GSPS のトラブルシューティング

G Suite Password Sync(GSPS)の設定がうまくいかない場合は、まず G Suite Password Sync を設定するに記載されている各手順を正しく踏んでいることをご確認ください。その後、GSPS に関する一般的な問題について下記を参照してください。

すべて開く   |   すべて閉じる

組織内の一部のユーザーのパスワードしか GSPS で同期されない
  • ドメインのすべての Active Directory サーバー(ドメイン コントローラ)に GSPS が正しくインストールされていることを確認します。Microsoft® Windows Server 2008 以降では、書き込み可能なドメイン コントローラにのみ GSPS のインストールが必要です。不明な場合は、すべてのドメイン コントローラに GSPS をインストールします。すべてにインストールしても問題はありません。
  • アップデートに失敗したユーザーのアカウントが、管理者アカウントよりも高い権限を持っていないことを確認します。設定に使用するアカウントよりも高い権限を持つアカウントのパスワードは変更できません。たとえば、管理者権限を持つアカウントで、特権管理者権限を持つアカウントのパスワードを変更することはできません。
  • ユーザーのメールアドレスが、設定時に [Mail Attribute] に入力したメールアドレスであることと、そのアドレスが Google のメインのメールアドレスと(アドレスのドメイン部分も含めて)正確に一致していることを確認します。
  • パスワードがユーザー名とグループ名のガイドラインに沿っていることを確認します。サポートされていない文字が含まれているためにパスワードの同期に失敗した場合は、GSPS DLL ログに加えて Windows の「アプリケーション」イベントログに警告が記録されます。

    Log Name: Application
    Source: G Suite Password Sync
    Event ID: 40963
    Level: Warning
    Contents: An attempt to change the password for user USERNAME was made. However, the new password contains unsupported characters. The password can not be updated on G Suite, and will be out of sync with Active Directory.

Active Directory 管理者であるにもかかわらず、GSPS のインストールや設定が許可されない
  • GSPS をインストールするには、Domain Admins グループのメンバーである必要があります。Administrators グループのメンバーであるだけでは権限が十分ではありません。
  • 設定するドメイン コントローラと同じドメインのドメイン管理者として Windows にログインする必要があります。別のドメインのドメイン管理者としてログインした場合(別のドメインのエンタープライズ管理者、信頼できるドメインの管理者など)、GSPS のインストールや設定を行う権限はありません。
GSPS インストーラがエラー終了する

下記を確認してください。

  • インストーラを(ネットワーク経由ではなく)ローカルで実行していること。
  • サーバーのアーキテクチャに適した GSPS の版(32 ビット版または 64 ビット版)を使用していること。
GSPS へのアクセスが許可されない GSPS のプロキシを設定する方法がわからない

GSPS でプロキシ接続がサポートされるのは、すべてのドメイン コントローラでシステム全体についてプロキシ設定を行った場合です。方法は次のとおりです。

  1. Internet Explorer®https://www.googleapis.com/ にアクセスし、現在のユーザーのプロキシ設定が正しく設定されていることを確認します。
    1. google.com にリダイレクトされた場合や [Not Found] というページが表示された場合は、プロキシ設定が正しいとみなすことができます。
    2. 認証を求められたり証明書エラーが表示されたりした場合は、プロキシ設定が誤っている可能性があります。
  2. 次のコマンドを実行します。
    netsh winhttp import proxy ie
  3. プロキシ サーバーを使用していないにもかかわらず、プロキシ関連の問題が発生する場合は、コマンド プロンプトでコマンド bitsadmin /util /setieproxy networkservice no_proxy を実行します。このコマンドを実行すると、システムに存在する可能性があるプロキシ設定が自動検出されても無視されるようになります。

: GSPS では認証が不要なプロキシのみがサポートされています。認証が必要なプロキシをお使いの場合(基本認証、Kerberos 認証、NTLM 認証)、組織のドメイン コントローラからドメイン コントローラを設定するで指定された宛先への未認証の接続、または直接接続を許可するように、プロキシを設定する必要があります。

GSPS ではプロキシ接続がサポートされていますが、問題が発生した場合には、その問題がプロキシ サーバーによるものでないことを確認するために、直接接続の有効化が必要になることがあります。プロキシ設定はローカル環境に依存するため、Google Cloud サポート では設定に関するサポートをいたしかねます。プロキシの問題が発生した場合は、ネットワーク管理者にご連絡ください。

認証を試みると、「Network error connecting to Google」というエラーが表示される

このエラーは GSPS で承認を確認できなかったことを示すもので、さまざまな理由から発生します。プロキシ設定を調べ、GSPS で必要な URL への接続がネットワークで許可されていることをご確認ください。

新しい GSPS サーバーをインストールした後に、既存のサーバーで認証に失敗してエラーが表示されるようになった

3-Legged OAuth を使用して Google ドメインを認証する場合、現時点では、1 クライアント、1 ユーザー アカウントあたりのトークン制限があります。この上限値に達すると、新しいトークンが作成された際に自動的に一番古いトークンが警告なく無効化されます。

トークンの制限を回避するには、3-Legged OAuth ではなくサービス アカウントを使用してください。詳しくは、G Suite 認証方法の選択をご覧ください。

自動トラブルシューティング

GSPS サポートツールを使用して、すべてのドメイン コントローラの GSPS のログやトラブルシューティング情報をまとめて収集することができます。このツールは、ドメイン内のすべての書き込み可能なドメイン コントローラに接続し、下記のトラブルシューティング チェックリストに示したすべての情報を各ドメイン コントローラから収集します(ネットワーク接続テストを除く)。

手動トラブルシューティングのチェックリスト
このリストにある手順の一部で、コンソール コマンドを実行する必要があります。コンソール コマンドを実行するには、[スタート] メニューの [すべてのプログラム] > [アクセサリ] > [コマンド プロンプト] をクリックし、コマンド プロンプト(CMD)ウィンドウを開きます。

システムによっては、コマンド プロンプトに適切な権限を与えるために、[コマンド プロンプト] を右クリックして [管理者として実行] を選ぶ必要があります。
  • ドメイン管理者グループのメンバーとしてログインしていることを確認します。
  • ドメイン コントローラの一覧を表示します。
    コマンド nltest /dclist:[ドメイン名] を実行します。ここで、[ドメイン名] はご利用の Active Directory ドメインの名前に置き換えます。
  • 各ドメイン コントローラについて、以下を手順に沿って確認します。
    1. サーバーに GSPS がインストールされていることを確認します。
    2. GSPS のインストール後にサーバーを再起動したことを確認します。
    3. GSPS の正しい版(32 ビット版または 64 ビット版)がインストールされていることを確認します。
    4. そのサーバーで Internet Explorer を使用して https://www.googleapis.com にアクセスできることを確認します(このページに Google のエラー メッセージや [Not Found] が表示される場合は問題ありません)。このページで証明書エラーが表示されないこと、あるいはプロキシ認証が求められないこと(認証プロキシ サーバーはサポートされていないため)を確認します。
    5. 次のコマンドを入力して、現在のユーザーのプロキシ設定をシステム全体のプロキシ設定にコピーします。netsh winhttp import proxy ie
    6. プロキシ サーバーを使用していないにもかかわらず、プロキシ関連の問題が発生する場合は、コマンド bitsadmin /util /setieproxy networkservice no_proxy を実行します。
    7. コマンド reg query HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Notification Packages" を実行して、サーバーのレジストリに GSPS DLL が登録されていることを確認します。出力に password_sync_dll という文字が含まれていることを確認します。含まれていない場合は、GSPS を再インストールする必要があります。
    8. コマンド tasklist /m password_sync_dll.dll を実行して、GSPS DLL が読み込まれていることを確認します。結果に「lsass.exe」というプロセスが含まれていることを確認します。

      含まれていない場合は、DLL が読み込まれていません。DLL がレジストリに登録され、版(32 ビット版または 64 ビット版)がシステムと一致していることを確認します。確認後、DLL を読み込むためにサーバーを再起動します。

    9. コマンド sc query "G Suite Password Sync"(バージョン 1.6 以前をご利用の場合は sc query "Google Apps Password Sync")を実行して、GSPS サービスが起動していることを確認します。

      次のように表示されます。

      • STATE: RUNNING: サービスは実行中です。
      • STATE: STOPPED: サービスは実行されていません。コマンド sc start "G Suite Password Sync"(バージョン 1.6 以前をご利用の場合は sc start "Google Apps Password Sync")を実行して起動してみます。起動しない場合、すべての前提条件を見直します。

      • 指定されたサービスはインストールされたサービスとして存在しません: サービスがシステムにインストールされていないので、GSPS を設定する手順を完了します。設定ツールの概要画面に、サービスが稼働中であることを示す確認メッセージが表示されます。
    10. 上記に説明されているように、ネットワークとプロキシの設定が正しく行われていることを確認します。
ログと設定ファイルの場所

GSPS サポートツールを使用して、すべてのドメイン コントローラの GSPS のログやトラブルシューティング情報をまとめて収集することができます。これらのログを手動で検索する必要がある場合は、次の情報を使ってファイルを見つけてください。

ファイルの種類 ファイルの場所 ファイルの用途
設定ファイル C:\ProgramData\Google\Google Apps 
Password Sync\config.xml
このファイルを見直して設定を確認します。
サービスログ C:\Windows\ServiceProfiles\NetworkService\
AppData\Local\Google\Google Apps
Password Sync\Tracing\password_sync_service
GSPS の設定が正しいにもかかわらず、全部または一部のユーザーのパスワードが同期されない場合は、これらのファイルを見直します。
サービス承認ログ C:\Windows\ServiceProfiles\NetworkService\
AppData\Local\Google\Identity

GAPS サービスログに、エラーコード 0x6、0x203、0x4、または 0x102 の「Authentication failed」というエラーが表示された場合は、
これらのファイルを見直します。

設定インターフェース ログ C:\Users\ユーザー名\AppData\Local\Google\
Google Apps Password Sync\Tracing\GoogleAppsPasswordSync

(バージョン 1.6 以前をご利用の場合)C:\Users\ユーザー名\AppData\Local\Google\ Google Apps Password Sync\Tracing\GoogleAppsPasswordSync

設定時に問題が発生した場合は、これらのファイルを見直します。
設定インターフェース承認ログ C:\Users\ユーザー名\AppData\Local\Google\Identity 設定の Google 承認部分で問題が発生した場合は、これらのファイルを見直します。
DLL ログ C:\WINDOWS\system32\config\systemprofile\
AppData\Local\ Google\Google Apps Password Sync\Tracing\lsass
サービス ログにパスワード変更を試みた形跡がない(成功や失敗の報告がない)場合は、これらのファイルを見直します。
コマンドライン インストーラ ログ C:\Users\ユーザー名\AppData\Local\Google\
Google Apps  Password Sync\Tracing\MsiExec 
コマンドラインでの GSPS のインストール中に問題が発生した場合は、インストーラ ログと msi_log.txt ファイル(または /l*vx パラメータで指定したファイル名)を見直します。
キャッシュ レポートログ

GSPS UI 設定ツールがクラッシュした場合、次の場所にログが生成されます。

C:\Users\ユーザー名\AppData\Local\Temp

GSPS サービスがクラッシュした場合、次の場所にログが生成されます。

C:\Windows\ServiceProfiles\NetworkService\
AppData\Local\Temp

管理者がデフォルトの一時ディレクトリを変更している場合、この情報を手に入れる方法については、一時ディレクトリを見つける方法をご覧ください。

 

一時ディレクトリを見つける方法

GSPS 設定ウィザードがクラッシュした場合:

  1. コマンドライン ツール(cmd.exe)を開きます
  2. echo %TEMP% と入力します。

GSPS サービスがクラッシュした場合:

  1. https://docs.microsoft.com/en-us/sysinternals/downloads/psexec から PsExec ファイルをダウンロードします。
  2. コマンドライン ツール(cmd.exe)を開きます。
  3. PsExec ファイルをダウンロードしたディレクトリに移動します。
  4. psexec.exe -i -s %SystemRoot%\system32\cmd.exe と入力します。
  5. 新しいコマンド ウィンドウが開きます。whoami コマンドを入力します。「nt authority\system」のようなメッセージが表示されます。
  6. echo %TEMP% と入力します。

 

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。