Solución de problemas de sincronización de contraseñas al usar un dispositivo de sincronización de Azure AD
Este artículo le ayuda a solucionar problemas comunes que puede encontrar al sincronizar contraseñas del entorno local con Microsoft Entra ID mediante Microsoft Entra Connect.
Versión del producto original: Cloud Services (roles web/roles de trabajo), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Número de KB original: 2855271
Nota:
¿Le resultó útil este artículo? Su opinión es importante para nosotros. Use el botón Comentarios de esta página para indicarnos lo bien que ha funcionado este artículo o cómo podemos mejorarlo.
Antes de empezar a solucionar problemas
Antes de realizar los pasos de solución de problemas, asegúrese de que tiene instalada la versión más reciente de Microsoft Entra Connect.
Además, asegúrese de que la sincronización de directorios está en un estado correcto. Para obtener más información, consulte Solución de problemas de sincronización de objetos con Microsoft Entra Connect Sync.
Algunos usuarios no pueden iniciar sesión en Office 365, Azure o Microsoft Intune
En este escenario, las contraseñas de la mayoría de los usuarios parecen estar sincronizando. Sin embargo, hay algunos usuarios cuyas contraseñas parecen no sincronizarse. A continuación se muestran escenarios en los que un usuario no puede iniciar sesión en un servicio en la nube de Microsoft, como Office 365, Azure o Intune.
Escenario 1: La casilla "El usuario debe cambiar la contraseña en el siguiente inicio de sesión" está seleccionada para la cuenta del usuario.
Para resolver este problema, siga estos pasos:
- Realice una de las acciones siguientes:
- En las propiedades de la cuenta de usuario de Usuarios y equipos de Active Directory, desactive la casilla User must change password at next logon (El usuario debe cambiar la contraseña en el siguiente inicio de sesión).
- Hacer que el usuario cambie su contraseña de cuenta de usuario local.
- Habilite la característica ForcePasswordChangeOnLogOn en el servidor de Microsoft Entra Connect.
- Espere unos minutos a que el cambio se sincronice entre el Active Directory local Servicios de dominio (AD DS) y Microsoft Entra ID.
Escenario 2: El usuario cambió su contraseña en el portal de servicios en la nube
Para resolver este problema, siga estos pasos:
- Hacer que el usuario cambie su contraseña de cuenta de usuario local.
- Espere unos minutos a que el cambio se sincronice entre AD DS local y Microsoft Entra ID.
Escenario 3: Algunos usuarios no parecen estar sincronizados con Microsoft Entra ID
Las posibles causas son nombres de usuario duplicados o direcciones de correo electrónico.
Para resolver este problema, use idFix DirSync Error Remediation Tool (IdFix) para ayudar a identificar posibles problemas relacionados con objetos en ad DS local. Puede instalar IdFix en el siguiente sitio web de Microsoft: IdFix DirSync Error Remediation Tool
Para obtener más información sobre cómo solucionar este problema, consulte Uno o varios objetos no se sincronizan al usar la herramienta de sincronización de Azure Active Directory.
Escenario 4: Los usuarios se mueven entre ámbitos filtrados y sin filtrar
En este escenario, el usuario se mueve a un ámbito que ahora permite sincronizar al usuario. Puede ser cuando se configura el filtrado para dominios, unidades organizativas o atributos.
Para resolver este problema, consulte la sección Cómo realizar una sincronización de contraseña completa .
Escenario 5: Los usuarios no pueden iniciar sesión con una nueva contraseña, pero pueden iniciar sesión con su contraseña anterior
En este escenario, usará el servicio Sincronización de Azure AD junto con la sincronización de contraseñas. Después de deshabilitar y volver a habilitar la sincronización de directorios, los usuarios no pueden iniciar sesión con una nueva contraseña. Sin embargo, su contraseña antigua sigue funcionando.
Para resolver este problema, vuelva a habilitar la sincronización de contraseñas. Para ello, inicie el Asistente para configuración del dispositivo de sincronización de Azure AD y, a continuación, continúe por las pantallas hasta que vea la opción para habilitar la sincronización de contraseñas.
Escenario 6: Los usuarios no pueden iniciar sesión con su contraseña
En este escenario, el hash de contraseña no se sincroniza correctamente con el servicio Sincronización de Azure AD. Si la cuenta de usuario se creó en Active Directory que se ejecuta en una versión de Windows Server anterior a Windows Server 2003, la cuenta no tiene un hash de contraseña.
Se está ejecutando la sincronización de directorios, pero no se sincronizan las contraseñas de todos los usuarios.
En este escenario, las contraseñas de todos los usuarios parecen no sincronizarse. Normalmente se produce si se cumple una de las condiciones siguientes:
- No se ha seleccionado la casilla Sincronizar ahora .
- Ha habilitado la sincronización de contraseñas después de que ya se haya producido la sincronización de directorios.
- Todavía no se ha completado una sincronización de directorio completa.
Importante
La sincronización de contraseñas no se iniciará hasta que se complete una sincronización de directorio completa.
Para resolver este problema, primero asegúrese de habilitar la sincronización de contraseñas. Para ello, inicie el Asistente para configuración del dispositivo de sincronización de Azure AD y, a continuación, continúe por las pantallas hasta que vea la opción para habilitar la sincronización de contraseñas.
Una vez habilitada la sincronización de contraseñas, debe realizar una sincronización de contraseña completa. Consulte la sección Cómo realizar una sincronización de contraseña completa.
Para obtener más información, consulte Solución de problemas de sincronización de hash de contraseñas con Microsoft Entra Connect Sync.
Solución de problemas de un usuario cuya contraseña no está sincronizada
Para solucionar este problema, consulte Solución de problemas de sincronización de hash de contraseñas con Microsoft Entra Connect Sync.
Va a cambiar de una solución de inicio de sesión único (SSO) a sincronización de contraseñas.
Para resolver este problema, consulte Cómo cambiar de Single Sign-On a Password Sync.
Mensajes de identificador de evento en Visor de eventos
En las tablas siguientes se enumeran los mensajes de identificador de evento en el registro de aplicaciones relacionados con la sincronización de contraseñas.
Informativo (no se requiere ninguna acción)
| Id. de evento | Descripción | Causa |
|---|---|---|
| 622 | Sincronización de hash de contraseña completa completada para el dominio: contoso.local | El ciclo de sincronización de contraseñas completa termina de recuperar las contraseñas recientes del dominio de AD DS local. |
| 623 | Sincronización de hash de contraseña completa completada para el bosque: contoso.local | El ciclo de sincronización de contraseñas completa termina de recuperar las contraseñas recientes del bosque de AD DS local. |
| 650 | Inicio del lote de aprovisionamiento de credenciales. Recuento: 1 | La sincronización de contraseñas comienza a recuperar contraseñas actualizadas de AD DS local. |
| 651 | Aprovisione el final del lote de credenciales. Recuento: 1 | La sincronización de contraseñas finaliza la recuperación de contraseñas actualizadas de AD DS local. |
| 653 | Inicio de ping de aprovisionamiento de credenciales. | La sincronización de contraseñas comienza a informar Microsoft Entra ID que no hay contraseñas que sincronizar. Se produce cada 30 minutos si no se ha actualizado ninguna contraseña en AD DS local. |
| 654 | Aprovisionamiento de credenciales ping end. | La sincronización de contraseñas termina de informar a Microsoft Entra ID de que no hay contraseñas que sincronizar. Se produce cada 30 minutos si no se ha actualizado ninguna contraseña en AD DS local. |
| 656 | Solicitud de cambio de contraseña: Delimitador: H552hI9GwEykZwosf74JeOQ==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Change Date: 05/01/2013 16:34:08 | La sincronización de contraseñas indica que se ha detectado un cambio de contraseña e intenta sincronizarlo con Microsoft Entra ID. Identifica al usuario o a los usuarios cuya contraseña ha cambiado y se sincronizará. Cada lote contiene al menos un usuario y como máximo 50 usuarios. |
| 657 | Resultado del cambio de contraseña: delimitador: eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result : Success. | Usuarios cuya contraseña se ha sincronizado correctamente. |
| 657 | Resultado del cambio de contraseña: Delimitador: eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result : Failed. | Usuarios cuya contraseña no se sincronice. |
Informativo (puede requerir acción)
| Id. de evento | Descripción | Causa | Más información |
|---|---|---|---|
| 0 | Los siguientes cambios de contraseña no se sincronizaron y se han programado para reintento. DN = CN=Eli McLean,OU=Cloud Objects,DC=contoso,DC=local |
Usuario o usuarios cuya contraseña no se sincronice | Configuración de la sincronización de directorios Uno o varios objetos no se sincronizan al usar la herramienta azure active directory sync |
| 115 | Se ha denegado el acceso a Windows Azure Active Directory. Póngase en contacto con soporte técnico. | Microsoft Entra credenciales se actualizaron a través de Forefront Identity Manager (FIM). | Vuelva a ejecutar el Asistente para configuración de Microsoft Entra. Consulte Sincronización de hash de contraseñas que deja de funcionar después de actualizar Microsoft Entra credenciales en FIM. |
| 657 | Resultado del cambio de contraseña: Delimitador: B0H+OD3LM0GEnYODwdPhpg==, Resultado : error, Error extendido : | Usuario o usuarios cuya contraseña no se sincronice | Configuración de la sincronización de directorios Uno o varios objetos no se sincronizan al usar la herramienta azure active directory sync |
Error (acción necesaria)
| Id. de evento | Descripción | Causa | Más información |
|---|---|---|---|
| 0 | El nombre de usuario o la contraseña son incorrectos. Compruebe el nombre de usuario y vuelva a escribir la contraseña. | Microsoft Entra credenciales se actualizaron a través de Forefront Identity Manager (FIM). | Vuelva a ejecutar el Asistente para configuración de Microsoft Entra. Consulte Sincronización de hash de contraseñas que deja de funcionar después de actualizar Microsoft Entra credenciales en FIM. |
| 611 | Error de sincronización de contraseñas para el dominio: Contoso.com.Microsoft.Online.PasswordSynchronization.SynchronizationManagerException: error de la tarea de recuperación. >--- Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: Error 8439 de RPC: el nombre distintivo especificado para esta operación de replicación no es válido. Se produjo un error al llamar a _IDL_DRSGetNCChanges. |
Los controladores de dominio de Windows Server 2003 controlan ciertos escenarios de forma inesperada. | La sincronización de hash de contraseñas para Microsoft Entra ID deja de funcionar y se registra el identificador de evento 611 |
| 611 | Error de sincronización de contraseñas para el dominio: Contoso.com.Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: Error 8593 de RPC: el servicio de directorio no puede realizar la operación solicitada porque los servidores implicados son de diferentes épocas de replicación (que normalmente están relacionados con un nombre de dominio que está en curso). |
Era un problema conocido que se corrigió en la compilación 1.0.6455.0807 de la herramienta Azure Active Directory Sync. | Para resolver este problema, actualice a la versión más reciente de la herramienta Azure Active Directory Sync. |
| 611 | Error en la sincronización de contraseñas para el dominio: Contoso.comSystem.ArgumentOutOfRangeException: No es un Win32 válido |
Era un problema conocido que se corrigió en la compilación 1.0.6455.0807 de la herramienta Azure Active Directory Sync. | Para resolver este problema, actualice a la versión más reciente de la herramienta Azure Active Directory Sync. |
| 611 | Error de sincronización de contraseñas para el dominio: Contoso.com.System.ArgumentException: ya se ha agregado un elemento con la misma clave. |
Era un problema conocido que se corrigió en la compilación 1.0.6455.0807 de la herramienta Azure Active Directory Sync. | Para resolver este problema, actualice a la versión más reciente de la herramienta Azure Active Directory Sync. |
| 652 | Error al aprovisionar el lote de credenciales. Error: Microsoft.Online.Coexistence.ProvisionException: Error. Código de error: 90. Descripción del error: la sincronización de contraseñas no se ha activado para esta empresa. Id. de seguimiento: 07e93e8a-cf2d-4f67-9e95-53169c4875e0 Nombre del servidor: BL2GR1BBA003. >--- System.ServiceModel.FaultException1[Microsoft.Online.Coexistence.Schema.AdminWebServiceFault]: La sincronización de contraseñas no se ha activado para esta empresa. (El detalle de error es igual a Microsoft.Online.Coexistence.Schema.AdminWebServiceFault). | Error en la sincronización de contraseñas al recuperar contraseñas actualizadas de AD DS local. | Configuración de la sincronización de directorios Uno o varios objetos no se sincronizan al usar la herramienta azure active directory sync |
| 652 | Error al aprovisionar el lote de credenciales. Error: Microsoft.Online.Coexistence. ProvisionRetryException: error. Código de error: 81. Descripción del error: Windows Azure Active Directory está ocupado actualmente. Esta operación se volverá a intentar automáticamente. | Era un problema conocido que se corrigió en la compilación 1.0.6455.0807 de la herramienta Azure Active Directory Sync. | Para resolver este problema, actualice a la versión más reciente de la herramienta Azure Active Directory Sync. |
| 655 | Ping de aprovisionamiento de credenciales con errores. Error: Microsoft.Online.Coexistence.ProvisionException: Error. Código de error: 90. Descripción del error: la sincronización de contraseñas no se ha activado para esta empresa. Identificador de seguimiento: 0744fa31-1d9b-453a-83d8-c2555d843802 Nombre del servidor: BL2GR1BBA005. >--- System.ServiceModel.FaultException1[Microsoft.Online.Coexistence.Schema.AdminWebServiceFault]: La sincronización de contraseñas no se ha activado para esta empresa. (El detalle de error es igual a Microsoft.Online.Coexistence.Schema.AdminWebServiceFault). | La sincronización de contraseñas no informó a Microsoft Entra ID de que no hay contraseñas que sincronizar. Se produce cada 30 minutos. | Configuración de la sincronización de directorios Uno o varios objetos no se sincronizan al usar la herramienta sincronización de Azure Active Directory |
| 655 | El nombre de usuario o la contraseña son incorrectos. Compruebe el nombre de usuario y vuelva a escribir la contraseña. | Microsoft Entra credenciales se actualizaron a través de FIM. | Vuelva a ejecutar el Asistente para configuración de Microsoft Entra. Consulte el siguiente artículo de Microsoft Knowledge Base: La sincronización de hash de contraseñas deja de funcionar después de actualizar Microsoft Entra credenciales en FIM. |
| 6900 | El servidor encontró un error inesperado al procesar una notificación de cambio de contraseña: "El nombre de usuario o la contraseña son incorrectos. Compruebe el nombre de usuario y vuelva a escribir la contraseña. |
Microsoft Entra credenciales se actualizaron a través de FIM. | Vuelva a ejecutar el Asistente para configuración de Microsoft Entra. Consulte el siguiente artículo de Microsoft Knowledge Base: La sincronización de hash de contraseñas deja de funcionar después de actualizar Microsoft Entra credenciales en FIM. |
| 6900 | El servidor encontró un error inesperado al procesar una notificación de cambio de contraseña: "Se produjo un error. Código de error: 90. Descripción del error: La sincronización de contraseñas no se ha activado para esta empresa |
La sincronización de contraseñas no está habilitada para la organización. | Consulte el siguiente artículo de Microsoft Knowledge Base: Las contraseñas de usuario no están sincronizadas y el error "Sincronización de contraseñas no se ha activado para esta empresa" se registra Visor de eventos |
Más información
Cómo realizar una sincronización de contraseña completa
Para realizar una sincronización de contraseña completa, siga estos pasos, según corresponda para el dispositivo de Sincronización de Azure AD que está usando.
Si usa la herramienta de sincronización de Azure Active Directory:
En el servidor donde está instalada la herramienta, abra PowerShell y ejecute el siguiente comando:
Import-Module DirSyncEjecute los comandos siguientes:
Set-FullPasswordSyncRestart-Service FIMSynchronizationService -Force
Si usa el servicio Sincronización de Azure AD o Microsoft Entra Connect, ejecute el script que se encuentra en esta página: Sincronización de Azure AD: Cómo usar PowerShell para desencadenar una sincronización de contraseña completa
Ponte en contacto con nosotros para obtener ayuda
Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de