Windows Server 2008 と Windows Vista の新しいネットワーク機能

公開日: 2007年5月11日 | 最終更新日: 2007年5月18日

Bb726965.note(ja-jp,TechNet.10).gif 注 :

この資料で説明する機能は変更されることがあります。マーケティング上または技術上などの理由から、一部の機能が最終製品に含まれないことがあります。

トピック

概要
はじめに
プロトコルと主要なネットワーク コンポーネント
ワイヤレス接続と 802.1X ベースのワイヤード (有線) 接続
ネットワーク インフラストラクチャ
廃止されたテクノロジ
まとめ
関連リンク

概要

Microsoft® Windows Server 2008 (現在、ベータ テスト中) と Windows Vista™ では、ネットワーク テクノロジに多くの変更と機能強化が行われています。この資料では、Windows Server 2008 ベータ 3 リリースと Windows Vista で、プロトコルと主要なネットワーク コンポーネント、ワイヤレス テクノロジと 802.1X 認定のワイヤード (有線) テクノロジ、およびネットワーク インフラストラクチャ コンポーネントとサービスに対して行われた変更について説明します。

はじめに

組織が世界市場での競争という困難に立ち向かうためにはネットワークと通信は必要不可欠です。従業員は、どこからでも、どのデバイスを使用していても、ネットワークに接続できる必要があります。パートナーやベンダなど、ネットワーク外にいるユーザーが、主要なリソースに効率的にアクセスできる必要があるため、セキュリティの重要性がますます高まっています。

この資料では、Windows Server 2008 と Windows Vista で、接続性、使いやすさ、管理、信頼性、およびセキュリティに対応するために強化されたネットワークと通信機能の概要を提供します。Windows Server 2008 と Windows Vista を使用すると、IT 管理者は、ネットワーク インフラストラクチャを管理したり、コンピュータからシステムの状態を提供するように要請することでネットワークを保護したり、グループ ポリシーやスクリプトを使用して認定されたワイヤレス接続とワイヤード (有線) 接続の設定を展開したり、セキュリティで保護されたトラフィックのシナリオを展開したりするときに、さらに優れた柔軟性のあるオプションを利用できます。

プロトコルと主要なネットワーク コンポーネント

Windows Server 2008 と Windows Vista では、次のプロトコルとネットワーク コンポーネントに多くの変更や機能強化が行われました。

  • 次世代の TCP/IP スタック

  • Quality of Service

  • サーバー メッセージ ブロック (SMB) 2.0

  • Http.sys の機能強化

  • WinINet の機能強化

  • Windows Sockets の機能強化

  • Network Device Interface Specification (NDIS) 6.0

  • ネットワーク認識

  • Windows ピア ツー ピア ネットワークの機能強化

  • Windows ファイアウォールの機能強化

  • インターネット プロトコル セキュリティ (IPsec) の機能強化

次世代の TCP/IP スタック

Windows Server 2008 と Windows Vista には、次世代の TCP/IP スタックとして知られている TCP/IP プロトコル スタックの新しい実装が含まれています。次世代の TCP/IP スタックでは、現在のさまざまなネットワーク環境やテクノロジの接続性とパフォーマンスに関するニーズを満たすように、インターネット プロトコル バージョン 4 (IPv4) とインターネット プロトコル バージョン 6 (IPv6) の両方について TCP/IP の機能のデザインが完全に見直されました。

次世代の TCP/IP スタックに関するリソースの完全な一覧については、「Next Generation TCP/IP Stack」(英語) を参照してください。

ウィンドウ自動チューニング レベルの受信

TCP 受信ウィンドウ サイズは、確認を待たずに TCP 送信側から TCP 受信側に送信できるデータ量です。次世代の TCP/IP スタックでは、現在のネットワークの状況に応じて、接続で許容できる受信ウィンドウ サイズの最大値を適切に判断するために、ウィンドウ自動チューニング レベルの受信という機能がサポートされています。ウィンドウ自動チューニング レベルの受信では、継続的に、各接続に最適な受信ウィンドウ サイズとアプリケーションでのデータの取得速度を判断し、受信ウィンドウ サイズの最大値を自動的に調整します。

TCP の各ピア間のスループットの向上により、データ転送中に使用しているネットワーク帯域幅が増加します。すべてのアプリケーションが TCP データを受信するように最適化されると、ネットワーク全体の稼働率が大幅に向上し、処理能力の限界点にあるか、またはそれに近い状態のネットワークにおいて Quality of Service (QoS) を使用することが、より重要になります。詳細については、以下の「Quality of Service」を参照してください。

ウィンドウ自動チューニング レベルの受信の詳細については、「次世代の TCP/IP スタックのパフォーマンスの拡張機能」と「TCP 受信ウィンドウ自動チューニング」を参照してください。

複合 TCP

TCP 接続の受信ウィンドウ サイズが大きく、かつ遅延帯域幅積 (接続の帯域幅に遅延時間を乗じた値) が大きい場合、次世代の TCP/IP スタックの複合 TCP (CTCP) により、遅延帯域幅積、遅延時間の変化、パケットの損失数が監視され、同時に送信されるデータ量が積極的に増加されます。また、CTCP では、その動作が、他の TCP 接続にマイナスの影響が及ばないことが保証されます。マイクロソフトの社内で行ったテストでは、大規模なファイルのバックアップにかかる時間が、1 ギガビット/秒 (ラウンドトリップ 50 ミリ秒) の接続で約半分に短縮されました。遅延帯域幅積の大きい接続では、これよりも大きなパフォーマンスの向上が期待できます。

ウィンドウ自動チューニング レベルの受信では受信側のスループットを最適化し、CTCP では送信側のスループットを最適化します。これらは連携して、リンクの稼働率を向上し、遅延帯域幅積の大きい接続で大幅なパフォーマンスの向上を実現します。

Windows Server 2008 のベータ版を実行しているコンピュータでは CTCP は既定で有効になりますが、Windows Vista を実行しているコンピュータでは既定で無効になります。CTCP を有効にするには、netsh interface tcp set global congestionprovider=ctcp コマンドを使用し、無効にするには、netsh interface tcp set global congestionprovider=none コマンドを使用します。

ECN のサポート

TCP セグメントが失われると、TCP では、ルーターでの輻輳が原因でセグメントが失われたと判断されて輻輳制御が実行されるため、TCP セグメント送信側の転送速度が大幅に低下します。ルーティング インフラストラクチャに含まれる TCP ピアとルーターの両方で Explicit Congestion Notification (ECN) がサポートされること (RFC 3168) により、輻輳が発生しているルーターでは、パケットを転送する際にパケットにマークを設定します。マークされたパケットを受信した TCP ピアでは、輻輳状態を改善して、セグメントが失われることを防ぐために、転送速度が下がります。パケットが失われる前に輻輳状態を検出すると、TCP ピア間の全体的なスループットが向上します。Windows Server 2008 のベータ版と Windows Vista では ECN がサポートされていますが、既定では無効になっています。ECN のサポートは、netsh interface tcp set global ecncapability=enabled コマンドを使用して有効にできます。

詳細については、「TCP/IP の輻輳 (ふくそう) 情報通知機能」を参照してください。

損失の多い環境のための機能強化

次世代の TCP/IP スタックでは、損失の多い環境のスループットを最適化するために、次の RFC をサポートしています。

  • RFC 2582: The NewReno Modification to TCP's Fast Recovery Algorithm (TCP の高速リカバリ アルゴリズムに対する NewReno の変更)

    NewReno アルゴリズムは、データのウィンドウ内で複数のセグメントが失われ、送信者が部分的な受信確認 (データの一部だけが正常に受信されたことを示す確認) を受信したときに、送信者が送信速度を増加できる方法を変更することで、より高速なスループットを実現します。

  • RFC 2883: An Extension to the Selective Acknowledgement (SACK) Option for TCP (TCP の Selective Acknowledgement (SACK) オプションへの拡張)

    SACK は RFC 2018 で定義されていますが、これにより、受信者は受信されたデータの非連続なブロックを 4 つまで示すことができます。RFC 2883 は、重複するパケットを通知するための SACK TCP オプションのフィールドの追加の使用を定義します。これにより、SACK オプションを含む TCP セグメントの受信者は、不必要にセグメントを再送信した場合には、そのことを特定して、その後の再送信を防ぐために動作を調整できます。重複するパッケージの再送信が少ないほど、全体のスループットはよくなります。

  • RFC 3517: A Conservative Selective Acknowledgment (SACK)-based Loss Recovery Algorithm for TCP (TCP の Conservative Selective Acknowledgment (SACK) ベースの損失回復アルゴリズム)

    Windows Server 2003 と Windows® XP の TCP/IP の実装では、SACK 情報をどの TCP セグメントが宛先に到着していないかを確認するためのみに使用します。重複する受信確認を受信したときに、接続で SACK が有効になっている場合 Fast Recovery アルゴリズムの代わりに、SACK 情報を使用して損失回復を実行する方法を定義しています。次世代の TCP/IP スタックでは、接続ごとに SACK 情報を追跡し、受信した受信確認と重複する受信確認を監視して、複数のセグメントが宛先で受信されていない場合に、その状態から迅速に回復できるようにしています。

  • RFC 4138: Forward RTO-Recovery (F-RTO): An Algorithm for Detecting Spurious Retransmission Timeouts with TCP and the Stream Control Transmission Protocol (SCTP) (TCP および Stream Control Transmission Protocol (SCTP) で誤った再伝送を検出するためのアルゴリズム)

    RTT (往復にかかった時間) が一時的に突然増加した場合、TCP セグメントの誤った再伝送が起こる可能性があります。F-RTO アルゴリズムは TCP セグメントの誤った再伝送を防ぎます。ワイヤレス クライアントがあるワイヤレス AP から別の AP に移動する場合など、RTT に一時的な突然の増加が見られた環境について、F-RTO アルゴリズムはセグメントの不必要な再伝送を防ぎ、送信速度をすばやく通常の速度に戻します。

これらの機能強化の詳細については、「次世代の TCP/IP スタックのパフォーマンスの拡張機能」を参照してください。

IPv4 の近隣到達不能検出

近隣到達不能検出は IPv6 の機能で、ノードが近隣ノードに到達できるかどうかを追跡し、近隣ノードが突然使用できなくなった場合に適切なエラー検出と復旧の機能を提供します。次世代の TCP/IP スタックでは、アドレス解決プロトコル (ARP) キャッシュ内の IPv4 の近隣ノードが到達可能であるかどうかの状態を追跡することで、IPv4 トラフィックについても近隣到達不能検出をサポートします。IPv4 の近隣到達不能検出では、ARP 要求メッセージと ARP 応答メッセージのやり取り、または TCP などの上位層のプロトコルに基づいて近隣のノードが到達可能であるかどうかを判断します。IPv4 の近隣到達不能検出を使用すると、IPv4 ベースの通信では、ルーターなどの近隣ノードに到達できなくなったことを判断できるというメリットがあります。

IPv4 の近隣到達不能検出の詳細については、「次世代の TCP/IP スタックのパフォーマンスの拡張機能」を参照してください。

デフォルト ゲートウェイの変更に関するフェールバックのサポート

Windows Server 2003 と Windows XP で提供されている停止しているゲートウェイの検出機能では、フェールオーバー機能はサポートされていますが、停止しているゲートウェイが利用可能になったかどうかを確認するために再試行するフェールバック機能はサポートされていません。次世代の TCP/IP スタックでは、以前に停止していることを検出したゲートウェイ経由で TCP トラフィックの送信を定期的に試行することで、デフォルト ゲートウェイの変更に関するフェールバック機能を提供します。停止していた以前のデフォルト ゲートウェイ経由で TCP トラフィックが送信された場合は、既定のゲートウェイを以前のデフォルト ゲートウェイに切り替えます。プライマリ デフォルト ゲートウェイへのフェールバックのサポートにより、サブネット上のプライマリ デフォルト ゲートウェイ経由でトラフィックを送信できるようになり、高速なスループットを実現できます。

PMTU ブラック ホール ルーター検出機能の変更

パスの最大転送単位 (PMTU) は RFC 1191 で定義されていますが、これは、ルーターから送信され、次のリンクの MTU を含むインターネット制御メッセージプロトコル (ICMP) の “Destination Unreachable - Fragmentation Needed and Don’t Fragment (DF) Set” メッセージの受信に依存しています。ただし、断片化できないパケットが中間ルーターで自動的に破棄されることがあります。このようなルーターを PMTU ブラック ホール ルーターと呼びます。また、中間ルーターでは、構成されているパケット フィルタの規則に基づいて、ICMP メッセージが削除されることがあります。中間ルーターが大きな TCP セグメント、そのようなセグメントの再送信、および PMTU 検出に関する ICMP エラー メッセージを自動的に破棄するため、TCP 接続がタイムアウトして切断されることがあります。

PMTU ブラック ホール ルーターの検出では、ICMP の "Destination Unreachable - Fragmentation Needed and Don’t Fragment (DF) Set" メッセージの受信に依存せず、大きな TCP セグメントが再送信されたことを検出して、その接続の PMTU を自動調整します。Windows Server 2003 と Windows XP の TCP/IP では、PMTU ブラック ホール ルーターの検出機能を有効にすると、擬陽性の結果を返して、不必要に MTU を低くしてパフォーマンスが低下することがあるため、既定で無効になっています。

次世代の TCP/IP スタックでは、ICMP トラフィックを削除するパケット フィルタの規則を使用するルーターの増加に伴い、既定で PMTU ブラック ホール ルーターの検出を有効にして TCP 接続が終了するのを防ぎ、強化された PMTU ブラック ホール ルーターの検出機能を使用します。PMTU ブラック ホール ルーターの検出機能は、TCP 接続で DF フラグが設定された原寸大のセグメントの再送信が開始されたときにトリガされます。TCP では、接続の PMTU を 536 バイトにリセットし、DF フラグをクリアしてセグメントを再送信します。これにより TCP の接続は維持されますが、その接続では、PMTU のサイズが実際のサイズよりも若干小さくなる可能性があります。

この動作は IPv6 トラフィックにも適用されます。IPv6 では、PMTU ブラック ホール ルータが検出されると、PMTU は 1,220 バイトに設定されます。

ネットワーク診断フレームワークのサポート

ネットワーク診断フレームワークは、ユーザーがネットワーク接続の問題を復旧したり、問題のトラブルシューティングを行う場合に役立つ拡張可能なアーキテクチャです。TCP/IP ベースの通信では、問題の根本的な原因が解決されるか、または問題の原因と考えられるものがすべて排除されるまで、ネットワーク診断フレームワークにより、ユーザーには、考えられる原因を排除するための一連のオプションが提供されます。ネットワーク診断フレームワークで診断できる TCP/IP に関連する具体的な問題は次のとおりです。

  • 正しくない IP アドレス

  • デフォルト ゲートウェイ (ルーター) が利用できない

  • 正しくないデフォルト ゲートウェイ

  • NetBIOS over TCP/IP (NetBT) 名前解決エラー

  • 正しくないドメイン ネーム システム (DNS) の設定

  • ローカル ポートが既に使用されている

  • DHCP Client サービスが実行されていない

  • リモート リスナがない

  • メディアが切断されている

  • ローカル ポートがブロックされている

  • メモリが不足している

詳細については、「Windows Vista のネットワーク診断フレームワーク」と「Network Diagnostics Technologies in Windows Vista」(英語) を参照してください。

ESTATS のサポート

次世代の TCP/IP スタックでは、インターネット ドラフト (draft-ietf-tsvwg-tcp-mib-extension-15.txt) の「TCP Extended Statistics MIB」をサポートします。このドラフトでは、TCP の拡張パフォーマンス統計が定義されています。接続の ESTATS を分析すれば、送信側アプリケーション、受信側アプリケーション、ネットワークのいずれに接続のパフォーマンス ボトルネックがあるかを判断できます。ESTATS は既定では無効で、接続ごとに有効にできます。ESTATS を使用すると、サードパーティの独立系ソフトウェア ベンダ (ISV) では、強力な診断アプリケーションやネットワーク スループットを分析するアプリケーションを作成できます。Windows Vista SDK に収録されている Tcpanalyzer.exe は ESTATS ベースの診断ツールです。

Windows Filtering Platform を使用する新しいパケット フィルタ モデル

Windows Filtering Platform (WFP) は、次世代の TCP/IP スタックで導入された新しいアーキテクチャで、サードパーティの ISV が TCP/IP プロトコル スタックの複数のレイヤおよびオペレーティング システム全体で行うフィルタリングの決定に参加できる API を提供します。WFP では、アプリケーションで使用されている Windows Sockets API (アプリケーション ベースのポリシー) に基づいて、認証された通信や動的なファイアウォールの構成などの次世代のファイアウォール機能を統合し、サポートを提供しています。ISV では、ファイアウォール、ウイルス対策ソフトウェア、診断ソフトウェアなど、さまざまな種類のアプリケーションとサービスを作成できます。Windows Server 2008 と Windows Vista の Windows ファイアウォールと IPsec では WFP API を使用しています。

詳細については、「Windows Filtering Platform」(英語) を参照してください。

IPv6 の機能強化

次世代の TCP/IP スタックでは、次の IPv6 の機能強化をサポートしています。

  • デュアル IP スタック

    次世代の TCP/IP スタックでは、デュアル IP レイヤ アーキテクチャがサポートされます。このアーキテクチャでは、IPv4 と IPv6 の実装で共通のトランスポート層 (TCP と UDP を含む) とフレーミング レイヤを共有しています。次世代の TCP/IP スタックでは、IPv4 と IPv6 の両方が既定で有効になっています。IPv6 をサポートするために個別コンポーネントをインストールする必要はありません。

  • 既定で IPv6 が有効

    Windows Server 2008 と Windows Vista では、IPv6 は既定でインストールされ、有効になります。IPv6 の設定は、ネットワーク接続フォルダにある "インターネット プロトコル バージョン 6 (TCP/IPv6)"のプロパティ、または netsh interface ipv6 コンテキストのコマンドを使用して構成できます。

    Windows Server 2008 と Windows Vista では IPv6 のアンインストールはできませんが、無効にすることはできます。詳細については、「Windows Vista で IPv6 を構成する」を参照してください。

  • GUI ベースの構成

    Windows Server 2008 と Windows Vista では、IPv4 の設定を手動で構成できるのと同じように、ネットワーク接続フォルダから一連のダイアログ ボックスを使用して IPv6 の設定を手動で構成できます。

    詳細については、「Windows Vista で IPv6 を構成する」を参照してください。

  • Teredo の機能強化

    Windows Server 2008 と Windows Vista では、Teredo クライアントは既定で有効になっていますが、Active Directory® ディレクトリ サービス ドメインのメンバではないコンピュータではアクティブにはなっていません。Teredo クライアントをアクティブにするには、Teredo を使用する必要があるアプリケーションをインストールするか、またはファイアウォールの設定を変更してアプリケーションで Teredo を使用することを許可する必要があります。

    Windows Server 2008 と Windows Vista の Teredo クライアントでは、IANA で割り当てられている 2001::/32 プレフィックスを使用し、Teredo アドレスの Flags フィールドの未使用のビットを使用して、Teredo アドレスのアドレス スキャンを回避しています。詳細については、「Teredo の概要」を参照してください。

    Teredo はドメイン メンバ コンピュータで有効になり、1 つ以上の対称型ネットワーク アドレス変換器 (NAT) の後方に 1 つの Teredo クライアントが存在していても機能するようになりました。対称型 NAT は、(発信トラフィックの) 宛先外部アドレスによっては、異なる外部 (パブリック) アドレスとポート番号に、同じ内部 (プライベート) アドレスとポート番号をマップします。この動作の変更により、Teredo はインターネットに接続している大規模なホスト間でも機能するようになりました。

    IPv6 と Teredo の詳細については、「IPv6 と Teredo を使用する」を参照してください。

  • 統合された IPsec のサポート

    Windows Server 2008 と Windows Vista では、IPv6 トラフィックの IPsec サポートは、インターネット キー交換 (IKE) やデータ暗号化のサポートを含めて、IPv4 の場合と同じです。セキュリティが強化された Windows ファイアウォールと IP セキュリティ ポリシー スナップインでは、IPv4 トラフィックと同様に、IPv6 トラフィックの IPsec ポリシーの構成がサポートされます。たとえば、IP セキュリティ ポリシー スナップインの IP フィルタ一覧で 1 つの IP フィルタを構成する場合、具体的なソース IP アドレスや宛先 IP アドレスを指定するときに IPv6 のアドレスやアドレス プレフィックスを指定できるようになりました。

    詳細については、「Windows Vista および Windows Server 2008 の新しい Windows ファイアウォール」を参照してください。

  • MLDv2

    IETF RFC 3810 で指定されているマルチキャスト リスナ探索バージョン 2 (MLDv2) は、ソース固有のマルチキャスト トラフィックのサポートを提供します。MLDv2 は、IPv4 のインターネット グループ管理プロトコル バージョン 3 (IGMPv3) に相当します。

  • LLMNR

    Link-Local Multicast Name Resolution (LLMNR) では、DNS サーバーを使用しない 1 つのサブネット上の各 IPv6 ホストと IPv4 ホストが相互に名前を解決できます。この機能は、単一サブネットのホーム ネットワークやアドホック ワイヤレス ネットワークを使用する場合に便利です。詳細については、「Link-Local Multicast Name Resolution」を参照してください。

  • ipv6-literal.net 名のサポート

    Windows Server 2008 と Windows Vista では、IPv6Address.ivp6-literal.net 名の使用がサポートされるようになりました。IPv6Address.ivp6-literal.net 名は、IPv6Address に解決されます。たとえば、2001:db8:28:3:f98a:5b31:67b7:67ef.ivp6-literal.net という名前は 2001:db8:28:3:f98a:5b31:67b7:67ef に解決されます。ipv6-literal.net 名は、通常の IPv6 アドレスの構文に対応していないサービスやアプリケーションで使用できます。

    汎用名前付け規則 (UNC) パスを構成するコンピュータ名に ipv6-literal.net 名を使用するには、アドレスに含まれるコロン (:) をダッシュ (-) に変換します。たとえば、2001:db8:28:3:f98a:5b31:67b7:67ef という IPv6 アドレスを使用しているコンピュータの Docs 共有フォルダを指定するには、\\2001-db8-28-3-f98a-5b31-67b7-67ef.ipv6-literal.net\docs という UNC パスを使用します。

  • IPv6 over PPP

    組み込みのリモート アクセス クライアントおよびルーティングとリモート アクセス サービスでは、RFC 2472 で定義されているように IPv6 制御プロトコル (IPV6CP) がサポートされ、Point-to-Point プロトコル (PPP) リンクで IPv6 ノードを構成できるようになりました。ネイティブ IPv6 トラフィックを、PPP ベースの接続経由で送信できるようになります。たとえば、IPV6CP サポートを使用して、ダイヤルアップ接続経由またはブロードバンド インターネット アクセスに使用できる PPP over Ethernet (PPPoE) ベースの接続経由で、IPv6 ベースのインターネット サービス プロバイダ (ISP) に接続できます。

    IPv6 over PPP の詳細については、「IPv6 over Point-to-Point Protocol Links」を参照してください。

  • IPv6 アドレスのランダム インターフェイス ID

    Windows Server 2008 と Windows Vista では、ネットワーク アダプタの製造元企業の既知の ID に基づく IPv6 アドレスのアドレス スキャンが行われないように、自動構成される永続的な IPv6 アドレス (パブリック アドレスとリンク ローカル アドレスを含む) 用にランダムなインターフェイス ID を既定で生成します。Windows XP と Windows Server 2003 では、自動構成された IPv6 アドレスに Extended Unique Identifier (EUI) 64 ベースのインターフェイス ID が使用されます。

  • DHCPv6 のサポート

    Windows Server 2008 と Windows Vista には DHCPv6 に対応した DHCP クライアントが同梱されています。このクライアントは、DHCPv6 サーバーに対してステートフルなアドレスの自動構成を行います。Windows Server 2008 には DHCPv6 に対応した DHCP サーバーが同梱されています。

    DHCPv6 の詳細については、「DHCPv6 プロトコル」を参照してください。

Windows Server 2008 と Windows Vista で IPv6 に加えられた変更の詳細については、「Windows Vista および Windows Server 2008 の IPv6 への変更」を参照してください。

TCP Chimney オフロード

TCP 接続の管理には、次のような多くの作業が伴います。

  • TCP ヘッダー フィールドの解析 (TCP チェックサムの評価、シーケンスや受信確認の数、TCP フラグ、およびソース ポートや宛先ポートの処理)

  • 受信したデータに関する受信確認の作成と送信

  • 送信したデータのセグメント化

  • 受信ウィンドウ、送信ウィンドウ、およびアプリケーションのメモリ ロケーション間でのデータのコピー

  • TCP 再送信動作のタイマの管理

この処理を専用のハードウェアにオフロードすることで、サーバー コンピュータの CPU を他のタスクに使用できるようになります。Windows Server 2008 と Windows Vista の TCP Chimney オフロードは、TCP オフロード エンジン (TOE) を実装した専用のネットワーク アダプタに、すべての TCP トラフィックの処理を自動的かつステートフルな状態でオフロードします。

TOE に対応しているネットワーク アダプタでは、個々のタスクをオフロードするのではなく、IP アドレス、TCP ポート、およびセグメントのシーケンス番号など、接続の重要な属性に関する状態を維持します。これにより、ネットワーク アダプタでは、サーバーの CPU に影響を与えることなく、TCP トラフィックに関するすべての処理を実行できます。すべての TCP トラフィックの処理をオフロードするメリットは、ファイルのバックアップやマルチメディアのストリーミングに使用する TCP 接続など、大きなパケットのペイロードを伴う Long-Lived 接続で TCP Chemney オフロードを使用したときに最も顕著になります。

このような TCP トラフィックの処理タスクを TOE に対応しているネットワーク アダプタに移行することで、サーバーの CPU を解放して、より多くのユーザー セッションをサポートしたり、着信要求をより高速に処理したりするなど、他のアプリケーション タスクに使用することができます。

詳細については、「Scalable Networking: ネットワーク プロトコル オフロード - TCP Chimney の紹介」を参照してください。

Quality of Service

Windows Server 2003 と Windows XP では、QoS API を使用して、アプリケーションでサービスの品質 (QoS) 機能を利用できるようにしていました。QoS API を使用するアプリケーションは、優先順位が付けられた配信機能にアクセスできました。Windows Server 2008 と Windows Vista には、会社と自宅の両方のネットワーク トラフィックを管理する新しい機能があります。

エンタープライズ ネットワーク向けのポリシー ベースの QoS

Windows Server 2008 と Windows Vista の QoS ポリシーを使用すると、IT スタッフは、発信ネットワーク トラフィックの優先順位を付けたり、管理したりすることができます。また、特定のアプリケーション (実行可能ファイル名またはアプリケーション フォルダのパス)、IPv4 または IPv6 のソース アドレスと宛先アドレス、ソース/宛先 TCP ポートまたは UDP ポート、ポートの範囲に制限することもできます。QoS ポリシー設定は、ユーザーの構成グループ ポリシーまたはコンピュータの構成グループ ポリシーに含まれ、グループポリシー オブジェクト エディタを使用して構成します。また、グループ ポリシー管理コンソールを使用して、Active Directory ディレクトリのコンテナ (ドメイン、サイト、および組織単位) にリンクします。QoS ポリシーは、ドメイン、サイト、組織単位、またはセキュリティ グループに所属するユーザーまたはコンピュータに適用できます。

使用する帯域幅を管理する場合は、発信トラフィックのスロットル率を指定して QoS ポリシーを構成できます。QoS ポリシーはこのスロットル率を使用して、集約発信ネットワーク トラフィックを特定の比率に制限します。優先順位を付けた配信を指定するには、トラフィックを構成済みの DSCP (Differentiated Services Code Point) 値でマークします。ネットワーク インフラストラクチャ内のルーターは、配信を区別するために、DSCP 値でマークされたパケットを他のパケットと異なるキューに配置できます。Wi-Fi Multimedia (WMM) に対応したワイヤレス ネットワークでは、DSCP 値は WMM アクセス カテゴリにマップされます。DSCP のマーキングとスロットルの指定の両方を組み合わせて使用して、トラフィックを効果的に管理できます。スロットルの指定や優先順位のマーキングはネットワーク層で行われるので、アプリケーションを変更する必要はありません。

高度なポリシー ベースの QoS の設定により、TCP 受信ウィンドウの最大サイズ (既定のサイズは 16 MB) を指定して TCP 受信データを間接的に制御したり、アプリケーションで DSCP 値を設定できるかどうか (既定では許可されています) を指定したりすることができます。高度な QoS 設定は、コンピュータ構成グループ ポリシーでのみ利用できます。

ポリシー ベースの QoS の詳細については、「Quality of Service in Windows Server 2008 and Windows Vista」(英語) を参照してください。ポリシー ベースの QoS のアーキテクチャに関する詳細については、「Windows Server 2008 および Windows Vista のポリシー ベースの QoS アーキテクチャ」を参照してください。各 Windows のバージョンでの QoS のサポート状況に関する詳細については、「Windows での QoS のサポート」を参照してください。

ホーム ネットワーク向けの qWave API と QoS2 API

ホーム ネットワークは、データ アプリケーションとオーディオ/ビデオ (A/V) アプリケーションで共有されることが多くなっているため、時間に左右される A/V トラフィックを、データ トラフィックに優先させることができるように、QoS ソリューションが必要です。また、ホーム ネットワークではワイヤレス接続が使用されることが多くなっているため、待機時間や帯域幅の影響を受けやすいアプリケーションには新たな厄介な問題が課されます。Windows Vista では、優れた Windows オーディオ/ビデオ エクスペリエンス (qWave) がサポートされています。これは、A/V アプリケーションやワイヤレス ネットワークによってもたらされたネットワーク上の問題に対応する QoS に関連のある一連のソフトウェア コンポーネントです。qWave はネットワーク スタックに QoS サブシステムの一環として統合されており、複数のネットワーク層やデータ リンク層のパケット優先順位テクノロジと連動して、ホーム ネットワークで A/V ストリーム (QoS を必要とするリアルタイムのフロー) やデータ ストリーム (電子メールやファイル転送などについてはベストエフォート フロー) を同時にサポートします。

一連の qWave テクノロジでは、LAN の帯域幅を検出および監視し、ホーム ネットワークの QoS 機能を検出し、ネットワーク帯域幅が適度にかつ安定した状態で使用されるようにする分散型の受付制御機能を提供します。これらのテクノロジは、高度な A/V ストリーミング技法を実現し、アプリケーションがさまざまなネットワークの状況に動的に対応できるようにします。

qWave の詳細については、「Quality Windows Audio-Video Experience - qWave」(英語) を参照してください。

サーバー メッセージ ブロック 2.0

サーバー メッセージ ブロック (SMB) は Common Internet File System (CIFS) とも呼ばれ、Windows ベースのコンピュータでは既定のファイル共有プロトコルとして使用されます。Windows には SMB クライアントと SMB サーバーが同梱されています。SMB クライアントは、ネットワーク接続のプロパティからインストールする Microsoft Windows のクライアント コンポーネントで、SMB サーバーは、ネットワーク接続のプロパティからインストールする Microsoft Windows のファイルとプリンタ共有のコンポーネントです。Windows Server 2008 と Windows Vista より前のバージョンの Windows に同梱されている SMB は SMB 1.0 と呼ばれ、Microsoft LAN Manager や Windows for Workgroups など、初期の Windows ベースのネットワーク オペレーティング システム向けに 15 年前にデザインされたもので、初期デザインの制限事項を引き継いでいました。

Windows Server 2008 と Windows Vista に同梱されている SMB では、現在のネットワーク環境と次世代のファイル サーバーのニーズに合わせてデザインが見直された新しい SMB のバージョンである SMB 2.0 もサポートされます。SMB 2.0 には次の機能強化が含まれています。

  • 1 つのパケットで複数の SMB コマンドを送信することをサポートします。これにより、SMB 1.0 で多く寄せられた不満である SMB クライアントと SMB サーバー間で送信されるパケットの数を削減できます。

  • SMB 1.0 よりも大きなサイズのバッファがサポートされます。

  • プロトコルの設計段階における制限的な定数の増加により、スケーラビリティが向上します。たとえば、サーバーで同時に開けるファイル ハンドラの数やサーバーで保持できるファイル共有の数が増加します。

  • ネットワークを利用できない状態が短時間発生した場合にも対応できるようになりました。

  • シンボリック リンクがサポートされます。

Windows Server 2008 または Windows Vista を実行しているコンピュータでは、SMB 1.0 と SMB 2.0 の両方がサポートされます。ファイル共有の操作で使用される SMB のバージョンは SMB セッションのネゴシエーションで決まります。次の表は、クライアント コンピュータとサーバー コンピュータのさまざまな組み合わせで使用される SMB のバージョンを示しています。

クライアントサーバー使用される SMB のバージョン
Windows Server 2008 または Windows VistaWindows Server 2008 または Windows VistaSMB 2.0
Windows Server 2008 または Windows VistaWindows XP、Windows Server 2003、または Windows 2000SMB 1.0
Windows XP、Windows Server 2003、または Windows 2000Windows Server 2008 または Windows VistaSMB 1.0
Windows XP、Windows Server 2003、または Windows 2000Windows XP、Windows Server 2003、または Windows 2000SMB 1.0

Http.sys の機能強化

Http.sys は、ハイパーテキスト転送プロトコル (HTTP) トラフィックにサービスを提供するカーネル モード ドライバです。Windows Server 2008 と Windows Vista では、以下の機能強化が行われました。

  • HTTP Server API 2.0

  • サーバー側認証

  • ログ機能

  • HTTP イベントの ETW トレース

  • Netsh コマンド

  • パフォーマンス カウンタ

HTTP Server API 2.0

HTTP Server API は、カーネル モードの HTTP プロトコル ドライバで、Httpapi.dll からユーザー モードの API を利用できます。HTTP Server API を使用すると、サーバー アプリケーションでは HTTP URL を登録したり、要求を受信したり、応答を提供したりできるようになります。HTTP Server API には、次のものが含まれます。

  • Windows で簡単に使用できるネイティブ Windows アプリケーション対応の HTTP リスナ機能。

  • アプリケーションでは、HTTP Server API を使用して、インターネット インフォメーション サービス (IIS) 6.0 などの HTTP Server API アプリケーションと共存し、TCP ポートを共有できます。これにより、80 や 443 など、一般的な Web トラフィックの TCP ポートを複数のサーバー アプリケーションで同時に使用することができます。ただし、これらのアプリケーションでは、URL 名前空間の別の部分に対してサービスを提供している必要があります。

  • HTTP/1.1 に準拠した Windows オペレーティング システムを実行しているコンピュータのためのネイティブな HTTP スタック。

  • HTTP サーバーを構成するための新しい API (これには認証、帯域幅の調整、ログ、接続制限、サーバーの状態、503 応答、要求キュー、応答のキャッシュ、および SSL 証明書のバインドが含まれます)。詳細については、「Using the HTTP Server Version 2.0 API」(英語) を参照してください。

サーバー側認証

Http.sys では、HTTP Server 2.0 API によりサーバー側認証が提供されるようになりました。対象となるスキーマは、ネゴシエート (Kerberos | NTLM)、NTLM、基本、およびダイジェストです。以前は、サーバー アプリケーションが独自に認証を行う必要がありました。サーバー側で認証を行う Http.sys のメリットは、以下の点にあります。

  • 権限の低いアカウントでサーバー アプリケーションを実行できます。

  • Kerberos 認証をサポートするサーバー アプリケーションは、ローカル コンピュータのサービス プリンシパル名 (SPN) と関連付けられている既定のアカウント以外のアカウントで実行できます。明示的に SPN を構成しなくても、Http.sys 認証を使用しているサービスでは、Kerberos 相互認証のサポートというメリットを享受できます。

  • シームレスな NTLM 認証ハンドシェイクにより、ハンドシェイク プロセスがやり直しになることはありません。

ログ機能

Http.sys では、HTTP Server 2.0 API によりログ機能が提供されます。サポートされている形式は、W3C、集中 W3C、NCSA、IIS、および一元管理されるバイナリ ログ形式です。一元管理されるログ ファイルでは、サイト ID フィールドでそのログ エントリが所属するサイトが特定されます。

IDNA のサポート

Http.sys では、ホスト名で国際化ドメイン名 (IDN) がサポートされるようになりました。クライアントは、IDN ホスト名でサイトを要求できます。Http.sys では、IDN ホスト名を Unicode に変換してからサーバー アプリケーションに要求をルーティングします。クライアントがホスト名に使用する暗号化の形式について、Http.sys は、IDN in Applications (IDNA) 標準 (RFC 3490) に従ってホスト名の確認と正規化を実行します。

HTTP イベントの ETW トレース

Windows イベント トレーシング (ETW) は、コンポーネントやイベントに関する情報を取得する Windows の機能で、通常、取得した情報はログ ファイルに書き込まれます。ETW ログ ファイルにより、問題のトラブルシューティングが大幅に簡略化されます。トレースでは、エンドツーエンドの問題も診断できます。その際、Activity ID が各操作の間のフローを示します。Http.sys では、次のカテゴリについてトレースをサポートしています。

  • HTTP 要求と HTTP 応答

  • SSL と認証トランザクション

  • イベントのログ記録

  • 接続と接続タイマ

  • キャッシュ

  • サービスやアプリケーションのセットアップ、プロパティの設定や削除

  • アクティビティ ID ベースのトレース (他の ETW 対応コンポーネントも含む)

各トレースのカテゴリについて、Http.sys では、エラー、警告、情報、および詳細という 4 段階の情報をサポートします。Http.sys トレースは、Http.sys の処理と動作に関する情報を取得する高度なトラブルシューティング ツールとして使用できます。

Http.sys の ETW トレース セッションを開始するには、次の手順を実行します。

  1. トレース ファイルを格納するフォルダを作成します。このフォルダに、次のコンテンツを記載した Httptrace.txt という名前のファイルを作成します。

    
    "Microsoft-Windows-HttpService" 0xFFFF
    
    
  2. 次のコマンドを使用してトレースを開始します。

    
    logman start "http trace" -pf httptrace.txt -o httptrace.etl -ets
    
    
  3. トレースする必要がある手順やテストを実行します。

次のコマンドを使用して、Http.sys の ETW トレース セッションを停止します。


logman stop "http trace" -ets

上記の手順で作成したフォルダに Httptrace.etl という名前のファイルが作成されます。このファイルは、Tracerpt.exe というツールを使用して、XML 形式、HTML、または CSV ファイルに変換できます。たとえば、Httptrace.etl ファイルのコンテンツを CSV ファイルに変換するには、次のコマンドを使用します。


tracerpt httptrace.etl -y -o httptrace.csv

変換した CSV ファイルは、テキスト エディタやスプレッドシート アプリケーションで表示できます。

Http.sys 用の Netsh コマンド

管理者は、netsh http コンテキストで一連のコマンドを使用して、Http.sys の構成設定を管理したり、診断方法を制御したりできるようになりました。netsh は、IPsec やルーティングとリモート アクセスなどの、他の多くの Windows ネットワーク サービスによって使用されるコマンドライン ツールです。netsh http コンテキストのコマンドは、サンプル ツール Httpconfig.exe に代わる働きをします。この新しいサポートにより、Windows コマンド プロンプトでは、次のタスクを実行できるようになりました。

  • SSL 証明書のバインド、URL 予約、IP リッスン一覧、またはグローバル タイムアウトを構成する

  • HTTP キャッシュやログ バッファを削除またはフラッシュする

  • Http.sys サービスやキャッシュ状態を表示する

Http.sys 用のパフォーマンス カウンタ

Http.sys には、Web サーバーの監視、診断、容量設計を行う場合に役立つ、以下のパフォーマンス測定カウンタが含まれるようになりました。

  • HTTP Service Counters

    • スタートアップ後に追加および削除されたキャッシュ内の URI の数とキャッシュ フラッシュの回数

    • キャッシュ ヒット/秒とキャッシュ ミス/秒

  • HTTP Service URL Groups

    • データの送信速度、データの受信速度、転送されたバイト数 (送受信)

    • 最大接続数、接続試行レート、GET 要求と HEAD 要求のレート、要求の総数

  • HTTP Service Request Queues

    • キュー内の要求数、キュー内で最も古い要求の保存期間

    • キューに着信する要求のレート、拒否のレート、拒否された要求の総数、キャッシュ ヒットのレート

これらの新しいパフォーマンス カウンタにより、メトリックスは、パフォーマンス診断コンソール スナップインを使用して表示したり、Performance Counters API (英語) を使用して取得したりできます。

WinINet の機能強化

Windows Server 2008 と Windows Vista では、WinINet API に次の機能強化が行われました。

  • IPv6 のリテラルとスコープ ID のサポート

  • HTTP 圧縮解除のサポート

  • 国際化ドメイン名のサポート

  • ETW トレースのサポート

  • Web プロキシ自動発見サービス スクリプトでの IPv6 のサポート

IPv6 のリテラルとスコープ ID のサポート

WinINet では、RFC 2732 がサポートされ、URL で IPv6 リテラル アドレスの使用がサポートされるようになりました。たとえば、WinINet ベースの Web ブラウザ (Internet Explorer など) を使用するユーザーは、IPv6 アドレス 2001:db8:100:2a5f::1 の Web サーバーに接続する場合、「http://[2001:db8:100:2a5f::1]」という文字列をアドレスとして入力できます。一般ユーザーが IPv6 リテラル アドレスを使用することはないかもしれませんが、URL に IPv6 アドレスを指定できることは、アプリケーション開発者、ソフトウェア テスタ、ネットワークのトラブルシューティング担当者にとっては価値があります。また、WinINet では、ユーザーが IPv6 の宛先のスコープを指定できるように、アドレスの一部として IPv6 スコープ ID (ゾーン ID とも呼びます) のエンコーディングもサポートされます。詳細については、「IP Version 6 Support」(英語) を参照してください。

HTTP 圧縮解除のサポート

WinINet には、gzip および deflate コンテンツ エンコーディング手法の組み込みサポートが含まれるようになりました。WinINet 内で圧縮解除を行うと、Web ブラウザと Web サーバー間のデータの圧縮と圧縮解除の問題が軽減されると同時に、Web ページのダウンロード時間が短縮されることにより、パフォーマンスが向上します。これは、ダイヤルアップ接続を使用しているインターネット ユーザーなど、低帯域幅の接続を使用しているユーザーに大きなメリットをもたらすことができます。詳細については、「Content Encoding」(英語) を参照してください。

国際化ドメイン名のサポート

Unicode バージョンの WinINet API を使用すると、WinINet はホスト名の国際化ドメイン名 (IDN) 標準 (RFC 3490) に準拠するようになります。この新しいサポートにより、アプリケーションは、Web アプリケーション内での IDN サポート、サードパーティ プラグインのインストール、またはネットワーク通信パス内の中間ノードを必要とすることなく、ASCII 以外の文字を含むドメイン名でも正しく機能します。詳細については、「IDN Support in WinINet」(英語) を参照してください。

ETW トレースのサポート

WinINet では、IT ヘルプデスクやサポート担当者がプロトコルやアプリケーションの問題の原因を特定するのに役立つ、WinINet プロセスに関する詳細情報を取得できる、ETW トレースがサポートされるようになりました。WinINet のすべてのイベントの識別子を含めることによって、隣接するネットワーク層からのトレースを関連付ける識別子を使用して、ネットワーク スタック全体に及ぶ ETW トレースのチェーンを作成できます。ETW トレースの詳細については、「Event Tracing」(英語) を参照してください。

Web プロキシ自動発見サービス スクリプトでの IPv6 のサポート

WinINet によって公開される Web プロキシ自動発見 (WPAD) スクリプト ヘルパ関数が更新され、IPv6 アドレスとサブネット プレフィックスのサポートが提供されるようになりました。Proxy Helper API の dnsResolve、myIpAddress、isInNet、および isResolvable を使用する WPAD スクリプトは、WinINet から IPv6 情報を取得できるようになりました。WPAD の詳細については、「WinHTTP AutoProxy Support」(英語) を参照してください。

WinHTTP の機能強化

Windows Server 2008 と Windows Vista では、WinHTTP 5.1 API に次の更新が加えられました。

  • 4 ギガバイトよりも大きなデータのアップロードのサポート

  • チャンク転送エンコードのサポート

  • Secure Sockets Layer (SSL) ベースのクライアント認証の発行者リスト取得のサポート

  • オプションのクライアント証明書要求のサポート

  • 4-Tuple の接続情報指定のサポート

  • SSL クライアント認証の新しいエラー コード

  • WPAD スクリプトでの IPv6 サポート

4 ギガバイトよりも大きなデータのアップロードのサポート

アプリケーションは、最大 264 バイトのデータ長を指定する Content-Length ヘッダーが追加できるようになりました。

チャンク転送エンコードのサポート

アプリケーションは、データのチャンク転送エンコーディングを行い、WinHttpWriteData API を使用してデータを送信できるようになりました。WinHTTP では、Transfer-Encoding ヘッダーの有無を検出し、転送が HTTP 1.1 仕様に準拠するように内部で調整を行います。

Secure Sockets Layer ベースのクライアント認証の発行者リスト取得のサポート

アプリケーションは、クライアント認証チャレンジと関連付けられている発行者リストを取得することができます。発行者リストは、サーバーでクライアント証明書を発行することが許可されている証明機関 (CA) の一覧です。この新しいサポートにより、WinHTTP アプリケーションは、クライアントの認証に使用する適切なクライアント証明書を判断できるようになります。

オプションのクライアント証明書要求のサポート

セキュリティで保護された HTTP サイトには、クライアント証明書を要請しますが、その提出が必須ではないものもあります。クライアントが、この要請に対応するクライアント証明書を持っていない場合、サーバーは他の種類の HTTP 認証を使用するか、または匿名アクセスを許可することができます。このようなサーバー構成との相互運用をサポートするために、WinHTTP では、アプリケーションで NULL クライアント証明書を提供して、Secure Sockets Layer (SSL) 認証に対応したクライアント証明書を持っていないことをサーバーに通知できます。

4-Tuple の接続情報指定のサポート

WinHttpReceiveResponse API が完了すると、WinHTTP では、アプリケーションが応答を返す HTTP 要求と関連付けられているソース IP/ポートと宛先 IP/ポートをクエリすることを許可しています。

SSL クライアント認証の新しいエラー コード

WinHTTP には、SSL クライアント認証でよくみられる次の一般的なエラーに対応するエラー コードが含まれるようになりました。

  • クライアント証明書に秘密キーが関連付けられていません。このエラーは、秘密キーを使用せずにクライアント証明書をインポートした場合に発生するものです。

  • WinHttpSendRequest または WinHttpReceiveResponse を呼び出すアプリケーション スレッドに、提示されたクライアント証明書とそれ関連付けられている秘密キーにアクセスする特権がありません。秘密キーのアクセス制御リスト (ACL) でアプリケーションが秘密キーにアクセスすることが許可されていることを確認します。

WPAD スクリプトでの IPv6 サポート

WinHTTP によって公開される WPAD スクリプト ヘルパ関数が更新され、IPv6 アドレスとサブネット プレフィックスのサポートが提供されるようになりました。Proxy Helper API の dnsResolve、myIpAddress、isInNet、および isResolvable を使用する WPAD スクリプトは、WinHTTP から IPv6 情報を取得できるようになりました。WPAD の詳細については、「WinHTTP AutoProxy Support」(英語) を参照してください。

Windows Server 2008 と Windows Vista で WinHTTP に加えられた機能強化については、「What's New in Windows Longhorn」(英語) および「SSL in WinHTTP」(英語) を参照してください。

Windows Sockets の機能強化

Windows Sockets (Winsock) は、次のように更新されました。

  • 新しい Winsock API

  • Winsock イベントの ETW トレース

  • 複数層サービス プロバイダの機能強化

  • Winsock ネットワーク診断フレームワーク モジュール

  • 新しいカーネル モードのソケット API

新しい Winsock API

Windows Server 2008 と Windows Vista では、次の新しい Windsock API が導入されました。

  • WSAConnectByName は、接続先のホスト名を指定して接続を行います。WSAConnectByName は、名前解決から返されたすべての接続先アドレスとすべてのローカル アドレスを受け取り、最も成功の可能性が高いアドレスのペアを使用して接続を試みます。トランスポートによって提供される最適なペア決定アルゴリズムにより、アドレス ペアの順序が決まります。WSAConnectByName では、接続が可能であれば、最短時間で接続が確立されます。

  • WSAConnectByList は、接続先 IP アドレスの一覧を指定して接続を行います。WSAConnectByList は、M アドレスの一覧とローカル コンピュータの N アドレスの一覧を受け取り、最大 M x N のアドレスの組み合わせを使用して接続を試み、すべての組み合わせで接続できなければ、接続に失敗します。

  • WSASendMsg は、接続済みのソケットと未接続のソケットからデータとオプションの制御情報を送信します。WSASendMsg 関数は、WSASend 関数や WSASend 関数の代わりに使用できます。

  • WSAPoll は、1 つ以上のソケットの状態を判断します。

これらの新しい API の詳細については、MSDN サイトを新しい API の名前で検索してください。

Winsock イベントの ETW トレース

ETW トレースでトレースできる Winsock イベントには、次のようなものがあります。

  • ソケットの作成

  • バインド

  • 接続

  • 許可

  • 送信

  • 受信

  • 中止指定

Winsock の ETW トレースは、次のツールを使用して有効にできます。

  • イベント ビューア スナップイン

  • Logman.exe ツールと Tracerpt.exe ツール

イベント ビューア スナップインを使用して Winsock イベントの ETW トレースを有効にするには、次の手順を実行します。

  1. 管理ツール フォルダにあるイベント ビューア ツールを実行します。

  2. イベント ビューア スナップインのツリーで、[アプリケーションとサービス ログ] を展開し、[Microsoft]、[Windows]、[Winsock Network Event] の順に展開します。

  3. [Operational] をクリックします。

  4. [操作] ウィンドウで [ログのプロパティ] をクリックします。

  5. [ログのプロパティ] ダイアログ ボックスで [ログを有効にする] チェック ボックスをオンにし、[OK] をクリックします。

イベントを表示するには、[操作] ウィンドウで [最新の情報に更新] をクリックします。ログの記録を無効にするには、[Operational] の [ログのプロパティ] ダイアログ ボックスで [ログを有効にする] チェック ボックスをオフにします。

参照するイベントの数によってはログのサイズを増やす必要もあります。

Logman.exe ツールを使用して Winsock イベントの ETW トレースを有効にするには、次のコマンドを使用します。


logman create trace afdlog –o LogFileLocation logman update afdlog –p “Microsoft-Windows-Winsock-AFD” logman start afdlog

バイナリ形式のログ ファイルは LogFileLocation で指定した場所に格納されます。Logman.exe ツールで記述されたバイナリ ファイルを人間が解読できる形式のテキストに変換するには、Tracerpt.exe ツールを使用します。たとえば、次のコマンドを使用します。


tracerpt.exe c:\afdlog.etl –o afdlog.txt

ログの記録を停止するには、次のコマンドを使用します。


logman stop afdlog

複数層サービス プロバイダの機能強化

Windows Server 2008 と Windows Vista の Winsock 複数層サービス プロバイダ (LSP) サポートでは、次の機能強化が行われました。

  • LSP のインストールと削除がシステム イベント ログに記録され、どのアプリケーションが LSP をインストールしているかを判断できるので、LSP のインストールの失敗のトラブルシューティングを行うことができます。コンソール ウィンドウでログに記録されたイベントを参照するには、netsh winsock audit trail コマンドを使用します。

  • ソフトウェア ベンダが Winsock カタログへの LSP のインストールに使用できる、新しいインストール API (WSCInstallProviderAndChains) を提供します。一連の Winsock 関数を使用して LSP を手動でインストールすることはできますが、適切にインストールしないと LSP カタログの状態の整合性が取れなくなることがあります。この新しい API を使用すると、LSP を開発しているソフトウェア ベンダは、記述するコード量を数百行単位で減らすことができます。

  • LSP を分類したり、システムの重要なサービスの処理パスからほとんどの LSP を削除したりするなどの新しい機能を使用できるようになりました。この新しい機能により、Windows の安定性を向上し、システムの重要なサービスを適切にデザインされていない LSP から保護することができます。

  • 新しいコマンド netsh winsock remove provider Winsock_catalog_ID を使用すると、LSP を 1 つ削除できます。Winsock カタログをリセットする netsh winsock reset コマンドの代わりに、このコマンドを使用します。

  • ネットワーク診断フレームワークに Winsock 固有の診断モジュールが用意されました。ユーザーはこのモジュールを使用して、問題の原因となる LSP だけを削除することにより、Winsock カタログを選択的に修復できます。

    ネットワーク診断フレームワークの詳細については、「Windows Vista のネットワーク診断フレーム」および「Network Diagnostics Technologies in Windows Vista」(英語) を参照してください。

新しいカーネル モードの Sockets API

Windows Server 2008 と Windows Vista のネットワーク アーキテクチャには、Winsock Kernel (WSK) と呼ばれる新しいインターフェイスが用意されています。WSK は、TDI クライアント用のトランスポートに依存しないカーネル モードの新しいネットワーク プログラミング インターフェイス (NPI) です。WSK を使用すると、カーネル モードのソフトウェア モジュールでは、ユーザー モードの Windows Sockets 2 API でサポートされているのと同様のソケットのようなプログラミング セマンティクスを使用してネットワーク通信を行えます。TDI は旧バージョンとの互換性を維持するために Windows Vista でもサポートされていますが、最適なパフォーマンスを実現するには、WSK を使用するように TDI クライアントを更新する必要があります。

概要については、「Intro to WSK」(英語) および「Network Programming with Winsock Kernel (WSK)」(英語) を参照してください。WSK API の詳細については、「Winsock Kernel」(英語) を参照してください。

NDIS 6.0

Windows Server 2008 と Windows Vista には、Network Driver Interface Specification (NDIS) 6.0 が含まれています。NDIS は、カーネル モード ネットワーク ドライバとオペレーティング システム間の標準インターフェイスを指定します。また、ネットワーク トランスポートなど、上位層のドライバからハードウェアを管理する下位層のドライバを抽象化する、複数層のネットワーク ドライバ間の標準インターフェイスも指定します。NDIS 6.0 の詳細については、「NDIS - Network Driver Interface Specification」を参照してください。

NDIS 6.0 には、次の機能が含まれています。

  • 新しいオフロード サポート

  • 簡易フィルタ ドライバのサポート

  • Receive-Side Scaling

新しいオフロード サポート

NDIS 6.0 には、ネットワーク トラフィックの処理機能をネットワーク アダプタにオフロードするための、次の新しいサポートが含まれています。

  • IPv6 トラフィックのオフロード。Windows Server 2003 と Windows XP の NDIS 5.1 では、既に IPv4 トラフィックの処理のオフロードがサポートされていますが、NDIS 6.0 では、IPv6 トラフィックの処理のオフロードがサポートされるようになります。

  • チェックサムオフロードでの IPv6 のサポート。IPv6 トラフィックのチェックサム計算のオフロードがサポートされるようになります。

  • Large Send Offload Version 2。NDIS 5.1 では、既に Large Segment Offload (LSO) がサポートされています。LSO では、最大 64 KB のデータ ブロックの TCP データのセグメント化をオフロードします。NDIS 6.0 の Large Send Offload Version 2 (LSOv2) は、64 KB を超えるデータ ブロックの TCP データのセグメント化をオフロードできます。

簡易フィルタ ドライバのサポート

NDIS 6.0 では、中間フィルタ ドライバが、簡易フィルタ (LWF: Lightweight Filter) ドライバに置き換わりました。LWF ドライバは、NDIS 中間ドライバとミニポート ドライバを組み合わせたものです。LWF ドライバには、次のようなメリットがあります。

  • プロトコルとミニポートを個別に記述する必要がなくなりました。これらの機能は、単一のドライバに含まれています。

  • パフォーマンスが向上しました。

  • バイパス モードにより、LWF ドライバは選択した制御パスとデータ パスのみを調べることができます。

Pacer.sys は LWF ドライバに変換された中間フィルタ ドライバの一例です (これは以前は Psched.sys と呼ばれていました)。機能は同じですが、NDIS 6.0 で利用できる強化されたパフォーマンスを活用します。詳細とサンプルについては、「Windows Driver Kit (WDK) について」を参照してください。

Receive-Side Scaling

Windows Server 2003 または Windows XP を実行しているマルチプロセッサ コンピュータのアーキテクチャでは、ネットワーク アダプタは単一のプロセッサに関連付けられています。他のプロセッサが利用できるかどうかに関係なく、ネットワーク アダプタで受信したすべてのトラフィックを単一のプロセッサで処理する必要があります。インターネットに接続している Web サーバーやエンタープライズ ファイル サーバーなど、大容量のサーバーでこのようなアーキテクチャが使用されている場合、ネットワーク アダプタと関連付けられている単一のプロセッサで処理できる着信トラフィックの量や接続数には限りがあります。ネットワーク アダプタと関連付けられているプロセッサの処理速度が着信トラフィックの量に対応できない場合、ネットワーク アダプタでは着信トラフィックが破棄され、再送信が発生し、パフォーマンスが低下します。

Windows Server 2008 と Windows Vista では、ネットワーク アダプタは単一のプロセッサに関連付けられることはなく、着信トラフィックの処理は、コンピュータに搭載されているプロセッサ間で分散されます。この Receive-Side Scaling と呼ばれる新機能により、大容量サーバーのネットワーク アダプタでは、より大量のトラフィックを受信できます。マルチプロセッサのコンピュータでは、サーバーを追加する必要なしに多くの着信トラフィックを処理できるようになるので、コスト削減につながります。この新機能を利用するには、Windows Server 2008 と Windows Vista の新しいアーキテクチャを利用できる Receive-Side Scaling 対応のネットワーク アダプタを搭載する必要があります。Receive-Side Scaling 対応のネットワーク アダプタは、多くのネットワーク アダプタ ベンダで提供されています。

詳細については、「Scalable Networking with RSS」(英語) を参照してください。

ネットワーク認識

変化するネットワークの状態に自動で対応するアプリケーションを作成するのは開発者にとって容易なことではありませんでした。Windows Vista の Network Awareness API を使用すると、アプリケーションでは次のことを行えるようになります。

  • Windows Vista に登録して、コンピュータが接続しているネットワークに変更があったときに通知を受け取ります。

    たとえば、ユーザーが職場でラップトップ コンピュータをスタンバイ モードにして、その後、ワイヤレス ホット スポットで開いたとします。Windows Vista によってネットワークの変更が通知されると、アプリケーションは、自動的に構成を変更したり、異なる動作に変更し、よりシームレスなユーザー エクスペリエンスを提供します。

  • 現在接続しているネットワークの特性を Windows Vista に照会して、アプリケーションの設定と動作を決定します。特性には、次のようなものがあります。

    • 接続状態
      ネットワークは、切断されていたり、ローカル ネットワークへのみアクセスが提供されていたり、ローカル ネットワークとインターネットへのアクセスが提供されていることがあります。

    • 接続数
      コンピュータは、ネットワーク アダプタなど、1 つ以上の接続に接続されていることがありますNetwork Awareness API を使用すると、アプリケーションでは、Windows Vista でネットワークへの接続に現在使用している接続を判断できます。

    • 場所の種類 ( カテゴリ )
      Windows Vista のネットワークの場所の種類に応じて、アプリケーションは自動で構成を変更することができます。詳細については、「Windows Vista のネットワークの場所の種類」を参照してください。

開発者は、独自のネットワーク検出コンポーネントを作成しなくても、さまざまな接続、接続数、およびネットワークの場所の種類に対応するように Windows Vista アプリケーションの機能を強化できます。Network Awareness API を使用すると、開発者は、下位レベルの詳細なネットワークの判断を下すことではなく、ユーザーがネットワークの接続を意識しないで済む機能の開発に専念できます。

Network Awareness API の詳細については、「Network Awareness on Windows Vista」(英語) を参照してください。

Windows ピア ツー ピア ネットワークの機能強化

Windows ピア ツー ピア ネットワークは、Advanced Networking Pack for Windows XP で初めて導入された Windows Vista のオペレーティング システム プラットフォーム コンポーネントと API で、ピア ツー ピア (P2P) アプリケーションの開発を可能にします。Windows Vista では、Windows ピア ツー ピア ネットワークに、次の機能強化が行われました。

  • 使いやすい新しい API
    名前解決、グループの作成、セキュリティなど、Windows ピア ツー ピア ネットワークの機能にアクセスする API は、Windows Vista で大幅に簡略化され、Windows 対応の P2P アプリケーションの作成が簡略化されました。

  • PNRP の新しいバージョン
    Windows Vista には、よりスケーラブルでネットワーク帯域幅の消費量が少ないピア名解決プロトコル (PNRP) のバージョン 2 が含まれています。Windows Vista の PNRP v2 では、Windows ピア ツー ピア ネットワーク アプリケーションは、簡略化された PNRP API を経由して名前の公開や解決を行う PNRP の関数にアクセスできます。Windows Vista で大幅に簡略化された PNRP 名前解決により、PNRP 名は、Getaddrinfo Windows ソケット関数に統合されました。PNRP を使用して名前を IPv6 アドレスに解決するには、アプリケーションでは Getaddrinfo 関数を使用して name.prnp.net という完全修飾ドメイン名 (FQDN) を解決できます。ここで name は解決するピア名です。pnrp.net ドメインは、PNRP 名前解決のために Windows Vista で予約されているドメインです。PNRP v2 プロトコルは、Advanced Networking Pack for Windows XP で提供されている PNRP Version 1 とは互換性がありません。マイクロソフトでは、Windows XP 用に PNRP v2 のアップグレードをリリースしました。このアップグレードは、Windows Update と Microsoft Download Center から利用できます。PNRP の詳細については、「ピア名解決プロトコル」を参照してください。

  • 近くの人との接続
    ローカル サブネット上のユーザーを動的に検出する Windows Vista の Windows ピア ツー ピア ネットワークの新しい機能です。詳細については、「People Near Me」を参照してください。

  • 連絡先の管理とサーバーのいらないプレゼンス
    ピア ツー ピア ネットワークは、Windows アドレス帳と統合して、長期的な連絡先の管理を実現する機能を提供します。ユーザーは、お互いに自分の情報ファイルを交換することで Windows アドレス帳に信頼できる連絡先を追加できます。自分の情報ファイルは、共同作業インフラストラクチャの初回起動時に自動で作成されます。このファイルにはユーザーを特定する情報が含まれ、他のユーザーが使用することができます。これはスプーフィング攻撃に対する防御とインターネット経由でユーザーのプレゼンスを追跡するのに使用できます。

  • アプリケーション招待
    この新機能を使用すると、他のユーザーを共同作業に招待できます。招待できるのは、連絡先を持っているユーザーや近くの人との接続の機能で検出されるユーザーです。ユーザーを招待して、招待が承認されると、各ユーザーのコンピュータでアプリケーションが起動され、2 つのアプリケーションが連動するようになります。

  • Windows ミーティ ングスペース
    Windows Vista には、Windows ミーティング スペースが同梱されています。これは、ユーザーが簡単にミーティングを設定したり、ファイルを共有したり、メモを渡したり、アプリケーションをグループに展開したりできる新しい P2P ベースのアプリケーションです。Windows ミーティング スペースでは、Windows ピア ツー ピア ネットワークの機能を使用しています。

  • Netsh 構成のサポート
    netsh p2p コンテキストのコマンドから Windows ピア ツー ピア ネットワークの設定を構成できるようになりました。

  • グループポリシーの構成のサポート
    グループ ポリシーの [コンピュータの構成]-[管理用テンプレート]-[ネットワーク]-[Microsoft ピア ツー ピア ネットワーク サービス] ノードから、Windows ピア ツー ピア ネットワークの設定を構成できるようになりました。

Windows ファイアウォール

Windows Server 2008 と Windows Vista の新しい Windows ファイアウォールでは、Windows XP Service Pack 2 と Windows Server 2003 Service Pack 1 の Windows ファイアウォールに対して、次のような機能強化が行われています。

  • 着信と発信の両方のトラフィックのフィルタ選択のサポート

    ネットワーク管理者は、ウイルス対策ソフトウェアで一般的に使用されるポートなどの特定のポートまたは機密情報や不適切なコンテンツを含む特定のアドレスに送信されるすべてのトラフィックをブロックする一連のルールを使用して、新しい Windows ファイアウォールを構成することができます (Windows XP Service Pack 2 と Windows Server 2003 Service Pack 1 の Windows ファイアウォールでは、このようなルールを例外と呼んでいました)。

  • グラフィカル ユーザー インターフェイス (GUI) を使って構成するための新しいセキュリティが強化された Windows ファイアウォール Microsoft 管理コンソール (MMC) スナップイン

    管理ツール フォルダから利用できる、新しいセキュリティが強化された Windows ファイアウォール スナップインでは、着信トラフィックと発信トラフィックに適用するファイアウォールのルールや接続のセキュリティ規則を構成するウィザードが用意されています。新しい Windows ファイアウォールの高度な設定は、netsh advfirewall コンテキストのコマンドを使用してコマンド ラインから構成できます。

  • ファイアウォール フィルタとインターネット プロトコル セキュリティ (IPsec) の保護設定の統合

    セキュリティが強化された Windows ファイアウォール スナップインを使用すると、ファイアウォール フィルタとトラフィック保護のルールの両方を構成できます。

  • ルール (例外) の詳細設定

    ファイアウォールのフィルタルールの構成オプションには、3 つのプロファイル (ドメイン、パブリック、プライベート)、ソース IP アドレスと宛先 IP アドレス、IP プロトコル番号、ソース/宛先の伝送制御プロトコル (TCP) ポートとユーザー データグラム プロトコル (UDP) ポート、すべてまたは複数の TCP ポートあるいは UDP ポート、特定の種類のインターフェイス、種類とコード別の ICMP and ICMP for IPv6 (ICMPv6) トラフィック、サービス、保護の状態 (IPsec による保護)、エッジ トラバーサル、Active Directory アカウントに基づいた特定のユーザーとコンピュータがあります。

Windows ファイアウォールの機能強化の詳細については、「Windows Vista および Windows Server 2008 の新しい Windows ファイアウォール」を参照してください。詳細情報については、「Introduction to Windows Firewall with Advanced Security」(英語) を参照してください。

IPsec の機能強化

Windows Server 2008 と Windows Vista では、インターネット プロトコル セキュリティ (IPsec) に次の機能強化が行われています。

  • ファイアウォールと IPsec の構成の統合

  • 簡易 IPsec ポリシー構成

  • クライアントから DC への IPsec 保護

  • 負荷分散とサーバーのクラスタリング サポートの強化

  • IPsec 認証の強化

  • 新しい暗号サポート

  • ネットワーク アクセス保護との統合

  • 保護された通信の追加構成オプション

  • IPv4 と IPv6 の統合サポート

  • 拡張イベントとパフォーマンス モニタのカウンタ

  • ネットワーク診断フレームワークのサポート

ファイアウォールと IPsec の構成の統合

Windows Server 2003 と Windows XP では、Windows ファイアウォールと IPsec は個別に構成する必要がありました。Windows ファイアウォールは着信トラフィックをブロックまたは許可することを目的としていましたが、IPsec でも着信トラフィックをブロックまたは許可するように構成することができました。そのため着信トラフィックをブロックおよび許可する動作が 2 つの異なるサービスで構成できることとなり、設定の重複や矛盾が生じることがありました。また、Windows ファイアウォールと IPsec では、許可する着信トラフィックに対して異なる構成がサポートされています。たとえば、Windows ファイアウォールでは、アプリケーション名を指定して例外 (着信トラフィック) を許可できますが、IPsec では、そのような例外はサポートされていません。また、IPsec では IP プロトコル番号に基づいて例外を許可できましたが、Windows ファイアウォールでは、そのような例外はサポートされていません。

Windows Server 2008 と Windows Vista では、Windows ファイアウォールと IPsecの管理 が、新しい Windows ファイアウォール スナップインに統合されました。このスナップインでは、従来のファイアウォールの役割 (着信トラフィックと発信トラフィックのブロックと許可) と IPsec によるネットワーク トラフィックの保護の両方を制御できるようになりました。ファイアウォールの機能と保護の構成の両方が統合されることで、相反するルールが存在することを防げます。また、netsh advfirewall コンテキストのコマンドを使用して、ファイアウォールと IPsec の動作をコマンド ラインから構成できます。Windows ファイアウォールと IPsec の統合により、Windows Server 2008 または Windows Vista を実行しているコンピュータに認証機能を持ったファイアウォールを提供することができます。

簡易 IPsec ポリシー構成

Windows Server 2003 と Windows XP では、「Server and Domain Isolation」(英語) などのような多くのシナリオにおいて、IPsec ポリシーの構成は、ネットワークのトラフィックを保護する一連のルールと保護されたトラフィックの例外に関する一連のルールで構成されていました。そのため DHCP サーバーや DNS サーバーなどのインフラストラクチャ サーバーとドメイン コントローラとの IPSec で保護されていない通信については例外を設ける必要があります。Kerberos 認証を使用して、IPsec ピアとして認証されるには、コンピュータは起動時に、IP アドレスを取得し、DNS を使用してドメイン コントローラを検索して、ドメインにログインする必要があります。また、IPsec に対応していないネットワーク ノードとの通信でも例外が必要となります。環境によっては例外が数十件から数百件あることもあり、このような環境では、IPsec 保護を展開したり、長期間に渡って IPsec 保護を管理するのが困難になります。

Windows Server 2008 と Windows Vista の IPsec では、IPsec 保護をネゴシエートするときに、オプションの動作が提供されます。このオプションを有効にすると、Windows Server 2008 または Windows Vista を実行する IPsec ノードが別のネットワーク ノードと通信を開始するときに、クリアな状態での通信を試み、並行して保護された通信をネゴシエートします。通信開始側の IPsec ピアが初期ネゴシエーション試行に対する応答を受け取らない場合は、クリアな状態で通信が続けられます。通信開始側の IPsec ピアが、初期ネゴシエーション試行に対する応答を受け取る場合、ネゴシエーションが完了するまでクリアな状態で通信が続けられます。ネゴシエーションが完了すると、それ以降は保護された通信が行われるようになります。

このオプションを有効にし、着信する通信と発信する通信の保護を必要とする推奨の構成を使用すると、通信開始側のノードでは、通信先ノードが IPsec に対応しているかどうかを検出し、通信先ノードの状態に応じて動作します。この新しい動作により、IPsec ポリシーの構成が大幅に簡略化されます。たとえば、通信開始側のノードでは、ネットワーク トラフィックを IPsec で保護してはならない、または保護できない一連のホストに関する例外の IPsec フィルタを事前に定義する必要がなくなります。通信開始側のノードでは、保護されたトラフィックと保護されていないトラフィックを並行して試行し、保護された通信が可能でない場合は、保護されていない通信が使用されます。

この新しいネゴシエーションの動作により、ホストへの保護されていない接続のパフォーマンスが強化されます。保護された通信を必要としているが、保護されていない通信を許可している Windows Server 2003 または Windows XP を実行している IPsec ノードでは、ネゴシエーション メッセージを送信し、応答を待機します (この動作は "セキュリティで保護されていない通信の許可" と呼ばれるものです)。通信開始側のノードでは、セキュリティで保護されていない通信を許可する前に 3 秒待機します。Windows Server 2008 と Windows Vista では、通信開始側のノードが応答を待機している間に、通信が既にクリアな状態で開始されるため、3 秒の待ち時間が発生することはありません。

Bb726965.note(ja-jp,TechNet.10).gif 注 :

Windows Server 2003 と Windows XP 向けの IPsec Simple Policy Update では、IPsec ポリシーを簡略化するための新しいネゴシエーションの動作が導入されました。また、Windows Server 2003 Service Pack 2 には、この Simple Policy Update が収録されています。詳細については、「Simple Policy Update を使用して IPsec ポリシーを簡略化する」を参照してください。

クライアントから DC への IPsec 保護

Windows Server 2003 と Windnows XP では、ドメイン コントローラとメンバ コンピュータ間のトラフィックの IPsec による保護はサポートされていません (ただし、ドメインコントローラ間のトラフィックの保護はサポートしています)。これは、ドメイン メンバとドメイン コントローラ間で送受信されるトラフィックの種類が多いことから、IPsec ポリシーの構成が非常に複雑になるためです。また、ドメインへの参加に関する問題もあります。ドメイン コントローラで、コンピュータとドメイン コントローラ間で IPsec で保護されたトラフィックを必要とし、認証にドメイン ベースの資格情報を提示する必要がある場合、ドメインのメンバではないコンピュータは、ドメイン コントローラにアクセスしてドメインに参加することができません。

Windows Server 2008 と Windows Vista では、以下の展開シナリオでドメイン メンバとドメイン コントローラの間のセキュリティが保護されたトラフィックをサポートします。

  • ドメインで IPsec ポリシーを構成して、保護されたトラフィックを要求するかどうかを指定できます。

    ドメイン コントローラとドメイン メンバ間の大部分のトラフィックは保護されますが、ドメインへの参加やその他の種類のトラフィックはクリア テキストで送信できます。

  • IPsec ポリシーを構成して、ドメイン コントローラに対して保護されたトラフィックを要求できます。

    認証に Windows NT/LAN Manager Version 2 (NTLM v2) ユーザー資格情報の使用を許可する IPsec の設定を使用して、ドメイン コントローラを構成できます。Windows Server 2008 または Windows Vista を実行するコンピュータをドメインへの参加させるときには、ユーザーは、ドメイン ユーザー アカウントのユーザー名とパスワードを入力する必要があります。保護されたドメインへの参加を行うために、ドメイン コントローラの IPsec 保護を Windows NT/LAN Manager Version 2 (NTLM v2) のユーザー資格情報とネゴシエートします。この新しい動作は、Windows Vista または Windows Server 2008 のいずれかが実行されているドメインのメンバ コンピュータと、Windows Server 2008 が実行されているドメイン コントローラでのみ使用できます。

新しいネゴシエーション動作により、ドメイン コントローラの例外を構成する必要がなくなり、IPsec ポリシーとドメイン内での IPsec 保護の展開が容易になります。

負荷分散とサーバーのクラスタリング サポートの強化

Windows Server 2003 の IPsec では負荷分散とクラスタ サーバーがサポートされます。ただし、フェールオーバーが発生すると、次のタイミングで、クラスタ仮想 IP アドレスへの IPsec 接続が再確立されます。

  • クラスタ化されたリソースの管理作業による移動では、通常 3 ~6 秒。

  • クラスタ ノードが突然利用できなくなったり、接続が突然利用できなくなったりした場合は、最大 2 分。この 2 分のタイムアウトには、IPsec のアイドル時間の有効期限が切れるまでの 1 分とセキュリティ アソシエーション (SA) とネゴシエートする時間の 1 分が含まれます。この冗長なアイドル時間が原因で、アクティブな TCP 接続によりクラスタでフェールオーバーが発生することがあります。

Windows Server 2008 と Windows Vista では、クラスタ ノードの障害によるタイムアウトが大幅に削減されました。Windows Server 2008 と Windows Vista の IPsec は、次世代の TCP/IP スタックにこれまで以上に緊密に統合されます。Windows Server 2008 と Windows Vista の IPsec では、クラスタ ノードの障害検出を IPsec のアイドル タイムアウトに依存するのではなく、確立済みの SA の TCP 接続を監視します。確立済みの SA の TCP 接続がセグメントの再送を開始すると、IPsec は SA に再度ネゴシエートします。その結果、通常はアプリケーションがエラーになる前に、迅速に新しいクラスタ ノードへの自動フェールオーバーが行われます。

IPsec 認証の強化

Windows Server 2003 と Windows XP の IPsec では、メイン モードのネゴシエーションでインターネット キー交換 (IKE) と Kerberos (Active Directory ドメイン メンバで)、デジタル証明書、および事前共有キーという 3 つの認証方法がサポートされます。このすべての認証方法の認証プロセスでは、コンピュータのユーザーではなく、コンピュータの ID とその信頼性を検証します。IKE では、単一の認証方法を使用して 1 回のみ認証を行います。

Windows Server 2008 と Windows Vista では、IPsec 認証の以下の機能強化がサポートされます。

  • IPsec ピアが正常性証明書での認証を要求する機能

    ネットワーク アクセス保護クライアントは、現在のシステムで必要とされているシステム正常性を満たしていることを証明できたときに、正常性登録機関 (HRA) から正常性証明書を取得します。ネットワーク アクセス保護プラットフォームの詳細については、この資料の「ネットワーク アクセス保護」を参照してください。

  • 2 番目の認証 モード中にユーザーベースの認証または正常性ベースの認証を指定する機能

    Authenticated IP (AuthIP) のサポートにより、Windows Server 2008 と Windows Vista では、IPsec で保護されている通信で 2 番目の認証を使用できるようになりました。この 2 番目の認証により、Windows Server 2008 と Windows Vista では、以下に基づいた 2 段階の認証を行うことができます。

    • ログインしているユーザー アカウントの Kerberos 資格情報

    • ログインしているユーザー アカウントの NTLM v2 資格情報

    • ユーザー証明書

    • コンピュータ正常性証明書

    たとえば、1 つ目の認証で Kerberos 資格情報を使用してコンピュータを認証してから、2 つ目の認証で正常性証明書を使用してコンピュータの正常性状態を検証することができます。2 つ目の認証は、1 つ目の認証の有無に関係なく構成できます。

  • 複数の認証方法の試行

    Windows Server 2003 と Windows XP では、メイン モードの IPsec 認証について優先順位を設定して複数の認証を選択できます。ただし、認証に使用される認証方法は 1 つだけです。ネゴシエートされた認証方法で認証プロセスが失敗すると、メイン モードが失敗し、IPsec 保護を実行できません。Windows Server 2008 または Windows Vista を実行するコンピュータに対して複数の認証方式を選択すると、IPsec では相互認証を行うために複数の認証を試みます。たとえば、特定の証明機関のコンピュータ証明書を使用して認証してから Kerberos で認証するように指定すると、IPsec ピアでは、証明書による認証に失敗した場合、Kerberos による認証を試行します。

IPsec の認証の機能強化に関する詳細については、「Windows Vista の AuthIP」を参照してください。

新しい暗号サポート

行政機関からのセキュリティの要請とさらに強固な暗号のサポートを求めるセキュリティ業界の傾向に応えて、Windows Server 2008 と Windows Vista では新たなキー派生と暗号アルゴリズムがサポートされます。

Windows Server 2008 と Windows Vista では、メイン モードのネゴシエーションで派生するマスタ キー マテリアルをネゴシエートする次の追加のアルゴリズムがサポートされます。

  • Diffie-Hellman (DH) Group 19、256 ビットのランダムな曲線グループを使用する楕円曲線アルゴリズム (NIST identifier P-256)

  • DH Group 20、384 ビットのランダムな曲線グループを使用する楕円曲線アルゴリズム (NIST identifier P-384)

これらのアルゴリズムは、Windows Server 2003 と Windows XP でサポートされている DH アルゴリズムより強力です。これらのアルゴリズムの詳細については、RFC 4753 を参照してください。この新しい DH アルゴリズムは、Windows Server 2003、Windows XP、または Windows 2000 を実行しているコンピュータとのメイン モードのネゴシエーションには使用できません。

Windows Server 2008 と Windows Vista では、データ暗号化標準 (DES) と Triple DES (3DES) 以外に次のアルゴリズムがサポートされています。

  • Cipher Block Chaining (CBC) と 128 ビットのキー サイズをサポートする高度暗号化標準 (AES) (AES 128)

  • CBC と 192 ビットのキー サイズをサポートする AES (AES 192)

  • CBC と 256 ビットのキー サイズをサポートする AES (AES 256)

これらの新しい暗号化アルゴリズムは、Windows Server 2003、Windows XP、または Windows 2000 を実行しているコンピュータの IPsec SA には使用できません。

ネットワーク アクセス保護との統合

新しいネットワーク アクセス保護プラットフォームでは、IPsec ノードが 2 番目の認証で正常性証明書を使用し、IPsec ノードが現在のシステム正常性要件を満たすようにすることができます。IPsec ピアの正常性状態がネットワーク ポリシー サーバー (NPS) で評価されてから、正常性証明書サーバーが正常性証明書を発行します。詳細については、この資料の「ネットワーク アクセス保護」を参照してください。

保護された通信の追加構成オプション

新しいセキュリティが強化された Windows ファイアウォールを使用して接続セキュリティ規則を構成する際には、次の追加の設定を指定できます。

  • アプリケーション名
    アプリケーション名を指定すると、アプリケーションで使用されているポートを手動で構成する必要がないため、保護されたトラフィックの構成が大幅に簡略化されます。

  • すべてまたは複数のポート
    すべての TCP ポートと UDP ポート、またはコンマ区切りで複数の TCP ポートと UDP ポートを指定して、構成を簡略化することができます。

  • ある数値の範囲に含まれるすべてのアドレス
    10.1.17.23 ~ 10.1.17.219 のような数値の範囲を使用して、IP アドレスの範囲を指定できるようになりました。

  • ローカルサブネット上のすべてのアドレス
    IPv4 アドレスとサブネット マスクまたは IPv6 ローカル サブネット プレフィックスで定義された一連のアドレスに動的にマップされる事前定義されたアドレス。

  • すべてのワイヤレスアダプタ
    インターフェイスの種類に応じてトラフィックを保護できます。インターフェイスの種類には、LAN とリモート アクセスだけでなく、ワイヤレスも含まれるようになりました。

  • Active Directory のユーザーまたはコンピュータアカウント
    保護された通信を開始する権限のあるコンピュータまたはユーザー アカウントやユーザー グループの一覧を指定できます。たとえば、機密データが格納されている特定のサーバーへのトラフィックを保護し、特定の Active Directory セキュリティ グループのメンバであるユーザー アカウントからのみ通信を開始できるように指定できます。

  • ICMP または ICMPv6 Type または Code の値
    ICMP または ICMPv6 メッセージの Type フィールドと Code フィールドの値で ICMP メッセージまたは ICMPv6 メッセージを指定できます。

  • サービス
    例外が任意のプロセス、サービスのみ、サービス名で指定したサービスに適用されるように指定できます。または、サービスの短い名前を入力して指定することもできます。

IPv4 と IPv6 の統合サポート

Windows XP と Windows Server 2003 では IPv6 の IPsec サポートには制限があり、インターネット キー交換 (IKE) やデータ暗号化などはサポートされていません。IPsec セキュリティ ポリシー、セキュリティ アソシエーション、およびキーは、テキスト ファイルを使用して構成し、Ipsec6.exe コマンド ライン ツールを使用してアクティブ化する必要があります。

Windows Server 2008 と Windows Vista では、IPv6 トラフィックの IPsec サポートは、IKE やデータ暗号化のサポートを含めて、IPv4 の場合と同じです。IPv4 と IPv6 の両方のトラフィックの IPsec ポリシー設定は、セキュリティが強化された Windows ファイアウォール スナップインまたは IP セキュリティ ポリシー スナップインのいずれかを使用して同じ方法で構成されます。

拡張イベントとパフォーマンス モニタのカウンタ

Windows Server 2008 と Windows Vista には、IPsec 監査固有の新しいイベントが含まれ、既存のイベントのテキストには有益な詳細情報が追加されました。こうした機能強化により、IPsec のネゴシエーションが失敗した場合に、高度な Oakley ログ機能を有効にする必要なく、トラブルシューティングを行うことができます。

Windows Server 2008 と Windows Vista には IPsec で保護されたトラフィックのパフォーマンスやネットワークの問題を特定するのに役立つ IPsec のパフォーマンス カウンタも含まれています。

ネットワーク診断フレームワークのサポート

ネットワーク診断フレームワークは、ユーザーがネットワーク接続の問題を復旧したり、問題のトラブルシューティングを行う場合に役立つ拡張可能なアーキテクチャです。IPsec のネゴシエーションが失敗した場合、ネットワーク診断フレームワークから、問題を特定して解決するオプションがユーザーに提示されます。その後、ネットワーク診断フレームワークの IPsec サポートは、失敗した接続の原因を追求し、問題を自動的に解決するか、セキュリティの考慮事項によっては、ユーザーに適切な構成変更を求めます。

ネットワーク診断フレームワークの詳細については、「Windows Vista のネットワーク診断フレーム」および「Network Diagnostics Technologies in Windows Vista」(英語) を参照してください。

ワイヤレス接続と 802.1X ベースのワイヤード (有線) 接続

Windows Server 2008 と Windows Vista には、IEEE 802.11 ワイヤレス ネットワークと IEEE 802.1X 認証スイッチを使用するネットワークをサポートするための多数の機能強化が行われています。

IEEE 802.11 ワイヤレスの変更と機能強化

Windows Server 2008 と Windows Vista には、IEEE 802.11 ワイヤレス サポートに次の変更と機能強化が行われました。

  • ネイティブ Wi-Fi アーキテクチャ

  • ワイヤレス接続のユーザー インターフェイスの機能強化

  • ワイヤレス グループ ポリシーの機能強化

  • ワイヤレス自動構成の変更

  • WPA2 サポート

  • 802.1X 認証使用時のネットワーク アクセス保護との統合

  • EAPHost インフラストラクチャ

  • 802.11 ワイヤレス診断

  • ワイヤレス設定を構成するためのコマンドライン サポート

  • Network Location Awareness とネットワーク プロファイル

  • ワイヤレス環境向けの次世代 TCP/IP スタックの機能強化

  • シングル サインオン

詳細については、「Wireless Networking in Windows Vista」(英語) を参照してください。

ネイティブな Wi-Fi アーキテクチャ

Windows Server 2003 と Windows XP では、ワイヤレス接続をサポートするソフトウェア インフラストラクチャは、イーサネットの接続をエミュレートするように構築されているため、このインフラストラクチャを拡張する唯一の手段は IEEE 802.1X 認証で追加の EAP をサポートすることでした。Windows Server 2008 と Windows Vista では、"ネイティブ Wi-Fi アーキテクチャ" と呼ばれる 802.11 ワイヤレス接続のソフトウェア インフラストラクチャのデザインが次のように見直されました。

  • IEEE 802.11 は、Windows 内では、IEEE 802.3 から独立したメディアの種類として表されるようになりました。これにより、独立系ハードウェア ベンダ (IHV) では、イーサネットよりも大きなフレーム サイズなど、IEEE 802.11 ネットワークの高度な機能を柔軟にサポートできるようになります。

  • ネイティブ Wi-Fi アーキテクチャの新しいコンポーネントでは、802.11 接続の認証、承認、および管理を行うため、IHV で、このような機能をワイヤレス ネットワーク アダプタ ドライバに組み込むという作業負荷を軽減できます。これにより、ワイヤレス ネットワーク アダプタ ドライバの開発が簡略化されます。Windows Server 2008 と Windows Vista では、IHV は、トップ エッジでネイティブな 802.11 インターフェイスを公開するさらに小さな NDIS 6.0 ミニポート ドライバを開発する必要があります。

  • ネイティブ Wi-Fi アーキテクチャでは、ISV と IHV が、組み込みのワイヤレス クライアントを拡張して、追加のサービスやカスタム機能を実現するための API をサポートしています。ISV や IHV で記述した拡張可能なコンポーネントでも、独自の構成ダイアログ ボックスやウィザードを提供できます。

ワイヤレス接続のユーザー インターフェイスの機能強化

ワイヤレス接続のユーザー インターフェイス (UI) では、次の機能強化が行われました。

  • 新しいネットワークと共有センターへのワイヤレス構成の統合
    Windows Vista では、ワイヤレス ネットワークの接続は、ワイヤレス ネットワーク アダプタのプロパティからアクセスするのではなく、ネットワークと共有センターに統合されました。ネットワークと共有センターでは、ワイヤレス ネットワークに接続し、ワイヤレス アクセス ポイント (AP) を使用するワイヤレス ネットワークまたはアドホック ネットワークを設定し、ワイヤレス ネットワークを管理することができます。

  • すべてのユーザーまたはユーザーごとに構成できるワイヤレスネットワーク
    ネットワークと共有センターからアクセスできるワイヤレス ネットワークの管理フォルダで、ワイヤレス ネットワーク プロファイルの種類を指定できます。これにより、新しいワイヤレス ネットワーク (プロファイル) をコンピュータのすべてのユーザーまたは特定のユーザーにのみ適用されるように構成できます。ユーザーごとのワイヤレス プロファイルは、プロファイルが適用されるユーザーがコンピュータにログインしたときにのみ接続されます。ユーザーごとのプロファイルは、ユーザーがログオフするか、別のユーザーに切り替えられたときに切断されます。

  • 拡張可能なワイヤレス UI
    この資料の「ネイティブ Wi-Fi アーキテクチャ」で説明したように、組み込みの Windows ワイヤレス クライアントに独自のワイヤレス構成ダイアログ ボックスやウィザードを追加して、ISV や IHV 独自のワイヤレス機能を構成できます。

  • 非ブロードキャストワイヤレスネットワークを構成できる
    非ブロードキャスト ワイヤレス ネットワーク (非表示のワイヤレス ネットワーク) では、ネットワーク名 (サービス セット識別子 (SSID)) をアドバタイズしません。非ブロードキャスト ワイヤレス ネットワークのワイヤレス AP は、SSID を NULL に設定した状態でビーコン フレームを送信するように構成できます。これは、非ブロードキャスト SSID を使用する場合の慣例です。Windows Server 2003 と Windows XP では、優先するワイヤレス ネットワークを非ブロードキャストとして構成できませんでした。また、優先するワイヤレス ネットワークに自動接続されるとき、接続先のネットワークがブロードキャストである場合と非ブロードキャストである場合があるため、混乱を招くことがありました。Windows XP SP2 と Windows XP Service Pack 2 用のワイヤレス クライアント更新プログラムを実行しているコンピュータおよび Windows Server 2003 Service Pack 2 を実行しているコンピュータでは、優先するワイヤレス ネットワークを非ブロードキャスト ネットワークとして構成できます。Windows Server 2008 と Windows Vista では、優先するワイヤレス ネットワークを非ブロードキャスト ネットワークとして構成できます。

  • " 名前のないネットワーク " として非ブロードキャストワイヤレスネットワークを表示する
    ネットワークへの接続ウィザードの利用可能なワイヤレス ネットワークの一覧で、非ブロードキャスト ネットワークが "名前のないネットワーク" という名前で表示されます。非ブロードキャスト ワイヤレス ネットワークに接続する際には、非ブロードキャスト ワイヤレス ネットワークの名前を入力するように求められます。

  • セキュリティで保護されていないワイヤレスネットワークへの接続時にユーザーに確認する
    セキュリティで保護されていないワイヤレス ネットワークでの通信に伴うリスクにより、Windows Server 2008 と Windows Vista では、ユーザーがセキュリティで保護されていないワイヤレス ネットワークに接続するときにメッセージを表示し、接続を続行するかどうかを確認することができます。

  • ネットワーク接続ウィザードで、ワイヤレスネットワークアダプタによりサポートされているセキュリティメソッドを一覧表示する
    Windows Server 2008 と Windows Vista のネットワーク接続ウィザードでは、ワイヤレス ネットワーク アダプタのセキュリティ機能を取得し、ユーザーが最も強力なセキュリティ メソッドを選択できるようにしています。たとえば、ワイヤレス ネットワーク アダプタで Wired Equivalent Privacy (WEP) と Wi-Fi Protected Access (WPA) の両方がサポートされている場合、ネットワーク接続ウィザードでは、WPA または WEP のいずれかをセキュリティ メソッドとして選択できます。

新しいワイヤレス構成の UI に関する詳細については、「Windows Vista でワイヤレス ネットワークに接続する」を参照してください。

ワイヤレス グループ ポリシーの機能強化

Windows Server 2008 と Windows Vista では、ワイヤレス グループ ポリシー設定に次の機能強化が含まれています。この設定は、グループ ポリシー スナップインの [コンピュータの構成]-[Windows の設定]-[セキュリティの設定] ノードにあります。

  • WPA2 認証オプション
    Windows Server 2008 と Windows Vista のワイヤレス グループ ポリシーの設定により、WPA2 認証オプション (WPA2 (WPA2 Enterprise) と WPA2-PSK (WPA2 Personal)) を構成できます。Windows XP を実行しているコンピュータの WPA2 認証オプションを構成するには、Windows XP SP2 をインストールしているワイヤレス クライアント コンピュータに Windows XP Service Pack 2 用のワイヤレス クライアント更新プログラムをインストールする必要があります。その後、Windows Vista を実行しているコンピュータからグループ ポリシーの WPA2 認証設定を構成する必要があります。

  • 許可 / 拒否するワイヤレスネットワーク名の一覧
    Windows Server 2003 と Windows XP のワイヤレス クライアントでは、優先するワイヤレス ネットワークが検出されない場合または検出されたすべての優先するワイヤレス ネットワークへの接続に失敗した場合、ユーザーに検出されたワイヤレス ネットワークに接続するかどうかを確認するメッセージを表示します。Windows Server 2003 または Windows XP を実行しているワイヤレス クライアント コンピュータは、特定のワイヤレス ネットワークにのみ接続することを推奨するメッセージを表示したり、特定のワイヤレス ネットワークに接続することを求めるメッセージを表示したりするように構成することはできませんでした。Windows Server 2008 と Windows Vista のワイヤレス グループ ポリシー設定により、許可および拒否するワイヤレス ネットワーク名を構成できます。以下に例を示します。

    • 許可一覧では、Windows Server 2008 または Windows Vista のワイヤレス クライアント が接続することを許可する一連のワイヤレス ネットワークを名前 (SSID) で指定できます。これは、ネットワーク管理者が、組織のラップトップ コンピュータの接続先をワイヤレス ネットワークの特定のセットに限定する場合に役に立ちます。この特定のセットには、組織のワイヤレス ネットワークとワイヤレス インターネット サービス プロバイダを含めることができます。

    • 拒否一覧では、ワイヤレス クライアントが接続することを許可しない一連のワイヤレス ネットワークを名前で指定できます。これは、ある組織がビルの 1 フロアを占有していて隣接するフロアに他の組織の他のワイヤレス ネットワークがある場合などに、管理しているラップトップ コンピュータが組織のワイヤレス ネットワークの範囲内にある他のワイヤレス ネットワークに接続できないようにしたり、セキュリティが確保されていないことがわかっているワイヤレス ネットワークに接続できないようにしたりする場合に役に立ちます。

  • 優先するワイヤレスネットワークの追加設定
    Windows Server 2008 のワイヤレス グループ ポリシー設定では、優先するワイヤレス ネットワークについて以下の構成が可能です。

    • 高速移動
      これは WPA2 ワイヤレス ネットワークの高度な機能で、ワイヤレス クライアントは事前認証やペアワイズ マスタ キー (PMK) のキャッシュを使用して、あるワイヤレス AP から別のワイヤレス AP にこれまで以上に迅速に移動できます。Windows Server 2008 と Windows Vista では、ワイヤレス グループ ポリシーの設定を使用して、この動作を構成できます。Windows XP と Windows XP Service Pack 2 用のワイヤレス クライアント更新プログラムを使用している場合は、「Service Pack 2 で Windows XP の ワイヤレス提供 サービス情報要素 (WPS IE) アップデートが入手できる Wi-Fi 保護 アクセス 2 (WPA2)」に記載されているレジストリ設定を使用して、この動作を制御できます。

    • 非ブロードキャストワイヤレスネットワーク
      この資料の「ワイヤレス接続のユーザー インターフェイスの機能強化」で説明したように、ローカルで優先するワイヤレス ネットワークを非ブロードキャスト ワイヤレス ネットワークとして構成することができます。Windows Server 2008 では、ワイヤレス グループ ポリシー設定で、優先するワイヤレス ネットワークを非ブロードキャスト ネットワークとして構成できるようになりました。

    • 自動接続または手動接続
      Windows XP Service Pack 2、Windows Server 2003 Service Pack 1、Windows Server 2008、および Windows Vista では、優先するワイヤレス ネットワークのプロパティの [接続] タブで、優先するワイヤレス ネットワークの自動接続 (既定) または手動接続を構成できます。Windows Server 2008 のワイヤレス グループ ポリシー設定では、優先ワイヤレス ネットワークを自動接続または手動接続として構成できるようになりました。

詳細については、「Windows Vista 用ワイヤレス グループ ポリシーの設定」を参照してください。

Windows Server 2003 Active Directory 環境のスキーマを拡張して、Windows Vista ワイヤレス グループ ポリシーとワイヤード (有線) グループ ポリシーの機能強化をサポートする方法については、「Active Directory Schema Extensions for Windows Vista Wireless and Wired Group Policy Enhancements」(英語) を参照してください。

ワイヤレス自動構成の変更

ワイヤレス自動構成は、ユーザー設定または既定の設定に基づいてコンピュータが自動的に接続されるワイヤレス ネットワークを動的に選択するサービスです。これには、より優先度の高いワイヤレス ネットワークが利用可能になったときに自動的に選択して接続することも含まれます。Windows Server 2008 と Windows Vista では、ワイヤレスの自動構成に次の変更が加えられました。

  • 優先するワイヤレス ネットワークが利用できない場合の動作の変更

    Windows XP と Windows Server 2003 では、優先するワイヤレス ネットワークに接続できず、ワイヤレス クライアントが優先一覧にないワイヤレス ネットワークへの自動接続を防止するように構成されている (既定の設定の) 場合、ワイヤレス自動構成では、ランダムなワイヤレス ネットワーク名を作成し、ワイヤレス ネットワーク アダプタをインフラストラクチャ モードに設定します。ただし、ランダムなワイヤレス ネットワークにはセキュリティ構成がないため、悪意のあるユーザーが、ランダムなワイヤレス ネットワーク名を使用してワイヤレス クライアントに接続することができます。新しい Windows XP Service Pack 2 用のワイヤレス クライアント更新プログラムでは、128 ビットのランダムな暗号化キーおよびワイヤレス ネットワーク アダプタでサポートされている最も強力な暗号化の方法で構成されているセキュリティ構成とランダムな名前を使用して、ワイヤレス ネットワーク アダプタを構成することで、この動作を変更しました。この新しい動作は、悪意のあるユーザーが、ランダムなワイヤレス ネットワーク名を使用してワイヤレス クライアントに接続することを防止するのに役立ちます。

    Windows Server 2008 または (Windows Vista 用にデザインされた更新済みのワイヤレス ドライバを使用する) Windows Vista を実行しているコンピュータでは、ワイヤレス自動構成でワイヤレス ネットワーク アダプタを受信待ちのパッシブ モードに設定することで、この脆弱性を排除します。このモードの間、ワイヤレス ネットワーク アダプタでは、ランダム ワイヤレス ネットワーク名や他の名前に対してプローブ要求フレームを送信することがないため、悪意のあるユーザーはワイヤレス クライアントに接続できません。大半のネットワーク ドライバは Windows Vista 用に更新されています。Windows XP 用にデザインされたワイヤレス ネットワーク アダプタを使用している場合、Windows Vista または Windows Server 2008 を実行しているコンピュータでは、Windows XP Service Pack 2 用のワイヤレス クライアント更新プログラムの動作が使用されます (ランダムなワイヤレス ネットワーク名とセキュリティ構成を使用します)。

  • 非ブロードキャスト ワイヤレス ネットワークの新しいサポート

    Windows XP と Windows Server 2003 では、ワイヤレス自動構成は、構成済みの優先するワイヤレス ネットワークをネットワーク名とブロードキャストしているワイヤレス ネットワークと照合します。利用可能なネットワークに優先するワイヤレス ネットワークと一致するものがない場合、ワイヤレス自動構成では、プローブ要求を送信して、一覧にある優先するネットワークが非ブロードキャスト ネットワークであるかどうかを判断します。この動作の結果、ブロードキャスト ネットワークへの接続は、非ブロードキャスト ネットワークへの接続に優先されます。これは、非ブロードキャスト ネットワークがブロードキャスト ネットワークに優先されている場合も同様です。また、Windows XP または Windows Server 2003 ワイヤレス クライアントでは、プローブ要求を送信する際に優先するワイヤレス ネットワークの一覧をアドバタイズします。

    Windows Server 2008 と Windows Vista では、ワイヤレス ネットワークをブロードキャスト (ワイヤレス ネットワーク名は、ワイヤレス AP で送信されるビーコン フレームに含められます) または非ブロードキャスト (ビーコン フレームに含まれるワイヤレス ネットワーク名は NULL に設定されます) として構成できます。ワイヤレス自動構成では、ブロードキャスト ネットワークまたは非ブロードキャスト ネットワークであるかに関係なく、優先するネットワークの一覧にある順にワイヤレス ネットワークへの接続を確立します。ワイヤレス ネットワークは、明示的にブロードキャストまたは非ブロードキャストとしてマークされるので、Windows Server 2008 または Windows Vista ワイヤレス クライアントでは、非ブロードキャスト ワイヤレス ネットワークに対してのみプローブ要求を送信します。

WPA2 サポート

Windows Server 2008 と Windows Vista には、グループ ポリシー設定の標準プロファイル (ローカルに構成された優先するワイヤレス ネットワーク) とドメイン プロファイルの両方を使用して WPA2 認証オプションを構成するための組み込みサポートがあります。WPA2 は、ワイヤレス装置が IEEE 802.11i 標準と互換性があることを証明する、Wi-Fi Alliance を通じて利用できる製品証明書です。Windows Server 2008 と Windows Vista の WPA2 では、操作の WPA2-Enterprise モード (IEEE 802.1X 認証) と WPA2-Personal モード (事前共有キー認証) の両方がサポートされます。

Windows Server 2008 と Windows Vista には、アドホック モードのワイヤレス ネットワーク (ワイヤレス AP を使用しないワイヤレス クライアント間のワイヤレス ネットワーク) の WPA2 サポートも含まれます。

802.1X 認証使用時のネットワーク アクセス保護との統合

802.1X 認証を使用する WPA2-Enterprise、WPA-Enterprise、および動的 WEP 接続では、ネットワーク アクセス保護プラットフォームを活用して、システム正常性要件に準拠しないワイヤレス クライアントがイントラネットに無制限にアクセスできないようにすることができます。ネットワーク アクセス保護プラットフォームの詳細については、この資料の「ネットワーク アクセス保護」を参照してください。

EAPHost インフラストラクチャ

IEEE 802.1X 認証されたワイヤレス接続の拡張認証プロトコル (EAP) 認証手法の展開を容易にするために、Windows Server 2008 と Windows Vista では、新しい EAPHost インフラストラクチャがサポートされます。詳細については、この資料の「新しい EAPHost アーキテクチャ」を参照してください。

新しい既定の EAP 認証方法

Windows Server 2003 と Windows XP では、802.1X で認証されたワイヤレス接続の既定の EAP 認証方法は、EAP-Transport Layer Security (TLS) です。EAP-TLS は、デジタル証明書を使用する相互認証を採用した最も強力な認証形式ですが、ユーザー証明書とコンピュータ証明書の配布、失効、および更新を行うには公開キー インフラストラクチャ (PKI) が必要です。

多くの組織では、既に Active Directory に存在するアカウント名とパスワードに基づく認証を利用することを希望します。そのため、Windows Server 2008 と Windows Vista では、802.1X で認証されたワイヤレス接続の既定の EAP 認証方法が、PEAP-MS-CHAP v2 (Protected EAP-Microsoft Challenge Handshake Authentication Protocol Version 2) に変更されました。PEAP-MS-CHAP v2 は、ワイヤレス接続のパスワードベースの 802.1X 認証方法で、必要な作業はリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーにコンピュータ証明書をインストールすることだけです。PEAP-MS-CHAP v2 の詳細については、「セキュリティ保護されたパスワード ベースのワイヤレス アクセスのための PEAP および MS-CHAP v2」を参照してください。

ワイヤレス接続の診断サポート

Windows XP Service Pack 2 と Windows Server 2003 Srvice Pack 1 では失敗したワイヤレス接続のトラブルシューティングが強化されましたが、それでも容易ではありませんでした。Windows Server 2008 と Windows Vista では、次の機能により、ワイヤレス接続のトラブルシューティングが非常に容易になります。

  • ワイヤレス接続での新しいネットワーク診断フレームワークのサポート
    ネットワーク診断フレームワークは、ユーザーがネットワーク接続の問題を復旧したり、問題のトラブルシューティングを行う場合に役立つ拡張可能なアーキテクチャです。ワイヤレス接続が失敗した場合、ネットワーク診断フレームワークから、問題を特定して解決するオプションがユーザーに提示されます。その後、ネットワーク診断フレームワークのワイヤレス サポートは、失敗した接続の原因を追求し、問題を自動的に解決するか、セキュリティの考慮事項によっては、ユーザーに適切な構成変更を求めます。

    ネットワーク診断フレームワークの詳細については、「Windows Vista のネットワーク診断フレーム」および「Network Diagnostics Technologies in Windows Vista」(英語) を参照してください。

  • Windows イベントログに格納される新しい情報
    Windows Server 2008 と Windows Vista のワイヤレス コンポーネントは、ワイヤレス接続試行が失敗した場合に、Windows イベント ログに失敗した接続試行に関する詳細情報を記録します。組織のサポート担当者は、ワイヤレス診断によって問題を解決できなかった場合、または問題自体は解決できても、ワイヤレス クライアントの設定を変更すると問題がまた解決できなくなる場合、これらのイベント レコードを使用して、さらに細かいトラブルシューティングを行うことができます。Windows イベント ログの情報は、ワイヤレス接続のサポートに関する問題の解決に必要な時間を短縮できます。また、ネットワーク管理者は Microsoft Operations Manager やその他の種類の集中管理ツールを使用して、こうしたイベント ログ エントリを自動的に収集し、傾向を分析したり、ワイヤレス インフラストラクチャのデザイン変更を分析したりできます。

  • ワイヤレス診断トレース
    詳細な分析を行うには、マイクロソフトまたはサポート担当者は、コンピュータの状態、Windows のワイヤレス コンポーネント、および問題が発生したときの動作に関する詳細な情報が必要です。この情報は、Windows Server 2008 と Windows Vista のワイヤレス診断トレースから取得できます。ワイヤレス診断トレースを使用するには、トレースを開始し、問題を再現し、トレースを停止して、トレース レポートを収集する必要があります。ワイヤレス診断トレースを開始するには、netsh wlan set tracing mode=yes コマンドを使用します。ワイヤレス診断トレースを停止するには、netsh wlan set tracing mode=no コマンドを使用します。トレース レポートを表示するには、信頼性とパフォーマンス モニタ スナップインのコンソール ツリーで、[レポート]、[システム]、[ワイヤレス診断] を順に展開します。

  • 分析と機能強化のために情報をマイクロソフトに送信 可能
    ワイヤレス接続で問題が発生したユーザーは、マイクロソフトが分析を行うために、Windows エラー報告 (WER) インフラストラクチャを通じて接続情報をマイクロソフトに送信するかどうかの問い合わせを受けます。また、ソフトウェアの品質基準 (SQM) インフラストラクチャを通じて、診断の成功をマイクロソフトに送信することもできます。SQM は Windows XP ではカスタマ エクスペリエンス向上プログラムとも呼ばれます。どちらの場合も、ワイヤレス ネットワークの診断情報のみが送信されます。コンピュータやユーザーの個人情報が送信されることはありません。マイクロソフトはこの情報を使用して、ワイヤレス接続エラーの最も根本的な原因の特定、ワイヤレス接続の新たな問題とその原因の特定、および Windows のワイヤレス クライアント ソフトウェアを向上するための対応や、ワイヤレス ハードウェア製品を向上するためのワイヤレス ベンダとの共同作業を行います。

ワイヤレス設定を構成するためのコマンドライン サポート

Windows Server 2003 または Windows XP では、ネットワーク接続フォルダのワイヤレス ダイアログ ボックスやワイヤレス ネットワーク (IEEE 802.11) ポリシーのグループ ポリシー設定にあるワイヤレス設定を構成できるコマンドライン インターフェイスはありませんでした。ワイヤレス設定をコマンドラインから構成できることで、以下のような状況でワイヤレス ネットワークを展開する場合に役に立ちます。

  • グループポリシーを使用せずにスクリプトによるワイヤレス設定の自動化がサポート
    ワイヤレス ネットワーク (IEEE 802.11) ポリシー グループ ポリシーの設定は、Active Directory ドメインでのみ適用されます。Active Directory またはグループ ポリシー インフラストラクチャのない環境の場合、ワイヤレス接続の構成を自動化するスクリプトを、手動で実行するか、たとえば、ログイン スクリプトの一部として、自動的に実行できます。

  • セキュリティで保護された組織のワイヤレスネットワークでワイヤレスクライアントをブートストラップする
    ドメインのメンバでないワイヤレス クライアント コンピュータは、セキュリティで保護されたワイヤレス ネットワークに接続できません。また、コンピュータをセキュリティで保護された組織のワイヤレス ネットワークに正しく接続できるまで、そのコンピュータをドメインに参加させることはできません。コマンドライン スクリプトでは、ドメインに参加するためにセキュリティで保護された組織のワイヤレス ネットワークに接続する手段が提供されます。

    Windows Vista ワイヤレス クライアントをドメインに参加させる方法の詳細については、「Joining a Windows Vista Wireless Client to a Domain」(英語) を参照してください。

Windows Server 2008 と Windows Vista では、netsh wlan コンテキストの Netsh コマンドを使用して、以下のことを実行できます。

  • 名前付きのプロファイルに、全般設定 (アクセスするワイヤレス ネットワークの種類)、802.11 設定 (SSID、認証の種類、データ暗号化の種類)、802.1X 認証設定 (EAP の種類とその構成) などのワイヤレス クライアントのすべての設定を保存する。

  • 許可および拒否するワイヤレス ネットワーク名の一覧を指定する。

  • ワイヤレス ネットワークの優先順位を指定する。

  • ワイヤレス クライアントの構成を表示する。

  • ワイヤレス クライアントからワイヤレス構成を削除する。

  • ワイヤレス クライアント間でワイヤレス構成設定を移行する。

詳細については、「Netsh Commands for Wireless Local Area Network (wlan)」(英語) を参照してください。

Network Location Awareness とネットワーク プロファイル

多くのアプリケーションはネットワークを認識しません。そのことが、ユーザーの混乱や開発者のオーバーヘッドにつながります。たとえば、現在接続しているネットワークやその状態に基づいて、アプリケーションの状態を自動的に調整することはできません。ユーザーは、接続するネットワーク (会社のプライベート ネットワーク、ユーザーのホーム ネットワーク、インターネット) に応じて、アプリケーションの設定を再構成する必要があります。アプリケーション開発者は、こうした構成の負担を取り除くために、低レベルの API やデータ構成を使用し、場合によってはネットワークを自身で調査して、現在のネットワークを判断し、それに応じてアプリケーションの動作を調整します。

現在接続しているネットワークに基づいて、アプリケーション開発者がアプリケーションの動作を容易に構成できるオペレーティング システム インフラストラクチャを提供するために、Windows Server 2008 と Windows Vista の Network Awareness API は、Windows で利用できるネットワーク情報をアプリケーションで利用できるようにし、変化する環境にアプリケーションが容易かつ効果的に適合できるようにします。Network Awareness API を使用すると、アプリケーションでは、最新のネットワーク情報と場所の変更に関する通知を受け取ることができます。

Network Awareness API の詳細については、「Network Awareness on Windows Vista」(英語) を参照してください。

ワイヤレス環境向けの次世代 TCP/IP スタックの機能強化

この資料の「損失の多い環境のための機能強化」で説明したように、次世代の TCP/IP スタックには、1 回および複数回のパケット損失から回復し、不要な再送信を検出して、ワイヤレス ネットワーク環境のパフォーマンスを向上する、スループットを最適化する新しい TCP アルゴリズムがあります。

シングル サインオン

シングル サインオンを使用すると、ネットワーク管理者は、ユーザー ログオン プロセスの前にユーザー レベルの IEEE 802.1X 認証を行うように指定できます。この機能では、特定の構成におけるドメイン ログオンの問題に対応します。また、シングル サインオンは、ワイヤレス認証を簡略化し、Windows のログオン エクスペリエンスとシームレスに統合します。

ネットワーク管理者は、新しいワイヤレス グループ ポリシーの設定を使用して、ワイヤレス クライアント コンピュータでシングル サインオンのプロファイルを構成できます。ユーザー ログオン プロセスの前にユーザー レベルの 802.1X 認証を実行するシングル サインオンを構成することで、グループ ポリシーの更新、ログイン スクリプトの実行、仮想 LAN の切り替え、ワイヤレス クライアントのドメインへの参加などの問題を回避できます。

シングル サインオンのプロファイルを使用して Windows Vista ワイヤレス クライアントをドメインに参加させる方法の例については、「Joining a Windows Vista Wireless Client to a Domain」(英語) を参照してください。

IEEE 802.1X ベースのワイヤード (有線) 接続の機能強化

Windows Server 2003 と Windows XP では、ワイヤード (有線) 接続の 802.1X 認証設定を認証スイッチに展開する際にはサポートに制限がありました。Windows Server 2008 と Windows Vista には、802.1X で認証されたワイヤード (有線) 接続の展開を容易にするために次の機能強化が行われました。

  • ワイヤード 802.1X 設定のグループ ポリシー サポート

  • ワイヤード 802.1X 設定を構成するためのコマンドライン インターフェイス

  • 802.1X 認証使用時のネットワーク アクセス保護との統合

  • EAPHost インフラストラクチャ

  • 802.1X サービス状態の変更

ワイヤード 802.1X 設定のグループ ポリシー サーポート

Windows Server 2008 と Windows Vista には、Active Directory とグループ ポリシーを使用する環境向けに、ワイヤード (有線) 接続の 802.1X 認証設定に関するグループ ポリシー サポートがあります。この設定は、[コンピュータの構成]-[Windows の設定]-[セキュリティの設定]-[ワイヤード (有線) ネットワーク (IEEE 802.3) ポリシー] の下にあります。

ワイヤード 802.1X 設定を構成するためのコマンドライン インターフェイス

Windows Server 2008 と Windows Vista では、Active Directory やグループ ポリシーを使用しない環境向けに、またはドメインへの参加シナリオ向けに、ワイヤード (有線) 接続の 802.1X 認証設定を構成するためのコマンドライン インターフェイスもサポートされます。netsh lan コンテキストのコマンドを使用して、以下のことを実行できます。

  • 名前付きのプロファイルに 802.1X 認証設定 (EAP の種類とその構成) を含む、ワイヤード クライアントのすべての設定を保存する。

  • ワイヤード クライアントの構成を表示する。

  • ワイヤード クライアントからワイヤード構成を削除する。

  • ワイヤード プロファイルをインポートしてワイヤード クライアント間でワイヤード構成設定を移行する。

詳細については、「Netsh Commands for Wireless Local Area Network (WLAN)」(英語) を参照してください。

ワイヤード プロファイルを使用して Windows Vista ワイヤード クライアントをドメインに参加させる方法の詳細については、「Joining a Windows Vista Wired Client to a Domain」(英語) を参照してください。

802.1X 認証使用時のネットワーク アクセス保護との統合

IEEE 802.1X で認証されたワイヤード接続では、ネットワーク アクセス保護プラットフォームを活用して、システム正常性要件に準拠しないワイヤード クライアントがプライベート ネットワークに無制限にアクセスできないようにすることができます。ネットワーク アクセス保護プラットフォームの詳細については、この資料の「ネットワーク アクセス保護」を参照してください。

EAPHost インフラストラクチャ

IEEE 802.1X で認証されたワイヤード (有線) 接続の EAP 認証方法の展開を容易にするために、Windows Server 2008 と Windows Vista では、新しい EAPHost インフラストラクチャがサポートされます。詳細については、この資料の「新しい EAPHost アーキテクチャ」を参照してください。

802.1X サービス状態の変更

Windows XP と Windows Server 2003 では、802.1X サービスが既定で有効になりましたが、受信待ちがパッシブ モードになりました。ワイヤード自動構成サービスと呼ばれる Windows Vista のワイヤード (有線) 接続用の 802.1X サービスのスタートアップの種類は、既定では [手動] になっていますが、このサービスを開始すると、受信待ちがアクティブ モードになります。LAN 接続のプロパティで 802.1X 設定を構成する [認証] タブが表示されるようにするには、ワイヤード自動構成サービスを開始する必要があります。

ネットワーク インフラストラクチャ

Windows Server 2008 と Windows Vista では、ネットワーク インフラストラクチャ コンポーネントとサービスに次の変更が加えられました。

  • ネットワーク アクセス保護

  • ネットワーク ポリシー サーバー

  • 新しい EAPHost アーキテクチャ

  • リモート アクセスと VPN 接続の機能強化

  • DHCP の機能強化

ネットワーク アクセス保護

Windows Server 2008、Windows Vista、および Windows XP のネットワーク アクセス保護 (NAP) では、ネットワークに接続しているコンピュータまたはネットワークと通信しているコンピュータが、システム正常性として管理者が定義した要件に準拠するようにするポリシー適用コンポーネントを提供します。たとえば、システム正常性の要件として、すべてのコンポーネントで最新のオペレーティング システムの更新プログラムとウイルス対策プログラムの署名ファイルのインストールが指定されていることがあります。

管理者は、ポリシーを検証するコンポーネントとネットワーク アクセスを制限するコンポーネントを組み合わせて使用して、ネットワーク アクセスや通信を制御できます。また、一時的に、要件を満たさないコンピュータのアクセスを特定のネットワークに限定することもできます。構成によっては、制限された特定のネットワークには、要件を満たさないコンピュータを更新するように要求するリソースが含まれることがあります。これは、このようなりソースが、無制限のネットワーク アクセスと通常の通信に必要正常性の要件を満たすために必要な動作です。NAP では、API のセットが提供されます。開発者やベンダはこの API を使用して、正常性ポリシーの検証、ネットワーク アクセスの制限、自動修復、および継続的に正常性に準拠する完全なソリューションを作成できます。

NAP 強制テクノロジ

Windows Server 2008 と Windows Vista には、以下の新しい NAP 強制テクノロジが含まれています。

  • IPsec
    IPsec 実施により、ネットワーク上での通信を要件に準拠したコンピュータに制限できます。クライアント コンピュータとサーバー コンピュータでは、要件を満たしていないコンピュータからの通信をブロックできます。IPsec 実施では、準拠しているコンピュータが正常に接続され、有効な IP アドレス構成の取得が完了するまで、このようなコンピュータとの通信を制限します。IPsec 実施は、ネットワーク アクセス保護の中でも最も厳しい形式のネットワーク アクセス制限です。

  • IEEE 802.1X
    802.1X 実施により、ネットワーク ポリシー サーバー (NPS) では、802.1X クライアントが正常性を修復する一連の機能を実行するまで、クライアントに制限付きアクセスのプロファイルを適用するように 802.1X ベースの AP (イーサネット スイッチまたはワイヤレス AP) に通知します。制限付きアクセス プロファイルは、802.1X クライアントのトラフィックを制限する一連の IP パケット フィルタまたは仮想 LAN 識別子で構成できます。802.1X 実施は、802.1X 接続でネットワークにアクセスするすべてのコンピュータに、厳しいネットワーク アクセス制限を提供します。NPS の詳細については、この資料の「ネットワーク ポリシー サーバー」を参照してください。

  • VPN
    VPN サーバーは VPN 実施を使用して、コンピュータがネットワークに VPN 接続を試みたときに、いつでも正当性ポリシーを実施できます。VPN 実施は、VPN 接続でネットワークにアクセスするすべてのコンピュータに、厳しいネットワーク アクセス制限を提供します。NAP の VPN 実施は、Windows Server 2003 の機能であるネットワーク アクセス検疫コントロールとは異なります。NAP の VPN 実施とネットワーク アクセス検疫コントロールでは、同様の機能が実行されますが、NAP の方が容易に展開できます。

  • DHCP
    DHCP サーバーは DHCP 実施を使用して、コンピュータがネットワークで IP アドレスのリースまたは更新を試みたときに、いつでも正常性ポリシー要件を適用できます。DHCP 実施は、IP ルーティング テーブルのエンティティに依存しているため、NAP 実施の中で最も脆弱な形式になります。

NAP API を使用すると、サードパーティのソフトウェア ベンダでは、独自の NAP 実施テクノロジを作成できます。

NAP プラットフォームの詳細については、「Network Access Protection Web page」(英語) を参照してください。

ネットワーク ポリシー サーバー

ネットワーク ポリシー サーバー (NPS) は、Windows Server 2008 で、マイクロソフトが実装したリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーとプロキシです。NPS は Windows Server 2003 のインターネット認証サービス (IAS) に取って代わります。NPS では、Windows Server 2003 の IAS で行われるすべての機能を VPN と 802.1X ベースのワイヤレス接続およびワイヤード (有線) 接続に対して実行します。また、状態の評価を行い、ネットワーク アクセス保護クライアントに無制限のアクセス権または制限付きのアクセス権を与えます。詳細については、この資料の「ネットワーク アクセス保護」を参照してください。

NPS では、RFC 3162 で規定されているように IPv6 経由で RADIUS トラフィックを送信することもサポートしています。

新しい EAPHost アーキテクチャ

Windows Server 2008 と Windows Vista では、EAPHost が導入されました。これは、拡張認証プロトコル (EAP) 認証方法と EAP ベースのサプリカントのための新しいアーキテクチャです。EAPHost では、Windows Server 2003 と Windows XP の EAP 実装ではサポートされていない次の機能が提供されます。

  • 追加の EAP メソッドのサポート
    EAPHost では、一般的な他の EAP メソッドがサポートされます。

  • ネットワーク探索
    EAPHost では、RFC 4284 で規定されているとおりネットワーク探索をサポートします。

  • RFC 3748 への準拠
    EAPHost は EAP State Machine に準拠し、RFC 3748 で規定されている多数のセキュリティ脆弱性に対応します。また、EAPHost では、(ベンダ固有の EAP メソッドを含む) 拡張された EAP の種類などの追加機能がサポートされます。

  • EAP メソッドの共存
    EAPHost では、同じ EAP メソッドの複数の実装が同時に存在することが許可されています。たとえば、マイクロソフト バージョンの PEAP と Cisco Systems, Inc. バージョンの PEAP をインストールして選択することができます。

  • モジュール式のサプリカントアーキテクチャ
    モジュール式の EAP メソッドのサポートに加えて、EAPHost では Windows の EAP インフラストラクチャ全体を置き換えることなく、新しいアプリケーションを追加できるモジュール式のサプリカント アーキテクチャもサポートされます。

EAPHost では、Windows Server 2003 と Windows XP 用に開発された EAP メソッドのサポートを提供し、Windows Server 2008 と Windows Vista 用の新しい EAP メソッドの開発を簡略化する方法が提供されます。認証された EAP メソッドは Windows Update で配布できます。また、EAPHost では、組み込みの 802.1X と PPP ベースの Windows サプリカントで使用できるように、より細かい EAP の種類の分類を行うことができます。

サプリカント メソッド ベンダに対して、EAPHost は、モジュール式のサポートと新しいリンク層のプラグ可能なサプリカントを提供します。EAPHost は NAP と統合されているので、新しいサプリカントは NAP に対応している必要はありません。NAP に参加するために新しいサプリカントで必要なことは、接続 ID とサプリカントに再認証の通知をするコールバック関数を登録するだけです。

ネットワーク管理者に対しては、EAPHost は、新しい EAP メソッドの可用性と 802.1X で認証された接続のためのより堅牢で柔軟なインフラストラクチャを提供します。

リモート アクセスと VPN 接続の機能強化

Windows Server 2008 のリモート アクセス接続と VPN 接続には、次の機能強化が加えられました。

  • リモートアクセス VPN 接続の VPN 実施
    組み込みの VPN クライアントおよびルーティングとリモート アクセスでは、NAP プラットフォームに VPN 実施をサポートするコンポーネントを追加します。詳細については、この資料の「ネットワーク アクセス保護」を参照してください。

  • IPv6 のサポート
    組み込みのリモート アクセス クライアントおよびルーティングとリモート アクセスでは、RFC 2472 で規定されているようにポイント ツー ポイント プロトコル (PPP) 経由の IPv6 をサポートしています。ネイティブな IPv6 トラフィックは PPP ベースの接続経由で送信できます。たとえば、このサポートを使用して、ダイヤルアップ接続経由またはブロードバンド インターネット アクセスに使用できる PPP over Ethernet (PPPoE) ベースの接続経由で、IPv6 ベースのインターネット サービス プロバイダ (ISP) に接続できます。組み込みのリモート クライアントおよびルーティングとリモート アクセスでは、IPv6 ベースの Layer Two Tunneling Protocol with IPsec (L2TP/IPsec) VPN 接続もサポートされています。また、IPv6 のサポートには、DHCPv6 リレー エージェント、IPv6 ベースの静的なパケット フィルタ、および IPv6 経由の RADIUS トラフィックが含まれます。

  • 改定された接続作成ウィザード
    この新しいウィザードを使用すると、ダイヤルアップ接続、ブロードバンド インターネット接続、および VPN 接続を簡単に構成することができます。

  • 更新された Winlogin のサポート
    サードパーティのアクセス プロバイダが、ユーザーのログイン時に自動でリモート アクセス接続を作成するための接続をプラグインできるようになりました。

  • 接続マネージャ管理キットでの複数のロケールのサポート
    Windows Vista または Windows XP を実行している任意のロケールのクライアントにインストールできる接続マネージャのプロファイルを任意のロケールのサーバー上で作成できます。これにより、接続マネージャ管理キット (CMAK) ベースのクライアント管理が簡略化されます。

  • 接続マネージャクライアントでの DNS の動的更新のサポート
    接続マネージャ クライアントでは、DNS 動的更新を使用した DNS 名と IP アドレスの登録がサポートされるようになりました。

  • 新しい暗号化のサポー
    L2TP/IPsec ベースの VPN 接続では、128 ビット キーと 256 ビット キーを使用する高度暗号化標準 (AES) がサポートされるようになりました。PPTP では 40 ビットと 56 ビットの Microsoft Point-to-Point Encryption (MPPE)、L2TP/IPSec では DES with Message Digest 5 (MD5) など、AES より弱い暗号化アルゴリズムのサポートは既定で無効になります。PPTP ベースの接続で 40 ビットおよび 56 ビットの MPPEを有効にするには、HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\AllowPPTPWeakCrypto レジストリ値 (DWORD) を 1 に設定し、コンピュータを再起動します。L2TP/IPSec 接続で DES with MD5 を有効にするには、HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\AllowL2TPWeakCrypto registry レジストリ値 (DWORD) を 1 に設定し、コンピュータを再起動します。

  • 認証プロトコルの変更
    PPP ベースの接続では、SPAP、EAP-MD5-CHAP、および MS-CHAP 認証プロトコルがサポートされなくなりました。リモート アクセス PPP ベースの接続では Protected EAP (PEAP)、PEAP-MS-CHAP v2、および PEAP-TLS の使用がサポートされるようになりました。

  • L2TP/IPsec ベースの VPN 接続での追加の証明書チェック
    VPN クライアント コンピュータは、既定で VPN サーバーのコンピュータ証明書のフィールドについて追加の分析を行い、man-in-the-middle アタックの検出をサポートします。この分析では、VPN サーバーのコンピュータ証明書のサブジェクトの別名フィールドまたはサブジェクト フィールドの値が、ネットワーク接続フォルダの VPN 接続のプロパティの [全般] タブで指定されている VPN サーバーの名前または IP アドレスと同じであること、証明書に Server Authentication Enhanced Key Usage (EKU) が含まれていることを確認します。この証明書に関する追加の確認処理は、VPN クライアントで [IPsec 設定] ダイアログ ボックスで無効にできます。この設定は、ネットワーク接続フォルダの VPN 接続のプロパティの [ネットワーク] タブからアクセスできます。

  • ネットワーク診断フレームワークのサポート
    クライアント ベースの接続では、ネットワーク診断フレームワークにより基本的な診断機能がサポートされます。

    ネットワーク診断フレームワークの詳細については、「Windows Vista のネットワーク診断フレーム」および「Network Diagnostics Technologies in Windows Vista」(英語) を参照してください。

DHCP の機能強化

DHCP Server サービスと DHCP Client サービスには、次の機能強化が加えられました。

  • Dynamic Host Configuration Protocol for IPv6 (DHCPv6) のサポート
    RFC 3315 で定義されている Dynamic Host Configuration Protocol for IPv6 (DHCPv6) では、ネイティブな IPv6 ネットワーク上にある IPv6 ホストにステートフルなアドレス構成を提供します。Windows Vista と Windows Server 2008 の DHCP Client サービスでは DHCPv6 がサポートされています。Windows Server 2008 または Windows Vista を実行するコンピュータでは、ネイティブ IPv6 ネットワーク上でステートフルとステートレスの両方の DHCPv6 構成を実行できます。Windows Server 2008 ベータ 2 リリースの DHCP Server サービスでは DHCPv6 のステートレスな運用がサポートされています。DHCPv6 のステートフルな運用のサポートは、Windows Server 2008 RC リリースで追加することを検討しています。

    DHCPv6 の詳細については、「DHCPv6 プロトコル」を参照してください。

  • ネットワークアクセス保護実施のサポート
    ネットワーク アクセス プラットフォーム (NAP) プラットフォームで DHCP を実施するには、無制限のアクセスのアドレス構成を受け取る前に DHCP クライアントがシステム状態を提供する必要があります。詳細については、この資料の「ネットワーク アクセス保護」を参照してください。

廃止されたテクノロジ

Windows Server 2008 と Windows Vista では次のテクノロジのサポートが廃止になりました。

  • 帯域幅割り当てプロトコル (BAP)

  • X.25

  • シリアル回線インターネット プロトコル (SLIP)

    SLIP ベースの接続は自動的に PPP ベースの接続に更新されます。

  • 非同期転送モード (ATM)

  • IP over IEEE 1394

  • NWLink IPX/SPX/NetBIOS 互換トランスポート プロトコル

  • Services for Macintosh (SFM)

  • ルーティングとリモート アクセスの Open Shortest Path First (OSPF) ルーティング プロトコル コンポーネント

  • ルーティングとリモート アクセスのベーシック ファイアウォール (Windows ファイアウォールに置き換わりました)

  • ルーティングとリモート アクセスの静的 IP フィルタ (Windows Filtering Platform API に置き換わりました)

  • PPP ベース接続での SPAP、EAP-MD5-CHAP、および MS-CHAP (別称、MS-CHAP v1) 認証プロトコル

Bb726965.note(ja-jp,TechNet.10).gif 注 :

この廃止されたテクノロジの一覧は変更されることがあります。マーケティング上または技術上などの理由から、これ以外の機能が最終製品に含まれないことがあります。

まとめ

Windows Server 2008 と Windows Vista では、接続するコンピュータをシステムの正常性ポリシーに準拠させることで、接続やパフォーマンスを強化し、プロトコルや主要なネットワーク コンポーネントの構成を簡略化し、セキュリティを強化し、使いやすさを向上し、ワイヤレス接続や 802.1X で認証されたワイヤード (有線) 接続の展開およびプライベート ネットワークの保護を強化する多数の機能強化が行われました。

関連リンク

詳細については、以下のリソースを参照してください。


コミュニティの追加

追加
表示: