アドミニストレーターは、次のいずれかのホスティング方法を使用して、ライトウェイトディレクトリアクセスプロトコル (LDAP) ディレクトリ情報をホストするように Active Directory を設定します。

• LDAP ディレクトリ情報をホストする一般的な方法は、ポート 389 または 636 でデフォルトの LDAP または LDAPS (セキュア LDAP) を使用することです。これらの標準 LDAP ポートは常にドメインコントローラー (DC) 上に存在し、ほとんど変更されません。このディレクトリパーティションにアクセスすると、DC でホストされているドメイン内のすべてのオブジェクトにアクセスできます。この方法を使用して他のドメインからオブジェクトにアクセスする方法はありません。
• DC にはグローバルカタログ (GC) ロールを付与することもできます。グローバルカタログ (GC) ロールは、フォレスト内のすべてのドメインのすべてのオブジェクトの部分的な表現で構成される LDAP 準拠のディレクトリです。この LDAP ディレクトリにはポート 3268 でアクセスでき、LDAPS ではポート 3269 でアクセスできます。LDAPS とデフォルトの LDAP ポートの証明書要件は同じです。

グローバルカタログ LDAP 依存関係

• インスタンスが接続するドメインコントローラーでは、グローバルカタログロールが有効になっている必要があります。
• ファイアウォールルールでは、ポート 3268 (LDAP) または 3269 (LDAPS) でドメインコントローラーへの受信トラフィックを許可する必要があります。

特記事項

• すべての属性が GC パーティションにレプリケートされるわけではありません。名、姓、メール、電話番号、説明、住所などの一般的な属性が含まれています。他の属性を GC に追加できますが、フォレストレプリケーショントラフィックへの影響を最小限に抑えるために制限する必要があります。
• 標準の LDAP 統合では、通常、sAMAccountName をインスタンスの UserID として使用し、LDAP インポートマップの結合キーとして使用します。これは、ドメイン内で一意であることが保証されているためです。ドメインのフォレスト全体を表示する場合、この属性は一意ではなくなります。新しい一意の属性を、UserID および結合キーとして識別する必要があります。これらは同じ属性である必要はなく、フォレストの設計に応じて異なる場合があります。Active Directory アドミニストレーターに相談してください。通常、userPinicpaalName はドメイン間で一意の属性です。これはログインするのに分かりやすい名前ではありませんが、インポート時に一意の識別子として使用できます。UserID に使用される一般的な属性はメールアドレスです。これらの決定は、LDAP プロパティと LDAP マッピングに影響します。
• LDAP インポートマップの結合キーに使用される値は一意であり、インポートされるすべてのオブジェクトに存在する必要があります。一意でないか、存在しない場合は、誤ったレコードが変更されて更新されます。
• 既に LDAP 統合があり、それを GC に変更する場合は、インポート結合キーを変更します。結合キーを変更する前に、新しいキー値をインポートする必要があります。
• 統合が壊れるような変更を LDAP に加えた場合、まずそれらの変更を元に戻す必要があります。その後、試行内容に関する完全な情報を カスタマーサービス & サポート に連絡してください。