思わぬ原因でのVPNトラブル

久しぶりにVPNのサポートの記事を書きます。

先日、VPNソリューションパックをご利用のお客様から

「本社とA営業所 でVPN通信ができなくなったから調べてほしい」

と連絡をいただいたので調査をしました。

 

本社側ルータや回線は正常。

A営業所については、弊社から遠隔でルータの状態が確認できなかったため

A営業所で障害発生している可能性が高そうなため、A営業所の状況の確認に入りました。

 

ただ、A営業所の現地のご担当者様と連絡が取れなかったので

先に、回線(フレッツ)の状態をNTTに確認したところ

「回線は正常。」とのこと。

もう少し、NTTに突っ込んで確認を進め「ONU の配下に何か機器がつながっているか?」

を確認したところ、「機器は不明だが、何かつながっている」と回答

このお客様は、ONUに直接VPNルータがつながっている環境なので、この機器はVPNルータのはず。

(弊社はVPN構築時、写真や簡単な配線図を残しています。)

 

で、今度はプロバイダ(OCN)も確認。

「現在、接続されていません。」とのこと、、、、、

 

状況整理すると

回線は問題なし。ONUとVPNルータは接続されている。でもプロバイダとは接続されていない。

という状態。RT故障だったりする???

 

と、いろいろ確認している途中で、お客様と連絡が取れたので

ルータのランプ状態を確認してもらいましたが、アラームのランプの点灯はなし。ルータ故障なし。

ルータのWAN側とLAN側のリンクランプも点灯しているので、配線も問題なさそう。

 

こういった状況の場合の切り分けは、やっぱり物理的なところからということで

ルータ回りの配線を確認してもらったところ・・・・

ルータのWAN側とLAN側が直接つながっている

 

とのこと。。。。

 

で、ONUは、ルータに繋がっていたHUBに繋がっているらしい。

要するに↓みたいな状況になっていたんです。

正直、こんなことがあるのか?といった状況で、どうやら何かしらの原因でインターネットがつながらなくなったので

よくわかんないけど配線をいろいろ変えて試してみたみたいです。

(おそらく配線はもとに戻したつもりだったけど、もどってなかったのではないかと思われます。)

 

過去にもいろんなことが原因でトラブルが発生していますが、今回のようなケースはあまりないというか

多分、だれかに話すと、「ありえないとは言わないけど、普通そんなトラブルないでしょ?」って言われそうな内容ですが

これが生の、現実の対応、って感じですね。

 

 

 

 

 

 

 

 

 

中部経済新聞【夢の裏側】に掲載していただきました!

中部経済新聞から職業紹介の連載「夢の裏側」の取材を受け、
2017年3月1日、記事を掲載していただきました。

当社のネットワークエンジニアが普段
どんな仕事をやっているか、どんなことを大事にしているか、など書いていただいております。

PDF版はコチラ

このような取材は個人的には初めてなので、かなり緊張しましたし、話内容もまとまっていなかったのですが
記者の方に簡潔にわかりやすくまとめていただけました。
実際記事になったのを見ると照れくさい感じもしますが、今まで自分がやってきたこと、普段自分がやっていることを見つめなおす良い機会でした。

記事にも大きく書いてもらった「他人に負けない強みを持つ」 については、私自身の過去の経験で強く感じていることです。

エンジニアの場合、入社したての若手は先輩エンジニアは技術面では先輩エンジニアに太刀打ちできず自信を無くしがちです。
そんな中業務上何でもいいので、「これは自分が会社(チーム)の中で1番だ」 ってことがあるとそれが大きな自信になり他の業務にも良い影響がでる と思っています。

このことは、今いる若手のエンジニアにも言い続けています。
実際3年目の若手のH君は昨年末からサービスリリースしている「無線LAN構築保守パック」を担当してもらい、
設定/設計等の技術的な知識に関しては本人の努力もあり、彼には敵いません。
それが本人の自信になった結果、VPNのサポート業務等他の業務でも自信持って取り組んでもらっています。

そんな若手の自身・成長が上司/先輩 としてはうれしく思いますし、自身ももっと成長しなければとも思います。

 

 

 

 

ネットワークエンジニア 社内勉強会

今日は、日々のサポート業務のブラッシュアップということで

社内でのネットワークエンジニアの勉強会を実施しました。

勉強会の講師は、入社3年目のH君。最近外部のネットワークの講習を受けてきてもらったので

そこで学んだことのフィードバックと、

こういうネットワークを構築する場合に必要な設定は何か?その場合どのようなトラブルが発生するか

といった問題形式の勉強会で実施してもらいました。

また、生徒には今度の4月にネットワークエンジニアとして入社予定のI君にも参加してもらいました。(I君にはちょっと難しかったかも、、、)

結果としては、参加者それぞれで新たに知識の習得できただけでなく、改めてわかったことや、自分はこの部分は苦手かも

というのが分かりとても有意義な勉強会となりました。

特に、講師をしてくれたH君。準備は大変だったと思いますが、講師をすることでより知識を深められてよかったんじゃないかと思います。

 

もちろん、これで終わりではありません。ここで得たことを今後のサポートに生かすことが大事だと思いますので

ただ勉強しておしまい にならないようにしないといけないですね。

 

 

 

 

 

WindowsLiveメールサポート終了。移行先は?

WindowsLiveメールを含む、Windows Essentials 2012  が

2017 年 1 月 10 日 にサポート終了となりました。

https://support.microsoft.com/ja-jp/help/13785/essentials-2012-release-notes

サポート終了と同時にダウンロードできなくなったぽいです。

サポート終了になったからと言って、Liveメール自体が使えなくなったりはしませんが

セキュリティ上おすすめしません(セキュリティホールが見つかっても、修正プログラム等が提供されないため)

 

そうすると、どうすればよいかですが

基本的には、別のメールソフトに移行 する

ことになると思います。

別のメールソフトのMSの推奨としては
>代わりになる機能としてお勧めのものはありますか?

>メールは、Windows 8.1 以上に無料の組み込みアプリケーションとして含まれています。

となっており、Windows7利用者はどうしたらよいかわかりません。

 

また、Windows8.1以上に組み込まれている「メール」というアプリもなかなかクセがありそうで

・基本的にはoffice365のアカウントが必要

(通常のメールアカウントと365のアカウントと紐づけて利用)

・POPではなくIMAP

(POP3のみ運用の場合、上記設定にて運用可能だが、動作は限りなくIMAP的に動作(覗くだけ))

・メールデータの移行は、outlook.comにアップロード等が必要

いろいろ移行も運用も大変そう。

 

そうなるとやはり、移行先の第1候補としては「outlook」になるでしょう。

ビジネス用途でPCを使っていれば、officeが入っていることがほとんどですから

別途購入が必要なケースも少ないと思われますし。

 

で、実際Liveメールからの移行(エクスポート)ですが、

同じMS製品ではありますが、すべて簡単に移行できるわけではないようです。

弊社でざっと調べたところ↓のような感じのようです。

 

エクスポート 項目 可否 留意事項
メールデータ フォルダ構成は変わる
(受信フォルダにインポートされるのではなく、移行元のフォルダツリーがそのまま新たに追加される。)
※outlookにもともとあった受信トレイとは別で、Liveメールの受信トレイができます。
アドレス帳 エクスポート時に「名前」のフィールドのチェックボックスのチェックを外さないと、移行後に姓名が逆転表示される場合有 csvへのエクスポート時に文字コードを変更する必要有
署名 不可 outlookにて手動設定 (テキストにコピーしてOutlookに貼り付けることは可能)
アカウント 不可 outlookにて手動設定
振り分けルール 不可 outlookにて手動設定

※同一PCでの移行(エクスポート)を想定

 

ボタンポチッで1発でできるわけではないですし、移行できない項目もたくさんあるのでいろいろ大変ですね。。。。

XPサポート終了ほど大きく騒がれていないのは、たかがメールソフトと軽視されているのか、そもそもliveメールを使っている企業がすくないのかわかりませんが、

Liveメールをご利用の方は早めに対処をすることをお勧めします。

 

 

 

 

 

 

 

Windows10でインターネットに繋がらない②【解決編?】

前回の

Windows10でインターネットに繋がらない

の続きです。

 

Microsoftのコミュニティに以下のような投稿があり

https://answers.microsoft.com/ja-jp/windows/forum/windows_10-networking/%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%8D/6a6d6bc2-32bc-48d1-8b1f-03555082c7f4

今回の不具合をある種認めたうえでの修正プログラムがリリースされたようです。

修正プログラムは

KB3206632

です。

 

ただ今回、インターネットに繋がらない不具合なのでそもそも修正プログラムのダウンロードもできない状態かと思いますが、

一時的にインターネット接続できるようにするためにMSの推奨としては

1)PC再起動

2)1)で復旧しなかったら

https://support.microsoft.com/ja-jp/help/10741/windows-10-fix-network-connection-issues

にある

「ネットワークのトラブルシューティング ツールを実行し、さらにネットワーク コマンドを実行する」

の通りにツール使ったり、コマンドうったりしてね

ということのようです。

 

なので前回の記事や、OCNからのお知らせで案内されている「完全シャットダウン(shift+シャットダウン)」はMSの推奨操作ではない???ようです。

※ 「完全シャットダウン」しないとだめ=Win10の売りの高速スタートアップの問題  と認めたくない???のか??・・・・(あくまで推測)

1)の再起動で復旧するケースもあるようですが、それで多くの人か解決しているのであればここまで大事になってない気もするのですが・・・・

 

なんにせよ、これで原因と解決方法はわかったぽいですが、

パソコンにあんまり詳しくないひとにこの対応できるのでしょうか、、、、、

 

 

 

 

 

 

Windows10でインターネットに繋がらない

2016/12/6 以降、Windows10でインターネットに繋がらないという事象があちこちで発生しているようです。

そのため、NTT東西、OCNでは、以下のようなお知らせが出ています。


NTT西日本(2016/12/7)
http://www.ntt-west.co.jp/info/support/oshirase20161207.html

NTT東日本(2016/12/8)
http://www.ntt-east.co.jp/info/detail/161208_01.html

NTTCom/OCN(2016/12/7)
https://support.ntt.com/ocn/information/detail/pid2500000dgp


 

※上記お知らせ内には、Windows10とは明記されていませんが、電話で問い合わせしたら教えてもらえました。

 

とりあえず、現時点でMSの公式な発表はありませんが、

色々調べて分かったことをまとめると

 

■発生する状況

① Windows10 (Home  Pro 等エディションによる違いがあるかは不明・・・)

 

② ネットワーク設定で、ローカルアドレスを「DHCPサーバからアドレスを自動取得」にしている

 

③ ①②を満たしていても必ず発生するわけではない?(少なくとも私の端末は発生していない・・・)

 

のようです。

発生時期は12/6頃以降のようですが、こちらも詳細不明。。。。

 

■解決方法

1) パソコンを再起動する(シャットダウンではダメな報告あり

 

2) 完全シャットダウンする

キーボードのShiftキーを押しながら、画面の「シャットダウン」をクリック

※Windows10のシャットダウンは、デフォルトだと「簡易シャットダウン」となるので、上記方法でちゃんとシャットダウンされるようです。

※「高速スタートアップ」をもともと無効にしている場合は、この項目は試す必要はないと思われます。

詳細は「windows10 高速スタートアップ」等で検索するといろいろ出てきます。

 

3) アドレスを強制的に再取得する

管理者権限でコマンドプロンプトを立ち上げ

ipconfig/renew

してアドレスと取得しなおす

renew

等の方法があるようです。

1)2)を何度か試して復旧したケースもあるようです。。。

また、一回復旧すれば再発しないか、、、もよくわかりません。

DHCPの問題っぽいので、IPを固定にしたら解決するような気もしますが、手元にあるPCでは今回の不具合が発生していないので

試せていません。。。。。

MSから修正プログラムがリリースされたとしても、そもそもインターネットに繋がらなければ入手できませんし、、、、どうするんでしょうかMS

 

 

 

※2016/12/7 11:45追記

新たな解決方法として

4) LANボードのドライバの再インストール

というのもあるようです。

 

※2016/12/15 16:10追記

OCNからのお知らせ で対処方法が掲載されていました(2016/12/12掲載)

>パソコンをシャットダウンし、再度電源を入れていただくことにより、インターネットが
>使えるようになる可能性がありますので、お試しください。

>また、Windows10をご利用のお客さまは、完全なシャットダウンをお試しください。

>【Windows10の完全なシャットダウンおよび起動の手順】
>1.画面左下のスタートメニュー(Windowsマーク)をクリック
>2.スタートメニューが表示されます
>3.「電源」マークをクリック
>4.「スリープ」「シャットダウン」「再起動」のメニューが表示されたら、
>  キーボードのShiftキーを押しながらメニュー「シャットダウン」を選択します
>5.パソコンの電源が切れたことを確認し、再度、電源を入れなおします

詳細は以下の参照ください。

https://support.ntt.com/ocn/information/detail/pid2500000dgp

 

※2016/12/15 16:55追記

マイクロソフトからの正式なアナウンスは出たようです。

詳細は以下で。

Windows10でインターネットに繋がらない②【解決編?】

 

Windowsアップデートでファイアウォール設定が変わる?

ひさびさにサポートの話です。

先日「VPNソリューションパック モバイルオプション」を利用しているお客様から

外出先のパソコン(Windows10)からモバイルオプションでVPN接続する際、VPN接続はできるがファイルサーバに接続できない(ただしサーバまでのPingは通る)

という問い合わせをいただきました。

 

・ルータのログからも接続はできている

・お客様の了承を得て、弊社環境からVPN接続→ファイルサーバへのアクセスはOK

だったので、

お客様のパソコンの設定が何かしら以前と変わってしまった可能性がありそうですが

ファイルサーバにアクセスできない→アクセス権の設定が変わってしまったの可能性が高そうなため

Windowsの資格情報を疑ってみましたが、はずれ。

http://win.just4fun.biz/Windows10/%E8%B3%87%E6%A0%BC%E6%83%85%E5%A0%B1%E3%81%AE%E5%89%8A%E9%99%A4%E6%89%8B%E9%A0%86.html

※ファイルサーバのID/Passや、WindowsのログインIDも特に変わってない様子

 

で、なかなか原因が見つけられませんでした、いろいろ確認してみると

VPN接続のファイアウォール設定が

プライベートネットワーク から パブリックネットワーク に変わってしまっていたようです。

※プライベートより、パブリックのほうがファイアウォール的には厳しめの設定なので、ファイル共有が止められてしまったようです。

winfw

設定をプライベートネットワークに戻したところ、無事ファイルサーバに接続できたようですが、

この現象、お客様の話だと、Windows10でWindowsアップデートを行ってから発生したようです。

VPN接続ではありませんが同様の現象が出ている人もいるようです。↓

http://oshiete.goo.ne.jp/qa/9420031.html?from=navi_recommend

たまーにWindowsアップデートで勝手に仕様とか設定とか変更されちゃいますが、(いくら厳しめの方向へ変えるとはいえ)ファイアウォールの設定を

勝手に変えちゃうのはどうかと・・・

ですが、今後サポートのときは要確認項目ですね。

 

 

※ちなみに

どうでもいい 仕様変更として、今年8月のWindows10 anniversary update の際(だと思いますが)、

壁紙やアイコン等を変更する設定画面の名称が

「個人設定」 から 「個人用設定」に名称のみ変わったぽいです。

うーん本当にどうでもいい。

kojin1 → kojin2

update前                        update後

 

 

 

 

名古屋工学院専門学校のインターン生2016

よりちょっと前にはなりますが、

8/29~9/9 の2週間 名古屋工学院専門学校からインターン生を受け入れをしました。

例年は、1名/1週間 という人数/期間 でしたが、1週間だとどうしてもこちらが伝えたいこと/学んでほしいことに限りがああったため

大変ではありましたが、2名/2週間 でチャレンジしました。

20160901_163617-2

今回のカリキュラムは

「実際の業務を通して、コミュニケーション能力の大切さを学んでもらう」

テーマとしました。

過去のインターンは、受け入れ期間も短かったこともあり、インターン生の興味がありそうないわゆる「技術的な」カリキュラム中心でした。

ただ、当社のエンジニアは、単に「技術的」な知識や興味があればよいわけではなく、社内の人とはもちろんですが、サポート業務や納品のときの対お客様であったり

取引先等とのコミュニケーション能力についても業務を進めていく上で不可欠です。

というよりこっちのほうが大事だったりします。

20160901_135842

なので今回は、興味のあること以外の「仕事をするうえでの厳しさ」も体験してもらえれば、と思い進めて行きました。

 

ということで、今回は単に日程が2週間になっただけでなく内容もガラッと変えたので、カリキュラムを準備した若手エンジニアはかなり大変だったと思います。

その甲斐もあり、インターン生も大変だったとは思うけどいろんな体験をしてもらえたのではないかと思ってます。

 

また、今回インターン生の指導は昨年に続き主に若手エンジニアのH君にやってもらいましたが

今回はさらに、カリキュラムの考案/作成 をしてもらい、自分で企画して進めていくことの大変さ難しさも経験してもらうことができました。

準備期間、インターン中いろいろ大変そうでしたが1段階レベルアップした様子も見てとれました。(インターン後は若干燃え尽きた感もありましたが、、、^^;)

 

インターンの受け入れ自体は正直大変ではありますが、インターン生の成長はもちろん、

指導役のメンバーの成長=会社としての成長

を実感できた非常に良い機会ではあるので、ぜひこれからも続けていきたいですね。

 

もちろん、今回のカリキュラムでうまくいかなかったことの反省も踏まえてですがね。。。。。

 

 

 

標的型攻撃対策④(Windowsファイル共有)

前回までは、標的型攻撃を受けないためのパソコンの設定になりますが、

今回は、それでも攻撃を受けてしまった場合に、被害を小さくするための対策になります。

そもそも標的型攻撃は

 

①侵入活動

→メールやウェブ経由でマルウェアに感染させる

②侵入した端末で情報の収集

③他の端末でマルウェアをコピー

④サーバ等に侵入しデータの搾取→

 

のような流れで攻撃を行います。(ざっくりですが、、、)

 

前回までの対策は主に①を防ぐためですね。

 

で、今回は「③ 他の端末でマルウェアをコピー」 の対策です。

 

この「他の端末でマルウェアをコピー」の活動は主に、Windowsのファイル共有サービスを利用する

と言われています。

この時

・パソコン間でadministrator権限のID・パスワードが共通
・パソコンのファイル共有が利用可能

の条件がそろうとあっという間に③が成功してしまう らしいです。

 

なので対策としては

1)パソコン間のローカル管理アカウントを個別に設定する。
2)パソコン間でのファイル共有を禁止(共有はファイルサーバのみとする)
→ファイル共有の受信方向のみ停止

1)はパソコンの台数が多ければ多いほど、大変(全PCのパスワードの管理とか・・・)なので、力技で頑張るしかないですが。。。

2)については、以下のような方法で可能かと思われます。

 

 

◆パソコン間でのファイル共有を禁止(ファイル共有の受信方向のみ停止)する方法

●方法その1 パーソナルファイアウォールで止める。

Windowsファイアウォールや、ウィルス対策ソフト内のファイアウォールの機能で

ローカルポート UDP(137、138)、TCP(139、445)

宛ての通信を止めればよいです。

Windowsファイアウォールだと、(AD環境でなければ)、1台ずつ設定が必要ですが

ウィルス対策ソフトを集中管理している環境であれば、一括で設定可能かと思います。

 

●方法その2 ファイル共有を停止する。

そもそもパソコン側でファイル共有(受信)を止めてしまうという方法です。

この方法自体もいろいろ設定の仕方がありますが、一番手っ取り早いのが、ネットワークのインターフェイス上で

ファイル共有を止めてしまうことです。

 

コントロールパネル→ネットワークと共有センター→アダプターの設定の変更

から、自身が使っているインターフェイス(有線だと「ローカルエリア接続」が多いでしょうか)

のプロパティを開き

「Microsoftネットワーク用ファイルとプリンタの共有」

のチェックを外します。

share

※参考(ちょっと古いですが):ファイルとプリンタの共有を無効にしてセキュリティを強化する

https://support.microsoft.com/ja-jp/kb/199346

 

その1その2を組み合わせれば、2)の対策としては概ね大丈夫だとだと思います。

 

※この2つの方法だとWindowsの「管理共有」が動いているままになるので、念のため「管理共有」止めておいたほうがより良いかもしれません。レジストリ弄る or バッチ走らすなど ちょっと手間がかかりますが。。。。

 

参考:Windowsのデフォルト共有を停止させる(管理共有を無効化する)

http://www.atmarkit.co.jp/ait/articles/0304/26/news003.html

 

 

 

 

 

 

 

 

 

 

 

標的型攻撃対策③(Adobe Reader)

前回、メールの添付ファイルで、マクロ付Officeファイルの対策について書きましたが、

office系のファイルと同様に気を付けないといけないのが、pdfの添付ファイルです。

最近は多くの人が使っているpdfの閲覧ソフト「Adobe Reader」のセキュリティ機能(サンボックス機能)が強化されていたりするので

不正なpdfファイルは減少傾向にあるようですが、それでも頻繁に「Adobe Reader」に脆弱性が発見されていたりするので

対策をしておくにことに越したことはありません。

 

Adobe Readerの設定として確認すべき点は

①Adobe Readerの最新バージョン/更新プログラムが提供された場合にすみやかに更新できるようにすることです。

常に更新プログラムが適用されている状態にしましょう。

また、Adobeのサポートが切れているバージョンの使用は控えましょう。(2016/8/10現在 X以下のメーカサポートは終了しています。)

http://www.adobe.com/jp/information/acrobat/endsupport.html

 

reader01

②標的型攻撃はpdfファイルにファイルに攻撃処理を含んだスクリプトを埋め込んで攻撃してくることが多いため、

スクリプト自体を無効化してスクリプトを実行させないことが大事です。

(Officeのマクロ同様、自作のスクリプトを使ってる方は、停止できないかもしれませんが、

閲覧、印刷 しか使っていなければ止めてしまって問題ないと思います。)

reader02

③外部のWindows Media Player や Adobe Flash Player に存在する脆弱性を利用し、不正なファイルをpdfに埋め込んで攻撃してくるケースもあるため、

以下設定でAdobe ReaderからWindows Media Player や Adobe Flash Player 等を利用しないようにすることも効果大です。

reader03

④PDFファイルを開いたときに外部プログラムを呼び出す機能 がありますが、これが悪用されたケースもあるので

この設定も止めましょう。

reader04