G Suite Password Sync のトラブルシューティング

G Suite Password Sync (GSPS)の設定がうまくいかない場合は、以下の一般的な問題の解決方法をご確認ください。

始める前に

次のことを確認してください。

  • すべてのシステム要件を満たしていて、ドメイン コントローラが正しく設定されている。詳細
  • すべての設定手順を完了した。詳細

問題が引き続き発生する場合は、以下の GSPS に関する一般的な問題の解決方法をご確認ください。

Log Analyzer を試す

取得したトレースログを Google 管理者ツールボックスにある Log Analyzer に読み込みます。ほとんどの場合、数分以内で問題を特定できます。

詳しくは、トレースログ ファイルが保存されている場所に関する説明をご覧ください。

GSPS に関する一般的な問題

すべて開く   |   すべて閉じる

組織内の一部のユーザーのパスワードしか GSPS で同期されない

パスワードが同期されないユーザーがいる場合は、次の点をご確認ください。

  • ドメインのすべての Microsoft Active Directory サーバー(ドメイン コントローラ)に GSPS が正しくインストールされているか。Microsoft Windows Server 2008 以降では、書き込み可能なドメイン コントローラにのみ GSPS のインストールが必要です。不明な場合は、すべてのドメイン コントローラに GSPS をインストールしてください。すべてにインストールしても問題はありません。
  • 同期できなかったユーザーのアカウントの権限が、管理者アカウントの権限よりも上位になっていないか。設定を行うアカウントよりも高い権限を持つアカウントのパスワードは変更できません。たとえば、管理者権限を持つアカウントで、特権管理者権限を持つアカウントのパスワードを変更することはできません。
  • ユーザーのメールアドレスが、設定時に [Mail Attribute] に指定した属性のメールアドレスになっているか。これらのアドレスは Google のメインのメールアドレスと(アドレスのドメイン部分も含めて)完全に一致している必要があります。
  • パスワードがユーザー名とグループ名のガイドラインの基準を満たしているか。同期に失敗した原因が、パスワードに使用できない文字が含まれていることである場合、Windows の「アプリケーション」イベントログに GSPS の警告が記録されます。次に例を示します。

    Log Name: Application
    Source: G Suite Password Sync
    Event ID: 40963
    Level: Warning
    Contents: An attempt to change the password for user USERNAME was made. However, the new password contains unsupported characters. The password can not be updated on Google Workspace, and will be out of sync with Active Directory.

Active Directory 管理者であるにもかかわらず、GSPS のインストールまたは設定が許可されない

GSPS をインストールするには、ドメイン管理者グループのメンバーである必要があります。管理者グループのメンバーであるだけでは権限が十分ではありません。

設定するドメイン コントローラと同じドメインのドメイン管理者として Windows にログインする必要があります。別のドメインのドメイン管理者(別のドメインのエンタープライズ管理者、信頼できるドメインの管理者など)としてログインした場合、GSPS のインストールと設定を行う権限はありません。

GSPS インストーラがエラー終了する

以下の設定をご確認ください。

  • インストーラを(ネットワーク経由ではなく)ローカルで実行している。
  • サーバーのアーキテクチャに適した GSPS バージョン(32 ビット版または 64 ビット版)を使用している。
GSPS へのアクセスが許可されない

アプリのアクセス制御を Google Workspace サービスに付与していることを確認します。詳細

GSPS のプロキシを設定する方法がわからない

GSPS でプロキシ接続がサポートされるのは、すべてのドメイン コントローラでシステム全体にわたるプロキシ設定を行った場合です。

  1. Microsoft Internet Explorer で https://www.googleapis.com/ にアクセスし、現在のユーザーのプロキシ設定が正しく設定されていることを確認します。

    google.com のページまたは [Not Found] というページにリダイレクトされた場合は、プロキシ設定が正しいとみなすことができます。認証を求められたり証明書エラーが表示されたりした場合は、プロキシ設定が誤っている可能性があります。

  2. コマンド プロンプトで、コマンド netsh winhttp import proxy ie を実行します。
  3. (省略可)プロキシ サーバーを使用していないにもかかわらずプロキシ関連の問題が発生する場合は、コマンド プロンプトでコマンド bitsadmin /util /setieproxy networkservice no_proxy を実行します。これにより、システムに存在する可能性があるプロキシ設定が自動検出されても無視されます。

:

  • GSPS では認証が不要なプロキシのみがサポートされています。認証が必要なプロキシをお使いの場合(基本認証、Kerberos 認証、NTLM 認証)、組織のドメイン コントローラからドメイン コントローラを設定するで指定された宛先に対して未認証の接続、または直接接続を許可するように、プロキシを設定する必要があります。
  • GSPS はプロキシ接続には対応していますが、プロキシ サーバーによって問題が起きないようにするために、直接接続の有効化が必要になることがあります。プロキシ設定はローカル環境に依存するため、Google Cloud サポートでは設定に関するサポートをいたしかねます。プロキシの問題が発生した場合は、ネットワーク管理者にご連絡ください。
承認を試みると「Network error connecting to Google」というエラーが表示される

このエラーは GSPS で認証を確認できなかったことを示します。プロキシ設定を見直して、GSPS で必要な URL への接続がネットワークで許可されていることをご確認ください。

新しい GSPS サーバーをインストールした後に、既存のサーバーで認証に失敗してエラーが表示されるようになった

3-legged OAuth を使用して Google ドメインを認証する場合、現時点では、1 クライアント、1 ユーザー アカウントあたりのトークン制限があります。この上限値に達すると、新しいトークンが作成された際に自動的に一番古いトークンが警告なく無効化されます。詳細

トークンの制限を回避するには、3-legged OAuth ではなくサービス アカウントを使用してください。詳しくは、Google の認証方法を選択するをご覧ください。

自動トラブルシューティング

サードパーティの GSPS サポートツールを使用すれば、すべてのドメイン コントローラの GSPS のログとトラブルシューティング情報をまとめて収集することができます。このツールは、ドメイン内の書き込み可能なドメイン コントローラに接続し、下記のトラブルシューティング チェックリストに示した情報を収集します(ネットワーク接続テストを除く)。

なお、GSPS サポートツールは Google Cloud サポートの対象外です。

手動トラブルシューティングのチェックリスト
このリストの手順には、コンソール コマンドの実行が必要なものも含まれています。

コマンド プロンプト(CMD)を開く

  1. [スタート] メニューで [Windows システム] 次に [コマンド プロンプト] をクリックします。
  2. (省略可)システムによっては、[コマンド プロンプト] を右クリックして [その他] 次に [管理者として実行] をクリックする必要があります。

最初に次の手順を完了する

  • ドメイン管理者グループのメンバーであることを確認します。
  • ドメイン コントローラの一覧を表示します。一覧を表示するには、コマンド nltest /dclist:your-ad-domain.com を実行します。ここで、your-ad-domain.com はご利用の Active Directory ドメインの名前に置き換えてください。

各ドメイン コントローラで次の手順を完了する

  1. GSPS の正しいバージョン(32 ビット版または 64 ビット版)がサーバーにインストールされていることを確認します。
  2. GSPS をインストールした後、サーバーを再起動します。
  3. Internet Explorer を使用して https://www.googleapis.com にアクセスできることを確認します。このページに Google のエラー メッセージまたは [Not Found] が表示される場合は問題ありません。このページで証明書エラーが表示されないこと、あるいはプロキシ認証が求められないことを確認します。認証プロキシ サーバーはサポートされていません。
  4. コマンド netsh winhttp import proxy ie を実行して、現在のユーザーのプロキシ設定をシステム全体のプロキシ設定にコピーします。
  5. プロキシ サーバーを使用していないにもかかわらずプロキシ関連の問題が発生する場合は、コマンド bitsadmin /util /setieproxy networkservice no_proxy を実行します。
  6. コマンド reg query HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Notification Packages" を実行して、サーバーのレジストリに GSPS DLL が登録されていることを確認します。

    出力に password_sync_dll という文字が含まれていれば問題ありません。含まれていない場合は、GSPS を再インストールする必要があります。

  7. コマンド tasklist /m password_sync_dll.dll を実行して、GSPS DLL が読み込まれていることを確認します。

    結果に「lsass.exe」というプロセスが含まれていれば問題ありません。含まれていない場合は、DLL が読み込まれていません。DLL がレジストリに登録され、バージョン(32 ビット版または 64 ビット版)がシステムと一致していることを確認します。次に、DLL を読み込むためにサーバーを再起動します。

  8. コマンド sc query "G Suite Password Sync"(バージョン 1.6 以前をご利用の場合は sc query "Google Apps Password Sync")を実行して、GSPS サービスが起動していることを確認します。

    出力結果とその意味は次のとおりです。

    • STATE: RUNNING - サービスは実行中です。
    • STATE: STOPPED - サービスは実行されていません。

      コマンド sc start "G Suite Password Sync"(バージョン 1.6 以前をご利用の場合は sc start "Google Apps Password Sync")を実行します。

    • 指定されたサービスはインストールされたサービスとして存在しません - サービスがインストールされていません。

      G Suite Password Sync を設定する手順を完了します。設定ツールの概要画面に、サービスが稼働中であることを示す確認メッセージが表示されます。

  9. ネットワークとプロキシの設定が正しく行われていることを確認します。詳細
トレース ファイル ログの場所

GSPS のトレースログは、パソコンの次の場所にあります。C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Google Apps Password Sync\Tracing\password_sync_service

トレースログ ファイルの例は、後述のログを調べるでご確認ください。

ログと構成ファイルの場所

サードパーティの GSPS サポートツールを使用して、すべてのドメイン コントローラから GSPS のログとトラブルシューティング情報を収集できます。

構成ファイルとログを見つける

構成ファイル

  • ファイルの場所:

    C:\ProgramData\Google\Google Apps Password Sync\config.xml

  • ファイルの用途:

    このファイルを見直して設定を確認します。

サービスログ

  • ファイルの場所:

    C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Google Apps Password Sync\Tracing\password_sync_service

  • ファイルの用途:

    GSPS の設定が正しいにもかかわらず、すべてまたは一部のユーザーのパスワードが同期されない場合は、これらのファイルを見直します。

    トレースログ ファイルの例は、後述のログを調べるでご確認ください。

サービス認証ログ

  • ファイルの場所:

    C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Identity

  • ファイルの用途:

    GSPS サービスログに、エラーコード 0x6、0x203、0x4、または 0x102 の「Authentication failed」というエラーが表示された場合は、これらのファイルを見直します。

    認証ログファイルの例は、後述のログを調べるでご確認ください。

設定インターフェース ログ

  • ファイルの場所:

    C:\Users\[ユーザー名]\AppData\Local\Google\Google Apps Password Sync\Tracing\Password Sync

    (バージョン 1.6 以前をご利用の場合)C:\Users\[ユーザー名]\AppData\Local\Google\Google Apps Password Sync\Tracing\GoogleAppsPasswordSync

  • ファイルの用途:

    設定時に問題が発生した場合は、これらのファイルを見直します。

    トレースログ ファイルの例は、後述のログを調べるでご確認ください。

設定インターフェース認証ログ

  • ファイルの場所:

    C:\Users\[ユーザー名]\AppData\Local\Google\Identity

  • ファイルの用途:

    設定の Google 認証部分で問題が発生した場合は、これらのファイルを見直します。

DLL ログ

  • ファイルの場所:

    C:\Windows\System32\config\systemprofile\AppData\Local\Google\Google Apps Password Sync\Tracing\lsass

  • ファイルの用途:

    サービスログにパスワード変更を試みた形跡がない(成功または失敗の報告がない)場合は、これらのファイルを見直します。

コマンドライン インストーラ ログ

  • ファイルの場所:

    C:\Users\[ユーザー名]\AppData\Local\Google\Google Apps Password Sync\Tracing\MsiExec

  • ファイルの用途:

    コマンドラインでの GSPS のインストール中に問題が発生した場合は、インストーラ ログと msi_log.txt ファイル(またはパラメータ /l*vx で指定したファイル名)を見直します。

クラッシュ レポートログ

  • ファイルの場所:

    GSPS UI 設定ツールがクラッシュした場合、次の場所にログが生成されます。
    C:\Users\[ユーザー名]\AppData\Local\Temp

    GSPS サービスがクラッシュした場合、次の場所にログが生成されます。C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp

  • ファイルの用途:

    管理者がデフォルトの一時ディレクトリを変更している場合は、一時ディレクトリを見つける方法をご確認ください。

一時ディレクトリを見つける方法

GSPS 設定ウィザードがクラッシュした場合:

  1. コマンド プロンプト(CMD)を開きます。
  2. コマンド echo %TEMP% を実行します。

GSPS サービスがクラッシュした場合:

  1. Microsoft から PsExec プログラム ファイルをダウンロードします。
  2. コマンド プロンプト(CMD)を開きます。
  3. PsExec ファイルをダウンロードしたディレクトリに移動します。
  4. コマンド psexec.exe -i -s %SystemRoot%\system32\cmd.exe を実行します。
  5. 新しいコマンド ウィンドウが開きます。コマンド whoami を実行します。

    「nt authority\system」のようなメッセージが表示されます。

  6. コマンド echo %TEMP% を実行します。
ログを調べる

ネットワーク エラー(ネットワーク タイムアウト、接続拒否など)または SSL / TLS の問題(接続のセキュリティに関する問題など)が発生すると、接続試行先 IP アドレスがログに記録されます。接続のセキュリティに関する問題が発生した場合は、その原因(証明書の名前の不一致、証明書の期限切れ、CRL チェックの失敗など)と証明書の詳細(Google 証明書、HTTPS 検査プロキシなど)がログに示されます。こうした記録により、トラブルシューティングの目的でネットワーク キャプチャを取得する必要性が大幅に軽減されます。このことは、メインのログ(Trace-*.log)と認証ログ([Identity] フォルダ内)の両方について言えます。

認証ログの例

[2022-09-21T03:59:46:ERROR:windows_http.cc(331)] TLS connection failure. See details below. [Status: 0x00010000. Status Info: 0x00000001]
[2022-09-21T03:59:46:ERROR:windows_http.cc(340)] Certificate details:
---Validity--
Valid from: 2017-09-13 17:23:55 UTC
Valid until: 2017-12-06 17:10:00 UTC
---Subject---
US
California
Mountain View
Google Inc
*.googleapis.com
---Issuer----
US
Google Inc
Google Internet Authority G2
-------------
[2022-09-21T03:59:46:ERROR:windows_http.cc(282)] WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED: Certification revocation checking has been enabled, but the revocation check failed to verify whether a certificate has been revoked. The server used to check for revocation might be unreachable.
[2022-09-21T03:59:46:ERROR:windows_http.cc(197)] Error from API WinHttpSendRequest with WinHTTP proxy. Will try direct (without proxy). Code: 0x00002f8f
[2022-09-21T03:59:46:ERROR:windows_http.cc(107)] Network connection destination details: 216.58.194.170:443 (sfo07s13-in-f170.1e100.net)

この場合、パソコンの現在日設定が 2022 年に変更されていたため、証明書が期限切れと判断されました。現在の日付は各ログ行の先頭に記載されています。この例では、証明書の「Valid from」と「Valid until」の日付が現在の日付と一致しません。エラーフラグ WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED は、証明書失効チェックが失敗したことを示します。

また、ログの最終行の「Network connection destination details」の後には、接続先 IP アドレスと解決されたホスト名が記録されています。これは 1e100.net address(Google)のアドレスです。

トレースログの例

注: これは GWMMO ログの例です。ネットワークまたは TLS の問題が発生した場合、同様のトレースログ エントリが、GSMME、G Suite Password Sync (GSPS)、GWSMO でも記録されます。

2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2025 ()> Secure connection failure. Status: 0x00010000. Info 0x00000009
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2030 ()> Failure details:
WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED: Certification revocation checking has been enabled, but the revocation check failed to verify whether a certificate has been revoked. The server used to check for revocation might be unreachable.
WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA: The function is unfamiliar with the Certificate Authority that generated the server's certificate.
Certificate details:
---Validity--
Valid from: 2016-09-20T04:08:45.000Z
Valid until: 2022-09-20T04:08:45.000Z
---Subject---
Created by http://www.fiddler2.com
DO_NOT_TRUST
*.google.com
---Issuer----
Created by http://www.fiddler2.com
DO_NOT_TRUST
DO_NOT_TRUST_FiddlerRoot
-------------
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2071 ()> Error result 5, hr = 0x80072f8f. Setting event 0000000000001638.
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2076 ()> Network connection destination details: 127.0.0.1:8888 (COMPUTERNAME)

この場合、Fiddler がインストールされ、HTTPS 復号を行う(独自の証明書を使用する)ように設定されていますが、その証明書は Windows の信頼できる証明書リストから削除されているため、信頼できません。Fiddler はプロキシであるため、Google ではなく 127.0.0.1 に接続していることがわかります。エラーフラグには WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA が含まれています。これは、認証局 (CA).  がシステムによって信頼されていないことを意味します。この証明書は Google が発行したものではないこともわかります。

ここで示されたサンプル テキストは、攻撃者であれば簡単に偽造できるため、認証には絶対に使用しないでください(代わりに CA 署名を使用してください)。ただし、SSL インスペクションまたは中間者(MITM)攻撃を行うファイアウォール / プロキシの設定の問題を特定するのには有用です。


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。