Windows 2000 および Windows Server 2003 でのトラフィック (クライアントとドメイン コントローラ間およびドメイン コントローラ間) に対する IPSec サポート

BUG #: 34967 (Content Maintenance)重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明

はじめに

この資料では、IPSec (Internet Protocol Security) を使用してクライアント コンピュータからドメイン コントローラへのネットワーク トラフィック、またはドメイン コントローラから別のドメイン コントローラへのネットワーク トラフィックを暗号化する構成について、Microsoft Windows 2000 および Microsoft Windows Server 2003 でサポートされている内容を説明します。

詳細

重要 : 「詳細」に記載されている情報は、Microsoft Windows Server 2003 のみに適用されます。

Kerberos コンピュータ認証や証明書ベースのコンピュータ認証を採用する場合、エンド ツー エンドのクライアント間、クライアント/サーバー間、およびサーバー間でネットワーク トラフィックを暗号化して保護することを目的とした IPSec の使用がサポートされています。グループ ポリシー経由で IPSec ポリシーを適用する場合や Kerberos 認証方法を使用する場合の、ドメイン メンバ サーバーからドメイン コントローラへの IPSec を使用したネットワーク トラフィックの暗号化は、現時点ではサポートされていません。


次のようなネットワーク トラフィックを暗号化するための IPSec の使用はサポート対象です。
  • ドメイン コントローラ間でのレプリケーション トラフィック
  • グローバル カタログ間でのレプリケーション トラフィック
IPSec を使用してトラフィックを暗号化するには、次の 2 つの構成を行います。
  • IPSec ポリシー フィルタを作成し、[すべての IP トラフィック] オプションを使用してすべてのユニキャスト トラフィックを暗号化するようにします。
  • 作成した IPSec ポリシー フィルタを構成して、IPSec トランスポート モードを使用して 2 つの IP アドレス間のトラフィックを暗号化します。このシナリオでは、IPSec トンネル モードは使用しません。
IPSec ポリシーを構成した後、コンピュータを起動するときに、いくつかのパケットが暗号化されていない状態でネットワーク上に送信された可能性があることを通知される場合があります。この問題は、IPSec ドライバが初期化されて IPSec ポリシーが処理される前に、パケットの一部がネットワークに送信されることがあるために発生します。この問題を解決するには、コンピュータの起動処理中に、IPSec ドライバである IPSec.sys をブロック モードに設定します。このように設定すると、PolicyAgent コンポーネントが起動して IPSec ポリシーを読み込むまで、コンピュータから発信されるネットワーク トラフィックが IPSec によってブロックされます。IPSec の PolicyAgent コンポーネントが起動して IPSec ポリシーが読み込まれた後、PolicyAgent によって IPSec ドライバの処理モードが変更され、IPSec トラフィックの通過が許可されるようになります。IPSec ドライバをブロック モードに設定するには、次のレジストリ値を設定します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec

値の名前 : OperationMode

値の種類 : REG_DWORD

値のデータ : 1
値を 1 に設定すると、IPSec ドライバがブロック モードになります。値を 0 (ゼロ) に設定すると、IPSec ドライバのブロック モードは使用されません。


関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

254728 ドメイン コントローラ間で Kerberos トラフィックが IPSec によってセキュリティ保護されない

ドメイン コントローラ間でのトラフィックには、サーバー メッセージ ブロック (SMB)、リモート プロシージャ コール (RPC) ベースのレプリケーションなど、何種類かのトラフィックがあります。このようなドメイン コントローラ間でのトラフィックを暗号化するために IPSec を使用することはサポートされています。IPSec を使用してこのトラフィックを転送することにより、トラフィックがファイアウォールを容易に通過できるようになります。このシナリオでは、ファイアウォールにおいて IPSec トラフィックとインターネット キー交換 (IKE) を通過させることのみが必要です。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

233256 ファイアウォール経由での IPSec トラフィックを有効にする方法
ドメイン コントローラ間の IPSec ポリシーの規則を構成する場合、証明書ベースの認証を必須とすることを推奨します。IPSec ポリシーの作成方法の詳細については、ドキュメント『Active Directory in Networks Segmented by Firewalls』を参照してください。このドキュメントを入手するには、次のマイクロソフト Web サイトを参照してください。
この規則では、セキュリティ要件によってファイアウォール経由の Kerberos トラフィックが許可されていない場合に、証明書による認証が要求されます。デフォルトでは、IKE 証明書の失効チェックは無効に設定されており、ファイアウォールを使用して有効にすることが必要な場合があります。この設定は、使用している PKI インフラストラクチャに依存します。


次の仕様を使用して、ドメイン コントローラに IPSec 規則を作成します。
  • フィルタ リストには、DC1 上の IP アドレスから DC2 (ミラー) 上の IP アドレスに向かうトラフィック、サブネット マスク 255.255.255.255、すべてのプロトコル、およびすべてのポートを指定します。 ファイアウォールを経由したリモート システムへのネットワークの接続性を確認するために Ping を使用する場合は、IPSec ポリシーに規則を追加して、IPSec セキュリティ ネゴシエーションから ICMP トラフィックを除外することができます。それ以外の場合は、接続性はネットワーク用スニッファで確認できます。このネットワーク スニッファには IKE トラフィック (ISAKMP、UDP ポート 500) がドメイン コントローラと他のドメイン コントローラの IP アドレス間で送受信されていることが表示されます。


    NAT (Network Address Translation) を、IPSec 保護を必要とするドメイン コントローラ間のアドレス変更やパケット修正に使用しないでください。


  • [トンネルの設定] で [この規則では IPSec トンネルを指定しない] をクリックし、トランスポート モードを使用するようにします。
  • [認証方法] タブで認証方法を選択します。Kerberos を使用することができます。下記の「注」を参照してください。
  • [セキュリティで保護されていない通信を受け付けるが、常に IPSec を使用して応答する] および [IPSec に対応していないコンピュータとセキュリティで保護されていない通信を許可] チェック ボックスをオフにし、さらに IPSec の ESP フォーマットを使用して適切なデータ暗号化方法を指定することによって、カスタム フィルタ操作を作成します。各ドメイン コントローラにおいて、ハードウェアで IPSec パケットごとに暗号化を行うネットワーク アダプタを利用すると、コンピュータの CPU サイクルに負荷をかけずに暗号化することができます。
: Windows 2000 の最初のリリース (ビルド 2195) では、IPSec トランスポート フィルタを使用した IKE、Kerberos、および RSVP トラフィックの保護は行いません。ドメイン コントローラ間のトラフィックを保護する IPSec 規則の認証方法として、証明書ではなく Kerberos を使用する場合、Kerberos トラフィックがデフォルトで通過するようにファイアウォールを構成することも必要です。Windows 2000 Service Pack 1 は、Kerberos と RSVP トラフィックを保護する IPSec の機能を提供しています。
253169 [NT]IPSec により保護されるトラフィックと保護されないトラフィック
IPSec ポリシー構成の詳細については、次のマイクロソフト Web サイトを参照してください。
プロパティ

文書番号:254949 - 最終更新日: 2008/01/13 - リビジョン: 1

フィードバック