Ответы на распространенные вопросы о NCSI
В следующем разделе приведены краткие часто задаваемые вопросы о индикаторе состояния сетевой Подключение NCSI в Windows.
Внимание
Общедоступные серверы проб NCSI, ранее размещенные Azure Front Door, теперь размещаются Akamai. Это изменение произошло 20 июня 2023 г.
Корпорация Майкрософт рекомендует использовать правила брандмауэра для разрешения трафика NCSI и не должны основываться на IP-адресах. Если вы заметили сбой проб NCSI, сначала проверка, что клиентские пробы не блокируются корпоративными брандмауэрами или прокси-серверами. Если пробы, используемые для работы до упоминание даты, добавлены правила, чтобы разрешить исходящие HTTP-запросы до 13.107.4.52 является проблемой.
Вы можете изменить правила для исходящего трафика в брандмауэре Защитника Windows с помощью расширенной безопасности, нажав кнопку "Пуск"> wf.msc> и нажав клавишу ВВОД. Правило исходящего трафика должно быть создано на основе исходной службы.
NLS (служба сетевых списков) применяется к:
- Итерации Windows Server 2022 и будущие итерации
- Windows 11
Служба NLA (осведомленность о расположении сети) применяется к:
- Windows Server 2019 и предыдущие итерации
- Windows 10 и предыдущие итерации
Для пользователей за внешним аппаратным брандмауэром мы рекомендуем клиентам работать со своими поставщиками оборудования для создания соответствующих правил для своей среды, так как в каждой из них есть различные элементы управления и конфигурации в реализации. Пробы NCSI соответствуют тому же требованию, что и Обновл. Windows относительно разрешения имен узлов и не сопоставления с определенными IP-адресами.
Когда отправляются активные пробы?
Активные пробы активируются следующими событиями, которые мониторы NCSI указывают на необходимость обновления состояния сети:
- Общие изменения интерфейса или состояния сети.
- Обнаружение или изменение прокси-сервера.
- Обнаружение или изменение хот-точки.
Когда выполняются новые условия сети, проводные, беспроводные или за VPN, сетевой интерфейс становится готовым для использования и активных тестов пробы для сетевого подключения. Примером этого является установка беспроводного подключения:
[Microsoft-Windows-NCSI/Analytic ] Transitioning to State: Interface NetReady
Interface Luid: 0x47008000000000
Что происходит после успешной активной пробы?
Успешная проба предоставляет следующие выходные данные:
[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (true) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, true, true, false, true, false
- Если проба не проходит через прокси-сервер, NCSI заметит это.
- Значок сетевого интерфейса изменяется в соответствии с доступностью подключения к Интернету.
- Если за заключительным порталом, где учетные данные не были предоставлены или не разрешают доступ к Интернету по умолчанию без дополнительных входных данных, он имеет локальную возможность. Дополнительные сведения см . на порталах Captive.
Что может остановить активную пробу от успешного выполнения?
Многие вещи могут предотвратить доступ активной пробы к серверу проверки Интернета или получение ответа от сервера, достигающего клиента. Это следующие:
- Ошибки прокси-сервера, неправильное настройка, периодические условия окружающей среды.
- Проблемы с файлом PAC, которые препятствуют переходу пакетов к правильному прокси-серверу или даже клиенту, не зная, что прокси-сервер существует, что он должен отправлять пробу через.
- Конфигурация VPN, задержки обработки и неправильное перенаправление пробы в место, где он не может легко добраться до Интернета из-за времени ожидания подключения.
- Проблемы с разрешением DNS-сервера для известных имен подстановки NCSI. Чаще всего это периодические проблемы, а не отсутствующие записи.
Как пассивное проверка данных определяет подключение?
Если число прыжков, записанное для интерфейса, по крайней мере является системным минимумом, оно обновляет возможности интерфейса в Интернете. Для этого интерфейса не выполняются более активные пробы, если только одно из событий, описанных в разделе "Когда отправляются активные пробы?". Возникает.
Если NCSI видит, что подключение доступно только для локального доступа, следующие условия имеют значение true:
- Количество прыжков не соответствует системным минимумам.
- Данные счетчика прыжков не удалось получить для конкретного интерфейса.
- Таблица маршрутизации не имеет записи для интерфейса со следующим прыжком на корневой сервер в Интернете.
- Активные пробы включены, но активные пробы успешно завершены с момента подключения интерфейса.
Что такое минимальное количество прыжков по умолчанию по умолчанию?
Число прыжков по умолчанию равно 8 , но это не всегда оптимально для предприятий. Значение 3 подходит для большинства корпоративных инфраструктур.
Примечание.
Корпорация Майкрософт не рекомендует пользователям, не изменяющим это значение прыжка, так как они подвергаются изменению.
Когда и как часто выполняется пассивный зонд?
Существуют различные факторы, определяющие, следует ли выполнять пассивный зонд на основе информации пассивного опроса. Следующее должно иметь значение true:
- Разрешено групповой политикой. Если групповая политика не настроена, по умолчанию она разрешена. Это можно проверить в групповой политике, перейдя к configuration\Администратор istrative templates\Network\Network\Network Подключение ivity Status Indicator\Указать пассивный опрос.
- Пользователь вошел в систему или вошел в систему за последние 30 секунд.
Если пассивной пробе разрешено выполняться, она выполняется каждые 15 секунд. Это можно переопределить, изменив следующий раздел реестра:
HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet\PassivePollPeriod
Где находится путь сервера веб-пробы HTTP в реестре?
Содержимое пробы вместе с предопределенным узлом пробы DNS находится в следующем пути:
HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet
Примечание.
Начиная с сборки Windows 10 14393 (1607), запросы веб-пробы (HTTP) отправляются www.msftconnecttest.com/connecttest.txtв .
Ожидаемый ответ HTTP 200 OK должен содержать полезные данные Microsoft Подключение Test, как показано ниже:
HTTP:Request, GET /connecttest.txt
HTTP:Response, Status: Ok, URL: /connecttest.txt
www.msftncsi.com/ncsi.txt До этого, и ожидаемый ответ — HTTP 200 OK с полезными данными, содержащими Microsoft NCSI.
Для проверки DNS запрос отправляется в "dns.msftncsi.com", как показано ниже:
Query for dns.msftncsi.com of type A on class Internet
Response - Success, 131.107.255.255
Примечание.
4-c-0003.c-msedge.net обычно распознается как точка входа в сеть служб MSFT, которая включает размещенные серверы интернет-проб Майкрософт. Значение "4" предназначено для IPv4. 6-c-0003.c-msedge.net предназначен для IPv6.
Как NCSI знает, следует ли использовать пробу HTTP или DNS?
Начиная с Windows 11 всегда используется HTTP. Возможно, вы увидите действие DNS, но его целью является определение места отправки пробы HTTP. До этого, если прокси-сервер не существует, пробы NCSI с помощью DNS. Пример:
[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe (DNS) started on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}
Причины сбоя пробы сети
Существует несколько причин, по которым проба сети может завершиться ошибкой, как показано в таблице ниже. При возникновении ошибок он вошел в Просмотр событий для расследования.
| Выходные данные | Description |
|---|---|
| ActiveDnsProbeFailed | Сбой пробы DNS. Проверьте с помощью записи пакетов. |
| ActiveHttpProbeFailed | DNS-имя сервера пробы не было разрешено. NSCI не удалось отправить запрос веб-пробы. Это может быть вызвано сбоем DNS, сбоем подключения к прокси-серверу и т. д. Проверьте с помощью записи пакетов. |
| ActiveHttpProbeFailedButDnsSucceeded | DNS-имя сервера пробы было разрешено, но проба HTTP до этого разрешенного IP-адреса завершилась ошибкой. Используйте приложение записи пакетов и проверьте запись данных. |
| ActiveHttpProbeFailedHotspotDetected | Проба HTTP не прошла мимо хот-спота или заключительного портала. Обычно это определяется при получении HTTP-ответа 200, но не содержит текстовый файл connecttest.txt в полезных данных ответа или код состояния HTTP не 200 (например, 302, 304) . Этот код состояния обычно наблюдается при обработке проблем, когда не удается установить беспроводное подключение. Проверьте с помощью записи пакетов. Возможно, пользователю потребуется выполнить проверку подлинности хот-точки или конфигурации хот-точки. |
| NoAddress | Целевой адаптер не имеет предпочтительного IP-адреса. Существует более большая проблема, связанная с тем, что невозможно устранить через NSCI. |
| NoGlobalAddress | То же, что и NoAddress, но относится к интерфейсам IPV6. |
| NoRoute | Интерфейс, на который отправляется проба, не имеет маршрута к Интернету в таблице маршрутизации. Некоторые сценарии, в которых это может произойти, когда только что подключенное VPN еще не изменило таблицу маршрутизации с новыми маршрутами или в сценариях принудительного туннеля VPN, в которых после подключения VPN-интерфейса физический интерфейс удаляется к локальному подключению по мере изменения таблицы маршрутов. |
| PassivePacketHops | Не сбой. Полученные пакеты указывают на некоторый уровень подключения. Эта причина изменения используется при повышении возможностей, а не снижении. |
Ниже приведены выходные данные сбоя пробы:
[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (false) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, false, true, false, false, false
[Microsoft-Windows-NCSI/Operational ] Capability change on {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (0x6008001000000 Family: V4 Capability: Local ChangeReason: SuspectDnsProbeFailed) {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}
Примечание.
Если ошибка пробы возникла из-за обхода прокси-сервера NCSI, состояние подключения будет установлено на None. Если сбой пробы не прошел (пошел напрямую), NCSI установит состояние подключения в Local.
Когда NCSI выходит из режима хот-точки?
Если NCSI может получить активную пробу с ожидаемым содержимым Microsoft Подключение Test. Ничто не может сделать NCSI о том, что находится за горячим хот-хот-ом, кроме обнаружения и отчетности. Это до пользователя, чтобы пройти проверку подлинности с помощью хот-точки, поэтому трафик будет разрешен в Интернет.
Ответственность NCSI к системе позволяет точно сообщать о подключении как локальном при перенаправлении проб. Только сервер пробы, размещенный в Интернете, должен возвращать ожидаемое содержимое, подтверждающее подключение к Интернету.
Пример сбоя пробы может передавать следующее:
[Microsoft-Windows-NCSI/Analytic ] Active Internet Probe finished on interface {426b6867-b0e4-4ff9-a14b-dd6a4345c24e} (false)
{426b6867-b0e4-4ff9-a14b-dd6a4345c24e}, false, true, false, false, false
[Microsoft-Windows-NCSI/Operational ] Capability change on {426b6867-b0e4-4ff9-a14b-dd6a4345c24e}
(0x6008001000000 Family: V4 Capability: Local ChangeReason: SuspectDnsProbeFailed){426b6867-b0e4-4ff9-a14b-dd6a4345c24e}
Почему Windows иногда открывает браузер при подключении к сети?
Такое поведение предусмотрено программой. Windows хочет, чтобы пользователи знали, когда они подключаются к сети, требующей проверки подлинности на портале. Окна, используемые для отображения небольшого всплывающего окна в течение короткого времени, поощряя пользователей выбирать его, чтобы открыть браузер. Пользователи часто пропускают это, не зная, что он откроет браузер для проверки подлинности. Дополнительные сведения см. в браузере при подключении к корпоративной или общедоступной сети.
Где можно найти общедоступную документацию о том, что msftconnecttest.com должен находиться в списке разрешений?
Следующий список URL-адресов упоминание или подразумевает:msftconnecttext.com
- Индикатор работоспособности сетевых подключений
- конечные точки подключения Windows 11 Корпоративная
- конечные точки Подключение ion для выпусков Windows, не являющихся корпоративными
- Активные пробы NCSI и оповещение о состоянии сети
Как Microsoft Office использует NCSI для определения подключения к Интернету?
Это делается Microsoft Office, выполняя вызов API к get_Is Подключение edToInternet. Если такие приложения, как Microsoft Office, не могут указывать на подключение к Интернету, но вы можете просматривать веб-сайты, это означает проблему NCSI. Если вы не можете просматривать или выполнять другие основные сетевые операции, это может быть общая проблема сети, и устранение неполадок NCSI не будет применено.
Значок сети панели задач использует NCSI и то же правило, которое выше применяется, даже если оно не указывает на сетевое действие. Это может быть связано с более универсальной сетевой проблемой, отличной от NCSI.
Имеет ли Linux собственный NCSI?
В Linux нет встроенных API (интерфейс программирования приложений) для приложений, которые проверка для непрерывного изменения подключения к Интернету. Они должны реализовать собственные проверка сети с нуля или использовать различные служебные программы Linux для непрерывного проверка с течением времени для изменения условий сети.
Кроме того, некоторые приложения Linux не выполняют проверка подключения. Они отправляют пакеты и обрабатывают ошибки после факта, в то время как NCSI позволяет приложениям предупреждать пользователя о немедленных проблемах подключения.
Примечание.
Предприятие должно убедиться, что их инфраструктура не блокирует простую пробу HTTP или DNS. Это может произойти, если какая-либо из следующих ошибок настроена:
- Заблокированные брандмауэры
- Серверы DNS
- Принудительное туннелирование VPN
- Прокси-серверы
- Маршрутизаторы
- Стороннее программное обеспечение, перехватывающее пробу
Для общих потребителей существуют менее потенциальные помехи, которые не требуют настройки пользователя из поля. Проблемы возникают при появлении виртуальных сетей или стороннего программного обеспечения, которые могут перехватывать, перенаправляют или задерживают активные пробы NCSI.