Voici comment résoudre les problèmes que vous pouvez rencontrer lorsque vous configurez et exécutez une synchronisation avec Directory Sync.
Configurer
Erreur "Impossible d'enregistrer les paramètres d'annuaire" lors de l'ajout de l'annuaire externe
- Assurez-vous que l'API Data Connectors est activée dans le projet. Pour en savoir plus, consultez Activer l'API Data Connectors.
- Si une règle de périmètre VPC-SC (Virtual Private Cloud Service Controls) est configurée et que la console Google Cloud affiche des erreurs PERMISSION_DENIED correspondantes liées à storage.googleapis.com, vous devez autoriser l'accès à l'API Cloud Storage pour votre projet. Si vous voyez également des erreurs correspondantes pour artifactregistry.googleapis.com, ajoutez la règle de sortie suivante pour permettre aux ressources Directory Sync d'accéder à votre répertoire externe :
egress To: _ serviceName : artifactregistry.googleapis.com methodSelectors : - method: artifactregistry.googleapis.com/DockerRead Resources - projects/397958601689 egressFrom: identityType: ANY_IDENTITY
Pour en savoir plus sur la modification des règles de périmètre de service, consultez Détails et confirmation du périmètre de service.
Impossible d'enregistrer les paramètres de l'annuaire, car le domaine est déjà utilisé
Plusieurs connexions Directory Sync ne peuvent pas pointer vers le même domaine. La synchronisation d'annuaire compare les noms distinctifs (DN) de base et, si les domaines correspondent, la création de l'annuaire échoue.
Pour résoudre le problème, supprimez la connexion avec le DN correspondant avant d'en créer une autre avec le même domaine.
Erreur "Directory Sync ne parvient pas à se connecter à votre serveur Active Directory"
Si cette erreur s'affiche dans les données des événements du journal d'administration, vérifiez les points suivants :
- Le serveur Microsoft Active Directory (AD) est opérationnel.
- Votre réseau et vos pare-feu sont configurés pour autoriser le trafic entrant sur le port LDAP.
- Vous avez correctement saisi les identifiants du compte autorisé, en utilisant le format nomdutilisateur@example.com ou EXEMPLE\nomdutilisateur.
Si l'erreur persiste, ajoutez les informations sur le serveur DNS pour résoudre le nom d'hôte AD. Pour en savoir plus, consultez Ajouter un annuaire externe.
Vous pouvez également créer une machine virtuelle (VM) Linux dans le même sous-réseau que le connecteur d'accès au cloud privé virtuel (VPC). Essayez d'établir une connexion telnet avec l'adresse IP du serveur AD sur le port 636. En cas d'échec de la connexion telnet, vérifiez les paramètres réseau du serveur AD (par exemple, vérifiez que le port 636 est ouvert et disponible).
Si la connexion telnet est établie, saisissez la commande suivante sur la VM Linux pour vérifier si le serveur AD utilise le bon certificat :
openssl s_client -showcerts -connect external server IP address:636
Erreur : Une erreur s'est produite lors de la tentative de connexion au serveur
Vous pouvez obtenir deux versions de cette erreur dans les données des événements du journal d'administration.
Erreur 1 : Une erreur s'est produite lors de la tentative de connexion au serveur (adresse IP du serveur) dans le délai imparti de 10 000 millisecondes
Cette erreur indique que Directory Sync n'a pas réussi à se connecter au serveur Active Directory (AD). Pour résoudre le problème, assurez-vous de configurer correctement AD. Pour en savoir plus, consultez Ajouter un annuaire AD.
Erreur 2 : Une erreur s'est produite lors de la tentative d'établissement d'une connexion au serveur (adresse IP du serveur) : (SSLHandshakeException(sun.security.validator.ValidatorException : PKIX path building failed : sun.security.provider.certpath.SunCertPathBuilderException : unable to find valid certification path to requested target)
Cette erreur indique que le certificat AD TLS ne correspond pas à celui que vous avez joint lors de la configuration de la connexion à l'annuaire externe. Pour résoudre le problème, assurez-vous que les certificats correspondent. Pour en savoir plus, consultez Ajouter un annuaire AD.
Pour enregistrer le certificat AD TLS en local, saisissez le script suivant dans Microsoft PowerShell en remplaçant localhost par l'enregistrement DNS ou l'adresse IP de votre serveur AD :
$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"Impossible de tester la connexion à Azure Active Directory
Si vous ne parvenez pas à tester la connexion entre Google et Microsoft Azure Active Directory, consultez les événements du journal d'administration pour obtenir des informations de dépannage. Pour en savoir plus, consultez Événements du journal d'administration.
Problèmes de synchronisation
Erreur "Impossible de créer le compte utilisateur"
L'erreur suivante peut s'afficher dans les événements de journaux Directory Sync : "Impossible de créer le compte utilisateur. Message : DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT."
Cette erreur indique un problème de licence utilisateur. Si vous dépassez le nombre de licences disponibles dans Google Workspace ou si aucune licence ne peut être attribuée, la création d'utilisateur échoue et vous recevez ce message d'erreur.
Pour résoudre le problème, augmentez le nombre de licences disponibles pour vos utilisateurs. Pour en savoir plus, consultez Acheter davantage de licences utilisateur.
Articles associés
Erreur "Résultat – parrainage"
Si vous obtenez une erreur commençant par Résultat – parrainage, vérifiez que le DN de base que vous avez saisi lors de la configuration de la synchronisation est correct.
Si vous utilisez le port de catalogue global 3269, remplacez-le par 636.
Échec de la synchronisation de l'utilisateur avec le message "Non autorisé à accéder à cette ressource/API"
Dans les événements de journaux Directory Sync, des erreurs de synchronisation associées à cette description peuvent se produire. Cette erreur se produit généralement si le compte utilisateur est inactif ou si l'ID d'adresse e-mail est associé à un domaine incorrect dans AD. Reportez-vous aux tableaux pour résoudre le problème dans vos journaux.
Résoudre les problèmes liés aux entrées de journal des utilisateurs inactifs
| Événement de journal et description | Procédure de dépannage |
|---|---|
|
Événement : Lire les objets Description : Lecture du nom d'utilisateur avec les attributs ... ; suspended: true |
Le message suspended: true signifie que l'utilisateur est inactif dans votre annuaire externe. Accédez à votre annuaire externe et vérifiez que l'utilisateur est actif. |
|
Événement : Objet mis à jour Description : Modification du nom d'utilisateur de l'utilisateur. Anciens attributs {suspended: false;}, nouveaux attributs {suspended: true;} |
Ce message s'affiche si vous avez activé le paramètre "Suspendre l'utilisateur dans l'annuaire Google" et que l'utilisateur existe déjà dans votre compte Google.
Consultez votre annuaire externe pour vous assurer que l'utilisateur est actif ou mettez à jour vos règles de déprovisionnement. Pour en savoir plus sur le déprovisionnement, consultez Suspendre des comptes utilisateur introuvables dans l'annuaire externe. |
Résoudre les problèmes liés aux entrées de journal des adresses e-mail non valides et des domaines incorrects
| Événement de journal et description | Procédure de dépannage |
|---|---|
| Événement : Erreur de synchronisation – Objet individuel
Description : Impossible de créer l'utilisateur nom d'utilisateur |
Configurez Directory Sync pour remplacer le nom de domaine des utilisateurs. Pour en savoir plus, consultez Remplacer le nom de domaine pour les utilisateurs synchronisés.
Vous pouvez également utiliser le même domaine dans les comptes sources et cibles. |
| Événement : Objet ignoré – Erreur inattendue
Description : Utilisateur ignoré lors de la synchronisation. Échec de la mise à jour du nom d'utilisateur |
Configurez Directory Sync pour remplacer le nom de domaine des utilisateurs. Pour en savoir plus, consultez Remplacer le nom de domaine pour les utilisateurs synchronisés.
Vous pouvez également utiliser le même domaine dans les comptes sources et cibles. |
| Événement : Erreur de synchronisation
Description : Utilisateur ignoré : impossible d'analyser l'adresse e-mail de l'utilisateur à partir de l'annuaire distant |
L'adresse e-mail de l'utilisateur n'est pas valide. Corrigez l'adresse e-mail dans l'annuaire externe. |
| Événement : Erreur de synchronisation
Description : Utilisateur (nom d'utilisateur) ignoré, car le chemin d'accès à l'unité organisationnelle n'est pas défini dans l'attribut "department" (service) |
Si vous avez activé le remplacement du nom de domaine de la messagerie, vérifiez les attributs utilisateur dans l'annuaire externe. Vérifiez qu'une valeur est définie pour l'attribut que vous utilisez pour placer des utilisateurs dans une unité organisationnelle.
Si le remplacement du nom de domaine de la messagerie n'est pas activé, assurez-vous d'utiliser une adresse e-mail valide pour l'utilisateur dans l'annuaire externe. |
Article associé
Les utilisateurs et les groupes ne sont pas synchronisés
Pour effectuer cette procédure, vous devez disposer du rôle de super-administrateur ou d'administrateur Directory Sync, ou du droit Gérer les paramètres Directory Sync.
Si les utilisateurs et les groupes ne sont pas synchronisés :
- Dans la console d'administration Google (à l'adresse admin.google.com), cliquez sur Directory Sync
Annuaires externes. - Vérifiez l'état de synchronisation de votre annuaire.
- Si la synchronisation est inactive ou échoue, activez-la.
Pour en savoir plus, consultez Effectuer une synchronisation.
Si votre groupe "Utilisateurs du domaine Microsoft" ne se synchronise pas :
Le groupe "Utilisateurs du domaine Microsoft" n'est pas compatible avec Directory Sync. En savoir plus
- Dans Active Directory, créez un groupe contenant tous les membres et autorisations applicables du groupe "Utilisateurs du domaine Microsoft".
- Ajoutez ce groupe en tant que membre du groupe "Utilisateurs du domaine Microsoft".
- Utilisez le nouveau groupe pour gérer les membres et la synchronisation.
Remarque : Ne modifiez pas les attributs du groupe "Utilisateurs du domaine Microsoft", car cela pourrait déclencher d'autres comportements inattendus.
L'état des utilisateurs est "Suspendu par l'administrateur"
Vous trouverez d'autres informations de dépannage concernant cette erreur dans les événements de journaux Directory Sync :
- Ouvrez les événements de journaux Directory Sync.
Pour en savoir plus, consultez Accéder aux données des événements du journaux Directory Sync.
- Cliquez sur Ajouter un filtre.
ID de l'objet cible.
- Saisissez l'adresse e-mail de l'utilisateur, puis cliquez sur Appliquer.
- Si vous obtenez :
- Un événement Objet mis à jour avec la description Nouveaux attributs {suspended: true}, la synchronisation d'annuaire a suspendu l'utilisateur, car son compte n'est pas actif dans AD.
- Un événement Objet déprovisionné, vérifiez si le compte utilisateur dans AD a été supprimé ou s'il a été déplacé vers un autre chemin d'accès qui n'entre pas dans le champ d'application de la recherche LDAP.
Certains utilisateurs n'ont pas été synchronisés
Identifiez les utilisateurs manquants et assurez-vous qu'ils :
- ne sont pas inactifs dans votre annuaire externe ;
- sont des membres directs du groupe que vous avez spécifié lors de la configuration de la synchronisation des utilisateurs.
- sont des objets utilisateur et non des contacts de votre annuaire externe ;
- disposent d'un ID d'adresse e-mail présent dans votre annuaire externe et que le domaine dans l'ID d'adresse e-mail est le même que votre domaine Google Workspace.
Vous trouverez d'autres informations de dépannage dans les événements de journaux Directory Sync :
- Ouvrez les événements de journaux Directory Sync.
Pour en savoir plus, consultez Accéder aux données des événements du journaux Directory Sync.
- Cliquez sur Ajouter un filtre.
ID de l'objet source.
- Ajoutez le nom distinctif de l'utilisateur, puis cliquez sur Appliquer.
- Recherchez les événements Erreur de synchronisation et examinez les erreurs.
- Recherchez les événements Objet lu associés au nom distinctif de l'utilisateur.
- Si vous ne trouvez aucun événement Objet lu, cela signifie que Directory Sync n'a pas synchronisé l'utilisateur. Les raisons les plus courantes sont les suivantes :
- L'appartenance de l'utilisateur n'entre pas dans le champ d'application de la recherche LDAP (l'utilisateur n'est pas à l'intérieur ni en dessous du DN de base du groupe que vous avez spécifié lors de la configuration de la synchronisation des utilisateurs).
- Directory Sync communique avec un autre contrôleur de domaine, et une synchronisation incrémentielle ne détecte pas toutes les modifications. Vérifiez que le nom d'hôte et l'adresse IP pointent vers le même contrôleur de domaine.
Certains utilisateurs ne sont pas synchronisés en tant que membres du groupe
Vérifiez les éléments suivants pour le membre du groupe :
- La valeur de l'attribut de messagerie est définie, et l'ID d'adresse e-mail est au bon format.
- Il n'est pas à l'intérieur ni en dessous du DN de base du groupe
Google, Google Workspace, ainsi que les marques et logos associés sont des marques appartenant à Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.