Problembehandlung bei DirectAccess

  • Artikel

Testen Sie unseren virtuellen Agent : Er kann Ihnen helfen, häufige DirectAccess-Probleme schnell zu identifizieren und zu beheben.

Dieser Artikel enthält Informationen zur Problembehandlung bei DirectAccess-Bereitstellungen.

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Führen Sie die folgenden Schritte aus, um Probleme mit dem Remotezugriff (DirectAccess) zu beheben.

Problem Lösung
Remotezugriff Verwaltungskonsole kann die DirectAccess-Konfiguration nicht anzeigen So stellen Sie fehlende Konfigurationsinformationen wieder her:
– Wenn Sie probleme mit einer Bereitstellung mit mehreren Websites beheben, stellen Sie sicher, dass der Domänencontroller verfügbar ist, der dem Einstiegspunkt am nächsten ist.
– Verwenden Sie das Get-DAEntrypointDC Cmdlet, um den Namen des Domänencontrollers abzurufen, der dem Einstiegspunkt am nächsten ist. Wenn der Domänencontroller nicht ausgeführt wird, verweisen Sie mit dem Set-DAEntryPointDC Cmdlet auf einen anderen Domänencontroller.
– Führen Sie gpresult an einer Eingabeaufforderung mit erhöhten Rechten auf dem Server aus, um sicherzustellen, dass der Server die DirectAccess-Gruppenrichtlinie Objects erhält.
– Aktivieren sie die Protokollierung der Benutzeroberfläche.
– Verwenden Sie den folgenden Befehl, um Windows PowerShell Protokollierung zu starten:logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets
logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets
<repro>: Schließen Sie die Benutzeroberfläche, und öffnen Sie sie erneut.
– Deaktivieren sie Windows PowerShell Protokollierung. Sammeln Sie die Protokolldateien der Ereignisablaufverfolgung. Sammeln Sie außerdem alle Protokolle aus dem Ordner %windir%\tracing .
Fehler beim Anwenden der DirectAccess-Konfiguration So aktualisieren Sie die DirectAccess-Konfiguration:
– Wenn Sie probleme mit einer Bereitstellung mit mehreren Websites beheben, stellen Sie sicher, dass der Domänencontroller verfügbar ist, der dem Einstiegspunkt am nächsten ist.
– Verwenden Sie das Get-DAEntrypointDC Cmdlet, um den Namen des Domänencontrollers abzurufen, der dem Einstiegspunkt am nächsten ist. Wenn der Domänencontroller nicht ausgeführt wird, verweisen Sie mit dem Set-DAEntryPointDC Cmdlet auf einen anderen Domänencontroller.
– Verwenden Sie den folgenden Befehl, um Windows PowerShell Protokollierung zu starten:
logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets
logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets
<Repro>
– Wählen Sie Übernehmen aus.
– Deaktivieren Sie nach dem Auftreten des Fehlers Windows PowerShell Protokollierung, und erfassen Sie das Ereignisablaufverfolgungsprotokoll.
DirectAccess ist konfiguriert, clients können jedoch keine Verbindung mit internen Ressourcen herstellen. So beheben Sie Clientverbindungsprobleme:
– Wählen Sie in der Remotezugriffsverwaltungskonsole die Registerkarte Betriebsstatus aus, und stellen Sie sicher, dass für alle Komponenten ein grünes Symbol angezeigt wird. Wenn nicht, überprüfen Sie die Fehlerdetails, und führen Sie die Schritte zur Lösung aus.
– Führen Sie den Best Practices Analyzer (BPA) für remotezugriffsserver aus. Wenn Warnungen oder Fehler vorhanden sind, führen Sie die Lösungsschritte aus, um das Problem zu beheben.
Probleme im Zusammenhang mit einer Konfiguration mit mehreren Standorten (z. B. Aktivieren einer multisite, Hinzufügen von Einstiegspunkten oder Festlegen des Domänencontrollers für einen Einstiegspunkt) Führen Sie die Schritte unter Problembehandlung bei einer Bereitstellung mit mehreren Websites aus.
Die Kachel "Configuration status" auf der Dashboard zeigt eine Warnung oder einen Fehler an. Führen Sie die Schritte unter Überwachen der Konfigurationsverteilung status des RAS-Servers aus.
Treten Probleme im Zusammenhang mit der Konfiguration des Lastenausgleichs auf (z. B. tritt bei der Konfiguration ein Fehler auf, wenn Sie den Lastenausgleich aktivieren, oder es gibt Probleme beim Hinzufügen oder Entfernen von Servern aus einem Cluster). Wenn Sie den Lastenausgleich aktiviert oder einen Knoten hinzugefügt haben und die Konfiguration aktualisiert wurde, wenn Sie Anwenden ausgewählt haben, aber der Cluster auf dem Server nicht ordnungsgemäß erstellt wurde, führen Sie den folgenden Befehl aus, cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v DebugFlag /t REG_DWORD /d ""0xffffffff"" " um die Benutzeroberflächenprotokolle auf dem neuen Server zu erfassen.
Operations status zeigt nach den folgenden Schritten zum Beheben der Situation einen Fehler oder eine Warnung an. Wenn die Vorgänge status falsche Informationen anzeigen (z. B. Fehler, auch nachdem Sie sie behoben haben):

– Aktivieren Sie den Registrierungsschlüssel cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v EnableTracing /t REG_DWORD /d ""5"" ".
– Aktualisieren Sie die Vorgänge status, und sammeln Sie die Protokolle aus %windir%\tracing.
Windows 8 und höher melden DirectAccess-Clientcomputer "Kein Internet" als status für die DirectAccess-Verbindung, und der Netzwerkkonnektivitätsstatusindikator (Network Connectivity Status Indicator, NCSI) meldet eingeschränkte Konnektivität. Dies kann auftreten, wenn tunnelerzwingen in der DirectAccess-Konfiguration aktiviert ist und aus diesem Grund nur IPHTTPS verwendet wird. Um dieses Problem zu beheben, können Sie einen Proxyserver erstellen und konfigurieren. NCSI verwendet dann den Proxyserver, um Internetkonnektivitätsprüfungen durchzuführen. Es wird empfohlen, der Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT) mithilfe des folgenden Verfahrens einen statischen Proxy hinzuzufügen.

Bevor Sie die Befehle in diesem Verfahren ausführen, stellen Sie sicher, dass Sie alle Domänennamen, Computernamen und andere Windows PowerShell Befehlsvariablen durch Werte ersetzen, die für Ihre Bereitstellung geeignet sind.

Konfigurieren eines statischen Proxys für eine NRPT-Regel:
1. Anzeigen des ".". NRPT-Regel: Get-DnsClientNrptRule -GpoName "corp.example.com\DirectAccess Client Settings" -Server <DomainControllerNetBIOSName>
2. Notieren Sie sich den Namen (GUID) des ".". NRPT-Regel. Der Name (GUID) sollte mit beginnen. DA-{..}
3. Legen Sie den Proxy für die "" fest. NRPT-Regel für proxy.corp.example.com:8080: Set-DnsClientNrptRule -Name "DA-{..}" -Server <DomainControllerNetBIOSName> -GPOName "corp.example.com\DirectAccess Client Settings" -DAProxyServerName "proxy.corp.example.com:8080" -DAProxyType "UseProxyName"
4. Anzeigen der ".". Führen Sie erneut eine NRPT-Regel aus Get-DnsClientNrptRule, und vergewissern Sie sich, dass ProxyFQDN:port jetzt ordnungsgemäß konfiguriert ist.
5. Aktualisieren Sie Gruppenrichtlinie, indem Sie auf einem DirectAccess-Client ausführengpupdate /force, wenn der Client intern verbunden ist, dann den NRPT mit Get-DnsClientNrptPolicy anzeigen, und überprüfen Sie, ob die Regel "." anzeigtProxyFQDN:port.