Khắc phục các vấn đề thường gặp về GCDS

Khắc phục sự cố về cấu hình bằng Configuration Manager

Nếu bạn gặp vấn đề khi chạy quy trình đồng bộ hoá đúng cách, hãy xác nhận rằng thông tin cấu hình trong Configuration Manager là chính xác và ghi lại những kiểm thử không thành công:

1. Trong Configuration Manager (Trình quản lý cấu hình), hãy mở tệp XML mà bạn đang dùng để định cấu hình quá trình đồng bộ hoá.
2. Trên trang LDAP Connections (Kết nối LDAP), hãy nhấp vào Test Connections (Kiểm tra kết nối) để xác nhận rằng bạn có thể kết nối với máy chủ LDAP.
3. Trên trang Thông báo, hãy nhấp vào Thông báo thử nghiệm để xác nhận rằng bạn có thể gửi thông báo thử nghiệm.
4. Trên trang Đồng bộ hoá, hãy nhấp vào Mô phỏng quá trình đồng bộ hoá để xác nhận rằng bạn đã hoàn tất tất cả các trường bắt buộc và xác nhận rằng quá trình đồng bộ hoá đang chạy.

Làm cách nào để bật tính năng ghi nhật ký HTTP đầy đủ cho các yêu cầu API?

Trong một số ít trường hợp, nhóm hỗ trợ có thể yêu cầu bạn bật tính năng ghi nhật ký HTTP đầy đủ ngoài việc bật tính năng ghi nhật ký ở cấp độ theo dõi trong GCDS. Tính năng ghi nhật ký HTTP đầy đủ được dùng để xem chính xác yêu cầu API do GCDS thực hiện và phản hồi do Google API cung cấp.

Quan trọng: Nhật ký HTTP đầy đủ có thể chứa thông tin có độ nhạy cảm cao. Xoá mọi thông tin nhạy cảm (chẳng hạn như các trường refresh_token hoặc access_token hiện tại) trước khi gửi nhật ký cho nhóm hỗ trợ.

Cách bật tính năng ghi nhật ký HTTP đầy đủ:

1. Đảm bảo GCDS không chạy với sync-cmd hoặc Trình quản lý cấu hình.
2. Chuyển đến thư mục cài đặt GCDS.

3. Chỉnh sửa tệp jre/lib/logging.properties.

4. Thêm các dòng sau vào cuối tệp:

   java.util.logging.FileHandler.pattern = %h/gcdshttp%u.%g.log
   java.util.logging.FileHandler.limit = 5000000
   java.util.logging.FileHandler.count = 100
   java.util.logging.FileHandler.formatter = java.util.logging.SimpleFormatter
   handlers = java.util.logging.FileHandler
   com.google.api.client.http.level = CONFIG
   
   com.google.gdata.client.http.HttpGDataRequest.level = ALL
   sun.net.www.protocol.http.HttpURLConnection.level = ALL

5. Lưu tệp.
6. Chạy một quy trình đồng bộ hoá GCDS khác (với nhật ký được đặt thành Trace).

   Các tệp nhật ký có tên gcdshttp*.log được tạo trong homedir (Linux) hoặc thư mục hồ sơ (Microsoft Windows). Lưu trữ các tệp này cùng nhau vì chúng có thể khá lớn.

7. Xoá các dòng đã thêm ở bước 4 để ngăn việc tạo các tệp nhật ký lớn trong tương lai.
8. Cung cấp các tệp sau để được hỗ trợ:
   • Tệp XML
   • Nhật ký ở cấp độ theo dõi và các tệp gcdshttp*.log từ lần đồng bộ hoá gần nhất

LƯU Ý: Nếu muốn bật tính năng ghi nhật ký cho một lớp mới, hãy thêm một dòng dưới dạng class.fqdn.level = ALL, bạn không cần sao chép toàn bộ khối thiết lập.

Sử dụng proxy gỡ lỗi

Mỗi phần nội dung yêu cầu và phản hồi được ghi nhật ký đều bị giới hạn ở kích thước 16 KB. Nếu bạn thấy một mục nhật ký bị cắt ngắn vì vượt quá giới hạn đó, hãy sử dụng một proxy gỡ lỗi, chẳng hạn như Fiddler.

Để bật Fiddler, hãy làm theo các bước sau:

1. Chuyển đến đường dẫn nơi GCDS được cài đặt, ví dụ: C:\Program Files\Google Cloud Directory Sync.
2. Thêm các cờ sau vào tệp .vmoptions (ví dụ: config-manager.vmoptions hoặc sync-cmd.vmoptions) để tắt các quy trình kiểm tra CRL:

   -Dcom.sun.security.enableCRLDP=false

   -Dcom.sun.net.ssl.checkRevocation=false

Khởi động lại GCDS để các thay đổi có hiệu lực.

1. Định cấu hình Fiddler làm proxy trong chế độ cài đặt proxy của cấu hình miền trên Google. Trong trường tên máy chủ, hãy thêm địa chỉ IP cục bộ 127.0.0.1. Cổng mặc định là 8888, nhưng bạn có thể xác nhận điều này bằng cách mở Fiddler, chuyển đến phần Options > Connections (Tuỳ chọn > Kết nối) rồi kiểm tra giá trị trong trường "Fiddler Classiclistens on port" (Fiddler Classic theo dõi trên cổng).

Nếu đang sử dụng GCDS trên Linux, bạn không thể dùng kho lưu trữ chứng chỉ đáng tin cậy của Windows, vì vậy, bạn cần nhập chứng chỉ gốc Fiddler vào kho lưu trữ uy tín Java của GCDS. Để biết thông tin chi tiết về các bước này, hãy xem bài viết Khắc phục sự cố liên quan đến chứng chỉ.

Vấn đề khi thiết lập máy chủ chuyển tiếp SMTP

Nếu bạn gặp vấn đề khi thiết lập máy chủ chuyển tiếp SMTP cho thông báo, hãy thử các bước khắc phục sự cố sau.

Thông báo "Không kết nối được" và "Máy chủ SMTP không xác định"

1. Mở giao diện nhập dòng lệnh.
2. Để kiểm tra xem tên máy chủ đã định cấu hình của máy chủ SMTP có phân giải thành địa chỉ IP hay không, hãy nhập lệnh sau:

   nslookup smtp-host-name.com

Thông báo Lỗi kết nối và không kết nối được với máy chủ SMTP

Kiểm tra xem máy chủ chạy GCDS có thể kết nối với máy chủ lưu trữ SMTP hay không.

1. Để kiểm tra kết nối, hãy nhập lệnh sau qua dòng lệnh hoặc thiết bị đầu cuối của Windows:

   telnet smtp.gmail.com 587

2. Nếu máy chủ lưu trữ không thể kết nối, hãy kiểm tra các quy tắc tường lửa đầu vào của máy chủ SMTP và các quy tắc tường lửa đầu ra của máy chủ GCDS.
3. Đảm bảo rằng bạn đã cho phép lưu lượng truy cập trên cổng SMTP.

Không thể chuyển đổi ổ cắm thành lỗi TLS trong nhật ký

Tắt quy trình kiểm tra danh sách thu hồi chứng chỉ (CRL). Để biết thông tin chi tiết, hãy xem bài viết Cách GCDS kiểm tra danh sách thu hồi chứng chỉ.

Làm cách nào để mở một tệp XML đã lưu trên một máy khác hoặc dưới tên một người dùng khác?

Hãy xem phần Làm việc với tệp cấu hình để biết hướng dẫn về cách mở tệp XML đã lưu trên một máy khác hoặc dưới tên một người dùng khác trên cùng một máy.

Làm cách nào để xuất dữ liệu từ thư mục LDAP?

Nếu dữ liệu LDAP trong nhật ký cấp độ theo dõi của GCDS không khớp với những gì bạn muốn đọc trên máy chủ LDAP (ví dụ: không tìm thấy người dùng hoặc một thuộc tính không có giá trị chính xác), hãy xuất dữ liệu từ thư mục LDAP ở định dạng LDIF. Nhóm hỗ trợ có thể so sánh dữ liệu này với dữ liệu LDAP trong nhật ký GCDS.

Khi xuất dữ liệu, hãy sử dụng một công cụ truy vấn LDAP như ldapsearch (Linux) hoặc ldifde (Windows) và mô phỏng các điều kiện tương tự mà GCDS đang chạy:

• Sử dụng cùng chế độ cài đặt kết nối với chế độ cài đặt mà GCDS được định cấu hình để sử dụng.
• Chạy công cụ truy vấn trên cùng một máy mà GCDS đang chạy.
• Sử dụng cùng một tên người dùng để xác thực LDAP của GCDS.

Ví dụ:

Nhật ký GCDS không cho thấy thuộc tính mail của người dùng và chế độ cài đặt quy tắc tìm kiếm GCDS của bạn là:

• Tên phân biệt cơ sở: ou=Ireland,dc=altostrat,dc=com
• Phạm vi: Subtree
• Bộ lọc tìm kiếm: (&(objectCategory=person)(objectClass=user))
• Máy chủ: dc01.altostrat.com
• Cổng: 636
• Giao thức: LDAP+SSL
• DN người dùng xác thực: cn=GCDS,ou=Users,dc=altostrat,dc=com

Sử dụng các lệnh sau:

• Linux: ldapsearch -v -b "ou=Ireland,dc=altostrat,dc=com" -s sub -h dc01.altostrat.com -p 636 -x -Z -D "cn=GCDS,ou=Users,dc=altostrat,dc=com" "(&(objectCategory=person)(objectClass=user))" mail givenname uniqueidentifier sn > out.ldif (Bạn có thể phải sửa đổi lệnh này tuỳ thuộc vào hệ thống của mình.)
• Windows: ldifde -f out.ldif -s dc01.altostrat.com -v -t 636 -d "ou=Ireland,dc=altostrat,dc=com" -r "(&(objectCategory=person)(objectClass=user))" -p SubTree -l mail,givenname,uniqueidentifier,sn -a "cn=GCDS,ou=Users,dc=altostrat,dc=com" PASSWORD (Thay thế PASSWORD bằng mật khẩu của người dùng LDAP được đặt trong GCDS.)

Nếu đầu ra (out.ldif) không chứa thuộc tính mail cho một người dùng chịu ảnh hưởng, thì có vấn đề với cơ sở hạ tầng LDAP. Vấn đề này có thể liên quan đến các quyền của người dùng mà bạn đang sử dụng để truy cập vào LDAP (ví dụ: cả OpenLDAP và Active Directory đều cho phép đặt quyền ở cấp thuộc tính). Hoặc thuộc tính này có thể không được sao chép vào Danh mục chung nếu bạn đang sử dụng một cổng Danh mục chung như 3268 hoặc 3269.

Nếu đầu ra có thuộc tính mail cho một người dùng chịu ảnh hưởng, hãy cung cấp các thông tin sau cho nhóm hỗ trợ Google Workspace:

• Tệp out.ldif
• Ảnh chụp màn hình của dấu nhắc lệnh hoặc cửa sổ dòng lệnh nơi bạn chạy lệnh
  (Nhớ xoá mật khẩu trước.)
• Nhật ký ở cấp độ theo dõi của GCDS

Tôi có cần máy chủ thông báo để chạy quy trình đồng bộ hoá mô phỏng không?

Để chạy một quy trình đồng bộ hoá mô phỏng, bạn cần có một máy chủ có khả năng gửi thư. Nếu đang chạy GCDS trên một máy chủ thư, bạn có thể sử dụng địa chỉ IP 127.0.0.1 cho máy chủ thư của mình. Nếu không, hãy liên hệ với quản trị viên thư của bạn để biết thông tin chính xác về thư.

Tại sao GCDS không chạy quy trình đồng bộ hoá qua dòng lệnh?

Nếu bạn đang dùng dòng lệnh để chạy một quy trình đồng bộ hoá và quy trình này không bắt đầu, hãy kiểm tra xem bạn có dùng đối số -o hoặc --oneinstance trong dòng lệnh hay không.

Nếu bạn sử dụng một trong các đối số đó, GCDS sẽ tạo một tệp LOCK (.lock) được liên kết với tệp cấu hình XML. Ngoài ra, nếu tìm thấy một tệp LOCK khác trên cùng một máy chủ, GCDS sẽ không chạy quy trình đồng bộ hoá để ngăn nhiều phiên bản GCDS chạy đồng thời.

Nếu không có phiên bản nào khác của GCDS đang chạy, hãy kiểm tra xem có tệp LOCK nào khác trên máy chủ hay không. Xoá tệp theo cách thủ công rồi thử chạy lại quy trình đồng bộ hoá.

Quá trình đồng bộ hoá của tôi chưa hoàn tất. Có thể là do sự cố về API không?

Nếu quá trình đồng bộ hoá chưa hoàn tất (ví dụ: toàn bộ thành viên của một nhóm chưa được đồng bộ hoá), thì có thể Directory API đang gặp vấn đề. Để xác minh xem vấn đề có liên quan đến một API hay sản phẩm GCDS, hãy gọi Directory API theo cách thủ công và xem xét kết quả. Để gọi API theo cách thủ công, hãy chọn một trong 2 cách.

Cách 1: Sử dụng trang tham chiếu API

1. Truy cập vào Tổng quan về tài liệu tham khảo Admin SDK API.
2. Ở bên trái, hãy nhấp vào Directory API, sau đó, đối với REST Resources, hãy chuyển đến REST Resource mà bạn muốn truy vấn.
3. Ở bên phải, hãy nhấp vào phương thức bạn muốn thử rồi nhấp vào Thử.

   Nếu trang tài liệu tham khảo về API không có nút Thử, hãy chuyển đến Lựa chọn 2: Sử dụng OAuth 2.0 Playground.

4. Nhập thông tin đăng nhập của quản trị viên mà bạn đã dùng để uỷ quyền cho GCDS.

   Để biết thông tin chi tiết, hãy xem bài viết Xác định chế độ cài đặt miền của bạn trên Google.

5. Xem xét thông tin để đảm bảo API phản hồi đúng như dự kiến.

Cách 2: Sử dụng OAuth 2.0 Playground

1. Mở OAuth 2.0 Playground.
2. Chọn một mục:
   • Chọn một phạm vi trong danh sách.
   • Sao chép một phạm vi trong danh sách Phạm vi uỷ quyền trên trang tài liệu tham khảo API. Sau đó, hãy dán phạm vi vào trường Nhập phạm vi của riêng bạn.
3. Nhấp vào Uỷ quyền cho API.
4. Nhập thông tin đăng nhập của quản trị viên mà bạn đã dùng để uỷ quyền cho GCDS.

   Để biết thông tin chi tiết, hãy xem bài viết Xác định chế độ cài đặt miền của bạn trên Google.

5. Nhấp vào Đổi mã uỷ quyền lấy mã thông báo.

   Nếu quá trình này thành công, bạn sẽ được chuyển hướng đến Bước 3: Định cấu hình yêu cầu đối với API.

6. Điền các thông tin theo yêu cầu.

   Lưu ý: Bạn có thể tìm thấy hầu hết thông tin trên trang web tham khảo phương thức API.

7. Nhấp vào Gửi yêu cầu.
8. Xem xét thông tin để đảm bảo API phản hồi đúng như dự kiến.

Nguyên nhân gây ra lỗi hoặc xung đột EntityDoesNotExist/EntityExists là gì?

Trong tệp cấu hình XML, hãy đặt lựa chọn useDynamicMaxCacheLifetime. Lựa chọn này sẽ định cấu hình GCDS để lưu dữ liệu vào bộ nhớ đệm trong tối đa 8 ngày và xoá bộ nhớ đệm thường xuyên hơn trong các tập dữ liệu nhỏ đến trung bình để giảm khả năng dữ liệu trong bộ nhớ đệm trở nên cũ hoặc xung đột với dữ liệu mới. Lựa chọn useDynamicMaxCacheLifetime là tự động trong các cấu hình được tạo bằng GCDS 3.2.1 trở lên.

Lưu ý: Những lỗi này thường xảy ra khi bạn sửa đổi trực tiếp trong miền Google của mình. Khi sử dụng GCDS để đồng bộ hoá, bạn nên tránh thực hiện thay đổi trực tiếp đối với miền của Google. Thay vào đó, hãy thay đổi người dùng, nhóm và các thực thể khác trong thư mục LDAP. Sau đó, hãy sử dụng GCDS để đồng bộ hoá những thay đổi này với miền của bạn trên Google.

Làm cách nào để khắc phục lỗi liên quan đến bộ nhớ?

Nếu gặp lỗi liên quan đến bộ nhớ, bạn cần tăng kích thước vùng nhớ khối xếp cho Máy ảo Java. Tăng kích thước vùng nhớ heap bằng cách chỉnh sửa các tệp sync-cmd.vmoptions và config-manager.vmoption trong thư mục cài đặt của GCDS. Các mục có liên quan sẽ có dạng như sau:

• -Xmx1000m (lượng bộ nhớ tối đa được phân bổ cho kích thước vùng nhớ khối xếp)
• -Xms64m (lượng bộ nhớ tối thiểu được phân bổ cho kích thước vùng nhớ khối xếp)

Chỉnh sửa cả tệp sync-cmd.vmoptions và config-manager.vmoptions để thay đổi áp dụng cho cả phiên bản sync-cmd và Configuration Manager.

Chỉnh sửa số -Xmx để tăng dung lượng bộ nhớ. Chữ "m" sau con số cho biết bộ nhớ được đo bằng megabyte (MB). Dung lượng bộ nhớ cần thiết phụ thuộc vào dung lượng bộ nhớ của máy chủ GCDS và dung lượng bộ nhớ cần thiết cho quá trình đồng bộ hoá. Bạn có thể cần sửa đổi số này nhiều lần để đặt kích thước chính xác. Để biết thêm thông tin về lượng RAM trống cần thiết để chạy GCDS, hãy xem bài viết Yêu cầu về hệ thống đối với GCDS.

Tại sao GCDS vẫn trả về lỗi khi bộ nhớ đệm bị tắt?

Vấn đề này có thể là do cấu hình có vấn đề, chẳng hạn như cấu hình sai quy tắc loại trừ. Loại cấu hình sai này có thể bị ẩn do tính năng lưu vào bộ nhớ đệm của GCDS.

GCDS lưu trữ dữ liệu vào bộ nhớ đệm cho dịch vụ của Google (chẳng hạn như Google Workspace hoặc Cloud Identity) trong tối đa 8 ngày. GCDS có thể xoá bộ nhớ đệm thường xuyên hơn, tuỳ thuộc vào kích thước dữ liệu được lưu vào bộ nhớ đệm. Tuy nhiên, nếu không xoá bộ nhớ đệm, bạn có thể không thấy nội dung cập nhật trong tối đa 8 ngày.

Ví dụ: bạn đồng bộ hoá dữ liệu LDAP và tạo một nhóm mới cho dịch vụ của Google (chẳng hạn như Google Workspace hoặc Cloud Identity). Sau đó, bạn tạo một quy tắc loại trừ để loại trừ nhóm đó khỏi các lần đồng bộ hoá tiếp theo. Quy tắc loại trừ được định cấu hình không đúng cách và sẽ không thành công. Tuy nhiên, các lệnh gọi đồng bộ hoá tiếp theo trên dữ liệu được lưu vào bộ nhớ đệm và nhóm vẫn nằm trong dịch vụ của Google. Khi bạn đồng bộ hoá lại với bộ nhớ đệm đã xoá, cấu hình sai sẽ khiến nhóm bị xoá khỏi dịch vụ của Google.

Cách xoá bộ nhớ đệm theo cách thủ công:

• Chạy quy trình đồng bộ hoá từ Trình quản lý cấu hình và chọn xoá bộ nhớ đệm khi thực hiện quy trình đồng bộ hoá.
• Chạy lệnh đồng bộ hoá và sử dụng đối số -f để buộc xoá bộ nhớ đệm.
• Sửa đổi tệp cấu hình XML để đặt giá trị maxCacheLifetime thành 0.

Quan trọng: Việc buộc xoá bộ nhớ đệm có thể làm tăng đáng kể thời gian đồng bộ hoá.

Tại sao GCDS lại cố gắng tạo người dùng Google đã tồn tại?

Nếu bạn gặp lỗi 409: Thực thể đã tồn tại, thì GCDS đang cố gắng tạo những người dùng Google đã tồn tại. Nếu không thấy lỗi trong các lần đồng bộ hoá tiếp theo, thì có thể bộ nhớ đệm của GCDS đã lỗi thời và bạn có thể bỏ qua lỗi này.

Nếu vấn đề xảy ra mỗi lần đồng bộ hoá hoặc vài ngày một lần, thì những lý do có khả năng nhất là:

• Quy tắc loại trừ người dùng Google quá rộng – quy tắc này khớp với một số người dùng Google cũng có trong thư mục LDAP.
• Truy vấn quá hẹp – truy vấn không khớp với một số người dùng Google cũng có trong thư mục LDAP.

Cả hai trường hợp này đều có thể khiến GCDS bỏ qua những người dùng Google đã tồn tại. Nếu những người dùng đó có trong kết quả của quy tắc tìm kiếm người dùng LDAP, thì GCDS sẽ cố gắng tạo họ trong Tài khoản Google của bạn.

Để giải quyết vấn đề này, hãy điều chỉnh quy tắc loại trừ hoặc cụm từ tìm kiếm. Hoặc nếu bạn muốn GCDS hoàn toàn bỏ qua người dùng trong thư mục LDAP, hãy điều chỉnh quy tắc tìm kiếm người dùng LDAP hoặc tạo quy tắc loại trừ người dùng LDAP. Để biết thông tin chi tiết, hãy xem bài viết Bỏ qua dữ liệu bằng các quy tắc và truy vấn loại trừ.

Tại sao một số người dùng không được đồng bộ hoá dưới dạng thành viên nhóm?

Để đồng bộ hoá các thành viên nhóm riêng biệt với kết quả của mọi quy tắc tìm kiếm người dùng, theo mặc định, GCDS sẽ bật INDEPENDENT_GROUP_SYNC. Nếu bạn đang sử dụng thuộc tính tham chiếu thành viên để đồng bộ hoá nhóm, thì GCDS sẽ cố gắng phân giải địa chỉ email của mọi người dùng trong thư mục LDAP, bất kể quy tắc tìm kiếm người dùng nào.

Để đồng bộ hoá các thành viên nhóm chỉ dựa trên kết quả của các quy tắc tìm kiếm người dùng, hãy xoá INDEPENDENT_GROUP_SYNC khỏi tệp XML cấu hình. GCDS:

• Sử dụng kết quả của các quy tắc tìm kiếm người dùng để xác định tư cách thành viên trong nhóm
• Chỉ đồng bộ hoá những người dùng có trong quy trình đồng bộ hoá người dùng của bạn dưới dạng thành viên nhóm
• Thực thi các quy tắc tìm kiếm người dùng, ngay cả khi bạn tắt chế độ đồng bộ hoá tài khoản người dùng trong phần Cài đặt chung

  (Tuy nhiên, kết quả không đồng bộ hoá với Google dưới dạng người dùng mà dưới dạng thành viên nhóm, nếu người dùng đủ điều kiện cũng đủ điều kiện làm thành viên nhóm.)

Thông thường, bạn không muốn quá trình đồng bộ hoá diễn ra theo cách này, đặc biệt là nếu bạn đang đồng bộ hoá người liên hệ được chia sẻ và có các thành viên nhóm là người liên hệ. Trong trường hợp này, các liên hệ sẽ không được đồng bộ hoá dưới dạng thành viên nhóm.

Tại sao một số người dùng hoặc nhóm lại được tạo lại mỗi khi đồng bộ hoá?

Vấn đề này xảy ra khi thuộc tính LDAP được định cấu hình làm Thuộc tính tên nhóm không chứa địa chỉ email đầy đủ. Để giải quyết vấn đề này, hãy kiểm tra các quy tắc Tìm kiếm nhóm và đảm bảo rằng GCDS sử dụng địa chỉ email đầy đủ cho tên nhóm. Sử dụng một trong các phương thức sau:

• Đặt Thuộc tính tên nhóm thành một thuộc tính LDAP khác chỉ định địa chỉ email đầy đủ cho từng nhóm, chẳng hạn như mail.
• Bật chế độ Thay thế tên miền trong địa chỉ email LDAP trong phần Cài đặt miền của Google để Thuộc tính tên nhóm của bạn khớp với tên nhóm trên Google.
• Thêm tên miền vào tên nhóm bằng cách chỉ định một hậu tố tên nhóm trong quy tắc tìm kiếm nhóm.

Các nhóm có hơn 1.500 thành viên trong Active Directory không đồng bộ hoá đúng cách

Đảm bảo bạn đã chọn MS Active Directory trong trường loại máy chủ của phần LDAP Configuration (Cấu hình LDAP).

Làm cách nào để sử dụng chế độ "Thay thế tên miền trong địa chỉ email LDAP"?

Lựa chọn này (hiển thị dưới dạng SUPPRESS_DOMAIN trong tệp XML) được dùng nếu địa chỉ email trong thư mục LDAP nằm trong một miền khác với miền Google của bạn. Khi bạn bật chế độ này, GCDS sẽ xoá phần miền khỏi tất cả địa chỉ email mà ứng dụng đọc được.

Mọi quy trình xử lý đều được thực hiện mà không cần tên miền. Nếu sử dụng quy tắc loại trừ dựa trên địa chỉ email, bạn chỉ cần xem xét phần cục bộ của địa chỉ email cho quy tắc loại trừ.

Ví dụ: nếu bạn tắt chế độ Thay thế tên miền trong địa chỉ email LDAP và đang tạo một quy tắc loại trừ Khớp chính xác, hãy nhập luka@example.com làm địa chỉ email của người dùng để khớp. Nếu bạn đã bật chế độ Thay thế tên miền trong địa chỉ email LDAP, hãy sử dụng luka. Việc cố gắng so khớp luka@example.com sẽ không hoạt động, vì @example.com sẽ bị xoá trước khi so sánh.

Tôi có thể lồng các nhóm tĩnh và nhóm động không?

Khi cung cấp nhóm bằng GCDS, bạn không thể lồng nhóm động bên dưới nhóm tĩnh (hoặc nhóm tĩnh bên dưới nhóm động). GCDS yêu cầu các nhóm tĩnh phải được truy vấn riêng biệt với các nhóm động; tuy nhiên, tất cả các nhóm lồng nhau phải thuộc cùng một truy vấn.

Tìm cách triển khai nhóm động dưới dạng nhóm tĩnh, có thể bằng cách tự động hoá một tác vụ định kỳ truy vấn mọi nhóm động để điền sẵn các nhóm tĩnh trong thư mục. Sau đó, GCDS có thể dùng các nhóm tĩnh (được tạo từ nhóm động) để cung cấp và không cung cấp nhóm động.

Tại sao tôi nhận được kết quả không mong muốn từ truy vấn LDAP?

Kết quả cho các truy vấn LDAP phụ thuộc vào chế độ cài đặt Configuration Manager và máy chủ LDAP. Hãy sử dụng các mẹo khắc phục sự cố này nếu quy tắc tìm kiếm LDAP trả về kết quả không mong muốn. Đảm bảo:

• Truy vấn LDAP được thiết lập chính xác trong Trình quản lý cấu hình – Khi bạn thiết lập một quy tắc tìm kiếm, hãy nhấp vào Kiểm tra truy vấn LDAP để xác minh. Để biết chi tiết, hãy xem bài viết Sử dụng quy tắc tìm kiếm LDAP để đồng bộ hoá dữ liệu.
• Nhiều truy vấn không mâu thuẫn với nhau – Kiểm tra để đảm bảo bạn chưa thiết lập quy tắc tìm kiếm hoặc loại trừ làm thay đổi kết quả của một truy vấn.
• Người dùng được uỷ quyền cho máy chủ LDAP có đủ quyền – Đảm bảo rằng quản trị viên dùng để xác thực máy chủ LDAP có thể sử dụng dòng lệnh trên cùng một máy chủ. Hãy thử truy vấn trên máy chủ LDAP và xác minh kết quả.

Lỗi không tạo được nhóm

Bạn có thể gặp phải thông báo lỗi Không tạo được nhóm .... Thông báo: Not Authorized to access this resource/api (Không được phép truy cập vào tài nguyên/API này) trong nhật ký GCDS.

Để khắc phục sự cố, hãy kiểm tra để đảm bảo rằng thuộc tính Active Directory (AD) chứa miền cho địa chỉ email của người dùng và nhóm khớp với miền mà tài khoản quản trị viên cấp cao của bạn sử dụng.

Tại sao tôi thấy danh bạ trùng lặp trong thư mục miền sau khi đồng bộ hoá với GCDS?

Vấn đề này thường xảy ra nếu bạn đang đồng bộ hoá danh bạ dùng chung và các quy tắc tìm kiếm được tạo không chính xác.

Có 2 loại đối tượng liên quan mà bạn có thể đồng bộ hoá với GCDS:

• Hồ sơ người dùng – Người dùng trong miền Google của bạn có thêm dữ liệu như số điện thoại hoặc địa chỉ. Bạn chỉ có thể đồng bộ hoá hồ sơ cho người dùng có trong miền của bạn.
• Danh bạ dùng chung – Danh bạ của các bên bên ngoài mà người dùng trong miền của bạn cần liên hệ.

Để giải quyết vấn đề này, hãy điều chỉnh các quy tắc tìm kiếm người liên hệ dùng chung để loại trừ người dùng trong miền của riêng bạn. Trong lần đồng bộ hoá tiếp theo, GCDS sẽ tìm cách xoá các mục liên hệ dư thừa. Bạn có thể cần điều chỉnh hạn mức xoá người liên hệ được chia sẻ cho lần đồng bộ hoá đầu tiên đó.

Tại sao một số người dùng không thấy địa điểm làm việc chính của họ trong Lịch Google?

Trong một số trường hợp, người dùng không thấy địa điểm làm việc chính của mình trong Lịch Google khi lên lịch hoặc sắp xếp cuộc họp.

Nếu bạn gặp phải vấn đề này, hãy đảm bảo rằng các thuộc tính loại vị trí và khu vực được đặt thành "bàn".

Tại sao quy tắc tìm kiếm không tìm thấy nội dung nào?

Nếu bạn gặp vấn đề với kết quả tìm kiếm, hãy kiểm tra:

• Phạm vi của quy tắc. Bạn có thể cần đặt phạm vi thành Cây con.
• Quy tắc tìm kiếm mà bạn đang sử dụng là chính xác.
• Các thuộc tính được dùng đều tồn tại và hiển thị.

Truy vấn LDAP của bạn. Xác minh rằng truy vấn trên máy chủ LDAP của bạn đang sử dụng cùng tên người dùng quản trị đã được định cấu hình trong GCDS.

Để biết thêm chi tiết, hãy xem bài viết Sử dụng quy tắc tìm kiếm LDAP để đồng bộ hoá dữ liệu.

Khi tạo một quy tắc ngoại lệ, tại sao tôi không thấy nút OK?

Có thể bạn đang sử dụng một phông chữ quá lớn so với màn hình. Hộp thoại này không hoạt động với phông chữ lớn hoặc siêu lớn. Thay đổi cỡ chữ hoặc chỉnh sửa trực tiếp tệp XML.