沈黙の機器「DHCP/DNSサーバー」“ほったらかしによる悲劇”が起きるその前に

ネットワークインフラは現代のビジネスシーンに不可欠なライフラインであり、"問題なく動いて当然"という扱いを受けがちだ。多くのネットワーク管理者は、その"当然"を実現すべくネットワークの維持管理に気を配っているはずだが、個人の努力には限界がある。もっと効率化できるポイントはないだろうか。今回はその一つ、近年負荷が増大しているにもかかわらず、旧態依然の運用環境のままであることが多いDHCPサービスやDNSサービスを見直すことを提案したい。

DHCPやDNSサービスは、企業ネットワークの要

 ネットワークの運用経験やその知識がある読者には、DHCPサービスやDNSサービスの重要性について今さら説明するまでもないだろう。この2つのサービスが機能しなかったり、クライアントからアクセスできなかったりすれば、ネットワーク上ほぼ全てのクライアントに影響が及んで業務を停滞させかねない。その影響はLANを利用する全ての端末、つまりPCやスマートデバイスだけでなく、ネットワークプリンタ、IP電話やWeb会議システムまで、いずれも避けることができない。

 DHCPサービスやDNSサービスに障害が生じた場合どうなるかを、以下で簡単に説明しておこう。

DHCPサービスに障害発生

 DHCPは、主に端末がネットワークに接続した時点でIPアドレスを割り当てるために使用するサービス。障害が発生すると、その後にネットワークへ接続した端末がIPアドレスを取得できなくなる。OSやその設定により挙動は異なるが、それらの端末からは基本的にネットワーク上のサービスを全く利用できない。ただし、DHCPサービスに障害が生じる前から接続していた端末なら、しばらくの間(具体的な時間はDHCPサービスの設定による)はネットワークを利用可能。よって、障害の原因を突き止めるまで時間がかかる場合が多い。

DNSサービスに障害発生

 DNSは、原則として端末がネットワーク上のサービスへ「ドメイン名」で接続するために利用するサービス。その障害はネットワーク上の全ての端末に影響が及び、ごく一部の例外を除けば全てのサービスが利用できなくなる。なお、DNSサービスを提供する有力オープンソースソフトウェア「BIND」には、外部からの攻撃で停止させられるなど深刻な脆弱性が数多く報告されており、この問題を修正するセキュリティパッチが頻繁に提供されるため、メンテナンスにも手間がかかりがちだ。障害時やメンテナンス時にネットワーク上のサービスすべてが停止してしまうリスクをかかえている。

LAN接続される端末数が急増するなか、他サービスと相乗りでよいのか?

 DHCPやDNSサービスが自社ネットワークのどこに存在しているかは、ネットワーク管理者なら承知しているはずだ。多くの場合、Active Directoryなどアクセス管理を司るサーバ上か、あるいはルータ上に、他のサービスとともに稼働していることだろう。こうした慣習は長い間、広く行われてきたことだ。

 実際、DHCPサービスやDNSサービスは、(問題なく動作している限りは)存在感が薄く"忘れられがち"な部類のサービスだ。また、システム負荷も比較的小さく、他のサービスと相乗りさせていても、これまで大きな問題はなかった。しかし近年、企業のLANに接続される端末数が急増している。従業員1人あたりPC1台だったのは昔のこと、今ではスマートフォンやタブレットもLANを利用しており、卓上IP電話機などまで含めれば1人あたりの端末台数は数倍にもなり得るのだ。さらに今後のIoT時代到来で、機器が爆発的に増加することも考えられる。ネットワーク通信を前提とする機器は増え続け、また少なくとも台数が増えた分だけ、DHCPやDNSへの負荷も高まっていく。

 加えてDNSでは、近年のアプリケーション事情が負担増加に拍車をかける。今や多くのアプリケーションがクラウドサービスと連携するようになっているため、それらを使うたびにDNSへの問い合わせが生じるのだ。Webサイトにしてもページ内に多彩な要素が混在するのが普通となり、1つのページで発生するDNSの処理は少なくとも数回、多ければ数十回になる場合もある。こうした負荷は、結果として同じサーバ内に同居している他のサービスにも悪影響を及ぼしかねない。

 また、DHCPやDNSはサーバ負荷だけでなく、設定変更の頻度が低いため運用者の負担も"軽い"サービスだったが、こちらも近年では事情が変わってきた。広く使われているオープンソースのDNSソフトウェア「BIND」に深刻な脆弱性が次々と見つかっており、それを修正するセキュリティパッチを頻繁に適用せねばならないなど、以前ほど手間のかからないサービスではなくなっている。パッチ適用には再起動が必要になる場合もあり、他サービスと相乗りしている環境では他サービスも一時停止を余儀なくされるなどの問題も抱えることになる。逆に汎用サーバのOSにセキュリティパッチを適用する場合なども、DHCPやDNSまで一緒に再起動させられる羽目になる。そして困ったことに、まれにだがパッチを適用すると安定性を損ねる場合もあり、それを回避するには慎重な検証が必要だ。

 ネットワークを安定して運用するには、DHCPやDNSサービスを独立した環境で稼働させるという選択肢も考えた方が良いだろう。それも、専用アプライアンスを用いる形態だ。

図:おまけ機能として扱われてきたDHCPやDNS 図:おまけ機能として扱われてきたDHCPやDNS
※クリックすると拡大画像が見られます
提供:株式会社ソリトンシステムズ
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2017年10月31日