שימוש ביומנים לפתרון בעיות

מדי פעם, יכול להיות שיופיעו ביומני Password Sync שורות שנראות כמו שגיאות. בדרך כלל, השגיאות האלה לא מעידות על בעיה בסנכרון או בהגדרה. כדי לפתור את הבעיה, אפשר להיעזר במידע שבהמשך.

התנסות בכלי לניתוח רשומות של יומנים

שולחים את יומני המעקב אל הכלי לניתוח רשומות של יומנים בארגז הכלים של Google Admin. ברוב המקרים, אפשר לזהות את הבעיות תוך כמה רגעים אחרי השליחה.

כאן מוסבר איפה נמצאים קובצי יומן המעקב.

יומנים של סנכרון סיסמאות

איפה נמצאים היומנים של קובצי המעקב?

אפשר למצוא את יומני המעקב של Password Sync במחשב במיקום הבא: C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Google Apps Password Sync\Tracing\password_sync_service

כדי לראות דוגמה של קובץ יומן מעקב, אפשר לעבור אל בדיקת היומנים שבהמשך.

איפה נמצאים קובצי היומן והתצורה האחרים?

אתם יכולים להשתמש בכלי התמיכה של Password Sync (כלי קוד פתוח של Google) כדי לאסוף יומנים של Password Sync ומידע לפתרון בעיות מכל בקרי הדומיין שלכם.

חיפוש קובצי תצורה ויומנים

קובץ הגדרות

מיקום הקובץ:
C:\ProgramData\Google\Google Apps Password Sync\config.xml
מה עושים עם הקובץ:
כדאי לבדוק את הקובץ הזה כדי לראות את ההגדרות.

יומני שירות

מיקום הקובץ:
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Google Apps Password Sync\Tracing\password_sync_service
מה עושים עם הקובץ:
כדאי לבדוק את הקבצים האלה אם הגדרתם את סנכרון הסיסמאות בהצלחה, אבל הסיסמאות של חלק מהמשתמשים או של כולם לא מסתנכרנות.

כדי לראות דוגמה של קובץ יומן מעקב, אפשר לעבור אל בדיקת היומנים שבהמשך.

יומני הרשאות שירות

מיקום הקובץ:
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Identity
מה עושים עם הקובץ:
כדאי לבדוק את הקבצים האלה אם מופיעות שגיאות מסוג 'האימות נכשל' עם קודי השגיאה 0x6,‏ 0x203,‏ 0x4 או 0x102 ביומני השירות של Password Sync.

כדי לראות דוגמה של קובץ יומן הרשאות, אפשר לעבור אל בדיקת היומנים בהמשך.

יומנים של ממשק ההגדרה

מיקום הקובץ:
C:\Users\your-user-name\AppData\Local\Google\Google Apps Password Sync\Tracing\Password Sync

C:\Users\your-user-name\AppData\Local\Google\Google Apps Password Sync\Tracing\GoogleAppsPasswordSync (אם אתם משתמשים בגרסה 1.6 או בגרסאות קודמות)
מה עושים עם הקובץ:
אם נתקלים בבעיות במהלך ההגדרה, כדאי לבדוק את הקבצים האלה.

כדי לראות דוגמה של קובץ יומן מעקב, אפשר לעבור אל בדיקת היומנים שבהמשך.

יומני הרשאות של ממשק ההגדרה

מיקום הקובץ:
C:\Users\your-user-name\AppData\Local\Google\Identity
מה עושים עם הקובץ:
אם נתקלתם בבעיות במהלך ההרשאה של Google בהגדרות, כדאי לבדוק את הקבצים האלה.

יומני DLL

מיקום הקובץ:
C:\Windows\System32\config\systemprofile\AppData\Local\Google\Google Apps Password Sync\Tracing\lsass
מה עושים עם הקובץ:
אם ביומני השירות לא מופיעות אינדיקציות לניסיונות שינוי סיסמה (לא הצלחה ולא דיווחים על בעיות), כדאי לבדוק את הקבצים האלה.

יומנים של מנהל ההתקנה בשורת הפקודה

מיקום הקובץ:
C:\Users\your-user-name\AppData\Local\Google\Google Apps Password Sync\Tracing\MsiExec
מה עושים עם הקובץ:
אם נתקלתם בבעיות במהלך התקנה של Password Sync משורת הפקודה, כדאי לבדוק את יומני ההתקנה ואת הקובץ msi_log.txt (או את שם הקובץ שצוין לפרמטר /l&ast;vx).

יומנים של דוחות קריסה

מיקום הקובץ:
אם הכלי להגדרת ממשק המשתמש של סנכרון הסיסמאות קורס, אפשר למצוא את היומנים כאן:
C:\Users\your-user-name\AppData\Local\Temp

אם שירות Password Sync קורס, אפשר למצוא את היומנים כאן: C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp
מה עושים עם הקובץ:
אם האדמין שינה את ספריית ברירת המחדל הזמנית, אפשר לקבל את המידע הזה לפי ההוראות במאמר איך מזהים את הספרייה הזמנית.

איך מזהים את הספרייה הזמנית

אם אשף ההגדרה של Password Sync קורס:

פותחים את שורת הפקודה (CMD).
מזינים: echo %TEMP%

אם שירות סנכרון הסיסמאות קורס:

מורידים את קובץ התוכנה PsExec מהמאמר הזה של מיקרוסופט.
פותחים את שורת הפקודה (CMD).
עוברים לספרייה שאליה הורד קובץ PsExec.
מזינים: psexec.exe -i -s %SystemRoot%\system32\cmd.exe
ייפתח חלון פקודות חדש. מציינים את הפקודה: whoami.
אמורה להופיע הודעה כמו nt authority\system.
מזינים את הפקודה echo %TEMP%

בדיקת היומנים

אם יש שגיאות ברשת (לדוגמה, פסק זמן ברשת, החיבור נדחה וכו') או בעיות ב-SSL/TLS (לדוגמה, בעיה בחיבור מאובטח), ביומני הרישום מופיעה כתובת ה-IP שהכלי ניסה להתחבר אליה. אם יש בעיה בחיבור המאובטח, ביומנים מופיעה הסיבה (לדוגמה, חוסר התאמה של שם האישור, תוקף האישור פג, בדיקת ה-CRL נכשלה וכו') ופרטי האישור (לדוגמה, אישור של Google או שרת proxy לבדיקת HTTPS). השינוי הזה אמור להפחית באופן משמעותי את הצורך בהשגת נתוני רשת לפתרון בעיות, והוא חל גם על היומנים הראשיים (Trace-*.log) וגם על יומני ההרשאות (בתיקייה Identity).

דוגמה ליומן הרשאות

[2022-09-21T03:59:46:ERROR:windows_http.cc(331)] TLS connection failure. See details below. [Status: 0x00010000. Status Info: 0x00000001]

  [2022-09-21T03:59:46:ERROR:windows_http.cc(340)] Certificate details:

  ---Validity--

  Valid from: 2017-09-13 17:23:55 UTC

  Valid until: 2017-12-06 17:10:00 UTC

  ---Subject---

  US

  California

  Mountain View

  Google Inc

  *.googleapis.com

  ---Issuer----

  US

  Google Inc

  Google Internet Authority G2

  -------------

  [2022-09-21T03:59:46:ERROR:windows_http.cc(282)] WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED: Certification revocation checking has been enabled, but the revocation check failed to verify whether a certificate has been revoked. The server used to check for revocation might be unreachable.

  [2022-09-21T03:59:46:ERROR:windows_http.cc(197)] Error from API WinHttpSendRequest with WinHTTP proxy. Will try direct (without proxy). Code: 0x00002f8f

  [2022-09-21T03:59:46:ERROR:windows_http.cc(107)] Network connection destination details: 216.58.194.170:443 (sfo07s13-in-f170.1e100.net)

במקרה הזה, השנה בתאריך הנוכחי של המחשב שונתה ל-2022, ולכן נראה שהאישור לא בתוקף. אפשר לראות את התאריך הנוכחי בתחילת כל שורה ביומן, והתאריכים Valid from ו-Valid until של האישור לא תואמים לתאריך הנוכחי. דגל השגיאה WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED מציין שהבדיקה של ביטול האישור נכשלה.

אפשר גם לראות את כתובת ה-IP של היעד ואת שם המארח שנפתר אחרי 'Network connection destination details' בשורה האחרונה ביומן. זהו 1e100.net address, כלומר הוא שייך ל-Google.

דוגמה ליומן מעקב

הערה: דוגמת היומן הזו היא מ-GWMMO. רשומות דומות ביומן המעקב יופיעו גם ב-GWMME, ב-Password Sync או ב-GWSMO אם יהיו בעיות ברשת או ב-TLS במוצרים האלה.

2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2025 ()> Secure connection failure. Status: 0x00010000. Info 0x00000009 2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2030 ()> Failure details: WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED: Certification revocation checking has been enabled, but the revocation check failed to verify whether a certificate has been revoked. The server used to check for revocation might be unreachable. WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA: The function is unfamiliar with the Certificate Authority that generated the server's certificate. Certificate details: ---Validity-- Valid from: 2016-09-20T04:08:45.000Z Valid until: 2022-09-20T04:08:45.000Z ---Subject--- Created by http://www.fiddler2.com DO_NOT_TRUST *.google.com ---Issuer---- Created by http://www.fiddler2.com DO_NOT_TRUST DO_NOT_TRUST_FiddlerRoot ------------- 2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2071 ()> Error result 5, hr = 0x80072f8f. Setting event 0000000000001638. 2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2076 ()> Network connection destination details: 127.0.0.1:8888 (COMPUTERNAME)

במקרה הזה, Fiddler הותקן והוגדר לבצע פענוח של HTTPS (כלומר, הוא משתמש באישור משלו), אבל האישור שלו הוסר מרשימת האישורים המהימנים של Windows, ולכן הוא לא מהימן. שימו לב: מכיוון ש-Fiddler הוא שרת proxy, הוא התחבר ל-127.0.0.1 ולא ל-Google. דגלי השגיאה כוללים את WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA, שמשמעותו היא שהמערכת לא בוטחת ברשות האישורים (CA). שימו לב ש-Google לא הנפיקה את האישור הזה.

שגיאות ביומן

שגיאות בחלק העליון של היומנים שקשורות ל-Outlook

אם אתם משתמשים בגרסה ישנה יותר של Password Sync, יכול להיות שיוצגו שגיאות שקשורות ל-Microsoft Outlook בתחילת קובצי היומן. השגיאות האלה לא משפיעות על סנכרון הסיסמאות, ולכן אפשר להתעלם מהן. דוגמה ליומן של סנכרון סיסמאות עם שגיאות ב-Outlook:

2022-04-12T09:00:00.563+03:00 14cc E:Generic password_sync_service!GetOutlookExePath @ 24 ()> Failed with 0x80070002, last successful line = 17.
2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!GetOutlookVersion @ 255 ()> Failed with 0x80070002, last successful line = 247.
2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!GetOfficeRegistryBase @ 362 ()> Failed with 0x80070002, last successful line = 360.
2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!ResourceStrings::GetOutlookLanguage @ 124 ()> Failed with 0x80070002, last successful line = 111.

רכיב הרישום ביומן של סנכרון הסיסמאות מנסה למצוא את גרסת Outlook כדי לדווח עליה ביומנים. מכיוון שסנכרון הסיסמאות לא דורש את Outlook, אפשר להתעלם מהשגיאות האלה.

אזהרות ושגיאות של WinHTTP ביומני השירות

חלק מהשגיאות והאזהרות שקשורות ל-WinHTTP (הרכיב של Microsoft Windows ש-Password Sync משתמש בו כדי להתחבר ל-Google) הן שגיאות לא מזיקות, למשל:

2022-08-06T03:30:46.590-07:00 8d4 W:Network password_sync_service!LogPotentialProxyNetworkFailure @ 287 (user@example.com)> WinHttpGetProxyForUrl auto-detect failed with 0x80072f94. 0/(null). IsNetworkActive is 1, flags 1, IsNetworkActive GetLastError 0x80004005
2022-08-06T03:30:47.371-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::RetrieveUser @ 210 (user@example.com)> retrieved user......
2022-08-06T03:30:47.374-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::RetrieveUser @ 257 (user@example.com)> Successfully retrieved user
2022-08-06T03:30:47.374-07:00 8d4 A:PasswordSync password_sync_service!AppsLogin::AppsLogin @ 32 (user@example.com)> Created Apps login
2022-08-06T03:30:48.113-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::UpdateUser @ 181 (user@example.com)> Successfully updated password
2022-08-06T03:30:48.113-07:00 8d4 W:Network password_sync_service!WinHttp::WaitForAsyncEvent @ 2088 (user@example.com)> Handle closed while waiting for CloseAllTrackedWinhttpHandles.
2022-08-06T03:30:48.113-07:00 8d4 E:Network password_sync_service!WinHttp::WaitForAsyncEvent @ 2089 (user@example.com)> Failed with 0x80072ef3, last successful line = 2062.
2022-08-06T03:30:48.113-07:00 8d4 E:Network password_sync_service!WinHttp::CloseAllTrackedWinhttpHandles @ 1766 (user@example.com)> Failed waiting for handle close, retry 0, hr = 80072ef3, 1 handles remaining

השגיאות והאזהרות מצביעות על כך שחלק מהפעולות לא הושלמו כפי שמצופה מ-Password Sync. אבל בדוחות מופיעה השגיאה Successfully updated password. זה אומר שאפשר להתעלם מהשגיאות והאזהרות שקשורות לרשת, כי הסיסמה סונכרנה בצורה תקינה.

קריאת חלק מהנתונים מ-Active Directory ביומני השירות נכשלה

יכול להיות שתקבלו שגיאות כמו אלה ביומנים:

2022-04-25T14:24:54.052+03:00 fd0 A:PasswordSync password_sync_service!PasswordSyncService::RunSyncService @ 309 ()> Updating password for "COMP$"

2022-04-25T14:24:54.130+03:00 93c E:PasswordSync password_sync_service!LDAPConnector::QueryForTargetEmail @ 86 ()> Failed with 0x80005010, last successful line = 83.

2022-04-25T14:24:54.130+03:00 93c E:PasswordSync password_sync_service!PasswordSyncTask::DoWork @ 77 ()> Error while retrieving target email for COMP$

הישות שהסיסמה שלה מתעדכנת מסתיימת בסימן דולר ($). זה מציין שמדובר בחשבון מחשב ב-Active Directory. מכיוון שלחשבונות מחשב אין כתובות אימייל, Password Sync לא הצליח לאחזר את כתובת האימייל ולכן לא סנכרן את הסיסמה. זה צפוי כי Windows מגדיר אוטומטית את הסיסמאות של חשבונות המחשב, ואין צורך לסנכרן אותן עם חשבון Google.

שגיאות בטעינת נתונים ביומנים של ממשק ההגדרות

כשמריצים את ממשק ההגדרות של Password Sync בפעם הראשונה, יכול להיות שהשגיאות האלה (שמסומנות בתווית E:) יופיעו ביומנים של ממשק ההגדרות של Password Sync:

2022-02-13T16:07:05.374+00:00 13e0 A:PasswordSync PasswordSync!PasswordSyncConfig::InitSyncConfig @ 334 ()> Loading config from C:\ProgramData\\Google\Google Apps Password Sync\config.xml
2022-02-13T16:07:05.374+00:00 13e0 E:PasswordSync PasswordSync!SyncConfig::Load @ 40 ()> Failed with 0x80070002, last successful line = 37.

זה צפוי כי זו הפעם הראשונה שאתם מפעילים את ממשק ההגדרה, ולא קיימת הגדרה. עם זאת, אם השגיאה הזו מופיעה ביומני השירות, יכול להיות שהפעלתם תאימות של אפליקציות ל-Password Sync. חשוב לוודא שההגדרה מושבתת לפני שמנסים להגדיר שוב את סנכרון הסיסמאות.

רשומות נפוצות ביומן האירועים של Windows שנוצרות על ידי Password Sync

‫Password Sync מוסיף רשומות ביומן האירועים של Windows לגבי אירועים מרכזיים. אפשר למצוא אותם בקטע Event Viewer Applications and Services Logs Google. לכל האירועים יש את המקור GoogleAppsPasswordSync. ההודעות האלה נכתבות גם לקובצי היומן של Password Sync.

הערה: רשומות ביומן האירועים של Windows הן אינפורמטיביות כדי לאפשר מעקב קל. מידע מלא על פתרון בעיות זמין במאמר פתרון בעיות בסנכרון סיסמאות.

אם סנכרון הסיסמאות נכשל כי הוא לא עומד בהנחיות למתן שם למשתמש או לקבוצה או בהנחיות לסיסמאות:

Event ID: 258
Severity: Warning
Category: LSASS
Contents: An attempt to change the password for user "USERNAME" was made. However, the new password contains unsupported characters. The password can not be updated on the Google Account, and will be out of sync with Active Directory.

אם שירות סנכרון הסיסמאות מושבת בזמן שהמשתמשים מנסים לשנות את הסיסמה שלהם:

Event ID: 259
Severity: Error
Category: LSASS
Contents: An error occurred while trying to communicate with the Password Sync Service; the password update request for account "USERNAME" could not be processed.

Status = 0 (0x00000000).

Please make sure the service is running.

אם מתרחשת שגיאה במהלך גיבוב הסיסמה של משתמש:

Event ID: 260
Severity: Error
Category: LSASS
Contents: An error occurred while hashing the password for account "USERNAME".

Status = 0 (0x00000000).

אם משתמש מגדיר סיסמה ארוכה מ-200 תווים, היא נחתכת. הסיסמה שהוגדרה על ידי המשתמש ב-Active Directory נשארת ללא שינוי, אבל היא לא תהיה מסונכרנת עם חשבון Google:

Event ID: 261
Severity: Warning
Category: LSASS
Contents: Password for account "USERNAME" being trucated to to the first 200 characters.

כשהשירות Password Sync מופעל:

Event ID: 512
Severity: Informational
Category: Service
Contents: Password Sync service starting.

כשהשירות Password Sync מופסק:

Event ID: 513
Severity: Informational
Category: Service
Contents: Password Sync service shut down.

Status = 0 (0x00000000)

כשסיסמת משתמש ב-Active Directory מסונכרנת בהצלחה עם חשבון Google:

Event ID: 514
Severity: Success
Category: Service
Contents: The password change for Active Directory user "USERNAME" was synchronized to Google Account "username@example.com" successfully.

Status = 0 (0x00000000)

אם Password Sync מקבל הודעה על שינוי סיסמה ולא מצליח למצוא את המשתמש המתאים ב-Active Directory:

Event ID: 768
Severity: Error
Category: LDAP Connector
Contents: The account "USERNAME" was not found on Active Directory.

LDAP Connector status = 20498 (0x00005012).

הערה: מידע נוסף זמין בקוד השגיאה 0x00005012.

אם משתמש ב-Active Directory שלא מוגדר לו מאפיין של כתובת אימייל משנה את הסיסמה שלו:

Event ID: 769
Severity: Warning
Category: LDAP Connector
Contents: The account "USERNAME" seems not to have an Email attribute set; its password will not get synchronized to Google.

LDAP Connector status = -2147463152 (0x80005010).

הערה: מידע נוסף זמין במאמר על קוד השגיאה 0x80005010.

אם מתרחשות שגיאות לא צפויות במהלך שאילתת Active Directory:

Event ID: 770
Severity: Error
Category: LDAP Connector
Contents: An unexpected error occurred while querying Active Directory.

LDAP Connector status = -2147467259 (0x80004005).

System Message: Unspecified failure

אם בקשת API לא מצליחה כשמנסים לסנכרן סיסמה:

Event ID: 1024
Severity: Error
Category: Google Connector
Contents: An API call to the Google server returned an unexpected response while updating the password for account "username@example.com" during the 'PasswordSyncTask::PutUser' step; all retries have been exhausted.

Details:
- Host: apps-apis.google.com
- Auth Result = 0 (0x00000000)
- GDataStatus = 7 (0x00000007) GDSTATUS_BAD_REQUEST
- hResult 1 = -2147217401 (0x80041007)
- hResult 2 = 0 (0x00000000)

הערה: יכול להיות שפרטי האירוע יכללו קודי סטטוס ותוצאות שונים, ויכול להיות שיהיה צורך לבדוק את קובצי היומן של Password Sync כדי לזהות במדויק את הסיבה לשגיאה.

‫Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.