Active Directory連携: パスワード同期に関するトラブルシュート

Access Control 管理画面から [同期ログ] を開きます。
各行をクリックすると同期内容の詳細が表示されます。
直近のログに "Start password syncing" から始まるログが出力されているか確認してください。

※"HDE One Directory Sync version x.x.x" や "Start syncing" と表示されているログはユーザー同期のログで、今回は対象外です。

• ログが出ていない場合：HDE One Password Sync サービスは実行されていますか？ へ進んでください。
• エラーが出ている場合：該当のユーザーは Access Contro l上に存在しますか？ へ進んでください。
• エラーがなく正常に出力されている場合：事例別（社内システム構成の変更） へ進んでください。

1. 同期サーバー （HDE Directory Sync Tool がインストールされているサーバー） の [管理ツール] － [サービス] を開きます。
2. "HDE One Password Sync" の [状態] が "実行中" になっていることを確認します。

• 状態が "実行中" でない場合

  HDE One Password Sync を右クリックして "開始" を選択してください。
  ※開始してもすぐに停止してしまう場合には本記事内の以下の項をご確認ください。

  • パスワード同期サービス （HDE One Password Sync） の実行ユーザーの権限は適切に設定されていますか？
  • インターネット通信に Web プロキシ や URL フィルタリング を利用していますか？

• 状態が "実行中" の場合

  下記の記事を参考に、サービスの再起動をお試しください。
  HDE One Directry Sync、HDE One Password Sync の再起動について

HDE Directory Sync Tool のサービスを実行するユーザー（※）の権限は下記の 3 つの権限が必要です。

• Domain Admins
• Enterprise Admins
• Schema Admins

なお、HDE Directory Sync Tool の実行ユーザーは下記で設定されています。
同期サーバー（HDE Directory Sync Tool がインストールされているサーバー）で確認してください。

• C:\Program Files\HDE One Directory Sync\ フォルダ内にある config.ini
  ※config.ini を修正した場合、サービスを再起動する必要があります）
• 同期サーバーの［管理ツール］－［サービス］で下記サービスのプロパティを開き、［ログオン］タブ内
  HDE One Directory Sync
  HDE One Password Sync

社内からインターネットへの接続に Webプロキシ や URLフィルタリング を利用している場合は、HENNGE との通信がブロックされている可能性があります。
以下の記事を参照し、Access Control のURL（FQDN）の通信を許可（ホワイトリスト登録）するようにネットワーク設定を変更してください。
HENNGE One 動作環境

また可能であれば Webプロキシ などを経由しない設定での利用もご検討ください。

パスワード同期を行うにはすべての Active Directory 2016 以降に HDEPasswordFilter.dll がインストールされている必要があります。

1. Active Directory で以下のフォルダを開きます。
   C:\WINDOWS\System32\
2. フォルダ内に "HDEPasswordFilter.dll" というファイルがあるか確認します。
3. ファイルがない場合、ドメイン コントローラー全台への HDEPasswordFilter.dll インストール (WS 2016 以降) を確認しながら、HDEPasswordFilter.dll をインストールしてください。

新しく追加した Active Directory での設定が不足している可能性があります。
HDEPasswordFilter.dll は正常にインストールされていますか？ を確認してください。

　下記の3点を確認してください。

1. Active Directory サーバーの IPアドレス およびホスト名が変更されている

   同期サーバー（HDE Directory Sync Tool がインストールされているサーバー）の config.ini を開き、server= の変数に指定されているIP アドレスやホスト名が古いままになっていないか確認し、最新の情報に修正して保存してください。
   ファイルの場所：C:\Program Files\HDE One Directory Sync
   修正後は、サーバーの［管理ツール］－［サービス］から下記の 2 つのサービスを再起動してください。

   • HDE One Directory Sync
   • HDE One Password Sync

2. Active Directory サーバー構築後に HDEPasswordFilter.dll をインストールしていない

   HDEPasswordFilter.dll は正常にインストールされていますか？ を確認してください。

3. Active Directory の入れ替えを行ったが、同期サーバー（HDE Directory Sync Tool がインストールされているサーバー）はそのまま利用している

   HENNGE One Technical Support へ、実施した内容と、発生している状況をご連絡ください。

新しい同期サーバーで、HDE Directory Sync Tool のインストールと 旧サーバーからの設定ファイル（config.ini）ファイルの入れ替えが正しく完了しているか確認してください。
また、パスワード同期のログは出力されていますか？ を確認してください。

※HDE Directory Sync Tool のインストール状況が不明な場合は、HENNGE One Technical Support へ
実施された内容と発生している状況をご連絡ください。

Active Directory 上でパスワードが変更されると、HDE One Password Sync  サービスではユーザーの unixUserPassword の値をパスワードとして同期します。
unixUserPassword は Active Directory ドメインコントローラー上のユーザーパスワードが変更された際に HDEPasswordFilter.dll の機能により自動で更新されます。
Windows 端末などからパスワードを変更した場合、Active Directory ドメインコントローラーのいずれかに対してパスワード変更がかかります。
その後、他の Active Directory ドメインコントローラーにもレプリケーション（同期）するため、初めにパスワード変更が行われた Active Directory ドメインコントローラーサーバーにて上記の機能が正常に動作していない場合、HDE One Password Sync サービスでのパスワード同期は正常に行われません。

下記の手順にて、HDEPasswordFilter.dll の機能が正常に動作していないサーバーがないかをご確認ください。

----------------------------------------------------------

1. Active Directory ドメインコントローラーにログインします。

2. ［Active Directory ユーザーとコンピューター］より該当のユーザーのプロパティ［属性エディタ］タブ（※1）を開き "unixUserPassword" の値を確認します。

   
   （※1）［属性エディタ］タブが表示されていない場合は［Active Directory ユーザーとコンピューター］ 画面の［表示］－［拡張機能］にチェックを入れてください。

   

3. ログイン中の Active Directory ドメインコントローラー上で該当ユーザーのパスワードをリセットします。
4. 再度 該当ユーザーのプロパティ［属性エディタ］の "unixUserPassword" の値を確認し、変更されていれば HDEPasswordFilter.dll は正常に動作しています。

----------------------------------------------------------

上記の確認作業にてパスワード変更後も "unixUserPassword" の値が変わらないサーバーがある場合には、HDEPasswordFilter.dll は正常にインストールされていますか？ を確認してください。