Khắc phục sự cố về tính năng Directory Sync

Không lưu được chế độ cài đặt thư mục khi thêm thư mục bên ngoài

• Đảm bảo bạn đã bật Data Connectors API trong dự án. Để biết thông tin chi tiết, hãy xem bài viết Bật Data Connectors API.
• Nếu bạn đã định cấu hình một quy tắc phạm vi của Chế độ kiểm soát dịch vụ đám mây riêng tư ảo (VPC) và bảng điều khiển Google Cloud có các lỗi PERMISSION_DENIED tương ứng liên quan đến storage.googleapis.com, thì bạn cần cho phép dự án của mình truy cập vào Cloud Storage API. Nếu bạn cũng thấy các lỗi tương ứng với artifactregistry.googleapis.com, hãy thêm quy tắc truyền dữ liệu ra sau đây để cho phép các tài nguyên Đồng bộ hoá thư mục truy cập vào thư mục bên ngoài của bạn:

  egress To:
  _ serviceName : artifactregistry.googleapis.com
   methodSelectors :
    - method: artifactregistry.googleapis.com/DockerRead
  Resources
  - projects/397958601689
  egressFrom:
   identityType: ANY_IDENTITY

Để biết thêm thông tin về cách chỉnh sửa các quy tắc về ranh giới dịch vụ, hãy xem phần thông tin chi tiết và xác nhận về ranh giới dịch vụ.

Không lưu được chế độ cài đặt thư mục do miền đã được sử dụng

Nhiều kết nối Directory Sync không thể trỏ đến cùng một miền. Directory Sync so sánh tên phân biệt cơ sở (DN) và nếu các miền khớp nhau, thì quá trình tạo thư mục sẽ không thành công.

Để giải quyết vấn đề này, hãy xoá kết nối có DN trùng khớp trước khi tạo một kết nối mới có cùng miền.

Lỗi Directory Sync không thể kết nối với máy chủ Active Directory

Nếu bạn gặp lỗi này trong dữ liệu về sự kiện trong nhật ký của quản trị viên, hãy kiểm tra những điều sau:

• Máy chủ Microsoft Active Directory (AD) đang hoạt động.
• Mạng và tường lửa của bạn được thiết lập để cho phép lưu lượng truy cập đến trên cổng LDAP.
• Bạn đã nhập đúng thông tin đăng nhập của tài khoản được uỷ quyền, sử dụng định dạng tên người dùng@ví dụ.com hoặc VÍ DỤ\tên người dùng.

Nếu bạn vẫn gặp lỗi này, hãy thêm thông tin chi tiết về máy chủ Hệ thống tên miền (DNS) để phân giải tên máy chủ AD. Để biết thông tin chi tiết, hãy xem bài viết Thêm thư mục bên ngoài.

Bạn cũng có thể tạo một máy ảo (VM) Linux trong cùng một mạng con với trình kết nối cho phép truy cập vào Đám mây riêng ảo (VPC). Hãy thử telnet đến địa chỉ IP của máy chủ AD trên cổng 636. Nếu telnet không thành công, hãy xác minh chế độ cài đặt mạng của máy chủ AD, ví dụ: kiểm tra để đảm bảo cổng 636 đang mở và có sẵn.

Nếu telnet thành công, để xác minh xem máy chủ AD có đang sử dụng đúng chứng chỉ hay không, hãy nhập lệnh sau trên máy ảo Linux:

openssl s_client -showcerts -connect external server IP address:636

Lỗi: Đã xảy ra lỗi khi cố gắng kết nối với máy chủ

Bạn có thể nhận được 2 phiên bản của lỗi này trong Dữ liệu sự kiện trong nhật ký quản trị.

Lỗi 1 – Đã xảy ra lỗi trong quá trình kết nối với máy chủ (IP máy chủ) trong thời gian chờ đã định cấu hình là 10000 mili giây

Lỗi này cho biết Directory Sync không kết nối được với máy chủ Active Directory (AD). Để khắc phục sự cố, hãy đảm bảo rằng bạn đã thiết lập AD đúng cách. Để biết thông tin chi tiết, hãy xem bài viết Thêm thư mục AD.

Lỗi 2 – Đã xảy ra lỗi khi cố gắng thiết lập kết nối với máy chủ (IP máy chủ): (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)

Lỗi này cho biết chứng chỉ TLS của AD không khớp với chứng chỉ mà bạn đã đính kèm khi định cấu hình kết nối thư mục bên ngoài. Để khắc phục sự cố, hãy đảm bảo các chứng chỉ khớp nhau. Để biết thông tin chi tiết, hãy xem bài viết Thêm thư mục AD.

Để lưu chứng chỉ TLS AD cục bộ, hãy nhập tập lệnh sau vào Microsoft PowerShell, thay thế localhost bằng bản ghi DNS hoặc địa chỉ IP của máy chủ AD:

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

Không thể kiểm tra kết nối với Azure Active Directory

Nếu bạn không thể kiểm tra mối kết nối giữa Google và Microsoft Azure Active Directory, hãy kiểm tra các sự kiện nhật ký quản trị để biết thông tin khắc phục sự cố. Để biết thông tin chi tiết, hãy xem bài viết Sự kiện trong nhật ký quản trị viên.

Lỗi không tạo được người dùng

Bạn có thể gặp phải lỗi sau trong sự kiện trong nhật ký Directory Sync: "Không tạo được người dùng. Thông báo: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT."

Lỗi này cho biết có vấn đề về việc cấp phép cho người dùng. Nếu bạn vượt quá số lượng giấy phép có trong Google Workspace hoặc không có giấy phép nào để chỉ định, thì quá trình tạo người dùng sẽ không thành công và bạn sẽ gặp lỗi này.

Để khắc phục sự cố, hãy tăng số lượng giấy phép mà người dùng có thể sử dụng. Để biết thông tin chi tiết, hãy xem phần Mua thêm giấy phép người dùng.

Chủ đề có liên quan

• Kiểm tra các sự kiện trong nhật ký của Directory Sync
• Chỉ định, xoá và chỉ định lại giấy phép

Kết quả – lỗi liên kết giới thiệu

Nếu bạn gặp lỗi bắt đầu bằng Result - referral (Kết quả – giới thiệu), hãy kiểm tra để đảm bảo rằng tên phân biệt cơ sở mà bạn đã nhập khi thiết lập tính năng đồng bộ hoá là chính xác.

Nếu bạn đang sử dụng cổng danh mục chung 3269, hãy thay đổi thành 636.

Không đồng bộ hoá được người dùng, kèm theo thông báo "Not Authorized to access this resource/api" (Không được phép truy cập vào tài nguyên/API này)

Trong nhật ký Directory Sync, bạn có thể gặp lỗi đồng bộ hoá kèm theo nội dung mô tả này. Lỗi này thường xảy ra nếu tài khoản người dùng không hoạt động hoặc mã nhận dạng email có miền không chính xác trong AD. Hãy tham khảo các bảng này để khắc phục vấn đề trong nhật ký.

Khắc phục sự cố với các mục nhật ký người dùng không hoạt động

Khắc phục sự cố địa chỉ email không hợp lệ và mục nhật ký miền không chính xác

Chủ đề có liên quan

Kiểm tra các sự kiện trong nhật ký của Directory Sync

Người dùng và nhóm không được đồng bộ hoá

Để hoàn tất các bước này, bạn phải có vai trò quản trị viên cấp cao hoặc Quản trị viên Directory Sync, hoặc có đặc quyền Quản lý chế độ cài đặt Directory Sync.

Nếu người dùng và nhóm không được đồng bộ hoá:

1. Trong Bảng điều khiển dành cho quản trị viên của Google (tại admin.google.com), hãy nhấp vào Directory Sync (Đồng bộ hoá thư mục) Thư mục bên ngoài.
2. Kiểm tra Trạng thái đồng bộ hoá của thư mục.
3. Nếu quá trình đồng bộ hoá không hoạt động hoặc không thành công, hãy kích hoạt quá trình đồng bộ hoá.

   Để biết thông tin chi tiết, hãy chuyển đến phần Chạy quy trình đồng bộ hoá.

Nếu nhóm Người dùng miền của Microsoft không đồng bộ hoá:

Directory Sync không hỗ trợ nhóm Người dùng miền của Microsoft. Tìm hiểu thêm

1. Trong Active Directory, hãy tạo một nhóm mới chứa tất cả các thành viên và quyền áp dụng của nhóm Người dùng miền của Microsoft.
2. Thêm nhóm đó làm thành viên của nhóm Người dùng miền của Microsoft.
3. Sử dụng nhóm mới để quản lý thành viên và đồng bộ hoá.

Lưu ý: Đừng thay đổi các thuộc tính của nhóm Người dùng miền của Microsoft vì điều này có thể gây ra những hành vi không mong muốn khác.

Trạng thái của người dùng là Bị quản trị viên tạm ngưng

Bạn có thể tìm thêm thông tin khắc phục sự cố về lỗi này trong phần Sự kiện trong nhật ký Directory Sync:

1. Mở các sự kiện trong nhật ký Directory Sync.

   Để biết thông tin chi tiết, hãy xem bài viết Truy cập vào dữ liệu sự kiện trong nhật ký của Directory Sync.

2. Nhấp vào Thêm bộ lọc Mã nhận dạng đối tượng đích.
3. Nhập địa chỉ email của người dùng rồi nhấp vào Áp dụng.
4. Nếu bạn nhận được:
   • Sự kiện Đối tượng đã cập nhật có nội dung mô tả Thuộc tính mới {suspended: true}, tính năng Đồng bộ hoá thư mục đã tạm ngưng người dùng vì tài khoản của họ không hoạt động trong AD.
   • Sự kiện Object Deprovisioned (Đối tượng bị huỷ cấp phép), hãy kiểm tra xem người dùng trong AD đã bị xoá hay đã được chuyển sang một đường dẫn khác không thuộc phạm vi tìm kiếm LDAP.

Một số người dùng bị thiếu trong quá trình đồng bộ hoá

Xác định những thông tin mà người dùng còn thiếu và đảm bảo rằng người dùng:

• Không ở trạng thái không hoạt động trong thư mục bên ngoài
• Là thành viên trực tiếp của nhóm mà bạn chỉ định khi thiết lập quy trình đồng bộ hoá người dùng
• Là một đối tượng người dùng chứ không phải một người liên hệ trong danh bạ bên ngoài
• Có mã nhận dạng email xuất hiện trong thư mục bên ngoài của bạn và miền trong mã nhận dạng email đó giống với miền Google Workspace của bạn

Bạn có thể xem thêm thông tin khắc phục sự cố trong phần Sự kiện trong nhật ký Directory Sync:

1. Mở các sự kiện trong nhật ký Directory Sync.

   Để biết thông tin chi tiết, hãy xem bài viết Truy cập vào dữ liệu sự kiện trong nhật ký của Directory Sync.

2. Nhấp vào Thêm bộ lọc Mã nhận dạng đối tượng nguồn.
3. Thêm DN của người dùng rồi nhấp vào Áp dụng.
4. Tìm mọi sự kiện Lỗi đồng bộ hoá và xem xét các lỗi.
5. Tìm kiếm các sự kiện Read Object (Đọc đối tượng) bằng DN của người dùng.
6. Nếu bạn không tìm thấy sự kiện Đọc đối tượng nào, tức là tính năng Đồng bộ hoá thư mục chưa đồng bộ hoá người dùng. Sau đây là các lý do phổ biến:
   • Tư cách thành viên của người dùng không nằm trong phạm vi tìm kiếm LDAP (người dùng không nằm ở hoặc bên dưới tên phân biệt cơ sở của nhóm được chỉ định khi bạn thiết lập quy trình đồng bộ hoá người dùng).
   • Tính năng Đồng bộ hoá thư mục đang giao tiếp với một bộ điều khiển miền khác và quá trình đồng bộ hoá gia tăng không ghi nhận tất cả các thay đổi. Xác minh rằng tên máy chủ và địa chỉ IP trỏ đến cùng một bộ điều khiển miền.

Một số người dùng không được đồng bộ hoá dưới dạng thành viên nhóm

Kiểm tra để đảm bảo thành viên nhóm:

• Đã đặt giá trị thuộc tính thư và có mã nhận dạng email ở định dạng hợp lệ
• Không nằm ở hoặc bên dưới tên phân biệt cơ sở của nhóm