IP セキュリティモニタツールを使用した IPSec 通信の表示

対象製品

この記事は、以前は次の ID で公開されていました: JP231587

すべて展開する | すべて折りたたむ

概要

IP セキュリティモニタを使用すると、管理者は IP セキュリティ (IPSec) 通信が正常に保護されているかどうかを確認できます。このツールでは、AH (Authentication Header) や ESP (Encapsulating Security Payload ) のセキュリティプロトコルを介していくつのパケットが送信されたか、あるいはコンピュータが最後に起動されて以来セキュリティのアソシエーションやキーがいくつ生成されたかを確認できます。

コンピュータで IP セキュリティモニタを起動するには、[スタート] ボタンをクリックして [ファイル名を指定して実行] をクリックし、ipsecmon と入力してから [OK] をクリックします。

IP セキュリティモニタを使用してリモートコンピュータを管理するには、[スタート] ボタンをクリックして [ファイル名を指定して実行] をクリックし、ipsecmoncomputername と入力してから [OK] をクリックします。

先頭へ戻る

詳細

IP セキュリティモニタでは、ほかのコンピュータとのアクティブなセキュリティアソシエーションだけが表示されます。成功および失敗の各セキュリティアソシエーションのログについては、イベントビューアのセキュリティログで Netlogon イベントを確認してください。更新率は設定のみ可能なオプションです。既定では 15 秒ごとに統計情報が更新されます。統計情報は、コンピュータが最後に起動されて以降 IPSec を使用している通信ごとに累積されます。次の統計情報が IP セキュリティモニタによって記録されます。

アクティブアソシエーション - 監視中のコンピュータとのアクティブなセキュリティアソシエーションの数。
機密の送信バイト数 - 機密付きで送信したバイトの総数。パケットが ESP (Encapsulating Security Payload) セキュリティプロトコル (10 進 ID 50) を使用して送信されたことを示します。
機密の受信バイト数 - 機密付きで受信したバイトの総数。パケットが ESP (Encapsulating Security Payload) セキュリティプロトコル (10 進 ID 50) を使用して送信されたことを示します。
認証された送信バイト数 - 認証プロパティを有効にして送信したバイトの総数。
認証された受信バイト数 - 認証プロパティを有効にして受信したバイトの総数。
不正な SPI パケット数 - SPI (Security Parameters Index) が無効なパケットの総数。この数は、セキュリティアソシエーション (SA) の期限が切れたか、または既に有効ではないことを示すと考えられます。

SPI とは、受信側コンピュータがパケットを処理する SA を選択できるようにする、SA 内の一意な識別値のことです。
暗号化を解除しなかったパケット数 - 受信側の IPSec ドライバが暗号化を解除できなかったパケットの総数。この数は、セキュリティアソシエーション (SA) の期限が切れた、SA が既に有効ではない、認証が成功しなかった、または整合性チェックが成功しなかったことを示すと考えられます。
認証されなかったパケット数 - IPSec ドライバが正常に認証できなかったパケットの総数。この数は、セキュリティアソシエーション (SA) の期限が切れたか、または既に有効ではないことを示すと考えられます。IPSec ドライバがパケットを処理するためにはセキュリティアソシエーション内の情報が必要です。

この数は、2 台のコンピュータが互いに互換性のない認証設定を持っていることを示す場合もあります。2 台のコンピュータで指定されている認証方法が同じであるかどうか確認してください。
キーの追加数 - ISAKMP (ISAKMP/Oakley メカニズム) から IPSec ドライバに送信されたキーの総数。この数は、ISAKMP フェーズ II セキュリティアソシエーションが正常にネゴシエートされたことを示します。
Oakley メインモード - ISAKMP フェーズ I 中に正常に確立されたセキュリティアソシエーションの総数。この数は、キー情報の交換が正常に行われ、アイデンティティが認証されて共通のキーデータが確立されたことを示します。
Oakley クイックモード - ISAKMP フェーズ II 中に正常に確立されたセキュリティアソシエーションの総数。この数は、データ転送中におけるサービス保護のためのネゴシエーションが正常に行われたことを示します。
ソフトアソシエーション - 結果として (パケットの暗号化や署名が行われない) コンピュータどうしによるクリアテキストのデータ転送だけが認められた、ISAKMP フェーズ II ネゴシエーションの総数。
認証の失敗回数 - コンピュータのアイデンティティの認証が正常に行われなかった回数の総数。各コンピュータの認証方法設定が互いに互換性のあるものか確認してください。この数は、セキュリティアソシエーションの期限が切れたことを示す場合もあります。

メモ : IPSec (ソフトアソシエーション) なしの通信の数も、[ネゴシエーションポリシー] 欄で値 "None" で示されます。

IP セキュリティモニタは、IP セキュリティが対象コンピュータ上で有効かどうかも示します。この情報はウィンドウの右下隅に表示されます。IP セキュリティモニタ内の統計情報をリセットするには、[コンピュータの管理] スナップイン (Compmgmt.msc) にある [IP セキュリティポリシーエージェント] を再起動します。

先頭へ戻る

詳細

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 231587? (http://support.microsoft.com/kb/231587/EN-US/ ) (最終更新日 1999-12-29) をもとに作成したものです。

先頭へ戻る

この資料は以下の製品について記述したものです。

Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server

先頭へ戻る

kbtshoot kbtool KB231587

先頭へ戻る

"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。（Microsoft Corporation、その関連会社またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"