針對新增進入點進行疑難解答

  • 文章

本文包含與命令相關 Add-DAEntryPoint 問題的疑難解答資訊。 若要確認您收到的錯誤與新增進入點有關,請在 Windows 事件記錄檔中查看事件識別碼 10067。

適用於:Windows Server 2022、Windows Server 2019 Windows Server 2016

遺漏 RemoteAccessServer 參數

收到錯誤

您必須提供 參數 RemoteAccessServer的值。

原因

將新的進入點新增至多月臺部署時,您必須指定 參數 RemoteAccessServer,也就是您要新增為新進入點的伺服器名稱。

解決方案

執行 命令,並務必使用要新增為進入點的伺服器名稱來指定 RemoteAccessServer 參數。

未設定遠端訪問

收到錯誤

server_name上<>未設定遠程訪問。 指定屬於多月臺部署的伺服器名稱。

原因

遠端存取未在 參數所 ComputerName 指定的電腦上設定,或在您執行命令的電腦上設定。

將新的進入點新增至多月臺部署時,您必須指定兩個參數:和 RemoteAccessServerComputerName ComputerName是已經是多月臺部署一部分的伺服器名稱, RemoteAccessServer 是您要新增為新進入點的伺服器名稱。 如果您是從屬於多月臺部署一部分的電腦執行, ComputerName 則不需要 參數。

解決方案

執行 命令,並務必使用已設定為多月臺部署一部分的伺服器名稱來指定 ComputerName 參數,或從屬於多月臺部署的計算機執行命令。

未啟用多月臺

收到錯誤

您必須先啟用多月臺部署,才能執行此作業。 使用 Cmdlet Enable-DAMultiSite 來執行此動作。

原因

ComputerName 參數所指定的伺服器上未啟用多月臺。 若要將新的進入點新增至遠端訪問部署,您必須先啟用多月臺。

解決方案

使用 Cmdlet 啟用 Enable-DaMultiSite 多月臺。 如需詳細資訊,請 參閱部署多月台遠端訪問

IPv6 前置詞問題

問題 1

收到錯誤

IPv6 會部署在內部網路中,但您尚未指定用戶端 IPv6 前置詞。

原因

IPv6 會部署在公司網路上,而且需要IP-HTTPS前置詞。 不過,新進入點的 參數中 ClientIPv6Prefix 並未指定前置詞。

解決方案

  1. 將唯一的IP-HTTPS前置詞指派給新的進入點,並確保以此前綴下IP位址為目標的封包會路由傳送至您要新增的伺服器。
  2. 執行 Cmdlet Add-DAEntryPoint ,並在 參數中 ClientIPv6Prefix 指定 IP-HTTPS 前置詞。

問題 2

收到錯誤

用戶端 IPv6 前置詞已由另一個進入點使用中。 指定替代值。

原因

參數中指定的 ClientIPv6Prefix IP-HTTPS前置詞已由不同的進入點使用

解決方案

  1. 將唯一的IP-HTTPS前置詞指派給新的進入點,並確保以此前綴下IP位址為目標的封包會路由傳送至您要新增的伺服器。
  2. 執行 Cmdlet Add-DAEntryPoint ,並在 參數中 ClientIPv6Prefix 指定 IP-HTTPS 前置詞。

ConnectTo 位址

收到錯誤

DirectAccess 用戶端在 <> RemoteAccess 伺服器上連線) (connect_to_address 地址與網路位置伺服器位址相同。 指定替代值。

原因

ConnectTo 位址和網路位置伺服器位址相同。

解決方案

ConnectTo 位址應可透過因特網解析,以允許用戶端電腦透過IP-HTTPS 連線。 網路位置伺服器位址應可透過公司網路解析,但不應透過因特網解析。 請確定網路位置伺服器和 ConnectTo 位址不相同。 選取不同的位址,然後再試一次。

已安裝 DirectAccess 或 VPN

收到錯誤

在伺服器<>server_name上偵測到 VPN 安裝。 指定未安裝遠端訪問的替代伺服器,或從伺服器移除 VPN 組態。

伺服器server_name上 <已安裝遠端訪問>。 指定未執行 DirectAccess 的替代伺服器,或從伺服器移除現有的 DirectAccess 設定。

原因

DirectAccess 或 VPN 已在新的進入點上設定。 您無法將已設定的進入點新增至多月臺部署。

解決方案

若要將伺服器新增至多月臺部署,您必須在伺服器上安裝遠端訪問角色,但不應設定 DirectAccess 和 VPN。

執行 命令,並確定您在 參數中指定的 RemoteAccessServer 伺服器未設定 DirectAccess 或 VPN。

IPsec 跟證書

收到錯誤。 設定的 IPsec 跟證書不能位於伺服器 <server_name>上。

原因

在您嘗試新增至部署的伺服器上,找不到發行計算機憑證的根或中繼證書頒發機構單位 (CA) 憑證。

解決方案

在 [遠端存取管理] 主控台的 [步驟 2 遠端存取伺服器] 中,按兩下 [ 編輯],然後在 [ 驗證 ] 頁面的 [ 使用計算機憑證] 下,確定選取的憑證有效。 如果憑證有效,請確定它位於您要新增之伺服器上受信任的根 CA 之下,然後再試一次。

注意事項

憑證必須是具有相同指紋的相同憑證。

如果憑證無效,請選取在所有遠端訪問伺服器上設定為受信任根 CA 的有效憑證。

混合 IPv6 和 IPv4 進入點

第一次安裝 DirectAccess 時,系統會檢查內部網路適配器,以判斷網路是否只包含 IPv4 位址 (僅限 IPv4 的網路) 、IPv6 和 IPv4 位址,或僅 (僅限 IPv6 的網路) 的 IPv6 位址。 此資訊可用來判斷僅 (IPv4、僅限 IPv6+IPv4 或 IPv6) 的部署類型。

問題 1

收到警告

正在新增的遠端存取伺服器會同時設定 IPv4 和 IPv6 位址。 這是僅限 IPv4 的部署,而遠端訪問會忽略 IPv6 位址。

原因

第一次安裝此部署時,系統會將內部網路偵測為僅限 IPv4 的網路。 在多月臺部署中,假設不同的進入點位於具有不同特性的不同子網中。 因此,雖然部署設定為僅限 IPv4 部署,但它可以包含位於 IPv6+IPv4 子網中的進入點。 不過,雖然進入點會新增至部署,DirectAccess 將會忽略新進入點內部介面上設定的 IPv6 位址。

解決方案

如果使用 IPv6 和 IPv4 位址設定整個內部網路,請考慮移至 IPv6+IPv4 部署,以受益於 IPv6 技術。 請參閱 步驟 3:規劃多月臺部署中的「從純 IPv4 轉換成 IPv6+IPv4 公司網路」。

問題 2

收到錯誤

此多月臺部署中遠端 Accces 伺服器的內部網路適配器會設定 IPv4 位址。 您要新增的進入點也必須使用內部網路適配器上的 IPv4 位址來設定。

原因

第一次安裝此部署時,系統會將內部網路偵測為僅限 IPv4 的網路。 遠端訪問偵測到您嘗試新增的進入點只在其內部網路上設定IPv6位址。 這不適用於僅限 IPv4 部署。

解決方案

如果整個網路已設定 IPv6 位址,您應該移至 IPv6+IPv4 或僅限 IPv6 的部署。 See "Plan the transition to IPv6 when multisite Remote Access is deployed."

問題 3

收到錯誤

此進入點位於IPv4網路中,但先前的進入點位於IPv6網路中。 將此進入點連線到IPv6網路,再將其新增至相同的多月臺部署。

原因

第一次安裝此部署時,偵測到內部網路為IPv6+IPv4或僅限IPv6。 在您嘗試新增的新進入點上,偵測到只有內部網路上設定了IPv4位址。 IPv6+IPv4 或僅限 IPv6 部署中不允許此功能。

解決方案

使用 IPv6 位址設定新的進入點,然後將進入點新增至多月臺部署。

問題 4

收到警告

遠端存取伺服器上的內部網路適配器未設定 IPv4 位址。 此伺服器上將不會設定 DNS64 和 NAT64。 DirectAccess 用戶端只能存取 IPv6 內部伺服器。

原因

第一次安裝此部署時,偵測到內部網路為IPv6+IPv4。 在此部署模式中,會啟用 DNS64 和 NAT64,以允許用戶端電腦存取僅使用 IPv4 位址設定的內部網路上的機器。

新增進入點時,遠端訪問偵測到新電腦上的內部介面只有IPv6 位址。 若要設定 DNS64 和 NAT64,需要 IPv4 位址,才能將封包從遠端訪問伺服器路由傳送至僅限 IPv4 計算機。 由於新電腦上沒有這類IP,因此不會在遠端訪問伺服器上設定N4和 DNS64。 因此,使用此進入點透過 DirectAccess 存取公司網路的用戶端機器將無法存取內部網路上的 IPv4 伺服器。 For information on how to transition to an IPv6+IPv4 network, or an IPv6-only network, see "Plan the transition to IPv6 when multisite Remote Access is deployed."

解決方案

將 IPv4 位址新增至新的遠端存取伺服器,以確保 DNS64 和 NAT64 正常運作。

ServerGpoName 的網域問題

問題 1

收到錯誤

ServerGpoName 參數 <中指定的網域server_GPO> 不存在。 請改為指定網域 <domain_name> 。

原因

找不到系統管理員所傳送之伺服器 GPO 名稱的功能變數名稱部分。

解決方案

請確定您已正確輸入功能變數名稱。 如果功能變數名稱拼字正確,請使用 FQDN) (完整功能變數名稱再試一次。

問題 2

收到錯誤

伺服器 GPO 必須位於遠端存取伺服器網域中。 在 ServerGpoName 參數中指定網域 <domain_name> 。

原因

伺服器 GPO 的網域與遠端存取伺服器所屬的網域不同。

解決方案

伺服器 GPO 應該位於與遠端存取伺服器相同的網域中。 針對伺服器 GPO 使用伺服器的功能變數名稱,然後再試一次。

分割大腦 DNS

收到警告

DNS 後綴 <DNS_suffix> 的 NRPT 專案包含用戶端電腦用來連線到遠端存取伺服器的公用名稱。 將名稱 <connect_to_address> 新增為 NRPT 中的豁免。

原因

您使用的是分割大腦 DNS。 若要允許用戶端使用IP-HTTPS進行連線,您應該確定選取的 ConnectTo 位址在 NRPT 規則中是豁免的。

解決方案

如果您有多月臺部署,請確定所有連線到不同進入點的位址都不受 NRPT 規則約束。

若要豁免 NRPT 規則中的位址:

  1. 在 [遠端存取管理] 主控台的 [步驟 3 基礎結構伺服器] 下,選取 [ 編輯]
  2. 在 [ 基礎結構伺服器安裝精 靈] 的 [DNS ] 頁面上,按兩下數據表以輸入新的名稱後綴。
  3. 在 [ DNS 伺服器位址 ] 對話方塊的 [DNS 後綴] 中,輸入進入點的 ConnectTo 位址,然後選取 [ 套用]

當您新增名稱後綴但未指定伺服器位址時,後綴會被視為 NRPT 豁免。

儲存伺服器 GPO 設定

收到錯誤

將遠端存取設定儲存至 GPO <GPO_name>時發生錯誤。

若要針對此錯誤進行疑難解答,請參閱啟 用多月臺疑難解答中的儲存伺服器 GPO 設定。

無法套用 GPO 更新

收到警告

無法在server_name>上<套用 GPO 更新。 在下一次重新整理原則之前,變更將不會生效。

原因

嘗試重新整理指定電腦上的原則時發生錯誤。 因此,在下次重新整理原則之前,所做的變更將不會生效。

解決方案

若要強制重新整理原則,請 gpupdate /force 在指定的電腦上執行 。