Resolver problemas comuns do GCDS

Se você estiver com dificuldade para fazer uma sincronização, verifique se a configuração está correta no Gerenciador de configuração e anote os testes que apresentam falhas:

1. No Gerenciador de configuração, abra o arquivo XML usado para configurar a sincronização.
2. Na página Conexões LDAP, clique em Testar conexões para confirmar que é possível estabelecer uma conexão com o servidor LDAP.
3. Na página Notificações, clique em Testar notificação para confirmar que você pode enviar uma notificação de teste.
4. Na página Sincronização, clique em Simular sincronização para confirmar que você preencheu todos os campos exigidos e que a sincronização está funcionando.

Em alguns casos, o suporte pode pedir que você ative o registro HTTP completo, além do registro no nível do rastreamento no GCDS. Com o registro HTTP completo, é possível ver a solicitação de API exata feita pelo GCDS e a resposta gerada pelas APIs do Google.

Importante: os registros HTTP completos podem conter informações confidenciais. Remova essas informações (como os campos "refresh_token" ou "access_token" atuais) antes de enviar os registros para o suporte.

Para ativar o registro HTTP completo:

1. Confirme que o GCDS não está sendo executado com o sync-cmd ou o Gerenciador de configuração.
2. Acesse a pasta de instalação do GCDS.

3. Edite o arquivo jre/lib/logging.properties.

4. Adicione as seguintes linhas no fim do arquivo:

   java.util.logging.FileHandler.pattern = %h/gcdshttp%u.%g.log
   java.util.logging.FileHandler.limit = 5000000
   java.util.logging.FileHandler.count = 100
   java.util.logging.FileHandler.formatter = java.util.logging.SimpleFormatter
   handlers = java.util.logging.FileHandler
   com.google.api.client.http.level = CONFIG
   
   com.google.gdata.client.http.HttpGDataRequest.level = ALL
   sun.net.www.protocol.http.HttpURLConnection.level = ALL

5. Salve o arquivo.
6. Execute outra sincronização do GCDS (com o registro configurado como Rastrear).

   Os arquivos de registros gcdshttp*.log são criados em homedir (Linux) ou na pasta do perfil (Microsoft Windows). Arquive-os juntos porque eles podem ser grandes.

7. Exclua as linhas adicionadas na etapa 4 para evitar a criação de arquivos de registros grandes.
8. Envie os seguintes arquivos para o suporte:
   • Arquivo XML
   • Registros no nível do trace e os arquivos gcdshttp*.log da sincronização mais recente

A resposta e a solicitação registrada podem ter no máximo 16 KB. Caso você veja uma entrada de registro truncada porque ultrapassou o limite, use um proxy de depuração, como o Fiddler.

Para fazer isso, atualize os arquivos .vmoptions para que o GCDS use o repositório de certificados confiáveis do Windows e desative as verificações da CRL. Defina o Fiddler como o servidor proxy no GCDS (geralmente 127.0.0.1 na porta 8888). Se você estiver usando o GCDS no Linux, não será possível usar o repositório de certificados confiáveis do Windows. Por isso, você vai precisar importar o certificado raiz do Fiddler para o armazenamento de confiança do Java do GCDS. Veja detalhes sobre essas etapas em Resolver problemas relacionados a certificados.

Se você tiver problemas para configurar o host de redirecionamento SMTP para suas notificações, tente as etapas de solução de problemas a seguir.

Falha na conexão e mensagem de host SMTP desconhecida

1. Abra um prompt de comando.
2. Para verificar se o nome de host configurado do servidor SMTP é resolvido para um endereço IP, digite o seguinte comando

   nslookup smtp-host-name.com

Falha na conexão e mensagem "Não foi possível se conectar ao host SMTP"

Verifique se o servidor que executa o GCDS pode se conectar ao host SMTP.

1. Para verificar a conexão, digite o seguinte na linha de comando ou no terminal do Windows:

   telnet smtp.gmail.com 587

2. Se não for possível conectar o host, verifique as regras de firewall de entrada do servidor SMTP e de saída do servidor do GCDS.
3. Verifique se você permitiu o tráfego na porta SMTP.

Erro "Não foi possível converter o soquete em TLS" nos registros

Desative as verificações da lista de revogação de certificados (CRL). Confira mais detalhes em Como o GCDS verifica as listas de revogação de certificados.

Em Usar arquivos de configuração, você encontra instruções sobre como abrir um arquivo XML salvo em outro computador ou como um usuário diferente no mesmo computador.

Se os dados LDAP dos registros no nível do trace do GCDS não corresponderem ao que você espera ler no servidor LDAP, por exemplo, se um usuário não for encontrado ou um atributo não tiver o valor correto, exporte os dados do diretório LDAP no formato LDIF. Os dados podem ser comparados pelo suporte com os dados do LDAP dos registros do GCDS.

Ao exportar os dados, use uma ferramenta de consulta LDAP, como a ldapsearch (Linux) ou a ldifde (Windows) e simule as mesmas condições de execução do GCDS com:

• Use as mesmas configurações de conexão que o GCDS está configurado para usar.
• Execute a ferramenta de consulta no mesmo computador em que o GCDS está sendo executado.
• Use o mesmo nome de usuário para a autenticação LDAP do GCDS.

Exemplo

Os registros do GCDS não mostram o atributo mail dos usuários, e as configurações da regra de pesquisa do GCDS são:

• DN de base: ou=Ireland,dc=altostrat,dc=com
• Escopo: subárvore
• Filtro de pesquisa: (&(objectCategory=person)(objectClass=user))
• Servidor: dc01.altostrat.com
• Porta: 636
• Protocolo: LDAP+SSL
• DN do usuário de autenticação: cn=GCDS,ou=Users,dc=altostrat,dc=com

Use os comandos a seguir:

• Linux: ldapsearch -v -b "ou=Ireland,dc=altostrat,dc=com" -s sub -h dc01.altostrat.com -p 636 -x -Z -D "cn=GCDS,ou=Users,dc=altostrat,dc=com" "(&(objectCategory=person)(objectClass=user))" mail givenname uniqueidentifier sn > out.ldif Dependendo do sistema, talvez seja necessário modificar o comando.
• Windows: ldifde -f out.ldif -s dc01.altostrat.com -v -t 636 -d "ou=Ireland,dc=altostrat,dc=com" -r "(&(objectCategory=person)(objectClass=user))" -p SubTree -l mail,givenname,uniqueidentifier,sn -a "cn=GCDS,ou=Users,dc=altostrat,dc=com" SENHA (Substitua SENHA pela senha do usuário LDAP definida no GCDS.)

Se a saída (out.ldif) não contiver o atributo mail de um usuário afetado, há um problema com a infraestrutura LDAP. Isso pode estar relacionado às permissões do usuário que você está usando para acessar o LDAP. Por exemplo, o OpenLDAP e o Active Directory permitem a configuração de permissões no nível do atributo. Se você estiver usando uma porta do Catálogo Global, como 3268 ou 3269, talvez o atributo não tenha sido replicado para ele.

Se a saída tiver o atributo mail de um usuário afetado, informe os detalhes a seguir ao suporte do Google Workspace:

• Arquivo out.ldif
• Uma captura de tela do prompt de comando ou da janela do terminal em que você executou o comando 
  . Lembre-se de primeiro remover a senha.
• O registro no nível do trace do GCDS

Para fazer uma sincronização simulada, você precisa de um servidor que envie e-mails. Se estiver executando o GCDS em um computador servidor de e-mail, você poderá usar o endereço IP 127.0.0.1 para seu servidor de e-mail. Caso contrário, entre em contato com o administrador do e-mail para acessar as informações corretas.

Se você estiver usando a linha de comando para fazer uma sincronização, e a sincronização não for iniciada, verifique se você usou o argumento -o ou --oneinstance na linha de comando.

Se você usar um desses argumentos, o GCDS criará um arquivo LOCK (.lock) associado ao arquivo de configuração XML. Se outro arquivo LOCK for encontrado no mesmo servidor, o GCDS não executará a sincronização para impedir que várias instâncias do GCDS sejam executadas ao mesmo tempo.

Se não houver outra instância do GCDS em execução, verifique se há outro arquivo LOCK no servidor. Exclua o arquivo manualmente e tente fazer a sincronização novamente.

Se a sincronização estiver incompleta, por exemplo, a associação total a um grupo não foi sincronizada, a API Directory poderá ter um problema. Para verificar se o problema está relacionado a uma API, e não ao produto GCDS, chame manualmente a API Directory e analise os resultados. Para chamar a API manualmente, escolha uma destas duas opções.

Opção 1: usar a página de referência da API

1. Acesse a Visão geral da referência da API Admin SDK.
2. À esquerda, clique em API Directory e, em Recursos REST, acesse o recurso REST que você quer consultar.
3. À direita, clique no método que você quer testar e em Testar.

   Se a página de referência da API não exibir Testar, vá para a Opção 2: usar o Playground OAuth 2.0.

4. Digite as credenciais de administrador que você usou para autorizar o GCDS.

   Veja mais detalhes em Definir as configurações do domínio do Google.

5. Revise as informações para garantir que a API tenha respondido como esperado.

Opção 2: usar o OAuth 2.0 Playground

1. Abra o OAuth 2.0 Playground.
2. Escolha uma opção:
   • Selecione um escopo na lista.
   • Copie um escopo da lista de Escopos de autorização na página de referência da API. Depois, cole o escopo no campo Input your own scope.
3. Clique em Authorize APIs.
4. Digite as credenciais de administrador que você usou para autorizar o GCDS.

   Veja mais detalhes em Definir as configurações do domínio do Google.

5. Clique em Exchange authorization code for tokens.

   Se o processo der certo, você vai acessar a Etapa 3: configurar a solicitação para a API.

6. Preencha as informações solicitadas.

   Dica: a maioria das informações pode ser encontrada na página da Web de referência do método de API.

7. Clique em Send the request.
8. Revise as informações para garantir que a API tenha respondido como esperado.

No arquivo de configuração XML, ative a opção useDynamicMaxCacheLifetime. Ela configura o GCDS para armazenar dados em cache por um período máximo de oito dias e limpar o cache com mais frequência em conjuntos de dados pequenos ou médios. Isso evita que os dados armazenados em cache fiquem desatualizados ou entrem em conflito com novos dados. A opção useDynamicMaxCacheLifetime é automática nas configurações criadas com o GCDS 3.2.1 e superior.

Observação: esses erros costumam ocorrer quando as modificações são feitas diretamente no domínio do Google. Ao utilizar o GCDS na sincronização, evite fazer alterações diretamente no domínio do Google. Faça as alterações referentes a usuários, grupos e outras entidades no diretório LDAP. Em seguida, use o GCDS para sincronizar essas alterações com seu domínio do Google.

Se você identificar erros desse tipo, precisará aumentar o tamanho do heap da máquina virtual Java. Para fazer isso, edite os arquivos sync-cmd.vmoptions e config-manager.vmoptions no diretório de instalação do GCDS. As entradas relevantes são semelhantes a estas:

• -Xmx1000m (a quantidade máxima de memória do tamanho do heap)
• -Xms64m (a quantidade mínima de memória do tamanho do heap)

Edite os arquivos sync-cmd.vmoptions e config-manager.vmoptions para aplicar a alteração às versões do sync-cmd e do Gerenciador de configuração.

Edite o número -Xmx para aumentar a quantidade de memória. O "m" depois do número indica que a memória é medida em megabytes (MB). A quantidade correta depende da memória do servidor do GCDS e de quanto ele precisa para uma sincronização. Talvez seja necessário ajustar o número várias vezes para definir o tamanho correto. Veja mais informações sobre a quantidade de RAM livre necessária para executar o GCDS em Requisitos do sistema para o GCDS.

O erro pode ser causado por um problema de configuração, como uma configuração incorreta da regra de exclusão. O armazenamento em cache do GCDS pode ocultar esse tipo de erro. 

O GCDS mantém um cache dos dados do serviço do Google (como o Google Workspace ou o Cloud Identity) por no máximo oito dias. Esse cache pode ser limpo com mais frequência, dependendo do tamanho dos dados armazenados. Se ele não for limpo, talvez você não veja suas atualizações por até oito dias. 

Por exemplo, você sincroniza seus dados LDAP e cria um grupo para o Serviço do Google (como o Google Workspace ou o Cloud Identity). Em seguida, você cria uma regra de exclusão para remover esse grupo das sincronizações subsequentes. A regra de exclusão foi configurada incorretamente e falhará. No entanto, a próxima sincronização acessa dados armazenados em cache, e o grupo permanece no Serviço do Google. Quando você sincronizar novamente com o cache limpo, a configuração incorreta fará o grupo ser excluído do Serviço do Google.

Para limpar o cache manualmente:

• Execute uma sincronização no Gerenciador de configuração e selecione a opção para limpar o cache ao fazer uma sincronização.
• Execute uma sincronização no comando e use o argumento -f para forçar a limpeza do cache.
• Modifique o arquivo de configuração XML para definir o valor maxCacheLifetime como 0.

Importante: forçar uma limpeza do cache pode aumentar muito o tempo de sincronização.

Se você receber o erro 409: Entidade já existe, isso significa que o GCDS está tentando criar usuários do Google que já existem. Caso você não veja o erro nas próximas sincronizações, é provável que o cache do GCDS esteja desatualizado e é seguro ignorar o erro.

Se o problema ocorrer a cada sincronização ou a cada vários dias, os motivos mais prováveis são:

• Uma regra de exclusão de usuário do Google é muito ampla. Ela corresponde a alguns usuários do Google que também existem no diretório LDAP.
• Uma consulta é muito restrita, porque ela não corresponde a alguns usuários do Google que também existem no diretório LDAP.

Em ambos os cenários, o GCDS pode ignorar os usuários do Google existentes. Se esses usuários estiverem nos resultados da regra de pesquisa de usuário LDAP, o GCDS tentará criar esses usuários na sua Conta do Google.

Para resolver o problema, ajuste a regra de exclusão ou a consulta de pesquisa. Se você quiser que o GCDS ignore completamente os usuários no diretório LDAP, ajuste a regra de pesquisa de usuário LDAP ou crie uma regra de exclusão de usuário LDAP. Veja mais detalhes em Omitir dados com regras de exclusão e consultas.

Para sincronizar os participantes dos grupos separadamente dos resultados das regras de pesquisa de usuários, o GCDS ativa a opção INDEPENDENT_GROUP_SYNC por padrão. Se você estiver usando atributos de referência de participantes para sincronizar os grupos, o GCDS tentará resolver o endereço de e-mail de cada usuário no diretório LDAP, sem considerar as regras de pesquisa de usuários.

Para sincronizar os participantes dos grupos com base apenas nos resultados das regras de pesquisa de usuários, remova a opção INDEPENDENT_GROUP_SYNC do arquivo XML de configuração. O GCDS:

• usa os resultados das regras de pesquisa dos usuários para resolver a associação aos grupos;
• só sincroniza como participantes dos grupos os usuários incluídos na sua sincronização;
• executa as regras de pesquisa de usuários, mesmo quando você desativa a sincronização de contas de usuário nas Configurações gerais.

  No entanto, os resultados não serão sincronizados com o Google como usuários, mas como participantes dos grupos se os usuários qualificados também se qualificarem como participantes.

Normalmente não é assim que a sincronização deve ser executada, em especial se você estiver sincronizando contatos compartilhados e tiver participantes de grupos que sejam contatos. Nesse caso, os contatos não serão sincronizados como participantes dos grupos.

Esse problema acontece quando o atributo LDAP configurado como o atributo de nome do grupo não contém um endereço de e-mail completo. Para resolver esse problema, verifique as regras da pesquisa de grupo e confirme se o GCDS usa um endereço de e-mail completo para os nomes de grupos. Use um dos seguintes métodos:

• Defina o atributo de nome de grupo como um atributo LDAP diferente que especifique um endereço de e-mail completo para cada grupo, como mail.
• Ative a opção Substituir nomes de domínio em endereços de e-mail LDAP nas "Configurações do domínio do Google" para o atributo "Nome do grupo" corresponder a nomes de grupos no Google.
• Para adicionar o nome do domínio ao nome do grupo, especifique um sufixo de nome de grupo na regra de pesquisa de grupos.

Confirme que você selecionou MS Active Directory no campo de tipo de servidor da seção Configuração LDAP.

Essa opção, que aparece como SUPPRESS_DOMAIN no arquivo XML, vai ser usada se os endereços de e-mail no diretório LDAP estiverem em um domínio diferente do seu domínio do Google. Quando você ativa essa opção, o GCDS retira a parte referente ao domínio de todos os endereços de e-mail lidos.

O processamento é feito sem o nome do domínio. Se você usa regras de exclusão com base em endereços de e-mail, precisa considerar apenas a parte local do endereço de e-mail na regra de exclusão.

Por exemplo, se a opção Substituir nomes de domínio em endereços de e-mail LDAP estiver desativada, e você estiver criando uma regra de exclusão por correspondência exata, digite joaosilva@example.com como o endereço de e-mail do usuário para que haja correspondência. Se você tiver ativado a opção Substituir nomes de domínio em endereços de e-mail LDAP, use joãosilva. Não será possível fazer a correspondência com joaosilva@example.com porque @example.com será removido antes da comparação.

Ao aprovisionar grupos usando o GCDS, não é possível aninhar grupos dinâmicos em grupos estáticos (ou o contrário). O GCDS exige que os grupos estáticos sejam consultados separadamente. No entanto, todos os grupos aninhados precisam ser parte da mesma consulta.

Encontre uma maneira de implementar grupos dinâmicos como grupos estáticos, possivelmente automatizando uma tarefa que consulta de forma periódica todos os grupos dinâmicos para preencher grupos estáticos no diretório. O GCDS poderá usar os grupos estáticos (conforme criados a partir dos grupos dinâmicos) para aprovisionar ou não o grupo dinâmico.

Os resultados das consultas LDAP dependem das configurações do Gerenciador de configuração e do servidor LDAP. Use estas dicas de solução de problemas se a regra de pesquisa LDAP retornar um resultado inesperado. Confirme o seguinte:

• A consulta LDAP está configurada corretamente no Gerenciador de configuração: ao configurar uma regra de pesquisa, clique em Testar consulta LDAP para verificar. Veja detalhes em Usar regras de pesquisa LDAP para sincronizar dados.
• As consultas não se contradizem: verifique se você não configurou uma regra de exclusão ou pesquisa que altera o resultado de uma consulta.
• O usuário autorizado no servidor LDAP tem permissões suficientes: confira se o administrador usado para autenticar o servidor LDAP pode usar a linha de comando no mesmo servidor. Tente fazer a consulta no servidor LDAP e verifique os resultados.

Talvez você veja a mensagem de erro Group ... could not be created. Mensagem: Não autorizado a acessar este recurso/API nos registros do GCDS. 

Para resolver problemas, verifique se o atributo do Active Directory (AD) que contém o domínio dos endereços de e-mail do usuário e do grupo corresponde ao domínio usado pela conta de superadministrador.

Esse problema costuma acontecer quando você sincroniza contatos compartilhados e as regras de pesquisa são criadas incorretamente.

Existem dois tipos de objetos relevantes que você pode sincronizar com o GCDS:

• Perfis de usuário: usuários no domínio do Google com dados adicionais, como número de telefone ou endereço. Você só pode sincronizar um perfil de um usuário que exista no seu domínio.
• Contatos compartilhados: contatos de pessoas externas com quem os usuários no seu domínio precisam entrar em contato.

Para resolver esse problema, corrija as regras de pesquisa de contatos compartilhados para excluir usuários no seu domínio. Na próxima sincronização, o GCDS tentará excluir os contatos redundantes. Talvez seja preciso ajustar o limite de exclusões de contatos compartilhados na primeira sincronização.

Em algumas circunstâncias, os usuários não veem seu local de trabalho principal no Google Agenda ao programar ou organizar reuniões.

Se você tiver esse problema, confirme que o tipo de local e os atributos da área estão definidos como "mesa".

Se você estiver com problemas nos resultados da pesquisa, faça o seguinte:

• Confira o escopo da regra. Talvez seja necessário defini-lo como Subárvore.
• Confira se a regra de pesquisa utilizada está correta.
• Confirme que os atributos usados existem e estão visíveis.

Confira sua consulta LDAP. Verifique se a consulta no seu servidor LDAP usa o mesmo nome de usuário administrador configurado no GCDS.

Veja mais detalhes em Usar regras de pesquisa LDAP para sincronizar dados.

Talvez você esteja usando uma fonte muito grande para a tela. A caixa de diálogo não funciona com fontes grandes ou muito grandes. Mude o tamanho da fonte ou edite o arquivo XML.