Problembehandlung beim Aktivieren mehrerer Standorte

Dieser Artikel enthält Informationen zur Problembehandlung für Probleme im Zusammenhang mit dem Enable-DAMultisite Cmdlet. Überprüfen Sie im Windows-Ereignisprotokoll nach der Ereignis-ID 10051, um zu bestätigen, dass der empfangene Fehler mit der Aktivierung mehrerer Standorte zusammenhängt.

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Probleme mit der Benutzerkonnektivität

Bei Benutzern können Konnektivitätsprobleme auftreten, wenn Sie mehrere Standorte aktivieren, wenn die Konfiguration nicht korrekt ist.

Ursache

In einer Bereitstellung mit mehreren Standorten können Windows 10 und Windows 8 Clientcomputer zwischen verschiedenen Einstiegspunkten wechseln. Windows 7-Clientcomputer müssen einem bestimmten Einstiegspunkt in der Bereitstellung mit mehreren Websites zugeordnet sein. Wenn sich Clientcomputer nicht in der richtigen Sicherheitsgruppe befinden, erhalten sie möglicherweise die falschen Gruppenrichtlinieneinstellungen.

Lösung

DirectAccess erfordert mindestens eine Sicherheitsgruppe für alle Windows 10 und Windows 8 Clientcomputer. Es wird empfohlen, eine Sicherheitsgruppe für alle Windows 10- und Windows 8-Computer pro Domäne zu verwenden. DirectAccess erfordert auch eine Sicherheitsgruppe für Windows 7-Clientcomputer für jeden Einstiegspunkt. Jeder Clientcomputer sollte nur in einer Sicherheitsgruppe enthalten sein. Stellen Sie daher sicher, dass die Sicherheitsgruppen für Windows 10- und Windows 8-Clients nur Computer enthalten, auf denen Windows 10 oder Windows 8 ausgeführt werden, und dass jeder Windows 7-Clientcomputer zu einer einzelnen dedizierten Sicherheitsgruppe für den relevanten Einstiegspunkt gehört und keine Windows 10 oder Windows 8-Clients gehören zu den Windows 7-Sicherheitsgruppen.

Konfigurieren Sie die Windows 8 Sicherheitsgruppen auf der Seite Gruppen auswählen des DirectAccess-Clientsetup-Assistenten. Konfigurieren Sie Windows 7-Sicherheitsgruppen auf der Seite Clientsupport des Assistenten zum Aktivieren der Bereitstellung mehrerer Standorte oder auf der Seite Clientsupport des Assistenten Zum Hinzufügen eines Einstiegspunkts .

Kerberos-Proxyauthentifizierung

Fehler empfangen

Die Kerberos-Proxyauthentifizierung wird in einer Bereitstellung mit mehreren Websites nicht unterstützt. Sie müssen die Verwendung von Computerzertifikaten für die IPsec-Benutzerauthentifizierung aktivieren.

Ursache

Die Computerzertifikatauthentifizierung muss vor der Aktivierung von mehreren Websites aktiviert werden.

Lösung

So aktivieren Sie die Computerzertifikatauthentifizierung:

1. Wählen Sie in der Remotezugriffs-Verwaltungskonsole im Detailbereich unter Schritt 2 Remotezugriffsserver die Option Bearbeiten aus.
2. Aktivieren Sie im Assistenten zum Einrichten des RAS-Servers auf der Seite Authentifizierung das Kontrollkästchen Computerzertifikate verwenden , und wählen Sie die Stammzertifizierungsstelle oder Zwischenzertifizierungsstelle aus, die Zertifikate in Ihrer Bereitstellung ausstellt.

Um die Computerzertifikatauthentifizierung mit Windows PowerShell zu aktivieren, verwenden Sie das Set-DAServer Cmdlet, und geben Sie den IPsecRootCertificate Parameter an.

IP-HTTPS-Zertifikate

Fehler empfangen

Der DirectAccess-Server verwendet ein selbstsigniertes IP-HTTPS-Zertifikat. Konfigurieren Sie IP-HTTPS für die Verwendung eines signierten Zertifikats von einer bekannten Zertifizierungsstelle.

Ursache

Das IP-HTTPS-Zertifikat ist selbstsigniert. Sie können in einer Bereitstellung mit mehreren Websites keine selbstsignierten Zertifikate verwenden.

Lösung

So wählen Sie ein IP-HTTPS-Zertifikat aus:

1. Wählen Sie in der Remotezugriffs-Verwaltungskonsole im Detailbereich unter Schritt 2 Remotezugriffsserver die Option Bearbeiten aus.
2. Stellen Sie im Setup-Assistenten für den REMOTEzugriffsserver auf der Seite Netzwerkadapter unter Auswählen des Zertifikats für die Authentifizierung von IP-HTTPS-Verbindungen sicher, dass das Kontrollkästchen Automatisch von DirectAccess erstelltes selbstsigniertes Zertifikat verwenden deaktiviert ist, und wählen Sie Durchsuchen aus, um ein zertifikat auszuwählen, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Netzwerkadressenserver

Problem 1

Fehler empfangen

DirectAccess ist für die Verwendung eines selbstsignierten Zertifikats für den Netzwerkadressenserver konfiguriert. Konfigurieren Sie den Netzwerkadressenserver für die Verwendung eines signierten Zertifikats von einer Zertifizierungsstelle.

Ursache

Der Netzwerkadressenserver wird auf dem RAS-Server bereitgestellt und verwendet ein selbstsigniertes Zertifikat. Sie können in einer Bereitstellung mit mehreren Websites keine selbstsignierten Zertifikate verwenden.

Lösung

So wählen Sie ein Netzwerkadressenserverzertifikat aus:

1. Wählen Sie in der Remotezugriffs-Verwaltungskonsole im Detailbereich unter Schritt 3 Infrastrukturserver die Option Bearbeiten aus.
2. Vergewissern Sie sich im Setup-Assistenten für Infrastrukturserver auf der Seite Netzwerkadressenserver unter Der Netzwerkadressenserver wird auf dem RAS-Server bereitgestellt, dass das Kontrollkästchen Selbstsigniertes Zertifikat verwenden deaktiviert ist, und wählen Sie Durchsuchen aus, um ein von einer Unternehmenszertifizierungsstelle ausgestelltes Zertifikat auszuwählen.

Problem 2

Fehler empfangen

Um einen Cluster mit Netzwerklastenausgleich oder eine Bereitstellung mit mehreren Standorten bereitzustellen, rufen Sie ein Zertifikat für den Netzwerkadressenserver mit einem Antragstellernamen ab, der sich vom internen Namen des RAS-Servers unterscheidet.

Ursache

Der Antragstellername des Zertifikats, das für die Website des Netzwerkadressenservers verwendet wird, entspricht dem internen Namen des RAS-Servers. Dies führt zu Problemen bei der Namensauflösung.

Lösung

Rufen Sie ein Zertifikat mit einem Antragstellernamen ab, der nicht mit dem internen Namen des RAS-Servers übereinstimmt.

So konfigurieren Sie den Netzwerkadressenserver:

1. Wählen Sie in der Remotezugriffs-Verwaltungskonsole im Detailbereich unter Schritt 3 Infrastrukturserver die Option Bearbeiten aus.
2. Wählen Sie im Setup-Assistenten für Infrastrukturserver auf der Seite Netzwerkadressenserver unter Der Netzwerkadressenserver wird auf dem RAS-Server bereitgestellt die Option Durchsuchen aus, um das zertifikat auszuwählen, das Sie zuvor erhalten haben. Das Zertifikat muss über einen Antragstellernamen verfügen, der sich vom internen Namen des RAS-Servers unterscheidet.

Windows 7-Clientcomputer

Warnung empfangen

Beim Aktivieren mehrerer Standorte dürfen die für DirectAccess-Clients konfigurierten Sicherheitsgruppen keine Windows 7-Computer enthalten. Um Windows 7-Clientcomputer in einer Bereitstellung mit mehreren Standorte zu unterstützen, wählen Sie eine Sicherheitsgruppe aus, die die Clients für jeden Einstiegspunkt enthält.

Ursache

In der vorhandenen DirectAccess-Bereitstellung wurde die Windows 7-Clientunterstützung aktiviert.

Lösung

DirectAccess erfordert mindestens eine Sicherheitsgruppe für alle Windows 8 Clientcomputer und eine Sicherheitsgruppe für Windows 7-Clientcomputer für jeden Einstiegspunkt. Jeder Clientcomputer sollte nur in einer Sicherheitsgruppe enthalten sein. Daher sollten Sie sicherstellen, dass die Sicherheitsgruppe für Windows 8 Clients nur Computer enthält, auf denen Windows 8 ausgeführt werden, und dass jeder Windows 7-Clientcomputer zu einer einzelnen dedizierten Sicherheitsgruppe für den relevanten Einstiegspunkt gehört und dass keine Windows 8 Clients zu den Windows 7-Sicherheitsgruppen gehören.

Active Directory-Standorte

Fehler empfangen

Der Server <server_name> ist keinem Active Directory-Standort zugeordnet.

Ursache

DirectAccess konnte den Active Directory-Standort nicht ermitteln. In der Konsole Active Directory-Standorte und -Dienste können Sie die verschiedenen Subnetze für Ihr Netzwerk konfigurieren und jedes Subnetz dem relevanten Active Directory-Standort zuordnen. Dieser Fehler kann auftreten, wenn die IP-Adresse des RAS-Servers zu keinem der Subnetze gehört oder das Subnetz, zu dem die IP-Adresse gehört, nicht mit einem Active Directory-Standort definiert ist.

Lösung

Vergewissern Sie sich, dass dies das Problem ist, indem Sie den Befehl nltest /dsgetsite auf Ihrem RAS-Server ausführen. Wenn dies das Problem ist, gibt der Befehl zurück ERROR_NO_SITENAME. Um dieses Problem zu beheben, stellen Sie auf Ihrem Domänencontroller sicher, dass ein Subnetz mit der internen Server-IP-Adresse vorhanden ist und dass es mit einem Active Directory-Standort definiert ist.

Speichern von Server-GPO-Einstellungen

Fehler empfangen

Fehler beim Speichern der Remotezugriffseinstellungen im GPO-GPO_name<>.

Ursache

Änderungen am Server-GPO konnten entweder aufgrund von Konnektivitätsproblemen oder aufgrund eines Freigabeverstoßes für die Datei registry.pol nicht gespeichert werden, z. B. weil ein anderer Benutzer die Datei gesperrt hat.

Lösung

Stellen Sie sicher, dass eine Verbindung zwischen dem RAS-Server und dem Domänencontroller besteht. Wenn eine Verbindung besteht, überprüfen Sie auf dem Domänencontroller, ob die Datei registry.pol für einen anderen Benutzer gesperrt ist, und beenden Sie diese Benutzersitzung bei Bedarf, um die Datei zu entsperren.

Interner Fehler

Fehler empfangen

Ein interner Fehler ist aufgetreten.

Ursache

Dies kann durch eine unerwartete Konfiguration der Einstiegspunkttabelle im Client-GPO verursacht werden. Dies kann auftreten, wenn der Administrator DirectAccess-Client-Cmdlets verwendet, um die Einstiegspunkttabelle im Client-GPO zu bearbeiten.

Lösung

Überprüfen Sie die Konfiguration der Einstiegspunkttabelle in allen Client-GPOs, und beheben Sie alle Inkonsistenzen in der Konfiguration mit mehreren Standorten zwischen den verschiedenen Instanzen der Client-GPOs und der DirectAccess-Konfiguration. Verwenden Sie das Get-DaEntryPointTableItem Cmdlet mit dem Namen des Client-Gruppenrichtlinienobjekts, um die Einstiegspunkttabelle auf dem Client abzurufen. Verwenden Sie das Get-NetIPHttpsConfiguration Cmdlet, um alle IP-HTTPS-Profile für alle Einstiegspunkte abzurufen.

Weitere Informationen finden Sie unter DirectAccess-Client-Cmdlets in Windows PowerShell.