Mensajes de error de GCDS

Es posible que encuentres los siguientes mensajes de error cuando uses Google Cloud Directory Sync (GCDS). Usa la siguiente tabla para solucionar problemas relacionados con errores.

Prueba Log Analyzer

Esta herramienta puede identificar la mayoría de los problemas en unos minutos después del envío.

Obtén detalles sobre cómo habilitar el registro a nivel de seguimiento.

Mensajes de error y soluciones

Mensaje de error Descripción y solución
Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative names present

Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative DNS name matching servername found

El nombre común (CN) y el nombre alternativo de la entidad (SAN) del certificado no coinciden con el nombre del servidor LDAP en tu archivo de configuración de GCDS.

Para solucionar este problema, haz una de las siguientes acciones:

  • Corrige el archivo de configuración de GCDS. Si agregaste la dirección IP del servidor LDAP en la configuración de GCDS, ingresa también su nombre de dominio completamente calificado (FQDN) (por ejemplo, dc01.solarmora.com).
  • Agrega un SAN al certificado. Asegúrate de que el SAN incluya el nombre del servidor LDAP que usas en la configuración de GCDS.

Como solución alternativa temporal, puedes desactivar la identificación de extremos agregando una línea nueva a los archivos config-manager.vmoptions y sync-cmd.vmoptions en la carpeta de instalación de GCDS. Quita el salto de línea antes de agregar los archivos:

-Dcom.sun.jndi.ldap.object. disableEndpointIdentification=true
sun.security.provider.certpath.SunCertPathBuilder Exception: unable to find valid certification path to requested target

ldap_simple_bind_s() failed: Strong Authentication Required 		Sigue los pasos que se indican en Soluciona problemas relacionados con certificados.
InvalidCipherTextException: Invalid encryption parameters. Salt/Iteration/Initialization Vector Si ejecutas GCDS en una computadora que no tiene una GUI, es posible que no hayas importado la clave correctamente. Para conocer los pasos, consulta ¿Cómo autorizo GCDS en una máquina sin GUI?
java.lang.RuntimeException: Encountered unrecoverable SQLException. The state database specified "*path-to-folder*\syncState\*folder-name*" Busca y borra la carpeta identificada en el mensaje. Luego, vuelve a iniciar la sincronización.
java.sql.SQLException: Invalid checksum on Page

Otro proceso accede a la carpeta o los archivos de caché al mismo tiempo que GCDS.

Para solucionar el problema, descarga y ejecuta Process Monitor de Microsoft, y crea un filtro. En las opciones de filtro, usa Ruta de acceso, Contiene y *ruta-a-la-carpeta*\syncState para identificar los procesos que acceden a la carpeta o los archivos. Para obtener más información, consulta Process Monitor.
Invalid Input: query Ingresaste una búsqueda no válida en el campo Users Search Query. Quita la búsqueda o asegúrate de que cumpla con los lineamientos de búsqueda en Cómo buscar usuarios. Para obtener más información sobre las búsquedas de los usuarios, consulta Cómo omitir datos con reglas y consultas de exclusión.
SocketException - Connection reset

Si ves este mensaje cuando te conectas al servidor LDAP, significa que el servidor cerró la conexión. Las posibles razones son las siguientes:

  • Usas LDAP+SSL y el servidor LDAP no está configurado para aceptar los parámetros de TLS que admite GCDS (por ejemplo, el conjunto de algoritmos de cifrado). Asegúrate de que tu servidor LDAP tenga la configuración y las actualizaciones de seguridad más recientes.
  • Una regla de firewall bloquea la conexión.
A lock could not be obtained within the time requested Para solucionar este problema, haz lo siguiente:
  1. Asegúrate de que solo se ejecute una instancia de GCDS en tu computadora. Solo puedes ejecutar una instancia de GCDS a la vez con el mismo archivo XML.
  2. Reinicia el sistema para asegurarte de que ningún otro proceso acceda a la base de datos de caché de GCDS. Luego, vuelve a ejecutar la sincronización.
  3. Si el problema persiste, busca y cambia el nombre de la carpeta SyncState para obligar a GCDS a crear una nueva base de datos de caché. Puedes encontrar la carpeta en la carpeta del perfil del usuario (Windows) o en el directorio principal (Linux).
Error 400: invalid_request: The version of the app you're using doesn't include the latest security features to keep you protected. Please make sure to download from a trusted source and update to the latest, most secure version. Asegúrate de usar la versión más reciente de GCDS. Para obtener más información, consulta Cómo actualizar GCDS.
java.sql.SQLException: Directory <directory> cannot be created. GCDS requiere permiso completo para el directorio para mantener la base de datos de estado de sincronización. Es posible que veas este error en los siguientes casos:
  • GCDS se ejecuta como un usuario diferente del que instaló GCDS
  • Los permisos cambiaron desde la instalación
org.jdom.input.JDOMParseException: Error on line 1: Content is not allowed in prolog

GCDS está intentando cargar un archivo de configuración con una codificación de caracteres no compatible. GCDS usa UTF-8 como codificación de caracteres predeterminada. Debes usar la misma codificación para tus archivos de configuración, aunque otras codificaciones también son compatibles.

Para solucionar este problema, sigue estos pasos:

  1. Cambia la codificación de tu archivo de configuración a UTF-8:
    1. Abre un editor de texto.
    2. Guarda el archivo con una codificación diferente.
  2. Verifica que el contenido del archivo de configuración sea correcto.
  3. Intenta cargar el archivo de configuración en GCDS nuevamente.

Las codificaciones no admitidas más comunes son UTF-7 y UTF-8 BOM.
javax.net.ssl.SSLHandshakeException: connection during handshake

Un problema de conexión de red impidió que GCDS completara un protocolo de enlace de capa de conexión segura (SSL) con el servidor de Google. Este problema puede deberse a que una computadora enruta un paquete demasiado lento o a que tu ISP pierde el servicio de forma temporal. GCDS intenta completar el protocolo de enlace SSL hasta 3 veces. Si ves el siguiente mensaje en los registros, significa que GCDS completó el handshake correctamente en los intentos posteriores y no es necesario realizar ninguna acción adicional: [usersyncapp.sync.FullSyncAgent] No differences detected, no changes necessary.

Trabaja con tu administrador de red local para ver qué podría estar causando los tiempos de espera de la red.
Quota exceeded for the current request Si ves este error en los registros, significa que GCDS tiene bloqueado temporalmente el uso de las APIs de Google. GCDS vuelve a intentar llamar a las APIs, y la sincronización debería continuar según lo previsto. Si recibes el error en el informe de resumen de la sincronización y esta no se completó correctamente, comunícate con el equipo de asistencia. Para obtener más información, consulta ¿Qué información de GCDS necesito antes de comunicarme con el equipo de asistencia?
java.lang.RuntimeException: Unknown LDAP search rule scope "null" Una regla en una de las siguientes secciones del Administrador de configuración está vacía:
  • Configuración de LDAP Unidades organizativas Reglas de búsqueda
  • Configuración de LDAP Usuarios Sincronización de usuarios
  • Configuración de LDAP Grupos Reglas de búsqueda de grupos
  • Configuración de LDAP Perfiles de usuario Sincronización de perfiles de usuario
  • Configuración de LDAP Contactos compartidos Sincronización de contactos
Para obtener más información, consulta Cómo configurar la sincronización con el Administrador de configuración.
Invalid digest length for password El método de encriptación de contraseñas para la sincronización de contraseñas no se configuró correctamente en el Administrador de configuración, o bien tu servidor LDAP usa un método de encriptación que GCDS no admite. Los métodos admitidos son texto sin formato, Base64, MD5 y SHA1. Para sincronizar contraseñas con Microsoft Active Directory, usa Password Sync. Para obtener más información, consulta ¿Cómo sincronizarás las contraseñas? y Actualiza GCDS.
0 nested group(s) Para resolver este problema, haz lo siguiente:
  1. Agrega la siguiente línea a tu archivo de configuración, en la sección <features>:

    GROUP_NESTED_GROUPS_AS_USERS

  2. Encierra la línea entre etiquetas <optional>.
  3. Guarda el archivo de configuración y sincroniza.
Suspend user

Es posible que GCDS intente realizar cambios inesperados si ejecutas una sincronización con un archivo de configuración que se duplicó fuera del Administrador de configuración. El archivo de configuración nuevo accede a la misma caché que el archivo de configuración original, y las incoherencias entre ambos pueden provocar la suspensión de los usuarios.

Para duplicar un archivo de configuración de GCDS, siempre usa la opción Guardar como en el Administrador de configuración. De esta manera, se garantiza que el nuevo archivo de configuración tenga su propia caché.

Para obtener más información, consulta Cómo trabajar con archivos de configuración.
Skipping unknown member

Estás usando un archivo de configuración XML de GCDS anterior, y GCDS encontró un miembro del grupo que no está incluido en las reglas de búsqueda de usuarios de tu configuración. Debes incluir a todos los miembros y propietarios del grupo en tus reglas de búsqueda de usuarios, incluso si no quieres sincronizar a esos usuarios con el dominio de Google. GCDS necesita extraer las direcciones de correo electrónico de estos usuarios para procesar los grupos correctamente.

También puedes crear un archivo de configuración XML nuevo y en blanco. Luego, GCDS habilita una sincronización de grupos independiente, lo que obliga a GCDS a resolver los miembros del grupo independientemente de las reglas de sincronización de usuarios. Si no tienes certeza, esta es la opción recomendada.

Cuando realices cambios en la configuración o crees un archivo de configuración nuevo, asegúrate de ejecutar una simulación y revisar los resultados antes de ejecutar una sincronización completa.

Para obtener más información, consulta Cómo definir tu lista de usuarios.
com.google.data.client.GoogleServiceException: Invalid credentials

La cuenta de administrador que especificaste en Configuration Manager no es de administrador, o bien el nombre de usuario y la contraseña son incorrectos.

En el Administrador de configuración, ve a Google Domain Settings y verifica la información de la cuenta de administrador especificada en Admin Email Address.

Para obtener más información, consulta Cómo definir la configuración de tu dominio de Google.
com.google.gdata.util.ResourceNotFoundException: El atributo de clave de sincronización especificado en la sección Contactos compartidos del Administrador de configuración devuelve valores vacíos de tu servidor LDAP. Selecciona un atributo del servidor LDAP que contenga el valor de la clave de sincronización para cada recurso y que nunca muestre una cadena nula o vacía.
Computed differences exceed configured deletion limits, not applying changes Se alcanzó el límite de suspensión o eliminación establecido en GCDS. Cambia el parámetro de configuración Delete Limits en GCDS para evitar este error o consulta el registro de sincronización para obtener más detalles sobre lo que se habría borrado o suspendido, y decide si necesitas cambiar el límite.
InvalidEmail Prueba estas opciones:
  • En el Administrador de configuración, ve a Cuentas de usuario Reglas de exclusión y crea reglas de exclusión de usuarios que excluyan a los usuarios de dominios externos.
  • Cambia las reglas de búsqueda de usuarios para que no se muestren los usuarios de dominios externos.
  • Agrega el dominio faltante a tu Cuenta de Google como dominio secundario.
Domain user limit reached GCDS está sincronizando más usuarios de los que se aprovisionaron para tu cuenta. Prueba estas opciones:
  • En el Administrador de configuración, ve a Cuentas de usuario Buscar reglas y limita el alcance de la búsqueda de usuarios para que se muestren menos usuarios.
  • En el Administrador de configuración, asegúrate de haber especificado el DN adecuado que apunta a la raíz que contiene solo los usuarios que se deben importar al dominio de Google.
  • También puedes obtener más licencias de usuario. Para obtener más información, consulta Cómo comprar más licencias de usuario.
java.lang.RuntimeException: javax.naming.InvalidNameException: [LDAP: error code 34 - invalid DN] Un DN base especificado en el Administrador de configuración podría apuntar a un objeto que no existe en tu servidor LDAP. Verifica el DN base especificado en las secciones de filtro de conexión LDAP, usuario, grupo, perfil y contactos compartidos. Asegúrate de usar un objeto existente como el DN base para cada uno.
java.security.cert.CertPathValidatorException: revocation status check failed: no CRL found

Otro servicio o dispositivo de red impide que GCDS se comunique con la autoridad certificadora del certificado HTTPS que se usa para las APIs. Verifica si hay reglas de firewall o proxy que restrinjan las conexiones desde la máquina que ejecuta GCDS. Si se requiere un proxy para acceder a la Web desde la máquina que ejecuta GCDS, debe configurarse correctamente.

Para solucionar el problema, puedes inhabilitar la verificación de la lista de revocación de certificados (CRL). Para inhabilitar la verificación de la CRL, agrega las siguientes líneas a los archivos config-manager.vmoptions y sync-cmd.vmoptions en el directorio de instalación de GCDS:

-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false

Para obtener más información, consulta Cómo GCDS verifica las listas de revocación de certificados.
javax.naming.directory.InvalidSearchFilterException: Unbalanced parenthesis; remaining name Las consultas especificadas en una o más de las siguientes páginas del Administrador de configuración no tienen paréntesis equilibrados:
  • Configuración de LDAP Unidades organizativas Reglas de búsqueda
  • Configuración de LDAP Usuarios Sincronización de usuarios
  • Configuración de LDAP Grupos Reglas de búsqueda de grupos
  • Configuración de LDAP Perfiles de usuario Sincronización de perfiles de usuario
  • Configuración de LDAP Contactos compartidos Sincronización de contactos
Root exception is javax.naming.CommunicationException: *servername*:389

GCDS no puede resolver el nombre del servidor LDAP proporcionado. Asegúrate de ingresar un nombre de dominio completamente calificado para el servidor LDAP y de que la computadora que ejecuta GCDS pueda resolverlo.

Nota: Cuando uses Active Directory, usa el nombre de dominio completamente calificado de tu dominio como el nombre del servidor.
SSL peer shut down incorrectly

Por lo general, el problema se debe a que el tráfico se fuerza a través de un proxy. Si usas un proxy, debes configurar los parámetros de configuración del proxy de GCDS. Para asegurarte de que GCDS pueda conectarse a estas URLs y puertos específicos, completa los pasos que se indican en Permite el acceso a URLs y puertos.

El software de seguridad de la computadora local puede generar problemas de conexión. Pídele al administrador que inhabilite el software de seguridad en la máquina cliente y vuelve a intentarlo.
You are not authorized to access this API Confirma que habilitaste las APIs de Google necesarias. Para obtener más información, consulta Cómo autorizar tu Cuenta de Google.
Domain user limit exceeded Intentaste agregar más usuarios de los que tienes licencias de usuario. Comunícate con tu representante de ventas para comprar más licencias de usuario. También puedes cambiar tus consultas LDAP para sincronizar menos usuarios.
java.lang.RuntimeException: Failed to execute query because the object at Base DN: "DC=domain,DC=com" is missing or inaccessible

Comienza por verificar el DN en la pestaña Configuración de LDAP y en cualquiera de las reglas de búsqueda en las que hayas definido una anulación del DN base. Si el problema persiste y tienes la certeza de que el DN es válido, es posible que el problema esté relacionado con la resolución de DNS. Es posible que veas información adicional sobre el error en el registro, como la siguiente:

  • javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: domain.com:389 [Root exception is java.net.ConnectException: Connection refused: connect]]
  • javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: domain.com:389 [Root exception is java.net.ConnectException: Connection timed out: connect]]

Estos errores identifican que el nombre de host rechaza la conexión o se agota el tiempo de espera. Intenta ejecutar una búsqueda de DNS en este nombre de host y asegúrate de que todas las direcciones que se devuelvan sean válidas y permitan conexiones en el puerto que configuraste.

Nota: Estos errores pueden ocurrir incluso si especificaste un nombre de host o una dirección IP válidos en la configuración de GCDS. Es posible que Active Directory emita una respuesta de referencia de LDAP, que dirige a GCDS para que se conecte a través de un nombre de host. En última instancia, esta referencia podría ser al nombre de host que no se puede resolver. Para evitar estas referencias, conéctate a tu servidor de Active Directory a través del puerto del catálogo global, que tiene el valor predeterminado de 3268. Para obtener más detalles, consulta la documentación de Microsoft.
Character is invalid at location

Parte de la información del esquema personalizado no es válida. Para verificar los límites que se aplican al esquema personalizado, consulta API de Directory: Campos de usuario personalizados.

Si tienes habilitados los registros a nivel de seguimiento, también puedes ver la solicitud HTTP completa para el esquema personalizado.
java.util.concurrent.ExecutionException: java.lang.OutOfMemoryError: GC overhead limit exceeded Se superó el límite de memoria definido. Este evento provocó que fallara la sincronización. Para resolver este problema, consulta ¿Qué sucede si veo errores relacionados con la memoria?
Failed trying to connect to the specified LDAP server GCDS no se puede conectar al servidor LDAP. Asegúrate de lo siguiente:
  • Estás usando el protocolo de comunicación correcto. Si el servidor LDAP requiere un protocolo seguro, usa LDAP + SSL.
  • El servidor LDAP está activo y no tiene problemas de conexión.
Network problem: Unable to connect to the specified LDAP server GCDS no puede encontrar el servidor LDAP. Asegúrate de que la computadora que ejecuta GCDS tenga acceso al host y al puerto especificados.
Authentication problem: Unable to connect using the credentials supplied El servidor LDAP rechaza las solicitudes de GCDS debido a un problema de autenticación. Asegúrate de que el usuario autorizado y su contraseña sean correctos. Debes agregar al usuario autorizado con su DN completo. Para obtener detalles sobre cómo agregar el usuario autorizado, consulta Configuración de la conexión LDAP.
Failed to execute query at Base DN <*base-dn*> GCDS no se puede conectar al DN base. Asegúrate de lo siguiente:
  • El DN base existe en el servidor LDAP.
  • El usuario autorizado tiene permisos para el DN base. Para obtener más información, consulta Configuración de conexión LDAP.
Failed to execute query at Base DN <*base-dn*> for attribute: <*attribute*>, reason: NameNotFoundException GCDS no puede recuperar información del servidor LDAP. Asegúrate de lo siguiente:
  • El objeto <*base-dn*> existe y el usuario autorizado puede acceder a él. Para obtener más información, consulta Configuración de conexión LDAP.
  • El <*attribute*> existe para el objeto <*base-dn*> en el servidor LDAP.
Member already exists Es posible que veas este error en los siguientes casos:
  • Tienes un miembro cuya dirección LDAP principal es una dirección de alias en Google Workspace. Si es posible, evita esta situación (por ejemplo, usa un nombre de usuario diferente para el alias).
  • Una cuenta de usuario tiene el mismo nombre de usuario para 2 direcciones de alias. Además, en la página Configuración del dominio de Google, marcaste la casilla Reemplazar nombres de dominio en las direcciones de correo electrónico LDAP. Cuando marcas la casilla, ambas direcciones de correo electrónico se cambian para que coincidan con el dominio que aparece en el campo Dominio de correo electrónico alternativo.

Desmarca la casilla o cambia uno de los nombres de usuario de alias.

Si también ves el siguiente mensaje en los registros: "Error while adding member *user-email-address* to group *group-email-address* due to address collision", verifica lo siguiente:

  • GCDS excluyó al usuario con *user-email-address* de la sincronización según tus reglas de exclusión. Revisa tus reglas de exclusión y vuelve a intentarlo. Para obtener más información, consulta Cómo omitir datos con reglas y consultas de exclusión.
  • Actualizaste el usuario o el grupo fuera de GCDS. Borra la caché y vuelve a intentarlo.
Invalid Input: INVALID_OU_ID GCDS intenta colocar a un usuario en una unidad organizativa que no existe en la Cuenta de Google de tu organización. Ajusta las reglas de búsqueda de usuarios y vuelve a intentarlo. Para obtener más información, consulta Reglas de búsqueda de usuarios.
Se superó la cuota para la métrica de cuota “Consultas” y el límite “Consultas por minuto por usuario” del servicio “licensing.googleapis.com” "reason": "rateLimitExceeded" En el archivo XML de configuración de GCDS, asegúrate de que el valor *<maxResults>* esté establecido en 500. Si es necesario, cámbiala a 500 y vuelve a ejecutar la sincronización.

Soluciona problemas comunes de GCDS


Google, Google Workspace y las marcas y los logotipos relacionados son marcas de Google LLC. Todos los demás nombres de productos y empresas son marcas de las empresas con las que se encuentran asociados.