عیب یابی مشکلات مربوط به گواهی

ممکن است خطاهای مربوط به گواهینامه زیر را در فایل گزارش همگام‌سازی دایرکتوری گوگل کلود (GCDS) خود مشاهده کنید:

  • sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
  • ldap_simple_bind_s() failed: Strong Authentication Required

برای رفع این خطاها مراحل زیر را دنبال کنید.

در این صفحه

رفع خطاهای مربوط به گواهی

مراحل مایکروسافت ویندوز

فایل vmoption را به‌روزرسانی کنید

  1. مدیر پیکربندی را ببندید.
  2. در دایرکتوری نصب GCDS، فایل‌های sync-cmd.vmoptions و config-manager.vmoptions را باز کنید.

    دایرکتوری نصب معمولاً C:\Program Files\Google Cloud Directory Sync است.

  3. فایل‌ها را ویرایش کنید تا خطوط زیر را اضافه کنید:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT
    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Configuration Manager را مجدداً راه‌اندازی کنید و به صفحه پیکربندی LDAP بروید.
  5. برای نوع اتصال ، LDAP+SSL را مشخص کنید.
  6. برای پورت، یک گزینه را انتخاب کنید:
    • اگر قبلاً از ۳۸۹ استفاده کرده‌اید، ۶۳۶ را مشخص کنید
    • اگر قبلاً از ۳۲۶۸ استفاده می‌کردید، ۳۲۶۹ را مشخص کنید.
  7. روی تست اتصال کلیک کنید.
  8. اگر دریافت کردید:

گواهی سرور را وارد کنید

همچنین می‌توانید از این مراحل برای وارد کردن گواهی‌نامه‌ها برای سرورهای LDAP یا پروکسی‌های HTTP که از گواهی‌نامه‌های خودامضا استفاده می‌کنند، استفاده کنید.

  1. وارد کنترل‌کننده دامنه شوید و یک خط فرمان باز کنید.
  2. برای صادر کردن گواهی کنترل‌کننده دامنه، دستور زیر را وارد کنید:

    certutil -store My DomainController dccert.cer

  3. فایل dccert.cer را در سروری که GCDS در آن نصب شده است، کپی کنید.
  4. به عنوان مدیر، یک خط فرمان باز کنید.
  5. برای باز کردن پوشه نصب GCDS Java Runtime Environment (JRE)، دستور زیر را وارد کنید:

    cd "c:\Program Files\Google Cloud Directory Sync\jre"

    اگر از نسخه ۳۲ بیتی GCDS که روی سیستم ویندوز ۶۴ بیتی نصب شده است استفاده می‌کنید، از cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre" استفاده کنید.

  6. برای وارد کردن گواهی کنترل‌کننده دامنه، دستور زیر را وارد کنید:

    bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc

    اگر نیاز به وارد کردن بیش از یک گواهی دارید، این مراحل را با استفاده از یک نام مستعار متفاوت به جای mydc تکرار کنید.

  7. برای اعتماد به گواهی، بله را وارد کنید.
  8. مدیر پیکربندی را ببندید.
  9. در دایرکتوری نصب GCDS، با استفاده از یک ویرایشگر متن، فایل‌های sync-cmd.vmoptions و config-manager.vmoptions را باز کنید.
  10. در هر فایل، موارد زیر را حذف کنید:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    وقتی خطوط را حذف می‌کنید، GCDS به جای فروشگاه سیستم ویندوز، از فروشگاه گواهی‌نامه در lib/security/cacerts استفاده می‌کند.

  11. Configuration Manager را باز کنید، به صفحه پیکربندی LDAP بروید و روی Test Connections کلیک کنید.
  12. اگر هنوز خطاهای مربوط به گواهی را مشاهده می‌کنید، ممکن است لازم باشد گواهی مرجع صدور گواهی (CA) سازمان خود را به جای گواهی کنترل‌کننده دامنه خود وارد کنید. برای انجام این کار، این مراحل را تکرار کنید، اما به جای آن، گواهی CA را صادر و وارد کنید.

مراحل کار با لینوکس

همچنین می‌توانید از این مراحل برای وارد کردن گواهی‌نامه‌ها برای سرورهای LDAP یا پروکسی‌های HTTP که از گواهی‌نامه‌های خودامضا استفاده می‌کنند، استفاده کنید.

  1. وارد کنترل‌کننده دامنه شوید و یک خط فرمان باز کنید.
  2. برای پیدا کردن گواهی دامنه، دستور زیر را وارد کنید:

    certutil -store My DomainController dccert.cer

  3. فایل dccert.cer را در سروری که GCDS در آن نصب شده است، کپی کنید.
  4. برای باز کردن پوشه نصب GCDS Java Runtime Environment (JRE)، یک خط فرمان باز کنید و دستور زیر را وارد کنید:

    cd ~/GoogleCloudDirSync/jre

  5. برای وارد کردن گواهی کنترل‌کننده دامنه، دستور زیر را وارد کنید:

    bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc

    اگر نیاز به وارد کردن بیش از یک گواهی دارید، این مراحل را با استفاده از یک نام مستعار متفاوت به جای mydc تکرار کنید.

  6. برای اعتماد به گواهی، بله را وارد کنید.
  7. مدیر پیکربندی را ببندید.
  8. در دایرکتوری نصب GCDS، با استفاده از یک ویرایشگر متن، فایل‌های sync-cmd.vmoptions و config-manager.vmoptions را باز کنید.

    دایرکتوری نصب معمولاً ~/GoogleCloudDirSync است.

  9. در هر فایل، موارد زیر را حذف کنید:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    وقتی خطوط را حذف می‌کنید، GCDS به جای فروشگاه سیستم ویندوز، از فروشگاه گواهی‌نامه در lib/security/cacerts استفاده می‌کند.

  10. Configuration Manager را باز کنید، به صفحه پیکربندی LDAP بروید و روی Test Connections کلیک کنید.
  11. اگر هنوز خطاهای مربوط به گواهی را مشاهده می‌کنید، ممکن است لازم باشد گواهی مرجع صدور گواهی (CA) سازمان خود را به جای گواهی کنترل‌کننده دامنه خود وارد کنید. برای انجام این کار، این مراحل را تکرار کنید، اما به جای آن، گواهی CA را صادر و وارد کنید.

چگونه GCDS لیست‌های ابطال گواهینامه را بررسی می‌کند

GCDS هنگام اتصال به APIهای گوگل (از طریق HTTPS) و اتصال به LDAP از طریق SSL، نیاز به اعتبارسنجی گواهینامه‌های Secure Sockets Layer (SSL) دارد. GCDS این کار را با بازیابی لیست‌های ابطال گواهینامه (CRL) از مراکز صدور گواهینامه از طریق HTTP انجام می‌دهد. گاهی اوقات، این اعتبارسنجی‌ها با شکست مواجه می‌شوند، معمولاً به دلیل مسدود شدن درخواست HTTP توسط پروکسی یا فایروال.

مطمئن شوید که سرور GCDS می‌تواند از طریق HTTP (پورت ۸۰) به URL های زیر دسترسی داشته باشد:

  • http://crl.pki.goog
  • http://crls.pki.goog
  • http://c.pki.goog

برای جزئیات بیشتر در مورد CRL های فعلی، به بررسی CRL بروید. اگر از گواهینامه‌های خودتان برای LDAP روی SSL استفاده می‌کنید، ممکن است به URL های اضافی نیاز داشته باشید.

اگر نمی‌توانید دسترسی CRL را مجاز کنید، می‌توانید بررسی‌های CRL را غیرفعال کنید:

  1. در دایرکتوری نصب GCDS، فایل‌های <code class="notranslate">sync-cmd.vmoptions</code> و <code class="notranslate">config-manager.vmoptions</code> را با استفاده از یک ویرایشگر متن باز کنید.

    دایرکتوری نصب معمولاً در <code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code> (ویندوز) یا <code class="notranslate">~/GoogleCloudDirSync</code> (لینوکس) است.

  2. این خطوط را به فایل‌ها اضافه کنید:

    -Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false

همگام‌سازی پس از تغییر به LDAP+SSL کند است

اگر به LDAP+SSL تغییر داده‌اید و روند همگام‌سازی شما کند شده است:

  1. مدیر پیکربندی را ببندید.

  2. در پوشه‌ی نصب GCDS، فایل‌های <code class="notranslate">sync-cmd.vmoptions</code> و <code class="notranslate">config-manager.vmoptions</code> را با استفاده از یک ویرایشگر متن باز کنید.

    دایرکتوری نصب معمولاً در <code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code> (ویندوز) یا <code class="notranslate">~/GoogleCloudDirSync</code> (لینوکس) است.

  3. فایل‌ها را ویرایش کنید تا خطوط زیر را اضافه کنید:

    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. فایل‌ها را ذخیره کنید و دوباره همگام‌سازی را امتحان کنید.

اطمینان از احراز هویت پس از به‌روزرسانی Microsoft ADV190023

اگر از Microsoft Active Directory با اتصال کانال و امضای LDAP روشن استفاده می‌کنید، باید اقدامات بیشتری انجام دهید تا مطمئن شوید GCDS با استفاده از LDAP روی SSL احراز هویت می‌شود. در غیر این صورت، GCDS به Active Directory متصل نمی‌شود و همگام‌سازی‌های شما با شکست مواجه می‌شوند. حتی اگر قبلاً همگام‌سازی را با استفاده از احراز هویت استاندارد LDAP اجرا کرده‌اید، باید این مراحل را انجام دهید. برای جزئیات بیشتر در مورد توصیه مایکروسافت ADV190023، به مستندات مایکروسافت خود مراجعه کنید.

اگر در حال حاضر با موفقیت از LDAP روی SSL استفاده می‌کنید، نیازی به انجام هیچ اقدامی ندارید.

مرحله ۱: فعال کردن TLS در اکتیو دایرکتوری

اصطلاحات TLS و SSL اغلب به جای یکدیگر استفاده می‌شوند.

برای فعال کردن TLS در اکتیو دایرکتوری، به این مقالات مایکروسافت مراجعه کنید:

مرحله ۲: اطمینان حاصل کنید که گواهی معتبر است

مرجع صدور گواهینامه (CA) که گواهی کنترل‌کننده دامنه شما را امضا کرده است، باید توسط GCDS مورد اعتماد باشد. اکثر CA های اینترنتی شناخته شده، مانند Verisign، Comodo و Let's Encrypt، مورد اعتماد هستند. اگر از این CA ها استفاده می‌کنید، می‌توانید از این مرحله صرف نظر کنید.

اگر CA شما قابل اعتماد نیست یا اگر از CA ریشه خود استفاده می‌کنید، مراحل بالا در رفع خطاهای مربوط به گواهی را دنبال کنید.

مرحله 3: تنظیم مدیر پیکربندی

  1. Configuration Manager را باز کنید و به صفحه پیکربندی LDAP بروید.
  2. برای تنظیم نوع اتصال ، LDAP+SSL را مشخص کنید.
  3. برای تنظیم پورت، عدد ۶۳۶ (اگر قبلاً از ۳۸۹ استفاده می‌کردید) یا ۳۲۶۹ (اگر قبلاً از ۳۲۶۸ استفاده می‌کردید) را مشخص کنید.
  4. روی تست اتصال کلیک کنید.


گوگل، گوگل ورک‌اسپیس و علامت‌ها و لوگوهای مرتبط، علائم تجاری شرکت گوگل هستند. سایر نام‌های شرکت‌ها و محصولات، علائم تجاری شرکت‌هایی هستند که با آنها مرتبط هستند.