Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie Netzwerk- und Hochverfügbarkeitsprobleme für die DirectAccess Server-Konsole beheben.
Netzwerkadressenübersetzung (NAT) 64-Problem
Wenn ein Client den DNS-AAAA-Eintrag empfängt, versucht er, eine TCP-Verbindung mit diesem IPv6-basierten Netzwerk herzustellen. Der Client spricht mit dem NAT64-Dienst, der für die Herstellung der Verbindung mit der internen IPv4-Adresse verantwortlich ist. NAT64 wird immer von DirectAccess verwendet, auf dem Ihr DA-Server in einem IPv4-basierten internen Netzwerk ausgeführt wird.
NAT64: Nicht ordnungsgemäß funktioniert
Fehler:
NAT64-Übersetzungsfehler verhindern möglicherweise, dass Remoteclients nur auf IPv4-Server im Unternehmensnetzwerk zugreifen.
Ursache
Dieses Problem kann durch einen der folgenden Faktoren verursacht werden:
- NAT64 ist auf dem Server nicht aktiviert.
- Auf den NAT64-Server kann nicht zugegriffen werden.
- DIE NAT64-Übersetzung ist fehlgeschlagen.
Lösung
Wenn Sie über eine systemeigene ipv6-Verbindung verfügen, stellen Sie sicher, dass das NAT64- oder DNS64-Präfix in den DirectAccess-Einstellungen konfiguriert ist.
Stellen Sie im Remoteserver-Setup-Assistenten sicher, dass die Standardeintragstabelle für die Namensauflösungsrichtlinie (NRPT)auf die interne Adresse des NAT64- oder DNS64-Servers verweist.
Der Fehler "NAT64 funktioniert nicht ordnungsgemäß" ist das übliche Verhalten, wenn zu viele Verbindungen zu einem einzelnen Server vorhanden sind. Ein über bereitgestellter Server kann nicht jede Clientkommunikation unterstützen, und das NAT64-Modul hat ein Hard-Stop-Limit für gleichzeitige Sitzungen oder Transaktionen. Wenn das Modul einen Warnschwellenwert gegen diesen Grenzwert erreicht, wird diese Warnung regelmäßig angezeigt.
Achten Sie darauf, die CPU- und Speicherauslastungsnummern zu beobachten. Wenn Sie der Meinung sind, dass Ihr Server sich näher am Tippen befindet, beginnen Sie mit dem Erstellen von Plänen, einen weiteren DirectAccess-Serverknoten hinzuzufügen.
Sie können das Problem auch im Moment beheben, indem Sie den Remotezugriffsserver neu starten.
Überprüfen Sie außerdem das Administratorkanalprotokoll des Remotezugriffsservers. Sie sollten Nachrichten finden, die mit nat64 zusammenhängen, die von einer WARNUNG in einen FEHLERFREIen Zustand verschoben werden.
Alternativ können Sie hinsichtlich des Grenzwerts für die NAT64-Verbindung doppelte Ports für NAT64 hinzufügen, ohne die Anzahl der kurzlebigen Ports für den DirectAccess-Server selbst zu verringern. Die Ports können entweder von NAT oder dem Server für ihre eigenen Aufgaben verwendet werden, aber nicht von beiden.
Der folgende Befehl fügt eine zweite IP auf der internen Schnittstelle hinzu und konfiguriert dann NAT64 für beide IPs:
Set-NetNatTransitionConfiguration –IPv4AddressPortPool @("xxx.xxxx.xxxx.xxxx, 10000-47000", "xxx.xxx.xxx.xxx, 10000-47000")
Problem mit Netzwerkadaptern
Netzwerkadapter-bezogene Fehlermeldungen beziehen sich auf die lokalen Netzwerkschnittstellen des ausgewählten DirectAccess-Servers:
Netzwerkadapter: Funktioniert nicht ordnungsgemäß
Fehler:
Die Netzwerkadapter sind entweder getrennt oder deaktiviert.
Ursache
Die angegebenen Netzwerkadapter sind nicht aktiviert oder nicht verbunden.
Lösung
Gehen Sie folgendermaßen vor, um das Problem zu beheben:
- Aktivieren Sie die Netzwerkadapter mithilfe des Netzwerk- und Freigabecenters in Systemsteuerung (ncpa.cpl).
- Überprüfen Sie die Netzwerkkonnektivität auf den Netzwerkadaptern.
Stellen Sie sicher, dass Sie auch das Ereignisprotokoll für den Administratorkanal des Remotezugriffsservers überprüfen. Sie sollten Nachrichten im Zusammenhang mit der Überwachung von Netzwerkschnittstellen finden, die von einem UNHEALTHY-Status zu einem FEHLERFREIen Status wechseln.
Netzwerkstandortserverproblem
Sie konfigurieren einen Windows Server DirectAccess-Server für die Verwendung eines intranetbasierten Netzwerkspeicherortservers (Network Location Server, NLS). In dieser Situation stellen Sie möglicherweise fest, dass der Betriebsstatus im Remotezugriff Verwaltungskonsole auf ein kritisches Problem hinweist, das SICH auf NLS auswirkt. Sie können den NLS-Server jedoch vom DirectAccess-Server durchsuchen.
Der DirectAccess-Server muss in der Lage sein, den NLS-Server über einen HTTP GET erfolgreich mit dem NLS zu verbinden. Das inbound Internet Control Message Protocol (ICMP) wird jedoch häufig auf Webservern blockiert. Daher markiert der DirectAccess-Server den Dienst als fehlgeschlagen. Das Problem kann behoben werden, indem die Hostfirewallrichtlinie so geändert wird, dass eingehende ICMPv4-Echoanforderungen zulässig sind.
Netzwerksicherheitsfehler
Der Grund für diese Warnung wird im Abschnitt "Details " des RA-Monitors geschrieben:
Netzwerksicherheit: Nicht ordnungsgemäß funktioniert
Fehler:
Eine Netzwerksicherheitskomponente befindet sich unter einem Spoofingangriff.
Möglicherweise sehen Sie, dass viele Pakete mit einem ungültigen Sicherheitsparameterindex (SPI) in kurzer Zeit empfangen wurden. Außerdem sehen Sie, dass diese Warnung zeitweise erfolgt.
Ursache
Viele Pakete, die innerhalb kurzer Zeit über schlechte SPIs verfügen, deuten möglicherweise auf einen Paketspoofingangriff hin.
Lösung
Überwachen Sie den Server auf Anzeichen eines Spoofingangriffs. Wenn ein Angriff erkannt wird, wenden Sie Entschärfungsmaßnahmen an, um ihn zu stoppen.
Einige Clients senden ESP-Pakete, die falsche SPIs (veraltete SAs) oder die Load Balancer-Forwarding Encapsulating Security Payload (ESP)-Pakete mit einem falschen SPI haben. Führen Sie eine wfpdiag-Ablaufverfolgung aus, um anzuzeigen, was aufgetreten ist, und beenden Sie den Angriff basierend auf Ereignis 10039 – Microsoft-Windows-RemoteAccess-RemoteAccessServer.
Das Hinzufügen weiterer Server ist ebenfalls hilfreich.
Fehler bei hoher Verfügbarkeit
Dieser Fehler wird nur angezeigt, wenn Sie eine Hochverfügbarkeitslösung mithilfe von Microsoft NLB oder einem externen Lastenausgleich einrichten, um den Datenverkehr auf zwei oder mehr Direct Access-Servern zu laden.
Wenn die standardmäßige NLB-Bereitstellungsmethode ausgewählt ist und der DirectAccess-Server auf einem virtuellen Computer bereitgestellt wird, der in Microsoft Hyper-V ausgeführt wird, stellen Sie sicher, dass Sie die Option "MAC-Adressspoofing aktivieren" auswählen.
