Rozwiązywanie problemów z Password Sync

Jeśli masz problemy z konfiguracją Password Sync, zapoznaj się z tymi rozwiązaniami typowych problemów.

Zanim zaczniesz

Zanim rozpoczniesz rozwiązywanie problemów, sprawdź, czy są spełnione wszystkie wymagania systemowe, a czynności konfiguracyjne zostały w pełni wykonane. Szczegółowe informacje znajdziesz w artykule Konfiguracja Password Sync.

Opcje rozwiązywania problemów

Opcja 1. Automatyczne rozwiązywanie problemów

Użyj narzędzia pomocy Password Sync (opracowanego przez Google narzędzia open source), do zebrania logów Password Sync i informacji, które są potrzebne do rozwiązania problemów, ze wszystkich kontrolerów domeny.

  1. Kliknij link, aby pobrać narzędzie pomocy Password Sync.
  2. Uruchom narzędzie, a następnie znajdź i otwórz plik ZIP na pulpicie komputera.
  3. Rozpakuj logi śledzenia i prześlij je do Analizatora logów z Narzędzi administracyjnych Google.

Większość problemów można zidentyfikować niemal natychmiast po przesłaniu danych.

Zespół pomocy Google Workspace nie zapewnia wsparcia w zakresie narzędzia pomocy Password Sync.

Opcja 2. Ręczne rozwiązywanie problemów

Jeśli nie pomoże Ci automatyczne rozwiązywanie problemów lub nie możesz uruchomić narzędzia pomocy Password Sync, informacje na temat rozwiązywania problemów możesz zebrać ręcznie. Niektóre kroki tego zadania wymagają uruchomienia poleceń konsoli.

Krok 1. Wyświetl listę kontrolerów domeny

  1. Sprawdź, czy należysz do grupy „Administratorzy domeny”.

    Szczegółowe informacje znajdziesz w sekcji Błąd instalatora Password Sync (w dalszej części tej strony).

  2. W menu Start kliknij System Windows a potemWiersz polecenia.

    W zależności od systemu może być konieczne kliknięcie prawym przyciskiem myszy aplikacji Wiersz polecenia i kliknięcie Więcej a potem Uruchom jako administrator.

  3. Aby wyświetlić listę kontrolerów domeny, wpisz to polecenie:

    nltest /dclist:your-ad-domain

    Tekst your-ad-domain zastąp nazwą Twojej domeny Active Directory.

Krok 2. Wykonaj podane poniżej kroki na każdym kontrolerze domeny

  • Sprawdź, czy na serwerze jest zainstalowana poprawna wersja Password Sync (32- lub 64-bitowa), a po instalacji Password Sync serwer został uruchomiony ponownie.
  • Sprawdź, czy ustawienia sieci i serwera proxy są skonfigurowane prawidłowo.

    Szczegółowe informacje znajdziesz w dalszej części tej strony w sekcji Konfigurowanie ustawień serwera proxy Password Sync.

  • Jeśli używasz przeglądarki Microsoft Internet Explorer, opartej na Chromium wersji Microsoft Edge lub przeglądarki Google Chrome, sprawdź, czy możesz otworzyć stronę https://www.googleapis.com/.

    Jeśli na tej stronie wyświetla się błąd Google lub komunikat Nie znaleziono, wszystko jest w porządku. Nie powinny się jednak pojawiać błędy certyfikatu ani prośby o uwierzytelnienie serwera proxy. Serwery proxy wymagające uwierzytelnienia nie są obsługiwane.

  • Aby skopiować ustawienia serwera proxy bieżącego użytkownika do systemowych ustawień serwera proxy, wpisz to polecenie:

    netsh winhttp import proxy ie

  • Jeśli nie używasz serwera proxy, ale i tak napotykasz związane z nim problemy, aby je rozwiązać, wpisz następujące polecenie:

    bitsadmin /util /setieproxy networkservice no_proxy

  • Aby sprawdzić, czy biblioteka DLL Password Sync jest zarejestrowana na komputerze, wpisz to polecenie:

    reg query HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Notification Packages"

    Dane wyjściowe powinny zawierać tekst password_sync_dll. Jeśli go nie zawierają, zainstaluj Password Sync ponownie.

  • Aby sprawdzić, czy biblioteka DLL Password Sync została załadowana, wpisz to polecenie:

    tasklist /m password_sync_dll.dll

    W wynikach powinien znajdować się proces lsass.exe. Jeśli go tam nie ma, oznacza to, że biblioteka DLL nie została załadowana. Sprawdź, czy biblioteka DLL jest zarejestrowana, a jej wersja (32- lub 64-bitowa) jest zgodna z wersją systemu. Następnie uruchom ponownie komputer, aby załadować bibliotekę DLL.

Krok 3. Sprawdź, czy usługa Password Sync została uruchomiona

Aby sprawdzić, czy usługa Password Sync została uruchomiona, wpisz polecenie sc query "Password Sync" (jeśli używasz wersji 1.6.13–1.7.6, zastąp usługę Password Sync usługą G Suite Password Sync, a jeśli masz wersję 1.6 lub starszą – usługą Google Apps Password Sync).

Jeśli wynik zapytania będzie następujący:

  • STATE: RUNNING (STAN: DZIAŁA) – usługa Password Sync została uruchomiona.
  • STATE: STOPPED (STAN: ZATRZYMANA) – usługa Password Sync nie została uruchomiona.
  • The specified service does not exist as an installed service (Określona usługa nie istnieje jako zainstalowana usługa) – usługa Password Sync nie została zainstalowana.

Jeśli usługa Password Sync nie została uruchomiona, wpisz polecenie sc start "Password Sync" (jeśli używasz wersji 1.6.13–1.7.6, zastąp usługę Password Sync usługą G Suite Password Sync, a jeśli masz wersję 1.6 lub starszą – usługą Google Apps Password Sync).

Jeśli usługa Password Sync nie jest zainstalowana, wykonaj czynności opisane w artykule Konfigurowanie Password Sync.

Typowe problemy z Password Sync

Jeśli nadal będziesz mieć problemy, wypróbuj te rozwiązania.

Otwórz sekcję  |  Zwiń wszystko i przejdź na górę strony

Sprawdzanie, czy synchronizacja zadziałała prawidłowo

Możesz do tego użyć narzędzia do analizy zagrożeń:

  1. W konsoli administracyjnej Google przeprowadź wyszukiwanie zdarzeń z dziennika administratora.

    Więcej informacji znajdziesz w artykule Zdarzenia z dziennika administratora.

  2. Dodaj filtr, aby wyszukać zdarzenia Zmiana hasła.
  3. Przeprowadź wyszukiwanie i sprawdź wyniki. Pamiętaj, że dołączona do zdarzenia nazwa użytkownika, który wykonał czynność, zależy od konfiguracji Password Sync. W przypadku użycia:
    • interfejsu UI, użytkownik, który wykonał czynność, jest wyświetlany jako wpisany przez Ciebie adres e-mail administratora;
    • wiersza poleceń, użytkownik, który wykonał czynność, jest wyświetlany jako adres e-mail użyty w poleceniu --admin_email.
Password Sync działa tylko u niektórych użytkowników

Jeśli hasła niektórych użytkowników nie są zsynchronizowane, sprawdź, czy spełnione są następujące warunki:

  • Usługa Password Sync została zainstalowana na wszystkich serwerach Microsoft Active Directory w domenie (kontrolerach domeny). W przypadku systemu Microsoft Windows Server 2008 i nowszych musisz zainstalować Password Sync tylko na kontrolerach domeny dostępnych do zapisu. Jeśli nie masz pewności, które to są, zainstaluj Password Sync na wszystkich kontrolerach domeny. Nie spowoduje to żadnych problemów.
  • Uprawnienia administratora użytkownika, w przypadku którego aktualizacja się nie powiodła, nie przekraczają uprawnień adresu e-mail administratora podanego w konfiguracji Password Sync. Konta użytkownika o mniejszych uprawnieniach nie umożliwiają zmiany haseł do kont o większych uprawnieniach. Na przykład konto o uprawnieniach administratora delegowanego nie umożliwia zmiany haseł do kont o uprawnieniach superadministratora.
  • Adresy e-mail Twoich użytkowników znajdują się w atrybucie określonym w polu Mail Attribute (Atrybut poczty) podczas konfiguracji i muszą być w pełni zgodne z ich podstawowymi adresami e-mail Google (łącznie z częścią domeny w adresie).
  • Hasło jest zgodne z zasadami dotyczącymi nazw użytkowników i grup. Jeśli hasło nie jest synchronizowane, ponieważ zawiera nieobsługiwane znaki, Password Sync rejestruje ostrzeżenie w dzienniku zdarzeń aplikacji Windows. Na przykład:

    Log Name: Application
    Source: GoogleAppsPasswordSync
    Event ID: 40963
    Level: Warning
    Contents: An attempt to change the password for user USERNAME was made. However, the new password contains unsupported characters. The password can not be updated on the Google Account, and will be out of sync with Active Directory.

Administrator Active Directory nie ma uprawnień do zainstalowania Password Sync

Aby zainstalować Password Sync, musisz należeć do grupy Administratorzy domeny w Active Directory. Członkostwo w grupie Administratorzy jest niewystarczające.

Musisz zalogować się jako administrator domeny w systemie Windows w tej samej domenie, w której znajduje się konfigurowany kontroler domeny. Jeśli zalogujesz się jako administrator z innej domeny (na przykład jako administrator firmowy z innej domeny albo jako administrator z zaufanej domeny), nie będziesz mieć uprawnień do instalowania ani konfigurowania Password Sync.

Błąd instalatora Password Sync

Sprawdź, czy konfiguracja:

  • uruchamia instalator lokalnie (nie przez sieć),
  • ma odpowiednią wersję Password Sync zgodną z architekturą Twojego serwera (32- lub 64-bitową).
Nie można przyznać dostępu do usługi Password Sync

Upewnij się, że aplikacja ma kontrolę nad dostępem do usług Google Workspace. Więcej informacji znajdziesz w artykule Określanie, które aplikacje innych firm i aplikacje wewnętrzne mają dostęp do danych Google Workspace.

Konfigurowanie ustawień serwera proxy dla usługi Password Sync

Password Sync obsługuje połączenia proxy, o ile zastosujesz systemowe ustawienia proxy na wszystkich kontrolerach domeny.

  1. Otwórz https://www.googleapis.com w przeglądarce Internet Explorer, opartej na Chromium wersji przeglądarki Edge lub przeglądarce Chrome, aby sprawdzić, czy ustawienia proxy są prawidłowo skonfigurowane dla obecnego użytkownika.

    Jeśli nastąpi przekierowanie na stronę google.com lub na stronę z komunikatem „Not Found” („Nie znaleziono”), oznacza to, że ustawienia serwera proxy prawdopodobnie są poprawne. Jeśli pojawi się błąd certyfikatu lub prośba o uwierzytelnienie, oznacza to, że ustawienia serwera proxy mogą być nieprawidłowe.

  2. Aby zaimportować konfigurację serwera proxy, wpisz następujące polecenie:

    netsh winhttp import proxy ie

  3. (Opcjonalnie) Jeśli nie używasz serwera proxy, ale i tak występują związane z nim problemy, wpisz następujące polecenie:

    bitsadmin /util /setieproxy networkservice no_proxy

    Po uruchomieniu tego polecenia system Windows zignoruje konfiguracje automatycznie wykrytych serwerów proxy, które mogą znajdować się w systemie.

Uwaga:

  • Password Sync obsługuje tylko nieuwierzytelnione serwery proxy. Jeśli Twój serwer proxy wymaga uwierzytelniania (podstawowego, Kerberos lub NTLM), musisz go skonfigurować tak, aby zezwalał na nieuwierzytelnione lub bezpośrednie połączenia z kontrolerów domeny do adresów URL i portów wymienionych w sekcji Konfigurowanie kontrolerów domeny artykułu Informacje o G Suite Password Sync.
  • Mimo że Password Sync obsługuje połączenia proxy, może być konieczne włączenie połączenia bezpośredniego, aby nie wystąpiły problemy związane z serwerem proxy. Konfiguracja serwera proxy zależy od konfiguracji lokalnej, dlatego też zespół pomocy Google Workspace nie będzie w stanie pomóc Ci przy konfigurowaniu. W razie problemów z serwerem proxy skontaktuj się z administratorem sieci.
Błąd sieci podczas łączenia się z Google

Ten błąd oznacza, że Password Sync nie może zweryfikować Twojej autoryzacji. Sprawdź ustawienia serwera proxy i upewnij się, że połączenia z adresami URL wymaganymi przez Password Sync są dozwolone w Twojej sieci.

Po zainstalowaniu nowych serwerów na istniejących serwerach wyświetlają się błędy autoryzacji

Gdy używasz trzyetapowej autoryzacji OAuth do uwierzytelniania domeny Google, obowiązuje limit tokenów dla każdego konta użytkownika klienta. Jeśli limit ten zostanie przekroczony, utworzenie nowego tokena automatycznie unieważnia najstarszy istniejący token. Dzieje się to bez ostrzeżenia. Szczegółowe informacje znajdziesz w sekcji „Wygaśnięcie tokena odświeżania” w tym artykule.

Aby uniknąć przekraczania limitów liczby tokenów, zamiast trzyetapowej autoryzacji OAuth korzystaj z konta usługi. Szczegółowe informacje znajdziesz w artykule Wybieranie metody autoryzacji w Google.


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.

Czy to było pomocne?

Jak możemy ją poprawić?
true
Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
16450459105018224185
true
Wyszukaj w Centrum pomocy
true
true
true
false
false