आपको Google Cloud Directory Sync (GCDS) की लॉग फ़ाइल में, सर्टिफ़िकेट से जुड़ी ये गड़बड़ियां दिख सकती हैं:
- sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
- ldap_simple_bind_s() failed: Strong Authentication Required
इन गड़बड़ियों को ठीक करने के लिए, यहां दिया गया तरीका अपनाएं.
इस पेज पर
- सर्टिफ़िकेट से जुड़ी गड़बड़ियां ठीक करना
- GCDS, निरस्त किए गए सर्टिफ़िकेट की सूचियों की जांच कैसे करता है
- LDAP+SSL पर स्विच करने के बाद, सिंक करने की प्रोसेस धीमी हो जाती है
- Microsoft ADV190023 अपडेट के बाद पुष्टि करना
सर्टिफ़िकेट से जुड़ी गड़बड़ियां ठीक करना
Microsoft Windows के लिए तरीका
vmoption फ़ाइल अपडेट करना
- Configuration Manager को बंद करें.
- GCDS की इंस्टॉलेशन डायरेक्ट्री में, sync-cmd.vmoptions और config-manager.vmoptions फ़ाइलें खोलें.
आम तौर पर, इंस्टॉलेशन डायरेक्ट्री C:\Program Files\Google Cloud Directory Sync होती है.
- इन लाइनों को जोड़ने के लिए, फ़ाइलों में बदलाव करें:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOT
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - Configuration Manager को फिर से चालू करें और LDAP कॉन्फ़िगरेशन पेज पर जाएं.
- कनेक्शन टाइप के लिए, LDAP+SSL चुनें.
- पोर्ट के लिए, इनमें से कोई विकल्प चुनें:
- अगर आपने पहले 389 का इस्तेमाल किया था, तो 636 डालें
- अगर आपने पहले 3268 का इस्तेमाल किया था, तो 3269 डालें.
- कनेक्शन की जांच करें पर क्लिक करें.
- अगर आपको:
- सर्टिफ़िकेट से जुड़ी गड़बड़ी–जिस कंप्यूटर पर GCDS चल रहा है उस पर पक्का करें कि Windows को सर्टिफ़िकेट पर भरोसा है. इसके बाद, दूसरा चरण: सर्वर सर्टिफ़िकेट इंपोर्ट करना (इस पेज पर नीचे) पर जाएं.
- सर्टिफ़िकेट रद्द करने की जांच करने में गड़बड़ी–GCDS, सर्टिफ़िकेट रद्द करने की सूचियों की जांच कैसे करता है में दिया गया तरीका अपनाएं.
- अन्य गड़बड़ियां (उदाहरण के लिए, नेटवर्क की गड़बड़ियां)–GCDS से जुड़ी सामान्य समस्याओं को हल करना पर जाएं.
सर्वर सर्टिफ़िकेट इंपोर्ट करना
इन चरणों का इस्तेमाल, LDAP सर्वर या एचटीटीपी प्रॉक्सी के लिए सर्टिफ़िकेट इंपोर्ट करने के लिए भी किया जा सकता है. ये सर्वर या प्रॉक्सी, खुद हस्ताक्षर किए हुए सर्टिफ़िकेट का इस्तेमाल करते हैं.
- डोमेन कंट्रोलर में साइन इन करें और कमांड प्रॉम्प्ट खोलें.
- डोमेन कंट्रोलर का सर्टिफ़िकेट एक्सपोर्ट करने के लिए, यह निर्देश डालें:
certutil -store My DomainController dccert.cer
- dccert.cer फ़ाइल को उस सर्वर पर कॉपी करें जहां GCDS इंस्टॉल किया गया है.
- एडमिन के तौर पर, कमांड प्रॉम्प्ट खोलें.
- GCDS Java Runtime Environment (JRE) का इंस्टॉलेशन फ़ोल्डर खोलने के लिए, यह कमांड डालें:
cd "c:\Program Files\Google Cloud Directory Sync\jre"
अगर GCDS का 32-बिट वर्शन, 64-बिट Windows सिस्टम पर इंस्टॉल किया गया है, तो cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre" का इस्तेमाल करें
- डोमेन कंट्रोलर का सर्टिफ़िकेट इंपोर्ट करने के लिए, यह निर्देश डालें:
bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc
अगर आपको एक से ज़्यादा सर्टिफ़िकेट इंपोर्ट करने हैं, तो mydc की जगह किसी दूसरे एलियास का इस्तेमाल करके, यह तरीका दोहराएं.
- सर्टिफ़िकेट पर भरोसा करने के लिए, Yes डालें.
- Configuration Manager को बंद करें.
- GCDS की इंस्टॉलेशन डायरेक्ट्री में, टेक्स्ट एडिटर का इस्तेमाल करके sync-cmd.vmoptions और config-manager.vmoptions फ़ाइलें खोलें.
- हर फ़ाइल में, यह जानकारी हटाएं:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTलाइनों को हटाने पर, GCDS, Windows सिस्टम स्टोर के बजाय lib/security/cacerts में मौजूद सर्टिफ़िकेट स्टोर का इस्तेमाल करता है.
- Configuration Manager खोलें. इसके बाद, LDAP कॉन्फ़िगरेशन पेज पर जाएं और कनेक्शन की जांच करें पर क्लिक करें.
- अगर आपको अब भी सर्टिफ़िकेट से जुड़ी गड़बड़ियां दिख रही हैं, तो हो सकता है कि आपको अपने डोमेन कंट्रोलर सर्टिफ़िकेट के बजाय, अपने संगठन के सर्टिफ़िकेट अथॉरिटी (सीए) सर्टिफ़िकेट को इंपोर्ट करना पड़े. इसके लिए, इन चरणों को दोहराएं. हालांकि, इस बार सीए सर्टिफ़िकेट को एक्सपोर्ट और इंपोर्ट करें.
Linux के लिए निर्देश
इन चरणों का इस्तेमाल, LDAP सर्वर या एचटीटीपी प्रॉक्सी के लिए सर्टिफ़िकेट इंपोर्ट करने के लिए भी किया जा सकता है. ये सर्वर या प्रॉक्सी, खुद हस्ताक्षर किए हुए सर्टिफ़िकेट का इस्तेमाल करते हैं.
- डोमेन कंट्रोलर में साइन इन करें और कमांड प्रॉम्प्ट खोलें.
- डोमेन का सर्टिफ़िकेट ढूंढने के लिए, यह कमांड डालें:
certutil -store My DomainController dccert.cer
- dccert.cer फ़ाइल को उस सर्वर पर कॉपी करें जहां GCDS इंस्टॉल किया गया है.
- GCDS Java Runtime Environment (JRE) का इंस्टॉलेशन फ़ोल्डर खोलने के लिए, कमांड प्रॉम्प्ट खोलें और यह कमांड डालें:
cd ~/GoogleCloudDirSync/jre
- डोमेन कंट्रोलर का सर्टिफ़िकेट इंपोर्ट करने के लिए, यह निर्देश डालें:
bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc
अगर आपको एक से ज़्यादा सर्टिफ़िकेट इंपोर्ट करने हैं, तो mydc की जगह किसी दूसरे एलियास का इस्तेमाल करके, यह तरीका दोहराएं.
- सर्टिफ़िकेट पर भरोसा करने के लिए, Yes डालें.
- Configuration Manager को बंद करें.
- GCDS की इंस्टॉलेशन डायरेक्ट्री में, टेक्स्ट एडिटर का इस्तेमाल करके sync-cmd.vmoptions और config-manager.vmoptions फ़ाइलें खोलें.
आम तौर पर, इंस्टॉलेशन डायरेक्ट्री ~/GoogleCloudDirSync होती है.
- हर फ़ाइल में, यह जानकारी हटाएं:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTलाइनों को हटाने पर, GCDS, Windows सिस्टम स्टोर के बजाय lib/security/cacerts में मौजूद सर्टिफ़िकेट स्टोर का इस्तेमाल करता है.
- Configuration Manager खोलें. इसके बाद, LDAP कॉन्फ़िगरेशन पेज पर जाएं और कनेक्शन की जांच करें पर क्लिक करें.
- अगर आपको अब भी सर्टिफ़िकेट से जुड़ी गड़बड़ियां दिख रही हैं, तो हो सकता है कि आपको अपने डोमेन कंट्रोलर सर्टिफ़िकेट के बजाय, अपने संगठन के सर्टिफ़िकेट अथॉरिटी (सीए) सर्टिफ़िकेट को इंपोर्ट करना पड़े. इसके लिए, इन चरणों को दोहराएं. हालांकि, इस बार सीए सर्टिफ़िकेट को एक्सपोर्ट और इंपोर्ट करें.
GCDS, सर्टिफ़िकेट रद्द करने की सूचियों की जांच कैसे करता है
GCDS को Google API (एचटीटीपीएस पर) और SSL पर LDAP से कनेक्ट करते समय, सिक्योर सॉकेट लेयर (एसएसएल) सर्टिफ़िकेट की पुष्टि करनी होती है. GCDS, सर्टिफ़िकेट देने वाली संस्थाओं से एचटीटीपी पर निरस्त किए गए सर्टिफ़िकेट की सूचियां (सीआरएल) वापस पाकर ऐसा करता है. कई बार, ये पुष्टि करने की प्रोसेस पूरी नहीं हो पाती. ऐसा आम तौर पर, प्रॉक्सी या फ़ायरवॉल के एचटीटीपी अनुरोध को ब्लॉक करने की वजह से होता है.
पक्का करें कि GCDS सर्वर, एचटीटीपी (पोर्ट 80) पर इन यूआरएल को ऐक्सेस कर सकता हो:
- http://crl.pki.goog
- http://crls.pki.goog
- http://c.pki.goog
मौजूदा CRL के बारे में जानने के लिए, CRL की जांच पर जाएं. अगर एसएसएल पर एलडीएपी के लिए अपने सर्टिफ़िकेट का इस्तेमाल किया जा रहा है, तो आपको अतिरिक्त यूआरएल की ज़रूरत पड़ सकती है.
अगर CRL का ऐक्सेस नहीं दिया जा सकता, तो CRL की जांच बंद की जा सकती है:
GCDS की इंस्टॉलेशन डायरेक्ट्री में, टेक्स्ट एडिटर का इस्तेमाल करके
<code class="notranslate">sync-cmd.vmoptions</code>और<code class="notranslate">config-manager.vmoptions</code>फ़ाइलें खोलें.आम तौर पर, इंस्टॉलेशन डायरेक्ट्री
<code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code>(Windows) या<code class="notranslate">~/GoogleCloudDirSync</code>(Linux) होती है.फ़ाइलों में ये लाइनें जोड़ें:
-Dcom.sun.net.ssl.checkRevocation=false -Dcom.sun.security.enableCRLDP=false
LDAP+SSL पर स्विच करने के बाद, सिंक करने की प्रोसेस धीमी हो जाती है
अगर आपने LDAP+SSL पर स्विच किया है और सिंक करने की प्रोसेस धीमी हो गई है, तो:
- Configuration Manager बंद करें.
GCDS की इंस्टॉलेशन डायरेक्ट्री में, टेक्स्ट एडिटर का इस्तेमाल करके
<code class="notranslate">sync-cmd.vmoptions</code>और<code class="notranslate">config-manager.vmoptions</code>फ़ाइलें खोलें.आम तौर पर, इंस्टॉलेशन डायरेक्ट्री
<code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code>(Windows) या<code class="notranslate">~/GoogleCloudDirSync</code>(Linux) होती है.इन लाइनों को जोड़ने के लिए, फ़ाइलों में बदलाव करें:
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple
फ़ाइलें सेव करें और सिंक करने की प्रोसेस फिर से शुरू करें.
Microsoft ADV190023 अपडेट के बाद पुष्टि करना
अगर चैनल बाइंडिंग और एलडीएपी पर हस्ताक्षर करने की सुविधा के साथ Microsoft Active Directory का इस्तेमाल किया जा रहा है, तो आपको यह पक्का करने के लिए अतिरिक्त चरण पूरे करने होंगे कि GCDS, एलडीएपी ओवर एसएसएल का इस्तेमाल करके पुष्टि करे. ऐसा न करने पर, GCDS, Active Directory से कनेक्ट नहीं होगा और सिंक करने की प्रोसेस पूरी नहीं हो पाएगी. अगर आपने पहले स्टैंडर्ड एलडीएपी ऑथेंटिकेशन का इस्तेमाल करके सिंक किया था, तब भी आपको यह तरीका अपनाना होगा. Microsoft के एडवाइज़री ADV190023 के बारे में ज़्यादा जानने के लिए, Microsoft के दस्तावेज़ देखें.
अगर पहले से ही LDAP over SSL का इस्तेमाल किया जा रहा है, तो आपको कुछ करने की ज़रूरत नहीं है.
पहला चरण: Active Directory में टीएलएस चालू करना
टीएलएस और एसएसएल टर्म का इस्तेमाल अक्सर एक-दूसरे की जगह पर किया जाता है.
Active Directory में टीएलएस चालू करने के लिए, Microsoft के ये लेख पढ़ें:
दूसरा चरण: पक्का करें कि सर्टिफ़िकेट भरोसेमंद हो
आपके डोमेन कंट्रोलर के सर्टिफ़िकेट पर हस्ताक्षर करने वाली सर्टिफ़िकेट अथॉरिटी (सीए) पर GCDS को भरोसा होना चाहिए. इंटरनेट पर काम करने वाले ज़्यादातर जाने-माने सीए भरोसेमंद होते हैं. जैसे, Verisign, Comodo, और Let's Encrypt. अगर इन सीए का इस्तेमाल किया जाता है, तो इस चरण को छोड़ा जा सकता है.
अगर आपके CA पर भरोसा नहीं किया जाता है या अगर आपने अपने रूट CA का इस्तेमाल किया है, तो सर्टिफ़िकेट से जुड़ी गड़बड़ियां ठीक करें में दिया गया तरीका अपनाएं.तीसरा चरण: Configuration Manager सेट अप करना
- Configuration Manager खोलें और LDAP कॉन्फ़िगरेशन पेज पर जाएं.
- कनेक्शन टाइप सेटिंग के लिए, LDAP+SSL चुनें.
- पोर्ट सेटिंग के लिए, 636 (अगर आपने पहले 389 का इस्तेमाल किया था) या 3269 (अगर आपने पहले 3268 का इस्तेमाल किया था) डालें.
- कनेक्शन की जांच करें पर क्लिक करें.
Google, Google Workspace, और इनसे जुड़े चिह्न और लोगो, Google LLC के ट्रेडमार्क हैं. अन्य सभी कंपनी और प्रॉडक्ट के नाम, उन कंपनियों के ट्रेडमार्क हैं जिनसे वे जुड़े हैं.