文書番号: 816514 - 最終更新日: 2007年12月3日 - リビジョン: 6.3

Windows Server 2003 で IPSec トンネリングを構成する方法

対象製品
お知らせお使いのオペレーティング システムには適用しない情報が含まれている場合があります。
Microsoft Windows 2000 については、次の資料を参照してください。252735? (http://support.microsoft.com/kb/252735/ )
先頭へ戻る

この資料の内容

目次

すべて展開する | すべて折りたたむ

概要

IP セキュリティ (IPSec) をトンネル モードで使用することで、インターネット プロトコル (IP) パケットをカプセル化でき、またオプションで暗号化することもできます。Windows Server 2003 で IPSec トンネル モード ("純粋な IPSec トンネル" とも呼ばれます) を使用する主な理由は、レイヤ 2 トンネリング プロトコル (L2TP)/IPSec または PPTP 仮想プライベート ネットワーク (VPN) トンネリング テクノロジをサポートしていない、マイクロソフト製品以外のルーターやゲートウェイとの相互運用性を保つためです。

先頭に戻る
先頭へ戻る
Windows Server 2003 では、トンネルの両方のエンドポイントに静的 IP アドレスが割り当てられていれば、IPSec トンネリングがサポートされます。IPSec トンネリングは主にゲートウェイとゲートウェイの間の通信に役立ちますが、ゲートウェイとサーバー、またはルーターとサーバー間専用のネットワークのセキュリティ保護にも有用な場合があります (たとえば、外部インターフェイスからのトラフィックを内部の Windows Server 2003 ベースのコンピュータにルーティングする Windows Server 2003 ルーターにおいて、外部クライアントにサービスを提供する内部サーバーへの IPSec トンネルを確立して、内部パスをセキュリティ保護する場合などです)。

Windows Server 2003 の IPSec トンネリングを、クライアント リモート アクセス VPN で使用することはサポートされていません。これは、IETF (Internet Engineering Task Force、インターネット技術標準化委員会) の IPSec RFC (Requests for Comments) では現在のところ、クライアントからゲートウェイへの接続のためのインターネット キー交換 (IKE) プロトコルにおけるリモート アクセス用のソリューションが提供されていないためです。IETF RFC 2661 レイヤ 2 トンネリング プロトコル (L2TP) は、クライアント リモート アクセス VPN 接続を可能にするために、特にシスコ、マイクロソフトなどによって開発されたものです。Windows Server 2003 では、クライアント リモート アクセス VPN 接続で、トンネルの種類として L2TP が選択されている場合、トンネル モードではなく、トランスポート モードの IPSec を使用する IPSec ポリシーが自動的に生成されて、接続が保護されます。

また、Windows Server 2003 の IPSec トンネリングでは、プロトコル固有およびポート固有のトンネルもサポートされていません。Microsoft 管理コンソール (MMC) の IP セキュリティ ポリシーの管理スナップインはきわめて汎用的で、トンネルに任意の種類のフィルタを関連付けることができますが、トンネルの規則にフィルタを指定する場合は、アドレス情報だけを使用するようにします。

IPSec および IKE プロトコルの機能の詳細については、『Microsoft Windows Server 2003 リソース キット』を参照してください。

この資料では、Windows Server 2003 ゲートウェイで IPSec トンネルを構成する方法について説明します。IPSec トンネルでセキュリティ保護されるのは、ユーザーが構成した IPSec フィルタに指定されたトラフィックだけであるため、この資料では、ルーティングとリモート アクセス サービスでフィルタを構成して、トンネルの外部でトラフィックが送受信されないようにする方法についても説明します。ここでは、構成手順をわかりやすくするために、次のような環境を例にとって説明します。

元に戻す全体を表示する
NetA-
WIN2003intIP- 		-Windows Server 2003 ゲートウェイ-
-WIN2003extIP- 		-インターネット- -マイクロソフト製以外のゲートウェイ-
-3rdExtIP- 		-NetB
-3rdIntIP

NetA は、Windows Server 2003 ゲートウェイの内部ネットワークのネットワーク ID です。

WIN2003intIP は、Windows Server 2003 ゲートウェイの内部ネットワーク アダプタに割り当てられた IP アドレスです。

WIN2003extIP は、Windows Server 2003 ゲートウェイの外部ネットワーク アダプタに割り当てられた IP アドレスです。

3rdExtIP は、マイクロソフト製ではないゲートウェイの外部ネットワーク アダプタに割り当てられた IP アドレスです。

3rdIntIP は、マイクロソフト製ではないゲートウェイの内部ネットワーク アダプタに割り当てられた IP アドレスです。

NetB は、マイクロソフト製ではないゲートウェイの内部ネットワークのネットワーク ID です。

目的は、NetA からのトラフィックを NetB にルーティングする必要があるとき、または、NetB からのトラフィックを NetA にルーティングする必要があるときに、セキュリティ保護されたセッションを利用してトラフィックがルーティングされるように、Windows Server 2003 ゲートウェイとマイクロソフト製ではないゲートウェイで IPSec トンネルを確立することです。

IPSec ポリシーを構成するには、2 つのフィルタを作成する必要があります。1 つは、NetA から NetB へ (トンネル 1) のパケットを照合するフィルタ、もう 1 つは、NetB から NetA へ (トンネル 2) のパケットを照合するフィルタです。フィルタ操作を構成して、トンネルのセキュリティ保護方法を指定する必要があります (1 つの規則が 1 つのトンネルに該当するため、規則は 2 つ作成します)。

先頭に戻る
先頭へ戻る

IPSec ポリシーを作成する

通常、Windows Server 2003 ゲートウェイはドメインのメンバではないため、ローカルの IPSec ポリシーが作成されます。Windows Server 2003 ゲートウェイがドメインのメンバで、デフォルトでドメイン内のすべてのメンバに適用される IPSec ポリシーがそのドメインに存在する場合、Windows Server 2003 ゲートウェイではローカルの IPSec ポリシーを作成できません。この場合、Active Directory に組織単位を作成し、Windows Server 2003 ゲートウェイをその組織単位のメンバに追加して、その組織単位のグループ ポリシー オブジェクト (GPO) に IPSec ポリシーを割り当てることができます。詳細については、Windows Server 2003 オンライン ヘルプの「IPSec ポリシーの作成、変更、および割り当て」を参照してください。
  1. [スタート] ボタンをクリックして [ファイル名を指定して実行] をクリックし、secpol.msc と入力して、[OK] をクリックして、ローカル セキュリティの設定スナップインを起動します。
  2. [IP セキュリティ ポリシー (ローカル コンピュータ)] を右クリックし、[IP セキュリティ ポリシーの作成] をクリックします。
  3. [次へ] をクリックして、作成するポリシーの名前 (マイクロソフト製ではないゲートウェイとの IPSec トンネルなど) を入力します。[次へ] をクリックします。

    : [説明] ボックスに情報を入力することもできます。
  4. [既定の応答規則をアクティブにする] チェック ボックスをオフにして、[次へ] をクリックします。
  5. [完了] をクリックします ([プロパティを編集する] はオンのままにします)。
: デフォルトの IKE メイン モードの設定で、IP セキュリティ ポリシーが作成されます。IPSec トンネルは 2 つの規則で構成されます。各ルールでトンネルの片方のエンドポイントが指定されます。トンネルのエンドポイントは 2 つあるため、規則も 2 つあります。各規則のフィルタには、その規則が適用されるトンネルのエンドポイントに送信される IP パケットの発信元と宛先の IP アドレスが指定されている必要があります。

先頭に戻る
先頭へ戻る

NetA から NetB へのフィルタ一覧を構築する

  1. 新しいポリシーのプロパティで、[追加ウィザードを使用] チェック ボックスをオフにし、[追加] をクリックして新しい規則を作成します。
  2. [IP フィルタ一覧] タブをクリックして、[追加] をクリックします。
  3. このフィルタ一覧に対する適切な名前を入力し、[追加ウィザードを使用] チェック ボックスをオフにし、[追加] をクリックします。
  4. [発信元アドレス] ボックスで [特定の IP サブネット] をクリックして、[IP アドレス] ボックスおよび [サブネット マスク] ボックスに NetA の IP アドレスとサブネット マスクを入力します。
  5. [宛先アドレス] ボックスの一覧で [特定の IP サブネット] をクリックして、[IP アドレス] ボックスおよび [サブネット マスク] ボックスに NetB の IP アドレスとサブネット マスクを入力します。
  6. [ミラー化] チェック ボックスをオフにします。
  7. [プロトコル] タブをクリックします。[プロトコルの種類の選択] ボックスに [任意] が設定されていることを確認します。IPSec トンネルでは、プロトコル固有のフィルタやポート固有のフィルタはサポートされていないためです。
  8. 作成したフィルタの説明を入力する場合は、[説明] タブをクリックします。通常、フィルタの名前はフィルタ一覧で使用したのと同じ名前にすることをお勧めします。トンネルが有効になると、フィルタ名が IP セキュリティ モニタに表示されます。
  9. [OK] をクリックします。
先頭に戻る
先頭へ戻る

NetB から NetA へのフィルタ一覧を構築する

  1. [IP フィルタ一覧] タブをクリックして、[追加] をクリックします。
  2. このフィルタ一覧に対する適切な名前を入力し、[追加ウィザードを使用] チェック ボックスをオフにし、[追加] をクリックします。
  3. [発信元アドレス] ボックスの一覧で [特定の IP サブネット] をクリックして、[IP アドレス] ボックスおよび [サブネット マスク] ボックスに NetB の IP アドレスとサブネット マスクを入力します。
  4. [宛先アドレス] ボックスの一覧で [特定の IP サブネット] をクリックして、[IP アドレス] ボックスおよび [サブネット マスク] ボックスに NetA の IP アドレスとサブネット マスクを入力します。
  5. [ミラー化] チェック ボックスをオフにします。
  6. フィルタの説明を入力する場合は、[説明] タブをクリックします。
  7. [OK] をクリックします。
先頭に戻る
先頭へ戻る

NetA から NetB へのトンネルの規則を構成する

  1. [IP フィルタ一覧] タブをクリックし、作成したフィルタ一覧をクリックします。
  2. [トンネルの設定] タブをクリックして、[次の IP アドレスでトンネル エンドポイントを指定する] をクリックし、3rdextip を入力します (3rdextip はマイクロソフト製ではないゲートウェイの外部ネットワーク アダプタに割り当てられている IP アドレスです)。
  3. [接続の種類] タブをクリックし、[すべてのネットワーク接続] をクリックします。または、WIN2003extIP が ISDN、PPP、または直接接続のシリアル接続のいずれでもない場合は、[ローカル エリア ネットワーク (LAN)] をクリックします。
  4. [フィルタ操作] タブをクリックし、[追加ウィザードを使用] チェック ボックスをオフにして、[追加] をクリックし、新しいフィルタを作成します。これは、デフォルトの操作では、受信トラフィックがクリア テキストで送信されることが許可されるためです。
  5. [セキュリティのネゴシエート] をオンのままにし、[セキュリティで保護されていない通信を受け付けるが、常に IPSec を使って応答] チェック ボックスをオフにします。セキュリティを強化するためにこのような設定にする必要があります。

    : [新しいフィルタ操作のプロパティ] ダイアログ ボックスの下部のチェック ボックスは、トンネルの規則に適用されるフィルタ操作の初期構成では、すべてオフになっています。ただし、トンネルのもう片方のエンドポイントでも PFS を使用するように構成されている場合には、[セッション キーの PFS (Perfect Forward Secrecy) を使う] を指定できます。
  6. [追加] をクリックし、[整合性と暗号化] をオンのままにします。または、アルゴリズムやセッション キーの生成間隔を特に指定する場合は、[カスタム] をクリックします。カプセル化セキュリティ ペイロード (ESP) は、2 つある IPSec プロトコルのうちの 1 つです。
  7. [OK] をクリックします。[全般] タブをクリックし、新しいフィルタ操作の名前 (IPSec トンネル : ESP DES/MD5 など) を入力して、[OK] をクリックします。
  8. 作成したフィルタ操作を選択します。
  9. [認証方法] タブをクリックし、適切な認証方法を構成します (テスト用には [次の文字列 (事前共有キー) を使う] を、その他の場合は [次の証明機関 (CA) からの証明書を使う] を指定します)。トンネルの両端が信頼されたドメイン内に存在し、しかも、トンネルの IKE ネゴシエーション中 (確立前) に、トンネルの両端から、信頼されている各ドメインの IP アドレス (ドメイン コントローラの IP アドレス) にネットワークで到達できる場合には、Kerberos を使用することは技術的には可能です。ただし、これはまれなケースです。
  10. [閉じる] をクリックします。
先頭に戻る
先頭へ戻る

NetB から NetA へのトンネルの規則を構成する

  1. IP セキュリティ ポリシーのプロパティで、[追加] をクリックして新しい規則を作成します。
  2. [IP フィルタ一覧] タブをクリックし、作成した (NetB から NetA への) フィルタ一覧を選択します。
  3. [トンネルの設定] タブをクリックし、[次の IP アドレスでトンネル エンドポイントを指定する] をクリックし、WIN2003extIP を入力します (WIN2003extIP は、Windows Server 2003 ゲートウェイの外部ネットワーク アダプタに割り当てられている IP アドレスです)。
  4. [接続の種類] タブをクリックし、[すべてのネットワーク接続] をクリックします。または、WIN2003extIP が ISDN、PPP、または直接接続のシリアル接続のいずれでもない場合は、[ローカル エリア ネットワーク (LAN)] をクリックします。フィルタ条件に一致する種類のインターフェイス上の出力トラフィックはすべて、規則に指定されているトンネル エンドポイントにトンネルを使用して送信されます。フィルタ条件に一致する入力トラフィックは、IPSec トンネルでセキュリティ保護されて受信される必要があるトラフィックのため、破棄されます。
  5. [フィルタ操作] タブをクリックし、作成したフィルタ操作をクリックします。
  6. [認証方法] タブをクリックし、最初の規則で使用したものと同じ認証方法を構成します (両方の規則で同じ方法を使用する必要があります)。
  7. [OK] をクリックします。構成したポリシーで、作成した規則が両方とも有効になっていることを確認して、再度 [OK] をクリックします。
先頭に戻る
先頭へ戻る

新しい IPSec ポリシーを Windows Server 2003 ゲートウェイに割り当てる

ローカル コンピュータの IP セキュリティ ポリシー Microsoft 管理コンソール (MMC) スナップインで、作成した新しいポリシーを右クリックし、[割り当て] をクリックします。ポリシーの横のフォルダ アイコンに緑色の矢印が表示されます。

ポリシーを割り当てると、アクティブなフィルタが 2 つ追加されます (ルーティングとリモート アクセスによって、L2TP トラフィックに対する IPSec フィルタが自動的に作成されます)。アクティブなフィルタを確認するには、コマンド プロンプトで次のコマンドを入力します。
netdiag /test:ipsec /debug
必要に応じて次のコマンドを入力することにより、このコマンドの出力をテキスト ファイルにリダイレクトし、テキスト エディタ (メモ帳など) で参照することができます。
netdiag /test:ipsec /debug > filename.txt
netdiag コマンドは、Microsoft Server 2003 Support Tools をインストールすることによって使用できます。Microsoft Server 2003 Support Tools をインストールするには、Windows Server 2003 CD-ROM の Support\Tools フォルダを探し、Suptools.msi ファイルを右クリックして [インストール] をクリックします。インストールした後、%SystemRoot%\Program Files\Support Tools フォルダから netdiag コマンドを実行する必要がある場合があります (%SystemRoot% は Windows Server 2003 がインストールされているドライブです)。

トンネル フィルタは、次の例のように表示されます。 
Local IPSec Policy Active: 'IPSec tunnel with {tunnel endpoint}' IP Security Policy Path:
SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{-longnumber-} 

There are two filters
From NetA to NetB
Filter ID: {-long number-}
Policy ID: {-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags: 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey: 0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key: -actual key-
Src Addr: NetA Src Mask: -subnet mask-
Dest Addr: NetB Dest Mask: -subnet mask-
Tunnel Addr: 3rdExtIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags : Outbound
From NetB to NetA
Filter ID: {-long number-}
Policy ID: {-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags: 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey: 0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key: -actual key-
Src Addr: NetB Src Mask: -subnet mask-
Dest Addr: NetA Dest Mask: -subnet mask-
Tunnel Addr: W2KextIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags: Inbound
先頭に戻る
先頭へ戻る

ルーティングとリモート アクセス フィルタを構成する

発信元アドレスまたは宛先アドレスが NetA または NetB と一致しないトラフィックを受信しないようにするには、ルーティングとリモート アクセス MMC で外部インターフェイスに対する出力フィルタを作成し、NetA から NetB へのパケットを除くすべてのトラフィックをフィルタで破棄するようにします。また、入力フィルタも作成し、NetB から NetA へのパケットを除くすべてのトラフィックをフィルタで破棄するようにします。トンネルの作成時の IKE ネゴシエーションを可能にするため、WIN2003extIP3rdExtIP の間のトラフィックを許可する必要もあります。ルーティングとリモート アクセスのフィルタ処理は IPSec の上位で実行されますが、IPSec プロトコルのパケットが IP パケット フィルタのレイヤまで到達することはないため、IPSec プロトコルを許可するように指定する必要はありません。次の例は、Windows Server 2003 の TCP/IP アーキテクチャをごく簡単に表したものです。 
アプリケーション層
トランスポート層 (TCP|UDP|ICMP|RAW)
---- ネットワーク層の開始 ----
IP パケット フィルタ (NAT/ルーティングとリモート アクセス フィルタリングが行われる場合)
IPSec (IPSec フィルタが実装されている場合)
フラグメント化/再構築

---- ネットワーク層の終了 ------
NDIS インターフェイス
データリンク層
物理層
ルーティングとリモート アクセス サービスでフィルタを構成するには、ルーティングとリモート アクセス MMC を起動して、次の手順を実行します。
  1. [ルーティングとリモート アクセス] の下にある目的のサーバーを展開し、[IP ルーティング] サブツリーを展開して、[全般] をクリックします。
  2. [WIN2003extIP] を右クリックして、[プロパティ] をクリックします。
  3. [出力フィルタ] をクリックして、[新規] をクリックします。
  4. [発信元ネットワーク] および [宛先ネットワーク] チェック ボックスをオンにします。
  5. [発信元ネットワーク] の [IP アドレス] ボックスおよび [サブネット マスク] ボックスに NetA の情報を入力します。
  6. [宛先ネットワーク] の [IP アドレス] ボックスおよび [サブネット マスク] ボックスに NetB の情報を入力します。
  7. プロトコルは [任意] の設定のままにし、[OK] をクリックします。
  8. [新規] をクリックし、[発信元ネットワーク] および [宛先ネットワーク] チェック ボックスをオンにします。
  9. [発信元ネットワーク] の [IP アドレス] ボックスおよび [サブネット マスク] ボックスに WIN2003extIP の情報を入力します。
  10. [宛先ネットワーク] の [IP アドレス] ボックスおよび [サブネット マスク] ボックスに 3rdExtIP の情報を入力します (IKE ネゴシエーションを可能にするには、サブネット マスクとして 255.255.255.255 を使用します)。
  11. プロトコルは [任意] の設定のままにし、[OK] をクリックします。
  12. [下の条件に一致するパケットを除いたすべてのパケットを破棄する] チェック ボックスをオンにして、[OK] をクリックします。
  13. [入力フィルタ] をクリックし、[新規] をクリックして、[発信元ネットワーク] および [宛先ネットワーク] チェック ボックスをオンにします。
  14. [発信元ネットワーク] の [IP アドレス] ボックスおよび [サブネット マスク] ボックスに NetB の情報を入力します。
  15. [宛先ネットワーク] の [IP アドレス] ボックスおよび [サブネット マスク] ボックスに NetA の情報を入力します。
  16. プロトコルは [任意] の設定のままにし、[OK] をクリックします。
  17. [新規] をクリックし、[発信元ネットワーク] および [宛先ネットワーク] チェック ボックスをオンにします。
  18. [発信元ネットワーク] の [IP アドレス] および [サブネット マスク] ボックスに 3rdExtIP の情報を入力します。
  19. [宛先ネットワーク] の [IP アドレス] および [サブネット マスク] ボックスに WIN2003extIP の情報を入力します (IKE ネゴシエーションを可能にするには、サブネット マスクとして 255.255.255.255 を使用します)。
  20. プロトコルは [任意] の設定のままにし、[OK] をクリックします。
  21. [下の条件に一致するパケットを除いたすべてのパケットを破棄する] チェック ボックスをオンにして、[OK] を 2 回クリックします。

    : ルーティングとリモート アクセス サーバーに、インターネットに接続しているインターフェイスが複数存在する場合、または複数の IPSec トンネルが存在する場合は、各インターネット インターフェイス用の IPSec トンネルごと (発信元と宛先の IP サブネットごと) に、ルーティングとリモート アクセス除外フィルタを作成します。
先頭に戻る
先頭へ戻る

ルーティングとリモート アクセスで静的ルートを構成する

Windows Server 2003 ゲートウェイでは、ルート テーブルに NetB へのルートが存在する必要があります。このルートを構成するには、ルーティングとリモート アクセス MMC で静的ルートを追加します。1 つの外部ネットワークに 2 つ以上のネットワーク アダプタがあり (または、宛先のトンネル IP 3rdExtIP に到達可能なネットワークが 2 つ以上あり)、Windows Server 2003 ゲートウェイがマルチホームで実行される場合、次のような状況になる可能性があります。
  • 発信トンネル トラフィックが送信されるインターフェイスとは異なるインターフェイスで、着信トンネル トラフィックが受信されます。IPSec オフロード ネットワーク アダプタを使用しても、セキュリティ アソシエーション (SA) のオフロードは発信側インターフェイスでしか行われないため、(発信トンネル トラフィックが送信されるインターフェイスとは) 別のインターフェイスで受信すると、着信側のネットワーク アダプタのハードウェアで暗号化を処理できません。
  • トンネルのエンドポイントの IP アドレスを持つインターフェイスとは異なるインターフェイスから、発信トンネル トラフィックが送信されます。トンネリングされたパケットの発信元の IP アドレスは、発信側インターフェイスの発信元 IP アドレスです。この発信元 IP アドレスがもう一方のエンドポイントで許可されているものと異なる場合、トンネルは確立されません (または、既にトンネルが確立されている場合、リモートのエンドポイントによってパケットが破棄されます)。
発信トンネル トラフィックが不適切なインターフェイスから送信されないようにするには、次のように静的ルートを定義して、NetB へのトラフィックが適切な外部インターフェイスから送信されるようにします。
  1. ルーティングとリモート アクセス MMC で目的のサーバーのツリーを展開し、[IP ルーティング] サブツリーを展開して、[静的ルート] を右クリックし、[新しい静的ルート] をクリックします。
  2. [インターフェイス] ボックスで [WIN2003extIP] をクリックします (常にこのインターフェイスを使用してトンネルの出力トラフィックを送信する場合)。
  3. [宛先] ボックスおよび [ネットワーク マスク] ボックスに NetB の情報を入力します。
  4. [ゲートウェイ] ボックスに 3rdextip を入力します。
  5. [メトリック] ボックスはデフォルト値 (1) のままにして、[OK] をクリックします。

    : 着信トンネル トラフィックが不適切なインターフェイスで受信される問題に対処するには、ルーティング プロトコルによってインターフェイスの IP アドレスが通知されないようにします。また、この資料の「ルーティングとリモート アクセス フィルタを構成する」に記載したように、ルーティングとリモート アクセス サービスでフィルタを構成して、NetA または WIN2003extIP へのパケットを破棄します。
先頭に戻る
先頭へ戻る

IPSec トンネルをテストする

NetA 上のコンピュータから NetB 上のコンピュータへ (または NetB から NetA へ) ping を実行することにより、トンネリングを開始できます。フィルタが正しく作成され、適切なポリシーが割り当てられていれば、2 つのゲートウェイで IPSec トンネルが確立され、ping コマンドによる ICMP トラフィックを暗号化された形式で送信できます。ping コマンドが機能していても、ICMP トラフィックが暗号化された形式でゲートウェイ間を送信されていることを確認します。確認するには、以下に記載したツールを使用できます。

先頭に戻る
先頭へ戻る

ログオン イベントとオブジェクト アクセスの監査を有効にする

これにより、セキュリティ ログにイベントが出力されます。このログによって、IKE セキュリティ アソシエーションのネゴシエーションが試行されたこと、および、それが成功したかどうかがわかります。
  1. グループ ポリシー オブジェクト エディタ MMC スナップインを使用して、[ローカル コンピュータ ポリシー] を展開し、[コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー] の順に展開し、[監査ポリシー] をクリックします。
  2. [ログオン イベントの監査] および [オブジェクト アクセスの監査] について、[成功] と [失敗] の監査を有効にします。

    : Windows Server 2003 ゲートウェイがドメインのメンバである場合、監査のドメイン ポリシーを使用していると、ローカル ポリシーはドメイン ポリシーによって上書きされます。この場合は、ドメイン ポリシーを変更します。
先頭に戻る
先頭へ戻る

IP セキュリティ モニタ

IP セキュリティ モニタ コンソールでは、IPSec 統計情報とアクティブなセキュリティ アソシエーション (SA) が表示されます。ping コマンドを使用してトンネルの確立を試行した後、SA が作成されたかどうかを確認できます (トンネルの作成が成功した場合、SA が表示されます)。ping コマンドが成功しても SA が表示されない場合、ICMP トラフィックは IPSec によって保護されていません。それまで表示されていなかった "ソフト アソシエーション" が表示される場合、IPSec ではこのトラフィックをクリアな状態で (暗号化せずに) 送信することが許可されています。 "ソフト アソシエーション" の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
234580? (http://support.microsoft.com/kb/234580/ ) IPSec が有効になっているコンピュータと有効になっていないコンピュータの間の "ソフト アソシエーション"


: Microsoft Windows XP および Windows Server 2003 ファミリでは、IP セキュリティ モニタはマイクロソフト管理コンソール (MMC) コンソールとして実装されています。IP セキュリティ モニタ スナップインを追加するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックして [ファイル名を指定して実行] をクリックし、mmc と入力して [OK] をクリックします。
  2. [ファイル] メニューの [スナップインの追加と削除] をクリックして、[追加] をクリックします。
  3. [IP セキュリティ モニタ] をクリックし、[追加] をクリックします。
  4. [閉じる] をクリックし、[OK] をクリックします
先頭に戻る
先頭へ戻る

ネットワーク モニタ

ネットワーク モニタを使用して、コンピュータに対して ping を実行中に、WIN2003extIP インターフェイスを通過するトラフィックをキャプチャできます。キャプチャ結果のファイルに、ping の発信元および宛先のコンピュータの IP アドレスに対応する発信元と宛先の IP アドレスがある ICMP パケットが記録されている場合、IPSec によってトラフィックが保護されていません。ICMP トラフィックがなく、代わりに ISAKMP と ESP パケットが記録されている場合、IPSec によってトラフィックが保護されています。認証ヘッダー (AH) IPSec プロトコルのみを使用している場合は、ISAKMP トラフィックに続いて ICMP パケットが送信されます。ISAKMP パケットによって実際に IKE ネゴシエーションが行われます。ESP パケットは、IPSec プロトコルによって暗号化されたペイロード データです。

ネットワーク モニタをインストールするには、次の手順を実行します。
  1. [スタート] ボタンをクリックして [コントロール パネル] をクリックし、[プログラムの追加と削除] をクリックします。
  2. [Windows コンポーネントの追加と削除] をクリックして、Windows コンポーネント ウィザードで [管理とモニタ ツール] をクリックし、[詳細] をクリックします。
  3. [管理とモニタ ツールのサブコンポーネント] ボックスの一覧で [ネットワーク モニタ ツール] チェック ボックスをオンにし、[OK] をクリックします。
  4. 追加のファイルを求めるメッセージが表示された場合は、使用しているオペレーティング システムのインストール CD-ROM を挿入するか、ネットワーク上のファイルの場所のパスを入力します。
先頭に戻る
先頭へ戻る

実際のテスト

  1. あるサブネット上のコンピュータから別のサブネット (NetA または NetB) 上のコンピュータに対して ping を実行する前に、コマンド プロンプトで ipconfig と入力します。これにより、TCP/IP スタックで初期化されたネットワーク インターフェイスが表示されます。
  2. IP セキュリティ モニタ ツールを起動します。
  3. ネットワーク モニタを開始して、[キャプチャ] メニューの [ネットワーク] をクリックします。WIN2003extIP インターフェイスをクリックして、[OK] をクリックします。
  4. コンピュータに対して ping を実行します。IPSec トンネルの構築中は、最初の ICMP エコー パケットがタイムアウトすることがあります。ping が成功しない場合は、セキュリティ ログとシステム ログを確認します。
  5. ping が成功したら、ネットワーク モニタによるキャプチャを停止し、ICMP トラフィックが暗号化されていない (クリアな) 状態で送信されたか、あるいは ISAKMP と IPSec プロトコル パケットのみが送受信されたかを確認します。IP セキュリティ モニタをチェックし、作成した NetA から NetB へのフィルタを使用して SA が作成されたかどうかを確認します。また、セキュリティ ログもチェックします。イベント ID 541 (IKE セキュリティ アソシエーションの確立) が出力されます。
  6. コマンド プロンプトで再度 ipconfig と入力し、トンネルの使用中に他の TCP/IP インターフェイスが表示されないことを確認します。これは、物理インターフェイス (WIN2003extIP) を通過するトラフィックが IPSec により保護されるためです。

    リモート ゲートウェイも Windows Server 2003 ノードである場合は、次の点に注意します。
    • NetA のクライアントのデフォルト ゲートウェイは、WIN2003extIP です。また、NetB のクライアントのデフォルト ゲートウェイは、3rdIntIP です。
    • IPSec トンネルによって、Windows Server 2003 ゲートウェイにおけるトラフィックのルーティング方法は変更されません (ルーティングとリモート アクセスでルーティングが有効になっているため、このゲートウェイはパケットをルーティングできます。実際の LAN または WAN のインターフェイス メトリックが使用されます)。
先頭に戻る
先頭へ戻る

関連情報

ルーティングとリモート アクセス サービスの詳細情報については、Windows Server 2003 オンライン ヘルプを参照してください。

『Windows Server 2003 リソース キット』およびその他の技術文書を参照するには、以下のマイクロソフト Web サイトにアクセスしてください。
http://www.microsoft.com/japan/windowsserver2003/default.mspx (http://www.microsoft.com/japan/windowsserver2003/default.mspx)
IETF 標準の情報 (英文) については、以下のサイトを参照してください。 他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、将来予告なしに変更されることがあります。マイクロソフトは、掲載している情報に対して、いかなる責任も負わないものとします。
先頭へ戻る
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
先頭へ戻る
キーワード:?
kbhowtomaster KB816514
先頭へ戻る
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"