Messages d'erreur de GCDS

Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative names present (Problème de réseau : impossible de se connecter au serveur LDAP indiqué : échec de la liaison simple : nom de serveur : 636, raison : SSLHandshakeException – Aucun autre nom de sujet n'est présent)

Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative DNS name matching servername found (Problème de réseau : impossible de se connecter au serveur LDAP indiqué : échec de la liaison simple : servername:636, raison : SSLHandshakeException - Aucun autre nom DNS correspondant au nom du serveur trouvé)

Le nom commun (CN) et l'autre nom de l'objet (SAN) du certificat ne correspondent pas au nom du serveur LDAP indiqué dans votre fichier de configuration GCDS.

Pour résoudre ce problème, procédez de l'une des manières suivantes :

• Corrigez votre fichier de configuration GCDS. Si vous avez ajouté l'adresse IP du serveur LDAP dans la configuration GCDS, saisissez également son nom de domaine complet (FQDN, par exemple, dc01.solarmora.com).
• Ajoutez un SAN au certificat : assurez-vous qu'il inclut le nom du serveur LDAP que vous utilisez dans la configuration GCDS.

Pour contourner temporairement ce problème, vous pouvez désactiver l'identification des points de terminaison en ajoutant une ligne aux fichiers config-manager.vmoptions et sync-cmd.vmoptions dans le dossier d'installation de GCDS. Supprimez le saut de ligne avant d'ajouter les fichiers :

-Dcom.sun.jndi.ldap.object. disableEndpointIdentification=true

sun.security.provider.certpath.SunCertPathBuilder Exception: unable to find valid certification path to requested target

ldap_simple_bind_s() failed: Strong Authentication Required

Suivez la procédure décrite dans Résoudre les problèmes liés aux certificats.

Si vous exécutez GCDS sur un ordinateur sans IUG, il est possible que vous n'ayez pas importé la clé correctement. Pour savoir comment procéder, consultez Comment puis-je autoriser GCDS sur une machine dépourvue d'interface utilisateur graphique (IUG) ?.

Recherchez et supprimez le dossier identifié dans le message. Relancez ensuite la synchronisation.

Un autre processus accède au dossier ou aux fichiers du cache en même temps que GCDS.

Pour résoudre le problème, téléchargez et exécutez l'outil Process Monitor de Microsoft, puis créez un filtre. Dans les options de filtrage, utilisez Chemin d'accès, Contient et chemin d'accès au dossier\syncState pour identifier les processus qui accèdent au dossier ou aux fichiers.

Pour en savoir plus, consultez Process Monitor.

Vous avez saisi une requête non valide dans le champ Users Search Query (Requête de recherche d'utilisateurs). Supprimez la requête de recherche ou vérifiez qu'elle respecte les consignes de recherche figurant sur la page Rechercher des utilisateurs.

Pour en savoir plus sur les requêtes de recherche des utilisateurs, consultez Exclure des données avec des règles d'exclusion et des requêtes.

Si ce message s'affiche lorsque vous vous connectez au serveur LDAP, cela signifie que le serveur a fermé la connexion. Les raisons possibles sont les suivantes :

• Vous utilisez LDAP+SSL et le serveur LDAP n'est pas configuré pour accepter les paramètres TLS compatibles avec GCDS (par exemple, la suite de chiffrement). Assurez-vous que votre serveur LDAP dispose des mises à jour et des paramètres de sécurité les plus récents.
• Une règle de pare-feu bloque la connexion.

Pour résoudre ce problème :

1. Vérifiez qu'une seule instance de GCDS est en cours d'exécution sur votre ordinateur.

   Vous ne pouvez exécuter qu'une seule instance de GCDS à la fois à l'aide du même fichier XML.

2. Redémarrez le système pour vous assurer qu'aucun autre processus n'accède à la base de données du cache GCDS. Exécutez ensuite à nouveau la synchronisation.
3. Si le problème persiste, localisez et renommez le dossier SyncState pour forcer GCDS à créer une nouvelle base de données de cache. Vous pouvez le trouver dans le dossier du profil utilisateur (Windows) ou dans le répertoire d'accueil (Linux).

Assurez-vous d'utiliser la dernière version de GCDS. Pour en savoir plus, consultez Mettre à jour GCDS.

GCDS nécessite les droits d'accès complets au répertoire pour maintenir la base de données de l'état de synchronisation. Ce message d'erreur peut s'afficher dans les cas suivants :

• GCDS s'exécute en tant qu'utilisateur différent de celui qui a installé GCDS.
• Les autorisations ont changé depuis l'installation

GCDS tente de charger un fichier de configuration avec un encodage de caractères non compatible.

GCDS utilise le format UTF-8 comme encodage de caractères par défaut. Vous devez utiliser le même encodage dans vos fichiers de configuration, bien que d'autres encodages soient compatibles.

Pour remédier à ce problème :

1. Utilisez le format d'encodage UTF-8 dans votre fichier de configuration :
   1. Ouvrez un éditeur de texte.
   2. Enregistrez le fichier avec un encodage différent.
2. Vérifiez que le contenu de votre fichier de configuration est correct.
3. Essayez de charger à nouveau le fichier de configuration sur GCDS.

Les encodages non compatibles les plus courants sont UTF-7 et UTF-8 BOM.

Un problème de connexion réseau a empêché GCDS d'effectuer le handshake Secure Sockets Layer (SSL) avec le serveur Google. Ce problème peut être dû à un ordinateur qui route un paquet trop lentement ou à une perte temporaire du service fourni par votre FAI.

GCDS tente d'effectuer le handshake SSL trois fois au maximum. Si le message suivant figure dans les journaux, cela signifie que GCDS a correctement effectué le handshake lors des tentatives suivantes et que vous n'avez rien d'autre à faire : [usersyncapp.sync.FullSyncAgent] No differences detected, no changes necessary. (Aucune différence détectée, aucune modification nécessaire.)

Contactez votre administrateur réseau local pour savoir ce qui peut provoquer les dépassements de délai sur le réseau.

Si cette erreur s'affiche dans les journaux, cela signifie que GCDS est temporairement bloqué et ne peut pas utiliser les API Google. GCDS retente d'utiliser les API, et la synchronisation devrait se poursuivre comme prévu.

Si une erreur s'affiche dans le rapport récapitulatif de la synchronisation et que la synchronisation n'a pas été effectuée correctement, contactez l'assistance. Pour en savoir plus, consultez Quelles informations dois-je récupérer dans GCDS avant de contacter l'assistance ?

Une règle de l'une des sections suivantes du gestionnaire de configuration est vide :

• Configuration LDAP Unités organisationnelles Règles de recherche
• Configuration LDAP Utilisateurs Synchronisation des comptes utilisateur
• Configuration LDAP Groupes Règles de recherche de groupes
• Configuration LDAP Profils utilisateur Synchronisation des profils utilisateur
• Configuration LDAP Contacts partagés Synchronisation des contacts

Pour en savoir plus, consultez Configurer la synchronisation avec le gestionnaire de configuration.

Le mode de chiffrement utilisé pour la synchronisation des mots de passe n'a pas été configuré correctement dans le Gestionnaire de configuration, ou bien votre serveur LDAP utilise un mode de chiffrement qui n'est pas compatible avec GCDS. Les modes Texte brut, Base64, MD5 et SHA1 sont acceptés. Pour synchroniser les mots de passe avec Microsoft Active Directory, utilisez Password Sync.

Pour en savoir plus, consultez Comment allez-vous synchroniser les mots de passe ? et Mettre à jour GCDS.

GCDS ne fait pas correctement la distinction entre les utilisateurs et les groupes imbriqués sur votre serveur LDAP. Pour remédier à ce problème :

1. Ajoutez la ligne suivante à votre fichier de configuration, dans la section <features> :
   GROUP_NESTED_GROUPS_AS_USERS
2. Placez la ligne entre les balises <optional>.
3. Enregistrez votre fichier de configuration et effectuez une synchronisation.

GCDS peut tenter d'apporter des modifications inattendues si vous effectuez une synchronisation avec un fichier de configuration que vous avez dupliqué en dehors du gestionnaire de configuration. Le nouveau fichier de configuration accède au même cache que le fichier de configuration d'origine. La présence d'incohérences entre les deux peut alors entraîner la suspension de certains comptes utilisateur.

Pour dupliquer un fichier de configuration GCDS, utilisez toujours l'option Enregistrer sous du gestionnaire de configuration. Cela garantit que le nouveau fichier de configuration possède son propre cache.

Pour en savoir plus, consultez Utiliser les fichiers de configuration.

Vous utilisez un ancien fichier de configuration GCDS XML, et GCDS a trouvé un membre de groupe qui ne figure pas dans les règles de recherche d'utilisateurs de votre configuration. Vous devez inclure tous les membres et propriétaires de groupe dans vos règles de recherche d'utilisateurs, même si vous ne voulez pas synchroniser ces utilisateurs avec le domaine Google. GCDS doit extraire les adresses e-mail de ces utilisateurs pour traiter correctement les groupes.

Vous pouvez également créer un fichier de configuration XML vide. GCDS active alors la synchronisation indépendante des groupes, qui le force à résoudre les membres de groupes indépendamment des règles de synchronisation des utilisateurs. En cas de doute, il s'agit de l'option recommandée.

Lorsque vous apportez des modifications à la configuration ou que vous créez un fichier de configuration, veillez à exécuter une simulation et à contrôler les résultats avant de lancer une synchronisation complète.

Pour en savoir plus, consultez Définir la liste d'utilisateurs.

Le compte administrateur que vous avez indiqué dans le gestionnaire de configuration ne dispose pas de droits d'administrateur, ou le nom d'utilisateur et le mot de passe sont incorrects.

Dans le gestionnaire de configuration, accédez à Domaine Google Paramètres, puis vérifiez les informations du compte administrateur figurant sous Adresse e-mail de l'administrateur.

Pour en savoir plus, consultez Définir les paramètres de votre domaine Google.

L'attribut de clé de synchronisation spécifié dans la section Contacts partagés du gestionnaire de configuration renvoie des valeurs vides de votre serveur LDAP. Dans ce cas, sélectionnez sur le serveur LDAP un attribut qui contient la valeur de clé de synchronisation de chaque ressource et qui ne renvoie jamais une chaîne vide ou nulle.

La limite de suppression ou de suspension définie dans GCDS est atteinte. Modifiez le paramètre Delete Limits (Limites de suppression) de GCDS pour éviter cette erreur. Vous pouvez également consulter le journal de synchronisation pour voir quels comptes auraient été supprimés ou suspendus, et décider si vous devez modifier la limite.

GCDS tente de créer un utilisateur ou un alias d'adresse e-mail qui existe dans un domaine n'appartenant pas à votre compte Google. Essayez les options suivantes :

• Dans le gestionnaire de configuration, accédez à Comptes utilisateur Règles d'exclusion et créez des règles d'exclusion pour exclure les utilisateurs des domaines externes.
• Modifiez les règles de recherche d'utilisateurs pour que les utilisateurs de domaines externes ne soient pas renvoyés.
• Ajoutez le domaine manquant à votre compte Google comme domaine secondaire.

GCDS synchronise un nombre d'utilisateurs supérieur au nombre de licences dont vous disposez dans votre compte. Essayez les options suivantes :

• Dans le gestionnaire de configuration, accédez à Comptes utilisateur Règles de recherche et limitez la portée de la recherche pour renvoyer moins d'utilisateurs.
• Dans le gestionnaire de configuration, vérifiez que vous avez indiqué le bon DN, qui pointe vers la racine ne contenant que les utilisateurs devant être importés dans le domaine Google.
• Vous pouvez également obtenir des licences utilisateur supplémentaires. Pour en savoir plus, consultez Acheter davantage de licences utilisateur.

Le nom distinctif (DN) de base indiqué dans le gestionnaire de configuration pointe peut-être vers un objet qui n'existe pas sur votre serveur LDAP. Vérifiez le nom distinctif de base indiqué dans les sections de filtre de connexion, de groupe, d'utilisateur, de profil et de contacts partagés. Veillez à utiliser un objet existant comme nom distinctif (DN) de base pour chacun d'eux.

Un autre périphérique réseau ou service empêche GCDS de contacter l'autorité de certification du certificat HTTPS utilisé pour les API. Vérifiez les règles de proxy ou de pare-feu susceptibles de limiter les connexions provenant de la machine sur laquelle GCDS est exécuté.

Si un proxy doit accéder à Internet à partir de l'ordinateur sur lequel GCDS est exécuté, il doit être configuré correctement.

Pour résoudre ce problème, vous pouvez désactiver la vérification des listes de révocation de certificats. Pour désactiver la vérification de la LRC, ajoutez les lignes suivantes aux fichiers config-manager.vmoptions et sync-cmd.vmoptions du répertoire d'installation de GCDS :
-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false

Pour en savoir plus, consultez Comment GCDS vérifie-t-il les listes de révocation de certificats ?.

Il manque des parenthèses dans les requêtes figurant sur une ou plusieurs des pages suivantes du gestionnaire de configuration :

• Configuration LDAP Unités organisationnelles Règles de recherche
• LDAP Configuration Users User Sync (Configuration LDAP > Utilisateurs > Synchronisation des comptes utilisateur)
• Configuration LDAP Groupes Règles de recherche de groupes
• LDAP Configuration User Profiles User Profiles Sync (Configuration LDAP > Profils utilisateur > Synchronisation des profils utilisateur)
• LDAP Configuration Shared Contacts Contacts Sync (Configuration LDAP > Contacts partagés > Synchronisation des contacts)

GCDS ne peut pas résoudre le nom du serveur LDAP indiqué. Veillez à saisir un nom de domaine complet pour le serveur LDAP et assurez-vous que l'ordinateur qui exécute GCDS est en mesure de le résoudre.

Remarque : Lorsque vous utilisez Active Directory, employez le nom complet de votre domaine comme nom de serveur.

Le problème se produit en général lorsque le trafic doit passer par un proxy. Si vous utilisez un proxy, vous devez configurer les paramètres de proxy de GCDS.

Vérifiez que GCDS peut se connecter à ces URL et ports spécifiques en suivant la procédure décrite dans Autoriser l'accès aux URL et aux ports.

Il est possible qu'un logiciel de sécurité installé sur l'ordinateur local crée des problèmes de connexion. Demandez à votre administrateur de désactiver tous les logiciels de sécurité installés sur l'ordinateur client, puis réessayez.

Vérifiez que vous avez activé les API Google requises.

Pour en savoir plus, consultez Autoriser votre compte Google.

Vous avez tenté d'ajouter un nombre d'utilisateurs supérieur au nombre de licences dont vous disposez. Contactez votre conseiller commercial pour acheter des licences utilisateur supplémentaires. ou modifiez vos requêtes LDAP pour synchroniser moins de comptes utilisateur.

Commencez par vérifier le nom distinctif figurant dans l'onglet LDAP Configuration (Configuration LDAP), ainsi que dans chaque règle de recherche où vous avez défini un remplacement de nom distinctif de base.

Si le problème persiste et que vous êtes sûr de la validité du nom distinctif, il se peut que la résolution DNS échoue. Le journal peut comporter d'autres informations sur les erreurs, par exemple :

• javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: domain.com:389 [Root exception is java.net.ConnectException: Connection refused: connect]]
• javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: domain.com:389 [Root exception is java.net.ConnectException: Connection timed out: connect]]

Ces erreurs signifient que le nom d'hôte refuse la connexion ou ne répond pas dans les délais. Essayez d'exécuter une recherche DNS sur ce nom d'hôte, et assurez-vous que toutes les adresses renvoyées sont valides et autorisent les connexions sur le port que vous avez configuré.

Remarque : Ce type d'erreur peut se produire même si vous avez spécifié un nom d'hôte ou une adresse IP valides dans la configuration GCDS. Active Directory peut émettre une réponse LDAP de référence, obligeant GCDS à se connecter via un nom d'hôte, qui peut être celui dont la résolution est impossible. Vous pouvez éviter cela en vous connectant à votre serveur Active Directory via le port de catalogue global dont la valeur par défaut est 3268. Pour en savoir plus, consultez la documentation Microsoft.

Certaines informations du schéma personnalisé ne sont pas valides. Pour vérifier les limites applicables au schéma personnalisé, consultez API Directory : Champs utilisateur personnalisés.

Si vous avez activé la journalisation en mode TRACE, vous pouvez également afficher la requête HTTP complète pour le schéma personnalisé.

La limite de mémoire définie a été dépassée. Cet événement a entraîné l'échec de la synchronisation.

Pour résoudre ce problème, consultez Que faire en cas d'erreurs liées à la mémoire ?

GCDS ne parvient pas à se connecter au serveur LDAP. Vérifiez les points suivants :

• Vous utilisez le bon protocole de communication. Si le serveur LDAP nécessite un protocole sécurisé, utilisez LDAP + SSL.
• Le serveur LDAP est actif et ne présente aucun problème de connexion.

GCDS ne parvient pas à trouver le serveur LDAP. Assurez-vous que l'ordinateur exécutant GCDS a accès à l'hôte et au port spécifiés.

Le serveur LDAP rejette les requêtes GCDS en raison d'un problème d'authentification.

Assurez-vous que l'utilisateur autorisé est bien le bon, et que son mot de passe est correct. Vous devez ajouter l'utilisateur autorisé à l'aide de son DN complet. Pour savoir comment ajouter un utilisateur autorisé, consultez Paramètres de connexion LDAP.

GCDS ne parvient pas à se connecter au DN de base. Vérifiez les points suivants :

• Le nom distinctif de base existe sur le serveur LDAP.
• L'utilisateur autorisé dispose d'autorisations pour le nom distinctif de base. Pour en savoir plus, consultez Paramètres de connexion LDAP.

GCDS ne parvient pas à récupérer les informations du serveur LDAP. Vérifiez les points suivants :

• L'objet <base-dn> existe, et l'utilisateur autorisé peut y accéder. Pour en savoir plus, consultez Paramètres de connexion LDAP.
• L'attribut <attribute> existe pour l'objet <base-dn> sur le serveur LDAP.

Le membre existe déjà

Ce message d'erreur peut s'afficher dans les cas suivants :

• L'adresse LDAP principale d'un de vos membres est un alias d'adresse dans Google Workspace. Évitez cette situation, si possible (par exemple, utilisez un autre nom d'utilisateur pour l'alias).
• Un compte utilisateur possède le même nom d'utilisateur pour deux alias d'adresse. De plus, sur la page Google Domain Configuration (Configuration du domaine Google), vous avez coché la case Replace domain names in LDAP email addresses (Remplacer les noms de domaine dans les adresses e-mail LDAP).

  Lorsque vous cochez cette option, les adresses e-mail sont modifiées pour correspondre au domaine répertorié dans le champ Alternate email domain (Autre domaine de messagerie).

Décochez la case ou modifiez l'un des noms d'utilisateur d'alias.

Si le message suivant s'affiche également dans les journaux : "Erreur lors de l'ajout du membre adresse-e-mail-utilisateur au groupe group-email-address en raison d'un conflit d'adresses", vérifiez si :

• GCDS a exclu l'utilisateur associé à adresse-e-mail-utilisateur de la synchronisation, en fonction de vos règles d'exclusion. Vérifiez vos règles d'exclusion, puis réessayez. Pour en savoir plus, consultez Exclure des données avec des règles d'exclusion et des requêtes.
• Vous avez mis à jour l'utilisateur ou le groupe en dehors de GCDS. Videz le cache et réessayez.

GCDS tente de placer un utilisateur dans une unité organisationnelle qui n'existe pas dans le compte Google de votre organisation. Ajustez vos règles de recherche d'utilisateurs, puis réessayez. Pour en savoir plus, consultez Règles de recherche d'utilisateurs.

Dans le fichier XML de configuration de GCDS, assurez-vous que la valeur <maxResults> est définie sur 500. Si nécessaire, remplacez-la par 500 et réexécutez la synchronisation.