आपको Google Cloud Directory Sync (GCDS) की लॉग फ़ाइल में, सर्टिफ़िकेट से जुड़ी ये गड़बड़ियां दिख सकती हैं:
- sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
- ldap_simple_bind_s() failed: Strong Authentication Required
इन गड़बड़ियों को ठीक करने के लिए, यहां दिया गया तरीका अपनाएं.
इस पेज पर
- सर्टिफ़िकेट से जुड़ी गड़बड़ियां ठीक करना
- GCDS, निरस्त किए गए सर्टिफ़िकेट की सूचियों की जांच कैसे करता है
- LDAP+SSL पर स्विच करने के बाद, सिंक करने की प्रोसेस धीमी हो जाती है
- Microsoft ADV190023 अपडेट के बाद पुष्टि करना
सर्टिफ़िकेट से जुड़ी गड़बड़ियां ठीक करना
Microsoft Windows के लिए तरीका
vmoption फ़ाइल अपडेट करना
- Configuration Manager को बंद करें.
- GCDS की इंस्टॉलेशन डायरेक्ट्री में, sync-cmd.vmoptions और config-manager.vmoptions फ़ाइलें खोलें.
आम तौर पर, इंस्टॉलेशन डायरेक्ट्री C:\Program Files\Google Cloud Directory Sync होती है.
- इन लाइनों को जोड़ने के लिए, फ़ाइलों में बदलाव करें:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOT
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - Configuration Manager को फिर से चालू करें और LDAP कॉन्फ़िगरेशन पेज पर जाएं.
- कनेक्शन टाइप के लिए, LDAP+SSL चुनें.
- पोर्ट के लिए, इनमें से कोई विकल्प चुनें:
- अगर आपने पहले 389 का इस्तेमाल किया था, तो 636 डालें
- अगर आपने पहले 3268 का इस्तेमाल किया था, तो 3269 डालें.
- कनेक्शन की जांच करें पर क्लिक करें.
- अगर आपको:
- सर्टिफ़िकेट से जुड़ी गड़बड़ी–GCDS चलाने वाले कंप्यूटर पर, पक्का करें कि Windows को सर्टिफ़िकेट पर भरोसा हो. इसके बाद, दूसरा चरण: सर्वर सर्टिफ़िकेट इंपोर्ट करना पर जाएं. यह चरण इस पेज पर नीचे दिया गया है.
- सर्टिफ़िकेट रद्द करने की स्थिति की जांच करने में गड़बड़ी हुई है–GCDS, सर्टिफ़िकेट रद्द करने की सूचियों की जांच कैसे करता है में दिया गया तरीका अपनाएं.
- अन्य गड़बड़ियां (उदाहरण के लिए, नेटवर्क से जुड़ी गड़बड़ियां)–GCDS से जुड़ी सामान्य समस्याओं को हल करना पर जाएं.
सर्वर सर्टिफ़िकेट इंपोर्ट करना
इन चरणों का इस्तेमाल, LDAP सर्वर या एचटीटीपी प्रॉक्सी के लिए सर्टिफ़िकेट इंपोर्ट करने के लिए भी किया जा सकता है. ये सर्वर या प्रॉक्सी, खुद हस्ताक्षर किए हुए सर्टिफ़िकेट का इस्तेमाल करते हैं.
- डोमेन कंट्रोलर में साइन इन करें और कमांड प्रॉम्प्ट खोलें.
- डोमेन कंट्रोलर का सर्टिफ़िकेट एक्सपोर्ट करने के लिए, यह निर्देश डालें:
certutil -store My DomainController dccert.cer
- dccert.cer फ़ाइल को उस सर्वर पर कॉपी करें जहां GCDS इंस्टॉल किया गया है.
- एडमिन के तौर पर, कमांड प्रॉम्प्ट खोलें.
- GCDS Java Runtime Environment (JRE) का इंस्टॉलेशन फ़ोल्डर खोलने के लिए, यह कमांड डालें:
cd "c:\Program Files\Google Cloud Directory Sync\jre"
अगर GCDS का 32-बिट वर्शन, 64-बिट Windows सिस्टम पर इंस्टॉल किया गया है, तो cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre" का इस्तेमाल करें
- डोमेन कंट्रोलर का सर्टिफ़िकेट इंपोर्ट करने के लिए, यह निर्देश डालें:
bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc
अगर आपको एक से ज़्यादा सर्टिफ़िकेट इंपोर्ट करने हैं, तो mydc की जगह किसी दूसरे एलियास का इस्तेमाल करके, यह तरीका दोहराएं.
- सर्टिफ़िकेट पर भरोसा करने के लिए, हां डालें.
- Configuration Manager को बंद करें.
- GCDS की इंस्टॉलेशन डायरेक्ट्री में, टेक्स्ट एडिटर का इस्तेमाल करके sync-cmd.vmoptions और config-manager.vmoptions फ़ाइलें खोलें.
- हर फ़ाइल में, यह जानकारी हटाएं:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTलाइनों को हटाने पर, GCDS, Windows सिस्टम स्टोर के बजाय lib/security/cacerts में मौजूद सर्टिफ़िकेट स्टोर का इस्तेमाल करता है.
- Configuration Manager खोलें. इसके बाद, LDAP कॉन्फ़िगरेशन पेज पर जाएं और कनेक्शन की जांच करें पर क्लिक करें.
- अगर आपको अब भी सर्टिफ़िकेट से जुड़ी गड़बड़ियां दिख रही हैं, तो हो सकता है कि आपको अपने डोमेन कंट्रोलर सर्टिफ़िकेट के बजाय, अपने संगठन के सर्टिफ़िकेट अथॉरिटी (सीए) सर्टिफ़िकेट को इंपोर्ट करना पड़े. इसके लिए, इन चरणों को दोहराएं. हालांकि, इस बार सीए सर्टिफ़िकेट को एक्सपोर्ट और इंपोर्ट करें.
Linux के लिए निर्देश
इन चरणों का इस्तेमाल, LDAP सर्वर या एचटीटीपी प्रॉक्सी के लिए सर्टिफ़िकेट इंपोर्ट करने के लिए भी किया जा सकता है. ये सर्वर या प्रॉक्सी, खुद हस्ताक्षर किए हुए सर्टिफ़िकेट का इस्तेमाल करते हैं.
- डोमेन कंट्रोलर में साइन इन करें और कमांड प्रॉम्प्ट खोलें.
- डोमेन सर्टिफ़िकेट का पता लगाने के लिए, यह निर्देश डालें:
certutil -store My DomainController dccert.cer
- dccert.cer फ़ाइल को उस सर्वर पर कॉपी करें जहां GCDS इंस्टॉल किया गया है.
- GCDS Java Runtime Environment (JRE) का इंस्टॉलेशन फ़ोल्डर खोलने के लिए, कमांड प्रॉम्प्ट खोलें और यह कमांड डालें:
cd ~/GoogleCloudDirSync/jre
- डोमेन कंट्रोलर का सर्टिफ़िकेट इंपोर्ट करने के लिए, यह निर्देश डालें:
bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc
अगर आपको एक से ज़्यादा सर्टिफ़िकेट इंपोर्ट करने हैं, तो mydc की जगह किसी दूसरे एलियास का इस्तेमाल करके, यह तरीका दोहराएं.
- सर्टिफ़िकेट पर भरोसा करने के लिए, हां डालें.
- Configuration Manager को बंद करें.
- GCDS की इंस्टॉलेशन डायरेक्ट्री में, टेक्स्ट एडिटर का इस्तेमाल करके sync-cmd.vmoptions और config-manager.vmoptions फ़ाइलें खोलें.
आम तौर पर, इंस्टॉलेशन डायरेक्ट्री ~/GoogleCloudDirSync होती है.
- हर फ़ाइल में, यह जानकारी हटाएं:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTलाइनों को हटाने पर, GCDS, Windows सिस्टम स्टोर के बजाय lib/security/cacerts में मौजूद सर्टिफ़िकेट स्टोर का इस्तेमाल करता है.
- Configuration Manager खोलें. इसके बाद, LDAP कॉन्फ़िगरेशन पेज पर जाएं और कनेक्शन की जांच करें पर क्लिक करें.
- अगर आपको अब भी सर्टिफ़िकेट से जुड़ी गड़बड़ियां दिख रही हैं, तो हो सकता है कि आपको अपने डोमेन कंट्रोलर सर्टिफ़िकेट के बजाय, अपने संगठन के सर्टिफ़िकेट अथॉरिटी (सीए) सर्टिफ़िकेट को इंपोर्ट करना पड़े. इसके लिए, इन चरणों को दोहराएं. हालांकि, इस बार सीए सर्टिफ़िकेट को एक्सपोर्ट और इंपोर्ट करें.
GCDS, निरस्त किए गए सर्टिफ़िकेट की सूचियों की जांच कैसे करता है
GCDS को Google API (एचटीटीपीएस पर) और एसएसएल पर LDAP से कनेक्ट करते समय, सिक्योर सॉकेट लेयर (एसएसएल) सर्टिफ़िकेट की पुष्टि करनी होती है. GCDS, सर्टिफ़िकेट देने वाली संस्थाओं से एचटीटीपी पर निरस्त किए गए सर्टिफ़िकेट की सूचियां (सीआरएल) वापस पाकर ऐसा करता है. कई बार, पुष्टि करने की यह प्रोसेस पूरी नहीं हो पाती. ऐसा आम तौर पर, प्रॉक्सी या फ़ायरवॉल के एचटीटीपी अनुरोध को ब्लॉक करने की वजह से होता है.
पक्का करें कि GCDS सर्वर, एचटीटीपी (पोर्ट 80) पर इन यूआरएल को ऐक्सेस कर सकता हो:
- http://crl.pki.goog
- http://crls.pki.goog
- http://c.pki.goog
मौजूदा CRL के बारे में जानने के लिए, CRL की जांच पर जाएं. अगर एसएसएल पर एलडीएपी के लिए अपने सर्टिफ़िकेट का इस्तेमाल किया जा रहा है, तो आपको अतिरिक्त यूआरएल की ज़रूरत पड़ सकती है.
अगर CRL का ऐक्सेस नहीं दिया जा सकता, तो CRL की जांच बंद की जा सकती है:
GCDS की इंस्टॉलेशन डायरेक्ट्री में, टेक्स्ट एडिटर का इस्तेमाल करके
<code class="notranslate">sync-cmd.vmoptions</code>और<code class="notranslate">config-manager.vmoptions</code>फ़ाइलें खोलें.इंस्टॉलेशन डायरेक्ट्री आम तौर पर
<code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code>(Windows) या<code class="notranslate">~/GoogleCloudDirSync</code>(Linux) होती है.फ़ाइलों में ये लाइनें जोड़ें:
-Dcom.sun.net.ssl.checkRevocation=false -Dcom.sun.security.enableCRLDP=false
LDAP+SSL पर स्विच करने के बाद, सिंक करने की प्रोसेस धीमी हो जाती है
अगर आपने LDAP+SSL पर स्विच किया है और सिंक करने की प्रोसेस धीमी हो गई है, तो:
- Configuration Manager बंद करें.
GCDS की इंस्टॉलेशन डायरेक्ट्री में, टेक्स्ट एडिटर का इस्तेमाल करके
<code class="notranslate">sync-cmd.vmoptions</code>और<code class="notranslate">config-manager.vmoptions</code>फ़ाइलें खोलें.इंस्टॉलेशन डायरेक्ट्री आम तौर पर
<code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code>(Windows) या<code class="notranslate">~/GoogleCloudDirSync</code>(Linux) होती है.इन लाइनों को जोड़ने के लिए, फ़ाइलों में बदलाव करें:
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple
फ़ाइलें सेव करें और सिंक करने की प्रोसेस फिर से शुरू करें.
Microsoft ADV190023 अपडेट के बाद पुष्टि करना
अगर चैनल बाइंडिंग और एलडीएपी साइनिंग की सुविधा के साथ Microsoft Active Directory का इस्तेमाल किया जा रहा है, तो आपको यह पक्का करने के लिए कुछ और कार्रवाइयां करनी होंगी कि GCDS, एलडीएपी ओवर एसएसएल का इस्तेमाल करके पुष्टि करे. ऐसा न करने पर, GCDS, Active Directory से कनेक्ट नहीं होगा और सिंक करने की प्रोसेस पूरी नहीं हो पाएगी. अगर आपने पहले स्टैंडर्ड एलडीएपी ऑथेंटिकेशन का इस्तेमाल करके सिंक किया था, तब भी आपको यह तरीका अपनाना होगा. Microsoft के एडवाइज़री ADV190023 के बारे में ज़्यादा जानने के लिए, Microsoft के दस्तावेज़ देखें.
अगर पहले से ही LDAP over SSL का इस्तेमाल किया जा रहा है, तो आपको कुछ करने की ज़रूरत नहीं है.
पहला चरण: Active Directory में टीएलएस चालू करना
टीएलएस और एसएसएल शब्दों का इस्तेमाल अक्सर एक-दूसरे की जगह पर किया जाता है.
Active Directory में टीएलएस चालू करने के लिए, Microsoft के ये लेख पढ़ें:
दूसरा चरण: पक्का करें कि सर्टिफ़िकेट भरोसेमंद हो
सर्टिफ़िकेट देने वाली संस्था (सीए) ने आपके डोमेन कंट्रोलर के सर्टिफ़िकेट पर हस्ताक्षर किया हो. साथ ही, GCDS को उस पर भरोसा होना चाहिए. इंटरनेट पर काम करने वाले ज़्यादातर जाने-माने सीए भरोसेमंद होते हैं. जैसे, Verisign, Comodo, और Let's Encrypt. अगर इन सीए का इस्तेमाल किया जाता है, तो इस चरण को छोड़ा जा सकता है.
अगर आपका CA भरोसेमंद नहीं है या आपने अपने रूट CA का इस्तेमाल किया है, तो सर्टिफ़िकेट से जुड़ी गड़बड़ियां ठीक करें में दिया गया तरीका अपनाएं.तीसरा चरण: Configuration Manager सेट अप करना
- Configuration Manager खोलें और LDAP कॉन्फ़िगरेशन पेज पर जाएं.
- कनेक्शन टाइप सेटिंग के लिए, LDAP+SSL चुनें.
- पोर्ट सेटिंग के लिए, 636 (अगर आपने पहले 389 का इस्तेमाल किया था) या 3269 (अगर आपने पहले 3268 का इस्तेमाल किया था) डालें.
- कनेक्शन की जांच करें पर क्लिक करें.
Google, Google Workspace, और इनसे जुड़े चिह्न और लोगो, Google LLC के ट्रेडमार्क हैं. अन्य सभी कंपनी और प्रॉडक्ट के नाम, उन कंपनियों के ट्रेडमार्क हैं जिनसे वे जुड़े हैं.