mac os x server ネットワークサービスの管理 -...

Mac OS X Serverネットワークサービスの管理バージョン 10.4以降用

Apple Computer, Inc.© 2005 Apple Computer, Inc. All rights reserved.

Mac OS X Serverソフトウェアの正規ライセンス製品の使用許諾を受けたお客様、またはかかるお客様の許諾を得た者は、本ソフトウェアの使用を学習する目的で本書を複製することができます。本書のいかなる部分も、本書のコピーの販売または有償のサポートサービスなどの商用目的で、複製または譲渡することは禁じられています。

本書には正確な情報を記載するように努めました。ただし、誤植や制作上の誤記がないことを保証するものではありません。

Apple1 Infinite LoopCupertino CA 95014-2084U.S.A.www.apple.com

アップルコンピュータ株式会社〒 163-1480 東京都新宿区西新宿 3 丁目 20番 2号東京オペラシティタワー www.apple.com/jp

キーボードから入力可能な Appleロゴについても、これを Apple Computer, Inc.からの書面による許諾なしに商業的な目的で利用すると、連邦および州の商標法および不正競争防止法違反となる場合があります。

Apple、 Appleロゴ、 AppleScript、 AppleShare、 AppleTalk、 Mac、 Mac OS、 Macintosh、 Power Mac、 Power Macintosh、 QuickTime、 Sherlock、および WebObjects は、米国その他の国で登録された Apple Computer, Inc. の商標です。 AirMacは Apple Computer, Inc. の商標です。

Java および Javaベースの商標とロゴは、米国およびその他の国における Sun Microsystems, Inc.の商標または登録商標です。

UNIXは、 X/Open Company, Ltd.が独占的にライセンスしている米国その他の国における登録商標です。

本書に記載されているその他の会社名および製品名は、それぞれの会社の商標です。他社製品に関する記載は、情報の提供のみを目的としたものであり、保証または推奨するものではありません。 Apple Computer, Inc.は他社製品の性能または使用につきましては一切の責任を負いません。

J019-0165/3-24-05

1 目次

序章 9 このガイドについて 9 バージョン 10.4の新機能 9 このガイドの構成

10 このマニュアルを使う 10 オンスクリーンヘルプを使用する 11

Mac OS X Serverマニュアル

12 マニュアルのアップデートを入手する 12 その他の情報

第 1 章 15 ネットワークをインターネットに接続する 15 ゲートウェイ設定アシスタントを理解する 16 ゲートウェイ設定アシスタントを使用する 16 設定例 17 有線 LANをインターネットに接続する 18 有線 LANとワイヤレスクライアントをインターネットに接続する 19 ワイヤレス LANをインターネットに接続する

第 2 章 23 DHCPサービス 23

DHCPサービスを設定する前に

24 サブネットを作成する 24

IPアドレスを動的に割り当てる

24 静的 IPアドレスを使用する 25

DHCP サーバを検索する

25 ほかの DHCP サーバとやり取りする 25 ネットワーク上の複数の DHCPサーバを使用する 25 予約済み IP アドレスを割り当てる 25

DHCP プロセスの詳しい情報を見る

26

DHCPサービスをはじめて設定する 26

DHCPサービスを管理する

26

DHCP サービスを開始する／停止する 27

DHCP サービスでサブネットを作成する

27

DHCP サービスでサブネットの設定を変更する 28

DHCP サービスからサブネットを削除する

28 一時的にサブネットの使用を停止する

3

4

28 サブネットの IP アドレスのリース期間を変更する 29

DHCP サブネット用の DNSサーバを設定する

29 サブネットの LDAPオプションを設定する 30 サブネットの WINSオプションを設定する 30

DHCP を使用して静的 IP アドレスを割り当てる

31 静的アドレスマップを削除する／変更する 31

DHCPサービスを監視する

31

DHCP の状況の概要を表示する 32

DHCP サービスのログの詳細レベルを設定する

32

DHCP のログエントリーを表示する 32

DHCP クライアントのリストを表示する

33

DHCPを使用する一般的なネットワーク設定 36 その他の情報

第 3 章 37 DNSサービス 38

DNSサービスを設定する前に

38

DNSと BIND 38 複数のネームサーバを設定する 38

DNSサービスをはじめて設定する

41

DNSサービスを管理する 41

DNSサービスを開始する／停止する

41 ゾーン転送を使用可能にする／使用不可にする 42 再帰を使用可能／使用不可にする 42

DNSゾーンを管理する

43 プライマリゾーンを追加する 44 セカンダリーゾーンを追加する 44 ゾーンを複製する 45 ゾーンを変更する 45 ゾーンを削除する 45 既存のゾーンファイルを使用する 46

DNSマシンレコードを管理する

47 マシンレコードを DNSゾーンに追加する 48

DNSゾーン内のマシンレコードを変更する

48

DNSゾーンからマシンレコードを削除する 49

DNSを監視する

49

DNSサービスの状況を表示する 49

DNSログエントリーを表示する

49

DNSログの詳細レベルを変更する 50

DNSログファイルの場所を変更する

50

DNSサーバを保護する 50

DNSスプーフィング

51 サーバマイニング 52

DNSサービスのプロファイリング

目次

52 DoS（サービス拒否） 52 サービスのピギーバック 53

DNSサービスを使用する一般的なネットワーク管理作業

53

MXレコードを設定する 55

NATゲートウェイの背後にあるネームスペースを設定する

56 ネットワーク負荷分散（ラウンドロビン） 56 プライベートな TCP/IPネットワークを設定する 57

1つの IPアドレスで複数のインターネットサービスをホストする

58 同一のサーバで複数のドメインを管理する 58 その他の情報

第 4 章 59 IPファイアウォールサービス 60 ファイアウォールの基本的な手法 61 ファイアウォールの起動 62 ファイアウォール・ルールを理解する 62 ファイアウォール・ルールとは 64 アドレスの範囲を使用する 64 ルールのメカニズムと優先順位 64 複数の IPアドレス 65 ファイアウォールサービスをはじめて設定する 66 ファイアウォールサービスを管理する 66

Tiger Server 10.4のサーバ管理を使用して Panther Server 10.3のファイアウォールを管理する

66 ファイアウォールサービスを開始する／停止する 67 アドレスグループを作成する 67 アドレスグループを編集する／削除する 68 アドレスグループを複製する 68 標準サービスにファイアウォールを開放する 69 サービスリストに追加する 70 サービスリストの項目を編集する／削除する 70 詳細な IPファイアウォール・ルールを作成する 71 詳細な IPファイアウォール・ルールを編集する／削除する 72 詳細な IPファイアウォール・ルールの順序を変更する 72 ステルスモードを有効にする 72 到達不能なサーバをリセットする 73 ファイアウォールサービスを監視する 73 「使用可能なルール」パネルを理解する 73 ファイアウォールの状況の概要を表示する 74 有効なファイアウォール・ルールを表示する 74 ファイアウォールサービスのログを設定する 74 ファイアウォールのログを確認する 75 拒否されたパケットを確認する 76 ファイアウォール・ルールでログに記録されたパケットを確認する 76 詳細な IPファイアウォール・ルールの問題を解決する

目次 5

6

77 使用例 77

IPファイアウォールを NATで使用する

77 インターネットユーザの Webアクセスをブロックする 78 ローカル・ネットワーク・ユーザによるインターネットアクセスのログを記録する 79 迷惑メールをブロックする 79

Appleファイルサーバへのユーザのアクセスを許可する

80 ファイアウォールサービスを使用する一般的なネットワーク管理作業 80

DoS（サービス拒否）攻撃を防止する

81 ピアツーピアネットワークの使用を制御する／使用可能にする 81 ネットワークゲームの使用を制御する／使用可能にする 82 ポートリファレンス 86 その他の情報

第 5 章 87 NATサービス 87 ほかのネットワークサービスで NATを使用する 88

NAT LAN設定の概要

89

NATサービスを開始する／停止する 89

NATサービスを設定する

90

NATを使用しないでゲートウェイを作成する 90 ポート転送を設定する 91 ポート転送の例 93

NATサービスを監視する

93

NATの状況の概要を表示する 93

NATを使用する一般的なネットワーク管理作業

93

1つの IPアドレスを使って LANをインターネットに接続する 95 ゲーム用の LANパーティを設定する 95 「仮想サーバ」を設定する 97 その他の情報

第 6 章 99 VPN サービス 99

VPNとセキュリティ

99 転送プロトコル 100 認証方法 101

VPNサービスを設定する前に

101

VPN用のほかのネットワークサービスを設定する 102

VPNサービスを管理する

102

VPNサービスを開始する／停止する 102

L2TP転送プロトコルを使用可能にする／設定する

102

PPTP転送プロトコルを使用可能にする／設定する 103

VPNクライアント用に追加のネットワーク設定を行う

103

VPNのネットワークルーティング定義を設定する 105 特定のユーザまたはグループへの VPNアクセスを制限する 106 特定の受信 IP アドレスへの VPNアクセスを制限する

目次

107 追加の設定手順 109

VPNサービスを監視する

109

VPNの状況の概要を表示する 109

VPNサービスのログの詳細レベルを設定する

109

VPNのログを表示する 110

VPNクライアント接続を表示する

110

VPNを使用する一般的なネットワーク管理作業 110 家庭のコンピュータをリモートネットワークに接続する 112 リモート・ネットワーク・ファイアウォールの背後にある単一のコンピューティングアセットに

アクセスする 112 複数のリモート・ネットワーク・サイトを接続する 116 その他の情報

第 7 章 117 NTPサービス 117

NTPの動作

118 ネットワークで NTPを使用する 118

NTPサービスを設定する

119 クライアントで NTPを設定する 119 その他の情報

第 8 章 121 VLANのサポート 121

VLANを理解する

121

VLANのクライアントメンバーシップを設定する 122 その他の情報

第 9 章 123 IPv6サポート 124

IPv6対応サービス

124 サーバ管理での IPv6アドレス 124

IPv6アドレス

124 表記 125

IPv6の予約アドレス

125

IPv6のアドレッシングモデル 125

IPv6アドレスの種類

126 その他の情報

用語集 127

索引 139

目次 7

序章

このガイドについて

このマニュアルでは、 Mac OS X Serverのネットワークサービスを設定および管理する方法について説明します。

バージョン 10.4の新機能 Mac OS X Server バージョン 10.4 は、バージョン 10.3に比べて多くの点で強化されており、機能が追加されています。以下に、その内容を示します： • 新しい「ゲートウェイ設定アシスタント」 • 改訂および強化された DNS インターフェイス •

DHCPを使用した静的 IPアドレスマッピング

• 改訂および強化されたファイアウォールインターフェイス • 拡張された VPNヘルプ • 拡張された NATヘルプ •

VLANのサポート情報

このガイドの構成このガイドは、 9つの章と用語集で構成されています： •

15ページの第 1 章「ネットワークをインターネットに接続する」では、「ゲートウェイ設定アシスタント」を使用してネットワークをインターネットに接続する方法について説明します。

•

23ページの第 2 章「 DHCP サービス」では、 DHCPを設定および使用して、ネットワーク上で IPアドレスを割り当てる方法について説明します。

•

37ページの第 3 章「 DNSサービス」では、 Mac OS X Serverをドメイン・ネーム・サーバとして使用する方法について説明します。

•

59ページの第 4 章「 IPファイアウォールサービス」では、ファイアウォールを使用してネットワークのセキュリティを管理する方法について説明します。

•

87ページの第 5 章「 NAT サービス」では、 NATを設定および使用して、 1つのパブリック IPアドレスだけを使って多数のコンピュータをインターネットに接続する方法について説明します。

•

99ページの第 6 章「 VPNサービス」では、リモートユーザがプライベート LANに安全にアクセスできるように、 VPNを設定および使用する方法について説明します。

•

117ページの第 7 章「 NTPサービス」では、サーバをタイムサーバとして使用する方法について説明します。

9

10

• 121ページの第 8 章「 VLANのサポート」では、一部のサーバハードウェア設定に対する VLANのサポートについて説明します。

•

123ページの第 9 章「 IPv6サポート」では、 IPv6と、 IPv6アドレスをサポートするサービスについて説明します。

•

127 ページの「用語集」では、このガイドで使用する用語について説明します。

このマニュアルを使う各章では、特定のネットワークサービスを扱います。ユーザに提供する予定のサービスについて書

かれた章をお読みください。サービスの仕組み、機能、使いかた、初期の設定方法、および日常の

管理方法について説明しています。

また、あまりなじみのないサービスに関する章もお読みください。これまで使ったことのないサー

ビスの中に、ネットワークをより効率的に運用し、ユーザのためにパフォーマンスを向上するのに

役立つサービスが見つかるかもしれません。

ほとんどの章の最後に「その他の情報」というセクションがあります。このセクションでは、この

サービスに関してより詳しい情報を見つけることができる Webサイトと参考資料を紹介しています。

オンスクリーンヘルプを使用するオンスクリーンヘルプを使用すると、サーバマニュアル一式に含まれるガイドに記載されている、手

順やその他の役立つ情報を参照できます。

Mac OS X Serverが動作するコンピュータでは、「ワークグループマネージャ」または「サーバ管理」を開くと、オンスクリーンヘルプを利用できます。「ヘルプ」メニューから、次のいずれかのオプ

ションを選びます： •「ワークグループマネージャヘルプ」または「サーバ管理ヘルプ」を選ぶと、アプリケーションに関する情報が表示されます。

•「Mac OS X Server ヘルプ」を選ぶと、サーバヘルプのメインページが表示されます。ここから、サーバ情報を検索またはブラウズできます。

•「マニュアル」を選ぶと、 www.apple.com/jp/server/documentationにアクセスして、サーバのマニュアルをダウンロードできます。

サーバまたは管理用コンピュータの「 Finder」またはその他のアプリケーションからオンスクリーンヘルプを利用することもできます。（管理用コンピュータとは、サーバ管理ソフトウェアがインス

トールされている Mac OS X コンピュータのことです。）「ヘルプ」メニューを使用して「ヘルプビューア」を開き、「ライブラリ」＞「 Mac OS X Serverヘルプ」と選択します。

サーバの最新のヘルプトピックを参照するには、「ヘルプビューア」を使用している間、サーバまた

は管理用コンピュータがインターネットに接続されていることを確認してください。「ヘルプビュー

ア」は、サーバの最新のヘルプトピックをインターネットから自動的に取得してキャッシュします。

インターネットに接続されていないときは、「ヘルプビューア」は、キャッシュされているヘルプト

ピックを表示します。

序章このガイドについて

Mac OS X Serverマニュアル Mac OS X Serverのマニュアルには、各サービスについて解説し、それらのサービスの設定、管理、および問題を解決する手順を説明しているガイドが含まれています。これらのガイドはすべて、次

の場所から PDF形式で入手できます： www.apple.com/jp/server/documentation/

ガイド名ガイドの内容：

Mac OS X Serverお使いになる前にバージョン 10.4 以降用

Mac OS X Serverをインストールし、はじめて設定する方法について説明します。

Mac OS X Serverアップグレードおよび移行バージョン 10.4 以降用

古いバージョンのサーバで現在使用されているデータとサービス設定を使

用する方法について説明します。

Mac OS X Serverユーザの管理バージョン 10.4以降用

ユーザ、グループ、およびコンピュータのリストを作成および管理する方

法について説明します。また、 Mac OS X クライアントの管理された環境設定を設定する方法について説明します。

Mac OS X Serverファイルサービスの管理バージョン 10.4 以降用

AFP、 NFS、 FTP、および SMB/CIFS プロトコルを使って、選択したサーバのボリュームまたはフォルダを複数のサーバクライアントの間で共有する

方法について説明します。

Mac OS X Serverプリントサービスの管理バージョン 10.4 以降用

共有プリンタを管理する方法と、共有プリンタに関連付けられたキューと

プリントジョブを管理する方法について説明します。

Mac OS X Serverシステムイメージおよびソフトウェア・アップデートの管理バージョン 10.4 以降用

NetBootとネットワークインストールを使用して、 Macintoshコンピュータがネットワーク経由で起動できるディスクイメージを作成する方法について説明します。また、クライアントコンピュータをネットワーク経由で

アップデートするためのソフトウェア・アップデート・サーバを設定する方法について説明します。

Mac OS X Serverメールサービスの管理バージョン 10.4 以降用

メールサービスをサーバ上で設定、構成、および管理する方法について説明します。

Mac OS X Server Webテクノロジーの管理バージョン 10.4 以降用

WebDAV、 WebMail、および Webモジュールを含めて、 Webサーバを設定および管理する方法について説明します。

Mac OS X Serverネットワークサービスの管理バージョン 10.4以降用

DHCP、 DNS、 VPN、 NTP、 IPファイアウォール、および NATの各サービスをサーバ上で設定、構成、および管理する方法について説明します。

Mac OS X Serverオープンディレクトリの管理バージョン 10.4以降用

ディレクトリサービスと認証サービスを管理する方法について説明します。

Mac OS X Server QuickTimeStreaming Server の管理バージョン 10.4以降用

QuickTimeストリーミングサービスを設定および管理する方法について説明します。

Mac OS X Server Windows サービスの管理バージョン 10.4 以降用

PDC、 BDC、ファイル、 Windows コンピュータユーザ用のプリントなどのサービスを設定および管理する方法について説明します。

Mac OS X Server Windows NT からの移行バージョン 10.4 以降用

アカウント、共有フォルダ、およびサービスを Windows NT サーバから Mac OS X Serverに移動する方法について説明します。

Mac OS X Server Javaアプリケーションサーバの管理バージョン10.4 以降用

Mac OS X Server上で JBossアプリケーションサーバを設定および管理する方法について説明します。

Mac OS X Serverコマンドライン管理バージョン 10.4 以降用

コマンドと設定ファイルを使って、サーバ管理タスクを UNIXコマンドシェル内で実行する方法について説明します。

序章このガイドについて 11

http://www.apple.com/jp/server/documentation/

12

マニュアルのアップデートを入手するアップルでは必要に応じて、オンスクリーンヘルプの新しいトピック、改訂されたガイド、および

ソリューションに関する書類を公開しています。新しいヘルプトピックには、最新のガイドの改訂

分が含まれます。 • オンスクリーンヘルプの新しいトピックを表示するときは、サーバまたは管理用コンピュータがインターネットに接続されていることを確認し、 Mac OS X Server ヘルプのメインページにある「最新情報」のリンクをクリックします。

•

PDF形式の最新のガイドおよびソリューションに関する書類をダウンロードするときは、 Mac OS X Serverのマニュアルの Webページ（ www.apple.com/jp/server/documentation）にアクセスしてください。

その他の情報さらに詳しい情報が必要な場合は、次の資料を参照してください：

大切な情報 —重要なアップデートや特別な情報を記載しています。この書類はサーバディスクにあ

ります。

Mac OS X ServerのWebサイト —製品およびテクノロジーに関するさまざまな情報を入手でき

ます。 www.apple.com/jp/server/macosx/

AppleCareのサービス＆サポート —アップルのサポート部門から寄せられた数多くの記事を利用できます。 www.apple.com/jp/support/

アップルのカスタマートレーニング — サーバ管理のスキルアップのための、インストラクターの指

導による、自分のペースに合わせて進められるコースです。 www.apple.com/jp/training/

Mac OS X Serverコラボレーションサービスの管理バージョン 10.4以降用

ユーザ間で簡単に対話できるようにするウェブログ、チャット、およびそ

の他のサービスを設定および管理する方法について説明します。

Mac OS X Server高可用性の管理バージョン 10.4以降用

Mac OS X Serverサービスの高い可用性を確保するように IPフェイルオーバー、リンクアグリゲーション、負荷分散、その他のハードウェアおよび

ソフトウェア設定を管理する方法について説明します。

Mac OS X Server Xgrid の管理バージョン 10.4以降用

Xgridアプリケーションを使用して Xserveの計算クラスタを管理する方法について説明します。

Mac OS X Server用語集：MacOS X Server、Xserve、XserveRAID、およびXsan の用語

サーバおよび記憶装置製品で使用される用語の意味について説明します。

ガイド名ガイドの内容：

序章このガイドについて

www.apple.com/jp/server/documentation/

http://www.apple.com/jp/server/macosx/

http://www.apple.com/jp/support/

http://www.apple.com/jp/training/

アップルのディスカッショングループ — 質問、知識、およびアドバイスをほかの管理者と共有でき

る場です。 discussions.info.apple.com/jp

アップルのメーリング・リスト・ディレクトリ —メーリングリストに登録して、メールを使ってほ

かの管理者と意見の交換ができます。 www.lists.apple.com

序章このガイドについて 13

http://discussions.info.apple.com/jp

http://www.lists.apple.com/

1

1 ネットワークをインターネットに接続する

ネットワークをインターネットに接続するには、「ゲートウェイ設定アシスタント」を使用します。これを使用して、プライベートネットワークとインターネット間のゲートウェイとして動作するサーバの初期設定を実行できます。

ゲートウェイ設定アシスタントを理解する「ゲートウェイ設定アシスタント」を使用すると、 Mac OS X Server 10.4の設定をすばやく簡単に行い、インターネット接続をローカルネットワークで共有できます。いくつかの設定を選択すると、適

切な設定がすべて保存され、サーバの接続の共有が開始されます。

選択した設定に応じて、アシスタントの終了時に以下の操作が実行されます： • 内部のネットワークインターフェイスごとに、サーバに静的 IPアドレスを割り当てます。割り当てられるアドレスは、 192.168.x.1 です。 x に使用される数値は、「システム環境設定」の「ネットワーク」パネルにあるネットワークインターフェイスの順序で決まります。たとえば、リ

ストの最初のインターフェイスの場合、 xは 0になり、 2番目のインターフェイスの場合、 xは 1になります。

•

DHCPを有効にして内部ネットワークにアドレスを割り当て、既存の DHCPサブネットを削除します。

• 特定の内部（ 192.168.x.x）アドレスを DHCP用に取り分けます。 VPNが有効になっていない場合は、各インターフェイスに 192.168.x.2～ 192.168.x.254を割り当てることができます。

•

VPNを有効にして（省略可能）、承認された外部クライアントがローカルネットワークに接続できるようにします。 VPN L2TPが有効になるため、クライアント接続で使用する共有シークレットを入力する必要があります。

• 特定の内部（ 192.168.x.x）アドレスを VPN用に取り分けます。 VPNが選択されている場合は、 DHCP 範囲で割り当てられた IPアドレスの半分が VPN接続用に予約されます。 192.168.x.128～ 192.168.x.254のアドレスが、 VPN接続に割り当てられます。

15

16

• 内部ネットワークのセキュリティ保護に役立つ IPファイアウォールを有効にします。内部ネットワークインターフェイスごとにアドレスグループが追加され、新たに作成された DHCPアドレス範囲から任意の宛先アドレスへのトラフィックがすべて許可されます。

• 内部ネットワークで NATを有効にし、 NAT変換ルールを IPファイアウォールに追加して、ネットワークトラフィックを適切なコンピュータに転送します。また、これにより、望まない外部の接

続から内部ネットワークを保護します。 • サーバ上で DNS を有効にし、ルックアップのキャッシュを設定して、内部クライアントに対する

DNS応答を向上させます。

これらのいずれかの設定を行う前に、提案された変更を確認してから確定する機会があります。変

更を確定すると、既存の設定はアシスタントで行った設定によってすべて上書きされます。

「サーバ管理」を使用して、サービスの設定に変更を加えることができます。各ネットワークサービ

スの詳細は、このガイドの該当するセクションを参照してください。

「ゲートウェイ設定アシスタント」を再度実行すると、手動で行った設定はすべて上書きされます。

ゲートウェイ設定アシスタントを使用する「ゲートウェイ設定アシスタント」には、次の 2通りの方法でアクセスできます。 •「 /アプリケーション /サーバ /ゲートウェイ設定アシスタント」を開きます。

または •「サーバ管理」で、「表示」＞「ゲートウェイ設定アシスタント」と選択します。

アシスタントの指示に従って操作を行い、各ページの最後で「続ける」をクリックします。最終出

力を注意深く読み、設定が適切であることを確認してから、設定を確定します。

設定例以下のセクションでは、「ゲートウェイ設定アシスタント」を使用した設定例をいくつか紹介します。

すべての設定例で、次の情報を前提として使用します： • サーバで使用する静的 IPアドレスが、 ISP（インターネット・サービス・プロバイダ）により割り当てられています。

• サーバは XServe G5で、特に言及されていない限り、ネットワークインターフェイスとして 2基の Ethernet ポート、つまり Ethernet 1（ en0）と Ethernet 2（ en1）が内蔵されています。

• 内部 LANで使用する IPアドレスは、内部 LANの標準 IPアドレスである 192.168.x.x です。

警告：「ゲートウェイ設定アシスタント」を使用してリモートサーバを設定できますが、リモートサーバへの管理アクセスが意図せずに切断される可能性があります。

第 1章ネットワークをインターネットに接続する

有線 LAN をインターネットに接続する「ゲートウェイ設定アシスタント」を使用して、有線 LAN をインターネットに接続できます。 LANには、 Ethernet ハブおよびスイッチを介して相互に接続されたすべてのコンピュータをいくつでも含めることができますが、インターネットとの接続ポイントはゲートウェイだけです。

このプロセスが完了すると、 LAN上のすべてのコンピュータで次のことができます： •

IPアドレスとネットワーク設定を DHCPを使用して設定できます。

• インターネットにアクセスできます（ゲートウェイのインターネット接続がある場合）。 • インターネットから来る承認されていないネットワーク接続を防止できます。 • 承認された VPNクライアントにインターネット経由でアクセスできます（設定されている場合）。 • ゲートウェイの DNS ルックアップキャッシュを利用して、 DNSの名前解決を高速化します。

有線 LANをインターネットに接続するには： 1 インターネット接続用のコネクタを XServeの内蔵 Ethernet 1（ en0）ポートに差し込みます。

2

LAN接続用のコネクタを XServeの内蔵 Ethernet 2（ en1）ポートに差し込みます。

3 「ゲートウェイ設定アシスタント」を開きます。

「 /アプリケーション /サーバ /」フォルダ、または「サーバ管理」の「表示」メニューから開くことができます。

設定するサーバのアドレス、管理者名、およびパスワードを入力します。

4 「内蔵 Ethernet 1」を WAN（インターネット）インターフェイスに指定します。

5 「内蔵 Ethernet 2」を LAN（共有）インターフェイスに指定します。

LANインターフェイスは、ローカルネットワークに接続されるインターフェイスです。 LAN上のすべてのコンピュータは、サーバの WANインターフェイスを介してサーバのインターネット接続を共有します。

この時点で利用可能なインターフェイスがサーバに複数（ Ethernet 2、 Ethernet 3 など）ある場合は、有効にするインターフェイスを選択します。

6 このゲートウェイを LANへの VPNエントリーポイントにするかどうかを選択します。

VPNを有効にする場合は、「共有シークレット」が必要になります。共有シークレットは、 VPNゲートウェイへの安全な接続を確立するためにすべてのユーザが指定する必要のあるパスフレーズで

す。これは安全性の非常に高いパスフレーズにする必要があります。ゲートウェイサーバのユーザ

または管理者のパスワードは使用しないでください。

VPNについて詳しくは、 99ページの第 6 章「 VPNサービス」を参照してください。

7 変更点を調べて確認します。

第 1章ネットワークをインターネットに接続する 17

18

オプション：この基本設定を基にして、さまざまな設定を調整できます。設定の調整には、常に「サーバ管理」を

使用します。

たとえば、「サーバ管理」を使用して、特定のコンピュータに常に一定の IPアドレスを割り当てることができます。「 DHCP」セクションの「設定」タブで、静的アドレスマッピングを追加する必要があります。詳しくは、第 2 章「 DHCPサービス」を参照してください。

また、 IPファイアウォールの設定を変更して、インターネットから LANへの特定の接続を許可することもできます。ファイアウォール設定を変更して、目的の IP ポートを開き、ポート転送を設定して（コマンドラインから UNIXファイルを編集します）、着信するトラフィックを受け取る LAN上のコンピュータを指定する必要があります。

有線 LAN とワイヤレスクライアントをインターネットに接続する「ゲートウェイ設定アシスタント」を使用して、有線 LAN とワイヤレスクライアントをインターネットに接続できます。 LAN には、 Ethernet ハブおよびスイッチを介して相互に接続されたコンピュータをいくつでも含めることができますが、インターネットとの接続ポイントはゲートウェイ

だけです。

また、ワイヤレスコンピュータを有線ネットワーク上のほかのコンピュータに接続するには、 LANに AirMacベースステーションが必要です。すべてのワイヤレスクライアントを有線 LANに接続するためには、それらのワイヤレスクライアントが AirMac ベースステーションのワイヤレスネットワークに接続できる必要があります。

このプロセスが完了すると、 LAN 上のコンピュータおよび AirMac ベースステーションに接続されたコンピュータで次のことができます： •


• インターネットにアクセスできます（ゲートウェイのインターネット接続がある場合）。 • インターネットへの有線接続から来る承認されていないネットワーク接続を防止できます。 • 承認された VPNクライアントにインターネット経由でアクセスできます（設定されている場合）。 • ゲートウェイの DNS ルックアップキャッシュを利用して、 DNSの名前解決を高速化します。

有線 LANとワイヤレスクライアントをインターネットに接続するには： 1 インターネット接続用のコネクタを XServeの内蔵 Ethernet 1（ en0）ポートに差し込みます。

2

LAN接続用のコネクタを XServeの内蔵 Ethernet 2（ en1）ポートに差し込みます。

3

AirMacベースステーションのポート（ポートが 2つ存在する場合は WANポート）を有線ネットワークに接続します。

4 「 AirMac管理ユーティリティ」（または「 AirMac設定アシスタント」）を使用して、 Ethernetを使用して接続し、 DHCPを使用して独自のアドレスを取得するようにベースステーションを設定します。

5 「ネットワーク」パネルで、「 IPアドレスを割り当てる」が選択解除されていることを確認します。

6 「アップデート」をクリックして、ベースステーションの設定を変更します。
















使用します。


また、 IPファイアウォールの設定を変更して、インターネットから LANへの特定の接続を許可することもできます。ファイアウォール設定を変更して、目的の IPポートを開き、「 NAT」パネルでポート転送を設定して、着信するトラフィックを受け取る LAN上のコンピュータを指定する必要があります。

ワイヤレス LAN をインターネットに接続する Mac OS X Server のゲートウェイを使用してワイヤレスクライアントをインターネットに接続すると、ベースステーションに内蔵の機能を使用する場合に比べていくつかの利点があります。ゲート

ウェイを使用すると、 IPファイアウォールの詳細な制御、 DHCPによる静的 IPアドレスの割り当て、 DNSキャッシュ、および LANへの着信 VPN接続が可能になります。

これらの高度な機能が必要ない場合は、 AirMac ベースステーションとインターネットの間に Mac OS X Server を配置せずに、ベースステーションの内蔵機能を使用してワイヤレスクライアントをインターネットに接続できます。


20

ゲートウェイの機能を利用する場合は、ワイヤレスクライアントとゲートウェイ間のブリッジとし

てベースステーションを使用します。各クライアントはベースステーションに接続し、ベースステー

ションはゲートウェイ経由でネットワークトラフィックを送信します。すべてのワイヤレスクライ

アントをゲートウェイに接続するためには、それらのワイヤレスクライアントが AirMac ベースステーションのワイヤレスネットワークに接続できる必要があります。

このプロセスが完了すると、 AirMacベースステーションに接続されたコンピュータで次のことができます： •


• インターネットにアクセスできます（ゲートウェイのインターネット接続がある場合）。 • インターネットへの有線接続から来る承認されていないネットワーク接続を防止できます。 • 承認された VPNクライアントにインターネット経由でアクセスできます（設定されている場合）。 • ゲートウェイの DNS ルックアップキャッシュを利用して、 DNSの名前解決を高速化します。

有線 LANとワイヤレスクライアントをインターネットに接続するには： 1 インターネット接続用のコネクタを XServeの内蔵 Ethernet 1（ en0）ポートに差し込みます。

2

AirMacベースステーションのポート（ポートが 2つ存在する場合は WANポート）を XServeの内蔵 Ethernet 2（ en1）ポートに接続します。

3 「 AirMac管理ユーティリティ」（または「 AirMac設定アシスタント」）を使用して、 Ethernetを使用して接続し、 DHCPを使用して独自のアドレスを取得するようにベースステーションを設定します。

4 「ネットワーク」パネルで、「 IPアドレスを割り当てる」が選択解除されていることを確認します。

5 「アップデート」をクリックして、ベースステーションの設定を変更します。
















使用します。


また、 IPファイアウォールの設定を変更して、インターネットから LANへの特定の接続を許可することもできます。ファイアウォール設定を変更して、目的の IPポートを開き、「 NAT」パネルでポート転送を設定して、着信するトラフィックを受け取る LAN上のコンピュータを指定する必要があります。


2
2 DHCPサービス
DHCP（ Dynamic Host Configuration Protocol）サービスを使用すると、サーバからクライアントコンピュータに IPアドレスを提供して管理できます。 DHCPサーバを設定するときに、クライアント用に利用可能な IPアドレスのブロックを割り当てます。 DHCPを使用するように設定されたクライアントコンピュータは、起動するたびに、ネットワーク上で DHCP サーバを検索します。 DHCPサーバが見つかると、クライアントコンピュータは IP アドレスを要求します。 DHCPサーバは利用可能な IPアドレスを確認し、「リース期間」（クライアントコンピュータが IPアドレスを使用できる期間）および設定情報と共に IPアドレスをクライアントコンピュータに送信します。

「サーバ管理」の DHCPモジュールを使用して、次のことを行うことができます。 •

DHCPサービスの設定と管理

• サブネットの作成と管理 • クライアントコンピュータの DNS、 LDAP、および WINSオプションの設定 •

DHCPアドレスのリース状況の確認

組織のクライアント数が IP アドレス数よりも多い場合は、 DHCP サービスの使用が役に立ちます。 IPアドレスは必要に応じて割り当てられます。不要になると、ほかのクライアントがその IPアドレスを使用できます。必要であれば、ネットワークで静的 IPアドレスと動的 IPアドレスを組み合わせて使用できます。 IP アドレスの静的な割り当てと動的な割り当てについて詳しくは、次のセクションをお読みください。

組織は、クライアントに追加設定せずに、クライアントコンピュータの DNS（ドメインネームサービス）および LDAP（ Lightweight Directory Access Protocol）オプションを設定できるなど、 DHCPサービスの機能からさまざまな利点を受けています。

DHCPサービスを設定する前に DHCPサービスを設定する前にこのセクションをお読みください。ここには、サブネットの作成、静的および動的 IPアドレスの割り当て、ネットワーク上のサーバの検索、および予約済み IPアドレスの回避について書かれています。

23

24

サブネットを作成する同一ネットワーク上で複数のコンピュータをグループ化したものをサブネットといいます。これに

より、ネットワークでの管理がしやすくなります。サブネットは、目的に合わせて構成できます。た

とえば、組織内のグループごとに、また建物のフロアごとにサブネットを作成できます。クライア

ントコンピュータをサブネットにグループ化すると、サブネット内のすべてのコンピュータに対し

て一度にオプションを設定することができます。クライアントコンピュータに個別にオプションを

設定する必要はありません。それぞれのサブネットには、ほかのサブネットと接続する手段が必要

です。サブネット同士をつなぐには、通常、ルーターと呼ばれるハードウェア装置を使用します。

IPアドレスを動的に割り当てる IPアドレスを動的に割り当てると、 IPアドレスは、制限された一定の期間（「リース期間」といいます）が過ぎるか、クライアントコンピュータが IP アドレスを必要としなくなるまでの間、クライアントコンピュータに割り当てられます。リース期間を短くすると、ネットワークで利用可能な IPアドレスよりもコンピュータ数が多い場合でも、 DHCPによって IPアドレスを効率的に再割り当てできます。ほかのコンピュータがそのアドレスを必要としない場合、リース期間は自動的に更新され

ます。

仮想プライベートネットワーク（ VPN）クライアントに割り当てられたアドレスは、 DHCP アドレス同様に提供されますが、 DHCP と同じアドレス範囲から使用することはありません。 VPN を使用する場合は、 DHCPで割り当てないアドレスを VPNで使用するために残しておくようにしてください。 VPNについて詳しくは、 99ページの第 6 章「 VPNサービス」を参照してください。

静的 IPアドレスを使用する静的 IP アドレスは、コンピュータまたは装置に一度割り当てられると、その後は変更されません。 Webサーバなど、インターネットに常駐する必要のあるコンピュータには静的 IPアドレスを割り当てるとよいでしょう。また、プリンタなど、継続的にネットワークユーザが使用できるようにする

必要のある装置にも、静的 IPアドレスを使用することをお勧めします。

静的 IPアドレスを設定するには、アドレスを割り当てるコンピュータまたは装置に IPアドレスを手動で入力するか、特定のコンピュータまたは装置に要求ごとに同じアドレスを割り当てるように DHCP を設定します。 DHCP を使用してアドレスを割り当てると、各クライアントではなく DHCPサーバでアドレス設定を変更できます。 IP アドレスを手動で設定すると、 DHCP で割り当てた場合に特定のサービスで発生する可能性のある問題を回避できます。また、 DHCP がアドレスを割り当てるのを待つ必要もありません。

手動で割り当てる静的 IPアドレスの範囲を、 DHCPで提供する範囲に含めないでください。

同じコンピュータに同じアドレスを割り当てるように DHCP を設定できます。これにより、静的アドレスの利点とネットワーク設定を集中管理する利点を得ることができます。詳しくは、 30 ページの「 DHCPを使用して静的 IPアドレスを割り当てる」を参照してください。

第 2章 DHCP サービス

DHCPサーバを検索する DHCP サーバを検索しているとき、クライアントコンピュータはメッセージをブロードキャストします。 DHCP サーバがクライアントコンピュータとは異なるサブネット上にある場合は、サブネット間を接続するルーターがクライアントのブロードキャストと DHCP サーバの応答を転送できることを確認する必要があります。ネットワーク上にある、 BootP 通信をリレー可能なリレーエージェントまたはルーターが、 DHCP用に動作します。 BootP通信をリレーする手段がない場合は、 DHCPサーバをクライアントと同じサブネットに配置する必要があります。

ほかの DHCPサーバとやり取りする AirMacベースステーションなど、ネットワークにほかの DHCPサーバがすでに存在していることがあります。それぞれの DHCPサーバが一意の IPアドレスのプールを使用している場合のみ、 Mac OS XServerはほかの DHCPと共存できます。ただし、管理された環境で、クライアントの自動構成のために DHCPサーバが LDAPサーバのアドレスを提供するようにしたい場合があります。 AirMacベースステーションは LDAP サーバのアドレスを提供できません。したがって、クライアントの自動構成機能を使用したい場合は、 Ethernet ブリッジモードで AirMac ベースステーションを設定し、 Mac OS X Server が DHCPサービスを提供するようにします。別のサブネットに AirMac ベースステーションがある場合は、前述のように、ルーターを設定してクライアントのブロードキャストを

転送し、 DHCPサーバが応答する必要があります。 AirMacベースステーションで DHCPサービスを提供する場合、クライアントの自動構成機能は使用できません。さらに、クライアントワークステー

ションで LDAPサーバのアドレスを手動で設定する必要があります。

ネットワーク上の複数の DHCPサーバを使用する同一ネットワーク上で、複数の DHCPサーバを使用できます。ただし、お互いを妨害しないように、適切に設定することが重要です。それぞれのサーバには、提供する IP アドレスの一意のプールが必要です。

予約済み IPアドレスを割り当てる個別のホストに割り当てることができない IP アドレスがあります。ループバック用の予約済みアドレスとブロードキャスト用の予約済みアドレスなどです。 ISPは、このようなアドレスをユーザに割り当てません。 DHCP をこのようなアドレスを使うように設定しようとすると、アドレスが無効なため、有効なアドレスを入力する必要があるという警告が出されます。

DHCPプロセスの詳しい情報を見る Mac OS X Serverでは「 bootpd」というデーモンプロセスを使用して、 DHCPサービスのアドレス割り当てを行います。「 bootpd」およびその詳細な設定オプションについて詳しくは、「ターミナル」で次のように入力して、「 bootpd」のマニュアルページにアクセスしてください。 man bootpd

第 2章 DHCPサービス 25

x-man-page://bootpd

26

DHCPサービスをはじめて設定する Mac OS X Server をインストールするときに「設定アシスタント」を使用してサーバにポートを設定した場合、いくつかの DHCP 情報はすでに設定されています。このセクションの手順に従って DHCP サービスの設定を完了してください。各手順の設定について詳しくは、 26 ページの「 DHCPサービスを管理する」を参照してください。

手順 1：サブネットを作成するネットワークでクライアントコンピュータが共有する IP アドレスのプールを作成する手順を次に示します。サブネットごとに共有するアドレス範囲を 1 つ作成します。これらのアドレスは、クライアントが要求を発行したときに DHCPサーバによって割り当てられます。

27 ページの「 DHCP サービスでサブネットを作成する」を参照してください。

手順 2： DHCP サービスのログを設定する DHCP の動作とエラーを記録して、要求を監視したり、サーバ内で問題を識別するのに役立てることができます。

DHCP サービスはシステムログファイルに診断メッセージを記録します。このファイルが大きくなりすぎないように、 DHCP サービス設定の「ログ」パネルでログの設定を変更し、ほとんどのメッセージを記録されないようにすることができます。 DHCPサービスのログの設定について詳しくは、 32 ページの「 DHCPサービスのログの詳細レベルを設定する」を参照してください。

手順 3： DHCP サービスを開始する 26 ページの「 DHCPサービスを開始する／停止する」を参照してください。

DHCPサービスを管理するこのセクションでは、 Mac OS X Server で、 DHCP サービスを設定して管理する方法について説明します。サービスの開始、サブネットの作成、およびサブネットの LDAPや DNSのようなオプションの設定が含まれます。

DHCPサービスを開始する／停止する次の手順に従って、 DHCP を開始または停止します。サブネットを少なくとも 1 つ作成し、有効にする必要があります。

DHCPサービスを開始または停止するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。

2 少なくとも 1つのサブネットとネットワークインターフェイスが設定され、選択されていることを確認します。

3 「サービスを開始」または「サービスを停止」をクリックします。

サービスが使用可能になっているときは、「サービスを停止」ボタンが表示されています。


DHCPサービスでサブネットを作成するサブネットは、同一ネットワークで複数のクライアントコンピュータをグループ化したものです。サ

ブネットは、場所（建物のフロアなど）または用途（中学 2 年生全員など）で分けて構成されることがあります。各サブネットには、少なくとも 1つの IPアドレスの範囲が割り当てられています。

新しいサブネットを作成するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。

2 「設定」をクリックします。

3 「サブネット」タブを選択します。

4 追加（＋）ボタンをクリックします。

5 「一般」タブを選択します。

6 新しいサブネットに、分かりやすい名前を入力します（省略可能）。

7 サブネットの範囲となる最初の IPアドレスと、最後の IPアドレスを入力します。

アドレスは、連続していて、ほかのサブネットの範囲と重複しないようにする必要があります。

8 入力したネットワークアドレスの範囲に適用するサブネットマスクを入力します。

9 ポップアップメニューから「ネットワークインターフェイス」を選択します。

10 このサブネットのルーターの IPアドレスを入力します。

設定しているサーバがサブネットのルーターである場合は、このサーバの内部 LANの IPアドレスをルーターのアドレスとして入力します。

11 リース期間（時、日、週、または月）を定義します。

12 このサブネットの DNS、 LDAP、または WINS情報を設定する場合は、ここで入力します。

詳しくは 29 ページの「 DHCP サブネット用の DNSサーバを設定する」、 29 ページの「サブネットの LDAPオプションを設定する」、および 30 ページの「サブネットの WINSオプションを設定する」を参照してください。

13 「保存」をクリックします。

DHCPサービスでサブネットの設定を変更する「サーバ管理」を使用して、既存の DHCP のサブネットの設定を変更できます。 IPアドレスの範囲、サブネットマスク、ネットワークインターフェイス、ルーター、またはリース期間を変更できます。

サブネットの設定を変更するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。



4 サブネットを選択します。

5 編集（ /）ボタンをクリックします。

6 目的の変更を加えます。


28

DNS、 LDAP、または WINS 情報を追加することもできます。また、アドレス範囲を再定義したり、 DHCP要求に応答するネットワークインターフェイスをリダイレクトすることもできます。


DHCPサービスからサブネットを削除するサブネットやサブネットの IPアドレス範囲は、クライアントに提供しなくなったら削除できます。

サブネットまたはアドレス範囲を削除するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。


3 サブネットを選択します。

4 取り除く（－）ボタンをクリックします。

5 「保存」をクリックして、削除内容を確認します。

一時的にサブネットの使用を停止するサブネットの設定内容のすべてを失わずに、サブネットを一時的に終了できます。つまり、サブネッ

トの範囲の IPアドレスは、選択したインターフェイスからクライアントに提供されません。

サブネットを使用しないようにするには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。



4 使用不可にするサブネットの隣にある「使用可能」を選択解除します。

サブネットの IPアドレスのリース期間を変更するクライアントコンピュータで、サブネットの IPアドレスを利用できる期間を変更できます。

サブネットのアドレス範囲のリース期間を変更するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。



4 サブネットの範囲を選択して、編集（ /）ボタンをクリックします。


6 「リース期間」ポップアップメニューから、タイムスケールを選択します（時、日、週、または月）。

7 「リース期間」フィールドに数値を入力します。



DHCPサブネット用の DNSサーバを設定するサブネットが使用する DNS サーバとデフォルトのドメイン名を指定できます。 DHCP サービスは、サブネット内のクライアントコンピュータにこの情報を提供します。

サブネットの DNSオプションを設定するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。



4 サブネットを選択して、編集（ /）ボタンをクリックします。

5 「 DNS」タブを選択します。

6 サブネットのデフォルトのドメインを入力します。

7

DHCPクライアントで使用するプライマリおよびセカンダリー・ネーム・サーバの IPアドレスを入力します。


サブネットの LDAPオプションを設定する各クライアントの LDAP の情報を手動で設定するのではなく、 DHCP を使用して、クライアントに LDAPサーバの情報を提供できます。リストに表示される LDAPサーバの順序は、オープンディレクトリの検索方式で自動的に検索される順序になります。

Mac OS X Server を LDAP マスターとして使用している場合、 LDAP オプションには、必要な設定情報があらかじめ入力されています。 LDAP マスターサーバが別のマシンである場合は、使用する LDAPデータベースのドメイン名または IPアドレスを調べる必要があります。また、 LDAP検索ベースについても知っておく必要があります。

サブネットの LDAP オプションを設定するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。




5 「 LDAP」タブをクリックします。

6 このサブネットの LDAPサーバのドメイン名または IPアドレスを入力します。

7

LDAP検索用の検索ベースを入力します。

8 標準でないポートを使用している場合は、 LDAPのポート番号を入力します。

9 必要に応じて、 SSLを使った LDAPを選択します。



30

サブネットの WINSオプションを設定する Windows固有の設定を DHCPで提供するネットワーク設定データに追加することで、サブネット内で Windowsを実行するクライアントコンピュータに追加情報を提供できます。これらの Windows固有の設定を使用すると、 Windowsクライアントが「ネットワーク関連グループ」をブラウズできるようになります。

WINS/NBNSのプライマリおよびセカンダリーサーバのドメイン名または IPアドレス（通常は DHCPサーバ自身の IPアドレス）と、 NBT ノードの種類（通常は「 broadcast」）を知っておく必要があります。 NBDDサーバと NetBIOSスコープ ID は通常使用しませんが、 Windowsクライアントの設定と Windowsネットワークのインフラストラクチャによっては、使用する必要がある場合もあります。

サブネットの WINSオプションを設定するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。




5 「 WINS」タブをクリックします。

6 このサブネットの WINS/NBNSのプライマリおよびセカンダリーサーバのドメイン名または IPアドレスを入力します。

7 このサブネットの NBDDサーバのドメイン名または IPアドレスを入力します。

8 ポップアップメニューから NBTノードの種類を選択します。

9

NetBIOSスコープ IDを入力します。


DHCPを使用して静的 IPアドレスを割り当てる必要に応じて、同じコンピュータに同じアドレスを割り当てることができます。これにより、 DHCPを使用した簡単な設定を維持すると共に、一部の静的なサーバまたはサービスを利用できます。

同じコンピュータに同じ IPアドレスを割り当てるには、コンピュータの Ethernet アドレス（ MACアドレスまたはハードウェア・アドレスとも呼ばれます）が必要です。各ネットワークインターフェ

イスには、独自の Ethernetアドレスがあります。

コンピュータで有線ネットワークとワイヤレスネットワークを切り替えて使用する場合、そのコン

ピュータは 2つの異なる Ethernetアドレスを使用することに留意してください。 1つは有線接続用で、もう 1つはワイヤレス接続用です。


静的 IPアドレスを割り当てるには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。


3 「静的マップ」をクリックします。


5 静的アドレスを取得するコンピュータの Ethernetアドレスを入力します。

6 コンピュータに割り当てる IPアドレスを入力します。

7 コンピュータの名前を入力します。

8 「 OK」をクリックします。


静的アドレスマップを削除する／変更する必要に応じて、静的マッピングを変更または削除できます。

静的アドレスマップを変更するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。


3 「静的マップ」をクリックします。

4 編集または削除するマッピングを選択します。

5 編集（ /）ボタンまたは取り除く（－）ボタンをクリックします。

6 マッピングを編集する場合は、必要な変更を加えて「 OK」をクリックします。


DHCPサービスを監視する DHCP サービスは監視する必要があります。 DHCP サービスを監視するには、大きく分けて 2 つの方法があります。 1つ目はクライアントリストを表示する方法で、 2つ目はサービスで生成されるログファイルを監視する方法です。サービスログを使用すると、ネットワークの問題を解決するのに

役立ちます。以下のセクションでは、 DHCP サービスの監視におけるこれらの側面について説明します。

DHCPの状況の概要を表示する状況の概要には、 DHCP サービスの簡単な概要が表示されます。サービスが実行されているかどうか、クライアントの数、サービスの開始時刻などが表示されます。また、サブネットから静的に割

り当てられた IPアドレスの数や、クライアントデータベースの最終更新時刻も表示されます。

概要を表示するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。

2 「概要」ボタンをクリックします。


32

DHCPサービスのログの詳細レベルを設定する DHCPサービスで記録する詳細のレベルを選択できます。 •「低（エラーのみ）」を選択すると、すぐに対応する必要がある状態（たとえば、 DHCPサーバが起動できないとき）だけを示すように設定できます。このレベルは、「 quiet」モード（「 -q」フラグ）の bootpdレポートに対応します。

•「中（エラーと警告）」を選択すると、データに矛盾はあるが、 DHCPサーバは動作を続けられるときに警告するように設定できます。このレベルはデフォルトの bootpdレポートに対応します。

•「高（すべてのイベント）」を選択すると、 DHCPサービスによるすべてのアクティビティを記録します。ルーチン機能も含まれます。このレベルは、「 verbose」モード（「 -v」フラグ）の bootpdレポートに対応します。

ログの詳細レベルを設定するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。


3 「ログ」タブを選択します。

4 必要なログオプションを選択します。


DHCPのログエントリーを表示する DHCPサービスのログを有効にしている場合は、 DHCPエラーのシステムログを確認できます。

表示されるログは、「 bootpd」用にフィルタリングされた system.log ファイルです。テキスト・フィルタ・ボックスを使用して、ルールをさらにフィルタリングできます。

DHCPのログエントリーを表示するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。

2 「ログ」をクリックします。

DHCPクライアントのリストを表示する「 DHCPクライアント」ウインドウには、各クライアントに関する次の情報が表示されます。 • クライアントに与えられた IPアドレス。 • リース期間の残り日数。 24時間未満の場合は、時間および分単位。 •

DHCPクライアントの ID。通常は、ハードウェア・アドレスと同じですが、そうでない場合もあります。

• コンピュータ名。 •

Ethernet ID。

DHCPクライアントのリストを表示するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。

2 「クライアント」をクリックします。

異なった条件でリストを並べ替えるには、任意の列の見出しをクリックします。


DHCPを使用する一般的なネットワーク設定以下のセクションでは、さまざまなネットワークで使用する DHCPの設定例をいくつか紹介します。

プライベートネットワークを設定するときは、 IANA（ Internet Assigned Numbers Authority）がプライベートイントラネット用に確保している次の IPアドレスのブロックから、 IPアドレスを選択します： •

10.0.0.0～ 10.255.255.255（ 10/8プレフィクス）

•

172.16.0.0～ 172.31.255.255（ 172.16/12プレフィクス） •

192.168.0.0～ 192.168.255.255（ 192.168/16プレフィクス）

DHCPを使用して、 NAT ゲートウェイの背後に IPアドレスを提供する DHCPを使用して、 NATゲートウェイの背後にあるコンピュータに IPアドレスを割り当てることができます。厳密には必須ではありませんが（ NATは、 DHCPの代わりに静的 IPアドレスで使用できます）、これにより、クライアントコンピュータの設定が簡単になります。

詳しくは、 93 ページの「 1 つの IP アドレスを使って LAN をインターネットに接続する」を参照してください。

ワークグループ用の設定独自の DHCPアドレスグループを持つ小規模なワークグループについて考えてみましょう。 IP接続されたプリンタ、ファイルサーバ、およびユーザ管理用のオープンディレクトリ・サーバ（サブネッ

ト上にあってもなくてもかまいません）がある場合があります。この状況で DHCPを使用するには、次のものがすでにある必要があります： •

LDAP接続およびプリンタ（ IPプリント）接続が可能な、設定済みで稼働中のファイアウォール。詳しくは、第 4 章「 IPファイアウォールサービス」を参照してください。

• ユーザが定義された、設定済みで稼働中のオープンディレクトリ・サーバまたは LDAPサーバ。詳しくは、「 Mac OS X Serverオープンディレクトリの管理バージョン 10.4 以降用」および「 MacOS X Serverユーザの管理バージョン 10.4 以降用」を参照してください。

この例では、 DHCPの設定には、静的 IPアドレスマッピングの使用と追加のクライアントネットワーク設定が含まれます。次のように設定できます： • 静的 IPアドレスを指定する必要があるプリンタの場合、割り当て済みの DHCPアドレス範囲にプリンタの真に静的な IPが含まれていないことを確認します。 DHCPを使用してアドレスを受け取るようにプリンタを設定できる場合は、重複を心配する必要はありません。

詳しくは、 24 ページの「静的 IP アドレスを使用する」を参照してください。

• 常に同じアドレスを割り当てる必要があファイルサーバの場合は、 Mac OS X Serverの静的 IPマッピングを使用して、その Ethernetアドレスに常に同じ IPアドレスを割り当てます。詳しくは、 30 ページの「 DHCP を使用して静的 IP アドレスを割り当てる」を参照してください。


34

• DHCPの設定の場合は、 DHCPクライアント用の LDAPオプションを設定します。これにより、クライアントに必要なディレクトリ情報が自動的に提供されます。

詳しくは、 29 ページの「サブネットの LDAPオプションを設定する」を参照してください。

•

Mac OS Xクライアントでのクライアント設定の場合は、「システム環境設定」の「ネットワーク」パネルで、 IPv4の設定方法が「 DHCP」に設定されていることを確認します。

この設定により、ネットワーク上のコンピュータを LDAPサーバまたはオープンディレクトリ・サーバ経由で管理することができ、コンピュータのすべてのネットワーク設定を DHCP から取得できます。それらのコンピュータは、同じネットワーク上の真に静的な IP アドレスや継続的に割り当てられる IP アドレスにアクセスできます。また、すべてのコンピュータクライアントの設定を集中管理できます。

教室用の設定教室用の設定はワークグループ用の設定とよく似ていますが、 DHCP を使用する別のサービス、つまり Netbootを追加します。 Netboot では、 DHCPを使用したネットワーク設定の集中管理に加えて、各クライアントコンピュータを中央の Netbootサーバ上のディスクイメージから起動することで、起動環境が標準化されます。

設定は 33 ページの「ワークグループ用の設定」の場合と似ていますが、次の点が異なります： • 静的アドレスのリソースがある場合もあり、ない場合もあります。もちろん、これは教室の構成によって決まります。クラス用のプリンタやファイルサーバがある

場合もありますが、カートを使って教室間を移動する場合でも、サーバやプリンタを各クラスに

持ち運ぶことはしません。

•

NetBootを有効にして設定し、 Netbootをサポートするようにファイアウォールを設定します。ネットワーク上のどのクライアントでも、 NetBoot サーバから起動するように設定できます。新しいコンピュータを展開する場合は、そのコンピュータの起動ディスクを NetBootイメージに設定できます。追加の設定は不要であり、ハード・ドライブは変更できないようにすることもでき

るため、コンピュータの用途を簡単に変更できます。

この設定により、ネットワーク上のコンピュータを LDAPサーバまたはオープンディレクトリ・サーバ経由で管理することができ、コンピュータのすべてのネットワーク設定を DHCP から取得できます。すべてのコンピュータクライアントのコンピューティング環境の設定を集中管理することもで

きます。新しいクライアントの追加や交換を最小限の労力で行うことができます。


コーヒーショップ用の設定「コーヒーショップ用の設定」と言っても、コーヒーショップだけを対象とするものではありません。

これは純粋に動的なアドレッシング環境向けの設定であり、ユーザ管理を行わず、 Web アクセス、 DNS アクセス、および必要な場合にその他のサービスをいくつか提供する以外はサービスを提供しません。この設定の特徴は、立ち寄ってインターネットにアクセスしては去ってゆく多数のモバイ

ルユーザにあります。この設定は、大学によく見られるワイヤレスネットワークや、コンサルタン

トの来訪用の有線接続された応接オフィスなど、現実の状況で簡単に利用できます。

この状況で DHCPを使用するには、次のものがすでにある必要があります： • 外部へ向かう Webアクセスのトラフィックおよび DNSルックアップのみを許可する、設定済みで稼働中のファイアウォール。このネットワークをファイアウォールの外部に配置して、 DHCP から割り当てられる IPアドレスのネットワークトラフィックを厳重に制御および管理できます。詳しくは、第 4 章「 IPファイアウォールサービス」を参照してください。

次のように DHCPサービスを設定できます： • ネットワーク設定を自動化します。可能なすべてのネットワーク設定を DHCP 経由で取得するように DHCPクライアントを設定します。

• クライアントが保持すべきでないオプションを設定しないようにします。組織に関する追加情報を LDAP 情報を利用して DHCP クライアントに提供しないようにします。 Windows クライアントに追加のネットワークオプションを提供することはできます。

詳しくは、 30 ページの「サブネットの WINSオプションを設定する」を参照してください。

• リソースの使用を制限します。ユーザが多くなると帯域幅の使用量が多くなるため、割り当てるアドレスの数を少なくすることで、同時に接続可能な DHCP クライアントの数を減らすことができます。

詳しくは、 27 ページの「 DHCP サービスでサブネットを作成する」を参照してください。

• アドレスの回転率を高い状態に保ちます。アドレスのリース期間をできるだけ短くします。これにより、ユーザがネットワークの利用を終了したときに、できるだけすばやくアドレスを再割り

当てできます。

詳しくは、 27 ページの「 DHCP サービスでサブネットを作成する」を参照してください。

• トラフィックを監視します。 DHCPの接続やクライアント、ファイアウォール・ルールのパケットログ記録、またはその他の監視ツールを注意深く監視できます。オープンになっているアクセス

ポイントは、注意深く保護していないと問題の原因になる場合があります。

警告：認証されていない一時ユーザを受け入れる場合は、 LAN上にある機密情報が別のネットワーク上にある追加のファイアウォールの背後で十分保護されていることを確認してください。


36

その他の情報 RFC（ Request for Comments）書類には、プロトコルやサービスの概要と、プロトコルの動作に関する詳しい情報が記載されています。サーバの管理を始めたばかりの方にとって、 RFC の背景情報は参考になるでしょう。経験豊富なサーバ管理者の場合、 RFC 書類によって、プロトコルに関する詳細な技術情報をすべて確認できます。 RFC書類は、次の Webサイトで番号で検索することができます： www.ietf.org/rfc.html

DHCPについて詳しくは、 RFC 2131を参照してください。

「 bootpd」およびその詳細な設定オプションについて詳しくは、「ターミナル」で次のように入力して「 bootpd」のマニュアルページを参照してください：

man bootpd


http://www.ietf.org/rfc.html

x-man-page://bootpd

3
3 DNSサービス
クライアントが Web サーバやファイルサーバなどのネットワークリソースに接続する場合、通常、 IP アドレス（ 192.168.12.12 など）ではなく、ドメイン名（ www.example.com など）を使用して、

リソースを要求します。 DNS（ Domain Name System）は、 IPアドレスをドメイン名にマッピングする分散データベースです。この機能により、クライアントは数字のアドレスではなく、名前によっ

てリソースを検索できます。

DNSサーバは、ドメイン名と、各ドメイン名に関連付けられている IPアドレスのリストを保持しています。コンピュータは、名前に対応する IPアドレスを検索する必要がある場合、 DNSサーバ（ネームサーバとも呼ばれます）にメッセージを送信します。ネームサーバでは IP アドレスを探し出し、コンピュータに送り返します。ネームサーバがローカルに IP アドレスを所有していない場合は、インターネット上の別のネームサーバにメッセージを送信します。この処理は、 IP アドレスが見つかるまで続きます。

DNS サーバの設定と管理の作業は複雑です。そのため、管理者の多くは、 ISP（インターネット・サービス・プロバイダ）が提供する DNSサービスを利用します。 ISPを利用する場合は、 ISPから提供されたネームサーバの IPアドレスを使用してネットワークを設定するだけで済みます。

ネットワークの DNS 要求の処理を ISPにまかせていない場合で、かつ次のいずれかに該当する場合は、 DNSサービスを設定する必要があります。 •

ISPまたはほかのソースから DNSが提供されていない場合。

• ネームスペースを頻繁に変更し、自分でネームスペースを管理する必要がある場合。 • ネットワーク上にメールサーバがあり、ドメインを管理する ISPとの調整が困難な場合。 • ネットワークのコンピュータ名およびアドレスを外部の組織（ご利用の ISP）に提供することに関して、セキュリティ上の懸念がある場合。

Mac OS X Server は、 BIND（ Berkeley Internet Name Domain 9.2.2）を使用して、 DNSプロトコルを実装します。 BINDは、オープンソースを実現しており、インターネットの大半のネームサーバで使われています。

37

38

DNSサービスを設定する前にこのセクションでは、ネットワークに DNSを設定する前に考慮する必要がある情報について説明します。 DNSの管理には数多くの複雑な問題が含まれます。 DNSの管理に関する豊富な経験がない場合、ネットワークに DNS を設定しないでください。

「 hostmaster」というメールエイリアスを作成する必要があります。このエイリアスはメールを受信し、サイトで DNSサーバを実行している担当者にメールを配信します。これにより、ユーザおよびその他の DNS 管理者が DNSの問題について、担当者に問い合わせることができます。

DNSと BIND独自の DNS サーバを設定する前に、 DNS について十分に理解する必要があります。 DNS に関する役に立つ情報源として、 Paul Albitz、 Cricket Liu 共著の「DNS and BIND」第 4 版（ O’Reilly andAssociates社発行、 2001年）があります。

複数のネームサーバを設定する少なくとも 1 台のプライマリネームサーバとセカンダリー・ネーム・サーバを設定する必要があります。こうしておくと、プライマリネームサーバが予期せず停止したときでも、セカンダリー・ネー

ム・サーバがユーザにサービスを提供し続けることができます。セカンダリー・ネーム・サーバは、

プライマリサーバから定期的にすべてのドメイン情報をコピーすることによって、必要な情報を取

得します。

ネームサーバが別のドメイン（提供するドメインの外側）のホストの名前／アドレスペアを取得す

ると、その情報はキャッシュされます。このようにして、後で使用するために、最近解決した名前

の IP アドレスが格納されるようになります。 DNS 情報は、通常、ネームサーバに設定された時間キャッシュされます。この時間は TTL（time-to-live）値と呼ばれます。ドメイン名と IPアドレスの組み合わせがキャッシュに保存されている時間が TTL 値を超えると、ネームサーバのキャッシュからエントリーが削除され、サーバは必要に応じてその情報を再度要求します。

DNSサービスをはじめて設定する外部 DNS ネームサーバを使用していて、その IPアドレスを「設定アシスタント」で入力した場合、ほかには何もする必要はありません。独自の DNSサーバを設定するときは、このセクションの手順に従ってください。

手順 1：ドメイン名を登録するドメイン名の登録は、集中管理組織である IANA（ Internet Assigned Numbers Authority）によって管理されています。 IANA に登録することによって、ドメイン名がインターネット上で一意であることが保証されます。（詳しくは、 www.iana.org を参照してください。）ドメイン名を登録しないと、ネットワークではインターネットを介して通信することができません。

第 3章 DNSサービス

ドメイン名を登録すると、そのドメイン内にサブドメインを作成できます。ただし、サブドメイン

名と IPアドレスを追跡する DNS サーバをネットワークに設定する必要があります。

たとえばドメイン名「 example.com」を登録すると、「 host1.example.com」、「 mail.example.com」、または「 www.example.com」のようなサブドメインを作成できます。サブドメイン内のサーバは、「 primary.www.example.com」または「 backup.www.example.com」のように名前をつけることができます。 example.comの DNSサーバは、ホスト（コンピュータ）名、静的 IPアドレス、エイリアス、メールエクスチェンジャなどのサブドメインの情報を追跡します。 ISPでユーザの DNSサービスを処理している場合は、サブドメインの追加など、ネームスペースに変更を加えたら、 ISPに連絡する必要があります。

特定のドメインで使用する IP アドレスの範囲は、設定する前に明確に定義されている必要があります。これらのアドレスは、特定のドメインで独占的に使用されます（別のドメインやサブドメイン

では使用されません）。アドレスの範囲は、ネットワーク管理者または ISPが調整します。

手順 2：学習し、計画するはじめて DNSを操作する場合は、 DNSの概念、ツール、および Mac OS X Server と BIND の機能について学習し、理解してください。 58ページの「その他の情報」を参照してください。

次に、 DNS（ Domain Name System）サービスを計画します。計画するときは、次の点を検討します： • ローカル DNSサーバが必要ですか？お使いの ISPで DNSサービスを提供していますか？代わりに、マルチキャスト DNS 名を使用できますか？

• 予想される負荷に対して何台のサーバが必要ですか？バックアップ用に何台のサーバが必要ですか？たとえば 2 番目や場合によっては 3番目のコンピュータを、バックアップ DNS サービスとして指定する必要があります。

• 認証されていない使用に対処するために、セキュリティ計画はどうなっていますか？ • データの整合性を検証するために、 DNSレコードを定期的に検査またはテストするスケジュールはどうなっていますか？

• 名前を必要とするサービスまたは装置（イントラネットの Webサイトやネットワークプリンタなど）はいくつありますか？

Mac OS X Serverで DNSサービスを設定するには、大きく分けて 2つの方法があります。 1つ目は、「サーバ管理」を使用して DNSサービスを設定する方法で、こちらを推奨します。詳しくは、 41 ページの「 DNS サービスを管理する」で手順を参照してください。

2 つ目は、 BIND 設定ファイルを編集する方法です。 BIND は、 DNS を実装するために Mac OS XServerで使用する一連のプログラムです。その 1 つにネームデーモン、つまり「named」があります。 BINDを設定するには、設定ファイルとゾーンファイルを変更する必要があります。

第 3章 DNSサービス 39

40

設定ファイルは次のファイルです：

/etc/named.conf

ゾーンファイル名は、ゾーン名に基づいています。たとえば、ゾーンファイル「 example.com」は、次のファイルになります。

/var/named/example.com.zone

named.confを編集して BINDを設定する場合は、 controls文の inetの設定を変更しないようにしてください。変更すると、「サーバ管理」が DNSの状況情報を取得できなくなります。

inetの設定は次のようになります：

controls {

inet 127.0.0.1 port 54 allow {any;}

keys { "rndc-key"; };

};

手順 3：基本的な DNS設定を行う詳しくは、 41 ページの「 DNSサービスを管理する」を参照してください。再帰またはゾーン転送を許可するかどうかを決定する必要があります。

手順 4： DNSゾーンを作成する「サーバ管理」を使用して、 DNSゾーンを設定します。詳しくは、 42 ページの「 DNSゾーンを管理する」を参照してください。プライマリゾーンを追加したら、「サーバ管理」では、 Source of Authority（ SOA、ルート権限局）と同じ名前の NS レコードを自動的に作成します。作成するそれぞれのゾーンについて、 Mac OS X Server では逆引き参照ゾーンを作成します。通常のルックアップではドメイン名を IPアドレスに変換しますが、逆引き参照ゾーンでは IPアドレスをドメイン名に変換します。

手順 5： DNSマシンレコードをゾーンに追加する「サーバ管理」を使用して、レコードをゾーンに追加します。静的 IPアドレスを持ち、名前を必要とするコンピュータまたは装置（プリンタ、ファイルサーバなど）のそれぞれに、アドレスレコード

を作成します。さまざまな DNSゾーンレコードが、 DNSマシンエントリーから作成されます。詳しくは、 46 ページの「 DNSマシンレコードを管理する」を参照してください。

手順 6： MX（ Mail Exchange）レコードを設定する（省略可能）インターネットを介してメールサービスを提供するときは、サーバに MX レコードを設定する必要があります。詳しくは、 53 ページの「 MXレコードを設定する」を参照してください。

手順 7： IPファイアウォールを設定するファイアウォールを設定して、 DNS サービスが攻撃から保護されていること、およびクライアントからアクセス可能であることを確認する必要があります。

IPファイアウォールの設定について詳しくは、第 4 章「 IPファイアウォールサービス」を参照してください。


手順 8： DNSサービスを開始する Mac OS X Server には、 DNS サービスを開始および停止するための単純なインターフェイスが用意されています。

詳しくは、 41 ページの「 DNSサービスを開始する／停止する」を参照してください。

DNSサービスを管理する Mac OS X Server には、 DNS サービスの開始と停止およびログと状況の表示を行うための単純なインターフェイスが用意されています。基本的な DNS 設定は、「サーバ管理」で設定できます。より高度な機能は、コマンドラインから BINDを設定する必要がありますが、ここでは説明しません。

DNSサービスを開始する／停止する次の手順に従って、 DNS サービスを開始または停止します。「サーバ管理」で DNSサービスに変更を加えたときは、必ず DNS サービスを再起動するようにしてください。

DNSサービスを開始または停止するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「 DNS」を選択します。

2 少なくとも 1つはゾーンとその逆引き参照ゾーンが作成されていて、完全に設定されていることを確認します。


サービスの開始（または停止）には少々時間がかかる場合があります。

ゾーン転送を使用可能にする／使用不可にするドメインネームシステムでは、ゾーンデータは信頼のおける DNS サーバ間で、「ゾーン転送」を使用して複製されます。セカンダリー DNSサーバ（「セカンダリー」）は、ゾーン転送を使用して、プライマリ DNS サーバ（「プライマリ」）からデータを取得します。ゾーン転送は、セカンダリー DNSサーバを使用できるようになっている必要があります。 .

ゾーン転送を使用可能または使用不可にするには： 1 「サーバ管理」の「コンピュータとサービス」リストで「 DNS」を選択します。



4 必要に応じて、「許可：ゾーン転送」を選択または選択解除します。


42

再帰を使用可能／使用不可にする再帰は、ドメイン名を IP アドレスに完全に解決するプロセスです。ユーザアプリケーションでこの機能を実行できるかどうかは、 DNS サーバに依存します。ユーザの要求を問い合わせるその他の DNSサーバでは、再帰を実行する必要はありません。

悪意のあるユーザがプライマリゾーンのレコードを変更したり（「キャッシュの汚染」）、 DNSサービスのサーバを不正に使用したりすることのないように、再帰を使用不可にできます。ただし、再帰を

停止すると、ユーザが DNSサービスを使用して、ゾーン外の名前をルックアップできなくなります。

再帰を使用不可にするのは、この DNSサーバを名前解決に使用するクライアントがなく、かつ転送に使用するサーバがない場合だけにしてください。

再帰を使用可能または使用不可にするには： 1 「サーバ管理」の「コンピュータとサービス」リストで「 DNS」を選択します。



4 必要に応じて、「再帰」を選択または選択解除します。

「再帰」を選択すると、再帰が使用可能になります。「再帰」を選択解除すると、再帰が使用不可に

なります。

再帰を使用可能にする場合は、外部の IP アドレスに対しては使用不可にし、 LANの IP アドレスに対しては使用可能にすることを検討してください。これは、 BINDの named.confファイルを編集して実現します。詳しくは、 BINDのマニュアルを参照してください。

DNSゾーンを管理するゾーンとは、ドメインネームシステムの基本的な組織単位です。ゾーンにはレコードが含まれ、そ

れらのレコードの取得方法や、 DNS 要求に対する応答方法が定義されています。通常、ゾーンの基本的な種類は 3つあります（ほかにも何種類かありますが、ここでは説明しません）：

プライマリプライマリゾーンには、ゾーンのレコードのマスターコピーがあります。また、ルックアップ要求

に対して信頼のある応答をします。

セカンダリーセカンダリーゾーンは、セカンダリーネームサーバに格納されているプライマリゾーンのコピーで

す。各セカンダリーゾーンには、プライマリゾーン内のレコードのアップデートを受信するときに

問い合わせるプライマリサーバのリストが保持されています。セカンダリーは、プライマリゾーン

のデータのコピーを要求するように設定する必要があります。セカンダリーゾーンでは、ゾーン転

送を使用して、プライマリゾーンのデータのコピーを取得します。セカンダリーネームサーバでは、

プライマリサーバと同様にルックアップ要求を処理できます。 1つのプライマリにリンクされた複数のセカンダリーゾーンを使用することで、 DNS クエリーの負荷を複数のコンピュータに分散でき、プライマリネームサーバに障害が起きても、ルックアップ要求に応答できるようになります。


セカンダリーゾーンには、リフレッシュ間隔もあります。リフレッシュ間隔では、セカンダリーゾー

ンがプライマリゾーンからの変更をチェックする頻度を決定します。ゾーンのリフレッシュ間隔は、 BINDの設定ファイルを使用して変更できます。詳しくは、 BINDのマニュアルを参照してください。

フォワードフォワードゾーンでは、そのゾーンに対するすべてのルックアップ要求をほかの DNSサーバに転送します。フォワードゾーンでは、ゾーン転送を実行できません。フォワードゾーンは、ファイア

ウォールの背後にあるプライベートネットワークに DNSサービスを提供するためによく使用されます。この場合、 DNSサーバはインターネットと、ファイアウォールの外部にある DNSサーバにアクセスできる必要があります。最後に、フォワードゾーンは、転送したクエリーに対する応答をキャッ

シュします。これにより、フォワードゾーンを使用するクライアントによるルックアップのパフォー

マンスが向上します。

「サーバ管理」は、フォワードゾーンの作成や変更をサポートしていません。フォワードゾーンを作

成するには、コマンドラインで BINDを手動で設定する必要があります。詳しくは、 BINDのマニュアルを参照してください。

プライマリゾーンを追加するプライマリゾーンにはゾーンのレコードのマスターコピーがあります。また、ルックアップ要求に

対して信頼のある応答をします。プライマリゾーンを追加したら、「サーバ管理」では、 Source ofAuthority（ SOA、ルート権限局）と同じ名前の NS レコードを自動的に作成します。

プライマリゾーンを追加するには： 1 「サーバ管理」の「コンピュータとサービス」リストで「 DNS」を選択します。


3 「ゾーン」タブを選びます。

4 「ゾーン」リストの下にある追加（＋）ボタンをクリックします。

5 ゾーン名を入力します。

ゾーン名とは、ドメイン名のことです。

6 ドメインの SOAのホスト名を入力します。

このコンピュータがドメインの信頼のあるネームサーバになる場合は、コンピュータのホスト名を

入力します。たとえば「 ns.example.com.」のようになります。

7 ゾーンサーバの IPアドレスを入力します。

8 ゾーン管理者のメールアドレスを入力します。

9 ゾーンが有効な時間を入力します。

これがゾーンの TTL（ Time to Live）になります。これにより、信頼のあるサーバにクエリーを再実行する前にクエリーの応答情報をリモート DNSシステム内にキャッシュしたままにできる期間が決まります。



44

セカンダリーゾーンを追加するセカンダリーゾーンは、セカンダリーネームサーバに格納されているプライマリゾーンのコピーで

す。各セカンダリーゾーンには、プライマリゾーン内のレコードのアップデートを受信するときに

問い合わせるプライマリサーバのリストが保持されています。セカンダリーは、プライマリゾーン

のデータのコピーを要求するように設定する必要があります。セカンダリーゾーンでは、ゾーン転

送を使用して、プライマリゾーンのデータのコピーを取得します。セカンダリーネームサーバでは、

プライマリサーバと同様にルックアップ要求を処理できます。

セカンダリーゾーンを追加するには： 1 「サーバ管理」の「コンピュータとサービス」リストで「 DNS」を選択します。


3 「セカンダリーゾーン」タブを選択します。

4 「ゾーン」リストの下にある追加（＋）ボタンをクリックします。

5 ゾーン名を入力します。

これは、セカンダリーサーバの完全修飾ドメイン名です。


7 このセカンダリーゾーンのプライマリサーバの IPアドレスを入力します。



ゾーンを複製する既存のゾーンのコピーを同一コンピュータに作成できます。これを使って、単一の物理 LANの複数のゾーンまたは複数のドメイン名の設定をでスピードアップきます。

ゾーンを複製するには： 1 「サーバ管理」の「コンピュータとサービス」リストで「 DNS」を選択します。



4 「ゾーン」リストの下にある複製ボタンをクリックします。

5 必要に応じて、新しく複製したゾーンをダブルクリックしてゾーン情報を変更します。



ゾーンを変更するこのセクションでは、ゾーンのタイプや設定の変更について説明しますが、ゾーン内のレコードの

変更については説明しません。ゾーンの管理者アドレス、タイプ、またはドメイン名を変更しなけ

ればならない場合があります。

ゾーンを変更するには： 1 「サーバ管理」の「コンピュータとサービス」リストで「 DNS」を選択します。



4 「ゾーン」リストの下にある編集（ /）ボタンをクリックします。

5 必要に応じてゾーンの名前、タイプ、または管理者のメールアドレスを変更します。

ゾーンタイプについて詳しくは、 42 ページの「 DNSゾーンを管理する」を参照してください。

6 「 OK」をクリックし、「保存」をクリックします。

ゾーンを削除するこのセクションでは、既存のゾーンを削除する方法を説明します。ゾーンと、ゾーンに関連付けら

れたすべてのレコードを削除します。

ゾーンを削除するには： 1 「サーバ管理」の「コンピュータとサービス」リストで「 DNS」を選択します。



4 削除するゾーンを選択します。

5 「ゾーン」リストの下にある取り除く（－）ボタンをクリックします。


既存のゾーンファイルを使用する別のプラットフォームの DNSサーバの BINDゾーンファイルがすでにある場合があります。すべての情報を「サーバ管理」に手入力する代わりに、そのゾーンファイルを直接 Mac OS X Server で使用できます。

既存のゾーンファイルを使用するには、 BIND設定ファイル（「 /etc/named.conf」）に対するルートアクセス権、作業用のゾーンディレクトリ（「 /var/named/」）、 BIND 9 の基本的な知識、および「ターミナル」アプリケーションの使用経験が必要です。これらの条件を満たしていない場合は、

「サーバ管理」の DNS ツールを使用することを強くお勧めします。


46

ゾーンファイルを読み込むには： 1 ゾーンディレクティブを BINDの設定ファイル「 /etc/named.conf」に追加します。

named.confを編集するには、ルートアクセス権が必要です。

作業用のゾーンディレクトリ「 /var/named/」内のゾーンファイル「 db.xyz.com」に記述されているゾーン「 xyz.com」の場合、ディレクティブは次のようになります：

zone "xyz.com" IN { // Forward lookup zone for xyz.com

type master; // It’s a primary zone

file "db.xyz.com"; // Zone info stored in /var/named/db.xyz.com

allow-update { none; };

};

2 ゾーンファイルが作業用のゾーンディレクトリ（「 /var/named/」）に追加されていることを確認します。

3 「サーバ管理」を使用して、 DNSサービスを再起動します。

DNSマシンレコードを管理するそれぞれのゾーンには、多くのレコードが含まれています。クライアントコンピュータでドメイン

名（ www.example.com）を IPアドレスに変換するときに、これらのレコードが要求されます。 Webブラウザ、メールクライアント、およびその他のネットワークアプリケーションでは、ゾーンのレ

コードを信頼して、適切なサーバに問い合わせます。プライマリゾーンのレコードはインターネッ

トを通じて問い合わされるため、ネットワークアプリケーションはネットワークサービスに接続で

きます。 DNS レコードにはタイプがいくつかあります。「サーバ管理」のユーザインターフェイスで使用可能なレコードは、次の通りです： • A（アドレス）：ドメイン名に関連付けられた IP アドレスを格納します。 • CNAME（Canonical Name）：サーバの「実際の名前」と関連のあるエイリアスを格納します。たとえば、 mail.apple.com は、 MailSrv473.apple.com という正規の名前を持つコンピュータの

エイリアスです。 • MX（メールエクスチェンジャ）：ゾーン内でメールに使用されるコンピュータのドメイン名を格納します。

• NS（ネームサーバ）：特定のゾーンを認証するネームサーバを格納します。 • PTR（ポインタ）：特定の IPアドレスのドメイン名を格納します（逆引き参照）。 • TXT（テキスト）：テキスト文字列を DNS クエリーの応答として保管します。 • SRV（サービス）：コンピュータが提供するサービスに関する情報を保管します。 • HINFO（ハードウェア情報）：コンピュータのハードウェアおよびソフトウェアに関する情報を保管します。

その他のタイプのレコードにアクセスする必要がある場合は、 BINDの設定ファイルを手動で編集する必要があります。詳しくは、 BINDのマニュアルを参照してください。

Mac OS X Server では、レコード自体ではなく、ゾーンに追加されるコンピュータに焦点を合わせることで、これらすべてのレコードの作成が簡単になります。コンピュータレコードをゾーンに追

加すると、 Mac OS X Server により適切なゾーンレコードがすべて作成され、それらが特定のコンピュータアドレスに解決されます。


このモデルでは、コンピュータの機能に適用されるレコードタイプではなく、ドメイン内でコン

ピュータが実行する内容に焦点を合わせることができます。

マシンレコードを DNSゾーンに追加する DNS プライマリゾーンが担当する各コンピュータについて、レコードを追加する必要があります。このゾーンが制御できないコンピュータについて、レコードを追加しないでください。マシンレコー

ドは、その IPアドレスに関連付けられています。これにより、ゾーン内で重複する IPアドレスは指定できないため、 IPアドレスごとにマシンを 1台だけ割り当てることができます。

DNSマシンレコードを追加するには： 1 「サーバ管理」の「コンピュータとサービス」リストで「 DNS」を選択します。



4 このレコードを追加するゾーンを選択します。

5 ゾーンリストの下にある編集（ /）ボタンをクリックします。

6 「コンピュータ」タブを選択します。

7 コンピュータリストの下にある追加（＋）ボタンをクリックします。

8 コンピュータの IPアドレスを入力します。

9 コンピュータのホスト名を入力します。

このフィールドに基づいて、コンピュータの A レコードが有効になります。逆引き参照ポインタレコードは、このコンピュータ用に自動作成されます。

ホスト名の下に表示される名前が、このコンピュータの完全修飾ドメイン名になります。

10 このコンピュータに別名を追加する場合は、「エイリアス」ボックスのそばにある追加（＋）ボタン

をクリックします。

このフィールドに基づいて、コンピュータの CNAME レコードが有効になります。逆引き参照ポインタレコードは、このコンピュータ用に自動作成されます。

エイリアスは必要な数だけ追加できます。

11 コンピュータがゾーンのメールサーバである場合は、該当するボックスにチェックマークを付け

ます。

このフィールドに基づいて、コンピュータの MXレコードが有効になります。

このボックスにチェックマークを付ける場合は、メールサーバの優先番号を設定します。番号の小

さいメールサーバからメールが配信されます。詳しくは、 53 ページの「 MX レコードを設定する」を参照してください。

12 コンピュータのハードウェアとソフトウェアに関する情報を該当するボックスに入力します。

このフィールドに基づいて、コンピュータの HINFOレコードが有効になります。

13 「コメント」ボックスに、コンピュータに関するコメントを入力します。


48

このフィールドに基づいて、コンピュータの TXTレコードが有効になります。

コメントボックスには、ほとんどの 7ビットの ASCIIテキスト文字列を保管できます（ ASCII文字で最大 255）。たとえば、コンピュータの物理的な場所（ 2 階のサーバ室 Bなど）やコンピュータの所有者（ Johnのコンピュータなど）を含めて、コンピュータについて記録しておきたい情報を入力できます。

14 「 OK」をクリックし、「保存」をクリックします。

DNSゾーン内のマシンレコードを変更するドメインのネームスペースを頻繁に変更する場合は、ネームスペースの変更に合わせて DNSレコードを更新する必要があります。ハードウェアをアップグレードしたり、ドメイン名を追加したりす

ると、 DNS レコードの更新も必要になることがあります。

レコードを複製してから編集して、設定に要する時間を短縮することもできます。

レコードを変更するには： 1 「サーバ管理」の「コンピュータとサービス」リストで「 DNS」を選択します。



4 編集するコンピュータレコードがあるゾーンを選択します。



7 編集するレコードを選択します。

8 コンピュータリストの下にある編集（ /）ボタンをクリックします。

9 必要に応じてレコードを変更します。


DNSゾーンからマシンレコードを削除するコンピュータとドメイン名や有効なアドレスとの関連付けが解除された場合は常に、レコードを削

除する必要があります。

レコードを削除するには： 1 「サーバ管理」の「コンピュータとサービス」リストで「 DNS」を選択します。



4 削除対象のレコードを含むゾーンを選択します。




7 削除するレコードを選択します。

8 「レコード」リストの下にある取り除く（－）ボタンをクリックします。


DNSを監視する DNSの状況を監視すると、名前解決の問題の解決、 DNSサービスを使用する頻度のチェック、または認証を受けていない悪意のある DNSサービスの使用のチェックも行うことができます。このセクションでは、 DNS サービスの一般的な監視作業について説明します。

DNSサービスの状況を表示する「 DNSのステータス」ウインドウをチェックすると、次のことを確認できます： • サービスが実行中かどうか • 実行中の BIND（ DNSの基になるソフトウェア）のバージョン • サービスの開始時間および停止時間 • 割り当て済みのゾーンの数 • ログが有効かどうか

DNSサービスの状況を表示するには： 1 「サーバ管理」の「コンピュータとサービス」リストで「 DNS」を選択します。

2 「概要」ボタンをクリックして、一般的な DNSサービス情報を表示します。

DNSログエントリーを表示する DNSサービスは、システムログ内に、エラーや警告メッセージのエントリーを作成します。ログは、 named.log で確認できます。テキスト・フィルタ・ボックスを使用して、ルールをさらにフィルタリングできます。

DNSログエントリーを表示するには： 1 「サーバ管理」の「コンピュータとサービス」リストで「 DNS」を選択します。


3 フィルタフィールドを使用して、ログエントリーの表示をさらに絞り込みます。

DNSログの詳細レベルを変更する DNSサービスログの詳細レベルを変更できます。デバッグのために非常に詳細なログを作成したり、重要な警告だけを表示するように簡潔なログを作成することができます。

ログの詳細レベルを変更するには： 1 「サーバ管理」の「コンピュータとサービス」リストで「 DNS」を選択します。




50

4 「ログのレベル」ポップアップメニューから詳細レベルを選択します。

選択できるログレベルは次の通りです： • 重大（簡易） • エラー • 警告 • 通知 • 情報 • デバッグ（詳細）

DNSログファイルの場所を変更する DNS サービスログの場所を変更できます。ログは、デフォルトパス以外のほかの場所におくことができます。

ログの詳細レベルを変更するには： 1 「サーバ管理」の「コンピュータとサービス」リストで「 DNS」を選択します。



4

DNS サービスログのファイルパスとして、希望するパスを入力するか、ブラウズボタンを使用してパスを選択します。

パスを入力しない場合のデフォルトパスは「 /ライブラリ /Logs/named.log」です。

DNSサーバを保護する DNS サーバは、ほかの正当なインターネットサーバ同様に、悪意のあるコンピュータユーザ（一般に「ハッカー」と呼ばれます）の標的となります。 DNS サーバに想定される攻撃にはさまざまな種類があります。警戒を深めることで、悪意のあるユーザによる問題やダウンタイムをなくすことが

できます。 DNS サービスに関連するセキュリティハックには、さまざまな種類があります。 •

DNSスプーフィング

• サーバマイニング •

DNSサービスのプロファイリング

•

DoS（サービス拒否） • サービスのピギーバック

DNSスプーフィング DNSスプーフィングは、 DNSサーバのキャッシュに誤ったデータを追加します。これにより、ハッカーは次のようなことが可能になります： • 実際のドメイン名の問い合わせを別の IPアドレスにリダイレクトする。たとえばある銀行に対する偽の Aレコードで、ハッカーが制御する実際とは異なる IPアドレスをコンピュータユーザのブラウザに示します。複製された Webサイトにユーザはだまされ、自分の銀行口座番号およびパスワードをハッカーに知らせてしまいます。


また、偽のメールレコードを利用すると、ハッカーはそのドメインに対して送受信されるメール

を傍受することができてしまいます。さらにハッカーがそのメールをコピーしてから正しいメー

ルサーバに転送すると、決して検知されることなく実行できてしまいます。

• 正しいドメイン名解決とインターネットへのアクセスを妨げる。これは最も害のない DNS なりすまし攻撃です。単に DNSサーバが不調に見えるだけです。

このような攻撃から守るために一番効率の良い方法は、警戒を怠らないことです。これには、最新

のソフトウェアを保守することや、 DNSレコードを定期的に監査することも含まれます。現在のバージョンの BIND に悪用が見つかると、パッチが適用され、 Mac OS X Server のセキュリティアップデートが使用できるようになります。そのようなセキュリティパッチをすべて適用してください。 DNSレコードを定期的に監査することは、これらの攻撃から守るのに役立ちます。

サーバマイニングサーバマイニングは、ゾーン転送に要求して完全なプライマリゾーンをコピーしようとすることで

す。この場合、ハッカーは別のプライマリゾーンに対するセカンダリーゾーンになりすまし、すべ

てのプライマリゾーンのレコードのコピーを要求します。

プライマリゾーンがコピーされると、ドメインで提供しているサービスの種類や、提供しているサー

バの IP アドレスが分かってしまいます。そこでハッカーはそれらのサービスを基に、特定の攻撃を仕掛けることができます。サーバマイニングは、別の攻撃の前の調査として行われます。

この攻撃から守るには、ゾーン転送を要求できる（セカンダリーゾーンサーバの） IP アドレスを指定し、それ以外はすべて許可しないようにする必要があります。ゾーン転送は TCPのポート 53で行われます。ゾーン転送を制限する方法は、セカンダリー DNSサーバ以外のだれからも、ゾーン転送の要求をブロックすることです。

ゾーン転送の IPアドレスを指定するには：

m ファイアウォール内の IPアドレスだけが TCPポート 53にアクセスするようなファイアウォールフィルタを作成します。

第 4 章「 IPファイアウォールサービス」の「詳細な IP ファイアウォール・ルールを作成する」の指示に従います。次の設定を使用します： • パケットを許可する。 • ポート 53。 •

TCPプロトコル。

•「ソース IP」は、セカンダリー DNS サーバの IP アドレスである。 •「宛先 IP」は、プライマリ DNS サーバの IP アドレスである。


52

DNSサービスのプロファイリング悪意のあるユーザが使用する別の一般的な調査技術に、 DNS サービスをプロファイルする方法があります。まず、ハッカーは BIND バージョン要求を行います。サーバは実行している BIND のバージョンを報告します。次にハッカーは、既知の悪用に対する応答と、そのバージョンの BINDの脆弱性とを比較します。

この攻撃から守るには、本来とは異なる応答を返すように BINDを設定します。

BINDのバージョンによる応答を変更するには： 1 コマンドラインのテキストエディタ（ vi、 emacs、 picoなど）を起動します。

2 編集するために named.confを開きます。

3 次の内容を、設定ファイルのオプションを定義するブラケット内に追加します。

version "[your text, maybe ‘we're not telling!’]";

4 設定ファイルを保存します。

DoS（サービス拒否）とても一般的で、実行されやすい攻撃です。ハッカーは多くのサービス要求やクエリーを送信し、

サーバはその処理能力とネットワーク帯域幅のすべてを使用して、応答しようとします。高負荷を

かけることで、サービスを正当に使用できなくします。

この攻撃は開始前に防ぐことは困難です。 DNSサービスやサーバの負荷を継続して監視することで、管理者は攻撃を早期に発見し、被害の影響を抑えることができます。

この攻撃から守る一番簡単な方法は、攻撃している IP アドレスをファイアウォールでブロックすることです。 70 ページの「詳細な IPファイアウォール・ルールを作成する」を参照してください。残念なことにこの攻撃はすでに進行中であり、ハッカーによるクエリーは応答され、アクティビティ

はログに記録されています。

サービスのピギーバックこの攻撃は、悪意のある侵入者ではなく、一般のインターネットユーザが行ってしまうことがあり

ます。ユーザの利用する ISPの DNS応答時間が、遅すぎると感じることがあります。そのようなときに、ほかのユーザからこの方法を教わるのです。インターネットユーザは、利用している ISP の DNS サーバの代わりに、別の DNS サーバを問い合わせるように、自分のコンピュータを設定します。こうして、計画されたよりも多くのユーザが、その DNSサーバにアクセスすることになります。

この攻撃から守るには、 DNS再帰を制限するか使用不可にします。 DNSサービスを自分の LANユーザに提供する場合、 LAN ユーザはドメイン名の解決に再帰が必要ですが、インターネットユーザにはこのサービスを提供しません。

再帰を完全に防ぐときは、 42 ページの「再帰を使用可能／使用不可にする」を参照してください。


最も一般的なのは、ユーザが使用する範囲の IP アドレスからの要求では再帰を許可し、範囲外のアドレスには再帰を拒否するようにすることです。 BINDを使用すると、設定ファイル named.confで、このように指定できます。 named.confファイルを編集して、以下の内容を含めます：

options {

...

allow-recursion{

127.0.0.0/8;

[your internal IP range of addresses, like 192.168.1.0/27];

};

};

詳しくは、 BINDのマニュアルを参照してください。

DNSサービスを使用する一般的なネットワーク管理作業以下のセクションでは、 DNS サービスを必要とする一般的なネットワーク管理作業をいくつか説明します。

MXレコードを設定するネットワークでメールサービスを提供する予定がある場合は、受信メールがネットワークの適切な

メールホストに送信されるように DNSを設定する必要があります。メールサービスを設定するときは、「メールエクスチェンジャ」または「MX ホスト」と呼ばれる一連のホストを、優先順位を指定

して定義します。優先順位の一番高いホストが最初にメールを受信します。このホストを利用でき

ない場合は、次の優先順位のホストがメールを受信し、そのホストが利用できなければさらに次の

優先順位のホストというように続きます。

たとえば、メールサーバのホスト名が「 reliable」で、「 example.com」ドメインにあるとします。 MXレコードがない場合、ユーザのメールアドレスにはメールサーバコンピュータの名前が含まれます。したがって、次のようになります：

[email protected]

メールサーバを変更する場合やメールをリダイレクトする場合は、メールを送信してくる可能性があ

るすべてのユーザに、新しいアドレスを通知する必要があります。これに対して、メールサーバで

処理するドメインごとに MXレコードを作成すると、メールを正しいコンピュータに送信できます。


54

MXレコードを設定する場合は、ドメインでメールを受信できるすべてのコンピュータのリストを含める必要があります。これによって、サーバにアクセスが集中している場合や、サーバが停止して

いる場合は、リストの別のコンピュータにメールが送信されます。リストの各コンピュータには、優

先順位（優先番号）が割り当てられます。一番小さな番号が割り当てられたコンピュータに、最初

にメールの送信が試行されます。そのコンピュータを使用できない場合は、次に小さな番号を持つ

コンピュータへ試行されます。コンピュータが使用できる場合は、コンピュータがメールを保持し、

メインのメールサーバが使用可能になった時点で、サーバにメールを送信します。そして、そのサー

バがメールを配信します。以下に、リストの例を示します。

example.com

10 reliable.example.com20 our-backup.example.com30 last-resort.example.com

MXレコードは、送信メールにも使用されます。メールサーバは、メールを送信するときに、 MXレコードを参照して、送信先がローカルまたはインターネット上の別の場所のどちらであるかを確認

します。次に、同じ処理が逆の順序で行われます。送信先のメインサーバを利用できない場合、メー

ルサーバは、メールを受信するコンピュータを見つけるまで、その送信先の MX レコードリストにあるすべてのコンピュータにメールの送信を試行します。

参考： DNS サーバに MX情報を正しく入力しないと、メールは機能しません。

DNSをメールサービスに設定するメールサービス用に DNS を設定すると、メールサーバの DNS内に MX（ Mail Exchange）レコードが作成されます。利用している ISP（インターネット・サービス・プロバイダ）が DNS サービスを提供している場合は、 ISP に問い合わせて、 MX レコードの設定を依頼してください。独自の DNSサービスを提供している場合は、次の手順に従うだけで設定できます。

冗長性を確保するために、複数のメールサーバを設定する必要がある場合があります。その場合、各

補助サーバの MX レコードを作成する必要があります。

メールサーバの MXレコードを有効にするには： 1 「サーバ管理」の「コンピュータとサービス」リストで「 DNS」を選択します。



4 このレコードを追加するゾーンを選択します。



7 コンピュータリストの下にある追加（＋）ボタンをクリックします。

8 コンピュータの IPアドレスを入力します。


9 コンピュータのホスト名を入力します。

このフィールドに基づいて、コンピュータの CNAME および最初の A レコードが有効になります。逆引き参照ポインタレコードは、このコンピュータ用に自動作成されます。

ホスト名の下に表示される名前が、このコンピュータの完全修飾ドメイン名になります。

10 このコンピュータの別名を追加する場合は、「エイリアス」ボックスのそばにある追加（＋）ボタン

をクリックします。

このフィールドに基づいて、コンピュータの追加の A レコードが有効になります。逆引き参照ポインタレコードは、このコンピュータ用に自動作成されます。

エイリアスは必要な数だけ追加できます。

11 メールサーバの「このコンピュータをゾーンのメールサーバにする」ボックスにチェックマークを

付けます。

このフィールドに基づいて、コンピュータの MXレコードが有効になります。

12 メールサーバの優先番号を入力します。

番号の小さいメールサーバからメールが配信されます。

13 コンピュータのハードウェアとソフトウェアに関する情報を該当するボックスに入力します。

このフィールドに基づいて、コンピュータの HINFOレコードが有効になります。

14 「コメント」ボックスに、コンピュータに関するコメントを入力します。

このフィールドに基づいて、コンピュータの TXTレコードが有効になります。

「コメント」ボックスに入力する文字列には、ほとんど制限はありません。たとえば、コンピュータ

の物理的な場所（ 2階のサーバ室 Bなど）やコンピュータの所有者（ Johnのコンピュータなど）を含めて、コンピュータについて記録しておきたい情報を入力できます。


16 メールサーバごとに手順 7～ 15を繰り返して、各メールサーバが個別の優先番号を保持するようにします。


NATゲートウェイの背後にあるネームスペースを設定する NAT（ Network Address Translation）ゲートウェイの背後にいる場合は、 NAT環境内部でのみ使用できる、 IPアドレスの特殊な組があります。ドメイン名を NATゲートウェイの外側のアドレスに割り当てると、ドメイン名は正しいコンピュータに解決されません。 NATについて詳しくは、 87ページの第 5 章「 NATサービス」を参照してください。


56

ただし、ゲートウェイの背後でも DNSサービスを実行して、ホスト名を NAT の IPアドレスに割り当てることができます。この方法では、 NAT ゲートウェイの背後にいる場合、 IP アドレスではなくドメイン名を入力して、サーバ、サービス、およびワークステーションにアクセスできます。 DNSサーバではフォワードゾーンで DNS 要求を NATゲートウェイの外部に送信できるようにして、ルートしたエリアの外部の名前を解決できるようにする必要があります。クライアントのネットワーク

設定では、 NATゲートウェイの背後にある DNSサーバを指定する必要があります。このようなネットワークを設定するプロセスは、プライベートネットワークの設定と同じです。詳しくは、 93 ページの「 1つの IPアドレスを使って LAN をインターネットに接続する」を参照してください。

このようにする場合、 NAT ゲートウェイの外部のユーザが入力した名前は、 NAT ゲートウェイの背後のアドレスに解決されません。 NATルーティングされるエリアの外部の DNSレコードが NATゲートウェイを指すように設定し、かつ NATポート転送を使用して、 NATゲートウェイ背後のコンピュータにアクセスするようにする必要があります。ポート転送について詳しくは、 90 ページの「ポート転送を設定する」を参照してください。

Mac OS X のマルチキャスト DNS 機能では、 DNS を使用せずに、末尾が「 .local」で終わるローカルサブネットでホスト名を使用できます。マルチキャスト DNSをサポートするあらゆるサービスや装置では、 DNS を設定しなくても、ローカルサブネットでユーザ定義のネームスペースを使用できます。

ネットワーク負荷分散（ラウンドロビン） BINDでは、ラウンドロビンと呼ばれるアドレスのシャッフル方式を使用して、単純な負荷分散を実行できます。同じ内容がミラーリングされた複数のホストの IPアドレスのプールを設定し、 BINDが問い合わせに答えるときに、これらのアドレスを順に循環します。ラウンドロビンには、サーバの

負荷や処理能力を監視する機能はありません。単純に特定のホスト名に対するアドレスリストを順

に循環するだけです。

ラウンドロビンを有効にするには、特定のホスト名に複数の IP アドレスエントリーを追加します。たとえば、同じ内容がミラーリングされたネットワークの 3台のサーバに Webサーバのトラフィックを分散するとします。サーバの IPアドレスは 192.168.12.12、 192.168.12.13、および 192.168.12.14です。 3つの IPアドレスを持つ 3 つのマシンレコードを追加します。それぞれのドメイン名は同一にします。

1 つのホストに対して複数のエントリーを検出した場合、デフォルトでは、 DNS サービスはこのリストを循環して順番に送信することによって問い合わせに応答します。最初の要求は、 A、 B、 C の順序でアドレスを取得します。次の要求は、 B、 C、 A の順序でアドレスを取得し、その次の要求は C、 A、 Bというように続きます。ゾーンの TTL（ Time-to-Live）の数値にかなり短い値を設定することで、ローカルキャッシュの効果を抑えることもできます。

プライベートな TCP/IPネットワークを設定するローカル・エリア・ネットワークをインターネットに接続する場合は、インターネットで一意の IPアドレスとその他の情報を使って、サーバとクライアントコンピュータを設定する必要があります。 IPアドレスは ISP（インターネット・サービス・プロバイダ）から取得します。


ローカル・エリア・ネットワークをインターネットに接続しなくても、ネットワークで情報を転送

するプロトコルとして TCP/IP を使用する場合があります。そのような場合は、「プライベート」な TCP/IPネットワークを設定できます。プライベートネットワークを設定するときは、 IANA（ InternetAssigned Numbers Authority）がプライベートイントラネット用に確保している次の IP アドレスのブロックから、 IPアドレスを選択します： •

10.0.0.0～ 10.255.255.255（ 10/8プレフィクス）

•

172.16.0.0～ 172.31.255.255（ 172.16/12プレフィクス） •

192.168.0.0～ 192.168.255.255（ 192.168/16プレフィクス）

重要：将来インターネットに接続する可能性がある場合は、プライベートネットワークを設定するときに、インターネットレジストリに登録し、レジストリから提供される IP アドレスを使用するようにしてください。これを行わないと、インターネットに接続するときに、ネットワークのすべて

のコンピュータを再設定する必要が生じます。

プライベートな TCP/IPネットワークを設定する場合は、 DNSサービスを提供することもできます。ローカル・エリア・ネットワークに TCP/IPと DNSを設定すると、ユーザがファイルサービス、 Webサービス、メールサービスなどのネットワークのサービスに、簡単にアクセスできます。

1つの IPアドレスで複数のインターネットサービスをホストする 1台のサーバに、すべてのインターネットサービス（メールや Webなど）を提供させることができます。これらのサービスは、 1つの IPアドレスを持つ、 1台のコンピュータですべて実行できます。たとえばドメイン名 www.example.comを、 ftp.example.comや mail.example.comと同じ IPアドレスに解決することができます。サービスにアクセスする側からは複数のサーバが存在するよう

に見えますが、実際には 1つの IPアドレスに 1台のサーバだけが存在します。

このサービスの DNS レコードは簡単に設定できます。マシンの DNS レコードにエイリアスを追加するだけです。これらのサービスの DNS名を設定しても、サービスを有効にしたり設定したことにはなりません。提供する各サービスの名前を覚えやすくするだけです。これにより、各サービスの

クライアントソフトウェアの設定が簡単になります。

たとえば、表示するすべてのサービスで次の設定を行います： •

mail.example.comを作成します。これはメールクライアントに入力します。「コンピュータ」パネルの「メールサーバ」ボックスにチェックマークが付いていることを確認し

ます。

•

www.example.comを作成します。これは Webブラウザに入力します。 •「 Finder」の Appleファイル共有で使用する afp.example.comを作成します。 •

ftp.example.comを作成します。これは ftpクライアントに入力します。

拡張する必要が生じたら、別のコンピュータをネットワークに追加して、これらのサービスを引き

継がせることができます。後は、マシンの DNSレコードからエイリアスを削除して、新しいマシンのレコードを新たに作成するだけです。これで、クライアントの設定を変更せずにそのままにして

おくことができます。


58

同一のサーバで複数のドメインを管理する 1 台のサーバで、複数の異なるドメイン名について、すべてのインターネットサービス（メールや Webなど）を提供することができます。たとえば、ドメイン名 www.example.comを、 www.example.orgと同じ IP アドレスに解決することが必要な場合があります。ドメインにアクセスする側からは複数のサーバが存在するように見えますが、実際には 1 つの IP アドレスに 1 台のサーバだけが存在します。

このサービスの DNS レコードは簡単に設定できます。メインサーバのマシン DNS レコードのパネルに、ほかのドメイン名のエイリアスを追加するだけです。これらのサービスの DNS名を設定しても、これらのドメイン名のサービスを有効にしたり設定したことにはなりません。これは、メール

サービスや Webサービスの仮想ドメイン管理に関連して使用されます。

その他の情報 DNSおよび BINDに関する詳しい情報は、次を参照してください： •「DNS and BIND」第 4版、 Paul Albitz、 Cricket Liu共著（ O’Reilly and Associates社発行、 2001年） •

International Software Consortiumの Web サイト： www.isc.orgおよび www.isc.org/products/BIND/

•

DNS Resources Directory： www.dns.net/dnsrd/

Request For Comments書類 RFC（ Request for Comments）書類には、プロトコルやサービスの概要と、プロトコルの動作に関する詳しい情報が記載されています。サーバの管理を始めたばかりの方にとって、 RFC の背景情報は参考になるでしょう。経験豊富なサーバ管理者の場合、 RFC 書類によって、プロトコルに関する詳細な技術情報をすべて確認できます。 RFC書類は、 Webサイト www.ietf.org/rfc.html で、番号で検索できます。 •

A、 PTR、 CNAME、 MXについて詳しくは、 RFC 1035を参照してください。

•

AAAAについて詳しくは、 RFC 1886を参照してください。


http://www.isc.org/products/BIND/

www.dns.net/dnsrd/


http://www.ietf.org/rfc/rfc1035.txt?number=1035


www.isc.org

4
4 IPファイアウォールサービス
ファイアウォールサービスは、 Mac OS X Server で実行しているネットワークアプリケーションを保護するためのソフトウェアです。ファイアウォールサービスを開始することは、アクセスを制限

する壁を作るようなものです。ファイアウォールサービスは、受信した IP パケットを調べ、管理者が作成したルールのセットに基づいてパケットを拒否したり受け取ったりします。管理者は、サー

バで実行している IP サービスへのアクセスを制限したり、すべての受信クライアントまたは一定範囲のクライアント IPアドレス用にルールをカスタマイズしたりできます。

ファイアウォールプロセスの例を下図に示します。

Webや FTPなどのサービスは、サーバでは、 TCP（ Transmission Control Protocol）ポート番号または UDP（ User Datagram Protocol）ポート番号によって識別されます。コンピュータがサービスに接続しようとすると、ファイアウォールサービスは、そのサービスに該当するポート番号をルー

ルリストで探します。

ポート80用のルールがある

アドレス

10.221.41.33を含む、特定された

アドレス範囲で、

「すべてのポート」

ルールを

見つけます。

IPアドレス10.221.41.33 のコンピュータが、

インターネット（ポート80）経由でサーバに接続

しようとしています。

サーバがルールを

探し始めます。 IPアドレス 10.221.41.33を含むルールが

ある

はい

接続は

拒否されます。

はい

ルールの設定

接続に

成功します。

許可

いいえ

拒否

59

60

パケットがネットワークインターフェイスに着信すると、ファイアウォールが有効になっていれば、

そのパケットは番号の最も小さい（優先順位の最も高い）ルールから順に各ルールと比較されます。

ルールがパケットに一致すると、ルールに指定された処理（許可や拒否など）が実行されます。そ

の後、処理に応じて、追加のルールがチェックされることもあります。

作成するルールは、 TCP パケットに適用されます。 UDP パケットに適用することもできます。このほかに、詳細なルールを作成して、 ICMP（ Internet Control Message Protocol）または IGMP（ InternetGroup Management Protocol）を制限するルールも設定できます。

重要：最初にファイアウォールサービスを開始するときは、 Secure Shell（ 22）など、サーバのリモート管理に必要なポートだけが開いています。追加のポートが動的に開かれて、サーバからのク

エリーに対して特定の応答を行うことが可能になります。コンピュータ上のほかのサービスに対す

るリモートアクセスを許可する場合は、追加のポートを開く必要があります。これは、「設定」パネ

ルの「サービス」セクションで行えます。

インターネットを介してデータを共有する場合に、不正なアクセスからデータを保護するための専

用ルーターまたはファイアウォールがないときは、ファイアウォールサービスを使用してください。

このサービスは、中小規模の企業、学校、および小さいオフィスまたはホームオフィスで効果があ

ります。

ファイアウォールを備えた大規模な組織の場合は、ファイアウォールサービスを使用すると、サー

バをより細かく制御できます。たとえば、大規模な企業内の個々のワークグループや学校組織内の

個々の学校で、独自のサーバへのアクセスを制御できます。

IP ファイアウォールでは、ステートフルなパケット検査も提供しています。受信パケットが送信される要求または処理中のセッションの一部に対する正当な応答であるかどうかを判断し、そうでな

い場合はパケットを拒否することができます。

ファイアウォールの基本的な手法デフォルトでは、 Mac OS X Server は、簡単なモデルを使用して有用で安全なファイアウォールを実現します。ファイアウォールの制限が厳しすぎると、背後にあるネットワークがほとんど孤立し

てしまいます。ファイアウォールの制限が緩すぎると、背後にある資産を侵入者から安全に保護で

きません。基本モデルの 3 つの方法に従うことで、柔軟性と実用性を最大にし、意図しない危険を最小にすることができます。

重要な IPアクティビティを許可する重要な IPアクティビティには、 IP環境内での IPや機能の使用に必要なネットワーク処理が含まれます。これらのアクティビティにはループバックなどの操作が含まれており、優先順位の高い（番号

の小さい）ルールとして表現され、ファイアウォール設定の「詳細」パネルで確認できます。これ

らは自動的に設定されます。

第 4章 IPファイアウォールサービス

サービス固有のアクティビティを許可するサービス固有のアクティビティとは、 Web サービスやメールサービスなどの特定のサービスに固有のポートに宛てたネットワークパケットのことです。サービスを指定および設定したポートにトラ

フィックを許可することで、ファイアウォール経由のアクセスをサービスごとに許可できます。こ

れらは、優先順位が中位のルールとして表現され、ファイアウォール設定の「サービス」パネルの

チェックボックスで設定できます。これらの変更は、管理者の設定とアドレスグループに基づいて、

管理者自身が行います。

許可済みでないパケットをすべて拒否するこれは、あらゆる状況に対応できる最終的な手法です。ポートへのパケットまたはトラフィックが

不要なものである場合、そのパケットは破棄され、宛先への着信は許可されません。これは優先順

位の低い（番号の大きい）ルールとして表現され、ファイアウォール設定の「詳細」パネルで確認

できます。ファイアウォールの「拒否」ルールの基本的なセットが、デフォルトで作成されます。

ファイアウォールの起動ファイアウォールは、「サーバ管理」アプリケーションによりサービスとして扱われますが、ほかの

サービスのように実行されるプロセスによっては実装されません。ファイアウォールは、 ipfw および sysctl ツールにより制御されるカーネルの動作セットにすぎません。ファイアウォールを開始および停止するために、「サーバ管理」アプリケーションは sysctlツールを使ってスイッチを設定します。コンピュータの起動時に、 IPFilter という名前の起動項目が「 /etc/hostconfig」ファイルの「 IPFILTER」フラグをチェックします。このフラグが設定されている場合は、次に示すように、 sysctlツールを使ってファイアウォールが有効にされます：

sysctl -w net.inet.ip.fw.enable=1

フラグが設定されていない場合は、次のようにしてファイアウォールが無効にされます：

sysctl -w net.inet.ip.fw.enable=0

ファイアウォールに読み込まれたルールは、この設定に関係なくファイアウォールに保持されるこ

とに注意してください。ファイアウォールが無効になっている場合、ルールは無視されるだけです。

ほとんどの起動項目と同様、起動項目 IPFilterは、前提条件の起動項目が完了してはじめて、事前に定義された順序で起動します。 Mac OS X Server バージョン 10.4では、起動項目の実行中でもログインウインドウが表示される場合があります。このため、ファイアウォールが所定の設定状態になっ

ていなくてもログインすることが可能です。通常、ファイアウォールを設定する起動項目は、シス

テムの起動後数分以内に終了します。

第 4章 IPファイアウォールサービス 61

62

ファイアウォール・ルールを理解するファイアウォールサービスを開始すると、デフォルトの設定では、リモート設定のポートを除くリ

モートコンピュータからの受信パケットに対して、アクセスをすべて拒否します。この設定では、セ

キュリティのレベルが高くなります。加えてステートフルなルールも存在するため、お使いのコン

ピュータから外部へ送信されるクエリーへの応答も許可されます。この設定から、新しい IPルールを追加することによって、サービスにアクセスする必要のあるクライアントにサーバへのアクセス

を許可できます。

IPルールの動作については、次のセクションを参照してください。 IPルールの作成方法については、 66 ページの「ファイアウォールサービスを管理する」を参照してください。

ファイアウォール・ルールとはファイアウォール・ルールは、 IP パケットの特性と、その特性に一致する各パケットの処理方法のセットです。特性には、送信元や送信先のアドレス、送信元や送信先のポート、プロトコル、ネット

ワークインターフェイスなどが含まれます。アドレスは、単一の IP アドレスとして表現するか、またはアドレスの範囲を含めることができます。サービスポートは、単一の値、値のリスト、または

値の範囲として表現できます。 IPアドレスとサブネットマスクによって、ルールが適用される IPアドレスの範囲が決まります。また、すべてのアドレスに適用されるように設定することもできます。

IPアドレス IPアドレスは、値が 0 ～ 255（ 8ビット番号の範囲）の 4 つのセグメントで構成されていて、ドットで区切られています（例： 192.168.12.12）。 IP アドレスのセグメントは、一般的なものから特定されたものの順に並んでいます（たとえば、最初のセグメントは社内のすべてのコンピュータを表し、

最後のセグメントは建物のあるフロアの特定のコンピュータを表します）。

サブネットマスクサブネットマスクは、指定した IP アドレスのどの部分が、指定したネットワークでどのくらい変化するかを示します。サブネットマスクは CIDR（ Classless Inter Domain Routing）表記で指定します。 IPアドレスの後にスラッシュ（ /）と、 1～ 32 の数字をつけます。この数字を IPプレフィクスと呼びます。 IP プレフィクスは、ネットワークを特定するために使用される重要なビットの数を指定します。

たとえば 192.168.2.1 /16では、最初の 16 ビット（ピリオドで区切られた最初の 2つの数字）がネットワークを表すのに使用され（ネットワーク上の各マシンは 192.168 で始まる）、残りの 16 ビット（ピリオドで区切られた残りの 2つの数字）がホストを特定するのに使用されます（各マシンは、この 2つの数字による一意の組み合わせを持つ）。

サブネットマスクは、 IP アドレスの後にコロン（ :）およびネットマスクを指定する方法でも表記できます。ネットマスクは、ピリオドで区切られた 0～ 255の数値 4つで構成されます。これは、 CIDR表記の重要なビットに対応する 10進数です。


CIDR 表記によるサブネットマスク付きのアドレスは、アドレス表記のサブネットマスクに対応します。

CIDR 対応するネットマスク範囲内のアドレス数 /1 128.0.0.0 4.29 × 10 9

/2 192.0.0.0 2.14× 10 9

/3 224.0.0.0 1.07× 10 9

/4 240.0.0.0 5.36× 10 8

/5 248.0.0.0 1.34× 10 8

/6 252.0.0.0 6.71× 10 7

/7 254.0.0.0 3.35× 10 7

/8 255.0.0.0 1.67× 10 7

/9 255.128.0.0 8.38 × 10 6

/10 255.192.0.0 4.19× 10 6

/11 255.224.0.0 2.09 × 10 6

/12 255.240.0.0 1.04× 10 6

/13 255.248.0.0 5.24× 10 5

/14 255.252.0.0 2.62 × 10 5

/15 255.254.0.0 1.31× 10 5

/16 255.255.0.0 65536

/17 255.255.128.0 32768

/18 255.255.192.0 16384

/19 255.255.224.0 8192

/20 255.255.240.0 4096

/21 255.255.248.0 2048

/22 255.255.252.0 1024

/23 255.255.254.0 512

/24 255.255.255.0 256

/25 255.255.255.128 128

/26 255.255.255.192 64

/27 255.255.255.224 32

/28 255.255.255.240 16

/29 255.255.255.248 8

/30 255.255.255.252 4

/31 255.255.255.254 2

/32 255.255.255.255 1


64

アドレスの範囲を使用する「サーバ管理」を使ってアドレスグループを作成するときは、 IPアドレスとサブネットマスクを入力します。指定可能なアドレス表記には、次の 3つの種類があります： • 単一のアドレス： 192.168.2.1 •

CIDR表記で表現した範囲： 192.168.2.1/24

• ネットマスク表記で表現した範囲： 192.168.2.1:255.255.255.0

「サーバ管理」によってその結果のアドレス範囲が表示されます。範囲を変更したい場合は、サブ

ネットマスクを変更します。アドレス内のセグメントに値の範囲を指定するとき、そのセグメント

はワイルドカードと呼ばれます。特定の目的を達成するために作成されたアドレス範囲の例を次の

表に示します。

ルールのメカニズムと優先順位「設定」＞「サービス」パネルのルールは、「詳細ルール」パネルのルールと併せて作用します。通

常、「詳細」パネルのさまざまなルールは、すべてのポートに対するアクセスをブロックします。こ

れらは優先順位の低い（番号の大きい）ルールであり、「一般」パネルのルールの後に適用されます。

「一般」パネルで作成したルールでは、特定のサービスに対するアクセスを開きます。また、優先順

位は高くなります。優先順位は、「詳細」パネルで作成したルールよりも上になります。「詳細」パ

ネルで複数のルールを作成する場合、ルールの優先順位は、「詳細」パネルのルールの順番である

ルール番号によって決まります。「詳細」パネルのルールは、リスト内でルールをドラッグして並べ

替えることができます。

通常の使用のほとんどでは、「詳細」パネルで指定したサービスへのアクセスを開けば十分です。必

要な場合は、「詳細」パネルを使用してルールを追加したり、作成および並べ替えたりできます。

複数の IPアドレスサーバでは複数の IPアドレスの使用がサポートされますが、ファイアウォールサービスでは、 1 つのルールセットがすべてのサーバ IPアドレスに適用されます。複数のエイリアス IPアドレスを作成する場合は、作成するルールがこれらの IPアドレスすべてに適用されます。

目的サンプルの IPアドレス

アドレスフィールドの入力内容：影響するアドレス範囲

1つの IPアドレスを指定するルールを作成します。

10.221.41.33 10.221.41.33または 10.221.41.33/32

10.221.41.33

（ 1つのアドレス）

4番目のセグメントをワイルドカードとして残すルールを作成します。

10.221.41.33 10.221.41.33/24 10.221.41.0～ 10.221.41.255

3番目のセグメントの一部と 4番目のセグメントのすべてをワイルド

カードにしたルールを作成します。

10.221.41.33 10.221.41.33/22 10.221.40.0～ 10.221.43.255

すべての受信アドレスに適用する

ルールを作成します。

「すべて」を選択しますすべての IPアドレス


ファイアウォールサービスをはじめて設定する作成するルールが決まったら、以下の手順に従ってファイアウォールサービスを設定します。これ

らの手順について詳しくは、 66 ページの「ファイアウォールサービスを管理する」、およびこの手順の中で示すトピックを参照してください。

手順 1：学習し、計画するはじめて IPファイアウォールを操作する場合は、ファイアウォールの概念、ツール、および Mac OS XServerと BINDの機能について学習し、理解してください。詳しくは、 62 ページの「ファイアウォール・ルールを理解する」を参照してください。

次に、アクセスを提供するサービスを検討して、 IP ファイアウォールサービスを計画します。一般に、メールサービス、 Webサービス、および FTPサービスの場合は、インターネット上のコンピュータからのアクセスが必要です。ファイルサービスとプリントサービスの場合は、ローカルサブネッ

トに制限することがほとんどです。

ファイアウォールサービスを使用して保護するサービスが決まったら、サーバへのアクセスを許可

する IPアドレスと拒否する IPアドレスを決める必要があります。次に、適切なルールを作成します。

手順 2：ファイアウォールサービスを開始する「サーバ管理」で、「ファイアウォール」を選択し、「サービスを開始」をクリックします。デフォル

トで、サーバをリモートで設定するためのポートを除く、すべての受信ポートがブロックされます。

サーバをローカルで設定している場合は、外部アクセスをすぐにオフにしてください。

重要：ファイアウォールサービスを開始した後でルールを追加または変更すると、新しいルールは、サーバとの間にすでに確立している接続に影響を与えます。たとえば、ファイアウォールサービス

を開始した後で FTPサーバへのアクセスをすべて拒否した場合、すでに FTPサーバに接続していたコンピュータの接続は解除されます。

手順 3：ルールを適用する IPアドレスグループを作成するデフォルトでは、すべての受信 IPアドレス用に作成された IPアドレスグループがあります。このグループに適用したルールは、すべての受信ネットワークトラフィックに効果があります。

詳しくは、 67 ページの「アドレスグループを作成する」を参照してください。

手順 4：各アドレスグループのサービスルールを有効にする「サービス」パネルで、アドレスグループに基づくルールを送信先の IP番号として有効にできます。

サービスルールの有効化については、 68 ページの「標準サービスにファイアウォールを開放する」を参照してください。

手順 5：詳細なルールを作成する（省略可能） IPルールのしくみについて詳しくは、 62 ページの「ファイアウォール・ルールを理解する」を参照してください。その他のすべてのサービスを詳しく設定し、ネットワークセキュリティを強化し、さ

らにファイアウォールを介したネットワークトラフィックを調整します。


66

デフォルトでは、送信クエリーへの応答の場合を除いて、すべての UDPがブロックされます。 UDPポートへのルールの適用は慎重に行ってください。特定の UDP 応答を拒否すると、通常のネットワーク運用が妨げられることがあります。

UDPポートにルールを適用する場合は、「サーバ管理」のルール設定ウインドウで、「許可したパケットをすべて記録する」は選択しないでください。 UDP はコネクションレス型のプロトコルのため、このオプションを選択すると、 UDPポートに対するすべてのパケットがログに記録されます。

新しいルールの作成について詳しくは、 70 ページの「詳細な IPファイアウォール・ルールを作成する」を参照してください。

手順 6：ファイアウォールサービスの変更を保存するルールを設定し、許可するサービスを決定したら、変更内容を保存して新しい設定が反映されるよ

うにします。

重要：ファイアウォールサービスを開始した後でルールを追加または変更すると、新しいルールは、サーバとの間にすでに確立している接続に影響を与えます。たとえば、ファイアウォールサービス


ファイアウォールサービスを管理するこのセクションでは、ファイアウォールのアドレスグループおよびルールを開始、停止、および設

定する手順を 1つ 1つ説明します。

Tiger Server 10.4のサーバ管理を使用して Panther Server 10.3のファイアウォールを管理する Panther Server 10.3 では、標準ポートルールへの追加や、ドラッグ＆ドロップを使ったルールの配置はサポートしていません。

Tiger Server 10.4 の「サーバ管理」を使って Panther10.3 サーバのファイアウォールを管理している場合は、標準ポートルールを編集したり、ルールを再配置したりすることはできません。 Panther 10.3サーバに接続しているときは、「サーバ管理」のこれらの機能にはアクセスできません。

ファイアウォールサービスを開始する／停止するデフォルトでは、ファイアウォールサービスは、サーバから送信された要求への応答の場合を除い

て、すべての受信 TCP接続をブロックし、すべての UDPパケットを拒否します。ファイアウォールサービスを有効にする前に、任意の IP アドレスからのアクセスを許可するルールを設定してください。フィルタを設定しないと、サーバへのアクセスがすべて拒否されます。

重要：ファイアウォールサービスを開始した後でルールを追加または変更すると、新しいルールはサーバとの間ですでに確立している接続に影響を与えます。たとえば、ファイアウォールサービス



ファイアウォールサービスを開始または停止するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。

2 「サービスを開始」をクリックします。

サービスが開始されると、「サービスを停止」ボタンが利用できるようになります。

アドレスグループを作成するファイアウォールのフィルタ用に、 IP アドレスのグループを定義できます。グループはルールを整理してルールの適用対象とするために使用します。「すべて」のアドレスグループは、すべてのアド

レス用です。その他の 2つの IPアドレスグループはデフォルトで存在するグループで、プライベートアドレスの「 10-net」の範囲全体、およびプライベートアドレスの「 192.168-net」の範囲全体を対象とします。

アドレスは、個別のアドレス（ 192.168.2.2）、 IPアドレスと CIDR表記（ 192.168.2.0/24）、または IPアドレスとネットマスク表記（ 192.168.2.0:255.255.255.0）としてリストできます。

アドレスグループを作成するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。



4 「アドレスグループ」パネルにある追加（＋）ボタンをクリックします。

5 グループ名を入力します。

6 ルールを適用するアドレスとサブネットマスクを入力します。

追加（＋）ボタンと取り除く（－）ボタンを使用します。

すべての IPアドレスを指定するには、「 any」という語を使用します。



アドレスグループを編集する／削除するアドレスグループを編集して、適用される IP アドレスの範囲を変更できます。デフォルトのアドレスグループはすべてのアドレス用です。ファイアウォールのルールリストからアドレスグループを

削除できます。そのアドレスに関連付けられているルールも削除されます。

アドレスは個別のアドレス（ 192.168.2.2）としてリストすることも、 CIDR 形式のネットマスク（ 192.168.2.0/24）としてリストすることもできます。

アドレスグループを編集または削除するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。



4 「アドレスグループ」パネルからグループ名を選択します。


68

5 編集する場合は、「アドレスグループ」パネルの右にある編集（ /）ボタンをクリックします。

削除する場合は、「アドレスグループ」パネルの右にある取り除く（－）ボタンをクリックします。

6 必要に応じてグループ名やアドレスを編集して、「 OK」をクリックします。


アドレスグループを複製するファイアウォールのルールリストからアドレスグループを複製できます。これにより、類似したア

ドレスグループをすばやく設定できます。

アドレスグループを複製するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。



4 「アドレスグループ」パネルからグループ名を選択します。

5 「アドレスグループ」パネルの右にある「複製」ボタンをクリックします。

標準サービスにファイアウォールを開放するデフォルトでは、ファイアウォールサービスは、サーバのリモート管理に必要でないポート上の受

信 TCP接続をブロックし、すべての UDP接続を許可します。また、送信される要求への特定の応答を許可するステートフルなルールもデフォルトで存在します。ファイアウォールサービスを開始す

る前に、任意の IP アドレスからのアクセスを許可するルールを設定してください。ルールを設定しないと、サーバへのアクセスがすべて拒否されます。

標準サービスは、高度で詳細な設定をしなくても、簡単にファイアウォールを通過させることがで

きます。標準サービスには次のものがあります（これは一部です）： •

SSHアクセス

•

Webサービス •

Appleファイルサービス

•

Windowsファイルサービス •

FTPサービス

• プリンタ共有 •

DNS/マルチキャスト DNS

•

ICMP Echo Reply（着信 ping） •

IGMP（ Internet Gateway Multicast Protocol）

•

PPTP VPN

•

L2TP VPN

•

QTSSメディアストリーミング •

iTunesミュージック共有


重要：ファイアウォールサービスを開始した後でルールを追加または変更すると、新しいルールは、サーバとの間ですでに確立している接続に影響を与えます。たとえば、ファイアウォールサービス


標準サービスにファイアウォールを開放するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。


3 「サービス」タブを選択します。

4 「サービスを編集」ポップアップメニューからアドレスグループを選択します。

5 アドレスグループのトラフィックをすべて許可するか、指定したポイントでのトラフィックを許可

するかを選択します。

6 アドレスグループに対して許可するサービスごとに、「許可」をクリックします。

必要なサービスが表示されない場合は、サービスリストにポートと説明を追加できます。

カスタムルールを作成する場合は、 70 ページの「詳細な IP ファイアウォール・ルールを作成する」を参照してください。


サービスリストに追加するサービスリストにカスタムポートを追加できます。これにより、詳細な IPルールを作成しなくても、アドレスグループに対して特定のポートを開くことができます。

サービスリストに追加するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。



4 サービスリストの下にある追加（＋）ボタンをクリックします。

5 サービスのルール名を入力します。

6 単一のポート（ 22など）またはポート範囲（ 650～ 750など）を入力します。

7 プロトコルを選択します。

TCP または UDP 以外のプロトコルを使用する場合は、「詳細」パネルを使ってカスタムルールを作成する必要があります。




70

サービスリストの項目を編集する／削除するサービスリストのポートを削除したり編集したりできます。これにより、サービスの選択をカスタ

マイズできるため、設定が簡単になります。

サービスリストを変更するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。



4 変更するサービスを選択します。

5 編集する場合は、サービスリストの下にある編集（ /）ボタンをクリックします。

削除する場合は、サービスリストの下にある取り除く（－）ボタンをクリックします。

6 必要に応じて名前、ポート、またはプロトコルを編集して、「 OK」をクリックします。


詳細な IPファイアウォール・ルールを作成する「詳細設定」パネルを使用すると、 IPファイアウォールに対して非常に詳細なルールを設定できます。 IPファイアウォールのルールには、サブネットマスクが指定された、送信元と送信先の IPアドレスが含まれます。これには、受信したネットワークトラフィックに対して実行する処理も指定されて

います。すべての IPアドレス、特定の IPアドレス、または IPアドレスの範囲にルールを適用できます。

アドレスは個別のアドレス（ 192.168.2.2）としてリストすることも、 IP アドレスと CIDRネットマスク（ 192.168.2.0/24）で定義した範囲としてリストすることもできます。

詳細な IPファイアウォール・ルールを作成するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。


3 「詳細」タブを選択します。


代替の方法として、作成するルールに似たルールを選択して複製ボタンをクリックし、編集ボタン

をクリックすることもできます。

5 「操作」ポップアップメニューから、このルールでアクセスを許可するのか拒否するのかを選択します。

「その他」を選択した場合は、目的の操作を入力します（例：ログ）。

6 「プロトコル」ポップアップメニューから選択します。

「その他」を選択した場合は、目的のプロトコルを入力します（例： icmp、 esp、 ipencap）。

7 ポップアップメニューからサービスを選択します。

標準でないサービスのポートを選択する場合は、「その他」を選択します。

8 必要に応じて、ルールに一致するパケットのログを作成するように選択します。


9 ポップアップメニューから、フィルタリングしたトラフィックの送信元のアドレスグループを選択

します。

既存のアドレスグループを使用したくない場合は、フィルタリングする送信元 IPアドレスの範囲を（ CIDR表記で）入力します。

任意のアドレスに適用する場合は、ポップアップメニューから「すべて」を選択します。

10 標準以外のサービスのポートを選択した場合は、ソースのポート番号を入力します。

11 ポップアップメニューから、フィルタリングしたトラフィックの送信先のアドレスグループを選択

します。

既存のアドレスグループを使用したくない場合は、送信先 IPアドレスの範囲を（ CIDR表記で）入力します。

任意のアドレスに適用する場合は、ポップアップメニューから「すべて」を選択します。

12 標準以外のサービスのポートを選択した場合は、送信先のポート番号を入力します。

13 このルールを適用するネットワークインターフェイスを選択します。

「受信」は、指定した WANインターフェイスを示します。

「送信」は、指定した LANインターフェイスを示します。

「その他」を選択した場合は、インターフェイス名（ en0、 en1、 fw1など）を入力します。


15 「保存」をクリックして、ルールをすぐに適用します。

詳細な IPファイアウォール・ルールを編集する／削除する詳細な IP ファイアウォール・ルールを削除または編集できます。ルールを無効にして再度使用したい場合は、ルールを削除せずに、選択解除することができます。

ファイアウォールサービスを開始した後でルールを編集すると、サーバとの間ですでに確立してい

る接続に影響を与えます。たとえば、 Web サーバに接続中のコンピュータがある場合、 Webサーバへのアクセスをすべて拒否するようにルールを変更すると、接続中のコンピュータの接続は解除さ

れます。

詳細な IPファイアウォール・ルールを変更するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。



4 変更するルールを選択します。

5 編集する場合は、サービスリストの下にある編集（ /）ボタンをクリックします。

削除する場合は、サービスリストの下にある取り除く（－）ボタンをクリックします。ルールを削

除するだけの場合は、これで手順は終了です。

6 必要に応じてルールを編集して、「 OK」をクリックします。



72

詳細な IPファイアウォール・ルールの順序を変更する詳細な IPファイアウォール・ルールの順序は、「詳細ルール」タブでの順序で決まります。

ルールの順序を変更するには：

m ルールを目的の順序にドラッグします。

ステルスモードを有効にするファイアウォールがブロックした接続に対して接続障害通知を送信しないようにすることで、ファ

イアウォールの存在を隠すことができます。これにより、サーバの閉じたポートが効果的に「隠さ

れ」ます。たとえば、ネットワークの侵入者がサーバへの接続を試みる場合、ポートがブロックさ

れていても、侵入者はサーバの存在を知り、ほかの侵入方法を見つけるかもしれません。「ステルス

モード」が有効になっていれば、侵入者は拒否されるのではなく、接続が試行されたことを示すも

のを何も受け取りません。

ステルスモードを有効にするには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。



4 必要に応じて、「 TCPに対して有効にする」または「 UDPに対して有効にする」を選択します。


到達不能なサーバをリセットするファイアウォールの設定エラーが原因で、サーバが到達不能になってリモート管理を実行できない

ことがあります。このような場合は、「サーバ管理」でサーバを管理できるように、ファイアウォー

ルをデフォルトの状態にリセットする必要があります。

この回復手順は、物理的にサーバにアクセスできる管理者が実行する必要があります。この手順を

実行するには、コマンドラインインターフェイスの使用に慣れている必要があります。

ファイアウォールをデフォルトにリセットするには： 1 サーバを外部のインターネットから切断します。

2 コマンドキーを押しながら起動して、サーバをシングルユーザモードで再起動します。

3 アドレスグループのファイルを削除するか、名前を変更します。

これは、「 /etc/ipfilter/ip_address_groups.conf」にあります。

4 設定ファイル ipfwを削除するか、名前を変更します。

これは、「 /etc/ipfilter/ipfw.conf」にあります。

5 次のように入力して、ファイアウォール・ルールを強制的にフラッシュします：

ipfw -f flush

6 「 /etc/hostconfig」を編集して、 IPFILTER=-YES-を設定します。


7 次のように入力して、ログインウインドウまでの Mac OS X Serverの起動を完了します：

exit

コンピュータがデフォルトのファイアウォール・ルールで起動し、ファイアウォールが有効になっ

て、「サーバ管理」を使用してファイアウォールの設定を調整できます。

8 サーバのローカル管理者アカウントでログインし、ファイアウォールがデフォルトの設定に復元さ

れたことを確認します。

9 ホストをインターネットに再接続します。

ファイアウォールサービスを監視するファイアウォールは、悪意のあるコンピュータユーザ（一般に「ハッカー」と呼ばれます）に対す

る防御の、ネットワークの第一線です。コンピュータとユーザのセキュリティを維持するには、ファ

イアウォールのアクティビティを監視し、潜在的な脅威を阻止する必要があります。このセクショ

ンでは、ファイアウォールのログの作成方法と監視方法について説明します。

「使用可能なルール」パネルを理解する「使用可能なルール」パネルには、各ルールに関連付けられたパケットとバイトのカウントが表示さ

れます。「サーバ管理」を使用してファイアウォールの設定に変更を加えると、古いファイアウォー

ル・ルールがフラッシュされ、新しいルールが生成されてファイルに保存されます。さらに、 ipfw(1)コマンドが呼び出され、ルールをサービスに読み込みます。フラッシュ操作の一部として、各ルー

ルに関連付けられたパケットとバイトのカウントが消去されます。

「使用可能なルール」パネルには、その時点でのファイアウォールの状態のスナップショットが反映

されます。このパネルには、静的なルールと共に動的なルールも表示される場合があることに注意

してください。動的なルールは、ネットワークの動作に応じて秒単位で切り替わります。これらは、

ステートフルなルール（「 keep-state」句を含むルール）の結果です。「使用可能なルール」パネルには、動的なルールの作成の原因となったステートフルなルールのルール番号が表示されます。

ファイアウォールの状況の概要を表示する状況の概要には、ファイアウォールサービスの簡単な概要が表示されます。有効なルールの数、サー

ビスが実行されているかどうか、およびファイアウォールにより処理されたパケット数が表示され

ます。

概要を表示するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。



74

有効なファイアウォール・ルールを表示する「使用可能なルール」パネルには、ファイアウォール・ルールの簡単な概要が表示されます。次のも

のが表示されます： •

ipfwコードフォーマット内のルール

• 各ルールの優先順位 • 各ルールのパケットカウント • 各ルールの処理された総バイト数

概要を表示するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。

2 「使用可能なルール」ボタンをクリックします。

ファイアウォールサービスのログを設定する設定したルールによって拒否されたパケットのみまたは許可されたパケットのみ、あるいはその両

方のログを記録できます。両方をログに記録すると大量のログエントリーが生成されることがあり

ますが、次の方法で量を制限できます： • すべてのパケットをログに記録するのではなく、許可または拒否されたパケットだけをログに記録します。

• 必要な場合にだけ、パケットをログに記録します。 •「ログ」設定パネルを使って、パケットの総数を制限します。 •「詳細」設定パネルで「カウント」ルールを追加して、計測したい特性に一致するパケットの数を集計します。

許可されたパケット、拒否されたパケット、および指定した数のパケットについてログを作成する

ように選択できます。

ログを設定するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。



4 必要なログオプションを選択します。

5 「保存」をクリックして、ログ作成を開始します。

ファイアウォールのログを確認する「サーバ管理」で作成する各ルールは、基礎となるファイアウォールソフトウェアでは 1 つ以上のルールに相当します。ログエントリーには、適用されるルール、クライアントとサーバの IPアドレス、およびその他の情報が表示されます。

ログに表示されるのは、「 /var/log/ipfw.log」の内容です。テキスト・フィルタ・ボックスを使用して、ルールをさらにフィルタリングできます。


ファイアウォールサービスのログを表示するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。



ファイアウォールのログエントリーの例とそれらの解釈を次に示します。

ログの例 1

Dec 12 13:08:16 ballch5 mach_kernel: ipfw: 65000 Unreach TCP

10.221.41.33:2190 192.168.12.12:80 in via en0

このエントリーは、ファイアウォールサービスがルール 65000を使用して、 10.221.41.33:2190 のリモートクライアントが Ethernetポート 0 を経由して Web ポート 80 のサーバ 192.168.12.12にアクセスすることを拒否した（未到達）ことを示しています。

ログの例 2 Dec 12 13:20:15 mayalu6 mach_kernel: ipfw: 100 Accept TCP

10.221.41.33:721 192.168.12.12:515 in via en0

このエントリーは、ファイアウォールサービスがルール 100を使用して、 10.221.41.33:721のリモートクライアントが Ethernetポート 0を経由して LPRプリントポート 515のサーバ 192.168.12.12にアクセスすることを許可したことを示しています。

ログの例 3 Dec 12 13:33:15 smithy2 mach_kernel: ipfw: 10 Accept TCP

192.168.12.12:49152 192.168.12.12:660 out via lo0

このエントリーには、送信パケットに適用される NAT変換ルールが表示されます。この場合、ルールは、 NATデーモンが使用するポートであるサービスポート 660 に変換されます。

拒否されたパケットを確認するファイアウォールサービスに関する問題を特定して解決するときは、拒否されたパケットを確認す

ると役立ちます。

拒否されたパケットを確認するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。



4 「拒否したパケットをすべて記録する」が選択されていることを確認します。

5 「ログ」ボタンをクリックして、「サーバ管理」のログエントリーを表示します。

6 テキスト・フィルタ・ボックスに、「 unreach」という語を入力します。


76

ファイアウォール・ルールでログに記録されたパケットを確認するファイアウォールサービスに関する問題を特定して解決するときは、ファイアウォール・ルールで

フィルタリングされたパケットを確認すると役立ちます。

フィルタリングされたパケットを確認するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。



4 「許可したパケットをすべて記録する」が選択されていることを確認します。

特定のルールのログ作成を有効にしていない場合は、 71 ページの「詳細な IP ファイアウォール・ルールを編集する／削除する」を参照してください。

5 「ログ」ボタンをクリックして、「サーバ管理」のログエントリーを表示します。

6 テキスト・フィルタ・ボックスに、「 Accept」という語を入力します。

詳細な IPファイアウォール・ルールの問題を解決するファイアウォール設定の「詳細」パネルでは、管理者の設定するルールが正しいという前提ですべ

ての入力を受け入れます。ルールが保存され、「サーバ管理」が ipfw コマンドを使用してすべてのルールを適用するまで、エラーは通知されません。その後、構文エラーのある最初のルールが原因

で処理が停止し、エラーメッセージがログに記録されます。このエラーはどのルールが無効かを示

すものではありませんが、無効なルールより前の有効なルールはすべてファイアウォールに読み込

まれます。無効なルールを見分けるのに役立つ方法を、以下に示します。

無効なルールを見分けるには： 1 ログ内のメッセージを確認します。

2 「サーバ管理」により有効なルールが「概要」セクションに表示されるまで、数分待ちます。

3 「概要」内の有効なルールのリストを、「設定」セクション内のルールリストと比較します。

4 「 /etc/ipfilter/ipfw.conf.apple」ファイルの内容を調べて、「サーバ管理」がファイアウォールに読み込もうとしたルールを確認します。

ファイル内の、「概要」パネルに存在しない最初のルールが、ほぼ確実に無効なルールです。その

ルールの後に、無効なルールがさらに存在する可能性もあります。

5 そのルールが詳細パネル内のルールに対応している場合は、これを無効にするか修正できます。

無効にしたルールは先頭にコメント文字が付いた形で「 /etc/ipfilter/ipfw.conf.apple」に表示されるため、 ipfwツールによって処理されることはありません。


使用例作成した IP ファイアウォール・ルールは、相互に連携しながらネットワークのセキュリティを確保します。特定の目的を達成するためのルールの使いかたの例を以下に示します。

IPファイアウォールを NATで使用する NAT（ Network Address Translation）を使用するには、 IPファイアウォールを使用可能にする必要があります。 NAT を使用可能にすると、変換ルールがファイアウォール設定に自動的に作成されます。 Tiger Serverの「サーバ管理」アプリケーションを使って NATサービスとファイアウォールサービスを個別に使用可能および使用不可にできますが、 NATサービスを稼働させるためには、 NATサービスとファイアウォールサービスの両方を使用可能にする必要があります。 NAT の重要な部分は、ファイアウォールで使用されるパケット変換ルールです。

作成した IPファイアウォール・ルールによって、 NATゲートウェイの背後のネットワークから来るネットワークトラフィックをルーティングする方法がファイアウォールに通知されます。 NAT ゲートウェイの背後に LANがある場合は、 LANに対応するアドレスグループを作成するか、知っている必要があります。

IP ファイアウォールが NAT で動作するように設定する最も簡単な方法は、「ゲートウェイ設定アシスタント」を使用することです。これにより、ファイアウォール内の IP アドレスグループが自動的に設定され、適切なパケット変換ルールが作成されます。ゲートウェイ経由の NAT LANをはじめて設定する場合は、「ゲートウェイ設定アシスタント」を使用することをお勧めします。

「ゲートウェイ設定アシスタント」を使用したくないか、上書きしたくない既存のゲートウェイ設定

がある場合は、 NATと IPファイアウォールを手動で設定できます。

NAT LANの設定手順について詳しくは、 93 ページの「 1つの IPアドレスを使って LANをインターネットに接続する」を参照してください。

インターネットユーザの Webアクセスをブロックするこのセクションでは、例として、サブネット内のユーザにサーバの Webサービスへのアクセスを許可し、インターネット上の一般的な公開リソースへのアクセスを拒否する方法を説明します。

この例では、 10.0.1.1～ 10.0.1.254の範囲のプライベート IPアドレスがローカルネットワークで使用されます。サーバの Webサービスは、サーバの en2ポート上の 10.0.2.1で提供されます。

警告： NATが機能するためには、 IPファイアウォールを使用可能にする必要があります。


78

詳細なルールを使用してこれを行うには： 1 「サーバ管理」で、「 LAN」という名前のアドレスグループを 10.0.1.1/24のアドレス範囲で作成します。

これには、 10.0.1.xサブネットの範囲内のすべてのアドレスが含まれます。


2 次の設定で詳細ルールを作成します： • 操作：許可 • プロトコル： TCP • サービス： Web • ソースのアドレスグループ： LAN • 宛先のアドレス：その他 10.0.2.1 • インターフェイス： en2詳しくは、 70 ページの「詳細な IPファイアウォール・ルールを作成する」を参照してください。

標準ルールを使用してこれを行うには： 1 「サーバ管理」で、「 Web サーバ」というアドレスグループを 10.0.2.1のアドレス範囲で作成します。




4 「サービスを編集」ポップアップメニューからアドレスグループ「 Webサーバ」を選択します。

5 指定した Webサービスポート上で、グループ「 Webサーバ」のトラフィックを許可します。

「 Webサービスを許可」を選択します。


ローカル・ネットワーク・ユーザによるインターネットアクセスのログを記録するこのセクションでは、例として、 LAN 上のユーザにほかのサーバの Webサービスへのアクセスを許可し、インターネット上の一般的な公開リソースへのアクセスのログを記録する方法について説明

します。

この例では、 10.0.1.1～ 10.0.1.254の範囲のプライベート IPアドレスがローカルネットワークで使用されます。

1 「サーバ管理」の「ファイアウォール」パネルで、「設定」をクリックします。


3 「サービスを編集」ポップアップメニューからアドレスグループ「すべて」を選択します。

4 指定した Webサービスポート上で、グループ「 Webサーバ」のトラフィックを許可します。

「 Webサービスを許可」を選択します。



6 「一般」タブをクリックします。

7 「許可したパケットをすべて記録する」を選択します。

「ログ」パネルでログを表示します。

迷惑メールをブロックするこのセクションでは、例として、迷惑メール送信者からのメールを拒否し、その他のインターネッ

トメールはすべて許可する方法を説明します。迷惑メール送信者の IP アドレスは 17.128.100.0 とします。

重要：受信 SMTP メールをブロックするときは、非常に特定されたアドレス範囲をルールに設定してください。たとえば、すべてのアドレスからのメールを拒否するようにポート 25のルールを設定すると、ユーザにメールが配信されなくなります。

次のように操作します： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。



4 ポップアップメニューからアドレスグループ「すべて」を選択します。

5 「 SMTPメール」を使用可能にします。


7 追加（＋）ボタンをクリックして、アドレス範囲を作成します。

8 アドレスグループに名前を付けます。

9 アドレス範囲に 17.128.100.0と入力し、迷惑メール送信者のアドレスを指定します。


11 新しく作成したアドレスグループを選択します。

12 メール転送を使用不可にする場合は、「サービス」タブで「 SMTPメール」を選択解除します。


Appleファイルサーバへのユーザのアクセスを許可するこのセクションでは、例として、ユーザが IPアドレス 10.221.41.33を使用して、 Appleファイルサーバにアクセスできるようにする方法を説明します。

次のように操作します： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。



4 アドレスグループ「すべて」を選択します。

5 サービスパネルで「 Apple ファイルサービス」を使用不可にします。



80

7 追加（＋）ボタンをクリックして、アドレス範囲を作成します。

8 アドレスグループに名前を付けます。

9 アドレス範囲に 10.221.41.33と入力し、ユーザのアドレスを指定します。



12 新しく作成したアドレスグループを選択します。

13 サービスパネルで「 Appleファイルサービス」を選択して、ファイルアクセスを使用可能にします。


ファイアウォールサービスを使用する一般的なネットワーク管理作業ファイアウォールは、不正なネットワーク侵入者、悪意のあるユーザ、およびネットワークのウイ

ルス攻撃に対する防御の最前線です。このような攻撃によって、データが破損されたり、ネットワー

クリソースを使用されてしまうケースはたくさんあります。このセクションでは、ネットワーク管

理におけるファイアウォールサービスの一般的な使いかたをいくつか示します。

DoS（サービス拒否）攻撃を防止するサーバは、アクセスを拒否するクライアントから TCP 接続要求を受信すると、デフォルトで接続拒否の通知を送ります。こうすることで、拒否されたクライアントが要求を繰り返し送信することを

防止できます。ただし、悪意のあるユーザが、拒否される IP アドレスから TCP接続要求を送信し続け、サーバに強制的に応答を送信させ続けることがあります。この場合、ほかのユーザがサーバに

接続しようとしても接続できなくなります。これは「サービス拒否攻撃（ Dinial of Service Attacks）」の一種です。

pingによるサービス拒否攻撃を防止するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。


3 「設定」タブを選択します。

4 アドレスグループ「すべて」を選択します。

5 「 ICMP Echo Reply (incoming pings)」を選択解除します。


重要：サービス拒否攻撃を受けることはまれです。そのため、サーバがこの攻撃を受けやすいと思われる場合のみ、この設定を行ってください。 ICMPエコーの返信を拒否すると、 pingを使ってネットワークサービスを探すサービスがサーバを検出できなくなります。


ピアツーピアネットワークの使用を制御する／使用可能にするネットワーク管理者は、ピアツーピア（ P2P）ファイル共有アプリケーションの使用を制御する必要がある場合があります。そのようなアプリケーションでは、ネットワーク帯域幅とリソースを不適

切に、または極端に使用することがあります。また P2P ファイル共有では、企業においてセキュリティや知的財産を危険にさらす可能性があります。

P2P アプリケーションで使用するポート番号上で送受信されるすべてのトラフィックをブロックすると、 P2P ネットワークをさえぎることができます。それぞれの P2P ネットワークで実際に使用しているポートを判別する必要があります。デフォルトでは、 Mac OS X Server のファイアウォールは、開いていないポートをすべてブロックします。

P2Pネットワークの使用を、ファイアウォール背後の IPアドレスに制限することもできます。そのようにするには、 LANインターフェイスでは P2Pポートを開きますが、インターネットに接続するインターフェイス（ WANインターフェイス）ではポートをブロックし続ける必要があります。ファイアウォールのルールを作成する方法については、 70 ページの「詳細な IPファイアウォール・ルールを作成する」を参照してください。

ネットワークゲームの使用を制御する／使用可能にするネットワーク管理者は、ネットワークゲームの使用を制御する必要がある場合があります。そのよう

なゲームでは、ネットワーク帯域幅とリソースを不適切に、または極端に使用することがあります。

ゲームで使用するポート番号上で送受信されるすべてのトラフィックをブロックすると、ネット

ワークゲームの使用をさえぎることができます。それぞれのネットワークゲームで実際に使用して

いるポートを判別する必要があります。デフォルトでは、 Mac OS X Serverのファイアウォールは、開いていないポートをすべてブロックします。

ネットワークゲームの使用を、ファイアウォール背後の IP アドレスに制限することもできます。そのようにするには、 LAN インターフェイスでは適切なポートを開きますが、インターネットに接続するインターフェイス（ WAN インターフェイス）ではポートをブロックし続ける必要があります。ゲームによっては、遊ぶためにゲームサービスへの接続を必要とする場合がありますが、その場合

は効果がありません。ファイアウォールのルールを作成する方法については、 70 ページの「詳細な IPファイアウォール・ルールを作成する」を参照してください。

ファイアウォールを特定のゲームに対して開き、ネットワークゲームでファイアウォールの外部の

プレーヤーやゲームサービスに接続できるようにすることができます。そのようにするには、 LANおよび WANインターフェイスで適切なポートを開く必要があります。一部のゲームは、複数のポートを開く必要があります。ネットワーキングについて詳しくは、ゲームのマニュアルを参照してく

ださい。ファイアウォールのルールを作成する方法については、 70 ページの「詳細な IP ファイアウォール・ルールを作成する」を参照してください。


82

ポートリファレンス次の表に、 Mac OS Xコンピュータと Mac OS X Serverで通常使用される TCPおよび UDPポートの番号を示します。これらのポートは、ルールを設定するときに使用できます。表で参照されている RFC を確認するときは、次の Webサイトを参照してください：

www.faqs.org/rfcs

TCPポート使用目的参照 7 echo RFC 792

20 FTPデータ RFC 959

21 FTPコントロール RFC 959

22 SSH（ Secure Shell）オープンディレクトリの複製の設定

23 Telnet RFC 854

25 SMTP（メール） RFC 821

53 DNS RFC 1034

79 Finger RFC 1288

80 HTTP（ Web） RFC 2068

88 Kerberos V5 KDC RFC 1510

106 オープンディレクトリ・パスワード・サーバ（ 3659も使用）

110 POP3（メール） RFC 1081

111 RPC（リモート・プロシージャコール）

RFC 1057

113 AUTH RFC 931

115 sftp

119 NNTP（ニュース） RFC 977

123 Network Time Server同期（ NTP） RFC 1305

137 Windowsの名前

138 Windowsのブラウザ

139 Windowsファイルサービスとプリントサービス（ SMB/CIFS）

RFC 100

143 IMAP（メールアクセス）「 RFC 2060」

201-208 AppleTalk

311 サーバ管理 SSL、 AppleShare IPリモート Web管理、サーバモニタ、サーバ管理（ servermgrd）、ワークグループマネージャ（ DirectoryService）

389 LDAP（ディレクトリ） Sherlock 2 LDAP検索

RFC 2251


http://www.faqs.org/rfcs

407 Timbuktu

427 SLP（サービスの場所）

443 SSL（ HTTPS）

445 Microsoft ドメインサーバ

497 Dantz Retrospect

514 シェル、 syslog

515 LPR（プリントスプール） RFC 1179

532 netnews

548 AFP（ Appleファイルサービス）

554 Real Time Streaming Protocol（ QTSS）

RFC 2326

591 FileMaker Webアクセス

600–1023 Mac OS Xの RPC ベースのサービス（ NetInfoなど）

625 リモート・ディレクトリアクセス

626 IMAP 管理（ Mac OS Xメールサービスおよび AppleShare IP 6.x メール）

631 IPP（プリンタ共有）

636 LDAP SSL

660 サーバ設定、サーバマネージャ

687 AppleShare IP の共有ユーザとグループ、サーバモニタ、サーバ管理（ servermgrd）

749 kadmindコマンドラインツールを使用した Kerberos管理と changepw

985 NetInfoの静的ポート

993 SSLを使用した IMAP（メール）

995 SSLを使用した POP3（メール）

1085 Web Objects

1099、 8043 JBossへのリモート RMIおよび RMI/IIOPアクセス

1220 QTSS Admin

1694 IPフェイルオーバー

1723 PPTP VPN RFC 2637

2049 NFS

2236 Macintoshマネージャ

2399 FileMakerデータアクセスレイヤー

TCPポート使用目的参照


84

3004 iSync

3031 プログラムリンク機能、リモート AppleEvent

3283 ARD 2.0

3306 MySQL

3632 XCode分散コンパイラ

3659 オープンディレクトリ・パスワード・

サーバ（ 106も使用）

3689 iTunes ミュージック共有

4111 XGrid

5003 FileMakerの名前のバインディングおよびトランスポート

5100 カメラおよびスキャナ共有

5190 iChat、および iChat ファイル転送

5222 iChat サーバ

5223 iChat サーバ SSL

5269 iChat サーバ－サーバ間

5298 iChat －ローカルサブネット

5432 ARD 2.0データベース

5900 ARD 2.0 VNC


7777 iChat サーバ－ファイル転送プロキシ

8000–8999 Webサービス

8000-8001 QTSS MP3ストリーミング

8005 Tomcatリモートシャットダウン

8043、 1099 JBossへのリモート RMIおよび RMI/IIOPアクセス

8080、 8443、 9006 Tomcatスタンドアロンおよび JBoss

8080 Webサービス代替（ Apache 2デフォルト）

9007 AIPポートへのリモート Webサーバアクセス

16080 パフォーマンスキャッシュのリダイレクトを使用する Webサービス

42000-42999 iTunes Radioストリーム

TCPポート使用目的参照


UDPポート使用目的参照 7 echo

53 DNS

67 DHCP サーバ（ BootP）、 NetBootサーバ

68 DHCP クライアント

69 TFTP（ Trivial File Transfer Protocol）

111 RPC（リモート・プロシージャコール）

123 Network Time Protocol RFC 1305

137 WINS（ Windowsネームサービス）

138 Windowsデータグラムサービス（ NETBIOS）

161 SNMP（ Simple Network Management Protocol）

192 AirMac管理

427 SLP（サービスの場所）

497 Retrospect

500 VPN ISAKMP/IKE

513 who

514 Syslog


600–1023 Mac OS Xの RPC ベースのサービス（ NetInfoなど）

626 シリアル番号サポート

985 NetInfo（「 NetInfoドメイン設定」を使って共有ドメインを作成した

場合）

1701 VPN L2TP

3283 ARD 1.2

5353 マルチキャスト DNS（ mDNSResponder）

2049 Network File System（ NFS）

3031 プログラムリンク機能

3283 Appleネットワークアシスタント、 Apple Remote Desktop

4500 IKE NAT Traversal

5060 iChat 開始

5297、 5678 iChat －ローカル


86

その他の情報「 ipfw」に関するその他の情報： IP ファイアウォールサービスを制御するツールである「 ipfw」についての詳しい情報は、マニュアル（ man で表示）を参照してください。機能へのアクセス方法および機能の実装方法について説明されています。マニュアルページにアクセスするには、「ターミナル」アプリケーションを使って以

下を入力します：

man ipfw

Request For Comments書類 RFC（ Request for Comments）書類には、プロトコルやサービスの概要と、プロトコルの動作に関する詳しい情報が記載されています。サーバの管理を始めたばかりの方にとって、 RFC の背景情報は参考になるでしょう。経験豊富なサーバ管理者の場合、 RFC 書類によって、プロトコルに関する詳細な技術情報をすべて確認できます。以下の Web サイトの RFC セクションには、さまざまなプロトコルの RFC 番号が掲載されています： www.ietf.org/rfc.html

IANA（ Internet Assigned Number Authority）では、「よく知られたポート」である TCP および UDP ポートのリストが管理されています。これらのポートは、組織によりさまざまなプロトコルに割り当てられています。リストは次の Webサイトにあります： www.iana.org/assignments/port-numbers

さらに、重要なマルチキャストアドレスについては、「 Assigned Numbers」に関する最新の RFC（現時点では RFC 1700）を参照してください。

5353 マルチキャスト DNS（ mDNSResponder）

6970 -6999 QTSS RTP ストリーミング

7070 Real-Time Streaming Protocolの代替（ QTSS）

16384-16403 iChat オーディオ／ビデオ RTPおよび RTCP

UDPポート使用目的参照


x-man-page://ipfw


http://www.iana.org/assignments/port-numbers


5
5 NATサービス
NAT（ Network Address Translation）は、 IPマスカレードと呼ばれることもあります。 NATは、複数のコンピュータが割り当てられたパブリックまたは外部の IPアドレス 1つだけを使用して、インターネットにアクセスできるようにするために使用されます。 NAT を使用すると、 NAT ルーターやゲートウェイを経由してインターネットにアクセスするプライベートネットワークを作成できます。

NAT ルーターはプライベートネットワークからのトラフィックをすべて受け取り、要求を送った内部アドレスを記憶します。 NAT ルーターが要求に対する応答を受信すると、要求元のコンピュータに応答を転送します。ポート転送が使用可能でない場合、インターネットから発生したトラフィッ

クは、 NATルーターの背後にあるコンピュータに到達しません。

ほかのネットワークサービスで NATを使用する NAT を Mac OS X Server で使用可能にする場合、しばしば DHCP を詳細に制御する必要があります。 DHCP は「サーバ管理」で別途設定します。 DHCPについて詳しくは、 23ページの第 2 章「 DHCPサービス」を参照してください。

NATを使用可能にすると、変換ルールがファイアウォール設定に自動的に作成されます。 Mac OS XServerの「サーバ管理」アプリケーションを使用すると、 NATサービスとファイアウォールサービスを個別に使用可能および使用不可にできます。ただし、 NAT サービスを動作させるには、 NAT とファイアウォールサービスの両方を使用可能にする必要があります。これは、 NAT の重要な部分がパケット変換ルールであるためです。 NATサービスを使用可能にするとこのルールがファイアウォールに追加されますが、パケット変換ルールまたはいずれかのファイアウォール・ルールを有効にす

るには、ファイアウォールサービスを有効にする必要があります。

警告： NATが機能するためには、 IPファイアウォールを使用可能にする必要があります。

87

88

NAT LAN設定の概要ネットワークセグメントを NAT LAN として設定するには、複数の異なる手順を実行する必要があります。各手順は、 NAT ゲートウェイの背後にあるプライベートネットワークを機能させるために必要です。詳細な設定例については、 93 ページの「 1 つの IP アドレスを使って LAN をインターネットに接続する」を参照してください。次のセクションでは、設定プロセス全体の概要について説明

します。

手順 1： NATゲートウェイおよびそのインターフェイス機能を選択する Mac OS X Server コンピュータに、少なくとも 2 つのネットワークインターフェイス、つまりインターネットへの接続用（ WAN ポート）とプライベートネットワークセグメントへの接続用（ LANポート）のネットワークインターフェイスが必要です。

手順 2： NAT LANクライアントが IPアドレスを取得する方法を決定するプライベート LAN の承認された範囲内で独自の静的 IP アドレスを割り当てることも、 Mac OS XServerの DHCP機能を使ってアドレスを割り当てることもできます。

手順 3：ゲートウェイのネットワーク設定を行うパブリック IPアドレスを WANポートに、内部ゲートウェイのアドレスを LANポートに割り当てます。

手順 4： NATの設定を行う 89 ページの「 NATサービスを設定する」を参照してください。

手順 5：ポート転送の設定を行う 90 ページの「ポート転送を設定する」を参照してください。

手順 6： NATサービスを開始する 89 ページの「 NATサービスを開始する／停止する」を参照してください。

手順 7：ファイアウォールサービスを開始する NAT サービスを動作させるには、 NAT とファイアウォールサービスの両方を使用可能にする必要があります。詳しくは、 66 ページの「ファイアウォールサービスを開始する／停止する」を参照してください。

手順 8：該当する場合は、 DHCPサービスを設定および開始するクライアントに動的にアドレスを割り当てる場合は、この時点で DHCP を設定して開始します。詳しくは、第 2 章「 DHCPサービス」を参照してください。

第 5章 NATサービス

NATサービスを開始する／停止する NATサービスをデフォルトのネットワークインターフェイスで開始または停止するには、「サーバ管理」を使用します。 NATサービスを開始しても、 NATインターフェイス上で DHCPが自動的に開始されるわけではありません。このため、 LANアドレッシングを別に扱う必要があります。

NATサービスを開始することは、ネットワークセグメントを NAT LANとして設定することと同じではありません。

NATサービスを開始するには： 1 「サーバ管理」で、「コンピュータとサービス」パネルから「 NAT」を選択します。


サービスの実行中は、「サービスを停止」が使用可能になります。

NATサービスを設定する「サーバ管理」を使用すると、インターネットや外部ネットワークに接続するネットワークインター

フェイスを指定できます。

NATサービスを設定することは、ネットワークセグメントを NAT LANとして設定することと同じではありません。

NATサービスを設定するには： 1 「サーバ管理」で、「コンピュータとサービス」パネルから「 NAT」を選択します。


3 「 IP転送とネットワークアドレス変換」を選択します。

4 「共有するネットワーク接続」ポップアップメニューからネットワークインターフェイスを選択します。

このインターフェイスが、インターネットや外部ネットワーク接続するためのインターフェイスに

なります。


第 5章 NATサービス 89

90

NATを使用しないでゲートウェイを作成する時には、コンピュータをネットワークセグメント間のゲートウェイとして使用する必要があるが、パ

ブリック範囲とプライベート範囲間で IP アドレスを変換する必要はない、ということがあります。これは、「 IPアドレス転送」と呼ばれます。 Mac OS X Serverでは、「サーバ管理」の NATセクションを使用して IPアドレス転送をサポートしています。

この設定では、さまざまなネットワーク設定が可能です。たとえば、ほかのサーバでは NATを使用してプライベート IP アドレスをパブリックアドレスに変換するが、お使いの Mac OS X Server のゲートウェイではさまざまなプライベート・アドレス・サブネット間で情報をルーティングする、と

いうことができます。同様に、独自の LAN内のネットワークセグメント間でファイアウォールを実行することもできます。 IP アドレスのマスカレードを使用しないでサーバを介してネットワークトラフィックをルーティングする場合は、常に IPアドレス転送が関係してきます。

アドレス転送用のゲートウェイを作成する手順は、 NAT LAN を作成する手順と同じです。これは、ネットワークポートを正しく設定する必要があること、およびゲートウェイを機能させるために

ファイアウォールサービスを使用可能にする必要があることを意味します。

NATサービスを使用しないでゲートウェイを設定するには： 1 「サーバ管理」で、「コンピュータとサービス」パネルから「 NAT」を選択します。


3 「 IP転送のみ」を選択します。


ポート転送を設定する NATネットワークが受信するトラフィックを、 NATゲートウェイの背後にある特定の IPアドレスに転送することができます。これにより、特定の受信接続を処理する内部ネットワーク上のコンピュー

タを設定しつつ、ほかのコンピュータを外部の接続にさらさないようにすることができます。たと

えば、 Webサーバを NATの背後に設定し、ポート 80のすべての受信 TCP接続要求を指定した Webサーバに転送することができます。

同一のポートを複数のコンピュータに転送することはできませんが、異なるポートを同一のコン

ピュータにいくつでも転送することはできます。

ポート転送を使用可能にするには、「ターミナル」の使用、および sudoを使用したルート権限への

管理アクセスに習熟している必要があります。 plist を編集する必要があります。その plist の内容は、「 /etc/nat/natd.conf.apple」の生成に使用されます。これは、 NAT デーモンの開始時に NATデーモンに渡されます。「 /etc/nat/natd.conf.apple」は、直接編集しないでください。コマンドラインのテキストエディタの代わりに plistエディタを使用する場合は、次の手順を調整する必要がある場合があります。


ポート・トラフィックを転送するには： 1 「 /etc/natd.plist」ファイルが存在しない場合は、 NATデーモンのデフォルト plistのコピーを作成します。

sudo cp /etc/nat/natd.plist.default /etc/natd.plist

2 「ターミナル」エディタを使用して、「 /etc/natd.plist」ファイルの最後の 2行（ </dict>および </plist>）の前に XMLテキストの新しいブロックを追加します。

次のブロックを追加し、イタリックで示した部分を目的の設定に置き換えます：

<key>redirect_port</key>

<array>

<dict>

<key>proto</key>

<string>

TCPまたは UDP </string>

<key>targetIP</key>

<string>

LAN_ip

</string>

<key>targetPortRange</key>

<string>

LAN_ip_range

</string>

<key>aliasIP</key>

<string>

WAN_ip

</string>

<key>aliasPortRange</key>

<string>

WAN_port_range

</string>

</dict>

</array>

3 ファイルの変更を保存します。

サーバ設定ツール（「サーバ管理」、「ゲートウェイ設定アシスタント」、および serveradmin）は、「サーバ管理」で変更およびコメント化できる設定を除いて、加えられた変更を順守します。

4 必要に応じて、「サーバ管理」で NATサービスを設定します。

詳しくは、 89 ページの「 NATサービスを設定する」を参照してください。


ポート転送の例 1つまたは任意の数のポートを、指定した IP アドレスに転送できます。 WAN 側のポートと LAN側のポートは一致している必要はありませんが、対応している必要があります。たとえば、 WAN側から 10 個の連続したポートを転送する場合は、それらを LAN側の 10個の連続したポートに転送する必要がありますが、同一である必要はありません。


92

単一のポート転送この例では、 WANアドレス 17.128.128.128 上の TCP ポート 80（ Web サービス）の接続を、プライベート LAN アドレス 192.168.1.1 上の TCP ポート 80（ Web サービス）に転送する設定を示します。「 /etc/natd.plist」ファイルに追加するテキストブロックは次の通りです： <key>redirect_port</key>

<array>

<dict>

<key>proto</key>

<string>

TCP

</string>

<key>targetIP</key>

<string>

192.168.1.1

</string>


<string>

80

</string>

<key>aliasIP</key>

<string>

17.128.128.128

</string>


<string>

80

</string>

</dict>

</array>

複数のポート転送この例では、 WANアドレス 17.128.128.128上の TCPおよび UDPポート 600～ 1023（ NetInfo、範囲全体）の接続を、プライベート LANアドレス 192.168.1.1上の対応するポートに転送する設定を示します。「 /etc/natd.plist」ファイルに追加するテキストブロックは次の通りです： <key>redirect_port</key>

<array>

<dict>

<key>proto</key>

<string>

TCP

</string>

<key>targetIP</key>

<string>

192.168.1.1

</string>


<string>

600-1023

</string>

<key>aliasIP</key>

<string>

17.128.128.128

</string>


<string>

600-1023

</string>

</dict>

</array>

<array>

<dict>

<key>proto</key>

<string>

UDP

</string>

<key>targetIP</key>

<string>

192.168.1.1

</string>


<string>600-1023</string>

<key>aliasIP</key>

<string>17.128.128.128</string>



<string>60-1023</string>

</dict>

</array>

NATサービスを監視する問題解決やセキュリティの目的で、 NAT サービスを監視することができます。このセクションでは、 NATの状況の概要と、 NAT変換アクティビティの監視について説明します。

NATの状況の概要を表示する NAT の状況の概要では、サービスが実行しているかどうかと、アクティブなプロトコルリンクの数を確認できます。

概要を表示するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから NAT サービスを選択します。


NATを使用する一般的なネットワーク管理作業以下のセクションでは、 NAT サービスを使用する一般的なネットワーク管理作業をいくつか説明します。

1つの IPアドレスを使って LANをインターネットに接続する NAT LANをインターネットに接続する最も簡単な方法は、「ゲートウェイ設定アシスタント」を使用することです。これにより、ファイアウォール内の IP アドレスグループが自動的に設定され、適切なパケット変換ルールが作成されます。ゲートウェイ経由の NAT LAN をはじめて設定する場合は、「ゲートウェイ設定アシスタント」を使用することをお勧めします。「ゲートウェイ設定アシスタン

ト」について詳しくは、 15 ページの「ネットワークをインターネットに接続する」を参照してください。

「ゲートウェイ設定アシスタント」を使用したくないか、上書きしたくない既存のゲートウェイ設定

がある場合は、 NATと IPファイアウォールを手動で設定できます。そのためには、インターネット接続用とプライベートネットワーク接続用の 2 つのネットワークインターフェイスを備えた Mac OS X Serverが必要です。この例では、次の設定を想定しています： • Ethernet インターフェイス名と機能：内蔵 Ethernet（インターネットに接続）、 PCI Ethernetスロット 1（内部ネットワークに接続）

• インターネットまたはパブリック IP アドレス： 17.254.0.3（例にすぎません。実際の IP 番号は ISPから提供されます）

• インターネットまたはパブリックDNS IPアドレス： 17.254.1.6（例にすぎません。実際の IP番号は ISPから提供されます )

• プライベートネットワーク IP アドレスの範囲とネットマスク： 192.168.0.2～ 192.168.0.254（ 192.168.0.0/24または 192.168.0.0:255.255.255.0とも表現されます）

• サーバのプライベートネットワーク IP アドレス： 192.168.0.1


94

• LANクライアントの IP アドレス設定： DHCPを使用して IPv4を設定厳密には必須ではありませんが（ NAT は、 DHCPの代わりに静的 IPアドレスで使用できます）、これにより、クライアントコンピュータの設定が簡単になります。

NAT LANを設定するには： 1 ゲートウェイサーバで、「システム環境設定」の「ネットワーク」パネルを開きます。

2 有効なネットワークポート設定画面で、「内蔵 Ethernet」インターフェイスがリストの一番上にあることを確認します。

一番上にない場合は、リストの一番上にドラッグします。これにより、ルーティングテーブルにデ

フォルトのゲートウェイが設定されます。一番上のインターフェイスは、常にインターネットまた

は WANの外部に設定されます。

3 「内蔵 Ethernet」の IPアドレスと設定が ISPから提供されたパブリックアドレス設定と一致していることを確認します。この例では、次のようになります： •

IPアドレス： 17.254.0.3

• ネットマスク： 255.255.252.0 •

DNS： 17.254.1.6

4 「 PCI Ethernetスロット 1」の IPアドレスと設定がローカルアドレス設定と一致していることを確認します。この例では、次のようになります： •

IPアドレス： 192.168.0.1

• ネットマスク： 255.255.255.0 •

DNS： 17.254.1.6

5 必要に応じて、「変更内容を適用」をクリックします。

6 「サーバ管理」を開きます。

7 「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。

8 「サーバ管理」で、次の設定パラメータを使用して内部 LAN用のアドレスグループを作成します： • サブネット名： <任意 > • 開始 IPアドレス： 192.168.0.2 • 終了 IPアドレス： 192.168.0.254 • サブネットマスク： 255.255.255.0 • ネットワークインターフェイス： en1 • ルーター： 192.168.0.1 • リース期間： <任意 > •

DNS： 17.254.1.6

DHCPの設定手順について詳しくは、 24 ページの「サブネットを作成する」を参照してください。

9

DHCPサービスを使用可能にします。

10 「サーバ管理」で、「コンピュータとサービス」リストから「 NAT」を選択します。

11 次の設定を使用して NATを設定します： • 共有するネットワーク接続：内蔵 Ethernet

12 必要に応じて、「保存」をクリックします。


13 NATサービスを使用可能にします。

14 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。

15 ファイアウォールを使用可能にします。

16 プライベートネットワークへのアクセス、およびプライベートネットワークからのアクセスを許可

するファイアウォール・ルールを作成します。

たとえば、アドレス 192.168.0.0/24に対して、「プライベート LAN」という IP アドレスグループを作成します。

詳細な手順については、 67 ページの「アドレスグループを作成する」を参照してください。

17 「プライベート LAN」グループを使って、「プライベート LAN」からアクセスできるようにするすべてのサービス（ Web、 SSH、ファイル共有など）を使用可能にします。

詳細な手順については、 68 ページの「標準サービスにファイアウォールを開放する」を参照してください。

18 アドレスグループ「任意」を使用して、インターネットからアクセスできるようにするプライベー

ト LAN上のすべてのサービス（ Web、 SSH、ファイル共有など）を使用可能にします。



ゲーム用の LAN パーティを設定する LANパーティの設定方法は、「 1つの IPアドレスを使って LANをインターネットに接続する」の方法と基本的に同じです。特に考慮する必要がある点を以下に示します： • インターネット対応のゲームをするのに必要なポートだけを開くよう、特に注意を払います。 •

LAN内だけでゲームをする場合は、ゲームポートのファイアウォールを開く必要はありません。

•

LANに参加したり LANから切断したりするコンピュータがある場合は、クライアントのアドレス設定に DHCPを使用できます。

「仮想サーバ」を設定する仮想サーバは、 NAT ウォールの背後のサービスを実際のサーバにポート単位で送信するゲートウェイサーバです。たとえば、 Web トラフィック（ポート 80）をファイアウォールの背後の 10.0.0.5（ポート 80）に転送するように設定され、 SSH トラフィック（ポート 22）の要求によってパケットを 10.0.0.15（ポート 22）に送信できる 17.100.0.1（ domain.example.com）の NATゲートウェイを考えてみましょう。上の例では、実際に Webコンテンツを提供しているのは、 NATゲートウェイではなく 10.0.0.5のサーバですが、 Web サイトをブラウズするクライアントにはそのことは分かりません。

インターネットに接続するサーバは 1 台ですが、 NAT の障壁の背後に、必要な数のサーバを設置できます。これは、負荷分散やネットワーク配置のための組織上のスキーマとして使用できます。ま

た、仮想サーバを使用すると、ゲートウェイを再設定して、ネットワークトラフィックを LAN上のほかのコンピュータに簡単に再ルーティングすることもできます。

仮想サーバには、 NAT、 DNS、および IPファイアウォールの 3つのサービス設定が必要です。


96

NATサービスは、目的の仮想ポートのポート転送を使って設定する必要があります。サーバの DNSレコードは、一般的なサービスのエイリアスをいくつか受け入れて、それらをすべて同じ IPアドレスに解決する必要があります。最後に、ファイアウォールは、特定のポートでの NAT LANへのトラフィックを許可する必要があります。

この例では、 NAT ゲートウェイを設定して、 2 つのドメイン名とサービスがゲートウェイファイアウォールの背後にある異なるコンピュータをポイントするようにします。設定の詳細は、次のよう

に想定します： • Ethernet インターフェイス名と機能：内蔵 Ethernet（インターネットに接続）、 PCI Ethernetスロット 1（内部ネットワークに接続）

• インターネットまたはパブリック IP アドレス： 17.100.0.1（例にすぎません。実際の IP番号およびネットマスク情報は ISP から提供されます）


• ゲートウェイサーバのプライベートネットワーク IP アドレス： 192.168.0.1 • Web サーバのプライベートネットワーク IP アドレス： 192.168.0.2 • メールサーバのプライベートネットワーク IP アドレス： 192.168.0.3

• Web およびメールサーバの IP アドレス設定： DHCPを使用して IPv4を設定厳密には必須ではありませんが（ NAT は、 DHCPの代わりに静的 IPアドレスで使用できます）、これにより、クライアントコンピュータの設定が簡単になります。

仮想サーバを設定するには： 1 「サーバ管理」を開きます。

2 「サーバ管理」で、「コンピュータとサービス」リストから「 DHCP」を選択します。

3 「サーバ管理」で、次の設定パラメータを使用して内部 LAN用のアドレスグループを作成します： • サブネット名： <任意 > • 開始 IPアドレス： 192.168.0.2 • 終了 IPアドレス： 192.168.0.254 • サブネットマスク： 255.255.255.0 • ネットワークインターフェイス： en1 • ルーター： 192.168.0.1 • リース期間： <任意 > •

DNS： <ISPから提供されたもの >

• 静的マッピング（ Web）： 192.168.0.2にマッピングされた <Webサーバの Ethernetアドレス > • 静的マッピング（メール）： 192.168.0.3にマッピングされた <メールサーバの Ethernetアドレス >DHCP の設定手順について詳しくは、 24 ページの「サブネットを作成する」および 30 ページの「 DHCPを使用して静的 IPアドレスを割り当てる」を参照してください。

4

DHCPサービスを使用可能にします。

5 「サーバ管理」で、「コンピュータとサービス」リストから「 NAT」を選択します。

6 次の設定を使用して NATを設定します： • 共有するネットワーク接続：内蔵 Ethernet


• ポート転送： TCPポート 80（ Web）から 192.168.0.2 • ポート転送： TCPポート 25（メール）から 192.168.0.3


8

NATサービスを使用可能にします。

9 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。

10 ファイアウォールを使用可能にします。

11 プライベートネットワークへのアクセスを許可するファイアウォール・ルールを作成します。

詳細な手順については、 67 ページの「アドレスグループを作成する」を参照してください。

12 アドレスグループ「任意」を使用して、インターネットからアクセスできるようにするプライベー

ト LAN上の 2 つのサービス（ Webおよび SMTPメール）を使用可能にします。



14 ゲートウェイサーバの DNS レコードに 2つのエイリアスを追加します。

DNSプロバイダ（通常はご利用の ISP）に問い合わせて、 IPアドレス 17.100.0.1に対して「 www.example.com」という名前で追加する「 A」レコードを要求します。同じ IPアドレスに対する「 mail.example.com」という名前の MXレコードを要求します。これらのレコードは、お使いのドメインの既存の Aレコードと CNAMEレコードに加えて使用されます。

これで、 www.example.comへのすべての Webトラフィックが 192.168.0.2の内部サーバに転送され、 mail.example.comへの受信メールトラフィックが 192.168.0.3の内部サーバに配信されます。

NATの背後にあるサーバを変更する場合は（ハードウェア・アップグレードなど）、 DHCPの静的 IPアドレッシングを新しいサーバの Ethernet アドレスに変更するだけです。 Web およびメール用に指定された既存の内部 IPアドレスが新しいサーバに割り当てられ、ゲートウェイによってトラフィックが新しいサーバにシームレスに転送されます。

その他の情報「 natd」に関するその他の情報： NAT サービスを制御するデーモンプロセスである「 natd」についての詳しい情報は、マニュアル（ manで表示）を参照してください。機能へのアクセス方法および機能の実装方法について説明されています。マニュアルページにアクセスするには、「ターミナル」アプリケーションを使って以下を

入力します：

man natd


x-man-page://natd

98

Request For Comments書類 RFC（ Request for Comments）書類には、プロトコルやサービスの概要と、プロトコルの動作に関する詳しい情報が記載されています。サーバの管理を始めたばかりの方にとって、 RFC の背景情報は参考になるでしょう。経験豊富なサーバ管理者の場合、 RFC 書類によって、プロトコルに関する詳細な技術情報をすべて確認できます。 RFC書類は、次の Webサイトで番号で検索することができます： www.ietf.org/rfc.htmlNATの説明については、以下を参照してください： •「 RFC 1631」 •「 RFC 3022」





6
6 VPNサービス
VPN（ Virtual Private Network）は、 2つ以上のコンピュータまたはネットワーク（ノード）を暗号化データのプライベートリンクで接続します。このリンクはローカル接続をシミュレートしたもの

で、リモートコンピュータが LAN（ローカル・エリア・ネットワーク）に接続しているかのように振舞います。

VPNでは、自宅や、 LANから離れた場所にいるユーザが、インターネットなどのネットワーク接続を使用し、 LANに安全に接続できます。ユーザからすると、 VPN接続は専用のプライベートリンクのように見えます。

VPN テクノロジーを使用すると、安全な通信を維持しながら、組織がインターネットを介して支社に接続することも可能にします。インターネット上の VPN 接続は、サイト間の WAN（広域ネットワーク）リンクとして機能します。

VPN には、物理的に離れたコンピュータリソースのある組織において、利点がいくつかあります。たとえば、各リモートユーザまたはノードは、メインのノードまで直接接続されたリンクを使用す

るのではなく、 ISP（インターネット・サービス・プロバイダ）のネットワークリソースを使用できます。また、 VPN を使用すると、承認を受けたモバイルユーザがインターネット接続を使用して個人のコンピュータリソース（ファイルサーバなど）にアクセスすることもできます。最後に、既存

のインターネットインフラを使用して、非常に離れた複数の LANをリンクできます。

この章では、 VPNの認証方法、転送プロトコル、および VPNサービスの管理および監視を設定する方法について説明します。 VPNサーバを使用するように VPNクライアントを設定する手順は含まれません。

VPNとセキュリティ VPNではデータの秘匿と不変性を守るために、強力な ID認証およびノード間の暗号化データ転送を使用して、セキュリティを強化しています。次のセクションでは、サポートされる転送および認証

の方法について説明します。

転送プロトコル暗号化転送プロトコルは片方または両方を使用することができます。それぞれに、長所と要件があ

ります。

99

100

L2TP/IPSec（ Layer Two Tunnelling Protocol, Secure Internet Protocol） L2TP/IPSec では強い IPSec 暗号化を使用して、ネットワークノードとの間でデータを「トンネル」します。これは、 Ciscoの L2Fプロトコルに基づいています。 IPSec では、セキュリティ証明書（自己署名または Verisign などの認証局によるもの）か、接続するノード間で事前定義された共有シークレットが必要です。共有シークレットは、サーバとクライアントの両方で入力する必要がありま

す。これは認証用のパスワードではなく、暗号化キーを生成してノード間に安全なトンネルを確立

することもしません。これは、鍵管理システム間の相互信頼を可能にするトークンです。

L2TP は、優れた転送暗号化と Kerberosによる認証機能のため、 Mac OS X Server で優先使用される VPNプロトコルです。

PPTP（ Point to Point Tunneling Protocol） PPTPは、一般的な VPNプロトコルであり、 Windows標準の VPNプロトコルでもあります。 PPTPの暗号化は優れており（使用するパスワードが強力なパスワードである場合）、多数の認証方式をサ

ポートしています。ユーザが指定したパスワードを使用して、暗号化キーを生成します。デフォル

トの 128ビット（強い）暗号化だけでなく、 VPNクライアントで必要であれば 40ビット（弱い）セキュリティ暗号化も使用できます。

PPTPは、古い Windowsクライアントまたは Mac OS X 10.2.xクライアントがある場合に必要です。

認証方法 Mac OS X Server L2TP VPN では、 Kerberos v5 または Microsoft の Challenge HandshakeAuthentication Protocol version 2（ MS-CHAPv2）を認証に使用します。 Mac OS X Server PPTPVPNでは、 MS-CHAPv2だけを認証に使用します。

Kerberos は、 Kerberos Key Distribution Server を「信頼された第三者」としてサーバに対してクライアントを認証する安全な認証プロトコルです。 MS-CHAPv2 認証には、 Kerberos と同じ認証インフラストラクチャは必要ありません。この認証方法では、パスワードはネットワークに送信する

ときエンコードされ、サーバではスクランブル形式で格納されます。こうしてネットワーク転送中

のセキュリティを実現します。これはまた、 VPN における Windowsの標準的な認証スキームです。

Mac OS X Server PPTP VPNでは、追加の認証方法を使用できます。それぞれに、長所と要件があります。「サーバ管理」を使用して、 PPTP 用のほかの認証方法を選択することはできません。デフォルトとは違う認証スキームを設定する（たとえば RSA Securityの SecurID 認証を使用する）必要がある場合は、 VPN 設定ファイルを手動で編集する必要があります。設定ファイルは、次の場所にあります：

/ライブラリ /Preferences/SystemConfiguration/com.apple.RemoteAccessServers.plist

詳しくは、 107 ページの「 VPNサーバを使用して SecurID認証を提供する」を参照してください。

第 6章 VPNサービス

VPNサービスを設定する前に VPN（ Virtual Private Network）サービスを設定する前に、使用する転送プロトコルを決定する必要があります。次のテーブルに、プラットフォーム別にサポートされているプロトコルを示します。

L2TPを使用している場合は、セキュリティ証明書（認証局からのものか、自己署名によるもの）か、接続するノード間で事前定義された共有シークレットが必要です。共有シークレットを選択する場

合は、それを安全に保護し（空白なしの英数字と句読点で 8文字以上ですが、 12文字以上を推奨）、ユーザは秘密を保つ必要があります。

PPTPを使用している場合は、転送時のセキュリティを最大限にするために、すべてのクライアントで 128ビットの PPTP接続をサポートするようにする必要があります。 40ビットの転送セキュリティを使用可能にすると、重大なセキュリティ上の危険があります。

VPN用のほかのネットワークサービスを設定する Mac OS X Server で VPNを使用可能にするには、 DHCP を詳細に制御する必要があります。 DHCPの設定は、「サーバ管理」で別に行います。 VPN クライアントに指定する IP アドレスとローカルの DHCPクライアントに指定するアドレスを重複させることはできません。 DHCPについて詳しくは、 23ページの第 2 章「 DHCPサービス」を参照してください。

VPNを使用可能にするには、 IPファイアウォールの設定も必要です。ファイアウォールは、外部 IPアドレスからのネットワークトラフィックをファイアウォールを介して LANに渡すことができる必要があります。ファイアウォールは必要に応じて開いたり制限したりできます。たとえば、 VPN クライアントが広範な IP アドレス範囲から着信する（多数のユーザが任意の数の ISPから接続してくる）場合、「任意」のファイアウォールのアドレスグループを VPN 接続に対して開く必要があります。アクセスを静的アドレスを含む狭い範囲の IP アドレスに制限する場合は、その狭い範囲を反映するアドレスグループを作成して、そのリストから送信された VPNトラフィックだけを有効にできます。

プラットフォーム L2TP/IPSecを使用可能 PPTPを使用可能 Mac OS X 10.4および 10.3.xクライアント

X X

Mac OS X 10.2.xクライアント X

Windows クライアント X（ Windows XPの場合） X

Linuxまたは Unixクライアント X X

第 6章 VPNサービス 101

102

VPNサービスを管理するこのセクションでは、 VPN サービスの管理に関する作業を説明します。サービスの開始、停止、および設定が含まれます。

VPNサービスを開始する／停止する VPNサービスを開始または停止するときは、「サーバ管理」を使用します。

VPN サービスを開始または停止するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから VPNサービスを選択します。

2 少なくとも 1つの転送プロトコルが選択され、設定されていることを確認します。


サービスが使用可能になっているときは、「サービスを停止」ボタンが表示されています。

L2TP転送プロトコルを使用可能にする／設定する L2TP を転送プロトコルとして指定するには、「サーバ管理」を使用します。このプロトコルを使用可能にする場合は、接続の設定も行う必要があります。 IPSec共有シークレット（署名されたセキュリティ証明書を使用しない場合）、クライアントに提供する IPアドレス割り当ての範囲、および VPN権限を持たせるグループ（必要な場合）を指定する必要があります。 L2TP と PPTPの両方を使用する場合は、それぞれのプロトコルに重複しない個別のアドレス範囲を指定する必要があります。

L2TPを使用可能にするには： 1 「サーバ管理」で、「コンピュータとサービス」リストから VPNサービスを選択します。


3 「 L2TP」タブを選択します。

4 「 L2TP over IPsecを有効にする」を選択します。

5 割り当てる IPアドレス範囲の開始アドレスを設定します。

6 割り当てる IPアドレス範囲の終了アドレスを設定します。

7

PPP認証のタイプを選択します。

お使いのコンピュータが Kerberos認証サーバにバインドされている場合は「 Kerberos」を選択し、そうでない場合は「 MS-CHAPv2」を選択します。

8 共有シークレットを入力するか、使用する証明書を選択します。


PPTP転送プロトコルを使用可能にする／設定する PPTP を転送プロトコルとして指定するには、「サーバ管理」を使用します。このプロトコルを使用可能にする場合は、接続の設定も行う必要があります。暗号鍵の長さ（ 128 ビットのほかに 40ビット）、クライアントに提供する IPアドレス割り当ての範囲、および VPN権限を持たせるグループ（必要な場合）を指定する必要があります。 L2TP と PPTPの両方を使用する場合は、それぞれのプロトコルに重複しない個別のアドレス範囲を指定する必要があります。


PPTPを使用可能にするには： 1 「サーバ管理」で、「コンピュータとサービス」リストから VPNサービスを選択します。


3 「 PPTP」タブを選択します。

4 「 PPTPを有効にする」を選択します。

5 必要に応じて、「 128ビットの暗号化キー以外に 40ビットの暗号化キーを許可する」を選択し、 128ビット鍵に加えて 40ビット鍵も使用できるようにします。

警告： 40 ビット暗号鍵を使用すると安全性が大幅に低下しますが、 VPN クライアントアプリケーションによっては必要となる場合があります。

6 割り当てる IPアドレス範囲の開始アドレスと終了アドレスを設定します。


VPNクライアント用に追加のネットワーク設定を行うユーザが VPN経由でサーバに接続するとき、そのユーザには割り当てた範囲の IPアドレスが提供されます。この範囲は DHCP サーバで提供できないため、追加でネットワーク設定を行う必要があります。これらの設定にはネットワークマスク、 DNSアドレス、および検索ドメインがあります。

追加のネットワーク設定を行うには： 1 「サーバ管理」で、「コンピュータとサービス」リストから VPNサービスを選択します。


3 「クライアント情報」タブを選択します。

4

DNSサーバの IPアドレスを入力します。

5 必要に応じて検索ドメインを入力します。


VPNのネットワークルーティング定義を設定するネットーワークルーティング定義を使用すると、 VPNトンネル（「プライベート」）または VPNユーザの ISP接続（「パブリック」）を介してデータを VPNクライアントからアドレスグループにルーティングするかどうかを選択できます。たとえば、 LAN 内の IP アドレス範囲に対する VPN のクライアントのすべてのトラフィックは、安全なトンネルを介して LANに送信し、それ以外のアドレスに対するすべてのトラフィックは、ユーザの通常の安全でないインターネット接続を介してルーティン

グすることができます。これにより、 VPN トンネルを通過するトラフィックをより詳細に制御できます。


104

VPN ルーティング定義に関する重要な注意事項： • ルーティング定義が追加されない場合は、デフォルトですべてのトラフィックが VPN接続を介してルーティングされます。

• ルーティング定義が追加される場合は、 VPN 接続はデフォルトルートでなくなるため、明確にプライベートルートと宣言されていないアドレスに宛てたすべてのトラフィックは VPN接続経由で送信されません。

• 現在のところ、すべての DNSルックアップは、設定されたルートに関係なく VPN接続経由で実行されます。

• 定義は整理されたものではありません。ルーティングするパケットに一番近い説明だけを適用します。

例 LANの IP アドレスがすべて 17.x.x.x である場合を考えてみましょう。ルーティング定義を作成しない場合は、すべての VPN クライアントのネットワークトラフィック（ Web ブラウザの URL 要求、 LPR プリンタキューのプリントジョブ、ファイルサーバのブラウズ）はクライアントコンピュータから VPNトンネルを経由して 17.x.x.xの LANにルーティングされます。

ここで、 LAN上にない Webサイトおよびファイルサーバに向かうトラフィックをすべて扱うことはしないことに決めます。 17.x.x.x のネットワークに送信するトラフィック、およびクライアントの通常のインターネット接続を経由するトラフィックに制限を加えることができます。トンネルが扱う

トラフィックに制限を加えるには、 17.x.x.x のネットワークに向かうトラフィックをプライベートに指定し、トンネル経由で送信を行うルーティング定義を入力します。ルーティング定義テーブルに、

次のように入力します：

17.0.0.0 255.0.0.0 Private

これで、 LANに向かうすべてのトラフィックが VPN接続経由で送信されます。デフォルトでは、定義テーブルにないほかのすべてのアドレスは、ユーザの暗号化されていないインターネット接続経

由で送信されます。

ここで、 17.x.x.x の範囲内のいくつかの IP アドレスには、 VPN 接続経由でのアクセスを許可しないことに決めます。トラフィックはユーザ独自のインターネット接続経由で送信し、トンネル経由で

は送信しないものとします。アドレスはファイアウォールの外部にあり、 17.x.x.xの LANからはアクセスできないものとします。例として、 17.100.100.x の範囲のアドレスを使ってみましょう。次のように追加のルーティング定義を入力します：

17.100.100.0 255.255.255.0 Public

アドレス定義は 17.x.x.xよりも限定的であるため、このルールはより広範で一般的なルールより優先されます。また、 17.100.100.xの範囲内のどのアドレスに向かうトラフィックも、 VPNユーザ独自のインターネット接続経由で送信されます。

要約すると、ルートを追加する場合、 Privateとして指定するルートはすべて VPN接続経由で送信され、 Publicと宣言したルートはすべて VPN接続経由で送信されません。その他の指定されていないルートもすべて、 VPN接続経由で送信されません。


ルーティング定義を設定するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから VPNサービスを選択します。



4 ルーティング定義リストの下にある追加ボタンをクリックします。

5 次のように指定して、ルーティングするパケットの宛先アドレス範囲を指定します：

a ベースアドレス（例： 192.168.0.0） b ネットワークマスク（例： 255.255.0.0）

6 ポップアップメニューからルーティング先を選択します。

a「プライベート」は、 VPNトンネルを介してルーティングすることを表します。 b「パブリック」は、トンネルなしの通常のインターフェイスを使用することを表します。



特定のユーザまたはグループへの VPNアクセスを制限するデフォルトでは、 VPN アクセスを有効にすると、サーバ上またはマスターディレクトリ内のすべてのユーザが VPNにアクセスできます。セキュリティを確保したり、管理を容易にしたりするために、 VPN アクセスを特定のユーザだけに制限することができます。 VPN へのアクセスを制限するには、 Mac OS X Serverのアクセス制御リスト機能を使用します。

アクセス制御リスト（ ACL）は、特定のユーザまたはグループがサービスにアクセスできるかどうかを個別に指定するための方法です。たとえば、 ACL を使用して、あるユーザだけにファイルサーバへのアクセス（シェルログイン）を許可し、そのサーバのほかのユーザには許可しないようにします。

ACLを使ったログインによって VPNアクセスを制限するには： 1 「サーバ管理」に表示されるサーバから、 VPNサービスを実行していて、 VPNアクセスが可能なユーザまたはグループが登録されているサーバを選択します。

2 「アクセス」をクリックします。

3 「すべてのサービスに同じアクセス権を使用する」の選択を解除します。

4 「以下のユーザとグループのみを許可する」を選択します。

5 追加（＋）ボタンをクリックして、「ユーザとグループ」パネルを表示します。

6 目的のユーザまたはグループをアクセスリストにドラッグします。



106

特定の受信 IPアドレスへの VPNアクセスを制限するデフォルトでは、 IPファイアウォールはすべての受信 VPN接続をブロックします。セキュリティを確保したり、管理を容易にしたりするために、 VPNアクセスを特定の IPアドレスだけに制限することができます。 VPNへのアクセスを制限するには、 Mac OS X Serverの IPファイアウォール機能を使用します。

IPアドレスによって VPNアクセスを制限するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから「ファイアウォール」を選択します。




5 「操作」ポップアップメニューから「許可」アクセスを選択します。

6 「プロトコル」ポップアップメニューから選択します。

お使いの VPNアクセス用に L2TPを選択した場合は、「 UDP」を選択します。

お使いの VPNアクセス用に PPTPを選択した場合は、「 TCP」を選択します。

7 ポップアップメニューから VPNサービスタイプとして「 L2TP」または「 PPTP」を選択します。

適切な宛先ポートが自動的に追加されます。

8 必要に応じて、このフィルタルールに一致するパケットのログを作成するように選択します。

9

VPNへのアクセスを許可するソース IP アドレスの範囲を（ CIDR 表記で）入力し、ポップアップメニューは「その他」のままにしておきます。

これらが、 VPNサービスに接続できる IPアドレスになります。

10 ポップアップメニューから、フィルタリングしたトラフィックの宛先用の VPNサーバがあるアドレスグループを選択します。

既存のアドレスグループを使用したくない場合は、送信先 IPアドレスの範囲を（ CIDR表記で）入力します。

11 このルールを適用する「受信」ネットワークインターフェイスを選択します。

「受信」は、指定した WANインターフェイスを示します。


13 「保存」をクリックして、フィルタをすぐに適用します。


追加の設定手順次のセクションでは、オプションの追加のシナリオのための手順について説明します。これらは、既

存のディレクトリ・サービス・システムや他社製の認証サービスと統合する必要があります。

LDAPドメイン内のユーザ用に VPN-PPTPアクセスを使用可能にする Mac OS X 10.4では、コマンドラインツールを使用して、 LDAPドメイン内のユーザ用に PPTP-VPN接続を使用可能にできます。

これにより、ユーザが PPTP経由で Mac OS X Serverへの VPN接続を確立できるが、いったん確立されると、ネットワークトラフィックによって使用されないという状況を解決できます。この影響

を受けるのは、 Mac OS X Server 10.3と 10.4です。

1

/usr/sbin/vpnaddkeyagentuserツールを、 LDAPノード（ユーザが存在するディレクトリ）の名前を引数に指定して、ルートとして実行します。

たとえば、 VPNサービスを実行中のサーバが LDAPマスターでもある場合、「ターミナル」で次のコマンドを入力します：

sudo /usr/sbin/vpnaddkeyagentuser /LDAPv3/127.0.0.1

VPNサービスを実行中のサーバが LDAPマスターではなく、 LDAP ディレクトリが別のコンピュータ上にある場合は、 LDAP サーバの IP アドレスをコマンドで使用します。たとえば、 LDAP サーバが 17.221.67.87 にある場合は、「ターミナル」で次のコマンドを入力します：

sudo /usr/sbin/vpnaddkeyagentuser /LDAPv3/17.221.67.87

2 ツールからユーザ名とパスワードの入力が求められます。

a

VPNサーバが LDAP マスターである場合は、サーバの管理者名とパスワードを入力します。 b

LDAPディレクトリが別のサーバ上にある場合は、 LDAPディレクトリを管理するサーバの管理者名とパスワード（または「ワークグループマネージャ」で LDAP ディレクトリにユーザを追加するのに使用する管理者名とパスワード）を入力します。ツールにより、ユーザが LDAP ディレクトリに追加され、 VPN サーバで追加の設定要素が設定されて、 PPTP をサポートできるようになります。

3 「サーバ管理」の VPNサービス設定パネルで、 PPTPを設定します。

4

VPNサービスを開始します。

VPN サーバを使用して SecurID認証を提供する RSA Securityでは、その製品を通して強力な認証を提供しています。ユーザの識別情報の確認には、ハードウェアおよびソフトウェアトークンが使用されます。 SecurID 認証は、 L2TPおよび PPTPトランスポートの両方で使用できます。詳細および提供される製品については、次の Webサイトを参照してください： www.rsasecurity.com


http://www.rsasecurity.com

108

Mac OS X Serverの VPNサービスは SecurID認証を提供できますが、「サーバ管理」アプリケーション内でこれを設定することはできません。「サーバ管理」を使って標準の VPN サービスを設定することはできますが、「サーバ管理」には認証方法を選択するインターフェイスがありません。デフォ

ルト（ RSA Securityの SecurIDなど）以外の認証方式を指定する必要がある場合は、 VPNの設定を手動で変更する必要があります。

SecurIDを設定する 1

RSA Security の SecurID 認証を設定するには、まず sdconf.rec ファイルを SecurID サーバから Mac OS X Server上の新しいディレクトリ「 /var/ace」にコピーする必要があります。

これを行うには、いくつかの方法があります。以下の手順は、そのうちの 1つです： a お使いのサーバで、「ターミナル」を開きます（「 /アプリケーション /ユーティリティ /」にあります）。 b

sudo mkdir /var/ace と入力して、 Returnキーを押します。 c 管理者のパスワードを入力して、 Returnキーを押します。 d「 Dock」内の「 Finder」アイコンをクリックします。 e「移動」メニューから「フォルダへ移動」を選択します。 f 次のコマンドを入力します： /var/ace g「移動」をクリックします。 h

sdconf.recファイルを SecurIDサーバから「 ace」フォルダにコピーします。

i 「 ace」フォルダは変更できないことを示すダイアログが表示されます。「認証」ボタンをクリックして、コピーを許可します。

2 次に、お使いの Mac OS X Server上で VPNサービスを設定して、使用するプロトコルの EAP-SecurID認証を有効にします。これを PPTPで使用するには、次の 2つのコマンドを「ターミナル」で実行します（各コマンドは 1行で入力します）：

# sudo serveradmin settings

vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorEAPPlugins:_array_index

: 0 = "EAP-RSA"


vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorProtocol:_array_index:0

= "EAP"

これを L2TPで使用するには、次の 2つのコマンドを「ターミナル」で実行します：


vpn:Servers:com.apple.ppp.l2tp:PPP:AuthenticatorEAPPlugins:_array_index

: 0 = "EAP-RSA"


vpn:Servers:com.apple.ppp.l2tp:PPP:AuthenticatorProtocol:_array_index:0

= "EAP"

これで、 SecurIDの設定は終了しました。 Mac OS X Serverの VPNサービス設定の残りは、「サーバ管理」アプリケーションを使って実行できます。


VPNサービスを監視するこのセクションでは、機能している VPNサービスの監視に関する作業について説明します。状況レポートへのアクセス、ログオプションの設定、ログの表示、および接続の監視などがあります。

VPNの状況の概要を表示する VPNの概要では、有効な VPNサービスについての簡単な状況レポートを表示できます。接続している L2TPおよび PPTPクライアント数、選択した認証方法、サービスの開始時刻などが分かります。

概要を表示するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから VPNサービスを選択します。


VPNサービスのログの詳細レベルを設定する VPNサービスで記録する詳細のレベルを選択できます。 • 詳細ログをオフにすると、すぐに対応する必要がある状態（たとえば、 VPN サービスが起動できないとき）だけを示すように設定できます。

• 詳細ログをオンにすると、ルーティング機能を含む、 VPNサービスによるすべてのアクティビティを記録します。

デフォルトでは詳細ログはオンになっています。

VPN ログの詳細を設定するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから VPNサービスを選択します。



4 必要に応じて詳細ログをオンにし、詳細なログの作成を有効にします。


VPNのログを表示する仮想プライベートネットワークを障害なく運用できるように、 VPNログを監視する必要があります。 VPN ログを使用すると、問題を解決するのに役立ちます。ログに表示されるのは、「 /var/log/ppp/vpnd.log」ファイルです。テキスト・フィルタ・ボックスを使用して、ルールをさらにフィルタリングできます。

ログを表示するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから VPNサービスを選択します。



110

VPNクライアント接続を表示する仮想プライベートネットワークに安全にアクセスできるように、 VPN クライアント接続を監視することができます。クライアント接続の画面には、接続しているユーザ、ユーザの接続元 IPアドレス、ネットワークで割り当てられた IPアドレス、および接続の種類と期間が表示されます。

列の見出しをクリックして、リストを並べ替えることができます。

クライアント接続を表示するには： 1 「サーバ管理」で、「コンピュータとサービス」リストから VPNサービスを選択します。

2 「接続」をクリックします。

VPNを使用する一般的なネットワーク管理作業以下のセクションでは、 VPN サービスを使用する一般的なネットワーク管理作業をいくつか説明します。

家庭のコンピュータをリモートネットワークに接続する VPN を使用すると、コンピュータをリモートネットワークに接続して、リモートネットワークが物理的に LANに接続されているかのようにアクセスできます。この例では、次の情報を使用します： • ユーザは、名前とパスワードを使って認証できます。 • 目的のVPN タイプ： L2TP • 共有シークレット： prDwkj49fd!254 • VPN ゲートウェイのインターネットまたはパブリック IP アドレス： gateway.example.com


• DHCPの開始および終了アドレス： 192.168.0.3–192.168.0.127 • プライベートネットワークのDNS IPアドレス： 192.168.0.2

この設定の結果は VPNクライアントであり、 L2TP経由でリモート LANにフルアクセス可能になります。

手順 1： VPNを設定する 1 「サーバ管理」で、「コンピュータとサービス」リストから VPNサービスを選択します。



4 「 L2TP」を選択します。

5 共有シークレットを入力します（ prDwkj49fd!254）。

共有シークレットは、クラスタのメンバーを認証する一般的なパスワードです。 IPSecは共有シークレットを事前共有鍵として使用して、クラスタノード間の安全なトンネルを確立します。


6 VPNの割り当て範囲の開始 IPアドレスを設定します。

DHCPの割り当て範囲と重複することはできないため、 192.168.0.128を入力します。

7

VPNの割り当て範囲の終了 IPアドレスを設定します。

DHCPの割り当て範囲と重複することはできないため、 192.168.0.255を入力します。

8 グループを空白のままにして、すべてのワークグループが VPNログインにアクセスできるようにします。



11 内部の LAN DNSサーバの IPアドレスを入力します（ 192.168.0.2）。

12 ルーティング定義を空のままにします。

クライアントからのすべてのトラフィックが VPNトンネルを経由します。


14

VPNサービスを開始します。

手順 2：ファイアウォールを設定する 1

VPNの割り当て範囲のアドレスグループを作成します。


2 「任意」のアドレスグループで L2TP接続を有効にして、外部 VPN接続に対してファイアウォールを開きます。

詳しくは、 68 ページの「標準サービスにファイアウォールを開放する」を参照してください。

3

VPN アドレスグループのファイアウォールを設定して、必要に応じてポートおよびサービスを許可または拒否します。

4 変更を保存し、必要に応じてファイアウォールを開始または再起動します。

手順 3：クライアントを設定するこのクライアント例は、「インターネット接続」を使用する Mac OS Xクライアントです。

1 「インターネット接続」を開きます。

2 「ファイル」＞「新規 VPN接続」と選択します。

3 「 L2TP over IPSec」を選択します。

4 「設定」ポップアップメニューから「設定を編集」を選択します。

5 次の設定情報を入力します： a サーバ名： gateway.example.com b アカウント名： <ユーザのショートネーム > c「認証」：パスワードを使用 <ユーザのパスワード > d 共有シークレット： prDwkj49fd!254


これで、ユーザは接続する準備ができました。


112

リモート・ネットワーク・ファイアウォールの背後にある単一のコンピューティングアセットにアクセスするファイアウォールの背後にある単一のコンピューティングアセットにアクセスすることは、クライア

ントがリモートネットワーク上のノードになるのを許可することとは異なります。前の例では、 VPNユーザのコンピュータはリモート LANの完全な参加者になります。この新しいシナリオでは、アクセスするアセットは 1台のファイルサーバであり、 VPNユーザのコンピュータはリモート LANとそれ以外の接続を行いません。このシナリオでは、 110 ページの「家庭のコンピュータをリモートネットワークに接続する」のセクションにあるすべての情報に加えて、以下の情報を想定しています： • ファイルサーバの IP アドレス： 192.168.0.15

• ファイルサーバのタイプ： Appleファイル共有

このシナリオでは、以下の点を除いて、 110 ページの「家庭のコンピュータをリモートネットワークに接続する」にあるすべての手順に従います：

m 手順 1のパート 12で、ルーティング定義を空のままにしません。

ファイルサーバの IP番号（ 192.168.0.15 255.255.255.255）を使ってプライベートルートを作成します。

m 手順 2のパート 3で、 Appleファイル共有プロトコルの接続および VPNアドレスグループからの DNSだけを受け付けるようにファイアウォールを設定します。

これで、 VPNゲートウェイ経由でログインした VPNユーザがファイルサーバにアクセスできるようになります。その他のネットワークトラフィックが暗号化されたゲートウェイを経由することはあ

りません。

複数のリモート・ネットワーク・サイトを接続する VPN を使用すると、コンピュータをメインネットワークに接続するだけでなく、別のネットワークを接続することもできます。このため、 2つのネットワークが物理的に接続されているかのように対話することができます。各サイトにはインターネットへの独自の接続が必要ですが、個人データは 2つのサイト間で暗号化されて送信されます。この機能がよく利用されるのは、サテライトオフィス

を組織のメインオフィスの LANに接続する場合です。

サイト間用の VPN管理ツールについて複数のリモート LANサイトをメイン LAN に接続するには、 Mac OS X Server にインストールされている s2svpnadmin（「 site-to-site VPN admin」の略）というコマンドラインユーティリティを使用する必要があります。 s2svpnadmin を使用するには、「ターミナル」の使用、および sudoを

使用したルート権限への管理アクセスに習熟している必要があります。 s2svpnadmin について詳

しくは、次のように入力してマニュアルページを参照してください：

man s2svpnadmin

複数のリモート LAN サイトをメイン LAN に接続するには、セキュリティ証明書の作成も必要になることがあります。 s2svpnadmin ツールでは、共有シークレット認証（両方のサイトの設定ファ

イルにパスワードがあります）または証明書認証を使用してリンクを作成できます。証明書認証を

使用する場合は、 s2svpnadmin を実行する前に証明書を作成する必要があります。

サイト間の VPN接続を作成するには、必ず L2TP/IPSec VPN接続を使用する必要があります。 PPTPとこれらの手順を使用して 2つのサイトを接続することはできません。


x-man-page://s2svpnadmin

この例では、次の情報を使用します： • 目的のVPN タイプ： L2TP

• 共有シークレットを使用した認証 • 共有シークレット： prDwkj49fd!254

• VPN メイン LAN ゲートウェイ（「サイト 1」）のインターネットまたはパブリック IP アドレス： A.B.C.D

• VPN リモート LAN ゲートウェイ（「サイト 2」）のインターネットまたはパブリック IP アドレス： W.X.Y.Z

• サイト 1のプライベート IP アドレス： 192.168.0.1 • サイト 2のプライベート IP アドレス： 192.168.20.1 • サイト 1のプライベートネットワーク IP アドレスの範囲とネットマスク： 192.168.0.0–

192.168.0.255（ 192.168.0.0/24または 192.168.0.0:255.255.0.0とも表現されます） • サイト 2のプライベートネットワーク IP アドレスの範囲とネットマスク： 192.168.20.0–

•

192.168.20.255（ 192.168.20.0/16または 192.168.0.0:255.255.0.0とも表現されます） • 組織のDNS IP アドレス： 192.168.0.2

この設定の結果は補助的なリモート LANであり、 L2TP経由でメイン LANに接続されます。

手順 1：両方のサイトのゲートウェイで s2svpnadmin を実行する 1 「ターミナル」で、次のように入力して s2svpnadminを開始します：

sudo s2svpnadmin

2 「 Configure a new site-to-site server」の番号を入力します。

3 識別するための設定名を入力します（空白は使用できません）。

この例では、サイト 1のゲートウェイに対して「 site_1」のように入力できます。

4 ゲートウェイのパブリック IPアドレスを入力します。

この例では、サイト 1のゲートウェイに対して A.B.C.Dを、サイト 2のゲートウェイに対して W.X.Y.Zを入力します。

5 ほかのサイトのパブリック IPアドレスを入力します。

この例では、サイト 1のゲートウェイに対して W.X.Y.Zを、サイト 2のゲートウェイに対して A.B.C.Dを入力します。

6 共有シークレット認証用に「 s」を入力して、共有シークレットを入力します：（「 prDwkj49fd!254」）。

証明書認証を使用している場合は、「 c」を入力して、使用するインストール済みの証明書を選択します。

7 この設定用のアドレッシングポリシーを 1つ以上入力します。

8 ローカル・サブネット・アドレスを入力します（例：サイト 1には 192.168.0.0、サイト 2には 192.168.20.0）。

9 アドレス範囲のプレフィクスビットを CIDR表記で入力します。

この例では、サブネット範囲の CIDR 表記はサイト 1 の場合で 192.168.2.0/16なので、「 16」を入力します。


114

10 リモート・サブネット・アドレスを入力します（例：サイト 1 には 192.168.20.0、サイト 2 には 192.168.0.0）。

11 アドレス範囲のプレフィクスビットを CIDR表記で入力します。

この例では、サブネット範囲の CIDR 表記はサイト 1 の場合で 192.168.2.0/16なので、「 16」を入力します。

12 さらにポリシーを作成する場合は、ここで指定します。作成しない場合は、 Returnキーを押します。

接続するサイトがほかにもあるか、もっと複雑なアドレスを設定する（メイン LANとリモート LANの一部だけを接続する）場合は、ここでこの設定用のポリシーをさらに作成します。

新しいポリシーを作成する場合は、前のポリシー手順を繰り返します。

13 「 y」を押して、サイト設定を有効にします。

サーバの詳細設定を表示して設定名（この例では「 site_1」）を入力することで、設定を二重にチェックできます。

14

s2svpnadminを終了します。

手順 2：両方のサイトのゲートウェイでファイアウォールを設定する 1

LANゲートウェイのパブリック IPアドレスだけを使ってアドレスグループを作成します。

この例では、サイト 1には A.B.C.D/32を、サイト 2には W.X.Y.Z/32を使用します。


2 「任意」のアドレスグループで L2TP接続を有効にして、外部 VPN接続に対してファイアウォールを開きます。

詳しくは、 68 ページの「標準サービスにファイアウォールを開放する」を参照してください。

3 両方のサイトのゲートウェイで次の詳細な IPフィルタルールを作成します：

ルール 1

操作：許可

プロトコル： UDP

ソースのアドレス： A.B.C.D

宛先のアドレス： W.X.Y.Z

インターフェイス：その他、「 isakmp」を入力

ルール 2

操作：許可

プロトコル： UDP

ソースのアドレス： W.X.Y.Z

宛先のアドレス： A.B.C.D

インターフェイス：その他、「 isakmp」を入力


ルール 3

操作：許可

プロトコル：その他、「 esp」を入力



ルール 4

操作：許可

プロトコル：その他、「 esp」を入力



ルール 5

操作：許可

プロトコル：その他、「 ipencap」を入力



ルール 6

操作：許可

プロトコル：その他、「 ipencap」を入力



詳細なルールの作成について詳しくは、 70 ページの「詳細な IPファイアウォール・ルールを作成する」を参照してください。

4 これらのルールにより、暗号化されたトラフィックを両方のホストに渡すことが可能になります。

5 変更を保存し、必要に応じてファイアウォールを開始または再起動します。

手順 3：両方のサイトのゲートウェイで VPN サービスを開始する 1 両方の VPNゲートウェイに対して、「サーバ管理」で、「コンピュータとサービス」リストから VPNサービスを選択します。

s2svpnadmin を正しく使用すれば、「サービスを開始」ボタンが有効になり、使用できるようになります。


これで、ローカル LAN からリモート LAN 上のコンピュータにアクセスできるようになりました。 pingなどの方法を使って、リンクを確認できます。


116

その他の情報 L2TP/IPSecに関する詳しい情報： IETF（ Internet Engineering Task Force）は、 L2TP/IPSec ユーザ認証の公式な標準を策定しています。詳しくは、次の Webサイトを参照してください： www.ietf.org/ids.by.wg/ipsec.html

Request For Comments書類 RFC（ Request for Comments）書類には、プロトコルやサービスの概要と、プロトコルの動作に関する詳しい情報が記載されています。サーバの管理を始めたばかりの方にとって、 RFC の背景情報は参考になるでしょう。経験豊富なサーバ管理者の場合、 RFC 書類によって、プロトコルに関する詳細な技術情報をすべて確認できます。 RFC書類は、 Webサイト www.ietf.org/rfc.html で、番号で検索できます。 •

L2TPの説明については、 RFC 2661を参照してください。

•

PPTPの説明については、 RFC 2637を参照してください。 •

Kerberos バージョン 5については、 RFC 1510を参照してください。


http://www.ietf.org/ids.by.wg/ipsec.html





7
7 NTPサービス
NTP（ Network Time Protocol）は、ネットワーク上のコンピュータの時計を、時刻参照用時計に同期するために使用されるネットワークプロトコルです。 NTP は、ネットワーク上のすべてのコンピュータから同じ時刻が報告されるようにするために使用されます。

ある独立したネットワークや単体のコンピュータが正しくない時間で運用されていると、時刻や日

付のスタンプを使用するサービス（メールサービスや、時刻の Cookie を使用する Web サービス）では正しくない時刻や日付のスタンプを送信し、インターネット上のほかのコンピュータと時刻が

一致しなくなります。たとえば、メールメッセージの着信日時が実際に送信されたタイムスタンプ

の日時より数分または数年前だったり、返信したメッセージの送信日時が実際に送信した日時の前

になることがあります。

NTPの動作 NTP では、 UTC（ Universal Time Coordinated）をその参照時刻とします。 UTC は、原子の振動を基準にしていています。 UTCに基づいて動作する時計は、「原子時計」とも呼ばれます。

インターネット全体で、信頼のおける NTPサーバ（Stratum 1サーバと呼ばれます）では、現在の UTC時刻を監視し続けます。配下にあるその他のサーバ（Stratum 2 および 3サーバと呼ばれます）は Stratum 1 サーバに定期的に問い合わせて、ネットワーク上で問い合わせの送受信にかかった時間を見積もります。問い合わせ結果にこの見積もりを考慮して、 Stratum 2 または 3 自身の時刻を設定します。この見積もりでは、ナノ秒まで誤差がありません。

ローカルネットワークでは、 Stratum 3に対して時刻を問い合わせます。その後は、同じプロセスを繰り返します。ネットワーク上の NTPクライアントコンピュータは UTC時間参照を取得し、タイムゾーン設定に基づいてローカルタイムに変換し、それに従って内部時計を設定します。

117

118

ネットワークで NTPを使用する Mac OS X Server は、 NTP クライアントとしてインターネットタイムサーバから信頼のおける時刻を受信するだけでなく、ネットワークで信頼のおけるタイムサーバとしても動作します。ローカル

クライアントは設置したサーバに問い合わせて、時計を設定できます。サーバを時刻の問い合わせ

に応答するように設定する場合は、インターネットの信頼のおけるサーバに問い合わせるようにも

設定してください。

NTPサービスを設定する NTP サービスをネットワークで実行することにした場合は、指定したサーバがより信頼のあるタイムサーバにアクセスできるようにしてください。アップルでは Stratum 2タイムサーバ time.apple.comをお客様向けに用意しています。

さらにファイアウォールで、信頼のおけるタイムサーバへの NTPの問い合わせと、ローカルクライアントからの着信の問い合わせとが、それぞれ UDPポート 123で可能になるようにする必要があります。ファイアウォールの設定について詳しくは、 59ページの第 4 章「 IPファイアウォールサービス」を参照してください。

NTPサービスを設定するには： 1 「サーバ管理」を開きます。

2 サーバで「日付と時刻を自動的に設定」が設定されていることを確認します。

この設定は、サーバの「サーバ管理」の「設定」パネルの「日付と時刻」パネルにあります。

3 タイムサーバとして機能させるサーバを選択します。



6 「 NTPを有効にする」を選択します。


第 7章 NTPサービス

クライアントで NTPを設定するローカルのタイムサーバを設定したら、ネットワーク日付や時刻を得るためにタイムサーバに問い

合わせるように、クライアントを設定できます。デフォルトでは、クライアントはアップルのタイ

ムサーバに問い合わせできます。以下の手順では、設置したタイムサーバに問い合わせるようにク

ライアントを設定します。

クライアントの NTPを設定するには： 1 「システム環境設定」を開きます。

2 「日付と時刻」をクリックします。

3 「日付と時刻を自動的に設定」を選択します。

4 ポップアップメニューを使うのではなく、フィールドのテキストを選択して削除します。

5 タイムサーバのホスト名を入力します。

ホスト名はドメイン名（ time.example.comなど）でも IPアドレスでもかまいません。

6 「システム環境設定」を終了します。

その他の情報 NTP ワークグループ、書類、および NTP のよくある質問とその答えについては、次の Web サイトにあります： www.ntp.org

公開されている NTPサーバとその使用ポリシーのリストについては、次の Webサイトにあります： www.eecis.udel.edu/~mills/ntp/servers.html

Request For Comments書類 RFC（ Request for Comments）書類には、プロトコルやサービスの概要と、プロトコルの動作に関する詳しい情報が記載されています。サーバの管理を始めたばかりの方にとって、 RFC の背景情報は参考になるでしょう。経験豊富なサーバ管理者の場合、 RFC 書類によって、プロトコルに関する詳細な技術情報をすべて確認できます。 RFC書類は、次の Webサイトで番号で検索することができます： www.ietf.org/rfc.html

NTPバージョン 3の公式な仕様は、 RFC 1305です。

第 7章 NTPサービス 119

http://www.ntp.org

http://www.eecis.udel.edu/~mills/ntp/servers.html



8
8 VLANのサポート
VLANを理解する Mac OS X Server では、 Xserveで利用可能かまたは付属している Ethernet ポートおよびセカンダリー PCI ギガビット Ethernet カード上で、 802.1q VLAN（ Virtual Local Area Network）をサポートしています。 VLANを使用すると、異なる物理 LAN上にある複数のコンピュータが同一の LAN上にあるかのように相互に通信できます。利点としては、ネットワーク帯域幅の使用効率の向上やセ

キュリティの向上があります。これは、ブロードバンドやマルチキャスト・トラフィックが共通の

ネットワークセグメント上のコンピュータにのみ送信されるためです。

Xserve G5 VLANのサポートは、 IEEE標準 802.1qに準拠しています。

VLANのクライアントメンバーシップを設定する「システム環境設定」の「ネットワーク」パネルの「 VLAN」領域で、 VLAN を設定および管理できます。 VLANに対応していない（ 802.1Q に準拠していない）装置がタグなしのフレームを転送するように設定されていることを確認することは重要です。多くの Ethernet カードは 802.1Qに準拠していません。それらの Ethernetカードがタグ付きのフレームを受信すると、 VLANタグを認識できないためにフレームを削除します。

参考： Xserve G5システムなど、お使いのハードウェアがこの機能をサポートしている場合にのみ、「ネットワーク」パネルのこの部分が表示されます。

VLANを設定するには 1 サーバに管理者としてログインします。

2 「システム環境設定」の「ネットワーク」パネルを開きます。

3 「表示」ポップアップメニューから「ネットワークポート設定」を選択します。

4 「 VLAN」ボタンをクリックします。

5

VLANで使用したい Ethernetポートを選択します。

6 「 VLANを作成」をクリックします。

121

122

7 VLANの名前を入力し、「タグ」フィールドでタグ（ 1～ 4094 の数字）を指定して「 OK」をクリックします。

この VLAN タグは VLAN ID（ VID）を示しています。各論理ネットワークには一意の VID があります。同じ VIDを使って設定されたインターフェイスは、同じ仮想ネットワーク上にあります。

8

VLANを使用するには、ネットワークポート設定のリストで VLANを選択し、「今すぐ適用」をクリックします。

その他の情報インターネット上にある、 VLANに関する詳しい情報については、次を参照してください： www.ieee.orgVLAN標準は IEEEによって定義されています。

リファレンスマニュアルリファレンスマニュアルでは、プロトコルの概要とプロトコルの動作に関する詳しい情報を得るこ

とができます。サーバの管理を始めたばかりの方にとって、リファレンスマニュアルの背景情報は

参考になるでしょう。経験豊富なサーバ管理者の場合、リファレンスマニュアルによって、プロト

コルに関する詳細な技術情報を確認できます。次の場所で利用できます： standards.ieee.org/getieee802/download/802.1Q-1998.pdf

第 8章 VLAN のサポート

http://www.ieee.org

http://standards.ieee.org/getieee802/download/802.1Q-1998.pdf

9
9 IPv6サポート
IPv6は、「 Internet Protocol Version 6」の省略形です。 IPv6は、インターネットの次世代プロトコルで、現在の Internet Protocol である IP Version 4（ IPv4、または単に IP）に取って代わるものとして設計されています。

現在の Internet Protocol では、インターネットの成長と流行に対応する上で問題が生じるようになっています。 IPv4の主な問題は次の通りです： • 限定された IPアドレッシング。

IPv4のアドレスは 32ビットです。つまり、 43億個のネットワークアドレスしかありません。

• ルーティングと設定の負荷が増大してきた。インターネットに新しいコンピュータが接続するにしたがって、 IPv4 情報をルーティングするためのネットワークのオーバーヘッド、メモリ、時間が急速に増大してきました。

• エンドツーエンドの通信がいつも遠回りになってしまう。この点は、実際には IPv4 アドレッシングの問題から生じています。コンピュータの数が増加し、アドレスの不足がさらに深刻になってきたために、別のアドレス方式およびルーティングサービ

スである NAT（ Network Address Translation）が開発されました。 NAT は、 2 つのネットワーク・エンド・ポイントを仲介および分離します。ただし、これによりネットワークサービスの多

くが失敗したり、制限されてきました。

IPv6 ではこれらの問題を解決したり、改善したりします。ルーティングやネットワークの自動設定を強化します。ネットワークアドレス数が 3× 10 38個以上に増え、 NATを使用する必要性がなくなります。 IPv6は何年もかけて徐々に IPv4に取って代わる計画で、移行中は両方が共存します。

この章では、 Mac OS X Server で使用される IPv6 対応サービスをリストし、それらのサービスで IPv6アドレスを使用する際のガイドラインを示し、 IPv6のアドレスの種類と表記を説明します。

123

124

IPv6対応サービス Mac OS X Serverの次のサービスは、アドレッシングに IPv6 をサポートしています： •

DNS（ BIND）

•

IPファイアウォール • メール（ POP/IMAP/SMTP） •

SMB/CIFS

•

Web（ Apache 2）

さらに、 Mac OS X Server にインストールされているコマンドラインツールにも、 IPv6 をサポートするものがあります（ ping6、 traceroute6など）。

サーバ管理での IPv6アドレス前述のサービスでは、ユーザインターフェイスでの IPv6アドレスはサポートしていません。 IPv6アドレスを追加するにはコマンドラインツールを使用して設定できますが、同じアドレスを「サーバ

管理」のアドレスフィールドに入力してもエラーになります。

IPv6アドレス IPv6のアドレスは IPv4のアドレスと異なります。アドレスを変えると、アドレスの表記、予約済みアドレス、アドレスモデル、アドレスの種類に変更があります。

表記 IPv4アドレスは 4バイト長で 10進数で表記しますが、 IPv6アドレスは 16バイトで、多くの方法で表記できます。

IPv6アドレスは、一般に次の形式で記述されます：

xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx

IPv6のバイトのペアはコロン（ :）で区切られ、それぞれのバイトは 16進数のペアで表されます。たとえば次のようになります：

E3C5:0000:0000:0000:0000:4AC8:C0A8:6420

または

E3C5:0:0:0:0:4AC8:C0A8:6420

IPv6アドレスでは、値が 0 のバイトが多く含まれることがあるため、省略表記が利用できます。省略表記では、テキスト表現から 0を取り除いて、コロンを並べることができます：

E3C5::4AC8:C0A8:6420

第 9章 IPv6サポート

最後の表記法では、 IPv4アドレスを含めることができます。多くの IPv6アドレスは IPv4アドレスを拡張したものであるため、 IPv6 アドレスで一番右側の 4 バイト（一番右側の 2 つのバイトペア）を IPv4 表記で書き直すことができます。この混合表記は、（上記の例を使用すると）次のように表現されます：

E3C5:4AC8:192.168.100.32

IPv6の予約アドレス IPv6 では、 2 つのアドレスを予約していて、ネットワークノードが通信目的に使用できないようになっています：

0:0:0:0:0:0:0:0（指定なしアドレス、プロトコル内部で使用）

0:0:0:0:0:0:0:1（ループバックアドレス、 IPv4での 127.0.0.1と同じ）

IPv6のアドレッシングモデル IPv6アドレスは、インターフェイス（ Ethernetカードなど）に割り当てられ、ノード（コンピュータなど）には割り当てられません。 1つのインターフェイスに複数の IPv6 アドレスを割り当てることができます。また、負荷を共有するために、 1つの IPv6 アドレスを複数のインターフェイスに割り当てることもできます。ルーターには IPv6アドレスが必要なく、ルーターにポイントツーポイントのユニキャストを設定する必要がありません。さらに、 IPv6では IPv4アドレスのクラスを使用しません。

IPv6アドレスの種類 IPv6では、次の 3種類の IPアドレスの種類をサポートしています： • ユニキャスト（ 1対 1通信） • マルチキャスト（ 1対多通信） • エニーキャスト

IPv6 ではブロードキャストをサポートしていません。マルチキャストをネットワークブロードキャストに使用します。それ以外は、 IPv6のユニキャストとマルチキャストは IPv4と同じです。 IPv6のマルチキャストアドレスは、先頭が「 FF」（ 255）になります。

エニーキャストはマルチキャストの一種です。マルチキャストはマルチキャストグループ内の全

ノードにメッセージを配信しますが、エニーキャストはマルチキャストグループ内のいずれか 1ノードにメッセージを配信します。

第 9章 IPv6サポート 125

126

その他の情報 Internet Protocol Version 6のワーキンググループの Webサイトは次の通りです： www.ipv6.org

IPv6推進者のグループは、次の Web サイトで IPv6をサポートするアプリケーションのリストを管理しています： www.ipv6forum.com/navbar/links/v6apps.htm

Request For Comments書類 RFC（ Request for Comments）書類には、プロトコルやサービスの概要と、プロトコルの動作に関する詳しい情報が記載されています。サーバの管理を始めたばかりの方にとって、 RFC の背景情報は参考になるでしょう。経験豊富なサーバ管理者の場合、 RFC 書類によって、プロトコルに関する詳細な技術情報をすべて確認できます。 RFC書類は、次の Webサイトで番号で検索することができます： www.ietf.org/rfc.html

29以上の IPv6関連 RFC書類があります。関連書類のリストは次の Webサイトにあります： www.ipv6.org/specs.html

第 9章 IPv6サポート

http://www.ipv6.org

http://www.ipv6forum.com/navbar/links/v6apps.htm


http://www.ipv6.org/specs.html

用語集

用語集

この用語集では、オンラインヘルプや「 Mac OS X Server ネットワークサービスの管理バージョン 10.4 以降用」で使用されている用語の定義と略語の意味を説明します。用語集に定義されている語句は太字で記載されています。

ACL Access Control List の略語。システムによって管理されるファイルの 1つ。そのシステムのリソースに対するユーザとグループのアクセス権限を定義しています。

Challenge Handshake Authentication Protocol 「CHAP」を参照してください。

CHAP Challenge Handshake Authentication Protocol の略語。一般的な認証プロトコル。「MS-CHAP」も参照してください。

DHCP Dynamic Host Configuration Protocolの略語。クライアントコンピュータに IPアドレスを動的に割り当てるためのプロトコル。クライアントコンピュータが起動するたびに、 DHCPは DHCPサーバを検索し、見つかった DHCPサーバに IPアドレスを要求します。 DHCPサーバは、使用可能な IP アドレスを調べ、これをリース期間に合わせてクライアントコンピュータに送ります。リース期間とは、クライアントコンピュータがアドレスを使用できる期間のことです。

DHCPリース期間「リース期間」を参照してください。

DNS Domain Name Systemの略語。 IPアドレスをドメイン名にマップする分散型のデータベース。 DNSサーバは、ネームサーバとも呼ばれ、名前および名前に関連付けられた IPアドレスのリストを保持します。

DNSドメイン Domain Name System で IP アドレスと名前の変換に使用する一意のコンピュータ名。「ドメイン名」とも呼ばれます。

DNS名 Domain Name Systemで IPアドレスと名前の変換に使用する一意のコンピュータ名。「ドメイン名」とも呼ばれます。

Domain Name System 「DNS」を参照してください。

Dynamic Host Configuration Protocol 「DHCP」を参照してください。

EAP Extensible Authentication Protocol の略語。認証プロトコルの 1 つで、複数の認証方法に対応しています。

127

128

Ethernet ローカル・エリア・ネットワークで普及している技術の 1 つで、 TCP/IP などのプロトコルを使ってパケットと呼ばれる単位でデータが転送されます。

Ethernet ID 「MAC アドレス」を参照してください。

FTP File Transfer Protocol の略語。コンピュータがネットワーク経由でファイルを転送する際に使用するプロトコル。 FTP をサポートするオペレーティングシステムを使っている FTP クライアントは、各自のアクセス権に応じて、ファイルサーバに接続し、ファイルをダウンロードできます。ほ

とんどのインターネットブラウザおよび多数のフリーウェア・アプリケーションを使って、 FTPサーバにアクセスできます。

GB ギガバイト。 1,073,741,824（ 2 30）バイト。

HTTP Hypertext Transfer Protocolの略語。 World Wide Web用のクライアント／サーバ型のプロトコル。 Webブラウザは、 HTTPプロトコルを利用して、 Webサーバにアクセスし、 HTMLを使って作成されたハイパーメディア書類を要求します。

Hypertext Transfer Protocol 「HTTP」を参照してください。

IANA Internet Assigned Numbers Authority の略語。 IP アドレスやプロトコルパラメータの割り当て、ドメイン名の管理を行う組織。

ICMP Internet Control Message Protocol の略語。ホストサーバとゲートウェイの間で使用するメッセージ制御とエラーレポートのプロトコル。たとえば、一部のインターネット・ソフトウェア・

アプリケーションでは、 ICMPを使用して、 2つのホスト間でパケットを巡回させて巡回時間を判別し、ネットワークの問題を検出します。

IEEE Institute of Electrical and Electronics Engineers, Inc. の略語。コンピュータ技術と電気技術の規格を促進するために設立された組織。

IGMP Internet Group Management Protocol の略語。マルチキャストと呼ばれる処理の中で、ホストおよびルーターが参加を希望するホストのリストにパケットを送信するために使用するイン

ターネットプロトコル。 QuickTime Streaming Server（ QTSS）では、 SLP（ Service LocationProtocol）と同様に、マルチキャストアドレス方式が使用されます。

Internet Assigned Numbers Authority 「IANA」を参照してください。

Internet Control Message Protocol 「ICMP」を参照してください。

Internet Group Management Protocol 「IGMP」を参照してください。

Internet Message Access Protocol 「IMAP」を参照してください。

Internet Protocol 「IP」を参照してください。

IP Internet Protocol の略語。 IPv4 とも呼ばれます。ローカルネットワークまたはインターネットを経由してコンピュータ間でデータを送受信するために、 TCP（ Transmission Control Protocol）と共に使用される方式。 IP がデータパケットを実際に配送するのに対し、 TCP はデータパケットを管理します。

用語集

IPSec IP のセキュリティを強化する技術。 L2TP VPN 接続でデータを安全に転送するためのプロトコル。 IPSec はネットワーク層として機能して、 IPSec に参加しているノード間で転送される IP パケットを保護および認証します。

IPv4 「IP」を参照してください。

IPv6 Internet Protocol バージョン 6。 IP（ IPv4 とも呼ばれます）に代わる次世代の通信プロトコル。 IPv6 では、使用できるネットワークアドレスの数が大幅に増え、インターネット上のルーティングの負荷を低下させることができます。

IPアドレスインターネット上のコンピュータを識別するために使われる、数字で構成される一意のアドレス。

IPサブネット IP ネットワークの一部。ネットワークアドレスはネットワークのほかの部分と共有し、サブネット番号によって識別されます。物理的に独立したネットワークセグメントの場合もあ

ります。

ISP Internet service provider の略語。インターネットへのアクセスを販売し、場合によってはメールサービスや電子商取引用アプリケーションの Webホストとしての機能を提供するビジネス。

KB キロバイト。 1,024（ 2 10）バイト。

L2TP Layer Two Tunnelling Protocolの略語。 VPN接続で使用されるネットワーク・トランスポート・プロトコル。基本的には、 Cisco社の L2Fおよび PPTPの組み合わせです。 L2TP自体は暗号化プロトコルではないので、パケットの暗号化には IPSecが使用されます。

LAN ローカル・エリア・ネットワーク。特定の施設内を接続するネットワーク。 WAN（広域ネットワーク）の場合は、地理的に離れた施設を接続します。

LDAP Lightweight Directory Access Protocolの略語。ディレクトリドメインにアクセスするための標準規格のクライアント／サーバ型のプロトコル。

Lightweight Directory Access Protocol 「LDAP」を参照してください。

Mac OS X アップルのオペレーティングシステムの最新バージョン。 Mac OS X では、 Macintoshの操作性に UNIXの信頼性が追加されています。

Mac OS X Server 簡単な設定だけで Mac、 Windows、 UNIX、および Linuxクライアントに対応する、業務用のサーバプラットフォーム。拡張可能なワークグループサービスとネットワークサービ

スや、高度なリモート管理ツールが用意されています。

MACアドレス Media Access Controlアドレス。ネットワーク上の各ノードを一意に識別するハードウェアのアドレス。 AirMac装置の MAC アドレスは、 AirMac IDと呼ばれます。

Media Access Control 「MAC アドレス」を参照してください。

Microsoft Challenge Handshake Authentication Protocol 「MS-CHAP」を参照してください。

用語集 129

130

MS-CHAP Microsoft Challenge Handshake Authentication Protocol の略語。 Windows 標準の VPN 認証方式。この認証方式では、パスワードがネットワーク上に送信されるときにエンコードされ、スクランブルされた状態でパスワードがサーバ上に保管されます。ネットワーク転送中のセキュ

リティが向上します。 MS-CHAPは、 Windows 仕様の CHAPです。

MXレコードメール交換レコード。 DNSテーブルのエントリーの 1つ。特定のインターネットドメインのメールをどのコンピュータが管理しているかが指定されています。あるメールサーバに特定

のインターネットドメインに配信するメールがある場合、メールサーバはそのドメインの MXレコードを要求します。メールサーバは、 MXレコードに指定されているコンピュータにそのメールを送信します。

NAT Network Address Translationの略語。 1つの IPアドレスを使用して複数のコンピュータをインターネット（またはその他の IPネットワーク）に接続する方法の 1つ。内部のプライベートネットワーク上でコンピュータに割り当てられた IP アドレスを、インターネット通信のために一意の正式な IPアドレスに変換します。

NetInfo アップルのプロトコルの 1 つ。ディレクトリドメインにアクセスするときに使います。

Network Address Translation 「NAT」を参照してください。

NTP Network Time Protocol の略語。ネットワークプロトコルの 1 つで、ネットワーク上のコンピュータのクロックを参照クロックに同期させるときに使用されます。 NTP は、ネットワーク上のすべてのコンピュータから同じ時刻が報告されるようにするために使用されます。

Point to Point Tunneling Protocol 「PPTP」を参照してください。

Post Office Protocol 「POP」を参照してください。

PPTP Point to Point Tunneling Protocol の略語。 VPN 接続で使用されるネットワーク・トランスポート・プロトコル。 Windows 標準の VPN プロトコルで、ユーザが入力したパスワードを使って暗号化鍵が生成されます。

PTRレコードポインタレコード。 IP（ IPv4）アドレスをドメイン名に変換する DNS レコードタイプ。 DNS逆引き参照で使用されます。

QTSS QuickTime Streaming Serverの略語。インターネットを経由してリアルタイムでメディアを配送するためのテクノロジー。

QuickTime Streaming Server 「QTSS」を参照してください。

Secure Sockets Layer 「SSL」を参照してください。

SLP DA Service Location Protocol Directory Agent の略語。利用できるサービスをネットワークに登録して、ユーザが簡単にアクセスできるようにするためのプロトコル。あるサービスをネット

ワークに追加すると、そのサービスは SLP によって自動的にネットワークに登録されます。 SLP/DAでは、リポジトリを使用して、登録済みネットワークサービスを集中的に管理しています。

用語集

SMTP Simple Mail Transfer Protocol の略語。メールの送信および転送に使用されるプロトコル。受信メッセージをキューに保存する能力に限界があるため、通常はメールを送信するときだけ使用

され、メールを受信するときには POPまたは IMAPが使用されます。

SPAM 迷惑メールやジャンクメール。

SSL Secure Sockets Layer の略語。暗号化された認証済みの情報をインターネットで送信するためのインターネットプロトコル。新しいバージョンの SSL は TLS（ Transport Level Security）として知られています。

SSL Secure Sockets Layer の略語。暗号化された認証済みの情報をインターネットで送信するためのインターネットプロトコル。新しいバージョンの SSL は TLS（ Transport Level Security）として知られています。

Stratum 1 インターネット上で使用される、基準となる Network Time Protocol（ NTP）サーバで、現在の UTC時刻に同期されています。ほかの階層も利用することができます（ Stratum 2、 Stratum3など）。この場合、大きい階層番号のサーバは、小さい階層番号のサーバから時刻を取得します。

TCP Transmission Control Protocolの略語。インターネットを経由してコンピュータ間でメッセージ単位の形式のデータを送信するときに、 IP（ Internet Protocol）と共に使用される方式。 IPがデータを実際に配送する処理を行うのに対して、 TCPは個々のデータの単位（パケット）を追跡します。インターネットでは、メッセージを効率的にルーティングするために、メッセージがパケットに分

割されます。

Time-To-Live 「TTL」を参照してください。

Transmission Control Protocol 「TCP」を参照してください。

TTL Time-To-Liveの略語。 DNS情報がキャッシュに保管されている期間。ドメイン名と IPアドレスのペアがキャッシュに保管されている期間が TTL値を超えると、そのエントリーはサーバのキャッシュから削除されます（プライマリ DNSサーバからは削除されません）。

TXTレコードテキストレコード。 DNSレコードタイプの 1 つ。 DNSクエリーに応答するためのテキスト文字列が保管されます。

UCE 商用目的の迷惑メール。「SPAM」を参照してください。

UDP User Datagram Protocol の略語。通信方法の 1 つ。 Internet Protocol（ IP）を使ってあるコンピュータのデータ単位（データグラムと呼ばれます）をネットワーク上の別のコンピュータに送

信します。交換するデータ単位量が非常に少ないネットワークアプリケーションの場合は、 TCP ではなく UDPを使用することをお勧めします。

User Datagram Protocol 「UDP」を参照してください。

UTC 協定世界時。標準参照時刻。 UTCは、原子の振動を基準にしていています。 UTCに基づいて動作する時計は、「原子時計」とも呼ばれます。

Virtual Private Network 「VPN」を参照してください。

用語集 131

132

VPN Virtual Private Network の略語。インターネットなどのパブリックネットワークでセキュリティ保護された通信を提供するための、暗号化およびその他の技術を使ったネットワーク。一般に、 VPN は、専用回線を使用する実際のプライベートネットワークよりも安価ですが、両方の終端で同じ暗号化システムを使用する必要があります。暗号化は、ファイアウォールソフトウェアまたはルー

ターによって行われます。

WAN 広域ネットワーク。地理的に離れた施設を接続するネットワーク。 LAN（ローカル・エリア・ネットワーク）の場合は、特定の施設内を接続します。 WAN インターフェイスは通常、インターネットに接続されるインターフェイスとなります。

Windows Internet Naming Service 「WINS」を参照してください。

WINS Windows Internet Naming Service の略語。 Windows コンピュータが、クライアント名と IPアドレスを照合するときに使用する名前解決サービス。 WINSサーバは、ローカルネットワークに設置することも、外部のインターネットに設置することもできます。

WLAN ワイヤレス・ローカル・エリア・ネットワーク。

アクセス権（ permissions）ファイルシステム内の共有項目に対するユーザアクセスの種類を定義する設定。共有ポイント、フォルダ、またはファイルに対して、「読み出し／書き込み」、「読み出し

専用」、「書き込み専用」、「不可」（アクセス権なし）の 4つのタイプのアクセス権を割り当てることができます。「アクセス権（privileges）」も参照してください。

アクセス権（ privileges）システムの制限された領域にアクセスする権限、またはシステム内で特定のタスク（管理タスクなど）を実行する権限。

アクセス制御ネットワークまたはネットワークサービスにアクセスできるコンピュータを制御する方式。

アクセス制御リスト「ACL」を参照してください。

アドレスネットワーク上のコンピュータ、ディスクに保管されているデータブロック、またはコンピュータメモリ内の場所を一意に識別するための、数字などの識別子。「IP アドレス」、「MAC アド

レス」も参照してください。

暗号化特別な知識がないと読むことができないように、データを不明瞭にする処理。通常は、機密性を重視する場合や通信を公開したくない場合に行われます。「暗号解除」も参照してください。

インターネット一般に、共通のプロトコル（ TCP/IP）を介して通信する、相互に接続されたコンピュータネットワーク。固有名としてのインターネットは、相互に接続されたコンピュータネット

ワークの、世界で最も広範な公開システムです。

インターネット・サービス・プロバイダ「ISP」を参照してください。

オープンソースインターネットコミュニティがソフトウェアを協調開発することを指す用語。コードを作成してデバッグするときにできるだけ多くの開発者が関わることが、基本方針となっていま

す。そのために、ソースコードを公開し、修正や拡張を提出する開発者のコミュニティができるだ

け大きくなるように運営されます。

用語集

オープンディレクトリ LDAP、 NetInfo、または Active Directoryプロトコルを使用するディレクトリドメイン内のユーザおよびネットワークリソースのアクセス権情報、 BSD 設定ファイル、およびネットワークサービスにアクセスするための、アップルのディレクトリサービスのアーキテクチャ。

オープンリレー受信したメールを別のサーバに自動的に転送するサーバ。迷惑メールの送信者は、自分のメールサーバが迷惑メールの送信元としてブラックリストに登録されないようにするため

に、オープンリレーサーバを悪用します。

ギガバイト「GB」を参照してください。

協定世界時「UTC」を参照してください。

共有シークレット L2TP VPN 接続の各ノードに定義される値。認証接続およびデータ転送接続をネゴシエートするための、暗号化鍵のシードとして使用されます。

クラッカーコンピュータシステムに認証されていないアクセスをしようとする悪意のあるユーザ。コンピュータまたはネットワークを混乱させたり、情報を不正に取得することを目的としています。

「ハッカー」と比較してください。

クリアテキスト暗号化されていないデータ。

ゲートウェイネットワーク間の接点となるネットワークノード。プライベート LAN とパブリック WANを連結するコンピュータを指すこともあります。ネットワークアドレス変換は、使用することもあれば使用しないこともあります。ルーターは、関連するネットワークセグメントを連結する特

殊なゲートウェイです。

検索パス「検索方式」を参照してください。

検索方式 Mac OS Xコンピュータで設定情報が必要なときに検索するディレクトリドメインのリスト、およびドメインの検索順序。検索パスとも呼ばれます。

コマンドラインコマンドラインインターフェイスを使うときに、シェルプロンプトで入力するテキスト。

コマンドラインインターフェイスプログラムを実行したり、ファイルシステムのアクセス権を変更するなどのために、コンピュータシェルプロンプトにテキストコマンドを入力する方法で、コン

ピュータと対話する方法。

コンピュータ名 SLP および SMB/CIFS サービスの登録に使用するデフォルト名。「 Finder」のネットワークブラウザでは、 SLPを使用して、パーソナルファイル共有および Windowsファイル共有をアドバタイズするコンピュータを検索します。ネットワークブラウザは、ネットワークルーターの

設定に応じてサブネットをブリッジするように設定できます。パーソナルファイル共有を入にする

と、「 Finder」の「サーバへ接続」ダイアログにコンピュータ名が表示されます。最初は「 <最初に作成したユーザ > のコンピュータ」（たとえば、「ジョンのコンピュータ」など）のようになりますが、好きなように変更できます。コンピュータ名は、ネットワークアドレスではなくコンピュータ

名でコンピュータを識別するネットワーク・ファイル・サーバ、プリントキュー、 Bluetooth検出、 Apple Remote Desktop クライアント、およびその他のネットワークリソースのブラウズに使用されます。また、コンピュータ名は、デフォルトのローカルホスト名の基礎にもなります。

用語集 133

134

サーバサービス（ファイルサービス、メールサービス、 Web サービスなど）をほかのコンピュータまたはネットワーク装置に提供するコンピュータ。

サービス拒否「サービス拒否攻撃（DoS attack）」を参照してください。

サービス拒否攻撃（ denial of service attack）「サービス拒否攻撃（DoS attack）」を参照してください。

サービス拒否攻撃（ DoS attack）サービス拒否攻撃。インターネット攻撃の 1つで、大量のネットワーク pingを使ってサーバの適正な使用を妨害します。

再帰ドメイン名を完全な IPアドレスに解決する処理。非再帰的な DNSクエリーでは、 IPアドレスを解決するときに、ほかの DNS サーバを参照することができます。一般的に、ユーザアプリケーションはその DNS サーバに依存してこの機能を実行しますが、ほかの DNS サーバは再帰的なクエリーを実行する必要はありません。

サブドメインホスト名とも呼ばれます。インターネット上のコンピュータのドメイン名の一部。これには、ドメイン、および .com、 .net、 .us、 .uk などのトップ・レベル・ドメイン（ TLD）は含まれません。ドメイン名「 www.example.com」は、サブドメイン「 www」、ドメイン「 example」、およびトップ・レベル・ドメイン「 com」で構成されています。

サブネット同じネットワーク内で、場所（建物のフロアなど）や用途（中学 2 年生の生徒全員など）によって分類されたクライアントコンピュータのグループ。サブネットを使用することによっ

て、管理が簡単になります。「IP サブネット」も参照してください。

サブネットマスク IPネットワークで、 IPアドレスのどの部分がネットワーク番号かを指定するために使用される番号。

シェルほかのプログラムを実行するプログラム。シェルプロンプトにコマンドを入力すれば、シェルを使ってコンピュータと対話できます。「コマンドラインインターフェイス」も参照してください。

シェルプロンプトコマンドラインインターフェイスの行の先頭に表示される文字。コマンドを入力できることを示します。

手動ユニキャストライブストリームを 1 つの QuickTime Playerクライアントまたは QTSSを実行しているコンピュータに転送する方法。 SDP ファイルは通常、ブロードキャスターアプリケーションで作成してから、ビューアまたはストリーミングサーバに手動で送信する必要があります。

証明書「 ID 証明書」または「公開鍵証明書」と呼ばれることもあります。特定のフォーマット（ Mac OS X Serverでは x.509フォーマットが使用されます）のファイルで、鍵ペア（公開鍵と秘密鍵）のうちの公開鍵、ユーザの識別情報（ユーザ名、コンタクト情報ど）、および認証局（ CA）または鍵使用者のデジタル署名が入っています。

スコープサービスのグループ。スコープは、コンピュータの論理グループ（たとえば、制作部門で使用されるすべてのコンピュータ）またはコンピュータの物理グループ（たとえば、 1階にあるすべてのコンピュータ）として定義できます。また、ネットワークの一部またはすべてとして定義でき

ます。

用語集

正規の名前サーバに「ニックネーム」またはエイリアスを割り当てているときの、サーバの「実際の」名前。たとえば、 mail.apple.comの正規の名前は MailSrv473.apple.comのようになっています。

静的 IPアドレスコンピュータまたは装置に一度だけ割り当てられ、変更されることのない IPアドレス。

ゾーン転送ゾーンデータを信頼された DNS サーバの間で複製する方法。スレーブ DNSサーバは、マスターサーバのデータを取得するために、マスターサーバにゾーン転送を要求します。

タイムサーバネットワークサーバの 1つ。ネットワーク上のほかのコンピュータのクロックはこのサーバのクロックに同期されるので、すべてのコンピュータから同じ時刻が報告されます。「NTP」

も参照してください。

ディレクトリサービスディレクトリドメインや、ユーザやリソースに関するその他の情報ソースへのアクセスを、システムソフトウェアおよびアプリケーションに統合的に提供するサービス。

動的 IPアドレス一定期間またはクライアントコンピュータで必要としなくなるまで割り当てられる IPアドレス。

ドメイン名「DNS 名」を参照してください。

認証局公開ネットワーク上でデータを安全に転送できるように、デジタル証明書を発行して管理する機関。「公開鍵インフラストラクチャ」および「証明書」も参照してください。

ネームサーバ名前と、それぞれの名前に関連付けられている IP アドレスのリストを保持しているネットワーク上のサーバ。「DNS」、「WINS」も参照してください。

ネットワークインターフェイスコンピュータをネットワークにハードウェアを介して接続すること。 Ethernet 接続、 AirMacカード、および FireWire接続などがあります。

ネットワーク・インターフェイス・カード「NIC」を参照してください。

ノード処理を実行する場所。ノードには、コンピュータのほかに、プリンタなどの装置が含まれます。各ノードには、一意のネットワークアドレスが割り当てられます。 Xsanでは、ストレージ・エリア・ネットワークに接続されたコンピュータを指します。

バイトデータを測定するための基本単位。 1バイトは 8ビット（ 2 進数字）に相当します。

パケットデータ情報の単位で、ヘッダレコード、情報レコード、エラー検出レコード、およびトレーラレコードで構成されます。 QTSSでは、 TCP、 UDP、および IPパケットを使って、ストリーミングクライアントと通信が行われます。

パスワードユーザの識別情報を認証したり、ファイルまたはサービスへのアクセスを承認するために使用される英数文字列。

パスワードサーバ「オープンディレクトリ・パスワード・サーバ」を参照してください。

パスワード方式ユーザのパスワードの構成および検証を規定する一連のルール。

用語集 135

136

ハッカープログラミングが趣味で、新しい機能のプログラミングやコンピュータシステムの機能の拡張を追究する人のこと。「クラッカー」も参照してください。

ビット情報の単位の 1つで、値は 0または 1。

標準テキスト暗号化されていないテキスト。

ファイアウォールサーバで実行するネットワークアプリケーションを保護するためのソフトウェア。 Mac OS X Serverソフトウェアの一部である IPファイアウォールサービスは、受信 IPパケットを調べ、管理者が作成したフィルタのセットに基づいてパケットを拒否するか、受け付けます。

フィルタサーバへのアクセスを制御するための、アクセスの選別方法。フィルタは、 IPアドレスとサブネットマスクで構成されます。ボート番号とアクセスの種類が含まれることもあります。 IP アドレスとサブネットマスクによって、フィルタが適用される IPアドレスの範囲が決まります。

フォワードゾーン自身ではレコードを持たずに、 DNS クエリーをほかのゾーンに転送するだけの DNSゾーン。

負荷分散クライアントコンピュータのネットワークサービス要求を複数のサーバに分散してパフォーマンスを最適化する処理。

ブリッジコンピュータネットワーク装置の 1つで、ワイヤレスや Ethernetなどの 2種類のネットワークメディアを接続します。ネットワークのゲートウェイとして機能し、ネットワークトラフィッ

クをルーティングまたは加工しないで、転送先のメディアに直接渡します。ネットワークブリッジ

で接続されているメディアは、両方とも同じ IPアドレスサブネットを使用している必要があります。ブリッジは、小さな関連するネットワークセグメントを単純な方法で接続します。

ブロードキャスト一般的なネットワーク用語では、ネットワーク上のすべてのクライアントが読み込むことができるメッセージまたはデータを転送することを指します。ブロードキャストは、ユニ

キャスト（特定のコンピュータにメッセージを送信すること）またはマルチキャスト（一部の選択

したコンピュータにメッセージを送信すること）と対照される概念です。 QuickTime StreamingServerでは、 1つのストリームをネットワーク全体に転送する処理を指します。

プロキシサーバ Web ブラウザなどのクライアントアプリケーションと実際のサーバのと間に配置されるサーバ。プロキシサーバは、実際のサーバへの要求を仲介し、プロキシサーバで要求に対応

できるかどうかを確認します。プロキシサーバで対応できない場合は、実際のサーバに転送します。

プロトコル 2 つのアプリケーションの間でどのようにデータを送受信するかを定義した一連のルール。

ポート仮想メールスロットの一種。サーバは、ポート番号を使用して、どのアプリケーションがデータパケットを受け取るかを判断します。ファイアウォールは、ポート番号を使用して、データ

パケットがローカルネットワークを通過していいかどうかを判断します。通常は、 TCP ポートまたは UDPポートを指します。

ポインタレコード「PTR レコード」を参照してください。

用語集

ホスト名サーバの一意名。従来は、 UNIXホスト名と呼ばれていました。 Mac OS X Serverのホスト名は、主にクライアントから NFS ホームディレクトリにアクセスするときに使用されます。サーバは、次のソースのうち最初に使用できる名前を使って、ホスト名を決定します：「 /etc/hostconfig」ファイル（ HOSTNAME=some-host-name）に指定されている名前、 DHCPまたは BootPサーバから渡されるプライマリ IPアドレスの名前、リバース DNS（アドレスから名前への変換）クエリーから返されるプライマリ IPアドレスの最初の名前、ローカルホスト名、「 localhost」という名前。

マスターゾーンプライマリ DNSサーバが管理する DNSゾーンレコード。マスターゾーンは、ゾーン転送によってセカンダリー DNSサーバのスレーブゾーンに複製されます。

マルチキャスト一般的には、ネットワーク上の一部の指定したコンピュータにメッセージを同時に転送することを指します。「ブロードキャスト」、「ユニキャスト」も参照してください。 QuickTimeストリーミングでは、 1対多方式で効率的にストリーミングすることを指します。マルチキャストに参加したり参加を取り消す操作はユーザが行うことができますが、それ以外の操作をユーザが行う

ことはできません。

マルチキャスト DNS IP ネットワーク上のコンピュータ、装置、およびサービスを自動的に検出するための、アップルが開発したプロトコル。このインターネットプロトコルは、標準化が企画され

ており、「 ZeroConf」、「ゼロコンフ」などと呼ばれることもあります。詳しくは、 www.apple.com/jpまたは www.zeroconf.orgを参照してください。 Mac OS X Serverでこのプロトコルを使用する方法については、「ローカルホスト名」を参照してください。

マルチホーミング複数のネットワーク接続をサポートする機能。複数の接続が利用可能な場合、 Mac OS Xでは、「ネットワーク」環境設定で指定された順序に従って最適な接続が選択されます。

メール交換レコード「MX レコード」を参照してください。

メガバイト「MB」を参照してください。

文字バイトの同義語。

ユーザ名ユーザのロングネームまたはショートネーム。「ユーザの名前」とも呼ばれ、画面で「名前」と表示されるユーザ名は、たいていユーザのロングネームです。ユーザのロングネームには、リ

アルネーム（実名）を使用することがあります。画面で「ユーザ名」と表示されるのは、たいてい

ショートネームのことです。

ユニキャストデータを 1つの受信者またはクライアントに転送すること。ムービーが RSTPを使って特定のユーザにユニキャスト転送される場合、そのユーザはオンデマンドムービーの中をいつで

も好きな場所に移動できます。

リース期間 IPアドレスが割り当てられる期間。リース期間を短くすると、ネットワークで利用可能な IPアドレスよりもコンピュータ数が多い場合でも、 DHCPによって IPアドレスを効率的に再割り当てできます。

リスト管理者メーリングリストの管理者。リスト管理者は、メーリングリストに登録者を追加したり、メーリングリストから登録者を削除したり、ほかのリスト管理者を指名することができます。リ

スト管理者は、ローカルマシンまたはローカルドメインの管理者である必要はありません。

用語集 137

138

リレー QuickTime Streaming Serverでは、受信した入力ストリームを 1つ以上のストリーミングサーバに転送することを指します。リレーすることによって、インターネット帯域幅の消費量が低

減されます。さまざまな場所の多数のユーザにブロードキャストするときにも、リレーを利用でき

ます。インターネットメールでは、 SMTP メールサーバを指します。受信したメールをほかの SMTPサーバに送信しますが、その SMTPサーバは最終的な宛先ではありません。

レコードタイプユーザレコード、コンピュータレコード、マウントレコードなど、特定の種類のレコード。ディレクトリドメインには、レコードタイプごとに、任意の数のレコードを含めることが

できます。

ローカル・エリア・ネットワーク「LAN」を参照してください。

ローカルドメイン所属するコンピュータだけがアクセスできるディレクトリドメイン。

ローカルホスト名ローカルサブネットでコンピュータを指定するための名前。グローバル DNS システムなしで使用して名前と IP アドレスを解決できます。小文字、数値、またはハイフン（最後の文字としては使用できません）で構成され、最後は「 .local」になります（たとえば、 bills-computer.local）。この名前はデフォルトでコンピュータ名から取られますが、ユーザは「システム環境設定」の「ネットワーク」パネルでこの名前を指定できます。この名前は簡単に変更すること

ができ、 DNS名または完全修飾ドメイン名を使用しているところであればどこででも使用できます。この名前は、この名前を使用するコンピュータと同じサブネットでのみ解決できます。

ワークグループ 1 つのグループとして環境設定およびアクセス権を定義するユーザのセット。グループに対して定義する環境設定はグループのアカウントに保管されています。

ワイルドカード IPアドレスの区分で使用できる値の範囲。

用語集

索引

索引

AAirMacベースステーション

DHCP サービスと～ 25

B

BIND 37, 38負荷分散 56

C

CIDRネットマスク表記 62, 64

D

DHCP サーバ 25相互操作 25ネットワークの場所 25

DHCP サービス 23–36AirMacベースステーション 25DHCP クライアント用の DNSサーバ 29～の使用目的 23～のログ 26DNSオプション 29LDAP自動構成機能 25開始する／停止する 26管理する 26–31クライアントリストでリースを表示する 32クライアントリストを表示する 32サブネット 24サブネットの IPアドレスのリース期間を変更する 28サブネットの LDAPオプション 29サブネットの WINSオプション 30, 31サブネットの設定 27サブネットを削除する 28サブネットを作成する 27サブネットを使用不可にする 28サブネットを変更する 27設定する 26設定する前に 23–25説明 23その他の情報 36ログ 32

DNSサービス 37–58DHCP サブネットのオプション 29

～の使用目的 37開始する 41管理する 41–42計画する 38サーバ 38上手な使いかたとヒント 38–41設定する 38設定する前に 38設定の概要 38–41説明 37その他の情報 58停止する 41負荷分散 56メールサービスと共に使用する 53

DoS攻撃（サービス拒否攻撃）防止する 80

Dynamic Host Configuration Protocol→「 DHCP」を参照

I

IANA登録 38Internet Gateway Multicast Protocol →「 IGMP」を参照 Internet Protocol Version 6 →「 IPv6」を参照 IPv6アドレス表記 124アドレッシング 124–125サーバ管理における～ 124その他の情報 126利用可能なサービス 124

IPアドレス DHCPと～ 23DHCPのリース期間を変更する 28DHCPを使ってリースする 23IPv6表記 124静的 24動的 24動的な割り当て 24範囲 64フィルタでの優先順位 64複数の～ 64予約済み 25割り当てる 25

139

140

IPファイアウォール開始する／停止する 31

IPファイアウォールサービス 59–61開始する , 停止する 66概要 59管理する 66–72計画する 65サービス拒否攻撃（ DoS攻撃）を防止する 80設定する 65–66, 68–80その他の情報 86背景 62～の使用目的 60フィルタの例 77–79フィルタを作成する 69, 70フィルタを追加する 65フィルタを編集する 71複数の IPアドレス 64ポートリファレンス 82–86利点 60ログを確認する 74ログを設定する 74–75

M

Mac OS X Server～で使用されるポート 82–86

Mac OS Xシステム 82–86Mail Exchange →「 MX」を参照 MX（ Mail Exchange）レコード 40, 54MXホスト 53

N

NAT開始する／停止する 89概要 87監視する 93状況の概要 93設定する 89

NetBootクライアントリストを表示する 32

NTP概要 117クライアントを設定する 119設定する 118その他の情報 119タイムシステム 117

S

Stratumタイムサーバ 117

T

TCP/IPプライベートネットワーク 56–57

TCPポート 82–84

U

UDPポート 85UTC（ Universal Time Coordinated） 117

V

VPNクライアント接続 110状況を表示する 109ルーティング定義 105ログ 109ログを表示する 109

さサーバ 27, 32, 78, 79, 94, 95, 96, 97ネームサーバ 38

サーバ管理ガイド 11サブネット 24作成する 24, 27

サブネットマスク 62

せ静的 IP アドレス 24

たタイムサーバ

Stratum 117

と動的 IP アドレス 24ドメイン名登録する 38, 39

ねネームサーバ 38ネットワーク

TCP/IPネットワーク 56–57プライベート 56–57

ふファイアウォールサービス設定の準備をする 62–64フィルタ 62–64

フィルタ編集する 71例 77–79

フィルタ , IP説明 62追加する 65

負荷分散 56

ほポート

Mac OS X コンピュータ 82–86TCPポート 82–83UDPポート 85

索引

まマニュアル 11

めメールリダイレクトする 53

メールエクスチェンジャ 53メールサーバ 53メールサービス～と共に DNS サービスを使用する 53

らラウンドロビン 56

ろログ

DHCP 32DNS サービス 49IPファイアウォールサービス 74–76

ログエントリー DHCPの状況 26

索引 141

mac os x server ネットワークサービスの管理 -...

Documents