Mogelijk ziet u de volgende certificaatgerelateerde fouten in uw Google Cloud Directory Sync (GCDS)-logbestand:
- sun.security.provider.certpath.SunCertPathBuilderException: kan geen geldig certificeringspad vinden naar het gevraagde doel
- ldap_simple_bind_s() mislukt: Sterke authenticatie vereist
Volg de onderstaande stappen om deze fouten te verhelpen.
Op deze pagina
- Corrigeer certificaatgerelateerde fouten.
- Hoe GCDS certificaatintrekkingslijsten controleert
- De synchronisatie verloopt traag na overschakeling naar LDAP+SSL.
- Zorg voor authenticatie na de Microsoft ADV190023-update.
Corrigeer certificaatgerelateerde fouten.
Stappen voor Microsoft Windows
Werk het vmoption-bestand bij.
- Configuratiebeheer sluiten.
- Open in de installatiemap van GCDS de bestanden sync-cmd.vmoptions en config-manager.vmoptions .
De installatiemap is meestal C:\Program Files\Google Cloud Directory Sync .
- Bewerk de bestanden en voeg de volgende regels toe:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOT
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - Start Configuration Manager opnieuw op en ga naar de pagina LDAP-configuratie .
- Selecteer bij Verbindingstype LDAP+SSL .
- Kies voor de poort een optie:
- Als u eerder 389 hebt gebruikt, geef dan 636 op.
- Als u eerder 3268 hebt gebruikt, geef dan 3269 op.
- Klik op Verbinding testen .
- Als je het volgende krijgt:
- Een certificaatfout – Controleer op de computer waarop GCDS draait of het certificaat door Windows wordt vertrouwd. Ga vervolgens verder met stap 2: Het servercertificaat importeren (zie verderop op deze pagina).
- Een fout bij het controleren van de intrekking van certificaten – volg de stappen in Hoe GCDS lijsten met ingetrokken certificaten controleert .
- Andere fouten (bijvoorbeeld netwerkfouten) – ga naar Problemen met veelvoorkomende GCDS-problemen oplossen .
Importeer het servercertificaat
Je kunt deze stappen ook gebruiken om certificaten te importeren voor LDAP-servers of HTTP-proxy's die gebruikmaken van zelfondertekende certificaten.
- Meld u aan bij de domeincontroller en open een opdrachtprompt.
- Om het certificaat van de domeincontroller te exporteren, voert u de volgende opdracht in:
certutil -store Mijn domeincontroller dccert.cer
- Kopieer het bestand dccert.cer naar de server waarop GCDS is geïnstalleerd.
- Open als beheerder een opdrachtprompt.
- Om de installatiemap van de GCDS Java Runtime Environment (JRE) te openen, voert u de volgende opdracht in:
cd "c:\Program Files\Google Cloud Directory Sync\jre"
Als je een 32-bits versie van GCDS gebruikt die is geïnstalleerd op een 64-bits Windows-systeem, gebruik dan cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre"
- Om het certificaat van de domeincontroller te importeren, voert u de volgende opdracht in:
bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc
Als u meer dan één certificaat moet importeren, herhaalt u deze stappen met een andere alias in plaats van mydc .
- Voer 'Ja' in om het certificaat te vertrouwen.
- Configuratiebeheer sluiten.
- Open in de installatiemap van GCDS met een teksteditor de bestanden sync-cmd.vmoptions en config-manager.vmoptions .
- Verwijder in elk bestand:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTAls je de regels verwijdert, gebruikt GCDS het certificaatarchief in lib/security/cacerts in plaats van het Windows-systeemarchief.
- Open Configuration Manager , ga naar de pagina LDAP-configuratie en klik op Verbindingen testen .
- Als u nog steeds certificaatgerelateerde fouten ziet, moet u mogelijk het certificaat van de certificeringsinstantie (CA) van uw organisatie importeren in plaats van het certificaat van uw domeincontroller. Herhaal hiervoor deze stappen, maar exporteer en importeer het CA-certificaat.
Stappen voor Linux
Je kunt deze stappen ook gebruiken om certificaten te importeren voor LDAP-servers of HTTP-proxy's die gebruikmaken van zelfondertekende certificaten.
- Meld u aan bij de domeincontroller en open een opdrachtprompt.
- Om het domeincertificaat te vinden, voert u de volgende opdracht in:
certutil -store Mijn domeincontroller dccert.cer
- Kopieer het bestand dccert.cer naar de server waarop GCDS is geïnstalleerd.
- Om de installatiemap van de GCDS Java Runtime Environment (JRE) te openen, opent u een opdrachtprompt en voert u de volgende opdracht in:
cd ~/GoogleCloudDirSync/jre
- Om het certificaat van de domeincontroller te importeren, voert u de volgende opdracht in:
bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc
Als u meer dan één certificaat moet importeren, herhaalt u deze stappen met een andere alias in plaats van mydc .
- Voer 'Ja' in om het certificaat te vertrouwen.
- Configuratiebeheer sluiten.
- Open in de installatiemap van GCDS met een teksteditor de bestanden sync-cmd.vmoptions en config-manager.vmoptions .
De installatiemap is meestal ~/GoogleCloudDirSync .
- Verwijder in elk bestand:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTAls je de regels verwijdert, gebruikt GCDS het certificaatarchief in lib/security/cacerts in plaats van het Windows-systeemarchief.
- Open Configuration Manager , ga naar de pagina LDAP-configuratie en klik op Verbindingen testen .
- Als u nog steeds certificaatgerelateerde fouten ziet, moet u mogelijk het certificaat van de certificeringsinstantie (CA) van uw organisatie importeren in plaats van het certificaat van uw domeincontroller. Herhaal hiervoor deze stappen, maar exporteer en importeer het CA-certificaat.
Hoe GCDS certificaatintrekkingslijsten controleert
GCDS moet Secure Sockets Layer (SSL)-certificaten valideren bij het verbinden met Google API's (via HTTPS) en met LDAP via SSL. GCDS doet dit door certificaatintrekkingslijsten (CRL's) op te halen bij certificeringsinstanties via HTTP. Soms mislukken deze validaties, meestal doordat een proxy of firewall het HTTP-verzoek blokkeert.
Zorg ervoor dat de GCDS-server de volgende URL's via HTTP (poort 80) kan benaderen:
- http://crl.pki.goog
- http://crls.pki.goog
- http://c.pki.goog
Voor details over de huidige CRL's kunt u terecht op CRL-controle . Mogelijk zijn er aanvullende URL's nodig als u uw eigen certificaten gebruikt voor LDAP via SSL.
Als u geen toegang tot de CRL kunt toestaan, kunt u de CRL-controles uitschakelen:
Open in de installatiemap van GCDS de bestanden sync-cmd.vmoptions en config-manager.vmoptions met een teksteditor.
De installatiemap is meestal C:\Program Files\Google Cloud Directory Sync (Windows) of ~/GoogleCloudDirSync (Linux).
Voeg deze regels toe aan de bestanden:
-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false
De synchronisatie verloopt traag na overschakeling naar LDAP+SSL.
Als u bent overgeschakeld naar LDAP+SSL en uw synchronisatieproces is vertraagd:
- Configuratiebeheer sluiten.
Open in de installatiemap van GCDS de bestanden sync-cmd.vmoptions en config-manager.vmoptions met een teksteditor.
De installatiemap is meestal C:\Program Files\Google Cloud Directory Sync (Windows) of ~/GoogleCloudDirSync (Linux).
Bewerk de bestanden en voeg de volgende regels toe:
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simpleSla de bestanden op en probeer de synchronisatie opnieuw.
Zorg voor authenticatie na de Microsoft ADV190023-update.
Als u Microsoft Active Directory gebruikt met ingeschakelde kanaalbinding en LDAP-ondertekening, moet u extra stappen ondernemen om ervoor te zorgen dat GCDS zich via SSL met LDAP verifieert. Anders maakt GCDS geen verbinding met Active Directory en mislukken uw synchronisaties. U moet deze stappen ook uitvoeren als u eerder een synchronisatie hebt uitgevoerd met standaard LDAP-verificatie. Raadpleeg uw Microsoft-documentatie voor meer informatie over Microsoft-advies ADV190023.
Als u al succesvol gebruikmaakt van LDAP via SSL, hoeft u geen stappen te ondernemen.
Stap 1: Schakel TLS in Active Directory in.
De termen TLS en SSL worden vaak door elkaar gebruikt.
Om TLS in Active Directory in te schakelen, raadpleegt u deze Microsoft-artikelen:
Stap 2: Zorg ervoor dat het certificaat betrouwbaar is.
De certificeringsinstantie (CA) die het certificaat van uw domeincontroller heeft ondertekend, moet door GCDS worden vertrouwd. De meeste bekende internet-CA's, zoals Verisign, Comodo en Let's Encrypt, worden vertrouwd. Als u deze CA's gebruikt, kunt u deze stap overslaan.
Als uw CA niet wordt vertrouwd of als u uw eigen root-CA gebruikt, volg dan de stappen hierboven in ' Certificaatgerelateerde fouten oplossen' .
Stap 3: Configuratiebeheer instellen
- Open Configuration Manager en ga naar de pagina LDAP-configuratie .
- Selecteer bij de instelling voor het verbindingstype LDAP+SSL .
- Voor de poortinstelling geeft u 636 op (als u eerder 389 gebruikte) of 3269 (als u eerder 3268 gebruikte).
- Klik op Verbinding testen .
Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.