Устранение неполадок синхронизации каталогов

Не удалось сохранить настройки каталога. Ошибка при добавлении внешнего каталога.

• Убедитесь, что API коннекторов данных включён в проекте. Подробнее см. в статье Включение API коннекторов данных .
• Если настроено правило периметра для управления службами виртуального частного облака (VPC) и в консоли Google Cloud есть соответствующие ошибки PERMISSION_DENIED, связанные с storage.googleapis.com, вам необходимо разрешить доступ к API Cloud Storage для вашего проекта. Если вы также видите соответствующие ошибки для artifactregistry.googleapis.com, добавьте следующее правило для исходящего трафика, чтобы разрешить ресурсам Directory Sync доступ к вашему внешнему каталогу:

  egress To:
  _ serviceName : artifactregistry.googleapis.com
   methodSelectors :
    - method: artifactregistry.googleapis.com/DockerRead
  Resources
  - projects/397958601689
  egressFrom:
   identityType: ANY_IDENTITY

Более подробную информацию о редактировании правил периметра обслуживания см. в разделе Сведения о периметре обслуживания и подтверждение .

Не удалось сохранить настройки каталога, так как домен уже используется.

Несколько подключений Directory Sync не могут указывать на один и тот же домен. Directory Sync сравнивает базовые различающиеся имена (DN), и если домены совпадают, создание каталога завершается ошибкой.

Чтобы решить эту проблему, удалите соединение с соответствующим DN, прежде чем создавать новое с тем же доменом.

Directory Sync не может подключиться к вашему серверу Active Directory. Ошибка

Если вы получили эту ошибку в данных событий журнала администратора , проверьте следующее:

• Сервер Microsoft Active Directory (AD) запущен и работает.
• Ваша сеть и брандмауэры настроены на разрешение входящего трафика через порт LDAP.
• Вы правильно ввели данные авторизованной учетной записи, используя формат имя_пользователя @ example.com или EXAMPLE \ имя_пользователя .

Если ошибка сохраняется, добавьте данные DNS-сервера для разрешения имени хоста AD. Подробнее см. в статье Добавление внешнего каталога .

Вы также можете создать виртуальную машину Linux (ВМ) в той же подсети, что и коннектор доступа к виртуальному частному облаку (VPC). Попробуйте подключиться по Telnet к IP-адресу сервера AD через порт 636. Если подключение по Telnet не удаётся, проверьте сетевые настройки сервера AD, например, убедитесь, что порт 636 открыт и доступен.

Если telnet-подключение выполнено успешно, введите следующую команду на виртуальной машине Linux, чтобы проверить, использует ли сервер AD правильный сертификат:

openssl s_client -showcerts -connect external server IP address :636

Ошибка: Произошла ошибка при попытке подключения к серверу.

В данных событий журнала администратора можно найти 2 версии этой ошибки.

Ошибка 1 — произошла ошибка при попытке подключения к серверу ( IP-адрес сервера ) в течение настроенного времени ожидания 10000 миллисекунд.

Эта ошибка означает, что службе Directory Sync не удалось подключиться к серверу Active Directory (AD). Для устранения неполадки убедитесь, что AD настроен правильно. Подробнее см. в статье Добавление каталога AD .

Ошибка 2 — произошла ошибка при попытке установить соединение с сервером ( IP-адрес сервера ): (SSLHandshakeException(sun.security.validator.ValidatorException: не удалось построить путь PKIX: sun.security.provider.certpath.SunCertPathBuilderException: не удалось найти допустимый путь сертификации к запрошенной цели)

Эта ошибка означает, что сертификат AD TLS не соответствует сертификату, который вы прикрепили при настройке подключения к внешнему каталогу. Для устранения неполадки убедитесь, что сертификаты совпадают. Подробнее см. в статье Добавление каталога AD .

Чтобы сохранить сертификат AD TLS локально, введите следующий скрипт в Microsoft PowerShell, заменив localhost записью DNS или IP-адресом вашего сервера AD:

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

Невозможно проверить подключение к Azure Active Directory

Если вам не удаётся проверить соединение между Google и Microsoft Azure Active Directory, проверьте события журнала администратора на наличие информации об устранении неполадок. Подробнее см. в разделе События журнала администратора .

Ошибка «Не удалось создать пользователя»

В событиях журнала синхронизации каталогов может возникнуть следующая ошибка: «Не удалось создать пользователя. Сообщение: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT».

Эта ошибка указывает на проблему с лицензированием пользователя. Если количество лицензий, доступных в Google Workspace, превышено или отсутствуют доступные для назначения лицензии, создание пользователя завершается ошибкой, и возникает эта ошибка.

Для устранения неполадок увеличьте количество лицензий, доступных вашим пользователям. Подробнее см. в статье «Приобретение дополнительных пользовательских лицензий» .

Похожие темы

• Проверьте события журнала для синхронизации каталогов
• Назначение, удаление и переназначение лицензий

Результат - ошибка направления

Если вы получили сообщение об ошибке, начинающееся с Result - referral , проверьте правильность базового DN, введенного вами при настройке синхронизации.

Если вы используете порт глобального каталога 3269, измените его на 636.

Синхронизация пользователя завершается ошибкой «Нет прав доступа к этому ресурсу/API».

В событиях журнала синхронизации каталогов могут возникать ошибки синхронизации с таким описанием. Эта ошибка обычно возникает, если учётная запись пользователя неактивна или идентификатор электронной почты имеет неверный домен в AD. Для устранения проблемы в журналах обратитесь к таблицам.

Устранение неполадок с неактивными записями журнала пользователей

Устранение неполадок, связанных с недействительным адресом электронной почты и неверными записями в журнале домена

Связанная тема

Проверьте события журнала для синхронизации каталогов

Пользователи и группы не синхронизированы

Для выполнения этих шагов вам необходимо иметь роль суперадминистратора или администратора синхронизации каталогов, либо привилегию управления параметрами синхронизации каталогов .

Если пользователи и группы не синхронизированы:

1. В консоли администратора Google (по адресу admin.google.com ) нажмите «Синхронизация каталогов» . Внешние каталоги .
2. Проверьте статус синхронизации вашего каталога.
3. Если синхронизация неактивна или не удалась, активируйте синхронизацию.

   Подробную информацию см. в разделе Запуск синхронизации .

Если ваша группа пользователей домена Microsoft не синхронизируется:

Группа «Пользователи домена Microsoft» не поддерживается службой Directory Sync. Подробнее

1. В Active Directory создайте новую группу, содержащую всех соответствующих участников и разрешения группы «Пользователи домена Microsoft».
2. Добавьте эту группу в качестве члена группы пользователей домена Microsoft.
3. Используйте новую группу для управления участниками и синхронизации.

Примечание: Не изменяйте атрибуты группы пользователей домена Microsoft, поскольку это может вызвать другое неожиданное поведение.

Статус пользователя отображается как «Приостановлен администратором».

Дополнительную информацию об устранении этой ошибки можно найти в событиях журнала синхронизации каталогов:

1. Откройте события журнала синхронизации каталогов.

   Подробную информацию см. в данных журнала событий синхронизации каталогов Access .

2. Нажмите « Добавить фильтр». Идентификатор целевого объекта .
3. Введите адрес электронной почты пользователя и нажмите «Применить» .
4. Если вы получаете:
   • Событие «Объект обновлен» с описанием «Новые атрибуты {suspended: true}» . Служба синхронизации каталогов приостановила работу пользователя, поскольку его учетная запись неактивна в AD.
   • Событие «Отмена предоставления объекта» проверяет, был ли пользователь удален в AD или перемещен на другой путь, который не попадает в область поиска LDAP.

Некоторые пользователи отсутствуют в синхронизации

Определите, чего не хватает пользователям, и убедитесь, что пользователь:

• Не является неактивным в вашем внешнем каталоге
• Является непосредственным членом группы, которую вы указали при настройке синхронизации пользователей.
• Является объектом пользователя, а не контактом во внешнем каталоге.
• Имеет идентификатор электронной почты, который присутствует во внешнем каталоге, и домен в идентификаторе электронной почты совпадает с вашим доменом Google Workspace.

Дополнительную информацию по устранению неполадок можно найти в событиях журнала синхронизации каталогов:

1. Откройте события журнала синхронизации каталогов.

   Подробную информацию см. в данных журнала событий синхронизации каталогов Access .

2. Нажмите « Добавить фильтр». Идентификатор исходного объекта .
3. Добавьте DN пользователя и нажмите «Применить» .
4. Найдите все события ошибок синхронизации и просмотрите ошибки.
5. Найдите события чтения объектов , используя DN пользователя.
6. Если вы не нашли ни одного события «Чтение объекта» , значит, служба Directory Sync не синхронизировала пользователя. Возможные причины:
   • Членство пользователя не попадает в область поиска LDAP (пользователь не находится на уровне или ниже базового DN группы, указанной при настройке синхронизации пользователей).
   • Служба синхронизации каталогов взаимодействует с другим контроллером домена, и инкрементальная синхронизация не учитывает все изменения. Убедитесь, что имя хоста и IP-адрес указывают на один и тот же контроллер домена.

Некоторые пользователи не синхронизированы как участники группы

Проверьте, что участник группы:

• Имеет ли значение атрибута почты и идентификатор электронной почты в допустимом формате?
• Не находится на уровне или ниже базового DN группы