Messaggi di errore di GCDS

Quando utilizzi Google Cloud Directory Sync (GCDS), potrebbero essere visualizzati i seguenti messaggi di errore. Utilizza la tabella seguente per risolvere i problemi.

Provare lo Strumento di analisi log

Questo strumento consente di identificare la maggior parte dei problemi pochi istanti dopo l'invio dei log.

Scopri i dettagli su come attivare la registrazione a livello di traccia.

Messaggi di errore e soluzioni

Messaggio di errore Descrizione e soluzione
Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative names present

Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative DNS name matching servername found

Il nome comune (CN) e il nome alternativo del soggetto (SAN) del certificato non corrispondono al nome del server LDAP nel file di configurazione di GCDS.

Per risolvere il problema:

  • Correggi il file di configurazione di GCDS. Se hai aggiunto l'indirizzo IP del server LDAP nella configurazione di GCDS, inserisci anche il relativo nome di dominio completo (ad esempio, dc01.solarmora.com).
  • Aggiungi un nome alternativo del soggetto al certificato: assicurati che includa il nome del server LDAP che utilizzi nella configurazione GCDS.

Come soluzione alternativa temporanea, puoi disattivare l'identificazione degli endpoint aggiungendo una nuova riga ai file config-manager.vmoptions e sync-cmd.vmoptions nella cartella di installazione di GCDS. Rimuovi l'interruzione di riga prima di aggiungere i file:

-Dcom.sun.jndi.ldap.object. disableEndpointIdentification=true
sun.security.provider.certpath.SunCertPathBuilder Exception: unable to find valid certification path to requested target

ldap_simple_bind_s() failed: Strong Authentication Required 		Segui i passaggi descritti in Risolvere i problemi relativi ai certificati.
InvalidCipherTextException: Invalid encryption parameters. Salt/Iteration/Initialization Vector Se utilizzi GCDS su un computer che non ha una GUI, potresti non aver importato correttamente la chiave. Per i passaggi da seguire, vedi Come faccio ad autorizzare GCDS su un computer senza GUI?
java.lang.RuntimeException: Encountered unrecoverable SQLException. The state database specified "*path-to-folder*\syncState\*folder-name*" Individua ed elimina la cartella identificata nel messaggio. Quindi, riavvia la sincronizzazione.
java.sql.SQLException: Invalid checksum on Page

Un altro processo sta accedendo, contemporaneamente a GCDS, alla cartella o ai file della cache.

Per risolvere il problema, scarica ed esegui Process Monitor di Microsoft e crea un filtro. Nelle opzioni di filtro, utilizza Percorso, Contiene e *path-to-folder*\syncState per identificare i processi che accedono alla cartella o ai file. Per saperne di più, visita Process Monitor.
Invalid Input: query Hai inserito una query non valida nel campo Query di ricerca degli utenti. Rimuovi la query di ricerca o assicurati che soddisfi le linee guida di ricerca in Cerca utenti. Per ulteriori informazioni sulle query di ricerca degli utenti, vai a Omettere i dati con query e regole di esclusione.
SocketException - Connection reset

Se ricevi questo messaggio durante la connessione al server LDAP, significa che quest'ultimo ha chiuso la connessione. I possibili motivi sono:

  • Stai utilizzando LDAP+SSL e il server LDAP non è configurato per accettare i parametri TLS supportati da GCDS (ad esempio suite di crittografia). Assicurati che sul server LDAP siano installati le impostazioni e gli aggiornamenti di sicurezza più recenti.
  • Una regola firewall blocca la connessione.
A lock could not be obtained within the time requested Per risolvere il problema:
  1. Assicurati che sul computer sia in esecuzione una sola istanza di GCDS. Puoi eseguire una sola istanza di GCDS alla volta utilizzando lo stesso file XML.
  2. Riavvia il sistema per assicurarti che nessun altro processo acceda al database della cache di GCDS. Quindi, esegui di nuovo la sincronizzazione.
  3. Se il problema persiste, individua e rinomina la cartella SyncState per forzare GCDS a creare un nuovo database della cache. Puoi trovare la cartella nella cartella del profilo utente (Windows) o nella home directory (Linux).
Error 400: invalid_request: The version of the app you're using doesn't include the latest security features to keep you protected. Please make sure to download from a trusted source and update to the latest, most secure version. Assicurati di utilizzare l'ultima versione di GCDS. Per maggiori dettagli, vedi Aggiornare GCDS.
java.sql.SQLException: Directory <directory> cannot be created. GCDS richiede le autorizzazioni complete per la directory per gestire il database degli stati di sincronizzazione. Potresti visualizzare questo errore se:
  • GCDS viene eseguito con un utente diverso rispetto a quello che ha installato GCDS
  • Le autorizzazioni sono cambiate dopo l'installazione
org.jdom.input.JDOMParseException: Error on line 1: Content is not allowed in prolog

GCDS sta tentando di caricare un file di configurazione con una codifica di caratteri non supportata. GCDS utilizza la codifica dei caratteri predefinita UTF-8. Dovresti utilizzare la stessa codifica per i file di configurazione, anche se ne esistono altre compatibili.

Per risolvere il problema:

  1. Modifica la codifica del file di configurazione in UTF-8:
    1. Apri un editor di testo.
    2. Salva il file con una codifica diversa.
  2. Verifica che i contenuti del file di configurazione siano corretti.
  3. Prova a caricare di nuovo il file di configurazione su GCDS.

Le codifiche più comuni non supportate sono UTF-7 e UTF-8 BOM.
javax.net.ssl.SSLHandshakeException: connection during handshake

Un problema della connessione di rete ha impedito a GCDS di completare un handshake SSL (Secure Sockets Layer) con il server di Google. Il problema potrebbe essere causato da un computer che esegue il routing di un pacchetto troppo lentamente o da un'interruzione temporanea di servizio dell'ISP. GCDS tenta fino a massimo tre volte di completare l'handshake SSL. Se nei log viene visualizzato il seguente messaggio, GCDS ha completato correttamente l'handshake nei tentativi successivi e non sono necessarie ulteriori azioni: [usersyncapp.sync.FullSyncAgent] No differences detected, no changes necessary.

Collabora con l'amministratore di rete locale per scoprire la causa dei timeout di rete.
Quota exceeded for the current request Se viene visualizzato questo errore nei log, significa che l'utilizzo delle API Google da parte di GCDS è temporaneamente bloccato. GCDS riprova a utilizzare le API e la sincronizzazione dovrebbe continuare come previsto. Se visualizzi l'errore nel report di riepilogo della sincronizzazione e la sincronizzazione non è stata completata correttamente, contatta l'assistenza. Per maggiori dettagli, vedi Informazioni da raccogliere prima di contattare l'assistenza per GCDS
java.lang.RuntimeException: Unknown LDAP search rule scope "null" Una delle seguenti sezioni di Configuration Manager contiene una regola vuota:
  • LDAP Configuration (Configurazione LDAP) Org Units (Unità organizzative) Search Rules (Regole di ricerca)
  • LDAP Configuration (Configurazione LDAP) Users (Utenti) User Sync (Sincronizzazione utenti)
  • Configurazione LDAP Gruppi Regole di ricerca gruppi
  • LDAP Configuration (Configurazione LDAP) User Profiles (Profili utente) User Profiles Sync (Sincronizzazione profili utente)
  • LDAP Configuration (Configurazione LDAP) Shared Contacts (Contatti condivisi) Contacts Sync (Sincronizzazione contatti)
Per ulteriori informazioni, vedi Impostare la sincronizzazione con Configuration Manager.
Invalid digest length for password Il metodo di crittografia delle password per la loro sincronizzazione non è stato configurato correttamente in Configuration Manager oppure il server LDAP in uso utilizza un metodo di crittografia non supportato da GCDS. I metodi supportati sono testo non crittografato, Base64, MD5 e SHA1. Per sincronizzare le password con Microsoft Active Directory, utilizza Sincronizzazione password. Per ulteriori informazioni, vedi Come si sincronizzano le password? e Aggiornare GCDS.
0 nested group(s) Per risolvere il problema:
  1. Aggiungi la seguente riga al file di configurazione, nella sezione <features>:

    GROUP_NESTED_GROUPS_AS_USERS

  2. Racchiudi la riga tra tag <optional>.
  3. Salva il file di configurazione e sincronizza.
Suspend user

GCDS potrebbe provare ad apportare modifiche impreviste se esegui una sincronizzazione con un file di configurazione che è stato duplicato all'esterno di Configuration Manager. Il nuovo file di configurazione accede alla stessa cache del file originale e la sospensione degli utenti può essere causata delle incongruenze tra i due file.

Per duplicare un file di configurazione GCDS, utilizza sempre l'opzione Save As (Salva con nome) di Configuration Manager. in modo da assicurare che il nuovo file di configurazione abbia la propria cache.

Per ulteriori informazioni, vedi Utilizzare i file di configurazione.
Skipping unknown member

Stai utilizzando un file di configurazione XML di GCDS meno recente e GCDS ha rilevato che un membro del gruppo non è incluso nelle regole di ricerca utente della configurazione. Dovresti includere tutti i membri e i proprietari dei gruppi nelle regole di ricerca utente, anche se non intendi sincronizzare tali utenti con il dominio Google. GCDS ha bisogno di estrarre gli indirizzi email di questi utenti per elaborare i gruppi correttamente.

In alternativa, crea un nuovo file di configurazione XML vuoto. In questo caso, GCDS abiliterà una sincronizzazione indipendente del gruppo e sarà forzato a risolvere i membri del gruppo a prescindere dalle regole di sincronizzazione utenti. Se hai dubbi, questa è l'opzione consigliata.

Quando modifichi la configurazione in qualsiasi modo o crei un nuovo file di configurazione, ricorda di eseguire una simulazione e di controllarne i risultati prima di procedere con la sincronizzazione completa.

Per ulteriori informazioni, vedi Definire l'elenco degli utenti.
com.google.data.client.GoogleServiceException: Invalid credentials

L'account amministratore specificato in Configuration Manager non corrisponde a un amministratore oppure il nome utente e la password non sono corretti.

In Configuration Manager, vai a Google Domain Settings (Impostazioni) e verifica i dati dell'account amministratore specificati in Admin Email Address (Indirizzo email dell'amministratore).

Per ulteriori informazioni, vedi Definire le impostazioni del dominio di Google.
com.google.gdata.util.ResourceNotFoundException: L'attributo chiave di sincronizzazione specificato nella sezione Shared Contacts (Contatti condivisi) di Configuration Manager restituisce valori vuoti dal server LDAP. Seleziona dal server LDAP un attributo che contenga il valore della chiave di sincronizzazione per ciascuna risorsa e che non restituisca mai una stringa vuota o con valore "null".
Computed differences exceed configured deletion limits, not applying changes I limiti per le eliminazioni o le sospensioni stabiliti in GCDS sono stati raggiunti. Modifica l'impostazione Elimina limiti in GCDS per evitare questo errore o controlla il log di sincronizzazione per maggiori dettagli sugli elementi eliminati o sospesi e stabilisci se è opportuno modificare il limite.
InvalidEmail Prova le seguenti opzioni:
  • In Configuration Manager, vai a User Accounts (Account utente) Exclusion Rules (Regole di esclusione) e crea le regole per escludere gli utenti dei domini esterni.
  • Modifica le regole di ricerca utenti in modo che non vengano restituiti gli utenti dei domini esterni.
  • Aggiungi al tuo Account Google il dominio mancante come dominio secondario.
Domain user limit reached GCDS sincronizza un numero di utenti superiore a quello per il quale è stato eseguito il provisioning. Prova le seguenti opzioni:
  • In Configuration Manager, vai a User Accounts (Account utente) Search rules (Regole di ricerca) e limita l'ambito della ricerca utente in modo che restituisca un numero inferiore di utenti.
  • In Configuration Manager, accertati di avere specificato il nome distinto (DN) appropriato che indirizza alla radice contenente solo utenti che è necessario importare nel dominio Google.
  • Puoi anche acquistare altre licenze utente. Per saperne di più, vai ad Acquistare licenze utente aggiuntive.
java.lang.RuntimeException: javax.naming.InvalidNameException: [LDAP: error code 34 - invalid DN] È possibile che un DN di base specificato in Configuration Manager stia puntando a un oggetto che non esiste sul server LDAP in uso. Controlla il DN di base specificato nelle sezioni di filtro connessione, utente, gruppo, profilo e contatti condivisi di LDAP. Assicurati di utilizzare un oggetto esistente come DN di base per ciascuna voce.
java.security.cert.CertPathValidatorException: revocation status check failed: no CRL found

Un altro servizio o dispositivo di rete impedisce a GCDS di contattare l'autorità di certificazione per il certificato HTTPS utilizzato per le API. Verifica la presenza di regole del firewall o del proxy che limitano le connessioni dal computer che esegue GCDS. Se è necessario un proxy per l'accesso al web dal computer che esegue GCDS, deve essere configurato correttamente.

Per aggirare il problema, puoi disattivare il controllo dell'elenco revoche certificati (CRL). Per disattivare il controllo CRL, aggiungi le righe seguenti ai file config-manager.vmoptions e sync-cmd.vmoptions nella directory di installazione di GCDS:

-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false

Per ulteriori informazioni, vai a In che modo GCDS verifica gli elenchi revoche certificati.
javax.naming.directory.InvalidSearchFilterException: Unbalanced parenthesis; remaining name Le query specificate in una o più delle seguenti pagine di Configuration Manager non contengono parentesi bilanciate:
  • LDAP Configuration Org Units Search Rules
  • LDAP Configuration Users User Sync
  • LDAP Configuration Groups Group Search Rules
  • LDAP Configuration User Profiles User Profiles Sync
  • LDAP Configuration Shared Contacts Contacts Sync
Root exception is javax.naming.CommunicationException: *servername*:389

GCDS non è in grado di risolvere il nome del server LDAP fornito. Accertati di inserire un nome di dominio completo per il server LDAP e verifica che il computer che esegue GCDS sia in grado di risolverlo.

Nota:se utilizzi Active Directory, utilizza il nome di dominio completo come nome server.
SSL peer shut down incorrectly

Di solito questo problema è causato dal fatto che il traffico è forzato attraverso un proxy. Se utilizzi un proxy devi configurarne le impostazioni per GCDS. Assicurati che GCDS possa connettersi a questi URL e porte specifici completando i passaggi descritti in Consentire l'accesso a URL e porte.

Il software di sicurezza sul computer locale potrebbe creare problemi di connessione. Chiedi all'amministratore di disabilitare gli eventuali software di sicurezza sul computer client e riprova.
You are not authorized to access this API Verifica di aver attivato le API di Google richieste. Per ulteriori informazioni, vedi Autorizzare l'Account Google.
Domain user limit exceeded Hai tentato di aggiungere un numero di utenti superiore al totale di licenze utente disponibili. Contatta il tuo rappresentante di vendita per acquistare altre licenze utente. oppure modifica le tue query LDAP in modo da sincronizzare un numero inferiore di utenti.
java.lang.RuntimeException: Failed to execute query because the object at Base DN: "DC=domain,DC=com" is missing or inaccessible

Per iniziare, verifica il DN sia nella scheda LDAP configuration (Configurazione LDAP) che nelle regole di ricerca in cui hai definito l'override del DN di base. Se questa procedura non risolve il problema e hai la certezza che il DN sia valido, il problema potrebbe riguardare la risoluzione del DNS. Il log potrebbe contenere ulteriori informazioni sull'errore, ad esempio:

  • javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: domain.com:389 [Root exception is java.net.ConnectException: Connection refused: connect]]
  • javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: domain.com:389 [Root exception is java.net.ConnectException: Connection timed out: connect]]

Questi errori indicano che il nome host rifiuta la connessione o che il tempo è scaduto. Prova a eseguire una ricerca DNS su questo nome host e verifica che tutti gli indirizzi restituiti siano validi e consentano connessioni sulla porta che hai configurato.

Nota: questi errori possono verificarsi anche se hai specificato un nome host o un indirizzo IP valido nella configurazione di GCDS. Active Directory potrebbe generare una risposta di riferimento LDAP, indirizzando GCDS alla connessione tramite un nome host. Il riferimento potrebbe in ultimo essere collegato al nome host che non si riesce a risolvere. Puoi evitare questi riferimenti effettuando la connessione al server Active Directory utilizzando la porta di catalogo globale, che per impostazione predefinita è la n. 3268. Per maggiori dettagli, consulta la documentazione di Microsoft.
Character is invalid at location

Alcune delle informazioni nello schema personalizzato non sono valide. Per verificare i limiti che si applicano allo schema personalizzato, vedi i campi utente personalizzati per l'API Directory.

Se hai abilitato i log a livello di traccia, puoi anche vedere la richiesta HTTP completa per questo schema personalizzato.
java.util.concurrent.ExecutionException: java.lang.OutOfMemoryError: GC overhead limit exceeded Il limite di memoria definito è stato superato. e di conseguenza la sincronizzazione non è riuscita. Per risolvere il problema, vedi Cosa indicano gli errori relativi alla memoria?
Failed trying to connect to the specified LDAP server GCDS non è in grado di connettersi al server LDAP. Assicurati che:
  • Stai utilizzando il protocollo di comunicazione corretto. Utilizzi LDAP + SSL nel caso in cui il server LDAP utilizzi un protocollo sicuro.
  • Il server LDAP è attivo e non presenta problemi di connessione.
Network problem: Unable to connect to the specified LDAP server GCDS non riesce a trovare il server LDAP. Assicurati che il computer su cui è in esecuzione GCDS abbia accesso all'host e alla porta specificati.
Authentication problem: Unable to connect using the credentials supplied Il server LDAP rifiuta le richieste GCDS a causa di un problema di autenticazione. Assicurati che l'utente autorizzato e la relativa password siano corretti. Devi aggiungere l'utente autorizzato utilizzando il suo ND completo. Per maggiori dettagli sull'aggiunta di un utente autorizzato, vai a Impostazioni di connessione LDAP.
Failed to execute query at Base DN <*base-dn*> GCDS non riesce a connettersi al DN di base. Assicurati che:
  • Il DN di base esiste nel server LDAP.
  • L'utente autorizzato dispone di autorizzazioni per il DN di base. Per maggiori dettagli, vedi Impostazioni di connessione LDAP.
Failed to execute query at Base DN <*base-dn*> for attribute: <*attribute*>, reason: NameNotFoundException GCDS non riesce a recuperare le informazioni dal server LDAP. Assicurati che:
  • L'oggetto <*base-dn*> esiste ed è accessibile all'utente autorizzato. Per maggiori dettagli, vedi Impostazioni di connessione LDAP.
  • L'<*attributo*> esiste per l'oggetto <*base-dn*> nel server LDAP.
Member already exists Potresti visualizzare questo errore se:
  • Un membro ha come indirizzo LDAP principale un indirizzo alias in Google Workspace. Se possibile, evita questa situazione (ad esempio usa un nome utente diverso per l'alias).
  • Un account utente ha lo stesso nome utente per 2 indirizzi alias. Inoltre, nella pagina Google Domain Configuration (Configurazione dominio Google), hai selezionato la casella Replace domain names in LDAP email addresses (Sostituisci nomi di dominio negli indirizzi email LDAP). Quando selezioni questa casella, entrambi gli indirizzi email vengono modificati in modo da corrispondere al dominio indicato nel campo Alternate email domain (Dominio email alternativo).

Deseleziona la casella o cambia uno dei nomi utente dell'alias.

Se nei log viene visualizzato anche il messaggio "Error while adding member *user-email-address* to group *group-email-address* due to address collision" (Errore durante l'aggiunta di *user-email-address* del membro a *group-email-address* del gruppo a causa di una collisione di indirizzi), verifica se:

  • GCDS ha escluso l'utente con *user-email-address* dalla sincronizzazione in base alle regole di esclusione. Controlla le regole di esclusione e riprova. Per informazioni dettagliate, vedi Omettere i dati con query e regole di esclusione.
  • Hai aggiornato l'utente o il gruppo al di fuori di GCDS. Svuota la cache e riprova.
Invalid Input: INVALID_OU_ID GCDS sta tentando di inserire un utente in un'unità organizzativa che non esiste nell'Account Google della tua organizzazione. Modifica le regole di ricerca utente e riprova. Per maggiori dettagli, vedi Regole di ricerca per l'utente.
Quota superata per la metrica di quota "Query" e per il limite "Query al minuto per utente" del servizio "licensing.googleapis.com" "reason": "rateLimitExceeded" Nel file XML di configurazione di GCDS, assicurati che il valore *<maxResults>* sia impostato su 500. Se necessario, impostalo su 500 ed esegui di nuovo la sincronizzazione.

Risolvere i problemi comuni di GCDS


Google, Google Workspace e i marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.