Messaggi di errore di GCDS

Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative names present (Problema di rete: impossibile connettersi al server LDAP specificato: associazione semplice non riuscita: servername:636, motivo: SSLHandshakeException - No subject alternative names present)

Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative DNS name matching servername found (Problema di rete: impossibile connettersi al server LDAP specificato: semplice associazione non riuscita: servername:636, motivo: SSLHandshakeException - Nessun nome DNS alternativo del soggetto corrispondente al nome del server trovato)

Il nome comune (CN) e il nome alternativo del soggetto (SAN) del certificato non corrispondono al nome del server LDAP nel file di configurazione di GCDS.

Per risolvere il problema:

• Correggi il file di configurazione di GCDS. Se hai aggiunto l'indirizzo IP del server LDAP nella configurazione di GCDS, inserisci anche il relativo nome di dominio completo (ad esempio, dc01.solarmora.com).
• Aggiungi un nome alternativo del soggetto al certificato: assicurati che includa il nome del server LDAP che utilizzi nella configurazione GCDS.

Come soluzione alternativa temporanea, puoi disattivare l'identificazione degli endpoint aggiungendo una nuova riga ai file config-manager.vmoptions e sync-cmd.vmoptions nella cartella di installazione di GCDS. Rimuovi l'interruzione di riga prima di aggiungere i file:

-Dcom.sun.jndi.ldap.object. disableEndpointIdentification=true

sun.security.provider.certpath.SunCertPathBuilder Exception: unable to find valid certification path to requested target

ldap_simple_bind_s() failed: Strong Authentication Required (Richiesta autenticazione avanzata)

Segui i passaggi descritti in Risolvere i problemi relativi ai certificati.

Se utilizzi GCDS su un computer che non ha una GUI, potresti non aver importato correttamente la chiave. Per i passaggi da seguire, vedi Come faccio ad autorizzare GCDS su un computer senza GUI?

Individua ed elimina la cartella identificata nel messaggio. Quindi, riavvia la sincronizzazione.

Un altro processo sta accedendo, contemporaneamente a GCDS, alla cartella o ai file della cache.

Per risolvere il problema, scarica ed esegui Process Monitor di Microsoft e crea un filtro. Nelle opzioni di filtro, utilizza Percorso, Contiene e path-to-folder\syncState per identificare i processi che accedono alla cartella o ai file.

Per saperne di più, visita Process Monitor.

Hai inserito una query non valida nel campo Query di ricerca degli utenti. Rimuovi la query di ricerca o assicurati che soddisfi le linee guida di ricerca in Cerca utenti.

Per ulteriori informazioni sulle query di ricerca degli utenti, vai a Omettere i dati con query e regole di esclusione.

Se ricevi questo messaggio durante la connessione al server LDAP, significa che quest'ultimo ha chiuso la connessione. I possibili motivi sono:

• Stai utilizzando LDAP+SSL e il server LDAP non è configurato per accettare i parametri TLS supportati da GCDS (ad esempio suite di crittografia). Assicurati che sul server LDAP siano installati le impostazioni e gli aggiornamenti di sicurezza più recenti.
• Una regola firewall blocca la connessione.

Per risolvere il problema:

1. Assicurati che sul computer sia in esecuzione una sola istanza di GCDS.

   Puoi eseguire una sola istanza di GCDS alla volta utilizzando lo stesso file XML.

2. Riavvia il sistema per assicurarti che nessun altro processo acceda al database della cache di GCDS. Quindi, esegui di nuovo la sincronizzazione.
3. Se il problema persiste, individua e rinomina la cartella SyncState per forzare GCDS a creare un nuovo database della cache. Puoi trovare la cartella nella cartella del profilo utente (Windows) o nella home directory (Linux).

Assicurati di utilizzare l'ultima versione di GCDS. Per maggiori dettagli, vedi Aggiornare GCDS.

GCDS richiede le autorizzazioni complete per la directory per gestire il database degli stati di sincronizzazione. Potresti visualizzare questo errore se:

• GCDS viene eseguito con un utente diverso rispetto a quello che ha installato GCDS
• Le autorizzazioni sono cambiate dopo l'installazione

GCDS sta tentando di caricare un file di configurazione con una codifica di caratteri non supportata.

GCDS utilizza la codifica dei caratteri predefinita UTF-8. Dovresti utilizzare la stessa codifica per i file di configurazione, anche se ne esistono altre compatibili.

Per risolvere il problema:

1. Modifica la codifica del file di configurazione in UTF-8:
   1. Apri un editor di testo.
   2. Salva il file con una codifica diversa.
2. Verifica che i contenuti del file di configurazione siano corretti.
3. Prova a caricare di nuovo il file di configurazione su GCDS.

Le codifiche più comuni non supportate sono UTF-7 e UTF-8 BOM.

Un problema della connessione di rete ha impedito a GCDS di completare un handshake SSL (Secure Sockets Layer) con il server di Google. Il problema potrebbe essere causato da un computer che esegue il routing di un pacchetto troppo lentamente o da un'interruzione temporanea di servizio dell'ISP.

GCDS tenta fino a massimo tre volte di completare l'handshake SSL. Se nei log viene visualizzato il seguente messaggio, GCDS ha completato correttamente l'handshake nei tentativi successivi e non sono necessarie ulteriori azioni: [usersyncapp.sync.FullSyncAgent] No differences detected, no changes necessary. (Non sono state rilevate differenze, non sono necessarie modifiche).

Collabora con l'amministratore di rete locale per scoprire la causa dei timeout di rete.

Se viene visualizzato questo errore nei log, significa che l'utilizzo delle API di Google da parte di GCDS è temporaneamente bloccato. GCDS riprova a utilizzare le API e la sincronizzazione dovrebbe continuare come previsto.

Se visualizzi l'errore nel report di riepilogo della sincronizzazione e la sincronizzazione non è stata completata correttamente, contatta l'assistenza. Per maggiori dettagli, vedi Informazioni da raccogliere prima di contattare l'assistenza per GCDS

Una delle seguenti sezioni di Configuration Manager contiene una regola vuota:

• LDAP Configuration (Configurazione LDAP) Org Units (Unità organizzative) Search Rules (Regole di ricerca)
• Configurazione LDAP Utenti Sincronizzazione utenti
• Configurazione LDAP Gruppi Regole di ricerca gruppi
• LDAP Configuration (Configurazione LDAP) User Profiles (Profili utente) User Profiles Sync (Sincronizzazione profili utente)
• LDAP Configuration (Configurazione LDAP) Shared Contacts (Contatti condivisi) Contacts Sync (Sincronizzazione contatti)

Per ulteriori informazioni, vedi Impostare la sincronizzazione con Configuration Manager.

Il metodo di crittografia delle password per la loro sincronizzazione non è stato configurato correttamente in Configuration Manager oppure il server LDAP in uso utilizza un metodo di crittografia non supportato da GCDS. I metodi supportati sono testo non crittografato, Base64, MD5 e SHA1. Per sincronizzare le password con Microsoft Active Directory, utilizza Sincronizzazione password.

Per ulteriori informazioni, vedi Come si sincronizzano le password? e Aggiornare GCDS.

GCDS non distingue correttamente tra utenti e gruppi nidificati nel server LDAP in uso. Per risolvere il problema:

1. Aggiungi la seguente riga al file di configurazione, nella sezione <features>:
   GROUP_NESTED_GROUPS_AS_USERS
2. Racchiudi la riga tra tag <optional>.
3. Salva il file di configurazione e sincronizza.

GCDS potrebbe provare ad apportare modifiche impreviste se esegui una sincronizzazione con un file di configurazione che è stato duplicato all'esterno di Configuration Manager. Il nuovo file di configurazione accede alla stessa cache del file originale e la sospensione degli utenti può essere causata delle incongruenze tra i due file.

Per duplicare un file di configurazione GCDS, utilizza sempre l'opzione Save As (Salva con nome) di Configuration Manager. in modo da assicurare che il nuovo file di configurazione abbia la propria cache.

Per ulteriori informazioni, vedi Utilizzare i file di configurazione.

Stai utilizzando un file di configurazione XML di GCDS meno recente e GCDS ha rilevato che un membro del gruppo non è incluso nelle regole di ricerca utente della configurazione. Dovresti includere tutti i membri e i proprietari dei gruppi nelle regole di ricerca utente, anche se non intendi sincronizzare tali utenti con il dominio Google. GCDS ha bisogno di estrarre gli indirizzi email di questi utenti per elaborare i gruppi correttamente.

In alternativa, crea un nuovo file di configurazione XML vuoto. In questo caso, GCDS abiliterà una sincronizzazione indipendente del gruppo e sarà forzato a risolvere i membri del gruppo a prescindere dalle regole di sincronizzazione utenti. Se hai dubbi, questa è l'opzione consigliata.

Quando modifichi la configurazione in qualsiasi modo o crei un nuovo file di configurazione, ricorda di eseguire una simulazione e di controllarne i risultati prima di procedere con la sincronizzazione completa.

Per ulteriori informazioni, vedi Definire l'elenco degli utenti.

L'account amministratore specificato in Configuration Manager non corrisponde a un amministratore oppure il nome utente e la password non sono corretti.

In Configuration Manager, vai a Google Domain Settings (Impostazioni) e verifica i dati dell'account amministratore specificati in Admin Email Address (Indirizzo email dell'amministratore).

Per ulteriori informazioni, vedi Definire le impostazioni del dominio di Google.

L'attributo chiave di sincronizzazione specificato nella sezione Shared Contacts (Contatti condivisi) di Configuration Manager restituisce valori vuoti dal server LDAP. Seleziona dal server LDAP un attributo che contenga il valore della chiave di sincronizzazione per ciascuna risorsa e che non restituisca mai una stringa vuota o con valore "null".

I limiti per le eliminazioni o le sospensioni stabiliti in GCDS sono stati raggiunti. Modifica l'impostazione Elimina limiti in GCDS per evitare questo errore o controlla il log di sincronizzazione per maggiori dettagli sugli elementi eliminati o sospesi e stabilisci se è opportuno modificare il limite.

GCDS sta tentando di creare un utente o un alias che esiste in un dominio che non fa parte del tuo Account Google. Prova le seguenti opzioni:

• In Configuration Manager, vai a User Accounts (Account utente) Exclusion Rules (Regole di esclusione) e crea le regole per escludere gli utenti dei domini esterni.
• Modifica le regole di ricerca utenti in modo che non vengano restituiti gli utenti dei domini esterni.
• Aggiungi al tuo Account Google il dominio mancante come dominio secondario.

GCDS sincronizza un numero di utenti superiore a quello per il quale è stato eseguito il provisioning. Prova le seguenti opzioni:

• In Configuration Manager, vai a User Accounts (Account utente) Search rules (Regole di ricerca) e limita l'ambito della ricerca utente in modo che restituisca un numero inferiore di utenti.
• In Configuration Manager, accertati di avere specificato il nome distinto (DN) appropriato che indirizza alla radice contenente solo utenti che è necessario importare nel dominio Google.
• Puoi anche acquistare altre licenze utente. Per saperne di più, vai ad Acquistare licenze utente aggiuntive.

È possibile che un DN di base specificato in Configuration Manager stia puntando a un oggetto che non esiste sul server LDAP in uso. Controlla il DN di base specificato nelle sezioni di filtro connessione, utente, gruppo, profilo e contatti condivisi di LDAP. Assicurati di utilizzare un oggetto esistente come DN di base per ciascuna voce.

Un altro servizio o dispositivo di rete impedisce a GCDS di contattare l'autorità di certificazione per il certificato HTTPS utilizzato per le API. Verifica la presenza di regole del firewall o del proxy che limitano le connessioni dal computer che esegue GCDS.

Se è necessario un proxy per l'accesso al web dal computer che esegue GCDS, deve essere configurato correttamente.

Per aggirare il problema, puoi disattivare il controllo dell'elenco revoche certificati (CRL). Per disattivare il controllo CRL, aggiungi le righe seguenti ai file config-manager.vmoptions e sync-cmd.vmoptions nella directory di installazione di GCDS:
-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false

Per ulteriori informazioni, vai a In che modo GCDS verifica gli elenchi revoche certificati.

Le query specificate in una o più delle seguenti pagine di Configuration Manager non contengono parentesi bilanciate:

• LDAP Configuration Org Units Search Rules
• LDAP Configuration Users User Sync
• LDAP Configuration Groups Group Search Rules
• LDAP Configuration User Profiles User Profiles Sync
• LDAP Configuration Shared Contacts Contacts Sync

GCDS non è in grado di risolvere il nome del server LDAP fornito. Accertati di inserire un nome di dominio completo per il server LDAP e verifica che il computer che esegue GCDS sia in grado di risolverlo.

Nota:se utilizzi Active Directory, utilizza il nome di dominio completo come nome server.

Di solito questo problema è causato dal fatto che il traffico è forzato attraverso un proxy. Se utilizzi un proxy devi configurarne le impostazioni per GCDS.

Assicurati che GCDS possa connettersi a questi URL e porte specifici completando i passaggi descritti in Consentire l'accesso a URL e porte.

Il software di sicurezza sul computer locale potrebbe creare problemi di connessione. Chiedi all'amministratore di disabilitare gli eventuali software di sicurezza sul computer client e riprova.

Verifica di aver attivato le API di Google richieste.

Per ulteriori informazioni, vedi Autorizzare l'Account Google.

Hai tentato di aggiungere un numero di utenti superiore al totale di licenze utente disponibili. Contatta il tuo rappresentante di vendita per acquistare altre licenze utente. oppure modifica le tue query LDAP in modo da sincronizzare un numero inferiore di utenti.

Per iniziare, verifica il DN sia nella scheda LDAP configuration (Configurazione LDAP) che nelle regole di ricerca in cui hai definito l'override del DN di base.

Se questa procedura non risolve il problema e hai la certezza che il DN sia valido, il problema potrebbe riguardare la risoluzione del DNS. Il log potrebbe contenere ulteriori informazioni sull'errore, ad esempio:

• javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: domain.com:389 [Root exception is java.net.ConnectException: Connection refused: connect]]
• javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: domain.com:389 [Root exception is java.net.ConnectException: Connection timed out: connect]]

Questi errori indicano che il nome host rifiuta la connessione o che il tempo è scaduto. Prova a eseguire una ricerca DNS su questo nome host e verifica che tutti gli indirizzi restituiti siano validi e consentano connessioni sulla porta che hai configurato.

Nota: questi errori possono verificarsi anche se hai specificato un nome host o un indirizzo IP valido nella configurazione di GCDS. Active Directory potrebbe generare una risposta di riferimento LDAP, indirizzando GCDS alla connessione tramite un nome host. Il riferimento potrebbe in ultimo essere collegato al nome host che non si riesce a risolvere. Puoi evitare questi riferimenti effettuando la connessione al server Active Directory utilizzando la porta di catalogo globale, che per impostazione predefinita è la n. 3268. Per maggiori dettagli, consulta la documentazione di Microsoft.

Alcune delle informazioni nello schema personalizzato non sono valide. Per verificare i limiti che si applicano allo schema personalizzato, vedi i campi utente personalizzati per l'API Directory.

Se hai abilitato i log a livello di traccia, puoi anche vedere la richiesta HTTP completa per lo schema personalizzato.

Il limite di memoria definito è stato superato. e di conseguenza la sincronizzazione non è riuscita.

Per risolvere il problema, vedi Cosa indicano gli errori relativi alla memoria?

GCDS non è in grado di connettersi al server LDAP. Assicurati che:

• Stai utilizzando il protocollo di comunicazione corretto. Utilizzi LDAP + SSL nel caso in cui il server LDAP utilizzi un protocollo sicuro.
• Il server LDAP è attivo e non presenta problemi di connessione.

GCDS non è in grado di trovare il server LDAP. Assicurati che il computer su cui è in esecuzione GCDS abbia accesso all'host e alla porta specificati.

Il server LDAP rifiuta le richieste GCDS a causa di un problema di autenticazione.

Assicurati che l'utente autorizzato e la relativa password siano corretti. Devi aggiungere l'utente autorizzato utilizzando il suo ND completo. Per maggiori dettagli sull'aggiunta di un utente autorizzato, vai a Impostazioni di connessione LDAP.

GCDS non riesce a connettersi all'ND di base. Assicurati che:

• Il DN di base esiste nel server LDAP.
• L'utente autorizzato dispone di autorizzazioni per il DN di base. Per maggiori dettagli, vedi Impostazioni di connessione LDAP.

GCDS non riesce a recuperare le informazioni dal server LDAP. Assicurati che:

• L'oggetto <base-dn> esiste ed è accessibile all'utente autorizzato. Per maggiori dettagli, vedi Impostazioni di connessione LDAP.
• L'<attributo> esiste per l'oggetto <base-dn> nel server LDAP.

Membro già esistente

Potresti visualizzare questo errore se:

• Un membro ha come indirizzo LDAP principale un indirizzo alias in Google Workspace. Se possibile, evita questa situazione (ad esempio usa un nome utente diverso per l'alias).
• Un account utente ha lo stesso nome utente per 2 indirizzi alias. Inoltre, nella pagina Google Domain Configuration (Configurazione dominio Google), hai selezionato la casella Replace domain names in LDAP email addresses (Sostituisci nomi di dominio negli indirizzi email LDAP).

  Quando selezioni questa casella, entrambi gli indirizzi email vengono modificati in modo da corrispondere al dominio indicato nel campo Alternate email domain (Dominio email alternativo).

Deseleziona la casella o cambia uno dei nomi utente dell'alias.

Se nei log viene visualizzato anche il messaggio "Error while adding member user-email-address to group group-email-address due to address collision" (Errore durante l'aggiunta di user-email-address del membro a group-email-address del gruppo a causa di una collisione di indirizzi), verifica se:

• GCDS ha escluso l'utente con user-email-address dalla sincronizzazione in base alle regole di esclusione. Controlla le regole di esclusione e riprova. Per informazioni dettagliate, vai a Omettere i dati con query e regole di esclusione.
• Hai aggiornato l'utente o il gruppo al di fuori di GCDS. Svuota la cache e riprova.

GCDS sta tentando di inserire un utente in un'unità organizzativa che non esiste nell'Account Google della tua organizzazione. Modifica le regole di ricerca utente e riprova. Per maggiori dettagli, vedi Regole di ricerca per l'utente.

Nel file XML di configurazione di GCDS, assicurati che il valore <maxResults> sia impostato su 500. Se necessario, impostalo su 500 ed esegui di nuovo la sincronizzazione.