文書番号: 818043 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

マイクロソフトは、Service Pack がインストールされていない Microsoft Windows 2000 および Microsoft Windows XP、Windows XP Service Pack 1 (SP1) を実行しているコンピュータにおけるレイヤ 2 トンネリング プロトコル (L2TP) および IPSec (Internet Protocol Security) の機能を強化する更新プログラム パッケージをリリースしました。Windows XP Service Pack 2 には、この機能が収録されています。Windows XP Service Pack 2 を実行しているコンピュータには、この更新プログラムをインストールする必要はありません。

この更新プログラムでは、NAT (Network Address Translation) デバイスの内側の仮想プライベート ネットワーク (VPN) クライアントに対する IPSec のサポートが強化されています。Windows XP を実行中のコンピュータにこの更新プログラムを適用すると、IPSec サービスでランタイム エラーが発生して何らかの理由でこのサービスを開始できない場合、ネットワーク トラフィックをセキュリティで保護できないため、IPSec ドライバはブロック モードで動作します。

: IPsec サービスはシステム サービスの一覧に "IPSEC Services" と表示されます。

最新の Windows XP Service Pack の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
322389 最新の Windows XP Service Pack を入手する方法

この資料の内容

詳細

IPSec の新しい機能とスナップイン

  • この更新プログラムをインストールすると、Windows 2000 および Windows XP ベースの L2TP/IPSec クライアントは、NAT デバイスの内側から IPSec 接続を作成できるようになります。この新しい IPSec NAT-T 機能は、IETF Requests for Comments (RFC) 3193 および IETF IPsec NAT-T インターネット ドラフト バージョン 2 に基づいています。SP2 がインストールされている Windows XP クライアントでも、この強化された接続オプションが利用できます。現在、IPSec NAT-T は、RFC 3947 および 3948 で定義されています。
  • 更新された IP セキュリティ モニタ スナップインでは、Windows XP を実行中のコンピュータを表示できます。ただし、表示できるのは Service Pack 2 がインストールされた Windows XP に限られます。
  • 更新された IP セキュリティ モニタ スナップインでは、Microsoft Windows Server 2003 を実行中のコンピュータを表示できます。同様に、この SP2 がインストールされた Windows XP ベースのコンピュータを Windows Server 2003 で監視することもできます。
  • このスナップインでは Windows 2000 を実行中のコンピュータを監視することはできません。
  • 新しい IP セキュリティ ポリシーの管理スナップインは、Windows Server 2003 で作成された、拡張機能 (DH2048、証明書マッピング、動的フィルタなど) を含むポリシー オブジェクトを検出すると、読み取り専用モードに切り替わります。この動作により、スナップイン オブジェクト (ルール、フィルタの一覧、メイン モードの提供など) にこれらの新しい設定の参照が含まれる場合は、スナップイン オブジェクトが編集できなくなります。IP セキュリティ ポリシーの管理スナップインが読み取り専用モードに切り替わるのは、重要な拡張機能が誤って削除されないようにするためです。
  • Windows XP ベースのコンピュータ上の更新された IPSec サービスでは、Windows Server 2003 のポリシーで提供されている新機能の大部分を使用できます。

    : 証明書マッピングは使用できません。
  • 以前のバージョンの IPSeccmd ツールが Windows XP ベースのコンピュータにインストールされている場合 (このツールは Windows 2000 では使用できません)、更新された IPSeccmd は drive:\Program Files\Support Tools フォルダにインストールされます。

    更新された IPSeccmd には以下の機能が含まれています。
    • インターネット キー交換 (IKE) ログの有効と無効を動的に切り替えます。
    • 現在割り当てられているポリシーに関する情報を表示します。
    • 固定 IPSec ポリシーを作成できます。
    : 以前のバージョンの IPSeccmd は更新されたコンピュータでは動作せず、更新された IPSeccmd は更新されていないコンピュータでは動作しません。

相互運用性と既知の問題

IPsec NAT-T およびファイアウォール ルール

IPsec NAT-T 機能のサポートは、IETF RFC 3193 と IETF NAT-T インターネット ドラフト バージョン 2 に基づいているため、これらのサービスをファイアウォール経由で実行するには、ファイアウォール ルールで以下のポートとプロトコルを開く必要がある場合があります。
  • インターネット キー交換 (IKE) - UDP (User Datagram Protocol) 500
  • NAT-T - UDP 4500
  • カプセル化セキュリティ ペイロード (ESP) - IP (Internet Protocol) プロトコル 50

サポートされている NAT-T の使用環境例

次の環境では、L2TP/IPSec の NAT-T 接続が正常に許可されます。この環境では、Client は、818043 の更新プログラムが適用された Windows 2000 を実行しているクライアント、または SP2 がインストールされた Windows XP ベースのコンピュータです。Server は、ルーティングとリモート アクセスを使用している Windows Server 2003 を実行中の L2TP/IPSec サーバーです。
Client----> NAT ---- インターネット ---->Server

サポートされている環境は Server が NAT デバイスの内側に配置されていない場合のみであり、このような場合にのみ使用することをお勧めします。
L2TP/IPSec サーバーには、NAT-T 接続をサポートしているサードパーティのゲートウェイ製品を使用することもできます。

: ルーティングとリモート アクセスを使用する Windows 2000 ベースのサーバーに 818043 の更新プログラムを適用した場合、この環境ではサーバーが L2TP/IPSec サーバーとして機能できません。サーバーでは NAT デバイスの内側に存在する L2TP/IPSec クライアントからの接続を許可できません。この更新プログラムはクライアント側にのみ適用されます。サーバー側の IPSec NAT-T 機能は、Windows Server 2003 のルーティングとリモート アクセスにのみ含まれる新しい機能です。IPSec NAT-T のサーバー側サポートは、Windows 2000 のルーティングとリモート アクセスには追加されません。

Diffie-Hellman グループ 2048 アルゴリズムの更新

L2TP/IPSec クライアントで Diffie-Hellman グループ 2048 の更新されたアルゴリズムをネゴシエートおよび使用するには、接続先のリモート アクセス サーバーでも、このグループがサポートされている必要があります。

: Windows Server 2003 を実行中のコンピュータで更新された Diffie-Hellman 2048 アルゴリズムを使用するには、レジストリ サブキーを作成する必要があります。これを行うには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに regedit と入力し、[OK] をクリックします。
  2. 次のレジストリ サブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
  3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
  4. NegotiateDH2048 と入力し、Enter キーを押します。
  5. [NegotiateDH2048] を右クリックし、[修正] をクリックします。
  6. [値のデータ] ボックスに 1 と入力し、[OK] をクリックします。
  7. [レジストリ] メニューの [レジストリ エディタの終了] をクリックします。

その他

  • IPSec オフロード ハードウェア
    IPSec オフロード ネットワーク アダプタは、NAT を使用して作成されたセキュリティ アソシエーションをオフロードしません。
  • 新しい機能が正しく表示されない
    Windows Server 2003 の IPSec ポリシーを使用して有効にされた新しい機能が、IP セキュリティ モニタ スナップインで正しく表示されないことがあります。多くの場合、DH2048 グループが 268435457 として表示され、動的フィルタ名 (WINS、DHCP など) がまったく表示されません (列が空白になります)。
  • Windows による IPSec の実装での IKE コンポーネントは拡張された Winsock API 関数を使用し、この関数のポインタは WSAIoctl() を呼び出すことにより決定されます。この関数呼び出しが、インストール済み LSP (Layered Service Provider) で通過を許可されない場合、IPSec は IKE ポート上でリッスンできません。IPSec はこれをコンポーネントの障害と解釈し、それに従って対処します (つまり、"保護されたモードに入ることができません" メッセージを返します)。IKE コンポーネントが LSP を通過できない現象は、インストール済みのサードパーティ製プログラムが原因で発生することがあります。

警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。 Windows XP SP2 を実行中のコンピュータの IPSec NAT-T 機能の動作を変更するには、AssumeUDPEncapsulationContextOnSendRule レジストリ値を作成する必要があります。

Windows XP SP2 のデフォルト設定では、ネットワーク アドレス変換器の外側に配置されているサーバーへの IPSec NAT-T セキュリティ アソシエーションはサポートされません。そのため、仮想プライベート ネットワーク (VPN) サーバーがネットワーク アドレス変換器の外側に配置されている場合、デフォルトの設定を使用している Windows XP SP2 ベースの VPN クライアントは、VPN サーバーに対して L2TP/IPSec 接続を確立できません。このことは、Microsoft Windows Server 2003 を実行中の VPN サーバーにも適用されます。

このデフォルトの動作により、接続先のコンピュータがネットワーク アドレス変換器の外側に配置されている場合、Windows XP SP2 を実行中のコンピュータでは、L2TP/IPSec を使用してリモート デスクトップ接続を確立できません。

ネットワーク変換器によるネットワーク トラフィックの変換方法が原因で、サーバーをネットワーク アドレス変換器の外側に移動した後に、IPSec NAT-T 機能を使用すると、予期しない現象が発生することがあります。そのため、通信に IPSec を使用する必要がある場合は、インターネットから直接接続できるサーバーには、パブリック IP アドレスを使用することをお勧めします。

AssumeUDPEncapsulationContextOnSendRule レジストリ値を作成および構成するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに regedit と入力し、[OK] をクリックします。
  2. 次のレジストリ サブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
  4. [新しい値 #1] ボックスで AssumeUDPEncapsulationContextOnSendRule と入力し、Enter キーを押します。
  5. [AssumeUDPEncapsulationContextOnSendRule] を右クリックし、[修正] をクリックします。
  6. [値のデータ] ボックスに次のいずれかの値を入力します。
    • 0 (デフォルト)
      値 0 (ゼロ) を入力すると、Windows は、ネットワーク アドレス変換器の外側に配置されているサーバーに対してセキュリティ アソシエーションを確立できないように構成されます。
    • 1
      値 1 を入力すると、Windows は、ネットワーク アドレス変換器の外側に配置されているサーバーに対してセキュリティ アソシエーションを確立できるように構成されます。
    • 2
      値 2 を入力すると、Windows は、サーバーと Windows XP SP2 クライアントの両方がネットワーク アドレス変換器の外側にある場合に、セキュリティ アソシエーションを確立できるように構成されます。
  7. [OK] をクリックし、レジストリ エディタを終了します。
  8. コンピュータを再起動します。

Windows XP の Service Pack 情報

この機能は最新の Windows XP Service Pack (SP2) で入手できます。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
322389 最新の Windows XP Service Pack を入手する方法

Windows 2000 用更新プログラム

Windows 2000 用更新プログラムをダウンロードするには、次のマイクロソフト Web サイトにアクセスして、Microsoft Windows Update カタログを使用します。
http://v4.windowsupdate.microsoft.com/catalog
Windows Update カタログの "検索オプションの詳細設定" 機能を使用して、この資料の文書番号を検索してください。これを行うには、以下の手順を実行します。
  1. Microsoft Windows Update Web サイトで [Microsoft Windows オペレーティング システムの更新を探します] をクリックします。
  2. 使用中のオペレーティング システムと言語をクリックし、[検索オプションの詳細設定] をクリックします。

    : Windows 2000 Professional Service Pack 3 または Windows 2000 Professional Service Pack 4 のいずれかを選択する必要があります。別のオペレーティング システムを選択した場合、この更新プログラムは検索されません。
  3. [次の単語を含みます] ボックスに、818043 と入力して、[検索] をクリックします。
Windows Update カタログから更新プログラムをダウンロードする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
323166 Windows Update カタログから Windows の更新プログラムおよびドライバをダウンロードする方法

必要条件

この更新プログラム パッケージは、Windows 2000 Service Pack 3 (SP3) またはそれ以降を実行するコンピュータにインストールするように設計されています。

再起動の必要性

この更新プログラム パッケージのインストール後、IPSec の新機能を有効にするためにコンピュータを再起動する必要があります。

更新プログラムの置き換えに関する情報

この更新プログラムを適用しても、他の更新プログラムが置き換えられることはありません。

ファイル情報

修正プログラム (日本語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
   日付           時刻    バージョン          サイズ    ファイル名
   ------------------------------------------------------------
   2000/09/18  15:01  5.0.2195.1569     33,616  fips.sys        
   2003/04/21  11:19  5.0.2195.6738     80,848  ipsec.sys       
   2003/05/01  17:50  5.0.2195.6738     29,456  ipsecmon.exe    
   2003/04/21  11:21  5.0.2195.6738    390,928  netdiag.exe     
   2003/05/01  17:50  5.0.2195.6738    417,552  oakley.dll      
   2003/05/01  17:50  5.0.2195.6738     96,528  polagent.dll    
   2003/05/01  17:50  5.0.2195.6738    137,488  polstore.dll    
   2003/05/01  17:50  5.0.2195.6738     58,128  rasman.dll      
   2003/05/01  17:50  5.0.2195.6738    153,360  rasmans.dll     
   2003/05/01  17:50  5.0.2195.6738     54,032  rastapi.dll     
   2003/04/21  11:19  5.0.2195.6738     80,848  ipsec.sys       

関連情報

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
314067 Windows XP における TCP/IP 接続のトラブルシューティング
257225 Windows 2000 での IPSec の基本的なトラブルシューティング
816915 Microsoft Windows ソフトウェア更新プログラム パッケージの新しい名前付けスキーマ

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 818043 (最終更新日 2005-04-27) を基に作成したものです。

プロパティ

文書番号: 818043 - 最終更新日: 2011年5月16日 - リビジョン: 19.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Professional
キーワード:?
atdownload kbwinxpsp2fix kbdownload kbenv kbwinxppresp2fix kbbug kbfix kbqfe kbwin2000presp5fix KB818043
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com