Устранение неполадок синхронизации каталогов

Вот как устранить проблемы, которые могут возникнуть при настройке и запуске синхронизации с помощью Directory Sync.

Настраивать

Ошибка сохранения настроек каталога при добавлении внешнего каталога.

  • Убедитесь, что API коннекторов данных включен в проекте. Подробности см. в разделе «Включение API коннекторов данных» .
  • Если настроено правило периметра управления службой виртуальной частной сети (VPC), и в консоли Google Cloud отображаются ошибки PERMISSION_DENIED, связанные с storage.googleapis.com, необходимо разрешить доступ к API Cloud Storage для вашего проекта. Если вы также видите ошибки, связанные с artifactregistry.googleapis.com, добавьте следующее правило исходящего трафика, чтобы разрешить ресурсам синхронизации каталогов доступ к вашему внешнему каталогу: 
    egress To:
_ serviceName : artifactregistry.googleapis.com
 methodSelectors :
  - method: artifactregistry.googleapis.com/DockerRead
Resources
- projects/397958601689
egressFrom:
 identityType: ANY_IDENTITY

Для получения более подробной информации о редактировании правил периметра обслуживания перейдите в раздел «Подробности и подтверждение периметра обслуживания» .

Не удалось сохранить настройки каталога, поскольку домен уже использован.

Несколько подключений для синхронизации каталогов не могут указывать на один и тот же домен. Синхронизация каталогов сравнивает базовые отличительные имена (DN), и если домены совпадают, создание каталога завершается неудачей.

Для решения проблемы удалите соединение с соответствующим DN, прежде чем создавать новое соединение с тем же доменом.

Ошибка "Не удаётся подключиться к серверу Active Directory при синхронизации каталогов".

Если в журнале событий администратора появляется эта ошибка, проверьте следующее:

  • Сервер Microsoft Active Directory (AD) запущен и работает.
  • Ваша сеть и межсетевые экраны настроены таким образом, чтобы разрешать входящий трафик через порт LDAP.
  • Вы правильно ввели учетные данные авторизованной учетной записи, используя формат username@example.com или EXAMPLE \ username .

Если ошибка по-прежнему возникает, добавьте данные сервера системы доменных имен (DNS), чтобы разрешить имя хоста Active Directory. Подробности см. в разделе «Добавление внешнего каталога» .

Вы также можете создать виртуальную машину Linux (ВМ) в той же подсети, что и коннектор доступа к виртуальной частной сети (VPC). Попробуйте подключиться к IP-адресу сервера AD через порт 636 с помощью telnet. Если подключение через telnet не удается, проверьте сетевые настройки сервера AD, например, убедитесь, что порт 636 открыт и доступен.

Если подключение через Telnet прошло успешно, для проверки того, использует ли сервер Active Directory правильный сертификат, введите следующую команду на виртуальной машине Linux:

openssl s_client -showcerts -connect external server IP address :636

Ошибка: Произошла ошибка при попытке подключения к серверу.

В журнале событий администратора могут встречаться две версии этой ошибки.

Ошибка 1 – Произошла ошибка при попытке подключения к серверу ( IP-адрес сервера ) в течение заданного таймаута в 10000 миллисекунд.

Эта ошибка указывает на то, что синхронизация каталогов не смогла подключиться к серверу Active Directory (AD). Для устранения неполадок убедитесь, что вы правильно настроили AD. Подробности см. в разделе «Добавление каталога AD» .

Ошибка 2 – Произошла ошибка при попытке установить соединение с сервером ( IP-адрес сервера ): (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)

Эта ошибка указывает на то, что сертификат TLS Active Directory не соответствует сертификату, который вы подключили при настройке подключения к внешнему каталогу. Для устранения неполадок убедитесь, что сертификаты совпадают. Подробности см. в разделе «Добавление каталога Active Directory» .

Чтобы сохранить TLS-сертификат AD локально, введите следующий скрипт в Microsoft PowerShell, заменив localhost на DNS-запись вашего сервера AD или IP-адрес:

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

Не удаётся проверить подключение к Azure Active Directory.

Если вам не удаётся проверить соединение между Google и Microsoft Azure Active Directory, проверьте журналы администратора для получения информации по устранению неполадок. Подробную информацию см. в разделе «Журналы администратора» .

Проблемы с синхронизацией

Ошибка: Пользователь не может быть создан

В журнале событий синхронизации каталогов может появиться следующая ошибка: «Пользователь не может быть создан. Сообщение: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT».

Эта ошибка указывает на проблему с лицензированием пользователей. Если вы превысите количество доступных лицензий в Google Workspace или если для назначения нет доступных лицензий, создание пользователя завершится неудачей, и вы получите эту ошибку.

Для устранения неполадок увеличьте количество лицензий, доступных вашим пользователям. Подробности см. в разделе «Приобретение дополнительных пользовательских лицензий» .

Результат - ошибка направления.

Если вы получаете ошибку, начинающуюся с Result - referral , убедитесь, что базовый DN, который вы ввели при настройке синхронизации, указан правильно.

Если вы используете глобальный порт каталога 3269, измените его на 636.

Синхронизация пользователей завершается ошибкой "Не авторизован для доступа к этому ресурсу/API".

В журнале событий синхронизации каталогов могут встречаться ошибки синхронизации со следующим описанием. Эта ошибка обычно возникает, если учетная запись пользователя неактивна или адрес электронной почты имеет некорректный домен в Active Directory. Для устранения проблемы в журналах обратитесь к таблицам.

Устранение неполадок с неактивными записями в журнале пользователя.

Зарегистрировать событие и его описание Этапы устранения неполадок

Событие: Чтение объектов

Описание: Чтение имени пользователя с атрибутами ... ; suspended: true		 Сообщение suspended: true означает, что пользователь неактивен во внешней директории. Перейдите во внешнюю директорию и убедитесь, что пользователь активен.

Событие: Объект обновлен

Описание: Обновлено имя пользователя. Старые атрибуты: { suspended: false; }, новые атрибуты: { suspended: true; }		 Это сообщение появляется, если вы включили опцию "Приостанавливать действие учетной записи пользователя" в настройках каталога Google, и этот пользователь уже существует в вашей учетной записи Google.

Проверьте внешний каталог, чтобы убедиться, что пользователь активен, или обновите правила удаления пользователей. Подробную информацию об удалении пользователей см. в разделе «Приостановка работы пользователей, не найденных во внешнем каталоге» .

Устранение неполадок, связанных с недействительным адресом электронной почты и некорректными записями в журнале домена.

Зарегистрировать событие и его описание Этапы устранения неполадок
Событие: Ошибка синхронизации — Отдельный объект

Описание: Не удалось создать имя пользователя.

 Настройте синхронизацию каталогов таким образом, чтобы имя домена для пользователей было заменено. Подробности см. в разделе «Замена имени домена для синхронизированных пользователей» .

В качестве альтернативы можно использовать один и тот же домен как в исходной, так и в целевой учетной записи.

Событие: Объект пропущен — Неожиданная ошибка

Описание: Синхронизация пользователя пропущена. Обновление имени пользователя не удалось.

 Настройте синхронизацию каталогов таким образом, чтобы имя домена для пользователей было заменено. Подробности см. в разделе «Замена имени домена для синхронизированных пользователей» .

В качестве альтернативы можно использовать один и тот же домен как в исходной, так и в целевой учетной записи.

Событие: Ошибка синхронизации

Описание: Пользователь пропущен: Не удалось обработать адрес электронной почты пользователя из удаленного каталога.

 У пользователя неверный адрес электронной почты. Исправьте адрес электронной почты во внешней директории.
Событие: Ошибка синхронизации

Описание: Пропускается пользователь: имя пользователя, поскольку путь к организационному подразделению не указан в атрибуте отдела.

 Если вы включили замену доменного имени электронной почты, проверьте атрибуты пользователей во внешнем каталоге. Убедитесь, что атрибут, используемый для размещения пользователей в организационной единице, имеет значение.

Если функция замены доменного имени электронной почты отключена, убедитесь, что вы используете действительный адрес электронной почты пользователя во внешнем каталоге.

Проверьте журналы событий синхронизации каталогов.

Пользователи и группы не синхронизированы.

Для выполнения этих шагов вам необходимы права суперадминистратора, администратора синхронизации каталогов или привилегии управления параметрами синхронизации каталогов .

Если пользователи и группы не синхронизированы:

  1. В консоли администратора Google (по адресу admin.google.com ) нажмите «Синхронизация каталогов» . а потом Внешние каталоги .
  2. Проверьте состояние синхронизации вашей директории.
  3. Если синхронизация неактивна или не удалась, активируйте синхронизацию.

    Для получения более подробной информации перейдите в раздел «Выполнить синхронизацию» .

Если группа пользователей домена Microsoft не синхронизируется:

Группа пользователей домена Microsoft не поддерживается функцией синхронизации каталогов. Подробнее.

  1. В Active Directory создайте новую группу, содержащую всех соответствующих участников и разрешения группы «Пользователи домена Microsoft».
  2. Добавьте эту группу в качестве члена группы «Пользователи домена Microsoft».
  3. Используйте новую группу для управления участниками и синхронизации.

Примечание: Не изменяйте атрибуты группы пользователей домена Microsoft, так как это может привести к другим непредвиденным последствиям.

Статус пользователя отображается как «Заблокирован администратором».

Дополнительную информацию по устранению этой ошибки можно найти в журнале событий синхронизации каталогов:

  1. Откройте журнал событий синхронизации каталогов.

    Для получения более подробной информации перейдите к данным журнала событий синхронизации каталогов .

  2. Нажмите « Добавить фильтр». а потом Идентификатор целевого объекта .
  3. Введите адрес электронной почты пользователя и нажмите «Применить» .
  4. Если вы получите:
    • Событие «Обновление объекта» с описанием «Новые атрибуты {suspended: true}» , синхронизация каталогов приостановила работу пользователя, поскольку его учетная запись не активна в Active Directory.
    • В случае события "Object Deprovisioned" проверьте, был ли пользователь в Active Directory удален или перемещен в другой путь, не входящий в область поиска LDAP.

Некоторые пользователи отсутствуют в результатах синхронизации.

Определите, чего не хватает пользователям, и убедитесь, что пользователь:

  • Неактивен в вашем внешнем каталоге.
  • Является непосредственным членом группы, указанной вами при настройке синхронизации пользователей.
  • Это объект пользователя, а не контакт во внешнем каталоге.
  • Указан адрес электронной почты, присутствующий во внешнем каталоге, и домен в этом адресе совпадает с доменом вашего рабочего пространства Google.

Дополнительную информацию по устранению неполадок можно найти в журнале событий синхронизации каталогов:

  1. Откройте журнал событий синхронизации каталогов.

    Для получения более подробной информации перейдите к данным журнала событий синхронизации каталогов .

  2. Нажмите « Добавить фильтр». а потом Идентификатор исходного объекта .
  3. Добавьте DN пользователя и нажмите «Применить» .
  4. Найдите все события, связанные с ошибками синхронизации , и просмотрите соответствующие сообщения об ошибках.
  5. Найдите события чтения объектов , используя DN пользователя.
  6. Если вы не обнаружили событий чтения объектов , значит, синхронизация каталогов не выполнилась. Распространенные причины:
    • Членство пользователя не попадает в область поиска LDAP (пользователь не находится в базовом DN группы, указанной при настройке синхронизации пользователей, или ниже него).
    • Синхронизация каталогов взаимодействует с другим контроллером домена, и инкрементальная синхронизация не учитывает все изменения. Убедитесь, что имя хоста и IP-адрес указывают на один и тот же контроллер домена.

Некоторые пользователи не синхронизированы как члены группы.

Убедитесь, что участник группы:

  • Указано ли значение атрибута mail и имеется ли адрес электронной почты в допустимом формате?
  • Не находится на уровне или ниже базового DN группы.


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.