Sertifikalarla ilgili sorunları giderme

Google Cloud Directory Sync (GCDS) günlük dosyanızda sertifikalarla ilgili olarak aşağıdaki hataları görebilirsiniz:

  • sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
  • ldap_simple_bind_s() failed: Strong Authentication Required

Bu hataları düzeltmek için aşağıdaki adımları uygulayın.

Bu sayfada

Sertifikalarla ilgili hataları düzeltme

Microsoft Windows için adımlar

vmoption dosyasını güncelleme

  1. Configuration Manager'ı kapatın.
  2. GCDS'nin yükleme dizininde sync-cmd.vmoptions ve config-manager.vmoptions dosyalarını açın.

    Yükleme dizini genellikle C:\Program Files\Google Cloud Directory Sync şeklindedir.

  3. Aşağıdaki satırları ekleyerek dosyaları düzenleyin:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT
    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Configuration Manager'ı yeniden başlatın ve LDAP Configuration (LDAP Yapılandırması) sayfasına gidin.
  5. Connection type (Bağlantı türü) olarak LDAP+SSL seçeneğini belirleyin.
  6. Bağlantı noktası için bir seçenek belirleyin:
    • Daha önce 389 kullandıysanız 636 değerini girin.
    • Daha önce 3268 kullandıysanız 3269 değerini girin.
  7. Bağlantıyı test et'i tıklayın.
  8. Aşağıdaki hataları alırsanız:
    • Sertifika hatası: GCDS'nin çalıştığı bilgisayarda, sertifikanın Windows için güvenli olup olmadığını kontrol edin. Ardından, bu sayfanın alt kısmında yer alan 2. adım: Sunucu sertifikasını içe aktarın bölümüne geçin.
    • Sertifika iptali kontrol hatası: GCDS sertifika iptal listelerini nasıl kontrol ediyor? başlıklı makaledeki adımları uygulayın.
    • Diğer hatalar (ör. ağ hataları): Yaygın GCDS sorunlarını giderme başlıklı makaleyi inceleyin.

Sunucu sertifikasını içe aktarma

LDAP sunucuları veya kendinden imzalı sertifikalar kullanan HTTP proxy'lerin sertifikalarını içe aktarmak için de bu adımları kullanabilirsiniz.

  1. Etki alanı denetleyicisinde oturum açıp bir komut istemi açın.
  2. Etki alanı denetleyicisi sertifikasını dışa aktarmak için aşağıdaki komutu girin:

    certutil -store My DomainController dccert.cer

  3. dccert.cer dosyasını GCDS'nin yüklü olduğu sunucuya kopyalayın.
  4. Yönetici olarak bir komut istemi açın.
  5. GCDS Java Runtime Environment (JRE) yükleme klasörünü açmak için aşağıdaki komutu girin:

    cd "c:\Program Files\Google Cloud Directory Sync\jre"

    GCDS'nin 32 bit sürümünü 64 bit bir Windows sisteminde kullanıyorsanız cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre" dizinini kullanın

  6. Etki alanı denetleyicisinin sertifikasını içe aktarmak için aşağıdaki komutu girin:

    bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc

    Birden fazla sertifikayı içe aktarmanız gerekiyorsa mydc yerine farklı bir takma ad kullanarak bu adımları tekrarlayın.

  7. Sertifikaya güvenmek için Yes (Evet) yazın.
  8. Configuration Manager'ı kapatın.
  9. Bir metin düzenleyici kullanarak GCDS'nin yükleme dizinindeki sync-cmd.vmoptions ve config-manager.vmoptions dosyalarını açın.
  10. Her iki dosyada da şu satırları kaldırın:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    Satırları kaldırdığınızda GCDS, Windows sistem deposu yerine lib/security/cacerts sertifika deposunu kullanır.

  11. Configuration Manager'ı açın, LDAP Configuration (LDAP Yapılandırması) sayfasına gidin ve Test Connections (Bağlantıları Test Et) seçeneğini tıklayın.
  12. Sertifikalarla ilgili hataları görmeye devam ediyorsanız alan denetleyici sertifikanız yerine kuruluşunuzun Sertifika Yetkilisi (CA) sertifikasını içe aktarmanız gerekebilir. Bunu yapmak için ilgili adımları tekrarlayın ancak CA sertifikasını dışa aktarıp içe aktarın.

Linux için adımlar

LDAP sunucuları veya kendinden imzalı sertifikalar kullanan HTTP proxy'lerin sertifikalarını içe aktarmak için de bu adımları kullanabilirsiniz.

  1. Etki alanı denetleyicisinde oturum açıp bir komut istemi açın.
  2. Alan sertifikasını bulmak için aşağıdaki komutu girin:

    certutil -store My DomainController dccert.cer

  3. dccert.cer dosyasını GCDS'nin yüklü olduğu sunucuya kopyalayın.
  4. GCDS Java Runtime Environment (JRE) yükleme klasörünü açmak için bir komut istemi açın ve aşağıdaki komutu girin:

    cd ~/GoogleCloudDirSync/jre

  5. Etki alanı denetleyicisinin sertifikasını içe aktarmak için aşağıdaki komutu girin:

    bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc

    Birden fazla sertifikayı içe aktarmanız gerekiyorsa mydc yerine farklı bir takma ad kullanarak bu adımları tekrarlayın.

  6. Sertifikaya güvenmek için Yes (Evet) yazın.
  7. Configuration Manager'ı kapatın.
  8. Bir metin düzenleyici kullanarak GCDS'nin yükleme dizininde sync-cmd.vmoptions ve config-manager.vmoptions dosyalarını açın.

    Yükleme dizini genellikle ~/GoogleCloudDirSync şeklindedir.

  9. Her iki dosyada da şu satırları kaldırın:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    Satırları kaldırdığınızda GCDS, Windows sistem deposu yerine lib/security/cacerts sertifika deposunu kullanır.

  10. Configuration Manager'ı açın, LDAP Configuration (LDAP Yapılandırması) sayfasına gidin ve Test Connections (Bağlantıları Test Et) seçeneğini tıklayın.
  11. Sertifikalarla ilgili hataları görmeye devam ediyorsanız alan denetleyici sertifikanız yerine kuruluşunuzun Sertifika Yetkilisi (CA) sertifikasını içe aktarmanız gerekebilir. Bunu yapmak için ilgili adımları tekrarlayın ancak CA sertifikasını dışa aktarıp içe aktarın.

GCDS, sertifika iptal listelerini nasıl kontrol eder?

GCDS'nin HTTPS üzerinden Google API'lerine ve SSL üzerinden LDAP'ye bağlanırken Güvenli Yuva Katmanı (SSL) sertifikalarını doğrulaması gerekir. GCDS bu işlemi, sertifika yetkililerinden, HTTP aracılığıyla sertifika iptal listelerini alarak yapar. Bazen, genellikle HTTP isteğini engelleyen bir proxy veya güvenlik duvarı nedeniyle bu doğrulamalar başarısız olur.

GCDS sunucusunun aşağıdaki URL'lere HTTP üzerinden (bağlantı noktası 80) erişebildiğinden emin olun:

  • http://crl.pki.goog
  • http://crls.pki.goog
  • http://c.pki.goog

Geçerli CRL'lerle ilgili ayrıntıları CRL kontrolü bölümünde bulabilirsiniz. SSL üzerinden LDAP bağlantısı için kendi sertifikalarınızı kullanıyorsanız ek URL'ler gerekebilir.

CRL erişimine izin veremiyorsanız CRL kontrollerini devre dışı bırakabilirsiniz:

  1. Bir metin düzenleyici kullanarak GCDS'nin yükleme dizinindeki <code class="notranslate">sync-cmd.vmoptions</code> ve <code class="notranslate">config-manager.vmoptions</code> dosyalarını açın.

    Yükleme dizini genellikle <code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code> (Windows) veya <code class="notranslate">~/GoogleCloudDirSync</code> (Linux) şeklindedir.

  2. Dosyalara şu satırları ekleyin:

    -Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false

LDAP+SSL'ye geçtikten sonra senkronizasyon yavaşladı

LDAP+SSL'ye geçtikten sonra senkronizasyon yavaşladıysa:

  1. Configuration Manager'ı kapatın.

  2. Bir metin düzenleyici kullanarak GCDS'nin yükleme dizininde <code class="notranslate">sync-cmd.vmoptions</code> ve <code class="notranslate">config-manager.vmoptions</code> dosyalarını açın.

    Yükleme dizini genellikle <code class="notranslate">C:\Program Files\Google Cloud Directory Sync</code> (Windows) veya <code class="notranslate">~/GoogleCloudDirSync</code> (Linux) şeklindedir.

  3. Aşağıdaki satırları ekleyerek dosyaları düzenleyin:

    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Dosyaları kaydedin ve senkronizasyonu yeniden gerçekleştirmeyi deneyin.

Microsoft ADV190023 güncellemesinden sonra kimlik doğrulamayı kullanma

Microsoft Active Directory'yi kanal bağlama ve LDAP imzalama işlevleri etkin şekilde kullanıyorsanız GCDS'nin SSL üzerinden LDAP kullanarak kimlik doğrulaması yapabilmesi için bazı ek adımları uygulamanız gerekir. Aksi takdirde GCDS, Active Directory'ye bağlanmaz ve senkronizasyonlarınız başarısız olur. Daha önce Standart LDAP kimlik doğrulamasını kullanarak bir senkronizasyon çalıştırmış olsanız bile bu adımları uygulamanız gerekir. Microsoft önerisi ADV190023 ile ilgili ayrıntılar için Microsoft dokümanlarınıza bakın.

SSL üzerinden LDAP'yi başarıyla kullanıyorsanız herhangi bir adım atmanıza gerek yoktur.

1. adım: Active Directory'de TLS'yi etkinleştirin

TLS ve SSL terimleri genellikle birbirinin yerine kullanılır.

Active Directory'de TLS'yi etkinleştirme hakkında bilgi edinmek için şu Microsoft makalelerini inceleyin:

2. adım: Sertifikanın güvenilir olduğundan emin olun

Alan denetleyicinizin sertifikasını imzalayan Sertifika Yetkilisine (CA) GCDS tarafından güvenilmelidir. Verisign, Comodo ve Let's Encrypt gibi tanınmış internet tabanlı CA'lara güvenilir. Bu CA'ları kullanıyorsanız bu adımı atlayabilirsiniz.

CA'nız güvenilenler arasında değilse veya kendi kök CA'nızı kullanıyorsanız yukarıdaki Sertifikalarla ilgili hataları giderme bölümündeki adımları uygulayın.

3. adım: Configuration Manager'ı kurun

  1. Configuration Manager'ı açın ve LDAP Configuration (LDAP Yapılandırması) sayfasına gidin.
  2. Connection type (Bağlantı türü) ayarı için LDAP+SSL'yi belirtin.
  3. Port (Bağlantı noktası) ayarı için 636 (daha önce 389 kullandıysanız) veya 3269 (daha önce 3268 kullandıysanız) değerini belirtin.
  4. Bağlantıyı test et'i tıklayın.


Google, Google Workspace ve ilgili markalar ile logolar Google LLC şirketinin ticari markalarıdır. Diğer tüm şirket ve ürün adları, ilişkili oldukları şirketlerin ticari markalarıdır.