Freigeben über


Problembehandlung für DirectAccess

Testen Sie unseren virtuellen Agent: Der Agent kann Sie dabei unterstützen, häufige DirectAccess-Probleme schnell zu erkennen und zu beheben.

Dieser Artikel enthält Informationen zur Problembehandlung bei DirectAccess-Bereitstellungen.

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Führen Sie die folgenden Schritte aus, um Probleme mit dem Remotezugriff (DirectAccess) zu beheben.

Problem Lösung
Die DirectAccess-Konfiguration kann in der Remotezugriffs-Verwaltungskonsole nicht angezeigt werden So stellen Sie fehlende Konfigurationsinformationen wieder her:
– Wenn Sie eine Bereitstellung mit mehreren Websites behandeln, stellen Sie sicher, dass der Domänencontroller, der dem Einstiegspunkt am nächsten kommt, verfügbar ist.
- Verwenden Sie das Get-DAEntrypointDC Cmdlet, um den Namen des Domänencontrollers abzurufen, der dem Einstiegspunkt am nächsten kommt. Wenn der Domänencontroller nicht ausgeführt wird, verwenden Sie das Set-DAEntryPointDC Cmdlet, um auf einen anderen Domänencontroller zu verweisen.
– Führen Sie gpresult von einer Eingabeaufforderung mit erhöhten Rechten auf dem Server aus, um sicherzustellen, dass der Server die DirectAccess-Gruppenrichtlinienobjekte abruft.
– Aktivieren Sie die Protokollierung der Benutzeroberfläche.
– Verwenden Sie den folgenden Befehl, um die Windows PowerShell-Protokollierung zu starten:logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets
logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets
<repro>: Schließen Sie die Benutzeroberfläche, und öffnen Sie sie erneut.
– Deaktivieren Sie die Windows PowerShell-Protokollierung. Sammeln Sie die Protokolldateien der Ereignisablaufverfolgung. Sammeln Sie außerdem alle Protokolle aus dem Ordner "%windir%\tracing ".
Fehler beim Anwenden der DirectAccess-Konfiguration So aktualisieren Sie die DirectAccess-Konfiguration:
– Wenn Sie eine Bereitstellung mit mehreren Websites behandeln, stellen Sie sicher, dass der Domänencontroller, der dem Einstiegspunkt am nächsten kommt, verfügbar ist.
- Verwenden Sie das Get-DAEntrypointDC Cmdlet, um den Namen des Domänencontrollers abzurufen, der dem Einstiegspunkt am nächsten kommt. Wenn der Domänencontroller nicht ausgeführt wird, verwenden Sie das Set-DAEntryPointDC Cmdlet, um auf einen anderen Domänencontroller zu verweisen.
– Verwenden Sie den folgenden Befehl, um die Windows PowerShell-Protokollierung zu starten:
logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets
logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets
<repro>
- Wählen Sie "Übernehmen" aus.
– Deaktivieren Sie die Windows PowerShell-Protokollierung, und erfassen Sie das Ereignisablaufverfolgungsprotokoll.
DirectAccess ist konfiguriert, aber Clients können keine Verbindung mit internen Ressourcen herstellen So beheben Sie Clientverbindungsprobleme:
– Wählen Sie in der Remotezugriffsverwaltungskonsole die Registerkarte "Betriebsstatus " aus, und stellen Sie sicher, dass alle Komponenten ein grünes Symbol anzeigen. Wenn nicht, überprüfen Sie die Fehlerdetails, und führen Sie die Lösungsschritte aus.
– Führen Sie den Best Practices Analyzer (BPA) des RAS-Servers aus. Wenn Warnungen oder Fehler vorliegen, führen Sie die Lösungsschritte aus, um das Problem zu beheben.
Feststellen von Problemen im Zusammenhang mit einer Konfiguration mit mehreren Standorten (z. B. Aktivieren mehrerer Standorte, Hinzufügen von Einstiegspunkten oder Festlegen des Domänencontrollers für einen Einstiegspunkt) Führen Sie die Schritte unter Problembehandlung bei einer Bereitstellung mit mehreren Standorten aus.
Die Kachel „Konfigurationsstatus“ auf dem Dashboard zeigt eine Warnung oder einen Fehler an Befolgen Sie die Schritte unter Überwachen des Konfigurationsverteilungsstatus des RAS-Servers.
Feststellen von Problemen im Zusammenhang mit dem Konfigurieren des Lastenausgleichs (z. B. Fehler bei der Konfiguration bei Aktivierung des Lastenausgleichs oder Probleme beim Hinzufügen oder Entfernen von Servern aus einem Cluster) Wenn Sie den Lastenausgleich aktivieren oder einen Knoten hinzufügen und die Konfiguration aktualisiert wurde, wenn Sie "Übernehmen" ausgewählt haben, aber der Cluster nicht ordnungsgemäß auf dem Server erstellt wurde, führen Sie den folgenden Befehl aus, cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v DebugFlag /t REG_DWORD /d ""0xffffffff"" " um die Benutzeroberflächenprotokolle auf dem neuen Server zu erfassen.
Der Betriebsstatus zeigt nach Befolgen der Schritte zur Behebung der Situation einen Fehler oder eine Warnung an Wenn im Betriebsstatus falsche Informationen angezeigt werden (z. B. Fehler, die Sie bereits behoben haben):

- Aktivieren Sie den Registrierungsschlüssel cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v EnableTracing /t REG_DWORD /d ""5"" ".
– Aktualisieren Sie den Betriebsstatus, und erfassen Sie die Protokolle aus %windir%\tracing.

DirectAccess-Clientcomputer unter Windows 8 und höher melden „Kein Internet“ als Status für die DirectAccess-Verbindung, und die Anzeige für den Netzwerkkonnektivitätsstatus (Network Connectivity Status Indicator, NCSI) meldet eingeschränkte Konnektivität Dies kann auftreten, wenn die Tunnelerzwingung in der DirectAccess-Konfiguration aktiviert ist und aus diesem Grund nur IPHTTPS verwendet wird. Um dieses Problem zu beheben, können Sie einen Proxyserver erstellen und konfigurieren. NCSI verwendet dann den Proxyserver, um Internetkonnektivitätsprüfungen durchzuführen. Es wird empfohlen, der NRPT (Name Resolution Policy Table) mithilfe des folgenden Verfahrens einen statischen Proxy hinzuzufügen.

Bevor Sie die Befehle in diesem Verfahren ausführen, stellen Sie sicher, dass Sie alle Domänennamen, Computernamen und andere Windows PowerShell-Befehlsvariablen durch Werte ersetzen, die für Ihre Bereitstellung geeignet sind.

Konfigurieren eines statischen Proxys für eine NRPT-Regel:
1. Zeigen Sie die NRPT-Regel „.“ an: Get-DnsClientNrptRule -GpoName "corp.example.com\DirectAccess Client Settings" -Server <DomainControllerNetBIOSName>
2. Notieren Sie sich den Namen (GUID) der NRPT-Regel „.“. Der Name (GUID) sollte mit DA-{..}
3. Legen Sie den Proxy für "" fest. NRPT-Regel zu proxy.corp.example.com:8080: Set-DnsClientNrptRule -Name "DA-{..}" -Server <DomainControllerNetBIOSName> -GPOName "corp.example.com\DirectAccess Client Settings" -DAProxyServerName "proxy.corp.example.com:8080" -DAProxyType "UseProxyName"
4. Zeigt das "." an. NRPT-Regel erneut, indem Sie ausgeführt Get-DnsClientNrptRulewerden, und stellen Sie sicher, dass sie ProxyFQDN:port jetzt ordnungsgemäß konfiguriert ist.
5. Aktualisieren Sie die Gruppenrichtlinie, indem Sie auf einem DirectAccess-Client ausgeführt gpupdate /force werden, wenn der Client intern verbunden ist, und zeigen Sie dann das NRPT an Get-DnsClientNrptPolicy , und stellen Sie sicher, dass die Regel "." angezeigt wird ProxyFQDN:port.