はじめに
このドキュメントでは、Windows Network Connectivity Status Indicator(NCSI)テストのファイアウォールの除外について説明します。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
このドキュメントの情報は、Cisco UmbrellaセキュアWebゲートウェイ(SWG)に基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
概要
この記事では、Umbrella Secure Web Gatewayの導入時にWindows Network Connectivity Status Indicator(NCSI)テストが適切に機能することを確認するために、推奨されるファイアウォールの除外について説明します。
この記事は主に、AnyConnectベースのSIGの展開に適用されます。除外が適用されていない場合、Windowsで誤って「インターネットアクセスなし」または「接続が制限されています」というステータスが表示される可能性があります。
影響
これは主に、クライアントマシンが完全なインターネット接続を維持しているという意味では、表面的な問題です。ただし、Outlook、Office365、Skype、OneDriveなどの一部のMicrosoftアプリケーションでは、この「インターネットアクセス不可」の警告が表示されると接続を試行できない場合があります。
AnyConnectに関する推奨事項
通常、インターネットへの直接アクセスが不可能な場合、Cisco Umbrellaでは、次のドメインに関連付けられたIPアドレスへの直接アクセス(TCPポート80)を許可することを推奨しています。
これらのテストは、AnyConnect SWGモジュールが使用可能になる前に実行できますが、このトラフィックがUmbrellaによってプロキシされることを保証することはできません。したがって、これらのテストでインターネットへの直接アクセスを利用できます。
その他の推奨事項
その他の展開方法については、Webポリシーで次のドメインを許可します。
- "www.msftconnecttest.com"
- "www.msftncsi.com"
これらのドメインを外部ドメインリスト(ドメイン管理の下にあります)に追加すると、ドメインがUmbrellaのセキュアWebゲートウェイをバイパスできるようになります。外部ドメインは、PACファイルとAnyConnect SWGモジュールの両方に適用できます。
フィードバック