Active Directory連携: パスワード同期に関するトラブルシュート

本項では Active Directory とのパスワード同期を実施している環境でパスワードを変更しても正常に同期されない場合のトラブルシュートを紹介します。
新規でユーザー登録を行った場合と既存ユーザーのパスワード変更を対象としております。
【基本編】【事例別】【トラブルシュート / 切り分け】と【問題が解決しない場合】の 全4章構成です。

本項の確認でも解消しない場合には 【問題が解決しない場合】をご参照いただき Customer Success Guide へご連絡くださいますと幸いです。

 

【基本編】

●パスワード同期のログは出力されていますか?

 HDEアクセスコントロール管理画面に管理者ユーザーでログインいただき [同期ログ] を開きます。
 時間をクリックすると同期内容の詳細が表示されますので直近で "Start password syncing" から始まるログが出力されているかをご確認ください。
 ※"HDE One Directory Sync version x.x.x" や "Start syncing" と表示されているログはアカウント同期のログです。

 [出力されていない場合]

 本記事 【基本編】の [HDE One Password Sync サービスは実行されていますか?] の項をご確認ください。

 

 [出力されている場合(エラーあり)]

 本記事 【基本編】の [該当のユーザーは HDEアクセスコントロール上に存在しますか?] の項をご確認ください。
 当てはまらない場合には、Customer Success Guide へご連絡ください。

 

 [出力されている場合(エラー無し)]

 本記事の【事例別】に当てはまる項目がないかご確認ください。
 いずれも当てはまらない場合は【トラブルシュート/切り分け】の項をご確認ください。

 

●HDE One Password Sync サービスは実行されていますか?

 同期サーバー(HDE Directory Sync Tool がインストールされているサーバー)の [管理ツール] > [サービス] より
 "HDE One Password Sync" の [状態] が "実行中" になっていることをご確認ください。

[参考]

 [状態が "実行中" ではない場合]

 HDE One Password Sync を右クリックして "開始" を選択してください

 ※開始してもすぐに停止してしまう場合には本記事の【基本編】の
  「パスワード同期サービス(HDE One Password Sync)の実行ユーザーの権限は適切に設定されていますか?」
  「インターネット通信に Web プロキシ や URL フィルタリング を利用していますか?」
  をご確認ください。

 

 [状態が "実行中" の場合]

 下記の記事をご参考いただきまして、HDE One Password Sync サービスの再起動をお試しください。

 HDE One Directry Sync、HDE One Password Sync の再起動について

 

●該当のユーザーは HDEアクセスコントロール上に存在しますか?

 HDEアクセスコントロール管理画面に管理者ユーザーでログインいただき [ユーザー一覧] を開きます。
 検索機能で該当ユーザーを検索し正しく登録されていることを確認してください。
 ※新規で ActiveDirectory に登録したユーザーの場合は [同期ログ] を確認いただき
  アカウントが同期されているかご確認ください。(通常アカウント自動同期は 2 時間ごとに実行されます)

 

●パスワード同期サービス(HDE One Password Sync)の実行ユーザーの権限は適切に設定されていますか?

 HDE Directory Sync Tool のサービスを実行するユーザー(※)の権限は下記の権限が必要です。
 - Domain Admins
 - Enterprise Admins
 - Schema Admins

 (※)HDE Directory Sync Tool の実行ユーザーは下記のどちらかで設定されています。
    同期サーバー(HDE Directory Sync Tool がインストールされているサーバー)で確認してください。

  - HDE Directory Sync Tool の設定ファイル config.ini 内
  ※C:\Program Files\HDE One Directory Sync\ フォルダ内にございます
  (こちらを書き換えた場合、サービスを再起動いただく必要がございます)

  - サーバーの [管理ツール] > [サービス] で下記サービスのプロパティを開き [ログオン] タブ内
  HDE One Directory Sync
  HDE One Password Sync

 

●インターネット通信に Web プロキシ や URL フィルタリング を利用していますか?

  Web プロキシ や URL フィルタリング をご利用されている場合は下記の FQDN を許可してください。

  sync.ssso.hdems.com
  admin.ssso.hdems.com
  ap.ssso.hdems.com
 (いずれも TCP / 443 ポートを使用します)

 ※ URL で指定する場合は 前方に https://  後方に /* を追加してください。
  例)https://sync.ssso.hdems.com/* 

 また可能であれば Web プロキシなどを経由しない設定でご利用いただくこともご検討ください。

 

●UNIX用Microsoft ID管理コンポーネント(または HDEOnePasswordFillter.dll)は正常にインストールされていますか?

 パスワード同期を行うには Active Directory ドメインコントローラーサーバー 全台に
 UNIX 用 Microsot ID 管理コンポーネントがインストールされている必要がございます。
 ※Windows Server 2016 以降 UNIX 用 Microsoft ID 管理コンポーネントは提供されておりませんので、
  弊社にて提供している HDEOnePasswordFillter.dll のインストールが必要です。

 ■確認方法(すべての Active Directory ドメインコントローラーサーバーで確認が必要です)

 [Windows Server 2012 R2 以前]

  1. [サーバー マネージャー] を開きます
  2. 画面右上の [ツール(T)] から [UNIX 用 Microsoft ID 管理] を選択します
    ※[UNIX 用 Microsoft ID 管理] がない場合該当のサーバーにはインストールされておりませんのでインストールが必要です。
      参考: https://support.hdeone.com/hc/ja/articles/115007823447
  3. 表示されたウィンドウの左側にあるツリー内 [パスワード同期] 上で右クリックし "プロパティ" を開きます
  4. プロパティ内で下記を確認します
    ・[全般] タブ: "Windows から UNIX" にチェックされていること
    ・[構成] タブ: 一番下の "有効にする" にチェックされていること

 [Windows Server 2016 以降]

  1. 下記のフォルダにアクセスします
    C:\WINDOWS\System32\
  2. フォルダ内に "HDEPasswordFilter.dll" ファイルがあることを確認します

 → ファイルがない場合は弊社より提供しております DLL(HDEOnePasswordFillter.dll)のインストールが必要です。
  Customer Success Guide へご連絡いただけましたら DLL ファイルとインストール方法をご提供いたします。

 


 

【事例別】

●最近 Active Directory サーバーの増設を行った

 本記事の【基本編】にございます「UNIX用Microsoft ID管理コンポーネント(または HDEOnePasswordFillter.dll)は正常にインストールされていますか?」の確認を実施してください。

 

●最近 Active Directory サーバーの入れ替えを行った

 下記の点をご確認ください。

 ・Active Directory サーバーの IP アドレスおよびホスト名が変更されている

 → 同期サーバー(HDE Directory Sync Tool がインストールされているサーバー)の
   C:\Program Files\HDE One Directory Sync\config.ini 内で [server=] 変数に指定されている
   IP アドレスあるいはホスト名を修正して保存してください。
   修正後、サーバーの [管理ツール] > [サービス] から下記のサービスを再起動してください。

  HDE One Directory Sync
  HDE One Password Sync

 

 ・Active Directory サーバー構築後に UNIX 用 Microsoft ID 管理コンポーネントをインストールしていない(Windows Server 2012 R2 以前)

 → 本記事の【基本編】にございます「UNIX用Microsoft ID管理コンポーネント
  (または HDEOnePasswordFillter.dll)は正常にインストールされていますか?」の確認を実施してください。

 

 ・Active Directory ドメインコントローラーサーバーの入替えを行ったが、同期サーバー(HDE Directory Sync Tool がインストールされているサーバー)はそのまま利用している

 → Customer Success Guide へ実施された内容と発生している状況をご連絡ください

 

●最近 同期サーバーの入れ替えを行った

 HDE Directory Sync Tool のインストールと 設定ファイル(config.ini)ファイルの差し替えを実施されているかご確認ください。
 また【基本編】にございます「パスワード同期のログは出力されていますか?」の確認を実施してください。

 HDE Directory Sync Tool のインストールなどがご不明な場合は、Customer Success Guide へ
 実施された内容と発生している状況をご連絡ください

 


 

 【トラブルシュート / 切り分け】

●各 Active Directory ドメインコントローラーで unixUserPassword が更新されるかを確認する

HDE One Password Sync  サービスでは unixUserPassword の値をパスワードとして同期しております。
unixUserPassword は Active Directory ドメインコントローラー上のユーザーパスワードが変更された際に
UNIX用 Microsoft ID 管理コンポーネント(あるいは HDEOnePasswordFillter.dll)の機能により自動で更新されます。
Windows 端末などからパスワードを変更した場合、Active Directory ドメインコントローラーのいずれかに対してパスワード変更がかかり、
その後他の Active Directory ドメインコントローラーにもレプリケーション(同期)しますので、
初めにパスワード変更が行われた Active Directory ドメインコントローラーサーバーにて上記の機能が正常に
動作していない場合、HDE One Password Sync サービスでのパスワード同期は正常に行われません。

下記の手順にて、UNIX用 Microsoft ID 管理コンポーネント(あるいは HDEOnePasswordFillter.dll)の機能が
正常に動作していないサーバーがないかをご確認ください。

以下の確認作業をすべての Active Directory ドメインコントローラーサーバーにて実施してください。
----------------------------------------------------------

  1. Active Directory ドメインコントローラーにログインします
  2. [Active Directory ユーザーとコンピューター] より該当のユーザーのプロパティ [属性エディタ] タブ(※1)を開き "unixUserPassword" の値を確認します

    [参考]


    (※1)表示されていない場合は [Active Directory ユーザーとコンピューター]  画面の [表示] > [拡張機能] にチェックを入れてください
     

  3. ログイン中の Active Directory ドメインコントローラー上で該当ユーザーのパスワードをリセットします
  4. 再度 該当ユーザーのプロパティ [属性エディター] から "unixUserPassword" の値を確認し変更されていれば正常です

----------------------------------------------------------

上記の確認作業にてパスワード変更後も "unixUserPassword" の値が変わらないサーバーがある場合には、
本記事の【基本編】にございます「UNIX用Microsoft ID管理コンポーネント(または HDEOnePasswordFillter.dll)は正常にインストールされていますか?」の確認を実施してください。

 

 


 

 【問題が解決しない場合】

本項の確認でも解消しない場合には Customer Success Guide へお問い合わせください。

お問い合わせの際には、下記の情報もお知らせいただけますと幸いでございます。

・本項のトラブルシュートを実施いただいた結果

・エラーなどのログ出力を確認している場合にはそのエラー内容

・HDE One Directory Sync Tool の設定ファイル(config.ini)

 ※同期サーバーの C:\Program Files\HDE One Directory Sync\ フォルダ直下にございます

Assign-HDEOnePasswrdSyncGroup.bat

 ※同期サーバーあるいは Active Directory サーバーの C:\HDEOne\ フォルダ直下にございます

          
この記事は役に立ちましたか?

よくあるご質問

Powered by Zendesk