如果您在设置 Password Sync 时遇到问题,请参阅这些常见问题的解决方案。
准备工作
在开始排查问题之前,请确保您符合所有系统要求,并已完成所有设置步骤。有关详情,请参阅设置 Password Sync。
问题排查方法
方法 1:自动问题排查
您可以使用 Password Sync 支持工具(Google 推出的一款开源工具)从所有域控制器中收集 Password Sync 日志和问题排查信息。
- 点击链接下载 Password Sync 支持工具。
- 运行该工具,然后在计算机桌面上找到并打开 ZIP 文件。
- 提取轨迹日志并将其提交到 Google 管理员工具箱日志分析器。
大部分问题在提交后很快就能确定。
Google Workspace 支持团队不会为 Password Sync 支持工具提供支持。
方法 2:手动问题排查
如果自动问题排查步骤未能解决问题,或者您无法运行 Password Sync 支持工具,您可以手动收集问题排查信息。此任务中的某些步骤要求您运行控制台命令。
第 1 步:列出您的域控制器
- 请确保您是网域管理员群组成员。
有关详情,请参阅 Password Sync 安装程序运行失败(本页后面部分)。
- 在“开始”菜单中,点击 Windows 系统
命令提示符。
根据您使用的系统,您可能需要右键点击“命令提示符”,然后点击更多
- 要列出您的域控制器,请输入以下命令:
nltest /dclist:your-ad-domain
将 your-ad-domain 替换为您的 Active Directory 网域的名称。
第 2 步:在每个域控制器上验证以下内容
- 请确保正确的 Password Sync 版本(32 位或 64 位)已安装在服务器上,且在安装 Password Sync 后已重启该服务器。
- 确保采用了正确的网络和代理设置。
有关详情,请参阅为 Password Sync 配置代理设置(本页面的后面部分)。
- 使用 Microsoft Internet Explorer、基于 Chromium 的 Microsoft Edge 版本或 Google Chrome 浏览器,检查您是否可以访问 https://www.googleapis.com/。
即使此页面显示 Google 错误或未找到,也没关系。请确保此页面未显示证书错误或任何代理身份验证请求。不支持需要进行身份验证的代理服务器。
- 如需将当前用户的代理设置复制到系统范围的代理设置中,请输入以下命令:
netsh winhttp import proxy ie
- 如果您未使用代理服务器,但遇到代理相关问题,请输入以下命令来排查问题:
bitsadmin /util /setieproxy networkservice no_proxy
- 如需检查是否已在机器上注册了 Password Sync DLL,请输入以下命令:
reg query HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Notification Packages"
输出内容中应包含文本 password_sync_dll。如果不包含,请重新安装 Password Sync。
- 如需验证 Password Sync DLL 是否已加载,请输入以下命令:
tasklist /m password_sync_dll.dll
进程 lsass.exe 应列于结果中。否则,说明系统没有加载该 DLL。请确认该 DLL 已注册,且版本(32 位或 64 位)与系统匹配。然后,重启计算机,以加载该 DLL。
第 3 步:检查 Password Sync 是否已启动
如需检查 Password Sync 服务是否已启动,请输入 sc query "Password Sync" 命令 (如果您运行的是 1.6.13-1.7.6 版本,请将 Password SyncG Suite Password Sync;如果您运行的是 1.6 或更低版本,请将其替换为 Google Apps Password Sync)。
如果查询输出显示:
- STATE: RUNNING - Password Sync 正在运行
- STATE: STOPPED - Password Sync 未运行
- The specified service does not exist as an installed service - 未安装 Password Sync。
如果 Password Sync 未运行,请输入 sc start "Password Sync" 命令 (如果您运行的是 1.6.13-1.7.6 版本,请将 Password SyncG Suite Password Sync;如果您运行的是 1.6 或更低版本,请将其替换为 Google Apps Password Sync)。
如果未安装 Password Sync,请完成配置 Password Sync 中的步骤。
Password Sync 常见问题
如果问题仍然存在,请检查这些解决方案。
验证同步是否正常运行您可以使用安全调查工具:
- 在 Google 管理控制台中,搜索管理员日志事件。
有关详情,请参阅管理员日志事件。
- 添加过滤条件以搜索密码更改事件。
- 运行搜索并检查结果。请注意,附加到事件中的执行者的名称取决于您设置 Password Sync 的方式。如果您使用:
- 界面 - 执行者会显示为您输入的管理员的电子邮件地址。
- 命令行 - 执行者会显示为用于命令参数 --admin_email 的电子邮件地址。
如果某些用户的密码未同步,请确保:
- 您在自己网域的所有 Microsoft Active Directory 服务器(网域控制器)上都成功安装了 Password Sync。在 Microsoft Windows Server 2008 及更高版本中,您只需在可写域控制器上安装 Password Sync。如果您不确定哪些是可写网域控制器,请在所有网域控制器上安装 Password Sync。这样做不会带来任何问题。
- 更新失败的用户的管理员权限未超过 Password Sync 配置中输入的管理员电子邮件地址对应的权限。权限较低的用户账号无法为权限较高的账号更改密码。例如,拥有委托管理员权限的账号无法为拥有超级用户权限的账号更新密码。
- 您用户的电子邮件地址具有您配置服务器时在 Mail Attribute(邮件属性)中指定的属性,而且这些地址与其 Google 主电子邮件地址完全匹配(包括地址的域名部分)。
- 密码符合用户和群组的命名准则。如果密码同步失败的原因是密码包含不受支持的字符,那么 Password Sync 会在 Windows 应用程序事件日志中记录警告。例如:
Log Name: Application
Source: GoogleAppsPasswordSync
Event ID: 40963
Level: Warning
Contents: An attempt to change the password for user USERNAME was made. However, the new password contains unsupported characters. The password can not be updated on the Google Account, and will be out of sync with Active Directory.
要安装 Password Sync,您必须是 Active Directory 中的网域管理员群组成员。管理员群组成员不具备足够的权限。
您必须根据自己设置的网域控制器所在的网域,以相应网域管理员身份登录到 Windows。如果您以其他网域的网域管理员(例如其他网域的企业管理员或受信任网域的管理员)身份登录,则无权安装或配置 Password Sync。
检查您的设置:
- 在本地(而不是在网络上)运行安装程序
- 要安装的 Password Sync 的版本适用于您的服务器架构(32 位或 64 位)
请确保您已向该应用授予 Google Workspace 服务的访问控制权限。有关详情,请参阅控制哪些第三方应用和内部应用可以访问 Google Workspace 数据。
Password Sync 支持代理连接,前提是您在自己的所有网域控制器上设置了应用于整个系统的代理设置:
- 请使用 Internet Explorer、基于 Chromium 的 Edge 版本或 Chrome 浏览器转到 https://www.googleapis.com/,确保用户当前的代理设置准确无误。
如果您被重定向到 google.com 页面,或者看到显示“无法找到”的页面,则表示您的代理设置有可能是正确的。如果您看到身份验证提示或证书错误,则表示您的代理设置可能不正确。
- 如需导入代理配置,请输入以下命令:
netsh winhttp import proxy ie
- (可选)如果您未使用代理服务器,但仍遇到代理相关问题,请输入以下命令:
bitsadmin /util /setieproxy networkservice no_proxy
该命令会将 Windows 设置为忽略系统中可能存在的任何自动发现的代理配置。
注意:
- Password Sync 仅支持无需进行身份验证的代理。如果您的代理要求进行身份验证(基本型、Kerberos 或 NTLM),则需要对其进行配置,以允许从您的网域控制器以无需身份验证的方式连接到设置网域控制器中指定的网址和端口,或直接连接到这些位置。
- 尽管 Password Sync 支持代理连接,但您可能仍需启用直接连接,以确保代理服务器不会引起问题。由于代理配置取决于您的本地设置,因此 Google Workspace 支持团队无法协助您处理配置问题。如果您遇到任何代理问题,请与您的网络管理员联系。
此错误表示 Password Sync 无法验证您的授权。请检查您的代理设置,并确保您的网络允许连接到 Password Sync 要求的网址。
当您使用三方模式 OAuth 对 Google 域名进行身份验证时,每个客户端的每个用户账号都有令牌限制。如果您达到此上限,则当您创建新令牌时,最旧的令牌会自动失效,且系统不会显示警告。有关详情,请参阅刷新令牌有效期。
要避免达到令牌上限,您应该使用服务账号,而不是三方模式 OAuth。有关详情,请参阅选择 Google 身份验证方法。
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。