Podczas korzystania z Google Cloud Directory Sync (GCDS) możesz zobaczyć opisane tutaj komunikaty o błędach. Aby rozwiązać problem, skorzystaj z tabeli poniżej.
Rozpoznawanie problemów za pomocą Analizatora logów
Narzędzie potrafi zidentyfikować większość problemów niemal natychmiast po przesłaniu.
- Prześlij logi śledzenia (nieskompresowane lub w plikach ZIP) do Analizatora logów z Narzędzi administracyjnych Google.
- Aby przeprowadzić zaawansowaną analizę logów, prześlij nieskompresowane pliki do Analizatora logów 2.
Dowiedz się, jak włączyć rejestrowanie na poziomie śledzenia.
Komunikaty o błędach i rozwiązania
Komunikat o błędzie | Opis i rozwiązanie |
---|---|
Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative names present Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative DNS name matching servername found |
Nazwy Common Name (CN) i Subject Alternative Name (SAN) w certyfikacie nie odpowiadają nazwie serwera LDAP w pliku konfiguracji GCDS. Aby rozwiązać ten problem:
Aby tymczasowo obejść problem, możesz wyłączyć identyfikację punktów końcowych, dodając do plików config-manager.vmoptions i sync-cmd.vmoptions w folderze instalacyjnym GCDS nowy wiersz (przed jego dodaniem usuń podział wiersza): -Dcom.sun.jndi.ldap.object. disableEndpointIdentification=true |
sun.security.provider.certpath.SunCertPathBuilder Exception: unable to find valid certification path to requested target ldap_simple_bind_s() failed: Strong Authentication Required |
Wykonaj czynności opisane w artykule Rozwiązywanie problemów z certyfikatami. |
InvalidCipherTextException: Invalid encryption parameters. Salt/Iteration/Initialization Vector | Jeśli GCDS działa na komputerze bez GUI, być może klucz nie został prawidłowo zaimportowany. Instrukcje znajdziesz w artykule Jak autoryzować GCDS na komputerze bez graficznego interfejsu użytkownika?. |
java.lang.RuntimeException: Encountered unrecoverable SQLException. The state database specified "path-to-folder\syncState\folder-name" | Znajdź i usuń folder wskazany w wiadomości. Następnie ponownie uruchom synchronizację. |
java.sql.SQLException: Invalid checksum on Page |
Inny proces uzyskuje dostęp do folderu lub plików pamięci podręcznej w tym samym momencie co GCDS. Aby rozwiązać ten problem, pobierz i uruchom narzędzie Process Monitor firmy Microsoft, a następnie utwórz filtr. W opcjach filtra użyj Ścieżka, Zawiera i path-to-folder\syncState, aby wskazać procesy uzyskujące dostęp do tych plików lub folderów. Więcej informacji znajdziesz w sekcji poświęconej narzędziu Process Monitor. |
Invalid Input: query | W polu Zapytanie dotyczące użytkowników zostało wpisane nieprawidłowe zapytanie. Usuń zapytanie lub upewnij się, że spełnia ono kryteria wyszukiwania opisane w artykule Wyszukiwanie użytkowników.
Więcej informacji o wyszukiwanych przez użytkowników hasłach znajdziesz w artykule Pomijanie danych za pomocą reguł wykluczania i zapytań. |
SocketException - Connection reset |
Jeśli zobaczysz ten komunikat podczas nawiązywania połączenia z serwerem LDAP, oznacza to, że połączenie z serwerem zostało utracone. Możliwe przyczyny:
|
A lock could not be obtained within the time requested | Aby rozwiązać ten problem, wykonaj następujące czynności:
|
Error 400: invalid_request: The version of the app you're using doesn't include the latest security features to keep you protected. Please make sure to download from a trusted source and update to the latest, most secure version. | Upewnij się, że używasz najnowszej wersji GCDS. Więcej informacji znajdziesz w artykule Aktualizowanie GCDS. |
java.sql.SQLException: Directory <directory> cannot be created. | GCDS wymaga pełnych uprawnień dostępu do katalogu, aby utrzymać bazę danych stanu synchronizacji. Ten błąd może się pojawić w tych przypadkach:
|
org.jdom.input. JDOMParseException: Error on line 1: Content is not allowed in prolog |
GCDS próbuje wczytać plik konfiguracyjny z nieobsługiwanym kodowaniem znaków.
GCDS używa UTF-8 jako domyślnego kodowania znaków. W plikach konfiguracji należy używać tego samego kodowania, mimo że inne rodzaje kodowania są z nim zgodne. Aby rozwiązać ten problem:
Najczęściej spotykane nieobsługiwane rodzaje kodowania to UTF-7 i UTF-8 BOM. |
javax.net.ssl. SSLHandshakeException: connection during handshake |
Problem z połączeniem sieciowym uniemożliwił GCDS zainicjowanie połączenia SSL z serwerem Google. Przyczyną może być zbyt wolne przesyłanie pakietów przez komputer lub czasowa awaria po stronie dostawcy usług internetowych.
GCDS próbuje zainicjować połączenie SSL trzykrotnie. Jeśli zauważysz w dziennikach ten komunikat, narzędzie GCDS uzgodniło połączenie podczas kolejnych prób i podjęcie dodatkowych działań nie jest konieczne: [usersyncapp.sync.FullSyncAgent] No differences detected, no changes necessary. Aby znaleźć przyczynę przerw w działaniu sieci, skontaktuj się z administratorem sieci lokalnej. |
Quota exceeded for the current request | Możliwość używania interfejsów API Google przez GCDS została tymczasowo zablokowana z powodu ich nadmiernego używania. Odczekaj 24 godziny, zanim podejmiesz kolejną próbę synchronizacji, bo mógł zostać przekroczony limit użycia interfejsu API.
Jeśli zobaczysz ten komunikat ponownie, sprawdź końcowe podsumowanie synchronizacji. Jeśli synchronizacja wszystkich użytkowników powiodła się, oznacza to, że narzędzie GCDS powtórzyło zablokowane żądanie i zostało ono wykonane. Nie są wymagane żadne dodatkowe czynności. Limity interfejsów API Google są wystarczające do codziennego użytku. Możliwe jest jednak ich przekroczenie w przypadku przeprowadzenia symulacji wielu synchronizacji lub przy synchronizowaniu wszystkich haseł użytkowników za pomocą GCDS. Jeśli uruchamiasz polecenie sync-cmd przy użyciu automatycznego skryptu, korzystaj z niego rzadziej w ciągu dnia. Jeśli jest to krytyczny problem, spróbuj użyć innego konta administratora do uwierzytelnienia w GCDS lub skorzystaj z uwierzytelniania OAuth. |
java.lang.RuntimeException: Unknown LDAP search rule scope "null" |
Jedna z poniższych sekcji Menedżera konfiguracji zawiera pustą regułę:
Więcej informacji znajdziesz w artykule Konfigurowanie synchronizacji przy użyciu Menedżera konfiguracji. |
Invalid digest length for password | Metoda szyfrowania haseł na potrzeby ich synchronizacji nie została poprawnie skonfigurowana w Menedżerze konfiguracji lub serwer LDAP używa metody szyfrowania, która nie jest obsługiwana przez GCDS. Obsługiwane metody to tekst jawny, Base64, MD5 i SHA1. Aby zsynchronizować hasła z Microsoft Active Directory, użyj narzędzia Password Sync.
Więcej informacji znajdziesz w sekcji W jaki sposób powinny być synchronizowane hasła? i w artykule Aktualizowanie GCDS. |
0 nested group(s) | GCDS nie może prawidłowo rozróżnić użytkowników od zagnieżdżonych grup na serwerze LDAP. Aby rozwiązać ten problem:
|
Suspend user | GCDS może spróbować wprowadzić nieoczekiwane zmiany, jeśli wykonasz synchronizację przy użyciu pliku konfiguracji, który został zduplikowany poza Menedżerem konfiguracji. Nowy plik konfiguracji uzyskuje dostęp do tej samej pamięci podręcznej co oryginalny plik konfiguracji. Niezgodności między tymi plikami mogą spowodować zawieszenie kont użytkowników.
Do duplikowania plików konfiguracji GCDS zawsze używaj opcji Zapisz jako w menedżerze konfiguracji. Dzięki temu nowy plik konfiguracji będzie miał własną pamięć podręczną. Więcej szczegółów znajdziesz w artykule Praca z plikami konfiguracji. |
Skipping unknown member | Używasz starszego pliku XML konfiguracji GCDS, a narzędzie GCDS napotkało członka grupy, którego nie ma w regułach wyszukiwania użytkowników w konfiguracji. Wszyscy członkowie i właściciele grup powinni być uwzględnieni w regułach wyszukiwania użytkowników, nawet jeśli nie chcesz ich synchronizować z domeną Google. GCDS musi wyodrębnić adresy e-mail tych użytkowników, aby prawidłowo przetworzyć grupy.
Możesz też utworzyć nowy, pusty plik XML konfiguracji. GCDS włączy wtedy niezależną synchronizację grup, co wymusza obsługę członków grup bez względu na reguły synchronizowania użytkowników. Jeśli nie masz pewności, co wybrać, zalecamy skorzystanie z tej opcji. Jeżeli wprowadzasz zmiany w konfiguracji lub tworzysz nowy plik konfiguracji, uruchom symulację i sprawdź jej wyniki, zanim przeprowadzisz pełną synchronizację. Więcej informacji znajdziesz w sekcji Definiowanie listy użytkowników. |
com.google.data.client. GoogleServiceException: Invalid credentials |
Konto administratora podane w Menedżerze konfiguracji nie jest kontem administratora lub nazwa użytkownika albo hasło są nieprawidłowe.
W Menedżerze konfiguracji kliknij Google Domain (Domena Google) Settings (Ustawienia) i sprawdź informacje o koncie administratora określone w polu Admin Email Address (Adres e-mail administratora). Więcej informacji znajdziesz w sekcji Definiowanie ustawień domeny Google. |
com.google.gdata.util. ResourceNotFoundException: |
Atrybut klucza synchronizacji określony w sekcji Shared Contacts (Kontakty udostępnione) Menedżera konfiguracji zwraca puste wartości z serwera LDAP. Wybierz atrybut z serwera LDAP, który zawiera wartość klucza synchronizacji dla każdego zasobu i nigdy nie zwraca pustych ciągów ani wartości null. |
Computed differences exceed configured deletion limits, not applying changes |
Został osiągnięty limit usuwania lub zawieszania ustawiony w GCDS. Zmień ustawienie Delete Limits (Limity usuwania) w GCDS, by uniknąć tego błędu, lub sprawdź dziennik synchronizacji, by dowiedzieć się, co miało być usunięte albo zawieszone, i zdecyduj, czy zmiana limitu jest konieczna. |
InvalidEmail | GCDS próbuje utworzyć użytkownika lub alias e-mail, który istnieje w domenie niebędącej częścią Twojego konta Google. Spróbuj wykonać te czynności:
|
Domain user limit reached | GCDS synchronizuje więcej użytkowników niż pozwalają na to ustawienia Twojego konta. Spróbuj wykonać te czynności:
|
java.lang.RuntimeException: javax.naming.InvalidNameException: [LDAP: error code 34 - invalid DN] |
Podstawowa nazwa wyróżniająca określona w Menedżerze konfiguracji może wskazywać obiekt, który nie istnieje na serwerze LDAP. Sprawdź podstawową nazwę wyróżniającą określoną w sekcjach filtrowania połączenia LDAP, użytkownika, grupy, profilu i kontaktów udostępnionych. Upewnij się, że w każdym przypadku jako podstawowa nazwa wyróżniająca jest używany istniejący obiekt. |
java.security.cert. CertPathValidatorException: revocation status check failed: no CRL found |
Inna usługa lub urządzenie sieciowe uniemożliwia GCDS skontaktowanie się z urzędem certyfikacji na potrzeby certyfikatu HTTPS używanego przez interfejsy API. Sprawdź, czy istnieją reguły zapory lub serwera proxy, które mogą ograniczać połączenia z komputera z uruchomionym narzędziem GCDS.
Jeśli komputer z uruchomionym narzędziem GCDS wymaga serwera proxy do nawiązywania połączenia z siecią, musisz odpowiednio skonfigurować ten serwer. Aby obejść ten problem, możesz wyłączyć sprawdzanie listy odwołanych certyfikatów (CRL). Aby wyłączyć sprawdzanie CRL, dodaj następujące wiersze w plikach config-manager.vmoptions i sync-cmd.vmoptions w katalogu instalacyjnym GCDS: Więcej informacji znajdziesz w temacie Jak GCDS sprawdza listy odwołanych certyfikatów. |
javax.naming.directory. InvalidSearchFilterException: Unbalanced parenthesis; remaining name |
Zapytania określone na jednej lub kilku z poniższych stron Menedżera konfiguracji nie mają dopasowanych nawiasów:
|
Root exception is javax.naming. CommunicationException: servername:389 |
GCDS nie może znaleźć serwera LDAP o podanej nazwie. Upewnij się, że została wpisana pełna i jednoznaczna nazwa domeny serwera LDAP, i sprawdź, czy komputer z uruchomionym narzędziem GCDS może znaleźć ten serwer.
Uwaga: podczas używania Active Directory należy zawsze korzystać z pełnej i jednoznacznej nazwy domeny jako nazwy serwera. |
SSL peer shut down incorrectly | Ten problem jest zwykle spowodowany wymuszaniem ruchu przez serwer proxy. Jeśli korzystasz z serwera proxy, musisz skonfigurować ustawienia serwera proxy GCDS.
Upewnij się, że GCDS może łączyć się z tymi adresami URL i portami, wykonując czynności opisane w artykule o zezwalaniu na dostęp do adresów URL i portów. Oprogramowanie zabezpieczające na komputerze lokalnym może powodować problemy z połączeniem. Poproś administratora o wyłączenie wszystkich programów zabezpieczających na komputerze klienckim i spróbuj jeszcze raz. |
You are not authorized to access this API | Sprawdź, czy zostały włączone wymagane interfejsy API Google.
Więcej informacji znajdziesz w artykule Autoryzowanie swojego konta Google. |
Domain user limit exceeded | Próbujesz dodać więcej użytkowników niż masz licencji. Skontaktuj się z przedstawicielem handlowym, aby kupić więcej licencji użytkowników. Możesz też zmienić zapytania LDAP, by synchronizować mniej użytkowników. |
java.lang.RuntimeException: Failed to execute query because the object at Base DN: "DC=domain,DC=com" is missing or inaccessible | Rozpocznij od sprawdzenia nazwy domeny na karcie konfiguracji LDAP i we wszystkich regułach wyszukiwania, w których jest zdefiniowane zastąpienie nazwy domeny. Jeśli to nie rozwiąże problemu i masz pewność, że nazwa wyróżniająca jest prawidłowa, to przyczyna może być związana z rozpoznawaniem nazw DNS. W dzienniku możesz znaleźć dodatkowe informacje o błędach, takie jak:
Te błędy oznaczają, że host odrzuca połączenie lub limit czasu na nawiązanie połączenia jest przekraczany. Spróbuj przeprowadzić wyszukiwanie DNS dla nazwy tego hosta i upewnij się, że wszystkie zwrócone adresy są prawidłowe i umożliwiają nawiązanie połączenia na skonfigurowanym przez Ciebie porcie. Uwaga: te błędy mogą wystąpić nawet w przypadku określenia prawidłowych danych nazwy hosta lub adresu IP w konfiguracji GCDS. Active Directory może wysłać odpowiedź odwołującą się do LDAP, instruując GCDS do nawiązania połączenia przez hosta. To odwołanie może w rzeczywistości wskazywać nazwę hosta, którego nie można rozpoznać. Aby uniknąć takiej sytuacji, możesz ustanowić połączenie z serwerem Active Directory za pośrednictwem portu katalogu globalnego, którego wartość domyślna to 3268. Szczegółowe informacje znajdziesz w dokumentacji firmy Microsoft. |
Character is invalid at location | Niektóre informacje w niestandardowym schemacie są nieprawidłowe. Informacje o limitach dotyczących schematu niestandardowego znajdziesz w sekcji opisującej niestandardowe pola użytkowników w interfejsie Directory API (strona w języku angielskim).
Jeśli masz włączone dzienniki na poziomie śledzenia, możesz też zobaczyć pełne żądanie HTTP dotyczące niestandardowego schematu. |
java.util.concurrent. ExecutionException: java.lang.OutOfMemoryError: GC overhead limit exceeded |
Zdefiniowany limit pamięci został przekroczony, przez co synchronizacja się nie powiodła.
Aby poznać rozwiązanie tego problemu, przeczytaj sekcję Co zrobić, jeśli są wyświetlane błędy związane z pamięcią?. |
Failed trying to connect to the specified LDAP server | GCDS nie może połączyć się z serwerem LDAP. Upewnij się, że:
|
Network problem: Unable to connect to the specified LDAP server | GCDS nie może znaleźć serwera LDAP. Sprawdź, czy komputer, na którym działa GCDS, ma dostęp do określonego hosta i portu. |
Authentication problem: Unable to connect using the credentials supplied | Serwer LDAP odrzuca żądania GCDS z powodu problemu z uwierzytelnianiem.
Sprawdź, czy dane autoryzowanego użytkownika i jego hasło są prawidłowe. Dodaj autoryzowanego użytkownika, używając jego pełnej nazwy wyróżniającej. Szczegółowe informacje na temat dodawania autoryzowanego użytkownika znajdziesz w sekcji Ustawienia połączenia LDAP. |
Failed to execute query at Base DN <base-dn> | GCDS nie może połączyć się z podstawową nazwą wyróżniającą. Upewnij się, że:
|
Failed to execute query at Base DN <base-dn> for attribute: <attribute>, reason: NameNotFoundException | GCDS nie może pobrać informacji z serwera LDAP. Upewnij się, że:
|
Member already exists |
Ten błąd może się pojawić w tych przypadkach:
Odznacz pole lub zmień jedną z nazw użytkowników w aliasach. Jeśli w dziennikach pojawi się taki komunikat: „Błąd podczas dodawania użytkownika [adres e-mail użytkownika] do grupy [adres e-mail grupy] z powodu zbieżności adresów”, sprawdź, czy:
|
Powiązany artykuł
Rozwiązywanie typowych problemów z GCDS
Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.