Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera informacje dotyczące rozwiązywania problemów związanych z poleceniem Enable-DAMultisite cmdlet. Aby potwierdzić, że otrzymany błąd jest związany z włączaniem wielu lokacji, sprawdź w dzienniku zdarzeń systemu Windows identyfikator zdarzenia 10051.
Dotyczy: Windows Server 2022, Windows Server 2019, Windows Server 2016
Problemy dotyczące łączności i użytkowników
Użytkownicy mogą napotkać problemy z łącznością w przypadku włączenia wielu lokacji, jeśli konfiguracja nie jest poprawna.
Przyczyna
W przypadku wdrożenia w wielu lokacjach komputery klienckie z systemami Windows 10 i Windows 8 mogą wędrować między różnymi punktami wejścia. Komputery klienckie z systemem Windows 7 muszą być skojarzone z określonym punktem wejścia we wdrożeniu w wielu lokacjach. Jeśli komputery klienckie nie są w odpowiedniej grupie zabezpieczeń, mogą otrzymać nieprawidłowe ustawienia zasad grupy.
Rozwiązanie
Funkcja DirectAccess wymaga co najmniej jednej grupy zabezpieczeń dla wszystkich komputerów klienckich z systemem Windows 10 i Windows 8; Zalecamy używanie jednej grupy zabezpieczeń dla wszystkich komputerów z systemami Windows 10 i Windows 8 na domenę. Funkcja DirectAccess wymaga również grupy zabezpieczeń dla komputerów klienckich z systemem Windows 7 dla każdego punktu wejścia. Każdy komputer kliencki powinien znajdować się tylko w jednej grupie zabezpieczeń. W związku z tym należy upewnić się, że grupy zabezpieczeń dla klientów z systemem Windows 10 i Windows 8 zawierają tylko komputery z systemem Windows 10 lub Windows 8 i że każdy komputer kliencki z systemem Windows 7 należy do jednej dedykowanej grupy zabezpieczeń dla odpowiedniego punktu wejścia i że żaden klient systemu Windows 10 lub Windows 8 nie należy do grup zabezpieczeń systemu Windows 7.
Skonfiguruj grupy zabezpieczeń systemu Windows 8 na stronie Wybieranie grup kreatora instalacji klienta funkcji DirectAccess. Skonfiguruj grupy zabezpieczeń systemu Windows 7 na stronie Obsługa klienta Kreatora włączania wdrażania w wielu lokacjach lub na stronie Obsługa klienta kreatora Dodawanie punktu wejścia.
Uwierzytelnianie serwera proxy Kerberos
Odebrano błąd
Uwierzytelnianie serwera proxy Kerberos nie jest obsługiwane we wdrożeniu w wielu lokacjach. Należy włączyć stosowanie certyfikatów komputera w celu uwierzytelniania użytkowników IPsec.
Przyczyna
Przed włączeniem wielu lokacji należy włączyć uwierzytelnianie certyfikatu komputera.
Rozwiązanie
Aby włączyć uwierzytelnianie certyfikatu komputera:
- W konsoli zarządzania dostępem zdalnym w okienku szczegółów w obszarze Krok 2 Serwer dostępu zdalnego wybierz pozycję Edytuj.
- W kreatorze Instalacji serwera dostępu zdalnego na stronie Uwierzytelnianie zaznacz pole wyboru Użyj certyfikatów komputera i wybierz główny lub pośredni urząd certyfikacji, który wystawia certyfikaty we wdrożeniu.
Aby włączyć uwierzytelnianie certyfikatu komputera przy użyciu programu Windows PowerShell, użyj Set-DAServer polecenia cmdlet i określ IPsecRootCertificate parametr .
Certyfikaty IP-HTTPS
Odebrano błąd
Serwer funkcji DirectAccess używa certyfikatu IP-HTTPS z podpisem własnym. Skonfiguruj protokół IP-HTTPS do korzystania z podpisanego certyfikatu ze znanego urzędu certyfikacji.
Przyczyna
Certyfikat IP-HTTPS jest certyfikatem z podpisem własnym. W przypadku wdrażania w wielu lokacjach nie można używać certyfikatów z podpisem własnym.
Rozwiązanie
Aby wybrać certyfikat IP-HTTPS:
- W konsoli zarządzania dostępem zdalnym w okienku szczegółów w obszarze Krok 2 Serwer dostępu zdalnego wybierz pozycję Edytuj.
- W kreatorze Instalacji serwera dostępu zdalnego na stronie Karty sieciowe w obszarze Wybierz certyfikat używany do uwierzytelniania połączeń IP-HTTPS upewnij się, że pole wyboru Użyj certyfikatu z podpisem własnym utworzonego automatycznie przez funkcję DirectAccess zostało wyczyszczone, a następnie wybierz pozycję Przeglądaj, aby wybrać certyfikat wystawiony przez zaufany urząd certyfikacji.
Serwer lokalizacji sieciowej
Problem 1
Odebrano błąd
Funkcja DirectAccess jest skonfigurowana do używania certyfikatu z podpisem własnym dla serwera lokalizacji sieciowej. Skonfiguruj serwer lokalizacji sieciowej do korzystania z podpisanego certyfikatu z urzędu certyfikacji.
Przyczyna
Serwer lokalizacji sieciowej jest wdrożony na serwerze dostępu zdalnego i używa certyfikatu z podpisem własnym. W przypadku wdrażania w wielu lokacjach nie można używać certyfikatów z podpisem własnym.
Rozwiązanie
Aby wybrać certyfikat serwera lokalizacji sieciowej:
- W konsoli zarządzania dostępem zdalnym w okienku szczegółów w obszarze Krok 3 Serwery infrastruktury wybierz pozycję Edytuj.
- W kreatorze Konfiguracja serwera infrastruktury na stronie Serwer lokalizacji sieciowej w obszarze Serwer lokalizacji sieciowej jest wdrożony na serwerze dostępu zdalnego, upewnij się, że pole wyboru Użyj certyfikatu z podpisem własnym zostało wyczyszczone, a następnie wybierz pozycję Przeglądaj, aby wybrać certyfikat wystawiony przez urząd certyfikacji przedsiębiorstwa.
Problem 2
Odebrano błąd
Aby wdrożyć klaster z równoważeniem obciążenia sieciowego lub wdrożenie obejmujące wiele lokacji, uzyskaj certyfikat serwera lokalizacji sieciowej o nazwie podmiotu innej niż wewnętrzna nazwa serwera dostępu zdalnego.
Przyczyna
Nazwa podmiotu certyfikatu używanego na potrzeby witryny internetowej serwera lokalizacji sieciowej jest taka sama, jak nazwa wewnętrzna serwera dostępu zdalnego. Powoduje to problemy z rozpoznawaniem nazw.
Rozwiązanie
Należy uzyskać certyfikat z nazwą podmiotu, która jest inna niż nazwa wewnętrzna serwera dostępu zdalnego.
Aby skonfigurować serwer lokalizacji sieciowej:
- W konsoli zarządzania dostępem zdalnym w okienku szczegółów w obszarze Krok 3 Serwery infrastruktury wybierz pozycję Edytuj.
- W Kreatorze Instalacji serwera infrastruktury na stronie Serwer lokalizacji sieciowej w obszarze Serwer lokalizacji sieciowej jest wdrożony na serwerze dostępu zdalnego wybierz pozycję Przeglądaj, aby wybrać wcześniej uzyskany certyfikat. Certyfikat musi mieć nazwę podmiotu, która różni się od nazwy wewnętrznej serwera dostępu zdalnego.
Komputery klienckie z systemem Windows 7
Odebrano ostrzeżenie
W przypadku włączania wielu lokacji grupy zabezpieczeń skonfigurowane dla klientów funkcji DirectAccess nie mogą zawierać komputerów z systemem Windows 7. Aby umożliwić obsługę komputerów klienckich z systemem Windows 7 we wdrażaniu w wielu lokacjach, wybierz grupę zabezpieczeń zawierającą klientów dla każdego punktu wejścia.
Przyczyna
W istniejącym wdrożeniu funkcji DirectAccess włączono obsługę klienta systemu Windows 7.
Rozwiązanie
Funkcja DirectAccess wymaga co najmniej jednej grupy zabezpieczeń dla wszystkich komputerów klienckich z systemem Windows 8 i grupy zabezpieczeń dla komputerów klienckich z systemem Windows 7 dla każdego punktu wejścia. Każdy komputer kliencki powinien znajdować się tylko w jednej grupie zabezpieczeń. W związku z tym należy upewnić się, że grupa zabezpieczeń dla klientów systemu Windows 8 zawiera tylko komputery z systemem Windows 8 i że każdy komputer kliencki z systemem Windows 7 należy do jednej dedykowanej grupy zabezpieczeń dla odpowiedniego punktu wejścia i że żaden klient systemu Windows 8 nie należy do grup zabezpieczeń systemu Windows 7.
Lokacja usługi Active Directory
Odebrano błąd
Serwer <server_name> nie jest skojarzony z lokacją usługi Active Directory.
Przyczyna
Funkcja DirectAccess nie mogła określić lokacji usługi Active Directory. W konsoli Lokacje i usługi Active Directory można skonfigurować różne podsieci dla danej sieci oraz skojarzyć poszczególne podsieci z odpowiednimi lokacjami usługi Active Directory. Ten błąd może wystąpić, jeśli adres IP serwera dostępu zdalnego nie należy do żadnej z podsieci lub podsieci, do której należy adres IP, nie jest zdefiniowany z lokacją usługi Active Directory.
Rozwiązanie
Należy potwierdzić przyczynę problemu, uruchamiając polecenie nltest /dsgetsite na serwerze dostępu zdalnego. Jeśli jest to problem, polecenie zwróci polecenie ERROR_NO_SITENAME. Aby rozwiązać ten problem, należy upewnić się, że w kontrolerze domeny istnieje podsieć zawierająca wewnętrzny adres IP serwera oraz że jest ona zdefiniowana z lokacją usługi Active Directory.
Zapisywanie ustawień obiektu zasad grupy serwera
Odebrano błąd
Wystąpił błąd podczas zapisywania ustawień dostępu zdalnego do obiektu zasad grupy <GPO_name>.
Przyczyna
Nie można zapisać zmian w obiekcie zasad grupy serwera z powodu problemów z łącznością lub w przypadku naruszenia zasad udostępniania w pliku registry.pol , na przykład inny użytkownik zablokował plik.
Rozwiązanie
Należy upewnić się, że łączność między serwerem dostępu zdalnego i kontrolerem domeny działa poprawnie. Jeśli istnieje łączność, sprawdź na kontrolerze domeny, czy plik registry.pol jest zablokowany dla innego użytkownika, a w razie potrzeby zakończ sesję tego użytkownika, aby odblokować plik.
Wystąpił błąd wewnętrzny
Odebrano błąd
Wystąpił błąd wewnętrzny.
Przyczyna
Może to być spowodowane nieoczekiwaną konfiguracją tabeli punktów wejścia w obiekcie zasad grupy klienta. Może on wystąpić, jeśli administrator użył poleceń cmdlet klienta funkcji DirectAccess do edytowania tabeli punktów wejścia w obiekcie zasad grupy klienta.
Rozwiązanie
Należy przejrzeć konfigurację tabeli punktów wejścia we wszystkich obiektach zasad grupy klienta i naprawić wszystkie niespójności konfiguracji wielu lokacji dotyczące różnych wystąpień obiektów zasad grupy klienta i konfiguracji funkcji DirectAccess. Aby uzyskać tabelę punktów wejścia w kliencie, należy użyć polecenia cmdlet Get-DaEntryPointTableItem z nazwą obiektu zasad grupy klienta. Aby uzyskać wszystkie profile IP-HTTPS dla wszystkich punktów wejścia, należy użyć polecenia cmdlet Get-NetIPHttpsConfiguration.
Aby uzyskać więcej informacji, zobacz Polecenia cmdlet klienta funkcji DirectAccess w programie Windows PowerShell.