Fehlerbehebung bei Password Sync

Wenn Sie Probleme bei der Einrichtung von Password Sync haben, finden Sie hier Lösungen für häufiger auftretende Probleme.

Hinweis

Bevor Sie mit der Fehlerbehebung beginnen, müssen Sie alle Systemanforderungen erfüllen und die Einrichtungsschritte vollständig ausgeführt haben. Weitere Informationen finden Sie im Hilfeartikel Set up Password Sync.

Optionen zur Fehlerbehebung

Option 1: Automatische Fehlerbehebung

Mit dem Password Sync-Supporttool (ein Open-Source-Tool von Google) können Sie Password Sync-Protokolle und Informationen zur Fehlerbehebung von allen Domaincontrollern erfassen.

Sie müssen Domainadministrator sein, um diese Schritte auszuführen. Sie können das Tool auf dem Computer eines beliebigen Domainmitglieds ausführen. Es ist jedoch effektiver, einen Domaincontroller zu verwenden, der von dem Problem betroffen ist, das Sie untersuchen möchten. Weitere Informationen finden Sie unter google / password-sync-support-tool.

  1. Laden Sie das Password Sync Support Tool herunter.
  2. Führen Sie das Tool aus und suchen Sie dann auf dem Desktop Ihres Computers nach der ZIP-Datei und öffnen Sie sie.
  3. Extrahieren Sie die Trace-Protokolle und senden Sie sie an das Google Admin Toolbox Log Analysetool.

Die meisten Probleme lassen sich so rasch ermitteln.

Der Google Workspace-Support bietet keine Unterstützung für das Password Sync-Supporttool.

Option 2: Manuelle Fehlerbehebung

Wenn das Problem durch die automatische Fehlerbehebung nicht behoben wird oder Sie das Password Sync-Supporttool nicht ausführen konnten, können Sie die Informationen zur Fehlerbehebung manuell erfassen. Für einige Schritte in dieser Aufgabe müssen Sie Konsolenbefehle ausführen.

Schritt 1: Domaincontroller auflisten

  1. Vergewissern Sie sich, dass Sie ein Mitglied der Gruppe „Domainadministratoren“ sind.

    Weitere Informationen finden Sie weiter unten auf dieser Seite im Abschnitt Password Sync-Installationsprogramm konnte nicht ausgeführt werden.

  2. Klicken Sie im Startmenü auf Windows-System und dann Eingabeaufforderung.

    Je nach System müssen Sie möglicherweise mit der rechten Maustaste auf Eingabeaufforderung und dann auf Mehr und dann Als Administrator ausführen klicken.

  3. Geben Sie den folgenden Befehl ein, um Ihre Domaincontroller aufzulisten:

    nltest /dclist:your-ad-domain

    Ersetzen Sie your-ad-domain durch den Namen Ihrer Active Directory-Domain.

Schritt 2: Folgendes auf jedem Domaincontroller prüfen

  • Prüfen Sie, ob die richtige Version von Password Sync (32- oder 64-Bit) auf dem Server installiert ist. Außerdem müssen Sie den Server nach der Installation von Password Sync neu gestartet haben.

  • Sehen Sie nach, ob Ihr Netzwerk und die Proxyeinstellungen korrekt eingerichtet sind.

    Weitere Informationen finden Sie weiter unten auf dieser Seite im Abschnitt Proxy-Einstellungen für Password Sync konfigurieren.

  • Prüfen Sie, ob Sie mit Microsoft Internet Explorer, der Chromium-basierten Version von Microsoft Edge oder dem Chrome-Browser auf https://www.googleapis.com/ zugreifen können.

    Möglicherweise wird auf dieser Seite ein Google-Fehler oder die Meldung Nicht gefunden angezeigt. Das stellt kein Problem dar. Achten Sie nur darauf, dass auf der Seite keine Zertifikatsfehler oder Proxy-Authentifizierungsaufforderungen angezeigt werden. Authentifizierte Proxyserver werden nicht unterstützt.

  • Geben Sie den folgenden Befehl ein, um die Proxyeinstellungen des aktuellen Nutzers in die systemweiten Proxyeinstellungen zu kopieren:

    netsh winhttp import proxy ie

  • Wenn Sie keinen Proxyserver verwenden, aber Probleme mit dem Proxy auftreten, beheben Sie diese, indem Sie den folgenden Befehl eingeben:

    bitsadmin /util /setieproxy networkservice no_proxy

  • Geben Sie den folgenden Befehl ein, um zu prüfen, ob die Password Sync-DLL auf dem Computer registriert ist:

    reg query HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Notification Packages"

    Die Ausgabe sollte den Text password_sync_dll enthalten. Ist das nicht der Fall, installieren Sie Password Sync neu.

  • Geben Sie den folgenden Befehl ein, um zu prüfen, ob die Password Sync-DLL geladen wurde:

    tasklist /m password_sync_dll.dll

    Der Vorgang lsass.exe sollte unter den Ergebnissen gelistet sein. Wenn er nicht aufgeführt ist, ist die DLL nicht geladen. Stellen Sie sicher, dass die DLL registriert ist und die Version (32-Bit bzw. 64-Bit) dem System entspricht. Starten Sie dann Ihren Computer neu, um die DLL zu laden.

Schritt 3: Prüfen, ob Password Sync gestartet wurde

Geben Sie den Befehl sc query "Password Sync" ein, um zu prüfen, ob der Password Sync-Dienst gestartet wurde. Ersetzen Sie Password Sync durch G Suite Password Sync für die Versionen 1.6.13–1.7.6 oder durch Google Apps Password Sync für Version 1.6 oder älter.

Wenn die Abfrageausgabe so lautet:

  • STATE: RUNNING: Password Sync wird ausgeführt.
  • STATE: STOPPED: Password Sync wird nicht ausgeführt.
  • The specified service does not exist as an installed service (Der angegebene Dienst ist kein installierter Dienst)— Password Sync ist nicht installiert.

Wenn Password Sync nicht ausgeführt wird, geben Sie den sc start "Password Sync" Befehl ein. Ersetzen Sie Password Sync durch G Suite Password Sync für die Versionen 1.6.13–1.7.6 oder durch Google Apps Password Sync für Version 1.6 oder älter.

Wenn Password Sync nicht installiert ist, führen Sie die Schritte unter Password Sync konfigurieren aus.

Häufige Probleme mit Password Sync

Wenn das Problem weiterhin auftritt, finden Sie hier weitere Lösungen.

Prüfen, ob die Synchronisierung korrekt funktioniert hat

Sie können das Sicherheitsprüftool verwenden:

  1. Suchen Sie in der Google Admin-Konsole nach Administrator-Protokollereignissen.

    Weitere Informationen finden Sie im Hilfeartikel Administrator-Protokollereignisse.

  2. Fügen Sie einen Filter hinzu, um nach Passwortänderung-Ereignissen zu suchen.
  3. Führen Sie die Suche aus und prüfen Sie die Ergebnisse. Der Akteur, der dem Ereignis zugeordnet ist, hängt davon ab, wie Sie Password Sync eingerichtet haben. 
    • Benutzeroberfläche: Der Akteur ist die E-Mail-Adresse des Administrators, die Sie eingegeben haben.
    • Befehlszeile: Der Akteur ist die E-Mail-Adresse, die für den Parameter mit dem Befehl --admin_email verwendet wird.

Password Sync funktioniert nur für einige Nutzer

Wenn Password Sync nicht alle Nutzer synchronisiert, folgen Sie der Anleitung unter Einige Nutzerpasswörter werden nicht synchronisiert.

Active Directory-Administrator ist nicht berechtigt, Password Sync zu installieren

Wenn Sie Password Sync installieren möchten, müssen Sie Mitglied der Gruppe Domainadministratoren in Active Directory sein. Es reicht nicht aus, zur Administratorgruppe zu gehören.

Sie müssen sich in Windows als Domainadministrator in derselben Domain anmelden wie der Domaincontroller, den Sie einrichten. Sie sind nicht autorisiert, Password Sync zu installieren oder zu konfigurieren, wenn Sie sich als Domainadministrator von einer anderen Domain aus anmelden, etwa als Enterprise-Administrator von einer anderen Domain oder als Administrator von einer vertrauenswürdigen Domain.

Password Sync-Installationsprogramm konnte nicht ausgeführt werden

Prüfen Sie Folgendes:

  • Das Installationsprogramm wird lokal ausgeführt, nicht über ein Netzwerk.
  • Sie verwenden die korrekte Version von Password Sync für Ihre Serverarchitektur (32-Bit oder 64-Bit).

Zugriff auf Password Sync kann nicht gewährt werden

Prüfen Sie, ob Sie den App-Zugriff auf die Google Workspace-Dienste gewährt haben. Weitere Informationen finden Sie im Hilfeartikel Zugriff externer und interner Apps auf Google Workspace-Daten verwalten.

Proxy-Einstellungen für Password Sync konfigurieren

Proxyverbindungen werden von Password Sync unterstützt, wenn Sie auf allen Ihren Domaincontrollern systemweite Proxyeinstellungen einrichten.

  1. Achten Sie darauf, dass die Proxyeinstellungen des aktuellen Nutzers korrekt sind. Rufen Sie dazu im Internet Explorer, der Chromium-basierten Version von Edge oder dem Chrome-Browser https://www.googleapis.com/ auf.

    Wenn Sie zu „google.com“ weitergeleitet werden oder den Fehler Nicht gefunden sehen, sind Ihre Proxyeinstellungen wahrscheinlich korrekt. Wenn Ihnen eine Authentifizierungsaufforderung oder ein Zertifikatsfehler angezeigt wird, sind die Proxyeinstellungen möglicherweise nicht korrekt.

  2. Geben Sie den folgenden Befehl ein, um die Proxykonfiguration zu importieren:

    netsh winhttp import proxy ie

  3. Optional: Wenn Sie keinen Proxyserver verwenden, aber weiterhin Probleme mit dem Proxy auftreten, geben Sie den folgenden Befehl ein:

    bitsadmin /util /setieproxy networkservice no_proxy

    Mit diesem Befehl wird Windows angewiesen, alle automatisch erkannten Proxykonfigurationen zu ignorieren, die eventuell im System vorhanden sind.

Hinweis:

  • Password Sync unterstützt nur nicht authentifizierte Proxys. Wenn Ihr Proxy Authentifizierung erfordert (Basic, Kerberos oder NTLM), müssen Sie ihn so konfigurieren, dass nicht authentifizierte oder direkte Verbindungen zwischen Ihren Domaincontrollern und den in Domaincontrollern eingerichteten URLs und Ports möglich sind.
  • Password Sync unterstützt zwar Proxyverbindungen, möglicherweise müssen Sie bei Problemen jedoch eine direkte Verbindung herstellen, um auszuschließen, dass sie durch den Proxyserver verursacht werden. Da eine Proxykonfiguration von Ihrer lokalen Einrichtung abhängt, kann der Google Workspace-Support Sie bei Konfigurationsproblemen nicht unterstützen. Falls Proxyprobleme auftreten, kontaktieren Sie Ihren Netzwerkadministrator.

Netzwerkfehler beim Herstellen einer Verbindung zu Google

Dieser Fehler signalisiert, dass Password Sync Ihre Autorisierung nicht überprüfen konnte. Prüfen Sie Ihre Proxyeinstellungen. Ihr Netzwerk muss Verbindungen zu den für Password Sync erforderlichen URLs zulassen.

Nach der Installation neuer Server treten bei bestehenden Servern Autorisierungsfehler auf

Wenn Sie dreibeiniges OAuth für die Authentifizierung Ihrer Google-Domain verwenden, gilt eine Beschränkung der Anzahl von Tokens pro Nutzerkonto und Client. Wenn diese Beschränkung erreicht wurde, wird das älteste Token beim Erstellen eines neuen automatisch und ohne Warnung ungültig. Weitere Informationen finden Sie im Hilfeartikel Ablauf von Aktualisierungstokens.

Um Tokenbeschränkungen zu vermeiden, sollten Sie statt des dreibeinigen OAuth ein Dienstkonto verwenden. Weitere Informationen finden Sie im Hilfeartikel Google-Authentifizierungsmethode auswählen.


Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.