# GCDS synchronisatieproblemen oplossen

Google Cloud Directory Sync (GCDS) houdt je Workspace-gebruikers en -groepen in lijn met een LDAP-bron zoals Active Directory. Werkt de synchronisatie niet zoals verwacht, dan loopt dat uiteen van een paar gebruikers die ontbreken tot een dreigende massale verwijdering. Het goede nieuws is dat GCDS goed te diagnosticeren is als je systematisch te werk gaat.

## Begin altijd met een simulatie

De belangrijkste gewoonte bij GCDS is simuleren voordat je synchroniseert. In de simulatiemodus berekent GCDS welke wijzigingen het zou doorvoeren, zonder ze daadwerkelijk uit te voeren. Zo zie je vooraf of er onverwachte verwijderingen of wijzigingen dreigen.

:::danger
Voer nooit een echte GCDS-synchronisatie uit zonder eerst de simulatie te bekijken, zeker niet na een configuratiewijziging. Een verkeerde LDAP-query of exclusieregel kan ertoe leiden dat GCDS denkt dat honderden gebruikers verwijderd moeten worden. De simulatie laat dit zien voordat het gebeurt. Negeer je die stap, dan riskeer je massale, moeilijk omkeerbare schade.
:::

## Logbestanden als startpunt

Elk GCDS-probleem laat sporen na in de logbestanden. Stel het logniveau zo nodig hoger in voor meer detail. In de logs zie je welke LDAP-query's zijn uitgevoerd, hoeveel objecten zijn opgehaald, welke wijzigingen zijn berekend en waar fouten optraden.

:::info title="Lees de aantallen"
Let in de simulatie en de logs op de aantallen: hoeveel gebruikers opgehaald uit LDAP, hoeveel in Workspace, en hoeveel toe te voegen, te wijzigen of te verwijderen. Een onverwacht hoog verwijderaantal is bijna altijd een teken van een verkeerde query of een te ruime scope, niet van werkelijk vertrokken gebruikers. Staat het logniveau op INFO (de standaard), zoek dan in de logs op `[INFO] [google.usersyncapp.Report]` voor de gedetailleerde cijfers.
:::

## Veelvoorkomende oorzaken

Het merendeel van de GCDS-problemen valt in een paar categorieën:

- Te ruime verwijderlimieten waardoor GCDS in één run te veel mag verwijderen.
- Verkeerde LDAP-zoekfilters die te weinig of juist te veel objecten ophalen.
- Exclusieregels die niet doen wat je denkt, waardoor accounts onbedoeld in of uit scope vallen.
- Verlopen of ingetrokken OAuth-autorisatie naar Workspace.
- Netwerk- of firewallproblemen tussen de GCDS-machine en de LDAP-bron of Google.

## Verwijderlimieten als vangnet

GCDS heeft instelbare limieten op het aantal verwijderingen per run. Dit is een cruciaal vangnet. Je stelt de limiet in onder "Do not synchronize if deletions exceed", als een percentage of als een absoluut aantal, en je kunt dat apart doen voor gebruikers, organisatie-eenheden, groepen, gedeelde contacten en agendabronnen. Overschrijdt een simulatie of synchronisatie de limiet, dan stopt GCDS en voert het geen enkele wijziging door.

:::warn
Zet de verwijderlimieten bewust en niet te ruim. Een limiet die een onverwacht grote verwijdering blokkeert, dwingt je om te onderzoeken wat er aan de hand is voordat er schade ontstaat. Beschouw een geblokkeerde run niet als hinder maar als een waarschuwing die je net op tijd behoedt. Stem de limiet af op je accountgrootte: te streng en een legitieme grote opschoning loopt vast, te ruim en een fout glipt erdoorheen.
:::

## LDAP-query's verifiëren

Veel problemen ontstaan in de LDAP-zoekquery's. Test je query rechtstreeks tegen je directory met een LDAP-tool om te zien welke objecten hij oplevert. Komt het aantal niet overeen met wat je verwacht, dan zit daar de fout. Let op zaken zoals de zoekbasis, het filter en of uitgeschakelde accounts worden meegenomen.

:::howto title="GCDS-probleem stap voor stap diagnosticeren"
1. Draai een simulatie en bekijk de berekende wijzigingen en aantallen.
2. Open de logbestanden en zoek naar fouten en waarschuwingen, bijvoorbeeld op `[ERROR]` en op `[google.usersyncapp.Report]`.
3. Verifieer je LDAP-query's los met een LDAP-tool tegen de directory.
4. Controleer exclusieregels en verwijderlimieten op onbedoelde effecten.
5. Test de OAuth-autorisatie en de netwerkverbinding naar zowel LDAP als Google.
6. Pas de configuratie aan, simuleer opnieuw en synchroniseer pas als de cijfers kloppen.
:::

## Autorisatie en netwerk

Een veelvoorkomende, maar makkelijk over het hoofd geziene oorzaak is een verlopen autorisatie. GCDS gebruikt OAuth om met Workspace te praten. Raakt die autorisatie verlopen of ingetrokken, dan faalt de synchronisatie. Vernieuw de autorisatie in de GCDS-configuratie. Controleer daarnaast of de machine waarop GCDS draait zowel je LDAP-bron als Google kan bereiken, zonder dat een firewall of proxy ertussen zit.

## GCDS of Directory Sync

GCDS is nog steeds een ondersteunde en actief onderhouden tool. Daarnaast biedt Google de nieuwere Directory Sync, die alleen gebruikers en groepen synchroniseert en in de Adminconsole zelf draait zonder lokale server. Synchroniseer je alleen gebruikers en groepen, dan kan Directory Sync volstaan. Heb je meer nodig, zoals het synchroniseren van gedeelde contacten of agendabronnen, dan blijft GCDS de aangewezen keuze. De diagnosestappen in dit artikel gelden voor GCDS.

:::faq
### Waarom wil GCDS plotseling veel gebruikers verwijderen?
Bijna altijd door een verkeerde LDAP-query of exclusieregel waardoor accounts buiten scope vallen. Draai een simulatie, controleer de query en pas hem aan voordat je synchroniseert.

### Wat doet de verwijderlimiet precies?
De verwijderlimiet stopt een simulatie of synchronisatie zodra die meer verwijderingen zou doen dan toegestaan. Het is een vangnet tegen foutieve configuraties. Stel hem per objecttype bewust in, als percentage of als vast aantal.

### Waarom faalt mijn synchronisatie met een autorisatiefout?
Waarschijnlijk is de OAuth-autorisatie naar Workspace verlopen of ingetrokken. Vernieuw de autorisatie in de GCDS-configuratie en probeer opnieuw.

### Moet ik altijd simuleren voor een synchronisatie?
Ja, zeker na elke configuratiewijziging. De simulatie toont de berekende wijzigingen zonder ze uit te voeren en is je beste bescherming tegen ongelukken.

### Waar vind ik welke LDAP-query GCDS uitvoert?
In de logbestanden. Zet het logniveau zo nodig hoger en zoek op de uitgevoerde query's en op de rapportregels met de aantallen opgehaalde en berekende objecten.

### Is GCDS in 2026 nog ondersteund?
Ja. GCDS wordt nog onderhouden. De nieuwere Directory Sync is een aanvulling voor het synchroniseren van enkel gebruikers en groepen, maar vervangt GCDS niet voor bredere scenario's.
:::