Berikut cara memecahkan masalah yang mungkin Anda alami saat menyiapkan dan menjalankan sinkronisasi dengan Directory Sync.
Siapkan
Tidak dapat menyimpan error setelan direktori saat menambahkan direktori eksternal
- Pastikan Data Connectors API diaktifkan di project. Untuk mengetahui detailnya, buka Mengaktifkan Data Connectors API.
- Jika aturan perimeter Kontrol Layanan Virtual Private Cloud (VPC) dikonfigurasi dan konsol Google Cloud memiliki error PERMISSION_DENIED yang terkait dengan storage.googleapis.com, Anda harus mengizinkan akses ke Cloud Storage API untuk project Anda. Jika Anda juga melihat error yang terkait dengan artifactregistry.googleapis.com, tambahkan aturan egress berikut agar resource Directory Sync dapat menjangkau direktori eksternal Anda:
egress To: _ serviceName : artifactregistry.googleapis.com methodSelectors : - method: artifactregistry.googleapis.com/DockerRead Resources - projects/397958601689 egressFrom: identityType: ANY_IDENTITY
Untuk mengetahui detail selengkapnya tentang cara mengedit aturan perimeter layanan, buka detail dan konfirmasi perimeter layanan.
Tidak dapat menyimpan setelan direktori karena domain sudah digunakan
Beberapa koneksi Sinkronisasi Direktori tidak dapat mengarah ke domain yang sama. Sinkronisasi Direktori membandingkan nama yang dibedakan (DN) dasar. Jika domain cocok, pembuatan direktori akan gagal.
Untuk mengatasi masalah ini, hapus koneksi dengan DN yang cocok sebelum membuat koneksi baru dengan domain yang sama.
Error Sinkronisasi Direktori tidak dapat terhubung ke server Active Directory Anda
Jika Anda mendapatkan error ini di data peristiwa log Admin, periksa hal berikut:
- Server Microsoft Active Directory (AD) sudah aktif dan berjalan.
- Jaringan dan firewall Anda sudah disiapkan untuk mengizinkan traffic masuk di port LDAP.
- Anda sudah dengan benar memasukkan kredensial akun yang diizinkan, menggunakan format username@example.com atau EXAMPLE\username.
Jika error masih terjadi, tambahkan detail server Domain Name System (DNS) untuk me-resolve nama host AD. Untuk mengetahui detailnya, buka Menambahkan direktori eksternal.
Anda juga dapat membuat virtual machine (VM) Linux di subnet yang sama dengan konektor akses Virtual Private Cloud (VPC). Coba lakukan telnet ke alamat IP server AD di port 636. Jika telnet gagal, verifikasi setelan jaringan server AD, misalnya, periksa apakah port 636 terbuka dan tersedia.
Jika telnet berhasil, masukkan perintah berikut di Linux VM untuk memastikan apakah server AD menggunakan sertifikat yang benar:
openssl s_client -showcerts -connect external server IP address:636
Error: Terjadi error saat mencoba terhubung ke server
Anda mungkin akan mendapatkan 2 versi error ini, yaitu Data peristiwa log Admin.
Error 1–Error terjadi saat mencoba terhubung ke server (IP Server) dalam waktu tunggu yang dikonfigurasi, yaitu 10.000 milidetik
Error ini menunjukkan bahwa Sinkronisasi Direktori gagal terhubung ke server Active Directory (AD). Untuk memecahkan masalah tersebut, pastikan Anda menyiapkan AD dengan benar. Untuk mengetahui detailnya, buka Menambahkan direktori AD.
Error 2–Terjadi error saat mencoba terhubung ke server (IP Server): (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)
Error ini menunjukkan bahwa sertifikat AD TLS tidak cocok dengan sertifikat yang Anda lampirkan saat mengonfigurasi koneksi direktori eksternal. Untuk memecahkan masalah tersebut, pastikan sertifikatnya cocok. Untuk mengetahui detailnya, buka Menambahkan direktori AD.
Untuk menyimpan sertifikat TLS AD secara lokal, masukkan skrip berikut di Microsoft PowerShell dan ganti localhost dengan Data DNS atau alamat IP server AD Anda:
$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"Tidak dapat menguji koneksi ke Azure Active Directory
Jika Anda tidak dapat menguji koneksi antara Google dan Microsoft Azure Active Directory, periksa peristiwa log admin untuk mendapatkan informasi terkait pemecahan masalah. Untuk mengetahui detailnya, buka Peristiwa log Admin.
Masalah sinkronisasi
Error pengguna tidak dapat dibuat
Anda mungkin mendapatkan error berikut di peristiwa log Directory Sync: "Pengguna tidak dapat dibuat. Pesan: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT."
Error ini menunjukkan masalah pemberian lisensi pengguna. Jika Anda melebihi jumlah lisensi yang tersedia di Google Workspace atau tidak ada lisensi yang tersedia untuk ditetapkan, pembuatan pengguna akan gagal dan Anda akan mendapatkan error ini.
Untuk memecahkan masalah tersebut, tambah jumlah lisensi yang tersedia untuk pengguna Anda. Untuk mengetahui detailnya, buka Membeli lebih banyak lisensi pengguna.
Topik terkait
Hasil - error rujukan
Jika Anda mendapatkan error yang diawali dengan Hasil - rujukan, pastikan DN dasar yang Anda masukkan saat menyiapkan sinkronisasi sudah benar.
Jika Anda menggunakan port katalog global 3269, ubah menjadi 636.
Sinkronisasi pengguna gagal dengan pesan "Tidak Diizinkan untuk mengakses resource/API ini"
Dalam peristiwa log Directory Sync, Anda mungkin mendapatkan error sinkronisasi dengan deskripsi ini. Error ini biasanya akan muncul jika akun pengguna dinonaktifkan atau ID email memiliki domain yang salah di AD. Lihat tabel untuk memecahkan masalah dalam log.
Memecahkan masalah entri log pengguna tidak aktif
| Peristiwa & deskripsi log | Langkah pemecahan masalah |
|---|---|
|
Peristiwa: Membaca Objek Deskripsi: Membaca nama pengguna dengan atribut ... ; ditangguhkan: benar |
Pesan ditangguhkan: benar berarti pengguna tidak aktif dalam direktori eksternal Anda. Buka direktori eksternal Anda dan pastikan pengguna tersebut aktif. |
|
Peristiwa: Objek Diperbarui Deskripsi: nama pengguna Pengguna Diperbarui. Atribut lama { ditangguhkan: salah; }, atribut baru { ditangguhkan: benar; } |
Anda akan mendapatkan pesan ini jika Anda mengaktifkan setelan Tangguhkan pengguna di Direktori Google, dan pengguna tersebut sudah ada di Akun Google Anda.
Periksa direktori eksternal Anda untuk memastikan pengguna masih aktif atau perbarui aturan pencabutan akses Anda. Untuk mengetahui detail tentang pencabutan akses, buka Menangguhkan pengguna yang tidak ditemukan di direktori eksternal. |
Memecahkan masalah alamat email tidak valid & entri log domain yang salah
| Peristiwa & deskripsi log | Langkah pemecahan masalah |
|---|---|
| Peristiwa: Error Sinkronisasi - Objek Terpisah
Deskripsi: Nama pengguna pengguna tidak dapat dibuat |
Siapkan Sinkronisasi Direktori untuk mengganti nama domain bagi pengguna. Untuk mengetahui detailnya, buka Mengganti nama domain untuk pengguna yang disinkronkan.
Atau, gunakan domain yang sama untuk akun sumber dan target. |
| Peristiwa: Objek Dilewati - Error Tidak Terduga
Deskripsi: Sinkronisasi Pengguna dilewati. Gagal memperbarui nama pengguna |
Siapkan Sinkronisasi Direktori untuk mengganti nama domain bagi pengguna. Untuk mengetahui detailnya, buka Mengganti nama domain untuk pengguna yang disinkronkan.
Atau, gunakan domain yang sama untuk akun sumber dan target. |
| Peristiwa: Error Sinkronisasi
Deskripsi: Melewatkan pengguna: Tidak dapat mengurai email pengguna dari direktori jarak jauh |
Pengguna memiliki alamat email yang tidak valid. Perbaiki alamat email di direktori eksternal. |
| Peristiwa: Error Sinkronisasi
Deskripsi: Melewatkan pengguna: username karena jalur unit organisasi tidak ditetapkan dalam departemen atribut |
Jika Anda mengaktifkan penggantian nama domain email, periksa atribut pengguna di direktori eksternal. Pastikan atribut yang Anda gunakan untuk menempatkan pengguna dalam unit organisasi memiliki nilai.
Jika penggantian nama domain email tidak diaktifkan, pastikan Anda menggunakan alamat email yang valid untuk pengguna di direktori eksternal. |
Topik terkait
Pengguna & grup tidak disinkronkan
Untuk menyelesaikan langkah-langkah ini, Anda harus memiliki peran administrator super atau Admin Directory Sync, atau hak istimewa Mengelola Setelan Directory Sync.
Jika pengguna dan grup tidak disinkronkan:
- Di konsol Google Admin (di admin.google.com), klik Directory Sync
Direktori eksternal. - Periksa Status Sinkronisasi direktori Anda.
- Jika sinkronisasi tidak aktif atau tidak berhasil, aktifkan sinkronisasi.
Untuk mengetahui detailnya, buka Menjalankan sinkronisasi.
Jika grup Microsoft Domain User (Pengguna Domain Microsoft) Anda tidak disinkronkan:
Grup Microsoft Domain User (Pengguna Domain Microsoft) tidak didukung oleh Directory Sync. Pelajari lebih lanjut
- Di Active Directory, buat grup baru yang berisi semua anggota dan izin yang berlaku dari grup Microsoft Domain User (Pengguna Domain Microsoft).
- Tambahkan grup tersebut sebagai anggota grup Microsoft Domain User (Pengguna Domain Microsoft).
- Gunakan grup baru untuk mengelola anggota dan sinkronisasi.
Catatan: Jangan ubah atribut grup Microsoft Domain User (Pengguna Domain Microsoft) karena dapat memicu perilaku tidak terduga lainnya.
Status pengguna menampilkan Ditangguhkan oleh admin
Anda dapat menemukan informasi pemecahan masalah selengkapnya terkait error ini di peristiwa log Directory Sync:
- Buka peristiwa log Directory Sync.
Untuk mengetahui detailnya, buka Mengakses data peristiwa log Directory Sync.
- Klik Tambahkan filter
ID objek target.
- Masukkan alamat email pengguna, lalu klik Terapkan.
- Jika Anda mendapatkan:
- Peristiwa Objek Diperbarui dengan deskripsi Atribut baru {suspended: true}, Sinkronisasi Direktori menangguhkan pengguna karena akunnya tidak aktif di AD.
- Peristiwa Objek Dicabut Aksesnya, periksa apakah pengguna di AD dihapus atau telah dipindahkan ke jalur lain yang tidak berada dalam cakupan penelusuran LDAP.
Beberapa pengguna tidak ada dalam sinkronisasi
Identifikasi informasi yang tidak ada dari pengguna dan pastikan pengguna:
- Aktif di direktori eksternal Anda
- Merupakan anggota langsung dari grup yang Anda tentukan saat menyiapkan sinkronisasi pengguna
- Adalah objek pengguna dan bukan merupakan kontak di direktori eksternal Anda
- Memiliki ID email yang ada di direktori eksternal dan domain di ID email sama dengan domain Google Workspace Anda
Anda dapat menemukan informasi pemecahan masalah selengkapnya di peristiwa log Directory Sync:
- Buka peristiwa log Directory Sync.
Untuk mengetahui detailnya, buka Mengakses data peristiwa log Directory Sync.
- Klik Tambahkan filter
ID objek sumber.
- Tambahkan DN pengguna, lalu klik Terapkan.
- Periksa untuk menemukan peristiwa Error Sinkronisasi dan tinjau error tersebut.
- Cari peristiwa Objek Dibaca dengan DN pengguna.
- Jika Anda tidak dapat menemukan peristiwa Objek Dibaca, Directory Sync belum menyinkronkan pengguna. Alasan umumnya adalah:
- Keanggotaan pengguna tidak berada dalam cakupan penelusuran LDAP (pengguna tidak berada pada atau di bawah base DN dari grup yang ditentukan saat Anda menyiapkan sinkronisasi pengguna).
- Directory Sync berkomunikasi dengan pengontrol domain lain, dan sinkronisasi tambahan tidak mendeteksi semua perubahan yang ada. Pastikan nama host dan alamat IP mengarah ke pengontrol domain yang sama.
Beberapa pengguna tidak disinkronkan sebagai anggota grup
Pastikan anggota grup:
- Memiliki nilai atribut email yang telah ditetapkan dan ID email dalam format yang valid
- Tidak berada pada atau di bawah base DN grup
Google, Google Workspace, serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang dari masing-masing perusahaan yang bersangkutan.