【Edge】DNS over HTTPSがEdgeの社内DNS解決を阻害する時のドメイン除外設定手順

社内ネットワークでMicrosoft Edgeを使用していると、DNS over HTTPS(DoH)が原因で社内のDNSサーバーに正しく問い合わせが行われず、内部システムにアクセスできなくなることがあります。これはEdgeのセキュリティ強化機能が、社内DNSより外部のDoHサーバーを優先するために発生する問題です。本記事では、この問題を解決するために、EdgeのDNS over HTTPS設定で特定のドメインを除外する手順を詳しく解説します。

DNS over HTTPSが社内DNS解決を阻害する仕組み

DNS over HTTPSは、ブラウザがDNSクエリを暗号化して外部のDoHサーバーに送信する機能です。Edgeではデフォルトでこの機能が有効になっており、システムのDNS設定よりもDoHサーバーが優先されます。

社内ネットワークでは、Active Directoryや社内向けWebサイトの名前解決を社内DNSサーバーが担います。しかしEdgeがDoHを使うと、社内ドメインのクエリも外部DoHサーバーに送られ、適切な応答が得られません。その結果、社内向けURLがタイムアウトしたり、「サーバーが見つかりません」というエラーが表示されます。

この問題を解決するには、社内ドメインだけDoHの対象外とし、従来のシステムDNSにフォールバックさせる必要があります。Edgeの設定、グループポリシー、レジストリのいずれかで除外ドメインリストを構成することで実現できます。

ドメイン除外を設定する手順

ここでは、最も簡単なブラウザ設定での除外方法と、組織で一括適用するためのグループポリシー・レジストリの手順を説明します。

Edgeの設定画面から除外ドメインを追加する

1. Edgeの設定を開く
   アドレスバーに「edge://settings/privacy」と入力し、Enterキーを押します。
2. セキュリティのセクションを見つける
   左メニューから「プライバシー、検索、サービス」を選択し、下にスクロールして「セキュリティ」の項目を探します。
3. DNS over HTTPSの設定を変更する
   「セキュリティ」の下にある「安全なDNSを使用する」という設定で、ドロップダウンから「カスタムサービスプロバイダーを使用する」または「現在のサービスプロバイダーを使用する」を選びます。ただし、除外ドメインを設定するには、ここでの選択よりも「除外ドメイン」の入力欄を利用します。
4. 除外するドメインを追加する
   「このDNS over HTTPSをバイパスするドメインを指定する」という項目(表示されない場合は「除外ドメイン」と書かれたテキストボックス)に、社内ドメインを1行に1つずつ入力します。例えば「example.internal」「mycompany.local」などです。完全修飾ドメイン名(FQDN)で指定することを推奨します。
5. 設定を保存する
   テキストボックス外をクリックするか、別のタブに移動すると自動的に保存されます。設定を反映するためにEdgeを再起動します。

グループポリシーでドメイン除外を一括設定する

1. グループポリシー管理コンソールを開く
   ドメインコントローラーまたは管理端末で「gpmc.msc」を実行します。
2. 新しいポリシーを作成するか既存のポリシーを編集する
   組織の要件に合わせて、コンピューター構成のポリシーを選択します。コンピュータ構成 → 管理用テンプレート → Windowsコンポーネント → Microsoft Edge に移動します。
3. DNS over HTTPSの設定を変更する
   「DNS over HTTPSを許可する」というポリシーを「有効」にし、さらに下の「DNS over HTTPS モード」で「自動検出」や「カスタム」を選択します。
4. 除外ドメインリストを設定する
   「DNS over HTTPS の場合はこのポリシーで指定されたドメインを除外する」というポリシーを「有効」にし、テキストボックスに除外するドメインを1行ずつ入力します。
5. ポリシーを適用する
   ポリシーを保存し、クライアント端末で「gpupdate /force」を実行して反映します。

レジストリで除外ドメインを設定する

1. レジストリエディタを開く
   「regedit」を実行し、管理者権限で起動します。
2. レジストリキーに移動する
   次のパスに移動します。
   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge
3. 新しいDWORD値を作成する
   「DnsOverHttpsMode」というDWORD値を作成し、値を「2」(自動検出)または「3」(カスタム)に設定します。
4. 除外ドメインの文字列値を作成する
   「DnsOverHttpsExcludedDomains」という文字列値(REG_SZ)を作成し、値のデータに除外するドメインを縦棒(|)で区切って入力します。例:example.internal|mycompany.local
5. 変更を反映する
   Edgeを再起動すると設定が有効になります。

除外設定がうまくいかない場合の確認ポイント

除外ドメインの指定形式が誤っている

ドメイン名は完全修飾ドメイン名(FQDN)で指定する必要があります。例えば「.internal」のようなワイルドカードはサポートされない場合があるため、具体的なドメイン名を使用してください。また、先頭にドット(.)を付けないように注意します。

ポリシーが優先されるケース

グループポリシーやレジストリで設定した値は、ブラウザのUI設定よりも優先されます。ブラウザ設定で除外ドメインを追加しても、ポリシーで上書きされることがあるため、管理ポリシーの適用状況を確認してください。

DNS over HTTPSモードとの組み合わせ

除外ドメインは、「DnsOverHttpsMode」が「自動検出」または「カスタム」に設定されている場合にのみ機能します。モードが「無効」の場合は一切DoHが使われないため、除外の必要性がありません。

ブラウザのキャッシュをクリアする

設定を変更しても、ブラウザのDNSキャッシュが古い情報を保持していると正しく動作しない場合があります。edge://net-internals/#dns にアクセスし、「フラッシュキャッシュをクリア」をクリックしてから再試行してください。

設定方法の比較表

この表を参考に、ご自身の環境に適した方法を選択してください。個人の端末であればブラウザ設定、組織で管理する端末にはグループポリシーが適しています。

まとめ

本記事では、EdgeのDNS over HTTPSが社内DNS解決を阻害する問題に対して、特定のドメインを除外する設定方法を解説しました。ブラウザ設定のほか、グループポリシーやレジストリを使った一括管理の手順を紹介しています。除外設定後は社内システムへのアクセスが正常に戻ります。

もし除外設定後も問題が解決しない場合は、EdgeのバージョンやWindowsの更新プログラムが最新であるかを確認してください。また、セキュリティソフトがDNS通信を遮断していないかもチェックするとよいでしょう。

今後、社内ネットワークの拡張に伴いドメインを追加する必要が生じた場合も、同様の手順で除外リストを更新することで対処できます。組織全体の運用であれば、グループポリシーを活用すると効率的です。