ネット回線を切り替えてGlobal IPアドレスが変わった。
特に問題無いかと思っていたんだけど、DNSサーバーの名前解決が上手くいかなくなったので参照するDNSサーバーを切り替えた。
さらに一部のユーザーのメールが届かなくなったとのことで、それらのユーザーのメールサーバーにアクセスして見るとなんと応答が返ってこないorz。
ところが、別経路でつなぐと問題無かったのでPOPサーバー(dovecot)の問題では無さそうだった。
結局はIPtablesの設定で古いGlobal IPのみ110番ポートへのアクセスを許可していためと判明。
うーん、私が直接関わったわけでは無いがいろいろ影響が出たなぁ(汗)。
More from: ネットワーク
←クリックしてくれると嬉しいです。
HUBを替えた
仕事場のLANハブを交換した。
これまでは10/100のハブだったんだけど、使わなくなったギガハブがあったので、それに交換。
これでPC間のデータコピーが速くなる筈!
ちなみに新しいハブはHPの「Procurve Switch 2824」という機種。
単にPC間の接続に使うには勿体ないかな(汗)。
←クリックしてくれると嬉しいです。
印刷が出ないというから見てみたら・・・
現場からプリンタから印刷出来ないという連絡が来た。
業務システムの印刷システムを見てもその現場だけ印刷データをプリンタに送信できずにいる。
さらにローカルネット上で接続しているPCからの印刷も出来ないということなので、プリンタそのもののネットワークインターフェースが疑われた。
これ以上はリモートでは検証できないのでプリンタを持って来て貰い、こちらのネットワークに接続しようと設定メニューを弄っていたら原因が見えた。
なんと、プリンタのインターフェースがUSB固定になっていて、ご丁寧にもネットワークを使わない設定に変更されていた。
これではLAN経由での印刷は全く出来ない。
いったい誰がどういう目的で設定を変更したかは不明だけど、勝手に設定を変更しないで欲しいものだなぁ・・
←クリックしてくれると嬉しいです。
PCがpingに反応しない
時々「ネットにつながらない」というSOSがくるので、その時は該当のPCにpingを打って接続を確認するのだけど、Windows10搭載のPCはfirewallを外してもそのままではpingに応答してくれない。
いや、正確に言うと同一のサブネットからのpingには応答するが、別ネットワークからのpingには応答しないようになっている。
一般的にはこのほうがセキュリティ的に好ましいのだろうが、複数のサブネットを構築している場合は生存確認がちょっと面倒。
そこで他のネットワークからのpingにも応答するように設定を変更した。
変更はコントロールパネルの”システムとセキュリティ”から”Widowsファイアウォールと進むと下の画面が出る。
この画面の左側にある”詳細設定”をクリックして”セキュリティが強化されたWindowsファイアウォール”の画面を出し、この画面で左側の”受信の規則”をクリックすると下の画面になる。
ここで中央のかなり下のほうにある”ファイルとプリンターの共有(エコー要求 -ICMPv4受信)のプロパティをダブルクリック。
そうして出て来た画面の”スコープ”タブをクリックすると下のようになる。
ここにある”リモートIPアドレス”の下がデフォルトでは”これらのIPアドレス(H)”が選択されているので、”任意のIPアドレス(Y)”に変更して”OK”ボタンを押すと、他のネットワークからの全てのpingに応答するようになる。
これでは危険というなら、”追加”ボタンを押して出てくるダイヤログボックス(下の画面)でpingを返したいノード(PC等)のIPアドレス等を入れるか、範囲指定をする等の設定を行い”OK”ボタンを押す。
この設定を行うと他のネットワークからのpingに応答してくれるようになる。
←クリックしてくれると嬉しいです。
WindowsVISTAからsambaサーバーに接続出来ない場合は
先日WindowsVISTAのPCからLinuxのファイルサーバに接続しようとして
「 システム エラー 86 が発生しました。 ネットワークパスワードが間違っています」
というエラーが出た。
もちろんユーザー名もパスワードも正しいものを使っているにもかかわらずだ。
調べてみるとWindowsVISTA以降は認証方法がXpまでと変更され、「net use」コマンドを使って接続する時はデフォルトでNTLMv2認証を使おうとするが、バージョン2.2以前のsambaはLAN Manager認証レベルのみにしか対応しておらず結果的に認証に失敗してしまう(なのでパスワードが間違っていると解釈される)ことが判った。
これに対する対処方法はWindowsOS側で使用する認証方法をNTLMv2からNTLMかLAN Manager認証レベルに変更することとなり、具体的にはレジストリエディタで認証レベルを変更するか、VISTAのBusiness/Ultimate/Enterpriseや7のPro/Ultimate/Enterpriseではローカルセキュリティポリシーを変更することで対応可能だ。
レジストリエディタで変更する場合は「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa」にある「LmCompatibilityLevel」の値(デフォルトは”3″:NTLMv2 応答のみを送信し、サーバーが対応している場合はNTLMv2セッションを使用する)を変更する。
レジストリエディタで変更するキーはLmCompatibilityLevel(この画像で選択中)
ローカルセキュリティポリシーを変更するには。
「コントロールパネル」の「管理ツール」にある「ローカルセキュリティポリシー」を開き、「セキュリティオプション」の「ネットワークセキュリティ:LAN Manager 認証レベル」という項目をダブルクリックして認証レベルを変更する。
Windows7Proのローカルセキュリティポリシーの変更画面
この画面で認証レベルを「NTLM 応答のみを送信する」に変更する。
こうなればOK
今回調べていて記事によっては認証レベルを”0″(サーバーが対応していてもNTLMv2は使用しない)にすると書いているのもあったが、これだとセキュリティ的に問題があるので、出来れば”2″(NTLM応答のみ送信し、サーバーが対応している場合はNTLMv2セッションを使用する)が望ましいと思う。
“2”でも接続できない場合は”1″(LM及びNTML応答を送信し、サーバーが対応している場合はNTLMv2セッションを使用する)にすれば良いと思う
よほど古いsambaサーバーでない限り”0″にしてLM認証のみにする必要はない筈で、実際私の環境でも”2″で問題無く接続出来た。
←クリックしてくれると嬉しいです。
イーモバイルの回線でリモートデスクトップ接続が出来た・・・
回線にE-Mobileを使ってのリモートデスクトップ接続になんとか成功した。
結果的に途中経路にあるL3スイッチがRDPで使用するポート(3389番)のセグメント間通過を許可していなかったので、それを許可したところ無事に接続が確認できた。
今回のこの接続はネットワーク関係の保守管理を依頼している業者さんに依頼したんだけど、VPNルーター間の通信だけ確認して納品して来たらしい、、、
確かにルーター間の通信は問題無かったけど、こちらの本来の目的である通信が全く出来ず、最初は通信したいセグメントとの間でpingすら通らない状態。
電話で私とやり取りしながら対応してくれていたが、私が「ここはどうなってますか?」と質問したところがきちんと設定されていないし、最後のL3スイッチも私の方から言い出してチェックしてようやく設定に抜けがあったことが判明。
おいおい、こんなんで何万円も作業料を取るのかよ?と言いたいね。
E-mobile(今はY-Mobileか)の回線ではVPNが張れないとか、RDPが通らないとかの情報を見つけた時はちょっと焦ったけど、少なくとも片方が固定IPアドレスを持っていればIPsecを使ったVPNセッションが張れることが判明したし、そこで張ったトンネルを通せばRDPとかsmbとかも問題無く使えることが判明。
速度は遅い(LTEではなく3Gのため)けど、非常用の回線として”無いよりマシ”で使えそうだな。
←クリックしてくれると嬉しいです。
リモートデスクトップがつながらない・・・
イーモバイルのドングルをルーターにつないでリモートデスクトップ接続をしようとしているが、何故かつながらない・・・
VPNは張れてsambaサーバーへの接続も出来るんだけど、何故かRDPが通らない・・・
うーん、なんでだろう???
←クリックしてくれると嬉しいです。
トンネルは張れているんだけど・・・
YAMAHAのRTX-810とRTX-3500の間で張っているVPNセッションが頻繁に切れる(=通信が出来ない)という事象が発生している。
販社(=機器の設定を依頼した業者)からメーカーには早い段階で調査依頼を出しているが一向に解決する気配が無い。
今日になってようやく現場で実際に通信が出来ない状態になっているRTX-810の状態を見て貰ったところ、奇妙な現象であることがわかった。
現場に着いてすぐに機器の状態(ステータス)を見て貰うとPPPoEセッションもトンネルも切れていないとなっている。
ところが実際にPCからVPNの相手先にpingを打っても応答が来ない。
つまり見かけ上は異常無くVPN接続しているように見えているが、実際には通信が出来ないという状態。
機器上で通過パケット数の変化を見ても送出パケット数は増加するが、受信パケット数は変化しない。
この状態でRTX-3500からpingを打ってもRTX-810に到達しないので、パケットはどこかに消えている模様。
通常だとセッションが切れると機器自身が自動でセッションの張り直しを行うが、今回は機器自身が異常を検知していないので自動でセッションを張り直すこともせず、セッションを修復するには機器の再起動しか無い状態。
今日の調査前まではセッションが切れたままで再接続出来ないものと考えていたが、その予測はものの見事に外れていたことになる。
うーん、一体どういうことが起きているんだろう?謎だ・・・
←クリックしてくれると嬉しいです。
エラーメッセージを出して欲しい・・・
職場でWindows8.1のPCを導入した。
こちらで初期セットアップをして使用者に渡しておいたが、今朝になってネットに繋がらないとSOSが来た。
調べたところIPアドレスを固定で設定しているにもかかわらず、ipconfigで見ると謎のIPアドレスが割り当っている。
これでは当然ネットワークに接続出来ない。
169.254で始まるIPアドレスだったので、どうもDHCPで自動取得しようとして取得できなかったらしい(DHCPサーバが無いため)。
問題は固定で設定しているのに何故DHCPで取得しようとしているかだ。
答えは結構単純で、固定で設定したIPアドレスが実は同一ネットワーク内の他のPCで既に使用されていたためだった。
WindowsXPやWindows7では同じIPアドレスが既に存在する場合はエラーメッセージが表示されたのですぐに判ったが、Windows8.1ではどうもそうではなく重複を検出した場合は自動取得に切り替わるらしい。
今回はIPアドレスの管理ミスで既に存在するIPアドレスを割り付けてしまったという当方のミスだけど、せめてエラーメッセージを出してくれていればその時点で問題の解決は出来ていた。
それを勝手に自動取得に切り替えるなんて全く余計なことをしてくれるものだな。
←クリックしてくれると嬉しいです。
ネットワークが切れてる?
現場からPCがネットに繋がらないとの連絡があった。
いつもだとADSL回線が不安定になっていることが多いので、ADSLモデムとルーターの再起動を試して貰ったのだが、一向に復旧しないとのこと。
現場のルーターにpingを打つと応答があるので、回線のトラブルでは無いことが判明。
ルーターやルーターに直接接続している機器からはpingの応答が返って来るが、ハブを経由している機器の中には反応が安定しないものが多い。
そこでハブの電源を一度切って入れ直して貰ったが、現象に余り変化が無い。
ここでハブの不調を疑って部下に予備のハブとLANケーブルを持たせて現場に向かわせた。
ところがハブの交換だけでは直らなかったらしく、いつまで経っても復旧しない。
そこで私も交換用の機材を持って現場に行き、部下に状況を確認して作業に入った。
まず問題のハブを見ると一見正常に動作しているようだったが、ポートの状態を示すインジケーターの一つが妙な点滅をしていることに気付いた。
そのポートに入っているLANケーブルを抜くとネットワークの状態が安定したように見えた。
再度LANケーブルを挿すとほどなくしてネットワークが不安定になるので、原因はそのLANケーブルか接続しているPCにあるものと推測。
LANケーブルを交換しても症状に変化が無かったのでPCに原因があるということになった。
そのPCを見ると電源は入っているが、ディスプレイには何も表示されておらずマウスやキーボードを操作しても反応が無い。
強制的に電源を切って再度電源を入れると問題無く起動し、そのPCからネットに接続するのにも全く問題が無い。
はっきりした原因は不明だが、ハングしている状態で異常なパケットを吐き出していた可能性もあるので、現象が再現したときはLANケーブルを抜くか、PCの電源を落として貰うように現場の責任者にお願いして現場を離れた。
これで一応終わりとしたけど根本的な解決にはなっていないので、頻繁に再発するようだと何か対策を考えないとならないな。
作業の途中でPCの内1台がどうやってもルーター越しのアクセスが出来なくなって焦ったが、これはデフォルトゲートウェイに”0.0.0.0”が設定されてしまっていたためだった。
これは過去にも経験があるので対処はすぐに出来た。
方法はコマンドプロンプトを管理者権限で起動し、一度デフォルトゲートウェイを削除した後に設定しなおすこと。
余分に設定されているゲートウェイ(0.0.0.0)の削除は
C:\>route delete 0.0.0.0
で出来る。
これをした後で通常通りネットワークの設定で正しいゲートウェイを指定するか、コマンドプロンプトから設定すればOKだ。
←クリックしてくれると嬉しいです。