Résoudre les problèmes liés à Directory Sync

Assurez-vous que l'API Data Connectors est activée dans le projet. Pour en savoir plus, consultez Activer l'API Data Connectors.

Plusieurs connexions Directory Sync ne peuvent pas pointer vers le même domaine. Directory Sync compare les noms distinctifs (DN) de base et, si les domaines correspondent, la création de l'annuaire échoue.

Pour résoudre le problème, supprimez la connexion avec le nom distinctif correspondant avant d'en créer une autre avec le même domaine.

Si cette erreur s'affiche dans les données des événements du journal d'administration, vérifiez les points suivants:

• Le serveur Microsoft Active Directory (AD) est opérationnel.
• Votre réseau et vos pare-feu sont configurés pour autoriser le trafic entrant sur le port LDAP.
• Vous avez correctement saisi les identifiants du compte autorisé, en utilisant le format nomdutilisateur@exemple.com ou EXEMPLE\nomdutilisateur.

Si l'erreur persiste, ajoutez les informations sur le serveur DNS pour résoudre le nom d'hôte AD. Pour en savoir plus, consultez Ajouter un annuaire externe.

Vous pouvez également créer une machine virtuelle (VM) Linux dans le même sous-réseau que le connecteur d'accès au cloud privé virtuel (VPC). Essayez d'établir une connexion telnet avec l'adresse IP du serveur AD sur le port 636. En cas d'échec de la connexion telnet, vérifiez les paramètres réseau du serveur AD (par exemple, vérifiez que le port 636 est ouvert et disponible).

Si la connexion telnet est établie, saisissez la commande suivante sur la VM Linux pour vérifier si le serveur AD utilise le bon certificat :

openssl s_client -showcerts -connect adresse IP du serveur externe:636

Vous pouvez obtenir deux versions de cette erreur dans les données des événements du journal d'administration.

Une erreur s'est produite lors de la tentative de connexion au serveur (adresse IP du serveur) dans le délai imparti de 10 000 millisecondes

Cette erreur indique que Directory Sync n'a pas réussi à se connecter au serveur Active Directory (AD). Pour résoudre le problème, assurez-vous de configurer correctement AD. Pour en savoir plus, consultez Ajouter un annuaire AD.

Une erreur s'est produite lors de la tentative d'établissement d'une connexion au serveur (adresse IP du serveur) : (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)

Cette erreur indique que le certificat AD TLS ne correspond pas à celui que vous avez joint lors de la configuration de la connexion à l'annuaire externe. Pour résoudre le problème, assurez-vous que les certificats correspondent. Pour en savoir plus, consultez Ajouter un annuaire AD.

Pour enregistrer le certificat AD TLS en local, saisissez le script suivant dans Microsoft PowerShell en remplaçant localhost par l'enregistrement DNS ou l'adresse IP de votre serveur AD :

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

Si vous ne parvenez pas à tester la connexion entre Google et Microsoft Azure Active Directory, consultez les événements du journal d'administration pour obtenir des informations de dépannage. Pour en savoir plus, consultez Événements du journal d'administration.

L'erreur suivante peut s'afficher dans les événements de journaux Directory Sync: "Impossible de créer l'utilisateur. Message : DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT."

Cette erreur indique un problème de licence utilisateur. Si vous dépassez le nombre de licences disponibles dans Google Workspace ou si aucune licence ne peut être attribuée, la création de l'utilisateur échoue et ce message d'erreur s'affiche.

Pour résoudre le problème, augmentez le nombre de licences disponibles pour vos utilisateurs. Pour en savoir plus, consultez Acheter d'autres licences utilisateur.

Articles associés

• Vérifier les événements de journaux pour Directory Sync
• Attribuer, retirer et réattribuer des licences

Si vous obtenez une erreur commençant par Résultat – parrainage, vérifiez que le DN de base que vous avez saisi lors de la configuration de la synchronisation est correct.

Si vous utilisez le port de catalogue global 3269, remplacez-le par 636.

Dans les événements de journaux Directory Sync, des erreurs de synchronisation associées à cette description peuvent se produire. Cette erreur se produit généralement si le compte utilisateur est désactivé ou si l'ID d'adresse e-mail est associé à un domaine incorrect dans AD.

Pour en savoir plus sur les événements de journaux, consultez Vérifier les événements de journaux pour Directory Sync.

Pour effectuer cette procédure, vous devez disposer du rôle de super-administrateur ou d'administrateur Directory Sync, ou du droit Gérer les paramètres Directory Sync.

Si les utilisateurs et les groupes ne sont pas synchronisés :

1. Dans la console d'administration Google (à l'adresse admin.google.com), cliquez sur Directory Sync  Annuaires externes.
2. Vérifiez l'état de synchronisation de votre annuaire.
3. Si la synchronisation est inactive ou échoue, activez-la.

   Pour en savoir plus, consultez Effectuer une synchronisation.

Vous trouverez d'autres informations de dépannage concernant cette erreur dans les événements de journaux Directory Sync :

1. Ouvrez les événements de journaux Directory Sync.

   Pour en savoir plus, consultez Accéder aux données des événements de journaux Directory Sync.

2. Cliquez sur Ajouter un filtre ID de l'objet cible.
3. Saisissez l'adresse e-mail de l'utilisateur, puis cliquez sur Appliquer.
4. Si vous obtenez :
   • Un événement Objet mis à jour avec la description Nouveaux attributs {suspended: true}, Directory Sync a suspendu l'utilisateur, car son compte n'est pas actif dans AD.
   • Un événement Objet déprovisionné, vérifiez si le compte utilisateur dans AD a été supprimé ou s'il a été déplacé vers un autre chemin d'accès qui n'entre pas dans le champ d'application de la recherche LDAP.

Identifiez les utilisateurs manquants et assurez-vous qu'ils:

• ne sont pas désactivés dans votre annuaire externe ;
• sont des membres directs du groupe que vous avez spécifié lors de la configuration de la synchronisation des utilisateurs
• sont des objets utilisateur et non des contacts de votre annuaire externe ;
• disposent d'un ID d'adresse e-mail présent dans votre annuaire externe et que le domaine dans l'ID d'adresse e-mail est le même que votre domaine Google Workspace.

Vous trouverez d'autres informations de dépannage dans les événements de journaux Directory Sync :

1. Ouvrez les événements de journaux Directory Sync.

   Pour en savoir plus, consultez Accéder aux données des événements de journaux Directory Sync.

2. Cliquez sur Ajouter un filtre ID de l'objet source.
3. Ajoutez le nom distinctif de l'utilisateur, puis cliquez sur Appliquer.
4. Recherchez les événements Erreur de synchronisation et examinez les erreurs.
5. Recherchez les événements Objet lu associés au nom distinctif de l'utilisateur.
6. Si vous ne trouvez aucun événement Objet lu, cela signifie que Directory Sync n'a pas synchronisé l'utilisateur. Les raisons les plus courantes sont les suivantes :
   • L'appartenance de l'utilisateur n'entre pas dans le champ d'application de la recherche LDAP (l'utilisateur n'est pas à l'intérieur ni en dessous du DN de base du groupe que vous avez spécifié lors de la configuration de la synchronisation des utilisateurs).
   • Directory Sync communique avec un autre contrôleur de domaine, et une synchronisation incrémentielle ne détecte pas toutes les modifications. Vérifiez que le nom d'hôte et l'adresse IP pointent vers le même contrôleur de domaine.

Vérifiez les éléments suivants pour le membre du groupe:

• La valeur de l'attribut de messagerie est définie, et l'ID d'adresse e-mail est au bon format.
• Il n'est pas à l'intérieur ni en dessous du DN de base du groupe