部分用户密码未能同步

如果密码同步功能未同步某些密码,请按照以下步骤进行问题排查。

第 1 步:确保 Password Sync 已正确安装

检查您是否已在网域的所有可写 Microsoft Active Directory (AD) 服务器(域控制器)上成功安装了 Password Sync:

  1. 使用 Password Sync 支持工具检查哪些域控制器安装了 Password Sync。按照方法 1:自动问题排查中的步骤操作。

  2. 如需查找可写域控制器的列表,请打开命令提示符并输入以下命令:

    findstr /S /C:"A:Creating" PasswordSyncSupportTool.log

    如果您不确定哪些是可写网域控制器,请在所有网域控制器上安装 Password Sync。这样做不会带来任何问题。

  3. 查看生成的报告,检查每个域控制器的文件夹是否包含 service_*.txt 文件,该文件表明服务正在运行。

    在该文件夹中,您会看到 2 个文件显示服务不可用,1 个文件确认服务正在运行。

  4. 尝试更改密码,然后验证该工具是否按预期同步。如果问题仍然存在,请执行下一步。

第 2 步:验证用户的权限

用户不能更改权限更高用户的密码。例如,常规管理员无法为超级用户更新密码。如需详细了解角色,请参阅分配特定管理员角色

  1. 对于遇到问题的用户,请验证其 Google 账号管理员权限没有超过设置密码同步的管理员的权限。
  2. 尝试更改密码,然后验证该工具是否按预期同步。如果问题仍然存在,请执行下一步。

第 3 步:检查电子邮件地址

  1. 在密码同步中,检查您是否已在指定的邮件属性字段中添加用户的电子邮件地址。这些地址必须与 Google 主电子邮件地址(包括地址的域名部分)完全匹配。如需了解详情,请参阅配置 Active Directory 设置
  2. 尝试更改密码,然后验证该工具是否按预期同步。如果问题仍然存在,请执行下一步。

第 4 步:验证密码是否有效

如果密码同步失败的原因是密码包含不受支持的字符,您会在 Windows 应用事件日志中看到以下警告:

新密码包含不受支持的字符。密码无法在 Google 账号中更新,因此会与 AD 中的密码不同步。

  1. 找到相应密码,然后将其更改为符合相关准则。如需了解详情,请参阅设置安全系数高的密码并提升账号安全性
  2. 验证该工具是否按预期同步。如果问题仍然存在,请参阅我仍需要帮助(本页面上的下一部分)。

我仍然需要帮助

如果您无法使用上述步骤解决问题,请尝试以下步骤。

第 1 步:确定一个示例

  1. 找到一个在 AD 中发生但未同步到 Google 的密码更改实例。
  2. 确保用户自首次更改以来没有再次更改其 AD 密码。
  3. 记下密码在 AD 中更改的确切时间、用户名和用户的电子邮件地址。

第 2 步:验证密码更改

验证相应属性的时间戳是否与用户更改密码的时间一致。

  1. 使用 AD 管理工具(例如 ADSIEdit 或 LDIFDE)查找并复制用户的 pwdLastSet 属性。该属性的值是自世界协调时间 (UTC) 1601 年 1 月 1 日以来的以 100 纳秒为单位的间隔数。如需详细了解该属性,请参阅 Pwd-Last-Set 属性
  2. 前往 Google 管理员工具箱编码/解码
  3. 选择 pwdLastSet/FILETIME 解码
  4. 在下方粘贴要编码/解码的文本中,粘贴来自 AD 的数值型属性,然后点击提交

    该工具箱会以您的本地时区和世界协调时间 (UTC) 显示解码后的时间值。

  5. 如果时间戳与用户更改密码的时间不一致,则表示 AD 未处理该密码更新。解决 AD 中的密码问题,然后重试。

第 3 步:验证问题

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 报告 然后审核和调查 然后管理员日志事件

    需要拥有审核与调查管理员权限。

  2. 搜索该用户的密码更改事件,以确认在 pwdLastSet 属性所记录时间戳的前后 1-2 分钟内是否发生了密码更改。请务必考虑时差。如需详细了解日志事件,请参阅管理员日志事件
  3. 如果您在日志事件中验证了密码更改事件,且时间正确,请检查以下几点:
    1. 检查更改密码的管理员是否与日志中授权密码同步的管理员一致。如果管理员相同,则密码同步功能会按预期运行。
    2. 检查是否有其他来源在 Google 用户密码同步后更改了该密码(导致密码与 AD 不同步)。请先解决问题,然后再重试。

第 4 步:创建密码同步支持工具报告

如需创建报告,您需要将所有可写域控制器中的 Password Sync 日志和详细信息收集到一个文件夹中。为此,请完成方法 1:自动问题排查中的步骤。

第 5 步:找到负责密码更改的域控制器

  1. 打开命令提示符,然后使用 cd 命令进入您在上一步中创建了报告的目录。

    示例:cd C:\Users\yourname\Desktop\PasswordSyncSupportTool_20240717_142555

  2. 如需在 AD 中搜索用户名,请使用 findstr 命令。

    如需查看示例,请参阅本页后面的示例:使用 findstr 命令

  3. 如果您发现多个包含该用户名的日志文件,请选择日志时间戳与 pwdLastSet 属性中的时间相符的文件。请务必考虑时差。
  4. 在日志中,检查提及该用户名的行,以查找关联的错误消息或代码。

    如需有关错误的更多帮助,请参阅 Password Sync 错误代码和消息

  5. 如果您找不到该用户名,请确保您在所有可写网域控制器上安装了 Password Sync。如需了解详情,请参阅确保 Password Sync 已正确安装(本页面上文)。

  6. 如果您仍然遇到问题,请与 Google Workspace 支持团队联系。请提供以下信息:
    • Password Sync 支持工具报告 ZIP 文件
    • 用户的电子邮件地址及其密码更改时间
    • 用户的 LDAP 数据交换格式 (LDIF) 转储

    如需详细了解如何与支持团队联系,请参阅与 Google Workspace 支持团队联系

示例:使用 findstr 命令

示例 1:以下命令会在当前目录及其子目录中搜索包含该用户名(大小写不限)的日志文件。在命令提示符窗口中,您可以查看匹配日志文件的文件名。

findstr /S /I /M /C:"username" *.log

示例 2:以下命令会在当前目录及其子目录中搜索包含该用户名(大小写不限)的日志文件。在命令提示符窗口中,您可以查看匹配日志文件的文件名以及包含该用户名的行号。

findstr /S /I /N /C:"username" *.log


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。