Partager via


Réponses aux questions courantes sur NCSI

La section suivante fournit une foire aux questions simplifiée autour de l'indicateur d'état de connectivité réseau (NCSI) dans Windows.

Important

Les serveurs de sonde NCSI publics, précédemment hébergés par Azure Front Door, ont été hébergés par Akamai depuis le 20 juin 2023.

Microsoft recommande comme meilleures pratiques que les règles de pare-feu soient utilisées pour autoriser le trafic NCSI et ne doivent pas être basées sur des adresses IP. Si vous observez des sondes NCSI ayant échoué, vérifiez d’abord que les pare-feu d’entreprise ou les proxys pour les sondes clientes ne sont pas bloqués. Si les sondes ont fonctionné avant la date mentionnée, c'est l'ajout de règles autorisant les requêtes HTTP sortantes vers 13.107.4.52 qui est le problème.

  • Vous pouvez modifier vos règles de trafic sortant dans le pare-feu Windows Defender avec sécurité avancée. Pour cela, cliquez sur Démarrer>, tapez wf.msc>, puis sélectionnez Entrée. Une règle de trafic sortant doit être créée en fonction du service d’origine.

  • NLS (Network List Service) s’applique à :

    • Windows Server 2022 et ses itérations futures
    • Windows 11
  • Le service NLA (Network Location Awareness) s’applique à :

    • Itérations windows Server 2019 et précédentes
    • Itérations Windows 10 et précédentes

Pour les utilisateurs derrière un pare-feu basé sur le matériel externe, nous recommandons aux clients de travailler avec leurs fournisseurs de matériel pour créer les règles appropriées pour leur environnement, car chacun possède des contrôles et des configurations différents dans l’implémentation. Les sondes NCSI suivent les mêmes exigences que les mises à jour Windows en ce qui concerne l'autorisation du passage des noms d'hôte et l'interdiction du mappage à des adresses IP spécifiques.

Quand les sondes actives sont-elles envoyées ?

Les sondes actives sont déclenchées par les événements suivants que les moniteurs NCSI indiquent que l’état du réseau peut avoir besoin d’être actualisé :

  • Modifications de l’interface générale ou de la condition réseau.
  • Détection ou modifications des proxys.
  • Détection des zones critiques ou changements.

Lorsque de nouvelles conditions réseau sont remplies, qu'elles soient câblées, sans fil ou derrière un VPN, l’interface réseau est prête à être utilisée et les sondes actives testent la connectivité réseau. Par exemple, lorsqu’une connexion sans fil est établie :

[Microsoft-Windows-NCSI/Analytic ] Transitioning to State: Interface NetReady
Interface Luid: 0x47008000000000

Que se passe-t-il après la réussite d’une sonde active ?

Une sonde réussie fournit la sortie suivante :

[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (true) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, true, true, false, true, false
  • Si la sonde n’a pas traversé un proxy, NCSI note cela.
  • L’icône d’interface réseau change pour refléter que la connectivité Internet est accessible.
  • Si l’interface est derrière un portail captif dans lequel les informations d’identification n’ont pas été fournies ou si elle n’autorise pas l’accès à Internet par défaut sans entrée supplémentaire, la capacité locale est définie. Pour plus d’informations, consultez Portails captifs.

Qu’est-ce qui peut empêcher une sonde active de réussir ?

De nombreuses choses peuvent empêcher une sonde active d’atteindre le serveur de sonde Internet ou de recevoir une réponse d’un serveur atteignant le client avec succès. Elles sont les suivantes :

  • Erreurs de proxy, mauvaise configuration, conditions environnementales intermittentes.
  • Problèmes de fichier PAC qui empêchent le routage des paquets vers le proxy correct ou le client qui ne reconnaît pas l’existence d’un proxy requis pour l’envoi de la sonde.
  • Configuration VPN, retards de traitement de la configuration et mauvais itinéraire de la sonde vers un endroit où elle ne peut pas facilement atteindre Internet en raison de l’expiration du délai d’attente de la connectivité.
  • Problèmes de résolution du serveur DNS (Domain Name System) pour les noms de recherche NCSI connus. Ces problèmes sont souvent intermittents et non des enregistrements manquants.

Comment la détection passive détermine-t-elle la connectivité ?

Si le nombre de sauts enregistré pour l’interface est au moins le minimum requis par le système, il met à jour la capacité de l’interface à Internet. Aucune autre sonde active n’est effectuée pour cette interface, sauf si l’un des événements décrits dans « Quand les sondes actives sont-elles envoyées ? » se produit.

Si NCSI voit que la connectivité est locale uniquement, les conditions suivantes sont remplies :

  • Le nombre de sauts ne respecte pas la valeur minimale du système.
  • Les données du nombre de sauts n’ont pas pu être récupérées pour l’interface spécifique.
  • La table de routage n’a aucune entrée pour l’interface avec un prochain saut vers un serveur racine sur Internet.
  • Les sondes actives sont activées, mais aucune sonde active ne s'est terminée avec succès depuis que l'interface est devenue connectée.

Quel est le nombre minimum de sauts système par défaut ?

Le nombre de tronçons par défaut est 8, mais cela n’est pas toujours optimal pour les entreprises. Une valeur de 3 convient à la plupart des infrastructures d’entreprise.

Remarque

Microsoft déconseille aux utilisateurs qui ne font pas partie d'une entreprise de modifier cette valeur de nombre de sauts, car elle est susceptible de changer.

Quand et à quelle fréquence la sonde passive s’exécute-t-elle ?

Plusieurs facteurs influencent si une sonde passive doit s’exécuter en fonction des données d’interrogation passives. Les conditions suivantes doivent être remplies :

  • Autorisée par la stratégie de groupe. Lorsque la stratégie de groupe n’est pas configurée, par défaut, elle est autorisée. Cela peut être vérifié dans la stratégie de groupe en accédant à Configuration ordinateur\Modèles d’administration\Réseau\Indicateur de statut de connectivité réseau\Spécifier l’interrogation passive.
  • Un utilisateur est connecté ou s’est connecté au cours des 30 dernières secondes.

Si la sonde passive est autorisée à s’exécuter, elle le fait toutes les 15 secondes. Cela peut être substitué en modifiant la clé de Registre suivante :

HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet\PassivePollPeriod

Où se trouve le chemin du serveur de sonde web HTTP dans le Registre ?

Le contenu de la sonde ainsi que l’hôte de sonde DNS prédéfini se trouve dans le chemin suivant :

HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet

Remarque

À compter de windows 10 build 14393 (1607), les requêtes de sonde web (HTTP) sont envoyées à www.msftconnecttest.com/connecttest.txt.

La réponse attendue pour HTTP 200 OK doit contenir la charge utile « Microsoft Connect Test », par exemple :

HTTP:Request, GET /connecttest.txt
HTTP:Response, Status: Ok, URL: /connecttest.txt

Avant, www.msftncsi.com/ncsi.txt a été utilisé, et la réponse attendue est HTTP 200 OK avec un contenu contenant « Microsoft NCSI ». Pour une sonde DNS, la requête est envoyée à dns.msftncsi.com. Par exemple:

Query for dns.msftncsi.com of type A on class Internet
Response - Success, 131.107.255.255

Remarque

4-c-0003.c-msedge.net est généralement reconnaissable comme point d’entrée vers le réseau de services MSFT, qui inclut les serveurs de sonde Internet hébergés par Microsoft. Le « 4 » est pour IPv4. 6-c-0003.c-msedge.net concerne IPv6.

Comment NCSI sait-il s’il faut utiliser une sonde HTTP ou DNS ?

À compter de Windows 11, HTTP est toujours utilisé. Vous pouvez voir l’activité DNS, mais son objectif est d’identifier où envoyer la sonde HTTP. Avant cela, si aucun proxy n'existe, NCSI effectue des sondes à l'aide de DNS. Exemple:

[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe (DNS) started on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}

Raisons de l’échec de la sonde réseau

Il existe plusieurs raisons pour lesquelles une sonde réseau peut échouer. Pour les échecs rencontrés, elle est journalisée dans l’observateur d’événements à des fins d’investigation.

Sortie Description
ActiveDnsProbeFailed La sonde DNS a échoué.

Vérifier via une capture de paquets.
Échec de la sonde HTTP active Le nom DNS du serveur de sonde n’a pas été résolu. NSCI a échoué avant de tenter d’envoyer la requête de sonde web. Cela peut être dû à une défaillance DNS, à un échec de connexion au serveur proxy, etc.

Vérifier via une capture de paquets.
ActiveHttpProbeFailedButDnsSucceeded Le nom DNS du serveur de sonde a été résolu, mais la sonde HTTP vers cette adresse IP résolue a échoué.

Utiliser une application de capture de paquets et vérifier la capture de données.
ActiveHttpProbeFailedHotspotDetected La sonde HTTP n’a pas réussi à passer un hotspot ou un portail captif. Cela est généralement déterminé lorsqu’une réponse HTTP 200 est reçue, mais la charge utile de réponse ne contient pas le fichier texte connecttest.txt. Vous pouvez également recevoir un code d’état HTTP autre que 200, tel que 302 ou 304.

Ce code d’état est normalement observé lors de la gestion des problèmes où la connexion sans fil ne peut pas être établie. Vérifiez par le biais d’une capture de paquets. L’utilisateur peut avoir besoin d’authentifier le point d’accès ou la configuration du point d’accès peut être modifié.
Pas d'adresse L’adaptateur cible n’a pas d’adresse IP préférée affectée.

Il existe un problème plus important qui ne peut pas être résolu par le biais de NSCI.
NoGlobalAddress Identique à NoAddress mais spécifique aux interfaces IPV6.
NoRoute L’interface sur laquelle la sonde est envoyée n’a aucun itinéraire vers Internet dans la table de routage.

Certains scénarios où cela peut se produire est lorsqu’un VPN nouvellement connecté n’a pas encore modifié la table de routage avec de nouveaux itinéraires ou dans des scénarios VPN de tunnel forcés dans lesquels une fois l’interface VPN connectée, l’interface physique passe à la connectivité locale à mesure que la table de routage a été modifiée.
PassivePacketHops Pas de défaillance.

Les paquets reçus indiquent un niveau de connectivité. Cette raison de modification est utilisée lorsque la fonctionnalité est augmentée, et non réduite.

Voici une sortie d’une défaillance de sonde :

[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (false) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, false, true, false, false, false

[Microsoft-Windows-NCSI/Operational ] Capability change on {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (0x6008001000000 Family: V4 Capability: Local ChangeReason: SuspectDnsProbeFailed) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}

Remarque

Si l’échec de la sonde était dû au fait de traverser un proxy NCSI, fixe l’état de connectivité sur Aucun. Si la sonde ayant échoué ne traverse pas (passe directement), NCSI définit l’état de connectivité sur Local.

Quand ncSI quitte-t-il le mode point d’accès ?

Lorsque NCSI est en mesure d’obtenir une sonde active avec le contenu attendu correspondant « Microsoft Connect Test ». Il n’y a rien que NCSI puisse faire concernant le fait d’être derrière un point d’accès, si ce n’est de le détecter et d’en faire un rapport. Il incombe à l’utilisateur de s’authentifier auprès du point d’accès afin que le trafic soit autorisé sur Internet.

La responsabilité du NCSI envers le système de signaler avec précision la connectivité comme étant locale lorsque ses sondes sont redirigées. Seul le serveur de sonde hébergé sur Internet doit retourner le contenu attendu montrant la connectivité Internet.

Voici un exemple de ce qu’un échec de sonde peut relayer :

[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (false)
{426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, false, true, false, false, false

[Microsoft-Windows-NCSI/Operational ] Capability change on {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}
(0x6008001000000 Family: V4 Capability: Local ChangeReason: SuspectDnsProbeFailed){426b6867-b0e4-4ff9-a14b-dd6a4345c24e}

Pourquoi Windows ouvre-t-il parfois un navigateur quand je me connecte à un réseau ?

Ce comportement est par conception. Windows souhaite que les utilisateurs sachent quand ils se connectent à un réseau qui nécessite l’authentification du portail captif. Windows permet d’afficher une petite fenêtre contextuelle pendant une courte durée pour encourager les utilisateurs à le sélectionner pour ouvrir un navigateur. Les utilisateurs passent souvent à côté, sans savoir qu’il ouvre un navigateur pour l’authentification. Pour plus d’informations, consultez un navigateur s’ouvre lors de la connexion à un réseau public ou d’entreprise.

Où puis-je trouver de la documentation publique indiquant que msftconnecttest.com doit figurer dans la liste blanche ?

La liste suivante d’URL mentionne ou implique msftconnecttext.com:

Comment Microsoft Office utilise-t-il NCSI pour déterminer la connectivité Internet ?

Pour ce faire, Microsoft Office effectue un appel d’API à get_IsConnectedToInternet. Si des applications telles que Microsoft Office ne peuvent indiquer aucune connectivité Internet, mais que vous êtes en mesure de parcourir des sites web, cela indique un problème NCSI. Si vous ne pouvez pas parcourir ou effectuer d’autres opérations réseau de base, il peut s’agir d’un problème réseau général et la résolution des problèmes NCSI ne s’applique pas.

L’icône réseau de la barre des tâches s’appuie sur NCSI et la même règle s’applique même si elle indique aucune activité réseau. Cela peut être dû à un problème réseau plus générique autre que NCSI.

Linux possède-t-il son propre NCSI ?

Linux n’a pas d’API intégrées (interface de programmation d’application) pour que les applications vérifient les modifications continues de connectivité Internet. Ils doivent implémenter leurs propres contrôles réseau à partir de la base, ou utiliser différents utilitaires Linux pour vérifier en permanence les conditions réseau.

En outre, certaines applications Linux n’effectuent pas de vérifications de connectivité. Ils envoient les paquets et gèrent les erreurs après le fait, tandis que NCSI permet aux applications d’alerter l’utilisateur des problèmes de connectivité immédiats.

Remarque

L’entreprise doit s’assurer que son infrastructure ne bloque pas une sonde HTTP ou DNS active. Cela peut se produire si l’un des éléments suivants est mal configuré :

  • Pare-feu bloqués
  • Serveurs DNS
  • Tunneling VPN forcé
  • Serveurs proxy
  • Routeurs
  • Logiciel tiers interceptant la sonde

Pour les consommateurs généraux, il existe moins d’obstacles potentiels qui ne nécessitent pas de configuration utilisateur prête à l’emploi. Des problèmes se produisent lorsque des VPN ou des logiciels tiers sont introduits, qui peuvent intercepter, malrouter ou retarder les sondes actives NCSI.

Voir aussi