AD同期ツール(ADSync) v1.12.0 以上対応

AD同期ツールからADへの接続には下記の3通り方法があります。

接続方法 AD同期ツールの設定
ad_user_sync.ini		AD(Windows Server)の設定説明
LDAP
(シンプルバインド)		connectType=0
uri=ldap://localhost:389		グループポリシーとレジストリでLDAP サーバーの署名なしを許可する暗号化しないで接続する方法
LDAP
(StartTLS)		connectType=2
uri=ldap://localhost:389		サーバー証明書を設定する
Widnows ServerにAD CSを構築		サーバーと接続後にTLS通信に切り替える方法
LDAPS
(SSL/TLS)		connectType=2
uri=ldaps://localhost:636		StartTLSと同じサーバーにSSL/TLSで接続する方法
LDAP(シンプルバインド)LDAP (StartTLS) / LDAPS (SSL/TLS)

LDAP(シンプルバインド)接続設定

グループポリシーとレジストリの設定で、LDAP サーバーの「署名なし」を許可します。

レジストリの設定

下記の内容でレジストリを設定します。
レジストリ変更後は、Windowsの再起動が必要です。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
LDAPServerIntegrity(REG_DWORD)

内容
0署名を無効化(シンプルバインドを許可)
1署名を許可(デフォルト設定)
2署名を要求(シンプルバインドを拒否)

グループポリシーの設定

レジストリ設定は、グループポリシーで上書きされる可能性があります。

  1. フォレスト>ドメイン>Default Domain Controllers Policy>右クリックで「編集」を選択します。
  2. コンピューターの構成 > ポリシー > Windows の設定 > セキュリティの設定 > ローカル ポリシー > セキュリティ オプションを選択します。
  3. 「ドメイン コントローラー: LDAP サーバー署名要件」を「なし」に設定します。

  4. グループポリシー設定後は、再起動またはコマンドプロンプトから「gpupdate /force」を行うことでポリシーが適応されます。

AD同期ツールの設定

AD同期ツールで、LDAP(シンプルバインド)接続する場合、AD同期ツールの設定ファイル「ad_user_sync.ini」を以下の内容に編集します。

ad_user_sync.ini
[ad]
connectType=0
uri=ldap://localhost:389

LDAP (StartTLS) / LDAPS (SSL/TLS) 接続設定

ActiveDirectroyにCAを構築しておらず、「LDAP (StartTLS)」または「LDAPS (SSL/TLS)」での接続が出来ない場合は、AD CSを構築して接続を行います。
LDAP (StartTLS)/LDAPS (SSL/TLS)のAD側設定方法は同じです。

証明書機関

サーバーマネージャーの役割と機能の追加から「ActiveDirectory証明書サービス」の「証明書機関」を構築します。

  1. サーバーマネージャーを起動し、管理メニューから「役割と機能の追加」を選択します。
  2. ウィザードに従って「次へ」ボタンをクリックします。
  3. 「役割ベースまたは機能ベースのインストール」を選択し、「次へ」ボタンで進みます。
  4. サーバーを選択し、「次へ」ボタンで進みます。
  5. 「Active Directory 証明書サービス」を選択し、「次へ」ボタンで進みます。
  6. 既定値のまま「次へ」ボタンで進みます。
  7. 「次へ」ボタンで進みます。
  8. 「認証機関」を選択し、「次へ」ボタンで進みます。
  9. 「機能の追加」ボタンをクリックします。(「管理ツールにを含める」にはチェックを付けたままでOK)
  10. 内容の確認後、「インストール」ボタンをクリックしてインストールを開始します。
  11. インストールが完了したら「閉じる」ボタンで画面を閉じます。

AD CSの構成

  1. サービスマネージャーのメニューから「対象サーバーにActive Directory証明書サービスを構成する」を選択します。
  2. 内容を確認し、「次へ」ボタンで進みます。
  3. 「証明機関」を選択し、「次へ」ボタンで進みます。
  4. 「エンタープライズCA」を選択し、「次へ」ボタンで進みます。
  5. 「ルートCA」を選択し、「次へ」ボタンで進みます。
  6. 「新しい秘密キーを作成する」を選択し、「次へ」ボタンで進みます。
  7. 内容を確認し、「次へ」ボタンで進みます。
  8. 内容を確認し(必要に応じて内容を変更)、「次へ」ボタンで進みます。


  9. 内容を確認し、「構成」ボタンをクリックします。
  10. 構成の完了を確認し、「閉じる」ボタンで画面を閉じます。
  11. AD CSを構築する際にADにサーバ証明書が配置されるため、個別にサーバー証明書の発行作業は必要ありません。
    Windowsを再起動後、ADにSSL/TLSで接続できるようになります。

ADへの接続確認

コマンドプロンプトから「ldp.exe」を実行し、接続メニューからSSL通信を行い正しく接続できるか確認を行ってください。

AD同期ツールの設定

AD同期ツールの設定ファイル「ad_user_sync.ini」を以下の内容で編集します。

StartTLS接続時

LDAP(相互TLS)での接続には、以下の設定を行います。

ad_user_sync.ini
[ad]
connectType=1
uri=ldap://localhost:389
LDAPS接続時

LDAPS(SSL/TLS)での接続には、以下の設定を行います。

ad_user_sync.ini
[ad]
connectType=2
uri=ldaps://localhost:636

AD同期ツールからの接続確認

EVECLOUD同期管理者ツールの「AD接続」ボタンから接続状態をテストしてください。