fujitsu ビジネスアプリケーション アカウント情報連携シス …...lync...
TRANSCRIPT
FUJITSU ビジネスアプリケーション アカウント情報連携システム V5L01
(Account Agent Enterprise)
導入マニュアル
AAE-005-001-D0
2016年2月
Account Agent Enterprise
導入マニュアル
i
はじめに
この度は、本製品をお買い求めいただきまして、まことにありがとうございます。
本書では Account Agent Enterprise の導入手順について説明しています。
2016年 2月
■ 高度な安全性が要求される用途への使用について
本製品は、一般事務用、パーソナル用、家庭用、通常の産業用等の一般的用途を想定して設
計・製造されているものであり、原子力施設における核反応制御、航空機自動飛行制御、航空交
通管制、大量輸送システムにおける運行制御、生命維持のための医療用機器、兵器システムにお
けるミサイル発射制御等、極めて高度な安全性が要求され、仮に当該安全性が確保されない場合、
直接生命・身体に対する重大な危険性を伴う用途(以下「ハイセイフティ用途」という)に使用される
よう設計・製造されたものではございません。
お客様は、当該ハイセイフティ用途に要する安全性を確保する措置を施すことなく、本製品を使
用しないでください。ハイセイフティ用途に使用される場合は、弊社の担当営業までご相談くださ
い。
本ソフトウェアはインターネットへのサービスを提供する用途のためには設計・製造されておりま
せん。インターネットに接続しない環境(イントラネット内)で使用するか、インターネットに接続して
使用する場合は、運用環境によりセキュリティ侵害対策を構築した上でご使用下さい。
Windows Microsoft、Windows、Windows Server、Active Directory、Lync、 Internet
Explorer は、米国 Microsoft Corporation の米国及びその他の国における登録商標または商
標です。
Account Agentは株式会社富士通ソフトウェアテクノロジーズの登録商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。本書に記載されてい
るシステム名、製品名などには、必ずしも商標表示を付記しておりません。
Copyright 2013-2016 FUJITSU SOFTWARE TECHNOLOGIES LIMITED.
Account Agent Enterprise
導入マニュアル
ii
■ 表記の約束
本書では以下の略称を使用しています。
名称 略称
Microsoft® Active Directory® Active Directory または
AD
Microsoft® Exchange Server 2013 Exchange
Microsoft® Lync® Server 2013 Lync
Internet Explorer® Internet Explorer
Microsoft® Office 365™ Office 365
オンプレミス オンプレ
アカウント情報連携システム または
Account Agent Enterprise
AAE
Account Agent Enterprise
導入マニュアル
iii
目次
1. システム構成 ................................................................................................................... 1
1.1. オンプレアカウント管理 ......................................................................................... 1
1.2. Office 365アカウント管理 ...................................................................................... 2
1.3. 冗長化について ........................................................................................................ 2
2. 動作環境 .......................................................................................................................... 3
2.1. サーバー ................................................................................................................... 3
2.2. IIS ............................................................................................................................ 3
2.3. ブラウザ ................................................................................................................... 4
2.4. ローカルグループポリシー ...................................................................................... 4
3. モジュール構成 ............................................................................................................... 5
4. 環境構築手順 ................................................................................................................... 7
4.1. ルート OUを作成する ............................................................................................. 8
4.2. AAE実行ユーザーアカウントを作成する .............................................................. 9
4.3. 管理者ロールグループを作成する ......................................................................... 10
4.4. 無効化 OUを作成する ............................................................................................ 11
4.5. AAEのモジュール一式をコピーする.................................................................... 13
4.6. 設定ファイルを編集する ....................................................................................... 14
4.6.1. 共通設定ファイル ........................................................................................... 16
4.6.2. ドメイン情報設定ファイル ............................................................................ 19
4.6.3. Exchangeサーバーリスト、Lyncサーバーリスト ....................................... 20
4.6.4. Office 365接続情報ファイル ......................................................................... 20
4.6.5. Office 365連携用設定ファイル ..................................................................... 20
4.6.6. OU設定ファイル............................................................................................ 21
4.6.7. データパスファイル ....................................................................................... 21
4.7. アプリケーションプールを追加する ..................................................................... 23
4.8. Webサイトを作成する .......................................................................................... 26
4.9. ホストヘッダーを設定する .................................................................................... 32
4.9.1. AAESiteのバインドを設定する .................................................................... 33
4.9.2. リソースフォレストの DNSに Aレコードを登録する ................................. 35
4.9.3. アカウントフォレストの DNSに CNAME を登録する ................................ 36
4.10. AAEサイトを信頼済みサイトに追加する ......................................................... 37
4.11. 階層型アドレス帳を有効化する ......................................................................... 38
4.12. 遅延実行バッチを設定する ................................................................................ 38
4.13. PowerShell スクリプトの実行ポリシーを変更する .......................................... 39
4.14. Exchangeのスキーマを拡張する(Office 365連携時のみ) .......................... 39
4.15. ライセンス管理バッチを設定する(Office 365連携時のみ) .......................... 39
5. Web画面からの設定 ..................................................................................................... 41
Account Agent Enterprise
導入マニュアル
1
1. システム構成 AAEでは、以下の環境をサポートします。
オンプレアカウント管理
Office 365アカウント管理
1.1. オンプレアカウント管理
AAEがサポートするシステム構成例を以下に示します。
ユーザーアカウントが存在するフォレストをアカウントフォレスト、Exchange/Lyncが存在す
るフォレストをリソースフォレストと呼びます。リソースフォレストがアカウントフォレストを兼ねて
いても構いません。
各サーバーが存在するフォレストと必須かどうかを以下に示します。
フォレスト サーバー 必須 説明
アカウント ドメインコントローラー × ユーザーアカウントが存在し、ユーザーがログオ
ンするドメインです。
リソース ドメインコントローラー ○ Exchange、Lync が動作するために必要なドメイン
です。ユーザーアカウントが存在することもありま
す。
リソース Exchangeサーバー × 各サーバーが存在する場合のみ、AAE の該当
機能を使用できます。 リソース Lyncサーバー ×
リソース AAE動作サーバー ○ 任意の IISサーバーで動作可能です。
Account Agent Enterprise
導入マニュアル
2
1.2. Office 365 アカウント管理
AAEがサポートするシステム構成例を以下に示します。
1.3. 冗長化について
AAE は冗長化に対応していません。AAE を複数のサーバーへ導入する場合、負荷分散装
置等を使って、同時にアクセスされるAAEは 1台に限定してください。また、待機系のAAE動
作サーバーでは AAE関連のバッチは停止してください。
なお、後述する「AAEData ルート」フォルダは冗長化されたファイルサーバー等に置くことが
できます。主系の AAE 動作サーバーが停止した場合、待機系の AAE 動作サーバーが同じ
Dataフォルダを参照することにより、設定ファイル・入力ファイル・ログファイルを引き継ぐことが
可能です。
Account Agent Enterprise
導入マニュアル
3
2. 動作環境
2.1. サーバー
AAEの動作条件は以下の通りです(すべて日本語版にのみ対応しています)。
種別 OS ミドルウェア
ドメインコントローラー
(アカウントフォレスト)
Windows Server 2008 R2 SP1以降
Windows Server 2012
Windows Server 2012 R2
-
ドメインコントローラー
(リソースフォレスト)
Windows Server 2008 R2 SP1以降
Windows Server 2012
Windows Server 2012 R2
-
Exchangeサーバー - Exchange 2013 CU1以降
Lyncサーバー - Lync 2013
AAE動作サーバー Windows Server 2012 R2 -
指定のエディションはありません。
AAEを配置するサーバーは、更新対象のドメインに参加させておく必要があります。
Office 365連携を使用する場合以下のソフトウェアが必要です。
Microsoft Online Services サインイン アシスタント (IDCRL7)
Windows PowerShell 用 Windows Azure Active Directory モジュール
Microsoft .Net Framework Version 3.5.1
Office 365連携を使用する場合、以下の環境が前提です。
・ディレクトリ同期ツールでオンプレ AD と Office 365が同期できること
・シングルサインオン(SSO)ができる環境であること
ディレクトリ同期ツール、SSO の構築方法についてはマイクロソフト等のサイトを参照してくださ
い。
2.2. IIS
AAE は Web サーバー(IIS 7.5 以降)上で動作します。AAE は、任意の IISサーバーにイ
ンストールします。
AAEを配置するサーバーには、IISの以下の役割サービスが必要です。
ASP.NET
AAEの推奨動作環境は以下の通りです。
CPU:2GHz(マルチコア)以上
メモリ容量:4GB以上
ディスク容量:50GB以上
Account Agent Enterprise
導入マニュアル
4
2.3. ブラウザ
AAEは以下のブラウザでの利用をサポートしています。
Internet Explorer 9.0
Internet Explorer 10.0
Internet Explorer 11.0
Microsoft® Edgeはサポート対象外です。
2.4. ローカルグループポリシー
AAE は、Exchange、Lync サーバーに対して、PowerShell を用いた処理を実行します。
AAE の稼働中に、後述の AAE 実行ユーザーで AAE の配置サーバーからログイン/ログオフ
した場合、マイクロソフト社の仕様により、PowerShellの実行が失敗する可能性があります。
本問題を回避するため、AAE を配置するサーバーは、以下のローカルグループポリシーを
有効にする必要があります。
ユーザーのログオフ時に強制的にユーザー レジストリをアンロードしない
上記グループポリシーの適用手順は以下の通りです。(サーバーの再起動が必要です)
1. AAEの配置サーバー上で、管理者権限でコマンドプロンプトを起動する
2. 「gpedit.msc」を実行する
3. 画面左のツリーより [コンピューターの構成] - [管理用テンプレート] - [システム] と展開
し、[ユーザー プロファイル] を選択する
4. [ユーザーのログオフ時に強制的にユーザー レジストリをアンロードしない] を [有効]
に設定し、[OK] をクリックする
5. サーバーを再起動する
Account Agent Enterprise
導入マニュアル
5
3. モジュール構成 使用するモジュールは、連携先によって異なります。
連携先が、Office 365の場合、「Office365連携」配下の AAEをご使用ください。
連携先が、オンプレの場合、「オンプレミス連携」配下の AAEをご使用ください。
AAEのモジュール構成を以下に示します。
フォルダ・ファイル 説明
AAEルート Web.config、マスタデザインファイル
Bin DLL、実行ファイル
common 画面の共通部品
css CSS ファイル
Data 設定情報定義フォルダ
setting 設定ファイル
img イメージファイル
js JavaScript ファイル
page 画面定義ファイル
service Webサービス
AAEDataルート 設定ファイル、入力ファイル、ログ等を格納
help ヘルプファイル
setting 設定ファイル
attribute 属性定義ファイル
csv 自動連携用の CSV項目設定ファイル
mainte 個別メンテナンス用の項目設定ファイル
mainte_serach 検索項目定義ファイル
menu メニュー定義ファイル
pscommands PowerShell コマンド定義ファイル
resource 文言定義ファイル
system システム用フォルダ
input 自動連携用の入力ファイル
update 自動連携用の更新データファイル
export アカウント情報一括出力した CSV ファイル
log システムログ、タスク実行ログ、診断ログ
delay 遅延実行リクエストファイル
Users ライセンス未付与ユーザーの遅延実行リクエストファイル
user ユーザーごとにフォルダを自動作成する
ドメイン名@[ユーザー名]_[SID] ユーザーごとのフォルダ
input 一括個別メンテ用の入力ファイル
update 一括個別メンテ時の更新データファイル
export アカウント情報出力した CSV ファイル
log ユーザーの操作ログ
※「AAEData ルート」フォルダはデフォルトでは AAE ルートと同階層ですが、設定ファイル
「4.6.7. データパスファイル」で変更可能です。
Account Agent Enterprise
導入マニュアル
6
[AAEDataルート]¥settingフォルダ配下には各種設定・定義ファイルがありますが、導入時
に設定が必要なファイルは以下です。
設定ファイル ファイル名 説明
共通設定 Setting.xml メール送信、異常更新検出機能、実行結果メールの
通知先などの設定を記載します。
環境設定画面から設定できる項目も含まれます。
ドメイン情報設定 DomainInfo.xml ドメイン名やドメインに接続するユーザー名、パスワー
ドの情報などを記載します。
アカウントフォレストとリソースフォレストが別の場合、
すべてのドメインの情報を記載します。
Exchange
サーバーリスト
ExchangeServers.txt AAE がアクセスするオンプレの Exchange・Lync サ
ーバー名を列挙します。
既定では最上位に記載したサーバーにアクセスし、接
続できない場合は 2 行目以降に記載したサーバーに
アクセスします。
Lync
サーバーリスト
LyncServers.txt
Office 365 接続
情報
Office365Account.csv AAEから Office 365にアクセスする際に使用するア
カウント情報を記載します。
Office 365 連携
用設定
MSCloudSetting.xml ライセンス管理機能を使用する際に必要な設定を記載しま
す。
OU設定 OuSetting.xml ルート OUの情報を記載します。
設定方法については後述します。
Account Agent Enterprise
導入マニュアル
7
4. 環境構築手順 以下のステップで AAE環境を構築します。
1. ルート OUを作成する
2. AAE実行ユーザーアカウントを作成する
3. 管理者ロール用のグループ(管理者ロールグループ)を作成する
4. 無効化 OUを作成する
5. AAEのモジュール一式をコピーする
6. AAEの設定ファイルを編集する
7. アプリケーションプールを追加する
8. Webサイトを作成する
9. ホストヘッダーを追加する
10. AAEサイトを信頼済みサイトに追加する
11. 階層型アドレス帳を有効化する
12. 遅延実行バッチを設定する
13. PowerShellスクリプト実行ポリシーを変更する
14. Exchange関連のスキーマを拡張する(Office 365連携時のみ)
15. ライセンス管理バッチを設定する(Office 365連携時のみ)
以降、Active Directoryに対して操作する場合は、「Active Directory ユーザーとコンピュ
ーター」を使用して、システム管理者権限でリソースフォレストのドメインコントローラーに接続し
てください。AAE 実行サーバーに対して操作する場合はシステム管理者権限でログインしてく
ださい。
全ての設定が完了後、AAEのWeb画面に正しくアクセスできることを確認してください。
Account Agent Enterprise
導入マニュアル
8
4.1. ルート OU を作成する
目的 AAEの管理対象とするルートの OU を作成します。
作業環境 Active Directory(リソースフォレスト)
AAE はルート OU配下の各オブジェクトを管理対象としますが、ルート OU 自体は作成でき
ません。
ルート OUが必要なオブジェクトには以下があります。
ユーザー
グループ
連絡先
施設
共有メールボックス
メーリングリスト
コンピュータ
ルート OUの特徴は以下の通りです。
ルート OUごとに管理するオブジェクトの種類を設定できます
1つのルート OU で複数のオブジェクトを管理できます
1種類のオブジェクトに複数のルート OUを設定できます
管理しないオブジェクトのルート OUは作成する必要はありません
これらの特徴を踏まえたうえで、ルート OUの構成を検討してください。
ルート OU の構成が確定したあとは、「Active Directory ユーザーとコンピューター」を使っ
てルートとなる OUを作成してください。ルート OUが既に存在している場合は作成する必要は
ありません。
AD上にルートとなる OUを作成した後、AAEのWeb画面からルート OUを設定します。こ
の操作は AAEの設定が完了したあとに実施します。
Account Agent Enterprise
導入マニュアル
9
4.2. AAE 実行ユーザーアカウントを作成する
目的 AAEを実行するためのユーザーアカウントを作成します。このユーザーアカウン
トは IISのアプリケーションプール、Windows タスクで使用します。
作業環境 Active Directory(リソースフォレスト)
① AAE実行ユーザーアカウントを格納する OUを作成します。
既存の OUやUser コンテナを使用する場合は作成する必要はありません。
② 上記の OU配下に AAE実行用のユーザーアカウントを作成します。
この際、以下の点に注意してください。
名前:aaeadmin等、任意に指定可能
ユーザーは次回ログオン時にパスワード変更が必要:チェックを外す
パスワードを無期限にする:チェックする
アカウントは無効:チェックしない
③ AAE実行ユーザーアカウントを以下のグループのメンバーに追加します。
Builtin¥Administrators
Users¥Domain Admins
Users¥Domain Users
オンプレの Exchange機能を使用する場合、以下のグループのメンバーにも追加してください。
Microsoft Exchange Security Groups¥Organization Management
オンプレの Lync機能を使用する場合、以下のグループのメンバーにも追加してください。
Users¥CSAdministrator
AAE 実行ユーザーで AAE を配置するサーバーにログイン/ログオフは実施しないでください。
AAE の稼働中に実行ユーザーでログオフした場合、マイクロソフト社の仕様により、AAE からの
PowerShellの実行が失敗する可能性があります。
Account Agent Enterprise
導入マニュアル
10
4.3. 管理者ロールグループを作成する
目的 管理者ロールグループを格納する OUを作成します。
システム管理ロール用のグループを作成します。
作業環境 Active Directory(リソースフォレスト)
AAEはシステム管理ロール以外の管理者ロールグループを 1つのOU(ロール用OU)で管
理します。システム管理ロールグループは、ロール用 OU配下に作成した OUに格納します。
① 任意の OU配下に「Role」OUを作成します。
AAEのルート OU配下には作成しないでください。
② ①で作成した OU配下に「SystemRole」OUを作成します。
③ 「SystemRole」OU配下にシステム管理ロール用の以下のグループを作成します。
グループ名、表示名:システム管理ロール
グループのスコープ:ユニバーサル
グループの範囲:セキュリティ
④ システム管理ロール権限を与えるユーザーを、「システム管理ロール」グループのメンバ
ーとします。
システム管理ロールグループのメンバーは AAEのロール管理画面で設定できません。以下
のいずれかの方法で管理してください。
「Active Directoryのユーザーとコンピューター」で管理する。
システム管理ロールグループを Exchange の配布グループとし、Exchange コントロー
ルパネルで管理する。
「SystemRole」OUをグループのルートOUの 1つとし、個別メンテナンス画面で管理す
る。
Account Agent Enterprise
導入マニュアル
11
4.4. 無効化 OU を作成する
目的 AAEが無効化したユーザーを退避する OUを作成します。
作業環境 Active Directory(リソースフォレスト)
無効ユーザー管理機能を使用しない場合は本章の設定は不要です。
AAEは無効化したユーザーを専用の OU(無効化 OU)へ退避します。
以下の手順に従い、無効化 OU を作成します。また、AAE が無効化 OU 配下にフォルダを
追加・削除できるようアクセス権を設定します。
① 任意の OU配下に「無効ユーザー」OUを作成します。
AAEのルート OU配下には作成しないでください。
② 「無効ユーザー」OUのプロパティを開きます。
③ セキュリティタブをクリックし、「詳細設定」ボタンをクリックします。
Account Agent Enterprise
導入マニュアル
12
④ 追加ボタンをクリックします。
⑤ AAE実行ユーザーを検索します。
⑥ アクセス許可一覧を一番下までスクロールし、以下の 2つをチェックします。
組織単位(OU)オブジェクトの作成
組織単位(OU)オブジェクトの削除
⑦ 「OK」ボタンを 3回クリックします。
Account Agent Enterprise
導入マニュアル
13
4.5. AAE のモジュール一式をコピーする
目的 AAEのモジュール一式を AAE実行サーバーにコピーします。
作業環境 AAE実行サーバー
① [インストール CD]¥[使用する連携先]¥module フォルダ配下一式を AAE 実行サーバ
ーの任意のフォルダにコピーします。
[使用する連携先]は、「3. モジュール構成」を参照して下さい。
② [AAEルート]のプロパティを確認し、読み取り専用属性がついている場合は外します。
③ オンプレ連携を使用し、Exchange/Lync機能を使用しない場合、以下を削除します。
使用しない機能 削除するファイル
Exchange管理 [AAEルート]¥Bin¥Plugin.Exchange.dll
Lync管理 [AAEルート]¥Bin¥Plugin.Lync.dll
Account Agent Enterprise
導入マニュアル
14
4.6. 設定ファイルを編集する
目的 お客様の環境に合わせ、AAEの設定ファイルを編集します。
作業環境 AAE実行サーバー
お客様の環境ごとに最低限編集する必要がある項目について説明します。詳細については、
「Account Agent Enterprise 設定ファイルマニュアル」を参照してください。
設定が必要な設定ファイルは以下の 8つです。
設定フィアル オンプレ
AD連携
Office
365
連携
用途
共通設定 使用 使用 メール送信、異常更新検出機能、実行結果メー
ルの通知先などの設定を記載します。
環境設定画面から設定できる項目も含まれま
す。
ドメイン情報 使用 使用 ドメイン名やドメインに接続するユーザー名、パ
スワードの情報などを記載します。
アカウントフォレストとリソースフォレストが別
の場合、すべてのドメインの情報を記載しま
す。
Exchange サーバーリス
ト
使用 未使用 AAE がアクセスするオンプレの Exchange・
Lyncサーバー名を列挙します。
既定では最上位に記載したサーバーにアクセ
スし、接続できない場合は 2 行目以降に記載
したサーバーにアクセスします。
Lyncサーバーリスト 使用 未使用
Office 365接続情報 未使用 使用 Office 365 にアクセスする際に使用するアカ
ウント情報を記載します。
Office 365連携用設定 未使用 使用 ライセンス管理機能を使用する際に必要な設
定を記載します。
OU設定 使用 使用 ルート OU情報を記載します。
データパス 使用 使用 AAEの設定・ログ・入力ファイル等を格納する
「AAEDataルート」フォルダのパスを記載しま
す。
パスワードの暗号化
設定ファイル中にパスワードを記載する場合、パスワード暗号化ツールで暗号化したものを
記載します。
項目
実行モジュール [インストール CD]¥tools¥encpass.exe
実行方式 コマンドライン実行
実行パラメーター パラメーターは 1つのみ受け付けます。暗号化するパスワードを指定します。
結果 暗号化されたパスワードはコンソール画面に表示されます。
Account Agent Enterprise
導入マニュアル
15
パスワード暗号化ツールの使用例を以下に示します。
赤枠が暗号化するパスワード、緑枠が暗号化されたパスワードです。設定ファイルには緑枠
の文字列をコピーして指定します。
Account Agent Enterprise
導入マニュアル
16
4.6.1. 共通設定ファイル
フォルダ:[AAEDataルート]¥setting
ファイル名:Setting.xml
共通設定ファイルにおいて必ず設定する項目とオプションの項目を以下に示します。記載内
容は「Account Agent Enterprise 設定ファイルマニュアル」の共通設定ファイルの章を参照し
てください。
必ず設定する項目
カテゴリ 項目 キー名
OU ロールグループの格納 OU Ou.RoleGroup
オプション設定 無効ユーザー管理機能を使用する Option.ManageDisabledAccount
OU情報設定 OU識別名を保持する属性名 System.OuAlias.Attr
ロール情報設定 ロール情報を格納している属性 System.RoleInfoAttr
ロール管理対象 System.Role.Type
自動連携 自動連携除外情報を格納する属性名 System.Object.Attr
自動連携除外を表す文字列 System.Object.String
タスク実行 タスク実行アカウント名 System.TaskRunUser
タスク実行アカウントのパスワード System.TaskRunPassword
実行結果メール設定 実行結果メールを通知する SendMail.Use
DN システム管理者グループの DN DN.AdminGroup
タスク実行アカウントへは、以下の権限の付与が必要です。
ローカルセキュリティポリシーを起動し、「ローカル ポリシー]-「ユーザー権利の割り当て」-
「バッチジョブとしてログオン」のプロパティ「ローカルセキュリティの設定」に設定されているいずれ
かの権限
無効ユーザー管理機能を使用する場合に設定する項目
カテゴリ 項目 キー名
OU 無効化 OUルート Ou.DisabledUser.Root
実行通知メールを送付する場合に設定する項目
カテゴリ 項目 キー名
実行結果メール設定 メールサーバー名 SendMail.SmtpServer
ポート番号 SendMail.Port
メールサーバーへの接続ユーザー名 SendMail.SmtpUserID
メールサーバーへの接続パスワード SendMail.SmtpPassword
SSL通信の有効・無効フラグ SendMail.SmtpEnableSSL
送信元アドレス(From) SendMail.From
宛先アドレス(Cc) SendMail.Cc
管理者名 SendMail.Customer
Account Agent Enterprise
導入マニュアル
17
休職機能を使用する場合に設定する属性
カテゴリ 項目 キー名
休職ユーザー設定 休職情報を保持する属性名 System.DisableUser.Attr
休職情報を表す値 System.DisableUser.Values
階層型アドレス帳を使用する場合に設定する属性
カテゴリ 項目 キー名
階層化アドレス帳 階層化アドレス帳のルート組織名 System.HabRoot
オンプレ ADのみの環境の場合に設定する属性
オンプレExchange連携やOffice 365の連携を使用せず、オンプレのADのみの環境の場
合に限り以下の設定を追加してください。
カテゴリ 項目 キー名
環境 ユーザーと判断するフィルター条件 Filter.Object.User
以下は共通設定画面から設定できますが、設定ファイルを直接設定しても構いません。
カテゴリ 項目 キー名
アカウント登録オプション パスワードを無期限にする AccountOption.DontExpirePassword
ユーザーは次回ログオン時
にパスワード変更が必要
AccountOption.PasswordLastSet
入力ファイル設定 入力ファイルの文字コード Input.Encoding
入力ファイルの指定方法 Input.IsFullData
オプション設定 異常更新検出機能を使用す
る
Option.AutoStop.Use
異常更新と判断する閾値 Option.AutoStop.Percentage
実行結果メール設定 宛先アドレス(To) SendMail.To
設定ファイルの記載例を以下に示します。
<?xml version="1.0"?>
<settings xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"・・・>
<setting key="AccountOption.DontExpirePassword" val="False" description="・・・" />
<setting key="AccountOption.PasswordLastSet" val="False" description="・・・" />
<setting key="Input.Encoding" val="Shift-JIS" description="・・・" />
<setting key="Input.IsFullData" val="True" description="・・・" />
<setting key="Option.AutoStop.Percentage" val="30" description="・・・" />
<setting key="Option.AutoStop.Use" val="False" description="・・・" />
<setting key="Option.ManageDisabledAccount" val="TRUE" description="・・・" />
<setting key="Ou.DisabledUser.Root" val="OU=無効ユーザー,OU=aae" ・・・ />
<setting key="SendMail.Cc" val="[email protected]" description="・・・" />
<setting key="SendMail.Customer" val="管理者様" description="・・・" />
<setting key="SendMail.From" val="[email protected]" description="・・・" />
<setting key="SendMail.Port" val="25" description="・・・" />
<setting key="SendMail.SmtpEnableSSL" val="FALSE" description="・・・" />
Account Agent Enterprise
導入マニュアル
18
<setting key="SendMail.SmtpPassword" val="・・・" description="・・・" />
<setting key="SendMail.SmtpServer" val="EX1" description="・・・" />
<setting key="SendMail.SmtpUserID" val="NEXT\Administrator" description="・・・" />
<setting key="SendMail.To" val="[email protected]" description="・・・" />
<setting key="SendMail.Use" val="True" description="・・・" />
<setting key="System.DisableUser.Attr" val="extensionAttribute15" ・・・ />
<setting key="System.DisableUser.Values" val="休職 出向" description="・・・" />
<setting key="System.HabRoot" val="First Organization" description="・・・" />
<setting key="System.Object.Attr" val="adminDescription" ・・・" />
<setting key="System.Object.String" val="自動連携除外" description="・・・" />
<setting key="System.OuAlias.Attr" val="description" ・・・" />
<setting key="System.Role.Type" val="1" description="・・・" />
<setting key="System.RoleInfoAttr" val="description" ・・・" />
~
</settings>
Account Agent Enterprise
導入マニュアル
19
4.6.2. ドメイン情報設定ファイル
フォルダ:[AAEDataルート]¥setting
ファイル名:DomainInfo.xml
ドメイン情報設定ファイルでは AAE がリソースフォレスト、アカウントフォレストに接続するた
めに必要な情報を記載します。
記載内容は「Account Agent Enterprise 設定ファイルマニュアル」のドメイン情報設定ファ
イルの章を参照してください。
以下にドメイン情報設定ファイルの記載例を示します。
<?xml version='1.0' encoding='utf-8'?>
<DomainInfoList xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" ・・・>
<ResourceDomain>next</ResourceDomain>
<DomainInfo>
<DomainName>next</DomainName>
<DCList>
<DC>dc1.next.local</DC>
<DC>dc2.next.local</DC>
</DCList>
<RootDN>DC=next,DC=local</RootDN>
<ADUpnSuffix>next.local</ADUpnSuffix>
<UserName>next\administrator</UserName>
<Password>M8865kTc29iq+Od85kXA1uMp4gvJyU923+m0Ny8mkzU=</Password>
</DomainInfo>
<DomainInfo>
<DomainName>cust1</DomainName>
<DCList>
<DC>custdc1.cust1.local</DC>
</DCList>
<RootDN>DC=cust1,DC=local</RootDN>
<ADUpnSuffix>cust1.local</ADUpnSuffix>
<UserName>cust1\administrator</UserName>
<Password>M8865kTc29iq+Od85kXA1uMp4gvJyU923+m0Ny8mkzU=</Password>
</DomainInfo>
</DomainInfoList>
Account Agent Enterprise
導入マニュアル
20
4.6.3. Exchange サーバーリスト、Lync サーバーリスト
フォルダ:[AAEDataルート]¥setting
ファイル名:ExchangeServers.txt、LyncServers.txt
Exchange サーバーリスト/Lync サーバーリストはオンプレの環境に存在している
Exchange/Lync サーバーのホスト名を列挙したテキストファイルです。AAE は各サーバーリ
ストに記載されたサーバーに対して、リモート管理シェル接続します。
以下は Exchangeサーバーリストの記載例を示します。
HUBCAS1
HUBCAS2
Exchangeサーバーリストにはクライアントアクセスサーバーのホスト名を記載します。
4.6.4. Office 365 接続情報ファイル
フォルダ:[AAEDataルート]¥setting
ファイル名:Office365Account.csv
Office 365連携を使用しない場合、本ファイルの設定は不要です。
Office 365接続情報ファイルは Office 365への接続用アカウントの情報を列挙したテキスト
ファイルです。AAE は本ファイルに記載されたアカウントを使用して、Office 365 へ接続しま
す。
記載内容は「Account Agent Enterprise 設定ファイルマニュアル」の Office 365接続情報
ファイルの章を参照してください。
以下に Office 365接続情報ファイルの記載例を示します。
[email protected] M8865kTc29iq+Od85kXA1uMp4gvJyU923+m0Ny8mkzU=
[email protected] M8865kTc78iq+Od85kXA1uMp4gvJyU923+m0Ny8mkzU=
ユーザーID とパスワードはタブで区切ります。
Office 365 では、長時間、同一ユーザーで大量の通信を行うと、エラーが多発するという状況
が発生します。本状況を回避するため、本ファイルには 3 件以上の接続アカウントの情報を記載
することを推奨します。
4.6.5. Office 365 連携用設定ファイル
フォルダ:[AAEDataルート]¥setting
ファイル名:MSCloudSetting.xml
Account Agent Enterprise
導入マニュアル
21
Office 365連携を使用しない場合、本ファイルの設定は不要です。
Office 365連携用設定ファイルではライセンス管理機能を使用する際に必要な情報を記載し
ます。
記載内容は「Account Agent Enterprise 設定ファイルマニュアル」の Office 365連携用設
定ファイルの章を参照してください。
以下に Office 365連携用設定ファイルの記載例を示します。
<?xml version="1.0"?>
<settings xmlns:xsd="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<setting key="LicenseManager.Output.DeleteCommand" val="FALSE" description="・・・" />
<setting key="License.Link.Attribute.AD" val="displayName" description="・・・" />
<setting key="License.Link.Attribute.Office365" val="DisplayName" description="・" />
<setting key="License.EscapeObject.Attr" val="extensionAttribute3" description="・" />
<setting key="License.EscapeObject.Value" val="除外" description="・・・ " />
<setting key="License.CheckCount.Deleted" val="10000" description="・・・" />
</settings>
4.6.6. OU 設定ファイル
フォルダ:[AAEDataルート]¥setting
ファイル名:OuSetting.xml
OU設定ファイルは、ルート OU情報を記載する XML ファイルです。
メーリングリストのルート OU は Web 画面から設定できないため、メモ帳で修正します。
Exchange機能を使用しない場合は以下の設定は不要です。
object、aliasの値は「mailinglist」、ouPathの値はメーリングリスト用 OUの DN を設定し
てください。例を以下に示します。
<?xml version="1.0"?>
<ouSettings xmlns:xsi=~>
<Root object="mailinglist" alias="mailinglist" ouPath="OU=ml,OU=aae" />
</ouSettings>
OU設定ファイルを修正後、保存してメモ帳を終了してください。
4.6.7. データパスファイル
フォルダ:[AAEルート]¥Data¥setting
ファイル名:DataPath.xml
データパスファイルは、AAE の設定ファイル・ログ・入力ファイル等を格納する[AAEData ル
ート]フォルダのパスを記載する XML ファイルです。
Account Agent Enterprise
導入マニュアル
22
データパスの初期値は「C:¥AAE¥AAEData¥」です。この場合、C:¥AAE フォルダ配下の
AAEDataフォルダを使用します。
AAEDataフォルダを共有ファイルサーバー上に置く場合、以下の手順のとおり設定します。
① データパスファイルをメモ帳で開きます。
② 「Folder.DataRoot」キーの valの値にファイルサーバーの絶対パスを指定します。
<?xml version="1.0"?>
<settings xmlns:xsi=~>
<setting key="Folder.DataRoot" val="\\fileserver\aae\AAEData\" ~ />
</settings>
③ DataPath.xmlを保存してメモ帳を終了します。
④ [AAEDataルート]フォルダ配下のすべてのフォルダ・ファイルを、ファイルサーバーに移
動します。
Account Agent Enterprise
導入マニュアル
23
4.7. アプリケーションプールを追加する
目的 Web画面を実行するために必要なアプリケーションプールを作成します。
作業環境 AAE実行サーバー
① インターネットインフォメーションサービス(IIS)マネージャーを起動します。
② アプリケーションプールを右クリックし、「アプリケーションプールの追加」を選択します。
③ 以下を入力し、「OK」をクリックします。
アプリケーションプール名→AAEPool
.NetFrameworkバージョン→.NetFrameworkV4.0
Account Agent Enterprise
導入マニュアル
24
④ 「AAEPool」を選択した状態で「詳細設定」をクリックします。
⑤ プロセスモデルの「ID」の参照ボタンをクリックします。
Account Agent Enterprise
導入マニュアル
25
⑥ カスタムアカウントを選択し、「設定」ボタンをクリックします。
⑦ ユーザー名に AAEの実行ユーザーのログイン名を指定します。ドメイン名も必要です。
パスワードを 2回入力し、「OK」ボタンをクリックします。
⑧ アプリケーション IDダイアログで「OK」ボタンをクリックします。
⑨ 「詳細設定」ダイアログで以下を設定します。
プロセスモデル→アイドル状態のタイムアウト(分):0
プロセスモデル→ユーザープロファイルの読み込み:True
リサイクル→構成の変更時のリサイクルを無効にする:True
リサイクル→定期的な間隔:0
Office 365連携を使用しない場合、「ユーザープロファイルの読み込み」の設定は不要です。
⑩ 「詳細設定」ダイアログで「OK」ボタンをクリックします。
Account Agent Enterprise
導入マニュアル
26
4.8. Web サイトを作成する
目的 AAEのモジュールを IISで公開します。
作業環境 AAE動作サーバー
以下の手順でWebサイトを新規に作成します。
① インターネットインフォメーションサービス(IIS)マネージャーを起動します。
② サイトを右クリックし、「Webサイトの追加」を選択します。
Account Agent Enterprise
導入マニュアル
27
③ 「Webサイトの追加」ダイアログで以下を設定し、「OK」ボタンをクリックします。
サイト名:AAESite
アプリケーションプール:AAEPool
物理パス:AAEのルートフォルダ
ポート:現在使用していない任意のポート
AAEが他のWebサイトで使用されているポート(ポート 80など)で受け付けるためには、ホスト
ヘッダーの設定が必要です。ホストヘッダーの説明は後述します。
Account Agent Enterprise
導入マニュアル
28
④ 作成したサイトを選択し、アクセス許可の編集をクリックします。
⑤ 「セキュリティ」タブをクリックし、「編集」ボタンをクリックします。
Account Agent Enterprise
導入マニュアル
29
⑥ 「追加」ボタンをクリックし、AAE実行ユーザーを検索します。
⑦ AAE実行ユーザーに対して変更権限を付与します。
Account Agent Enterprise
導入マニュアル
30
⑧ Authenticated Users を追加します。変更権限は付与しません。
⑨ 「OK」ボタンを 2回クリックします。
Account Agent Enterprise
導入マニュアル
31
⑩ 「SSL設定」を選択して、「機能を開く」をクリックします。
⑪ 「SSLが必要」のチェックが入っていた場合、チェックをはずします。
⑫ 「適用」ボタンをクリックします。
Account Agent Enterprise
導入マニュアル
32
4.9. ホストヘッダーを設定する
目的 同一ポートで複数サイトを共存させます。
作業環境 AAE動作サーバー、DNS
ホストヘッダーを設定することにより、同一ポート(例えばポート 80)で複数のサイトをホストす
ることができます。ポート 80が既に使われており AAE もポート 80で受け付けたい場合などは
ホストヘッダーを設定してください。
ホストヘッダーの動作イメージを以下に示します。以下の例ではリソースフォレストを
next.local、アカウントフォレストを cust1.localとしています。AAE動作サーバーに「aae」という
別名を割り当て、URLの FQDNに指定できるようにしています。
ホストヘッダーの設定手順は以下の通りです。
1. AAESite のバインド設定において、ポート 80 で aae.next.local、aae.cust1.local を受
け付けるよう設定します。
2. リソースフォレストの DNSに Aレコードを追加します。
3. アカウントフォレストのDNSにCNAMEを追加します(アカウントフォレストがある場合)
このように設定すると、ユーザーは以下の通りアクセスすることができます。
リソースフォレストのユーザー:http://aae.next.local(ポート指定は不要)
アカウントフォレストのユーザー:http://aae.cust1.local(ポート指定は不要)
以下にホストヘッダーの設定手順を説明します。
Account Agent Enterprise
導入マニュアル
33
4.9.1. AAESite のバインドを設定する
① インターネットインフォメーションサービス(IIS)マネージャーを起動します。
② AAESiteを選択し、「バインド」をクリックします。
③ 「サイトバインド」ダイアログで「追加」ボタンをクリックします。
Account Agent Enterprise
導入マニュアル
34
④ ポートに待ち受けるポート番号、ホスト名に「aae.[ドメイン名]」を入力し、「OK」ボタンを
クリックします。
⑤ 必要に応じてアカウントフォレスト側の設定も追加します。
⑥ 不要な設定があれば削除します(以下の例ではポート 8096の設定)。
⑦ 「閉じる」ボタンをクリックします。
Account Agent Enterprise
導入マニュアル
35
4.9.2. リソースフォレストの DNS に A レコードを登録する
① リソースフォレストの DNSサーバーに必要な権限を持つユーザーでログインします。
② DNS管理コンソールを起動します。
③ 前方参照ゾーンの該当ドメインを右クリックし、新しいホスト(A)をクリックします。
(DNSサーバーのバージョンによっては新しいホスト(Aまたは AAAA)となっています)
④ 名前に「aae」、IPアドレスに AAE動作サーバーの IPアドレスを追加して、「ホストの追
加」ボタンをクリックします。
Account Agent Enterprise
導入マニュアル
36
4.9.3. アカウントフォレストの DNS に CNAME を登録する
① アカウントフォレストの DNSサーバーに必要な権限を持つユーザーでログインします。
② DNS管理コンソールを起動します。
③ 前方参照ゾーンの該当ドメインを右クリックし、新しいエイリアスを選択します。
④ エイリアス名に「aae」と、ターゲットホスト用の完全修飾ドメイン名に「aae.next.local」を
記述して OKをクリックします。
Account Agent Enterprise
導入マニュアル
37
4.10. AAE サイトを信頼済みサイトに追加する
目的 AAEサイトを信頼済みサイトに追加し、AAEが正しく動作するようにします。
作業環境 クライアント PC
AAEではWeb画面で JavaScriptを使用していますが、ネットワーク環境やブラウザの設定
によっては、JavaScriptが既定で有効になっていないことがあります。JavaScriptが有効にな
っていない場合、以下の手順で有効化してください。
① Internet Explorer の「ツール」メニューから[インターネットオプション]を選択します。も
しくは、コントロールパネルから「インターネットオプション」を選択します。
② 信頼済みサイトを選択し、「サイト」ボタンをクリックします。
Account Agent Enterprise
導入マニュアル
38
③ AAEのURLを入力後に「追加」ボタンをクリックし、「閉じる」ボタンをクリックします。
④ インターネットオプションダイアログの「OK」ボタンをクリックします。
4.11. 階層型アドレス帳を有効化する
目的 階層型アドレス帳を有効にします。
作業環境 AAE動作サーバー、DNS
階層型アドレス帳を使用する場合、Active Directoryのスキーマを設定する必要があります。
スキーマの拡張方法については TechNet等を参照してください。
http://technet.microsoft.com/ja-jp/library/ee649115.aspx#EAA
また、階層化アドレス帳のルート組織はAAEでは設定できません。ADSIEdit等を使用して
設定してください。
4.12. 遅延実行バッチを設定する
目的 AAEの遅延実行バッチをWindows タスクに登録します。
作業環境 AAE実行サーバー
① タスク スケジューラを起動します。
② タスク スケジューラフォルダを右クリックし、「タスクの作成」をクリックします。
③ 以下のとおりタスクの詳細を設定します。
タブ 設定項目 設定値
全般 名前 遅延実行バッチ
タスクの実行時に使う AAE実行ユーザー
Account Agent Enterprise
導入マニュアル
39
ユーザーアカウント
ユーザーがログオンしているか
どうかにかかわらず実行する
チェック
最上位の特権で実行する チェック
表示しない チェック
トリガー 設定 1回
開始 任意
タスクの開始 スケジュールに従う
詳細設定 - 繰り返し間隔 15分
有効 チェック
操作 操作 プログラムの開始
プログラム/スクリプト [AAEルート]¥Bin¥DelayedExecuteBatch.exe
引数の追加 空
開始オプション 空
④ 設定が完了したら OK をクリックします。ユーザー名・パスワードを入力するダイアログ
が表示されるので、AAE実行ユーザーのユーザー名・パスワードを指定します。
4.13. PowerShell スクリプトの実行ポリシーを変更する
目的 AAEが PowerShellを発行できるようにします。
作業環境 AAE動作サーバー
AAEがExchange管理シェル/Lync管理シェルにリモート接続できるよう、PowerShellの
設定を変更します。Exchange機能・Lync機能のどちらも使用しない場合、設定は不要です。
① 管理者権限で PowerShellを起動し、以下のコマンドを実行します。
Set-ExecutionPolicy RemoteSigned
② 確認メッセージが表示されるので、「y」キーを押下します。
4.14. Exchange のスキーマを拡張する(Office 365 連携時のみ)
目的 Exchange関連のスキーマを拡張します。
作業環境 オンプレミス Active Directory
Office 365連携を使用する場合、オンプレのActive Directoryに対し、Exchangeのスキー
マを設定する必要があります。Exchange のスキーマの拡張方法については TechNet 等を参
照してください。
4.15. ライセンス管理バッチを設定する(Office 365 連携時のみ)
目的 AAEのライセンス管理バッチをWindows タスクに登録します。
作業環境 AAE実行サーバー
Account Agent Enterprise
導入マニュアル
40
① タスク スケジューラを起動します。
② タスクスケジューラフォルダを右クリックし、「タスクの作成」をクリックします。
③ 以下のとおりタスクの詳細を設定します。
タブ 設定項目 設定値
全般 名前 ライセンス管理バッチ
タスクの実行時に使う
ユーザーアカウント
AAE実行ユーザー
ユーザーがログオンしているか
どうかにかかわらず実行する
チェック
最上位の特権で実行する チェック
表示しない チェック
トリガー 設定 1回
開始 任意
タスクの開始 スケジュールに従う
詳細設定 - 繰り返し間隔 180分
有効 チェック
操作 操作 プログラムの開始
プログラム/スクリプト [AAEルート]¥Bin¥LicenseManager.exe
引数の追加 -Update
開始オプション 空
④ 設定が完了したら OK をクリックします。ユーザー名・パスワードを入力するダイアログ
が表示されるので、AAE実行ユーザーのユーザー名・パスワードを指定します。
Account Agent Enterprise
導入マニュアル
41
5. Web 画面からの設定 以降の設定は AAEのWeb画面から以下の順で実施します。
① 環境設定
② ルート OU設定
③ ロールグループの作成(システム管理ロール以外)、およびメンバーの管理
④ CSV項目設定、個別メンテナンス項目設定
⑤ スケジュール登録
設定方法については「Account Agent Enterprise 操作マニュアル(システム管理者編)」を
参照してください。