Häufige GCDS-Probleme beheben - Google Workspace-Admin-Hilfe [gg-a-de]

Beheben Sie allgemeine GCDS-Probleme

So beheben Sie Probleme, die möglicherweise beim Konfigurieren von Google Cloud Directory Sync (GCDS) auftreten.

Einrichtung & Konfiguration | Fehler | Benutzer & Gruppen | Kontakte & Kalender | Regeln

Probieren Sie den Protokollanalysator aus

Dieses Tool kann die meisten Probleme innerhalb weniger Augenblicke nach der Übermittlung identifizieren.

• Senden Sie Ihre Trace-Protokolle (als unkomprimierte oder ZIP-Dateien) an den Google Admin Toolbox Log Analyzer .
• Für eine erweiterte Protokollanalyse können Sie auch unkomprimierte Dateien an Log Analyzer 2 senden.

Informieren Sie sich, wie Sie die Protokollierung auf Ablaufverfolgungsebene aktivieren .

Einrichtung & Konfiguration

Abschnitt erweitern | Alles zusammenklappen

Beheben Sie eine Konfiguration mit Configuration Manager

Wenn Sie Probleme haben, eine Synchronisierung ordnungsgemäß auszuführen, überprüfen Sie, ob die Konfigurationsinformationen in Configuration Manager korrekt sind, und notieren Sie, welche Tests fehlschlagen:

1. Öffnen Sie in Configuration Manager die XML-Datei, die Sie zum Konfigurieren der Synchronisierung verwenden.
2. Klicken Sie auf der Seite „ LDAP-Verbindungen " auf Verbindungen testen , um zu bestätigen, dass Sie eine Verbindung zu Ihrem LDAP-Server herstellen können.
3. Klicken Sie auf der Seite „ Benachrichtigungen " auf Testbenachrichtigung , um zu bestätigen, dass Sie eine Testbenachrichtigung senden können.
4. Klicken Sie auf der Seite Synchronisierung auf Synchronisierung simulieren , um zu bestätigen, dass Sie alle erforderlichen Felder ausgefüllt haben und um zu bestätigen, dass die Synchronisierung ausgeführt wird.

Fehlerbehebung bei einer Konfiguration mit Protokolldateien

Um eine Konfiguration mithilfe von Protokolldateien zu beheben, senden Sie generierte Protokolle an den Protokollanalysator .

Die meisten Probleme können innerhalb weniger Augenblicke nach der Einreichung identifiziert werden.

Benötige ich einen Benachrichtigungsserver, um eine simulierte Synchronisierung auszuführen?

Um eine simulierte Synchronisierung auszuführen, benötigen Sie einen Server, der E-Mails senden kann. Wenn Sie GCDS auf einem Mailserver-Computer ausführen, können Sie die IP-Adresse 127.0.0.1 für Ihren Mailserver verwenden. Wenden Sie sich andernfalls an Ihren E-Mail-Administrator, um die korrekten E-Mail-Informationen zu erhalten.

Wie aktiviere ich die vollständige HTTP-Protokollierung für API-Anforderungen?

In seltenen Fällen werden Sie vom Google Cloud-Support möglicherweise aufgefordert, die vollständige HTTP-Protokollierung zusätzlich zur Protokollierung auf Ablaufverfolgungsebene in GCDS zu aktivieren. Die vollständige HTTP-Protokollierung wird verwendet, um die genaue API-Anforderung von GCDS und die von den Google-APIs bereitgestellte Antwort anzuzeigen.

Wichtig : Vollständige HTTP-Protokolle können hochsensible Informationen enthalten. Entfernen Sie alle vertraulichen Informationen (z. B. aktuelle Felder „refresh_token" oder „access_token"), bevor Sie die Protokolle an den Support senden.

So aktivieren Sie die vollständige HTTP-Protokollierung:

1. Stellen Sie sicher, dass GCDS weder mit sync-cmd noch mit Configuration Manager ausgeführt wird.
2. Navigieren Sie zum GCDS-Installationsordner.
3. Bearbeiten Sie die Datei jre/lib/logging.properties .
4. Fügen Sie am Ende der Datei die folgenden Zeilen hinzu:

   java.util.logging.FileHandler.pattern = %h/gcdshttp%u.%g.log
java.util.logging.FileHandler.limit = 5000000
java.util.logging.FileHandler.count = 100
java.util.logging.FileHandler.formatter = java.util.logging.SimpleFormatter
handlers = java.util.logging.FileHandler
com.google.api.client.http.level = CONFIG

com.google.gdata.client.http.HttpGDataRequest.level = ALL
sun.net.www.protocol.http.HttpURLConnection.level = ALL

5. Speicher die Datei.
6. Führen Sie eine weitere GCDS-Synchronisierung aus (wobei die Protokollierung auf Trace festgelegt ist).

   Protokolldateien mit dem Namen gcdshttp*.log werden im Homedir- (Linux) oder Profilordner (Microsoft Windows) erstellt. Archivieren Sie diese Dateien zusammen, da sie ziemlich groß sein können.

7. Löschen Sie die in Schritt 4 hinzugefügten Zeilen, um zu verhindern, dass in Zukunft große Protokolldateien erstellt werden.

Stellen Sie dann die folgenden Dateien zur Unterstützung bereit:

• Die verwendete XML-Datei.
• Die Protokolle auf Ablaufverfolgungsebene von der letzten Synchronisierung.
• Die von der Synchronisierung generierten gcdshttp*.log Dateien.

Anhand dieser Protokolle kann der Support die von der Verzeichnis-API an GCDS bereitgestellten Informationen und die Antworten von GCDS einsehen.

Protokollierte Anforderungs- und Antworttexte sind jeweils auf eine Größe von 16 KB begrenzt. Wenn Sie einen Protokolleintrag sehen, der abgeschnitten ist, weil er dieses Limit überschreitet, verwenden Sie Fiddler wie unten vorgeschlagen.

Hinweis : Wenn Sie einen Debugging-Proxy wie Fiddler mit GCDS verwenden möchten, müssen Sie die .vmoptions-Dateien aktualisieren , um GCDS für die Verwendung des vertrauenswürdigen Zertifikatspeichers von Windows festzulegen, und CRL-Prüfungen deaktivieren. Sie können dann Fiddler als Proxyserver in GCDS festlegen (normalerweise 127.0.0.1 auf Port 8888) und die Verbindung wird von Fiddler protokolliert. Wenn Sie GCDS unter Linux verwenden, können Sie den vertrauenswürdigen Zertifikatspeicher von Windows nicht verwenden, daher müssen Sie das Fiddler-Stammzertifikat in den Java-Vertrauensspeicher von GCDS importieren. Weitere Informationen finden Sie unter Serverzertifikat importieren .

Wie öffne ich eine XML-Datei, die auf einem anderen Computer oder als ein anderer Benutzer gespeichert ist?

Anweisungen zum Öffnen einer XML-Datei, die auf einem anderen Computer oder als ein anderer Benutzer auf demselben Computer gespeichert wurde, finden Sie unter Arbeiten mit Konfigurationsdateien .

Wie exportiere ich Daten aus dem LDAP-Verzeichnis?

Wenn die LDAP-Daten in den GCDS-Protokollen auf Ablaufverfolgungsebene nicht mit dem übereinstimmen, was Sie auf dem LDAP-Server lesen möchten (z. B. wenn ein Benutzer nicht gefunden wird oder ein Attribut nicht den richtigen Wert hat), exportieren Sie die Daten aus das LDAP-Verzeichnis im LDIF-Format. Der Support kann die Daten mit den LDAP-Daten aus den GCDS-Protokollen vergleichen.

Verwenden Sie beim Exportieren der Daten ein LDAP-Abfragetool wie ldapsearch (Linux) oder ldifde (Windows) und simulieren Sie dieselben Bedingungen, unter denen GCDS ausgeführt wird:

• Verwenden Sie dieselben Verbindungseinstellungen wie die, für deren Verwendung GCDS konfiguriert ist.
• Führen Sie das Abfragetool auf demselben Computer aus, auf dem GCDS ausgeführt wird.
• Verwenden Sie denselben Benutzernamen für die GCDS-LDAP-Authentifizierung.

Beispiel

Ihre GCDS-Protokolle zeigen nicht das E- mail Attribut Ihrer Nutzer und Ihre GCDS-Suchregeleinstellungen sind:

• Basis-DN: ou=Ireland,dc=altostrat,dc=com
• Geltungsbereich: Teilbaum
• Suchfilter: (&(objectCategory=person)(objectClass=user))
• Server: dc01.altostrat.com
• Hafen: 636
• Protokoll: LDAP+SSL
• Authentifizierungs-Benutzer-DN: cn=GCDS,ou=Users,dc=altostrat,dc=com

Verwenden Sie diese Befehle:

• Linux: ldapsearch -v -b "ou=Ireland,dc=altostrat,dc=com" -s sub -h dc01.altostrat.com -p 636 -x -Z -D "cn=GCDS,ou=Users,dc=altostrat,dc=com" "(&(objectCategory=person)(objectClass=user))" mail givenname uniqueidentifier sn > out.ldif (Möglicherweise müssen Sie den Befehl abhängig von Ihrem System ändern.)
• Windows: ldifde -f out.ldif -s dc01.altostrat.com -v -t 636 -d "ou=Ireland,dc=altostrat,dc=com" -r "(&(objectCategory=person)(objectClass=user))" -p SubTree -l mail,givenname,uniqueidentifier,sn -a "cn=GCDS,ou=Users,dc=altostrat,dc=com" PASSWORD (Ersetzen Sie den PASSWORD Teil durch das Passwort des LDAP-Benutzers, der in GCDS festgelegt wurde. )

Wenn die Ausgabe (out.ldif) das mail Attribut für einen betroffenen Benutzer nicht enthält, liegt ein Problem mit der LDAP-Infrastruktur vor. Dies hängt möglicherweise mit den Berechtigungen des Benutzers zusammen, den Sie für den Zugriff auf das LDAP verwenden (z. B. erlauben sowohl OpenLDAP als auch Active Directory das Festlegen von Berechtigungen auf Attributebene). Oder das Attribut wird möglicherweise nicht in den globalen Katalog repliziert, wenn Sie einen globalen Katalogport wie 3268 oder 3269 verwenden.

Wenn die Ausgabe das mail Attribut für einen betroffenen Nutzer enthält, geben Sie dem Google Workspace-Support die folgenden Details an:

• Die out.ldif -Datei
• Ein Screenshot der Eingabeaufforderung oder des Terminalfensters, in dem Sie den Befehl ausgeführt haben
  (Stellen Sie sicher, dass Sie zuerst das Passwort entfernen.)
• Das GCDS-Protokoll auf Ablaufverfolgungsebene

Fehler

Abschnitt erweitern | Alles einklappen & nach oben gehen

Was ist, wenn die Synchronisierung EntityDoesNotExist/EntityExists-Fehler oder -Konflikte verursacht?

Legen Sie in Ihrer XML-Konfigurationsdatei die Option useDynamicMaxCacheLifetime fest . Diese Option konfiguriert GCDS so, dass Daten für maximal 8 Tage zwischengespeichert werden und der Cache in kleinen bis mittleren Datensätzen häufiger geleert wird, um die Wahrscheinlichkeit zu verringern, dass zwischengespeicherte Daten veraltet werden oder mit neuen Daten in Konflikt geraten. Die Option useDynamicMaxCacheLifetime ist automatisch in Konfigurationen, die mit GCDS 3.2.1 und höher erstellt wurden.

Hinweis: Diese Fehler treten normalerweise auf, wenn Änderungen direkt in Ihrer Google-Domain vorgenommen werden. Wenn Sie GCDS zum Synchronisieren verwenden, sollten Sie es vermeiden, Änderungen direkt an Ihrer Google-Domain vorzunehmen. Nehmen Sie stattdessen Änderungen an Benutzern, Gruppen und anderen Entitäten in Ihrem LDAP-Verzeichnis vor. Verwenden Sie dann GCDS, um diese Änderungen mit Ihrer Google-Domain zu synchronisieren.

Was ist, wenn ich speicherbezogene Fehler sehe?

Wenn Sie speicherbezogene Fehler sehen, müssen Sie die Heap-Größe für Java Virtual Machine erhöhen. Erhöhen Sie die Heap-Größe, indem Sie die Dateien sync-cmd.vmoptions und config-manager.vmoptions im Installationsverzeichnis von GCDS bearbeiten. Die entsprechenden Einträge sehen wie folgt aus:

• - X mx1000m (die maximale Speichermenge, die für die Heap-Größe zugewiesen wird)
• - X ms64m (die Mindestspeichermenge, die für die Heap-Größe zugewiesen wird)

Bearbeiten Sie die Dateien sync-cmd.vmoptions und config-manager.vmoptions so, dass die Änderung sowohl für sync-cmd- als auch für Configuration Manager-Versionen gilt.

Bearbeiten Sie die Zahl -X mx , um die Speicherkapazität zu erhöhen. Das „m" nach der Zahl gibt an, dass der Arbeitsspeicher in Megabyte (MB) gemessen wird. Die richtige Speichermenge hängt davon ab, wie viel Speicher der GCDS-Server hat und wie viel er für eine Synchronisierung benötigt. Möglicherweise müssen Sie die Zahl mehrmals ändern, um die richtige Größe festzulegen. Weitere Informationen zur Menge an freiem RAM, die zum Ausführen von GCDS erforderlich ist, finden Sie unter Systemanforderungen für GCDS .

Warum gibt GCDS weiterhin einen Fehler zurück, wenn der Cache deaktiviert ist?

Das Problem kann durch ein Konfigurationsproblem verursacht werden, z. B. eine Fehlkonfiguration der Ausschlussregel. Diese Art von Fehlkonfiguration kann durch GCDS-Caching ausgeblendet werden.

GCDS speichert Daten für Ihren Google-Dienst (z. B. Google Workspace oder Cloud Identity) für maximal 8 Tage im Cache. GCDS löscht den Cache möglicherweise häufiger, je nach Größe der zwischengespeicherten Daten. Wenn der Cache jedoch nicht geleert wird, sehen Sie Ihre Updates möglicherweise bis zu 8 Tage lang nicht.

Sie synchronisieren beispielsweise Ihre LDAP-Daten und erstellen eine neue Gruppe für Ihren Google-Dienst (z. B. Google Workspace oder Cloud Identity). Anschließend erstellen Sie eine Ausschlussregel, um diese Gruppe von nachfolgenden Synchronisierungen auszuschließen. Die Ausschlussregel ist falsch konfiguriert und schlägt fehl. Die nachfolgende Synchronisierung ruft jedoch zwischengespeicherte Daten auf und die Gruppe bleibt in Ihrem Google-Dienst. Wenn Sie erneut mit leerem Cache synchronisieren, führt die Fehlkonfiguration dazu, dass die Gruppe aus Ihrem Google-Dienst entfernt wird.

So leeren Sie den Cache manuell:

• Führen Sie eine Synchronisierung über Configuration Manager aus und wählen Sie die Option zum Löschen des Caches, wenn Sie eine Synchronisierung durchführen.
• Führen Sie eine Synchronisierung über den Befehl aus und verwenden Sie das Argument -f , um eine Leerung des Caches zu erzwingen.
• Ändern Sie die XML-Konfigurationsdatei, um den maxCacheLifetime-Wert auf 0 festzulegen.

Wichtig : Das Erzwingen einer Leerung des Caches kann die Synchronisierungszeit erheblich verlängern.

Benutzer & Gruppen

Abschnitt erweitern | Alles einklappen & nach oben gehen

Warum werden einige Benutzer nicht als Gruppenmitglieder synchronisiert?

Um Gruppenmitglieder getrennt von den Ergebnissen von Benutzersuchregeln zu synchronisieren, aktiviert GCDS standardmäßig INDEPENDENT_GROUP_SYNC. Wenn Sie Mitgliedsreferenzattribute für Gruppensynchronisierungen verwenden, versucht GCDS, die E-Mail-Adresse jedes Benutzers im LDAP-Verzeichnis aufzulösen, unabhängig von Benutzersuchregeln.

Um Gruppenmitglieder nur basierend auf den Ergebnissen der Benutzersuchregeln zu synchronisieren, entfernen Sie INDEPENDENT_GROUP_SYNC aus Ihrer XML-Konfigurationsdatei. Allgemeine Geschäftsbedingungen:

• Verwendet die Ergebnisse der Benutzersuchregeln, um die Gruppenmitgliedschaft aufzulösen
• Synchronisiert nur die Benutzer als Gruppenmitglieder, die in Ihrer Benutzersynchronisierung enthalten sind
• Führt Benutzersuchregeln aus, auch wenn Sie die Benutzerkontosynchronisierung in den allgemeinen Einstellungen deaktivieren

  (Die Ergebnisse werden jedoch nicht als Nutzer, sondern als Gruppenmitglieder mit Google synchronisiert, wenn die berechtigten Nutzer sich auch als Gruppenmitglieder qualifizieren.)

Normalerweise soll Ihre Synchronisierung nicht so ausgeführt werden, insbesondere wenn Sie freigegebene Kontakte synchronisieren und Gruppenmitglieder haben, die Kontakte sind. In diesem Fall werden die Kontakte nicht als Gruppenmitglieder synchronisiert.

Warum werden einige Benutzer oder Gruppen bei jeder Synchronisierung neu erstellt?

Dies geschieht, wenn das als Gruppennamenattribut konfigurierte LDAP-Attribut keine vollständige E-Mail-Adresse enthält. Um dieses Problem zu beheben, überprüfen Sie Ihre Gruppensuchregeln und stellen Sie sicher, dass GCDS eine vollständige E-Mail-Adresse für die Gruppennamen verwendet. Verwenden Sie eine der folgenden Methoden:

• Legen Sie das Gruppennamenattribut auf ein anderes LDAP-Attribut fest, das eine vollständige E-Mail-Adresse für jede Gruppe angibt, z. B. mail.
• Aktivieren Sie Domainnamen in LDAP-E-Mail-Adressen ersetzen in den Google-Domaineinstellungen, damit Ihr Gruppennamenattribut mit den Gruppennamen auf Google-Seite übereinstimmt.
• Fügen Sie den Domänennamen zum Gruppennamen hinzu, indem Sie in Ihrer Gruppensuchregel ein Gruppennamensuffix angeben.

Gruppen mit über 1.500 Mitgliedern in Active Directory werden nicht korrekt synchronisiert

Stellen Sie sicher, dass Sie MS Active Directory im Feld Servertyp des Abschnitts LDAP-Konfiguration ausgewählt haben.

Wie verwende ich "Domänennamen in LDAP-E-Mail-Adressen ersetzen"?

Diese Option (in der XML-Datei als SUPPRESS_DOMAIN angezeigt) wird verwendet, wenn sich die E-Mail-Adressen im LDAP-Verzeichnis in einer anderen Domain als Ihrer Google-Domain befinden. Wenn Sie es aktivieren, entfernt GCDS den Domänenteil von allen gelesenen E-Mail-Adressen.

Jegliche Verarbeitung erfolgt ohne den Domänennamen. Wenn Sie Ausschlussregeln basierend auf E-Mail-Adressen verwenden, müssen Sie nur den lokalen Teil der E-Mail-Adresse für die Ausschlussregel berücksichtigen.

Wenn Sie beispielsweise Domainnamen in LDAP-E-Mail-Adressen ersetzen deaktiviert haben und eine Exact Match-Ausschlussregel erstellen, geben Sie luka@example.com als abzugleichende E-Mail-Adresse des Benutzers ein. Wenn Sie Domänennamen in LDAP-E-Mail-Adressen ersetzen aktiviert haben , verwenden Sie luka . Der Versuch, luka@example.com abzugleichen , funktioniert nicht, da @example.com vor dem Vergleich entfernt wird.

Kann ich statische und dynamische Gruppen verschachteln?

Wenn Sie Gruppen mithilfe von GCDS bereitstellen, können Sie dynamische Gruppen nicht unter statischen Gruppen verschachteln (oder statische Gruppen unter dynamischen Gruppen). GCDS erfordert, dass statische Gruppen getrennt von dynamischen Gruppen abgefragt werden, jedoch müssen alle verschachtelten Gruppen Teil derselben Abfrage sein.

Finden Sie eine Möglichkeit, dynamische Gruppen als statische Gruppen zu implementieren, möglicherweise durch Automatisieren einer Aufgabe, die jede dynamische Gruppe regelmäßig abfragt, um statische Gruppen im Verzeichnis zu füllen. GCDS kann dann die statischen Gruppen (wie aus den dynamischen Gruppen erstellt) für die Bereitstellung verwenden und nicht die dynamische Gruppe bereitstellen.

Warum habe ich unerwartete Ergebnisse von meiner LDAP-Abfrage erhalten?

Die Ergebnisse für LDAP-Abfragen hängen von den Configuration Manager-Einstellungen und dem LDAP-Server ab. Verwenden Sie diese Tipps zur Fehlerbehebung, wenn Ihre LDAP-Suchregel ein unerwartetes Ergebnis zurückgibt. Vergewissere dich:

• Die LDAP-Abfrage ist in Configuration Manager richtig eingerichtet – Wenn Sie eine Suchregel einrichten, klicken Sie zur Überprüfung auf LDAP-Abfrage testen . Einzelheiten finden Sie unter Verwenden von LDAP-Suchregeln zum Synchronisieren von Daten .
• Mehrere Abfragen widersprechen sich nicht – Stellen Sie sicher, dass Sie keine Such- oder Ausschlussregel eingerichtet haben, die das Ergebnis einer Abfrage ändert.
• Der autorisierte Benutzer für den LDAP-Server verfügt über ausreichende Berechtigungen – Stellen Sie sicher, dass der Administrator, der zur Authentifizierung des LDAP-Servers verwendet wird, die Befehlszeile auf demselben Server verwenden kann. Versuchen Sie die Abfrage auf dem LDAP-Server und überprüfen Sie die Ergebnisse.

Kontakte & Kalender

Abschnitt erweitern | Alles einklappen & nach oben gehen

Warum sehe ich nach der Synchronisierung mit GCDS doppelte Kontakte in meinem Domainverzeichnis?

Dies passiert normalerweise, wenn Sie freigegebene Kontakte synchronisieren und die Suchregeln falsch aufgebaut sind.

Es gibt zwei Arten von relevanten Objekten, die Sie mit GCDS synchronisieren können:

• Nutzerprofile – Nutzer in Ihrer Google-Domain mit zusätzlichen Daten wie Telefonnummer oder Adresse. Sie können nur ein Profil für einen Benutzer synchronisieren, der in Ihrer Domain vorhanden ist.
• Freigegebene Kontakte – Kontakte externer Parteien, die Benutzer in Ihrer Domain kontaktieren müssen.

Um dieses Problem zu beheben, korrigieren Sie Ihre Suchregeln für freigegebene Kontakte, um Benutzer in Ihrer eigenen Domäne auszuschließen. Bei der nächsten Synchronisierung versucht GCDS, die redundanten Kontakte zu löschen. Möglicherweise müssen Sie das Löschlimit für freigegebene Kontakte für diese erste Synchronisierung anpassen.

Warum sehen manche Nutzer ihren Hauptarbeitsort nicht in Google Kalender?

Unter bestimmten Umständen sehen Benutzer ihren Hauptarbeitsort nicht in Google Kalender, wenn sie Besprechungen planen oder arrangieren.

Wenn dieses Problem auftritt, vergewissern Sie sich, dass der Standorttyp und die Bereichsattribute auf „Schreibtisch" eingestellt sind.

Regeln

Abschnitt erweitern | Alles einklappen & nach oben gehen

Warum findet eine Suchregel nichts?

Wenn Sie Probleme mit den Suchergebnissen haben, überprüfen Sie Folgendes:

• Der Geltungsbereich der Regel. Möglicherweise müssen Sie den Bereich auf Sub-tree festlegen.
• Die von Ihnen verwendete Suchregel ist korrekt.
• Die verwendeten Attribute sind vorhanden und sichtbar.
• Ihre LDAP-Abfrage. Überprüfen Sie die Abfrage auf Ihrem LDAP-Server mit demselben Administrator-Benutzernamen, der in GCDS konfiguriert ist.

Weitere Einzelheiten finden Sie unter Verwenden von LDAP-Suchregeln zum Synchronisieren von Daten .

Warum kann ich beim Erstellen einer Ausnahmeregel die Schaltfläche „OK" nicht sehen?

Möglicherweise verwenden Sie eine Schriftart, die für den Bildschirm zu groß ist. Das Dialogfeld funktioniert nicht mit großen oder extra großen Schriftarten. Ändern Sie Ihre Schriftgröße oder bearbeiten Sie Ihre XML-Datei direkt.

Verwandtes Thema

• Bekannte Probleme mit Google Workspace

Google, Google Workspace und zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Firmen- und Produktnamen sind Warenzeichen der Unternehmen, mit denen sie verbunden sind.