ICTの目

ICTに関する話題を中心に、気の向くままにボソボソと呟いています

インターネットアクセスなし/CAPI2-ID4101エラー

随分前から、タスクバーのネットワークプロパティが「インターネットアクセスなし」となっており、(おそらく同時期から)イベントログに大量の「CAPI2-ID4101エラー」が出力されていた。
NetshコマンドでWinHTTP通信にProxyを設定して逃げていたが、原因が分かったので・・・

f:id:ict33:20170512021345p:plain
【事象】
(1)「インターネットアクセスなし」の状態になっている(インターネットアクセスは問題なく出来る)
(2)CAPI2-ID4101『ルート証明書の自動更新ができませんでした』エラーが頻発する(ルート証明書が古い訳ではなさそう)
※各APL処理に於ける実害は不明。(ルート証明書確認のタイミングに、WWWアクセスが遅くなる?)

f:id:ict33:20170512015936p:plain
【影響範囲】
社内の全Clientパソコン(除 ファイアウォールで直接通信を許可しているPC)

【環境】
(1)一般Userのブラウザはインターネットへの直接通信は出来ず(UTMのFirewallポリシーで通信拒否設定)、必ずProxy(Squid/RHEL)を経由せねばならない
(2)社内標準ブラウザ:IE11(ERP系業務など)、Chrome(SaaSや通常のWWWアクセス等)
(3)Proxy設定:冗長化対応の為に以下の設定にしている
 ①PACファイルを資産管理ソフトで各Clientに配布(PACファイルはローカルを参照)
 ②ADグループポリシーで「自動構成スクリプトを使用する」に設定
(4)WSUSを使用している(ルート証明書の更新は対象外→MSサイトに直接アクセスするはず)
(5)Client-OS:Windows7(近々Windows10に上げる予定) Windows10移行計画 http://ict33.com/migration.php

【原因】
IE11で、自動構成スクリプトのアドレスに、fileプロトコルでアドレスを指定する事がサポートされなくなった為。

blogs.technet.microsoft.com

fileプロトコルについて・・・
・標準的通信モジュール"WinInet"では有効
・WinUpdateなど用通信モジュール"WinHTTP"ではサポート対象外

Windows7のIE11では、自動構成スクリプトのPACファイルパスには fileプロトコルでアドレスを指定しているが、正常に動作している。
2015/秋頃から、「CAPI2-ID4101エラー」が頻発するようになった。
上記時期頃からWinHTTPモジュールが、「fileプロトコルでのアドレス指定」をサポートしなくなったと思われる。
Windows7のIE11では、まだ「fileプロトコルでのアドレス指定」をサポートしてくれているようだ。

【処置】
(1)WebサーバにPACファイルを配置
(2)DNS/DHCPサーバで、WPAD(Web Proxy Auto-Discovery)を有効にする
(3)ブラウザのProxy設定を、「設定を自動的に検出する」にする

【対策】
マイクロソフトに文句を言う ^^;