Solución de problemas de SSPR_0029 de error: su organización no ha configurado correctamente la configuración local para el restablecimiento de contraseña.

Este artículo le ayuda a solucionar el error de autoservicio de restablecimiento de contraseña (SSPR) "SSPR_0029: Su organización no ha configurado correctamente la configuración local para el restablecimiento de contraseña" que se produce después de que el usuario o administrador escriba y confirme una nueva contraseña en la página SSPR.

Síntomas

Un usuario o administrador realiza los pasos siguientes y, a continuación, recibe un SSPR_0029 error:

1. En una página de inicio de sesión de cuenta de Microsoft o en una página de inicio de sesión de Microsoft Azure en el https://login.microsoftonline.com dominio, un usuario o administrador selecciona ¿No puede acceder a su cuenta?, olvidó mi contraseña o la restableció ahora.

2. El usuario o administrador selecciona el tipo de cuenta profesional o educativa . A continuación, se les redirige a la página de SSPR en https://passwordreset.microsoftonline.com para iniciar el flujo Volver a la cuenta .

3. En la pantalla ¿Quién es usted? , el usuario o administrador escribe su identificador de usuario, completa un desafío de seguridad captcha que no distingue mayúsculas de minúsculas y, a continuación, selecciona Siguiente.

4. En la pantalla ¿Por qué tiene problemas para iniciar sesión? , el usuario o administrador selecciona ¿He olvidado mi contraseña>Siguiente?

5. En la pantalla Elegir una nueva contraseña , el usuario o administrador escribe y confirma una nueva cadena de contraseña y, a continuación, selecciona Finalizar. A continuación, aparece una pantalla We're sorry (Lo sentimos ) y presenta el siguiente mensaje:

   SSPR_0029: Su organización no ha configurado correctamente la configuración local para el restablecimiento de contraseña.

   Si es administrador, puede obtener más información en el artículo Solución de problemas de escritura diferida de contraseñas. Si no es administrador, puede proporcionar esta información cuando se ponga en contacto con el administrador.

Causa 1: No se puede usar la escritura diferida de contraseñas para restablecer la contraseña de un administrador sincronizado de Windows Active Directory

Es un administrador sincronizado de Windows Active Directory que pertenece (o se usa para pertenecer) a un grupo protegido de Active Directory local, y no puede usar SSPR ni la escritura diferida de contraseñas para restablecer la contraseña local.

Solución: Ninguno (el comportamiento es por diseño)

Por motivos de seguridad, las cuentas de administrador que existen dentro de un grupo protegido de Active Directory local no se pueden usar junto con la escritura diferida de contraseñas. Los administradores pueden cambiar su contraseña en la nube, pero no pueden restablecer una contraseña olvidada. Para obtener más información, consulte ¿Cómo funciona la escritura diferida de autoservicio de restablecimiento de contraseña en Microsoft Entra ID?

Causa 2: La cuenta del conector de AD DS no tiene los permisos correctos de Active Directory

Al usuario sincronizado le faltan los permisos correctos en Active Directory.

Solución: Resolución de problemas de permisos de Active Directory

Para resolver problemas que afectan a los permisos de Active Directory, consulte Derechos y permisos de acceso de escritura diferida de contraseñas.

Solución alternativa: Dirigirse a un controlador de dominio de Active Directory diferente

Nota:

La escritura diferida de contraseñas depende de la API heredada NetUserGetInfo. La NetUserGetInfo API requiere un conjunto complejo de permisos permitidos en Active Directory que pueden ser difíciles de identificar, especialmente cuando un servidor de Microsoft Entra Connect se ejecuta en un controlador de dominio. Para obtener más información, vea Aplicaciones que usan NetUserGetInfo y API similares que dependen del acceso de lectura a determinados objetos de Active Directory.

¿Tiene un escenario en el que un servidor de Microsoft Entra Connect se ejecuta en un controlador de dominio y no es posible resolver los permisos de Active Directory? En este caso, se recomienda implementar Microsoft Entra servidor Connect en un servidor miembro en lugar de un controlador de dominio. O bien, configure el conector de Active Directory para usar solo los controladores de dominio preferidos mediante los pasos siguientes:

1. En el menú Inicio, busque y seleccione Sincronización Service Manager.

2. En la ventana Sincronización Service Manager, seleccione la pestaña Conectores.

3. Haga clic con el botón derecho en el conector de Active Directory en la lista de conectores y, a continuación, seleccione Propiedades.

4. En el panel Designer del conector del cuadro de diálogo Propiedades, seleccione Configurar particiones de directorio.

5. En el panel Configurar particiones de directorio , seleccione la opción Usar solo controladores de dominio preferidos y, a continuación, seleccione Configurar.

6. En el cuadro de diálogo Configurar controladores de dominio preferidos , agregue uno o varios nombres de servidor que apunten a un controlador de dominio (o controladores de dominio) diferente al host local.

7. Para guardar los cambios y volver a la ventana principal, seleccione Aceptar tres veces, incluido en el cuadro de diálogo Advertencia que muestra una declinación de responsabilidades de configuración avanzada.

Causa 3: Los servidores no pueden realizar llamadas remotas al Administrador de cuentas de seguridad (SAM)

En este caso, se registran dos eventos de error de aplicación similares: id. de evento 33004 y 6329. El identificador de evento 6329 difiere de 33004 porque contiene un ERROR_ACCESS_DENIED código de error en el seguimiento de la pila cuando el servidor intenta realizar una llamada remota a SAM:

ERR_: MMS(####): admaexport.cpp(2944): No se pudo adquirir la información del usuario: Contoso\MSOL_############. Código de error: ERROR_ACCESS_DENIED

Esta situación puede producirse si el servidor de Microsoft Entra Connect o el controlador de dominio tienen o han aplicado una configuración de seguridad de protección con un objeto de directiva de grupo de dominio (GPO) o en la directiva de seguridad local del servidor. Para comprobar si este es el caso, siga estos pasos:

1. Abra una ventana del símbolo del sistema administrativo y ejecute los siguientes comandos:

   md C:\Temp
   gpresult /h C:\Temp\GPreport.htm
   start C:\Temp\GPreport.htm
   

2. Abra el archivo C:\Temp\gpresult.htm en el explorador web y expandaDirectivas>de configuración de>detalles> del equipoConfiguración de Windows Configuración>de seguridad Directivas>locales/Opciones> de seguridadAcceso a la red. A continuación, compruebe si tiene una configuración denominada Acceso a la red: Restringir a los clientes que pueden realizar llamadas remotas a SAM.

3. Para abrir el complemento Directiva de seguridad local, seleccione Inicio, escriba secpol.msc, presione Entrar y expanda Directivas> localesExpanda Opciones de seguridad.

4. En la lista de directivas, seleccione Acceso a la red: Restringir los clientes que pueden realizar llamadas remotas a SAM. La columna Configuración de seguridad mostrará No definido si la configuración no está habilitada o muestra un O:BAG:... valor de descriptor de seguridad si la configuración está habilitada. Si la configuración está habilitada, también puede seleccionar el icono Propiedades para ver la lista de Access Control (ACL) que se aplica actualmente.

   Nota:

   De forma predeterminada, esta configuración de directiva está desactivada. Cuando esta configuración se aplica en un dispositivo a través de un GPO o una configuración de directiva local, se crea un valor del Registro denominado RestrictRemoteSam en la ruta de acceso del RegistroHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ . Sin embargo, esta configuración del Registro puede ser difícil de borrar después de definirla y aplicarla al servidor. Deshabilitar la configuración de directiva de grupo o desactivar la opción Definir esta configuración de directiva en directiva de grupo Consola de administración (GPMC) no quita la entrada del Registro. Por lo tanto, el servidor todavía restringe qué clientes pueden realizar llamadas remotas a SAM.

   ¿Cómo se comprueba con precisión que el servidor de Microsoft Entra Connect o el controlador de dominio siguen restringiendo las llamadas remotas a SAM? Para comprobar si la entrada del Registro permanece presente, ejecute el cmdlet Get-ItemProperty en PowerShell:

   Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
   

¿La salida de PowerShell muestra que una entrada del Registro RestrictRemoteSam sigue estando presente? Si es así, tiene dos soluciones posibles.

Solución 1: Agregar la cuenta del conector de AD DS a la lista de usuarios permitidos

Mantener el acceso de red: restrinja los clientes que pueden realizar llamadas remotas a la configuración de directiva sam habilitada y aplicada en el servidor de Microsoft Entra Connect, pero agregue la cuenta del conector de Servicios de dominio de Active Directory (AD DS) (cuenta de MSOL_) a la lista de usuarios permitidos. Para obtener instrucciones, consulte los pasos siguientes:

1. Si no conoce el nombre de la cuenta del conector de AD DS, consulte Identificación de la cuenta del conector de AD DS.

2. En el complemento GPMC o directiva de seguridad local, vuelva al cuadro de diálogo de propiedad para esa configuración de directiva.

3. Seleccione Editar seguridad para mostrar el cuadro de diálogo Configuración de seguridad para el acceso remoto a SAM .

4. En la lista Nombres de grupo o de usuario , seleccione Agregar para mostrar el cuadro de diálogo Seleccionar usuarios o grupos . En el cuadro Escribir los nombres de objeto que se van a seleccionar , escriba el nombre de la cuenta del conector de AD DS (cuenta MSOL_ ) y, a continuación, seleccione Aceptar para salir de ese cuadro de diálogo.

5. Seleccione la cuenta del conector de AD DS en la lista. En Permisos para el <nombre> de cuenta, en la fila Acceso remoto, seleccione Permitir.

6. Seleccione Aceptar dos veces para aceptar los cambios en la configuración de directiva y volver a la lista de configuraciones de directiva.

7. Abra una ventana del símbolo del sistema administrativo y ejecute el comando gpupdate para forzar una actualización de directiva de grupo:

   gpupdate /force
   

Solución 2: Quitar el acceso de red: restringir los clientes que pueden realizar llamadas remotas a la configuración de directiva sam y, a continuación, eliminar manualmente la entrada del Registro RestrictRemoteSam

1. Si la configuración de seguridad se aplica desde la directiva de seguridad local, vaya al paso 4.

2. Abra el complemento GPMC desde un controlador de dominio y edite el GPO de dominio correspondiente.

3. ExpandaDirectivas>de configuración> del equipoConfiguración de Windows Configuración>de seguridad Configuración>> delequipoOpcionesde seguridadde directivas> locales.

4. En la lista de opciones de seguridad, seleccione Acceso a la red: Restringir los clientes que pueden realizar llamadas remotas a SAM, abra Propiedades y, a continuación, deshabilite Definir esta configuración de directiva.

5. Abra una ventana del símbolo del sistema administrativo y ejecute el comando gpupdate para forzar una actualización de directiva de grupo:

   gpupdate /force
   

6. Para generar un nuevo informe de resultados de directiva de grupo (GPreport.htm), ejecute el comando gpresult y, a continuación, abra el nuevo informe en un explorador web:

   md C:\Temp
   gpresult /h C:\Temp\GPreport.htm
   start C:\Temp\GPreport.htm
   

7. Compruebe el informe para asegurarse de que no está definida la configuración de directiva para Acceso a la red: Restringir los clientes que pueden realizar llamadas remotas a SAM .

8. Abra una consola de administración de PowerShell.

9. Para quitar la entrada del Registro RestrictRemoteSam , ejecute el cmdlet Remove-ItemProperty :

   Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
   

   Nota:

   Si elimina la entrada del Registro RestrictRemoteSam sin quitar la configuración gpo de dominio, esta entrada del Registro se volverá a crear en el siguiente ciclo de actualización directiva de grupo y el SSPR_0029 error volverá a producirse.

Ponte en contacto con nosotros para obtener ayuda

Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.