Password Sync のログに、エラーのように見える行が表示されることがありますが、実際に同期や設定に問題があることを示しているとは限りません。以下の情報を参考にトラブルシューティングを行ってください。
Log Analyzer を試す
取得したトレースログを Google 管理者ツールボックスにある Log Analyzer に読み込みます。ほとんどの場合、数分以内で問題を特定できます。
詳しくは、トレースログ ファイルの場所をご覧ください。
Password Sync ログ
トレース ファイル ログの場所Password Sync のトレースログは、パソコンの次の場所にあります。C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Google Apps Password Sync\Tracing\password_sync_service
トレースログ ファイルの例は、ログを調べるでご覧ください。
Password Sync サポートツール(Google のオープンソース ツール)を使用して、すべてのドメイン コントローラから Password Sync のログとトラブルシューティング情報を収集できます。
構成ファイルとログを見つける
構成ファイル
- ファイルの場所:
C:\ProgramData\Google\Google Apps Password Sync\config.xml
- ファイルの用途:
このファイルを見直して設定を確認します。
サービスログ
- ファイルの場所:
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Google Apps Password Sync\Tracing\password_sync_service
- ファイルの用途:
Password Sync の設定が正しいにもかかわらず、すべてまたは一部のユーザーのパスワードが同期されない場合は、これらのファイルを見直します。
トレースログ ファイルの例は、後述のログを調べるでご確認ください。
サービス認証ログ
- ファイルの場所:
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Identity
- ファイルの用途:
Password Sync サービスログに、エラーコード 0x6、0x203、0x4、または 0x102 の「Authentication failed」というエラーが表示された場合は、これらのファイルを見直します。
認証ログファイルの例は、後述のログを調べるでご確認ください。
設定インターフェース ログ
- ファイルの場所:
C:\Users\[ユーザー名]\AppData\Local\Google\Google Apps Password Sync\Tracing\Password Sync
(バージョン 1.6 以前をご利用の場合)C:\Users\[ユーザー名]\AppData\Local\Google\Google Apps Password Sync\Tracing\GoogleAppsPasswordSync
- ファイルの用途:
設定時に問題が発生した場合は、これらのファイルを見直します。
トレースログ ファイルの例は、後述のログを調べるでご確認ください。
設定インターフェース認証ログ
- ファイルの場所:
C:\Users\[ユーザー名]\AppData\Local\Google\Identity
- ファイルの用途:
設定の Google 認証部分で問題が発生した場合は、これらのファイルを見直します。
DLL ログ
- ファイルの場所:
C:\Windows\System32\config\systemprofile\AppData\Local\Google\Google Apps Password Sync\Tracing\lsass
- ファイルの用途:
サービスログにパスワード変更を試みた形跡がない(成功または失敗の報告がない)場合は、これらのファイルを見直します。
コマンドライン インストーラ ログ
- ファイルの場所:
C:\Users\[ユーザー名]\AppData\Local\Google\Google Apps Password Sync\Tracing\MsiExec
- ファイルの用途:
コマンドラインでの Password Sync のインストール中に問題が発生した場合は、インストーラ ログと msi_log.txt ファイル(またはパラメータ /l*vx で指定したファイル名)を見直します。
クラッシュ レポートログ
- ファイルの場所:
Password Sync UI 設定ツールがクラッシュした場合、次の場所にログが生成されます。
C:\Users\[ユーザー名]\AppData\Local\TempPassword Sync サービスがクラッシュした場合、次の場所にログが生成されます。C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp
- ファイルの用途:
管理者がデフォルトの一時ディレクトリを変更している場合は、一時ディレクトリを見つける方法をご確認ください。
一時ディレクトリを見つける方法
Password Sync 設定ウィザードがクラッシュした場合:
- コマンド プロンプト(CMD)を開きます。
-
コマンド echo %TEMP% を実行します。
Password Sync サービスがクラッシュした場合:
- Microsoft のサイトから PsExec プログラム ファイルをダウンロードします。
- コマンド プロンプト(CMD)を開きます。
- PsExec ファイルをダウンロードしたディレクトリに移動します。
- コマンド psexec.exe -i -s %SystemRoot%\system32\cmd.exe を実行します。
- 新しいコマンド ウィンドウが開きます。コマンド whoami を実行します。
「nt authority\system」のようなメッセージが表示されます。
- コマンド echo %TEMP% を実行します。
ネットワーク エラー(ネットワーク タイムアウト、接続拒否など)または SSL / TLS の問題(接続のセキュリティに関する問題など)が発生すると、接続試行先 IP アドレスがログに記録されます。接続のセキュリティに関する問題が発生した場合は、その原因(証明書の名前の不一致、証明書の期限切れ、CRL チェックの失敗など)と証明書の詳細(Google 証明書、HTTPS 検査プロキシなど)がログに示されます。こうした記録により、トラブルシューティングの目的でネットワーク キャプチャを取得する必要性が大幅に軽減されます。このことは、メインのログ(Trace-*.log)と認証ログ([Identity] フォルダ内)の両方について言えます。
認証ログの例
[2022-09-21T03:59:46:ERROR:windows_http.cc(331)] TLS connection failure. See details below. [Status: 0x00010000. Status Info: 0x00000001]
[2022-09-21T03:59:46:ERROR:windows_http.cc(340)] Certificate details:
---Validity--
Valid from: 2017-09-13 17:23:55 UTC
Valid until: 2017-12-06 17:10:00 UTC
---Subject---
US
California
Mountain View
Google Inc
*.googleapis.com
---Issuer----
US
Google Inc
Google Internet Authority G2
-------------
[2022-09-21T03:59:46:ERROR:windows_http.cc(282)] WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED: Certification revocation checking has been enabled, but the revocation check failed to verify whether a certificate has been revoked. The server used to check for revocation might be unreachable.
[2022-09-21T03:59:46:ERROR:windows_http.cc(197)] Error from API WinHttpSendRequest with WinHTTP proxy. Will try direct (without proxy). Code: 0x00002f8f
[2022-09-21T03:59:46:ERROR:windows_http.cc(107)] Network connection destination details: 216.58.194.170:443 (sfo07s13-in-f170.1e100.net)
この場合、パソコンの現在日設定が 2022 年に変更されていたため、証明書が期限切れと判断されました。現在の日付は各ログ行の先頭に記載されています。この例では、証明書の「Valid from」と「Valid until」の日付が現在の日付と一致しません。エラーフラグ WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED は、証明書失効チェックが失敗したことを示します。
また、ログの最終行の「Network connection destination details」の後には、接続先 IP アドレスと解決されたホスト名が記録されています。これは 1e100.net address(Google)のアドレスです。
トレースログの例
注: これは GWMMO ログの例です。ネットワークまたは TLS の問題が発生した場合、同様のトレースログ エントリが、GSMME、Password Sync、GWSMO でも記録されます。
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2025 ()> Secure connection failure. Status: 0x00010000. Info 0x00000009
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2030 ()> Failure details:
WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED: Certification revocation checking has been enabled, but the revocation check failed to verify whether a certificate has been revoked. The server used to check for revocation might be unreachable.
WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA: The function is unfamiliar with the Certificate Authority that generated the server's certificate.
Certificate details:
---Validity--
Valid from: 2016-09-20T04:08:45.000Z
Valid until: 2022-09-20T04:08:45.000Z
---Subject---
Created by http://www.fiddler2.com
DO_NOT_TRUST
*.google.com
---Issuer----
Created by http://www.fiddler2.com
DO_NOT_TRUST
DO_NOT_TRUST_FiddlerRoot
-------------
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2071 ()> Error result 5, hr = 0x80072f8f. Setting event 0000000000001638.
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2076 ()> Network connection destination details: 127.0.0.1:8888 (COMPUTERNAME)
この場合、Fiddler がインストールされ、HTTPS 復号を行う(独自の証明書を使用する)ように設定されていますが、その証明書は Windows の信頼できる証明書リストから削除されているため、信頼できません。Fiddler はプロキシであるため、Google ではなく 127.0.0.1 に接続していることがわかります。エラーフラグには WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA が含まれています。これは、認証局 (CA). がシステムによって信頼されていないことを意味します。この証明書は Google が発行したものではないこともわかります。
ログのエラー
ログの先頭に表示される、Outlook に関するエラー旧バージョンの Password Sync を使用している場合、ログファイルの先頭に Microsoft Outlook に関連するエラーが表示されることがあります。Password Sync には影響しないので、このようなエラーは無視してかまいません。以下は、Outlook のエラーが表示された Password Sync ログの例です。
2022-04-12T09:00:00.563+03:00 14cc E:Generic password_sync_service!GetOutlookExePath @ 24 ()> Failed with 0x80070002, last successful line = 17.
2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!GetOutlookVersion @ 255 ()> Failed with 0x80070002, last successful line = 247.
2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!GetOfficeRegistryBase @ 362 ()> Failed with 0x80070002, last successful line = 360.
2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!ResourceStrings::GetOutlookLanguage @ 124 ()> Failed with 0x80070002, last successful line = 111.
Password Sync のロギング コンポーネントは、ログに出力するために Outlook のバージョンを検出しようとしますが、Password Sync は Outlook を必要としないため、このようなエラーは無視してかまいません。
WinHTTP(Google に接続するために Password Sync で使用されている Microsoft Windows コンポーネント)に関連するエラーと警告は問題ありません。次に例を示します。
2022-08-06T03:30:46.590-07:00 8d4 W:Network password_sync_service!LogPotentialProxyNetworkFailure @ 287 (user@example.com)> WinHttpGetProxyForUrl auto-detect failed with 0x80072f94. 0/(null). IsNetworkActive is 1, flags 1, IsNetworkActive GetLastError 0x80004005
2022-08-06T03:30:47.371-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::RetriveUser @ 210 (user@example.com)> retrieved user......
2022-08-06T03:30:47.374-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::RetriveUser @ 257 (user@example.com)> Successfully retrieved user
2022-08-06T03:30:47.374-07:00 8d4 A:PasswordSync password_sync_service!AppsLogin::AppsLogin @ 32 (user@example.com)> Created Apps login
2022-08-06T03:30:48.113-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::UpdateUser @ 181 (user@example.com)> Successfully updated password
2022-08-06T03:30:48.113-07:00 8d4 W:Network password_sync_service!WinHttp::WaitForAsyncEvent @ 2088 (user@example.com)> Handle closed while waiting for CloseAllTrackedWinhttpHandles.
2022-08-06T03:30:48.113-07:00 8d4 E:Network password_sync_service!WinHttp::WaitForAsyncEvent @ 2089 (user@example.com)> Failed with 0x80072ef3, last successful line = 2062.
2022-08-06T03:30:48.113-07:00 8d4 E:Network password_sync_service!WinHttp::CloseAllTrackedWinhttpHandles @ 1766 (user@example.com)> Failed waiting for handle close, retry 0, hr = 80072ef3, 1 handles remaining
エラーと警告は、一部のアクションが Password Sync の想定どおりに完了しなかったことを示していますが、ログには「"Successfully updated password"」と記録されています。これは、パスワードは正しく同期されたため、ネットワーク関連のエラーと警告は無視してかまわないことを示しています。
次のようなエラーがログに表示されることがあります。
2022-04-25T14:24:54.052+03:00 fd0 A:PasswordSync password_sync_service!PasswordSyncService::RunSyncService @ 309 ()> Updating password for "COMP$"
2022-04-25T14:24:54.130+03:00 93c E:PasswordSync password_sync_service!LDAPConnector::QueryForTargetEmail @ 86 ()> Failed with 0x80005010, last successful line = 83.
2022-04-25T14:24:54.130+03:00 93c E:PasswordSync password_sync_service!PasswordSyncTask::DoWork @ 77 ()> Error while retrieving target email for COMP$
パスワード更新対象エンティティの最後にドル記号($)が付いています。これは、エンティティが Active Directory のコンピュータ アカウントであることを示します。コンピュータ アカウントにはメールアドレスがないため Password Sync でメールアドレスを取得できず、パスワードを同期できなかったことがわかります。これは想定された挙動です。コンピュータ アカウントのパスワードは Windows によって自動設定され、Google アカウントと同期する必要がないためです。
Password Sync 設定インターフェースを初めて実行すると、Password Sync 設定インターフェース ログに次のようなエラー(ラベル「E:」が付いた箇所)が表示されることがあります。
2022-02-13T16:07:05.374+00:00 13e0 A:PasswordSync PasswordSync!PasswordSyncConfig::InitSyncConfig @ 334 ()> Loading config from C:\ProgramData\\Google\Google Apps Password Sync\config.xml
2022-02-13T16:07:05.374+00:00 13e0 E:PasswordSync PasswordSync!SyncConfig::Load @ 40 ()> Failed with 0x80070002, last successful line = 37.
これは想定された挙動です。設定インターフェースを初めて実行する場合は、既存の設定がないためです。ただし、サービスログにこのエラーが記録されている場合は、Password Sync に対してアプリケーションの互換性が有効になっていることを示している可能性があります。アプリケーションの互換性が無効になっていることを確認してから、もう一度 Password Sync の設定を行ってください。
Password Sync では、主なイベントが Windows イベントログ エントリに記録されます。[イベント ビューア] [アプリケーションとサービスログ]
[Google] で確認できます。すべてのイベントで、ソースは「GoogleAppsPasswordSync」となります。これらのメッセージは Password Sync のログファイルにも書き込まれます。
注: Windows イベントログ エントリの情報を利用するとモニタリングを簡単に行えます。トラブルシューティング情報について詳しくは、Password Sync のトラブルシューティングをご覧ください。
パスワードがユーザー名とグループ名のガイドラインまたはパスワードのガイドラインに準拠していないために同期に失敗した場合:
Event ID: 258
Severity: Warning
Category: LSASS
Contents: An attempt to change the password for user "USERNAME" was made. However, the new password contains unsupported characters. The password can not be updated on the Google Account, and will be out of sync with Active Directory.
ユーザーがパスワードを変更しようとするときに Password Sync サービスが停止していた場合:
Event ID: 259
Severity: Error
Category: LSASS
Contents: An error occurred while trying to communicate with the Password Sync Service; the password update request for account "USERNAME" could not be processed.
Status = 0 (0x00000000).
Please make sure the service is running.
ユーザーのパスワードをハッシュ化する際にエラーが発生した場合:
Event ID: 260
Severity: Error
Category: LSASS
Contents: An error occurred while hashing the password for account "USERNAME".
Status = 0 (0x00000000).
ユーザーが 200 文字を超えるパスワードを設定すると、超過した部分は切り捨てられます。ユーザーが Active Directory で設定したパスワードは維持されますが、Google アカウントとは同期されません。
Event ID: 261
Severity: Warning
Category: LSASS
Contents: Password for account "USERNAME" being trucated to to the first 200 characters.
Password Sync サービスが開始された場合:
Event ID: 512
Severity: Informational
Category: Service
Contents: Password Sync service starting.
Password Sync サービスが停止した場合:
Event ID: 513
Severity: Informational
Category: Service
Contents: Password Sync service shut down.
Status = 0 (0x00000000)
Active Directory ユーザーのパスワードが Google アカウントと正常に同期された場合:
Event ID: 514
Severity: Success
Category: Service
Contents: The password change for Active Directory user "USERNAME" was synchronized to Google Account "username@example.com" successfully.
Status = 0 (0x00000000)
Password Sync がパスワード変更の通知を受け取ったものの、対応する Active Directory ユーザーが見つからなかった場合:
Event ID: 768
Severity: Error
Category: LDAP Connector
Contents: The account "USERNAME" was not found on Active Directory.
LDAP Connector status = 20498 (0x00005012).
注: 詳しくは、エラーコード 0x00005012 をご覧ください。
メール属性が設定されていない Active Directory ユーザーがパスワードを変更した場合:
Event ID: 769
Severity: Warning
Category: LDAP Connector
Contents: The account "USERNAME" seems not to have an Email attribute set; its password will not get synchronized to Google.
LDAP Connector status = -2147463152 (0x80005010).
注: 詳しく、エラーコード 0x80005010 をご覧ください。
Active Directory に対するクエリの実行中に予期しないエラーが発生した場合:
Event ID: 770
Severity: Error
Category: LDAP Connector
Contents: An unexpected error occurred while querying Active Directory.
LDAP Connector status = -2147467259 (0x80004005).
System Message: Unspecified failure
API リクエストがパスワードを同期しようとして失敗した場合:
Event ID: 1024
Severity: Error
Category: Google Connector
Contents: An API call to the Google server returned an unexpected response while updating the password for account "username@example.com" during the 'PasswordSyncTask::PutUser' step; all retries have been exhausted.
Details:
- Host: apps-apis.google.com
- Auth Result = 0 (0x00000000)
- GDataStatus = 7 (0x00000007) GDSTATUS_BAD_REQUEST
- hResult 1 = -2147217401 (0x80041007)
- hResult 2 = 0 (0x00000000)
注: イベントの詳細に別のステータスと結果コードが含まれていて、エラーの原因を正確に特定するために Password Sync ログファイルの詳細な調査が必要になる場合があります。
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。
