פתרון בעיות ב-Directory Sync

שגיאה 'לא ניתן לשמור את הגדרות הספרייה' כשמוסיפים את הספרייה החיצונית

• מוודאים ש-Data Connectors API מופעל בפרויקט. פרטים נוספים זמינים במאמר בנושא הפעלת Data Connectors API.
• אם מוגדר כלל היקף של בקרות שירות בענן וירטואלי פרטי (VPC) ובמסוף Google Cloud מופיעות שגיאות PERMISSION_DENIED תואמות שקשורות ל-storage.googleapis.com, צריך לאפשר גישה ל-Cloud Storage API לפרויקט שלכם. אם מופיעות גם שגיאות תואמות לגבי artifactregistry.googleapis.com, צריך להוסיף את כלל היציאה הבא כדי לאפשר למשאבים של Directory Sync להגיע לספרייה החיצונית:

  egress To:
  _ serviceName : artifactregistry.googleapis.com
   methodSelectors :
    - method: artifactregistry.googleapis.com/DockerRead
  Resources
  - projects/397958601689
  egressFrom:
   identityType: ANY_IDENTITY

פרטים נוספים על עריכת כללים של גבולות גזרה לשירות זמינים במאמר פרטים ואישור של גבולות גזרה לשירות.

אי אפשר לשמור את הגדרות הספרייה כי הדומיין כבר נמצא בשימוש

אי אפשר להפנות כמה חיבורים של סנכרון ספריות לאותו דומיין. הכלי Directory Sync משווה בין שמות ייחודיים (DNs) בסיסיים, ואם יש התאמה בין הדומיינים, המערכת לא תוכל ליצור את הספרייה.

כדי לפתור את הבעיה, מוחקים את החיבור עם ה-DN התואם, ואז יוצרים חיבור חדש עם אותו דומיין.

השגיאה 'Directory Sync לא יכול להתחבר לשרת של ה-Active Directory שלך'

אם השגיאה הזו מופיעה בנתוני האירועים ביומן האדמין, בודקים אם התנאים הבאים מתקיימים:

• שרת Active Directory ‏ (AD) של מיקרוסופט פועל.
• הרשת וחומות האש מוגדרות כך שמתאפשרת תנועה נכנסת ביציאת ה-LDAP.
• הזנתם את פרטי הכניסה לחשבון המורשה בצורה נכונה, בפורמט username@example.com או EXAMPLE\username.

אם השגיאה ממשיכה להופיע, מוסיפים את הפרטים של שרת ה-DNS כדי לפתור את הבעיה בשם המארח של AD. פרטים נוספים זמינים במאמר בנושא הוספת ספרייה חיצונית.

אפשרות נוספת: יוצרים מכונה וירטואלית (VM) של Linux באותה רשת משנה שבה נמצא מחבר הגישה לענן הווירטואלי הפרטי (VPC). מנסים להשתמש בפרוטוקול telnet כדי ליצור קשר עם כתובת ה-IP של שרת ה-AD ביציאה 636. אם פרוטוקול telnet נכשל, בודקים את הגדרות הרשת של שרת ה-AD. לדוגמה, מוודאים שיציאה 636 פתוחה וזמינה.

אם פרוטוקול telnet מצליח, מזינים את הפקודה הבאה במכונה הווירטואלית של Linux כדי לוודא ששרת ה-AD משתמש באישור הנכון:

openssl s_client -showcerts -connect external server IP address:636

שגיאה: קרתה שגיאה במהלך הניסיון להתחבר לשרת

יש שתי גרסאות של השגיאה הזו בנתוני האירועים ביומן האדמין.

שגיאה 1 – קרתה שגיאה במהלך הניסיון להתחבר לשרת (כתובת ה-IP של השרת) במסגרת הזמן הקצוב לתפוגה (10,000 אלפיות השנייה)

השגיאה הזו מעידה על כך שסנכרון הספריות לא הצליח להתחבר לשרת Active Directory‏ (AD). כדי לפתור את הבעיה, מוודאים שהגדרתם את AD בצורה נכונה. פרטים נוספים זמינים במאמר בנושא הוספה של ספריית AD.

שגיאה 2 – קרתה שגיאה במהלך הניסיון ליצור חיבור לשרת (כתובת ה-IP של השרת): (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)

השגיאה הזו מעידה על כך שאישור ה-TLS של AD לא תואם לאישור שצירפתם כשהגדרתם את החיבור לספרייה החיצונית. כדי לפתור את הבעיה, מוודאים שהאישורים תואמים. פרטים נוספים זמינים במאמר בנושא הוספה של ספריית AD.

כדי לשמור מקומית את אישור ה-TLS של AD, מזינים את הסקריפט הבא ב-PowerShell של מיקרוסופט ומחליפים את localhost ברשומת ה-DNS או בכתובת ה-IP של שרת ה-AD:

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

אי אפשר לבדוק את החיבור לספריית Azure Active

אם לא מצליחים לבדוק את החיבור בין Google לבין ספריית Azure Active של מיקרוסופט, מחפשים מידע לפתרון הבעיה באירועים ביומן האדמין. פרטים נוספים זמינים במאמר בנושא אירועים ביומן האדמין.

שגיאה: אי אפשר ליצור משתמש

יכול להיות שהשגיאה הבאה תופיע באירועים ביומן של Directory Sync: 'אי אפשר ליצור משתמש. ההודעה: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT.'

השגיאה הזו מעידה על בעיה ברישוי של המשתמש. אם מספר המשתמשים חורג ממספר הרישיונות שזמינים ב-Google Workspace, או אם אין רישיונות זמינים להקצאה, יצירת המשתמש תיכשל והשגיאה הזו תופיע.

כדי לפתור את הבעיה, מגדילים את מספר הרישיונות שזמינים למשתמשים. פרטים נוספים זמינים במאמר בנושא רכישת רישיונות נוספים למשתמשים.

נושאים קשורים

• בדיקת אירועים ביומן של Directory Sync
• הקצאה, הסרה והקצאה מחדש של רישיונות

תוצאה – שגיאת הפניה

אם מופיעה שגיאה שמתחילה בתוצאה – שגיאת הפניה, בודקים שהזנתם את ה-DN הבסיסי הנכון כשהגדרתם את הסנכרון.

אם משתמשים ביציאה 3269 מהקטלוג הגלובלי, מחליפים אותה ל-636.

סנכרון המשתמשים נכשל עם הודעת השגיאה 'אין לך הרשאה לגשת למשאב או ל-API הזה'

יכול להיות שתקבלו שגיאות בסנכרון עם התיאור הזה באירועים ביומן של Directory Sync. בדרך כלל השגיאה הזו קורית אם חשבון המשתמש לא פעיל או אם לכתובת האימייל יש דומיין לא נכון ב-AD. אפשר להיעזר בטבלאות כדי לפתור את הבעיה ביומנים.

פתרון בעיות בערכי יומן של משתמשים לא פעילים

פתרון בעיות שקשורות לכתובת אימייל לא תקינה ולרשומות שגויות ביומן הדומיין

נושא קשור

בדיקת אירועים ביומן של Directory Sync

המשתמשים והקבוצות לא מסונכרנים

כדי לבצע את השלבים האלה, אתם צריכים הרשאת סופר-אדמין, תפקיד אדמין של Directory Sync, או הרשאה לניהול ההגדרות של Directory Sync.

אם המשתמשים והקבוצות לא מסונכרנים:

1. במסוף Google Admin (בכתובת admin.google.com), לוחצים על Directory Sync (סנכרון ספריות) External directories (ספריות חיצוניות).
2. בודקים את סטטוס הסנכרון של הספרייה.
3. אם הסנכרון לא פעיל או אם הוא נכשל, מפעילים אותו.

   פרטים נוספים זמינים במאמר בנושא הפעלת סנכרון.

אם קבוצת המשתמשים מהדומיין של מיקרוסופט לא מסתנכרנת:

אין תמיכה בקבוצת המשתמשים מהדומיין של מיקרוסופט ב-Directory Sync. מידע נוסף

1. ב-Active Directory, יוצרים קבוצה חדשה שמכילה את כל החברים וההרשאות הרלוונטיים של קבוצת המשתמשים מהדומיין של מיקרוסופט.
2. מוסיפים את הקבוצה הזו כחברה בקבוצת המשתמשים מהדומיין של מיקרוסופט.
3. משתמשים בקבוצה החדשה כדי לנהל את החברים ולבצע סנכרון.

הערה: אסור לשנות את המאפיינים של קבוצת המשתמשים מהדומיין של מיקרוסופט. השינוי עלול לגרום להתנהגות בלתי צפויה אחרת.

הסטטוס של המשתמשים הוא 'בוצעה השעיה על ידי האדמין'

מידע נוסף על פתרון בעיות שקשורות לשגיאה הזו זמין באירועים ביומן של Directory Sync:

1. פותחים את האירועים ביומן של Directory Sync.

   פרטים נוספים זמינים במאמר בנושא גישה לנתוני אירועים ביומן של Directory Sync.

2. לוחצים על הוספת מסנן מזהה אובייקט היעד.
3. מזינים את כתובת האימייל של המשתמש ולוחצים על אישור.
4. אם מקבלים:
   • אירוע האובייקט עודכן עם התיאור מאפיינים חדשים {suspended: true}, כלי Directory Sync השעה את המשתמש כי החשבון שלו לא פעיל ב-AD.
   • אירוע ניהול ההקצאות של האובייקט בוטל, בודקים אם המשתמש ב-AD נמחק או הועבר לנתיב אחר שלא נכלל בהיקף ההרשאות של חיפוש LDAP.

חלק מהמשתמשים לא מופיעים בסנכרון

בודקים אילו משתמשים חסרים ומוודאים שהם:

• פעילים בספרייה החיצונית
• חברים ישירים בקבוצה שציינתם כשהגדרתם את סנכרון המשתמשים
• אובייקטים של משתמשים ולא אנשי קשר בספרייה החיצונית
• עם כתובת אימייל שמופיעה בספרייה החיצונית ושהדומיין שלה זהה לדומיין Google Workspace שלכם

מידע נוסף על פתרון בעיות זמין באירועים ביומן של Directory Sync:

1. פותחים את האירועים ביומן של Directory Sync.

   פרטים נוספים זמינים במאמר בנושא גישה לנתוני אירועים ביומן של Directory Sync.

2. לוחצים על הוספת מסנן מזהה אובייקט המקור.
3. מוסיפים את ה-DN של המשתמש ולוחצים על אישור.
4. מחפשים אירועים מסוג שגיאה בסנכרון ובודקים את השגיאות.
5. מחפשים אירועים מסוג קריאת אובייקט עם ה-DN של המשתמש.
6. אם לא מוצאים אירועי קריאת אובייקט, סימן שהמשתמש לא סונכרן על ידי Directory Sync. הסיבות הנפוצות לכך הן:
   • החברות של המשתמש בקבוצה לא נכללת בהיקף ההרשאות של החיפוש ב-LDAP (המשתמש לא נמצא ב-DN הבסיסי של הקבוצה שציינתם כשהגדרתם את סנכרון המשתמשים, או מתחתיו).
   • סנכרון הספרייה מתקשר עם בקר דומיין (DC) אחר, וסנכרון מצטבר לא מזהה את כל השינויים. מוודאים ששם המארח וכתובת ה-IP מפנים לאותו בקר דומיין (DC).

חלק מהמשתמשים לא מסונכרנים כחברים בקבוצה

בודקים אם החבר בקבוצה עומד בתנאים הבאים:

• ערך מאפיין האימייל וכתובת האימייל שלו מוגדרים בפורמט תקין
• הוא לא נמצא ב-DN הבסיסי של הקבוצה או מתחתיו