Veja como resolver problemas durante a configuração e a sincronização com o Directory Sync.
Configurar
Abrir seção | Recolher tudo e voltar ao início
Não foi possível salvar o erro de configurações do diretório ao adicionar o diretório externoVerifique se a API Data Connectors está ativada no projeto. Veja detalhes em Ativar a API Data Connectors.
Não é possível que várias conexões do Directory Sync apontem para o mesmo domínio. O Directory Sync compara nomes distintos (DNs) de base e, se os domínios forem correspondentes, a criação do diretório falha.
Para resolver o problema, exclua a conexão com o DN correspondente antes de criar uma nova com o mesmo domínio.
Se você vir esse erro nos Dados de eventos de registro do administrador, confirme se:
- O servidor do Microsoft Active Directory (AD) está em execução.
- A rede e os firewalls estão configurados para permitir o tráfego de entrada na porta LDAP.
- Você inseriu as credenciais da conta autorizadas corretamente usando o formato nomedeusuario@exemplo.com ou EXEMPLO\nomedeusuario.
Se o erro persistir, adicione os detalhes do servidor do Sistema de Nome de Domínio (DNS) para resolver o nome do host do AD. Confira mais detalhes em Adicionar um diretório externo.
Também é possível criar uma máquina virtual (VM) do Linux na mesma sub-rede que o conector de acesso da nuvem privada virtual (VPC). Tente usar o telnet para o endereço IP do servidor AD na porta 636. Se o telnet falhar, verifique as configurações de rede do servidor AD, por exemplo, verifique se a porta 636 está aberta e disponível.
Se o telnet for bem-sucedido, para verificar se o servidor AD está usando o certificado correto, digite o seguinte comando na VM do Linux:
OpenSSL s_client -showcerts -connect endereço IP do servidor externo:636
Há duas versões desse erro disponíveis em Dados de eventos de registro do administrador.
Ocorreu um erro ao tentar se conectar ao servidor (IP do servidor) dentro do tempo limite configurado de 10.000 milissegundos.
Esse erro indica que o Directory Sync não conseguiu se conectar ao servidor do Active Directory (AD). Para resolver problemas, configure o AD corretamente. Saiba mais em Adicionar um diretório do AD.
Ocorreu um erro ao tentar estabelecer uma conexão com o servidor (IP do servidor): (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)
Esse erro indica que o certificado TLS do AD não corresponde ao certificado que você anexou ao configurar a conexão do diretório externo. Para resolver problemas, verifique se os certificados são correspondentes. Saiba mais em Adicionar um diretório do AD.
Para salvar o certificado TLS do AD localmente, digite o seguinte script no Microsoft PowerShell, substituindo localhost pelo registro DNS ou endereço IP do servidor AD:
$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"
Se não for possível testar a conexão entre o Google e o Microsoft Azure Active Directory, verifique os eventos de registro do administrador para ver informações de solução de problemas. Saiba mais detalhes em Eventos de registro do administrador.
Problemas de sincronização
Abrir seção | Recolher tudo e voltar ao início
Erro "Não foi possível criar o usuário"Você pode receber a seguinte mensagem de erro nos eventos de registro do Directory Sync: "Não foi possível criar o usuário. Mensagem: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT."
Esse erro indica um problema no licenciamento do usuário. Se você exceder o número de licenças disponíveis no Google Workspace ou não houver licenças disponíveis para atribuição, ocorrerá uma falha na criação do usuário e esse erro será exibido.
Para resolver problemas, aumente o número de licenças disponíveis para seus usuários. Confira mais detalhes em Comprar mais licenças de usuário.
Temas relacionados
Se você receber uma mensagem de erro começando com Resultado - referência, verifique se o DN de base que você inseriu ao configurar a sincronização está correto.
Se você estiver usando a porta de catálogo global 3269, mude para 636.
Nos eventos de registro do Directory Sync, talvez você veja erros de sincronização com essa descrição. O erro geralmente ocorre quando a conta de usuário é desativada ou o ID do e-mail tem um domínio incorreto no AD.
Veja mais detalhes sobre os eventos de registro em Verificar eventos de registro do Directory Sync.
Para concluir estas etapas, você precisa ter a função de superadministrador, administrador do Directory Sync ou privilégio Gerenciar as configurações do Directory Sync.
Se os usuários e grupos não estiverem sincronizados:
- No Google Admin Console (em admin.google.com), clique em Directory Sync
Diretórios externos.
- Verifique o Status de sincronização do diretório.
- Se a sincronização estiver inativa ou com falha, ative-a.
Veja mais detalhes em Fazer uma sincronização.
Veja mais informações de solução de problemas sobre este erro nos eventos de registro do Directory Sync:
- Abra os eventos de registro do Directory Sync.
Veja mais detalhes em Acessar os dados do evento do registro do Directory Sync.
- Clique em Adicionar um filtro
- Digite o endereço de e-mail do usuário e clique em Aplicar.
- Se você vir um:
- Evento Objeto atualizado com a descrição Novos atributos {suspended: true}, Directory Sync suspendeu o usuário porque a conta dele não está ativa no AD.
- Evento objeto desprovisionado, verifique se o usuário no AD foi excluído ou foi movido para outro caminho que não se enquadra no escopo de pesquisa LDAP.
Identifique os usuários que faltam e verifique se o usuário:
- não estiver inativa no seu diretório externo;
- é um membro direto do grupo que você especificou ao configurar a sincronização de usuários;
- é um objeto de usuário e não um contato no diretório externo;
- tem um ID de e-mail presente no seu diretório externo e que o domínio nesse ID é igual ao domínio Google Workspace.
Veja mais informações de solução de problemas nos eventos de registro do Directory Sync:
- Abra os eventos de registro do Directory Sync.
Veja mais detalhes em Acessar os dados do evento do registro do Directory Sync.
- Clique em Adicionar um filtro
- Adicione o DN do usuário e clique em Aplicar.
- Localize os eventos de erro de sincronização e analise os erros.
- Pesquise eventos Read Object com o DN do usuário.
- Se não for possível encontrar eventos Read Object, isso significa que o Directory Sync não sincronizou o usuário. As razões mais comuns são:
- A associação do usuário não está no escopo de pesquisa do LDAP. Ou seja, o usuário não está no DN de base do grupo especificado quando você configurou a sincronização de usuários nem está abaixo dele.
- O Directory Sync está se comunicando com um controlador de domínio diferente, e uma sincronização incremental não está detectando todas as alterações. Verifique se o nome do host e o endereço IP apontam para o mesmo controlador de domínio.
Verifique se o membro do grupo:
- Tem o valor do atributo de e-mail definido e um ID de e-mail em um formato válido;
- Não reside no DN de base do grupo ou abaixo dele.
Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.