一部のユーザーのパスワードが同期されない

Password Sync で一部のパスワードが同期されない場合は、次の手順でトラブルシューティングを行います。

ステップ 1: Password Sync が正しくインストールされていることを確認する

ドメインの書き込み可能なすべての Microsoft Active Directory(AD)サーバー(ドメイン コントローラ)に Password Sync が正しくインストールされていることを確認します。

  1. Password Sync サポートツールを使用して、Password Sync がインストールされているドメイン コントローラを確認します。オプション 1: 自動トラブルシューティングの手順に沿って進めてください。

  2. 書き込み可能なドメイン コントローラのリストを確認するには、コマンド プロンプトを開いて次のコマンドを入力します。

    findstr /S /C:"A:Creating" PasswordSyncSupportTool.log

    書き込み可能なドメイン コントローラがわからない場合は、すべてのドメイン コントローラに Password Sync をインストールしてください。すべてにインストールしても問題はありません。

  3. 生成されたレポートを確認し、各ドメイン コントローラのフォルダに、サービスが実行中であることを示す service_*.txt ファイルがあることを確認します。

    フォルダ内には、2 つのファイルにサービスが利用できないことが示され、1 つのファイルにサービスが実行中であることが示されます。

  4. パスワードを変更して、ツールが想定どおりに同期していることを確認します。問題が解決しない場合は、次の手順に進んでください。

ステップ 2: ユーザーの権限を確認する

より上位の権限を持つユーザーのパスワードは変更できません。たとえば、通常の管理者が特権管理者のパスワードを変更することはできません。ロールについて詳しくは、特定の管理者ロールを割り当てるをご覧ください。

  1. 問題が発生しているユーザーについて、Google アカウントの管理者権限が Password Sync を設定したアカウント管理者よりも上位でないことを確認します。
  2. パスワードを変更して、ツールが想定どおりに同期していることを確認します。問題が解決しない場合は、次の手順に進んでください。

ステップ 3: メールアドレスを確認する

  1. Password Sync で、指定された [メール属性] フィールドにユーザーのメールアドレスを追加したことを確認します。アドレスは、アドレスのドメイン部分を含め、Google のメインのメールアドレスと完全に一致している必要があります。詳しくは、Active Directory の設定を構成するをご覧ください。
  2. パスワードを変更して、ツールが想定どおりに同期していることを確認します。問題が解決しない場合は、次の手順に進んでください。

ステップ 4: パスワードが有効であることを確認する

パスワードにサポートされていない文字が含まれているために同期に失敗した場合、Windows の「アプリケーション」イベントログに次の警告が記録されます。

The new password contains unsupported characters. The password can not be updated on the Google Account, and will be out of sync with AD.

  1. パスワードを見つけて、ガイドラインに沿って変更します。詳しくは、安全なパスワードを作成してアカウントのセキュリティを強化するをご覧ください。
  2. ツールが想定どおりに同期していることを確認します。問題が解決しない場合は、さらにサポートが必要な場合 (このページの次のセクション)に進んでください。

さらにサポートが必要な場合

上記の手順で問題を解決できない場合は、次の手順をお試しください。

手順 1: 例を特定する

  1. Google に同期されなかった AD でのパスワード変更のインスタンスを見つけます。
  2. ユーザーが最初の変更以降に AD パスワードを変更していないことを確認します。
  3. AD でパスワードが変更された正確な時刻、ユーザー名、ユーザーのメールアドレスをメモします。

手順 2: パスワードの変更を確認する

属性のタイムスタンプが、ユーザーがパスワードを変更した時刻と一致していることを確認します。

  1. ADSIEdit や LDIFDE などの AD 管理ツールを使用して、ユーザーの pwdLastSet 属性を見つけてコピーします。属性の値は、1601 年 1 月 1 日(UTC)を起点とした経過時間(100 ナノ秒単位)です。属性の詳細については、Pwd-Last-Set 属性をご覧ください。
  2. Google 管理者ツールボックスのエンコード/デコードにアクセスします。
  3. [pwdLastSet/FILETIME デコード] を選択します。
  4. [**エンコードまたはデコードするテキストを以下に貼り付けください**] に、AD から取得した数値属性を貼り付け、[**送信**] をクリックします。

    ツールボックスに、デコードされた時刻の値がローカル タイムゾーンと UTC で表示されます。

  5. タイムスタンプがユーザーのパスワードが変更された時刻と一致しない場合、AD でパスワードの更新が処理されていません。AD でパスワードの問題を解決してから、もう一度お試しください。

手順 3: 問題を確認する

  1. Google 管理コンソールで、メニュー アイコン 次に [**レポート**] 次に[**監査と調査**] 次に[**管理ログイベント**] に移動します。

    アクセスするには、監査と調査の管理者権限が必要です。

  2. ユーザーのパスワード変更イベントを検索し、pwdLastSet 属性のタイムスタンプから 1 ~ 2 分以内にパスワードが変更されたかどうかを確認します。タイムゾーンの違いを考慮してください。ログイベントについて詳しくは、管理ログイベントをご覧ください。
  3. ログイベントで正しい時刻にパスワード変更イベントを確認した場合は、次の点を確認します。
    1. パスワードを変更した管理者が、ログで Password Sync を承認した管理者と一致していることを確認します。管理者が同じ場合、Password Sync は想定どおりに動作しています。
    2. 同期後に他のソースが Google ユーザーのパスワードを変更したかどうかを確認します(パスワードが AD と同期しなくなる原因となります)。問題を解決してから、もう一度お試しください。

手順 4: Password Sync サポートツール レポートを作成する

レポートを作成するには、書き込み可能なすべてのドメイン コントローラから Password Sync のログと詳細情報を 1 つのフォルダに収集する必要があります。手順については、オプション 1: 自動トラブルシューティングをご覧ください。

手順 5: パスワードの変更を担当するドメイン コントローラを見つける

  1. コマンド プロンプトを開き、cd コマンドを使用して、前の手順でレポートを作成したディレクトリに移動します。

    例: cd C:\Users\yourname\Desktop\PasswordSyncSupportTool_20240717_142555

  2. AD でユーザー名を検索するには、findstr コマンドを使用します。

    例については、例: finstr コマンドを使用する(このページの後半)をご覧ください。

  3. ユーザー名を含むログファイルが複数見つかった場合は、ログのタイムスタンプが pwdLastSet 属性の時刻と一致するファイルを選択します。タイムゾーンの違いを考慮してください。
  4. ログでユーザー名が記載されている行を確認し、関連するエラー メッセージまたはエラーコードを見つけます。

    エラーに関するその他のヘルプについては、Password Sync の同期エラーコードとメッセージをご覧ください。

  5. ユーザー名が見つからない場合は、書き込み可能なすべてのドメイン コントローラに Password Sync がインストールされていることを確認します。詳しくは、Password Sync が正しくインストールされていることを確認する(このページの冒頭)をご覧ください。

  6. 問題が解決しない場合は、Google Workspace サポートまでお問い合わせください。次の情報をご提供ください。
    • Password Sync サポートツール レポートの zip ファイル
    • ユーザーのメールアドレスとパスワードが変更された時刻
    • ユーザーの LDAP データ交換方式(LDIF)ダンプ

    サポートへのお問い合わせ方法について詳しくは、Google Workspace サポートへのお問い合わせをご覧ください。

例: findstr コマンドを使用する

例 1: 次のコマンドは、現在のディレクトリとそのサブディレクトリで、ユーザー名を含むログファイルを検索します(大文字と小文字は区別されません)。コマンド プロンプト ウィンドウで、一致するログファイルのファイル名を確認できます。

findstr /S /I /M /C:"username" *.log

例 2: 次のコマンドは、現在のディレクトリとそのサブディレクトリで、ユーザー名を含むログファイルを検索します(大文字と小文字は区別されません)。コマンド プロンプト ウィンドウで、一致するログファイルのファイル名と、ユーザー名を含む行番号を確認できます。

findstr /S /I /N /C:"username" *.log


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。