DNS要求をUmbrellaに転送するためのWindowsサーバの設定

ダウンロード オプション

  • PDF     (318.3 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (107.6 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (153.3 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2025 年 9 月 4 日
Document ID:224765

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、クライアント保護とロギングを強化するためにDNS要求をUmbrellaに転送するようにWindows Serverを設定する方法について説明します。

    概要

    Windows Serverは、DNSフォワーダとして機能することにより、ネットワークIDを使用してクライアントを保護できます。ドメインコントローラまたはDNSロールを持つ他のサーバは、登録済みネットワークからUmbrellaにDNSを送信できます。

    設定手順

    1. DNS Manager(dnsmgmt.msc )を開きます。
    2. ツリーでサーバ名を右クリックし、Propertiesを選択します。
    3. Forwardersタブを選択します。
    4. Edit...をクリックし、Umbrella DNSサーバのIPアドレスを入力します。
    5. Edit ForwardersウィンドウでOKをクリックします。エントリがフォワーダのリストに表示されます。
    6. Use root hints if no forwarders are availableというラベルのボックスのチェックマークを外します。
      mceclip0.pngmceclip0.png

    ベストプラクティスのメモ

    • Use root hints if no no forwarder are availableがオフになっていることを確認します。オンにすると、Umbrella保護とロギングが一致しなくなります。たとえば、ドメインがDNSSEC検証に失敗した場合、またはDDoS軽減イベントの対象である場合、Windows DNSサーバーはUmbrellaが応答しないと見なし、ルートヒントを使用してUmbrellaをバイパスして直接再帰を試みることができます。

    • フォワーダとしてUmbrellaのみを使用します。サードパーティ製のリゾルバを設定しないでください。Umbrellaは、受信したDNSクエリのみをログに記録して保護できます。

    • 冗長性を確保するため、前のスクリーンショットに示すように、4つすべてのUmbrellaエニーキャストIPアドレスをフォワーダとして設定します。

    • Umbrellaサイトと仮想アプライアンスを使用している場合は、Umbrellaエニーキャストアドレスではなく、フォワーダとしてローカル仮想アプライアンスを指定します。

      • 要求ループの回避:仮想アプライアンスがサーバをローカルDNSサーバの1つとしてリストする場合は、その仮想アプライアンスをフォワーダとして追加しないでください。
      • 仮想アプライアンスは、DNSサーバのIPアドレスだけを認識し、サービスを提供する個々のクライアントのアドレスは認識しません。
      • Active Directory統合と仮想アプライアンスを使用している場合は、例外としてWindows DNSサーバIPを追加します。UmbrellaダッシュボードでDeployments > Sites and Active Directory > Service Account Exceptionsの順に移動し、DNSサーバのIPを追加します。これにより、サーバトラフィックに対するユーザIDの不正な帰属が防止されます。

    • ルートヒント」タブにはUmbrellaサーバを追加しないでください。包括DNSサーバは再帰リゾルバであり、反復ルックアップのルートとしては機能しません。ルートヒントとしてこれらを追加すると、望ましくない動作が発生し、Umbrella保護とロギングがバイパスされます。

    更新履歴

    改定 発行日 コメント
    1.0
    04-Sep-2025
    初版
    TAC Authored

    シスコ エンジニア提供

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています