サーバー IP へは ping できるがホスト名／アプリが使えない場合の DNS 調査

クライアント DNS、サフィックス検索、A/AAAA、キャッシュ、hosts、VPN DNS 経路、短名／FQDN を確認します。

1. 結論と対象範囲

クライアント／サーバーのバージョン、ドメイン参加状況、DNS とゲートウェイ、ネットワーク場所、完全なエラー文、イベント時刻、直近の変更を準備します。例では予約済みの corp.example を使用し、実在する顧客のドメイン、IP、アカウント、機器番号は掲載していません。

本件は「ネットワーク、VPN、ファイアウォール」に分類されます。ログと設定はリモートで収集できる場合がありますが、権限の一括変更、スイッチ経路、本番切替、復元テストは計画した作業枠で実施します。

2. 主な症状と環境確認

• 口頭説明だけで判断せず、完全なエラー文、イベントログの時刻、失敗した操作を保存します。
• 影響範囲、初回発生時刻、再現性、別セグメントでも同じ結果になるかを記録します。
• ファイアウォール許可後も通信できない場合は、サーバーのデフォルトゲートウェイ、ポリシールート、セッション、NAT、経路対称性を確認します。

3. 推奨する切り分け順序

1. ドメイン参加端末は社内 DNS を使用します。パブリック DNS では AD の検出に必要な SRV レコードを返せません。
2. 接続固有 DNS サフィックスとサフィックス検索一覧を確認し、短いホスト名が失敗する場合は FQDN と比較します。
3. A、AAAA、PTR レコードが現行アドレスを指しているか確認し、重複・古いレコードを削除する前に DHCP と動的更新の責任範囲を確認します。
4. hosts、LMHOSTS、プロキシ PAC、ローカル DNS キャッシュに古い上書きがないか確認し、暫定回避で DNS の根本原因を隠さないようにします。
5. 誤った保存済み資格情報と古い SMB セッションを削除し、意図したドメインまたはローカルアカウントで接続していることを確認します。
6. 一度に変更する条件は1つにし、変更前に設定をエクスポートするか現状を記録します。

ipconfig /all
nslookup app01.corp.example
Resolve-DnsName app01.corp.example
ipconfig /displaydns

4. 安全な修復と一括展開

読み取り専用の確認、設定エクスポート、単一システムでの検証を優先します。原因を確認してから対象範囲、作業時間、ロールバック方法を決めます。ポリシー変更はテスト送信元と限定時間帯で検証し、ヒットログとセッション、ロールバック設定を保存して段階的に拡大します。

• hosts、LMHOSTS、プロキシ PAC、ローカル DNS キャッシュに古い上書きがないか確認し、暫定回避で DNS の根本原因を隠さないようにします。
• 誤った保存済み資格情報と古い SMB セッションを削除し、意図したドメインまたはローカルアカウントで接続していることを確認します。
• 一度に変更する条件は1つにし、変更前に設定をエクスポートするか現状を記録します。

5. 確認方法・ロールバック・注意点

一度動作しただけで完了としません。利用者操作、ログ、再起動／再ログイン、必要に応じて別ネットワーク場所、次回のポリシー／バックアップ周期で再確認します。

確認とロールバック

• 一度に変更する条件は1つにし、変更前に設定をエクスポートするか現状を記録します。
• VPN 接続済みはトンネル確立を示すだけです。クライアントルート、社内 DNS、アクセス制御、サーバーファイアウォール、戻り経路も確認します。
• WinHTTP、ユーザープロキシ、PAC、セキュリティ製品の残存設定を確認します。ブラウザーが正常でも Office やシステムサービスが同じ経路を使うとは限りません。

避けるべき一般的な誤り

• VPN の「接続済み」だけでネットワーク正常と判断すること。
• 最小権限ではなく宛先・サービスを Any で許可すること。
• クライアントルートだけを変更し、戻り経路とセッションを確認しないこと。