Partilhar via


Solucionar problemas do DirectAccess

Experimente nosso Agente Virtual – ele pode ajudá-lo a identificar e corrigir rapidamente problemas comuns do DirectAccess.

Este artigo fornece informações sobre como solucionar problemas de implantações do DirectAccess.

Aplica-se a: Windows Server 2022, Windows Server 2019 Windows Server 2016

Siga estas etapas para solucionar problemas de Acesso Remoto (DirectAccess).

Problema Resolução
O console de gerenciamento de Acesso Remoto não consegue mostrar a configuração do DirectAccess Para restaurar as informações de configuração ausentes:
- Se você estiver solução de problemas de uma implantação de vários sites, verifique se o controlador de domínio mais próximo do ponto de entrada está disponível.
- Use o Get-DAEntrypointDC cmdlet para recuperar o nome do controlador de domínio mais próximo do ponto de entrada. Se o controlador de domínio não estiver em execução, use o Set-DAEntryPointDC cmdlet para apontar para outro controlador de domínio.
- Execute gpresult a partir de um prompt de comando elevado no servidor para garantir que o servidor esteja recebendo o DirectAccess Política de Grupo Objects.
– Habilitar o registro em log da interface do usuário (interface do usuário).
- Use o seguinte comando para iniciar Windows PowerShell registro em log:logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets
logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets
<repro>- Fechar e reabrir a interface do usuário.
- Desabilitar Windows PowerShell registro em log. Colete os arquivos do Log de Rastreamento de Eventos. Além disso, colete todos os logs da pasta %windir%\tracing .
Falha na aplicação da configuração do DirectAccess Para atualizar a configuração do DirectAccess:
- Se você estiver solução de problemas de uma implantação de vários sites, verifique se o controlador de domínio mais próximo do ponto de entrada está disponível.
- Use o Get-DAEntrypointDC cmdlet para recuperar o nome do controlador de domínio mais próximo do ponto de entrada. Se o controlador de domínio não estiver em execução, use o Set-DAEntryPointDC cmdlet para apontar para outro controlador de domínio.
- Use o seguinte comando para iniciar Windows PowerShell registro em log:
logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets
logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets
<Repro>
– Selecione Aplicar.
- Depois que a falha ocorrer, desabilite Windows PowerShell log e colete o Log de Rastreamento de Eventos.
O DirectAccess está configurado, mas os clientes não podem se conectar aos recursos internos Para solucionar problemas de conexão do cliente:
- Selecione a guia Status das Operações no console de Gerenciamento de Acesso Remoto e verifique se todos os componentes mostram um ícone verde. Caso contrário, marcar os detalhes do erro e siga as etapas de resolução.
- Execute o BPA (Analisador de Melhores Práticas do Servidor de Acesso Remoto). Se houver avisos ou erros, siga as etapas de resolução para resolve o problema.
Encontrar problemas relacionados a uma configuração multisite (por exemplo, habilitar um multisite, adicionar pontos de entrada ou definir o controlador de domínio para um ponto de entrada) Siga as etapas em Solucionar problemas de uma implantação multisite.
O bloco status de configuração no dashboard mostra um aviso ou erro Siga as etapas em Monitorar o status de distribuição de configuração do servidor de Acesso Remoto.
Encontrar problemas relacionados à configuração do balanceamento de carga (por exemplo, a configuração falha quando você habilita o balanceamento de carga ou há problemas ao adicionar ou remover servidores de um cluster) Se você estiver habilitando o balanceamento de carga ou a adição de um nó e a configuração atualizada quando você selecionou Aplicar, mas o cluster não se formou corretamente no servidor, execute o seguinte comando: cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v DebugFlag /t REG_DWORD /d ""0xffffffff"" " para coletar os logs de interface do usuário no novo servidor.
Operações status mostra um erro ou aviso após as etapas a seguir para corrigir a situação Se as operações status estiverem mostrando informações incorretas (como erros mesmo depois de corrigi-las):

- Habilitar a chave cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v EnableTracing /t REG_DWORD /d ""5"" "do registro .
- Atualize as operações status e colete os logs de %windir%\tracing.

Windows 8 e posteriores computadores cliente do DirectAccess relatam "Nenhuma Internet" como status para a conexão DirectAccess e o NCSI (Indicador de Status de Conectividade de Rede) relata conectividade limitada. Isso pode ocorrer quando o Force Tunneling está habilitado na configuração directAccess e, devido a isso, apenas IPHTTPS está sendo usado. Para resolve esse problema, você pode criar e configurar um servidor proxy. Em seguida, o NCSI usa o servidor proxy para executar verificações de conectividade com a Internet. É recomendável adicionar um proxy estático à NRPT (Tabela de Política de Resolução de Nomes) usando o procedimento a seguir.

Antes de executar os comandos neste procedimento, verifique se você substitui todos os nomes de domínio, nomes de computador e outras variáveis de comando Windows PowerShell por valores apropriados para sua implantação.

Configurar um proxy estático para uma regra NRPT:
1. Exiba o "". Regra NRPT: Get-DnsClientNrptRule -GpoName "corp.example.com\DirectAccess Client Settings" -Server <DomainControllerNetBIOSName>
2. Observe o nome (GUID) do "". Regra NRPT. O nome (GUID) deve começar com DA-{..}
3. Defina o proxy para o "". Regra NRPT para proxy.corp.example.com:8080: Set-DnsClientNrptRule -Name "DA-{..}" -Server <DomainControllerNetBIOSName> -GPOName "corp.example.com\DirectAccess Client Settings" -DAProxyServerName "proxy.corp.example.com:8080" -DAProxyType "UseProxyName"
4. Exiba o "". Regra NRPT novamente executando Get-DnsClientNrptRulee verifique se ProxyFQDN:port agora está configurada corretamente.
5. Atualize Política de Grupo em execução gpupdate /force em um cliente DirectAccess quando o cliente estiver conectado internamente e, em seguida, exiba o NRPT usando Get-DnsClientNrptPolicy e verifique se a regra "" mostra ProxyFQDN:port.