Solucionar problemas habituales de Google Cloud Directory Sync

Si no consigues que una sincronización se ejecute correctamente, comprueba que los datos del gestor de configuración sean correctos y determina cuáles son las pruebas que fallan:

1. Ve al gestor de configuración y abre el archivo XML con el que estás configurando la sincronización.
2. En la página LDAP Connections (Conexiones LDAP), haz clic en Test Connections (Testar conexiones) para confirmar que puedes conectarte a tu servidor LDAP.
3. En la página Notifications (Notificaciones), haz clic en Test Notification (Notificación de prueba) para comprobar si puedes enviar una notificación de prueba.
4. En la página Sync (Sincronización), haz clic en Simulate Sync (Simular sincronización) para comprobar que has rellenado todos los campos obligatorios y confirmar que la sincronización se ejecuta correctamente.

En casos excepcionales, el equipo de Asistencia de Google Cloud puede pedirte que habilites los registros HTTP completos y los registros de traza en GCDS. Los registros HTTP completos se usan para ver la solicitud a la API completa enviada por GCDS y la respuesta proporcionada por las API de Google.

Importante: Los registros HTTP completos pueden contener información muy sensible. Retira toda esta información (por ejemplo, los campos refresh_token o access_token) antes de enviarlos al equipo de Asistencia.

Para activar el almacenamiento de registros HTTP completos, sigue estos pasos:

1. Comprueba que GCDS no se esté ejecutando con sync-cmd ni con el gestor de configuración.
2. Ve a la carpeta de instalación de GCDS.

3. Edita el archivo jre/lib/logging.properties.

4. Añade las siguientes líneas al final del archivo:

   java.util.logging.FileHandler.pattern = %h/gcdshttp%u.%g.log
java.util.logging.FileHandler.limit = 5000000
java.util.logging.FileHandler.count = 100
java.util.logging.FileHandler.formatter = java.util.logging.SimpleFormatter
handlers = java.util.logging.FileHandler
com.google.api.client.http.level = CONFIG

com.google.gdata.client.http.HttpGDataRequest.level = ALL
sun.net.www.protocol.http.HttpURLConnection.level = ALL

5. Guarda el archivo.
6. Elige Trace (Traza) como sistema de almacenamiento de registros y ejecuta otra sincronización de GCDS.

   Al hacerlo, se crearán archivos de registro con el nombre gcdshttp*.log en homedir (Linux) o en la carpeta de perfil (Microsoft Windows). Como pueden ser bastante grandes, te recomendamos que los archives juntos.

7. Elimina las líneas que has añadido en el paso 4 para que no se creen archivos de registro de gran tamaño más adelante.

A continuación, envía al equipo de Asistencia los siguientes archivos:

• El archivo XML que has utilizado
• Los registros de traza de la última sincronización

• Los archivos gcdshttp*.log que haya generado la sincronización

En estos registros, el equipo de asistencia puede ver la información que proporciona la API de Directory a GCDS y cómo responde esta aplicación.

El cuerpo de la solicitud y la respuesta registradas tiene un límite de tamaño de 16 KB. Si en el registro ves una entrada truncada, es porque ha superado este límite. Utiliza Fiddler, tal y como se recomienda abajo.

Nota: Si quieres utilizar un proxy de depuración (por ejemplo, Fiddler) con GCDS, debes actualizar los archivos .vmoptions para que GCDS utilice el almacén de certificados de confianza de Windows, y desactivar las comprobaciones de CRL. A continuación, puedes seleccionar Fiddler como el servidor proxy en GCDS (normalmente, 127.0.0.1 en el puerto 8888) para que sea el que registre la conexión. Si utilizas GCDS en Linux, no puedes usar el almacén de certificados de confianza de Windows, por lo que debes importar el certificado raíz de Fiddler en el almacén de confianza de Java de GCDS. Consulta Paso 2: Importa el certificado del servidor para obtener más información.

Para saber cómo abrir estos archivos, consulta el artículo Trabajar con archivos de configuración.

Si los datos de LDAP que contienen los registros de trazas de GCDS no coinciden con lo que esperabas leer en el servidor LDAP (por ejemplo, si no se encuentra un usuario o si un atributo no tiene el valor correcto), exporta los datos desde el directorio LDAP en formato LDIF. El equipo de Asistencia puede comparar los datos con los datos de LDAP procedentes de los registros de GCDS.

Cuando exportes los datos, usa una herramienta de consulta LDAP, como ldapsearch (Linux) o ldifde (Windows), y simula las mismas condiciones con las que se ejecuta GCDS:

• Usa la misma configuración de conexión que utilice GCDS.
• Ejecuta la herramienta de consulta desde la misma máquina en la que se ejecuta GCDS.
• Usa el mismo nombre de usuario en la autenticación LDAP de GCDS.

Ejemplo

En tus registros de GCDS no se muestra el atributo mail de tus usuarios, y la configuración de las reglas de búsqueda de GCDS es la siguiente:

• Nombre distintivo base: ou=Ireland,dc=altostrat,dc=com
• Ámbito: subárbol
• Filtro de búsqueda: (&(objectCategory=person)(objectClass=user))
• Servidor: dc01.altostrat.com
• Puerto: 636
• Protocolo: LDAP+SSL
• Nombre distintivo del usuario de autenticación: cn=GCDS,ou=Users,dc=altostrat,dc=com

Utiliza estos comandos:

• Linux: ldapsearch -v -b "ou=Ireland,dc=altostrat,dc=com" -s sub -h dc01.altostrat.com -p 636 -x -Z -D "cn=GCDS,ou=Users,dc=altostrat,dc=com" "(&(objectCategory=person)(objectClass=user))" mail givenname uniqueidentifier sn > out.ldif (puede que tengas que modificar el comando según tu sistema).
• Windows: ldifde -f out.ldif -s dc01.altostrat.com -v -t 636 -d "ou=Ireland,dc=altostrat,dc=com" -r "(&(objectCategory=person)(objectClass=user))" -p SubTree -l mail,givenname,uniqueidentifier,sn -a "cn=GCDS,ou=Users,dc=altostrat,dc=com" PASSWORD(sustituye la parte de PASSWORD con la contraseña del usuario LDAP configurado en GCDS).

Si el resultado (out.ldif) no contiene el atributo mail de un usuario afectado, significa que hay un problema con la infraestructura LDAP. Podría estar relacionado con los permisos del usuario que estés utilizando para acceder al LDAP (por ejemplo, tanto OpenLDAP como Active Directory permiten configurar permisos a nivel de los atributos). Si utilizas un puerto de Global Catalog como 3268 o 3269, es posible que el atributo no se replique en Global Catalog.

Si el resultado incluye el atributo mail de un usuario afectado, facilita la siguiente información al equipo de Asistencia de Google Workspace:

• El archivo out.ldif
• Una captura de pantalla de la petición de comando o de la ventana de terminal en la que hayas ejecutado el comando
  (No olvides quitar la contraseña primero).
• El registro de traza de GCDS

Para simular una sincronización, necesitas un servidor que pueda enviar correo. Si ejecutas GCDS en un servidor de correo, puedes utilizar la dirección IP 127.0.0.1 para tu servidor de correo. En caso contrario, ponte en contacto con tu administrador de correo para que te proporcione la información adecuada.

Si has ejecutado la sincronización mediante la línea de comandos y esta no se inicia, comprueba si has usado el argumento -o o --oneinstance en la línea de comandos.

Si utilizas uno de esos argumentos, GCDS crea un archivo LOCK (.lock) asociado al archivo de configuración XML. Además, si se encuentra otro archivo LOCK en el mismo servidor, GCDS no ejecutará la sincronización para evitar que se ejecuten simultáneamente varias instancias de GCDS.

Si no se está ejecutando ninguna otra instancia, comprueba si hay otro archivo LOCK en el servidor. Elimina el archivo manualmente y prueba a ejecutar la sincronización de nuevo.

Si la sincronización no estaba completa (por ejemplo, porque no se sincronizase toda la pertenencia a un grupo), es posible que haya un problema con la API de Directory. Para comprobar si el problema está relacionado con una API y no con el producto GCDS, llama manualmente a la API Directory y revisa los resultados. Para llamar a la API manualmente, tienes dos opciones.

Opción 1: Usar la página de referencia de la API

1. Ve a Descripción general de la referencia de la API del SDK de administrador.
2. En la parte izquierda, haz clic en API Directory y, en Recursos REST, ve al recurso REST que quieras consultar.
3. A la derecha, haz clic en el método que quieres probar y, a continuación, en Probar.

   Si en la página de referencia de la API no aparece la opción Probar, ve a Opción 2: Usar OAuth 2.0 Playground.

4. Introduce las credenciales de administrador que has utilizado para autorizar GCDS.

   Consulta más información en el artículo Definir la configuración del dominio de Google.

5. Revisa la información para asegurarte de que la API ha respondido correctamente.

Opción 2: Utilizar OAuth 2.0 Playground

1. Abre OAuth 2.0 Playground.
2. Elige una opción:
   • Selecciona un permiso de la lista.
   • Copia un permiso de la lista Authorization scopes (Permisos de autorización) de la página de referencia de la API. A continuación, pega el ámbito en el campo Input your own scope (Introduce tus propios permisos).
3. Haz clic en Authorize APIs (Autorizar las APIs).
4. Introduce las credenciales de administrador que has utilizado para autorizar GCDS.

   Consulta más información en el artículo Definir la configuración del dominio de Google.

5. Haz clic en Exchange authorization code for tokens (Intercambiar código de autorización para los tokens).

   Si el proceso se realiza correctamente, se te redirigirá al Paso 3: Configurar la solicitud a la API.

6. Rellena la información solicitada.

   Nota: Puedes encontrar la mayor parte de la información en la página web de referencia de métodos de la API.

7. Haz clic en Send the request (Enviar la solicitud).
8. Revisa la información para asegurarte de que la API ha respondido correctamente.

En el archivo de configuración XML, establece la opción useDynamicMaxCacheLifetime. De esta forma, GCDS almacenará en caché los datos durante un plazo máximo de ocho días y borrará la caché con mayor frecuencia en conjuntos de datos de tamaño pequeño o mediano para reducir la posibilidad de que los datos almacenados en caché se queden inactivos o entren en conflicto con datos nuevos. La opción useDynamicMaxCacheLifetime está habilitada automáticamente en las configuraciones creadas con GCDS 3.2.1 o con versiones posteriores.

Nota: Estos errores suelen producirse cuando los cambios se hacen directamente en el dominio de Google. Cuando uses GCDS para ejecutar la sincronización, no debes hacer cambios directamente en tu dominio de Google, sino en los usuarios, grupos y otras entidades de tu directorio LDAP. A continuación, sincroniza estos cambios con tu dominio de Google mediante GCDS.

Si se producen errores de este tipo, aumenta el tamaño de la pila de la máquina virtual de Java editando los archivos sync-cmd.vmoptions y config-manager.vmoptions, situados en el directorio de instalación de GCDS. En concreto, las entradas que debes editar son las siguientes:

• -Xmx1000m (cantidad máxima de memoria que se puede asignar a la pila)
• -Xms64m (cantidad mínima de memoria que se puede asignar a la pila)

Edita los archivos sync-cmd.vmoptions y config-manager.vmoptions para que el cambio se aplique tanto a la versión de sync-cmd como a la del gestor de configuración.

Cambia el valor -Xmx para aumentar la memoria. La "m" que aparece después del número indica que la memoria se mide en megabytes (MB). La cantidad correcta de memoria depende de la que tenga el servidor GCDS y de la que necesite para la sincronización. Puede que tengas que modificar el número varias veces para encontrar el tamaño adecuado. Para obtener más información sobre la cantidad de RAM disponible que se necesita para ejecutar GCDS, consulta los requisitos del sistema para usar GCDS.

Puede que sea por un problema de configuración; por ejemplo, porque una regla de exclusión no está bien configurada. Este tipo de problema puede ser difícil de detectar porque el sistema de almacenamiento en caché de GCDS podría encubrirlo. 

GCDS almacena en caché los datos de tu servicio de Google (como Google Workspace o Cloud Identity) durante un periodo máximo de 8 días. Puede que la caché se borre con más frecuencia, en función del tamaño de los datos almacenados en ella. Sin embargo, es posible que no veas cambios hasta que hayan transcurrido 8 días, si es que aún no se ha borrado.

Pongamos por caso que sincronizas tus datos de LDAP y creas un grupo de tu servicio de Google (como Google Workspace o Cloud Identity). A continuación, creas una regla de exclusión para excluir ese grupo de las sincronizaciones que se realicen a partir de entonces. Pero la regla de exclusión se configura de forma incorrecta y se produce un error. Sin embargo, las siguientes llamadas de sincronización de los datos de la caché y el grupo permanecen en el servicio de Google. Cuando vuelvas a sincronizar el contenido con la memoria caché vacía, se producirá un error que hará que se quite el grupo del servicio de Google.

Para borrar la caché manualmente, tienes estas opciones:

• Ejecuta una sincronización en el gestor de configuración y selecciona la opción de borrar la caché cuando se ejecute la operación.
• Ejecuta una sincronización desde el comando y usa el argumento -f para forzar el borrado de la caché.
• Modifica el archivo de configuración XML para dar a maxCacheLifetime el valor 0.

Importante: Forzar un borrado de la caché puede incrementar considerablemente la duración de la sincronización.

Si aparece el error 409: La entidad ya existe, significa que GCDS está intentando crear usuarios de Google que ya existen. Si este error no se muestra en las siguientes sincronizaciones, es probable que la caché de GCDS esté obsoleta y que se pueda ignorar el error.

Si el problema se produce en cada sincronización o cada varios días, lo más probable es que se deba a alguna de estas causas:

• Una regla de exclusión de usuarios de Google es demasiado general: la regla coincide con algunos usuarios de Google que también están en el directorio LDAP.
• Una consulta es demasiado limitada: la consulta no coincide con algunos usuarios de Google que también están en el directorio LDAP.

En ambos casos, GCDS puede ignorar a usuarios de Google que ya existen. Si esos usuarios aparecen en los resultados de la regla de búsqueda de usuarios de LDAP, GCDS intenta crearlos en tu cuenta de Google.

Para resolver el problema, ajusta la regla de exclusión o la consulta de búsqueda. O, si quieres que GCDS ignore por completo los usuarios de tu directorio LDAP, ajusta la regla de búsqueda de usuarios de LDAP o crea una regla de exclusión de usuarios de LDAP. Consulta más información en el artículo Utilizar reglas de exclusión con GCDS.

Para sincronizar miembros de los grupos independientemente de los resultados de las reglas de búsqueda de usuarios, GCDS activa la opción INDEPENDENT_GROUP_SYNC de manera predeterminada. Si usas atributos de referencia de miembros en la sincronización de grupos, GCDS intenta resolver la dirección de correo electrónico de cada usuario del directorio LDAP, independientemente de las reglas de búsqueda de usuarios.

Para sincronizar los miembros del grupo únicamente en función de los resultados de las reglas de búsqueda de usuarios, quita INDEPENDENT_GROUP_SYNC del archivo XML de configuración. GCDS:

• Usa los resultados de las reglas de búsqueda de usuarios para resolver la pertenencia a grupos.
• Solo se sincronizan como miembros del grupo aquellos usuarios incluidos en tu sincronización de usuarios.
• Aplica reglas de búsqueda de usuarios, aunque hayas desactivado la sincronización de cuentas de usuario en la configuración general.

  Sin embargo, los resultados no se sincronizan con Google como pertenecientes a usuarios, sino a miembros del grupo, si los usuarios que cumplen los requisitos también los cumplen como miembros del grupo.

Por lo general, no es recomendable ejecutar la sincronización de esta forma, sobre todo si sincronizas contactos compartidos y tienes miembros de grupos que son contactos. En estos casos, los contactos no se sincronizarán como miembros de grupos.

Esto ocurre porque el atributo LDAP configurado como el atributo de nombre de grupo no contiene una dirección de correo electrónico completa. Para solucionar este problema, consulta las reglas de búsqueda de grupo y asegúrate de que GCDS use una dirección de correo electrónico completa para los nombres de los grupos. Puedes usar uno de los siguientes métodos:

• Define el atributo de nombre de grupo como un atributo LDAP distinto que especifique una dirección de correo electrónico completa para cada grupo, como el del correo.
• Activa la opción Replace domain names in LDAP email addresses (Sustituir nombres de dominio en direcciones de correo electrónico LDAP) en la configuración de dominio de Google para que el atributo de nombre de grupo corresponda con los nombres de los grupos de Google.
• Especifica un sufijo de nombre de grupo en la regla de búsqueda de grupos para añadir el nombre de dominio al nombre del grupo.

Debes tener seleccionado MS Active Directory en el campo del tipo de servidor de la sección LDAP Configuration (Configuración de LDAP).

Esta opción, que se muestra como SUPPRESS_DOMAIN en el archivo XML, se usa si las direcciones de correo electrónico del directorio LDAP se encuentran en un dominio diferente a tu dominio de Google. Cuando la activas, GCDS elimina la parte del dominio de todas las direcciones de correo electrónico que lee.

Todos los procesamientos se realizan sin el nombre de dominio. Si usas reglas de exclusión basadas en direcciones de correo, debes usar solo la primera parte de la dirección.

Por ejemplo, si has desactivado la opción para sustituir nombres de dominio en direcciones de correo LDAP y creas una regla de exclusión de concordancia exacta, introduce juandominguez@example.com como la dirección de correo del usuario. Si has activado sustituir nombres de dominio en direcciones de correo LDAP, usa juandominguez. Hacer coincidir juandominguez@example.com no funcionará, ya que @example.com se ha eliminado antes de la comparación.

Al aprovisionar grupos utilizando GCDS, recuerda que no se pueden anidar grupos dinámicos debajo de grupos estáticos (ni grupos estáticos debajo de grupos dinámicos). GCDS requiere que las consultas de los grupos estáticos y las de los grupos dinámicos se hagan por separado; sin embargo, todos los grupos anidados deben formar parte de la misma consulta.

Busca una manera de implementar grupos dinámicos como grupos estáticos; por ejemplo, creando una tarea automatizada que haga consultas periódicas a cada grupo dinámico para rellenar grupos estáticos en el directorio. De esta manera, en lugar de aprovisionar grupos dinámicos, GCDS puede utilizar los grupos estáticos creados a partir de los dinámicos para hacer el aprovisionamiento.

Los resultados de las consultas LDAP dependen de la configuración del gestor de configuración y del servidor LDAP. Sigue estos consejos para solucionar problemas si la regla de búsqueda de LDAP devuelve un resultado inesperado. Comprueba que:

• La consulta LDAP se ha configurado correctamente en el gestor de configuración: cuando hayas configurado una regla de búsqueda, haz clic en la opción para probar la consulta de LDAP y verificarla. Consulta más información en el artículo Utilizar las reglas de búsqueda LDAP para sincronizar los datos.
• Hay varias consultas que no se contradicen entre sí: comprueba que no hayas configurado una regla de búsqueda o exclusión que modifique el resultado de la consulta.
• El usuario autorizado para acceder al servidor LDAP dispone de los permisos necesarios: comprueba que el administrador que se ha usado para autenticar el servidor LDAP pueda utilizar la línea de comandos en ese mismo servidor. Prueba a hacer la consulta en el servidor LDAP y verifica los resultados.

Es posible que aparezca el mensaje de error No se ha podido crear el grupo .... Mensaje: No se ha autorizado el acceso a este recurso o API en los registros de GCDS. 

Para solucionar el problema, comprueba que el atributo de Active Directory (AD) que contiene el dominio de las direcciones de correo de grupos y de usuarios coincide con el dominio que usa tu cuenta de superadministrador.

Por lo general, esto ocurre si sincronizas contactos compartidos y las reglas de búsqueda no están bien configuradas.

Hay dos tipos de objetos importantes que puedes sincronizar con GCDS:

• Perfiles de usuario: usuarios de tu dominio de Google con datos adicionales, como un número de teléfono o una dirección. Solo puedes sincronizar perfiles de usuarios que pertenezcan a tu dominio.
• Contactos compartidos: contactos de usuarios externos con los que los usuarios de tu dominio necesitan comunicarse.

Para solucionar el problema, corrige las reglas de búsqueda de los contactos compartidos de forma que se excluyan los usuarios que pertenecen a tu dominio. En la siguiente sincronización, GCDS intentará eliminar los contactos repetidos. Es posible que tengas que ajustar el límite de eliminación de contactos compartidos de esa primera sincronización.

En algunos casos, los usuarios no ven su ubicación de trabajo principal en esta plataforma cuando programan u organizan reuniones.

Si este problema sucede en tu dominio, comprueba que los atributos de tipo de ubicación y de área tengan el valor "desk" (escritorio).

Si tienes algún problema con los resultados de búsqueda: 

• Comprueba el ámbito de la regla, porque es posible que tengas que seleccionar Sub-tree (Subárbol).
• Asegúrate de utilizar la regla de búsqueda adecuada.
• Comprueba que los atributos que se usan existen y son visibles.

Verifica la consulta LDAP en tu servidor LDAP con el mismo nombre de usuario de administrador que está configurado en GCDS.

Consulta más información en el artículo Utilizar las reglas de búsqueda LDAP para sincronizar los datos.

Puede que estés usando una fuente demasiado grande para la pantalla. El cuadro de diálogo no funciona con fuentes grandes o muy grandes. Cambia el tamaño de la fuente o edita el archivo XML directamente.