对 DirectAccess 进行故障排除

2025-01-15

尝试我们的虚拟代理 - 它可以帮助你快速识别和修复常见的 DirectAccess 问题。

本文提供有关 DirectAccess 部署故障排除的信息。

适用于： Windows Server 2022、Windows Server 2019、Windows Server 2016

请按照以下步骤排查远程访问 (DirectAccess) 问题。

问题	解决方案
远程访问管理控制台无法显示 DirectAccess 配置	若要还原缺少的配置信息，请执行以下操作： - 如果要对多站点部署进行故障排除，请确保最靠近入口点的域控制器可用。 - 使用 `Get-DAEntrypointDC` cmdlet 检索离入口点最近的域控制器的名称。如果域控制器未运行，请使用 `Set-DAEntryPointDC` cmdlet 指向另一个域控制器。 - 从服务器上提升的命令提示符运行 `gpresult` ，以确保服务器获取 DirectAccess 组策略对象。 - 启用用户界面 (UI) 日志记录。 - 使用以下命令启动 Windows PowerShell 日志记录：`logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets` `logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets` <repro>- 关闭并重新打开用户界面。 - 禁用 Windows PowerShell 日志记录。收集事件跟踪日志文件。此外，从 %windir%\tracing 文件夹中收集所有日志。
应用 DirectAccess 配置失败	刷新 DirectAccess 配置： - 如果要对多站点部署进行故障排除，请确保最靠近入口点的域控制器可用。 - 使用 `Get-DAEntrypointDC` cmdlet 检索离入口点最近的域控制器的名称。如果域控制器未运行，请使用 `Set-DAEntryPointDC` cmdlet 指向另一个域控制器。 - 使用以下命令启动 Windows PowerShell 日志记录： `logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets` `logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets` <repro> - 选择“ 应用”。 - 发生故障后，禁用 Windows PowerShell 日志记录并收集事件跟踪日志。
DirectAccess 已配置，但客户端无法连接到内部资源	若要排查客户端连接问题， - 在远程访问管理控制台中选择“操作状态 ”选项卡，并确保所有组件都显示绿色图标。如果没有，请检查错误详细信息并执行解决步骤。 - 运行远程访问服务器最佳做法分析器 (BPA)。如果出现任何警告或错误，请按照解决步骤解决问题。
遇到与多站点配置相关的问题（例如，启用多站点、添加入口点或设置入口点的域控制器）	请按照排查多站点部署故障中的步骤进行操作。
控制面板上的配置状态磁贴显示警告或错误	遵循监视远程访问服务器的配置分发状态中的步骤。
遇到与配置负载平衡相关的问题（例如，启用负载平衡时配置失败，或者在群集中添加或删除服务器时出现问题）	如果启用负载均衡或添加节点，并在选择 “应用”时刷新配置，但群集未在服务器上正确形成，请运行以下命令： `cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v DebugFlag /t REG_DWORD /d ""0xffffffff"" "` 在新服务器上收集用户界面日志。
执行更正步骤后，操作状态显示错误或警告	如果操作状态显示不正确的信息（例如错误，即使你已经修复了这些错误）： - 启用注册表项 `cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v EnableTracing /t REG_DWORD /d ""5"" "`。 - 刷新操作状态并从 %windir%\tracing 收集日志。
Windows 8 及更高版本的 DirectAccess 客户端计算机针对 DirectAccess 连接状态报告“无 Internet”，而且网络连接状态指示器 (NCSI) 报告指出连接受限。	如果在 DirectAccess 配置中启用了强制隧道，则可能会发生这种情况，因为在启用了强制隧道的情况下，只能使用 IPHTTPS。若要解决此问题，可以创建并配置代理服务器。然后，NCSI 使用代理服务器执行 Internet 连接检查。建议按照以下过程将静态代理添加到名称解析策略表 (NRPT)。在运行此过程中的命令之前，请确保将所有域名、计算机名称和其他 Windows PowerShell 命令变量替换为适合你的部署的值。为 NRPT 规则配置静态代理： 1. 显示“.”NRPT 规则：`Get-DnsClientNrptRule -GpoName "corp.example.com\DirectAccess Client Settings" -Server <DomainControllerNetBIOSName>` 2. 记下“.”NRPT 规则的名称 (GUID)。名称（GUID）应以开头 `DA-{..}` 3.为“.”设置代理NRPT 规则设置为 `proxy.corp.example.com:8080`： `Set-DnsClientNrptRule -Name "DA-{..}" -Server <DomainControllerNetBIOSName> -GPOName "corp.example.com\DirectAccess Client Settings" -DAProxyServerName "proxy.corp.example.com:8080" -DAProxyType "UseProxyName"` 4.显示“.”再次运行 `Get-DnsClientNrptRule`NRPT 规则，并验证 `ProxyFQDN:port` 是否已正确配置。 5.当客户端在内部连接时，通过在 DirectAccess 客户端上运行`gpupdate /force`来刷新组策略，然后使用并验证“.”规则是否显示`ProxyFQDN:port`。`Get-DnsClientNrptPolicy`