Risolvere i problemi relativi all'aggiunta di punti di ingresso

Questo articolo contiene informazioni sulla risoluzione dei problemi relativi al Add-DAEntryPoint comando. Per verificare che l'errore ricevuto sia correlato all'aggiunta di un punto di ingresso, controllare nel registro eventi di Windows l'ID evento 10067.

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Parametro RemoteAccessServer mancante

Errore ricevuto

È necessario specificare un valore per il parametro RemoteAccessServer.

Causa

Quando si aggiunge un nuovo punto di ingresso a una distribuzione multisito, è necessario specificare il parametro RemoteAccessServer, ovvero il nome del server da aggiungere come nuovo punto di ingresso.

Soluzione

Eseguire il comando e assicurarsi di specificare il RemoteAccessServer parametro con il nome del server da aggiungere come punto di ingresso.

Accesso remoto non configurato

Errore ricevuto

Accesso remoto non è configurato in <server_name>. Specificare il nome di un server che appartiene a una distribuzione multisito.

Causa

Accesso remoto non è configurato nel computer specificato dal ComputerName parametro o nel computer in cui si esegue il comando.

Quando si aggiunge un nuovo punto di ingresso a una distribuzione multisito, è necessario specificare due parametri: ComputerName e RemoteAccessServer. ComputerName è il nome di un server che fa già parte della distribuzione multisito, è RemoteAccessServer il nome del server che si vuole aggiungere come nuovo punto di ingresso. Se si esegue da un computer che fa parte della distribuzione multisito, il ComputerName parametro non è obbligatorio.

Soluzione

Eseguire il comando e assicurarsi di specificare il ComputerName parametro con il nome del server già configurato come parte della distribuzione multisito oppure eseguire il comando da un computer che fa parte della distribuzione multisito.

Multisito non abilitato

Errore ricevuto

Prima di eseguire questa operazione, è necessario abilitare una distribuzione multisito. Usare il Enable-DAMultiSite cmdlet per eseguire questa operazione.

Causa

Multisito non è abilitato nel server specificato dal parametro ComputerName . Per aggiungere un nuovo punto di ingresso a una distribuzione di Accesso remoto, è prima necessario abilitare multisito.

Soluzione

Abilitare più siti usando il Enable-DaMultiSite cmdlet . Per altre informazioni, vedere Distribuire accesso remoto multisito.

Problemi relativi al prefisso IPv6

Problema 1

Errore ricevuto

IPv6 viene distribuito nella rete interna, ma non è stato specificato un prefisso IPv6 client.

Causa

IPv6 viene distribuito nella rete aziendale ed è necessario un prefisso IP-HTTPS. Tuttavia, non è stato specificato un prefisso nel ClientIPv6Prefix parametro per il nuovo punto di ingresso.

Soluzione

1. Assegnare un prefisso IP-HTTPS univoco al nuovo punto di ingresso e assicurarsi che i pacchetti destinati a un indirizzo IP con questo prefisso vengano indirizzati al server che si sta aggiungendo.
2. Eseguire il Add-DAEntryPoint cmdlet e specificare il prefisso IP-HTTPS nel ClientIPv6Prefix parametro .

Problema 2

Errore ricevuto

Il prefisso IPv6 client è già in uso da un altro punto di ingresso. Specificare un valore alternativo.

Causa

Il prefisso IP-HTTPS specificato nel ClientIPv6Prefix parametro è già usato da un punto di ingresso diverso

Soluzione

1. Assegnare un prefisso IP-HTTPS univoco al nuovo punto di ingresso e assicurarsi che i pacchetti destinati a un indirizzo IP con questo prefisso vengano indirizzati al server che si sta aggiungendo.
2. Eseguire il Add-DAEntryPoint cmdlet e specificare il prefisso IP-HTTPS nel ClientIPv6Prefix parametro .

Indirizzo ConnectTo

Errore ricevuto

L'indirizzo (<connect_to_address>) a cui si connettono i client DirectAccess nel server RemoteAccess corrisponde all'indirizzo del server dei percorsi di rete. Specificare un valore alternativo.

Causa

L'indirizzo ConnectTo e l'indirizzo del server del percorso di rete sono gli stessi.

Soluzione

L'indirizzo ConnectTo deve essere risolvibile tramite Internet per consentire ai computer client di connettersi tramite IP-HTTPS. L'indirizzo del server dei percorsi di rete deve essere risolvibile sulla rete aziendale, ma non deve essere risolvibile tramite Internet. Assicurarsi che il server dei percorsi di rete e gli indirizzi ConnectTo non siano uguali. Selezionare indirizzi diversi e riprovare.

DirectAccess o VPN già installati

Errore ricevuto

È stata rilevata un'installazione VPN nel server <server_name>. Specificare un server alternativo in cui non è installato Accesso remoto o rimuovere la configurazione VPN dal server.

Oppure

Accesso remoto è già installato nel server <server_name>. Specificare un server alternativo che non esegue DirectAccess o rimuovere la configurazione di DirectAccess esistente dal server.

Causa

DirectAccess o VPN è già configurato nel nuovo punto di ingresso. Non è possibile aggiungere un punto di ingresso configurato a una distribuzione multisito.

Soluzione

Per aggiungere un server a una distribuzione multisito, è necessario installare il ruolo Accesso remoto nel server, ma DirectAccess e VPN non devono essere configurati.

Eseguire il comando e assicurarsi che nel server specificato nel RemoteAccessServer parametro non sia configurato DirectAccess o VPN.

Certificato radice IPsec

Errore ricevuto. Il certificato radice IPsec configurato non può trovarsi nel server <server_name>.

Causa

Il certificato dell'autorità di certificazione radice o intermedia che emette certificati computer non è stato trovato nel server che si sta tentando di aggiungere alla distribuzione.

Soluzione

Nella console di Gestione accesso remoto, nel passaggio 2 Server di accesso remoto, fare clic su Modifica e nella pagina Autenticazione , in Usa certificati computer, verificare che il certificato selezionato sia valido. Se il certificato è valido, assicurarsi che si trovi nella CA radice attendibile nel server che si vuole aggiungere e riprovare.

Nota

Il certificato deve essere lo stesso certificato con la stessa identificazione personale.

Se il certificato non è valido, selezionare un certificato valido configurato come CA radice attendibile in tutti i server di Accesso remoto.

Combinazione di punti di ingresso IPv6 e IPv4

Quando DirectAccess viene installato per la prima volta, viene controllata la scheda di rete interna per determinare se la rete contiene solo indirizzi IPv4 (rete solo IPv4), indirizzi IPv6 e IPv4 o solo indirizzi IPv6 (solo rete IPv6). Le informazioni vengono usate per determinare il tipo di distribuzione (solo IPv4, solo IPv6+IPv4 o solo IPv6).

Problema 1

Avviso ricevuto

Il server di Accesso remoto aggiunto è configurato con gli indirizzi IPv4 e IPv6. Si tratta di una distribuzione solo IPv4 e Accesso remoto ignorerà gli indirizzi IPv6.

Causa

Quando questa distribuzione è stata installata per la prima volta, la rete interna è stata rilevata come rete solo IPv4. In una distribuzione multisito si presuppone che punti di ingresso diversi si trovino in subnet diverse con caratteristiche diverse. Pertanto, anche se la distribuzione è configurata come distribuzione solo IPv4, può contenere un punto di ingresso che si trova in una subnet IPv6+IPv4. Tuttavia, anche se il punto di ingresso verrà aggiunto alla distribuzione, DirectAccess ignorerà gli indirizzi IPv6 configurati nell'interfaccia interna del nuovo punto di ingresso.

Soluzione

Se l'intera rete interna è configurata con indirizzi IPv6 e IPv4, provare a passare a una distribuzione IPv6+IPv4 per trarre vantaggio dalle tecnologie IPv6. Vedere "Transizione da un IPv4 puro a una rete aziendale IPv6+IPv4" nel passaggio 3: Pianificare la distribuzione multisito.

Problema 2

Errore ricevuto

Le schede di rete interne dei server Di accesso remoto in questa distribuzione multisito sono configurate con indirizzi IPv4. Il punto di ingresso che si sta aggiungendo deve essere configurato anche con un indirizzo IPv4 nella scheda di rete interna.

Causa

Quando questa distribuzione è stata installata per la prima volta, la rete interna è stata rilevata come rete solo IPv4. Accesso remoto ha rilevato che il punto di ingresso che si sta tentando di aggiungere è configurato con solo indirizzi IPv6 nella rete interna. Questa operazione non è consentita in una distribuzione solo IPv4.

Soluzione

Se l'intera rete è già configurata con indirizzi IPv6, è consigliabile passare a una distribuzione solo IPv6+IPv4 o IPv6. Vedere "Pianificare la transizione a IPv6 quando viene distribuito Accesso remoto multisito".

Problema 3

Errore ricevuto

Questo punto di ingresso si trova in una rete IPv4, ma i punti di ingresso precedenti si trovano in una rete IPv6. Connettere questo punto di ingresso alla rete IPv6 prima di aggiungerlo alla stessa distribuzione multisito.

Causa

Quando questa distribuzione è stata installata per la prima volta, è stato rilevato che la rete interna è solo IPv6+IPv4 o IPv6. È stato rilevato che solo gli indirizzi IPv4 sono configurati nella rete interna nel nuovo punto di ingresso che si sta tentando di aggiungere. Questa operazione non è consentita nelle distribuzioni IPv6+IPv4 o solo IPv6.

Soluzione

Configurare il nuovo punto di ingresso con indirizzi IPv6 e quindi aggiungere il punto di ingresso alla distribuzione multisito.

Problema 4

Avviso ricevuto

La scheda di rete interna nel server di Accesso remoto non è configurata con un indirizzo IPv4. DNS64 e NAT64 non verranno configurati in questo server. I client DirectAccess possono accedere solo ai server interni IPv6.

Causa

Quando questa distribuzione è stata installata per la prima volta, è stato rilevato che la rete interna è IPv6+IPv4. In questa modalità di distribuzione, DNS64 e NAT64 sono abilitati per consentire ai computer client di accedere ai computer nella rete interna configurati con solo indirizzi IPv4.

Quando si aggiunge il nuovo punto di ingresso, Accesso remoto ha rilevato che l'interfaccia interna nel nuovo computer ha solo indirizzi IPv6. Per configurare DNS64 e NAT64, è necessario un indirizzo IPv4 per instradare i pacchetti dal server di accesso remoto al solo computer IPv4. Poiché nel nuovo computer non esiste alcun indirizzo IP di questo tipo, NAT64 e DNS64 non verranno configurati nel server di Accesso remoto. Pertanto, i computer client che accedono alla rete aziendale tramite DirectAccess usando questo punto di ingresso non potranno accedere solo ai server IPv4 nella rete interna. Per informazioni su come eseguire la transizione a una rete IPv6+IPv4 o a una rete solo IPv6, vedere "Pianificare la transizione a IPv6 quando viene distribuito Accesso remoto multisito".

Soluzione

Aggiungere un indirizzo IPv4 al nuovo server di accesso remoto per assicurarsi che DNS64 e NAT64 funzionino correttamente.

Problemi di dominio con ServerGpoName

Problema 1

Errore ricevuto

Il dominio specificato nel parametro <ServerGpoName server_GPO> non esiste. Specificare invece il dominio <domain_name> .

Causa

La parte del nome di dominio del nome dell'oggetto Criteri di gruppo del server inviata dall'amministratore non è stata trovata.

Soluzione

Assicurarsi di aver digitato correttamente il nome di dominio. Se il nome di dominio è digitato correttamente, riprovare usando il nome di dominio completo (FQDN).

Problema 2

Errore ricevuto

L'oggetto Criteri di gruppo del server deve trovarsi nel dominio del server di Accesso remoto. Specificare il domain_name> di dominio <nel parametro ServerGpoName.

Causa

Il dominio dell'oggetto Criteri di gruppo del server non è lo stesso di quello a cui appartiene il server di Accesso remoto.

Soluzione

L'oggetto Criteri di gruppo del server deve trovarsi nello stesso dominio del server di Accesso remoto. Usare il nome di dominio del server per l'oggetto Criteri di gruppo del server e riprovare.

Split-brain DNS

Avviso ricevuto

La voce NRPT per il suffisso <DNS DNS_suffix> contiene il nome pubblico usato dai computer client per connettersi al server di Accesso remoto. Aggiungere il nome <connect_to_address> come esenzione in NRPT.

Causa

Si usa il DNS split brain. Per consentire ai client di connettersi tramite IP-HTTPS, è necessario assicurarsi che l'indirizzo ConnectTo selezionato sia esente nelle regole NRPT.

Soluzione

Se si dispone di una distribuzione multisito, assicurarsi che tutte le connessioni agli indirizzi dei diversi punti di ingresso siano esenti dalle regole NRPT.

Per esentare un indirizzo nelle regole NRPT:

1. Nella console gestione accesso remoto, in Passaggio 3 Server dell'infrastruttura, selezionare Modifica.
2. Nella pagina DNS dell'installazione guidata del server di infrastruttura fare doppio clic sulla tabella per immettere un nuovo suffisso di nome.
3. Nella finestra di dialogo Indirizzi server DNS immettere l'indirizzo ConnectTo del punto di ingresso in Suffisso DNS e quindi selezionare Applica.

Quando si aggiungono suffissi di nome senza specificare un indirizzo del server, il suffisso viene considerato come un'esenzione NRPT.

Salvataggio delle impostazioni dell'oggetto Criteri di gruppo del server

Errore ricevuto

Si è verificato un errore durante il salvataggio delle impostazioni di Accesso remoto nell'oggetto> Criteri <di gruppo GPO_name.

Per risolvere questo errore, vedere Salvataggio delle impostazioni dell'oggetto Criteri di gruppo del server in Risoluzione dei problemi relativi all'abilitazione di più siti.

Non è possibile applicare gli aggiornamenti dell'oggetto Criteri di gruppo

Avviso ricevuto

Gli aggiornamenti degli oggetti Criteri di gruppo non possono essere applicati in <server_name>. Le modifiche non saranno effettive fino al successivo aggiornamento dei criteri.

Causa

Si è verificato un errore durante il tentativo di aggiornare i criteri nel computer specificato. Pertanto, le modifiche apportate non saranno effettive fino al successivo aggiornamento dei criteri.

Soluzione

Per forzare un aggiornamento dei criteri, eseguire gpupdate /force nel computer specificato.