Active Directory との同期: インストールに関する FAQ

Sophos Central Admin での Active Directory との同期のインストールや設定に関するよくある質問の回答をまとめました。

Active Directory との同期によって、Active Directory から Sophos Central Admin にユーザーやグループをマッピングし、同期するサービスを管理者が実行できるようになります。これは、Active Directory Synchronization Setup を使用して設定できます。

Active Directory FAQ は、次の 2つのセクションから構成されています。

  • このページでは、Active Directory Synchronization Setup、インストール、対応している OS、同期エラー、ディレクトリサービスの変更、Active Directory との同期の削除などに関する一般的な情報について説明しています。
  • Sophos Central Admin での Active Directory との同期に関する一般的な情報は、Active Directory との同期: FAQを参照してください。

Active Directory Synchronization Setup とは?

Active Directory Synchronization Setup は、Active Directory から次のオブジェクトをインポートします。

  • ユーザー名
  • ログイン情報
  • メールアドレス
  • グループおよび各グループのメンバー

Active Directory Synchronization Setup は、次のように機能します。

  • アクティブなユーザーおよびユーザーグループを同期します。

    既存のユーザーやグループが、Sophos Central の既存のユーザーやグループと一致する場合、複製されません。たとえば、Active Directory にあるメールアドレスを、Sophos Central の既存のユーザーに追加できます。

  • 複数のメンバーが含まれるグループのみが作成されます。
  • デバイスとデバイスグループを同期します。デバイスやグループとの一致方法、および他の役に立つ情報は、デバイスグループの検出に関する FAQを参照してください。

Active Directory との同期方法の詳細は、Active Directory との同期: FAQ を参照してください。

Active Directory Synchronization Setup が Active Directory に必要とする内容は?

Active Directory フォレスト全体と同期を行うには、フォレスト全体へのアクセス許可を持ったユーザーの Active Directory のアカウント情報を提供する必要があります。

ホストサーバーのディレクトリツリーのルートに、次が必要です。

  • Active Directory フォレストのルートのドメイン名 (DN) を含む rootDomainNamingContext という属性。
  • ホストサーバーの DN を含む defaultNamingContext という属性。

また、CN=PartitionsCN=Configuration、および <rootDomainNamingContext> の下に、次のすべてを含む 1つまたは複数のエントリを持ったエントリのコレクションが必要です。

  • netBiosName 属性
  • dnsRoot 属性
  • nCName 属性

ソフォスでは、これらの各エントリに対して、検索を行う領域に nCName 属性 (エントリの DN) を含めています (ただし、その DN が Active Directory Synchronization Setup で指定されたホストサーバーの上位の DN ではない場合のみ)。

一度に同期できるオブジェクトの最大数は?

テスト済みの AD オブジェクトの最大数は 30,000 です。

これよりもオブジェクトの数が多い場合は、Sophos Central との同期により時間がかかります。

環境内にあるユーザーエントリが 40,000 を超える場合、UI の応答は遅くなります。

サポートされている OS は何ですか?

Active Directory Synchronization Setup は、次の OS にインストールして実行できます。

  • Windows 7
  • Windows 8.1
  • Windows 10
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
64 ビット版のみに対応しています。

ドメインコントローラ (DC) は、次の OS にインストールできます。

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

複数の Active Directory フォレストと同期を実行できますか?

複数のフォレストを 1つの Sophos Central Admin アカウントと同期することはできません。1つの Sophos Central Admin アカウントに対して使用できる Active Directory Synchronization Setup は 1つだけです。1つのフォレスト内で複数の子ドメインを選択することはできます。複数のフォレストを選択することはできません。

Active Directory Synchronization Setup は、テナントレベルで同期デルタを計算します。複数のフォレストを同期する場合は、フォレストを個別の Sophos Central Enterprise サブ管理サイトに分離する必要があります。これによって、各フォレストに個別の Sophos Central Admin アカウントが割り当てられます。その後、個別の Active Directory Synchronization Setup アカウントを使用して、各フォレストを同期できます。各フォレストは、独自の Sophos Central Admin アカウントと同期します。これらのアカウントは、Sophos Central Enterprise で管理できます。

また、ユーザーとメールアドレスも、各 Sophos Central Enterprise サブ管理サイトで一意であることを確認する必要があります。

Active Directory Synchronization Setup はどこからダウンロードできますか?

詳細は、Active Directory との同期の設定を参照してください。

その後のアップグレードは、Active Directory Synchronization Setup で自動的に実行されます。同期するたびに、新しいバージョンがないかどうかを確認します。

Active Directory Synchronization Setup のインストール方法は?

詳細は、Active Directory との同期の設定を参照してください。

Active Directory Synchronization Setup を Azure AD Sync で置き換えることはできますか?

できます。詳細は、ディレクトリサービスの変更を参照してください。

別のディレクトリサービスを使用することはできますか?

Microsoft Azure を使用できます。詳細は、Azure AD との同期の設定を参照してください。

Active Directory 同期サーバーを移動する方法は?

詳細は、Active Directory との同期の設定Active Directory 同期サーバーの移動を参照してください。

Active Directory の同期を削除する方法は?

ディレクトリサービスを使用しないことを選択できます。詳細は、ディレクトリサービスの変更を参照してください。

同期データを削除する方法の詳細は、Active Directory 同期データの削除を参照してください。

UTF16 またはダブルバイト文字の代わりに「???」と表示される理由は?

Active Directory Synchronization Setup のプレビューでは、ダブルバイト文字を表示できません。

文字表示の問題の例

Sophos Central ではすべてのデータが送信され、表示されます。この問題は、Active Directory Synchronization Setup のプレビューまたは保留中の変更のウィンドウで発生します。

この問題は、将来のバージョンの Active Directory Synchronization Setup で解決される予定です。

Error: The object does not exist.

Active Directory Synchronization Setup で定義されたカスタムフィルタがある場合、その組織単位 (OU) を Active Directory から削除すると、次のエラーが表示されます。

  • Failed
              active directory synchronization.Reason: SophosCloudADSyncLib.DisplayableException: Error
              making a request over LDAP.Please review the connection settings you specified.The LDAP
              server returned the following error: 0000208D: NameErr: DSID-03100213, problem 2001
              (NO_OBJECT), data 0, best match of:
  • System.DirectoryServices.Protocols.DirectoryOperationException: The object does not exist.

削除された OU の名前は、エラーに表示されません。このエラーを解決するには、「AD Filters」で設定したフィルタを確認する必要があります。これには、次の手順を実行します。

  1. Define Filters」をクリックします。
  2. Active Directory から削除済みのオブジェクトを参照しているフィルタすべてを削除してください。

Error: Failed active directory synchronization

完全なエラーメッセージは次のとおりです。Error: Failed active directory synchronization.Characters with hexadecimal values 0xFFFE and 0xFFFF are not valid.

このエラーは、Active Directory Synchronization Setup を手動で実行したときに、「Preview and Sync」の手順で発生することがあります。

Active Directory に無効な文字が含まれている可能性があります。Active Directory Synchronization Setup で同期する必要があるデータをプレビューすると、このエラーで失敗します。

このエラーを回避するには、「Sync on Schedule - automatic (within next 2-3 minutes)」を使用します。これによって、プレビューする手順が省略されます。同期は正常に行われるはずです。

Error: Error syncing record

完全なエラーメッセージは次のとおりです。Error: Error syncing record: Error deleting login...Reason: foreign key endpoint_user_sessions.user_match_id.

このエラーは、Active Directory で削除または無効化されたユーザーに関連付けられているログインを削除する際に問題が発生すると表示されることがあります。このエラーが表示された場合でも、同期は続行し、完了します。

Sophos Central Admin で解決されるまで、このエラーを削除することはできません。

Error: Failed to validate configuration settings

完全なエラーメッセージは次のとおりです。Error: Failed to validate configuration settings.Reason: Unable to access Active Directory.

このエラーは、Active Directory Synchronization Setup が、提供された認証情報や接続を使用して Active Directory に接続できないことを示します。次の手順を試みてください。

  • 設定が正しいこと (Active Directory Synchronization Setup の「AD Configuration」の下)、およびフォレスト全体にアクセスできる認証情報が提供されていることを確認してください (通常、Enterprise Admin ユーザーはこのようなアクセス権を持っています)。
  • LDAP 環境で SSL がサポートされていない場合は、「Use Secure LDAP」をオフにして、ポート番号を適宜変更する必要があります。これは推奨されません。
  • Microsoft の Ldp.EXE などの別の AD 同期ツールを使用して、同じ認証情報で Active Directory に接続を試みてください。