[IP セキュリティ モニター] スナップインを使用すると、IPsec 関連の統計情報や、このコンピューターや他のコンピューターに適用された IPsec ポリシーを表示および監視することができます。この情報は、IPsec のトラブルシューティングや、作成するポリシーのテストに役立ちます。IPsec ポリシーを変更するには、[IP セキュリティ ポリシー] スナップインを使用します。

[セキュリティが強化された Windows ファイアウォール] スナップインを使用してポリシーを作成する場合は、[IP セキュリティ モニター] スナップインを使用してそれらのルールを表示することはできません。[セキュリティが強化された Windows ファイアウォール] スナップインの監視項目を使用する必要があります。

  • [IP セキュリティ モニター] スナップインは、Windows XP 以降を実行しているコンピューターでのみ、IPSec を監視するために使用できます。Windows 2000 を実行しているコンピューターで IPSec を監視するには、ipsecmon コマンドを使用します。
  • [IP セキュリティ ポリシー] スナップインは、Windows Vista®、Windows Server® 2008、およびそれ以降のバージョンの Windows を実行しているコンピューターに適用できる IPsec ポリシーを作成するために使用できますが、このスナップインは、これらの新しいバージョンで利用できる新しいセキュリティ アルゴリズムや他の新機能を使用しません。新しいアルゴリズムを使用して IPsec ポリシーを作成するには、[セキュリティが強化された Windows ファイアウォール] スナップインを使用します。[セキュリティが強化された Windows ファイアウォール] スナップインでは、以前のバージョンの Windows に適用できるポリシーは作成されません。

タスクを監視する

[IP セキュリティ モニター] スナップインを使用して実行することができる最も一般的なタスクを、以下に簡潔に示します。

コンピューターを追加する

リモート コンピューター上の IPsec を監視するには、最初にそのコンピューターをスナップインに追加する必要があります。リモート コンピューターを追加して IPsec を監視するには、リモート コンピューターに対する管理者レベルのアクセス権を持っている必要があります。

[IP セキュリティ モニター] スナップインにコンピューターを追加するには

  1. コンソール ツリーで、[IP セキュリティ モニター] を右クリックし、[コンピューターの追加] をクリックします。

  2. [コンピューターの追加] ダイアログ ボックスで、[次のコンピューター] をクリックし、リモート コンピューターの名前を入力します。または、[参照] をクリックしてネットワーク上のコンピューターを探します。
  • 監視対象のコンピューターで IPsec サービスが起動されていない場合は、サービス停止中のマークが付いたサーバー アイコンが表示されます。そのコンピューター上の IPsec サービスを再起動した後に、IP セキュリティ モニターを更新するには、そのコンピューターを右クリックし、[再接続] をクリックします。
  • Windows Server 2003 以降を実行しているコンピューターでは、リモート コンピューターで EnableRemoteMgmt レジストリ キーを 1 に設定し、IPsec サービスを再起動する必要があります。そうしないと、スナップインから "IPsec サービスは実行されていません" というエラーが表示されます。このレジストリ キーは、HKEY_LOCAL_MACHINE \SYSTEM\\CurrentControlSet\Services\PolicyAgent にあります。

特定のフィルターを検索する

特定のフィルターに関する情報を検索する方法は 2 つあります。これらの情報は、たとえばトラブルシューティング時に役立つ場合があります。[特定のフィルター] ビューを並べ替えてフィルターを見つけるか、メイン モードまたはクイック モードのいずれかの [特定のフィルター] フォルダーにあるフィルターを検索することができます。

フィルターの一覧を参照してフィルターを見つけるには

  1. [メイン モード] フォルダーまたは [クイック モード] フォルダーのいずれかの [特定のフィルター] フォルダーで、参照するプロパティの列の見出しをクリックします。列の見出しをもう一度クリックすると、一覧は逆の順序で並べ替えられます。

  2. 一覧を参照してフィルターを見つけます。
検索によって特定のフィルターを見つけるには

  1. [メイン モード] フォルダーまたは [クイック モード] フォルダーのいずれかで、[特定のフィルター] フォルダーを右クリックし、[一致フィルターの検索] をクリックします。

  2. [一致フィルターの検索] ダイアログ ボックスで、検索する条件を選択し、[検索] をクリックします。

    [最適な一致のみを検索する] オプションを使用すると、条件に最も近いものが 1 つだけ検出されます。探していたフィルターが見つからない場合は、[すべての一致を検索する] オプションを使って検索し直してください。発信元および宛先で [任意] を選択しても、すべての発信元および宛先が検索されるわけではありません。このオプションは、[特定のフィルター] 一覧に表示される "任意" の発信元や宛先を検索するために使用されます。

起こりうる攻撃の兆候を調べる

[IP セキュリティ モニター] スナップインによって収集され、表示される統計情報は、このコンピューターや、スナップインに追加した他のコンピューターに対して起こりうる攻撃を調べる場合に役立つことがあります。この情報は、[メイン モード] フォルダーと [クイック モード] フォルダーの両方の [統計] フォルダーにあります。使用できる統計情報の詳細については、「メイン モードを監視する」または「クイック モードを監視する」を参照してください。

セキュリティ アソシエーションを表示する

セキュリティ アソシエーション (SA) は、ネゴシエートされたキー、セキュリティ プロトコル、およびセキュリティ パラメーター インデックス (SPI) の組み合わせです。これらのものによって、送信側から受信側への通信の保護に使われるセキュリティが定義されます。このコンピューターの SA を調べることで、このコンピューターに接続されているコンピューターを特定し、その接続で使用されているデータ整合性と暗号化の種類を始めとした情報を特定することができます。

この情報は、IPsec ポリシーのテストや、アクセスに関する問題のトラブルシューティングを行うときに利用できます。

その他の設定を変更する

スナップインで提供される情報を自動的に更新するかどうかを構成できます。情報を更新する頻度と、ビューに IP アドレスや DNS 名を含めるかどうかも構成できます。

自動更新を構成するには

  1. [IP セキュリティ モニター] フォルダーで、コンピューターのノードを右クリックし、[プロパティ] をクリックします。

  2. コンピューターの [プロパティ] ダイアログ ボックスで、[自動更新を有効にする] チェック ボックスをオンにします。

  3. スナップインで情報を更新する頻度を変更するには、希望する間隔を入力します。

    既定では、自動更新は 45 秒間隔で有効になっています。構成した自動更新の頻度が高すぎると、パフォーマンスの問題が生じることがあります。これは特に、スナップインから複数のコンピューターを監視しており、DNS 名の解決を有効にしている場合に当てはまります。
IP アドレスを DNS 名として表示するには

  1. [IP セキュリティ モニター] スナップインで、コンピューターのノードを右クリックし、[プロパティ] をクリックします。

  2. コンピューターの [プロパティ] ダイアログ ボックスで、[DNS 名の解決を有効にする] チェック ボックスをオンにして、[OK] をクリックします。

    • DNS 名の解決は、既定では有効になっていません。この設定が機能するのは、クイック モードの [特定のフィルター] ビューと、メイン モードとクイック モードの [セキュリティ アソシエーション] ビューの中だけです。
    • DNS 名の解決は、このビューで多くの項目を解決する必要がある場合にはパフォーマンスに影響することがあります。
    • IP アドレスから DNS 名を解決するには、DNS インフラストラクチャで、適切な逆引きドメインとポインター (PTR) リソース レコードが構成されている必要があります。PTR リソース レコードは、手動で構成するか DNS の動的更新によって構成することができます。IP アドレスからコンピューターの NetBIOS コンピューター名を解決するには、NetBIOS over TCP/IP がそのコンピューター上で有効になっている必要があります。

その他の参照情報

目次