現象

Password SyncでActive DirectoryユーザのパスワードがIIJ IDに同期されない。

原因

Password Syncの設定ミス、Active Directoryユーザがパスワードの同期対象になっていない、Password Syncでエラーが発生しているなど、様々な原因が考えられます。

対応

以下の項目を確認します。

1. Directory SyncによりIIJ IDユーザが作成されたあとにActive Directoryでパスワードを変更したか

Directory SyncにてIIJ IDユーザが作成されたことを確認した上で、Active Directoryでパスワード変更を行ってください。

2. Password Syncでエラーが発生していないか

イベントログを確認し、Password Syncのエラーが発生していないかを確認します。エラーが発生している場合は、そのエラーの内容を確認して問題を解消します。

3. Password Syncがすべてのドメインコントローラにインストールされているか

以下の方法でPassword Syncのインストールが必要なドメインコントローラを確認し、Password Syncをすべてのドメインコントローラにインストールします。

1. 「Active Directory ユーザとコンピュータ」を起動します。
2. 左ペインで該当ドメインの「Domain Controllers」を表示します。
3. 表示されるすべてのドメインコントローラが、Password Syncをインストールする対象となります。

Password Syncはすべてのドメインコントローラにインストールされている必要があります。Password SyncがインストールされていないドメインコントローラにActive Directoryユーザのパスワード変更リクエストが伝搬された場合、IIJ IDにパスワードは同期されません。

Active Directoryの仕様上、パスワード変更リクエストの伝搬先のドメインコントローラはランダムに決定されます。また、ドメインコントローラの応答速度による重み付けがあるため、以下の場合などに該当する可能性が高くなります。

• 特定拠点のActive Directoryユーザのみパスワードが同期されないことが多い
• Active Directoryユーザのパスワードが同期されない場合がある

4. 該当ユーザがPassword Syncの同期対象になっているか

config.ymlで同期対象とするかは以下の条件で決まります。

• ad.ldap.base_dn
  • ユーザ及びグループの検索対象のベースとなるDN（識別名）
• ad.ldap.filter.user
  • LDAPフィルター条件

ad.ldap.base_dnとad.ldap.filter.userの条件により同期されるActive Directoryのユーザは、以下の手順で確認できます。

1. PowerShellを管理者権限で起動します。

2. 以下のコマンドを実行します。

   Import-Module ActiveDirectory
   Get-ADUser -SearchBase "<ad.ldap.base_dnの値>" -LDAPFilter "(<ad.ldap.filter.userの値>)" | select DistinguishedName
   
   （実行例）
   Get-ADUser -SearchBase "DC=example,DC=jp" -LDAPFilter "(memberOf:1.2.840.113556.1.4.1941:=CN=IIJ IDサービス利用者グループ,OU=OU1,DC=example,DC=jp)" | select DistinguishedName

3. 同期対象のユーザがすべて表示されます。

5. Password Syncのインストール後にOSの再起動を行っているか

Password Syncのインストール後は、必ずOSの再起動を行ってください。

6. Password Syncの最新版を利用しているか

最新版のPassword Syncを利用しているかを確認し、最新版を利用していない場合はアップデートしてください。