Compartir a través de

Solución de problemas de la consola del servidor de DirectAccess: IP-HTTPS e IPSec

En este artículo se describe cómo solucionar algunos errores de IP-HTTPS e IPSec para los errores de consola del servidor de DirectAccess.

IP-HTTPS: error de ruta

Después de instalar y configurar DirectAccess en Windows Server, puede recibir un mensaje de error que indica que IP-HTTPS no funciona correctamente. Al ver la información general sobre el estado de las operaciones en el panel de la consola de administración de acceso remoto, la pantalla muestra que la interfaz IP-HTTPS está en error.

Captura de pantalla del estado de las operaciones.

Los detalles del estado de las operaciones muestran el siguiente mensaje de error:

IP-HTTPS: no funciona correctamente
Error:
La ruta IP-HTTPS no tiene habilitada la propiedad publicada.

Causa

La propiedad de publicación de la ruta IP-HTTPS no está habilitada. Esto es necesario para que DirectAccess funcione según lo previsto.

Solución

Para corregir la ruta que falta, compruebe la tabla de enrutamiento en el servidor de DirectAccess. No debería ver ninguna ruta al prefijo IPv6 del cliente.

Para obtener información sobre ClientIPv6Prefix, ejecute el siguiente comando en una instancia de PowerShell con privilegios elevados:

Get-RemoteAccess | Select-Object ClientIPv6Prefix.

Para determinar si existe la ruta, ejecute el siguiente comando:

Get-NetRoute -AddressFamily IPv6

Si no ve una entrada para la ruta, esto indica que la ruta no está presente y se debe agregar.

Para resolver este error, agregue la ruta IPv6 del cliente a la tabla de enrutamiento del servidor de DirectAccess y, a continuación, publique la ruta. Para ello, ejecute los siguientes comandos de PowerShell en el servidor de DirectAccess:

$IPv6prefix = (Get-RemoteAccess).ClientIPv6Prefix 
New-NetRoute -AddressFamily IPv6 -DestinationPrefix $IPv6prefix -InterfaceAlias “Microsoft IP-HTTPS Platform Interface” -Publish Yes

A continuación, reinicie el servicio administración de acceso remoto (RaMgmtSvc) mediante el siguiente comando de PowerShell:

Restart-Service RaMgmtSvc -PassThru

IP-HTTPS: error de certificado

En otras situaciones, el problema puede estar relacionado con el propio certificado. Esto sería cierto en esta instancia porque el certificado ha expirado:

IP-HTTPS: no funciona correctamente
Error:
El certificado IP-HTTPS no es válido.

Para resolver este problema, asegúrese de que el certificado no ha expirado. Si es así, renueve el certificado.

IP-HTTPS: error de anuncio de ruta

Dado que el mensaje de error está claro, compruebe si el anuncio de ruta está deshabilitado. Si es así, habilite.

IP-HTTPS: no funciona la propiedad
Error:
El anuncio de ruta está deshabilitado en el adaptador IP-HTTPS.

Causa

Este problema se produce porque el anuncio de ruta está deshabilitado en el adaptador IP-HTTPS. Esta característica es necesaria para que DirectAccess funcione según lo previsto.

Solución

Habilite el anuncio de ruta en ip-HTTPS adapter IPHTTPSInterface.

Para comprobar la información de las interfaces y su índice, ejecute el siguiente comando:

netsh int ipv6 show int

Consulte la línea Idx - 17 .

Idx      Met           MTU         State                 Name 
---   ----------   ----------   ------------   --------------------------- 
1        50        4294967295      connected   Loopback Pseudo-Interface 1 
1        45              1280      connected                  6TO4 Adapter 
15        5              1280      connected       isatap.{Interface Guid} 
16        5              1280      connected       isatap.{Interface Guid}
17       50              1280      connected              IPHTTPSInterface 
12        5              1500      connected                      Internal 
13        5              1500      connected                      External

El siguiente comando le mostrará la configuración del adaptador IPHTTPSInterface:

netsh int ipv6 show int "int inx for IPHTTPSInterface"

Consulte la segunda línea:

Interface IPHTTPSInterface  Parameters
Forwarding: disabled
Advertising: enabled
Neighbor Discovery: enabled
Neighbor Unreachability Detection: enabled
Router Discovery: enabled

Después de tener información sobre el índice, ejecute el siguiente comando para habilitar el reenvío:

netsh int ipv6 set int 17 forwarding=enabled

Si observa que la publicidad está deshabilitada, emita el siguiente comando para habilitar la publicidad:

netsh int ipv6 set int 17 forwarding=enabled

Error de IPSec

Para poder conectarse a recursos internos, el Asistente para acceso remoto configura dos túneles de seguridad de conexión a través de un GPO e implementados en los clientes da y los servidores DA.

Uno de los errores típicos es un certificado IP-HTTPS no válido instalado en el servidor de DirectAccess:

IPsec: No funciona correctamente
Error:
Ipsec no va a usar ningún certificado válido que se encadena al certificado raíz o intermedio configurado para que lo use Ipsec en la configuración de DirectAccess.

Causa

Este problema se produce porque el certificado no se instaló o no es válido.

Solución

Para corregir este error, asegúrese de que el certificado IP-HTTPS o el certificado de equipo en el cliente no ha expirado y cumple los siguientes criterios:

  • No debe expirarse.
  • Debe tener una clave privada.
  • Debe configurarse para usarse para la autenticación de cliente.
  • Debe encadenar al certificado raíz o intermedio configurado.