la sesión actual. En la página Configurar, se cambia a la cuenta que está ejecutando el servicio del motor de sincronización. Si se produce una incidencia, lo más probable es que el error aparezca en la página Conectar a Microsoft Entra ID en el asistente, porque la configuración del proxy es global.

Las siguientes incidencias son los errores más comunes que se puede encontrar en el Asistente para instalación.

El Asistente para instalación no se ha configurado correctamente

Este error aparece cuando el propio asistente no puede establecer conexión con el proxy.

La captura de pantalla muestra el error No se pueden validar las credenciales.

Si aparece este error, compruebe si el archivo machine.config se ha configurado correctamente. Si machine.config es correcto, complete los pasos descritos en Comprobación de la conectividad de proxy para ver si la incidencia está presente también fuera del asistente.

Se usa una cuenta Microsoft

Si utiliza una cuenta Microsoft en lugar de una cuenta educativa o de organización, aparece un error genérico:

Captura de pantalla que muestra un error genérico de validación de credenciales.

No se puede alcanzar el punto de conexión de MFA

Aparece este error si no se puede establecer comunicación con el punto de conexión https://secure.aadcdn.microsoftonline-p.com y el administrador de identidad híbrida tiene MFA habilitado.

Captura de pantalla que muestra un ejemplo de un error de script cuando no se puede establecer comunicación con el punto de conexión de MFA.

Si ve este error, verifique si el punto de conexión secure.aadcdn.microsoftonline-p.com se ha agregado al proxy.

No se puede comprobar la contraseña

Si el asistente para instalación se conecta correctamente a Microsoft Entra ID, pero la contraseña no se puede comprobar, aparece este error:

Captura de pantalla que muestra un error que se produce cuando no se puede comprobar la contraseña.

¿Es la contraseña una contraseña temporal que se debe cambiar? ¿Es realmente la contraseña correcta? Pruebe a iniciar sesión en https://login.microsoftonline.com en otro equipo que no sea el del servidor de Microsoft Entra Connect y compruebe que la cuenta se puede utilizar.

Comprobación de la conectividad de proxy

Para comprobar si el servidor de Microsoft Entra Connect se conecta al proxy e Internet, use algunos cmdlets de PowerShell para ver si el proxy permite solicitudes web. En PowerShell, ejecute Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc. (Técnicamente, la primera llamada es a https://login.microsoftonline.com y este identificador URI funciona también, pero el otro identificador URI responde más rápido).

PowerShell usa la configuración de machine.config para establecer conexión con el proxy. La configuración de winhttp/netsh no debería afectar a estos cmdlets.

Si el proxy está configurado correctamente, aparece un estado correcto:

Captura de pantalla que muestra el estado correcto cuando el proxy está configurado adecuadamente.

Si ve el mensaje No es posible conectar con el servidor remoto, PowerShell está intentando realizar una llamada directa sin utilizar el proxy o DNS no está configurado correctamente. Asegúrese de que el archivo machine.config está configurado correctamente.

Captura de pantalla de un mensaje de error cuando PowerShell no se puede conectar al servidor remoto.

Si el proxy no está configurado correctamente, aparece un mensaje de error 403 o 407:

Captura de pantalla de un error de proxy 403 en PowerShell.

Captura de pantalla de un error de proxy 407 en PowerShell.

En la tabla siguiente se describen los errores de proxy 403 y 407:

Error Texto del error Comentario
403 Prohibido No se abrió el servidor proxy para la dirección URL solicitada. Revise la configuración del proxy y asegúrese de que las direcciones URL estén abiertas.
407 Se requiere autenticación del proxy El servidor proxy requiere un inicio de sesión y no se ha proporcionado. Si el proxy requiere autenticación, asegúrese de que ha configurado esta opción en el archivo machine.config. Asegúrese también de que usa cuentas de dominio para el usuario que ejecuta el asistente y para la cuenta de servicio.

Configuración del tiempo de espera de inactividad del proxy

Cuando Microsoft Entra Connect envía una solicitud de exportación a Microsoft Entra ID, este puede tardar hasta 5 minutos en procesar la solicitud antes de generar una respuesta. Es especialmente probable que la respuesta se retrase si muchos objetos de grupo que tienen pertenencias a grupos grandes se incluyen en la misma solicitud de exportación. Asegúrese de que el tiempo de espera de inactividad del proxy está configurado para que sean más de 5 minutos. De lo contrario, es posible que tenga problemas de conectividad intermitentes con Microsoft Entra ID en el servidor de Microsoft Entra Connect.

Patrón de comunicación entre Microsoft Entra Connect y Microsoft Entra ID

Si ha seguido todos los pasos descritos en este artículo y aún no puede conectarse, en este momento podría examinar los registros de red. En esta sección se describe un patrón de conectividad normal y correcta.

Pero, en primer lugar, estas son algunas preocupaciones comunes sobre los datos de los registros de red que puede omitir:

  • Hay llamadas a https://dc.services.visualstudio.com. No es necesario tener abierta esta dirección URL en el proxy para que la instalación se realice correctamente y estas llamadas pueden ignorarse.
  • Verá que la resolución DNS enumera los hosts reales como si estuvieran en el espacio de nombres DNS nsatc.net y otros espacios de nombres que no están en microsoftonline.com. Sin embargo, no hay ninguna solicitud de servicio web en los nombres de servidor reales. No es necesario agregar estas direcciones URL al proxy.
  • Los puntos de conexión adminwebservice y provisioningapi son los puntos de conexión de detección y se usan para buscar el punto de conexión real que se usará. Estos puntos de conexión difieren en función de la región.

Registros de proxy de referencia

El ejemplo siguiente es un volcado de un registro de proxy real y la página del asistente para instalación desde la que se tomó (se quitaron las entradas duplicadas al mismo punto de conexión). Esta sección se puede usar como referencia para su propio proxy y los registros de red. Los puntos de conexión reales pueden variar en su entorno (en concreto, las direcciones URL que están en cursiva).

Conectar a Microsoft Entra ID

Time URL
11/1/2016 8:31 connect:/login.microsoftonline.com:443
11/1/2016 8:31 connect://adminwebservice.microsoftonline.com:443
11/1/2016 8:32 connect://bba800-anchor.microsoftonline.com:443
11/1/2016 8:32 connect://login.microsoftonline.com:443
11/1/2016 8:33 connect://provisioningapi.microsoftonline.com:443
11/1/2016 8:33 connect://bwsc02-relay.microsoftonline.com:443

Configuración

Time URL
11/1/2016 8:43 connect://login.microsoftonline.com:443
11/1/2016 8:43 connect://bba800-anchor.microsoftonline.com:443
11/1/2016 8:43 connect://login.microsoftonline.com:443
11/1/2016 8:44 connect://adminwebservice.microsoftonline.com:443
11/1/2016 8:44 connect://bba900-anchor.microsoftonline.com:443
11/1/2016 8:44 connect://login.microsoftonline.com:443
11/1/2016 8:44 connect://adminwebservice.microsoftonline.com:443
11/1/2016 8:44 connect://bba800-anchor.microsoftonline.com:443
11/1/2016 8:44 connect://login.microsoftonline.com:443
11/1/2016 8:46 connect://provisioningapi.microsoftonline.com:443
11/1/2016 8:46 connect://bwsc02-relay.microsoftonline.com:443

Sincronización inicial

Time URL
11/1/2016 8:48 connect://login.windows.net:443
11/1/2016 8:49 connect://adminwebservice.microsoftonline.com:443
11/1/2016 8:49 connect://bba900-anchor.microsoftonline.com:443
11/1/2016 8:49 connect://bba800-anchor.microsoftonline.com:443

Errores de autenticación

Esta sección se tratan los errores que pueden ser devueltos por ADAL y PowerShell. La explicación del error debería ayudarlo a identificar sus próximos pasos.

Concesión no válida

Escribió un nombre de usuario o una contraseña no válidos. Para más información, consulte No se puede comprobar la contraseña.

Tipo de usuario desconocido

No se encuentra o no se puede resolver el directorio de Microsoft Entra. ¿Puede ser que intentara iniciar sesión con un nombre de usuario en un dominio sin comprobar?

Error de detección de dominio kerberos de usuario

Problemas de configuración de red o proxy. No se puede establecer conexión con la red. Consulte Incidencias de conectividad en el Asistente para instalación.

Contraseña de usuario expirada

Las credenciales han expirado. Cambie la contraseña.

Error de autorización

Microsoft Entra Connect no pudo autorizar al usuario para realizar una acción en Microsoft Entra ID.

Autenticación cancelada

Se canceló el desafío de MFA.

Error en la conexión a MSOnline

La autenticación fue correcta, pero Azure AD PowerShell tiene un problema de autenticación.

Privileged Identity Management habilitado

La autenticación se realizó correctamente, pero Privileged Identity Management se ha habilitado y el usuario no es actualmente un administrador de identidad híbrida. Para más información, vea Introducción a Privileged Identity Management.

Información de la empresa no disponible

La autenticación se ha realizado correctamente, pero no se ha podido recuperar la información de la empresa de Microsoft Entra ID.

Información del dominio no disponible

La autenticación se ha realizado correctamente, pero no se ha podido recuperar la información del dominio de Microsoft Entra ID.

Error de autenticación no especificado

Se muestra como Error inesperado en el Asistente para instalación. Este error puede producirse si intenta usar una cuenta Microsoft en lugar de una cuenta educativa o de organización.

Pasos para solucionar problemas de versiones anteriores

En las versiones a partir del número de compilación 1.1.105.0 (publicado en febrero de 2016) se ha retirado el Ayudante para el inicio de sesión. La configuración del asistente de inicio de sesión ya no debe ser necesaria, pero la información de las secciones siguientes se incluye como referencia.

Para que el asistente de inicio de sesión único funcione, se deben configurar los servicios HTTP de Microsoft Windows (WinHTTP). Puede configurar WinHTTP mediante netsh.

Captura de pantalla que muestra una ventana del símbolo del sistema que ejecuta la herramienta netsh para establecer un proxy.

El asistente de inicio de sesión no está configurado correctamente

Este error aparece cuando el ayudante para el inicio de sesión no puede conectar con el proxy o este no permite la solicitud.

Captura de pantalla del error No se pueden validar las credenciales, Comprobar la conectividad de la red y la configuración del firewall o proxy.

Si ve este error, examine la configuración del proxy en netsh y compruebe que es correcta.

Captura de pantalla que muestra una ventana del símbolo del sistema que ejecuta la herramienta netsh para mostrar la configuración del proxy.

Si la configuración del proxy es correcta, complete los pasos descritos en Comprobación de la conectividad de proxy para ver si la incidencia se produce fuera del asistente.

Pasos siguientes

Más información sobre la integración de las identidades locales con Microsoft Entra ID.