Pasos generales de solución de problemas de escritura de contraseña

  • Artículo
  • Tiempo de lectura: 4 minutos

En este artículo se describen los pasos generales de solución de problemas para resolver problemas de escritura de contraseña. Estos pasos son una buena manera de iniciar el proceso si tiene que consultar otro contenido que explique problemas más específicos.

Céntrate en el escenario exacto de error

Debe ser coherente sobre cómo se reproduce o prueba el problema de contraseña. Comprenda exactamente cuál es el escenario de error y obtenga información sobre los pasos de reproción. Dado que un restablecimiento de contraseña y un cambio de contraseña son dos operaciones diferentes, céntrate en una operación y usa los mismos pasos para que esa operación reproduzca el problema. La diferencia entre las operaciones es la siguiente.

Operación Características
Restablecimiento de contraseña El usuario o administrador no sabe o no proporciona la contraseña actual.
Cambio de contraseña Solo un usuario puede iniciar un cambio de contraseña. Los usuarios deben escribir su contraseña actual para poder especificar una nueva contraseña.

Contraste de trabajo frente a usuarios que no trabajan

¿La operación falla para un usuario pero se realiza correctamente para otro usuario? En esta situación, intente determinar las diferencias entre un usuario que trabaja y no trabaja. Puede seguir los pasos siguientes:

  1. Para obtener información sobre determinados usuarios de Active Directory, ejecute el comando Ldifde o el cmdlet Get-ADUser PowerShell.

  2. Ejecute comandos de usuario en Azure Active Directory (Azure AD) PowerShell para obtener información sobre esos usuarios en Azure AD.

  3. Compare la información de Active Directory Azure AD información sobre esos dos usuarios sin conexión, especialmente en términos de:

    • Roles y grupos de administrador
    • Colocación de unidades organizativas
    • La última vez que se sincronicen el objeto y la contraseña
    • Otras diferencias

    Mantenga esta información a mano mientras soluciona un problema.

Usar el mismo controlador de dominio

Intente usar el mismo controlador de dominio cada vez que pruebe o realice cambios. Para controlar qué controlador de dominio se está contactando para las operaciones de reescribición de contraseñas, establezca un único controlador de dominio preferido en el Conector de Active Directory y, a continuación, reinicie el servicio ADSync contraseña. Cambie el controlador de dominio preferido al más cercano o use el controlador de dominio propietario del rol de emulador del controlador de dominio principal (PDC).

Para establecer el controlador de dominio preferido, siga estos pasos:

  1. Abra el Synchronization Service manager. Para ello, seleccione Inicio, escriba azure ad, seleccione el grupo Azure AD Conectar y, a continuación, seleccione Servicio de sincronización.

  2. Seleccione la pestaña Conectores y, a continuación, seleccione el conector de Active Directory aplicable. En el panel Acciones , seleccione Propiedades para abrir el cuadro de diálogo Propiedades.

  3. En el panel Diseñador de conectores , seleccione Configurar particiones de directorio. En el panel Configurar particiones de directorio , seleccione una partición de directorio de la lista.

  4. En el grupo Configuración de conexión del controlador de dominio , active la casilla Usar solo controladores de dominio preferidos . A continuación, seleccione Configurar.

  5. Realice los cambios adecuados en el cuadro de diálogo Configurar los DCs preferidos.

En función del problema, en su lugar podría ayudar a probar distintos controladores de dominio. A continuación, puede determinar si el problema se puede aislar en un controlador de dominio específico o si se produce en cualquier controlador de dominio.

Además, cuando use el complemento Usuarios y equipos de Active Directory, cambie el controlador de dominio conectado al mismo que usó para Azure AD Conectar. Siga estos pasos:

  1. Abra el complemento Usuarios y equipos de Active Directory. Para ello, seleccione Inicio, busque en dsa.msc y, a continuación, presione Entrar.

  2. En el panel de navegación, haga clic con el botón secundario en el nombre de dominio y, a continuación, seleccione el elemento de menú Cambiar controlador de dominio.

  3. En el cuadro de diálogo Cambiar servidor de directorios, seleccione la opción Este controlador de dominio o instancia de AD LDS .

  4. En la lista de controladores de dominio, seleccione el controlador de dominio que coincida con el que ha seleccionado para Azure AD Conectar y, a continuación, seleccione Aceptar.

Relaja temporalmente la directiva de contraseñas de Active Directory local

Para solucionar problemas de las operaciones de reescribición de contraseñas, se recomienda modificar temporalmente la directiva de contraseña de Active Directory local. Establezca la antigüedad mínima de la contraseña en cero para permitir a los usuarios cambiar su contraseña más de una vez consecutivamente. Si se requiere complejidad de contraseña, use una combinación de letras mayúsculas, minúsculas y números. Dado que el historial de contraseñas suele aplicarse a un valor predeterminado de 24 contraseñas recordadas, siempre use otra contraseña en cada intento de restablecimiento o cambio. Por ejemplo, incremente un sufijo entero (1, 2, 3, y así sucesivamente) para cada restablecimiento o cambio.

Comprobar eventos de aplicación mediante el Visor de eventos

Estos artículos de solución de problemas para problemas de escritura de contraseñas específicos contienen muchos ejemplos de eventos de aplicación que proporcionan detalles sobre los problemas. En estos ejemplos se muestra que el complemento Visor de eventos (Eventvwr.msc) es la herramienta Windows eficaz para solucionar problemas de escritura de contraseña.

Identificar el nombre exacto de la cuenta del conector de AD DS

Vuelva a comprobar el nombre de la cuenta actual del Conector de dominio de Active Directory. Asegúrese de que esta cuenta tiene el mismo nombre que la cuenta que usa Azure AD Conectar servidor. Para encontrar este nombre de cuenta, consulta Identificar la cuenta de AD DS Connector.

Obtenga información sobre las operaciones de reescribición admitidas o no admitidas

Para revisar las listas de operaciones de reescribición de contraseña admitidas y no admitidas, vea How does self-service password reset writeback work in Azure Active Directory?.