Résoudre les problèmes liés à DirectAccess

  • Article

Essayez notre agent virtuel : il peut vous aider à identifier et à résoudre rapidement les problèmes courants de DirectAccess.

Cet article fournit des informations sur la résolution des problèmes liés aux déploiements DirectAccess.

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Suivez ces étapes pour résoudre les problèmes d’accès à distance (DirectAccess).

Problème Résolution
Accès à distance console de gestion n’est pas en mesure d’afficher la configuration DirectAccess Pour restaurer les informations de configuration manquantes :
- Si vous résolvez les problèmes d’un déploiement multisite, vérifiez que le contrôleur de domaine le plus proche du point d’entrée est disponible.
- Utilisez l’applet de Get-DAEntrypointDC commande pour récupérer le nom du contrôleur de domaine le plus proche du point d’entrée. Si le contrôleur de domaine n’est pas en cours d’exécution, utilisez l’applet Set-DAEntryPointDC de commande pour pointer vers un autre contrôleur de domaine.
- Exécutez gpresult à partir d’une invite de commandes avec élévation de privilèges sur le serveur pour vous assurer que le serveur obtient les objets stratégie de groupe DirectAccess.
- Activer la journalisation de l’interface utilisateur.
- Utilisez la commande suivante pour démarrer Windows PowerShell journalisation :logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets
logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets
<repro-> Fermez et rouvrez l’interface utilisateur.
- Désactiver la journalisation Windows PowerShell. Collectez les fichiers journaux de suivi des événements. Collectez également tous les journaux à partir du dossier %windir%\tracing .
L’application de la configuration DirectAccess échoue Pour actualiser la configuration DirectAccess :
- Si vous résolvez les problèmes d’un déploiement multisite, vérifiez que le contrôleur de domaine le plus proche du point d’entrée est disponible.
- Utilisez l’applet de Get-DAEntrypointDC commande pour récupérer le nom du contrôleur de domaine le plus proche du point d’entrée. Si le contrôleur de domaine n’est pas en cours d’exécution, utilisez l’applet Set-DAEntryPointDC de commande pour pointer vers un autre contrôleur de domaine.
- Utilisez la commande suivante pour démarrer Windows PowerShell journalisation :
logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets
logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets
<Repro>
- Sélectionnez Appliquer.
- Après l’échec, désactivez Windows PowerShell journalisation et collectez le journal de suivi des événements.
DirectAccess est configuré, mais les clients ne peuvent pas se connecter aux ressources internes Pour résoudre les problèmes de connexion client :
- Sélectionnez l’onglet État des opérations dans la console Gestion de l’accès à distance et vérifiez que tous les composants affichent une icône verte. Si ce n’est pas le cas, case activée les détails de l’erreur et suivez les étapes de résolution.
- Exécutez l’analyseur des meilleures pratiques du serveur d’accès à distance (BPA). S’il existe des avertissements ou des erreurs, suivez les étapes de résolution pour résoudre le problème.
Problèmes liés à une configuration multisite (par exemple, activation d’un multisite, ajout de points d’entrée ou définition du contrôleur de domaine pour un point d’entrée) Suivez les étapes décrites dans Résoudre les problèmes d’un déploiement multisite.
La vignette status de configuration sur le tableau de bord affiche un avertissement ou une erreur Suivez les étapes décrites dans Surveiller la distribution de configuration status du serveur d’accès à distance.
Problèmes liés à la configuration de l’équilibrage de charge (par exemple, la configuration échoue lorsque vous activez l’équilibrage de charge, ou lorsque vous ajoutez ou supprimez des serveurs d’un cluster) Si vous activiez l’équilibrage de charge ou ajoutiez un nœud et que la configuration a été actualisée lorsque vous avez sélectionné Appliquer, mais que le cluster ne s’est pas correctement créé sur le serveur, exécutez la commande suivante : cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v DebugFlag /t REG_DWORD /d ""0xffffffff"" " pour collecter les journaux d’interface utilisateur sur le nouveau serveur.
Opérations status affiche une erreur ou un avertissement après les étapes suivantes pour corriger la situation Si les opérations status affichent des informations incorrectes (telles que des erreurs, même après les corrections) :

- Activez la clé cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v EnableTracing /t REG_DWORD /d ""5"" "de Registre .
- Actualisez les opérations status et collectez les journaux à partir de %windir%\tracing.
Windows 8 et les ordinateurs clients DirectAccess ultérieurs signalent « Pas d’Internet » comme status pour la connexion DirectAccess, et l’indicateur d’état de connectivité réseau (NCSI) signale une connectivité limitée. Cela peut se produire lorsque le tunneling forcé est activé dans la configuration DirectAccess et que, pour cette raison, seul IPHTTPS est utilisé. Pour résoudre ce problème, vous pouvez créer et configurer un serveur proxy. NCSI utilise ensuite le serveur proxy pour effectuer des vérifications de connectivité Internet. Il est recommandé d’ajouter un proxy statique à la table de stratégie de résolution de noms (NRPT) à l’aide de la procédure suivante.

Avant d’exécuter les commandes de cette procédure, veillez à remplacer tous les noms de domaine, noms d’ordinateurs et autres variables de commande Windows PowerShell par des valeurs appropriées pour votre déploiement.

Configurez un proxy statique pour une règle NRPT :
1. Affichez le message « ». Règle NRPT : Get-DnsClientNrptRule -GpoName "corp.example.com\DirectAccess Client Settings" -Server <DomainControllerNetBIOSName>
2. Notez le nom (GUID) du « ». Règle NRPT. Le nom (GUID) doit commencer par DA-{..}
3. Définissez le proxy pour le « ». Règle NRPT pour proxy.corp.example.com:8080: Set-DnsClientNrptRule -Name "DA-{..}" -Server <DomainControllerNetBIOSName> -GPOName "corp.example.com\DirectAccess Client Settings" -DAProxyServerName "proxy.corp.example.com:8080" -DAProxyType "UseProxyName"
4. Affichez le message « ». Règle NRPT à nouveau en exécutant Get-DnsClientNrptRuleet en vérifiant que ProxyFQDN:port est maintenant correctement configuré.
5. Actualisez stratégie de groupe en exécutant gpupdate /force sur un client DirectAccess lorsque le client est connecté en interne, puis affichez le NRPT à l’aide Get-DnsClientNrptPolicy de et vérifiez que la règle « . » affiche ProxyFQDN:port.