メイン モードのインターネット キー交換 (IKE) ネゴシエーションでは、2 台のコンピューター間で、ISAKMP (Internet Security Association and Key Management Protocol) セキュリティ アソシエーション (SA) と呼ばれるセキュリティで保護されたチャネルが確立されます。ISAKMP SA は、ピア コンピューター間で次に行われるクイック モード ネゴシエーションと呼ばれるキー交換を保護するために使用されます。セキュリティで保護されたチャネルを確立するため、メイン モード ネゴシエーションでは、一連の暗号化保護スイートの特定、共有の共通キーを確立するためのキー生成情報の交換、およびコンピューターの ID の認証が行われます。
メイン モード SA を監視することで、このコンピューターに現在どのピアが接続されているか、SA がいつ作成されたか、SA を作成するためにどの保護スイートが使用されたかなどの情報が得られます。
汎用フィルター
汎用フィルターは、発信元アドレスまたは宛先アドレスのいずれかとして任意の IP アドレスのオプションを使用するように構成される IP フィルターです。IPsec では、フィルターを構成するときに、[このコンピューターの IP アドレス]、[DNS サーバー]、[DHCP サーバー]、[WINS サーバー]、[デフォルト ゲートウェイ] などのキーワードを使用できます。キーワードが使用されると、汎用フィルターは [IP セキュリティ モニター] スナップインにキーワードを表示します。特定のフィルターは、キーワードを IP アドレスに展開することによって派生します。
列の追加、削除、および並べ替えを行う
結果ペインでは、次の列について追加、削除、再配置、および並べ替えを行うことができます。
- [名前]。
- [発信元]。パケット発信元の IP アドレスです。
- [宛先]。パケットの宛先の IP アドレスです。
- [IKE ポリシー]。IPsec ポリシー スナップインを使って作成した IPsec ポリシーの名前ではなく、この汎用フィルターに関連付けられている IKE ポリシーの名前です。どの暗号化アルゴリズムのセットが使用されたかなどのポリシーの詳細は、[IKE ポリシー] 項目で表示できます。
- [認証方法]。フィルターで使用できるすべての認証方法を優先順位順に並べた一覧です。
- [接続の種類]。このフィルターが適用される接続の種類 (ローカル エリア ネットワーク (LAN)、リモート アクセスのいずれか、またはすべての種類のネットワーク接続) です。
特定のフィルター
特定のフィルターは、実際の接続の発信元または宛先コンピューターの IP アドレスを使用して汎用フィルターから拡張されます。たとえば、発信元アドレスとして [このコンピューターの IP アドレス] オプションを使用し、宛先アドレスとして [DHCP サーバー] オプションを使用したフィルターがある場合、このフィルターを使用して接続が作成されるときには、コンピューターの IP アドレスと、このコンピューターが使用する DHCP サーバーの IP アドレスを持つフィルターが自動的に作成されます。
注 | |
[IP セキュリティ モニター] スナップインでは、[クイック モード] フォルダーにある [特定のフィルター] フォルダーの IP アドレスを DNS 名に解決することもできますが、[メイン モード] フォルダーではできません。 |
列の追加、削除、および並べ替えを行う
結果ウィンドウでは、次の列について追加、削除、再配置、および並べ替えを行うことができます。
- [名前]。
- [発信元]。パケット発信元の IP アドレスです。
- [宛先]。パケットの宛先の IP アドレスです。
- [方向]。フィルターが受信と発信のどちらであるかを指定します。
- [IKE ポリシー]。IPsec ポリシー スナップインを使って作成した IPsec ポリシーの名前ではなく、IKE ポリシーの名前です。どの暗号化アルゴリズムのセットが使用されたかなどのポリシーの詳細は、[IKE ポリシー] 項目で表示できます。
- [認証方法]。フィルターで使用できるすべての認証方法を優先順位順に並べた一覧です。
- [重さ]。IPsec サービスがフィルターに与える優先順位です。重さはさまざまな要因から派生します。フィルターの重さの詳細については、
https://go.microsoft.com/fwlink/?LinkId=62212 (英語の可能性あり) を参照してください。
注 重さのプロパティは、Windows Vista®、Windows Server® 2008、またはそれ以降のバージョンの Windows を実行しているコンピューターでは常に 0 に設定されます。
IKE ポリシー
IKE ポリシーとは、メイン モードのキー交換で 2 台のピア コンピューターがネゴシエートすることができる整合性または暗号化の方法を指します。
統計情報
この表には、メイン モードの [統計情報] ビューから入手できる統計が表示されます。
注 | |
これらの統計情報の一部は、Windows Vista、Windows Server 2008、またはそれ以降のバージョンの Windows を実行しているコンピューターには適用されません。 |
IKE 統計 | 説明 |
---|---|
アクティブな取得 | 取得とは、IKE にタスクを実行させる IPsec ドライバーによる要求です。アクティブな取得の統計には、未解決の要求とキューに登録された要求 (ある場合) の数が含まれます。アクティブな取得の数は、通常は 1 です。大きな負荷の下では、処理のために IKE によってキューに登録された要求の数が加えられます。 |
アクティブな受信 | 処理のためにキューに登録された受信 IKE メッセージの数です。 |
取得エラー数 | 取得に失敗した回数です。 |
受信エラー数 | Windows ソケットの WSARecvFrom() 関数が、IKE メッセージの受信中に失敗した回数です。 |
送信エラー数 | Windows ソケットの WSASendTo() 関数が、IKE メッセージの送信中に失敗した回数です。 |
取得ヒープ サイズ | アクティブな取得を格納する取得ヒープ内のエントリの数です。この数は、大きな負荷の下では増加し、時間が経過して取得ヒープがクリアされるのに伴ってしだいに減少します。 |
受信ヒープ サイズ | 着信 IKE メッセージ用の IKE 受信バッファーのエントリの数です。 |
認証エラー | メイン モード ネゴシエーション中に発生した識別認証エラー (Kerberos、証明書、および事前共有キー) の総数です。セキュリティで保護された通信に問題が生じている場合は、通信を行ってみてこの統計を参照し、この数が増加しているかどうかを確認します。増加している場合は、認証設定について、一致していない認証方法、または認証方法の無効な構成 (たとえば、一致していない事前共有キーの使用) がないかどうかを確認します。 |
ネゴシエーション エラー | メイン モード ネゴシエーションまたはクイック モード ネゴシエーション中に発生したネゴシエーション エラーの総数です。セキュリティで保護された通信に問題が生じている場合は、通信を行ってみてこの統計を参照し、この数が増加しているかどうかを確認します。増加している場合は、認証およびセキュリティ メソッドの設定について、一致していない認証方法、認証方法の無効な構成 (たとえば、一致していない事前共有キーの使用)、あるいは一致していないセキュリティ メソッドまたは設定がないかどうかを確認します。 |
無効な Cookie 受信 | Cookie とは、受信 IKE メッセージに格納され、アクティブなメイン モードの状態を調べるために IKE が使用する値です。アクティブなメイン モードと一致しない受信 IKE メッセージの Cookie は無効です。 |
総取得 | IKE が IPsec ドライバーに送信した作業要求の総数です。 |
総 Get SPI | 一意のセキュリティ パラメーター インデックス (SPI) を取得するために IKE が IPsec ドライバーに送信した要求の総数です。 |
キーの追加数 | IKE が IPsec ドライバーに追加した送信クイック モード SA の数です。 |
キーの更新数 | IKE が IPsec ドライバーに追加した受信クイック モード SA の数です。 |
Get SPI エラー | 一意の SPI を取得するために IKE が IPsec ドライバーに送信した、要求の失敗数です。 |
キーの追加エラー | IKE が IPsec ドライバーに送信した、送信クイック モード SA 追加要求の失敗数です。 |
キーの更新エラー | IKE が IPsec ドライバーに送信した、受信クイック モード SA 追加要求の失敗数です。 |
ISADB 一覧サイズ | ネゴシエートされたメイン モード、進行中のメイン モード、およびエラーが発生した後に削除されていないメイン モードを含む、メイン モードの状態を表すエントリの数です。 |
接続一覧サイズ | クイック モードの状態を表すエントリの数です。 |
IKE メイン モード | メイン モード ネゴシエーション中に正常に作成された SA の総数です。 |
IKE クイック モード | クイック モード ネゴシエーション中に正常に作成された SA の総数です。通常は、各メイン モード SA に対して複数のクイック モード SA が作成されているため、この数は必ずしもメイン モードの数と一致しません。 |
ソフト アソシエーション | プレーンテキスト (ソフト SA とも呼ばれる) を使用したネゴシエーションの総数です。通常は、メイン モード ネゴシエーションの試行に応答しなかったコンピューターで作成されたアソシエーションの数を表します。これには、IPsec と互換性のないコンピューターと、IPsec と互換性があっても、この IPsec ピアとセキュリティのネゴシエーションを行う IPsec ポリシーを持っていないコンピューターの両方が含まれることがあります。ソフト SA は、メイン モード ネゴシエーションとクイック モード ネゴシエーションの結果として生じるものではありませんが、クイック モード SA として扱われます。 |
無効な受信パケット数 | ヘッダー フィールドが無効な IKE メッセージ、誤ったペイロード長、および応答側 Cookie の誤った値 (0 に設定する必要がある場合) を含む、無効な受信 IKE メッセージの数です。無効な IKE メッセージの原因となるのは、一般に、古い IKE メッセージの再送信、または IPsec ピア間での事前共有キーの不一致です。 |
注 | |
これらの統計情報の一部は、ネットワーク攻撃の試みを検出するために利用できます。 |
セキュリティ アソシエーション
このビューには、このコンピューターでアクティブな SA が表示されます。SA は、ネゴシエートされたキー、セキュリティ プロトコル、および SPI の組み合わせです。これらのものによって、送信側から受信側への通信の保護に使われるセキュリティを定義します。そのため、このコンピューターのセキュリティ アソシエーションを調べることで、このコンピューターに接続されているコンピューターを特定し、その接続で使用されているデータ整合性と暗号化の種類を始めとした情報を特定することができます。
この情報は、IPsec ポリシーのテストや、アクセスに関する問題のトラブルシューティングを行っているときに利用できます。
列の追加、削除、および並べ替えを行う
結果ウィンドウでは、次の列について追加、削除、再配置、および並べ替えを行うことができます。
- [自分]。ローカル コンピューターの IP アドレスです。
- [自分の ID]。ローカル コンピューターの DNS 名です。
- [ピア]。リモート コンピューター (ピア) の IP アドレスです。
- [ピアの ID]。リモート コンピューター (ピア) の DNS 名です。
- [認証]。SA の作成に使われる認証方法です。
- [暗号化]。クイック モードのキー交換用に SA によって使用される暗号化の方法です。
- [整合性]。クイック モードのキー交換用に SA によって使用されるデータ整合性の方法です。
- [Diffie-Hellman]。メイン モード SA の作成に使われる Diffie-Hellman グループです。