Directory Sync のトラブルシューティングを行う

ここでは、Directory Sync の同期の設定と実行に関する問題の解決方法をご紹介します。

設定

セクションを開く | すべて閉じて一番上に移動

外部ディレクトリの追加時にディレクトリ設定を保存できないというエラーが発生する

プロジェクトで Data Connectors API が有効になっていることを確認してください。詳しくは、Data Connectors API を有効にするをご覧ください。
Virtual Private Cloud（VPC）Service Controls の境界ルールが構成されていて、storage.googleapis.com に関連する PERMISSION_DENIED エラーが Google Cloud コンソールに表示される場合は、プロジェクトに対して Cloud Storage API へのアクセスを許可する必要があります。artifactregistry.googleapis.com に関連するエラーも表示される場合は、次の下り（外向き）ルールを追加して、Directory Sync リソースが外部ディレクトリに到達できるようにします。
```
egress To:
```
```
_ serviceName : artifactregistry.googleapis.com
```
```
 methodSelectors :
```
```
  - method: artifactregistry.googleapis.com/DockerRead
```
```
リソース
```
```
- projects/397958601689
```
```
egressFrom:
```
```
 identityType: ANY_IDENTITY
```

サービス境界ルールの編集の詳細については、サービス境界の詳細と確認をご覧ください。

ドメインがすでに使用されているため、ディレクトリ設定を保存できない

複数の Directory Sync 接続で同じドメインを参照することはできません。Directory Sync はベース識別名（DN）を比較します。ドメインが一致すると、ディレクトリの作成は失敗します。

この問題を解決するには、一致する DN との接続を削除してから、同じドメインの新しい DN を作成してください。

Directory Sync が Active Directory サーバーに接続できないというエラーが発生する

管理ログイベントのデータにこのエラーがある場合は、次の点をご確認ください。

Microsoft Active Directory（AD）サーバーが稼働している。
ネットワークとファイアウォールが、LDAP ポートで受信トラフィックを許可するように設定されている。
[ユーザー名]@[ドメイン名] または [ドメイン名]\[ユーザー名] の形式を使用して、承認済みのアカウントの認証情報が正しく入力されている。

それでもエラーが表示される場合は、ドメインネームシステム（DNS）サーバーの詳細を追加して AD ホスト名を解決します。詳しくは、外部ディレクトリを追加するをご確認ください。

Virtual Private Cloud（VPC）アクセスコネクタと同じサブネットに Linux 仮想マシン（VM）を作成することもできます。636 番ポートを指定して AD サーバーの IP アドレスに Telnet 接続できるか試してみてください。Telnet 接続に失敗した場合は、AD サーバーのネットワーク設定を確認してください。たとえば、636 番ポートが開いていて到達可能であるか確認してください。

Telnet 接続に成功した場合は、Linux VM で次のコマンドを入力して AD サーバーが正しい証明書を使用しているかどうかを確認してください。

openssl s_client -showcerts -connect [外部サーバーの IP アドレス]:636

エラー: An error occurred while attempting to connect to server

管理ログイベントのデータに記録されるエラーには次の 2 種類があります。

エラー 1 - An error occurred while attempting to connect to server ([サーバー IP]) within the configured timeout of 10000 milliseconds

このエラーは、Directory Sync が Active Directory（AD）サーバーに接続できなかったことを示します。トラブルシューティングを行うには、AD が正しく設定されているか確認してください。詳しくは、AD ディレクトリを追加するをご覧ください。

エラー 2 - An error occurred while attempting to establish a connection to server ([サーバー IP]): (SSLHandshakeException(sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target)

このエラーは、外部ディレクトリ接続の構成時に添付した証明書と AD TLS 証明書が一致しないことを示します。トラブルシューティングを行うには、証明書が一致しているか確認してください。詳しくは、AD ディレクトリを追加するをご覧ください。

AD TLS 証明書をローカルに保存するには、Microsoft PowerShell で次のスクリプトを入力してください。localhostlocalhost は AD サーバーの DNS レコードまたは IP アドレスに置き換えます。

$webRequest = [Net.WebRequest]::Create("https://localhost:636") try { $webRequest.GetResponse() } catch {} $cert = $webRequest.ServicePoint.Certificate $bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert) set-content -value $bytes -encoding byte -path "$pwd\Workspace.cer"

Azure Active Directory への接続をテストできない

Google と Microsoft Azure Active Directory の間の接続をテストできない場合は、管理ログイベントでトラブルシューティング情報を確認してください。詳しくは、管理ログイベントをご覧ください。

同期に関する問題

セクションを開く | すべて閉じて一番上に移動

ユーザーが作成できないというエラーが発生する

Directory Sync のログイベントに「User could not be created. Message: DOMAIN_OVER_USER_LIMIT_FIX_BY_CONTACT_SUPPORT.」というエラーが記録されることがあります。

このエラーは、ユーザーのライセンスに問題があることを示します。Google Workspace で使用可能なライセンス数を超えた場合や、割り当てできるライセンスがない場合は、ユーザーの作成に失敗し、このエラーが記録されます。

トラブルシューティングを行うには、ユーザーが使用できるライセンスの数を増やしてください。詳しくは、ユーザーライセンスを追加購入するをご覧ください。

非アクティブなユーザーのログエントリのトラブルシューティング

ログイベントと説明	トラブルシューティングの手順
イベント: オブジェクトの読み取り説明: 属性 ... ; suspended: true を持つ username を読み取ります。	suspended: true メッセージは、ユーザーが外部ディレクトリで非アクティブであることを意味します。外部ディレクトリに移動し、ユーザーがアクティブであることを確認します。
イベント: オブジェクトの更新説明: ユーザーの username を更新します。古い属性 { suspended: false; }、新しい属性 { suspended: true; }	このメッセージは、[Google Directory でユーザーを停止する] 設定をオンにしており、そのユーザーがすでに Google アカウントに存在する場合に表示されます。外部ディレクトリでユーザーがアクティブであることを確認するか、デプロビジョニングルールを更新します。デプロビジョニングについて詳しくは、外部ディレクトリで見つからないユーザーを停止するをご確認ください。

ログイベントと説明

トラブルシューティングの手順

イベント: オブジェクトの読み取り

説明: 属性 ... ; suspended: true を持つ username を読み取ります。

suspended: true メッセージは、ユーザーが外部ディレクトリで非アクティブであることを意味します。外部ディレクトリに移動し、ユーザーがアクティブであることを確認します。

イベント: オブジェクトの更新

説明: ユーザーの username を更新します。古い属性 { suspended: false; }、新しい属性 { suspended: true; }

このメッセージは、[Google Directory でユーザーを停止する] 設定をオンにしており、そのユーザーがすでに Google アカウントに存在する場合に表示されます。

外部ディレクトリでユーザーがアクティブであることを確認するか、デプロビジョニングルールを更新します。デプロビジョニングについて詳しくは、外部ディレクトリで見つからないユーザーを停止するをご確認ください。

無効なメールアドレスと不正なドメインのログエントリのトラブルシューティング

ログイベントと説明	トラブルシューティングの手順
イベント: 同期エラー - 個別のオブジェクト説明: ユーザーの username を作成できませんでした	Directory Sync を設定して、ユーザーのドメイン名を置き換えます。詳しくは、同期されたユーザーのドメイン名を置き換えるをご確認ください。または、ソースアカウントとターゲットアカウントの両方で同じドメインを使用します。
イベント: オブジェクトのスキップ - 予期しないエラー説明: ユーザーの同期をスキップしました。username の更新に失敗しました	Directory Sync を設定して、ユーザーのドメイン名を置き換えます。詳しくは、同期されたユーザーのドメイン名を置き換えるをご確認ください。または、ソースアカウントとターゲットアカウントの両方で同じドメインを使用します。
イベント: 同期エラー説明: ユーザーをスキップします: リモートディレクトリからユーザーのメールアドレスを解析できません	ユーザーのメールアドレスが無効です。外部ディレクトリのメールアドレスを修正します。
イベント: 同期エラー説明: 属性部署に組織部門のパスが設定されていないため、ユーザー: username をスキップします	メールのドメイン名の置換をオンにしている場合は、外部ディレクトリのユーザー属性を確認します。ユーザーの組織部門への配置に使用している属性に値があることを確認します。メールのドメイン名の置換がオンになっていない場合は、外部ディレクトリのユーザーに有効なメールアドレスが使用されていることを確認します。

ユーザーとグループが同期されていない場合は、以下の操作を行います。

Google 管理コンソール（admin.google.com）で、[Directory Sync] [外部ディレクトリ] をクリックします。
ディレクトリの [同期ステータス] を確認します。
同期が無効または失敗している場合は、同期を有効にします。
詳しくは、同期の実行をご覧ください。

Microsoft Domain Users グループが同期されない場合:

Microsoft Domain Users グループは Directory Sync でサポートされていません。詳細

Active Directory で、Microsoft Domain Users グループに該当するすべてのメンバーと権限が含まれた新しいグループを作成します。
そのグループを Microsoft Domain Users グループのメンバーとして追加します。
この新しいグループを使用して、メンバーの管理と同期を行います。

注: Microsoft Domain Users グループの属性は変更しないでください。他の予期しない動作が発生する可能性があります。

ユーザーのステータスが [管理者により停止中] と表示される

Directory Sync のログイベントで、このエラーに関する詳しいトラブルシューティング情報を確認できます。

Directory Syncのログイベントを開きます。
詳しくは、Directory Sync のログイベントデータにアクセスするをご覧ください。
[フィルタを追加] [ターゲットオブジェクト ID] をクリックします。
ユーザーのメールアドレスを入力して [適用] をクリックします。
以下のように表示されます。
- [オブジェクトの更新] イベントの詳細に [新しい属性 {suspended: true}] と記載されている場合は、AD でユーザーのアカウントが有効になっていないため、Directory Sync がユーザーを一時停止したことを示しています。
- [オブジェクトのデプロビジョニング] イベントが表示される場合は、AD のユーザーが削除されていないか、LDAP の検索範囲外の別のパスに移動されていないかを確認してください。

同期されないユーザーがいる

同期されていないユーザーを特定し、以下のことを確認します。

外部ディレクトリで非アクティブではない
ユーザー同期の設定時に指定したグループの直接的なメンバーである
外部ディレクトリ内のユーザーオブジェクトであり、連絡先ではない
外部ディレクトリにメール ID が存在しており、そのメール ID のドメインが Google Workspace のドメインと同じである

Directory Sync のログイベントで、詳しいトラブルシューティング情報を確認できます。

Directory Syncのログイベントを開きます。
詳しくは、Directory Sync のログイベントデータにアクセスするをご覧ください。
[フィルタを追加] [ソースオブジェクト ID] をクリックします。
対象ユーザーの DN を追加して、[適用] をクリックします。
[同期エラー] イベントを見つけて、エラーを確認します。
対象ユーザーの DN が記録された Read Object イベントを検索します。
Read Object イベントが見つからない場合、Directory Sync はそのユーザーを同期していません。よくある原因としては次のことが考えられます。
- ユーザーメンバーシップが LDAP の検索スコープに含まれていない（ユーザー同期の設定時に指定したグループのベース DN またはその下にユーザーが配置されていない）。
- Directory Sync が別のドメインコントローラと通信しており、増分同期ですべての変更が検出されていない。ホスト名と IP アドレスが同じドメインコントローラを指しているかどうか確認してください。

一部のユーザーがグループメンバーとして同期されない

グループメンバーについて、次のことを確認します。

メール属性値が設定されており、有効な形式のメール ID がある
グループのベース DN またはその下に配置されていない

_{Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。}

この情報は役に立ちましたか？

改善できる点がありましたらお聞かせください。

ログイベントと説明	トラブルシューティングの手順
イベント: 同期エラー - 個別のオブジェクト説明: ユーザーの username を作成できませんでした	Directory Sync を設定して、ユーザーのドメイン名を置き換えます。詳しくは、同期されたユーザーのドメイン名を置き換えるをご確認ください。または、ソースアカウントとターゲットアカウントの両方で同じドメインを使用します。
イベント: オブジェクトのスキップ - 予期しないエラー説明: ユーザーの同期をスキップしました。username の更新に失敗しました	Directory Sync を設定して、ユーザーのドメイン名を置き換えます。詳しくは、同期されたユーザーのドメイン名を置き換えるをご確認ください。または、ソースアカウントとターゲットアカウントの両方で同じドメインを使用します。
イベント: 同期エラー説明: ユーザーをスキップします: リモートディレクトリからユーザーのメールアドレスを解析できません	ユーザーのメールアドレスが無効です。外部ディレクトリのメールアドレスを修正します。
イベント: 同期エラー説明: 属性部署に組織部門のパスが設定されていないため、ユーザー: username をスキップします	メールのドメイン名の置換をオンにしている場合は、外部ディレクトリのユーザー属性を確認します。ユーザーの組織部門への配置に使用している属性に値があることを確認します。メールのドメイン名の置換がオンになっていない場合は、外部ディレクトリのユーザーに有効なメールアドレスが使用されていることを確認します。