Avisering

Duet AI heter nu Gemini for Google Workspace. Läs mer

Felsöka certifikatrelaterade problem

Du kan se följande certifikatrelaterade fel i Google Cloud Directory Sync (GCDS)-loggfilen:

  • sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
  • ldap_simple_bind_s() failed: Strong Authentication Required

Följ stegen nedan för att åtgärda de här felen. 

På den här sidan

Åtgärda certifikatrelaterade fel

Öppna avsnitt  |  Komprimera alla och gå högst upp

Steg för Microsoft Windows

Uppdatera vmoption-filen

  1. Stäng konfigurationshanteraren.
  2. Öppna filerna sync-cmd.vmoptions och config-manager.vmoptions i installationskatalogen för GCDS.

    Installationskatalogen är vanligtvis C:\Program Files\Google Cloud Directory Sync.

  3. Redigera filerna för att lägga till följande rader:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT
    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Starta om Konfigurationshanteraren och öppna sidan LDAP-konfiguration.
  5. För Anslutningstyp anger du LDAP+SSL.
  6. Välj ett alternativ för Port:
    • Om du tidigare använde 389 anger du 636.
    • Om du tidigare använde 3268 anger du 3269.
  7. Klicka på Testa anslutning.
  8. Om följande visas:

Importera servercertifikatet

Du kan även följa dessa steg för att importera certifikat för LDAP-servrar eller HTTP-proxyer som använder självsignerade certifikat.

  1. Logga in på domänkontrollanten och öppna en kommandotolk.
  2. Exportera domänkontrollantens certifikat genom att ange följande kommando:

    certutil -store My DomainController dccert.cer

  3. Kopiera dccert.cer-filen till servern där GCDS är installerat.
  4. Som administratör öppnar du en kommandotolk.
  5. Öppna installationsmappen för GCDS Java Runtime Environment (JRE) genom att ange följande kommando:

    cd "c:\Program Files\Google Cloud Directory Sync\jre"

    Om du kör en 32-bitarsversion av GCDS som är installerad på ett 64-bitars Windows-system använder du cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre"

  6. Om du vill importera domänkontrollantens certifikat anger du följande kommando:

    bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc

    Om du behöver importera fler än ett certifikat upprepar du dessa steg med ett annat alias i stället för mydc.

  7. Ange Ja om du vill lita på certifikatet.
  8. Stäng konfigurationshanteraren.
  9. I installationskatalogen för GCDS öppnar du filerna sync-cmd.vmoptions och config-manager.vmoptions i en textredigerare.
  10. I varje fil tar du bort:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    När du tar bort raderna använder GCDS certifikatarkivet i lib/security/cacerts i stället för Windows-systemarkivet.

  11. Öppna Konfigurationshanteraren, gå till sidan LDAP-konfiguration och klicka på Testa anslutningar.
  12. Om du fortfarande ser certifikatrelaterade fel kan du behöva importera organisationens certifikat för certifikatutfärdare (CA) istället för certifikatet för domänkontrollanten. Gör detta genom att upprepa de här stegen men exportera och importera CA-certifikatet.
Anvisningar för Linux

Du kan även följa dessa steg för att importera certifikat för LDAP-servrar eller HTTP-proxyer som använder självsignerade certifikat.

  1. Logga in på domänkontrollanten och öppna en kommandotolk.
  2. Du hittar domäncertifikatet genom att ange följande kommando:

    certutil -store My DomainController dccert.cer

  3. Kopiera dccert.cer-filen till servern där GCDS är installerat.
  4. Öppna installationsmappen för GCDS Java Runtime Environment (JRE) genom att öppna en kommandotolk och ange följande kommando:

    cd ~/GoogleCloudDirSync/jre

  5. Om du vill importera domänkontrollantens certifikat anger du följande kommando:

    bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc

    Om du behöver importera fler än ett certifikat upprepar du dessa steg med ett annat alias i stället för mydc.

  6. Ange Ja om du vill lita på certifikatet.
  7. Stäng konfigurationshanteraren.
  8. I installationskatalogen för GCDS öppnar du filerna sync-cmd.vmoptions och config-manager.vmoptions med en textredigerare.

    Installationskatalogen är vanligtvis ~/GoogleCloudDirSync.

  9. I varje fil tar du bort:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    När du tar bort raderna använder GCDS certifikatarkivet i lib/security/cacerts i stället för Windows-systemarkivet.

  10. Öppna Konfigurationshanteraren, gå till sidan LDAP-konfiguration och klicka på Testa anslutningar.
  11. Om du fortfarande ser certifikatrelaterade fel kan du behöva importera organisationens certifikat för certifikatutfärdare (CA) istället för certifikatet för domänkontrollanten. Gör detta genom att upprepa de här stegen men exportera och importera CA-certifikatet.

Så här kontrolleras listor med återkallade certifikat i GCDS

I GCDS valideras SSL-certifikat (Secure Sockets Layer) vid anslutning till Google API:er (via HTTPS) och till LDAP via SSL. GCDS gör detta genom att hämta listor över återkallade certifikat (CRL) från certifikatutfärdare via HTTP. Ibland misslyckas dessa valideringar, oftast på grund av en proxy eller brandvägg som blockerar HTTP-begäran.

Kontrollera att GCDS-servern kan komma åt dessa webbadresser via HTTP (port 80):

  • http://crl.pki.goog
  • http://crls.pki.goog

Mer information om befintliga CRL får du i CRL-kontrollen. Ytterligare webbadresser kan behövas om du använder dina egna certifikat för LDAP via SSL.

Om du inte kan tillåta CRL-åtkomst kan du inaktivera CRL-kontroller:

  1. I installationskatalogen för GCDS öppnar du filerna sync-cmd.vmoptions och config-manager.vmoptions i en textredigerare.

    Installationskatalogen är normalt C:\Program Files\Google Cloud Directory Sync (Windows) eller ~/GoogleCloudDirSync (Linux).

  2. Lägg till de här raderna i filerna:

    -Dcom.sun.net.ssl.checkRevocation=false
    -Dcom.sun.security.enableCRLDP=false

Synkroniseringen går långsamt efter övergång till LDAP+SSL

Om du har bytt till LDAP + SSL och synkroniseringsprocessen har blivit långsammare: 

  1. Stäng konfigurationshanteraren.
  2. I installationskatalogen för GCDS öppnar du sync-cmd.vmoptions- och config-manager.vmoptions-filerna med en textredigerare.

    Installationskatalogen är normalt C:\Program Files\Google Cloud Directory Sync (Windows) eller ~/GoogleCloudDirSync (Linux).

  3. Redigera filerna för att lägga till följande rader:

    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Spara filerna och försök att synkronisera igen.

Kontrollera autentisering efter Microsoft ADV190023-uppdateringen

Om du använder Microsoft Active Directory med kanalbindning och LDAP-signering måste du vidta ytterligare åtgärder för att säkerställa att GCDS autentiseras med LDAP via SSL. Annars ansluter GCDS inte till Active Directory och synkroniseringarna misslyckas. Du måste utföra de här stegen även om du tidigare har gjort en synkronisering med LDAP-standardautentisering. Mer information om Microsoft-råd ADV190023 finns i Microsoft-dokumentationen.

Om du redan använder LDAP via SSL behöver du inte vidta några åtgärder.

Öppna avsnitt  |  Komprimera alla och gå högst upp

Steg 1: Aktivera TLS i Active Directory

Termerna TLS och SSL används ofta omväxlande. 

Läs mer om hur du aktiverar TLS i Active Directory i följande Microsoft-artiklar:

Steg 2: Kontrollera att certifikatet är betrott

Certifikatutfärdaren (CA) som undertecknade domänkontrollantens certifikat måste vara betrodd av GCDS. De flesta välkända certifikatutfärdare på internet, som Verisign, Comodo och Let’s Encrypt är betrodda. Om du använder dessa certifikatutfärdare kan du hoppa över det här steget.

Om din certifikatutfärdare inte är betrodd eller om du använder en egen rotcertifikatutfärdare följer du stegen ovan i Felsöka certifikatrelaterade fel.
Steg 3: Ställ in konfigurationshanteraren
  1. Öppna Konfigurationshanteraren och öppna sidan LDAP-konfiguration.
  2. För inställningen Anslutningstyp anger du LDAP+SSL.
  3. För portinställningen anger du 636 (om du tidigare använde 389) eller 3269 (om du tidigare använde 3268).
  4. Klicka på Testa anslutning.


Google, Google Workspace och relaterade märken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är kopplade till.

Var det här till hjälp?

Hur kan vi förbättra den?

Behöver du mer hjälp?

Testa detta härnäst:

Gör ett inlägg i hjälpforumet Få svar från communityn
Kontakta oss Berätta mer så hjälper vi dig
true
Testa kostnadsfritt i 14 dagar

E-post för arbetet, onlinelagring, delade kalendrar, videomöten med mera. Påbörja din kostnadsfria provperiod på G Suite i dag.

Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
474845693538698866
true
Sök i hjälpcentret
true
true
true
true
true
73010
false
false