Risolvere i problemi relativi all'abilitazione di più siti
Questo articolo contiene informazioni sulla risoluzione dei problemi relativi al Enable-DAMultisite
cmdlet. Per verificare che l'errore ricevuto sia correlato all'abilitazione di più siti, controllare nel registro eventi di Windows l'ID evento 10051.
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Problemi di connettività utente
Gli utenti potrebbero riscontrare problemi di connettività quando si abilita multisito se la configurazione non è corretta.
Causa
In una distribuzione multisito, i computer client Windows 10 e Windows 8 possono eseguire il roaming tra punti di ingresso diversi. I computer client Windows 7 devono essere associati a un punto di ingresso specifico nella distribuzione multisito. Se i computer client non si trovano nel gruppo di sicurezza corretto, potrebbero ricevere impostazioni di Criteri di gruppo non corrette.
Soluzione
DirectAccess richiede almeno un gruppo di sicurezza per tutti i computer client Windows 10 e Windows 8. È consigliabile usare un gruppo di sicurezza per tutti i computer Windows 10 e Windows 8 per ogni dominio. DirectAccess richiede anche un gruppo di sicurezza per i computer client Windows 7 per ogni punto di ingresso. Ogni computer client deve essere incluso in un solo gruppo di sicurezza. È pertanto necessario assicurarsi che i gruppi di sicurezza per i client Windows 10 e Windows 8 contengano solo computer che eseguono Windows 10 o Windows 8 e che ogni computer client Windows 7 appartenga a un singolo gruppo di sicurezza dedicato per il punto di ingresso pertinente e che nessun Windows 10 o Windows 8 client appartengono ai gruppi di sicurezza di Windows 7.
Configurare i gruppi di sicurezza Windows 8 nella pagina Seleziona gruppi dell'Installazione guidata client DirectAccess. Configurare i gruppi di sicurezza di Windows 7 nella pagina Supporto client della procedura guidata Abilita distribuzione multisito o nella pagina Supporto client della procedura guidata Aggiungi punto di ingresso .
Autenticazione proxy Kerberos
Errore ricevuto
L'autenticazione proxy Kerberos non è supportata in una distribuzione multisito. È necessario abilitare l'uso dei certificati computer per l'autenticazione utente IPsec.
Causa
L'autenticazione del certificato computer deve essere abilitata prima di abilitare multisito.
Soluzione
Per abilitare l'autenticazione del certificato del computer:
- Nel riquadro dei dettagli della console di Gestione accesso remoto selezionare Modifica in Passaggio 2 Server di accesso remoto.
- Nella pagina Autenticazione dell'installazione guidata server di Accesso remoto selezionare la casella di controllo Usa certificati computer e selezionare l'autorità di certificazione radice o intermedia che rilascia i certificati nella distribuzione.
Per abilitare l'autenticazione del certificato del computer usando Windows PowerShell, usare il Set-DAServer
cmdlet e specificare il IPsecRootCertificate
parametro .
Certificati IP-HTTPS
Errore ricevuto
Il server DirectAccess usa un certificato IP-HTTPS autofirma. Configurare IP-HTTPS per l'uso di un certificato firmato da una CA nota.
Causa
Il certificato IP-HTTPS è autofirma. Non è possibile usare certificati autofirmati in una distribuzione multisito.
Soluzione
Per selezionare un certificato IP-HTTPS:
- Nel riquadro dei dettagli della console di Gestione accesso remoto selezionare Modifica in Passaggio 2 Server di accesso remoto.
- Nella pagina Schede di rete della configurazione guidata del server di accesso remoto, in Selezionare il certificato usato per autenticare le connessioni IP-HTTPS, verificare che la casella di controllo Usa un certificato autofirmato creato automaticamente da DirectAccess sia deselezionata e selezionare Sfoglia per selezionare un certificato emesso da una CA attendibile.
Server dei percorsi di rete
Problema 1
Errore ricevuto
DirectAccess è configurato per l'uso di un certificato autofirma per il server dei percorsi di rete. Configurare il server dei percorsi di rete per l'uso di un certificato firmato da una CA.
Causa
Il server dei percorsi di rete viene distribuito nel server di Accesso remoto e usa un certificato autofirma. Non è possibile usare certificati autofirmati in una distribuzione multisito.
Soluzione
Per selezionare un certificato del server dei percorsi di rete:
- Nel riquadro dei dettagli della console Gestione accesso remoto selezionare Modifica in Server di infrastruttura passaggio 3.
- Nella pagina Server dei percorsi di rete della configurazione guidata del server dell'infrastruttura, in Il server dei percorsi di rete viene distribuito nel server di Accesso remoto, verificare che la casella di controllo Usa un certificato autofirmato sia deselezionata e selezionare Sfoglia per selezionare un certificato emesso da una CA aziendale.
Problema 2
Errore ricevuto
Per distribuire un cluster con carico di rete bilanciato o una distribuzione multisito, ottenere un certificato per il server dei percorsi di rete con un nome soggetto diverso dal nome interno del server di Accesso remoto.
Causa
Il nome del soggetto del certificato usato per il sito Web del server dei percorsi di rete è lo stesso del nome interno del server di Accesso remoto. Ciò causerà problemi di risoluzione dei nomi.
Soluzione
Ottenere un certificato con un nome soggetto diverso dal nome interno del server di Accesso remoto.
Per configurare il server dei percorsi di rete:
- Nel riquadro dei dettagli della console Gestione accesso remoto selezionare Modifica in Server di infrastruttura passaggio 3.
- Nella pagina Server dei percorsi di rete della configurazione guidata del server di infrastruttura selezionare Sfoglia in Server dei percorsi di rete distribuito nel server di Accesso remoto per selezionare il certificato ottenuto in precedenza. Il certificato deve avere un nome soggetto diverso dal nome interno del server di Accesso remoto.
Computer client Windows 7
Avviso ricevuto
Quando si abilita multisito, i gruppi di sicurezza configurati per i client DirectAccess non devono contenere computer Windows 7. Per supportare i computer client Windows 7 in una distribuzione multisito, selezionare un gruppo di sicurezza contenente i client per ogni punto di ingresso.
Causa
Nella distribuzione DirectAccess esistente è stato abilitato il supporto client di Windows 7.
Soluzione
DirectAccess richiede almeno un gruppo di sicurezza per tutti i computer client Windows 8 e un gruppo di sicurezza per i computer client Windows 7 per ogni punto di ingresso. Ogni computer client deve essere incluso in un solo gruppo di sicurezza. Pertanto, è necessario assicurarsi che il gruppo di sicurezza per i client Windows 8 contenga solo i computer che eseguono Windows 8 e che ogni computer client Windows 7 appartenga a un singolo gruppo di sicurezza dedicato per il punto di ingresso pertinente e che nessun client Windows 8 appartenga ai gruppi di sicurezza di Windows 7.
Sito di Active Directory
Errore ricevuto
Il server <server_name> non è associato a un sito di Active Directory.
Causa
DirectAccess non è riuscito a determinare il sito di Active Directory. Nella console Siti e servizi di Active Directory è possibile configurare le diverse subnet per la rete e associare ogni subnet al sito di Active Directory pertinente. Questo errore può verificarsi se l'indirizzo IP del server di Accesso remoto non appartiene a nessuna delle subnet o se la subnet a cui appartiene l'indirizzo IP non è definita con un sito di Active Directory.
Soluzione
Verificare che questo sia il problema eseguendo il comando nltest /dsgetsite
nel server di Accesso remoto. Se questo è il problema, il comando restituirà ERROR_NO_SITENAME
. Per risolvere questo problema, nel controller di dominio verificare che esista una subnet che contiene l'indirizzo IP del server interno e che sia definita con un sito di Active Directory.
Salvataggio delle impostazioni dell'oggetto Criteri di gruppo del server
Errore ricevuto
Si è verificato un errore durante il salvataggio delle impostazioni di Accesso remoto nell'oggetto> Criteri <di gruppo GPO_name.
Causa
Le modifiche apportate all'oggetto Criteri di gruppo del server non possono essere salvate a causa di problemi di connettività o in caso di violazione della condivisione nel file registry.pol , ad esempio, il file è stato bloccato da un altro utente.
Soluzione
Assicurarsi che sia presente la connettività tra il server di Accesso remoto e il controller di dominio. Se è presente connettività, controllare nel controller di dominio se il file registry.pol è bloccato per un altro utente e, se necessario, terminare la sessione utente per sbloccare il file.
Errore interno
Errore ricevuto
Si è verificato un errore interno.
Causa
Ciò potrebbe essere causato da una configurazione imprevista della tabella del punto di ingresso nell'oggetto Criteri di gruppo del client. Ciò può verificarsi se l'amministratore usa i cmdlet client DirectAccess per modificare la tabella del punto di ingresso nell'oggetto Criteri di gruppo client.
Soluzione
Esaminare la configurazione della tabella del punto di ingresso in tutti gli oggetti Criteri di gruppo client e correggere eventuali incoerenze nella configurazione multisito tra le diverse istanze degli oggetti Criteri di gruppo client e la configurazione di DirectAccess. Usare il Get-DaEntryPointTableItem
cmdlet con il nome dell'oggetto Criteri di gruppo client per ottenere la tabella del punto di ingresso nel client. Usare il Get-NetIPHttpsConfiguration
cmdlet per ottenere tutti i profili IP-HTTPS per tutti i punti di ingresso.
Per altre informazioni, vedere Cmdlet client DirectAccess in Windows PowerShell.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per