Fehler im Zusammenhang mit Zertifikaten beheben

In Ihrer Protokolldatei für Google Cloud Directory Sync (GCDS) werden im Zusammenhang mit Zertifikaten möglicherweise die folgenden Fehler angezeigt:

  • sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
  • ldap_simple_bind_s() failed: Strong Authentication Required

Folgen Sie der Anleitung unten, um die Fehler zu beheben. 

Auf dieser Seite

Probleme mit Zertifikaten beheben

Abschnitt öffnen  |  Alle minimieren und nach oben

Schritte für Microsoft Windows

vmoption-Datei aktualisieren 

  1. Schließen Sie den Konfigurationsmanager.
  2. Öffnen Sie im Installationsverzeichnis von GCDS die Dateien sync-cmd.vmoptions und config-manager.vmoptions.

    Das Installationsverzeichnis ist in der Regel C:\Program Files\Google Cloud Directory Sync.

  3. Fügen Sie den beiden Dateien die folgenden Zeilen hinzu:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT
    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Starten Sie den Konfigurationsmanager neu und rufen Sie die Seite LDAP-Konfiguration auf.
  5. Geben Sie unter Verbindungstyp den Wert LDAP+SSL an.
  6. Wählen Sie für Port eine Option aus:
    • Wenn Sie zuvor 389 verwendet haben, geben Sie 636 an.
    • Wenn Sie zuvor 3268 verwendet haben, geben Sie 3269 an.
  7. Klicken Sie auf Verbindung testen.
  8. Wenn Sie einen dieser Fehler erhalten:
    • Zertifikatfehler: Überprüfen Sie auf dem Computer, auf dem GCDS ausgeführt wird, ob das Zertifikat von Windows als vertrauenswürdig eingestuft wurde. Fahren Sie dann mit Schritt 2: Serverzertifikat importieren fort (unten auf dieser Seite).
    • Fehler bei der Zertifikatssperrung: Folgen Sie der Anleitung unter So werden Zertifikatssperrlisten in GCDS überprüft.
    • Andere Fehler (z. B. Netzwerkfehler): Weitere Informationen finden Sie im Hilfeartikel Häufige Probleme mit GCDS beheben.

Serverzertifikat importieren

Sie können mithilfe dieser Anleitung auch Zertifikate für LDAP-Server oder HTTP-Proxys importieren, die selbst signierte Zertifikate verwenden.

  1. Melden Sie sich beim Domaincontroller an und öffnen Sie eine Eingabeaufforderung.
  2. Geben Sie den folgenden Befehl ein, um das Zertifikat des Domaincontrollers zu exportieren:

    certutil -store My DomainController dccert.cer

  3. Kopieren Sie die Datei dccert.cer auf den Server, auf dem GCDS installiert ist.
  4. Öffnen Sie eine Eingabeaufforderung als Administrator.
  5. Geben Sie den folgenden Befehl ein, um den Installationsordner für die Java-Laufzeitumgebung (Java Runtime Environment, JRE) von GCDS zu öffnen:

    cd "c:\Program Files\Google Cloud Directory Sync\jre"

    Wenn Sie eine 32-Bit-Version von GCDS in einem 64-Bit-Windows-System verwenden, geben Sie cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre" ein.

  6. Geben Sie den folgenden Befehl ein, um das Zertifikat des Domaincontrollers zu importieren:

    bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc

    Wenn Sie mehrere Zertifikate importieren möchten, wiederholen Sie diese Schritte mit einem anderen Alias anstelle von mydc.

  7. Geben Sie Ja ein, um dem Zertifikat zu vertrauen.
  8. Schließen Sie den Konfigurationsmanager.
  9. Öffnen Sie im Installationsverzeichnis von GCDS die Dateien sync-cmd.vmoptions und config-manager.vmoptions mit einem Texteditor.
  10. Entfernen Sie in jeder Datei Folgendes:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    Wenn Sie die Zeilen entfernen, verwendet GCDS den Zertifikatsspeicher in lib/security/cacerts anstelle des Windows-Systemspeichers.

  11. Öffnen Sie den Konfigurationsmanager, gehen Sie zur Seite LDAP-Konfiguration und klicken Sie auf Verbindungen testen.
  12. Wenn immer noch zertifikatbezogene Fehler auftreten, müssen Sie möglicherweise anstelle des Domaincontroller-Zertifikats das der Zertifizierungsstelle Ihrer Organisation (Certificate Authority, CA) importieren. Wiederholen Sie dazu diese Schritte, aber exportieren und importieren Sie stattdessen das CA-Zertifikat.
Schritte für Linux

Sie können mithilfe dieser Anleitung auch Zertifikate für LDAP-Server oder HTTP-Proxys importieren, die selbst signierte Zertifikate verwenden.

  1. Melden Sie sich beim Domaincontroller an und öffnen Sie eine Eingabeaufforderung.
  2. Geben Sie den folgenden Befehl ein, um das Domainzertifikat zu finden:

    certutil -store My DomainController dccert.cer

  3. Kopieren Sie die Datei dccert.cer auf den Server, auf dem GCDS installiert ist.
  4. Öffnen Sie eine Eingabeaufforderung und geben Sie den folgenden Befehl ein, um den Installationsordner für die Java-Laufzeitumgebung (JRE) von GCDS zu öffnen:

    cd ~/GoogleCloudDirSync/jre

  5. Geben Sie den folgenden Befehl ein, um das Zertifikat des Domaincontrollers zu importieren:

    bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc

    Wenn Sie mehrere Zertifikate importieren möchten, wiederholen Sie diese Schritte mit einem anderen Alias anstelle von mydc.

  6. Geben Sie Ja ein, um dem Zertifikat zu vertrauen.
  7. Schließen Sie den Konfigurationsmanager.
  8. Öffnen Sie im Installationsverzeichnis von GCDS die Dateien sync-cmd.vmoptions und config-manager.vmoptions in einem Texteditor.

    Das Installationsverzeichnis ist in der Regel ~/GoogleCloudDirSync.

  9. Entfernen Sie in jeder Datei Folgendes:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    Wenn Sie die Zeilen entfernen, verwendet GCDS den Zertifikatsspeicher in lib/security/cacerts anstelle des Windows-Systemspeichers.

  10. Öffnen Sie den Konfigurationsmanager, gehen Sie zur Seite LDAP-Konfiguration und klicken Sie auf Verbindungen testen.
  11. Wenn immer noch zertifikatbezogene Fehler auftreten, müssen Sie möglicherweise anstelle des Domaincontroller-Zertifikats das der Zertifizierungsstelle Ihrer Organisation (Certificate Authority, CA) importieren. Wiederholen Sie dazu diese Schritte, aber exportieren und importieren Sie stattdessen das CA-Zertifikat.

Wie werden Zertifikatssperrlisten von GCDS überprüft?

Für den Verbindungsaufbau mit Google APIs über HTTPS und LDAP über SSL müssen die SSL-Zertifikate überprüft werden. Zu diesem Zweck ruft GCDS über eine HTTP-Verbindung Zertifikatssperrlisten (Certificate Revocation List, CRL) von Zertifizierungsstellen ab. Gelegentlich kann es zu Problemen bei der Überprüfung kommen, wenn die HTTP-Anfrage durch einen Proxyserver oder eine Firewall blockiert wird.

Der GCDS-Server muss über HTTP (Port 80) auf folgende URLs zugreifen können:

  • http://crl.pki.goog
  • http://crls.pki.goog
  • http://c.pki.goog

Details zu aktuellen Zertifikatssperrlisten finden Sie unter CRL-Prüfung. Wenn Sie Ihre eigenen Zertifikate für LDAP über SSL verwenden, sind möglicherweise noch weitere URLs erforderlich.

Wenn Sie den Zugriff auf Zertifikatssperrlisten nicht zulassen dürfen, können Sie die Überprüfung solcher Listen deaktivieren:

  1. Öffnen Sie im Installationsverzeichnis von GCDS die Dateien sync-cmd.vmoptions und config-manager.vmoptions mit einem Texteditor.

    Das Installationsverzeichnis ist in der Regel C:\Programme\Google Cloud Directory Sync (Windows) oder ~/GoogleCloudDirSync (Linux).

  2. Fügen Sie den Dateien die folgenden Zeilen hinzu:

    -Dcom.sun.net.ssl.checkRevocation=false
    -Dcom.sun.security.enableCRLDP=false

Langsame Synchronisierung nach dem Wechsel zu LDAP+SSL

Wenn Sie zu LDAP+SSL gewechselt haben und die Synchronisierung langsamer ist: 

  1. Schließen Sie den Konfigurationsmanager.
  2. Öffnen Sie im Installationsverzeichnis von GCDS die Dateien sync-cmd.vmoptions und config-manager.vmoptions mit einem Texteditor.

    Das Installationsverzeichnis ist in der Regel C:\Programme\Google Cloud Directory Sync (Windows) oder ~/GoogleCloudDirSync (Linux).

  3. Fügen Sie den beiden Dateien die folgenden Zeilen hinzu:

    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Speichern Sie die Dateien und wiederholen Sie die Synchronisierung.

Authentifizierung nach dem Microsoft ADV190023-Update notwendig

Wenn Sie Microsoft Active Directory mit aktivierter Kanalbindung und LDAP-Signatur verwenden, müssen Sie zusätzliche Schritte ausführen, damit GCDS mit LDAP über SSL authentifiziert wird. Ansonsten wird über GCDS keine Verbindung zu Active Directory hergestellt und die Synchronisierungen schlagen fehl. Das gilt auch, wenn Sie zuvor eine Synchronisierung mit der Standard-LDAP-Authentifizierung ausgeführt haben. Weitere Informationen zur Microsoft-Sicherheitsempfehlung ADV190023 finden Sie in der Microsoft-Dokumentation.

Wenn Sie LDAP bereits über SSL verwenden, müssen Sie nichts weiter tun.

Abschnitt öffnen  |  Alle minimieren und nach oben

Schritt 1: TLS in Active Directory aktivieren

Die Begriffe TLS und SSL werden häufig synonym verwendet. 

Weitere Informationen zum Aktivieren von TLS in Active Directory finden Sie in den folgenden Microsoft-Artikeln:

Schritt 2: Vertrauenswürdiges Zertifikat verwenden

Die Zertifizierungsstelle (CA), die das Zertifikat Ihres Domain-Controllers signiert hat, muss von GCDS als vertrauenswürdig eingestuft sein. Die meisten bekannten Internet-CAs wie Verisign, Comodo und Let's Encrypt sind vertrauenswürdig. Wenn Sie diese CAs verwenden, können Sie diesen Schritt überspringen.

Wenn Ihre CA nicht vertrauenswürdig ist oder Sie Ihre eigene Stamm-CA verwenden, folgen Sie den Schritten oben unter Probleme mit Zertifikaten beheben.
Schritt 3: Konfigurationsmanager einrichten
  1. Öffnen Sie den Konfigurationsmanager und gehen Sie zur Seite LDAP-Konfiguration.
  2. Geben Sie für die Einstellung Connection type (Verbindungstyp) den Wert LDAP+SSL an.
  3. Geben Sie für die Einstellung „Port“ 636 an, wenn Sie zuvor 389 verwendet haben, oder 3269, wenn Sie zuvor 3268 verwendet haben.
  4. Klicken Sie auf Verbindung testen.


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Im Hilfeforum posten Antworten von Forenmitgliedern erhalten
Kontakt Weitere Informationen angeben und Hilfe erhalten
true
Starten Sie noch heute mit Ihrer kostenlosen Testversion für 14 Tage.

Berufliche E-Mail-Konten, Online-Speicherplatz, Kalender mit Freigabefunktion, Videobesprechungen und vieles mehr. Starten Sie noch heute mit Ihrer kostenlosen Testversion von G Suite.

Suche
Suche löschen
Suche schließen
Hauptmenü
6361725337182354763
true
Suchen in der Hilfe
true
true
true
true
true
73010
false
false
false