A continuación, te explicamos cómo solucionar los problemas que pueden surgir cuando configuras y ejecutas una sincronización con la Sincronización de directorios.
Configurar
Se produjo un error al guardar la configuración del directorio cuando se agregó el directorio externo
- Asegúrate de que la API de Data Connectors esté activada en el proyecto. Para obtener más información, consulta Habilita la API de Data Connectors.
- Si se configuró una regla de perímetro de los Controles del servicio de nube privada virtual (VPC) y la consola de Google Cloud tiene errores PERMISSION_DENIED correspondientes relacionados con storage.googleapis.com, debes permitir el acceso a la API de Cloud Storage para tu proyecto. Si también ves errores correspondientes a artifactregistry.googleapis.com, agrega la siguiente regla de salida para permitir que los recursos de Directory Sync lleguen a tu directorio externo:
egress To: _ serviceName : artifactregistry.googleapis.com methodSelectors : - method: artifactregistry.googleapis.com/DockerRead Resources - projects/397958601689 egressFrom: identityType: ANY_IDENTITY
Para obtener más detalles sobre cómo editar las reglas del perímetro de servicio, consulta Detalles y confirmación del perímetro de servicio.
No se pudo guardar la configuración del directorio porque el dominio ya está en uso
Varias conexiones de Directory Sync no pueden apuntar al mismo dominio. Directory Sync compara los nombres distinguidos (DN) base y, si los dominios coinciden, falla la creación del directorio.
Para resolver el problema, borra la conexión con el DN coincidente antes de crear una nueva con el mismo dominio.
Error: Directory Sync no puede conectarse con tu servidor de Active Directory
Si recibes este error en los datos de eventos del registro de administrador, verifica lo siguiente:
- El servidor de Microsoft Active Directory (AD) está en funcionamiento.
- Tu red y tus firewalls están configurados para permitir el tráfico entrante en el puerto LDAP.
- Ingresaste correctamente las credenciales de la cuenta autorizada con el formato nombre de usuario@ejemplo.com o EJEMPLO\nombre de usuario.
Si el error persiste, agrega los detalles del servidor del sistema de nombres de dominio (DNS) para resolver el nombre de host de AD. Para obtener más información, consulta Cómo agregar un directorio externo.
También puedes crear una máquina virtual (VM) de Linux en la misma subred que el conector de acceso a la nube privada virtual (VPC). Intenta usar Telnet para conectarte a la dirección IP del servidor de AD en el puerto 636. Si falla telnet, verifica la configuración de red del servidor de AD. Por ejemplo, comprueba que el puerto 636 esté abierto y disponible.
Si la conexión telnet se realiza correctamente, para verificar si el servidor de AD usa el certificado correcto, ingresa el siguiente comando en la VM de Linux:
openssl s_client -showcerts -connect external server IP address:636
Error: Se produjo un error al intentar conectarse al servidor
Puedes obtener 2 versiones de este error en los datos de eventos de registro del administrador.
Error 1: Se produjo un error al intentar conectarse al servidor (IP del servidor) dentro del tiempo de espera configurado de 10,000 milisegundos.
Este error indica que Directory Sync no pudo conectarse al servidor de Active Directory (AD). Para solucionar problemas, asegúrate de configurar AD correctamente. Para obtener más información, consulta Cómo agregar un directorio de AD.
Error 2: Se produjo un error al intentar establecer una conexión con el servidor (IP del servidor): (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)
Este error indica que el certificado TLS de AD no coincide con el certificado que adjuntaste cuando configuraste la conexión del directorio externo. Para solucionar el problema, asegúrate de que los certificados coincidan. Para obtener más información, consulta Cómo agregar un directorio de AD.
Para guardar el certificado TLS de AD de forma local, ingresa la siguiente secuencia de comandos en Microsoft PowerShell y reemplaza localhost por el registro DNS o la dirección IP de tu servidor de AD:
$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"No se puede probar la conexión a Azure Active Directory
Si no puedes probar la conexión entre Google y Microsoft Azure Active Directory, consulta los eventos del registro de administrador para obtener información sobre la solución de problemas. Para obtener más información, consulta Eventos de registro de administrador.
Problemas de sincronización
Error al crear el usuario
Es posible que recibas el siguiente error en los eventos de registro de Directory Sync: "No se pudo crear el usuario. Mensaje: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT".
Este error indica un problema de licencias del usuario. Si superas la cantidad de licencias disponibles en Google Workspace o no hay licencias disponibles para asignar, se producirá un error en la creación del usuario y recibirás este mensaje.
Para solucionar el problema, aumenta la cantidad de licencias disponibles para tus usuarios. Para obtener más información, consulta Cómo comprar más licencias de usuario.
Temas relacionados
Resultado: Error de referencia
Si recibes un error que comienza con Result - referral, verifica que el DN base que ingresaste cuando configuraste la sincronización sea correcto.
Si usas el puerto 3269 del catálogo global, cámbialo a 636.
La sincronización de usuarios falla con el mensaje "Not Authorized to access this resource/api"
En los eventos de registro de Directory Sync, es posible que recibas errores de sincronización con esta descripción. Por lo general, el error se produce si la cuenta de usuario está inactiva o si el ID de correo electrónico tiene un dominio incorrecto en AD. Consulta las tablas para solucionar el problema en tus registros.
Soluciona problemas relacionados con las entradas de registro de usuarios inactivos
| Evento y descripción del registro | Pasos para solucionar problemas |
|---|---|
|
Evento: Lectura de objetos Descripción: Read username with attributes …; suspended: true |
Un mensaje suspended: true significa que el usuario está inactivo en tu directorio externo. Ve a tu directorio externo y asegúrate de que el usuario esté activo. |
|
Evento: Object Updated Descripción: Se actualizó el nombre de usuario del usuario. Atributos anteriores { suspended: false; }, atributos nuevos { suspended: true; } |
Recibirás este mensaje si activaste el parámetro de configuración Suspender usuario en el directorio de Google y el usuario ya existe en tu Cuenta de Google.
Revisa tu directorio externo para asegurarte de que el usuario esté activo o actualiza tus reglas de cancelación del aprovisionamiento. Para obtener detalles sobre la cancelación del aprovisionamiento, consulta Suspende a los usuarios que no se encuentran en el directorio externo. |
Soluciona problemas relacionados con entradas de registro de direcciones de correo electrónico no válidas y dominios incorrectos
| Evento y descripción del registro | Pasos para solucionar problemas |
|---|---|
| Evento: Error de sincronización: Objeto individual
Descripción: No se pudo crear el usuario username |
Configura Directory Sync para reemplazar el nombre de dominio de los usuarios. Para obtener más información, consulta Cómo reemplazar el nombre de dominio de los usuarios sincronizados.
Como alternativa, usa el mismo dominio en las cuentas de origen y destino. |
| Evento: Omisión de objeto: Error inesperado
Descripción: Se omitió la sincronización del usuario. No se pudo actualizar el nombre de usuario username |
Configura Directory Sync para reemplazar el nombre de dominio de los usuarios. Para obtener más información, consulta Cómo reemplazar el nombre de dominio de los usuarios sincronizados.
Como alternativa, usa el mismo dominio en las cuentas de origen y destino. |
| Evento: Error de sincronización
Descripción: Se omitió el usuario: No se puede analizar el correo electrónico del usuario desde el directorio remoto |
El usuario tiene una dirección de correo electrónico no válida. Corrige la dirección de correo electrónico en el directorio externo. |
| Evento: Error de sincronización
Descripción: Se omitió al usuario: nombre de usuario porque la ruta de acceso de la unidad organizativa no está configurada en el atributo departamento |
Si activaste el reemplazo del nombre de dominio de correo electrónico, verifica los atributos del usuario en el directorio externo. Asegúrate de que el atributo que usas para colocar a los usuarios en una unidad organizativa tenga un valor.
Si el reemplazo del nombre de dominio del correo electrónico no está activado, asegúrate de usar una dirección de correo electrónico válida para el usuario en el directorio externo. |
Tema relacionado
No se sincronizan los usuarios y los grupos
Para completar estos pasos, debes tener el rol de administrador avanzado o de administrador de Directory Sync, o el privilegio de Administrar la configuración de Directory Sync.
Si no se sincronizan los usuarios y los grupos, haz lo siguiente:
- En la Consola del administrador de Google (en admin.google.com), haz clic en Directory Sync
Directorios externos. - Verifica el estado de sincronización de tu directorio.
- Si la sincronización está inactiva o no se realizó correctamente, actívala.
Para obtener más información, consulta Cómo ejecutar una sincronización.
Si tu grupo de usuarios del dominio de Microsoft no se sincroniza, haz lo siguiente:
Directory Sync no admite el grupo de usuarios del dominio de Microsoft. Más información
- En Active Directory, crea un grupo nuevo que contenga todos los miembros y permisos aplicables del grupo Microsoft Domain Users.
- Agrega ese grupo como miembro del grupo Usuarios del dominio de Microsoft.
- Usa el grupo nuevo para administrar miembros y la sincronización.
Nota: No cambies los atributos del grupo de usuarios del dominio de Microsoft, ya que esto puede provocar otros comportamientos inesperados.
El estado de los usuarios muestra Suspendido por el administrador
Puedes encontrar más información para solucionar problemas relacionados con este error en los eventos de registro de Directory Sync:
- Abre los eventos de registro de Directory Sync.
Para obtener más detalles, consulta Cómo acceder a los datos de eventos de los registros de Directory Sync.
- Haz clic en Agregar un filtro
ID del objeto objetivo.
- Ingresa la dirección de correo electrónico del usuario y haz clic en Aplicar.
- Si recibes un mensaje de error, haz lo siguiente:
- Evento Object Updated con la descripción New attributes {suspended: true}: Directory Sync suspendió al usuario porque su cuenta no está activa en AD.
- En el evento Object Deprovisioned, verifica si el usuario en AD se borró o se movió a otra ruta que no se encuentra dentro del alcance de la búsqueda de LDAP.
Faltan algunos usuarios en la sincronización
Identifica lo que les falta a los usuarios y asegúrate de que cumplan con lo siguiente:
- No está inactivo en tu directorio externo
- Es miembro directo del grupo que especificaste cuando configuraste la sincronización de usuarios.
- Es un objeto de usuario y no un contacto en tu directorio externo.
- Tiene un ID de correo electrónico que está presente en tu directorio externo y el dominio del ID de correo electrónico es el mismo que el de tu dominio de Google Workspace.
Puedes encontrar más información para solucionar problemas en los eventos de registro de Directory Sync:
- Abre los eventos de registro de Directory Sync.
Para obtener más detalles, consulta Cómo acceder a los datos de eventos de los registros de Directory Sync.
- Haz clic en Agregar un filtro.
ID del objeto fuente.
- Agrega el DN del usuario y haz clic en Aplicar.
- Ubica los eventos de Error de sincronización y revisa los errores.
- Busca eventos de Read Object con el DN del usuario.
- Si no encuentras ningún evento de Read Object, significa que Directory Sync no sincronizó al usuario. Estos son algunos de los motivos más frecuentes:
- La membresía del usuario no se encuentra dentro del alcance de la búsqueda de LDAP (el usuario no reside en el DN base del grupo especificado cuando configuraste la sincronización de usuarios ni en un nivel inferior).
- La sincronización de directorio se comunica con un controlador de dominio diferente, y una sincronización incremental no detecta todos los cambios. Verifica que el nombre de host y la dirección IP apunten al mismo controlador de dominio.
Algunos usuarios no se sincronizan como miembros del grupo
Verifica que el miembro del grupo cumpla con los siguientes requisitos:
- Tiene establecido el valor del atributo de correo y un ID de correo electrónico en un formato válido
- No reside en el DN base del grupo ni en un nivel inferior
Google, Google Workspace y las marcas y los logotipos relacionados son marcas de Google LLC. Todos los demás nombres de productos y empresas son marcas de las empresas con las que se encuentran asociados.