다음을 통해 공유

DirectAccess 문제 해결

  • 아티클

가상 에이전트 사용해 보기 - 일반적인 DirectAccess 문제를 신속하게 식별하고 해결하는 데 도움이 될 수 있습니다.

이 문서에서는 DirectAccess 배포 문제 해결에 대한 정보를 제공합니다.

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

다음 단계에 따라 원격 액세스(DirectAccess) 문제를 해결합니다.

문제 해결 방법
원격 액세스 관리 콘솔 DirectAccess 구성을 표시할 수 없습니다. 누락된 구성 정보를 복원하려면 다음을 수행합니다.
- 다중 사이트 배포 문제를 해결하는 경우 진입점에 가장 가까운 도메인 컨트롤러를 사용할 수 있는지 확인합니다.
- cmdlet을 Get-DAEntrypointDC 사용하여 진입점에 가장 가까운 도메인 컨트롤러의 이름을 검색합니다. 도메인 컨트롤러가 실행되고 있지 않으면 cmdlet을 Set-DAEntryPointDC 사용하여 다른 도메인 컨트롤러를 가리킵니다.
- 서버의 관리자 권한 명령 프롬프트에서 를 실행 gpresult 하여 서버가 DirectAccess 그룹 정책 개체를 가져오는지 확인합니다.
- UI(사용자 인터페이스) 로깅을 사용하도록 설정합니다.
- 다음 명령을 사용하여 Windows PowerShell 로깅을 시작합니다.logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets
logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets
<repro>- 사용자 인터페이스를 닫고 다시 엽니다.
- Windows PowerShell 로깅을 사용하지 않도록 설정합니다. 이벤트 추적 로그 파일을 수집합니다. 또한 %windir%\tracing 폴더에서 모든 로그를 수집합니다.
DirectAccess 구성 적용 실패 DirectAccess 구성을 새로 고치려면 다음을 수행합니다.
- 다중 사이트 배포 문제를 해결하는 경우 진입점에 가장 가까운 도메인 컨트롤러를 사용할 수 있는지 확인합니다.
- cmdlet을 Get-DAEntrypointDC 사용하여 진입점에 가장 가까운 도메인 컨트롤러의 이름을 검색합니다. 도메인 컨트롤러가 실행되고 있지 않으면 cmdlet을 Set-DAEntryPointDC 사용하여 다른 도메인 컨트롤러를 가리킵니다.
- 다음 명령을 사용하여 Windows PowerShell 로깅을 시작합니다.
logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets
logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets
<재현>
- 적용을 선택합니다.
- 오류가 발생한 후 Windows PowerShell 로깅을 사용하지 않도록 설정하고 이벤트 추적 로그를 수집합니다.
DirectAccess가 구성되었지만 클라이언트는 내부 리소스에 연결할 수 없습니다. 클라이언트 연결 문제를 해결하려면 다음을 수행합니다.
- 원격 액세스 관리 콘솔에서 작업 상태 탭을 선택하고 모든 구성 요소에 녹색 아이콘이 표시되는지 확인합니다. 그렇지 않은 경우 오류 세부 정보를 검사 해결 단계를 수행합니다.
- BPA(원격 액세스 서버 모범 사례 분석기)를 실행합니다. 경고 또는 오류가 있는 경우 해결 단계에 따라 문제를 resolve.
다중 사이트 구성과 관련된 문제 발생(예: 다중 사이트 사용, 진입점 추가 또는 진입점에 대한 도메인 컨트롤러 설정) 다중 사이트 배포 문제 해결의 단계를 따릅니다.
dashboard 구성 상태 타일에 경고 또는 오류가 표시됩니다. 원격 액세스 서버의 구성 배포 상태 모니터링의 단계를 수행합니다.
부하 분산 구성과 관련된 문제 발생(예: 부하 분산을 사용하도록 설정하면 구성이 실패하거나 클러스터에서 서버를 추가하거나 제거할 때 문제가 발생함) 부하 분산을 사용하도록 설정하거나 노드를 추가했는데 적용을 선택할 때 구성이 새로 고쳐졌지만 클러스터가 서버에서 올바르게 구성되지 않은 경우 다음 명령을 cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v DebugFlag /t REG_DWORD /d ""0xffffffff"" " 실행하여 새 서버에서 사용자 인터페이스 로그를 수집합니다.
작업 상태 상황을 수정하기 위한 다음 단계 후 오류 또는 경고를 표시합니다. 작업 상태 잘못된 정보(예: 오류를 수정한 후에도)가 표시되는 경우:

- 레지스트리 키 cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v EnableTracing /t REG_DWORD /d ""5"" "를 사용하도록 설정합니다.
- 상태 작업을 새로 고치고 %windir%\tracing에서 로그를 수집합니다.
Windows 8 이상 DirectAccess 클라이언트 컴퓨터는 DirectAccess 연결에 대한 상태 "인터넷 없음"을 보고하고 NCSI(네트워크 연결 상태 표시기)는 제한된 연결을 보고합니다. 이는 DirectAccess 구성에서 강제 터널링을 사용하도록 설정하고 이로 인해 IPHTTPS만 사용되는 경우에 발생할 수 있습니다. 이 문제를 resolve 프록시 서버를 만들고 구성할 수 있습니다. 그런 다음 NCSI는 프록시 서버를 사용하여 인터넷 연결 검사를 수행합니다. 다음 절차를 사용하여 NRPT(이름 확인 정책 테이블)에 정적 프록시를 추가하는 것이 좋습니다.

이 절차에서 명령을 실행하기 전에 모든 도메인 이름, 컴퓨터 이름 및 기타 Windows PowerShell 명령 변수를 배포에 적합한 값으로 바꿔야 합니다.

NRPT 규칙에 대한 정적 프록시를 구성합니다.
1. ""를 표시합니다. NRPT 규칙: Get-DnsClientNrptRule -GpoName "corp.example.com\DirectAccess Client Settings" -Server <DomainControllerNetBIOSName>
2. ""의 이름(GUID)을 적어둡니다. NRPT 규칙. 이름(GUID)은 로 시작해야 합니다. DA-{..}
3. ""에 대한 프록시를 설정합니다. 에 대한 proxy.corp.example.com:8080NRPT 규칙: Set-DnsClientNrptRule -Name "DA-{..}" -Server <DomainControllerNetBIOSName> -GPOName "corp.example.com\DirectAccess Client Settings" -DAProxyServerName "proxy.corp.example.com:8080" -DAProxyType "UseProxyName"
4. ""를 표시합니다. 를 실행하여 NRPT 규칙을 다시 실행하고 Get-DnsClientNrptRule이제 올바르게 구성되었는지 ProxyFQDN:port 확인합니다.
5. 클라이언트가 내부적으로 연결되면 DirectAccess 클라이언트에서 를 실행 gpupdate /force 하여 그룹 정책 새로 고친 다음 를 사용하여 NRPT를 Get-DnsClientNrptPolicy 표시하고 "." 규칙이 를 표시하는지 확인합니다ProxyFQDN:port.