Устранение неполадок с Password Sync

Если у вас возникают проблемы при настройке приложения Password Sync, воспользуйтесь приведенными ниже инструкциями по их устранению.

Подготовка

Прежде чем приступать к устранению неполадок, убедитесь, что ваша система соответствует требованиям и выполнены все шаги по настройке. Подробная информация приведена в статье Как настроить Password Sync.

Варианты устранения неполадок

Вариант 1. Автоматическое устранение неполадок

Используйте разработанный Google инструмент поддержки Password Sync с открытым исходным кодом, чтобы выполнить сбор журналов Password Sync и информации, необходимой для устранения неполадок, со всех контроллеров домена.

  1. Нажмите на ссылку, чтобы скачать инструмент поддержки Password Sync.
  2. Запустите инструмент, а затем найдите и откройте ZIP-файл на рабочем столе компьютера.
  3. Извлеките журналы трассировки и отправьте их в Google Admin Toolbox Log Analyzer.

Большинство неполадок будут выявлены практически сразу.

Служба поддержки Google Workspace не предоставляет помощь по вопросам, связанным с инструментом поддержки Password Sync.

Вариант 2. Устранение неполадок вручную

Если у вас не получилось запустить инструмент поддержки Password Sync или он не помог вам устранить неполадки, нужные данные можно собрать вручную. В некоторых шагах потребуется выполнять команды в консоли.

Шаг 1. Выведите на экран список контроллеров домена

  1. Убедитесь, что вы принадлежите к группе "Администраторы домена".

    Подробные сведения можно найти в разделе Не удалось установить Password Sync.

  2. Откройте меню "Пуск", выберите Служебные – Windowsа затемКомандная строка.

    В зависимости от системы вам может потребоваться нажать правой кнопкой мыши на пункт "Командная строка" и выбрать Дополнительноа затемЗапуск от имени администратора.

  3. Чтобы вывести на экран список контроллеров домена, выполните следующую команду:

    nltest /dclist:your-ad-domain

    Замените your-ad-domain именем своего домена Active Directory.

Шаг 2. Выполните указанные проверки для каждого контроллера домена

  • Убедитесь, что версия Password Sync (32- или 64-разрядная) соответствует разрядности сервера и что вы перезапустили сервер после установки Password Sync.
  • Убедитесь, что сеть и прокси-сервер настроены правильно.

    Подробные сведения приведены в разделе Настройки прокси-сервера для Password Sync.

  • Убедитесь, что вы можете открыть страницу https://www.googleapis.com/ в одном из следующих браузеров: Microsoft Internet Explorer, версия Microsoft Edge на базе Chromium, Google Chrome.

    Вы можете увидеть сообщение об ошибке Google или о том, что страница не найдена (Not Found). Это нормально. Если прокси-сервер настроен неправильно, вы увидите окно аутентификации или сообщение об ошибке сертификата. Прокси-серверы, требующие аутентификации, не поддерживаются.

  • Чтобы скопировать текущие параметры прокси-сервера пользователя в настройки прокси-сервера на уровне системы, выполните следующую команду:

    netsh winhttp import proxy ie

  • Если вы не используете прокси-сервер, но при этом у вас возникают проблемы, связанные с ним, выполните следующую команду:

    bitsadmin /util /setieproxy networkservice no_proxy

  • Чтобы убедиться, что на вашем компьютере зарегистрирована DLL-библиотека Password Sync, введите следующую команду:

    reg query HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Notification Packages"

    Выходные данные должны содержать текст password_sync_dll. Если это не так, переустановите Password Sync.

  • Чтобы убедиться, что DLL-библиотека Password Sync загружена, введите следующую команду:

    tasklist /m password_sync_dll.dll

    Результаты должны содержать процесс lsass.exe. Если это не так, библиотека не загружена. Убедитесь, что DLL-библиотека зарегистрирована и ее версия (32- или 64-разрядная) соответствует разрядности вашей системы. Затем перезапустите компьютер, чтобы DLL-библиотека загрузилась.

Шаг 3. Убедитесь, что сервис Password Sync работает

Чтобы убедиться, что сервис Password Sync работает, выполните команду sc query "Password Sync" (замените Password Sync на G Suite Password Sync, если вы используете версию 1.6.13–1.7.6, или на Google Apps Password Sync, если вы используете версию 1.6 или более раннюю).

Возможные значения выходных данных:

  • STATE: RUNNING – Password Sync работает.
  • STATE: STOPPED – Password Sync не работает.
  • The specified service does not exist as an installed service (Указанная служба не установлена) – Password Sync не установлен.

Если сервис Password Sync не работает, выполните команду sc start "Password Sync" (замените Password Sync на G Suite Password Sync, если вы используете версию 1.6.13–1.7.6, или на Google Apps Password Sync, если вы используете версию 1.6 или более раннюю).

Если сервис Password Sync не установлен, выполните действия, описанные в разделе Настройка Password Sync.

Распространенные проблемы при работе с Password Sync

Если вам все же не удалось устранить неполадки, ознакомьтесь с приведенными ниже рекомендациями.

Развернуть раздел  |  Свернуть все и перейти к началу

Как убедиться, что синхронизация выполнена правильно

Вы можете использовать инструмент "Анализ безопасности".

  1. В консоли администратора Google найдите журнал аудита администратора.

    Подробнее о журнале аудита администратора

  2. Добавьте фильтр, чтобы выполнить поиск событий Смена пароля.
  3. Выполните поиск и изучите результаты. Обратите внимание, что имя пользователя, связанного с событием, зависит от того, как вы настроили Password Sync. Если вы использовали:
    • интерфейс – будет показан указанный вами адрес электронной почты администратора;
    • командную строку – будет показан адрес электронной почты, указанный в параметре команды --admin_email.
Password Sync работает только для некоторых пользователей

Если пароли некоторых пользователей не синхронизируются, проверьте, выполнены ли указанные ниже условия.

  • Приложение Password Sync должно быть установлено на всех серверах Microsoft Active Directory вашего домена (контроллерах домена). В Microsoft Windows Server 2008 и более поздних версий Password Sync нужно устанавливать только на контроллерах домена с возможностью записи, но даже если установить Password Sync на всех контроллерах домена, это не приведет к ошибкам.
  • Полномочия администратора для пользователя, чей пароль нужно изменить, не должны превышать прав администратора, чей адрес электронной почты указан в конфигурации Password Sync. Изменить пароль аккаунта пользователя с более высоким уровнем разрешений невозможно. Например, из аккаунта, которому делегированы права администратора, невозможно изменить пароль для аккаунта суперадминистратора.
  • Адреса электронной почты пользователей в атрибуте, который вы указали при настройке в разделе Атрибут почты, должны точно совпадать с их основными адресами электронной почты Google, включая доменную часть.
  • Пароль должен отвечать правилам присвоения имен пользователей и названий групп. Если не удается выполнить синхронизацию из-за недопустимых символов, приложение Password Sync регистрирует предупреждение об этом в журнале событий приложений Windows. Например:

    Log Name: Application
    Source: GoogleAppsPasswordSync
    Event ID: 40963
    Level: Warning
    Contents: An attempt to change the password for user USERNAME was made. However, the new password contains unsupported characters. The password can not be updated on the Google Account, and will be out of sync with Active Directory.

У администратора Active Directory нет прав на установку Password Sync

Установить Password Sync может только участник группы Администраторы домена в Active Directory. Участие в группе "Администраторы" не дает достаточных полномочий.

Вы должны войти в Windows с учетными данными администратора именно того домена, в котором находится настраиваемый контроллер. В противном случае (например, если вы войдете в качестве администратора Enterprise другого домена или администратора доверенного домена) у вас не будет прав на установку или настройку Password Sync.

Не удалось установить Password Sync

Убедитесь, что:

  • программа установки запускается локально (не по сети);
  • версия Password Sync (32- или 64-разрядная) соответствует разрядности сервера.
Не удалось предоставить доступ для Password Sync

Убедитесь, что вы предоставили приложению доступ к сервисам Google Workspace. Подробнее о том, как управлять доступом сторонних и внутренних приложений к данным Google Workspace

Настройки прокси-сервера для Password Sync

Password Sync поддерживает подключение через прокси-сервер, если все контроллеры домена настроены соответствующим образом.

  1. Убедитесь, что прокси-сервер пользователя настроен правильно. Для этого откройте страницу https://www.googleapis.com/ в одном из следующих браузеров: Internet Explorer, версия Edge для Chromium, Chrome.

    Если все в порядке, вы будете перенаправлены на сайт google.com или страницу с сообщением "Не найдено". Если прокси-сервер настроен неправильно, вы увидите окно аутентификации или сообщение об ошибке сертификата.

  2. Чтобы импортировать конфигурацию прокси-сервера, используйте следующую команду:

    netsh winhttp import proxy ie

  3. Если вы не используете прокси-сервер, но при этом у вас возникают проблемы, связанные с ним, выполните следующую команду:

    bitsadmin /util /setieproxy networkservice no_proxy

    После этого Windows будет игнорировать все автоматические конфигурации прокси-сервера, настроенные в системе.

Примечания

  • Password Sync поддерживает только прокси-серверы без аутентификации. Если ваш прокси-сервер требует аутентификации (Basic, Kerberos или NTLM), разрешите в его настройках подключение без аутентификации или прямое подключение контроллеров домена к URL и портам, указанным в инструкциях по настройке контроллеров домена.
  • Хотя Password Sync поддерживает подключение через прокси-сервер, в случае неполадок может потребоваться установить прямое подключение: так вы выясните, связаны ли они с прокси-сервером. Поскольку конфигурация прокси-сервера зависит от параметров вашей среды, служба поддержки Google Workspace не сможет помочь с его настройкой. Если возникнут проблемы с прокси-сервером, сообщите о них администратору.
Ошибка сети при подключении к Google

Эта ошибка означает, что Password Sync не удалось проверить ваши разрешения. Посмотрите настройки прокси-сервера и убедитесь, что в сети разрешено подключение ко всем URL, необходимым для работы Password Sync.

После установки новых серверов возникают ошибки авторизации на существующих серверах

Если вы используете трехсторонний протокол OAuth для аутентификации вашего домена Google, применяется ограничение на количество токенов для учетных записей пользователей каждого клиента. При достижении этого лимита каждый новый токен будет без предупреждения заменять наиболее старый из них. Подробнее об обновлении срока действия токена

Чтобы лимит токенов не применялся, используйте сервисный аккаунт, а не трехсторонний протокол OAuth. Подробную информацию можно найти в статье Выбор способа аутентификации Google


Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
8894485592557113598
true
Поиск по Справочному центру
true
true
true
false
false