Rozwiązywanie problemów z Directory Sync

Oto rozwiązania problemów, które mogą wystąpić podczas konfigurowania synchronizacji katalogów i synchronizowania danych za pomocą tego narzędzia.

Skonfiguruj

Nie udało się zapisać ustawień katalogu podczas dodawania katalogu zewnętrznego

  • Sprawdź, czy w projekcie jest włączony interfejs Data Connectors API. Więcej informacji znajdziesz w artykule Włączanie interfejsu Data Connectors API.
  • Jeśli została skonfigurowana reguła granicy Ustawień usługi VPC, a konsola Google Cloud wyświetla odpowiednie błędy PERMISSION_DENIED związane z adresem storage.googleapis.com, musisz zezwolić na dostęp do interfejsu Cloud Storage API w swoim projekcie. Jeśli widzisz też błędy związane z adresem artifactregistry.googleapis.com, dodaj tę regułę dotyczącą ruchu wychodzącego, aby umożliwić zasobom Directory Synch dostęp do katalogu zewnętrznego: 
    egress To:
_ serviceName : artifactregistry.googleapis.com
 methodSelectors :
  - method: artifactregistry.googleapis.com/DockerRead
Resources
- projects/397958601689
egressFrom:
 identityType: ANY_IDENTITY

Więcej informacji o edytowaniu reguł dotyczących granicy usług znajdziesz w artykule na temat szczegółów granicy usług i potwierdzenia.

Nie udało się zapisać ustawień katalogu, bo domena jest już w użyciu

Wiele połączeń Directory Sync nie może wskazywać tej samej domeny. Directory Sync porównuje podstawowe nazwy wyróżniające (DN) i, jeśli domeny pasują, utworzenie katalogu kończy się niepowodzeniem.

Aby rozwiązać ten problem, usuń połączenie z pasującą nazwą wyróżniającą, zanim utworzysz nowe połączenie z tą samą domeną.

Błąd: Directory Sync nie może nawiązać połączenia z serwerem Active Directory

Jeśli ten błąd pojawił się w danych zdarzeń w dzienniku administratora, sprawdź, czy:

  • serwer Microsoft Active Directory (AD) jest aktywny,
  • Twoja sieć i zapory sieciowe zezwalają na ruch przychodzący na porcie LDAP,
  • dane logowania do konta zostały wprowadzone poprawnie w formacie nazwa_użytkownika@example.com lub PRZYKLAD\nazwa_użytkownika.

Jeśli błąd nadal występuje, dodaj dane serwera DNS, aby umożliwić znalezienie nazwy hosta usługi AD. Więcej informacji znajdziesz w artykule Dodawanie katalogu zewnętrznego.

Możesz też utworzyć maszynę wirtualną z systemem Linux w tej samej podsieci co oprogramowanie sprzęgające dostęp do prywatnego środowiska wirtualnego w chmurze (VPC). Spróbuj połączyć się przez Telnet z adresem IP serwera AD na porcie 636. Jeśli usługa Telnet zawiedzie, sprawdź ustawienia sieciowe serwera AD, na przykład zobacz, czy port 636 jest otwarty i dostępny.

Jeśli telnet działa, sprawdź, czy serwer AD używa prawidłowego certyfikatu, wpisując to polecenie na maszynie wirtualnej z systemem Linux:

openssl s_client -showcerts -connect external server IP address:636

Błąd: podczas próby połączenia z serwerem wystąpił błąd

Mogą się pojawić 2 wersje tego błędu: Dane zdarzeń z dziennika administratora.

Błąd 1: podczas próby nawiązania połączenia z serwerem (adres IP serwera) w ustawionym czasie oczekiwania wynoszącym 10 000 milisekund wystąpił błąd

Ten błąd oznacza, że Directory Sync nie może połączyć się z serwerem Active Directory (AD). Aby rozwiązać ten problem, prawidłowo skonfiguruj usługę AD. Szczegółowe informacje znajdziesz w sekcji „Dodawanie katalogu AD” w tym artykule.

Błąd 2: podczas próby nawiązania połączenia z serwerem (adres IP serwera) wystąpił błąd: (SSLHandshakeException(sun.security.validator.ValidatorException: nie udało się utworzyć ścieżki PKIX: sun.security.provider.certpath.SunCertPathBuilderException: nie udało się znaleźć prawidłowej ścieżki certyfikacji do żądanego miejsca docelowego)

Ten błąd oznacza, że certyfikat TLS usługi AD nie jest zgodny z certyfikatem dołączonym podczas konfigurowania połączenia z katalogiem zewnętrznym. Aby rozwiązać ten problem, zapewnij zgodność certyfikatów. Szczegółowe informacje znajdziesz w sekcji „Dodawanie katalogu AD” w tym artykule.

Aby lokalnie zapisać certyfikat TLS usługi AD, wpisz następujący skrypt w Microsoft PowerShell, zastępując fragment localhost rekordem DNS lub adresem IP serwera AD:

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

Nie można przetestować połączenia z Azure Active Directory

Jeśli nie możesz przetestować połączenia między Google i Microsoft Azure Active Directory, sprawdź zdarzenia z dziennika administratora, aby uzyskać informacje na temat rozwiązywania problemów. Więcej informacji znajdziesz w artykule Zdarzenia z dziennika administratora.

Problemy z synchronizacją

Błąd dotyczący nieudanego utworzenia użytkownika

W zdarzeniach z dziennika Directory Sync może pojawić się ten błąd: „Nie udało się utworzyć użytkownika. Wiadomość: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT”.

Ten błąd wskazuje na problem z licencją użytkownika. Jeśli przekroczysz liczbę licencji dostępnych w Google Workspace lub nie masz żadnych licencji do przypisania, utworzenie konta użytkownika się nie powiedzie i zostanie wyświetlony ten błąd.

Aby rozwiązać ten problem, zwiększ liczbę licencji dostępnych dla użytkowników. Szczegółowe informacje znajdziesz w artykule Dokupowanie licencji dla użytkowników.

Powiązane artykuły

Wynik – błąd odesłania

Jeśli pojawia się błąd zaczynający się od Wynik – odesłanie, sprawdź, czy podczas konfigurowania synchronizacji podano prawidłową nazwę wyróżniającą.

Jeśli używany jest globalny port katalogu 3269, zmień go na 636.

Błąd synchronizacji konta użytkownika z komunikatem „Nie masz uprawnień dostępu do tego zasobu/interfejsu API”

W zdarzeniach z dziennika Directory Sync ten opis może oznaczać błędy synchronizacji. Ten błąd występuje zazwyczaj wtedy, gdy konto użytkownika jest nieaktywne lub identyfikator e-mail zawiera nieprawidłową domenę w Active Directory. Aby rozwiązać problem w dziennikach, skorzystaj z tabel.

Rozwiązywanie problemów z wpisami w dzienniku nieaktywnych użytkowników

Zdarzenie z dziennika i opis Jak rozwiązać problem

Zdarzenie: odczytanie obiektów

Opis: odczytanie konta użytkownika nazwa użytkownika z atrybutami … ; suspended: true		 Komunikat suspended: true oznacza, że użytkownik jest nieaktywny w katalogu zewnętrznym. Otwórz katalog zewnętrzny i sprawdź, czy użytkownik jest aktywny.

Zdarzenie: zaktualizowanie obiektu

Opis: zaktualizowano konto użytkownika nazwa użytkownika. Stare atrybuty: { suspended: false; }, nowe atrybuty: { suspended: true; }		 Ten komunikat pojawi się, jeśli włączysz ustawienie Zawieś konto użytkownika w katalogu Google, a użytkownik będzie już obecny na Twoim koncie Google.

Sprawdź w katalogu zewnętrznym, czy użytkownik jest aktywny, lub zaktualizuj reguły wyrejestrowywania. Szczegółowe informacje o wyrejestrowaniu znajdziesz w sekcji Zawieszanie kont użytkowników spoza katalogu zewnętrznego.

Rozwiązywanie problemów z nieprawidłowymi adresami e-mail i nieprawidłowymi wpisami w dzienniku domen

Zdarzenie z dziennika i opis Jak rozwiązać problem
Zdarzenie: błąd synchronizacji – pojedynczy obiekt

Opis: nie udało się utworzyć konta użytkownika nazwa użytkownika

 Skonfiguruj Directory Sync, aby zastąpić nazwę domeny użytkowników. Szczegółowe informacje znajdziesz w artykule Zastępowanie nazwy domeny w przypadku zsynchronizowanych użytkowników.

Możesz też użyć tej samej domeny w przypadku konta źródłowego, jak i docelowego.
Zdarzenie: pominięcie obiektu – nieoczekiwany błąd

Opis: pominięto synchronizację użytkownika. Nie udało się zaktualizować konta użytkownika nazwa użytkownika.

 Skonfiguruj Directory Sync, aby zastąpić nazwę domeny użytkowników. Szczegółowe informacje znajdziesz w artykule Zastępowanie nazwy domeny w przypadku zsynchronizowanych użytkowników.

Możesz też użyć tej samej domeny w przypadku konta źródłowego, jak i docelowego.
Zdarzenie: błąd synchronizacji

Opis: pomijanie użytkownika: nie można przeanalizować adresu e-mail użytkownika z katalogu zdalnego

 Użytkownik ma nieprawidłowy adres e-mail. Popraw adres e-mail w katalogu zewnętrznym.
Zdarzenie: błąd synchronizacji

Opis: pomijanie konta użytkownika nazwa użytkownika, ponieważ ścieżka jednostki organizacyjnej nie jest ustawiona w atrybucie department

 Jeśli włączono zastępowanie nazwy domeny e-mail, sprawdź atrybuty użytkownika w katalogu zewnętrznym. Upewnij się, że atrybut, którego używasz do umieszczania użytkowników w jednostce organizacyjnej, ma wartość.

Jeśli zastępowanie nazwy domeny e-mail nie jest włączone, sprawdź, czy w katalogu zewnętrznym używasz prawidłowego adresu e-mail użytkownika.

Powiązany artykuł

Sprawdzanie zdarzeń z dziennika Directory Sync

Konta użytkowników i grupy nie są synchronizowane

Aby wykonać te czynności, musisz mieć rolę superadministratora lub administratora Directory Sync albo uprawnienia Zarządzanie ustawieniami Directory Sync.

Jeśli konta użytkowników i grupy nie są synchronizowane:

  1. W konsoli administracyjnej Google (na admin.google.com) kliknij Directory Sync a potem Katalogi zewnętrzne.
  2. Sprawdź stan synchronizacji katalogu.
  3. Jeśli synchronizacja jest nieaktywna lub nieudana, aktywuj ją.

    Szczegółowe informacje znajdziesz w artykule na temat przeprowadzania synchronizacji.

Jeśli grupa Użytkownicy w domenie Microsoft nie jest synchronizowana:

Grupa Użytkownicy domeny Microsoft nie jest obsługiwana przez Directory Sync. Więcej informacji

  1. W Active Directory utwórz nową grupę zawierającą wszystkich właściwych członków i uprawnienia grupy Użytkownicy w domenie Microsoft.
  2. Dodaj tę grupę jako członka grupy Użytkownicy w domenie Microsoft.
  3. Używaj nowej grupy do zarządzania członkami i synchronizacją.

Uwaga: nie zmieniaj atrybutów grupy użytkowników domeny Microsoft, ponieważ może to spowodować inne nieoczekiwane działanie.

Konta użytkowników mają stan „Zawieszone przez administratora”

Więcej informacji o rozwiązywaniu problemów znajdziesz w zdarzeniach z dziennika Directory Sync:

  1. Otwórz zdarzenia z dziennika Directory Sync.

    Szczegółowe informacje znajdziesz w artykule Uzyskiwanie dostępu do danych zdarzenia z dziennika Directory Sync.

  2. Kliknij Dodaj filtr a potem Identyfikator obiektu docelowego.
  3. Wpisz adres e-mail użytkownika i kliknij Zastosuj.
  4. W przypadku zdarzenia:
    • Zdarzenie Zaktualizowanie obiektu z opisem Nowe atrybuty {suspended: true} – usługa Directory Sync zawiesiła konto użytkownika, ponieważ jest ono nieaktywne w Active Directory.
    • Wyrejestrowanie obiektu – sprawdź, czy użytkownik w Active Directory nie został usunięty lub przeniesiony do innej ścieżki, która nie należy do zakresu wyszukiwania LDAP.

Brak synchronizacji w przypadku niektórych użytkowników

Ustal, których danych brakuje, i upewnij się, że konto użytkownika:

  • nie jest wyłączone w katalogu zewnętrznym;
  • należy bezpośrednio do grupy określonej podczas konfigurowania synchronizacji kont użytkowników;
  • jest obiektem użytkownika, a nie kontaktem w katalogu zewnętrznym;
  • ma identyfikator e-mail dodany do Twojego katalogu zewnętrznego, a domena w adresie e-mail jest taka sama jak domena Google Workspace.

Więcej informacji o rozwiązywaniu problemów znajdziesz w dziennikach zdarzeń Directory Sync:

  1. Otwórz zdarzenia z dziennika Directory Sync.

    Szczegółowe informacje znajdziesz w artykule Uzyskiwanie dostępu do danych zdarzenia z dziennika Directory Sync.

  2. Kliknij Dodaj filtr a potem Identyfikator obiektu źródłowego.
  3. Dodaj nazwę wyróżniającą użytkownika i kliknij Zastosuj.
  4. Znajdź zdarzenia błędów synchronizacji i sprawdź błędy.
  5. Wyszukaj zdarzenia Odczyt obiektu z nazwą wyróżniającą użytkownika.
  6. Jeśli nie możesz znaleźć żadnych zdarzeń odczytu obiektu, Directory Sync nie zsynchronizował konta użytkownika. Typowe przyczyny:
    • Konto użytkownika nie mieści się w zakresie wyszukiwania LDAP (użytkownik nie znajduje się w podstawowej nazwie wyróżniającej grupy określonej podczas konfigurowania synchronizacji ani poniżej niej).
    • Directory Sync komunikuje się z innym kontrolerem domeny, a synchronizacja przyrostowa nie rejestruje wszystkich zmian. Sprawdź, czy nazwa hosta i adres IP wskazują na ten sam kontroler domeny.

Niektórzy użytkownicy nie są synchronizowani jako członkowie grup

Upewnij się, że członek grupy:

  • ma ustawioną wartość atrybutu „mail” oraz identyfikator e-mail w prawidłowym formacie,
  • nie znajduje się pod podstawową nazwą wyróżniającą grupy lub poniżej.

Tworzenie użytkownika nie powiodło się z powodu błędu „Użytkownik już istnieje”

Błąd Użytkownik już istnieje występuje zazwyczaj wtedy, gdy usuniesz użytkownika w katalogu zewnętrznym, a następnie utworzysz nowego użytkownika z tym samym adresem e-mail.

Directory Sync używa unikalnego identyfikatora do łączenia użytkowników między Google Workspace a katalogiem zewnętrznym. Użytkownicy Microsoft Active Directory mają identyfikator ObjectGUID, a użytkownicy Microsoft Azure Active Directory mają identyfikator obiektu.

Jeśli ponownie utworzysz użytkownika w katalogu zewnętrznym, nowy użytkownik otrzyma oryginalny identyfikator ObjectGUID lub Object ID. Jednak adres e-mail nowego użytkownika jest nadal powiązany z usuniętym użytkownikiem w Workspace, więc synchronizacja się nie powiedzie.

Jeśli planujesz ponownie utworzyć użytkownika z tym samym adresem e-mail, zachowaj jego identyfikator ObjectGUID lub Object ID w katalogu zewnętrznym. Możesz też zmienić nazwę lub usunąć adres e-mail użytkownika w Workspace, aby Directory Sync mogło połączyć konto użytkownika z nowym użytkownikiem w katalogu zewnętrznym.


Google, Google Workspace i znaki pokrewne są znakami towarowymi Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.