ข้อมูลต่อไปนี้เป็นวิธีแก้ปัญหาที่คุณอาจพบเมื่อตั้งค่าและเรียกใช้การซิงค์กับ Directory Sync
ตั้งค่า
บันทึกข้อผิดพลาดในการตั้งค่าไดเรกทอรีไม่ได้เมื่อเพิ่มไดเรกทอรีภายนอก
- ตรวจสอบว่า API เครื่องมือเชื่อมต่อข้อมูลเปิดอยู่ในโปรเจ็กต์ โปรดดูรายละเอียดที่หัวข้อเปิดใช้ Data Connectors API
- หากกำหนดค่ากฎขอบเขตการควบคุมบริการ Virtual Private Cloud (VPC) และคอนโซล Google Cloud มีข้อผิดพลาด PERMISSION_DENIED ที่เกี่ยวข้องกับ storage.googleapis.com คุณจะต้องอนุญาตให้เข้าถึง Cloud Storage API สำหรับโปรเจ็กต์ หากคุณเห็นข้อผิดพลาดที่เกี่ยวข้องกับ artifactregistry.googleapis.com ด้วย ให้เพิ่มกฎขาออกต่อไปนี้เพื่ออนุญาตให้ทรัพยากร Directory Sync เข้าถึงไดเรกทอรีภายนอก
egress To: _ serviceName : artifactregistry.googleapis.com methodSelectors : - method: artifactregistry.googleapis.com/DockerRead Resources - projects/397958601689 egressFrom: identityType: ANY_IDENTITY
ดูรายละเอียดเพิ่มเติมเกี่ยวกับการแก้ไขกฎขอบเขตบริการได้ที่รายละเอียดและการยืนยันขอบเขตบริการ
บันทึกการตั้งค่าไดเรกทอรีไม่ได้เนื่องจากโดเมนถูกใช้ไปแล้ว
การเชื่อมต่อ Directory Sync หลายรายการชี้ไปยังโดเมนเดียวกันไม่ได้ การซิงค์ไดเรกทอรีจะเปรียบเทียบชื่อเฉพาะฐาน (DN) และหากโดเมนตรงกัน การสร้างไดเรกทอรีจะล้มเหลว
หากต้องการแก้ไขปัญหานี้ ให้ลบการเชื่อมต่อกับ DN ที่ตรงกันก่อนจะสร้างใหม่ในโดเมนเดียวกัน
ข้อผิดพลาดเกี่ยวกับ Directory Sync ที่เชื่อมต่อกับเซิร์ฟเวอร์ Active Directory ไม่ได้
หากได้รับข้อผิดพลาดนี้ในข้อมูลเหตุการณ์ในบันทึกของผู้ดูแลระบบ โปรดตรวจสอบสิ่งต่อไปนี้
- เซิร์ฟเวอร์ Microsoft Active Directory (AD) พร้อมเริ่มทำงานแล้ว
- ตั้งค่าเครือข่ายและไฟร์วอลล์ให้อนุญาตการจราจรของข้อมูลขาเข้าบนพอร์ต LDAP
- คุณได้ป้อนข้อมูลเข้าสู่ระบบบัญชีที่ได้รับอนุญาตอย่างถูกต้องโดยใช้รูปแบบ username@example.com หรือ EXAMPLE\username
หากยังได้รับข้อผิดพลาดอยู่ ให้เพิ่มรายละเอียดเซิร์ฟเวอร์ระบบชื่อโดเมน (DNS) เพื่อแก้ไขชื่อโฮสต์ AD โปรดดูรายละเอียดที่หัวข้อเพิ่มไดเรกทอรีภายนอก
คุณยังสร้างเครื่องเสมือน (VM) ของ Linux ในซับเน็ตเดียวกับเครื่องมือเชื่อมต่อการเข้าถึง Virtual Private Cloud (VPC) ได้ด้วย โดยให้ลองใช้ telnet ไปยังที่อยู่ IP ของเซิร์ฟเวอร์ AD บนพอร์ต 636 หาก telnet ไม่สำเร็จ ให้ตรวจสอบการตั้งค่าเครือข่ายของเซิร์ฟเวอร์ AD เช่น ตรวจสอบว่าพอร์ต 636 เปิดอยู่และพร้อมใช้งาน
หาก Telnet ดำเนินการสำเร็จ ให้ป้อนคำสั่งต่อไปนี้ใน VM ของ Linux เพื่อยืนยันว่าเซิร์ฟเวอร์ AD ใช้ใบรับรองที่ถูกต้องแล้วหรือไม่
openssl s_client -showcerts -connect external server IP address:636
ข้อผิดพลาด: เกิดข้อผิดพลาดขณะพยายามเชื่อมต่อกับเซิร์ฟเวอร์
คุณจะได้รับข้อผิดพลาดนี้ใน 2 เวอร์ชันในข้อมูลเหตุการณ์ในบันทึกของผู้ดูแลระบบ
ข้อผิดพลาด 1 - เกิดข้อผิดพลาดขณะพยายามเชื่อมต่อกับเซิร์ฟเวอร์ (IP ของเซิร์ฟเวอร์) ภายในระยะหมดเวลาที่กำหนดค่าไว้ที่ 10,000 มิลลิวินาที
ข้อผิดพลาดนี้แสดงว่า Directory Sync เชื่อมต่อกับเซิร์ฟเวอร์ Active Directory (AD) ไม่สำเร็จ หากต้องการแก้ปัญหา ให้ตรวจสอบว่าคุณตั้งค่า AD อย่างถูกต้อง โปรดดูรายละเอียดที่หัวข้อเพิ่มไดเรกทอรี AD
ข้อผิดพลาด 2 - เกิดข้อผิดพลาดขณะพยายามเชื่อมต่อกับเซิร์ฟเวอร์ (IP ของเซิร์ฟเวอร์): (SSLHandshakeException(sun.security.validator.ValidatorException: การสร้างเส้นทาง PKIX ล้มเหลว: sun.security.provider.certpath.SunCertPathBuilderException: ไม่พบเส้นทางการรับรองที่ถูกต้องเพื่อไปยังปลายทางที่ร้องขอ)
ข้อผิดพลาดนี้แสดงว่าใบรับรอง TLS ของ AD ไม่ตรงกับใบรับรองที่คุณแนบไว้เมื่อกำหนดค่าการเชื่อมต่อไดเรกทอรีภายนอก หากต้องการแก้ปัญหา ให้ตรวจสอบว่าใบรับรองตรงกัน โปรดดูรายละเอียดที่หัวข้อเพิ่มไดเรกทอรี AD
หากต้องการบันทึกใบรับรอง TLS ของ AD ในเครื่อง ให้ป้อนสคริปต์ต่อไปนี้ใน Microsoft PowerShell โดยแทนที่ localhost ด้วยระเบียน DNS ของเซิร์ฟเวอร์ AD หรือที่อยู่ IP
$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"ทดสอบการเชื่อมต่อกับ Azure Active Directory ไม่ได้
หากทดสอบการเชื่อมต่อระหว่าง Google กับ Microsoft Azure Active Directory ไม่ได้ ให้ตรวจสอบเหตุการณ์ในบันทึกของผู้ดูแลระบบเพื่อดูข้อมูลการแก้ปัญหา โปรดดูรายละเอียดที่หัวข้อเหตุการณ์ในบันทึกของผู้ดูแลระบบ
ซิงค์ปัญหา
ข้อผิดพลาดระบุว่าสร้างผู้ใช้ไม่ได้
คุณอาจได้รับข้อผิดพลาดต่อไปนี้ในเหตุการณ์บันทึกของ Directory Sync "สร้างผู้ใช้ไม่ได้ ข้อความ: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT."
ข้อผิดพลาดนี้แสดงถึงปัญหาการออกใบอนุญาตให้ผู้ใช้ หากจำนวนผู้ใช้เกินจำนวนใบอนุญาตที่มีใน Google Workspace หรือไม่มีใบอนุญาตที่จะมอบหมาย การสร้างผู้ใช้จะไม่สำเร็จและคุณจะได้รับข้อผิดพลาดนี้
หากต้องการแก้ปัญหา ให้เพิ่มจำนวนใบอนุญาตที่พร้อมให้บริการแก่ผู้ใช้ โปรดดูรายละเอียดที่หัวข้อซื้อใบอนุญาตสำหรับผู้ใช้เพิ่มเติม
หัวข้อที่เกี่ยวข้อง
ผลลัพธ์ - ข้อผิดพลาดการอ้างอิง
หากคุณพบข้อผิดพลาดที่ขึ้นต้นด้วยผลลัพธ์ - การอ้างอิง โปรดตรวจสอบว่า DN ฐานที่คุณป้อนเมื่อตั้งค่าการซิงค์ถูกต้องแล้ว
หากใช้พอร์ตแคตตาล็อกส่วนกลาง 3269 ให้เปลี่ยนเป็น 636
การซิงค์ผู้ใช้ล้มเหลวโดยมีข้อความ "ไม่ได้รับสิทธิ์ให้เข้าถึงทรัพยากร/API นี้"
ในเหตุการณ์ในบันทึกของ Directory Sync คุณอาจได้รับข้อผิดพลาดในการซิงค์ที่มีคำอธิบายนี้ ข้อผิดพลาดนี้มักเกิดขึ้นในกรณีที่บัญชีผู้ใช้ไม่ได้ใช้งาน หรือรหัสอีเมลมีโดเมนไม่ถูกต้องใน AD โปรดดูตารางเพื่อแก้ปัญหาในบันทึก
แก้ปัญหาบันทึกสำหรับผู้ใช้ที่ไม่ได้ใช้งาน
| เหตุการณ์ในบันทึกและคำอธิบาย | ขั้นตอนการแก้ปัญหา |
|---|---|
|
เหตุการณ์: อ่านออบเจ็กต์ คำอธิบาย: อ่าน username ด้วยแอตทริบิวต์ ... ; suspended: true |
ข้อความ suspended: true หมายความว่าผู้ใช้ไม่มีการใช้งานในไดเรกทอรีภายนอก ให้ไปที่ไดเรกทอรีภายนอกและตรวจสอบว่าผู้ใช้ยังใช้งานอยู่ |
|
เหตุการณ์: อัปเดตออบเจ็กต์แล้ว คำอธิบาย: อัปเดต username ของผู้ใช้ แอตทริบิวต์เดิมคือ { suspended: false; } แอตทริบิวต์ใหม่คือ { suspended: true; } |
คุณจะได้รับข้อความนี้หากเปิดการตั้งค่าระงับผู้ใช้ ใน Google Directory และผู้ใช้รายดังกล่าวอยู่ในบัญชี Google ของคุณอยู่แล้ว
ตรวจสอบไดเรกทอรีภายนอกเพื่อให้แน่ใจว่าผู้ใช้ยังใช้งานอยู่ หรืออัปเดตกฎการยกเลิกการจัดสรร ดูรายละเอียดเกี่ยวกับการเลิกจัดสรรได้ที่หัวข้อระงับผู้ใช้ที่ไม่พบในไดเรกทอรีภายนอก |
แก้ปัญหาอีเมลไม่ถูกต้องและรายการบันทึกโดเมนที่ไม่ถูกต้อง
| เหตุการณ์ในบันทึกและคำอธิบาย | ขั้นตอนการแก้ปัญหา |
|---|---|
| เหตุการณ์: ข้อผิดพลาดในการซิงค์ - ออบเจ็กต์เดียว
คำอธิบาย: สร้างผู้ใช้ username ไม่ได้ |
ตั้งค่า Directory Sync เพื่อแทนที่ชื่อโดเมนสำหรับผู้ใช้ โปรดดูรายละเอียดที่หัวข้อแทนที่ชื่อโดเมนสำหรับผู้ใช้ที่ซิงค์
หรือจะใช้โดเมนเดียวกันในทั้งบัญชีต้นทางและบัญชีเป้าหมายก็ได้ |
| เหตุการณ์: ข้ามออบเจ็กต์แล้ว - ข้อผิดพลาดที่ไม่คาดคิด
คำอธิบาย: ข้ามการซิงค์ผู้ใช้ อัปเดตสำหรับ username ไม่สำเร็จ |
ตั้งค่า Directory Sync เพื่อแทนที่ชื่อโดเมนสำหรับผู้ใช้ โปรดดูรายละเอียดที่หัวข้อแทนที่ชื่อโดเมนสำหรับผู้ใช้ที่ซิงค์
หรือจะใช้โดเมนเดียวกันในทั้งบัญชีต้นทางและบัญชีเป้าหมายก็ได้ |
| เหตุการณ์: ข้อผิดพลาดในการซิงค์
คำอธิบาย: ข้ามผู้ใช้: แยกวิเคราะห์อีเมลของผู้ใช้จากไดเรกทอรีระยะไกลไม่ได้ |
ผู้ใช้มีอีเมลที่ไม่ถูกต้อง ให้แก้ไขอีเมลในไดเรกทอรีภายนอก |
| เหตุการณ์: ข้อผิดพลาดในการซิงค์
คำอธิบาย: ข้ามผู้ใช้: username เนื่องจากไม่ได้ตั้งค่าเส้นทางหน่วยขององค์กรในแผนกแอตทริบิวต์ |
หากคุณเปิดใช้การแทนชื่อโดเมนอีเมล ให้ตรวจสอบแอตทริบิวต์ผู้ใช้ในไดเรกทอรีภายนอก ตรวจสอบว่าแอตทริบิวต์ที่คุณใช้เพื่อวางผู้ใช้ในหน่วยขององค์กรมีค่าอยู่
หากไม่ได้เปิดการแทนชื่อโดเมนของอีเมล ให้ตรวจสอบว่าคุณใช้อีเมลที่ถูกต้องสำหรับผู้ใช้ในไดเรกทอรีภายนอก |
หัวข้อที่เกี่ยวข้อง
ผู้ใช้และกลุ่มไม่ได้ซิงค์
คุณต้องมีบทบาทผู้ดูแลระบบขั้นสูงหรือบทบาทผู้ดูแลระบบ Directory Sync หรือสิทธิ์จัดการการตั้งค่า Directory Sync จึงจะทำขั้นตอนเหล่านี้ให้เสร็จสมบูรณ์ได้
หากผู้ใช้และกลุ่มไม่ได้ซิงค์ ให้ทำดังนี้
- ในคอนโซลผู้ดูแลระบบของ Google (ที่ admin.google.com) ให้คลิก Directory Sync
ไดเรกทอรีภายนอก - ตรวจสอบสถานะการซิงค์ของไดเรกทอรี
- หากการซิงค์ไม่มีการใช้งานหรือไม่สำเร็จ ให้เปิดใช้การซิงค์
โปรดดูรายละเอียดที่หัวข้อซิงค์
หากกลุ่มผู้ใช้โดเมน Microsoft ไม่ได้ซิงค์ ให้ทำดังนี้
Directory Sync ไม่รองรับกลุ่มผู้ใช้โดเมน Microsoft ดูข้อมูลเพิ่มเติม
- ใน Active Directory ให้สร้างกลุ่มใหม่ที่มีสมาชิกและสิทธิ์ที่เกี่ยวข้องทั้งหมดของกลุ่มผู้ใช้โดเมน Microsoft
- เพิ่มกลุ่มดังกล่าวเป็นสมาชิกของกลุ่มผู้ใช้โดเมน Microsoft
- ใช้กลุ่มใหม่เพื่อจัดการสมาชิกและการซิงค์
หมายเหตุ: อย่าเปลี่ยนแอตทริบิวต์ของกลุ่มผู้ใช้โดเมน Microsoft เนื่องจากอาจส่งผลต่อลักษณะการทำงานอื่นๆ ที่ไม่คาดคิด
สถานะของผู้ใช้แสดงเป็น "ระงับโดยผู้ดูแลระบบ"
คุณสามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการแก้ปัญหาข้อผิดพลาดนี้ได้ในเหตุการณ์ในบันทึกของ Directory Sync
- เปิดเหตุการณ์บันทึกของ Directory Sync
โปรดดูรายละเอียดที่หัวข้อเข้าถึงข้อมูลเหตุการณ์ในบันทึกของ Directory Sync
- คลิกเพิ่มตัวกรอง
รหัสออบเจ็กต์เป้าหมาย
- ป้อนอีเมลของผู้ใช้แล้วคลิกใช้
- หากคุณได้รับข้อความต่อไปนี้
- เหตุการณ์ออบเจ็กต์ที่อัปเดตพร้อมคําอธิบายว่าแอตทริบิวต์ใหม่ {suspended: true} แสดงว่า Directory Sync ระงับผู้ใช้เนื่องจากบัญชีของผู้ใช้ไม่มีการใช้งานใน AD
- เหตุการณ์ออบเจ็กต์ที่ยกเลิกการจัดสรรแล้ว ให้ตรวจสอบว่าผู้ใช้ใน AD ถูกลบหรือย้ายไปยังเส้นทางอื่นที่ไม่อยู่ภายในขอบเขตการค้นหาของ LDAP หรือไม่
ผู้ใช้บางรายไม่แสดงจากการซิงค์
ระบุผู้ใช้หายไปและตรวจสอบว่าผู้ใช้เหล่านั้น
- ไม่ได้ไม่มีการใช้งานในไดเรกทอรีภายนอกของคุณ
- เป็นสมาชิกโดยตรงของกลุ่มที่คุณระบุเมื่อตั้งค่าการซิงค์ผู้ใช้
- เป็นออบเจ็กต์ผู้ใช้และไม่ใช่รายชื่อติดต่อในไดเรกทอรีภายนอกของคุณ
- มีรหัสอีเมลอยู่ในไดเรกทอรีภายนอกและโดเมนในรหัสอีเมลเป็นโดเมนเดียวกันกับโดเมน Google Workspace
คุณสามารถดูข้อมูลการแก้ปัญหาเพิ่มเติมได้ในเหตุการณ์บันทึกของ Directory Sync
- เปิดเหตุการณ์บันทึกของ Directory Sync
โปรดดูรายละเอียดที่หัวข้อเข้าถึงข้อมูลเหตุการณ์ในบันทึกของ Directory Sync
- คลิกเพิ่มตัวกรอง
รหัสออบเจ็กต์ต้นทาง
- เพิ่ม DN ของผู้ใช้แล้วคลิกใช้
- ค้นหาเหตุการณ์ข้อผิดพลาดในการซิงค์และตรวจสอบข้อผิดพลาด
- ค้นหาเหตุการณ์อ่านออบเจ็กต์ด้วย DN ของผู้ใช้
- หากไม่พบเหตุการณ์อ่านออบเจ็กต์ แสดงว่า Directory Sync ยังไม่ได้ซิงค์ผู้ใช้ สาเหตุที่พบบ่อย ได้แก่
- การเป็นสมาชิกของผู้ใช้ไม่ได้อยู่ในขอบเขตการค้นหา LDAP (ผู้ใช้ไม่ได้อยู่ต่ำกว่า DN ฐานหรือไม่ได้อยู่ที่ DN ฐานที่ระบุเมื่อตั้งค่าการซิงค์ผู้ใช้)
- Directory Sync กำลังสื่อสารกับตัวควบคุมโดเมนอื่น การซิงค์ที่เพิ่มขึ้นจะไม่จดจำการเปลี่ยนแปลงทั้งหมด โปรดตรวจสอบว่าชื่อโฮสต์และที่อยู่ IP ชี้ไปยังตัวควบคุมโดเมนเดียวกัน
ผู้ใช้บางรายไม่ได้ซิงค์เป็นสมาชิกกลุ่ม
ตรวจสอบว่าสมาชิกกลุ่มเป็นไปดังนี้
- กำหนดค่าแอตทริบิวต์อีเมลและรหัสอีเมลในรูปแบบที่ถูกต้องแล้ว
- ไม่ได้อยู่ต่ำกว่า DN ฐานหรือไม่ได้อยู่ที่ DN ฐานของกลุ่ม
Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของบริษัทที่เกี่ยวข้อง