NAT-T デバイスの背後に L2TP/IPsec サーバーを構成する

この記事では、NAT-T デバイスの背後にある L2TP/IPsec サーバーを構成する方法について説明します。

元の製品バージョン:   Windows 10 - すべてのエディション、Windows Server 2012 R2
元の KB 番号:   926179

概要

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」 を参照してください

既定では、Windows Vista と Windows Server 2008 は、NAT デバイスの背後にあるサーバーに対するインターネット プロトコル セキュリティ (IPsec) ネットワーク アドレス変換 (NAT) Traversal (NAT-T) セキュリティ関連付けをサポートしません。 仮想プライベート ネットワーク (VPN) サーバーが NAT デバイスの背後にある場合、Windows Vista または Windows Server 2008 ベースの VPN クライアント コンピューターは、VPN サーバーへのレイヤー 2 トンネリング プロトコル (L2TP)/IPsec 接続を確立できません。 このシナリオには、Windows Server 2008 および Windows Server 2003 を実行している VPN サーバーが含まれます。

NAT デバイスがネットワーク トラフィックを変換する方法が原因で、次のシナリオで予期しない結果が発生する可能性があります。

  • NAT デバイスの背後にサーバーを置く。
  • IPsec NAT-T 環境を使用します。

通信に IPsec を使用する必要がある場合は、インターネットから接続できるすべてのサーバーにパブリック IP アドレスを使用します。 NAT デバイスの背後にサーバーを置き、IPsec NAT-T 環境を使用する必要がある場合は、VPN クライアント コンピューターと VPN サーバーのレジストリ値を変更して通信を有効にできます。

Set AssumeUDPEncapsulationContextOnSendRule レジストリ キー

AssumeUDPEncapsulationContextOnSendRule レジストリ値を作成および構成するには、次の手順を実行します。

  1. Administrators グループのメンバーであるユーザーとして Windows Vista クライアント コンピューターにログオンします。

  2. [すべてのプログラム > アクセサリの実行 > の開始] > を選択し、「regedit」入力、[OK] を選択します。 [ユーザー アカウント制御] ダイアログ ボックスが画面に表示され、管理者トークンの昇格を求めるメッセージが表示される場合は、[続行] を 選択します

  3. 次のレジストリ サブキーを見つけてクリックします。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

    注意

    また 、AssumeUDPEncapsulationContextOnSendRule DWORD 値を Microsoft Windows XP Service Pack 2 (SP2)ベースの VPN クライアント コンピューターに適用することもできます。 これを行うには、レジストリ サブキーを HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec 見つけて選択します。

  4. [編集] メニューの [新規] をポイント、[DWORD (32 ビット) の値] を選択します

  5. 「AssumeUDPEncapsulationContextOnSendRule」 と入力し、Enter キーを押します。

  6. [AssumeUDPEncapsulationContextOnSendRule] を右クリックし、[変更] を 選択します

  7. [値 のデータ] ボックス に、次のいずれかの値を入力します。

    • 0

      既定値です。 0 に設定されている場合、Windows は NAT デバイスの背後にあるサーバーとのセキュリティ関連付けを確立できません。

    • 1

      1 に設定すると、Windows は NAT デバイスの背後にあるサーバーとのセキュリティ関連付けを確立できます。

    • 2

      2 に設定すると、サーバーと VPN クライアント コンピューター (Windows Vista または Windows Server 2008 ベース) の両方が NAT デバイスの背後にある場合、Windows はセキュリティ関連付けを確立できます。

  8. [OK] を 選択し、[レジストリ エディター] を終了します。

  9. コンピューターを再起動します。