Rozwiązywanie problemów za pomocą dzienników

Od czasu do czasu w dziennikach Password Sync pojawiają się wiersze, które wyglądają jak błędy. Często nie wskazują one na żaden problem z synchronizacją ani konfiguracją. Aby rozwiązać problemy, skorzystaj z poniższych informacji.

Rozpoznawanie problemów za pomocą Analizatora logów

Prześlij logi śledzenia do Analizatora logów z Narzędzi administracyjnych Google. Większość problemów można zidentyfikować niemal natychmiast po przesłaniu danych.

Dowiedz się, gdzie możesz znaleźć pliki logów śledzenia.

Password Sync logs

Otwórz sekcję | Zwiń wszystko i przejdź na górę strony

Gdzie znajdują się dzienniki plików śledzenia?

Dzienniki śledzenia Password Sync na komputerze możesz znaleźć w tym miejscu: C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Google Apps Password Sync\Tracing\password_sync_service.

Aby wyświetlić przykładowy plik dziennika śledzenia, przejdź do sekcji Sprawdzanie dzienników.

Gdzie znajdują się inne dzienniki i pliki konfiguracji?

Możesz użyć narzędzia pomocy Password Sync (narzędzia open source Google) do zebrania dzienników Password Sync i informacji potrzebnych do rozwiązania problemów ze wszystkich kontrolerów domeny.

Wyszukiwanie plików konfiguracji i dzienników

Plik konfiguracji

Lokalizacja pliku:
C:\ProgramData\Google\Google Apps Password Sync\config.xml
Co zrobić z plikiem:
Przejrzyj ten plik w celu sprawdzenia ustawień.

Dzienniki usługi

Lokalizacja pliku:
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Google Apps Password Sync\Tracing\password_sync_service
Co zrobić z plikiem:
Przejrzyj te pliki, jeśli usługa Password Sync została skonfigurowana poprawnie, ale żadne lub niektóre hasła Twoich użytkowników nie są synchronizowane.

Aby wyświetlić przykładowy plik dziennika śledzenia, przejdź do sekcji Sprawdzanie dzienników.

Dzienniki uwierzytelniania usługi

Lokalizacja pliku:
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Identity
Co zrobić z plikiem:
Przejrzyj te pliki, jeśli w dziennikach usługi Password Sync występują błędy „Authentication failed” („Nie udało się uwierzytelnić”) z kodami błędów 0x6, 0x203, 0x4 lub 0x102.

Aby zobaczyć przykładowy plik dziennika autoryzacji, przejdź do sekcji Sprawdzanie dzienników.

Dzienniki interfejsu konfiguracji

Lokalizacja pliku:
C:\Users\nazwa-użytkownika\AppData\Local\Google\Google Apps Password Sync\Tracing\Password Sync

C:\Users\nazwa-użytkownika\AppData\Local\Google\Google Apps Password Sync\Tracing\GoogleAppsPasswordSync (jeśli używasz wersji 1.6 lub starszej)
Co zrobić z plikiem:
Przejrzyj te pliki, jeśli podczas konfiguracji wystąpiły problemy.

Aby wyświetlić przykładowy plik dziennika śledzenia, przejdź do sekcji Sprawdzanie dzienników.

Dzienniki uwierzytelniania interfejsu konfiguracji

Lokalizacja pliku:
C:\Users\nazwa-użytkownika\AppData\Local\Google\Identity
Co zrobić z plikiem:
Przejrzyj te pliki, jeśli podczas konfiguracji (w części obejmującej autoryzację Google) wystąpiły problemy.

Dzienniki bibliotek DLL

Lokalizacja pliku:
C:\Windows\System32\config\systemprofile\AppData\Local\Google\Google Apps Password Sync\Tracing\lsass
Co zrobić z plikiem:
Przejrzyj te pliki, jeśli w dziennikach usługi nie ma informacji o próbach zmiany hasła (brak raportów na temat powodzenia i niepowodzenia).

Dzienniki instalatora wiersza poleceń

Lokalizacja pliku:
C:\Users\nazwa-użytkownika\AppData\Local\Google\Google Apps Password Sync\Tracing\MsiExec
Co zrobić z plikiem:
Przejrzyj dzienniki instalatora i plik msi_log.txt (lub plik podany w parametrze /l*vx), jeśli występują problemy podczas instalowania Password Sync z poziomu wiersza poleceń.

Dzienniki raportów o awariach

Lokalizacja pliku:
Jeśli narzędzie do konfigurowania interfejsu użytkownika Password Sync ulegnie awarii, dzienniki można znaleźć w tym miejscu:
C:\Użytkownicy\nazwa-użytkownika\AppData\Local\Temp

Jeśli usługa Password Sync ulegnie awarii, dzienniki można znaleźć w tym miejscu: C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp
Co zrobić z plikiem:
Jeśli administrator zmienił domyślny katalog tymczasowy, instrukcje uzyskiwania tych informacji znajdziesz w sekcji Jak zidentyfikować katalog tymczasowy.

Jak zidentyfikować katalog tymczasowy

Jeśli kreator konfiguracji Password Sync ulegnie awarii:

Otwórz wiersz polecenia (CMD)
Wpisz: echo %TEMP%

Jeśli usługa Password Sync ulegnie awarii:

Pobierz plik programu PsExec z tego artykułu firmy Microsoft.
Otwórz wiersz polecenia (CMD).
Przejdź do katalogu, w którym znajduje się pobrany plik PsExec.
Wpisz: psexec.exe -i -s %SystemRoot%\system32\cmd.exe
Zostanie otwarte nowe okno polecenia. Wpisz polecenie: whoami.
Powinien zostać wyświetlony komunikat „nt authority\system”.
Wpisz echo %TEMP%

Sprawdzanie dzienników

Jeśli wystąpią błędy sieci (na przykład przekroczenie limitu czasu oczekiwania sieci, odmowa połączenia itp.) lub problemy z protokołem SSL/TLS (na przykład problem z bezpiecznym połączeniem), w dziennikach zostanie zapisany adres IP, z którym narzędzie GWSMO próbowało się połączyć. W przypadku problemu z bezpiecznym połączeniem dzienniki będą zawierać przyczynę (na przykład niezgodność nazwy certyfikatu, wygaśnięcie certyfikatu, sprawdzenie listy CRL zakończone niepowodzeniem itp.) oraz szczegóły certyfikatu (na przykład certyfikat Google lub serwer proxy sprawdzający HTTPS). Powinno to znacznie ograniczyć konieczność przechwytywania ruchu sieciowego do rozwiązywania problemów i dotyczy zarówno dzienników głównych (Trace-*.log), jak i dzienników autoryzacji (w folderze „Identity”).

Przykład dziennika autoryzacji

[2022-09-21T03:59:46:ERROR:windows_http.cc(331)] TLS connection failure. See details below. [Status: 0x00010000. Status Info: 0x00000001]

  [2022-09-21T03:59:46:ERROR:windows_http.cc(340)] Certificate details:

  ---Validity--

  Valid from: 2017-09-13 17:23:55 UTC

  Valid until: 2017-12-06 17:10:00 UTC

  ---Subject---

  US

  California

  Mountain View

  Google Inc

  *.googleapis.com

  ---Issuer----

  US

  Google Inc

  Google Internet Authority G2

  -------------

  [2022-09-21T03:59:46:ERROR:windows_http.cc(282)] WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED: Certification revocation checking has been enabled, but the revocation check failed to verify whether a certificate has been revoked. The server used to check for revocation might be unreachable.

  [2022-09-21T03:59:46:ERROR:windows_http.cc(197)] Error from API WinHttpSendRequest with WinHTTP proxy. Will try direct (without proxy). Code: 0x00002f8f

  [2022-09-21T03:59:46:ERROR:windows_http.cc(107)] Network connection destination details: 216.58.194.170:443 (sfo07s13-in-f170.1e100.net)

W tym przypadku rok w aktualnej dacie komputera został zmieniony na 2022, przez co certyfikat wydaje się nieaktualny. Na początku każdego wiersza dziennika możesz sprawdzić aktualną datę, a daty „Valid from” i „Valid until” certyfikatu nie są zgodne z aktualną datą. Flaga błędu WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED wskazuje, że test odwołania certyfikatu zakończył się niepowodzeniem.

Możesz też sprawdzić docelowy adres IP i nazwę hosta po tekście „Network connection destination details” w ostatnim wierszu dziennika. Jest to adres 1e100.net address, czyli Google.

Przykład logu śledzenia

Uwaga: ten przykładowy log pochodzi z GWMMO. Podobne wpisy logu śledzenia pojawią się także w GSMME, Password Sync lub GWSMO, gdy w usługach tych będą występować problemy z siecią lub TLS.

2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2025 ()> Secure connection failure. Status: 0x00010000. Info 0x00000009 2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2030 ()> Failure details: WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED: Certification revocation checking has been enabled, but the revocation check failed to verify whether a certificate has been revoked. The server used to check for revocation might be unreachable. WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA: The function is unfamiliar with the Certificate Authority that generated the server's certificate. Certificate details: ---Validity-- Valid from: 2016-09-20T04:08:45.000Z Valid until: 2022-09-20T04:08:45.000Z ---Subject--- Created by http://www.fiddler2.com DO_NOT_TRUST *.google.com ---Issuer---- Created by http://www.fiddler2.com DO_NOT_TRUST DO_NOT_TRUST_FiddlerRoot ------------- 2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2071 ()> Error result 5, hr = 0x80072f8f. Setting event 0000000000001638. 2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2076 ()> Network connection destination details: 127.0.0.1:8888 (COMPUTERNAME)

W tym przypadku Fiddler został zainstalowany i skonfigurowany do odszyfrowywania HTTPS (co oznacza, że używa własnego certyfikatu), ale jego certyfikat został usunięty z listy zaufanych certyfikatów Windows, więc nie jest on zaufany. Pamiętaj, że ponieważ Fiddler jest serwerem proxy, łączy się z 127.0.0.1, a nie z Google. Flagi błędów zawierają parametr WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA, co oznacza, że system nie ufa urzędowi certyfikacji (CA). . Zwróć też uwagę, że tego certyfikatu nie wydała firma Google.

Przykładowy tekst wyświetlany tutaj jest łatwy do sfałszowania przez osobę przeprowadzającą atak, dlatego nigdy nie powinien być używany do uwierzytelniania (zamiast tego użyj podpisu urzędu certyfikacji). Jest on jednak przydatny do identyfikowania problemów z konfiguracją zapór sieciowych i serwerów proxy, mogących być przyczyną ataków przy użyciu protokołu SSL lub ataków typu „man-in-the-middle” (MITM).

Błędy w dzienniku

Otwórz sekcję | Zwiń wszystko i przejdź na górę strony

Błędy na początku dziennika wspominające o Outlooku

Jeśli używasz starszej wersji narzędzia Password Sync, na początku plików dziennika może ono wyświetlać błędy związane z programem Microsoft Outlook. Nie ma to wpływu na Password Sync i możesz zignorować te błędy. Oto przykład dziennika Password Sync z błędami dotyczącymi Outlooka:

2022-04-12T09:00:00.563+03:00 14cc E:Generic password_sync_service!GetOutlookExePath @ 24 ()> Failed with 0x80070002, last successful line = 17. 2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!GetOutlookVersion @ 255 ()> Failed with 0x80070002, last successful line = 247. 2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!GetOfficeRegistryBase @ 362 ()> Failed with 0x80070002, last successful line = 360. 2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!ResourceStrings::GetOutlookLanguage @ 124 ()> Failed with 0x80070002, last successful line = 111.

Składnik logowania Password Sync próbuje znaleźć wersję Outlooka, aby zgłosić ją w dziennikach. Możesz bezpiecznie zignorować te błędy, ponieważ Password Sync nie wymaga Outlooka.

Ostrzeżenia winHTTP i błędy w dziennikach usług

Niektóre błędy i ostrzeżenia związane z WinHTTP (składnikiem systemu Microsoft Windows, którego Password Sync używa do łączenia się z usługami Google) są niegroźne. Na przykład:

2022-08-06T03:30:46.590-07:00 8d4 W:Network password_sync_service!LogPotentialProxyNetworkFailure @ 287 (user@example.com)> WinHttpGetProxyForUrl auto-detect failed with 0x80072f94. 0/(null). IsNetworkActive is 1, flags 1, IsNetworkActive GetLastError 0x80004005
2022-08-06T03:30:47.371-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::RetriveUser @ 210 (user@example.com)> retrieved user......
2022-08-06T03:30:47.374-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::RetriveUser @ 257 (user@example.com)> Successfully retrieved user
2022-08-06T03:30:47.374-07:00 8d4 A:PasswordSync password_sync_service!AppsLogin::AppsLogin @ 32 (user@example.com)> Created Apps login
2022-08-06T03:30:48.113-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::UpdateUser @ 181 (user@example.com)> Successfully updated password
2022-08-06T03:30:48.113-07:00 8d4 W:Network password_sync_service!WinHttp::WaitForAsyncEvent @ 2088 (user@example.com)> Handle closed while waiting for CloseAllTrackedWinhttpHandles.
2022-08-06T03:30:48.113-07:00 8d4 E:Network password_sync_service!WinHttp::WaitForAsyncEvent @ 2089 (user@example.com)> Failed with 0x80072ef3, last successful line = 2062.
2022-08-06T03:30:48.113-07:00 8d4 E:Network password_sync_service!WinHttp::CloseAllTrackedWinhttpHandles @ 1766 (user@example.com)> Failed waiting for handle close, retry 0, hr = 80072ef3, 1 handles remaining

Te błędy i ostrzeżenia wskazują, że niektóre działania nie zakończyły się zgodnie z oczekiwaniami narzędzia Password Sync. W dziennikach pojawia się jednak komunikat "Successfully updated password". Oznacza on, że możesz zignorować błędy i ostrzeżenia związane z siecią, bo hasło zostało prawidłowo zsynchronizowane.

Błąd odczytywania niektórych danych z Active Directory w dziennikach usług

W dziennikach możesz zobaczyć takie błędy:

2022-04-25T14:24:54.052+03:00 fd0 A:PasswordSync password_sync_service!PasswordSyncService::RunSyncService @ 309 ()> Updating password for "COMP$"

2022-04-25T14:24:54.130+03:00 93c E:PasswordSync password_sync_service!LDAPConnector::QueryForTargetEmail @ 86 ()> Failed with 0x80005010, last successful line = 83.

2022-04-25T14:24:54.130+03:00 93c E:PasswordSync password_sync_service!PasswordSyncTask::DoWork @ 77 ()> Error while retrieving target email for COMP$

Nazwa elementu, którego hasło jest aktualizowane, kończy się znakiem dolara ($). Wskazuje to, że jest to konto komputera w Active Directory. Konta komputerów nie mają adresów e-mail, dlatego Password Sync nie może pobrać adresu e-mail, a tym samym nie jest w stanie zsynchronizować hasła. To zupełnie normalne. System Windows automatycznie ustawia hasła do kont komputerów i nie trzeba ich synchronizować z kontem Google.

Błędy wczytywania danych w dziennikach interfejsu konfiguracji

Po pierwszym uruchomieniu interfejsu konfiguracji Password Sync w dziennikach interfejsu konfiguracji Password Sync mogą pojawić się takie błędy (oznaczone etykietą „E:”):

2022-02-13T16:07:05.374+00:00 13e0 A:PasswordSync PasswordSync!PasswordSyncConfig::InitSyncConfig @ 334 ()> Loading config from C:\ProgramData\\Google\Google Apps Password Sync\config.xml 2022-02-13T16:07:05.374+00:00 13e0 E:PasswordSync PasswordSync!SyncConfig::Load @ 40 ()> Failed with 0x80070002, last successful line = 37.

To normalne – używasz interfejsu konfiguracji po raz pierwszy i nie ma żadnej bieżącej konfiguracji. Jeśli jednak zobaczysz taki komunikat w dziennikach usług, może to oznaczać, że masz włączoną zgodność aplikacji dla Password Sync. Przed ponowną próbą skonfigurowania Password Sync upewnij się, że jest ona wyłączona.

Typowe wpisy w dzienniku zdarzeń systemu Windows utworzone przez Password Sync

Password Sync dodaje wpisy do dziennika zdarzeń systemu Windows dotyczące najważniejszych zdarzeń. Znajdziesz je w sekcji Przeglądarka zdarzeń Dzienniki aplikacji i usług Google. Źródłem wszystkich zdarzeń jest „GoogleAppsPasswordSync”. Te wiadomości są też zapisywane w plikach dziennika Password Sync.

Uwaga: wpisy w dzienniku zdarzeń systemu Windows mają charakter informacyjny, co ułatwia monitorowanie. Pełne informacje o rozwiązywaniu problemów znajdziesz w artykule Rozwiązywanie problemów z Password Sync.

Jeśli synchronizacja hasła nie udała się, bo nie spełnia ono zasad dotyczących nazw użytkowników i grup lub zasad dotyczących haseł:

Event ID: 258 Severity: Warning Category: LSASS Contents: An attempt to change the password for user "USERNAME" was made. However, the new password contains unsupported characters. The password can not be updated on the Google Account, and will be out of sync with Active Directory.

Jeśli usługa Password Sync nie działa, gdy użytkownicy próbują zmienić hasło:

Event ID: 259 Severity: Error Category: LSASS Contents: An error occurred while trying to communicate with the Password Sync Service; the password update request for account "USERNAME" could not be processed. Status = 0 (0x00000000). Please make sure the service is running.

Jeśli podczas szyfrowania hasła użytkownika wystąpił błąd:

Event ID: 260 Severity: Error Category: LSASS Contents: An error occurred while hashing the password for account "USERNAME". Status = 0 (0x00000000).

Hasło użytkownika dłuższe niż 200 znaków zostanie ucięte. Hasło ustawione przez użytkownika w Active Directory pozostanie bez zmian, ale nie będzie zsynchronizowane z kontem Google:

Event ID: 261 Severity: Warning Category: LSASS Contents: Password for account "USERNAME" being trucated to to the first 200 characters.

Gdy usługa Password Sync została uruchomiona:

Event ID: 512 Severity: Informational Category: Service Contents: Password Sync service starting.

Gdy usługa Password Sync została zatrzymana:

Event ID: 513 Severity: Informational Category: Service Contents: Password Sync service shut down. Status = 0 (0x00000000)

Gdy hasło użytkownika usługi Active Directory zostanie zsynchronizowane z kontem Google:

Event ID: 514 Severity: Success Category: Service Contents: The password change for Active Directory user "USERNAME" was synchronized to Google Account "username@example.com" successfully. Status = 0 (0x00000000)

Jeśli Password Sync otrzyma powiadomienie o zmianie hasła i nie może znaleźć odpowiedniego użytkownika Active Directory:

Event ID: 768 Severity: Error Category: LDAP Connector Contents: The account "USERNAME" was not found on Active Directory. LDAP Connector status = 20498 (0x00005012).

Uwaga: więcej informacji znajdziesz w opisie kodu błędu 0x00005012.

Jeśli użytkownik Active Directory bez atrybutu email zmieni swoje hasło:

Event ID: 769 Severity: Warning Category: LDAP Connector Contents: The account "USERNAME" seems not to have an Email attribute set; its password will not get synchronized to Google. LDAP Connector status = -2147463152 (0x80005010).

Uwaga: więcej informacji znajdziesz w opisie kodu błędu 0x80005010.

Jeśli podczas wysyłania zapytania do Active Directory wystąpią nieoczekiwane błędy:

Event ID: 770 Severity: Error Category: LDAP Connector Contents: An unexpected error occurred while querying Active Directory. LDAP Connector status = -2147467259 (0x80004005). System Message: Unspecified failure

Jeśli żądanie interfejsu API nie powiedzie się podczas próby synchronizacji hasła:

Event ID: 1024 Severity: Error Category: Google Connector Contents: An API call to the Google server returned an unexpected response while updating the password for account "username@example.com" during the 'PasswordSyncTask::PutUser' step; all retries have been exhausted. Details: - Host: apps-apis.google.com - Auth Result = 0 (0x00000000) - GDataStatus = 7 (0x00000007) GDSTATUS_BAD_REQUEST - hResult 1 = -2147217401 (0x80041007) - hResult 2 = 0 (0x00000000)

Uwaga: szczegóły zdarzenia mogą obejmować różne kody stanu i wyników. Aby dokładnie określić przyczynę błędu, konieczne może być staranne sprawdzenie plików dziennika Password Sync.

_{Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.}

Czy to było pomocne?

Jak możemy ją poprawić?

Rozwiązywanie problemów za pomocą dzienników

Rozpoznawanie problemów za pomocą Analizatora logów

Password Sync logs

Wyszukiwanie plików konfiguracji i dzienników

Jak zidentyfikować katalog tymczasowy

Przykład dziennika autoryzacji

Przykład logu śledzenia

Błędy w dzienniku

Czy to było pomocne?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności: