本文包含与命令相关的 Add-DAEntryPoint 问题的疑难解答信息。 要确认你收到的错误是否与添加入口点有关,请检查 Windows 事件日志的事件 ID 10067。
适用于: Windows Server 2022、Windows Server 2019、Windows Server 2016
缺少 RemoteAccessServer 参数
收到错误
必须提供参数 RemoteAccessServer的值。
原因
向多站点部署添加新入口点时,必须指定参数,该参数 RemoteAccessServer是要添加为新入口点的服务器的名称。
解决方案
运行该命令,并确保使用要添加为入口点的服务器的名称指定 RemoteAccessServer 参数。
未配置远程访问
收到错误
server_name上<>未配置远程访问。 请指定属于多站点部署的服务器的名称。
原因
远程访问未在参数指定的 ComputerName 计算机上或在运行命令的计算机上配置。
向多站点部署添加新入口点时,必须指定两个参数: ComputerName 和 RemoteAccessServer。 ComputerName这是已是多站点部署的一部分的服务器的名称,RemoteAccessServer是要添加为新入口点的服务器的名称。 如果从属于多站点部署的一部分的计算机运行,则不需要该 ComputerName 参数。
解决方案
运行该命令,并确保使用已配置为多站点部署一部分的服务器的名称指定 ComputerName 参数,或者从属于多站点部署的计算机运行该命令。
未启用多站点
收到错误
你必须先启用多站点部署,方可执行此操作。 请使用 Enable-DAMultiSite cmdlet 完成此操作。
原因
多站点未在 ComputerName 参数指定的服务器上启用。 要向远程访问部署添加新的入口点,你必须先启用多站点。
解决方案
使用 Enable-DaMultiSite cmdlet 启用多站点。 有关详细信息,请参阅部署多站点远程访问。
IPv6 前缀问题
问题 1
收到错误
IPv6 已部署在内部网络中,但你尚未指定客户端 IPv6 前缀。
原因
IPv6 已部署在企业网络中,但需要 IP-HTTPS 前缀。 但是,新入口点的参数中 ClientIPv6Prefix 未指定前缀。
解决方案
- 将唯一的 IP-HTTPS 前缀分配给新的入口点,并确保将此前缀下面向 IP 地址的数据包路由到要添加的服务器。
- 运行
Add-DAEntryPointcmdlet 并在参数中ClientIPv6Prefix指定 IP-HTTPS 前缀。
问题 2
收到错误
客户端 IPv6 前缀已被其他入口点使用。 请指定其他值。
原因
参数中指定的 ClientIPv6Prefix IP-HTTPS 前缀已由其他入口点使用
解决方案
- 将唯一的 IP-HTTPS 前缀分配给新的入口点,并确保将此前缀下面向 IP 地址的数据包路由到要添加的服务器。
- 运行
Add-DAEntryPointcmdlet 并在参数中ClientIPv6Prefix指定 IP-HTTPS 前缀。
ConnectTo 地址
收到错误
DirectAccess 客户端在 RemoteAccess 服务器上连接到的地址 (<connect_to_address>) 与网络位置服务器地址相同。 请指定其他值。
原因
ConnectTo 地址与网络位置服务器地址相同。
解决方案
ConnectTo 地址应当可以通过 Internet 解析,以允许客户端计算机通过 IP-HTTPS 实现连接。 网络位置服务器地址应当可以通过企业网络解析,但不可以通过 Internet 解析。 确保网络位置服务器地址不同于 ConnectTo 地址。 选择其他地址并重试。
DirectAccess 或 VPN 已安装
收到错误
在服务器 <server_name> 上检测到 VPN 安装。 指定未安装远程访问的备用服务器,或从服务器中删除 VPN 配置。
或
服务器 <server_name> 上已安装了远程访问。 请指定其他未运行 DirectAccess 的服务器或删除该服务器现有的 DirectAccess 配置。
原因
新入口点上已配置了 DirectAccess 或 VPN。 无法将配置的入口点添加到多站点部署。
解决方案
要向多站点部署添加服务器,你必须在该服务器上安装远程访问角色,但不应配置 DirectAccess 和 VPN。
运行命令并确保在参数中指定的 RemoteAccessServer 服务器未配置 DirectAccess 或 VPN。
IPsec 根证书
收到错误。 配置的 IPsec 根证书不能位于服务器 <server_name>。
原因
在尝试添加到部署的服务器上找不到颁发计算机证书的根或中间证书颁发机构(CA)的证书。
解决方案
在远程访问管理控制台的“步骤 2 远程访访问服务器”中,单击“编辑”,然后在“身份验证”页的“使用计算机证书”中确保所选的证书是有效的。 如果证书有效,请确保它位于要添加的服务器上受信任的根 CA 下,然后重试。
注意
证书必须相同,并有着同样的指纹。
如果证书无效,请选择在所有远程访问服务器上配置为受信任的根 CA 的有效证书。
同时混有 IPv6 和 IPv4 入口点
首次安装 DirectAccess 时,会检查内部网络适配器,以确定网络是仅包含 IPv4 地址(仅限 IPv4 网络)、同时包含 IPv6 和 IPv4 地址还是仅包含 IPv6 地址(仅限 IPv6 网络)。 该信息用于确定部署类型(仅限 IPv4、IPv6+IPv4 或仅限 IPv6)。
问题 1
收到警告
正在添加的远程访问服务器同时配置有 IPv4 和 IPv6 地址。 这是仅限 IPv4 的部署,远程访问将忽略 IPv6 地址。
原因
首次安装此部署时,内部网络被检测为 IPv4 网络。 在多站点部署中,假定不同入口点位于具有不同特征的不同子网中。 因此,虽然部署配置为仅限 IPv4 的部署,它仍包含位于 IPv6+IPv4 子网中的入口点。 虽然入口点会被添加到部署中,但 DirectAccess 将忽略新入口点内部接口上配置的 IPv6 地址。
解决方案
如果整个内部网络配置为包含 IPv6 和 IPv4 地址,可考虑转换为 IPv6+IPv4 部署,以利用 IPv6 技术。 请参阅步骤 3:规划多站点部署中的“从纯 IPv4 转换为 IPv6+IPv4 企业网络”。
问题 2
收到错误
此多站点部署中的远程访问服务器的内部网络适配器配置有 IPv4 地址。 添加的入口点还必须使用内部网络适配器上的 IPv4 地址进行配置。
原因
首次安装此部署时,内部网络被检测为 IPv4 网络。 远程访问检测到尝试添加的入口点仅配置了其内部网络上的 IPv6 地址。 仅 IPv4 部署中不允许这样做。
解决方案
如果整个网络已配置为 IPv6 地址,你应当将其转换为 IPv6+IPv4 或 IPv6 部署。 请参阅“在部署多站点远程访问时规划到 IPv6 的转换”。
问题 3
收到错误
此入口点位于 IPv4 网络中,但之前的入口点位于 IPv6 网络中。 请在将此入口点添加到同一多站点部署前,将其接入 IPv6 网络。
原因
首次安装此部署时,检测到内部网络为 IPv6+IPv4 或 IPv6。 检测到在尝试添加的新入口点的内部网络上只配置了 IPv4 地址。 在 IPv6+IPv4 或仅限 IPv6 的部署中不允许这样做。
解决方案
将新入口点配置为 IPv6 地址,然后将其添加到多站点部署中。
问题 4
收到警告
远程访问服务器上的内部网络适配器未配置 IPv4 地址。 将不会在此服务器上配置 DNS64 和 NAT64。 DirectAccess 客户端只能访问 IPv6 内部服务器。
原因
首次安装此部署时,检测到内部网络为 IPv6+IPv4。 在此部署模式中,DNS64 和 NAT64 被启用,以允许客户端计算机访问配置为 IPv4 地址的内部网络上的计算机。
当添加新入口点时,远程访问检测到新计算机上的内部接口只有 IPv6 地址。 要配置 DNS64 和 NAT64,需要 IPv4 地址才能将数据包从远程访问服务器发送到仅使用 IPv4 的计算机。 由于新计算机中不存在此类 IP,将不会在远程访问服务器上配置 NAT64 和 DNS64。 因此,利用此入口点通过 DirectAccess 访问企业网络的客户端计算机将无法访问内部网络上仅使用 IPv4 的服务器。 有关如何转换到 IPv6+IPv4 网络或仅限 IPv6 的网络的信息,请参阅“在部署多站点远程访问时规划到 IPv6 的转换”。
解决方案
向新的远程访问服务器添加 IPv4 地址,以确保 DNS64 和 NAT64 正确运行。
ServerGpoName 的域问题
问题 1
收到错误
ServerGpoName 参数 <中指定的域不存在server_GPO> 。 请改为指定域 <domain_name>。
原因
找不到管理员发送的服务器 GPO 名称的域名部分。
解决方案
确保你正确键入了域名。 如果域名拼写错误,使用完全限定的域名 (FQDN) 重试一次。
问题 2
收到错误
服务器 GPO 必须位于远程访问服务器域内。 请在 ServerGpoName 参数中指定域 <domain_name>。
原因
服务器 GPO 的域与远程访问服务器所属的域不同。
解决方案
服务器 GPO 应当位于远程访问服务器所属的域中。 针对服务器 GPO 采用服务器的域名并重试一次。
拆分式 DNS
收到警告
DNS 后缀 <DNS_suffix> 的 NRPT 条目包含客户端计算机用来连接到远程访问服务器的公共名称。 请将名称 <connect_to_address> 作为例外添加到 NRPT 中。
原因
你正在使用拆分大脑 DNS。 要允许客户端使用 IP-HTTPS 进行连接,你应当确保所选的 ConnectTo 地址是 NRPT 规则中的免除条目。
解决方案
如果你使用多站点部署,请确保不同入口点的所有连接地址均是 NRPT 规则的免除条目。
要免除 NRPT 规则中的地址,请执行以下操作:
- 在远程访问管理控制台中的步骤 3 基础结构服务器下,选择“编辑”。
- 在“基础结构服务器设置”向导的“DNS”页面上,双击表格,输入新的名称后缀。
- 在 “DNS 服务器地址 ”对话框的 DNS 后缀中,输入入口点的 ConnectTo 地址,然后选择“ 应用”。
如果你在未指定服务器地址的情况下添加名称后缀,该后缀便会被视为 NRPT 免除条目。
保存服务器 GPO 设置
收到错误
将远程访问设置保存到 GPO <GPO_name> 时出错。
若要排查此错误,请参阅对启用多站点进行故障排除中的“保存服务器 GPO”设置。
无法应用 GPO 更新
收到警告
GPO 更新不能应用于 <server_name>。 进行下次策略刷新后改动才能生效。
原因
尝试在指定的计算机上刷新策略时出错。 因此,进行下次策略刷新后改动才能生效。
解决方案
要强制执行策略刷新,请在指定的计算机上运行 gpupdate /force。