DirectAccess 服务器控制台疑难解答：IP-HTTPS 和 IPSec

本文介绍如何排查 DirectAccess 服务器控制台错误的一些 IP-HTTPS 和 IPSec 错误。

IP-HTTPS：路由错误

在 Windows Server 中安装和配置 DirectAccess 后，可能会收到一条错误消息，指出 IP-HTTPS 无法正常工作。 在远程访问管理控制台仪表板中查看 操作状态 概述时，显示显示 IP-HTTPS 接口出错。

操作状态详细信息显示以下错误消息：

IP-HTTPS：无法正常工作
错误：
IP-HTTPS 路由未启用已发布属性。

原因

未启用 IP-HTTPS 路由的发布属性。 DirectAccess 必须按预期工作。

解决方法

若要修复缺少的路由，请检查 DirectAccess 服务器上的路由表。 不应看到到客户端 IPv6 前缀的路由。

若要获取有关 ClientIPv6Prefix 的信息，请在提升的 PowerShell 实例中运行以下命令：

Get-RemoteAccess | Select-Object ClientIPv6Prefix.

若要确定路由是否存在，请运行以下命令：

Get-NetRoute -AddressFamily IPv6

如果未看到路由的条目，则表示该路由不存在且必须添加。

若要解决此错误，请将客户端 IPv6 路由添加到 DirectAccess 服务器的路由表，然后发布路由。 为此，请在 DirectAccess 服务器上运行以下 PowerShell 命令：

$IPv6prefix = (Get-RemoteAccess).ClientIPv6Prefix 
New-NetRoute -AddressFamily IPv6 -DestinationPrefix $IPv6prefix -InterfaceAlias “Microsoft IP-HTTPS Platform Interface” -Publish Yes 

接下来，使用以下 PowerShell 命令重启远程访问管理服务（RaMgmtSvc）：

Restart-Service RaMgmtSvc -PassThru 

IP-HTTPS：证书错误

在其他情况下，问题可能与证书本身相关。 这在此实例中为 true，因为证书已过期：

IP-HTTPS：无法正常工作
错误：
IP-HTTPS 证书无效。

若要解决此问题，请确保证书未过期。 如果是，请续订证书。

IP-HTTPS：路由播发错误

由于错误消息明确，请检查路由播发是否已禁用。 如果是，请启用它。

IP-HTTPS：无效属性
错误：
在 IP-HTTPS 适配器上禁用路由播发。

原因

出现此问题的原因是 IP-HTTPS 适配器上禁用了路由播发。 DirectAccess 需要此功能才能按预期工作。

解决方法

在 IP-HTTPS 适配器 IPHTTPSInterface 上启用路由播发。

若要检查接口及其索引的相关信息，请运行以下命令：

netsh int ipv6 show int

请参阅 Idx - 17 行。

Idx      Met           MTU         State                 Name 
---   ----------   ----------   ------------   --------------------------- 
1        50        4294967295      connected   Loopback Pseudo-Interface 1 
1        45              1280      connected                  6TO4 Adapter 
15        5              1280      connected       isatap.{Interface Guid} 
16        5              1280      connected       isatap.{Interface Guid}
17       50              1280      connected              IPHTTPSInterface 
12        5              1500      connected                      Internal 
13        5              1500      connected                      External 

以下命令将显示 IPHTTPSInterface 适配器的配置：

netsh int ipv6 show int "int inx for IPHTTPSInterface"

请参阅第二行：

Interface IPHTTPSInterface  Parameters
Forwarding: disabled
Advertising: enabled
Neighbor Discovery: enabled
Neighbor Unreachability Detection: enabled
Router Discovery: enabled

获取有关索引的信息后，运行以下命令以启用转发：

netsh int ipv6 set int 17 forwarding=enabled

如果发现广告已禁用，请发出以下命令以启用广告：

netsh int ipv6 set int 17 forwarding=enabled

IPSec 错误

为了能够连接到内部资源，远程访问向导通过 GPO 配置两个连接安全隧道，并部署在 DA 客户端和 DA 服务器上。

其中一个典型错误是安装在 DirectAccess 服务器上的无效 IP-HTTPS 证书：

IPsec：无法正常工作
错误：
Ipsec 没有有效的证书可供 Ipsec 使用，该证书链接到 DirectAccess 配置中 Ipsec 配置为使用的根/中间证书。

原因

出现此问题的原因是证书未安装或无效。

解决方法

若要修复此错误，请确保客户端上的 IP-HTTPS 证书或计算机证书未过期并满足以下条件：

• 不应过期。
• 应具有私钥。
• 应配置为用于客户端身份验证。
• 应链接到配置的根证书或中间证书。