Solucionar problemas de Directory Sync

Asegúrate de que la API Data Connectors esté activada en el proyecto. Para obtener más información, consulta el artículo Habilitar la API Data Connectors.

Varias conexiones de Directory Sync no pueden dirigir al mismo dominio. Directory Sync compara nombres distinguidos (DNs) y, si los dominios coinciden, no se puede crear el directorio.

Para resolver el problema, elimina la conexión con el nombre de dominio coincidente antes de crear otro con el mismo dominio.

Si aparece este error en los datos de eventos de registro de administrador, comprueba lo siguiente:

• El servidor de Microsoft Active Directory (AD) está en funcionamiento.
• Tu red y tus cortafuegos están configurados para permitir el tráfico entrante en el puerto LDAP.
• Has introducido correctamente las credenciales de la cuenta autorizada con el formato nombredeusuario@example.com o EXAMPLE\nombredeusuario.

Si sigues recibiendo el error, añade los datos del servidor del sistema de nombres de dominio (DNS) para resolver el nombre de host de AD. Consulta más información sobre cómo añadir un directorio externo.

También puedes crear una máquina virtual de Linux en la misma subred que el conector de acceso a la nube privada virtual (VPC). Intenta usar el protocolo telnet en la dirección IP del servidor de AD en el puerto 636. Si telnet falla, verifica la configuración de red del servidor de AD. Por ejemplo, comprueba que el puerto 636 esté abierto y disponible.

Si el telnet funciona correctamente, para comprobar si el servidor de AD utiliza el certificado correcto, introduce el siguiente comando en la VM de Linux:

openssl s_client -showcerts -connect dirección IP del servidor externo:636

Puedes consultar dos versiones de este error en la sección Datos de eventos de registro de administrador.

Se ha producido un error al intentar conectarse al servidor (IP del servidor) dentro del tiempo de espera configurado de 10.000 milisegundos

Este error indica que Directory Sync no se ha podido conectar al servidor de Active Directory (AD). Para solucionarlo, asegúrate de que has configurado AD correctamente. Consulta más información en el artículo Añadir un directorio de AD.

Se ha producido un error al tratar de establecer una conexión con el servidor (IP del servidor): (SSLHandshakeException(sun.security.validator.ValidatorException: no se ha podido crear la ruta PKIX: sun.security.provider.certpath.SunCertPathBuilderException: no se ha podido encontrar la ruta de certificación válida para el valor solicitado)

Este error indica que el certificado TLS de AD no coincide con el certificado que has adjuntado al configurar la conexión del directorio externo. Para solucionar el problema, comprueba que los certificados coincidan. Consulta más información en el artículo Añadir un directorio de AD.

Para guardar el certificado TLS de AD de forma local, introduce el siguiente script en Microsoft PowerShell, sustituyendo localhost por el registro DNS o la dirección IP de tu servidor de AD:

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

Si no puedes probar la conexión entre Google y Microsoft Azure Active Directory, consulta los eventos de registro de administrador para obtener información sobre cómo solucionar el problema. Consulta información detallada en el artículo Eventos de registro de administrador.

Es posible que aparezca el siguiente error en los eventos de registro de Directory Sync: "No se ha podido crear el usuario. Mensaje: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT".

Este error indica un problema con las licencias de usuario. Si superas el número de licencias disponibles en Google Workspace o no hay ninguna disponible que asignar, no podrás crear usuarios y aparecerá este error.

Para solucionar este problema, aumenta el número de licencias disponibles para tus usuarios. Consulta más información en Comprar más licencias de usuario.

Temas relacionados

• Comprobar eventos de registro de Directory Sync
• Asignar, retirar y reasignar licencias

Si aparece un error que empieza por Resultado: referencia, comprueba que el DN base que has introducido al configurar la sincronización es correcto.

Si estás usando el puerto de catálogo global 3269, cámbialo al 636.

Es posible que se produzcan errores de sincronización con esta descripción en los eventos de registro de Directory Sync. Este error suele producirse si la cuenta de usuario está inhabilitada o si el ID de correo tiene un dominio incorrecto en AD.

Consulta más información sobre este tipo de eventos en el artículo Eventos de registro de Directory Sync.

Para completar estos pasos, debes tener el rol de superadministrador, el rol de administrador de Directory Sync o el privilegio Gestionar la configuración de Directory Sync.

Si los usuarios y grupos no se sincronizan:

1. En la consola de administración de Google (en admin.google.com), haz clic en Directory SyncDirectorios externos.
2. Comprueba el estado de sincronización de tu directorio.
3. Si la sincronización está inactiva o no se realiza correctamente, activa la sincronización.

   Consulta información detallada en el artículo Ejecutar una sincronización.

Puedes consultar más información sobre cómo solucionar este error en los eventos de registro de Directory Sync:

1. Abre los eventos del registro de Directory Sync.

   Consulta información detallada en Acceder a datos de eventos de registro de Directory Sync.

2. Haz clic en Añadir un filtroID de objeto de destino.
3. Introduce la dirección de correo del usuario y haz clic en Aplicar.
4. Si recibes lo siguiente:
   • El evento Objeto actualizado con la descripción Nuevos atributos {suspendido: verdadero}, Directory Sync ha suspendido al usuario porque está inhabilitado en AD.
   • En el evento Objeto dado de baja, comprueba si se ha eliminado el usuario de AD o si se ha movido a otra ruta que no esté incluida en el ámbito de la búsqueda de LDAP.

Identifica qué usuarios faltan y asegúrate de que:

• No está inactivo en tu directorio externo
• Es miembro directo del grupo que has especificado al configurar la sincronización de usuarios
• Es un objeto de usuario y no un contacto de tu directorio externo
• Tiene un ID de correo electrónico presente en tu directorio externo y el dominio en el ID de correo es el mismo que tu dominio de Google Workspace.

Puedes consultar más información sobre cómo solucionar problemas en los eventos de registro de Directory Sync:

1. Abre los eventos del registro de Directory Sync.

   Consulta información detallada en Acceder a datos de eventos de registro de Directory Sync.

2. Haz clic en Añadir un filtroID de objeto de origen.
3. Añade el DN del usuario y haz clic en Aplicar.
4. Busca los eventos de error de sincronización y revisa los errores.
5. Busca eventos Objeto leído con el DN del usuario.
6. Si no encuentras ningún evento Objeto leído, Directory Sync no ha sincronizado al usuario. Estas son algunas causas comunes:
   • La pertenencia de usuarios no se encuentra dentro del ámbito de la búsqueda de LDAP (el usuario no reside en el DN base del grupo especificado al configurar la sincronización de usuarios ni se encuentra por debajo de él).
   • Directory Sync se está comunicando con un controlador de dominio diferente y una sincronización incremental no detecta todos los cambios. Comprueba que el nombre de host y la dirección IP apunten al mismo controlador de dominio.

Comprueba que el miembro del grupo:

• Tiene configurado el valor del atributo de correo y un ID de correo electrónico en un formato válido
• No reside en el DN base del grupo o por debajo de él