NAT-T デバイスの背後にある L2TP/IPsec サーバーを構成する
この記事では、NAT-T デバイスの背後で L2TP/IPsec サーバーを構成する方法について説明します。
元の KB 番号: 926179
まとめ
重要
このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 したがって、次の手順を注意深く実行してください。 保護のために、レジストリを変更する前に、バックアップします。 その後、問題が起こった場合は、レジストリを復元できます。 レジストリのバックアップと復元方法の詳細は、「Windows のレジストリのバックアップおよび復元の方法」を参照してください。
既定では、Windows Vista および Windows Server 2008 では、NAT デバイスの背後にあるサーバーへのインターネット プロトコル セキュリティ (IPsec) ネットワーク アドレス変換 (NAT) トラバーサル (NAT-T) セキュリティ アソシエーションはサポートされていません。 仮想プライベート ネットワーク (VPN) サーバーが NAT デバイスの背後にある場合、Windows Vista または Windows Server 2008 ベースの VPN クライアント コンピューターは、VPN サーバーへのレイヤー 2 トンネリング プロトコル (L2TP)/IPsec 接続を確立できません。 このシナリオには、Windows Server 2008 と Windows Server 2003 を実行している VPN サーバーが含まれます。
NAT デバイスがネットワーク トラフィックを変換する方法により、次のシナリオで予期しない結果が発生する可能性があります。
- サーバーを NAT デバイスの背後に配置します。
- IPsec NAT-T 環境を使用します。
通信に IPsec を使用する必要がある場合は、インターネットから接続できるすべてのサーバーにパブリック IP アドレスを使用します。 サーバーを NAT デバイスの背後に配置し、IPsec NAT-T 環境を使用する必要がある場合は、VPN クライアント コンピューターと VPN サーバーのレジストリ値を変更して通信を有効にすることができます。
AssumeUDPEncapsulationContextOnSendRule レジストリ キーを設定する
AssumeUDPEncapsulationContextOnSendRule レジストリ値を作成して構成するには、次の手順に従います。
Windows Vista クライアント コンピューターに、Administrators グループのメンバーであるユーザーとしてログオンします。
Start>All Programs>Accessories>Run を選択し、「regedit」と入力して、OK を選択します。 ユーザー アカウント制御ダイアログ ボックスが画面に表示され、管理者トークンの昇格を求めるメッセージが表示された場合は、Continue を選択します。
次のレジストリ サブキーを見つけてクリックします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Note
AssumeUDPEncapsulationContextOnSendRule DWORD 値を Microsoft Windows XP Service Pack 2 (SP2) ベースの VPN クライアント コンピューターに適用することもできます。 これを行うには、
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
レジストリ サブキーを見つけて選択します。Edit メニューの New をポイントし、 DWORD (32 ビット) 値を選択します。
AssumeUDPEncapsulationContextOnSendRule を入力し、Enter キーを押します。
AssumeUDPEncapsulationContextOnSendRule を右クリックし、Modify を選択します。
[ Value Data ボックスに、次のいずれかの値を入力します。
0
既定値です。 0 に設定すると、Windows は NAT デバイスの背後にあるサーバーとのセキュリティ アソシエーションを確立できません。
1
1 に設定すると、Windows は NAT デバイスの背後にあるサーバーとのセキュリティ アソシエーションを確立できます。
2
2 に設定すると、サーバーと VPN クライアント コンピューター (Windows Vista または Windows Server 2008 ベース) の両方が NAT デバイスの背後にある場合、Windows はセキュリティ アソシエーションを確立できます。
OKを選択し、レジストリ エディターを終了します。
コンピューターを再起動します。