※ 2025 年 4 月 2 日現在の情報をもとに作成しています
1. はじめに
Windows 版 Umbrella Roaming Client に実装されていた、以下の 3 種類の DNS 機能のオプション設定は、Cisco Secure Client Umbrella Module にも移植されています。
- DNS サフィックスを内部ドメインとして扱わない
- NXDOMAIN 時にフォールバックしない
- アメリカ国内の DNS サーバーを使う
本記事では、これらの内容と実際の設定方法について紹介します。
Customize Windows Installation of Cisco Secure Client
https://docs.umbrella.com/deployment-umbrella/docs/customize-windows-installation-of-cisco-secure-client
※ 本記事はもともと Umbrella Roaming Client 用に書かれたものでしたが、EOL に伴い、Cisco Secure Client 用に書き換えられました
2. DNS サフィックスを内部ドメインとして扱わない
Windows では、"ホスト名のみ" で他のサーバーや端末にアクセスをする際、システムや NIC に登録されているドメイン名を後ろにつけて、FQDN の形で名前解決を試みます。このようなドメイン名のことを DNS サフィックスと呼びます。
例えば、example.com というドメイン環境に属する PC には、example.com が自動的に DNS サフィックスとして登録されます。以下は ipconfig /all コマンドを実行した時のものですが、「プライマリ DNS サフィックス」がそれに当たります。
>ipconfig /all (一部抜粋)
プライマリ DNS サフィックス . . . . .: example.com
また、PC に付属している NIC にも個別に DNS サフィックスを設定することが可能です (デフォルトでは未設定)。ipconfig /all の「接続固有の DNS サフィックス」がそれに当たります。
>ipconfig /all (一部抜粋)
イーサネット アダプター イーサネット:
接続固有の DNS サフィックス . . . . .: example.net
そして、名前解決の際に実際に付け加えられる DNS サフィックスは、これら 2 種類を足したものとなります。ipconfig /all の「 DNS サフィックス検索一覧」がそれに当たります。
>ipconfig /all (一部抜粋)
DNS サフィックス検索一覧. . . . . . .: example.com
example.net
Umbrella では、これらの DNS サフィックスが付いたドメイン名は、一般的に組織内部でのみ名前解決が行われるものとみなしています。
そのため、Umbrella Module は、このような DNS リクエストを Umbrella の DNS サーバー (208.67.222.222/208.67.220.220) には転送せず、NIC に設定されている DNS サーバー (多くの場合は内部の DNS サーバー) に送信します。つまり、デフォルトでは内部ドメインとして扱います。
本オプション設定を有効にすると、Umbrella Module は、これらの DNS サフィックスが付いた DNS リクエストを内部ドメインとして扱わず、Umbrella の DNS サーバーに送るようになります。
3. NXDOMAIN 時にフォールバックしない
Umbrella Module が DNS リクエストを Umbrella の DNS サーバーに転送し、DNS レスポンスとして NXDOMAIN (そのドメイン名は存在しない) が返ってきた場合、Umbrella Module は、NIC に設定されている DNS サーバーに同じ DNS リクエストを送信します。つまり、名前解決のフォールバックが行われます。
これにより、いずれかの DNS サーバーから IP アドレスが返ってくれば、目的のサーバーにアクセスできることになるため、サイトにアクセスできない問題の発生が軽減されます。
本オプション設定を有効にすると、名前解決のフォールバックが行われなくなります。フォールバック後の DNS リクエストが Umbrella 以外の DNS サーバーに送られることが、セキュリティ上許容できない場合などに使用します。
4. アメリカ国内の DNS サーバーを使う
Umbrella の DNS サーバーは、エニーキャストの技術により、ネットワーク的 (物理的ではない) に最寄りのデータセンターにある DNS サーバーに DNS リクエストが転送されます。
そのため、アメリカ国内で PC を使っていたとしても、DNS リクエストがアメリカ以外のデータセンターにある DNS サーバーに送られる可能性があります。
本オプション設定を有効にすると、DNS リクエストが必ずアメリカのデータセンターに送られるようになります。セキュリティ上の都合で、DNS リクエストの宛先をアメリカ限定にする必要がある場合に使用します。
※ このオプション設定を日本に限定する目的で使用することはできません
なお、DNS セキュリティで利用される Intelligent Proxy サーバーや、ブロック ページのサーバーの場所については、この制限を受けません。
5. 設定方法
Umbrella Roaming Client の時は、 インストール コマンド (msiexec) の引数にオプション内容を指定していましたが、Cisco Secure Client では、OrgInfo.json ファイル内に追記する方法に変わりました。これにより、インストールした後でも、設定を変えることができます。
具体的には、まず以下のフォルダに格納されている OrgInfo.json ファイルを開きます。
C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\data
(一つ上のフォルダと間違えやすいので注意)
次に、以下のように有効にしたい各オプションの行を追記します。
{
"organizationId" : "略",
"fingerprint" : "略",
"userId" : "略",
"noAutoSuffix" : "1", <= DNS サフィックスを内部ドメインとして扱わない
"noNXDOMAIN" : "1", <= NXDOMAIN 時にフォールバックしない
"customUSResolvers" : ["208.67.221.76", "208.67.223.76"] <= アメリカ国内の DNS サーバーを使う
}
※ 一番下に記載したオプションの末尾には、カンマ (,) が付きません
最後に、サービス画面にある「Cisco Secure Client - Umbrella Agent」を再起動、または OS そのものを再起動します。
