次のセクションでは、Windows のネットワーク接続状態インジケーター (NCSI) に関する簡単な FAQ を提供します。
重要
以前は Azure Front Door によってホストされていたパブリック NCSI プローブ サーバーは、2023 年 6 月 20 日以降、Akamai によってホストされています。
MICROSOFT では、ファイアウォール規則を使用して NCSI トラフィックを許可し、IP アドレスに基づいていてはならないことをベスト プラクティスとしてお勧めします。 失敗した NCSI プローブがある場合は、まず、クライアント プローブのエンタープライズ ファイアウォールまたはプロキシがブロックされていないことを確認します。 前述の日付より前に使用されたプローブの場合、13.107.4.52 への送信 HTTP 要求を許可するように追加された規則が問題になります。
セキュリティが強化された Windows Defender ファイアウォールのアウトバウンド規則を変更するには、[スタート]> をクリックし、「wf.msc>」と入力して Enter キーを押します。 送信規則は、元のサービスに基づいて作成する必要があります。
NLS (ネットワーク リスト サービス) は次に適用されます。
- Windows Server 2022 と今後のイテレーション
- ウィンドウズ11
NLA (ネットワークロケーション認識) サービスは次に適用されます。
- Windows Server 2019 と以前のイテレーション
- Windows 10 と以前のイテレーション
外部のハードウェア ベースのファイアウォールの背後にいるユーザーの場合、お客様はハードウェア ベンダーと協力して、それぞれの環境に適した規則を構築することをお勧めします。実装の制御と構成はそれぞれ異なります。 NCSI プローブは、ホスト名の許可に関して、Windows 更新プログラムと同じ要件に従い、特定の IP アドレスにはマッピングしません。
アクティブなプローブはいつ送信されますか?
アクティブ プローブは、ネットワークの状態を更新する必要があることを示す NCSI が監視する次のイベントによってトリガーされます。
- 一般的なインターフェイスまたはネットワーク条件の変更。
- プロキシの検出または変更。
- ホットスポットの検出または変更。
新しいネットワーク条件 (有線、ワイヤレス、または VPN の背後) が満たされると、ネットワーク インターフェイスは使用可能になり、アクティブなプローブはネットワーク接続をテストします。 たとえば、ワイヤレス接続が確立されている場合です。
[Microsoft-Windows-NCSI/Analytic ] Transitioning to State: Interface NetReady
Interface Luid: 0x47008000000000
アクティブなプローブが成功した後はどうなりますか?
プローブが成功すると、次の出力が得られます。
[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (true) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, true, true, false, true, false
- プローブがプロキシを通過しなかった場合、NCSI はこれをメモします。
- ネットワーク インターフェイス アイコンは、インターネット接続にアクセスできることを反映するように変更されます。
- 資格情報が提供されていないキャプティブ ポータルの背後にある場合、または追加の入力なしでインターネット アクセスが既定で許可されていない場合は、ローカル機能に設定されます。 詳細については、キャプティブ ポータルの を参照してください。
アクティブなプローブが成功するのを止めることができるのは何ですか?
多くの場合、アクティブなプローブがインターネット プローブ サーバーに到達したり、クライアントに正常に到達したサーバーからの応答を受信したりすることを防ぐことができます。 これらは次のとおりです。
- プロキシ エラー、構成ミス、断続的な環境条件。
- パケットが正しいプロキシにルーティングされないか、クライアントがプローブの送信に必要なプロキシの存在を認識しない PAC ファイルの問題。
- VPN の構成、セットアップ処理の遅延、接続タイムアウトのためにインターネットに簡単に到達できない場所へのプローブの誤ルーティング。
- よく知られている NCSI ルックアップ名に対するドメイン ネーム システム (DNS) サーバー解決の問題。 これらは通常、断続的な問題であり、記録が欠けているわけではありません。
パッシブ プローブによって接続はどのように決定されますか?
インターフェイスに対して記録されたホップ数が少なくともシステムの最小値である場合は、インターフェイス機能をインターネットに更新します。 「アクティブなプローブがいつ送信されるか」で説明されているイベントの 1 つを除き、このインターフェイスに対してアクティブなプローブはこれ以上実行されません。" 発生します。
NCSI で接続がローカル専用であることが確認された場合、次の条件が満たされます。
- ホップ数がシステムの最小値を満たしていません。
- 特定のインターフェイスのホップ数データを取得できませんでした。
- ルーティング テーブルには、インターネット上のルート サーバーへの次ホップを持つインターフェイスのエントリがありません。
- アクティブなプローブは有効になっていますが、インターフェイスが接続されてから、アクティブなプローブは正常に完了しません。
既定のシステム最小ホップ数は何ですか?
既定のホップ数は 8 ですが、企業に最適であるとは限りません。 3 の値は、ほとんどのエンタープライズ インフラストラクチャに適しています。
手記
このホップ カウント値は変更される可能性があるため、マイクロソフトでは非エンタープライズ ユーザーによる変更は推奨していません。
パッシブ プローブはいつ、どのくらいの頻度で実行されますか?
パッシブ ポーリング データに基づいてパッシブ プローブを実行する必要があるかどうかには、いくつかの要因が影響します。 次の条件を満たす必要があります。
- グループ ポリシーで許可されます。 グループ ポリシーが構成されていない場合、既定では許可されます。 グループポリシーでこれを確認するには、コンピュータ構成\管理用テンプレート\ネットワーク\ネットワーク接続状態インジケーター\パッシブポーリングを指定に移動します。
- ユーザーがログインしているか、過去 30 秒以内にログインした。
パッシブ プローブの実行が許可されている場合は、15 秒ごとに実行されます。 これは、次のレジストリ キーを編集することでオーバーライドできます。
HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet\PassivePollPeriod
レジストリ内の HTTP Web プローブ サーバー パスはどこにありますか?
プローブの内容と定義済みの DNS プローブ ホストは、次のパスにあります。
HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet
手記
Windows 10 ビルド 14393 (1607) 以降では、Web プローブ (HTTP) 要求が www.msftconnecttest.com/connecttest.txtに送信されます。
HTTP 200 OK の予想される応答には、ペイロード "Microsoft Connect Test" が含まれている必要があります。次に例を示します。
HTTP:Request, GET /connecttest.txt
HTTP:Response, Status: Ok, URL: /connecttest.txt
以前は、www.msftncsi.com/ncsi.txt が使用され、予想される応答は HTTP 200 OK で、ペイロードには "Microsoft NCSI" が含まれています。 DNS プローブの場合、クエリは dns.msftncsi.comに送信されます。 例えば:
Query for dns.msftncsi.com of type A on class Internet
Response - Success, 131.107.255.255
手記
4-c-0003.c-msedge.net は通常、Microsoft のホスト型インターネット プローブ サーバーを含む MSFT サービス ネットワークへのエントリ ポイントとして認識できます。 "4" は IPv4 用です。 6-c-0003.c-msedge.net は IPv6 用です。
NCSI は、HTTP プローブと DNS プローブのどちらを使用するかをどのように認識しますか?
Windows 11 以降では、HTTP は常に使用されます。 DNS アクティビティが表示される場合がありますが、その目的は、HTTP プローブを送信する場所を特定することです。 この前に、プロキシが存在しない場合、NCSI は DNS を使用してプローブします。 例:
[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe (DNS) started on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}
ネットワーク プローブの失敗の理由
ネットワーク プローブが失敗する理由には、いくつかの理由があります。 発生したエラーについては、調査のためにイベント ビューアーに記録されます。
| アウトプット | 説明 |
|---|---|
| アクティブDNSプローブに失敗しました | DNS プローブに失敗しました。 パケット キャプチャを使用して検証します。 |
| アクティブHTTPプローブ失敗 | プローブ サーバーの DNS 名が解決されませんでした。 NSCI は、Web プローブ要求の送信を試みる前に失敗しました。 これは、DNS エラー、プロキシ サーバーへの接続の失敗などが原因である可能性があります。 パケット キャプチャを使用して検証します。 |
| アクティブHTTPプローブが失敗しましたが、DNSは成功しました | プローブ サーバーの DNS 名は解決されましたが、解決された IP アドレスへの HTTP プローブは失敗しました。 パケット キャプチャ アプリケーションを使用し、データ キャプチャを確認します。 |
| ActiveHttpProbeFailedHotspotDetected | HTTP プローブがホットスポットまたはキャプティブ ポータルを超えませんでした。 これは通常、HTTP 応答 200 を受信したときに決定されますが、応答ペイロードにはテキスト ファイル connecttest.txtが含まれません。 または、302 や 304 などの 200 以外の HTTP 状態コードを受信することもできます。 通常、この状態コードは、ワイヤレス接続を確立できない問題を処理するときに観察されます。 パケット キャプチャを使用して確認します。 ユーザーがホットスポットを認証する必要がある場合や、ホットスポットの構成を変更する必要がある場合があります。 |
| 住所なし | ターゲット アダプターには、優先 IP アドレスが割り当てされていません。 NSCI では解決できない大きな問題が発生します。 |
| グローバルアドレスなし | NoAddress と同じですが、IPV6 インターフェイスに固有です。 |
| ノールート | プローブが送信されるインターフェイスには、ルーティング テーブル内のインターネットへのルートがありません。 新しく接続された VPN が新しいルートでルーティング テーブルをまだ変更していない場合や、VPN インターフェイスが接続された後にルート テーブルが変更されたときに物理インターフェイスがローカル接続にドロップする強制トンネル VPN シナリオがあります。 |
| PassivePacketHops | 失敗ではない。 受信したパケットは、ある程度の接続を示します。 この変更理由は、能力が低下するのではなく、向上する場合に使用されます。 |
プローブエラーの出力を次に示します。
[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (false) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, false, true, false, false, false
[Microsoft-Windows-NCSI/Operational ] Capability change on {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (0x6008001000000 Family: V4 Capability: Local ChangeReason: SuspectDnsProbeFailed) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}
手記
プローブの障害がプロキシ NCSI の走査によるものである場合、接続状態は None に設定されます。 失敗したプローブが走査しなかった (直接行った) 場合、NCSI は接続状態をローカルに設定します。
NCSI がホットスポット モードを終了するタイミング
NCSI が、想定されるコンテンツ "Microsoft Connect Test" と一致するアクティブなプローブを取得できる場合。 NCSIがホットスポットの背後にいるのは、検出して報告すること以外に何もできません。 トラフィックがインターネットに送信されるように、ホットスポットで認証を行うのはユーザーが行う必要があります。
プローブがリダイレクトされているときに接続をローカルとして正確に報告するというシステムに対する責任をNCSIが負っています。 インターネット接続を証明する予想されるコンテンツを返す必要があるのは、インターネットでホストされているプローブ サーバーだけです。
プローブ障害が引き起こす可能性がある事例を以下に示します。
[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (false)
{426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, false, true, false, false, false
[Microsoft-Windows-NCSI/Operational ] Capability change on {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}
(0x6008001000000 Family: V4 Capability: Local ChangeReason: SuspectDnsProbeFailed){426b6867-b0e4-4ff9-a14b-dd6a4345c24e}
ネットワークに接続するときに Windows がブラウザーを開く理由
この動作は仕様です。 Windows では、ユーザーがキャプティブ ポータル認証を必要とするネットワークに接続するタイミングを把握する必要があります。 以前、Windows では短時間小さなポップアップが表示され、ユーザーにブラウザーを開くよう促していました。 多くの場合、ユーザーは、認証のためにブラウザーを開くことを知らないと、これを見逃します。 詳細については、企業またはパブリック ネットワーク に接続するときにブラウザーが開くを参照してください。
msftconnecttest.com が許可リストに含まれているべきであることを示すパブリックドキュメントはどこで見つけられますか?
次の URL の一覧は、msftconnecttext.com言及または意味します。
- ネットワーク接続状態表示器
- Windows 11 Enterprise 接続エンドポイント
- Windows の Enterprise 以外のエディションの接続エンドポイント
- NCSI アクティブプローブ とネットワーク状態アラート
Microsoft Office では NCSI を使用してインターネット接続を決定する方法
これは、Microsoft Office が get_IsConnectedToInternetへの API 呼び出しを行うことによって行われます。 Microsoft Office などのアプリケーションでインターネット接続がないことを示すことができるが、Web サイトを参照できる場合は、NCSI の問題を示します。 他の基本的なネットワーク操作を参照または実行できない場合、これは一般的なネットワークの問題である可能性があり、NCSI のトラブルシューティングは適用されません。
タスク バー のネットワーク アイコンは NCSI に依存しており、ネットワーク アクティビティがないことを示している場合でも同じルールが適用されます。 これは、NCSI 以外の一般的なネットワークの問題が原因である可能性があります。
Linux には独自の NCSI がありますか?
Linux には、アプリケーションが継続的なインターネット接続の変更をチェックするための組み込みの API (アプリケーション プログラミング インターフェイス) はありません。 独自のネットワーク チェックを一から実装するか、さまざまな Linux ユーティリティを使用して、ネットワークの状態を変更するために時間の経過と同時に継続的にチェックする必要があります。
さらに、一部の Linux アプリケーションでは接続チェックが実行されません。 パケットを送信し、その後エラーを処理しますが、NCSI を使用すると、アプリケーションはユーザーに即時の接続の問題を警告できます。
手記
企業は、インフラストラクチャが HTTP または DNS アクティブ プローブをブロックしないようにする必要があります。 これは、次のいずれかが正しく構成されていない場合に発生する可能性があります。
- ブロックされたファイアウォール
- DNS サーバー
- 強制 VPN トンネリング
- プロキシ サーバー
- ルーター
- プローブをインターセプトするサード パーティ製ソフトウェア
一般的なコンシューマーの場合、すぐに使用できるユーザー構成を必要としない潜在的な障害が少なくなります。 問題は、NCSI アクティブ プローブをインターセプト、誤ってルーティング、または遅延する可能性がある VPN またはサード パーティ製ソフトウェアが導入されたときに発生します。