GCDS-felmeddelanden

Nätverksproblem: Det gick inte att ansluta till den angivna LDAP-servern: enkel bindning misslyckades: servernamn: 636, orsak: SSLHandshakeException - Inga alternativa ämnesnamn finns

Nätverksproblem: Det gick inte att ansluta till den angivna LDAP-servern: enkel bindning misslyckades: servernamn:636, orsak: SSLHandshakeException - Inget alternativt DNS-namn för ämne som matchar servernamn hittades

Certifikatets vanliga namn (CN) och alternativa ämnesnamn (SAN) matchar inte namnet på LDAP-servern i din GCDS-konfigurationsfil.

För att åtgärda detta, antingen:

• Korrigera din GCDS-konfigurationsfil. Om du har lagt till LDAP-serverns IP-adress i GCDS-konfigurationen, ange även dess fullständigt kvalificerade domännamn (FQDN) (till exempel dc01.solarmora.com ).
• Lägg till ett SAN i certifikatet – Se till att SAN-et innehåller namnet på den LDAP-server som du använder i GCDS-konfigurationen.

Som en tillfällig lösning kan du stänga av slutpunktsidentifiering genom att lägga till en ny rad i filerna config-manager.vmoptions och sync-cmd.vmoptions i GCDS-installationsmappen. Ta bort radbrytningen innan du lägger till följande i filerna:

-Dcom.sun.jndi.ldap.object.inaktiveraEndpointIdentifiering=true

sun.security.provider.certpath.SunCertPathBuilder Undantag: det går inte att hitta giltig certifieringssökväg till begärt mål

ldap_simple_bind_s() misslyckades: Stark autentisering krävs

Följ stegen i Felsök certifikatrelaterade problem .

Om du kör GCDS på en dator som inte har ett grafiskt gränssnitt kanske du inte har importerat nyckeln korrekt. Steg för steg, gå till Hur auktoriserar jag GCDS på en dator utan ett grafiskt gränssnitt?

Leta reda på och ta bort mappen som identifieras i meddelandet. Starta sedan synkroniseringen igen.

En annan process är att komma åt cachemappen eller filerna samtidigt som GCDS.

För att felsöka, ladda ner och kör Microsofts Process Monitor och skapa ett filter. I filteralternativen använder du Path , Contains och path-to-folder \syncState för att identifiera de processer som har åtkomst till mappen eller filerna.

För mer information, gå till Processmonitor .

Du angav en ogiltig sökfråga i fältet Användarens sökfråga . Ta bort sökfrågan eller se till att den uppfyller sökriktlinjerna i Sök efter användare .

För mer information om användares sökfrågor, gå till Uteslut data med undantagsregler och frågor .

Om du får det här meddelandet när du ansluter till LDAP-servern har servern stängt anslutningen. Möjliga orsaker är:

• Du använder LDAP+SSL och LDAP-servern är inte konfigurerad för att acceptera de TLS-parametrar som GCDS stöder (till exempel chiffersvit). Se till att din LDAP-server har de senaste säkerhetsuppdateringarna och inställningarna.
• En brandväggsregel blockerar anslutningen.

Så här felsöker du problemet:

1. Se till att endast en instans av GCDS körs på din dator.

   Du kan bara köra en instans av GCDS åt gången med samma XML-fil.

2. Starta om systemet för att säkerställa att inga andra processer har åtkomst till GCDS-cachedatabasen. Kör sedan synkroniseringen igen.
3. Om problemet kvarstår, leta upp och byt namn på SyncState -mappen för att tvinga GCDS att skapa en ny cachedatabas. Du hittar mappen under användarprofilmappen (Windows) eller i hemkatalogen (Linux).

Se till att du använder den senaste versionen av GCDS. För mer information, gå till Uppdatera GCDS .

GCDS kräver fullständig behörighet till katalogen för att underhålla databasen för synkroniseringsstatus. Du kan se det här felet om:

• GCDS körs som en annan användare än den som installerade GCDS
• Behörigheterna har ändrats sedan installationen

GCDS försöker läsa in en konfigurationsfil med en teckenkodning som inte stöds.

GCDS använder UTF-8 som standardteckenkodning. Du bör använda samma kodning för dina konfigurationsfiler, även om andra kodningar är kompatibla.

För att lösa problemet:

1. Ändra kodningen av din konfigurationsfil till UTF-8:
   1. Öppna en textredigerare.
   2. Spara filen med en annan kodning.
2. Kontrollera att innehållet i din konfigurationsfil är korrekt.
3. Försök att ladda konfigurationsfilen på GCDS igen.

De vanligaste kodningarna som inte stöds är UTF-7 och UTF-8 BOM.

Ett problem med nätverksanslutningen hindrade GCDS från att slutföra en SSL-handskakning (Secure Sockets Layer) med Googles server. Problemet kan orsakas av att datorn dirigerar ett paket för långsamt eller att din internetleverantör tillfälligt förlorar tjänsten.

GCDS försöker slutföra SSL-handskakningen upp till 3 gånger. Om du ser följande meddelande i loggarna har GCDS slutfört handskakningen utan problem vid efterföljande försök och ingen ytterligare åtgärd behövs: [usersyncapp.sync.FullSyncAgent] Inga skillnader upptäcktes, inga ändringar behövs.

Samarbeta med din lokala nätverksadministratör för att se vad som kan orsaka nätverkstimeout.

Om du får det här felet i loggarna betyder det att GCDS tillfälligt är blockerat från att använda Googles API:er. GCDS försöker använda API:erna igen och din synkronisering bör fortsätta som förväntat.

Om du får felet i synkroniseringssammanfattningsrapporten och synkroniseringen inte slutfördes korrekt, kontakta supporten. För mer information, gå till Vilken GCDS-information behöver jag innan jag kontaktar supporten?

En regel i ett av följande avsnitt i Konfigurationshanteraren är tom:

• LDAP-konfiguration Organisationsenheter Sökregler
• LDAP-konfiguration Användare Användarsynkronisering
• LDAP-konfiguration Grupper Regler för gruppsökning
• LDAP-konfiguration Användarprofiler Synkronisering av användarprofiler
• LDAP-konfiguration Delade kontakter Kontaktsynkronisering

För mer information, gå till Konfigurera din synkronisering med Configuration Manager .

Lösenordskrypteringsmetoden för att synkronisera lösenord har inte konfigurerats korrekt i Configuration Manager, eller så använder din LDAP-server en krypteringsmetod som inte stöds av GCDS. De metoder som stöds är Plaintext, Base64, MD5 och SHA1. För att synkronisera lösenord med Microsoft Active Directory, använd Password Sync .

För mer information, gå till Hur synkroniserar du lösenord? och Uppdatera GCDS .

GCDS skiljer inte korrekt mellan användare och kapslade grupper på din LDAP-server. Så här löser du problemet:

1. Lägg till följande rad i din konfigurationsfil, i avsnittet <features>:
   GROUP_NESTED_GROUPS_AS_USERS
2. Omslut raden med <optional>-taggar.
3. Spara din konfigurationsfil och synkronisera.

GCDS kan försöka göra oväntade ändringar om du utför en synkronisering med en konfigurationsfil som duplicerades utanför Configuration Manager. Den nya konfigurationsfilen använder samma cache som den ursprungliga konfigurationsfilen, och inkonsekvenser mellan de två kan leda till att användare stängs av.

För att duplicera en GCDS-konfigurationsfil, använd alltid alternativet Spara som i Konfigurationshanteraren. Detta säkerställer att den nya konfigurationsfilen har en egen cache.

För mer information, gå till Arbeta med konfigurationsfiler .

Du använder en äldre GCDS XML-konfigurationsfil, och GCDS stötte på en gruppmedlem som inte ingår i din konfigurations användarsökregler. Du bör inkludera alla gruppmedlemmar och ägare i dina användarsökregler, även om du inte vill synkronisera dessa användare med Google-domänen. GCDS behöver extrahera e-postadresserna för att dessa användare ska kunna bearbeta grupper korrekt.

Alternativt kan du skapa en ny, tom XML-konfigurationsfil. GCDS aktiverar sedan en oberoende gruppsynkronisering, vilket tvingar GCDS att matcha gruppmedlemmar oavsett användarsynkroniseringsregler. Om du är osäker är detta det rekommenderade alternativet.

När du gör konfigurationsändringar eller skapar en ny konfigurationsfil, se till att du kör en simulering och granskar resultaten innan du kör en fullständig synkronisering.

För mer information, gå till Definiera din användarlista .

Administratörskontot du angav i Configuration Manager är inte ett administratörskonto, eller så är användarnamnet och lösenordet felaktigt.

I konfigurationshanteraren, gå till Google Domain Inställningar och verifiera administratörskontoinformationen som anges i Administratörens e-postadress .

För mer information, gå till Ange dina Google-domäninställningar .

Attributet synkroniseringsnyckel som anges i avsnittet Delade kontakter i Configuration Manager returnerar tomma värden från din LDAP-server. Välj ett attribut från LDAP-servern som innehåller synkroniseringsnyckelvärdet för varje resurs och aldrig returnerar en null- eller tom sträng.

Borttagnings- eller avstängningsgränsen som ställts in i GCDS har uppnåtts. Ändra inställningen Borttagningsgränser i GCDS för att undvika det här felet, eller se synkroniseringsloggen för mer information om vad som skulle ha raderats eller avstängts, och avgör om du behöver ändra gränsen.

GCDS försöker skapa ett användar- eller e-postalias som finns i en domän som inte ingår i ditt Google-konto. Prova dessa alternativ:

• I Konfigurationshanteraren går du till Användarkonton Undantagsregler och skapa användarundantagsregler som exkluderar användare i externa domäner.
• Ändra dina regler för användarsökning så att användare i externa domäner inte returneras.
• Lägg till den saknade domänen i ditt Google-konto som en sekundär domän.

GCDS synkroniserar fler användare än vad ditt konto är konfigurerat för. Prova dessa alternativ:

• I Konfigurationshanteraren går du till Användarkonton Sökregler och begränsa omfattningen av din användarsökning för att returnera färre användare.
• I konfigurationshanteraren ser du till att du har angett rätt DN som pekar till roten som endast innehåller användare som behöver importeras till Google-domänen.
• Du kan också skaffa fler användarlicenser. För mer information, gå till Köp fler användarlicenser .

Ett bas-DN som anges i Configuration Manager kan peka på ett objekt som inte finns på din LDAP-server. Kontrollera bas-DN:et som anges i dina filteravsnitt för LDAP-anslutning, användare, grupp, profil och delade kontakter. Se till att du använder ett befintligt objekt som bas-DN för varje objekt.

En annan tjänst eller nätverksenhet hindrar GCDS från att kontakta certifikatutfärdaren för HTTPS-certifikatet som används för API:er. Kontrollera om det finns brandväggs- eller proxyregler som skulle begränsa anslutningar från datorn som kör GCDS.

Om en proxy krävs för att komma åt webben från maskinen som kör GCDS måste den konfigureras korrekt.

För att undvika problemet kan du inaktivera kontrollen av certifikatåterkallningslistan (CRL). För att inaktivera CRL-kontrollen lägger du till följande rader i filerna config-manager.vmoptions och sync-cmd.vmoptions i GCDS-installationskatalogen:
-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=falskt

För mer information, gå till Hur GCDS kontrollerar listor över återkallade certifikat .

Frågorna som anges på en eller flera av följande sidor i Configuration Manager saknar balanserade parenteser:

• LDAP-konfiguration Organisationsenheter Sökregler
• LDAP-konfiguration Användare Användarsynkronisering
• LDAP-konfiguration Grupper Regler för gruppsökning
• LDAP-konfiguration Användarprofiler Synkronisering av användarprofiler
• LDAP-konfiguration Delade kontakter Kontaktsynkronisering

GCDS kan inte matcha det angivna LDAP-servernamnet. Se till att du anger ett fullständigt kvalificerat domännamn för LDAP-servern och att datorn som kör GCDS kan matcha det.

Obs! När du använder Active Directory ska du använda din domäns fullständiga domännamn som servernamn.

Problemet beror vanligtvis på att trafik tvingas passera via en proxy. Om du använder en proxy måste du konfigurera GCDS-proxyinställningarna.

Säkerställ att GCDS kan ansluta till dessa specifika URL:er och portar genom att slutföra stegen i Tillåt åtkomst till URL:er och portar .

Säkerhetsprogram på den lokala datorn kan orsaka anslutningsproblem. Be administratören att inaktivera all säkerhetsprogramvara på klientdatorn och försök igen.

Bekräfta att du har aktiverat de obligatoriska Google API:erna.

För mer information, gå till Auktorisera ditt Google-konto .

Du har försökt lägga till fler användare än du har användarlicenser för. Kontakta din säljare för att köpa fler användarlicenser. Eller ändra dina LDAP-frågor för att synkronisera färre användare.

Börja med att kontrollera DN:et både på fliken LDAP-konfiguration och i någon av sökreglerna där du har definierat en åsidosättning av bas-DN.

Om det inte löser problemet, och du är säker på att DN:et är giltigt, kan problemet bero på DNS-matchningen. Du kan se ytterligare felinformation i loggen, till exempel:

• javax.naming.PartialResultException [Rotundantaget är javax.naming.CommunicationException: domain.com:389 [Rotundantaget är java.net.ConnectException: Anslutning vägrades: ansluta]]
• javax.naming.PartialResultException [Rotundantaget är javax.naming.CommunicationException: domain.com:389 [Rotundantaget är java.net.ConnectException: Anslutningens timeout: connect]]

Dessa fel indikerar att värdnamnet nekar anslutningen eller att timeouten uppnås. Försök att köra en DNS-sökning på detta värdnamn och se till att alla adresser som returneras är giltiga och tillåter anslutningar på den port du har konfigurerat.

Obs ! Dessa fel kan uppstå även om du har angett ett giltigt värdnamn eller en giltigt IP-adress i GCDS-konfigurationen. Active Directory kan utfärda ett LDAP-hänvisningssvar som instruerar GCDS att ansluta via ett värdnamn. Denna hänvisning kan i slutändan vara till det värdnamn som inte kan matchas. Du kan undvika dessa hänvisningar genom att ansluta till din Active Directory-server med hjälp av Global Catalog-porten, som är standardvärde 3268. Mer information finns i Microsoft-dokumentationen.

En del av informationen i det anpassade schemat är inte giltig. För att kontrollera de begränsningar som gäller för anpassade scheman, gå till Directory API: Anpassade användarfält .

Om du har aktiverat loggar på spårningsnivå kan du också se den fullständiga HTTP-begäran för det anpassade schemat.

Den definierade minnesgränsen överskreds. Denna händelse orsakade att synkroniseringen misslyckades.

För att lösa problemet, gå till Vad händer om jag ser minnesrelaterade fel?

GCDS kan inte ansluta till LDAP-servern. Se till att:

• Du använder rätt kommunikationsprotokoll. Om LDAP-servern kräver ett säkert protokoll, använd LDAP + SSL.
• LDAP-servern är aktiv och har inga anslutningsproblem.

GCDS kan inte hitta LDAP-servern. Se till att datorn som kör GCDS har åtkomst till den angivna värden och porten.

LDAP-servern avvisar GCDS-förfrågningar på grund av ett autentiseringsproblem.

Se till att den behöriga användaren och deras lösenord är korrekta. Du bör lägga till den behöriga användaren med hjälp av deras fullständiga DN. För mer information om hur du lägger till den behöriga användaren, gå till LDAP-anslutningsinställningar .

GCDS kan inte ansluta till bas-DN. Se till att:

• Bas-DN finns på LDAP-servern.
• Den behöriga användaren har behörighet för bas-DN. För mer information, gå till LDAP-anslutningsinställningar .

GCDS misslyckas med att hämta information från LDAP-servern. Se till att:

• Objektet <base-dn> finns och är tillgängligt för den behöriga användaren. För mer information, gå till LDAP-anslutningsinställningar .
• Attributet <> finns för <base-dn> -objektet i LDAP-servern.

Medlem finns redan

Du kan se det här felet om:

• Du har en medlem vars primära LDAP-adress är en aliasadress i Google Workspace. Undvik den här situationen om möjligt (använd till exempel ett annat användarnamn för aliaset).
• Ett användarkonto har samma användarnamn för två aliasadresser. Och på sidan Google Domain Configuration har du markerat rutan Ersätt domännamn i LDAP-e-postadresser .

  När du markerar rutan ändras båda e-postadresserna så att de matchar domänen som anges i fältet Alternativ e-postadress .

Avmarkera rutan eller ändra ett av aliasanvändarnamnen.

Om du också får följande meddelande i loggarna: "Fel vid tillägg av medlemsanvändares e-postadress till gruppen grupp-e-postadress på grund av adresskollision", kontrollera om:

• GCDS exkluderade användaren med användar-e-postadress från synkroniseringen baserat på dina exkluderingsregler. Kontrollera dina exkluderingsregler och försök igen. För mer information, gå till Utelämna data med exkluderingsregler och frågor .
• Du uppdaterade användaren eller gruppen utanför GCDS. Rensa cachen och försök igen.

GCDS försöker placera en användare i en organisationsenhet som inte finns i din organisations Google-konto. Justera dina sökregler för användare och försök igen. Mer information finns i Sökregler för användare .

I GCDS-konfigurations-XML-filen, se till att värdet <maxResults> är inställt på 500. Ändra det vid behov till 500 och kör synkroniseringen igen.