این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

عیب یابی همگام سازی دایرکتوری

در اینجا نحوه عیب‌یابی مشکلاتی که ممکن است هنگام راه‌اندازی و اجرای همگام‌سازی با Directory Sync با آنها مواجه شوید، آورده شده است.

تنظیم کنید

خطای عدم ذخیره تنظیمات دایرکتوری هنگام افزودن دایرکتوری خارجی

مطمئن شوید که رابط برنامه‌نویسی کاربردی (API) اتصال‌دهنده‌های داده (Data Connectors API) در پروژه فعال شده است. برای جزئیات بیشتر، به بخش «فعال کردن رابط برنامه‌نویسی کاربردی اتصال‌دهنده‌های داده» (Enable the Data Connectors API ) مراجعه کنید.
اگر یک قانون پیرامونی کنترل‌های سرویس ابر خصوصی مجازی (VPC) پیکربندی شده باشد و کنسول Google Cloud خطاهای PERMISSION_DENIED مربوط به storage.googleapis.com را نشان دهد، باید دسترسی به API ذخیره‌سازی ابری را برای پروژه خود مجاز کنید. اگر خطاهای مربوطه را در artifactregistry.googleapis.com نیز مشاهده می‌کنید، قانون خروجی زیر را اضافه کنید تا به منابع همگام‌سازی دایرکتوری اجازه دسترسی به دایرکتوری خارجی شما را بدهید:
```
egress To:
_ serviceName : artifactregistry.googleapis.com
 methodSelectors :
  - method: artifactregistry.googleapis.com/DockerRead
Resources
- projects/397958601689
egressFrom:
 identityType: ANY_IDENTITY
```

برای جزئیات بیشتر در مورد ویرایش قوانین محیط سرویس، به جزئیات و تأیید محیط سرویس مراجعه کنید.

تنظیمات دایرکتوری ذخیره نشد زیرا دامنه قبلاً استفاده شده است

چندین اتصال Directory Sync نمی‌توانند به یک دامنه اشاره کنند. Directory Sync نام‌های متمایز پایه (DN) را مقایسه می‌کند و اگر دامنه‌ها مطابقت داشته باشند، ایجاد دایرکتوری با شکست مواجه می‌شود.

برای حل مشکل، قبل از ایجاد یک اتصال جدید با همان دامنه، اتصال با DN منطبق را حذف کنید.

خطای همگام‌سازی دایرکتوری نمی‌تواند به سرور اکتیو دایرکتوری شما متصل شود

اگر این خطا را در داده‌های رویدادهای لاگ ادمین دریافت کردید، موارد زیر را بررسی کنید:

سرور Microsoft Active Directory (AD) راه‌اندازی و در حال اجرا است.
شبکه و فایروال‌های شما طوری تنظیم شده‌اند که ترافیک ورودی از طریق پورت LDAP را مجاز بدانند.
شما اطلاعات حساب کاربری مجاز را به درستی و با استفاده از نام کاربری @ example .com یا قالب EXAMPLE \ username وارد کرده‌اید.

اگر هنوز خطا دریافت می‌کنید، جزئیات سرور سیستم نام دامنه (DNS) را برای حل مشکل نام میزبان AD اضافه کنید. برای جزئیات بیشتر، به Add an external directory بروید.

همچنین می‌توانید یک ماشین مجازی لینوکس (VM) را در همان زیرشبکه‌ای که رابط دسترسی ابر خصوصی مجازی (VPC) قرار دارد، ایجاد کنید. سعی کنید به آدرس IP سرور AD روی پورت ۶۳۶ telnet کنید. اگر telnet ناموفق بود، تنظیمات شبکه سرور AD را بررسی کنید، برای مثال بررسی کنید که پورت ۶۳۶ باز و در دسترس باشد.

اگر تلنت با موفقیت انجام شد، برای تأیید اینکه آیا سرور اکتیو دایرکتوری از گواهی صحیح استفاده می‌کند، دستور زیر را در ماشین مجازی لینوکس وارد کنید:

openssl s_client -showcerts -connect external server IP address :636

خطا: هنگام تلاش برای اتصال به سرور خطایی رخ داد

شما می‌توانید دو نسخه از این خطا را در داده‌های رویدادهای لاگ ادمین دریافت کنید.

خطای ۱ - هنگام تلاش برای اتصال به سرور ( سرور IP ) در مدت زمان تنظیم شده ۱۰۰۰۰ میلی ثانیه، خطایی رخ داد.

این خطا نشان می‌دهد که همگام‌سازی دایرکتوری نتوانسته به سرور اکتیو دایرکتوری (AD) متصل شود. برای عیب‌یابی، مطمئن شوید که AD را به درستی تنظیم کرده‌اید. برای جزئیات بیشتر، به افزودن یک دایرکتوری AD بروید.

خطای ۲ – هنگام تلاش برای برقراری اتصال به سرور ( سرور IP ) خطایی روی داد: (SSLHandshakeException(sun.security.validator.ValidatorException: ساخت مسیر PKIX ناموفق بود: sun.security.provider.certpath.SunCertPathBuilderException: قادر به یافتن مسیر صدور گواهینامه معتبر برای هدف درخواستی نیست)

این خطا نشان می‌دهد که گواهی AD TLS با گواهی‌ای که هنگام پیکربندی اتصال به دایرکتوری خارجی پیوست کرده‌اید، مطابقت ندارد. برای عیب‌یابی، مطمئن شوید که گواهی‌ها مطابقت دارند. برای جزئیات بیشتر، به افزودن دایرکتوری AD بروید.

برای ذخیره گواهی AD TLS به صورت محلی، اسکریپت زیر را در Microsoft PowerShell وارد کنید و به جای localhost ، رکورد DNS سرور AD یا آدرس IP خود را وارد کنید:

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

نمی‌توانم اتصال به Azure Active Directory را آزمایش کنم

اگر نمی‌توانید ارتباط بین گوگل و مایکروسافت آزور اکتیو دایرکتوری را آزمایش کنید، برای اطلاعات عیب‌یابی، رویدادهای لاگ ادمین را بررسی کنید. برای جزئیات بیشتر، به رویدادهای لاگ ادمین مراجعه کنید.

مشکلات همگام‌سازی

خطا "کاربر قابل ایجاد نیست"

ممکن است در رویدادهای گزارش همگام‌سازی دایرکتوری با خطای زیر مواجه شوید: «کاربر ایجاد نشد. پیام: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT.»

این خطا نشان‌دهنده‌ی مشکل در مجوز کاربر است. اگر تعداد مجوزهای موجود در Google Workspace از حد مجاز فراتر رود یا هیچ مجوزی برای اختصاص دادن وجود نداشته باشد، ایجاد کاربر با شکست مواجه می‌شود و این خطا را دریافت خواهید کرد.

برای عیب‌یابی، تعداد مجوزهای موجود برای کاربران خود را افزایش دهید. برای جزئیات بیشتر، به خرید مجوزهای کاربری بیشتر بروید.

نتیجه - خطای ارجاع

اگر خطایی دریافت کردید که با Result - referral شروع می‌شود، بررسی کنید که DN پایه‌ای که هنگام تنظیم همگام‌سازی وارد کرده‌اید، صحیح باشد.

اگر از پورت کاتالوگ جهانی ۳۲۶۹ استفاده می‌کنید، آن را به ۶۳۶ تغییر دهید.

همگام‌سازی کاربر با پیام «مجاز به دسترسی به این منبع/api نیست» با شکست مواجه می‌شود.

در رویدادهای گزارش همگام‌سازی دایرکتوری، ممکن است با این توضیحات با خطاهای همگام‌سازی مواجه شوید. این خطا معمولاً در صورتی رخ می‌دهد که حساب کاربری غیرفعال باشد یا شناسه ایمیل دارای دامنه نادرستی در AD باشد. برای عیب‌یابی مشکل در گزارش‌های خود، به جداول مراجعه کنید.

عیب‌یابی ورودی‌های غیرفعال گزارش کاربر

ثبت رویداد و توضیحات	مراحل عیب‌یابی
رویداد: خواندن اشیاء توضیحات: خواندن نام کاربری با ویژگی‌های ... ; suspend: true	پیام suspended: true به این معنی است که کاربر در دایرکتوری خارجی شما غیرفعال است. به دایرکتوری خارجی خود بروید و مطمئن شوید که کاربر فعال است.
رویداد: شیء به‌روزرسانی شد توضیحات: نام کاربری کاربر به‌روزرسانی شد. ویژگی‌های قدیمی { suspend: false; }، ویژگی‌های جدید { suspend: true; }	اگر گزینه‌ی «توقف کاربر در فهرست راهنمای گوگل» را فعال کرده باشید و کاربر از قبل در حساب گوگل شما وجود داشته باشد، این پیام را دریافت خواهید کرد. دایرکتوری خارجی خود را بررسی کنید تا مطمئن شوید کاربر فعال است یا قوانین لغو دسترسی خود را به‌روزرسانی کنید. برای جزئیات بیشتر در مورد لغو دسترسی، به تعلیق کاربرانی که در دایرکتوری خارجی یافت نمی‌شوند، مراجعه کنید.

ثبت رویداد و توضیحات

مراحل عیب‌یابی

رویداد: خواندن اشیاء

توضیحات: خواندن نام کاربری با ویژگی‌های ... ; suspend: true

پیام suspended: true به این معنی است که کاربر در دایرکتوری خارجی شما غیرفعال است. به دایرکتوری خارجی خود بروید و مطمئن شوید که کاربر فعال است.

رویداد: شیء به‌روزرسانی شد

توضیحات: نام کاربری کاربر به‌روزرسانی شد. ویژگی‌های قدیمی { suspend: false; }، ویژگی‌های جدید { suspend: true; }

اگر گزینه‌ی «توقف کاربر در فهرست راهنمای گوگل» را فعال کرده باشید و کاربر از قبل در حساب گوگل شما وجود داشته باشد، این پیام را دریافت خواهید کرد.

دایرکتوری خارجی خود را بررسی کنید تا مطمئن شوید کاربر فعال است یا قوانین لغو دسترسی خود را به‌روزرسانی کنید. برای جزئیات بیشتر در مورد لغو دسترسی، به تعلیق کاربرانی که در دایرکتوری خارجی یافت نمی‌شوند، مراجعه کنید.

عیب‌یابی آدرس ایمیل نامعتبر و ورودی‌های نادرست لاگ دامنه

ثبت رویداد و توضیحات	مراحل عیب‌یابی
رویداد: خطای همگام‌سازی - شیء منفرد توضیحات: نام کاربری کاربر ایجاد نشد	همگام‌سازی دایرکتوری را طوری تنظیم کنید که نام دامنه را برای کاربران جایگزین کند. برای جزئیات بیشتر، به «جایگزینی نام دامنه برای کاربران همگام‌سازی شده» بروید. روش دیگر، استفاده از یک دامنه یکسان در هر دو حساب مبدا و مقصد است.
رویداد: شیء از قلم افتاده - خطای غیرمنتظره شرح: همگام‌سازی کاربر انجام نشد. به‌روزرسانی برای نام کاربری انجام نشد.	همگام‌سازی دایرکتوری را طوری تنظیم کنید که نام دامنه را برای کاربران جایگزین کند. برای جزئیات بیشتر، به «جایگزینی نام دامنه برای کاربران همگام‌سازی شده» بروید. روش دیگر، استفاده از یک دامنه یکسان در هر دو حساب مبدا و مقصد است.
رویداد: خطای همگام‌سازی شرح: نادیده گرفتن کاربر: نمی‌توان ایمیل کاربر را از دایرکتوری راه دور تجزیه کرد	کاربر آدرس ایمیل نامعتبری دارد. آدرس ایمیل را در دایرکتوری خارجی اصلاح کنید.
رویداد: خطای همگام‌سازی شرح: صرف نظر از user: username به دلیل تنظیم نشدن مسیر واحد سازمانی در بخش ویژگی‌ها	اگر جایگزینی نام دامنه ایمیل را فعال کرده‌اید، ویژگی‌های کاربر را در دایرکتوری خارجی بررسی کنید. مطمئن شوید که ویژگی‌ای که برای قرار دادن کاربران در یک واحد سازمانی استفاده می‌کنید، دارای مقدار است. اگر گزینه جایگزینی نام دامنه ایمیل فعال نیست، مطمئن شوید که از یک آدرس ایمیل معتبر برای کاربر در دایرکتوری خارجی استفاده می‌کنید.

بررسی رویدادهای لاگ برای همگام‌سازی دایرکتوری

کاربران و گروه‌ها همگام‌سازی نمی‌شوند

برای انجام این مراحل، باید نقش مدیر ارشد یا مدیر همگام‌سازی دایرکتوری یا امتیاز مدیریت تنظیمات همگام‌سازی دایرکتوری را داشته باشید.

اگر کاربران و گروه‌ها همگام‌سازی نشده‌اند:

در کنسول مدیریت گوگل خود (به آدرس admin.google.com )، روی گزینه‌ی «همگام‌سازی دایرکتوری» کلیک کنید. دایرکتوری‌های خارجی .
وضعیت همگام‌سازی دایرکتوری خود را بررسی کنید.
اگر همگام‌سازی غیرفعال یا ناموفق بود، همگام‌سازی را فعال کنید.
برای جزئیات، به اجرای همگام‌سازی بروید.

اگر گروه کاربران دامنه مایکروسافت شما همگام‌سازی نمی‌شود:

گروه Microsoft Domain Users توسط Directory Sync پشتیبانی نمی‌شود. اطلاعات بیشتر

در اکتیو دایرکتوری، یک گروه جدید ایجاد کنید که شامل تمام اعضا و مجوزهای مربوط به گروه Microsoft Domain Users باشد.
آن گروه را به عنوان عضوی از گروه Microsoft Domain Users اضافه کنید.
از گروه جدید برای مدیریت اعضا و همگام‌سازی استفاده کنید.

توجه: ویژگی‌های گروه کاربری دامنه مایکروسافت را تغییر ندهید زیرا ممکن است باعث بروز رفتارهای غیرمنتظره دیگری شود.

وضعیت کاربران توسط مدیر به حالت تعلیق درآمده است

می‌توانید اطلاعات عیب‌یابی بیشتری در مورد این خطا را در رویدادهای گزارش همگام‌سازی دایرکتوری بیابید:

رویدادهای گزارش همگام‌سازی دایرکتوری را باز کنید.
برای جزئیات بیشتر، به داده‌های رویداد ثبت وقایع همگام‌سازی دایرکتوری دسترسی (Access Directory Sync log event data) مراجعه کنید.
روی افزودن فیلتر کلیک کنید شناسه شیء هدف .
آدرس ایمیل کاربر را وارد کنید و روی «اعمال» کلیک کنید.
اگر دچار موارد زیر شدید:
- رویداد Object Updated با توضیحات New attributes {suspended: true} ، Directory Sync کاربر را به دلیل فعال نبودن حساب کاربری‌اش در AD به حالت تعلیق درآورد.
- رویداد Object Deprovisioned ، بررسی می‌کند که آیا کاربر در AD حذف شده است یا به مسیر دیگری منتقل شده است که تحت محدوده جستجوی LDAP قرار نمی‌گیرد.

برخی از کاربران از همگام‌سازی غایب هستند

مواردی را که کاربران از قلم انداخته‌اند شناسایی کنید و مطمئن شوید که کاربر:

در دایرکتوری خارجی شما غیرفعال نیست
عضو مستقیم گروهی است که هنگام تنظیم همگام‌سازی کاربر مشخص کرده‌اید
یک شیء کاربر است و نه یک مخاطب در دایرکتوری خارجی شما
دارای شناسه ایمیلی باشد که در فهرست خارجی شما موجود باشد و دامنه موجود در شناسه ایمیل با دامنه Google Workspace شما یکسان باشد

می‌توانید اطلاعات عیب‌یابی بیشتری را در رویدادهای گزارش همگام‌سازی دایرکتوری بیابید:

رویدادهای گزارش همگام‌سازی دایرکتوری را باز کنید.
برای جزئیات بیشتر، به داده‌های رویداد ثبت وقایع همگام‌سازی دایرکتوری دسترسی (Access Directory Sync log event data) مراجعه کنید.
روی افزودن فیلتر کلیک کنید شناسه شیء منبع .
DN کاربر را اضافه کنید و روی Apply کلیک کنید.
هرگونه رویداد خطای همگام‌سازی را پیدا کنید و خطاها را بررسی کنید.
رویدادهای شیء خواندن (Read Object) را با استفاده از DN کاربر جستجو کنید.
اگر نمی‌توانید هیچ رویدادی از Read Object پیدا کنید، Directory Sync کاربر را همگام‌سازی نکرده است. دلایل رایج عبارتند از:
- عضویت کاربر در محدوده جستجوی LDAP قرار نمی‌گیرد (کاربر در DN پایه گروه مشخص شده هنگام تنظیم همگام‌سازی کاربر یا پایین‌تر از آن قرار ندارد).
- همگام‌سازی دایرکتوری با یک کنترل‌کننده دامنه متفاوت در ارتباط است و همگام‌سازی افزایشی همه تغییرات را ثبت نمی‌کند. تأیید کنید که نام میزبان و آدرس IP به یک کنترل‌کننده دامنه یکسان اشاره می‌کنند.

برخی از کاربران به عنوان اعضای گروه همگام‌سازی نشده‌اند

بررسی کنید که عضو گروه:

مقدار ویژگی ایمیل تنظیم شده و شناسه ایمیل در قالب معتبری دارد.
در DN پایه گروه یا پایین‌تر از آن قرار ندارد.

_{گوگل، گوگل ورک‌اسپیس و علامت‌ها و لوگوهای مرتبط، علائم تجاری شرکت گوگل هستند. سایر نام‌های شرکت‌ها و محصولات، علائم تجاری شرکت‌هایی هستند که با آنها مرتبط هستند.}

عیب یابی همگام سازی دایرکتوری با مجموعه‌ها، منظم بمانید ذخیره و طبقه‌بندی محتوا براساس اولویت‌های شما.