В таблице ниже перечислены ошибки, которые могут возникать при работе с Google Cloud Directory Sync (GCDS). Эти сведения помогут вам устранить неполадки.
Анализатор журналов
Этот инструмент выявляет большинство неполадок практически сразу.
- Загрузите журналы трассировки (в виде несжатых файлов или ZIP-архива) в Анализатор журналов, входящий в Набор инструментов администратора Google.
- Чтобы выполнить расширенный анализ журналов, загрузите несжатые файлы в Анализатор журналов 2.
Подробнее о том, как включить запись в журнал уровня Trace…
Сообщения об ошибках и решения
Сообщение об ошибке | Описание и решение |
---|---|
Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative names present Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative DNS name matching servername found |
Общее название (CN) и альтернативное имя субъекта (SAN) в сертификате не соответствуют имени сервера LDAP в файле конфигурации GCDS. Есть два варианта устранения этой проблемы:
В качестве временного решения вы можете отключить идентификацию конечных точек, добавив новую строку в файл config-manager.vmoptions и sync-cmd.vmoptions в папке установки GCDS (удалите перевод строки, прежде чем добавлять в файлы): -Dcom.sun.jndi.ldap.object. disableEndpointIdentification=true |
sun.security.provider.certpath.SunCertPathBuilder Exception: unable to find valid certification path to requested target ldap_simple_bind_s() failed: Strong Authentication Required |
Следуйте инструкциям в статье Устранение неполадок, связанных с сертификатом. |
InvalidCipherTextException: Invalid encryption parameters. Salt/Iteration/Initialization Vector | Если вы используете GCDS на компьютере без графического интерфейса пользователя, возможно, вы не импортировали ключ надлежащим образом. Следуйте инструкциям в разделе Как авторизовать GCDS на компьютере без графического интерфейса пользователя. |
java.lang.RuntimeException: Encountered unrecoverable SQLException. The state database specified "path-to-folder\syncState\folder-name" | Найдите и удалите папку, указанную в сообщении. Затем запустите синхронизацию заново. |
java.sql.SQLException: Invalid checksum on Page |
Ещё один процесс пытается получить доступ к папке или файлам кеша одновременно с GCDS. Чтобы устранить эту неполадку, скачайте и запустите инструмент Process Monitor компании Microsoft. Создайте в нем фильтр, указав в параметрах Path (Путь), Contains (Содержит) и путь к папке\syncState, чтобы определить, какие процессы получают доступ к папке или файлам. Подробная информация приведена на странице инструмента Process Monitor. |
Invalid Input: query | Недопустимый запрос в поле поиска пользователей. Удалите его или приведите в соответствие с правилами.
Подробнее о правилах исключения в GCDS… |
SocketException - Connection reset |
Если вы получили такое сообщение в ходе попытки подключения к серверу LDAP, сервер прервал соединение. Возможные причины:
|
A lock could not be obtained within the time requested | Чтобы устранить эту проблему, выполните описанные ниже действия.
|
Error 400: invalid_request: The version of the app you're using doesn't include the latest security features to keep you protected. Please make sure to download from a trusted source and update to the latest, most secure version. | Убедитесь, что вы используете последнюю версию GCDS. Узнайте, как обновить GCDS. |
java.sql.SQLException: Directory <directory> cannot be created. | GCDS нужны все разрешения на доступ к каталогу для работы с базой данных синхронизации. Это сообщение может появляться по следующим причинам:
|
org.jdom.input. JDOMParseException: Error on line 1: Content is not allowed in prolog |
GCDS пытается загрузить файл конфигурации с неподдерживаемой кодировкой.
По умолчанию в GCDS используется кодировка UTF-8. Рекомендуем использовать для файлов конфигурации именно ее, хотя некоторые другие кодировки тоже поддерживаются. Чтобы решить эту проблему, выполните следующие действия:
Самые распространенные из неподдерживаемых кодировок – UTF-7 и UTF-8 BOM. |
javax.net.ssl. SSLHandshakeException: connection during handshake |
Из-за ошибки сети GCDS не удалось подключиться к серверам Google по протоколу SSL. Возможно, это вызвано слишком медленной маршрутизацией пакета или перебоями связи на стороне интернет-провайдера.
GCDS предпринимает три попытки установить подключение по протоколу SSL. Если в журнале появилось следующее сообщение, значит подключение удалось установить и вам ничего не нужно делать: [usersyncapp.sync.FullSyncAgent] No differences detected, no changes necessary. Чтобы выяснить причину проблемы, обратитесь к своему администратору сети. |
Quota exceeded for the current request |
Доступ GCDS к API Google временно заблокирован из-за слишком большого количества запросов. Если вы видите эту ошибку в журналах, ее можно игнорировать. Если эта ошибка появилась в сводном отчете о синхронизации, а синхронизация не завершилась надлежащим образом, обратитесь в службу поддержки. С подробной информацией можно ознакомиться в статье Какая информация о GCDS необходима для обращения в службу поддержки. |
java.lang.RuntimeException: Unknown LDAP search rule scope "null" |
Не задано значение правила в одном из следующих разделов Диспетчера конфигураций:
Подробная информация приведена в статье Как настроить синхронизацию в Диспетчере конфигураций. |
Invalid digest length for password | В Диспетчере конфигураций неправильно настроен метод шифрования паролей для синхронизации, или на LDAP-сервере используется метод шифрования, несовместимый с GCDS. Поддерживаемые методы: открытый текст, Base64, MD5 и SHA1. Для синхронизации паролей с каталогом Microsoft Active Directory используйте приложение Password Sync.
Подробнее о синхронизации паролей и обновлении GCDS… |
0 nested group(s) | GCDS не различает пользователей и вложенные группы на LDAP-сервере. Чтобы решить эту проблему, выполните следующие действия:
|
Suspend user | GCDS может попытаться внести непредвиденные изменения, если синхронизация выполняется с помощью файла конфигурации, копия которого была создана не в Диспетчере конфигураций. Новый файл обращается к тому же кешу, что и исходный, и из-за этого аккаунты пользователей блокируются.
Чтобы создать копию файла конфигурации GCDS, всегда пользуйтесь командой Save As (Сохранить как) в Диспетчере конфигураций. В результате этого новый файл конфигурации будет иметь собственный кеш. Подробнее о том, как работать с файлами конфигурации… |
Skipping unknown member | Вы используете устаревший XML-файл конфигурации, и приложение GCDS обнаружило участника группы, который не указан в ваших правилах поиска пользователей. В них необходимо включить всех участников и владельцев групп, даже если вы не планируете синхронизировать их аккаунты с доменом Google. Их адреса электронной почты необходимы приложению GCDS для того, чтобы правильно обрабатывать группы.
В качестве альтернативного решения создайте пустой XML-файл конфигурации. Тогда GCDS начнет синхронизацию групп, во время которой инструмент будет обрабатывать аккаунты пользователей независимо от правил синхронизации. Если вы не уверены в выборе, рекомендуем использовать именно этот вариант. После того как вы создадите новый файл конфигурации или внесете изменения в существующий, не запускайте синхронизацию сразу, а выполните моделирование. Дополнительную информацию можно найти в разделе о создании списка пользователей. |
com.google.data.client. GoogleServiceException: Invalid credentials |
Аккаунт администратора, указанный в Диспетчере конфигураций, является обычным пользовательским аккаунтом или его учетные данные введены неправильно.
В Диспетчере конфигураций откройте раздел Google Domain (Домен Google)Settings (Настройки) и проверьте данные аккаунта администратора в разделе Admin Email Address (Адрес электронной почты администратора). Дополнительные сведения можно найти в разделе о настройках домена Google. |
com.google.gdata.util. ResourceNotFoundException: |
Для атрибута ключа синхронизации, указанного в разделе Shared Contacts (Общие контакты) Диспетчера конфигураций, с LDAP-сервера возвращаются пустые значения. Выберите на LDAP-сервере атрибут, который содержит значения ключей синхронизации для всех ресурсов и не возвращает пустые строки или значение null. |
Computed differences exceed configured deletion limits, not applying changes |
Вы достигли заданного в GCDS ограничения на удаление или блокировку. Чтобы эта ошибка больше не возникала, измените в GCDS параметр Delete Limits (Квота на удаление) или проверьте журнал синхронизации. Он может содержать дополнительную информацию о том, какие аккаунты будут удалены или заблокированы. |
InvalidEmail | GCDS пытается создать имя пользователя или псевдоним электронной почты, который уже существует в домене, не относящемся к вашему аккаунту Google. Вы можете сделать следующее:
|
Domain user limit reached | GCDS синхронизирует больше пользователей, чем позволяет аккаунт. Вы можете сделать следующее:
|
java.lang.RuntimeException: javax.naming.InvalidNameException: [LDAP: error code 34 - invalid DN] |
Возможно, базовое уникальное имя (DN) в Диспетчере конфигураций указывает на объект, которого нет на LDAP-сервере. Проверьте его значение в фильтрах пользователей, групп, профилей, общих контактов и соединений с LDAP-сервером. В каждом случае уникальное имя должно указывать на существующие объекты. |
java.security.cert. CertPathValidatorException: revocation status check failed: no CRL found |
Другой сервис или сетевое устройство не позволяют приложению GCDS связаться с центром сертификации, чтобы получить сертификат HTTPS для API. Проверьте настройки прокси-сервера или брандмауэра. Возможно, они препятствуют установке подключения.
Если для доступа в интернет с компьютера, на котором работает GCDS, используется прокси-сервер, его необходимо правильно настроить. В качестве решения можно отключить проверку списков отзыва сертификатов. Для этого добавьте в файлы config-manager.vmoptions и sync-cmd.vmoptions в каталоге установки GCDS следующие строки: Подробнее о том, как GCDS проверяет списки отзыва сертификатов… |
javax.naming.directory. InvalidSearchFilterException: Unbalanced parenthesis; remaining name |
В запросах на одной или нескольких из следующих страниц в Диспетчере конфигураций есть незакрытые скобки:
|
Root exception is javax.naming. CommunicationException: имя-сервера:389 |
GCDS не может разрешить указанное имя LDAP-сервера. Убедитесь, что для сервера задано полное доменное имя, а компьютер, на котором запущено приложение GCDS, может его разрешить.
Примечание. Если вы используете Active Directory, следует всегда указывать полное доменное имя сервера. |
SSL peer shut down incorrectly | Обычно эта проблема связана с перенаправлением трафика через прокси-сервер. Если вы используете прокси-сервер, настройте на нем разрешения для GCDS.
Убедитесь, что GCDS может подключиться к этим URL и портам: выполните инструкции, приведенные в статье о том, как разрешить доступ к URL и портам. Препятствовать подключению может антивирусное ПО на локальном компьютере. Попросите администратора отключить все подобные программы на компьютере клиента и повторите попытку. |
You are not authorized to access this API | Убедитесь, что вы включили требуемые API Google.
Дополнительная информация приводится в статье Авторизация аккаунта Google. |
Domain user limit exceeded | Число пользователей, которых вы попытались добавить, превышает количество доступных лицензий. Обратитесь к представителю отдела продаж, чтобы приобрести дополнительные лицензии, или синхронизируйте меньше пользователей, настроив запросы LDAP. |
java.lang.RuntimeException: Failed to execute query because the object at Base DN: "DC=domain,DC=com" is missing or inaccessible | Сначала проверьте базовое уникальное имя (DN) на вкладке LDAP Configuration (Конфигурация LDAP), а также во всех правилах поиска, где вы разрешили перезапись DN.
Если базовое уникальное имя указано правильно, но проблема не исчезает, она может быть связана с DNS-преобразованием. Вы можете найти дополнительную информацию об ошибке в журнале, например:
Эти ошибки показывают, что хост отказывает в соединении или время ожидания превышено. Попробуйте запустить на этом хосте DNS-запрос и убедитесь, что все возвращаемые адреса верны и разрешают соединение через порт, который вы указали. Примечание. Эти ошибки могут возникать, даже если в конфигурации GCDS вы указали верное имя или IP-адрес хоста. Active Directory может возвращать ответ с реферальным LDAP-сервером, требующий от GCDS подключаться через имя хоста, который не отвечает. Этого можно избежать, если подключаться к серверу Active Directory через порт глобального каталога (по умолчанию 3268). Инструкции ищите в документации Microsoft. |
Character is invalid at location | Специальная схема содержит недопустимые данные. Сведения об ограничениях, которые применяются к специальным схемам, можно найти в статье о пользовательских полях.
Если ваши журналы ведутся на уровне детализации Trace (Трассировка), вы также можете посмотреть полный НТТР-запрос для схемы. |
java.util.concurrent. ExecutionException: java.lang.OutOfMemoryError: GC overhead limit exceeded |
Превышено установленное ограничение на объем памяти. Это привело к сбою синхронизации.
Чтобы устранить эту проблему, выполните инструкции из раздела Что делать при появлении ошибок, связанных с объемом памяти? статьи об устранении неполадок в GCDS. |
Failed trying to connect to the specified LDAP server | GCDS не может подключиться к серверу LDAP. Убедитесь, что соблюдены следующие условия:
|
Network problem: Unable to connect to the specified LDAP server | GCDS не может обнаружить сервер LDAP. Убедитесь, что компьютер с GCDS имеет доступ к указанному хосту и порту. |
Authentication problem: Unable to connect using the credentials supplied | Сервер LDAP отклоняет запросы GCDS из-за проблем с аутентификацией.
Убедитесь, что имя и пароль авторизованного пользователя введены правильно. Добавлять авторизованного пользователя следует с использованием его полного уникального имени. Подробнее о настройках подключения LDAP… |
Failed to execute query at Base DN <базовое-уникальное-имя> | GCDS не удалось подключиться к базовому уникальному имени. Убедитесь, что соблюдены следующие условия:
|
Failed to execute query at Base DN <базовое-уникальное-имя> for attribute: <атрибут>, reason: NameNotFoundException | GCDS не удается получить данные от сервера LDAP. Убедитесь, что соблюдены следующие условия:
|
Member already exists |
Это сообщение может появляться по следующим причинам:
Снимите этот флажок или измените одно из имен пользователей, указанных для псевдонимов. Если в журналах также появится сообщение об ошибке при добавлении участника в группу из-за конфликта адресов (Error while adding member электронный-адрес-пользователя to group электронный-адрес-группы due to address collision), возможны следующие причины:
|
Invalid Input: INVALID_OU_ID | GCDS пытается поместить пользователя в организационное подразделение, которого нет в аккаунте Google организации. Измените правила поиска пользователей и повторите попытку. Подробнее о правилах поиска пользователей… |
Статьи по теме
Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.