インターネット接続性チェックが失敗する環境で Outlook 2013/2016 による先進認証が失敗する


こんにちは。日本マイクロソフト Outlook サポート チームです。

今回は Outlook 2013/2016 による先進認証に影響を与える Network Connection Status Indicator (NCSI) と Outlook の関係についてご説明します。

 


現象

Windows の NCSI によりインターネット接続性がないと判断されている場合、Internet Explorer よるインターネット コンテンツのブラウズなどが可能であっても、Outlook 2013/2016 による先進認証が失敗します。

NCSI がインターネット接続性なしと判断している場合、ライセンス認証や "Office へサインイン" など Office 共通の動作が失敗する場合もあります。

 


原因

先進認証ではクラウド上の認証プロバイダへのアクセスなどでインターネットへの接続が想定されます。

このため、Outlook 2013/2016 が先進認証時に使用する Office 共通のコンポーネントである MSO.dll において、認証前に NCSI によるインターネットの接続性を確認するロジックが存在します。このロジックにより、インターネット接続性がないという応答が NCSI から返った場合、先進認証ができないと判断され、結果的に認証が失敗します。

 


NCSI とは

Windows の画面右下に表示されるインジケーターと呼ばれるアイコンのうち、以下の赤枠のアイコンが NSCI です。

NSCI は Windows の機能であり、インターネット アクセスの有無を確認、通知する役割を担っています。

以下の 2 パターンの場合、NCSI においてはインターネットの接続性がないと判断されており、Outlook 2013/2016 による先進認証が失敗します。

<パターン 1 >
ローカルエリアへの接続性はあるがインターネットへの接続性が確認できていない場合、以下のように黄色い三角にビックリ マークのアイコンとなります。

<パターン 2 >
ネットワーク自体への接続が確認できない場合、以下のように赤い丸にバッテン マークのアイコンとなります。

 


NCSI によるインターネット接続性の確認

NCSI によるインターネットへの接続性のチェックは以下 2 通りの動作を実行して、失敗した場合に "インターネット アクセスなし" と判定されます。

※ OS のバージョンによって動作が異なります。こちらで公開している技術情報の日本語訳に誤りがあり、修正依頼中です。英語版の記事を元にしています。

Windows 7/Windows 8.1/Windows 10 バージョン 1607 より前のバージョン
(1) www.msftncsi.com (ipv6.msftncsi.com for IPv6) に対して HTTP でアクセスし、ncsi.txt ファイルを取得できること
(2) dns.msftncsi.com の DNS 名前解決が ”131.107.255.255” と一致すること

Windows 10 バージョン 1607 および 1607 より後のバージョン
(1) www.msftconnecttest.com (ipv6.msftconnecttest.com for IPv6) に対して HTTP でアクセスし、connecttest.txt ファイルを取得できること
(2) dns.msftncsi.com の DNS 名前解決が ”131.107.255.255” と一致すること

 


有効な対処方法

そもそもインターネットに接続できない環境においては、インターネットへの接続ができるよう構成する必要があります。

インターネットに接続できるはずなのに NCSI のアイコンの状態が「インターネット接続性なし」になっている場合、事例から確認できている情報として、以下のような対処が有効です。

 

A. ネットワーク関連のサービスが正常に起動しているか確認する

既定で自動実行となっている例えば以下のようなネットワーク関連のサービスが停止している場合、NCSI の接続性確認に影響を与えます。

DHCP Client
Network Location Awareness
Network List Service

サービスの状態を確認して、こうしたサービスが起動していない場合は起動します。

 

B. デフォルト ゲートウェイに到達できる IP アドレスが設定されているか確認する

NCSI は、厳密には Network Location Awareness (NLA) と呼ばれる Windows OS によるネットワーク接続性管理の機能の一部です。
NLA ではネットワーク接続性の確認の一つとして、デフォルト ゲートウェイへの疎通を確認する動作を行います。

クライアント PC のネットワーク設定でデフォルト ゲートウェイに疎通不可の IP アドレスが設定されている場合、この影響を受けて Outlook や OS によるネットワーク接続性のチェックに影響を及ぼします。

このため、デフォルト ゲートウェイには疎通可能なIP アドレスを設定ください。

 

C. Netsh コマンドによる Winhttp のプロキシ設定を見直す

Outlook は独自のプロキシ設定を持たず、Winhttp の通信を行う場合も Internet Explorer のプロキシ設定を参照します。
Outlook 単体の動作としては、Internet Explorer で正しくプロキシの設定が行われていれば、Netsh コマンドで設定可能な Winhttp のプロキシ設定を考慮する必要はありません。

一方で、Windows OS の NCSI によるインターネット接続性の確認においても Winhttp が使用されますが、Outlook と異なり、この場合は Netsh コマンドで設定可能な Winhttp のプロキシ設定が参照されます。

このため、Outlook による先進認証やライセンス認証の動作に Netsh コマンドで設定可能な Winhttp のプロキシ設定が間接的に影響を与える場合があります。

Internet Explorer ではインターネットに接続できているにもかかわらず、NCSI のアイコンがインターネット接続性無しの状態になっている場合、Netsh コマンドで設定可能な Winhttp のプロキシ設定をご確認ください。

- コマンドの実行例
コマンド プロンプトから以下のコマンドを実行します。(設定変更を行う場合は管理者としてコマンド プロンプトを起動する必要があります。)

Winhttp のプロキシ設定を確認する

netsh winhttp show proxy

Winhttp のプロキシ設定をリセットする

netsh winhttp reset proxy

Winhttp のプロキシ設定に Internet Explorer のプロキシ設定をインポートする

netsh winhttp import proxy source=ie

 

D. プロキシによる認証要求を行わないよう構成を見直す

以下の技術情報でご紹介しておりますように、プロキシが認証要求を行う環境においてはNCSI による接続性確認が影響を受ける場合があります。
プロキシ側の設定で、NCSI が接続性チェックに使用する接続先へのアクセスに対して認証要求を行わないように制御するか、プロキシを介さずに直接接続が可能な環境ではプロキシをバイパスする構成に変更することをご検討ください。

Title: Windows 8 と認証済みのプロキシ サーバーを使用します。
URL: <https://support.microsoft.com/ja-jp/help/2778122/> (日本語機械翻訳)
URL: <https://support.microsoft.com/en-us/help/2778122/> (英語原文)

 


本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。

Skip to main content