Resolver mensajes de error de la extensión NPS para la autenticación multifactor de Microsoft Entra
Si se encuentra con errores en la extensión NPS para la autenticación multifactor de Microsoft Entra, use este artículo para lograr una resolución más rápida. Los registros de la extensión de NPS se encuentran en el Visor de eventos en Registros de aplicaciones y servicios>Microsoft>AzureMfa>AuthN>AuthZ en el servidor donde está instalada la extensión de NPS.
Pasos para la solución de errores comunes
Código de error | Pasos para solucionar problemas |
---|---|
CONTACT_SUPPORT | Póngase en contacto con el servicio de soporte técnico y mencione la lista de pasos para recopilar registros. Proporcione la mayor cantidad de información que sea posible sobre lo que sucedió antes del error, incluido el identificador del inquilino y el nombre principal de usuario (UPN). |
CLIENT_CERT_INSTALL_ERROR | Puede haber un problema con la forma en que se instaló el certificado de cliente o cómo se asoció con el inquilino. Siga las instrucciones que aparecen en Solución de problemas con la extensión de NPS de MFA para investigar los problemas con el certificado de cliente. |
ESTS_TOKEN_ERROR | Siga las instrucciones que aparecen en Solución de problemas con la extensión de NPS de MFA para investigar los problemas del token de seguridad y el certificado de cliente. |
HTTPS_COMMUNICATION_ERROR | El servidor NPS no puede recibir respuestas de la autenticación multifactor de Microsoft Entra. Compruebe que los firewalls están abiertos de forma bidireccional para el tráfico a y desde https://adnotifications.windowsazure.com y que TLS 1.2 está habilitado (de forma predeterminada). Si TLS 1.2 está deshabilitado, se produce un error en la autenticación de usuario y se especifica el identificador de evento 36871 con SChannel de origen en el registro del sistema de Visor de eventos. Para comprobar que TLS 1.2 está habilitado, consulte Configuración del registro de TLS. |
HTTP_CONNECT_ERROR | En el servidor que ejecuta la extensión NPS, compruebe que puede acceder a https://adnotifications.windowsazure.com y https://login.microsoftonline.com/ . Si esos sitios no cargan, solucione los problemas de conectividad que tenga ese servidor. |
Extensión NPS para la autenticación multifactor de Microsoft Entra (AccessReject): La extensión NPS para la autenticación multifactor de Microsoft Entra solo realiza la autenticación secundaria de las solicitudes Radius en estado AccessAccept. Se ha recibido una solicitud de nombre de usuario con el estado de respuesta AccessReject, omitiendo la solicitud. |
Este error suele reflejar un error de autenticación en AD o que el servidor NPS no puede recibir respuestas de Microsoft Entra ID. Compruebe que los firewalls están abiertos de forma bidireccional para el tráfico a y desde https://adnotifications.windowsazure.com y https://login.microsoftonline.com mediante los puertos 80 y 443. También es importante comprobar que en la pestaña DIAL-IN de los permisos de acceso a la red, la configuración está establecida en "Controlar acceso a través de la directiva de red NPS". Este error también puede desencadenarse si no se asigna una licencia al usuario. |
Extensión NPS para la autenticación multifactor de Microsoft Entra (AccessChallenge): La extensión NPS para la autenticación multifactor de Microsoft Entra solo realiza la autenticación secundaria de las solicitudes Radius en estado AccessAccept. Se ha recibido una solicitud de nombre de usuario con el estado de respuesta AccessChallenge; se omitirá la solicitud. |
Esta respuesta se usa cuando se requiere información adicional del usuario para completar el proceso de autenticación o autorización. El servidor NPS envía un desafío al usuario, solicitando más credenciales o información. Normalmente precede una respuesta Access-Accept o Access-Reject. |
REGISTRY_CONFIG_ERROR | Falta una clave en el registro de la aplicación, lo que puede deberse a que el script de PowerShell no se ejecutó después de la instalación. El mensaje de error debe incluir la clave que falta. Asegúrese de que la clave se encuentra en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa. |
REQUEST_FORMAT_ERROR Falta el atributo userName\Identifier obligatorio de Radius en la solicitud Radius. Comprobación de que NPS recibe solicitudes RADIUS |
Este error refleja habitualmente un problema de instalación. La extensión de NPS debe estar instalada en servidores de NPS que pueden recibir solicitudes de RADIUS. Los servidores de NPS que están instalados como dependencias para servicios como RDG y RRAS no reciben solicitudes de RADIUS. La extensión NPS no funciona cuando se usan esas instalaciones y genera errores porque no puede leer los detalles de la solicitud de autenticación. |
REQUEST_MISSING_CODE | Asegúrese de que el protocolo de cifrado de contraseña entre los servidores NPS y NAS admite el método de autenticación secundario que usa. PAP admite todos los métodos de autenticación multifactor de Microsoft Entra en la nube: llamada telefónica, mensaje de texto unidireccional, notificaciones de aplicación móvil y código de verificación de aplicación móvil. CHAPV2 y EAP admiten llamadas de teléfono y notificaciones de aplicación móvil. |
USERNAME_CANONICALIZATION_ERROR | Compruebe que el usuario existe en la instancia local de Active Directory y que el servicio NPS tiene permiso para acceder al directorio. Si usa confianzas de bosques, póngase en contacto con el servicio de soporte técnico para que le proporcione más ayuda. |
Desafío solicitado en Extensión de autenticación para el usuario | Las organizaciones que usan un protocolo RADIUS distinto de PAP observarán que se produce un error en la autorización de VPN de usuario con estos eventos que aparecen en el registro de eventos AuthZOptCh del servidor de extensión NPS. Puede configurar el servidor NPS para admitir PAP. Si PAP no es posible, puede establecer OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE para revertir a Aprobar/denegar notificaciones de inserción. Para obtener más ayuda, consulte Coincidencia de números mediante la extensión NPS. |
Errores de identificador de inicio de sesión alternativo
Código de error | Mensaje de error | Pasos para solucionar problemas |
---|---|---|
ALTERNATE_LOGIN_ID_ERROR | Error: error de búsqueda de userObjectSid | Compruebe que el usuario existe en la instancia local de Active Directory. Si usa confianzas de bosques, póngase en contacto con el servicio de soporte técnico para que le proporcione más ayuda. |
ALTERNATE_LOGIN_ID_ERROR | Error: error en la búsqueda de LoginId alternativo | Compruebe que LDAP_ALTERNATE_LOGINID_ATTRIBUTE está establecido en un atributo de directorio activo válido. Si LDAP_FORCE_GLOBAL_CATALOG está establecido en True, o LDAP_LOOKUP_FORESTS se configura con un valor no vacío, compruebe que ha configurado un catálogo global y que el atributo AlternateLoginId se agrega a él. Si LDAP_LOOKUP_FORESTS está configurado con un valor no vacío, compruebe que el valor es correcto. Si hay más de un nombre de bosque, los nombres deben estar separados con puntos y coma, no espacios. Si estos pasos no solucionan el problema, póngase en contacto con soporte técnico para obtener más ayuda. |
ALTERNATE_LOGIN_ID_ERROR | Error: el valor de LoginId alternativo está vacío | Compruebe que el atributo de AlternateLoginId está configurado para el usuario. |
Errores que pueden encontrar los usuarios
Código de error | Mensaje de error | Pasos para solucionar problemas |
---|---|---|
AccessDenied | El inquilino autor de la llamada no tiene permisos de acceso para realizar la autenticación por el usuario | Revise si el dominio del inquilino y el dominio del nombre principal de usuario (UPN) son iguales. Por ejemplo, asegúrese de que user@contoso.com intenta autenticarse en el inquilino Contoso. El nombre principal de usuario representa un usuario válido para el inquilino en Azure. |
AuthenticationMethodNotConfigured | El método de autenticación especificado no se configuró para el usuario | Haga que el usuario agregue o compruebe los métodos de comprobación según las instrucciones que aparecen en Administración de la configuración de la verificación en dos pasos. |
AuthenticationMethodNotSupported | No se admite el método de autenticación especificado. | Recopile todos los registros que incluyen este error y póngase en contacto con el servicio de soporte técnico. Cuando lo haga, proporcione el nombre de usuario y el método de comprobación secundario que desencadenó el error. |
BecAccessDenied | La llamada Bec de MSODS devolvió un acceso denegado, probablemente porque el nombre de usuario no está definido en el inquilino | El usuario se encuentra en la instancia local de Active Directory, pero AD Connect no se sincroniza en Microsoft Entra ID. O bien puede que el usuario falte en el inquilino. Agregue el usuario a Microsoft Entra ID y haga que agreguen sus métodos de comprobación según las instrucciones que aparecen en Administración de la configuración de la verificación en dos pasos. |
InvalidFormat o StrongAuthenticationServiceInvalidParameter | El número de teléfono tiene un formato no reconocible | Haga que el usuario corrija los números de teléfono de comprobación. |
InvalidSession | La sesión especificada no es válida o puede haber expirado | La sesión tarda más de tres minutos en completarse. Compruebe que el usuario escribe el código de verificación o que responde a la notificación de aplicación en menos de tres minutos después de que se inicia la solicitud de autenticación. Si no se soluciona el problema, compruebe que no haya latencias de red entre el cliente, el servidor NAS, el servidor NPS y el punto de conexión de la autenticación multifactor de Microsoft Entra. |
NoDefaultAuthenticationMethodIsConfigured | No se configuró ningún método de autenticación predeterminado para el usuario | Haga que el usuario agregue o compruebe los métodos de comprobación según las instrucciones que aparecen en Administración de la configuración de la verificación en dos pasos. Compruebe que el usuario eligió un método de autenticación predeterminado y que configuró dicho método para la cuenta. |
OathCodePinIncorrect | Se escribió un PIN y un código de error incorrectos. | Este error no se espera en la extensión de NPS. Si el usuario encuentra este error, póngase en contacto con el servicio de soporte técnico para ayuda en la solución de problemas. |
ProofDataNotFound | No se configuraron datos de prueba para el método de autenticación especificado. | Haga que el usuario pruebe con otro método de comprobación o agregue un método de comprobación nuevos según las instrucciones que aparecen en Administración de la configuración de la verificación en dos pasos. Si el usuario sigue viendo este error una vez que confirmó que el método de comprobación está configurado correctamente, póngase en contacto con el servicio de soporte técnico. |
SMSAuthFailedWrongCodePinEntered | Se escribió un PIN y un código de error incorrectos. (OneWaySMS) | Este error no se espera en la extensión de NPS. Si el usuario encuentra este error, póngase en contacto con el servicio de soporte técnico para ayuda en la solución de problemas. |
TenantIsBlocked | El inquilino está bloqueado | Póngase en contacto con el servicio de soporte técnico con el identificador de inquilino de la página de propiedades de Microsoft Entra en el centro de administración de Microsoft Entra. |
UserNotFound | No se encontró el usuario especificado | El inquilino ya no está visible como activo en Microsoft Entra ID. Compruebe que la suscripción está activa y que tiene las aplicaciones propias requeridas. Además, asegúrese de que el inquilino del asunto del certificado sea el esperado y que el certificado siga siendo válido y esté registrado en la entidad de servicio. |
Mensajes que pueden encontrar los usuarios que no son errores
A veces, los usuarios pueden recibir mensajes de autenticación multifactor debido a un error en la solicitud de autenticación. No se trata de errores de configuración, sino que advertencias intencionales que explican por qué se denegó una solicitud de autenticación.
Código de error | Mensaje de error | Pasos recomendados |
---|---|---|
OathCodeIncorrect | Se escribió un código incorrecto\Código OATH incorrecto | El usuario escribió un código incorrecto. Pídale que solicite un código nuevo o que vuelva a iniciar sesión para intentarlo nuevamente. |
SMSAuthFailedMaxAllowedCodeRetryReached | Se alcanzó el número máximo de reintentos de código | El usuario no pudo completar el desafío de comprobación demasiadas veces. En función de lo que indique la configuración puede que ahora un administrador deba desbloquearlo. |
SMSAuthFailedWrongCodeEntered | Se escribió un código incorrecto/OTP de mensaje de texto incorrecto | El usuario escribió un código incorrecto. Pídale que solicite un código nuevo o que vuelva a iniciar sesión para intentarlo nuevamente. |
AuthenticationThrottled | Demasiados intentos por parte del usuario en un breve período de tiempo. Limitación de peticiones. | Microsoft puede limitar los intentos de autenticación repetidos que realiza el mismo usuario en un breve período de tiempo. Esta limitación no se aplica a Microsoft Authenticator ni al código de verificación. Si ha alcanzado estos límites, puede usar la aplicación Authenticator, el código de verificación o intentar iniciar sesión de nuevo en unos minutos. |
AuthenticationMethodLimitReached | Se ha alcanzado el límite del método de autenticación. Limitación de peticiones. | Microsoft puede limitar los intentos de autenticación realizados repetidamente por un mismo usuario con el mismo método en un breve período de tiempo, específicamente la Llamada de voz o el SMS. Esta limitación no se aplica a Microsoft Authenticator ni al código de verificación. Si ha alcanzado estos límites, puede usar la aplicación Authenticator, el código de verificación o intentar iniciar sesión de nuevo en unos minutos. |
Errores que requieren soporte técnico
Si encuentra uno de estos errores, se recomienda ponerse en contacto con el servicio de soporte técnico para obtener ayuda en el diagnóstico. No hay un conjunto estándar de pasos para abordar estos errores. Cuando se comunique con el servicio de soporte técnico, asegúrese de incluir toda la información que sea posible sobre los pasos que generaron un error, además de la información del inquilino.
Código de error | Mensaje de error |
---|---|
InvalidParameter | La solicitud no debe ser nula |
InvalidParameter | El valor ObjectId no debe estar vacío ni ser un valor nulo para ReplicationScope:{0} |
InvalidParameter | La longitud de CompanyName {0}\ es mayor que la longitud máxima permitida {1} |
InvalidParameter | El valor UserPrincipalName no debe estar vacío ni ser un valor nulo |
InvalidParameter | El valor TenantId proporcionado no tiene el formato correcto |
InvalidParameter | El valor SessionId no debe estar vacío ni ser un valor nulo |
InvalidParameter | No se pudo resolver ningún valor ProofData desde la solicitud o Msods. El valor de ProofData es desconocido |
InternalError | |
OathCodePinIncorrect | |
VersionNotSupported | |
MFAPinNotSetup |
Pasos siguientes
Solución de problemas de cuentas de usuario
Si los usuarios tienen problemas con la verificación en dos pasos, ayúdelos a autodiagnosticar problemas.
Script de comprobación de estado
El script de verificación de estado de la extensión NPS de autenticación multifactor de Microsoft Entra realiza varias verificaciones de estado básicas al solucionar problemas de la extensión NPS. Este es un resumen rápido sobre cada opción disponible cuando se ejecuta el script:
- Opción 1: para aislar la causa del problema: si se trata de un problema de NPS o MFA (exportar RegKeys de MFA, reiniciar NPS, probar, importar RegKeys, reiniciar NPS)
- Opción 2: para comprobar un conjunto completo de pruebas, cuando no todos los usuarios pueden usar la extensión NPS de MFA (probar el acceso a Azure/Crear informe HTML)
- Opción 3: para comprobar un conjunto específico de pruebas, cuando un usuario específico no puede usar la extensión NPS de MFA (probar MFA para un UPN específico)
- Opción 4: para recopilar registros para ponerse en contacto con el soporte técnico de Microsoft (habilitar el registro, reiniciar NPS o recopilar registros)
Consultar al soporte técnico de Microsoft
Si necesita ayuda adicional, póngase en contacto con un profesional de soporte técnico a través de Soporte técnico de MFA. Al ponerse en contacto con nosotros, nos resultará de gran utilidad que incluya tanta información sobre su problema como sea posible. Entre la información que puede aportar se incluyen la página donde vio el error, el código de error específico, el identificador de sesión específico, el identificador del usuario que vio el error y los registros de depuración.
Para recopilar registros para diagnósticos de soporte, ejecute el script de comprobación de estado de la extensión NPS de autenticación multifactor de Microsoft Entra en el servidor NPS y elija la opción 4 para recopilar registros y proporcionarlos al soporte técnico de Microsoft.
Al final, cargue el archivo de salida zip generado en la carpeta C:\NPS y adjunte al caso de soporte técnico.