ここでは、Directory Sync の同期の設定と実行に関する問題の解決方法をご案内します。
設定
外部ディレクトリの追加時にディレクトリ設定エラーを保存できないプロジェクトで Data Connectors API が有効になっていることを確認します。詳しくは、Data Connectors API を有効にする方法をご確認ください。
複数の Directory Sync 接続で同じドメインを参照することはできません。Directory Sync はベース識別名(DN)を比較します。ドメインが一致すると、ディレクトリの作成は失敗します。
この問題を解決するには、一致する DN との接続を削除してから、同じドメインに新しい DN を作成してください。
管理ログイベントのデータでこのエラーが表示される場合は、次の点をご確認ください。
- Microsoft Active Directory(AD)サーバーが実行されている。
- ネットワークとファイアウォールが、LDAP ポートで受信トラフィックを許可するように設定されている。
- [ユーザー名]@[ドメイン名].com または [ドメイン名]\[ユーザー名] の形式を使用して、承認済みのアカウントの認証情報が正しく入力されている。
それでもエラーが表示される場合は、ドメイン ネーム システム(DNS)サーバーの詳細を追加して AD ホスト名を解決します。詳しくは、外部ディレクトリを追加するをご確認ください。
Virtual Private Cloud(VPC)アクセス コネクタと同じサブネットに Linux 仮想マシン(VM)を作成することもできます。636 番ポートを指定して AD サーバーの IP アドレスに Telnet 接続できるか試してみます。Telnet 接続に失敗した場合は、AD サーバーのネットワーク設定を確認します。たとえば、636 番ポートが開いていて使用可能であるか確かめます。
Telnet 接続に成功した場合、Linux VM で次のコマンドを入力して AD サーバーが正しい証明書を使用しているかどうかを確認します。
openssl s_client -showcerts -connect [外部サーバーの IP アドレス]:636
このエラーには 2 種類あり、管理ログイベントのデータには各バージョンが示されています。
An error occurred while attempting to connect to server (Server IP) within the configured timeout of 10000 milliseconds
このエラーは、Directory Sync が Active Directory(AD)サーバーに接続できなかったことを示します。トラブルシューティングを行うには、AD が正しく設定されていることを確認してください。詳しくは、AD ディレクトリを追加するをご覧ください。
An error occurred while attempting to establish a connection to server (Server IP): (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)
このエラーは、AD TLS 証明書が外部ディレクトリ接続の構成時にアタッチした証明書と一致しないことを示します。トラブルシューティングを行うには、証明書が一致していることを確認してください。詳しくは、AD ディレクトリを追加するをご覧ください。
AD TLS 証明書をローカルに保存するには、Microsoft PowerShell で次のスクリプトを入力し、localhost を AD サーバーの DNS レコードまたは IP アドレスに置き換えます。
$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"
Google と Microsoft Azure Active Directory の間の接続をテストできない場合は、管理ログイベントでトラブルシューティング情報を確認してください。詳しくは、管理ログイベントをご覧ください。
同期に関する問題
「ユーザーを作成できませんでした」エラーDirectory Sync のログイベントに「ユーザーを作成できませんでした。メッセージ: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT」というエラーが出ることがあります。
このエラーは、ユーザーのライセンスに問題があることを示します。Google Workspace で使用可能なライセンス数を超えた場合や、割り当てできるライセンスがない場合は、ユーザーの作成に失敗し、このエラーが表示されます。
トラブルシューティングを行うには、ユーザーが使用できるライセンスの数を増やす必要があります。詳しくは、ユーザー ライセンスを追加購入するをご覧ください。
関連トピック
[結果 - 参照] で始まるエラーが表示された場合は、同期の設定時に入力したベース DN が正しいことを確認してください。
グローバル カタログ ポート 3269 を使用している場合は、636 に変更してください。
Directory Sync のログイベントで、この説明が記載された同期エラーが表示されることがあります。このエラーは通常、ユーザー アカウントが無効になっているか、メール ID のドメインが AD 内で正しくない場合に発生します。
ログイベントについて詳しくは、Directory Sync のログイベントを確認するをご覧ください。
以下の手順を行うには、特権管理者または Directory Sync 管理者のロール、または [Directory Sync の設定管理] 権限を持っている必要があります。
ユーザーとグループが同期されていない場合は、以下の操作を行います。
- Google 管理コンソール(admin.google.com)で、[Directory Sync] [外部ディレクトリ] をクリックします。
- ディレクトリの [同期ステータス] を確認します。
- 同期が無効または失敗している場合は、同期を有効にします。
詳しくは、同期を実行するをご覧ください。
Directory Sync のログイベントで、このエラーに関する詳しいトラブルシューティング情報を確認できます。
- Directory Syncのログイベントを開きます。
詳しくは、Directory Sync のログイベント データにアクセスするをご覧ください。
- [フィルタを追加] [ターゲット オブジェクト ID] をクリックします。
- ユーザーのメールアドレスを入力して [適用] をクリックします。
- 以下のように表示されます。
- [オブジェクトの更新] イベントと [新しい属性 {suspended: true}] が表示される場合は、ユーザーのアカウントが AD で有効になっていないため、Directory Sync でユーザーが一時停止されたことを示します。
- [オブジェクトのデプロビジョニング] イベントが表示される場合は、AD のユーザーが削除されていないか、LDAP の検索範囲外の別のパスに移動されていないかを確認してください。
同期されていないユーザーを特定し、以下のことを確認します。
- 外部ディレクトリで無効にされていない
- ユーザー同期の設定時に指定したグループの直接的なメンバーである
- ユーザー オブジェクトであり、外部ディレクトリ内の連絡先ではない
- メール ID が外部ディレクトリに存在しており、そのメール ID のドメインが Google Workspace ドメインと同じである
Directory Sync のログイベントで、詳しいトラブルシューティング情報を確認できます。
- Directory Syncのログイベントを開きます。
詳しくは、Directory Sync のログイベント データにアクセスするをご覧ください。
- [フィルタを追加] [ソース オブジェクト ID] をクリックします。
- ユーザーの DN を追加して、[適用] をクリックします。
- [同期エラーのイベント] を見つけて、エラーを確認します。
- ユーザーの DN で [オブジェクトの読み取り] イベントを検索します。
- [オブジェクトの読み取り] イベントが見つからない場合、Directory Sync はユーザーを同期していません。よくある原因としては次のことが考えられます。
- ユーザー メンバーシップが LDAP の検索範囲に含まれない(ユーザー同期の設定時に指定したグループのベース DN やその下にユーザーが配置されていない)。
- Directory Sync が別のドメイン コントローラと通信しており、増分同期ですべての変更が検出されていない。ホスト名と IP アドレスが同じドメイン コントローラを指していることを確認してください。
グループ メンバーについて、次のことを確認します。
- メール属性値が設定されており、有効な形式のメール ID を使用している
- グループのベース DN やその下に配置されていない
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。