Solución de problemas de SSPR_0029 de error: su organización no ha configurado correctamente la configuración local para el restablecimiento de contraseña.
Este artículo le ayuda a solucionar el error de autoservicio de restablecimiento de contraseña (SSPR) "SSPR_0029: Su organización no ha configurado correctamente la configuración local para el restablecimiento de contraseña" que se produce después de que el usuario o administrador escriba y confirme una nueva contraseña en la página SSPR.
Síntomas
Un usuario o administrador realiza los pasos siguientes y, a continuación, recibe un SSPR_0029 error:
En una página de inicio de sesión de la cuenta Microsoft o Microsoft Azure página de inicio de sesión en el https://login.microsoftonline.com dominio, un usuario o administrador selecciona ¿No puede acceder a su cuenta?, olvidó mi contraseña o la restableció ahora.
El usuario o administrador selecciona el tipo de cuenta profesional o educativa . A continuación, se les redirige a la página de SSPR en https://passwordreset.microsoftonline.com para iniciar el flujo Volver a la cuenta .
En la pantalla Quién ¿ es usted? , el usuario o administrador escribe su identificador de usuario, completa un desafío de seguridad captcha que no distingue mayúsculas de minúsculas y, a continuación, selecciona Siguiente.
En la pantalla ¿Por qué tiene problemas para iniciar sesión?, el usuario o administrador selecciona He olvidado mi contraseñaSiguiente > .
En la pantalla Elegir una nueva contraseña , el usuario o administrador escribe y confirma una nueva cadena de contraseña y, a continuación, selecciona Finalizar. A continuación, aparece una pantalla We're sorry (Lo sentimos ) y presenta el siguiente mensaje:
SSPR_0029: Su organización no ha configurado correctamente la configuración local para el restablecimiento de contraseña.
Si es administrador, puede obtener más información en el artículo Solución de problemas de escritura diferida de contraseñas. Si no es administrador, puede proporcionar esta información cuando se ponga en contacto con el administrador.
Causa 1: No se puede usar la escritura diferida de contraseñas para restablecer la contraseña de un administrador de Active Directory sincronizado Windows
Es un administrador de Active Directory sincronizado Windows que pertenece (o se usa para pertenecer) a un grupo protegido de Active Directory local, y no puede usar SSPR ni la escritura diferida de contraseñas para restablecer la contraseña local.
Solución: Ninguno (el comportamiento es por diseño)
Por motivos de seguridad, las cuentas de administrador que existen dentro de un grupo protegido de Active Directory local no se pueden usar junto con la escritura diferida de contraseñas. Los administradores pueden cambiar su contraseña en la nube, pero no pueden restablecer una contraseña olvidada. Para obtener más información, consulte ¿Cómo funciona la escritura diferida de autoservicio de restablecimiento de contraseña en Azure Active Directory?
Causa 2: La cuenta del conector de AD DS no tiene los permisos correctos de Active Directory
Al usuario sincronizado le faltan los permisos correctos en Active Directory.
Solución: Resolución de problemas de permisos de Active Directory
Para resolver problemas que afectan a los permisos de Active Directory, consulte Derechos y permisos de acceso de escritura diferida de contraseñas.
Solución alternativa: Dirigirse a un controlador de dominio de Active Directory diferente
Nota
La escritura diferida de contraseñas depende de la API heredada NetUserGetInfo. La NetUserGetInfo API requiere un conjunto complejo de permisos permitidos en Active Directory que pueden ser difíciles de identificar, especialmente cuando un servidor de Azure AD Conectar se ejecuta en un controlador de dominio. Para obtener más información, vea Aplicaciones que usan NetUserGetInfo y API similares que dependen del acceso de lectura a determinados objetos de Active Directory.
¿Tiene un escenario en el que se ejecuta un servidor Azure AD Conectar en un controlador de dominio y no es posible resolver los permisos de Active Directory? En este caso, se recomienda implementar Azure AD Conectar servidor en un servidor miembro en lugar de un controlador de dominio. O bien, configure el conector de Active Directory para usar solo los controladores de dominio preferidos mediante los pasos siguientes:
En el menú Inicio, busque y seleccione Sincronización Service Manager.
En la ventana Sincronización Service Manager, seleccione la pestaña Conectores.
Haga clic con el botón derecho en el conector de Active Directory en la lista de conectores y, a continuación, seleccione Propiedades.
En el panel Diseñador de conectores del cuadro de diálogo Propiedades , seleccione Configurar particiones de directorio.
En el panel Configurar particiones de directorio , seleccione la opción Usar solo controladores de dominio preferidos y, a continuación, seleccione Configurar.
En el cuadro de diálogo Configurar controladores de dominio preferidos , agregue uno o varios nombres de servidor que apunten a un controlador de dominio (o controladores de dominio) diferente al host local.
Para guardar los cambios y volver a la ventana principal, seleccione Aceptar tres veces, incluido en el cuadro de diálogo Advertencia que muestra una declinación de responsabilidades de configuración avanzada.
Causa 3: Los servidores no pueden realizar llamadas remotas al Administrador de cuentas de seguridad (SAM)
En este caso, se registran dos eventos de error de aplicación similares: id. de evento 33004 y 6329. El identificador de evento 6329 difiere de 33004 porque contiene un ERROR_ACCESS_DENIED código de error en el seguimiento de la pila cuando el servidor intenta realizar una llamada remota a SAM:
ERR_: MMS(####): admaexport.cpp(2944): No se pudo adquirir la información del usuario: Contoso\MSOL_###########. Código de error: ERROR_ACCESS_DENIED
Esta situación puede producirse si el servidor de Azure AD Conectar o el controlador de dominio tienen o han aplicado una configuración de seguridad de protección con un objeto de directiva de grupo dominio (GPO) o en la directiva de seguridad local del servidor. Para comprobar si este es el caso, siga estos pasos:
Abra una ventana del símbolo del sistema administrativo y ejecute los siguientes comandos:
md C:\Temp gpresult /h C:\Temp\GPreport.htm start GPreport.htmAbra el archivo C:\Temp\gpresult.htm en el explorador web y expanda Detalles > del equipo Configuración > Directivas Windows Configuración > Seguridad Configuración > Directivas locales/Opciones > de seguridadAcceso > de red. A continuación, compruebe si tiene una configuración denominada Acceso a la red: Restringir a los clientes que pueden realizar llamadas remotas a SAM.
Para abrir el complemento Directiva de seguridad local, seleccione Inicio, escriba secpol.msc, presione Entrar y expanda Directivas > localesExpand Opciones de seguridad.
En la lista de directivas, seleccione Acceso a la red: Restringir los clientes que pueden realizar llamadas remotas a SAM. La columna Configuración de seguridad mostrará No definido si la configuración no está habilitada o muestra un
O:BAG:...valor de descriptor de seguridad si la configuración está habilitada. Si la configuración está habilitada, también puede seleccionar el icono Propiedades para ver la lista de Access Control (ACL) que se aplica actualmente.Nota
De forma predeterminada, esta configuración de directiva está desactivada. Cuando esta configuración se aplica en un dispositivo a través de un GPO o una configuración de directiva local, se crea un valor del Registro denominado RestrictRemoteSam en la ruta de acceso del Registro deHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ . Sin embargo, esta configuración del Registro puede ser difícil de borrar después de definirla y aplicarla al servidor. Deshabilitar la configuración de directiva de grupo o desactivar la opción Definir esta configuración de directiva en directiva de grupo Consola de administración (GPMC) no quita la entrada del Registro. Por lo tanto, el servidor todavía restringe qué clientes pueden realizar llamadas remotas a SAM.
¿Cómo se comprueba con precisión que el servidor de Azure AD Conectar o el controlador de dominio siguen restringiendo las llamadas remotas a SAM? Para comprobar si la entrada del Registro permanece presente, ejecute el cmdlet Get-ItemProperty en PowerShell:
Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
¿La salida de PowerShell muestra que una entrada del Registro RestrictRemoteSam sigue estando presente? Si es así, tiene dos soluciones posibles.
Solución 1: Agregar la cuenta del conector de AD DS a la lista de usuarios permitidos
Mantener el acceso de red: restrinja los clientes que pueden realizar llamadas remotas a la configuración de directiva sam habilitada y aplicada en el servidor de Azure AD Conectar, pero agregue la cuenta del conector de Servicios de dominio de Active Directory (AD DS) (cuenta de MSOL_) a la lista de usuarios permitidos. Para obtener instrucciones, consulte los pasos siguientes:
Si no conoce el nombre de la cuenta del conector de AD DS, consulte Identificación de la cuenta del conector de AD DS.
En el complemento GPMC o directiva de seguridad local, vuelva al cuadro de diálogo de propiedad para esa configuración de directiva.
Seleccione Editar seguridad para mostrar el cuadro de diálogo Seguridad Configuración para acceso remoto a SAM.
En la lista Nombres de grupo o de usuario , seleccione Agregar para mostrar el cuadro de diálogo Seleccionar usuarios o grupos . En el cuadro Escribir los nombres de objeto que se van a seleccionar , escriba el nombre de la cuenta del conector de AD DS (cuenta MSOL_ ) y, a continuación, seleccione Aceptar para salir de ese cuadro de diálogo.
Seleccione la cuenta del conector de AD DS en la lista. En Permisos para <account name>, en la fila Acceso remoto , seleccione Permitir.
Seleccione Aceptar dos veces para aceptar los cambios en la configuración de directiva y volver a la lista de configuraciones de directiva.
Abra una ventana del símbolo del sistema administrativo y ejecute el comando gpupdate para forzar una actualización de directiva de grupo:
gpupdate /force
Solución 2: Quitar el acceso de red: restringir los clientes que pueden realizar llamadas remotas a la configuración de directiva sam y, a continuación, eliminar manualmente la entrada del Registro RestrictRemoteSam
Si la configuración de seguridad se aplica desde la directiva de seguridad local, vaya al paso 4.
Abra el complemento GPMC desde un controlador de dominio y edite el GPO de dominio correspondiente.
Expanda Configuración > del equipoDirectivas > Windows Configuración > Configuración de seguridad Configuración > Configuración > del equipoDirectivas > localesOpciones de seguridad.
En la lista de opciones de seguridad, seleccione Acceso a la red: Restringir los clientes que pueden realizar llamadas remotas a SAM, abra Propiedades y, a continuación, deshabilite Definir esta configuración de directiva.
Abra una ventana del símbolo del sistema administrativo y ejecute el comando gpupdate para forzar una actualización de directiva de grupo:
gpupdate /forcePara generar un nuevo informe de resultados de directiva de grupo (GPreport.htm), ejecute el comando gpresult y, a continuación, abra el nuevo informe en un explorador web:
md C:\Temp gpresult /h C:\Temp\GPreport.htm start GPreport.htmCompruebe el informe para asegurarse de que no está definida la configuración de directiva para Acceso a la red: Restringir los clientes que pueden realizar llamadas remotas a SAM .
Abra una consola de administración de PowerShell.
Para quitar la entrada del Registro RestrictRemoteSam , ejecute el cmdlet Remove-ItemProperty :
Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSamNota
Si elimina la entrada del Registro RestrictRemoteSam sin quitar la configuración gpo de dominio, esta entrada del Registro se volverá a crear en el siguiente ciclo de actualización directiva de grupo y el
SSPR_0029error volverá a producirse.
Ponte en contacto con nosotros para obtener ayuda
Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure.