Password Syncの設定がうまくいかない場合は、以下の一般的な問題の解決方法をご確認ください。
始める前に
トラブルシューティングを開始する前に、すべてのシステム要件を満たしていて、セットアップ手順をすべて完了していることを確認してください。詳しくは、Password Sync を設定するをご覧ください。
トラブルシューティングのオプション
オプション 1: 自動トラブルシューティング
Password Sync サポートツール(Google のオープンソース ツール)を使用して、すべてのドメイン コントローラから Password Sync のログとトラブルシューティング情報を収集します。
- リンクをクリックして Password Sync サポートツールをダウンロードします。
- ツールを実行し、パソコンのデスクトップにある ZIP ファイルを見つけて開きます。
- トレースログを抽出し、Google 管理者ツールボックスの Log Analyzer に送信します。
ほとんどの場合、数分以内で問題を識別できます。
Google Workspace では、Password Sync サポートツールのサポートは提供しておりません。
オプション 2: 手動によるトラブルシューティング
自動トラブルシューティングの手順を行っても問題が解決しない場合や、Password Sync サポートツールを実行できなかった場合は、手動でトラブルシューティング情報を収集できます。このタスクの一部の手順では、コンソール コマンドを実行する必要があります。
手順 1: ドメイン コントローラを一覧表示する
- ドメイン管理者グループのメンバーであることを確認します。
詳しくは、Password Sync インストーラが失敗した(このページの後半)をご覧ください。
- [スタート] メニューで [Windows システム]
[コマンド プロンプト] をクリックします。
システムによっては、コマンド プロンプトを右クリックして [その他]
- ドメイン コントローラを一覧表示するには、次のコマンドを入力します。
nltest /dclist:your-ad-domain
your-ad-domain は、Active Directory ドメインの名前に置き換えます。
手順 2: 各ドメイン コントローラで以下を確認する
- 正しいバージョンの Password Sync(32 ビットまたは 64 ビット)がサーバーにインストールされており、Password Sync のインストール後にサーバーを再起動したことを確認します。
- ネットワークとプロキシの設定が正しく行われていることを確認します。
詳しくは、Password Sync のプロキシを設定する(後述)をご覧ください。
- Microsoft Internet Explorer、Chromium ベースの Microsoft Edge、または Google Chrome ブラウザを使用して、https://www.googleapis.com/ にアクセスできることを確認します。
このページに Google のエラーや [Not Found] が表示されても問題ありません。このページで証明書エラーが表示されないこと、あるいはプロキシ認証が求められないことを確認します。認証プロキシ サーバーはサポートされていません。
- 現在のユーザーのプロキシ設定をシステム全体のプロキシ設定にコピーするには、次のコマンドを入力します。
netsh winhttp import proxy ie
- プロキシ サーバーを使用していないにもかかわらずプロキシ関連の問題が発生する場合は、次のコマンドを入力してトラブルシューティングを行います。
bitsadmin /util /setieproxy networkservice no_proxy
- Password Sync DLL がマシンに登録されていることを確認するには、次のコマンドを入力します。
reg query HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Notification Packages"
出力に password_sync_dll という文字が含まれていることを確認します。含まれていない場合は、Password Sync を再インストールする必要があります。
- Password Sync DLL が読み込まれたことを確認するには、次のコマンドを入力します。
tasklist /m password_sync_dll.dll
結果に「lsass.exe」というプロセスが含まれていることを確認します。含まれていない場合は、DLL が読み込まれていません。DLL がレジストリに登録され、版(32 ビット版または 64 ビット版)がシステムと合っていることを確認します。次に、パソコンを再起動して DLL を読み込みます。
手順 3: Password Sync が開始されたことを確認する
Password Sync サービスが開始されたことを確認するには、「sc query "Password Sync"」コマンド (バージョン 1.6.13 ~ 1.7.6 またはバージョン 1.6 以前の Google Apps Password Sync をご利用の場合は、Password SyncG Suite Password Sync に置き換えてください) を入力します。
クエリの出力結果とその意味は次のとおりです。
- STATE: RUNNING - Password Sync は実行中です
- STATE: STOPPED - Password Sync は実行されていません
- 指定されたサービスはインストール済みのサービスとして存在しません - Password Sync はインストールされていません。
Password Sync が実行されていない場合は、「sc start "Password Sync"」コマンド (バージョン 1.6.13 ~ 1.7.6 またはバージョン 1.6 以前の Google Apps Password Sync をご利用の場合は、Password SyncG Suite Password Sync に置き換えてください) を入力します。
Password Sync がインストールされていない場合は、Password Sync を設定するための手順を行います。
Password Sync に関する一般的な問題
問題が解決されない場合は、次のソリューションをご確認ください。
同期が正しく行われたことを確認するセキュリティ調査ツールを使用すると、
- Google 管理コンソールで、管理ログイベントを検索します。
詳しくは、管理ログイベントをご覧ください。
- フィルタを追加してパスワードの変更イベントを検索します。
- 検索を実行し、結果を確認します。イベントに関連付けられているアクターの名前は、Password Sync の設定方法によって異なります。設定に応じた動作を以下に示します。
- UI インターフェース - アクターは、入力した管理者のメールアドレスとして表示されます。
- コマンドライン - アクターは --admin_email コマンドで、パラメータに使用したメールアドレスとして表示されます。
パスワードが同期されないユーザーがいる場合は、次の点をご確認ください。
- ドメインのすべての Microsoft Active Directory サーバー(ドメイン コントローラ)に Password Sync が正しくインストールされているか。Microsoft Windows Server 2008 以降では、書き込み可能なドメイン コントローラにのみ Password Sync をインストールする必要があります。不明な場合は、すべてのドメイン コントローラに Password Sync をインストールしてください。すべてにインストールしても問題はありません。
- 同期できなかったユーザーの管理者権限が、Password Sync の設定に入力された管理者のメールアドレスの権限よりも上位になっていないか。設定を行うアカウントよりも高い権限を持つアカウントのパスワードは変更できません。たとえば、委任管理者の権限を持つアカウントで、特権管理者の権限を持つアカウントのパスワードを変更することはできません。
- ユーザーのメールアドレスが、設定時に [Mail Attribute] に指定した属性のメールアドレスになっているか。これらのアドレスは Google のメインのメールアドレスと(アドレスのドメイン部分も含めて)完全に一致している必要があります。
- パスワードがユーザー名とグループ名のガイドラインの基準を満たしているか。同期に失敗した原因が、パスワードに使用できない文字が含まれていることである場合、Windows の「アプリケーション」イベントログに Password Sync の警告が記録されます。次に例を示します。
Log Name: Application
Source: GoogleAppsPasswordSync
Event ID: 40963
Level: Warning
Contents: An attempt to change the password for user USERNAME was made. However, the new password contains unsupported characters. The password can not be updated on the Google Account, and will be out of sync with Active Directory.
Password Sync をインストールするには、Active Directory でドメイン管理者グループのメンバーである必要があります。管理者グループのメンバーであるだけでは権限が十分ではありません。
設定するドメイン コントローラと同じドメインのドメイン管理者として Windows にログインする必要があります。別のドメインのドメイン管理者(別のドメインのエンタープライズ管理者、信頼できるドメインの管理者など)としてログインした場合、Password Sync のインストールと設定を行う権限はありません。
以下の設定をご確認ください。
- インストーラを(ネットワーク経由ではなく)ローカルで実行している。
- サーバーのアーキテクチャに適した Password Sync バージョン(32 ビット版または 64 ビット版)を使用している。
アプリのアクセス制御を Google Workspace サービスに付与していることを確認します。詳しくは、Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御するをご覧ください。
Password Sync でプロキシ接続がサポートされるのは、すべてのドメイン コントローラでシステム全体にわたるプロキシ設定を行った場合です。
- Internet Explorer、Chromium ベース バージョンの Edge、Chrome ブラウザで https://www.googleapis.com/ にアクセスし、現在のユーザーのプロキシ設定が正しいことを確認します。
google.com のページまたは [Not Found] というページにリダイレクトされた場合は、プロキシ設定が正しいとみなすことができます。認証を求められたり証明書エラーが表示されたりした場合は、プロキシ設定が誤っている可能性があります。
- プロキシ構成をインポートするには、次のコマンドを入力します。
netsh winhttp import proxy ie
- (省略可)プロキシ サーバーを使用していないにもかかわらずプロキシ関連の問題が発生する場合は、次のコマンドを入力します。
bitsadmin /util /setieproxy networkservice no_proxy
これにより、システムに存在する可能性があるプロキシ設定が自動検出されても無視されます。
注:
- Password Sync では認証が不要なプロキシのみがサポートされています。認証が必要なプロキシをお使いの場合(基本認証、Kerberos 認証、NTLM 認証)、組織のドメイン コントローラからドメイン コントローラを設定するで指定された URL とポートに対して未認証の接続、または直接接続を許可するように、プロキシを設定する必要があります。
- Password Sync はプロキシ接続には対応していますが、プロキシ サーバーによって問題が起きないようにするために、直接接続の有効化が必要になることがあります。プロキシ設定はローカル環境に依存するため、Google Workspace サポートでは設定に関するサポートをいたしかねます。プロキシの問題が発生した場合は、ネットワーク管理者にお問い合わせください。
このエラーは Password Sync で認証を確認できなかったことを示します。プロキシ設定を見直して、Password Sync で必要な URL への接続がネットワークで許可されていることをご確認ください。
3-legged OAuth を使用して Google ドメインを認証している場合は、各クライアントのユーザー アカウントごとのトークンに上限があります。この上限値に達すると、新しいトークンが作成された際に自動的に一番古いトークンが警告なく無効化されます。詳しくは、更新トークンの有効期限をご覧ください。
トークンの制限を回避するには、3-legged OAuth ではなくサービス アカウントを使用してください。詳しくは、Google の認証方法を選択するをご覧ください。
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。
