突然リモートデスクトップ接続ができなくなる

朝から突然リモートデスクトップ接続ができなくなったと、テレワークユーザーから連絡がありました。前の日までは問題なく接続できていたという事です。

メッセージは次の通りで、「接続できません。現在、いずれかのサービスに接続できないようです。後でもう一度試すか、問題が解決しない場合はヘルプデスクにお問い合わせください。HTTP 404 login.microsoft.com」と表示されていました。

怪しげなWindows Updateの削除など、色々試したけれど、解消しません。

HTTP 404 と login.microsoft.com というのが気になり、これって、認証でMicrosoftのサーバーに接続できていないってことでは? と思いました。そこで、試しに、ブラウザを起動して、一般的なWebサイトにアクセスすると、エラーが出ます。

VPNがオフの状態では問題ないけれど、オンにすると接続できなくなります。実はこの現象は、以前から一部のユーザーで発生していましたが、調べるのが面倒でそのままにしていました。


ローカルゲートウェイをデフォルトゲートウェイにして解消

そこで、以前、目星をつけておいた、VPNアダプターの「リモートネットワークでデフォルトゲートウェイを使う」のチェックを外したところ、見事解消しました。


デフォルトでは「リモートネットワークでデフォルトゲートウェイを使う」にチェックが入っていて、デフォルトゲートウェイは下の図の「会社ルーター」になります。

クリックすると拡大されます

その結果全てのパケットはVPN経由となり暗号化され、緑の実線ルートで会社ルーターに送られます。その後、192.168.10.X宛てのパケットは社内に送信され、そうでないパケットはインターネットに送られるようです。安全な通信です。


リモートのゲートウェイを使わず、ルートを追加する場合

「リモートネットワークでデフォルトゲートウェイを使う」オフ
「クラスベースのルートの追加を無効にする」オフ

の場合、デフォルトゲートウェイは自宅ルーターになり、VPN接続先のネットワークアドレス(192.168.10.X)宛てのパケットのみがVPN経由で会社ルーターに送られる事になるようです。

社内宛て(192.168.10.X)のパケットは暗号化されていて安全です。しかし、それ以外のパケットはオレンジのルートを通るため、VPNにより暗号化されておらず、盗聴や改ざんのリスクを伴います。

インターネット宛ての通信が暗号化されていないという面では、会社から通信する場合と同じですが、自宅ネットワークが乗っ取られていたり、出先のWi-Fiネットワークが不正に盗聴されたりする可能性を考えると、リスクはより高いと言えます。

Microsoftや銀行との通信はhttps等で暗号化されているのが普通なので問題ないと思いますが、httpやFTP、POP、SMTPなど暗号化されていない通信方法を使用している場合は危険を伴います。

なお、オレンジルートを通るパケットは、暗号化されず経路もシンプルなので、緑ルートを通るパケットよりも高速だと思います。VPN接続するとTeamsやZoom会議が重くなる場合には有効な対処方法だと思います。Pingの結果も、リモート経由より、ローカル直接の方が速いです。

タイムアウトまでがVPN経由、以降が直接

通信がどこを通っているのかは、tracert を使って検証して見るとよいと思います。これで、最初に出てくるルーターが自宅か社内か判別できるはずです。


リモートのゲートウェイを使わず、ルートを追加しない場合

「リモートネットワークでデフォルトゲートウェイを使う」オフ
「クラスベースのルートの追加を無効にする」オン

の場合、デフォルトゲートウェイが自宅のルーターになり、VPN接続先のネットワークアドレス宛てのパケットもルーティングされなくなるようです。

これは、すべてのパケットがローカルゲートウェイ経由でインターネットに送られる(オレンジのルート)ため、VPNを使う意味が無くなり非常に危険です。そのため、「クラスベースのルートの追加を無効にする」のチェックはデフォルトでオフなのでしょう。

ネットを検索すると、これを有効にして、VPNの向こうにある特定のIPアドレスだけルーティングするという方法が書かれています。ルーティング指定したアドレス以外は暗号化されないという事をよく理解したうえで構成した方が良いと思います。


ローカルとリモートのネットワーク アドレスが同じ場合

自宅のネットワークが192.168.1.1 で、会社のネットワークも192.168.1.1 の場合は、デフォルトでは、すべてのパケットが会社に送られてしまい、自宅ネットワークのデバイスにアクセスできないと思います。

このような場合は、可能であれば自宅ネットワークのネットワークアドレスを変更するのがベストだと思います。

出来ない場合は、ローカルデバイスのIPアドレスをひとつひとつルーティングリストに追加することになります。しかし、それをやるのなら、やはりネットワークアドレスを変えてしまった方が早いと思います。

設定当初は良くても、社内の変更により、IPアドレスが衝突する場合もありますし。


リモートデスクトップ接続できなくなった理由

以前は、ローカルPCにローカルアカウントでログインし、リモートPCにもローカルアカウントでサインインしていました。現在は、いずれもAzure ADアカウントでサインインしているため、タイミングによっては、Webアカウントの認証でサーバーへのアクセスが生じるのかもしれません。その際に、Microsoftのサイトにアクセスできないと、接続できない状態に陥るのかもしれません。

本来であれば、すべての通信がVPN経由だったとしても、社内ルーター経由でインターネットにアクセスできるはずです。問題のPCのルーティングがどうなっていたのか、今一つ解析しきれていません。同様の現象が発生しているPCが他にもあるので、そちらも含めて調べてみようと思います。


コメント

アクセス数の多い投稿

セキュリティ対策ソフトのノートンが詐欺ソフトまがいになってしまってショック

ZIPファイルを開こうとすると、展開を完了できません、と言われる

Windows セキュリティーのビックリマークが消えない

突然滅茶苦茶遅くなったPCがWindows Updateのキャッシュクリアで復活

Power Automate Desktopでブラウザでダウンロードしたファイルを処理する

NEC Aterm WX5400HP をセットアップ

Excel 2019 クエリが原因で日本語入力の一文字目が勝手に確定する

Excel VBAからODBCを使ってデータを簡単に取得する

Teamsで日本語入力すると左上に変換ウィンドウが出る

ChatGPTが日本語からVBAのコードを生成できてたまげる