Compartir vía


Solución de problemas de sincronización en la nube

Cloud Sync tiene muchas dependencias e interacciones diferentes, lo que puede dar lugar a varios problemas. Este artículo le ayuda a solucionar estos problemas. Presenta las áreas típicas en las que puede centrarse, cómo recopilar información adicional, así como las distintas técnicas que puede usar para realizar un seguimiento de los problemas.

Problemas del agente

Cuando solucione problemas del agente, compruebe que el agente se ha instalado correctamente y que se comunica con Microsoft Entra ID. En concreto, algunos de los primeros aspectos que debe comprobar en el agente son los siguientes:

  • ¿Está instalado?
  • ¿Se ejecuta localmente?
  • ¿Está en el portal?
  • ¿Está marcado como correcto?

Puede comprobar estos elementos en el portal y en el servidor local que ejecuta el agente.

Verificación de agentes del Centro de administración de Microsoft Entra

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Para comprobar que Azure detecta el agente y que el estado es correcto, siga estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador híbrido como mínimo.
  2. Vaya a Identidad>Administración híbrida>Microsoft Entra Connect>Cloud Sync. Captura de pantalla de la página de inicio de Cloud Sync..
  1. Seleccione Sincronización en la nube.
  2. Debería ver los agentes que ha instalado. Compruebe que el agente en cuestión está presente. Si todo está bien, verá el estado activo (verde) del agente.

Comprobación de los puertos abiertos necesarios

Compruebe que el agente de aprovisionamiento de Microsoft Entra puede comunicarse satisfactoriamente con los centros de datos de Azure. Si hay un firewall en la ruta de acceso, asegúrese de que los siguientes puertos están abiertos para el tráfico de salida:

Número de puerto Cómo se usa
80 Descarga de listas de revocación de certificados (CRL), al validar el certificado TLS/SSL.
443 Control de toda la comunicación de salida con el servicio Application Proxy.

Si el firewall controla el tráfico según los usuarios de origen, abra también los puertos 80 y 443 para el tráfico de los servicios de Windows que se ejecutan como un servicio de red.

Permiso de acceso a direcciones URL

Permita el acceso a las siguientes direcciones URL:

URL Port Cómo se usa
*.msappproxy.net
*.servicebus.windows.net
443/HTTPS Comunicación entre el conector y el servicio en la nube Application Proxy.
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
80/HTTP El conector utiliza estas direcciones URL para comprobar los certificados.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops
443/HTTPS El conector utiliza estas direcciones URL durante el proceso de registro.
ctldl.windowsupdate.com 80/HTTP El conector usa esta dirección URL durante el proceso de registro.

Si el firewall o el servidor proxy permiten configurar reglas de acceso basadas en sufijos de dominio, puede permitir conexiones a *.msappproxy.net, *.servicebus.windows.net y otras de las direcciones URL anteriores. Si no es así, debe permitir el acceso a intervalos IP y etiquetas de servicio de Azure en la nube pública. Los intervalos IP se actualizan cada semana.

Importante

Evite todas las formas de inspección y terminación insertadas en las comunicaciones TLS salientes entre los conectores de red privada de Microsoft Entra y los servicios en la nube del proxy de aplicación de Microsoft Entra.

Resolución de nombres DNS para los puntos de conexión del proxy de aplicación de Microsoft Entra

Los registros DNS públicos para los puntos de conexión del proxy de aplicación de Microsoft Entra son registros CNAME encadenados, que apuntan a un registro A. Esto garantiza la tolerancia a errores y la flexibilidad. Se garantiza que el conector de red privada de Microsoft Entra siempre accede a los nombres de host con los sufijos de dominio *.msappproxy.net o *.servicebus.windows.net.

No obstante, durante la resolución de nombres, los registros CNAME pueden contener registros DNS con nombres de host y sufijos diferentes. Por este motivo, debe asegurarse de que el dispositivo pueda resolver todos los registros de la cadena y permita la conexión a las direcciones IP resueltas. Dado que los registros DNS de la cadena pueden cambiar de vez en cuando, no podemos proporcionarle registros DNS de lista.

En el servidor local

Para comprobar que el agente se ejecuta, siga estos pasos:

  1. En el servidor con el agente instalado, abra Servicios. Para ello, vaya a Inicio>Ejecutar>Services.msc.

  2. En Servicios, asegúrese de que estén allí Agente de actualización de Microsoft Entra Connect y Agente de aprovisionamiento de Microsoft Entra. Confirme también que su estado es En ejecución.

    Captura de pantalla de los servicios locales y su estado.

Problemas comunes de instalación del agente

En las secciones siguientes, se describen algunos problemas comunes de instalación del agente y las soluciones habituales.

El agente no se pudo iniciar

Puede recibir un mensaje de error que indique lo siguiente:

No se ha podido iniciar el servicio agente de aprovisionamiento de Microsoft Entra. Compruebe que dispone de suficientes privilegios para iniciar servicios del sistema.

Este problema suele deberse a una directiva de grupo. La directiva ha impedido que se apliquen permisos a la cuenta de inicio de sesión del servicio NT local que creó el instalador (NT SERVICE\AADConnectProvisioningAgent). Estos permisos son necesarios para iniciar el servicio.

Para solucionar este problema, siga estos pasos:

  1. Inicie sesión en el servidor con una cuenta de administrador.

  2. Abra Servicios desde Inicio>Ejecutar>Services.msc.

  3. En Servicios, haga doble clic en el Agente de aprovisionamiento de Microsoft Entra.

  4. En la pestaña Iniciar sesión, cambie Esta cuenta a un administrador de dominio. A continuación, reinicie el servicio.

    Captura de pantalla que muestra las opciones disponibles en la pestaña Iniciar sesión.

El agente agota el tiempo de espera o el certificado no es válido

Al intentar registrar el agente, es posible que reciba el siguiente mensaje de error.

Captura de pantalla que muestra un mensaje de error de tiempo de espera.

Este problema suele deberse a que el agente no puede conectarse al servicio de identidad híbrida. Para solucionar este problema, configure un proxy de salida.

El agente de aprovisionamiento admite el uso de un proxy de salida. Para configurarlo, edite el siguiente archivo de configuración del agente C:\Archivos de programa\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

Agregue las siguientes líneas hacia el final del archivo, justo antes de la etiqueta de cierre </configuration>. Reemplace las variables [proxy-server] y [proxy-port] con los valores del puerto y el nombre del servidor proxy.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

Error de seguridad al registrar el agente

Es posible que reciba un mensaje de error al instalar el agente de aprovisionamiento en la nube. La causa de este problema suele ser que el agente no puede ejecutar los scripts de registro de PowerShell debido a las directivas de ejecución locales de PowerShell.

Para solucionar este problema, cambie las directivas de ejecución de PowerShell en el servidor. Debe establecer las directivas de máquina y de usuario en Undefined o RemoteSigned. Si se establece como Unrestricted, verá este error. Para más información, consulte las directivas de ejecución de PowerShell.

Archivos de registro

De manera predeterminada, el agente emite mensajes de error mínimos e información de seguimiento de la pila. Estos registros de seguimiento se encuentran en la carpeta C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace.

Para recopilar información adicional para solucionar problemas relacionados con el agente, siga estos pasos.

  1. Instale el módulo AADCloudSyncTools de PowerShell.
  2. Use el cmdlet Export-AADCloudSyncToolsLogs de PowerShell para capturar la información. Puede usar las siguientes opciones para ajustar la recopilación de datos.
    • SkipVerboseTrace para exportar solo los registros actuales sin capturar registros detallados (valor predeterminado = false).
    • TracingDurationMins para especificar una duración de captura diferente (valor predeterminado = 3 minutos).
    • OutputPath para especificar una ruta de acceso de salida diferente (valor predeterminado = carpeta Documentos del usuario).

Problemas de sincronización de objetos

En el portal, se pueden usar registros de aprovisionamiento para ayudar a hacer un seguimiento de los problemas de sincronización de objetos y solucionarlos. Para ver los registros, seleccione Registros.

Captura de pantalla que muestra el botón de Registros.

Los registros de aprovisionamiento proporcionan una gran cantidad de información sobre el estado de los objetos que se sincronizan entre el entorno local de Active Directory y Azure.

Captura de pantalla que muestra información sobre los registros de aprovisionamiento.

Puede filtrar la vista para centrarse en problemas específicos, como las fechas. También puede buscar los registros de actividades relacionados con un objeto de Active Directory mediante Active Directory ObjectGuid. Haga doble clic en un evento individual para ver información adicional.

Captura de pantalla que muestra la información de lista desplegable de registros de aprovisionamiento.

Esta información proporciona pasos detallados e indica dónde se está produciendo el problema de sincronización. De esta manera, puede identificar el punto exacto del problema.

Objetos omitidos

Si ha sincronizado usuarios y grupos desde Active Directory, es posible que no pueda encontrar uno o varios grupos en Microsoft Entra ID. Esto podría deberse a que la sincronización aún no se ha completado o aún no se ha detectado la creación del objeto en Active Directory, un error de sincronización que bloquea el objeto que se crea en Microsoft Entra ID o una regla de ámbito de regla de sincronización podría aplicarse que excluye el objeto.

Si reinicia la sincronización, a continuación, cuando se completa el ciclo de aprovisionamiento, busque en el registro de aprovisionamiento actividades relacionadas con un objeto mediante Active Directory ObjectGuid de ese objeto. Si un evento con una identidad que contiene solo un identificador de origen y un estado de Skipped está presente en el registro, esto puede indicar que el agente filtró el objeto de Active Directory porque estaba fuera del ámbito.

De manera predeterminada, las reglas de ámbito excluyen que los objetos siguientes se sincronicen con Microsoft Entra ID:

  • usuarios, grupos y contactos con IsCriticalSystemObject establecido en TRUE, incluidos muchos de los usuarios y grupos integrados en Active Directory
  • objetos víctimas de replicación

Puede haber restricciones adicionales en el Esquema de sincronización.

Umbral de eliminación de objetos de Microsoft Entra

Si tiene una topología de implementación con Microsoft Entra Connect y Microsoft Entra Cloud Sync, ambos exportados al mismo inquilino de Microsoft Entra, o si ha pasado completamente del uso de Microsoft Entra Connect a Microsoft Entra Cloud Sync, es posible que reciba el siguiente mensaje de error de exportación al eliminar o mover varios objetos fuera del ámbito definido:

Captura de pantalla que muestra el error de exportación.

Este error no está relacionado con lacaracterística de prevención de eliminaciones accidentales de la sincronización en la nube de Microsoft Entra Connect. Esto se desencadena mediante la característica de prevención de eliminación accidental establecida en el directorio de Microsoft Entra de Microsoft Entra Connect. Si no tiene instalado un servidor de Microsoft Entra Connect desde el que podría alternar la característica, puede usar el módulo de PowerShell "AADCloudSyncTools" instalado con el agente de sincronización en la nube de Microsoft Entra Connect para deshabilitar la configuración en el inquilino y permitir que las eliminaciones bloqueadas se exporten después de confirmar que se esperan y deben permitirse. Use el comando siguiente:

Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee"

Durante el siguiente ciclo de aprovisionamiento, los objetos marcados para su eliminación se deben eliminar correctamente del directorio de Microsoft Entra.

Problemas de aprovisionamiento en cuarentena

Cloud Sync supervisa el estado de la configuración y pone los objetos incorrectos en un estado de cuarentena. Si la totalidad o la mayoría de las llamadas realizadas al sistema de destino no se completan correctamente de manera sistemática debido a un error (como en el caso de credenciales de administrador no válidas), el trabajo de sincronización se pone en cuarentena.

Captura de pantalla que muestra el estado de cuarentena.

Al seleccionar el estado, puede ver información adicional acerca de la cuarentena. También puede obtener el código de error y el mensaje.

Captura de pantalla que muestra información adicional sobre la cuarentena.

Al hacer clic con el botón derecho en el estado, se muestran opciones adicionales para:

  • Ver los registros de aprovisionamiento.
  • Ver los agentes.
  • Quitar la cuarentena.

Captura de pantalla que muestra las opciones del menú contextual.

Resolución de una cuarentena

Hay dos maneras diferentes de resolver una cuarentena. Puede quitar la cuarentena o reiniciar el trabajo de aprovisionamiento.

Quitar la cuarentena

Para quitar la marca de agua y ejecutar una sincronización diferencial en el trabajo de aprovisionamiento una vez comprobado, solo tiene que hacer clic con el botón derecho en el estado y seleccionar Clear quarantine (Quitar cuarentena).

Debería ver un aviso de que la cuarentena se está borrando.

Captura de pantalla que muestra el aviso de que la cuarentena se está borrando.

A continuación, debería ver el estado en el agente como correcto.

Captura de pantalla que muestra que el estado del agente es correcto.

Reinicio del trabajo de aprovisionamiento

Use el portal para reiniciar el trabajo de aprovisionamiento. En la página de configuración del agente, seleccione Restar sync (Reiniciar sincronización).

Captura de pantalla que muestra las opciones en la página de configuración del agente.

Como alternativa, puede usar Microsoft Graph para reiniciar el trabajo de aprovisionamiento. Tiene el control total sobre lo que reinicie. Puede elegir borrar:

  • Custodias, para reiniciar el contador de custodias que se acumula hacia el estado de cuarentena.
  • Cuarentena, para quitar la aplicación de la cuarentena.
  • Marcas de agua.

Use la siguiente solicitud:

POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

Reparación de la cuenta de servicio de Cloud Sync

Si tiene que reparar la cuenta de servicio de Cloud Sync, use el comando Repair-AADCloudSyncToolsAccount.

  1. Instale el módulo AADCloudSyncTools de PowerShell.

  2. En una sesión de PowerShell con privilegios de administrador, escriba o copie y pegue lo siguiente:

    Connect-AADCloudSyncTools
    
  3. Introduzca las credenciales de administrador global de Microsoft Entra.

  4. Escriba o copie y pegue lo siguiente:

    Repair-AADCloudSyncToolsAccount
    
  5. Una vez hecho esto, debe indicar que la cuenta se ha reparado correctamente.

escritura diferida de contraseñas

Para habilitar y usar la escritura diferida de contraseñas con Cloud Sync, tenga en cuenta lo siguiente:

  • Si tiene que actualizar los permisos de gMSA, estos permisos pueden tardar una hora o más en replicarse en todos los objetos del directorio. Si no asigna estos permisos, puede parecer que la escritura diferida está configurada correctamente, pero los usuarios pueden encontrar errores al actualizar sus contraseñas locales desde la nube. Para que aparezca contraseña sin expiración, los permisos deben aplicarse a Este objeto y todos los descendientes.
  • Si las contraseñas de algunas cuentas de usuario no se escriben en diferido en el directorio local, asegúrese de que la herencia no esté deshabilitada para la cuenta en el entorno local de Active Directory Domain Services (AD DS). Los permisos de escritura para las contraseñas se deben aplicar a los objetos descendientes para que la característica funcione correctamente.
  • Las directivas de contraseñas en el entorno de AD DS local pueden impedir que se procesen correctamente los restablecimientos de contraseña. Si va a probar esta característica y desea restablecer la contraseña de los usuarios más de una vez al día, la directiva de grupo de vigencia mínima de la contraseña debe establecerse en 0. Esta opción se encuentra en: Configuración del equipo>Directivas>Configuración de Windows>Configuración de seguridad>Directivas de cuenta, en gpmc.msc.
    • Si actualiza la directiva de grupo, espere a que la directiva actualizada se replique o use el comando gpupdate /force.
    • Para que las contraseñas se cambien inmediatamente, la vigencia mínima de la contraseña debe establecerse en 0. Sin embargo, si los usuarios se adhieren a las directivas del entorno local y la vigencia mínima de la contraseña está establecida en un valor mayor que cero, la escritura diferida de contraseñas no funcionará después de que se evalúen las directivas locales.

Pasos siguientes