Resolver problemas comuns do GCDS

Resolver problemas com o Gerenciador de configuração

Se você estiver com dificuldade para fazer uma sincronização, verifique se a configuração está correta no Gerenciador de configuração e anote os testes que apresentam falhas:

1. No Gerenciador de configuração, abra o arquivo XML usado para configurar a sincronização.
2. Na página Conexões LDAP, clique em Testar conexões para confirmar que é possível estabelecer uma conexão com o servidor LDAP.
3. Na página Notificações, clique em Testar notificação para confirmar que você pode enviar uma notificação de teste.
4. Na página Sincronização, clique em Simular sincronização para confirmar que você preencheu todos os campos obrigatórios e que a sincronização está funcionando.

Como faço para ativar o registro HTTP completo para solicitações de API?

Em alguns casos, o suporte pode pedir que você ative o registro HTTP completo, além do registro no nível do rastreamento no GCDS. O registro HTTP completo é usado para ver a solicitação de API exata feita pelo GCDS e a resposta fornecida pelas APIs do Google.

Importante: os registros HTTP completos podem conter informações confidenciais. Remova essas informações (como os campos "refresh_token" ou "access_token" atuais) antes de enviar os registros para o suporte.

Para ativar o registro HTTP completo:

1. Confirme que o GCDS não está sendo executado com o sync-cmd ou o Gerenciador de configuração.
2. Acesse a pasta de instalação do GCDS.

3. Edite o arquivo jre/lib/logging.properties.

4. Adicione estas linhas ao final do arquivo:

   java.util.logging.FileHandler.pattern = %h/gcdshttp%u.%g.log
   java.util.logging.FileHandler.limit = 5000000
   java.util.logging.FileHandler.count = 100
   java.util.logging.FileHandler.formatter = java.util.logging.SimpleFormatter
   handlers = java.util.logging.FileHandler
   com.google.api.client.http.level = CONFIG
   
   com.google.gdata.client.http.HttpGDataRequest.level = ALL
   sun.net.www.protocol.http.HttpURLConnection.level = ALL

5. Salve o arquivo.
6. Faça outra sincronização do GCDS (com o registro configurado como Rastrear).

   Os arquivos de registros gcdshttp*.log são criados em homedir (Linux) ou na pasta do perfil (Microsoft Windows). Arquive-os juntos porque eles podem ser grandes.

7. Exclua as linhas adicionadas na etapa 4 para evitar a criação de arquivos de registros grandes.
8. Envie os seguintes arquivos para o suporte:
   • Arquivo XML
   • Registros no nível do trace e os arquivos gcdshttp*.log da sincronização mais recente

DICA: se você quiser ativar o registro em uma nova classe, adicione uma linha no formato class.fqdn.level = ALL. Não é necessário duplicar todo o bloco de configuração.

Usar um proxy de depuração

A resposta e a solicitação registradas podem ter no máximo 16 KB. Caso você veja uma entrada de registro truncada porque ultrapassou o limite, use um proxy de depuração, como o Fiddler.

Para ativar o Fiddler, siga estas etapas:

1. Acesse o caminho em que o GCDS está instalado, por exemplo, C:\Program Files\Google Cloud Directory Sync.
2. Adicione as seguintes flags aos arquivos .vmoptions (por exemplo, config-manager.vmoptions ou sync-cmd.vmoptions) para desativar as verificações de CRL:

   -Dcom.sun.security.enableCRLDP=false

   -Dcom.sun.net.ssl.checkRevocation=false

Reinicie o GCDS para que as mudanças entrem em vigor.

1. Configure o Fiddler como um proxy nas configurações de proxy da configuração do seu domínio do Google. No campo "Nome do host", adicione o endereço IP local 127.0.0.1. A porta padrão é 8888, mas você pode confirmar isso abrindo o Fiddler, acessando "Options > Connections" e verificando o valor no campo "Fiddler Classiclistens on port".

Se você estiver usando o GCDS no Linux, não será possível usar o repositório de certificados confiáveis do Windows. Por isso, você vai precisar importar o certificado raiz do Fiddler para o armazenamento de confiança do Java do GCDS. Confira detalhes sobre essas etapas em Resolver problemas relacionados a certificados.

Problema ao configurar o host de redirecionamento SMTP

Se você tiver problemas para configurar o host de redirecionamento SMTP para suas notificações, tente as etapas de solução de problemas a seguir.

Falha na conexão e mensagem de host SMTP desconhecida

1. Abra um prompt de comando.
2. Para verificar se o nome de host configurado do servidor SMTP é resolvido para um endereço IP, digite o seguinte comando:

   nslookup smtp-host-name.com

Falha na conexão e mensagem "Não foi possível se conectar ao host SMTP"

Verifique se o servidor que executa o GCDS pode se conectar ao host SMTP.

1. Para verificar a conexão, digite o seguinte na linha de comando ou no terminal do Windows:

   telnet smtp.gmail.com 587

2. Se não for possível conectar o host, verifique as regras de firewall de entrada do servidor SMTP e de saída do servidor do GCDS.
3. Verifique se você permitiu o tráfego na porta SMTP.

Erro "Não foi possível converter o soquete em TLS" nos registros

Desative as verificações da lista de revogação de certificados (CRL). Confira mais detalhes em Como o GCDS verifica as listas de revogação de certificados.

Como faço para abrir um arquivo XML salvo em outro computador ou como um usuário diferente?

Em Usar arquivos de configuração, você encontra instruções sobre como abrir um arquivo XML salvo em outro computador ou como um usuário diferente no mesmo computador.

Como exportar dados do diretório LDAP?

Se os dados LDAP nos registros no nível do trace do GCDS não corresponderem ao que você espera ler no servidor LDAP, por exemplo, se um usuário não for encontrado ou um atributo não tiver o valor correto, exporte os dados do diretório LDAP no formato LDIF. Os dados podem ser comparados pelo suporte com os dados do LDAP dos registros do GCDS.

Ao exportar os dados, use uma ferramenta de consulta LDAP, como a ldapsearch (Linux) ou a ldifde (Windows) e simule as mesmas condições de execução do GCDS com:

• Use as mesmas configurações de conexão que o GCDS está configurado para usar.
• Execute a ferramenta de consulta no mesmo computador em que o GCDS está sendo executado.
• Use o mesmo nome de usuário para a autenticação LDAP do GCDS.

Exemplo

Os registros do GCDS não mostram o atributo mail dos usuários, e as configurações da regra de pesquisa do GCDS são:

• DN de base: ou=Ireland,dc=altostrat,dc=com
• Escopo: subárvore
• Filtro de pesquisa: (&(objectCategory=person)(objectClass=user))
• Servidor: dc01.altostrat.com
• Porta: 636
• Protocolo: LDAP+SSL
• DN do usuário de autenticação: cn=GCDS,ou=Users,dc=altostrat,dc=com

Use os comandos a seguir:

• Linux:ldapsearch -v -b "ou=Ireland,dc=altostrat,dc=com" -s sub -h dc01.altostrat.com -p 636 -x -Z -D "cn=GCDS,ou=Users,dc=altostrat,dc=com" "(&(objectCategory=person)(objectClass=user))" mail givenname uniqueidentifier sn > out.ldif. Talvez seja necessário modificar o comando dependendo do seu sistema.
• Windows : ldifde -f out.ldif -s dc01.altostrat.com -v -t 636 -d "ou=Ireland,dc=altostrat,dc=com" -r "(&(objectCategory=person)(objectClass=user))" -p SubTree -l mail,givenname,uniqueidentifier,sn -a "cn=GCDS,ou=Users,dc=altostrat,dc=com" PASSWORD (substitua PASSWORD pela senha do usuário LDAP definida no GCDS).

Se a saída (out.ldif) não contiver o atributo mail de um usuário afetado, há um problema com a infraestrutura LDAP. Isso pode estar relacionado às permissões do usuário que você está usando para acessar o LDAP. Por exemplo, o OpenLDAP e o Active Directory permitem a configuração de permissões no nível do atributo. Se você estiver usando uma porta do Catálogo Global, como 3268 ou 3269, talvez o atributo não tenha sido replicado para ele.

Se a saída tiver o atributo mail de um usuário afetado, informe os detalhes a seguir ao suporte do Google Workspace:

• O arquivo out.ldif
• Uma captura de tela do prompt de comando ou da janela do terminal em que você executou o comando
  . Lembre-se de primeiro remover a senha.
• O registro no nível do trace do GCDS

Preciso de um servidor de notificação para fazer uma sincronização simulada?

Para fazer uma sincronização simulada, você precisa de um servidor que envie e-mails. Se estiver executando o GCDS em um computador servidor de e-mail, você poderá usar o endereço IP 127.0.0.1 para seu servidor de e-mail. Caso contrário, entre em contato com o administrador do e-mail para acessar as informações corretas.

Por que o GCDS não está fazendo uma sincronização na linha de comando?

Se você estiver usando a linha de comando para fazer uma sincronização, e ela não for iniciada, verifique se você usou o argumento -o ou --oneinstance na linha de comando.

Se você usar um desses argumentos, o GCDS criará um arquivo LOCK (.lock) associado ao arquivo de configuração XML. Se outro arquivo LOCK for encontrado no mesmo servidor, o GCDS não executará a sincronização para impedir que várias instâncias do GCDS sejam executadas ao mesmo tempo.

Se não houver outra instância do GCDS em execução, verifique se há outro arquivo LOCK no servidor. Exclua o arquivo manualmente e tente fazer a sincronização novamente.

Minha sincronização estava incompleta. Pode ser um problema com a API?

Se a sincronização estiver incompleta, por exemplo, a associação total a um grupo não foi sincronizada, a API Directory poderá ter um problema. Para verificar se o problema está relacionado a uma API, e não ao produto GCDS, chame manualmente a API Directory e analise os resultados. Para chamar a API manualmente, escolha uma destas duas opções.

Opção 1: usar a página de referência da API

1. Acesse a Visão geral da referência da API Admin SDK.
2. À esquerda, clique em API Directory e, em Recursos REST, acesse o recurso REST que você quer consultar.
3. À direita, clique no método que você quer testar e em Testar.

   Se a página de referência da API não mostrar Testar, vá para a Opção 2: usar o OAuth 2.0 Playground.

4. Digite as credenciais de administrador que você usou para autorizar o GCDS.

   Para mais detalhes, acesse Definir as configurações do domínio do Google.

5. Revise as informações para garantir que a API tenha respondido como esperado.

Opção 2: usar o OAuth 2.0 Playground

1. Abra o OAuth 2.0 Playground.
2. Escolha uma opção:
   • Selecione um escopo na lista.
   • Copie um escopo da lista Escopos de autorização na página de referência da API. Depois, cole o escopo no campo Input your own scope.
3. Clique em Authorize APIs.
4. Digite as credenciais de administrador que você usou para autorizar o GCDS.

   Para mais detalhes, acesse Definir as configurações do domínio do Google.

5. Clique em Trocar código de autorização dos tokens.

   Se o processo der certo, você vai acessar a Etapa 3: configurar a solicitação para a API.

6. Preencha as informações solicitadas.

   Dica: a maioria das informações pode ser encontrada na página da Web de referência do método de API.

7. Clique em Enviar pedido.
8. Revise as informações para garantir que a API tenha respondido como esperado.

O que causa erros ou conflitos de EntityDoesNotExist/EntityExists?

No arquivo de configuração XML, ative a opção useDynamicMaxCacheLifetime. Ela configura o GCDS para armazenar dados em cache por um período máximo de oito dias e limpar o cache com mais frequência em conjuntos de dados pequenos ou médios. Isso evita que os dados armazenados em cache fiquem desatualizados ou entrem em conflito com novos dados. A opção useDynamicMaxCacheLifetime é automática nas configurações criadas com o GCDS 3.2.1 e superior.

Observação:esses erros costumam ocorrer quando as modificações são feitas diretamente no domínio do Google. Ao usar o GCDS para sincronizar, evite fazer mudanças diretamente no domínio do Google. Faça as mudanças referentes a usuários, grupos e outras entidades no diretório LDAP. Em seguida, use o GCDS para sincronizar essas mudanças com seu domínio do Google.

Como corrigir erros relacionados à memória?

Se você identificar erros desse tipo, precisará aumentar o tamanho do heap da máquina virtual Java. Para fazer isso, edite os arquivos sync-cmd.vmoptions e config-manager.vmoptions no diretório de instalação do GCDS. As entradas relevantes são semelhantes a estas:

• -Xmx1000m (a quantidade máxima de memória alocada para o tamanho da pilha)
• -Xms64m (a quantidade mínima de memória alocada para o tamanho do heap)

Edite os arquivos sync-cmd.vmoptions e config-manager.vmoptions para aplicar a mudança às versões do sync-cmd e do Gerenciador de configuração.

Edite o número -Xmx para aumentar a quantidade de memória. O "m" depois do número indica que a memória é medida em megabytes (MB). A quantidade correta depende da memória do servidor do GCDS e de quanto ele precisa para uma sincronização. Talvez seja necessário ajustar o número várias vezes para definir o tamanho correto. Para mais informações sobre a quantidade de RAM livre necessária para executar o GCDS, acesse Requisitos do sistema para o GCDS.

Por que o GCDS continua retornando um erro quando o cache é desativado?

O erro pode ser causado por um problema de configuração, como uma configuração incorreta da regra de exclusão. Esse tipo de configuração incorreta pode ser ocultado pelo armazenamento em cache do GCDS.

O GCDS mantém um cache dos dados do serviço do Google (como o Google Workspace ou o Cloud Identity) por no máximo oito dias. Esse cache pode ser limpo com mais frequência, dependendo do tamanho dos dados armazenados. Se ele não for limpo, talvez você não veja suas atualizações por até oito dias.

Por exemplo, você sincroniza seus dados LDAP e cria um grupo para o serviço do Google (como o Google Workspace ou o Cloud Identity). Em seguida, você cria uma regra de exclusão para remover esse grupo das sincronizações subsequentes. A regra de exclusão foi configurada incorretamente e vai falhar. No entanto, a próxima sincronização acessa dados armazenados em cache, e o grupo permanece no Serviço do Google. Quando você sincronizar novamente com o cache limpo, a configuração incorreta fará o grupo ser excluído do Serviço do Google.

Para limpar o cache manualmente:

• Execute uma sincronização no Gerenciador de configuração e selecione a opção para limpar o cache ao fazer uma sincronização.
• Execute uma sincronização no comando e use o argumento -f para forçar a limpeza do cache.
• Modifique o arquivo de configuração XML para definir o valor maxCacheLifetime como 0.

Importante: forçar uma limpeza do cache pode aumentar muito o tempo de sincronização.

Por que o GCDS está tentando criar usuários do Google que já existem?

Se você receber o erro 409: Entidade já existe, isso significa que o GCDS está tentando criar usuários do Google que já existem. Se você não encontrar o erro nas próximas sincronizações, é provável que o cache do GCDS esteja desatualizado e é seguro ignorar o erro.

Se o problema ocorrer a cada sincronização ou a cada vários dias, os motivos mais prováveis são:

• Uma regra de exclusão de usuário do Google é muito ampla. Ela corresponde a alguns usuários do Google que também existem no diretório LDAP.
• Uma consulta é muito restrita, porque ela não corresponde a alguns usuários do Google que também existem no diretório LDAP.

Em ambos os cenários, o GCDS pode ignorar os usuários do Google existentes. Se esses usuários estiverem nos resultados da regra de pesquisa de usuário LDAP, o GCDS tentará criar essas contas na sua Conta do Google.

Para resolver o problema, ajuste a regra de exclusão ou a consulta de pesquisa. Se você quiser que o GCDS ignore completamente os usuários no diretório LDAP, ajuste a regra de pesquisa de usuário LDAP ou crie uma regra de exclusão de usuário LDAP. Para mais detalhes, acesse Omitir dados com regras de exclusão e consultas.

Por que alguns usuários não são sincronizados como membros do grupo?

Para sincronizar os participantes dos grupos separadamente dos resultados das regras de pesquisa de usuários, o GCDS ativa a opção INDEPENDENT_GROUP_SYNC por padrão. Se você estiver usando atributos de referência de participantes para sincronizar os grupos, o GCDS tentará resolver o endereço de e-mail de cada usuário no diretório LDAP, sem considerar as regras de pesquisa de usuários.

Para sincronizar os participantes dos grupos com base apenas nos resultados das regras de pesquisa de usuários, remova a opção INDEPENDENT_GROUP_SYNC do arquivo XML de configuração. GCDS:

• usa os resultados das regras de pesquisa dos usuários para resolver a associação aos grupos;
• só sincroniza como participantes dos grupos os usuários incluídos na sua sincronização;
• executa as regras de pesquisa de usuários, mesmo quando você desativa a sincronização de contas de usuário nas Configurações gerais.

  No entanto, os resultados não serão sincronizados com o Google como usuários, mas como participantes dos grupos se os usuários qualificados também se qualificarem como participantes.

Normalmente não é assim que a sincronização deve ser executada, em especial se você estiver sincronizando contatos compartilhados e tiver participantes de grupos que sejam contatos. Nesse caso, os contatos não serão sincronizados como participantes dos grupos.

Por que alguns usuários ou grupos são recriados a cada sincronização?

Esse problema acontece quando o atributo LDAP configurado como o atributo de nome do grupo não contém um endereço de e-mail completo. Para resolver esse problema, verifique as regras da pesquisa de grupo e confirme se o GCDS usa um endereço de e-mail completo para os nomes de grupos. Use um dos seguintes métodos:

• Defina o atributo de nome de grupo como um atributo LDAP diferente que especifique um endereço de e-mail completo para cada grupo, como mail.
• Ative a opção Substituir nomes de domínio em endereços de e-mail LDAP nas "Configurações do domínio do Google" para que o atributo "Nome do grupo" corresponda a nomes de grupos no Google.
• Para adicionar o nome do domínio ao nome do grupo, especifique um sufixo de nome de grupo na regra de pesquisa de grupos.

Grupos com mais de 1.500 membros no Active Directory não estão sendo sincronizados corretamente

Confirme que você selecionou MS Active Directory no campo de tipo de servidor da seção Configuração LDAP.

Como posso usar a opção "Substituir nomes de domínio em endereços de e-mail do protocolo LDAP"?

Essa opção, que aparece como SUPPRESS_DOMAIN no arquivo XML, vai ser usada se os endereços de e-mail no diretório LDAP estiverem em um domínio diferente do seu domínio do Google. Quando você ativa essa opção, o GCDS retira a parte referente ao domínio de todos os endereços de e-mail lidos.

O processamento é feito sem o nome do domínio. Se você usa regras de exclusão com base em endereços de e-mail, precisa considerar apenas a parte local do endereço de e-mail na regra de exclusão.

Por exemplo, se a opção Substituir nomes de domínio em endereços de e-mail LDAP estiver desativada, e você estiver criando uma regra de exclusão por correspondência exata, digite joaosilva@example.com como o endereço de e-mail do usuário para que haja correspondência. Se você tiver ativado a opção Substituir nomes de domínio em endereços de e-mail LDAP, use joãosilva. Não será possível fazer a correspondência com luka@example.com porque @example.com será removido antes da comparação.

Posso aninhar grupos estáticos e dinâmicos?

Ao provisionar grupos usando o GCDS, não é possível aninhar grupos dinâmicos em grupos estáticos (ou o contrário). O GCDS exige que os grupos estáticos sejam consultados separadamente. No entanto, todos os grupos aninhados precisam ser parte da mesma consulta.

Encontre uma maneira de implementar grupos dinâmicos como grupos estáticos, possivelmente automatizando uma tarefa que consulta de forma periódica todos os grupos dinâmicos para preencher grupos estáticos no diretório. O GCDS poderá usar os grupos estáticos (conforme criados a partir dos grupos dinâmicos) para aprovisionar ou não o grupo dinâmico.

Por que recebi resultados inesperados da minha consulta LDAP?

Os resultados das consultas LDAP dependem das configurações do Gerenciador de configuração e do servidor LDAP. Use estas dicas de solução de problemas se a regra de pesquisa LDAP retornar um resultado inesperado. Verifique se:

• A consulta LDAP está configurada corretamente no Gerenciador de configuração: ao configurar uma regra de pesquisa, clique em Testar consulta LDAP para verificar. Para mais detalhes, acesse Usar regras de pesquisa LDAP para sincronizar dados.
• As consultas não se contradizem: verifique se você não configurou uma regra de exclusão ou pesquisa que altera o resultado de uma consulta.
• O usuário autorizado no servidor LDAP tem permissões suficientes: confira se o administrador usado para autenticar o servidor LDAP pode usar a linha de comando no mesmo servidor. Tente fazer a consulta no servidor LDAP e verifique os resultados.

Erro "Não foi possível criar o grupo"

Talvez você veja a mensagem de erro Group ... could not be created. Mensagem: Não autorizado a acessar este recurso/API nos registros do GCDS.

Para resolver problemas, verifique se o atributo do Active Directory (AD) que contém o domínio dos endereços de e-mail do usuário e do grupo corresponde ao domínio usado pela conta de superadministrador.

Por que vejo contatos duplicados no meu diretório de domínios após a sincronização com o GCDS?

Esse problema costuma acontecer quando você sincroniza contatos compartilhados e as regras de pesquisa são criadas incorretamente.

Existem dois tipos de objetos relevantes que você pode sincronizar com o GCDS:

• Perfis de usuário: usuários no domínio do Google com dados adicionais, como número de telefone ou endereço. Você só pode sincronizar um perfil de um usuário que exista no seu domínio.
• Contatos compartilhados: contatos de pessoas externas com quem os usuários no seu domínio precisam entrar em contato.

Para resolver esse problema, corrija as regras de pesquisa de contatos compartilhados para excluir usuários no seu domínio. Na próxima sincronização, o GCDS tentará excluir os contatos redundantes. Talvez seja preciso ajustar o limite de exclusões de contatos compartilhados na primeira sincronização.

Por que alguns usuários não veem o local de trabalho principal no Google Agenda?

Em algumas circunstâncias, os usuários não veem o local de trabalho principal no Google Agenda ao programar ou organizar reuniões.

Se você tiver esse problema, confirme que o tipo de local e os atributos da área estão definidos como "mesa".

Por que uma regra de pesquisa não gera resultados?

Se você estiver com problemas nos resultados da pesquisa, faça o seguinte:

• O escopo da regra. Talvez seja necessário defini-lo como Subárvore.
• Confira se a regra de pesquisa utilizada está correta.
• Confirme que os atributos usados existem e estão visíveis.

Sua consulta LDAP. Verifique se a consulta no seu servidor LDAP usa o mesmo nome de usuário administrador configurado no GCDS.

Para mais detalhes, acesse Usar regras de pesquisa LDAP para sincronizar dados.

Ao criar uma regra de exceção, por que não vejo o botão "OK"?

Talvez você esteja usando uma fonte muito grande para a tela. A caixa de diálogo não funciona com fontes grandes ou muito grandes. Mude o tamanho da fonte ou edite o arquivo XML.