Solución de problemas
La información a continuación está destinada a los administradores responsables de solucionar problemas de Specops Password Sync. Antes de realizar las tareas en esta guía, asegúrese de haber instalado correctamente Specops Password Sync.
Mejores Prácticas
Solución de problemas de instalación
Si experimenta problemas después de la configuración inicial, puede usar la lista a continuación para verificar que los componentes estén conectados correctamente:
- Verifique que el Notificador de Cambio de Contraseña se haya instalado en todos los Controladores de Dominio. Cómo: Verifique que el servicio Specops Password Sync Notifier Service esté ejecutándose en cada Controlador de Dominio. Puede encontrar esto en la aplicación de Servicios o puede consultar el servicio en los Controladores de Dominio usando PowerShell.
- Vea el registro de eventos en los Controladores de Dominio para verificar que el Controlador de Dominio se haya reiniciado. El evento de inicio del Filtro de Notificador y del Servicio de Notificador debe registrarse en el registro de eventos. Cómo: Se escribirá un evento en el registro de eventos de la aplicación como Change Notifier Service con el ID de evento 152.
- Verifique que el servicio del Servidor de Sincronización esté iniciado en el Servidor de Sincronización. Cómo: Se escribirá un evento en el registro de eventos de la aplicación como Servidor de Sincronización con el ID de evento 150.
- Verifique que se haya realizado la siguiente configuración:
- Alcance de Sincronización creado y usuario objetivo ubicado debajo del Alcance de Sincronización.
- Servidor de Sincronización agregado al Alcance de Sincronización.
- Punto de Sincronización creado y configurado para usar el Servidor de Sincronización.
- GPO de Specops Password Sync creado, configurado para usar el Punto de Sincronización y vinculado para afectar al usuario objetivo.
Solución de problemas de componentes
Si todavía experimenta problemas después de la configuración e instalación inicial, puede usar el procedimiento de solución de problemas de componentes para identificar la fuente del problema. El procedimiento a continuación sigue la cadena de acciones que tienen lugar cuando se cambia una contraseña. Los pasos a continuación requieren una cuenta de prueba configurada con la Política de Specops Password Sync.
- Desde el Controlador de Dominio seleccionado, abra Usuarios y Equipos de Active Directory.
- Restablezca la contraseña de la cuenta de prueba.
- Monitoree el registro de eventos de la Aplicación en el controlador de dominio. El registro de eventos debe contener entradas del Filtro de Notificador de Cambio y del servicio de Notificador indicando que se recibió la contraseña.
- Verifique que el servicio del Servidor de Sincronización esté en ejecución.
- Monitoree el registro de eventos en el Servidor de Sincronización. El registro de eventos debe contener una entrada para el nuevo trabajo de sincronización.
Si ha identificado discrepancias en el registro de eventos, pueden atribuirse a uno de los siguientes problemas que pueden ocurrir en la comunicación entre el Notificador de Cambio y el Servidor de Sincronización:
- Cortafuegos bloqueando la comunicación: El Notificador de Cambio en los controladores de dominio necesita conectarse al Servidor de Sincronización (puerto predeterminado tcp/4377) para entregar los trabajos de sincronización.
- El Controlador de Dominio o el Servidor de Sincronización no confían en el certificado del socio remoto: El Servidor de Sincronización puede estar usando un certificado autofirmado que no es confiable para los controladores de dominio.
Si no puede identificar ningún problema en el registro de eventos, la fuente del problema puede estar fuera del producto. Puede usar el proveedor FileWriter para probar el sistema.
Pruebe el sistema usando el proveedor File Writer
El Proveedor File Writer se puede usar para probar la configuración del componente Specops Password Sync. Cuando el File Writer recibe una solicitud de cambio de contraseña, escribe el nombre de usuario y una marca de tiempo en un archivo de registro, lo que le permite verificar si el sistema está configurado correctamente. El proveedor File Writer no se comunica con ningún sistema externo.
El paquete de instalación del File Writer se puede encontrar en el directorio del que extrajo el paquete de Configuración de Specops Password (predeterminado: “C:\temp”). La ruta al paquete de instalación es:
\Products\SpecopsPasswordSync\SpecopsPasswordSyncTestProviders-xXX.msi
El Proveedor File Writer debe instalarse en el Servidor de Sincronización. El servicio del Servidor de Specops Password Sync debe reiniciarse después de la instalación para ser visible en la Herramienta de Administración de Specops Password Sync. Cuando se haya instalado el proveedor File Writer, puede seguir el procedimiento a continuación para probarlo:
-
Cree un nuevo Punto de Sincronización y configúrelo para usar el proveedor File Writer.
Nota
Debe seleccionar el Servidor de Sincronización donde está instalado el File Writer.
-
Siga el procedimiento de Solución de Problemas de Componentes para restablecer la contraseña.
- Monitoree los registros de eventos apropiados. Si el sistema está funcionando, verá una serie de entradas que indican que el proveedor File Writer completó con éxito la sincronización.
Problemas Comunes
La contraseña no se sincroniza para la cuenta de administrador
Posible causa
Specops Password Sync por defecto no sincronizará los cambios de contraseña para cuentas privilegiadas. Este comportamiento predeterminado es una buena práctica de seguridad.
Posible solución
Para permitir la sincronización de contraseñas para cuentas de administrador, deberá agregar manualmente esta configuración de registro en todos los Controladores de Dominio: Las cuentas privilegiadas por definición tienen acceso a datos y sistemas críticos para el negocio. A menudo es deseable asegurar que estos usuarios privilegiados mantengan diferentes contraseñas complejas en cada sistema. Realizar el siguiente cambio no debe hacerse sin considerar las implicaciones de seguridad.
- Desde el Editor del Registro, navegue hasta
HKLM\Software\Specopssoft\Specops Password Sync\ChangeNotifier. - Haga clic derecho, seleccione Nuevo y haga clic en Valor DWORD (32 bits).
- En el campo de nombre de valor, ingrese AllowSyncForAdministrators.
- En el campo de datos de valor, ingrese 1.
- Haga clic en OK.
Registro de Eventos
Los componentes de Specops Password Sync registran las operaciones que se han realizado en el registro de la aplicación en el servidor correspondiente.
Encuentre los ID de eventos en la tabla.
Eventos del filtro de Notificador de Cambio de Contraseña
| Tipo de evento | ID | Descripción |
|---|---|---|
| Información | 150 | El filtro ha sido cargado. |
| Información | 151 | Se realizará un cambio de contraseña para el usuario indicado en el mensaje del registro de eventos. Este mensaje solo aparecerá una vez por cambio de contraseña, incluso si el cambio proviene de múltiples GPOs y/o involucra múltiples Puntos de Sincronización. |
| Información | 152 | El usuario es miembro de un grupo protegido de Windows. Specops Password Sync no sincroniza las contraseñas de los usuarios que son miembros de grupos protegidos. Para evitar este mensaje, debe asegurarse de que las cuentas protegidas no estén afectadas por los GPOs de Specops Password Sync. |
| Advertencia | 250 | No se pudo encolar un trabajo de sincronización de contraseña. |
| Advertencia | 251 | La política no contiene Puntos de Sincronización. |
| Advertencia | 252 | No se pudieron obtener Puntos de Sincronización de la política. |
| Advertencia | 253 | Los datos XML que contienen la política son inválidos. |
| Advertencia | 254 | El usuario no está en el ámbito de gestión. |
| Advertencia | 255 | La configuración para este Punto de Sincronización era inválida. |
| Advertencia | 256 | El Servidor de Sincronización para este Punto de Sincronización no está autorizado para ser usado dentro de este Alcance de Sincronización. Este es un error de configuración inesperado. Abra las herramientas de administración de Specops Password Sync y actualice los Servidores de Sincronización válidos para el alcance y los Servidores de Sincronización a usar para el Punto de Sincronización. |
| Error | 350 | No se pudo inicializar el filtro de contraseña. |
| Error | 351 | Se produjo un fallo al inicializar el filtro de contraseña. |
| Error | 352 | Excepción durante la sincronización de contraseña. |
| Error | 353 | Excepción durante el cambio de contraseña. |
| Error | 354 | Se produjo un fallo durante la sincronización de contraseña. |
Eventos del servicio de Notificador de Cambio
| Tipo de evento | ID | Descripción |
|---|---|---|
| Información | 151 | Inicio del servicio iniciado desde el administrador de control de servicios. |
| Información | 152 | Inicio del servicio completado. |
| Información | 153 | Detención del servicio iniciada desde el administrador de control de servicios. |
| Información | 154 | Detención del servicio completada. |
| Información | 155 | El servicio ha comenzado a servir un Punto de Sincronización. |
| Información | 156 | El servicio detectó una configuración de Punto de Sincronización actualizada y comenzó a usarla. |
| Información | 157 | Se eliminó una carpeta de cola de Punto de Sincronización obsoleta. Esto ocurre durante el inicio del servicio cuando se detecta una carpeta de cola para un Punto de Sincronización que ya no existe. |
| Información | 158 | Comenzó la verificación de licencia. |
| Información | 159 | Verificación de licencia completada. |
| Información | 160 | La licencia es válida. |
| Advertencia | 251 | El servicio de notificador no pudo enviar la notificación de cambio de contraseña al Servidor de Sincronización. Esto se repetirá hasta que la notificación se haya enviado con éxito. |
| Advertencia | 252 | No hay un Servidor de Sincronización definido para este Alcance de Sincronización. Necesitará configurar el/los Servidor(es) de Sincronización dentro del Alcance de Sincronización. |
| Advertencia | 253 | La licencia está a punto de expirar o ser excedida. |
| Error | 350 | Se produjo una excepción en el servicio de Notificador. Este es un error inesperado que debe ser reportado al Soporte de Specops. |
| Error | 351 | Se produjo un error esperado para un Punto de Sincronización. Este es un error inesperado que debe ser reportado al Soporte de Specops. |
| Error | 352 | No se pudo iniciar el servicio. |
| Error | 353 | Configuración de Punto de Sincronización inválida. |
| Error | 354 | No se pudo procesar un cambio de contraseña. |
| Error | 355 | El servicio dejó de servir un Punto de Sincronización debido a una excepción. |
| Error | 356 | El filtro de Notificador de Cambio de Contraseña no está cargado y, por lo tanto, los cambios de contraseña no se sincronizarán. Esto ocurre si el servidor no se ha reiniciado después de la instalación. Necesitará reiniciar el servidor. |
| Error | 357 | La URL del Servidor de Sincronización no coincide con el nombre DNS. Este es un error de configuración y los cambios de contraseña para este Punto de Sincronización no se sincronizarán. |
| Error | 358 | El Servidor de Sincronización especificado para este Punto de Sincronización no está permitido dentro del Alcance de Sincronización. Desde la Herramienta de Administración de Specops Password Sync, puede verificar que los Servidores de Sincronización especificados estén listados como Servidores de Sincronización para este Alcance de Sincronización. |
| Error | 359 | No se pudo leer la configuración del Punto de Sincronización. |
| Error | 360 | Falló la verificación de licencia. |
| Error | 361 | La licencia es inválida. |
| Error | 362 | No se pudo enviar el correo electrónico de licencia. |
| Error | 363 | No se encontró una licencia válida. |
Eventos del Servidor de Sincronización
| Tipo de evento | ID | Descripción |
|---|---|---|
| Información | 150 | Servidor de Specops Password Sync iniciado. |
| Información | 151 | Servidor de Specops Password Sync detenido. |
| Información | 152 | Se actualizó una contraseña para un punto de sincronización. |
| Información | 153 | El grupo “Controladores de Dominio” fue agregado al grupo “Specops Password Change Notifiers”. |
| Información | 154 | El grupo "Controladores de Dominio" no fue agregado al grupo "Specops Password Change Notifiers" porque ya está agregado. |
| Información | 155 | Un cambio de contraseña exitoso fue realizado por un proveedor. |
| Información | 156 | Se cargó un proveedor. |
| Advertencia | 250 | No se encontró un proveedor válido. |
| Advertencia | 251 | No se pudo enviar el correo electrónico al usuario. |
| Error | 350 | No se pudo iniciar el Servidor de Specops Password Sync. |
| Error | 351 | No se pudo detener el Servidor de Specops Password Sync. |
| Error | 353 | Evento de cambio de contraseña refiriéndose a un Punto de Sincronización desconocido. |
| Error | 354 | No se pudo cambiar la contraseña de un usuario. |
| Error | 355 | No se pudo cambiar la contraseña de un usuario. No se realizarán más intentos. |
| Error | 356 | No se pudo cambiar la contraseña de un usuario porque el Punto de Sincronización configurado se refiere a un proveedor no compatible. |
| Error | 357 | No se configuró una contraseña para el proveedor en el Punto de Sincronización. |
| Error | 358 | No se pudo transformar el nombre de usuario. |
| Error | 359 | No se pudo encontrar el grupo “Controladores de Dominio” para el grupo “Specops Password Change Notifiers”. |
| Error | 360 | No se pudo agregar el grupo “Controladores de Dominio” al grupo “Specops Password Change Notifiers”. |
| Error | 362 | No se pudo cargar el proveedor. |
| Error | 363 | No se pudo enviar el correo electrónico. |
| Error | 365 | Configuración SMTP inválida en el Alcance de Sincronización. |
| Error | 366 | No se pudo consumir los datos de restablecimiento. |
| Error | 367 | No se pudo cargar los metadatos para el proveedor. |
| Error | 368 | El cambio de contraseña fue rechazado por el servidor. |
| Error | 369 | No se pudo cambiar la contraseña porque el Punto de Sincronización tiene una configuración inválida para el proveedor. |
| Error | 370 | Se produjo una excepción no controlada en el Servidor de Specops Password Sync. |
Registro de depuración
Puede configurar los componentes de Specops Password Sync para registrar su actividad interna en un registro de depuración detallado. El registro de depuración le permite seguir los eventos que conducen al error. El registro de depuración se habilita cambiando la clave de registro relevante de “0” a “1.” Se devolverá un registro adicional utilizando los niveles de depuración más altos “2” o “3.”
| Clave de registro | Descripción |
|---|---|
| HKLM\Software\Specopssoft\Specops Password Sync\Admin Tools\Debug | Controla el registro de depuración para las herramientas de administración. Los archivos de registro (SPS.AdminTools.log) se almacenan bajo %LocalAppData%\Specopssoft\ Valor predeterminado = 0 Nota: Debe habilitarse en una computadora que tenga instaladas las Herramientas de Administración. |
| HKLM\Software\Specopssoft\Specops Password Sync\ChangeNotifier\Debug | Controla el registro de depuración para el filtro de Notificador de Cambio. Los archivos de registro (spsflt*.log) se almacenan bajo %SystemRoot%\Debug\ Valor predeterminado = 0 Nota: Debe habilitarse en el Controlador de Dominio. |
| HKLM\Software\Specopssoft\Specops Password Sync\ChangeNotifierService\Debug | Controla el registro de depuración para el servicio de Notificador de Cambio. Los archivos de registro (spsChangeNotifier*.log) se almacenan bajo %SystemRoot%\Debug\ Valor predeterminado = 0 Nota: Debe habilitarse en el Controlador de Dominio. |
| HKLM\Software\Specopssoft\Specops Password Sync\Server\Debug | Controla el registro de depuración para el servicio del Servidor de Sincronización. La ruta predeterminada del archivo de registro es “C:\SPS.SyncServer.log”. Valor predeterminado = 0 Nota: Debe habilitarse en el Servidor de Specops Password Sync. |
Nota
No deje el registro de depuración activado a menos que lo necesite. El registro detallado durante un período prolongado puede crear archivos de registro grandes que tienen el potencial de llenar la partición del disco de su sistema.