更新プログラム適用でデスクトップアイコンが消える?

一部のPCで、Windowsアップデート適用後、デスクトップのアイコンが消える という不具合が発生しているようです。

うちの環境では発生していませんが、弊社の一部のお客様で本事象が発生し、復元→「KB4099950」を削除で解決しているようです。

https://answers.microsoft.com/ja-jp/windows/forum/windows_7-update/%E6%9B%B4%E6%96%B0%E3%83%97%E3%83%AD%E3%82%B0/3b3bb1c3-a759-4c48-9216-b923c7f8a13d

もともとこの更新プログラムは、前回ここでも書いた3月の更新プログラムを適用したWindows 7/Windows Server 2008 R2環境の一部で発生していたネットワークの不具合が修正したプログラムのようですが、これを適用することで新たな問題が発生してるようです、、、、

 

更新プログラムの不具合には慣れっこになってきましたが、直近の不具合の修正プログラムに不具合があった ってのはさすがにちょっと・・・という感じです。。

 

不具合があるのは百歩譲って仕方ない(すべてのH/W、ドライバに対応させるのは無理?)としても、今回のようなケースで

原因を特定(どのKBか特定)→復元→KB削除→そのKBが適用されない様にする

という対処法大変なんで、ボタンをポチっとしたら戻るとか、もっと楽になりませんかね?

Windows7 3月の更新プログラムを適用すると無線 LAN,有線 LAN 利用時に問題が発生する

毎月定例のWindowsアップデートですが、

先週配信された更新プログラムを適用すると、無線 LAN,有線 LAN 利用時に問題が発生するそうです。

対象OSは、Windows 7 SP1 と Windows Server 2008 R2 SP1

詳細は以下、MicrosoftサポートチームのURLを参照していただければと思いますが

3月の更新プログラムを適用すると無線 LAN,有線 LAN 利用時に問題が発生する

 

起きる現象の抜粋としてはこんな感じ


<現象1-1>

・ステルスモードの SSID への接続用の無線プロファイルが表示されなくなる

 <現象1-2>

・無線 LAN アダプターが無効化される、利用できなくなる

 

<現象2>

・ネットワーク インターフェースに静的に設定した IP アドレス情報が失われ、DHCP などのデフォルト設定に置き換わる。


現象1は無線、現象2は、有線でも無線でも発生するっぽいですね。(まあ、無線を静的アドレスにすることは少ないので実質有線のみか・・・)

 

しっかし、毎度定例アップデートでいろいろやってくれますが、特にWindows7がらみが多いですね・・・・

前回も書きましたが、早く10に移行せよってことでしょうか。。。。。

 

そろそろWindows7からの移行の準備を・・・

2014年WindowsXPのサポート終了から、早4年。
今度は、2020年1月14日にサポートが終了するWindows7への対応をそろそろ始めないといけない時期に来ました。
XPの対応がついこないだような気がしますが、もうそんな時期なんですね。。。
皆さんご準備のほうはいかがでしょうか。

まだ2年近くありますが、XP→7に入れ替えを経験したかたならわかるかと思いますが
「あと2年しかない」というのが実感なのではないでしょうか。

ちなみに
OSやブラウザのシェアを調べることができるサイト「Statcounter」によれば
2018年2月の時点では
Win10・・・43.54%
Win7・・・41.55%
Win8.1・・・・8.53%
WinXP・・・・3.2%
Win8・・・・2.49%
WinVista・・・・0.62%

という比率だそうで、いつの間にかWin10が、Win7を追い抜いておりました。

http://gs.statcounter.com/os-version-market-share/windows/desktop/worldwide

これだけ見ると、Win10への移行が順調な気もしますが、法人利用の場合はまだまだWin7が現役という会社も多いんじゃないでしょうか。
弊社のVPNのサポート中、お客さまののOSを確認するとまだまだWin7のほうが多いです。

ということで、弊社もまだままWin7がメインなので、入れ替えをしていかないといけないですが
そのままWin10へ移行するか
どうせなら、この際RDPサーバ立てて、シンクライアント環境にしちゃうか悩み中。

Win10の場合、定期的な大型アップデートの度にデバイスやソフトウェアが動作しなくなったりでトラブルも多いし・・・

その点、シンクライアントにすれば個別のPCの不具合などに対応しなくて済みますし、バックアップとかセキュリティ関連とか
まとめてできて便利そう(多分。。。)だし、何よりも固定席を持たない「フリーアドレス」環境にもできる!!

でもサーバOSのメンテはそれはそれで大変(苦手)だし、相応のコストもかかるし、、、
さて、どうしたものか。

Win10は、Windowsとしては最後のOSなんて言われたりもしてますので、この移行がらみの対応はこれで最後の可能性もありますが
数年後、何がどうなっているか読めない世界ではあるので・・・
そういったことも含め、今回の件の自社分は粛々と進めていこうかと思います。

「フレッツv6オプション」を使ったIPv6のVPNのテスト③

 

前回からの続きでv6でのVPNテスト最終回です。

前回までで、とりあえず「フレッツv6オプション」を使ったVPN環境の構築まではできましたので
v4との比較でどれくらい速度に変化があるか測定してみたいと思います。

尚、今回の結果は、あくまで弊社の環境(回線、LAN環境、測定PCの性能)での測定結果
になりますので、参考値として読んでもらえればと思います。

 

■環境

・v4環境
ルータ①
回線:フレッツ光ネクストファミリー隼 ひかり電話なし
エリア:愛知県
WAN環境:OCN IPv4 PPPoE接続

ルータ②
回線:フレッツ光ネクストファミリー隼 ひかり電話あり
エリア:岐阜県
WAN環境:OCN IPv4 PPPoE接続

・v6環境
回線、エリアともに同じ環境
ルータ①
WAN環境:「フレッツv6オプション」 ネーム利用あり

ルータ②
WAN環境:「フレッツv6オプション」 ネーム利用なし

 

■測定方法
1)ルータ①配下にある、ファイルサーバ(WinSV)から、ルータ②配下のPC(Win10)
1GByte のファイルをコピー
その際のWindows上での速度を記録

2)PCAUSAのTest TCP (PCATTCP) というフリーのツールを使い測定

 

■測定結果
1)
・IPv6
約8MB/s=約64Mbps

・IPv4
約3.6MB/s =約28Mbps

 

2)
・IPv6
約48Mbps

・IPv4
約23Mbps

 

 

※測定する時間はいろいろ変えてみましたが、たまたま混んでない日だったのか
時間帯による変化はほぼありませんでした。
夜間遅いときに計りたかったのに、こういうときに限って混雑してないという・・・・
ただ測定した日は、それぞれのルータがつながっている網終端装置は「それなりに」混んでいる とNTT/プロバイダからは聞けています。

測定方法によって、値は結構ことなりますが(特にv6)
おおむねv4の倍の速度が出ているようです。思った以上に良い結果ですね。

「フレッツv6オプション」の場合、NTT東西間は接続できないことや、インターネットの速度遅延は解決されない

等の問題はありますし

この後の弊社でのサービス化についてはまだ準備/確認これからですが、現状困っているお客さまに対しての

解決策となればと思います。

 

「フレッツv6オプション」を使ったIPv6のVPNのテスト②

前回の続きです。

「フレッツv6オプション」を使ってのVPN接続ですが、まず前提として
今回「フレッツv6オプション」を利用して、IPv6のアドレスを使ってVPNを構築しますが
IPv6のアドレスは使うのはいわゆるルータのWAN側のみです。
(もちろんLAN側にv6オプションのIPv6アドレスを割り当てることもできますが、今回はしません)
なので、LAN側のパソコンやネットワーク機器でv6アドレスを使えるようにするなどの設定変更は不要
という構成を想定しています。

また、インターネットは今まで通りとし、プロバイダ設定は残したままにします。
(前回書いた通り、「フレッツv6オプション」だけではインターネット接続できません)
※WAN側が、今までのプロバイダで使っているIPv4アドレスと、「フレッツv6オプション」のv6アドレス
の二つを持つことになります。
※ちなみに、「フレッツv6オプション」はいわゆる「IPv6 IPoE接続」になるため
フレッツの「PPPoEセッション」は使用しません。(この接続のためにセッション追加は不要)

さらに、「フレッツv6オプション」ですが
払い出されるv6アドレスが、あまり聞きなれない「半固定アドレス」になっています。
これは滅多に変わらないが、変わっちゃうこともがあるよ ということだそうですが
以前、NTTの故障受付に問い合わせたときには「アドレスが変わったなんて聞いたことがない」
みたいなことを言っていたので、変わる可能性はかなり低いようです。
(実際に、ONUのオフオン等何度も試してみましたが、変わりませんでした。NTT網内で工事等メンテナンスがないと変わらないようです)
ただ、ほとんどアドレスが変わらないといっても、変わる可能性はゼロではなく、
通常VPNルータでVPN構成を組む場合、最低でもルータのどちらかが固定のIPアドレス(もしくはDDNSなど利用)
が必要ですが、半固定なので何かしら固定にする必要があります。
(忘れたころにVPNがつながらなくなっても困りますので)
今回は「フレッツv6オプション」のオプション(?)の「ネーム」の機能を使ってこれを解決します。(後述)

さらにさらに、「IPv6 IPoE接続」ですが
フレッツ光ネクストの「ひかり電話」の契約によって、IPアドレスの取得方法(=ルータの設定方法)が変わるので注意が必要です。

・ひかり電話有り
アドレス範囲の大きさ : ONU配下には/56で配布されるが、ホームゲートウェイ以下は/60で分割配布される
アドレス払い出し方式 : DHCP-v6-PD

・ひかり電話無し

アドレス範囲の大きさ :  ONU配下に/64が配布される
アドレス払い出し方式 :  RS/RA方式
今回は、片側ひかり電話あり、もう一方はひかり電話なし
でテストすることにしました。

◆「フレッツv6オプション」を使ってVPN接続をする手順

1)「フレッツv6オプション」を申し込む
サービス情報サイトの申し込み受付ページ(https://www.v4flets-west.jp/) (西日本)
のサイトからオンラインで申込みをする必要があります。
※116にかけて申し込むこともできるようですが、初期費用が発生しますので注意が必要です。

ただ、このサイトに接続するには
フレッツ網用のPPPoEセッションに接続されたPCからのみとなります。
この接続は、NTTから提供される「スタートアップツール」を使って接続するか
PCまたはルータに、「サービス情報サイト」用のPPPoE設定をして、接続することになります。
この時にフレッツのセッションを1つ利用する形になりますので
セッションに空きがないとそもそもこのサイトに接続できないので注意が必要。
(初期でフレッツのセッションは2つ。有償で最大5まで増やすことが可能。)
(1)の作業とこのあとの2)の作業が終われば、このセッションは切断してもOK)

ルータに設定する場合は、ルーティングの設定も必要なので結構めんどい

また、このサイトに接続する場合は、フレッツの開通案内(フレッツサービスお申込み内容の案内)
に記載されている
「お客様ID」(CAFから始まる番号)
「アクセスキー」
が必要になります。

このサイトにログインした後は、「フレッツv6オプション」申込み とするだけでOKです。

ちなみに、この作業は、IPv6でVPN接続する全回線で作業する必要があります。

2)ネームの登録
前述のとおり、「フレッツv6オプション」は半固定のアドレスになるため、その対策として
「ネーム」の機能を使います。
「ネーム」とは、NGN 網内専用のDDNSサービス(=動的グローバル IP アドレスを固定ホスト名として使えるようにするサービス)
と思ってもらえればわかりやすいと思います。

この設定も、1)と同様「サービス情報サイトで設定します。
1アドレスまでは無料、追加は有料です。(VPNだけなら1つあればよいので無料でいけます)

ネームの部分  NTT西日本では
**********.p-ns.flets-west.jp
というアドレスになっており、**********の部分が任意に設定可能です。

なおこの作業は、センター拠点になる回線のみで基本的にはOK。
今回は2か所でテストしますので片方の回線でしか設定していません。

ちなみにこの作業、実際には一度ルータなどに、IPv6アドレスを割り当てないと登録できません、、、
(割り振られる、半固定のアドレスがわからないからです。)

 

3)各ルータにIPv6設定→VPN設定
ひかり電話有り/なし に併せてルータの設定。

ルータは、VPNソリューションパックで使用している、センチュリーシステムズのNXRシリーズです。
最初は、v6のことがよくわかっていなかったので、アドレスが取得できない→原因が切り分けできない
と散々でしたが、
(リンクアドレスのこととか、prefixとかよくわからず試し始めたのが原因です。。。。やっぱちゃんと勉強してから始めないといけないですね・・)
なんとかv6接続可能。

IPv6のアドレスを使ってルータ間でpingの疎通もOK
(最初ネームでのpingが通りませんでしたが、v6用のDNSの設定が抜けてました。。。。。超初歩的なミス。。。)

VPN設定は、基本的にv4と同じ。
VPN接続まで無事できました。

とりあえず、これで接続まではできました。
このあと、v6に変わってどれくらい速くなったか!速度を測定してみたいと思います。

次回へ続く

「フレッツv6オプション」を使ったIPv6のVPNのテスト①

最近、VPNが遅い
こんな問い合わせが、良く入るようになりました。

「Windowsアップデート」の日や、iOSのアップデートがリリースされた日などは
顕著で、インターネット全体で通信量が急増しているからなどが理由の一つですが
特に最近は、上記のアップデートがない日であっても発生しているようです。

NTT東西やプロバイダに混雑状況の調査を依頼すると
NTT局内に設置されている「網終端装置」が込み合っていて速度がでない状況との回答が来ます。
込み合っている原因としては、最近は昔と違いインターネットの利用が
・YouTubeやamazonビデオ等の動画再生
・OSのアップデート
・クラウドサービスなどのファイル共有利用
等が増え、ユーザが利用するデータ量が増えているのが原因のようです。

しかも、この装置が込み合っている状況は、NTT的には「故障」という認識ではないため
なかなか対処もされず(ベストエフォートなので仕方ない側面もありますが)
なかなか改善されません。

※1そもそも、この装置は各地域ごとおよびプロバイダごとに複数台あるのですが
この台数を決める基準が、トラフィック量ではなく、ユーザ数(PPPoEセッション数)
で決めているらしい(違ったらすみません)のでなかなか増設されないようです。
OCNでは過去に何度も増設工事はされてきましたが、増設のスピードに、ユーザが利用するデータ量の増加が
追いついていない印象です。
そもそもこの基準が今に合ってないんだよな~

※2さらにさらに、この装置の「責任」がややこしい。
NTTに問い合わせると、「この装置の責任はプロバイダにある」(各プロバイダごとの装置のため)
と言うし、
プロバイダに問い合わせると、「装置はNTT内に置かれているのでNTTの責任範囲」
と言ってきます。
どっちの言い分もわからなくもないですが、この辺きっちりしてほしいです。

時間帯によっては、この「網終端装置」のどれかが比較的空いていることもありえるので
PPPoEセッションの再接続(ルータの再起動等)することで、この空いている機器につながり、遅いのが改善することもあるかと
思いますが、時がたてば再発する可能性が高いです。

 

ということで、結論的には、「網終端装置」が込み合っているけど、NTTやプロバイダではすぐに対処が難しい
状況なのですが、その対策としてNTT東西の「フレッツv6オプション」を使って解決しようと思います。

この「フレッツv6オプション」ですが、NTT東西のIPv6通信サービスになります。
https://flets-w.com/opt/v6option/
このオプション自体の月額利用料は無料で、
このオプションをつかうことで、
インターネット(網終端装置)を経由せずNGNの網内で、このオプションを利用するユーザ同士が
直接に通信することができます。
なので、このオプションを使ってIPv6のアドレスで拠点間のVPN接続をすれば、速度遅延の解決が見込めるはずです。

ただし、このサービスを使っても、インターネット通信はプロバイダ契約が必要です。
そのため、今回の解決策の案は、残念ながらインターネットが遅い
ということに関しては解決されません。。。。
(一先ずVPN優先!)

ということで次回このサービスを使ってVPNの設定を行っていきます。

次回へ続く

WPA2の脆弱性について②

先日も書かせていただいた

WPA2の脆弱性について

ですが、その後、各端末メーカのほうでセキュリティパッチの公開など行われているようです。

基本的には、前回も書きましたが

無線ルータ、APに関しては「ルータモード、APモード」で利用している場合は、特に影響はなく

無線ルータ間で通信している場合(中継器モード、子機モード等)はメーカからのセキュリティパッチの適用をしないと

悪意のある第三者から無線通信をアクセスされ覗き見される可能性があります。

 

また、無線を使うパソコンやスマートフォン等の端末に関しては

それぞれのOSメーカ提供されるセキュリティパッチをあてる必要があるのですが・・・・

WindowsOSに関しては、10/10付でパッチが公開されていましたが、

iOS,MacOS等(アップル)に関しても、10/31付

android関しても11/6付

でパッチが公開されたようです。

ただし、iOSに関しては

https://support.apple.com/ja-jp/HT208222


 

Available for: iPhone 7 and later, and iPad Pro 9.7-inch (early 2016) and later

Impact: An attacker in Wi-Fi range may force nonce reuse in WPA multicast/GTK clients (Key Reinstallation Attacks – KRACK)

Description: A logic issue existed in the handling of state transitions. This was addressed with improved state management.

CVE-2017-13080: Mathy Vanhoef of the imec-DistriNet group at KU Leuven

 


まさかのiPhone7 以降の対応のみ・・・・・

私が使っているiPhone6sは、いまだWi-Fiつなげません(-_-;)

 

さらに、androidに関しては、andorid開発元のgoogleとしては、パッチを公開してますが

キャリアが提供するかどうかなのですが、iPhone以上に、古い端末は未対応となりそうな気配です。

※自力でパッチを適用できるかどうかはandroidにそこまで詳しくないのでわかりません、、、(T_T)

↓docomoのアップデート状況

https://www.nttdocomo.co.jp/support/utilization/product_update/

 

現状業務利用のスマホはWi-Fiつなぐな 状態ですが、いつになったら解決されるのでしょうか。。。。

 

 

 

 

「無線LAN構築保守パック」納品準備

今度ある、「無線LAN構築保守パック」の納品準備真っ最中。

今回の納品は、AP、HUBそれぞれ10台ほどあるため、設定を投入するのも一苦労。

設定後の動作確認もこうやって全台ならべて、実際配線もしてみて実施しています。

もちろん無線の動作が問題ないかもチェックします。

 

納品時にできるだけバタバタしないように、事前に確認できることはして納品に臨みます!!

 

WPA2の脆弱性について

ニュースにもなりましたが

無線LANの通信規格、WPA2  で

10月16日(米国時間)に、暗号鍵を特定される等の脆弱性が発見されたようです。

 

現在わかっていることとしては

この脆弱性については

無線の「クライアント側」

の脆弱性になることのようなので、

無線ルータや、無線APは特に対策は必要なさそうで、

クライアントになる、WindowsPCや、スマホ、タブレット端末側で、対応が必要なようです。

 

※弊社サービス「無線LAN構築保守パック」についても、無線AP側での対応は特に不要です。

 

 

WindowsPCにおいては、すでに修正プログラムが出ているので

Windowsアップデートを適用すればよいらしい。

※ほかのOSは詳細不明。。。

 

この脆弱性をほっておくと、無線LAN経由の通信が盗聴されてしまう可能性がありますので

早めに対応するようにしましょう。

 

※参考URL

バッファロー

無線LAN製品のWPA2の脆弱性について

http://buffalo.jp/support_s/t20171017.html

 

アイ・オー・データ

WPA2の脆弱性に関する弊社調査・対応状況について

http://www.iodata.jp/support/information/2017/wpa2/

 

エレコム

WPA2の脆弱性に関する弊社調査・対応状況について

http://www.elecom.co.jp/support/news/20171018/

 

ヤマハ

「Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題」について

http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVNVU90609033.html

 

 

 

 

 

 

スパムメールにはご用心を

最近、こんなスパムメールが流行っているようです。

■「NTT-X Store」からの「商品発送のお知らせ」を装うスパムメールにご注意ください

https://help.goo.ne.jp/help/article/2230/?_ga=2.183000800.753656512.1507697921-1451381935.1506052606

 

実は、これ弊社にも届きました。

中身は↓のような感じです。添付ファイルはありませんが、何かしらのリンクがあり

クリックするとzipファイルがダウンロードされるようです。

(これがウィルスなのか、なんなのかは不明)

っていたと思いますが

 

弊社は、HTMLメールの受信をメーラーの設定で止めていますので、URLが表示されています。

ちゃんと見ればURL「zip」で終わっているので、怪しさ全開です。

ただ、このちゃんと見れば・・・というのが全社員に徹底するのが難しいですが。。。。。

それ以外のメールの内容でいうと

一昔まえのスパムメールだと、日本語が若干問題あったり、送信者、送信先が不自然だったりしましたが

今回うちに届いたメールだと

かなり本物っぽく見た目だけでスパムと断定するのは難しいと思われます。

 

また、弊社はスパム対策をメールサーバ側と、社内のファイアウォールで2重に行っていましたが

それでも届いてしまいました。

また、添付ファイルがなかったので、ウィルスという判定もされませんでした。

URL自体はただの「文字列」でしかないので、リンク先まで確認するファイアウォールでないと検知できませんし、

最近のいわゆる標的型攻撃の場合、そのURLのリンク先は

アクセスする時間で、ウィルスであったり、そうでなかったりする場合があるため検知は非常に難しいと言われています。

(社員がクリックしそうな時間帯だけ、ウィルスのリンクになっていたりするそうです)

 

 

ひとまず、みなさんもそれっぽいメールが来ても、「うちはファイアウォールあるから」といって

安心してメールをやたらめったら開かないように注意してください。