先日、社内のユーザーからネットにつながらなくなったとの問い合わせが来た。この類いの問い合わせはよくあることなので、事情を聞いていると、80名ほどいるフロアで10名ほど同じ事象の人がいる事がわかった。
さっそく現地に行き、話を聞いた。ユーザーへヒアリングした結果を整理すると以下のようになる。
- お昼までは使えていた。
- インターネットアクセスも社内システムへのアクセスもできない。
- 再起動したら一時的には使えるが、しばらくすると使えない。
- 使えている人もいる。
- 無線LANは全員、使える。
事象が発生しているユーザーがフロアにまんべんなく広がっていたが、念のため島ハブを調査した。島ハブの設定やログには問題は無かった。フロアスイッチも調べたが、不審なログは見当たらず、設定も正常で、物理的な故障も無かった。
事象の発生しているPCにてipconfig /all をしたところ、会社のDHCPサーバから割り当てているIPとは異なるIPを取得している事がわかった。
会社のDHCPでは172.16.0.0/16 を渡しているのだが、それが192.168.137.0/24 のアドレスになっていた。また、あるPCはDNSだけ192.168.137.1 となっていた。
いったいどういうことかと思いつつ、フロア内を回ってみるとタワー型のサーバが設置されている事に気がついた。サーバの近くにいた人に話を聞くと、管理者が休みなので詳しい事はよくわからないとのことだったが、直感的に怪しさを感じたため、ログインしてもらった。
ログイン後、ipconfig /all をするとビンゴ!
固定IPで192.168.137.1が設定されていた。ログインしてもらったユーザーに許可をとってLANケーブルを抜くと、不正なIPやDNS情報を取得していたPCたちが正常に戻った。
原因だったサーバのサービスやアプリケーションを見てもDHCPサーバ機能を司っているようなプロセルが見つからなかったので、一旦LANケーブルをつながないように伝えてその場を引き上げた。
その後、Googleで検索していると以下のリンクにたどり着いた。
さらに調査を進めると、ICSを有効にするとデフォルトで192.168.137.1 が固定設定されることも判明したため、これが原因である事がわかった。
ICSを使うと、PCがルーターのような機能を持つ事になる。これは通信ログなんかを取得〜分析を同じ機械でできたりしそうなので、便利そうだ。また、PCの台数が少ない小規模オフィスなんかで、電話も契約していて、モデムの下にルーターとかをつけないような場合には便利だろう。
今回の場合はメリットがそのままデメリットになってしまった。ウイルスでなくて本当に良かった…