購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
977
閲覧回数
0
いいね!
0
コメント

Umbrella: Active Directory Integration における DNS の指定

tkitahar
Cisco Employee
Cisco Employee

‎2018-03-20 12:59 PM ‎2018-05-22 02:25 PM 更新

  

2018 年 5 22 日現在の情報をもとに作成しています

 

1. はじめに

 

Active Directory Integration AD Users  AD Computes 単位でポリシーを適用したり、レポートに表示させたりする機能です。本記事では、Active Directory Integration 環境における以下の機器への DNS の指定例を紹介します。

 

  • クライアント PC (192.168.0.X)
  • Virtual Appliance (192.168.0.1/192.168.0.2)
  • ドメイン コントローラー兼 DNS サーバー (192.168.0.3/192.168.0.4)

 

※ 本文中の画像には、括弧内の IP アドレスが使われています

 

2. クライアント PC

 

クライアント PC DNS サーバーには、以下の画像のように Virtual Appliance IP アドレスを指定します。

 

dns1.png

 

なお、当該のクライアント PC Roaming Client がインストールされている場合、DNS サーバーの設定を Virtual Appliance に変更すると、その直後にステータスが「Protected by Virtual Appliance」に変化します。そして、IP Layer Enforcement を除く Roaming Client の全ての機能が無効になります。

 

 dns2.png

 

3. Virtual Appliance

 

Virtual Appliance は、クライアント PC からの DNS クエリーを Umbrella DNS サーバーまたは内部の DNS サーバーに転送する役割を持ちます。

 

Virtual Appliance のコンソール画面には、内部の DNS サーバーの IP アドレスを指定する箇所のみが用意されております (最大 6 つ)。

 

dns3.png

 

一方、Umbrella DNS サーバーを指定する箇所はなく、自動的に 208.67.222.222 208.67.220.220 が使われます。

 

4. ドメイン コントローラー兼 DNS サーバー

 

ドメイン コントローラー上に指定する DNS サーバーには、通常、ループバックの IP アドレス (127.0.0.1) や他のドメイン コントローラーの IP アドレスが使われますが、Umbrella を使用するにあたり、特に指定を変更する必要はありません。以下は一般的な例の 1 つです。

 

dns4.png

 

ただし、管理ツールの「DNS マネージャー」で、以下の画像のように Umbrella DNS サーバーの IP アドレスをフォワーダーに指定することが推奨されています。

 

dns5.png 

 

これにより、このサーバー上で生成された DNS リクエストについても、Network Identity を登録するなどして Umbrella によって守られるようになります。

 

なお、ここで Virtual Appliance IP アドレスをフォワーダーに指定すると、構成によっては DNS リクエストのループが発生する可能性があるため推奨されません。

 

Best Practices for DNS Settings on Internal DNS Servers When Deploying Umbrella

https://support.umbrella.com/hc/en-us/articles/230902428-Best-Practices-for-DNS-Settings-on-Internal-DNS-Servers-When-Deploying-Umbrella

 

5. メール サーバーの留意点

 

ドメイン コントローラー兼 DNS サーバーに「メール サーバー」もインストールされている場合、前項のように Umbrella DNS サーバーをフォワーダーを指定することは推奨されません。代わりに ISP などが提供している DNS サーバーを指定してください。

 

この理由は主に 2 つあり、まず 1 つ目は、メール サーバーの名前解決が Umbrella によってブロックされることで、メール配信業務に支障が出る可能性があることです。以下のサポート記事に詳細な説明があります。

 

Umbrella and your email server

https://support.umbrella.com/hc/en-us/articles/230563707-OpenDNS-and-your-Email-Server

 

2 つ目は、メール サーバーが DNSBL のような DNS 技術を使ったブラックリスト機能を使っている場合、Umbrella のような公開 DNS サーバーとの併用はサポートされない可能性があることです。以下のサポート記事に詳細な説明があります。

 

Does Umbrella Work with DNSBLS and URIBLS?

https://support.umbrella.com/hc/en-us/articles/234968807

ラベル:
0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents