Mensagens de erro do GCDS

Problema de rede: não é possível se conectar ao servidor LDAP especificado: falha na vinculação simples: servername:636, motivo: SSLHandshakeException - Nenhum nome alternativo de assunto presente

Problema de rede: não é possível se conectar ao servidor LDAP especificado: falha na vinculação simples: servername:636, motivo: SSLHandshakeException - Nenhum nome DNS alternativo do assunto correspondente ao nome do servidor encontrado

O nome comum (CN, na sigla em inglês) e o nome alternativo do assunto (SAN, na sigla em inglês) do certificado não correspondem ao nome do servidor LDAP no arquivo de configuração do GCDS.

Para corrigir isso, faça o seguinte:

• Corrija o arquivo de configuração do GCDS. Se você adicionou o endereço IP do servidor LDAP na configuração do GCDS, digite também o nome de domínio totalmente qualificado (FQDN, na sigla em inglês). Por exemplo, dc01.solarmora.com.
• Adicione um SAN ao certificado: confirme que o SAN inclui o nome do servidor LDAP que você está usando na configuração do GCDS.

Como solução temporária, você pode desativar a identificação de endpoints adicionando uma nova linha aos arquivos config-manager.vmoptions e sync-cmd.vmoptions na pasta de instalação do GCDS. Remova a quebra de linha antes de adicionar aos arquivos:

-Dcom.sun.jndi.ldap.object. disableEndpointIdentification=true

sun.security.provider.certpath.SunCertPathBuilder Exception: não foi possível encontrar um caminho de certificado válido para o destino solicitado

Falha de ldap_simple_bind_s(): autenticação forte necessária

Siga as etapas em Resolver problemas relacionados a certificados.

Se você executa o GCDS em um computador que não tem uma GUI, talvez não tenha importado a chave corretamente. Confira as etapas em Como autorizo o GCDS em um computador sem GUI?

Localize e exclua a pasta identificada na mensagem. Em seguida, inicie a sincronização novamente.

Outro processo está acessando a pasta ou os arquivos de cache ao mesmo tempo que o GCDS.

Para resolver problemas, faça o download e execute o Process Monitor da Microsoft e crie um filtro. Nas opções de filtro, use Path, Contains e path-to-folder\syncState para identificar os processos que acessam a pasta ou os arquivos.

Para mais informações, acesse Process Monitor.

Você inseriu uma consulta inválida no campo Consulta de pesquisa de usuários. Remova a consulta de pesquisa ou verifique se ela atende às diretrizes da página Pesquisar usuários.

Para mais informações sobre as consultas de pesquisa dos usuários, acesse Omitir dados com regras de exclusão e consultas.

Se você receber essa mensagem quando estiver se conectando ao servidor LDAP, o servidor fechou a conexão. As possíveis razões são:

• Você está usando o LDAP+SSL, e o servidor LDAP não está configurado para aceitar os parâmetros TLS compatíveis com o GCDS (por exemplo, pacote de criptografia). Confirme que seu servidor LDAP tem as configurações e atualizações de segurança mais recentes.
• Uma regra de firewall está bloqueando a conexão.

Para resolver esse problema:

1. Verifique se apenas uma instância do GCDS está em execução no seu computador.

   Só é possível executar uma instância do GCDS por vez usando o mesmo arquivo XML.

2. Reinicie o sistema para garantir que nenhum outro processo esteja acessando o banco de dados em cache do GCDS. Em seguida, faça a sincronização novamente.
3. Se o problema persistir, localize e renomeie a pasta SyncState para forçar o GCDS a criar um novo banco de dados em cache. A pasta fica no diretório principal (Linux) ou na pasta de perfil do usuário (Windows).

Confirme que você está usando a versão mais recente do GCDS. Veja mais detalhes em Atualizar o GCDS.

O GCDS exige permissão total para o diretório manter o banco de dados de estados de sincronização. Esse erro pode aparecer nestas situações:

• O GCDS está sendo executado por um usuário diferente do que fez a instalação
• As permissões mudaram desde a instalação

O GCDS está tentando carregar um arquivo de configuração com uma codificação de caracteres não compatível.

O GCDS usa como padrão a codificação de caracteres UTF-8. Use a mesma codificação para os arquivos de configuração, embora outras codificações sejam compatíveis.

Para resolver o problema:

1. Mude a codificação do seu arquivo de configuração para UTF-8:
   1. Abra um editor de texto.
   2. Salve o arquivo com outra codificação.
2. Verifique se o conteúdo do arquivo de configuração está correto.
3. Tente carregar o arquivo de configuração no GCDS novamente.

As codificações não compatíveis mais comuns são UTF-7 e UTF-8 BOM.

Um problema na conexão de rede impediu o GCDS de concluir um handshake do Secure Sockets Layer (SSL) com o servidor do Google. Esse problema pode ocorrer quando um computador está roteando um pacote com muita lentidão ou o ISP perde o serviço temporariamente.

O GCDS faz até três tentativas de concluir o handshake do SSL. Se a mensagem a seguir aparecer nos registros, é porque o GCDS concluiu o handshake nas tentativas seguintes e nenhuma outra ação será necessária: [usersyncapp.sync.FullSyncAgent] Nenhuma diferença detectada, nenhuma mudança necessária.

Veja com o administrador da rede local o que pode estar causando a interrupção da rede.

Se você receber esse erro nos registros, isso significa que o GCDS está temporariamente impedido de usar as APIs do Google. O GCDS tenta executar as APIs novamente, e a sincronização vai continuar conforme o esperado.

Se você receber o erro no relatório de resumo da sincronização e ela não for concluída corretamente, entre em contato com o suporte. Para mais detalhes, acesse Quais informações do GCDS eu preciso antes de entrar em contato com o suporte?

Uma regra em uma das seguintes seções do Gerenciador de configuração está vazia:

• Configuração LDAP Unidades organizacionais Regras de pesquisa
• Configuração LDAP Usuários Sincronização de usuários
• Configuração LDAP Grupos Regras de pesquisa em grupos
• Configuração LDAP Perfis de usuário Sincronização de perfis de usuário
• Configuração LDAP Contatos compartilhados Sincronização de contatos

Para mais informações, acesse Configurar a sincronização com o Gerenciador de configuração.

O método de criptografia para sincronização de senhas não foi configurado corretamente no Gerenciador de configuração, ou o servidor LDAP usa um método de criptografia incompatível com o GCDS. Os métodos compatíveis são texto simples, Base64, MD5 e SHA1. Para sincronizar senhas com o Microsoft Active Directory, use o Password Sync.

Para mais informações, acesse Como sincronizar senhas? e Atualizar o GCDS.

O GCDS não está distinguindo corretamente usuários e grupos aninhados no seu servidor LDAP. Para resolver o problema:

1. Adicione a seguinte linha ao arquivo de configuração, na seção <features>:
   GROUP_NESTED_GROUPS_AS_USERS
2. Coloque a linha entre as tags <optional>.
3. Salve o arquivo de configuração e sincronize.

O GCDS pode tentar fazer mudanças inesperadas se você fizer uma sincronização com um arquivo de configuração duplicado fora do Gerenciador de configuração. O novo arquivo de configuração acessa o mesmo cache que o original, e as inconsistências entre os dois podem levar à suspensão dos usuários.

Para duplicar um arquivo de configuração do GCDS, use sempre a opção Salvar como no Gerenciador de configuração. Isso garante que o novo arquivo de configuração tenha um cache próprio.

Para mais informações, acesse Trabalhar com arquivos de configuração.

Você está usando um arquivo de configuração XML do GCDS mais antigo, e o GCDS encontrou um membro do grupo que não está incluído nas regras de pesquisa de usuário da sua configuração. Inclua todos os participantes e proprietários do grupo nas regras de pesquisa de usuários, mesmo se você não quiser sincronizar essas pessoas com o domínio do Google. O GCDS precisa extrair os endereços de e-mail desses usuários para processar os grupos corretamente.

Como alternativa, crie um novo arquivo de configuração XML em branco. O GCDS vai ativar a sincronização independente de grupo, o que obriga o GCDS a corrigir os participantes do grupo, sem considerar as regras de sincronização de usuários. Se você não tiver certeza, essa é a opção recomendada.

Ao fazer qualquer mudança na configuração ou criar um novo arquivo de configuração, execute uma simulação e analise os resultados antes de fazer uma sincronização completa.

Para mais informações, acesse Definir a lista de usuários.

A conta especificada no Gerenciador de configuração não é de um administrador, ou o nome de usuário e a senha estão incorretos.

No Gerenciador de configuração, acesse Google Domain Configurações e verifique as informações da conta de administrador especificadas em Endereço de e-mail do administrador.

Para mais informações, acesse Definir as configurações do domínio do Google.

O atributo da chave de sincronização especificado na seção Contatos compartilhados do Gerenciador de configuração retorna valores vazios do servidor LDAP. Selecione um atributo do servidor LDAP que contenha o valor da chave de sincronização para cada recurso e nunca retorne uma cadeia de caracteres nula ou vazia.

O limite de exclusão ou suspensão definido no GCDS foi atingido. Altere a configuração dos Limites de exclusão no GCDS para evitar esse erro ou confira no registro de sincronização mais detalhes sobre o que foi excluído ou suspenso. Depois decida se você precisa alterar o limite.

O GCDS está tentando criar um usuário ou alias de e-mail que exista em um domínio externo à sua Conta do Google. Tente estas opções:

• No Gerenciador de configuração, acesse Contas de usuário Regras de exclusão e crie regras de exclusão para excluir usuários em domínios externos.
• Altere as regras de pesquisa de usuários para que usuários de domínios externos não apareçam na pesquisa.
• Adicione o domínio que está faltando à sua Conta do Google como um domínio secundário.

O GCDS está sincronizando mais usuários do que o número provisionado para sua conta. Tente estas opções:

• No Gerenciador de configuração, acesse Contas de usuário Regras de pesquisa e limite o escopo para retornar menos usuários.
• No Gerenciador de configuração, confira se você especificou o DN correto que aponta para a raiz onde estão só os usuários que precisam ser importados para o domínio do Google.
• Você também pode comprar mais licenças de usuário. Para mais informações, acesse Comprar mais licenças de usuário.

É possível que um DN de base especificado no Gerenciador de configuração aponte para um objeto que não existe no servidor LDAP. Confira o DN de base especificado nas seções de filtro de conexão LDAP, usuário, grupo, perfil e contatos compartilhados. Use um objeto já existente como o DN de base para cada um.

Outro serviço ou dispositivo de rede está impedindo o GCDS de entrar em contato com a autoridade de certificação para o certificado HTTPS usado para APIs. Verifique se há regras de firewall ou proxy que restrinjam as conexões do computador que executa o GCDS.

Se for necessário usar um proxy para acessar a Web no computador que executa o GCDS, ele vai precisar ser configurado corretamente.

Para contornar o problema, você pode desativar a verificação da lista de revogação de certificado. Para desativar a verificação da CRL, adicione estas linhas aos arquivos config-manager.vmoptions e sync-cmd.vmoptions no diretório de instalação do GCDS:
-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false

Para mais informações, acesse Como o GCDS verifica listas de revogação de certificado.

As consultas especificadas em uma ou mais das seguintes páginas do Gerenciador de configuração não têm parênteses balanceados:

• Configuração LDAP Unidades organizacionais Regras de pesquisa
• Configuração LDAP Usuários Sincronização de usuários
• Configuração LDAP Grupos Regras de pesquisa em grupos
• Configuração LDAP Perfis de usuário Sincronização de perfis de usuário
• Configuração LDAP Contatos compartilhados Sincronização de contatos

O GCDS não resolve o nome de servidor LDAP informado. Digite um nome de domínio totalmente qualificado para o servidor LDAP e confirme que o computador que executa o GCDS pode resolvê-lo.

Observação:ao usar o Active Directory, use o nome totalmente qualificado do seu domínio como o nome do servidor.

Esse problema geralmente se deve ao tráfego forçado por um proxy. Se você estiver usando um proxy, será preciso definir as configurações de proxy do GCDS.

Para que o GCDS possa se conectar a esses URLs e portas específicos, siga as etapas em Permitir acesso a URLs e portas.

O software de segurança no computador local pode criar problemas de conexão. Peça ao administrador para desativar qualquer software de segurança na máquina cliente e tente novamente.

Confirme que você ativou as APIs do Google.

Para mais informações, acesse Autorizar sua Conta do Google.

Você tentou adicionar mais usuários do que o número de licenças. Entre em contato com seu representante de vendas para comprar mais licenças de usuário. ou mude suas consultas LDAP para sincronizar menos usuários.

Comece verificando o nome do domínio na guia Configuração LDAP e em qualquer regra de pesquisa quando você tiver definido uma modificação do DN de base.

Se isso não resolver o problema e você tiver certeza de que o DN é válido, talvez haja algo errado na resolução de DNS. Outras informações sobre erros podem aparecer no registro da seguinte forma:

• javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: domain.com:389 [Root exception is java.net.ConnectException: Connection refused: connect]]
• javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: domain.com:389 [Root exception is java.net.ConnectException: Connection timed out: connect]]

Esses erros identificam que o nome de host está recusando a conexão ou excedendo o tempo limite. Tente executar uma pesquisa no DNS com esse nome de host e confirme se todos os endereços que estão sendo retornados são válidos e permitem conexões na porta configurada.

Observação: esses erros podem ocorrer mesmo quando você especifica um nome de host ou endereço IP válido na configuração do GCDS. O Active Directory pode emitir uma resposta de referência LDAP, direcionando o GCDS para se conectar por um nome de host. Talvez esse seja o nome do host que não está sendo resolvido. Você pode evitar essas referências estabelecendo uma conexão com o servidor Active Directory por meio da porta do Catálogo Global, cujo número padrão é 3268. Consulte mais detalhes na documentação da Microsoft.

Algumas das informações no esquema personalizado não são válidas. Para verificar os limites que se aplicam ao esquema personalizado, acesse API Directory: campos de usuário personalizados.

Se você tiver registros de nível de rastreamento ativados, também poderá ver a solicitação HTTP completa do esquema personalizado.

O limite de memória definido foi excedido. Esse evento causou a falha da sincronização.

Para resolver esse problema, acesse E se os erros estiverem relacionados à memória?.

O GCDS não consegue se conectar ao servidor LDAP. Verifique se:

• Você está usando o protocolo de comunicação correto. Se o servidor LDAP exigir um protocolo seguro, use LDAP + SSL.
• O servidor LDAP está ativo e não tem problemas de conexão.

O GCDS não encontrou o servidor LDAP. Confira se o computador que está usando o GCDS tem acesso ao host e à porta definidos.

O servidor LDAP está rejeitando solicitações do GCDS devido a um problema de autenticação.

Confira se o usuário autorizado e a senha estão corretos. Adicione o usuário autorizado usando o DN completo. Veja mais detalhes sobre como adicionar o usuário autorizado em Configurações de conexão LDAP.

O GCDS não consegue se conectar ao DN de base. Verifique se:

• O DN de base existe no servidor LDAP.
• O usuário autorizado tem permissões para o DN de base. Para mais detalhes, acesse Configurações de conexão LDAP.

O GCDS não está recuperando informações do servidor LDAP. Verifique se:

• O objeto <base-dn> existe, e o usuário autorizado pode acessá-lo. Para mais detalhes, acesse Configurações de conexão LDAP.
• O atributo <attribute> do objeto <base-dn> existe no servidor LDAP.

O participante já existe

Esse erro pode aparecer nestas situações:

• Você tem um membro cujo endereço LDAP principal é um alias no Google Workspace. Se possível, evite esta situação. Por exemplo, use um nome de usuário diferente para o alias.
• Uma conta de usuário tem o mesmo nome de usuário para dois endereços de alias. e você marcou a caixa Replace domain names in LDAP email addresses na página Google Domain Configuration.

  Quando você marca a caixa, os dois endereços de e-mail são modificados para corresponder ao domínio listado no campo Domínio de e-mail alternativo.

Desmarque a caixa ou mude um dos nomes de usuário do alias.

Se você também vir a mensagem "Erro ao adicionar o membro user-email-address ao grupo group-email-address devido ao conflito de endereços" nos registros, verifique se:

• O GCDS excluiu o usuário com user-email-address da sincronização com base nas regras de exclusão. Verifique suas regras de exclusão e tente novamente. Para mais detalhes, acesse Omitir dados com regras de exclusão e consultas.
• Você atualizou o usuário ou o grupo fora do GCDS. Limpe o cache e tente de novo.

O GCDS está tentando colocar um usuário em uma unidade organizacional que não existe na Conta do Google da sua organização. Ajuste as regras de pesquisa de usuário e tente de novo. Saiba mais em Regras de pesquisa de usuários.

No arquivo XML de configuração do GCDS, verifique se o valor <maxResults> está definido como 500. Se necessário, mude para 500 e execute a sincronização novamente.