Tras aplicar los parches de seguridad de marzo 2024 (KB5035855 y KB5035857) numerosos administradores han informado de que el atributo “Enabled”, utilizado por herramientas de sincronización y scripts LDAP para conocer el estado de las cuentas, ha dejado de aparecer en los controladores de dominio Windows Server 2016/2019, impidiendo la correcta reactivación y sincronización con Microsoft Entra ID.
Antecedentes del problema
El 12 de marzo de 2024 Microsoft publicó su ciclo mensual de actualizaciones acumulativas. Poco después surgieron hilos en comunidades técnicas señalando que, tras reiniciar los controladores de dominio y completar la instalación, ya no era posible recuperar el atributo Enabled/Disabled a través de consultas LDAP, scripts PowerShell o conectores de Entra ID Connect. El síntoma se manifiesta así:
- Las cuentas “reactivadas” en Active Directory (AD) permanecen como bloqueadas o “fuera de ámbito” para Entra ID.
- Scripts automatizados que filtran usuarios basados en
Enabled ‑eq $true
arrojan resultados vacíos. - Las consolas gráficas de terceros que muestran columnas Status indican “Unknown”.
- Eventos 611 y 653 en el agente de AD Connect alertan de un missing attribute mapping.
Cómo determina realmente Active Directory el estado de la cuenta
Conviene recordar que Active Directory no posee un atributo literal llamado “Enabled”. El estado se expresa mediante una máscara de bits en userAccountControl
(UAC). El bit 2 (0x0002
) recibe el nombre ACCOUNTDISABLE
; cuando está establecido, la cuenta está deshabilitada. Ciertas herramientas —incluido el conector de Entra ID Connect en versiones antiguas— exponen un alias sintético llamado Enabled (true/false) calculado internamente a partir de la negación de ese bit.
Aspecto | Detalle práctico |
---|---|
Atributo real | El estado se guarda en userAccountControl ; el alias Enabled solo existe en herramientas de abstracción. |
Por qué pudo fallar | 1) Cambios en las bibliotecas LDAP tras los parches de marzo que dejan de exponer alias no estándar. 2) Conectores de Entra ID Connect desactualizados que siguen buscando “Enabled”. |
Pasos de mitigación | Actualizar Entra ID Connect a la versión más reciente y revisar reglas de mapeo. Sustituir consultas que usen “Enabled” por lógica basada en userAccountControl . |
Consulta LDAP de ejemplo | (&(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))) |
Pruebas adicionales | Revertir KB5035855/KB5035857 en un laboratorio para confirmar la correlación temporal. |
Recursos útiles | Documentación oficial de userAccountControl; guía “Troubleshoot user status mapping in Microsoft Entra ID Connect”; foro Microsoft Q&A (etiqueta Entra ID). |
Causas técnicas más probables
- Deprecación de alias LDAP no estandarizados.
Microsoft refactorizó componentes de LDAP RPC para apegarse al esquema oficial, eliminando atributos virtuales que no estaban documentados. Entre ellos figura Enabled. - Versión antigua de Entra ID Connect.
Las compilaciones anteriores a 2.2.x contienen reglas de mapeo predefinidas que buscan expresamente el alias “Enabled”. Al no encontrarlo, las reglas se marcan con estado error. - Scripts heredados en PowerShell/ADSISearcher.
La mayoría usa expresiones comoGet‑ADUser ‑LDAPFilter "(enabled=TRUE)"
. Tras el parche, la expresión devuelve cero objetos. - Herramientas de terceros integradas vía ADSI.
Aplicaciones de inventario o IAM que confían en el atributo virtual reportan “desconocido” o provocan excepciones.
Metodología de diagnóstico
- Confirme las versiones instaladas con
wmic qfe list brief
oGet‑HotFix
, buscando específicamente KB5035855 (Server 2019) o KB5035857 (Server 2016). - Ejecución de
repadmin /showattr
sobre un usuario conocido para verificar queuserAccountControl
cambia pese a la ausencia de “Enabled”. - Audite los eventos 611/653 (Conector AD Import/Export) en Applications and Services Logs > Directory‑Synchronization.
- Habilite el registro avanzado en AD Connect y capture una sincronización delta; localice advertencias de atributo faltante.
- En PowerShell, ejecute:
Get‑ADUser alice ‑Properties userAccountControl | Select Name,@{N='UAC';E={[int]$_.userAccountControl}}
Verifique el valor numérico y calcule la máscara.
Acciones de mitigación inmediata
- Actualice Microsoft Entra ID Connect a la última versión disponible (desde abril 2024 se corrigió el mapeo predeterminado para usar UAC).
- Edite las reglas de sincronización personalizadas: sustituya
Enabled
por la condición(NOT userAccountControl bit 2)
. - Modifique cualquier script o infraestructura de reporte que use filtros tipo
(enabled=TRUE)
. - Fuerce una sincronización completa (Full Sync) tras regenerar las reglas, usando:
Start‑ADSyncSyncCycle ‑PolicyType Initial
- Si la organización necesita restaurar el servicio con urgencia y no puede actualizar reglas, planifique la desinstalación temporal de las KB en un entorno de prueba para confirmar la causalidad antes de tocar producción.
Procedimiento recomendado de remediación
- Revisión de compatibilidad.
Consulte con el proveedor de cualquier herramienta de administración de identidades para verificar compatibilidad con las actualizaciones de marzo 2024. - Implementación de Entra Connect 2.2.x o superior.
Incluye plantillas actualizadas que mapeanisAccountEnabled
con una expresión de flujo basada en UAC. - Actualice runbooks y scripts.
Reemplace todas las ocurrencias deenabled
por la siguiente lógica PowerShell:$uac = (Get‑ADUser $_ ‑Prop userAccountControl).userAccountControl $enabled = -not ($uac -band 2)
- Pruebas funcionales.
Deshabilite y vuelva a habilitar un usuario de laboratorio, vigile la replicación y confirme la aparición en Entra ID conGet‑MgUser -UserId alice@contoso.com | fl AccountEnabled
. - Monitoreo posterior.
Configure alertas en el portal Entra ID y en los controladores de dominio para capturar futuros errores de mapeo.
Pruebas en entorno controlado
Antes de realizar cambios en producción:
- Clonar un DC a una red aislada (test forest) con copia de la base de datos NTDS.
- Instalar/desinstalar las KB de marzo 2024 y documentar diferencias en los resultados de
ldp.exe
oadsiedit.msc
. - Comparar la replicación de atributos mediante
dcdiag /test:replications
.
Buenas prácticas y prevención
La desaparición de un alias virtual ilustra por qué es recomendable acatar el esquema oficial de Active Directory:
- No dependas de atributos no documentados: los alias pueden desaparecer sin previo aviso.
- Auditoría continua: implementa alertas sobre propiedades de
userAccountControl
cambiadas. - Pipeline CI/CD para scripts de identidad: integra pruebas unitarias que simulan diferentes valores UAC.
- Revisión trimestral de conectores: mantén Entra ID Connect y sus reglas a la última versión estable.
Preguntas frecuentes
¿Puedo reactivar el alias Enabled?
Ciertas extensiones LDAP lo exponían de forma calculada; después de las actualizaciones no existe conector oficial para restaurarlo. La ruta recomendada es usar UAC.
¿Por qué algunos DC 2022 no se ven afectados?
Windows Server 2022 implementó desde su lanzamiento la política de alias restringidos; por eso, entornos mixtos pueden experimentar el fallo solo en 2016/2019.
¿Es seguro desinstalar las KB?
Sí, pero únicamente para pruebas. Desinstalar parches de seguridad deja al dominio vulnerable; use esta opción solo en laboratorios.
Conclusión
La desaparición del atributo “Enabled” tras las actualizaciones de marzo 2024 no es un fallo de Active Directory, sino la retirada de un alias sintético. El remedio pasa por modernizar reglas de sincronización, scripts y herramientas para utilizar la máscara userAccountControl
. Adoptar esta práctica garantiza compatibilidad futura y evita interrupciones en la sincronización con Microsoft Entra ID.