如果您在設定密碼同步時遇到問題,請參考下列常見問題的解決方案。
事前準備
開始排解問題前,請確認你的裝置符合所有系統需求,且已完成所有設定步驟。詳情請參閱「設定 Password Sync」。
疑難排解選項
方法 1:自動疑難排解
您可以使用密碼同步支援工具 (Google 的開放原始碼工具),從所有網域控制器收集密碼同步記錄和疑難排解資訊。
您必須是網域管理員才能完成這些步驟。這項工具可以在任何網域成員的電腦上執行,但是在受問題影響的網域控制器上執行,會更容易找出問題。詳情請參閱 google / password-sync-support-tool。
- 下載 Password Sync 支援工具。
- 執行工具,然後在電腦桌面找出並開啟 ZIP 檔案。
- 擷取追蹤記錄,然後提交至 Google Admin Toolbox Log 分析工具。
大多數情況下,系統很快就能確認問題癥結所在。
Google Workspace 支援團隊不會為密碼同步支援工具提供支援服務。
方法 2:手動疑難排解
如果自動疑難排解步驟無法解決問題,或者您無法執行密碼同步支援工具,請手動收集疑難排解資訊。這項工作的部分步驟必須執行控制台指令。
步驟 1:列出網域控制站
確認您是網域管理員群組的成員。
詳情請參閱本頁下方的「Password Sync 安裝程式失敗」。
在「開始」功能表中,依序點選「Windows 系統」
「命令提示字元」。在某些系統中,您可能需要在「命令提示字元」上按一下滑鼠右鍵,然後依序點選「更多」
「以系統管理員身分執行」。如要列出網域控制器,請輸入下列指令:
nltest /dclist:您的廣告網域
將「您的廣告網域」換成 Active Directory 網域名稱。
步驟 2:在每個網域控制站上確認下列事項
- 請確認伺服器上已安裝適用的 Password Sync 版本 (32 位元或 64 位元),且您已在安裝 Password Sync 後重新啟動伺服器。
確認網路和 Proxy 設定正確無誤。
詳情請參閱本頁下方的「設定 Password Sync 的 Proxy 設定」。
使用 Microsoft Internet Explorer、Chromium 版 Microsoft Edge 或 Chrome 瀏覽器,確認您可以存取 https://www.googleapis.com/。
如果這個網頁顯示 Google 錯誤訊息或「Not Found」(找不到) 字樣,就表示一切正常。另外,也請確認該網頁並未顯示憑證錯誤訊息或任何 Proxy 驗證要求,目前不支援已驗證的 Proxy 伺服器。
如要將目前使用者的 Proxy 設定複製到全系統層級的 Proxy 設定,請輸入下列指令:
netsh winhttp import proxy ie
如果您並未使用 Proxy 伺服器,但遇到 Proxy 相關問題,請輸入下列指令來排解問題:
bitsadmin /util /setieproxy networkservice no_proxy
如要確認電腦上已註冊密碼同步 DLL,請輸入下列指令:
reg query HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Notification Packages"
輸出結果應包含 password_sync_dll 字樣;如果沒有,請重新安裝密碼同步。
如要確認系統已載入 Password Sync DLL,請輸入下列指令:
tasklist /m password_sync_dll.dll
結果中應列出「lsass.exe」lsass.exe程序。如果沒有,表示系統尚未載入該 DLL。請確認已註冊該 DLL,且其版本 (32 位元或 64 位元) 符合系統架構。接著重新啟動電腦,以便載入 DLL。
步驟 3:確認密碼同步功能已啟動
為確認密碼同步服務已啟動,請輸入 sc query "Password Sync" 指令。
如果是 1.6.13 到 1.7.6 版,請將 Password SyncG Suite Password Sync;如果是 1.6 以下版本,請將 Password SyncGoogle Apps Password Sync。
以下是每種查詢輸出結果分別代表的意義:
- STATE: RUNNING:密碼同步功能正在執行。
- STATE: STOPPED:密碼同步功能未執行。
- The specified service does not exist as an installed service:未安裝密碼同步。
如果密碼同步未執行,請輸入 sc start "Password Sync" 指令。
如果是 1.6.13 到 1.7.6 版,請將 Password SyncG Suite Password Sync;如果是 1.6 以下版本,請將 Password SyncGoogle Apps Password Sync。
如果尚未安裝密碼同步,請完成「設定密碼同步」中的步驟。
常見的 Password Sync 問題
如果問題持續發生,請確認下列解決方案。
確認同步處理功能是否正常運作
您可以使用安全調查工具執行下列操作:
- 在 Google 管理控制台中搜尋管理員記錄事件。
詳情請參閱「管理員記錄事件」。
- 新增篩選器,搜尋「Password Change」事件。
- 執行搜尋並查看結果。事件中顯示的執行者會因密碼同步設定方式而異。
- 使用 UI 介面:執行者是您輸入的管理員電子郵件地址。
- 使用指令列:執行者是指令中 --admin_email 參數所用的電子郵件地址。
只有部分使用者可使用 Password Sync
如果 Password Sync 未同步處理所有使用者,請按照「部分使用者的密碼未同步」中的步驟操作。
Active Directory 管理員無權安裝 Password Sync
如要安裝 Password Sync,您必須是 Active Directory 網域管理員群組的成員。管理員群組成員的權限不足以執行這項操作。
您必須根據自己設定的網域控制器所在的網域,以「相應」網域管理員的身分登入 Windows。如果以其他網域的網域管理員身分登入 (例如其他網域的企業管理員,或者信任網域的管理員),將無權安裝或設定密碼同步。
密碼同步安裝程式安裝失敗
確認您的設定符合以下條件:
- 在本機 (而非透過網路) 執行安裝程式
- 密碼同步版本適用於您的伺服器架構 (32 位元或 64 位元)
無法授予密碼同步存取權
確認您已向應用程式授予 Google Workspace 服務的存取權控管權限。詳情請參閱「控管哪些第三方應用程式和內部應用程式可存取 Google Workspace 資料」。
設定 Password Sync 的 Proxy 設定
只要您在所有網域控制器上配置全系統通用的 Proxy 設定,Password Sync 即可支援 Proxy 連線:
- 為確認當前使用者的 Proxy 設定正確無誤,請透過 Internet Explorer、Chromium 版本的 Edge 或 Chrome 瀏覽器前往 https://www.googleapis.com/。
如果系統將您重新導向至 google.com 網頁,或顯示「Not Found」(找不到) 網頁,表示您的 Proxy 設定應該沒有問題。如果系統提示您進行驗證或顯示憑證錯誤訊息,表示您的 Proxy 設定可能有誤。
- 如要匯入 Proxy 設定,請輸入下列指令:
netsh winhttp import proxy ie
- (選用) 如果您並未使用 Proxy 伺服器,但仍遇到 Proxy 相關問題,請輸入以下指令:
bitsadmin /util /setieproxy networkservice no_proxy
這個指令可將 Windows 設為忽略系統中可能出現的任何自動探索 Proxy 設定。
注意:
- 密碼同步僅支援未驗證的 Proxy。如果您的 Proxy 需要驗證 (Basic、Kerberos 或 NTLM),那麼您必須對 Proxy 進行設定,允許從您的網域控制器直接連線至設定網域控制器中指定的網址/連接埠,無須經過驗證。
- 雖然密碼同步支援 Proxy 連線,但您可能仍須啟用直接連線,以確保 Proxy 伺服器不會造成問題。由於 Proxy 設定取決於您的本機設定,因此 Google Workspace 支援團隊無法協助您解決設定問題。如果遇到 Proxy 問題,請與網路管理員聯絡。
現有伺服器會在安裝新伺服器後顯示授權錯誤
當您使用三足式 OAuth 驗證 Google 網域,每個使用者帳戶在每個用戶端可用的權杖數量都有限制。達到上限後,一旦建立新權杖,最舊的權杖就會自動失效,且系統不會發出警告。詳情請參閱「更新權杖到期日」。
如要讓權杖數量不受限制,建議您使用服務帳戶,而不要使用三足式 OAuth。詳情請參閱「選擇驗證方法」。
Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。