The Cable Guy – 2005 年 10 月
Windows Vista および Windows Server 2008 の IPv6 への変更
Microsoft® Windows Vista および Windows Server 2008 の両方とも、次世代の TCP/IP スタックが含まれています。これは Internet Protocol version 4 (IPv4) および Internet Protocol version 6 (IPv6) の両方の統合されたバージョンを持つ再設計された TCP/IP プロトコル スタックです。
詳細情報は、2005 年 9 月の The Cable Guy コラム Next Generation TCP/IP Stack in Windows Vista and Windows Server 2008 (英語情報) をご覧下さい。
IPv6 とは、IPv4 の長期的な代替となるもので、現在広範に使用されている 1970 年代後半に設計された TCP/IP プロトコル スイートのインターネット レイヤです。IPv6 は TCP/IP ベースのネットワーク接続に次の利益を提供します。
トピック
 | IPv6 |
| デュアル IP レイヤのアーキテクチャ |
| 既定でインストールされ、有効 |
| GUI ベースの構成 |
| IPsec のフル サポート |
| MLDv2 |
| LLMNR |
| URL のリテラル IPv6 アドレス |
| IPv6 over PPP |
| DHCPv6 |
| ランダムなインターフェース ID |
| Teredo への変更 |
| IPv6 および Teredo のセキュリティ |
| IPv6 を無効にする |
| 詳細情報 |
IPv6
IPv6 とは、IPv4 の長期的な代替となるもので、現在広範に使用されている 1970 年代後半に設計された TCP/IP プロトコル スイートのインターネット レイヤです。IPv6 は TCP/IP ベースのネットワーク接続に次の利益を提供します。
| • | 大きなアドレス空間 – IPv6 の 128 ビット アドレス空間は現在のすべてのデバイスおよび近い将来のインターネットにグローバルに到達可能なアドレスを提供するための十分な空間を提供します。 |
| • | 効率的なルーティング – 階層的なルーティング インフラストラクチャをサポートする効率化された IPv6 ヘッダーおよびアドレス指定で、インターネットの IPv6 ルータは IPv6 トラフィックをその IPv4 トラフィックよりも迅速に転送することができます。 |
| • | 構成の容易さ – IPv6 ホストは IPv6 (DHCPv6) の動的ホスト構成プロトコル サーバーと対話するか、またはそのローカル ルータと対話し、ステートレス アドレス自動設定を使用することにより、IPv6 ホスト自体を構成することができます。 |
| • | 高度なセキュリティ – IPv6 標準は、アドレスおよびポート スキャン攻撃に対するより優れた保護を提供し、またすべての IPv6 の実装がサポートする IPv6 トラフィックの暗号化保護のためのインターネット プロトコル セキュリティ (IPsec) を必要とすることにより、IPv4 のセキュリティ問題のいくつかを解決します。 |
Windows Vista および Windows Server 2008 の IPv6 に対する変更は次の通りです。
| • | デュアル IP レイヤのアーキテクチャ |
| • | 既定でインストールされ、有効である |
| • | グラフィカル ユーザー インターフェース (GUI) ベースの構成 |
| • | IPsec のフル サポート |
| • | MLDv2 |
| • | LLMNR |
| • | URL のリテラル IPv6 アドレス |
| • | IPv6 over PPP |
| • | DHCPv6 |
| • | ランダムなインターフェース ID |
デュアル IP レイヤのアーキテクチャ
Windows® XP および Windows Server 2003 の IPv6 の実装は、デュアル スタック アーキテクチャで、これは、ネットワーク接続フォルダを介しインストールされる IPv4 および IPv6 について別々のプロトコル コンポーネントを持っています。別々の IPv4 および IPv6 のプロトコル コンポーネントは、転送制御プロトコル (TCP) およびユーザー データグラム プロトコル (UDP) およびフレーミング レイヤを含んでいたそれ自体のトランスポート レイヤを持ちます。
次世代の TCP/IP スタックはデュアル IP レイヤ アーキテクチャをサポートするネットワーク接続フォルダを介しインストールされる単一のプロトコル コンポーネントで、IPv4 と IPv6 の両方が共通のトランスポートおよびフレーミング レイヤを共有します。
TCP の単一の実装があるため、IPv6 での TCP トラフィックは次世代の TCP/IP スタックのすべてのパフォーマンス機能を活用することができます。これらの機能には Windows XP および Windows Server 2003 の IPv4 プロトコル スタックのパフォーマンスの強化点がすべて含まれており、また Receive Window Auto Tuning および Compound TCP などの次世代の TCP/IP スタックに対する新しい追加の強化点も含まれています。これらは高レイテンシー/高ディレイ接続でのパフォーマンスを劇的に向上させ、高ロス環境 (ワイヤレス LAN ネットワークなど) で TCP トラフィックをよりよくサポートすることができます。詳細情報は、2005 年 11 月の The Cable Guy コラム「次世代の TCP/IP スタックのパフォーマンスの拡張機能」をご覧ください。
既定でインストールされ、有効
Windows Vista および Windows Server 2008 では、IPv6 は、[スタート メニュー] → [ネットワーク] を右クリックして [ネットワークと共有センター] を表示します。[ネットワーク接続の管理] で各接続を選び、右クリックして表示されるメニューからプロパティを選択しますと [接続のプロパティ] ダイアログが表示されます。そこで Internet Protocol version 6 (TCP/IPv6) がコンポーネントとして既定でインストールされ、有効にされているのが確認できます。Windows Vista および Windows Server 2008 では、多くのオペレーティング システムのコンポーネントが現在 IPv6 をサポートしています。
IPv4 と IPv6 の両方が有効である場合、次世代の TCP/IP スタックは IPv6 の使用を優先します。たとえば、ドメイン ネーム システム (DNS) 名前クエリ応答メッセージが IPv6 と IPv4 アドレスの両方の一覧を含む場合、次世代の TCP/IP スタックはまず、RFC 3484 で定義されているアドレス選択の規則に従って IPv6 での通信を試行します。詳細情報は、2006 年 2 月 The Cable Guy コラム Source and Destination Address Selection for IPv6 (英語情報) をご覧ください。
IPv4 よりも IPv6 を優先することにより、IPv6 対応のアプリケーションに、よりよいネットワーク接続が提供されます。この理由は、IPv6 接続は Teredo などの IPv6 移行技術を使用できるためです。これにより、ピアまたはサーバー アプリケーションは、ネットワーク アドレス変換器 (NAT) の構成またはアプリケーションの変更を必要とせずに、NAT の背後で動作することができます。
既定で IPv6 を有効にし、IPv6 トラフィックを優先しても IPv4 接続は損なわれません。たとえば、DNS インフラストラクチャで IPv6 レコードのないネットワークでは、ユーザーまたはアプリケーションが宛先 IPv6 アドレスを指定しない限り、IPv6 アドレスを使用する通信は試行されません。
IPv6 接続を活用するためには、ネットワーク アプリケーションは IPv4 または IPv6 に特定でない Windows Sockets 機能を使用するよう更新される必要があります。詳細情報は、IPv6 Guide for Windows Sockets Applications (英語情報) をご覧ください。
注: インターネットの誤って構成された DNS サーバーのため、IPv4 と IPv6 の両方を使用するコンピュータは名前を解決し、インターネット リソースに接続できない可能性があります。このまれに発生する問題は、誤って構成された DNS サーバーが 1 つまたは複数の IPv6 アドレスに対する名前を解決するようリクエスト (AAAA レコードへのリクエスト) を受け取った場合に発生します。DNS サーバーが IPv6 をサポートしない場合、名前クエリは失敗します。クエリを行なっているノードは次にリクエストを送り、IPv4 アドレスのセット (A レコードのリクエスト) に対する名前を解決します。誤って構成された DNS サーバーは IPv4 アドレスの次に続く DNS クエリをドロップし、名前解決全体の試行が失敗し、リクエストを行なっているノードのネットワーク接続が損なわれる結果となります。この問題が発生している場合、AAAA レコードについての DNS クエリが失敗した後、次に続く DNS クエリを受け入れるよう DNS サーバーを再構成するようインターネット サービス プロバイダに依頼してください。または、リクエストを行なっているコンピュータで IPv6 を一時的に無効にすることができます。この問題は DNS サーバーに存在しており、IPv4 と IPv6 の両方を使用するすべてのコンピュータに共通です。 |
GUI ベースの構成
Windows XP および Windows Server 2003 では、Windows コマンド プロンプトで netsh interface ipv6 コマンドにより IPv6 構成の設定を手動で構成する必要があります。また、Windows Vista および Windows Server 2008 により、[スタート メニュー] → [ネットワーク] を右クリックして [ネットワークと共有センター] を表示します。[ネットワーク接続の管理] で各接続を選び、右クリックして表示されるメニューからプロパティを選択しますと [接続のプロパティ] ダイアログの Internet Protocol version 6 (TCP/IPv6) のコンポーネントのプロパティを介し IPv6 設定を手動で構成できるようになりました。詳細情報は、2006 年 5 月 The Cable Guy コラム Configuring IPv6 with Windows Vista (英語情報) をご覧ください。
IPsec のフル サポート
Windows XP および Windows Server 2003 の IPv6 トラフィックの Internet Protocol security (IPsec) サポートは制限されています。インターネット キー交換 (IKE) またはデータの暗号化のサポートはありません。IPsec セキュリティ ポリシー、セキュリティ アソシエーションおよびキーはテキスト ファイルを介し構成され、コマンド ライン ツール IPsec6.exe を介しアクティブ化されます。
Windows Server 2008 では、IPv6 トラフィックの IPsec サポートは、IKE および AES 128/192/256 でのデータの暗号化のサポートを含め、IPv4 のものと同じです。IP セキュリティ ポリシーのスナップインは現在、IP セキュリティ ポリシーのスナップインまたは Advanced Security のスナップインがある新しい Windows ファイアウォールのいずれかを使用する IPv4 トラフィックと同じ方法で IPv6 トラフィックの IPsec ポリシーの構成をサポートします。
MLDv2
Windows Vista および Windows Server 2008 は、RFC 3810 で指定されている Multicast Listener Discovery version 2 (MLDv2) をサポートします。これにより、IPv6 ホストがそのローカル マルチキャスト ルータでソースに特定なマルチキャスト トラフィックにおける興味を登録することができます。Windows Vista または Windows Server 2008 で実行されているホストは、特定のソース アドレス (インクルード一覧) のみから、または特定のソース アドレス (除外一覧) から IPv6 マルチキャスト トラフィックを受け取ることへの興味を登録することができます。
LLMNR
Windows Vista および Windows Server 2008 は Link-Local Multicast Name Resolution (LLMNR) をサポートします。これにより、DNS サーバーのない単一のサブネットの IPv6 ホストがお互いの名前を解決することができます。この機能はシングルサブネットのホーム ネットワークおよびアド ホック ワイヤレス ネットワークに有益です。LLMNR ノードは DNS クエリを DNS サーバーにユニキャストするのではなく、その DNS クエリを、サブネットのすべての LLMNR 対応のノードがリッスンしているマルチキャスト アドレスに送ります。クエリされた名前の所有者は応答を送ります。また、IPv4 ノードは LLMNR を使用して、NetBIOS over TCP/IP ブロードキャストに依存し、ローカル サブネットの名前解決を実行することができます。
URL のリテラル IPv6 アドレス
Windows Vista および Windows Server 2008 の WinINet API は現在 RFC 2732 および URL の IPv6 リテラル アドレスの使用をサポートします。たとえば、IPv6 アドレス 2001:db8:100:2a5f::1 で Web サーバーに接続するために、WinINet ベースの Web ブラウザ (例: Internet Explorer) を使用するユーザーは URL として http://[2001:db8:100:2a5f::1] を入力することができます。通常のユーザーは IPv6 リテラル アドレスを使用しないかもしれませんが、URL の IPv6 アドレスを指定する機能はアプリケーション開発者、ソフトウェア テスターおよびネットワーク トラブルシューターに利用可能です。
IPv6 over PPP
ビルトインのリモート アクセス クライアントは現在 RFC 2472 に定義されているように IPv6 over the Point-to-Point Protocol (PPP) (PPPv6) をサポートします。標準の IPv6 トラフィックは現在 PPP ベースの接続で送信されることができます。たとえば、PPPv6 のサポートにより、ブロードバンドのインターネット アクセスに使用されている場合もあるダイヤル アップまたは PPP over Ethernet (PPPoE) ベースの接続を介し IPv6 ベースのインターネット サービス プロバイダ (ISP) と接続することができます。さらに、PPPv6 は Layer Two Tunneling Protocol (L2TP) ベースの仮想プライベート ネットワーク接続をサポートします。
DHCPv6
Windows Vista および Windows Server 2008 の DHCP クライアント サービスは RFC 3315 および 3736 で定義されている Dynamic Host Configuration Protocol for IPv6 (DHCPv6) をサポートします。Windows Vista または Windows Server 2008 を実行しているコンピュータは、標準の IPv6 ネットワークでステートフルとステートレス DHCPv6 の両方を実行することができます。Windows Server 2008 の DHCP サーバー サービスもまた DHCPv6 をサポートします。
ランダムなインターフェース ID
ネットワーク アダプタ製造元の既知の企業ID に基づく IPv6 アドレスのアドレス スキャンを防ぐため、Windows Vista および Windows Server 2008 は既定で、パブリック アドレスおよびリンクローカル アドレスを含む一時的な自動構成される IPv6 アドレス以外のものについて、ランダムなインターフェース ID を生成します。パブリック IPv6 アドレスは DNS に登録され、Web サーバーなどの受信接続用のサーバー アプリケーションにより通常使用されるグローバル アドレスです。この新しい動作は、RFC 3041 に説明されているように、一時 IPv6 アドレスについての動作とは異なることに注意してください。一時アドレスもまたランダムに派生したインターフェース ID を使用します。しかし、これらは DNS に登録されず、通常、通信を開始する時に Web ブラウザなどのクライアント アプリケーションにより使用されます。
Teredo への変更
Teredo とは IPv6 転送技術で、これにより 1 つまたは複数の NAT により分割されている IPv6/IPv4 ノードがグローバル IPv6 アドレスとエンド ツー エンドで通信できるようになります。NAT は、トラフィックのアドレスおよびポート番号をプライベート IPv4 アドレスを使用するプライベート ネットワーク ホストに変換する、またはプライベート ネットワーク ホストから変換することにより、パブリック IPv4 アドレス空間を保存するために、一般的にインターネットで使用されます。
NAT はパブリック IPv4 アドレス空間の寿命を延ばしますが、この機能は、すべてのノードが一意のグローバル アドレスと通信する必要があるというインターネットの元々の設計原理を違反するという犠牲を払います。プライベート アドレスの再使用および NAT で行なわれるプライベート アドレスとパブリック アドレス間の変換のため、NAT の背後のプライベート ネットワークにあるサーバーおよびピアは、手動で NAT を構成、またはアプリケーション プロトコルを変更しないと、通信することができません。
NAT の背後のサーバーおよびピアの IPv4 トラフィックは NAT をトラバースすることに関する問題がある場合がありますが、Teredo ベースの IPv6 トラフィックは NAT を構成またはアプリケーション プロトコルを変更する必要なしで NAT をトラバースすることができます。Teredo IPv6 のアドレスはグローバル アドレスで、インターネット全体に一意的です。Teredo は、IPv4 トラフィックのグローバル アドレス割り当ておよびエンド ツー エンドの接続をサポートしない環境について IPv6 トラフィックのグローバル アドレス割り当ておよびエンド ツー エンドの接続を復元します。
Teredo とは、最初にAdvanced Networking Pack for Windows XP with Service Pack 1でリリースされ、Windows XP Service Pack 2 および Windows Server 2003 Service Pack 1 に含まれています。Windows Vista および Windows Server 2008 もまた Teredo をサポートします。2 月の Community Technology Preview (TCP) および Windows Vista のその後のリリースでは、Teredo は既定で有効でアクティブです。ベータ評価者は、アドレスの自動構成を実行し、NAT マッピングを保持するために Teredo のコンポーネントにより送信されたトラフィックに気付かれたかもしれません。Windows Vista の最終版で、Teredo のコンポーネントは有効となる予定ですが、既定で非アクティブです。アクティブにするためには、ユーザーは Teredo を使用する必要のあるアプリケーションをインストールするか、またはファイアウォールの設定を変更し、アプリケーションが Teredo を使用できるようにする必要があります。Windows Server 2008 では Teredo は既定で無効となっています。
Windows Vista および Windows Server 2008 の Teredo は次をサポートします。
| • | Teredo は現在ドメイン メンバ コンピュータに有効とされています。コンピュータがドメインのメンバである場合、Windows XP および Windows Server 2003 の Teredo は自動的にそれ自体を無効にしていました。ドメイン メンバのコンピュータは標準の IPv6 接続または IPv6 転送技術である Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) を展開したネットワークに接続している場合が多いです。しかし、ドメイン メンバのコンピュータもまた Teredo ベースの IPv6 接続から利益を得ることができます。 |
| • | 現在 Teredo は、1 台の Teredo クライアントが、1 つまたは複数のシンメトリック NAT の背後に存在する場合、動作することができます。(送信トラフィックの) 外部の宛先アドレスにより、シンメトリック NAT は同じ内部 (プライベート) アドレスおよびポート番号を異なる外部 (パブリック) アドレスおよびポートにマップします。Windows XP および Windows Server 2003 の Teredo は、それ自体がシンメトリック NAT の背後にあると検出すると、それ自体を無効にします。この新しい動作により、Teredo はインターネット接続しているホストのより大きいセット間で動作することができます。 |
注: Teredo のトラフィックは IPv4 ベースの UDP メッセージとしてカプセル化された IPv6 パケットです。エッジ ファイアウォールがすべての送信 UDP トラフィックをドロップする場合、Teredo クライアントはそのほかの Teredo クライアントを初期化またはそのほかの Teredo クライアントと通信できません。 |
IPv6 および Teredo のセキュリティ
既定で IPv6 および Teredo を有効にしていても、次の理由により、コンピュータが悪意のあるユーザーまたはプログラムによる攻撃の影響をさらに受けやすくなるわけではありません。
| • | Windows ファイアウォールは Windows Vista と Windows Server 2008 の両方に含まれており、既定で有効となっていますが、これは IPv4 と IPv6 の両方のステートフルなホスト ベースのファイアウォールです。不必要で受信者が送信を要求していない受信トラフィックに対する保護のすべてが IPv4 と IPv6 トラフィックの両方に適用されます。 |
| • | TCP または UDP ポートに基づき、またはプログラム名を指定することにより、Windows ファイアウォールにより、必要な、受信者が送信を要求していない受信トラフィックについての例外を個人のコンピュータに適用することができます。Windows ファイアウォール ベースの例外は、典型的な NAT で構成される例外よりもはるかに具体的です。 |
| • | Windows フィルタリング プラットフォームとは、Windows Vista および Windows Server 2008 の新しいアーキテクチャで、これにより、サードパーティのソフトウェア開発者が TCP/IP パケット処理パス (ここで送信および受信パケットが、さらに処理される前にテストされる、または変更されます) にアクセスすることができます。TCP/IP 処理パスを利用することにより、ISV はファイアウォール、ウイルス対策ソフトウェア、診断ソフトウェアおよびそのほかの種類のアプリケーションおよびサービスを作成することができます。Windows フィルタリング プラットフォームは IPv4 と IPv6 トラフィックの両方のために設計されています。Windows フィルタリング プラットフォームを使用するサードパーティのホストベースのファイアウォール製品は通常 IPv4 と IPv6 トラフィックの両方をサポートします。 |
Windows Vista を実行しているコンピュータは IPv6、Teredo および Windows ファイアウォールが既定で有効となっており、不必要で受信者が送信を要求していない受信 IPv6 トラフィックから保護されています。
IPv6 および Teredo を使用するセキュリティ上の意味に関する詳細情報は、Using IPv6 and Teredo (英語情報) をご覧ください。
IPv6 を無効にする
Windows XP とは異なり、Windows Vista の IPv6 はアンインストールできません。しかし、次の 1 つを行なうことにより、Windows Vista の IPv6 を無効にすることができます。
| • | [スタート メニュー] → [ネットワーク] を右クリックして [ネットワークと共有センター] を表示します。[ネットワーク接続の管理] で各接続を選び、右クリックして表示されるメニューからプロパティを選択しますと [接続のプロパティ] ダイアログで、接続およびアダプタのすべてのプロパティを取得し、[この接続は次の項目を使用します] の下の一覧の Internet Protocol version 6 (TCP/IPv6) コンポーネントのとなりにあるチェック ボックスのチェックをはずします。この方法は LAN インターフェースおよび接続の IPv6 を無効にしますが、トンネル インターフェースの IPv6 または IPv6 ループバック インターフェースを無効にしません。 |
| • | 0xFF に設定された次のレジストリ値 (DWORD の種類) を追加します。 |
詳細情報
Windows Server 2008 および Windows Vista の IPv6 に関する詳細情報は、次のリソースを参照してください。
| • | Windows Vista および Windows Server "Longhorn" の次世代の TCP/IP スタック |
| • | |
| • | |
| • | |
| • | |
| • |
The Cable Guy の全コラムの一覧と概要をご覧になるには、ここをクリックしてください。