[Access Control] Active Directory リプレース手順（ドメインコントローラー・同期サーバー両方・パスワード同期あり） – HENNGE One ヘルプセンター

対象

Active Directory および同期サーバーのリプレース（移設 / OS バージョンアップ含む）を実施するお客様
Active Directory からパスワード同期を実施するお客様

目的

Active Directory および同期サーバーリプレース（移設 / OS バージョンアップ含む）に際して HENNGE Directory Sync Tool 関連で設定する内容を説明します。

注意事項

本記事は、事前に HENNGE 担当者が貴社ご担当者様よりヒアリングした現環境構成や作業内容を元にご案内しています。
リプレースを予定しているお客様は、下記の記事をご参照ください
Windows Serverのバージョンアップ・入れ替え・追加を予定されているお客様へお願い
2019 年 2 月 1 日に行われた弊社の社名変更（HDE→HENNGE）に伴い、サービスや同期ツールの名称が変更されています。
ただし、本作業で利用するファイル名やインストールフォルダ名は、お客様への影響を考慮し変更していないので、記事内の記載と同じ名称をご利用ください。
本記事の内容は 2026 年 3 月時点の内容をもとにしており、以後予告なく変更される場合があります。

新しい Active Directory ドメインコントローラー（Windows Server 2016 以降）での作業［全サーバー共通］
新しいActive Directoryドメインコントローラー（Windows Server 2016以降）での作業 [ドメイン昇格後/全サーバー共通]
HENNGE Directory Sync Tool を新しく実行するサーバーでの事前準備 [新同期サーバー構築後]
HENNGE Directory Sync Tool が実行されている旧サーバーでの同期サービス停止
新同期サーバーで HENNGE Directory Sync Tool を実行する際の作業
全ての作業が完了してもパスワード同期が行われない場合の対処方法

手順

事前準備 – インストーラーのダウンロード

Access Control 管理画面にアクセスします。
[Access Control] 管理画面へのログイン方法
下記の手順に沿って、HDEOneDirectorySync-x64.msi 及び Installer_HDEOnePasswordSync.zip を取得します。
[Access Control] ActiveDirectory 同期ツールのダウンロード手順

1. 新しい Active Directory ドメインコントローラー（Windows Server 2016 以降）での作業
［全サーバー共通］

新しく Active Directory ドメインコントローラーとして稼働するすべての Windows Server 2016 以降のサーバー（以下、ドメインコントローラー）で実施する作業です。
この作業はドメイン昇格前でも実施できます。

HDEPasswordFilter.dll のインストール

Windows Server 2016 以降で稼働するドメインコントローラーで Access Control とパスワード同期をする場合、すべてのドメインコントローラーで HDEPasswordFilter.dll をインストールするためのスクリプトを実行する必要があります。

※この作業は［Domain Admins］もしくは［Enterprise Admins］権限を持つユーザーで実施してください。

ダウンロードした Installer_HDEOnePasswordSync.zip を解凍し、Installer_HDEOnePasswordSync フォルダーをすべてのドメインコントローラーにコピーします。
PowerShell を管理者として起動します。

PowerShell で以下のコマンドを実行します。

> cd <Installer_HDEOnePasswordSyncフォルダーのパス>
> powershell -ExecutionPolicy Bypass -File .\install.ps1

例

cd C:\work\Installer_HDEOnePasswordSync
powershell -ExecutionPolicy Bypass -File .\install.ps1

以下のメッセージが表示されることを確認します。
※ エラーが表示された際には HENNGE のサポート窓口にご連絡ください。
```
The script was successfully completed. Please restart Windows Server.
```
ドメインコントローラーを再起動します。
手順 2 から 5 を、新規導入するすべてのドメインコントローラーで実施します。

2. 新しいActive Directoryドメインコントローラー（Windows Server 2016以降）での作業
[ドメイン昇格後/全サーバー共通]

Active Directory Web Services（ADWS）の確認

※本作業はドメインコントローラー昇格後に実施してください。

［管理ツール］－［サービス］を開き “Active Directory Web Services” の状態が開始、スタートアップの種類が自動となっていることを確認します。

Active Directory Web Servicesの状態確認画面

AmazonSSMAgent サービスの停止（AWS 上のドメインコントローラーのみ）

AWS 上に構築した Windows Server では AmazonSSMAgent というサービスが実行されている場合があります。
このサービスが実行されていると HDEPasswordFilter.dll の動作に影響を及ぼす可能性があるため、下記の手順で確認と停止作業を実施してください。

サービス確認手順

［コントロールパネル］－［管理ツール］－［サービス］を開きます。
“AmazonSSMAgent” サービスの「スタートアップの種類」が 「無効」以外 になっている場合は「サービス停止手順」を実施します。

サービス停止手順

“AmazonSSMAgent” を選択し右クリックメニューからプロパティを開きます。
［全般］タブで「スタートアップの種類」を「無効」にして［OK］ボタンをクリックします。
ドメインコントローラーを再起動します。

3. HENNGE Directory Sync Tool を新しく実行するサーバーでの事前準備 [新同期サーバー構築後]

HENNGE Directory Sync Tool のインストール要件確認

下記の記事を参照いただき、動作要件を満たしていることを確認します。
HENNGE One 動作環境 – HENNGE Directory Sync Tool
通信先の Active Directory に接続出来ることを確認します。

動作用ルート証明書のインストール

下記の手順を参考に、証明書をインストールしてください。
[Access Control] HENNGE Directory Sync Tool 動作用ルート証明書インストール手順

HENNGE Directory Sync Tool の実行時には、Access Control との通信のために SSL 証明書チェックを行っています。
必要な SSL 証明書のルート証明書がインストールされていない場合、エラーとなる可能性があります。

新しい HENNGE Directory Sync Tool のインストール

事前に Access Control からダウンロードした HDEOneDirectorySync-x64.msi を実行し、ダイアログに従ってインストールします。
HENNGE より連携した config.ini ファイルをインストールフォルダ（※）に上書き保存します。
（※）C:\Program Files\HDE One Directory Sync\
- 参照先 Active Directory ドメインコントローラーの IP アドレスおよびホスト名が変更される場合、
  config.ini ファイル内の「server=」変数に指定されている値を新しいドメインコントローラーの IP アドレスに変更し保存します。
```
------------------------------
;; Domain information
server=xxx.xxx.xxx.xxx
------------------------------
```
- 「password=」が削除されていたりマスクされている場合には、「username=」に記載されているユーザーの正しいログオンパスワードを入力して保存してください。

HENNGE Directory Sync Tool が実行されている旧サーバーからの Assign-HDEOnePasswordSyncGroup.bat フォルダの移動

HENNGE Directory Sync Tool が実行されている旧サーバーにある C:\HDEOne\ フォルダをフォルダごと取得します。
取得したフォルダを、新しく HENNGE Directory Sync Tool を実行するサーバーの C:\ ドライブ直下に、旧サーバーと同じ階層構造になるよう配置します。

4. HENNGE Directory Sync Tool が実行されている旧サーバーでの同期サービス停止

HENNGE Directory Sync Tool の実行ユーザー確認

移行前の同期サーバーにて［管理ツール］－［サービス］から以下のサービスの［プロパティ］－［ログオン］を開き、［アカウント］にユーザーが指定されていた場合には値を控えます。

HDE One Directory Sync
HDE One Password Sync

サービスのアカウント確認画面

移行前の HENNGE Directory Sync Tool のサービス停止

移行前の同期サーバーで［管理ツール］－［サービス］から以下のサービスを停止します。

HDE One Directory Sync
HDE One Password Sync

5. 新同期サーバーで HENNGE Directory Sync Tool を実行する際の作業

Assign-HDEOnePasswordSyncGroup.bat の定期実行設定

以下の記事から「定期実行設定」の欄を参照し、Assign-HDEOnePasswordSyncGroup.bat の定期実行設定を実施します。（それ以外の項目については確認不要です）
[Access Control] Assign-HDEOnePasswrdSyncGroup.bat の実行

HENNGE Directory Sync Tool 動作確認

通常の運用時には、HENNGE Directory Sync Tool は Windows サービスにより定期実行されますが、PowerShell コマンドにより即時のユーザー同期の実行も可能です。
下記の手順から、ユーザー同期の動作を確認できます。

※この作業は［Domain Admins］もしくは［Enterprise Admins］権限を持つユーザーで実施してください。

PowerShell を管理者として起動します。
以下のコマンドにより、HENNGE Directory Sync Tool によるテスト同期を実行します。
※ /n オプションを付与していない場合、同期が実行されるのでご注意ください。
```
cd "C:\Program Files\HDE One Directory Sync"
.\console.exe /n
```

同期されていないユーザーの差分が表示されることを確認します。

例）------------------------------------------------------------------
##### Sync set [sync01] #####
   Active Directory ---> HDE Access Control
Add: Administrator / iGcrgi8tjUy1NfaLulJ/5Q==
Add: Guest / qWEUYHX3DUOxPrZv6C271Q==
Add: test01 / test01@addc1.example.com / WEt4r/aDlE3wtGz0UbVoqQ==
Delete: aaa / aab@addc1.example.com / hfJV7x6cakym2AIWkThdA==
----------------------------------------------------------------------

※同期対象ユーザーが存在しない場合、下記のように出力されます。

例）------------------------------------------------------------------
##### Sync set [sync01] #####
   Active Directory ---> HDE Access Control
 * No sync data *
----------------------------------------------------------------------

HENNGE 同期サービスの定期実行

※ 初回同期時に、全ユーザーのパスワードが同期されるのでご注意ください

HENNGE Directory Sync Tool をインストールしたサーバーに管理者でログインします。
［コントロールパネル］－［管理ツール］－［サービス］を開きます。
下記の 2 つのサービスをダブルクリックしサービスの状態を［開始］、スタートアップの種類を［自動（遅延開始）］に設定します。
- HDE One Directory Sync
- HDE One Password Sync
本マニュアルの「4. HENNGE Directory Sync Tool が実行されている旧サーバーでの同期サービス停止時の作業」－「HENNGE Directory Sync Tool の実行ユーザー確認」でアカウントが指定されていた場合には［ログオン］タブで同様のユーザーを指定します。
［OK］をクリックします。
ブラウザーで Access Control 管理画面を開きます。
※別端末での実施でも可能です。
以下の記事より［定期同期ログの確認］の手順に沿って、アカウントとパスワードの同期が完了したことを確認します。
[Access Control] HENNGE Directory Sync Tool の実行
※各サービスの定期実行間隔のデフォルト値は以下のとおりです。（1 分単位で変更可能です）
・HDE One Directory Sync：2 時間に 1 回
・HDE One Password Sync：3 分間に 1 回 (パスワード変更がある場合のみ表示)

6. 全ての作業が完了してもパスワード同期が行われない場合の対処方法

この作業は、本手順の全ての作業を完了した後、正常にパスワード同期が行われていない場合の初期対応として実施してください。
※問題なくパスワード同期が行われている場合にはこの作業は不要です。
※この作業を実施してもパスワードが同期されない場合には、下記の記事もご参照ください。
Active Directory連携: パスワード同期に関するトラブルシュート

HENNGE Directory Sync Tool レジストリクリア

HENNGE Directory Sync Tool のパスワード同期は、前回実行したドメインコントローラーのレジストリ値を複製し、保持しています。
参照先のドメインコントローラーが変わった場合、パスワード同期を正常に実行するには、この値をリセットする必要があります。

下記の手順を実施し、値のリセットを実施してください。

[Access Control] HENNGE Directory Sync Tool 参照先 AD 変更時の必要作業
Access Control 管理画面を開きます。
※別の端末上での実施でも問題ありません
以下の記事より［定期同期ログの確認］の手順に沿って、アカウントとパスワードの同期が終了したことを確認します。
[Access Control] HENNGE Directory Sync Tool の実行
※各サービスの定期実行間隔のデフォルト値は以下のとおりです。（1 分単位で変更可能です）
・HDE One Directory Sync : 2 時間に 1 回
・HDE One Password Sync : 3 分間に 1 回 (パスワード変更がある場合のみ表示)

対象

目的