ネットワークに Windows Active Directory サーバーが存在する場合は、次の手順を実行します。
ナビゲーションツリーで「ディレクトリソース」ノードを選択し、「ディレクトリソース」パネルの「新規 Active Directory ソース」ボタンをクリックします。
「Windows グローバルカタログ」ダイアログボックスが表示されます。
次の情報を入力し、「OK」をクリックします。
「ホスト」: Active Directory フォレストのグローバルカタログを保持するマシンの完全修飾ホスト名を入力します。
例: machine2.example.com
「このポートに SSL を使用する」: Identity Synchronization for Windows でグローバルカタログとの通信に SSL ポートを使用する場合は、このオプションを有効にします。
「ユーザー DN」 : 管理者の (バインド) 完全修飾識別名を入力します。スキーマを参照し、システムで使用できる Active Directory ドメインを特定できる資格があれば、どのような DN でも指定できます。
「パスワード」: 指定したユーザーのパスワードを入力します。
次のような「Active Directory ソースの定義」ウィザードが表示されます。
Active Directory グローバルカタログが照会されて、存在するその他のドメインが特定され、それらのドメインが「ドメイン」の一覧に表示されます。
一覧から名前を選択して Active Directory ドメインを指定し、「OK」をクリックします。
使用するドメインが一覧に表示されない場合は、次の手順を使用して、そのドメインを認識するグローバルカタログを追加します。
「グローバルカタログ」ボタンをクリックして「グローバルカタログ」ウィザードを表示します。
「新規」ボタンをクリックします。
「Windows グローバルカタログ」ダイアログボックスが表示されるので、グローバルカタログのホスト名と、ディレクトリソースの資格 (手順 2 を参照) を入力し、「OK」をクリックします。
「グローバルカタログ」の一覧に新しいグローバルカタログとポートが表示されます。カタログ名を選択し、「OK」をクリックします。
さらにグローバルカタログ (ドメイン) をシステムに追加する場合は、これらの手順を繰り返します。
完了したら、「ドメインの選択」区画の「次へ」ボタンをクリックします。
「クレデンシャルの指定」パネルが表示されたら、「ユーザー DN」フィールドの値を確認します
管理者の識別名が「ユーザー DN」フィールドに自動的に入力されない場合、または自動入力された管理者の資格を使用しない場合は、ユーザー DN とパスワードを手動で入力します。
Active Directory ソースを設定するときは、Active Directory コネクタが Active Directory との接続に使用できるユーザー名とパスワードを指定します。
コネクタには特定のアクセス権が必要です。次に示すように、最小限の権限は、同期の方向によって異なります。
Active Directory から Directory Server への同期フローのみを設定する場合は、Active Directory コネクタ用に指定するユーザーには多くの特別な権限は必要ありません。通常のユーザーに、同期対象ドメインで「すべてのプロパティーを読み取る」権限が追加されているだけで十分です。
Directory Server から Active Directory への同期フローを設定する場合は、同期によって Active Directory 内のユーザーエントリが変更されるため、コネクタユーザーにはもっと多くの権限が必要になります。この設定では、コネクタユーザーは「フルコントロール」権限を持つユーザーか、または管理者グループのメンバーにします。
「次へ」をクリックし、「ドメインコントローラの指定」パネルを開きます。
このパネルでは、指定したドメイン内で同期するコントローラを選択します。ドメインコントローラの概念は、Directory Server の優先サーバーに似ています。
選択している Active Directory ドメインに複数のドメインコントローラがあるときは、同期のプライマリドメインコントローラ FSMO (Flexible Single Master Operation) ロールを持つドメインコントローラを選択します。
デフォルトでは、すべてのドメインコントローラで行われたパスワード変更はただちにプライマリドメインコントローラ FSMO ロール所有者にレプリケートされ、このドメインコントローラを選択すると、パスワード変更はただちに Identity Synchronization for Windows によって Directory Server と同期されます。
配備によっては、PDC との間に大きなネットワーク「距離」があるために同期が大幅に遅れるので、Windows レジストリに AvoidPdcOnWan 属性が設定されることがあります。詳細については、Microsoft サポート技術情報の記事 232690 を参照してください。
ドロップダウンリストからドメインコントローラを選択します。
Identity Synchronization for Windows コネクタがドメインコントローラとの通信にセキュリティー保護されたポートを使用するように設定する場合は、「セキュア通信に SSL を使用」ボックスにチェックマークを付けます。
Microsoft Certificate Server を使用する場合は、Active Directory コネクタに CA 証明書が自動的にインストールされます。それ以外の場合は、Active Directory コネクタに CA 証明書を手動で追加します (「Active Directory コネクタでの SSL の有効化」を参照)。初期設定後にフローの設定を変更する場合にも、この手順を適用します。
完了したら、「次へ」をクリックします。
「フェイルオーバーコントローラの指定」パネルが表示されます (「Active Directory ソースの作成」を参照)。このパネルでは、任意の数のフェイルオーバードメインコントローラを指定できます。
Active Directory コネクタが通信する Active Directory ドメインコントローラ は 1 つだけであるため、Identity Synchronization for Windows では、そのコネクタで適用されるフェイルオーバーの変更はサポートされません。ただし、ディレクトリサーバープラグインは、Directory Server のパスワード変更を検証するときに、任意の数のドメインコントローラと通信します。
Directory Server は、Active Directory ドメインコントローラへの接続を試行し、そのドメインコントローラが使用できない場合は、指定されたフェイルオーバードメインコントローラへの接続を繰り返し試行します。
「フェイルオーバーサーバー」の一覧から 1 つまたは複数のサーバー名を選択するか、または「すべてを選択」ボタンをクリックして一覧のすべてのサーバーを指定し、「次へ」をクリックします。
「拡張セキュリティーオプションの指定」パネルが表示されます。
「信頼できる SSL の証明書を要求」オプションは、「ドメインコントローラの指定」パネルで「セキュア通信に SSL を使用」ボックスを有効にした場合にのみアクティブ (選択可能な状態) になります。
「信頼できる SSL の証明書を要求」ボックスが無効になっている場合 (デフォルト設定)、Active Directory コネクタは SSL 経由で Active Directory に接続し、Active Directory から渡された証明書が信頼されているかどうかを検証しません。
このオプションを無効にすると、Active Directory 証明書データベースに Active Directory 証明書をインストールする必要がなくなるので、セットアップ手順が簡単になります。
「信頼できる SSL の証明書を要求」ボックスを有効にすると、Active Directory コネクタは SSL 経由で Active Directory に接続し、Active Directory から渡された証明書が信頼されているかどうかを検証します。
コネクタの証明書データベースに Active Directory 証明書を追加してください。手順については、「Active Directory 証明書のコネクタの証明書データベースへの追加」を参照してください。
「拡張セキュリティーオプション」パネルの設定が完了したら、「完了」をクリックします。
ナビゲーションツリーの「ディレクトリソース」の下に、新しく指定した Active Directory ディレクトリソースが追加されます。
その Active Directory ディレクトリソースノードを選択し、「Active Directory ソース」パネルを表示します。
このパネルから、次のタスクを実行できます。
「コントローラの編集」: このボタンをクリックすると、「ドメインコントローラの指定」パネルが再度開き、ドメインコントローラの設定パラメータを変更できます。操作方法については、「Active Directory ソースの作成」を参照してください。
「再同期間隔」: Active Directory コネクタが変更を確認する頻度を指定します。(デフォルトは 1000 ミリ秒)
「ディレクトリソースのクレデンシャル」: 指定されているユーザー DN とパスワードのいずれかまたは両方を変更します。