当计算机连接到公司网络或公共网络时,将打开 Internet Explorer 或 Edge 窗口

本文提供有关计算机连接到公司网络或公共网络时 Internet Explorer 或 Edge 窗口打开的问题的一些信息。

适用于: Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 和 Windows 10(所有版本)
原始 KB 编号:   4494446

症状

在以下任一情况下,将运行Windows 8 (或更高版本) 的计算机连接到网络:

  • 将计算机连接到需要热点登录信息的公共网络 (例如酒店、机场等) 。
  • 将计算机连接到使用代理服务器连接到 Internet 的企业网络。

你注意到以下行为:

  • 默认浏览器 (例如 Internet ExplorerEdge) 打开,并显示网页,例如网络的登录页或 MSN 门户页。
  • 任务栏上的网络图标显示警报符号 (例如, ) 。 如果将鼠标悬停在图标上,则会看到诸如"无连接"或"Internet 访问受限"之类的消息。

登录到网络后,可以以通常的方式使用网络。 使用网络几秒钟后,任务栏上的网络警报将消失。

原因

此行为是设计使然。

详细信息

Windows使用网络位置感知 (NLA) 服务来检测网络的属性并确定如何管理与该网络的连接。 NLA 使用名为"网络连接状态指示器" (NCSI) 的组件来确定计算机是否已成功连接到网络,以及网络是否具有 Intranet 或 Internet 连接。

NCSI 使用主动探测和被动探测。 这些探测由任何网络接口的更改触发。 如" 症状 "部分所述,将计算机连接到网络时,NCSI 将启动包含以下一个或多个内容的过程:

NCSI 活动探测和网络状态警报

活动探测过程包括以下步骤:

  • Windows 10或更高版本:

    1. NCSI 发送 DNS 请求以解析 FQDN 的 www.msftconnecttest.com 地址。

    2. 如果 NCSI 从 DNS 服务器收到有效响应,则 NCSI 会向其发送纯 HTTP GET 请求 http://www.msftconnecttest.com/connecttest.txt

    3. 如果 NCSI 成功下载文本文件,则确保该文件包含 Microsoft 连接 测试。

    4. NCSI 会发送另一个 DNS 请求来解析 FQDN 的 dns.msftncsi.com 地址。

      • 如果这些请求中的任何一个失败,则该网络警报将显示在任务栏 (中,如症状) 中所述。 如果将鼠标悬停在图标上,则会看到一条消息,例如"无连接"或"受限 Internet 访问" (取决于哪些请求) 失败。
      • 如果所有这些请求都成功,任务栏将显示通常的网络图标。 如果将鼠标悬停在图标上,则会看到诸如"Internet 访问"之类的消息。
  • Windows 8.1或更早版本:

    1. NCSI 发送 DNS 请求以解析 FQDN 的 www.msftncsi.com 地址。

    2. 如果 NCSI 收到来自 DNS 服务器的有效响应,则 NCSI 会将纯 HTTP GET 请求发送到 http://www.msftncsi.com/ncsi.txt。

    3. 如果 NCSI 成功下载文本文件,则确保该文件包含 Microsoft NCSI。

    4. NCSI 会发送另一个 DNS 请求来解析 FQDN 的 dns.msftncsi.com 地址。

      • 如果这些请求中的任何一个失败,则该网络警报将显示在任务栏 (中,如症状) 中所述。 如果将鼠标悬停在图标上,则会看到一条消息,例如"无连接"或"受限 Internet 访问" (取决于哪些请求) 失败。
      • 如果所有这些请求都成功,任务栏将显示通常的网络图标。 如果将鼠标悬停在图标上,则会看到诸如"Internet 访问"之类的消息。

NCSI 和 NLA 服务将这些响应与其他信息相结合,以生成网络连接的配置文件或标识其现有配置文件。 网络连接配置文件提供Windows配置适当的防火墙配置文件所需的信息Windows:

  • 对于经过 Active Directory 身份验证的网络:防火墙域配置文件。
  • 对于用户标记为"private"的网络:防火墙专用配置文件。
  • 对于用户标记为"public"的网络:公共防火墙配置文件。

备注

可以使用组策略来限制活动探测过程,并且可以将其他网站替换为目标 (尽管此替换不是建议的解决方案) 。 有关详细信息,请参阅以下资源:

身份验证和自动登录页

如果网络需要凭据,Windows打开默认浏览器 (,例如 Internet Explorer 或 Edge) 。 如果网络有登录页,则该页面将显示在浏览器中。

引入此行为是为了改进Windows用户体验。 在早期版本的Windows中,连接到需要进行身份验证的网络时,浏览器窗口不会自动打开。 你可能会看到一条消息,指出必须采取进一步行动才能完全连接到网络。 若要完成连接,必须单击该消息以打开浏览器窗口 (或手动打开浏览器窗口) 并输入用户名和密码。

由于网络不允许没有凭据的 Internet 访问,因此网络警报将显示在任务栏中。

NCSI 被动监视、MSN 门户页和网络状态警报

除了本文介绍的活动探测外,NCSI 还监视计算机上其他应用程序的网络活动。 即使主动探测过程失败,此被动监视过程仍会继续。 NCSI 根据其他应用程序是否可以成功建立 TCP 连接来调整其网络状态确定。 如果网络警报因活动探测失败而出现,则在被动探测成功时会消失。

备注

NCSI 被动监视过程不会将任何信息传输到计算机或从计算机传输,也不会读取其他应用程序传输的任何信息。

在某些情况下,例如连接到使用代理服务器连接到 Internet 的网络或网络限制阻止 NCSI 完成其活动探测过程时,Windows在默认浏览器中打开 MSN 门户页。 如果分析计算机上的网络跟踪,则会显示与该计算机的 HTTP 连接 http://www.msftconnecttest.com/redirect ,然后显示与 MSN 门户的连接。 Windows打开此页面,以利于被动探测过程。 如果页面加载,NCSI 会断定计算机具有 Internet 访问权限。 当不同的探测失败,然后成功时,网络状态警报会出现,然后消失。

备注

若要防止在计算机连接到具有代理服务器的网络时打开浏览器窗口,必须配置网络防火墙以允许访问端口 80 上的以下 URL:

  • *.msftncsi.com
  • *.msftconnecttest.com

有关详细信息,请参阅 KB 2778122、使用经过身份验证的代理服务器以及Windows 8

解决方法

可以使用注册表或组策略对象 (GPO) 禁用 NCSI 主动或被动探测。

注意

Microsoft 不建议禁用 NCSI 探测。 多个操作系统组件和应用程序依赖于 NCSI。 例如,如果 NCSI 无法正常运行,Microsoft Outlook可能无法连接到邮件服务器,或者Windows可能无法下载更新,即使计算机已连接到 Internet 也是如此。

若要使用注册表禁用 NCSI 活动探测,请配置以下注册表项之一。

重要

请仔细遵循本部分中的步骤进行操作。 对注册表修改不当可能会导致严重问题。 修改之前,备份注册表以便在发生问题时进行还原

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet\EnableActiveProbing
    • 键类型:DWORD
    • 值:小数 0 (False)
  • HKLM\Software\Policies\Microsoft\Windows\NetworkConnectivityStatusIndicator\NoActiveProbe
    • 键类型:DWORD
    • 值:小数 1 (True)

      备注

      在默认注册表配置中,此注册表项不存在。 必须创建它。

若要使用注册表禁用 NCSI 被动探测,请创建以下注册表项。

  • HKLM\Software\Policies\Microsoft\Windows\NetworkConnectivityStatusIndicator\DisablePassivePolling
    • 键类型:DWORD
    • 值:小数 1 (True)

      备注

      在默认注册表配置中,此注册表项不存在。 必须创建它。

若要使用组策略禁用 NCSI 活动探测,请配置以下 GPO:

  • 计算机配置\管理模板\系统\Internet 通信管理\Internet 通信设置\关闭Windows网络连接状态指示器活动测试
    • 值:已启用

若要使用组策略禁用 NCSI 被动探测,请配置以下 GPO:

  • 计算机配置\管理模板\网络\网络连接状态指示器\指定被动轮询
    • 值:已启用