Solución de problemas

Solución de problemas » Solucionar problemas de sincronización de hash de contraseña con la sincronización de Azure AD Connect

Sincronización de contraseña: Solucionar problemas de sincronización de hash de contraseña con la sincronización de Azure AD Connect

La sincronización de hash de contraseña entre Active Directory (AD) y Azure AD puede verse obstaculizada por varias razones. Los problemas de sincronización se pueden solucionar y las razones de estos problemas se pueden determinar mediante la tarea de solución de problemas o métodos manuales. A continuación se mencionan algunos problemas de sincronización habituales junto con sus correspondientes pasos de solución.

Problema 1. Ninguna de las contraseñas está sincronizada:

Este problema se puede solucionar siguiendo los pasos siguientes:

  1. Ejecute Windows PowerShell como administrador en el servidor de Azure AD Connect utilizando la opción Ejecutar como administrador.
  2. Ejecute Set-ExecutionPolicy RemoteSigned o Set-ExecutionPolicy Unrestricted.
  3. Inicie el asistente de Azure AD Connect.
  4. Vaya a Tareas adicionales > Solucionar problemas y pulse en Siguiente.
  5. En la página Solución de problemas, pulse en Iniciar para abrir el menú de solución de problemas en PowerShell.
  6. En el menú principal, seleccione Solucionar problemas de sincronización de hash de contraseña.
  7. En el submenú, seleccione La sincronización de hash de contraseña no funciona en absoluto.

A continuación se muestra la lista de errores que pueden surgir una vez realizados los pasos anteriores:

  1. La sincronización de hash de contraseña no está habilitada

    how-to-troubleshoot-password-hash-sync-with-azure-ad-1

    Este error aparece si la sincronización de hash de contraseña no se ha habilitado con el asistente de Azure AD Connect.

  2. La sincronización de hash de contraseña no funciona en el modo de ensayo

    how-to-troubleshoot-password-hash-sync-with-azure-ad-2

    Este error puede aparecer si el servidor de Azure AD Connect está en modo de ensayo y, como resultado, la sincronización de hash de contraseña está deshabilitada temporalmente.

  3. Este error puede aparecer si el servidor de Azure AD Connect está en modo de ensayo y, como resultado, la sincronización de hash de contraseña está deshabilitada temporalmente.

    how-to-troubleshoot-password-hash-sync-with-azure-ad-3

    Cada conector de la implementación local de Active Directory tiene su propio canal de sincronización de hash de contraseña. Cuando se crea un canal de sincronización de hash de contraseña y no hay cambios de contraseña para sincronizar, se genera una señal de control cada 30 minutos en el registro de eventos de la aplicación Windows. El cmdlet busca señales de control para cada conector de AD correspondientes a las tres últimas horas; si no se encuentra ninguna señal de control, se devuelve este error.

  4. La cuenta del conector de AD tuvo un problema de permiso de sincronización de contraseña para el dominio en:

    how-to-troubleshoot-password-hash-sync-with-azure-ad-4

    Si la cuenta de dominio que usa el conector de AD para sincronizar los valores hash de contraseña no tiene los permisos necesarios, se devuelve este error.

  5. El agente de sincronización de contraseñas no pudo resolver un controlador de dominio en el dominio situado en:

    how-to-troubleshoot-password-hash-sync-with-azure-ad-5

    Si la cuenta de dominio utilizada por el conector de Active Directory para sincronizar los valores hash de contraseña tiene un nombre de usuario o una contraseña incorrectos, se devuelve el error.

Problema 2: Uno de los objetos no está sincronizando contraseñas

Este problema se puede resolver de la manera siguiente:

  1. Ejecute Windows PowerShell como administrador en el servidor de Azure AD Connect utilizando la opción Ejecutar como administrador.
  2. Ejecute Set-ExecutionPolicy RemoteSigned o Set-ExecutionPolicy Unrestricted.
  3. Inicie el asistente de Azure AD Connect.
  4. Vaya a A Tareas adicionales > Solucionar problemas , y pulse en Siguiente.
  5. En la página Solución de problemas, pulse en Iniciar para abrir el menú de solución de problemas en PowerShell.
  6. En el menú principal, seleccione Solucionar problemas de sincronización de hash de contraseña.
  7. En el submenú, seleccione La sincronización de hash de contraseña no funciona en absoluto.
  8. Escriba la información solicitada sobre el objeto que no se está sincronizando.

Puede surgir cualquiera de los errores siguientes errores al entrar la información.

  1. El objeto situado en el espacio del conector AAD no se ha exportado todavía. Esta contraseña no se debe sincronizar. El objeto de espacio del conector AAD de destino tiene un error de exportación.

    how-to-troubleshoot-password-hash-sync-with-azure-ad-6

    Este error se produce porque no hay ningún objeto correspondiente para este objeto de dominio de AD en el espacio empresarial de Azure AD. Esto podría suceder si el objeto no se ha exportado, por lo que no se pudo sincronizar el hash de contraseña para este objeto.

  2. Se establece la contraseña y está habilitada la opción "El usuario debe cambiar la contraseña en el próximo inicio de sesión". Las contraseñas temporales no se deben sincronizar.

    how-to-troubleshoot-password-hash-sync-with-azure-ad-7

    Este error ocurre si se ha habilitado la opción 'El usuario debe cambiar la contraseña en el próximo inicio de sesión'.

  3. El agente de sincronización de hash de contraseña no tiene ningún historial de cambio de contraseña para el objeto especificado. El historial de contraseñas se elimina una vez a la semana.

    how-to-troubleshoot-password-hash-sync-with-azure-ad-8

    Azure AD Connect almacena los resultados de los intentos de sincronización de hash de contraseña sobre un objeto durante un máximo de siete días. Si no hay resultados disponibles para el objeto de Active Directory seleccionado, se devuelve el aviso anterior.

Los pasos anteriores son solo para solucionar estos problemas mediante la tarea de resolución de problemas. Para hacer un resolución de problemas manual cpulse aquí.

Configurar la sincronización de hash de contraseña de Azure AD Connect es un proceso complejo. Su configuración y solución de problemas entraña múltiples pasos y comandos. ADSelfService Plus, una solución de inicio de sesión único y administración de contraseñas de autoservicio de Active Directory, ofrece una función de sincronización de contraseñas para sincronizar contraseñas entre AD y Azure AD. Habilitar esta función trae consigo los pasos mínimos mostrados a continuación.

Requisitos previos

Antes de configurar la sincronización de contraseñas para Office 365 o Azure, debe instalar el módulo de Windows Azure AD para Windows PowerShell en el servidor en el que se implementa ADSelfService Plus.

Importante: Instale el Agente de sincronización de contraseñas para sincronizar los cambios y restablecimientos de contraseñas nativos.

Pasos para habilitar la sincronización de contraseñas entre AD y Azure AD mediante ADSelfService Plus:

  • nicie sesión en la consola de administración de ADSelfService Plus con credenciales de administrador.
  • Acceda a Aplicación > Agregar nueva aplicación..
  • Seleccione la aplicación de cuentas de Office 365 / Azure..
  • Escriba el ANombre de aplicación y la Descripción.
  • Escriba el Nombre de dominio de su cuenta de Office 365 / Azure.
  • En el campo Asignar directivass, seleccione las directivas para las que se debe habilitar la sincronización de contraseñas.

Nota: ADSelfService Plus le permite crear directivas basadas en grupos y unidades organizativas para sus dominios de AD. Para crear una directiva, acceda a Configuración > Autoservicio > Configuración de directivas > Agregar nueva directiva. Solo las cuentas de usuario que se encuentran bajo estas directivas pueden tener sus contraseñas sincronizadas con Azure AD.

  • Seleccione la opción Habilitar sincronización de contraseñas.
  • Escriba el Nombre de usuario y la Contraseña de la cuenta de Office 365 / Azure.
  • Pulse en Agregar aplicación.

Beneficios de la sincronización de contraseñas mediante ADSelfService Plus:

  1. Sincronización de contraseñas con las principales aplicaciones empresariales, tales como Azure AD/Office 365, AD LDS, Salesforce.
  2. Sincronice directivas de contraseña personalizadas creadas con la función Password Policy Enforcer.
  3. Sincronice los restablecimientos de contraseña nativos realizados desde la consola "Usuarios y equipos" de Active Directory y los cambios de contraseña realizados en la pantalla Ctrl+Alt+Supr.
  4. Habilite la sincronización de contraseñas para usuarios pertenecientes a unidades organizativas y grupos determinados

Proteja las identidades de los usuarios con la autenticación multifactor (MFA)

  Obtenga una prueba gratuita