ネットワークスペシャリスト 2016年 午後1 問03
メールサーバの更改に関する次の記述を読んで、設問1〜3に答えよ。
D社では、老朽化したメールサーバの更改を計画している。D社の現行ネットワーク(以下、現行 NW という)の構成を、図1に示す。
〔現行 NW の仕様〕
現行 NW の仕様を次に示す。
(1) D社のプライマリ DNS は DNS1 である。DNS2 は非公開の D社内ゾーン情報だけを保存するセカンダリ DNS である。DNS3 は公開ゾーン情報だけを保存するセカンダリ DNS である。プライマリ DNS は、セカンダリ DNS とだけ通信を行う。ゾーン情報の更新時には、プライマリ DNS がセカンダリ DNS へ更新通知(NOTIFY メッセージ)を送信する。これを契機として、aが行われる。
(2) 社員のメールボックス(以下、MBOX という)は、MSV1〜3 に分散収容しており、メールアドレスとその MBOX を収容する MSV との対応を、LDAP に登録している。MSV1〜3 は、LDAP を参照して、受信したメールの宛先メールアドレスに対応する MBOX が収容されている MSV を決定し、他の MSV への転送、又は自分の MBOX への格納を行う。この動作をメールルーティングと呼ぶ。
(3) ①MGW から MSV へのメール転送は、DNS ラウンドロビンを用いても、負荷の偏りが生じやすい。また、社外から届くメールを負荷分散しなくても、MSV の性能に問題がないので、MGWの転送先はMSV1に固定している。
(4) MGW1, 2とも正常動作時には、社内から社外へのメールはMGW1が、社外から社内へのメールはMGW2が中継先として選択される。一方のMGWが停止しているときは、他方のMGWが、両方向のメールの中継先に選択される。
(5) FWによって、DMZ上の機器とMSV及びDNSとの間で許可されている通信を、表1に示す。
〔新メールサーバの負荷分散の仕様〕
更改対象はMSVであり、MGWは更改しない。更改によって新規に設置されるMSV(以下、新MSVという)は2台である。更改後のネットワーク(以下、更改後NWという)における、社内・社外間の正常時のメール転送経路を図2に示す。
図2のメール転送の負荷分散と冗長化の仕様を、次に示す。
(1) MBOXは新MSV1, 2の共用ストレージに配置する。どちらの新MSVからも全てのMBOXにアクセスできる。
(2) 新MSV1, 2とも正常時には、PCからのアクセスが分散し、一方の故障時には他方だけアクセスが行われるように、VRRP と DNSラウンドロビンを併用する。
・ d と e に、VRRP を 2 グループ設定する。それぞれのグループを VRRPg1, VRRPg2 と呼ぶ。
・ 新MSV1 の実IPアドレスは IP1、新MSV2 の実IPアドレスは IP2, VRRPg1 の仮想IPアドレスは VIP1, VRRPg2 の仮想IPアドレスは VIP2 である。
・ VRRPg1 は d の優先度を高く設定し、VRRPg2 は e の優先度を高く設定する。
・ 新MSV1 のホスト名は msv1、新MSV2 のホスト名は msv2、新MSV1, 2 共通のホスト名は msvc である。
・ PC のメールソフトのメール送受信サーバには、msvc を設定する。
(3) MGW から新MSV1, 2 へのメール転送は、正常時には新MSV1 に転送されるように、転送先を VIP1 に固定する。新MSV1 の故障時には、VRRP によって転送先が切り替わる。
(4) メールの転送方向に応じた MGW の選択方法は、〔現行NWの仕様〕 の (4) から変更しない。
〔MSVの移行〕
現行NW から更改後 NW への移行期間中のネットワーク(以下、移行中 NW という)の構成を、図3に示す。
図3から旧MSV1〜3と、それらに接続したストレージを撤去したものが、更改後NWの構成となる。
現行NWから移行中NWへの変更点を、次に示す。
・旧MSVと新MSVとを並行稼働させる。すなわち、旧MSV、新MSVとも、社内・社外宛てのメール送信、及び社内・社外からのメール受信を可能にする。
・②新MSVも、旧MSVと同様に、LDAPの情報を用いてメールルーティングを行う。
MSVの移行で、MBOXを新MSVのものに変更するが、旧MSV1〜3のMBOX内のメールを移動や複製はしない。
移行中NWにおける、MSV移行工程の概要を、表2に示す。
以上の計画に基づいて、D社のメールサーバ移行は実施され、新サーバへの更改は完了した。
設問1:〔現行NWの仕様〕について、(1)~(4)に答えよ。
(1)本文中の a 及び表1中の b に入れる適切な文字名を答えよ。
模範解答
a:ゾーン転送
b:SMTP
解説
解答の論理構成
-
a を特定
- 引用:
「ゾーン情報の更新時には、プライマリ DNS がセカンダリ DNS へ更新通知(NOTIFY メッセージ)を送信する。これを契機として、aが行われる。」 - 解説:DNS ではプライマリからセカンダリへ変更を反映させる手順を「ゾーン転送」と呼びます。NOTIFY メッセージはセカンダリに対し「最新データを取りに来て」と促すトリガです。したがって a = ゾーン転送。
- 引用:
-
b を特定
- 引用(表1 項番1,2):
「送信元 MGW1,2 ― 宛先 MSV1」「送信元 MSV1~3 ― 宛先 MGW1,2」 - 解説:MGW(メールゲートウェイ)と MSV(メールサーバ)は相互にメールを中継します。メール転送に使われる標準プロトコルは SMTP(Simple Mail Transfer Protocol)です。POP や IMAP はクライアントがメールを取得するときのプロトコルであり、サーバ間転送には用いません。したがって b = SMTP。
- 引用(表1 項番1,2):
-
まとめ
- a = ゾーン転送
- b = SMTP
誤りやすいポイント
- NOTIFY のあとに「IXFR(差分転送)」と答えてしまう
→ 問題文は転送方式まで聞いておらず、包括的な処理名「ゾーン転送」が正解です。 - MGW と MSV 間のプロトコルを POP3/IMAP4 と誤答
→ どちらもクライアント取得用。サーバ間の配送は SMTP が基本です。 - DNS の用語で「レジストリ更新」「再帰問い合わせ」を連想
→ いずれもゾーン転送とは別概念。トリガ条件と対象処理を区別しましょう。
FAQ
Q: NOTIFY が送られない場合でもゾーン転送は行われますか?
A: はい。SOA レコードのシリアル番号比較による定期ポーリングで転送は行われます。NOTIFY は即時性を高めるための仕組みです。
A: はい。SOA レコードのシリアル番号比較による定期ポーリングで転送は行われます。NOTIFY は即時性を高めるための仕組みです。
Q: SMTP 以外にサーバ間メール転送で利用されるプロトコルはありますか?
A: 基本は SMTP ですが、暗号化を施す場合は SMTP over TLS(SMTPS)や STARTTLS 拡張を併用します。
A: 基本は SMTP ですが、暗号化を施す場合は SMTP over TLS(SMTPS)や STARTTLS 拡張を併用します。
Q: POP と IMAP の違いは?
A: POP はメールをダウンロード後にサーバ内を削除する使い方が主流、IMAP はサーバ上のメールを保持したまま多端末から同期できます。サーバ間転送にはいずれも用いません。
A: POP はメールをダウンロード後にサーバ内を削除する使い方が主流、IMAP はサーバ上のメールを保持したまま多端末から同期できます。サーバ間転送にはいずれも用いません。
関連キーワード: DNS NOTIFY, ゾーン転送, SMTP, セカンダリDNS, メールゲートウェイ
設問1:〔現行NWの仕様〕について、(1)~(4)に答えよ。
(2)表1中の c に入れる適切な機器名を、図1中の機器名を用いて答えよ。
模範解答
c:DNS1
解説
解答の論理構成
- 表1の項番3は
「送信元 DNS3/宛先 c/プロトコル DNSプロトコル」
と記載されています。 - 【問題文】には
「プライマリ DNS は DNS1 である。DNS3 は公開ゾーン情報だけを保存するセカンダリ DNS である。」
とあります。また、
「プライマリ DNS は、セカンダリ DNS とだけ通信を行う。ゾーン情報の更新時には、プライマリ DNS がセカンダリ DNS へ更新通知(NOTIFY メッセージ)を送信する。」
と明記されています。 - NOTIFY 受信後、セカンダリ側(DNS3)は最新ゾーン情報を取得するため 自身からプライマリへ AXFR/IXFR を要求します。このときの通信方向は
「DNS3 → DNS1」
です。 - したがって、FW で許可すべき「宛先」はプライマリである DNS1 となります。
誤りやすいポイント
- 「NOTIFY はプライマリ発信だから通信方向は DNS1 → DNS3」と早合点し、FW の戻り通信を考慮し忘れる。実際のゾーン転送はセカンダリ発信です。
- 「DNS2 もセカンダリだから同じ扱い」と思い込み、宛先を DNS2 としてしまう。項番3の送信元は DNS3 なので対応するプライマリは DNS1 です。
- ステートフルインスペクションを過信し、「戻りパケットが許可されるから送信元・宛先は逆でも良い」と勘違いする。あくまで“開始方向”を正しく設定する必要があります。
FAQ
Q: NOTIFY メッセージだけでゾーン情報は送られないのですか?
A: はい。NOTIFY は更新の有無を知らせるだけで、実際のゾーンデータはセカンダリ側(今回の DNS3)が AXFR/IXFR 要求を出して取得します。
A: はい。NOTIFY は更新の有無を知らせるだけで、実際のゾーンデータはセカンダリ側(今回の DNS3)が AXFR/IXFR 要求を出して取得します。
Q: DNS2 との通信設定は不要ですか?
A: DNS2 もセカンダリ DNS なので同様の通信が必要ですが、表1の項番3は「DNS3」用の設定を問う設問です。DNS2 については別途既に設定済みと読み取れます。
A: DNS2 もセカンダリ DNS なので同様の通信が必要ですが、表1の項番3は「DNS3」用の設定を問う設問です。DNS2 については別途既に設定済みと読み取れます。
Q: ステートフル FW なら逆方向通信は自動許可されるのですか?
A: はい。DNS3 → DNS1 のセッションを許可すれば、ステートフルインスペクションによって DNS1 → DNS3 の応答パケットは自動で通過します。
A: はい。DNS3 → DNS1 のセッションを許可すれば、ステートフルインスペクションによって DNS1 → DNS3 の応答パケットは自動で通過します。
関連キーワード: DNSゾーン転送, AXFR, セカンダリサーバ, NOTIFY, ステートフルFW
設問1:〔現行NWの仕様〕について、(1)~(4)に答えよ。
(3)表1中の項番4で許可されている通信では、どのような情報が送信されるか。15字以内で答えよ。
模範解答
公開ゾーン情報の更新通知
解説
解答の論理構成
- 表1の項番4は
「送信元:DNS1」「宛先:DNS3」「プロトコル:DNSプロトコル」
と規定されています。 - 【問題文】の〔現行 NW の仕様〕(1) には
「DNS1 はプライマリ DNS」「DNS3 は公開ゾーン情報だけを保存するセカンダリ DNS」とあり、さらに
「ゾーン情報の更新時には、プライマリ DNS がセカンダリ DNS へ更新通知(NOTIFY メッセージ)を送信する」
と明示されています。 - よって、項番4の通信で DNS1 から DNS3 へ送られるのは「公開ゾーン情報」の「更新通知(NOTIFY メッセージ)」であると結論づけられます。
誤りやすいポイント
- DNS3 が保持するのは「公開ゾーン情報」であり、社内向けの非公開ゾーン情報ではない点を見落としやすいです。
- 「ゾーン情報そのもの」ではなく「ゾーン情報の更新通知(NOTIFY)」が送られることを取り違えるケースが散見されます。
- DNS の“ゾーン転送”と“更新通知”を混同し、AXFR/IXFR と誤答してしまうことがあります。
FAQ
Q: NOTIFY メッセージとゾーン転送は何が違いますか?
A: NOTIFY はゾーンに変更があったことをセカンダリに知らせる短い通知で、実際のレコード転送はその後にセカンダリ側から開始される AXFR/IXFR です。
A: NOTIFY はゾーンに変更があったことをセカンダリに知らせる短い通知で、実際のレコード転送はその後にセカンダリ側から開始される AXFR/IXFR です。
Q: なぜ DNS2 ではなく DNS3 が宛先になるのですか?
A: DNS3 は「公開ゾーン情報だけを保存するセカンダリ DNS」と定義されており、公開用の更新通知は DNS3 宛に送る設計だからです。
A: DNS3 は「公開ゾーン情報だけを保存するセカンダリ DNS」と定義されており、公開用の更新通知は DNS3 宛に送る設計だからです。
Q: FW がステートフルインスペクションでも通知は必要ですか?
A: はい。ステートフルはコネクション管理を行うだけで、ゾーン変更の事実をセカンダリへ伝える役割は別途 NOTIFY が担います。
A: はい。ステートフルはコネクション管理を行うだけで、ゾーン変更の事実をセカンダリへ伝える役割は別途 NOTIFY が担います。
関連キーワード: DNS, セカンダリ, NOTIFY, ゾーン転送
設問1:〔現行NWの仕様〕について、(1)~(4)に答えよ。
(4)本文中の下線①は、送信元によって選択される宛先に偏りが生じやすく、その偏りが長時間継続しやすいからである。宛先に偏りが生じやすくなる条件を15字以内で答えよ。また、その偏りが継続しやすい理由を40字以内で述べよ。
模範解答
条件:送信元が少数の場合
理由:送信元は、DNSのキャッシュが生存している間、宛先を変えないから
解説
解答の論理構成
- 【問題文】では「MGW から MSV へのメール転送は、DNS ラウンドロビンを用いても、負荷の偏りが生じやすい」と述べています。これは本来、複数 IP への問い合わせ結果を回転させることで均等化を図る方式です。
- ところが DNS ラウンドロビンは「送信元が少数」のときに弱点が出ます。少数の送信元はたまたま得た同一 IP をそのまま DNS キャッシュ に保持し続けるため、転送先を変えません。
- すると各送信元がずっと同じ MSV を選び続けるので、サーバ間に「宛先の偏り」が固定化されてしまいます。
- この“固定化”は DNS レコードの TTL(生存時間)が切れるまで続くため、偏りが長時間継続します。
- 以上より
・条件:送信元が少数の場合
・理由:送信元は、DNSのキャッシュが生存している間、宛先を変えないから
が解答となります。
誤りやすいポイント
- 「MGW が 2 台だから偶然片寄るだけ」と誤解し、DNS キャッシュの存在を忘れる。
- 条件を「メール送信が集中した場合」としてしまい、送信元数ではなくトラフィック量を基準に書いてしまう。
- TTL の長短に触れず「キャッシュされるから」とだけ述べ、偏りが“継続”する根拠を示さない。
FAQ
Q: DNS ラウンドロビンなら常に均等化できるのでは?
A: 均等化されるのは多数のクライアントが都度名前解決を行う場合です。送信元が少数だと一度得たアドレスを TTL まで保持するため偏ります。
A: 均等化されるのは多数のクライアントが都度名前解決を行う場合です。送信元が少数だと一度得たアドレスを TTL まで保持するため偏ります。
Q: TTL を短くすれば偏りは解消できますか?
A: 短くすれば偏りは縮小できますが、名前解決の頻度が上がり DNS への負荷を招くため、運用面のバランスが必要です。
A: 短くすれば偏りは縮小できますが、名前解決の頻度が上がり DNS への負荷を招くため、運用面のバランスが必要です。
Q: 負荷分散装置を置けば DNS ラウンドロビンより優れますか?
A: レイヤ4/7ロードバランサならリアルタイムで接続先を制御できるため偏りは起きにくく、セッション維持やヘルスチェック機能も利用できます。
A: レイヤ4/7ロードバランサならリアルタイムで接続先を制御できるため偏りは起きにくく、セッション維持やヘルスチェック機能も利用できます。
関連キーワード: DNSラウンドロビン, キャッシュ, TTL, 負荷分散
設問2:〔新メールサーバの負荷分散の仕様〕について、(1)、(2)に答えよ。
(1)本文中の d、e に入れる適切な機器名を、図2中の機器名を用いて答えよ。
模範解答
d:新MSV1
e:新MSV2
解説
解答の論理構成
- 【問題文】には
“・ d と e に、VRRP を 2 グループ設定する。それぞれのグループを VRRPg1, VRRPg2 と呼ぶ。”
とあります。VRRP を構成できるのは、同じセグメント上で冗長化・負荷分散を行う 2 台の装置です。図2 で同一セグメントに並び、メール処理を行う 2 台は「新 MSV1」「新 MSV2」のみです。 - さらに
“・ VRRPg1 は d の優先度を高く設定し、VRRPg2 は e の優先度を高く設定する。”
と記載されています。片方のグループでは「新 MSV1」が Master、もう片方では「新 MSV2」が Master になるよう優先度を逆転させる典型的な VRRP ロードバランシング構成で、これも “新 MSV1 ⇔ 新 MSV2” でなければ成立しません。 - したがって
d:新MSV1
e:新MSV2
が正答となります。
誤りやすいポイント
- 「VRRP はルータだけ」と決めつけ、MGW1/MGW2 を選択してしまう。VRRP は L3 動作が可能なサーバ OS でも利用できます。
- “優先度を高く設定” の記述に気を取られ、Master 側=高負荷側と誤解して優先度を同一装置に統一してしまう。実際はグループごとに Master を振り分けて負荷を分散します。
- DNS ラウンドロビンと VRRP を同時に使う説明から、DNS3 など DMZ 側を連想してしまう。問題文は “PC のメールソフト” との通信経路に限定しており、DMZ 機器は対象外です。
FAQ
Q: VRRP をサーバで動かすときもルータと同じく仮想 MAC が払い出されますか?
A: はい。OS が VRRP プロトコルに対応していれば仮想 MAC を生成し、ARP 応答も自動で行います。利用者は仮想 IP だけを意識すればよい構成になります。
A: はい。OS が VRRP プロトコルに対応していれば仮想 MAC を生成し、ARP 応答も自動で行います。利用者は仮想 IP だけを意識すればよい構成になります。
Q: VRRPg1 と VRRPg2 で仮想 IP を 2 つに分けるメリットは何ですか?
A: 片方の仮想 IP(VIP1)は「新 MSV1」が Master、もう片方(VIP2)は「新 MSV2」が Master になるため、通常時は接続が 50:50 に分散します。障害時は自動的に片方が両 VIP を引き継ぎ、可用性を確保できます。
A: 片方の仮想 IP(VIP1)は「新 MSV1」が Master、もう片方(VIP2)は「新 MSV2」が Master になるため、通常時は接続が 50:50 に分散します。障害時は自動的に片方が両 VIP を引き継ぎ、可用性を確保できます。
Q: MGW から新 MSV への転送先を “VIP1 に固定” としていますが、VIP2 は使われないのですか?
A: MGW 側の経路は冗長性よりも設定簡素化を優先し、社外メール受信経路を 1 本に固定しています。VIP2 は PC からのアクセス分散専用となります。
A: MGW 側の経路は冗長性よりも設定簡素化を優先し、社外メール受信経路を 1 本に固定しています。VIP2 は PC からのアクセス分散専用となります。
関連キーワード: VRRP, 仮想IP, 優先度, 負荷分散, 冗長化
設問2:〔新メールサーバの負荷分散の仕様〕について、(1)、(2)に答えよ。
(2)本文で定義されている仕様において必要な、社内ゾーン情報に定義する2件のAレコードについて、そのホスト名とIPアドレスの組合せを答えよ。
模範解答
下表のとおり
解説
解答の論理構成
-
PC が参照するホスト名を確認
― 仕様(2)に「PC のメールソフトのメール送受信サーバには、msvc を設定する。」とある。したがって A レコードのホスト名は msvc で固定される。 -
VRRP の仮想 IP を確認
― 同じ仕様に「VRRPg1 の仮想 IP アドレスは VIP1, VRRPg2 の仮想 IP アドレスは VIP2 である。」と明記されている。 -
DNS ラウンドロビン併用の目的
― 「新MSV1, 2とも正常時には、PCからのアクセスが分散し、一方の故障時には他方だけアクセスが行われるように、VRRP と DNSラウンドロビンを併用する。」とある。
― VRRP だけでは“片系障害時の冗長”は担保できるが“正常時の負荷分散”は行えない。そこで DNS ラウンドロビンを用い、同一ホスト名 msvc に複数の IP を登録して同確率に返すことでアクセスを分散させる。 -
結論
― ホスト名 msvc に対し、仮想 IP VIP1 と VIP2 の 2 件の A レコードを登録すれば、DNS での負荷分散と VRRP による冗長の両要件を同時に満たす。
誤りやすいポイント
- 「新MSV1」「新MSV2」それぞれの実 IP (IP1, IP2) を登録してしまう
実 IP は VRRP 切替えの対象外のため、障害時に片系へ流れない。 - 別々のホスト名(例:msv1, msv2)で A レコードを作成する
PC は msvc しか問い合わせないため、負荷分散が働かない。 - MX レコードの変更と混同する
本問は「社内ゾーン情報の A レコード」に限定しており、メール配送用途の MX レコードとは別の話である。
FAQ
Q: 実運用で VIP1/VIP2 を片方だけ A レコードにした場合はどうなる?
A: DNS ラウンドロビンが機能せず、新MSV が 1 台故障すると PC は接続先を失います。VRRP は片系障害時の IP 引き継ぎをしますが、DNS が返す IP が 1 個では平常時の負荷分散が行えません。
A: DNS ラウンドロビンが機能せず、新MSV が 1 台故障すると PC は接続先を失います。VRRP は片系障害時の IP 引き継ぎをしますが、DNS が返す IP が 1 個では平常時の負荷分散が行えません。
Q: VRRP と DNS ラウンドロビンを併用するメリットは?
A: VRRP は L2/L3 レベルで仮想 IP を引き継ぐだけなので正常時のトラフィックは 1 台に集中します。DNS ラウンドロビンを併用することで正常時のリクエストを 2 台に均等配分し、障害時は VRRP により自動で片系へ収束させる二重の仕組みになります。
A: VRRP は L2/L3 レベルで仮想 IP を引き継ぐだけなので正常時のトラフィックは 1 台に集中します。DNS ラウンドロビンを併用することで正常時のリクエストを 2 台に均等配分し、障害時は VRRP により自動で片系へ収束させる二重の仕組みになります。
Q: A レコードを AAAA レコードでも登録すべき?
A: IPv6 対応ネットワークなら AAAA レコードも同様に msvc → VIP1(v6), msvc → VIP2(v6) を登録します。ただし本問は IPv4 前提の A レコードのみが問われています。
A: IPv6 対応ネットワークなら AAAA レコードも同様に msvc → VIP1(v6), msvc → VIP2(v6) を登録します。ただし本問は IPv4 前提の A レコードのみが問われています。
関連キーワード: DNSラウンドロビン, VRRP, 仮想IP, 冗長構成, 負荷分散
設問3:〔MSVの移行〕について、(1)~(4)に答えよ。
(1)現行NWから移行NWへの変更において、DNSとMGW以外で、設定変更が必要な現行NWの機器名を、図3中の機器名を用いて答えよ。また、その設定変更内容を40字以内で述べよ。
模範解答
機器名:FW
設定変更内容:新MSV と MGW との間の SMTP通信を、双方向とも許可する。
解説
解答の論理構成
- 変更点の前提
〔MSVの移行〕では「旧MSVと新MSVとを並行稼働させる。すなわち、旧MSV、新MSVとも、社内・社外宛てのメール送信、及び社内・社外からのメール受信を可能にする。」と明記されています。したがって、DMZ内の「MGW1,2」と「新MSV1, 2」の間で SMTP 通信を双方向に通過させる必要があります。 - 現状の通信許可範囲
〔現行 NW の仕様〕の (5) と「表1 DMZ上の機器とMSV及びDNSとの間で許可されている通信」によれば、
・項番1:送信元「MGW1,2」→宛先「MSV1」→プロトコル「b」
・項番2:送信元「MSV1~3」→宛先「MGW1,2」→プロトコル「b」
となっており、SMTP は「MSV1」にしか到達しません。 - 移行中に必要な変更
「新MSV1, 2」を追加するだけでは FW が新しい IP を通さないため、「ステートフルインスペクション」を用いている FW の許可リストを修正しなければ通信が確立しません。DNS や MGW 自体の設定は設問条件にて除外されています。よって、設定変更が必要な現行機器は「FW」だけです。 - 変更内容の具体化
「送信元 MGW1,2 → 宛先 新MSV1,2」および「送信元 新MSV1,2 → 宛先 MGW1,2」の SMTP を許可するルールを追加すれば要件を満たすため、解答は下記となります。
誤りやすいポイント
- 「LDAP を参照してメールルーティングを行う」ので LDAP 側を変更すると誤解しがちですが、設問は「DNSとMGW以外で」と限定しており、LDAP の機能追加は不要です。
- 旧 MSV を残したまま並行稼働すると「MSV1~3 の許可が既にあるから大丈夫」と思い込みやすいですが、新 MSV は別 IP なので FW ルールを追加しなければ SMTP は遮断されます。
- DNS レコード追加と FW ルール追加を混同しやすい点にも注意が必要です。DNS は名前解決、FW は経路制御を担当する別レイヤです。
FAQ
Q: 旧 MSV 停止後に FW ルールを元に戻す必要はありますか?
A: セキュリティポリシに従い不要な許可は削除するのが望ましいですが、本設問では移行期間中の変更のみを問われています。
A: セキュリティポリシに従い不要な許可は削除するのが望ましいですが、本設問では移行期間中の変更のみを問われています。
Q: 「ステートフルインスペクション」を使用している場合、受信方向だけ許可すれば良いですか?
A: SMTP は双方向でセッションが張られるため、送信元・宛先を入れ替えたルールの両方を明示的に登録するのが安全です。
A: SMTP は双方向でセッションが張られるため、送信元・宛先を入れ替えたルールの両方を明示的に登録するのが安全です。
Q: VRRP 設定は FW に影響しますか?
A: VRRP は L3 経路の冗長化であり、FW の ACL と直接連携しないため、本設問の変更対象ではありません。
A: VRRP は L3 経路の冗長化であり、FW の ACL と直接連携しないため、本設問の変更対象ではありません。
関連キーワード: SMTP, ファイアウォール, ステートフルインスペクション, アクセス制御リスト
設問3:〔MSVの移行〕について、(1)~(4)に答えよ。
(2)本文中の下線②が必要な理由は、移行期間中に、どのような送信元と宛先のメールが送受信されるからか。その組合せを一つ答えよ。
模範解答
送信元:メール送受信サーバの変更を実施済みの社員 又は 社外
宛先:未変更社員
解説
解答の論理構成
- 移行工程では「メール送受信サーバの変更を実施済みの社員と、未変更の社員(以下、未変更社員という)が混在する。」という状態が【問題文】に明記されています。
- さらに、「旧MSV、新MSVとも、社内・社外宛てのメール送信、及び社内・社外からのメール受信を可能にする。」とも書かれており、新MSVが社外メールも一手に受け取る可能性があります。
- したがって、新MSVには
・メール送受信サーバを新MSVに切替済みの社員から送られる社内メール
・社外から届く社内宛てメール
の両方が到着します。 - しかし宛先が「未変更社員」の場合、その MBOX は依然として旧MSV1~3 に存在します。新MSVが下線②のように「LDAPの情報を用いてメールルーティング」を行わなければ、これらのメールは正しく旧MSVへ転送されず、配送不能になります。
- よって、下線②が必要な理由は「送信元:メール送受信サーバの変更を実施済みの社員 又は 社外/宛先:未変更社員」という組合せのメールが移行期間中に発生するからです。
誤りやすいポイント
- 「社外メールは旧MSVが受け取る」と思い込み、新MSVでのルーティングが不要だと判断してしまう。実際にはMGWからの転送先はVIP1(新MSV側)に変更済みです。
- 送信元として「変更済み社員」のみを想定し、社外からのメールを忘れる。社外メールもLDAP ルーティングの対象になります。
- 宛先を「全社員」と広く考えてしまい、解答が曖昧になる。必要なのは「未変更社員」宛てのメールと限定されています。
FAQ
Q: 変更済み社員同士のメールはLDAPルーティングが要りますか?
A: 両者のMBOXが共有ストレージ上にあるため、新MSV内で完結し、LDAPルーティングは必須ではありません。
A: 両者のMBOXが共有ストレージ上にあるため、新MSV内で完結し、LDAPルーティングは必須ではありません。
Q: 未変更社員から社外への送信ではLDAPルーティングは関係しますか?
A: 送信方向が社外の場合、宛先は社内に存在しないためLDAP参照は不要です。LDAPが必要になるのは宛先が社内(特に未変更社員)のときです。
A: 送信方向が社外の場合、宛先は社内に存在しないためLDAP参照は不要です。LDAPが必要になるのは宛先が社内(特に未変更社員)のときです。
Q: 終了工程でLDAPルーティングを停止すると未変更社員のメールはどうなりますか?
A: 「新MSVのMBOXに格納」されます。旧MSVへの転送は行われなくなるため、未変更社員はPC設定を変更しない限り新着メールを受信できません。
A: 「新MSVのMBOXに格納」されます。旧MSVへの転送は行われなくなるため、未変更社員はPC設定を変更しない限り新着メールを受信できません。
関連キーワード: VRRP, DNSラウンドロビン, LDAP, メールルーティング, フェーズ移行
設問3:〔MSVの移行〕について、(1)~(4)に答えよ。
(3)表2中の移行工程におけるメールの転送経路の例を、次の(ア)、(イ)に示す。“旧MSV”、“新MSV”、“→”を用いて、経路を完成させよ。
(ア)送信元が社外、宛先が未変更社員
送信元のメールサーバ → MGW → [ (A) ]
(イ)送信元が未変更社員、宛先が社外
送信元PC → [ (B) ] → MGW → 宛先のメールサーバ
模範解答
(A):新MSV → 旧MSV
(B):旧MSV
解説
解答の論理構成
-
MGW が参照する転送先
表2「開始工程」で「MGW1、2の、社内宛てメールの転送先IPアドレスを、VIP1に変更する。」とあるとおり、社外→社内のメールは必ず MGW ➡ VIP1(=VRRPg1 の仮想 IP)に届きます。VIP1 は「新MSV1, 2」の VRRP アドレスなので、受信側の“入り口”は必ず新MSV です。 -
LDAP に基づくメールルーティング
移行工程中は「②新MSVも、旧MSVと同様に、LDAPの情報を用いてメールルーティングを行う」とあり、宛先に応じて新MSV が転送可です。さらに「各社員の申告に基づいて、③LDAPの情報を変更する」とあるため、未変更社員のエントリは旧MSV のままです。したがって、新MSV は LDAP で旧MSV を見付けてメールを転送します。
→(ア)の経路は「送信元のメールサーバ → MGW → 新MSV → 旧MSV」。 -
未変更社員の送信動作
移行工程では PC 設定を「旧MSVの使用も継続できるように、旧MSVの設定は残す」としており、未変更社員は従来どおり旧MSV を SMTP サーバとして使います。よって、
(イ)の経路は「送信元PC → 旧MSV → MGW → 宛先のメールサーバ」となります。
誤りやすいポイント
- 「MGW が VIP1 に転送=常に新MSV1」と早合点しがちですが、VRRP のため新MSV2 がアクティブでも VIP1 は生きています。重要なのは“必ず新MSV 経由”になる点です。
- LDAP 変更の有無と PC 設定変更の有無を混同しやすいです。未変更社員は LDAP も PC も旧MSV 指定のままと整理しましょう。
- 「MBOXは新MSV側に移す」と読んで旧MSV 行きメールは存在しないと勘違いするケースがありますが、移行工程では旧MSV にもメールが残ります。
FAQ
Q: LDAP を変更済みだが PC 設定を旧MSV のままでも送信できますか?
A: 送信は可能です。送信経路は PC → 旧MSV → MGW です。受信は LDAP が指す新MSV に届きますので、設定を変えないと受信できません。
A: 送信は可能です。送信経路は PC → 旧MSV → MGW です。受信は LDAP が指す新MSV に届きますので、設定を変えないと受信できません。
Q: 新MSV が故障した場合、社外からのメールはどうなりますか?
A: VRRP で VIP1 のマスターがもう一方の新MSV に切り替わるため、MGW からの配送先は自動的に生存している新MSV へ移行します。
A: VRRP で VIP1 のマスターがもう一方の新MSV に切り替わるため、MGW からの配送先は自動的に生存している新MSV へ移行します。
Q: 移行工程で旧MSV に残ったメールは終了工程後にどう処理しますか?
A: 表2「終了工程」で「旧MSVに残ったメールは、消去する」と明記されています。必要なメールは移行期間中に各自で取得しておく必要があります。
A: 表2「終了工程」で「旧MSVに残ったメールは、消去する」と明記されています。必要なメールは移行期間中に各自で取得しておく必要があります。
関連キーワード: VRRP, LDAP, メールルーティング, ステートフルインスペクション
設問3:〔MSVの移行〕について、(1)~(4)に答えよ。
(4)表2中の下線③では、LDAPのどのような情報がどのように変更されるか。40字以内で述べよ。
模範解答
申請者のメールアドレスに対応するメールサーバが、新MSV に変更される。
解説
解答の論理構成
- 【問題文】には「メールアドレスとその MBOX を収容する MSV との対応を、LDAP に登録している」とあります。すなわち、LDAP は“宛先メールアドレス ⇒ どの MSV が保管先か”という対応表の役割を担っています。
- 移行工程では「②新MSVも、旧MSVと同様に、LDAPの情報を用いてメールルーティングを行う」と明記されており、メール配信経路の判定は引き続き LDAP に依存します。
- さらに表2の説明で「各社員の申告に基づいて、③LDAPの情報を変更する」とあり、申請者(=メールソフト設定を済ませた社員)の情報だけを書き換える運用が示されています。
- 以上より、変更されるのは LDAP に保存されている「メールアドレス → 収容 MSV」の対応先であり、旧MSV から新MSV へ“参照先サーバ”を差し替えることだと論理的に導けます。
誤りやすいポイント
- 「MBOX の物理位置を示す属性そのものを編集する」と誤解し、サーバ名変更の意図を読み落とす。
- VRRP や DNS ラウンドロビンの話題と混同し、IP アドレスを書き換えると答えてしまう。
- LDAP で保持しているのは“社員アカウント情報全般”と広く捉え過ぎて、メールルーティング以外の情報まで変更対象と述べてしまう。
FAQ
Q: 旧MSV 停止後に LDAP 情報は再度修正が必要ですか?
A: 終了工程で旧MSV を停止する前に全社員分が新MSV を指すようになっていれば追加修正は不要です。
A: 終了工程で旧MSV を停止する前に全社員分が新MSV を指すようになっていれば追加修正は不要です。
Q: 未変更社員宛てメールが新MSV に来た場合、旧MSV のメールはどうなりますか?
A: 終了工程で旧MSV に残ったメールは消去すると計画されています。新MSV に格納されたあとのメールのみ受信可能です。
A: 終了工程で旧MSV に残ったメールは消去すると計画されています。新MSV に格納されたあとのメールのみ受信可能です。
Q: LDAP 変更を社員申告で行うのはなぜですか?
A: PC 側のメールソフト設定と LDAP の対応先を同時に切り替えないと送受信が成立しないため、作業完了を社員自身で申告させて整合性を取っています。
A: PC 側のメールソフト設定と LDAP の対応先を同時に切り替えないと送受信が成立しないため、作業完了を社員自身で申告させて整合性を取っています。
関連キーワード: LDAP, メールルーティング, VRRP, DNSラウンドロビン, MBOX
