Password Sync のトラブルシューティング

パスワード同期の設定がうまくいかない場合は、以下の一般的な問題の解決方法をご確認ください。

始める前に

トラブルシューティングを開始する前に、すべてのシステム要件を満たしていて、セットアップ手順をすべて完了していることを確認してください。詳しくは、Password Sync を設定するをご覧ください。

トラブルシューティングのオプション

オプション 1: 自動トラブルシューティング

Password Sync サポートツール(Google のオープンソース ツール)を使用して、すべてのドメイン コントローラから Password Sync のログとトラブルシューティング情報を収集します。

これらの手順を完了するには、ドメイン管理者である必要があります。このツールは、どのドメイン メンバーのコンピュータからでも実行できますが、問題の影響を受けている調査対象のドメイン コントローラを使用する方が効果的です。詳しくは、google / password-sync-support-tool をご覧ください。

  1. Password Sync Support Tool をダウンロードします。
  2. ツールを実行し、パソコンのデスクトップにある ZIP ファイルを見つけて開きます。
  3. トレースログを抽出し、Google 管理者ツールボックスの Log Analyzer に送信します。

ほとんどの問題を送信から数分以内に特定できます。

Google Workspace サポートでは、パスワード同期サポートツールのサポートは提供しておりません。

オプション 2: 手動によるトラブルシューティング

自動トラブルシューティングの手順を行っても問題が解決しない場合や、パスワード同期サポートツールを実行できなかった場合は、手動でトラブルシューティング情報を収集できます。このタスクの一部の手順では、コンソール コマンドを実行する必要があります。

ステップ 1: ドメイン コントローラを一覧表示する

  1. ドメイン管理者グループのメンバーであることを確認します。

    詳しくは、Password Sync インストーラが失敗した(このページの後半)をご覧ください。

  2. [スタート] メニューで、[Windows システム] 次に [コマンド プロンプト] をクリックします。

    システムによっては、[コマンド プロンプト] を右クリックして [その他] 次に [管理者として実行] をクリックする必要があります。

  3. ドメイン コントローラを一覧表示するには、次のコマンドを入力します。

    nltest /dclist:your-ad-domain

    your-ad-domain は、Active Directory ドメインの名前に置き換えます。

手順 2: 各ドメイン コントローラで以下を確認する

  • 正しいバージョンの Password Sync(32 ビットまたは 64 ビット)がサーバーにインストールされており、Password Sync のインストール後にサーバーを再起動したことを確認します。

  • ネットワークとプロキシの設定が正しく行われていることを確認します。

    詳しくは、Password Sync のプロキシを設定する(後述)をご覧ください。

  • Microsoft Internet Explorer、Chromium ベースの Microsoft Edge、または Chrome ブラウザを使用して、https://www.googleapis.com/ にアクセスできることを確認します。

    このページに Google のエラーや [Not Found] が表示されても問題ありません。このページで証明書エラーが表示されないこと、あるいはプロキシ認証が求められないことを確認します。認証プロキシ サーバーはサポートされていません。

  • 現在のユーザーのプロキシ設定をシステム全体のプロキシ設定にコピーするには、次のコマンドを入力します。

    netsh winhttp import proxy ie

  • プロキシ サーバーを使用していないにもかかわらずプロキシ関連の問題が発生する場合は、次のコマンドを入力してトラブルシューティングを行います。

    bitsadmin /util /setieproxy networkservice no_proxy

  • パスワード同期 DLL がマシンに登録されていることを確認するには、次のコマンドを入力します。

    reg query HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Notification Packages"

    出力に password_sync_dll という文字が含まれていることを確認します。含まれていない場合は、パスワード同期を再インストールする必要があります。

  • パスワード同期 DLL が読み込まれたことを確認するには、次のコマンドを入力します。

    tasklist /m password_sync_dll.dll

    結果に「lsass.exe」というプロセスが含まれていることを確認します。含まれていない場合は、DLL が読み込まれていません。DLL がレジストリに登録され、版(32 ビット版または 64 ビット版)がシステムと合っていることを確認します。次に、パソコンを再起動して DLL を読み込みます。

ステップ 3: パスワードの同期が開始されたことを確認する

パスワード同期サービスが開始されたことを確認するには、sc query "Password Sync" コマンドを入力します。バージョン 1.6.13 ~ 1.7.6 の場合は Password SyncG Suite Password Sync に、バージョン 1.6 以前の場合は Google Apps Password Sync に置き換えます。

クエリの出力結果とその意味は次のとおりです。

  • STATE: RUNNING - パスワード同期は実行中です。
  • STATE: STOPPED - パスワード同期は実行されていません。
  • 指定されたサービスはインストールされたサービスとして存在しません - Password Sync がインストールされていません。

パスワード同期が実行されていない場合は、sc start "Password Sync" コマンドを入力します。バージョン 1.6.13 ~ 1.7.6 の場合は Password SyncG Suite Password Sync に、バージョン 1.6 以前の場合は Google Apps Password Sync に置き換えます。

Password Sync がインストールされていない場合は、Password Sync を構成するの手順を完了します。

Password Sync に関する一般的な問題

問題が解決されない場合は、次の解決策をご確認ください。

同期が正しく行われたことを確認する

セキュリティ調査ツールを使用すると、次のことができます。

  1. Google 管理コンソールで、管理ログイベントを検索します。

    詳しくは、管理ログイベントをご覧ください。

  2. フィルタを追加してパスワードの変更イベントを検索します。
  3. 検索を実行し、結果を確認します。イベントに関連付けられているアクターは、パスワード同期の設定方法によって異なります。 
    • UI インターフェース - アクターは、入力した管理者のメールアドレスです。
    • コマンドライン - アクターは --admin_email コマンドで、パラメータに使用したメールアドレスです。

Password Sync が一部のユーザーでしか動作しない

Password Sync で一部のユーザーが同期されない場合は、一部のユーザーのパスワードが同期されないの手順に沿って操作します。

Active Directory 管理者に Password Sync をインストールする権限がない

Password Sync をインストールするには、Active Directory でドメイン管理者グループのメンバーである必要があります。管理者グループのメンバーであるだけでは権限が十分ではありません。

設定するドメイン コントローラと同じドメインのドメイン管理者として Windows にログインする必要があります。別のドメインのドメイン管理者(別のドメインのエンタープライズ管理者、信頼できるドメインの管理者など)としてログインした場合、パスワード同期のインストールと設定を行う権限はありません。

Password Sync インストーラがエラー終了する

以下の設定をご確認ください。

  • インストーラを(ネットワーク経由ではなく)ローカルで実行している。
  • サーバーのアーキテクチャに適したパスワード同期バージョン(32 ビット版または 64 ビット版)を使用している。

パスワード同期へのアクセスを許可できない

アプリのアクセス制御を Google Workspace サービスに付与していることを確認します。詳しくは、Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御するをご覧ください。

Password Sync のプロキシ設定を構成する

Password Sync でプロキシ接続がサポートされるのは、すべてのドメイン コントローラでシステム全体にわたるプロキシ設定を行った場合です。

  1. 現在のユーザーのプロキシ設定が正しく設定されていることを確認するには、Internet Explorer、Chromium ベース バージョンの Edge、Chrome ブラウザで https://www.googleapis.com/ にアクセスします。

    google.com のページまたは [Not Found] にリダイレクトされた場合は、プロキシ設定が正しいとみなすことができます。認証を求められたり証明書エラーが表示されたりした場合は、プロキシ設定が誤っている可能性があります。

  2. プロキシ構成をインポートするには、次のコマンドを入力します。

    netsh winhttp import proxy ie

  3. (省略可)プロキシ サーバーを使用していないにもかかわらずプロキシ関連の問題が発生する場合は、次のコマンドを入力します。

    bitsadmin /util /setieproxy networkservice no_proxy

    これにより、システムに存在する可能性があるプロキシ設定が自動検出されても無視されます。

:

  • パスワード同期では認証が不要なプロキシのみがサポートされています。認証が必要なプロキシをお使いの場合(基本認証、Kerberos 認証、NTLM 認証)、組織のドメイン コントローラからドメイン コントローラを設定するで指定された URL とポートに対して未認証の接続、または直接接続を許可するように、プロキシを設定する必要があります。
  • Password Sync はプロキシ接続には対応していますが、プロキシ サーバーによって問題が起きないようにするために、直接接続の有効化が必要になることがあります。プロキシ設定はローカルの設定に依存するため、Google Workspace サポートでは設定に関するサポートをいたしかねます。プロキシの問題が発生した場合は、ネットワーク管理者にお問い合わせください。

Google への接続中にネットワーク エラーが発生した

このエラーは、Password Sync で認証を確認できなかったことを示します。プロキシ設定を見直して、パスワード同期で必要な URL への接続がネットワークで許可されていることをご確認ください。

新しいサーバーのインストール後に既存のサーバーで認証エラーが表示される

3-legged OAuth を使用して Google ドメインを認証している場合は、各クライアントのユーザー アカウントごとのトークンに上限があります。この上限値に達すると、新しいトークンが作成された際に自動的に一番古いトークンが警告なく無効化されます。詳しくは、更新トークンの有効期限をご覧ください。

トークンの制限を回避するには、3-legged OAuth ではなくサービス アカウントを使用してください。詳しくは、Google の認証方法を選択するをご覧ください。


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。