Vous rencontrerez peut-être les messages d'erreur suivants en utilisant Google Cloud Directory Sync (GCDS). Servez-vous du tableau ci-dessous pour résoudre les erreurs.
Essayer l'outil d'analyse de journaux
Cet outil permet d'identifier la plupart des problèmes en quelques instants.
- Envoyez vos journaux de suivi (au format non compressé ou ZIP) à l'outil d'analyse de journaux de Google Admin Toolbox.
- Pour une analyse avancée des journaux, envoyez les fichiers non compressés à l'outil d'analyse de journaux 2.
En savoir plus sur l'activation de la journalisation en mode TRACE.
Messages d'erreur et solutions
Message d'erreur | Description et solution |
---|---|
Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative names present Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative DNS name matching servername found |
Le nom commun (CN) et l'autre nom de l'objet (SAN) du certificat ne correspondent pas au nom du serveur LDAP indiqué dans votre fichier de configuration GCDS. Pour résoudre ce problème, procédez de l'une des manières suivantes :
Pour contourner temporairement ce problème, vous pouvez désactiver l'identification des points de terminaison en ajoutant une ligne aux fichiers config-manager.vmoptions et sync-cmd.vmoptions dans le dossier d'installation de GCDS. Supprimez le saut de ligne avant l'ajout aux fichiers: -Dcom.sun.jndi.ldap.object. disableEndpointIdentification=true |
sun.security.provider.certpath.SunCertPathBuilder Exception: unable to find valid certification path to requested target ldap_simple_bind_s() failed: Strong Authentication Required |
Suivez la procédure décrite dans Résoudre les problèmes liés aux certificats. |
InvalidCipherTextException: Invalid encryption parameters. Salt/Iteration/Initialization Vector | Si vous exécutez GCDS sur un ordinateur sans IUG, il est possible que vous n'ayez pas importé la clé correctement. Pour savoir comment procéder, consultez Comment puis-je autoriser GCDS sur une machine dépourvue d'interface utilisateur graphique (IUG) ?. |
java.lang.RuntimeException: Encountered unrecoverable SQLException. The state database specified "path-to-folder\syncState\folder-name" | Recherchez et supprimez le dossier identifié dans le message. Relancez ensuite la synchronisation. |
java.sql.SQLException: Invalid checksum on Page |
Un autre processus accède au dossier ou aux fichiers du cache en même temps que GCDS. Pour résoudre le problème, téléchargez et exécutez l'outil Process Monitor de Microsoft, puis créez un filtre. Dans les options de filtrage, utilisez Chemin d'accès, Contient et chemin d'accès au dossier\syncState pour identifier les processus qui accèdent au dossier ou aux fichiers. Pour en savoir plus, accédez à Process Monitor. |
Invalid Input: query | Vous avez saisi une requête non valide dans le champ Users Search Query (Requête de recherche d'utilisateurs). Supprimez la requête de recherche ou vérifiez qu'elle respecte les consignes de recherche figurant sur la page Rechercher des utilisateurs.
Pour en savoir plus sur les requêtes de recherche des utilisateurs, consultez Exclure des données avec des règles d'exclusion et des requêtes. |
SocketException - Connection reset |
Si ce message s'affiche lorsque vous vous connectez au serveur LDAP, cela signifie que le serveur a fermé la connexion. Les raisons possibles sont les suivantes :
|
A lock could not be obtained within the time requested | Pour résoudre ce problème, procédez comme suit :
|
Error 400: invalid_request: The version of the app you're using doesn't include the latest security features to keep you protected. Please make sure to download from a trusted source and update to the latest, most secure version. | Vérifiez que vous utilisez la dernière version de GCDS. Pour en savoir plus, consultez Mettre à jour GCDS. |
java.sql.SQLException: Directory <directory> cannot be created. | GCDS nécessite les droits d'accès complets au répertoire pour maintenir la base de données de l'état de synchronisation. Ce message d'erreur peut s'afficher dans les cas suivants :
|
org.jdom.input. JDOMParseException: Error on line 1: Content is not allowed in prolog |
GCDS tente de charger un fichier de configuration avec un encodage de caractères non compatible.
GCDS utilise le format UTF-8 comme encodage de caractères par défaut. Vous devez utiliser le même encodage dans vos fichiers de configuration, bien que d'autres encodages soient compatibles. Pour remédier à ce problème :
Les encodages non compatibles les plus courants sont UTF-7 et UTF-8 BOM. |
javax.net.ssl. SSLHandshakeException: connection during handshake |
Un problème de connexion réseau a empêché GCDS d'effectuer le handshake Secure Sockets Layer (SSL) avec le serveur Google. Ce problème peut être dû à un ordinateur qui route un paquet trop lentement ou à une perte temporaire du service fourni par votre FAI.
GCDS tente d'établir la liaison SSL trois fois au maximum. Si le message suivant figure dans les journaux, cela signifie que GCDS a correctement effectué le handshake lors des tentatives suivantes et que vous n'avez rien d'autre à faire : [usersyncapp.sync.FullSyncAgent] No differences detected, no changes necessary. Contactez votre administrateur réseau local pour savoir ce qui peut provoquer les dépassements de délai sur le réseau. |
Quota exceeded for the current request |
L'accès de GCDS aux API Google est bloqué provisoirement en raison d'une utilisation excessive. Vous pouvez ignorer l'erreur si vous la trouvez dans les journaux. Si l'erreur s'affiche dans le rapport récapitulatif de la synchronisation et que la synchronisation ne s'est pas terminée correctement, contactez l'assistance. Pour en savoir plus, consultez De quelles informations GCDS ai-je besoin avant de contacter l'assistance ? |
java.lang.RuntimeException: Unknown LDAP search rule scope "null" |
Une règle de l'une des sections suivantes du gestionnaire de configuration est vide :
Pour en savoir plus, consultez Configurer la synchronisation avec le gestionnaire de configuration. |
Invalid digest length for password | Le mode de chiffrement utilisé pour la synchronisation des mots de passe n'a pas été configuré correctement dans le Gestionnaire de configuration, ou bien votre serveur LDAP utilise un mode de chiffrement qui n'est pas compatible avec GCDS. Les modes Texte brut, Base64, MD5 et SHA1 sont acceptés. Pour synchroniser les mots de passe avec Microsoft Active Directory, utilisez Password Sync.
Pour en savoir plus, consultez Comment allez-vous synchroniser les mots de passe ? et Mettre à jour GCDS. |
0 nested group(s) | GCDS ne fait pas correctement la distinction entre les utilisateurs et les groupes imbriqués sur votre serveur LDAP. Pour remédier à ce problème :
|
Suspend user | GCDS peut tenter d'apporter des modifications inattendues si vous effectuez une synchronisation avec un fichier de configuration que vous avez dupliqué en dehors du gestionnaire de configuration. Le nouveau fichier de configuration accède au même cache que le fichier de configuration d'origine. La présence d'incohérences entre les deux peut alors entraîner la suspension de certains comptes utilisateur.
Pour dupliquer un fichier de configuration GCDS, utilisez toujours l'option Save As (Enregistrer sous) du gestionnaire de configuration. Cela garantit que le nouveau fichier de configuration possède son propre cache. Pour en savoir plus, consultez Utiliser les fichiers de configuration. |
Skipping unknown member | Vous utilisez un ancien fichier de configuration GCDS XML, et GCDS a trouvé un membre de groupe qui ne figure pas dans les règles de recherche d'utilisateurs de votre configuration. Vous devez inclure tous les membres et propriétaires de groupe dans vos règles de recherche d'utilisateurs, même si vous ne voulez pas synchroniser ces utilisateurs avec le domaine Google. GCDS doit extraire les adresses e-mail de ces utilisateurs pour traiter correctement les groupes.
Vous pouvez également créer un fichier de configuration XML vide. GCDS active alors la synchronisation indépendante des groupes, qui le force à résoudre les membres de groupes indépendamment des règles de synchronisation des comptes utilisateur. En cas de doute, il s'agit de l'option recommandée. Lorsque vous apportez des modifications à la configuration ou que vous créez un fichier de configuration, veillez à exécuter une simulation et à contrôler les résultats avant de lancer une synchronisation complète. Pour en savoir plus, consultez Définir la liste d'utilisateurs. |
com.google.data.client. GoogleServiceException: Invalid credentials |
Le compte administrateur que vous avez indiqué dans le gestionnaire de configuration ne dispose pas de droits d'administrateur, ou le nom d'utilisateur et le mot de passe sont incorrects.
Dans le gestionnaire de configuration, accédez à Domaine GoogleParamètres, puis vérifiez les informations du compte administrateur figurant sous Adresse e-mail de l'administrateur. Pour plus d'informations, consultez Définir les paramètres de votre domaine Google. |
com.google.gdata.util. ResourceNotFoundException: |
L'attribut de clé de synchronisation spécifié dans la section Contacts partagés du gestionnaire de configuration renvoie des valeurs vides de votre serveur LDAP. Dans ce cas, sélectionnez sur le serveur LDAP un attribut qui contient la valeur de clé de synchronisation de chaque ressource et qui ne renvoie jamais une chaîne vide ou nulle. |
Computed differences exceed configured deletion limits, not applying changes |
La limite de suppression ou de suspension définie dans GCDS est atteinte. Modifiez le paramètre Delete Limits (Limites de suppression) de GCDS pour éviter cette erreur. Vous pouvez également consulter le journal de synchronisation pour voir quels comptes auraient été supprimés ou suspendus, et décider si vous devez modifier la limite. |
InvalidEmail | GCDS tente de créer un utilisateur ou un alias d'adresse e-mail qui existe dans un domaine n'appartenant pas à votre compte Google. Les options suivantes peuvent vous aider :
|
Domain user limit reached | GCDS synchronise un nombre d'utilisateurs supérieur au nombre de licences dont vous disposez dans votre compte. Les options suivantes peuvent vous aider :
|
java.lang.RuntimeException: javax.naming.InvalidNameException: [LDAP: error code 34 - invalid DN] |
Le nom distinctif (DN) de base indiqué dans le gestionnaire de configuration pointe peut-être vers un objet qui n'existe pas sur votre serveur LDAP. Vérifiez le nom distinctif (DN) de base indiqué dans les sections de filtre de connexion, de groupe, d'utilisateur, de profil et de contacts partagés. Veillez à utiliser un objet existant comme nom distinctif (DN) de base pour chacun d'eux. |
java.security.cert. CertPathValidatorException: revocation status check failed: no CRL found |
Un autre périphérique réseau ou service empêche GCDS de contacter l'autorité de certification du certificat HTTPS utilisé pour les API. Vérifiez les règles de proxy ou de pare-feu susceptibles de limiter les connexions provenant de la machine sur laquelle GCDS est exécuté.
Si un proxy doit accéder à Internet à partir de l'ordinateur sur lequel GCDS est exécuté, il doit être configuré correctement. Pour résoudre ce problème, vous pouvez désactiver la vérification des listes de révocation de certificats. Pour désactiver la vérification de la LRC, ajoutez les lignes suivantes aux fichiers config-manager.vmoptions et sync-cmd.vmoptions du répertoire d'installation de GCDS: Pour en savoir plus, consultez Comment GCDS vérifie-t-il les listes de révocation de certificats ?. |
javax.naming.directory. InvalidSearchFilterException: Unbalanced parenthesis; remaining name |
Il manque des parenthèses dans les requêtes figurant sur une ou plusieurs des pages suivantes du gestionnaire de configuration :
|
Root exception is javax.naming. CommunicationException: nom du serveur:389 |
GCDS ne peut pas résoudre le nom du serveur LDAP indiqué. Veillez à saisir un nom de domaine complet pour le serveur LDAP et assurez-vous que l'ordinateur qui exécute GCDS est en mesure de le résoudre.
Remarque : Lorsque vous utilisez Active Directory, employez le nom complet de votre domaine comme nom de serveur. |
SSL peer shut down incorrectly | Le problème se produit en général lorsque le trafic doit passer par un proxy. Si vous utilisez un proxy, vous devez configurer les paramètres de proxy de GCDS.
Vérifiez que GCDS peut se connecter à ces URL et ports spécifiques en suivant la procédure décrite dans Autoriser l'accès aux URL et aux ports. Il est possible qu'un logiciel de sécurité installé sur l'ordinateur local crée des problèmes de connexion. Demandez à votre administrateur de désactiver tous les logiciels de sécurité installés sur l'ordinateur client, puis réessayez. |
You are not authorized to access this API | Vérifiez que vous avez activé les API Google requises.
Pour en savoir plus, consultez Autoriser votre compte Google. |
Domain user limit exceeded | Vous avez tenté d'ajouter un nombre d'utilisateurs supérieur au nombre de licences dont vous disposez. Contactez votre conseiller commercial pour acheter des licences utilisateur supplémentaires, ou modifiez vos requêtes LDAP pour synchroniser moins de comptes utilisateur. |
java.lang.RuntimeException: Failed to execute query because the object at Base DN: "DC=domain,DC=com" is missing or inaccessible | Commencez par vérifier le nom distinctif figurant dans l'onglet LDAP Configuration (Configuration LDAP), ainsi que dans chaque règle de recherche où vous avez défini un remplacement de nom distinctif de base.
Si le problème persiste et que vous êtes sûr de la validité du DN, il se peut que la résolution DNS échoue. Le journal peut comporter d'autres informations sur les erreurs, par exemple :
Ces erreurs signifient que le nom d'hôte refuse la connexion ou ne répond pas dans les délais. Essayez d'exécuter une recherche DNS sur ce nom d'hôte, et assurez-vous que toutes les adresses renvoyées sont valides et autorisent les connexions sur le port que vous avez configuré. Remarque : Ce type d'erreur peut se produire même si vous avez spécifié un nom d'hôte ou une adresse IP valides dans la configuration GCDS. Active Directory peut émettre une réponse LDAP de référence, obligeant GCDS à se connecter via un nom d'hôte, qui peut être celui dont la résolution est impossible. Vous pouvez éviter cela en vous connectant à votre serveur Active Directory via le port de catalogue global dont la valeur par défaut est 3268. Pour en savoir plus, consultez la documentation Microsoft. |
Character is invalid at location | Certaines des informations contenues dans le schéma personnalisé ne sont pas valides. Pour vérifier les limites applicables au schéma personnalisé, consultez API Directory : Champs utilisateur personnalisés.
Si vous avez activé la journalisation en mode TRACE, vous pouvez également afficher la requête HTTP complète pour le schéma personnalisé. |
java.util.concurrent. ExecutionException: java.lang.OutOfMemoryError: GC overhead limit exceeded |
La limite définie pour la mémoire a été dépassée, Cet événement a entraîné l'échec de la synchronisation.
Pour résoudre ce problème, consultez Que faire en cas d'erreurs liées à la mémoire. |
Failed trying to connect to the specified LDAP server | GCDS ne parvient pas à se connecter au serveur LDAP. Vérifiez les points suivants :
|
Network problem: Unable to connect to the specified LDAP server | GCDS ne parvient pas à trouver le serveur LDAP. Assurez-vous que l'ordinateur exécutant GCDS a accès à l'hôte et au port spécifiés. |
Authentication problem: Unable to connect using the credentials supplied | Le serveur LDAP rejette les requêtes GCDS en raison d'un problème d'authentification.
Assurez-vous que l'utilisateur autorisé est bien le bon, et que son mot de passe est correct. Vous devez ajouter l'utilisateur autorisé à l'aide de son DN complet. Pour savoir comment ajouter un utilisateur autorisé, consultez Paramètres de connexion LDAP. |
Failed to execute query at Base DN <base-dn> | GCDS ne peut pas se connecter au DN de base. Vérifiez les points suivants :
|
Failed to execute query at Base DN <base-dn> for attribute: <attribute>, reason: NameNotFoundException | GCDS ne parvient pas à récupérer les informations du serveur LDAP. Vérifiez les points suivants :
|
Member already exists |
Ce message d'erreur peut s'afficher dans les cas suivants :
Décochez la case ou modifiez l'un des noms d'utilisateur d'alias. Si le message suivant s'affiche également dans les journaux : "Erreur lors de l'ajout du membre adresse-e-mail-utilisateur au groupe group-email-address en raison d'un conflit d'adresses", vérifiez si :
|
Invalid Input: INVALID_OU_ID | GCDS tente de placer un utilisateur dans une unité organisationnelle qui n'existe pas dans le compte Google de votre organisation. Ajustez vos règles de recherche d'utilisateurs, puis réessayez. Pour en savoir plus, consultez Règles de recherche de comptes utilisateur. |
Article associé
Résoudre les problèmes courants relatifs à GCDS
Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.