IPsec NAT トラバーサル (NAT-T) の既定の動作が Windows XP Service Pack 2 で変更されます。


はじめに

この資料では、インターネット プロトコル セキュリティ (IPsec) ネットワーク アドレス変換 (NAT) トラバーサル (NAT-T) を Microsoft Windows XP Service Pack 2 (SP2) で実装されているの既定の動作の変更について説明します。この Windows XP SP2 の既定の動作を変更するには、次のレジストリ値を使用します。
AssumeUDPEncapsulationContextOnSendRule


Microsoft Windows 2000 の IPsec NAT T の実装では、変更が行われていません。

詳細

重要 このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。そのため、レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。そうすることで、問題が発生した場合にレジストリを復元することができます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756の方法をバックアップし、Windows のレジストリを復元するには


既定では、Service Pack 2 を Windows XP を実行して (イニシエーターと呼ぶ)、IPsec でセキュリティ保護された通信を開始する、コンピューターをサポートしなく IPsec NAT-T を使用してリモート コンピューターにネットワーク アドレス変換器の背後にある (レスポンダーと呼ぶ)、IPsec でセキュリティ保護された通信の要求に応答します。これは、次のマイクロソフト サポート技術情報の記事で説明したように潜在的なセキュリティ上の問題を回避すること。
885348ネットワーク アドレス変換器の背後にある Windows Server 2003 コンピューターで IPSec NAT-T は推奨しません


などの Microsoft Windows Server 2003 を実行している仮想プライベート ネットワーク (VPN) サーバーは、既定で、ネットワーク アドレス変換器の背後にある、Windows XP SP2 ベースの VPN クライアントは、レイヤー 2 トンネリング プロトコルで VPN サーバーへの IPsec (L2tp/ipsec) 接続を行うことはできません。

この既定の動作は、コンピューターから実行している Windows XP SP2 のセットアップ先のコンピューターがネットワーク アドレス変換器の背後にある場合、IPsec トランスポート モードまたは L2TP と IPsec で保護されているリモート デスクトップ接続を確立することを防ぐこともできます。


ネットワーク アドレス変換器の背後にサーバーを配置すると、IPsec NAT-T を使用して IPsec NAT-T の service pack がインストールされていると Windows XP Service Pack 1 (SP1) で Windows XP で動作する方法のため予期しない結果が発生する可能性があります。通信に IPsec を要求する場合は、インターネットから直接に接続できるすべてのサーバーのパブリック IP アドレスを使用することを勧めします。

注: これらの変更に関係なく Windows 2000、Windows XP、または Windows Server 2003 を実行しているコンピューターはネットワーク アドレス変換器の背後に配置されている場合、イニシエーターとして IPsec NAT ベースの接続をサポートします。たとえば、ホテルのプライベート ネットワークに配置されている L2tp/ipsec VPN クライアント ラップトップ コンピューターは、パブリック インターネット アドレスを使用している VPN サーバーへの接続を開始できます。

NAT は、1 つのパブリック IP アドレスを共有する複数のコンピューターを有効にする一般的に使用されるテクノロジです。ネットワーク アドレス変換器は、インターネットで使用されているパブリック IP アドレスをプライベート ネットワークで使用される、プライベートのアドレス (10.0.0.0/8、172.16.0.0/12、および 192.168.0.0/16) をマップします。
特定の状況での IPsec NAT-T セキュリティ アソシエーションをネットワーク アドレス変換器、サーバーは、ネットワーク アドレス変換のマッピングを構成する方法および結果についての背後にあるサーバーを配置することについては、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします。

885348ネットワーク アドレス変換器の背後にある Windows Server 2003 コンピューターで IPSec NAT-T は推奨しません


NAT の背後にある応答側への接続に IPsec NAT-T のイニシエーターは、作成し、イニシエーター上にレジストリ値を設定する必要があります。

注: このレジストリ値を構成する前にネットワーク管理者に問い合わせるか、企業のセキュリティ ポリシーを読み取ることお勧めします。

作成しにレジストリ値を構成するには、手順に従います。
  1. [スタート] ボタンをクリックし、[ファイルを指定して実行] をクリックして、「regedit」と入力してから [ OK] をクリックします。
  2. 次のレジストリ サブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  3. [編集] メニューで、[新規] をポイントし、[DWORD 値] をクリックします。
  4. [新しい値 #1 ] ボックスにはを入力し、ENTER キーを押します。

    重要 この値の名前は、大文字小文字を区別します。
  5. 右クリックし、[変更] をクリックします。
  6. [値データ] ボックスで、次の値のいずれかを入力します。
    • 0 (既定値)
      値が 0 (ゼロ) のレスポンダーは、ネットワーク アドレス変換器の背後にあると、IPsec で保護された通信を開始できないように、Windows XP SP2 を構成します。
    • 1
      1 の値は、ネットワーク アドレス変換器の背後にある応答側の IPsec でセキュリティ保護された通信を開始できるように、Windows XP SP2 を構成します。
    • 2
      2 の値は、イニシエーターと応答側の両方がネットワーク アドレス変換器の背後にあると、IPsec でセキュリティ保護された通信を開始できますするために Windows XP SP2 を構成します。

      注: この IPsec NAT-T を Windows xp service pack がインストールされていると Windows XP SP1 での動作です。
  7. [Ok]をクリックし、レジストリ エディターを終了します。
  8. コンピューターを再起動します。
構成した後に値を 1 または 2 の値を持つ、Windows XP SP2 は、ネットワーク アドレス変換器の背後にある応答側に接続できます。この現象は、Windows Server 2003 を実行している VPN サーバーへの接続に適用されます。
プロパティ

文書番号:885407 - 最終更新日: 2017/02/18 - リビジョン: 2

フィードバック