Saiba como resolver possíveis problemas durante a configuração e a sincronização com o Directory Sync.
Configurar
Erro ao salvar as configurações do diretório ao adicionar o diretório externo
- Verifique se a API Data Connectors está ativada no projeto. Confira mais detalhes em Ativar a API Data Connectors.
- Se uma regra de perímetro do VPC Service Controls estiver configurada e o console do Google Cloud tiver erros PERMISSION_DENIED correspondentes relacionados a storage.googleapis.com, você precisará permitir o acesso à API Cloud Storage para seu projeto. Se você também encontrar erros correspondentes em artifactregistry.googleapis.com, adicione a seguinte regra de saída para permitir que os recursos do Directory Sync acessem seu diretório externo:
egress To: _ serviceName : artifactregistry.googleapis.com methodSelectors : - method: artifactregistry.googleapis.com/DockerRead Resources - projects/397958601689 egressFrom: identityType: ANY_IDENTITY
Para mais detalhes sobre como editar regras de perímetro de serviço, acesse detalhes e confirmação do perímetro de serviço.
Não foi possível salvar as configurações do diretório porque o domínio já foi usado
Várias conexões do Directory Sync não podem apontar para o mesmo domínio. A Sincronização de diretório compara nomes distintos (DNs) de base e, se os domínios forem correspondentes, a criação do diretório falha.
Para resolver o problema, exclua a conexão com o DN correspondente antes de criar uma nova com o mesmo domínio.
Erro na tentativa de conexão do Directory Sync com o servidor do Active Directory
Se você vir esse erro nos Dados de eventos de registro do administrador, confirme se:
- O servidor do Microsoft Active Directory (AD) está em operação.
- A rede e os firewalls estão configurados para permitir o tráfego de entrada na porta LDAP.
- Você inseriu as credenciais da conta autorizadas corretamente no formato nomedeusuario@example.com ou EXEMPLO\nomedeusuario.
Se o erro persistir, adicione os detalhes do servidor do Sistema de Nome de Domínio (DNS) para resolver o nome do host do AD. Confira mais detalhes em Adicionar um diretório externo.
Também é possível criar uma máquina virtual (VM) do Linux na mesma sub-rede que o conector de acesso da nuvem privada virtual (VPC). Tente usar o protocolo Telnet como endereço IP do servidor do AD na porta 636. Se o telnet falhar, verifique as configurações de rede do servidor AD, por exemplo, verifique se a porta 636 está aberta e disponível.
Se o telnet for bem-sucedido, para verificar se o servidor AD está usando o certificado correto, digite o seguinte comando na VM do Linux:
openssl s_client -showcerts -connect external server IP address:636
Erro: ocorreu um erro ao tentar se conectar ao servidor
Há duas versões desse erro disponíveis em Dados de eventos de registro do administrador.
Erro 1: Ocorreu um erro ao tentar se conectar ao servidor (IP do servidor) dentro do tempo limite configurado de 10.000 milissegundos.
Esse erro indica que o Directory Sync não conseguiu se conectar ao servidor do Active Directory (AD). Para resolver problemas, configure o AD corretamente. Saiba mais em Adicionar um diretório do AD.
Erro 2: Ocorreu um erro ao tentar estabelecer uma conexão com o servidor (IP do servidor): (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)
Esse erro indica que o certificado TLS do AD não corresponde ao certificado que você anexou ao configurar a conexão do diretório externo. Para resolver problemas, verifique se os certificados são correspondentes. Saiba mais em Adicionar um diretório do AD.
Para salvar o certificado TLS do AD localmente, digite o seguinte script no Microsoft PowerShell, substituindo localhost pelo registro DNS ou endereço IP do servidor do AD:
$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"Não é possível testar a conexão com o Azure Active Directory
Se não for possível testar a conexão entre o Google e o Microsoft Azure Active Directory, consulte as informações de solução de problemas nos eventos de registro do administrador. Confira mais detalhes em Eventos de registro do administrador.
Problemas de sincronização
Erro "Não foi possível criar o usuário"
É possível que você receba a seguinte mensagem de erro nos eventos de registro do Directory Sync: "Não foi possível criar o usuário. Mensagem: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT."
Esse erro indica um problema no licenciamento do usuário. Se você ultrapassar o número de licenças disponíveis no Google Workspace ou se não houver licenças disponíveis para atribuição, haverá um erro na criação do usuário e essa mensagem vai aparecer.
Para resolver problemas, aumente o número de licenças disponíveis para seus usuários. Confira mais detalhes em Comprar mais licenças de usuário.
Temas relacionados
Resultado: erro de referência
Se você receber uma mensagem de erro começando com Resultado - referência, verifique se o DN de base que você inseriu ao configurar a sincronização está correto.
Se você estiver usando a porta de catálogo global 3269, mude para 636.
Erro na sincronização do usuário: acesso não autorizado ao recurso ou à API
Nos eventos de registro do Directory Sync, talvez você encontre erros de sincronização com essa descrição. Isso geralmente ocorre quando a conta de usuário está inativa ou o ID do e-mail tem um domínio incorreto no Active Directory. Consulte as tabelas para resolver o problema nos registros.
Resolver problemas de entradas de registro de usuários inativos
| Evento e descrição do registro | Etapas da solução de problemas |
|---|---|
|
Evento: ler objetos Descrição: Ler nome de usuário com atributos ... ; suspended: true |
Uma mensagem suspended: true significa que o usuário está inativo no seu diretório externo. Acesse o diretório externo e verifique se o usuário está ativo. |
|
Evento: objeto atualizado Descrição: nome de usuário do usuário atualizado. Atributos antigos { suspended: false; }, novos atributos { suspended: true; } |
Você vai receber essa mensagem se tiver ativado a configuração "Suspender usuário no diretório do Google" e o usuário já existir na sua Conta do Google.
Verifique seu diretório externo para garantir que o usuário esteja ativo ou atualize suas regras de desprovisionamento. Para mais detalhes sobre o cancelamento do provisionamento, acesse Suspender usuários não encontrados no diretório externo. |
Resolver problemas com endereços de e-mail inválidos e entradas de registro de domínio incorretas
| Evento e descrição do registro | Etapas da solução de problemas |
|---|---|
| Evento: erro de sincronização - objeto individual
Descrição: não foi possível criar o usuário username. |
Configure o Directory Sync para substituir o nome de domínio dos usuários. Confira mais detalhes em Substituir o nome de domínio dos usuários sincronizados.
Se preferir, use o mesmo domínio nas contas de origem e de destino. |
| Evento: objeto ignorado - erro inesperado
Descrição: o usuário não foi sincronizado. Falha ao atualizar nome de usuário |
Configure o Directory Sync para substituir o nome de domínio dos usuários. Confira mais detalhes em Substituir o nome de domínio dos usuários sincronizados.
Se preferir, use o mesmo domínio nas contas de origem e de destino. |
| Evento: erro de sincronização
Descrição: Ignorar usuário: não é possível analisar o e-mail do usuário no diretório remoto |
O usuário tem um endereço de e-mail inválido. Corrija o endereço de e-mail no diretório externo. |
| Evento: erro de sincronização
Descrição: o usuário nome de usuário foi ignorado porque o caminho da unidade organizacional não está definido no atributo departamento |
Se você ativou a substituição do nome de domínio do e-mail, verifique os atributos do usuário no diretório externo. Verifique se o atributo que você está usando para colocar os usuários em uma unidade organizacional tem um valor.
Se a substituição de nome de domínio de e-mail não estiver ativada, use um endereço de e-mail válido para o usuário no diretório externo. |
Tema relacionado
Usuários e grupos não estão sincronizados
Para concluir estas etapas, você precisa ter a função de superadministrador, administrador do Directory Sync ou o privilégio Gerenciar configurações do Directory Sync.
Se os usuários e grupos não estiverem sincronizados:
- No Google Admin Console (em admin.google.com), clique em Directory Sync
Diretórios externos. - Verifique o Status da sincronização do diretório.
- Ative a sincronização se ela estiver inativa ou não estiver funcionando.
Confira mais detalhes em Fazer uma sincronização.
Se a sincronização do grupo Usuários do domínio da Microsoft não estiver funcionando:
O grupo Usuários do domínio da Microsoft não é compatível com o Directory Sync. Saiba mais
- No Active Directory, crie um novo grupo com todos os participantes e permissões relevantes do grupo Usuários do domínio da Microsoft.
- Adicione esse grupo como participante do grupo Usuários do domínio da Microsoft.
- Use o novo grupo para gerenciar os participantes e a sincronização.
Observação : não mude os atributos do grupo Usuários do domínio da Microsoft porque isso pode causar comportamentos inesperados.
O status dos usuários é "Suspenso pelo administrador"
Veja mais informações de solução de problemas sobre esse erro nos eventos de registro do Directory Sync:
- Abra os eventos de registro do Directory Sync.
Confira mais detalhes em Acessar dados do evento de registro do Directory Sync.
- Clique em Adicionar um filtro
ID do objeto de destino.
- Digite o endereço de e-mail do usuário e clique em Aplicar.
- Se você receber um:
- Evento Objeto atualizado com a descrição Novos atributos {suspended: true}, a Sincronização de diretório suspendeu o usuário porque a conta dele não está ativa no AD.
- Caso haja um evento Objeto desprovisionado, verifique se o usuário no AD foi excluído ou movido para outro caminho fora do escopo da pesquisa LDAP.
Faltam alguns usuários na sincronização
Identifique os usuários que faltam e verifique se o usuário:
- não estiver inativa no seu diretório externo;
- é um membro direto do grupo que você especificou ao configurar a sincronização de usuários;
- é um objeto User (não um contato no diretório externo);
- tem um ID de e-mail no diretório externo e o domínio nesse ID é igual ao domínio do Google Workspace.
Você encontra mais informações para resolver problemas nos eventos de registro do Directory Sync:
- Abra os eventos de registro do Directory Sync.
Confira mais detalhes em Acessar dados do evento de registro do Directory Sync.
- Clique em Adicionar um filtro
ID do objeto de origem.
- Adicione o DN do usuário e clique em Aplicar.
- Localize os eventos de erro de sincronização e analise os erros.
- Pesquise eventos Read Object com o DN do usuário.
- Se não for possível encontrar eventos Read Object, isso significa que o usuário não foi sincronizado pelo Directory Sync. Os motivos mais comuns são:
- A associação do usuário não está no escopo da pesquisa LDAP. Ou seja, o usuário não está dentro nem abaixo do DN de base do grupo que você especificou quando configurou a sincronização de usuários.
- O Directory Sync está se comunicando com um controlador de domínio diferente, e uma sincronização incremental não está detectando todas as mudanças. Verifique se o nome do host e o endereço IP apontam para o mesmo controlador do domínio.
Alguns usuários não são sincronizados como participantes do grupo
Verifique se o participante do grupo:
- tem o valor do atributo de e-mail definido e um ID de e-mail em formato válido;
- Não reside no DN de base do grupo ou abaixo dele.
Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas a que estão associados.