Solución de problemas
La información a continuación está destinada a los administradores responsables de solucionar problemas de Specops Password Reset. Antes de realizar las tareas en esta guía, asegúrese de haber instalado correctamente Specops Password Reset.
Mensaje de acceso denegado en la página web de soporte técnico
Posible causa
El soporte técnico delegado no funciona con un alias: https://spr.domain.com/specopspassword/helpdesk. Debe acceder a la página a través del FQDN.
Posible solución
Agregue otro CN al certificado. “CN=hostname.domain.local” si utiliza https://hostname.domain.local/specopspassword/helpdesk; O “CN=hostname” si utiliza solo el nombre del servidor https://hostname/specopspassword/helpdesk.
Siempre se solicita credenciales de Windows al abrir la página de soporte técnico/informes
Posible causa
No ha agregado el FQDN del servidor (o *.mydomain.com) al sitio de intranet local utilizando el sitio GPO para la asignación de zona.
Posible solución
Deberá completar los pasos bajo “Habilitar autenticación en el servidor web de Password Reset” en la Guía de instalación de Specops Password Reset.
Mensaje de “Acceso denegado” al registrarse con una cuenta de administrador
Posible causa
Las cuentas de administrador se ven afectadas por la regla adminSDHolder, que restablece los permisos de seguridad en cuentas AD privilegiadas cada 15 minutos.
Posible solución
Inicie sesión con una cuenta con permisos de Administrador de Dominio. Con el comando dsacls, se pueden ajustar los permisos para AdminSDHolder.
Ejemplo:
dsacls "CN=AdminSDHolder, CN=System, DC=example, DC=com" /G
"EXAMPLE\sprsvc:CCDC;classStore;" "EXAMPLE\sprsvc:LC;;"
"EXAMPLE\sprsvc:CA;Reset Password;" "EXAMPLE\sprsvc:RP;userAccountControl;"
"EXAMPLE\sprsvc:RPWP;mobile;" "EXAMPLE\sprsvc:RPWP;pwdLastSet;"
"EXAMPLE\sprsvc:RPWP;lockoutTime;"
Reemplace <domainDN> y <serviceAccount> con los componentes de dominio de su dominio y el nombre de la cuenta de servicio SPR.
Nota
Permitir que Specops Password Reset funcione con una cuenta con permisos administrativos no es una práctica recomendada por razones de seguridad. Habilite estas configuraciones solo si es requerido por la realidad práctica de su organización.
Cuando el usuario sigue el enlace de recordatorio de registro, se le informa que no tiene una política de registro configurada
Posible causa
La cuenta de servicio ha perdido permisos para leer el Objeto de Política de Grupo de Specops Password Reset.
Posible solución
Desde la Consola de Administración de Políticas de Grupo, agregue la cuenta de servicio a la pestaña de Delegación del Objeto de Política de Grupo de Specops Password Reset con derechos de Lectura.
El usuario recibe el mensaje “no se pudo alcanzar el servidor de lista de revocación de certificados” cuando hace clic en el enlace de restablecimiento de contraseña en la pantalla de inicio de sesión, pero no cuando navega a la página de restablecimiento al iniciar sesión
Posible causa
El usuario no está conectado a Internet en la pantalla de inicio de sesión.
Posible solución
Puede utilizar una de las siguientes tres opciones para resolver este problema:
-
Agregue una nueva regla a su proxy que permita a “computadoras de dominio” alcanzar los servidores CRL en Internet. La regla se verá similar al ejemplo a continuación:
Fuente: red interna
Destino: dirección IP del servidor CRL
Puerto: 80
Grupo de acceso: “Computadoras de Dominio”
-
Deshabilite la verificación de CRL en el cliente.
Nota
Esto deshabilitará la verificación de CRL en todos los certificados. Si visita un sitio que tuvo su certificado revocado, esto permitiría la creación de una conexión segura, a menos que el certificado haya expirado.
-
Si tiene un sistema de Autoridad de Certificación interna, use un certificado interno, en lugar de un certificado público.
Nota
Un certificado público es una buena opción si planea permitir que los usuarios restablezcan sus contraseñas externamente.
El enlace de Reset Password no aparece en la página de inicio de sesión después de reiniciar
Posible causa
La computadora se está iniciando antes de que se haya activado la pila de red. Esto es común cuando los sistemas se utilizan con NIC conectadas por cable o inalámbricas.
Posible solución
- Puede que desee deshabilitar la Optimización de Inicio de Sesión Rápido. Puede hacer esto con la Política de Grupo, utilizando la configuración de política Siempre esperar a la red al iniciar y al iniciar sesión en la computadora. Puede encontrar esta configuración en Configuración del equipo/ Plantillas administrativas/ Sistema/ Inicio de sesión.
- Si está utilizando Windows 7, puede hacer esto con la Política de Grupo utilizando la configuración de política Tiempo de espera para el procesamiento de la política de inicio. Puede encontrar esta configuración en Configuración del equipo/Plantillas administrativas/ Sistema/ Política de grupo.
Error de “Fallo en la verificación de identidad para el mensaje saliente” al acceder a cualquier página web de Password Reset después de una actualización o al abrir la herramienta de Configuración
El mensaje completo dice: “Fallo en la verificación de identidad para el mensaje saliente. La identidad DNS esperada del punto final remoto era ‘servername.domain.com’ pero el punto final remoto proporcionó la reclamación DNS ‘webserveralias.domain.com.’ Si este es un punto final legítimo, puede solucionar el problema especificando explícitamente la identidad DNS ‘webserveralias.domain.com’ como la propiedad de identidad de EndpointAddress al crear el proxy de canal.”
Posible causa
Durante la instalación, puede haber utilizado el certificado del servidor web al instalar el componente “servidor” en lugar del componente “web”.
Posible solución
El componente del servidor requiere un certificado con un CN (nombre común) que coincida con el FQDN del servidor. Esto es necesario para que Windows Identity Foundation funcione correctamente. Se puede utilizar un certificado autofirmado o un certificado con un CN, ya sea público o privado, para esta función.
Registro de eventos
El componente del servidor de Specops Password Reset registra las operaciones que se han realizado en el registro de aplicaciones en el servidor correspondiente.
Encuentre los ID de eventos en la tabla.
Eventos del servidor de Specops Password Reset
| Tipo de evento | ID | Descripción |
|---|---|---|
| Información | 100 | Servicio iniciándose. |
| Información | 101 | Servicio iniciado. |
| Información | 103 | Servicio detenido. |
| Información | 104 | Entrada de verificación de licencia. Contiene la información de conteo de licencias que se recopila cada noche. |
| Información | 105 | Migración de base de datos de informes iniciada. Solo se registra si el servicio descubre una base de datos existente almacenada en el antiguo formato xml. |
| Información | 106 | Migración de base de datos de informes completada con éxito. Solo se registra si el servicio descubre una base de datos existente almacenada en el antiguo formato xml. |
| Información | 110 | Registro exitoso. Se registra cada vez que un usuario se registra. |
| Información | 111 | Restablecimiento exitoso. Se registra cada vez que un usuario ha restablecido su contraseña con éxito. |
| Información | 112 | Desbloqueo exitoso. Se registra cada vez que un usuario desbloquea su cuenta de usuario con éxito. |
| Información | 113 | Cambio exitoso. Se registra cada vez que un usuario ha cambiado su contraseña con éxito. |
| Información | 114 | Cambio fallido. Se registra cada vez que un usuario intentó cambiar su contraseña, pero falló como resultado de las reglas de la política de contraseñas. |
| Advertencia | 202 | Demasiados nombres de usuario fallidos. Se registra cuando la función de limitación de llamadas ha bloqueado una solicitud de cliente. |
| Advertencia | 203 | Demasiadas solicitudes de código de verificación. |
| Advertencia | 205 | Ignorar reglas de contraseña en restablecimiento encontrado en la política. Se registra cuando Specops Password Reset descubre un usuario con una política de Specops Password Policy configurada para ser ignorada en operaciones de restablecimiento de contraseña. Esta configuración no debe habilitarse en un entorno donde se utiliza Specops Password Reset porque permite a los usuarios eludir su política de contraseñas. |
| Advertencia | 206 | Restablecimiento de contraseña detectado de usuario con la bandera de contraseña no requerida activada. |
| Advertencia | 207 | Bandera de contraseña no requerida descubierta en un usuario registrado. |
| Advertencia | 208 | Fallo al suplantar al usuario. |
| Advertencia | 210 | Fallo en el registro. |
| Advertencia | 212 | Fallo en el desbloqueo. |
| Advertencia | 214 | Respuesta incorrecta enviada durante la autenticación del usuario. |
| Advertencia | 215 | Código de verificación incorrecto enviado durante la autenticación del usuario. |
| Advertencia | 216 | Usuario bloqueado de Specops Password Reset. |
| Advertencia | 220 | Advertencia de licencia. Se registra cuando la licencia está cerca de ser excedida. |
| Advertencia | 221 | El usuario no pudo restablecer su contraseña. |
| Advertencia | 222 | El usuario no pudo cambiar su contraseña. |
| Advertencia | 241 | Fallo al analizar el tiempo de sondeo desde el registro. |
| Advertencia | 245 | Fallo al contactar el dominio. |
| Advertencia | 277 | Fallo al enviar recordatorio de registro. |
| Error | 300 | Fallo al iniciar el servicio. Se registra si el componente del servidor falla al iniciar. |
| Error | 301 | Fallo al detener el servicio. |
| Error | 305 | No se encontró la política de Specops Password Reset. |
| Error | 306 | Número incorrecto de preguntas. |
| Error | 310 | Fallo en la migración de la base de datos de informes. Se registra si el servicio falla al migrar una base de datos existente almacenada en el antiguo formato xml. |
| Error | 320 | Error de licencia detectado. |
| Error | 332 | Fallo al obtener el paquete de restablecimiento de contraseña. |
| Error | 334 | Fallo al enviar el código de verificación móvil. |
| Error | 335 | Fallo al obtener la siguiente pregunta secreta. |
| Error | 336 | Fallo al obtener la política de contraseñas para el usuario. |
| Error | 337 | Fallo del servidor al desbloquear la cuenta de usuario. |
| Error | 338 | Fallo del servidor al restablecer la contraseña del usuario. |
| Error | 346 | Fallo al enviar correo electrónico. |
| Error | 348 | Fallo al enviar el código de verificación móvil desde la herramienta de soporte técnico. |
| Error | 349 | Fallo al enviar la nueva contraseña de usuario desde el soporte técnico. |
| Error | 385 | Fallo al agregar datos a la base de datos de informes. |
| Error | 386 | Fallo al borrar datos de usuario de la base de datos de informes. |
Registro de depuración
Puede configurar los componentes de Specops Password Reset para registrar su actividad interna en un registro de depuración detallado. El registro de depuración le permite seguir los eventos que conducen al error. El registro de depuración se habilita cambiando la clave de registro relevante de “0” a “1”. Se devolverá un registro adicional utilizando los niveles de depuración más altos “2” o “3”.
Consulte también Depuración del cliente
| Clave de registro | Descripción |
|---|---|
| HKLM\Software\Specopssoft\Specops Password Reset\Administration\Debug | Habilita y deshabilita el registro de depuración para la herramienta de administración de Specops Password Reset. |
| HKLM\Software\Specopssoft\Specops Password Reset\Administration\LogFilePath | Especifica la ruta del archivo de registro para el registro de la herramienta de administración de Specops Password. Valor predeterminado= %USERPROFILE%\Local Settings\Application Data\SpecopsSoft\SpecopsPasswordReset.log Nota: Este valor no existe en el registro de forma predeterminada. Si desea cambiarlo, agregue LogFilePath como un reg_sz [valor de cadena]. |
| HKLM\Software\Specopssoft\Specops Password Reset\Server\Debug | Habilita y deshabilita el registro de depuración para el servidor de Specops Password Reset. |
| HKLM\Software\Specopssoft\Specops Password Reset\Server\LogFilePath | Especifica la ruta del archivo de registro para el registro del servidor de Specops Password Reset. Valor predeterminado = C:\SpecopspasswordResetServer.log |
| HKLM\Software\Specopssoft\Specops Password Reset\Web\Debug | Habilita y deshabilita el registro de depuración para la web de Specops Password Reset. |
| HKLM\Software\Specopssoft\Specops Password Reset\Web\LogFilePath | Especifica la ruta del archivo de registro para el registro del servidor de Specops Password Reset. Valor predeterminado = C:\Temp\SpecopspasswordResetWeb.log |
Nota
No deje el registro de depuración activado a menos que lo necesite. El registro detallado durante un período prolongado puede crear archivos de registro grandes que tienen el potencial de llenar la partición del disco de su sistema.