डायरेक्ट्री सिंक से जुड़ी समस्या हल करना

बाहरी डायरेक्ट्री जोड़ते समय, डायरेक्ट्री की सेटिंग सेव नहीं की जा सकीं

• पक्का करें कि प्रोजेक्ट में Data Connectors API चालू हो. ज़्यादा जानकारी के लिए, Data Connectors API चालू करना पर जाएं.
• अगर वर्चुअल प्राइवेट क्लाउड (वीपीसी) सर्विस कंट्रोल पेरीमीटर का कोई नियम कॉन्फ़िगर किया गया है और Google Cloud Console में storage.googleapis.com से जुड़ी PERMISSION_DENIED गड़बड़ियां दिख रही हैं, तो आपको अपने प्रोजेक्ट के लिए Cloud Storage API का ऐक्सेस देना होगा. अगर आपको artifactregistry.googleapis.com से जुड़ी गड़बड़ियां भी दिखती हैं, तो यहां दिया गया इग्रेस नियम जोड़ें. इससे Directory Sync के संसाधन, आपकी बाहरी डायरेक्ट्री तक पहुंच पाएंगे:

  egress To:
  _ serviceName : artifactregistry.googleapis.com
   methodSelectors :
    - method: artifactregistry.googleapis.com/DockerRead
  Resources
  - projects/397958601689
  egressFrom:
   identityType: ANY_IDENTITY

सेवा के दायरे से जुड़े नियमों में बदलाव करने के बारे में ज़्यादा जानने के लिए, सेवा के दायरे की जानकारी और पुष्टि पर जाएं.

डोमेन का पहले से इस्तेमाल किया जा रहा है. इसलिए, डायरेक्ट्री सेटिंग सेव नहीं की जा सकीं

एक ही डोमेन के लिए, डायरेक्ट्री सिंक के कई कनेक्शन नहीं बनाए जा सकते. डायरेक्ट्री सिंक, बेस डिस्टिंग्विश्ड नेम (डीएन) की तुलना करता है. अगर डोमेन मेल खाते हैं, तो डायरेक्ट्री नहीं बनाई जा सकती.

इस समस्या को हल करने के लिए, एक ही डोमेन से नया कनेक्शन बनाने से पहले, मैचिंग DN वाला कनेक्शन मिटाएं.

डायरेक्ट्री सिंक की मदद से, आपके Active Directory सर्वर को कनेक्ट नहीं किया जा सका

अगर आपको एडमिन के लॉग इवेंट के डेटा में यह गड़बड़ी दिखती है, तो यहां दी गई जानकारी देखें:

• Microsoft Active Directory (AD) सर्वर चालू है और काम कर रहा है.
• आपके नेटवर्क और फ़ायरवॉल को इस तरह से सेट अप किया गया हो कि LDAP पोर्ट पर आने वाले ट्रैफ़िक को अनुमति दी जा सके.
• आपने अनुमति वाले खाते के क्रेडेंशियल सही तरीके से डाले हों. इसके लिए, username@example.com या EXAMPLE\username फ़ॉर्मैट का इस्तेमाल करें.

अगर आपको अब भी गड़बड़ी दिखती है, तो एडी होस्ट नेम को ठीक करने के लिए, डोमेन नेम सिस्टम (डीएनएस) सर्वर की जानकारी जोड़ें. ज़्यादा जानकारी के लिए, बाहरी डायरेक्ट्री जोड़ना लेख पढ़ें.

वर्चुअल प्राइवेट क्लाउड (वीपीसी) ऐक्सेस कनेक्टर के साथ-साथ, उसी सबनेट में Linux वर्चुअल मशीन (वीएम) भी बनाई जा सकती है. पोर्ट 636 पर AD सर्वर के आईपी पते से टेलनेट करने की कोशिश करें. अगर टेलनेट काम नहीं करता है, तो एडीए सर्वर की नेटवर्क सेटिंग की पुष्टि करें. उदाहरण के लिए, देखें कि पोर्ट 636 खुला है और उपलब्ध है.

अगर टेलनेट हो जाता है, तो यह पुष्टि करने के लिए कि AD सर्वर सही सर्टिफ़िकेट का इस्तेमाल कर रहा है, Linux VM पर यह कमांड डालें:

openssl s_client -showcerts -connect external server IP address:636

गड़बड़ी: सर्वर से कनेक्ट करते समय कोई गड़बड़ी हुई

आपको एडमिन लॉग इवेंट के डेटा में, इस गड़बड़ी के दो वर्शन मिल सकते हैं.

गड़बड़ी 1–कॉन्फ़िगर किए गए 10,000 मिलीसेकंड के टाइमआउट में, सर्वर आईपी से कनेक्ट करने में गड़बड़ी हुई

इस गड़बड़ी का मतलब है कि डायरेक्ट्री सिंक, Active Directory (AD) सर्वर से कनेक्ट नहीं हो सका. समस्या हल करने के लिए, पक्का करें कि आपने AD को सही तरीके से सेट अप किया हो. ज़्यादा जानकारी के लिए, AD डायरेक्ट्री जोड़ना लेख पढ़ें.

गड़बड़ी 2–सर्वर (सर्वर आईपी पता) से कनेक्शन बनाने की कोशिश करते समय गड़बड़ी हुई: (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)

इस गड़बड़ी से पता चलता है कि AD TLS सर्टिफ़िकेट, उस सर्टिफ़िकेट से मेल नहीं खाता जिसे आपने बाहरी डायरेक्ट्री कनेक्शन को कॉन्फ़िगर करते समय अटैच किया था. समस्या हल करने के लिए, पक्का करें कि सर्टिफ़िकेट मैच करते हों. ज़्यादा जानकारी के लिए, AD डायरेक्ट्री जोड़ना लेख पढ़ें.

AD TLS सर्टिफ़िकेट को स्थानीय तौर पर सेव करने के लिए, Microsoft PowerShell में यह स्क्रिप्ट डालें. साथ ही, localhost को अपने AD सर्वर के डीएनएस रिकॉर्ड या आईपी पते से बदलें:

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

Azure Active Directory से कनेक्शन की जांच नहीं की जा सकती

अगर आपको Google और Microsoft Azure Active Directory के बीच कनेक्शन की जांच करने में समस्या आ रही है, तो समस्या हल करने की जानकारी के लिए, एडमिन लॉग इवेंट देखें. ज़्यादा जानकारी के लिए, एडमिन लॉग इवेंट पर जाएं.

उपयोगकर्ता को नहीं जोड़ा जा सका

आपको डायरेक्ट्री सिंक लॉग इवेंट में यह गड़बड़ी दिख सकती है: "उपयोगकर्ता नहीं बनाया जा सका. Message: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT."

इस गड़बड़ी से पता चलता है कि उपयोगकर्ता के लाइसेंस से जुड़ी कोई समस्या है. अगर आपके पास Google Workspace में उपलब्ध लाइसेंस की संख्या से ज़्यादा लाइसेंस हैं या असाइन करने के लिए कोई लाइसेंस उपलब्ध नहीं है, तो उपयोगकर्ता नहीं बनाया जा सकेगा. साथ ही, आपको यह गड़बड़ी दिखेगी.

समस्या हल करने के लिए, अपने उपयोगकर्ताओं के लिए उपलब्ध लाइसेंस की संख्या बढ़ाएं. ज़्यादा जानकारी के लिए, उपयोगकर्ताओं के लिए ज़्यादा लाइसेंस खरीदना लेख पढ़ें.

मिलते-जुलते विषय

• डायरेक्ट्री सिंक के लॉग इवेंट देखना
• लाइसेंस असाइन करना, हटाना, और फिर से असाइन करना

नतीजा - रेफ़रल से जुड़ी गड़बड़ी

अगर आपको नतीजा - रेफ़रल से शुरू होने वाली कोई गड़बड़ी मिलती है, तो पक्का करें कि सिंक सेट अप करते समय आपने जो बेस डीएन डाला था वह सही हो.

अगर ग्लोबल कैटलॉग पोर्ट 3269 का इस्तेमाल किया जा रहा है, तो इसे 636 पर बदलें.

उपयोगकर्ता सिंक करने में यह मैसेज दिखता है: "Not Authorized to access this resource/api"

डायरेक्ट्री सिंक लॉग इवेंट में, आपको इस ब्यौरे के साथ सिंक करने से जुड़ी गड़बड़ियां दिख सकती हैं. आम तौर पर, यह गड़बड़ी तब होती है, जब उपयोगकर्ता खाता बंद हो या ईमेल आईडी में AD का गलत डोमेन हो. अपने लॉग में मौजूद समस्या को हल करने के लिए, टेबल देखें.

ऐसे उपयोगकर्ता के लॉग इन की एंट्री से जुड़ी समस्याओं को हल करना जो ऐक्टिव नहीं है

अमान्य ईमेल पते और गलत डोमेन लॉग एंट्री से जुड़ी समस्याओं को हल करना

संबंधित विषय

डायरेक्ट्री सिंक के लॉग इवेंट देखना

उपयोगकर्ताओं और ग्रुप को सिंक नहीं किया जाता

इन चरणों को पूरा करने के लिए, आपके पास सुपर एडमिन या Directory Sync Admin की भूमिका होनी चाहिए. इसके अलावा, आपके पास Directory Sync की सेटिंग मैनेज करने का अधिकार भी होना चाहिए.

अगर उपयोगकर्ता और ग्रुप सिंक नहीं किए जाते हैं, तो:

1. Google Admin console में (admin.google.com पर), डायरेक्ट्री सिंक बाहरी डायरेक्ट्री पर क्लिक करें.
2. अपनी डायरेक्ट्री का सिंक स्टेटस देखें.
3. अगर सिंक करने की सुविधा बंद है या सिंक नहीं हो रहा है, तो सिंक करने की सुविधा चालू करें.

   ज़्यादा जानकारी के लिए, सिंक करना लेख पढ़ें.

अगर आपका Microsoft Domain Users ग्रुप सिंक नहीं हो रहा है, तो:

Microsoft डोमेन के उपयोगकर्ताओं के ग्रुप के साथ, डायरेक्ट्री सिंक की सुविधा काम नहीं करती. ज़्यादा जानें

1. Active Directory में, एक नया ग्रुप बनाएं. इसमें Microsoft Domain Users ग्रुप के सभी सदस्य और अनुमतियां शामिल हों.
2. उस ग्रुप को Microsoft Domain Users ग्रुप के सदस्य के तौर पर जोड़ें.
3. सदस्यों को मैनेज करने और सिंक करने के लिए, नए ग्रुप का इस्तेमाल करें.

ध्यान दें: Microsoft Domain User ग्रुप के एट्रिब्यूट न बदलें. ऐसा करने से, अन्य समस्याएं हो सकती हैं.

उपयोगकर्ताओं की स्थिति में, 'एडमिन ने निलंबित किया' दिखता है

इस गड़बड़ी को ठीक करने के बारे में ज़्यादा जानकारी, डायरेक्ट्री सिंक लॉग इवेंट में देखी जा सकती है:

1. डायरेक्ट्री सिंक के लॉग इवेंट खोलें.

   ज़्यादा जानकारी के लिए, डायरेक्ट्री सिंक के लॉग इवेंट डेटा को ऐक्सेस करना लेख पढ़ें.

2. कोई फ़िल्टर जोड़ें टारगेट ऑब्जेक्ट आईडी पर क्लिक करें.
3. उपयोगकर्ता का ईमेल पता डालें और लागू करें पर क्लिक करें.
4. अगर आपको:
   • Object Updated इवेंट में, New attributes {suspended: true} जानकारी दी गई है. इसका मतलब है कि डायरेक्ट्री सिंक ने उपयोगकर्ता के खाते को निलंबित कर दिया है, क्योंकि उसका खाता AD में चालू नहीं है.
   • Object Deprovisioned इवेंट की जांच करें. देखें कि AD में मौजूद उपयोगकर्ता का खाता मिटा दिया गया है या उसे किसी ऐसे पाथ पर ले जाया गया है जो एलडीएपी सर्च स्कोप में नहीं आता.

सिंक किए गए डेटा में कुछ उपयोगकर्ता शामिल नहीं हैं

पता लगाएं कि उपयोगकर्ताओं के पास कौनसी ज़रूरी जानकारी नहीं है. साथ ही, पक्का करें कि उपयोगकर्ता:

• आपकी बाहरी डायरेक्ट्री में चालू है
• वह उस ग्रुप का सदस्य हो जिसे आपने उपयोगकर्ता सिंक करने की सुविधा सेट अप करते समय चुना था
• उपयोगकर्ता ऑब्जेक्ट है और आपकी बाहरी डायरेक्ट्री में संपर्क नहीं है
• उसका ईमेल आईडी आपकी बाहरी डायरेक्ट्री में मौजूद हो और ईमेल आईडी में मौजूद डोमेन, आपके Google Workspace डोमेन के जैसा हो

डायरेक्ट्री सिंक लॉग इवेंट में, समस्या हल करने से जुड़ी ज़्यादा जानकारी मिल सकती है:

1. डायरेक्ट्री सिंक के लॉग इवेंट खोलें.

   ज़्यादा जानकारी के लिए, डायरेक्ट्री सिंक के लॉग इवेंट डेटा को ऐक्सेस करना लेख पढ़ें.

2. कोई फ़िल्टर जोड़ें सोर्स ऑब्जेक्ट आईडी पर क्लिक करें.
3. उपयोगकर्ता का डीएन जोड़ें और लागू करें पर क्लिक करें.
4. सिंक करने से जुड़ी गड़बड़ी वाले इवेंट ढूंढें और गड़बड़ियों की समीक्षा करें.
5. उपयोगकर्ता के DN की मदद से, Read Object इवेंट खोजें.
6. अगर आपको कोई Read Object इवेंट नहीं मिलता है, तो इसका मतलब है कि डायरेक्ट्री सिंक ने उपयोगकर्ता को सिंक नहीं किया है. आम तौर पर, ऐसा इन वजहों से हो सकता है:
   • उपयोगकर्ता की सदस्यता, LDAP सर्च स्कोप में नहीं आती. इसका मतलब है कि उपयोगकर्ता, उस ग्रुप के बेस डीएन में मौजूद नहीं है जिसे आपने उपयोगकर्ता के खाते को सिंक करने के दौरान सेट अप किया था.
   • डायरेक्ट्री सिंक, किसी दूसरे डोमेन कंट्रोलर से कम्यूनिकेट कर रहा है. साथ ही, इंक्रीमेंटल सिंक सभी बदलावों को नहीं चुन रहा है. पुष्टि करें कि होस्टनेम और आईपी पता, एक ही डोमेन कंट्रोलर पर ले जाते हों.

कुछ उपयोगकर्ताओं को ग्रुप के सदस्यों के तौर पर सिंक नहीं किया जाता

देखें कि ग्रुप के सदस्य ने:

• मेल एट्रिब्यूट की वैल्यू सेट की गई हो और ईमेल आईडी मान्य फ़ॉर्मैट में हो
• ग्रुप के बेस डीएन में मौजूद नहीं है