ディレクトリ同期設定文書を作成する

ディレクトリの同期を有効にしたディレクトリアシスタント文書を作成したら、Domino® ディレクトリでディレクトリ同期設定文書を作成します。この文書を使用して、ディレクトリの同期の設定オプションを選択して、ディレクトリの同期を有効にします。

手順

  1. Domino®ディレクトリを開きます。
  2. [設定] > [ディレクトリ] > [ディレクトリ同期] を選択します。
  3. [ディレクトリ同期の追加] をクリックします。
  4. [基本] タブの以下のフィールドに入力します。
    1. ディレクトリ同期設定文書の [基本] タブのフィールド
    フィールド 説明
    ディレクトリアシスタントドメイン ディレクトリの同期を有効にしたディレクトリアシスタント文書の [LDAP] タブの [ドメイン名] フィールドで指定したドメインを選択します。例: Renovations AD
    注: ドメインを選択できるようにするには、ディレクトリの同期を有効にしたディレクトリアシスタント文書でそのドメインが指定されている必要があります。
    Dirsync のステータス この文書で他の設定オプションを入力したら、[有効] を選択してディレクトリの同期を有効にします。次のプロンプトが表示されます。
    同期をすぐに開始しますか、またはテストモードで実行しますか?
    以下のいずれかのオプションを選択します。
    • データの同期化
    • テストモードで実行 (コンソールにログを出力、データ更新しない)

    Domino® のデータを変更せずにディレクトリの同期の動作をシミュレートする場合は、[テストモードで実行] を選択します。必要に応じて、ディレクトリ同期設定を調整します。同期を実際に有効にする準備が整ったら、[データの同期] を選択します。

    すべての Active Directory ユーザーを同期
    • [はい] を選択すると、Domino に登録されているかどうかに関係なく Active Directory ユーザーが同期されます。
    • [いいえ] (デフォルト) を選択すると、Domino に登録されている Active Directory ユーザーのみが同期されます。前に [はい] に設定していた場合は、前に同期されていた登録されていない Active Directory ユーザーが Domino ディレクトリから削除されます。

    このフィールドの値を変更すると、完全再同期が行われます。

    Active Directory の特定のレコードを Domino と同期するには、Active Directory の mail フィールドが Domino ディレクトリのユーザー文書の Internet address フィールドと一致している必要があります。

    Domino® ディレクトリファイル名 Domino® ディレクトリのファイル名 (通常は names.nsf)。
    方向 同期の方向。現時点では、Active Directory から Domino® のみ選択できます。
    Active Directory での名前の変更時に Domino® ユーザー名を変更
    注: Domino® に登録されていない Active Directory ユーザーの名前が変更された場合は、このオプションに関係なく、同期時に Domino® ディレクトリのユーザー文書で名前が自動的に更新されます。
    同期頻度 Dirsync タスクが同期のために Active Directory の変更をチェックする頻度。デフォルトは 1 分に 1 回です。
    再同期頻度

    Active Directory とすべてのデータを再同期する頻度 (分単位)。デフォルトは、10,000 分 (約 1 週間に 1 回) です。すべてのデータの再同期を定期的に行わない場合は、「0」を指定します。

    再同期では、同期されていない以下の変更が同期されます。
    • 削除されたユーザーとグループ
    • グループ内での名前の変更

    Active Directory で定期的に多くのユーザーやグループが削除される場合は、デフォルト値から増やすことを検討してください。これは、名前が頻繁に変更される場合や Active Directory のグループと同期する場合も同様です。

    再同期は Domino の管理のバックグラウンドで実行されるため、パフォーマンスに大きな影響はありません。

    2. ディレクトリ同期設定文書の [同期] タブのフィールド
    フィールド 説明
    以下へ同期するフィールド: Domino®

    このフィールドを使用して、Active Directory ユーザーのどのフィールドを Domino® に同期するかを指定します。Active Directory の標準のフィールドのリストがデフォルトで表示されます。このリストでフィールドを追加または削除できます。Active Directory と Domino® でフィールドに違う名前が使用されている場合は、Active Directory のフィールド名の後に Domino® のフィールド名が括弧で示されます。例:メール (メールアドレス)

    このフィールドを変更すると、完全再同期が行われます。

    注:
    • 複数値属性を同期する場合は、最初の値のみが同期されます。
    • 以前に同期された属性を削除しても、ユーザー文書からは削除されません。
    LDAP フィルタ

    フィルターを指定しない場合は、次のデフォルトの検索フィルターが使用されます。 (|(objectClass=Group)(objectClass=Person)). このフィルターは、Active Directory のすべてのユーザーとグループを同期します。

    必要に応じてLDAP の標準の検索フィルターを使用し、属性に基づいてユーザーとグループのサブセットを同期します。必ずカスタム検索フィルターにデフォルトフィルターを含めるようにすると、ユーザーとグループのレコードのみが同期され、ディレクトリ同期機能に関係のないその他のレコードタイプは同期されません。

    例えば、部門 hr と状態 MN を含むユーザーとグループのレコードのみを同期するには、次のフィルターを使用します。(&(|(objectClass=Group)(objectClass=Person))(&(department=hr)(st=MN)))
    ヒント:
    カスタム検索フィルターを検証する際に、Apache Directory Studio などのオープン・ソース LDAP ブラウザーを使用できます。

    このフィールドを変更すると、完全再同期が行われます。

    LDAP グループ
    • グループを同期する場合は、同期するグループのタイプを選択します。グループを同期しない場合は、いずれのオプションも選択しません。
      • [セキュリティグループ] を選択すると、Active Directory のセキュリティグループを Notes® のアクセスリストで使用できます。
      • [分配グループ] を選択すると、Active Directory の配布グループを Notes® のメールの送信で使用できます。
    • [いいえ] を選択すると、ユーザーの情報のみが同期されます。

    このフィールドを変更すると、完全再同期が行われます。

  5. [保存して閉じる] をクリックします。
  6. Domino サーバーを再起動します。
    Restart server
  7. Dirsync タスクは、設定文書を検出すると実行を開始します。