Password Sync 问题排查

如果您在设置密码同步时遇到问题,请参阅这些常见问题的解决方案。

准备工作

在开始进行问题排查之前,请确保您满足所有系统要求,并已完整完成设置步骤。有关详情,请参阅设置 Password Sync

问题排查选项

方法 1:自动问题排查

您可以使用密码同步支持工具(Google 推出的一款开源工具)从所有域控制器中收集密码同步日志和问题排查信息。

您必须是网域管理员才能完成这些步骤。您可以在任何网域成员的计算机上运行该工具,但最好使用受到您要调查的问题影响的网域控制器。有关详情,请访问 google / password-sync-support-tool

  1. 下载 Password Sync 支持工具
  2. 运行该工具,然后在计算机桌面上找到并打开 ZIP 文件。
  3. 提取轨迹日志并将其提交到 Google 管理员工具箱日志分析器

大部分问题在提交后很快就能确定。

Google Workspace 支持团队不会为密码同步支持工具提供支持服务。

方法 2:手动问题排查

如果自动问题排查步骤未能解决问题,或者您无法运行密码同步支持工具,您可以手动收集问题排查信息。此任务中的某些步骤需要您运行控制台命令。

第 1 步:列出您的网域控制器

  1. 请确保您是网域管理员群组成员。

    如需了解详情,请参阅Password Sync 安装程序运行失败(本页面下文)。

  2. 在“开始”菜单中,依次点击 Windows 系统 然后命令提示符

    根据您使用的系统,您可能需要右键点击命令提示符,然后点击更多 然后以管理员身份运行

  3. 如需列出您的域控制器,请输入以下命令:

    nltest /dclist:your-ad-domain

    将 your-ad-domain 替换为您的 Active Directory 网域的名称。

第 2 步:在每个域控制器上验证以下内容

  • 请确保正确的 Password Sync 版本(32 位或 64 位)已安装在服务器上,且在安装 Password Sync 后已重启该服务器。

  • 确保采用了正确的网络和代理设置。

    如需了解详情,请参阅为 Password Sync 配置代理设置(本页面下文)。

  • 使用 Microsoft Internet Explorer、基于 Chromium 的 Microsoft Edge 版本或 Chrome 浏览器,确保您可以访问 https://www.googleapis.com/

    如果此页面显示 Google 错误或未找到,这是正常情况。请确保此页面未显示证书错误或任何代理身份验证请求。不支持需要进行身份验证的代理服务器。

  • 如需将当前用户的代理设置复制到系统范围的代理设置中,请输入以下命令:

    netsh winhttp import proxy ie

  • 如果您未使用代理服务器,但遇到代理相关问题,请输入以下命令进行问题排查:

    bitsadmin /util /setieproxy networkservice no_proxy

  • 如需检查是否已在机器上注册了 Password Sync DLL,请输入以下命令:

    reg query HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Notification Packages"

    输出内容中应包含文本 password_sync_dll。如果未显示,请重新安装密码同步功能。

  • 如需验证 Password Sync DLL 是否已加载,请输入以下命令:

    tasklist /m password_sync_dll.dll

    进程 lsass.exe 应列于结果中。否则,说明系统没有加载该 DLL。请确认该 DLL 已注册,且版本(32 位或 64 位)与系统匹配。然后,重启计算机以加载该 DLL。

第 3 步:检查密码同步是否已启动

如需确保密码同步服务已启动,请输入 sc query "Password Sync" 命令。 对于 1.6.13-1.7.6 版本,请将 Password Sync 替换为 G Suite Password Sync;对于 1.6 或更低版本,请将其替换为 Google Apps Password Sync

如果查询输出显示:

  • STATE: RUNNING - 密码同步正在运行。
  • STATE: STOPPED - 密码同步未运行。
  • The specified service does not exist as an installed service - 表示未安装密码同步功能。

如果密码同步未运行,请输入 sc start "Password Sync" 命令。 对于 1.6.13-1.7.6 版本,请将 Password Sync 替换为 G Suite Password Sync;对于 1.6 或更低版本,请将其替换为 Google Apps Password Sync

如果未安装 Password Sync,请完成配置 Password Sync 中的步骤。

常见的 Password Sync 问题

如果问题仍然存在,请查看以下解决方案。

验证同步是否正常运行

您可以使用安全调查工具:

  1. 在 Google 管理控制台中,搜索管理员日志事件。

    有关详情,请参阅管理员日志事件

  2. 添加过滤条件以搜索更改密码事件。
  3. 运行搜索并查看结果。附加到事件中的执行者取决于您设置密码同步的方式。 
    • 界面 - 执行者是您输入的管理员的电子邮件地址。
    • 命令行 - 执行者是用于命令参数 --admin_email 的电子邮件地址。

只有部分用户可以使用 Password Sync

如果 Password Sync 未同步所有用户,请按照部分用户的密码未同步中的步骤操作。

Active Directory 管理员无权安装 Password Sync

如需安装 Password Sync,您必须是 Active Directory 中的网域管理员群组成员。管理员群组成员不具备足够的权限。

您必须根据自己设置的网域控制器所在的网域,以相应网域管理员身份登录到 Windows。如果您以其他网域的网域管理员(例如其他网域的企业管理员或受信任网域的管理员)身份登录,则无权安装或配置密码同步。

密码同步安装程序运行失败

检查您的设置:

  • 在本地(而不是在网络上)运行安装程序
  • 要安装的密码同步的版本适用于您的服务器架构(32 位或 64 位)

无法向密码同步功能授予访问权限

请确保您已向该应用授予 Google Workspace 服务的访问控制权限。有关详情,请参阅控制哪些第三方应用和内部应用可以访问 Google Workspace 数据

为 Password Sync 配置代理设置

Password Sync 支持代理连接,前提是您在自己的所有网域控制器上设置了应用于整个系统的代理设置:

  1. 如需确保当前用户的代理设置准确无误,请使用 Internet Explorer、基于 Chromium 的 Edge 版本或 Chrome 浏览器前往 https://www.googleapis.com/

    如果您被重定向到 google.com 页面,或者看到显示无法找到的页面,则表示您的代理设置有可能是正确的。如果您看到身份验证提示或证书错误,则表示您的代理设置可能不正确。

  2. 如需导入代理配置,请输入以下命令:

    netsh winhttp import proxy ie

  3. (可选)如果您未使用代理服务器,但仍遇到代理相关问题,请输入以下命令:

    bitsadmin /util /setieproxy networkservice no_proxy

    该命令会将 Windows 设置为忽略系统中可能存在的任何自动发现的代理配置。

注意

  • 密码同步仅支持无需进行身份验证的代理。如果您的代理要求进行身份验证(基本型、Kerberos 或 NTLM),则需要对其进行配置,以允许从您的网域控制器以无需身份验证的方式连接到设置网域控制器中指定的网址和端口,或直接连接到这些位置。
  • 尽管密码同步支持代理连接,但您可能仍需启用直接连接,以确保代理服务器不会引起问题。由于代理配置取决于您的本地设置,因此 Google Workspace 支持团队无法协助您处理配置问题。如果您遇到任何代理问题,请与您的网络管理员联系。

连接到 Google 时出现网络连接错误

此错误表示密码同步无法验证您的授权。请检查您的代理设置,并确保您的网络允许连接到密码同步要求的网址

安装新服务器后,现有服务器显示授权错误

当您使用三方模式 OAuth 对 Google 域名进行身份验证时,每个客户端的每个用户账号都有令牌限制。如果您达到此上限,则当您创建新令牌时,最旧的令牌会自动失效,且系统不会显示警告。如需了解详情,请参阅刷新令牌过期

要避免达到令牌数量上限,您应该使用服务账号,而不是三方模式 OAuth。如需了解详情,请参阅选择身份验证方法


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。