排解 Password Sync 問題

如果您在設定 Password Sync 時遇到問題，請參考下列常見問題的解決方案。

事前準備

開始排解問題前，請先確認您符合所有系統需求，並已順利完成設定步驟。詳情請參閱設定 Password Sync。

疑難排解方法

方法 1：自動疑難排解

您可以使用 Password Sync 支援工具 (Google 提供的開放原始碼工具)，從所有網域控制器收集 Password Sync 記錄和疑難排解資訊。

點選這個連結即可下載 Password Sync 支援工具。
執行工具，然後在電腦桌面找出並開啟 ZIP 檔案。
擷取追蹤記錄，然後提交至 Google Admin Toolbox Log 分析工具。

大多數情況下，系統很快就能確認問題癥結所在。

Google Workspace 支援團隊不會為 Password Sync 支援工具提供支援服務。

'方法 2：手動疑難排解

如果自動疑難排解步驟無法解決問題，或者您無法執行 Password Sync 支援工具，請手動收集疑難排解資訊。這項工作中的某些步驟需要執行主控台指令。

步驟 1：列出網域控制器

確認您是網域管理員群組的成員。
詳情請參閱本頁下方的「Password Sync 安裝程式失敗」。
在 [開始] 功能表中，依序點選 [Windows 系統] [命令提示字元]。
(選用) 在某些系統中，您可能需要在「命令提示字元」上按一下滑鼠右鍵，然後依序點選「更多」圖示「以系統管理員身分執行」。
如要列出網域控制器，請輸入下列指令：
nltest /dclist:<您的廣告網域>

將「您的廣告網域」換成 Active Directory 網域名稱。

步驟 2：在每個網域控制器上確認下列事項

請確認伺服器上已安裝適用的 Password Sync 版本 (32 位元或 64 位元)，且您已在安裝 Password Sync 後重新啟動伺服器。
確認您的網路設定和 Proxy 設定皆正確無誤。
詳情請參閱本頁下方的「配置 Password Sync 的 Proxy 設定」。
如果您使用 Microsoft Internet Explorer、Chromium 版 Microsoft Edge 或 Google Chrome 瀏覽器，請檢查您是否可以存取 https://www.googleapis.com/。
如果這個網頁顯示 Google 錯誤訊息或「Not Found」字樣，就表示一切正常。另外，也請確認該網頁並未顯示憑證錯誤訊息或任何 Proxy 驗證要求，目前不支援已驗證的 Proxy 伺服器。
如要將目前使用者的 Proxy 設定複製到全系統層級的 Proxy 設定，請輸入下列指令：
netsh winhttp import proxy ie
如果您並未使用 Proxy 伺服器，但遇到 Proxy 相關問題，請輸入下列指令來排解問題：
bitsadmin /util /setieproxy networkservice no_proxy
如要確認已在電腦上註冊 Password Sync DLL，請輸入下列指令：
reg query HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Notification Packages"

輸出結果應包含 password_sync_dll 字樣；如果沒有，請重新安裝 Password Sync。
如要確認 Password Sync DLL 是否已載入，請輸入下列指令：
tasklist /m password_sync_dll.dll

結果中應列出「lsass.exe」程序。如果沒有，表示系統尚未載入該 DLL。請確認已註冊該 DLL，且其版本 (32 位元或 64 位元) 符合系統架構。接著重新啟動電腦，以便載入 DLL。

步驟 3：檢查 Password Sync 是否已啟動

如要檢查 Password Sync 服務是否已啟動，請輸入 sc query "Password Sync" 指令 (如果您使用的是 1.6.13 到 1.7.6 版或 Google Apps Password Sync 1.6 以下版本，請改用 G Suite Password Sync 取代 Password Sync)。

以下是每種查詢輸出結果分別代表的意義：

STATE: RUNNING - Password Sync 正在執行
STATE: STOPPED - Password Sync 並未執行
The specified service does not exist as an installed service - Password Sync 未安裝。

如果 Password Sync 未執行，請輸入 sc start "Password Sync" 指令 (如果您使用的是 1.6.13 到 1.7.6 版或 Google Apps Password Sync 1.6 以下版本，請改用 G Suite Password Sync 取代 Password Sync)。

如果尚未安裝 Password Sync，請完成「設定 Password Sync」中的步驟。

Password Sync 常見問題

如果問題持續發生，請確認下列解決方案。

開啟區段 | 全部收合並返回頁首

確認同步處理作業是否正常運作

您可以使用安全調查工具：

在 Google 管理控制台中搜尋管理員記錄事件。
詳情請參閱「管理員記錄事件」。
新增篩選器，搜尋「密碼變更」事件。
執行搜尋並檢查結果。請注意，事件中隨附的執行者名稱會因 Password Sync 的設定方式而異。如果您使用下列項目：
- UI 介面：執行者會顯示為您輸入的管理員電子郵件地址。
- 指令列：執行者會顯示為 --admin_email 指令中參數所用的電子郵件地址。

只有部分使用者可使用 Password Sync

如果有部分使用者的密碼未成功同步處理，請確認以下事項：

您已經成功為網域中「所有」的 Microsoft Active Directory 伺服器 (網域控制器) 安裝 Password Sync。對於 Microsoft Windows Server 2008 以上版本，您須在可寫入的網域控制器安裝 Password Sync。如果不確定可寫入的網域控制器有哪些，請為所有網域控制器安裝 Password Sync，不必擔心這會造成問題。
對於密碼更新失敗的使用者，請確認其管理員權限未超過您在 Password Sync 設定中輸入的管理員電子郵件地址的管理員權限。權限較低的使用者帳戶無法為權限較高的帳戶變更密碼。舉例來說，具備委派管理員權限的帳戶無法更新超級管理員帳戶的密碼。
在設定過程中，您於「Mail Attribute」(郵件屬性) 下方輸入的屬性應為使用者的電子郵件地址，這些地址必須與使用者的 Google 主要電子郵件地址完全相符 (包括地址中的網域部分)。
密碼符合使用者名稱和群組名稱規範。如果密碼無法同步處理是因為其中含有不受支援的字元，Password Sync 會將相關警告記錄在 Windows 應用程式事件記錄檔中，例如：
Log Name: Application Source: GoogleAppsPasswordSync Event ID: 40963 Level: Warning Contents: An attempt to change the password for user USERNAME was made. However, the new password contains unsupported characters. The password can not be updated on the Google Account, and will be out of sync with Active Directory.

Active Directory 管理員無權安裝 Password Sync

如要安裝 Password Sync，您必須是 Active Directory 網域管理員群組的成員。管理員群組成員的權限不足以執行這項操作。

您必須根據自己設定的網域控制器所在的網域，以「相應」網域管理員的身分登入 Windows。如果以其他網域的網域管理員身分登入 (例如其他網域的企業管理員，或者信任網域的管理員)，將無權安裝或設定 Password Sync。

Password Sync 安裝程式失敗

確認您的設定符合以下條件：

在本機 (而非網路) 上執行安裝程式
Password Sync 版本適用於您的伺服器架構 (32 位元或 64 位元)

無法授予 Password Sync 存取權

確認您已向應用程式授予 Google Workspace 服務的存取權控管權限。如需更多詳細資料和操作說明，請參閱「控管哪些第三方應用程式和內部應用程式可存取 Google Workspace 資料」。

配置 Password Sync 的 Proxy 設定

只要您在所有網域控制器上配置全系統通用的 Proxy 設定，Password Sync 即可支援 Proxy 連線：

透過 Internet Explorer、Chromium 版本的 Edge 或 Chrome 瀏覽器前往 https://www.googleapis.com/，確認當前使用者的 Proxy 設定正確無誤。
如果系統將您重新導向 google.com 網頁或列有「Not Found」(找不到) 字樣的網頁，表示您的 Proxy 設定應該沒有問題。如果系統提示您進行驗證或顯示憑證錯誤訊息，表示您的 Proxy 設定可能有誤。
如要匯入 Proxy 設定，請輸入下列指令：
netsh winhttp import proxy ie
(選用) 如果您並未使用 Proxy 伺服器，但仍遇到 Proxy 相關問題，請輸入以下指令：
bitsadmin /util /setieproxy networkservice no_proxy

這個指令可將 Windows 設為忽略系統中可能出現的任何自動探索 Proxy 設定。

注意：

Password Sync 僅支援不需要驗證的 Proxy。如果您的 Proxy 需要驗證 (Basic、Kerberos 或 NTLM)，那麼您必須對 Proxy 進行設定，允許從您的網域控制器直接連線至設定網域控制器中指定的網址/連接埠，無須經過驗證。
雖然 Password Sync 支援 Proxy 連線，但您可能仍須啟用直接連線，以確保 Proxy 伺服器不會造成問題。由於 Proxy 設定取決於您的本機設定，因此 Google Workspace 支援服務無法協助您解決設定問題。如果遇到 Proxy 問題，請與網路管理員聯絡。

連線至 Google 時發生網路錯誤

如果發生這個錯誤，就表示 Password Sync 無法驗證您的授權。請檢查您的 Proxy 設定，確認您的網路允許連線至 Password Sync 要求的網址。

現有伺服器會在安裝新伺服器後顯示授權錯誤

當您使用三足式 OAuth 驗證 Google 網域時，每個用戶端的各個使用者帳戶都會有權杖數量上限。達到上限後，一旦建立新權杖，最舊的權杖就會自動失效，且系統不會發出警告。詳情請參閱「更新權杖到期日」。

如要讓權杖數量不受限制，建議您使用服務帳戶，而不要使用三足式 OAuth。詳情請參閱選擇 Google 驗證方法。

_{Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。}

這對您有幫助嗎？

我們應如何改進呢？