DirectAccess のトラブルシューティング

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

リモート アクセス (DirectAccess) の問題をトラブルシューティングするには、次の手順に従います。

問題点 解像度
リモート アクセス管理コンソールに DirectAccess 構成を表示できない 不足している構成情報を復元するには
- マルチサイト展開のトラブルシューティングを行う場合は、エントリ ポイントに最も近いドメイン コントローラーを使用できます。
- Get-DAEntrypointDC コマンドレットを使用して、エントリ ポイントに最も近いドメイン コントローラーの名前を取得します。 ドメイン コントローラーが実行されていない場合は 、Set-DAEntryPointDC コマンドレットを使用して別のドメイン コントローラーをポイントします。
- サーバー上の管理者特権 でのコマンド プロンプトから gpresult を実行して、サーバーが DirectAccess オブジェクトを取得グループ ポリシーします。
- ユーザー インターフェイス (UI) のログ記録を有効にします。
- 次のコマンドを使用して、ログ記録Windows PowerShellします。
logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets 
logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets
<repro>- ユーザー インターフェイスを閉じてから再度開きます。
- PowerShell Windowsを無効にします。 イベント トレース ログ ファイルを収集します。 また 、%windir%/tracing フォルダーからすべてのログを収集 します。
DirectAccess 構成の適用が失敗する DirectAccess 構成を更新するには
- マルチサイト展開のトラブルシューティングを行う場合は、エントリ ポイントに最も近いドメイン コントローラーを使用できます。
- Get-DAEntrypointDC コマンドレットを使用して、エントリ ポイントに最も近いドメイン コントローラーの名前を取得します。 ドメイン コントローラーが実行されていない場合は 、Set-DAEntryPointDC コマンドレットを使用して別のドメイン コントローラーをポイントします。
- 次のコマンドを使用して、PowerShell Windowsを開始します。
logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets
logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets
<repro>
- [適用] をクリックします
- エラーが発生した後、PowerShell ログWindowsを無効にし、イベント トレース ログを収集します。
DirectAccess が構成されているが、クライアントが内部リソースに接続できない クライアント接続の問題をトラブルシューティングするには
- リモート アクセス管理 コンソールの [操作の状態] タブをクリックし、すべてのコンポーネントに緑色のアイコンが表示されます。 ない場合は、エラーの詳細を確認し、解決手順に従います。
- リモート アクセス サーバー サービス (BPA) ベスト プラクティス アナライザー実行します。 警告またはエラーがある場合は、解決手順に従って問題を解決します。
マルチサイト構成に関連する問題 (マルチサイトの有効化、エントリ ポイントの追加、エントリ ポイントのドメイン コントローラーの設定など) が発生する 「マルチサイト展開の トラブルシューティング」の手順に従います
ダッシュボードの [構成の状態] タイルに警告またはエラーが表示される 「リモート アクセス サーバー の構成配布の状態を監視する」の手順に従います
負荷分散の構成に関連する問題が発生しました (負荷分散を有効にした場合に構成が失敗したり、クラスターに対してサーバーを追加または削除するときに問題が発生したりします) 負荷分散またはノードの追加を有効にし、[適用] をクリックすると構成が更新されたが、クラスターがサーバーで正しく形成されない場合は 、cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v DebugFlag /t REG_DWORD /d "0xffffffff"" というコマンドを実行して、新しいサーバー上のユーザー インターフェイス ログを収集します。
操作の状態は、次の手順に従って状況を修正した後にエラーまたは警告を表示します 操作の状態に正しくない情報 (修正後もエラーなど) が表示されている場合:

- レジストリ キー cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v EnableTracing /t REG_DWORD /d ""5"" " を有効にする。
- 操作の状態を更新し 、%windir%/tracing からログを収集します

Windows 8以降の DirectAccess クライアント コンピューターでは、DirectAccess 接続の状態として "インターネットなし" と報告され、ネットワーク接続状態インジケーター (NCSI) は制限付き接続を報告します。 これは、DirectAccess 構成で強制トンネリングが有効になっている場合に発生する可能性があります。この理由により、IPHTTPS だけが使用されています。 この問題を解決するには、プロキシ サーバーを作成して構成します。 その後、NCSI はプロキシ サーバーを使用してインターネット接続チェックを実行します。 次の手順を使用して、静的プロキシを名前解決ポリシー テーブル (NRPT) に追加をお勧めします。

この手順のコマンドを実行する前に、すべてのドメイン名、コンピューター名、その他の Windows PowerShell コマンド変数を、デプロイに適した値に置き換える必要があります。

NRPT 規則の静的プロキシを構成する
1."." を表示します。NRPT ルール: Get-DnsClientNrptRule -GpoName "corp.example.com\DirectAccess Client Settings" -Server <DomainControllerNetBIOSName>
2."." の名前 (GUID) をメモします。NRPT ルール。 名前 (GUID) は DA-{..} で始まる必要があります
3."." のプロキシを設定します。を使用する NRPT proxy.corp.example.com:8080:Set-DnsClientNrptRule -Name "DA-{..}" -Server <DomainControllerNetBIOSName> -GPOName "corp.example.com\DirectAccess Client Settings" -DAProxyServerName "proxy.corp.example.com:8080" -DAProxyType "UseProxyName"
4."." を表示します。を実行して NRPT 規則を再度 Get-DnsClientNrptRule 実行し 、ProxyFQDN:port が正 しく構成されていることを確認します。
5.クライアントグループ ポリシー接続されているときに DirectAccess クライアントでを実行して更新し、 を使用して NRPT を表示し、"." ルールに gpupdate /force Get-DnsClientNrptPolicy ProxyFQDN:port が表示されていることを確認します。