GCDS のエラー メッセージ

Google Cloud Directory Sync(GCDS)の使用中に、次のようなエラー メッセージが表示されることがあります。以下の表を参考にエラーを解決してください。

Log Analyzer を試す

このツールを使うと、ほとんどの問題を送信から数分以内に特定できます。

トレースレベルのログを有効にする方法をご確認ください。

エラー メッセージと解決方法

エラー メッセージ エラーの内容と解決方法
Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative names present

Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative DNS name matching servername found

証明書の一般名(CN)とサブジェクトの別名(SAN)が、GCDS 設定ファイル内の LDAP サーバーの名前と一致していない。

この問題を解決するには、次のいずれかを行います。

  • GCDS 構成ファイルを修正します。GCDS の設定に LDAP サーバーの IP アドレスを追加している場合は、その FQDN(完全修飾ドメイン名)も入力します(例: dc01.solarmora.com)。
  • 証明書に SAN を追加する - GCDS 設定で使用している LDAP サーバー名が SAN に含まれていることを確認します。

一時的な回避策として、GCDS インストール フォルダにある config-manager.vmoptions ファイルと sync-cmd.vmoptions ファイルに新しい行を追加して、エンドポイントの識別を無効にすることができます。改行を削除してからファイルに追加します。

-Dcom.sun.jndi.ldap.object. disableEndpointIdentification=true
sun.security.provider.certpath.SunCertPathBuilder Exception: unable to find valid certification path to requested target

ldap_simple_bind_s() failed: Strong Authentication Required 		証明書に関する問題のトラブルシューティングの手順に沿って対応します。
InvalidCipherTextException: Invalid encryption parameters. Salt/Iteration/Initialization Vector GUI のないパソコンで GCDS を実行している場合は、鍵が正しくインポートされていない可能性があります。手順については、GUI のないコンピュータで GCDS を承認するには、どうすればよいですか?をご覧ください。
java.lang.RuntimeException: Encountered unrecoverable SQLException. The state database specified "*path-to-folder*\syncState\*folder-name*" メッセージに記載されているフォルダを見つけて削除します。その後、もう一度同期を開始します。
java.sql.SQLException: Invalid checksum on Page

別のプロセスが GCDS と同時にキャッシュ フォルダまたはファイルにアクセスしています。

トラブルシューティングを行うには、Microsoft のプロセス モニターをダウンロードして実行し、フィルタを作成します。フィルタ オプションで、[パス]、[次の語句を含む]、*フォルダのパス*\syncState を使用して、フォルダまたはファイルにアクセスしているプロセスを特定します。詳細については、プロセス モニターをご覧ください。
Invalid Input: query [ユーザーの検索クエリ] に無効なクエリが入力されました。検索クエリを削除するか、クエリがユーザーを検索するための検索ガイドラインを満たしていることを確認します。ユーザーの検索クエリについて詳しくは、除外ルールとクエリを使ってデータを除外するをご確認ください。
SocketException - Connection reset

LDAP サーバーに接続しているときにこのメッセージが表示された場合は、サーバーが接続を閉じています。考えられる原因は次のとおりです。

  • LDAP + SSL を使用しているが、LDAP サーバーが GCDS がサポートする TLS パラメータ(暗号スイートなど)を受け入れるように構成されていない。LDAP サーバーに最新のセキュリティ アップデートと設定が適用されていることを確認します。
  • ファイアウォール ルールが接続をブロックしている。
A lock could not be obtained within the time requested この問題を解決するには:
  1. お使いのパソコンで GCDS のインスタンスが 1 つだけ実行されていることを確認します。同じ XML ファイルを使用している場合、GCDS のインスタンスは一度に 1 つしか実行できません。
  2. システムを再起動して、他のプロセスが GCDS キャッシュ データベースにアクセスしないようにします。その後、もう一度同期を実行します。
  3. 問題が解決しない場合は、SyncState フォルダを見つけて名前を変更し、GCDS により新しいキャッシュ データベースが作成されるようにする必要があります。このフォルダは、ユーザーのプロファイル フォルダ(Windows)またはホーム ディレクトリ(Linux)にあります。
Error 400: invalid_request: The version of the app you're using doesn't include the latest security features to keep you protected. Please make sure to download from a trusted source and update to the latest, most secure version. GCDS の最新バージョンを使用していることをご確認ください。詳しくは、GCDS を更新するをご覧ください。
java.sql.SQLException: Directory <directory> cannot be created. 同期状態のデータベースを維持するため、GCDS には該当ディレクトリに対する完全な権限が必要です。このエラーは、次の場合に表示されることがあります。
  • GCDS が、GCDS をインストールしたユーザーとは別のユーザーとして実行されている
  • インストールの後に権限が変更された
org.jdom.input.JDOMParseException: Error on line 1: Content is not allowed in prolog

サポートされていない文字エンコードの設定ファイルを読み込もうとしています。GCDS では、デフォルトの文字エンコードとして UTF-8 が使用されます。構成ファイルには同じエンコードを使用する必要がありますが、他のエンコードにも対応しています。

この問題を解決するには:

  1. 設定ファイルのエンコードを UTF-8 に変更します。
    1. テキスト エディタを開きます。
    2. ファイルを別のエンコードで保存します。
  2. 構成ファイルの内容が正しいことを確認します。
  3. GCDS でもう一度設定ファイルを読み込みます。

一般的なエンコードのうち、UTF-7 と UTF-8 BOM はサポートされていません。
javax.net.ssl.SSLHandshakeException: connection during handshake

ネットワーク接続に問題があり、Google サーバーとの SSL(Secure Sockets Layer)ハンドシェイクを完了できませんでした。この原因として、コンピュータのパケット転送に著しい遅延が発生しているか、ISP のサービスが一時的に失われたことが考えられます。GCDS では SSL ハンドシェイクの実行を 3 回まで試行します。ログに次のメッセージが記録されている場合、後続の試行でハンドシェイクに成功しています。この場合、対策は不要です。[usersyncapp.sync.FullSyncAgent] No differences detected, no changes necessary.

ローカル ネットワーク管理者と協力して、ネットワーク タイムアウトの原因を調べてください。
Quota exceeded for the current request ログにこのエラーが表示された場合は、GCDS による Google API の使用が一時的にブロックされていることを意味します。GCDS が API の使用を再試行すると、想定どおりに同期が続行されるはずです。同期の概要レポートにこのエラーが表示され、同期が正しく完了しなかった場合は、サポートにお問い合わせください。詳しくは、サポートへの問い合わせの際に必要となる GCDS の情報をご覧ください。
java.lang.RuntimeException: Unknown LDAP search rule scope "null" 設定マネージャーの次のセクションのいずれかでルールが空です。
  • [LDAP Configuration] [Org Units] [Search Rules]
  • [LDAP Configuration] [Users] [User Sync]
  • [LDAP Configuration] [Groups] [Group Search Rules]
  • [LDAP Configuration] [User Profiles] [User Profiles Sync]
  • [LDAP Configuration] [Shared Contacts] [Contacts Sync]
詳しくは、設定マネージャーを使用した同期の設定をご覧ください。
Invalid digest length for password パスワードの同期に使用するパスワード暗号化方式が設定マネージャーで正しく設定されていないか、LDAP サーバーで使用されている暗号化方式が GCDS でサポートされていません。サポートされる方式は、平文、Base64、MD5、SHA1 です。Microsoft Active Directory とパスワードを同期するには、Password Sync を使用してください。詳しくは、パスワードの同期方法および GCDS を更新するをご覧ください。
0 nested group(s) この問題を解決するには:
  1. 設定ファイルの <features> セクションに次の行を追加します。

    GROUP_NESTED_GROUPS_AS_USERS

  2. この行を <optional> タグで囲みます。
  3. 設定ファイルを保存して同期します。
Suspend user

設定マネージャー以外で複製した設定ファイルを使用して同期を実行した場合に、予期しない変更が GCDS によって試みられることがあります。新しい設定ファイルが元の設定ファイルと同じキャッシュにアクセスしているため、2 つの間に矛盾が発生し、それによってユーザーが停止された可能性があります。

GCDS 設定ファイルの複製には、常に設定マネージャの [Save As] オプションを使用してください。そうすることで、新しい設定ファイルには固有のキャッシュが作成されるようになります。

詳しくは、設定ファイルの使い方をご覧ください。
Skipping unknown member

古い GCDS XML 設定ファイルを使用していて、現在設定されているユーザー検索ルールに含まれないグループ メンバーが検出されました。ユーザー検索ルールには、Google ドメインと同期しないものを含めて、すべてのグループ メンバーとオーナーを含める必要があります。GCDS では、グループを適切に処理するために、こうしたユーザーのメールアドレスを抽出する必要があります。

代替方法として、新しい空の XML 設定ファイルを作成します。これにより、グループがルールに依存せず同期されるようになり、ユーザー検索ルールにかかわらずグループ メンバーが解決されるようになります。不明な場合は、この方法をおすすめします。

設定ファイルを変更したり、新しい設定ファイルを作成したりする場合は、完全な同期を行う前に、シミュレーションを行って結果を確認してください。

詳しくは、ユーザーリストを定義するをご覧ください。
com.google.data.client.GoogleServiceException: Invalid credentials

設定マネージャーで指定した管理者アカウントが管理者ではないか、ユーザー名とパスワードが正しくありません。

設定マネージャーで、[Google Domain] [Settings] に移動し、[Admin Email Address] で指定した管理者アカウント情報を確認してください。

詳しくは、Google ドメインの設定を定義するをご覧ください。
com.google.gdata.util.ResourceNotFoundException: 設定マネージャーの [Shared Contacts] セクションで指定した sync key 属性が、LDAP サーバーから空の値を返します。すべてのリソースについて sync key 値を含み、null や空の値を返さない LDAP サーバーの属性を選択してください。
Computed differences exceed configured deletion limits, not applying changes GCDS に設定された削除制限または停止制限に到達しました。GCDS で [Delete Limits] 設定を変更してこのエラーを回避するか、削除または停止するアイテムの詳細を同期ログで確認して、制限を変更する必要があるかどうかを判断してください。
InvalidEmail 次の方法をお試しください。
  • 設定マネージャーで、[User Accounts] [Exclusion Rules] に移動し、外部ドメインのユーザーを除外するユーザー除外ルールを作成します。
  • ユーザー検索ルールを変更して、外部ドメインのユーザーが返されないようにします。
  • 登録されていないドメインをセカンダリ ドメインとして Google アカウントに追加します。
Domain user limit reached GCDS で同期しているユーザーが、アカウントでプロビジョニングしているユーザーより多い状態です。次の方法をお試しください。
  • 設定マネージャーで、[User Accounts] [Search rules] に移動し、ユーザー検索の範囲を制限して、返されるユーザー数を少なくします。
  • 設定マネージャーで、指定した DN が適正であることを確認します。ベース識別名が参照するルートには、Google ドメインに読み込む必要のあるユーザーのみが含まれます。
  • ユーザー ライセンスを追加することもできます。詳しくは、ユーザー ライセンスを追加購入するをご覧ください。
java.lang.RuntimeException: javax.naming.InvalidNameException: [LDAP: error code 34 - invalid DN] 設定マネージャーで指定したベース識別名(DN)が、LDAP サーバーに存在しないオブジェクトを参照している可能性があります。LDAP 接続、ユーザー、グループ、プロフィール、共有の連絡先フィルタの各セクションに指定されたベース DN を確認し、既存オブジェクトをそれぞれのベース DN として使用していることを確認してください。
java.security.cert.CertPathValidatorException: revocation status check failed: no CRL found

別のサービスまたはネットワーク デバイスが原因で GCDS が認証局に接続できず、API で使用される HTTPS 証明書を確認できません。GCDS を実行しているコンピュータからの接続を制限していないかどうか、ファイアウォールまたはプロキシのルールを確認してください。 GCDS を実行しているコンピュータからインターネットにアクセスするためにプロキシが必要である場合は、正しく設定する必要があります。

この問題を回避するには、証明書失効リスト(CRL)チェックを無効にします。CRL チェックを無効にするには、GCDS のインストール ディレクトリにある config-manager.vmoptions ファイルと sync-cmd.vmoptions ファイルに次の行を追加します。

-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false

詳しくは、GCDS による証明書失効リストの確認についての記事をご覧ください。
javax.naming.directory.InvalidSearchFilterException: Unbalanced parenthesis; remaining name 設定マネージャーの次のいずれかのページで指定されているクエリに、かっこの数が合っていないものがあります。
  • [LDAP Configuration] [Org Units] [Search Rules]
  • [LDAP Configuration] [Users] [User Sync]
  • LDAP 構成 グループ グループ検索ルール
  • [LDAP Configuration] [User Profiles] [User Profiles Sync]
  • [LDAP Configuration] [Shared Contacts] [Contacts Sync]
Root exception is javax.naming.CommunicationException: *servername*:389

指定された LDAP サーバー名を解決できません。LDAP サーバーの完全修飾ドメイン名を入力していることと、GCDS を実行しているコンピュータがそのドメイン名を解決できることを確認してください。

注: Active Directory を使用している場合は、サーバー名としてドメインの完全修飾ドメイン名を使用します。
SSL peer shut down incorrectly

通常、この問題の原因は、プロキシ経由のトラフィックにあります。プロキシを使用している場合は、GCDS のプロキシ設定を行う必要があります。URL とポートへのアクセスを許可するの手順を完了して、GCDS がこれらの特定の URL とポートに接続できるようにします。

ローカル コンピュータのセキュリティ ソフトウェアで接続の問題が発生している場合もあります。クライアント マシン上のセキュリティ ソフトウェアをすべて無効にするよう管理者に依頼して、もう一度お試しください。
You are not authorized to access this API 必要な Google API が有効になっていることを確認します。詳しくは、Google アカウントを認可するをご覧ください。
Domain user limit exceeded 購入済みライセンス数を超える数のユーザーを追加しようとしました。ユーザー ライセンスを追加購入する場合は、営業担当者にお問い合わせください。または、LDAP クエリを変更して、同期するユーザー数を減らしてください。
java.lang.RuntimeException: Failed to execute query because the object at Base DN: "DC=domain,DC=com" is missing or inaccessible

まず、[LDAP Configuration] タブと、ベース DN のオーバーライドを定義した検索ルールの両方で、DN を調べてください。DN が有効であるにもかかわらず問題が解決されない場合は、DNS の解決に問題がある可能性があります。ログに次のような追加のエラー情報が表示される場合があります。

  • javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: domain.com:389 [Root exception is java.net.ConnectException: Connection refused: connect]]
  • javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: domain.com:389 [Root exception is java.net.ConnectException: Connection timed out: connect]]

これらのエラーは、ホスト名が接続を拒否しているか、タイムアウトになっていることを示します。このホスト名で DNS ルックアップを実行して、返されたすべてのアドレスが有効であることを確認し、設定したポートでの接続を許可してください。

: このようなエラーは、GCDS の設定で有効なホスト名や IP アドレスを指定した場合であっても発生することがあります。Active Directory は LDAP 参照応答を発行し、ホスト名を介して接続するよう GCDS に命令することがあります。結果的にこの参照がホスト名になることがあり、その場合は解決に失敗します。このような参照を回避するには、グローバル カタログ ポート(デフォルトでは 3268)を使用して Active Directory サーバーに接続します。詳しくは、Microsoft のドキュメントをご覧ください。
Character is invalid at location

カスタム スキーマ内の一部の情報が有効ではありません。カスタム スキーマに適用される制限については、Directory API: カスタム ユーザー フィールドをご覧ください。

トレースレベルのログを有効にしている場合は、カスタム スキーマの完全な HTTP リクエストを見ることもできます。
java.util.concurrent.ExecutionException: java.lang.OutOfMemoryError: GC overhead limit exceeded 定義されているメモリの上限を超えたために、同期に失敗しました。この問題を解決するには、メモリ関連のエラーをご覧ください。
Failed trying to connect to the specified LDAP server GCDS が LDAP サーバーに接続できません。次の点を確認してください。
  • 正しい通信プロトコルを使用している。LDAP サーバーでセキュアなプロトコルが必要な場合は、LDAP + SSL を使用している。
  • LDAP サーバーがアクティブで、接続に関する問題は発生していない。
Network problem: Unable to connect to the specified LDAP server GCDS が LDAP サーバーを検出できません。GCDS を実行しているコンピュータが、指定されたホストとポートにアクセスできることを確認してください。
Authentication problem: Unable to connect using the credentials supplied LDAP サーバーが認証の問題により GCDS 要求を拒否しています。承認されたユーザーとパスワードが正しいことを確認してください。完全な DN を使用して、承認されたユーザーを追加する必要があります。承認されたユーザーの追加について詳しくは、LDAP 接続の設定をご覧ください。
Failed to execute query at Base DN <*base-dn*> GCDS がベース DN に接続できません。次の点を確認してください。
  • ベース DN が LDAP サーバーに存在する。
  • 承認されたユーザーが、ベース DN の権限を持っている。詳しくは、LDAP 接続の設定をご覧ください。
Failed to execute query at Base DN <*base-dn*> for attribute: <*attribute*>, reason: NameNotFoundException GCDS が LDAP サーバーから情報を取得できません。次の点を確認してください。
  • <*base-dn*> オブジェクトが存在し、承認されたユーザーにアクセス可能である。詳しくは、LDAP 接続の設定をご覧ください。
  • LDAP サーバーの <*base-dn*> オブジェクトの <*attribute*> が存在する。
Member already exists このエラーは、次の場合に表示されることがあります。
  • いずれかのメンバーのメインの LDAP アドレスが Google Workspace のエイリアス アドレスになっている。可能であれば、エイリアスに別のユーザー名を使用するなどして、このような状況は避けてください。
  • ユーザー アカウントの 2 つのエイリアス アドレスで同じユーザー名を使用している。さらに、[Google Domain Configuration] ページで [Replace domain names in LDAP email addresses] チェックボックスをオンにしている。このチェックボックスをオンにすると、両方のメールアドレスが [Alternate email domain] 欄に表示されているドメインに一致するように変更されます。

チェックボックスをオフにするか、いずれかのエイリアスのユーザー名を変更してください。

ログに「アドレスの衝突により、メンバー *ユーザーのメールアドレス* をグループ *グループのメールアドレス* に追加する際にエラーが発生しました」というメッセージも記録されている場合は、以下の原因が考えられます。

  • GCDS で、除外ルールに基づいて *ユーザーのメールアドレス* のユーザーが同期から除外されました。除外ルールを確認してもう一度お試しください。詳しくは、除外ルールとクエリを使ってデータを除外するをご確認ください。
  • GCDS 以外のユーザーまたはグループを更新しました。キャッシュを削除して、もう一度お試しください。
Invalid Input: INVALID_OU_ID GCDS が、組織の Google アカウントに存在しない組織部門にユーザーを配置しようとしています。ユーザー検索ルールを調整して、もう一度お試しください。詳しくは、ユーザー検索ルールをご覧ください。
Quota exceeded for quota metric 'Queries' and limit 'Queries per minute per user' of service 'licensing.googleapis.com' "reason": "rateLimitExceeded" GCDS 構成 XML ファイルで、*<maxResults>* の値が 500 に設定されていることを確認します。それ以外の値の場合は 500 に変更して同期を再実行します。

GCDS の一般的な問題のトラブルシューティング


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。