オラクる。

oracle専門ブログにしてみようかな~っと

2014年05月

サービスを起動するためのアカウント「管理されたサービスアカウント」を作成してみます。
「管理されたサービスアカウント」はパスワードが自動的に更新されるので、パスワード管理の煩雑さから開放されると同時に、セキュリティを高めることが出来ます。
操作はPowerShellから行ないます。

flex_001231
 
まずはルートキーを作成します。
Add-KdsRootKeyでルートキーを作成し、Get-KdsRootKeyで確認しています。
また、ルートキーは既定では10時間後に有効になるので、 -EffectiveTime ((get-date).addhours(-10))を付与して、すぐにキーが有効になるようにしています。

flex_001238

New-ADServiceAccountでサービスアカウントを作成します。

flex_001239

 Get-ADServiceAccountで作成したサービスアカウントを確認できます。
実際、サービスアカウントとして利用するアカウント名はSamAccountNameに記載されています。

flex_001240
 
また、Managed Service Accontsコンテナーにも作成したサービスアカウントが表示されています。

flex_001241
 
Set-ADServiceAccountでサービスアカウントを利用するホスト名を指定します。
-PrincipalsAllowedRetrieveManagedPasswordパラメータで指定しています。

flex_001242
 
さて、サービスアカウントを利用するホストにログインし、Install-ADServiceAccountでサービスアカウントを利用可能にします。
なお、 Install-ADServiceAccountを利用するには、Windows PowerShell の Active Directory モジュールをインストールしておく必要があります。

flex_001243

実際にIISのアプリケーションプールのアカウントとして指定します。
アプリケーションプールを右クリックして、詳細設定を選択します。

flex_001244

プロセスモデルのIDの右にある「...」をクリックします。

flex_001245

カスタムアカウントを選択して、設定ボタンをクリックします。
ユーザ名にサービスアカウント名を指定します。
(ドメイン名)\サービスアカウント名+「$」
で指定しています。

flex_001246

指定されたことを確認してOKボタンをクリックします。

flex_001247
 
アプリケーションプールのアカウントにサービスアカウントが指定されました。
 

DNSクライアントはDNSサーバから返されたレコードを一定期間保管します。
再度、同一レコードの問い合わせを行なった際には、クライアントはそのキャッシュを参照します。

flex_001221

例えばhost01.test.com 192.168.1.5というAレコードがあったとします。
ping host01.test.comを実行した時点で、192.168.1.5のレコードが返され、結果がキャッシュに保管されます。

flex_001222
 
ipconfig /displaydnsでキャッシュを参照することが出来ます。

flex_001223

クライアントにキャッシュが保管されている状態でAレコードを192.168.1.6に変更してみます。

flex_001224
 
キャッシュが優先され、変更前の192.168.1.5が返されます。
Time To Liveの値はキャッシュ登録時からカウントダウンされ、0になるとキャシュが削除されます。

flex_001225
 
ipconfig /flushdnsでキャッシュを削除することが出来ます。

flex_001226
 
再度、host01.test.comにpingを実行してみると、今度はキャッシュが存在しないのでDNSサーバを参照して、変更後の192.168.1.6を返します。

flex_001227
 
また、hostsに記載した値も、クライアントキャッシュに保管されます。

flex_001228
 
正引き、逆引きともに登録されています。

flex_001229
 
DNSサーバ、hostsともに登録されているレコードの場合、キャッシュが優先されるのでDNSサーバの値では無く、hostsの値が返されます。 

DNSを長期間運用していくと不要なレコードが増え、DNSの容量が肥大化してしまいます。
さらに肥大化することによって、ゾーン転送の量が増え、ネットワークに負荷をかけてしまう可能性もあります。
そのために、DNSから不要なレコードを削除するプロセスが重要になってきます。
「エージング」と「清掃」という機能を設定する必要があります。

エージングとはDNSレコードを削除するかを判別するプロセスで、非更新間隔と更新間隔に分かれます。
非更新間隔の期間中はレコードのタイムスタンプのみの更新を受け付けません。
内容の変更を伴なう更新のみを受け付けます。
一方、更新間隔の期間中はレコードのタイムスタンプのみの更新を受け付けます。
これら2つの期間を経て、更新されないレコードが清掃期間で削除されます。

では、実際の設定方法です。
DNSサーバ全体と、ゾーン個別で設定をする必要があります。

flex_001211
 
DNSサーバ名を右クリックして、「全てのゾーンに対してエージング/清掃を設定する」をクリックします。

flex_001212

「古いリソースレコードの清掃を行なう」にチェックを入れ、非更新間隔と更新間隔の設定を行ないます。
ここで設定された期間がゾーン全体に反映されます。

flex_001213

AD統合ゾーンが含まれている場合、上記のようなメッセージが出力されます。
AD統合ゾーンにも設定を反映させる場合、チェックを入れてOKボタンをクリックします。

flex_001214

さらにDNSのプロパティを開きます。

flex_001216

詳細設定タブを開き、「古いレコードの自動設定を有効にする」にチェックを入れます。
これで全体の設定は完了です。
続いてゾーン個別の設定です。

flex_001217

清掃を行ないたいレコードを右クリックして、「プロパティ」を選択します。

flex_001218
 
全般タブから「エージング」ボタンをクリックします。

flex_001219
 
「古いリソースレコードの清掃を行なう」にチェックを入れます。
「次の時刻以降にゾーン清掃を有効にする」で設定された日時からエージング、清掃のプロセスが開始されます。 

CNAMEレコードを作成することによって、Aレコードの別名(エイリアス)を作成することが出来ます。
例えば、WEBサーバであるhost01というホスト名にwwwというわかりやすい別名を付けることが出来ます。

flex_001207
 
ゾーンで右クリックして、「新しいエイリアス(CNAME)」をクリックします。

flex_001208
 
エイリアス名、それに紐付けるホスト名をFQDNで記載します。

flex_001209
 
CNAMEレコードが登録されました。
host01の別名がwwwです。

flex_001210
 
nslookupで確認しました。
wwwでhost01のAレコードが参照できています。 

このページのトップヘ