DirectAccess のトラブルシューティング

  • [アーティクル]

仮想エージェントを試す - DirectAccess の一般的な問題をすばやく特定して修正するのに役立ちます。

この記事では、DirectAccess デプロイのトラブルシューティングに関する情報を提供します。

適用対象:Windows Server 2022、Windows Server 2019、Windows Server 2016

リモート アクセス (DirectAccess) の問題をトラブルシューティングするには、次の手順に従います。

問題 解決方法
リモート アクセス 管理コンソールが DirectAccess 構成を表示できない 不足している構成情報を復元するには:
- マルチサイト展開のトラブルシューティングを行う場合は、エントリ ポイントに最も近いドメイン コントローラーが使用可能であることを確認します。
- コマンドレットを Get-DAEntrypointDC 使用して、エントリ ポイントに最も近いドメイン コントローラーの名前を取得します。 ドメイン コントローラーが実行されていない場合は、コマンドレットを使用して別の Set-DAEntryPointDC ドメイン コントローラーを指します。
- サーバー上の管理者特権のコマンド プロンプトから実行gpresultして、サーバーが DirectAccess グループ ポリシー オブジェクトを取得していることを確認します。
- ユーザー インターフェイス (UI) のログ記録を有効にします。
- 次のコマンドを使用して、ログ記録Windows PowerShell開始します。logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets
logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets
<repro>- ユーザー インターフェイスを閉じてもう一度開きます。
- Windows PowerShellログ記録を無効にします。 イベント トレース ログ ファイルを収集します。 また、 %windir%\tracing フォルダーからすべてのログを収集します。
DirectAccess 構成の適用が失敗する DirectAccess 構成を更新するには:
- マルチサイト展開のトラブルシューティングを行う場合は、エントリ ポイントに最も近いドメイン コントローラーが使用可能であることを確認します。
- コマンドレットを Get-DAEntrypointDC 使用して、エントリ ポイントに最も近いドメイン コントローラーの名前を取得します。 ドメイン コントローラーが実行されていない場合は、コマンドレットを使用して別の Set-DAEntryPointDC ドメイン コントローラーを指します。
- 次のコマンドを使用して、ログ記録Windows PowerShell開始します。
logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets
logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets
<再現>
- [ 適用] を選択します。
- エラーが発生した後、ログ記録Windows PowerShell無効にし、イベント トレース ログを収集します。
DirectAccess は構成されていますが、クライアントは内部リソースに接続できません クライアント接続の問題をトラブルシューティングするには:
- リモート アクセス管理コンソールで [ 操作の状態] タブを選択し、すべてのコンポーネントに緑色のアイコンが表示されていることを確認します。 そうでない場合は、エラーの詳細をチェックし、解決策の手順に従います。
- リモート アクセス サーバーのベスト プラクティス アナライザー (BPA) を実行します。 警告やエラーがある場合は、解決策の手順に従って問題を解決します。
マルチサイト構成に関連する問題が発生する (たとえば、マルチサイトの有効化、エントリ ポイントの追加、エントリ ポイントのドメイン コントローラーの設定など) 「マルチサイト展開のトラブルシューティング」の手順に従います。
ダッシュボードの [構成状態] タイルに警告またはエラーが表示される 「リモート アクセス サーバーの構成配布状態を監視する」の手順に従います。
負荷分散の構成に関連する問題が発生する (たとえば、負荷分散を有効にすると構成が失敗する、またはクラスターからサーバーを追加または削除するときに問題が発生する) 負荷分散またはノードの追加を有効にしていて、[ 適用] を選択したときに構成が更新されたが、サーバー上でクラスターが正しく形成されなかった場合は、次のコマンド cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v DebugFlag /t REG_DWORD /d ""0xffffffff"" " を実行して、新しいサーバーでユーザー インターフェイス ログを収集します。
操作の状態は、次の手順を実行して状況を修正した後にエラーまたは警告を表示します 操作の状態に正しくない情報が表示されている場合 (修正後のエラーなど)。

- レジストリ キー cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v EnableTracing /t REG_DWORD /d ""5"" "を有効にします。
- 操作の状態を更新し、 %windir%\tracing からログを収集します。
Windows 8以降の DirectAccess クライアント コンピューターでは、DirectAccess 接続の状態として "インターネットなし" と報告され、ネットワーク接続状態インジケーター (NCSI) は制限された接続を報告します。 これは、DirectAccess 構成で強制トンネリングが有効になっている場合に発生し、このため、IPHTTPS のみが使用されている場合に発生する可能性があります。 この問題を解決するには、プロキシ サーバーを作成して構成します。 NCSI はその後、プロキシ サーバーを使用してインターネット接続チェックを実行します。 次の手順を使用して、名前解決ポリシー テーブル (NRPT) に静的プロキシを追加することをお勧めします。

この手順のコマンドを実行する前に、すべてのドメイン名、コンピューター名、およびその他のWindows PowerShellコマンド変数を、展開に適した値に置き換えてください。

NRPT 規則の静的プロキシを構成します。
1. "." を表示します。NRPT ルール: Get-DnsClientNrptRule -GpoName "corp.example.com\DirectAccess Client Settings" -Server <DomainControllerNetBIOSName>
2. "" の名前 (GUID) をメモします。NRPT 規則。 名前 (GUID) は で始まる必要があります DA-{..}
3. "." のプロキシを設定します。に対する proxy.corp.example.com:8080NRPT ルール: Set-DnsClientNrptRule -Name "DA-{..}" -Server <DomainControllerNetBIOSName> -GPOName "corp.example.com\DirectAccess Client Settings" -DAProxyServerName "proxy.corp.example.com:8080" -DAProxyType "UseProxyName"
4. "." を表示します。を実行して、NRPT ルールをもう一度実行 Get-DnsClientNrptRuleし、正しく構成されていることを ProxyFQDN:port 確認します。
5. クライアントが内部接続されているときに DirectAccess クライアントで実行gpupdate /forceしてグループ ポリシーを更新し、 を使用して Get-DnsClientNrptPolicy NRPT を表示し、"." ルールに が表示ProxyFQDN:portされていることを確認します。