Felsök katalogsynkronisering

• Se till att Data Connectors API är aktiverat i projektet. För mer information, gå till Aktivera Data Connectors API .
• Om en perimeterregel för Virtual Private Cloud (VPC) Service Controls är konfigurerad och Google Cloud-konsolen har motsvarande PERMISSION_DENIED-fel relaterade till storage.googleapis.com, måste du tillåta åtkomst till Cloud Storage API för ditt projekt. Om du också ser motsvarande fel för artifactregistry.googleapis.com, lägg till följande utgående regel för att tillåta att Directory Sync-resurser når din externa katalog:

  egress To:
  _ serviceName : artifactregistry.googleapis.com
   methodSelectors :
    - method: artifactregistry.googleapis.com/DockerRead
  Resources
  - projects/397958601689
  egressFrom:
   identityType: ANY_IDENTITY

För mer information om hur du redigerar regler för tjänsteperimeter, gå till detaljer och bekräftelse för tjänsteperimeter .

Flera Directory Sync-anslutningar kan inte peka på samma domän. Directory Sync jämför grundläggande unika namn (DN) och om domänerna matchar misslyckas skapandet av kataloger.

För att lösa problemet, ta bort anslutningen med matchande DN innan du skapar en ny med samma domän.

Om du får det här felet i administratörsloggens händelsedata , kontrollera följande:

• Microsoft Active Directory (AD)-servern är igång.
• Ditt nätverk och dina brandväggar är konfigurerade för att tillåta inkommande trafik på LDAP-porten.
• Du angav korrekta inloggningsuppgifter för det auktoriserade kontot, med användarnamn @ example.com eller EXAMPLE \ användarnamnsformat .

Om du fortfarande får felet, lägg till DNS-serverinformationen (Domain Name System) för att matcha AD-värdnamnet. Mer information finns i Lägg till en extern katalog .

Du kan också skapa en virtuell Linux-maskin (VM) i samma subnät som åtkomstanslutningen för virtuellt privat moln (VPC). Försök att telneta till AD-serverns IP-adress på port 636. Om telnet misslyckas, kontrollera AD-serverns nätverksinställningar, till exempel att port 636 är öppen och tillgänglig.

Om telnet lyckas, ange följande kommando på den virtuella Linux-datorn för att kontrollera om AD-servern använder rätt certifikat:

openssl s_client -showcerts -connect external server IP address :636

Du kan hitta två versioner av det här felet i administratörsloggens händelsedata .

Fel 1 – Ett fel uppstod vid försök att ansluta till servern ( Server-IP ) inom den konfigurerade timeouten på 10 000 millisekunder.

Det här felet indikerar att Directory Sync inte kunde ansluta till Active Directory (AD)-servern. För att felsöka, se till att du har konfigurerat AD korrekt. För mer information, gå till Lägg till en AD-katalog .

Fel 2 – Ett fel uppstod när en anslutning till servern skulle upprättas ( Server-IP ): (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX-sökvägsbyggandet misslyckades: sun.security.provider.certpath.SunCertPathBuilderException: det gick inte att hitta en giltig certifieringssökväg till det begärda målet)

Det här felet indikerar att AD TLS-certifikatet inte matchar det certifikat som du bifogade när du konfigurerade den externa kataloganslutningen. För att felsöka, se till att certifikaten matchar. Mer information finns i Lägg till en AD-katalog .

För att spara AD TLS-certifikatet lokalt, ange följande skript i Microsoft PowerShell och ersätt localhost med din AD-servers DNS-post eller IP-adress:

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

Om du inte kan testa anslutningen mellan Google och Microsoft Azure Active Directory, kontrollera administratörslogghändelserna för felsökningsinformation. Mer information finns i Administratörslogghändelser .

Du kan få följande felmeddelande i logghändelserna för katalogsynkronisering: "Användaren kunde inte skapas. Meddelande: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT."

Det här felet indikerar ett problem med användarlicenser. Om du överskrider antalet tillgängliga licenser i Google Workspace eller om inga licenser finns tillgängliga att tilldela, misslyckas användarskapandet och du får det här felet.

För att felsöka, öka antalet licenser som är tillgängliga för dina användare. För mer information, gå till Köp fler användarlicenser .

Relaterade ämnen

• Kontrollera logghändelser för Directory Sync
• Tilldela, ta bort och omtilldela licenser

Om du får ett fel som börjar med Resultat - hänvisning , kontrollera att bas-DN:et du angav när du konfigurerade synkroniseringen är korrekt.

Om du använder den globala katalogporten 3269, ändra den till 636.

I logghändelserna för katalogsynkronisering kan du få synkroniseringsfel med den här beskrivningen. Felet uppstår vanligtvis om användarkontot är inaktivt eller om e-postadressen har en felaktig domän i AD. Se tabellerna för att felsöka problemet i dina loggar.

Felsöka loggposter för inaktiva användare

Felsök ogiltig e-postadress och felaktiga domänloggposter

Relaterat ämne

Kontrollera logghändelser för Directory Sync

För att slutföra dessa steg måste du ha rollen som superadministratör eller Directory Sync-administratör, eller behörigheten att hantera inställningar för katalogsynkronisering .

Om användare och grupper inte är synkroniserade:

1. I Googles administratörskonsol (på admin.google.com ) klickar du på Katalogsynkronisering Externa kataloger .
2. Kontrollera synkroniseringsstatusen för din katalog.
3. Om synkroniseringen är inaktiv eller misslyckad, aktivera synkroniseringen.

   För mer information, gå till Kör en synkronisering .

Om din Microsoft-domänanvändargrupp inte synkroniseras:

Gruppen Microsoft-domänanvändare stöds inte av Directory Sync. Läs mer

1. Skapa en ny grupp i Active Directory som innehåller alla tillämpliga medlemmar och behörigheter för gruppen Microsoft-domänanvändare.
2. Lägg till den gruppen som medlem i gruppen Microsoft-domänanvändare.
3. Använd den nya gruppen för att hantera medlemmar och synkronisera.

Obs! Ändra inte attributen för Microsoft Domain User-gruppen eftersom det kan utlösa andra oväntade beteenden.

Du hittar mer felsökningsinformation om det här felet i logghändelserna för katalogsynkronisering:

1. Öppna händelserna i loggfilen för katalogsynkronisering.

   För mer information, gå till Åtkomst till händelsedata för logg för katalogsynkronisering .

2. Klicka på Lägg till ett filter Målobjekt-ID .
3. Ange användarens e-postadress och klicka på Verkställ .
4. Om du får en:
   • Objekt Uppdaterad händelse med beskrivningen Nya attribut {suspended: true} , Directory Sync stängde av användaren eftersom deras konto inte är aktivt i AD.
   • Händelsen Objektavprovisionering , kontrollera om användaren i AD har tagits bort eller har flyttats till en annan sökväg som inte faller under LDAP-sökomfånget.

Identifiera vad användarna saknar och se till att användaren:

• Är inte inaktiv i din externa katalog
• Är en direkt medlem i gruppen du angav när du konfigurerade användarsynkroniseringen
• Är ett användarobjekt och inte en kontakt i din externa katalog
• Har ett e-post-ID som finns i din externa katalog och att domänen i e-post-ID:t är densamma som din Google Workspace-domän

Du hittar mer felsökningsinformation i händelserna i loggfilen för katalogsynkronisering:

1. Öppna händelserna i loggfilen för katalogsynkronisering.

   För mer information, gå till Åtkomst till händelsedata för logg för katalogsynkronisering .

2. Klicka på Lägg till ett filter Källobjekt-ID .
3. Lägg till användarens DN och klicka på Verkställ .
4. Leta reda på eventuella synkroniseringsfel och granska felen.
5. Sök efter Read Object- händelser med användarens DN.
6. Om du inte hittar några läsobjekthändelser har Directory Sync inte synkroniserat användaren. Vanliga orsaker är:
   • Användarmedlemskapet faller inte inom LDAP-sökområdet (användaren befinner sig inte på eller under bas-DN för den grupp som angavs när du konfigurerade användarsynkroniseringen).
   • Katalogsynkronisering kommunicerar med en annan domänkontrollant, och en stegvis synkronisering registrerar inte alla ändringar. Kontrollera att värdnamnet och IP-adressen pekar på samma domänkontrollant.

Kontrollera att gruppmedlemmen:

• Har attributvärdet för e-post angett och ett e-post-ID i ett giltigt format
• Finns inte på eller under gruppens bas-DN

Felet Användaren finns redan uppstår vanligtvis om du tar bort en användare i din externa katalog och sedan skapar en ny användare med samma e-postadress.

Directory Sync använder en unik identifierare för att länka användare mellan Google Workspace och din externa katalog. Microsoft Active Directory-användare har en ObjectGUID-identifierare och Microsoft Azure Active Directory-användare har ett objekt-ID.

Om du återskapar en användare i din externa katalog får den nya användaren en ursprunglig ObjectGUID eller Object ID-identifierare. Men eftersom den nya användarens e-postadress fortfarande är länkad till den borttagna användaren i Workspace misslyckas synkroniseringen.

Om du planerar att återskapa en användare med samma e-postadress, behåll användarens ObjectGUID eller objekt-ID i din externa katalog. Eller byt namn på eller ta bort användarens e-postadress i Workspace så att Directory Sync kan länka användarkontot till den nya användaren i din externa katalog.