第8章 同期の設計
既存のサイト (「サイト調査の実行」) のサイト調査を実施する際に考慮すべき重要な要素は、Active Directory ディレクトリーサービスの構造とデータ型を含めることです。Windows Sync を使用すると、既存の Windows ディレクトリーサービスを Directory Server と同期および統合できます。これには、Directory Server での Windows アカウントの作成、変更、および削除が含まれ、逆に Windows での Directory Server アカウントの作成、変更、および削除も含まれます。これにより、ディレクトリーサービス全体でディレクトリー情報の整合性を維持するための効率的かつ効果的な方法が提供されます。
8.1. Windows 同期の概要
同期プロセスはレプリケーションプロセスと似ています。これは、プラグインによって有効にされ、同期アグリーメントを通じて設定および開始されます。ディレクトリー変更の記録が維持され、そのログに従って更新が送信されます。
Windows 同期プロセスを完了するには、次の 2 つの部分があります。
- ユーザーおよびグループの同期マルチサプライヤーレプリケーションと同様に、ユーザーとグループのエントリーは、デフォルトで有効になっているプラグインを介して同期されます。マルチサプライヤーレプリケーションに使用されるものと同じ changelog は、LDAP 操作として Directory Server から Windows 同期ピアサーバーに更新を送信するためにも使用されます。サーバーは、Windows サーバーに対して LDAP 検索操作を実行し、Windows エントリーに加えた変更を対応する Directory Server エントリーと同期します。
- Password Sync.このアプリケーションは、Windows ユーザーのパスワードの変更をキャプチャーし、これらの変更を LDAPS 経由で Directory Server に中継します。Active Directory マシンにインストールする必要があります。
図8.1 同期プロセス
8.1.1. 同期合意
同期は、1 つ以上の同期アグリーメントによって設定および制御されます 。これらは、レプリケーションアグリーメントと目的が似ており、Windows サーバーのホスト名とポート番号、同期されているサブツリーなどの、同様の情報セットが含まれています。Directory Server は、LDAP または LDAP over TLS を使用してピア Windows サーバーに接続し、更新を送受信します。
単一の Windows サブツリーが単一の Directory Server サブツリーと同期され、その逆も同様です。データベース に接続するレプリケーションとは異なり、同期はディレクトリーツリー構造の 接尾辞 間で行われます。したがって、ディレクトリーツリーを設計する場合は、Directory Server と同期する必要のある Windows サブツリーを考慮し、対応する Directory Server サブツリーを設計または追加します。同期された Windows および Directory Server の接尾辞は、両方同期アグリーメントで指定されます。指定された接尾辞の直接の子ではないエントリーなど、それぞれのサブツリー内のすべてのエントリーを同期に使用できます。
注記
子孫コンテナーエントリーは、管理者が Windows サーバーで個別に作成する必要があります。Windows Sync は、コンテナーエントリーを作成しません。
8.1.2. changelog
Directory Server は、発生した変更を記録するデータベースである changelog を維持します。changelog は、Windows 同期ピアサーバーに追加された変更を調整および送信するために、Windows 同期により使用されます。Windows サーバーのエントリーへの変更は、Active Directory の Dirsync 検索機能を使用して確認できます。Active Directory 側には changelog がないため、Dirsync 検索はデフォルトでは 5 分ごとに定期的に発行されます。Dirsync を使用すると、以前の検索以降に変更されたエントリーのみが取得されます。
