【ネットワークスペシャリスト試験 令和4年度 春期 午後1 問3 No.3】

ネットワークスペシャリスト試験 令和4年度 春期 午後1 問3

【出典:ネットワークスペシャリスト試験 令和4年度 春期 午後1 問3(一部、加工あり)】

[SRVレコードの働きと設定内容]
 次に、X主任は、ケルベロス認証を導入するときのネットワーク構成について検討した。ケルベロス認証導入時には、DNSのリソースレコードの一つであるSRVレコードの利用が推奨されているので、SRVレコードについて調査した。
 DNSサーバにSRVレコードが登録されていれば、サービス名を問い合わせることによって、当該サービスが稼働するホスト名などの情報が取得できる。
 SRVレコードのフォーマットを図3に示す。

 X主任は、図1に示したように、内部LANにDSを2台導入して冗長化し、それぞれのDSでケルベロス認証を稼働させる構成を考えた。
 図3中の、Serviceには、ケルベロス認証のサービス名である、kerberosを記述する。Priorityは、同一サービスのSRVレコードが複数登録されている場合に、利用するSRVレコードを判別するための優先度を示す。Priorityが同じ値の場合には、WeightでTargetに記述するホストの使用比率を設定する。Portには、サービスを利用するときのポート番号を記述する。
 X主任は、2台のDSでケルベロス認証を稼働させる場合の、SRVレコードの設定内容を検討した。
 X主任が作成した、ケルベロス認証向けのSRVレコードの内容を図4に示す。ここで、DS1とDS2は、本社に導入予定のDSのホスト名である。

 X主任は、調査・検討結果を基にSSOの導入構成案をまとめ、Z課長に提出した。導入構成案が承認され、実施に移されることになった。

ケルベロス認証を行うPCが、図4のSRVレコードを利用しない場合、PCに設定しなければならないサーバに関する情報を、25字以内で答えよ。:ケルベロス認証を行うサーバのFQDN

 SRVレコードについては、「DNSサーバにSRVレコードが登録されていれば、サービス名を問い合わせることによって、当該サービスが稼働するホスト名などの情報が取得できる。」とあり、その役割はケルベロス認証のサービスが稼働するホスト名などの情報を提供することです。
 そして、ケルベロス認証は、「X主任は、図1に示したように、内部LANにDSを2台導入して冗長化し、それぞれのDSでケルベロス認証を稼働させる構成を考えた。」とあるように、DSでケルベロス認証が稼働しています。
 PCがSRVレコードを利用する場合、図4の内容で具体的に考えると、サービス名などを示す「_kerberos._tcp.naibulan.y-sha.jp」で問い合わせると、Targetにある「DS1.naibulan.y-sha.jp.」と「DS2.naibulan.y-sha.jp.」というFQDNや、Portの「88」が応答されることになります。
 一方、PCがSRVレコードを利用しない場合は、このケルベロス認証を行うサーバのFQDNをPC自身に設定しておかなければなりません。

図4のSRVレコードが、PCのキャッシュに存在する時間は何分かを答えよ。:720

 DNSのAレコードで名前解決した場合、PCのキャッシュに存在する時間はDNSサーバのTTLで設定されます。
 同様に、SRVレコードについてもTTLで設定された時間がキャッシュされるため、図4の場合は「43200秒」=720分となります。

図4の二つのSRVレコードの代わりに、図5の一つのSRVレコードを使った場合、DS1とDS2の負荷分散はDNSラウンドロビンで行わせることになる。図4と同様の比率でDS1とDS2が使用されるようにする場合の、Aレコードの設定内容を、50字以内で述べよ。ここで、DS1のIPアドレスをadd1、DS2のIPアドレスをadd2とする。:ホスト名がDSに対して、add1のAレコードを二つ、add2のAレコードを一つ記述する。

 DS1とDS2の負荷分散について、SRVレコードの場合は「Priorityは、同一サービスのSRVレコードが複数登録されている場合に、利用するSRVレコードを判別するための優先度を示す。Priorityが同じ値の場合には、WeightでTargetに記述するホストの使用比率を設定する。」とあり、図4の場合は、Priorityが「120」で同じ値、WeightがDS1が「2」、DS2が「1」となっています。
 一方、図5の通りSRVレコードが一つの場合には、AレコードのDNSラウンドロビンでDS1とDS2の負荷分散を行いますが、これをDS1とDS2の比率を2:1にするということです。
 具体的には、ホスト名「DS.naibulan.y-sha.jp」のAレコードとして、DS1の「add1」を2行、DS2の「add2」を1行記述します。