Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В следующем разделе приведены краткие вопросы и ответы о индикаторе состояния сетевого подключения (NCSI) в Windows.
Important
Общедоступные серверы проб NCSI, которые раньше размещались на платформе Azure Front Door, с 20 июня 2023 года размещаются на платформе Akamai.
Корпорация Майкрософт рекомендует как лучшие практики использовать правила брандмауэра для разрешения трафика NCSI, которые не должны основываться на IP-адресах. Если вы наблюдаете какие-либо неудачные пробы NCSI, сначала убедитесь, что корпоративные брандмауэры или прокси-серверы для клиентских проб не блокируются. Если пробники работали до указанной даты, проблема связана с правилами, разрешающими исходящие HTTP-запросы на 13.107.4.52.
Вы можете изменить правила для исходящего трафика в брандмауэре Защитник Windows с расширенными функциями безопасности, щелкнув "Пуск">, введите wf.msc> и нажмите Enter. Правило исходящего трафика должно быть создано на основе исходной службы.
NLS (служба сетевых списков) применяется к:
- Будущие версии Windows Server 2022
- Windows 11
Служба NLA (осведомленность о расположении сети) применяется к:
- Windows Server 2019 и предыдущие итерации
- Windows 10 и предыдущие итерации
Для пользователей за внешним аппаратным брандмауэром мы рекомендуем клиентам работать со своими поставщиками оборудования для создания соответствующих правил для своей среды, так как в каждой из них есть различные элементы управления и конфигурации в реализации. Пробы NCSI следуют тем же требованиям, что и обновления Windows, в отношении разрешения имён узлов и несопоставления с конкретными IP-адресами.
Когда отправляются активные пробы?
Следующие события, которые NCSI отслеживает, указывают на необходимость обновления сетевого состояния и инициируют активные пробы:
- Общие изменения интерфейса или состояния сети.
- Обнаружение или изменение прокси-сервера.
- Обнаружение или изменение горячих точек.
Когда выполняются новые условия сети, проводные, беспроводные или за VPN-соединение, сетевой интерфейс становится готовым для использования, и активные тесты проверяют подключение к сети. Примером является установка беспроводного подключения:
[Microsoft-Windows-NCSI/Analytic ] Transitioning to State: Interface NetReady
Interface Luid: 0x47008000000000
Что происходит после успешной активной пробы?
Успешная проба предоставляет следующие выходные данные:
[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (true) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, true, true, false, true, false
- Если проба не проходит через прокси-сервер, NCSI заметит это.
- Значок сетевого интерфейса изменяется в соответствии с доступностью подключения к Интернету.
- Если вы находитесь за порталом-ловушкой, где учетные данные не были введены или портал не разрешает доступ в Интернет по умолчанию без дополнительных данных, он будет настроен на локальный доступ. For more information, see Captive portals.
Что может помешать активному зондированию достичь успеха?
Многие вещи могут предотвратить доступ активной пробы к серверу проверки Интернета или получение ответа от сервера, достигающего клиента. Они приведены следующим образом:
- Ошибки прокси-сервера, неправильное настройка, периодические условия окружающей среды.
- Проблемы с PAC-файлом, которые препятствуют маршрутизации пакетов на правильный прокси-сервер или клиент не распознает существование необходимого прокси-сервера для отправки пробы.
- Конфигурация VPN, задержки обработки настройки и некорректная маршрутизация зонда в место, где он не может легко добраться до интернета из-за истечения времени ожидания подключения.
- Проблемы с разрешением серверов системы доменных имен (DNS) для известных имен для поиска NCSI. Чаще всего это периодические проблемы, а не отсутствующие записи.
Как пассивное зондирование определяет подключение?
Если число прыжков, записанное для интерфейса, по крайней мере является системным минимумом, оно обновляет возможности интерфейса в Интернете. На этом интерфейсе активные пробы не выполняются, если не произойдет одно из событий, описанных в разделе "Когда отправляются активные пробы?" occurs.
Если NCSI видит, что подключение доступно только для локального доступа, выполняются следующие условия:
- Количество прыжков не соответствует системному минимуму.
- Данные счетчика прыжков не удалось получить для конкретного интерфейса.
- Таблица маршрутизации не имеет записи для интерфейса со следующим прыжком на корневой сервер в Интернете.
- Активные пробы включены, но ни одна активная проба не завершилась успешно с момента подключения интерфейса.
Каково минимальное количество прыжков по умолчанию?
The default hop count is 8 but this isn't always optimal for enterprises. A value of 3 is suitable for most enterprise infrastructures.
Note
Корпорация Майкрософт не рекомендует пользователям, не являющимся корпоративными, изменять это значение числа прыжков, так как оно может измениться.
Когда и как часто запускается пассивный зонд?
Несколько факторов определяют, должна ли выполняться пассивная проба на основе данных пассивного опроса. Необходимо выполнить следующие условия:
- Разрешено групповой политикой. Если групповая политика не настроена, по умолчанию она разрешена. Это можно проверить в групповой политике, перейдя к Конфигурация компьютера\Административные шаблоны\Сеть\Индикатор состояния сетевого подключения\Указать пассивный опрос.
- Пользователь вошел в систему или вошел в систему за последние 30 секунд.
Если пассивной пробе разрешено выполняться, она выполняется каждые 15 секунд. Это можно изменить, отредактировав следующий ключ реестра:
HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet\PassivePollPeriod
Где находится путь сервера веб-пробы HTTP в реестре?
Содержимое пробы вместе с предопределенным узлом пробы DNS находится в следующем пути:
HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet
Note
Начиная с сборки Windows 10 14393 (1607), запросы веб-пробы (HTTP) отправляются в www.msftconnecttest.com/connecttest.txt.
Ожидаемый ответ HTTP 200 OK должен содержать полезную нагрузку "Microsoft Connect Test", например:
HTTP:Request, GET /connecttest.txt
HTTP:Response, Status: Ok, URL: /connecttest.txt
Раньше www.msftncsi.com/ncsi.txt использовалось, и ожидаемый ответ — HTTP 200 OK с полезными данными, содержащими Microsoft NCSI. Для проверки DNS запрос отправляется в dns.msftncsi.com. For example:
Query for dns.msftncsi.com of type A on class Internet
Response - Success, 131.107.255.255
Note
4-c-0003.c-msedge.net is typically recognizable as the entry point to MSFT services network which includes Microsoft’s hosted internet probe servers. Значение "4" предназначено для IPv4. 6-c-0003.c-msedge.net is for IPv6.
Как NCSI знает, следует ли использовать пробу HTTP или DNS?
Начиная с Windows 11 всегда используется HTTP. Возможно, вы увидите действие DNS, но его целью является определение места отправки пробы HTTP. Перед этим, если прокси-сервер не существует, NCSI выполняет запросы с использованием DNS. Example:
[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe (DNS) started on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}
Причины сбоя пробы сети
Есть несколько причин, по которым проверка сети может завершиться неудачей. При возникновении ошибок они записываются в средство просмотра событий для исследования.
| Output | Description |
|---|---|
| ActiveDnsProbeFailed | Сбой пробы DNS. проверить с помощью записи пакетов. |
| ActiveHttpProbeFailed | DNS-имя проверочного сервера не было разрешено. NSCI не удалось отправить запрос веб-пробы. Это может быть вызвано сбоем DNS, сбоем подключения к прокси-серверу и т. д. проверить с помощью записи пакетов. |
| ActiveHttpProbeFailedButDnsSucceeded | DNS-имя сервера пробы было разрешено, но HTTP-запрос к этому разрешенному IP-адресу завершился ошибкой. Использовать приложение для записи пакетов и проверить запись данных. |
| ActiveHttpProbeFailedHotspotDetected | Проверка HTTP не прошла через хот-спот или каптивный портал. This is typically determined when an HTTP response 200 is received, but the response payload doesn’t contain the text file connecttest.txt. Кроме того, может быть получен код состояния HTTP, отличный от 200, например 302 или 304. Этот код состояния обычно наблюдается при обработке проблем, когда не удается установить беспроводное подключение. Проверьте с помощью записи пакетов. Возможно, пользователю потребуется выполнить проверку подлинности хот-точки или конфигурации хот-точки. |
| NoAddress | Целевой адаптер не имеет предпочтительного IP-адреса. Существует более большая проблема, связанная с тем, что невозможно устранить через NSCI. |
| NoGlobalAddress | То же, что и NoAddress, но относится к интерфейсам IPV6. |
| NoRoute | Интерфейс, на который отправляется проба, не имеет маршрута к Интернету в таблице маршрутизации. Некоторые сценарии, в которых это может произойти, когда только что подключенная VPN еще не изменила таблицу маршрутизации с новыми маршрутами или в сценариях принудительного vpn-подключения, в которых после подключения VPN-интерфейса физический интерфейс удаляется к локальному подключению по мере изменения таблицы маршрутов. |
| PassivePacketHops |
Не ошибка. Полученные пакеты указывают на некоторый уровень подключения. This change reason is used when capability is being raised, not lowered. |
Ниже приведены выходные данные сбоя пробы:
[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (false) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, false, true, false, false, false
[Microsoft-Windows-NCSI/Operational ] Capability change on {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (0x6008001000000 Family: V4 Capability: Local ChangeReason: SuspectDnsProbeFailed) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}
Note
Если ошибка пробы возникла из-за пересечения прокси-сервера, NCSI устанавливает состояние подключения в значение None. Если вышедший из строя зонд не обошёл (пошел напрямую), NCSI устанавливает состояние подключения на локальное.
Когда NCSI выходит из режима хот-точки?
Если NCSI удается получить активный запрос с соответствующим ожидаемым содержимым "Microsoft Connect Test". NCSI не может предпринять ничего, чтобы преодолеть нахождение за точкой доступа, кроме как обнаружить это и сообщить. Пользователь должен авторизоваться через точку доступа, чтобы трафик получил доступ в Интернет.
Ответственность NCSI перед системой заключается в точном сообщении о подключении как о локальном при перенаправлении зондов. Только сервер пробы, размещенный в Интернете, должен возвращать ожидаемое содержимое, подтверждающее подключение к Интернету.
Приведен пример того, что может сообщать сбой пробы:
[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (false)
{426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, false, true, false, false, false
[Microsoft-Windows-NCSI/Operational ] Capability change on {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}
(0x6008001000000 Family: V4 Capability: Local ChangeReason: SuspectDnsProbeFailed){426b6867-b0e4-4ff9-a14b-dd6a4345c24e}
Почему Windows иногда открывает браузер при подключении к сети?
Это поведение является намеренным. Windows хочет, чтобы пользователи знали, когда они подключаются к сети, требующей проверки подлинности на портале. Windows раньше отображала небольшое всплывающее окно на короткое время, предлагая пользователям выбрать его, чтобы открыть браузер. Пользователи часто пропускают это, не зная, что он откроет браузер для проверки подлинности. Дополнительные сведения см. в статье , где указано, что браузер открывается при подключении к корпоративной или общедоступной сети.
Где можно найти общедоступную документацию о том, что msftconnecttest.com должен находиться в списке разрешений?
Следующий список URL-адресов упоминает или подразумевает msftconnecttext.com:
- индикатор состояния сетевого подключения
- конечные точки подключения Windows 11 Enterprise
- конечные точки подключения для выпусков Windows, не являющихся корпоративными
- Активные NCSI запросы и оповещения о статусе сети
Как Microsoft Office использует NCSI для определения подключения к Интернету?
This is done by Microsoft Office making an API call to get_IsConnectedToInternet. Если такие приложения, как Microsoft Office, не могут указывать на подключение к Интернету, но вы можете просматривать веб-сайты, это означает проблему NCSI. Если вы не можете просматривать или выполнять другие основные сетевые операции, это может быть общая проблема сети, и устранение неполадок NCSI не будет применено.
Значок сети панели задач использует NCSI, и то же правило применяется, даже если оно не указывает на сетевое действие. Это может быть связано с более универсальной сетевой проблемой, отличной от NCSI.
Имеет ли Linux собственный NCSI?
В Linux нет встроенных API (интерфейс программирования приложений) для приложений, чтобы проверить наличие изменений в непрерывном подключении к Интернету. Они должны реализовать собственные проверки сети с нуля или использовать различные служебные программы Linux для непрерывной проверки на время изменения сетевых условий.
Кроме того, некоторые приложения Linux не выполняют проверки подключения. Они отправляют пакеты и обрабатывают ошибки постфактум, в то время как NCSI позволяет приложениям предупреждать пользователя о непосредственных проблемах подключения.
Note
Предприятие должно убедиться, что их инфраструктура не блокирует активную пробу HTTP или DNS. Это может произойти, если какая-либо из следующих настроек будет неправильно настроена:
- Blocked firewalls
- DNS servers
- Принудительное туннелирование VPN
- Proxy servers
- Routers
- Стороннее программное обеспечение, перехватывающее пробу
Для общих потребителей существует меньше потенциальных препятствий, которые не требуют настройки пользователя из коробки. Проблемы возникают при появлении виртуальных сетей или стороннего программного обеспечения, которые могут перехватывать, перенаправляют или задерживают активные пробы NCSI.