Устранение неполадок в Directory Sync

Убедитесь, что в проекте включен Data Connectors API.

Несколько подключений Directory Sync не могут указывать на один домен. Directory Sync сравнивает базовые уникальные имена. Если домены совпадают, при создании каталога происходит ошибка.

Чтобы устранить проблему, удалите подключение с совпадающим уникальным именем, прежде чем создавать новое подключение с тем же доменом.

Если в данных о событиях в журнале аудита администратора появится это сообщение об ошибке, проверьте, выполнены ли следующие условия:

• Сервер Microsoft Active Directory (AD) работает.
• Ваша сеть и брандмауэры настроены таким образом, чтобы входящий трафик на порт LDAP был разрешен.
• Вы ввели учетные данные авторизованного аккаунта правильно, используя формат username@example.com или EXAMPLE\username.

Если ошибка все равно появляется, добавьте сведения о DNS-сервере, чтобы разрешить имя хоста AD. Подробнее о том, как добавить внешний каталог…

Вы также можете создать виртуальную машину Linux в той же подсети, что и коннектор доступа к виртуальному частному облаку (VPC). Попробуйте подключиться с помощью telnet к IP-адресу сервера AD через порт 636. Если произойдет сбой, проверьте настройки сети сервера AD, например открыт ли и доступен ли порт 636.

Если тест telnet пройден успешно, проверьте, использует ли сервер AD правильный сертификат. Для этого выполните следующую команду на виртуальной машине Linux:

openssl s_client -showcerts -connect IP-адрес внешнего сервера:636

В данных о событиях журнала аудита администратора может быть две версии этой ошибки.

При попытке подключения к серверу (IP-адрес сервера) произошла ошибка в пределах настроенного времени ожидания, равного 10000 миллисекунд

Ошибка означает, что Directory Sync не удалось подключиться к серверу Active Directory (AD). Чтобы устранить проблему, настройте AD правильно. Подробные сведения приведены в разделе Как добавить каталог AD.

При попытке подключиться к серверу (IP-адрес сервера) произошла ошибка: (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)

Эта ошибка означает, что сертификат TLS AD не соответствует сертификату, который вы прикрепили при настройке подключения внешнего каталога. Чтобы устранить проблему, обеспечьте соответствие сертификатов. Подробные сведения приведены в разделе Как добавить каталог AD.

Чтобы сохранить сертификат TLS AD локально, введите следующий скрипт в Microsoft PowerShell, заменив localhost на запись DNS или IP-адрес сервера AD:

$webRequest = [Net.WebRequest]::Create("https://localhost:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

Если вам не удалось проверить подключение между Google и Microsoft Azure Active Directory, поищите информацию по устранению неполадок в журнале аудита администратора. Подробнее о журнале аудита администратора…

В журнале событий Directory Sync может быть указана ошибка "Не удалось создать пользователя. Сообщение: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT".

Это означает проблему с пользовательскими лицензиями. Если вы израсходовали все лицензии, доступные в Google Workspace, или свободных лицензий нет, создать пользователя не удастся, и вы получите сообщение об ошибке.

Чтобы решить проблему, увеличьте количество пользовательских лицензий. Подробнее о приобретении дополнительных пользовательских лицензий…

Статьи по теме

• Как посмотреть события журнала Directory Sync
• Как назначать, переназначать и удалять лицензии

Если возникнет сообщение об ошибке, которое начинается с Результат – переход, убедитесь, что при настройке вы указали правильное базовое уникальное имя.

Если вы используете порт глобального каталога 3269, измените его на 636.

В событиях журнала Directory Sync могут появиться ошибки синхронизации с этим описанием. Они обычно возникают из-за того, что аккаунт пользователя отключен или в AD указан неправильный адрес электронной почты или домен.

Подробная информация о событиях журнала приведена в статье Как посмотреть события журнала Directory Sync.

Чтобы выполнить указанные ниже действия, вам потребуются права суперадминистратора, права администратора Directory Sync или разрешение на управление настройками Directory Sync.

Если пользователи и группы не синхронизируются:

1. В консоли администратора Google (admin.google.com) выберите Directory SyncВнешние каталоги.
2. Проверьте статус синхронизации каталога.
3. Если синхронизация неактивна или не состоялась, активируйте ее.

   Подробнее о том, как это сделать…

Вы можете найти дополнительную информацию для устранения этой ошибки в журналах событий Directory Sync:

1. Перейдите к данным о событиях Directory Sync.

   Узнайте, как перейти к данным о событиях Directory Sync.

2. Выберите Добавить фильтрИдентификатор целевого объекта.
3. Введите адрес электронной почты пользователя и нажмите Применить.
4. Результаты могут быть следующими:
   • Событие Объект обновлен с описанием Новые атрибуты: {suspended: true} – инструмент Directory Sync заблокировал пользователя, потому что его аккаунт отключен в AD.
   • Событие Объект деинициализирован – проверьте, был ли пользователь в AD удален или перемещен в другой путь, который не входит в область поиска LDAP.

Определите, данные каких пользователей не синхронизируются, и убедитесь, что пользователь:

• не отключен во внешнем каталоге;
• является непосредственным участником группы, которую вы указали при настройке синхронизации пользователей;
• является объектом типа "пользователь", а не контактом во внешнем каталоге;
• имеет адрес электронной почты, который присутствует во внешнем каталоге, а домен в этом адресе совпадает с вашим доменом Google Workspace.

Вы можете найти дополнительную информацию для устранения ошибки в событиях журнала Directory Sync:

1. Перейдите к данным о событиях Directory Sync.

   Узнайте, как перейти к данным о событиях Directory Sync.

2. Выберите Добавить фильтрИдентификатор исходного объекта.
3. Добавьте уникальное имя пользователя и нажмите Применить.
4. Найдите события Sync Error (Ошибка синхронизации) и изучите ошибки.
5. Выполните поиск событий Read Object (Чтение объекта) с уникальным именем пользователя.
6. Если событий Read Object нет, инструмент Directory Sync не синхронизировал данные пользователя. Распространенные причины:
   • Участие пользователя не входит в область поиска LDAP (пользователь не находится на уровне базового уникального имени группы, которую вы указали при настройке синхронизации данных пользователей, или на более низком уровне).
   • Directory Sync обменивается данными с другим контроллером домена, и инкрементная синхронизация не регистрирует все изменения. Убедитесь, что имя хоста и IP-адрес указывают на один и тот же контроллер домена.

Убедитесь, что участник группы:

• имеет заданное в правильном формате значение атрибута электронной почты;
• не находится на уровне базового уникального имени группы или ниже.