Udostępnij za pośrednictwem

Rozwiązywanie problemów z konsolą serwera funkcji DirectAccess: IP-HTTPS i IPSec

W tym artykule omówiono sposób rozwiązywania problemów z błędami konsoli serwera funkcji DirectAccess w przypadku niektórych błędów protokołu IP-HTTPS i IPSec.

IP-HTTPS: błąd trasy

Po zainstalowaniu i skonfigurowaniu funkcji DirectAccess w systemie Windows Server może zostać wyświetlony komunikat o błędzie wskazujący, że protokół IP-HTTPS nie działa poprawnie. Po wyświetleniu przeglądu stanu operacji na pulpicie nawigacyjnym konsoli zarządzania dostępem zdalnym zostanie wyświetlony komunikat o błędzie interfejsu IP-HTTPS.

Zrzut ekranu przedstawiający stan operacji.

Szczegóły stanu operacji zawierają następujący komunikat o błędzie:

IP-HTTPS: Nieprawidłowe działanie
Błąd:
Trasa IP-HTTPS nie ma włączonej właściwości opublikowanej.

Przyczyna

Właściwość publikowania trasy IP-HTTPS nie jest włączona. Jest to wymagane, aby funkcja DirectAccess działała zgodnie z oczekiwaniami.

Rozwiązanie

Aby naprawić brakującą trasę, sprawdź tabelę routingu na serwerze funkcji DirectAccess. Nie powinna być widoczna żadna trasa do prefiksu IPv6 klienta.

Aby uzyskać informacje o prefiksie ClientIPv6Prefix, uruchom następujące polecenie w wystąpieniu programu PowerShell z podwyższonym poziomem uprawnień:

Get-RemoteAccess | Select-Object ClientIPv6Prefix.

Aby określić, czy trasa istnieje, uruchom następujące polecenie:

Get-NetRoute -AddressFamily IPv6

Jeśli nie widzisz wpisu dla trasy, oznacza to, że trasa nie jest obecna i musi zostać dodana.

Aby rozwiązać ten błąd, dodaj trasę IPv6 klienta do tabeli routingu serwera funkcji DirectAccess, a następnie opublikuj trasę. W tym celu uruchom następujące polecenia programu PowerShell na serwerze funkcji DirectAccess:

$IPv6prefix = (Get-RemoteAccess).ClientIPv6Prefix 
New-NetRoute -AddressFamily IPv6 -DestinationPrefix $IPv6prefix -InterfaceAlias “Microsoft IP-HTTPS Platform Interface” -Publish Yes

Następnie uruchom ponownie usługę zarządzania dostępem zdalnym (RaMgmtSvc), używając następującego polecenia programu PowerShell:

Restart-Service RaMgmtSvc -PassThru

IP-HTTPS: błąd certyfikatu

W innych sytuacjach problem może być związany z samym certyfikatem. Byłoby to prawdą w tym wystąpieniu, ponieważ certyfikat wygasł:

IP-HTTPS: Nieprawidłowe działanie
Błąd:
Certyfikat IP-HTTPS jest nieprawidłowy.

Aby rozwiązać ten problem, upewnij się, że certyfikat nie wygasł. Jeśli tak jest, odnów certyfikat.

IP-HTTPS: błąd anonsu trasy

Ponieważ komunikat o błędzie jest jasny, sprawdź, czy anons trasy jest wyłączony. Jeśli tak jest, włącz ją.

IP-HTTPS: właściwość Nie działa
Błąd:
Anonsowanie tras jest wyłączone na karcie IP-HTTPS.

Przyczyna

Ten problem występuje, ponieważ anonsowanie tras jest wyłączone na karcie IP-HTTPS. Ta funkcja jest wymagana, aby funkcja DirectAccess działała zgodnie z oczekiwaniami.

Rozwiązanie

Włącz anonsowanie tras w adresie IP karty IP-HTTPSHTTPSInterface.

Aby sprawdzić informacje na temat interfejsów i ich indeksu, uruchom następujące polecenie:

netsh int ipv6 show int

Zobacz wiersz Idx - 17.

Idx      Met           MTU         State                 Name 
---   ----------   ----------   ------------   --------------------------- 
1        50        4294967295      connected   Loopback Pseudo-Interface 1 
1        45              1280      connected                  6TO4 Adapter 
15        5              1280      connected       isatap.{Interface Guid} 
16        5              1280      connected       isatap.{Interface Guid}
17       50              1280      connected              IPHTTPSInterface 
12        5              1500      connected                      Internal 
13        5              1500      connected                      External

Następujące polecenie spowoduje wyświetlenie konfiguracji adaptera IPHTTPSInterface:

netsh int ipv6 show int "int inx for IPHTTPSInterface"

Zobacz drugi wiersz:

Interface IPHTTPSInterface  Parameters
Forwarding: disabled
Advertising: enabled
Neighbor Discovery: enabled
Neighbor Unreachability Detection: enabled
Router Discovery: enabled

Po dokonaniu informacji o indeksie uruchom następujące polecenie, aby włączyć przekazywanie dalej:

netsh int ipv6 set int 17 forwarding=enabled

Jeśli zauważysz, że reklama jest wyłączona, wydaj następujące polecenie, aby włączyć reklamę:

netsh int ipv6 set int 17 forwarding=enabled

Błąd protokołu IPSec

Aby móc łączyć się z zasobami wewnętrznymi, dwa tunele zabezpieczeń połączenia są konfigurowane przez kreatora dostępu zdalnego za pośrednictwem obiektu zasad grupy i wdrożone na klientach da i serwerach DA.

Jednym z typowych błędów jest nieprawidłowy certyfikat IP-HTTPS zainstalowany na serwerze funkcji DirectAccess:

Protokół IPsec: nieprawidłowe działanie
Błąd:
Nie ma ważnego certyfikatu, który ma być używany przez protokół Ipsec, który powoduje łańcuchy do certyfikatu głównego/pośredniego skonfigurowanego do używania przez protokół Ipsec w konfiguracji funkcji DirectAccess.

Przyczyna

Ten problem występuje, ponieważ certyfikat nie został zainstalowany lub jest nieprawidłowy.

Rozwiązanie

Aby naprawić ten błąd, upewnij się, że certyfikat IP-HTTPS lub certyfikat komputera na kliencie nie wygasł i spełnia następujące kryteria:

  • Nie należy wygasać.
  • Powinien mieć klucz prywatny.
  • Należy skonfigurować do użycia na potrzeby uwierzytelniania klienta.
  • Należy połączyć łańcuch ze skonfigurowanym certyfikatem głównym lub pośrednim.