U kunt de volgende problemen met certificaten zien in het logbestand van Google Cloud Directory Sync (GCDS):
- sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
- ldap_simple_bind_s() failed: Strong Authentication Required
Volg de onderstaande stappen om deze fouten op te lossen.
Op deze pagina
- Certificaatfouten oplossen
- Hoe GCDS Certificate Revocation Lists controleert
- De synchronisatie werkt langzaam nadat ik ben overgestapt op LDAP+SSL
- Zorgen voor verificatie na update van Microsoft ADV190023
Certificaatfouten oplossen
Gedeelte openen | Alles samenvouwen en naar bovenkant gaan
Stappen voor Microsoft WindowsHet vmoption-bestand updaten
- Sluit Configuratiebeheer.
- Open de bestanden sync-cmd.vmoptions en config-manager.vmoptions in de installatiedirectory van GCDS.
De installatiedirectory is meestal C:\Program Files\Google Cloud Directory Sync.
- Voeg de volgende regels toe aan de bestanden:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOT
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - Start Configuratiebeheer opnieuw en ga naar de pagina LDAP-configuratie.
- Geef LDAP+SSL op bij Verbindingstype.
- Kies een optie bij Poort:
- Als u eerder 389 gebruikte, geeft u 636 op.
- Als u eerder 3268 gebruikte, geeft u 3269 op.
- Klik op Verbinding testen.
- Als u het volgende krijgt:
- Een certificaatfout: controleer op de computer waarop GCDS wordt uitgevoerd of het certificaat door Windows wordt vertrouwd. Ga daarna naar Stap 2: Het servercertificaat importeren (hieronder).
- Een fout bij het controleren van de certificaatintrekking: volg de stappen in Hoe GCDS Certificate Revocation Lists controleert.
- Andere fouten (zoals netwerkfouten): ga naar Veelvoorkomende problemen met GCDS oplossen.
Het servercertificaat importeren
U kunt deze stappen ook uitvoeren om certificaten te importeren voor LDAP-servers of HTTP-proxy's die zelfondertekende certificaten gebruiken.
- Log in bij de domeincontroller en open een opdrachtprompt.
- Geef de volgende opdracht op om het domeincontrollercertificaat te exporteren:
certutil -store My DomainController dccert.cer
- Kopieer het dccert.cer-bestand naar de server waarop GCDS is geïnstalleerd.
- Open een opdrachtprompt als beheerder.
- Geef de volgende opdracht op om de installatiemap voor GCDS Java Runtime Environment (JRE) te openen:
cd "c:\Program Files\Google Cloud Directory Sync\jre"
Als u een 32-bits versie van GCDS gebruikt die is geïnstalleerd op een 64-bits Windows-systeem, gebruikt u cd "c:\Program Files (x86)\Google Cloud Directory Sync\jre".
- Geef de volgende opdracht op om het certificaat van de domeincontroller te importeren:
bin\keytool -keystore lib\security\cacerts -storepass changeit -import -file c:\dccert.cer -alias mydc
Als u meer dan één certificaat moet importeren, herhaalt u deze stappen met een andere alias in plaats van mydc.
- Als u wordt gevraagd of u het certificaat wilt vertrouwen, geeft u Ja op.
- Sluit Configuratiebeheer.
- Open in de installatiedirectory van GCDS de bestanden sync-cmd.vmoptions en config-manager.vmoptions in een teksteditor.
- Verwijder de volgende regels uit elk bestand:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTAls u deze regels verwijdert, gebruikt GCDS de certificaatopslag in lib/security/cacerts in plaats van de Windows-systeemopslag.
- Open Configuratiebeheer. Ga naar de pagina LDAP-configuratie en klik op Verbindingen testen.
- Als u nog steeds certificaatfouten ziet, moet u wellicht het certificaat van de certificeringsinstantie (CA) van uw organisatie importeren in plaats van het certificaat van de domeincontroller. Herhaal hiervoor deze stappen, maar exporteer en importeer in dit geval het CA-certificaat.
U kunt deze stappen ook uitvoeren om certificaten te importeren voor LDAP-servers of HTTP-proxy's die zelfondertekende certificaten gebruiken.
- Log in bij de domeincontroller en open een opdrachtprompt.
- Geef de volgende opdracht op om het domeincertificaat te vinden:
certutil -store My DomainController dccert.cer
- Kopieer het dccert.cer-bestand naar de server waarop GCDS is geïnstalleerd.
- Open de opdrachtprompt en geef de volgende opdracht op om de installatiemap voor GCDS Java Runtime Environment (JRE) te openen:
cd ~/GoogleCloudDirSync/jre
- Geef de volgende opdracht op om het certificaat van de domeincontroller te importeren:
bin/keytool -keystore lib/security/cacerts -storepass changeit -import -file ~/dccert.cer -alias mydc
Als u meer dan één certificaat moet importeren, herhaalt u deze stappen met een andere alias in plaats van mydc.
- Als u wordt gevraagd of u het certificaat wilt vertrouwen, geeft u Ja op.
- Sluit Configuratiebeheer.
- Open in de installatiedirectory van GCDS de bestanden sync-cmd.vmoptions en config-manager.vmoptions in een teksteditor.
De installatiedirectory is meestal ~/GoogleCloudDirSync.
- Verwijder de volgende regels uit elk bestand:
-Djavax.net.ssl.trustStoreProvider=SunMSCAPI
-Djavax.net.ssl.trustStoreType=Windows-ROOTAls u deze regels verwijdert, gebruikt GCDS de certificaatopslag in lib/security/cacerts in plaats van de Windows-systeemopslag.
- Open Configuratiebeheer. Ga naar de pagina LDAP-configuratie en klik op Verbindingen testen.
- Als u nog steeds certificaatfouten ziet, moet u wellicht het certificaat van de certificeringsinstantie (CA) van uw organisatie importeren in plaats van het certificaat van de domeincontroller. Herhaal hiervoor deze stappen, maar exporteer en importeer in dit geval het CA-certificaat.
Hoe GCDS Certificate Revocation Lists controleert
GCDS moet Secure Sockets Layer-certificaten (SSL) valideren als er verbinding wordt gemaakt met Google API's (via HTTPS) en met LDAP via SSL. GCDS haalt hiervoor de Certificate Revocation Lists (CRL's) op van certificeringsinstanties via HTTP. Deze validaties mislukken soms, meestal doordat een proxy of firewall het HTTP-verzoek blokkeert.
Zorg dat de GCDS-server toegang heeft tot de volgende URL's via HTTP (poort 80):
- http://crl.pki.goog
- http://crls.pki.goog
Zie CRL-controle voor meer informatie over huidige CRL's. Er zijn mogelijk extra URL's nodig als u uw eigen certificaten gebruikt voor LDAP via SSL.
Als u CRL-toegang niet kunt toestaan, kunt u CRL-controles uitzetten:
- Open in de installatiedirectory van GCDS de bestanden sync-cmd.vmoptions en config-manager.vmoptions in een teksteditor.
De installatiedirectory is meestal C:\Program Files\Google Cloud Directory Sync (Windows) of ~/GoogleCloudDirSync (Linux).
- Voeg deze regels toe aan de bestanden:
-Dcom.sun.net.ssl.checkRevocation=false
-Dcom.sun.security.enableCRLDP=false
De synchronisatie werkt langzaam nadat ik ben overgestapt op LDAP+SSL
Doe het volgende als u bent overgestapt op LDAP+SSL en het synchronisatieproces langzaam is:
- Sluit Configuratiebeheer.
- Open in de installatiedirectory van GCDS de bestanden sync-cmd.vmoptions en config-manager.vmoptions in een teksteditor.
De installatiedirectory is meestal C:\Program Files\Google Cloud Directory Sync (Windows) of ~/GoogleCloudDirSync (Linux).
- Voeg de volgende regels toe aan de bestanden:
-Dcom.sun.jndi.ldap.connect.pool.protocol=plain ssl
-Dcom.sun.jndi.ldap.connect.pool.authentication=none simple - Sla de bestanden op en probeer opnieuw te synchroniseren.
Zorgen voor verificatie na update van Microsoft ADV190023
Als u Microsoft Active Directory met ingeschakelde kanaalbinding en LDAP-ondertekening gebruikt, moet u aanvullende stappen uitvoeren om te zorgen dat GCDS wordt geverifieerd met LDAP via SSL. Anders maakt GCDS geen verbinding met Active Directory en mislukken de synchronisaties. U moet deze stappen ook uitvoeren als u eerder een synchronisatie heeft uitgevoerd met standaard LDAP-verificatie. Bekijk de Microsoft-documentatie voor meer informatie over Microsoft-advies ADV190023.
Als u al LDAP via SSL gebruikt, hoeft u niets te doen.
Gedeelte openen | Alles samenvouwen en naar bovenkant gaan
Stap 1: TLS aanzetten in Active DirectoryOpmerking: De termen TLS en SSL worden vaak door elkaar gebruikt.
Raadpleeg deze Microsoft-artikelen om TLS aan te zetten in Active Directory:
- LDAP via SSL aanzetten via een certificeringsinstantie van derden
- Creating Custom Secure LDAP Certificates for Domain Controllers with Auto Renewal (Aangepaste Secure LDAP-certificaten maken voor domeincontrollers met automatische verlenging)
- Problemen met LDAP via SSL-verbinding oplossen
De certificeringsinstantie (CA) die het certificaat van uw domeincontroller heeft ondertekend, moet worden vertrouwd door GCDS. De meeste bekende internet-CA's, zoals Verisign, Comodo en Let's Encrypt, worden vertrouwd. Als u een van deze CA's gebruikt, kunt u deze stap overslaan.
Als uw CA niet wordt vertrouwd of als u een eigen hoofd-CA gebruikt, volgt u de stappen in Certificaatfouten oplossen hierboven.- Open Configuratiebeheer en ga naar de pagina LDAP-configuratie.
- Geef LDAP+SSL op bij de instelling Verbindingstype.
- Geef bij de instelling Poort de optie 636 (als u eerder 389 gebruikte) of 3269 (als u eerder 3268 gebruikte) op.
- Klik op Verbinding testen.
Google, Google Workspace en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.