以下說明如何排解您在設定及執行目錄同步時可能遇到的問題。
設定
新增外部目錄時,發生無法儲存目錄設定的錯誤
- 確認已在專案中啟用 Data Connectors API。詳情請參閱「啟用 Data Connectors API」。
- 如果 VPC Service Controls 已設定 perimeter 規則,且 Google Cloud 主控台出現與 storage.googleapis.com 相關的 PERMISSION_DENIED 錯誤,您需將專案設為允許存取 Cloud Storage API。如果還看到與 artifactregistry.googleapis.com 對應的錯誤,請新增下列 egress 規則,允許 Directory Sync 資源存取外部目錄:
egress To: _ serviceName : artifactregistry.googleapis.com methodSelectors : - method: artifactregistry.googleapis.com/DockerRead Resources - projects/397958601689 egressFrom: identityType: ANY_IDENTITY
如要進一步瞭解如何編輯 service perimeter 規則,請參閱「service perimeter 詳細資料和設定」。
網域已使用,因此無法儲存目錄設定
多個 Directory Sync 連線無法指向同一個網域。目錄同步會比較基準辨別名稱 (DN),如果網域相符,目錄會建立失敗。
如要解決這個問題,請先刪除包含相符 DN 的連線,再使用相同的網域建立新連線。
Directory Sync 無法連線至 Active Directory 伺服器錯誤
如果在「管理員記錄事件資料」中看到這個錯誤訊息,請檢查下列事項:
- Microsoft Active Directory (AD) 伺服器已啟動並開始運作。
- 網路和防火牆已設為允許 LDAP 通訊埠的連入流量。
- 輸入的已授權帳戶憑證正確無誤,且採用下列格式:<使用者名稱>@example.com 或 EXAMPLE\<使用者名稱>。
如果依然收到錯誤訊息,請新增網域名稱系統 (DNS) 伺服器詳細資料來解析 AD 主機名稱。詳情請參閱「新增外部目錄」。
您也可以在與虛擬私有雲 (VPC) 存取連接器相同的子網路中,建立 Linux 虛擬機器 (VM)。請嘗試在通訊埠 636 上,透過 telnet 連線至 AD 伺服器的 IP 位址。如果 telnet 連線失敗,請確認 AD 伺服器的網路設定,例如檢查通訊埠 636 是否已開啟且可使用。
如果 telnet 連線成功,請在 Linux VM 上輸入下列指令,確認 AD 伺服器是否使用正確的憑證:
openssl s_client -showcerts -connect external server IP address:636
錯誤:嘗試連線至伺服器時發生錯誤
在「管理員記錄事件資料」中,這個錯誤可能會有 2 種版本。
錯誤 1 - 嘗試在設定的逾時時間 (10000 毫秒) 內連線至伺服器 (<伺服器 IP>) 時發生錯誤
這項錯誤表示 Directory Sync 無法連線至 Active Directory (AD) 伺服器。如要排解錯誤,請確認您已正確設定 AD。詳情請參閱「新增 AD 目錄」。
錯誤 2 - 嘗試與伺服器 (<伺服器 IP>) 建立連線時發生錯誤:(SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)
這項錯誤表示 AD TLS 憑證與您設定外部目錄連線時附加的憑證不符。如要排解問題,請確定已使用相符的憑證。詳情請參閱「新增 AD 目錄」。
如要將 AD TLS 憑證儲存在本機,請在 Microsoft PowerShell 中輸入以下指令碼,並將「localhost」localhost替換成您的 AD 伺服器 DNS 記錄或 IP 位址:
$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"無法測試與 Azure Active Directory 的連線
如果您無法測試 Google 與 Microsoft Azure Active Directory 之間的連線,請查看管理員記錄事件,瞭解疑難排解資訊。詳情請參閱「管理員記錄事件」。
同步處理問題
無法建立使用者錯誤
您可能會在 Directory Sync 記錄事件中看見以下錯誤訊息:「無法建立使用者。訊息:DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT。」
這個錯誤代表使用者授權發生問題。如果授權數量超過 Google Workspace 可用的數量,或是沒有可指派的授權,您就無法建立使用者,而且會收到這則錯誤訊息。
如要排解問題,請增加更多使用者可用的授權。詳情請參閱「購買更多使用者授權」。
相關主題
結果 - 推薦連結錯誤
如果出現開頭為「結果 - 參照連結」的錯誤,請檢查您在設定同步處理作業時輸入的基準 DN 是否正確。
如果您使用的是全域目錄通訊埠 3269,請變更為 636。
使用者同步處理作業失敗,並顯示「您沒有使用這個資源/API 的權限」
您可能會在 Directory Sync 記錄事件中,看到含有這則說明的同步處理錯誤。這個錯誤通常是因為使用者帳戶處於非啟用狀態,或是 AD 中電子郵件 ID 的網域不正確。請參閱以下表格,瞭解如何排解記錄中的問題。
排解非啟用使用者記錄項目問題
| 記錄檔事件和說明 | 疑難排解步驟 |
|---|---|
|
事件:已讀取物件 說明:已讀取含有屬性的「username」 ...;suspended: true |
「suspended: true」訊息表示使用者在外部目錄中處於非啟用狀態。前往外部目錄,確認使用者處於啟用狀態。 |
|
事件:已更新物件 說明:已更新使用者「username」。舊屬性 { suspended: false; },新屬性 { suspended: true; } |
如果您在 Google 目錄設定中啟用「停權使用者」,且對方已在您的 Google 帳戶中,就會收到這則訊息。
請檢查外部目錄,確認使用者處於啟用狀態,或更新取消佈建規則。如要進一步瞭解如何取消佈建,請參閱「將外部目錄中找不到的使用者停權」。 |
排解電子郵件地址無效和網域記錄項目不正確的問題
| 記錄檔事件和說明 | 疑難排解步驟 |
|---|---|
| 事件:同步處理錯誤 - 個別物件
說明:無法建立使用者「username」 |
設定 Directory Sync 來為使用者更換網域名稱,詳情請參閱「為已同步使用者更換網域名稱」。
或者,請在來源帳戶和目標帳戶中使用相同的網域。 |
| 事件:已略過物件 - 非預期的錯誤
說明:已略過同步處理使用者,無法更新「username」 |
設定 Directory Sync 來為使用者更換網域名稱,詳情請參閱「為已同步使用者更換網域名稱」。
或者,請在來源帳戶和目標帳戶中使用相同的網域。 |
| 事件:同步處理錯誤
說明:已略過使用者:無法從遠端目錄剖析使用者的電子郵件地址 |
使用者的電子郵件地址無效,請修正外部目錄中的電子郵件地址。 |
| 事件:同步處理錯誤
說明:由於屬性部門中未設定機構單位路徑,因此已略過使用者:「username」 |
如果您已啟用電子郵件網域名稱替代功能,請檢查外部目錄中的使用者屬性,確認您用來將使用者加入機構單位的屬性有值。 如未啟用電子郵件網域名稱替代功能,請務必在外部目錄中,使用有效的使用者電子郵件地址。 |
相關主題
使用者和群組未同步
如要完成這些步驟,您必須具備超級管理員或 Directory Sync 管理員角色,或擁有「管理 Directory Sync 設定」權限。
如果使用者和群組並未同步:
- 在 Google 管理控制台 (網址為 admin.google.com) 中,依序按一下「目錄同步處理」
「外部目錄」。 - 查看目錄的「同步處理狀態」。
- 如果同步處理作業無效或失敗,請啟用同步處理功能。
詳情請參閱「執行同步處理」。
如果 Microsoft 網域使用者群組未同步:
Directory Sync 不支援 Microsoft 網域使用者群組。瞭解詳情
- 在 Active Directory 中建立新群組,其中包含 Microsoft 網域使用者群組的所有適用成員和權限。
- 將該群組新增為 Microsoft 網域使用者群組的成員。
- 使用新群組管理成員及執行同步處理。
注意: 請勿變更 Microsoft 網域使用者群組的屬性,因為這可能會觸發其他非預期的行為。
使用者狀態顯示「已遭管理員停權」
如要進一步瞭解這個錯誤的疑難排解資訊,請查看 Directory Sync 記錄事件:
- 開啟 Directory Sync 記錄事件。
詳情請參閱「存取 Directory Sync 記錄事件資料」。
- 按一下「新增篩選器」
「目標物件 ID」。
- 輸入使用者的電子郵件地址,然後按一下「套用」。
- 如果看到以下內容:
- 已更新物件事件,說明為新屬性 {suspended: true}。使用者在 AD 中的帳戶未啟用,因此目錄同步處理服務已將其停權。
- 已取消佈建物件事件:請檢查 AD 中的使用者是否已遭刪除,或移至其他不在 LDAP 搜尋範圍的路徑中。
同步處理作業中缺少部分使用者
找出缺少的使用者,並確認該使用者:
- 在外部目錄中為啟用狀態
- 是您在設定使用者同步程序時指定的群組的直接成員
- 是使用者物件,而非外部目錄中的聯絡人
- 擁有在外部目錄中顯示的電子郵件 ID,且該電子郵件 ID 中的網域與 Google Workspace 網域相同
如需進一步瞭解疑難排解資訊,請查看 Directory Sync 記錄事件:
- 開啟 Directory Sync 記錄事件。
詳情請參閱「存取 Directory Sync 記錄事件資料」。
- 按一下「新增篩選器」
「來源物件 ID」。
- 新增使用者的 DN,然後按一下「套用」。
- 找出任何「同步處理錯誤」事件,然後查看錯誤。
- 搜尋含有使用者 DN 的「讀取物件」事件。
- 如果找不到任何「讀取物件」事件,表示 Directory Sync 未同步處理該名使用者。常見原因如下:
- 使用者成員資格不在 LDAP 搜尋範圍內 (當您設定使用者同步處理作業時,使用者不在指定群組的基準 DN 之下或該範圍內)。
- Directory Sync 正在與其他網域控制站通訊,且部分同步處理並未檢測到所有變更。請確認主機名稱和 IP 位址是否指向同一個網域控制器。
部分使用者未以群組成員身分同步處理
請確認該群組成員是否符合以下條件:
- 已設定郵件屬性值,且電子郵件 ID 採用有效格式
- 未位於或低於群組的基準 DN
Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。