排解網路流量問題

G Suite Sync for Microsoft Outlook

如果您使用 G Suite Sync for Microsoft® Outlook® (GSSMO) 時遇到網路連線問題,可以按照下列步驟解決問題。

修正連線問題

步驟 1:開啟連線通訊埠
  • 為 Outlook.exe 和 ProfileEditor.exe 開啟通訊埠 443。接著從下載頁面重新安裝 GSSMO,確保安裝檔案可正確下載。這種做法可解決許多網路問題,因為我們的同步處理工具主要是透過通訊埠 443 進行通訊。
  • 開啟通訊埠 80,下載憑證撤銷清單 (CRL)。
  • 開啟 Microsoft Windows® 防火牆通訊埠,允許 Outlook 與 Google 伺服器通訊。如需操作說明,請參閱 Microsoft 說明文件。
步驟 2:允許來自獲准網址的流量

您必須允許來自下列網址的流量:

網址 用途
https://oauth2.googleapis.com/token
https://www.googleapis.com/oauth2/v4/token
驗證
https://www.googleapis.com/calendar/ 日曆
http://crl.geotrust.com/crls/secureca.crl
http://g.symcb.com/crls/gtglobal.crl
http://pki.google.com/GIAG2.crl
http://g.symcd.com
http://clients1.google.com/ocsp
憑證撤銷清單
https://www.google.com/m8/feeds/contacts/ 聯絡人
https://www.google.com/m8/feeds/gal 全域通訊清單
https://mail.google.com/mail/r/
https://www.googleapis.com/gmail/
郵件
https://www.googleapis.com/drive/ 記事
https://www.googleapis.com/tasks/ 工作

 

注意:如果您使用 Windows 家長監護系統,可能必須將網址加入您的允許清單。詳情請參閱 Microsoft 說明文件。

建議您參閱這篇文章找出 Google IP 位址範圍。GSSMO 可使用其中任一 IP 位址。

步驟 3:確認您是否使用 Proxy

GSSMO 不支援已驗證的 Proxy。如何查看您是否使用 Proxy:

  1. 關閉所有 Microsoft Internet Explorer® 視窗。
  2. 開啟一個新的 Internet Explorer 視窗。
  3. 前往 https://mail.google.com
  4. 如果系統提示您驗證 Proxy,請向您的網路管理員尋求協助。

當您使用 Proxy 時,Google Cloud 技術支援無法針對連線問題提供支援。

步驟 4:查詢記錄檔

其他網路問題均記錄在 GSSMO 追蹤檔中。您可以使用 Log 分析工具快速分析追蹤記錄。

排解常見的網路問題

檢查記錄

如果您遇到網路錯誤 (例如網路逾時和連線遭拒等) 或者安全資料傳輸層/傳輸層安全標準問題 (亦稱 SSL/TLS 問題,例如無法建立安全連線),相關記錄會顯示這項工具嘗試連線的 IP 位址。在無法建立安全連線的情況下,記錄會顯示相關原因 (例如憑證名稱不符、憑證已過期,或無法檢查 CRL 等等) 和憑證詳細資料 (例如 Google 憑證或 HTTPS 檢查 Proxy)。只要檢查記錄,即可大幅減少疑難排解時的網路擷取需求。請一併檢查主要記錄 (Trace-*.log) 和授權記錄 (位於「Identity」資料夾中)。

授權記錄範例

[2022-09-21T03:59:46:ERROR:windows_http.cc(331)] TLS connection failure. See details below. [Status: 0x00010000. Status Info: 0x00000001]
[2022-09-21T03:59:46:ERROR:windows_http.cc(340)] Certificate details:
---Validity--
Valid from: 2017-09-13 17:23:55 UTC
Valid until: 2017-12-06 17:10:00 UTC
---Subject---
US
California
Mountain View
Google Inc
*.googleapis.com
---Issuer----
US
Google Inc
Google Internet Authority G2
-------------
[2022-09-21T03:59:46:ERROR:windows_http.cc(282)] WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED: Certification revocation checking has been enabled, but the revocation check failed to verify whether a certificate has been revoked. The server used to check for revocation might be unreachable.
[2022-09-21T03:59:46:ERROR:windows_http.cc(197)] Error from API WinHttpSendRequest with WinHTTP proxy. Will try direct (without proxy). Code: 0x00002f8f
[2022-09-21T03:59:46:ERROR:windows_http.cc(107)] Network connection destination details: 216.58.194.170:443 (sfo07s13-in-f170.1e100.net)

以上範例顯示,電腦上當前日期的年份已變更為 2022 年,導致憑證看似過期。您可以在每行記錄的開頭找到當前日期,並發現該日期晚於憑證的「Valid from」和「Valid until」日期。錯誤標記 WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED 表示系統無法檢查憑證撤銷作業。

在最後一行記錄的「Network connection destination details」後方,您也可以找到目的地 IP 位址和經過解析的主機名稱。這個 1e100.net address 即代表 Google。

追蹤記錄範例

注意:以下範例是 GSMMO 的記錄。當 GSMME、GSPS 或 GSSMO 遇到網路/TLS 問題時,這些產品中也會顯示類似的追蹤記錄項目。

2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2025 ()> Secure connection failure. Status: 0x00010000. Info 0x00000009
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2030 ()> Failure details:
WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED: Certification revocation checking has been enabled, but the revocation check failed to verify whether a certificate has been revoked. The server used to check for revocation might be unreachable.
WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA: The function is unfamiliar with the Certificate Authority that generated the server's certificate.
Certificate details:
---Validity--
Valid from: 2016-09-20T04:08:45.000Z
Valid until: 2022-09-20T04:08:45.000Z
---Subject---
Created by http://www.fiddler2.com
DO_NOT_TRUST
*.google.com
---Issuer----
Created by http://www.fiddler2.com
DO_NOT_TRUST
DO_NOT_TRUST_FiddlerRoot
-------------
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2071 ()> Error result 5, hr = 0x80072f8f. Setting event 0000000000001638.
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2076 ()> Network connection destination details: 127.0.0.1:8888 (COMPUTERNAME)

以上範例顯示,Fiddler 已安裝完畢並設為執行 HTTPS 解密作業,意即 Fiddler 是使用本身的憑證,不過這個憑證已從 Windows 的信任憑證清單中刪除,因此 Fiddler 處於不受信任的狀態。請注意,Fiddler 屬於 Proxy,因此系統會將其視為連線至 127.0.0.1,而非 Google。您可以看到錯誤標記包含 WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA,這表示系統不信任憑證授權單位 (CA)。另請注意,此範例中的憑證並非由 Google 核發,因此不是 Google 憑證。

由於攻擊者可以輕易偽造上述範例中顯示的文字,請勿將這些資訊用於驗證作業 (應改用 CA 簽名)。不過,如要針對執行 SSL 檢查/中間人 (MITM) 攻擊的防火牆/Proxy 找出設定問題,這些資訊就能派上用場。

注意:版本較舊的 GSSMO 可能不會提供本文說明的進階記錄功能,因此建議您升級為最新版本。詳情請參閱步驟 1

 

重要事項:Google 支援團隊很樂意提供相關指南,引導您設定網路來使用 GSSMO。不過,我們無法直接協助您設定網路。如需相關協助,請洽詢您的區域網路管理員。

這對您有幫助嗎?
我們應如何改進呢?