使用 Password Sync 时,您可能会看到以下错误代码和消息。请参考下表来排查错误。
错误和解决方案
| 错误代码或消息 | 说明和问题排查 |
|---|---|
| 0x00005012 S_ADS_NOMORE_ROWS
搜索操作已到达最后一行 |
Password Sync 联系了 Active Directory 服务器,也成功进行了搜索,但未返回与查询条件相符的结果。 可能的原因如下:
|
| 0x80005008
一个或多个输入参数无效 |
如果您提供的基本 DN 中不包含密码被同步的用户,则可能发生此错误。 请尝试使用更宽泛的顶级基本 DN,而不是指定组织部门。例如,如果您使用 OU=Sales,DC=altostrat,DC=corp 作为基本 DN,请尝试改用 DC=altostrat,DC=corp。 |
| 0x80005010
未设置目录中的指定列 |
Password Sync 无法使用安装 Password Sync 期间指定的属性(通常为 mail)在 Active Directory 中查找用户的电子邮件地址。 请确认该用户拥有有效的电子邮件地址,并且您使用的不是计算机账号(LocalSystem 账号)。如果这些条件都满足,则错误原因可能是 Password Sync 用来查询 Active Directory 的用户(授权用户)无权访问该用户的这一属性。请尝试在 Password Sync 配置界面中提供其他 Active Directory 用户。 |
| 0x80041007 |
至少有一位用户不是现有 Google 用户,或者密码同步无法访问该用户。 请在日志中查找受影响的用户。您可以搜索 Failed with 0x80041007,然后,在 Google 管理控制台中验证该用户是否存在于您组织的 Google 账号中。 |
| 0x8004100f |
运行 Password Sync 的网域控制器 (DC) 时间不正确。 请确保日期、时间和时区均正确无误,然后,尝试重新授权。 |
| 0x80041011 |
服务账号在 Google 管理控制台中未获得授权。 创建密码同步服务账号,或使用三方模式 OAuth 授权密码同步。 如需了解详情,请参阅: |
| 0x80041012 |
服务账号在 Google 管理控制台中未获得正确授权。 请确认您使用的是正确的 API 范围,或使用三方模式 OAuth 授权密码同步。 如需了解详情,请参阅:
|
| 0x80041013 |
提供的 JSON 文件无效。 请确保您已正确配置服务账号,或使用三方模式 OAuth 授权 Password Sync。 如需了解详情,请参阅: |
| 0x80070005
访问遭拒 |
如果此错误在服务日志中显示为“SyncConfig::GetDataDirectory [...] Failed with 0x80070005”,则可能与服务的“登录身份”设置变化有关。如要解决此问题,请按以下步骤操作:
如果此错误出现在配置界面日志中,请确保:
|
| 0x80070057
参数不正确 |
此错误在不同情况下表明不同的含义。
如果您在密码同步服务日志中的 TryDecryptAndGetSecret 所在行看到此错误,则可能表明您为密码同步启用了 Windows 应用兼容性设置。请关闭飞行模式,然后再试一次。 |
| 0x8007052e
登录失败:用户名未知或密码错误 |
如果您将 Password Sync 设置为通过匿名访问连接到 Active Directory,那么此错误表明 Password Sync 尚未启用。如需修正此错误,请在 Password Sync 配置中输入 Active Directory 用户名和密码。
如果您已经输入用户名和密码,则请确保输入的用户名和密码正确无误,且格式为“<域名>\<管理员>”。如果问题仍然存在,请尝试使用 <管理员>@<域名>.com 格式。 |
| 0x8007065e |
如果创建网络超时注册表条目所使用的注册表数据类型错误(例如,使用的是 REG_SZ,而非 REG_DWORD),则可能发生此问题。 请打开注册表编辑器 (regedit),确认以下路径中的所有条目均已设为 REG_DWORD 类型,而非任何其他类型:
|
| 0x8007200a
指定的目录服务属性或值不存在 |
此错误通常表明 Password Sync 用来查询 Active Directory 的用户(授权用户)没有相应属性的访问权限。 请在 Password Sync 配置界面中提供其他 Active Directory 用户。 |
| 0x8007202b
服务器返回了转介 0x80072030 服务器上没有此类对象 |
这些错误通常表明基本 DN 不正确。如果您使用密码同步支持工具收集日志,请比较 config.xml 文件中的基本 DN 和 PasswordSyncSupportTool.log 文件中管理员的 DN,检查 DC= 部分是否有任何差异。
如需详细了解 Password Sync 支持工具,请参阅自动问题排查。 |
| 0x8007203e
无法识别搜索过滤条件 |
Password Sync 联系了 Active Directory 服务器,但未成功执行搜索。
如果电子邮件地址属性包含无效字符,就可能发生此错误。 |
| 0x80072ee0 | 组织的 Google 账号存在授权问题,这通常是因为网络或代理配置有误。若要解决此问题,请参阅我需要配置代理设置方面的帮助。 如果上述操作未能解决问题,请尝试在配置界面中重新授权密码同步功能。如果您有多个网域控制器,并使用三方模式 OAuth 进行身份验证,则请勿使用同一个超级用户账号授权超过 10 个 DC。 如需详细了解密码同步身份验证,请参阅选择身份验证方法。 |
| 0x80072ee2 | Password Sync 与 Google 的连接超时。此错误通常表示连接被阻止了。问题排查步骤:
|
| 400 错误:invalid_request: The version of the app you're using doesn't include the latest security features to keep you protected. Please make sure to download from a trusted source and update to the latest, most secure version | 确保您使用的是最新版本的密码同步功能。有关详情,请参阅升级 Password Sync。 |
| HTTP/1.1 403
您无权访问此 API |
以下两个问题可能会触发此错误。 网域控制器未获得贵组织的 Google 账号的适当授权。如需解决该问题,请执行以下操作:
在 Google Workspace 中找不到来源账号的电子邮件地址。如需解决该问题,请执行以下操作:
|
| RetrieveTargetEmail ... Failed with 0x80072020
发生了操作错误 |
密码同步功能无法在 Active Directory 中打开搜索。如果您尝试使用匿名访问,但 Active Directory 服务器不允许,则可能会出现此错误。 请尝试改用建议的应用安全上下文选项。有关详情,请参阅授权访问方法。 |
| WinHttpSendRequest 失败,错误代码为 0x80004005 | 代理服务器要求进行身份验证。请确保所有必需的网址都在您的代理服务器的身份验证绕过列表中。有关详情,请参阅设置 Google Workspace 主机名许可名单。 |
获取有关其他错误代码的帮助
对于其他与 Microsoft Active Directory 或 LDAP 有关的错误代码,请参阅 Microsoft 文档中的“Generic ADSI Error Codes”(通用 ADSI 错误代码)表格。
相关主题
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。