Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo contiene informazioni sulla risoluzione dei problemi relativi al Enable-DAMultisite cmdlet. Per verificare che l'errore ricevuto sia correlato all'abilitazione del multisito, controllare nel registro eventi di Windows l'ID evento 10051.
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Problemi di connettività degli utenti
Gli utenti potrebbero riscontrare problemi di connettività quando si abilita multisito se la configurazione non è corretta.
Causa
In una distribuzione multisito i computer client Windows 10 e Windows 8 sono in grado di effettuare il roaming tra diversi punti di ingresso. Nella distribuzione multisito i computer client Windows 7 devono essere associati a uno specifico punto di ingresso. Se i computer client non si trovano nel gruppo di sicurezza corretto, potrebbero ricevere le impostazioni di Criteri di gruppo errate.
Soluzione
DirectAccess richiede almeno un gruppo di sicurezza per tutti i computer client Windows 10 e Windows 8. Si consiglia di usare un unico gruppo di sicurezza per tutti i computer Windows 10 e Windows 8 di un dominio. DirectAccess richiede inoltre un gruppo di sicurezza per i computer client Windows 7 relativi a ciascun punto di ingresso. Ogni computer client deve essere incluso in un solo gruppo di sicurezza. Quindi, si consiglia di verificare che i gruppi di sicurezza dei client Windows 10 e Windows 8 contengano solo computer che eseguono questi sistemi operativi. Si consiglia inoltre di controllare che ogni computer client Windows 7 appartenga a un singolo gruppo di sicurezza dedicato per il punto di ingresso pertinente e che nessun client Windows 10 e Windows 8 appartenga a gruppi di sicurezza Windows 7.
Configurare i gruppi di sicurezza Windows 8 nella pagina Seleziona gruppi della procedura guidata Configurazione client DirectAccess. Configurare i gruppi di sicurezza Windows 7 nella pagina Supporto client della procedura guidata Abilita distribuzione multisito oppure nella pagina Supporto client della procedura guidata Aggiungi punto di ingresso.
Autenticazione proxy Kerberos
Errore ricevuto
Autenticazione proxy Kerberos non supportata in una distribuzione multisito. È necessario abilitare l'uso dei certificati computer per l'autenticazione server IPsec.
Causa
Prima di abilitare la distribuzione multisito è necessario abilitare l'autenticazione del certificato del computer.
Soluzione
Per abilitare l'autenticazione del certificato del computer
- Nel riquadro dei dettagli della console gestione accesso remoto, in Passaggio 2 Server di accesso remoto selezionare Modifica.
- Nella pagina Autenticazione della configurazione guidata del server di Accesso remoto selezionare la casella di controllo Usa certificati computer e selezionare l'autorità di certificazione radice o intermedia che rilascia i certificati nella distribuzione.
Per abilitare l'autenticazione del certificato computer tramite Windows PowerShell, usare il Set-DAServer cmdlet e specificare il IPsecRootCertificate parametro .
Certificati IP-HTTPS
Errore ricevuto
Il server DirectAccess utilizza un certificato IP-HTTPS autofirmato. Configurare IP-HTTPS per l'utilizzo di un certificato firmato proveniente da un'autorità di certificazione nota.
Causa
Il certificato IP-HTTPS è autofirmato. In una distribuzione multisito non è possibile utilizzare certificati autofirmati.
Soluzione
Per selezionare un certificato IP-HTTPS:
- Nel riquadro dei dettagli della console gestione accesso remoto, in Passaggio 2 Server di accesso remoto selezionare Modifica.
- Nella pagina Schede di rete della configurazione guidata del server di accesso remoto selezionare il certificato usato per autenticare le connessioni IP-HTTPS, assicurarsi che la casella di controllo Usa un certificato autofirmato creato automaticamente da DirectAccess sia deselezionata e selezionare Sfoglia per selezionare un certificato emesso da una CA attendibile.
Server dei percorsi di rete
Problema 1
Errore ricevuto
DirectAccess è configurato per l'utilizzo di un certificato autofirmato per il server dei percorsi di rete. Configurare il server dei percorsi di rete per l'utilizzo di un certificato firmato rilasciato da una CA.
Causa
Il server dei percorsi di rete è distribuito nel server di Accesso remoto e utilizza un certificato autofirmato. In una distribuzione multisito non è possibile utilizzare certificati autofirmati.
Soluzione
Per selezionare un certificato del server dei percorsi di rete:
- Nel riquadro dei dettagli della console gestione accesso remoto, in Passaggio 3 Server di infrastruttura selezionare Modifica.
- Nell'Installazione guidata server infrastruttura, nella pagina Server dei percorsi di rete, in Server dei percorsi di rete viene distribuito nel server di Accesso remoto verificare che la casella di controllo Usa un certificato autofirmato sia deselezionata e selezionare Sfoglia per selezionare un certificato rilasciato da una CA aziendale.
Problema 2
Errore ricevuto
Per implementare un cluster con bilanciamento del carico di rete o una distribuzione multisito, ottenere un certificato per il server dei percorsi di rete con un nome di soggetto diverso dal nome interno del server di accesso remoto.
Causa
Il nome del soggetto del certificato usato per il sito Web del server dei percorsi di rete è identico al nome interno del server di Accesso remoto. Ciò provocherà problemi di risoluzione dei nomi.
Soluzione
Ottenere un certificato con un nome soggetto diverso dal nome interno del server di Accesso remoto.
Per configurare il server dei percorsi di rete
- Nel riquadro dei dettagli della console gestione accesso remoto, in Passaggio 3 Server di infrastruttura selezionare Modifica.
- Nell'Installazione guidata server infrastruttura, nella pagina Server dei percorsi di rete, in Server dei percorsi di rete viene distribuito nel server di Accesso remoto selezionare Sfoglia per selezionare il certificato ottenuto in precedenza. Il certificato deve avere un nome soggetto diverso dal nome interno del server di Accesso remoto.
Computer client Windows 7
Avviso ricevuto
Quando si abilita la distribuzione multisito, i gruppi di sicurezza configurati per i client DirectAccess non devono contenere computer Windows 7. Per supportare computer client Windows 7 in una distribuzione multisito, selezionare un gruppo di sicurezza contenente i client per ogni punto di ingresso.
Causa
Nella distribuzione DirectAccess esistente è stato abilitato il supporto dei client Windows 7.
Soluzione
DirectAccess richiede almeno un gruppo di sicurezza per tutti i computer client Windows 8 e un gruppo di sicurezza per i computer client Windows 7 per ogni punto di ingresso. Ogni computer client deve essere incluso in un solo gruppo di sicurezza. Quindi, si consiglia di verificare che i gruppi di sicurezza dei client Windows 8 contengano solo computer che eseguono questo sistema operativo. Si consiglia inoltre di controllare che ogni computer client Windows 7 appartenga a un singolo gruppo di sicurezza dedicato per il punto di ingresso pertinente e che nessun client Windows 8 appartenga a gruppi di sicurezza Windows 7.
Sito Active Directory
Errore ricevuto
Il server <server_name> non è associato a un sito Active Directory.
Causa
DirectAccess non è in grado di determinare il sito Active Directory. Nella console Siti e servizi di Active Directory è possibile configurare diverse subnet di rete e associare ognuna di esse al sito Active Directory pertinente. Questo errore può verificarsi se l'indirizzo IP del server di Accesso remoto non appartiene ad alcuna subnet o se la subnet a cui appartiene l'indirizzo IP non è definita con un sito di Active Directory.
Soluzione
Verificare che sia questo il problema eseguendo il comando nltest /dsgetsite nel server di Accesso remoto. Se si tratta del problema, il comando restituirà ERROR_NO_SITENAME. Per risolvere questo problema, verificare che nel controller del dominio sia presente una subnet contenente l'indirizzo IP del server interno e che tale subnet sia definita con un sito Active Directory.
Salvataggio delle impostazioni dell'oggetto Criteri di gruppo server
Errore ricevuto
Errore durante il salvataggio delle impostazioni di Accesso remoto nell'oggetto Criteri di gruppo <GPO_name>.
Causa
Impossibile salvare le modifiche apportate all'oggetto Criteri di gruppo del server a causa di problemi di connettività o se si verifica una violazione di condivisione nel file registry.pol , ad esempio, un altro utente ha bloccato il file.
Soluzione
Verificare che vi sia connettività tra il server di Accesso remoto e il controller di dominio. Se è presente la connettività, controllare sul controller di dominio se il file registry.pol è bloccato a un altro utente e, se necessario, terminare la sessione utente per sbloccare il file.
Errore interno
Errore ricevuto
Si è verificato un errore interno.
Causa
Ciò potrebbe essere causato da una configurazione imprevista della tabella dei punti di ingresso nell'oggetto Criteri di gruppo client. Ciò può verificarsi quando l'amministratore usa i cmdlet del client DirectAccess per modificare la tabella dei punti di ingresso nell'oggetto Criteri di gruppo del client.
Soluzione
Rivedere la configurazione della tabella dei punti di ingresso in tutti gli oggetti Criteri di gruppo del client e correggere eventuali incoerenze nella configurazione multisito tra le differenti istanze degli oggetti Criteri di gruppo del client e la configurazione di DirectAccess. Utilizzare il cmdlet Get-DaEntryPointTableItem con il nome dell'oggetto Criteri di gruppo del client per acquisire la tabella dei punti di ingresso sul client. Utilizzare il cmdlet Get-NetIPHttpsConfiguration per ottenere tutti i profili IP-HTTPS per tutti i punti di ingresso.
Per altre informazioni, vedere Cmdlet client DirectAccess in Windows PowerShell.