社内 DNS サーバーだけに外部 53 番を許可すると社員端末もインターネットへ出られるのか

DNS 解決と Web 通信は別です。再帰 DNS を許可しても 80/443 は自動開放されませんが、端末ゲートウェイ、プロキシ、DoH、他の出口を確認します。

1. 結論と対象範囲

クライアント／サーバーのバージョン、ドメイン参加状況、DNS とゲートウェイ、ネットワーク場所、完全なエラー文、イベント時刻、直近の変更を準備します。例では予約済みの corp.example を使用し、実在する顧客のドメイン、IP、アカウント、機器番号は掲載していません。

本件は「ネットワーク、VPN、ファイアウォール」に分類されます。ログと設定はリモートで収集できる場合がありますが、権限の一括変更、スイッチ経路、本番切替、復元テストは計画した作業枠で実施します。

2. 主な症状と環境確認

• 口頭説明だけで判断せず、完全なエラー文、イベントログの時刻、失敗した操作を保存します。
• 影響範囲、初回発生時刻、再現性、別セグメントでも同じ結果になるかを記録します。
• ファイアウォール許可後も通信できない場合は、サーバーのデフォルトゲートウェイ、ポリシールート、セッション、NAT、経路対称性を確認します。

3. 推奨する切り分け順序

1. 内部 DNS サーバーだけに外部 DNS 照会を許可しても、従業員端末がインターネットへ出られるわけではありません。端末の経路と外向きポリシーは別に制御します。
2. DNS サーバーだけに外部 53 番を許可しても、端末に HTTP/HTTPS は開放されません。端末のゲートウェイ、ファイアウォール、プロキシ出口が拒否のままか確認します。
3. 明示プロキシを使う場合、端末が直通で回避できないことを確認し、許可先、メソッド、アカウント、ログ保持を制限します。
4. 閉域ネットワークの更新通信は、送信元、宛先 FQDN／アドレス、ポート、時間帯、ログを限定し、既定拒否を維持します。
5. FQDN ベースの更新許可では、リダイレクト、CDN、証明書検証、時刻同期、ベンダー側ドメイン変更を考慮し、1つのホスト名だけに依存しないようにします。
6. 一度に変更する条件は1つにし、変更前に設定をエクスポートするか現状を記録します。

nslookup update.vendor.example
Test-NetConnection public.example -Port 443
netsh winhttp show proxy

4. 安全な修復と一括展開

読み取り専用の確認、設定エクスポート、単一システムでの検証を優先します。原因を確認してから対象範囲、作業時間、ロールバック方法を決めます。ポリシー変更はテスト送信元と限定時間帯で検証し、ヒットログとセッション、ロールバック設定を保存して段階的に拡大します。

• 閉域ネットワークの更新通信は、送信元、宛先 FQDN／アドレス、ポート、時間帯、ログを限定し、既定拒否を維持します。
• FQDN ベースの更新許可では、リダイレクト、CDN、証明書検証、時刻同期、ベンダー側ドメイン変更を考慮し、1つのホスト名だけに依存しないようにします。
• 一度に変更する条件は1つにし、変更前に設定をエクスポートするか現状を記録します。

5. 確認方法・ロールバック・注意点

一度動作しただけで完了としません。利用者操作、ログ、再起動／再ログイン、必要に応じて別ネットワーク場所、次回のポリシー／バックアップ周期で再確認します。

確認とロールバック

• 一度に変更する条件は1つにし、変更前に設定をエクスポートするか現状を記録します。
• VPN 接続済みはトンネル確立を示すだけです。クライアントルート、社内 DNS、アクセス制御、サーバーファイアウォール、戻り経路も確認します。
• WinHTTP、ユーザープロキシ、PAC、セキュリティ製品の残存設定を確認します。ブラウザーが正常でも Office やシステムサービスが同じ経路を使うとは限りません。

避けるべき一般的な誤り

• VPN の「接続済み」だけでネットワーク正常と判断すること。
• 最小権限ではなく宛先・サービスを Any で許可すること。
• クライアントルートだけを変更し、戻り経路とセッションを確認しないこと。