Dépannage de DirectAccessTroubleshooting DirectAccess

S'applique à : Windows Server (Canal semi-annuel), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

Procédez comme suit pour résoudre les problèmes d’accès à distance (DirectAccess).Follow these steps to troubleshoot Remote Access (DirectAccess) issues.

ProblèmeIssue RésolutionResolution
La console Gestion de l’accès à distance ne peut pas afficher la configuration DirectAccessRemote Access management console is unable to show the DirectAccess configuration Pour restaurer les informations de configuration manquantesTo restore missing configuration information
-Si vous dépannez un déploiement multisite, assurez-vous que le contrôleur de domaine le plus proche du point d’entrée est disponible.- If you are troubleshooting a multisite deployment, ensure that the domain controller closest to the entry point is available.
-Utilisez l’applet de commande obtenir-DAEntrypointDC pour récupérer le nom du contrôleur de domaine le plus proche du point d’entrée.- Use the Get-DAEntrypointDC cmdlet to retrieve the name of the domain controller closest to the entry point. Si le contrôleur de domaine n’est pas en cours d’exécution, utilisez l’applet de commande Set-DAEntryPointDC pour pointer vers un autre contrôleur de domaine.If the domain controller is not running, use the Set-DAEntryPointDC cmdlet to point to another domain controller.
-Exécutez gpresult à partir d’une invite de commandes avec élévation de privilèges sur le serveur pour vous assurer que le serveur obtient les objets DirectAccess stratégie de groupe.- Run gpresult from an elevated command prompt on the server to ensure the server is getting the DirectAccess Group Policy Objects.
-Activer la journalisation de l’interface utilisateur (IU).- Enable user interface (UI) logging.
-Utilisez la commande suivante pour démarrer la journalisation Windows PowerShell :- Use the following command to start Windows PowerShell logging:
logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets 
logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets
-Fermez et rouvrez l’interface utilisateur.- Close and reopen the user interface.
-Désactivez la journalisation Windows PowerShell.- Disable Windows Powershell logging. Collectez les fichiers journaux de suivi des événements.Collect the Event Trace Log files. Regroupez également tous les journaux du dossier % windir%/TracingAlso, collect all the logs from the %windir%/tracing folder.
L’application de la configuration DirectAccess échoueApplying the DirectAccess configuration fails Pour actualiser la configuration DirectAccessTo refresh the DirectAccess configuration
-Si vous dépannez un déploiement multisite, assurez-vous que le contrôleur de domaine le plus proche du point d’entrée est disponible.- If you are troubleshooting a multisite deployment, ensure that the domain controller closest to the entry point is available.
-Utilisez l’applet de commande obtenir-DAEntrypointDC pour récupérer le nom du contrôleur de domaine le plus proche du point d’entrée.- Use the Get-DAEntrypointDC cmdlet to retrieve the name of the domain controller closest to the entry point. Si le contrôleur de domaine n’est pas en cours d’exécution, utilisez l’applet de commande Set-DAEntryPointDC pour pointer vers un autre contrôleur de domaine.If the domain controller is not running, use the Set-DAEntryPointDC cmdlet to point to another domain controller.
-Utilisez la commande suivante pour démarrer la journalisation Windows PowerShell :- Use the following command to start Windows Powershell logging:
logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets
logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets

-Cliquez sur appliquer.- Click Apply.
-Après l’échec, désactivez la journalisation de Windows PowerShell et collectez le journal des traces d’événements.- After the failure occurs, disable Windows Powershell logging, and collect the Event Trace Log.
DirectAccess est configuré, mais les clients ne sont pas en mesure de se connecter aux ressources internesDirectAccess is configured, but clients are not able to connect to internal resources Pour résoudre les problèmes de connexion du clientTo troubleshoot client connection issues
-Cliquez sur l’onglet État des opérations dans la console de gestion de l’accès à distance et assurez-vous que tous les composants affichent une icône verte.- Click the Operations Status tab in the Remote Access Management console, and ensure that all the components show a green icon. Si ce n’est pas le cas, vérifiez les détails de l’erreur et suivez les étapes de résolution.If not, check the error details and follow the resolution steps.
-Exécuter le Best Practices Analyzer de serveur d’accès à distance (BPA).- Run the Remote Access Server Best Practices Analyzer (BPA). Si des avertissements ou des erreurs se produisent, suivez les étapes de résolution pour résoudre le problème.If there are any warnings or errors, follow the resolution steps to resolve the issue.
Rencontrer des problèmes liés à une configuration multisite (par exemple, l’activation d’un multisite, l’ajout de points d’entrée ou la définition du contrôleur de domaine pour un point d’entrée)Encountering issues related to a multisite configuration (for example, enabling a multisite, adding entry points, or setting the domain controller for an entry point) Suivez les étapes de la section résolution des problèmes liés à un déploiement multisite.Follow the steps in Troubleshoot a Multisite Deployment.
La vignette état de la configuration du tableau de bord affiche un avertissement ou une erreurConfiguration status tile on the dashboard shows a warning or error Suivez les étapes de la section surveiller l’état de distribution de la configuration du serveur d’accès à distance.Follow the steps in Monitor the configuration distribution status of the Remote Access server.
Rencontrer des problèmes liés à la configuration de l’équilibrage de charge (par exemple, la configuration échoue lorsque vous activez l’équilibrage de charge ou il existe des problèmes lorsque vous ajoutez ou supprimez des serveurs d’un cluster)Encountering issues related to configuring load balancing (for example, the configuration fails when you enable load balancing, or there are issues when you add or remove servers from a cluster) Si vous avez activé l’équilibrage de charge ou si vous ajoutez un nœud, et si la configuration a été actualisée lorsque vous avez cliqué sur appliquer, mais que le cluster n’a pas été correctement mis en forme sur le serveur, exécutez la commande suivante : cmd. exe/c "reg Add HKLM\SYSTEM\CurrentControlSet\ Services\RaMgmtSvc\Parameters/f/v DebugFlag/t REG_DWORD/d "" 0xFFFFFFFF "" "pour collecter les journaux de l’interface utilisateur sur le nouveau serveur.If you were enabling load balancing or adding a node, and the configuration refreshed when you clicked Apply, but the cluster didn't form correctly on the server, run the following command: cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v DebugFlag /t REG_DWORD /d ""0xffffffff"" " to collect the user interface logs on the new server.
L’état des opérations affiche une erreur ou un avertissement après les étapes suivantes pour corriger la situationOperations status shows an error or warning after following steps to correct the situation Si l’état des opérations indique des informations incorrectes (telles que des erreurs, même après les avoir corrigées) :If the operations status is showing incorrect information (such as errors-even after you fix them):

-Activez la clé de Registre cmd. exe/c "reg Add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters/f/V EnableTracing,/T REG_DWORD/d" "5" "" .- Enable the registry key cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v EnableTracing /t REG_DWORD /d ""5"" ".
-Actualisez l’état des opérations et collectez les journaux à partir de % windir%/Tracing.- Refresh the operations status and collect the logs from %windir%/tracing.
Les ordinateurs clients DirectAccess Windows 8 et versions ultérieures signalent « aucun Internet » comme état de la connexion DirectAccess, et l’indicateur d’état de la connectivité réseau (NCSI) signale une connectivité limitée.Windows 8 and later DirectAccess client computers report "No Internet" as status for the DirectAccess connection, and Network Connectivity Status Indicator (NCSI) reports limited connectivity. Cela peut se produire lorsque le tunneling forcé est activé dans la configuration DirectAccess et, pour cette raison, seul IPHTTPS est utilisé.This can occur when Force Tunneling is enabled in the DirectAccess configuration and, because of this, only IPHTTPS is being used. Pour résoudre ce problème, vous pouvez créer et configurer un serveur proxy.To resolve this issue, you can create and configure a proxy server. NCSI utilise ensuite le serveur proxy pour effectuer des vérifications de connectivité Internet.NCSI then uses the proxy server to perform Internet connectivity checks. Il est recommandé d’ajouter un proxy statique à la table de stratégie de résolution de noms (NRPT) à l’aide de la procédure suivante.It is recommended that you add a static proxy to the Name Resolution Policy Table (NRPT) by using the following procedure.

Avant d’exécuter les commandes de cette procédure, assurez-vous de remplacer tous les noms de domaine, noms d’ordinateur et autres variables de commande Windows PowerShell par des valeurs appropriées pour votre déploiement.Before you run the commands in this procedure, ensure that you replace all domain names, computer names, and other Windows PowerShell command variables with values that are appropriate for your deployment.

Configurer un proxy statique pour une règle NRPTConfigure a static proxy for an NRPT rule
1. Affichez le « . » Règle NRPT : Get-DnsClientNrptRule -GpoName "corp.example.com\DirectAccess Client Settings" -Server <DomainControllerNetBIOSName>1. Display the "." NRPT rule: Get-DnsClientNrptRule -GpoName "corp.example.com\DirectAccess Client Settings" -Server <DomainControllerNetBIOSName>
2. Notez le nom (GUID) du « . » Règle NRPT.2. Note the name (GUID) of the "." NRPT rule. Le nom (GUID) doit commencer par da-{..}The name (GUID) should start with DA-{..}
3. Définissez le proxy pour le « . » Règle NRPT vers proxy.Corp.example.com :8080: Set-DnsClientNrptRule -Name "DA-{..}" -Server <DomainControllerNetBIOSName> -GPOName "corp.example.com\DirectAccess Client Settings" -DAProxyServerName "proxy.corp.example.com:8080" -DAProxyType "UseProxyName"3. Set the proxy for the "." NRPT rule to proxy.corp.example.com:8080: Set-DnsClientNrptRule -Name "DA-{..}" -Server <DomainControllerNetBIOSName> -GPOName "corp.example.com\DirectAccess Client Settings" -DAProxyServerName "proxy.corp.example.com:8080" -DAProxyType "UseProxyName"
4. Affichez le « . » Règle NRPT en exécutant Get-DnsClientNrptRule, et vérifiez que ProxyFQDN : port est maintenant configuré correctement.4. Display the "." NRPT rule again by running Get-DnsClientNrptRule, and verify that ProxyFQDN:port is now correctly configured.
5. Actualisez stratégie de groupe en exécutant gpupdate /force sur un client DirectAccess lorsque le client est connecté en interne, puis affichez la table NRPT à l’aide de Get-DnsClientNrptPolicy et vérifiez que la règle « . » affiche ProxyFQDN : port.5. Refresh Group Policy by running gpupdate /force on a DirectAccess client when the client is connected internally, then display the NRPT using Get-DnsClientNrptPolicy and verify that the "." rule shows ProxyFQDN:port.