Rozwiązywanie problemów z Password Sync

Jeśli masz problemy z konfiguracją synchronizacji haseł, zapoznaj się z tymi rozwiązaniami typowych problemów.

Zanim zaczniesz

Zanim rozpoczniesz rozwiązywanie problemów, sprawdź, czy są spełnione wszystkie wymagania systemowe, a czynności konfiguracyjne zostały w pełni wykonane. Szczegółowe informacje znajdziesz w artykule Konfigurowanie Password Sync.

Opcje rozwiązywania problemów

Opcja 1. Automatyczne rozwiązywanie problemów

Użyj narzędzia pomocy dotyczącego synchronizacji haseł (opracowanego przez Google narzędzia open source), aby zebrać dzienniki synchronizacji haseł i informacje potrzebne do rozwiązania problemów ze wszystkich kontrolerów domeny.

Aby wykonać te czynności, musisz być administratorem domeny. Narzędzie możesz uruchomić na komputerze dowolnego członka domeny, ale zastosowanie kontrolera domeny, którego dotyczy problem do przeanalizowania, przyniesie lepsze rezultaty. Szczegółowe informacje znajdziesz na stronie google / password-sync-support-tool.

  1. Pobierz narzędzie pomocy Password Sync.
  2. Uruchom narzędzie, a następnie znajdź i otwórz plik ZIP na pulpicie komputera.
  3. Rozpakuj logi śledzenia i prześlij je do Analizatora logów z Narzędzi administracyjnych Google.

Większość problemów można zidentyfikować niemal natychmiast po przesłaniu danych.

Zespół pomocy Google Workspace nie zapewnia wsparcia w zakresie narzędzia pomocy Password Sync.

Opcja 2. Ręczne rozwiązywanie problemów

Jeśli nie pomoże Ci automatyczne rozwiązywanie problemów lub nie możesz uruchomić narzędzia pomocy Password Sync, informacje na temat rozwiązywania problemów możesz zebrać ręcznie. Niektóre kroki w tym zadaniu wymagają uruchomienia poleceń konsoli.

Krok 1. Wyświetl listę kontrolerów domeny

  1. Sprawdź, czy należysz do grupy „Administratorzy domeny”.

    Szczegółowe informacje znajdziesz w sekcji Błąd instalatora Password Sync (poniżej).

  2. W menu Start kliknij System Windows a potemWiersz polecenia.

    W zależności od systemu może być konieczne kliknięcie prawym przyciskiem myszy opcji Wiersz polecenia i kliknięcie Więcej a potemUruchom jako administrator.

  3. Aby wyświetlić listę kontrolerów domeny, wpisz to polecenie:

    nltest /dclist:your-ad-domain

    Tekst your-ad-domain zastąp nazwą Twojej domeny Active Directory.

Krok 2. Wykonaj podane poniżej kroki na każdym kontrolerze domeny

  • Sprawdź, czy na serwerze jest zainstalowana poprawna wersja Password Sync (32- lub 64-bitowa), a po instalacji Password Sync serwer został uruchomiony ponownie.

  • Sprawdź, czy ustawienia sieci i serwera proxy są skonfigurowane prawidłowo.

    Szczegółowe informacje znajdziesz w sekcji Konfigurowanie ustawień serwera proxy dla Password Sync (poniżej).

  • Sprawdź, czy możesz otworzyć stronę https://www.googleapis.com/ w przeglądarce Microsoft Internet Explorer, opartej na Chromium wersji Microsoft Edge lub przeglądarce Chrome.

    Jeśli na tej stronie wyświetla się błąd Google lub komunikat Nie znaleziono, wszystko jest w porządku. Nie powinny się jednak pojawiać błędy certyfikatu ani prośby o uwierzytelnienie serwera proxy. Serwery proxy wymagające uwierzytelnienia nie są obsługiwane.

  • Aby skopiować ustawienia serwera proxy bieżącego użytkownika do systemowych ustawień serwera proxy, wpisz to polecenie:

    netsh winhttp import proxy ie

  • Jeśli nie używasz serwera proxy, ale i tak napotykasz związane z nim problemy, wpisz to polecenie:

    bitsadmin /util /setieproxy networkservice no_proxy

  • Aby sprawdzić, czy biblioteka DLL synchronizacji haseł jest zarejestrowana na komputerze, wpisz to polecenie:

    reg query HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Notification Packages"

    Dane wyjściowe powinny zawierać tekst password_sync_dll. Jeśli go nie zawierają, zainstaluj synchronizację haseł ponownie.

  • Aby sprawdzić, czy biblioteka DLL synchronizacji haseł jest załadowana, wpisz to polecenie:

    tasklist /m password_sync_dll.dll

    W wynikach powinien znajdować się proces lsass.exe. Jeśli go tam nie ma, oznacza to, że biblioteka DLL nie została załadowana. Sprawdź, czy biblioteka DLL jest zarejestrowana, a jej wersja (32- lub 64-bitowa) jest zgodna z wersją systemu. Następnie uruchom ponownie komputer, aby załadować bibliotekę DLL.

Krok 3. Sprawdź, czy synchronizacja haseł została uruchomiona

Aby sprawdzić, czy usługa synchronizacji haseł została uruchomiona, wpisz polecenie sc query "Password Sync". W przypadku wersji 1.6.13–1.7.6 zastąp Password Sync ciągiem G Suite Password Sync, a w przypadku wersji 1.6 lub starszej – ciągiem Google Apps Password Sync.

Jeśli wynik zapytania będzie następujący:

  • STATE: RUNNING (STAN: DZIAŁA) – synchronizacja haseł jest uruchomiona.
  • STATE: STOPPED (STAN: ZATRZYMANA) – synchronizacja haseł nie jest uruchomiona.
  • The specified service does not exist as an installed service (Określona usługa nie istnieje jako zainstalowana usługa) – synchronizacja haseł nie jest zainstalowana.

Jeśli synchronizacja haseł nie jest uruchomiona, wpisz polecenie sc start "Password Sync". W przypadku wersji 1.6.13–1.7.6 zastąp Password Sync ciągiem G Suite Password Sync, a w przypadku wersji 1.6 lub starszej – ciągiem Google Apps Password Sync.

Jeśli usługa Password Sync nie jest zainstalowana, wykonaj czynności opisane w artykule Konfigurowanie usługi Password Sync.

Typowe problemy z Password Sync

Jeśli nadal będziesz mieć problemy, wypróbuj te rozwiązania.

Sprawdzanie, czy synchronizacja zadziałała prawidłowo

Możesz do tego użyć narzędzia do analizy zagrożeń:

  1. W konsoli administracyjnej Google przeprowadź wyszukiwanie zdarzeń z dziennika administratora.

    Więcej informacji znajdziesz w artykule Zdarzenia z dziennika administratora.

  2. Dodaj filtr, aby wyszukać zdarzenia Zmiana hasła.
  3. Przeprowadź wyszukiwanie i sprawdź wyniki. Dołączona do zdarzenia nazwa użytkownika, który wykonał czynność, zależy od konfiguracji synchronizacji haseł. 
    • Interfejsu – użytkownik, który wykonał czynność, jest wyświetlany jako wpisany przez Ciebie adres e-mail administratora.
    • Wiersz poleceń – użytkownik, który wykonał czynność, jest wyświetlany jako adres e-mail użyty jako parametr w poleceniu --admin_email.

Synchronizacja haseł działa tylko u niektórych użytkowników

Jeśli Password Sync nie synchronizuje wszystkich użytkowników, wykonaj czynności opisane w artykule na temat braku synchronizacji niektórych haseł użytkowników.

Administrator Active Directory nie ma uprawnień do zainstalowania Password Sync

Aby zainstalować Password Sync, musisz należeć do grupy Administratorzy domen w Active Directory. Członkostwo w grupie Administratorzy jest niewystarczające.

Musisz zalogować się jako administrator domeny w systemie Windows w tej samej domenie, w której znajduje się konfigurowany kontroler domeny. Jeśli zalogujesz się jako administrator z innej domeny (na przykład jako administrator firmowy z innej domeny albo jako administrator z zaufanej domeny), nie będziesz mieć uprawnień do instalowania ani konfigurowania synchronizacji haseł.

Wystąpił błąd instalatora funkcji Password Sync

Sprawdź, czy konfiguracja:

  • uruchamia instalator lokalnie (nie przez sieć),
  • ma odpowiednią wersję synchronizacji haseł zgodną z architekturą Twojego serwera (32- lub 64-bitową).

Nie udało się przyznać dostępu do synchronizacji haseł

Upewnij się, że aplikacja ma kontrolę nad dostępem do usług Google Workspace. Więcej informacji znajdziesz w artykule Określanie, które aplikacje innych firm i aplikacje wewnętrzne mają dostęp do danych Google Workspace.

Konfigurowanie ustawień serwera proxy dla Password Sync

Funkcja Password Sync obsługuje połączenia proxy, o ile zastosujesz systemowe ustawienia proxy na wszystkich kontrolerach domeny.

  1. Otwórz https://www.googleapis.com/ w przeglądarce Internet Explorer, opartej na Chromium wersji przeglądarki Edge lub przeglądarce Chrome, aby sprawdzić, czy ustawienia serwera proxy są prawidłowo skonfigurowane dla obecnego użytkownika.

    Jeśli nastąpi przekierowanie na stronę google.com lub zobaczysz komunikat Not found (Nie znaleziono), oznacza to, że ustawienia serwera proxy prawdopodobnie są poprawne. Jeśli pojawi się błąd certyfikatu lub prośba o uwierzytelnienie, oznacza to, że ustawienia serwera proxy mogą być nieprawidłowe.

  2. Aby zaimportować konfigurację serwera proxy, wpisz to polecenie:

    netsh winhttp import proxy ie

  3. (Opcjonalnie) Jeśli nie używasz serwera proxy, ale i tak napotykasz związane z nim problemy, wpisz to polecenie:

    bitsadmin /util /setieproxy networkservice no_proxy

    Po uruchomieniu tego polecenia system Windows zignoruje konfiguracje automatycznie wykrytych serwerów proxy, które mogą znajdować się w systemie.

Uwaga:

  • Synchronizacja haseł obsługuje tylko nieuwierzytelnione serwery proxy. Jeśli Twój serwer proxy wymaga uwierzytelniania (podstawowego, Kerberos lub NTLM), musisz go skonfigurować tak, aby zezwalał na nieuwierzytelnione lub bezpośrednie połączenia z kontrolerów domeny do adresów URL i portów wymienionych w sekcji Konfigurowanie kontrolerów domeny artykułu Informacje o G Suite Password Sync.
  • Mimo że synchronizacja haseł obsługuje połączenia proxy, może być konieczne włączenie połączenia bezpośredniego, aby nie wystąpiły problemy związane z serwerem proxy. Konfiguracja serwera proxy zależy od konfiguracji lokalnej, dlatego zespół pomocy Google Workspace nie może Ci w tym pomóc. W razie problemów z serwerem proxy skontaktuj się z administratorem sieci.

Błąd sieci podczas nawiązywania połączenia z Google

Ten błąd oznacza, że synchronizacja haseł nie może zweryfikować Twojej autoryzacji. Sprawdź ustawienia serwera proxy i upewnij się, że połączenia z adresami URL wymaganymi przez synchronizację haseł są dozwolone w Twojej sieci.

Po zainstalowaniu nowych serwerów na istniejących serwerach wyświetlają się błędy autoryzacji

Gdy używasz trzyetapowej autoryzacji OAuth do uwierzytelniania domeny Google, obowiązuje limit tokenów dla każdego konta użytkownika klienta. Jeśli limit ten zostanie przekroczony, utworzenie nowego tokena automatycznie unieważnia najstarszy istniejący token. Dzieje się to bez ostrzeżenia. Szczegółowe informacje znajdziesz w sekcji „Wygaśnięcie tokena odświeżania” w tym artykule.

Aby uniknąć przekraczania limitów liczby tokenów, zamiast trzyetapowej autoryzacji OAuth korzystaj z konta usługi. Szczegółowe informacje znajdziesz w artykule Wybieranie metody uwierzytelniania.


Google, Google Workspace i znaki pokrewne są znakami towarowymi Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.