Antworten auf häufig gestellte Fragen zu NCSI

• Gilt für::

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Der folgende Abschnitt enthält eine kurze Liste mit häufig gestellten Fragen zur Netzwerkverbindungs-Statusanzeige (Network Connectivity Status Indicator, NCSI) in Windows.

Wichtig

Die öffentlichen NCSI-Testserver, die zuvor von Azure Front Door gehostet wurden, werden jetzt von Akamai gehostet. Diese Änderung erfolgte am 20. Juni 2023.

Microsoft empfiehlt als bewährte Methode, dass Firewallregeln zum Zulassen von NCSI-Datenverkehr verwendet werden. Firewallregeln sollten außerdem nicht auf IP-Adressen basieren. Wenn Sie fehlgeschlagene NCSI-Tests beobachtet haben, vergewissern Sie sich zunächst, dass die Clienttests nicht von Unternehmensfirewalls oder Proxys blockiert werden. Wenn die Tests vor dem angegebenen Datum funktionierten, wird das Problem von Regeln verursacht, die zum Zulassen ausgehender HTTP-Anforderungen an 13.107.4.52 hinzugefügt wurden.

• Sie können Ihre Ausgangsregeln unter Windows Defender Firewall mit erweiterter Sicherheit ändern, indem Sie auf Start klicken, wf.msc eingeben und dann die EINGABETASTE drücken. Eine Ausgangsregel sollte basierend auf dem ursprünglichen Dienst erstellt werden.

• NLS (Network List Service, Netzwerklistendienst) gilt für:

  • Windows Server 2022 und zukünftige Iterationen
  • Windows 11

• Der NLA-Dienst (Network Location Awareness, Netzwerkadressinformationen) gilt für:

  • Windows Server 2019 und frühere Iterationen
  • Windows 10 und frühere Iterationen

Benutzer*innen hinter einer externen hardwarebasierten Firewall wird empfohlen, mit ihren Hardwareanbietern zusammenzuarbeiten, um die entsprechenden Regeln für ihre Umgebung zu erstellen, da jede über unterschiedliche Steuerelemente und Konfigurationen in der Implementierung verfügt. Für NCSI-Tests gilt die gleiche Anforderung wie für Windows Updates, d. h. sie lassen Hostnamen durch und ordnen sie nicht bestimmten IP-Adressen zu.

Wann werden aktive Tests gesendet?

Aktive Tests werden durch die folgenden, vom NCSI überwachten Ereignisse ausgelöst, die darauf hinweisen, dass der Netzwerkzustand möglicherweise aktualisiert werden muss:

• Allgemeine Änderungen an Schnittstellen- oder Netzwerkbedingungen.
• Proxyerkennung oder -änderungen.
• Hotspoterkennung oder -änderungen.

Sobald neue Netzwerkbedingungen erfüllt sind (kabelgebunden, drahtlos oder hinter einem VPN), ist die Netzwerkschnittstelle einsatzbereit, und der aktive Test testet die Netzwerkverbindung. Ein Beispiel hierfür ist die Herstellung einer drahtlosen Verbindung:

[Microsoft-Windows-NCSI/Analytic ] Transitioning to State: Interface NetReady
Interface Luid: 0x47008000000000

Was geschieht, nachdem ein aktiver Test erfolgreich war?

Ein erfolgreicher Test stellt die folgende Ausgabe bereit:

[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (true) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, true, true, false, true, false

• Wenn der Test keinen Proxy durchlaufen hat, wird dies von NCSI notiert.
• Das Symbol für die Netzwerkschnittstelle wird geändert, um anzuzeigen, dass auf die Internetverbindung zugegriffen werden kann.
• Wenn es sich hinter einem Captive-Portal befindet, in dem keine Anmeldeinformationen bereitgestellt wurden oder das standardmäßig keinen Internetzugriff ohne weitere Eingaben zulässt, wird die Funktion auf „lokal“ festgelegt. Weitere Informationen finden Sie unter Captive-Portale.

Was kann verhindern, dass ein aktiver Test erfolgreich ist?

Viele Dinge können verhindern, dass ein aktiver Test den Internettestserver erreicht oder eine Antwort von einem Server empfängt, der den Client erfolgreich erreicht. Dies sind:

• Proxyfehler, Fehlkonfiguration, vorübergehende Umgebungsbedingungen.
• PAC-Dateiprobleme, die verhindern, dass Pakete an den richtigen Proxy gelangen, oder dazu führen, dass der Client nicht einmal weiß, dass ein Proxy vorhanden ist, über den der Test gesendet werden muss.
• VPN-Konfiguration, Verzögerungen bei der Setupverarbeitung und Fehlleitung des Tests an einen Ort, an dem er das Internet aufgrund von Verbindungstimeouts nicht erreichen kann.
• Probleme bei der DNS-Serverauflösung für die bekannten NCSI-Lookupnamen. Dies sind in den meisten Fällen vorübergehende Probleme und keine fehlenden Datensätze.

Wie ermitteln passive Tests die Konnektivität?

Wenn die für die Schnittstelle aufgezeichnete Hopanzahl mindestens dem Systemminimum entspricht, wird die Schnittstellenfunktion auf „Internet“ aktualisiert. Es werden keine weiteren aktiven Tests für diese Schnittstelle durchgeführt, es sei denn, eines der unter „Wann werden aktive Tests gesendet?“ beschriebenen Ereignisse tritt auf.

Wenn NCSI erkennt, dass die Verbindung nur lokal ist, gelten die folgenden Bedingungen:

• Die Hopanzahl entspricht nicht dem Systemminimum.
• Die Daten zur Hopanzahl konnten für die bestimmte Schnittstelle nicht abgerufen werden.
• Die Routingtabelle enthält keinen Eintrag für die Schnittstelle mit einem nächsten Hop zu einem Stammserver im Internet.
• Aktive Tests sind aktiviert, aber seit der Verbindung der Schnittstelle wurde kein aktiver Test erfolgreich abgeschlossen.

Wie lautet die Mindestanzahl der Hops für das Standardsystem?

Die Standardhopanzahl ist 8, aber dies ist für Unternehmen nicht immer optimal. Der Wert 3 eignet sich für die meisten Unternehmensinfrastrukturen.

Hinweis

Microsoft empfiehlt Nicht-Unternehmensbenutzern, diesen Wert für die Hopanzahl nicht zu ändern, da er Änderungen unterliegen.

Wann und wie oft wird der passive Test ausgeführt?

Es gibt verschiedene Faktoren, die bestimmen, ob basierend auf den Informationen der passive Abrufe ein passiver Test ausgeführt werden soll. Die folgenden Punkte müssen erfüllt sein:

• Der Test ist gemäß Gruppenrichtlinie zugelassen. Ist keine Gruppenrichtlinie konfiguriert, ist er standardmäßig zulässig. Dies kann in der Gruppenrichtlinie unter Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungs-Statusanzeige\Passive Abrufe angeben überprüft werden.
• Ein Benutzer ist angemeldet oder wurde innerhalb der letzten 30 Sekunden angemeldet.

Wenn der passive Test ausgeführt werden darf, erfolgt die Ausführung alle 15 Sekunden. Dies kann durch Bearbeiten des folgenden Registrierungsschlüssels überschrieben werden:

HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet\PassivePollPeriod

Wo befindet sich der HTTP-Webtestserver-Pfad in der Registrierung?

Der Testinhalt befindet sich zusammen mit dem vordefinierten DNS-Testhost unter dem folgenden Pfad:

HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet

Hinweis

Ab Windows 10, Build 14393 (1607), werden Webtest (HTTP)-Anforderungen an www.msftconnecttest.com/connecttest.txt gesendet.

Die erwartete Antwort für HTTP 200 OK sollte die Nutzlast „Microsoft Connect-Test“ enthalten, wie im Folgenden dargestellt:

HTTP:Request, GET /connecttest.txt
HTTP:Response, Status: Ok, URL: /connecttest.txt

Zuvor wurde www.msftncsi.com/ncsi.txt verwendet, und die erwartete Antwort lautet „HTTP 200 OK“ mit der Nutzlast, die „Microsoft NCSI“ enthält.

Bei einem DNS-Test wird die Abfrage an „dns.msftncsi.com“ gesendet, wie unten gezeigt:

Query for dns.msftncsi.com of type A on class Internet
Response - Success, 131.107.255.255

Hinweis

4-c-0003.c-msedge.net ist in der Regel als Einstiegspunkt in das Dienstnetzwerk von MSFT erkennbar, das die von Microsoft gehosteten Internettestserver umfasst. Die „4“ steht für IPv4. 6-c-0003.c-msedge.net steht für IPv6.

Woher weiß NCSI, ob ein HTTP- oder DNS-Test verwendet werden soll?

Ab Windows 11 wird immer HTTP verwendet. Möglicherweise werden DNS-Aktivitäten angezeigt, aber ihr Zweck besteht darin, zu ermitteln, wohin der HTTP-Test gesendet werden soll. Zuvor, wenn kein Proxy vorhanden ist, prüft NCSI über DNS. Beispiel:

[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe (DNS) started on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}

Gründe für Fehler beim Netzwerktest

Es gibt mehrere Gründe, warum ein Netzwerktest möglicherweise fehlschlägt, wie in der folgenden Tabelle dargestellt. Bei aufgetretenen Fehlern erfolgt zur Untersuchung eine Protokollierung in der Ereignisanzeige.

Output	BESCHREIBUNG
ActiveDnsProbeFailed	Fehler beim DNS-Test. Überprüfen Sie dies über eine Paketerfassung.
ActiveHttpProbeFailed	Der DNS-Name für den Testserver wurde nicht aufgelöst. Fehler bei NSCI vor dem Senden der Webtestanforderung. Dies kann auf einen DNS-Fehler, einen Fehler beim Herstellen einer Verbindung mit dem Proxyserver usw. zurückzuführen sein. Überprüfen Sie dies über eine Paketerfassung.
ActiveHttpProbeFailedButDnsSucceeded	Der DNS-Name des Testservers wurde aufgelöst, aber der HTTP-Test zu dieser aufgelösten IP-Adresse ist fehlgeschlagen. Verwenden Sie eine Paketerfassungsanwendung, und überprüfen Sie die Datenerfassung.
ActiveHttpProbeFailedHotspotDetected	Der HTTP-Test kam nicht über einen Hotspot oder ein Captive-Portal hinaus. Dies wird in der Regel bestimmt, wenn eine HTTP 200-Antwort empfangen wird, die Textdatei connecttest.txt aber nicht in der Nutzlast der Antwort enthalten ist, oder ein anderer HTTP-Statuscode als „200“ empfangen wird (z. B. „302“, „304“). Dieser Statuscode wird normalerweise beobachtet, wenn Probleme behandelt werden, bei denen keine Drahtlosverbindung hergestellt werden kann. Überprüfen Sie dies über eine Paketerfassung. Möglicherweise muss der Benutzer den Hotspot authentifizieren, oder die Konfiguration des Hotspots muss geändert werden.
NoAddress	Dem Zieladapter ist keine bevorzugte IP-Adresse zugewiesen. Es gibt ein größeres Problem, das nicht über NSCI gelöst werden kann.
NoGlobalAddress	Wie „NoAddress“, aber spezifisch für IPV6-Schnittstellen.
NoRoute	Die Schnittstelle, auf der der Test gesendet wird, weist in der Routingtabelle keine Route zum Internet auf. Einige Szenarien, in denen dies passieren kann: die Routingtabelle wurde durch ein neu verbundenes VPN noch nicht mit neuen Routen geändert, oder VPN-Szenarien mit Tunnelerzwingung, in denen die physische Schnittstelle nach der Verbindung der VPN-Schnittstelle in die lokale Konnektivität übergeht, wenn die Routingtabelle geändert wurde.
PassivePacketHops	Kein Fehler. Empfangene Pakete weisen auf einen gewissen Grad der Konnektivität hin. Dieser Änderungsgrund wird verwendet, wenn die Funktion erhöht und nicht gesenkt wird.

Hier sehen Sie die Ausgabe eines Testfehlers:

[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (false) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, false, true, false, false, false

[Microsoft-Windows-NCSI/Operational ] Capability change on {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (0x6008001000000 Family: V4 Capability: Local ChangeReason: SuspectDnsProbeFailed) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}

Hinweis

Wenn der Testfehler auf die Durchquerung eines Proxys zurückzuführen ist, legt NCSI den Konnektivitätsstatus auf „Keine“ fest. Wenn der fehlgeschlagene Test nicht durchqueren konnte (direkt ausgeführt wurde), legt NCSI den Konnektivitätsstatus auf „Lokal“ fest.

Wann beendet NCSI den Hotspotmodus?

Wenn NCSI einen aktiven Test mit dem erwarteten Inhalt „Microsoft Connect-Test“ abrufen kann. Wenn sich NCSI hinter einem Hotspot befindet, kann NCSI nichts tun, außer diesen zu erkennen und zu melden. Der Benutzer muss sich bei dem Hotspot authentifizieren, damit der Datenverkehr ins Internet zugelassen wird.

NCSI ist gegenüber dem System dafür verantwortlich, die Konnektivität richtigerweise als „lokal“ zu melden, wenn seine Tests umgeleitet werden. Nur der im Internet gehostete Testserver sollte den erwarteten Inhalt zurückgeben, der die Internetverbindung nachweist.

Ein Beispiel für einen Testfehler kann Folgendes weiterleiten:

[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (false)
{426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, false, true, false, false, false

[Microsoft-Windows-NCSI/Operational ] Capability change on {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}
(0x6008001000000 Family: V4 Capability: Local ChangeReason: SuspectDnsProbeFailed){426b6867-b0e4-4ff9-a14b-dd6a4345c24e}

Warum öffnet Windows manchmal einen Browser, wenn ich eine Verbindung mit einem Netzwerk herstelle?

Dieses Verhalten ist beabsichtigt. Windows möchte, dass Benutzer wissen, wann sie eine Verbindung mit einem Netzwerk herstellen, bei der eine Authentifizierung im Captive-Portal erforderlich ist. Windows zeigte früher für kurze Zeit ein kleines Popupfenster an, das den Benutzer aufforderte, es auszuwählen, um einen Browser zu öffnen. Die Benutzer übersehen dies oft, weil sie nicht wissen, dass sich dadurch ein Browser zur Authentifizierung öffnet. Weitere Informationen finden Sie unter Beim Herstellen einer Verbindung mit einem Unternehmens- oder öffentlichen Netzwerk wird ein Browser geöffnet.

Wo finde ich eine öffentliche Dokumentation, die besagt, dass „msftconnecttest.com“ in der Zulassungsliste enthalten sein muss?

Die folgende Liste von URLs erwähnen msftconnecttext.com oder schließen es implizit ein:

• Netzwerkverbindungs-Statusanzeige
• Windows 11 Enterprise-Verbindungsendpunkte
• Verbindungsendpunkte für Nicht-Enterprise-Editionen von Windows
• Aktive NCSI-Tests und die Netzwerkstatuswarnung

Wie verwendet Microsoft Office NCSI, um die Internetverbindung zu ermitteln?

Dies erfolgt, indem Microsoft Office einen API-Aufruf an get_IsConnectedToInternet durchführt. Wenn Anwendungen wie Microsoft Office keine Internetverbindung angeben können, Sie aber Websites durchsuchen können, deutet dies auf ein NCSI-Problem hin. Wenn Sie nicht browsen oder andere grundlegende Netzwerkvorgänge ausführen können, kann ein allgemeines Netzwerkproblem vorliegen, und die NCSI-Problembehandlung würde nicht greifen.

Das Netzwerksymbol in der Taskleiste basiert auf NCSI und die oben genannte Regel gilt auch dann, wenn es keine Netzwerkaktivität anzeigt. Dies kann auf ein allgemeineres Netzwerkproblem als NCSI zurückzuführen sein.

Verfügt Linux über eine eigene NCSI?

Linux verfügt über keine integrierten Anwendungsprogrammierschnittstellen (APIs), mit denen Anwendungen die Internetverbindung fortlaufend auf Änderungen überprüfen können. Anwendungen müssen eigene Netzwerküberprüfungen von Grund auf implementieren oder verschiedene Linux-Hilfsprogramme verwenden, um kontinuierlich im Zeitverlauf auf sich ändernde Netzwerkbedingungen zu überprüfen.

Darüber hinaus führen einige Linux-Anwendungen keine Verbindungsüberwachung durch. Sie senden die Pakete und behandeln anschließend Fehler, während NCSI Anwendungen ermöglicht, den Benutzer bei Verbindungsproblemen sofort zu warnen.

Hinweis

Das Unternehmen muss sicherstellen, dass seine Infrastruktur einfache aktive HTTP- oder DNS-Tests nicht blockiert. Dies kann passieren, wenn eine der folgenden Optionen falsch konfiguriert ist:

• Blockierte Firewalls
• DNS-Server
• VPN-Tunnelerzwingung
• Proxyserver
• Router
• Software von Drittanbietern, die den Test abfängt

Für normale Verbraucher gibt es weniger potenzielle Hindernisse für die standardmäßige Benutzerkonfiguration. Probleme treten auf, wenn VPNs oder Software von Drittanbietern eingeführt werden, die aktive NCSI-Tests abfangen, fehlleiten oder verzögern können.

Weitere Verweise

• NCSI-Übersicht
• Leitfaden zur NCSI-Problembehandlung