Risolvere i problemi di Directory Sync

Impossibile salvare l'errore relativo alle impostazioni della directory quando aggiungi la directory esterna

• Assicurati che l'API Data Connectors sia attivata nel progetto. Per maggiori dettagli, vedi Attivare l'API Data Connectors.
• Se è configurata una regola del perimetro dei Controlli di servizio VPC (Virtual Private Cloud) e la console Google Cloud presenta errori PERMISSION_DENIED corrispondenti relativi a storage.googleapis.com, devi consentire l'accesso all'API Cloud Storage per il tuo progetto. Se visualizzi anche errori corrispondenti per artifactregistry.googleapis.com, aggiungi la seguente regola in uscita per consentire alle risorse di Directory Sync di raggiungere la tua directory esterna:

  egress To:
  _ serviceName : artifactregistry.googleapis.com
   methodSelectors :
    - method: artifactregistry.googleapis.com/DockerRead
  Resources
  - projects/397958601689
  egressFrom:
   identityType: ANY_IDENTITY

Per maggiori dettagli sulla modifica delle regole del perimetro di servizio, vai a Dettagli e conferma del perimetro di servizio.

Impossibile salvare le impostazioni della directory perché il dominio è già utilizzato

Più connessioni Directory Sync non possono rimandare allo stesso dominio. Directory Sync confronta i nomi distinti (DN) di base e, se i domini corrispondono, la creazione della directory non riesce.

Per risolvere il problema, elimina la connessione con l'ND corrispondente prima di crearne una nuova con lo stesso dominio.

Directory Sync non riesce a connettersi all'errore del server Active Directory

Se visualizzi questo errore nei dati degli eventi del log amministrativo, verifica quanto segue:

• Il server Microsoft Active Directory (AD) è attivo e in esecuzione.
• La tua rete e i firewall sono configurati in modo da consentire il traffico in entrata sulla porta LDAP.
• Hai inserito correttamente le credenziali dell'account autorizzato utilizzando il formato nome utente@esempio.com o ESEMPIO\nome utente.

Se l'errore persiste, aggiungi i dettagli del server DNS (Domain Name System) per risolvere il nome host AD. Per maggiori dettagli, vedi Aggiungere una directory esterna.

Puoi anche creare una macchina virtuale (VM) Linux nella stessa subnet del connettore di accesso Virtual Private Cloud (VPC). Prova a eseguire il telnet all'indirizzo IP del server AD sulla porta 636. Se telnet non funziona, verifica le impostazioni di rete del server AD, ad esempio controlla che la porta 636 sia aperta e disponibile.

Se telnet ha esito positivo, per verificare se il server AD utilizza il certificato corretto, inserisci il seguente comando sulla VM Linux:

openssl s_client -showcerts -connect external server IP address:636

Errore: si è verificato un errore durante il tentativo di connessione al server

Puoi visualizzare due versioni di questo errore nei dati sugli eventi dei log amministrativi.

Errore 1: si è verificato un errore durante il tentativo di connessione al server (IP server) entro il timeout configurato di 10.000 millisecondi

Questo errore indica che Directory Sync non è riuscito a connettersi al server Active Directory (AD). Per risolvere il problema, assicurati di aver configurato correttamente AD. Per maggiori dettagli, vedi Aggiungere una directory AD.

Errore 2: si è verificato un errore durante il tentativo di stabilire una connessione al server (IP server): (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)

Questo errore indica che il certificato TLS di AD non corrisponde al certificato che hai allegato durante la configurazione della connessione alla directory esterna. Per risolvere il problema, assicurati che i certificati corrispondano. Per maggiori dettagli, vedi Aggiungere una directory AD.

Per salvare il certificato TLS di AD in locale, inserisci lo script seguente in Microsoft PowerShell sostituendo localhost con il record DNS o l'indirizzo IP del server AD:

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

Impossibile testare la connessione ad Azure Active Directory

Se non riesci a testare la connessione tra Google e Microsoft Azure Active Directory, controlla gli eventi dei log amministrativi per informazioni sulla risoluzione dei problemi. Per maggiori dettagli, vedi Eventi dei log amministrativi.

Errore User could not be created (Impossibile creare l'utente)

Negli eventi del log di Directory Sync potrebbe essere visualizzato il seguente errore: "User could not be created" (Impossibile creare l'utente). Messaggio: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT."

Questo errore indica un problema con le licenze utente. Se superi il numero di licenze disponibili in Google Workspace o se non sono disponibili licenze da assegnare, la creazione degli utenti non va a buon fine e viene visualizzato questo errore.

Per risolvere il problema, aumenta il numero di licenze disponibili per gli utenti. Per maggiori dettagli, vai ad Acquistare licenze utente aggiuntive.

Argomenti correlati

• Controllare gli eventi dei log di Directory Sync
• Assegnare, rimuovere e riassegnare le licenze

Risultato - Errore referral

Se viene visualizzato un messaggio di errore che inizia con Risultato - referral, verifica che il DN di base inserito durante la configurazione della sincronizzazione sia corretto.

Se utilizzi la porta di catalogo globale 3269, impostala sulla porta 636.

La sincronizzazione degli utenti non riesce e restituisce il messaggio "Non autorizzato ad accedere a questa risorsa/api"

Negli eventi del log di Directory Sync, potresti riscontrare errori di sincronizzazione con questa descrizione. In genere l'errore si verifica se l'account utente non è attivo o se l'ID email ha un dominio errato in AD. Consulta le tabelle per risolvere il problema nei log.

Risolvere i problemi relativi alle voci di log degli utenti non attivi

Risolvere i problemi relativi all'indirizzo email non valido e alle voci di log del dominio errate

Argomento correlato

Controllare gli eventi dei log di Directory Sync

Utenti e gruppi non sono sincronizzati

Per completare questi passaggi, devi disporre del ruolo di super amministratore, di amministratore di Directory Sync o del privilegio di gestione delle impostazioni di Directory Sync.

Se gli utenti e i gruppi non sono sincronizzati:

1. Nella Console di amministrazione Google (all'indirizzo admin.google.com), fai clic su Sincronizzazione della directory Directory esterne.
2. Controlla lo stato di sincronizzazione della directory.
3. Se la sincronizzazione è inattiva o non riuscita, attivala.

   Per informazioni dettagliate, vedi Eseguire una sincronizzazione.

Se il gruppo Utenti del dominio Microsoft non si sincronizza:

Il gruppo Utenti del dominio Microsoft non è supportato da Directory Sync. Scopri di più

1. In Active Directory, crea un nuovo gruppo contenente tutti i membri e le autorizzazioni applicabili del gruppo Utenti del dominio Microsoft.
2. Aggiungi il gruppo come membro del gruppo Utenti del dominio Microsoft.
3. Utilizza il nuovo gruppo per gestire i membri e la sincronizzazione.

Nota: non modificare gli attributi del gruppo Utente del dominio Microsoft perché potrebbero attivarsi altri comportamenti imprevisti.

Lo stato degli utenti viene visualizzato come Sospeso dall'amministratore

Puoi trovare altre informazioni sulla risoluzione di questo errore negli eventi del log di Directory Sync:

1. Apri gli eventi dei log di Directory Sync.

   Per maggiori dettagli, vedi Accedere ai dati degli eventi del log di Directory Sync.

2. Fai clic su Aggiungi un filtro ID oggetto di destinazione.
3. Inserisci l'indirizzo email dell'utente e fai clic su Applica.
4. Se visualizzi un evento:
   • Oggetto aggiornato con la descrizione Nuovi attributi {suspended: true}, Directory Sync ha sospeso l'utente perché il suo account non è attivo in AD.
   • Deprovisioning dell'oggetto eseguito: controlla se l'utente in AD è stato eliminato o è stato spostato in un altro percorso che non rientra nell'ambito della ricerca LDAP.

Alcuni utenti non sono presenti nella sincronizzazione

Identifica gli utenti mancanti e assicurati che l'utente:

• Non sia inattivo nella directory esterna
• È un membro diretto del gruppo specificato durante la configurazione della sincronizzazione degli utenti
• Sia un oggetto utente e non un contatto nella tua directory esterna
• Abbiano un ID email presente nella directory esterna e che il dominio nell'ID email sia lo stesso del dominio Google Workspace

Puoi trovare ulteriori informazioni sulla risoluzione dei problemi negli eventi del log di Directory Sync:

1. Apri gli eventi dei log di Directory Sync.

   Per maggiori dettagli, vedi Accedere ai dati degli eventi del log di Directory Sync.

2. Fai clic su Aggiungi un filtro ID oggetto di origine.
3. Aggiungi il DN dell'utente e fai clic su Applica.
4. Individua gli eventi di errore di sincronizzazione ed esamina gli errori.
5. Cerca gli eventi Oggetto letto con il DN dell'utente.
6. Se non riesci a trovare alcun evento Oggetto letto, Directory Sync non ha sincronizzato l'utente. I motivi più comuni sono:
   • L'appartenenza dell'utente non rientra nell'ambito di ricerca di LDAP, ovvero l'utente non risiede né corrisponde all'ND di base del gruppo specificato quando hai configurato la sincronizzazione degli utenti.
   • Directory Sync sta comunicando con un controller di dominio diverso e una sincronizzazione incrementale non rileva tutte le modifiche. Verifica che il nome host e l'indirizzo IP rimandino allo stesso domain controller.

Alcuni utenti non vengono sincronizzati come membri del gruppo

Controlla che il membro del gruppo:

• Abbiano il valore dell'attributo posta impostato e l'ID email sia in un formato valido
• Non risieda né corrisponda al DN di base del gruppo