Microsoft® Windows® 95 (以下 Windows 95) ダイヤルアップ ネットワーク 1.3 (以下 DUN 1.3) アップグレードは、Windows 95 で初めにリリースされたダイヤルアップ ネットワーク コンポーネントに機能を追加します。DUN 1.3 には、1.2 リリースおよび ISDN 1.1 リリースのすべての機能が備わっています。追加機能には、内部 ISDN アダプタ、2 つの ISDN チャネルへのマルチリンク、非標準ログイン接続を自動化するための接続時スクリプト、および PPTP クライアントのサポートが含まれます。
· 今回のアップデートでは、PPTP 接続の際に暗号化と圧縮を行うという過去にない新モードを実現しました。この新モードにより、遅延率の高いネットワークや、パケットの損失が著しいネットワークにおいて PPTP を利用することにより発生するパフォーマンスの問題を解決できます。このアップグレード版は、これまでの PPTP システムと完全に互換性がありますが、これまでにないモードを折衝するために、PPTP クライアントと PPTP サーバーの両方がこの新モードをサポートしている必要があります。一方が新モードに対応していない場合は、通常の MPPE 圧縮および暗号化の折衝が行われます。
· ダイヤルアップ接続における IP のパケット サイズは、現在では接続速度に応じて自動的に調整されます。設定は、128kbps 以下のダイヤルアップ接続が [小] (576) で、高速なダイヤルアップ接続または LAN 接続が [大] (1500) です。さらに、フラグメント化を避けるため、MTU (Maximum Transit Unit:最大転送単位) に応じて PPTP のフレーム サイズが調整されます。ダイヤルアップや PPTP における MTU サイズは手動で特定のサイズに設定できます。これらの値は、ダイヤルアップ アダプタの詳細プロパティで設定できます。
· PPTP 受信ウィンドウの既定のサイズが 16 に拡大されました。
· MSCHAP (MSCHAP V2) の新バージョンが実装され、相互認証および高度な初期データ暗号化キーが実現し、送信パスと受信パスで異なる暗号キーを使用できるようになりました。MSCHAP 交換中にパスワードが解読される可能性を最小限にするために、MSCHAP V2 では MSCHAP password change V1 のサポートを廃止しました。LMHASH エンコードされたパスワードは送信しません。
· 新しいレジストリ変数の SecureVPN は Windows 95 コンピュータに MSCHAP V2 の使用を強制し、すべての仮想プライベート ネットワーク (PPTP) 接続に対して暗号化を要求します。
· 接続ごとに設定できる [データの暗号化を使用する] オプションが追加されました。
· 新しいレジストリ変数の ForceStrongEncryption により、クライアントは高度暗号化を要求できるようになりました。
· ソフトウェア圧縮から独立して、データの暗号化の折衝を行うことができるようになりました。
· 今回のリリースより、ダイヤルアップのポイント ツー ポイント IP 接続に対して制限されていたサーバー機能が使用できます。
· 接続状況表示画面に新しくオプションが追加されました。接続後に [詳細] をクリックすると、折衝が行われた認証の種類のほかに、データの暗号化、ソフトウェア圧縮、およびマルチリンクの折衝が行われたかどうかを表示できます。
· 接続ごとに設定できる PPP ログ オプションが向上しています。結果は、Windows ディレクトリの PPPLOG.TXT に記録されます。
· 接続状況表示画面の [詳細] の部分が変更され、接続に使用された CHAP 形式が表示されるようになりました。
· DUN 1.3 をインストールするには
· MSDUN13.exe をダブルクリックし、画面に表示される指示に従って操作します。
インストール中に、コンピュータを再起動するよう指示されます。また、CD-ROM から Windows 95 をインストールした場合は、Windows 95 のインストール ディスクを挿入するように指示される場合があります。新しいファイルを保持するかどうかをたずねるダイアログが表示されたら、常に新しいファイルを保持してください。
· DUN 1.3 をアンインストールするには
1. [スタート] ボタンをクリックし、[設定] をポイントします。次に、[コントロール パネル] をクリックします。
2. [アプリケーションの追加と削除] アイコンをダブルクリックし、[Windows ファイル] タブをクリックします。
3. [通信] をダブルクリックし、[ダイヤルアップ ネットワーク] チェック ボックスをオフにします。
この操作により、システムからダイヤルアップ ネットワークが削除されます。アンインストールした後、Windows 95 ダイヤルアップ ネットワークの元のバージョンをインストールするには、DUN 1.3 をアンインストールしたときと同様の手順を実行し、チェック ボックスをオンにします。また、DUN 1.3 アップグレードを再インストールするには、MSDUN13.exe ファイルを実行します。
注: ダイヤルアップ ネットワーク 1.3 アップグレードをアンインストールすると、このプログラムに依存するその他の機能も含め、ダイヤルアップ ネットワークがシステムから完全に削除されます。たとえば、ケーブル接続や仮想プライベート ネットワークと、モデムまたは ISDN デバイスを介して外部へダイヤルする機能が削除されます。ISDN デバイスがインストールされている場合は、ダイヤルアップ ネットワークを削除すると、ISDN デバイスおよびデバイスに関して入力した情報も論理的に削除されます。これらの情報は、ダイヤルアップ ネットワークを再インストールしても復元されません。
システムにダイヤルアップ ネットワークを追加および削除する場合は、必ずコントロール パネルの [アプリケーションの追加と削除] を使用してください。コントロール パネルの [ネットワーク]、または [システム] の [デバイス マネージャ] タブを使って、ダイヤルアップ アダプタや仮想プライベート ネットワーク アダプタの個々のコンポーネントを追加または削除しないでください。
注: ダイヤルアップ ネットワーク 1.3 アップグレードは、最新の Microsoft TCP/IP スタックの機能に依存します。そのため、アップグレードをインストールすると、現在の TCP/IP プロトコル スタックが置き換えられます。また、スタックがインストールされていなかった場合は追加されます。サード パーティ製のスタックに依存するアプリケーションがある場合は、アップグレードはお勧めできません。アップグレードを行ったために一部のアプリケーションが動作しなくなった場合は、アプリケーションを再インストールする必要があります。
今回のアップグレード版は、これまでの PPTP システムと完全に互換性がありますが、今までにないモードを折衝するため、PPTP クライアントと PPTP サーバーの両方がこの新モードをサポートしている必要があります。新モードおよび MSCHAPV2 に対するサーバー サポートは、Windows NT 4.0 Service Pack 4 に含められます。Service Pack 4 の配布より前にこの機能を利用できるように、Service Pack 3 のホットフィックスが用意されています。この修正は、Microsoft の FTP サイトから入手できます ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/jpn/NT40/hotfixes-postSP3/pptp3-fix。ルーティングとリモート アクセスのアップグレードを実行するサーバーは、このホットフィックスを適用する必要があります。
注: RAS サーバーおよび PPTP サーバーは、現在の Windows NT Service Pack レベルに対応している必要があります。ダイヤルアップ ネットワーク 1.3 にアップグレードした Windows 95 クライアント コンピュータは、Service Pack 3 以降にアップデートされていない Windows NT サーバーには接続できません。
フロント エンド プロセッサ (FEP) は、ダイヤルアップ PPP クライアントの代わりに PPTP トネリングを作成できるダイヤルアップ アクセス サーバーです。FEP からのこのような強制トンネルを終了させるサーバーでは、新モードを無効にする必要があります。
MSDUN には、以前 ISDN 1.1 アクセレータ パック で提供していた内蔵 ISDN アダプタのサポートも含まれています。ISDN 設定ウィザードが [スタート] メニューに自動的に追加され、セットアップ手順を補佐します。
· ISDN 設定ウィザードを実行するには
1. [スタート] ボタンをクリックし、[プログラム] をポイントします。次に、[アクセサリ] をポイントし、[ISDN ツール] をクリックします。
2. ウィザードが表示する指示に従って操作します。
マルチリンクのサポートによって、コンピュータの 2 つの通信ポートを、帯域幅が倍の 1 つのポートとして使用できます。この機能は、ISDN 回線の両回線を利用して合計 128 Kbps の帯域幅を使うことができるので、ISDN ユーザーに最も有用です。モデム ユーザーもマルチリンクのサポートを利用できますが、多くの場合、シリアル ポートのオーバーヘッドのために、モデムを 2 回線分同時に使用するメリットはほとんどありません。マルチリンクは、[ダイヤルアップ ネットワーク] フォルダ内に作成した接続アイコンのプロパティのページで設定できます。
インターネット サービス プロバイダによっては、ダイヤルアップ接続の開始時にユーザーと端末から対話することを要求する場合があります。ダイヤルアップ ネットワーク アップグレードに装備されているスクリプト機能を利用すると、この対話を自動化できます。スクリプトは、[ダイヤルアップ ネットワーク] フォルダ内に作成した接続アイコンのプロパティのページで設定できます。スクリプト言語については、Windows ディレクトリの Script.doc ファイルで説明しています。
MSDUN では、PPTP トネリング用のクライアントを作成できます。トネリングとはネットワーク用語で、あるプロトコルを別のプロトコル内にカプセル化することを意味します。一般に、トネリングは、互換性のないプロトコルを使用しているか、または第三者によって管理されている中間的なネットワークを介在させて 2 つのネットワークを結合する場合に利用します。
PPTP (Point-to-Point Tunneling Protocol:ポイント ツー ポイント トネリング プロトコル) は、PPTP Forum によって定義されています。仕様は公開されており、さまざまなネットワーク ベンダによってサポートされています。PPTP は、PPP パケットを IP (Internet Protocol:インターネット プロトコル) パケット内にカプセル化し、インターネットを含む IP ネットワーク上に転送できるようにします。Windows 95 で PPTP クライアントを実行するには、Windows NTÒ Server 4.0 Remote Access Server (RAS) などのトネリング対応サーバーと IP 接続を確立する必要があります。
Windows のダイヤルアップ ネットワークは、インターネット標準の PPP (Point-to-Point Protocol:ポイント ツー ポイント プロトコル) を使用して、複数のプロトコルを使用し、電話回線を経由する安全で最適化されたネットワーク接続を実現します。PPTP によって、インターネットをポイント ツー ポイントのダイヤルアップ ネットワーク接続として扱うことができます。この接続を経由して送信されるデータはすべて暗号化および圧縮できます。また、TCP/IP、NetBEUI、および IPX の複数のネットワーク レベルのプロトコルを同時に実行できます。インターネットを経由しても、Windows NT ドメインのログイン レベルのセキュリティは確保されます。PPTP を利用すれば、インターネットから孤立しているイントラネットへ接続することもできます。このとき、イントラネットのアドレス空間がインターネットと競合していてもかまいません。
PPTP は、[ダイヤルアップ ネットワーク] フォルダで接続をセットアップするときには、仮想プライベート ネットワーク アダプタ (VPN アダプタ) という新しいモデムの種類として表示されます。VPN アダプタという種類は、システムのその他の場所には表示されません。PPTP はデータ ストリームを PPP プロトコル内にカプセル化するので、VPN は 2 つ目のダイヤルアップ アダプタを必要とします。この VPN 用のダイヤルアップ アダプタは、アナログ モデムや ISDN モデムの PPP 接続をサポートする 1 つ目のダイヤルアップ アダプタに加え、アップグレード版のインストール中に追加されます。
新しい接続ウィザードは、モデムを介する通常のダイヤルアップ接続や仮想プライベート ネットワークを利用する PPTP 接続用の接続アイコンを作成する手順を補佐します。PPTP を使用するには、デバイスの種類として、モデムではなく VPN を選択します。
PPTP の最も一般的な使い方に、インターネットへダイヤルアップ PPP 接続し、次にリモートのトネリング サーバーへ別途 PPTP 接続する方法があります。2 回接続するので、[ダイヤルアップ ネットワーク] フォルダに接続アイコンが 2 つ必要になり、ユーザーも 2 度 "ダイヤルする" 必要があります。インターネット経由のトネリングに成功すると、コンピュータに 2 つのネットワーク接続が確立されます。1 つはインターネットへの接続で、もう 1 つはトネリング サーバーがサーバーとなる接続先ネットワークへの接続です。この構成におけるコンピュータの動作の詳細については、後の「リモート TCP/IP ネットワークへのデフォルト ルーティング」を参照してください。
PPTP の別の使い方として、コンピュータが接続している LAN にトンネルを確立する方法があります。この場合、必要な接続アイコンは 1 つで、トネリングを開始するためにユーザーが "ダイヤルする" のも 1 回です。この方法では、PPTP をサポートするためにインターネットへダイヤルアップ ネットワーク接続する必要はありません。PPTP 接続するには、IP ネットワーク上で PPTP トネリング サーバーまでのパケット経路を正確にたどる能力のみが要求されます。詳細については、後の「リモート TCP/IP ネットワークへのデフォルト ルーティング」、または Windows ディレクトリ内の「About PPTP and Dial-Up Networking 1.3.doc」 ファイルを参照してください。
通常は、サーバーの設定でダイヤルアップ接続時や PPTP 接続時の暗号化レベルを決定します。Windows NT 4.0 サーバーは、すべての接続に対して 40 ビットの暗号化、または 128 ビットの高度暗号化を要求するように設定できます (輸出規則に抵触するためこの設定をWindows NT 4.0 サーバー日本語版では対応していません)。通常、Windows 95 ダイヤルアップ ネットワーク クライアントは、サーバーからの暗号化要求を受け付けます。
DUN 1.3 アップグレードでは、特定の接続に対して暗号化を要求する機能を追加しています。接続のプロパティ ページの [サーバー] タブにチェック ボックスが追加され、正常に接続するために暗号化を要求できるようになりました。ForceStrongEncryption という新しいレジストリ変数によって、クライアントは高度暗号化を要求できます。サーバーが 40 ビットの暗号化を提示した場合、クライアントは 128 ビットの暗号化を要求して応答します。128 ビットに対応できるサーバーはクライアントの要求を受け付けます。40 ビットの暗号化にしか対応しないサーバーは、クライアントが 128 ビットの暗号化を要求しても受け付けられないことに注意してください。この種の接続要求は失敗します。
高度暗号化を強制するレジストリ フラグの定義を次に示します。既定の設定では、フラグは不在です。回線を接続する直前にこのフラグの値が確認されます。
HKLM\System\CurrentControlSet\Services\RemoteAccess
DWORD: ForceStrongEncryption
既定値: 0x00000000
0x00000000 = 高度暗号化を強制しません。
0x00000001 = 暗号化を要求する接続に対して、128 ビットの暗号化を要求します。
注: データの暗号化は、接続の CCP (Compression Control Protocol) の段階で折衝されます。したがって、暗号化の折衝が成功するためには、接続のプロパティ シートは圧縮または暗号化のどちらかに対応している必要があります。既定の設定では圧縮が有効に設定されているので、この点はあまり重要ではありません。詳細については、「リモート TCP/IP ネットワークへのデフォルト ルーティング」を参照してください。
PPTP は、LAN 上のコンピュータが、適切に設定されたアクセス サーバー上のモデム プールを経由してリモート コンピュータやネットワークへダイヤルアップ接続するための手段としても利用できます。
フロント エンド プロセッサ (FEP) とも呼ばれる PPTP 対応のアクセス サーバーからネットワークへ PPTP 接続を確立する場合、システム管理者がアクセス サーバーを構成する際に発信用にいくつかのモデムを取り分けてあれば、PPTP クライアントは、これらのモデムにクライアントとほかのコンピュータまたはネットワークとの間の PPP のダイヤルアップ接続を開始させることができます。
このような接続を行うには、トネリングのアドレスを "AccessServer PhoneNumber" と指定して PPTP 接続を確立します。AccessServer は、PPTP 対応アクセス サーバーの DNS 名または IP アドレスです。PhoneNumber は、相手サイトへ到達するためにダイヤルする番号です。アクセス サーバーは、入力された番号でダイヤルアップ PPP 接続を試みます。接続されると、コンピュータは、リモート サイトへ直接ダイヤルしたように動作し、リモート サイトによって認証が行われます。詳細については、「リモート TCP/IP ネットワークへのデフォルト ルーティング」を参照してください。また、About PPTP and Dial-Up Networking 1.3.doc では、さらに詳しく説明しています。
注: この機能は、強制トネリングに対応するアクセス サーバーによってのみサポートされます。強制トネリングをサポートするアクセス サーバーは、通常のダイヤルアップ PPP 接続を受け取り、発信元の代わりにトネリングを設定し、次に、PPP トラフィックをトンネルへ送出します。Windows NT RAS は現時点ではこの機能をサポートしていません。
Windows 95 ダイヤルアップ ネットワークを利用する場合は、ネットワークの動作に影響するネットワーク ルーティングの問題や製品の制限内容を考慮する必要があります。ネットワーク ルーティングの問題については、後の「リモート TCP/IP ネットワークへのデフォルト ルーティング」を参照してください。製品の制限内容および関連事項についてはこのセクションで説明します。
Windows 95 ダイヤルアップ ネットワークの当初のリリースでは、コンピュータが複数のネットワークに接続する際の WINS および DNS の名前解決に対するサポートは限られていました。ダイヤルアップ ネットワーク 1.3 アップグレードでは、WINS に関する制限がすべて解決されています。Winsock アップグレードを適用すると、残りの DNS 制限も解決されます。Winsock アップグレードは、元は Windows 95 と共に配布された Winsock をわずかに変更したものです。
ほとんどの場合、コンピュータの IP アドレス、WINS サーバー アドレス、および DNS サーバー アドレスは、ネットワークが自動的に決定するように設定してください。これらのアドレスは、LAN 上のコンピュータを起動したり、リモート ネットワークに PPP 接続や PPTP 接続を正常に確立したりしたときに決定されます。まれに、インターネット サービス プロバイダやシステム管理者によって、IP アドレス、WINS アドレスや DNS サーバー アドレスを自分で設定するように指示されることがあります。その場合は、適切な接続アイコンで設定を行ってください。
· IP アドレスを手動で設定するには
1. 修正するダイヤルアップ ネットワーク アイコンをマウスの右ボタンでクリックします。
2. [プロパティ] をクリックします。
3. [サーバーの種類] タブをクリックし、[TCP/IP 設定] をクリックします。
4. IP アドレスを指定するには、[IP アドレスを指定] をクリックして適切な情報を入力します。
5. DNS アドレスを指定するには、[ネーム サーバー アドレスを指定] をクリックして適切な情報を入力します。
通常は、[コントロール パネル] の [ネットワーク] アイコンからダイヤルアップ アダプタや LAN アダプタの TCP/IP プロパティを設定しないでください。コントロール パネルから設定した値はグローバル設定であるため、個々の接続アイコンの設定を上書きしたり、ダイヤルアップ接続時や PPTP 接続時に入手した動的な情報も上書きする可能性があります。特に、LAN アダプタ上の静的な WINS アドレスを設定すると、ダイヤルアップ接続や PPTP 接続で WINS が動的な割り当てを行えなります。LAN アダプタ上の静的な DNS アドレスを設定しても、このような影響は受けません。リモート ネットワークへの接続が成功したときに追加の DNS アドレスが取得されます。
注: ケーブル モデムをインストールするときに、コントロール パネルの [ネットワーク] で DNS サーバーを定義したり、ケーブル モデム用の LAN カードの DNS ドメイン サフィックスの検索順序を定義するように指示されることがあります。この情報については、該当する LAN カードの TCP/IP プロパティ シートに記述されています。DNS サフィックスの検索順序を定義した場合、ほかのネットワークに到達するためにトンネルを利用するときにそのネットワークのサフィックスが一覧の上位に指定されていないと、タイムアウトの遅延が生じます。
アドレスに関する問題は、プライベートな TCP/IP ネットワークへ直接接続していたコンピュータが物理的に切断された後で、ダイヤルアップや PPTP 接続を試みる場合に発生します。たとえば、企業内ネットワークに Ethernet 接続していたラップトップ コンピュータを切断して、自宅からダイヤルインする場合が挙げられます。ネットワーク カードを装着したままであれば、TCP/IP の設定により、カードを経由して接続できるコンピュータがその時点でも到達可能であると表示されるようにすることができます。同じネットワークに対してモデム ダイヤルアップ ネットワーク接続または PPTP 接続を確立した後でも、TCP/IP は、ローカル ネットワーク上のコンピュータへのすべてのトラフィックをネットワーク カードに送信し続けます。
この問題を解決するには、もともとこのコンピュータを DHCP から起動していた場合は winipcfg ユーティリティを実行して [解放] をクリックしてください。
· WINIPCFG を起動するには
1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
2. [名前] ボックスに 「winipcfg」と入力します。
3. [解放] をクリックします。
前の操作を行っても問題が解決しない場合は、ネットワーク カードがコントロール パネルから手動で設定されている可能性があります。コントロール パネルで使用不可にしてください。
2 つのネットワークが Windows NT ドメインのログイン セキュリティ下にあり、それぞれが信頼関係のない異なるドメインに属している場合、一方のネットワークから他方のネットワークのホストやサーバーへトネリングすることはできません。Windows 95 は最初のドメインにログインし、ほかのドメインにはログインできません。この問題を解決するには、最初のドメインへのログインをキャンセルし、PPTP 接続が確立されたときに 2 つ目のネットワークにログインします。
インターネットはドメイン ログイン セキュリティを採用していないので、この問題は、インターネット経由でトネリングする場合には発生しません。
Client for Microsoft Networks を使用するコンピュータは、LAN アダプタが同時に IPX にもバインドされている場合、PPTP 経由ではリモート IPX ネットワークと通信できない可能性があります。この問題は、通常のダイヤルアップ接続では発生しません。また、Client for NetWare Networks を実行しているコンピュータでは発生しません。
[スタート] メニューの [サスペンド] をクリックすると、ラップトップ コンピュータの動作を停止できます。多くのコンピュータにはサスペンド ボタンが備わっていますが、Windows 95 のソフトウェア コンポーネントが安全に動作を停止するのに十分な時間を待たないものもあります。プラットフォームによっては、サスペンド機能を使用すると再起動時にコンピュータが動作しなくなることがあります。ラップトップ コンピュータで動作を停止する場合は、必ず [スタート] メニューを使うようにしてください。
Windows 95 では、現在、Windows NT とバイナリ互換性のある ISDN NDISWAN ドライバをサポートしています。Windows NT と互換性のある ISDN 1.1 ドライバを必要とする ISDN アクセレータ パック 1.1 リリース以来のサポートです。そのため、多くの ISDN ベンダは、販売するハードウェアに ISDN 1.1 ドライバを付属させています。Windows 95 ISDN アクセレータ パック 1.0 と互換性のあるドライバは動作しなくなりました。
ベンダの多くは、古い ISDN 1.1 アクセレータ パック を自社製品のドライバにインストール用ディスクの形で同梱して、インストール手順を簡単にしています。ダイヤルアップ ネットワーク 1.3 にアップグレード済みのシステムに、そのようなベンダの製品をインストールすると、アップグレード済みのファイルが上書きされて、システムの一部が使用できなくなります。一般に、ベンダ製品をインストールする場合、ISDN 1.0 や ISDN 1.1 をインストールするかをたずねるダイアログ ボックスが表示されるので、[いいえ] をクリックしてください。
ベンダ製品のインストールによってダイヤルアップ ネットワークを上書きした可能性がある場合は、ダイヤルアップ ネットワーク 1.3 アップグレードのインストール ルーチン MSDUN13.exe を直ちに実行してください。
または Windows ディレクトリ内の 「About PPTP and Dial-Up Networking 1.3.doc」 ファイルを参照してください。
これまでのセクションで説明した手順に従って追加デバイスを設定すると、マルチリンク接続をダイヤルする準備が整います。接続先へダイヤルすると、ダイヤルアップ ネットワークは接続設定時に指定したプライマリ デバイスのプライマリ電話番号にダイヤルします。最初の接続が確立されると、ダイヤルアップ ネットワークは、次に、追加デバイスの一覧に指定されているその他のデバイスにダイヤルします。
接続の確立後、タスク バーに表示される接続インジケータをダブルクリックすると、リンクに関する状態情報を表示したり、接続を切断したりすることができます。状態情報には、送受信したバイト数、接続のために折衝を行ったネットワーク プロトコル群、および追加した各デバイスを表示するリスト ボックスがあります。リスト ボックス内のデバイスを選択すると、[停止] ボタンまたは [再開] ボタンが表示されます。[停止] ボタンが表示された場合は、デバイスは現在使用されていて、マルチリンク接続が設定されています。[停止] ボタンをクリックすると、回線が切断され、マルチリンクも解除されます。[再開] ボタンが表示された場合は、[再開] ボタンをクリックすると接続先へダイヤルし、回線がリンクに追加されます。個々のリンクは、接続を切断せずに停止または再開できます。
以前は、Windows 95 は IPX トラフィックや NetBEUI トラフィックのダイヤルアップ サーバーとして動作するだけでした。新機能の追加によって、Windows 95 コンピュータは、Microsoft NetMeeting (アプリケーションの共有、チャット、ビデオ会議、および IP を基盤としたテレフォニーに対応しています) などのコンピュータ ツー コンピュータのアプリケーションのためのダイヤルアップ接続に応答できます。ダイヤルアップ クライアントには常に 192.168.55.2 が、サーバーには常に 192.168.55.1 が割り当てられます。ポイント ツー ポイントの IP サーバーは既定の設定で有効に設定されていますが、ダイヤルアップ アダプタの詳細プロパティで有効と無効を切り替えることができます。
PPTP は、既存の PPP 機能を採用して、安全で暗号化されたプライベート ネットワークへのアクセスを、インターネット上のすべてのクライアントに提供せずに、クライアントを限定して提供します。PPTP トネリング サーバーは、プライベート ネットワークへトンネル接続を要求するクライアントからの接続要求を認証することによってアクセスを制御します。セキュリティを強化するには、トネリング サーバーに静的な PPTP フィルタを実現する、ファイアウォールの背後にトネリング サーバーを設置する、ルーティングとリモート アクセス サービスを実装する Windows NT 4 トネリング サーバーに IP フィルタを実現するなどの方法もあります。
今回のリリースでは、新しい MSCHAP (MSCHAP V2) をサポートしています。MSCHAP V2 は、次のセキュリティ機能を提供します。
· サーバーとクライアントの両方からランダムにチャレンジ パケットを送信することに基づく相互認証
· ユーザー パスワード、およびサーバーとクライアントからランダムに送信されるチャレンジ パケットによって生成されるより高度な初期データ暗号化キー
· 送信パスと受信パスの暗号化に異なる初期暗号化キーを使用
· MSCHAP password change V1 のサポートの廃止
· パスワードの LMHASH エンコードの廃止
VPN 接続の場合、Windows NT 4.0 サーバーは古い MSCHAP と折衝を行う前に MSCHAPV2 との折衝を行います。ダイヤルアップ ネットワーク 1.3 がインストールされている Windows 95 クライアントはこの要求を受け入れ、認証方式として MSCHAPV2 を採用します。VPN クライアントが MSCHAP で認証を行わないことを保証するために、サーバーが MSCHAP V2 を要求するように設定できます。この設定によって、これまでのクライアントが MSCHAPV2、PAP、または CHAP 交換の際にアカウント情報を提示することを回避でき、最も安全な認証方式を要求するネットワークを構成できます。
コンピュータがすべての VPN 接続に対して必ず新しい MSCHAP V2 を使用するようにしたい場合、クライアント側の新しいレジストリ フラグ SecureVPN を利用して動作を強制できます。このフラグを設定すると、コンピュータは、VPN 接続に対しては MSCHAP V2 認証のみを受け付けるようになります。さらに、このフラグはすべての VPN 接続でデータの暗号化を要求します。ダイヤルアップ接続には影響しません。
注: ほとんどのユーザーは、SecureVPN フラグを使用する必要はありません。このフラグは、使用しているコンピュータからのすべての VPN 接続に影響するので、使用する場合は注意が必要です。一般に、サーバー側からの方が、より簡単に MSCHAP V2 やデータの暗号化を強制できます。
Windows 95 クライアントが新しい MSCHAP V2 安全モードのみを使用するように強制し、PPTP 接続にデータの暗号化を要求するレジストリ設定の定義を次に示します。既定の設定ではこのレジストリ変数は存在せず、PPTP 接続に安全モードは強制されません。この変数の値は、接続を試みる直前に確認されます。
HKLM\System\CurrentControlSet\Services\RemoteAccess
既定値: 0x00000000
DWORD: SecureVPN
0x00000001 = すべての PPTP 接続に対して安全モード (MSCHAP V2 およびデータの暗号化) を強制します。
0x00000000 = PPTP 接続に対して安全モードを強制しません。
今回のリリースでは、クライアントが従来の MSCHAP チャレンジに対して LM 応答を送信することを防ぐ新しいレジストリ変数も追加されました。この変数の定義を次に示します。既定の設定では、この変数は存在せず、クライアントは従来のサーバーとの互換性を保つために LM 応答を送信します。この変数は、ダイヤルアップ接続と VPN 接続の両方に影響します。値は接続を試みる直前に確認されます。
注: ほとんどのユーザーは、このレジストリ変数を使用する必要はありません。新しい安全モードの MSCHAP V2 は LMHash 応答を送信しません。そのため、このレジストリ値は古い MSCHAP を採用している古いアクセス サーバーに接続する際に最も有効です。Windows 95 クライアントにこの変数を設定すると、クライアントは Windows 95 サーバーに接続できなくなります。
HKLM\System\CurrentControlSet\Services\RemoteAccess
DWORD: UseLmPassword
既定値: 0x00000001
0x00000000 = LM チャレンジ応答を送信せず、Windows NT チャレンジ応答だけを送信します。
0x00000001 = LM チャレンジ応答を送信します。
トネリング サーバーでは、静的な PPTP フィルタを有効にできます。このフィルタを適用すると、PPTP パケットのみがトネリング サーバーに渡されます。この設定により、インターネット アクセスは PPTP クライアントに制限されます。トネリング サーバーをセットアップする場合、Ping コマンドが使用する ICMP Echo パケットはこのフィルタを通過せず、破棄されることに注意してください。したがって、テスト段階では PPTP フィルタを無効に設定し、運用段階で有効にするとよいでしょう。
PPTP トラフィックは、適切に設定されたファイアウォールを通過します。PPTP トネリング制御チャネルは、TCP ポート 1723 を使用します。データ パケットはプロトコル ID 47 の GRE を利用し、GRE プロトコル フィールドを 0x880B として IP 上に転送されます。ファイアウォールのフィルタは、このようなトラフィックがプライベート ネットワークに出入りできるように適切に設定する必要があります。プロトコル 47 を受け付けるように設定できないファイアウォール製品がいくつかあるので注意してください。
ネットワークによっては、GRE メッセージを内部操作に利用し、ルーターを経由して GRE パケットがネットワークに出入りできないように設定している場合があります。PPTP トンネルを正しく設定しているのにデータを転送できない場合は、インターネット サービス プロバイダが GRE パケットを遮蔽している可能性があります。この問題については、インターネット サービス プロバイダに問い合わせてください。
Proxy Server と RAS トネリング サーバーは、物理的に同じサーバー上にインストールできます。この構成では、Proxy Server により、LAN のローカル ユーザーは保護された状態でインターネットにアクセスできます。また、RAS トネリング サーバーにより、リモート ユーザーは安全な方法でインターネットを経由して LAN に到達することができます。
この構成における唯一の制限は、ローカル LAN 上のクライアントが Winsock Proxy を使用してインターネットにアクセスする場合、リモート トネリング サーバーへのトンネルを開始できないことです。Microsoft Winsock Proxy を実行中のクライアントから、プロキシ サーバーを経由してリモート トネリング サーバーへ PPTP セッションを渡すことはできません。トンネルの出発点になるためには、クライアントはリモート トネリング サーバーへの直接的なアクセス経路を確保し、PPTP セッションの実行中は Winsock Proxy を無効にする必要があります。
PPTP 接続が確立すると、クライアントのネットワーク プロトコルはアクティブになったダイヤルアップ アダプタがあることを認識します。PPTP は TCP/IP を利用してネットワーク パケットをトネリングするので、クライアント側の少なくとも 1 つのアダプタが TCP/IP にバインドされていて、TCP/IP が実行されている必要があります。クライアントが LAN 上の PPTP サーバーに接続する場合は、NIC をアダプタとして使うことができます。また、まず RAS サーバーやインターネット サービス プロバイダへダイヤルインし、次にプライベートなイントラネットや公共のインターネットを経由して PPTP サーバーへ接続する場合は、ダイヤルアップ アダプタを TCP/IP アダプタとして使うことができます。また、クライアントは接続先であるプライベート ネットワークのプロトコルもサポートしていなければなりません。以下では、NBF、IPX、および TCP/IP クライアントの動作について説明します。
PPTP クライアントは、Windows NT の RAS/PPTP サーバーに接続するものとします。この場合、NBF は正常に動作します。PPTP クライアントは、元のネットワークと新規のネットワークを同時に認識できます。クライアントは両方の LAN 上にあるコンピュータから認識できますが、クライアントを介して両ネットワークを結合することはできません。クライアントは、Windows NT Server の NetBIOS ゲートウェイの機能により、新しいネットワーク上のコンピュータを認識できます。
IPX では、PPTP を経由して接続すると、接続時に接続先ネットワークのみが認識されます。この点は、現在の Windows 95 ダイヤルアップ IPX 接続から変更されていません。現在、電話帳のエントリで IPX を選択していて、IPX が NIC 上でアクティブな場合、ダイヤルすると、リモート LAN に接続が確立されるとローカル LAN 上の NetWare サーバーが認識されなくなるというメッセージが表示されます。PPTP 接続を確立する際にも同じメッセージが表示されます。
Windows 95 コンピュータを含め、TCP/IP のホスト コンピュータはすべてルーティングに制限があります。この制限は、リモートの TCP/IP ネットワークにアクセスするダイヤルアップ ユーザーや PPTP ユーザーにとって重要です。ホスト コンピュータは、デフォルト ゲートウェイ ルーティングと呼ばれるルーティング手法に依存します。この手法は単純で、ローカル ネットワーク上になく、ほかのルーティング テーブル エントリで指定されていないコンピュータへ到達するには、指定されたデフォルト ゲートウェイ ルーターへトラフィックを転送します。通常、ゲートウェイ ルーターは、トラフィックを正しく転送する方法を認識しています。この方法には、Windows 95 コンピュータは複雑なルーティング テーブルを使用せずに何万台ものコンピュータに接続できるという利点があります。欠点は、到達先の外部ネットワークのすべてに対して 1 つの接続しか確立できないことです。
デフォルト ゲートウェイの概念は、特にスタンドアロンのコンピュータがリモート ネットワークにダイヤルインする場合に役立ちます。ダイヤルアップ接続が確立されると、その接続を介してトラフィックをルーティングするデフォルト ゲートウェイが割り当てられます。
ただし、既にデフォルト ゲートウェイがあるコンピュータに、ダイヤルアップ ネットワークによって 2 つ目のデフォルト ゲートウェイが割り当てられ、新しいネットワークへ到達する場合には、この概念は破綻します。たとえば、ローカル LAN までのデフォルト ルートを確保しているコンピュータが第 2 の接続にダイヤルしてリモート ネットワークへ到達する場合があります。また、使用しているコンピュータからインターネットにダイヤルインし、第 2 の PPTP 接続を確立してリモート トネリング サーバーに到達する場合も同様です。どちらの場合も、最初のゲートウェイは最新のゲートウェイに置き換えられ、最初のゲートウェイから到達できていたコンピュータは認識できなくなります。DNS や WINS のネーム サーバーも認識されなくなる可能性がある点に注意してください。この場合、そのネットワークではコンピュータ名を解決できなくなります。
TCP/IP デフォルト ゲートウェイ ルーティングは、単一のネットワークに接続するコンピュータで使用することを想定して設計されています。ダイヤルアップ リンク上の PPTP 接続や、 LAN ベースのコンピュータからのダイヤルアップ接続を確立すると、ネットワーク接続は 2 つになります。どちらの場合も、デフォルト ルートは最新の接続を指します。PPTP 接続やダイヤルアップ接続が解放されると、最初のネットワークへのすべての接続が復元されます。
DOS プロンプトから route コマンドを入力して、接続先コンピュータ、または接続先ネットワークにルート エントリを追加します。トラフィックに一致させるために、TCP/IP はデフォルト ゲートウェイでなくこのルートを使用します。
次の例では、インターネット サービス プロバイダにダイヤルインし、次にプライベート ネットワークまでのトンネルを確立した場合の、ダイヤルアップ接続が確立された後のデフォルト ゲートウェイの動作の一部を示しています。Ping コマンドで、インターネットを経由して www.microsoft.com に到達できることを例証しています。
C:\OSR2>route print
Active Routes:
Network Address Netmask Gateway Address Interface Metric
0.0.0.0 0.0.0.0 206.63.152.32 206.63.152.32 1
(その他のルート テーブル エントリは無視されます。)
C:\OSR2>ping www.microsoft.com
Pinging www.microsoft.com [207.68.137.65] with 32 bytes of data:
Reply from 207.68.137.65: bytes=32 time=149ms TTL=58
Reply from 207.68.137.65: bytes=32 time=144ms TTL=58
Reply from 207.68.137.65: bytes=32 time=133ms TTL=58
Reply from 207.68.137.65: bytes=32 time=135ms TTL=58
デフォルト ゲートウェイは、"Network Address" で "0.0.0.0" のエントリです。この単純な例では、1 つのネットワーク (インターネット) に接続されています。デフォルト ゲートウェイは 1 つのみです。
次の例では、インターネット経由でプライベート ネットワークに PPTP 接続を確立した後に 2 つ目のデフォルト ゲートウェイが割り当てられています。ゲートウェイは、最近になるほど Metric が低くなり、プライベート ネットワークにアクセスするのに使用されます。Metric 値が 2 のゲートウェイは、PPTP 接続が解放されるまで再び使用されることはありません。
C:\OSR2>route print
Active Routes:
Network Address Netmask Gateway Address Interface Metric
0.0.0.0 0.0.0.0 206.63.152.32 206.63.152.32 2
0.0.0.0 0.0.0.0 192.168.70.42 192.168.70.42 1
結果は、www.microsoft.com に Ping コマンドを実行できないことを示しています。
C:\OSR2>ping 207.68.137.65
Pinging 207.68.137.65 with 32 bytes of data:
Request timed out.
この構成に静的ルートを追加すると、問題が解決します。
C:\OSR2>route add 207.68.137.65 206.63.152.32
C:\OSR2>ping 207.68.137.65
Pinging 207.68.137.65 with 32 bytes of data:
Reply from 207.68.137.65: bytes=32 time=164ms TTL=58
Reply from 207.68.137.65: bytes=32 time=160ms TTL=58
Reply from 207.68.137.65: bytes=32 time=157ms TTL=58
Reply from 207.68.137.65: bytes=32 time=144ms TTL=58
"route add" コマンドの最初の数字は接続先コンピュータの IP アドレスで、2 番目は Metric 値が 2 のデフォルト ゲートウェイです。
www.microsoft.com という名前でなく、前回 Ping コマンドから得た IP アドレスで www.microsoft.com に対して Ping コマンドを実行している点に注意してください。インターネットのコンピュータ名を IP アドレスに変換するプロセスは名前解決とよばれ、DNS (Domain Name Server) と呼ばれるインターネット上のコンピュータを使用します。DNS コンピュータの IP アドレスは電話帳エントリの今回のダイヤルアップ接続に入力されました。ただし、2 つ目のデフォルト ゲートウェイがアクティブになると、DNS サーバーは認識されなくなります。DNS サーバーにアクセスしても名前を解決できないので、名前で Ping コマンドを実行しても失敗します。
C:\OSR2>ping www.microsoft.com
Bad IP address www.microsoft.com.
ここで重要なのは、Ping コマンドの実行に失敗していない点です。www.microsoft.com という名前が、Ping コマンドが使用するアドレスに変換されなかったので、Ping コマンドは開始されていません。DNS サーバーにルートを追加するとこの問題は解決します。
C:\OSR2>route add 198.137.231.1 206.63.152.32
C:\OSR2>ping www.microsoft.com
Pinging www.microsoft.com [207.68.137.65] with 32 bytes of data:
Reply from 207.68.137.65: bytes=32 time=164ms TTL=58
Reply from 207.68.137.65: bytes=32 time=160ms TTL=58
Reply from 207.68.137.65: bytes=32 time=157ms TTL=58
Reply from 207.68.137.65: bytes=32 time=144ms TTL=58
DNS サーバーの中には、通常読み込みのバランスをとるために、同じ名前に対して、異なるときに異なる IP アドレスとして解決することがあるので注意してください。"ネットワーク" ルート エントリをすべての使用可能な IP アドレスに追加するのが、唯一の対処法です。
静的ルートはダイヤルアップ接続の IP アドレスを参照するので、ダイヤルアップ接続か PPTP 接続が確立されたときにのみ定義できる点に注意してください。
サポートについて
マイクロソフトでは、弊社の製品をご購入頂いたお客様に対して、次のようなサポート オプションを提供しております。
Windows 95 オンライン サポート情報(http://www.asia.microsoft.com/search/worldwide/japan/support/default.asp)
ここをクリックすると、Windows 95 のサポート技術情報を参照することができます。
Windows 95 のテクニカルサポート(http://www.asia.microsoft.com/japan/support/supportnet/refguide/)
サポートオプションの詳細については、こちらをご参照ください。
なお、Windows 95 プレインストール コンピュータ (コンピュータに Windows 95 が最初からインストールされている環境、または、コンピュータ製造元より Windows 95 が配布された環境) を購入されたお客様に関して、Windows 95 のサポートはコンピュータ製造元のサポート窓口にて行われます。
1. このソフトウェアの著作権は、米国 Microsoft Corporation にあります。
2. このソフトウェアおよびマニュアルの一部または全部を無断で使用、複製することはできません。
3. ソフトウェアは、コンピュータ 1 台につき 1 セット購入が原則となっております。
4. このソフトウェアおよびマニュアルは、本製品の使用許諾契約書のもとでのみ使用することができます。
5. このソフトウェアおよびマニュアルを運用した結果の影響については、いっさい責任を負いかねますのでご了承ください。
6. マイクロソフトは、このマニュアルに記載される内容に関し、特許、特許申請、商標、著作権、またはその他の無形財産件を有する場合があります。このマニュアルは、これらの特許、商標、著作権またはその他の無形財産権に関する権利をお客様に許諾するものではありません。
7. このソフトウェアの仕様、およびマニュアルに記載されている事柄は、将来予告なしに変更することがあります。
Copyright © 1995-1998 Microsoft Corporation. All rights reserved.
Microsoft、MS-DOS、MS、Windows、および Windows NT は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。
Windows 95 PPTP クライアントには、3Com Corp 社により開発されたコードが統合されています。
その他記載されている会社名、製品名は、各社の商標および登録商標です。