メインコンテンツへスキップ
English (United States) 简体中文 繁體中文

[Access Control] Active Directory リプレース手順(ドメインコントローラー・同期サーバー両方・パスワード同期なし)

対象

  • Active Directory および同期サーバーリプレース(移設 / OS バージョンアップ含む)を実施するお客様
  • パスワード同期を実施しないお客様

目的

Active Directory および同期サーバーリプレース(移設 / OS バージョンアップ含む)に際して HENNGE Directory Sync Tool 関連で設定する内容を説明します。

注意事項

  1. 本記事は、事前に HENNGE担当者が貴社ご担当者様よりヒアリングした現環境構成や作業内容を元にご案内しています。
    リプレースを予定しているお客様は、下記の記事をご参照ください
    Windows Serverのバージョンアップ・入れ替え・追加を予定されているお客様へお願い
  2. 2019 年 2 月 1 日に行われた弊社の社名変更(HDE→HENNGE)に伴い、サービスや同期ツールの名称が変更されています。
    ただし、本作業で利用するファイル名やインストールフォルダ名は、お客様への影響を考慮し変更していないので、記事内の記載と同じ名称をご利用ください。
  3. 本記事の内容は 2026 年 3 月時点の内容をもとにしており、以後予告なく変更される場合があります。

目次

事前準備 – インストーラーのダウンロード

  1. 新しい Active Directory ドメインコントローラーサーバー(Windows Server 2016 以降)での作業 [ドメイン昇格後 / 全サーバー共通]
  2. HENNGE Directory Sync Tool を新しく実行するサーバーでの事前準備 [新同期サーバー構築後]
  3. HENNGE Directory Sync Tool が実行されている旧サーバーでの同期サービス停止
  4. 新同期サーバーで HENNGE Directory Sync Tool を実行する際の作業

手順

事前準備 - インストーラーのダウンロード

  1. Access Control 管理画面にアクセスします。
    [Access Control] 管理画面へのログイン方法
  2. 下記の手順から[HENNGE Directory Sync Tool のダウンロード]を実施し、HDEOneDirectorySync-x64.msi を取得します。
    [Access Control] ActiveDirectory 同期ツールのダウンロード手順

 

1. 新しいActive Directoryドメインコントローラー(Windows Server 2016以降)での作業 
[ドメイン昇格後/全サーバー共通]

Active Directory Web Services(ADWS)の確認

※本作業はドメインコントローラー昇格後に実施してください。

[管理ツール]-[サービス]を開き Active Directory Web Services の状態が「開始」に、
スタートアップの種類が「自動」となっていることを確認します。

Active Directory Web Servicesのサービス状態確認画面

 

2. HENNGE Directory Sync Tool を新しく実行するサーバーでの事前準備 [新同期サーバー構築後]

HENNGE Directory Sync Tool のインストール要件確認

  1. 下記の記事を参照いただき、動作要件を満たしていることを確認します。
    HENNGE One 動作環境 – HENNGE Directory Sync Tool
  2. 通信先の Active Directory に接続出来ることを確認します。

動作用ルート証明書のインストール

  1. 下記の手順を参考に、証明書をインストールしてください。
    [Access Control] HENNGE Directory Sync Tool 動作用ルート証明書インストール手順

    HENNGE Directory Sync Tool の実行時には、Access Control との通信のために SSL 証明書チェックを行っています。
    必要な SSL 証明書のルート証明書がインストールされていない場合、エラーとなる可能性があります。

新しい HENNGE Directory Sync Tool のインストール

  1. 事前に Access Control からダウンロードした HDEOneDirectorySync-x64.msi を実行し、ダイアログに従ってインストールします。
  2. HENNGE より連携した config.ini ファイルをインストールフォルダ(※)に上書き保存します。
    (※)C:\Program Files\HDE One Directory Sync\

    • 参照先 Active Directory ドメインコントローラーの IP アドレスおよびホスト名が変更される場合、
      config.ini ファイル内の「server=」変数に指定されている値を新しいドメインコントローラーの IP アドレスに変更し保存します。

      ------------------------------
;; Domain information
server=xxx.xxx.xxx.xxx
------------------------------
    • 「password=」が削除されていたりマスクされている場合には、「username=」に記載されているユーザーの正しいログオンパスワードを入力して保存してください。

HENNGE Directory Sync Tool が実行されている旧サーバーからの Assign-HDEOnePasswordSyncGroup.bat フォルダの移動

  1. HENNGE Directory Sync Tool が実行されている旧サーバーにある C:\HDEOne\ フォルダをフォルダごと取得します。
  2. 取得したフォルダを、新しく HENNGE Directory Sync Tool を実行するサーバーの C:\ ドライブ直下に、旧サーバーと同じ階層構造になるよう配置します。

 

3. HENNGE Directory Sync Tool が実行されている旧サーバーでの同期サービス停止時の作業

HENNGE Directory Sync Tool の実行ユーザー確認

移行前の同期サーバーにて[管理ツール]-[サービス]から以下のサービスの[プロパティ]-[ログオン]を開き、[アカウント]にユーザーが指定されていた場合には値を控えます。

  • HDE One Directory Sync

サービスのアカウント確認画面

移行前の HENNGE Directory Sync Tool のサービス停止

移行前の同期サーバーで[管理ツール]-[サービス]から以下のサービスを停止します。

  • HDE One Directory Sync

 

4. 新同期サーバーで HENNGE Directory Sync Tool を実行する際の作業

Assign-HDEOnePasswordSyncGroup.bat の定期実行設定

以下の記事から「定期実行設定」の欄を参照し、Assign-HDEOnePasswordSyncGroup.bat の定期実行設定を実施します。
※それ以外の項目については確認不要です
[Access Control] Assign-HDEOnePasswrdSyncGroup.bat の実行

HENNGE Directory Sync Tool 動作確認

通常の運用時には、HENNGE Directory Sync Tool は Windows サービスにより定期実行されますが、PowerShell コマンドにより即時のユーザー同期の実行も可能です。
下記の手順から、ユーザー同期の動作を確認できます。

※この作業は[Domain Admins]もしくは[Enterprise Admins]権限を持つユーザーで実施してください。

  1. PowerShell を管理者として起動します。

  2. 以下のコマンドにより、HENNGE Directory Sync Tool によるテスト同期を実行します。
    /n オプションを付与していない場合、同期が実行されるのでご注意ください。

    cd "C:\Program Files\HDE One Directory Sync"
.\console.exe /n

  3. 同期されていないユーザーの差分が表示されることを確認します。

    例)------------------------------------------------------------------
##### Sync set [sync01] #####
   Active Directory ---> HDE Access Control
Add: Administrator / iGcrgi8tjUy1NfaLulJ/5Q==
Add: Guest / qWEUYHX3DUOxPrZv6C271Q==
Add: test01 / test01@addc1.example.com / WEt4r/aDlE3wtGz0UbVoqQ==
Delete: aaa / aab@addc1.example.com / hfJV7x6cakym2AIWkThdA==
----------------------------------------------------------------------

    ※同期対象ユーザーが存在しない場合、下記のように出力されます。

    例)------------------------------------------------------------------
##### Sync set [sync01] #####
   Active Directory ---> HDE Access Control
 * No sync data *
----------------------------------------------------------------------

HENNGE 同期サービスの定期実行

  1. HENNGE Directory Sync Tool をインストールしたサーバーに管理者でログインします。
  2. [コントロールパネル]-[管理ツール]-[サービス]を開きます。
  3. 下記のサービスをダブルクリックしサービスの状態を[開始]、スタートアップの種類を[自動(遅延開始)]に設定します。
    • HDE One Directory Sync
  4. 本マニュアルの「3. HENNGE Directory Sync Tool が実行されている旧サーバーでの同期サービス停止時の作業」-「HENNGE Directory Sync Tool の実行ユーザー確認」でアカウントが指定されていた場合には[ログオン]タブで同様のユーザーを指定します。
  5. [OK]をクリックします。
  6. ブラウザーで Access Control 管理画面を開きます。
    ※別端末での実施でも可能です。
  7. 以下の記事より[定期同期ログの確認]の手順に沿って、アカウントとパスワードの同期が完了したことを確認します。
    [Access Control] HENNGE Directory Sync Tool の実行
    ※各サービスの定期実行間隔のデフォルト値は以下のとおりです。(1 分単位で変更可能です)
    ・HDE One Directory Sync:2 時間に 1 回