Probleme mit Directory Sync beheben

In diesem Artikel wird erläutert, wie Sie Probleme beim Einrichten und Ausführen einer Synchronisierung mit Directory Sync beheben können.

Einrichten

Fehler beim Speichern der Verzeichniseinstellungen, wenn das externe Verzeichnis hinzugefügt wird

  • Die Data Connectors API muss im Projekt aktiviert sein. Weitere Informationen finden Sie unter Data Connectors API aktivieren.
  • Wenn eine Regel für VPC-SC-Perimeter (Virtual Private Cloud Service Controls) konfiguriert ist und in der Google Cloud Console entsprechende PERMISSION_DENIED-Fehler im Zusammenhang mit storage.googleapis.com auftreten, müssen Sie für Ihr Projekt den Zugriff auf die Cloud Storage API zulassen. Wenn Sie auch entsprechende Fehler für artifactregistry.googleapis.com sehen, fügen Sie die folgende Regel für ausgehenden Traffic hinzu, damit Directory Sync-Ressourcen Ihr externes Verzeichnis erreichen können: 
    egress To:
_ serviceName : artifactregistry.googleapis.com
 methodSelectors :
  - method: artifactregistry.googleapis.com/DockerRead
Resources
- projects/397958601689
egressFrom:
 identityType: ANY_IDENTITY

Weitere Informationen zum Bearbeiten von Dienstperimeterregeln finden Sie unter Details und Bestätigung von Dienstperimetern.

Verzeichniseinstellungen konnten nicht gespeichert werden, weil die Domain bereits verwendet wird

Es können nicht mehrere Directory Sync-Verbindungen auf dieselbe Domain verweisen. Bei der Verzeichnissynchronisierung werden Basis-DNs (Distinguished Name) verglichen. Wenn die Domains übereinstimmen, schlägt das Erstellen des Verzeichnisses fehl.

Um das Problem zu beheben, löschen Sie die Verbindung mit dem entsprechenden DN, bevor Sie eine neue Verbindung mit derselben Domain erstellen.

Fehler: Directory Sync kann keine Verbindung zu Ihrem Active Directory-Server herstellen

Wenn Sie diesen Fehler in den Ereignisdaten im Administratorprotokoll sehen, prüfen Sie Folgendes:

  • Der Microsoft Active Directory-Server (AD) ist eingerichtet und funktioniert.
  • Ihr Netzwerk und Ihre Firewalls sind so eingerichtet, dass eingehender Traffic am LDAP-Port zugelassen wird.
  • Sie haben die Anmeldedaten für das autorisierte Konto richtig eingegeben. Dabei haben Sie das Format Nutzername@beispiel.de oder BEISPIEL\Nutzername verwendet.

Wenn der Fehler weiterhin auftritt, fügen Sie die DNS-Serverdetails (Domain Name System) hinzu, um den AD-Hostnamen aufzulösen. Weitere Informationen finden Sie unter Externes Verzeichnis hinzufügen.

Eine virtuelle Linux-Maschine (VM) und der VPC-Zugriffs-Connector (Virtual Private Cloud) können im selben Subnetz erstellt werden. Versuchen Sie, über Telnet eine Verbindung zur IP-Adresse des AD-Servers auf Port 636 herzustellen. Wenn Telnet fehlschlägt, überprüfen Sie die Netzwerkeinstellungen des AD-Servers, z. B. ob Port 636 offen und verfügbar ist.

Wenn die Telnet-Verbindung hergestellt werden kann, geben Sie auf der Linux-VM den folgenden Befehl ein, um zu prüfen, ob der AD-Server das richtige Zertifikat verwendet:

openssl s_client -showcerts -connect external server IP address:636

Fehler: Beim Verbindungsaufbau zum Server ist ein Fehler aufgetreten

In den Ereignisdaten im Administratorprotokoll können Sie zwei Versionen dieses Fehlers erhalten.

Fehler 1: Beim Versuch, innerhalb des konfigurierten Zeitlimits von 10.000 Millisekunden eine Verbindung zum Server (Server-IP) herzustellen, ist ein Fehler aufgetreten.

Dieser Fehler gibt an, dass Directory Sync keine Verbindung zum AD-Server (Active Directory) herstellen konnte. Prüfen Sie zur Fehlerbehebung, ob AD richtig eingerichtet ist. Weitere Informationen finden Sie unter AD-Verzeichnis hinzufügen.

Fehler 2: Beim Versuch, eine Verbindung zum Server (Server-IP) herzustellen, ist ein Fehler aufgetreten: (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)

Dieser Fehler gibt an, dass das AD-TLS-Zertifikat nicht mit dem Zertifikat übereinstimmt, das Sie beim Konfigurieren der Verbindung mit dem externen Verzeichnis angehängt haben. Prüfen Sie zur Fehlerbehebung, ob die Zertifikate übereinstimmen. Weitere Informationen finden Sie unter AD-Verzeichnis hinzufügen.

Wenn Sie das AD-TLS-Zertifikat lokal speichern möchten, geben Sie das folgende Script in Microsoft PowerShell ein und ersetzen Sie localhost durch den DNS-Eintrag oder die IP-Adresse Ihres AD-Servers:

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

Verbindung zu Azure Active Directory kann nicht getestet werden

Wenn Sie die Verbindung zwischen Google und Microsoft Azure Active Directory nicht testen können, suchen Sie in den Ereignissen im Administratorprotokoll nach Informationen zur Fehlerbehebung. Weitere Informationen finden Sie im Hilfeartikel Administrator-Protokollereignisse.

Synchronisierungsprobleme

Fehler: Der Nutzer konnte nicht erstellt werden

In den Directory Sync-Protokollereignissen wird möglicherweise der folgende Fehler angezeigt: „Der Nutzer konnte nicht erstellt werden. Nachricht: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT."

Dieser Fehler weist auf ein Problem mit der Nutzerlizenzierung hin. Wenn Sie die Anzahl der in Google Workspace verfügbaren Lizenzen überschreiten oder keine Lizenzen zum Zuweisen verfügbar sind, schlägt die Nutzererstellung fehl und Sie erhalten diese Fehlermeldung.

Erhöhen Sie zur Fehlerbehebung die Anzahl der für Ihre Nutzer verfügbaren Lizenzen. Weitere Informationen

Fehler: Result – referral (Ergebnis – Verweis)

Wenn Sie eine Fehlermeldung erhalten, die mit Result – referral (Ergebnis – Verweis) beginnt, prüfen Sie, ob der Basis-DN, den Sie bei der Einrichtung der Synchronisierung eingegeben haben, korrekt ist.

Wenn Sie den Port 3269 für den globalen Katalog verwenden, ändern Sie ihn zu 636.

Fehler bei der Nutzersynchronisierung mit der Meldung „Nicht für den Zugriff auf diese Ressource/API autorisiert“

In den Directory Sync-Protokollereignissen werden möglicherweise Synchronisierungsfehler mit dieser Beschreibung angezeigt. Der Fehler tritt normalerweise auf, wenn das Nutzerkonto inaktiv ist oder die E‑Mail-ID in AD eine falsche Domain enthält. Anhand der Tabellen können Sie das Problem in Ihren Logs beheben.

Probleme mit Logeinträgen für inaktive Nutzer beheben

Logereignis und Beschreibung Schritte zur Fehlerbehebung

Ereignis: Objekte lesen

Beschreibung: Nutzer username mit Attributen ... lesen; suspended: true		 Die Meldung suspended: true bedeutet, dass der Nutzer in Ihrem externen Verzeichnis inaktiv ist. Rufen Sie Ihr externes Verzeichnis auf und prüfen Sie, ob der Nutzer aktiv ist.

Ereignis: Objekt aktualisiert

Beschreibung: Aktualisierter Nutzer username. Alte Attribute: { suspended: false; }, neue Attribute: { suspended: true; }		 Sie erhalten diese Meldung, wenn Sie die Einstellung „Nutzer im Google-Verzeichnis sperren“ aktiviert haben und der Nutzer bereits in Ihrem Google-Konto vorhanden ist.

Prüfen Sie Ihr externes Verzeichnis, um sicherzustellen, dass der Nutzer aktiv ist, oder aktualisieren Sie Ihre Regeln zum Aufheben der Bereitstellung. Weitere Informationen zur Deaktivierung finden Sie im Hilfeartikel Nutzer sperren, die nicht im externen Verzeichnis gefunden werden.

Fehlerbehebung bei Logeinträgen zu ungültigen E-Mail-Adressen und falschen Domains

Logereignis und Beschreibung Schritte zur Fehlerbehebung
Ereignis: Synchronisierungsfehler – einzelnes Objekt

Beschreibung: Der Nutzer username konnte nicht erstellt werden

 Richten Sie die Verzeichnissynchronisierung ein, um den Domainnamen für Nutzer zu ersetzen. Weitere Informationen finden Sie unter Domainnamen für synchronisierte Nutzer ersetzen.

Alternativ können Sie in beiden Konten dieselbe Domain verwenden.
Ereignis: Objekt übersprungen – unerwarteter Fehler

Beschreibung: Die Synchronisierung des Nutzers wurde übersprungen. Aktualisierung für username fehlgeschlagen

 Richten Sie die Verzeichnissynchronisierung ein, um den Domainnamen für Nutzer zu ersetzen. Weitere Informationen finden Sie unter Domainnamen für synchronisierte Nutzer ersetzen.

Alternativ können Sie in beiden Konten dieselbe Domain verwenden.
Ereignis: Synchronisierungsfehler

Beschreibung: Nutzer wird übersprungen: Die E-Mail-Adresse des Nutzers kann nicht aus dem Remote-Verzeichnis geparst werden.

 Der Nutzer hat eine ungültige E‑Mail-Adresse. Korrigieren Sie die E‑Mail-Adresse im externen Verzeichnis.
Ereignis: Synchronisierungsfehler

Beschreibung: Nutzer username wird übersprungen, da der Pfad zur Organisationseinheit im Attribut „department“ nicht festgelegt ist.

 Wenn Sie den Ersatz des E-Mail-Domainnamens aktiviert haben, prüfen Sie die Nutzerattribute im externen Verzeichnis. Achten Sie darauf, dass das Attribut, mit dem Sie Nutzer in einer Organisationseinheit platzieren, einen Wert hat.

Wenn der Ersatz des E-Mail-Domainnamens nicht aktiviert ist, müssen Sie im externen Verzeichnis eine gültige E-Mail-Adresse für den Nutzer verwenden.

Protokollereignisse für Directory Sync prüfen

Nutzer und Gruppen werden nicht synchronisiert

Sie müssen Super Admin oder Administrator für Directory Sync sein oder die Berechtigung Directory Sync-Einstellungen verwalten haben, um diese Schritte ausführen zu können.

Wenn Nutzer und Gruppen nicht synchronisiert werden:

  1. Klicken Sie in der Admin-Konsole (unter admin.google.com) auf Verzeichnissynchronisierung Externe Verzeichnisse.
  2. Prüfen Sie den Synchronisierungsstatus des Verzeichnisses.
  3. Wenn die Synchronisierung inaktiv oder nicht erfolgreich ist, aktivieren Sie sie.

    Weitere Informationen finden Sie unter Synchronisierung ausführen.

Wenn die Gruppe „Microsoft Domain Users“ nicht synchronisiert wird:

Die Gruppe „Microsoft Domain Users“ wird von Directory Sync nicht unterstützt. Weitere Informationen

  1. Erstellen Sie in Active Directory eine neue Gruppe, die alle relevanten Mitglieder und Berechtigungen der Gruppe „Microsoft Domain Users“ enthält.
  2. Fügen Sie diese Gruppe als Mitglied der Gruppe „Microsoft Domain Users“ hinzu.
  3. Verwalten Sie Mitglieder und die Synchronisierung mit der neuen Gruppe.

Hinweis : Ändern Sie die Attribute der Gruppe „Microsoft Domain Users“ nicht, da dies zu anderem unerwartetem Verhalten führen kann.

Nutzerstatus „Vom Administrator gesperrt“

Weitere Informationen zur Fehlerbehebung finden Sie in den Directory Sync-Protokollereignissen:

  1. Öffnen Sie die Directory Sync-Protokollereignisse.

    Weitere Informationen finden Sie unter Auf Directory Sync-Protokollereignisdaten zugreifen.

  2. Klicken Sie auf Filter hinzufügen Zielobjekt-ID.
  3. Geben Sie die E‑Mail-Adresse des Nutzers ein und klicken Sie auf Übernehmen.
  4. Wenn Sie eines der folgenden Ereignisse erhalten:
    • Ereignis Objekt aktualisiert mit der Beschreibung Neue Attribute {suspended: true}; Directory Sync hat den Nutzer gesperrt, weil sein Konto nicht in AD aktiv ist.
    • Ereignis Aufheben der Bereitstellung des Objekts: Prüfen Sie, ob der Nutzer in AD gelöscht oder in einen anderen Pfad verschoben wurde, der nicht unter den LDAP-Suchbereich fällt.

Einige Nutzer fehlen bei der Synchronisierung

Ermitteln Sie, welche Nutzer fehlen, und achten Sie darauf, dass der betreffende Nutzer

  • In Ihrem externen Verzeichnis nicht deaktiviert ist
  • ein direktes Mitglied der Gruppe ist, die Sie bei der Einrichtung der Nutzersynchronisierung angegeben haben
  • Der Nutzer ist ein Nutzerobjekt und kein Kontakt in Ihrem externen Verzeichnis.
  • Der Nutzer hat eine E‑Mail-ID, die in Ihrem externen Verzeichnis vorhanden ist, und die Domain in der E‑Mail-ID stimmt mit der Domain in Google Workspace überein.

Weitere Informationen zur Fehlerbehebung finden Sie in den Directory Sync-Protokollereignissen:

  1. Öffnen Sie die Directory Sync-Protokollereignisse.

    Weitere Informationen finden Sie unter Auf Directory Sync-Protokollereignisdaten zugreifen.

  2. Klicken Sie auf Filter hinzufügen Quellobjekt-ID.
  3. Fügen Sie den DN des Nutzers hinzu und klicken Sie auf Übernehmen.
  4. Suchen Sie alle Synchronisierungsfehler-Ereignisse und prüfen Sie die Fehler.
  5. Suchen Sie nach Ereignissen vom Typ Leseobjekt mit dem DN des Nutzers.
  6. Wenn keine Objekt gelesen-Ereignisse gefunden werden, wurde der Nutzer nicht durch Directory Sync synchronisiert. Häufige Gründe:
    • Die Nutzermitgliedschaft fällt nicht in den LDAP-Suchumfang (der Nutzer befindet sich nicht im oder unter dem Basis-DN der Gruppe, die Sie bei der Einrichtung der Nutzersynchronisierung angegeben haben).
    • Directory Sync kommuniziert mit einem anderen Domaincontroller und eine inkrementelle Synchronisierung erfasst nicht alle Änderungen. Prüfen Sie, ob der Hostname und die IP-Adresse auf denselben Domaincontroller verweisen.

Einige Nutzer werden nicht als Gruppenmitglieder synchronisiert

Prüfen Sie, ob Folgendes auf das Gruppenmitglied zutrifft:

  • Der Wert des E‑Mail-Attributs ist festgelegt und die E‑Mail-ID hat ein gültiges Format.
  • Befindet sich nicht im Basis-DN der Gruppe oder unter ihm


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.