Résoudre les problèmes liés à l’ajout de points d’entrée
Cet article contient des informations de résolution des problèmes liés à la Add-DAEntryPoint commande. Pour confirmer que l’erreur que vous avez reçue est liée à l’ajout d’un point d’entrée, case activée dans le journal des événements Windows pour l’ID d’événement 10067.
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Paramètre RemoteAccessServer manquant
Erreur reçue
Vous devez fournir une valeur pour le paramètre RemoteAccessServer.
Cause
Lors de l’ajout d’un nouveau point d’entrée à un déploiement multisite, vous devez spécifier le paramètre RemoteAccessServer, qui est le nom du serveur que vous souhaitez ajouter en tant que nouveau point d’entrée.
Solution
Exécutez la commande et veillez à spécifier le RemoteAccessServer paramètre avec le nom du serveur à ajouter comme point d’entrée.
L’accès à distance n’est pas configuré
Erreur reçue
L’accès à distance n’est pas configuré sur <server_name>. Spécifiez le nom d’un serveur qui appartient à un déploiement multisite.
Cause
L’accès à distance n’est pas configuré sur l’ordinateur spécifié par le ComputerName paramètre, ni sur l’ordinateur sur lequel vous exécutez la commande.
Lorsque vous ajoutez un nouveau point d’entrée à un déploiement multisite, vous devez spécifier deux paramètres : ComputerName et RemoteAccessServer. est ComputerName le nom d’un serveur qui fait déjà partie du déploiement multisite, le RemoteAccessServer est le nom du serveur que vous souhaitez ajouter en tant que nouveau point d’entrée. Si vous exécutez à partir d’un ordinateur qui fait partie du déploiement multisite, le ComputerName paramètre n’est pas obligatoire.
Solution
Exécutez la commande et veillez à spécifier le ComputerName paramètre avec le nom du serveur qui est déjà configuré dans le cadre du déploiement multisite, ou exécutez la commande à partir d’un ordinateur qui fait partie du déploiement multisite.
Multisite non activé
Erreur reçue
Vous devez activer un déploiement multisite avant d’effectuer cette opération. Pour ce faire, utilisez l’applet Enable-DAMultiSite de commande .
Cause
Le multisite n’est pas activé sur le serveur spécifié par le paramètre ComputerName . Pour ajouter un nouveau point d’entrée à un déploiement d’accès à distance, vous devez d’abord activer le multisite.
Solution
Activez multisite à l’aide de l’applet de Enable-DaMultiSite commande . Pour plus d’informations, consultez Déployer l’accès à distance multisite.
Problèmes de préfixe IPv6
Problème 1
Erreur reçue
IPv6 est déployé dans le réseau interne, mais vous n’avez pas spécifié de préfixe IPv6 client.
Cause
IPv6 est déployé sur le réseau d’entreprise et un préfixe IP-HTTPS est requis. Toutefois, aucun préfixe n’a été spécifié dans le ClientIPv6Prefix paramètre pour le nouveau point d’entrée.
Solution
- Affectez un préfixe IP-HTTPS unique au nouveau point d’entrée et assurez-vous que les paquets ciblés sur une adresse IP sous ce préfixe seront routés vers le serveur que vous ajoutez.
- Exécutez l’applet
Add-DAEntryPointde commande et spécifiez le préfixe IP-HTTPS dans leClientIPv6Prefixparamètre .
Problème 2
Erreur reçue
Le préfixe IPv6 client est déjà utilisé par un autre point d’entrée. Spécifiez une autre valeur.
Cause
Le préfixe IP-HTTPS spécifié dans le ClientIPv6Prefix paramètre est déjà utilisé par un autre point d’entrée
Solution
- Affectez un préfixe IP-HTTPS unique au nouveau point d’entrée et assurez-vous que les paquets ciblés sur une adresse IP sous ce préfixe seront routés vers le serveur que vous ajoutez.
- Exécutez l’applet
Add-DAEntryPointde commande et spécifiez le préfixe IP-HTTPS dans leClientIPv6Prefixparamètre .
Adresse ConnectTo
Erreur reçue
L’adresse (<connect_to_address>) à laquelle les clients DirectAccess se connectent sur le serveur RemoteAccess est identique à l’adresse du serveur d’emplacement réseau. Spécifiez une autre valeur.
Cause
L’adresse ConnectTo et l’adresse du serveur emplacement réseau sont identiques.
Solution
L’adresse ConnectTo doit pouvoir être résolue sur Internet pour permettre aux ordinateurs clients de se connecter via IP-HTTPS. L’adresse du serveur emplacement réseau doit pouvoir être résolue sur le réseau d’entreprise, mais pas sur Internet. Assurez-vous que le serveur d’emplacement réseau et les adresses ConnectTo ne sont pas identiques. Sélectionnez différentes adresses, puis réessayez.
DirectAccess ou VPN déjà installé
Erreur reçue
Une installation VPN a été détectée sur le serveur <server_name>. Spécifiez un autre serveur sur lequel l’accès à distance n’est pas installé, ou supprimez la configuration VPN du serveur.
Ou
L’accès à distance est déjà installé sur le serveur <server_name>. Spécifiez un autre serveur qui n’exécute pas DirectAccess ou supprimez la configuration DirectAccess existante du serveur.
Cause
DirectAccess ou VPN est déjà configuré sur le nouveau point d’entrée. Vous ne pouvez pas ajouter un point d’entrée configuré à un déploiement multisite.
Solution
Pour ajouter un serveur à un déploiement multisite, vous devez installer le rôle Accès à distance sur le serveur, mais DirectAccess et VPN ne doivent pas être configurés.
Exécutez la commande et vérifiez que directAccess ou VPN n’est pas configuré sur le serveur que vous spécifiez dans le RemoteAccessServer paramètre .
Certificat racine IPsec
Erreur reçue. Le certificat racine IPsec configuré ne peut pas se trouver sur le serveur <server_name>.
Cause
Le certificat de l’autorité de certification racine ou intermédiaire qui émet des certificats d’ordinateur est introuvable sur le serveur que vous essayez d’ajouter au déploiement.
Solution
Dans la console Gestion de l’accès à distance, à l’étape 2 Serveur d’accès à distance, cliquez sur Modifier. Dans la page Authentification , sous Utiliser des certificats d’ordinateur, vérifiez que le certificat sélectionné est valide. Si le certificat est valide, assurez-vous qu’il se trouve sous l’autorité de certification racine approuvée sur le serveur que vous souhaitez ajouter, puis réessayez.
Remarque
Le certificat doit être le même certificat avec la même empreinte numérique.
Si le certificat n’est pas valide, sélectionnez un certificat valide configuré en tant qu’autorité de certification racine approuvée sur tous les serveurs d’accès à distance.
Combinaison de points d’entrée IPv6 et IPv4
Lorsque DirectAccess est installé pour la première fois, la carte réseau interne est inspectée pour déterminer si le réseau contient uniquement des adresses IPv4 (réseau IPv4 uniquement), des adresses IPv6 et IPv4 ou des adresses IPv6 uniquement (réseau IPv6 uniquement). Les informations sont utilisées pour déterminer le type de déploiement (IPv4 uniquement, IPv6+IPv4 ou IPv6 uniquement).
Problème 1
Avertissement reçu
Le serveur d’accès à distance ajouté est configuré avec les adresses IPv4 et IPv6. Il s’agit d’un déploiement IPv4 uniquement, et l’accès à distance ignore les adresses IPv6.
Cause
Lorsque ce déploiement a été installé pour la première fois, le réseau interne a été détecté en tant que réseau IPv4 uniquement. Dans un déploiement multisite, différents points d’entrée sont supposés se trouver dans différents sous-réseaux avec des caractéristiques différentes. Par conséquent, bien que le déploiement soit configuré en tant que déploiement IPv4 uniquement, il peut contenir un point d’entrée situé dans un sous-réseau IPv6+IPv4. Toutefois, bien que le point d’entrée soit ajouté au déploiement, DirectAccess ignore les adresses IPv6 configurées sur l’interface interne du nouveau point d’entrée.
Solution
Si l’ensemble du réseau interne est configuré avec des adresses IPv6 et IPv4, envisagez de passer à un déploiement IPv6+IPv4 pour tirer parti des technologies IPv6. Consultez « Transition d’un réseau d’entreprise IPv4 pur vers un réseau d’entreprise IPv6+IPv4 » dans Étape 3 : Planifier le déploiement multisite.
Problème 2
Erreur reçue
Les cartes réseau internes des serveurs Remote Accces dans ce déploiement multisite sont configurées avec des adresses IPv4. Le point d’entrée que vous ajoutez doit également être configuré avec une adresse IPv4 sur la carte réseau interne.
Cause
Lorsque ce déploiement a été installé pour la première fois, le réseau interne a été détecté en tant que réseau IPv4 uniquement. L’accès à distance a détecté que le point d’entrée que vous essayez d’ajouter est configuré avec uniquement des adresses IPv6 sur son réseau interne. Cela n’est pas autorisé dans un déploiement IPv4 uniquement.
Solution
Si l’ensemble du réseau est déjà configuré avec des adresses IPv6, vous devez passer à un déploiement IPv6+IPv4 ou IPv6 uniquement. Consultez « Planifier la transition vers IPv6 lorsque l’accès à distance multisite est déployé ».
Problème 3
Erreur reçue
Ce point d’entrée se trouve dans un réseau IPv4, mais les points d’entrée précédents se trouvent dans un réseau IPv6. Connectez ce point d’entrée au réseau IPv6 avant de l’ajouter au même déploiement multisite.
Cause
Lorsque ce déploiement a été installé pour la première fois, il a été détecté que le réseau interne était IPv6+IPv4 ou IPv6 uniquement. Il a été détecté que seules les adresses IPv4 sont configurées sur le réseau interne sur le nouveau point d’entrée que vous essayez d’ajouter. Cela n’est pas autorisé dans les déploiements IPv6+IPv4 ou IPv6 uniquement.
Solution
Configurez le nouveau point d’entrée avec des adresses IPv6, puis ajoutez le point d’entrée au déploiement multisite.
Problème 4
Avertissement reçu
La carte réseau interne sur le serveur d’accès à distance n’est pas configurée avec une adresse IPv4. DNS64 et NAT64 ne seront pas configurés sur ce serveur. Les clients DirectAccess peuvent accéder uniquement aux serveurs internes IPv6.
Cause
Lorsque ce déploiement a été installé pour la première fois, il a été détecté que le réseau interne est IPv6+IPv4. Dans ce mode de déploiement, DNS64 et NAT64 sont activés pour permettre aux ordinateurs clients d’accéder aux ordinateurs du réseau interne qui sont configurés avec uniquement des adresses IPv4.
Lors de l’ajout du nouveau point d’entrée, l’accès à distance a détecté que l’interface interne sur le nouvel ordinateur n’a que des adresses IPv6. Pour configurer DNS64 et NAT64, une adresse IPv4 est nécessaire pour acheminer les paquets du serveur d’accès à distance vers l’ordinateur IPv4 uniquement. Étant donné qu’il n’existe aucune adresse IP de ce type sur le nouvel ordinateur, NAT64 et DNS64 ne sont pas configurés sur le serveur d’accès à distance. Par conséquent, les ordinateurs clients qui accèdent au réseau d’entreprise via DirectAccess à l’aide de ce point d’entrée ne pourront pas accéder uniquement aux serveurs IPv4 sur le réseau interne. Pour plus d’informations sur la transition vers un réseau IPv6+IPv4 ou un réseau IPv6 uniquement, consultez « Planifier la transition vers IPv6 lors du déploiement de l’accès à distance multisite ».
Solution
Ajoutez une adresse IPv4 au nouveau serveur d’accès à distance pour vous assurer que DNS64 et NAT64 fonctionnent correctement.
Problèmes de domaine avec ServerGpoName
Problème 1
Erreur reçue
Le domaine spécifié dans le paramètre <ServerGpoName server_GPO> n’existe pas. Spécifiez plutôt le <domaine domain_name> .
Cause
La partie nom de domaine du nom de l’objet de stratégie de groupe de serveur envoyée par l’administrateur est introuvable.
Solution
Assurez-vous que vous avez correctement tapé le nom de domaine. Si le nom de domaine est correctement orthographié, réessayez en utilisant le nom de domaine complet (FQDN).
Problème 2
Erreur reçue
L’objet de stratégie de groupe de serveur doit se trouver dans le domaine du serveur d’accès à distance. Spécifiez le domaine <domain_name> dans le paramètre ServerGpoName.
Cause
Le domaine de l’objet de stratégie de groupe de serveur n’est pas le même que celui auquel appartient le serveur d’accès à distance.
Solution
L’objet de stratégie de groupe de serveur doit se trouver dans le même domaine que le serveur d’accès à distance. Utilisez le nom de domaine du serveur pour l’objet de stratégie de groupe du serveur, puis réessayez.
DNS à cerveau fractionné
Avertissement reçu
L’entrée NRPT pour le suffixe <DNS DNS_suffix> contient le nom public utilisé par les ordinateurs clients pour se connecter au serveur d’accès à distance. Ajoutez le nom <connect_to_address> en tant qu’exemption dans le NRPT.
Cause
Vous utilisez le DNS du cerveau fractionné. Pour permettre aux clients de se connecter à l’aide d’IP-HTTPS, vous devez vous assurer que l’adresse Se connecter à sélectionnée est exemptée dans les règles NRPT.
Solution
Si vous disposez d’un déploiement multisite, assurez-vous que toutes les adresses des différents points d’entrée sont exemptées des règles NRPT.
Pour exempter une adresse dans les règles NRPT :
- Dans la console gestion de l’accès à distance, sous Étape 3 Serveurs d’infrastructure, sélectionnez Modifier.
- Dans l’Assistant Installation du serveur d’infrastructure , dans la page DNS , double-cliquez sur la table pour entrer un nouveau suffixe de nom.
- Dans la boîte de dialogue Adresses du serveur DNS , dans suffixe DNS, entrez l’adresse ConnectTo du point d’entrée, puis sélectionnez Appliquer.
Lorsque vous ajoutez des suffixes de nom sans spécifier d’adresse de serveur, le suffixe est traité comme une exemption NRPT.
Enregistrement des paramètres d’objet de stratégie de groupe de serveur
Erreur reçue
Une erreur s’est produite lors de l’enregistrement des paramètres d’accès à distance dans <GPO_name d’objet de stratégie de groupe>.
Pour résoudre cette erreur, consultez Enregistrement des paramètres d’objet de stratégie de groupe de serveur dans Résolution des problèmes d’activation multisite.
Les mises à jour des objets de stratégie de groupe ne peuvent pas être appliquées
Avertissement reçu
Les mises à jour des objets de stratégie de groupe ne peuvent pas être appliquées> sur <server_name. Les modifications ne prendront effet qu’à la prochaine actualisation de la stratégie.
Cause
Une erreur s’est produite lors de la tentative d’actualisation des stratégies sur l’ordinateur spécifié. Par conséquent, les modifications apportées ne prendront effet qu’à la prochaine actualisation de la stratégie.
Solution
Pour forcer l’actualisation d’une stratégie, exécutez gpupdate /force sur l’ordinateur spécifié.