現象

Directory Sync 3.0.0にて、Active DirectoryのユーザをIIJ IDの同期対象へ追加及び除外してもIIJ IDに反映されないことがある。

該当の事象は、Directory SyncのLDAP searchのフィルタ条件（ad.ldap.filter.user）にmemberOfを含めた場合にのみ発生することが確認されています。

原因

Directory Sync 3.0.0での既知の不具合です。この事象はDirectory Sync 3.0.0より前のバージョンでは発生しません。

Directory Sync 3.0.0からは、Active Directoryでユーザを変更検知する際にuSNChanged属性を参照するように変更されました。
ただし、Microsoft社のActive Directoryの仕様により、LDAP searchのフィルタ条件にmemberOfを利用している場合にはグループメンバーの追加及び除外を行った際にuSNChanged属性が変更されず、Directory Syncで変更が検知されません。

恒久対応

Directory Sync 3.0.1にて修正されました。
Directory Sync 3.0.1以降のバージョンにアップデートしてください。

暫定対応

uSNChanged属性によるユーザ差分の検出機能を無効にするため、Directory Syncの設定ファイル（config.yml）に以下の設定を追加してください。

ad:
  ldap:
    cache_disabled: true

関連ページ

config.yml（IIJ IDサービス Directory Sync マニュアル【Windows Active Directory版】）

設定ファイルサンプル（IIJ IDサービス Directory Sync マニュアル【Windows Active Directory版】）