คุณอาจพบข้อผิดพลาดเกี่ยวกับใบรับรองต่อไปนี้ในไฟล์บันทึก Google Cloud Directory Sync (GCDS)
- sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
- ldap_simple_bind_s() failed: Strong Authentication Required
ทำตามขั้นตอนด้านล่างเพื่อแก้ไขข้อผิดพลาดเหล่านี้
ในหน้านี้
- แก้ไขข้อผิดพลาดเกี่ยวกับใบรับรอง
- วิธีที่ GCDS ตรวจสอบรายการยกเลิกใบรับรอง
- การซิงค์ช้าลงหลังจากเปลี่ยนเป็น LDAP+SSL
- ต้องตรวจสอบสิทธิ์หลังจากอัปเดต Microsoft ADV190023
แก้ไขข้อผิดพลาดเกี่ยวกับใบรับรอง
เปิดส่วน | ยุบทั้งหมดและกลับไปด้านบนสุด
ขั้นตอนสำหรับ Microsoft Windowsอัปเดตไฟล์ vmoption
- ปิดเครื่องมือจัดการการกำหนดค่า
- ในไดเรกทอรีการติดตั้งของ GCDS ให้เปิดไฟล์ sync-cmd.vmoptions และ config-manager.vmoptions
โดยปกติแล้วไดเรกทอรีการติดตั้งจะอยู่ที่ C:\Program Files\Google Cloud Directory Sync
- แก้ไขไฟล์เพื่อเพิ่มบรรทัดต่อไปนี้
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOT
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - รีสตาร์ทเครื่องมือจัดการการกำหนดค่า แล้วไปที่หน้าการกำหนดค่า LDAP
- สำหรับประเภทการเชื่อมต่อ ให้ระบุ LDAP + SSL
- สำหรับพอร์ต ให้เลือกตัวเลือกต่อไปนี้
- หากก่อนหน้านี้ใช้ 389 ให้ระบุ 636
- หากก่อนหน้านี้ใช้ 3268 ให้ระบุ 3269
- คลิกทดสอบการเชื่อมต่อ
- หากคุณได้รับ
- ข้อผิดพลาดของใบรับรอง - ในคอมพิวเตอร์ที่ GCDS ทำงานอยู่ ให้ตรวจสอบว่าใบรับรองดังกล่าวเป็นใบรับรองที่ Windows เชื่อถือ จากนั้นดำเนินการต่อไปยังขั้นตอนที่ 2: นำเข้าใบรับรองเซิร์ฟเวอร์ (ด้านล่างในหน้านี้)
- ข้อผิดพลาดในการตรวจสอบการเพิกถอนใบรับรอง - ทำตามขั้นตอนในหัวข้อวิธีที่ GCDS ตรวจสอบรายการยกเลิกใบรับรอง
- ข้อผิดพลาดอื่นๆ (เช่น ข้อผิดพลาดเกี่ยวกับเครือข่าย) - ไปที่หัวข้อแก้ปัญหาทั่วไปของ GCDS
นำเข้าใบรับรองเซิร์ฟเวอร์
คุณยังใช้ขั้นตอนเหล่านี้เพื่อนำเข้าใบรับรองสำหรับเซิร์ฟเวอร์ LDAP หรือพร็อกซี HTTP ที่ใช้ใบรับรองแบบ Self-signed ได้อีกด้วย
- ลงชื่อเข้าใช้ตัวควบคุมโดเมนแล้วเปิด Command Prompt
- ป้อนคำสั่งต่อไปนี้เพื่อส่งออกใบรับรองของตัวควบคุมโดเมน
certutil -store My DomainController dccert.cer
- คัดลอกไฟล์ dccert.cer ไปยังเซิร์ฟเวอร์ที่ติดตั้ง GCDS ไว้
- ในฐานะผู้ดูแลระบบ ให้เปิด Command Prompt
- ป้อนคำสั่งต่อไปนี้เพื่อเปิดโฟลเดอร์การติดตั้ง Java Runtime Environment (JRE) ของ GCDS
cd "c:\Program Files\Google Cloud Directory Sync\jre"
หากคุณใช้ GCDS เวอร์ชัน 32 บิตที่ติดตั้งในระบบ Windows เวอร์ชัน 64 บิต ให้ใช้ cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre"
- ป้อนคำสั่งต่อไปนี้เพื่อนำเข้าใบรับรองของตัวควบคุมโดเมน
bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc
หากคุณต้องการนำเข้าใบรับรองมากกว่า 1 รายการ ให้ทำขั้นตอนเหล่านี้ซ้ำโดยใช้ชื่อแทนอื่นแทนที่ mydc
- ป้อน Yes เพื่อระบุว่าคุณเชื่อถือใบรับรอง
- ปิดเครื่องมือจัดการการกำหนดค่า
- ในไดเรกทอรีการติดตั้งของ GCDS ให้ใช้เครื่องมือแก้ไขข้อความเพื่อเปิดไฟล์ sync-cmd.vmoptions และ config-manager.vmoptions
- นำบรรทัดต่อไปนี้ออกจากแต่ละไฟล์
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTเมื่อคุณนำบรรทัดดังกล่าวออก GCDS จะใช้ที่เก็บใบรับรองใน lib/security/cacerts แทนที่เก็บในระบบ Windows
- เปิดเครื่องมือจัดการการกำหนดค่า จากนั้นไปที่หน้าการกำหนดค่า LDAP และคลิกทดสอบการเชื่อมต่อ
- หากยังพบข้อผิดพลาดเกี่ยวกับใบรับรอง คุณอาจต้องนำเข้าใบรับรอง Certificate Authority (CA) ขององค์กรแทนใบรับรองตัวควบคุมโดเมน โดยให้ทำซ้ำขั้นตอนเหล่านี้ แต่ส่งออกและนำเข้าใบรับรอง CA แทน
คุณยังใช้ขั้นตอนเหล่านี้เพื่อนำเข้าใบรับรองสำหรับเซิร์ฟเวอร์ LDAP หรือพร็อกซี HTTP ที่ใช้ใบรับรองแบบ Self-signed ได้อีกด้วย
- ลงชื่อเข้าใช้ตัวควบคุมโดเมนแล้วเปิด Command Prompt
- หากต้องการค้นหาใบรับรองโดเมน ให้ป้อนคำสั่งต่อไปนี้
certutil -store My DomainController dccert.cer
- คัดลอกไฟล์ dccert.cer ไปยังเซิร์ฟเวอร์ที่ติดตั้ง GCDS ไว้
- หากต้องการเปิดโฟลเดอร์การติดตั้ง Java Runtime Environment (JRE) ของ GCDS ให้เปิด Command Prompt แล้วป้อนคำสั่งต่อไปนี้
cd ~/GoogleCloudDirSync/jre
- หากต้องการนำเข้าใบรับรองของตัวควบคุมโดเมน ให้ป้อนคำสั่งต่อไปนี้
bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc
หากคุณต้องการนำเข้าใบรับรองมากกว่า 1 รายการ ให้ทำขั้นตอนเหล่านี้ซ้ำโดยใช้ชื่อแทนอื่นแทนที่ mydc
- ป้อน Yes เพื่อระบุว่าคุณเชื่อถือใบรับรอง
- ปิดเครื่องมือจัดการการกำหนดค่า
- ในไดเรกทอรีการติดตั้งของ GCDS ให้ใช้เครื่องมือแก้ไขข้อความเพื่อเปิดไฟล์ sync-cmd.vmoptions และ config-manager.vmoptions
โดยปกติแล้วไดเรกทอรีการติดตั้งจะอยู่ที่ ~/GoogleCloudDirSync
- นำบรรทัดต่อไปนี้ออกจากแต่ละไฟล์
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTเมื่อคุณนำบรรทัดดังกล่าวออก GCDS จะใช้ที่เก็บใบรับรองใน lib/security/cacerts แทนที่เก็บในระบบ Windows
- เปิดเครื่องมือจัดการการกำหนดค่า จากนั้นไปที่หน้าการกำหนดค่า LDAP และคลิกทดสอบการเชื่อมต่อ
- หากยังพบข้อผิดพลาดเกี่ยวกับใบรับรอง คุณอาจต้องนำเข้าใบรับรอง Certificate Authority (CA) ขององค์กรแทนใบรับรองตัวควบคุมโดเมน โดยให้ทำซ้ำขั้นตอนเหล่านี้ แต่ส่งออกและนำเข้าใบรับรอง CA แทน
วิธีที่ GCDS ตรวจสอบรายการยกเลิกใบรับรอง
GCDS ต้องตรวจสอบใบรับรอง Secure Sockets Layer (SSL) เมื่อเชื่อมต่อกับ Google API (ผ่าน HTTPS) และ LDAP ผ่าน SSL โดย GCDS จะเรียกดูรายการยกเลิกใบรับรอง (CRL) จากผู้ออกใบรับรองผ่าน HTTP การตรวจสอบดังกล่าวอาจดำเนินการไม่สำเร็จในบางครั้ง ซึ่งมักจะเกิดจากการที่พร็อกซีหรือไฟร์วอลล์บล็อกคำขอ HTTP ไว้
โปรดตรวจสอบว่าเซิร์ฟเวอร์ GCDS เข้าถึง URL ต่อไปนี้ผ่าน HTTP (พอร์ต 80) ได้
- http://crl.pki.goog
- http://crls.pki.goog
โปรดดูรายละเอียดเกี่ยวกับ CRL ปัจจุบันที่หัวข้อการตรวจสอบ CRL หากใช้ใบรับรองของตนเองในการเชื่อมต่อ LDAP ผ่าน SSL คุณอาจต้องใช้ URL เพิ่มเติม
หากอนุญาตให้เข้าถึง CRL ไม่ได้ คุณจะปิดการตรวจสอบ CRL ได้ดังนี้
- ในไดเรกทอรีการติดตั้งของ GCDS ให้เปิดไฟล์ sync-cmd.vmoptions และ config-manager.vmoptions โดยใช้เครื่องมือแก้ไขข้อความ
โดยปกติแล้วไดเรกทอรีการติดตั้งจะอยู่ใน C:\Program Files\Google Cloud Directory Sync (Windows) หรือ ~/GoogleCloudDirSync (Linux)
- เพิ่มบรรทัดต่อไปนี้ลงในไฟล์
-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false
การซิงค์ช้าลงหลังจากเปลี่ยนเป็น LDAP+SSL
หากคุณเปลี่ยนไปใช้ LDAP+SSL แล้วกระบวนการซิงค์ช้าลง ให้ทำดังนี้
- ปิดเครื่องมือจัดการการกำหนดค่า
- ในไดเรกทอรีการติดตั้งของ GCDS ให้เปิดไฟล์ sync-cmd.vmoptions และ config-manager.vmoptions โดยใช้เครื่องมือแก้ไขข้อความ
โดยปกติแล้วไดเรกทอรีการติดตั้งจะอยู่ใน C:\Program Files\Google Cloud Directory Sync (Windows) หรือ ~/GoogleCloudDirSync (Linux)
- แก้ไขไฟล์เพื่อเพิ่มบรรทัดต่อไปนี้
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - บันทึกไฟล์และลองซิงค์อีกครั้ง
ต้องตรวจสอบสิทธิ์หลังจากอัปเดต Microsoft ADV190023
หากใช้ Microsoft Active Directory ร่วมกับการเชื่อมโยงช่องทางและการลงชื่อ LDAP ที่เปิดไว้ คุณต้องทำตามขั้นตอนเพิ่มเติมเพื่อให้มั่นใจว่า GCDS จะตรวจสอบสิทธิ์โดยใช้ LDAP ผ่าน SSL มิฉะนั้น GCDS จะไม่เชื่อมต่อกับ Active Directory และทำให้ซิงค์ข้อมูลไม่ได้ คุณต้องทำตามขั้นตอนเหล่านี้แม้ว่าคุณจะเรียกใช้การซิงค์ก่อนหน้านี้โดยใช้การตรวจสอบสิทธิ์ LDAP มาตรฐานแล้วก็ตาม โปรดดูรายละเอียดเกี่ยวกับคำแนะนำเรื่อง ADV190023 ของ Microsoft ในเอกสาร Microsoft
หากใช้ LDAP ผ่าน SSL ได้อยู่แล้ว คุณไม่จำเป็นต้องทำตามขั้นตอนเพิ่มเติมใดๆ
เปิดส่วน | ยุบทั้งหมดและกลับไปด้านบนสุด
ขั้นตอนที่ 1: เปิดใช้ TLS ใน Active Directoryคำว่า TLS และ SSL มักจะใช้แทนกันได้
หากต้องการเปิดใช้ TLS ใน Active Directory โปรดอ่านบทความต่อไปนี้ของ Microsoft
ผู้ออกใบรับรอง (CA) ที่ลงนามใบรับรองของเครื่องมือควบคุมโดเมนจะต้องได้รับการเชื่อถือจาก GCDS CA อินเทอร์เน็ตชื่อดังที่เชื่อถือได้ คือ Verisign, Comodo และ Let's Encrypt เป็นต้น หากใช้ CA เหล่านี้อยู่ คุณสามารถข้ามขั้นตอนนี้ได้
หาก CA ไม่ได้รับการเชื่อถือ หรือหากใช้ CA หลักของคุณเอง ให้ทำตามขั้นตอนด้านบนในหัวข้อแก้ปัญหาข้อผิดพลาดเกี่ยวกับใบรับรอง- เปิดเครื่องมือจัดการการกำหนดค่า แล้วไปที่หน้าการกำหนดค่า LDAP
- สำหรับการตั้งค่าประเภทการเชื่อมต่อ ให้ระบุ LDAP + SSL
- สำหรับการตั้งค่าพอร์ต ให้ระบุ 636 (หากก่อนหน้านี้ใช้ 389) หรือ 3269 (หากก่อนหน้านี้ใช้ 3268)
- คลิกทดสอบการเชื่อมต่อ
Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง
