Preguntas más frecuentes sobre Microsoft Entra Connect

Instalación general

¿Cómo puedo reforzar mi servidor de Microsoft Entra Connect para reducir la superficie de ataque de seguridad?

Microsoft recomienda reforzar su servidor de Microsoft Entra Connect para reducir la superficie de ataque de seguridad para este componente esencial de su entorno de TI. Seguir estas recomendaciones disminuye los riesgos de seguridad para su organización.

• Implemente Microsoft Entra Connect en un servidor unido a un dominio y restrinja el acceso administrativo a los administradores del dominio o a otros grupos de seguridad rigurosamente controlados.

Para obtener más información, consulte:

• Protección de los grupos de administradores

• Protección de las cuentas predefinidas de administrador

• Mejora de la seguridad y el sostenimiento al reducir las superficies de ataque

• Reducción de la superficie de ataque de Active Directory

¿Funciona la instalación si el administrador de identidad híbrida de Microsoft Entra tiene habilitada la autenticación en dos fases (2FA)?

A partir de las compilaciones de febrero de 2016, se admite este escenario.

¿Existe alguna manera de instalar Microsoft Entra Connect de manera desatendida?

La instalación de Microsoft Entra Connect se admite solo cuando se usa el asistente para la instalación. No se admite una instalación silenciosa desatendida.

Tengo un bosque en el que no se puede establecer contacto con un dominio. ¿Cómo instalar Microsoft Entra Connect?

A partir de las compilaciones de febrero de 2016, se admite este escenario.

¿Funciona el agente de mantenimiento de Microsoft Entra Domain Services en Server Core?

Sí. Después de instalar el agente, puede completar el proceso de registro mediante el siguiente cmdlet de PowerShell:

Register-AzureADConnectHealthADDSAgent -Credentials $cred

¿Microsoft Entra Connect admite la sincronización de dos dominios a Microsoft Entra ID?

Sí, este escenario se admite. Consulte Varios dominios.

¿Se pueden tener varios conectores para el mismo dominio de Active Directory en Microsoft Entra Connect?

No, no se admiten varios conectores para el mismo dominio de AD.

¿Se puede mover la base de datos de Microsoft Entra Connect de la base de datos local a una instancia remota de SQL Server?

Sí, los pasos siguientes proporcionan instrucciones generales sobre cómo realizar este movimiento. Para obtener más información, vea Trasladar la base de datos de Microsoft Entra Connect de SQL Server Express a SQL Server remoto

1. Realice una copia de seguridad de la base de datos LocalDB ADSync. La manera más sencilla de realizar esta copia de seguridad es usar SQL Server Management Studio instalado en el mismo equipo que Microsoft Entra Connect. Conéctese a (LocalDb).\ADSync y, a continuación, realice una copia de seguridad de la base de datos ADSync.

2. Restaure la base de datos ADSync en la instancia remota de SQL Server.

3. Instale Microsoft Entra Connect en la instancia remota de base de datos SQL existente. En el artículo se muestra cómo migrar para usar una instancia local de SQL Database. Si va a migrar a mediante una base de datos SQL remota, en el paso 5 del proceso también debe escribir una cuenta de servicio existente que use el servicio Windows ADSync. Esta cuenta de servicio del motor de sincronización se describe aquí:

   Usar una cuenta de servicio existente: de forma predeterminada, Microsoft Entra Connect usa una cuenta de servicio virtual para que la usen los servicios de sincronización. Para la instancia remota de SQL Server o un proxy web con autenticación, use una cuenta de servicio administrada o una cuenta de servicio en el dominio. En esos casos, especifique la cuenta que se va a usar. Asegúrese de que los usuarios que ejecuten la instalación sean administradores del sistema de SQL para que se pueden crear credenciales de inicio de sesión para la cuenta de servicio. Para más información, consulte Cuentas y permisos de Microsoft Entra Connect.

   Con la compilación más reciente, el administrador de SQL puede aprovisionar la base de datos y conceder al administrador de Microsoft Entra Connect derechos de propietario de la base de datos para instalar el producto. Para obtener más información, consulte Instalación de Microsoft Entra Connect con permisos de administrador delegado de SQL.

Para simplificar las cosas, se recomienda que los usuarios que instalen Microsoft Entra Connectto tengan derechos de administrador del sistema en SQL. Sin embargo, con las últimas compilaciones se pueden usar administradores de SQL delegados, como se describe en Instalación de Microsoft Entra Connect con permisos de administrador delegado de SQL.

¿Cuáles son algunos de los procedimientos recomendados del campo?

El siguiente es un documento informativo que presenta algunos de los procedimientos recomendados que el departamento de ingeniería, de soporte técnico y consultoría han desarrollado a lo largo de los años. Se lo mostramos en una lista con viñetas a las que puede hacer referencia rápidamente. Aunque esta lista intenta ser completa, puede haber otros procedimientos recomendados que se puedan agregar a la lista en el futuro.

• Si usa la versión completa de SQL, debe seguir en la versión local y no usar la remota:
  • Menor número de saltos
  • Más fácil de solucionar
  • Menor complejidad
  • Debe designar recursos para SQL y permitir la sobrecarga de Microsoft Entra Connect y el sistema operativo.
• Omita el proxy web si es posible; de lo contrario, asegúrese de que el valor de tiempo de espera del proxy web sea mayor que 5 minutos.
• Si se requiere un proxy web, debe agregar la configuración del proxy web al archivo machine.config.
• Tenga en cuenta los trabajos y el mantenimiento locales de SQL y cómo afectarán a Microsoft Entra Connect, especialmente al volver a indexar.
• Asegúrese de que DNS pueda resolver nombres externamente.
• Si usa servidores físicos o virtuales, asegúrese de que las especificaciones del servidor sean por recomendación.
• Si utiliza un servidor virtual, asegúrese de que los recursos necesarios sean dedicados.
• Asegúrese de que el disco y la configuración del disco cumplen los procedimientos recomendados de SQL Server.
• Instale y configure Microsoft Entra Connect Health para la supervisión.
• Use el umbral de eliminación de exportación integrado en Microsoft Entra Connect para evitar eliminaciones accidentales.
• Revise cuidadosamente las actualizaciones de la versión y así poder estar preparado para todos los cambios y los nuevos atributos que se puedan agregar.
• Haga una copia de seguridad de todo:
  • Copia de seguridad de las claves
  • Copia de seguridad de las reglas de sincronización
  • Copia de seguridad de la configuración del servidor
  • Copia de seguridad de una instancia de SQL Database
• Evite el uso de Azure Backup para la base de datos ADSync, ya que puede provocar interbloqueos y, posiblemente, provocar que el perfil de ejecución se inmovilice.
• Asegúrese de que no haya agentes de copia de seguridad de terceros que realicen copias de seguridad de SQL sin VSS Writer de SQL (que es común en servidores virtuales con instantáneas de terceros).
• Limite el número de reglas de sincronización personalizadas que se usan ya que agregan complejidad.
• Trate los servidores de Microsoft Entra Connect como servidores de nivel 0.
• Desconfíe de la modificación de las reglas de sincronización en la nube si no comprende bien el impacto que pueden suponer ni los controladores de negocios adecuados.
• Asegúrese de que las direcciones URL y los puertos de firewall correctos están abiertos para admitir Microsoft Entra Connect y Microsoft Entra Connect Health.
• Aproveche el atributo filtrado en la nube para solucionar problemas y evitar objetos fantasma.
• Con el servidor de almacenamiento provisional, asegúrese de que está usando el documentador de configuración de Microsoft Entra Connect para mantener la coherencia entre los servidores.
• Los servidores de almacenamiento provisional deben estar en centros de datos separados (ubicaciones físicas).
• Los servidores de almacenamiento provisional no están diseñados para ser una solución de alta disponibilidad, pero puede tener varios.
• La introducción de un servidor de almacenamiento provisional de tipo "Lag" podría mitigar el posible tiempo de inactividad en caso de un problema.
• Pruebe y valide todas las actualizaciones en el servidor de ensayo en primer lugar.
• Valide siempre las exportaciones antes de pasar al servidor de almacenamiento provisional. Aproveche el servidor de almacenamiento provisional para las importaciones completas y las sincronizaciones completas a fin de reducir el impacto empresarial.
• Mantenga la consistencia de la versión entre los servidores de Microsoft Entra Connect tanto como sea posible.

¿Puedo permitir que Microsoft Entra Connect cree la cuenta del conector de Microsoft Entra en la máquina del grupo de trabajo?

Para permitir que Microsoft Entra Connect cree automáticamente la cuenta del conector de Microsoft Entra, la máquina debe estar unida al dominio.

Red

Tengo un firewall, un dispositivo de red u otro elemento que limita el tiempo que las conexiones pueden permanecer abiertas en mi red. ¿Cuál debería ser mi umbral de tiempo de expiración del lado cliente al usar Microsoft Entra Connect?

Todo el software de redes, dispositivos físicos o cualquier otra cosa que limite el tiempo máximo que las conexiones permanecen abiertas deben usar un umbral de un mínimo de cinco minutos (300 segundos) para la conectividad entre el servidor donde está instalado el cliente de Microsoft Entra Connect y Microsoft Entra ID. Esta recomendación también se aplica a todas las herramientas de sincronización de identidades de Microsoft publicadas anteriormente.

¿Se admiten los dominios de una sola etiqueta (SLD)?

Aunque no se recomienda esta configuración de red (consulte el artículo), se admite el uso de la sincronización de Microsoft Entra Connect con un dominio de una sola etiqueta, siempre que la configuración de red para el dominio de un solo nivel funcione correctamente. En escenarios de SLD en los que el nombre de dominio NetBIOS de Active Directory difiere del nombre de dominio FQDN, no se admite la instalación de Microsoft Entra Connect.

¿Se admiten los bosques con dominios de AD no contiguos?

No, Microsoft Entra Connect no admite bosques locales que contengan espacios de nombres no contiguos.

¿Se admiten los nombres de NetBios "con puntos"?

No, Microsoft Entra Connect no admite bosques o dominios locales en los que el nombre de NetBIOS contenga un punto (.).

¿Se admiten entornos puros de IPv6?

No, Microsoft Entra Connect no admite entornos puros de IPv6.

Tengo un entorno de varios bosques y la red entre los dos bosques usa NAT (traducción de direcciones de red). ¿Es compatible el uso de Microsoft Entra Connect entre estos dos bosques?

No, no se admite el uso de Microsoft Entra Connect a través de NAT porque depende de Active Directory que no admite NAT. Consulte límites de compatibilidad para Active Directory a través de NAT.

Federación

¿Qué debo hacer si recibo un correo electrónico que me pide que renueve el certificado de Microsoft 365?

Para obtener instrucciones acerca de cómo renovar el certificado, consulte el artículo sobre la renovación de certificados.

Tengo establecido "Actualizar automáticamente usuario confianza" para el usuario de confianza de Microsoft 365. ¿Es necesario realizar alguna acción cuando se implemente automáticamente mi certificado de firma de tokens?

Siga las instrucciones que se describen en el artículo sobre la renovación de certificados.

Entorno

¿Se admite cambiar el nombre del servidor después de haber instalado Microsoft Entra Connect?

No. El cambio del nombre del servidor provoca que el motor de sincronización no se pueda conectar a la instancia de base de datos SQL y que el servicio no se pueda iniciar.

¿Se admiten las reglas de sincronización Next Generation Cryptographic (NGC) en una máquina habilitada para FIPS?

No. No se admiten.

Si he deshabilitado un dispositivo sincronizado en el [centro de administración de Microsoft Entra](https://entra.microsoft.com), ¿por qué se vuelve a habilitar?

Es posible que los dispositivos sincronizados se creen o administren en el entorno local. Si un dispositivo sincronizado está habilitado en un entorno local, es posible que se vuelva a habilitar en el centro de administración de Microsoft Entra incluso si un administrador lo deshabilitó anteriormente. Para deshabilitar un dispositivo sincronizado, use Active Directory local para deshabilitar la cuenta de equipo.

Si bloqueo el inicio de sesión del usuario en Microsoft 365 o el [centro de administración de Microsoft Entra](https://entra.microsoft.com) para los usuarios sincronizados, ¿por qué se desbloquea al iniciar sesión de nuevo?

Es posible que los usuarios sincronizados se creen o administren en el entorno local. Si la cuenta está habilitada en el entorno local, puede desbloquear el bloque de inicio de sesión colocado por el administrador.

Datos de identidad

¿Por qué el atributo userPrincipalName (UPN) de Microsoft Entra ID no coincide con el UPN local?

Para obtener más información, consulte estos artículos:

• Los nombres de usuario de Microsoft 365, Azure o Intune no coinciden con el UPN local o la id. de inicio de sesión alternativo
• Changes aren't synced by the Azure Active Directory sync tool after you change the UPN of a user account to use a different federated domain (La herramienta de sincronización de Azure Active Directory no sincroniza los cambios después de cambiar el UPN de una cuenta de usuario para usar otro dominio federado)

También puede configurar Microsoft Entra ID para permitir que el motor de sincronización actualice el UPN, como se describe en Características del servicio de sincronización de Microsoft Entra Connect.

¿Se admiten coincidencias parciales de objetos de contacto o grupo de Microsoft Entra locales con objetos de contacto o grupo de Microsoft Entra existentes?

Sí, esta coincidencia parcial se basa en la propiedad proxyAddress. La coincidencia temporal no es compatible con aquellos grupos que no estén habilitados para correo.

¿Se admite configurar manualmente el atributo ImmutableId en objetos de contacto o grupo de Microsoft Entra existentes para conseguir una coincidencia exacta con objetos de contacto o grupo de Microsoft Entra locales?

No, establecer manualmente el atributo ImmutableId en un objeto de contacto o grupo de Microsoft Entra existente para conseguir una coincidencia exacta no se admite actualmente.

Configuración personalizada

¿Dónde se documentan los cmdlets de PowerShell para Microsoft Entra Connect?

A excepción de los cmdlets documentados en este sitio, el resto de los cmdlets de PowerShell que se encuentran en Microsoft Entra Connect no se admiten para el uso del cliente.

¿Puedo usar la opción "Server export/server import" (Exportación/importación de servidor) que se encuentra en Synchronization Service Manager para mover la configuración entre servidores?

No. Esta opción no recupera todos los valores de configuración y no debe usarse. En su lugar, use el asistente para crear la configuración base en el segundo servidor y utilizar el editor de reglas de sincronización para generar scripts de PowerShell para mover cualquier regla personalizada entre servidores. Para más información, consulte Migración oscilante.

¿Se pueden almacenar en caché las contraseñas de la página de inicio de sesión de Azure y se puede impedir este almacenamiento en caché porque contenga un elemento de entrada de contraseña con el atributo autocomplete = "false"?

Actualmente, no se admite la modificación de los atributos HTML del campo Contraseña, lo que incluye la etiqueta de autocompletar. Estamos trabajando en una característica que permita JavaScript personalizado, que permite agregar cualquier atributo al campo Contraseña.

En la página de inicio de sesión de Azure, se muestran nombres de usuario de los usuarios que han iniciado sesión anteriormente de forma correcta. ¿Este comportamiento se puede desactivar?

Actualmente no se admite la modificación de los atributos HTML del campo de entrada Contraseña, lo que incluye la etiqueta de autocompletar. Estamos trabajando en una característica que permita JavaScript personalizado, que permite agregar cualquier atributo al campo Contraseña.

¿Existe alguna manera de evitar las sesiones simultáneas?

No.

actualización automática

¿Cuáles son las ventajas y consecuencias del uso de la actualización automática?

Estamos aconsejando a todos los clientes que habiliten la actualización automática para su instalación de Microsoft Entra Connect. Las ventajas son que siempre se reciben las revisiones más recientes, incluidas las actualizaciones de seguridad para vulnerabilidades detectadas en Microsoft Entra Connect. El proceso de actualización es sencillo y se realiza automáticamente en cuanto se encuentra disponible una versión nueva. Muchos miles de clientes de Microsoft Entra Connect usan la actualización automática con cada nueva versión.

El proceso de actualización automática siempre establece primero si una instalación es apta para la actualización automática. Si es apta, la actualización se realiza y se prueba. El proceso también incluye la búsqueda de cambios personalizados en las reglas y los factores de entorno específicos. Si las pruebas revelan que una actualización no se realizó correctamente, se restaura automáticamente la versión anterior.

Según el tamaño del entorno, el proceso puede tardar un par de horas. Mientras la actualización está en curso, no se produce ninguna sincronización entre Windows Server Active Directory y Microsoft Entra ID.

He recibido un correo electrónico que me indica que mi actualización automática ya no funciona y necesito instalar una nueva versión. ¿Por qué tengo que hacerlo?

El año pasado, publicamos una versión de Microsoft Entra Connect que, en determinadas circunstancias, podría haber deshabilitado la característica de actualización automática en el servidor. Se ha corregido el problema en Microsoft Entra Connect versión 1.1.750.0. Si se ha visto afectado por el problema, puede mitigarlo con la ejecución de un script de PowerShell para repararlo o actualizando manualmente a la versión más reciente de Microsoft Entra Connect.

Para ejecutar el script de PowerShell, descargue el script y ejecútelo en el servidor de Microsoft Entra Connect en una ventana de PowerShell administrativa. Para obtener información sobre cómo ejecutar el script, vea este breve vídeo.

Para realizar la actualización manualmente, debe descargar y ejecutar la versión más reciente del archivo AADConnect.msi.

• Si su versión actual es anterior a la 1.1.750.0, descargue y actualice a la última versión.
• Si la versión de Microsoft Entra Connect es 1.1.750.0 o posterior, no es necesario realizar ninguna otra acción. Ya está usando la versión que contiene la corrección de la actualización automática.

He recibido un correo electrónico donde se me pide que actualice a la última versión para volver a habilitar la actualización automática. Uso la versión 1.1.654.0. ¿Tengo que actualizarla?

Sí, tiene que actualizar a la versión 1.1.750.0 o posterior para volver a habilitar la actualización automática. Descargar y actualizar a la versión más reciente.

He recibido un correo electrónico donde se me pide que actualice a la última versión para volver a habilitar la actualización automática. Si he usado PowerShell para activar la actualización automática, ¿tengo que instalar la última versión?

Sí, deberá actualizar a la versión 1.1.750.0 o posterior. La habilitación del servicio de actualización automática con PowerShell no mitiga el problema de actualización automática detectado en las versiones anteriores a la versión 1.1.750.0.

Quiero actualizar a una versión más reciente, pero no estoy seguro de quién instaló Microsoft Entra Connect y no disponemos del nombre de usuario y la contraseña. ¿Necesito estos datos?

No es necesario saber el nombre de usuario y la contraseña que se usó inicialmente para actualizar Microsoft Entra Connect. Use cualquier cuenta de Microsoft Entra que tenga el rol de administrador de identidad híbrida.

¿Cómo puedo saber qué versión de Microsoft Entra Connect estoy usando?

Para comprobar qué versión de Microsoft Entra Connect está instalada en el servidor, vaya al Panel de control y busque la versión instalada de Microsoft Entra Connect seleccionando Programas>Programas y características, tal como se muestra a continuación:

¿Cómo actualizo a la versión más reciente de Microsoft Entra Connect?

Para más información sobre cómo actualizar a la versión más reciente, consulte el artículo Microsoft Entra Connect: actualización de una versión anterior a la versión más reciente.

Ya actualizamos a la última versión de Microsoft Entra Connect el año pasado. ¿Es necesario actualizarla de nuevo?

El equipo de Microsoft Entra Connect realiza actualizaciones frecuentes en el servicio. Para beneficiarse de las correcciones de errores y las actualizaciones de seguridad, así como de las nuevas características, es importante que el servidor tenga la versión más reciente. Si habilita la actualización automática, la versión del software se actualiza automáticamente. Para buscar el historial de versiones de Microsoft Entra Connect, vea Microsoft Entra Connect: historial de versiones.

¿Cuánto tarda en realizarse la actualización y en qué afecta a mis usuarios?

El tiempo necesario para la actualización depende del tamaño de su inquilino. Para las organizaciones más grandes, podría ser mejor realizar la actualización por la noche o durante el fin de semana. Durante la actualización, no se realiza ninguna actividad de sincronización.

Creo que actualicé a Microsoft Entra Connect, pero en el portal de Office todavía se menciona DirSync. ¿Por qué ocurre esto?

El equipo de Office está trabajando para que las actualizaciones del portal de Office reflejen el nombre actual del producto. No refleja qué herramienta de sincronización se usa.

Mi estado de actualización automática dice" "Suspendida". ¿Por qué está suspendida? ¿Debo habilitarla?

Se introdujo un error en una versión anterior que, en determinadas circunstancias, deja el estado de la actualización automática establecido en "Suspendida". Técnicamente, la habilitación se puede realizar manualmente, pero requeriría realizar varios pasos complejos. Lo mejor que se puede hacer es instalar la versión más reciente de Microsoft Entra Connect.

Mi empresa tiene requisitos estrictos de administración de cambios y me gustaría estar al tanto de los nuevos lanzamientos. ¿Puedo controlar cuándo se inicia la actualización automática?

Esta característica no existe actualmente. La característica se está evaluando para futuras versiones.

¿Recibiré un correo electrónico si se produce un error en la actualización automática? ¿Cómo puedo saber si la actualización se realizó correctamente?

No se le notificará el resultado de la actualización. La característica se está evaluando para futuras versiones.

¿Se publica alguna escala de tiempo de la previsión de lanzamiento de actualizaciones automáticas?

La actualización automática es el primer paso del proceso de lanzamiento de una nueva versión. Cada vez que hay una nueva versión, las actualizaciones se insertan automáticamente. Las versiones más recientes de Microsoft Entra Connect se anuncian previamente en la hoja de ruta de Microsoft Entra.

¿La actualización automática también actualiza Microsoft Entra Connect Health?

Sí, la actualización automática también actualiza Microsoft Entra Connect Health.

¿También se actualizan automáticamente los servidores de Microsoft Entra Connect en modo de almacenamiento provisional?

Sí, puede actualizar automáticamente un servidor de Microsoft Entra Connect que se encuentre en modo de almacenamiento provisional.

Si se produce un error en la actualización automática y mi servidor de Microsoft Entra Connect no se inicia, ¿qué debo hacer?

En raras ocasiones, el servicio de Microsoft Entra Connect no se inicia después de realizar la actualización. En esos casos, reiniciar el servidor suele corregir el problema. Si el servicio de Microsoft Entra Connect sigue sin iniciarse, abra un vale de soporte. Para obtener más información, consulte Creación de una solicitud de servicio para ponerse en contacto con el soporte técnico de Microsoft 365.

No estoy seguro de los riesgos derivados de la actualización a una versión más reciente de Microsoft Entra Connect. ¿Puede llamarme para ayudarme con la actualización?

Si necesita ayuda para actualizar a una versión más reciente de Microsoft Entra Connect, abra una incidencia de soporte técnico en Creación de una solicitud de servicio para ponerse en contacto con el soporte técnico de Microsoft 365.

Prácticas recomendadas de uso

A continuación se muestran algunos procedimientos recomendados que debe implementar al sincronizar entre Windows Server Active Directory y Microsoft Entra ID.

Aplicar la autenticación multifactor a todas las cuentas sincronizadas. La autenticación multifactor de Microsoft Entra ayuda a proteger el acceso a los datos y aplicaciones, al mismo tiempo que mantiene la simplicidad para los usuarios. Proporciona más seguridad, ya que requiere una segunda forma de autenticación y ofrece autenticación segura a través de una gama de métodos de autenticación fáciles de usar. Puede que los usuarios se vean desafiados por la MFA en función de las decisiones de configuración que tome un administrador. Puede leer más sobre MFA aquí: https://www.microsoft.com/security/business/identity/mfa?rtc=1

Seguir las instrucciones del seguridad del servidor de Microsoft Entra Connect. El servidor de Microsoft Entra Connect contiene datos de identidad críticos y debería tratarse como un componente de nivel 0, tal como se documenta en el modelo de nivel administrativo de Active Directory. Consulte también nuestras instrucciones para proteger el servidor de Microsoft Entra Connect.

Habilite PHS para la detección de credenciales filtradas. La sincronización de hash de contraseña también habilita la detección de credenciales filtradas para cuentas híbridas. Microsoft trabaja con investigadores de la Web oscura y organismos de aplicación de la ley para encontrar pares de nombre de usuario y contraseña disponibles públicamente. Si alguno de estos pares coincide con el de sus usuarios, la cuenta asociada pasa a ser de alto riesgo.

Solucionar problemas

¿Cómo puedo obtener ayuda con Microsoft Entra Connect?

Buscar en Microsoft Knowledge Base (KB)

• Busque en KB soluciones técnicas a los problemas de break-fix más comunes sobre soporte técnico de Microsoft Entra Connect.

Página de preguntas de Microsoft Q&A para Microsoft Entra ID

• Busque preguntas y respuestas técnicas o formule sus propias preguntas en la comunidad de Microsoft Entra.

Obtención de soporte técnico para Microsoft Entra ID

¿Por qué veo los eventos 6311 y 6401 después de los errores de paso de sincronización?

Los eventos 6311: El servidor encontró un error inesperado al realizar una operación de devolución de llamada y 6401: El controlador del agente de administración encontró un error inesperado, se registran siempre después de un error de paso de sincronización. Para resolver estos errores, debe limpiar los errores de los pasos de sincronización. Para más información, consulte Solución de errores durante la sincronización y Solución de problemas de sincronización de objetos con Microsoft Entra Connect Sync

Microsoft recomienda reforzar su servidor de Microsoft Entra Connect para reducir la superficie de ataque de seguridad para este componente esencial de su entorno de TI. Seguir estas recomendaciones disminuye los riesgos de seguridad para su organización.

• Implemente Microsoft Entra Connect en un servidor unido a un dominio y restrinja el acceso administrativo a los administradores del dominio o a otros grupos de seguridad rigurosamente controlados.

Para obtener más información, consulte:

• Protección de los grupos de administradores

• Protección de las cuentas predefinidas de administrador

• Mejora de la seguridad y el sostenimiento al reducir las superficies de ataque

• Reducción de la superficie de ataque de Active Directory

A partir de las compilaciones de febrero de 2016, se admite este escenario.

La instalación de Microsoft Entra Connect se admite solo cuando se usa el asistente para la instalación. No se admite una instalación silenciosa desatendida.

A partir de las compilaciones de febrero de 2016, se admite este escenario.

Sí. Después de instalar el agente, puede completar el proceso de registro mediante el siguiente cmdlet de PowerShell:

Register-AzureADConnectHealthADDSAgent -Credentials $cred

Sí, este escenario se admite. Consulte Varios dominios.

No, no se admiten varios conectores para el mismo dominio de AD.

Sí, los pasos siguientes proporcionan instrucciones generales sobre cómo realizar este movimiento. Para obtener más información, vea Trasladar la base de datos de Microsoft Entra Connect de SQL Server Express a SQL Server remoto

1. Realice una copia de seguridad de la base de datos LocalDB ADSync. La manera más sencilla de realizar esta copia de seguridad es usar SQL Server Management Studio instalado en el mismo equipo que Microsoft Entra Connect. Conéctese a (LocalDb).\ADSync y, a continuación, realice una copia de seguridad de la base de datos ADSync.

2. Restaure la base de datos ADSync en la instancia remota de SQL Server.

3. Instale Microsoft Entra Connect en la instancia remota de base de datos SQL existente. En el artículo se muestra cómo migrar para usar una instancia local de SQL Database. Si va a migrar a mediante una base de datos SQL remota, en el paso 5 del proceso también debe escribir una cuenta de servicio existente que use el servicio Windows ADSync. Esta cuenta de servicio del motor de sincronización se describe aquí:

   Usar una cuenta de servicio existente: de forma predeterminada, Microsoft Entra Connect usa una cuenta de servicio virtual para que la usen los servicios de sincronización. Para la instancia remota de SQL Server o un proxy web con autenticación, use una cuenta de servicio administrada o una cuenta de servicio en el dominio. En esos casos, especifique la cuenta que se va a usar. Asegúrese de que los usuarios que ejecuten la instalación sean administradores del sistema de SQL para que se pueden crear credenciales de inicio de sesión para la cuenta de servicio. Para más información, consulte Cuentas y permisos de Microsoft Entra Connect.

   Con la compilación más reciente, el administrador de SQL puede aprovisionar la base de datos y conceder al administrador de Microsoft Entra Connect derechos de propietario de la base de datos para instalar el producto. Para obtener más información, consulte Instalación de Microsoft Entra Connect con permisos de administrador delegado de SQL.

Para simplificar las cosas, se recomienda que los usuarios que instalen Microsoft Entra Connectto tengan derechos de administrador del sistema en SQL. Sin embargo, con las últimas compilaciones se pueden usar administradores de SQL delegados, como se describe en Instalación de Microsoft Entra Connect con permisos de administrador delegado de SQL.

El siguiente es un documento informativo que presenta algunos de los procedimientos recomendados que el departamento de ingeniería, de soporte técnico y consultoría han desarrollado a lo largo de los años. Se lo mostramos en una lista con viñetas a las que puede hacer referencia rápidamente. Aunque esta lista intenta ser completa, puede haber otros procedimientos recomendados que se puedan agregar a la lista en el futuro.

• Si usa la versión completa de SQL, debe seguir en la versión local y no usar la remota:
  • Menor número de saltos
  • Más fácil de solucionar
  • Menor complejidad
  • Debe designar recursos para SQL y permitir la sobrecarga de Microsoft Entra Connect y el sistema operativo.
• Omita el proxy web si es posible; de lo contrario, asegúrese de que el valor de tiempo de espera del proxy web sea mayor que 5 minutos.
• Si se requiere un proxy web, debe agregar la configuración del proxy web al archivo machine.config.
• Tenga en cuenta los trabajos y el mantenimiento locales de SQL y cómo afectarán a Microsoft Entra Connect, especialmente al volver a indexar.
• Asegúrese de que DNS pueda resolver nombres externamente.
• Si usa servidores físicos o virtuales, asegúrese de que las especificaciones del servidor sean por recomendación.
• Si utiliza un servidor virtual, asegúrese de que los recursos necesarios sean dedicados.
• Asegúrese de que el disco y la configuración del disco cumplen los procedimientos recomendados de SQL Server.
• Instale y configure Microsoft Entra Connect Health para la supervisión.
• Use el umbral de eliminación de exportación integrado en Microsoft Entra Connect para evitar eliminaciones accidentales.
• Revise cuidadosamente las actualizaciones de la versión y así poder estar preparado para todos los cambios y los nuevos atributos que se puedan agregar.
• Haga una copia de seguridad de todo:
  • Copia de seguridad de las claves
  • Copia de seguridad de las reglas de sincronización
  • Copia de seguridad de la configuración del servidor
  • Copia de seguridad de una instancia de SQL Database
• Evite el uso de Azure Backup para la base de datos ADSync, ya que puede provocar interbloqueos y, posiblemente, provocar que el perfil de ejecución se inmovilice.
• Asegúrese de que no haya agentes de copia de seguridad de terceros que realicen copias de seguridad de SQL sin VSS Writer de SQL (que es común en servidores virtuales con instantáneas de terceros).
• Limite el número de reglas de sincronización personalizadas que se usan ya que agregan complejidad.
• Trate los servidores de Microsoft Entra Connect como servidores de nivel 0.
• Desconfíe de la modificación de las reglas de sincronización en la nube si no comprende bien el impacto que pueden suponer ni los controladores de negocios adecuados.
• Asegúrese de que las direcciones URL y los puertos de firewall correctos están abiertos para admitir Microsoft Entra Connect y Microsoft Entra Connect Health.
• Aproveche el atributo filtrado en la nube para solucionar problemas y evitar objetos fantasma.
• Con el servidor de almacenamiento provisional, asegúrese de que está usando el documentador de configuración de Microsoft Entra Connect para mantener la coherencia entre los servidores.
• Los servidores de almacenamiento provisional deben estar en centros de datos separados (ubicaciones físicas).
• Los servidores de almacenamiento provisional no están diseñados para ser una solución de alta disponibilidad, pero puede tener varios.
• La introducción de un servidor de almacenamiento provisional de tipo "Lag" podría mitigar el posible tiempo de inactividad en caso de un problema.
• Pruebe y valide todas las actualizaciones en el servidor de ensayo en primer lugar.
• Valide siempre las exportaciones antes de pasar al servidor de almacenamiento provisional. Aproveche el servidor de almacenamiento provisional para las importaciones completas y las sincronizaciones completas a fin de reducir el impacto empresarial.
• Mantenga la consistencia de la versión entre los servidores de Microsoft Entra Connect tanto como sea posible.

Para permitir que Microsoft Entra Connect cree automáticamente la cuenta del conector de Microsoft Entra, la máquina debe estar unida al dominio.

Todo el software de redes, dispositivos físicos o cualquier otra cosa que limite el tiempo máximo que las conexiones permanecen abiertas deben usar un umbral de un mínimo de cinco minutos (300 segundos) para la conectividad entre el servidor donde está instalado el cliente de Microsoft Entra Connect y Microsoft Entra ID. Esta recomendación también se aplica a todas las herramientas de sincronización de identidades de Microsoft publicadas anteriormente.

Aunque no se recomienda esta configuración de red (consulte el artículo), se admite el uso de la sincronización de Microsoft Entra Connect con un dominio de una sola etiqueta, siempre que la configuración de red para el dominio de un solo nivel funcione correctamente. En escenarios de SLD en los que el nombre de dominio NetBIOS de Active Directory difiere del nombre de dominio FQDN, no se admite la instalación de Microsoft Entra Connect.

No, Microsoft Entra Connect no admite bosques locales que contengan espacios de nombres no contiguos.

No, Microsoft Entra Connect no admite bosques o dominios locales en los que el nombre de NetBIOS contenga un punto (.).

No, Microsoft Entra Connect no admite entornos puros de IPv6.

No, no se admite el uso de Microsoft Entra Connect a través de NAT porque depende de Active Directory que no admite NAT. Consulte límites de compatibilidad para Active Directory a través de NAT.

Para obtener instrucciones acerca de cómo renovar el certificado, consulte el artículo sobre la renovación de certificados.

Siga las instrucciones que se describen en el artículo sobre la renovación de certificados.

No. El cambio del nombre del servidor provoca que el motor de sincronización no se pueda conectar a la instancia de base de datos SQL y que el servicio no se pueda iniciar.

No. No se admiten.

Es posible que los dispositivos sincronizados se creen o administren en el entorno local. Si un dispositivo sincronizado está habilitado en un entorno local, es posible que se vuelva a habilitar en el centro de administración de Microsoft Entra incluso si un administrador lo deshabilitó anteriormente. Para deshabilitar un dispositivo sincronizado, use Active Directory local para deshabilitar la cuenta de equipo.

Es posible que los usuarios sincronizados se creen o administren en el entorno local. Si la cuenta está habilitada en el entorno local, puede desbloquear el bloque de inicio de sesión colocado por el administrador.

Para obtener más información, consulte estos artículos:

• Los nombres de usuario de Microsoft 365, Azure o Intune no coinciden con el UPN local o la id. de inicio de sesión alternativo
• Changes aren't synced by the Azure Active Directory sync tool after you change the UPN of a user account to use a different federated domain (La herramienta de sincronización de Azure Active Directory no sincroniza los cambios después de cambiar el UPN de una cuenta de usuario para usar otro dominio federado)

También puede configurar Microsoft Entra ID para permitir que el motor de sincronización actualice el UPN, como se describe en Características del servicio de sincronización de Microsoft Entra Connect.

Sí, esta coincidencia parcial se basa en la propiedad proxyAddress. La coincidencia temporal no es compatible con aquellos grupos que no estén habilitados para correo.

No, establecer manualmente el atributo ImmutableId en un objeto de contacto o grupo de Microsoft Entra existente para conseguir una coincidencia exacta no se admite actualmente.

A excepción de los cmdlets documentados en este sitio, el resto de los cmdlets de PowerShell que se encuentran en Microsoft Entra Connect no se admiten para el uso del cliente.

No. Esta opción no recupera todos los valores de configuración y no debe usarse. En su lugar, use el asistente para crear la configuración base en el segundo servidor y utilizar el editor de reglas de sincronización para generar scripts de PowerShell para mover cualquier regla personalizada entre servidores. Para más información, consulte Migración oscilante.

Actualmente, no se admite la modificación de los atributos HTML del campo Contraseña, lo que incluye la etiqueta de autocompletar. Estamos trabajando en una característica que permita JavaScript personalizado, que permite agregar cualquier atributo al campo Contraseña.

Actualmente no se admite la modificación de los atributos HTML del campo de entrada Contraseña, lo que incluye la etiqueta de autocompletar. Estamos trabajando en una característica que permita JavaScript personalizado, que permite agregar cualquier atributo al campo Contraseña.

No.

Estamos aconsejando a todos los clientes que habiliten la actualización automática para su instalación de Microsoft Entra Connect. Las ventajas son que siempre se reciben las revisiones más recientes, incluidas las actualizaciones de seguridad para vulnerabilidades detectadas en Microsoft Entra Connect. El proceso de actualización es sencillo y se realiza automáticamente en cuanto se encuentra disponible una versión nueva. Muchos miles de clientes de Microsoft Entra Connect usan la actualización automática con cada nueva versión.

El proceso de actualización automática siempre establece primero si una instalación es apta para la actualización automática. Si es apta, la actualización se realiza y se prueba. El proceso también incluye la búsqueda de cambios personalizados en las reglas y los factores de entorno específicos. Si las pruebas revelan que una actualización no se realizó correctamente, se restaura automáticamente la versión anterior.

Según el tamaño del entorno, el proceso puede tardar un par de horas. Mientras la actualización está en curso, no se produce ninguna sincronización entre Windows Server Active Directory y Microsoft Entra ID.

El año pasado, publicamos una versión de Microsoft Entra Connect que, en determinadas circunstancias, podría haber deshabilitado la característica de actualización automática en el servidor. Se ha corregido el problema en Microsoft Entra Connect versión 1.1.750.0. Si se ha visto afectado por el problema, puede mitigarlo con la ejecución de un script de PowerShell para repararlo o actualizando manualmente a la versión más reciente de Microsoft Entra Connect.

Para ejecutar el script de PowerShell, descargue el script y ejecútelo en el servidor de Microsoft Entra Connect en una ventana de PowerShell administrativa. Para obtener información sobre cómo ejecutar el script, vea este breve vídeo.

Para realizar la actualización manualmente, debe descargar y ejecutar la versión más reciente del archivo AADConnect.msi.

• Si su versión actual es anterior a la 1.1.750.0, descargue y actualice a la última versión.
• Si la versión de Microsoft Entra Connect es 1.1.750.0 o posterior, no es necesario realizar ninguna otra acción. Ya está usando la versión que contiene la corrección de la actualización automática.

Sí, tiene que actualizar a la versión 1.1.750.0 o posterior para volver a habilitar la actualización automática. Descargar y actualizar a la versión más reciente.

Sí, deberá actualizar a la versión 1.1.750.0 o posterior. La habilitación del servicio de actualización automática con PowerShell no mitiga el problema de actualización automática detectado en las versiones anteriores a la versión 1.1.750.0.

No es necesario saber el nombre de usuario y la contraseña que se usó inicialmente para actualizar Microsoft Entra Connect. Use cualquier cuenta de Microsoft Entra que tenga el rol de administrador de identidad híbrida.

Para comprobar qué versión de Microsoft Entra Connect está instalada en el servidor, vaya al Panel de control y busque la versión instalada de Microsoft Entra Connect seleccionando Programas>Programas y características, tal como se muestra a continuación:

Para más información sobre cómo actualizar a la versión más reciente, consulte el artículo Microsoft Entra Connect: actualización de una versión anterior a la versión más reciente.

El equipo de Microsoft Entra Connect realiza actualizaciones frecuentes en el servicio. Para beneficiarse de las correcciones de errores y las actualizaciones de seguridad, así como de las nuevas características, es importante que el servidor tenga la versión más reciente. Si habilita la actualización automática, la versión del software se actualiza automáticamente. Para buscar el historial de versiones de Microsoft Entra Connect, vea Microsoft Entra Connect: historial de versiones.

El tiempo necesario para la actualización depende del tamaño de su inquilino. Para las organizaciones más grandes, podría ser mejor realizar la actualización por la noche o durante el fin de semana. Durante la actualización, no se realiza ninguna actividad de sincronización.

El equipo de Office está trabajando para que las actualizaciones del portal de Office reflejen el nombre actual del producto. No refleja qué herramienta de sincronización se usa.

Se introdujo un error en una versión anterior que, en determinadas circunstancias, deja el estado de la actualización automática establecido en "Suspendida". Técnicamente, la habilitación se puede realizar manualmente, pero requeriría realizar varios pasos complejos. Lo mejor que se puede hacer es instalar la versión más reciente de Microsoft Entra Connect.

Esta característica no existe actualmente. La característica se está evaluando para futuras versiones.

No se le notificará el resultado de la actualización. La característica se está evaluando para futuras versiones.

La actualización automática es el primer paso del proceso de lanzamiento de una nueva versión. Cada vez que hay una nueva versión, las actualizaciones se insertan automáticamente. Las versiones más recientes de Microsoft Entra Connect se anuncian previamente en la hoja de ruta de Microsoft Entra.

Sí, la actualización automática también actualiza Microsoft Entra Connect Health.

Sí, puede actualizar automáticamente un servidor de Microsoft Entra Connect que se encuentre en modo de almacenamiento provisional.

En raras ocasiones, el servicio de Microsoft Entra Connect no se inicia después de realizar la actualización. En esos casos, reiniciar el servidor suele corregir el problema. Si el servicio de Microsoft Entra Connect sigue sin iniciarse, abra un vale de soporte. Para obtener más información, consulte Creación de una solicitud de servicio para ponerse en contacto con el soporte técnico de Microsoft 365.

Si necesita ayuda para actualizar a una versión más reciente de Microsoft Entra Connect, abra una incidencia de soporte técnico en Creación de una solicitud de servicio para ponerse en contacto con el soporte técnico de Microsoft 365.

A continuación se muestran algunos procedimientos recomendados que debe implementar al sincronizar entre Windows Server Active Directory y Microsoft Entra ID.

Aplicar la autenticación multifactor a todas las cuentas sincronizadas. La autenticación multifactor de Microsoft Entra ayuda a proteger el acceso a los datos y aplicaciones, al mismo tiempo que mantiene la simplicidad para los usuarios. Proporciona más seguridad, ya que requiere una segunda forma de autenticación y ofrece autenticación segura a través de una gama de métodos de autenticación fáciles de usar. Puede que los usuarios se vean desafiados por la MFA en función de las decisiones de configuración que tome un administrador. Puede leer más sobre MFA aquí: https://www.microsoft.com/security/business/identity/mfa?rtc=1

Seguir las instrucciones del seguridad del servidor de Microsoft Entra Connect. El servidor de Microsoft Entra Connect contiene datos de identidad críticos y debería tratarse como un componente de nivel 0, tal como se documenta en el modelo de nivel administrativo de Active Directory. Consulte también nuestras instrucciones para proteger el servidor de Microsoft Entra Connect.

Habilite PHS para la detección de credenciales filtradas. La sincronización de hash de contraseña también habilita la detección de credenciales filtradas para cuentas híbridas. Microsoft trabaja con investigadores de la Web oscura y organismos de aplicación de la ley para encontrar pares de nombre de usuario y contraseña disponibles públicamente. Si alguno de estos pares coincide con el de sus usuarios, la cuenta asociada pasa a ser de alto riesgo.

Buscar en Microsoft Knowledge Base (KB)

• Busque en KB soluciones técnicas a los problemas de break-fix más comunes sobre soporte técnico de Microsoft Entra Connect.

Página de preguntas de Microsoft Q&A para Microsoft Entra ID

• Busque preguntas y respuestas técnicas o formule sus propias preguntas en la comunidad de Microsoft Entra.

Obtención de soporte técnico para Microsoft Entra ID

Los eventos 6311: El servidor encontró un error inesperado al realizar una operación de devolución de llamada y 6401: El controlador del agente de administración encontró un error inesperado, se registran siempre después de un error de paso de sincronización. Para resolver estos errores, debe limpiar los errores de los pasos de sincronización. Para más información, consulte Solución de errores durante la sincronización y Solución de problemas de sincronización de objetos con Microsoft Entra Connect Sync