Solución de problemas de sincronización de hash de contraseñas con la sincronización de Azure AD ConnectTroubleshoot password hash synchronization with Azure AD Connect sync

En este tema se proporcionan los pasos para solucionar problemas relacionados con la sincronización de hash de contraseñas.This topic provides steps for how to troubleshoot issues with password hash synchronization. Si las contraseñas no se sincronizan como se esperaba, puede ser para un subconjunto de usuarios o para todos los usuarios.If passwords are not synchronizing as expected, it can be either for a subset of users or for all users.

Para la implementación de la versión 1.1.614.0 o posterior de Azure Active Directory (Azure AD) Connect, utilice la tarea de solución de problemas del asistente para solucionar problemas de sincronización de hash de contraseñas:For Azure Active Directory (Azure AD) Connect deployment with version 1.1.614.0 or after, use the troubleshooting task in the wizard to troubleshoot password hash synchronization issues:

Para la implementación de la versión 1.1.524.0 u otra posterior, hay un cmdlet de diagnóstico que puede utilizar para solucionar problemas de sincronización de hash de contraseñas:For deployment with version 1.1.524.0 or later, there is a diagnostic cmdlet that you can use to troubleshoot password hash synchronization issues:

Para versiones anteriores de la implementación de Azure AD Connect:For older versions of Azure AD Connect deployment:

No se sincronizan las contraseñas: solución de problemas mediante la tarea correspondienteNo passwords are synchronized: troubleshoot by using the troubleshooting task

Puede usar la tarea de solución de problemas para averiguar por qué no se sincronizan las contraseñas.You can use the troubleshooting task to figure out why no passwords are synchronized.

Nota

La tarea de solución de problemas está disponible solo para Azure AD Connect versión 1.1.614.0 u otra posterior.The troubleshooting task is available only for Azure AD Connect version 1.1.614.0 or later.

Ejecución de la tarea de solución de problemasRun the troubleshooting task

Para solucionar problemas cuando no se sincronizan las contraseñas:To troubleshoot issues where no passwords are synchronized:

  1. Abra una nueva sesión de Windows PowerShell en el servidor de Azure AD Connect mediante la opción Ejecutar como administrador.Open a new Windows PowerShell session on your Azure AD Connect server with the Run as Administrator option.

  2. Ejecute Set-ExecutionPolicy RemoteSigned o Set-ExecutionPolicy Unrestricted.Run Set-ExecutionPolicy RemoteSigned or Set-ExecutionPolicy Unrestricted.

  3. Inicie el asistente de Azure AD Connect.Start the Azure AD Connect wizard.

  4. Vaya a la página Tareas adicionales, seleccione Solucionar problemas y haga clic en Siguiente.Navigate to the Additional Tasks page, select Troubleshoot, and click Next.

  5. En la página de solución de problemas, haga clic en Iniciar para iniciar el menú de solución de problemas en PowerShell.On the Troubleshooting page, click Launch to start the troubleshooting menu in PowerShell.

  6. En el menú principal, seleccione Solucionar problemas de sincronización de hash de contraseñas.In the main menu, select Troubleshoot password hash synchronization.

  7. En el submenú, seleccione Password Synchronization does not work at all (La sincronización de hash de contraseñas no funciona en absoluto).In the sub menu, select Password hash synchronization does not work at all.

Descripción de los resultados de la tarea de solución de problemasUnderstand the results of the troubleshooting task

La tarea de solución de problemas realiza las siguientes comprobaciones:The troubleshooting task performs the following checks:

  • Valida que la característica de sincronización de hash de contraseñas esté habilitada para el inquilino de Azure AD.Validates that the password hash synchronization feature is enabled for your Azure AD tenant.

  • Valida que el servidor de Azure AD Connect no está en modo de almacenamiento provisional.Validates that the Azure AD Connect server is not in staging mode.

  • Para cada conector Active Directory local (que corresponde a un bosque existente de Active Directory):For each existing on-premises Active Directory connector (which corresponds to an existing Active Directory forest):

    • Valida que la característica de sincronización de hash de contraseñas esté habilitada.Validates that the password hash synchronization feature is enabled.

    • Busca eventos de latido de sincronización de hash de contraseñas en los registros de eventos de aplicaciones de Windows.Searches for password hash synchronization heartbeat events in the Windows Application Event logs.

    • Para cada dominio de Active Directory en el conector Active Directory local:For each Active Directory domain under the on-premises Active Directory connector:

      • Valida que el dominio sea accesible desde el servidor de Azure AD Connect.Validates that the domain is reachable from the Azure AD Connect server.

      • Valida que las cuentas de Servicios de Dominio de Active Directory (AD DS) que usa el conector Active Directory local tengan un nombre de usuario correcto y una contraseña y los permisos necesarios para la sincronización de hash de contraseñas.Validates that the Active Directory Domain Services (AD DS) accounts used by the on-premises Active Directory connector has the correct username, password, and permissions required for password hash synchronization.

El siguiente diagrama muestra los resultados del cmdlet para una topología de Active Directory local de un solo dominio:The following diagram illustrates the results of the cmdlet for a single-domain, on-premises Active Directory topology:

Salida de diagnóstico de la sincronización de hash de contraseñas

En el resto de esta sección se describen los resultados concretos que devuelve la tarea y los correspondientes problemas.The rest of this section describes specific results that are returned by the task and corresponding issues.

La característica de sincronización de hash de contraseñas no está habilitadapassword hash synchronization feature isn't enabled

Si no ha habilitado la sincronización de hash de contraseñas mediante el asistente de Azure AD Connect, se devuelve el siguiente error:If you haven't enabled password hash synchronization by using the Azure AD Connect wizard, the following error is returned:

La sincronización de hash de contraseñas no está habilitada

El servidor de Azure AD Connect está en modo de almacenamiento provisionalAzure AD Connect server is in staging mode

Si el servidor de Azure AD Connect está en modo de almacenamiento provisional, la sincronización de hash de contraseñas está deshabilitada temporalmente y se devuelve el siguiente error:If the Azure AD Connect server is in staging mode, password hash synchronization is temporarily disabled, and the following error is returned:

El servidor de Azure AD Connect está en modo de almacenamiento provisional

No hay eventos de latido de sincronización de hash de contraseñasNo password hash synchronization heartbeat events

Cada conector Active Directory local tiene su propio canal de sincronización de hash de contraseñas.Each on-premises Active Directory connector has its own password hash synchronization channel. Cuando se establece el canal de sincronización de hash de contraseñas y no hay cambios de contraseña que sincronizar, se genera un evento de latido (Id. de evento 654) una vez cada 30 minutos en el registro de eventos de aplicaciones de Windows.When the password hash synchronization channel is established and there aren't any password changes to be synchronized, a heartbeat event (EventId 654) is generated once every 30 minutes under the Windows Application Event Log. Para cada conector Active Directory local, el cmdlet busca los correspondientes eventos de latido de las últimas tres horas.For each on-premises Active Directory connector, the cmdlet searches for corresponding heartbeat events in the past three hours. Si no se encuentra ningún evento de latido, se devuelve el error siguiente:If no heartbeat event is found, the following error is returned:

No hay eventos de latido de sincronización de hash de contraseñas

La cuenta de AD DS no tiene los permisos correctosAD DS account does not have correct permissions

Si la cuenta de AD DS que usa el conector Active Directory local para sincronizar los hash de contraseña no tiene los permisos adecuados, se devuelve el error siguiente:If the AD DS account that's used by the on-premises Active Directory connector to synchronize password hashes does not have the appropriate permissions, the following error is returned:

Captura de pantalla que muestra el error que se devuelve cuando la cuenta de AD DS tiene un nombre de usuario o una contraseña incorrectos.

Nombre de usuario o contraseña incorrectos de la cuenta de AD DSIncorrect AD DS account username or password

Si la cuenta de AD DS que usa el conector Active Directory local para sincronizar los hash de contraseña tiene un nombre de usuario o una contraseña incorrectos, se devuelve el error siguiente:If the AD DS account used by the on-premises Active Directory connector to synchronize password hashes has an incorrect username or password, the following error is returned:

Credencial incorrecta

Un objeto no sincroniza contraseñas: solución de problemas mediante la tarea correspondienteOne object is not synchronizing passwords: troubleshoot by using the troubleshooting task

Puede usar la tarea de solución de problemas para determinar por qué un objeto no sincroniza contraseñas.You can use the troubleshooting task to determine why one object is not synchronizing passwords.

Nota

La tarea de solución de problemas está disponible solo para Azure AD Connect versión 1.1.614.0 u otra posterior.The troubleshooting task is available only for Azure AD Connect version 1.1.614.0 or later.

Ejecución del cmdlet de diagnósticoRun the diagnostics cmdlet

Para solucionar problemas de un objeto de usuario específico:To troubleshoot issues for a specific user object:

  1. Abra una nueva sesión de Windows PowerShell en el servidor de Azure AD Connect mediante la opción Ejecutar como administrador.Open a new Windows PowerShell session on your Azure AD Connect server with the Run as Administrator option.

  2. Ejecute Set-ExecutionPolicy RemoteSigned o Set-ExecutionPolicy Unrestricted.Run Set-ExecutionPolicy RemoteSigned or Set-ExecutionPolicy Unrestricted.

  3. Inicie el asistente de Azure AD Connect.Start the Azure AD Connect wizard.

  4. Vaya a la página Tareas adicionales, seleccione Solucionar problemas y haga clic en Siguiente.Navigate to the Additional Tasks page, select Troubleshoot, and click Next.

  5. En la página de solución de problemas, haga clic en Iniciar para iniciar el menú de solución de problemas en PowerShell.On the Troubleshooting page, click Launch to start the troubleshooting menu in PowerShell.

  6. En el menú principal, seleccione Solucionar problemas de sincronización de hash de contraseñas.In the main menu, select Troubleshoot password hash synchronization.

  7. En el submenú, seleccione Password is not synchronized for a specific user account (La contraseña no está sincronizada para una cuenta de usuario específica).In the sub menu, select Password is not synchronized for a specific user account.

Descripción de los resultados de la tarea de solución de problemasUnderstand the results of the troubleshooting task

La tarea de solución de problemas realiza las siguientes comprobaciones:The troubleshooting task performs the following checks:

  • Examina el estado del objeto de Active Directory en el espacio conector Active Directory, el metaverso y el espacio conector Azure AD.Examines the state of the Active Directory object in the Active Directory connector space, Metaverse, and Azure AD connector space.

  • Valida que haya reglas de sincronización con la sincronización de hash de contraseñas habilitada y se aplican al objeto de Active Directory.Validates that there are synchronization rules with password hash synchronization enabled and applied to the Active Directory object.

  • Intenta recuperar y mostrar los resultados del último intento de sincronización de la contraseña del objeto.Attempts to retrieve and display the results of the last attempt to synchronize the password for the object.

El siguiente diagrama muestra los resultados del cmdlet al solucionar problemas de sincronización de hash de contraseñas de un solo objeto:The following diagram illustrates the results of the cmdlet when troubleshooting password hash synchronization for a single object:

Salida de diagnóstico de la sincronización de hash de contraseñas: un solo objeto

En el resto de esta sección se describen los resultados concretos que devuelve el cmdlet y los correspondientes problemas.The rest of this section describes specific results returned by the cmdlet and corresponding issues.

El objeto de Active Directory no se ha exportado a Azure ADThe Active Directory object isn't exported to Azure AD

La sincronización de hash de contraseñas para esta cuenta de Active Directory local no se realiza porque no hay un objeto correspondiente en el inquilino de Azure AD.password hash synchronization for this on-premises Active Directory account fails because there is no corresponding object in the Azure AD tenant. Se devuelve el siguiente error:The following error is returned:

Falta objeto de Azure AD

El usuario tiene una contraseña incorrectaUser has a temporary password

Actualmente, Azure AD Connect no admite la sincronización de contraseñas temporales con Azure AD.Currently, Azure AD Connect does not support synchronizing temporary passwords with Azure AD. Una contraseña se considera temporal si la opción Change password at next logon (Cambiar la contraseña en el siguiente inicio de sesión) se establece como activada en el usuario de Active Directory local.A password is considered to be temporary if the Change password at next logon option is set on the on-premises Active Directory user. Se devuelve el siguiente error:The following error is returned:

La contraseña temporal no se exporta

No hay resultados del último intento de sincronización de contraseña disponiblesResults of last attempt to synchronize password aren't available

De manera predeterminada, Azure AD Connect almacena los resultados de los intentos de sincronización de hash de contraseñas durante siete días.By default, Azure AD Connect stores the results of password hash synchronization attempts for seven days. Si no hay ningún resultado disponible para el objeto de Active Directory seleccionado, se devuelve la advertencia siguiente:If there are no results available for the selected Active Directory object, the following warning is returned:

Salida de diagnóstico de un solo objeto: no hay historial de sincronización de contraseña

No se sincronizan las contraseñas: solución de problemas mediante el cmdlet de diagnósticoNo passwords are synchronized: troubleshoot by using the diagnostic cmdlet

Puede usar el cmdlet Invoke-ADSyncDiagnostics para averiguar por qué no se sincronizan las contraseñas.You can use the Invoke-ADSyncDiagnostics cmdlet to figure out why no passwords are synchronized.

Nota

El cmdlet Invoke-ADSyncDiagnostics solo está disponible para Azure AD Connect versión 1.1.524.0 o posterior.The Invoke-ADSyncDiagnostics cmdlet is available only for Azure AD Connect version 1.1.524.0 or later.

Ejecución del cmdlet de diagnósticoRun the diagnostics cmdlet

Para solucionar problemas cuando no se sincronizan las contraseñas:To troubleshoot issues where no passwords are synchronized:

  1. Abra una nueva sesión de Windows PowerShell en el servidor de Azure AD Connect mediante la opción Ejecutar como administrador.Open a new Windows PowerShell session on your Azure AD Connect server with the Run as Administrator option.

  2. Ejecute Set-ExecutionPolicy RemoteSigned o Set-ExecutionPolicy Unrestricted.Run Set-ExecutionPolicy RemoteSigned or Set-ExecutionPolicy Unrestricted.

  3. Ejecute Import-Module ADSyncDiagnostics.Run Import-Module ADSyncDiagnostics.

  4. Ejecute Invoke-ADSyncDiagnostics -PasswordSync.Run Invoke-ADSyncDiagnostics -PasswordSync.

Un objeto no sincroniza contraseñas: solución de problemas mediante el cmdlet de diagnósticoOne object is not synchronizing passwords: troubleshoot by using the diagnostic cmdlet

Puede usar el cmdlet Invoke-ADSyncDiagnostics para determinar por qué un objeto no sincroniza contraseñas.You can use the Invoke-ADSyncDiagnostics cmdlet to determine why one object is not synchronizing passwords.

Nota

El cmdlet Invoke-ADSyncDiagnostics solo está disponible para Azure AD Connect versión 1.1.524.0 o posterior.The Invoke-ADSyncDiagnostics cmdlet is available only for Azure AD Connect version 1.1.524.0 or later.

Ejecución del cmdlet de diagnósticoRun the diagnostics cmdlet

Para solucionar problemas cuando no se sincronizan las contraseñas de un usuario:To troubleshoot issues where no passwords are synchronized for a user:

  1. Abra una nueva sesión de Windows PowerShell en el servidor de Azure AD Connect mediante la opción Ejecutar como administrador.Open a new Windows PowerShell session on your Azure AD Connect server with the Run as Administrator option.

  2. Ejecute Set-ExecutionPolicy RemoteSigned o Set-ExecutionPolicy Unrestricted.Run Set-ExecutionPolicy RemoteSigned or Set-ExecutionPolicy Unrestricted.

  3. Ejecute Import-Module ADSyncDiagnostics.Run Import-Module ADSyncDiagnostics.

  4. Ejecute el siguiente cmdlet:Run the following cmdlet:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName <Name-of-AD-Connector> -DistinguishedName <DistinguishedName-of-AD-object>
    

    Por ejemplo:For example:

    Invoke-ADSyncDiagnostics -PasswordSync -ADConnectorName "contoso.com" -DistinguishedName "CN=TestUserCN=Users,DC=contoso,DC=com"
    

No se sincronizan las contraseñas: pasos para la solución manual de problemasNo passwords are synchronized: manual troubleshooting steps

Siga estos pasos para determinar por qué no se sincronizan las contraseñas:Follow these steps to determine why no passwords are synchronized:

  1. ¿Está el servidor de Connect en modo de almacenamiento provisional?Is the Connect server in staging mode? Un servidor en modo de almacenamiento provisional no sincroniza contraseñas.A server in staging mode does not synchronize any passwords.

  2. Ejecute el script de la sección Obtención del estado de configuración de sincronización de contraseñas.Run the script in the Get the status of password sync settings section. Le ofrece una visión general de la configuración de sincronización de contraseñas.It gives you an overview of the password sync configuration.

    Salida del script de PowerShell de la configuración de sincronización de contraseñas

  3. Si la característica no está habilitada en Azure AD o si el estado del canal de sincronización no está habilitado, ejecute el Asistente para instalación de Connect.If the feature is not enabled in Azure AD or if the sync channel status is not enabled, run the Connect installation wizard. Seleccione Personalizar las opciones de sincronización y anule la selección de sincronización de contraseñas. Este cambio deshabilita temporalmente la característica.Select Customize synchronization options, and unselect password sync. This change temporarily disables the feature. Después, vuelva a ejecutar al asistente y habilite de nuevo la sincronización de contraseñas. Vuelva a ejecutar el script para comprobar que la configuración es correcta.Then run the wizard again and re-enable password sync. Run the script again to verify that the configuration is correct.

  4. Busque errores en el registro de eventos.Look in the event log for errors. Busque los siguientes eventos, que podrían indicar un problema:Look for the following events, which would indicate a problem:

    • Origen: Identificador de "sincronización de directorios": 0, 611, 652, 655. Si ve estos eventos, tiene un problema de conectividad.Source: "Directory synchronization" ID: 0, 611, 652, 655 If you see these events, you have a connectivity problem. El mensaje de registro de eventos contiene información de bosques en los que hay un problema.The event log message contains forest information where you have a problem. Para más información, vea [Problemas de conectividad](#connectivity problem).For more information, see [Connectivity problem](#connectivity problem).
  5. Si no ve ningún latido o si nada funciona, ejecute Desencadenamiento de una sincronización completa de todas las contraseñas.If you see no heartbeat or if nothing else worked, run Trigger a full sync of all passwords. Ejecute el script una sola vez.Run the script only once.

  6. Consulte la sección Solución de problemas de un objeto que no sincroniza contraseñas.See the Troubleshoot one object that is not synchronizing passwords section.

Problemas de conectividadConnectivity problems

¿Hay conectividad con Azure AD?Do you have connectivity with Azure AD?

¿La cuenta tiene los permisos necesarios para leer los valores de hash de contraseña en todos los dominios?Does the account have required permissions to read the password hashes in all domains? Si instaló Connect con la configuración rápida, los permisos deben ser los correctos.If you installed Connect by using Express settings, the permissions should already be correct.

Si realizó una instalación personalizada, establezca los permisos manualmente haciendo lo siguiente:If you used custom installation, set the permissions manually by doing the following:

  1. Para buscar la cuenta que usa el conector Active Directory, inicie Synchronization Service Manager.To find the account used by the Active Directory connector, start Synchronization Service Manager.

  2. Vaya a Conectores y busque el bosque de Active Directory local cuyos problemas va a solucionar.Go to Connectors, and then search for the on-premises Active Directory forest you are troubleshooting.

  3. Seleccione el conector y haga clic en Propiedades.Select the connector, and then click Properties.

  4. Vaya a Conexión al bosque de Active Directory.Go to Connect to Active Directory Forest.

    Cuenta que usa el conector Active Directory
    Apunte el nombre de usuario y el dominio donde está la cuenta.Note the username and the domain where the account is located.

  5. Inicie Usuarios y equipos de Active Directory y compruebe que la cuenta encontrada anteriormente tiene los permisos siguientes establecidos en la raíz de todos los dominios del bosque:Start Active Directory Users and Computers, and then verify that the account you found earlier has the follow permissions set at the root of all domains in your forest:

    • Replicación de cambios de directorioReplicate Directory Changes
    • Replicación de todos los cambios de directorioReplicate Directory Changes All
  6. ¿Puede Azure AD Connect acceder a los controladores de dominio?Are the domain controllers reachable by Azure AD Connect? Si el servidor de Connect no puede conectarse a todos los controladores de dominio, configure Only use preferred domain controller (Usar solo el controlador de dominio preferido).If the Connect server cannot connect to all domain controllers, configure Only use preferred domain controller.

    Controlador de dominio que usa el conector Active Directory

  7. Vuelva a Synchronization Service Manager y Configure Directory Partition (Configurar partición de directorio).Go back to Synchronization Service Manager and Configure Directory Partition.

  8. Seleccione el dominio en Seleccionar particiones de directorio, active la casilla Only use preferred domain controller (Usar solo el controlador de dominio preferido) y haga clic en Configurar.Select your domain in Select directory partitions, select the Only use preferred domain controllers check box, and then click Configure.

  9. En la lista, escriba los controladores de dominio que Connect debe usar para realizar la sincronización de contraseñas. También se usa la misma lista para los procesos de importación y exportación.In the list, enter the domain controllers that Connect should use for password sync. The same list is used for import and export as well. Siga estos pasos con todos los dominios.Do these steps for all your domains.

Nota

Para aplicar estos cambios, reinicie el servicio Microsoft Azure AD Sync (ADSync).To apply these changes, restart the Microsoft Azure AD Sync (ADSync) service.

  1. Si el script muestra que no hay ningún latido, ejecute el script de Desencadenamiento de una sincronización completa de todas las contraseñas.If the script shows that there is no heartbeat, run the script in Trigger a full sync of all passwords.

Un objeto no sincroniza contraseñas: pasos para la solución manual de problemasOne object is not synchronizing passwords: manual troubleshooting steps

Puede solucionar fácilmente los problemas relacionados con la sincronización de hash de contraseñas si revisa el estado actual de un objeto.You can easily troubleshoot password hash synchronization issues by reviewing the status of an object.

  1. En Usuarios y equipos de Active Directory, busque el usuario y compruebe que la casilla El usuario debe cambiar la contraseña en el siguiente inicio de sesión está desactivada.In Active Directory Users and Computers, search for the user, and then verify that the User must change password at next logon check box is cleared.

    Contraseñas productivas de Active Directory

    Si la casilla está activada, pida al usuario que inicie sesión y cambie la contraseña.If the check box is selected, ask the user to sign in and change the password. Las contraseñas temporales no se sincronizan con Azure AD.Temporary passwords are not synchronized with Azure AD.

  2. Si la contraseña parece correcta en Active Directory, siga al usuario en el motor de sincronización.If the password looks correct in Active Directory, follow the user in the sync engine. Al seguir al usuario desde Active Directory local hasta Azure AD, puede ver si hay un error descriptivo en el objeto.By following the user from on-premises Active Directory to Azure AD, you can see whether there is a descriptive error on the object.

    a.a. Inicie el Synchronization Service Manager.Start the Synchronization Service Manager.

    b.b. Haga clic en Conectores.Click Connectors.

    c.c. Seleccione el conector Active Directory en el que se encuentra el usuario.Select the Active Directory Connector where the user is located.

    d.d. Seleccione Search Connector Space(Buscar espacio de conector).Select Search Connector Space.

    e.e. En el cuadro Ámbito, seleccione DN o delimitador y escriba el DN completo del usuario cuyos problemas va a solucionar.In the Scope box, select DN or Anchor, and then enter the full DN of the user you are troubleshooting.

    Búsqueda de usuario en el espacio conector con DN

    f.f. Busque el usuario y haga clic en Propiedades para ver todos los atributos.Locate the user you are looking for, and then click Properties to see all the attributes. Si el usuario no aparece en el resultado de búsqueda, compruebe las reglas de filtrado y asegúrese de ejecutar Aplicación y comprobación de los cambios para que el usuario se muestre en Connect.If the user is not in the search result, verify your filtering rules and make sure that you run Apply and verify changes for the user to appear in Connect.

    g.g. Para ver los detalles de la sincronización de contraseñas del objeto de la semana pasada, haga clic en Registro.To see the password sync details of the object for the past week, click Log.

    Detalles del registro de objetos

    Si el registro de objetos está vacío, Azure AD Connect no ha sido capaz de leer el valor de hash de contraseña de Active Directory.If the object log is empty, Azure AD Connect has been unable to read the password hash from Active Directory. Continúe solucionando problemas con Errores de conectividad.Continue your troubleshooting with Connectivity Errors. Si ve un valor distinto de correcto, consulte la tabla de Registro de sincronización de contraseñas.If you see any other value than success, refer to the table in Password sync log.

    h.h. Seleccione la pestaña Linaje y asegúrese de que al menos una de las reglas de sincronización de la columna PasswordSync está establecida en True.Select the lineage tab, and make sure that at least one sync rule in the PasswordSync column is True. En la configuración predeterminada, el nombre de la regla de sincronización es In from AD - User AccountEnabled.In the default configuration, the name of the sync rule is In from AD - User AccountEnabled.

    Información de linaje de un usuario

    i.i. Haga clic en Metaverse Object Properties (Propiedades del objeto de metaverso) para mostrar una lista de atributos de usuario.Click Metaverse Object Properties to display a list of user attributes.

    Captura de pantalla que muestra la lista de atributos de usuario para las propiedades del objeto de metaverso.

    Compruebe que no hay ningún atributo cloudFiltered.Verify that there is no cloudFiltered attribute present. Asegúrese de que los atributos de dominio (domainFQDN y domainNetBios) tienen los valores esperados.Make sure that the domain attributes (domainFQDN and domainNetBios) have the expected values.

    j.j. Haga clic en la pestaña Conectores. Asegúrese de que ve conectores para Active Directory local y Azure AD.Click the Connectors tab. Make sure that you see connectors to both on-premises Active Directory and Azure AD.

    Información de metaverso

    k.k. Seleccione la fila que representa Azure AD, haga clic en Propiedades y luego, en la pestaña Linaje. El objeto del espacio conector debe tener una regla de salida con la columna PasswordSync establecida en True.Select the row that represents Azure AD, click Properties, and then click the Lineage tab. The connector space object should have an outbound rule in the PasswordSync column set to True. En la configuración predeterminada, el nombre de la regla de sincronización es Out to AAD - User Join.In the default configuration, the name of the sync rule is Out to AAD - User Join.

    Cuadro de diálogo de propiedades de objeto del espacio conector

Registro de sincronización de contraseñasPassword sync log

La columna de estado puede presentar los siguientes valores:The status column can have the following values:

EstadoStatus DescripciónDescription
CorrectoSuccess La contraseña se sincronizó correctamente.Password has been successfully synchronized.
FilteredByTargetFilteredByTarget La contraseña se establece en El usuario debe cambiar la contraseña en el siguiente inicio de sesión.Password is set to User must change password at next logon. La contraseña no se ha sincronizado.Password has not been synchronized.
NoTargetConnectionNoTargetConnection No hay ningún objeto en el metaverso o en el espacio del conector de Azure AD.No object in the metaverse or in the Azure AD connector space.
SourceConnectorNotPresentSourceConnectorNotPresent No se encontró ningún objeto en el espacio del conector de Active Directory local.No object found in the on-premises Active Directory connector space.
TargetNotExportedToDirectoryTargetNotExportedToDirectory Aún no se exportó el objeto del espacio del conector de Azure AD.The object in the Azure AD connector space has not yet been exported.
MigratedCheckDetailsForMoreInfoMigratedCheckDetailsForMoreInfo La entrada de registro se creó antes de la versión 1.0.9125.0 y se muestra en su estado heredado.Log entry was created before build 1.0.9125.0 and is shown in its legacy state.
ErrorError El servicio devolvió un error desconocido.Service returned an unknown error.
DesconocidoUnknown Ha habido un error al intentar procesar un lote de valores hash de contraseña.An error occurred while trying to process a batch of password hashes.
MissingAttributeMissingAttribute Los atributos específicos (por ejemplo, hash de Kerberos) que requiere Azure AD Domain Services no están disponibles.Specific attributes (for example, Kerberos hash) required by Azure AD Domain Services are not available.
RetryRequestedByTargetRetryRequestedByTarget Los atributos específicos (por ejemplo, hash de Kerberos) que requiere Azure AD Domain Services no estaban disponibles anteriormente.Specific attributes (for example, Kerberos hash) required by Azure AD Domain Services were not available previously. Se intenta volver a sincronizar el valor hash de contraseña del usuario.An attempt to resynchronize the user's password hash is made.

Scripts para ayudar a solucionar problemasScripts to help troubleshooting

Obtención del estado de configuración de sincronización de contraseñasGet the status of password sync settings

Import-Module ADSync
$connectors = Get-ADSyncConnector
$aadConnectors = $connectors | Where-Object {$_.SubType -eq "Windows Azure Active Directory (Microsoft)"}
$adConnectors = $connectors | Where-Object {$_.ConnectorTypeName -eq "AD"}
if ($aadConnectors -ne $null -and $adConnectors -ne $null)
{
    if ($aadConnectors.Count -eq 1)
    {
        $features = Get-ADSyncAADCompanyFeature
        Write-Host
        Write-Host "Password sync feature enabled in your Azure AD directory: "  $features.PasswordHashSync
        foreach ($adConnector in $adConnectors)
        {
            Write-Host
            Write-Host "Password sync channel status BEGIN ------------------------------------------------------- "
            Write-Host
            Get-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector.Name
            Write-Host
            $pingEvents =
                Get-EventLog -LogName "Application" -Source "Directory Synchronization" -InstanceId 654  -After (Get-Date).AddHours(-3) |
                    Where-Object { $_.Message.ToUpperInvariant().Contains($adConnector.Identifier.ToString("D").ToUpperInvariant()) } |
                    Sort-Object { $_.Time } -Descending
            if ($pingEvents -ne $null)
            {
                Write-Host "Latest heart beat event (within last 3 hours). Time " $pingEvents[0].TimeWritten
            }
            else
            {
                Write-Warning "No ping event found within last 3 hours."
            }
            Write-Host
            Write-Host "Password sync channel status END ------------------------------------------------------- "
            Write-Host
        }
    }
    else
    {
        Write-Warning "More than one Azure AD Connectors found. Please update the script to use the appropriate Connector."
    }
}
Write-Host
if ($aadConnectors -eq $null)
{
    Write-Warning "No Azure AD Connector was found."
}
if ($adConnectors -eq $null)
{
    Write-Warning "No AD DS Connector was found."
}
Write-Host

Desencadenamiento de una sincronización completa de todas las contraseñasTrigger a full sync of all passwords

Nota

Ejecute este script una sola vez.Run this script only once. Si tiene que ejecutarlo varias veces, el problema se debe a otro motivo.If you need to run it more than once, something else is the problem. Para solucionar el problema, contacte con Soporte técnico de Microsoft.To troubleshoot the problem, contact Microsoft support.

Puede desencadenar una sincronización completa de todas las contraseñas mediante el siguiente script:You can trigger a full sync of all passwords by using the following script:

$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = "<CASE SENSITIVE AAD CONNECTOR NAME>"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Pasos siguientesNext steps