Directory Sync ile ilgili sorunları giderme

Directory Sync ile senkronizasyon oluşturup çalıştırırken karşılaşabileceğiniz sorunları gidermek için aşağıdaki bilgilerden yararlanabilirsiniz.

Kur

Harici dizin eklenirken dizin ayarlarınız kaydedilemedi hatası

  • Projede Data Connectors API'nin etkinleştirildiğinden emin olun. Ayrıntılar için Data Connectors API'yi etkinleştirme başlıklı makaleye bakın.
  • Sanal Özel Bulut (VPC) Hizmet Kontrolleri çevre kuralı yapılandırılmışsa ve Google Cloud Console'da storage.googleapis.com ile ilgili PERMISSION_DENIED hataları varsa projeniz için Cloud Storage API'ye erişime izin vermeniz gerekir. artifactregistry.googleapis.com ile ilgili hatalar da görüyorsanız Directory Sync kaynaklarının harici dizininize ulaşmasına izin vermek için aşağıdaki çıkış kuralını ekleyin: 
    egress To:
_ serviceName : artifactregistry.googleapis.com
 methodSelectors :
  - method: artifactregistry.googleapis.com/DockerRead
Resources
- projects/397958601689
egressFrom:
 identityType: ANY_IDENTITY

Hizmet çevresi kurallarını düzenleme hakkında daha fazla bilgi için Hizmet çevresi ayrıntıları ve onayı başlıklı makaleyi inceleyin.

Alan zaten kullanıldığından dizin ayarları kaydedilemedi

Birden çok Directory Sync bağlantısı aynı alana işaret edemez. Dizin Senkronizasyonu, temel ayırt edici adları (DN'ler) karşılaştırır ve alanlar eşleşiyorsa dizin oluşturma işlemi başarısız olur.

Sorunu çözmek için aynı alanla yeni bir bağlantı oluşturmadan önce eşleşen DN içeren bağlantıyı silin.

Directory Sync, Active Directory sunucunuza bağlanamıyor hatası

Yönetici günlüğü etkinlik verilerinde bu hatayı alıyorsanız aşağıdakileri kontrol edin:

  • Microsoft Active Directory (AD) sunucusu çalışır durumda olmalıdır.
  • Ağınız ve güvenlik duvarlarınız LDAP bağlantı noktasında gelen trafiğe izin verecek şekilde ayarlanmış olmalıdır.
  • Yetkili hesap kimlik bilgilerini kullaniciadi@example.com veya EXAMPLE\username biçimini kullanarak doğru şekilde girmiş olmanız gerekir.

Hatayı almaya devam ederseniz AD ana makine adını çözümlemek için Alan Adı Sistemi (DNS) sunucusu ayrıntılarını ekleyin. Ayrıntılı bilgi için Harici dizin ekleme başlıklı makaleye göz atın.

Sanal Özel Bulut (VPC) erişim bağlayıcısı ile aynı alt ağda yer alan bir Linux sanal makinesi (VM) de oluşturabilirsiniz. AD sunucusunun IP adresine 636 numaralı bağlantı noktasından telnet bağlantısı başlatmayı deneyin. Telnet bağlantısı başarısız olursa AD sunucusunun ağ ayarlarını doğrulayın (ör. 636 numaralı bağlantı noktasının açık ve kullanılabilir olduğunu kontrol edin).

Telnet bağlantısı başarılı olursa AD sunucusunun doğru sertifikayı kullanıp kullanmadığını doğrulamak için Linux VM'de şu komutu girin:

openssl s_client -showcerts -connect external server IP address:636

Hata: Sunucuya bağlanmaya çalışılırken bir hata oluştu

Yönetici günlüğü etkinlik verileri'nde bu hatanın 2 versiyonunu alabilirsiniz.

1. hata: Yapılandırılmış 10.000 milisaniyelik zaman aşımı süresi içinde sunucuya (Sunucu IP'si) bağlanmaya çalışılırken bir hata oluştu

Bu hata, Directory Sync'in Active Directory (AD) sunucusuna bağlanamadığını gösterir. Sorun gidermek için AD'yi doğru şekilde ayarladığınızdan emin olun. Ayrıntılı bilgi için AD dizini ekleme başlıklı makaleye göz atın.

2. hata: Sunucuyla bağlantı kurmaya çalışılırken bir hata oluştu (Sunucu IP'si): (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX yolu oluşturma başarısız oldu: sun.security.provider.certpath.SunCertPathBuilderException: istenen hedefe geçerli bir sertifikasyon yolu bulunamadı)

Bu hata, AD TLS sertifikasının, harici dizin bağlantısını yapılandırırken eklediğiniz sertifikayla eşleşmediğini gösterir. Sorun gidermek için sertifikaların eşleştiğinden emin olun. Ayrıntılı bilgi için AD dizini ekleme başlıklı makaleye göz atın.

AD TLS sertifikasını yerel olarak kaydetmek için Microsoft PowerShell'de localhost yerine AD sunucusu DNS kaydınızı veya IP adresinizi yazarak şu kodu girin:

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

Azure Active Directory bağlantısı test edilemiyor

Google ve Microsoft Azure Active Directory arasındaki bağlantıyı test edemiyorsanız sorun giderme bilgileri için yönetici günlüğü olaylarını kontrol edin. Ayrıntılı bilgi için Yönetici günlüğündeki etkinlikler başlıklı makaleye bakın.

Senkronizasyon sorunları

"Kullanıcı oluşturulamadı" hatası

Directory Sync günlük etkinliklerinde şu hatayı alabilirsiniz: "Kullanıcı oluşturulamadı. İleti: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT."

Bu hata, kullanıcı lisanslama sorunu olduğunu gösterir. Google Workspace'teki kullanılabilir lisans sayısını aşarsanız veya atanabilecek lisans yoksa kullanıcı oluşturma işlemi başarısız olur ve bu hatayı alırsınız.

Sorunları gidermek için kullanıcılarınıza sunulan lisans sayısını artırın. Ayrıntılar için Daha fazla kullanıcı lisansı satın alma başlıklı makaleyi inceleyin.

Sonuç - yönlendirme hatası

Sonuç - yönlendirme ile başlayan bir hata alırsanız senkronizasyonu ayarlarken girdiğiniz temel DN'nin doğruluğundan emin olun.

3269 numaralı genel katalog bağlantı noktasını kullanıyorsanız bunu 636 olarak değiştirin.

Kullanıcı senkronizasyonu "Bu kaynağa/API'ye erişme yetkiniz yok" hatasıyla başarısız oluyor

Directory Sync günlük etkinliklerinde, bu açıklamaya sahip senkronizasyon hataları alabilirsiniz. Bu hata genellikle kullanıcı hesabı devre dışıysa veya e-posta kimliğinin AD'de yanlış bir alanı varsa ortaya çıkar. Günlüklerinizdeki sorunu gidermek için tablolara bakın.

Etkin olmayan kullanıcı günlük girişleriyle ilgili sorunları giderme

Günlük etkinliği ve açıklaması Sorun giderme adımları

Etkinlik: Nesneleri Okuma

Açıklama: username nesnesini ... ; suspended: true özellikleriyle birlikte okuma		 suspended: true mesajı, kullanıcının harici dizininizde etkin olmadığını gösterir. Harici dizininize gidin ve kullanıcının etkin olduğundan emin olun.

Etkinlik: Nesne Güncellendi

Açıklama: Kullanıcının username nesnesi güncellendi. Eski özellikler { suspended: false; }, yeni özellikler { suspended: true; }		 Kullanıcıyı Google Dizin'de askıya al ayarını etkinleştirdiyseniz ve kullanıcı, Google Hesabınızda zaten mevcutsa bu mesajı alırsınız.

Kullanıcının etkin olduğundan emin olmak için harici dizininizi kontrol edin veya temel hazırlığı kaldırma kurallarınızı güncelleyin. Temel hazırlığı kaldırma hakkında ayrıntılı bilgi için Harici dizinde bulunmayan kullanıcıları askıya alma başlıklı makaleyi inceleyin.

Geçersiz e-posta adresi ve yanlış alan adı günlük girişleriyle ilgili sorunları giderme

Günlük etkinliği ve açıklaması Sorun giderme adımları
Etkinlik: Senkronizasyon Hatası - Bağımsız Nesne

Açıklama: Kullanıcının username nesnesi oluşturulamadı

 Kullanıcılar için alan adını değiştirmek üzere Dizin Senkronizasyonu'nu ayarlayın. Ayrıntılı bilgi için Senkronize edilen kullanıcılar için alan adını değiştirme başlıklı makaleyi inceleyin.

Alternatif olarak, hem kaynak hem de hedef hesaplarda aynı alan adını kullanın.
Etkinlik: Nesne Atlandı - Beklenmeyen Hata

Açıklama: Kullanıcının senkronizasyonu atlandı. username için güncelleme başarısız oldu

 Kullanıcılar için alan adını değiştirmek üzere Dizin Senkronizasyonu'nu ayarlayın. Ayrıntılı bilgi için Senkronize edilen kullanıcılar için alan adını değiştirme başlıklı makaleyi inceleyin.

Alternatif olarak, hem kaynak hem de hedef hesaplarda aynı alan adını kullanın.
Etkinlik: Senkronizasyon Hatası

Açıklama: Kullanıcı atlanıyor: Kullanıcının e-posta adresi uzak dizinden ayrıştırılamıyor

 Kullanıcının e-posta adresi geçersiz. Harici dizindeki e-posta adresini düzeltin.
Etkinlik: Senkronizasyon Hatası

Açıklama: Özellik bölümünde kuruluş birimi yolu ayarlanmadığından kullanıcı: username nesnesi atlanıyor

 E-posta alan adı değiştirme özelliğini etkinleştirdiyseniz harici dizindeki kullanıcı özelliklerini kontrol edin. Kullanıcıları bir kuruluş birimine yerleştirmek için kullandığınız özellikte bir değer belirtildiğinden emin olun.

E-posta alan adı değiştirme özelliği etkinleştirilmediyse harici dizindeki kullanıcı için geçerli bir e-posta adresi kullandığınızdan emin olun.

Directory Sync için günlük etkinliklerini kontrol etme

Kullanıcılar ve gruplar senkronize edilmiyor

Bu adımları tamamlamak için süper yönetici veya Directory Sync yöneticisi rolüne ya da Directory Sync Ayarlarını Yönetme ayrıcalığına sahip olmanız gerekir.

Kullanıcılar ve gruplar senkronize edilmezse:

  1. Google Yönetici Konsolunuzda (admin.google.com adresinde) Dizin Senkronizasyonu Harici dizinler'i tıklayın.
  2. Dizininizin Senkronizasyon Durumu'nu kontrol edin.
  3. Senkronizasyon etkin değilse veya başarısızsa senkronizasyonu etkinleştirin.

    Ayrıntılar için Senkronizasyon çalıştırma başlıklı makaleyi inceleyin.

Microsoft Domain Users grubunuz senkronize edilmiyorsa:

Microsoft Domain Users grubu, Directory Sync tarafından desteklenmez. Daha fazla bilgi edinin.

  1. Active Directory'de, Microsoft Domain Users grubunun tüm geçerli üyelerini ve izinlerini içeren yeni bir grup oluşturun.
  2. Bu grubu Microsoft Domain Users grubunun üyesi olarak ekleyin.
  3. Üyeleri yönetmek ve senkronizasyon yapmak için yeni grubu kullanın.

Not: Microsoft Domain Users grubunun özelliklerini değiştirmeyin. Aksi takdirde, beklenmedik başka davranışlar tetiklenebilir.

Kullanıcıların durumu "Yönetici tarafından askıya alındı" olarak gösteriliyor

Bu hatayla ilgili daha fazla sorun giderme bilgisini Directory Sync günlük etkinliklerinde bulabilirsiniz:

  1. Directory Sync günlüğü etkinliklerini açın.

    Ayrıntılar için Directory Sync günlüğüne ait etkinlik verilerine erişme başlıklı makaleyi inceleyin.

  2. Filtre ekle Hedef nesne kimliği'ni tıklayın.
  3. Kullanıcının e-posta adresini girin ve Uygula'yı tıklayın.
  4. Aşağıdaki etkinliklerle karşılaşırsanız:
    • Yeni özellikler {suspended: true}, dizin senkronizasyonu, AD'de devre dışı bırakıldıkları için kullanıcıyı askıya aldı açıklamasını içeren Nesne Güncellendi etkinliği.
    • Nesnenin Temel Hazırlığı Kaldırıldı etkinliği. AD'deki kullanıcının silinip silinmediğini veya LDAP arama kapsamına girmeyen başka bir yola taşınıp taşınmadığını kontrol edin.

Bazı kullanıcılar senkronizasyonda yok

Hangi kullanıcıların olmadığını belirleyin ve kullanıcıyla ilgili olarak aşağıdakileri kontrol edin:

  • Harici dizinde etkin olmalıdır.
  • Kullanıcı senkronizasyonunu ayarlarken belirttiğiniz grubun doğrudan üyesi olmalıdır.
  • Harici dizindeki bir kişi değil, kullanıcı nesnesi olmalıdır.
  • Harici dizininizde bulunan bir e-posta kimliği bulunmalıdır ve e-posta kimliğindeki alan, Google Workspace alanınızla aynı olmalıdır.

Sorun giderme hakkında daha fazla bilgiye Directory Sync günlük etkinliklerinden ulaşabilirsiniz:

  1. Directory Sync günlüğü etkinliklerini açın.

    Ayrıntılar için Directory Sync günlüğüne ait etkinlik verilerine erişme başlıklı makaleyi inceleyin.

  2. Filtre ekle Kaynak nesne kimliği'ni tıklayın.
  3. Kullanıcının DN'sini ekleyin ve Uygula'yı tıklayın.
  4. Senkronizasyon Hatası etkinliklerini bulun ve hataları inceleyin.
  5. Kullanıcının DN'sini içeren Read Object etkinliklerini arayın.
  6. Okuma nesnesi etkinliği bulamıyorsanız Directory Sync kullanıcıyı senkronize etmemiştir. Bu durumun yaygın nedenleri:
    • Kullanıcı üyeliği, LDAP arama kapsamına girmez (kullanıcı senkronizasyonunu ayarlarken belirtilen grubun ana DN'sinde veya altında kalmaz).
    • Directory Sync farklı bir alan denetleyicisiyle iletişim kuruyor ve artımlı senkronizasyon tüm değişiklikleri almıyor. Ana makine adı ve IP adresinin aynı etki alanı denetçisine işaret ettiğini doğrulayın.

Bazı kullanıcılar grup üyesi olarak senkronize edilmiyor

Grup üyesiyle ilgili olarak aşağıdakileri kontrol edin:

  • mail özellik değeri ayarlanmış olmalı ve geçerli bir biçime sahip bir e-posta kimliği bulunmalıdır.
  • Grubun ana DN'sinde veya altında olmamalıdır.


Google, Google Workspace ve ilgili markalar ile logolar Google LLC şirketinin ticari markalarıdır. Diğer tüm şirket ve ürün adları, ilişkili oldukları şirketlerin ticari markalarıdır.