Сообщения об ошибках GCDS

Проблема с сетью: Не удалось подключиться к указанному LDAP-серверу: сбой простой привязки: servername:636, причина: SSLHandshakeException - Отсутствуют альтернативные имена субъекта.

Проблема с сетью: Не удалось подключиться к указанному LDAP-серверу: сбой простой привязки: servername:636, причина: SSLHandshakeException - Не найдено альтернативное DNS-имя субъекта, соответствующее servername.

Общее имя (CN) и альтернативное имя субъекта (SAN) сертификата не совпадают с именем LDAP-сервера в вашем конфигурационном файле GCDS.

Чтобы это исправить, можно сделать следующее:

• Исправьте файл конфигурации GCDS. Если вы добавили IP-адрес LDAP-сервера в конфигурацию GCDS, укажите также его полное доменное имя (FQDN) (например, dc01.solarmora.com ).
• Добавьте SAN к сертификату — убедитесь, что SAN включает имя LDAP-сервера, который вы используете в конфигурации GCDS.

В качестве временного решения можно отключить идентификацию конечных точек, добавив новую строку в файлы config-manager.vmoptions и sync-cmd.vmoptions в папке установки GCDS. Удалите разрыв строки перед добавлением в файлы:

-Dcom.sun.jndi.ldap.object.disableEndpointIdentification=true

sun.security.provider.certpath.SunCertPathBuilder Exception: не удалось найти действительный путь сертификации к запрошенному целевому объекту

Функция ldap_simple_bind_s() завершилась с ошибкой: Требуется надежная аутентификация.

Выполните действия, описанные в разделе «Устранение неполадок, связанных с сертификатами» .

Если вы используете GCDS на компьютере без графического интерфейса, возможно, вы неправильно импортировали ключ. Инструкции см. в разделе «Как авторизовать GCDS на компьютере без графического интерфейса?».

Найдите и удалите папку, указанную в сообщении. Затем запустите синхронизацию заново.

Ещё один процесс — это одновременный доступ к папке или файлам кэша и GCDS.

Для устранения неполадок загрузите и запустите Process Monitor от Microsoft и создайте фильтр. В параметрах фильтра используйте Path , Contains и path-to-folder \syncState, чтобы определить процессы, которые обращаются к папке или файлам.

Для получения более подробной информации перейдите в раздел «Монитор процессов» .

В поле «Поисковый запрос пользователей» вы ввели недопустимый запрос. Удалите поисковый запрос или убедитесь, что он соответствует рекомендациям по поиску пользователей .

Для получения дополнительной информации о поисковых запросах пользователей перейдите в раздел «Исключение данных с помощью правил и запросов исключения» .

Если при подключении к LDAP-серверу вы получаете это сообщение, значит, сервер разорвал соединение. Возможные причины:

• Вы используете LDAP+SSL, и LDAP-сервер не настроен на прием параметров TLS, поддерживаемых GCDS (например, набор шифров). Убедитесь, что на вашем LDAP-сервере установлены последние обновления безопасности и настройки.
• Правило брандмауэра блокирует соединение.

Для устранения этой проблемы:

1. Убедитесь, что на вашем компьютере запущен только один экземпляр GCDS.

   Одновременно можно запустить только один экземпляр GCDS, используя один и тот же XML-файл.

2. Перезагрузите систему, чтобы убедиться, что никакие другие процессы не обращаются к базе данных кэша GCDS. Затем снова запустите синхронизацию.
3. Если проблема сохраняется, найдите и переименуйте папку SyncState , чтобы заставить GCDS создать новую базу данных кэша. Вы можете найти эту папку в папке профиля пользователя (Windows) или в домашнем каталоге (Linux).

Убедитесь, что вы используете последнюю версию GCDS. Подробности см. в разделе «Обновление GCDS» .

Для ведения базы данных состояния синхронизации GCDS требуются полные права доступа к каталогу. Эта ошибка может появиться, если:

• GCDS запущен от имени другого пользователя, нежели тот, который установил GCDS.
• Права доступа изменились после установки.

GCDS пытается загрузить файл конфигурации с неподдерживаемой кодировкой символов.

GCDS использует UTF-8 в качестве кодировки символов по умолчанию. Вам следует использовать ту же кодировку для файлов конфигурации, хотя другие кодировки также совместимы.

Для решения этой проблемы:

1. Измените кодировку вашего конфигурационного файла на UTF-8:
   1. Откройте текстовый редактор.
   2. Сохраните файл с другой кодировкой.
2. Убедитесь, что содержимое вашего конфигурационного файла корректно.
3. Попробуйте снова загрузить файл конфигурации в GCDS.

Наиболее распространенными неподдерживаемыми кодировками являются UTF-7 и UTF-8 BOM.

Проблема с сетевым подключением помешала GCDS завершить процедуру установления SSL-соединения с сервером Google. Причиной этой проблемы может быть слишком медленная маршрутизация пакетов компьютером или временное отключение интернет-провайдера.

GCDS пытается завершить SSL-рукопожатие до 3 раз. Если в логах вы видите следующее сообщение, значит, GCDS успешно завершил рукопожатие при последующих попытках, и никаких дальнейших действий не требуется: [usersyncapp.sync.FullSyncAgent] Различий не обнаружено, никаких изменений не требуется.

Обратитесь к локальному сетевому администратору, чтобы выяснить, что может вызывать сетевые таймауты.

Если в логах появляется эта ошибка, это означает, что GCDS временно заблокирован для использования API Google. GCDS повторит попытку подключения к API, и синхронизация должна продолжиться, как и ожидалось.

Если в отчете о синхронизации отображается ошибка и синхронизация не завершилась корректно, обратитесь в службу поддержки. Для получения более подробной информации перейдите по ссылке «Какая информация GCDS мне нужна перед обращением в службу поддержки?».

В одном из следующих разделов Configuration Manager отсутствует правило:

• Настройка LDAP Организационные подразделения Правила поиска
• Настройка LDAP Пользователи Синхронизация пользователей
• Настройка LDAP Группы Правила группового поиска
• Настройка LDAP Профили пользователей Синхронизация профилей пользователей
• Настройка LDAP Общие контакты Синхронизация контактов

Для получения более подробной информации перейдите в раздел «Настройка синхронизации с Configuration Manager» .

Метод шифрования паролей для синхронизации паролей настроен некорректно в Configuration Manager, или ваш LDAP-сервер использует метод шифрования, не поддерживаемый GCDS. Поддерживаемые методы: обычный текст, Base64, MD5 и SHA1. Для синхронизации паролей с Microsoft Active Directory используйте функцию синхронизации паролей .

Для получения более подробной информации перейдите в разделы «Как вы будете синхронизировать пароли?» и «Обновить GCDS» .

GCDS некорректно различает пользователей и вложенные группы на вашем LDAP-сервере. Для решения этой проблемы:

1. Добавьте следующую строку в файл конфигурации, в раздел <features>:
   GROUP_NESTED_GROUPS_AS_USERS
2. Заключите строку в теги <optional>.
3. Сохраните файл конфигурации и выполните синхронизацию.

GCDS может попытаться внести неожиданные изменения, если вы выполните синхронизацию с файлом конфигурации, который был скопирован вне Configuration Manager. Новый файл конфигурации обращается к тому же кэшу, что и исходный файл конфигурации, и несоответствия между ними могут привести к блокировке пользователей.

Для создания копии файла конфигурации GCDS всегда используйте опцию «Сохранить как» в диспетчере конфигураций. Это гарантирует, что новый файл конфигурации будет иметь собственный кэш.

Для получения более подробной информации перейдите в раздел «Работа с конфигурационными файлами» .

Вы используете устаревший XML-файл конфигурации GCDS, и GCDS обнаружил участника группы, который не включен в правила поиска пользователей в вашей конфигурации. Вам следует включить всех участников группы и владельцев в правила поиска пользователей, даже если вы не хотите синхронизировать этих пользователей с доменом Google. GCDS необходимо извлечь адреса электронной почты этих пользователей для корректной обработки групп.

В качестве альтернативы создайте новый пустой XML-файл конфигурации. В этом случае GCDS включит независимую синхронизацию групп, которая заставит GCDS определять членов группы независимо от правил синхронизации пользователей. Если вы не уверены, это рекомендуемый вариант.

При внесении любых изменений в конфигурацию или создании нового конфигурационного файла обязательно проведите моделирование и проанализируйте результаты, прежде чем запускать полную синхронизацию.

Для получения более подробной информации перейдите в раздел «Определение списка пользователей» .

Указанная вами в Configuration Manager учетная запись администратора не является учетной записью администратора, или же имя пользователя и пароль указаны неверно.

В диспетчере конфигураций перейдите в раздел «Домен Google» . В настройках проверьте информацию об учетной записи администратора, указанную в поле «Адрес электронной почты администратора» .

Для получения более подробной информации перейдите в раздел «Настройка параметров вашего домена Google» .

Атрибут ключа синхронизации, указанный в разделе «Общие контакты» диспетчера конфигурации, возвращает пустые значения с вашего LDAP-сервера. Выберите атрибут на LDAP-сервере, который содержит значение ключа синхронизации для каждого ресурса и никогда не возвращает значение null или пустую строку.

Достигнут лимит удаления или приостановки, установленный в GCDS. Измените параметр «Лимит удаления» в GCDS, чтобы избежать этой ошибки, или просмотрите журнал синхронизации для получения более подробной информации о том, что было бы удалено или приостановлено, и решите, нужно ли изменить лимит.

GCDS пытается создать пользователя или псевдоним электронной почты, существующий в домене, который не является частью вашей учетной записи Google. Попробуйте следующие варианты:

• В диспетчере конфигураций перейдите в раздел «Учетные записи пользователей» . Создание правил исключения : настройте правила исключения пользователей, которые исключают пользователей из внешних доменов.
• Измените правила поиска пользователей таким образом, чтобы пользователи из внешних доменов не отображались в результатах поиска.
• Добавьте отсутствующий домен в свой аккаунт Google в качестве дополнительного домена.

GCDS синхронизирует больше пользователей, чем предусмотрено вашей учетной записью. Попробуйте следующие варианты:

• В диспетчере конфигураций перейдите в раздел «Учетные записи пользователей» . Настройте правила поиска и ограничьте область поиска пользователей, чтобы получить меньше результатов.
• В диспетчере конфигураций убедитесь, что вы указали правильный DN, указывающий на корневой каталог, содержащий только тех пользователей, которых необходимо импортировать в домен Google.
• Вы также можете приобрести дополнительные пользовательские лицензии. Для получения дополнительной информации перейдите по ссылке «Приобретение дополнительных пользовательских лицензий» .

Базовое DN, указанное в Configuration Manager, может указывать на объект, которого нет на вашем LDAP-сервере. Проверьте базовое DN, указанное в разделах фильтров LDAP-подключения, пользователей, групп, профилей и общих контактов. Убедитесь, что в качестве базового DN для каждого из них используется существующий объект.

Другая служба или сетевое устройство препятствует связи GCDS с центром сертификации HTTPS-сертификата, используемого для API. Проверьте правила брандмауэра или прокси-сервера, которые могут ограничивать подключения с машины, на которой запущен GCDS.

Если для доступа к веб-сайту с компьютера, на котором запущен GCDS, требуется прокси-сервер, его необходимо правильно настроить.

Для решения этой проблемы можно отключить проверку списка отзыва сертификатов (CRL). Чтобы отключить проверку CRL, добавьте следующие строки в файлы config-manager.vmoptions и sync-cmd.vmoptions в каталоге установки GCDS:
-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false

Для получения более подробной информации перейдите по ссылке «Как GCDS проверяет списки аннулированных сертификатов» .

Запросы, указанные на одной или нескольких из следующих страниц Configuration Manager, не имеют сбалансированных скобок:

• Настройка LDAP Организационные подразделения Правила поиска
• Настройка LDAP Пользователи Синхронизация пользователей
• Настройка LDAP Группы Правила группового поиска
• Настройка LDAP Профили пользователей Синхронизация профилей пользователей
• Настройка LDAP Общие контакты Синхронизация контактов

GCDS не может разрешить указанное имя LDAP-сервера. Убедитесь, что вы ввели полное доменное имя для LDAP-сервера, и проверьте, что компьютер, на котором запущен GCDS, может его разрешить.

Примечание: При использовании Active Directory в качестве имени сервера используйте полное доменное имя вашего домена.

Проблема обычно возникает из-за того, что трафик принудительно проходит через прокси-сервер. Если вы используете прокси, вам необходимо настроить параметры прокси-сервера GCDS.

Убедитесь, что GCDS может подключаться к указанным URL-адресам и портам, выполнив действия, описанные в разделе «Разрешить доступ к URL-адресам и портам» .

Программы безопасности на локальном компьютере могут вызывать проблемы с подключением. Попросите администратора отключить все программы безопасности на клиентском компьютере и попробуйте снова.

Убедитесь, что необходимые API Google включены.

Для получения более подробной информации перейдите по ссылке «Авторизуйте свой аккаунт Google» .

Вы попытались добавить больше пользователей, чем у вас есть лицензий. Свяжитесь со своим торговым представителем, чтобы приобрести дополнительные лицензии. Или измените ваши LDAP-запросы для синхронизации меньшего количества пользователей.

Для начала проверьте DN как на вкладке «Конфигурация LDAP» , так и в любых правилах поиска, где вы определили переопределение базового DN.

Если это не решит проблему, и вы уверены, что DN действителен, проблема может быть связана с разрешением DNS. В журнале могут появиться дополнительные сведения об ошибках, например:

• javax.naming.PartialResultException [Основное исключение: javax.naming.CommunicationException: domain.com:389 [Основное исключение: java.net.ConnectException: Соединение отклонено: connect]]
• javax.naming.PartialResultException [Основное исключение: javax.naming.CommunicationException: domain.com:389 [Основное исключение: java.net.ConnectException: Время ожидания соединения истекло: connect]]

Эти ошибки указывают на то, что хост отклоняет соединение или истекает время ожидания. Попробуйте выполнить поиск DNS для этого хоста и убедитесь, что все возвращаемые адреса действительны и разрешают соединения на настроенном вами порту.

Примечание : Эти ошибки могут возникать, даже если вы указали допустимое имя хоста или IP-адрес в конфигурации GCDS. Active Directory может отправить ответ LDAP-переадресации, направляя GCDS на подключение через имя хоста. Эта переадресация в конечном итоге может вести к имени хоста, которое не удается разрешить. Вы можете избежать этих переадресаций, подключившись к серверу Active Directory через порт глобального каталога, который по умолчанию равен 3268. Для получения более подробной информации обратитесь к документации Microsoft.

Часть информации в пользовательской схеме недействительна. Чтобы проверить ограничения, применяемые к пользовательской схеме, перейдите в раздел Directory API: Пользовательские поля .

Если у вас включены журналы трассировки, вы также можете просмотреть полный HTTP-запрос для пользовательской схемы.

Был превышен установленный лимит памяти. Это событие привело к сбою синхронизации.

Для решения этой проблемы перейдите в раздел «Что делать, если я вижу ошибки, связанные с памятью?»

GCDS не может подключиться к LDAP-серверу. Убедитесь в следующем:

• Вы используете правильный протокол связи. Если LDAP-сервер требует защищенного протокола, используйте LDAP + SSL.
• LDAP-сервер активен и не имеет проблем с подключением.

GCDS не может найти LDAP-сервер. Убедитесь, что компьютер, на котором запущен GCDS, имеет доступ к указанному хосту и порту.

LDAP-сервер отклоняет запросы GCDS из-за проблемы с аутентификацией.

Убедитесь, что авторизованный пользователь и его пароль указаны верно. Добавлять авторизованного пользователя следует, используя его полный DN. Подробную информацию о добавлении авторизованного пользователя см. в разделе «Настройки подключения LDAP» .

GCDS не может подключиться к базовому DN. Убедитесь в следующем:

• Базовый DN существует на LDAP-сервере.
• Авторизованный пользователь имеет права доступа к базовому DN. Для получения более подробной информации перейдите в раздел «Настройки подключения LDAP» .

GCDS не удаётся получить информацию с LDAP-сервера. Убедитесь в следующем:

• Объект <base-dn> существует и доступен авторизованному пользователю. Для получения подробной информации перейдите в раздел «Настройки подключения LDAP» .
• Атрибут <base-dn> существует для объекта <base-dn> на LDAP-сервере.

Участник уже существует

Эта ошибка может появиться, если:

• У вас есть участник, чей основной LDAP-адрес в Google Workspace является псевдонимом. По возможности избегайте этой ситуации (например, используйте другое имя пользователя для псевдонима).
• У одной учетной записи пользователя одно и то же имя пользователя для двух адресов-псевдонимов. И на странице настроек домена Google вы установили флажок « Заменять имена доменов в адресах электронной почты LDAP» .

  Если вы установите флажок, оба адреса электронной почты будут изменены в соответствии с доменом, указанным в поле «Дополнительный домен электронной почты» .

Снимите флажок или измените одно из псевдонимов пользователей.

Если в журналах также появляется следующее сообщение: "Ошибка при добавлении участника user-email-address в группу group-email-address из-за конфликта адресов", проверьте, не произошло ли следующее:

• GCDS исключил пользователя с указанным адресом электронной почты из синхронизации на основе ваших правил исключения. Проверьте свои правила исключения и попробуйте снова. Для получения более подробной информации перейдите в раздел «Исключение данных с помощью правил исключения и запросов» .
• Вы обновили пользователя или группу вне системы GCDS. Очистите кэш и попробуйте снова.

GCDS пытается привязать пользователя к организационному подразделению, которого нет в учетной записи Google вашей организации. Измените правила поиска пользователей и повторите попытку. Подробности см. в разделе «Правила поиска пользователей» .

В конфигурационном XML-файле GCDS убедитесь, что значение <maxResults> установлено на 500. При необходимости измените его на 500 и повторно выполните синхронизацию.