Address Manager への DNS/DHCP サーバの追加 - BlueCat Integrity - 9.5.0

管理ガイド
Locale
日本語
Product name
BlueCat Integrity
Version
9.5.0

構成済みの DNS/DHCP サーバAddress Manager 管理下に置くか、すでに BAM 管理下にある BDDSのプロパティを編集します。

前提条件
Address ManagerDNS/DHCP サーバを追加しようとする前に、次の項目を設定する必要があります。
  • サービス インターフェイス (eth0) に IPv4 または IPv6 アドレスを割り当てます。
  • デフォルト ゲートウェイを設定します。
  • 専用管理 (マルチインターフェイス DNS/DHCP サーバ アプライアンスのみ) を使用する場合、管理インターフェイス (eth2) に IPv4 または IPv6 アドレスを割り当て、専用管理を有効にする必要があります。
詳しくは、「DNS/DHCP サーバの概要」を参照してください。

Address ManagerDNS/DHCP サーバを追加して、サービス、デプロイメント、サーバの各操作を BAM ユーザ インターフェイスから制御します。[サーバの追加] ページから、ホスト名の設定、サーバのアップグレード、xHA バックボーンの構成、サービス アドレスの表示と構成、検証オプションの設定が可能です。

[サーバの追加] ページの特定のフィールドおよびオプションは、ご使用の DNS/DHCP サーバのネットワーク インターフェイスの数に応じて使用可能になります。

DNS/DHCP サーバ編集する場合、サーバ名、管理インターフェイス アドレス (サーバが無効になっている場合)、ホスト名、およびデプロイメント検証オプションのみ変更可能です。[サーバの編集] ページは、2、3、または 4 ポート DNS/DHCP サーバで同じです。特定のサーバ プロパティは、サーバが無効または BAM 管理外の場合にのみ使用可能です。

注: BlueCat VM のお客様は、特定の VM 環境に対するVM 設定と構成を含むサポート対象の VM ハイパーバイザの詳細について、『VM インストレーション ガイド』を参照してください。
重要: ネットワーク環境に NIC ボンディング/ネットワーク冗長化が必要である場合、4 ポート DNS/DHCP サーバ アプライアンスが必要です。ポート ボンディングを介したネットワーク冗長化は、物理的な DNS/DHCP サーバ アプライアンスでのみサポートされ、DNS/DHCP サーバ VM からの仮想インターフェイスではサポートされません。
注: ネットワーク環境内に VLAN インターフェイスが必要な場合は、要件と構成の詳細について「VLAN タグ付け」を参照してください。

Address ManagerDNS/DHCP サーバを追加または編集するには:

  1. 構成ドロップダウン メニューから、構成の 1 つを選択します。
  2. [サーバ] タブを選択します。タブは最後に作業したページを記憶するので、もう一度タブを選択して、[構成情報] ページにいることを確認します。
  3. [サーバ] で、[新規] をクリックします。
    サーバを編集する場合、サーバ名をクリックします。[詳細] ページで、[サーバ名] メニューをクリックして [編集] を選択します。
  4. [サーバ] で、次の項目を設定します。
    • プロファイル: ドロップダウン メニューから DNS/DHCP サーバ アプライアンスのモデル番号を選択します。
      注: 監視サービスを使用する場合は、監視する各 DNS/DHCP サーバで最初に SNMP を有効にする必要があります。詳しくは、「DNS/DHCP サーバ の監視サービスの有効化」を参照してください。
    • 名前: サーバの名前を入力します。この名前は Address Manager ユーザ インターフェイスでのみ使用され、デプロイされた DNS データには関連付けられません。
    • 管理インターフェイス: BDDS管理コンソールの eth0 インターフェイスに構成されている IPv4 または IPv6 アドレスを入力します。専用管理が有効になっている場合、eth2 インターフェイスに構成されている IPv4 または IPv6 アドレスを入力します。
      注: サーバを編集する場合、[管理インターフェイス] フィールドは、最初に管理対象の DNS/DHCP サーバを無効にしたにのみ使用可能になります。管理インターフェイス (eth2) の IP アドレスを変更する場合は、最初に DNS/DHCP サーバ 管理コンソールを使用して管理インターフェイスの IP アドレスを再構成し、Address Manager でそのサーバを無効にしてから、新しい IP アドレスでサーバを編集する必要があります。
    • ホスト名: ネットワーク上のサーバに使用されるホスト名。例えば、myhost.example.com です。
    • サーバに接続: デフォルトでは、このオプションは選択されています。これにより、サーバを追加したら、Address Manager はそのサーバに接続できるようになります。このときにサーバに接続しない場合は、このチェックボックスを選択解除します。
      注: Address Manager にサーバを追加するために必要な [サーバ設定の検出] ボタンをクリックするには、[サーバに接続] チェックボックスを選択する必要があります。
    • 最新バージョンにアップグレード: デフォルトでは、このオプションは選択解除されています。これにより、意図しないソフトウェア更新が適用されることがなくなり、Address ManagerDNS/DHCP サーバを追加するための安全な環境となります。このチェックボックスは、アプライアンスが Address Manager 管理下に入ったときに、最新バージョンの DNS/DHCP サーバ ソフトウェアを適用する場合にのみ選択します。
      注: 必ずサーバを Address Manager に追加した後に、DNS/DHCP サーバ ソフトウェアをアップグレードすることを推奨します。[最新バージョンにアップグレード] チェックボックスを選択せずにサーバを追加します。Address Manager にサーバが追加された後、サーバ ソフトウェアをアップグレードします。詳しくは、「DNS/DHCP サーバ ソフトウェアのアップグレード」を参照してください。
    • パスワード: サーバのパスワードを入力します。[サーバ設定の検出] ボタンをクリックするには、パスワードを入力する必要があります。デフォルトのサーバ パスワードに関する詳細は、「BlueCat デフォルト ログイン資格情報」を参照してください (このトピックを見るには認証が必要です)。
    • ロケーション: (オプション) 追加または編集するサーバ オブジェクトのベースとなるロケーションをドロップダウン メニューから選択します。最もよく使用するロケーション オブジェクトがリストの先頭に表示され、以降すべてはアルファベット順となります。
  5. [サーバ設定の検出] をクリックします。Address Manager は、DNS/DHCP サーバのソフトウェア バージョン、インターフェイスの数、専用管理の状態、IP アドレス、冗長化シナリオをチェックします (4 ポート アプライアンスのみ)。
  6. オプション:次の項目を設定します (使用可能なフィールドは、DNS/DHCP サーバ のインターフェイスの数によって決まります)。
    • サービス インターフェイス: DNS/DHCP サーバ 管理コンソールを利用して設定された現在の構成に基づいて、以下のフィールドが自動的に設定されます。
      • プライマリ IPv4 サービス アドレスおよびネットワーク: 読み取り専用。これは、DNS、DHCP、DHCPv6、TFTP などのサービス トラフィックに対してのみ使用する IPv4 アドレスおよびネットマスクです (3 および 4 ポート アプライアンスのみ)。
      • プライマリ IPv6 サービス アドレスおよびサブネット: 読み取り専用。DNS/DHCP サーバ 管理コンソールにより構成済みのIPv6 サービス アドレスおよびサブネットを表示します。
    • xHA バックボーン: このチェックボックスは、xHA インターフェイスを構成して、使用する IPv4 または IPv6 アドレスおよびネットマスク/サブネットを指定する場合に選択します。
      注: xHA バックボーンに IPv6 アドレスを構成する場合、プレフィックスは許可された CIDR 範囲 (64 ~ 127) で設定する必要があります。
    • 冗長化の有効化: ネットワーク冗長化を有効にする場合はこのチェックボックスを選択し (4 ポート アプライアンスのみ)、ネットワーク冗長化を無効にする場合は選択解除します。[シナリオ] ドロップダウン メニューから、[アクティブ/バックアップ] または [アクティブ/アクティブ (802.3ad)] のどちらかを選択します。
      注: VLAN インターフェイスがサービス インターフェイス (eth0) にある場合、[サーバの追加] ページからネットワーク冗長化を有効にすることはできません。必要に応じて、構成された VLAN インターフェイスを DNS/DHCP サーバ管理コンソールで削除し、Address Manager にサーバを追加してネットワーク冗長化を有効にします。サーバを Address Manager 管理下に置くと、Address Manager ユーザ インターフェイス (サービス > サービス構成 > インターフェイス) から VLAN インターフェイスを構成することができます。

      ポート ボンディングに VLAN タグ付けが必要な場合、まずボンディングを有効にしてから、直ちに VLAN インターフェイスを構成する必要があります。

    • 暗号化された通知の有効化: 通知の暗号化は、デフォルトで無効になっています。このチェックボックスを選択すると、Address Manager と DNS/DHCP サーバとの間で暗号化された通知が有効になります。
      注:
      • [暗号化された通知の有効化] チェックボックスを使用できるのは、BDDS v9.4.0 以上のみです。
      • 通知チャネルの暗号化あり/暗号化なしを切り替える機能は、今後のリリースの Address Manager では削除される予定です。Address Manager と DNS/DHCP サーバとの間の通知に関するすべての通信は、デフォルトで暗号化され、暗号化を無効にするオプションはありません。
      • 暗号化された通知を受信するには、ファイアウォールで特定のポートを開いておく必要があります。詳しくは、「Address Manager サービス ポート」を参照してください。
  7. オプション:[監視設定] で、次を選択します (DNS/DHCP サーバ監視サービスが有効な場合のみ使用可能)。
    • デフォルト モニタリング設定を使用する [有効]: デフォルトでは選択されています。構成用として構成された DNS/DHCP サーバ 監視設定を使用する場合は、選択されたままにします。
    • グローバルモニタリング設定をオーバーライドする: サーバに対してカスタム監視設定を設定する場合は選択してから、[このサーバの監視] を選択し、次の SNMP パラメータ設定を構成します。
      • バージョン: 監視対象のサーバの SNMP バージョンを選択します。
      • ポート番号: 監視対象サーバと通信するために BAM が使用する SNMP ポートを示します。デフォルト ポートは 161 です。このポートは変更できません。
      • コミュニティ文字列: 認証に使用する SNMP コミュニティ文字列を入力し、[追加] をクリックします。リストにコミュニティ文字列が表示されます。リストに追加できるコミュニティ文字列は、最大 100 個です。文字列は、リストに表示された順序で使用されます。文字列を削除するには、該当する文字列をリストから選択し、[削除] をクリックします。リストの項目の順序を変更するには、リストで項目を選択して、[上に移動] または [下に移動] をクリックします。
  8. [検証オプション] で、次のオプションを設定して、DHCP および DNS サービス構成または構成レベルに構成された DNS ゾーン検証設定をオーバーライドします。
    • 構成レベル DHCP 検証設定のオーバーライド: このチェックボックスは、サーバに固有の DHCP デプロイメント検証オプションを設定する場合に選択します。選択すると、[DHCP 構成検証の有効化] チェックボックスが表示されます。
      • DHCP 構成検証の有効化: このチェックボックスは、dhcpd.conf ファイルの構文の確認および Address Manager からデプロイされる前のデータの検証をする場合に選択します。
    • 構成レベル DNS 検証設定のオーバーライド: このチェックボックスは、サーバに固有のデプロイメント検証オプションを設定する場合に選択します。選択すると、[DNS 構成検証の有効化] チェックボックスおよび [DNS ゾーン検証の有効化] チェックボックスが表示されます。
      • DNS 構成検証の有効化: このチェックボックスは、named.conf ファイルの構文の確認および Address Manager からデプロイされる前のデータの検証をする場合に選択します。
      • DNS ゾーン検証の有効化: このチェックボックスは、各ゾーン ファイルの構文の確認および Address Manager からデプロイされる前のデータの検証をする場合に選択します。これは、named-checkzone ツールに -i スイッチを設定することと同じです。選択した場合、[DNS ゾーンのデプロイメント検証設定] セクションがページに表示されます。
  9. [DNS ゾーン検証設定] で、次の項目を設定します。
    • ロード後のゾーン整合性検証: このオプションに選択したモードに基づいて構文の確認が実行されます。次のいずれかのモードを選択します。
      • 完全: 次の状態を確認します。
        • ゾーン内およびゾーン外のホスト名に関して、MX レコードが A レコードまたは AAAA レコードを参照しているかどうか。
        • ゾーン内およびゾーン外のホスト名に関して、SRV レコードが A レコードまたは AAAA レコードを参照しているかどうか。
        • ゾーン内およびゾーン外のホスト名に関して、委任 NS レコードが A レコードまたは AAAA レコードを参照しているかどうか。
        • ゾーン内のグルー アドレス レコードが、子によって指定されたレコードと一致するかどうか。
      • ローカル: 次の状態を確認します。
        • ゾーン内のホスト名に関して、MX レコードが A レコードまたは AAAA レコードを参照しているかどうか。
        • ゾーン内のホスト名に関して、SRV レコードが A レコードまたは AAAA レコードを参照しているかどうか。
        • ゾーン内のホスト名に関して、委任 NS レコードが A レコードまたは AAAA レコードを参照しているかどうか。
        • ゾーン内のグルー アドレス レコードが、子によって指定されたレコードと一致するかどうか。
      • 完全兄弟: [完全] モードと同じチェックを実行しますが、グルー レコードをチェックしません。
      • ローカル兄弟: [ローカル] モードと同じチェックを実行しますが、グルー レコードをチェックしません。
    • なし: ロード後のゾーン整合性チェックをすべて無効にします。
    • 名前の確認: 名前を確認します。[無視]、[警告]、または [失敗] を選択して、このチェックで見つかった状態の処理方法を決定します。
    • MX レコードが IP アドレスであるかどうかをチェック: MX レコードが A レコードまたは AAAA レコードではなく IP アドレスを指しているかどうかをチェックします。これは、named-checkzone ツールに -M スイッチを設定することと同じです。[無視]、[警告]、または [失敗] を選択して、このチェックで見つかった状態の Address Manager での処理方法を決定します。
    • MX レコードが CNAME レコードを指しているかをチェック: MX レコードが A レコードまたは AAAA レコードではなく CNAME レコードを指しているかどうかをチェックします。これは、named-checkzone ツールに -M スイッチを設定することと同じです。[無視]、[警告]、または [失敗] を選択して、このチェックで見つかった状態の Address Manager での処理方法を決定します。
    • NS レコードが IP アドレスであるかをチェック: NS レコードが A レコードまたは AAAA レコードではなく IP アドレスを指しているかどうかをチェックします。これは、named-checkzone ツールに -n スイッチを設定することと同じです。[無視]、[警告]、または [失敗] を選択して、このチェックで見つかった状態の Address Manager での処理方法を決定します。
    • SRV レコードが CNAME レコードを指しているかをチェック: SRV レコードが A レコードまたは AAAA レコードではなく CNAME レコードを指しているかどうかをチェックします。これは、named-checkzone ツールに -S スイッチを設定することと同じです。[無視]、[警告]、または [失敗] を選択して、このチェックで見つかった状態の処理方法を決定します。
    • 末尾にないワイルドカードをチェック: ゾーン名の最後の部分に使用されていないワイルドカードをチェックします。例えば、mail.*.example.com です。末尾にないワイルドカードは許可されますが、存在する場合に警告を受け取ることができます。これは、named-checkzone ツールに -W スイッチを設定することと同じです。[無視] または [警告] を選択して、このチェックで見つかった状態の Address Manager での処理方法を決定します。
    上記のオプションで、[無視]、[警告]、または [失敗] を指定すると、次のように処理されます。
    • 無視: 状態を無視し、ゾーン検証サーバ ログに記録しません。デプロイメントは、この状態を含むゾーン データで続行されます。
    • 警告: ゾーン検証サーバ ログに状態が記録されます。デプロイメントは、この状態を含むゾーン データで続行されます。
    • 失敗: ゾーン検証サーバ ログに状態が記録されます。デプロイメントは失敗します。既存の DNS データがそのまま維持され、新しいデータはデプロイされません。
  10. [Kerberos サービス プリンシパル] で、DNS および DHCP のサービス プリンシパルを設定します。
    • DNS サービス プリンシパルの有効化: DNS サービスのセキュリティ資格情報を指定して、GSS-TSIG プロトコルによって要求された認証鍵に使用する場合に選択します。このチェックボックスを選択すると、[レルム] および [プリンシパル] フィールドが表示されます。[レルム] および [プリンシパル] ドロップダウン メニューから、Kerberos のレルムおよびサービス プリンシパルを選択します。
    • DHCP サービス プリンシパルの有効化: このチェックボックスは、DHCP サービスのセキュリティ資格情報を指定して、GSS-TSIG プロトコルによって要求された認証鍵に使用する場合に選択します。このチェックボックスを選択すると、[レルム] および [プリンシパル] フィールドが表示されます。[レルム] および [プリンシパル] ドロップダウン リストから、Kerberos のレルムおよびサービス プリンシパルを選択します。
  11. オプション:[HSM のサポート] で、次の操作を行います。
    注: 管理対象の DNS/DHCP サーバで HSM サポートを有効にするには、Address Manager で HSM 構成を予め作成している必要があります。HSM の構成の詳細については、「HSM の構成」を参照してください。
    • [HSM サポートの有効化] チェックボックスを選択します。[サーバの追加] ページが更新されて、HSM 構成および HSM サーバのドロップダウン メニューが表示されます。
    • [HSM サーバ] ドロップダウン メニューから [HSM サーバ] を選択して、[追加] をクリックします。複数の HSM サーバを追加するには、この手順を繰り返します。
    • リスト内の HSM サーバの順序を並べ替えるには、[HSM サーバ] を選択して、[上に移動] または [下に移動] をクリックします。順序の最上位の HSM サーバはプライマリであり、プライマリの下の HSM サーバはセカンダリ、ターシャリです。リストから HSM サーバを削除するには、[削除] をクリックします。

    [詳細] タブの [一般] セクションには、[HSM サポートの有効化] が表示されます。はい: 管理対象の DNS サーバで HSM が有効になっていることを確認します。また、[HSM サーバ] セクションには、管理対象の DNS サーバにリンクされている HSM サーバがリストされます。

  12. 必要に応じて [変更管理] で、コメントを追加します。
  13. [追加] をクリックするか、[次を追加] をクリックして他のサーバを追加します。
次の手順:
  • Address ManagerDNS/DHCP サーバを構成および追加した後、DNS/DHCP サーバに構成をデプロイする必要があります。詳しくは、「デプロイメントの管理」を参照してください。
  • DNS/DHCP サーバを追加または交換した後、BlueCat では Address Manager データベースをバックアップすることを強く推奨します。詳しくは、「Address Manager データベース」を参照してください。