有時您會在 Password Sync 記錄中看到幾行疑似錯誤的內容,但通常這些內容並非表示出現任何同步或設定問題。請按照下列資訊進行疑難排解。
試用 Log 分析工具
您可以將追蹤記錄提交至 Google Admin Toolbox Log 分析工具。大多數情況下,系統很快就能確認問題癥結所在。
進一步瞭解追蹤記錄檔所在位置。
Password Sync 記錄
追蹤檔記錄位於何處?Password Sync 追蹤記錄位於電腦的以下位置:C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Google Apps Password Sync\Tracing\password_sync_service
如要查看追蹤記錄檔範例,請參閱下方的檢查記錄一節。
您可以使用 Password Sync 支援工具 (Google 提供的開放原始碼工具),從所有網域控制站收集 Password Sync 記錄和疑難排解資訊。
尋找設定檔和記錄
設定檔
- 檔案位置:
C:\ProgramData\Google\Google Apps Password Sync\config.xml
- 檔案用途:
從這個檔案中檢查您的設定。
服務記錄
- 檔案位置:
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Google Apps Password Sync\Tracing\password_sync_service
- 檔案用途:
如果您已成功設定 Password Sync,但系統卻未同步處理全部或部分使用者的密碼,請檢閱這些檔案。
如要查看追蹤記錄檔範例,請參閱下方的檢查記錄一節。
服務授權記錄
- 檔案位置:
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Google\Identity
- 檔案用途:
如果 Password Sync 服務記錄中出現「驗證失敗」錯誤訊息,以及 0x6、0x203、0x4 或 0x102 錯誤代碼,請檢閱這些檔案。
如要查看授權記錄檔範例,請參閱下方的檢查記錄一節。
設定介面記錄
- 檔案位置:
C:\Users\<您的使用者名稱>\AppData\Local\Google\Google Apps Password Sync\Tracing\Password Sync
C:\Users\<您的使用者名稱>\AppData\Local\Google\Google Apps Password Sync\Tracing\GoogleAppsPasswordSync (如果使用 1.6 以下版本)
- 檔案用途:
如果您在設定過程中遇到問題,請檢閱這些檔案。
如要查看追蹤記錄檔範例,請參閱下方的檢查記錄一節。
設定介面授權記錄
- 檔案位置:
C:\Users\<您的使用者名稱>\AppData\Local\Google\Identity
- 檔案用途:
如果您在設定過程的 Google 授權階段遇到問題,請檢閱這些檔案。
DLL 記錄
- 檔案位置:
C:\Windows\System32\config\systemprofile\AppData\Local\Google\Google Apps Password Sync\Tracing\lsass
- 檔案用途:
如果服務記錄沒有出現任何嘗試變更密碼的跡象 (既沒有變更成功的報告,也沒有問題報告),請檢閱這些檔案。
指令列安裝程式記錄
- 檔案位置:
C:\Users\<您的使用者名稱>\AppData\Local\Google\Google Apps Password Sync\Tracing\MsiExec
- 檔案用途:
如果在透過指令列安裝 Password Sync 期間遇到問題,請檢閱安裝程式記錄和 msi_log.txt 檔案 (或是提供給參數 /l*vx 的檔案名稱)。
當機報告記錄
- 檔案位置:
如果 Password Sync UI 設定工具當機,您可以在以下位置找到記錄:
C:\Users\<您的使用者名稱>\AppData\Local\Temp如果 Password Sync 服務當機,您可以在以下位置找到記錄:C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp
- 檔案用途:
如果管理員變更了預設的暫存目錄,請參閱如何找出暫存目錄一節,瞭解如何取得該資訊。
如何找出暫存目錄
如果 Password Sync 設定精靈當機:
- 開啟命令提示字元 (CMD)
-
輸入 echo %TEMP%。
如果 Password Sync 服務當機:
- 請參閱這篇 Microsoft 文章,下載 PsExec 程式檔案。
- 開啟命令提示字元 (CMD)。
- 前往當初下載 PsExec 檔案的目錄。
- 輸入 psexec.exe -i -s %SystemRoot%\system32\cmd.exe
- 在新的指令視窗開啟後,指定以下指令:whoami.
系統會顯示類似「nt authority\system」的訊息。
- 輸入 echo %TEMP%。
如果您遇到網路錯誤 (例如網路逾時和連線遭拒等) 或者安全資料傳輸層/傳輸層安全標準問題 (亦稱 SSL/TLS 問題,例如安全連線問題),相關記錄會顯示這項工具嘗試連線的 IP 位址。如果有安全連線問題,記錄中會顯示原因 (例如憑證名稱不符、憑證已過期或無法檢查 CRL 等等) 和憑證詳細資料 (例如 Google 憑證或 HTTPS 檢查 Proxy)。有了這些記錄,應該就能大幅減少需要取得網路擷取資料來排解問題的情況。無論是主要記錄 (Trace-*.log) 還是授權記錄 (位於「Identity」資料夾) 都很有參考價值。
授權記錄範例
[2022-09-21T03:59:46:ERROR:windows_http.cc(331)] TLS connection failure. See details below. [Status: 0x00010000. Status Info: 0x00000001]
[2022-09-21T03:59:46:ERROR:windows_http.cc(340)] Certificate details:
---Validity--
Valid from: 2017-09-13 17:23:55 UTC
Valid until: 2017-12-06 17:10:00 UTC
---Subject---
US
California
Mountain View
Google Inc
*.googleapis.com
---Issuer----
US
Google Inc
Google Internet Authority G2
-------------
[2022-09-21T03:59:46:ERROR:windows_http.cc(282)] WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED: Certification revocation checking has been enabled, but the revocation check failed to verify whether a certificate has been revoked. The server used to check for revocation might be unreachable.
[2022-09-21T03:59:46:ERROR:windows_http.cc(197)] Error from API WinHttpSendRequest with WinHTTP proxy. Will try direct (without proxy). Code: 0x00002f8f
[2022-09-21T03:59:46:ERROR:windows_http.cc(107)] Network connection destination details: 216.58.194.170:443 (sfo07s13-in-f170.1e100.net)
上例顯示,由於電腦上當前日期的年份已變更為 2022 年,導致系統誤以為憑證已經過期。您可以在每行記錄的開頭找到當前日期,並發現該日期晚於憑證的「Valid from」和「Valid until」日期。出現 WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED 錯誤標記則代表系統未能檢查憑證撤銷情況。
在最後一行記錄的「Network connection destination details」後方,您也可以找到目的地 IP 位址和經過解析的主機名稱。這個 1e100.net address 即代表 Google。
追蹤記錄範例
注意:以下範例是 GWMMO 的記錄。當 GSMME、Password Sync 或 GWSMO 遇到網路/TLS 問題時,這些產品中也會顯示類似的追蹤記錄項目。
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2025 ()> Secure connection failure. Status: 0x00010000. Info 0x00000009
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2030 ()> Failure details:
WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED: Certification revocation checking has been enabled, but the revocation check failed to verify whether a certificate has been revoked. The server used to check for revocation might be unreachable.
WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA: The function is unfamiliar with the Certificate Authority that generated the server's certificate.
Certificate details:
---Validity--
Valid from: 2016-09-20T04:08:45.000Z
Valid until: 2022-09-20T04:08:45.000Z
---Subject---
Created by http://www.fiddler2.com
DO_NOT_TRUST
*.google.com
---Issuer----
Created by http://www.fiddler2.com
DO_NOT_TRUST
DO_NOT_TRUST_FiddlerRoot
-------------
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2071 ()> Error result 5, hr = 0x80072f8f. Setting event 0000000000001638.
2017-09-21T04:10:04.356-03:00 1a20 E:Network ClientMigration!WinHttp::HandleCallback @ 2076 ()> Network connection destination details: 127.0.0.1:8888 (COMPUTERNAME)
上例顯示使用者已安裝 Fiddler 並設定使用這項工具來執行 HTTPS 解密作業 (這表示 Fiddler 使用的是自身的憑證),但是因為相關憑證已從 Windows 的信任憑證清單中移除,所以 Fiddler 處於不受信任的狀態。請注意,由於 Fiddler 是 Proxy,所以是連線至 127.0.0.1 (而不是 Google)。錯誤標記包含 WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA,代表系統不信任憑證授權單位 (CA). 。另請注意,此例中的憑證不是由 Google 核發。
記錄錯誤
記錄開端提及 Outlook 的錯誤如果您使用的是舊版的 Password Sync,記錄檔開端可能會顯示 Microsoft Outlook 的相關錯誤。不過,這不會對 Password Sync 造成影響,因此您可以忽略這些錯誤。以下是提及 Outlook 錯誤的 Password Sync 記錄示例:
2022-04-12T09:00:00.563+03:00 14cc E:Generic password_sync_service!GetOutlookExePath @ 24 ()> Failed with 0x80070002, last successful line = 17.
2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!GetOutlookVersion @ 255 ()> Failed with 0x80070002, last successful line = 247.
2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!GetOfficeRegistryBase @ 362 ()> Failed with 0x80070002, last successful line = 360.
2022-04-12T09:00:00.578+03:00 14cc E:Generic password_sync_service!ResourceStrings::GetOutlookLanguage @ 124 ()> Failed with 0x80070002, last successful line = 111.
Password Sync 的記錄元件會嘗試搜尋 Outlook 的版本並在記錄中回報。由於 Password Sync 並不需要 Outlook,您可以放心忽略這些錯誤。
部分與 WinHTTP (Password Sync 用來連線至 Google 的 Microsoft Windows 元件) 相關的錯誤和警告是無害的,例如:
2022-08-06T03:30:46.590-07:00 8d4 W:Network password_sync_service!LogPotentialProxyNetworkFailure @ 287 (user@example.com)> WinHttpGetProxyForUrl auto-detect failed with 0x80072f94. 0/(null). IsNetworkActive is 1, flags 1, IsNetworkActive GetLastError 0x80004005
2022
-08-06T03:30:47.371-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::RetriveUser @ 210 (user@
example
.com)> retrieved user......
2022
-08-06T03:30:47.374-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::RetriveUser @ 257 (user@
example
.com)> Successfully retrieved user
2022
-08-06T03:30:47.374-07:00 8d4 A:PasswordSync password_sync_service!AppsLogin::AppsLogin @ 32 (user@
example
.com)> Created Apps login
2022
-08-06T03:30:48.113-07:00 8d4 A:PasswordSync password_sync_service!PasswordSyncTask::UpdateUser @ 181 (user@
example
.com)> Successfully updated password
2022
-08-06T03:30:48.113-07:00 8d4 W:Network password_sync_service!WinHttp::WaitForAsyncEvent @ 2088 (user@
example
.com)> Handle closed while waiting for CloseAllTrackedWinhttpHandles.
2022
-08-06T03:30:48.113-07:00 8d4 E:Network password_sync_service!WinHttp::WaitForAsyncEvent @ 2089 (user@
example
.com)> Failed with 0x80072ef3, last successful line = 2062.
2022
-08-06T03:30:48.113-07:00 8d4 E:Network password_sync_service!WinHttp::CloseAllTrackedWinhttpHandles @ 1766 (user@
example
.com)> Failed waiting for handle close, retry 0, hr = 80072ef3, 1 handles remaining
出現這類錯誤和警告,代表有部分操作並未按照 Password Sync 的預期完成。但請注意記錄回報了 "Successfully updated password
",這表示您可以忽略所有與網路相關的錯誤和警告,因為密碼已正確同步。
您可能會在記錄中看到這類的錯誤:
2022-04-25T14:24:54.052+03:00 fd0 A:PasswordSync password_sync_service!PasswordSyncService::RunSyncService @ 309 ()> Updating password for "COMP$"
2022-04-25T14:24:54.130+03:00 93c E:PasswordSync password_sync_service!LDAPConnector::QueryForTargetEmail @ 86 ()> Failed with 0x80005010, last successful line = 83.
2022-04-25T14:24:54.130+03:00 93c E:PasswordSync password_sync_service!PasswordSyncTask::DoWork @ 77 ()> Error while retrieving target email for COMP$
這個密碼已更新的實體以貨幣符號 ($) 結尾,代表這個實體是 Active Directory 中的電腦帳戶。由於電腦帳戶並不具有電子郵件地址,因此 Password Sync 無法擷取電子郵件地址,也就無法同步處理密碼。這是可預期的情況,因為電腦帳戶的密碼是由 Windows 自動設定,不需要同步處理到您的 Google 帳戶。
首次執行 Password Sync 設定介面時,您可能會在 Password Sync 設定 UI 記錄中看到以下錯誤 (帶有「E:」的標籤):
2022-02-13T16:07:05.374+00:00 13e0 A:PasswordSync PasswordSync!PasswordSyncConfig::InitSyncConfig @ 334 ()> Loading config from C:\ProgramData\\Google\Google Apps Password Sync\config.xml
2022-02-13T16:07:05.374+00:00 13e0 E:PasswordSync PasswordSync!SyncConfig::Load @ 40 ()> Failed with 0x80070002, last successful line = 37.
這是可預期的情況,因為首次執行設定介面時沒有現成的設定。不過,如果您在服務記錄中看到這個錯誤,可能代表您已經為 Password Sync 啟用了應用程式相容性設定。請務必先停用這項設定,再重新設定 Password Sync。
Password Sync 會為重要事件新增 Windows 事件記錄項目。您可以在 [事件檢視器] [應用程式及服務記錄檔] [Google] 下方找到這些項目。所有事件都會以「GoogleAppsPasswordSync」做為來源。這類訊息也會寫入 Password Sync 記錄檔。
注意:您可以透過 Windows 事件記錄項目中的豐富資訊,輕鬆進行監控。如需完整疑難排解資訊,請參閱排解 Password Sync 問題。
如果因不符合使用者名稱和群組名稱規範或密碼規範而導緻密碼同步處理失敗:
Event ID: 258
Severity: Warning
Category: LSASS
Contents: An attempt to change the password for user "USERNAME" was made. However, the new password contains unsupported characters. The password can not be updated on the Google Account, and will be out of sync with Active Directory.
如果 Password Sync 服務因使用者嘗試變更密碼而停止運作:
Event ID: 259
Severity: Error
Category: LSASS
Contents: An error occurred while trying to communicate with the Password Sync Service; the password update request for account "USERNAME" could not be processed.
Status = 0 (0x00000000).
Please make sure the service is running.
如果為使用者的密碼進行雜湊處理時發生錯誤:
Event ID: 260
Severity: Error
Category: LSASS
Contents: An error occurred while hashing the password for account "USERNAME".
Status = 0 (0x00000000).
如果使用者設定的密碼長度超過 200 個字元,就會遭到截斷。使用者在 Active Directory 設定的密碼會保持不變,但不會與 Google 帳戶保持同步:
Event ID: 261
Severity: Warning
Category: LSASS
Contents: Password for account "USERNAME" being trucated to to the first 200 characters.
Password Sync 服務啟動後:
Event ID: 512
Severity: Informational
Category: Service
Contents: Password Sync service starting.
Password Sync 服務停止時:
Event ID: 513
Severity: Informational
Category: Service
Contents: Password Sync service shut down.
Status = 0 (0x00000000)
Active Directory 使用者密碼成功與 Google 帳戶同步時:
Event ID: 514
Severity: Success
Category: Service
Contents: The password change for Active Directory user "USERNAME" was synchronized to Google Account "username@example.com" successfully.
Status = 0 (0x00000000)
如果 Password Sync 收到密碼變更通知,但找不到相應的 Active Directory 使用者:
Event ID: 768
Severity: Error
Category: LDAP Connector
Contents: The account "USERNAME" was not found on Active Directory.
LDAP Connector status = 20498 (0x00005012).
注意:詳情請參閱錯誤代碼 0x00005012。
如果未設定電子郵件屬性的 Active Directory 使用者變更了密碼:
Event ID: 769
Severity: Warning
Category: LDAP Connector
Contents: The account "USERNAME" seems not to have an Email attribute set; its password will not get synchronized to Google.
LDAP Connector status = -2147463152 (0x80005010).
注意:詳情請參閱錯誤代碼 0x80005010。
如果查詢 Active Directory 時發生未預期的錯誤:
Event ID: 770
Severity: Error
Category: LDAP Connector
Contents: An unexpected error occurred while querying Active Directory.
LDAP Connector status = -2147467259 (0x80004005).
System Message: Unspecified failure
如果嘗試同步處理密碼時 API 要求失敗:
Event ID: 1024
Severity: Error
Category: Google Connector
Contents: An API call to the Google server returned an unexpected response while updating the password for account "username@example.com" during the 'PasswordSyncTask::PutUser' step; all retries have been exhausted.
Details:
- Host: apps-apis.google.com
- Auth Result = 0 (0x00000000)
- GDataStatus = 7 (0x00000007) GDSTATUS_BAD_REQUEST
- hResult 1 = -2147217401 (0x80041007)
- hResult 2 = 0 (0x00000000)
注意:事件詳細資料可能包含不同的狀態和結果代碼,因此您可能需要進一步檢查 Password Sync 記錄檔,才能精準找出錯誤原因。
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。