マルチフォレスト環境で Unified Communication Manager ディレクトリ統合を設定する方法

概要

この資料は複数のフォレスト環境の Cisco Unified 通信マネージャ（CUCM）ディレクトリ統合を設定する方法を説明します。   

前提条件

要件

Cisco では次の前提を満たす推奨しています。

1. 配備のナレッジおよび CUCM ディレクトリ統合の設定。
2. 配備のナレッジおよび Microsoft Active Directory アプリケーション マネージャー（アダム）の設定 2003 年または Microsoft 軽量ディレクトリ サービス（AD LDS） 2008 年か 2012。
3. CUCM リリース 9.1(2) またはそれ以降。
4. CUCM リリース 9.1(2) またはそれ以降を使用するとき、LDAP フィルタは管理上の Webインターフェイスと変更することができます。 
5. 同期されるべきユーザアカウントの数は CUCM パブリッシャ毎に 60,000 アカウントを超過してはなりません。 同期されるカスタム ディレクトリを提供するために 60,000 以上アカウント必要が IP Phone サービス Software Development Kit （SDK）使用する必要がある時。 追加詳細については Cisco 開発者ネットワークを参照して下さい。 統一された CM リリース 10.0(1) またはそれ以降を使用するとき、サポートされる最大ユーザ数 アカウントは 160,000 です。
6. Microsoft アダム 2003 か軽量ディレクトリ サービス（LDS） 2008 年か 2012。
7. バインド リダイレクションを使用するとき SSL のための要件は無効ではないはずです。 無効である場合、により Windows セキュリティ プリンシパルのパスワードは暗号化なしでアダムを実行するコンピュータに通じます。 従って、それはテスト環境でだけディセーブルにする必要があります。
8. ユーザ ID （sAMAccountName）はすべてのフォレストを渡ってユニークである必要があります。
9. 設定される AD LDS があれば、そして sAMAccountName にマッピング される CUCM USERID が使用される必要があればその協定は AD で設定する必要があります。
10. アダム例 ホスト ドメイン間のドメイン トラスト 関係を設定し、ユーザアカウントがドメインをホストするとき、ドメイン 機能 レベルおよびフォレスト機能 レベルは 2003 年のまたはそれ以降であるはずです。
11. CUCM は AD LDS の一つのアプリケーション ディレクトリの配分だけ、マルチ パーティション現在サポートされませんサポートします。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

はじめに

以前アダムとして知られている Microsoft AD LDS が、ディレクトリ対応アプリケーションにディレクトリ サービスを提供するのに使用することができます。 ディレクトリ対応 適用業務 データを保存するために組織のアクティブ ディレクトリ ドメイン サービス（AD DS）データベースを使用するかわりに AD LDS がデータを保存するのに使用することができます。 アプリケーション 設定およびディレクトリ データ（AD LDS）をサポートするためにセキュリティ アカウント（AD DS）および別の位置のためのセントラルロケーションがあることができるように AD LDS は AD DS と共に使用することができます。 AD LDS を使うと、AD 複製を使うと関連付けられるオーバーヘッドを減らすことができますアプリケーションをサポートするために AD スキーマを伸ばす必要がないし AD LDS サービスがディレクトリ対応 アプリケーションをサポートする必要があるサーバにだけ展開されるように配分しましたディレクトリ構造をできます。

• インストールして下さいメディア生成から- Ntdsutil.exe か Dsdbutil.exe で AD LDS のためのインストールメディアを作成する機能。
• 監査-ディレクトリ サービス内の監査によって変更される値。
• データベース土台ツール-データベース ファイルのスナップショット内のビュー データに能力を与えます。
• AD サイトおよびサービス支援- AD サイトを使用する機能を与え、サービスは AD LDS データの複製を管理するために変更します。
• LDIF ファイルのダイナミック リスト-この機能を使うと、サーバの AD LDS のセットアップに使用する現在のデフォルト LDIF ファイルを使うとカスタム LDIF ファイルを関連付けることができます。
• 回帰的なリンク アトリビュート クエリ- LDAP クエリは団体会員のような追加属性プロパティを、判別するために入り込まれたアトリビュート リンクに従うことができます。

アダム間に多くの違いがあり、AD は、アダム AD によって提供される機能の一部しか渡さないことができます。

概要

この資料の目標は、ですユーザ情報を得、異なるフォレストにあることができる異なる AD ドメインから認証を行うためにメカニズムを CUCM を可能にする、またはディレクトリ統合サービス（DirSync）を利用するその他のCisco製品を説明すること。 この目標を達成するために、アダムは異なる AD ドメインコントローラか他の LDAP ソースとユーザデータベースを同期するために使用されます。

アダムはユーザのデータベースを作成し、詳細を保存できます。 （SSO）機能性の単一 サインは異なるシステムの資格情報の異なるセットを維持しなければなっていないエンドユーザを避けるために望まれます; 従って、アダム バインド リダイレクションは使用されます。 アダム バインド リダイレクションは認証機構として LDAP バインドをサポートするアプリケーションのための特殊関数です。 場合によっては、特別なスキーマ、かコンテキストを指名することは、アダムに必要な選択をする AD を避けさせますかもしれません。 これは自身のユーザ ID およびパスワードで追加ディレクトリの雇用による複数のパスワードを覚えなければなっていないユーザを避けます。

規則的な AD ユーザアカウントへのアダム マップの特別 な ユーザ プロキシ オブジェクト。 ユーザ プロキシにアダム オブジェクトで保存される実際のパスワード自体がありません。 アプリケーションが正常なバインド操作を行うとき、ID をローカルでチェックしますが、AD に対して送付の下でこの図に示すようにパスワードを確認します。 アプリケーションはこの AD 相互対話に気づく必要はありません。

アダム バインド リダイレクションはアプリケーションがアダムに簡単な LDAP バインドを行うことができるところに特別な場合にだけ使用する必要があります。 ただし、アプリケーションは依然として AD のセキュリティ プリンシパルとユーザを関連付ける必要があります。

アダム バインド リダイレクションはアダムへのバインドがプロキシ オブジェクトと呼ばれる特別なオブジェクトの使用と試みられるとき発生します。 プロキシ オブジェクトは AD のセキュリティ プリンシパルを表すアダムのオブジェクトです。  アダムの各プロキシ オブジェクトは AD でユーザの SID が含まれています。 ユーザがプロキシ オブジェクトに結合 するように試みるときアダムはバインド時に供給される保存され、認証のための AD に SID およびパスワードを示すパスワードとともにプロキシ オブジェクトで、SID を奪取 します。 アダムのプロキシ オブジェクトはパスワードを保存しないし、ユーザはアダム プロキシ オブジェクトを通して AD パスワードを変更できません。

パスワードはアダムに平文で最初のバインド要求が簡単な LDAP バインド要求であるので示されます。 従って、ディレクトリ クライアントとアダムの間で SSL 接続がデフォルトで必要となります。 アダムは AD にパスワードを示すために Windows セキュリティ API を使用します。

アダム バインド リダイレクションの理解のバインド リダイレクションに関する詳細を得ることができます。

アクティブ ディレクトリ CUCM の多重フォレスト サポート シナリオ

方式を説明するために、シスコシステムズ シナリオを想像して下さい（フォレストは 2） 2 人の他の会社を得ました: Tandberg （フォレスト 3）および WebEx （1）フォレスト。 移行フェーズでは、単一 Cisco Unified Communications クラスタの配備を可能にするために各会社の AD 構造を統合。

例では、会社 Cisco （フォレストに 2） 2 つのドメイン、フォレスト ルート ドメイン呼出された CISCO （dns cisco.com）および緊急事態（dns emerg.cisco.com と呼ばれるサブドメインがあります）。 両方のドメインにまたグローバル な カタログである、各自は Windows 2008 サーバ SP2 でホストされますドメインコントローラがあり。

会社 Tandberg （森林に 3）またグローバル な カタログである、Windows 2008 サーバ SP2 でホストされますドメインコントローラが付いている単一 ドメインがあり。

会社 WebEx （森林に 1）またグローバル な カタログである、Windows 2003 R2 サーバ SP2 でホストされますドメインコントローラが付いている単一 ドメインがあり。

AD LDS はドメイン CISCO のためのドメインコントローラにインストールされているか、または個別のマシンである場合もあります; 実際それは 3 つのフォレストの 1 つにどこでもある可能性があります。 DNS インフラストラクチャは 1 つのフォレストのドメインが他のフォレストのドメインと通信し、フォレスト間の適切なトラスト 関係および有効性確認を確立できることきちんと整う必要がありますそのような物。

ドメインの信頼関係

はたらくユーザの認証に関してはアダム例がホストされる、とユーザアカウントをホストする他のドメイン必要がありますドメイン間の信頼がある。 この信頼は必要であれば一方向信頼である場合もあります（ユーザアカウントをホストする）ドメインにアダム例をホストするドメインからの発信信頼。 こうすればは、アダム例それらのアカウント ドメインの DC に認証要求を転送できます。

なお、アカウント ドメイン ドメインですべてのユーザアカウントのすべての属性にアクセスできる両方からのユーザアカウントがある必要があります。 このアカウントは ADAMSync によってアダムにアカウント ドメイン ユーザを同期するために使用されます。

大事なことを言い忘れたが、アダムを実行するマシンはすべてのドメイン（DNS）を見つけ、両方のドメインでドメインコントローラを（DNS と）見つけ、これらのドメインコントローラに接続できる必要があります。

intertrust 関係を設定するためにこれらのステップを完了して下さい:

1. アクティブ ディレクトリ ドメインおよび信頼を開いて下さい、ホスト AD LDS が、および『Properties』 を選択 する ドメインを右クリックして下さい。

   

2. 信頼タブをクリックし、信頼を『New』 をクリック して下さい。

   

3. 信頼をとの確立したいと思うことウィザードに従い、ドメインの名前を入力して下さい。 [Next] をクリックします。

   

4. 森林信頼オプション ボタンをクリックして下さい。 [Next] をクリックします。

   

5. 信頼の方向「一方向だけ: 」発信必要とされます。 一方向をクリックして下さい: 発信 オプション ボタン。 [Next] をクリックします。

   

6. ウィザードが両方のドメインを設定するようにして下さい。 このドメインおよび特定のドメイン オプション ボタンを両方クリックして下さい。 [Next] をクリックします。

   

7. 他のドメインのための資格情報を入力して下さい。 [Next] をクリックします。

   

8. フォレスト全体の認証 オプション ボタンをクリックして下さい。 [Next] をクリックします。

   

9. Yes をクリックして下さい、発信信頼オプション ボタンを確認して下さい。 [Next] をクリックします。

   

これは Tandberg および WebEx ドメイン両方のためのこのプロセスを実行した後受け取る結果です。 ドメイン緊急事態はそれが子ドメインであるのでデフォルトでそこにあります。 [OK] をクリックします。

AD LDS のインストール

2008 年に AD LDS をインストールして下さい

1. サーバマネージャを開き、ロールをクリックし、ロールを『Add』 をクリック して下さい。

   

2. アクティブ ディレクトリ軽量ディレクトリ サービス チェックボックスをチェックして下さい。 [Next] をクリックします。

   

3. AD LDS サービス インストールの進行状況ウィンドウは現われます。

   

2012 年に AD LDS をインストールして下さい

2012 年に AD LDS を設定するためにこれらのステップを完了して下さい:

1. サーバマネージャを開き、ロールおよび機能を『Add』 を選択 して下さい。 インストール タイプを『Next』 をクリック し、Type ページ インストールに移動するためにクリックして下さい。

   

2. 省略時 の オプションを選択し、『Next』 をクリック して下さい。

   

3. デフォルト サーバを選択するために選り抜きをサーバ プール オプション ボタンからのサーバ クリックして下さい。 [Next] をクリックします。

   

4. アクティブ ディレクトリ軽量ディレクトリ サービス チェックボックスをチェックし、機能を『Add』 をクリック して下さい。 インストールに続いて下さい。

   

5. それに続くページで『Next』 をクリック して下さい。
6. 再始動を宛先 サーバ チェックボックス必要であれば自動的にクリックし、機能をインストールするために『Install』 をクリック して下さい。

   

7. インストールが正常に完了した後、ウィザードを閉じるために『Close』 をクリック して下さい。

   

多重フォレスト サポートのための例をインストールして下さい

AD LDS は同じマシンで動作するべき異なるユーザー ディレクトリ「アプリケーション」を可能に異なるポートとサービスの異なるインスタンスを実行できます。 デフォルトで AD LDS は 389/LDAP および 636/LDAPS を『Ports』 を選択 します、システムが既に持っていればそれらをそれ実行するどの種類の LDAP サービスでもポート 50000/LDAP および 50001/LDAPS を使用します。 各例に使用される前の数に基づいて増分するポートのペアがあります。

場合によっては、Microsoft 不具合が原因で、ポートは Microsoft DNSサーバによって既に使用され、例 ウィザードは（自ら明らかではない）エラー与えます。 このエラーは TCP/IPスタックのポートを予約するとき固定である場合もあります。 この問題を見つける場合、AD LDS がエラー「セットアップとサービス開始するサービスを開始できなかった…」失敗することを参照して下さい + エラー コード 8007041d。

2008 年に多重フォレスト サポート

1. 次にサーバマネージャで、ロールおよびアクティブ ディレクトリ Lightweight ディレクトリ サービスを選択して下さい。  AD LDS 例を作成するために『Click Here』 をクリック して下さい。

   

2. A ユニークな例 オプション ボタンをクリックして下さい。 [Next] をクリックします。

   

3. Instance name フィールドでは、例の名前を入力して下さい。 それはこの例の MultiForest です。 [Next] をクリックします。

   

4. 指定 LDAP ポート番号および SSL ポート番号を入力するか、またはシステムがあなたのためにそれらを選択するようにして下さい。 [Next] をクリックします。

   

5. 注: CUCM は一つのアプリケーション ディレクトリの配分だけ、マルチ パーティション現在サポートされませんサポートします。
   
   ステップ 5 を参照して下さい: アプリケーション ディレクトリの配分を作成する方法の情報のためのアプリケーション ディレクトリの配分によってフィールド ワーク。 作業に対して同期したいと思う各ドメインのためのディレクトリの配分を作成するプロセスは LDAP 紹介（RFC 2251）に基づき、LDAP クライアント（CUCM、コップ、等）が紹介をサポートすることを必要とします。

   Yes をクリックして下さい、アプリケーション ディレクトリの配分 オプション ボタンを作成して下さい。 例のための Partition Name フィールドでパーティション名を入力して下さい。 ほとんどの場合それがスキーマのエラーを作成するので、ウィザードの例ののような cn を提供しないで下さい。 このシナリオでは、ホスト AD LDS （dc=Cisco、dc=com）が入った AD ドメインコントローラと同じパーティション。 [Next] をクリックします。

   

6. このアカウント オプション ボタンをクリックして下さい。 サーバを開始するためにユーザネームおよびパスワードを入力して下さい。 [Next] をクリックします。

   

7. 現在ログオンされた Userオプション・ボタンをクリックして下さい。 管理許可のユーザの名前を入力して下さい。 [Next] をクリックします。

   

8. スキーマを構築するためにハイライト表示されたデフォルト LDIF ファイルをインポートして下さい。 [Next] をクリックします。

   

注: アダムがで Windows 2003 インストールされていたら断絶して下さい、前の画面に 4 つのオプションだけあります:  MSAZMan.LDF、MSInetOrgPerson.LDF、MSUser.LDF および MSUserProxy.LDF。 この 4 から、MSUser.LDF および MSInetOrgPerson.LDF があるようにチェックボックスだけ確認して下さい。

2012 年に多重フォレスト サポート

1. 管理ツールおよびダブルクリック アクティブ ディレクトリ軽量ディレクトリ サービス セットアップ ウィザードを開いて下さい。

   

2. [Next] をクリックします。

   

3. A ユニークな例 オプション ボタンをチェックして下さい。 [Next] をクリックします。

   

4. 例のためのインスタンス名および説明を入力して下さい。 名前「MultiForest」はここに入力されます。 [Next] をクリックします。

   

5. LDAP および SSL ポート番号を入力して下さい。 優先 する ポートは 389 およびそれぞれ 636 です。 ドメインサーバが子 サーバなら、そして親 ドメインがこれらのポートを使用すれば、デフォルトで異なるポート数は読み込まれます。 そのケースでは、それらを変更しないし、インストールに続いて下さい。 [Next] をクリックします。

   

6. ここでは、デフォルトで、他のポート番号は読み込まれました。 [Next] をクリックします。

   

7. 注: CUCM は一つのアプリケーション ディレクトリの配分だけ、マルチ パーティション現在サポートされませんサポートします。
   
   ステップ 5 を参照して下さい: アプリケーション ディレクトリの配分を作成する方法の情報のためのアプリケーション ディレクトリの配分によってフィールド ワーク。 作業に対して同期したいと思う各ドメインのためのディレクトリの配分を作成するプロセスは LDAP 紹介（RFC 2251）に基づき、LDAP クライアント（CUCM、コップ、等）が紹介をサポートすることを必要とします。 詳細についてはマイクロソフトのサポートを参照して下さい。

   Yes をクリックして下さい、アプリケーション ディレクトリの配分 オプション ボタンを作成して下さい。 パーティション名を入力して下さい。 cisco.com として LDS のためのパーティションを作成して下さい。 どの適した値でも提供することができます。 [Next] をクリックします。

   

8. それに続くページの省略時 の オプションを選択し、続けて下さい。

   

   

   

9. MSInetOrgPerson.LDF、MSUser.LDF、MSUserProxy.LDF および MSUserProxyFull.LDF チェックボックスをチェックして下さい。 [Next] をクリックします。

   

   

10. インストールを開始するために『Next』 をクリック して下さい。

    

    

11. インストールは正常に完了します。 [Finish] をクリックします。

    

アダム スキーマ アナライザを設定して下さい

ユーザー ID （sAMAccountNames）が異なるドメインを渡ってユニークで、そこに異なるフォレストの異なるドメインの同じ ID の複数のユーザではない場合、ユーザは AD からマルチ フォレスト セットアップの AD LDS の一つのパーティションにあることができる AD LDS のそれぞれフォレストへの同期することができます。 たとえば 3 つのドメインの 1 だけで存在 して いたら ユーザ ID 「アリス」がこのシナリオのセットアップ次の通りだった場合、CUCM セクションのアクティブ ディレクトリ多重フォレスト サポート シナリオの図を、考慮すれば:

パーティション フォレスト DN

P1 cisco.com DC=cisco、DC=com

                       webex.com DC=webex、DC=cisco、DC=com

                       tandberg.com DC=Tandberg、DC=cisco、DC=com

CUCM を AD LDS で設定するために、ユーザ ID （sAMAccountName）はすべてのフォレストを渡ってユニークである必要があります。 CUCM は現在 AD LDS の一つのパーティションだけサポートします。

sAMAccountNames がユニークではない場合、ユーザアカウントを-電子メール、telephoneNumber、employeeNumber、uid、または userPrincipalName 識別する場合のこれらの属性利用することを考えて下さい。

1. ドメインからアダムにスキーマをコピーして下さい。
2. ディレクトリ c:\windows\adam の AD DS/LDS スキーマ アナライザ（ADSchemaAnalyzer.exe）を開いて下さい。
3. > ロード ターゲット スキーマ『File』 を選択 して下さい。

   

4. インポートしたいと思うソース AD ドメインコントローラの資格情報を提供します。 [OK] をクリックします。

   

5. > ロード基礎スキーマ『File』 を選択 して下さい。

   

6. 接続したいと思う規定 し、スキーマを伸ばして下さい AD LDS を。 [OK] をクリックします。

   

7. 含まれているようにスキーマ > マークをすべての非提供要素選択して下さい。

   

8. LDIF ファイルを『File』 を選択 して下さい > 作成して下さい。  この例では、このステップによって作成されるファイルは diffschema.ldf です。 プロセスを簡素化するためにファイルは c:\windows\adam で作成する必要があります。

   

   利用可能 な オプションは生成される必要があるファイルの編成を助けるためにこれらのファイルが c:\windows\adam 主要なディレクトリから分かれることができるように可能にするために別 の ディレクトリを作成することです。 コマンド プロンプトを開き、c:\windows\adam のログ ディレクトリを作成して下さい。

   cd \windows\adam
   mkdir logs

9. ADSchema アナライザで作成される AD LDS に ldif スキーマをインポートして下さい。

   ldifde -i -s localhost:50000 -c CN=Configuration,DC=X
    #ConfigurationNamingContext -f diff-schema.ldf -j c:\windows\adam\logs
   

   参照しま追加 ldifde オプションおよびコマンド形式のためのアクティブ ディレクトリへのディレクトリ オブジェクトをインポートし、エクスポートするのに LDIFDE を使用します。

   

ユーザプロキシ オブジェクトを使用した AD LDS スキーマの拡張

プロキシ認証のためのオブジェクトは作成される必要があり、オブジェクト クラスのユーザは」使用されません。 作成されるオブジェクト クラスは、userProxy、バインド リダイレクションを可能にするものがです。 オブジェクト クラス詳細は ldif ファイルで作成される必要があります。 ファイルはこの例の MSUserProxy Cisco.ldf の新しいファイルの作成です。  この新しいファイルはオリジナル MSUserProxy.ldf から生成され、編集される、テキストをこのコンテンツを持つために編集しますプログラムを、使用して下さい:

#==================================================================
# @@UI-Description: AD LDS simple userProxy class.
#
# This file contains user extensions for default ADAM schema.
# It should be imported with the following command:
#   ldifde -i -f MS-UserProxy.ldf -s server:port -b username domain password -k -j . -c 
"CN=Schema,CN=Configuration,DC=X" #schemaNamingContext
#
#==================================================================

dn: CN=User-Proxy,CN=Schema,CN=Configuration,DC=X
changetype: ntdsSchemaAdd
objectClass: top
objectClass: classSchema
cn: User-Proxy
subClassOf: top
governsID: 1.2.840.113556.1.5.246
schemaIDGUID:: bxjWYLbzmEiwrWU1r8B2IA==
rDNAttID: cn
showInAdvancedViewOnly: TRUE
adminDisplayName: User-Proxy
adminDescription: Sample class for bind proxy implementation.
objectClassCategory: 1
lDAPDisplayName: userProxy
systemOnly: FALSE
possSuperiors: domainDNS
possSuperiors: organizationalUnit
possSuperiors: container
possSuperiors: organization
defaultSecurityDescriptor:
 D:(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;PS)S:
defaultHidingValue: TRUE
defaultObjectCategory: CN=User-Proxy,CN=Schema,CN=Configuration,DC=X
systemAuxiliaryClass: msDS-BindProxy
systemMayContain: userPrincipalName
systemMayContain: givenName
systemMayContain: middleName
systemMayContain: sn
systemMayContain: manager
systemMayContain: department
systemMayContain: telephoneNumber
systemMayContain: mail
systemMayContain: title
systemMayContain: homephone
systemMayContain: mobile
systemMayContain: pager
systemMayContain: msDS-UserAccountDisabled
systemMayContain: samAccountName
systemMayContain: employeeNumber
systemMayContain: initials
systemMayContain: ipPhone
systemMayContain: displayName 
systemMayContain: msRTCSIP-primaryuseraddress
systemMayContain: uid

dn:
changetype: modify
add: schemaUpdateNow
schemaUpdateNow: 1
-

C:\windows\adam の MSUserProxy Cisco.ldf ファイルを保存して下さい。

AD LDS に新しいオブジェクト クラスをインポートして下さい。

ldifde -i -s localhost:50000 -c CN=Configuration,DC=X #ConfigurationNamingContext -f
 MS-UserProxy-Cisco.ldf -j c:\windows\adam\logs

AD DC から AD LDS へのユーザのインポート

各ドメインからユーザは今 AD LDS にインポートされる必要があります。 このステップは同期する必要がある各ドメインのために繰り返される必要があります。 この例はドメインの 1 つに対してだけプロセスを表示したものです。 オリジナル MSAdamSyncConf.xml から開始し、同期される必要がある作成し、このコンテンツを持つために各ドメインに特定の詳細とのファイルを修正して下さい各ドメインのための XML ファイルを:

<?xml version="1.0"?>
<doc> 
 <configuration>  
  <description>Adam-Sync1</description>  
  <security-mode>object</security-mode>         
  <source-ad-name>ad2k8-1</source-ad-name>  
  <source-ad-partition>dc=cisco,dc=com</source-ad-partition>
  <source-ad-account></source-ad-account>               
  <account-domain></account-domain>
  <target-dn>dc=cisco,dc=com</target-dn>  
  <query>   
   <base-dn>dc=cisco,dc=com</base-dn>
    <object-filter>
(&#124;(&amp;(!cn=Administrator)(!cn=Guest) (!cn=ASPNET)
(!cn=krbtgt)(sAMAccountType=805306368))(&amp;(objectClass=user)(isDeleted=TRUE)))
    </object-filter>
   <attributes>
    <include>objectSID</include>
    <include>mail</include> 
    <include>userPrincipalName</include>
    <include>middleName</include> 
    <include>manager</include> 
    <include>givenName</include> 
    <include>sn</include> 
    <include>department</include> 
    <include>telephoneNumber</include> 
    <include>title</include> 
    <include>homephone</include> 
    <include>mobile</include> 
    <include>pager</include> 
    <include>msDS-UserAccountDisabled</include>
    <include>samAccountName</include>
    <include>employeeNumber</include>
    <include>initials</include>
    <include>ipPhone</include>
    <include> displayName</include> 
    <include> msRTCSIP-primaryuseraddress</include>
    <include>uid</include>
    <exclude></exclude>
   </attributes>  
  </query>
 <user-proxy>
    <source-object-class>user</source-object-class>
    <target-object-class>userProxy</target-object-class>
  </user-proxy>  
  <schedule>   
   <aging>    
    <frequency>0</frequency>    
    <num-objects>0</num-objects>   
   </aging>   
   <schtasks-cmd></schtasks-cmd>  
  </schedule> 
 </configuration> 
 <synchronizer-state>  
  <dirsync-cookie></dirsync-cookie>  
  <status></status>  
  <authoritative-adam-instance></authoritative-adam-instance>
  <configuration-file-guid></configuration-file-guid>  
  <last-sync-attempt-time></last-sync-attempt-time>  
  <last-sync-success-time></last-sync-success-time>  
  <last-sync-error-time></last-sync-error-time>  
  <last-sync-error-string></last-sync-error-string>  
  <consecutive-sync-failures></consecutive-sync-failures>  
  <user-credentials></user-credentials>  
  <runs-since-last-object-update></runs-since-last-object-update>
  <runs-since-last-full-sync></runs-since-last-full-sync> 
 </synchronizer-state>
</doc>

このファイルではドメインを一致するために、これらのタグは取り替える必要があります:

• <source-ad-name> -ドメインのホスト名を使用して下さい。
• <source-ad-partition> -インポートしたいと思うソース AD DC からのルート パーティションを使用して下さい（たとえば、dc=Cisco、dc=com、または dc=Tandberg、dc=com）。
• <base-dn> -インポートするためコンテナーを選択して下さい。 たとえば、ドメインのすべてのユーザが必要となればこれは <source-ad-partition> と同じであるはずですユーザが特定の組織ユニットから（財務 OU のような）あれば、DC=com OU=Finance に類似した、DC=Cisco である、はずです。 

<object-filter> を作成する方法に関する詳細については検索フィルタ構文を参照して下さい。

C:\windows\adam の新しく作成された XML ファイルを保存して下さい。

コマンド ウィンドウを、cd \ウィンドウ\アダム開いて下さい。

コマンドを、ADAMSync /install localhost:50000 c:\windows\ADAM\AdamSyncConf1.xml /log c:\windows\adam\logs\install.log 入力して下さい。

ファイル AdamSyncConf1.xml が新しく作成された XML ファイルであることを確認して下さい。

コマンド ADAMSync /sync localhost:50000 「dc=cisco でユーザを、dc=com」/log c:\windows\adam\logs\sync.log 同期して下さい。

結果は類似したにであるはずです:

AD からアダムに自動同期化を完了するために、Windows でタスク スケジューラを使用して下さい。

それのこのコンテンツで .bat ファイルを作成して下さい: 

「C:\Windows\ADAM\ADAMSync」/install localhost:50000 c:\windows\ADAM\AdamSyncConf1.xml /log c:\windows\adam\logs\install.log

「C:\Windows\ADAM\ADAMSync」/sync localhost:50000 「dc=cisco、dc=com」/log c:\windows\adam\logs\syn.log

必要とされる場合 .bat ファイルを実行するためにタスクをスケジュールして下さい。 これ付加、アダムに同様に反映されるべき AD で起こる修正および削除は処理します。

別の .bat ファイルを作成し、他のフォレストからの自動同期化を完了するためにそれをスケジュールできます。

CUCM 同期および認証のための AD LDS のユーザを作成して下さい

1. 開いた ADSI は始動メニューの管理者ツールから編集します。
2. > 接続『File』 を選択 して下さい（または処理 > 接続応答への）。
3. AD LDS ツリー（DC=Cisco、DC=com）の dn を基づかせ、ホストされるホストをおよびポートを規定 するために接続して下さい（localhost:50000）。 [OK] をクリックします。

   

4. ベース DN を右クリックし、> オブジェクト 『New』 を選択 して下さい。

   

5. 『User』 を選択 して下さい。 [Next] をクリックします。

   

6. Value フィールドでは、選択されたオブジェクト名を入力して下さい。 この例「ルートで」選択された名前はあります（どの名前でもここに選択できます）。 [Next] をクリックします。

   

7. パスワードを新規 ユーザに提供するために、ユーザを右クリックし、『Reset Password』 を選択 して下さい。

   

8. 新規 ユーザはデフォルトでディセーブルにされます。 新規 ユーザを有効に するために、ユーザを右クリックし、『Properties』 を選択 して下さい。

   

9. msDS-UserAccountDisabled アトリビュートに参照し、『Edit』 をクリック して下さい。

   

10. ユーザアカウントを有効に するために Falseオプション・ボタンをクリックして下さい。 [OK] をクリックします。

    

11. パスワードを確認するために Trueオプション・ボタンを決して切れませんクリックしないで下さい。 [OK] をクリックします。

    

12. こので管理者例が選択された、AD LDS に読み取り権限がある新規 ユーザは 1 グループに追加される必要があります。 CN=Roles > CN=Administrators に参照して下さい。 CN=Administrators を右クリックし、『Properties』 を選択 して下さい。

    

13. 属性メンバーを選択し、『Edit』 をクリック して下さい。

    

14. 以前に作成されたこのグループに新しい DN を、cn=root、dc=Cisco、dc=com、入力して下さい。 [OK] をクリックします。

    

15. AD LDS を『Update Schema Now』 を選択 し、再起動して下さい。

    

    

バインド リダイレクトの設定

デフォルトでは、バインド リダイレクトを使用した ADAM へのバインドには SSL 接続を必要とします。 SSL はアダムを実行するとクライアントとしてアダムに接続するコンピュータの認証のインストールおよび使用を必要としますコンピュータ。 ADAM テスト環境に証明書がインストールされていない場合は、代替手段として、SSL の要件をディセーブルにすることができます。

デフォルトで、SSL は有効に なります。 認証を生成する必要がある ADAM/LDS の LDAPS プロトコル作業を作るため。

この例では認証を発行するために、Microsoft 認証局 サーバは使用されます。 認証を要求するために、Microsoft CA の Webページに- http:// <MSFT CA ホスト名 >/certsrv 行き、これらのステップを完了して下さい:

1. [Request a certificate] をクリックします。
2. [Advanced certificate request] をクリックします。
3. 『Create and submit a request to this CA』 をクリック して下さい。
4. ネーム テキストボックスでは、ADAM/AD LDS サーバの完全な DNS名を入力して下さい。
5. 認証の型をですサーバ認証証明確認して下さい。
6. 形式に関しては、PCKS10 を選択して下さい。
7. エクスポート可能ようにマーク キーを選択して下さい。
8. 任意で、他の情報を記入して下さい。
9. 表示名テキストボックスでは、ADAM/AD LDS サーバの完全な DNS名を入力して下さい。
10. [Submit] をクリックします。

認証局 （CA） インターフェイスに戻り、保留中の認証 フォルダをクリックして下さい。 ADAM/AD-LDS マシンによってなされる証明書要求を右クリックし、認証を発行して下さい。

認証は今作成され、「発された認証」フォルダに常駐します。 次に、認証をダウンロードし、インストールする必要があります:

1. http:// <MSFT CA ホスト名 >/certsrv を開いて下さい。
2. [View the status of a pending certificate request] をクリックします。
3. 証明書要求をクリックして下さい。
4. それをインストールするために認証をクリックして下さい。

アダムを使用を保守することを許可するために認証、アダム サービスの個人的なストアに認証を置く必要があります:

1. Start メニューから、『Run』 を選択 して下さい。 mmc を入力して下さい。 これはマネジメントコンソールを開きます。
2. スナップインを『File』 をクリック して下さい\追加して下さい/取除いて下さい。
3. 認証を『Add』 をクリック し、選択して下さい。
4. サービス アカウントを選択しました。
5. 『Local Computer』 を選択 して下さい。
6. アダム例サービスを選択して下さい。
7. 新しい認証スナップインを追加して下さい、しかし今回はサービス アカウントの代りにユーザアカウントを選択します。
8. 『Close』 をクリック し、『OK』 をクリック して下さい。
9. 認証-現在のユーザ ツリーは、個人的なフォルダを開きます。
10. 認証を選択し、同じ位置に「認証の下で-アダム インスタンス名」コピーして下さい。

サーバ認証証明の読み取り権限をネットワーク サービス アカウントに与えるために、これらのステップを完了して下さい:

1. - C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys はインストールされるか、またはインポートされた証明が保存されるこのデフォルト ディレクトリにナビゲート します。
2. 適切なサーバ認証証明を右クリックして下さい。 [Properties]をクリックします。
3. [Security] タブをクリックします。 [Edit] をクリックします。
4. Permissions ダイアログボックスで、『Add』 をクリック して下さい。
5. Select Users， Computers， または Groups ダイアログボックスでは、ネットワークサービスを入力して下さい。 [OK] をクリックします。
6. アダム例を再起動して下さい。

詳細は付録 A で見つけることができます: AD LDS のための SSL 必要条件上の LDAP の設定。

次に、ADAM/AD LDS マシンに認証をように CUCM ディレクトリ信頼発行した CA の認証をアップロードして下さい。

追加詳細については Cisco Unified Communications オペレーション システム管理ガイドを参照して下さい。

LDAP で SSL を使用するためにチェックボックスを Directory ページおよび LDAP認証 ページ選択して下さい。

ADAM/AD LDS 例をインストールしたときに与えられる SSL ポート番号である LDAP ポートのための 50001 を（この例で）入力して下さい。

バインド リダイレクションのための SSL 要件をディセーブルにするために、これらのステップを完了して下さい:

1. 『Start』 をクリック し、管理ツールを指し、ADSI を編集しますクリックして下さい。
2. Action メニューで、に『Connect』 を選択 して下さい。
3. Computer フィールドでは、localhost:50000 を入力して下さい（これは theADAM ホストおよびポート。です）。
4. 接続ポイント セクションで、選り抜きをよく知られている な指名コンテキスト オプション ボタン クリックして下さい。 ドロップダウン リストから、『Configuration』 を選択 して下さい。 [OK] をクリックします。
5. コンソールツリーでは、設定パーティションのこのコンテナオブジェクトに参照して下さい: CN=Directory サービス、CN= Windows NT、CN=Services。
6. CN=Directory サービスを右クリックし、『Properties』 を選択 して下さい。
7. 属性で、msDS 他設定をクリックして下さい。 [Edit] をクリックします。
8. 値で、RequireSecureProxyBind=1 をクリックし、次に『Remove』 をクリック して下さい。
9. 追加するべき値では RequireSecureProxyBind=0 を入力し、『Add』 をクリック し、それから『OK』 をクリック して下さい。
10. AD LDS を変更を有効にするために再起動して下さい。

  

CUCM を設定して下さい

ADAM/AD LDS 同期および認証は CUCM バージョン 9.1(2) および それ 以降でサポートされます。

1. システム > LDAP > LDAP システムを選択して下さい。
2. アダムか軽量ディレクトリ サービスを『Microsoft』 を選択 して下さい。
3. のこれらの LDAP USERID 属性選択できます: メール、従業員数、または電話番号。

   uid はスタンドアロン ADAM/AD LDS とない AD 複数のフォレスト サポートとだけ使用されます。

   

   現在、LDAPサーバ型「Microsoft アダムまたは軽量ディレクトリ サービス」モードのために、samAccountName はドロップダウン USERID のための LDAP アトリビュートに含まれていません。 原因はそれがスタンドアロン ADAM/AD LDS でサポートされるアトリビュートではないことです。  協定が AD で設定する必要がある sAMAccountName にマッピング される CUCM USERID が使用される必要があれば。

   

4. AD LDS のユーザー定義の資格情報で LDAP 同期を設定して下さい。

   

5. AD LDS のユーザー定義の資格情報で LDAP認証を設定して下さい。

   

CUCM の LDAP フィルター

オブジェクト クラス ユーザはもはや使用されません。 従ってユーザの代りに userProxy を使用するために、LDAP フィルタは変更される必要があります。

既定フィルターは次のとおりです:
（及び（objectclass=user） （! （objectclass=Computer））（! （msDS-UserAccountDisabled=TRUE）））

このフィルタ、ログインを Webブラウザの CCMAdmin に修正し、LDAP カスタム フィルタオプションを LDAP設定 メニューから選択するため。

このフィルタは Directory ページ LDAP で LDAP を同期一致前の図に示すように設定している間使用されます。