Powiadomienie

Duet AI to teraz Gemini w Google Workspace. Więcej informacji

Rozwiązywanie problemów z certyfikatami

W pliku dziennika Google Cloud Directory Sync (GCDS) możesz zobaczyć te błędy związane z certyfikatami:

  • sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
  • ldap_simple_bind_s() failed: Strong Authentication Required

Aby naprawić te błędy, wykonaj opisane niżej czynności.

Informacje dostępne na tej stronie

Naprawianie błędów związanych z certyfikatami

Otwórz sekcję  |  Zwiń wszystko i przejdź na górę strony

Instrukcje dotyczące systemu Microsoft Windows

Aktualizowanie pliku vmoption

  1. Zamknij Menedżera konfiguracji.
  2. W katalogu instalacyjnym GCDS otwórz pliki sync-cmd.vmoptions i config-manager.vmoptions.

    Katalog instalacyjny to zwykle C:\Program Files\Google Cloud Directory Sync.

  3. Dodaj do nich następujące wiersze:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT
    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Uruchom ponownie Menedżera konfiguracji i przejdź na stronę LDAP Configuration (Konfiguracja LDAP).
  5. W polu Connection type (Typ połączenia) podaj LDAP+SSL.
  6. W polu Port wybierz opcję:
    • Jeśli wcześniej był używany numer 389, podaj 636.
    • Jeśli wcześniej był używany numer 3268, podaj 3269.
  7. Kliknij Test connection (Testuj połączenie).
  8. Jeżeli pojawi się:

Importowanie certyfikatu serwera

Możesz też wykonać te czynności, aby zaimportować certyfikaty serwerów LDAP lub serwerów proxy HTTP, które używają certyfikatów podpisanych samodzielnie.

  1. Zaloguj się w kontrolerze domeny i otwórz wiersz polecenia.
  2. Aby wyeksportować certyfikat kontrolera domeny, wpisz to polecenie:

    certutil -store My DomainController dccert.cer

  3. Skopiuj plik dccert.cer na serwer, na którym zainstalowano GCDS.
  4. Jako administrator otwórz wiersz polecenia.
  5. Aby otworzyć folder instalacyjny GCDS Java Runtime Environment (JRE), wpisz to polecenie:

    cd "c:\Program Files\Google Cloud Directory Sync\jre"

    Jeśli korzystasz z 32-bitowej wersji GCDS zainstalowanej w 64-bitowym systemie Windows, użyj cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre".

  6. Aby zaimportować certyfikat kontrolera domeny, wpisz to polecenie:

    bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc

    Jeśli musisz zaimportować więcej niż jeden certyfikat, powtórz te czynności, ale użyj innego aliasu zamiast mydc.

  7. Wpisz Tak, aby uznać certyfikat za zaufany.
  8. Zamknij Menedżera konfiguracji.
  9. W katalogu instalacyjnym GCDS otwórz pliki sync-cmd.vmoptions i config-manager.vmoptions w edytorze tekstu.
  10. Z każdego z tych plików usuń te wiersze:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    Gdy usuniesz wiersze, GCDS będzie używać magazynu certyfikatów lib/security/cacerts zamiast magazynu certyfikatów systemu Windows.

  11. Otwórz Menedżera konfiguracji, przejdź na stronę LDAP Configuration (Konfiguracja LDAP) i kliknij Test Connections (Testuj połączenia).
  12. Jeśli nadal pojawiają się błędy związane z certyfikatem, może być konieczne zaimportowanie certyfikatu urzędu certyfikacji organizacji zamiast certyfikatu kontrolera domeny. Aby to zrobić, powtórz te czynności, ale zamiast tego wyeksportuj i zaimportuj certyfikat CA.
Instrukcje dotyczące systemu Linux

Możesz też wykonać te czynności, aby zaimportować certyfikaty serwerów LDAP lub serwerów proxy HTTP, które używają certyfikatów podpisanych samodzielnie.

  1. Zaloguj się w kontrolerze domeny i otwórz wiersz polecenia.
  2. Aby znaleźć certyfikat domeny, wpisz to polecenie:

    certutil -store My DomainController dccert.cer

  3. Skopiuj plik dccert.cer na serwer, na którym zainstalowano GCDS.
  4. Aby otworzyć folder instalacyjny GCDS Java Runtime Environment (JRE), otwórz wiersz polecenia i wpisz to polecenie:

    cd ~/GoogleCloudDirSync/jre

  5. Aby zaimportować certyfikat kontrolera domeny, wpisz to polecenie:

    bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc

    Jeśli musisz zaimportować więcej niż jeden certyfikat, powtórz te czynności, ale użyj innego aliasu zamiast mydc.

  6. Wpisz Tak, aby uznać certyfikat za zaufany.
  7. Zamknij Menedżera konfiguracji.
  8. W katalogu instalacyjnym GCDS otwórz pliki sync-cmd.vmoptions i config-manager.vmoptions w edytorze tekstu.

    Katalog instalacyjny to zwykle ~/GoogleCloudDirSync.

  9. Z każdego z tych plików usuń te wiersze:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    Gdy usuniesz wiersze, GCDS będzie używać magazynu certyfikatów lib/security/cacerts zamiast magazynu certyfikatów systemu Windows.

  10. Otwórz Menedżera konfiguracji, przejdź na stronę LDAP Configuration (Konfiguracja LDAP) i kliknij Test Connections (Testuj połączenia).
  11. Jeśli nadal pojawiają się błędy związane z certyfikatem, może być konieczne zaimportowanie certyfikatu urzędu certyfikacji organizacji zamiast certyfikatu kontrolera domeny. Aby to zrobić, powtórz te czynności, ale zamiast tego wyeksportuj i zaimportuj certyfikat CA.

Jak GCDS sprawdza listy odwołanych certyfikatów

GCDS musi zweryfikować certyfikaty protokołu SSL podczas nawiązywania połączenia z interfejsami API Google (przez HTTPS) oraz serwerem LDAP przez protokół SSL. W tym celu GCDS pobiera przez HTTP listy odwołanych certyfikatów (CRL) z urzędów certyfikacji. Weryfikacje czasami się nie udają. Zwykle przyczyną jest blokada żądań HTTP przez serwer proxy lub zaporę sieciową.

Upewnij się, że serwer GCDS może uzyskać dostęp do tych adresów URL przez HTTP (port 80):

  • http://crl.pki.goog
  • http://crls.pki.goog

Więcej informacji o aktualnych listach odwołanych certyfikatów (CRL) znajdziesz w sekcji Test CRL. Dodatkowe adresy URL mogą być potrzebne, jeśli używasz własnych certyfikatów do łączenia się z serwerem LDAP przez SSL.

Jeśli nie możesz zezwolić na dostęp do CRL, możesz wyłączyć sprawdzanie CRL.

  1. Przejdź do katalogu instalacyjnego GCDS, a następnie otwórz pliki sync-cmd.vmoptions i config-manager.vmoptions w edytorze tekstu.

    Katalog instalacyjny to zwykle C:\Program Files\Google Cloud Directory Sync (Windows) lub ~/GoogleCloudDirSync (Linux).

  2. Dodaj do tych plików te wiersze:

    -Dcom.sun.net.ssl.checkRevocation=false
    -Dcom.sun.security.enableCRLDP=false

Synchronizacja działa powoli po przejściu na LDAP i SSL

Jeśli po przejściu na LDAP i SSL synchronizacja działa powoli:

  1. Zamknij menedżera konfiguracji.
  2. W katalogu instalacyjnym GCDS otwórz pliki sync-cmd.vmoptions i config-manager.vmoptions w edytorze tekstu.

    Katalog instalacyjny to zwykle C:\Program Files\Google Cloud Directory Sync (Windows) lub ~/GoogleCloudDirSync (Linux).

  3. Dodaj do nich następujące wiersze:

    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Zapisz pliki i spróbuj ponownie przeprowadzić synchronizację.

Konfigurowanie uwierzytelniania po opublikowaniu porady Microsoft ADV190023

Jeśli używasz Microsoft Active Directory z włączonym wiązaniem kanałów i podpisywaniem LDAP, musisz wykonać dodatkowe czynności, aby narzędzie GCDS stosowało uwierzytelnianie LDAP przez SSL. W przeciwnym razie GCDS nie połączy się z Active Directory, a to spowoduje niepowodzenie synchronizacji. Musisz wykonać te czynności nawet wtedy, gdy wcześniej synchronizacja była uruchamiana przy użyciu standardowego uwierzytelniania LDAP. Więcej informacji na temat porady Microsoft ADV190023 znajdziesz w dokumentacji firmy Microsoft.

Jeśli już korzystasz z uwierzytelniania LDAP przez SSL, nie musisz wykonywać żadnych czynności.

Otwórz sekcję  |  Zwiń wszystko i przejdź na górę strony

Krok 1. Włącz protokół TLS w Active Directory Krok 2. Zastosuj zaufany certyfikat

Urząd certyfikacji, który podpisał certyfikat kontrolera domeny, musi być uznawany za zaufany przez GCDS. Większość znanych internetowych urzędów certyfikacji (np. Verisign, Comodo czy Let's Encrypt) jest uznawanych za zaufane. Jeśli używasz tych urzędów certyfikacji, możesz pominąć ten krok.

Jeśli używasz niezaufanego urzędu certyfikacji lub własnego głównego urzędu certyfikacji, wykonaj czynności opisane w artykule Rozwiązywanie problemów z certyfikatami.
Krok 3. Skonfiguruj Menedżera konfiguracji
  1. Otwórz Menedżera konfiguracji i przejdź na stronę LDAP Configuration (Konfiguracja LDAP).
  2. W przypadku ustawienia Connection type (Typ połączenia) podaj LDAP+SSL.
  3. W przypadku ustawienia Port podaj 636 (jeśli wcześniej był używany numer 389) lub 3269 (jeśli wcześniej był używany numer 3268).
  4. Kliknij Test connection (Testuj połączenie).


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Zadaj pytanie na forum pomocy Uzyskaj odpowiedzi od członków społeczności
Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
15102921894146152762
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
73010
false
false