Microsoft L2TP/IPSec 仮想プライベート ネットワーク クライアント接続のトラブルシューティング方法

  • [アーティクル]

この記事では、L2TP/IPSec 仮想プライベート ネットワーク (VPN) 接続の問題をトラブルシューティングする方法について説明します。

適用対象: Windows 10 - すべてのエディション
元の KB 番号: 325034

概要

L2TP/IPSec VPN 接続を確立するには、インターネット接続が必要です。 インターネットに接続する前に VPN 接続を試みると、通常は 60 秒という長い遅延が発生し、応答がなかったり、モデムやその他の通信デバイスに問題があるというエラー メッセージが表示される場合があります。

L2TP/IPSec 接続のトラブルシューティングを行うときは、L2TP/IPSec 接続がどのように進むかを理解すると便利です。 接続を開始すると、最初の L2TP パケットがサーバーに送信され、接続が要求されます。 このパケットにより、コンピューター上の IPSec レイヤーが VPN サーバーとネゴシエートして、IPSec で保護されたセッション (セキュリティ アソシエーション) が設定されます。 リンク速度を含む多くの要因によっては、IPSec ネゴシエーションに数秒から約 2 分かかる場合があります。 IPSec セキュリティ アソシエーション (SA) が確立されると、L2TP セッションが開始されます。 起動時に、名前とパスワードの入力を求めるメッセージが表示されます (接続が Windows Millennium Edition で自動的に接続するように設定されている場合を除きます)。VPN サーバーが自分の名前とパスワードを受け入れた場合、セッションの設定は完了します。

L2TP/IPSec 接続の一般的な構成エラーは、構成が正しくないか、証明書が見つからないか、事前共有キーが正しく構成されていないか見つからないかです。 IPSec レイヤーが VPN サーバーで暗号化されたセッションを確立できない場合は、サイレントに失敗します。 その結果、L2TP レイヤーには接続要求に対する応答が表示されません。 長い遅延 (通常は 60 秒) が発生し、サーバーからの応答がない、またはモデムまたは通信デバイスからの応答がないというエラー メッセージが表示される場合があります。 名前とパスワードの入力を求めるメッセージが表示される前にこのエラー メッセージが表示される場合、IPSec はセッションを確立しませんでした。 その場合は、証明書または事前共有キーの構成を調べるか、isakmp ログをネットワーク管理者に送信します。

IPSec セッションの成功を妨げる 2 つ目の一般的な問題は、ネットワーク アドレス変換 (NAT) を使用することです。 多くの小規模ネットワークでは、NAT 機能を備えたルーターを使用して、ネットワーク上のすべてのコンピューター間で 1 つのインターネット アドレスを共有しています。 元のバージョンの IPSec は、NAT のアドレス マッピングをパケット改ざんとして検出するため、NAT を経由する接続を削除します。 ホーム ネットワークでは NAT が頻繁に使用されます。 これは、クライアントと VPN ゲートウェイの両方が新しい IPSec NAT-Traversal (NAT-T) 標準をサポートしていない限り、L2TP/IPSec の使用をブロックします。 詳細については、「NAT Traversal」セクションを参照してください。

名前とパスワードの入力を求めるメッセージが表示された後に接続が失敗した場合、IPSec セッションが確立され、名前とパスワードに問題がある可能性があります。 他のサーバー設定も、L2TP 接続の成功を妨げている可能性があります。 この場合は、管理者に PPP ログを送信します。

NAT Traversal

Microsoft L2TP/IPSec VPN クライアントでの IPSec NAT-T のサポートにより、VPN サーバーで IPSec NAT-T もサポートしている場合、IPSec セッションは NAT を通過できます。 IPSec NAT-T は、Windows Server 2003 でサポートされています。 IPSec NAT-T は、Windows XP および Windows 2000 用の L2TP/IPSec NAT-T 更新プログラムを備えた Windows 2000 Server でもサポートされています。

サード パーティの VPN サーバーとゲートウェイについては、管理者または VPN ゲートウェイ ベンダーに問い合わせて、IPSec NAT-T がサポートされていることを確認してください。

詳細

構成ユーティリティには、IPSec ログを有効にするチェック ボックスも用意されています。 接続できず、ネットワーク管理者またはサポート担当者から接続ログの提供を求められた場合は、ここで IPSec ログを有効にすることができます。 これを行うと、C:\Program Files\Microsoft IPSec VPN フォルダーにログ (Isakmp.log) が作成されます。 接続を作成するときは、L2TP での PPP 処理のログ記録も有効にします。 そのためには、次を実行します。

  1. [ダイヤルアップ ネットワーク] フォルダーを右クリックし、[プロパティ] をクリックします。
  2. [ネットワーク] タブをクリックし、[この接続のログ ファイルを記録する] チェック ボックスをオンにします。

PPP ログ ファイルは、C:\Windows\Ppplog.txt です。 これは、C:\Program Files\Microsoft IPSec VPN フォルダーにあります。

詳細については、「Microsoft L2TP/IPSec 仮想プライベート ネットワーク クライアントの既定の暗号化設定」を参照してください。