Сообщения об ошибках GCDS

В таблице ниже перечислены ошибки, которые могут возникать при работе с Google Cloud Directory Sync (GCDS). Эти сведения помогут вам устранить неполадки.

Анализатор журналов

Этот инструмент выявляет большинство неполадок практически сразу.

Подробнее о том, как включить запись в журнал уровня Trace

Сообщения об ошибках и решения

Сообщение об ошибке Описание и решение

Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative names present

Network problem: Unable to connect to the specified LDAP server: simple bind failed: servername:636, reason: SSLHandshakeException - No subject alternative DNS name matching servername found

Общее название (CN) и альтернативное имя субъекта (SAN) в сертификате не соответствуют имени сервера LDAP в файле конфигурации GCDS.

Есть два варианта устранения этой проблемы:

  • Исправьте файл конфигурации GCDS: если вы добавили IP-адрес сервера LDAP в конфигурацию GCDS, введите также его полное доменное имя (FQDN), например dc01.solarmora.com.
  • Добавьте SAN в сертификат. Убедитесь, что в SAN входит имя сервера LDAP, которое вы используете в конфигурации GCDS.

В качестве временного решения вы можете отключить идентификацию конечных точек, добавив новую строку в файл config-manager.vmoptions и sync-cmd.vmoptions в папке установки GCDS (удалите перевод строки, прежде чем добавлять в файлы):

-Dcom.sun.jndi.ldap.object. disableEndpointIdentification=true

sun.security.provider.certpath.SunCertPathBuilder Exception: unable to find valid certification path to requested target

ldap_simple_bind_s() failed: Strong Authentication Required

 Следуйте инструкциям в статье Устранение неполадок, связанных с сертификатом.
InvalidCipherTextException: Invalid encryption parameters. Salt/Iteration/Initialization Vector Если вы используете GCDS на компьютере без графического интерфейса пользователя, возможно, вы не импортировали ключ надлежащим образом. Следуйте инструкциям в разделе Как авторизовать GCDS на компьютере без графического интерфейса пользователя.
java.lang.RuntimeException: Encountered unrecoverable SQLException. The state database specified "path-to-folder\syncState\folder-name" Найдите и удалите папку, указанную в сообщении. Затем запустите синхронизацию заново.
java.sql.SQLException: Invalid checksum on Page

Ещё один процесс пытается получить доступ к папке или файлам кеша одновременно с GCDS.

Чтобы устранить эту неполадку, скачайте и запустите инструмент Process Monitor компании Microsoft. Создайте в нем фильтр, указав в параметрах Path (Путь), Contains (Содержит) и путь к папке\syncState, чтобы определить, какие процессы получают доступ к папке или файлам.

Подробная информация приведена на странице инструмента Process Monitor.
Invalid Input: query Недопустимый запрос в поле поиска пользователей. Удалите его или приведите в соответствие с правилами.

Подробнее о правилах исключения в GCDS
SocketException - Connection reset

Если вы получили такое сообщение в ходе попытки подключения к серверу LDAP, сервер прервал соединение. Возможные причины:

  • Вы используете LDAP+SSL, и сервер LDAP не настроен для получения параметров TLS, поддерживаемых GCDS (например, набора шифров). Проверьте актуальность настроек сервера LDAP и наличие новейших обновлений системы безопасности.
  • Соединение блокируется правилом брандмауэра.
A lock could not be obtained within the time requested Чтобы устранить эту проблему, выполните описанные ниже действия.
  1. Убедитесь, что на компьютере запущен только один экземпляр программы GCDS.

    Вы можете запустить только один экземпляр GCDS, используя один XML-файл.

  2. Чтобы убедиться, что другие процессы не обращаются к базе данных кеша GCDS, перезагрузите систему. Затем запустите синхронизацию повторно.
  3. Если устранить проблему не удается, переименуйте папку SyncState, чтобы программа GCDS создала новую базу данных кеша. Эта папка расположена в домашнем каталоге (Linux) или в папке с профилем пользователя (Windows).
Error 400: invalid_request: The version of the app you're using doesn't include the latest security features to keep you protected. Please make sure to download from a trusted source and update to the latest, most secure version. Убедитесь, что вы используете последнюю версию GCDS. Узнайте, как обновить GCDS.
java.sql.SQLException: Directory <directory> cannot be created. GCDS нужны все разрешения на доступ к каталогу для работы с базой данных синхронизации. Это сообщение может появляться по следующим причинам:
  • GCDS выполняется от имени не того пользователя, который установил это приложение.
  • Со времени установки разрешения изменились.
org.jdom.input.
JDOMParseException:
Error on line 1: Content is not allowed in prolog		 GCDS пытается загрузить файл конфигурации с неподдерживаемой кодировкой.

По умолчанию в GCDS используется кодировка UTF-8. Рекомендуем использовать для файлов конфигурации именно ее, хотя некоторые другие кодировки тоже поддерживаются.

Чтобы решить эту проблему, выполните следующие действия:

  1. Измените кодировку файла конфигурации на UTF-8.
    1. Откройте текстовый редактор.
    2. Сохраните файл в другой кодировке.
  2. Проверьте правильность содержимого файла конфигурации.
  3. Снова попробуйте загрузить файл конфигурации в GCDS.

Самые распространенные из неподдерживаемых кодировок – UTF-7 и UTF-8 BOM.
javax.net.ssl.
SSLHandshakeException:
connection during handshake		 Из-за ошибки сети GCDS не удалось подключиться к серверам Google по протоколу SSL. Возможно, это вызвано слишком медленной маршрутизацией пакета или перебоями связи на стороне интернет-провайдера.

GCDS предпринимает три попытки установить подключение по протоколу SSL. Если в журнале появилось следующее сообщение, значит подключение удалось установить и вам ничего не нужно делать: [usersyncapp.sync.FullSyncAgent] No differences detected, no changes necessary.

Чтобы выяснить причину проблемы, обратитесь к своему администратору сети.
Quota exceeded for the current request

Доступ GCDS к API Google временно заблокирован из-за слишком большого количества запросов. Если вы видите эту ошибку в журналах, ее можно игнорировать.

Если эта ошибка появилась в сводном отчете о синхронизации, а синхронизация не завершилась надлежащим образом, обратитесь в службу поддержки. С подробной информацией можно ознакомиться в статье Какая информация о GCDS необходима для обращения в службу поддержки.
java.lang.RuntimeException:
Unknown LDAP search rule scope "null"		 Не задано значение правила в одном из следующих разделов Диспетчера конфигураций:
  • LDAP Configuration (Конфигурация LDAP)а затемOrg Units (Организационные подразделения) а затемSearch Rules (Правила поиска);
  • LDAP Configuration (Конфигурация LDAP)а затемUsers (Пользователи)а затемUser Sync (Синхронизация пользователей);
  • LDAP Configuration (Конфигурация LDAP)а затемGroups (Группы)а затемGroup Search Rules (Правила поиска групп);
  • LDAP Configuration (Конфигурация LDAP)а затемUser Profiles (Профили пользователей)а затемUser Profiles Sync (Синхронизация профилей пользователей);
  • LDAP Configuration (Конфигурация LDAP)а затемShared Contacts (Общие контакты)а затемContacts Sync (Синхронизация контактов).

Подробная информация приведена в статье Как настроить синхронизацию в Диспетчере конфигураций.
Invalid digest length for password В Диспетчере конфигураций неправильно настроен метод шифрования паролей для синхронизации, или на LDAP-сервере используется метод шифрования, несовместимый с GCDS. Поддерживаемые методы: открытый текст, Base64, MD5 и SHA1. Для синхронизации паролей с каталогом Microsoft Active Directory используйте приложение Password Sync.

Подробнее о синхронизации паролей и обновлении GCDS
0 nested group(s) GCDS не различает пользователей и вложенные группы на LDAP-сервере. Чтобы решить эту проблему, выполните следующие действия:
  1. Добавьте в раздел <features> файла конфигурации следующую строку:
    GROUP_NESTED_GROUPS_AS_USERS
  2. Заключите эту строку в теги <optional>.
  3. Сохраните файл и начните синхронизацию.
Suspend user GCDS может попытаться внести непредвиденные изменения, если синхронизация выполняется с помощью файла конфигурации, копия которого была создана не в Диспетчере конфигураций. Новый файл обращается к тому же кешу, что и исходный, и из-за этого аккаунты пользователей блокируются.

Чтобы создать копию файла конфигурации GCDS, всегда пользуйтесь командой Save As (Сохранить как) в Диспетчере конфигураций. В результате этого новый файл конфигурации будет иметь собственный кеш.

Подробнее о том, как работать с файлами конфигурации
Skipping unknown member Вы используете устаревший XML-файл конфигурации, и приложение GCDS обнаружило участника группы, который не указан в ваших правилах поиска пользователей. В них необходимо включить всех участников и владельцев групп, даже если вы не планируете синхронизировать их аккаунты с доменом Google. Их адреса электронной почты необходимы приложению GCDS для того, чтобы правильно обрабатывать группы.

В качестве альтернативного решения создайте пустой XML-файл конфигурации. Тогда GCDS начнет синхронизацию групп, во время которой инструмент будет обрабатывать аккаунты пользователей независимо от правил синхронизации. Если вы не уверены в выборе, рекомендуем использовать именно этот вариант.

После того как вы создадите новый файл конфигурации или внесете изменения в существующий, не запускайте синхронизацию сразу, а выполните моделирование.

Дополнительную информацию можно найти в разделе о создании списка пользователей.
com.google.data.client.
GoogleServiceException:
Invalid credentials		 Аккаунт администратора, указанный в Диспетчере конфигураций, является обычным пользовательским аккаунтом или его учетные данные введены неправильно.

В Диспетчере конфигураций откройте раздел Google Domain (Домен Google)а затемSettings (Настройки) и проверьте данные аккаунта администратора в разделе Admin Email Address (Адрес электронной почты администратора).

Дополнительные сведения можно найти в разделе о настройках домена Google.
com.google.gdata.util.
ResourceNotFoundException:		 Для атрибута ключа синхронизации, указанного в разделе Shared Contacts (Общие контакты) Диспетчера конфигураций, с LDAP-сервера возвращаются пустые значения. Выберите на LDAP-сервере атрибут, который содержит значения ключей синхронизации для всех ресурсов и не возвращает пустые строки или значение null.
Computed differences exceed
configured deletion limits,
not applying changes		 Вы достигли заданного в GCDS ограничения на удаление или блокировку. Чтобы эта ошибка больше не возникала, измените в GCDS параметр Delete Limits (Квота на удаление) или проверьте журнал синхронизации. Он может содержать дополнительную информацию о том, какие аккаунты будут удалены или заблокированы.
InvalidEmail GCDS пытается создать имя пользователя или псевдоним электронной почты, который уже существует в домене, не относящемся к вашему аккаунту Google. Вы можете сделать следующее:
  • В Диспетчере конфигураций перейдите в раздел User Accounts (Аккаунты пользователей)а затемExclusion Rules (Правила исключений) и создайте правила, исключающие пользователей не из вашего домена.
  • Измените правила поиска так, чтобы в результатах возвращались пользователи только из вашего домена.
  • Добавьте отсутствующий домен в свой аккаунт Google в качестве дополнительного.
Domain user limit reached GCDS синхронизирует больше пользователей, чем позволяет аккаунт. Вы можете сделать следующее:
  • В Диспетчере конфигураций нажмите User Accounts (Аккаунты пользователей)а затемSearch Rules (Правила поиска) и настройте правила поиска так, чтобы в результаты включалось меньше пользователей.
  • Обязательно правильно задайте базовое уникальное имя в Диспетчере конфигураций. Оно должно указывать на корневой каталог, содержащий только те аккаунты пользователей, которые требуется синхронизировать с доменом Google.
java.lang.RuntimeException:
javax.naming.InvalidNameException:
[LDAP: error code 34 - invalid DN]		 Возможно, базовое уникальное имя (DN) в Диспетчере конфигураций указывает на объект, которого нет на LDAP-сервере. Проверьте его значение в фильтрах пользователей, групп, профилей, общих контактов и соединений с LDAP-сервером. В каждом случае уникальное имя должно указывать на существующие объекты.
java.security.cert.
CertPathValidatorException:
revocation status check failed:
no CRL found		 Другой сервис или сетевое устройство не позволяют приложению GCDS связаться с центром сертификации, чтобы получить сертификат HTTPS для API. Проверьте настройки прокси-сервера или брандмауэра. Возможно, они препятствуют установке подключения.

Если для доступа в интернет с компьютера, на котором работает GCDS, используется прокси-сервер, его необходимо правильно настроить.

В качестве решения можно отключить проверку списков отзыва сертификатов. Для этого добавьте в файлы config-manager.vmoptions и sync-cmd.vmoptions в каталоге установки GCDS следующие строки:
-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false

Подробнее о том, как GCDS проверяет списки отзыва сертификатов
javax.naming.directory.
InvalidSearchFilterException:
Unbalanced parenthesis; remaining name		 В запросах на одной или нескольких из следующих страниц в Диспетчере конфигураций есть незакрытые скобки:
  • LDAP Configuration (Конфигурация LDAP)а затемOrg Units (Организационные подразделения)а затемSearch Rules (Правила поиска);
  • LDAP Configuration (Конфигурация LDAP)а затемUsers (Пользователи)а затемUser Sync (Синхронизация пользователей);
  • LDAP Configuration (Конфигурация LDAP)а затемGroups (Группы)а затемGroup Search Rules (Правила поиска групп);
  • LDAP Configuration (Конфигурация LDAP)а затемUser Profiles (Профили пользователей)а затемUser Profiles Sync (Синхронизация профилей пользователей);
  • LDAP Configuration (Конфигурация LDAP)а затемShared Contacts (Общие контакты)а затемContacts Sync (Синхронизация контактов).
Root exception is javax.naming.
CommunicationException:
имя-сервера:389		 GCDS не может разрешить указанное имя LDAP-сервера. Убедитесь, что для сервера задано полное доменное имя, а компьютер, на котором запущено приложение GCDS, может его разрешить.

Примечание. Если вы используете Active Directory, следует всегда указывать полное доменное имя сервера.
SSL peer shut down incorrectly Обычно эта проблема связана с перенаправлением трафика через прокси-сервер. Если вы используете прокси-сервер, настройте на нем разрешения для GCDS.

Убедитесь, что GCDS может подключиться к этим URL и портам: выполните инструкции, приведенные в статье о том, как разрешить доступ к URL и портам.

Препятствовать подключению может антивирусное ПО на локальном компьютере. Попросите администратора отключить все подобные программы на компьютере клиента и повторите попытку.
You are not authorized to access this API Убедитесь, что вы включили требуемые API Google.

Дополнительная информация приводится в статье Авторизация аккаунта Google.
Domain user limit exceeded Число пользователей, которых вы попытались добавить, превышает количество доступных лицензий. Обратитесь к представителю отдела продаж, чтобы приобрести дополнительные лицензии, или синхронизируйте меньше пользователей, настроив запросы LDAP.
java.lang.RuntimeException: Failed to execute query because the object at Base DN: "DC=domain,DC=com" is missing or inaccessible Сначала проверьте базовое уникальное имя (DN) на вкладке LDAP Configuration (Конфигурация LDAP), а также во всех правилах поиска, где вы разрешили перезапись DN.

Если базовое уникальное имя указано правильно, но проблема не исчезает, она может быть связана с DNS-преобразованием. Вы можете найти дополнительную информацию об ошибке в журнале, например:

  • javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: domain.com:389 [Root exception is java.net.ConnectException: Connection refused: connect]]
  • javax.naming.PartialResultException [Root exception is javax.naming.CommunicationException: domain.com:389 [Root exception is java.net.ConnectException: Connection timed out: connect]]

Эти ошибки показывают, что хост отказывает в соединении или время ожидания превышено. Попробуйте запустить на этом хосте DNS-запрос и убедитесь, что все возвращаемые адреса верны и разрешают соединение через порт, который вы указали.

Примечание. Эти ошибки могут возникать, даже если в конфигурации GCDS вы указали верное имя или IP-адрес хоста. Active Directory может возвращать ответ с реферальным LDAP-сервером, требующий от GCDS подключаться через имя хоста, который не отвечает. Этого можно избежать, если подключаться к серверу Active Directory через порт глобального каталога (по умолчанию 3268). Инструкции ищите в документации Microsoft.
Character is invalid at location Специальная схема содержит недопустимые данные. Сведения об ограничениях, которые применяются к специальным схемам, можно найти в статье о пользовательских полях.

Если ваши журналы ведутся на уровне детализации Trace (Трассировка), вы также можете посмотреть полный НТТР-запрос для схемы.
java.util.concurrent.
ExecutionException: java.lang.OutOfMemoryError: GC
overhead limit exceeded		 Превышено установленное ограничение на объем памяти. Это привело к сбою синхронизации.

Чтобы устранить эту проблему, выполните инструкции из раздела Что делать при появлении ошибок, связанных с объемом памяти? статьи об устранении неполадок в GCDS.
Failed trying to connect to the specified LDAP server GCDS не может подключиться к серверу LDAP. Убедитесь, что соблюдены следующие условия:
  • Вы используете нужный протокол. Если LDAP требует использования защищенного протокола, включите LDAP + SSL.
  • Сервер LDAP активен и не имеет проблем с подключением.
Network problem: Unable to connect to the specified LDAP server GCDS не может обнаружить сервер LDAP. Убедитесь, что компьютер с GCDS имеет доступ к указанному хосту и порту.
Authentication problem: Unable to connect using the credentials supplied Сервер LDAP отклоняет запросы GCDS из-за проблем с аутентификацией.

Убедитесь, что имя и пароль авторизованного пользователя введены правильно. Добавлять авторизованного пользователя следует с использованием его полного уникального имени. Подробнее о настройках подключения LDAP
Failed to execute query at Base DN <базовое-уникальное-имя> GCDS не удалось подключиться к базовому уникальному имени. Убедитесь, что соблюдены следующие условия:
  • Базовое уникальное имя существует на сервере LDAP.
  • Авторизованный пользователь имеет разрешения для базового уникального имени. Подробнее о настройках подключения LDAP
Failed to execute query at Base DN <базовое-уникальное-имя> for attribute: <атрибут>, reason: NameNotFoundException GCDS не удается получить данные от сервера LDAP. Убедитесь, что соблюдены следующие условия:
  • Объект <базовое-уникальное-имя> существует и доступен для авторизованного пользователя. Подробнее о настройках подключения LDAP
  • Атрибут <атрибут> существует для объекта <базовое-уникальное-имя> на сервере LDAP.

Member already exists

 Это сообщение может появляться по следующим причинам:
  • Существует участник, для которого основным адресом LDAP является псевдоним адреса в Google Workspace. Старайтесь не допускать такой ситуации. Например, используйте для псевдонима другое имя пользователя.
  • В аккаунте пользователя одно и то же имя используется в двух псевдонимах адресов. Кроме того, на странице Google Domain Configuration (Конфигурация домена Google) вы установили флажок Replace domain names in LDAP email addresses (Заменять доменные имена в адресах электронной почты LDAP).

    Если установить этот флажок, в обоих адресах электронной почты будет прописан домен, указанный в поле Alternate email domain (Дополнительный домен электронной почты).

Снимите этот флажок или измените одно из имен пользователей, указанных для псевдонимов.

Если в журналах также появится сообщение об ошибке при добавлении участника в группу из-за конфликта адресов (Error while adding member электронный-адрес-пользователя to group электронный-адрес-группы due to address collision), возможны следующие причины:

  • Приложение GCDS исключило пользователя с адресом электронный-адрес-пользователя из синхронизации в соответствии с заданными вами правилами исключения. Проверьте их и повторите попытку. Подробнее о правилах исключения в GCDS
  • Вы изменили пользователя или группу вне GCDS. Очистите кеш и повторите попытку.
Invalid Input: INVALID_OU_ID GCDS пытается поместить пользователя в организационное подразделение, которого нет в аккаунте Google организации. Измените правила поиска пользователей и повторите попытку. Подробнее о правилах поиска пользователей

Статьи по теме

Устранение неполадок в GCDS


Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
11823893133486220577
true
Поиск по Справочному центру
true
true
true
false
false