Solución de problemas de autenticación transferida de Microsoft Entra

Este artículo le ayuda a encontrar información sobre la solución de problemas comunes relacionados con la autenticación transferida de Microsoft Entra.

Importante

Si tiene problemas de inicio de sesión de usuario con la autenticación transferida, no deshabilite la característica ni desinstale los agentes de autenticación de tránsito sin tener una cuenta de administrador global solo en la nube o una cuenta de administrador de identidad híbrida a la que recurrir. Información acerca de la incorporación de una cuenta de administrador global que está solo en la nube. Este paso es esencial y se asegura de no quedar bloqueado fuera de su inquilino.

Problemas generales

Comprobación de estado de la característica y de los agentes de autenticación

Asegúrese de que la característica de autenticación de paso a través sigue habilitada en su inquilino y de que el estado de los agentes de autenticación es activo y no inactivo. Puede comprobar el estado; para ello, vaya a la hojaMicrosoft Entra Connect en el Centro de administración de Microsoft Entra.

Screnshot shows Microsoft Entra admin center - Microsoft Entra Connect blade.

Screenhot shows Microsoft Entra admin center - Pass-through Authentication blade.

Mensajes de error de inicio de sesión para el usuario

Si el usuario no ha podido iniciar sesión con la autenticación de paso a través, puede ver uno de los siguientes errores para el usuario en la pantalla de inicio de sesión de Microsoft Entra:

Error Descripción Resolución
AADSTS80001 No es posible conectarse a Active Directory. Asegúrese de que los servidores del agente sean miembros del mismo bosque de AD que los usuarios cuyas contraseñas haya que validar y que pueden conectarse a Active Directory.
AADSTS80002 Se ha agotado el tiempo de espera al conectarse a Active Directory. Asegúrese de que Active Directory está disponible y responde a las solicitudes de los agentes.
AADSTS80004 El nombre de usuario transferido al agente no era válido. Asegúrese de que el usuario esté intentando iniciar sesión con el nombre de usuario correcto.
AADSTS80005 La validación encontró una excepción WebException impredecible Se trata de un error transitorio. Vuelva a intentarlo. Si el error no desaparece, póngase en contacto con el soporte técnico de Microsoft.
AADSTS80007 Error al establecer comunicación con Active Directory. Compruebe los registros del agente para más información y verifique que Active Directory está funcionando según lo previsto.

Los usuarios obtienen un error de nombre de usuario y contraseña no válidos

Esto puede ocurrir cuando el UserPrincipalName (UPN) local de un usuario es diferente del UPN de nube del usuario.

Para confirmar que este es el problema, primero compruebe que el agente de autenticación de paso a través funciona correctamente:

  1. Cree una cuenta de prueba.

  2. Importe el módulo de PowerShell en el equipo del agente:

    Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"
    
  3. Ejecute el comando Invoke de PowerShell:

    Invoke-PassthroughAuthOnPremLogonTroubleshooter 
    
  4. Cuando se le pida que escriba las credenciales, escriba el mismo nombre de usuario y contraseña que usa para iniciar sesión en https://login.microsoftonline.com.

Si recibe el mismo error de nombre de usuario y contraseña, significa que el agente de autenticación de paso a través funciona correctamente y el problema puede ser que el UPN local no sea enrutable. Para saber más, consulte Configuración del identificador de inicio de sesión alternativo.

Importante

Si el servidor de Microsoft Entra Connect no está unido a un dominio, lo cual es un requisito mencionado en Microsoft Entra Connect: requisitos previos, se produce el problema de nombre de usuario o contraseña no válidos.

Motivos del error de inicio de sesión en el Centro de administración de Microsoft Entra (se necesita una licencia Premium)

Si el inquilino tiene una licencia de Microsoft Entra ID P1 o P2 asociada, también puede buscar el informe actividad de inicio de sesión en el Centro de administración de Microsoft Entra.

Screenshot shows Microsoft Entra admin center - Sign-ins report,

Vaya a Microsoft Entra ID ->Inicios de sesión en el [Centro de administración de Microsoft Entra](https://portal.azure.com/) y haga clic en la actividad de inicio de sesión de un usuario específico. Busque el campo CÓDIGO DE ERROR DE INICIO DE SESIÓN. Busque la correspondencia entre el valor de ese campo y un motivo de error y la resolución en la siguiente tabla:

Código de error de inicio de sesión Motivo del error de inicio de sesión Resolución
50144 Ha expirado la contraseña de Active Directory del usuario. Restablezca la contraseña del usuario en Active Directory local.
80001 No hay ningún agente de autenticación disponible. Instale y registre un agente de autenticación.
80002 El tiempo de espera se agotó para la solicitud de validación de contraseña del agente de autenticación. Compruebe si Active Directory es accesible desde el agente de autenticación.
80003 El agente de autenticación recibió una respuesta no válida. Si el problema puede reproducirse habitualmente a través de varios usuarios, compruebe la configuración de Active Directory.
80004 Se usó un nombre principal de usuario (UPN) incorrecto en una solicitud de inicio de sesión. Pida al usuario que inicie sesión con el nombre de usuario correcto.
80005 Agente de autenticación: Se ha producido un error. Se trata de un error transitorio. Vuelva a intentarlo más tarde.
80007 El agente de autenticación no puede conectarse a Active Directory. Compruebe si Active Directory es accesible desde el agente de autenticación.
80010 El agente de autenticación no puede descifrar la contraseña. Si el problema se puede reproducir habitualmente, instale y registre un nuevo agente de autenticación. Después, desinstale el actual.
80011 El agente de autenticación no puede recuperar la clave de descifrado. Si el problema se puede reproducir habitualmente, instale y registre un nuevo agente de autenticación. Después, desinstale el actual.
80014 Solicitud de validación respondida después de que se supere el tiempo máximo transcurrido. El agente de autenticación agotó el tiempo de espera. Abra una incidencia de soporte técnico con el código de error, el identificador de correlación y la marca de tiempo para conocer más detalles sobre este error.

Importante

Para autenticar a los usuarios de Microsoft Entra, los agentes de autenticación de paso a través validan sus nombres de usuario y contraseñas en Active Directory mediante la llamada a la API LogonUser de Win32. Como resultado, si ha establecido la configuración de inicio de sesión en Active Directory para limitar el acceso de inicio de sesión de la estación de trabajo, tendrá que agregar también los servidores que hospedan los agentes de autenticación de paso a través a la lista de servidores de inicio de sesión. Si no lo hace, los usuarios no podrán iniciar sesión en Microsoft Entra ID.

Problemas de instalación del agente de autenticación

Se ha producido un error inesperado

Recopile los registros del agente en el servidor y póngase en contacto con el Soporte técnico de Microsoft para que le solucionen el problema.

Problemas de registro del agente de autenticación

No se pudo realizar el registro del agente de autenticación porque había puertos bloqueados

Asegúrese de que el servidor en el que se ha instalado el agente de autenticación puede comunicarse tanto con nuestras direcciones URL de servicio como con los puertos que se enumeran aquí.

No se puede registrar el agente de autenticación debido a errores de autorización de token o de cuenta

Asegúrese de usar una cuenta de administrador global solo en la nube o una cuenta de administrador de identidad híbrida para todas las operaciones de registro e instalación de Microsoft Entra Connect o del agente de autenticación independiente. Hay un problema conocido con las cuentas de administrador global habilitadas para MFA; desactive temporalmente MFA (solo para completar las operaciones) para proporcionar una solución alternativa.

Se ha producido un error inesperado

Recopile los registros del agente en el servidor y póngase en contacto con el Soporte técnico de Microsoft para que le solucionen el problema.

Problemas de desinstalación del agente de autenticación

Mensaje de advertencia al desinstalar Microsoft Entra Connect

Si la característica Autenticación transferida está habilitada en su inquilino e intenta desinstalar Microsoft Entra Connect, aparece el siguiente mensaje de advertencia: “Los usuarios no podrán iniciar sesión en Microsoft Entra ID, a menos que tenga otros agentes de autenticación de paso a través instalados en otros servidores”.

Para no interrumpir el inicio de sesión del usuario, es preciso tener una instalación de alta disponibilidad en vigor antes de desinstalar Microsoft Entra Connect.

Problemas con la habilitación de la característica

La característica no se pudo habilitar porque no había agentes de autenticación disponibles

Necesita tener al menos un agente de autenticación activo para habilitar la autenticación de paso a través en el inquilino. Puede instalar un agente de autenticación instaland Microsoft Entra Connect o un agente de autenticación independiente.

La característica no se habilitó porque había puertos bloqueados

Asegúrese de que el servidor en el que se ha instalado Microsoft Entra Connect puede comunicarse tanto con nuestras direcciones URL de servicio como con los puertos que se enumeran aquí.

No se puede realizar la habilitación de la característica debido a errores de autorización de cuenta o de token.

Asegúrese de que usa una cuenta de administrador global solo en la nube cuando habilite la característica. Hay un problema conocido con las cuentas de administrador global habilitadas para Multi-Factor Authentication (MFA); desactive temporalmente MFA (solo para completar la operación) para proporcionar una solución alternativa.

Recopilación de registros del agente de autenticación de autenticación de paso a través

En función del tipo de problema, es posible que tenga que buscar estos registros en distintos lugares.

Registros de Microsoft Entra Connect

Para ver los errores relacionados con la instalación, compruebe los registros de Microsoft Entra Connect en %ProgramData%\AADConnect\trace-*.log.

Registros de eventos del agente de autenticación

Para ver los errores relacionados con el agente de autenticación , abra la aplicación Visor de eventos en el servidor y consulte Application and Service Logs\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.

Para obtener un análisis detallado, habilite el registro "Sesión" (haga clic con el botón derecho en la aplicación Visor de eventos para encontrar esta opción). No ejecute el agente de autenticación con este registro habilitado durante las operaciones normales; úselo solo para solucionar problemas. Tenga en cuenta que el contenido del registro solo se ve cuando el registro se vuelve a deshabilitar.

Registros de seguimiento detallados

Para solucionar errores de inicio de sesión de los usuarios, busque los registros de seguimiento en %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\. Estos registros incluyen los motivos por los que un usuario concreto no pudo iniciar sesión mediante la característica Autenticación de paso a través. Estos errores también pueden hacerse corresponder con los motivos de errores de inicio de sesión mostrados en la tabla anterior. La siguiente es una entrada del registro de ejemplo:

    AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
        ThreadId=5
        DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ

Para obtener detalles descriptivos del error ("1328" en el ejemplo anterior), abra el símbolo del sistema y ejecute el siguiente comando (Nota: Reemplace '1328' por el número de error real que ve en los registros):

Net helpmsg 1328

Pass-through Authentication

Registros de inicio de sesión de autenticación transferida

Si están habilitados los registros de auditoría, se puede encontrar información adicional en los registros de seguridad del servidor de autenticación transferida. Una manera sencilla de consultar las solicitudes de inicio de sesión es filtrar los registros de seguridad mediante la consulta siguiente:

    <QueryList>
    <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
    </Query>
    </QueryList>

Contadores de Performance Monitor

Otra forma de supervisar a los agentes de autenticación consiste en realizar un seguimiento de los contadores específicos de Performance Monitor en cada servidor en que está instalado el agente de autenticación. Use los siguientes contadores globales ( # PTA authentications, #PTA failed authentications y #PTA successful authentications) y los contadores de errores ( # PTA authentication errors):

Pass-through Authentication Performance Monitor counters

Importante

La Autenticación de paso a través ofrece alta disponibilidad mediante la utilización de varios agentes de autenticación, pero no usa el equilibrio de carga. Según la configuración, no todos los agentes de autenticación reciben aproximadamente el mismo número de solicitudes. Es posible que un agente de autenticación específico no reciba ningún tráfico.