Rozwiązywanie typowych problemów z GCDS

Jeśli masz problemy z prawidłowym działaniem synchronizacji, sprawdź poprawność informacji konfiguracyjnych w Menedżerze konfiguracji i zanotuj, który test się nie powiódł:

1. W Menedżerze konfiguracji otwórz plik XML, którego używasz do konfigurowania synchronizacji.
2. Na stronie LDAP Connections (Połączenia LDAP) kliknij Test Connections (Testuj połączenia), aby sprawdzić, czy możesz połączyć się z serwerem LDAP.
3. Na stronie Notifications (Powiadomienia) kliknij Test Notification (Powiadomienie testowe), aby sprawdzić, czy możesz wysłać powiadomienie testowe.
4. Na stronie Sync (Synchronizacja) kliknij Simulate Sync (Symulacja synchronizacji), aby sprawdzić, czy wszystkie wymagane pola są wypełnione i synchronizacja działa.

W rzadkich przypadkach pracownik pomocy Google Cloud może poprosić o włączenie w GCDS pełnego rejestrowania HTTP oraz rejestrowania na poziomie śledzenia. Pełne rejestrowanie HTTP jest używane do sprawdzania żądań interfejsu API wysyłanych przez GCDS oraz odpowiedzi interfejsu API Google.

Ważne: pełne dzienniki HTTP mogą zawierać informacje poufne. Zanim wyślesz dzienniki do działu pomocy, usuń wszystkie informacje poufne, takie jak wartości w polach tokenu odświeżania (refresh_token) czy tokenu dostępu (access_token).

Aby włączyć pełne rejestrowanie HTTP:

1. Upewnij się, że narzędzie GCDS jest wyłączone (przy użyciu polecenia sync-cmd lub Menedżera konfiguracji).
2. Przejdź do folderu instalacyjnego GCDS.

3. Otwórz do edycji plik jre/lib/logging.properties.

4. Na końcu pliku dodaj te wiersze:

   java.util.logging.FileHandler.pattern = %h/gcdshttp%u.%g.log
java.util.logging.FileHandler.limit = 5000000
java.util.logging.FileHandler.count = 100
java.util.logging.FileHandler.formatter = java.util.logging.SimpleFormatter
handlers = java.util.logging.FileHandler
com.google.api.client.http.level = CONFIG

com.google.gdata.client.http.HttpGDataRequest.level = ALL
sun.net.www.protocol.http.HttpURLConnection.level = ALL

5. Zapisz plik.
6. Uruchom kolejną synchronizację GCDS z rejestrowaniem ustawionym na Trace (Śledzenie).

   Pliki dziennika o nazwie gcdshttp*.log są tworzone w katalogu domowym (Linux) lub folderze profilu (Microsoft Windows). Zarchiwizuj te pliki, bo mogą być dość duże.

7. Aby zapobiec tworzeniu dużych plików w przyszłości, usuń wiersze dodane w kroku 4.

Następnie przekaż zespołowi pomocy następujące pliki:

• użyty plik XML,
• dzienniki na poziomie śledzenia z ostatniej synchronizacji,

• Pliki gcdshttp*.log wygenerowane podczas synchronizacji.

Korzystając z tych dzienników, pracownik pomocy może sprawdzić informacje udostępnione GCDS przez interfejs Directory API oraz odpowiedź GCDS.

Treść zarejestrowanego żądania i odpowiedzi ma limit rozmiaru wynoszący 16 KB. Jeśli wpis logu został obcięty z powodu przekroczenia tego limitu, użyj Fiddlera zgodnie z opisem poniżej.

Uwaga: jeśli wraz z GCDS chcesz korzystać z serwera proxy debugowania, takiego jak Fiddler, musisz zaktualizować pliki .vmoptions, aby umożliwić GCDS korzystanie z magazynu zaufanych certyfikatów systemu Windows, i wyłączyć testy CRL. Następnie możesz ustawić Fiddlera jako serwer proxy w GCDS (zwykle jest to adres 127.0.0.1 i port 8888). Połączenie będzie rejestrowane przez Fiddlera. Jeśli używasz GCDS w systemie Linux, nie możesz korzystać z magazynu zaufanych certyfikatów systemu Windows, więc musisz zaimportować certyfikat główny Fiddlera do magazynu zaufanych certyfikatów Java GCDS. Więcej informacji znajdziesz w artykule Importowanie certyfikatu serwera.

Instrukcje otwierania pliku XML, który został zapisany na innym komputerze lub przez innego użytkownika na tym samym komputerze, możesz znaleźć w artykule Praca z plikami konfiguracji.

Jeśli dane LDAP w dziennikach na poziomie śledzenia nie są zgodne z oczekiwaniami w przypadku serwera LDAP (na przykład nie można znaleźć użytkownika lub atrybut ma nieprawidłową wartość), wyeksportuj dane z katalogu LDAP w formacie LDIF. Zespół pomocy może porównać dane z danymi LDAP z dzienników GCDS.

Po wyeksportowaniu danych użyj narzędzia do wysyłania zapytań LDAP, takiego jak ldapsearch (Linux) lub ldifde (Windows), i przeprowadź symulację warunków, w których działa GCDS:

• Użyj tych samych ustawień połączenia co w GCDS.
• Uruchom narzędzie do wysyłania zapytań na tym samym komputerze, na którym działa GCDS.
• Użyj tej samej nazwy użytkownika do uwierzytelniania LDAP w GCDS.

Przykład

Dzienniki GCDS nie zawierają atrybutu mail użytkowników, a reguły wyszukiwania GCDS mają te ustawienia:

• Podstawowa nazwa wyróżniająca: ou=Ireland,dc=altostrat,dc=com
• Zakres: drzewo podrzędne
• Filtr wyszukiwania: (&(objectCategory=person)(objectClass=user))
• Serwer: dc01.altostrat.com
• Port: 636
• Protokół: LDAP+SSL
• Nazwa wyróżniająca użytkownika uwierzytelniania: cn=GCDS,ou=Users,dc=altostrat,dc=com

Użyj tych poleceń:

• Linux: ldapsearch -v -b "ou=Ireland,dc=altostrat,dc=com" -s sub -h dc01.altostrat.com -p 636 -x -Z -D "cn=GCDS,ou=Users,dc=altostrat,dc=com" "(&(objectCategory=person)(objectClass=user))" mail givenname uniqueidentifier sn > out.ldif (w zależności od systemu może być konieczne zmodyfikowanie tego polecenia).
• Windows: ldifde -f out.ldif -s dc01.altostrat.com -v -t 636 -d "ou=Ireland,dc=altostrat,dc=com" -r "(&(objectCategory=person)(objectClass=user))" -p SubTree -l mail,givenname,uniqueidentifier,sn -a "cn=GCDS,ou=Users,dc=altostrat,dc=com" HASŁO (zastąp fragment HASŁO hasłem użytkownika LDAP ustawionym w GCDS).

Jeśli plik wynikowy (out.ldif) nie zawiera atrybutu mail odpowiedniego użytkownika, oznacza to, że wystąpił problem z infrastrukturą LDAP. Może on być związany z uprawnieniami konta użytkownika, którego używasz do uzyskiwania dostępu do LDAP (na przykład OpenLDAP i Active Directory zezwalają na ustawianie uprawnień na poziomie atrybutów). Jeśli używasz portu katalogu globalnego, takiego jak 3268 lub 3269, atrybut może się nie powielić w katalogu globalnym.

Jeśli dane wyjściowe zawierają atrybut mail odpowiedniego użytkownika, przekaż zespołowi pomocy Google Workspace te informacje:

• plik out.ldif;
• zrzut ekranu wiersza poleceń lub okna terminala, w którym uruchomiono polecenie
  (pamiętaj, aby najpierw usunąć hasło);
• Dziennik GCDS na poziomie śledzenia

Aby przeprowadzić symulowaną synchronizację, potrzebujesz serwera zdolnego do wysyłania poczty. Jeśli GCDS działa na serwerze poczty, możesz użyć adresu IP 127.0.0.1 jako adresu serwera poczty. W innym przypadku skontaktuj się z administratorem poczty, aby uzyskać odpowiednie informacje.

Jeśli synchronizacja jest uruchamiana za pomocą wiersza poleceń, sprawdź, czy użyto w nim argumentu -o lub --oneinstance.

Jeśli użyjesz jednego z tych argumentów, GCDS utworzy plik LOCK (.lock) powiązany z plikiem konfiguracji w formacie XML. Jeśli na tym samym serwerze znajdzie się inny plik LOCK, GCDS nie uruchomi synchronizacji, aby zapobiec jednoczesnemu uruchamianiu wielu wystąpień GCDS.

Jeśli nie ma żadnego innego wystąpienia GCDS, poszukaj innego pliku LOCK na serwerze. Usuń ten plik ręcznie i spróbuj ponownie przeprowadzić synchronizację.

Jeśli synchronizacja nie została ukończona (np. nie zsynchronizowano wszystkich członków grupy), być może wystąpił problem z interfejsem Directory API. Aby sprawdzić, czy problem jest związany z interfejsem API, a nie z usługą GCDS, wywołaj ręcznie interfejs Directory API i sprawdź wyniki. Aby ręcznie wywołać interfejs API, wybierz jedną z 2 opcji.

Opcja 1. Skorzystaj ze strony z dokumentacją API

1. Przejdź do omówienia interfejsu API pakietu Admin SDK.
2. Po lewej stronie kliknij Directory API, a następnie w obszarze REST Resources (Zasoby REST) przejdź do zasobu REST, do którego chcesz wysłać zapytanie.
3. Po prawej stronie wybierz metodę, którą chcesz wypróbować, i kliknij Wypróbuj.

   Jeśli na stronie z dokumentacją API nie wyświetla się opcja Wypróbuj, przejdź do opcji 2. Użyj OAuth 2.0 Playground.

4. Wpisz dane logowania administratora użyte do autoryzacji GCDS.

   Szczegółowe informacje znajdziesz w sekcji Definiowanie ustawień domeny Google.

5. Sprawdź informacje, aby mieć pewność, że odpowiedź interfejsu API była zgodna z oczekiwaniami.

Opcja 2. Użyj OAuth 2.0 Playground

1. Otwórz OAuth 2.0 Playground.
2. Wybierz odpowiednią opcję:
   • Wybierz zakres z listy.
   • Skopiuj zakres z listy Zakresy autoryzacji na stronie z dokumentacją API. Następnie wklej zakres w polu Input your own scopes (Wpisz własne zakresy).
3. Kliknij Authorize APIs (Autoryzuj interfejsy API).
4. Wpisz dane logowania administratora użyte do autoryzacji GCDS.

   Szczegółowe informacje znajdziesz w sekcji Definiowanie ustawień domeny Google.

5. Kliknij Kod autoryzacji wymiany dla tokenów.

   Jeśli proces się powiedzie, przekierujemy Cię do kroku 3. Skonfiguruj żądanie do interfejsu API.

6. Podaj wymagane informacje.

   Wskazówka: większość informacji znajdziesz na stronie z dokumentacją metod interfejsu API.

7. Kliknij Wyślij żądanie.
8. Sprawdź informacje, aby mieć pewność, że odpowiedź interfejsu API była zgodna z oczekiwaniami.

W pliku XML konfiguracji wybierz opcję useDynamicMaxCacheLifetime. Ta opcja konfiguruje GCDS w taki sposób, że dane są przechowywane w pamięci podręcznej przez maksymalnie 8 dni, a pamięć podręczna jest czyszczona częściej w małych i średnich zbiorach danych, aby zmniejszyć ryzyko przechowywania nieaktualnych danych i powstawania konfliktów z nowymi danymi. Opcja useDynamicMaxCacheLifetime jest stosowana automatycznie w konfiguracjach utworzonych w GCDS 3.2.1 i nowszych wersjach.

Uwaga: te błędy występują zwykle wtedy, gdy zmiany są wprowadzane bezpośrednio w domenie Google. Podczas synchronizacji przy użyciu GCDS unikaj wprowadzania zmian bezpośrednio w domenie Google. Zamiast tego edytuj konta użytkowników, grupy i inne jednostki w katalogu LDAP. Następnie przy użyciu GCDS zsynchronizuj te zmiany z domeną Google.

Jeśli widzisz błędy związane z pamięcią, musisz zwiększyć rozmiar sterty maszyny wirtualnej Java. Aby to zrobić, otwórz pliki sync-cmd.vmoptions i config-manager.vmoption w katalogu instalacyjnym GCDS. Odpowiednie wpisy wyglądają tak:

• -Xmx1000m (maksymalna ilość pamięci przeznaczona dla sterty)
• -Xms64m (minimalna ilość pamięci przeznaczona dla sterty)

Zmodyfikuj pliki sync-cmd.vmoptions i config-manager.vmoptions, aby wprowadzić zmianę w wersjach przeznaczonych dla polecenia sync-cmd i dla Menedżera konfiguracji.

Zmień wartość -Xmx, aby zwiększyć ilość pamięci. Litera „m” po liczbie oznacza, że pamięć jest mierzona w megabajtach (MB). Prawidłowa ilość pamięci zależy od tego, ile pamięci serwer GCDS już ma oraz ile potrzebuje do synchronizacji. Zanim ustawisz odpowiednią wielkość, konieczna może być kilkukrotna zmiana wartości. Więcej informacji o ilości dostępnej pamięci RAM wymaganej do uruchomienia GCDS znajdziesz w artykule Wymagania systemowe GCDS.

Przyczyną może być problem w konfiguracji, na przykład nieprawidłowo ustawiona reguła wykluczania. Takie błędy w konfiguracji mogą być niewidoczne, gdy włączona jest pamięć podręczna GCDS.

GCDS przechowuje dane usługi Google (na przykład Google Workspace lub Cloud Identity) w pamięci podręcznej przez maksymalnie 8 dni. Częstotliwość czyszczenia pamięci podręcznej przez GCDS zależy od rozmiaru znajdujących się w niej danych. Dopóki pamięć podręczna nie zostanie wyczyszczona, aktualizacje nie będą stosowane (może to potrwać do 8 dni).

Przykład: synchronizujesz dane LDAP i tworzysz nową grupę dla usługi Google (takiej jak Google Workspace czy Cloud Identity). Jeśli następnie utworzysz regułę wykluczania, która zapobiega synchronizowaniu tej grupy w przyszłości, to ta reguła spowoduje powstanie błędu w konfiguracji, przez co nie zostanie zastosowana. Kolejne synchronizacje korzystają z danych w pamięci podręcznej, więc nowa grupa pozostaje dostępna w usłudze Google. Gdy natomiast pamięć podręczna zostanie wyczyszczona, błąd konfiguracji spowoduje usunięcie tej grupy z usługi Google.

Aby ręcznie wyczyścić pamięć podręczną:

• Uruchom synchronizację w menedżerze konfiguracji i wybierz opcję wyczyszczenia pamięci podręcznej podczas synchronizacji.
• Uruchom synchronizację z poziomu wiersza poleceń i użyj argumentu -f, aby wymusić wyczyszczenie pamięci podręcznej.
• Edytuj plik konfiguracji XML, aby zmienić wartość maxCacheLifetime na 0.

Ważne: wyczyszczenie pamięci podręcznej może znacznie wydłużyć czas synchronizacji.

Jeśli pojawi się błąd 409: Element już istnieje, GCDS próbuje utworzyć użytkowników Google, którzy już istnieją. Jeśli błąd nie pojawi się podczas kolejnych synchronizacji, prawdopodobnie pamięć podręczna GCDS była nieaktualna i można bezpiecznie zignorować ten błąd.

Jeśli problem występuje podczas każdej synchronizacji lub co kilka dni, oto najbardziej prawdopodobne przyczyny:

• Reguła wykluczania kont użytkowników Google jest zbyt ogólna – pasuje do części użytkowników Google, którzy znajdują się już w katalogu LDAP.
• Zapytanie jest zbyt wąskie – nie pasuje do części użytkowników Google, którzy znajdują się już w katalogu LDAP.

Obie sytuacje mogą spowodować, że GCDS będzie ignorować tych użytkowników Google, którzy już istnieją. Jeśli takie konta użytkowników będą pojawiać się w wynikach reguł wyszukiwania użytkowników LDAP, GCDS będzie próbował utworzyć je na Twoim koncie Google.

Aby rozwiązać ten problem, zmień zapytanie lub regułę wykluczania. Jeśli chcesz, aby GCDS całkowicie ignorował użytkowników w katalogu LDAP, dostosuj regułę wyszukiwania użytkowników LDAP lub utwórz regułę wykluczania użytkowników LDAP. Więcej informacji znajdziesz w artykule Używanie reguł wykluczania w GCDS.

Aby synchronizować członków grup oddzielnie od wyników reguły wyszukiwania użytkowników, GCDS ma domyślnie włączoną opcję INDEPENDENT_GROUP_SYNC. Jeśli używasz atrybutów member-reference na potrzeby synchronizacji grup, GCDS próbuje odnaleźć adres e-mail każdego użytkownika w katalogu LDAP bez względu na inne reguły wyszukiwania użytkowników.

Aby zsynchronizować członków grupy tylko na podstawie wyników reguł wyszukiwania użytkowników, usuń opcję INDEPENDENT_GROUP_SYNC z pliku XML konfiguracji. GCDS:

• identyfikuje członków grup za pomocą wyników reguł wyszukiwania użytkowników;
• synchronizuje jako członków grup tylko tych użytkowników, którzy są objęci synchronizacją;
• stosuje reguły wyszukiwania użytkowników, nawet jeśli wyłączysz synchronizację kont użytkowników w sekcji Ustawienia ogólne.

  Jeśli jednak znalezione konta są również członkami grup, nie są synchronizowane w Google jako użytkownicy, lecz jako członkowie grup.

Zwykle oczekiwany sposób działania synchronizacji jest inny, zwłaszcza jeśli synchronizujesz udostępnione kontakty, a członkowie grup są kontaktami. W takim przypadku kontakty nie będą synchronizowane jako członkowie grup.

Taki problem ma miejsce, gdy atrybut LDAP skonfigurowany jako atrybut Group Name (Nazwa grupy) nie zawiera pełnego adresu e-mail. Aby rozwiązać ten problem, sprawdź reguły Group Search (Wyszukiwanie grup) i upewnij się, że GCDS używa pełnych adresów e-mail dla nazw grup. Użyj jednej z tych metod:

• Ustaw atrybut Group Name na inny atrybut LDAP, który określa pełny adres e-mail dla każdej grupy, taki jak poczta.
• Włącz opcję Replace domain names in LDAP email addresses (Zastąp nazwy domen w adresach e-mail serwera LDAP) w ustawieniach domeny Google, aby atrybut Group Name pasował do nazw grup po stronie Google.
• Dodaj nazwę domeny do nazwy grupy przez określenie sufiksu Group Name w regule Group Search.

Upewnij się, że wybrano MS Active Directory w polu typu serwera w sekcji LDAP Configuration (Konfiguracja LDAP).

Ta opcja (wyświetlana w pliku XML jako SUPPRESS_DOMAIN) jest używana, gdy adresy e-mail w katalogu LDAP znajdują się w innej domenie niż Twoja domena Google. Jeśli włączysz tę opcję, GCDS będzie ignorować nazwę domeny w odczytywanych adresach e-mail.

Wszystkie operacje przetwarzania odbywają się bez nazwy domeny. Jeśli używasz reguł wykluczania opartych na adresach e-mail, musisz na ich potrzeby brać pod uwagę tylko lokalną część adresu e-mail.

Jeśli na przykład masz wyłączoną opcję Replace domain names in LDAP email addresses (Zastąp nazwy domen w adresach e-mail serwera LDAP) i chcesz utworzyć regułę wykluczania z dopasowaniem dokładnym, wpisz leszek@example.com jako adres e-mail użytkownika do wyszukania. Jeśli opcja Replace domain names in LDAP email addresses (Zastąp nazwy domen w adresach e-mail serwera LDAP) jest włączona, użyj leszek. Próba dopasowania adresu leszek@example.com nie uda się, bo przed porównaniem zostanie usunięty fragment @example.com.

W przypadku obsługi administracyjnej grup przy użyciu GCDS nie możesz zagnieżdżać grup dynamicznych w grupach statycznych (ani grup statycznych w grupach dynamicznych). GCDS wymaga, aby grupy statyczne były odpytywane niezależnie od grup dynamicznych. Jednak wszystkie zagnieżdżone grupy muszą być objęte tym samym zapytaniem.

Postaraj się wdrożyć grupy dynamiczne jako grupy statyczne – na przykład zautomatyzuj zadanie, które okresowo odpytuje każdą grupę dynamiczną w celu zapełnienia grup statycznych w katalogu. GCDS może następnie użyć grup statycznych (utworzonych na podstawie grup dynamicznych) do obsługi administracyjnej bez obsługi administracyjnej grupy dynamicznej.

Wyniki zapytań LDAP zależą od ustawień Menedżera konfiguracji i serwera LDAP. Jeśli reguła wyszukiwania LDAP zwraca nieoczekiwany wynik, skorzystaj z opisanych poniżej wskazówek dotyczących rozwiązywania problemów. Upewnij się, że:

• Zapytanie LDAP jest prawidłowo skonfigurowane w Menedżerze konfiguracji – po skonfigurowaniu reguły wyszukiwania kliknij Test LDAP Query (Przetestuj zapytanie LDAP), aby sprawdzić zapytanie. Szczegółowe informacje znajdziesz w artykule Synchronizowanie danych przy użyciu reguł wyszukiwania LDAP.
• Różne zapytania nie są sprzeczne – sprawdź, czy nie masz skonfigurowanej reguły wyszukiwania lub wykluczania, która zmienia wynik zapytania.
• Autoryzowany użytkownik serwera LDAP ma wystarczające uprawnienia – upewnij się, że administrator używany do uwierzytelniania serwera LDAP może używać wiersza poleceń na tym samym serwerze. Spróbuj wpisać zapytanie na serwerze LDAP i sprawdź wyniki.

Może pojawić się komunikat o błędzie Nie udało się utworzyć grupy… Komunikat: Brak uprawnień dostępu do tego zasobu/api w dziennikach GCDS.

Aby rozwiązać ten problem, sprawdź, czy atrybut Active Directory zawierający domenę adresów e-mail użytkowników i grup jest zgodny z domeną używaną na koncie superadministratora.

To się zdarza zwykle wtedy, gdy synchronizujesz kontakty udostępnione, a reguły wyszukiwania są skonstruowane nieprawidłowo.

Istnieją 2 typy obiektów, które można synchronizować przy użyciu GCDS:

• Profile użytkowników – konta użytkowników w domenie Google z dodatkowymi danymi, takimi jak numer telefonu lub adres. Synchronizować można tylko profile użytkowników istniejących w Twojej domenie.
• Kontakty udostępnione – osoby z zewnątrz, z którymi użytkownicy w Twojej domenie muszą się kontaktować.

Aby rozwiązać ten problem, popraw reguły wyszukiwania kontaktów udostępnionych, aby wykluczały użytkowników Twojej domeny. Podczas następnej synchronizacji GCDS spróbuje usunąć nadmiarowe kontakty. Na czas pierwszej synchronizacji może być konieczne dostosowanie limitu usuwania kontaktów udostępnionych.

W niektórych sytuacjach podczas planowania lub organizowania spotkań w Kalendarzu Google użytkownicy nie widzą swojej głównej lokalizacji miejsca pracy.

Jeśli zauważysz ten problem, sprawdź, czy atrybuty typu lokalizacji i obszaru mają ustawioną wartość „desk” (biurko).

Jeśli masz problemy z wynikami wyszukiwania, sprawdź:

• Zakres reguły. Może być konieczne ustawienie zakresu na Sub-tree.
• Czy reguła wyszukiwania, której używasz, jest prawidłowa.
• Czy używane atrybuty istnieją i czy są one widoczne.

Zapytanie LDAP. Sprawdź, czy w zapytaniu na serwerze LDAP jest używana ta sama nazwa administratora, którą skonfigurowano w GCDS.

Szczegółowe informacje znajdziesz w artykule Synchronizowanie danych przy użyciu reguł wyszukiwania LDAP.

Być może używasz czcionki, która jest za duża dla ekranu. Okno nie obsługuje dużych i bardzo dużych czcionek. Zmień rozmiar czcionki lub bezpośrednio edytuj plik XML.