ネットワーク アドレス変換器の背後にある Windows Server 2003 コンピュータでの IPSec NAT-T の使用は推奨されない

文書翻訳 文書翻訳
文書番号: 885348 - 対象製品
すべて展開する | すべて折りたたむ

目次

はじめに

VPN サーバーが含まれていて、ネットワーク アドレス変換器を経由する Windows 環境では、インターネット プロトコル セキュリティ (IPSec) の NAT (ネットワーク アドレス変換) Traversal 機能 (NAT-T) を使用することは推奨しません。ネットワーク アドレス変換器の背後に配置されているサーバーで IPSec NAT-T を使用すると、ネットワーク アドレス変換器におけるネットワーク トラフィックの変換方法が原因となって副次的な悪影響が及ぶことがあります。

また、Microsoft Windows XP のデフォルトの動作が Service Pack 2 (SP2) で変更されているため、Windows XP SP2 ベースのコンピュータで、ネットワーク アドレス変換器の背後に配置されているサーバーに対して IPSec NAT-T セキュリティ アソシエーションを確立することは推奨しません。Windows XP SP2 における変更により、Windows XP SP2 ベースの VPN クライアントで特別な構成を行わない限り、L2TP/IPSec を使用する Microsoft Windows Server 2003 ベースの仮想プライベート ネットワーク (VPN) サーバーをネットワーク アドレス変換器の背後に配置することはできません。

通信に IPSec が必要な場合は、インターネットからの直接接続が可能なすべてのサーバーでパブリック IP アドレスを使用することをお勧めします。IPSec NAT-T をサポートする Windows ベースのクライアント コンピュータは、ネットワーク アドレス変換器の背後に配置できます。

詳細

NAT は広く利用されている技術であり、NAT を使用することにより複数台のコンピュータで 1 つのパブリック IP アドレスを共有することができます。ネットワーク アドレス変換器は、次のプライベート ネットワークで使用されるプライベート アドレスを、インターネットで使用されるパブリック IP アドレスに対応付けます。
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
ネットワーク アドレス変換器の背後にサーバーを配置すると、接続の問題が発生することがあります。これは、インターネット経由でサーバーに接続するクライアントはパブリック IP アドレスを要求するためです。ネットワーク アドレス変換器の背後に配置されているサーバーにインターネット経由でアクセスするには、ネットワーク アドレス変換器で静的マッピングが構成されている必要があります。たとえば、ネットワーク アドレス変換器の背後に配置されている Windows Server 2003 ベースのコンピュータにインターネット経由でアクセスするには、ネットワーク アドレス変換器で次の静的マッピングを構成する必要があります。
  • サーバーのプライベート IP アドレス/UDP ポート 500 に対して、パブリック IP アドレス/UDP ポート 500 をマッピングします。
  • サーバーのプライベート IP アドレス/UDP ポート 4500 に対して、パブリック IP アドレス/UDP ポート 4500 をマッピングします。
ネットワーク アドレス変換器のパブリック アドレスに送信されるインターネット キー交換 (IKE) および IPSec NAT-T のすべてのトラフィックを自動的に変換して、Windows Server 2003 ベースのコンピュータに転送するために、上記のようなマッピングが必要です。

ただし、Windows Server 2003 ベースの VPN サーバーを使用する場合は、VPN サーバーに対してパブリック IP アドレスを割り当てることをお勧めします。VPN サーバーに対してパブリック IP アドレスを割り当てることで、ネットワーク アドレス変換器で通常実行される動作によって IP トラフィックが失われたり、誤って不適切な場所に転送されたりすることを回避できます。

Windows XP SP2 では NAT デバイスの背後にあるサーバーに対する IPSec NAT-T セキュリティ アソシエーションの確立がサポートされない

Windows XP Service Pack 2 (SP2) では、IPSec NAT-T のデフォルトの動作が変更されています。Windows XP SP2 では、ネットワーク アドレス変換を実行するデバイスやコンポーネントの背後に配置されているサーバーに対する IPSec NAT-T セキュリティ アソシエーションがサポートされません。この変更は、次のような状況におけるセキュリティ上の危険性を回避するために実装されています。
  1. NAT が構成されたネットワーク上にあるサーバー (このサーバーを Server 1 とします) 宛ての IKE トラフィックおよび IPSec NAT-T トラフィックのマッピングを行うように、ネットワーク アドレス変換器が構成されています。このネットワーク アドレス変換器のマッピングには、この資料で推奨されている方法を採用しています。
  2. NAT が構成されているネットワークの外側に配置されているクライアント (このクライアントを Client 1 とします) が IPSec NAT-T を使用して、Server 1 と双方向のセキュリティ アソシエーションを確立します。
  3. NAT が構成されているネットワーク上にあるクライアント (このクライアントを Client 2 とします) が、IPSec NAT-T を使用して、Client 1 と双方向のセキュリティ アソシエーションを確立します。
  4. このような構成では、IKE および IPSec NAT-T のトラフィックを Server 1 にマッピングするネットワーク アドレス変換器の静的マッピングが原因となって、Client 1 が Client 2 とのセキュリティ アソシエーションを再確立するような状況が発生します。このような状況では、Client 1 から送信された Client 2 宛ての IPSec セキュリティ アソシエーションのネゴシエーション トラフィックが、誤って Server 1 にルーティングされることがあります。
このような状況が発生することはまれですが、Windows XP SP2 ベースのコンピュータのデフォルトの動作では、このような状況が発生することがないように、ネットワーク アドレス変換器の背後に配置されているサーバーに対する IPSec NAT-T ベースのセキュリティ アソシエーションの確立が防止されています。

Windows XP SP2 のデフォルトの動作を変更して、ネットワーク アドレス変換器の背後に配置されているサーバーに対する IPSec NAT-T ベースのセキュリティ アソシエーションを確立できるようにすることができます。ただし、マイクロソフトでは、デフォルトの動作を変更することはお勧めしません。

詳細

Windows XP SP2 および IPSec NAT-T ベースのセキュリティ アソシエーションの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
885407 Windows XP Service Pack 2 で変更された IPSec NAT Traversal (NAT-T) 機能のデフォルトの動作

プロパティ

文書番号: 885348 - 最終更新日: 2006年12月20日 - リビジョン: 2.2
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
キーワード:?
kbhowto kbinfo KB885348
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com