Directory Server Enterprise Edition のコンポーネントである Identity Synchronization for Windows は、パスワードなどのユーザーアカウント情報を Directory Server と Windows の間で同期します。Windows Active Directory と Windows NT の両方がサポートされています。Identity Synchronization for Windows は、あらゆる規模の企業にとって、拡張性と強化されたセキュリティーを備えたパスワード同期ソリューションの構築に役立ちます。
Identity Synchronization for Windows のマニュアルの一覧については、http://docs.sun.com/coll/isw_04Q3 を参照してください。配備で Identity Synchronization for Windows の使用を計画している場合、この章で説明する問題に対処する必要があります。
パスワードの同期方向: Directory Server から Active Directory の方向または双方向にパスワードを同期する場合、Windows 2000 に High Encryption Pack をインストールする必要があります。このインストールにより、Active Directory over LDAP でパスワードを設定するときに必要な 128 ビット SSL が有効になります。
新規ユーザー作成の同期: Identity Synchronization for Windows が新規ユーザーの作成を同期しない場合、idsync resync コマンドを定期的に実行して、新しく作成されたユーザー間のリンクを確立する必要があります。idsync resync を実行することによってユーザーが明示的にリンクされるまでの間、新しく作成されたユーザーへの変更は同期されません。
生成サイズ: Identity Synchronization for Windows では、同期可能なユーザー数の上限は設定されていませんが、ユーザーの総数は配備に影響を及ぼします。主に影響を受けるのは、同期を開始する前に実行する必要がある idsync resync コマンドです。同期されるユーザー数が 100,000 を超える場合、idsync resync コマンドをバッチで実行します。このバッチモードは、最適なパフォーマンスを保証し、Sun Java System Message Queue にかかる負荷を制限します。
パフォーマンス要件: Identity Synchronization for Windows のパフォーマンスを制限する要因としては、ユーザー総数よりも同期率のほうが重要です。この要件のただ 1 つの例外は、idsync resync コマンドを実行するときです。
ピーク時の予測変更率: 同じシステム上でコアと 2 つのコネクタが稼働する Identity Synchronization for Windows の配備では、毎秒 10 件の同期という変更率が持続することは珍しくありません。必要な同期率がこの率を超える場合、Identity Synchronization for Windows を複数のマシンに分散させることによってパフォーマンスの向上を達成できます。たとえば、Identity Synchronization for Windows コアとは別のマシンにコネクタをインストールできます。
同期対象の Windows ドメイン数: 複数の Windows ドメインを同期する場合、activedirectorydomainname 属性または USER_NT_DOMAIN_NAME 属性を Directory Server 属性に同期する必要があります。この同期は、同期ユーザーリスト定義間のあいまいさを解決するために必要です。
配備内の Directory Server マスター、ハブ、および読み取り専用レプリカの数: 複数の Directory Server が存在する配備では、個々のマスターレプリカ、ハブレプリカ、および読み取り専用レプリカ上で Identity Synchronization for Windows Directory Server プラグインを有効にする必要があります。Identity Synchronization for Windows を設定するとき、1 つの Directory Server マスターが優先マスターとして指定されます。マスターの実行中、Directory Server コネクタは優先マスターで発生する変更を検出および適用します。このサーバーが停止した場合、コネクタは必要に応じて 2 番目のマスターに変更を適用できます。優先マスター上では Retro Changelog プラグイン (旧バージョン形式の更新履歴ログプラグイン) を有効にする必要があります。このマスターは、Identity Synchronization for Windows コアと同じ LAN 上に存在する必要があります。
セキュリティー: Directory Server コネクタまたは Active Directory コネクタが SSL を使用して Directory Server または Active Directory に接続する場合、これらのサーバー上で SSL を有効にする必要があります。信頼できる証明書のみを受け入れるようにコネクタが設定されている場合、追加の設定手順を実行する必要があります。この手順では、適切な認証局証明書をコネクタの証明書データベースにインポートします。Directory Server プラグインと Active Directory の間で SSL が必要な場合、Directory Server で SSL を有効にする必要があります。加えて、Active Directory SSL 証明書に署名するために使用される認証局証明書を、Directory Server の証明書データベースにインポートする必要があります。
Identity Synchronization for Windows を組み込んだ詳細な配備シナリオについては、『Sun Java System Identity Synchronization for Windows 6.0 Deployment Planning Guide 』を参照してください。