通过

排查 DirectAccess 服务器控制台问题:网络和高可用性

本文介绍如何排查 DirectAccess 服务器控制台的网络和高可用性问题。

网络地址转换 (NAT) 64 问题

当客户端收到 DNS AAAA 记录时,它会尝试与基于 IPv6 的网络建立 TCP 连接。 客户端与 NAT64 服务交谈,该服务负责连接到内部 IPv4 地址。 NAT64 始终由 DirectAccesss 在基于 IPv4 的内部网络中运行。

NAT64:无法正常工作
错误:
NAT64 转换失败可能会阻止远程客户端仅访问企业网络中的 IPv4 服务器。

原因

此问题可能是由以下因素之一引起的:

  • 服务器上未启用 NAT64。
  • 无法访问 NAT64 服务器。
  • NAT64 转换失败。

解决方法

如果你有本机 ipv6 连接,请确保在 DirectAccess 设置中配置 NAT64 或 DNS64 前缀。

远程服务器安装 向导中,确保默认名称解析策略表(NRPT)入口指向 NAT64 或 DNS64 服务器的内部地址。

如果与单个服务器的连接过多,“NAT64 无法正常工作”错误是通常的行为。 过度预配的服务器不能支持每个客户端通信,NAT64 引擎对同时会话或事务具有硬停止限制。 如果引擎针对该限制达到警告阈值,则会定期显示此警告。

请务必查看 CPU 和内存使用情况编号。 如果你认为服务器即将接近点击,请开始计划添加另一个 DirectAccess 服务器节点。

还可以通过重启远程访问服务器暂时修复此问题。

此外,请检查 远程访问服务器管理通道 事件日志。 应发现与 NAT64 相关的消息从 警告 移动到 正常 状态。

或者,对于 NAT64 连接的限制,请为 NAT64 添加双端口,而不会降低 DirectAccess 服务器本身的临时端口数。 端口可由 NAT 或服务器用于其自己的任务,但不能由两者使用。

以下命令在内部接口上添加第二个 IP,然后为这两个 IP 配置 NAT64:

Set-NetNatTransitionConfiguration –IPv4AddressPortPool @("xxx.xxxx.xxxx.xxxx, 10000-47000", "xxx.xxx.xxx.xxx, 10000-47000")

网络适配器问题

与网络适配器相关的错误消息是指所选 DirectAccess 服务器的本地网络接口:

网络适配器:无法正常工作
错误:
网络适配器已断开连接或禁用。

原因

指定的网络适配器未启用或未连接。

解决方法

若要解决此问题,请执行以下步骤:

  1. 在控制面板(ncpa.cpl)中使用网络和共享中心启用网络适配器。
  2. 验证网络适配器上的网络连接。

请确保还验证 远程访问服务器管理通道 事件日志。 应发现与监视从“不正常”状态移动到“正常”状态的网络接口相关的消息。

网络位置服务器问题

将 Windows Server DirectAccess 服务器配置为使用基于 Intranet 的网络位置服务器(NLS)。 在这种情况下,你可能会注意到远程访问中的操作状态管理控制台指示影响 NLS 的关键问题。 但是,可以从 DirectAccess 服务器浏览 NLS 服务器。

除了能够使用 HTTP GET 成功连接到 NLS 之外,DirectAccess 服务器还必须能够 ping NLS 服务器。 但是,入站 Internet 控制消息协议(ICMP)通常被阻止在 Web 服务器上。 因此,DirectAccess 服务器将服务标记为失败。 可以通过修改主机防火墙策略来解决此问题,以允许入站 ICMPv4 回显请求。

网络安全错误

此警告的原因写在 RA 监视器“详细信息”部分中:

网络安全:无法正常工作
错误:
网络安全组件受到欺骗攻击。

你可能会发现,许多具有错误安全参数索引(SPI)的数据包在短时间内已收到。 此外,你将看到此警告是间歇性的。

原因

在短时间内具有不良 SPIs 的许多数据包可能表示数据包欺骗攻击。

解决方法

监视服务器以获取欺骗攻击的迹象。 如果检测到攻击,请应用缓解措施以阻止攻击。

某些客户端发送 SPIs 不正确(过时 SA)或具有不正确 SPI 的负载均衡器转发封装安全有效负载(ESP)数据包的 ESP 数据包。 运行 wfpdiag 跟踪以显示发生了什么,并根据事件 10039 - Microsoft-Windows-RemoteAccess-RemoteAccessServer 停止攻击。

添加更多服务器也很有帮助。

高可用性错误

仅当使用 Microsoft NLB 或外部负载均衡器设置高可用性解决方案以跨两台或更多直接访问服务器加载流量时,此错误才会显示为操作状态。

如果选择了默认的 NLB 部署方法,并且 DirectAccess 服务器部署在 Microsoft Hyper-V 中运行的虚拟机上,请确保选择“ 启用 MAC 地址欺骗 ”选项。

Hyper-V 设置的屏幕截图。