Freigeben über

Problembehandlung bei der DirectAccess Server-Konsole: IP-HTTPS und IPSec

In diesem Artikel wird erläutert, wie Sie einige IP-HTTPS- und IPSec-Fehler bei DirectAccess Server-Konsolenfehlern beheben.

IP-HTTPS: Routenfehler

Nachdem Sie DirectAccess in Windows Server installiert und konfiguriert haben, wird möglicherweise eine Fehlermeldung angezeigt, die angibt, dass IP-HTTPS nicht ordnungsgemäß funktioniert. Wenn Sie die Übersicht über den Betriebsstatus im Dashboard der Remotezugriffsverwaltungskonsole anzeigen, zeigt die Anzeige an, dass die IP-HTTPS-Schnittstelle fehlerhaft ist.

Screenshot des Vorgangsstatus.

Die Betriebsstatusdetails zeigen die folgende Fehlermeldung an:

IP-HTTPS: Funktioniert nicht ordnungsgemäß
Fehler:
Die IP-HTTPS-Route hat keine veröffentlichte Eigenschaft aktiviert.

Ursache

Die Veröffentlichungseigenschaft der IP-HTTPS-Route ist nicht aktiviert. Dies ist erforderlich, damit DirectAccess erwartungsgemäß funktioniert.

Lösung

Um die fehlende Route zu beheben, überprüfen Sie die Routingtabelle auf dem DirectAccess-Server. Es sollte keine Route zum Client-IPv6-Präfix angezeigt werden.

Um Informationen zum ClientIPv6Prefix abzurufen, führen Sie den folgenden Befehl in einer PowerShell-Instanz mit erhöhten Rechten aus:

Get-RemoteAccess | Select-Object ClientIPv6Prefix.

Führen Sie den folgenden Befehl aus, um zu ermitteln, ob die Route vorhanden ist:

Get-NetRoute -AddressFamily IPv6

Wenn kein Eintrag für die Route angezeigt wird, gibt dies an, dass die Route nicht vorhanden ist und hinzugefügt werden muss.

Um diesen Fehler zu beheben, fügen Sie die IPv6-Route des Clients zur Routingtabelle des DirectAccess-Servers hinzu, und veröffentlichen Sie dann die Route. Führen Sie dazu die folgenden PowerShell-Befehle auf dem DirectAccess-Server aus:

$IPv6prefix = (Get-RemoteAccess).ClientIPv6Prefix 
New-NetRoute -AddressFamily IPv6 -DestinationPrefix $IPv6prefix -InterfaceAlias “Microsoft IP-HTTPS Platform Interface” -Publish Yes

Starten Sie als Nächstes den Remotezugriffsverwaltungsdienst (RaMgmtSvc) mit dem folgenden PowerShell-Befehl neu:

Restart-Service RaMgmtSvc -PassThru

IP-HTTPS: Zertifikatfehler

In anderen Situationen kann das Problem mit dem Zertifikat selbst zusammenhängen. Dies wäre in dieser Instanz zutrifft, da das Zertifikat abgelaufen ist:

IP-HTTPS: Funktioniert nicht ordnungsgemäß
Fehler:
Das IP-HTTPS-Zertifikat ist ungültig.

Um dieses Problem zu beheben, stellen Sie sicher, dass das Zertifikat nicht abgelaufen ist. Wenn dies der Vorgang ist, verlängern Sie das Zertifikat.

IP-HTTPS: Routinganzeigefehler

Da die Fehlermeldung deaktiviert ist, überprüfen Sie, ob die Routenanzeige deaktiviert ist. Wenn dies der Vorgang ist, aktivieren Sie sie.

IP-HTTPS: Nicht funktionierende Eigenschaft
Fehler:
Die Routenanzeige ist auf dem IP-HTTPS-Adapter deaktiviert.

Ursache

Dieses Problem tritt auf, da die Routenanzeige auf dem IP-HTTPS-Adapter deaktiviert ist. Dieses Feature ist erforderlich, damit DirectAccess wie erwartet funktioniert.

Lösung

Aktivieren Sie Die Routenanzeige auf dem IP-HTTPS-Adapter IPHTTPSInterface.

Führen Sie den folgenden Befehl aus, um die Informationen zu den Schnittstellen und ihrem Index zu überprüfen:

netsh int ipv6 show int

Siehe idx - 17 Zeile.

Idx      Met           MTU         State                 Name 
---   ----------   ----------   ------------   --------------------------- 
1        50        4294967295      connected   Loopback Pseudo-Interface 1 
1        45              1280      connected                  6TO4 Adapter 
15        5              1280      connected       isatap.{Interface Guid} 
16        5              1280      connected       isatap.{Interface Guid}
17       50              1280      connected              IPHTTPSInterface 
12        5              1500      connected                      Internal 
13        5              1500      connected                      External

Der folgende Befehl zeigt Ihnen die Konfiguration für den IPHTTPSInterface-Adapter:

netsh int ipv6 show int "int inx for IPHTTPSInterface"

Siehe die zweite Zeile:

Interface IPHTTPSInterface  Parameters
Forwarding: disabled
Advertising: enabled
Neighbor Discovery: enabled
Neighbor Unreachability Detection: enabled
Router Discovery: enabled

Nachdem Sie Informationen zum Index haben, führen Sie den folgenden Befehl aus, um die Weiterleitung zu aktivieren:

netsh int ipv6 set int 17 forwarding=enabled

Wenn Sie feststellen, dass Werbung deaktiviert ist, geben Sie den folgenden Befehl aus, um Werbung zu aktivieren:

netsh int ipv6 set int 17 forwarding=enabled

IPSec-Fehler

Um eine Verbindung mit internen Ressourcen herstellen zu können, werden zwei Verbindungssicherheitstunnel vom Remotezugriffs-Assistenten über ein GPO konfiguriert und auf den DA-Clients und DA-Servern bereitgestellt.

Einer der typischen Fehler ist ein ungültiges IP-HTTPS-Zertifikat, das auf dem DirectAccess-Server installiert ist:

IPsec: Funktioniert nicht ordnungsgemäß
Fehler:
Es gibt kein gültiges Zertifikat, das von Ipsec verwendet werden soll, das mit dem Stamm-/Zwischenzertifikat verkettet ist, das von Ipsec in der DirectAccess-Konfiguration verwendet werden soll.

Ursache

Dieses Problem tritt auf, da das Zertifikat nicht installiert oder ungültig ist.

Lösung

Um diesen Fehler zu beheben, stellen Sie sicher, dass das IP-HTTPS-Zertifikat oder das Computerzertifikat auf dem Client nicht abgelaufen ist und die folgenden Kriterien erfüllt:

  • Sollte nicht abgelaufen sein.
  • Sollte über einen privaten Schlüssel verfügen.
  • Sollte für die Clientauthentifizierung konfiguriert werden.
  • Sollte mit dem konfigurierten Stamm- oder Zwischenzertifikat verkettet werden.