Solución de problemas de conectividad de Microsoft Entra Connect
Este artículo explica cómo funciona la conectividad entre Microsoft Entra Connect y Microsoft Entra ID y cómo solucionar problemas de conectividad. Estas incidencias suelen aparecer en un entorno que usa un servidor proxy.
Incidencias de conectividad en el Asistente para instalación
Microsoft Entra Connect usa la Biblioteca de autenticación de Microsoft (MSAL) para la autenticación. El Asistente para instalación y el motor de sincronización requieren machine.config para configurarse correctamente ya que se trata de dos aplicaciones. NET.
Nota
Azure AD Connect v1.6.xx.x usa la Biblioteca de autenticación de Active Directory (ADAL). ADAL está entrando en desuso y el soporte técnico finalizará en junio de 2022. Se recomienda actualizar a la versión más reciente de Microsoft Entra Connect v2.
En este artículo se explica cómo Fabrikam se conecta a Microsoft Entra ID a través de su servidor proxy. El servidor proxy recibe el nombre fabrikamproxy y usa el puerto 8080.
En primer lugar, asegúrese de que machine.config está configurado correctamente y de que el servicio de sincronización de Microsoft Entra ID se ha reiniciado después de la actualización del archivo machine.config.
Nota:
Algunos blogs que no son de Microsoft indican que debe realizar cambios en miiserver.exe.config en lugar de en el archivo machine.config. Sin embargo, el archivo miiserver.exe.config se sobrescribe en cada actualización. Incluso si el archivo funciona durante la instalación inicial, el sistema deja de funcionar durante la primera actualización. Por ese motivo, se recomienda actualizar machine.config como se describe en este artículo.
El servidor proxy también debe tener abiertas las direcciones URL necesarias. La lista oficial está documentada en direcciones URL de Office 365 e intervalos de direcciones IP.
De estas direcciones URL, las que aparecen en la siguiente tabla son el mínimo necesario para poder conectarse a Microsoft Entra ID. Esta lista no incluye características opcionales, como la escritura diferida de contraseñas ni Microsoft Entra Connect Health. La información se proporciona aquí para ayudar con la solución de problemas de la configuración inicial.
| URL | Port | Descripción |
|---|---|---|
mscrl.microsoft.com |
HTTP/80 | Se usa para descargar listas de lista de revocación de certificados (CRL). |
*.verisign.com |
HTTP/80 | Se usa para descargar listas CRL. |
*.entrust.net |
HTTP/80 | Se usa para descargar listas CRL para la autenticación multifactor (MFA). |
*.management.core.windows.net (Azure Storage)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | Se usa para los distintos servicios de Azure. |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | Se utiliza para MFA. |
*.microsoftonline.com |
HTTPS/443 | Se utiliza para configurar el directorio de Microsoft Entra, y para importar y exportar datos. |
*.crl3.digicert.com |
HTTP/80 | Se usa para comprobar los certificados. |
*.crl4.digicert.com |
HTTP/80 | Se usa para comprobar los certificados. |
*.digicert.cn |
HTTP/80 | Se usa para comprobar los certificados. |
*.ocsp.digicert.com |
HTTP/80 | Se usa para comprobar los certificados. |
*.www.d-trust.net |
HTTP/80 | Se usa para comprobar los certificados. |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | Se usa para comprobar los certificados. |
*.crl.microsoft.com |
HTTP/80 | Se usa para comprobar los certificados. |
*.oneocsp.microsoft.com |
HTTP/80 | Se usa para comprobar los certificados. |
*.ocsp.msocsp.com |
HTTP/80 | Se usa para comprobar los certificados. |
Errores en el asistente
El Asistente para instalación usa dos contextos de seguridad diferentes. En la página Conectar a Microsoft Entra ID , utiliza el usuario que ha iniciado la sesión actual. En la página Configurar, se cambia a la cuenta que está ejecutando el servicio del motor de sincronización. Si se produce una incidencia, lo más probable es que el error aparezca en la página Conectar a Microsoft Entra ID en el asistente, porque la configuración del proxy es global.
Las siguientes incidencias son los errores más comunes que se puede encontrar en el Asistente para instalación.
El Asistente para instalación no se ha configurado correctamente
Este error aparece cuando el propio asistente no puede establecer conexión con el proxy.
Si aparece este error, compruebe si el archivo machine.config se ha configurado correctamente. Si machine.config es correcto, complete los pasos descritos en Comprobación de la conectividad de proxy para ver si la incidencia está presente también fuera del asistente.
Se usa una cuenta Microsoft
Si utiliza una cuenta Microsoft en lugar de una cuenta educativa o de organización, aparece un error genérico:
No se puede alcanzar el punto de conexión de MFA
Aparece este error si no se puede establecer comunicación con el punto de conexión https://secure.aadcdn.microsoftonline-p.com y el administrador de identidad híbrida tiene MFA habilitado.
Si ve este error, verifique si el punto de conexión secure.aadcdn.microsoftonline-p.com se ha agregado al proxy.
No se puede comprobar la contraseña
Si el asistente para instalación se conecta correctamente a Microsoft Entra ID, pero la contraseña no se puede comprobar, aparece este error:
¿Es la contraseña una contraseña temporal que se debe cambiar? ¿Es realmente la contraseña correcta? Pruebe a iniciar sesión en https://login.microsoftonline.com en otro equipo que no sea el del servidor de Microsoft Entra Connect y compruebe que la cuenta se puede utilizar.
Comprobación de la conectividad de proxy
Para comprobar si el servidor de Microsoft Entra Connect se conecta al proxy e Internet, use algunos cmdlets de PowerShell para ver si el proxy permite solicitudes web. En PowerShell, ejecute Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc. (Técnicamente, la primera llamada es a https://login.microsoftonline.com y este identificador URI funciona también, pero el otro identificador URI responde más rápido).
PowerShell usa la configuración de machine.config para establecer conexión con el proxy. La configuración de winhttp/netsh no debería afectar a estos cmdlets.
Si el proxy está configurado correctamente, aparece un estado correcto:
Si ve el mensaje No es posible conectar con el servidor remoto, PowerShell está intentando realizar una llamada directa sin utilizar el proxy o DNS no está configurado correctamente. Asegúrese de que el archivo machine.config está configurado correctamente.
Si el proxy no está configurado correctamente, aparece un mensaje de error 403 o 407:
En la tabla siguiente se describen los errores de proxy 403 y 407:
| Error | Texto del error | Comentario |
|---|---|---|
| 403 | Prohibido | No se abrió el servidor proxy para la dirección URL solicitada. Revise la configuración del proxy y asegúrese de que las direcciones URL estén abiertas. |
| 407 | Se requiere autenticación del proxy | El servidor proxy requiere un inicio de sesión y no se ha proporcionado. Si el proxy requiere autenticación, asegúrese de que ha configurado esta opción en el archivo machine.config. Asegúrese también de que usa cuentas de dominio para el usuario que ejecuta el asistente y para la cuenta de servicio. |
Configuración del tiempo de espera de inactividad del proxy
Cuando Microsoft Entra Connect envía una solicitud de exportación a Microsoft Entra ID, este puede tardar hasta 5 minutos en procesar la solicitud antes de generar una respuesta. Es especialmente probable que la respuesta se retrase si muchos objetos de grupo que tienen pertenencias a grupos grandes se incluyen en la misma solicitud de exportación. Asegúrese de que el tiempo de espera de inactividad del proxy está configurado para que sean más de 5 minutos. De lo contrario, es posible que tenga problemas de conectividad intermitentes con Microsoft Entra ID en el servidor de Microsoft Entra Connect.
Patrón de comunicación entre Microsoft Entra Connect y Microsoft Entra ID
Si ha seguido todos los pasos descritos en este artículo y aún no puede conectarse, en este momento podría examinar los registros de red. En esta sección se describe un patrón de conectividad normal y correcta.
Pero, en primer lugar, estas son algunas preocupaciones comunes sobre los datos de los registros de red que puede omitir:
- Hay llamadas a
https://dc.services.visualstudio.com. No es necesario tener abierta esta dirección URL en el proxy para que la instalación se realice correctamente y estas llamadas pueden ignorarse. - Verá que la resolución DNS enumera los hosts reales como si estuvieran en el espacio de nombres DNS
nsatc.nety otros espacios de nombres que no están enmicrosoftonline.com. Sin embargo, no hay ninguna solicitud de servicio web en los nombres de servidor reales. No es necesario agregar estas direcciones URL al proxy. - Los puntos de conexión
adminwebserviceyprovisioningapison los puntos de conexión de detección y se usan para buscar el punto de conexión real que se usará. Estos puntos de conexión difieren en función de la región.
Registros de proxy de referencia
El ejemplo siguiente es un volcado de un registro de proxy real y la página del asistente para instalación desde la que se tomó (se quitaron las entradas duplicadas al mismo punto de conexión). Esta sección se puede usar como referencia para su propio proxy y los registros de red. Los puntos de conexión reales pueden variar en su entorno (en concreto, las direcciones URL que están en cursiva).
Conectar a Microsoft Entra ID
| Time | URL |
|---|---|
| 11/1/2016 8:31 | connect:/login.microsoftonline.com:443 |
| 11/1/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
| 11/1/2016 8:32 | connect://bba800-anchor.microsoftonline.com:443 |
| 11/1/2016 8:32 | connect://login.microsoftonline.com:443 |
| 11/1/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
| 11/1/2016 8:33 | connect://bwsc02-relay.microsoftonline.com:443 |
Configuración
| Time | URL |
|---|---|
| 11/1/2016 8:43 | connect://login.microsoftonline.com:443 |
| 11/1/2016 8:43 | connect://bba800-anchor.microsoftonline.com:443 |
| 11/1/2016 8:43 | connect://login.microsoftonline.com:443 |
| 11/1/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 11/1/2016 8:44 | connect://bba900-anchor.microsoftonline.com:443 |
| 11/1/2016 8:44 | connect://login.microsoftonline.com:443 |
| 11/1/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 11/1/2016 8:44 | connect://bba800-anchor.microsoftonline.com:443 |
| 11/1/2016 8:44 | connect://login.microsoftonline.com:443 |
| 11/1/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
| 11/1/2016 8:46 | connect://bwsc02-relay.microsoftonline.com:443 |
Sincronización inicial
| Time | URL |
|---|---|
| 11/1/2016 8:48 | connect://login.windows.net:443 |
| 11/1/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
| 11/1/2016 8:49 | connect://bba900-anchor.microsoftonline.com:443 |
| 11/1/2016 8:49 | connect://bba800-anchor.microsoftonline.com:443 |
Errores de autenticación
Esta sección se tratan los errores que pueden ser devueltos por ADAL y PowerShell. La explicación del error debería ayudarlo a identificar sus próximos pasos.
Concesión no válida
Escribió un nombre de usuario o una contraseña no válidos. Para más información, consulte No se puede comprobar la contraseña.
Tipo de usuario desconocido
No se encuentra o no se puede resolver el directorio de Microsoft Entra. ¿Puede ser que intentara iniciar sesión con un nombre de usuario en un dominio sin comprobar?
Error de detección de dominio kerberos de usuario
Problemas de configuración de red o proxy. No se puede establecer conexión con la red. Consulte Incidencias de conectividad en el Asistente para instalación.
Contraseña de usuario expirada
Las credenciales han expirado. Cambie la contraseña.
Error de autorización
Microsoft Entra Connect no pudo autorizar al usuario para realizar una acción en Microsoft Entra ID.
Autenticación cancelada
Se canceló el desafío de MFA.
Error en la conexión a MSOnline
La autenticación fue correcta, pero Azure AD PowerShell tiene un problema de autenticación.
Se requiere el rol Administrador global de Microsoft Entra
El usuario se autenticó correctamente, pero el usuario no tiene asignado el rol Administrador global. Puede asignar el rol Administrador global al usuario.
Privileged Identity Management habilitado
La autenticación se realizó correctamente, pero Privileged Identity Management se ha habilitado y el usuario no es actualmente un administrador de identidad híbrida. Para más información, vea Introducción a Privileged Identity Management.
Información de la empresa no disponible
La autenticación se ha realizado correctamente, pero no se ha podido recuperar la información de la empresa de Microsoft Entra ID.
Información del dominio no disponible
La autenticación se ha realizado correctamente, pero no se ha podido recuperar la información del dominio de Microsoft Entra ID.
Error de autenticación no especificado
Se muestra como Error inesperado en el Asistente para instalación. Este error puede producirse si intenta usar una cuenta Microsoft en lugar de una cuenta educativa o de organización.
Pasos para solucionar problemas de versiones anteriores
En las versiones a partir del número de compilación 1.1.105.0 (publicado en febrero de 2016) se ha retirado el Ayudante para el inicio de sesión. La configuración del asistente de inicio de sesión ya no debe ser necesaria, pero la información de las secciones siguientes se incluye como referencia.
Para que el asistente de inicio de sesión único funcione, se deben configurar los servicios HTTP de Microsoft Windows (WinHTTP). Puede configurar WinHTTP mediante netsh.
El asistente de inicio de sesión no está configurado correctamente
Este error aparece cuando el ayudante para el inicio de sesión no puede conectar con el proxy o este no permite la solicitud.
Si ve este error, examine la configuración del proxy en netsh y compruebe que es correcta.
Si la configuración del proxy es correcta, complete los pasos descritos en Comprobación de la conectividad de proxy para ver si la incidencia se produce fuera del asistente.
Pasos siguientes
Más información sobre la integración de las identidades locales con Microsoft Entra ID.