Сообщения об ошибках GCDS

При использовании Google Cloud Directory Sync (GCDS) могут возникнуть следующие сообщения об ошибках. Используйте таблицу ниже для устранения неполадок.

Попробуйте Log Analyzer

Этот инструмент может выявить большинство проблем в течение нескольких минут после отправки.

Получите подробную информацию о том, как включить ведение журнала на уровне трассировки .

Сообщения об ошибках и решения

Сообщение об ошибке Описание и решение
Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative names present

Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative DNS name matching servername found

Общее имя (CN) и альтернативное имя субъекта (SAN) сертификата не соответствуют имени сервера LDAP в файле конфигурации GCDS.

Чтобы исправить это, выполните одно из следующих действий:

  • Исправьте файл конфигурации GCDS. Если вы добавили IP-адрес LDAP-сервера в конфигурацию GCDS, введите также его полное доменное имя (FQDN) (например, dc01.solarmora.com ).
  • Добавьте SAN к сертификату. Убедитесь, что SAN включает имя сервера LDAP, который вы используете в конфигурации GCDS.

В качестве временного решения вы можете отключить идентификацию конечной точки, добавив новую строку в файлы config-manager.vmoptions и sync-cmd.vmoptions в папке установки GCDS. Перед добавлением в файлы удалите перенос строки:

-Dcom.sun.jndi.ldap.object.disableEndpointIdentification=true

sun.security.provider.certpath.SunCertPathBuilder Exception: unable to find valid certification path to requested target

ldap_simple_bind_s() failed: Strong Authentication Required		 Следуйте инструкциям в разделе Устранение неполадок, связанных с сертификатами .
InvalidCipherTextException: Invalid encryption parameters. Salt/Iteration/Initialization Vector Если вы используете GCDS на компьютере без графического интерфейса, возможно, вы неправильно импортировали ключ. Инструкции см. в статье «Как авторизовать GCDS на компьютере без графического интерфейса?».
java.lang.RuntimeException: Encountered unrecoverable SQLException. The state database specified "*path-to-folder*\syncState\*folder-name*" Найдите и удалите папку, указанную в сообщении. Затем снова запустите синхронизацию.
java.sql.SQLException: Invalid checksum on Page

Другой процесс обращается к папке или файлам кэша одновременно с GCDS.

Для устранения неполадок скачайте и запустите Process Monitor от Microsoft и создайте фильтр. В параметрах фильтра используйте Path , Contains и *path-to-folder*\syncState для определения процессов, обращающихся к папке или файлам. Подробнее см. в Process Monitor .

Invalid Input: query Вы ввели недопустимый запрос в поле «Поисковый запрос пользователей» . Удалите поисковый запрос или убедитесь, что он соответствует правилам поиска в разделе «Поиск пользователей» . Подробнее о поисковых запросах пользователей см. в статье «Исключение данных с помощью правил исключения и запросов» .
SocketException - Connection reset

Если вы получаете это сообщение при подключении к LDAP-серверу, это значит, что сервер закрыл соединение. Возможные причины:

  • Вы используете LDAP+SSL, и LDAP-сервер не настроен на принятие параметров TLS, поддерживаемых GCDS (например, набора шифров). Убедитесь, что на вашем LDAP-сервере установлены последние обновления безопасности и настройки.
  • Правило брандмауэра блокирует соединение.
A lock could not be obtained within the time requested Чтобы устранить эту проблему:
  1. Убедитесь, что на вашем компьютере запущен только один экземпляр GCDS. Одновременно можно запустить только один экземпляр GCDS, используя один и тот же XML-файл.
  2. Перезагрузите систему, чтобы убедиться, что другие процессы не обращаются к базе данных кэша GCDS. Затем снова запустите синхронизацию.
  3. Если проблема не устранена, найдите и переименуйте папку SyncState , чтобы GCDS создал новую базу данных кэша. Вы можете найти её в папке профиля пользователя (Windows) или в домашнем каталоге (Linux).
Error 400: invalid_request: The version of the app you're using doesn't include the latest security features to keep you protected. Please make sure to download from a trusted source and update to the latest, most secure version. Убедитесь, что вы используете последнюю версию GCDS. Подробнее см. в разделе «Обновление GCDS» .
java.sql.SQLException: Directory <directory> cannot be created. GCDS требует полного доступа к каталогу для ведения базы данных состояния синхронизации. Эта ошибка может возникнуть, если:
  • GCDS запущен от имени другого пользователя, а не того, который установил GCDS.
  • Разрешения были изменены после установки
org.jdom.input.JDOMParseException: Error on line 1: Content is not allowed in prolog

GCDS пытается загрузить файл конфигурации с неподдерживаемой кодировкой символов. GCDS использует кодировку UTF-8 по умолчанию. Вам следует использовать ту же кодировку для файлов конфигурации, хотя другие кодировки совместимы.

Чтобы решить эту проблему:

  1. Измените кодировку вашего файла конфигурации на UTF-8:
    1. Откройте текстовый редактор.
    2. Сохраните файл в другой кодировке.
  2. Проверьте правильность содержимого файла конфигурации.
  3. Попробуйте еще раз загрузить файл конфигурации в GCDS.

Наиболее распространенные неподдерживаемые кодировки — UTF-7 и UTF-8 BOM.

javax.net.ssl.SSLHandshakeException: connection during handshake

Из-за проблем с сетевым подключением GCDS не удалось завершить SSL-соединение с сервером Google. Причиной этой проблемы может быть слишком медленная маршрутизация пакета компьютером или временная потеря связи вашим интернет-провайдером. GCDS пытается завершить SSL-соединение до трёх раз. Если в журналах отображается следующее сообщение, GCDS успешно завершила соединение при последующих попытках, и дальнейшие действия не требуются: [usersyncapp.sync.FullSyncAgent] No differences detected, no changes necessary.

Обратитесь к администратору локальной сети, чтобы выяснить, что может быть причиной тайм-аутов в сети.

Quota exceeded for the current request Если в журналах появляется эта ошибка, это означает, что GCDS временно заблокировано использование API Google. GCDS повторно обращается к API, и синхронизация должна продолжиться в штатном режиме. Если в сводном отчёте по синхронизации появляется ошибка, и синхронизация не была завершена корректно, обратитесь в службу поддержки. Подробнее см. в разделе «Какая информация о GCDS мне нужна перед обращением в службу поддержки?».
java.lang.RuntimeException: Unknown LDAP search rule scope "null" Правило в одном из следующих разделов Configuration Manager пустое:
  • Конфигурация LDAP Организационные единицы Правила поиска
  • Конфигурация LDAP Пользователи Синхронизация пользователей
  • Конфигурация LDAP Группы Правила поиска группы
  • Конфигурация LDAP Профили пользователей Синхронизация профилей пользователей
  • Конфигурация LDAP Общие контакты Синхронизация контактов
Для получения более подробной информации перейдите в раздел Настройка синхронизации с помощью Configuration Manager .
Invalid digest length for password Метод шифрования паролей для синхронизации настроен неправильно в Configuration Manager, или ваш LDAP-сервер использует метод шифрования, не поддерживаемый GCDS. Поддерживаются следующие методы: Plaintext, Base64, MD5 и SHA1. Для синхронизации паролей с Microsoft Active Directory используйте Password Sync . Подробнее см. в разделах «Как вы будете синхронизировать пароли?» и «Обновление GCDS» .
0 nested group(s) Чтобы решить эту проблему:
  1. Добавьте следующую строку в файл конфигурации в раздел <features>:

    GROUP_NESTED_GROUPS_AS_USERS

  2. Заключите строку в теги <optional>.
  3. Сохраните файл конфигурации и синхронизируйте.
Suspend user

GCDS может попытаться внести неожиданные изменения при синхронизации с файлом конфигурации, скопированным вне Configuration Manager. Новый файл конфигурации обращается к тому же кэшу, что и исходный, и несоответствия между ними могут привести к блокировке пользователей.

Чтобы дублировать файл конфигурации GCDS, всегда используйте функцию «Сохранить как» в диспетчере конфигураций. Это гарантирует, что у нового файла конфигурации будет собственный кэш.

Более подробную информацию можно найти в разделе Работа с файлами конфигурации .

Skipping unknown member

Вы используете устаревший XML-файл конфигурации GCDS, и GCDS обнаружил участника группы, который не включён в правила поиска пользователей вашей конфигурации. Вам следует включить всех участников и владельцев группы в правила поиска пользователей, даже если вы не хотите синхронизировать этих пользователей с доменом Google. Для корректной обработки групп GCDS необходимо извлечь адреса электронной почты этих пользователей.

В качестве альтернативы можно создать новый пустой XML-файл конфигурации. После этого GCDS включит независимую групповую синхронизацию, которая заставит GCDS определять участников группы независимо от правил синхронизации пользователей. Если вы не уверены, этот вариант рекомендуется.

При внесении любых изменений в конфигурацию или создании нового файла конфигурации обязательно запустите симуляцию и просмотрите результаты перед запуском полной синхронизации.

Для получения более подробной информации перейдите в раздел Определение списка пользователей .

com.google.data.client.GoogleServiceException: Invalid credentials

Указанная вами в Configuration Manager учетная запись администратора не является учетной записью администратора, или имя пользователя и пароль неверны.

В диспетчере конфигураций перейдите в раздел Google Domain . Настройки и проверьте данные учетной записи администратора, указанные в поле Адрес электронной почты администратора .

Для получения более подробной информации перейдите в раздел Определение настроек домена Google .

com.google.gdata.util.ResourceNotFoundException: Атрибут ключа синхронизации, указанный в разделе «Общие контакты» диспетчера конфигураций, возвращает пустые значения с вашего LDAP-сервера. Выберите атрибут на LDAP-сервере, который содержит значение ключа синхронизации для каждого ресурса и никогда не возвращает пустую строку или значение NULL.
Computed differences exceed configured deletion limits, not applying changes Достигнут лимит удаления или приостановки, установленный в GCDS. Измените настройку лимитов удаления в GCDS, чтобы избежать этой ошибки, или просмотрите журнал синхронизации, чтобы узнать, какие элементы могли быть удалены или приостановлены, и решите, нужно ли изменить лимит.
InvalidEmail Попробуйте эти варианты:
  • В диспетчере конфигураций перейдите в раздел «Учетные записи пользователей» . Правила исключения и создание правил исключения пользователей, которые исключают пользователей из внешних доменов.
  • Измените правила поиска пользователей так, чтобы пользователи из внешних доменов не возвращались.
  • Добавьте отсутствующий домен в свою учетную запись Google как дополнительный домен.
Domain user limit reached GCDS синхронизирует больше пользователей, чем предусмотрено вашей учётной записью. Попробуйте следующие варианты:
  • В диспетчере конфигураций перейдите в раздел «Учетные записи пользователей» . Правила поиска и ограничение области поиска пользователей для возврата меньшего количества пользователей.
  • В диспетчере конфигураций убедитесь, что вы указали правильное DN, указывающее на корень, содержащий только пользователей, которых необходимо импортировать в домен Google.
  • Вы также можете приобрести дополнительные пользовательские лицензии. Подробнее см. в разделе «Приобретение дополнительных пользовательских лицензий» .
java.lang.RuntimeException: javax.naming.InvalidNameException: [LDAP: error code 34 - invalid DN] Базовое DN, указанное в диспетчере конфигураций, может указывать на объект, которого нет на вашем LDAP-сервере. Проверьте базовое DN, указанное в разделе фильтра LDAP, пользователя, группы, профиля и общих контактов. Убедитесь, что в качестве базового DN для каждого объекта используется существующий объект.
java.security.cert.CertPathValidatorException: revocation status check failed: no CRL found

Другая служба или сетевое устройство препятствует GCDS обращаться к центру сертификации для получения HTTPS-сертификата, используемого для API. Проверьте правила брандмауэра или прокси-сервера, которые ограничивают подключения с компьютера, на котором работает GCDS. Если для доступа к веб-сайту с компьютера, на котором работает GCDS, требуется прокси-сервер, его необходимо правильно настроить.

Чтобы обойти эту проблему, вы можете отключить проверку списка отзыва сертификатов (CRL). Для этого добавьте следующие строки в файлы config-manager.vmoptions и sync-cmd.vmoptions в каталоге установки GCDS:

-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false

Для получения дополнительной информации перейдите в раздел Как GCDS проверяет списки отозванных сертификатов .

javax.naming.directory.InvalidSearchFilterException: Unbalanced parenthesis; remaining name Запросы, указанные на одной или нескольких из следующих страниц Configuration Manager, не имеют сбалансированных скобок:
  • Конфигурация LDAP Организационные единицы Правила поиска
  • Конфигурация LDAP Пользователи Синхронизация пользователей
  • Конфигурация LDAP Группы Правила поиска группы
  • Конфигурация LDAP Профили пользователей Синхронизация профилей пользователей
  • Конфигурация LDAP Общие контакты Синхронизация контактов
Root exception is javax.naming.CommunicationException: *servername* :389

GCDS не может разрешить указанное имя LDAP-сервера. Убедитесь, что вы ввели полное доменное имя для LDAP-сервера и что компьютер, на котором работает GCDS, может разрешить его.

Примечание: при использовании Active Directory используйте полное доменное имя вашего домена в качестве имени сервера.

SSL peer shut down incorrectly

Проблема обычно возникает из-за принудительной передачи трафика через прокси-сервер. Если вы используете прокси-сервер, необходимо настроить параметры прокси-сервера GCDS. Убедитесь, что GCDS может подключаться к этим URL-адресам и портам, выполнив действия, описанные в разделе «Разрешить доступ к URL-адресам и портам» .

Защитное ПО на локальном компьютере может вызывать проблемы с подключением. Попросите администратора отключить всё защитное ПО на клиентском компьютере и повторите попытку.

You are not authorized to access this API Убедитесь, что вы включили необходимые API Google. Подробнее см. в статье «Авторизация аккаунта Google» .
Domain user limit exceeded Вы попытались добавить больше пользователей, чем у вас есть лицензий. Обратитесь к своему торговому представителю, чтобы приобрести дополнительные лицензии. Или измените запросы LDAP, чтобы синхронизировать меньше пользователей.
java.lang.RuntimeException: Failed to execute query because the object at Base DN: "DC=domain,DC=com" is missing or inaccessible

Начните с проверки DN на вкладке «Конфигурация LDAP» и в любом правиле поиска, где вы определили переопределение базового DN. Если это не решает проблему, и вы уверены, что DN корректен, проблема может быть связана с разрешением DNS. В журнале могут отображаться дополнительные сведения об ошибках, например:

  • javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: domain.com:389 [Root exception is java.net.ConnectException: Connection refused: connect]]
  • javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: domain.com:389 [Root exception is java.net.ConnectException: Connection timed out: connect]]

Эти ошибки указывают на то, что хост отклоняет соединение или истекло время ожидания. Попробуйте выполнить DNS-поиск по этому имени хоста и убедитесь, что все возвращаемые адреса допустимы и разрешают соединения через настроенный вами порт.

Примечание : Эти ошибки могут возникать, даже если в конфигурации GCDS указано допустимое имя хоста или IP-адрес. Active Directory может выдать ответ-реферал LDAP, указывающий GCDS на подключение через имя хоста. В конечном итоге эта реферал может указывать на имя хоста, которое не удаётся разрешить. Вы можете избежать этих рефералов, подключившись к серверу Active Directory через порт глобального каталога, который по умолчанию равен 3268. Подробности см. в документации Microsoft.

Character is invalid at location

Часть информации в пользовательской схеме недействительна. Чтобы узнать об ограничениях, действующих для пользовательской схемы, перейдите на страницу Directory API: Пользовательские поля пользователя .

Если у вас включены журналы уровня трассировки, вы также можете увидеть полный HTTP-запрос для пользовательской схемы.

java.util.concurrent.ExecutionException: java.lang.OutOfMemoryError: GC overhead limit exceeded Превышен установленный лимит памяти. Это событие привело к сбою синхронизации. Чтобы решить эту проблему, см. раздел «Что делать, если я вижу ошибки, связанные с памятью?»
Failed trying to connect to the specified LDAP server GCDS не может подключиться к серверу LDAP. Убедитесь, что:
  • Вы используете правильный протокол связи. Если LDAP-сервер требует защищённого протокола, используйте LDAP + SSL.
  • Сервер LDAP активен и не имеет проблем с подключением.
Network problem: Unable to connect to the specified LDAP server GCDS не может найти LDAP-сервер. Убедитесь, что компьютер, на котором работает GCDS, имеет доступ к указанному хосту и порту.
Authentication problem: Unable to connect using the credentials supplied Сервер LDAP отклоняет запросы GCDS из-за проблемы с аутентификацией. Убедитесь, что имя авторизованного пользователя и его пароль верны. Необходимо добавить авторизованного пользователя, используя его полное имя (DN). Подробную информацию о добавлении авторизованного пользователя см. в настройках подключения LDAP .
Failed to execute query at Base DN <*base-dn*> GCDS не может подключиться к базовому DN. Убедитесь, что:
  • Базовое DN существует на сервере LDAP.
  • Авторизованный пользователь имеет разрешения на доступ к базовому DN. Подробнее см. в настройках подключения LDAP .
Failed to execute query at Base DN <*base-dn*> for attribute: <*attribute*>, reason: NameNotFoundException GCDS не может получить информацию с сервера LDAP. Убедитесь, что:
  • Объект <*base-dn*> существует и доступен авторизованному пользователю. Подробнее см. в настройках подключения LDAP .
  • <*attribute*> существует для объекта <*base-dn*> на сервере LDAP.
Member already exists Вы можете увидеть эту ошибку, если:
  • У вас есть участник, основной адрес LDAP которого является псевдонимом в Google Workspace. По возможности избегайте этой ситуации (например, используйте другое имя пользователя для псевдонима).
  • Учётная запись пользователя имеет одно и то же имя для двух псевдонимов. И на странице конфигурации домена Google вы установили флажок « Заменить доменные имена в адресах электронной почты LDAP» . При установке этого флажка оба адреса электронной почты будут изменены в соответствии с доменом, указанным в поле «Альтернативный домен электронной почты» .

Снимите флажок или измените одно из имен пользователей-псевдонимов.

Если в журналах вы также получаете следующее сообщение: «Ошибка при добавлении участника *user-email-address* в группу *group-email-address* из-за конфликта адресов», проверьте следующее:

  • GCDS исключил пользователя с адресом *user-email-address* из синхронизации на основании ваших правил исключения. Проверьте правила исключения и повторите попытку. Подробнее см. в статье «Исключение данных с помощью правил исключения и запросов» .
  • Вы обновили пользователя или группу вне GCDS. Очистите кэш и повторите попытку.
Invalid Input: INVALID_OU_ID GCDS пытается поместить пользователя в организационное подразделение, которого нет в аккаунте Google вашей организации. Измените правила поиска пользователей и повторите попытку. Подробнее см. в разделе Правила поиска пользователей .
Превышена квота для метрики квоты «Запросы» и лимит «Запросов в минуту на пользователя» сервиса «licensing.googleapis.com». «Причина»: «rateLimitExceeded». В XML-файле конфигурации GCDS убедитесь, что значение *<maxResults>* равно 500. При необходимости измените его на 500 и повторите синхронизацию.

Устранение распространенных проблем с GCDS


Google, Google Workspace и связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.