Некоторые пароли пользователей не синхронизируются.

Если функция синхронизации паролей не синхронизирует некоторые пароли, выполните следующие действия для устранения неполадок.

Шаг 1: Убедитесь, что Password Sync установлен правильно.

Убедитесь, что функция синхронизации паролей успешно установлена ​​на всех доступных для записи серверах Microsoft Active Directory (AD) вашего домена (контроллерах домена):

  1. Проверьте, на каких контроллерах домена установлена ​​функция синхронизации паролей, используя инструмент поддержки синхронизации паролей. Выполните действия, описанные в Варианте 1: Автоматическое устранение неполадок .

  2. Чтобы найти список доступных для записи контроллеров домена, откройте командную строку и введите следующую команду:

    findstr /S /C:"A:Creating" PasswordSyncSupportTool.log

    Если вы не уверены, какие контроллеры домена имеют права на запись, установите Password Sync на все контроллеры домена. Это не вызовет никаких проблем.

  3. Просмотрите полученный отчет и убедитесь, что в папке каждого контроллера домена есть файл service_*.txt , подтверждающий запуск службы.

    В папке вы найдете два файла, указывающих на недоступность службы, и один файл, подтверждающий ее работу.

  4. Попробуйте изменить пароль и убедитесь, что синхронизация происходит должным образом. Если проблема сохраняется, перейдите к следующему шагу.

Шаг 2: Проверка прав пользователя.

Пользователи не могут изменять пароли для пользователей с более высокими привилегиями. Например, обычный администратор не может изменить пароли для суперадминистратора. Подробную информацию о ролях см. в разделе «Назначение определенных ролей администратора» .

  1. Пользователю, столкнувшемуся с проблемой, необходимо убедиться, что права администратора учетной записи Google не превышают права администратора, настроившего синхронизацию паролей.
  2. Попробуйте изменить пароль и убедитесь, что синхронизация происходит должным образом. Если проблема сохраняется, перейдите к следующему шагу.

Шаг 3: Проверьте адреса электронной почты

  1. В разделе «Синхронизация паролей» убедитесь, что вы добавили адреса электронной почты пользователей в соответствующее поле «Атрибут почты» . Адреса должны точно совпадать с основными адресами электронной почты Google, включая доменную часть адреса. Для получения более подробной информации перейдите в раздел «Настройка параметров Active Directory» .
  2. Попробуйте изменить пароль и убедитесь, что синхронизация происходит должным образом. Если проблема сохраняется, перейдите к следующему шагу.

Шаг 4: Убедитесь, что пароль действителен.

Если пароль не синхронизируется из-за наличия неподдерживаемых символов, в журнале событий приложений Windows появится следующее предупреждение:

Новый пароль содержит неподдерживаемые символы. Пароль невозможно обновить в учетной записи Google, и он будет не синхронизирован с Active Directory.

  1. Найдите пароль и измените его в соответствии с рекомендациями. Подробности см. в разделе «Создание надежного пароля и более безопасной учетной записи» .
  2. Убедитесь, что синхронизация инструмента происходит должным образом. Если проблема сохраняется, перейдите к разделу « Мне все еще нужна помощь» (следующий раздел на этой странице).

Мне всё ещё нужна помощь.

Если предыдущие шаги не помогли решить проблему, попробуйте выполнить следующие действия.

Шаг 1: Приведите пример.

  1. Найдите в Active Directory запись об изменении пароля, которая не была синхронизирована с Google.
  2. Убедитесь, что пользователь не менял свой пароль в Active Directory с момента первого изменения.
  3. Запишите точное время смены пароля в Active Directory, имя пользователя и адрес электронной почты пользователя.

Шаг 2: Подтвердите изменение пароля.

Убедитесь, что метка времени для атрибута совпадает со временем, когда пользователь изменил свой пароль.

  1. Используйте инструменты администрирования Active Directory, такие как ADSIEdit или LDIFDE, чтобы найти и скопировать атрибут pwdLastSet для пользователя. Значение атрибута — это количество 100-наносекундных интервалов с 1 января 1601 года (UTC). Подробную информацию об атрибуте см. в разделе «Атрибут Pwd-Last-Set» .
  2. Перейдите в панель инструментов администратора Google и выберите пункт «Кодировать/Декодировать» .
  3. Выберите pwdLastSet/FILETIME Decode .
  4. Чтобы вставить текст для кодирования/декодирования , вставьте числовой атрибут из AD и нажмите «Отправить» .

    Панель инструментов отображает расшифрованное значение времени в вашем местном часовом поясе и UTC.

  5. Если метка времени не совпадает со временем изменения пароля пользователя, значит, Active Directory не обработала обновление пароля. Устраните проблемы с паролем в Active Directory и повторите попытку.

Шаг 3: Проверьте проблему.

  1. В консоли администратора Google перейдите в меню. а потом Отчетность а потом Аудит и расследование а потом Журнал событий администратора .

    Для этого необходимы права администратора по аудиту и расследованиям .

  2. Найдите события смены пароля пользователя, чтобы подтвердить, произошла ли смена пароля в течение 1–2 минут после отметки времени в атрибуте pwdLastSet . Не забудьте учесть разницу во времени. Подробную информацию о событиях журнала см. в разделе «События журнала администратора» .
  3. Если вы обнаружили событие смены пароля в журнале событий в нужное время, проверьте следующие пункты:
    1. Убедитесь, что администратор, изменивший пароль, совпадает с администратором, разрешившим синхронизацию паролей, согласно журналам. Если администратор один и тот же, значит, синхронизация паролей работает должным образом.
    2. Проверьте, не изменили ли другие источники пароль пользователя Google после синхронизации (что привело к рассогласованию пароля с Active Directory). Устраните проблему, прежде чем повторять попытку.

Шаг 4: Создайте отчет в инструменте поддержки синхронизации паролей.

Для создания отчета необходимо собрать журналы синхронизации паролей и подробные сведения со всех доступных для записи контроллеров домена в одну папку. Для этого выполните действия, описанные в Варианте 1: Автоматическое устранение неполадок .

Шаг 5: Найдите контроллер домена, ответственный за смену пароля.

  1. Откройте командную строку и с помощью команды `cd` перейдите в каталог, где вы создали отчет на предыдущем шаге.

    Пример: cd C:\Users\yourname\Desktop\PasswordSyncSupportTool_20240717_142555

  2. Для поиска имени пользователя в Active Directory используйте команду findstr .

    Примеры можно найти в разделе «Примеры: Использование команды finstr» (далее на этой странице).

  3. Если вы обнаружите несколько файлов журналов с указанным именем пользователя, выберите файл, в котором метка времени совпадает со временем в атрибуте pwdLastSet . Не забудьте учесть разницу во времени.
  4. В журнале проверьте строки, в которых упоминается имя пользователя, чтобы найти соответствующее сообщение об ошибке или код.

    Для получения дополнительной помощи при возникновении ошибок перейдите в раздел «Коды и сообщения об ошибках синхронизации паролей» .

  5. Если вы не нашли имя пользователя, убедитесь, что функция синхронизации паролей установлена ​​на всех доступных для записи контроллерах домена. Подробности см. в разделе «Убедитесь, что функция синхронизации паролей установлена ​​правильно» (ранее на этой странице).

  6. Если проблемы сохраняются, обратитесь в службу поддержки Google Workspace. Предоставьте следующую информацию:
    • ZIP-архив с отчетом об инструменте поддержки синхронизации паролей
    • Адрес электронной почты пользователя и время смены пароля.
    • Выгрузка данных пользователя в формате LDAP (LDIF).

    Подробную информацию о том, как связаться со службой поддержки, можно найти на странице «Связаться со службой поддержки Google Workspace» .

Примеры: Использование команды findstr

Пример 1: Следующая команда ищет в текущем каталоге и его подкаталогах файлы журналов, содержащие имя пользователя (регистр не имеет значения). В окне командной строки вы можете просмотреть имена файлов журналов, соответствующих запросу.

findstr /S /I /M /C:" username " *.log

Пример 2: Следующая команда ищет в текущем каталоге и его подкаталогах файлы журналов, содержащие имя пользователя (регистр не имеет значения). В окне командной строки вы можете просмотреть имя файла найденного файла журнала и номер строки, содержащей имя пользователя.

findstr /S /I /N /C:" username " *.log


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.