一部のユーザーのパスワードが同期されない

Password Sync で一部のパスワードが同期されない場合は、次の手順でトラブルシューティングを行います。

ステップ 1: パスワード同期が正しくインストールされていることを確認する

ドメインの書き込み可能なすべての Microsoft Active Directory(AD)サーバー(ドメイン コントローラ)に Password Sync が正しくインストールされていることを確認します。

  1. Password Sync サポートツールを使用して、Password Sync がインストールされているドメイン コントローラを確認します。オプション 1: 自動トラブルシューティングの手順に沿って対応します。

  2. 書き込み可能なドメイン コントローラのリストを確認するには、コマンド プロンプトを開き、次のコマンドを入力します。

    findstr /S /C:"A:Creating" PasswordSyncSupportTool.log

    書き込み可能なドメイン コントローラがわからない場合は、すべてのドメイン コントローラに Password Sync をインストールします。すべてにインストールしても問題はありません。

  3. 結果のレポートを確認し、各ドメイン コントローラのフォルダに、サービスが実行中であることを示す service_*.txt ファイルがあることを確認します。

    このフォルダには、サービスが利用不可であることを示すファイルが 2 つ、サービスが実行中であることを示すファイルが 1 つあります。

  4. パスワードを変更して、ツールが想定どおりに同期していることを確認します。問題が解決しない場合は、次の手順に進みます。

ステップ 2: ユーザーの権限を確認する

より上位の権限を持つユーザーのパスワードは変更できません。たとえば、一般管理者が特権管理者のパスワードを変更することはできません。ロールの詳細については、特定の管理者ロールを割り当てるをご覧ください。

  1. 問題が発生しているユーザーについて、Google アカウントの管理者権限がパスワード同期を設定した管理者よりも上位でないことを確認します。
  2. パスワードを変更して、ツールが想定どおりに同期していることを確認します。問題が解決しない場合は、次の手順に進みます。

ステップ 3: メールアドレスを確認する

  1. Password Sync で、指定された [メール属性] フィールドにユーザーのメールアドレスを追加したことを確認します。アドレスは、アドレスのドメイン部分を含め、Google のメインのメールアドレスと完全に一致している必要があります。詳しくは、Active Directory の設定を行うをご覧ください。
  2. パスワードを変更して、ツールが想定どおりに同期していることを確認します。問題が解決しない場合は、次の手順に進みます。

手順 4: パスワードが有効であることを確認する

パスワードに使用できない文字が含まれているために同期に失敗した場合は、Windows の「アプリケーション」イベントログに次の警告が表示されます。

新しいパスワードにサポートされていない文字が含まれています。The password can not be updated on the Google Account, and will be out of sync with AD.

  1. パスワードを見つけて、ガイドラインに沿って変更します。詳しくは、安全なパスワードを作成してアカウントのセキュリティを強化するをご覧ください。
  2. ツールが想定どおりに同期していることを確認します。問題が解決しない場合は、さらにサポートが必要な場合(このページの次のセクション)に進みます。

さらにサポートが必要な場合

上記の手順で問題を解決できない場合は、次の手順をお試しください。

ステップ 1: 例を特定する

  1. Google と同期されていない AD でのパスワード変更のインスタンスを見つけます。
  2. ユーザーが初回変更以降に AD パスワードを変更していないことを確認します。
  3. AD でパスワードが変更された正確な日時、ユーザー名、ユーザーのメールアドレスをメモします。

ステップ 2: パスワードの変更を確認する

属性のタイムスタンプが、ユーザーがパスワードを変更した時刻と一致していることを確認します。

  1. ADSIEdit や LDIFDE などの AD 管理ツールを使用して、ユーザーの pwdLastSet 属性を見つけてコピーします。属性の値は、1601 年 1 月 1 日(UTC)を起点とした経過時間(100 ナノ秒単位)です。属性の詳細については、Pwd-Last-Set 属性をご覧ください。
  2. Google 管理者ツールボックスのエンコード/デコードにアクセスします。
  3. [pwdLastSet/FILETIME デコード] を選択します。
  4. [エンコードまたはデコードするテキストを以下に貼り付けください] に、AD から取得した数値属性を貼り付け、[送信] をクリックします。

    ツールボックスには、デコードされた時刻値がローカル タイムゾーンと UTC で表示されます。

  5. タイムスタンプがユーザーのパスワードが変更された時刻と一致しない場合、AD はパスワードの更新を処理していません。AD でパスワードの問題を解決してから、もう一度お試しください。

ステップ 3: 問題を確認する

  1. Google 管理コンソールで、メニュー アイコン 次に [レポート] 次に[監査と調査] 次に[管理ログイベント] にアクセスします。

    アクセスするには、監査と調査の管理者権限が必要です。

  2. ユーザーのパスワード変更イベントを検索し、pwdLastSet 属性のタイムスタンプから 1 ~ 2 分以内にパスワードが変更されたかどうかを確認します。タイムゾーンの違いを考慮してください。ログイベントについて詳しくは、管理ログイベントをご覧ください。
  3. ログイベントでパスワード変更イベントが正しい時間に確認された場合は、次の点を確認します。
    1. パスワードを変更した管理者が、ログで Password Sync を承認した管理者と一致していることを確認します。管理者が同じであれば、Password Sync は想定どおりに動作しています。
    2. 同期後に他のソースで Google ユーザーのパスワードが変更されたかどうかを確認します(パスワードが AD と同期されなくなった原因)。問題を解決してから、もう一度お試しください。

ステップ 4: パスワード同期サポートツール レポートを作成する

レポートを作成するには、すべての書き込み可能なドメイン コントローラから Password Sync のログと詳細を 1 つのフォルダに収集する必要があります。手順については、オプション 1: 自動トラブルシューティングをご覧ください。

ステップ 5: パスワードの変更を担当するドメイン コントローラを見つける

  1. コマンド プロンプトを開き、cd コマンドを使用して、前の手順でレポートを作成したディレクトリに移動します。

    例: cd C:\Users\yourname\Desktop\PasswordSyncSupportTool_20240717_142555

  2. AD でユーザー名を検索するには、findstr コマンドを使用します。

    例については、このページの 例: finstr コマンドの使用をご覧ください。

  3. ユーザー名を含むログファイルが複数見つかった場合は、ログのタイムスタンプが pwdLastSet 属性の時間と一致するファイルを選択します。タイムゾーンの違いを考慮してください。
  4. ログで、ユーザー名が記載されている行を確認し、関連するエラー メッセージまたはコードを見つけます。

    エラーに関するその他のヘルプについては、Password Sync のエラーコードとメッセージをご覧ください。

  5. ユーザー名が見つからない場合は、書き込み可能なすべてのドメイン コントローラに Password Sync がインストールされていることを確認してください。詳しくは、このページのPassword Sync が正しくインストールされていることを確認するをご覧ください。

  6. 問題が解決しない場合は、Google Workspace サポートにお問い合わせください。次の情報を提供します。
    • Password Sync Support Tool のレポートの zip ファイル
    • ユーザーのメールアドレスとパスワードが変更された日時
    • ユーザーの LDAP データ交換方式(LDIF)ダンプ

    サポートへのお問い合わせ方法について詳しくは、Google Workspace サポートへのお問い合わせをご覧ください。

例: findstr コマンドを使用する

例 1: 次のコマンドは、現在のディレクトリとそのサブディレクトリで、ユーザー名を含むログファイルを検索します(大文字と小文字は区別されません)。コマンド プロンプト ウィンドウで、一致するログファイルのファイル名を確認できます。

findstr /S /I /M /C:"username" *.log

例 2: 次のコマンドは、現在のディレクトリとそのサブディレクトリで、ユーザー名を含むログファイルを検索します(大文字と小文字は区別されません)。コマンド プロンプト ウィンドウで、一致するログファイルのファイル名と、ユーザー名を含む行番号を確認できます。

findstr /S /I /N /C:"username" *.log


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。