ここでは、Directory Sync の同期の設定と実行に関する問題の解決方法をご紹介します。
設定
外部ディレクトリの追加時にディレクトリ設定を保存できないというエラーが発生する
- プロジェクトで Data Connectors API が有効になっていることを確認します。詳しくは、Data Connectors API を有効にするをご覧ください。
- Virtual Private Cloud(VPC)Service Controls の境界ルールが構成されていて、storage.googleapis.com に関連する PERMISSION_DENIED エラーが Google Cloud コンソールに表示される場合は、プロジェクトに対して Cloud Storage API へのアクセスを許可する必要があります。artifactregistry.googleapis.com に関連するエラーも表示される場合は、次の下り(外向き)ルールを追加して、Directory Sync リソースが外部ディレクトリに到達できるようにします。
egress To: _ serviceName : artifactregistry.googleapis.com methodSelectors : - method: artifactregistry.googleapis.com/DockerRead Resources - projects/397958601689 egressFrom: identityType: ANY_IDENTITY
サービス境界ルールの編集の詳細については、サービス境界の詳細と構成をご覧ください。
すでにドメインが使用されているため、ディレクトリ設定を保存できない
複数の Directory Sync 接続で同じドメインを参照することはできません。Directory Sync はベース識別名(DN)を比較します。ドメインが一致すると、ディレクトリの作成は失敗します。
この問題を解決するには、一致する DN との接続を削除してから、同じドメインの新しい DN を作成してください。
Directory Sync で Active Directory サーバーに接続できないというエラーが発生する
管理ログイベントのデータでこのエラーが表示される場合は、次の点をご確認ください。
- Microsoft Active Directory(AD)サーバーが稼働している。
- ネットワークとファイアウォールが、LDAP ポートで受信トラフィックを許可するように設定されている。
- [ユーザー名]@[ドメイン名] または [ドメイン名]\[ユーザー名] の形式を使用して、承認済みのアカウントの認証情報が正しく入力されている。
それでもエラーが表示される場合は、ドメイン ネーム システム(DNS)サーバーの詳細を追加して AD ホスト名を解決します。詳しくは、外部ディレクトリを追加するをご覧ください。
Virtual Private Cloud(VPC)アクセス コネクタと同じサブネットに Linux 仮想マシン(VM)を作成することもできます。636 番ポートを指定して AD サーバーの IP アドレスに Telnet 接続できるか試してみてください。Telnet 接続に失敗した場合は、AD サーバーのネットワーク設定を確認します。たとえば、636 番ポートが開いていて使用可能であるか確かめます。
Telnet 接続に成功した場合、Linux VM で次のコマンドを入力して AD サーバーが正しい証明書を使用しているかどうかを確認します。
openssl s_client -showcerts -connect external server IP address:636
エラー: An error occurred while attempting to connect to server
このエラーには 2 種類あり、管理ログイベントのデータには各バージョンが示されています。
エラー 1 - An error occurred while attempting to connect to server ([サーバー IP]) within the configured timeout of 10000 milliseconds
このエラーは、Directory Sync が Active Directory(AD)サーバーに接続できなかったことを示します。トラブルシューティングを行うには、AD が正しく設定されていることを確認してください。詳しくは、AD ディレクトリを追加するをご覧ください。
エラー 2 - An error occurred while attempting to establish a connection to server ([サーバー IP]): (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)
このエラーは、AD TLS 証明書が外部ディレクトリ接続の構成時にアタッチした証明書と一致しないことを示します。トラブルシューティングを行うには、証明書が一致していることを確認してください。詳しくは、AD ディレクトリを追加するをご覧ください。
AD TLS 証明書をローカルに保存するには、Microsoft PowerShell で次のスクリプトを入力してください。localhostlocalhost は AD サーバーの DNS レコードまたは IP アドレスに置き換えます。
$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"Azure Active Directory への接続をテストできない
Google と Microsoft Azure Active Directory の間の接続をテストできない場合は、管理ログイベントでトラブルシューティング情報を確認してください。詳しくは、管理ログイベントをご覧ください。
同期に関する問題
「ユーザーを作成できませんでした」エラー
Directory Sync のログイベントに「User could not be created. メッセージ: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT」というエラーが出ることがあります。
このエラーは、ユーザーのライセンスに問題があることを示します。Google Workspace で使用可能なライセンス数を超えた場合や、割り当てできるライセンスがない場合は、ユーザーの作成に失敗し、このエラーが記録されます。
トラブルシューティングを行うには、ユーザーが使用できるライセンスの数を増やす必要があります。詳しくは、ユーザー ライセンスを追加購入するをご覧ください。
関連トピック
結果 - 参照エラー
[結果 - 参照] で始まるエラーが表示された場合は、同期の設定時に入力したベース DN が正しいことを確認してください。
グローバル カタログ ポート 3269 を使用している場合は、636 に変更してください。
ユーザーの同期が失敗し、「Not Authorized to access this resource/api」と記録される
Directory Sync のログイベントに、この説明が記載された同期エラーが記録されることがあります。このエラーは通常、ユーザー アカウントが無効になっているか、AD 内のメール ID のドメインが正しくない場合に発生します。表を参照して、ログの問題のトラブルシューティングを行ってください。
非アクティブなユーザーのログエントリのトラブルシューティング
| ログイベントと説明 | トラブルシューティングの手順 |
|---|---|
|
イベント: オブジェクトの読み取り 説明: 属性 ... ; suspended: true を持つ username を読み取ります。 |
suspended: true メッセージは、ユーザーが外部ディレクトリで非アクティブであることを意味します。外部ディレクトリに移動し、ユーザーがアクティブであることを確認します。 |
|
イベント: オブジェクトの更新 説明: ユーザーの username を更新します。古い属性 { suspended: false; }、新しい属性 { suspended: true; } |
このメッセージは、[Google Directory でユーザーを停止する] 設定をオンにしており、そのユーザーがすでに Google アカウントに存在する場合に表示されます。
外部ディレクトリでユーザーがアクティブであることを確認するか、デプロビジョニング ルールを更新します。デプロビジョニングについて詳しくは、外部ディレクトリで見つからないユーザーを停止するをご確認ください。 |
無効なメールアドレスと正しくないドメインのログエントリのトラブルシューティング
| ログイベントと説明 | トラブルシューティングの手順 |
|---|---|
| イベント: 同期エラー - 個別のオブジェクト
説明: ユーザーの username を作成できませんでした |
Directory Sync を設定して、ユーザーのドメイン名を置き換えます。詳しくは、同期されたユーザーのドメイン名を置き換えるをご覧ください。
または、ソース アカウントとターゲット アカウントの両方で同じドメインを使用します。 |
| イベント: オブジェクトのスキップ - 予期しないエラー
説明: ユーザーの同期をスキップしました。username の更新に失敗しました |
Directory Sync を設定して、ユーザーのドメイン名を置き換えます。詳しくは、同期されたユーザーのドメイン名を置き換えるをご覧ください。
または、ソース アカウントとターゲット アカウントの両方で同じドメインを使用します。 |
| イベント: 同期エラー
説明: ユーザーをスキップします: リモート ディレクトリからユーザーのメールアドレスを解析できません |
ユーザーのメールアドレスが無効です。外部ディレクトリでメールアドレスを修正します。 |
| イベント: 同期エラー
説明: 属性部署に組織部門のパスが設定されていないため、ユーザー: username をスキップします |
メールのドメイン名の置換をオンにしている場合は、外部ディレクトリのユーザー属性を確認します。ユーザーの組織部門への配置に使用している属性に値があることを確認します。
メールのドメイン名の置換がオンになっていない場合は、外部ディレクトリのユーザーに有効なメールアドレスが使用されていることを確認します。 |
関連トピック
ユーザーとグループが同期されない
この手順を行うには、特権管理者または Directory Sync 管理者のロール、または Directory Sync の設定管理の権限を持っている必要があります。
ユーザーとグループが同期されていない場合:
- Google 管理コンソール(admin.google.com)で、[ディレクトリ同期]
[外部ディレクトリ] をクリックします。 - ディレクトリの [同期ステータス] を確認します。
- 同期が無効または失敗している場合は、同期を有効にします。
詳しくは、同期の実行をご覧ください。
Microsoft Domain Users グループが同期されない場合:
Microsoft Domain Users グループは Directory Sync でサポートされていません。詳細
- Active Directory で、Microsoft Domain Users グループに該当するすべてのメンバーと権限が含まれた新しいグループを作成します。
- そのグループを Microsoft Domain Users グループのメンバーとして追加します。
- この新しいグループを使用して、メンバーの管理と同期を行います。
注: Microsoft Domain Users グループの属性は変更しないでください。他の予期しない動作が発生する可能性があります。
ユーザーのステータスが [管理者により停止中] と表示される
Directory Sync のログイベントで、このエラーに関する詳しいトラブルシューティング情報を確認できます。
- Directory Sync のログイベントを開きます。
詳しくは、Directory Sync のログイベントデータにアクセスするをご覧ください。
- [フィルタを追加]
[ターゲット オブジェクト ID] をクリックします。
- ユーザーのメールアドレスを入力して [適用] をクリックします。
- 以下のように表示されます。
- [オブジェクトの更新] イベントと [新しい属性 {suspended: true}] が表示される場合は、ユーザーのアカウントが AD で有効になっていないため、ディレクトリ同期でユーザーが一時停止されたことを示します。
- [オブジェクトのデプロビジョニング] イベントが表示される場合は、AD 内でユーザーが削除されていないか、または LDAP の検索スコープ外の別のパスに移動されていないかを確認してください。
同期されないユーザーがいる
同期されていないユーザーを特定し、以下のことを確認します。
- 外部ディレクトリで非アクティブではない
- ユーザー同期の設定時に指定したグループの直接的なメンバーである
- 外部ディレクトリ内のユーザー オブジェクトであり、連絡先ではない
- 外部ディレクトリにメール ID が存在しており、そのメール ID のドメインが Google Workspace のドメインと同じである
Directory Sync のログイベントで、詳しいトラブルシューティング情報を確認できます。
- Directory Sync のログイベントを開きます。
詳しくは、Directory Sync のログイベントデータにアクセスするをご覧ください。
- [フィルタを追加]
[ソース オブジェクト ID] をクリックします。
- ユーザーの DN を追加して、[適用] をクリックします。
- [同期エラー] イベントを見つけて、エラーを確認します。
- ユーザーの DN で [オブジェクトの読み取り] イベントを検索します。
- Read Object イベントが見つからない場合、Directory Sync はそのユーザーを同期していません。一般的な原因は次のとおりです。
- ユーザー メンバーシップが LDAP の検索スコープに含まれていない(ユーザー同期の設定時に指定したグループのベース DN またはその下にユーザーが配置されていない)。
- Directory Sync が別のドメイン コントローラと通信しており、増分同期ですべての変更が検出されていない。ホスト名と IP アドレスが同じドメイン コントローラを指しているかどうか確認してください。
一部のユーザーがグループ メンバーとして同期されない
グループ メンバーについて、次のことを確認します。
- メール属性値が設定されており、有効な形式のメール ID がある
- グループのベース DN やその下に配置されていない
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。