Устранение неполадок синхронизации каталогов

Вот как устранить проблемы, которые могут возникнуть при настройке и запуске синхронизации с помощью Directory Sync.

Настраивать

Ошибка сохранения настроек каталога при добавлении внешнего каталога.

  • Убедитесь, что API коннекторов данных включен в проекте. Подробности см. в разделе «Включение API коннекторов данных» .
  • Если настроено правило периметра управления службой виртуальной частной сети (VPC), и в консоли Google Cloud отображаются ошибки PERMISSION_DENIED, связанные с storage.googleapis.com, необходимо разрешить доступ к API Cloud Storage для вашего проекта. Если вы также видите ошибки, связанные с artifactregistry.googleapis.com, добавьте следующее правило исходящего трафика, чтобы разрешить ресурсам синхронизации каталогов доступ к вашему внешнему каталогу: 
    egress To:
_ serviceName : artifactregistry.googleapis.com
 methodSelectors :
  - method: artifactregistry.googleapis.com/DockerRead
Resources
- projects/397958601689
egressFrom:
 identityType: ANY_IDENTITY

Для получения более подробной информации о редактировании правил периметра обслуживания перейдите в раздел «Подробности и подтверждение периметра обслуживания» .

Не удалось сохранить настройки каталога, поскольку домен уже использован.

Несколько подключений для синхронизации каталогов не могут указывать на один и тот же домен. Синхронизация каталогов сравнивает базовые отличительные имена (DN), и если домены совпадают, создание каталога завершается неудачей.

Для решения проблемы удалите соединение с соответствующим DN, прежде чем создавать новое соединение с тем же доменом.

Ошибка "Не удаётся подключиться к серверу Active Directory при синхронизации каталогов".

Если в журнале событий администратора появляется эта ошибка, проверьте следующее:

  • Сервер Microsoft Active Directory (AD) запущен и работает.
  • Ваша сеть и межсетевые экраны настроены таким образом, чтобы разрешать входящий трафик через порт LDAP.
  • Вы правильно ввели учетные данные авторизованной учетной записи, используя формат username@example.com или EXAMPLE \ username .

Если ошибка по-прежнему возникает, добавьте данные сервера системы доменных имен (DNS), чтобы разрешить имя хоста Active Directory. Подробности см. в разделе «Добавление внешнего каталога» .

Вы также можете создать виртуальную машину Linux (ВМ) в той же подсети, что и коннектор доступа к виртуальной частной сети (VPC). Попробуйте подключиться к IP-адресу сервера AD через порт 636 с помощью telnet. Если подключение через telnet не удается, проверьте сетевые настройки сервера AD, например, убедитесь, что порт 636 открыт и доступен.

Если подключение через Telnet прошло успешно, для проверки того, использует ли сервер Active Directory правильный сертификат, введите следующую команду на виртуальной машине Linux:

openssl s_client -showcerts -connect external server IP address :636

Ошибка: Произошла ошибка при попытке подключения к серверу.

В журнале событий администратора могут встречаться две версии этой ошибки.

Ошибка 1 – Произошла ошибка при попытке подключения к серверу ( IP-адрес сервера ) в течение заданного таймаута в 10000 миллисекунд.

Эта ошибка указывает на то, что синхронизация каталогов не смогла подключиться к серверу Active Directory (AD). Для устранения неполадок убедитесь, что вы правильно настроили AD. Подробности см. в разделе «Добавление каталога AD» .

Ошибка 2 – Произошла ошибка при попытке установить соединение с сервером ( IP-адрес сервера ): (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)

Эта ошибка указывает на то, что сертификат TLS Active Directory не соответствует сертификату, который вы подключили при настройке подключения к внешнему каталогу. Для устранения неполадок убедитесь, что сертификаты совпадают. Подробности см. в разделе «Добавление каталога Active Directory» .

Чтобы сохранить TLS-сертификат AD локально, введите следующий скрипт в Microsoft PowerShell, заменив localhost на DNS-запись вашего сервера AD или IP-адрес:

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

Не удаётся проверить подключение к Azure Active Directory.

Если вам не удаётся проверить соединение между Google и Microsoft Azure Active Directory, проверьте журналы администратора для получения информации по устранению неполадок. Подробную информацию см. в разделе «Журналы администратора» .

Проблемы с синхронизацией

Ошибка: Пользователь не может быть создан

В журнале событий синхронизации каталогов может появиться следующая ошибка: «Пользователь не может быть создан. Сообщение: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT».

Эта ошибка указывает на проблему с лицензированием пользователей. Если вы превысите количество доступных лицензий в Google Workspace или если для назначения нет доступных лицензий, создание пользователя завершится неудачей, и вы получите эту ошибку.

Для устранения неполадок увеличьте количество лицензий, доступных вашим пользователям. Подробности см. в разделе «Приобретение дополнительных пользовательских лицензий» .

Связанные темы

Результат - ошибка направления.

Если вы получаете ошибку, начинающуюся с Result - referral , убедитесь, что базовый DN, который вы ввели при настройке синхронизации, указан правильно.

Если вы используете глобальный порт каталога 3269, измените его на 636.

Синхронизация пользователей завершается ошибкой "Не авторизован для доступа к этому ресурсу/API".

В журнале событий синхронизации каталогов могут встречаться ошибки синхронизации со следующим описанием. Эта ошибка обычно возникает, если учетная запись пользователя неактивна или адрес электронной почты имеет некорректный домен в Active Directory. Для устранения проблемы в журналах обратитесь к таблицам.

Устранение неполадок с неактивными записями в журнале пользователя.

Зарегистрировать событие и его описание Этапы устранения неполадок

Событие: Чтение объектов

Описание: Чтение имени пользователя с атрибутами ... ; suspended: true		 Сообщение suspended: true означает, что пользователь неактивен во внешней директории. Перейдите во внешнюю директорию и убедитесь, что пользователь активен.

Событие: Объект обновлен

Описание: Обновлено имя пользователя. Старые атрибуты: { suspended: false; }, новые атрибуты: { suspended: true; }		 Это сообщение появляется, если вы включили опцию "Приостанавливать действие учетной записи пользователя" в настройках каталога Google, и этот пользователь уже существует в вашей учетной записи Google.

Проверьте внешний каталог, чтобы убедиться, что пользователь активен, или обновите правила удаления пользователей. Подробную информацию об удалении пользователей см. в разделе «Приостановка работы пользователей, не найденных во внешнем каталоге» .

Устранение неполадок, связанных с недействительным адресом электронной почты и некорректными записями в журнале домена.

Зарегистрировать событие и его описание Этапы устранения неполадок
Событие: Ошибка синхронизации — Отдельный объект

Описание: Не удалось создать имя пользователя.

 Настройте синхронизацию каталогов таким образом, чтобы имя домена для пользователей было заменено. Подробности см. в разделе «Замена имени домена для синхронизированных пользователей» .

В качестве альтернативы можно использовать один и тот же домен как в исходной, так и в целевой учетной записи.

Событие: Объект пропущен — Неожиданная ошибка

Описание: Синхронизация пользователя пропущена. Обновление имени пользователя не удалось.

 Настройте синхронизацию каталогов таким образом, чтобы имя домена для пользователей было заменено. Подробности см. в разделе «Замена имени домена для синхронизированных пользователей» .

В качестве альтернативы можно использовать один и тот же домен как в исходной, так и в целевой учетной записи.

Событие: Ошибка синхронизации

Описание: Пользователь пропущен: Не удалось обработать адрес электронной почты пользователя из удаленного каталога.

 У пользователя неверный адрес электронной почты. Исправьте адрес электронной почты во внешней директории.
Событие: Ошибка синхронизации

Описание: Пропускается пользователь: имя пользователя, поскольку путь к организационному подразделению не указан в атрибуте отдела.

 Если вы включили замену доменного имени электронной почты, проверьте атрибуты пользователей во внешнем каталоге. Убедитесь, что атрибут, используемый для размещения пользователей в организационной единице, имеет значение.

Если функция замены доменного имени электронной почты отключена, убедитесь, что вы используете действительный адрес электронной почты пользователя во внешнем каталоге.

Связанная тема

Проверьте журналы событий синхронизации каталогов.

Пользователи и группы не синхронизированы.

Для выполнения этих шагов вам необходимы права суперадминистратора, администратора синхронизации каталогов или привилегии управления параметрами синхронизации каталогов .

Если пользователи и группы не синхронизированы:

  1. В консоли администратора Google (по адресу admin.google.com ) нажмите «Синхронизация каталогов» . а потом Внешние каталоги .
  2. Проверьте состояние синхронизации вашей директории.
  3. Если синхронизация неактивна или не удалась, активируйте синхронизацию.

    Для получения более подробной информации перейдите в раздел «Выполнить синхронизацию» .

Если группа пользователей домена Microsoft не синхронизируется:

Группа пользователей домена Microsoft не поддерживается функцией синхронизации каталогов. Подробнее.

  1. В Active Directory создайте новую группу, содержащую всех соответствующих участников и разрешения группы «Пользователи домена Microsoft».
  2. Добавьте эту группу в качестве члена группы «Пользователи домена Microsoft».
  3. Используйте новую группу для управления участниками и синхронизации.

Примечание: Не изменяйте атрибуты группы пользователей домена Microsoft, так как это может привести к другим непредвиденным последствиям.

Статус пользователя отображается как «Заблокирован администратором».

Дополнительную информацию по устранению этой ошибки можно найти в журнале событий синхронизации каталогов:

  1. Откройте журнал событий синхронизации каталогов.

    Для получения более подробной информации перейдите к данным журнала событий синхронизации каталогов .

  2. Нажмите « Добавить фильтр». а потом Идентификатор целевого объекта .
  3. Введите адрес электронной почты пользователя и нажмите «Применить» .
  4. Если вы получите:
    • Событие «Обновление объекта» с описанием «Новые атрибуты {suspended: true}» , синхронизация каталогов приостановила работу пользователя, поскольку его учетная запись не активна в Active Directory.
    • В случае события "Object Deprovisioned" проверьте, был ли пользователь в Active Directory удален или перемещен в другой путь, не входящий в область поиска LDAP.

Некоторые пользователи отсутствуют в результатах синхронизации.

Определите, чего не хватает пользователям, и убедитесь, что пользователь:

  • Неактивен в вашем внешнем каталоге.
  • Является непосредственным членом группы, указанной вами при настройке синхронизации пользователей.
  • Это объект пользователя, а не контакт во внешнем каталоге.
  • Указан адрес электронной почты, присутствующий во внешнем каталоге, и домен в этом адресе совпадает с доменом вашего рабочего пространства Google.

Дополнительную информацию по устранению неполадок можно найти в журнале событий синхронизации каталогов:

  1. Откройте журнал событий синхронизации каталогов.

    Для получения более подробной информации перейдите к данным журнала событий синхронизации каталогов .

  2. Нажмите « Добавить фильтр». а потом Идентификатор исходного объекта .
  3. Добавьте DN пользователя и нажмите «Применить» .
  4. Найдите все события, связанные с ошибками синхронизации , и просмотрите соответствующие сообщения об ошибках.
  5. Найдите события чтения объектов , используя DN пользователя.
  6. Если вы не обнаружили событий чтения объектов , значит, синхронизация каталогов не выполнилась. Распространенные причины:
    • Членство пользователя не попадает в область поиска LDAP (пользователь не находится в базовом DN группы, указанной при настройке синхронизации пользователей, или ниже него).
    • Синхронизация каталогов взаимодействует с другим контроллером домена, и инкрементальная синхронизация не учитывает все изменения. Убедитесь, что имя хоста и IP-адрес указывают на один и тот же контроллер домена.

Некоторые пользователи не синхронизированы как члены группы.

Убедитесь, что участник группы:

  • Указано ли значение атрибута mail и имеется ли адрес электронной почты в допустимом формате?
  • Не находится на уровне или ниже базового DN группы.

Создание пользователя завершается ошибкой «Пользователь уже существует».

Ошибка «Пользователь уже существует» обычно возникает, если вы удаляете пользователя во внешней директории, а затем создаете нового пользователя с тем же адресом электронной почты.

Синхронизация каталогов использует уникальный идентификатор для связи пользователей между Google Workspace и вашим внешним каталогом. Пользователи Microsoft Active Directory имеют идентификатор ObjectGUID, а пользователи Microsoft Azure Active Directory — идентификатор Object ID.

Если вы создадите нового пользователя во внешней директории, он получит исходный идентификатор ObjectGUID или Object ID. Но поскольку адрес электронной почты нового пользователя по-прежнему связан с удаленным пользователем в Workspace, синхронизация завершится неудачей.

Если вы планируете создать нового пользователя с тем же адресом электронной почты, сохраните ObjectGUID или Object ID пользователя во внешнем каталоге. Или же переименуйте или удалите адрес электронной почты пользователя в Workspace, чтобы Directory Sync мог связать учетную запись пользователя с новым пользователем во внешнем каталоге.


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.