Réponses aux questions courantes sur NCSI
La section suivante fournit une FAQ rapide sur l’indicateur de statut de connectivité réseau (NCSI) dans Windows.
Important
Les serveurs de sonde NCSI publics précédemment hébergés par Azure Front Door sont désormais hébergés par Akamai. Ce changement s’est produit le 20 juin 2023.
À titre de bonne pratique, Microsoft recommande que des règles de pare-feu soient utilisées pour autoriser le trafic NCSI et qu’elles ne soient pas basées sur des adresses IP. Si vous avez observé des sondes NCSI défaillantes, vérifiez d’abord que les sondes clientes ne sont pas bloquées par des pare-feux ou des proxys d’entreprise. Si les sondes utilisées pour travailler sont antérieures à la date mentionnée, les règles ajoutées pour autoriser les requêtes HTTP sortantes vers 13.107.4.52 sont à l’origine du problème.
Vous pouvez modifier vos règles de trafic sortant dans le Pare-feu Windows Defender avec sécurité avancée en cliquant sur Démarrer>, en tapant wf.msc>, puis en appuyant sur Entrée. Une règle de trafic sortant doit être créée en fonction du service d’origine.
NLS (Network List Service) s’applique à :
- Windows Server 2022 et ses itérations futures
- Windows 11
Le service NLA (Network Location Awareness) s’applique à :
- Windows Server 2019 et ses itérations précédentes
- Windows 10 et ses itérations précédentes
Pour les utilisateurs derrière un pare-feu basé sur du matériel externe, nous recommandons aux clients de collaborer avec leurs fournisseurs de matériel pour créer les règles appropriées pour leur environnement, car chacun a des contrôles et des configurations différents dans leur implémentation. Les sondes NCSI suivent la même exigence que les mises à jour Windows concernant l’autorisation des noms d’hôte et le non-mappage à des adresses IP spécifiques.
Quand les sondes actives sont-elles envoyées ?
Les sondes actives sont déclenchées par les événements suivants que le NCSI surveille et qui indiquent que l’état du réseau peut avoir besoin d’être actualisé :
- Modifications générales de l’interface ou de la condition réseau.
- Détection ou modifications des proxys.
- Détection ou modifications des points d’accès.
Lorsque de nouvelles conditions réseau sont remplies, câblées, sans fil ou derrière un VPN, l’interface réseau est prête à être utilisée et la sonde active teste la connectivité réseau. Par exemple, une connexion sans fil est établie :
[Microsoft-Windows-NCSI/Analytic ] Transitioning to State: Interface NetReady
Interface Luid: 0x47008000000000
Que se passe-t-il après la réussite d’une sonde active ?
Une sonde réussie fournit la sortie suivante :
[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (true) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, true, true, false, true, false
- Si la sonde n’a pas traversé un proxy, NCSI en prend note.
- L’icône d’interface réseau change pour refléter que la connectivité Internet est accessible.
- Si l’interface est derrière un portail captif dans lequel les informations d’identification n’ont pas été fournies ou si elle n’autorise pas l’accès à Internet par défaut sans entrée supplémentaire, la capacité locale est définie. Pour plus d’informations, consultez Portails captifs.
Qu’est-ce qui peut empêcher une sonde active de réussir ?
De nombreux éléments peuvent empêcher une sonde active d’atteindre le serveur de sonde Internet ou de recevoir une réponse d’un serveur atteignant correctement le client. Les voici :
- Erreurs de proxy, mauvaise configuration, conditions environnementales intermittentes.
- Problèmes de fichier PAC qui empêchent les paquets d’aller vers le proxy approprié ou même le client ne sachant pas qu’il existe un proxy via lequel il doit envoyer la sonde.
- Configuration VPN, retards de traitement de la configuration et mauvais itinéraire de la sonde vers un endroit où elle ne peut pas facilement atteindre Internet en raison de l’expiration du délai d’attente de la connectivité.
- Problèmes de résolution de serveur Domain Name Service (DNS) pour les noms de recherche NCSI bien connus. Il s’agit le plus souvent de problèmes intermittents qui ne manquent pas d’enregistrements.
Comment le sondage passif détermine-t-il la connectivité ?
Si le nombre de sauts enregistré pour l’interface est au moins le minimum système, il met à jour la capacité d’interface vers Internet. Aucune autre sonde active n’est effectuée pour cette interface, sauf si l’un des événements décrits dans « Quand les sondes actives sont-elles envoyées ? » se produit.
Si NCSI constate que la connectivité est locale uniquement, les conditions suivantes sont remplies :
- Le nombre de sauts ne respecte pas la valeur minimale du système.
- Les données du nombre de sauts n’ont pas pu être récupérées pour l’interface spécifique.
- La table de routage n’a pas d’entrée pour l’interface avec un saut suivant vers un serveur racine sur Internet.
- Les sondes actives sont activées, mais aucune sonde active n’a réussi depuis la connexion de l’interface.
Quel est le nombre minimum de sauts système par défaut ?
Le nombre de sauts par défaut est 8, mais ce n’est pas toujours optimal pour les entreprises. La valeur 3 convient à la plupart des infrastructures d’entreprise.
Notes
Microsoft ne recommande pas aux utilisateurs non professionnels de modifier cette valeur de nombre de sauts, car elle est susceptible d’être modifiée.
Quand et à quelle fréquence la sonde passive s’exécute-t-elle ?
Différents facteurs déterminent si une sonde passive doit être exécutée en fonction des informations de sondage passives. Les conditions suivantes doivent être remplies :
- Autorisée par la stratégie de groupe. Lorsque la stratégie de groupe n’est pas configurée, elle est autorisée par défaut. Cela peut être vérifié dans la stratégie de groupe en accédant à Configuration ordinateur\Modèles d’administration\Réseau\Indicateur de statut de connectivité réseau\Spécifier l’interrogation passive.
- Un utilisateur est connecté ou a été connecté au cours des 30 dernières secondes.
Si la sonde passive est autorisée à s’exécuter, elle le fait toutes les 15 secondes. Vous pouvez le remplacer en modifiant la clé de registre suivante :
HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet\PassivePollPeriod
Où se trouve le chemin du serveur de sonde web HTTP dans le registre ?
Le contenu de la sonde ainsi que l’hôte de sonde DNS prédéfini se trouvent dans le chemin d’accès suivant :
HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet
Notes
À compter de Windows 10 build 14393 (1607), les requêtes http (web probe) sont envoyées à www.msftconnecttest.com/connecttest.txt
.
La réponse attendue pour HTTP 200 OK doit contenir la charge utile « Microsoft Connect Test » comme indiqué ci-dessous :
HTTP:Request, GET /connecttest.txt
HTTP:Response, Status: Ok, URL: /connecttest.txt
Avant cela, www.msftncsi.com/ncsi.txt
était utilisé, et la réponse attendue est HTTP 200 OK avec une charge utile contenant « Microsoft NCSI ».
Pour une sonde Domain Name Service (DNS), la requête est envoyée à « dns.msftncsi.com » comme indiqué ci-dessous :
Query for dns.msftncsi.com of type A on class Internet
Response - Success, 131.107.255.255
Notes
4-c-0003.c-msedge.net est généralement reconnaissable comme le point d’entrée du réseau de services de MSFT, qui comprend les serveurs de sonde Internet hébergés de Microsoft. Le « 4 » est destiné à IPv4. 6-c-0003.c-msedge.net est destiné à IPv6.
Comment NCSI sait-il s’il faut utiliser une sonde HTTP ou Domain Name Service (DNS) ?
À partir de Windows 11, HTTP est toujours utilisé. Vous pouvez voir une activité Domain Name Service (DNS), mais son objectif est d’identifier où envoyer la sonde HTTP. Avant cela, si aucun proxy n’existe, NCSI sonde à l’aide de Domain Name Service (DNS). Exemple :
[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe (DNS) started on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}
Raisons de l’échec de la sonde réseau
Il existe plusieurs raisons pour lesquelles une sonde réseau peut échouer, comme indiqué dans le tableau ci-dessous. Pour les échecs rencontrés, elle est journalisée dans l’observateur d’événements à des fins d’investigation.
Output | Description |
---|---|
ActiveDnsProbeFailed | Échec de la sonde Domain Name Service (DNS). Vérifiez via une capture de paquets. |
ActiveHttpProbeFailed | Le nom DNS du serveur de sonde n’a pas été résolu. NSCI a échoué avant de tenter d’envoyer la requête de sonde web. Cela peut être dû à une défaillance Domain Name Service (DNS), à l’échec de la connexion au serveur proxy, etc. Vérifiez via une capture de paquets. |
ActiveHttpProbeFailedButDnsSucceeded | Le nom DNS du serveur de sonde a été résolu, mais la sonde HTTP de cette adresse IP résolue a échoué. Utilisez une application de capture de paquets et vérifiez la capture de données. |
ActiveHttpProbeFailedHotspotDetected | La sonde HTTP n’a pas dépassé un point d’accès ou un portail captif. Cela est généralement déterminé lorsqu’une réponse HTTP 200 est reçue, mais n’a pas le fichier texte connecttest.txt dans la charge utile de réponse, ou qu’un code de statut HTTP autre que 200 (par exemple, 302, 304) est reçu. Ce code de statut est normalement observé lors de la gestion des problèmes où la connexion sans fil ne peut pas être établie. Vérifiez via une capture de paquets. L’utilisateur peut avoir besoin d’authentifier le point d’accès ou de modifier la configuration du point d’accès. |
NoAddress | L’adaptateur cible n’a pas d’adresse IP par défaut affectée. Il existe un problème plus important qui ne peut pas être résolu par le biais de NSCI. |
NoGlobalAddress | Identique à NoAddress, mais spécifique aux interfaces IPV6. |
NoRoute | L’interface sur laquelle la sonde est envoyée n’a aucun itinéraire vers Internet dans la table de routage. Cela peut se produire lorsqu’un VPN nouvellement connecté n’a pas encore modifié la table de routage avec de nouveaux itinéraires, ou dans les scénarios VPN de tunnel forcé dans lesquels une fois l’interface VPN connectée, l’interface physique passe à la connectivité locale lorsque la table de routage a été modifiée. |
PassivePacketHops | Ce n’est pas un échec. Les paquets reçus indiquent un certain niveau de connectivité. Cette raison de modification est utilisée lorsque la fonctionnalité est augmentée, et non réduite. |
Voici une sortie d’une défaillance de sonde :
[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (false) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, false, true, false, false, false
[Microsoft-Windows-NCSI/Operational ] Capability change on {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (0x6008001000000 Family: V4 Capability: Local ChangeReason: SuspectDnsProbeFailed) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}
Notes
Si l’échec de la sonde était dû à un dépassement d’un proxy, NCSI définit l’état de connectivité sur Aucun. Si la sonde ayant échoué n’a pas traversé (est passée directement), NCSI définit l’état de connectivité sur Local.
Quand NCSI quitte-t-il le mode hotspot ?
Quand NCSI est en mesure d’obtenir une sonde active avec le contenu attendu correspondant « Test Microsoft Connect ». NCSI ne peut rien faire à propos d’être derrière un point d’accès, à part le détecter et le signaler. Il appartient à l’utilisateur de s’authentifier auprès du point d’accès afin que le trafic soit autorisé vers Internet.
La responsabilité de NCSI envers le système est de signaler avec précision la connectivité locale lorsque ses sondes sont redirigées. Seul le serveur de sonde hébergé sur Internet doit retourner le contenu attendu prouvant la connectivité Internet.
Un exemple de défaillance de sonde peut relayer les éléments suivants :
[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (false)
{426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, false, true, false, false, false
[Microsoft-Windows-NCSI/Operational ] Capability change on {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}
(0x6008001000000 Family: V4 Capability: Local ChangeReason: SuspectDnsProbeFailed){426b6867-b0e4-4ff9-a14b-dd6a4345c24e}
Pourquoi Windows ouvre-t-il parfois un navigateur quand je me connecte à un réseau ?
Ce comportement est normal. Windows souhaite que les utilisateurs sachent quand ils se connectent à un réseau qui nécessite l’authentification du portail captif. Windows affichait une petite fenêtre contextuelle pendant une courte durée, encourageant les utilisateurs à la sélectionner pour ouvrir un navigateur. Les utilisateurs passent souvent à côté, sans savoir qu’il ouvre un navigateur pour l’authentification. Pour plus d’informations, consultez un navigateur s’ouvre lors de la connexion à un réseau public ou d’entreprise.
Où puis-je trouver la documentation publique indiquant que msftconnecttest.com doit figurer dans la liste d’autorisation ?
La liste suivante d’URL mentionne ou implique msftconnecttext.com
:
- Indicateur de statut de la connexion réseau
- points de terminaison de connexion Windows 11 Entreprise
- Points de terminaison de connexion pour les éditions non-Entreprise de Windows
- Sondes actives NCSI et alerte de statut réseau
Comment Microsoft Office utilise-t-il NCSI pour déterminer la connectivité Internet ?
Pour ce faire, Microsoft Office effectue un appel d’API à get_IsConnectedToInternet. Si des applications telles que Microsoft Office sont en mesure d’indiquer l’absence de connectivité Internet, mais que vous êtes en mesure de parcourir des sites web, cela indique un problème NCSI. Si vous ne pouvez pas parcourir ou effectuer d’autres opérations réseau de base, il peut s’agir d’un problème réseau général et la résolution des problèmes NCSI ne s’applique pas.
L’icône réseau de la barre des tâches s’appuie sur NCSI et la même règle ci-dessus s’applique même si elle n’indique aucune activité réseau. Cela peut être dû à un problème réseau plus générique autre que NCSI.
Linux a-t-il son propre NCSI ?
Linux n’a pas d’API (interface de programmation d’application) intégrées permettant aux applications de vérifier les modifications continues de la connectivité Internet. Elles doivent implémenter leurs propres vérifications réseau à partir de zéro, ou utiliser différents utilitaires Linux pour vérifier en continu l’évolution des conditions du réseau au fil du temps.
En outre, certaines applications Linux n’effectuent pas de vérifications de connectivité. Elles envoient les paquets et gèrent les erreurs après coup, tandis que NCSI permet aux applications d’alerter l’utilisateur en cas de problèmes de connectivité immédiats.
Notes
L’entreprise doit s’assurer que son infrastructure ne bloque pas une simple sonde active HTTP ou Domain Name Service (DNS). Cela peut se produire si l’un des éléments suivants est mal configuré :
- Pare-feu bloqués
- Serveurs DNS
- Tunneling VPN forcé
- Serveurs proxy
- Routeurs
- Logiciel tiers interceptant la sonde
Pour les consommateurs généraux, il existe moins d’obstacles potentiels qui ne nécessitent pas de configuration utilisateur prête à l’emploi. Des problèmes se produisent lorsque des VPN ou des logiciels tiers sont introduits, ce qui peut intercepter, mal rediriger ou retarder les sondes actives NCSI.