コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=directory-service-AD-sync-install-FAQ

Active Directory との同期: インストールに関する FAQ

Sophos Central Admin での Active Directory (AD) との同期のインストールや設定に関するよくある質問の回答をまとめました。

AD との同期によって、AD から Sophos Central Admin にユーザー、デバイス、グループをマッピングし、同期するサービスを実行できます。これは、Active Directory Synchronization Setup を使用して設定できます。

FAQ は、次の 2つのセクションから構成されています。

  • このページでは、Active Directory Synchronization Setup、インストール、対応している OS、同期エラー、ディレクトリサービスの変更、AD との同期の削除などに関する一般的な情報について説明しています。

  • Sophos Central Admin での AD との同期に関する一般的な情報は、Active Directory との同期: FAQを参照してください。

Active Directory Synchronization Setup とは?

Active Directory Synchronization Setup は、AD から次のオブジェクトをインポートします。

  • ユーザー名
  • ログイン情報
  • メールアドレス
  • グループおよび各グループのメンバー

Active Directory Synchronization Setup は、次のように機能します。

  • アクティブなユーザーおよびユーザーグループを同期します。

    既存のユーザーやグループが、Sophos Central の既存のユーザーやグループと一致する場合、複製されません。たとえば、AD にあるメールアドレスを、Sophos Central の既存のユーザーに追加できます。

  • 複数のメンバーが含まれるグループのみが作成されます。

  • デバイスとデバイスグループを同期します。デバイスやグループとの一致方法、および他の役に立つ情報は、デバイスグループの検出に関する FAQを参照してください。

Active Directory との同期方法の詳細は、Active Directory との同期: FAQを参照してください。

Active Directory Synchronization Setup が AD に必要とする内容は?

AD フォレスト全体と同期を行うには、フォレスト全体へのアクセス許可を持ったユーザーの Active Directory のアカウント情報を提供する必要があります。

ホストサーバーのディレクトリツリーのルートに、次が必要です。

  • AD フォレストのルートのドメイン名 (DN) を含む rootDomainNamingContext という属性。
  • ホストサーバーの DN を含む defaultNamingContext という属性。

また、CN=PartitionsCN=Configuration、および <rootDomainNamingContext> の下に、次のすべてを含む 1つまたは複数のエントリを持ったエントリのコレクションが必要です。

  • netBiosName 属性
  • dnsRoot 属性
  • nCName 属性

ソフォスでは、これらの各エントリに対して、検索を行う領域に nCName 属性 (エントリの DN) を含めています (ただし、その DN が Active Directory Synchronization Setup で指定されたホストサーバーの上位の DN ではない場合のみ)。

一度に同期できるオブジェクトの最大数は?

テスト済みの AD オブジェクトの最大数は 30,000 です。

これよりもオブジェクトの数が多い場合は、Sophos Central との同期により時間がかかります。

環境内に 40,000 を超えるユーザーエントリがある場合、ユーザーインターフェースの応答は遅くなります。

サポートされている OS は何ですか?

Active Directory Synchronization Setup は、次の OS にインストールして実行できます。

  • Windows 7
  • Windows 8.1
  • Windows 10
  • Windows 11
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

制限事項

64 ビット版のみに対応しています。

ドメインコントローラ (DC) は、次の OS にインストールできます。

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
複数の AD フォレストと同期を実行できますか?

複数のフォレストを選択して 1つの Sophos Central Admin アカウントと同期できます。

フォレストを 1つの Sophos Central Admin アカウントと同期することを推奨します。フォレストを複数のアカウントと同期すると、Sophos Central Admin で予期しない動作が発生する可能性があります。ユーザーまたはメールアドレスを複数のフォレストに含めることはできません。オブジェクトが重複している場合は、同期中に各フォレストからの情報で更新されます。同期によってデータはマージされません。オブジェクトの所有者 (ディレクトリソース) は'同期ごとに Sophos Central Admin で変更できます

Active Directory Synchronization Setup はどこからダウンロードできますか?

詳細は、Active Directory との同期の設定を参照してください。

その後のアップグレードは、Active Directory Synchronization Setup で自動的に実行されます。同期するたびに、新しいバージョンがないかどうかを確認します。

Active Directory Synchronization Setup のインストール方法は?

詳細は、セットアップソフトウェアのダウンロードと認証情報の検証を参照してください。

Active Directory 同期サーバーを移動する方法は?

詳細は、Active Directory 同期サーバーの移動を参照してください。

Active Directory の同期を削除する方法は?

詳細は、同期された Active Directory データの消去を参照してください。

UTF16 またはダブルバイト文字の代わりに「???」と表示される理由は?

Active Directory Synchronization Setup のプレビューでは、ダブルバイト文字を表示できません。

文字表示の問題の例。

Sophos Central ではすべてのデータが送信され、表示されます。この問題は、Active Directory Synchronization Setup のプレビューまたは保留中の変更のウィンドウで発生します。

この問題は、将来のバージョンの Active Directory Synchronization Setup で解決される予定です。

エラー: The object does not exist.

Active Directory Synchronization Setup で定義されたカスタムフィルタがある場合、その組織単位 (OU) を AD から削除すると、次のエラーが表示されます。

失敗
    active directory synchronization.Reason: SophosCloudADSyncLib.DisplayableException: エラー
    making a request over LDAP.Please review the connection settings you specified.The LDAP
    server returned the following error: 0000208D: NameErr: DSID-03100213, problem 2001
(NO_OBJECT), data 0, best match of:

System.DirectoryServices.Protocols.DirectoryOperationException: The object does not exist.

削除された OU の名前は、エラーに表示されません。このエラーを解決するには、「AD Filters」で設定したフィルタを確認する必要があります。これには、次の手順を実行します。

  1. Define Filters」をクリックします。
  2. AD から削除済みのオブジェクトを参照しているフィルタすべてを削除してください。
エラー: Failed active directory synchronization.

エラーメッセージは次のとおりです: Error: Failed active directory synchronization. Characters with hexadecimal values 0xFFFE and 0xFFFF are not valid

このエラーは、Active Directory Synchronization Setup を手動で実行したときに、「Preview and Sync」の手順で発生することがあります。

AD に無効な文字が含まれている可能性があります。Active Directory Synchronization Setup で同期する必要があるデータをプレビューすると、このエラーで失敗します。

このエラーを回避するには、「Sync on Schedule - automatic (within next 2-3 minutes)」を使用します。これによって、プレビューする手順が省略されます。同期は正常に行われるはずです。

エラー: Error syncing record

エラーメッセージは次のとおりです: Error: Error syncing record: Error deleting login...Reason: foreign key endpoint_user_sessions.user_match_id

このエラーは、Active Directory で削除または無効化されたユーザーに関連付けられているログインを削除する際に問題が発生すると表示されることがあります。このエラーが表示された場合でも、同期は続行し、完了します。

Sophos Central Admin で解決されるまで、このエラーを削除することはできません。

エラー: Failed to validate configuration settings

エラーメッセージは次のとおりです: Error: Failed to validate configuration settings. Reason: Unable to access Active Directory

このエラーは、Active Directory Synchronization Setup が、提供された認証情報や接続を使用して Active Directory に接続できないことを示します。次の手順を試みてください。

  • 設定が正しいこと (Active Directory Synchronization Setup の「AD Configuration」の下)、およびフォレスト全体にアクセスできる認証情報が提供されていることを確認してください (通常、Enterprise Admin ユーザーはこのようなアクセス権を持っています)。
  • LDAP 環境で SSL がサポートされていない場合は、「Use Secure LDAP」をオフにして、ポート番号を適宜変更する必要があります。これは推奨されません。
  • Microsoft の LDP.EXE などの別の AD 同期ツールを使用して、同じ認証情報で AD に接続を試みてください。