Rozwiązywanie typowych problemów z GCDS

Rozwiązywanie problemów związanych z konfiguracją przy użyciu menedżera konfiguracji

Jeśli masz problemy z prawidłowym działaniem synchronizacji, sprawdź poprawność informacji konfiguracyjnych w Menedżerze konfiguracji i zanotuj, który test się nie powiódł:

1. W Menedżerze konfiguracji otwórz plik XML, którego używasz do konfigurowania synchronizacji.
2. Na stronie LDAP Connections (Połączenia LDAP) kliknij Test Connections (Testuj połączenia), aby sprawdzić, czy możesz połączyć się z serwerem LDAP.
3. Na stronie Notifications (Powiadomienia) kliknij Test Notification (Powiadomienie testowe), aby sprawdzić, czy możesz wysłać powiadomienie testowe.
4. Na stronie Sync (Synchronizacja) kliknij Simulate Sync (Symulacja synchronizacji), aby sprawdzić, czy wszystkie wymagane pola są wypełnione i synchronizacja działa.

Jak włączyć pełne rejestrowanie HTTP żądań interfejsu API?

W rzadkich przypadkach pracownik pomocy może poprosić o włączenie w GCDS pełnego rejestrowania HTTP oraz rejestrowania na poziomie śledzenia. Pełne rejestrowanie HTTP jest używane do sprawdzania żądań interfejsu API wysyłanych przez GCDS oraz odpowiedzi interfejsu API Google.

Ważne: pełne dzienniki HTTP mogą zawierać informacje poufne. Zanim wyślesz dzienniki do działu pomocy, usuń wszystkie informacje poufne, takie jak wartości w polach tokenu odświeżania (refresh_token) czy tokenu dostępu (access_token).

Aby włączyć pełne rejestrowanie HTTP:

1. Upewnij się, że narzędzie GCDS jest wyłączone (przy użyciu polecenia sync-cmd lub Menedżera konfiguracji).
2. Przejdź do folderu instalacyjnego GCDS.

3. Otwórz do edycji plik jre/lib/logging.properties.

4. Na końcu pliku dodaj te wiersze:

   java.util.logging.FileHandler.pattern = %h/gcdshttp%u.%g.log
   java.util.logging.FileHandler.limit = 5000000
   java.util.logging.FileHandler.count = 100
   java.util.logging.FileHandler.formatter = java.util.logging.SimpleFormatter
   handlers = java.util.logging.FileHandler
   com.google.api.client.http.level = CONFIG
   
   com.google.gdata.client.http.HttpGDataRequest.level = ALL
   sun.net.www.protocol.http.HttpURLConnection.level = ALL

5. Zapisz plik.
6. Uruchom kolejną synchronizację GCDS z rejestrowaniem ustawionym na Trace (Śledzenie).

   Pliki dziennika o nazwie gcdshttp*.log są tworzone w katalogu domowym (Linux) lub folderze profilu (Microsoft Windows). Zarchiwizuj te pliki, bo mogą być dość duże.

7. Aby zapobiec tworzeniu dużych plików w przyszłości, usuń wiersze dodane w kroku 4.
8. Przekaż zespołowi pomocy te pliki:
   • Plik XML
   • Dzienniki na poziomie śledzenia i pliki gcdshttp*.log z ostatniej synchronizacji

WSKAZÓWKA: jeśli chcesz włączyć logowanie dla nowej klasy, dodaj wiersz w formacie class.fqdn.level = ALL. Nie musisz duplikować całego bloku konfiguracji.

Używanie serwera proxy debugowania

Treść zarejestrowanego żądania i odpowiedzi ma limit rozmiaru wynoszący 16 KB. Jeśli wpis logu został obcięty z powodu przekroczenia tego limitu, użyj serwera proxy debugowania, np. Fiddlera.

Aby włączyć Fiddlera, wykonaj te czynności:

1. Przejdź do ścieżki, w której zainstalowano GCDS, np. C:\Program Files\Google Cloud Directory Sync.
2. Aby wyłączyć sprawdzanie listy CRL, dodaj te flagi do plików .vmoptions (np. config-manager.vmoptions lub sync-cmd.vmoptions):

   -Dcom.sun.security.enableCRLDP=false

   -Dcom.sun.net.ssl.checkRevocation=false

Aby zmiany zaczęły obowiązywać, ponownie uruchom GCDS.

1. Skonfiguruj Fiddlera jako serwer proxy w ustawieniach serwera proxy konfiguracji domeny Google. W polu nazwy hosta dodaj lokalny adres IP 127.0.0.1. Domyślny port to 8888, ale możesz to sprawdzić, otwierając Fiddlera, klikając kolejno Options (Opcje) > Connections (Połączenia) i sprawdzając wartość w polu „Fiddler Classiclistens on port” (Fiddler Classic nasłuchuje na porcie).

Jeśli używasz GCDS w systemie Linux, nie możesz korzystać z magazynu zaufanych certyfikatów systemu Windows, więc musisz zaimportować certyfikat główny Fiddlera do magazynu zaufanych certyfikatów Java GCDS. Szczegółowe informacje o tych czynnościach znajdziesz w artykule Rozwiązywanie problemów związanych z certyfikatami.

Problem z konfiguracją hosta usługi przekaźnika SMTP

Jeśli masz problemy ze skonfigurowaniem hosta usługi przekaźnika SMTP na potrzeby powiadomień, spróbuj je rozwiązać zgodnie z tymi instrukcjami.

Wiadomość o nieudanym połączeniu i nieznanym hoście SMTP

1. Otwórz wiersz polecenia.
2. Aby sprawdzić, czy skonfigurowana nazwa hosta serwera SMTP jest adresem IP, wpisz to polecenie:

   nslookup smtp-nazwa hosta.com

Wiadomość o nieudanej próbie nawiązania połączenia oraz braku połączenia z hostem SMTP

Sprawdź, czy serwer, na którym działa GCDS, może połączyć się z hostem SMTP.

1. Aby sprawdzić połączenie, w wierszu poleceń lub terminalu systemu Windows wpisz to polecenie:

   telnet smtp.gmail.com 587

2. Jeśli host nie może się połączyć, sprawdź reguły zapory sieciowej ruchu przychodzącego na serwerze SMTP i reguły zapory sieciowej ruchu wychodzącego na serwerze GCDS.
3. Upewnij się, że zezwolono na ruch na porcie SMTP.

Błąd w logach dotyczący nieudanej konwersji protokołu socket na TLS

Wyłączenia sprawdzania listy odwołanych certyfikatów (CRL). Więcej informacji znajdziesz w sekcji Jak GCDS sprawdza listy odwołanych certyfikatów.

Jak otworzyć plik XML zapisany na innym komputerze lub zapisany przez innego użytkownika na tym samym komputerze?

Instrukcje otwierania pliku XML, który został zapisany na innym komputerze lub przez innego użytkownika na tym samym komputerze, możesz znaleźć w artykule Praca z plikami konfiguracji.

Jak eksportować dane z katalogu LDAP?

Jeśli dane LDAP w dziennikach na poziomie śledzenia nie są zgodne z oczekiwaniami w przypadku serwera LDAP (na przykład nie można znaleźć użytkownika lub atrybut ma nieprawidłową wartość), wyeksportuj dane z katalogu LDAP w formacie LDIF. Zespół pomocy może porównać dane z danymi LDAP z dzienników GCDS.

Po wyeksportowaniu danych użyj narzędzia do wysyłania zapytań LDAP, takiego jak ldapsearch (Linux) lub ldifde (Windows), i przeprowadź symulację warunków, w których działa GCDS:

• Użyj tych samych ustawień połączenia co w GCDS.
• Uruchom narzędzie do wysyłania zapytań na tym samym komputerze, na którym działa GCDS.
• Użyj tej samej nazwy użytkownika do uwierzytelniania LDAP w GCDS.

Przykład

Dzienniki GCDS nie zawierają atrybutu mail użytkowników, a reguły wyszukiwania GCDS mają te ustawienia:

• Podstawowa nazwa wyróżniająca: ou=Ireland,dc=altostrat,dc=com
• Zakres: drzewo podrzędne
• Filtr wyszukiwania: (&(objectCategory=person)(objectClass=user))
• Serwer: dc01.altostrat.com
• Port: 636
• Protokół: LDAP+SSL
• Nazwa wyróżniająca użytkownika uwierzytelniania: cn=GCDS,ou=Users,dc=altostrat,dc=com

Użyj tych poleceń:

• Linux: ldapsearch -v -b "ou=Ireland,dc=altostrat,dc=com" -s sub -h dc01.altostrat.com -p 636 -x -Z -D "cn=GCDS,ou=Users,dc=altostrat,dc=com" "(&(objectCategory=person)(objectClass=user))" mail givenname uniqueidentifier sn > out.ldif (w zależności od systemu może być konieczna modyfikacja polecenia).
• Windows: ldifde -f out.ldif -s dc01.altostrat.com -v -t 636 -d "ou=Ireland,dc=altostrat,dc=com" -r "(&(objectCategory=person)(objectClass=user))" -p SubTree -l mail,givenname,uniqueidentifier,sn -a "cn=GCDS,ou=Users,dc=altostrat,dc=com" PASSWORD (zastąp PASSWORD hasłem użytkownika LDAP ustawionym w GCDS).

Jeśli plik wynikowy (out.ldif) nie zawiera atrybutu mail odpowiedniego użytkownika, oznacza to, że wystąpił problem z infrastrukturą LDAP. Może on być związany z uprawnieniami konta użytkownika, którego używasz do uzyskiwania dostępu do LDAP (na przykład OpenLDAP i Active Directory zezwalają na ustawianie uprawnień na poziomie atrybutów). Jeśli używasz portu katalogu globalnego, takiego jak 3268 lub 3269, atrybut może się nie powielić w katalogu globalnym.

Jeśli dane wyjściowe zawierają atrybut mail odpowiedniego użytkownika, przekaż zespołowi pomocy Google Workspace te informacje:

• plik out.ldif;
• zrzut ekranu wiersza poleceń lub okna terminala, w którym uruchomiono polecenie
  (pamiętaj, aby najpierw usunąć hasło);
• Dziennik GCDS na poziomie śledzenia

Czy potrzebuję serwera powiadomień, aby przeprowadzić symulowaną synchronizację?

Aby przeprowadzić symulowaną synchronizację, potrzebujesz serwera zdolnego do wysyłania poczty. Jeśli GCDS działa na serwerze poczty, możesz użyć adresu IP 127.0.0.1 jako adresu serwera poczty. W innym przypadku skontaktuj się z administratorem poczty, aby uzyskać odpowiednie informacje.

Dlaczego GCDS nie przeprowadza synchronizacji z poziomu wiersza poleceń?

Jeśli synchronizacja jest uruchamiana za pomocą wiersza poleceń, sprawdź, czy użyto w nim argumentu -o lub --oneinstance.

Jeśli użyjesz jednego z tych argumentów, GCDS utworzy plik LOCK (.lock) powiązany z plikiem konfiguracji w formacie XML. Jeśli na tym samym serwerze znajdzie się inny plik LOCK, GCDS nie uruchomi synchronizacji, aby zapobiec jednoczesnemu uruchamianiu wielu wystąpień GCDS.

Jeśli nie ma żadnego innego wystąpienia GCDS, poszukaj innego pliku LOCK na serwerze. Usuń ten plik ręcznie i spróbuj ponownie przeprowadzić synchronizację.

Synchronizacja nie została ukończona. Czy to może być problem związany z interfejsem API?

Jeśli synchronizacja nie została ukończona (np. nie zsynchronizowano wszystkich członków grupy), być może wystąpił problem z interfejsem Directory API. Aby sprawdzić, czy problem jest związany z interfejsem API, a nie z usługą GCDS, wywołaj ręcznie interfejs Directory API i sprawdź wyniki. Aby ręcznie wywołać interfejs API, wybierz jedną z 2 opcji.

Opcja 1. Skorzystaj ze strony z dokumentacją API

1. Przejdź do omówienia dokumentacji Admin SDK API.
2. Po lewej stronie kliknij Directory API, a następnie w obszarze REST Resources (Zasoby REST) przejdź do zasobu REST, do którego chcesz wysłać zapytanie.
3. Po prawej stronie kliknij metodę, którą chcesz wypróbować, a potem kliknij Wypróbuj.

   Jeśli na stronie z dokumentacją API nie wyświetla się opcja Wypróbuj, przejdź do opcji 2. Użyj OAuth 2.0 Playground.

4. Wpisz dane logowania administratora użyte do autoryzacji GCDS.

   Szczegółowe informacje znajdziesz w sekcji Definiowanie ustawień domeny Google.

5. Sprawdź informacje, aby mieć pewność, że odpowiedź interfejsu API była zgodna z oczekiwaniami.

Opcja 2. Użyj OAuth 2.0 Playground

1. Otwórz OAuth 2.0 Playground.
2. Wybierz opcję:
   • Wybierz zakres z listy.
   • Skopiuj zakres z listy Zakresy autoryzacji na stronie z dokumentacją API. Następnie wklej zakres w polu Input your own scopes (Wpisz własne zakresy).
3. Kliknij Autoryzuj interfejsy API.
4. Wpisz dane logowania administratora użyte do autoryzacji GCDS.

   Szczegółowe informacje znajdziesz w sekcji Definiowanie ustawień domeny Google.

5. Kliknij Kod autoryzacji wymiany dla tokenów.

   Jeśli proces się powiedzie, przekierujemy Cię do kroku 3. Skonfiguruj żądanie do interfejsu API.

6. Podaj wymagane informacje.

   Wskazówka: większość informacji znajdziesz na stronie referencyjnej metody API.

7. Kliknij Wyślij prośbę.
8. Sprawdź informacje, aby mieć pewność, że odpowiedź interfejsu API była zgodna z oczekiwaniami.

Co powoduje błędy lub konflikty EntityDoesNotExist/EntityExists?

W pliku XML konfiguracji wybierz opcję useDynamicMaxCacheLifetime. Ta opcja konfiguruje GCDS w taki sposób, że dane są przechowywane w pamięci podręcznej przez maksymalnie 8 dni, a pamięć podręczna jest czyszczona częściej w małych i średnich zbiorach danych, aby zmniejszyć ryzyko przechowywania nieaktualnych danych i powstawania konfliktów z nowymi danymi. Opcja useDynamicMaxCacheLifetime jest stosowana automatycznie w konfiguracjach utworzonych w GCDS 3.2.1 i nowszych wersjach.

Uwaga: te błędy występują zwykle wtedy, gdy zmiany są wprowadzane bezpośrednio w domenie Google. Podczas synchronizacji przy użyciu GCDS unikaj wprowadzania zmian bezpośrednio w domenie Google. Zamiast tego edytuj konta użytkowników, grupy i inne jednostki w katalogu LDAP. Następnie przy użyciu GCDS zsynchronizuj te zmiany z domeną Google.

Jak naprawić błędy związane z pamięcią?

Jeśli widzisz błędy związane z pamięcią, musisz zwiększyć rozmiar sterty maszyny wirtualnej Java. Aby to zrobić, otwórz pliki sync-cmd.vmoptions i config-manager.vmoption w katalogu instalacyjnym GCDS. Odpowiednie wpisy wyglądają tak:

• -Xmx1000m (maksymalna ilość pamięci przeznaczona dla sterty)
• -Xms64m (minimalna ilość pamięci przeznaczona dla sterty)

Zmień pliki sync-cmd.vmoptions i config-manager.vmoptions, aby wprowadzić zmianę w wersjach przeznaczonych dla polecenia sync-cmd i dla Menedżera konfiguracji.

Zmień wartość -Xmx, aby zwiększyć ilość pamięci. Litera „m” po liczbie oznacza, że pamięć jest mierzona w megabajtach (MB). Prawidłowa ilość pamięci zależy od tego, ile pamięci serwer GCDS już ma oraz ile potrzebuje do synchronizacji. Zanim ustawisz odpowiednią wielkość, konieczna może być kilkukrotna zmiana wartości. Więcej informacji o ilości dostępnej pamięci RAM wymaganej do uruchomienia GCDS znajdziesz w artykule Wymagania systemowe GCDS.

Dlaczego GCDS zwraca błąd, gdy pamięć podręczna jest wyłączona?

Przyczyną może być problem w konfiguracji, na przykład nieprawidłowo ustawiona reguła wykluczania. Takie błędy w konfiguracji mogą być niewidoczne, gdy włączona jest pamięć podręczna GCDS.

GCDS przechowuje dane usługi Google (na przykład Google Workspace lub Cloud Identity) w pamięci podręcznej przez maksymalnie 8 dni. Częstotliwość czyszczenia pamięci podręcznej przez GCDS zależy od rozmiaru znajdujących się w niej danych. Dopóki pamięć podręczna nie zostanie wyczyszczona, aktualizacje nie będą stosowane (może to potrwać do 8 dni).

Przykład: synchronizujesz dane LDAP i tworzysz nową grupę dla usługi Google (takiej jak Google Workspace lub Cloud Identity). Jeśli następnie utworzysz regułę wykluczania, która zapobiega synchronizowaniu tej grupy w przyszłości, to ta reguła spowoduje powstanie błędu w konfiguracji, przez co nie zostanie zastosowana. Kolejne synchronizacje korzystają z danych w pamięci podręcznej, więc nowa grupa pozostaje dostępna w usłudze Google. Gdy natomiast pamięć podręczna zostanie wyczyszczona, błąd konfiguracji spowoduje usunięcie tej grupy z usługi Google.

Aby ręcznie wyczyścić pamięć podręczną:

• Uruchom synchronizację w menedżerze konfiguracji i wybierz opcję wyczyszczenia pamięci podręcznej podczas synchronizacji.
• Uruchom synchronizację z poziomu wiersza poleceń i użyj argumentu -f, aby wymusić wyczyszczenie pamięci podręcznej.
• Edytuj plik konfiguracji XML, aby zmienić wartość maxCacheLifetime na 0.

Ważne: wyczyszczenie pamięci podręcznej może znacznie wydłużyć czas synchronizacji.

Dlaczego GCDS próbuje utworzyć już istniejących użytkowników Google?

Jeśli pojawi się błąd 409: Element już istnieje, GCDS próbuje utworzyć użytkowników Google, którzy już istnieją. Jeśli błąd nie pojawi się podczas kolejnych synchronizacji, prawdopodobnie pamięć podręczna GCDS była nieaktualna i można bezpiecznie zignorować ten błąd.

Jeśli problem występuje podczas każdej synchronizacji lub co kilka dni, oto najbardziej prawdopodobne przyczyny:

• Reguła wykluczania kont użytkowników Google jest zbyt ogólna – pasuje do części użytkowników Google, którzy znajdują się już w katalogu LDAP.
• Zapytanie jest zbyt wąskie – nie pasuje do części użytkowników Google, którzy znajdują się już w katalogu LDAP.

Obie sytuacje mogą spowodować, że GCDS będzie ignorować tych użytkowników Google, którzy już istnieją. Jeśli takie konta użytkowników będą pojawiać się w wynikach reguł wyszukiwania użytkowników LDAP, GCDS będzie próbował utworzyć je na Twoim koncie Google.

Aby rozwiązać ten problem, zmień zapytanie lub regułę wykluczania. Jeśli chcesz, aby narzędzie GCDS całkowicie ignorowało użytkowników w Twoim katalogu LDAP, możesz dostosować regułę wyszukiwania użytkowników LDAP lub utworzyć regułę ich wykluczania. Więcej informacji znajdziesz w artykule Pomijanie danych za pomocą reguł wykluczania i zapytań.

Dlaczego niektórzy użytkownicy nie są synchronizowani jako członkowie grup?

Aby synchronizować członków grup oddzielnie od wyników reguły wyszukiwania użytkowników, GCDS ma domyślnie włączoną opcję INDEPENDENT_GROUP_SYNC. Jeśli używasz atrybutów member-reference na potrzeby synchronizacji grup, GCDS próbuje odnaleźć adres e-mail każdego użytkownika w katalogu LDAP bez względu na inne reguły wyszukiwania użytkowników.

Aby zsynchronizować członków grupy tylko na podstawie wyników reguł wyszukiwania użytkowników, usuń opcję INDEPENDENT_GROUP_SYNC z pliku XML konfiguracji. GCDS:

• identyfikuje członków grup za pomocą wyników reguł wyszukiwania użytkowników;
• synchronizuje jako członków grup tylko tych użytkowników, którzy są objęci synchronizacją;
• stosuje reguły wyszukiwania użytkowników, nawet jeśli wyłączysz synchronizację kont użytkowników w sekcji Ustawienia ogólne;

  Jeśli jednak znalezione konta są również członkami grup, nie są synchronizowane w Google jako użytkownicy, lecz jako członkowie grup.

Zwykle oczekiwany sposób działania synchronizacji jest inny, zwłaszcza jeśli synchronizujesz udostępnione kontakty, a członkowie grup są kontaktami. W takim przypadku kontakty nie będą synchronizowane jako członkowie grup.

Dlaczego niektóre konta użytkowników i grupy są ponownie tworzone podczas każdej synchronizacji?

Taki problem ma miejsce, gdy atrybut LDAP skonfigurowany jako atrybut Group Name (Nazwa grupy) nie zawiera pełnego adresu e-mail. Aby rozwiązać ten problem, sprawdź reguły Group Search (Wyszukiwanie grup) i upewnij się, że GCDS używa pełnych adresów e-mail dla nazw grup. Użyj jednej z tych metod:

• Ustaw atrybut Group Name na inny atrybut LDAP, który określa pełny adres e-mail dla każdej grupy, taki jak poczta.
• Włącz opcję Replace domain names in LDAP email addresses (Zastąp nazwy domen w adresach e-mail serwera LDAP) w ustawieniach domeny Google, aby atrybut Group Name pasował do nazw grup po stronie Google.
• Dodaj nazwę domeny do nazwy grupy przez określenie sufiksu Group Name w regule Group Search.

Grupy, które w Active Directory zawierają ponad 1500 osób, nie są prawidłowo synchronizowane.

Upewnij się, że wybrano MS Active Directory w polu typu serwera w sekcji LDAP Configuration (Konfiguracja LDAP).

Jak używać opcji „Replace domain names in LDAP email addresses” (Zastąp nazwy domen w adresach e-mail serwera LDAP)?

Ta opcja (wyświetlana w pliku XML jako SUPPRESS_DOMAIN) jest używana, gdy adresy e-mail w katalogu LDAP znajdują się w innej domenie niż Twoja domena Google. Jeśli włączysz tę opcję, GCDS będzie ignorować nazwę domeny w odczytywanych adresach e-mail.

Wszystkie operacje przetwarzania odbywają się bez nazwy domeny. Jeśli używasz reguł wykluczania opartych na adresach e-mail, musisz na ich potrzeby brać pod uwagę tylko lokalną część adresu e-mail.

Jeśli na przykład masz wyłączoną opcję Replace domain names in LDAP email addresses (Zastąp nazwy domen w adresach e-mail serwera LDAP) i chcesz utworzyć regułę wykluczania z dopasowaniem dokładnym, wpisz leszek@example.com jako adres e-mail użytkownika do wyszukania. Jeśli opcja Replace domain names in LDAP email addresses (Zastąp nazwy domen w adresach e-mail serwera LDAP) jest włączona, użyj leszek. Próba dopasowania adresu leszek@example.com nie uda się, bo przed porównaniem zostanie usunięty fragment @example.com.

Czy mogę zagnieżdżać grupy statyczne i dynamiczne?

W przypadku obsługi administracyjnej grup przy użyciu GCDS nie możesz zagnieżdżać grup dynamicznych w grupach statycznych (ani grup statycznych w grupach dynamicznych). GCDS wymaga, aby grupy statyczne były odpytywane niezależnie od grup dynamicznych. Jednak wszystkie zagnieżdżone grupy muszą być objęte tym samym zapytaniem.

Postaraj się wdrożyć grupy dynamiczne jako grupy statyczne – na przykład zautomatyzuj zadanie, które okresowo odpytuje każdą grupę dynamiczną w celu zapełnienia grup statycznych w katalogu. GCDS może następnie użyć grup statycznych (utworzonych na podstawie grup dynamicznych) do obsługi administracyjnej bez obsługi administracyjnej grupy dynamicznej.

Dlaczego zapytania LDAP dają nieoczekiwane wyniki?

Wyniki zapytań LDAP zależą od ustawień Menedżera konfiguracji i serwera LDAP. Jeśli reguła wyszukiwania LDAP zwraca nieoczekiwany wynik, skorzystaj z opisanych poniżej wskazówek dotyczących rozwiązywania problemów. Upewnij się, że:

• Zapytanie LDAP jest prawidłowo skonfigurowane w Menedżerze konfiguracji – po skonfigurowaniu reguły wyszukiwania kliknij Test LDAP Query (Przetestuj zapytanie LDAP), aby sprawdzić zapytanie. Szczegółowe informacje znajdziesz w artykule Synchronizowanie danych przy użyciu reguł wyszukiwania LDAP.
• Różne zapytania nie są sprzeczne – sprawdź, czy nie masz skonfigurowanej reguły wyszukiwania lub wykluczania, która zmienia wynik zapytania.
• Autoryzowany użytkownik serwera LDAP ma wystarczające uprawnienia – upewnij się, że administrator używany do uwierzytelniania serwera LDAP może używać wiersza poleceń na tym samym serwerze. Spróbuj wpisać zapytanie na serwerze LDAP i sprawdź wyniki.

Błąd dotyczący nieudanego utworzenia grupy

Może pojawić się komunikat o błędzie Nie udało się utworzyć grupy… Komunikat: Brak uprawnień dostępu do tego zasobu/api w dziennikach GCDS.

Aby rozwiązać ten problem, sprawdź, czy atrybut Active Directory (AD), który zawiera domenę adresów e-mail użytkowników i grup, jest zgodny z domeną używaną przez konto superadministratora.

Dlaczego po przeprowadzeniu synchronizacji przy użyciu GCDS widzę zduplikowane kontakty w katalogu domeny?

To się zdarza zwykle wtedy, gdy synchronizujesz kontakty udostępnione, a reguły wyszukiwania są skonstruowane nieprawidłowo.

Istnieją 2 typy obiektów, które można synchronizować przy użyciu GCDS:

• Profile użytkowników – konta użytkowników w domenie Google z dodatkowymi danymi, takimi jak numer telefonu lub adres. Synchronizować można tylko profile użytkowników istniejących w Twojej domenie.
• Kontakty udostępnione – osoby z zewnątrz, z którymi użytkownicy w Twojej domenie muszą się kontaktować.

Aby rozwiązać ten problem, popraw reguły wyszukiwania kontaktów udostępnionych, aby wykluczały użytkowników Twojej domeny. Podczas następnej synchronizacji GCDS spróbuje usunąć nadmiarowe kontakty. Na czas pierwszej synchronizacji może być konieczne dostosowanie limitu usuwania kontaktów udostępnionych.

Dlaczego niektórzy użytkownicy w Kalendarzu Google nie widzą swojej głównej lokalizacji miejsca pracy?

W niektórych sytuacjach podczas planowania lub organizowania spotkań w Kalendarzu Google użytkownicy nie widzą swojej głównej lokalizacji miejsca pracy.

Jeśli zauważysz ten problem, sprawdź, czy atrybuty typu lokalizacji i obszaru mają ustawioną wartość „desk” (biurko).

Dlaczego wyszukiwanie według podanej reguły niczego nie znajduje?

Jeśli masz problemy z wynikami wyszukiwania, sprawdź:

• Zakres reguły. Może być konieczne ustawienie zakresu na Sub-tree.
• Czy reguła wyszukiwania, której używasz, jest prawidłowa.
• Czy używane atrybuty istnieją i czy są one widoczne.

Zapytanie LDAP. Sprawdź, czy w zapytaniu na serwerze LDAP jest używana ta sama nazwa administratora, którą skonfigurowano w GCDS.

Szczegółowe informacje znajdziesz w artykule Synchronizowanie danych przy użyciu reguł wyszukiwania LDAP.

Dlaczego podczas tworzenia reguły wyjątku nie widzę przycisku OK?

Być może używasz czcionki, która jest za duża dla ekranu. Okno nie obsługuje dużych i bardzo dużych czcionek. Zmień rozmiar czcionki lub bezpośrednio edytuj plik XML.