Windows 2000 Server で自動 L2TP/IPSec ポリシーを無効にする方法

対象製品

この記事は、以前は次の ID で公開されていました: JP310109

はじめに

この資料では、自動 L2TP/IPSec (レイヤ 2 トンネリングプロトコル/インターネットプロトコルセキュリティ) ポリシーを無効にする方法を、手順を追って説明します。

Microsoft Windows 2000 ルーティングとリモートアクセスサービスは、L2TP/IPSec プロトコルをサポートしています。マイクロソフトで実装している L2TP/IPSec は、RFC (Request for Comments) 標準に完全に準拠しています。この実装は、仮想プライベートネットワーク (VPN) 接続において最高レベルのセキュリティを提供します。現在、L2TP/IPSec VPN クライアントコンピュータロールをサポートしているのは、Windows 2000、Microsoft Windows XP、および特定のサードパーティのオペレーティングシステムのみです。

Windows 2000 では、L2TP/IPSec VPN リンクが確立されると、IPSec ポリシーが自動的に作成されます。IPSec ポリシーでは、ルーティングとリモートアクセス VPN サーバーと VPN クライアントの両方にコンピュータ証明書をインストールすることが求められます。証明書は、Microsoft Certificate Server またはサードパーティのプロバイダから入手できます。

公開鍵インフラストラクチャ (PKI) が存在しないため、セキュリティ管理者が、デフォルトの自動 L2TP/IPSec ポリシーを無効にする必要がある場合があります。また、テストのために自動 IPSec ポリシーを無効にすることが必要な場合もあります。ポリシーを無効にすると、純粋な L2TP トンネルを確立できます。ただし、トンネルのセキュリティ保護は IPSec によって行われるため、L2TP トンネルのみでは安全ではありません。

自動 L2TP/IPSec ポリシーを無効にした後、事前共有キーを使用してゲートウェイ間の VPN リンクを作成できます。事前共有キーの使用は、テストの場合に限ることをお勧めします。マイクロソフトでは、運用環境での事前共有キーの使用はサポートしていません。

事前共有キーを使用して IPSec ポリシーを設定する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

240262? (http://support.microsoft.com/kb/240262/ ) 仮共有キー認証を使用して L2TP/IPSec 接続を構成する方法

先頭へ戻る

自動 L2TP/IPSec ポリシーを無効にする方法

警告 : レジストリエディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティングシステムの再インストールが必要になることがあります。マイクロソフトは、レジストリエディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリエディタは、自己の責任においてご使用ください。

L2TP/IPSec 接続の Windows 2000 ベースの各エンドポイントコンピュータに、ProhibitIpSec レジストリ値を追加する必要があります。このレジストリ値により、L2TP/IPSec トラフィックの自動フィルタが作成されなくなります。ProhibitIpSec レジストリ値を 1 に設定すると、Windows 2000 ベースのコンピュータでは、証明機関 (CA) 認証を使用する自動フィルタは作成されません。代わりに、ローカルまたは Active Directory ディレクトリサービスの IPSec ポリシーが確認されます。

ProhibitIpSec レジストリ値を追加するには、次の手順を実行します。

レジストリエディタを起動します。
次のレジストリサブキーを見つけてクリックします。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
[編集] メニューの [値の追加] をクリックします。
[値の名前] に prohibitipsec と入力し、[データ型] ボックスの [REG_DWORD] をクリックし、[OK] をクリックします。
[データ] ボックスに 1 と入力し、[OK] をクリックします。
レジストリエディタを終了し、コンピュータを再起動します。

先頭へ戻る

トラブルシューティング

ProhibitIpSec 値を 1 に設定した場合、ルーティングとリモートアクセス VPN サーバーでは、IPSec 認証用の証明書を使用するフィルタは作成されません。ルーティングとリモートアクセス VPN サーバーは、ローカルの IPSec ポリシーまたは Active Directory IPSec ポリシーのいずれかを使用します。ローカルのルーティングとリモートアクセス VPN サーバー上に IPSec ポリシーを設定するか、またはグループポリシーを使用して IPSec ポリシーをルーティングとリモートアクセス VPN サーバーに適用することができます。

このポリシーが無効になっていて、ドメインポリシーまたはローカルポリシーが割り当てられていない場合、IPSec (UDP 1701 パケット) を使用せずに L2TP 接続が試行されます。クライアントとサーバーの両方でポリシーが無効になっている場合、IPSec を使用せずに L2TP トンネルを作成できます。

警告 : L2TP 接続の IPSec を無効にすると、セキュリティが著しく制限されます。この設定は、トラブルシューティングの場合のみ使用することをお勧めします。

先頭へ戻る

この資料は以下の製品について記述したものです。

Microsoft Windows 2000 Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Advanced Server

先頭へ戻る

kbhowtomaster KB310109

先頭へ戻る

"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。（Microsoft Corporation、その関連会社またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"