サインイン

Select the product you need help with

Windows NT 4.0 の PPTP パフォーマンス & セキュリティアップグレードに関するリリースノート

文書番号: 189595 - 対象製品

この記事は、以前は次の ID で公開されていました: JP189595

概要

この資料には、Microsoft Windows NT Server および Workstation 4.0 用の PPTP (Point to Point Tunneling Protocol) のパフォーマンスの更新プログラムに関する資料が含まれています。この SP3 以降の修正プログラムが次の ftp サイトにあります。しかし、マイクロソフトでは、Windows NT 4.0 Service Pack 4 をインストールして問題を解決することをお勧めします。

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/jpn/nt40/hotfixes-postSP3/pptp3-fix/

(ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/jpn/nt40/hotfixes-postSP3/pptp3-fix/)

先頭へ戻る | フィードバック

詳細

Microsoft Windows NT Server 4.0 および Microsoft Windows NT Workstation の PPTP (Point to Point Tunneling Protocol) パフォーマンス & セキュリティアップグレードに関するリリースノート

この資料は、Microsoft Windows NT 4.0 Server および Workstation の PPTP パフォーマンス & セキュリティアップグレードのインストール中に障害が発生した場合などに利用します。

---------------------------------------------------------------------
内容

インストール情報
このアップグレードに含まれるセキュリティ機能
修正プログラム 2.0 から追加された修正および機能

---------------------------------------------------------------------

インストール情報

マイクロソフトでは、Windows クライアントおよび Windows サーバー固有の仮想プライベートネットワーキング (VPN) 機能を強化しました。この強化により、Windows NT Server および Windows NT Workstation 4.0 におけるインターネット経由での PPTP ベースの VPN 接続のパフォーマンスおよびセキュリティが大幅に向上します。

このアップグレードは、Windows NT Server および Windows NT Workstation 4.0 の両方に適用する必要があります。また、この更新プログラムを適用する前に、Windows NT 4.0 Service Pack 3 をインストールしておく必要があります。

注 : ルーティングおよびリモートアクセスサービス (RRAS) が実行されている Windows NT Server では、まず Windows NT PPTP パフォーマンスアップグレードを適用してから、RRAS 修正プログラム 3.0 を適用しないと、アップグレードする利点が失われます (NT PPTP アップグレードのインストールと RRAS アップグレードのインストールの間にコンピュータを再起動しないことが重要です)。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

189594

(http://support.microsoft.com/kb/189594/ )

[NT]RRAS Hotfix アップデート 3.0 リリースノート

このアップグレードは自動インストールに含まれています。直接インストールせずに、一時的なディレクトリ上にコピーすることをお勧めします。次に実行可能プログラム名をダブルクリックするか、コマンドプロンプトから、x86 では pptpfixi.exe、alpha では pptpfixa.exe と入力してインストールします。

このファイルは、インストールしなくてもアップグレードパックから展開することもできます。アップグレードパックを一時的なディレクトリにコピーし、コマンドプロンプトから pptpfixi /x または pptpfixa /x と入力します。これらのファイルを展開した後、コマンドプロンプトで hotfix と入力するとアップグレード版をインストールできます。

このアップグレード版をアンインストールするには、上記の "/x" コマンドを使用し、次に、ファイルをコピーした同じディレクトリから HOTFIX -Y と入力します。

HOTFIX -? の出力 :

HOTFIX [-y] [-f] [-n] [-z] [-q] [-m] [-l]

      -y アンインストールを行う (-m または -q を使用するときのみ)。
      -f シャットダウン時にアプリケーションを閉じる。
      -n アンインストール用のディレクトリを作成しない。
      -z 更新の完了時に再起動しない。
      -q 非表示モード (ユーザー インターフェイスなし)。
      -m 無人モード。
      -l インストールした修正プログラムを一覧表示する。

このアップグレードに含まれるセキュリティ機能

このアップグレードでは、Microsoft Windows NT 4.0 の RAS/PPTP のセキュリティを強化するいくつかの機能を提供しています。このアップグレード版に含まれるパフォーマンスの強化とその他の修正は、以前リリースされた Windows NT Service Pack 3 PTTP 修正プログラムにも含まれています。

MSCHAP の新しいバージョン (MSCHAP V2) が、VPN 接続用として実装されています。この新しいプロトコルでは、送受信パスにおいて、相互認証、強力な初期データ暗号化キー、およびその他のさまざまな暗号化キーを提供しています。また、MSCHAP 交換時にパスワードを参照されるリスクを最小限に抑えるために、MSCHAP V2 では V1 にあった MSCHAP のパスワード変更をサポートしないと共に、LMHash エンコードしたパスワードを送信しません。

VPN 接続要求に対し、Windows NT サーバーは、従来の MSCHAP を提供する前に、MSCHAP V2 を提供します。更新された Windows クライアント (すべてのプラットフォーム) であれば、提案された MSCHAP V2 を受け入れることができます。なお、この動作の影響を受けるのは VPN 接続のみで、ダイヤルアップ接続は影響を受けません。
MSCHAP V2 を強制的に使用するための新しいレジストリキーとして、SecureVPN が定義されました。この変数が指定されていない場合、レジストリキーのデフォルト値はゼロです。これが Windows NT サーバー上で 1 に設定されると、サーバーは MSCHAP V2 認証を行わない VPN 接続を受け付けません。これにより、従来の VPN クライアントは MSCHAP (または CHAP、PAP) 交換で資格情報を提示することがなくなり、VPN 接続用のさらに安全な認証方法を必要とするネットワーク構成が可能になります。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\P

DWORD: SecureVPN Value: 0x00000001 == force MSCHAP V2 for VPN connections Value: 0x00000000 == do not force secure MSCHAP V2 (defaul

Windows NT 4.0 クライアント上で SecureVPN レジストリキーが 1 に設定されると、クライアントは、すべての VPN (PPTP) 接続に MSCHAP V2 を使用します。ダイヤルアップ接続は、このレジストリ設定の影響下にはありません。

注 : ほとんどのユーザーは、Secure VPN フラグを設定する必要がありません。このフラグはクライアントが行うすべての VPN 接続に影響を及ぼすため、使用には注意が必要です。通常、MSCHAP V2 はサーバー側から要求した方が簡単に構成できます。
また、このリリースでは、レジストリ変数 UseLmPassword を提供しています。これを設定することにより、クライアントは従来の MSCHAP チャレンジに対する LM 応答の送信や、MSCHAP 交換中のパスワード変更ができなくなります。この値が設定されていない場合、デフォルト値は 1 で、LM 応答を使用できます (従来のシステムとの互換性を維持するためです)。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\Ch

DWORD: UseLmPassword Value: 0x00000001 == send LMHash of the password (default) Value: 0x00000000 == do not send LMHash of the passwo

サーバー側でこの変数を 0 (ゼロ) に設定すると、サーバーは MSCHAP 交換中に LM 応答を使用する接続要求を受け付けません。クライアント側でこの変数を 0 (ゼロ) に設定すると、クライアントは MSCHAP 交換中に LM 応答を使用できません。この値は、ダイヤルアップ接続と VPN 接続の両方に影響を及ぼします。

注 : ほとんどのユーザーは、このレジストリを設定する必要がありません。新しいセキュリティモードの MSCHAP V2 では LMHash 応答を送信しないため、このレジストリ値は、元の MSCHAP を使用する古いアクセスサーバーに接続するときに有効です。

修正プログラム 2.0 に含まれる修正内容および追加機能

この更新プログラムで解決される PPTP のパフォーマンスの問題

PPTP 接続での暗号化および圧縮のための historyless モードが有効になります。この新しいモードにより、遅延の生じている大規模なネットワークや、インターネットのようなパケット損失が頻発するネットワークにおいて、PPTP を使用する際のパフォーマンスが大幅に強化されます。このアップグレードは、従来の PPTP システムと完全に互換性があります。ただし、historyless モードを調整するためには、PPTP クライアントと PPTP サーバーの両方で、このアップグレードがサポートされている必要があります。クライアントまたはサーバーのいずれかにおいて historyless モードが拒否される場合は、通常の MPPE による圧縮および暗号化で調整が行われ、通信機能が維持されます。PPTP のパフォーマンスの更新プログラムの効果をフルに発揮させるためには、この更新プログラムを Windows NT クライアントと Windows NT サーバーの両方にインストールする必要があります。Windows 95 クライアントでは、対応する Microsoft Dial-Up Networking 1.3 を利用できます。なお Windows 98 では、アップグレードされたクライアントコードが、既に実装されています。

注 : 従来の Windows 95 クライアントがデータを正常に受信するためには、RAS サーバーが、FEP (フロントエンドプロセッサ) による PPTP 接続の強制終了の際に、historyless モードによる圧縮および暗号化を無効にしておく必要があります。FEP は、ダイヤルアップクライアントに代わって PPTP トンネルを作成することが可能なダイヤルアップサーバーです。この機能は、Compaq (Microcom)、Ascend、3com を含むいくつかの Access サーバーベンダの製品でも利用することができます。

historyless モードによる圧縮および暗号化の有効/無効を切り替えるには、次のレジストリ値を設定します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NdisWan\Paramete

DWORD: Historyless Value: 0x00000001 == Enabled (default) Value: 0x00000000 == Disabl
PPTP 受信ウィンドウのデフォルトサイズが 16 に拡張されました。
NDISWAN ドライバと PPTP ドライバとの間のウィンドウが拡張されました。
パケットの断片化を防ぐために、PPTP フレームのデフォルトサイズを 1400 バイトに設定しました。

注 : フレームサイズに関する問題は、以前の修正プログラムで修正済みです。この問題に関する詳細については、以下の関連資料を参照してください。
http://support.microsoft.com/kb/162230/
(http://support.microsoft.com/kb/162230/)

リモートアクセスサービスと PPTP の問題

複数の PPTP 接続が終了した直後に発生する、PPTP サーバーからの応答が遅延する現象について強化が行われました。
PPTP サーバーにおける、無効な設定のパケットヘッダ中の "スタートセッション" の問題が修正されました。この問題については以下の資料を参照してください。
http://support.microsoft.com/kb/179107/
(http://support.microsoft.com/kb/179107/)
暗号化や圧縮された、不連続なパケットのキー管理が拡張されたことにより、MPPE のセッションの暗号化の保全性が強化されました。
実際のサーバー構成に関して、管理者にとって紛らわしかった RAS/PPTP ユーザーインターフェイスの外観の問題が修正されました。この問題については以下の資料を参照してください。
http://support.microsoft.com/kb/177670/
(http://support.microsoft.com/kb/177670/)
クライアントの設定で、128 ビット版の暗号化が必須となっている場合、LMHash の送信を無効とするように MSCHAP を更新しました。

この更新プログラムにより解決される、その他の Windows NT の問題

このリリースには TCP/IP の機能を強化する修正が含まれています。インターネットなどの大規模なネットワークにおける遅延を軽減することにより、TCP/IP アプリケーションのパフォーマンスが強化されます。

この資料は、情報の提供のみを目的としており、予告なしに変更することがあります。この資料の情報は自己の責任においてご使用ください。Microsoft Corporation は明示的にも黙示的にも、一切の保証をいたしません。文中の会社名、製品名、人名、キャラクタ名およびデータは架空のものであり、特に明記されている場合を除いて実在の個人、会社、製品、イベントを明示するものではありません。適用されるすべての著作権を順守することはユーザーの責任です。このドキュメントのいかなる部分も、米国 Microsoft Corporation の書面による許諾を受けることなく、その目的を問わず、どのような形態であっても、複製または譲渡することは禁じられています。ここでいう形態とは、複写や記録など、電子的な、または物理的なすべての手段を含みます。

マイクロソフトは、このドキュメントに記載されている内容に関し、特許、特許申請、商標、著作権、またはその他の無体財産権を有する場合があります。マイクロソフトの書面による許諾を受けた場合を除き、このドキュメントはこれらの特許、商標、著作権、またはその他の無体財産権に関する権利をお客様に許諾するものではありません。

(c) 1998 Microsoft Corporation. All rights reserved.

Microsoft、MS-DOS、MS、Windows、Windows NT は、米国 Microsoft Corporation の米国およびその他の国における商標または登録商標です。

その他、記載されている会社名、製品名には、各社の商標のものもあります。

先頭へ戻る | フィードバック

プロパティ

文書番号: 189595 - 最終更新日: 2006年4月18日 - リビジョン: 4.0

この資料は以下の製品について記述したものです。

Microsoft Windows NT Server 4.0 Terminal Server
Microsoft Windows NT Server 4.0 Standard Edition
Microsoft Windows NT Workstation 4.0 Developer Edition

kbfile kbinfo KB189595

"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。（Microsoft Corporation、その関連会社またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

先頭へ戻る | フィードバック