Problemen met certificaten oplossen

U kunt de volgende problemen met certificaten zien in het logbestand van Google Cloud Directory Sync (GCDS):

  • sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
  • ldap_simple_bind_s() failed: Strong Authentication Required

Volg de onderstaande stappen om deze fouten op te lossen.

Op deze pagina

Certificaatfouten oplossen

Gedeelte openen  |  Alles samenvouwen en naar bovenkant gaan

Stappen voor Microsoft Windows

Het vmoption-bestand updaten

  1. Sluit Configuratiebeheer.
  2. Open de bestanden sync-cmd.vmoptions en config-manager.vmoptions in de installatiedirectory van GCDS.

    De installatiedirectory is meestal C:\Program Files\Google Cloud Directory Sync.

  3. Voeg de volgende regels toe aan de bestanden:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT
    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Start Configuratiebeheer opnieuw en ga naar de pagina LDAP-configuratie.
  5. Geef LDAP+SSL op bij Verbindingstype.
  6. Kies een optie bij Poort:
    • Als u eerder 389 gebruikte, geeft u 636 op.
    • Als u eerder 3268 gebruikte, geeft u 3269 op.
  7. Klik op Verbinding testen.
  8. Als u het volgende krijgt:

Het servercertificaat importeren

U kunt deze stappen ook uitvoeren om certificaten te importeren voor LDAP-servers of HTTP-proxy's die zelfondertekende certificaten gebruiken.

  1. Log in bij de domeincontroller en open een opdrachtprompt.
  2. Geef de volgende opdracht op om het domeincontrollercertificaat te exporteren:

    certutil -store My DomainController dccert.cer

  3. Kopieer het dccert.cer-bestand naar de server waarop GCDS is geïnstalleerd.
  4. Open een opdrachtprompt als beheerder.
  5. Geef de volgende opdracht op om de installatiemap voor GCDS Java Runtime Environment (JRE) te openen:

    cd "c:\Program Files\Google Cloud Directory Sync\jre"

    Als u een 32-bits versie van GCDS gebruikt die is geïnstalleerd op een 64-bits Windows-systeem, gebruikt u cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre".

  6. Geef de volgende opdracht op om het certificaat van de domeincontroller te importeren:

    bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc

    Als u meer dan één certificaat moet importeren, herhaalt u deze stappen met een andere alias in plaats van mydc.

  7. Als u wordt gevraagd of u het certificaat wilt vertrouwen, geeft u Ja op.
  8. Sluit Configuratiebeheer.
  9. Open in de installatiedirectory van GCDS de bestanden sync-cmd.vmoptions en config-manager.vmoptions in een teksteditor.
  10. Verwijder de volgende regels uit elk bestand:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    Als u deze regels verwijdert, gebruikt GCDS de certificaatopslag in lib/security/cacerts in plaats van de Windows-systeemopslag.

  11. Open Configuratiebeheer. Ga naar de pagina LDAP-configuratie en klik op Verbindingen testen.
  12. Als u nog steeds certificaatfouten ziet, moet u wellicht het certificaat van de certificeringsinstantie (CA) van uw organisatie importeren in plaats van het certificaat van de domeincontroller. Herhaal hiervoor deze stappen, maar exporteer en importeer in dit geval het CA-certificaat.
Stappen voor Linux

U kunt deze stappen ook uitvoeren om certificaten te importeren voor LDAP-servers of HTTP-proxy's die zelfondertekende certificaten gebruiken.

  1. Log in bij de domeincontroller en open een opdrachtprompt.
  2. Geef de volgende opdracht op om het domeincertificaat te vinden:

    certutil -store My DomainController dccert.cer

  3. Kopieer het dccert.cer-bestand naar de server waarop GCDS is geïnstalleerd.
  4. Open de opdrachtprompt en geef de volgende opdracht op om de installatiemap voor GCDS Java Runtime Environment (JRE) te openen:

    cd ~/GoogleCloudDirSync/jre

  5. Geef de volgende opdracht op om het certificaat van de domeincontroller te importeren:

    bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc

    Als u meer dan één certificaat moet importeren, herhaalt u deze stappen met een andere alias in plaats van mydc.

  6. Als u wordt gevraagd of u het certificaat wilt vertrouwen, geeft u Ja op.
  7. Sluit Configuratiebeheer.
  8. Open in de installatiedirectory van GCDS de bestanden sync-cmd.vmoptions en config-manager.vmoptions in een teksteditor.

    De installatiedirectory is meestal ~/GoogleCloudDirSync.

  9. Verwijder de volgende regels uit elk bestand:

    -Djavax.net.ssl.trustStoreProvider=SunMSCAPI
    -Djavax.net.ssl.trustStoreType=Windows-ROOT

    Als u deze regels verwijdert, gebruikt GCDS de certificaatopslag in lib/security/cacerts in plaats van de Windows-systeemopslag.

  10. Open Configuratiebeheer. Ga naar de pagina LDAP-configuratie en klik op Verbindingen testen.
  11. Als u nog steeds certificaatfouten ziet, moet u wellicht het certificaat van de certificeringsinstantie (CA) van uw organisatie importeren in plaats van het certificaat van de domeincontroller. Herhaal hiervoor deze stappen, maar exporteer en importeer in dit geval het CA-certificaat.

Hoe GCDS Certificate Revocation Lists controleert

GCDS moet Secure Sockets Layer-certificaten (SSL) valideren als er verbinding wordt gemaakt met Google API's (via HTTPS) en met LDAP via SSL. GCDS haalt hiervoor de Certificate Revocation Lists (CRL's) op van certificeringsinstanties via HTTP. Deze validaties mislukken soms, meestal doordat een proxy of firewall het HTTP-verzoek blokkeert.

Zorg dat de GCDS-server toegang heeft tot de volgende URL's via HTTP (poort 80):

  • http://crl.pki.goog
  • http://crls.pki.goog

Zie CRL-controle voor meer informatie over huidige CRL's. Er zijn mogelijk extra URL's nodig als u uw eigen certificaten gebruikt voor LDAP via SSL.

Als u CRL-toegang niet kunt toestaan, kunt u CRL-controles uitzetten:

  1. Open in de installatiedirectory van GCDS de bestanden sync-cmd.vmoptions en config-manager.vmoptions in een teksteditor.

    De installatiedirectory is meestal C:\Program Files\Google Cloud Directory Sync (Windows) of ~/GoogleCloudDirSync (Linux).

  2. Voeg deze regels toe aan de bestanden:

    -Dcom.sun.net.ssl.checkRevocation=false
    -Dcom.sun.security.enableCRLDP=false

De synchronisatie werkt langzaam nadat ik ben overgestapt op LDAP+SSL

Doe het volgende als u bent overgestapt op LDAP+SSL en het synchronisatieproces langzaam is:

  1. Sluit Configuratiebeheer.
  2. Open in de installatiedirectory van GCDS de bestanden sync-cmd.vmoptions en config-manager.vmoptions in een teksteditor.

    De installatiedirectory is meestal C:\Program Files\Google Cloud Directory Sync (Windows) of ~/GoogleCloudDirSync (Linux).

  3. Voeg de volgende regels toe aan de bestanden:

    -Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
    -Dcom.sun.jndi.ldap.connect.pool.authentication=none simple

  4. Sla de bestanden op en probeer opnieuw te synchroniseren.

Zorgen voor verificatie na update van Microsoft ADV190023

Als u Microsoft Active Directory met ingeschakelde kanaalbinding en LDAP-ondertekening gebruikt, moet u aanvullende stappen uitvoeren om te zorgen dat GCDS wordt geverifieerd met LDAP via SSL. Anders maakt GCDS geen verbinding met Active Directory en mislukken de synchronisaties. U moet deze stappen ook uitvoeren als u eerder een synchronisatie heeft uitgevoerd met standaard LDAP-verificatie. Bekijk de Microsoft-documentatie voor meer informatie over Microsoft-advies ADV190023.

Als u al LDAP via SSL gebruikt, hoeft u niets te doen.

Gedeelte openen  |  Alles samenvouwen en naar bovenkant gaan

Stap 1: TLS aanzetten in Active Directory

Opmerking: De termen TLS en SSL worden vaak door elkaar gebruikt.

Raadpleeg deze Microsoft-artikelen om TLS aan te zetten in Active Directory:

Stap 2: Zorgen dat het certificaat wordt vertrouwd

De certificeringsinstantie (CA) die het certificaat van uw domeincontroller heeft ondertekend, moet worden vertrouwd door GCDS. De meeste bekende internet-CA's, zoals Verisign, Comodo en Let's Encrypt, worden vertrouwd. Als u een van deze CA's gebruikt, kunt u deze stap overslaan.

Als uw CA niet wordt vertrouwd of als u een eigen hoofd-CA gebruikt, volgt u de stappen in Certificaatfouten oplossen hierboven.
Stap 3: Configuratiebeheer instellen
  1. Open Configuratiebeheer en ga naar de pagina LDAP-configuratie.
  2. Geef LDAP+SSL op bij de instelling Verbindingstype.
  3. Geef bij de instelling Poort de optie 636 (als u eerder 389 gebruikte) of 3269 (als u eerder 3268 gebruikte) op.
  4. Klik op Verbinding testen.


Google, Google Workspace en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.

Was dit nuttig?

Hoe kunnen we dit verbeteren?
true
Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
11291571835796636283
true
Zoeken in het Helpcentrum
true
true
true
false
false