Fehlermeldungen in GCDS

Bei der Nutzung von Google Cloud Directory Sync (GCDS) können unter Umständen folgende Fehlermeldungen auftreten. Ausführliche Informationen zur Verwendung von GCDS finden Sie in der GCDS-Hilfe.

Fehlermeldung Beschreibung und Lösung
org.jdom.input.JDOMParseException: Fehler in Zeile 1: Inhalt ist in "prolog" nicht zulässig

GCDS versucht, eine Konfigurationsdatei mit einer nicht unterstützten Zeichencodierung zu laden.

In GCDS wird UTF-8 als Standardzeichencodierung verwendet. Wir empfehlen, für Ihre Konfigurationsdateien dieselbe Codierung zu nutzen, auch wenn andere Codierungen kompatibel sind.

So lösen Sie dieses Problem:

  1. Ändern Sie die Codierung Ihrer Konfigurationsdatei in UTF-8. Dazu können Sie die Datei mit den meisten gängigen Texteditoren öffnen und mit einer anderen Codierung speichern.
  2. Überprüfen Sie, ob der Inhalt Ihrer Konfigurationsdatei korrekt ist.
  3. Versuchen Sie, die Konfigurationsdatei noch einmal in GCDS zu laden.

Die häufigsten nicht unterstützten Codierungen sind:

  • UTF-7
  • UTF-8 BOM
Darf höchstens eine primäre
Organisation haben

GCDS versucht, ein Google-Nutzerprofil zu aktualisieren, auf das mindestens eine Ausschlussregel zutrifft. Ausschlussregeln sollten nur auf Nutzer zutreffen, die in Ihrer Google-Domain verfügbar sind, aber nicht in Ihrem LDAP-Server. Öffnen Sie im Konfigurationsmanager den Abschnitt Konfiguration der Google-Domain – Ausschlussregeln und stellen Sie sicher, dass dort keine Regeln definiert sind, die Nutzer auf Ihrem LDAP-Server ausschließen.

Weitere Informationen finden Sie im Hilfeartikel Ausschlussregeln mit GCDS verwenden.

javax.net.ssl.SSLHandshakeException:
Verbindung während des Handshakes

Ein Problem mit der Netzwerkverbindung hat GCDS daran gehindert, einen SSL-Handshake mit dem Google-Server abzuschließen. Dies könnte dadurch verursacht worden sein, dass ein Computer ein Paket zu langsam weitergeleitet hat oder der Dienst Ihres Dienstanbieters vorübergehend nicht verfügbar war.

GCDS versucht bis zu drei Mal, automatisch einen SSL-Handshake abzuschließen. Wenn Sie die folgende Nachricht in den Protokollen sehen, wurde der Handshake beim zweiten oder dritten Versuch von GCDS erfolgreich abgeschlossen und es sind keine weiteren Maßnahmen notwendig:
[2011-12-14 14:20:44,494] [main] [INFO] [usersyncapp.sync.FullSyncAgent] Keine Abweichungen festgestellt, keine Änderungen notwendig.

Wenden Sie sich an Ihren lokalen Netzwerkadministrator, um festzustellen, welche Ursache die Netzwerk-Timeouts haben könnten.

Quota exceeded for the current request (Vorgabe für die aktuelle Anfrage überschritten) GCDS ist aufgrund einer übermäßigen Nutzung vorübergehend für die Verwendung von Google-APIs gesperrt. Bitte warten Sie 24 Stunden, bevor Sie versuchen, eine erneute Synchronisierung auszuführen. Möglicherweise haben Sie das API-Kontingent erschöpft.

Falls diese Fehlermeldung erneut zu sehen ist, prüfen Sie die Zusammenfassung am Ende der Synchronisierung. Wenn alle Nutzer synchronisiert wurden, hat GCDS die gesperrte Anfrage automatisch wiederholt und erfolgreich abgeschlossen. In diesem Fall sind keine weiteren Maßnahmen notwendig.

Das Google API-Kontingent sollte für eine alltägliche Anwendung ausreichend sein. Sie erreichen aber eventuell eine Grenze, wenn Sie mehrere Synchronisierungen simulieren oder alle Nutzerpasswörter mit GCDS synchronisieren. Wenn Sie sync-cmd mit einem automatischen Skript ausführen, reduzieren Sie nach Möglichkeit die Häufigkeit pro Tag.

Falls dies ein kritisches Problem ist, versuchen Sie zur Authentifizierung von GCDS ein anderes Google-Administratorkonto zu nutzen oder verwenden Sie die OAuth-Authentifizierung.
java.lang.RuntimeException:
Unbekannter LDAP-Suchregelbereich "null"
Eine Regel in einem der folgenden Abschnitte vom Konfigurationsmanager ist leer:
  • LDAP-Einstellungen > Organisationseinheiten > Suchregeln
  • LDAP-Einstellungen > Nutzer > Nutzersynchronisierung
  • LDAP-Einstellungen > Gruppen > Gruppensuchregeln
  • LDAP-Einstellungen > Nutzerprofile > Nutzerprofile-Synchronisierung
  • LDAP-Einstellungen > Freigegebene Kontakte > Kontaktsynchronisierung

Weitere Informationen finden Sie im Hilfeartikel Synchronisierung mit dem Konfigurationsmanager einrichten.

InvalidHashDigestLength(1405)

Das Passwort-Verschlüsselungsverfahren zum Synchronisieren von Passwörtern wurde im Konfigurationsmanager nicht richtig konfiguriert oder der LDAP-Server verwendet ein Verschlüsselungsverfahren, das von GCDS nicht unterstützt wird. Unterstützt werden Klartext, Base64, MD5 und SHA1. Wenn Sie Passwörter mit Microsoft® Active Directory® synchronisieren möchten, verwenden Sie G Suite Password Sync.

Wenn Sie GCDS in einer früheren Version als 3.1.3 verwenden, ist möglicherweise diese Fehlermeldung zu sehen: Führen Sie ein Upgrade auf die aktuelle Version von GCDS aus.

Weitere Informationen finden Sie unter Wie werden Passwörter synchronisiert? und Das ist neu bei Google Cloud Directory Sync.

0 nested group(s) (0 verschachtelte Gruppen) GCDS unterscheidet auf Ihrem LDAP-Server nicht korrekt zwischen Nutzern und verschachtelten Gruppen.

So lösen Sie dieses Problem:
  1. Fügen Sie der Konfigurationsdatei im Abschnitt <features> folgende Zeile hinzu:
    <optional>GROUP_NESTED_GROUPS_AS_USERS
    </optional>
  2. Speichern Sie die Konfigurationsdatei und starten Sie die Synchronisierung.
Suspend user (Nutzer sperren)

Dies kann auftreten, wenn Sie eine Synchronisierung mit einer Konfigurationsdatei durchführen, die außerhalb des Konfigurationsmanagers dupliziert wurde. Die neue Konfigurationsdatei greift auf denselben Cache zu wie die Originaldatei. Diskrepanzen zwischen beiden Dateien können zur Sperrung von Nutzern führen.

Verwenden Sie zum Duplizieren einer GCDS-Konfigurationsdatei immer die Option Speichern unter im Konfigurationsmanager. Dadurch wird sichergestellt, dass die neue Konfigurationsdatei über einen eigenen Cache verfügt.

Weitere Informationen finden Sie unter Konfigurationsdateien verwenden

Unbekanntes Mitglied überspringen

Sie verwenden eine ältere GCDS-XML-Konfigurationsdatei und GCDS hat ein Gruppenmitglied gefunden, das in den Nutzersuchregeln Ihrer Konfiguration nicht enthalten ist. Integrieren Sie sämtliche Gruppenmitglieder und -inhaber in Ihre Nutzersuchregeln, selbst wenn Sie diese Nutzer nicht mit Ihrer Google-Domain synchronisieren möchten. GCDS muss die E-Mail-Adressen dieser Nutzer extrahieren, um Gruppen korrekt bearbeiten zu können.

Alternativ können Sie eine neue, leere XML-Konfigurationsdatei erstellen. GCDS aktiviert dann eine unabhängige Gruppensynchronisierung, bei der die Gruppenmitglieder ungeachtet der nutzereigenen Synchronisierungsregeln bestimmt werden. Wenn Sie unsicher sind, ist dies vermutlich die beste Option.

Nach jeder Konfigurationsänderung oder Erstellung einer neuen Konfigurationsdatei sollten Sie vor der Durchführung einer vollständigen Synchronisierung eine Simulation ausführen und deren Ergebnisse prüfen.

Weitere Informationen finden Sie unter Nutzerliste definieren.

com.google.gdata.client.
GoogleService$InvalidCredentials
Exception:
Ungültige Anmeldedaten

Bei dem im Konfigurationsmanager festgelegten Administratorkonto der Google-Domain handelt es sich nicht um einen Administrator oder die E-Mail-Adresse oder das Passwort ist falsch.

Bestätigen Sie im Konfigurationsmanager unter Google-Domain > Einstellungen die Daten des Administratorkontos, die als E-Mail-Adresse des Administrators festgelegt wurden.

Weitere Informationen finden Sie unter Einstellungen für die Google-Domain festlegen.

com.google.gdata.util.
ResourceNotFoundException:
Das Schlüsselattribut für die Synchronisierung, das im Konfigurationsmanager im Abschnitt Freigegebene Kontakte festgelegt ist, gibt von Ihrem LDAP-Server leere Werte zurück. Wählen Sie im LDAP-Server ein Attribut, das für jede Ressource den Synchronisierungsschlüsselwert enthält und nie eine Null oder eine leere Zeichenfolge liefert.
Errechnete Differenzen überschreiten
konfigurierte Löschgrenzwerte,
Änderungen werden nicht umgesetzt

Die in GCDS festgelegten Lösch- bzw. Sperrgrenzwerte wurden erreicht. Ändern Sie zur Vermeidung dieses Fehlers die Einstellung der Delete Limits (Löschgrenzwerte) in GCDS oder entnehmen Sie dem Synchronisierungsprotokoll weitere Details zu Löschungen bzw. Sperrungen. Entscheiden Sie dann, ob Sie die Grenzwerte ändern möchten.

EntityExists(1301) Das Synchronisierungstool kann Nutzer oder Gruppen nicht hinzufügen. Erstellt ein Administrator ein Konto manuell oder durch eine API in der Google-Domain, startet GCDS eventuell einen Erstellungsversuch, da es zur Leistungsverbesserung Google-Konten lokal in den Cachespeicher aufnimmt.

Leeren Sie den GCDS-Cache, um dieses Problem zu lösen. Dazu fügen Sie dem Befehl sync-cmd das Argument -f an oder entfernen den Cache-Ordner (syncState) in einem der folgenden Verzeichnisse:
  • Windows: %USERPROFILE%\syncState 
  • Linux: ~/syncState
EntityNameNotValid(1303) Dieser Fehler hat folgende Ursachen:

1. GCDS versucht, einen Nutzer oder ein E-Mail-Alias zu erstellen, das in einer Domain existiert, die nicht zu Ihrem Google-Konto gehört.
Lösungen:

  • Erstellen Sie im Konfigurationsmanager unter LDAP-Einstellungen > Nutzer > Nutzersynchronisierung > Ausschlussregeln Regeln, die Nutzer in externen Domains ausschließen.
  • Ändern Sie die Suchregeln, sodass Nutzer in externen Domains nicht zurückgegeben werden.
  • Fügen Sie Ihrem Google-Konto die fehlende Domain als sekundäre Domain hinzu.

2. GCDS synchronisiert mehr Nutzer als in Ihrem Konto verwaltet werden können.
Lösungen:

  • Begrenzen Sie im Konfigurationsmanager unter LDAP-Einstellungen > Nutzer > Nutzersynchronisierung den Umfang Ihrer Nutzersuche, damit weniger Nutzer zurückgegeben werden.
  • Im Konfigurationsmanager muss der korrekte Base-DN festgelegt sein, der auf das Stammverzeichnis mit nur den Nutzern hinweist, die in die Google-Domain importiert werden müssen.
java.lang.RuntimeException:
javax.naming.InvalidNameException:
[LDAP: Fehlercode 34 – ungültiger DN]
Ein im Konfigurationsmanager festgelegter Base-DN weist möglicherweise auf ein Objekt hin, das auf Ihrem LDAP-Server nicht existiert. Prüfen Sie den Base-DN, der in der LDAP-Verbindung festgelegt ist, sowie die Filterbereiche für Nutzer, Gruppen, Profile und freigegebene Kontakte und stellen Sie sicher, dass als Base-DN für alle ein existierendes Objekt verwendet wird.
java.security.cert.CertPathValidator
Exception:
Fehler bei Sperrstatus-Überprüfung:
CRL nicht gefunden

Ein anderer Dienst oder ein Netzwerkgerät verhindert, dass GCDS die Zertifizierungsstelle für das HTTPS-Zertifikat kontaktiert, das für APIs verwendet wird. Prüfen Sie Firewall- und Proxyregeln, die Verbindungen vom GCDS-Gerät beschränken könnten.

Falls für den Internetzugang von dem Gerät, das GCDS ausführt, ein Proxy erforderlich ist, muss dieser ordnungsgemäß konfiguriert werden.

Das lässt sich durch Deaktivieren der CRL-Prüfung umgehen. Aus Sicherheitsgründen wird dies jedoch nicht empfohlen. Falls Sie sich dennoch für diese Änderung entscheiden, deaktivieren Sie die CRL-Prüfung, indem Sie im GCDS-Installationsverzeichnis die folgenden Zeilen zu den Dateien config-manager.vmoptions und sync-cmd.vmoptions hinzufügen:
-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false

Weitere Informationen finden Sie unter Wie überprüft GCDS Zertifikatssperrlisten?

javax.naming.directory.
InvalidSearchFilterException:
Unsymmetrische Klammersetzung; verbleibender Name
Die Abfragen, die auf mindestens einer Seite im Konfigurationsmanager festgelegt sind, weisen eine unsymmetrische Klammersetzung auf:
  • LDAP-Einstellungen > Organisationseinheiten > Suchregeln
  • LDAP-Einstellungen > Nutzer > Nutzersynchronisierung
  • LDAP-Einstellungen > Gruppen > Gruppensuchregeln
  • LDAP-Einstellungen > Nutzerprofile > Nutzerprofile-Synchronisierung
  • LDAP-Einstellungen > Freigegebene Kontakte > Kontaktsynchronisierung
Stammverzeichnis-Ausnahme ist javax.naming.
CommunicationException:
Servername:389
GCDS konnte den angegebenen LDAP-Servernamen nicht auflösen. Für den LDAP-Server muss ein geeigneter Domainname eingegeben werden, der vom Computer, auf dem GCDS ausgeführt wird, aufgelöst werden kann.

Hinweis: Wenn Sie Active Directory verwenden, verwenden Sie immer den vollständig qualifizierten Domainnamen als Servernamen.
SSL-Peer nicht wie vorgesehen heruntergefahren

Dieses Problem tritt normalerweise auf, wenn Datenverkehr durch einen Proxy gezwungen wird. Bei Verwendung eines Proxys müssen die GCDS-Proxyeinstellungen konfiguriert werden.

GCDS muss zu diesen URLs/Ports eine Verbindung herstellen können.

Es kann vorkommen, dass die Sicherheitssoftware des lokalen Computers den Verbindungsaufbau behindert. Bitten Sie den Administrator, sämtliche Sicherheitssoftware auf dem Client-Computer zu deaktivieren, und versuchen Sie es erneut.

You are not authorized to access this API (Sie sind nicht berechtigt, auf diese API zuzugreifen)

Bestätigen Sie, dass Sie die benötigten Google APIs aktiviert haben.

Weitere Informationen finden Sie unter Google-Domain vorbereiten.

Domain user limit exceeded (Nutzerbeschränkung für die Domain überschritten) Sie haben versucht, mehr Nutzer hinzuzufügen, als Sie Lizenzen besitzen. Wenden Sie sich an Ihren Vertriebsmitarbeiter, um weitere Nutzerlizenzen zu erwerben, oder ändern Sie Ihre LDAP-Abfragen, um weniger Nutzer zu synchronisieren.
java.lang.RuntimeException: Abfrage konnte nicht durchgeführt werden, da das Objekt beim Base-DN: "DC=domain,DC=com" fehlt oder nicht zugänglich ist Überprüfen Sie den DN auf dem Tab LDAP-Konfiguration und in allen Suchregeln, in denen Sie eine DN-Überschreibung festgelegt haben.

Wenn das Problem dadurch nicht behoben werden kann und Sie sicher sind, dass der DN gültig ist, liegt das Problem möglicherweise bei der DNS-Auflösung. Möglicherweise werden im Protokoll zusätzliche Fehlerinformationen angezeigt, wie etwa:

  • javax.naming.PartialResultException [Stammverzeichnis-Ausnahme ist javax.naming.CommunicationException: domain.com:389 [Stammverzeichnis-Ausnahme ist java.net.ConnectException: Verbindung verweigert: connect]]
  • javax.naming.PartialResultException [Stammverzeichnis-Ausnahme ist javax.naming.CommunicationException: domain.com:389 [Stammverzeichnis-Ausnahme ist java.net.ConnectException: Zeitüberschreitung der Verbindung: verbinden]]

Diese Fehler geben an, dass der Hostname die Verbindung verweigert oder die Dauer für den Verbindungsaufbau überschritten wurde. Versuchen Sie, für diesen Hostnamen ein DNS-Lookup auszuführen. Achten Sie darauf, dass alle zurückgegebenen Adressen gültig sind, und lassen Sie Verbindungen über den konfigurierten Port zu.

Hinweis: Diese Fehler können selbst dann auftreten, wenn Sie in der GCDS-Konfiguration einen gültigen Hostnamen bzw. eine gültige IP-Adresse angegeben haben. Active Directory gibt möglicherweise eine LDAP-Verweisantwort aus, die GCDS dazu anweist, sich über einen Hostnamen zu verbinden. Dieser Verweis kann letztendlich auf den Hostnamen erfolgen, der nicht aufgelöst wird. Sie können diese Verweise vermeiden, indem Sie sich über den Global Catalog-Port (standardmäßig: 3268) mit Ihrem Active Directory-Server verbinden. Weitere Informationen

Ungültige Zeichen am Speicherort

Einige Daten im benutzerdefinierten Schema sind ungültig.
Hinweise zu den aktuellen Einschränkungen für benutzerdefinierte Schemas finden Sie auf dieser Seite

Falls Sie Trace-Level-Protokolle aktiviert haben, können Sie auch die vollständige HTTP-Anfrage des benutzerdefinierten Schemas aufrufen.

java.util.concurrent.ExecutionException: java.lang.OutOfMemoryError: GC-Speicherlimit
überschritten 

Das festgelegte Speicherlimit wurde überschritten, deshalb ist die Synchronisierung fehlgeschlagen.

Unter Wie gehe ich vor, wenn speicherbezogene Fehler angezeigt werden? erfahren Sie, wie Sie dieses Problem beheben können. 

Verbindung zum angegebenen LDAP-Server kann nicht hergestellt werden.

GCDS kann keine Verbindung zum LDAP-Server herstellen. Sorgen Sie dafür, dass Folgendes zutrifft: 

  • Sie verwenden das richtige Kommunikationsprotokoll. Wenn für den LDAP-Server ein sicheres Protokoll erforderlich ist, verwenden Sie LDAP mit SSL.
  • Der LDAP-Server ist in Betrieb und es gibt keine weiteren Verbindungsprobleme.
Netzwerkproblem: Verbindung mit dem angegebenen LDAP-Server nicht möglich

GCDS kann den LDAP-Server nicht finden. Stellen Sie sicher, dass der Computer, auf dem GCDS ausgeführt wird, Zugriff auf den angegebenen Host und Port hat.

Authentifizierungsproblem: Verbindung mit den angegebenen Anmeldedaten nicht möglich

Der LDAP-Server lehnt GCDS-Anfragen aufgrund eines Authentifizierungsproblems ab.

Stellen Sie sicher, dass der autorisierte Nutzer und sein Passwort korrekt sind. Der autorisierte Nutzer muss mit seinem vollständigen Distinguished Name (DN) hinzugefügt werden. Weitere Informationen

Abfrage konnte beim Base-DN <Base-DN> nicht durchgeführt werden

GCDS kann keine Verbindung zum Base Distinguished Name (Base-DN) herstellen. Sorgen Sie dafür, dass Folgendes zutrifft: 

  • Der Base-DN ist auf dem LDAP-Server vorhanden.
  • Der autorisierte Nutzer verfügt über die erforderlichen Berechtigungen für den Base-DN.
Abfrage konnte beim Base-DN <Base-DN> für das Attribut <Attribut> nicht durchgeführt werden, Ursache: NameNotFoundException

GCDS kann keine Informationen vom LDAP-Server abrufen. Sorgen Sie dafür, dass Folgendes zutrifft: 

  • Das Objekt <Base-DN> ist vorhanden und kann vom autorisierten Nutzer aufgerufen werden. 
  • Das Attribut <Attribut> ist für das Objekt <Base-DN> auf dem LDAP-Server vorhanden.
Das Mitglied ist bereits vorhanden.

Dieser Fehler kann in folgenden Fällen auftreten:

  • Sie haben ein Mitglied, dessen primäre LDAP-Adresse eine Alias-Adresse in der G Suite ist.
  • Ein Nutzerkonto hat für zwei Alias-Adressen denselben Nutzernamen, z. B. "user1@alias1.com" und "user1@alias2.com", und SUPRESS_DOMAIN wurde aktiviert.
War das hilfreich?
Wie können wir die Seite verbessern?