Сообщения об ошибках GCDS

При использовании Google Cloud Directory Sync (GCDS) вы можете столкнуться со следующими сообщениями об ошибках. Воспользуйтесь таблицей ниже для устранения неполадок.

Попробуйте анализатор логов

Этот инструмент способен выявить большинство проблем в течение нескольких мгновений после отправки запроса.

Получите подробную информацию о том, как включить трассировочное логирование .

Сообщения об ошибках и способы их устранения

Сообщение об ошибке Описание и решение
Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative names present

Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative DNS name matching servername found

Общее имя (CN) и альтернативное имя субъекта (SAN) сертификата не совпадают с именем LDAP-сервера в вашем конфигурационном файле GCDS.

Чтобы это исправить, можно сделать следующее:

  • Исправьте файл конфигурации GCDS. Если вы добавили IP-адрес LDAP-сервера в конфигурацию GCDS, укажите также его полное доменное имя (FQDN) (например, dc01.solarmora.com ).
  • Добавьте SAN к сертификату — убедитесь, что SAN включает имя LDAP-сервера, который вы используете в конфигурации GCDS.

В качестве временного решения можно отключить идентификацию конечных точек, добавив новую строку в файлы config-manager.vmoptions и sync-cmd.vmoptions в папке установки GCDS. Удалите разрыв строки перед добавлением в файлы:

-Dcom.sun.jndi.ldap.object.disableEndpointIdentification=true

sun.security.provider.certpath.SunCertPathBuilder Exception: unable to find valid certification path to requested target

ldap_simple_bind_s() failed: Strong Authentication Required		 Выполните действия, описанные в разделе «Устранение неполадок, связанных с сертификатами» .
InvalidCipherTextException: Invalid encryption parameters. Salt/Iteration/Initialization Vector Если вы используете GCDS на компьютере без графического интерфейса, возможно, вы неправильно импортировали ключ. Инструкции см. в разделе «Как авторизовать GCDS на компьютере без графического интерфейса?».
java.lang.RuntimeException: Encountered unrecoverable SQLException. The state database specified "*path-to-folder*\syncState\*folder-name*" Найдите и удалите папку, указанную в сообщении. Затем запустите синхронизацию заново.
java.sql.SQLException: Invalid checksum on Page

Ещё один процесс — это одновременный доступ к папке или файлам кэша и GCDS.

Для устранения неполадок загрузите и запустите Process Monitor от Microsoft и создайте фильтр. В параметрах фильтра используйте Path , Contains и *path-to-folder*\syncState, чтобы определить процессы, обращающиеся к папке или файлам. Для получения дополнительной информации перейдите на страницу Process Monitor .

Invalid Input: query В поле «Поисковый запрос пользователей» вы ввели недопустимый запрос. Удалите поисковый запрос или убедитесь, что он соответствует правилам поиска в разделе «Поиск пользователей» . Для получения дополнительной информации о поисковых запросах пользователей перейдите в раздел «Исключение данных с помощью правил и запросов исключения» .
SocketException - Connection reset

Если при подключении к LDAP-серверу вы получаете это сообщение, значит, сервер разорвал соединение. Возможные причины:

  • Вы используете LDAP+SSL, и LDAP-сервер не настроен на прием параметров TLS, поддерживаемых GCDS (например, набор шифров). Убедитесь, что на вашем LDAP-сервере установлены последние обновления безопасности и настройки.
  • Правило брандмауэра блокирует соединение.
A lock could not be obtained within the time requested Для устранения этой проблемы:
  1. Убедитесь, что на вашем компьютере запущен только один экземпляр GCDS. Одновременно можно запустить только один экземпляр GCDS, использующий один и тот же XML-файл.
  2. Перезагрузите систему, чтобы убедиться, что никакие другие процессы не обращаются к базе данных кэша GCDS. Затем снова запустите синхронизацию.
  3. Если проблема сохраняется, найдите и переименуйте папку SyncState , чтобы заставить GCDS создать новую базу данных кэша. Вы можете найти эту папку в папке профиля пользователя (Windows) или в домашнем каталоге (Linux).
Error 400: invalid_request: The version of the app you're using doesn't include the latest security features to keep you protected. Please make sure to download from a trusted source and update to the latest, most secure version. Убедитесь, что вы используете последнюю версию GCDS. Подробности см. в разделе «Обновление GCDS» .
java.sql.SQLException: Directory <directory> cannot be created. Для ведения базы данных состояния синхронизации GCDS требуются полные права доступа к каталогу. Эта ошибка может появиться, если:
  • GCDS запущен от имени другого пользователя, нежели тот, который установил GCDS.
  • Права доступа изменились после установки.
org.jdom.input.JDOMParseException: Error on line 1: Content is not allowed in prolog

GCDS пытается загрузить файл конфигурации с неподдерживаемой кодировкой символов. GCDS использует UTF-8 в качестве кодировки символов по умолчанию. Вам следует использовать ту же кодировку для ваших файлов конфигурации, хотя другие кодировки также совместимы.

Для решения этой проблемы:

  1. Измените кодировку вашего конфигурационного файла на UTF-8:
    1. Откройте текстовый редактор.
    2. Сохраните файл с другой кодировкой.
  2. Убедитесь, что содержимое вашего конфигурационного файла корректно.
  3. Попробуйте снова загрузить файл конфигурации в GCDS.

Наиболее распространенными неподдерживаемыми кодировками являются UTF-7 и UTF-8 BOM.

javax.net.ssl.SSLHandshakeException: connection during handshake

Проблема с сетевым подключением помешала GCDS завершить рукопожатие по протоколу Secure Sockets Layer (SSL) с сервером Google. Причиной этой проблемы может быть слишком медленная маршрутизация пакетов компьютером или временное отключение интернет-провайдера. GCDS пытается завершить рукопожатие SSL до 3 раз. Если в журналах вы видите следующее сообщение, значит, GCDS успешно завершил рукопожатие при последующих попытках, и никаких дальнейших действий не требуется: [usersyncapp.sync.FullSyncAgent] No differences detected, no changes necessary.

Обратитесь к локальному сетевому администратору, чтобы выяснить, что может вызывать сетевые таймауты.

Quota exceeded for the current request Если в журналах появляется эта ошибка, это означает, что GCDS временно заблокирован для использования API Google. GCDS повторит попытку подключения к API, и синхронизация должна продолжиться как положено. Если ошибка отображается в отчете о синхронизации, и синхронизация не завершилась корректно, обратитесь в службу поддержки. Для получения подробной информации перейдите по ссылке «Какая информация о GCDS мне нужна перед обращением в службу поддержки?»
java.lang.RuntimeException: Unknown LDAP search rule scope "null" В одном из следующих разделов Configuration Manager отсутствует правило:
  • Настройка LDAP а потом Организационные подразделения а потом Правила поиска
  • Настройка LDAP а потом Пользователи а потом Синхронизация пользователей
  • Настройка LDAP а потом Группы а потом Правила группового поиска
  • Настройка LDAP а потом Профили пользователей а потом Синхронизация профилей пользователей
  • Настройка LDAP а потом Общие контакты а потом Синхронизация контактов
Для получения более подробной информации перейдите в раздел «Настройка синхронизации с Configuration Manager» .
Invalid digest length for password Метод шифрования паролей для синхронизации паролей настроен некорректно в Configuration Manager, или ваш LDAP-сервер использует метод шифрования, не поддерживаемый GCDS. Поддерживаемые методы: обычный текст, Base64, MD5 и SHA1. Для синхронизации паролей с Microsoft Active Directory используйте функцию синхронизации паролей . Для получения дополнительной информации перейдите в разделы «Как синхронизировать пароли?» и «Обновить GCDS» .
0 nested group(s) Для решения этой проблемы:
  1. Добавьте следующую строку в файл конфигурации, в раздел <features>:

    GROUP_NESTED_GROUPS_AS_USERS

  2. Заключите строку в теги <optional>.
  3. Сохраните файл конфигурации и выполните синхронизацию.
Suspend user

GCDS может попытаться внести неожиданные изменения, если вы выполните синхронизацию с файлом конфигурации, который был скопирован вне Configuration Manager. Новый файл конфигурации обращается к тому же кэшу, что и исходный файл конфигурации, и несоответствия между ними могут привести к блокировке пользователей.

Для создания копии файла конфигурации GCDS всегда используйте опцию «Сохранить как» в диспетчере конфигураций. Это гарантирует, что новый файл конфигурации будет иметь собственный кэш.

Для получения более подробной информации перейдите в раздел «Работа с конфигурационными файлами» .

Skipping unknown member

Вы используете устаревший XML-файл конфигурации GCDS, и GCDS обнаружил участника группы, который не включен в правила поиска пользователей в вашей конфигурации. Вам следует включить всех участников группы и владельцев в правила поиска пользователей, даже если вы не хотите синхронизировать этих пользователей с доменом Google. GCDS необходимо извлечь адреса электронной почты этих пользователей для корректной обработки групп.

В качестве альтернативы создайте новый пустой XML-файл конфигурации. В этом случае GCDS включит независимую синхронизацию групп, которая заставит GCDS определять членов группы независимо от правил синхронизации пользователей. Если вы не уверены, это рекомендуемый вариант.

При внесении любых изменений в конфигурацию или создании нового конфигурационного файла обязательно проведите моделирование и проанализируйте результаты, прежде чем запускать полную синхронизацию.

Для получения более подробной информации перейдите в раздел «Определение списка пользователей» .

com.google.data.client.GoogleServiceException: Invalid credentials

Указанная вами в Configuration Manager учетная запись администратора не является учетной записью администратора, или же имя пользователя и пароль указаны неверно.

В диспетчере конфигураций перейдите в раздел «Домен Google» . а потом В настройках проверьте информацию об учетной записи администратора, указанную в поле «Адрес электронной почты администратора» .

Для получения более подробной информации перейдите в раздел «Настройка параметров вашего домена Google» .

com.google.gdata.util.ResourceNotFoundException: Атрибут ключа синхронизации, указанный в разделе «Общие контакты» диспетчера конфигурации, возвращает пустые значения с вашего LDAP-сервера. Выберите атрибут на LDAP-сервере, который содержит значение ключа синхронизации для каждого ресурса и никогда не возвращает значение null или пустую строку.
Computed differences exceed configured deletion limits, not applying changes Достигнут лимит удаления или приостановки, установленный в GCDS. Измените параметр «Лимит удаления» в GCDS, чтобы избежать этой ошибки, или просмотрите журнал синхронизации для получения более подробной информации о том, что было бы удалено или приостановлено, и решите, нужно ли изменить лимит.
InvalidEmail Попробуйте следующие варианты:
  • В диспетчере конфигураций перейдите в раздел «Учетные записи пользователей» . а потом Создание правил исключения : настройте правила исключения пользователей, которые исключают пользователей из внешних доменов.
  • Измените правила поиска пользователей таким образом, чтобы пользователи из внешних доменов не отображались в результатах поиска.
  • Добавьте отсутствующий домен в свой аккаунт Google в качестве дополнительного домена.
Domain user limit reached GCDS синхронизирует больше пользователей, чем предусмотрено вашей учетной записью. Попробуйте следующие варианты:
  • В диспетчере конфигураций перейдите в раздел «Учетные записи пользователей» . а потом Настройте правила поиска и ограничьте область поиска пользователей, чтобы получить меньше результатов.
  • В диспетчере конфигураций убедитесь, что вы указали правильный DN, указывающий на корневой каталог, содержащий только тех пользователей, которых необходимо импортировать в домен Google.
  • Вы также можете приобрести дополнительные пользовательские лицензии. Для получения дополнительной информации перейдите по ссылке «Приобретение дополнительных пользовательских лицензий» .
java.lang.RuntimeException: javax.naming.InvalidNameException: [LDAP: error code 34 - invalid DN] Базовое DN, указанное в Configuration Manager, может указывать на объект, которого нет на вашем LDAP-сервере. Проверьте базовое DN, указанное в разделах фильтров LDAP-подключения, пользователей, групп, профилей и общих контактов. Убедитесь, что в качестве базового DN для каждого из них используется существующий объект.
java.security.cert.CertPathValidatorException: revocation status check failed: no CRL found

Другая служба или сетевое устройство препятствует связи GCDS с центром сертификации HTTPS-сертификата, используемого для API. Проверьте правила брандмауэра или прокси-сервера, которые могут ограничивать подключения с компьютера, на котором запущен GCDS. Если для доступа к веб-сайту с компьютера, на котором запущен GCDS, требуется прокси-сервер, он должен быть правильно настроен.

Для решения этой проблемы можно отключить проверку списка отзыва сертификатов (CRL). Чтобы отключить проверку CRL, добавьте следующие строки в файлы config-manager.vmoptions и sync-cmd.vmoptions в каталоге установки GCDS:

-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false

Для получения более подробной информации перейдите по ссылке «Как GCDS проверяет списки аннулированных сертификатов» .

javax.naming.directory.InvalidSearchFilterException: Unbalanced parenthesis; remaining name Запросы, указанные на одной или нескольких из следующих страниц Configuration Manager, не имеют сбалансированных скобок:
  • Настройка LDAP а потом Организационные подразделения а потом Правила поиска
  • Настройка LDAP а потом Пользователи а потом Синхронизация пользователей
  • Настройка LDAP а потом Группы а потом Правила группового поиска
  • Настройка LDAP а потом Профили пользователей а потом Синхронизация профилей пользователей
  • Настройка LDAP а потом Общие контакты а потом Синхронизация контактов
Root exception is javax.naming.CommunicationException: *servername* :389

GCDS не может разрешить указанное имя LDAP-сервера. Убедитесь, что вы ввели полное доменное имя для LDAP-сервера, и проверьте, что компьютер, на котором запущен GCDS, может его разрешить.

Примечание: При использовании Active Directory в качестве имени сервера используйте полное доменное имя вашего домена.

SSL peer shut down incorrectly

Проблема обычно возникает из-за того, что трафик проходит через прокси-сервер. Если вы используете прокси, вам необходимо настроить параметры прокси GCDS. Убедитесь, что GCDS может подключаться к этим конкретным URL-адресам и портам, выполнив действия, описанные в разделе «Разрешить доступ к URL-адресам и портам» .

Программы безопасности на локальном компьютере могут вызывать проблемы с подключением. Попросите администратора отключить все программы безопасности на клиентском компьютере и попробуйте снова.

You are not authorized to access this API Убедитесь, что вы включили необходимые API Google. Для получения дополнительной информации перейдите по ссылке «Авторизовать свою учетную запись Google» .
Domain user limit exceeded Вы попытались добавить больше пользователей, чем у вас есть лицензий. Свяжитесь со своим торговым представителем, чтобы приобрести дополнительные лицензии. Или измените ваши LDAP-запросы для синхронизации меньшего количества пользователей.
java.lang.RuntimeException: Failed to execute query because the object at Base DN: "DC=domain,DC=com" is missing or inaccessible

Для начала проверьте DN как на вкладке «Конфигурация LDAP» , так и в любых правилах поиска, где вы определили переопределение базового DN. Если это не решит проблему, и вы уверены, что DN действителен, проблема может быть связана с разрешением DNS. В журнале вы можете увидеть дополнительную информацию об ошибке, например:

  • javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: domain.com:389 [Root exception is java.net.ConnectException: Connection refused: connect]]
  • javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: domain.com:389 [Root exception is java.net.ConnectException: Connection timed out: connect]]

Эти ошибки указывают на то, что хост отклоняет соединение или истекает время ожидания. Попробуйте выполнить поиск DNS для этого хоста и убедитесь, что все возвращаемые адреса действительны и разрешают соединения на настроенном вами порту.

Примечание : Эти ошибки могут возникать, даже если вы указали допустимое имя хоста или IP-адрес в конфигурации GCDS. Active Directory может отправить ответ LDAP-переадресации, направляя GCDS на подключение через имя хоста. Эта переадресация в конечном итоге может вести к имени хоста, которое не удается разрешить. Вы можете избежать этих переадресаций, подключившись к серверу Active Directory через порт глобального каталога, который по умолчанию равен 3268. Для получения более подробной информации обратитесь к документации Microsoft.

Character is invalid at location

Часть информации в пользовательской схеме недействительна. Чтобы проверить ограничения, применяемые к пользовательской схеме, перейдите в раздел Directory API: Пользовательские поля .

Если у вас включены журналы трассировки, вы также можете просмотреть полный HTTP-запрос для пользовательской схемы.

java.util.concurrent.ExecutionException: java.lang.OutOfMemoryError: GC overhead limit exceeded Превышен заданный лимит памяти. Это событие привело к сбою синхронизации. Для решения этой проблемы перейдите к разделу «Что делать, если я вижу ошибки, связанные с памятью?»
Failed trying to connect to the specified LDAP server GCDS не может подключиться к LDAP-серверу. Убедитесь в следующем:
  • Вы используете правильный протокол связи. Если LDAP-сервер требует защищенного протокола, используйте LDAP + SSL.
  • LDAP-сервер активен и не имеет проблем с подключением.
Network problem: Unable to connect to the specified LDAP server GCDS не может найти LDAP-сервер. Убедитесь, что компьютер, на котором запущен GCDS, имеет доступ к указанному хосту и порту.
Authentication problem: Unable to connect using the credentials supplied LDAP-сервер отклоняет запросы GCDS из-за проблемы с аутентификацией. Убедитесь, что авторизованный пользователь и его пароль указаны правильно. Для добавления авторизованного пользователя используйте его полный DN. Подробную информацию о добавлении авторизованного пользователя см. в разделе «Настройки подключения LDAP» .
Failed to execute query at Base DN <*base-dn*> GCDS не может подключиться к базовому DN. Убедитесь в следующем:
  • Базовый DN существует на LDAP-сервере.
  • Авторизованный пользователь имеет права доступа к базовому DN. Для получения более подробной информации перейдите в раздел «Настройки подключения LDAP» .
Failed to execute query at Base DN <*base-dn*> for attribute: <*attribute*>, reason: NameNotFoundException GCDS не удаётся получить информацию с LDAP-сервера. Убедитесь в следующем:
  • Объект <*base-dn*> существует и доступен авторизованному пользователю. Для получения подробной информации перейдите в раздел «Настройки подключения LDAP» .
  • Атрибут <*attribute*> существует для объекта <*base-dn*> на LDAP-сервере.
Member already exists Эта ошибка может появиться, если:
  • У вас есть участник, чей основной LDAP-адрес в Google Workspace является псевдонимом. По возможности избегайте этой ситуации (например, используйте другое имя пользователя для псевдонима).
  • У одной учетной записи пользователя одно и то же имя пользователя для двух адресов-псевдонимов. И на странице «Конфигурация домена Google» вы установили флажок « Заменять имена доменов в адресах электронной почты LDAP» . После установки флажка оба адреса электронной почты изменяются в соответствии с доменом, указанным в поле «Альтернативный домен электронной почты» .

Снимите флажок или измените одно из псевдонимов пользователей.

Если в журналах также появляется следующее сообщение: "Ошибка при добавлении участника *user-email-address* в группу *group-email-address* из-за конфликта адресов", проверьте, не:

  • GCDS исключил пользователя с *адресом электронной почты пользователя* из синхронизации на основе ваших правил исключения. Проверьте свои правила исключения и попробуйте снова. Для получения подробной информации перейдите в раздел «Исключение данных с помощью правил исключения и запросов» .
  • Вы обновили пользователя или группу вне системы GCDS. Очистите кэш и попробуйте снова.
Invalid Input: INVALID_OU_ID GCDS пытается привязать пользователя к организационному подразделению, которого нет в учетной записи Google вашей организации. Измените правила поиска пользователей и повторите попытку. Подробности см. в разделе «Правила поиска пользователей» .
Превышена квота по метрике «Запросы» и лимиту «Запросы в минуту на пользователя» для сервиса «licensing.googleapis.com» "причина": "rateLimitExceeded" В конфигурационном XML-файле GCDS убедитесь, что значение *<maxResults>* установлено на 500. При необходимости измените его на 500 и повторно выполните синхронизацию.

Устранение распространенных проблем GCDS


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.