Khắc phục sự cố về tính năng Directory Sync

Sau đây là cách khắc phục các vấn đề có thể xảy ra khi bạn thiết lập và chạy quy trình đồng bộ hoá bằng Directory Sync.

Thiết lập

Lỗi không lưu được chế độ cài đặt thư mục khi thêm thư mục bên ngoài

Đảm bảo bạn đã bật Data Connectors API trong dự án. Để biết thông tin chi tiết, hãy xem bài viết Bật Data Connectors API.
Nếu bạn đã định cấu hình một quy tắc về ranh giới VPC Service Controls và bảng điều khiển Cloud có các lỗi PERMISSION_DENIED tương ứng liên quan đến storage.googleapis.com, thì bạn cần cho phép truy cập vào Cloud Storage API cho dự án của mình. Nếu bạn cũng thấy các lỗi tương ứng đối với artifactregistry.googleapis.com, hãy thêm quy tắc truyền dữ liệu ra ngoài sau đây để cho phép các tài nguyên Directory Sync tiếp cận thư mục bên ngoài:
```
egress To:
_ serviceName : artifactregistry.googleapis.com
 methodSelectors :
  - method: artifactregistry.googleapis.com/DockerRead
Resources
- projects/397958601689
egressFrom:
 identityType: ANY_IDENTITY
```

Để biết thêm thông tin chi tiết về cách chỉnh sửa các quy tắc về ranh giới dịch vụ, hãy xem bài viết Thông tin chi tiết và xác nhận về ranh giới dịch vụ.

Không lưu được chế độ cài đặt thư mục do miền đã được sử dụng

Nhiều kết nối Directory Sync không thể trỏ đến cùng một miền. Directory Sync so sánh tên phân biệt cơ sở (DN) và nếu các miền khớp nhau, thì quá trình tạo thư mục sẽ không thành công.

Để giải quyết vấn đề này, hãy xoá kết nối có DN khớp trước khi tạo một kết nối mới có cùng miền.

Lỗi Directory Sync không thể kết nối với máy chủ Active Directory

Nếu bạn gặp lỗi này trong dữ liệu Sự kiện trong nhật ký của quản trị viên, hãy kiểm tra những điều sau:

Máy chủ Microsoft Active Directory (AD) đang hoạt động.
Mạng và tường lửa của bạn được thiết lập để cho phép lưu lượng truy cập đến trên cổng LDAP.
Bạn đã nhập đúng thông tin đăng nhập của tài khoản được uỷ quyền, sử dụng định dạng username@example.com hoặc EXAMPLE\username.

Nếu bạn vẫn gặp lỗi, hãy thêm thông tin chi tiết về máy chủ Hệ thống tên miền (DNS) để giải quyết tên máy chủ AD. Để biết thông tin chi tiết, hãy xem bài viết Thêm thư mục bên ngoài.

Bạn cũng có thể tạo một máy ảo (VM) Linux trong cùng một mạng con với trình kết nối truy cập Đám mây riêng ảo (VPC). Hãy thử telnet đến địa chỉ IP của máy chủ AD trên cổng 636. Nếu telnet không thành công, hãy xác minh chế độ cài đặt mạng của máy chủ AD, ví dụ: kiểm tra để đảm bảo rằng cổng 636 đang mở và có sẵn.

Nếu telnet thành công, để xác minh xem máy chủ AD có đang sử dụng đúng chứng chỉ hay không, hãy nhập lệnh sau trên máy ảo Linux:

openssl s_client -showcerts -connect external server IP address:636

Lỗi: Đã xảy ra lỗi khi cố gắng kết nối với máy chủ

Bạn có thể gặp 2 phiên bản của lỗi này trong dữ liệu Sự kiện trong nhật ký của quản trị viên.

Lỗi 1– Đã xảy ra lỗi khi cố gắng kết nối với máy chủ (Server IP) trong thời gian chờ đã định cấu hình là 10000 mili giây

Lỗi này cho biết rằng Directory Sync không kết nối được với máy chủ Active Directory (AD). Để khắc phục sự cố, hãy đảm bảo bạn đã thiết lập AD đúng cách. Để biết thông tin chi tiết, hãy xem bài viết Thêm thư mục AD.

Lỗi 2– Đã xảy ra lỗi khi cố gắng thiết lập kết nối với máy chủ (Server IP): (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)

Lỗi này cho biết rằng chứng chỉ TLS AD không khớp với chứng chỉ mà bạn đã đính kèm khi định cấu hình kết nối thư mục bên ngoài. Để khắc phục sự cố, hãy đảm bảo các chứng chỉ khớp nhau. Để biết thông tin chi tiết, hãy xem bài viết Thêm thư mục AD.

Để lưu chứng chỉ TLS AD cục bộ, hãy nhập tập lệnh sau trong Microsoft PowerShell, thay thế localhost bằng bản ghi DNS hoặc địa chỉ IP của máy chủ AD:

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

Không kiểm tra được kết nối với Azure Active Directory

Nếu bạn không kiểm tra được kết nối giữa Google và Microsoft Azure Active Directory, hãy kiểm tra các sự kiện trong nhật ký của quản trị viên để biết thông tin khắc phục sự cố. Để biết thông tin chi tiết, hãy xem bài viết Sự kiện trong nhật ký của quản trị viên.

Vấn đề đồng bộ hoá

Lỗi không tạo được người dùng

Bạn có thể gặp lỗi sau trong sự kiện trong nhật ký Directory Sync: "Không tạo được người dùng. Thông báo: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT".

Lỗi này cho biết vấn đề về việc cấp phép cho người dùng. Nếu bạn vượt quá số lượng giấy phép có sẵn trong Google Workspace hoặc không có giấy phép nào để chỉ định, thì quá trình tạo người dùng sẽ không thành công và bạn sẽ gặp lỗi này.

Để khắc phục sự cố, hãy tăng số lượng giấy phép có sẵn cho người dùng. Để biết thông tin chi tiết, hãy xem bài viết Mua thêm giấy phép người dùng.

Chủ đề có liên quan

Kết quả – lỗi liên kết giới thiệu

Nếu bạn gặp lỗi bắt đầu bằng Kết quả – liên kết giới thiệu, hãy kiểm tra để đảm bảo rằng DN cơ sở mà bạn đã nhập khi thiết lập quy trình đồng bộ hoá là chính xác.

Nếu bạn đang sử dụng cổng danh mục chung 3269, hãy thay đổi thành 636.

Không đồng bộ hoá được người dùng với thông báo "Không được phép truy cập vào tài nguyên/API này"

Trong sự kiện trong nhật ký Directory Sync, bạn có thể gặp lỗi đồng bộ hoá có nội dung mô tả này. Lỗi thường xảy ra nếu tài khoản người dùng không hoạt động hoặc mã nhận dạng email có miền không chính xác trong AD. Hãy tham khảo các bảng để khắc phục sự cố trong nhật ký.

Khắc phục sự cố các mục nhập nhật ký của người dùng không hoạt động

Sự kiện trong nhật ký và nội dung mô tả	Các bước khắc phục sự cố
Sự kiện: Đọc đối tượng Nội dung mô tả: Đọc username có các thuộc tính ... ; bị khoá: true	Thông báo suspended: true có nghĩa là người dùng không hoạt động trong thư mục bên ngoài. Chuyển đến thư mục bên ngoài và đảm bảo rằng người dùng đang hoạt động.
Sự kiện: Đã cập nhật đối tượng Nội dung mô tả: Đã cập nhật người dùng username. Thuộc tính cũ { suspended: false; }, thuộc tính mới { suspended: true; }	Bạn sẽ nhận được thông báo này nếu bạn bật chế độ Tạm ngưng người dùng trong phần cài đặt Thư mục Google và người dùng đã tồn tại trong Tài khoản Google của bạn. Kiểm tra thư mục bên ngoài để đảm bảo người dùng đang hoạt động hoặc cập nhật các quy tắc huỷ cấp phép. Để biết thông tin chi tiết về việc huỷ cấp phép, hãy xem bài viết Tạm ngưng người dùng không tìm thấy trong thư mục bên ngoài.

Sự kiện trong nhật ký và nội dung mô tả

Các bước khắc phục sự cố

Sự kiện: Đọc đối tượng

Nội dung mô tả: Đọc username có các thuộc tính ... ; bị khoá: true

Thông báo suspended: true có nghĩa là người dùng không hoạt động trong thư mục bên ngoài. Chuyển đến thư mục bên ngoài và đảm bảo rằng người dùng đang hoạt động.

Sự kiện: Đã cập nhật đối tượng

Nội dung mô tả: Đã cập nhật người dùng username. Thuộc tính cũ { suspended: false; }, thuộc tính mới { suspended: true; }

Bạn sẽ nhận được thông báo này nếu bạn bật chế độ Tạm ngưng người dùng trong phần cài đặt Thư mục Google và người dùng đã tồn tại trong Tài khoản Google của bạn.

Kiểm tra thư mục bên ngoài để đảm bảo người dùng đang hoạt động hoặc cập nhật các quy tắc huỷ cấp phép. Để biết thông tin chi tiết về việc huỷ cấp phép, hãy xem bài viết Tạm ngưng người dùng không tìm thấy trong thư mục bên ngoài.

Khắc phục sự cố các mục nhập nhật ký về địa chỉ email không hợp lệ và miền không chính xác

Sự kiện trong nhật ký và nội dung mô tả	Các bước khắc phục sự cố
Sự kiện: Lỗi đồng bộ hoá – Đối tượng riêng lẻ Nội dung mô tả: Không tạo được người dùng username	Thiết lập Directory Sync để thay thế tên miền cho người dùng. Để biết thông tin chi tiết, hãy xem bài viết Thay thế tên miền cho người dùng được đồng bộ hoá. Ngoài ra, hãy sử dụng cùng một miền trên cả tài khoản nguồn và tài khoản đích.
Sự kiện: Đã bỏ qua đối tượng – Lỗi không mong muốn Nội dung mô tả: Đã bỏ qua việc đồng bộ hoá Người dùng. Không cập nhật được username	Thiết lập Directory Sync để thay thế tên miền cho người dùng. Để biết thông tin chi tiết, hãy xem bài viết Thay thế tên miền cho người dùng được đồng bộ hoá. Ngoài ra, hãy sử dụng cùng một miền trên cả tài khoản nguồn và tài khoản đích.
Sự kiện: Lỗi đồng bộ hoá Nội dung mô tả: Bỏ qua người dùng: Không thể phân tích cú pháp email của người dùng từ thư mục từ xa	Người dùng có địa chỉ email không hợp lệ. Khắc phục địa chỉ email trong thư mục bên ngoài.
Sự kiện: Lỗi đồng bộ hoá Nội dung mô tả: Bỏ qua người dùng: username vì đường dẫn đơn vị tổ chức không được đặt trong thuộc tính phòng ban	Nếu bạn đã bật tính năng thay thế tên miền email, hãy kiểm tra các thuộc tính người dùng trong thư mục bên ngoài. Đảm bảo rằng thuộc tính mà bạn đang sử dụng để đặt người dùng vào một đơn vị tổ chức có giá trị. Nếu bạn chưa bật tính năng thay thế tên miền email, hãy đảm bảo rằng bạn sử dụng địa chỉ email hợp lệ cho người dùng trong thư mục bên ngoài.

Chủ đề có liên quan

Kiểm tra sự kiện trong nhật ký cho Directory Sync

Không đồng bộ hoá được người dùng và nhóm

Để hoàn tất các bước này, bạn phải có vai trò quản trị viên cấp cao hoặc Quản trị viên Directory Sync, hoặc đặc quyền Quản lý chế độ cài đặt Directory Sync.

Nếu không đồng bộ hoá được người dùng và nhóm:

Trong Bảng điều khiển dành cho quản trị viên của Google (tại địa chỉ admin.google.com), hãy nhấp vào Directory Sync Thư mục bên ngoài.
Kiểm tra Trạng thái đồng bộ hoá của thư mục.
Nếu quy trình đồng bộ hoá không hoạt động hoặc không thành công, hãy kích hoạt quy trình đồng bộ hoá.
Để biết thông tin chi tiết, hãy xem bài viết Chạy quy trình đồng bộ hoá.

Nếu nhóm Người dùng miền Microsoft không đồng bộ hoá được:

Directory Sync không hỗ trợ nhóm Người dùng miền Microsoft. Tìm hiểu thêm

Trong Active Directory, hãy tạo một nhóm mới chứa tất cả các thành viên và quyền áp dụng của nhóm Người dùng miền Microsoft.
Thêm nhóm đó làm thành viên của nhóm Người dùng miền Microsoft.
Sử dụng nhóm mới để quản lý thành viên và đồng bộ hoá.

Lưu ý: Đừng thay đổi các thuộc tính của nhóm Người dùng miền Microsoft vì điều này có thể kích hoạt hành vi không mong muốn khác.

Trạng thái của người dùng hiển thị là Bị tạm ngưng bởi quản trị viên

Bạn có thể tìm thêm thông tin khắc phục sự cố về lỗi này trong sự kiện trong nhật ký Directory Sync:

Mở sự kiện trong nhật ký Directory Sync.
Để biết thông tin chi tiết, hãy xem bài viết Truy cập vào dữ liệu sự kiện trong nhật ký Directory Sync.
Nhấp vào Thêm bộ lọc Mã nhận dạng đối tượng đích.
Nhập địa chỉ email của người dùng rồi nhấp vào Áp dụng.
Nếu bạn gặp:
- Sự kiện Đã cập nhật đối tượng có nội dung mô tả Thuộc tính mới {suspended: true}, Directory Sync đã tạm ngưng người dùng vì tài khoản của họ không hoạt động trong AD.
- Sự kiện Đã huỷ cấp phép đối tượng, hãy kiểm tra xem người dùng trong AD đã bị xoá hay đã được chuyển đến một đường dẫn khác không thuộc phạm vi tìm kiếm LDAP.

Một số người dùng bị thiếu trong quy trình đồng bộ hoá

Xác định những người dùng bị thiếu và đảm bảo rằng người dùng:

Không ở trạng thái không hoạt động trong thư mục bên ngoài
Là thành viên trực tiếp của nhóm mà bạn đã chỉ định khi thiết lập quy trình đồng bộ hoá người dùng
Là đối tượng người dùng chứ không phải là người liên hệ trong thư mục bên ngoài
Có mã nhận dạng email có trong thư mục bên ngoài và miền trong mã nhận dạng email đó giống với miền Google Workspace của bạn

Bạn có thể tìm thêm thông tin khắc phục sự cố trong sự kiện trong nhật ký Directory Sync:

Mở sự kiện trong nhật ký Directory Sync.
Để biết thông tin chi tiết, hãy xem bài viết Truy cập vào dữ liệu sự kiện trong nhật ký Directory Sync.
Nhấp vào Thêm bộ lọc Mã nhận dạng đối tượng nguồn.
Thêm DN của người dùng rồi nhấp vào Áp dụng.
Tìm mọi sự kiện Lỗi đồng bộ hoá và xem xét các lỗi.
Tìm kiếm các sự kiện Đọc đối tượng có DN của người dùng.
Nếu bạn không tìm thấy sự kiện Read Object nào, thì Directory Sync chưa đồng bộ hoá người dùng. Các lý do thường gặp là:
- Tư cách thành viên của người dùng không nằm trong phạm vi tìm kiếm LDAP (người dùng không cư trú tại hoặc bên dưới DN cơ sở của nhóm được chỉ định khi bạn thiết lập quy trình đồng bộ hoá người dùng).
- Directory Sync đang giao tiếp với một bộ điều khiển miền khác và quy trình đồng bộ hoá gia tăng không chọn tất cả các thay đổi. Xác minh rằng tên máy chủ và địa chỉ IP trỏ đến cùng một bộ điều khiển miền.

Một số người dùng không được đồng bộ hoá dưới dạng thành viên nhóm

Kiểm tra để đảm bảo thành viên nhóm:

Đã đặt giá trị thuộc tính thư và có mã nhận dạng email ở định dạng hợp lệ
Không cư trú tại hoặc bên dưới DN cơ sở của nhóm

Không tạo được người dùng với thông báo "Người dùng đã tồn tại"

Lỗi Người dùng đã tồn tại thường xảy ra nếu bạn xoá một người dùng trong thư mục bên ngoài rồi tạo một người dùng mới có cùng địa chỉ email.

Directory Sync sử dụng một giá trị nhận dạng duy nhất để liên kết người dùng giữa Google Workspace và thư mục bên ngoài. Người dùng Microsoft Active Directory có giá trị nhận dạng ObjectGUID và người dùng Microsoft Azure Active Directory có Mã đối tượng.

Nếu bạn tạo lại một người dùng trong thư mục bên ngoài, thì người dùng mới sẽ nhận được giá trị nhận dạng ObjectGUID hoặc Mã đối tượng ban đầu. Tuy nhiên, vì địa chỉ email của người dùng mới vẫn được liên kết với người dùng đã xoá trong Workspace, nên quá trình đồng bộ hoá sẽ không thành công.

Nếu bạn dự định tạo lại một người dùng có cùng địa chỉ email, hãy giữ lại ObjectGUID hoặc Mã đối tượng của người dùng trong thư mục bên ngoài. Hoặc đổi tên hoặc xoá địa chỉ email của người dùng trong Workspace để Directory Sync có thể liên kết tài khoản người dùng với người dùng mới trong thư mục bên ngoài.

Google, Google Workspace và những nhãn hiệu cũng như biểu tượng có liên quan là nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.

Khắc phục sự cố về tính năng Directory Sync Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.