GSPS のトラブルシューティング

G Suite Password Sync

G Suite Password Sync(GSPS)の設定がうまくいかない場合は、以下の GSPS に関する一般的な問題の解決方法をご確認ください。

始める前に

トラブルシューティングを開始する前に、次の点をご確認ください。

  • すべてのシステム要件を満たしていて、ドメイン コントローラが正しく設定されている。詳細
  • すべての設定手順を完了した。詳細

問題が引き続き発生する場合は、以下の GSPS に関する一般的な問題の解決方法をご確認ください。

GSPS に関する一般的な問題

すべて開く   |   すべて閉じる

組織内の一部のユーザーのパスワードしか GSPS で同期されない

一部のユーザーのパスワードが同期されない場合は、次の点をご確認ください。

  • ドメインのすべての Active Directory サーバー(ドメイン コントローラ)に GSPS が正しくインストールされている。Microsoft® Windows Server 2008 以降では、書き込み可能なドメイン コントローラにのみ GSPS のインストールが必要です。不明な場合は、すべてのドメイン コントローラに GSPS をインストールします。すべてにインストールしても問題はありません。
  • アップデートに失敗したユーザーのアカウントが、管理者アカウントよりも高い権限を持っていない。設定に使用するアカウントよりも高い権限を持つアカウントのパスワードは変更できません。たとえば、管理者権限を持つアカウントで、特権管理者権限を持つアカウントのパスワードを変更することはできません。
  • ユーザーのメールアドレスが、設定時に [Mail Attribute] に入力した属性のメールアドレスである。これらのアドレスは Google のメインのメールアドレスと(アドレスのドメイン部分も含めて)完全に一致している必要があります。
  • パスワードがユーザー名とグループ名のガイドラインに沿っている。サポートされていない文字が含まれているためにパスワードの同期に失敗した場合は、Windows の「アプリケーション」イベントログに警告が記録されます。次に例を示します。

    Log Name: Application
    Source: G Suite Password Sync
    Event ID: 40963
    Level: Warning
    Contents: An attempt to change the password for user USERNAME was made. However, the new password contains unsupported characters. The password can not be updated on G Suite, and will be out of sync with Active Directory.

Active Directory 管理者であるにもかかわらず、GSPS のインストールや設定が許可されない

GSPS をインストールするには、Domain Admins グループのメンバーである必要があります。Administrators グループのメンバーであるだけでは権限が十分ではありません。

設定するドメイン コントローラと同じドメインのドメイン管理者として Windows にログインする必要があります。別のドメインのドメイン管理者としてログインした場合(別のドメインのエンタープライズ管理者、信頼できるドメインの管理者など)、GSPS のインストールや設定を行う権限はありません。

GSPS インストーラがエラー終了する

下記の設定をご確認ください。

  • インストーラを(ネットワーク経由ではなく)ローカルで実行している。
  • サーバーのアーキテクチャに適した GSPS の版(32 ビット版または 64 ビット版)を使用している。
GSPS へのアクセスが許可されない GSPS のプロキシを設定する方法がわからない

GSPS でプロキシ接続がサポートされるのは、すべてのドメイン コントローラでシステム全体についてプロキシ設定を行った場合です。方法は次のとおりです。

  1. Internet Explorer®https://www.googleapis.com/ にアクセスし、現在のユーザーのプロキシ設定が正しく設定されていることを確認します。
    google.com にリダイレクトされた場合や [Not Found] というページが表示された場合は、プロキシ設定が正しいとみなすことができます。認証を求められたり証明書エラーが表示されたりした場合は、プロキシ設定が誤っている可能性があります。
  2. コマンド netsh winhttp import proxy ie を実行します。
  3. (省略可)プロキシ サーバーを使用していないにもかかわらずプロキシ関連の問題が発生する場合は、コマンド プロンプトで bitsadmin /util /setieproxy networkservice no_proxy を実行します。これにより、システムに存在する可能性があるプロキシ設定が自動検出されても無視されるようになります。

:

  • GSPS では認証が不要なプロキシのみがサポートされています。認証が必要なプロキシをお使いの場合(基本認証、Kerberos 認証、NTLM 認証)、組織のドメイン コントローラからドメイン コントローラを設定するで指定された宛先への未認証の接続、または直接接続を許可するように、プロキシを設定する必要があります。
  • GSPS ではプロキシ接続がサポートされていますが、問題がプロキシ サーバーによるものでないことを確認するために、直接接続の有効化が必要になることがあります。プロキシ設定はローカル環境に依存するため、Google Cloud サポート では設定に関するサポートをいたしかねます。プロキシの問題が発生した場合は、ネットワーク管理者にご連絡ください。
認証を試みると「Network error connecting to Google」というエラーが表示される

このエラーは GSPS で承認を確認できなかったことを示します。プロキシ設定を調べて、GSPS で必要な URL への接続がネットワークで許可されていることをご確認ください。

新しい GSPS サーバーをインストールした後に、既存のサーバーで認証に失敗してエラーが表示されるようになった

3-legged OAuth を使用して Google ドメインを認証する場合、現時点では、1 クライアント、1 ユーザー アカウントあたりのトークン制限があります。この上限値に達すると、新しいトークンが作成された際に自動的に一番古いトークンが警告なく無効化されます。

トークンの制限を回避するには、3-legged OAuth ではなくサービス アカウントを使用してください。詳しくは、G Suite 認証方法の選択をご覧ください。

自動トラブルシューティング

GSPS サポートツールを使用して、すべてのドメイン コントローラの GSPS のログやトラブルシューティング情報をまとめて収集することができます。このツールは、ドメイン内の書き込み可能なドメイン コントローラに接続し、下記のトラブルシューティング チェックリストに示した情報が収集されます(ネットワーク接続テストを除く)。

手動トラブルシューティングのチェックリスト
このリストにある手順の一部では、コンソール コマンドを実行する必要があります。手順は次のとおりです。
  1. コマンド プロンプト(CMD)ウィンドウを開くには、[スタート] ボタンをクリックします。
  2. [すべてのプログラム] 次に [アクセサリ] 次に [コマンド プロンプト] をクリックします。
  3. (省略可)システムによっては、[コマンド プロンプト] を右クリックして [管理者として実行] を選択する必要があります。

最初に次の手順を完了する

  • Domain Admins グループのメンバーであることを確認します。
  • ドメイン コントローラの一覧を表示します。一覧を表示するには、コマンド nltest /dclist:[ドメイン名] を実行します。ここで、[ドメイン名] はご利用の Active Directory ドメインの名前に置き換えます。

各ドメイン コントローラで次の手順を完了する

  1. GSPS の正しい版(32 ビット版または 64 ビット版)がサーバーにインストールされていることを確認します。
  2. GSPS のインストール後にサーバーを再起動します。
  3. Internet Explorer を使用して https://www.googleapis.com にアクセスできることを確認します。このページに Google のエラー メッセージや [Not Found] が表示される場合は問題ありません。このページで証明書エラーが表示されないこと、あるいはプロキシ認証が求められないことを確認します。認証プロキシ サーバーはサポートされていません。
  4. コマンド netsh winhttp import proxy ie を使用して、現在のユーザーのプロキシ設定をシステム全体のプロキシ設定にコピーします。
  5. プロキシ サーバーを使用していないにもかかわらずプロキシ関連の問題が発生する場合は、コマンド bitsadmin /util /setieproxy networkservice no_proxy を実行します。
  6. コマンド reg query HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Notification Packages" を実行して、サーバーのレジストリに GSPS DLL が登録されていることを確認します。出力に password_sync_dll という文字が含まれていることを確認します。含まれていない場合は、GSPS を再インストールする必要があります。
  7. コマンド tasklist /m password_sync_dll.dll を実行して、GSPS DLL が読み込まれていることを確認します。

    結果に「lsass.exe」というプロセスが含まれていることを確認します。含まれていない場合は、DLL が読み込まれていません。DLL がレジストリに登録され、版(32 ビット版または 64 ビット版)がシステムと一致していることを確認します。次に、DLL を読み込むためにサーバーを再起動します。

  8. コマンド sc query "G Suite Password Sync"(バージョン 1.6 以前をご利用の場合は sc query "Google Apps Password Sync")を実行して、GSPS サービスが起動していることを確認します。
    出力は以下を示します。
    • STATE: RUNNING - サービスは実行中です。
    • STATE: STOPPED - サービスは実行されていません。
      コマンド sc start "G Suite Password Sync"(バージョン 1.6 以前をご利用の場合は sc start "Google Apps Password Sync")を実行します。
    • 指定されたサービスはインストールされたサービスとして存在しません - サービスがインストールされていません。
      GSPS を設定する手順を完了します。設定ツールの概要画面に、サービスが稼働中であることを示す確認メッセージが表示されます。
  9. ネットワークとプロキシの設定が正しく行われていることを確認します。詳細
ログと設定ファイルの場所

GSPS サポートツールを使用して、すべてのドメイン コントローラの GSPS のログやトラブルシューティング情報をまとめて収集することができます。

これらのログを手動で検索する必要がある場合は、次の情報を使ってファイルを見つけてください。

ファイルの種類 ファイルの場所 ファイルの用途
設定ファイル C:\ProgramData\Google\Google Apps 
Password Sync\config.xml
このファイルを見直して設定を確認します。
サービスログ C:\Windows\ServiceProfiles\NetworkService\
AppData\Local\Google\Google Apps
Password Sync\Tracing\password_sync_service
GSPS の設定が正しいにもかかわらず、全部または一部のユーザーのパスワードが同期されない場合は、これらのファイルを見直します。
サービス承認ログ C:\Windows\ServiceProfiles\NetworkService\
AppData\Local\Google\Identity

GAPS サービスログに、エラーコード 0x6、0x203、0x4、または 0x102 の「Authentication failed」というエラーが表示された場合は、
これらのファイルを見直します。

設定インターフェース ログ C:\Users\ユーザー名\AppData\Local\Google\
Google Apps Password Sync\Tracing\GoogleAppsPasswordSync

(バージョン 1.6 以前をご利用の場合)C:\Users\ユーザー名\AppData\Local\Google\ Google Apps Password Sync\Tracing\GoogleAppsPasswordSync

設定時に問題が発生した場合は、これらのファイルを見直します。
設定インターフェース承認ログ C:\Users\ユーザー名\AppData\Local\Google\Identity 設定の Google 承認部分で問題が発生した場合は、これらのファイルを見直します。
DLL ログ C:\WINDOWS\system32\config\systemprofile\
AppData\Local\ Google\Google Apps Password Sync\Tracing\lsass
サービス ログにパスワード変更を試みた形跡がない(成功や失敗の報告がない)場合は、これらのファイルを見直します。
コマンドライン インストーラ ログ C:\Users\ユーザー名\AppData\Local\Google\
Google Apps  Password Sync\Tracing\MsiExec 
コマンドラインでの GSPS のインストール中に問題が発生した場合は、インストーラ ログと msi_log.txt ファイル(または /l*vx パラメータで指定したファイル名)を見直します。
クラッシュ レポートログ

GSPS UI 設定ツールがクラッシュした場合、次の場所にログが生成されます。

C:\Users\ユーザー名\AppData\Local\Temp

GSPS サービスがクラッシュした場合、次の場所にログが生成されます。

C:\Windows\ServiceProfiles\NetworkService\
AppData\Local\Temp

管理者がデフォルトの一時ディレクトリを変更している場合、この情報を手に入れる方法については、一時ディレクトリを見つける方法をご覧ください。

 

一時ディレクトリを見つける方法

GSPS 設定ウィザードがクラッシュした場合:

  1. コマンドライン ツール(cmd.exe)を開きます
  2. echo %TEMP% と入力します。

GSPS サービスがクラッシュした場合:

  1. https://docs.microsoft.com/en-us/sysinternals/downloads/psexec から PsExec ファイルをダウンロードします。
  2. コマンドライン ツール(cmd.exe)を開きます。
  3. PsExec ファイルをダウンロードしたディレクトリに移動します。
  4. psexec.exe -i -s %SystemRoot%\system32\cmd.exe と入力します。
  5. 新しいコマンド ウィンドウが開きます。whoami コマンドを入力します。「nt authority\system」のようなメッセージが表示されます。
  6. echo %TEMP% と入力します。

 

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。