Help and Support

文書番号: 240262 - 最終更新日: 2005年12月20日 - リビジョン: 4.0

仮共有キー認証を使用して L2TP/IPSec 接続を構成する方法

対象製品
この記事は、以前は次の ID で公開されていました: JP240262
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986? (http://support.microsoft.com/kb/256986/ ) Microsoft Windows レジストリの説明

目次

すべて展開する | すべて折りたたむ

はじめに

Microsoft Windows 2000 は、インターネット キー交換サービス (IKE) 認証時に証明書が必要なレイヤ 2 トンネリング プロトコル (L2TP)/IPSec 接続で使用される IPSec (Internet Protocol Security) ポリシーを自動的に作成します。マイクロソフトでは、IKE 認証に対して仮共有キーを使用することにより、L2TP/IPSec ゲートウェイ間 VPN の実装をサポートしています。しかし、リモート アクセス L2TP/IPSec クライアント接続における IKE 認証用仮共有キーの使用はサポートしていません。Windows 2000 は IKE RFC 2409 に準拠しているため、リモート アクセス L2TP/IPSec クライアント接続に IKE 認証用仮共有キーを実装できます。ただし、この実装はテスト目的でのみ使用することをお勧めします。

L2TP/IPSec 接続における仮共有キー認証の実装方法を以下に示します。
  • Windows 2000 ベースの両方のエンドポイント コンピュータに、ProhibitIpSec レジストリ値を追加する必要があります。
  • 2 台の Windows 2000 ベースのコンピュータ間で L2TP/IPSec 接続を確立する前に、IPSec ポリシーを手動で構成する必要があります。
この資料では、LAN (Local Area Network) で接続される 2 台の Windows 2000 ベースの Routing and Remote Access Service (RRAS) サーバーを構成し、仮共有キー認証を使用して L2TP/IPSec 接続する方法について説明します。複数の仮共有キーまたは CA を使用する接続を受け付けるように IPSec ポリシーを構成する方法についても説明します。
先頭へ戻る

詳細

警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。
LAN で接続される 2 台の Windows 2000 ベースの RRAS サーバーを構成し、仮共有キー認証を使用して L2TP/IPSec 接続するには、L2TP/IPSec 接続の各 Windows 2000 ベースのエンドポイント コンピュータに ProhibitIpSec レジストリ値を追加して、L2TP/IPSec トラフィックの自動フィルタが作成されないようにする必要があります。

ProhibitIpSec レジストリ値を 1 に設定すると、Windows 2000 ベースのコンピュータは、CA 認証を使用する自動フィルタを作成しません。その代わりに、ローカルまたは Active Directory の IPSec ポリシーがチェックされます。

Windows 2000 ベースのコンピュータに ProhibitIpSec レジストリ値を追加するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。regedt32 と入力し、[OK] をクリックします。
  2. 次のレジストリ サブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  3. [編集] メニューの [値の追加] をクリックします。
  4. [値の名前] ボックスに ProhibitIpSec と入力します。
  5. [データ型] ボックスの一覧の [REG_DWORD] をクリックし、[OK] をクリックします。
  6. [データ] ボックスに 1 と入力し、[OK] をクリックします。
  7. レジストリ エディタを終了し、コンピュータを再起動します。
先頭へ戻る

仮共有キーによる L2TP/IPSec 接続で使用する IPSec ポリシーの作成方法

: 次の手順は、ProhibitIpSec レジストリ値が両方の Windows 2000 ベースの RRAS エンドポイント サーバーに追加済みで、それらの Windows 2000 ベースの RRAS エンドポイント サーバーが再起動されていることを前提にしています。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し、[OK] をクリックします。
  2. [コンソール] をクリックし、[スナップインの追加と削除] をクリックします。[追加] をクリックし、[IP セキュリティ ポリシーの管理] をクリックして、[追加] をクリックします。次に、[完了] をクリックし、[閉じる] をクリックして、[OK] をクリックします。
  3. [ローカル コンピュータの IP セキュリティ ポリシー] を右クリックし、[IP セキュリティ ポリシーの作成] をクリックします。[次へ] をクリックします。
  4. [IP セキュリティ ポリシー名] ダイアログ ボックスの [名前] ボックスに、IP セキュリティ ポリシーの名前を入力し、[次へ] をクリックします。
  5. [セキュリティで保護された通信の要求] ダイアログ ボックスで、[既定の応答規則をアクティブにする] チェック ボックスをオフにし、[次へ] をクリックします。
  6. [プロパティを編集する] チェック ボックスをオンにし、[完了] をクリックします。
  7. [新しい IP セキュリティ ポリシーのプロパティ] ダイアログ ボックスの [規則] タブで、[追加] をクリックし、[次へ] をクリックします。
  8. [トンネル エンドポイント] ダイアログ ボックスの [この規則ではトンネルを指定しない] をクリックし、[次へ] をクリックします。
  9. [ネットワークの種類] ダイアログ ボックスの [すべてのネットワーク接続] をクリックし、[次へ] をクリックします。
  10. [認証方法] ダイアログ ボックスの [次の文字列をキー交換 (仮共有キー) の保護に使う] をクリックし、仮共有キーを入力します。[次へ] をクリックします。
  11. [IP フィルタ一覧] ダイアログ ボックスの [追加] をクリックします。[名前] ボックスに、IP フィルタ一覧の名前を入力し、[追加] をクリックします。[次へ] をクリックします。
  12. [IP トラフィックの発信元] ダイアログ ボックスで、[発信元アドレス] ボックスの一覧の [特定の IP アドレス] をクリックし、[IP アドレス] ボックスに発信元の Windows 2000 ベースの RRAS サーバーの TCP/IP (Transport Control Protocol/Internet Protocol) アドレスを入力し、[次へ] をクリックします。

    : Windows 2000 ベースの両方の RRAS エンドポイント サーバーで使用される発信元アドレスは一致している必要があります。たとえば、発信元アドレスが 1.1.1.1 の場合、両方の Windows 2000 ベースの RRAS エンドポイント サーバーの発信元アドレスとして 1.1.1.1 を使用する必要があります。
  13. [IP トラフィックの宛先] ダイアログ ボックスで、[宛先アドレス] ボックスの一覧の [特定の IP アドレス] をクリックし、宛先の Windows 2000 ベースの RRAS サーバーの TCP/IP アドレスを入力し、[次へ] をクリックします。

    : Windows 2000 ベースの両方の RRAS エンドポイント サーバーで使用される宛先アドレスは一致している必要があります。たとえば、宛先アドレスが 2.2.2.2 の場合、両方の Windows 2000 ベースの RRAS エンドポイント サーバーの宛先アドレスとして 2.2.2.2 を使用する必要があります。
  14. [IP プロトコルの種類] ダイアログ ボックスで、[プロトコル種類の選択] ボックスの一覧の [UDP] をクリックします。[次へ] をクリックします。
  15. [IP プロトコルのポート] ダイアログ ボックスの [次の発信ポート] をクリックし、[次の発信ポート] ボックスに 1701 と入力します。[任意の宛先ポート] をクリックし、[次へ] をクリックします。
  16. [プロパティを編集する] チェック ボックスをオンにし、[完了] をクリックします。[フィルタのプロパティ] ダイアログ ボックスの [ミラー化] チェック ボックスをオンにします。
  17. [OK] をクリックし、[閉じる] をクリックします。
  18. [IP フィルタ一覧] ダイアログ ボックスで、先ほど作成した IP フィルタをクリックし、[次へ] をクリックします。
  19. [フィルタ操作] ダイアログ ボックスで、[追加] をクリックします。新しいフィルタ操作を作成して、使用する整合性と暗号化アルゴリズムを指定します。

    : 新しいフィルタ操作の作成中に、[セキュリティで保護されていない通信を受け付けるが、常に IPSec を使って応答] をオフにしないと、セキュリティで保護されません。
  20. [次へ] をクリックし、[完了] をクリックします。[閉じる] をクリックします。
  21. 作成した IPSec ポリシーを右クリックし、[割り当て] をクリックします。
: Windows 2000 ベースの両方の RRAS エンドポイント サーバーは、まったく同じ方法で構成する必要があります。1 つ目の Windows 2000 ベースの RRAS エンドポイント サーバーで IPSec フィルタが設定されると、それが接続の一方の側で表示され、次に、2 つ目の Windows 2000 ベースの RRAS エンドポイント サーバーで IPSec フィルタの複製が作成されます。上の例で、1 つ目の Windows 2000 ベースの RRAS エンドポイント サーバーの TCP/IP アドレスが 1.1.1.1 で、2 つ目の Windows 2000 ベースの RRAS エンドポイント サーバーの TCP/IP アドレスが 2.2.2.2 の場合、発信元のアドレスが 1.1.1.1 で、宛先アドレスが 2.2.2.2 のフィルタが、Windows 2000 ベースの両方の RRAS エンドポイント サーバーの IPSec ポリシー内に作成されます。これにより、Windows 2000 ベースの RRAS エンドポイント サーバーのどちらからでも接続を開始できます。
先頭へ戻る

複数の仮共有キーまたは CA による接続を受け付ける IPSec ポリシーの構成方法

仮共有キーによるフィルタを使用してポリシーを作成した後、別の仮共有キーまたは CA を要求する他の接続用の規則を IPSec ポリシー内に追加する必要があります。

Windows 2000 によって作成される、CA を使用する自動フィルタの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
248750? (http://support.microsoft.com/kb/248750/ ) L2TP/IPSec 用に作成される自動フィルタについて
253498? (http://support.microsoft.com/kb/253498/ ) [HOWTO] IP セキュリティで使用する証明書をインストールする方法
関連情報については、次の Web サイトの「インターネット プロトコル セキュリティ (Ipsec) のステップバイステップ ガイド」を参照してください。
http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/deploy/confeat/ispstep.mspx (http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/deploy/confeat/ispstep.mspx)


マイクロソフトは、次の理由により、L2TP/IPSec VPN またはリモート クライアントの仮共有キーをサポートしません。
  • 安全性の高いプロトコルに、よく知られたセキュリティ運用上の問題 (パスワードの選択など) を引き起こす原因になります。これは、セキュリティ上脆弱な仮共有キーを外部からの攻撃にさらすことになります。
  • セキュリティを確保したまま展開することができません。これは、ユーザーが仮共有キーを構成するには企業内ゲートウェイへのアクセスが必要であること、また多くのユーザーがこのキーを知ることになるため、このキーはグループ全体の仮共有キーになってしまうことがその理由です。長期間にわたって使用される仮共有キーの場合、ほぼ確実に記録されてしまいます。グループ全体が新しい仮共有キーに切り替えない限り、個別のコンピュータへのアクセスを廃止できません。
  • ヘルプ、リソース キットの各章、および「サポート技術情報」 (Microsoft Knowledge Base) の文書番号 248711 で述べているとおり、Windows 2000 の IPSec 仮共有キーは RFC への準拠、相互運用性のテスト、およびセキュリティを考慮に入れない相互運用のみを目的として実装されています。仮共有キーは、ローカル コンピュータの管理者のみがアクセスできるローカルのレジストリに保存されますが、ローカル コンピュータの管理者はこのキーを知り、確認する必要があります。このため、ローカル コンピュータの管理者全員がこのキーを確認、変更する可能性があります。
  • 仮共有キーの使用をサポートするためのコストは、ユーザーにとってもマイクロソフトにとっても高いものとなります。
  • Windows 2000 ベースのコンピュータ用の証明書を取得することは、Web ページの要求と同程度に、また Windows 2000 ベースのクライアントが Windows 2000 ドメインのメンバである場合に Windows 2000 グループ ポリシーの自動登録を使用する方法 (一般的に、これが IPSec ベースの VPN の最も安全な実装方法です) 以上に容易です。
マイクロソフトでは、仮共有キーを使用する VPN L2TP/IPSec ゲートウェイ間トンネリングをサポートしていません。この機能は、静的 IP ベースのネットワークに関する高度な知識を持つゲートウェイ管理者がローカルに構成する必要があるためです。IPSec トンネリングがサポートされるのは、静的 IP アドレスが使用されていて、なおかつポリシーの選択がポートやプロトコルに基づいて行われるのではなく、アドレスに基づいて行われる場合に限られます。ゲートウェイ間トンネリングには、L2TP/IPSec を使用することをお勧めします。L2TP/IPSec を使用できない場合にのみ IPSec トンネル モードを使用します。
先頭へ戻る
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Datacenter Server
先頭へ戻る
キーワード:?
kbenv kbhowto kbnetwork KB240262
先頭へ戻る
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

Get Help Now

Contact a support professional by E-mail, Online, or Phone

サポート技術情報の翻訳

 

Related Support Centers