Memecahkan masalah GCDS umum

Berikut cara memecahkan masalah yang mungkin Anda alami saat mengonfigurasi Google Cloud Directory Sync (GCDS). Anda juga dapat melihat Masalah Umum Google Workspace untuk mengetahui info lainnya.

Penyiapan & konfigurasi  |  Error  |  Pengguna & grup  |  Kontak & kalender  |  Aturan

Mencoba Penganalisis Log

Kirim log rekaman aktivitas Anda ke Penganalisis Log Toolbox Google Admin. Sebagian besar masalah dapat diidentifikasi dalam waktu singkat setelah pengiriman.

Buka semua   |   Tutup semua

Penyiapan & konfigurasi

Memecahkan masalah konfigurasi menggunakan Configuration Manager

Jika Anda mengalami masalah menjalankan sinkronisasi dengan semestinya, pastikan informasi konfigurasi sudah benar di Configuration Manager dan catat pengujian yang gagal:

  1. Di Configuration Manager, buka file XML yang Anda gunakan untuk mengonfigurasi sinkronisasi.
  2. Di halaman Sambungan LDAP, klik Uji Sambungan untuk mengonfirmasi bahwa Anda dapat terhubung ke server LDAP.
  3. Di halaman Notifikasi, klik Uji Notifikasi untuk mengonfirmasi bahwa Anda dapat mengirim notifikasi pengujian.
  4. Di halaman Sinkronisasi, klik Simulasikan Sinkronisasi untuk mengonfirmasi bahwa Anda telah melengkapi semua bidang yang wajib diisi dan untuk mengonfirmasi bahwa sinkronisasi telah berjalan.
Memecahkan masalah konfigurasi dengan file log

Untuk memecahkan masalah konfigurasi menggunakan file log, kirim log yang dibuat ke Penganalisis Log.

Sebagian besar masalah dapat diidentifikasi dalam waktu singkat setelah pengiriman.

Bagaimana cara GCDS memeriksa daftar pencabutan sertifikat?

GCDS harus memvalidasi sertifikat Secure Sockets Layer (SSL) saat terhubung ke Google API (melalui HTTPS) dan LDAP melalui SSL dengan menghubungkan ke penyedia daftar pembatalan sertifikat (CRL) melalui HTTP. Terkadang, validasi ini gagal yang biasanya disebabkan oleh proxy atau firewall yang memblokir permintaan HTTP.

Pastikan bahwa server GCDS dapat mengakses URL berikut melalui HTTP (port 80):

  • http://crl.geotrust.com/crls/gtglobal.crl
  • http://g.symcb.com/crls/gtglobal.crl
  • http://crl.pki.goog/GTS1O1core.crl
  • http://crl.pki.goog/gsr2/gsr2.crl

Untuk mengetahui detail tentang CRL saat ini, buka Pemeriksaan CRL.

URL tambahan mungkin diperlukan jika Anda menggunakan sertifikat milik sendiri untuk LDAP melalui SSL.

Jika tidak dapat mengaktifkan akses CRL, Anda dapat menonaktifkan pemeriksaan CRL. Untuk melakukannya, edit file sync-cmd.vmoptions dan config-manager.vmoptions di direktori tempat GCDS diinstal dan tambahkan baris berikut:

  • -Dcom.sun.net.ssl.checkRevocation=false

  • -Dcom.sun.security.enableCRLDP=false

Apakah saya perlu server notifikasi untuk menjalankan simulasi sinkronisasi?

Untuk menjalankan simulasi sinkronisasi, Anda memerlukan server yang dapat mengirim email. Jika menjalankan GCDS pada komputer server email, Anda dapat menggunakan alamat IP 127.0.0.1 untuk server email Anda. Jika tidak, hubungi administrator email untuk informasi email yang benar.

Bagaimana cara mengaktifkan logging HTTP lengkap untuk permintaan API?

Dalam kasus yang jarang terjadi, Dukungan Google Cloud mungkin meminta Anda untuk mengaktifkan pencatatan log HTTP lengkap di samping mengaktifkan pencatatan log tingkat pelacakan pada GCDS. Pencatatan log HTTP lengkap digunakan untuk melihat permintaan API yang sama persis dengan yang dibuat oleh GCDS dan respons yang diberikan oleh Google API.

Penting: Log HTTP lengkap dapat berisi informasi yang sangat sensitif. Hapus informasi sensitif apa pun (seperti kolom refresh_token atau access_token saat ini) sebelum mengirim log ke dukungan. 

Untuk mengaktifkan logging HTTP lengkap:

  1. Pastikan GCDS tidak berjalan dengan sync-cmd maupun Configuration Manager.
  2. Buka folder penginstalan GCDS.
  3. Edit file jre/lib/logging.properties.
  4. Tambahkan baris berikut ke bagian akhir file:

    java.util.logging.FileHandler.pattern = %h/gcdshttp%u.%g.log
    java.util.logging.FileHandler.limit = 5000000
    java.util.logging.FileHandler.count = 100
    java.util.logging.FileHandler.formatter = java.util.logging.SimpleFormatter
    handlers = java.util.logging.FileHandler
    com.google.api.client.http.level = CONFIG

    com.google.gdata.client.http.HttpGDataRequest.level = ALL
    sun.net.www.protocol.http.HttpURLConnection.level = ALL

  5. Simpan file.
  6. Jalankan sinkronisasi GCDS lain (dengan logging disetel ke Pelacakan).

    File log bernama gcdshttp*.log dibuat di homedir (Linux) atau folder profil (Microsoft Windows). Arsipkan file ini bersama-sama karena ukurannya bisa sangat besar.

  7. Hapus baris yang ditambahkan pada langkah 4 untuk mencegah file log berukuran besar dibuat di masa mendatang.

Kemudian, sediakan file berikut untuk mendukung:

  • File XML yang digunakan.
  • Log tingkat jejak dari sinkronisasi terbaru.
  • File gcdshttp*.log yang dibuat oleh sinkronisasi.

Dengan menggunakan log ini, dukungan dapat melihat informasi yang diberikan oleh Directory API ke GCDS dan cara GCDS menanggapinya.

Catatan: Jika ingin menggunakan proxy debug, seperti Fiddler, dengan GCDS, Anda perlu mengekspor sertifikat Fiddler, menambahkannya ke GCDS, dan menonaktifkan pemeriksaan CRL. Anda kemudian dapat menyetel Fiddler sebagai server proxy di GCDS (biasanya 127.0.0.1 pada port 8888) dan sambungan dicatat di log oleh Fiddler. Untuk mengetahui detail tentang cara mengimpor root certificate Fiddler ke truststore Java GCDS, buka Error terkait sertifikat.

Bagaimana cara membuka file XML yang disimpan di komputer lain atau sebagai pengguna lain?

Lihat Bekerja dengan file konfigurasi untuk mengetahui petunjuk tentang cara membuka file XML yang disimpan di komputer lain, atau sebagai pengguna lain di komputer yang sama.

Saya beralih ke LDAP+SSL dan sekarang sinkronisasi saya lambat

Jika Anda telah beralih ke LDAP+SSL dan proses sinkronisasi jadi lambat: 

  1. Tutup Configuration Manager.
  2. Pada direktori penginstalan GCDS, buka file sync-cmd.vmoptions dan config-manager.vmoptions menggunakan editor teks.

    Catatan: Direktori penginstalan biasanya terdapat di C:\Program Files\Google Cloud Directory Sync (Windows) atau ~/GoogleCloudDirSync (Linux).

  3. Edit file untuk menambahkan baris berikut:

    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Simpan file dan coba sinkronisasi lagi.

Error

Error terkait sertifikat Bagaimana jika sinkronisasi menyebabkan error atau konflik EntityDoesNotExist/EntityExists?

Di file konfigurasi XML Anda, aktifkan opsi useDynamicMaxCacheLifetime. Opsi ini mengonfigurasi GCDS agar menyimpan data dalam cache selama maksimum 8 hari, dan menghapus cache lebih sering dalam kumpulan data ukuran kecil hingga sedang untuk mengurangi kemungkinan data yang disimpan dalam cache menjadi usang atau bentrok dengan data baru. Opsi useDynamicMaxCacheLifetime bersifat otomatis dalam konfigurasi yang dibuat dengan GCDS 3.2.1 dan versi lebih baru.

Catatan: Error ini biasanya terjadi saat modifikasi dilakukan secara langsung di domain Google. Saat menggunakan GCDS untuk sinkronisasi, sebaiknya jangan lakukan perubahan ke domain Google secara langsung. Sebagai gantinya, lakukan perubahan terhadap pengguna, grup, dan entitas lainnya di direktori LDAP. Selanjutnya, gunakan GCDS untuk menyinkronkan domain Google Anda.

Bagaimana jika saya melihat error terkait memori?

Jika melihat error terkait memori, Anda perlu menambah ukuran heap untuk Mesin Virtual Java. Tingkatkan ukuran heap dengan mengedit file sync-cmd.vmoptions dan config-manager.vmoptions di direktori penginstalan GCDS. Entri yang relevan akan terlihat seperti ini:

  • -Xmx1000m (jumlah maksimum memori yang dialokasikan untuk ukuran heap)
  • -Xms64m (jumlah minimum memori yang dialokasikan untuk ukuran heap)

Edit file sync-cmd.vmoptions dan config-manager.vmoptions agar perubahan dapat diterapkan ke versi sync-cmd dan Configuration Manager.

Edit jumlah -Xmx untuk meningkatkan jumlah memori. Huruf "m" yang ditulis setelah jumlah menunjukkan bahwa memori diukur dalam megabyte (MB). Jumlah memori yang tepat bergantung pada banyaknya server GCDS yang tersedia dan banyaknya memori yang diperlukan GCDS untuk sinkronisasi. Anda mungkin harus merevisi jumlahnya beberapa kali untuk menetapkan ukuran yang tepat. Untuk informasi selengkapnya tentang jumlah RAM kosong yang diperlukan untuk menjalankan GCDS, baca Persyaratan sistem untuk GCDS.

Mengapa GCDS terus menampilkan error ketika cache dinonaktifkan?

Hal ini mungkin karena masalah konfigurasi, seperti error konfigurasi aturan pengecualian. Jenis error konfigurasi ini dapat disembunyikan dengan penyimpanan cache GCDS. 

GCDS menyimpan cache data untuk layanan Google Anda (seperti Google Workspace atau Cloud Identity) selama maksimum 8 hari. GCDS dapat lebih sering menghapus cache, bergantung pada ukuran data cache. Namun, jika cache tidak dihapus, Anda mungkin tidak melihat perubahan hingga 8 hari. 

Anda dapat menghapus cache secara manual:

  • Jalankan sikronisasi dari Configuration Manager dan pilih untuk menghapus cache ketika melakukan sinkronisasi.
  • Gunakan baris perintah flag -f untuk memaksa pembersihan cache.
  • Ubah file konfigurasi XML untuk menetapkan nilai maxCacheLifetime ke 0.

Penting: Memaksa pembersihan cache dapat meningkatkan waktu sinkronisasi secara signifikan.

Misalnya, Anda menyinkronkan data LDAP dan membuat grup baru untuk layanan Google (seperti   Google Workspaceatau Cloud Identity). Kemudian, Anda membuat aturan pengecualian untuk mengecualikan grup tersebut dari sinkronisasi berikutnya. Aturan pengecualian tersebut tidak dikonfigurasi dengan benar dan akan gagal. Namun, sinkronisasi berikutnya menggunakan data cache dan grup tetap berada di layanan Google. Saat Anda menyinkronkan kembali dengan menghapus cache, kesalahan konfigurasi mengakibatkan grup dihapus dari layanan Google.

Pengguna & grup

Mengapa beberapa pengguna tidak disinkronkan sebagai anggota grup?

Untuk menyinkronkan anggota grup secara terpisah dari hasil aturan penelusuran pengguna apa pun, GCDS mengaktifkan opsi INDEPENDENT_GROUP_SYNC secara default. Jika Anda menggunakan atribut referensi anggota untuk sinkronisasi grup, GCDS mencoba menyelesaikan alamat email setiap pengguna pada direktori LDAP, terlepas dari aturan penelusuran pengguna apa pun.

Untuk menyinkronkan anggota grup hanya berdasarkan hasil aturan penelusuran anggota, nonaktifkan INDEPENDENT_GROUP_SYNC. GCDS:

  • Menggunakan hasil aturan penelusuran pengguna untuk menyelesaikan keanggotaan grup
  • Hanya disinkronkan sebagai anggota grup yang disertakan pengguna tersebut di sinkronisasi pengguna Anda 
  • Menjalankan aturan penelusuran pengguna, meski Anda menonaktifkan sinkronisasi akun pengguna di Setelan Umum

    (Namun, hasil tersebut tidak akan disinkronkan ke Google sebagai pengguna tetapi anggota grup, jika pengguna yang memenuhi syarat juga memenuhi syarat sebagai anggota grup.)

Biasanya, ini bukanlah cara kerja sinkronisasi yang Anda inginkan, terutama jika Anda menyinkronkan ulang kontak bersama dan memiliki anggota grup yang tercantum dalam kontak. Dalam hal ini, kontak tidak akan disinkronkan sebagai anggota grup.

Mengapa beberapa pengguna atau grup dibuat ulang pada setiap sinkronisasi?

Hal ini terjadi saat atribut LDAP yang dikonfigurasi sebagai Atribut Nama Grup tidak berisi alamat email lengkap. Untuk menyelesaikan masalah ini, periksa aturan Penelusuran Grup dan pastikan bahwa GCDS menggunakan alamat email lengkap untuk nama grup. Gunakan salah satu metode berikut:

  • Setel Atribut Nama Grup ke atribut LDAP lain yang menentukan alamat email lengkap untuk setiap grup, misalnya email.
  • Aktifkan Ganti nama domain di alamat email LDAP di Setelan Domain Google, sehingga Atribut Nama Grup Anda sesuai dengan nama grup sisi Google.
  • Tambahkan nama domain ke nama grup dengan menentukan Akhiran Nama Grup di Aturan Penelusuran Grup Anda.
Grup dengan lebih dari 1.500 anggota di Active Directory tidak disinkronkan dengan benar

Pastikan Anda memilih MS Active Directory pada kolom jenis server bagian Konfigurasi LDAP.

Bagaimana cara menggunakan opsi "Ganti nama domain di alamat email LDAP"?

Opsi ini (ditampilkan sebagai SUPPRESS_DOMAIN dalam file XML) digunakan jika alamat email di direktori LDAP berada di domain yang berbeda dengan domain Google Anda. Saat Anda mengaktifkannya, GCDS menghilangkan bagian domain semua alamat email yang telah dibaca.

Pemrosesan apa pun diselesaikan tanpa nama domain. Jika menggunakan aturan pengecualian berdasarkan alamat email, Anda hanya perlu mempertimbangkan bagian lokal alamat email untuk aturan pengecualian.

Misalnya, jika menonaktifkan Ganti nama domain di alamat email LDAP dan membuat aturan pengecualian Pencocokan Persis, Anda dapat memasukkan johndoe@example.com sebagai alamat email pengguna yang ingin dicocokkan. Jika telah mengaktifkan Ganti nama domain di alamat email LDAP, Anda hanya perlu menggunakan johndoe. Mencoba mencocokkan johndoe@example.com tidak akan berfungsi, karena @example.com dihilangkan sebelum dibandingkan.

Dapatkah saya mengumpulkan grup statis dan dinamis?

Saat menyediakan grup menggunakan GCDS, Anda tidak dapat mengumpulkan grup dinamis di bawah grup statis (atau grup statis di bawah kelompok dinamis). GCDS mewajibkan grup statis dikuerikan secara terpisah dari grup dinamis, namun semua grup bertingkat harus menjadi bagian dari kueri yang sama.

Temukan cara menerapkan grup dinamis sebagai grup statis, mungkin dengan mengotomatiskan tugas yang mengajukan kueri setiap grup dinamis secara berkala untuk mengisi grup statis dalam direktori. Kemudian, GCDS dapat menggunakan grup statis (seperti yang dibuat dari grup dinamis) untuk menyediakan dan tidak menyediakan grup dinamis.

Kontak & kalender

Mengapa saya melihat kontak duplikat di direktori domain setelah melakukan sinkronisasi dengan GCDS?

Hal ini biasanya terjadi jika Anda menyinkronkan kontak bersama dan aturan penelusuran dibuat dengan tidak tepat.

Ada 2 jenis objek relevan yang dapat Anda sinkronkan dengan GCDS:

  • Profil pengguna—Pengguna di domain Google dengan data tambahan seperti nomor telepon atau alamat. Anda hanya dapat menyinkronkan profil untuk pengguna yang ada di domain Anda.
  • Kontak bersama—Kontak pihak eksternal yang perlu dihubungi oleh pengguna di domain Anda.

Untuk menyelesaikan masalah ini, perbaiki aturan penelusuran kontak bersama agar mengecualikan pengguna di domain milik Anda. Pada sinkronisasi berikutnya, GCDS berupaya untuk menghapus kontak berlebih. Anda mungkin harus menyesuaikan batas penghapusan kontak bersama untuk sinkronisasi pertama tersebut.

Mengapa beberapa pengguna tidak melihat lokasi kerja utama mereka di Google Kalender?

Dalam situasi tertentu, pengguna tidak melihat lokasi kerja utama mereka di Google Kalender saat menjadwalkan atau mengatur rapat.

Jika Anda melihat masalah ini, pastikan jenis lokasi dan atribut area ditetapkan ke "desk".

Aturan

Mengapa aturan penelusuran tidak menemukan apa pun?

Jika Anda mengalami masalah dengan hasil penelusuran, periksa: 

  • Cakupan aturan. Anda mungkin perlu menetapkan cakupan ke Sub-tree.
  • Aturan penelusuran yang Anda gunakan sudah benar.
  • Atribut yang digunakan ada dan dapat dilihat.
  • Kueri LDAP Anda. Verifikasi kueri di server LDAP menggunakan nama pengguna admin yang sama dengan yang dikonfigurasi di GCDS.

Untuk mengetahui detail selengkapnya, buka Menggunakan aturan penelusuran LDAP untuk menyinkronkan data.

Saat membuat aturan pengecualian, mengapa saya tidak dapat melihat tombol Oke?

Anda mungkin menggunakan ukuran font yang terlalu besar untuk layar. Kotak dialog tidak berfungsi dengan font yang besar atau ekstra besar. Ubah ukuran font atau edit file XML secara langsung.


Google, Google Workspace, serta merek dan logo yang terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang masing-masing perusahaan yang terkait.
Apakah ini membantu?
Bagaimana cara meningkatkannya?