NCSI に関してよく寄せられる質問への回答について

• 適用対象:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

次のセクションでは、Windows のネットワーク接続状態インジケーター (NCSI) に関する簡単な FAQ を紹介します。

重要

Azure Front Door によって以前ホストされていたパブリック NCSI プローブ サーバーは、現在 Akamai によってホストされています。 この変更は、2023 年 6 月 20 日に行われました。

Microsoft では、NCSI トラフィックを許可するためにファイアウォール規則を使用し、IP アドレスに基づかないようにすることをベスト プラクティスとしてお勧めします。 失敗した NCSI プローブが見つかった場合は、まず、クライアント プローブがエンタープライズ ファイアウォールまたはプロキシによってブロックされていないことをチェックします。 前述の日付より前にプローブが動作していた場合は、13.107.4.52 への送信 HTTP 要求を許可するように追加された規則が問題となっています。

• [スタート] をクリック > 「wf.msc」と入力 >Enter キーを押すことで、[セキュリティが強化された Windows Defender ファイアウォール] で送信の規則を変更できます。 発信元のサービスに基づいて送信規則を作成する必要があります。

• NLS (ネットワーク リスト サービス) は次に適用されます。

  • Windows Server 2022 と今後のイテレーション
  • Windows 11

• NLA (ネットワーク ロケーション認識) サービスは次に適用されます。

  • Windows Server 2019 と以前のイテレーション
  • Windows 10 と以前のイテレーション

外部のハードウェア ベースのファイアウォールの背後にいるユーザーの場合、それぞれの環境で実装さえている制御や構成が異なるため、ハードウェア ベンダーと協力して環境に適した規則を構築することをお勧めします。 NCSI プローブは、特定の IP アドレスへのマッピングではなく、ホスト名の通過を許可する Windows Update と同じ要件に従います。

アクティブ プローブはいつ送信されますか

アクティブ プローブは、NCSI が監視する次のイベントによってトリガーされます。これらのイベントは、ネットワーク状態の更新が必要な場合があることを示すものです。

• 一般的なインターフェイスまたはネットワーク条件の変更。
• プロキシの検出または変更。
• ホットスポットの検出または変更。

新しいネットワークの条件 (有線、ワイヤレス、または VPN の背後) に該当する場合、ネットワーク インターフェイスは使用可能になり、アクティブ プローブによってネットワーク接続がテストされます。 たとえば、ワイヤレス接続が確立された場合です。

[Microsoft-Windows-NCSI/Analytic ] Transitioning to State: Interface NetReady
Interface Luid: 0x47008000000000

アクティブ プローブが成功した後はどうなりますか

プローブが成功すると、次の出力が返されます。

[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (true) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, true, true, false, true, false

• プローブがプロキシを通過していない場合、NCSI はこれについて記録します。
• インターネット接続がアクセス可能であることを反映するため、ネットワーク インターフェイス アイコンが変化します。
• 資格情報が提供されなかったキャプティブ ポータルの背後にある場合、または追加の入力を行わないと既定ではインターネット アクセスが許可されない場合は、ローカル機能に設定されます。 詳細については、「キャプティブ ポータル」を参照してください。

アクティブ プローブの成功を妨げるものは何ですか

アクティブ プローブがインターネット プローブ サーバーに到達できない、またはサーバーからの応答がクライアントに正常に到達しない原因には、さまざまなことが考えられます。 制限事項は次のとおりです。

• プロキシ エラー、構成の誤り、断続的な環境条件。
• PAC ファイルの問題により、パケットが正しいプロキシに送信されない、またはプローブを送信する必要があるプロキシが存在することをクライアント側が認識していない。
• VPN の構成、セットアップ処理の遅延、接続タイムアウトによりプローブがインターネットに容易に到達できない場所への誤ルーティング。
• 既知の NCSI の参照名の DNS サーバー解決の問題。 これらは断続的な問題であることがほとんどで、レコードが欠落しているわけではありません。

パッシブ プローブではどのように接続性の判断が行われているのですか

インターフェイスに記録されたホップ数が少なくともシステムの最小値である場合は、インターフェイス機能をインターネットに更新します。 「アクティブ プローブはいつ送信されますか」で説明されているイベントのいずれかが発生しない限り、このインターフェイスに対してこれ以上のアクティブ プローブ は実行されません。

NCSI で接続がローカル専用であることが確認された場合、次の条件が成立します。

• ホップ数がシステムの最小値を満たしていない。
• 特定のインターフェイスのホップ数データを取得できない。
• ルーティング テーブルに、ネクスト ホップがインターネット上のルート サーバーに指定されているインターフェイスのエントリがない。
• アクティブ プローブは有効になっているが、インターフェイスが接続されて以降、アクティブ プローブが正常に完了したことがない。

システムの最小ホップ数の既定値は何ですか

ホップ数の既定値は 8 ですが、これはすべての企業に最適な値であるとは限りません。 ほとんどのエンタープライズ インフラストラクチャでは、3 という値が適しています。

Note

Microsoft では、企業以外のユーザーがこのホップ数の値を変更することを推奨していません。

パッシブ プローブはいつ、どのくらいの頻度で実行されますか

パッシブ ポーリング情報に基づいて、パッシブ プローブを実行すべきかどうかを判断する要素はさまざまです。 以下が当てはまる必要があります。

• グループ ポリシーで許可されている。 グループ ポリシーが構成されていない場合、既定では許可されます。 グループ ポリシーでこれを確認するには、[コンピューターの構成]\[管理用テンプレート]\[ネットワーク]\[ネットワーク接続状態インジケーター]\[Specify passive polling](パッシブ ポーリングの指定) に移動します。
• ユーザーがログインしている、または過去 30 秒以内にログインしたことがある。

パッシブ プローブの実行が許可されている場合は、15 秒ごとに実行されます。 これは、次のレジストリ キーを編集することで上書きすることができます。

HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet\PassivePollPeriod

HTTP Web プローブ サーバーのパスは、レジストリのどこにありますか

プローブの内容と事前に定義された DNS プローブ ホストは、次のパスにあります。

HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet

Note

ビルド 14393 (1607) の Windows 10 以降では、Web プローブ (HTTP) 要求は www.msftconnecttest.com/connecttest.txt に送信されます。

想定される HTTP 200 OK の応答には、次に示すようにペイロード "Microsoft Connect Test" が含まれている必要があります。

HTTP:Request, GET /connecttest.txt
HTTP:Response, Status: Ok, URL: /connecttest.txt

それ以前は www.msftncsi.com/ncsi.txt が使用され、期待される応答は HTTP 200 OK で、ペイロードには "Microsoft NCSI" が含まれています。

DNS プローブの場合、クエリは次に示すように "dns.msftncsi.com" に送信されます。

Query for dns.msftncsi.com of type A on class Internet
Response - Success, 131.107.255.255

Note

4-c-0003.c-msedge.net は通常、Microsoft のホスト型インターネット プローブ サーバーを含む MSFT のサービス ネットワークへのエントリ ポイントとして認識されます。 "4" は IPv4 を表します。 IPv6 の場合は、6-c-0003.c-msedge.net となります。

NCSI では、HTTP プローブと DNS プローブのどちらを使用するかはどのように判断されますか

Windows 11 以降では、常に HTTP が使用されるようになりました。 DNS のアクティビティが表示される場合がありますが、この目的は、HTTP プローブをどこに送るかを特定するためです。 これ以前は、プロキシが存在しない場合、NCSI は DNS を使用してプローブを送信していました。 例:

[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe (DNS) started on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}

ネットワーク プローブ エラーの理由

次の表に示すように、ネットワーク プローブでエラーが発生する理由にはいくつかあります。 発生したエラーは、調査のためにイベント ビューアーに記録されます。

出力	説明
ActiveDnsProbeFailed	DNS プローブに失敗しました。 パケット キャプチャで確認します。
ActiveHttpProbeFailed	プローブ サーバーの DNS 名が解決されていません。 NSCI は、Web プローブ要求の送信を試みる前に失敗しました。 これは、DNS エラー、プロキシ サーバーへの接続エラーなどが原因である可能性があります。 パケット キャプチャで確認します。
ActiveHttpProbeFailedButDnsSucceeded	プローブ サーバーの DNS 名は解決されていますが、解決された IP アドレスへの HTTP プローブは失敗しました。 パケット キャプチャ アプリケーションを使用して、データ キャプチャを確認します。
ActiveHttpProbeFailedHotspotDetected	HTTP プローブがホットスポットまたはキャプティブ ポータルを通過しませんでした。 これは通常、HTTP 応答 200 を受信したにも関わらず応答ペイロードにテキスト ファイル connecttest.txt がない場合、または 200 以外の HTTP 状態コード (302、304 など) を受信した場合に判断します。 このステータス コードは、通常、ワイヤレス接続が確立できない問題を処理するときに見られます。 パケット キャプチャで確認します。 ユーザーがホットスポットを認証するか、ホットスポットの構成を変更する必要がある場合があります。
NoAddress	ターゲット アダプターに、優先 IP アドレスが割り当てされていません。 NSCI では解決できない、より大きな問題が関係しています。
NoGlobalAddress	NoAddress と同じですが、IPV6 インターフェイスに固有です。
NoRoute	プローブの送信先であるインターフェイスのルーティング テーブルに、インターネットへのルートがありません。 これが発生する可能性があるシナリオとしては、新しく接続された VPN のルーティング テーブルが新しいルートにまだ変更されていない場合や、強制トンネル VPN のシナリオで、VPN インターフェースが接続された後、ルート テーブルが変更されたため、物理インターフェースがローカル接続に落ちる場合などが挙げられます。
PassivePacketHops	失敗ではありません。 受信したパケットは、ある程度の接続性を示しています。 この変更理由は、機能が低下している時ではなく、改善しているときに使用されます。

プローブ エラーの出力を次に示します。

[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (false) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, false, true, false, false, false

[Microsoft-Windows-NCSI/Operational ] Capability change on {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (0x6008001000000 Family: V4 Capability: Local ChangeReason: SuspectDnsProbeFailed) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}

Note

プローブ エラーがプロキシを通過したためである場合、NCSI では接続状態が None に設定されます。 失敗したプローブが通過しなかった (直接到達した) 場合、NCSI では接続状態が Local に設定されます。

NCSI のホットスポット モードが終了するタイミングはいつですか

NCSI に、想定される内容 "Microsoft Connect Test" に一致するアクティブ プローブが到達したタイミングです。 ホットスポットの背後にある場合、NCSI 側ではそれを検出し報告する以外にできることはありません。 インターネットへのトラフィックを許可するよう、ホットスポットで認証するかどうかは、ユーザー次第です。

システムにおける NCSI の役割は、プローブがリダイレクトされているときに、接続がローカルであると正確に報告することです。 インターネットでホストされるプローブ サーバーのみが、インターネット接続を証明する予想されるコンテンツを返すことができます。

プローブ エラーの例としては、次のようなものがあります。

[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (false)
{426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, false, true, false, false, false

[Microsoft-Windows-NCSI/Operational ] Capability change on {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}
(0x6008001000000 Family: V4 Capability: Local ChangeReason: SuspectDnsProbeFailed){426b6867-b0e4-4ff9-a14b-dd6a4345c24e}

Windows でネットワークに接続するときに、時々ブラウザーが開くことがあるのはなぜですか

この動作は仕様です。 Windows では、キャプティブ ポータル認証を必要とするネットワークに接続したことを、ユーザーに知らせたいと考えています。 以前は、小さなポップアップを短時間表示し、選択してブラウザを開くようユーザーに促す方法を取っていました。 しかし、このポップアップが認証用にブラウザを開くためのものであること知らないユーザーが、このポップアップを見逃すことがよくありました。 詳細については、企業ネットワークやパブリック ネットワークに接続するとブラウザが開くことに関するページを参照してください。

msftconnecttest.com を許可リストに載せる必要があると記載されているパブリック ドキュメントはどこにありますか

以下の URL 一覧は、msftconnecttext.com について言及しているもの、またはそれに関する説明が含まれているものです。

• ネットワーク接続状態インジケーター
• Windows 11 Enterprise の接続エンドポイント
• Windows の Enterprise 以外のエディションの接続エンドポイント
• NCSI アクティブ プローブとネットワーク状態アラート

Microsoft Office は、NCSI をどのように使用してインターネット接続を把握しているのですか

これは、Microsoft Office が get_IsConnectedToInternet への API 呼び出しを行うことで行われます。 Microsoft Office などのアプリケーションではインターネット接続が無いと表示されているにも関わらず、Web サイトは閲覧できる場合は、NCSI に問題が起きていることがわかります。 サイトの閲覧や他の基本的なネットワーク操作の実行ができない場合は、一般的なネットワークの問題である可能性があり、NCSI のトラブルシューティングは適用されません。

タスクバーにあるネットワーク アイコンは NCSI に依存しており、ネットワーク アクティビティがないことを示している場合でも、上記と同じルールが適用されます。 これは、NCSI 以外の一般的なネットワークの問題が原因である可能性があります。

Linux に独自の NCSI はありますか

Linux には、インターネット接続の変化を継続的にチェックするためにアプリケーションで使用できる組み込みの API (アプリケーション プログラミング インターフェイス) はありません。 独自のネットワーク チェックを一から実装するか、Linux の様々なユーティリティを使用して、ネットワークの状態が変化していないかを継続的にチェックする必要があります。

さらに、一部の Linux アプリケーションでは接続チェックが実行されません。 パケットを送信し、事後的にエラーを処理するのに対し、NCSI では、アプリケーションで発生している接続に関する問題をユーザーに即座にアラートすることができます。

Note

企業は、自社のインフラストラクチャが、単純な HTTP または DNS アクティブ プローブをブロックしないようにする必要があります。 これは、次のいずれかが正しく構成されていない場合に発生する可能性があります。

• ブロックされたファイアウォール
• DNS サーバー
• 強制 VPN トンネリング
• プロキシ サーバー
• ルーター
• プローブを傍受するサード パーティ ソフトウェア

一般的なコンシューマーの場合、ユーザーによる簡単な構成を必要としないため、潜在的な障害となる可能性は低いです。 しかし、VPN や、NCSI のアクティブ プローブを傍受したり、誤ってルーティングしたり、遅延させたりする可能性があるサードパーティ ソフトウェアを導入した場合、問題が発生することがあります。

その他のリファレンス

• NCSI の概要
• NCSI トラブルシューティング ガイド