GCDS-foutmeldingen

Netwerkprobleem: Kan geen verbinding maken met de opgegeven LDAP-server: eenvoudige binding mislukt: servernaam:636, reden: SSLHandshakeException - Geen alternatieve onderwerpnamen aanwezig

Netwerkprobleem: Kan geen verbinding maken met de opgegeven LDAP-server: eenvoudige binding mislukt: servernaam:636, reden: SSLHandshakeException - Geen alternatieve DNS-naam gevonden die overeenkomt met servernaam

De Common Name (CN) en Subject Alternative Name (SAN) van het certificaat komen niet overeen met de naam van de LDAP-server in uw GCDS-configuratiebestand.

Om dit op te lossen, kunt u het volgende doen:

• Corrigeer uw GCDS-configuratiebestand. Als u het IP-adres van de LDAP-server in de GCDS-configuratie hebt toegevoegd, voer dan ook de volledig gekwalificeerde domeinnaam (FQDN) in (bijvoorbeeld dc01.solarmora.com ).
• Voeg een SAN toe aan het certificaat. Zorg ervoor dat de SAN de naam bevat van de LDAP-server die u gebruikt in de GCDS-configuratie.

Als tijdelijke oplossing kunt u de endpoint-identificatie uitschakelen door een nieuwe regel toe te voegen aan de bestanden config-manager.vmoptions en sync-cmd.vmoptions in de GCDS-installatiemap. Verwijder de regelovergang voordat u de regel aan de bestanden toevoegt:

-Dcom.sun.jndi.ldap.object.disableEndpointIdentification=true

sun.security.provider.certpath.SunCertPathBuilder Uitzondering: kan geen geldig certificeringspad vinden naar het gevraagde doel

ldap_simple_bind_s() mislukt: Sterke authenticatie vereist

Volg de stappen in Problemen met certificaten oplossen .

Als u GCDS gebruikt op een computer zonder grafische gebruikersinterface (GUI), is de sleutel mogelijk niet correct geïmporteerd. Raadpleeg de instructies in ' Hoe autoriseer ik GCDS op een computer zonder GUI?'

Zoek de map die in het bericht wordt genoemd en verwijder deze. Start vervolgens de synchronisatie opnieuw.

Een ander proces is het gelijktijdig openen van de cachemap of -bestanden met GCDS.

Om het probleem op te lossen, download en voer Microsoft Process Monitor uit en maak een filter aan. Gebruik in de filteropties Pad , Bevat en pad-naar-map \syncState om de processen te identificeren die toegang hebben tot de map of bestanden.

Ga voor meer informatie naar Process Monitor .

U hebt een ongeldige zoekopdracht ingevoerd in het veld 'Gebruikers zoeken' . Verwijder de zoekopdracht of zorg ervoor dat deze voldoet aan de zoekrichtlijnen in 'Gebruikers zoeken' .

Voor meer informatie over zoekopdrachten van gebruikers, ga naar Gegevens weglaten met uitsluitingsregels en -query's .

Als u dit bericht krijgt tijdens het verbinden met de LDAP-server, heeft de server de verbinding verbroken. Mogelijke oorzaken zijn:

• U gebruikt LDAP+SSL en de LDAP-server is niet geconfigureerd om de TLS-parameters te accepteren die GCDS ondersteunt (bijvoorbeeld de cipher suite). Zorg ervoor dat uw LDAP-server de nieuwste beveiligingsupdates en -instellingen heeft.
• Een firewallregel blokkeert de verbinding.

Om dit probleem op te lossen:

1. Zorg ervoor dat er slechts één instantie van GCDS op uw computer actief is.

   Je kunt slechts één instantie van GCDS tegelijk uitvoeren met hetzelfde XML-bestand.

2. Herstart het systeem om ervoor te zorgen dat geen andere processen toegang hebben tot de GCDS-cachedatabase. Voer vervolgens de synchronisatie opnieuw uit.
3. Als het probleem aanhoudt, zoek dan de map SyncState op en hernoem deze om GCDS te dwingen een nieuwe cachedatabase aan te maken. U vindt deze map in de gebruikersprofielmap (Windows) of in de thuismap (Linux).

Zorg ervoor dat u de nieuwste versie van GCDS gebruikt. Ga naar GCDS bijwerken voor meer informatie.

GCDS heeft volledige toegang tot de map nodig om de synchronisatiestatusdatabase te onderhouden. Deze foutmelding kan verschijnen als:

• GCDS draait onder een andere gebruiker dan degene die GCDS heeft geïnstalleerd.
• De machtigingen zijn sinds de installatie gewijzigd.

GCDS probeert een configuratiebestand te laden met een niet-ondersteunde tekenencodering.

GCDS gebruikt UTF-8 als standaard tekenencodering. U dient dezelfde codering te gebruiken voor uw configuratiebestanden, hoewel andere coderingen ook compatibel zijn.

Om dit probleem op te lossen:

1. Wijzig de codering van uw configuratiebestand naar UTF-8:
   1. Open een teksteditor.
   2. Sla het bestand op met een andere codering.
2. Controleer of de inhoud van uw configuratiebestand correct is.
3. Probeer het configuratiebestand opnieuw in GCDS te laden.

De meest voorkomende niet-ondersteunde coderingen zijn UTF-7 en UTF-8 BOM.

Een probleem met de netwerkverbinding verhinderde dat GCDS een Secure Sockets Layer (SSL)-handshake met de Google-server kon voltooien. Een computer die een pakket te traag routeert of een tijdelijke storing bij uw internetprovider kunnen dit probleem veroorzaken.

GCDS probeert de SSL-handshake maximaal 3 keer te voltooien. Als u het volgende bericht in de logboeken ziet, heeft GCDS de handshake bij volgende pogingen succesvol voltooid en is er geen verdere actie nodig: [usersyncapp.sync.FullSyncAgent] Geen verschillen gedetecteerd, geen wijzigingen nodig.

Overleg met uw lokale netwerkbeheerder om te achterhalen wat de oorzaak van de netwerktime-outs zou kunnen zijn.

Als je deze foutmelding in de logboeken ziet, betekent dit dat GCDS tijdelijk geen toegang heeft tot de Google API's. GCDS probeert de API's opnieuw te gebruiken en je synchronisatie zou daarna weer normaal moeten verlopen.

Als u de foutmelding in het synchronisatieoverzicht krijgt en de synchronisatie niet correct is voltooid, neem dan contact op met de ondersteuning. Zie voor meer informatie: Welke GCDS-informatie heb ik nodig voordat ik contact opneem met de ondersteuning?

Een regel in een van de volgende secties van Configuration Manager is leeg:

• LDAP-configuratie Organisatie-eenheden Zoekregels
• LDAP-configuratie Gebruikers Gebruikerssynchronisatie
• LDAP-configuratie Groepen Groepszoekregels
• LDAP-configuratie Gebruikersprofielen Gebruikersprofielen synchroniseren
• LDAP-configuratie Gedeelde contacten Contacten synchroniseren

Ga voor meer informatie naar Uw synchronisatie instellen met Configuration Manager .

De wachtwoordversleutelingsmethode voor het synchroniseren van wachtwoorden is niet correct geconfigureerd in Configuration Manager, of uw LDAP-server gebruikt een versleutelingsmethode die niet wordt ondersteund door GCDS. De ondersteunde methoden zijn platte tekst, Base64, MD5 en SHA1. Gebruik Wachtwoordsynchronisatie om wachtwoorden te synchroniseren met Microsoft Active Directory.

Ga voor meer informatie naar Hoe synchroniseert u wachtwoorden? en GCDS bijwerken .

GCDS maakt op uw LDAP-server geen correct onderscheid tussen gebruikers en geneste groepen. Om dit probleem op te lossen:

1. Voeg de volgende regel toe aan uw configuratiebestand, in de sectie <features>:
   GROEP_GENESTE_GROEPEN_ALS_GEBRUIKERS
2. Plaats de regel tussen <optionele> tags.
3. Sla je configuratiebestand op en synchroniseer.

GCDS kan onverwachte wijzigingen proberen aan te brengen als u een synchronisatie uitvoert met een configuratiebestand dat buiten Configuration Manager is gedupliceerd. Het nieuwe configuratiebestand heeft toegang tot dezelfde cache als het oorspronkelijke configuratiebestand, en inconsistenties tussen de twee kunnen ertoe leiden dat gebruikers worden geschorst.

Om een ​​GCDS-configuratiebestand te dupliceren, gebruikt u altijd de optie ' Opslaan als' in Configuratiebeheer. Zo bent u ervan verzekerd dat het nieuwe configuratiebestand een eigen cache heeft.

Ga voor meer informatie naar Werken met configuratiebestanden .

U gebruikt een ouder GCDS XML-configuratiebestand en GCDS is een groepslid tegengekomen dat niet is opgenomen in de gebruikerszoekregels van uw configuratie. U moet alle groepsleden en eigenaren opnemen in uw gebruikerszoekregels, zelfs als u deze gebruikers niet wilt synchroniseren met het Google-domein. GCDS moet de e-mailadressen van deze gebruikers extraheren om groepen correct te kunnen verwerken.

U kunt ook een nieuw, leeg XML-configuratiebestand aanmaken. GCDS schakelt dan een onafhankelijke groepssynchronisatie in, waardoor GCDS groepsleden oplost ongeacht de synchronisatieregels voor gebruikers. Als u het niet zeker weet, is dit de aanbevolen optie.

Wanneer u configuratiewijzigingen aanbrengt of een nieuw configuratiebestand aanmaakt, zorg er dan voor dat u een simulatie uitvoert en de resultaten bekijkt voordat u een volledige synchronisatie uitvoert.

Ga voor meer informatie naar Uw gebruikerslijst definiëren .

Het beheerdersaccount dat u in Configuration Manager hebt opgegeven, is geen beheerder, of de gebruikersnaam en het wachtwoord zijn onjuist.

Ga in Configuratiebeheer naar Google Domein . Ga naar Instellingen en controleer de beheerdersaccountgegevens die zijn opgegeven bij E-mailadres van beheerder .

Ga voor meer informatie naar Uw Google-domeininstellingen definiëren .

Het synchronisatiesleutelkenmerk dat is opgegeven in het gedeelte Gedeelde contactpersonen van Configuration Manager retourneert lege waarden van uw LDAP-server. Selecteer een kenmerk van de LDAP-server dat de synchronisatiesleutelwaarde voor elke resource bevat en nooit een null-waarde of een lege tekenreeks retourneert.

De in GCDS ingestelde limiet voor verwijdering of opschorting is bereikt. Wijzig de instelling 'Verwijderingslimieten' in GCDS om deze fout te voorkomen, of raadpleeg het synchronisatielogboek voor meer informatie over wat er verwijderd of opgeschort zou zijn, en bepaal of u de limiet moet aanpassen.

GCDS probeert een gebruiker of e-mailalias aan te maken die bestaat in een domein dat geen deel uitmaakt van uw Google-account. Probeer de volgende opties:

• Ga in Configuration Manager naar Gebruikersaccounts . Uitsluitingsregels maken en gebruikersuitsluitingsregels aanmaken die gebruikers in externe domeinen uitsluiten.
• Wijzig uw zoekregels voor gebruikers zodat gebruikers in externe domeinen niet worden weergegeven.
• Voeg het ontbrekende domein toe aan uw Google-account als secundair domein.

GCDS synchroniseert meer gebruikers dan waarvoor uw account is geconfigureerd. Probeer deze opties:

• Ga in Configuration Manager naar Gebruikersaccounts . Stel zoekregels in en beperk de reikwijdte van uw zoekopdracht om minder gebruikers te vinden.
• Zorg ervoor dat u in Configuration Manager de juiste DN hebt opgegeven die verwijst naar de root die alleen de gebruikers bevat die in het Google-domein moeten worden geïmporteerd.
• U kunt ook extra gebruikerslicenties aanschaffen. Ga voor meer informatie naar Meer gebruikerslicenties kopen .

Een basis-DN die is opgegeven in Configuration Manager verwijst mogelijk naar een object dat niet bestaat op uw LDAP-server. Controleer de basis-DN die is opgegeven in de filtersecties voor uw LDAP-verbinding, gebruiker, groep, profiel en gedeelde contactpersonen. Zorg ervoor dat u voor elk van deze filters een bestaand object als basis-DN gebruikt.

Een andere service of netwerkapparaat verhindert dat GCDS contact kan opnemen met de certificeringsinstantie voor het HTTPS-certificaat dat voor API's wordt gebruikt. Controleer of er firewall- of proxyregels zijn die verbindingen vanaf de machine waarop GCDS draait, blokkeren.

Als een proxy nodig is om vanaf de machine waarop GCDS draait toegang tot het internet te krijgen, moet deze correct geconfigureerd worden.

Om dit probleem te omzeilen, kunt u de controle van de certificaatintrekkingslijst (CRL) uitschakelen. Voeg hiervoor de volgende regels toe aan de bestanden config-manager.vmoptions en sync-cmd.vmoptions in de installatiemap van GCDS:
-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false

Ga voor meer informatie naar Hoe GCDS certificaatintrekkingslijsten controleert .

De query's die op een of meer van de volgende pagina's van Configuration Manager worden vermeld, bevatten geen gebalanceerde haakjes:

• LDAP-configuratie Organisatie-eenheden Zoekregels
• LDAP-configuratie Gebruikers Gebruikerssynchronisatie
• LDAP-configuratie Groepen Groepszoekregels
• LDAP-configuratie Gebruikersprofielen Gebruikersprofielen synchroniseren
• LDAP-configuratie Gedeelde contacten Contacten synchroniseren

GCDS kan de opgegeven LDAP-servernaam niet oplossen. Zorg ervoor dat u een volledig gekwalificeerde domeinnaam voor de LDAP-server invoert en dat de computer waarop GCDS draait deze kan oplossen.

Let op: Gebruik bij Active Directory de volledig gekwalificeerde domeinnaam van uw domein als servernaam.

Het probleem wordt meestal veroorzaakt doordat het verkeer via een proxy wordt geleid. Als u een proxy gebruikt, moet u de GCDS-proxy-instellingen configureren.

Zorg ervoor dat GCDS verbinding kan maken met deze specifieke URL's en poorten door de stappen in Toegang tot URL's en poorten toestaan ​​te voltooien.

Beveiligingssoftware op de lokale computer kan verbindingsproblemen veroorzaken. Vraag uw beheerder om alle beveiligingssoftware op de clientcomputer uit te schakelen en probeer het opnieuw.

Controleer of je de vereiste Google API's hebt ingeschakeld.

Ga voor meer informatie naar Je Google-account autoriseren .

U hebt geprobeerd meer gebruikers toe te voegen dan waarvoor u licenties hebt. Neem contact op met uw verkoopvertegenwoordiger om meer licenties aan te schaffen. Of pas uw LDAP-query's aan om minder gebruikers te synchroniseren.

Begin met het controleren van de DN in zowel het tabblad LDAP-configuratie als in alle zoekregels waar u een basis-DN-override hebt gedefinieerd.

Als dat het probleem niet oplost en u er zeker van bent dat de DN geldig is, ligt het probleem mogelijk bij de DNS-resolutie. U kunt aanvullende foutinformatie in het logboek zien, zoals:

• javax.naming.PartialResultException [Hoofduitzondering is javax.naming.CommunicationException: domain.com:389 [Hoofduitzondering is java.net.ConnectException: Verbinding geweigerd: connect]]
• javax.naming.PartialResultException [Hoofduitzondering is javax.naming.CommunicationException: domain.com:389 [Hoofduitzondering is java.net.ConnectException: Verbinding is verlopen: connect]]

Deze foutmeldingen geven aan dat de hostnaam de verbinding weigert of een time-out geeft. Probeer een DNS-lookup uit te voeren op deze hostnaam en zorg ervoor dat alle geretourneerde adressen geldig zijn en verbindingen toestaan ​​op de poort die u hebt geconfigureerd.

Opmerking : Deze fouten kunnen optreden, zelfs als u een geldige hostnaam of IP-adres hebt opgegeven in de GCDS-configuratie. Active Directory kan een LDAP-verwijzingsreactie geven, waardoor GCDS verbinding probeert te maken via een hostnaam. Deze verwijzing kan uiteindelijk leiden naar de hostnaam die niet kan worden opgelost. U kunt deze verwijzingen voorkomen door verbinding te maken met uw Active Directory-server via de Global Catalog-poort, die standaard 3268 is. Raadpleeg de Microsoft-documentatie voor meer informatie.

Sommige gegevens in het aangepaste schema zijn niet geldig. Om de limieten te controleren die van toepassing zijn op aangepaste schema's, ga naar Directory API: Aangepaste gebruikersvelden .

Als je logboekregistratie op traceerniveau hebt ingeschakeld, kun je ook het volledige HTTP-verzoek voor het aangepaste schema bekijken.

De ingestelde geheugenlimiet is overschreden. Hierdoor is de synchronisatie mislukt.

Om dit probleem op te lossen, ga naar Wat als ik geheugenproblemen zie?

GCDS kan geen verbinding maken met de LDAP-server. Controleer het volgende:

• Je gebruikt het juiste communicatieprotocol. Als de LDAP-server een beveiligd protocol vereist, gebruik dan LDAP + SSL.
• De LDAP-server is actief en heeft geen verbindingsproblemen.

GCDS kan de LDAP-server niet vinden. Zorg ervoor dat de computer waarop GCDS draait toegang heeft tot de opgegeven host en poort.

De LDAP-server weigert GCDS-verzoeken vanwege een authenticatieprobleem.

Zorg ervoor dat de geautoriseerde gebruiker en het bijbehorende wachtwoord correct zijn. U moet de geautoriseerde gebruiker toevoegen met behulp van de volledige DN. Zie de LDAP-verbindingsinstellingen voor meer informatie over het toevoegen van de geautoriseerde gebruiker.

GCDS kan geen verbinding maken met het basis-DN. Zorg ervoor dat:

• De basis-DN is aanwezig in de LDAP-server.
• De geautoriseerde gebruiker heeft machtigingen voor de basis-DN. Zie de LDAP-verbindingsinstellingen voor meer informatie.

GCDS kan geen informatie ophalen van de LDAP-server. Controleer het volgende:

• Het object <base-dn> bestaat en is toegankelijk voor de geautoriseerde gebruiker. Zie de LDAP-verbindingsinstellingen voor meer informatie.
• Het <attribuut> bestaat voor het <base-dn> -object in de LDAP-server.

Er bestaat al een lid

Deze foutmelding kan verschijnen als:

• Je hebt een lid wiens primaire LDAP-adres een aliasadres is in Google Workspace. Vermijd deze situatie indien mogelijk (gebruik bijvoorbeeld een andere gebruikersnaam voor de alias).
• Een gebruikersaccount heeft dezelfde gebruikersnaam voor twee aliasadressen. En op de pagina 'Google Domeinconfiguratie' heb je het vakje 'Domeinnamen in LDAP-e-mailadressen vervangen' aangevinkt.

  Als u het vakje aanvinkt, worden beide e-mailadressen gewijzigd zodat ze overeenkomen met het domein dat is opgegeven in het veld ' Alternatief e-maildomein' .

Schakel het selectievakje uit of wijzig een van de aliasgebruikersnamen.

Als u in de logboeken ook het volgende bericht ziet: "Fout bij het toevoegen van lid user-email-address aan groep group-email-address vanwege adresconflicten", controleer dan of:

• GCDS heeft de gebruiker met user-email-address uitgesloten van de synchronisatie op basis van uw uitsluitingsregels. Controleer uw uitsluitingsregels en probeer het opnieuw. Zie Gegevens uitsluiten met uitsluitingsregels en query's voor meer informatie.
• U hebt de gebruiker of groep buiten GCDS bijgewerkt. Wis de cache en probeer het opnieuw.

GCDS probeert een gebruiker toe te wijzen aan een organisatie-eenheid die niet bestaat in het Google-account van uw organisatie. Pas uw zoekregels voor gebruikers aan en probeer het opnieuw. Ga naar Zoekregels voor gebruikers voor meer informatie.

Zorg ervoor dat in het GCDS-configuratie-XML-bestand de waarde van <maxResults> is ingesteld op 500. Wijzig deze indien nodig naar 500 en voer de synchronisatie opnieuw uit.