সার্টিফিকেট-সম্পর্কিত সমস্যার সমাধান করুন

আপনার Google Cloud Directory Sync (GCDS) লগ ফাইলে আপনি নিম্নলিখিত সার্টিফিকেট-সম্পর্কিত ত্রুটিগুলি দেখতে পেতে পারেন:

  • sun.security.provider.certpath.SunCertPathBuilderException: অনুরোধকৃত লক্ষ্যে বৈধ সার্টিফিকেশন পাথ খুঁজে পাওয়া যাচ্ছে না
  • ldap_simple_bind_s() ব্যর্থ হয়েছে: শক্তিশালী প্রমাণীকরণ প্রয়োজন

এই ত্রুটিগুলি ঠিক করতে নীচের পদক্ষেপগুলি অনুসরণ করুন।

এই পৃষ্ঠায়

সার্টিফিকেট-সম্পর্কিত ত্রুটিগুলি ঠিক করুন

মাইক্রোসফট উইন্ডোজের জন্য ধাপ

vmoption ফাইলটি আপডেট করুন

  1. কনফিগারেশন ম্যানেজার বন্ধ করুন।
  2. GCDS এর ইনস্টলেশন ডিরেক্টরিতে, sync-cmd.vmoptions এবং config-manager.vmoptions ফাইলগুলি খুলুন।

    ইনস্টলেশন ডিরেক্টরিটি সাধারণত C:\Program Files\Google Cloud Directory Sync হয়।

  3. নিম্নলিখিত লাইনগুলি যোগ করতে ফাইলগুলি সম্পাদনা করুন:

    -Djavax.net.ssl.trustStoreProvider=সানএমএসসিএপিআই
    -Djavax.net.ssl.trustStoreType=উইন্ডোজ-রুট
    -Dcom.sun.jndi.ldap.connect.pool.protocol=প্লেইন এসএসএল
    -Dcom.sun.jndi.ldap.connect.pool.authentication=কোনও সহজ নয়

  4. কনফিগারেশন ম্যানেজার পুনরায় চালু করুন এবং LDAP কনফিগারেশন পৃষ্ঠায় যান।
  5. সংযোগের ধরণের জন্য, LDAP+SSL উল্লেখ করুন।
  6. পোর্টের জন্য একটি বিকল্প বেছে নিন:
    • যদি আপনি পূর্বে 389 ব্যবহার করে থাকেন, তাহলে 636 উল্লেখ করুন।
    • যদি আপনি পূর্বে 3268 ব্যবহার করে থাকেন, তাহলে 3269 উল্লেখ করুন।
  7. সংযোগ পরীক্ষা করুন ক্লিক করুন।
  8. যদি তুমি পাও:

সার্ভার সার্টিফিকেট আমদানি করুন

আপনি LDAP সার্ভার বা HTTP প্রক্সিগুলির জন্য সার্টিফিকেট আমদানি করতে এই পদক্ষেপগুলি ব্যবহার করতে পারেন যা স্ব-স্বাক্ষরিত সার্টিফিকেট ব্যবহার করে।

  1. ডোমেন কন্ট্রোলারে সাইন ইন করুন এবং একটি কমান্ড প্রম্পট খুলুন।
  2. ডোমেইন কন্ট্রোলার সার্টিফিকেট এক্সপোর্ট করতে, নিম্নলিখিত কমান্ডটি প্রবেশ করান:

    certutil -store আমার ডোমেইনকন্ট্রোলার dccert.cer

  3. dccert.cer ফাইলটি সেই সার্ভারে কপি করুন যেখানে GCDS ইনস্টল করা আছে।
  4. প্রশাসক হিসেবে, একটি কমান্ড প্রম্পট খুলুন।
  5. GCDS জাভা রানটাইম এনভায়রনমেন্ট (JRE) ইনস্টলেশন ফোল্ডারটি খুলতে, নিম্নলিখিত কমান্ডটি প্রবেশ করান:

    সিডি "c:\প্রোগ্রাম ফাইল\গুগল ক্লাউড ডিরেক্টরি সিঙ্ক\jre"

    যদি আপনি ৬৪-বিট উইন্ডোজ সিস্টেমে ইনস্টল করা GCDS এর ৩২-বিট সংস্করণ ব্যবহার করেন , তাহলে cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre" ব্যবহার করুন।

  6. ডোমেন নিয়ন্ত্রকের সার্টিফিকেট আমদানি করতে, নিম্নলিখিত কমান্ডটি প্রবেশ করান:

    বিন\কীটুল -কীস্টোর লিব\নিরাপত্তা\ক্যাসার্টস -স্টোরপাস পরিবর্তন করুন -ইমপোর্ট -ফাইল c:\dccert.cer -alias mydc

    যদি আপনার একাধিক সার্টিফিকেট আমদানি করার প্রয়োজন হয়, তাহলে mydc এর পরিবর্তে ভিন্ন উপনাম ব্যবহার করে এই ধাপগুলি পুনরাবৃত্তি করুন।

  7. সার্টিফিকেটটি বিশ্বাস করতে হ্যাঁ লিখুন।
  8. কনফিগারেশন ম্যানেজার বন্ধ করুন।
  9. GCDS এর ইনস্টলেশন ডিরেক্টরিতে, একটি টেক্সট এডিটর ব্যবহার করে, sync-cmd.vmoptions এবং config-manager.vmoptions ফাইলগুলি খুলুন।
  10. প্রতিটি ফাইল থেকে, সরান:

    -Djavax.net.ssl.trustStoreProvider=সানএমএসসিএপিআই
    -Djavax.net.ssl.trustStoreType=উইন্ডোজ-রুট

    যখন আপনি লাইনগুলি সরিয়ে ফেলেন, তখন GCDS উইন্ডোজ সিস্টেম স্টোরের পরিবর্তে lib/security/cacerts- এ সার্টিফিকেট স্টোর ব্যবহার করে।

  11. কনফিগারেশন ম্যানেজার খুলুন, LDAP কনফিগারেশন পৃষ্ঠায় যান এবং Test Connections এ ক্লিক করুন।
  12. যদি আপনি এখনও সার্টিফিকেট-সম্পর্কিত ত্রুটি দেখতে পান, তাহলে আপনার ডোমেন কন্ট্রোলার সার্টিফিকেটের পরিবর্তে আপনার প্রতিষ্ঠানের সার্টিফিকেট অথরিটি (CA) সার্টিফিকেট আমদানি করতে হতে পারে। এটি করার জন্য, এই পদক্ষেপগুলি পুনরাবৃত্তি করুন কিন্তু পরিবর্তে CA সার্টিফিকেট রপ্তানি এবং আমদানি করুন।

লিনাক্সের জন্য ধাপ

আপনি LDAP সার্ভার বা HTTP প্রক্সিগুলির জন্য সার্টিফিকেট আমদানি করতে এই পদক্ষেপগুলি ব্যবহার করতে পারেন যা স্ব-স্বাক্ষরিত সার্টিফিকেট ব্যবহার করে।

  1. ডোমেন কন্ট্রোলারে সাইন ইন করুন এবং একটি কমান্ড প্রম্পট খুলুন।
  2. ডোমেন সার্টিফিকেটটি সনাক্ত করতে, নিম্নলিখিত কমান্ডটি প্রবেশ করান:

    certutil -store আমার ডোমেইনকন্ট্রোলার dccert.cer

  3. dccert.cer ফাইলটি সেই সার্ভারে কপি করুন যেখানে GCDS ইনস্টল করা আছে।
  4. GCDS জাভা রানটাইম এনভায়রনমেন্ট (JRE) ইনস্টলেশন ফোল্ডারটি খুলতে, একটি কমান্ড প্রম্পট খুলুন এবং নিম্নলিখিত কমান্ডটি প্রবেশ করান:

    সিডি ~/গুগলক্লাউডডিরসিঙ্ক/জেআরই

  5. ডোমেইন কন্ট্রোলারের সার্টিফিকেট আমদানি করতে, নিম্নলিখিত কমান্ডটি প্রবেশ করান:

    বিন/কীটুল -কীস্টোর লিব/সিকিউরিটি/ক্যাসার্টস -স্টোরপাস পরিবর্তন -ইমপোর্ট -ফাইল ~/dccert.cer -alias mydc

    যদি আপনার একাধিক সার্টিফিকেট আমদানি করার প্রয়োজন হয়, তাহলে mydc এর পরিবর্তে ভিন্ন উপনাম ব্যবহার করে এই ধাপগুলি পুনরাবৃত্তি করুন।

  6. সার্টিফিকেটটি বিশ্বাস করতে হ্যাঁ লিখুন।
  7. কনফিগারেশন ম্যানেজার বন্ধ করুন।
  8. GCDS এর ইনস্টলেশন ডিরেক্টরিতে, একটি টেক্সট এডিটর ব্যবহার করে, sync-cmd.vmoptions এবং config-manager.vmoptions ফাইলগুলি খুলুন।

    ইনস্টলেশন ডিরেক্টরিটি সাধারণত ~/GoogleCloudDirSync হয়।

  9. প্রতিটি ফাইল থেকে, সরান:

    -Djavax.net.ssl.trustStoreProvider=সানএমএসসিএপিআই
    -Djavax.net.ssl.trustStoreType=উইন্ডোজ-রুট

    যখন আপনি লাইনগুলি সরিয়ে ফেলেন, তখন GCDS উইন্ডোজ সিস্টেম স্টোরের পরিবর্তে lib/security/cacerts- এ সার্টিফিকেট স্টোর ব্যবহার করে।

  10. কনফিগারেশন ম্যানেজার খুলুন, LDAP কনফিগারেশন পৃষ্ঠায় যান এবং Test Connections এ ক্লিক করুন।
  11. যদি আপনি এখনও সার্টিফিকেট-সম্পর্কিত ত্রুটি দেখতে পান, তাহলে আপনার ডোমেন কন্ট্রোলার সার্টিফিকেটের পরিবর্তে আপনার প্রতিষ্ঠানের সার্টিফিকেট অথরিটি (CA) সার্টিফিকেট আমদানি করতে হতে পারে। এটি করার জন্য, এই পদক্ষেপগুলি পুনরাবৃত্তি করুন কিন্তু পরিবর্তে CA সার্টিফিকেট রপ্তানি এবং আমদানি করুন।

জিসিডিএস কীভাবে সার্টিফিকেট প্রত্যাহারের তালিকা পরীক্ষা করে

Google API (HTTPS এর মাধ্যমে) এবং SSL এর মাধ্যমে LDAP এর সাথে সংযোগ করার সময় GCDS কে সিকিউর সকেটস লেয়ার (SSL) সার্টিফিকেট যাচাই করতে হয়। GCDS HTTP এর মাধ্যমে সার্টিফিকেট কর্তৃপক্ষ থেকে সার্টিফিকেট প্রত্যাহার তালিকা (CRL) পুনরুদ্ধার করে এটি করে। কখনও কখনও, এই যাচাইকরণগুলি ব্যর্থ হয়, সাধারণত একটি প্রক্সি বা ফায়ারওয়াল HTTP অনুরোধ ব্লক করার কারণে।

নিশ্চিত করুন যে GCDS সার্ভার HTTP (পোর্ট 80) এর মাধ্যমে নিম্নলিখিত URL গুলি অ্যাক্সেস করতে পারে:

  • http://crl.pki.goog
  • http://crls.pki.goog
  • http://c.pki.goog

বর্তমান CRL সম্পর্কে বিস্তারিত জানতে, CRL check এ যান। যদি আপনি SSL এর মাধ্যমে LDAP এর জন্য নিজস্ব সার্টিফিকেট ব্যবহার করেন তবে অতিরিক্ত URL গুলির প্রয়োজন হতে পারে।

যদি আপনি CRL অ্যাক্সেসের অনুমতি দিতে না পারেন, তাহলে আপনি CRL চেক বন্ধ করতে পারেন:

  1. GCDS এর ইনস্টলেশন ডিরেক্টরিতে, একটি টেক্সট এডিটর ব্যবহার করে sync-cmd.vmoptions এবং config-manager.vmoptions ফাইলগুলি খুলুন।

    ইনস্টলেশন ডিরেক্টরিটি সাধারণত C:\Program Files\Google Cloud Directory Sync (Windows) অথবা ~/GoogleCloudDirSync (Linux) হয়।

  2. ফাইলগুলিতে এই লাইনগুলি যোগ করুন:

    -Dcom.sun.net.ssl.checkরিভোকেশন=মিথ্যা
    -Dcom.sun.security.enableCRLDP=মিথ্যা

LDAP+SSL এ স্যুইচ করার পরে সিঙ্ক ধীর গতিতে চলছে

যদি আপনি LDAP+SSL এ স্যুইচ করে থাকেন এবং আপনার সিঙ্ক প্রক্রিয়া ধীর হয়ে যায়:

  1. কনফিগারেশন ম্যানেজার বন্ধ করুন।

  2. GCDS এর ইনস্টলেশন ডিরেক্টরিতে একটি টেক্সট এডিটর ব্যবহার করে sync-cmd.vmoptions এবং config-manager.vmoptions ফাইল খুলুন।

    ইনস্টলেশন ডিরেক্টরিটি সাধারণত C:\Program Files\Google Cloud Directory Sync (Windows) অথবা ~/GoogleCloudDirSync (Linux) হয়।

  3. নিম্নলিখিত লাইনগুলি যোগ করতে ফাইলগুলি সম্পাদনা করুন:

    -Dcom.sun.jndi.ldap.connect.pool.protocol=প্লেইন এসএসএল
    -Dcom.sun.jndi.ldap.connect.pool.authentication=কোনও সহজ নয়

  4. ফাইলগুলি সংরক্ষণ করুন এবং পুনরায় সিঙ্ক করার চেষ্টা করুন।

মাইক্রোসফট ADV190023 আপডেটের পরে প্রমাণীকরণ নিশ্চিত করুন

যদি আপনি চ্যানেল বাইন্ডিং এবং LDAP সাইনিং চালু করে Microsoft Active Directory ব্যবহার করেন, তাহলে SSL এর মাধ্যমে LDAP ব্যবহার করে GCDS প্রমাণীকরণ নিশ্চিত করার জন্য আপনাকে অতিরিক্ত পদক্ষেপ নিতে হবে। অন্যথায়, GCDS সক্রিয় ডিরেক্টরির সাথে সংযোগ স্থাপন করবে না এবং আপনার সিঙ্ক্রোনাইজেশন ব্যর্থ হবে। আপনি যদি আগে স্ট্যান্ডার্ড LDAP প্রমাণীকরণ ব্যবহার করে একটি সিঙ্ক চালিয়ে থাকেন তবেও আপনাকে এই পদক্ষেপগুলি নিতে হবে। Microsoft উপদেষ্টা ADV190023 সম্পর্কে বিস্তারিত জানতে, আপনার Microsoft ডকুমেন্টেশন দেখুন।

যদি আপনি ইতিমধ্যেই SSL এর মাধ্যমে LDAP সফলভাবে ব্যবহার করে থাকেন, তাহলে আপনাকে কোনও পদক্ষেপ নিতে হবে না।

ধাপ ১: অ্যাক্টিভ ডিরেক্টরিতে TLS চালু করুন

TLS এবং SSL শব্দ দুটি প্রায়শই বিনিময়যোগ্যভাবে ব্যবহৃত হয়।

অ্যাক্টিভ ডিরেক্টরিতে TLS চালু করতে, এই মাইক্রোসফ্ট নিবন্ধগুলি দেখুন:

ধাপ ২: নিশ্চিত করুন যে সার্টিফিকেটটি বিশ্বস্ত

আপনার ডোমেন কন্ট্রোলারের সার্টিফিকেট স্বাক্ষরকারী সার্টিফিকেট অথরিটি (CA) অবশ্যই GCDS দ্বারা বিশ্বস্ত হতে হবে। Verisign, Comodo এবং Let's Encrypt এর মতো বেশিরভাগ সুপরিচিত ইন্টারনেট CA বিশ্বস্ত। আপনি যদি এই CA ব্যবহার করেন, তাহলে আপনি এই ধাপটি এড়িয়ে যেতে পারেন।

যদি আপনার CA বিশ্বস্ত না হয় অথবা আপনি যদি নিজের রুট CA ব্যবহার করেন, তাহলে সার্টিফিকেট-সম্পর্কিত ত্রুটিগুলি ঠিক করুন বিভাগে উপরের পদক্ষেপগুলি অনুসরণ করুন।

ধাপ ৩: কনফিগারেশন ম্যানেজার সেট আপ করুন

  1. কনফিগারেশন ম্যানেজার খুলুন এবং LDAP কনফিগারেশন পৃষ্ঠায় যান।
  2. সংযোগের ধরণ সেটিং এর জন্য, LDAP+SSL উল্লেখ করুন।
  3. পোর্ট সেটিং এর জন্য, 636 (যদি আপনি পূর্বে 389 ব্যবহার করে থাকেন) অথবা 3269 (যদি আপনি পূর্বে 3268 ব্যবহার করে থাকেন) উল্লেখ করুন।
  4. সংযোগ পরীক্ষা করুন ক্লিক করুন।


Google, Google Workspace, এবং সম্পর্কিত চিহ্ন এবং লোগো হল Google LLC-এর ট্রেডমার্ক। অন্যান্য সমস্ত কোম্পানি এবং পণ্যের নাম হল সেই কোম্পানিগুলির ট্রেডমার্ক যার সাথে তারা যুক্ত।