操作：許可

プロトコル：UDP

ソースのアドレス：  A.B.C.D 宛先のアドレス：  W.X.Y.Z

インターフェイス：  その他、「isakmp」を入力 ルール2

操作：許可 プロトコル：UDP

ソースのアドレス：  W.X.Y.Z 宛先のアドレス：  A.B.C.D

インターフェイス：  その他、「isakmp」を入力

第 6章    VPNサービス 115 ルール3

操作：許可

プロトコル：  その他、「esp」を入力 ソースのアドレス：  A.B.C.D 宛先のアドレス：  W.X.Y.Z ルール4

操作：許可

プロトコル：  その他、「esp」を入力 ソースのアドレス：  W.X.Y.Z 宛先のアドレス：  A.B.C.D ルール5

操作：許可

プロトコル：  その他、「ipencap」を入力 ソースのアドレス：  A.B.C.D

宛先のアドレス：  W.X.Y.Z ルール6

操作：許可

プロトコル：  その他、「ipencap」を入力 ソースのアドレス：  W.X.Y.Z

宛先のアドレス：  A.B.C.D

詳細なルールの作成について詳しくは、70 ページの「詳細なIPファイアウォール・ルールを作成す る」を参照してください。

4 これらのルールにより、暗号化されたトラフィックを両方のホストに渡すことが可能になります。

5 変更を保存し、必要に応じてファイアウォールを開始または再起動します。

手順 3：  両方のサイトのゲートウェイでVPNサービスを開始する

1 両方のVPNゲートウェイに対して、「サーバ管理 」で、「コンピュータとサービス」リストからVPN サービスを選択します。

s2svpnadmin を正しく使用すれば、「サービスを開始」ボタンが有 効になり、使用できるようにな

ります。

2「サービスを開始」をクリックします。

これで、ローカル LAN からリモート LAN 上のコンピュータにアクセスできるようになりました。

pingなどの方法を使って、 リンクを確認できます。

116 第6章    VPNサービス

その他の情報

L2TP/IPSecに関する詳しい情報：

IETF（Internet Engineering Task Force）は、L2TP/IPSec ユーザ認証の公式な標準を策定していま す。詳しくは、次のWebサイトを参照してください：

www.ietf.org/ids.by.wg/ipsec.html Request For Comments書類

RFC（Request for Comments）書類には、プロトコルやサービスの概要と、プロトコルの動作に関 する詳しい情報が記載されてい ます。サーバの管理を始めたばかりの方にとって、RFC の背景情報 は参考になるでしょう。経験豊富 なサーバ管理者の場合、RFC 書類 によって、プロトコルに関する 詳細な技術情報をすべて確認できます。RFC書類は、Webサイトwww.ietf.org/rfc.htmlで、番号 で検索できます。

• L2TPの説明については、RFC 2661を参照してください。

• PPTPの説明については、RFC 2637を参照してください。

• Kerberosバージョン5については、RFC 1510を参照してください。

7

117

7

NTP サービス

NTP（Network Time Protocol）は、ネットワーク上のコンピュータの時計を、時刻参照用時計に同 期する ために使 用される ネットワ ークプロト コルです。NTP は、ネット ワーク上 のすべて のコン ピュータから同じ時刻が報告されるようにするために使用されます。

ある独立した ネットワークや単体の コンピュータが正しく ない時間で運用されてい ると、時刻や日 付のスタンプを使用するサービス（メールサービスや、時刻のCookie を使用するWebサービス）

では正しくな い時刻や日付のスタン プを送信し、インターネッ ト上のほかのコンピュ ータと時刻が 一致しなく なります。たとえば、メールメ ッセージの着信日時が 実際に送信されたタイ ムスタンプ の日時より数 分または数年前だった り、返信したメッセージの 送信日時が実際に送信 した日時の前 になることがあります。

NTP の動作

NTPでは、UTC（Universal Time Coordinated）をその参照時刻とします。UTCは、原子の振動を 基準にしていています。UTCに基づいて動作する時計は、「原子時計」とも呼ばれます。

インターネット全体で、信頼のおけるNTPサーバ（Stratum 1サーバと呼ばれます）では、現在の UTC時刻を監視し続けます。配下にあるその他のサーバ（Stratum 2 および 3サーバと呼ばれます）

はStratum 1サーバに定期的に問い合わせて、ネットワーク上で問い合わせの送受信にかかった時

間を見積もります。問い合わせ結果にこの見積もりを考慮して、Stratum 2 または3自身の時刻を 設定します。この見積もりでは、ナノ秒まで誤差がありません。

ローカルネットワークでは、Stratum 3に対して時刻を問い合わせます。その後は、同じプロセスを 繰り返します。ネットワーク上のNTPクライアントコンピュータはUTC時間参照を取得し、タイム ゾーン設定に基づいてローカルタイムに変換し、それに従って内部時計を設定します。

118 第7章    NTPサービス

ネットワークで NTP を使用する

Mac OS X Serverは、NTPクライアントとしてインターネットタイムサーバから信頼のおける時刻 を受信する だけでなく、ネットワーク で信頼のおけるタイム サーバとしても動作し ます。ローカル クライアン トは設置したサーバに 問い合わせて、時計を設定 できます。サーバを時刻の 問い合わせ に応答するよ うに設定する場合は、イン ターネットの信頼のお けるサーバに問い合わ せるようにも 設定してください。

NTP サービスを設定する

NTP サービスをネットワークで 実行することにした場合は、指定したサーバがより信頼のあるタイ ムサーバにアクセスできるようにしてください。アップルではStratum 2タイムサーバ

time.apple.comをお客様向けに用意しています。

さらにファイアウォールで、信頼のおけるタイムサーバへのNTPの問い合わせと、ローカルクライ アントからの着信の問い合わせとが、それぞれUDPポート123で可能になるようにする必要があり ます。ファイアウォールの設定について詳しくは、59ページの第 4 章「IPファイアウォールサービ ス」を参照してください。

NTPサービスを設定するには：

1「サーバ管理」を開きます。

2 サーバで「日付と時刻を自動的に設定」が設定されていることを確認します。

この設定は、サーバの「サーバ管理」の「設定」パネルの「日付と時刻」パネルにあります。

3 タイムサーバとして機能させるサーバを選択します。

4「設定」をクリックします。

5「一般」タブを選択します。

6「NTPを有効にする」を選択します。

7「保存」をクリックします。

第 7章    NTPサービス 119

クライアントで NTP を設定する

ローカルのタ イムサーバを設定した ら、ネットワーク日付や時 刻を得るためにタイム サーバに問い 合わせるよ うに、クライアントを設 定できます。デフォルトで は、クライアントはアッ プルのタイ ムサーバに 問い合わせできます。以下 の手順では、設置したタイ ムサーバに問い合わせ るようにク ライアントを設定します。

クライアントのNTPを設定するには：

1「システム環境設定」を開きます。

2「日付と時刻」をクリックします。

3「日付と時刻を自動的に設定」を選択します。

4 ポップアップメニューを使うのではなく、フィールドのテキストを選択して削除します。

5 タイムサーバのホスト名を入力します。

ホスト名はドメイン名（time.example.comなど）でもIPアドレスでもかまいません。

6「システム環境設定」を終了します。

その他の情報

NTPワークグループ、書類、およびNTPのよくある質問とその答えについては、次のWebサイト にあります：

www.ntp.org

公開されているNTPサーバとその使用ポリシーのリストについては、次のWebサイトにあります：

www.eecis.udel.edu/~mills/ntp/servers.html Request For Comments書類

RFC（Request for Comments）書類には、プロトコルやサービスの概要と、プロトコルの動作に関 する詳しい情報が記載されてい ます。サーバの管理を始めたばかりの方にとって、RFC の背景情報 は参考になるでしょう。経験豊富 なサーバ管理者の場合、RFC 書類 によって、プロトコルに関する 詳細な技術情報をすべて確認できます。RFC書類は、次のWebサイトで番号で検索することができ ます：

www.ietf.org/rfc.html

NTPバージョン3の公式な仕様は、RFC 1305です。

8

121