Problembehandlung beim Aktivieren mehrerer Standorte
Dieser Artikel enthält Informationen zur Problembehandlung für Probleme im Zusammenhang mit dem Enable-DAMultisite
Cmdlet. Überprüfen Sie im Windows-Ereignisprotokoll nach der Ereignis-ID 10051, um zu bestätigen, dass der empfangene Fehler mit der Aktivierung mehrerer Standorte zusammenhängt.
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Probleme mit der Benutzerkonnektivität
Bei Benutzern können Konnektivitätsprobleme auftreten, wenn Sie mehrere Standorte aktivieren, wenn die Konfiguration nicht korrekt ist.
Ursache
In einer Bereitstellung mit mehreren Standorten können Windows 10 und Windows 8 Clientcomputer zwischen verschiedenen Einstiegspunkten wechseln. Windows 7-Clientcomputer müssen einem bestimmten Einstiegspunkt in der Bereitstellung mit mehreren Websites zugeordnet sein. Wenn sich Clientcomputer nicht in der richtigen Sicherheitsgruppe befinden, erhalten sie möglicherweise die falschen Gruppenrichtlinieneinstellungen.
Lösung
DirectAccess erfordert mindestens eine Sicherheitsgruppe für alle Windows 10 und Windows 8 Clientcomputer. Es wird empfohlen, eine Sicherheitsgruppe für alle Windows 10- und Windows 8-Computer pro Domäne zu verwenden. DirectAccess erfordert auch eine Sicherheitsgruppe für Windows 7-Clientcomputer für jeden Einstiegspunkt. Jeder Clientcomputer sollte nur in einer Sicherheitsgruppe enthalten sein. Stellen Sie daher sicher, dass die Sicherheitsgruppen für Windows 10- und Windows 8-Clients nur Computer enthalten, auf denen Windows 10 oder Windows 8 ausgeführt werden, und dass jeder Windows 7-Clientcomputer zu einer einzelnen dedizierten Sicherheitsgruppe für den relevanten Einstiegspunkt gehört und keine Windows 10 oder Windows 8-Clients gehören zu den Windows 7-Sicherheitsgruppen.
Konfigurieren Sie die Windows 8 Sicherheitsgruppen auf der Seite Gruppen auswählen des DirectAccess-Clientsetup-Assistenten. Konfigurieren Sie Windows 7-Sicherheitsgruppen auf der Seite Clientsupport des Assistenten zum Aktivieren der Bereitstellung mehrerer Standorte oder auf der Seite Clientsupport des Assistenten Zum Hinzufügen eines Einstiegspunkts .
Kerberos-Proxyauthentifizierung
Fehler empfangen
Die Kerberos-Proxyauthentifizierung wird in einer Bereitstellung mit mehreren Websites nicht unterstützt. Sie müssen die Verwendung von Computerzertifikaten für die IPsec-Benutzerauthentifizierung aktivieren.
Ursache
Die Computerzertifikatauthentifizierung muss vor der Aktivierung von mehreren Websites aktiviert werden.
Lösung
So aktivieren Sie die Computerzertifikatauthentifizierung:
- Wählen Sie in der Remotezugriffs-Verwaltungskonsole im Detailbereich unter Schritt 2 Remotezugriffsserver die Option Bearbeiten aus.
- Aktivieren Sie im Assistenten zum Einrichten des RAS-Servers auf der Seite Authentifizierung das Kontrollkästchen Computerzertifikate verwenden , und wählen Sie die Stammzertifizierungsstelle oder Zwischenzertifizierungsstelle aus, die Zertifikate in Ihrer Bereitstellung ausstellt.
Um die Computerzertifikatauthentifizierung mit Windows PowerShell zu aktivieren, verwenden Sie das Set-DAServer
Cmdlet, und geben Sie den IPsecRootCertificate
Parameter an.
IP-HTTPS-Zertifikate
Fehler empfangen
Der DirectAccess-Server verwendet ein selbstsigniertes IP-HTTPS-Zertifikat. Konfigurieren Sie IP-HTTPS für die Verwendung eines signierten Zertifikats von einer bekannten Zertifizierungsstelle.
Ursache
Das IP-HTTPS-Zertifikat ist selbstsigniert. Sie können in einer Bereitstellung mit mehreren Websites keine selbstsignierten Zertifikate verwenden.
Lösung
So wählen Sie ein IP-HTTPS-Zertifikat aus:
- Wählen Sie in der Remotezugriffs-Verwaltungskonsole im Detailbereich unter Schritt 2 Remotezugriffsserver die Option Bearbeiten aus.
- Stellen Sie im Setup-Assistenten für den REMOTEzugriffsserver auf der Seite Netzwerkadapter unter Auswählen des Zertifikats für die Authentifizierung von IP-HTTPS-Verbindungen sicher, dass das Kontrollkästchen Automatisch von DirectAccess erstelltes selbstsigniertes Zertifikat verwenden deaktiviert ist, und wählen Sie Durchsuchen aus, um ein zertifikat auszuwählen, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.
Netzwerkadressenserver
Problem 1
Fehler empfangen
DirectAccess ist für die Verwendung eines selbstsignierten Zertifikats für den Netzwerkadressenserver konfiguriert. Konfigurieren Sie den Netzwerkadressenserver für die Verwendung eines signierten Zertifikats von einer Zertifizierungsstelle.
Ursache
Der Netzwerkadressenserver wird auf dem RAS-Server bereitgestellt und verwendet ein selbstsigniertes Zertifikat. Sie können in einer Bereitstellung mit mehreren Websites keine selbstsignierten Zertifikate verwenden.
Lösung
So wählen Sie ein Netzwerkadressenserverzertifikat aus:
- Wählen Sie in der Remotezugriffs-Verwaltungskonsole im Detailbereich unter Schritt 3 Infrastrukturserver die Option Bearbeiten aus.
- Vergewissern Sie sich im Setup-Assistenten für Infrastrukturserver auf der Seite Netzwerkadressenserver unter Der Netzwerkadressenserver wird auf dem RAS-Server bereitgestellt, dass das Kontrollkästchen Selbstsigniertes Zertifikat verwenden deaktiviert ist, und wählen Sie Durchsuchen aus, um ein von einer Unternehmenszertifizierungsstelle ausgestelltes Zertifikat auszuwählen.
Problem 2
Fehler empfangen
Um einen Cluster mit Netzwerklastenausgleich oder eine Bereitstellung mit mehreren Standorten bereitzustellen, rufen Sie ein Zertifikat für den Netzwerkadressenserver mit einem Antragstellernamen ab, der sich vom internen Namen des RAS-Servers unterscheidet.
Ursache
Der Antragstellername des Zertifikats, das für die Website des Netzwerkadressenservers verwendet wird, entspricht dem internen Namen des RAS-Servers. Dies führt zu Problemen bei der Namensauflösung.
Lösung
Rufen Sie ein Zertifikat mit einem Antragstellernamen ab, der nicht mit dem internen Namen des RAS-Servers übereinstimmt.
So konfigurieren Sie den Netzwerkadressenserver:
- Wählen Sie in der Remotezugriffs-Verwaltungskonsole im Detailbereich unter Schritt 3 Infrastrukturserver die Option Bearbeiten aus.
- Wählen Sie im Setup-Assistenten für Infrastrukturserver auf der Seite Netzwerkadressenserver unter Der Netzwerkadressenserver wird auf dem RAS-Server bereitgestellt die Option Durchsuchen aus, um das zertifikat auszuwählen, das Sie zuvor erhalten haben. Das Zertifikat muss über einen Antragstellernamen verfügen, der sich vom internen Namen des RAS-Servers unterscheidet.
Windows 7-Clientcomputer
Warnung empfangen
Beim Aktivieren mehrerer Standorte dürfen die für DirectAccess-Clients konfigurierten Sicherheitsgruppen keine Windows 7-Computer enthalten. Um Windows 7-Clientcomputer in einer Bereitstellung mit mehreren Standorte zu unterstützen, wählen Sie eine Sicherheitsgruppe aus, die die Clients für jeden Einstiegspunkt enthält.
Ursache
In der vorhandenen DirectAccess-Bereitstellung wurde die Windows 7-Clientunterstützung aktiviert.
Lösung
DirectAccess erfordert mindestens eine Sicherheitsgruppe für alle Windows 8 Clientcomputer und eine Sicherheitsgruppe für Windows 7-Clientcomputer für jeden Einstiegspunkt. Jeder Clientcomputer sollte nur in einer Sicherheitsgruppe enthalten sein. Daher sollten Sie sicherstellen, dass die Sicherheitsgruppe für Windows 8 Clients nur Computer enthält, auf denen Windows 8 ausgeführt werden, und dass jeder Windows 7-Clientcomputer zu einer einzelnen dedizierten Sicherheitsgruppe für den relevanten Einstiegspunkt gehört und dass keine Windows 8 Clients zu den Windows 7-Sicherheitsgruppen gehören.
Active Directory-Standorte
Fehler empfangen
Der Server <server_name> ist keinem Active Directory-Standort zugeordnet.
Ursache
DirectAccess konnte den Active Directory-Standort nicht ermitteln. In der Konsole Active Directory-Standorte und -Dienste können Sie die verschiedenen Subnetze für Ihr Netzwerk konfigurieren und jedes Subnetz dem relevanten Active Directory-Standort zuordnen. Dieser Fehler kann auftreten, wenn die IP-Adresse des RAS-Servers zu keinem der Subnetze gehört oder das Subnetz, zu dem die IP-Adresse gehört, nicht mit einem Active Directory-Standort definiert ist.
Lösung
Vergewissern Sie sich, dass dies das Problem ist, indem Sie den Befehl nltest /dsgetsite
auf Ihrem RAS-Server ausführen. Wenn dies das Problem ist, gibt der Befehl zurück ERROR_NO_SITENAME
. Um dieses Problem zu beheben, stellen Sie auf Ihrem Domänencontroller sicher, dass ein Subnetz mit der internen Server-IP-Adresse vorhanden ist und dass es mit einem Active Directory-Standort definiert ist.
Speichern von Server-GPO-Einstellungen
Fehler empfangen
Fehler beim Speichern der Remotezugriffseinstellungen im GPO-GPO_name<>.
Ursache
Änderungen am Server-GPO konnten entweder aufgrund von Konnektivitätsproblemen oder aufgrund eines Freigabeverstoßes für die Datei registry.pol nicht gespeichert werden, z. B. weil ein anderer Benutzer die Datei gesperrt hat.
Lösung
Stellen Sie sicher, dass eine Verbindung zwischen dem RAS-Server und dem Domänencontroller besteht. Wenn eine Verbindung besteht, überprüfen Sie auf dem Domänencontroller, ob die Datei registry.pol für einen anderen Benutzer gesperrt ist, und beenden Sie diese Benutzersitzung bei Bedarf, um die Datei zu entsperren.
Interner Fehler
Fehler empfangen
Ein interner Fehler ist aufgetreten.
Ursache
Dies kann durch eine unerwartete Konfiguration der Einstiegspunkttabelle im Client-GPO verursacht werden. Dies kann auftreten, wenn der Administrator DirectAccess-Client-Cmdlets verwendet, um die Einstiegspunkttabelle im Client-GPO zu bearbeiten.
Lösung
Überprüfen Sie die Konfiguration der Einstiegspunkttabelle in allen Client-GPOs, und beheben Sie alle Inkonsistenzen in der Konfiguration mit mehreren Standorten zwischen den verschiedenen Instanzen der Client-GPOs und der DirectAccess-Konfiguration. Verwenden Sie das Get-DaEntryPointTableItem
Cmdlet mit dem Namen des Client-Gruppenrichtlinienobjekts, um die Einstiegspunkttabelle auf dem Client abzurufen. Verwenden Sie das Get-NetIPHttpsConfiguration
Cmdlet, um alle IP-HTTPS-Profile für alle Einstiegspunkte abzurufen.
Weitere Informationen finden Sie unter DirectAccess-Client-Cmdlets in Windows PowerShell.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für