Устранение неполадок синхронизации паролей

Если у вас возникли проблемы с настройкой синхронизации паролей, ознакомьтесь с этими решениями распространенных проблем.

Прежде чем начать

Прежде чем приступать к устранению неполадок, убедитесь, что вы соответствуете всем системным требованиям и полностью выполнили все шаги настройки. Подробности см. в разделе «Настройка синхронизации паролей» .

Варианты устранения неполадок

Вариант 1: Автоматическое устранение неполадок

Используйте инструмент поддержки синхронизации паролей (инструмент с открытым исходным кодом от Google), чтобы собрать журналы синхронизации паролей и информацию для устранения неполадок со всех контроллеров домена.

Для выполнения этих шагов необходимо быть администратором домена. Вы можете запустить инструмент с любого компьютера, входящего в домен, но эффективнее использовать контроллер домена, на который влияет проблема, которую вы хотите исследовать. Для получения подробной информации перейдите по ссылке google/password-sync-support-tool .

  1. Загрузите инструмент поддержки синхронизации паролей .
  2. Запустите программу, затем найдите и откройте ZIP-файл на рабочем столе вашего компьютера.
  3. Извлеките журналы трассировки и отправьте их в анализатор журналов Google Admin Toolbox .

Большинство проблем можно выявить в течение нескольких мгновений после отправки.

Служба поддержки Google Workspace не оказывает помощь в использовании инструмента синхронизации паролей.

Вариант 2: Ручная диагностика неисправностей

Если автоматический этап устранения неполадок не решает вашу проблему или если вам не удалось запустить инструмент поддержки синхронизации паролей, вы можете вручную собрать информацию для устранения неполадок. Некоторые шаги в этом процессе требуют выполнения команд консоли.

Шаг 1: Составьте список ваших контроллеров домена.

  1. Убедитесь, что вы являетесь членом группы Domain Admins.

    Подробности см. в разделе «Установка Password Sync завершилась неудачей» (далее на этой странице).

  2. В меню «Пуск» щелкните «Система Windows» . а потом Командная строка .

    В зависимости от вашей системы, вам может потребоваться щелкнуть правой кнопкой мыши по «Командная строка» и выбрать «Дополнительно». а потом Запустить от имени администратора .

  3. Чтобы вывести список контроллеров домена, введите следующую команду:

    nltest /dclist: ваш-рекламный-домен

    Замените your-ad-domain на имя вашего домена Active Directory.

Шаг 2: Проверьте следующее на каждом контроллере домена.

  • Убедитесь, что на сервере установлена ​​правильная версия Password Sync (32-битная или 64-битная) и что вы перезапустили сервер после установки Password Sync.

  • Убедитесь, что ваши сетевые настройки и настройки прокси-сервера заданы правильно.

    Для получения более подробной информации перейдите в раздел «Настройка параметров прокси-сервера для синхронизации паролей» (далее на этой странице).

  • При использовании браузера Microsoft Internet Explorer, версии Microsoft Edge на основе Chromium или Chrome убедитесь, что у вас есть доступ к адресу https://www.googleapis.com/ .

    Ничего страшного, если на этой странице отображается ошибка Google или сообщение " Страница не найдена ". Убедитесь, что на странице нет ошибок сертификата или запросов на аутентификацию через прокси-сервер. Аутентифицированные прокси-серверы не поддерживаются.

  • Чтобы скопировать настройки прокси-сервера текущего пользователя в общесистемные настройки прокси-сервера, введите следующую команду:

    netsh winhttp import proxy ie

  • Если вы не используете прокси-сервер, но сталкиваетесь с проблемами, связанными с прокси, выполните диагностику, введя следующую команду:

    bitsadmin /util /setieproxy networkservice no_proxy

  • Чтобы проверить, зарегистрирована ли DLL-библиотека синхронизации паролей на компьютере, введите следующую команду:

    reg query HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Notification Packages"

    В выходных данных должен содержаться текст password_sync_dll . Если его нет, переустановите Password Sync.

  • Чтобы убедиться в загрузке DLL-библиотеки синхронизации паролей, введите следующую команду:

    tasklist /m password_sync_dll.dll

    В результатах поиска должен отображаться процесс lsass.exe . Если его нет, значит, DLL-файл не загружен. Убедитесь, что DLL-файл зарегистрирован и версия (32-битная или 64-битная) соответствует вашей системе. Затем перезагрузите компьютер, чтобы загрузить DLL-файл.

Шаг 3: Убедитесь, что синхронизация паролей началась.

Чтобы убедиться, что служба синхронизации паролей запущена, введите команду sc query "Password Sync" . Замените Password Sync на G Suite Password Sync для версий 1.6.13–1.7.6 или Google Apps Password Sync для версии 1.6 и более ранних.

Если в результате выполнения запроса отображается следующее:

  • СОСТОЯНИЕ: РАБОТАЕТ — Синхронизация паролей запущена.
  • СОСТОЯНИЕ: ОСТАНОВЛЕНО — Синхронизация паролей не запущена.
  • Указанная служба не существует в списке установленных служб — функция синхронизации паролей не установлена.

Если функция синхронизации паролей не запущена, введите команду sc start "Password Sync" . Замените Password Sync на G Suite Password Sync для версий 1.6.13–1.7.6` или Google Apps Password Sync для версий 1.6 и более ранних.

Если функция синхронизации паролей не установлена, выполните действия, описанные в разделе «Настройка синхронизации паролей» .

Распространенные проблемы синхронизации паролей

Если проблемы сохраняются, ознакомьтесь с этими решениями.

Убедитесь, что синхронизация прошла успешно.

Вы можете использовать инструмент для проведения расследований в сфере безопасности:

  1. В консоли администратора Google выполните поиск по запросу «События журнала администратора».

    Для получения более подробной информации перейдите в раздел «События журнала администратора» .

  2. Добавьте фильтр для поиска событий смены пароля .
  3. Выполните поиск и изучите результаты. Участник, связанный с событием, зависит от того, как вы настроили синхронизацию паролей.
    • Пользовательский интерфейс — В качестве исполнителя выступает адрес электронной почты администратора, который вы ввели.
    • Командная строка — В качестве исполнителя указывается адрес электронной почты, используемый в качестве параметра команды --admin_email .

Функция синхронизации паролей работает только для некоторых пользователей.

Если функция синхронизации паролей не синхронизирует всех пользователей, выполните действия, описанные в разделе «Некоторые пароли пользователей не синхронизируются» .

Администратор Active Directory не имеет прав на установку Password Sync.

Для установки Password Sync необходимо быть членом группы Domain Admins в Active Directory. Членство в группе Administrators не предоставляет достаточных прав доступа.

Для входа в Windows необходимо быть администратором домена в том же домене, что и настраиваемый контроллер домена. Если вы войдете в систему как администратор домена из другого домена (например, как администратор предприятия из другого домена или администратор из доверенного домена), вы не сможете установить или настроить синхронизацию паролей.

Установка программы синхронизации паролей завершилась неудачей.

Убедитесь, что ваша конфигурация:

  • Запуск установщика осуществляется локально (а не по сети).
  • Поддерживает версию Password Sync, соответствующую архитектуре вашего сервера (32-битная или 64-битная).

Не удалось предоставить доступ к синхронизации паролей.

Убедитесь, что вы предоставили приложению контроль доступа к сервисам Google Workspace. Подробности см. в разделе «Контроль доступа сторонних и внутренних приложений к данным Google Workspace» .

Настройте параметры прокси-сервера для синхронизации паролей.

Функция синхронизации паролей поддерживает прокси-подключения, если вы настроите общесистемные параметры прокси на всех контроллерах домена:

  1. Чтобы убедиться в правильности настроек прокси-сервера текущего пользователя, перейдите по адресу https://www.googleapis.com/ в браузере Internet Explorer, версии Edge на основе Chromium или Chrome.

    Если вас перенаправляет на страницу google.com или появляется сообщение "Страница не найдена" , ваши настройки прокси, вероятно, верны. Если же появляется запрос на аутентификацию или ошибка сертификата, ваши настройки прокси могут быть неверными.

  2. Для импорта конфигурации прокси-сервера введите следующую команду:

    netsh winhttp import proxy ie

  3. (Необязательно) Если вы не используете прокси-сервер, но всё ещё сталкиваетесь с проблемами, связанными с прокси, введите следующую команду:

    bitsadmin /util /setieproxy networkservice no_proxy

    Эта команда заставляет Windows игнорировать любые автоматически обнаруженные конфигурации прокси-сервера, которые могут присутствовать в системе.

Примечание :

  • Функция синхронизации паролей поддерживает только неаутентифицированные прокси-серверы. Если ваш прокси-сервер требует аутентификации (Basic, Kerberos или NTLM), вам необходимо настроить его таким образом, чтобы разрешить неаутентифицированные или прямые подключения с ваших контроллеров домена к URL-адресам и портам, указанным в разделе «Настройка контроллеров домена» .
  • Хотя Password Sync поддерживает прокси-подключения, вам может потребоваться включить прямое подключение, чтобы избежать проблем, связанных с прокси-сервером. Поскольку конфигурация прокси зависит от ваших локальных настроек, служба поддержки Google Workspace не сможет помочь вам с проблемами конфигурации. Если у вас возникнут какие-либо проблемы с прокси, обратитесь к сетевому администратору.

Ошибка сети при подключении к Google.

Эта ошибка указывает на то, что Password Sync не смог проверить вашу авторизацию. Проверьте настройки прокси-сервера и убедитесь, что ваша сеть разрешает подключения к URL-адресам, необходимым для Password Sync .

После установки новых серверов на существующих серверах отображаются ошибки авторизации.

При использовании трехэтапной аутентификации OAuth для вашего домена Google существует ограничение на количество токенов на учетную запись пользователя на клиента. Если лимит достигнут, создание токена автоматически аннулирует самый старый токен без предупреждения. Подробности см. в разделе «Обновление срока действия токена» .

Чтобы избежать ограничений на количество токенов, следует использовать учетную запись службы, а не трехэтапную аутентификацию OAuth. Подробности см. в разделе «Выберите метод аутентификации» .


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.