تحديد مشاكل الشهادة وحلّها

قد تظهر لك الأخطاء التالية المتعلقة بالشهادة في ملف سجلّ "أداة مزامنة دليل Google Cloud‏" (GCDS):

  • sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
  • ldap_simple_bind_s() failed: Strong Authentication Required

اتّبِع الخطوات التالية لإصلاح هذه الأخطاء.

على هذه الصفحة

إصلاح الأخطاء المتعلقة بالشهادة

الخطوات التي يجب اتّباعها لنظام التشغيل Microsoft Windows

تعديل ملف vmoption

  1. أغلِق مدير الإعداد.
  2. في دليل تثبيت "أداة مزامنة دليل Google Cloud"، افتَح الملفين sync-cmd.vmoptions وconfig-manager.vmoptions.

    يكون مسار دليل التثبيت عادةً هو C:\Program Files\Google Cloud Directory Sync.

  3. عدِّل الملفات لإضافة الأسطر التالية:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT
    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. أعِد تشغيل "مدير الإعداد" وانتقِل إلى صفحة إعداد LDAP.
  5. بالنسبة إلى نوع الاتصال، اختَر LDAP+SSL.
  6. بالنسبة إلى المنفذ، حدِّد خيارًا:
    • إذا سبق لك استخدام 389، اختَر 636.
    • إذا سبق لك استخدام 3268، اختَر 3269.
  7. انقر على اختبار الاتصال.
  8. في حال ظهور:

استيراد شهادة الخادم

يمكنك أيضًا استخدام هذه الخطوات لاستيراد الشهادات لخوادم LDAP أو خوادم HTTP الوكيلة التي تستخدم شهادات موقعة ذاتيًا.

  1. سجِّل الدخول إلى وحدة التحكّم بالنطاقات وافتح موجه الأوامر.
  2. لتصدير شهادة وحدة التحكّم بالنطاقات، يُرجى إدخال الأمر التالي:

    certutil -store My DomainController dccert.cer

  3. انسخ ملف dccert.cer إلى الخادم حيث تم تثبيت "أداة مزامنة دليل Google Cloud".
  4. بصفتك مشرفًا، افتَح موجِّه الأوامر.
  5. لفتح مجلد تثبيت "بيئة وقت تشغيل Java (JRE)" في أداة مزامنة دليل Google Cloud، يُرجى إدخال الأمر التالي:

    cd "c:\Program Files\Google Cloud Directory Sync\jre"

    إذا كنت تستخدم إصدار 32 بت من "أداة مزامنة دليل Google Cloud" المثبّت على نظام التشغيل Windows إصدار 64 بت، استخدِم cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre".

  6. لاستيراد شهادة وحدة التحكّم بالنطاق، يُرجى إدخال الأمر التالي:

    bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc

    إذا كنت بحاجة إلى استيراد أكثر من شهادة واحدة، يمكنك تكرار هذه الخطوات باستخدام اسم مستعار مختلف بدلاً من mydc.

  7. أدخِل نعم للوثوق في الشهادة.
  8. أغلِق مدير الإعداد.
  9. في دليل تثبيت "أداة مزامنة دليل Google Cloud"، باستخدام محرِّر النصوص، افتح الملفين sync-cmd.vmoptions و config-manager.vmoptions.
  10. في كل ملف، يُرجى إزالة:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    عند إزالة الأسطر، تستخدم أداة GCDS مخزن الشهادات الموجود في lib/security/cacerts بدلاً من مخزن نظام التشغيل Windows.

  11. افتح مدير الإعداد، ثم انتقِل إلى صفحة إعداد LDAP، وانقر على اختبار الاتصالات.
  12. وفي حال استمرار ظهور الأخطاء المتعلقة بالشهادة، قد تحتاج إلى استيراد شهادة "مرجع التصديق" (CA) لمؤسستك بدلاً من شهادة وحدة التحكّم بالنطاقات. لإجراء ذلك، كرِّر هذه الخطوات ولكن عليك تصدير شهادة CA واستيرادها بدلاً من ذلك.

الخطوات التي يجب اتّباعها لنظام التشغيل Linux

يمكنك أيضًا استخدام هذه الخطوات لاستيراد الشهادات لخوادم LDAP أو خوادم HTTP الوكيلة التي تستخدم شهادات موقعة ذاتيًا.

  1. سجِّل الدخول إلى وحدة التحكّم بالنطاقات وافتح موجه الأوامر.
  2. لتحديد موقع شهادة النطاق، يُرجى إدخال الأمر التالي:

    certutil -store My DomainController dccert.cer

  3. انسخ ملف dccert.cer إلى الخادم حيث تم تثبيت "أداة مزامنة دليل Google Cloud".
  4. لفتح مجلد تثبيت "بيئة وقت تشغيل Java (JRE)" لأداة مزامنة دليل Google Cloud، افتح موجه الأوامر وأدخِل الأمر التالي:

    cd ~/GoogleCloudDirSync/jre

  5. لاستيراد شهادة وحدة التحكّم بالنطاقات، يُرجى إدخال الأمر التالي:

    bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc

    إذا كنت بحاجة إلى استيراد أكثر من شهادة واحدة، يمكنك تكرار هذه الخطوات باستخدام اسم مستعار مختلف بدلاً من mydc.

  6. أدخِل نعم للوثوق في الشهادة.
  7. أغلِق مدير الإعداد.
  8. في دليل تثبيت "أداة مزامنة دليل Google Cloud"، باستخدام برنامج محرِّر نصوص، افتح ملفَّي sync-cmd.vmoptions وconfig-manager.vmoptions.

    يكون مسار دليل التثبيت عادةً هو ~/GoogleCloudDirSync.

  9. في كل ملف، يُرجى إزالة:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    عند إزالة الأسطر، تستخدم أداة GCDS مخزن الشهادات الموجود في lib/security/cacerts بدلاً من مخزن نظام التشغيل Windows.

  10. افتح مدير الإعداد، ثم انتقِل إلى صفحة إعداد LDAP، وانقر على اختبار الاتصالات.
  11. وفي حال استمرار ظهور الأخطاء المتعلقة بالشهادة، قد تحتاج إلى استيراد شهادة "مرجع التصديق" (CA) لمؤسستك بدلاً من شهادة وحدة التحكّم بالنطاقات. لإجراء ذلك، كرِّر هذه الخطوات ولكن عليك تصدير شهادة CA واستيرادها بدلاً من ذلك.

كيف تتحقق "أداة مزامنة دليل Google Cloud" من قوائم الشهادات الباطلة؟

تحتاج "أداة مزامنة دليل Google Cloud" إلى التحقُّق من شهادات طبقة المقابس الآمنة (SSL) عند الاتصال بـ Google APIs (عبر HTTPS) وLDAP عبر طبقة المقابس الآمنة (SSL). وتُجري "أداة مزامنة دليل Google Cloud" ذلك عن طريق استرداد قوائم الشهادات الباطلة (CRLs) من مراجع التصديق عبر HTTP. وقد نرى أحيانًا أن عمليات التحقق هذه تخفق، ويكون هذا في الغالب بسبب حظر جدار حماية أو وكيل لطلب HTTP.

تأكَّد من أنّ خادم GCDS يمكنه الوصول إلى عناوين URL التالية عبر HTTP (المنفذ 80):

  • http://crl.pki.goog
  • http://crls.pki.goog
  • http://c.pki.goog

لمعرفة التفاصيل عن قوائم الشهادات الباطلة (CRL) الحالية، يُرجى الانتقال إلى التحقق من قائمة الشهادات الباطلة (CRL). قد تحتاج إلى عناوين URL إضافية إذا كنت تستخدم شهاداتك لـ "LDAP عبر طبقة المقابس الآمنة".

إذا لم تتمكّن من السماح بالوصول إلى قائمة الشهادات الباطلة (CRL)، يمكنك إيقاف عمليات التحقُّق من قوائم الشهادات الباطلة (CRL):

  1. في دليل تثبيت "أداة مزامنة دليل Google Cloud"، افتح الملفين <code class="notranslate">sync-cmd.vmoptions</code> و<code class="notranslate">config-manager.vmoptions</code> باستخدام برنامج محرِّر نصوص.

    يكون دليل التثبيت عادةً هو <code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code> (في نظام التشغيل Windows) أو <code class="notranslate">~/GoogleCloudDirSync</code> (في نظام التشغيل Linux).

  2. أضِف الأسطر التالية إلى الملفات:

    -Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false

المزامنة بطيئة بعد الانتقال إلى LDAP + طبقة المقابس الآمنة (SSL)

في حال الانتقال إلى LDAP + طبقة المقابس الآمنة (SSL) وكانت عملية المزامنة بطيئة:

  1. أغلِق "مدير الإعداد".

  2. في دليل تثبيت "أداة مزامنة دليل Google Cloud"، افتَح الملفين <code class="notranslate">sync-cmd.vmoptions</code> و<code class="notranslate">config-manager.vmoptions</code> باستخدام برنامج محرِّر نصوص.

    يكون دليل التثبيت عادةً هو <code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code> (في نظام التشغيل Windows) أو <code class="notranslate">~/GoogleCloudDirSync</code> (في نظام التشغيل Linux).

  3. عدِّل الملفات لإضافة الأسطر التالية:

    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. احفظ الملفات وأعِد محاولة المزامنة.

ضمان المصادقة بعد تعديل Microsoft ADV190023

إذا كنت تستخدم Microsoft Active Directory مع تفعيل ربط القناة وتوقيع LDAP، عليك اتخاذ خطوات إضافية لضمان مصادقة "أداة مزامنة دليل Google Cloud" باستخدام "LDAP عبر طبقة المقابس الآمنة". وبخلاف ذلك، لن تتصل "أداة مزامنة دليل Google Cloud" بدليل Active Directory وستتعذَّر عمليات المزامنة. عليك تنفيذ هذه الخطوات حتى إذا كنت قد أجريت مزامنة من قبل باستخدام مصادقة "LDAP العادي". للحصول على تفاصيل حول استشارة Microsoft رقم ADV190023، راجِع مستندات Microsoft.

إذا كنت تستخدم "LDAP عبر طبقة المقابس الآمنة" بنجاح من قبل، لا تحتاج إلى تنفيذ أي خطوات.

الخطوة 1: تفعيل بروتوكول أمان طبقة النقل (TLS) في Active Directory

غالبًا ما يُستَخدم المصطلحان "بروتوكول أمان طبقة النقل" و"طبقة المقابس الآمنة" بالتبادل.

لتفعيل بروتوكول أمان طبقة النقل (TLS) في Active Directory، يُرجى الرجوع إلى مقالات Microsoft التالية:

الخطوة 2: التأكّد من أنّ الشهادة موثوقة

يجب أن تثق "أداة مزامنة دليل Google Cloud" في مرجع التصديق (CA) الذي وقّع على شهادة وحدة التحكّم في نطاقك. معظم مراجع التصديق المعروفة على الإنترنت مثل Verisign وComodo وLet's Encrypt موثوقٌ بها. إذا كنت تستخدم مراجع التصديق (CA) هذه، يمكنك تخطي هذه الخطوة.

إذا لم يكن مرجع التصديق (CA) موثوقًا به أو إذا كنت تستخدم مرجع تصديق (CA) الجذر الخاص بك، اتبِع الخطوات الواردة فيتحديد مشاكل الأخطاء المتعلقة بالشهادات وحلّها.

الخطوة 3: ضبط مدير الإعداد

  1. افتح "مدير الإعداد" وانتقِل إلى صفحة إعداد LDAP.
  2. بالنسبة إلى إعداد نوع الاتصال، اختَر LDAP + SSL.
  3. بالنسبة إلى إعداد Port (المنفذ)، اختَر 636 (إذا سبق لك استخدام 389) أو 3269 (إذا سبق لك استخدام 3268).
  4. انقر على اختبار الاتصال.


إنّ Google وGoogle Workspace والعلامات والشعارات المرتبطة بها هي علامات تجارية مسجَّلة مملوكة من قِبل شركة Google LLC. وجميع أسماء الشركات والمنتجات الأخرى هي علامات تجارية تملكها الشركات ذات الصلة بها.