Il peut arriver que des lignes dans les journaux Password Sync ressemblent à des erreurs. Souvent, ces erreurs n'indiquent aucun problème de synchronisation ni de configuration. Résolvez-les grâce aux informations ci-dessous.
Essayer l'outil d'analyse des journaux
Envoyez vos journaux de suivi à l'outil d'analyse de journaux de Google Admin Toolbox. Dans la plupart des cas, le problème est identifié en quelques instants.
Pour savoir où trouver vos fichiers de suivi, cliquez ici.
Journaux Password Sync
Ouvrir la section | Tout réduire et revenir en haut de la page
Où se trouvent les journaux du fichier de suivi ?Vous pouvez trouver les journaux de suivi Password Sync sur votre ordinateur à l'emplacement suivant : C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Google Apps Password Sync\Tracing\password_sync_service
Vous trouverez un exemple de fichier journal trace dans la section Vérifier les journaux ci-dessous.
Vous pouvez rassembler les journaux Password Sync et les informations de dépannage de l'ensemble de vos contrôleurs de domaine à l'aide de l'outil d'assistance Password Sync (un outil Google Open Source).
Rechercher des fichiers de configuration et des journaux
Fichier de configuration
- Emplacement du fichier :
C:\ProgramData\Google\Google Apps Password Sync\config.xml
- Utilité du fichier :
Examinez ce fichier pour contrôler vos paramètres.
Journaux du service
- Emplacement du fichier :
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Google Apps Password Sync\Tracing\password_sync_service
- Utilité du fichier :
Examinez ces fichiers si Password Sync a bien été configuré, mais que les mots de passe utilisateur ne sont pas synchronisés, ou seulement en partie.
Vous trouverez un exemple de fichier journal trace dans la section Vérifier les journaux ci-dessous.
Journaux d'autorisation du service
- Emplacement du fichier :
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Identity
- Utilité du fichier :
Examinez ces fichiers si vous rencontrez des erreurs de type "Échec de l'authentification" associées au code 0x6, 0x203, 0x4 ou 0x102 dans les journaux du service Password Sync.
Vous trouverez un exemple de fichier journal d'autorisation dans la section Vérifier les journaux ci-dessous.
Journaux de l'interface de configuration
- Emplacement du fichier :
C:\Users\your-user-name\AppData\Local\Google\Google Apps Password Sync\Tracing\Password Sync
C:\Users\your-user-name\AppData\Local\Google\Google Apps Password Sync\Tracing\GoogleAppsPasswordSync (if you're using version 1.6 or earlier)
- Utilité du fichier :
Examinez ces fichiers si vous rencontrez des problèmes lors de la configuration.
Vous trouverez un exemple de fichier journal trace dans la section Vérifier les journaux ci-dessous.
Journaux d'autorisation de l'interface de configuration
- Emplacement du fichier :
C:\Users\your-user-name\AppData\Local\Google\Identity
- Utilité du fichier :
Examinez ces fichiers si vous rencontrez des problèmes pendant la phase d'autorisation de Google de la configuration.
Journaux de la DLL
- Emplacement du fichier :
C:\Windows\System32\config\systemprofile\AppData\Local\Google\Google Apps Password Sync\Tracing\lsass
- Utilité du fichier :
Examinez ces fichiers si les journaux du service n'indiquent aucune tentative de changement de mot de passe (aucun rapport de réussite ou d'échec).
Journaux du programme d'installation en ligne de commande
- Emplacement du fichier :
C:\Users\your-user-name\AppData\Local\Google\Google Apps Password Sync\Tracing\MsiExec
- Utilité du fichier :
Examinez les journaux du programme d'installation et le fichier msi_log.txt (ou le nom de fichier fourni au paramètre /l*vx), si vous rencontrez des problèmes lors d'une installation de Password Sync en ligne de commande.
Journaux des rapports d'erreurs
- Emplacement du fichier :
Si l'outil de configuration de l'interface utilisateur Password Sync plante, vous trouverez les journaux dans le dossier suivant :
C:\Users\your-user-name\AppData\Local\TempSi le service Password Sync plante, vous trouverez les journaux dans le dossier suivant : C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp
- Utilité du fichier :
Si l'administrateur a modifié le répertoire temporaire par défaut, suivez les instructions de la section Identifier votre répertoire temporaire pour obtenir cette information.
Identifier votre répertoire temporaire
Si l'assistant de configuration de Password Sync plante :
- Ouvrez une invite de commande (CMD).
-
Saisissez echo %TEMP%.
Si le service Password Sync se bloque :
- Téléchargez le fichier du programme PsExec depuis cet article Microsoft.
- Ouvrez une invite de commande (CMD).
- Accédez au répertoire dans lequel le fichier PsExec a été téléchargé.
- Saisissez psexec.exe -i -s %SystemRoot%\system32\cmd.exe
- Une nouvelle fenêtre de commande s'ouvre. Indiquez la commande suivante : whoami.
Un message de type "nt authority\system" devrait s'afficher.
- Saisissez echo %TEMP%.
Si vous rencontrez des erreurs réseau (expiration du réseau, connexion refusée, etc.) ou des erreurs SSL/TLS (problème de la connexion sécurisée, par exemple), les journaux affichent l'adresse IP à laquelle l'outil tente de se connecter. En cas de problème de connexion sécurisée, les journaux indiquent la raison (nom du certificat non valide, certificat expiré, échec de la vérification CRL, etc.) et les détails du certificat (certificat Google ou proxy d'inspection de contenu HTTPS, par exemple). Les captures du réseau ne seront donc plus essentielles pour le dépannage. Cela s'applique à la fois aux journaux principaux (Trace-*.log) et aux journaux d'autorisation (dans le dossier "Identity").
Exemple de journal d'autorisation
[2022-09-21T03:59:46:ERROR:windows_http.cc(331)] TLS connection failure. See details below. [Status: 0x00010000. Status Info: 0x00000001]
[2022-09-21T03:59:46:ERROR:windows_http.cc(340)] Certificate details:
---Validity--
Valid from: 2017-09-13 17:23:55 UTC
Valid until: 2017-12-06 17:10:00 UTC
---Subject---
US
California
Mountain View
Google Inc
*.googleapis.com
---Issuer----
US
Google Inc
Google Internet Authority G2
-------------
[2022-09-21T03:59:46:ERROR:windows_http.cc(282)] WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED: Certification revocation checking has been enabled, but the revocation check failed to verify whether a certificate has been revoked. The server used to check for revocation might be unreachable.
[2022-09-21T03:59:46:ERROR:windows_http.cc(197)] Error from API WinHttpSendRequest with WinHTTP proxy. Will try direct (without proxy). Code: 0x00002f8f
[2022-09-21T03:59:46:ERROR:windows_http.cc(107)] Network connection destination details: 216.58.194.170:443 (sfo07s13-in-f170.1e100.net)
Dans ce cas, l'année de la date actuelle de la machine a été remplacée par 2022, ce qui rend le certificat obsolète. Vous pouvez voir que les dates "Valid from" (Valide à partir du) et "Valid until" (Valide jusqu'au) du certificat ne correspondent pas à la date actuelle se trouvant au début de chaque ligne de journal. L'indicateur d'erreur WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED indique que l'examen pour vérifier si un certificat a été révoqué a échoué.
Vous pouvez également voir l'adresse IP de destination et le nom d'hôte résolu après "Network connection destination details" (Détails de la destination de la connexion réseau) sur la dernière ligne du journal. Il s'agit d'une adresse "1e100.net address", c'est-à-dire Google.
Exemple de journal trace
Remarque : Cet exemple de journal provient de GWMMO. Des entrées de journal trace similaires apparaissent également dans GSMME, Password Sync ou GWSMO lorsque ces produits rencontrent des problèmes de réseau ou des erreurs TLS.
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2025 ()> Secure connection failure. Status: 0x00010000. Info 0x00000009
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2030 ()> Failure details:
WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED: Certification revocation checking has been enabled, but the revocation check failed to verify whether a certificate has been revoked. The server used to check for revocation might be unreachable.
WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA: The function is unfamiliar with the Certificate Authority that generated the server's certificate.
Certificate details:
---Validity--
Valid from: 2016-09-20T04:08:45.000Z
Valid until: 2022-09-20T04:08:45.000Z
---Subject---
Created by http://www.fiddler2.com
DO_NOT_TRUST
*.google.com
---Issuer----
Created by http://www.fiddler2.com
DO_NOT_TRUST
DO_NOT_TRUST_FiddlerRoot
-------------
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2071 ()> Error result 5, hr = 0x80072f8f. Setting event 0000000000001638.
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2076 ()> Network connection destination details: 127.0.0.1:8888 (COMPUTERNAME)
Dans ce cas, Fiddler a été installé et configuré pour déchiffrer le HTTPS : en d'autres termes, il utilise son propre certificat. Cependant, ce certificat a été supprimé de la liste des certificats de confiance Windows. Il n'est donc pas approuvé. Notez que comme Fiddler est un proxy, il se connecte à 127.0.0.1, et non à Google. Les indicateurs d'erreur incluent WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA, ce qui signifie que l'autorité de certification (CA). n'est pas approuvée par le système. Vous remarquerez également que Google n'a pas émis ce certificat.
Erreurs du journal
Ouvrir la section | Tout réduire et revenir en haut de la page
Erreurs mentionnant Outlook dans les premières lignes des journauxSi vous utilisez une version antérieure de Password Sync, des erreurs liées à Microsoft Outlook risquent de s'afficher au début des fichiers journaux. Celles-ci n'ayant pas d'incidence sur Password Sync, vous pouvez les ignorer. Voici un exemple de journal Password Sync contenant des erreurs Outlook :
2022-04-12T09:00:00.563+03:00 14cc E:Generic password_sync_service!GetOutlookExePath @ 24 ()> Failed with 0x80070002, last successful line = 17.
2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!GetOutlookVersion @ 255 ()> Failed with 0x80070002, last successful line = 247.
2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!GetOfficeRegistryBase @ 362 ()> Failed with 0x80070002, last successful line = 360.
2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!ResourceStrings::GetOutlookLanguage @ 124 ()> Failed with 0x80070002, last successful line = 111.
Le composant de journalisation de Password Sync tente de trouver la version d'Outlook pour l'inscrire dans les journaux. Outlook n'étant pas indispensable au fonctionnement de Password Sync, vous pouvez ignorer ces erreurs.
Les erreurs et avertissements liés à WinHTTP (composant Windows utilisé par Password Sync pour se connecter à Google) sont anodins. Par exemple :
2022-08-06T03:30:46.590-07:00 8d4 W:Network password_sync_service!LogPotentialProxyNetworkFailure @ 287 (user@example.com)> WinHttpGetProxyForUrl auto-detect failed with 0x80072f94. 0/(null). IsNetworkActive is 1, flags 1, IsNetworkActive GetLastError 0x80004005
2022-08-06T03:30:47.371-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::RetriveUser @ 210 (user@example.com)> retrieved user......
2022-08-06T03:30:47.374-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::RetriveUser @ 257 (user@example.com)> Successfully retrieved user
2022-08-06T03:30:47.374-07:00 8d4 A:PasswordSync password_sync_service!AppsLogin::AppsLogin @ 32 (user@example.com)> Created Apps login
2022-08-06T03:30:48.113-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::UpdateUser @ 181 (user@example.com)> Successfully updated password
2022-08-06T03:30:48.113-07:00 8d4 W:Network password_sync_service!WinHttp::WaitForAsyncEvent @ 2088 (user@example.com)> Handle closed while waiting for CloseAllTrackedWinhttpHandles.
2022-08-06T03:30:48.113-07:00 8d4 E:Network password_sync_service!WinHttp::WaitForAsyncEvent @ 2089 (user@example.com)> Failed with 0x80072ef3, last successful line = 2062.
2022-08-06T03:30:48.113-07:00 8d4 E:Network password_sync_service!WinHttp::CloseAllTrackedWinhttpHandles @ 1766 (user@example.com)> Failed waiting for handle close, retry 0, hr = 80072ef3, 1 handles remaining
Les erreurs et avertissements indiquent que certaines actions ne se sont pas terminées comme Password Sync l'avait prévu. Cependant, les journaux indiquent "Successfully updated password". Cela signifie que vous pouvez ignorer les erreurs et avertissements liés au réseau puisque le mot de passe s'est correctement synchronisé.
Des erreurs telles que celles-ci peuvent apparaître dans les journaux :
2022-04-25T14:24:54.052+03:00 fd0 A:PasswordSync password_sync_service!PasswordSyncService::RunSyncService @ 309 ()> Updating password for "COMP$"
2022-04-25T14:24:54.130+03:00 93c E:PasswordSync password_sync_service!LDAPConnector::QueryForTargetEmail @ 86 ()> Failed with 0x80005010, last successful line = 83.
2022-04-25T14:24:54.130+03:00 93c E:PasswordSync password_sync_service!PasswordSyncTask::DoWork @ 77 ()> Error while retrieving target email for COMP$
L'entité dont le mot de passe est mis à jour se termine par le caractère "dollar" ($). Cela indique qu'il s'agit d'un compte d'ordinateur dans Active Directory. Les comptes d'ordinateur n'ayant pas d'adresse e-mail, Password Sync n'a pas réussi à récupérer l'adresse e-mail et ne synchronise donc pas le mot de passe. Ce comportement est normal, car Windows définit automatiquement les mots de passe des comptes d'ordinateur, qui n'ont pas besoin d'être synchronisés avec votre compte Google.
Lorsque vous exécutez l'interface de configuration de Password Sync pour la première fois, les erreurs suivantes (portant le libellé "E:") peuvent apparaître dans les journaux d'interface de configuration de Password Sync :
2022-02-13T16:07:05.374+00:00 13e0 A:PasswordSync PasswordSync!PasswordSyncConfig::InitSyncConfig @ 334 ()> Loading config from C:\ProgramData\\Google\Google Apps Password Sync\config.xml
2022-02-13T16:07:05.374+00:00 13e0 E:PasswordSync PasswordSync!SyncConfig::Load @ 40 ()> Failed with 0x80070002, last successful line = 37.
Ce comportement est normal. En effet, vous exécutez l'interface de configuration pour la première fois. De fait, aucune configuration n'existe encore. Toutefois, si cela se produit dans les journaux de services, cela peut indiquer que vous avez activé la compatibilité de l'application pour Password Sync. Assurez-vous qu'elle est désactivée avant de réessayer de configurer Password Sync.
Password Sync ajoute des entrées de journal d'événements Windows pour les événements clés. Vous les trouverez dans Observateur d'événementsJournaux d'applications et de services
Google. Tous les événements ont "GoogleAppsPasswordSync" comme source. Ces messages sont également écrits dans les fichiers journaux Password Sync.
Remarque : Les entrées de journal des événements Windows sont informatives pour faciliter la surveillance. Pour obtenir des informations de dépannage complètes, consultez Résoudre les problèmes liés à Password Sync.
Si la synchronisation du mot de passe échoue, car il ne respecte pas les consignes relatives aux noms d'utilisateur et aux noms de groupe ou les consignes concernant les mots de passe :
Event ID: 258
Severity: Warning
Category: LSASS
Contents: An attempt to change the password for user "USERNAME" was made. However, the new password contains unsupported characters. The password can not be updated on the Google Account, and will be out of sync with Active Directory.
Si le service Password Sync est arrêté alors que les utilisateurs tentent de modifier leur mot de passe :
Event ID: 259
Severity: Error
Category: LSASS
Contents: An error occurred while trying to communicate with the Password Sync Service; the password update request for account "USERNAME" could not be processed.
Status = 0 (0x00000000).
Please make sure the service is running.
Si une erreur se produit lors du hachage du mot de passe d'un utilisateur :
Event ID: 260
Severity: Error
Category: LSASS
Contents: An error occurred while hashing the password for account "USERNAME".
Status = 0 (0x00000000).
Si un utilisateur définit un mot de passe de plus de 200 caractères, celui-ci est tronqué. Le mot de passe défini par l'utilisateur dans Active Directory reste intact, mais il n'est plus synchronisé avec le compte Google :
Event ID: 261
Severity: Warning
Category: LSASS
Contents: Password for account "USERNAME" being trucated to to the first 200 characters.
Lorsque le service Password Sync est démarré:
Event ID: 512
Severity: Informational
Category: Service
Contents: Password Sync service starting.
Lorsque le service Password Sync est arrêté :
Event ID: 513
Severity: Informational
Category: Service
Contents: Password Sync service shut down.
Status = 0 (0x00000000)
Lorsqu'un mot de passe utilisateur Active Directory a bien été synchronisé avec un compte Google :
Event ID: 514
Severity: Success
Category: Service
Contents: The password change for Active Directory user "USERNAME" was synchronized to Google Account "username@example.com" successfully.
Status = 0 (0x00000000)
Si Password Sync reçoit une notification de modification de mot de passe et ne trouve pas l'utilisateur Active Directory correspondant :
Event ID: 768
Severity: Error
Category: LDAP Connector
Contents: The account "USERNAME" was not found on Active Directory.
LDAP Connector status = 20498 (0x00005012).
Remarque : Pour en savoir plus, consultez le code d'erreur 0x00005012.
Si un utilisateur Active Directory sans ensemble d'attributs de messagerie modifie son mot de passe :
Event ID: 769
Severity: Warning
Category: LDAP Connector
Contents: The account "USERNAME" seems not to have an Email attribute set; its password will not get synchronized to Google.
LDAP Connector status = -2147463152 (0x80005010).
Remarque : Pour en savoir plus, consultez le code d'erreur 0x80005010.
Si des erreurs inattendues se produisent lors de l'interrogation d'Active Directory :
Event ID: 770
Severity: Error
Category: LDAP Connector
Contents: An unexpected error occurred while querying Active Directory.
LDAP Connector status = -2147467259 (0x80004005).
System Message: Unspecified failure
Si une requête d'API échoue lorsque vous essayez de synchroniser un mot de passe :
Event ID: 1024
Severity: Error
Category: Google Connector
Contents: An API call to the Google server returned an unexpected response while updating the password for account "username@example.com" during the 'PasswordSyncTask::PutUser' step; all retries have been exhausted.
Details:
- Host: apps-apis.google.com
- Auth Result = 0 (0x00000000)
- GDataStatus = 7 (0x00000007) GDSTATUS_BAD_REQUEST
- hResult 1 = -2147217401 (0x80041007)
- hResult 2 = 0 (0x00000000)
Remarque : Les détails de l'événement peuvent inclure des codes d'état et de résultats différents. Une analyse plus approfondie des fichiers journaux Password Sync peut être nécessaire pour identifier précisément la cause de l'erreur.
Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.
