Windows 2000 および Windows Server 2003 でのトラフィック (クライアントとドメイン コントローラ間およびドメイン コントローラ間) に対する IPSec サポート

文書番号: 254949 - 対象製品
この記事は、以前は次の ID で公開されていました: JP254949
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986
(http://support.microsoft.com/kb/256986/ )
Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

はじめに

この資料では、IPSec (Internet Protocol Security) を使用してクライアント コンピュータからドメイン コントローラへのネットワーク トラフィック、またはドメイン コントローラから別のドメイン コントローラへのネットワーク トラフィックを暗号化する構成について、Microsoft Windows 2000 および Microsoft Windows Server 2003 でサポートされている内容を説明します。

詳細

重要 : 「詳細」に記載されている情報は、Microsoft Windows Server 2003 のみに適用されます。

Kerberos コンピュータ認証や証明書ベースのコンピュータ認証を採用する場合、エンド ツー エンドのクライアント間、クライアント/サーバー間、およびサーバー間でネットワーク トラフィックを暗号化して保護することを目的とした IPSec の使用がサポートされています。グループ ポリシー経由で IPSec ポリシーを適用する場合や Kerberos 認証方法を使用する場合の、ドメイン メンバ サーバーからドメイン コントローラへの IPSec を使用したネットワーク トラフィックの暗号化は、現時点ではサポートされていません。

次のようなネットワーク トラフィックを暗号化するための IPSec の使用はサポート対象です。
  • ドメイン コントローラ間でのレプリケーション トラフィック
  • グローバル カタログ間でのレプリケーション トラフィック
IPSec を使用してトラフィックを暗号化するには、次の 2 つの構成を行います。
  • IPSec ポリシー フィルタを作成し、[すべての IP トラフィック] オプションを使用してすべてのユニキャスト トラフィックを暗号化するようにします。
  • 作成した IPSec ポリシー フィルタを構成して、IPSec トランスポート モードを使用して 2 つの IP アドレス間のトラフィックを暗号化します。このシナリオでは、IPSec トンネル モードは使用しません。
IPSec ポリシーを構成した後、コンピュータを起動するときに、いくつかのパケットが暗号化されていない状態でネットワーク上に送信された可能性があることを通知される場合があります。この問題は、IPSec ドライバが初期化されて IPSec ポリシーが処理される前に、パケットの一部がネットワークに送信されることがあるために発生します。この問題を解決するには、コンピュータの起動処理中に、IPSec ドライバである IPSec.sys をブロック モードに設定します。このように設定すると、PolicyAgent コンポーネントが起動して IPSec ポリシーを読み込むまで、コンピュータから発信されるネットワーク トラフィックが IPSec によってブロックされます。IPSec の PolicyAgent コンポーネントが起動して IPSec ポリシーが読み込まれた後、PolicyAgent によって IPSec ドライバの処理モードが変更され、IPSec トラフィックの通過が許可されるようになります。IPSec ドライバをブロック モードに設定するには、次のレジストリ値を設定します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec


値の名前 : OperationMode
値の種類 : REG_DWORD
値のデータ : 1
値を 1 に設定すると、IPSec ドライバがブロック モードになります。値を 0 (ゼロ) に設定すると、IPSec ドライバのブロック モードは使用されません。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
254728
(http://support.microsoft.com/kb/254728/ )
ドメイン コントローラ間で Kerberos トラフィックが IPSec によってセキュリティ保護されない
ドメイン コントローラ間でのトラフィックには、サーバー メッセージ ブロック (SMB)、リモート プロシージャ コール (RPC) ベースのレプリケーションなど、何種類かのトラフィックがあります。このようなドメイン コントローラ間でのトラフィックを暗号化するために IPSec を使用することはサポートされています。IPSec を使用してこのトラフィックを転送することにより、トラフィックがファイアウォールを容易に通過できるようになります。このシナリオでは、ファイアウォールにおいて IPSec トラフィックとインターネット キー交換 (IKE) を通過させることのみが必要です。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
233256
(http://support.microsoft.com/kb/233256/ )
ファイアウォール経由での IPSec トラフィックを有効にする方法
ドメイン コントローラ間の IPSec ポリシーの規則を構成する場合、証明書ベースの認証を必須とすることを推奨します。IPSec ポリシーの作成方法の詳細については、ドキュメント『Active Directory in Networks Segmented by Firewalls』を参照してください。このドキュメントを入手するには、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en
(http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en)
この規則では、セキュリティ要件によってファイアウォール経由の Kerberos トラフィックが許可されていない場合に、証明書による認証が要求されます。デフォルトでは、IKE 証明書の失効チェックは無効に設定されており、ファイアウォールを使用して有効にすることが必要な場合があります。この設定は、使用している PKI インフラストラクチャに依存します。

次の仕様を使用して、ドメイン コントローラに IPSec 規則を作成します。
  • フィルタ リストには、DC1 上の IP アドレスから DC2 (ミラー) 上の IP アドレスに向かうトラフィック、サブネット マスク 255.255.255.255、すべてのプロトコル、およびすべてのポートを指定します。 ファイアウォールを経由したリモート システムへのネットワークの接続性を確認するために Ping を使用する場合は、IPSec ポリシーに規則を追加して、IPSec セキュリティ ネゴシエーションから ICMP トラフィックを除外することができます。それ以外の場合は、接続性はネットワーク用スニッファで確認できます。このネットワーク スニッファには IKE トラフィック (ISAKMP、UDP ポート 500) がドメイン コントローラと他のドメイン コントローラの IP アドレス間で送受信されていることが表示されます。

    NAT (Network Address Translation) を、IPSec 保護を必要とするドメイン コントローラ間のアドレス変更やパケット修正に使用しないでください。

  • [トンネルの設定] で [この規則では IPSec トンネルを指定しない] をクリックし、トランスポート モードを使用するようにします。
  • [認証方法] タブで認証方法を選択します。Kerberos を使用することができます。下記の「注」を参照してください。
  • [セキュリティで保護されていない通信を受け付けるが、常に IPSec を使用して応答する] および [IPSec に対応していないコンピュータとセキュリティで保護されていない通信を許可] チェック ボックスをオフにし、さらに IPSec の ESP フォーマットを使用して適切なデータ暗号化方法を指定することによって、カスタム フィルタ操作を作成します。各ドメイン コントローラにおいて、ハードウェアで IPSec パケットごとに暗号化を行うネットワーク アダプタを利用すると、コンピュータの CPU サイクルに負荷をかけずに暗号化することができます。
: Windows 2000 の最初のリリース (ビルド 2195) では、IPSec トランスポート フィルタを使用した IKE、Kerberos、および RSVP トラフィックの保護は行いません。ドメイン コントローラ間のトラフィックを保護する IPSec 規則の認証方法として、証明書ではなく Kerberos を使用する場合、Kerberos トラフィックがデフォルトで通過するようにファイアウォールを構成することも必要です。Windows 2000 Service Pack 1 は、Kerberos と RSVP トラフィックを保護する IPSec の機能を提供しています。
253169
(http://support.microsoft.com/kb/253169/ )
[NT]IPSec により保護されるトラフィックと保護されないトラフィック
IPSec ポリシー構成の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/windows2000/techinfo/planning/security/ipsecsteps.asp
(http://www.microsoft.com/japan/windows2000/techinfo/planning/security/ipsecsteps.asp)

プロパティ

文書番号: 254949 - 最終更新日: 2005年11月21日 - リビジョン: 7.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
キーワード:?
kbinfo kbipsec kbnetwork KB254949
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る