แก้ปัญหาเกี่ยวกับใบรับรอง

คุณอาจพบข้อผิดพลาดเกี่ยวกับใบรับรองต่อไปนี้ในไฟล์บันทึก Google Cloud Directory Sync (GCDS)

  • sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
  • ldap_simple_bind_s() failed: Strong Authentication Required

ทำตามขั้นตอนด้านล่างเพื่อแก้ไขข้อผิดพลาดเหล่านี้

ในหน้านี้

แก้ไขข้อผิดพลาดเกี่ยวกับใบรับรอง

ขั้นตอนสำหรับ Microsoft Windows

อัปเดตไฟล์ vmoption

  1. ปิดเครื่องมือจัดการการกำหนดค่า
  2. ในไดเรกทอรีการติดตั้งของ GCDS ให้เปิดไฟล์ sync-cmd.vmoptions และ config-manager.vmoptions

    โดยปกติแล้วไดเรกทอรีการติดตั้งจะอยู่ที่ C:\Program Files\Google Cloud Directory Sync

  3. แก้ไขไฟล์เพื่อเพิ่มบรรทัดต่อไปนี้

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT
    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. รีสตาร์ทเครื่องมือจัดการการกำหนดค่า แล้วไปที่หน้าการกำหนดค่า LDAP
  5. สำหรับประเภทการเชื่อมต่อ ให้ระบุ LDAP + SSL
  6. ในส่วนพอร์ต ให้เลือกตัวเลือกดังนี้
    • หากก่อนหน้านี้ใช้ 389 ให้ระบุ 636
    • หากก่อนหน้านี้ใช้ 3268 ให้ระบุ 3269
  7. คลิกทดสอบการเชื่อมต่อ
  8. หากคุณได้รับข้อความต่อไปนี้
    • ข้อผิดพลาดของใบรับรอง - ในคอมพิวเตอร์ที่ GCDS ทำงานอยู่ ให้ตรวจสอบว่าใบรับรองดังกล่าวเป็นใบรับรองที่ Windows เชื่อถือ จากนั้นไปที่ขั้นตอนที่ 2: นำเข้าใบรับรองเซิร์ฟเวอร์ (ด้านล่างในหน้านี้)
    • ข้อผิดพลาดในการตรวจสอบการยกเลิกใบรับรอง - ทำตามขั้นตอนในวิธีที่ GCDS ตรวจสอบรายการยกเลิกใบรับรอง
    • ข้อผิดพลาดอื่นๆ (เช่น ข้อผิดพลาดเกี่ยวกับเครือข่าย) - ไปที่แก้ปัญหาทั่วไปเกี่ยวกับ GCDS

นำเข้าใบรับรองเซิร์ฟเวอร์

คุณยังใช้ขั้นตอนเหล่านี้เพื่อนำเข้าใบรับรองสำหรับเซิร์ฟเวอร์ LDAP หรือพร็อกซี HTTP ที่ใช้ใบรับรองแบบ Self-signed ได้อีกด้วย

  1. ลงชื่อเข้าใช้ตัวควบคุมโดเมนและเปิด Command Prompt
  2. หากต้องการส่งออกใบรับรองของตัวควบคุมโดเมน ให้ป้อนคำสั่งต่อไปนี้

    certutil -store My DomainController dccert.cer

  3. คัดลอกไฟล์ dccert.cer ไปยังเซิร์ฟเวอร์ที่ติดตั้ง GCDS ไว้
  4. ในฐานะผู้ดูแลระบบ ให้เปิด Command Prompt
  5. หากต้องการเปิดโฟลเดอร์การติดตั้ง Java Runtime Environment (JRE) ของ GCDS ให้ป้อนคำสั่งต่อไปนี้

    cd "c:\Program Files\Google Cloud Directory Sync\jre"

    หากคุณใช้ GCDS เวอร์ชัน 32 บิตที่ติดตั้งในระบบ Windows เวอร์ชัน 64 บิต ให้ใช้ cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre"

  6. หากต้องการนำเข้าใบรับรองของตัวควบคุมโดเมน ให้ป้อนคำสั่งต่อไปนี้

    bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc

    หากคุณต้องการนำเข้าใบรับรองมากกว่า 1 รายการ ให้ทำขั้นตอนเหล่านี้ซ้ำโดยใช้ชื่อแทนอื่นแทนที่ mydc

  7. ป้อน Yes เพื่อระบุว่าคุณเชื่อถือใบรับรอง
  8. ปิดเครื่องมือจัดการการกำหนดค่า
  9. ในไดเรกทอรีการติดตั้งของ GCDS ให้ใช้เครื่องมือแก้ไขข้อความเพื่อเปิดไฟล์ sync-cmd.vmoptions และ config-manager.vmoptions
  10. นำบรรทัดต่อไปนี้ออกจากแต่ละไฟล์

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    เมื่อคุณนำบรรทัดดังกล่าวออก GCDS จะใช้ที่เก็บใบรับรองใน lib/security/cacerts แทนที่เก็บในระบบ Windows

  11. เปิดเครื่องมือจัดการการกำหนดค่า จากนั้นไปที่หน้าการกำหนดค่า LDAP แล้วคลิกทดสอบการเชื่อมต่อ
  12. หากยังพบข้อผิดพลาดเกี่ยวกับใบรับรอง คุณอาจต้องนำเข้าใบรับรอง Certificate Authority (CA) ขององค์กรแทนใบรับรองตัวควบคุมโดเมน โดยให้ทำซ้ำขั้นตอนเหล่านี้ แต่ส่งออกและนำเข้าใบรับรอง CA แทน

ขั้นตอนสำหรับ Linux

คุณยังใช้ขั้นตอนเหล่านี้เพื่อนำเข้าใบรับรองสำหรับเซิร์ฟเวอร์ LDAP หรือพร็อกซี HTTP ที่ใช้ใบรับรองแบบ Self-signed ได้อีกด้วย

  1. ลงชื่อเข้าใช้ตัวควบคุมโดเมนและเปิด Command Prompt
  2. หากต้องการค้นหาใบรับรองโดเมน ให้ป้อนคำสั่งต่อไปนี้

    certutil -store My DomainController dccert.cer

  3. คัดลอกไฟล์ dccert.cer ไปยังเซิร์ฟเวอร์ที่ติดตั้ง GCDS ไว้
  4. หากต้องการเปิดโฟลเดอร์การติดตั้ง Java Runtime Environment (JRE) ของ GCDS ให้เปิด Command Prompt แล้วป้อนคำสั่งต่อไปนี้

    cd ~/GoogleCloudDirSync/jre

  5. หากต้องการนำเข้าใบรับรองของตัวควบคุมโดเมน ให้ป้อนคำสั่งต่อไปนี้

    bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc

    หากคุณต้องการนำเข้าใบรับรองมากกว่า 1 รายการ ให้ทำขั้นตอนเหล่านี้ซ้ำโดยใช้ชื่อแทนอื่นแทนที่ mydc

  6. ป้อน Yes เพื่อระบุว่าคุณเชื่อถือใบรับรอง
  7. ปิดเครื่องมือจัดการการกำหนดค่า
  8. ในไดเรกทอรีการติดตั้งของ GCDS ให้ใช้เครื่องมือแก้ไขข้อความเพื่อเปิดไฟล์ sync-cmd.vmoptions และ config-manager.vmoptions

    โดยปกติแล้วไดเรกทอรีการติดตั้งจะอยู่ที่ ~/GoogleCloudDirSync

  9. นำบรรทัดต่อไปนี้ออกจากแต่ละไฟล์

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    เมื่อคุณนำบรรทัดดังกล่าวออก GCDS จะใช้ที่เก็บใบรับรองใน lib/security/cacerts แทนที่เก็บในระบบ Windows

  10. เปิดเครื่องมือจัดการการกำหนดค่า จากนั้นไปที่หน้าการกำหนดค่า LDAP แล้วคลิกทดสอบการเชื่อมต่อ
  11. หากยังพบข้อผิดพลาดเกี่ยวกับใบรับรอง คุณอาจต้องนำเข้าใบรับรอง Certificate Authority (CA) ขององค์กรแทนใบรับรองตัวควบคุมโดเมน โดยให้ทำซ้ำขั้นตอนเหล่านี้ แต่ส่งออกและนำเข้าใบรับรอง CA แทน

วิธีที่ GCDS ตรวจสอบรายการยกเลิกใบรับรอง

GCDS ต้องตรวจสอบใบรับรอง Secure Sockets Layer (SSL) เมื่อเชื่อมต่อกับ Google API (ผ่าน HTTPS) และ LDAP ผ่าน SSL โดย GCDS จะเรียกดูรายการยกเลิกใบรับรอง (CRL) จากผู้ออกใบรับรองผ่าน HTTP การตรวจสอบดังกล่าวอาจดำเนินการไม่สำเร็จในบางครั้ง ซึ่งมักจะเกิดจากการที่พร็อกซีหรือไฟร์วอลล์บล็อกคำขอ HTTP ไว้

โปรดตรวจสอบว่าเซิร์ฟเวอร์ GCDS เข้าถึง URL ต่อไปนี้ผ่าน HTTP (พอร์ต 80) ได้

  • http://crl.pki.goog
  • http://crls.pki.goog
  • http://c.pki.goog

โปรดดูรายละเอียดเกี่ยวกับ CRL ปัจจุบันที่หัวข้อการตรวจสอบ CRL หากใช้ใบรับรองของตนเองในการเชื่อมต่อ LDAP ผ่าน SSL คุณอาจต้องใช้ URL เพิ่มเติม

หากอนุญาตให้เข้าถึง CRL ไม่ได้ คุณจะปิดการตรวจสอบ CRL ได้ดังนี้

  1. ในไดเรกทอรีการติดตั้งของ GCDS ให้เปิดไฟล์ <code class="notranslate">sync-cmd.vmoptions</code> และ <code class="notranslate">config-manager.vmoptions</code> โดยใช้เครื่องมือแก้ไขข้อความ

    โดยปกติแล้วไดเรกทอรีการติดตั้งจะอยู่ที่ <code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code> (Windows) หรือ <code class="notranslate">~/GoogleCloudDirSync</code> (Linux)

  2. เพิ่มบรรทัดต่อไปนี้ลงในไฟล์

    -Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false

การซิงค์ช้าลงหลังจากเปลี่ยนเป็น LDAP+SSL

หากคุณเปลี่ยนไปใช้ LDAP+SSL แล้วกระบวนการซิงค์ช้าลง ให้ทำดังนี้

  1. ปิดเครื่องมือจัดการการกำหนดค่า

  2. ในไดเรกทอรีการติดตั้งของ GCDS ให้เปิดไฟล์ <code class="notranslate">sync-cmd.vmoptions</code> และ <code class="notranslate">config-manager.vmoptions</code> โดยใช้เครื่องมือแก้ไขข้อความ

    โดยปกติแล้วไดเรกทอรีการติดตั้งจะอยู่ที่ <code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code> (Windows) หรือ <code class="notranslate">~/GoogleCloudDirSync</code> (Linux)

  3. แก้ไขไฟล์เพื่อเพิ่มบรรทัดต่อไปนี้

    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. บันทึกไฟล์และลองซิงค์อีกครั้ง

ต้องตรวจสอบสิทธิ์หลังจากอัปเดต Microsoft ADV190023

หากใช้ Microsoft Active Directory ร่วมกับการเชื่อมโยงช่องทางและการลงชื่อ LDAP ที่เปิดไว้ คุณต้องทำตามขั้นตอนเพิ่มเติมเพื่อให้มั่นใจว่า GCDS จะตรวจสอบสิทธิ์โดยใช้ LDAP ผ่าน SSL มิฉะนั้น GCDS จะไม่เชื่อมต่อกับ Active Directory และทำให้ซิงค์ข้อมูลไม่ได้ คุณต้องทำตามขั้นตอนเหล่านี้แม้ว่าคุณจะเรียกใช้การซิงค์ก่อนหน้านี้โดยใช้การตรวจสอบสิทธิ์ LDAP มาตรฐานแล้วก็ตาม โปรดดูรายละเอียดเกี่ยวกับคำแนะนำเรื่อง ADV190023 ของ Microsoft ในเอกสารประกอบของ Microsoft

หากใช้ LDAP ผ่าน SSL ได้อยู่แล้ว คุณไม่จำเป็นต้องทำตามขั้นตอนเพิ่มเติมใดๆ

ขั้นตอนที่ 1: เปิดใช้ TLS ใน Active Directory

ขั้นตอนที่ 2: ตรวจสอบว่าใบรับรองนั้นเชื่อถือได้

ผู้ออกใบรับรอง (CA) ที่ลงนามใบรับรองของเครื่องมือควบคุมโดเมนจะต้องได้รับการเชื่อถือจาก GCDS CA อินเทอร์เน็ตชื่อดังที่เชื่อถือได้ คือ Verisign, Comodo และ Let's Encrypt เป็นต้น หากใช้ CA เหล่านี้อยู่ คุณสามารถข้ามขั้นตอนนี้ได้

หาก CA ไม่ได้รับการเชื่อถือ หรือหากใช้ CA หลักของคุณเอง ให้ทำตามขั้นตอนด้านบนในหัวข้อแก้ปัญหาข้อผิดพลาดเกี่ยวกับใบรับรอง

ขั้นตอนที่ 3: ตั้งค่าเครื่องมือจัดการการกำหนดค่า

  1. เปิดเครื่องมือจัดการการกำหนดค่า แล้วไปที่หน้าการกำหนดค่า LDAP
  2. สำหรับการตั้งค่าประเภทการเชื่อมต่อ ให้ระบุ LDAP + SSL
  3. สำหรับการตั้งค่าพอร์ต ให้ระบุ 636 (หากก่อนหน้านี้ใช้ 389) หรือ 3269 (หากก่อนหน้านี้ใช้ 3268)
  4. คลิกทดสอบการเชื่อมต่อ


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของบริษัทที่เกี่ยวข้อง