डायरेक्ट्री सिंक से जुड़ी समस्या हल करना

बाहरी डायरेक्ट्री जोड़ते समय, डायरेक्ट्री की सेटिंग सेव नहीं की जा सकीं

• पक्का करें कि प्रोजेक्ट में Data Connectors API चालू हो. ज़्यादा जानकारी के लिए, Data Connectors API चालू करना पर जाएं.
• अगर वर्चुअल प्राइवेट क्लाउड (वीपीसी) सर्विस कंट्रोल पेरीमीटर का कोई नियम कॉन्फ़िगर किया गया है और Google Cloud Console में storage.googleapis.com से जुड़ी PERMISSION_DENIED गड़बड़ियां दिख रही हैं, तो आपको अपने प्रोजेक्ट के लिए Cloud Storage API का ऐक्सेस देना होगा. अगर आपको artifactregistry.googleapis.com से जुड़ी गड़बड़ियां भी दिखती हैं, तो यहां दिया गया इग्रेस नियम जोड़ें. इससे डायरेक्ट्री सिंक करने की सुविधा के संसाधन, आपकी बाहरी डायरेक्ट्री तक पहुंच पाएंगे:

  egress To:
  _ serviceName : artifactregistry.googleapis.com
   methodSelectors :
    - method: artifactregistry.googleapis.com/DockerRead
  Resources
  - projects/397958601689
  egressFrom:
   identityType: ANY_IDENTITY

सेवा के दायरे से जुड़े नियमों में बदलाव करने के बारे में ज़्यादा जानने के लिए, सेवा के दायरे की जानकारी और पुष्टि पर जाएं.

डोमेन का पहले से इस्तेमाल होने की वजह से, डायरेक्ट्री सेटिंग सेव नहीं की जा सकीं

एक ही डोमेन के लिए, डायरेक्ट्री सिंक के कई कनेक्शन नहीं बनाए जा सकते. डायरेक्ट्री सिंक, बेस डिस्टिंग्विश्ड नेम (डीएन) की तुलना करता है. अगर डोमेन मेल खाते हैं, तो डायरेक्ट्री नहीं बनाई जा सकती.

इस समस्या को हल करने के लिए, एक ही डोमेन से नया कनेक्शन बनाने से पहले, मैचिंग DN वाला कनेक्शन मिटाएं.

डायरेक्ट्री सिंक की मदद से, आपके Active Directory सर्वर को कनेक्ट नहीं किया जा सका

अगर आपको एडमिन के लॉग इवेंट के डेटा में यह गड़बड़ी दिखती है, तो इन चीज़ों की जांच करें:

• Microsoft Active Directory (AD) सर्वर चालू है और काम कर रहा है.
• आपके नेटवर्क और फ़ायरवॉल को इस तरह से सेट अप किया गया हो कि LDAP पोर्ट पर इनकमिंग ट्रैफ़िक की अनुमति हो.
• आपने अनुमति वाले खाते के क्रेडेंशियल सही तरीके से डाले हों. इसके लिए, username@example.com या EXAMPLE\username फ़ॉर्मैट का इस्तेमाल करें.

अगर आपको अब भी गड़बड़ी दिखती है, तो एडी होस्ट नेम को ठीक करने के लिए, डोमेन नेम सिस्टम (डीएनएस) सर्वर की जानकारी जोड़ें. ज़्यादा जानकारी के लिए, बाहरी डायरेक्ट्री जोड़ना लेख पढ़ें.

वर्चुअल प्राइवेट क्लाउड (वीपीसी) ऐक्सेस कनेक्टर के साथ-साथ, उसी सबनेट में Linux वर्चुअल मशीन (वीएम) भी बनाई जा सकती है. पोर्ट 636 पर AD सर्वर के आईपी पते से टेलनेट करने की कोशिश करें. अगर टेलनेट काम नहीं करता है, तो एडीए सर्वर की नेटवर्क सेटिंग की पुष्टि करें. उदाहरण के लिए, देखें कि पोर्ट 636 खुला है और उपलब्ध है.

अगर टेलनेट हो जाता है, तो यह पुष्टि करने के लिए कि एडी सर्वर सही सर्टिफ़िकेट का इस्तेमाल कर रहा है, Linux VM पर यह कमांड डालें:

openssl s_client -showcerts -connect external server IP address:636

गड़बड़ी: सर्वर से कनेक्ट करते समय कोई गड़बड़ी हुई

आपको एडमिन लॉग इवेंट के डेटा में, इस गड़बड़ी के दो वर्शन मिल सकते हैं.

गड़बड़ी 1–कॉन्फ़िगर किए गए 10,000 मिलीसेकंड के टाइमआउट में, सर्वर आईपी से कनेक्ट करने के दौरान कोई गड़बड़ी हुई

इस गड़बड़ी का मतलब है कि डायरेक्ट्री सिंक, Active Directory (AD) सर्वर से कनेक्ट नहीं हो सका. समस्या हल करने के लिए, पक्का करें कि आपने एडी को सही तरीके से सेट अप किया हो. ज़्यादा जानकारी के लिए, AD डायरेक्ट्री जोड़ना लेख पढ़ें.

गड़बड़ी 2–सर्वर (सर्वर आईपी पता) से कनेक्शन बनाने की कोशिश करते समय गड़बड़ी हुई: (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)

इस गड़बड़ी से पता चलता है कि एडी टीएलएस सर्टिफ़िकेट, उस सर्टिफ़िकेट से मेल नहीं खाता जिसे आपने बाहरी डायरेक्ट्री कनेक्शन को कॉन्फ़िगर करते समय अटैच किया था. समस्या हल करने के लिए, पक्का करें कि सर्टिफ़िकेट मैच करते हों. ज़्यादा जानकारी के लिए, AD डायरेक्ट्री जोड़ना लेख पढ़ें.

AD TLS सर्टिफ़िकेट को स्थानीय तौर पर सेव करने के लिए, Microsoft PowerShell में यह स्क्रिप्ट डालें. साथ ही, localhost को अपने AD सर्वर के डीएनएस रिकॉर्ड या आईपी पते से बदलें:

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

Azure Active Directory से कनेक्शन की जांच नहीं की जा सकती

अगर आपको Google और Microsoft Azure Active Directory के बीच कनेक्शन की जांच करने में समस्या आ रही है, तो समस्या हल करने की जानकारी के लिए, एडमिन लॉग इवेंट देखें. ज़्यादा जानकारी के लिए, एडमिन लॉग इवेंट पर जाएं.

उपयोगकर्ता को नहीं जोड़ा जा सका

आपको डायरेक्ट्री सिंक लॉग इवेंट में यह गड़बड़ी दिख सकती है: "उपयोगकर्ता नहीं बनाया जा सका. Message: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT."

इस गड़बड़ी से पता चलता है कि उपयोगकर्ता के लाइसेंस से जुड़ी कोई समस्या है. अगर आपके पास Google Workspace में उपलब्ध लाइसेंस की संख्या से ज़्यादा लाइसेंस हैं या असाइन करने के लिए कोई लाइसेंस उपलब्ध नहीं है, तो उपयोगकर्ता नहीं बनाया जा सकेगा. साथ ही, आपको यह गड़बड़ी दिखेगी.

समस्या हल करने के लिए, अपने उपयोगकर्ताओं के लिए उपलब्ध लाइसेंस की संख्या बढ़ाएं. ज़्यादा जानकारी के लिए, उपयोगकर्ताओं के लिए ज़्यादा लाइसेंस खरीदना लेख पढ़ें.

मिलते-जुलते विषय

• डायरेक्ट्री सिंक के लॉग इवेंट देखना
• लाइसेंस असाइन करना, हटाना, और फिर से असाइन करना

नतीजा - रेफ़रल से जुड़ी गड़बड़ी

अगर आपको Result - referral से शुरू होने वाली कोई गड़बड़ी मिलती है, तो पक्का करें कि सिंक सेट अप करते समय आपने जो बेस डीएन डाला था वह सही हो.

अगर ग्लोबल कैटलॉग पोर्ट 3269 का इस्तेमाल किया जा रहा है, तो इसे 636 पर बदलें.

उपयोगकर्ता सिंक करने में समस्या आ रही है. गड़बड़ी का मैसेज है, "Not Authorized to access this resource/api"

डायरेक्ट्री सिंक लॉग इवेंट में, आपको इस ब्यौरे के साथ सिंक करने से जुड़ी गड़बड़ियां दिख सकती हैं. आम तौर पर, यह गड़बड़ी तब होती है, जब उपयोगकर्ता खाता बंद हो या ईमेल आईडी में एडी का डोमेन गलत हो. अपने लॉग में मौजूद समस्या को हल करने के लिए, टेबल देखें.

ऐसे उपयोगकर्ता के लॉग इन की एंट्री से जुड़ी समस्याओं को हल करना जो ऐक्टिव नहीं है

अमान्य ईमेल पते और गलत डोमेन लॉग एंट्री से जुड़ी समस्याओं को हल करना

संबंधित विषय

डायरेक्ट्री सिंक के लॉग इवेंट देखना

उपयोगकर्ताओं और ग्रुप को सिंक नहीं किया जाता

इन चरणों को पूरा करने के लिए, आपके पास सुपर एडमिन या Directory Sync एडमिन की भूमिका होनी चाहिए. इसके अलावा, आपके पास Directory Sync की सेटिंग मैनेज करने का अधिकार भी होना चाहिए.

अगर उपयोगकर्ता और ग्रुप सिंक नहीं किए जाते हैं, तो:

1. अपने Google Admin console (admin.google.com पर) में, डायरेक्ट्री सिंक बाहरी डायरेक्ट्री पर क्लिक करें.
2. अपनी डायरेक्ट्री का सिंक करने का स्टेटस देखें.
3. अगर सिंक करने की सुविधा बंद है या सिंक नहीं हो रहा है, तो सिंक करने की सुविधा चालू करें.

   ज़्यादा जानकारी के लिए, सिंक करना लेख पढ़ें.

अगर Microsoft Domain Users ग्रुप सिंक नहीं हो रहा है, तो:

Microsoft डोमेन के उपयोगकर्ताओं के ग्रुप के साथ, डायरेक्ट्री सिंक की सुविधा काम नहीं करती. ज़्यादा जानें

1. Active Directory में, एक नया ग्रुप बनाएं. इसमें Microsoft Domain Users ग्रुप के सभी सदस्य और अनुमतियां शामिल हों.
2. उस ग्रुप को Microsoft Domain Users ग्रुप के सदस्य के तौर पर जोड़ें.
3. सदस्यों को मैनेज करने और सिंक करने के लिए, नए ग्रुप का इस्तेमाल करें.

ध्यान दें: Microsoft Domain User ग्रुप के एट्रिब्यूट न बदलें. ऐसा करने से, अन्य समस्याएं हो सकती हैं.

उपयोगकर्ताओं की स्थिति में, 'एडमिन ने निलंबित किया' दिखता है

आपको इस गड़बड़ी को ठीक करने के बारे में ज़्यादा जानकारी, डायरेक्ट्री सिंक लॉग इवेंट में मिल सकती है:

1. डायरेक्ट्री सिंक लॉग इवेंट खोलें.

   ज़्यादा जानकारी के लिए, डायरेक्ट्री सिंक के लॉग इवेंट डेटा को ऐक्सेस करना लेख पढ़ें.

2. कोई फ़िल्टर जोड़ें टारगेट ऑब्जेक्ट आईडी पर क्लिक करें.
3. उपयोगकर्ता का ईमेल पता डालें और लागू करें पर क्लिक करें.
4. अगर आपको:
   • Object Updated इवेंट में, New attributes {suspended: true} जानकारी दी गई है. इसका मतलब है कि डायरेक्ट्री सिंक ने उपयोगकर्ता के खाते को निलंबित कर दिया है, क्योंकि उसका खाता AD में चालू नहीं है.
   • Object Deprovisioned इवेंट की जांच करें. देखें कि AD में उपयोगकर्ता को मिटा दिया गया है या उसे किसी ऐसे दूसरे पाथ पर ले जाया गया है जो एलडीएपी खोज के दायरे में नहीं आता.

सिंक किए गए डेटा में कुछ उपयोगकर्ता शामिल नहीं हैं

पता लगाएं कि उपयोगकर्ताओं के पास कौनसी ज़रूरी जानकारी नहीं है. साथ ही, पक्का करें कि उपयोगकर्ता:

• आपकी बाहरी डायरेक्ट्री में चालू है
• वह उस ग्रुप का सदस्य हो जिसे आपने उपयोगकर्ता सिंक करने की सुविधा सेट अप करते समय चुना था
• उपयोगकर्ता ऑब्जेक्ट है और आपकी बाहरी डायरेक्ट्री में संपर्क नहीं है
• उसका ईमेल आईडी आपकी बाहरी डायरेक्ट्री में मौजूद हो और ईमेल आईडी का डोमेन, आपके Google Workspace डोमेन के जैसा हो

डायरेक्ट्री सिंक लॉग इवेंट में, समस्या हल करने से जुड़ी ज़्यादा जानकारी मिल सकती है:

1. डायरेक्ट्री सिंक लॉग इवेंट खोलें.

   ज़्यादा जानकारी के लिए, डायरेक्ट्री सिंक के लॉग इवेंट डेटा को ऐक्सेस करना लेख पढ़ें.

2. फ़िल्टर जोड़ें सोर्स ऑब्जेक्ट आईडी पर क्लिक करें.
3. उपयोगकर्ता का डीएन जोड़ें और लागू करें पर क्लिक करें.
4. सिंक करने से जुड़ी गड़बड़ी वाले इवेंट ढूंढें और गड़बड़ियों की समीक्षा करें.
5. उपयोगकर्ता के DN की मदद से, Read Object इवेंट खोजें.
6. अगर आपको कोई Read Object इवेंट नहीं मिलता है, तो इसका मतलब है कि डायरेक्ट्री सिंक ने उपयोगकर्ता को सिंक नहीं किया है. आम तौर पर, ऐसा इन वजहों से हो सकता है:
   • उपयोगकर्ता की सदस्यता, LDAP की खोज के दायरे में नहीं आती. इसका मतलब है कि उपयोगकर्ता, उस ग्रुप के बेस डीएन में मौजूद नहीं है जिसे उपयोगकर्ता के खातों को सिंक करने के दौरान सेट अप किया गया था.
   • डायरेक्ट्री सिंक, किसी दूसरे डोमेन कंट्रोलर से कम्यूनिकेट कर रहा है. साथ ही, इंक्रीमेंटल सिंक में सभी बदलाव नहीं दिख रहे हैं. पुष्टि करें कि होस्टनेम और आईपी पता, एक ही डोमेन कंट्रोलर पर ले जाते हों.

कुछ उपयोगकर्ताओं को ग्रुप के सदस्यों के तौर पर सिंक नहीं किया जाता

देखें कि ग्रुप के सदस्य ने:

• मेल एट्रिब्यूट की वैल्यू सेट की गई हो और ईमेल आईडी मान्य फ़ॉर्मैट में हो
• ग्रुप के बेस डीएन में मौजूद नहीं है