本文介绍了如何排查在使用目录同步设置和运行同步时可能遇到的问题。
设置
添加外部目录时出现“无法保存您的目录设置”错误
- 确保项目中启用了 Data Connectors API。有关详情,请参阅启用 Data Connectors API。
- 如果配置了 VPC(虚拟私有云)Service Controls 边界规则,并且 Google Cloud 控制台中出现与 storage.googleapis.com 相关的 PERMISSION_DENIED 错误,则需要为您的项目授予对 Cloud Storage API 的访问权限。如果您还看到与 artifactregistry.googleapis.com 相关的错误,请添加以下出站流量规则,以允许 Directory Sync 资源访问您的外部目录:
egress To: _ serviceName : artifactregistry.googleapis.com methodSelectors : - method: artifactregistry.googleapis.com/DockerRead Resources - projects/397958601689 egressFrom: identityType: ANY_IDENTITY
如需详细了解如何修改服务边界规则,请参阅服务边界详情和确认。
无法保存目录设置,因为域名已被使用
不能有多个 Directory Sync 连接指向同一网域。目录同步会比较基本标识名 (DN),如果域名匹配,目录创建会失败。
如需解决此问题,请先删除具有匹配 DN 的连接,然后再使用同一网域创建新的连接。
“Directory Sync 无法连接到您的 Active Directory 服务器”错误
如果您在管理员日志事件数据中遇到此错误,请检查以下各项:
- Microsoft Active Directory (AD) 服务器已启动并运行。
- 您的网络和防火墙已设置为允许通过 LDAP 端口传输传入流量。
- 您使用 username@example.com 或 EXAMPLE\username 格式正确输入了授权账号凭据。
如果您仍然遇到此错误,请添加域名系统 (DNS) 服务器详细信息,以解析 AD 主机名。有关详情,请参阅添加外部目录。
您还可以在虚拟私有云 (VPC) 访问连接器所在的子网中创建 Linux 虚拟机 (VM)。尝试通过端口 636 对 AD 服务器的 IP 地址执行 telnet 命令。如果 telnet 命令失败,请验证 AD 服务器的网络设置,例如检查端口 636 是否已打开且可用。
如果 telnet 命令成功,如需验证 AD 服务器使用的证书是否正确,请在 Linux 虚拟机上输入以下命令:
openssl s_client -showcerts -connect external server IP address:636
错误:尝试连接到服务器时出错
您可能会在管理员日志事件数据中看到此错误的两种形式。
错误 1:在配置的超时时间(10000 毫秒)内尝试连接到服务器(服务器 IP 地址)时出错
此错误表示 Directory Sync 未能连接到 Active Directory (AD) 服务器。如需排查问题,请确保您已正确设置 AD。如需了解详情,请参阅添加 AD 目录。
错误 2:尝试与服务器(服务器 IP 地址)建立连接时出错:(SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)
此错误表示 AD TLS 证书与配置外部目录连接时附加的证书不匹配。如需排查问题,请确保证书匹配。如需了解详情,请参阅添加 AD 目录。
如需在本地保存 AD TLS 证书,请在 Microsoft PowerShell 中输入以下脚本,注意将 localhost 替换为您的 AD 服务器 DNS 记录或 IP 地址:
$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"无法测试与 Azure Active Directory 的连接
如果您无法测试 Google 与 Microsoft Azure Active Directory 之间的连接,请查看管理员日志事件以获取问题排查信息。如需了解详情,请参阅管理员日志事件。
同步问题
“无法创建用户”错误
您可能会在 Directory Sync 日志事件中看到以下错误:“无法创建用户。消息:DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT”。
此错误表示存在用户许可问题。如果您超出了 Google Workspace 可用许可数量,或者没有可供分配的许可,那么用户创建操作将会失败,并且您会收到此错误消息。
若要排查问题,请增加可供用户使用的许可数量。有关详情,请参阅购买更多用户许可。
相关主题
结果 - 引荐链接错误
如果您遇到以“结果 - 引荐”开头的错误,请检查您在设置同步时输入的基本 DN 是否正确。
如果您使用的是全局目录端口 3269,请将其更改为 636。
用户同步失败,并且系统显示“无权访问此资源/API”
在 Directory Sync 日志事件中,您可能会看到带有此说明的同步错误。一般来讲,如果用户账号处于非活动状态,或者 AD 中的电子邮件 ID 的域名不正确,那么就会出现此错误。请参阅表格,排查日志中的问题。
排查非活跃用户日志条目问题
| 日志事件和说明 | 问题排查步骤 |
|---|---|
|
事件:读取对象 说明:读取属性为“... ; suspended: true”的用户名 |
suspended: true 消息表示用户在您的外部目录中处于非活动状态。前往您的外部目录,确保该用户处于有效状态。 |
|
事件:更新了对象 说明:更新了用户“用户名”。旧属性 { suspended: false; }、新属性 { suspended: true; } |
如果您在“Google 目录”设置中启用了“暂停用户”功能,并且该用户已存在于您的 Google 账号中,则会收到此消息。 检查您的外部目录,确保该用户处于活动状态,或更新您的取消配置规则。如需详细了解如何取消配置,请参阅暂停在外部目录中找不到的用户。 |
排查电子邮件地址无效和网域日志条目不正确的问题
| 日志事件和说明 | 问题排查步骤 |
|---|---|
| 事件:同步错误 - 单个对象
说明:无法创建用户“用户名” |
设置 Directory Sync,以便为用户替换域名。如需了解详情,请参阅为已同步的用户替换域名。 或者,在源账号和目标账号中使用相同的网域。 |
| 事件:跳过了对象 - 意外错误 说明:跳过了同步用户。用户名更新失败 |
设置 Directory Sync,以便为用户替换域名。如需了解详情,请参阅为已同步的用户替换域名。 或者,在源账号和目标账号中使用相同的网域。 |
| 事件:同步错误 说明:跳过用户:无法从远程目录解析用户的电子邮件 |
用户的电子邮件地址无效。修正外部目录中的电子邮件地址。 |
| 事件:同步错误 说明:由于未在“部门”属性中设置组织部门路径,因此跳过用户“用户名” |
如果您已启用电子邮件域名替换功能,请检查外部目录中的用户属性。确保用于将用户添加到组织部门的属性具有值。 如果您未启用电子邮件域名替换功能,请确保为外部目录中的用户使用有效的电子邮件地址。 |
相关主题
用户和群组未同步
如要完成以下步骤,您必须拥有超级用户或 Directory Sync 管理员角色,或者管理 Directory Sync 设置权限。
如果用户和群组未同步,请执行以下操作:
- 在 Google 管理控制台(网址为 admin.google.com)中,依次点击目录同步
外部目录。 - 检查目录的同步状态。
- 如果同步处于非活动状态或失败,请激活同步功能。
如需了解详情,请参阅运行同步。
如果您的 Microsoft 网域用户群组未同步,请执行以下操作:
Directory Sync 不支持 Microsoft 网域用户群组。了解详情
- 在 Active Directory 中创建一个新群组,其中包含 Microsoft 网域用户群组的所有适用成员和权限。
- 将该群组添加为 Microsoft 网域用户群组的成员。
- 使用这一新群组来管理成员和同步。
注意:请勿更改 Microsoft 网域用户群组的属性,因为这可能会触发其他意外行为。
用户状态显示“已被管理员中止”
您可以在 Directory Sync 日志事件中找到有关此错误的更多问题排查信息:
- 打开 Directory Sync 日志事件。
如需了解详情,请参阅访问 Directory Sync 日志事件数据。
- 点击添加过滤条件
目标对象 ID。
- 输入用户的电子邮件地址,然后点击应用。
- 如果发生:
- 包含新属性 {suspended: true}这一说明的对象已更新事件,则表示目录同步中止了该用户,因为其账号在 AD 中未启用。
- 对象已取消配置事件,请检查 AD 中的用户是否已删除或已移动到不在 LDAP 搜索范围之内的其他路径。
某些用户未同步
找出缺失的用户,并确保用户:
- 在您的外部目录中未处于非活动状态
- 是您在设置用户同步时指定的群组的直接成员
- 是用户对象,而不是外部目录中的联系人
- 具有您的外部目录中存在的电子邮件 ID,并且电子邮件 ID 中的域名与您的 Google Workspace 域名相同
您可以在 Directory Sync 日志事件中找到更多问题排查信息:
- 打开 Directory Sync 日志事件。
如需了解详情,请参阅访问 Directory Sync 日志事件数据。
- 点击添加过滤条件
源对象 ID。
- 添加用户的 DN,然后点击应用。
- 查找所有同步错误事件并查看错误。
- 使用用户的 DN 搜索读取对象事件。
- 如果您找不到任何读取对象事件,则表示 Directory Sync 尚未同步用户。常见原因包括:
- 用户成员资格不在 LDAP 搜索范围内(用户不在您设置用户同步时指定的群组的基本 DN 内或基本 DN 下)。
- 目录同步正在与其他域控制器通信,因此增量同步无法捕捉到所有更改。验证主机名和 IP 地址是否指向同一个域控制器。
部分用户没有以群组成员身份同步
检查群组成员是否:
- 设置了邮件属性值,并且电子邮件 ID 为有效的格式
- 不位于群组的基本 DN 或以下
用户创建失败,并显示“用户已存在”错误
如果您在外部目录中删除某个用户,然后使用相同的电子邮件地址创建新用户,通常会收到用户已存在错误消息。
目录同步使用唯一标识符在 Google Workspace 与外部目录之间关联用户。Microsoft Active Directory 用户具有 ObjectGUID 标识符,而 Microsoft Azure Active Directory 用户具有对象 ID。
如果您在外部目录中重新创建用户,新用户会获得原始 ObjectGUID 或对象 ID 标识符。但由于新用户的邮箱仍与 Workspace 中已删除的用户相关联,因此同步失败。
如果您计划重新创建具有相同电子邮件地址的用户,请在外部目录中保留该用户的 ObjectGUID 或对象 ID。或者,在 Workspace 中重命名或删除用户的电子邮件地址,以便目录同步功能将用户账号与外部目录中的新用户相关联。
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。