現在オフラインです。再接続するためにインターネットの接続を待っています

ネットワーク アドレス変換器の背後にある Windows Server 2003 コンピュータでの IPSec NAT-T の使用は推奨されない

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

はじめに
VPN サーバーが含まれていて、ネットワーク アドレス変換器を経由する Windows 環境では、インターネット プロトコル セキュリティ (IPSec) の NAT (ネットワーク アドレス変換) Traversal 機能 (NAT-T) を使用することは推奨しません。ネットワーク アドレス変換器の背後に配置されているサーバーで IPSec NAT-T を使用すると、ネットワーク アドレス変換器におけるネットワーク トラフィックの変換方法が原因となって副次的な悪影響が及ぶことがあります。

また、Microsoft Windows XP のデフォルトの動作が Service Pack 2 (SP2) で変更されているため、Windows XP SP2 ベースのコンピュータで、ネットワーク アドレス変換器の背後に配置されているサーバーに対して IPSec NAT-T セキュリティ アソシエーションを確立することは推奨しません。Windows XP SP2 における変更により、Windows XP SP2 ベースの VPN クライアントで特別な構成を行わない限り、L2TP/IPSec を使用する Microsoft Windows Server 2003 ベースの仮想プライベート ネットワーク (VPN) サーバーをネットワーク アドレス変換器の背後に配置することはできません。

通信に IPSec が必要な場合は、インターネットからの直接接続が可能なすべてのサーバーでパブリック IP アドレスを使用することをお勧めします。IPSec NAT-T をサポートする Windows ベースのクライアント コンピュータは、ネットワーク アドレス変換器の背後に配置できます。
詳細
NAT は広く利用されている技術であり、NAT を使用することにより複数台のコンピュータで 1 つのパブリック IP アドレスを共有することができます。ネットワーク アドレス変換器は、次のプライベート ネットワークで使用されるプライベート アドレスを、インターネットで使用されるパブリック IP アドレスに対応付けます。
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
ネットワーク アドレス変換器の背後にサーバーを配置すると、接続の問題が発生することがあります。これは、インターネット経由でサーバーに接続するクライアントはパブリック IP アドレスを要求するためです。ネットワーク アドレス変換器の背後に配置されているサーバーにインターネット経由でアクセスするには、ネットワーク アドレス変換器で静的マッピングが構成されている必要があります。たとえば、ネットワーク アドレス変換器の背後に配置されている Windows Server 2003 ベースのコンピュータにインターネット経由でアクセスするには、ネットワーク アドレス変換器で次の静的マッピングを構成する必要があります。
  • サーバーのプライベート IP アドレス/UDP ポート 500 に対して、パブリック IP アドレス/UDP ポート 500 をマッピングします。
  • サーバーのプライベート IP アドレス/UDP ポート 4500 に対して、パブリック IP アドレス/UDP ポート 4500 をマッピングします。
ネットワーク アドレス変換器のパブリック アドレスに送信されるインターネット キー交換 (IKE) および IPSec NAT-T のすべてのトラフィックを自動的に変換して、Windows Server 2003 ベースのコンピュータに転送するために、上記のようなマッピングが必要です。

ただし、Windows Server 2003 ベースの VPN サーバーを使用する場合は、VPN サーバーに対してパブリック IP アドレスを割り当てることをお勧めします。VPN サーバーに対してパブリック IP アドレスを割り当てることで、ネットワーク アドレス変換器で通常実行される動作によって IP トラフィックが失われたり、誤って不適切な場所に転送されたりすることを回避できます。

Windows XP SP2 では NAT デバイスの背後にあるサーバーに対する IPSec NAT-T セキュリティ アソシエーションの確立がサポートされない

Windows XP Service Pack 2 (SP2) では、IPSec NAT-T のデフォルトの動作が変更されています。Windows XP SP2 では、ネットワーク アドレス変換を実行するデバイスやコンポーネントの背後に配置されているサーバーに対する IPSec NAT-T セキュリティ アソシエーションがサポートされません。この変更は、次のような状況におけるセキュリティ上の危険性を回避するために実装されています。
  1. NAT が構成されたネットワーク上にあるサーバー (このサーバーを Server 1 とします) 宛ての IKE トラフィックおよび IPSec NAT-T トラフィックのマッピングを行うように、ネットワーク アドレス変換器が構成されています。このネットワーク アドレス変換器のマッピングには、この資料で推奨されている方法を採用しています。
  2. NAT が構成されているネットワークの外側に配置されているクライアント (このクライアントを Client 1 とします) が IPSec NAT-T を使用して、Server 1 と双方向のセキュリティ アソシエーションを確立します。
  3. NAT が構成されているネットワーク上にあるクライアント (このクライアントを Client 2 とします) が、IPSec NAT-T を使用して、Client 1 と双方向のセキュリティ アソシエーションを確立します。
  4. このような構成では、IKE および IPSec NAT-T のトラフィックを Server 1 にマッピングするネットワーク アドレス変換器の静的マッピングが原因となって、Client 1 が Client 2 とのセキュリティ アソシエーションを再確立するような状況が発生します。このような状況では、Client 1 から送信された Client 2 宛ての IPSec セキュリティ アソシエーションのネゴシエーション トラフィックが、誤って Server 1 にルーティングされることがあります。
このような状況が発生することはまれですが、Windows XP SP2 ベースのコンピュータのデフォルトの動作では、このような状況が発生することがないように、ネットワーク アドレス変換器の背後に配置されているサーバーに対する IPSec NAT-T ベースのセキュリティ アソシエーションの確立が防止されています。

Windows XP SP2 のデフォルトの動作を変更して、ネットワーク アドレス変換器の背後に配置されているサーバーに対する IPSec NAT-T ベースのセキュリティ アソシエーションを確立できるようにすることができます。ただし、マイクロソフトでは、デフォルトの動作を変更することはお勧めしません。
詳細
Windows XP SP2 および IPSec NAT-T ベースのセキュリティ アソシエーションの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
885407 Windows XP Service Pack 2 で変更された IPSec NAT Traversal (NAT-T) 機能のデフォルトの動作
プロパティ

文書番号:885348 - 最終更新日: 12/20/2006 02:56:00 - リビジョン: 2.2

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86)

  • kbhowto kbinfo KB885348
フィードバック