ユーザのユーザプロフィール: honokan
honokan 作成者
ユーザレベル: レベル 1
0 ポイント

独自ドメイン取得後にインターネットサーバが構築できません

はじめまして。昨年8月にSnow Leopard Serverを購入した初心者ユーザです。

過去ログを一通り読ませて頂いたのですが、どうしても先に進めず困っている点がございます。

どなたか、ご存知の方がいらっしゃればよろしくお願い致します。


購入当初は、ワークグループサーバとして使用していましたのでワークグループ内(LANに閉じた環境)に

DNS,OpenDirectory,AFP,SMB

の各種サービスを設定し、Lan内でのネットワークログインやファイル共有等を行っておりました。

当方の通信環境は、ASAHIネットでのフレッツADSL(固定グローバルIP*1)、ブロードバンドルータ(NTT西日本ADSLモデム3によるPPPoE接続、DHCP機能切)

スイッチングハブ(コレガ100Base-T*8)となっております。

その配下に、Snow Leopard Server搭載のMac miniにiMac、PowerBookG4とWindowsXPクライアントが繋がれています。

Lanは192.168.1.0/24のネットワークに、ルータ192.168.1.1、Macmini(server)192.168.1.2、PowerBookG4192.168.1.10、WindowsXP192.168.1.20のクライアントです。


今回、独自ドメインを お名前.com で取得し(11111.infoと仮にさせて頂きます)、メールサーバを構築することとなりました。メールサーバを構築するにあたり

サーバで使用すると思われるポートをポートフォワーディングでSnow Leopard Server Mac mini(192.168.1.2)に設定しました。具体的に、53(DNS),25(SMTP),110(POP)です。



サーバ環境設定は色々と問題が多いと聞いておりましたので、サーバ管理のアプリケーションのみを使用しました。これはワークグループを構成した時も同様です。

サーバ管理のアプリケーションで、新しいサーバを追加しようとしましたところ、接続できないというメッセージが現れました。

***11111.infoに接続できませんでした。***

***11111.infoのサーバに接続できませんでした。***

***リストに保存***取り除く***

というメッセージが現れます。

リストに保存を選んでもサーバのリストにチルダのようなマークが現れ、接続はできていないようですし、

取り除くを選ぶと速攻で取り除かれてしまいます。

お名前.comにて11111.infoのホストはあらかじめ当方の固定IPアドレスを指定してあります。

nslookupを11111.infoに打ちますと、当方の固定IPアドレスが現れますので、その設定は間違っていないようです。


このままでは、いつまでも独自ドメインを使用したインターネットサーバが構築できずメールサーバも稼働できません。

何かお判りの方がいらっしゃれば、お力添えよろしくお願い致します。

Mac mini, Mac OS X (10.6.6), snow leopard server

投稿日 2011/01/18 07:37

返信
返信: 25
ユーザのユーザプロフィール: はに
はに
ユーザレベル: レベル 9
79,477 ポイント

2011/01/18 14:52 honokan への返信


サーバで使用すると思われるポートをポートフォワーディングでSnow Leopard Server Mac mini(192.168.1.2)に設定しました。具体的に、53(DNS),25(SMTP),110(POP)です。


DNSはポートフォワーディングできません。ルータもこのポートを使うからです。DNSをポートフォワーディングしてしまうと、ルータがDNSサービスを利用できなくなるので、ルータとしても機能しなくなります。

サーバを内部におくなら、サーバのDNSサービスは内部だけにとどめるべきです。グローバル環境でのDNSはご自分で独自に別に立てるか、外部のサービスを利用するしかないと思います。ルータを使わずにサーバ自身にルータも兼ねさせる方法もありますが、セキュリティに配慮する必要がありますので、かなりのサーバ経験が必要です(DNSは内向け外向け別々に応答するようにする必要あり)し、mac mini ではイーサネットポートが一つしかないので無理でしょう。

返信
ユーザのユーザプロフィール: gururi
gururi
ユーザレベル: レベル 1
20 ポイント

2011/01/18 16:53 honokan への返信

サーバに接続出来ないのは、名前をグローバルIPアドレスで解決しているからです。ルータでサーバ管理用のポートは開けてないでしょう?サーバを追加するときにローカルIPアドレス(この場合192.168.1.2ですかね)で接続してやれば大丈夫です。

現在はグローバルIPアドレスで接続使しようとしているので、設定に使用しているMacからルータで一度外へ出て、インターネット側からグローバルIPアドレスへ接続しようとするため、サーバ管理が接続するのに必要なポートを開けていないルータ越しには接続出来ない、という状態です。

なお、DNSを転送出来ないと書いている方がおりますが、それは誤りです(反例:我が家)。通常のブロードバンドルータは外側で53/udp及び53/tcpの待ち受けはしていません(外側からの問い合わせに答えるような行儀の悪いことはしない)ので、ポートが被る心配は問題ありません(そんなことしてるルータなんて聞いたことがないです)。DNSは53/udpだけではなく53/tcpも開けておくことをお忘れ無く。

まぁとりあえず、ルータの内側・外側の接続経路の違いとかもうちょっと勉強してから始めた方がいい気がします。個人的にはDNSサーバには付属のbindは使わない方がいいんじゃないかと思ってますけど(自分はnsdを使ってます)。外からの自ドメイン以外の問い合わせに対して解決をしないように注意してください。

サーバに接続出来ないのは、名前をグローバルIPアドレスで解決しているからです。ルータでサーバ管理用のポートは開けてないでしょう?サーバを追加するときにローカルIPアドレス(この場合192.168.1.2ですかね)で接続してやれば大丈夫です。


現在はグローバルIPアドレスで接続使しようとしているので、設定に使用しているMacからルータで一度外へ出て、インターネット側からグローバルIPアドレスへ接続しようとするため、サーバ管理が接続するのに必要なポートを開けていないルータ越しには接続出来ない、という状態です。


なお、DNSを転送出来ないと書いている方がおりますが、それは誤りです(反例:我が家)。通常のブロードバンドルータは外側で53/udp及び53/tcpの待ち受けはしていません(外側からの問い合わせに答えるような行儀の悪いことはしない)ので、ポートが被る心配は問題ありません(そんなことしてるルータなんて聞いたことがないです)。DNSは53/udpだけではなく53/tcpも開けておくことをお忘れ無く。


まぁとりあえず、ルータの内側・外側の接続経路の違いとかもうちょっと勉強してから始めた方がいい気がします。個人的にはDNSサーバには付属のbindは使わない方がいいんじゃないかと思ってますけど(自分はnsdを使ってます)。外からの自ドメイン以外の問い合わせに対して解決をしないように注意してください。

返信
ユーザのユーザプロフィール: はに
はに
ユーザレベル: レベル 9
79,477 ポイント

2011/01/18 16:59 gururi への返信

通常のブロードバンドルータは外側で53/udp及び53/tcpの待ち受けはしていません

ルータによるんじゃないかな。

少なくともDNSキャッシングサーバはルータでも動いています(普通は動かす)。

とにかく内側のDNSと外側のDNSは一緒には出来ませんので、DNSをポートフォワーディングなどしない方がよいです。

返信
ユーザのユーザプロフィール: gururi
gururi
ユーザレベル: レベル 1
20 ポイント

2011/01/18 17:23 はに への返信

> 少なくともDNSキャッシングサーバはルータでも動いています(普通は動かす)。

それは内向き(今回の話だと192.168.1.1:53)の話です。外からの問い合わせには全く何の関係もありません。


>とにかく内側のDNSと外側のDNSは一緒には出来ませんので、DNSをポートフォワーディングなどしない方がよいです。

当初は「出来ません」、今回は「しない方がよいです」。結局どちらなんですか?

返信
ユーザのユーザプロフィール: はに
はに
ユーザレベル: レベル 9
79,477 ポイント

2011/01/18 17:44 gururi への返信

外からの問い合わせには全く何の関係もありません

ルータの作りによると書いてます。家庭用の安価なルータで、外向きのポートは開かないようにした作りになっているとは思えません。キャッシングサーバなら、外からの問い合わせに応えても何も害はないですから。外からの問い合わせには応えないようにしてても、単にポートを塞いでいるだけかもしれません。もしそうだとすると、(やり方によっては)ポートフォワーディングできない可能性があります。ま、ルータのキャッシングサーバを止めてしまえばいいのですけど。



当初は「出来ません」、今回は「しない方がよいです」。結局どちらなんですか?

ルータの設定とか作りによっては出来る場合もあるでしょうけど、いずれにしてもかなりトリッキーです。よく分かった上でやるのならともかく、少なくとも初心者はするべきじゃないですね。内側のサーバで、外と内側と両方のDNSをさせること自体が、設定も厄介だし、いろいろ不便と思いますけどね。

返信
ユーザのユーザプロフィール: gururi
gururi
ユーザレベル: レベル 1
20 ポイント

2011/01/18 18:33 はに への返信

>ルータの作りによると書いてます。家庭用の安価なルータで、外向きのポートは開かないようにした作りになっているとは思えません。


あなたの思いではなく、根拠をお願いします。


>キャッシングサーバなら、外からの問い合わせに応えても何も害はないですから。


それは「オープンリゾルバ」と呼ばれる状態で、好ましくないとされています。ですから、まともなメーカならそういう設定にはしませんし、する意味がありません。本気でその状態が問題無いと思われているのですか?


>外からの問い合わせには応えないようにしてても、単にポートを塞いでいるだけかもしれません。もしそうだとすると、(やり方によっては)ポートフォワーディングできない可能性があります。ま、ルータのキャッシングサーバを止めてしまえばいいのですけど。


意味不明です。ポートを塞ぐもなにも、そもそもルータ外側のIPアドレスでは53/udp及び53/tcpの待ち受けをしないだけです。



ちなみに、我が家では内部の名前解決は全てBonourを使っています。外部サイト(自ドメイン含む)に接続するための名前解決はルータ(当初BA-8000Pro、現在BBR-4HG)が内側に提供しているキャッシュサーバが行っています。ついでに言えば、外に接続するときはPPPoEの2セッション目で、動的IPアドレスを使うようにしています。


これなら外向けのコンテンツサーバの設定だけをしてキャッシュサーバを内側に立てる必要が無いので、Macを使っているならおそらくこれが一番簡単な方法です。

返信
ユーザのユーザプロフィール: honokan
honokan 作成者
ユーザレベル: レベル 1
0 ポイント

2011/01/19 13:20 gururi への返信

gururi様 ご返信ありがとうございました。

他の方のご返信も参考にさせて頂いたのですが

>サーバを追加するときにローカルIPアドレス(この場合192.168.1.2ですかね)で接続してやれば大丈夫です。

実は、こちらは既に実験しておりまして、

***サーバはすでに存在します。***

***まだリストにないサーバにログインしてください。または、下にある操作のポップアップの“接続”を使用して、接続解除したサーバにログインしてください。***

OK**

というダイアログが出てはねられてしまい、接続ができません。。

既にLAN内にワークグループサーバを構築している事は、先にお伝えした通りなのですが、

こちらのDNSのプライマリゾーンに192.168.1.2を追加しています。

これがまずいのでしょうか。Lan内のIP環境を変えないといけないのでしょうか。

もし、何か解ることがございましたら、よろしくお願いします。

返信
ユーザのユーザプロフィール: gururi
gururi
ユーザレベル: レベル 1
20 ポイント

2011/01/19 16:58 honokan への返信

>サーバを追加するときにローカルIPアドレス(この場合192.168.1.2ですかね)で接続してやれば大丈夫です。

実は、こちらは既に実験しておりまして、

***サーバはすでに存在します。***

***まだリストにないサーバにログインしてください。または、下にある操作のポップアップの“接続”を使用して、接続解除したサーバにログインしてください。***

OK**

というダイアログが出てはねられてしまい、接続ができません。。

>>サーバを追加するときにローカルIPアドレス(この場合192.168.1.2ですかね)で接続してやれば大丈夫です。

>実は、こちらは既に実験しておりまして、

>***サーバはすでに存在します。***

>***まだリストにないサーバにログインしてください。または、下にある操作のポップアップの“接続”を使用して、接続解除したサーバにログインしてください。***

OK**

>というダイアログが出てはねられてしまい、接続ができません。。


その前にすみません、一つ質問です。

サーバマシンの上で直接操作されていますか?それとも別のマシンから操作されていますか?


>こちらのDNSのプライマリゾーンに192.168.1.2を追加しています。


の意味を詳しく説明してください。

#mac miniのDNSで名前解決をしようとしてませんか?


>これがまずいのでしょうか。Lan内のIP環境を変えないといけないのでしょうか。


前に書きましたが、基本的にLAN内部の名前解決はBonjourで行ったほうが管理が楽です。DNSサーバはコンテンツサーバのみにして、外から見た自ドメインの名前解決のみを行わせた方がいいと思います。

返信
ユーザのユーザプロフィール: honokan
honokan 作成者
ユーザレベル: レベル 1
0 ポイント

2011/01/20 01:43 はに への返信

ご回答ありがとうございます。

サーバのDNSは既に内部用に、構成しており、外部用にも構成する手順で今回は望んでおります。

ルータの配下にサーバを設置するのは、AppleShare6で行っていたのでその延長上に考えております。

ご意見、ご参考にさせて頂きます。ありがとうございます。

返信
ユーザのユーザプロフィール: honokan
honokan 作成者
ユーザレベル: レベル 1
0 ポイント

2011/01/20 02:03 gururi への返信

gururi

再度のご返信恐れ入ります。


>サーバマシンの上で直接操作されていますか?それとも別のマシンから操作されていますか?

これは、最初はLANでつながれたMacのサーバ管理アプリケーションを使い

その後、サーバ本体からサーバ管理アプリケーションを使用しました。

どちらも同じ結果となりました。


>>こちらのDNSのプライマリゾーンに192.168.1.2を追加しています。

>の意味を詳しく説明してください。

>#mac miniのDNSで名前解決をしようとしてませんか?

今回、アクセス中にどうやら勘違いをしていた点に気がつきました。

私はサーバ管理の左に表示されるリストの使用可能なサーバと書かれている下に

今まででしたら、wg.inf.11111.infという名前のリストが表示されていたのですが

これに加えて、1111.infというリストを追加し

前者はLAN用、後者はWANようとして使おうと考えていたのです。

しかし、DNSのゾーンに追加項目を加える事により、LAN側とWAN側それぞれに

DNSを構成できる事に気がつきました。

私が申し上げていたのは、DNSのプライマリゾーン追加のことです。

理解が足らず、申し訳ありませんでした。


>>これがまずいのでしょうか。Lan内のIP環境を変えないといけないのでしょうか。

>前に書きましたが、基本的にLAN内部の名前解決はBonjourで行ったほうが管理が楽です。DNSサーバはコンテンツサーバのみにして、外から見た自ドメ>インの名前解決のみを行わせた方がいいと思います。

Bonjourにつきましては、未だにAppleTalkからの流れが掴めず、現在に至っています。AppleTalkのゾーン作成ならできるのですが、まだまだ不勉強です。


今回はご丁寧にありがとうございました。日々、精進致します。

返信
ユーザのユーザプロフィール: gururi
gururi
ユーザレベル: レベル 1
20 ポイント

2011/01/20 07:41 honokan への返信

>今まででしたら、wg.inf.11111.infという名前のリストが表示されていたのですが

>これに加えて、1111.infというリストを追加し

>前者はLAN用、後者はWANようとして使おうと考えていたのです。

>しかし、DNSのゾーンに追加項目を加える事により、LAN側とWAN側それぞれに

>DNSを構成できる事に気がつきました。


まずDNSについて、やりたいことを整理しましょう(ドメインは例示用のexample.comを使います)。

1.外向けのDNSコンテンツサーバ。*.example.comに関する問い合わせに答える。既存の設定なし。

2.内向けのDNSコンテンツサーバ。lan内部に関する問い合わせに答えるが、これらについて外から問い合わせが来た場合には答えない。既存の設定あり。

3.内向けのDNSキャッシュサーバ。既存の設定あり(?)

でよろしいでしょうか?


この問い合わせ元のIPアドレスで挙動を変える、というのは、bind9ではaclとviewとで設定します。内向きと外向き、二つのゾーンファイルを用意して、


・192.168.1.0/24と127.0.0.1から問い合わせが来たら

・自ドメインについては内向きのゾーンファイルを使って答える。

・自ドメイン以外については再起問い合わせに答える

・それ以外のIPアドレスから問い合わせが来たら

・自ドメインについては外向きのゾーンファイルを使って答える

・再起問い合わせには応答しない

という設定をすればOKです。


bind8だとnamedを二つ起動してましたが、bind9ではviewで振る舞いを変えられるので一つでできるようになったようです。詳しくはbind view 設定とかでぐぐってください。サーバ管理で設定する方法はすみません、やってないのでわかりません。


海上さんの記事でも「ごく基本的な設定は可能だが、LANとWANとで名前解決の方法を分けるなどのひとひねりした設定が難しい」とありますね……。

http://ascii.jp/elem/000/000/551/551268/


一応うちで実際に使っている設定を参考までに書いておきます。DNS絡みだけです。実際は他のサーバも稼働しています。


1.外向けのDNSコンテンツサーバのみ動かす。*.example.comに関する問い合わせに答える。管理するのは、このDNSコンテンツサーバだけ。

2.内向きのコンテンツサーバは置かず、*.localを使用して名前解決はBonjourにおまかせ(検索ドメインにlocal.を入れているので実質マシン名だけでアクセス出来る)。サーバ以外はDHCPを使った動的IPアドレスでも問題無し。

3.DNSキャッシュサーバはルータにおまかせ(GoogleやOpenDNSでも可)。自ドメインの名前も問題無く解決出来る。ドメイン名でアクセスする場合は常に外からアクセスする形になる。このキャッシュサーバはLAN内部にあるマシンの名前解決には使用されない。

4.ルータは外からの53/udpと53/tcpへの接続をサーバのIPアドレスの53/udpと53/tcpへ転送する。



設定が終わったらTerminalで、


dig +norec 自分のドメイン名 any @自分のドメインに割り振られたグローバルIPアドレス


を実行してみれば、DNSサーバへの問い合わせが外から出来ているか確認できます。問題無く設定できていれば、SOA,NS,TXTなどの、サーバに設定したレコードが返ってくるはずです。



サーバー管理.appでサーバに繋がらないのは、ひょっとしたらファイアウォールの問題かもしれません。ファイアウォールでサーバ管理の接続を許可したようなしなかったような……。この話については、もう1年くらい前&もう売っちゃったので検証できないのが申し訳ないです。

返信

このスレッドはシステム、またはAppleコミュニティチームによってロックされました。 問題解決の参考になる情報であれば、どの投稿にでも投票いただけます。またコミュニティで他の回答を検索することもできます。

独自ドメイン取得後にインターネットサーバが構築できません

Apple サポートコミュニティへようこそ
Apple ユーザ同士でお使いの製品について助け合うフォーラムです。Apple Account を使ってご参加ください。
詳しくはこちら サインアップ