Probleme mit Directory Sync beheben

Die Data Connectors API muss im Projekt aktiviert sein. Weitere Informationen finden Sie unter Data Connectors API aktivieren.

Mehrere Directory Sync-Verbindungen können nicht auf dieselbe Domain verweisen. In Directory Sync werden Basis-DNs (Distinguished Name) verglichen. Wenn die Domains übereinstimmen, schlägt das Erstellen des Verzeichnisses fehl.

Um das Problem zu beheben, löschen Sie die Verbindung mit dem passenden DN, bevor Sie eine neue mit derselben Domain erstellen.

Wenn dieser Fehler in den Daten zu Administrator-Protokollereignissen angezeigt wird, prüfen Sie Folgendes:

• Der Microsoft Active Directory-Server (AD) ist eingerichtet und funktioniert.
• Ihr Netzwerk und Ihre Firewalls sind so eingerichtet, dass eingehender Traffic am LDAP-Port zugelassen wird.
• Sie haben die Anmeldedaten für das autorisierte Konto richtig eingegeben. Dabei haben Sie das Format Nutzername@beispiel.de oder BEISPIEL\Nutzername verwendet.

Wenn der Fehler weiterhin auftritt, fügen Sie die DNS-Serverdetails (Domain Name System) hinzu, um den AD-Hostnamen aufzulösen. Weitere Informationen finden Sie unter Externes Verzeichnis hinzufügen.

Eine virtuelle Linux-Maschine (VM) und der VPC-Zugriffs-Connector (Virtual Private Cloud) können im selben Subnetz erstellt werden. Versuchen Sie, eine Telnet-Verbindung zur IP-Adresse des AD-Servers über Port 636 herzustellen. Wenn Telnet fehlschlägt, überprüfen Sie die Netzwerkeinstellungen des AD-Servers, z. B. ob Port 636 offen und verfügbar ist.

Wenn Telnet erfolgreich ist, geben Sie den folgenden Befehl auf der Linux-VM ein, um zu überprüfen, ob der AD-Server das richtige Zertifikat verwendet:

openssl s_client -showcerts -connect externe IP-Adresse des Servers:636

In den Daten zu Administrator-Protokollereignissen werden zwei Versionen dieses Fehlers angezeigt.

Beim Herstellen einer Verbindung zum Server (Server-IP) ist innerhalb der konfigurierten Zeitüberschreitung von 10.000 Millisekunden ein Fehler aufgetreten

Dieser Fehler weist darauf hin, dass Directory Sync keine Verbindung zum Active Directory-Server (AD) herstellen konnte. Achten Sie zur Fehlerbehebung darauf, dass Sie AD korrekt eingerichtet haben. Weitere Informationen finden Sie unter AD-Verzeichnis hinzufügen.

Beim Versuch, eine Verbindung zum Server herzustellen (Server-IP) ist ein Fehler aufgetreten: (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)

Dieser Fehler weist darauf hin, dass das AD TLS-Zertifikat nicht mit dem Zertifikat übereinstimmt, das Sie beim Konfigurieren der Verbindung mit dem externen Verzeichnis angehängt haben. Achten Sie darauf, dass die Zertifikate übereinstimmen, um das Problem zu beheben. Weitere Informationen finden Sie unter AD-Verzeichnis hinzufügen.

Geben Sie das folgende Skript in Microsoft PowerShell ein, um das AD TLS-Zertifikat lokal zu speichern. Ersetzen Sie dabei localhost durch den DNS-Eintrag oder die IP-Adresse Ihres AD-Servers:

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

Wenn Sie die Verbindung zwischen Google und Microsoft Azure Active Directory nicht testen können, suchen Sie in den Administrator-Protokollereignissen nach Informationen zur Fehlerbehebung. Weitere Informationen finden Sie im Hilfeartikel Administrator-Protokollereignisse.

In den Directory Sync-Protokollereignissen wird möglicherweise der folgende Fehler angezeigt: „Nutzer konnte nicht erstellt werden. Nachricht: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT."

Dieser Fehler weist auf ein Problem mit der Nutzerlizenzierung hin. Wenn Sie die Anzahl der in Google Workspace verfügbaren Lizenzen überschreiten oder keine Lizenzen mehr zugewiesen werden können, schlägt die Nutzererstellung fehl und Sie erhalten diese Fehlermeldung.

Erhöhen Sie zur Fehlerbehebung die Anzahl der für Ihre Nutzer verfügbaren Lizenzen. Weitere Informationen finden Sie im Hilfeartikel Weitere Nutzerlizenzen erwerben.

Weitere Informationen

• Protokollereignisse für Directory Sync prüfen
• Lizenzen zuweisen, entfernen und neu zuweisen

Wenn Sie eine Fehlermeldung erhalten, die mit Result – referral (Ergebnis – Verweis) beginnt, prüfen Sie, ob der Basis-DN, den Sie bei der Einrichtung der Synchronisierung eingegeben haben, korrekt ist.

Wenn Sie Port 3269 für den globalen Katalog verwenden, ändern Sie ihn in 636.

In den Directory Sync-Protokollereignissen werden möglicherweise Synchronisierungsfehler mit dieser Beschreibung angezeigt. Der Fehler tritt normalerweise auf, wenn das Nutzerkonto deaktiviert ist oder die E-Mail-ID in AD eine falsche Domain enthält.

Weitere Informationen finden Sie im Hilfeartikel Protokollereignisse für Directory Sync prüfen.

Für diese Schritte benötigen Sie die Rolle „Super Admin“, die Rolle „Directory Sync-Administrator“ oder die Berechtigung Directory Sync-Einstellungen verwalten.

Wenn Nutzer und Gruppen nicht synchronisiert werden:

1. Klicken Sie in der Admin-Konsole (unter admin.google.de) auf Directory SyncExterne Verzeichnisse.
2. Prüfen Sie den Synchronisierungsstatus des Verzeichnisses.
3. Wenn die Synchronisierung inaktiv oder nicht erfolgreich ist, aktivieren Sie sie.

   Weitere Informationen finden Sie unter Synchronisierung ausführen.

Weitere Informationen zur Fehlerbehebung finden Sie in den Directory Sync-Protokollereignissen:

1. Öffnen Sie die Directory Sync-Protokollereignisse.

   Weitere Informationen finden Sie unter Auf Directory Sync-Protokollereignisdaten zugreifen.

2. Klicken Sie auf Filter hinzufügenZielobjekt-ID.
3. Geben Sie die E-Mail-Adresse des Nutzers ein und klicken Sie auf Übernehmen.
4. Wenn Sie eines der folgenden Ereignisse erhalten:
   • Ereignis Objekt aktualisiert mit der Beschreibung Neue Attribute {suspended: true}; Directory Sync hat den Nutzer gesperrt, weil sein Konto nicht in AD aktiv ist.
   • Das Ereignis Objektbereitstellung aufgehoben: Prüfen Sie, ob der Nutzer in AD gelöscht wurde oder in einen anderen Pfad verschoben wurde, der nicht unter den LDAP-Suchbereich fällt.

Ermitteln Sie, welche Nutzer fehlen, und achten Sie darauf, dass der betreffende Nutzer

• In Ihrem externen Verzeichnis nicht deaktiviert ist
• ein direktes Mitglied der Gruppe ist, die Sie bei der Einrichtung der Nutzersynchronisierung angegeben haben
• Ein Nutzerobjekt und kein Kontakt in Ihrem externen Verzeichnis ist
• Eine E-Mail-ID hat, die in Ihrem externen Verzeichnis vorhanden ist, und die Domain in der E-Mail-ID mit der Domain in Google Workspace übereinstimmt

Weitere Informationen zur Fehlerbehebung finden Sie in den Directory Sync-Protokollereignissen:

1. Öffnen Sie die Directory Sync-Protokollereignisse.

   Weitere Informationen finden Sie unter Auf Directory Sync-Protokollereignisdaten zugreifen.

2. Klicken Sie auf Filter hinzufügen Quellobjekt-ID.
3. Fügen Sie den DN des Nutzers hinzu und klicken Sie auf Übernehmen.
4. Suchen Sie alle Synchronisierungsfehler-Ereignisse und prüfen Sie die Fehler.
5. Suchen Sie nach Ereignissen vom Typ Leseobjekt mit dem DN des Nutzers.
6. Wenn keine Leseobjekt-Ereignisse gefunden werden, wurde der Nutzer in Directory Sync nicht synchronisiert. Häufige Gründe:
   • Die Nutzermitgliedschaft fällt nicht in den LDAP-Suchumfang (der Nutzer befindet sich nicht im oder unter dem Basis-DN der Gruppe, die Sie bei der Einrichtung der Nutzersynchronisierung angegeben haben).
   • Directory Sync kommuniziert mit einem anderen Domaincontroller und eine inkrementelle Synchronisierung erfasst nicht alle Änderungen. Prüfen Sie, ob der Hostname und die IP-Adresse auf denselben Domaincontroller verweisen.

Prüfen Sie, ob Folgendes auf das Gruppenmitglied zutrifft:

• Der Wert des E-Mail-Attributs ist festgelegt und die E-Mail-ID hat ein gültiges Format
• Befindet sich nicht im Basis-DN der Gruppe oder unter ihm