ビジネスサポートポータルアカウントでログイン
[HowTo] DNS がない、または正しく構成されていない環境での運用方法  

[HowTo] DNS がない、または正しく構成されていない環境での運用方法

    • 更新日:
    • 29 Aug 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 9.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • OS:
    • N/A N/A
概要
何らかの理由により DNS サーバーが無い、またはDNS サーバーの構成によりホスト名から IP アドレスを正しく正引き・逆引きが出来ないような環境、およびDHCP を利用しているような環境での運用には注意が必要な場合があります。
Deep Security システムでは、Agent の名前として登録されたホスト名または IP アドレスを利用して、Manager から Agent への通信を行う設計になっているため、特に Agent からのアクティベーション(有効化)を行うような環境では、注意が必要です。
本 Q&A では、そのような環境での運用を行うための技術情報を提供します。
詳細
Public
DNS サーバーが存在しないまたは正しく構成されていない環境で Deep Security システムを運用する場合、以下のいずれかの方法を利用する必要があります。

A. DNS サーバーを導入し、正しく構成する (推奨)
B. hosts ファイルを利用する (極小規模環境、かつ固定 IP アドレスで運用するような場合)
C. Agent の名前に IP アドレスを利用する 
 
 

[Bの方法に関する補足]

vShield 環境にDSVAを導入している環境では、DSVAと以下のコンポーネント間で名前解決が
できるように設定してください。
 
 a. DSVA <-> DSM
 b. DSVA -> DSR
 c. DSVA -> Global Smart Protectionサービス
 d. DSVA -> ローカル Smart Protection Server

※「DSVA -> *」 は、DSVA上のhostsで名前解決できる必要性を示し、
  「DSVA <-> *」 は、相互のhostsで名前解決できる必要性を示します。

基本的にNSX環境もvShield環境と同様です。
ただし、NSX環境では、DSMはVMware APIを通じてIPアドレスでDSVAと直接通信を行います。そのため、DSMからDSVAへの名前解決は不要です(補足:DSVAからDSMへの名前解決は必要となります)。また、DSMからDSVAもしくは管理下のコンピュータに対してVMware APIから通知されているIPアドレスではなく任意のIPアドレスやホスト名で通信をご希望の場合はこちらを参照ください。

[Cの方法に関する補足]

上記のうち、C の方法を利用する場合で、かつ DHCP サーバーによる動的な IP アドレス割り当てを行っているような環境の場合には、下記のオプションを有効化しておくことをお奨めします。

System → System Settings → Computers タブ → Hostnames グループ → 'Update the "Hostname" entry if an IP is used as a hostname and a change in IP is detected on the computer after Agent/Appliance-initiated communication or discovery' チェックボックスオプションを有効化する

上記のオプションを有効化することで、Agent はハートビートのタイミングで Manager に自身の IP アドレスを報告し、Manager はその情報を利用して、Agent の名前 (IP アドレス) を自動的に更新します。

※ Deep Security では Agent の識別に一意の識別子を利用しているので、タイミングの問題で一時的に Agent の名前が重複してもシステム上は問題ありません。

このような環境では、ホスト名と IP アドレスを関連付けることが困難ですが、Manager 画面の Agent 情報内にある Interface 情報を確認し、ネットワークカードの MAC アドレスからホストを特定することができます。

また、このような環境で、Agentからのリモートで の登録時にホスト名ではなく IP アドレスで登録される場合があります。
Deep Security システムでは、Agent を Manager に追加する際、Manager は Agent が報告したホスト名を DNS サーバーで正引きし、IP アドレスに誤りがないかを確認するようになっています。
この時、Agent が報告した IP アドレスと DNS サーバーで正引きされた IP アドレスが何らかの理由により異なる場合、Manager は Agent に対する将来の通信障害に備えて Agent をホスト名ではなく、IP アドレスで登録します。

 

[DSVAに関する補足]

DSVAで保護される仮想マシンについては、ESX/ESXiの仮想内部 インターフェース (VMCI) を使用しておりますので、DNS/hostsでの 名前解決の設定は不要です。
 
DSVAが名前解決で使用するDNSを設定する際に、DHCPv6で自動的にIPv6を設定する
"[ ] auto IPv6 Enable <Space>"を 無効とする事ができない為、
"[ ] auto IPv6 Enable <Space>"の チェックをオンにした上で設定を保存いただく必要がございます。
Premium
Internal
評価:
カテゴリ:
機能/仕様; インストール; 動作トラブル; 操作方法/設定
Solution Id:
1311490
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド