ネットワークにおける時刻同期の重要性 ホワイトペーパー ネットワークにおける時刻同期の重要性 グ記録されたルーターの設定イベントやシ はじめに ネットワーク処理 ステムエラーメッセージ(ルーター設定の変 更、インターフェースの送受信状況、モデム 本書をお読みになっている今現在でも、皆 ネットワーク処理では、最適なネットワーク イベント、セキュリティ警告、環境の状態、ト 様のワークステーションやサーバで構成さ パフォーマンスを確保するために、時刻同 レースバック、CPU処理の過負荷など)でさ れたネットワークには、それぞれ独自の時 期の取れた情報が必要です。通常、時刻 え、ネットワークの時刻同期を利用した正 計でファイル、電子メール、トランザクション の非同期は、何か問題が発生しない限り、 確なタイムスタンプによってそのデータに意 などにタイムスタンプが付き、同時にすべて 障害や問題解決のための主要な要素にな 味を持たせているのです。1 の種類のトランザクションがサーバログに ることはありません。しかし、別のシチュエ 記録され、その情報が必要な場合に備えて ーションでは、時刻が同期していないため MicrosoftのApplication Centerなどで使用 いることでしょう。また、1 日のある時点で、 に、ネットワークプロセスが機能しないこと される監視プロセスは、その同期プロセス アーカイブやディレクトリ同期化、cron ジョ があります。時刻同期がネットワーク処理 と監視プロセスで時刻を使用します。クラス ブなどの自動プロセスが実行され、タイム に直接影響を及ぼす主なケースは、次のと タ内の時刻が同期していないと、矛盾した スタンプに基づいてファイルが変更されて おりです。 動作が実行される可能性があります。たと えば、パフォーマンスカウンタデータのタイ いることでしょう。これらすべての根底にあ るのは、「時刻は合っている」という前提で ・ログファイルの正確さ、検査、監視 ムシフトがあります。この場合、チャート化さ す。時刻が完全に合っているわけではない ・ネットワーク障害の診断と復旧 れた値が、実際に実行された時刻よりも前 場合でも、少なくとも時刻は「十分に合って ・ファイルのタイムスタンプ または後に実行されたように表示されてし いる」と信じられているケースがかなりあり ・ディレクトリサービス まいます(実行予定の場合でも同様です)。 ます。ここでは、「十分に合っている」では正 ・アクセスセキュリティと認証 2 確なネットワーク時刻とは言えない理由と、 ・分散コンピューティング Sun Microsystemsのクラスタモードでは、管 ネットワークの時刻同期が非常に重要な理 ・スケジューリングされた処理 理者は実行中のクラスタノードの時刻を直 由について説明します。 ・実世界時刻 接変更できないので、ログファイルの正確 さを確保するために実行中の時刻同期がさ コンピュータの内蔵時計は、狂いやすいこ ログファイルの正確さ、検査、監視 ら に 重 要 に な り ま す 。 管 理 者 は 、 date 、 とで有名です。通常、これらの時計は安価 サーバのログファイルとそのレポートデータ rdate、ntpdateなどを使用して、クラスタの な発振回路またはバッテリバックアップ付き を使用して、組織内の活動状況を評価する 時刻を直接変更することさえできません。こ の水晶に基づいているため、1 日で数秒は ことができます。これには、ファイアウォー のようなコマンドを実行すれば、クラスタノ 簡単に狂う可能性があり、長期間ではかな ルやVPNセキュリティ関連の動作、帯域幅 ードの時刻が突然変更されるため、エラー りの誤差が発生することになります。分散コ の使用率、および各種のログ記録、管理、 が発生する可能性があるからです。3 ンピューティングの普及やネットワークイン 認証、課金などの各機能が含まれます。サ フラの相互依存の増大に伴い、このような ーバログは、様々なホストからの情報を編 多 く の 企 業 は 、 悪 評 高 い DoS(Denial of 多くの時計を個別に動作させることは、ネッ 集したものなので、タイムスタンプが正しい Service)攻撃に悩まされています。この場 トワークインフラやそこで動作するアプリケ ことが必要不可欠です。正しくない場合、イ 合、ネットワークセキュリティ専門家は、根 ーションを危険にさらすことになります。特 ベントを発生順に整列させたり、根本的な 本的な原因であるネットワークイベントの検 に、ネットワーク処理やアプリケーション関 原因である問題を解決したりするのが難し 出 に よ く 使 わ れ る 連の動作は、時刻の非同期に関する問題 くなります。時刻に関連するあらゆる要素に MONitoring)ログを使って、ネットワーク犯罪 が最も発生しやすいものです。 ついての統計情報は解釈できず、おそらく の現場を再現します。通過したネットワーク 意味を持たないものになってしまいます。ロ パケットに正確なタイムスタンプが付いてい RMON(Remote れば、そのような作業を可能にする法的根 ンプを付ける際、サーバにあるファイルのタ PDCは、専用ネットワークタイムサーバなど 拠を集めることができます。 イムスタンプよりも前の時刻にアクセスした の信頼できる時刻ソースで同期するように ような場合は、そのクライアントファイルに 設定されます。タイムサーバが利用できず、 ネットワーク障害の診断と復旧 どのような変更が加えられていても破棄さ ドメインコントローラ間の時刻のずれが 大半の IT 企業は、ピーク時にネットワーク れてしまいます。 Kerberosで許容された誤差を超えた場合、 2 つのドメインコントローラ間の認証/ログ 処理が維持できるかどうかでその実力を評 価されます。許容できる中断時間に関する ディレクトリサービス オンは成功せずに、エラーメッセージが表 厳しい条件は、最も一般的な QoS(サービ ネットワークの時刻同期は、ネットワーク設 示される可能性があります。8 ス品質)の測定基準の一つで、このことは 計や実装の重要な要素です。たとえば、多 すべての IT 部門で明確に認識されていま くのネットワークディレクトリサービスシステ 分散コンピューティング す。障害が発生した際に、その障害の診断 ムでは、タイムスタンプに従って情報を交換 IBMは、かなり以前から同社のDCE(分散コ と復旧を行うために正確なネットワーク時 し、ディレクトリサービスデータベース内の ンピューティング環境)における時刻同期の 刻が非常に重要になります。 変更を同期させます。グループウェアアプリ 必要性を認識していました。DCEは、分散 ケーションは、スケジューリングとコラボレ アプリケーションを開発、実行できる高レベ 障害診断を支援するために、コネクション ーションのために正確な時刻を必要としま ルの首尾一貫した環境を構築するサービ の消失、バッファオーバーフロー、パケット す。ネットワークの時刻が同期していない スセットです。DCEには、リモートプロシージ の消失、その他の主なネットワークイベント 場合、時刻依存の大きいシステムやアプリ ャコール、ディレクトリサービス、セキュリテ が、サーバやルーター、スイッチ、専用の機 ケーションは正常に動作しなくなります。 ィサービス、および分散タイムサービスとい 器などに常駐している RMON サービスによ Windows NTネットワークの場合、すべての う 4 つのコアサービスがあります。この分散 ってトラップ、レポートされてログ記録されま NTサーバとクライアントワークステーション タイムサービスによって、分散システム内に す。あるエラーが原因でネットワークがクラ を 1 つの正確な標準時刻ソースで同期する ある様々なホストの時刻を同期できます。 ッシュした場合、RMON イベントが次々とレ 必要があ りま す。 4 同様に、 NDS(Novell クライアントやサーバのグループにあるホ ポートされます。これらのイベントは、レポ Directory Services)でも、イベントの順番を ストシステムクロックは、セキュリティサーバ ートする RMON エージェントが添付したネッ 確定し、実時刻を記録するためにタイムス ホスト上のクロックとの誤差を 5 分以内に収 トワークタイムスタンプを元にインデックス タンプが必要です。 5 める必要があります。これらの 2 つのクロッ 化されます。これらのタイムスタンプが同期 ク間の誤差が 5 分を超えた場合、認証エラ していれば、適切な順番を確定できるため、 アクセスセキュリティと認証 ーが発生し、クライアント設定が失敗します。 9 根本的な原因を素早く特定できます。しか Windows 2000 は、ネットワークの時刻同期 し、ネットワークの時刻が正確に同期してい が必要な例の中で最も有名かつ最新のも ないと、根本的な原因の切り分けがあいま のです。Windows 2000 では、デフォルトの スケジュールされた処理 いになり、中断時間は長くなります。 認証プロトコル(MIT Kerberosバージョン 5) cron スクリプトや crontab は、指定された時 が認証チケット生成プロセスの一部として 刻にコンピュータの OS やアプリケーション ファイルのタイムスタンプ ワークステーションの時刻を使用するため、 サーバに対して実行されるコマンドリストで あらゆるファイルシステムの完全性は、ファ 時刻同期は不可欠です。Windows 2000 に す。各コマンドは、それぞれの指定時刻に イル自体の名前と日付に大きく依存してい 付属するW32Timeサービスツールにより、 なると実行されます。通常、これらのコマン ます。通常、個々のファイルには、作成日、 組織内にあるすべてのWindows 2000 が標 ド(通常はデータバックアップ関連)は、夜 最終アクセス日、最終アーカイブ作成日、 準時刻を使用していることが保証されます。 間や終業後のスケジュールされた時刻に および最終変更日が記録されます。分散型 Timeサービスでは、適切な標準時刻の使 実行されます。ホストが 1 つの場合、コマン のファイル共有システムの場合、マスタファ 用を保証するために、権限を制御し、ルー ドを予定通りに実行するには、許容できる イルは、NFS(Network File Sharing)サーバ プを許可しない階層的な関係が使用されま 時刻ソースでそのホストを同期する必要が 6 によって保持され、リモートクライアントから す。 すべてのクライアントデスクトップとメ あります。複数のホストで個別の cron ファイ 使用できるようになります。NFS では、ネット ンバサーバは、受信認証を実行するドメイ ルの実行を担当する場合は、スケジュール ワークの時刻は非常に重要です。重複する ンコントローラを、それぞれのタイムパート された処理を適切に調整するためにホスト ファイル名が存在する場合には、最新のコ ナーに指定します。これは、ツリー構造の 間の時刻同期がさらに重要になります。 ピーを保存します。しかし、クライアントがリ ルートにあるPDC(プライマリドメインコント モートからアクセスしたファイルにタイムスタ ローラ)までドメイン階層を辿ります。7 この アプリケーション 実世界時刻 実世界の時刻を使用したネットワーク処理 トランザクション処理 トランザクション処理の時刻同期は、目新し に代わる手段はありません。ネットワークを アプリケーションの多くは、測定データや生 いものではありません。1960 年代には、す 間違った時刻に同期させて運用することも 成データに対して、非常に大きな意味を付 でにIBMが、時刻同期が重要なトランザクシ できますが、このポリシーは望ましいもので 与する要素としてタイムスタンプを使用しま ョンの実行に不可欠なことを認識していまし はありません。ローカルネットワークは、よ す。共有データベース、課金システム、トラ た。IBMの「Redbook」には、「データ処理に り規模が大きなネットワーク(特にインター ンザクションシステム、データ取得、電子メ おいては、常に正確な日時情報に対するニ ネット)と相互接続されるため、そこでの共 ール、その他のアプリケーションは、様々な ーズが存在してきた。このニーズは、シング 通要素は正しい時刻だけになります。実世 精度の正確なタイムスタンプに依存してい ルシステムからマルチシステムへの移行に 界時刻は、協定世界時(UTC)に基づいた ます。タイムスタンプの使用範囲は無限で 伴い、システム間の正確で一貫したクロック ものです。UTC はグリニッジ標準時(GMT) すが、一般的なアプリケーションでは、タイ の必要性へと発展した。」と記述されていま に基づいた最新の時刻です。基本となる ムスタンプに意味を持たせるためにネットワ す。10 UTC におけるネットワーク処理では、標準 ークの時刻同期が非常に重要になります。 時刻が共有されます。UTC 時刻は、正確か 次のようなケースでは、時刻同期がアプリ 今日では、種類や機能が異なる多くのサー つ安全で信頼できるソースから適切に取得 ケーションに直接影響を及ぼします。 バやワークステーションが使用されおり、そ のすべてがネットワークに接続され、様々 され、そのソースを参照するすべての OS に よって現地時間に変換されるのがベストで ・トランザクション処理 なトランザクションを実行しています。一般 す。この標準時刻を参照することで、ネット ・ソフトウェア開発 的に、アプリケーションのタイムスタンプに ワークマネージャは、正確な時刻を持つ情 ・電子メール は、(無条件で)誤差 1 秒未満という制限が 報を得ることができます。このネットワーク ・法律や規則上の要求事項 あります。基本的に、これらのタイムスタン に関する情報を使用して、最適なパフォー ・パスワードとデジタル ID プによって、トランザクションが発生した時 マンスを確保したり、本書で説明する多くの 刻(購入注文が発生した時刻、通話の開始 問題を避けることができます。 や終了の時刻など)に関わる疑問が解決し ます。トランザクションタイムスタンプで 10 ミ リ秒レベルの正確さが必要になるのは、ト ランザクションを正しい実行シーケンスに配 置する必要がある場合や、特にほぼ同時 に大量のトランザクションが発生する場合 NIST ACTS Dialup GPS です(後述の「法律や規則上の要求事項」 の項参照)。コンピュータ処理は自動的に 素早く実行されるため、システムクロックは、 Coordinated Universal Time (UTC) 最小限のトランザクション構成時間や転送 時間より短い 5~20 ミリ秒にする必要があ ります。 Network Time Protocol ソフトウェア開発 ソフトウェア開発は、プログラマチームが異 なるサーバ(地理的に異なる場所に配置さ れる場合もある)に保存されているコードで 開発を行うために、広範囲に渡って分散さ ` サーバ サーバ ワークステーション ルーター 図 1. 正確な実世界時刻でネットワーク機器の同期を行う れたタスクになる可能性があります。最終 的に、このコードは 1 つのプログラムにコン パイルされます。このように分散されたサー バからソフトウェアのコンパイルを管理する には、「makefile」機能やバージョン管理シ ステムが使用されます。ファイルのタイムス タンプは、ベースとなるソースファイルが変 更された場合に、リビルドが必要なファイル の判別に使用されます。ディレクトリの一部 が NFS にマウントされ、サーバやクライアン トが異なる現在時刻を使用している場合、 「make」関数は一部の導出オブジェクトのリ ビルドに失敗し、作成された実行ファイルが 最新のソースに基づいたものではなくなる 可能性があります。 エンジニアがソースコードに「fix」と入力した ものの、最後の「make」処理中にその「fix」 だけが欠落したため、結果的に企業にとっ て手間とコストがかかってしまった、といっ た事例が少なくありません。このような種類 のエラーを検出するのは非常に困難です。 初期の対応では、ほとんどの場合ソフトウ ェアバグが疑われます。しかし実際は、サ ーバ時刻の非同期が原因でファイルの変 図 2. 時刻同期が必要な典型的なアプリケーション 更が失われたというインフラ関連の問題で あるため、アプリケーションコーディングチ 法律や規則上の要求事項 パスワードとデジタル ID ームは、バグ検出用のテストシナリオ作成 トレース可能な正確なネットワーク時刻は、 2000 年に、米国で電子署名法案が可決さ に膨大な時間を浪費してしまうことになりま その業界を管理する法律や規則による要 れました。この法案により、適切に保護・識 す。 求に応じて、提出しなければならない場合 別されたコンピュータに対して代理人として も あ り ま す 。 た と え ば 、 NASD ( National の権限が付与され、それを管理する組織に 電子メール Association of Security Dealers:全米証券 契約上の義務が課せられます。コンピュー 電子メールは、文書による通信の事実上の 業者協会)では、そのメンバに対して、NIST タまたは個人が正しいパスワードまたはデ 標準になりつつあります。IDCによると、1 日 ( National Institute of Standards and ジタル ID を所有していれば、ビジネス活動 に送信される電子メールの平均件数は、 Technology:米国政府標準技術研究所)の の権限を持っていることになります。したが 2000 年末までに世界中で 100 億件に達す UTC を 3 秒以内でトレースできる精度のタ って、パスワードまたはデジタル証明書が ると予測されていました。2005 年までには、 イムスタンプを株式取引に付けるよう要求 取り消されると、すぐにアクセスを拒否でき この 3 倍を超えて 1 日当たり 350 億件という しています。NASD には 5,500 のメンバが登 ることが重要になります。典型的な例は、デ 11 録されており、その支店数は全米で 82,000 ジタル証明書を使って会社のアカウントに これらすべての電子メールメッセージは、発 を超えるため、これは多量に渡る同期試行 アクセスしていた従業員がその会社を退職 信元のタイムスタンプが付けられた状態で の発行を示唆しています。同期されたトレ する場合です。この場合、証明書を無効に ネットワークを通過します。このタイムスタン ースできる時刻は、順番を検査する際に、ト してそれ以降のアクセスを防ぐ必要があり プが明らかに間違っている場合、受信側の ランザクションが発生した時刻を確認する ます。デジタル ID 証明書は「サイバースペ 一部で混乱を招く可能性があります。発信 ために必要になります。法律、医療、通信 ース」内に存在するため、証明書の破棄時 元の組織の信頼性が疑われるのは言うま 関連などその他のアプリケーションも、トレ 刻もサイバースペースに記録されている必 でもありません。 ースできる標準時刻をネットワーク運営ポリ 要があり、また、この証明書を使用するあら シーの一部として採用すると想定されま ゆるプロセスで、証明書がその破棄時刻を す。 経過したかどうかを正確に判別できるよう 驚異的な数字に到達する見込みです。 にネットワーククロックが同期されていなけ ればなりません。 まとめ 参考文献 1 Cisco Systems; Using Syslog, NTP, and Modem Call Records to Isolate and Troubleshoot Symmetricom 社は、顧客とのやり取りの中 Faults; で培った経験を通じて、ネットワークの時刻 2 同期の重要性について学んできました。 3 我々は日々、企業をスムーズに運営するた 4 めのネットワーク機能支援に従事している 5 顧客をサポートしています。このような顧客 6 は、多くのネットワーク処理やアプリケーシ http://support.microsoft.com; Q216734 ョンを正常に機能させたり、障害発生時に 7 管理しやすくするには、ネットワークの正常 8 な時刻同期が重要であることを認識してい Synchronization; http://support.microsoft.com ます。 9 http://www.cisco.com/univercd/cc/td/doc/cisintwk/intsolns/dialsol/nmssol/syslog.htm Time and Date Synchronization; http://support.microsoft.com; Q216734 Sun Microsystems; Administering Sun? Cluster 2.2 Environments, October 2000 Time Synchronization in an NT Network, Windows Magazine, Tao Zhou Novell Timesysc NLM FAQ How to Configure an Authoritative Time Server in Windows 2000; Basic Operation of the Windows Time Service; http://support.microsoft.com; Q224799 RPC Error Messages Returned for Active Directory Replication when Time is Out of IBM Distributed Computing Environment Base Services/400; SC09-1712-00 10 S/390 Time Management and IBM 9037 Sysplex Timer; 弊社では、高品質なネットワークの時刻同 http://www.redbooks.ibm.com/redbooks/SG242070.html 期システムの構築に関して積極的に取り組 11 むことは、現在および将来にわたってお役 http://www.idc.com/software/press/PR/SW101000pr.stm に立てると強く確信しています。そのような システムの基盤を構成するのが、 Symmetricom 社の NTS-150、NTS-200 の ような GPS ネットワークタイムサーバです。 IDC, Email Deluge Continues with No End in Sight, Oct 2000;
© Copyright 2024 Paperzz