クイック モード (フェーズ 2 とも呼ばれます) の IKE ネゴシエーションでは、データを保護するために 2 台のコンピューター間にセキュリティで保護されたチャネルが確立されます。このフェーズには、IPsec サービスに代わってネゴシエートされるセキュリティ アソシエーション (SA) の確立が含まれるため、クイック モードの間に作成される SA は IPsec SA と呼ばれます。クイック モードの間、キー生成情報が更新され、必要に応じて新しいキーが生成されます。指定した IP トラフィックを保護する保護スイートも選択されます。保護スイートとは、定義済みの一連のデータ整合性またはデータ暗号化の設定です。クイック モードは、メイン モードの交換に依存しているため、完全な交換とは見なされません。
クイック モード SA を監視することで、このコンピューターに現在どのピアが接続されているか、SA を作成するためにどの保護スイートが使用されたかなどの情報を得られます。
汎用フィルター
汎用フィルターは、発信元アドレスまたは宛先アドレスのいずれかとして任意の IP アドレスのオプションを使用するように構成される IP フィルターです。IPsec では、フィルターを構成するときに、[このコンピューターの IP アドレス]、[DNS サーバー]、[DHCP サーバー]、[WINS サーバー]、[デフォルト ゲートウェイ] などのキーワードも使用できます。キーワードが使用されると、汎用フィルターは [IP セキュリティ モニター] スナップインにキーワードを表示します。特定のフィルターは、キーワードを IP アドレスに展開することによって汎用フィルターから派生します。
列の追加、削除、および並べ替えを行う
結果ペインでは、次の列について追加、削除、再配置、および並べ替えを行うことができます。
- [名前]。
- [発信元]。パケット発信元の IP アドレスです。
- [宛先]。パケットの宛先の IP アドレスです。
- [発信元ポート]。パケット発信元の TCP ポートまたは UDP ポートです。
- [宛先ポート]。パケットの宛先の TCP ポートまたは UDP ポートです。
- [発信元トンネル エンドポイント]。指定されていた場合、ローカル コンピューターに最も近いトンネル エンドポイントです。
- [宛先トンネル エンドポイント]。指定されていた場合、宛先コンピューターに最も近いトンネル エンドポイントです。
- [プロトコル]。フィルターで指定されているプロトコルです。
- [入力方向の操作]。受信トラフィックが許可されるか、ブロックされるか、またはセキュリティのネゴシエート操作を使用するかを示します。
- [出力方向の操作]。送信トラフィックが許可されるか、ブロックされるか、またはセキュリティのネゴシエート操作を使用するかを示します。
- [ネゴシエーション ポリシー]。クイック モード ネゴシエーション ポリシーの名前、または暗号化の設定です。
- [接続の種類]。このフィルターが適用される接続の種類 (ローカル エリア ネットワーク (LAN)、リモート アクセスのいずれか、またはすべての種類のネットワーク接続) です。
特定のフィルター
特定のフィルターは、実際の接続の発信元または宛先コンピューターの IP アドレスを使用して汎用フィルターから拡張されます。たとえば、発信元アドレスとして [このコンピューターの IP アドレス] オプションを使用し、宛先アドレスとして [DHCP サーバー] オプションを使用したフィルターがある場合、このフィルターを使用して接続が作成されるときには、コンピューターの IP アドレスと、このコンピューターが使用する DHCP サーバーの IP アドレスを持つフィルターが自動的に作成されます。
列の追加、削除、および並べ替えを行う
結果ウィンドウでは、次の列について追加、削除、再配置、および並べ替えを行うことができます。
- [名前]。
- [発信元]。パケット発信元の IP アドレスです。
- [宛先]。パケットの宛先の IP アドレスです。
- [発信元ポート]。パケット発信元の TCP ポートまたは UDP ポートです。
- [宛先ポート]。パケットの宛先の TCP ポートまたは UDP ポートです。
- [発信元トンネル エンドポイント]。指定されていた場合、ローカル コンピューターに最も近いトンネル エンドポイントです。
- [宛先トンネル エンドポイント]。指定されていた場合、宛先コンピューターに最も近いトンネル エンドポイントです。
- [プロトコル]。フィルターで指定されているプロトコルです。
- [入力方向の操作]。受信トラフィックが許可されるか、ブロックされるか、またはセキュリティのネゴシエート操作を使用するかを示します。
- [出力方向の操作]。送信トラフィックが許可されるか、ブロックされるか、またはセキュリティのネゴシエート操作を使用するかを示します。
- [ネゴシエーション ポリシー]。クイック モード ネゴシエーション ポリシーの名前、または暗号化の設定です。
- [重さ]。IPsec サービスがフィルターに与える優先順位です。重さはさまざまな要因から派生します。フィルターの重さの詳細については、
https://go.microsoft.com/fwlink/?LinkId=62212 (英語の可能性あり) を参照してください。
注 重さのプロパティは、Windows Vista®、Windows Server® 2008、またはそれ以降のバージョンの Windows を実行しているコンピューターでは常に 0 に設定されます。
ネゴシエーション ポリシー
ネゴシエーション ポリシーとは、セキュリティ メソッドの優先順位です。これは、2 台のピア コンピューターが、クイック モード ネゴシエーション中に相互に通信を行う際に使用することに合意したポリシーです。
統計情報
この表には、クイック モードの [統計情報] ビューから入手できる統計が表示されます。
| IPSec 統計 | 説明 |
|---|---|
アクティブなセキュリティ アソシエーション | アクティブな IPsec SA の数です。 |
オフロードされたセキュリティ アソシエーション | ハードウェアにオフロードされたアクティブな IPsec SA の数です。 |
保留中のキー操作 | 進行中の IPsec キー操作の数です。 |
キーの追加数 | 成功した IPsec SA ネゴシエーションの総数です。 |
キーの削除数 | IPsec SA のキーの削除数です。 |
更新されたキー数 | IPsec SA のキー更新操作の数です。 |
アクティブなトンネル数 | アクティブな IPsec トンネルの数です。 |
不良な SPI パケット数 | セキュリティ パラメーター インデックス (SPI) が正しくないパケットの総数です。SPI は SA と着信パケットを一致させるために使用します。SPI が正しくない場合は、着信 SA の有効期間が切れていて、古い SPI を使用しているパケットを最近受信した可能性があります。キー更新間隔が短く、多数の SA がある場合は、この数は増加する傾向があります。SA は通常の条件の下で有効期間が切れるため、不良な SPI パケットは必ずしも IPsec の失敗を示すものではありません。 |
暗号化を解除しなかったパケット数 | 暗号化の解除に失敗したパケットの総数です。このエラーは、有効期限が切れた SA にパケットが着信したことを示している可能性があります。SA の有効期限が切れている場合は、そのパケットの暗号化を解除するために使用するセッション キーも削除されます。これは必ずしも IPsec の失敗を示すものではありません。 |
認証されなかったパケット数 | データを検証できなかったパケットの総数です。ほとんどの場合、このエラーの原因は有効期限が切れている SA です。 |
リプレイ検出パケット数 | 有効なシーケンス番号フィールドを含んだパケットの総数です。 |
機密の送信バイト数 | ESP プロトコルを使用して送信したバイトの総数です。 |
機密の受信バイト数 | ESP プロトコルを使用して受信したバイトの総数です。 |
認証された送信バイト数 | AH プロトコルを使用して送信したバイトの総数です。 |
認証された受信バイト数 | AH プロトコルを使用して受信したバイトの総数です。 |
転送送信バイト数 | IPsec トランスポート モードを使用して送信したバイトの総数です。 |
転送受信バイト数 | IPsec トランスポート モードを使用して受信したバイトの総数です。 |
トンネル送信バイト数 | IPsec トンネル モードを使用して送信したバイトの総数です。 |
トンネル受信バイト数 | IPsec トンネル モードを使用して受信したバイトの総数です。 |
オフロードされた送信バイト数 | ハードウェア オフロードを使用して送信されたバイトの総数です。 |
オフロードされた受信バイト数 | ハードウェア オフロードを使用して受信したバイトの総数です。 |
| 注 |
これらの統計情報の一部は、ネットワーク攻撃の試みを検出するために利用できます。 |
セキュリティ アソシエーション
このビューには、このコンピューターでアクティブな SA が表示されます。SA は、ネゴシエートされたキー、セキュリティ プロトコル、および SPI の組み合わせです。これらのものによって、送信側から受信側への通信の保護に使われるセキュリティを定義します。そのため、このコンピューターのセキュリティ アソシエーションを調べることで、このコンピューターに接続されているコンピューターを特定し、その接続で使用されているデータ整合性と暗号化の種類を始めとした情報を特定することができます。
この情報は、IPsec ポリシーのテストや、アクセスに関する問題のトラブルシューティングを行っているときに利用できます。
列の追加、削除、および並べ替えを行う
結果ウィンドウでは、次の列について追加、削除、再配置、および並べ替えを行うことができます。
- [自分]。ローカル コンピューターの IP アドレスです。
- [ピア]。リモート コンピューターの IP アドレスです。
- [プロトコル]。フィルターで指定されているプロトコルです。
- [自分のポート]。フィルターで指定されたローカル コンピューターの TCP ポートまたは UDP ポートです。
- [ピアのポート]。フィルターで指定されたリモート コンピューターの TCP ポートまたは UDP ポートです。
- [ネゴシエーション ポリシー]。クイック モード ネゴシエーション ポリシーの名前、または暗号化の設定です。
- [AH 整合性]。ピア通信に使われる AH プロトコル固有のデータ整合性の方法です。
- [ESP 機密性]。ピア通信に使われる ESP プロトコル固有の暗号化の方法です。
- [ESP 整合性]。ピア通信に使われる ESP プロトコル固有のデータ整合性の方法です。
- [トンネル エンドポイント (自分)]。指定されていた場合、ローカル コンピューターに最も近いトンネル エンドポイントです。
- [トンネル エンドポイント (ピア)]。指定されていた場合、リモート コンピューターに最も近いトンネル エンドポイントです。