月に1回、会社のインターネットが遅くなる日があります。社内で問い合わせがあり、おそらくWindowsアップデートが原因ではないか?と想定。
今回その対策について検討してみました。
事象と実施した対策
まず結論から
事象
月に一度インターネットが遅くなる事象が発生。
- サイトが見えなくなり、業務に支障をきたす。
- メールの送受信もできない
原因
- Windowsアップデートプログラムのダウンロードによる通信混雑
環境
- PC数十台設置(Windows10 or Windows11)
- インターネット契約1本(NTT)
対策
以下の運用で対処
- Windowsアップデートの通信に対して一時的にフィルタリングを実施
- 定時後フィルタ解除。PCの電源を入れたまま帰宅し、その間ダウンロードを行う。
以下、その経緯と設定について
経緯
毎月、インターネットが遅くなる日があり、その日の午前中はほぼインターネットでサイトやメール送信ができない事象が発生。取引先のサイトにアクセスできず、仕事ができないと問合せがあり。
良い対策が思いつかなかった(考えるのがめんどくさかった)ので、NTTへ相談することに。
NTTに相談してみた
「月の中頃に、Windowsアップデートの影響でインターネットが遅くなるという問い合わせが多い。その影響を受けているのではないか」とのこと。その対応について以下の提案があった。
対応提案
案①「IPv6(IPoE方式)の導入」
現在のIPv4(PPPoE方式)からIPv6(IPoE方式)に変更することで、プロバイダの「網終端装置」を経由せずに通信できるようになるため、通信混雑が発生しにくくなる(プラン変更で月額費用が増える)
案②「IPv6の導入とともに、Windowsアップデートの通信帯域を分ける契約を行う」
OCNにて通信帯域を制御するサービスを紹介。IPv6の導入のみに比べて、月額費用は数千円UPのみ
確かに、IPv6に変更することにより通信混雑の緩和は見込まれるが、実際に体感できるかは不明。
自宅でIPv4→IPv6に変更を実施したことがあるが、大きな違いは体感できなかった。(PC台数がかなり違うため、比較にはならないが)
高速光通信契約について
現在、従来の1Gbpsの契約であるが、通信速度を改善できる10Gbpsの契約に変更すればよいのではと考えた。しかし、拠点間VPN通信に対応していないことから検討から除外。
そもそもの原因がはっきりしていない
「おそらくWindowsアップデートが原因だろう」という話で進めていたが、根拠がなく、通信のボトルネックがどこにあるのか特定できていない状態。その状態でIPv6に変更したとして意味があるのか。
そこで、インターネットの遅延が発生したときに、その通信状況を調査する方法がないか確認してみた。
結果、使用しているネットワーク機器で以下のサービスがあり、そこで通信量を調査できることが分かった
Cloud Edge(トレンドマイクロ)
以前、ネットワーク機器の変更に伴い、セキュリティ対策の一環としてトレンドマイクロのクラウドエッジという機器を導入していた。そのコンソール画面にて、通信量の多いアプリを分析調査することができた。
(クラウドエッジでなくとも、ネットワーク機器ではコンソールで通信の分析ができるツールが存在すると思われる。)
「Windows Update」の通信量の確認
下記手順でWindowsアップデートの通信を確認
- 「分析とレポート」をクリック
- 「アプリケーション帯域幅」をクリック
- 「アプリID」の項目を「Windows Update」にする
- 右上のアイコン「折れ線グラフ」をクリック
実際に該当時間にて「WindowsUpdate」の通信が増えていることが確認できた。
また、クラウドエッジには「ポリシー」にて特定の通信を遮断・許可する機能が存在。そこに「WindowsUpdate」の項目があったので試してみることに。
「Windows Update」の通信を遮断してみた
ポリシーにて「Windows Update」の通信を遮断し、通信混雑が改善されるかを確認。
「Windows Update」のフィルタ用にポリシーを新規追加
①「ポリシールールの管理」・・・「ポリシー」のタブのポリシールールの管理にて「追加」
②「ポリシー名」・・・今回は「Windowsアップデートフィルタ」とした
③「コンテンツタイプ」・・・「選択したコンテンツタイプ」にチェック
④「アプリケーション」・・・「Security update tools」-「Windows Update」にチェック
(検索ボックスに「Windows Update」と入力するとすぐに見つかる)
⑤「処理」・・・「ブロック」にチェック
最後に「保存」することで、「Windows Update」の遮断フィルタを追加できた。
(フィルタは編集画面にて「オン」「オフ」の切替も可能)
「Windows Update」を遮断した結果
再度「分析とレポート」画面で推移を確認。「ポリシー」を設定することで「Windows Update」の通信が減少し、実際にインターネットの遅延も解消することが確認できた。
やはり「Windows Update」が遅延の原因であった。
(「ポリシー」はIPアドレス指定も可能。数台の「Windows Update」を許可してみたが、遅延が再発したため、日中はすべて遮断することとした。)
遮断の解除
「Windows Update」はセキュリティ上、必ず行う必要がある。遮断したままではダウンロードできないため、定時後に解除することとした。
帰宅時にPCの電源を入れたままにしてもらい、定時以降にフィルタを解除することでダウンロードを再開。「分析とレポート」画面でダウンロードが再開されたことを確認できた。
今後の対応
ひとまず運用で対処
「Windows Update」は第二水曜と第三水曜とされているが、不定期であるためひとまずスケジュール設定はせずに、インターネットの遅延が発生した際に手動による運用対処をすることとした。
(クラウドエッジであれば、サポートセンターへ連絡することでポリシーを変更してくれるため、コンソール画面にアクセスできずとも対応が可能。)
また、「Windows Update」が原因であったため、案②「IPv6の導入とともに、Windowsアップデートの通信帯域を分ける契約を行う」を実施することは効果がありそう。
今回は一時的に「Windows Update」の通信を遮断することで対応できたが、インターネットの遅延はそれがすべてとは言えないため環境によって調査確認する必要がある。また、今後インターネットを利用する業務も増えると想定されるため、IPv6に変更することも視野に入れる必要があると感じている。