対象
- Active Directory ドメインコントローラーサーバー のみリプレース(移設 / OS バージョンアップ含む)を実施するお客様
- Active Directory からパスワード同期を実施するお客様
目的
Active Directory サーバーのリプレース(移設 / OS バージョンアップ含む)に際して HENNGE Directory Sync Tool 関連で設定する内容を説明します。
注意事項
- 本記事は、事前に HENNGE担当者が貴社ご担当者様よりヒアリングした現環境構成や作業内容を元にご案内しています。
リプレースを予定しているお客様は、下記の記事をご参照ください
Windows Serverのバージョンアップ・入れ替え・追加を予定されているお客様へお願い - 2019 年 2 月 1 日に行われた弊社の社名変更(HDE→HENNGE)に伴い、サービスや同期ツールの名称が変更されています。
ただし、本作業で利用するファイル名やインストールフォルダ名は、お客様への影響を考慮し変更していないので、記事内の記載と同じ名称をご利用ください。 - 本記事の内容は 2026 年 3 月時点の内容をもとにしており、以後予告なく変更される場合があります。
目次
- 新しい Active Directory ドメインコントローラーサーバー(Windows Server 2016 以降)での作業 [全サーバー共通]
- 新しい Active Directory ドメインコントローラーサーバー(Windows Server 2016 以降)での作業 [ドメイン昇格後 / 全サーバー共通]
- 旧参照先ドメインコントローラーの降格前作業
- HENNGE Directory Sync Tool の再開作業 [新 AD サーバーの昇格後]
- 全ての作業完了後パスワード同期が行われない場合の対処
手順
事前準備 – インストーラーのダウンロード
- Access Control 管理画面にアクセスします。
[Access Control] 管理画面へのログイン方法 - 下記の手順に沿って、Installer_HDEOnePasswordSync.zip を取得します。
[Access Control] ActiveDirectory 同期ツールのダウンロード手順
1. 新しい Active Directory ドメインコントローラーサーバー(Windows Server 2016 以降)での作業
[全サーバー共通]
新しく Active Directory ドメインコントローラーとして稼働するすべての Windows Server 2016 以降のサーバー(以下、ドメインコントローラー)で実施する作業です。
この作業はドメイン昇格前でも実施できます。
HDEPasswordFilter.dll のインストール
Windows Server 2016 以降で稼働するドメインコントローラーで Access Control とパスワード同期をする場合、すべてのドメインコントローラーで HDEPasswordFilter.dll をインストールするためのスクリプトを実行する必要があります。
※この作業は[Domain Admins]もしくは[Enterprise Admins]権限を持つユーザーで実施してください。
- ダウンロードした Installer_HDEOnePasswordSync.zip を解凍し、Installer_HDEOnePasswordSync フォルダーをすべてのドメインコントローラーにコピーします。
- PowerShell を管理者として起動します。
-
PowerShell で以下のコマンドを実行します。
> cd <Installer_HDEOnePasswordSyncフォルダーのパス> > powershell -ExecutionPolicy Bypass -File .\install.ps1例
cd C:\work\Installer_HDEOnePasswordSync powershell -ExecutionPolicy Bypass -File .\install.ps1 -
以下のメッセージが表示されることを確認します。
※ エラーが表示された際には HENNGE のサポート窓口にご連絡ください。The script was successfully completed. Please restart Windows Server. - ドメインコントローラーを再起動します。
- 手順 2 から 5 を、新規導入するすべてのドメインコントローラーで実施します。
2. 新しい Active Directory ドメインコントローラーサーバー(Windows Server 2016 以降)での作業
[ドメイン昇格後 / 全サーバー共通]
Active Directory Web Services(ADWS)の確認
※本作業はドメインコントローラー昇格後に実施してください。
[管理ツール]-[サービス]を開き Active Directory Web Services の状態が「開始」に、スタートアップの種類が「自動」となっていることを確認します。
AmazonSSMAgent サービスの停止(AWS 上のドメインコントローラーのみ)
AWS 上に構築した Windows Server では AmazonSSMAgent というサービスが実行されている場合があります。
このサービスが実行されていると HDEPasswordFilter.dll の動作に影響を及ぼす可能性があるため、下記の手順で確認と停止作業を実施してください。
サービス確認手順
- [コントロールパネル]-[管理ツール]-[サービス]を開きます。
- “AmazonSSMAgent” サービスの「スタートアップの種類」が 「無効」以外 になっている場合は「サービス停止手順」を実施します。
サービス停止手順
- “AmazonSSMAgent” を選択し右クリックメニューからプロパティを開きます。
- [全般]タブで「スタートアップの種類」を「無効」にして[OK]ボタンをクリックします。
- ドメインコントローラーを再起動します。
3. 旧参照先ドメインコントローラーの降格前作業
Assign-HDEOnePasswordSyncGroup.bat が実行されているサーバーの確認
Assign-HDEOnePasswordSyncGroup.bat を実行中のサーバーが降格対象のドメインコントローラーの場合はこの手順を実施します。
※HENNGE Directory Sync Tool が、ドメインコントローラーとは別の同期サーバー上にある場合はバックアップ作業は必要ありません。
bat ファイルが格納されている C:\HDEOne\ フォルダを、フォルダごとバックアップします。
新ドメインコントローラーサーバーへ移動するための準備です。
HENNGE Directory Sync Tool のサービス停止
同期サーバーで[管理ツール]-[サービス]から以下のサービスを停止します。
- HDE One Directory Sync
- HDE One Password Sync
4. HENNGE Directory Sync Tool の再開作業 [新 AD サーバーの昇格後]
Assign-HDEOnePasswordSyncGroup.bat の再配置と実行設定
※旧参照先のドメインコントローラー上で bat が実行されていた場合のみ、この手順を実施します。
- 上記手順「旧参照先ドメインコントローラーの降格前作業」で取得した HDEOne フォルダを、新しいドメインコントローラー上の C:\ ドライブ直下に、元と同じ階層構造になるように配置します。
- 以下の記事から「定期実行設定」の欄を参照し、Assign-HDEOnePasswordSyncGroup.bat の定期実行設定を実施します。
※それ以外の項目については確認不要です
[Access Control] Assign-HDEOnePasswrdSyncGroup.bat の実行
HENNGE Directory Sync Tool レジストリクリア 及び HENNGE Directory Sync Tool の参照先変更
HENNGE Directory Sync Tool のパスワード同期は、前回実行したドメインコントローラーのレジストリ値を複製し、保持しています。
参照先のドメインコントローラーが変わった場合、パスワード同期を正常に実行するには、この値をリセットする必要があります。
下記の手順を実施し、値のリセットを実施してください。
-
[Access Control] HENNGE Directory Sync Tool 参照先 AD 変更時の必要作業
※「HENNGE Directory Sync Tool の参照先 AD の変更」および「レジストリ値のクリア (パスワード同期時のみ)」の箇所を実施してください。
HENNGE Directory Sync Tool 動作確認
通常の運用時には、HENNGE Directory Sync Tool は Windows サービスにより定期実行されますが、PowerShell コマンドにより即時のユーザー同期の実行も可能です。
下記の手順から、ユーザー同期の動作を確認できます。
※この作業は[Domain Admins]もしくは[Enterprise Admins]権限を持つユーザーで実施してください。
- PowerShell を管理者として起動します。
-
以下のコマンドにより、HENNGE Directory Sync Tool によるテスト同期を実行します。
※ /n オプションを付与していない場合、同期が実行されるのでご注意ください。cd "C:\Program Files\HDE One Directory Sync" .\console.exe /n -
同期されていないユーザーの差分が表示されることを確認します。
例)------------------------------------------------------------------ ##### Sync set [sync01] ##### Active Directory ---> HDE Access Control Add: Administrator / iGcrgi8tjUy1NfaLulJ/5Q== Add: Guest / qWEUYHX3DUOxPrZv6C271Q== Add: test01 / test01@addc1.example.com / WEt4r/aDlE3wtGz0UbVoqQ== Delete: aaa / aab@addc1.example.com / hfJV7x6cakym2AIWkThdA== ----------------------------------------------------------------------※同期対象ユーザーが存在しない場合、下記のように出力されます。
例)------------------------------------------------------------------ ##### Sync set [sync01] ##### Active Directory ---> HDE Access Control * No sync data * ----------------------------------------------------------------------
HENNGE Directory Sync Tool のサービス再開
同期サーバー[管理ツール]-[サービス]から下記の 2 つのサービスを開始します。
- HDE One Directory Sync
- HDE One Password Sync
5. 全ての作業完了後パスワード同期が行われない場合の対処
この作業は、本手順の全ての作業を完了した後、正常にパスワード同期が行われていない場合の初期対応として実施してください。
※問題なくパスワード同期が行われている場合にはこの作業は不要です。
※この作業を実施してもパスワードが同期されない場合には、下記の記事もご参照ください。
Active Directory連携: パスワード同期に関するトラブルシュート
HENNGE Directory Sync Tool レジストリクリア
HENNGE Directory Sync Tool のパスワード同期は、前回実行したドメインコントローラーのレジストリ値を複製し、保持しています。
参照先のドメインコントローラーが変わった場合、パスワード同期を正常に実行するには、この値をリセットする必要があります。
下記の手順を実施し、値のリセットを実施してください。
- [Access Control] HENNGE Directory Sync Tool 参照先 AD 変更時の必要作業
- Access Control 管理画面を開きます。
※別の端末上での実施でも問題ありません - 以下の記事より[定期同期ログの確認]の手順に沿って、アカウントとパスワードの同期が終了したことを確認します。
[Access Control] HENNGE Directory Sync Tool の実行
※各サービスの定期実行間隔のデフォルト値は以下のとおりです。(1 分単位で変更可能です)
・HDE One Directory Sync : 2 時間に 1 回
・HDE One Password Sync : 3 分間に 1 回 (パスワード変更がある場合のみ表示)