Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo le ayuda a encontrar información sobre la solución de problemas comunes relacionados con la autenticación transferida de Microsoft Entra.
Importante
** Si se enfrenta a problemas de inicio de sesión de usuarios con la Autenticación Pass-through, no deshabilite la función ni desinstale los agentes de Autenticación Pass-through sin tener una cuenta de administrador de identidad híbrida basada solo en la nube como respaldo.
Problemas generales
Comprobación de estado de la característica y de los agentes de autenticación
Asegúrese de que la característica de Autenticación de paso a través está todavía habilitada en su entorno y que el estado de los agentes de autenticación muestren Activo y no Inactivo. Para comprobar el estado, vaya a la hoja Microsoft Entra Connect en el Centro de administración de Microsoft Entra.
Mensajes de error de inicio de sesión para el usuario
Si el usuario no ha podido iniciar sesión con la autenticación de paso a través, puede ver uno de los siguientes errores para el usuario en la pantalla de inicio de sesión de Microsoft Entra:
| Error | Descripción | Resolución |
|---|---|---|
| AADSTS80001 | No es posible conectarse a Active Directory. | Asegúrese de que los servidores del agente sean miembros del mismo bosque de AD que los usuarios cuyas contraseñas haya que validar y que pueden conectarse a Active Directory. |
| AADSTS80002 | Se ha agotado el tiempo de espera al conectarse a Active Directory | Asegúrese de que Active Directory está disponible y responde a las solicitudes de los agentes. |
| AADSTS80004 | El nombre de usuario transferido al agente no era válido. | Asegúrese de que el usuario esté intentando iniciar sesión con el nombre de usuario correcto. |
| AADSTS80005 | El proceso de validación encontró una WebException impredecible. | Se trata de un error transitorio. Vuelva a intentar la solicitud. Si el error no desaparece, póngase en contacto con el soporte técnico de Microsoft. |
| AADSTS80007 | Error al establecer comunicación con Active Directory. | Compruebe los registros del agente para más información y verifique que Active Directory está funcionando según lo previsto. |
Los usuarios reciben un error de nombre de usuario y contraseña no válidos
Esto puede ocurrir cuando el UserPrincipalName (UPN) local de un usuario es diferente del UPN de nube del usuario.
Para confirmar que este es el problema, primero compruebe que el agente de autenticación de paso a través funciona correctamente:
Cree una cuenta de prueba.
Importe el módulo de PowerShell en el equipo del agente:
Import-Module "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\PassthroughAuthPSModule\PassthroughAuthPSModule.psd1"Ejecute el comando Invoke de PowerShell:
Invoke-PassthroughAuthOnPremLogonTroubleshooterCuando se le pida que escriba las credenciales, escriba el mismo nombre de usuario y contraseña que usa para iniciar sesión en
https://login.microsoftonline.com.
Si recibe el mismo error de nombre de usuario y contraseña, significa que el agente de autenticación de paso a través funciona correctamente y el problema puede ser que el UPN local no sea enrutable. Para más información, consulte Configuración del identificador de inicio de sesión alternativo.
Importante
Si el servidor de Microsoft Entra Connect no está unido a un dominio, según se menciona en Microsoft Entra Connect: requisitos previos, surge el problema de nombre de usuario/contraseña no válido.
Motivos de error de inicio de sesión en el Centro de administración de Microsoft Entra (necesita una licencia Premium)
Si el inquilino tiene una licencia P1 o P2 de Microsoft Entra ID asociada, también puede consultar el informe de actividad de inicio de sesión en el Centro de administración de Microsoft Entra.
Vaya a Microsoft Entra ID> y a Inicios de sesión en el [Centro de administración de Microsoft Entra](https://portal.azure.com/) y haga clic en la actividad de inicio de sesión de un usuario específico. Busque el campo SIGN-IN CÓDIGO DE ERROR. Busque la correspondencia entre el valor de ese campo y un motivo de error y la resolución en la siguiente tabla:
| Código de error de inicio de sesión | Motivo del error de inicio de sesión | Resolución |
|---|---|---|
| 50144 | Ha expirado la contraseña de Active Directory del usuario. | Restablezca la contraseña del usuario en Active Directory local. |
| 80001 | No hay ningún agente de autenticación disponible. | Instale y registre un agente de autenticación. |
| 80002 | El tiempo de espera se agotó para la solicitud de validación de contraseña del agente de autenticación. | Compruebe si Active Directory es accesible desde el agente de autenticación. |
| 80003 | El agente de autenticación recibió una respuesta no válida. | Si el problema puede reproducirse habitualmente a través de varios usuarios, compruebe la configuración de Active Directory. |
| 80004 | Se usó un nombre principal de usuario (UPN) incorrecto en una solicitud de inicio de sesión. | Pida al usuario que inicie sesión con el nombre de usuario correcto. |
| 80005 | Agente de autenticación: Se ha producido un error. | Se trata de un error transitorio. Vuelva a intentarlo más tarde. |
| 80007 | El agente de autenticación no puede conectarse a Active Directory. | Compruebe si Active Directory es accesible desde el agente de autenticación. |
| 80010 | El agente de autenticación no puede descifrar la contraseña. | Si el problema se puede reproducir habitualmente, instale y registre un nuevo agente de autenticación. Después, desinstale el actual. |
| 80011 | El agente de autenticación no puede recuperar la clave de descifrado. | Si el problema se puede reproducir habitualmente, instale y registre un nuevo agente de autenticación. Después, desinstale el actual. |
| 80014 | Solicitud de validación respondida después de que se supere el tiempo máximo transcurrido. | El agente de autenticación agotó el tiempo de espera. Abra una incidencia de soporte técnico con el código de error, el identificador de correlación y la marca de tiempo para conocer más detalles sobre este error |
Importante
Los agentes de autenticación de paso a través autentican a los usuarios de Microsoft Entra validando sus nombres de usuario y contraseñas en Active Directory mediante una llamada a la API Win32 LogonUser. Como resultado, si ha establecido la configuración de inicio de sesión en Active Directory para limitar el acceso de inicio de sesión de la estación de trabajo, tendrá que agregar también los servidores que hospedan los agentes de autenticación transferida a la lista de servidores de inicio de sesión. Si no lo hace, los usuarios no podrán iniciar sesión en Microsoft Entra ID.
Problemas de instalación del agente de autenticación
Se ha producido un error inesperado
Recopile los registros del agente del servidor y póngase en contacto con el soporte técnico de Microsoft con el problema.
Problemas de registro del agente de autenticación
No se pudo realizar el registro del agente de autenticación porque había puertos bloqueados
Asegúrese de que el servidor en el que se ha instalado el Agente de autenticación puede comunicarse con nuestras direcciones URL y puertos de servicio que se enumeran aquí.
No se puede registrar el agente de autenticación debido a errores de autorización de token o de cuenta
Asegúrese de que usa una cuenta de administrador de identidad híbrida solo en la nube para todas las operaciones de instalación y registro del agente de autenticación independiente o de Microsoft Entra Connect. Hay un problema conocido con las cuentas de administrador de identidad híbrida habilitadas para MFA; desactive temporalmente MFA (solo para completar las operaciones) para proporcionar una solución alternativa.
Se ha producido un error inesperado
Recopile los registros del agente del servidor y póngase en contacto con el soporte técnico de Microsoft con el problema.
Problemas de desinstalación del agente de autenticación
Mensaje de advertencia al desinstalar Microsoft Entra Connect
Si la característica Autenticación de paso a través está habilitada en su arrendatario del servicio e intenta desinstalar Microsoft Entra Connect, aparece el siguiente mensaje de advertencia: “Los usuarios no podrán iniciar sesión en Microsoft Entra ID, a menos que tenga otros agentes de autenticación de paso a través instalados en otros servidores”.
Asegúrese de que la configuración es de alta disponibilidad antes de desinstalar Microsoft Entra Connect para evitar interrumpir el inicio de sesión del usuario.
Problemas con la habilitación de la característica
La característica no se pudo habilitar porque no había agentes de autenticación disponibles
Necesita tener al menos un agente de autenticación activo para habilitar la autenticación transferida en el inquilino. Puede instalar un agente de autenticación instalando Microsoft Entra Connect o un agente de autenticación independiente.
La característica no se habilitó porque había puertos bloqueados
Asegúrese de que el servidor en el que está instalado Microsoft Entra Connect puede comunicarse con nuestras direcciones URL y puertos de servicio que se enumeran aquí.
No se puede realizar la habilitación de la característica debido a errores de autorización de cuenta o de token
Asegúrese de que usa una cuenta de administrador de identidad híbrida solo en la nube cuando habilite la característica. Hay un problema conocido con las cuentas de administrador de identidad híbrida habilitadas para Multi-Factor Authentication (MFA); desactive temporalmente MFA (solo para completar la operación) para proporcionar una solución alternativa.
Recopilación de registros del agente de autenticación de autenticación transferida
En función del tipo de problema, es posible que tenga que buscar estos registros en distintos lugares.
Registros de Microsoft Entra Connect
Para ver los errores relacionados con la instalación, compruebe los registros de Microsoft Entra Connect en %ProgramData%\AADConnect\trace-*.log.
Registros de eventos del agente de autenticación
Para ver los errores relacionados con el Agente de autenticación, abra la aplicación Visor de eventos en el servidor y compruebe en Registros de aplicaciones y servicios\Microsoft\AzureAdConnect\AuthenticationAgent\Admin.
Para obtener un análisis detallado, habilite el registro "Sesión" (haga clic con el botón derecho en la aplicación Visor de eventos para encontrar esta opción). No ejecute el agente de autenticación con este registro habilitado durante las operaciones normales; úselo solo para solucionar problemas. Tenga en cuenta que el contenido del registro solo se ve cuando el registro se vuelve a deshabilitar.
Registros de seguimiento detallados
Para solucionar errores de inicio de sesión de usuario, busque registros de seguimiento en %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\. Estos registros incluyen los motivos por los que un usuario concreto no pudo iniciar sesión mediante la característica Autenticación de paso a través. Estos errores también pueden hacerse corresponder con los motivos de errores de inicio de sesión mostrados en la tabla anterior. La siguiente es una entrada del registro de ejemplo:
AzureADConnectAuthenticationAgentService.exe Error: 0 : Passthrough Authentication request failed. RequestId: 'df63f4a4-68b9-44ae-8d81-6ad2d844d84e'. Reason: '1328'.
ThreadId=5
DateTime=xxxx-xx-xxTxx:xx:xx.xxxxxxZ
Para obtener detalles descriptivos del error ("1328" en el ejemplo anterior), abra la ventana de comandos y ejecute el siguiente comando (Nota: Reemplace '1328' por el número de error real que ve en los registros):
Net helpmsg 1328
Registros de inicio de sesión de autenticación transferida
Si están habilitados los registros de auditoría, se puede encontrar información adicional en los registros de seguridad del servidor de autenticación transferida. Una manera sencilla de consultar las solicitudes de inicio de sesión es filtrar los registros de seguridad mediante la consulta siguiente:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[EventData[Data[@Name='ProcessName'] and (Data='C:\Program Files\Microsoft Azure AD Connect Authentication Agent\AzureADConnectAuthenticationAgentService.exe')]]</Select>
</Query>
</QueryList>
Contadores del Monitor de rendimiento
Otra forma de supervisar a los agentes de autenticación consiste en realizar un seguimiento de los contadores específicos de Performance Monitor en cada servidor en que está instalado el agente de autenticación. Utilice los siguientes contadores globales (# PTA autenticaciones, #PTA autenticaciones fallidas y #PTA autenticaciones exitosas) y contadores de errores (# errores de autenticación de PTA):
Importante
La autenticación de paso a través proporciona alta disponibilidad mediante varios agentes de autenticación, pero no equilibrio de carga. En función de la configuración, no todos los agentes de autenticación reciben aproximadamente el mismo número de solicitudes. Es posible que un agente de autenticación específico no reciba ningún tráfico.