Problemen met mapsynchronisatie oplossen

Hier leest u hoe u problemen kunt oplossen die u mogelijk ondervindt bij het instellen en uitvoeren van een synchronisatie met Directory Sync.

Instellen

Foutmelding: Uw mapinstellingen konden niet worden opgeslagen bij het toevoegen van de externe map.

  • Zorg ervoor dat de Data Connectors API is ingeschakeld in het project. Zie Data Connectors API inschakelen voor meer informatie.
  • Als er een perimeterregel voor Virtual Private Cloud (VPC) Service Controls is geconfigureerd en de Google Cloud-console bijbehorende PERMISSION_DENIED-fouten weergeeft met betrekking tot storage.googleapis.com, moet u toegang tot de Cloud Storage API voor uw project toestaan. Als u ook bijbehorende fouten ziet voor artifactregistry.googleapis.com, voegt u de volgende uitgaande regel toe om Directory Sync-resources toegang te geven tot uw externe directory: 
    egress To:
_ serviceName : artifactregistry.googleapis.com
 methodSelectors :
  - method: artifactregistry.googleapis.com/DockerRead
Resources
- projects/397958601689
egressFrom:
 identityType: ANY_IDENTITY

Voor meer informatie over het bewerken van serviceperimeterregels, ga naar serviceperimeterdetails en bevestiging .

De mapinstellingen konden niet worden opgeslagen omdat het domein al in gebruik was.

Meerdere Directory Sync-verbindingen kunnen niet naar hetzelfde domein verwijzen. Directory Sync vergelijkt de basis-DN's (Distinguished Names) en als de domeinen overeenkomen, mislukt het aanmaken van de directory.

Om het probleem op te lossen, verwijdert u de verbinding met de overeenkomende DN voordat u een nieuwe verbinding met hetzelfde domein aanmaakt.

Directory Sync kan geen verbinding maken met uw Active Directory-server.

Als u deze foutmelding in de logboekgegevens van de beheerder krijgt, controleer dan het volgende:

  • De Microsoft Active Directory (AD)-server is operationeel.
  • Uw netwerk en firewalls zijn zo geconfigureerd dat inkomend verkeer op de LDAP-poort is toegestaan.
  • U hebt de inloggegevens van het geautoriseerde account correct ingevoerd, met behulp van de indeling gebruikersnaam@voorbeeld.com of VOORBEELD \ gebruikersnaam .

Als de foutmelding blijft verschijnen, voeg dan de DNS-servergegevens toe om de AD-hostnaam op te lossen. Zie ' Een externe directory toevoegen' voor meer informatie.

U kunt ook een virtuele Linux-machine (VM) aanmaken in hetzelfde subnet als de toegangsconnector van de Virtual Private Cloud (VPC). Probeer via telnet verbinding te maken met het IP-adres van de AD-server op poort 636. Als telnet mislukt, controleer dan de netwerkinstellingen van de AD-server, bijvoorbeeld of poort 636 open en beschikbaar is.

Als de telnet-verbinding tot stand komt, kunt u controleren of de AD-server het juiste certificaat gebruikt door de volgende opdracht op de Linux-VM in te voeren:

openssl s_client -showcerts -connect external server IP address :636

Fout: Er is een fout opgetreden tijdens het verbinden met de server.

In de logboekgegevens van de beheerder kunt u twee varianten van deze foutmelding vinden.

Fout 1 – Er is een fout opgetreden tijdens het proberen verbinding te maken met de server ( server-IP-adres ) binnen de ingestelde time-out van 10000 milliseconden.

Deze foutmelding geeft aan dat Directory Sync geen verbinding kon maken met de Active Directory (AD)-server. Om dit probleem op te lossen, controleert u of AD correct is ingesteld. Zie Een AD-directory toevoegen voor meer informatie.

Fout 2 – Er is een fout opgetreden tijdens het tot stand brengen van een verbinding met de server ( Server-IP ): (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX-padopbouw mislukt: sun.security.provider.certpath.SunCertPathBuilderException: kan geen geldig certificeringspad vinden naar het gevraagde doel)

Deze foutmelding geeft aan dat het AD TLS-certificaat niet overeenkomt met het certificaat dat u hebt gekoppeld tijdens het configureren van de externe directoryverbinding. Om dit probleem op te lossen, controleert u of de certificaten overeenkomen. Zie Een AD-directory toevoegen voor meer informatie.

Om het AD TLS-certificaat lokaal op te slaan, voert u het volgende script in Microsoft PowerShell in. Vervang daarbij localhost door het DNS-record of het IP-adres van uw AD-server:

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

Kan de verbinding met Azure Active Directory niet testen.

Als u de verbinding tussen Google en Microsoft Azure Active Directory niet kunt testen, raadpleeg dan de gebeurtenissen in het beheerderslogboek voor informatie over probleemoplossing. Ga naar Gebeurtenissen in het beheerderslogboek voor meer informatie.

Synchronisatieproblemen

Gebruiker kon niet worden aangemaakt (foutmelding)

Mogelijk krijgt u de volgende foutmelding in de logboeken van Directory Sync: "Gebruiker kon niet worden aangemaakt. Bericht: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT."

Deze foutmelding duidt op een probleem met de gebruikerslicentie. Als u het aantal beschikbare licenties in Google Workspace overschrijdt of als er geen licenties beschikbaar zijn om toe te wijzen, mislukt het aanmaken van een gebruiker en krijgt u deze foutmelding.

Om het probleem op te lossen, verhoogt u het aantal licenties dat beschikbaar is voor uw gebruikers. Ga naar Meer gebruikerslicenties aanschaffen voor meer informatie.

Gerelateerde onderwerpen

Resultaat - verwijzingsfout

Als je een foutmelding krijgt die begint met 'Resultaat - verwijzing' , controleer dan of de basis-DN die je hebt ingevoerd tijdens het instellen van de synchronisatie correct is.

Als je poort 3269 gebruikt voor de globale catalogus, wijzig deze dan naar 636.

Gebruikerssynchronisatie mislukt met de foutmelding "Niet gemachtigd om toegang te krijgen tot deze bron/API".

In de logboekgebeurtenissen van Directory Sync kunt u synchronisatiefouten met deze beschrijving tegenkomen. De fout treedt meestal op als het gebruikersaccount inactief is of als het e-mailadres een onjuist domein in Active Directory heeft. Raadpleeg de tabellen om het probleem in uw logboeken op te lossen.

Problemen met inactieve gebruikerslogboekvermeldingen oplossen

Logboekgebeurtenis en beschrijving Stappen voor probleemoplossing

Gebeurtenis: Objecten lezen

Beschrijving: Lees gebruikersnaam met attributen ... ; opgeschort: waar		 De melding 'suspended: true' betekent dat de gebruiker inactief is in uw externe directory. Ga naar uw externe directory en controleer of de gebruiker actief is.

Gebeurtenis: Object bijgewerkt

Beschrijving: Gebruikersnaam bijgewerkt. Oude attributen { suspended: false; }, nieuwe attributen { suspended: true; }		 Je krijgt dit bericht als je de instelling 'Gebruiker opschorten in Google Directory' hebt ingeschakeld en de gebruiker al bestaat in je Google-account.

Controleer uw externe directory om er zeker van te zijn dat de gebruiker actief is, of werk uw deprovisioneringsregels bij. Zie Gebruikers opschorten die niet in de externe directory worden gevonden voor meer informatie over het deprovisioneren.

Los problemen op met ongeldige e-mailadressen en onjuiste domeinlogboekvermeldingen.

Logboekgebeurtenis en beschrijving Stappen voor probleemoplossing
Gebeurtenis: Synchronisatiefout - Individueel object

Beschrijving: Gebruikersnaam kon niet worden aangemaakt.

 Stel Directory Sync in om de domeinnaam voor gebruikers te vervangen. Zie Domeinnaam vervangen voor gesynchroniseerde gebruikers voor meer informatie.

U kunt ook hetzelfde domein gebruiken voor zowel het bron- als het doelaccount.

Gebeurtenis: Object overgeslagen - Onverwachte fout

Beschrijving: Synchronisatie van gebruiker overgeslagen. Update mislukt voor gebruikersnaam.

 Stel Directory Sync in om de domeinnaam voor gebruikers te vervangen. Zie Domeinnaam vervangen voor gesynchroniseerde gebruikers voor meer informatie.

U kunt ook hetzelfde domein gebruiken voor zowel het bron- als het doelaccount.

Gebeurtenis: Synchronisatiefout

Beschrijving: Gebruiker overgeslagen: Kan het e-mailadres van de gebruiker niet uit de externe map halen.

 De gebruiker heeft een ongeldig e-mailadres. Corrigeer het e-mailadres in de externe directory.
Gebeurtenis: Synchronisatiefout

Beschrijving: Gebruiker: gebruikersnaam overgeslagen omdat het pad naar de organisatie-eenheid niet is ingesteld in het attribuut 'afdeling'

 Als u de vervanging van de e-maildomeinnaam hebt ingeschakeld, controleer dan de gebruikerskenmerken in de externe directory. Zorg ervoor dat het kenmerk dat u gebruikt om gebruikers in een organisatie-eenheid te plaatsen, een waarde heeft.

Als de vervanging van de e-maildomeinnaam niet is ingeschakeld, zorg er dan voor dat u een geldig e-mailadres gebruikt voor de gebruiker in de externe directory.

Gerelateerd onderwerp

Controleer de logboekgebeurtenissen voor Directory Sync.

Gebruikers en groepen worden niet gesynchroniseerd.

Om deze stappen te voltooien, moet u de rol van superbeheerder of Directory Sync-beheerder hebben, of de bevoegdheid 'Directory Sync-instellingen beheren' .

Als gebruikers en groepen niet gesynchroniseerd zijn:

  1. Klik in je Google Admin-console (op admin.google.com ) op Directory Sync . en dan Externe mappen .
  2. Controleer de synchronisatiestatus van uw map.
  3. Als de synchronisatie inactief is of mislukt, activeer dan de synchronisatie.

    Voor meer informatie, zie Een synchronisatie uitvoeren .

Als uw Microsoft Domain Users-groep niet synchroniseert:

De Microsoft Domain Users-groep wordt niet ondersteund door Directory Sync. Meer informatie

  1. Maak in Active Directory een nieuwe groep aan die alle toepasselijke leden en machtigingen van de Microsoft Domain Users-groep bevat.
  2. Voeg die groep toe als lid van de Microsoft Domain Users-groep.
  3. Gebruik de nieuwe groep om leden te beheren en te synchroniseren.

Let op: wijzig de kenmerken van de Microsoft-domeingebruikersgroep niet, omdat dit onverwacht gedrag kan veroorzaken.

De status van gebruikers geeft aan: Geschorst door beheerder

Meer informatie over het oplossen van deze fout vindt u in de logboekgebeurtenissen van Directory Sync.

  1. Open de logboekgebeurtenissen van Directory Sync.

    Raadpleeg de gebeurtenisgegevens van het Access Directory Sync-logboek voor meer informatie.

  2. Klik op ' Een filter toevoegen'. en dan Doelobject-ID .
  3. Voer het e-mailadres van de gebruiker in en klik op Toepassen .
  4. Als je een:
    • Object bijgewerkte gebeurtenis met de beschrijving Nieuwe attributen {suspended: true} , Directory Sync heeft de gebruiker geblokkeerd omdat zijn account niet actief is in AD.
    • Controleer bij de gebeurtenis 'Object Deprovisioned' of de gebruiker in Active Directory is verwijderd of is verplaatst naar een ander pad dat niet binnen het zoekbereik van LDAP valt.

Sommige gebruikers ontbreken in de synchronisatie.

Identificeer welke onderdelen gebruikers missen en zorg ervoor dat de gebruiker:

  • Is niet inactief in uw externe map
  • Is een direct lid van de groep die u hebt opgegeven bij het instellen van de gebruikerssynchronisatie
  • Is het een gebruikersobject en geen contactpersoon in uw externe directory?
  • Heeft een e-mailadres dat in uw externe adresboek staat en waarvan het domein hetzelfde is als uw Google Workspace-domein.

Meer informatie over het oplossen van problemen vindt u in de logboekgebeurtenissen van Directory Sync.

  1. Open de logboekgebeurtenissen van Directory Sync.

    Raadpleeg de gebeurtenisgegevens van het Access Directory Sync-logboek voor meer informatie.

  2. Klik op ' Een filter toevoegen'. en dan ID van het bronobject .
  3. Voeg de DN van de gebruiker toe en klik op Toepassen .
  4. Zoek naar synchronisatiefoutgebeurtenissen en bekijk de foutmeldingen.
  5. Zoek naar Read Object- gebeurtenissen met de DN van de gebruiker.
  6. Als u geen gebeurtenissen voor het lezen van objecten kunt vinden, heeft Directory Sync de gebruiker niet gesynchroniseerd. Veelvoorkomende oorzaken zijn:
    • Het gebruikerslidmaatschap valt niet binnen het zoekbereik van LDAP (de gebruiker bevindt zich niet op of onder de basis-DN van de groep die is opgegeven bij het instellen van de gebruikerssynchronisatie).
    • Directory Sync communiceert met een andere domeincontroller en een incrementele synchronisatie pakt niet alle wijzigingen op. Controleer of de hostnaam en het IP-adres naar dezelfde domeincontroller verwijzen.

Sommige gebruikers worden niet gesynchroniseerd als groepsleden.

Controleer of het groepslid:

  • Heeft het e-mailattribuut de waarde ingesteld en een e-mail-ID in een geldig formaat?
  • Bevindt zich niet op of onder de basis-DN van de groep.

Het aanmaken van een gebruiker mislukt met de foutmelding 'Gebruiker bestaat al'.

De foutmelding 'Gebruiker bestaat al' treedt meestal op wanneer u een gebruiker in uw externe directory verwijdert en vervolgens een nieuwe gebruiker met hetzelfde e-mailadres aanmaakt.

Directory Sync gebruikt een unieke identificatiecode om gebruikers te koppelen tussen Google Workspace en uw externe directory. Gebruikers van Microsoft Active Directory hebben een ObjectGUID-identificatiecode en gebruikers van Microsoft Azure Active Directory hebben een Object-ID.

Als u een gebruiker opnieuw aanmaakt in uw externe directory, krijgt de nieuwe gebruiker een originele ObjectGUID of Object ID-identificatie. Maar omdat het e-mailadres van de nieuwe gebruiker nog steeds is gekoppeld aan de verwijderde gebruiker in Workspace, mislukt de synchronisatie.

Als u van plan bent een gebruiker opnieuw aan te maken met hetzelfde e-mailadres, bewaar dan de ObjectGUID of Object-ID van de gebruiker in uw externe directory. U kunt ook het e-mailadres van de gebruiker in Workspace hernoemen of verwijderen, zodat Directory Sync het gebruikersaccount kan koppelen aan de nieuwe gebruiker in uw externe directory.


Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.