針對啟用多月台進行疑難解答

  • 文章

本文包含 Cmdlet 相關 Enable-DAMultisite 問題的疑難解答資訊。 若要確認您收到的錯誤與啟用多月台有關,請在 Windows 事件記錄檔中查看事件識別碼 10051。

適用於:Windows Server 2022、Windows Server 2019 Windows Server 2016

用戶連線問題

當您啟用多月臺時,如果設定不正確,使用者可能會遇到連線問題。

原因

在多月臺部署中,Windows 10 和 Windows 8 客戶端電腦可以在不同的進入點之間漫遊。 Windows 7 用戶端計算機必須與多月臺部署中的特定進入點相關聯。 如果客戶端電腦不在正確的安全組中,則可能會收到錯誤的組策略設定。

解決方案

DirectAccess 針對所有 Windows 10 和 Windows 8 用戶端電腦都需要至少一個安全組;建議針對每個網域的所有 Windows 10 和 Windows 8 計算機使用一個安全組。 DirectAccess 也需要每個進入點的 Windows 7 用戶端電腦安全組。 每個用戶端電腦應該只包含在一個安全組中。 因此,您應該確定 Windows 10 和 Windows 8 用戶端的安全組只包含執行 Windows 10 或 Windows 8 的計算機,而且每部 Windows 7 用戶端電腦都屬於相關進入點的單一專用安全組,而且沒有 Windows 10 或Windows 8 客戶端屬於 Windows 7 安全組。

DirectAccess 用戶端安裝精靈的 [取群組] 頁面上設定 Windows 8 安全組。 在 [啟用多月臺部署精靈] 的 [用戶端支援] 頁面上,或在 [新增進入點精靈] 的 [用戶端支援] 頁面上設定 Windows 7 安全組。

Kerberos Proxy 驗證

收到錯誤

多月臺部署不支援 Kerberos Proxy 驗證。 您必須啟用使用電腦憑證進行 IPsec 使用者驗證。

原因

啟用多月臺之前,必須先啟用計算機憑證驗證。

解決方案

若要啟用電腦憑證驗證:

  1. 在 [遠端存取管理] 主控台的詳細資料窗格中,選取 [步驟 2 遠端存取伺服器] 底下的 [ 編輯]
  2. [遠端存取伺服器安裝精 靈] 的 [ 驗證 ] 頁面上,選取 [ 使用計算機憑證 ] 複選框,然後選取在部署中發行憑證的根或中繼證書頒發機構單位。

若要使用 Windows PowerShell 啟用計算機憑證驗證,請使用 Set-DAServer Cmdlet 並指定 IPsecRootCertificate 參數。

IP-HTTPS 憑證

收到錯誤

DirectAccess 伺服器會使用自我簽署的IP-HTTPS 憑證。 將 IP-HTTPS 設定為使用來自已知 CA 的已簽署憑證。

原因

IP-HTTPS 憑證是自我簽署。 您無法在多月臺部署中使用自我簽署憑證。

解決方案

若要選取IP-HTTPS 憑證:

  1. 在 [遠端存取管理] 主控台的詳細資料窗格中,選取 [步驟 2 遠端存取伺服器] 底下的 [ 編輯]
  2. [遠端存取伺服器安裝精 靈] 的 [ 網络適配器 ] 頁面上,於 [ 選取用來驗證 IP-HTTPS 連線的憑證] 下方,確定已清除 [ 使用 DirectAccess 自動建立的自我簽署憑證 ] 複選框,然後選取 [ 流覽 ] 以選取受信任 CA 所簽發的憑證。

網路位置伺服器

問題 1

收到錯誤

DirectAccess 設定為使用網路位置伺服器的自我簽署憑證。 將網路位置伺服器設定為使用來自 CA 的已簽署憑證。

原因

網路位置伺服器會部署在遠端訪問伺服器上,並使用自我簽署憑證。 您無法在多月臺部署中使用自我簽署憑證。

解決方案

若要選取網路位置伺服器憑證:

  1. 在 [遠端存取管理] 主控台的詳細資料窗格中,選取 [步驟 3 基礎結構伺服器] 底下的 [ 編輯]
  2. 在 [ 基礎結構伺服器安裝精 靈] 的 [ 網络位置伺服器 ] 頁面上,於 [ 遠端訪問伺服器上的網络位置伺服器] 下方,確定已清除 [ 使用自我簽署憑證 ] 複選框,然後選取 [ 流覽 ] 以選取企業 CA 所簽發的憑證。

問題 2

收到錯誤

若要部署網路負載平衡叢集或多月臺部署,請取得網路位置伺服器的憑證,其主體名稱與遠端訪問伺服器的內部名稱不同。

原因

用於網路位置伺服器網站的憑證主體名稱與遠端存取伺服器的內部名稱相同。 這會導致名稱解析問題。

解決方案

取得主體名稱與遠端訪問伺服器內部名稱不相同的憑證。

若要設定網路位置伺服器:

  1. 在 [遠端存取管理] 主控台的詳細資料窗格中,選取 [步驟 3 基礎結構伺服器] 底下的 [ 編輯]
  2. 在 [ 基礎結構伺服器安裝精 靈] 的 [ 網络位置伺服器 ] 頁面上,於 [ 遠端存取伺服器上部署網路位置伺服器] 底下,選取 [ 瀏覽 ] 以選取您先前取得的憑證。 憑證的主體名稱必須與遠端訪問伺服器的內部名稱不同。

Windows 7 用戶端電腦

收到警告

啟用多月臺時,為 DirectAccess 用戶端設定的安全組不得包含 Windows 7 電腦。 若要在多月臺部署中支援 Windows 7 用戶端電腦,請選取包含每個進入點之用戶端的安全組。

原因

在現有的 DirectAccess 部署中,已啟用 Windows 7 用戶端支援。

解決方案

DirectAccess 針對所有 Windows 8 用戶端電腦都需要至少一個安全組,而每個進入點都需要一個適用於 Windows 7 用戶端電腦的安全組。 每個用戶端電腦應該只包含在一個安全組中。 因此,您應該確定 Windows 8 用戶端的安全組只包含執行 Windows 8 的計算機,而且每部 Windows 7 用戶端電腦都屬於相關進入點的單一專用安全組,而且沒有任何 Windows 8 客戶端屬於 Windows 7 安全組。

Active Directory 站台

收到錯誤

伺服器 <server_name> 未與Active Directory 月台相關聯。

原因

DirectAccess 無法判斷 Active Directory 網站。 在 Active Directory 月臺和服務控制台中,您可以為網路設定不同的子網,並將每個子網與相關的 Active Directory 月臺產生關聯。 如果遠端存取伺服器的 IP 位址不屬於任何子網,或 IP 位址所屬的子網未使用 Active Directory 月臺定義,可能會發生此錯誤。

解決方案

在遠端存取伺服器上執行 命令 nltest /dsgetsite ,以確認這是問題。 如果這是問題,命令會傳回 ERROR_NO_SITENAME。 若要解決此問題,請在域控制器上,確定包含內部伺服器 IP 位址的子網存在,且該子網是以 Active Directory 月臺定義。

儲存伺服器 GPO 設定

收到錯誤

將遠端存取設定儲存至 GPO <GPO_name>時發生錯誤。

原因

伺服器 GPO 的變更因為連線問題或 registry.pol 檔案發生共用違規而無法儲存,例如,其他使用者已鎖定檔案。

解決方案

請確定遠端存取伺服器與域控制器之間有連線。 如果有連線能力,請檢查域控制器上的 registry.pol 檔案是否鎖定給另一個使用者,並在必要時結束該用戶會話以解除鎖定檔案。

發生內部錯誤

收到錯誤

發生內部錯誤。

原因

這可能是用戶端 GPO 中未預期的進入點數據表設定所造成。 如果系統管理員使用 DirectAccess 用戶端 Cmdlet 來編輯用戶端 GPO 中的進入點數據表,就可能發生這種情況。

解決方案

檢閱所有用戶端 GPO 中的進入點數據表設定,並修正不同用戶端 GPO 實例與 DirectAccess 組態之間多月台設定中的任何不一致。 使用具有 Get-DaEntryPointTableItem 用戶端 GPO 名稱的 Cmdlet 取得用戶端上的進入點數據表。 使用 Cmdlet Get-NetIPHttpsConfiguration 取得所有進入點的所有 IP-HTTPS 配置檔。

如需詳細資訊,請參閱 Windows PowerShell 中的 DirectAccess 用戶端 Cmdlet