「つながらない、つながりにくい」のはなぜ？ つながらない時のサポート、原因、トラブルシュート

2000年代頃までのインターネットは速度も遅く、サーバも安定しない状況が当たり前で、利用者も多少のトラブルには寛容でした。昨今では、技術の進歩とシステム運用者の努力により、高速で安定した環境が確立されました。それにともない、まれにつながりにくくなったり、使えないような状況に陥ると、その時の印象が大きなものに感じられてしまうのは無理からぬところでしょう。

かつての法人ネットワークは、全国にある会社のオフィス拠点からスター型のWANによって本社に集まり、本社のサーバルームにある社内システムにアクセスする構成が主流でした。また、インターネットにアクセスする際も、本社にあるファイアウォールや物理的なセキュリティゲートウェイ機器を経たうえで本社のインターネット接続回線を通って出ていく構成が一般的でした。（図1）

一方、近年の法人ネットワークおよびインターネットを取り巻く環境は、次のように変化しています。（図2）

• 社内システムがクラウドに移行
• 社内にあった各種アプライアンス機器がクラウドサービスに移行
• リモートワークの普及により、オフィス外からのアクセスが増加
• WEB会議やビデオ会議などのトラフィックが増加
• SASE^＊などを組み合わせることによるネットワーク構成やアクセス経路の変化

法人ネットワークで、ネットワークへの依存度が高まれば障害時の業務への影響は増します。その一方、「なんとなく遅い気がする」といった時も手元に実際の設備や機器がないため、直感的に被疑箇所がイメージしにくく、トラブルの原因切り分けがむずかしくなっています。

原因切り分けを行なう際は、「なんとなく遅い」「インターネットが使えない」といった抽象的な情報ではなく、次のような具体的な情報があれば、円滑な解決の一助となります。

• いつ、どことどこの、何の通信？（正確な時刻、IPアドレス、プロトコル）
• 「通信できない」の具体的なエラーは何か？（エラーメッセージ、不具合事象の詳細）
• 他の通信も遅い？（他の通信相手、他のプロトコルも遅い？）
• 他の端末も遅い？（別拠点の端末、別種類のOSやPCも遅い？）

ここからは、IIJサポートでの対応を例に、法人ネットワークにおける「つながりにくい原因例」と「切り分けのコツ」を5つのポイントに分けて解説します。

①通信経路は思ったところを通っている？

実は、ネットワーク構成図だけでは、通信経路は正確にはわかりません。複数の通信経路があるネットワークでは、通信の「行き」と「帰り」で同じ経路を通らないことがあるのです。ネットワークの途中にファイアウォールなど通信の「セッション」を監視する機器が設置されていると、通信が終了したはずのセッションの情報が正常に削除されないまま蓄積して、「徐々に動作が重くなる」といった症状が観測されることがあります。

L3のプロトコルのみの通信でも、行き・帰りの経路が異なれば、想定する通信ができない場合があります。また、ネットワーク内にプロキシサーバのような通信を中継する機器があると、L3のIPレイヤの通信経路とは別に、L4など特定のプロトコルが異なる経路を通っている場合があり、それが原因となって通信が成立しないケースもあります。（図3）

図3　行き・帰りの通信経路、通信レイヤ・プロトコルの違いを考慮する必要がある

②そのセグメントへの戻り経路はある？

新しいクラウドサービスの利用を開始した時、新規サービス側のルータに経路情報を設定しても、旧クラウド側ルータに経路情報がなければ、通信が成立しません。新規サービスに割り当てたIPアドレスセグメントへの経路が既存サービス側にも適切に設定がいきわたっているか確認しましょう。さらに、オフィスのLANの管理を異なる事業者に委託している場合、委託しているセグメントへの経路設定が不足しているケースがあり、注意が必要です。（図4）

図4　新規サービス側に戻る経路は設定されているか

③社内の名前解決用DNSは重くない？

通信が遅いのではなく、通信先のサーバ名（FQDN）からIPアドレスを調べる名前解決に時間がかかっているケースもあります。社内DNSキャッシュサーバをWindows Active Directoryサーバと兼用する構成だと、Active Directoryの処理の負荷がDNSキャッシュサーバに影響して、反応が遅くなることもあります。（図5）

図5　社内DNSキャッシュサーバの負荷が原因かもしれない

④クラウド化するとネットワークの要件も変わる

社内用途の業務アプリケーションを社内LAN上のサーバからクラウドへ引っ越すと、これまでLAN内で完結していた通信がインターネットやVPNを経由します。その場合、通信のタイムアウト値やMTUサイズなどのチューニングが必要になることがあります。また、インターネット経由で利用するクラウドサービスで、セキュリティ強化のためにアクセス元IPアドレスを制限することがありますが、利用者のオフィスのIPアドレスが意図せず変ったため、クラウドサービスにアクセスできなくなったということもあります。（図6）

図6　クラウドサービスにアクセスするIPアドレスが制限されていないか

⑤メールも送信ドメイン認証の要求が厳しくなった

迷惑メールやフィッシングメール（なりすましメール）の対策技術には、メールを送ってくる送信サーバがどのくらい信頼できるのか評価する「レピュテーション情報」を利用するものがあります。あまり品質の高くない迷惑メール対策技術では、新規に設置されて十分なレピュテーション情報が蓄積されていない送信サーバに過度なペナルティを科すことがあります。こうした場合、その送信サーバから少し多めのメールを送信するとスロットリングに抵触したり、送信元IPアドレスがブラックリストに追加されて、メール全体が「不審な挙動」として受け取り拒否されてしまうこともあります。（図7）

図7　レピュテーションが低いため認証されないメールは受け取られない場合がある

以上のように、これからの法人ネットワークでは、外部ネットワークやクラウドサービスも含めたネットワーク全体の構成を把握した管理が必要となります。

社内のユーザからは「なんだかつながりにくい」といった抽象的な表現で報告があがってくるものです。ネットワーク管理者は、それらの原因を前述の「トラブル切り分けのための必要情報」に記載したような具体的な情報にブレイクダウンし、全体構成と照らし合わせて整理する必要があります。

普段からこのような整理を行なっていれば、有事の際にも解決への近道になりますし、IIJサポートにお客さまからお問い合わせや調査のご指示をいただいた際にも、具体的な情報にもとづいた確認のやり取りができるため、迅速かつ効果的な問題解決につながります。