Rozwiązywanie problemów z Directory Sync

Nie udało się zapisać ustawień katalogu podczas dodawania katalogu zewnętrznego

• Sprawdź, czy w projekcie jest włączony interfejs Data Connectors API. Więcej informacji znajdziesz w artykule Włączanie interfejsu Data Connectors API.
• Jeśli została skonfigurowana reguła granicy Ustawień usługi VPC, a konsola Google Cloud wyświetla odpowiednie błędy PERMISSION_DENIED związane z adresem storage.googleapis.com, musisz zezwolić na dostęp do interfejsu Cloud Storage API w swoim projekcie. Jeśli widzisz też błędy związane z adresem artifactregistry.googleapis.com, dodaj tę regułę dotyczącą ruchu wychodzącego, aby umożliwić zasobom Directory Synch dostęp do katalogu zewnętrznego:

  egress To:
  _ serviceName : artifactregistry.googleapis.com
   methodSelectors :
    - method: artifactregistry.googleapis.com/DockerRead
  Resources
  - projects/397958601689
  egressFrom:
   identityType: ANY_IDENTITY

Więcej informacji o edytowaniu reguł dotyczących granicy usług znajdziesz w artykule na temat szczegółów granicy usług i potwierdzenia.

Nie udało się zapisać ustawień katalogu, bo domena jest już w użyciu

Wiele połączeń Directory Sync nie może wskazywać tej samej domeny. Synchronizacja katalogu porównuje podstawowe nazwy wyróżniające (DN), a po znalezieniu pasującej domeny utworzenie katalogu kończy się niepowodzeniem.

Aby rozwiązać ten problem, usuń połączenie z pasującą nazwą wyróżniającą, zanim utworzysz nowe połączenie z tą samą domeną.

Błąd: Directory Sync nie może nawiązać połączenia z serwerem Active Directory

Jeśli ten błąd pojawił się w danych zdarzeń w dzienniku administratora, sprawdź, czy:

• serwer Microsoft Active Directory (AD) jest aktywny,
• Twoja sieć i zapory sieciowe zezwalają na ruch przychodzący na porcie LDAP,
• dane logowania do konta zostały wprowadzone poprawnie w formacie nazwa_użytkownika@example.com lub PRZYKLAD\nazwa_użytkownika.

Jeśli błąd nadal występuje, dodaj dane serwera DNS, aby umożliwić znalezienie nazwy hosta usługi AD. Więcej informacji znajdziesz w artykule Dodawanie katalogu zewnętrznego.

Możesz też utworzyć maszynę wirtualną z systemem Linux w tej samej podsieci co oprogramowanie sprzęgające dostęp do prywatnego środowiska wirtualnego w chmurze (VPC). Spróbuj połączyć się przez Telnet z adresem IP serwera AD na porcie 636. Jeśli usługa Telnet zawiedzie, sprawdź ustawienia sieciowe serwera AD, na przykład zobacz, czy port 636 jest otwarty i dostępny.

Jeśli telnet działa, sprawdź, czy serwer AD używa prawidłowego certyfikatu, wpisując to polecenie na maszynie wirtualnej z systemem Linux:

openssl s_client -showcerts -connect external server IP address:636

Błąd: podczas próby połączenia z serwerem wystąpił błąd

Mogą się pojawić 2 wersje tego błędu: Dane zdarzeń z dziennika administratora.

Błąd 1: podczas próby nawiązania połączenia z serwerem (adres IP serwera) w ustawionym czasie oczekiwania wynoszącym 10 000 milisekund wystąpił błąd

Ten błąd oznacza, że Directory Sync nie może połączyć się z serwerem Active Directory (AD). Aby rozwiązać ten problem, prawidłowo skonfiguruj usługę AD. Szczegółowe informacje znajdziesz w sekcji „Dodawanie katalogu AD” w tym artykule.

Błąd 2: podczas próby nawiązania połączenia z serwerem (adres IP serwera) wystąpił błąd: (SSLHandshakeException(sun.security.validator.ValidatorException: nie udało się utworzyć ścieżki PKIX: sun.security.provider.certpath.SunCertPathBuilderException: nie udało się znaleźć prawidłowej ścieżki certyfikacji do żądanego miejsca docelowego)

Ten błąd oznacza, że certyfikat TLS usługi AD nie jest zgodny z certyfikatem dołączonym podczas konfigurowania połączenia z katalogiem zewnętrznym. Aby rozwiązać ten problem, zapewnij zgodność certyfikatów. Szczegółowe informacje znajdziesz w sekcji „Dodawanie katalogu AD” w tym artykule.

Aby lokalnie zapisać certyfikat TLS usługi AD, wpisz następujący skrypt w Microsoft PowerShell, zastępując fragment localhost rekordem DNS lub adresem IP serwera AD:

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

Nie można przetestować połączenia z Azure Active Directory

Jeśli nie możesz przetestować połączenia między Google i Microsoft Azure Active Directory, sprawdź zdarzenia z dziennika administratora, aby uzyskać informacje na temat rozwiązywania problemów. Więcej informacji znajdziesz w artykule Zdarzenia z dziennika administratora.

Błąd dotyczący nieudanego utworzenia użytkownika

W zdarzeniach z dziennika Directory Sync może pojawić się ten błąd: „Nie udało się utworzyć użytkownika. Wiadomość: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT”.

Ten błąd wskazuje na problem z licencją użytkownika. Jeśli przekroczysz liczbę licencji dostępnych w Google Workspace lub nie masz żadnych licencji do przypisania, utworzenie konta użytkownika się nie powiedzie i zostanie wyświetlony ten błąd.

Aby rozwiązać ten problem, zwiększ liczbę licencji dostępnych dla użytkowników. Szczegółowe informacje znajdziesz w artykule Dokupowanie licencji dla użytkowników.

Powiązane artykuły

• Sprawdzanie zdarzeń z dziennika Directory Sync
• Przypisywanie, usuwanie i ponowne przypisywanie licencji

Wynik – błąd odesłania

Jeśli pojawia się błąd zaczynający się od Wynik – odesłanie, sprawdź, czy podczas konfigurowania synchronizacji podano prawidłową nazwę wyróżniającą.

Jeśli używany jest globalny port katalogu 3269, zmień go na 636.

Błąd synchronizacji konta użytkownika z komunikatem „Nie masz uprawnień dostępu do tego zasobu/interfejsu API”

W zdarzeniach z dziennika Directory Sync ten opis może oznaczać błędy synchronizacji. Ten błąd występuje zazwyczaj wtedy, gdy konto użytkownika jest nieaktywne lub identyfikator e-mail zawiera nieprawidłową domenę w Active Directory. Aby rozwiązać problem w dziennikach, skorzystaj z tabel.

Rozwiązywanie problemów z wpisami w dzienniku nieaktywnych użytkowników

Rozwiązywanie problemów z nieprawidłowymi adresami e-mail i nieprawidłowymi wpisami w dzienniku domen

Temat pokrewny

Sprawdzanie zdarzeń z dziennika Directory Sync

Konta użytkowników i grupy nie są synchronizowane

Aby wykonać te czynności, musisz mieć rolę superadministratora lub administratora Directory Sync albo uprawnienia Zarządzanie ustawieniami Directory Sync.

Jeśli konta użytkowników i grupy nie są synchronizowane:

1. W konsoli administracyjnej Google (na admin.google.com) kliknij Directory Sync Katalogi zewnętrzne.
2. Sprawdź stan synchronizacji katalogu.
3. Jeśli synchronizacja jest nieaktywna lub nieudana, aktywuj ją.

   Szczegółowe informacje znajdziesz w artykule na temat przeprowadzania synchronizacji.

Jeśli grupa Użytkownicy w domenie Microsoft nie jest synchronizowana:

Grupa Użytkownicy domeny Microsoft nie jest obsługiwana przez Directory Sync. Więcej informacji

1. W Active Directory utwórz nową grupę zawierającą wszystkich właściwych członków i uprawnienia grupy Użytkownicy w domenie Microsoft.
2. Dodaj tę grupę jako członka grupy Użytkownicy w domenie Microsoft.
3. Używaj nowej grupy do zarządzania członkami i synchronizacją.

Uwaga: nie zmieniaj atrybutów grupy użytkowników domeny Microsoft, ponieważ może to spowodować inne nieoczekiwane działanie.

Konta użytkowników mają stan „Zawieszone przez administratora”

Więcej informacji o rozwiązywaniu problemów znajdziesz w zdarzeniach z dziennika Directory Sync:

1. Otwórz zdarzenia z dziennika Directory Sync.

   Szczegółowe informacje znajdziesz w artykule Uzyskiwanie dostępu do danych zdarzenia z dziennika Directory Sync.

2. Kliknij Dodaj filtr Identyfikator obiektu docelowego.
3. Wpisz adres e-mail użytkownika i kliknij Zastosuj.
4. W przypadku zdarzenia:
   • Zdarzenie Zaktualizowanie obiektu z opisem Nowe atrybuty {suspended: true} – usługa Directory Sync zawiesiła konto użytkownika, ponieważ jest ono nieaktywne w Active Directory.
   • Wyrejestrowanie obiektu – sprawdź, czy użytkownik w Active Directory nie został usunięty lub przeniesiony do innej ścieżki, która nie należy do zakresu wyszukiwania LDAP.

Brak synchronizacji w przypadku niektórych użytkowników

Ustal, których danych brakuje, i upewnij się, że konto użytkownika:

• nie jest wyłączone w katalogu zewnętrznym;
• należy bezpośrednio do grupy określonej podczas konfigurowania synchronizacji kont użytkowników;
• jest obiektem użytkownika, a nie kontaktem w katalogu zewnętrznym;
• ma identyfikator e-mail dodany do Twojego katalogu zewnętrznego, a domena w adresie e-mail jest taka sama jak domena Google Workspace.

Więcej informacji o rozwiązywaniu problemów znajdziesz w dziennikach zdarzeń Directory Sync:

1. Otwórz zdarzenia z dziennika Directory Sync.

   Szczegółowe informacje znajdziesz w artykule Uzyskiwanie dostępu do danych zdarzenia z dziennika Directory Sync.

2. Kliknij Dodaj filtr Identyfikator obiektu źródłowego.
3. Dodaj nazwę wyróżniającą użytkownika i kliknij Zastosuj.
4. Znajdź zdarzenia błędów synchronizacji i sprawdź błędy.
5. Wyszukaj zdarzenia Odczyt obiektu z nazwą wyróżniającą użytkownika.
6. Jeśli nie możesz znaleźć żadnych zdarzeń odczytu obiektu, Directory Sync nie zsynchronizował konta użytkownika. Typowe przyczyny:
   • Konto użytkownika nie mieści się w zakresie wyszukiwania LDAP (jest poniżej podstawowej nazwy wyróżniającej grupy określonej podczas konfigurowania synchronizacji).
   • Synchronizacja katalogu komunikuje się z innym kontrolerem domeny, a przyrostowa synchronizacja nie rejestruje wszystkich zmian. Sprawdź, czy nazwa hosta i adres IP wskazują na ten sam kontroler domeny.

Niektórzy użytkownicy nie są synchronizowani jako członkowie grupy

Upewnij się, że członek grupy:

• ma ustawioną wartość atrybutu „mail” oraz identyfikator e-mail w prawidłowym formacie,
• nie znajduje się pod podstawową nazwą wyróżniającą grupy lub poniżej.