Иногда в журналах Password Sync встречаются строки, которые напоминают сообщения об ошибках, но на самом деле не указывают на проблемы с синхронизацией или установкой. Приведенная ниже информация поможет устранить неполадки.
Анализатор журналов
Загрузите журналы трассировки в Анализатор журналов, входящий в Набор инструментов администратора Google. Большинство неполадок будут выявлены практически сразу.
Узнайте, как найти файлы трассировки.
Журналы Password Sync
Развернуть раздел | Свернуть все и перейти к началу
Где находятся журналы трассировки?Журналы трассировки Password Sync находятся в папке C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Google Apps Password Sync\Tracing\password_sync_service
Пример журнала трассировки приведен далее в разделе Проверка журналов.
С помощью разработанного Google инструмента поддержки Password Sync с открытым исходным кодом можно собирать журналы Password Sync и данные, необходимые для устранения неполадок, со всех контроллеров домена.
Где найти файлы конфигурации и журналы
Файл конфигурации
- Расположение файла
C:\ProgramData\Google\Google Apps Password Sync\config.xml
- Рекомендуемые действия
Откройте этот файл и проверьте настройки.
Журналы сервисов
- Расположение файла
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Google Apps Password Sync\Tracing\password_sync_service
- Рекомендуемые действия
Проверьте эти файлы, если после успешной настройки Password Sync пароли всех или отдельных пользователей не синхронизируются.
Пример журнала трассировки приведен далее в разделе Проверка журналов.
Журналы авторизации в сервисах
- Расположение файла
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Identity
- Рекомендуемые действия
Проверьте эти файлы, если в журналах сервисов Password Sync появляются ошибки аутентификации с кодом 0x6, 0x203, 0x4 или 0x102.
Пример журнала авторизации приведен далее в разделе Проверка журналов.
Журналы интерфейса настройки
- Расположение файла
C:\Users\ваше имя пользователя\AppData\Local\Google\Google Apps Password Sync\Tracing\PasswordSync
C:\Users\ваше имя пользователя\AppData\Local\Google\Google Apps Password Sync\Tracing\GoogleAppsPasswordSync (если используется версия 1.6 или более ранняя)
- Рекомендуемые действия
Проверьте эти журналы, если во время настройки возникнут ошибки.
Пример журнала трассировки приведен далее в разделе Проверка журналов.
Журналы авторизации интерфейса настройки
- Расположение файла
C:\Users\ваше имя пользователя\AppData\Local\Google\Identity
- Рекомендуемые действия
Проверьте эти журналы, если при настройке возникают ошибки на этапе авторизации Google.
Журналы DLL
- Расположение файла
C:\Windows\System32\config\systemprofile\AppData\Local\ Google\Google Apps Password Sync\Tracing\lsass
- Рекомендуемые действия
Проверьте эти файлы, если в журналах сервисов нет данных о попытках изменения паролей (нет отчетов об ошибках или успешных действиях).
Журналы установщика, выполняемого в командной строке
- Расположение файла
C:\Users\ваше имя пользователя\AppData\Local\Google\Google Apps Password Sync\Tracing\MsiExec
- Рекомендуемые действия
Проверьте журналы установщика и файл msi_log.txt (или файл с другим названием, передаваемым с помощью параметра /l*vx), если возникают проблемы во время установки Password Sync с помощью командной строки.
Журналы отчетов о сбоях
- Расположение файла
Если сбои происходят во время работы инструмента настройки интерфейса Password Sync, соответствующие журналы можно найти здесь:
C:\Users\ваше имя пользователя\AppData\Local\TempЕсли сбои происходят во время работы Password Sync, соответствующие журналы можно найти здесь: C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp
- Рекомендуемые действия
Если администратор изменил временный каталог по умолчанию, ознакомьтесь с разделом Как найти временный каталог.
Как найти временный каталог
Если сбои происходят во время работы мастера настройки Password Sync:
- Откройте командную строку.
-
Выполните команду echo %TEMP%.
Если сбои происходят во время работы сервиса Password Sync:
- Скачайте набор инструментов по ссылке в этой статье на сайте Microsoft и распакуйте нужную версию программы PsExec.
- Откройте окно командной строки (cmd.exe).
- Перейдите в каталог, в котором находится исполняемый файл программы PsExec.
- Выполните команду psexec.exe -i -s %SystemRoot%\system32\cmd.exe.
- Откроется новое окно. Выполните команду whoami.
Появится сообщение вида "nt authority\system".
- Выполните команду echo %TEMP%.
Если у вас возникают ошибки сети (например, превышение времени ожидания, отказ в подключении и т. д.) или проблемы с передачей данных по SSL/TLS (например, проблема с защищенным подключением), в журналах отображается IP-адрес, к которому пытался подключиться инструмент. Если возникают проблемы с защищенным подключением, в журналах показана их причина (например, несоответствие названия сертификата, истекший срок действия сертификата, сбой при проверке CRL и т. д.) и сведения о сертификате (например, сертификат Google или проверяющий HTTPS прокси-сервер). Эта информация значительно упрощает получение нужных данных для устранения неполадок сети. Она доступна как в основных журналах (Trace-*.log), так и в журналах авторизации (в папке "Identity").
Пример журнала авторизации
[2022-09-21T03:59:46:ERROR:windows_http.cc(331)] TLS connection failure. See details below. [Status: 0x00010000. Status Info: 0x00000001]
[2022-09-21T03:59:46:ERROR:windows_http.cc(340)] Certificate details:
---Validity--
Valid from: 2017-09-13 17:23:55 UTC
Valid until: 2017-12-06 17:10:00 UTC
---Subject---
US
California
Mountain View
Google Inc
*.googleapis.com
---Issuer----
US
Google Inc
Google Internet Authority G2
-------------
[2022-09-21T03:59:46:ERROR:windows_http.cc(282)] WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED: Certification revocation checking has been enabled, but the revocation check failed to verify whether a certificate has been revoked. The server used to check for revocation might be unreachable.
[2022-09-21T03:59:46:ERROR:windows_http.cc(197)] Error from API WinHttpSendRequest with WinHTTP proxy. Will try direct (without proxy). Code: 0x00002f8f
[2022-09-21T03:59:46:ERROR:windows_http.cc(107)] Network connection destination details: 216.58.194.170:443 (sfo07s13-in-f170.1e100.net)
В этом случае год в текущей дате компьютера был изменен на 2022, и из-за этого система считает, что у сертификата истек срок действия. Вы можете видеть текущую дату в начале каждой строки журнала, при этом даты начала (Valid from) и окончания (Valid until) срока действия сертификата не соответствуют текущей дате. Флаг ошибки WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED указывает, что проверка отзыва сертификата не пройдена.
Вы также можете увидеть IP-адрес назначения и полученное имя хоста в последней строке журнала после "Network connection destination details". Это адрес 1e100.net address, который принадлежит Google.
Пример журнала трассировки
Примечание. Этот пример журнала получен с помощью GWMMO. Похожие записи также будут создаваться в GSMME, Password Sync или GWSMO при возникновении проблем с сетью или использованием TLS.
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2025 ()> Secure connection failure. Status: 0x00010000. Info 0x00000009
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2030 ()> Failure details:
WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED: Certification revocation checking has been enabled, but the revocation check failed to verify whether a certificate has been revoked. The server used to check for revocation might be unreachable.
WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA: The function is unfamiliar with the Certificate Authority that generated the server's certificate.
Certificate details:
---Validity--
Valid from: 2016-09-20T04:08:45.000Z
Valid until: 2022-09-20T04:08:45.000Z
---Subject---
Created by http://www.fiddler2.com
DO_NOT_TRUST
*.google.com
---Issuer----
Created by http://www.fiddler2.com
DO_NOT_TRUST
DO_NOT_TRUST_FiddlerRoot
-------------
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2071 ()> Error result 5, hr = 0x80072f8f. Setting event 0000000000001638.
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2076 ()> Network connection destination details: 127.0.0.1:8888 (COMPUTERNAME)
В этом примере был установлен Fiddler с настроенной расшифровкой HTTPS (то есть с использованием собственного сертификата), но его сертификат был удален из списка доверенных сертификатов Windows и считается ненадежным. Обратите внимание, что Fiddler является прокси-сервером и поэтому подключается к адресу 127.0.0.1, а не к Google. Среди флагов ошибки есть WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA, а значит система не доверяет центру сертификации (CA). . Также можно заметить, что этот сертификат выдавался не Google.
Ошибки в журналах
Развернуть раздел | Свернуть все и перейти к началу
Сообщения об ошибках в начале журналов, упоминающие OutlookЕсли вы используете устаревшую версию Password Sync, в начале файлов журналов могут встречаться ошибки, связанные с Microsoft Outlook. Эти ошибки не влияют на работу Password Sync, поэтому их можно игнорировать. Ниже приведен пример журнала Password Sync с ошибками Outlook.
2022-04-12T09:00:00.563+03:00 14cc E:Generic password_sync_service!GetOutlookExePath @ 24 ()> Failed with 0x80070002, last successful line = 17.
2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!GetOutlookVersion @ 255 ()> Failed with 0x80070002, last successful line = 247.
2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!GetOfficeRegistryBase @ 362 ()> Failed with 0x80070002, last successful line = 360.
2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!ResourceStrings::GetOutlookLanguage @ 124 ()> Failed with 0x80070002, last successful line = 111.
Компонент Password Sync пытается определить номер версии Outlook и занести его в журнал. Поскольку для работы Password Sync программа Microsoft Outlook необязательна, эти ошибки можно игнорировать.
На некоторые ошибки и предупреждения, связанные с WinHTTP (компонентом Microsoft Windows, который Password Sync использует для подключения к Google), можно не обращать внимания. Например:
2022-08-06T03:30:46.590-07:00 8d4 W:Network password_sync_service!LogPotentialProxyNetworkFailure @ 287 (user@example.com)> WinHttpGetProxyForUrl auto-detect failed with 0x80072f94. 0/(null). IsNetworkActive is 1, flags 1, IsNetworkActive GetLastError 0x80004005
2022-08-06T03:30:47.371-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::RetriveUser @ 210 (user@example.com)> retrieved user......
2022-08-06T03:30:47.374-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::RetriveUser @ 257 (user@example.com)> Successfully retrieved user
2022-08-06T03:30:47.374-07:00 8d4 A:PasswordSync password_sync_service!AppsLogin::AppsLogin @ 32 (user@example.com)> Created Apps login
2022-08-06T03:30:48.113-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::UpdateUser @ 181 (user@example.com)> Successfully updated password
2022-08-06T03:30:48.113-07:00 8d4 W:Network password_sync_service!WinHttp::WaitForAsyncEvent @ 2088 (user@example.com)> Handle closed while waiting for CloseAllTrackedWinhttpHandles.
2022-08-06T03:30:48.113-07:00 8d4 E:Network password_sync_service!WinHttp::WaitForAsyncEvent @ 2089 (user@example.com)> Failed with 0x80072ef3, last successful line = 2062.
2022-08-06T03:30:48.113-07:00 8d4 E:Network password_sync_service!WinHttp::CloseAllTrackedWinhttpHandles @ 1766 (user@example.com)> Failed waiting for handle close, retry 0, hr = 80072ef3, 1 handles remaining
Ошибки и предупреждения означают, что некоторые действия не дали результата, ожидаемого Password Sync. Однако в журналы записывается сообщение "Successfully updated password". Оно указывает на то, что ошибки и предупреждения, связанные с сетью, можно игнорировать, так как синхронизация пароля прошла успешно.
В журналах могут встречаться следующие сообщения об ошибках:
2022-04-25T14:24:54.052+03:00 fd0 A:PasswordSync password_sync_service!PasswordSyncService::RunSyncService @ 309 ()> Updating password for "COMP$"
2022-04-25T14:24:54.130+03:00 93c E:PasswordSync password_sync_service!LDAPConnector::QueryForTargetEmail @ 86 ()> Failed with 0x80005010, last successful line = 83.
2022-04-25T14:24:54.130+03:00 93c E:PasswordSync password_sync_service!PasswordSyncTask::DoWork @ 77 ()> Error while retrieving target email for COMP$
В конце названия объекта, пароль которого обновляется, стоит знак доллара ($). Он указывает на то, что это аккаунт компьютера в каталоге Active Directory. Поскольку у аккаунтов компьютеров нет адресов электронной почты, Password Sync не удалось получить адрес и, соответственно, синхронизировать пароль. Это нормально, так как пароли аккаунтов компьютеров устанавливаются в Windows автоматически – их не нужно синхронизировать с аккаунтом Google.
При первом запуске интерфейса настройки Password Sync в соответствующие журналы Password Sync заносятся приведенные ниже сообщения об ошибках, помеченные ярлыком "E:".
2022-02-13T16:07:05.374+00:00 13e0 A:PasswordSync PasswordSync!PasswordSyncConfig::InitSyncConfig @ 334 ()> Loading config from C:\ProgramData\\Google\Google Apps Password Sync\config.xml
2022-02-13T16:07:05.374+00:00 13e0 E:PasswordSync PasswordSync!SyncConfig::Load @ 40 ()> Failed with 0x80070002, last successful line = 37.
Это нормально, так как интерфейс настройки запущен впервые и конфигурация ещё отсутствует. Но если такие сообщения появляются в журналах сервисов, это может означать, что вы включили режим совместимости приложений для Password Sync. Убедитесь, что он отключен, и попробуйте настроить Password Sync ещё раз.
Password Sync добавляет в журнал событий Windows записи, связанные с основными событиями. Эти записи можно найти в разделах Просмотр событийЖурналы приложений и служб
Google. Для всех событий указан источник GoogleAppsPasswordSync. Кроме того, эти сообщения записываются в файлы журналов Password Sync.
Примечание. Записи в журнале событий Windows можно использовать для простоты отслеживания. Если вам необходимы подробные сведения, изучите статью Устранение неполадок с Password Sync.
Если при синхронизации пароля возникают ошибки, так как не выполнены правила выбора имени пользователя, названия группы или пароля:
Event ID: 258
Severity: Warning
Category: LSASS
Contents: An attempt to change the password for user "USERNAME" was made. However, the new password contains unsupported characters. The password can not be updated on the Google Account, and will be out of sync with Active Directory.
Если сервис Password Sync не работает, когда пользователи пытаются сменить пароль:
Event ID: 259
Severity: Error
Category: LSASS
Contents: An error occurred while trying to communicate with the Password Sync Service; the password update request for account "USERNAME" could not be processed.
Status = 0 (0x00000000).
Please make sure the service is running.
Если при хешировании пароля для пользователя возникает ошибка:
Event ID: 260
Severity: Error
Category: LSASS
Contents: An error occurred while hashing the password for account "USERNAME".
Status = 0 (0x00000000).
Если пользователь создает пароль длиннее 200 символов, он обрезается. Пароль, заданный пользователем в Active Directory, остается без изменений, но не будет синхронизироваться с аккаунтом Google:
Event ID: 261
Severity: Warning
Category: LSASS
Contents: Password for account "USERNAME" being trucated to to the first 200 characters.
При запуске сервиса Password Sync:
Event ID: 512
Severity: Informational
Category: Service
Contents: Password Sync service starting.
При остановке сервиса Password Sync:
Event ID: 513
Severity: Informational
Category: Service
Contents: Password Sync service shut down.
Status = 0 (0x00000000)
При успешной синхронизации пароля пользователя Active Directory с аккаунтом Google:
Event ID: 514
Severity: Success
Category: Service
Contents: The password change for Active Directory user "USERNAME" was synchronized to Google Account "username@example.com" successfully.
Status = 0 (0x00000000)
Если Password Sync получает уведомление о смене пароля и не может найти пользователя Active Directory:
Event ID: 768
Severity: Error
Category: LDAP Connector
Contents: The account "USERNAME" was not found on Active Directory.
LDAP Connector status = 20498 (0x00005012).
Примечание. Чтобы получить дополнительные сведения, изучите описание для кода ошибки 0x00005012.
Если пользователь Active Directory, у которого не настроен атрибут электронной почты, меняет свой пароль:
Event ID: 769
Severity: Warning
Category: LDAP Connector
Contents: The account "USERNAME" seems not to have an Email attribute set; its password will not get synchronized to Google.
LDAP Connector status = -2147463152 (0x80005010).
Примечание. Чтобы получить дополнительные сведения, изучите описание для кода ошибки 0x80005010.
Если при отправке запроса к Active Directory возникают непредвиденные ошибки:
Event ID: 770
Severity: Error
Category: LDAP Connector
Contents: An unexpected error occurred while querying Active Directory.
LDAP Connector status = -2147467259 (0x80004005).
System Message: Unspecified failure
Если при попытке синхронизировать пароль запрос к API возвращает ошибку:
Event ID: 1024
Severity: Error
Category: Google Connector
Contents: An API call to the Google server returned an unexpected response while updating the password for account "username@example.com" during the 'PasswordSyncTask::PutUser' step; all retries have been exhausted.
Details:
- Host: apps-apis.google.com
- Auth Result = 0 (0x00000000)
- GDataStatus = 7 (0x00000007) GDSTATUS_BAD_REQUEST
- hResult 1 = -2147217401 (0x80041007)
- hResult 2 = 0 (0x00000000)
Примечание. В описании события могут быть указаны другие коды статуса и результата. Чтобы точно определить причину ошибки, вам может потребоваться изучить файлы журналов Password Sync.
Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.