Protokolle zur Fehlerbehebung verwenden

Gelegentlich können in den Password Sync-Protokollen Zeilen enthalten sein, die wie ein Fehler aussehen. Oft weisen diese Zeilen aber nicht auf Probleme mit der Synchronisierung oder der Einrichtung hin. Verwenden Sie zur Fehlerbehebung die folgenden Informationen.

Log-Analysetool verwenden

Senden Sie Ihre Trace-Logs an das Log-Analysetool der Google Admin Toolbox. Die meisten Probleme lassen sich so rasch ermitteln.

Hier erfahren Sie, wo Sie Ihre Trace-Log-Dateien finden.

Password Sync-Protokolle

Abschnitt öffnen | Alle minimieren und nach oben

Wo befinden sich die Trace-Log-Dateien?

Die Trace-Protokolldateien von Password Sync finden Sie auf Ihrem Computer unter dem Pfad: C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Google Apps Password Sync\Tracing\password_sync_service

Ein Beispiel für eine Trace-Log-Datei finden Sie unter Protokolle überprüfen.

Wo befinden sich die anderen Protokoll- und Konfigurationsdateien?

Sie können das Password Sync-Supporttool (ein Open-Source-Tool von Google) verwenden, um Password Sync-Protokolle und Informationen zur Fehlerbehebung von allen Domaincontrollern zu erfassen.

Konfigurationsdateien und Protokolle suchen

Konfigurationsdatei

Speicherort:
C:\Programmdaten\Google\Google Apps Password Sync\config.xml
Das können Sie mit der Datei tun:
In dieser Datei können Sie die Einstellungen abrufen.

Dienstprotokolle

Speicherort:
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Google Apps Password Sync\Tracing\password_sync_service
Das können Sie mit der Datei tun:
Prüfen Sie diese Dateien, wenn Password Sync zwar eingerichtet wurde, aber keine oder nur einige Ihrer Nutzerpasswörter synchronisiert werden.

Ein Beispiel für eine Trace-Protokolldatei finden Sie unter Protokolle prüfen.

Protokolle für die Autorisierung des Dienstes

Speicherort:
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Identity
Das können Sie mit der Datei tun:
Prüfen Sie diese Dateien, wenn in den Password Sync-Dienstprotokollen Fehler mit „Authentication failed“ (Authentifizierung fehlgeschlagen) und den Fehlercodes 0x6, 0x203, 0x4 oder 0x102 angezeigt werden.

Ein Beispiel für eine Autorisierungsprotokolldatei finden Sie unter Protokolle prüfen.

Protokolle für die Konfigurationsoberfläche

Speicherort:
C:\Users\Ihr_Nutzername\AppData\Local\Google\Google Apps Password Sync\Tracing\Password Sync

C:\Users\Ihr_Nutzername\AppData\Local\Google\Google Apps Password Sync\Tracing\GoogleAppsPasswordSync (wenn Sie Version 1.6 oder niedriger nutzen)
Das können Sie mit der Datei tun:
Prüfen Sie diese Dateien, falls Probleme während der Konfiguration auftreten.

Ein Beispiel für eine Trace-Protokolldatei finden Sie unter Protokolle prüfen.

Protokolle für die Autorisierung der Konfigurationsoberfläche

Speicherort:
C:\Users\Ihr_Nutzername\AppData\Local\Google\Identity
Das können Sie mit der Datei tun:
Prüfen Sie diese Dateien, falls Probleme bei der Google-Autorisierung im Zuge der Konfiguration auftreten.

DLL-Protokolle

Speicherort:
C:\Windows\System32\config\systemprofile\AppData\Local\Google\Google Apps Password Sync\Tracing\lsass
Das können Sie mit der Datei tun:
Prüfen Sie diese Dateien, falls die Dienstprotokolle keinen Hinweis auf den Versuch einer Passwortänderung geben (keine Erfolgs- oder Fehlermeldungen).

Protokolle zu Installationen über die Befehlszeile

Speicherort:
C:\Users\Ihr_Nutzername\AppData\Local\Google\Google Apps Password Sync\Tracing\MsiExec
Das können Sie mit der Datei tun:
Prüfen Sie diese Protokolle für das Installationsprogramm und die Datei „msi_log.txt“ (oder die Datei, die an den Parameter „/l*vx“ ausgegeben wird), wenn Probleme bei der Installation von Password Sync über die Befehlszeile auftreten.

Protokolle zu Absturzberichten

Speicherort:
Wenn das Password Sync-UI-Konfigurationstool abstürzt, finden Sie die Protokolle hier:
C:\Benutzer\Ihr_Nutzername\AppData\Local\Temp

Wenn der Password Sync-Dienst abstürzt, finden Sie die Protokolle hier: C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp
Das können Sie mit der Datei tun:
Wenn der Administrator das Standardverzeichnis für temporäre Daten geändert hat, finden Sie hier eine Anleitung dazu, wie Sie das Verzeichnis finden.

Wo befindet sich mein temporäres Verzeichnis?

Wenn der Password Sync-Konfigurationsassistent abstürzt:

Öffnen Sie eine Eingabeaufforderung (CMD).
Geben Sie echo %TEMP% ein.

Wenn der Password Sync-Dienst abstürzt:

Laden Sie die PsExec-Programmdatei aus diesem Microsoft-Artikel herunter.
Öffnen Sie eine Eingabeaufforderung (CMD).
Gehen Sie zu dem Verzeichnis, in das Sie die PsExec-Datei heruntergeladen haben.
Geben Sie psexec.exe -i -s %SystemRoot%\system32\cmd.exe ein.
Ein neues Befehlsfenster wird geöffnet. Geben Sie den Befehl whoami ein.
Eine Meldung wie „nt authority\system“ sollte angezeigt werden.
Geben Sie echo %TEMP% ein.

Protokolle überprüfen

Bei Netzwerkfehlern (z. B. Zeitüberschreitungen, abgelehnte Verbindungen usw.) oder SSL/TLS-Problemen (z. B. Schwierigkeiten mit sicheren Verbindungen) wird in den Protokollen die IP-Adresse angezeigt, mit der das Tool eine Verbindung herstellen wollte. Wenn es Probleme mit einer sicheren Verbindung gibt, wird in den Protokollen der Grund (z. B. nicht übereinstimmende Zertifikatsnamen, abgelaufenes Zertifikat, fehlgeschlagene Prüfung der Zertifikatssperrliste usw.) und die Zertifikatsdetails angezeigt (z. B. ein Google-Zertifikat oder ein HTTPS-untersuchender Proxy). Dadurch sollte die Netzwerkerfassung zur Fehlerbehebung erheblich reduziert werden und es gilt sowohl für die Hauptprotokolle (Trace-*.log) als auch für die Autorisierungsprotokolle (im Ordner "Identity").

Beispiel für ein Autorisierungsprotokoll

[2022-09-21T03:59:46:ERROR:windows_http.cc(331)] TLS connection failure. See details below. [Status: 0x00010000. Status Info: 0x00000001]

  [2022-09-21T03:59:46:ERROR:windows_http.cc(340)] Certificate details:

  ---Validity--

  Valid from: 2017-09-13 17:23:55 UTC

  Valid until: 2017-12-06 17:10:00 UTC

  ---Subject---

  US

  California

  Mountain View

  Google Inc

  *.googleapis.com

  ---Issuer----

  US

  Google Inc

  Google Internet Authority G2

  -------------

  [2022-09-21T03:59:46:ERROR:windows_http.cc(282)] WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED: Certification revocation checking has been enabled, but the revocation check failed to verify whether a certificate has been revoked. The server used to check for revocation might be unreachable.

  [2022-09-21T03:59:46:ERROR:windows_http.cc(197)] Error from API WinHttpSendRequest with WinHTTP proxy. Will try direct (without proxy). Code: 0x00002f8f

  [2022-09-21T03:59:46:ERROR:windows_http.cc(107)] Network connection destination details: 216.58.194.170:443 (sfo07s13-in-f170.1e100.net)

In diesem Fall wurde das Jahr im aktuellen Datum des Computers in 2022 geändert, sodass das Zertifikat nicht mehr aktuell zu sein scheint. Sie sehen das aktuelle Datum am Anfang jeder Protokollzeile. Die Datumsangaben "Valid from" und "Valid until" des Zertifikats stimmen nicht mit dem aktuellen Datum überein. Die Fehlerkennzeichnung WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED zeigt an, dass die Zertifikatswiderrufsprüfung fehlgeschlagen ist.

Außerdem können Sie die Ziel-IP-Adresse und den aufgelösten Hostnamen nach "Network connection destination details" in der letzten Protokollzeile sehen. Es ist eine 1e100.net address, also Google.

Beispiel für ein Trace-Log

Hinweis: Dieses Protokollbeispiel stammt von GWMMO. Ähnliche Trace-Log-Einträge werden auch in GSMME, Password Sync oder GWSMO angezeigt, wenn bei diesen Produkten Netzwerk- oder TLS-Probleme auftreten.

2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2025 ()> Secure connection failure. Status: 0x00010000. Info 0x00000009 2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2030 ()> Failure details: WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED: Certification revocation checking has been enabled, but the revocation check failed to verify whether a certificate has been revoked. The server used to check for revocation might be unreachable. WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA: The function is unfamiliar with the Certificate Authority that generated the server's certificate. Certificate details: ---Validity-- Valid from: 2016-09-20T04:08:45.000Z Valid until: 2022-09-20T04:08:45.000Z ---Subject--- Created by http://www.fiddler2.com DO_NOT_TRUST *.google.com ---Issuer---- Created by http://www.fiddler2.com DO_NOT_TRUST DO_NOT_TRUST_FiddlerRoot ------------- 2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2071 ()> Error result 5, hr = 0x80072f8f. Setting event 0000000000001638. 2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2076 ()> Network connection destination details: 127.0.0.1:8888 (COMPUTERNAME)

In diesem Fall wurde Fiddler installiert und für die HTTPS-Entschlüsselung eingerichtet, d. h., es wird ein eigenes Zertifikat verwendet. Das Zertifikat wurde jedoch aus der Liste vertrauenswürdiger Windows-Zertifikate entfernt und ist daher nicht vertrauenswürdig. Da Fiddler ein Proxy ist, wurde eine Verbindung zu 127.0.0.1 und nicht zu Google hergestellt. Die Fehlerkennzeichnungen beinhalten WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA. Das bedeutet, dass das System der Zertifizierungsstelle (CA). nicht vertraut. Außerdem hat Google dieses Zertifikat nicht ausgestellt.

Der hier angezeigte Beispieltext ist für Angreifer leicht zu fälschen. Er sollte daher niemals zur Authentifizierung verwendet werden. Verwenden Sie stattdessen die Signatur einer Zertifizierungsstelle. Andererseits ist er nützlich, um Einrichtungsprobleme bei Firewalls oder Proxys zu erkennen, die SSL-Inspektionen/Man-in-the-Middle-Angriffe (MITM) durchführen.

Protokollfehler

Abschnitt öffnen | Alle minimieren und nach oben

Fehler in Protokollen in Verbindung mit Outlook

Wenn Sie eine ältere Version von Password Sync verwenden, werden möglicherweise am Anfang der Protokolldateien Fehler in Verbindung mit Microsoft Outlook angezeigt. Dies hat keinen Einfluss auf Password Sync und Sie können sie ignorieren. Hier ist ein Beispiel für ein Password Sync-Protokoll mit Outlook-Fehlern:

2022-04-12T09:00:00.563+03:00 14cc E:Generic password_sync_service!GetOutlookExePath @ 24 ()> Failed with 0x80070002, last successful line = 17. 2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!GetOutlookVersion @ 255 ()> Failed with 0x80070002, last successful line = 247. 2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!GetOfficeRegistryBase @ 362 ()> Failed with 0x80070002, last successful line = 360. 2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!ResourceStrings::GetOutlookLanguage @ 124 ()> Failed with 0x80070002, last successful line = 111.

Die Protokollierungskomponente von Password Sync versucht, die Outlook-Version zu ermitteln, um sie ins Protokoll aufzunehmen. Da Outlook für Password Sync jedoch nicht erforderlich ist, können Sie diese Fehler einfach ignorieren.

WinHTTP-Warnungen und -Fehler in den Dienstprotokollen

Einige der Fehler und Warnungen bezüglich WinHTTP (der Microsoft Windows-Komponente, die Password Sync zur Verknüpfung mit Google verwendet) sind nicht kritisch, z. B.:

2022-08-06T03:30:46.590-07:00 8d4 W:Network password_sync_service!LogPotentialProxyNetworkFailure @ 287 (user@example.com)> WinHttpGetProxyForUrl auto-detect failed with 0x80072f94. 0/(null). IsNetworkActive is 1, flags 1, IsNetworkActive GetLastError 0x80004005
2022-08-06T03:30:47.371-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::RetriveUser @ 210 (user@example.com)> retrieved user......
2022-08-06T03:30:47.374-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::RetriveUser @ 257 (user@example.com)> Successfully retrieved user
2022-08-06T03:30:47.374-07:00 8d4 A:PasswordSync password_sync_service!AppsLogin::AppsLogin @ 32 (user@example.com)> Created Apps login
2022-08-06T03:30:48.113-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::UpdateUser @ 181 (user@example.com)> Successfully updated password
2022-08-06T03:30:48.113-07:00 8d4 W:Network password_sync_service!WinHttp::WaitForAsyncEvent @ 2088 (user@example.com)> Handle closed while waiting for CloseAllTrackedWinhttpHandles.
2022-08-06T03:30:48.113-07:00 8d4 E:Network password_sync_service!WinHttp::WaitForAsyncEvent @ 2089 (user@example.com)> Failed with 0x80072ef3, last successful line = 2062.
2022-08-06T03:30:48.113-07:00 8d4 E:Network password_sync_service!WinHttp::CloseAllTrackedWinhttpHandles @ 1766 (user@example.com)> Failed waiting for handle close, retry 0, hr = 80072ef3, 1 handles remaining

Die Fehler und Warnungen geben an, dass einige Aktionen nicht entsprechend den Password Sync-Vorgaben abgeschlossen wurden. Die Protokolle melden jedoch "Successfully updated password". Sie können also die netzwerkbezogenen Fehler und Warnungen ignorieren, da das Passwort richtig synchronisiert wurde.

Fehler beim Lesen bestimmter Daten aus Active Directory in den Dienstprotokollen

In den Protokollen werden eventuell solche Fehler angezeigt:

2022-04-25T14:24:54.052+03:00 fd0 A:PasswordSync password_sync_service!PasswordSyncService::RunSyncService @ 309 ()> Updating password for "COMP$"

2022-04-25T14:24:54.130+03:00 93c E:PasswordSync password_sync_service!LDAPConnector::QueryForTargetEmail @ 86 ()> Failed with 0x80005010, last successful line = 83.

2022-04-25T14:24:54.130+03:00 93c E:PasswordSync password_sync_service!PasswordSyncTask::DoWork @ 77 ()> Error while retrieving target email for COMP$

Das Objekt, dessen Passwort aktualisiert wurde, endet mit einem Dollarzeichen ($). Das deutet auf ein Computerkonto in Active Directory hin. Da Computerkonten keine E-Mail-Adressen haben, konnte Password Sync auch keine abrufen und daher das Passwort nicht synchronisieren. Das ist zu erwarten, da Windows die Passwörter der Computerkonten automatisch festlegt und sie nicht mit Ihrem Google-Konto synchronisiert werden müssen.

Fehler beim Laden von Daten in die Protokolle zur Konfigurationsoberfläche

Wenn Sie die Konfigurationsoberfläche von Password Sync zum ersten Mal ausführen, werden möglicherweise folgende Fehler (mit dem Label „E:“) in den zugehörigen Password Sync-Protokollen angezeigt:

2022-02-13T16:07:05.374+00:00 13e0 A:PasswordSync PasswordSync!PasswordSyncConfig::InitSyncConfig @ 334 ()> Loading config from C:\ProgramData\\Google\Google Apps Password Sync\config.xml 2022-02-13T16:07:05.374+00:00 13e0 E:PasswordSync PasswordSync!SyncConfig::Load @ 40 ()> Failed with 0x80070002, last successful line = 37.

Das ist zu erwarten, da Sie die Konfigurationsoberfläche zum ersten Mal ausführen und somit noch keine Konfiguration vorhanden ist. Wenn diese Meldung jedoch in den Dienstprotokollen auftaucht, kann es darauf hindeuten, dass Sie die Anwendungskompatibilität für Password Sync aktiviert haben. Deaktivieren Sie sie und richten Sie Password Sync dann noch einmal ein.

Häufige Einträge für Windows-Ereignisprotokolleinträge, die mit Password Sync erstellt wurden

Password Sync fügt Windows-Ereignisprotokolleinträge für wichtige Ereignisse hinzu. Sie finden sie unter EreignisanzeigeAnwendungs- und DienstprotokolleGoogle. Alle Ereignisse haben „GoogleAppsPasswordSync“ als Quelle. Diese Nachrichten werden auch in die Password Sync-Protokolldateien geschrieben.

Hinweis: Die Einträge in den Windows-Ereignisprotokolleinträgen dienen nur Informationszwecken zur einfachen Überwachung. Ausführliche Informationen zur Fehlerbehebung finden Sie unter Fehlerbehebung bei Password Sync.

Wenn ein Passwort nicht synchronisiert werden konnte, weil es nicht den Richtlinien für Nutzernamen und Gruppennamen oder den Passwortrichtlinien entspricht:

Event ID: 258 Severity: Warning Category: LSASS Contents: An attempt to change the password for user "USERNAME" was made. However, the new password contains unsupported characters. The password can not be updated on the Google Account, and will be out of sync with Active Directory.

Wenn der Password Sync-Dienst nicht erreichbar ist, wenn Nutzer ihr Passwort ändern:

Event ID: 259 Severity: Error Category: LSASS Contents: An error occurred while trying to communicate with the Password Sync Service; the password update request for account "USERNAME" could not be processed. Status = 0 (0x00000000). Please make sure the service is running.

Wenn beim Hashen eines Passworts für einen Nutzer ein Fehler auftritt:

Event ID: 260 Severity: Error Category: LSASS Contents: An error occurred while hashing the password for account "USERNAME". Status = 0 (0x00000000).

Wenn ein Nutzer ein Passwort aus mehr als 200 Zeichen festlegt, wird es gekürzt. Das Passwort, das der Nutzer in Active Directory festgelegt hat, bleibt unverändert, ist jedoch nicht mehr mit dem Google-Konto synchronisiert:

Event ID: 261 Severity: Warning Category: LSASS Contents: Password for account "USERNAME" being trucated to to the first 200 characters.

Wenn der Password Sync-Dienst gestartet wird:

Event ID: 512 Severity: Informational Category: Service Contents: Password Sync service starting.

Wenn der Password Sync-Dienst beendet wird:

Event ID: 513 Severity: Informational Category: Service Contents: Password Sync service shut down. Status = 0 (0x00000000)

Wenn das Active Directory-Nutzerpasswort erfolgreich mit einem Google-Konto synchronisiert ist:

Event ID: 514 Severity: Success Category: Service Contents: The password change for Active Directory user "USERNAME" was synchronized to Google Account "username@example.com" successfully. Status = 0 (0x00000000)

Wenn Password Sync eine Benachrichtigung über eine Passwortänderung erhält und der entsprechende Active Directory-Nutzer nicht gefunden werden kann:

Event ID: 768 Severity: Error Category: LDAP Connector Contents: The account "USERNAME" was not found on Active Directory. LDAP Connector status = 20498 (0x00005012).

Hinweis: Weitere Informationen finden Sie im Fehlercode 0x00005012.

Wenn ein Active Directory-Nutzer ohne E-Mail-Attribut das Passwort ändert:

Event ID: 769 Severity: Warning Category: LDAP Connector Contents: The account "USERNAME" seems not to have an Email attribute set; its password will not get synchronized to Google. LDAP Connector status = -2147463152 (0x80005010).

Hinweis: Weitere Informationen finden Sie im Fehlercode 0x80005010.

Wenn während der Abfrage von Active Directory unerwartete Fehler auftreten:

Event ID: 770 Severity: Error Category: LDAP Connector Contents: An unexpected error occurred while querying Active Directory. LDAP Connector status = -2147467259 (0x80004005). System Message: Unspecified failure

Wenn bei der Synchronisierung eines Passworts eine API-Anfrage fehlschlägt:

Event ID: 1024 Severity: Error Category: Google Connector Contents: An API call to the Google server returned an unexpected response while updating the password for account "username@example.com" during the 'PasswordSyncTask::PutUser' step; all retries have been exhausted. Details: - Host: apps-apis.google.com - Auth Result = 0 (0x00000000) - GDataStatus = 7 (0x00000007) GDSTATUS_BAD_REQUEST - hResult 1 = -2147217401 (0x80041007) - hResult 2 = 0 (0x00000000)

Hinweis: Die Ereignisdetails können unterschiedliche Status- und Ergebniscodes enthalten. Möglicherweise ist eine weitere Prüfung der Password Sync-Protokolldateien erforderlich, um die Fehlerursache genau zu identifizieren.

_{Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.}

War das hilfreich?

Wie können wir die Seite verbessern?